[发明专利]一种透明场景下实现用户认证的方法

说明书

本发明涉及用户认证技术领域，公开了一种透明场景下实现用户认证的方法，包括以下步骤：步骤S1：用户发起资源请求并发送用户流量，在策略匹配模块中根据预先创建的匹配策略信息对用户流量中的特征信息进行匹配，匹配成功后将特征信息上报至用户认证处理模块；步骤S2：认证处理模块接收到七元组信息后对七元组信息进行认证，使用七元组信息中的DIP信息作为认证处理模块的IP信息，使用IP信息与被认证的用户进行通信完成用户认证；步骤S3：用户认证通过后，用户发起资源请求，认证处理模块会将流量直接放行，用户可以正常的对资源进行访问，如果用户没有通过用户认证，用户的资源请求会被丢弃，无法访问资源。

技术领域

本发明涉及用户认证技术领域，具体地说，是一种透明场景下实现用户认证的方法，用于对下辖设备完成用户认证。

背景技术

透明场景中，安全设备工作在二层交换模式时，当安全设备在虚拟线模式等无需IP地址进行业务转发的交换模式工作时，接口上没有设置IP地址时，当该安全设备需要与下辖的设备进行通信交互完成用户认证信息交换时，由于不存在IP地址所以无法完成用户认证信息交换。当安全设备在路由模式时，被认证设备与安全设备之间存在其他路由器或三层设备时，如果被认证设备没有到达安全设备的路由时，安全设备无法使用自己的IP地址与被认证设备完成用户认证信息的交互，而需要完成用户认证的设备上没有到防火墙接口IP或者防火墙认证服务IP的路由时也无法完成用户认证的场景。

除了在透明场景中，当防火墙上有虚拟接口IP时，如果认证的客户端不存在到虚拟接口IP的路由时也无法完成用户认证的场景。

因此，为了解决上述问题，本发明提供一种透明场景下实现用户认证的方法，通过直接提取经过安全设备流量中的DIP作为通信交互的IP地址，完成与下辖设备间的信息交换；可以直接提取经过安全设备流量中的DIP作为通信交互的IP地址，完成与被认证设备间的信息交换；此外，本发明除了在接口无IP时可以使用，在接口有IP但是认证的客户端没有到该接口IP的路由时也能实现用户认证。

发明内容

本发明的目的在于提供一种透明场景下实现用户认证的方法，用于对下辖设备完成用户认证。

本发明通过下述技术方案实现：一种透明场景下实现用户认证的方法，包括以下步骤：

步骤S1：用户发起资源请求并发送用户流量，在安全设备的策略匹配模块中根据预先创建的匹配策略信息对用户流量中的特征信息进行匹配，匹配成功后将特征信息上报至用户认证处理模块，所述特征信息包括但不限于七元组信息，所述七元组信息包括SMAC信息、DMAC信息、SIP信息、DIP信息、服务信息、源端口号信息和目的端口号信息；

步骤S2：安全设备的认证处理模块接收到用户流量的特征信息后对用户进行认证处理，认证处理模块构造认证报文时提取用户流量的特征信息中的DIP信息作为认证报文的SIP，将认证报文发送给用户，同时认证处理模块计算出用户响应的认证报文的特性信息，并将该特性信息下发到策略匹配模块，策略匹配成功后将报文上报到认证处理模块，当用户响应的认证报文返回到安全设备时，认证处理模块会收到这些报文，并提取报文的认证信息，对比认证信息库判断用户是否认证通过；

步骤S3：用户返回的认证报文中的认证信息比对成功后认为用户认证通过，认证处理模块会将用户流量特性信息对应在策略匹配模块中的策略设置为放行，用户发起资源请求，只要匹配用户流量特性信息的数据流均认为是认证通过的流量，用户可以正常的对资源进行访问；如果用户返回的认证报文比对失败会认为认证不通过，认证处理模块会将用户流量特性信息对应的策略在策略匹配模块的行为设置为丢弃，此时用户将无法访问资源。

为了更好地实现本发明，进一步地，步骤S1包括：

在策略匹配模块上创建匹配策略信息识别需要完成用户认证的用户流量，所述匹配策略信息包括MAC信息、IP信息、服务类型信息、TCP的端口号信息和UDP的端口号信息；

当用户流量进入策略匹配模块时，使用用户认证报文中的用户认证信息去匹配配置认证策略信息，匹配后提取用户流量中的特征信息；