一种实现用户上网认证鉴权和报文标签的系统及其方法

1.一种实现用户上网认证鉴权和报文标签的方法，其特征在于，包括以下步骤：
A10、用户终端开机时，以DHCP方式从NAT获取IP地址信息，并提取用户的MAC、IP和名字的绑定关系，同时将所述绑定关系的结果提供给IP身份管理模块；
A20、初始时，除DNS数据外，用户终端外出的数据包一律过滤，当是初次HTTP请求时，将进行HTTP重定向，要求用户进行认证鉴权；
A30、系统通过Web服务提供重定向的用户认证鉴权页面，用户输入手机号后，系统进行验证码处理并向用户手机发送上网授权验证码，用户手机接收到验证码后，在认证鉴权页面中输入验证码，向用户认证鉴权处理模块请求验证码的鉴权确认，并由IP身份管理模块和IP授权模块进行鉴权；
A40、当用户认证鉴权的判断通过时，后续的用户外出IP包将放行；
A50、当内网用户IP授权时，保存该IP提供的需要携带的特殊数据，包括TCP Option的特殊数据、UDP附加的特殊数据、UDP直接负载的特殊数据，实现对报文数据的标签；
A60、经过标签的报文数据按规定的时机进行发送；
A70、最后通过中间设备对这些带标签的报文数据进行处理，进而实现对分布式的各个上网场所的网络数据安全管理。
2.如权利要求1所述的一种实现用户上网认证鉴权和报文标签的方法，其特征在于，在步骤A30中，认证鉴权的具体步骤如下：
B10、在NAT设备上部署用户认证鉴权处理模块，提供用户初始上网时的认证鉴权的功能；
B20、在IP身份管理模块中，保存有一张用户身份认证鉴权的信息表，其中记录了用户认证鉴权是否通过、用户的IP地址/MAC地址以及用户身份信息；
B30、当用户用IE浏览器上网时，如果该用户还没有通过认证鉴权，将触发一个向NAT的HTTP形式的认证鉴权请求；
B40、认证鉴权处理模块的鉴权主控处理模块识别出是认证鉴权请求后，进行初始页面请求处理，并构造一个认证鉴权页面回应给用户，认证鉴权页面中包含要求用户输入的手机号以及用户其他身份信息；
B50、用户输入手机号，然后向用户认证鉴权处理模块请求获取上网授权验证码，鉴权主控处理模块识别出是提交的获取授权请求后，进行验证码请求处理，然后随机生成一个验证码，并记录与手机号的关联，随后通过短信模块向用户手机发送该验证码；
B60、用户手机接收到验证码后，在认证鉴权页面中输入验证码，向用户认证鉴权处理模块请求验证码的鉴权确认，鉴权主控处理模块识别出是验证码的鉴权确认请求后，进行验证码提交处理，此时，请求中含有用户的手机号和验证码信息，通过手机号查找所述步骤B50中生成的验证码，并进行比对，如不一致，则表明该用户不是先前请求认证鉴权的用户，向用户回送验证失败的页面，要求重新认证，若一致，则表明该用户是先前请求认证鉴权的用户，然后将该用户的IP地址信息通知IP身份管理模块，告知该用户已通过认证鉴权，可以后续的上网行为，并向用户回送验证成功的提示信息，可以正常上网；
B70、IP身份管理模块接收到用户认证鉴权所通过的用户信息后，刷新用户身份认证鉴权的信息表，记录该IP用户的上网可以授权通过信息，在该用户上网时，依据其IP地址判定该用户可以正常上网通过。
3.如权利要求1所述一种实现用户上网认证鉴权和报文标签的方法，其特征在于，在步骤A50中，所述特殊数据为会话ID，用于标识TCP、UDP会话所属的内网用户，所述会话ID包括唯一标识某个用户的如下信息：位置、IP地址、MAC地址和认证时间。
4.如权利要求3所述一种实现用户上网认证鉴权和报文标签的方法，其特征在于，用户一次登录直到该IP被其他内网用户再次动态分配复用前，只使用一个会话ID。
5.如权利要求3所述一种实现用户上网认证鉴权和报文标签的方法，其特征在于，所述会话ID分别位于TCP初始会话的SYN中的Option中的第一个Option位置、UDP初始会话的附加部分的尾部以及指定UDP的尾部。

一种实现用户上网认证鉴权和报文标签的系统及其方法\n技术领域\n[0001] 本发明涉及网络安全领域，具体涉及一种实现用户上网认证鉴权和报文标签的系统及其方法。\n背景技术\n[0002] 现有的网络设备一般仅仅实现DHCP、NAT以及数据传输等功能，无法实现上网认证鉴权，更无法实现对TCP报文和UDP报文进行标签等功能。要实现上网场所的网络用户授权管理，需要配置单独的上网认证设备或系统。要实现分布式的各个上网场所的网络数据安全管理，需要配置单独的镜像设备，并且要配备相关传输线路和传输带宽，才能实现上网数据的安全管理的功能。这样设备规模就要增大，而且占用网络带宽，增加了建设成本和维护成本。\n发明内容\n[0003] 本发明所要解决的技术问题是网络用户授权管理成本高，无法便捷实现用户上网认证鉴权和报文标签的问题。\n[0004] 为了解决上述技术问题，本发明所采用的技术方案是提供一种实现用户上网认证鉴权和报文标签的方法，包括以下步骤：\n[0005] A10、用户终端开机时，以DHCP方式从NAT获取IP地址信息，并提取用户的MAC、IP和名字的绑定关系，同时将所述绑定关系的结果提供给IP身份管理模块；\n[0006] A20、初始时，除DNS数据外，用户终端外出的数据包一律过滤，当是初次HTTP请求时，将进行HTTP重定向，要求用户进行认证鉴权；\n[0007] A30、系统通过Web服务提供重定向的用户认证鉴权页面，用户输入手机号后，系统进行验证码处理并向用户手机发送上网授权验证码，用户手机接收到验证码后，在认证鉴权页面中输入验证码，向用户认证鉴权处理模块请求验证码的鉴权确认，并由IP身份管理模块和IP授权模块进行鉴权；\n[0008] A40、当用户认证鉴权的判断通过时，后续的用户外出IP包将放行；\n[0009] A50、当内网用户IP授权时，保存该IP提供的需要携带的特殊数据，包括TCP Option的特殊数据、UDP附加的特殊数据、UDP直接负载的特殊数据，实现对报文数据的标签；\n[0010] A60、经过标签的报文数据按规定的时机进行发送；\n[0011] A70、最后通过中间设备对这些带标签的报文数据进行处理，进而实现对分布式的各个上网场所的网络数据安全管理。\n[0012] 在上述实现用户上网认证鉴权和报文标签的方法中，在步骤A30中，认证鉴权的具体步骤如下：\n[0013] B10、在NAT设备上部署用户认证鉴权处理模块，提供用户初始上网时的认证鉴权的功能；\n[0014] B20、在IP身份管理模块中，保存有一张用户身份认证鉴权的信息表，其中记录了用户认证鉴权是否通过、用户的IP地址/MAC地址以及用户身份信息。\n[0015] B30、当用户用IE浏览器上网时，如果该用户还没有通过认证鉴权，将触发一个向NAT的HTTP形式的认证鉴权请求；\n[0016] B40、认证鉴权处理模块的鉴权主控处理模块识别出是认证鉴权请求后，进行初始页面请求处理，并构造一个认证鉴权页面回应给用户，认证鉴权页面中包含要求用户输入的手机号以及用户其他身份信息。\n[0017] B50、用户输入手机号，然后向用户认证鉴权处理模块请求获取上网授权验证码，鉴权主控处理模块识别出是提交的获取授权请求后，进行验证码请求处理，然后随机生成一个验证码，并记录与手机号的关联，随后通过短信模块向用户手机发送该验证码；\n[0018] B60、用户手机接收到验证码后，在认证鉴权页面中输入验证码，向用户认证鉴权处理模块请求验证码的鉴权确认，鉴权主控处理模块识别出是验证码的鉴权确认请求后，进行验证码提交处理，此时，请求中含有用户的手机号和验证码信息，通过手机号查找所述步骤B50中生成的验证码，并进行比对，如不一致，则表明该用户不是先前请求认证鉴权的用户，向用户回送验证失败的页面，要求重新认证，若一致，则表明该用户是先前请求认证鉴权的用户，然后将该用户的IP地址信息通知IP身份管理模块，告知该用户已通过认证鉴权，可以后续的上网行为，并向用户回送验证成功的提示信息，可以正常上网；\n[0019] B70、IP身份管理模块接收到用户认证鉴权所通过的用户信息后，刷新用户身份认证鉴权的信息表，记录该IP用户的上网可以授权通过信息，在该用户上网时，依据其IP地址判定该用户可以正常上网通过。\n[0020] 在上述实现用户上网认证鉴权和报文标签的方法中，在步骤A50中，所述特殊数据为会话ID，用于标识TCP、UDP会话所属的内网用户，所述会话ID包括唯一标识某个用户的如下信息：位置、IP地址、MAC地址和认证时间。\n[0021] 在上述实现用户上网认证鉴权和报文标签的方法中，用户一次登录直到该IP被其他内网用户再次动态分配复用前，只使用一个会话ID。\n[0022] 在上述实现用户上网认证鉴权和报文标签的方法中，所述会话ID分别位于TCP初始会话的SYN中的Option中的第一个Option位置、UDP初始会话的附加部分的尾部以及指定UDP的尾部。\n[0023] 本发明还提供了一种实现用户上网认证鉴权和报文标签的系统，包括部署在NAT设备上的用户认证鉴权处理模块，所述用户认证鉴权处理模块包括IP身份管理模块和IP授权模块，所述IP身份管理模块分别与用户终端和用户手机通信连接，用于提供鉴权页面和验证码处理，用户终端通过鉴权认证后其IP数据包通过报文标签模块实现报文标签。\n[0024] 本发明提供了一种实现用户上网认证鉴权和报文标签的系统及其方法，减少了上网认证设备、网络镜像设备、传输设备以及网络带宽等，使设备规模减少了约1/2，在网络上只需传输带标签的数据即可，这样传输带宽也节省了近1/2，进而缩减了建设成本和维护成本，大大提高了运行效率。\n附图说明\n[0025] 图1为本发明提供的实现用户上网认证鉴权和报文标签的系统及其方法的流程结构示意图；\n[0026] 图2为本发明提供的实现用户上网认证鉴权的流程结构示意图。\n具体实施方式\n[0027] 本发明是通过一种基于认证鉴权和报文标签的系统和方法来实现上网场所的网络用户授权管理和分布式的各个上网场所的网络数据安全管理，从而大大地降低项目的建设成本和维护成本。\n[0028] 下面结合附图对本发明作出详细的说明。\n[0029] 如图1所示，本发明提供的一种实现用户上网认证鉴权和报文标签的系统包括部署在NAT设备上的用户认证鉴权处理模块，用户认证鉴权处理模块包括IP身份管理模块和IP授权模块，IP身份管理模块分别与用户终端和用户手机通信连接，用于提供鉴权页面和验证码处理，用户终端通过鉴权认证后其IP数据包通过报文标签模块实现报文标签。\n[0030] 本发明还提供了一种实现用户上网认证鉴权和报文标签的方法，包括以下步骤：\n[0031] A10、用户终端开机时，以DHCP方式从NAT获取IP地址信息，并提取用户的MAC、IP和名字的绑定关系，同时将所述绑定关系的结果提供给IP身份管理模块；\n[0032] A20、初始时，除DNS数据外，用户终端外出的数据包一律过滤，当是初次HTTP请求时，将进行HTTP重定向，要求用户进行认证鉴权；\n[0033] A30、系统通过Web服务提供重定向的用户认证鉴权页面，用户输入手机号后，系统进行验证码处理并向用户手机发送上网授权验证码，用户手机接收到验证码后，在认证鉴权页面中输入验证码，向用户认证鉴权处理模块请求验证码的鉴权确认，并由IP身份管理模块和IP授权模块进行鉴权；\n[0034] A40、当用户认证鉴权的判断通过时，后续的用户外出IP包将放行；\n[0035] A50、当内网用户IP授权时，保存该IP提供的需要携带的特殊数据，包括TCP Option的特殊数据、UDP附加的特殊数据、UDP直接负载的特殊数据，实现对报文数据的标签；\n[0036] A60、经过标签的报文数据按规定的时机进行发送；\n[0037] A70、最后通过中间设备对这些带标签的报文数据进行处理，进而实现对分布式的各个上网场所的网络数据安全管理。\n[0038] 如图2所示，在步骤A30中认证鉴权基于网络设备的特定的运行环境，当用户进行鉴权请求时，Web服务根据请求的URL，将启动不同的进程来处理各个URL请求，这样对于一个用户页面与服务器之间的多次交互的数据关联，页面部分每次请求回应的进程处理时，通过Socket等方式向全局的IP用户身份管理进程获取用户当前的状态信息。\n[0039] 本实施方式中，认证鉴权的具体步骤如下：\n[0040] B10、在NAT设备上部署用户认证鉴权处理模块，提供用户初始上网时的认证鉴权的功能；\n[0041] B20、在IP身份管理模块中，保存有一张用户身份认证鉴权的信息表，其中记录了用户认证鉴权是否通过、用户的IP地址/MAC地址以及用户身份信息。\n[0042] B30、当用户用IE浏览器上网时，如果该用户还没有通过认证鉴权，将触发一个向NAT的HTTP形式的认证鉴权请求；\n[0043] B40、认证鉴权处理模块的鉴权主控处理模块识别出是认证鉴权请求后，进行初始页面请求处理，并构造一个认证鉴权页面回应给用户，认证鉴权页面中包含要求用户输入的手机号以及用户其他身份信息。\n[0044] B50、用户输入手机号，然后向用户认证鉴权处理模块请求获取上网授权验证码，鉴权主控处理模块识别出是提交的获取授权请求后，进行验证码请求处理，然后随机生成一个验证码，并记录与手机号的关联，随后通过短信模块向用户手机发送该验证码；\n[0045] B60、用户手机接收到验证码后，在认证鉴权页面中输入验证码，向用户认证鉴权处理模块请求验证码的鉴权确认，鉴权主控处理模块识别出是验证码的鉴权确认请求后，进行验证码提交处理，此时，请求中含有用户的手机号和验证码信息，通过手机号查找步骤B50中生成的验证码，并进行比对，如不一致，则表明该用户不是先前请求认证鉴权的用户，向用户回送验证失败的页面，要求重新认证，若一致，则表明该用户是先前请求认证鉴权的用户，然后将该用户的IP地址信息通知IP身份管理模块，告知该用户已通过认证鉴权，可以后续的上网行为，并向用户回送验证成功的提示信息，可以正常上网；\n[0046] B70、IP身份管理模块接收到用户认证鉴权所通过的用户信息后，刷新用户身份认证鉴权的信息表，记录该IP用户的上网可以授权通过信息，在该用户上网时，依据其IP地址判定该用户可以正常上网通过。\n[0047] 本实施方式中，为实现识别用户上网数据，需要引入会话ID，在步骤A50中，特殊数据即为会话ID，它是用于标识TCP、UDP会话所属的内网用户，原则上一次用户登录直到该IP被其他内网用户再次动态分配复用前，可只使用一个会话ID。会话ID需要唯一地标识某个用户，可由位置、IP地址、MAC地址、认证时间(精确到秒)等信息决定。\n[0048] 会话ID分别位于TCP初始会话的SYN中的Option中的第一个Option位置、UDP初始会话的附加部分的尾部以及指定UDP的尾部。即该会话ID填写在三处：\n[0049] 1)TCP初始会话的SYN中的Option中的第1个Option位置。\n[0050] 当用户IP授权通过后，在发送每个TCP会话的第1个SYN包时，按下面示意进行修改该SYN包。\n[0051] \n[0052] 2)重计算校验和2)重新计算TCP校验和。\n[0053] 2)UDP初始会话的附加部分的尾部。\n[0054] 当用户IP授权通过后，在发送每个UDP会话第1个包时，在该UDP包后面增加若干字节的会话ID信息。\n[0055] \n[0056] 3)指定UDP的尾部。\n[0057] \n[0058] 通过本发明提供的一种实现用户上网认证鉴权和报文标签的系统和方法，减少了上网认证设备、网络镜像设备、传输设备以及网络带宽等，使设备规模减少了约1/2，在网络上只需传输带标签的数据即可，这样传输带宽也节省了近1/2，进而缩减了建设成本和维护成本，大大提高了运行效率。\n[0059] 本发明不局限于上述最佳实施方式，任何人应该得知在本发明的启示下作出的结构变化，凡是与本发明具有相同或相近的技术方案，均落入本发明的保护范围之内。