[发明专利]一种通过深度识别并登记的“基因式网络身份管理”方法

说明书

技术领域

本发明属于信息安全领域，具体涉及一种通过对接入到网络中的设备或终端进行身份识别并进行登记，进行精准身份识别，以这种精准身份识别为基础进行网络安全和管理，可以大幅提升网络安全管理等级。

背景技术

IP是英文Internet Protocol(网际协议)的缩写，也就是为计算机网络相互连接进行通信而设计的协议。在因特网中，它是能使连接到网上的所有计算机网络实现相互通信的一套规则，规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统，只要遵守IP协议就可以与因特网互连互通。

IP地址就是给每个连接在Internet上的主机分配的一个32bit地址。IP协议属TCP/IP协议族，是TCP/IP协议族中最为核心的协议，所有的TCP、UDP、ICMP、及IGMP数据都以IP数据报格式传输。TCP/IP(Transmission Control Protocol/Internet Protocol)的简写，中文译名为传输控制协议/因特网互联协议，又叫网络通讯协议，这个协议是Internet最基本的协议、Internet国际互联网络的基础，TCP/IP协议分为四层，依次是链路层、网络层、传输层、应用层，IP协议属于网络层。

按照TCP/IP协议规定，IP地址用二进制来表示，每个IP地址长32bit，比特换算成字节，就是4个字节。Internet上的每台主机(Host)都有一个唯一的IP地址。IP协议就是使用这个地址在主机之间传递信息，这是Internet能够运行的基础。IP地址的长度为32位，分为4段，每段8位，用十进制数字表示，每段数字范围为0～255，段与段之间用句点隔开。例如159.226.1.1。IP地址有两部分组成，一部分为网络地址，另一部分为主机地址。IP地址分为A、B、C、D、E5类。常用的是B和C两类。

目前对于连接于网络中的网络设备和终端设备的身份识别是通过IP、MAC地址进行的。这种识别方式是最为普通，也是最为广泛、最简单的身份识别方式，很多防火墙、行为管理、IDS、IPS、路由器、交换机和软件产品的安全和管理均是通过对数据包中得IP和MAC地址进行读取，通过IP、MAC匹配的方式进行身份识别、确定，然后进行相应的管理策略和数据处理。

MAC(Medium/MediaAccess Control，介质访问控制)MAC地址是烧录在(网卡，NIC)里的。MAC地址，也叫硬件地址，是由48比特/bit长(6字节/byte，1byte＝8bits)，16进制的数字组成.0-23位叫做组织唯一标志符(organizationally unique，是识别LAN(局域网)节点的标识.24-47位是由厂家自己分配。其中第40位是组播地址标志位。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片，通常可以通过程序擦写)，它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。

也就是说，在网络底层的物理传输过程中，是通过物理地址来识别主机和传输数据的，其中MAC是全球唯一的。比如以太网卡，其物理地址是48bit(比特位)的整数，如：44-45-53-54-00-00，以机器可读的方式存入主机接口中。以太网地址管理机构(除了管这个外还管别的)(IEEE)(IEEE：电气和电子工程师协会)将以太网地址，也就是48比特的不同组合，分为若干独立的连续地址组，生产以太网网卡的厂家就购买其中一组，具体生产时，逐个将唯一地址赋予以太网卡。形象的说，MAC地址就如同我们身份证上的身份证号码，具有全球唯一性。

在正常的情况下，由相应MAC地址的网卡发布出来的数据包其源MAC填充位是该网卡的物理MAC，这样通过分析数据包中源MAC地址可以确定数据来源的准确身份。但在实际中由于数据包可以由基于网卡驱动的上层应用程序构造发出，这样数据包中的源MAC填充位的内容并不是只有网卡可以操作，其它应用程序和软件可以随意填充。特别是网络设备管理接口和终端设备系统都提供了对MAC和IP地址的修改功能，这就使得通过IP、MAC修改达到改变身份脱离相应管理规则的目标得以较容易的实现，导致了通过数据包源MAC进行身份识别具有很大的不确定性、准确性差。

要实现网络中设备和终端的管理控制，身份的准确识别是基础，而现有的方式已经不能满足对于身份的准确识别和控制，带来了很多安全和管理问题。

发明内容