发布时间 : 星期三 文章终端识别技术白皮书更新完毕开始阅读9ee1f37910a6f524ccbf8568
文档名称 文档密级
ACK, NAK, Release等各类dhcp命令; ? 类型为12的Option 则定义了主机名称; ? 类型55包含了DHCP客户端希望获得的参数。
不同的操作系统在发送 DHCP请求的时候的Option数量、顺序和组合都可能完全不同,因此仅仅先区分DHCP的参数排列组合就可以进行快捷的操作系统识别。例如类型55的Option里的子参数排列组合也会根据不同的操
作系统而不同。该Option的参数排列,可以可靠的区分数百种终端设备类型及操作系统类型。已Window系统为例:
更进一步的是Option 60,这个参数用来描述厂商信息。微软操作系统直
接写上 “MSFT 5.0”,只有Windows 98特例,会填写”MSFT 98”.苹果的MacOS会明确在此标明 “Mac OS 9.1”, “Mac OS 9.2” ??。Cisco 公司会直接填写设备型号,例如”Cisco Systems, Inc. IP Phone CP-7911G”。智能手机会填写这个字段,稍微多获取一些数据,诸如”BlackBerry”, “Windows CE”, “Nokia ?”等字眼也会出现在 Option 60之中。
2.2.5 HTTP指纹分析
HTTP 是 Web 访问的基础协议,为了提供功能和使用效果,这个协议的定义和实现中加入了很多客户端/服务器端的信息。一个典型的http头可以
看到
2014-10-07
H3C机密,未经许可不得扩散 第9页, 共21页
文档名称 文档密级
为了让服务器更好地提供数据,客户端主动把浏览器版本、操作系统类型、操作系统版本等信息积极主动地告诉服务器端。该信息通常由Http头中User-Agent字段提供。对于移动智能终端,各制造商通常在User-Agent字段中提供设备的类型、型号、操作系统和制造商信息。比如:
2.2.6 MAC OUI分析
MAC地址信息用来定义设备在网络中的位置,每一个网卡都会有全球唯一固定的MAC地址。该地址由IEEE统一管理和分配,未经认证和授权的厂家无权生产网卡。MAC OUI(Organizationally Unique Identifier)代表IEEE分配给各个厂商的公司ID,是MAC地址的前六位。通过MAC OUI,系统可以判断终端设备的生产厂商。以下是部分厂商的MAC OUI。
2014-10-07
H3C机密,未经许可不得扩散 第10页, 共21页
文档名称 文档密级
3 UAM系统终端识别技术实现
每一种终端识别技术均有其优缺点。比如MAC OUI识别,仅能够识别网卡厂商,并通过网卡信息去匹配相关设备,而SNMP识别虽然可以根据OID获取设备信息,但是多数终端设备并不支持SNMP协议。Http协议的User Agent中携带的设备信息、操作系统信息虽然准确度很高,但是用户很容易用软件篡改该User Agent信息。DHCP分析目前来看是可靠性比较高的终端识别方法,尤其是Option 55属性,基本可以唯一性确定操作系统的类型和版本信息。UAM系统通过组合DHCP指纹分析、http User-Agent指纹分析和MAC OUI分析,实现了终端设备的识别功能,确保了H3C BYOD解决方案的可用性。
3.1 UAM系统终端识别流程图
UAM系统综合运用了MAC OUI、DHCP和HTTP User-Agent三种终端类型识别方法,并根据其可靠性设定了优先级,有效解决了BYOD解决方案中的终端类型识别问题。
在新设备接入网络,进行身份认证的流程中,以设备进行MAC地址认证为例,终端信息识别的过程如下图所示:
2014-10-07
H3C机密,未经许可不得扩散 第11页, 共21页
文档名称 文档密级
? 终端设备接入网络,首先发起身份认证。身份认证过程中,设备的MAC
地址携带在Radius请求的Calling Station ID属性中。UAM解决该属性,并判断设备的供应商信息。由于MAC地址易于修改,因此在UAM中,MAC OUI的优先级最低。
? UAM判断设备是否已注册,对于未注册的设备,将其放入隔离区。 ? 终端设备在隔离区发起DHCP请求,接入设备将DHCP请求Relay至安
装了DHCP插件的DHCP Server。
? DHCP插件截获DHCP请求报文,并解析DHCP报文属性,将终端设备
的MAC地址和Option 55信息上传至UAM服务器。
? UAM服务器根据MAC地址查询设备注册信息,对于未注册的设备,
UAM设备根据Option 55提供的设备指纹,确认设备的类型,供应商和操作系统类型等信息。同时在回应DHCP插件的报文中,携带DNS Jail Server的IP地址,告知DHCP插件修改DHCP ACK报文中的DNS信息。由于DHCP识别具有较高的准确性,UAM系统将DHCP识别的优先级设为最高。
? 终端用户访问Web站点,发出http请求。用户终端的DNS客户端发起
DNS查询,该查询被发现DNS Jail查询所在的地址。 ? DNS Jail插件返回BYOD Server的地址。
? 用户Http请求被发往BYOD Server,BYOD server解析http请求中的
User Agent信息,提取操作系统、终端类型和制造商等信息。注意,如果DHCP解析过程中已识别出终端类型、操作系统类型和供应商等
2014-10-07
H3C机密,未经许可不得扩散
第12页, 共21页