專利名稱:一種接入檢測方法及裝置的制作方法
技術領域:
本發(fā)明涉及網絡技術,尤其涉及一種非法用戶的接入檢測方法及裝置�。
背景技術:
隨著視頻監(jiān)控技術的飛速發(fā)展�,監(jiān)控點已經部署在城市的各個角落���。很多的編碼器(EC)或網絡攝像機(IPC)需要部署在道路兩旁����、山頂��、樓頂等地方���。這就要求用戶的網絡同樣要延伸到城市的各個角落甚至是野外的環(huán)境,以便編碼器等監(jiān)控設備能夠接入到用戶網絡中來�。為了網絡的安全,防止非法用戶使用接入點攻擊用戶網路�,用戶就必須在網絡邊緣啟用認證機制對每一個接入的設備進行身份認證。請參考圖1��,目前802. Ix認證是非常流行的認證方式��,其可以在二層對接入設備進行身份認證��,認證通過的用戶可以正常訪問用戶網絡�����,沒有認證通過的用戶則無法訪問用戶網絡。
由于編碼器等監(jiān)控設備很多都放置在野外�,大部分為無人管理區(qū)域,非法用戶可以通過接入額外的HUB設備來避開802. Ix認證��。請參考圖2�����,非法用戶在編碼器和802. Ix認證交換機之間加入一臺HUB�,HUB會將一個端口收到的報文向其他所有的端口廣播。這樣編碼器先進行身份認證��,認證通過后����,802. Ix交換機放開該端口上的訪問限制。此時非法用戶再偽造編碼器的MAC地址訪問用戶網絡��,認證交換機收到非法用戶的報文�����,檢查源MAC地址發(fā)現源MAC地址合法��,會正常的轉發(fā),而對應的回應報文則會由于HUB的報文廣播而轉發(fā)給非法用戶����,這樣非法用戶就侵入了用戶網絡。802. Ix在常規(guī)的網絡環(huán)境(比如家庭或者辦公室)中是很難被攻擊的����,因為非法用戶難以在這樣的環(huán)境中接入自己的HUB設備,然而監(jiān)控網絡中這個問題卻非常明顯����。
發(fā)明內容
有鑒于此�����,本發(fā)明提供一種接入檢測裝置�,應用于接入終端上,該接入裝置包括認證處理單元�����、報文統(tǒng)計單元以及接入分析單元����;其中認證處理單元,用于向認證交換機發(fā)起認證以使得認證交換機開放相應的端口供接入終端接入網絡,或用于在接入終端需要下線時執(zhí)行下線操作以使得交換機阻塞所述相應的端口 �����;報文統(tǒng)計單元��,用于在認證通過后統(tǒng)計自身的發(fā)送報文數量�;接入分析單元,用于從認證交換機發(fā)送的預定的報文中獲得交換機在所述相應的端口上統(tǒng)計到的接收報文數量�����,并比較所述接收報文數量與自身統(tǒng)計的發(fā)送報文數量�����,如果接收報文數量大于所述發(fā)送報文數量���,則確定有非法用戶的存在��。本發(fā)明還提供一種接入檢測方法�,應用于接入終端上��,該方法包括如下步驟A���、向認證交換機發(fā)起認證以使得認證交換機開放相應的端口供接入終端接入網絡�����,在接入終端需要下線時執(zhí)行下線操作以使得交換機阻塞所述相應的端口 �;B、在認證通過后統(tǒng)計自身的發(fā)送報文數量���;C���、從認證交換機發(fā)送的預定的報文中獲得交換機在所述相應的端口上統(tǒng)計到的接收報文數量,并比較所述接收報文數量與自身統(tǒng)計的發(fā)送報文數量�����,如果接收報文數量大于所述發(fā)送報文數量����,則確定有非法用戶的存在����。本發(fā)明通過比較接入終端發(fā)送報文數量與認證交換機在對應端口上接收報文數量的差異來確定是否存在非法接入用戶,有效地解決了現有技術中非法用戶通過Hub冒充合法用戶接入的問題�����。
圖I是現有技術中基于802. Ix認證的監(jiān)控網絡認證接入組網圖。圖2是現有技術中非法用戶繞過802. Ix認證的組網圖��。圖3是本發(fā)明一種實施方式中接入檢測裝置邏輯結構圖���。 圖4是LLDP報文的格式圖����。圖5是LLDP報文的TLV格式圖�。圖6是LLDP報文的Optional TLV格式圖。
具體實施例方式本發(fā)明通過識別出用戶不正常的行為來發(fā)現非法用戶的存在����,并采取一定的反制措施來減輕非法用戶接入所引發(fā)的安全風險。以下以計算機程序實現為例進行介紹����,然而本發(fā)明并不排除其他實現方式。在本發(fā)明一種實施方式中���,在接入終端(以編碼器為例)提供一種接入檢測裝置���,該接入裝置包括設備發(fā)現單元�����、認證處理單元���、報文統(tǒng)計單元、接入分析單元�、異常處理單元以及報文分析單元,該裝置運行時與交換機配合執(zhí)行如下步驟�����。步驟101����,設備發(fā)現單元使用鄰居發(fā)現協(xié)議與認證交換機交互以完成鄰居發(fā)現。在本發(fā)明中編碼器與認證交換機之間需要在本地保存對方的基本屬性信息�,比如MAC地址以及IP地址等。在本發(fā)明中選取最為流行的LLDP協(xié)議作為示例進行描述��,但本發(fā)明并不排除其他鄰居發(fā)現協(xié)議����,尤其是一些非常流行的私有協(xié)議���。步驟102,認證處理單元向認證交換機發(fā)起802. Ix認證��。步驟103�,報文統(tǒng)計單元在認證通過后統(tǒng)計自身的發(fā)送報文數量。步驟104��,認證交換機統(tǒng)計接收到該編碼器的接收報文數量����,并將統(tǒng)計結果攜帶在預定的報文中發(fā)送給所述編碼器。步驟105�,接入分析單元從所述預定的報文中獲得交換機統(tǒng)計到的接收報文數量,并比較接收報文數量與自身統(tǒng)計的發(fā)送報文數量�����,如果接收報文數量大于所述發(fā)送報文數量�,則確定有非法用戶的存在,否則確定無非法用戶存在��。步驟106��,異常處理單元����,用于在確定有非法用戶存在時�,向管理員發(fā)送告警和/或通知認證處理單元執(zhí)行下線操作����。在本發(fā)明中,編碼器可以按照正常的方式去完成鄰居發(fā)現以及接入認證���。需要說明的是��,鄰居發(fā)現在本發(fā)明中并不是必須的步驟����,只不過在優(yōu)選的實施方式中本發(fā)明使用LLDP報文實現一些關鍵信息的交互���,然而這些關鍵信息的交互可以使用任意自定義的報文來交互��。首先���,編碼器和認證交換機在每次認證成功后對進行對應報文統(tǒng)計數清零。對于編碼器而言�,其需要將自身發(fā)送報文數量進行清零,而認證交換機則需要將接收到該編碼器的報文數量清零���。清零之后�����,編碼器與交換機基本是同時重新開始統(tǒng)計各自需要統(tǒng)計的收發(fā)報文數量���。在編碼器輸入正確的用戶名和密碼并認證通過后,認證交換機會放開端口訪問限制���,并定期發(fā)送LLDP報文�,將本端口上統(tǒng)計到的接收報文數量攜帶在LLDP報文中發(fā)給對端編碼器�。在本實施方式中,所述接收報文數量作為LLDP的載荷數據攜帶在LLDP報文中��。具體位置以及任何格式可以由實施者自定義�。請參考圖4,LLDP報文的目的MAC固定為0180-C200-000E����,源MAC為端口 MAC或橋MAC,以太網協(xié)議類型為88CC���,其中LLDPDU (LLDPData unit����,載荷數據)單元則是以TLV格式攜帶的是設備的相關信息。請參考圖5,LLDroU由不同TLV構成��,設備將不同類的信息置于不同的TLV中����,TLV大致可分為兩類基本TLV和組織定義TLV?�;綯LV分別是Class ID TLV����、Port ID TLV,TTL ID TLV、End of LLDPDU TLV����、Management-address TLV、Basic TLV��,前四個 TLV 必不可少���,且順序不能調換���,且Class ID TLV、Port ID TLV、TTL ID TLV這三類TLV必須置于其他所有的TLV之前���,End of LLDPDU TLV必須置于報文末尾。請 參考圖6�,在一種優(yōu)選的實施方式中,本發(fā)明使用Optional TLV來攜帶所述接收報文數量���。需要說明的是�,雖然在圖2所示的組網圖中非法用戶可以通過HUB接收到所有發(fā)送給編碼器的報文�����,在理論上非法用戶也會接收到同樣的LLDP報文�。然而如前所述,由于報文格式可以自定義��,而且協(xié)議也不局限于LLDP�,因此非法用戶不容易得到所述接收報文數量這一數據。在較佳的實施方式中���,考慮到高明的非法用戶仍然可能會得知自定義的報文格式從而得知上述接收報文數量�。因此認證交換機可以使用用戶的認證密碼或用戶名與認證密碼的組合對接收報文數量進行MD5或其他方式的加密����。編碼器的接入分析單元在收到該LLDP報文后�,獲取其中的載荷數據�����,并對該數據進行解密獲得認證交換機統(tǒng)計的報文接收數量��,然后與本地統(tǒng)計的發(fā)送報文數量進行比較���。假設當前沒有任何非法用戶通過圖2那樣的方式接入��,同一時刻�,認證交換機在編碼器對應的端口上接收報文數量應該與編碼器發(fā)送報文數量一樣����,由于認證交換機發(fā)送的時間比EC收到的時間要早,所以認證交換機該端口上的接收報文數量不可能多于編碼器統(tǒng)計的發(fā)送報文數量�����。如果有非法用戶�����,當非法用戶發(fā)送一些報文后,就會出現認證交換機統(tǒng)計的接收報文數量多于編碼器統(tǒng)計的發(fā)送報文數量����。本發(fā)明編碼器正是根據上述規(guī)律來去確定是否存在非法用戶接入。如果編碼器確定有非法用戶接入����,編碼器的異常處理單元可以向管理服務器(VM)發(fā)送告警報文�����,告警類型可以為網絡安全�����,由VM選擇處理方法����。VM可以上可以部署一些處理策略,比如說�,通過短信或郵件的方式通知網絡管理員;再比如說����,通知網絡管理員同時通知編碼器進行認證下線操作���,編碼器可以根據VM的指示執(zhí)行認證下線操作(也可以時檢測到非法用戶接入時由異常處理單元通知認證處理單元執(zhí)行下線操作),以實現迅速重新堵塞認證交換機上的端口�,讓非法用戶無法通過該端口侵入網絡。等一段時間后���,再次通知認證處理單元發(fā)起認證上線操作��,如此反復����。等待時間可使用退避算法來計算獲得��,即一定時間內再次發(fā)現非法用戶接入��,會將本次等待時間延長����。通過以上的處理之后,首先可以快速地發(fā)現非法接入用戶��,并且非法接入用戶難以繞過本實施方式中的檢測機制����,而且由于編碼器和接入交換機之間傳遞的數據是定期發(fā)送且又是加密的�,非法接入用戶要想實現非法接入必須保證每個定時周期到達之前搶在交換機之前模仿交換機的行為來欺騙編碼器�,顯然這是極其難以實現的。
在本發(fā)明另一種實施方式中�,引入第二種檢測機制與上述檢測機制配合來提高接入檢測的成功率,繼續(xù)加大非法用戶接入的難度����。在本實施方式中,所述接入檢測裝置進一步包括報文分析單元�����。報文分析單元的處理過程與步驟101到步驟105的過程可以是并行的���,其包括以下步驟步驟201,在底層監(jiān)聽所有接收到的報文��,并將目的地址不是自身MAC地址的報文提交給報文分析單元處理�����。步驟202�,報文分析單元檢查報文的源地址是否與自身的MAC地址相同,如果是則確定存在非法用戶接入���。在正常情況下����,編碼器與認證交換機是直連的,編碼器收到的報文應該都是交換機上轉發(fā)過來的����,也就是說這些報文的目的MAC地址都應該是編碼器的MAC地址,而源MAC地址則肯定不會是編碼器的MAC地址�。
但是現有技術中編碼器會丟棄所有目的MAC不是自身MAC地址的報文,本發(fā)明可以在底層芯片配置報文處理規(guī)則將所有收到的報文都上送處理�。當收到目的MAC地址不是自身MAC地址的報文時則進一步檢查源MAC地址,如果源MAC地址與自己的MAC地址相同���,則判定網絡中存在侵入用戶����。因為這樣的行為表示有非法用戶接入��,并仿冒自身的MAC地址在訪問用戶網絡����。此時報文分析單元可以通知異常處理單元進行相應處理。在本實施方式中引入了第二種檢測機制�����,其更加有效地提升了非法用戶接入的檢測效率,使得非法用戶成功接入變?yōu)閹缀醪豢赡軐崿F�。以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之內,所做的任何修改�、等同替換、改進等����,均應包含在本發(fā)明保護的范圍之內。
權利要求
1.一種接入檢測裝置���,應用于接入終端上,該接入裝置包括認證處理單元�、報文統(tǒng)計單元以及接入分析單元;其特征在于 認證處理單元���,用于向認證交換機發(fā)起認證以使得認證交換機開放相應的端口供接入終端接入網絡��,或用于在接入終端需要下線時執(zhí)行下線操作以使得認證交換機阻塞所述相應的端口 �����; 報文統(tǒng)計單元�,用于在認證通過后統(tǒng)計自身的發(fā)送報文數量; 接入分析單元���,用于從認證交換機發(fā)送的預定的報文中獲得交換機在所述相應的端口上統(tǒng)計到的接收報文數量����,并比較所述接收報文數量與自身統(tǒng)計的發(fā)送報文數量��,如果接收報文數量大于所述發(fā)送報文數量�����,則確定有非法用戶的存在���。
2.如權利要求I所述的裝置�����,其特征在于�����,所述接收報文數量是使用接入終端認證密碼或用戶名與認證密碼的組合進行加密的加密數據���,所述接入分析單元進一步用于對該加密數據進行解密�����。
3.如權利要求2所述的裝置����,其特征在于��,還包括報文分析單元�,用于檢查目的地址不是自身MAC地址的報文的源MAC地址是否與自身MAC地址相同,如果是則確定存在非法用戶接入�����。
4.如權利要求I所述的裝置����,其特征在于����,還包括異常處理單元,用于在確定有非法用戶存在時��,向管理員發(fā)送告警和/或通知認證處理單元執(zhí)行下線操作。
5.如權利要求4所述的裝置�����,所述異常處理單元進一步用于在認證處理單元執(zhí)行下線操作之后并在確定等待時間到達后通知所述認證處理單元再次發(fā)起認證操作��,所述等待時間是通過預定的退避算法計算獲得��。
6.如權利要求I所述的裝置����,其特征在于,所述報文統(tǒng)計單元����,進一步用于在認證通過后統(tǒng)計自身的發(fā)送報文數量之前,先將當前的發(fā)送報文數量清零����。
7.一種接入檢測方法,應用于接入終端上����,其特征在于,該方法包括如下步驟 A、向認證交換機發(fā)起認證以使得認證交換機開放相應的端口供接入終端接入網絡�����,在接入終端需要下線時執(zhí)行下線操作以使得認證交換機阻塞所述相應的端口����; B、在認證通過后統(tǒng)計自身的發(fā)送報文數量��; C��、從認證交換機發(fā)送的預定的報文中獲得交換機在所述相應的端口上統(tǒng)計到的接收報文數量��,并比較所述接收報文數量與自身統(tǒng)計的發(fā)送報文數量����,如果接收報文數量大于所述發(fā)送報文數量,則確定有非法用戶的存在��。
8.如權利要求I所述的方法�,其特征在于,所述接收報文數量是使用接入終端認證密碼或用戶名與認證密碼的組合進行加密的加密數據���,所述接入分析單元進一步用于對該加密數據進行解密����。
9.如權利要求8所述的方法���,其特征在于�,還包括如下步驟 D�、檢查目的地址不是自身MAC地址的報文的源MAC地址是否與自身MAC地址相同,如果是則確定存在非法用戶接入�����。
10.如權利要求7所述的方法����,其特征在于,還包括如下步驟 E�、在確定有非法用戶存在時,向管理員發(fā)送告警和/或轉步驟A執(zhí)行下線操作�����。
11.如權利要求10所述的方法����,其特征在于�,所述步驟D進一步包括在執(zhí)行下線操作之后并在確定等待時間到達后轉步驟A再次發(fā)起認證操作��,所述等待時間是通過預定的退避算法計算獲得�����。
12.如權利要求I所述的方法�,其特征在于,所述步驟B進一步包括在認證通過后統(tǒng)計自身的發(fā)送報文數量之前�,先將當前的發(fā)送報文數量清零。
全文摘要
本發(fā)明提供一種接入檢測方法����,應用于接入終端上,該方法包括如下步驟A���、向認證交換機發(fā)起認證以使得認證交換機開放相應的端口供接入終端接入網絡�;B��、在認證通過后統(tǒng)計自身的發(fā)送報文數量�;C、從認證交換機發(fā)送的預定的報文中獲得交換機在所述相應的端口上統(tǒng)計到的接收報文數量�����,并比較所述接收報文數量與自身統(tǒng)計的發(fā)送報文數量,如果接收報文數量大于所述發(fā)送報文數量����,則確定有非法用戶的存在��。本發(fā)明通過比較接入終端發(fā)送報文數量與認證交換機在對應端口上接收報文數量的差異來確定是否存在非法接入用戶�����,有效地解決了現有技術中非法用戶通過Hub冒充合法用戶接入的問題�����。
文檔編號H04N7/18GK102821097SQ20121024751
公開日2012年12月12日 申請日期2012年7月17日 優(yōu)先權日2012年7月17日
發(fā)明者任俊峰, 周迪 申請人:浙江宇視科技有限公司