專利名稱:一種通過深度識別并登記的“基因式網絡身份管理”方法
技術領域:
本發明屬于信息安全領域,具體涉及一種通過對接入到網絡中的設備或終端進行身份識別并進行登記,進行精準身份識別,以這種精準身份識別為基礎進行網絡安全和管理,可以大幅提升網絡安全管理等級。
背景技術:
IP是英文Internet Protocol (網際協議)的縮寫,也就是為計算機網絡相互連接進行通信而設計的協議。在因特網中,它是能使連接到網上的所有計算機網絡實現相互通信的一套規則,規定了計算機在因特網上進行通信時應當遵守的規則。任何廠家生產的計算機系統,只要遵守IP協議就可以與因特網互連互通。IP地址就是給每個連接在Internet上的主機分配的一個32bit地址。IP協議屬 TCP/IP協議族,是TCP/IP協議族中最為核心的協議,所有的TCP、UDP、ICMP、及IGMP數據都以 IP 數據報格式傳輸。TCP/IP (Transmission Control Protocol/Internet Protocol) 的簡寫,中文譯名為傳輸控制協議/因特網互聯協議,又叫網絡通訊協議,這個協議是 Internet最基本的協議、Internet國際互聯網絡的基礎,TCP/IP協議分為四層,依次是鏈路層、網絡層、傳輸層、應用層,IP協議屬于網絡層。按照TCP/IP協議規定,IP地址用二進制來表示,每個IP地址長32bit,比特換算成字節,就是4個字節。Internet上的每臺主機(Host)都有一個唯一的IP地址。IP協議就是使用這個地址在主機之間傳遞信息,這是Internet能夠運行的基礎。IP地址的長度為 32位,分為4段,每段8位,用十進制數字表示,每段數字范圍為0 255,段與段之間用句點隔開。例如159. 226. 1. 1。IP地址有兩部分組成,一部分為網絡地址,另一部分為主機地址。IP地址分為A、B、C、D、E5類。常用的是B和C兩類。目前對于連接于網絡中的網絡設備和終端設備的身份識別是通過IP、MAC地址進行的。這種識別方式是最為普通,也是最為廣泛、最簡單的身份識別方式,很多防火墻、行為管理、IDS、IPS、路由器、交換機和軟件產品的安全和管理均是通過對數據包中得IP和MAC 地址進行讀取,通過IP、MAC匹配的方式進行身份識別、確定,然后進行相應的管理策略和數據處理。MAC(Medium/MediaAccess Control,介質訪問控制)MAC地址是燒錄在(網卡, NIC)里的。MAC地址,也叫硬件地址,是由48比特/bit長(6字節/byte,lbyte = 8bits),16 進制的數字組成.0-23位叫做組織唯一標志符(organizationally unique,是識別LAN(局域網)節點的標識.24-47位是由廠家自己分配。其中第40位是組播地址標志位。網卡的物理地址通常是由網卡生產廠家燒入網卡的EPROM(—種閃存芯片,通常可以通過程序擦寫),它存儲的是傳輸數據時真正賴以標識發出數據的電腦和接收數據的主機的地址。也就是說,在網絡底層的物理傳輸過程中,是通過物理地址來識別主機和傳輸數據的,其中MAC是全球唯一的。比如以太網卡,其物理地址是48bit (比特位)的整數,如 44-45-53-54-00-00,以機器可讀的方式存入主機接口中。以太網地址管理機構(除了管這個外還管別的)(IEEE) (IEEE 電氣和電子工程師協會)將以太網地址,也就是48比特的不同組合,分為若干獨立的連續地址組,生產以太網網卡的廠家就購買其中一組,具體生產時,逐個將唯一地址賦予以太網卡。形象的說,MAC地址就如同我們身份證上的身份證號碼, 具有全球唯一性。在正常的情況下,由相應MAC地址的網卡發布出來的數據包其源MAC填充位是該網卡的物理MAC,這樣通過分析數據包中源MAC地址可以確定數據來源的準確身份。但在實際中由于數據包 可以由基于網卡驅動的上層應用程序構造發出,這樣數據包中的源MAC填充位的內容并不是只有網卡可以操作,其它應用程序和軟件可以隨意填充。特別是網絡設備管理接口和終端設備系統都提供了對MAC和IP地址的修改功能,這就使得通過IP、MAC 修改達到改變身份脫離相應管理規則的目標得以較容易的實現,導致了通過數據包源MAC 進行身份識別具有很大的不確定性、準確性差。要實現網絡中設備和終端的管理控制,身份的準確識別是基礎,而現有的方式已經不能滿足對于身份的準確識別和控制,帶來了很多安全和管理問題。
發明內容
為了解決上述現有技術實現上的缺點,本發明的目的是通過運行在連接到網絡中的網絡設備或終端上的相關程序執行本方法,實現網絡身份直接本地獲取,然后通過身份信息加密協議傳送至第三方進行登記,保證了網絡中成員身份的準確識別,這樣就可以依此身份進行進一步的網絡訪問控制和管理。所述技術方案如下一種通過深度識別并登記進行網絡中身份管理的方法,該方法包含A、B兩個部分,A部分是運行于網絡設備或網絡終端上的程序,用于直接在源端獲取身份信息。B部分對A獲取的身份信息進行第三方登記記錄。A和B之間通過數據加密進行通信,主要包含以下過程A部分由協議處理模塊、身份信息獲取模塊、加解密模塊、指令處理模塊組成,如圖 2所示。將具有A部分功能的程序以安裝(或嵌入)的方式部署在網絡設備、終端系統上。 協議處理模塊作用為獲得需要取得的身份信息種類、傳輸已加密的身份信息將身份信息傳送至B部分。需要檢查的身份信息類別通過與B部分協商獲得,獲取的協議內容由加解密模塊加解密,經指令處理模塊分析提取后獲得的指令內容。其中加密模塊負責加解密的信息包括將要各種身份要素信息和指令,加密模塊主要是保證獲取的身份信息不被監聽、 盜用。如無法連接B部分或是協商失敗,則A部分按照默認信息進行獲取,默認信息類別依據具體設備不同而不同。獲取信息包括但不限于IP地址、物理MAC、邏輯MAC,還包括內存序號/類型/大小、CPU序號/類型/大小、硬盤號/類型/大小等,以上信息的獲得均是原始信息,而非應用層程序修改后的邏輯信息,具體獲取方式依據具體設備原理和驅動接口而不同。身份信息獲取模塊負責本地獲取該設備的以上身份信息,由于是本地直接獲取, 更加準確。A部分身份信息獲取完成后,通過加解密模塊加密處理,交由協議處理模塊發出, 將獲取的身份信息送達B部分以進行登記、記錄,以便隨時調出對比,以分析網絡中各種身份是否符合。B部分由協議處理模塊、身份信息存取模塊、加解密模塊、指令管理模塊組成,如圖 3所示。
指令管理模塊用 于接受網絡管理者設定相關參數,進行讀取識別。加解密模塊對 A、B部分之間的通信內容進行加解密處理,防止被截獲、破壞。身份信息存取模塊負責將收到的A部分送來的各種身份信息值進行存儲或給出身份核驗結論。協議處理模塊負責以網絡數據通信的方式完成A、B間交互數據的傳輸。本發明的技術方案帶來的有益效果是身份信息獲取在身份主體本身進行,位置準確,通過底層的深度信息獲取,以其原始身份進行登記,而不是采用邏輯身份。由于可采集的身份信息種類可以適當調整,就保證了信息內容的完整乃至唯一,通過對身份信息的集合進行整體的識別登記,達到類似人類基因組的類似效果,大幅提高了準確度、降低了重合概率,保證了身份管理的精準。
圖1是本發明所述身份信息包含的內容;圖2是本發明所述A部分的組成;圖3是本發明所述B部分的組成;圖4是本發明所述方法的處理流程具體實施例方式下面結合附圖和具體實施例對本發明作進一步說明,但不作為對本發明的限定。本發明采用以下技術方案通過運行于網絡設備或終端上的指定程序獲取設備的身份信息,身份信息包括IP地址、物理MAC等,并將這些信息通過加密的私有協議傳輸到登記管理端,以防止信息被修改,管理端運行的系統可以是開放式系統也可以是專用嵌入系統設備。在較高的安全要求下,管理端須為嵌入式專用設備,這樣對于身份信息的保存安全程度更高。本發明采用的基因式身份登記特征主要表現在1、信息獲取需要在身份主體上直接本地獲取,而不是間接的通過接收數據包,在數據包中的相應數據位提取獲取。2、獲取的網絡身份信息不限于用于網絡實別的IP、MAC,而是包含了其它信息如CPU號、硬盤號等, 多重信息的組合作為網絡成員身份的識別更加精準,提高了身份管理的準確度。采用此的身份識別和管理后,使得網絡成員的細微身份改變都會得到及時的發現,并且這種發現是基于設備本身物理屬性的,而不是基于該設備邏輯信息,也不是基于發出的數據包中的相關信息的。這樣杜絕了通過偽造網絡數據包中的IP、MAC信息實現偽造其它設備身份,躲避或干擾基于身份的網絡控制和管理的問題。本技術方案的根本出發點為通過位于網絡設備上的程序直接獲得物理MAC、CPU 號、硬盤號等身份信息進行組合,以此作為其身份認定的方法。任何身份信息的改變都會影響其身份的認定,從而實現了對網絡設備身份的精準管理。解決了現有方式下網絡身份容易更改、容易模仿而不可發現的問題,使得基于此方法的身份管理為基礎的各種管理控制達到真正準確高效,加強了網絡使用的安全和管理。本技術方案的核心要點為第一,不使用標準網絡協議中的信息位中存儲的信息作為身份判斷依據;第二,使用通過運行于終端本身的程序獲取其物理MAC作為重要身份信息之一;第三,增加非網絡信息要素作為身份信息集,如CPU號、硬盤號等;第四,通過私有加密協議封裝以上信息內容傳送并將其存儲記錄下來,作為身份判斷的依據;
如圖4,本發明的具體步驟為 1. A部分程序的部署;本發明進行身份確認的重要依據就是在網絡設備和終端本身上進行身份信息的獲取,這就要求具有該功能的A部分需要安裝部署在網絡中的設備上,部署方式有兩種。一種是通過嵌入式預安裝,直接在設備出廠時即按照標準將其內至于設備中,此種方式需要和特定設備生產廠家進行預先的接口商定、標準制定,以保證A部分程序準確、穩定的安裝并運行于這些設備上。另一種是通過強制提示進行安裝,具體可通過行政制度和技術手段兩種方式,目的是將A部分程序運行于接入到網絡中、需要進行準確身份識別的設備上。2.系統啟動后的身份信息采集;完成1中的部署后,A部分程序運行,根據特定系統接口和驅動進行預置網絡身份的獲取,例如IP地址,物理MAC。此時獲取的身份信息由A 部分預置的參數決定。3.網絡連接后的管理端探尋;當設備連接的網絡接口有物理信號后,A部分開始通過預定協議進行對B部分(管理端)的探尋,主要是通過協議發現并和B部分建立聯絡 (A、B兩部分即可以是同一設備上的兩個模塊,也可以是位于網絡中的兩個獨立節點),以便將A部分獲取的身份信息存儲于B部分或是通過B部分已存儲信息進行比對,驗證A部分身份是否正確,是否有變動;4.管理端連通后的標示確定、密鑰協商;當A、B部分建立通信,并進行密鑰協商, 以保證傳輸數據的加解密。同時進行身份信息獲取的驗證、補充,也就是B部分會根據A 部分的設備的性質、特點,對其獲取的默認身份信息項目進行調整,以更適用于當前身份管理。同時進行A部分標示的商定,主要是通過該標示明確A的唯一索引,保證A、B間身份信息存儲、核驗時的數據索引唯一。5.當前身份信息的數據加密輸出;A部分根據同B部分的協商,對應獲取的身份信息進行調整,補充獲取,然后將這些信息加密,將其發送出去,目的是讓B部分準確獲得,以進行后期操作。6.當前身份信息的接受,提取,處理,得出結果并加密反饋,完成身份檢查;B部分對接受的身份信息進行提取,并根據索引進行登記記錄或者比對核驗,將身份核驗結果 (是否存在問題)發給A,由A獲得結果。這樣,一次身份核驗的過程即告完成。對于以上身份信息獲取和登記過程中每一步驟的異常,須均由該部分進行記錄, 以便進行事件回溯。下面對本發明的以上過程作進一步的說明以上過程只是一次身份核驗的完整過程,為了保證身份信息的事實同步,可以通過其它技術手段進行商定如通過心跳的方式, 由A部分每隔一定時間進行一次如上過程,或是由A部分所在設備對應身份信息發生變等異常出現觸發以上過程;也可由B部分發出指令,觸發A部分重復以上過程。本發明的核心在于通過A部分駐留于設備本地,進行多種身份信息的本地獲取,并在第三方進行登記。多種身份如IP地址、物理MAC、內存序號/類型/大小、CPU序號/類型/大小、硬盤號/類型 /大小等身份這些作為網絡中設備和終端的“身份基因”,通過多種以上信息的組合,實現唯一確定網絡設備身份的“基因組”,從而實現了對網絡中設備和終端身份的“基因式”檢查。這里需要特別說明的是,在以上身份信息中,很多都是被網絡和行業標準定義為唯一的,如物理MAC、CPU序號、硬盤序號、內存序號;也有一部分不是唯一的,如內存大小、CPU大小、IP地址、邏輯MAC ;采用以上信息的組合作為身份識別驗證的“基因組”,更是進一步做到了準確唯一、真實可靠。以上便是基因式網絡身份識別核驗管理的方法流程,對于本方案的關鍵部分,身份信息的獲取直接從對應設備主體直接進行和多種身份信息同時獲取整體作為身份識別依據。 本發明的處理過程完整流程為圖4 ①A部分部署一②啟動、信息采集一③管理端探尋一④密鑰協商一⑤身份信息加密輸出一⑥提取處理加密反饋。由于以上過程實現了身份信息要素本地獲取,信息整體組合作為依據,第三方登記的方法實現了對網絡中設備和終端的身份精準提取、識別,起到了較大程度上減少和避免網絡身份誤認、偽造進一步影響網絡安全管理的問題。這樣,采用網絡設備和終端本身獲取的多種身份信息,組合進行身份標識確認的方法較好的解決了傳統方式僅通過網絡協議標志位獲取身份信息,獲取途徑偏差、獲取信息少、容易偏差、偽造的問題,具有信息獲取源準確,信息組集合唯一性強的特征。本發明的優點是1.身份信息獲取的位置準確,直接由運行于身份主體上的程序直接讀取其物理身份(此項需要身份主體設備或系統的廠家提供標準程序接口,依據標準獲得)。2.身份信息獲取的組合唯一性強,本發明提取了身份主體多項唯一身份參數和部分非唯一參數組合而成,進一步提高了身份信息的唯一性、準確性。3.身份信息保存的位置安全,可靠,由于本發明設計的身份信息經由私有加密協議傳出,并經第三方加密保存,故安全性高,不會因單方面收到安全攻擊而導致身份信息的篡改。以上所述的實施例,只是本發明較優選的具體實施方式
,本領域的技術人員在本發明技術方案范圍內進行的通常變化和替換都應包含在本發明的保護范圍內。
權利要求
1.一種通過深度識別并登記進行網絡中身份管理的方法,其特征在于這種身份管理是基于網絡的,而不是單機的。進行身份管理的目的是對連接到網絡中的設備身份進行精準識別,防止偽造;
2.如權利要求1所述的身份管理法,其特征在于通過運行于連接到網絡的網絡設備和終端設備上的指定程序來獲取身份信息集合,而不是通過接受相關協議通信數據分析獲得,這樣就避免了協議數據封裝偽造導致的身份信息獲取錯誤;
3.如權利要求2所述的身份信息集合包括IP地址、物理MAC、邏輯MAC,以及網絡設備和終端的其它關鍵信息,如內存序號/類型/大小、CPU序號/類型/大小、硬盤號/類型/ 大小;
4.如權利要求3所述的身份信息集合,不是固定不變的,是可以根據具體設備的具體特點進行增減的,增減的標準在于其加入集合后,對于整體組合的唯一性具有正向作用;
5.如權利要求3所述的身份信息需要通過特定協議加密傳輸到第三方進行存儲,以作為對網絡設備和終端的身份進行對比檢驗,核查其是否符合。
全文摘要
本發明涉及一種對接入到網絡中的設備進行身份識別并登記的方法,該種處理方法通過運行在相應網絡設備和終端的程序來實現獲取信息,獲取的內容為IP地址、物理MAC、邏輯MAC,以及網絡設備和終端的其它關鍵信息,如內存序號/類型/大小、CPU序號/類型/大小、硬盤號/類型/大小等身份,這些身份類似于生物“基因”一樣的網絡身份基因,是網絡成員身份的重要信息。這樣網絡設備和終端的多項關鍵信息組合到一起,使組合身份信息發生重合的概率大幅降低,同時將其在第三方進行登記、記錄,從而實現一種精準身份識別的方法,實現對連接于網絡中的設備進行準確的身份識別。
文檔編號H04L29/06GK102427462SQ20121000938
公開日2012年4月25日 申請日期2012年1月13日 優先權日2012年1月13日
發明者潘薇 申請人:潘薇