专利名称:一种通过深度识别并登记的“基因式网络身份管理”方法
技术领域:
本发明属于信息安全领域,具体涉及一种通过对接入到网络中的设备或终端进行身份识别并进行登记,进行精准身份识别,以这种精准身份识别为基础进行网络安全和管理,可以大幅提升网络安全管理等级。
背景技术:
IP是英文Internet Protocol (网际协议)的缩写,也就是为计算机网络相互连接进行通信而设计的协议。在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统,只要遵守IP协议就可以与因特网互连互通。IP地址就是给每个连接在Internet上的主机分配的一个32bit地址。IP协议属 TCP/IP协议族,是TCP/IP协议族中最为核心的协议,所有的TCP、UDP、ICMP、及IGMP数据都以 IP 数据报格式传输。TCP/IP (Transmission Control Protocol/Internet Protocol) 的简写,中文译名为传输控制协议/因特网互联协议,又叫网络通讯协议,这个协议是 Internet最基本的协议、Internet国际互联网络的基础,TCP/IP协议分为四层,依次是链路层、网络层、传输层、应用层,IP协议属于网络层。按照TCP/IP协议规定,IP地址用二进制来表示,每个IP地址长32bit,比特换算成字节,就是4个字节。Internet上的每台主机(Host)都有一个唯一的IP地址。IP协议就是使用这个地址在主机之间传递信息,这是Internet能够运行的基础。IP地址的长度为 32位,分为4段,每段8位,用十进制数字表示,每段数字范围为0 255,段与段之间用句点隔开。例如159. 226. 1. 1。IP地址有两部分组成,一部分为网络地址,另一部分为主机地址。IP地址分为A、B、C、D、E5类。常用的是B和C两类。目前对于连接于网络中的网络设备和终端设备的身份识别是通过IP、MAC地址进行的。这种识别方式是最为普通,也是最为广泛、最简单的身份识别方式,很多防火墙、行为管理、IDS、IPS、路由器、交换机和软件产品的安全和管理均是通过对数据包中得IP和MAC 地址进行读取,通过IP、MAC匹配的方式进行身份识别、确定,然后进行相应的管理策略和数据处理。MAC(Medium/MediaAccess Control,介质访问控制)MAC地址是烧录在(网卡, NIC)里的。MAC地址,也叫硬件地址,是由48比特/bit长(6字节/byte,lbyte = 8bits),16 进制的数字组成.0-23位叫做组织唯一标志符(organizationally unique,是识别LAN(局域网)节点的标识.24-47位是由厂家自己分配。其中第40位是组播地址标志位。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM(—种闪存芯片,通常可以通过程序擦写),它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。也就是说,在网络底层的物理传输过程中,是通过物理地址来识别主机和传输数据的,其中MAC是全球唯一的。比如以太网卡,其物理地址是48bit (比特位)的整数,如 44-45-53-54-00-00,以机器可读的方式存入主机接口中。以太网地址管理机构(除了管这个外还管别的)(IEEE) (IEEE 电气和电子工程师协会)将以太网地址,也就是48比特的不同组合,分为若干独立的连续地址组,生产以太网网卡的厂家就购买其中一组,具体生产时,逐个将唯一地址赋予以太网卡。形象的说,MAC地址就如同我们身份证上的身份证号码, 具有全球唯一性。在正常的情况下,由相应MAC地址的网卡发布出来的数据包其源MAC填充位是该网卡的物理MAC,这样通过分析数据包中源MAC地址可以确定数据来源的准确身份。但在实际中由于数据包 可以由基于网卡驱动的上层应用程序构造发出,这样数据包中的源MAC填充位的内容并不是只有网卡可以操作,其它应用程序和软件可以随意填充。特别是网络设备管理接口和终端设备系统都提供了对MAC和IP地址的修改功能,这就使得通过IP、MAC 修改达到改变身份脱离相应管理规则的目标得以较容易的实现,导致了通过数据包源MAC 进行身份识别具有很大的不确定性、准确性差。要实现网络中设备和终端的管理控制,身份的准确识别是基础,而现有的方式已经不能满足对于身份的准确识别和控制,带来了很多安全和管理问题。
发明内容
为了解决上述现有技术实现上的缺点,本发明的目的是通过运行在连接到网络中的网络设备或终端上的相关程序执行本方法,实现网络身份直接本地获取,然后通过身份信息加密协议传送至第三方进行登记,保证了网络中成员身份的准确识别,这样就可以依此身份进行进一步的网络访问控制和管理。所述技术方案如下一种通过深度识别并登记进行网络中身份管理的方法,该方法包含A、B两个部分,A部分是运行于网络设备或网络终端上的程序,用于直接在源端获取身份信息。B部分对A获取的身份信息进行第三方登记记录。A和B之间通过数据加密进行通信,主要包含以下过程A部分由协议处理模块、身份信息获取模块、加解密模块、指令处理模块组成,如图 2所示。将具有A部分功能的程序以安装(或嵌入)的方式部署在网络设备、终端系统上。 协议处理模块作用为获得需要取得的身份信息种类、传输已加密的身份信息将身份信息传送至B部分。需要检查的身份信息类别通过与B部分协商获得,获取的协议内容由加解密模块加解密,经指令处理模块分析提取后获得的指令内容。其中加密模块负责加解密的信息包括将要各种身份要素信息和指令,加密模块主要是保证获取的身份信息不被监听、 盗用。如无法连接B部分或是协商失败,则A部分按照默认信息进行获取,默认信息类别依据具体设备不同而不同。获取信息包括但不限于IP地址、物理MAC、逻辑MAC,还包括内存序号/类型/大小、CPU序号/类型/大小、硬盘号/类型/大小等,以上信息的获得均是原始信息,而非应用层程序修改后的逻辑信息,具体获取方式依据具体设备原理和驱动接口而不同。身份信息获取模块负责本地获取该设备的以上身份信息,由于是本地直接获取, 更加准确。A部分身份信息获取完成后,通过加解密模块加密处理,交由协议处理模块发出, 将获取的身份信息送达B部分以进行登记、记录,以便随时调出对比,以分析网络中各种身份是否符合。B部分由协议处理模块、身份信息存取模块、加解密模块、指令管理模块组成,如图 3所示。
指令管理模块用 于接受网络管理者设定相关参数,进行读取识别。加解密模块对 A、B部分之间的通信内容进行加解密处理,防止被截获、破坏。身份信息存取模块负责将收到的A部分送来的各种身份信息值进行存储或给出身份核验结论。协议处理模块负责以网络数据通信的方式完成A、B间交互数据的传输。本发明的技术方案带来的有益效果是身份信息获取在身份主体本身进行,位置准确,通过底层的深度信息获取,以其原始身份进行登记,而不是采用逻辑身份。由于可采集的身份信息种类可以适当调整,就保证了信息内容的完整乃至唯一,通过对身份信息的集合进行整体的识别登记,达到类似人类基因组的类似效果,大幅提高了准确度、降低了重合概率,保证了身份管理的精准。
图1是本发明所述身份信息包含的内容;图2是本发明所述A部分的组成;图3是本发明所述B部分的组成;图4是本发明所述方法的处理流程具体实施例方式下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。本发明采用以下技术方案通过运行于网络设备或终端上的指定程序获取设备的身份信息,身份信息包括IP地址、物理MAC等,并将这些信息通过加密的私有协议传输到登记管理端,以防止信息被修改,管理端运行的系统可以是开放式系统也可以是专用嵌入系统设备。在较高的安全要求下,管理端须为嵌入式专用设备,这样对于身份信息的保存安全程度更高。本发明采用的基因式身份登记特征主要表现在1、信息获取需要在身份主体上直接本地获取,而不是间接的通过接收数据包,在数据包中的相应数据位提取获取。2、获取的网络身份信息不限于用于网络实别的IP、MAC,而是包含了其它信息如CPU号、硬盘号等, 多重信息的组合作为网络成员身份的识别更加精准,提高了身份管理的准确度。采用此的身份识别和管理后,使得网络成员的细微身份改变都会得到及时的发现,并且这种发现是基于设备本身物理属性的,而不是基于该设备逻辑信息,也不是基于发出的数据包中的相关信息的。这样杜绝了通过伪造网络数据包中的IP、MAC信息实现伪造其它设备身份,躲避或干扰基于身份的网络控制和管理的问题。本技术方案的根本出发点为通过位于网络设备上的程序直接获得物理MAC、CPU 号、硬盘号等身份信息进行组合,以此作为其身份认定的方法。任何身份信息的改变都会影响其身份的认定,从而实现了对网络设备身份的精准管理。解决了现有方式下网络身份容易更改、容易模仿而不可发现的问题,使得基于此方法的身份管理为基础的各种管理控制达到真正准确高效,加强了网络使用的安全和管理。本技术方案的核心要点为第一,不使用标准网络协议中的信息位中存储的信息作为身份判断依据;第二,使用通过运行于终端本身的程序获取其物理MAC作为重要身份信息之一;第三,增加非网络信息要素作为身份信息集,如CPU号、硬盘号等;第四,通过私有加密协议封装以上信息内容传送并将其存储记录下来,作为身份判断的依据;
如图4,本发明的具体步骤为 1. A部分程序的部署;本发明进行身份确认的重要依据就是在网络设备和终端本身上进行身份信息的获取,这就要求具有该功能的A部分需要安装部署在网络中的设备上,部署方式有两种。一种是通过嵌入式预安装,直接在设备出厂时即按照标准将其内至于设备中,此种方式需要和特定设备生产厂家进行预先的接口商定、标准制定,以保证A部分程序准确、稳定的安装并运行于这些设备上。另一种是通过强制提示进行安装,具体可通过行政制度和技术手段两种方式,目的是将A部分程序运行于接入到网络中、需要进行准确身份识别的设备上。2.系统启动后的身份信息采集;完成1中的部署后,A部分程序运行,根据特定系统接口和驱动进行预置网络身份的获取,例如IP地址,物理MAC。此时获取的身份信息由A 部分预置的参数决定。3.网络连接后的管理端探寻;当设备连接的网络接口有物理信号后,A部分开始通过预定协议进行对B部分(管理端)的探寻,主要是通过协议发现并和B部分建立联络 (A、B两部分即可以是同一设备上的两个模块,也可以是位于网络中的两个独立节点),以便将A部分获取的身份信息存储于B部分或是通过B部分已存储信息进行比对,验证A部分身份是否正确,是否有变动;4.管理端连通后的标示确定、密钥协商;当A、B部分建立通信,并进行密钥协商, 以保证传输数据的加解密。同时进行身份信息获取的验证、补充,也就是B部分会根据A 部分的设备的性质、特点,对其获取的默认身份信息项目进行调整,以更适用于当前身份管理。同时进行A部分标示的商定,主要是通过该标示明确A的唯一索引,保证A、B间身份信息存储、核验时的数据索引唯一。5.当前身份信息的数据加密输出;A部分根据同B部分的协商,对应获取的身份信息进行调整,补充获取,然后将这些信息加密,将其发送出去,目的是让B部分准确获得,以进行后期操作。6.当前身份信息的接受,提取,处理,得出结果并加密反馈,完成身份检查;B部分对接受的身份信息进行提取,并根据索引进行登记记录或者比对核验,将身份核验结果 (是否存在问题)发给A,由A获得结果。这样,一次身份核验的过程即告完成。对于以上身份信息获取和登记过程中每一步骤的异常,须均由该部分进行记录, 以便进行事件回溯。下面对本发明的以上过程作进一步的说明以上过程只是一次身份核验的完整过程,为了保证身份信息的事实同步,可以通过其它技术手段进行商定如通过心跳的方式, 由A部分每隔一定时间进行一次如上过程,或是由A部分所在设备对应身份信息发生变等异常出现触发以上过程;也可由B部分发出指令,触发A部分重复以上过程。本发明的核心在于通过A部分驻留于设备本地,进行多种身份信息的本地获取,并在第三方进行登记。多种身份如IP地址、物理MAC、内存序号/类型/大小、CPU序号/类型/大小、硬盘号/类型 /大小等身份这些作为网络中设备和终端的“身份基因”,通过多种以上信息的组合,实现唯一确定网络设备身份的“基因组”,从而实现了对网络中设备和终端身份的“基因式”检查。这里需要特别说明的是,在以上身份信息中,很多都是被网络和行业标准定义为唯一的,如物理MAC、CPU序号、硬盘序号、内存序号;也有一部分不是唯一的,如内存大小、CPU大小、IP地址、逻辑MAC ;采用以上信息的组合作为身份识别验证的“基因组”,更是进一步做到了准确唯一、真实可靠。以上便是基因式网络身份识别核验管理的方法流程,对于本方案的关键部分,身份信息的获取直接从对应设备主体直接进行和多种身份信息同时获取整体作为身份识别依据。 本发明的处理过程完整流程为图4 ①A部分部署一②启动、信息采集一③管理端探寻一④密钥协商一⑤身份信息加密输出一⑥提取处理加密反馈。由于以上过程实现了身份信息要素本地获取,信息整体组合作为依据,第三方登记的方法实现了对网络中设备和终端的身份精准提取、识别,起到了较大程度上减少和避免网络身份误认、伪造进一步影响网络安全管理的问题。这样,采用网络设备和终端本身获取的多种身份信息,组合进行身份标识确认的方法较好的解决了传统方式仅通过网络协议标志位获取身份信息,获取途径偏差、获取信息少、容易偏差、伪造的问题,具有信息获取源准确,信息组集合唯一性强的特征。本发明的优点是1.身份信息获取的位置准确,直接由运行于身份主体上的程序直接读取其物理身份(此项需要身份主体设备或系统的厂家提供标准程序接口,依据标准获得)。2.身份信息获取的组合唯一性强,本发明提取了身份主体多项唯一身份参数和部分非唯一参数组合而成,进一步提高了身份信息的唯一性、准确性。3.身份信息保存的位置安全,可靠,由于本发明设计的身份信息经由私有加密协议传出,并经第三方加密保存,故安全性高,不会因单方面收到安全攻击而导致身份信息的篡改。以上所述的实施例,只是本发明较优选的具体实施方式
,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
权利要求
1.一种通过深度识别并登记进行网络中身份管理的方法,其特征在于这种身份管理是基于网络的,而不是单机的。进行身份管理的目的是对连接到网络中的设备身份进行精准识别,防止伪造;
2.如权利要求1所述的身份管理法,其特征在于通过运行于连接到网络的网络设备和终端设备上的指定程序来获取身份信息集合,而不是通过接受相关协议通信数据分析获得,这样就避免了协议数据封装伪造导致的身份信息获取错误;
3.如权利要求2所述的身份信息集合包括IP地址、物理MAC、逻辑MAC,以及网络设备和终端的其它关键信息,如内存序号/类型/大小、CPU序号/类型/大小、硬盘号/类型/ 大小;
4.如权利要求3所述的身份信息集合,不是固定不变的,是可以根据具体设备的具体特点进行增减的,增减的标准在于其加入集合后,对于整体组合的唯一性具有正向作用;
5.如权利要求3所述的身份信息需要通过特定协议加密传输到第三方进行存储,以作为对网络设备和终端的身份进行对比检验,核查其是否符合。
全文摘要
本发明涉及一种对接入到网络中的设备进行身份识别并登记的方法,该种处理方法通过运行在相应网络设备和终端的程序来实现获取信息,获取的内容为IP地址、物理MAC、逻辑MAC,以及网络设备和终端的其它关键信息,如内存序号/类型/大小、CPU序号/类型/大小、硬盘号/类型/大小等身份,这些身份类似于生物“基因”一样的网络身份基因,是网络成员身份的重要信息。这样网络设备和终端的多项关键信息组合到一起,使组合身份信息发生重合的概率大幅降低,同时将其在第三方进行登记、记录,从而实现一种精准身份识别的方法,实现对连接于网络中的设备进行准确的身份识别。
文档编号H04L29/06GK102427462SQ20121000938
公开日2012年4月25日 申请日期2012年1月13日 优先权日2012年1月13日
发明者潘薇 申请人:潘薇