了 CPK Key,使得其发送给网络接入控制器的接入认证请求包含了相应上网人员CPK标识的上网设备。
[0033]本发明实施例提供的网络接入控制器,如图4所示,包括:
[0034]标识校验单元401,完成接入认证请求中的上网人员CPK标识校验,如果校验通过,则允许此上网人员接入网络。
[0035]示例性的,当CPK标识为BN的上网人员通过上网设备请求接入网络时,标识校验单元401会去判断目前设备的授权CPK标识表中是否包含BN这个标识,如果包含,则允许其接入网络,如果不包含,则拒绝其接入网络;标识校验单元401可以从物理上断开非授权用户接入网络,这比传统的从逻辑上限制非授权用户网络权限的防范措施更加安全。
[0036]特征码绑定单元402,完成上网人员CPK标识与上网设备特征码的绑定,利用CPK体制具有的安全性和不可抵赖性,实现上网人员和上网设备的逐一绑定。
[0037]示例性的,当CPK标识为BN的上网人员通过物理MAC地址为14:CF:BC:00:01:14的上网设备接入网络时,特征码绑定单元402则将标识BN和MAC地址14:CF:BC:00:01:14绑定,这样就为实现以上网人员为网络管理对象做了很好的基础铺垫;同时,也为那些具有合法CPK标识的上网人员在网络接入控制器所辖范围内的移动办公创造了条件。
[0038]接入时间统计单元403,完成上网人员接入网络时间的统计,以便更好地为网络管理人员提供规范、管理上网行为的数据。
[0039]示例性的,当特征码绑定单元402将标识BN和MAC地址14:CF:BC:00:01:14绑定后,接入时间统计单元403则记录标识BN何时接入网络和何时断开网络,为实现上网人员网络行为的可追溯做了铺垫。
[0040]以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因为,本发明的保护范围应以所述权力要求的保护范围为准。
【主权项】
1.基于CPK标识认证的可追溯网络行为管理方法,其特征步骤包括: a.支持CPK标识认证的上网设备发出包含上网人员CPK标识信息的接入认证请求给网络接入控制器; b.网络接入控制器接收到包含某人员CPK标识信息的接入认证请求后,校验其CPK标识是否有效,如果无效则拒绝其接入网络;如果有效,网络接入控制器则绑定此上网设备特征码和此人员的CPK标识,并记录其接入网络的起止时间; c.位于互联网出口端的上网行为管理设备基于上网设备特征码,记录下所有上网设备的上网行为。2.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:上述中的CPK,就是组合公钥体制(Combined Public Key Cryptosystem,简称CPK),是在椭圆曲线密码(ECC)上,由组合矩阵和分割密钥序列构成,是一种先进的标识认证体制。3.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:步骤a中所述的支持CPK标识认证的上网设备是指能够识别CPK Key,并能将CPK标识在接入认证请求信息中发送给上网接入控制器的上网设备;这种上网设备可以是基于以太网等有线互连技术的上网设备,也可以基于WiFi等无线互连技术的上网设备。4.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:步骤a中所述的上网人员CPK标识信息是指用CPK Key中私钥对上网人员的特征码进行数字签名后的数据;这种上网人员的特征码包括但不局限于上网人员姓名拼写、上网人员工号或上网人员CPK Key的标识。5.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:步骤b中所述的网络接入控制器是指收到上网设备的接入认证请求后,能够校验其中CPK标识信息是否有效的设备;而且网络接入控制器中的有效CPK标识是可以配置修改的。6.这种网络接入控制器,其特征在于,包括: 标识校验单元,完成接入认证请求中的上网人员CPK标识校验,如果校验通过,则允许此上网人员接入网络; 特征码绑定单元,完成上网人员CPK标识与上网设备特征码的绑定,利用CPK体制具有的安全性和不可抵赖性,在网络世界中实现上网人员和上网设备的逐一绑定; 接入时间统计单元,完成上网人员接入网络时间的统计,以便更好地为网络管理人员提供规范、管理上网行为的数据。7.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:步骤b和C中所述的上网设备特征码包括但不局限于物理MAC地址、IP地址或上网设备序列号。8.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:步骤c中所述的上网行为管理设备可以基于上网设备特征码(如物理MAC地址)记录下人员的具体上网行为;比如访问过哪些网页、发送邮件的内容、网络即时聊天信息等。9.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:这种网络管理方法没有把人员局限在某台特定的上网设备,而是只要有合法并授权的CPKKey,那么这个人员就能够在整个单位网络覆盖范围内的任何一台上网设备上接入网络,更有利于人员的移动互联办公。10.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:让网络管理的对象从上网设备升级为上网人员,实现了网络世界中对上网人员网络行为的规范和可追溯。
【专利摘要】本发明提供了一种基于CPK标识认证的可追溯网络行为管理方法,涉及互联网上网行为管理和CPK标识认证领域,系统由支持CPK标识认证的上网设备、网络接入控制器和上网行为管理设备三部分组成。该方法包括,上网设备发出包含人员CPK标识信息的上网认证请求,网络接入控制器接收到此上网认证请求后校验其中的CPK标识,如果校验没通过,则拒绝这个人员的上网接入;如果校验通过,网络接入控制器会将此人员的CPK标识和发出此认证请求的上网设备特征码进行绑定。这样,当位于互联网出口端的上网行为管理设备记录其上网行为时,就可以追溯到上网人员的网络行为了。本发明实施例用于网络用户行为可管理可追溯的应用环境。
【IPC分类】H04L12/24, H04L29/06
【公开号】CN104901930
【申请号】CN201410159272
【发明人】孟俊, 陈谦
【申请人】孟俊, 陈谦
【公开日】2015年9月9日
【申请日】2014年4月21日