[发明专利]检测影子用户的数目的方法和装置及网络设备

说明书

技术领域

本发明实施例涉及通信技术，尤其涉及检测影子用户的数目的方法和装置及网络设备。

背景技术

802.1x认证采用基于端口的网络存取控制，为局域网用户提供点对点式的安全接入。以电脑接入为例(也可以是其他接入终端)，一个简单的示意如图1所示，安装有802.1x认证客户端软件的个人电脑(Personal Computer，简称PC)将提交相关的认证信息给交换机进行认证，交换机将相关认证信息转交给认证服务器进行确认。如果认证通过，交换机将相关的端口打开，则连接此端口的电脑就可以使用网络了。

在802.1x中，只要认证通过了，交换机就会记录认证成功电脑的介质访问控制(Media Access Control，简称MAC)地址。只要是该MAC地址的数据，交换机就会认为是经过认证的电脑发送出来的，因此会放行这些数据。

如图2所示，如果有人采用在认证的交换机端口下增加一个集线器(HUB)，把两台电脑连接在HUB上。PC a安装有802.1x认证客户端，认证通过。而PC b仅仅通过把MAC地址修改成和PC a的MAC地址相同，就可以不用认证而非法使用网络。

针对图2中所示的缺陷，现有技术中比较普遍采用的解决办法就是在交换机的端口上，对认证过的电脑的因特网协议(Internet Protocol，简称IP)地址，MAC地址以及端口绑定在一起。而不是简单通过MAC地址来决定数据是否放行。

如图3所示给出了使用端口、IP、MAC三元素绑定的方案，此时PC b由于使用的IP地址与PC a不同，因此无法使用网络。但是三元素绑定方案还是存在一个漏洞，如果PC b将IP和MAC地址修改为与PC a的IP和MAC地址相同，则PC b还是可以通过不认证就可以使用网络，如图4所示。

从图4可以看出，当接入终端PC a通过认证客户端软件发出认证请求时，交换机转发相应信息，并提交认证服务器确认，如果通过认证，交换机就打开相应端口(PORT)，允许满足(IP+MAC+PORT)三元组认证条件的报文通过。此时如果有另一接入终端PC b通过HUB与PC a连接在一起，并且仿冒PC a的IP地址和MAC地址，那么PC b也可以满足三元组(IP+MAC+PORT)的认证条件，因此PC b此时不需要经过认证便可以访问网络资源。这样，网络中就出现了仿冒IP地址和MAC地址的终端可以不认证就访问网络的问题。

影子用户就是指非法用户企图不通过身份认证，而直接采用合法用户的IP地址和MAC地址的用户。如图4中的PC b即为影子用户。如果存在影子用户，那么只要被仿冒的用户上线，那么影子用户无需认证即可使用网络了。

当合法用户存在一个或多个影子用户时，服务器却只能全部当作一个用户来处理，这样，往往造成了网络流量的大量流失，并造成了认证和计费的漏洞。而目前，并没有检测影子用户数目的方法，也就是说无法得知存在多少个影子用户，因此造成了无法量化出业务损失，比如，无法得到由各影子用户造成的网络流量的具体流失数量、网费损失的具体数量等，从而大大降低了业务性能。

发明内容

本发明实施例提供检测影子用户的数目的方法和装置及网络设备，能够检测出影子用户的数目。

本发明实施例提供的检测影子用户的数目的方法，包括：

A、接收与认证通过的用户具有相同的用户认证特征的报文；

B、提取出所述报文的标识字段；

C、对于接收到的每一个报文，计算该报文与指定报文的标识字段的差值；如果所述差值在预设的异常范围内，则为该报文对应一个新增用户；

D、确定所有报文对应的新增用户的个数值；

E、将最终确定的新增用户的个数值确定为影子用户的数目。

步骤A中，所述用户认证特征包括源因特网协议IP地址和/或源介质访问控制MAC地址。

在预先划分的多个采样周期中分别执行所述步骤A至步骤D；

在步骤D与步骤E之间，进一步包括：从所有采样周期确定的所有新增用户的个数值中，确定出现次数最多的新增用户的个数值。

所述指定报文为：已经接收到的第n个报文，n为自然数；或者，已经接收到的m个报文中的每一个报文，m为大于1的自然数。

所述差值为：所述每一个报文的标识字段的值减去所述指定报文的标识字段的值；

步骤C中，所述如果所述差值在预设的异常范围内包括：如果所述差值大于预先设置的允许丢包阈值；或者，如果所述差值小于0。

所述步骤C包括：