《一种通过深度识别并登记的“基因式网络身份管理”方法.pdf》由会员分享,可在线阅读,更多相关《一种通过深度识别并登记的“基因式网络身份管理”方法.pdf(10页珍藏版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 102427462 A (43)申请公布日 2012.04.25 C N 1 0 2 4 2 7 4 6 2 A *CN102427462A* (21)申请号 201210009384.4 (22)申请日 2012.01.13 H04L 29/06(2006.01) H04L 9/32(2006.01) (71)申请人潘薇 地址 100086 北京市海淀区中关村南大街甲 6号铸诚大厦B-801室 (72)发明人潘薇 (54) 发明名称 一种通过深度识别并登记的“基因式网络身 份管理”方法 (57) 摘要 本发明涉及一种对接入到网络中的设备进行 身份识别并登记的方法,该。
2、种处理方法通过运行 在相应网络设备和终端的程序来实现获取信息, 获取的内容为IP地址、物理MAC、逻辑MAC,以及网 络设备和终端的其它关键信息,如内存序号/类 型/大小、CPU序号/类型/大小、硬盘号/类型/ 大小等身份,这些身份类似于生物“基因”一样的 网络身份基因,是网络成员身份的重要信息。这样 网络设备和终端的多项关键信息组合到一起,使 组合身份信息发生重合的概率大幅降低,同时将 其在第三方进行登记、记录,从而实现一种精准身 份识别的方法,实现对连接于网络中的设备进行 准确的身份识别。 (51)Int.Cl. (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 1 。
3、页 说明书 5 页 附图 3 页 CN 102427471 A 1/1页 2 1.一种通过深度识别并登记进行网络中身份管理的方法,其特征在于这种身份管理是 基于网络的,而不是单机的。进行身份管理的目的是对连接到网络中的设备身份进行精准 识别,防止伪造; 2.如权利要求1所述的身份管理法,其特征在于:通过运行于连接到网络的网络设备 和终端设备上的指定程序来获取身份信息集合,而不是通过接受相关协议通信数据分析获 得,这样就避免了协议数据封装伪造导致的身份信息获取错误; 3.如权利要求2所述的身份信息集合包括:IP地址、物理MAC、逻辑MAC,以及网络设备 和终端的其它关键信息,如内存序号/类型/大。
4、小、CPU序号/类型/大小、硬盘号/类型/ 大小; 4.如权利要求3所述的身份信息集合,不是固定不变的,是可以根据具体设备的具体 特点进行增减的,增减的标准在于其加入集合后,对于整体组合的唯一性具有正向作用; 5.如权利要求3所述的身份信息需要通过特定协议加密传输到第三方进行存储,以作 为对网络设备和终端的身份进行对比检验,核查其是否符合。 权 利 要 求 书CN 102427462 A CN 102427471 A 1/5页 3 一种通过深度识别并登记的 “ 基因式网络身份管理 ” 方法 技术领域 0001 本发明属于信息安全领域,具体涉及一种通过对接入到网络中的设备或终端进行 身份识别并进。
5、行登记,进行精准身份识别,以这种精准身份识别为基础进行网络安全和管 理,可以大幅提升网络安全管理等级。 背景技术 0002 IP是英文Internet Protocol(网际协议)的缩写,也就是为计算机网络相互连接 进行通信而设计的协议。在因特网中,它是能使连接到网上的所有计算机网络实现相互通 信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计 算机系统,只要遵守IP协议就可以与因特网互连互通。 0003 IP地址就是给每个连接在Internet上的主机分配的一个32bit地址。IP协议属 TCP/IP协议族,是TCP/IP协议族中最为核心的协议,所有的TCP、UD。
6、P、ICMP、及IGMP数据 都以IP数据报格式传输。TCP/IP(Transmission Control Protocol/Internet Protocol) 的简写,中文译名为传输控制协议/因特网互联协议,又叫网络通讯协议,这个协议是 Internet最基本的协议、Internet国际互联网络的基础,TCP/IP协议分为四层,依次是链 路层、网络层、传输层、应用层,IP协议属于网络层。 0004 按照TCP/IP协议规定,IP地址用二进制来表示,每个IP地址长32bit,比特换算 成字节,就是4个字节。Internet上的每台主机(Host)都有一个唯一的IP地址。IP协议 就是使用这。
7、个地址在主机之间传递信息,这是Internet能够运行的基础。IP地址的长度为 32位,分为4段,每段8位,用十进制数字表示,每段数字范围为0255,段与段之间用句 点隔开。例如159.226.1.1。IP地址有两部分组成,一部分为网络地址,另一部分为主机地 址。IP地址分为A、B、C、D、E5类。常用的是B和C两类。 0005 目前对于连接于网络中的网络设备和终端设备的身份识别是通过IP、MAC地址进 行的。这种识别方式是最为普通,也是最为广泛、最简单的身份识别方式,很多防火墙、行为 管理、IDS、IPS、路由器、交换机和软件产品的安全和管理均是通过对数据包中得IP和MAC 地址进行读取,通。
8、过IP、MAC匹配的方式进行身份识别、确定,然后进行相应的管理策略和 数据处理。 0006 MAC(Medium/MediaAccess Control,介质访问控制)MAC地址是烧录在(网卡, NIC)里的。MAC地址,也叫硬件地址,是由48比特/bit长(6字节/byte,1byte8bits),16 进制的数字组成.0-23位叫做组织唯一标志符(organizationally unique,是识别LAN(局 域网)节点的标识.24-47位是由厂家自己分配。其中第40位是组播地址标志位。网卡的 物理地址通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片,通常可以通过程序擦 写),它存。
9、储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。 0007 也就是说,在网络底层的物理传输过程中,是通过物理地址来识别主机和传输数 据的,其中MAC是全球唯一的。比如以太网卡,其物理地址是48bit(比特位)的整数,如: 44-45-53-54-00-00,以机器可读的方式存入主机接口中。以太网地址管理机构(除了管 说 明 书CN 102427462 A CN 102427471 A 2/5页 4 这个外还管别的)(IEEE)(IEEE:电气和电子工程师协会)将以太网地址,也就是48比特的 不同组合,分为若干独立的连续地址组,生产以太网网卡的厂家就购买其中一组,具体生产 时,。
10、逐个将唯一地址赋予以太网卡。形象的说,MAC地址就如同我们身份证上的身份证号码, 具有全球唯一性。 0008 在正常的情况下,由相应MAC地址的网卡发布出来的数据包其源MAC填充位是该 网卡的物理MAC,这样通过分析数据包中源MAC地址可以确定数据来源的准确身份。但在实 际中由于数据包可以由基于网卡驱动的上层应用程序构造发出,这样数据包中的源MAC填 充位的内容并不是只有网卡可以操作,其它应用程序和软件可以随意填充。特别是网络设 备管理接口和终端设备系统都提供了对MAC和IP地址的修改功能,这就使得通过IP、MAC 修改达到改变身份脱离相应管理规则的目标得以较容易的实现,导致了通过数据包源MA。
11、C 进行身份识别具有很大的不确定性、准确性差。 0009 要实现网络中设备和终端的管理控制,身份的准确识别是基础,而现有的方式已 经不能满足对于身份的准确识别和控制,带来了很多安全和管理问题。 发明内容 0010 为了解决上述现有技术实现上的缺点,本发明的目的是通过运行在连接到网络中 的网络设备或终端上的相关程序执行本方法,实现网络身份直接本地获取,然后通过身份 信息加密协议传送至第三方进行登记,保证了网络中成员身份的准确识别,这样就可以依 此身份进行进一步的网络访问控制和管理。所述技术方案如下: 0011 一种通过深度识别并登记进行网络中身份管理的方法,该方法包含A、B两个部 分,A部分是运。
12、行于网络设备或网络终端上的程序,用于直接在源端获取身份信息。B部分 对A获取的身份信息进行第三方登记记录。A和B之间通过数据加密进行通信,主要包含以 下过程: 0012 A部分由协议处理模块、身份信息获取模块、加解密模块、指令处理模块组成,如图 2所示。将具有A部分功能的程序以安装(或嵌入)的方式部署在网络设备、终端系统上。 协议处理模块作用为:获得需要取得的身份信息种类、传输已加密的身份信息将身份信息 传送至B部分。需要检查的身份信息类别通过与B部分协商获得,获取的协议内容由加解 密模块加解密,经指令处理模块分析提取后获得的指令内容。其中加密模块负责加解密的 信息包括将要各种身份要素信息和指。
13、令,加密模块主要是保证获取的身份信息不被监听、 盗用。如无法连接B部分或是协商失败,则A部分按照默认信息进行获取,默认信息类别依 据具体设备不同而不同。获取信息包括但不限于IP地址、物理MAC、逻辑MAC,还包括内存 序号/类型/大小、CPU序号/类型/大小、硬盘号/类型/大小等,以上信息的获得均是 原始信息,而非应用层程序修改后的逻辑信息,具体获取方式依据具体设备原理和驱动接 口而不同。身份信息获取模块负责本地获取该设备的以上身份信息,由于是本地直接获取, 更加准确。A部分身份信息获取完成后,通过加解密模块加密处理,交由协议处理模块发出, 将获取的身份信息送达B部分以进行登记、记录,以便随时。
14、调出对比,以分析网络中各种身 份是否符合。 0013 B部分由协议处理模块、身份信息存取模块、加解密模块、指令管理模块组成,如图 3所示。 说 明 书CN 102427462 A CN 102427471 A 3/5页 5 0014 指令管理模块用于接受网络管理者设定相关参数,进行读取识别。加解密模块对 A、B部分之间的通信内容进行加解密处理,防止被截获、破坏。身份信息存取模块负责将收 到的A部分送来的各种身份信息值进行存储或给出身份核验结论。协议处理模块负责以网 络数据通信的方式完成A、B间交互数据的传输。 0015 本发明的技术方案带来的有益效果是: 0016 身份信息获取在身份主体本身进。
15、行,位置准确,通过底层的深度信息获取,以其原 始身份进行登记,而不是采用逻辑身份。由于可采集的身份信息种类可以适当调整,就保证 了信息内容的完整乃至唯一,通过对身份信息的集合进行整体的识别登记,达到类似人类 基因组的类似效果,大幅提高了准确度、降低了重合概率,保证了身份管理的精准。 附图说明 0017 图1是本发明所述身份信息包含的内容; 0018 图2是本发明所述A部分的组成; 0019 图3是本发明所述B部分的组成; 0020 图4是本发明所述方法的处理流程图; 具体实施方式 0021 下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。 0022 本发明采用以下技术方案。
16、:通过运行于网络设备或终端上的指定程序获取设备的 身份信息,身份信息包括IP地址、物理MAC等,并将这些信息通过加密的私有协议传输到登 记管理端,以防止信息被修改,管理端运行的系统可以是开放式系统也可以是专用嵌入系 统设备。在较高的安全要求下,管理端须为嵌入式专用设备,这样对于身份信息的保存安全 程度更高。本发明采用的基因式身份登记特征主要表现在:1、信息获取需要在身份主体上 直接本地获取,而不是间接的通过接收数据包,在数据包中的相应数据位提取获取。2、获取 的网络身份信息不限于用于网络实别的IP、MAC,而是包含了其它信息如CPU号、硬盘号等, 多重信息的组合作为网络成员身份的识别更加精准,。
17、提高了身份管理的准确度。 0023 采用此的身份识别和管理后,使得网络成员的细微身份改变都会得到及时的发 现,并且这种发现是基于设备本身物理属性的,而不是基于该设备逻辑信息,也不是基于发 出的数据包中的相关信息的。这样杜绝了通过伪造网络数据包中的IP、MAC信息实现伪造 其它设备身份,躲避或干扰基于身份的网络控制和管理的问题。 0024 本技术方案的根本出发点为通过位于网络设备上的程序直接获得物理MAC、CPU 号、硬盘号等身份信息进行组合,以此作为其身份认定的方法。任何身份信息的改变都会影 响其身份的认定,从而实现了对网络设备身份的精准管理。解决了现有方式下网络身份容 易更改、容易模仿而不可。
18、发现的问题,使得基于此方法的身份管理为基础的各种管理控制 达到真正准确高效,加强了网络使用的安全和管理。本技术方案的核心要点为:第一,不使 用标准网络协议中的信息位中存储的信息作为身份判断依据;第二,使用通过运行于终端 本身的程序获取其物理MAC作为重要身份信息之一;第三,增加非网络信息要素作为身份 信息集,如CPU号、硬盘号等;第四,通过私有加密协议封装以上信息内容传送并将其存储 记录下来,作为身份判断的依据; 说 明 书CN 102427462 A CN 102427471 A 4/5页 6 0025 如图4,本发明的具体步骤为: 0026 1.A部分程序的部署;本发明进行身份确认的重要依。
19、据就是在网络设备和终端本 身上进行身份信息的获取,这就要求具有该功能的A部分需要安装部署在网络中的设备 上,部署方式有两种。一种是通过嵌入式预安装,直接在设备出厂时即按照标准将其内至于 设备中,此种方式需要和特定设备生产厂家进行预先的接口商定、标准制定,以保证A部分 程序准确、稳定的安装并运行于这些设备上。另一种是通过强制提示进行安装,具体可通过 行政制度和技术手段两种方式,目的是将A部分程序运行于接入到网络中、需要进行准确 身份识别的设备上。 0027 2.系统启动后的身份信息采集;完成1中的部署后,A部分程序运行,根据特定系 统接口和驱动进行预置网络身份的获取,例如IP地址,物理MAC。此。
20、时获取的身份信息由A 部分预置的参数决定。 0028 3.网络连接后的管理端探寻;当设备连接的网络接口有物理信号后,A部分开始 通过预定协议进行对B部分(管理端)的探寻,主要是通过协议发现并和B部分建立联络 (A、B两部分即可以是同一设备上的两个模块,也可以是位于网络中的两个独立节点),以 便将A部分获取的身份信息存储于B部分或是通过B部分已存储信息进行比对,验证A部 分身份是否正确,是否有变动; 0029 4.管理端连通后的标示确定、密钥协商;当A、B部分建立通信,并进行密钥协商, 以保证传输数据的加解密。同时进行身份信息获取的验证、补充,也就是B部分会根据A 部分的设备的性质、特点,对其获。
21、取的默认身份信息项目进行调整,以更适用于当前身份管 理。同时进行A部分标示的商定,主要是通过该标示明确A的唯一索引,保证A、B间身份信 息存储、核验时的数据索引唯一。 0030 5.当前身份信息的数据加密输出;A部分根据同B部分的协商,对应获取的身份信 息进行调整,补充获取,然后将这些信息加密,将其发送出去,目的是让B部分准确获得,以 进行后期操作。 0031 6.当前身份信息的接受,提取,处理,得出结果并加密反馈,完成身份检查;B部 分对接受的身份信息进行提取,并根据索引进行登记记录或者比对核验,将身份核验结果 (是否存在问题)发给A,由A获得结果。这样,一次身份核验的过程即告完成。 003。
22、2 对于以上身份信息获取和登记过程中每一步骤的异常,须均由该部分进行记录, 以便进行事件回溯。 0033 下面对本发明的以上过程作进一步的说明:以上过程只是一次身份核验的完整过 程,为了保证身份信息的事实同步,可以通过其它技术手段进行商定:如通过心跳的方式, 由A部分每隔一定时间进行一次如上过程,或是由A部分所在设备对应身份信息发生变等 异常出现触发以上过程;也可由B部分发出指令,触发A部分重复以上过程。本发明的核心 在于通过A部分驻留于设备本地,进行多种身份信息的本地获取,并在第三方进行登记。多 种身份如IP地址、物理MAC、内存序号/类型/大小、CPU序号/类型/大小、硬盘号/类型 /大小。
23、等身份这些作为网络中设备和终端的“身份基因”,通过多种以上信息的组合,实现唯 一确定网络设备身份的“基因组”,从而实现了对网络中设备和终端身份的“基因式”检查。 0034 这里需要特别说明的是,在以上身份信息中,很多都是被网络和行业标准定义为 唯一的,如物理MAC、CPU序号、硬盘序号、内存序号;也有一部分不是唯一的,如内存大小、 说 明 书CN 102427462 A CN 102427471 A 5/5页 7 CPU大小、IP地址、逻辑MAC;采用以上信息的组合作为身份识别验证的“基因组”,更是进一 步做到了准确唯一、真实可靠。 0035 以上便是基因式网络身份识别核验管理的方法流程,对于。
24、本方案的关键部分,身 份信息的获取直接从对应设备主体直接进行和多种身份信息同时获取整体作为身份识别 依据。 0036 本发明的处理过程完整流程为图4:A部分部署启动、信息采集管理端 探寻密钥协商身份信息加密输出提取处理加密反馈。由于以上过程实现了身 份信息要素本地获取,信息整体组合作为依据,第三方登记的方法实现了对网络中设备和 终端的身份精准提取、识别,起到了较大程度上减少和避免网络身份误认、伪造进一步影响 网络安全管理的问题。 0037 这样,采用网络设备和终端本身获取的多种身份信息,组合进行身份标识确认的 方法较好的解决了传统方式仅通过网络协议标志位获取身份信息,获取途径偏差、获取信 息少。
25、、容易偏差、伪造的问题,具有信息获取源准确,信息组集合唯一性强的特征。 0038 本发明的优点是: 0039 1.身份信息获取的位置准确,直接由运行于身份主体上的程序直接读取其物理身 份(此项需要身份主体设备或系统的厂家提供标准程序接口,依据标准获得)。 0040 2.身份信息获取的组合唯一性强,本发明提取了身份主体多项唯一身份参数和部 分非唯一参数组合而成,进一步提高了身份信息的唯一性、准确性。 0041 3.身份信息保存的位置安全,可靠,由于本发明设计的身份信息经由私有加密协 议传出,并经第三方加密保存,故安全性高,不会因单方面收到安全攻击而导致身份信息的 篡改。 0042 以上所述的实施例,只是本发明较优选的具体实施方式,本领域的技术人员在本 发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。 说 明 书CN 102427462 A CN 102427471 A 1/3页 8 图1 说 明 书 附 图CN 102427462 A CN 102427471 A 2/3页 9 图2 图3 说 明 书 附 图CN 102427462 A CN 102427471 A 3/3页 10 图4 说 明 书 附 图CN 102427462 A 。