CN104901930A - 一种基于cpk标识认证的可追溯网络行为管理方法 - Google Patents
一种基于cpk标识认证的可追溯网络行为管理方法 Download PDFInfo
- Publication number
- CN104901930A CN104901930A CN201410159272.6A CN201410159272A CN104901930A CN 104901930 A CN104901930 A CN 104901930A CN 201410159272 A CN201410159272 A CN 201410159272A CN 104901930 A CN104901930 A CN 104901930A
- Authority
- CN
- China
- Prior art keywords
- cpk
- network
- equipment
- surfing
- net
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明提供了一种基于CPK标识认证的可追溯网络行为管理方法,涉及互联网上网行为管理和CPK标识认证领域,系统由支持CPK标识认证的上网设备、网络接入控制器和上网行为管理设备三部分组成。该方法包括,上网设备发出包含人员CPK标识信息的上网认证请求,网络接入控制器接收到此上网认证请求后校验其中的CPK标识,如果校验没通过,则拒绝这个人员的上网接入;如果校验通过,网络接入控制器会将此人员的CPK标识和发出此认证请求的上网设备特征码进行绑定。这样,当位于互联网出口端的上网行为管理设备记录其上网行为时,就可以追溯到上网人员的网络行为了。本发明实施例用于网络用户行为可管理可追溯的应用环境。
Description
技术领域
本发明实施例涉及互联网上网行为管理,尤其涉及一种基于CPK标识认证的可追溯网络行为管理方法。
背景技术
随着公众对互联网安全性认识的提高以及互联网对社会影响的越来越大,现在许多公司或者企事业单位对各自的网络管理都提出了更高的要求,从一般要求的屏蔽非法网站、简单记录某些上网设备的上网行为,慢慢地过渡到阻止非法人员接入网络、规范并约束授权人员的上网行为,同时还要能提供内部员工移动互连办公的便利。
发明内容
本发明实施例提供一种基于CPK标识认证的可追溯网络行为管理方法,用以解决现有技术中存在的问题。
本发明实施例提供了一种可追溯网络行为管理的方法,包括:
支持CPK标识认证的上网设备发出包含上网人员CPK标识信息的接入认证请求给网络接入控制器:
网络接入控制器接收到包含某人员CPK标识信息的接入认证请求后,校验其CPK标识是否有效,如果无效则拒绝其接入网络,如果有效,网络接入控制器则绑定此上网设备特征码和此入员的CPK标识,并记录具接入网络的起止时间;
位于互联网出口端的上网行为管理设备基于上网设备特征码,记录下所有上网设备的上网行为。
本发明实施例还提供了一种网络接入控制器,包括:
标识校验单元,完成接入认证请求中的上网人员CPK标识校验,如果校验通过,则允许此上网入员接入网络;
特征码绑定单元,完成上网人员CPK标识与上网设备特征码的绑定,利用CPK体制具有的安全性和不可抵赖性,在网络世界中实现上网人员和上网设备的逐一绑定;
接入时间统计单元,完成上网人员接入网络时间的统计,以便更好地为网络管理人员提供规范、管理上网行为的数据。
本发明实施例提供的基于CPK标识认证的可追溯网络行为管理方法,让网络管理的对象从上网设备升级为上网人员,实现了网络世界中对上网人员行为的规范和可追溯;同时,这种网络管理方法没有把人员局限在某台特定的上网设备,而是只要有合法并授权的CPK Key,那么这个人员就能够在网络接入控制器所覆盖范围内的任何一台上网设备上接入网络,更有利于人员的移动互联办公
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于CPK标识认证的可追溯网络行为管理方法的工作流程示意图;
图2为本发明一个实施例提供的互联网组网的网络拓扑示意图;
图3为使用标准网络设备进行互联网组网的网络拓扑示意图;
图4为本发明一个实施例提供的网络接入控制器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明一个实施例提供的基于CPK标识认证的可追溯网络行为管理方法的工作流程示意图,如图1所示,该方法包括:
步骤101,支持CPK标识认证的上网设备发出包含上网人员CPK标识信息的接入认证请求给网络接入控制器。
这种支持CPK标识认证的上网设备是在目前标准的上网设备中,集成了CPK标识认证功能,使得其发送给网络接入控制器的接入认证请求包含了相应的上网人员CPK标识的装置;这种上网设备可以是WiFi等无线上网设备,也可以是以太网等有线上网设备。
步骤102,网络接入控制器接收到包含某人员CPK标识信息的接入认证请求后,校验其CPK标识是否有效,如果无效则拒绝其接入网络;如果有效,则允许其接入网络。
步骤103,网络接入控制器允许上网设备接入网络后,完成上网设备特征码和人员CPK标识信息的绑定,并记录其接入网络的起止时间。
这种网络接入控制器适用于WiFi等无线网络,也适用于以太网等有线网络;当含有合法并有效CPK标识的人员接入网络后,网络接入控制器会将上网设备的特征码与此CPK标识绑定,并以CPK标识为依据,记录其何时接入网络和何时断开网络。
步骤104,位于互联网出口端的上网行为管理设备基于上网设备特征码,记录下所有上网设备的上网行为,比如访问过哪些网页、发送邮件的内容、网络即时聊天信息等都能够被上网行为管理设备记录备份并提供给网络管理人员查看。
上网行为管理设备搭配上述的网络接入控制器就可以完整的实现基于CPK标识认证的可追溯网络行为管理,并且这种管理的对象已经从传统的上网设备升级为上网人员。
本发明中涉及的CPK,就是组合公钥体制(Combined Public Key Cryptosystem,简称CPK),是在椭圆曲线密码(ECC)上,由组合矩阵和分割密钥序列构成,是一种先进的标识认证体制。CPK体制具有以下的特点:
特点一、密钥管理采用集中生产分发,分散使用保管的模式,实现了分散应用与集中控制的有机统一,具有可控制、易管理的优点,便于构建自上而下的信任体系,为实施宏观管理奠定了基础;
特点二、用公钥加密数据,用私钥来解密数据;
特点三、用私钥加密数据(数字签名),用公钥来验证数字签名。
图2是一个本发明实施例用于典型互联网组网的网络拓扑示意图,与之对应,图3是一个使用常规标准网络设备进行互联网组网的网络拓扑示意图;两图相比较可以看出,其中最关键的差异在于上网设备和网络接入控制器——本发明实施例用的是整合了CPK标识认证功能的上网设备和网络接入控制器,这两种设备利用了CPK体制的特点对现行标准网络进行了优化,使之用于可追溯的网络行为管理。
本发明实施例提供的上网设备是集成了CPK Key,使得其发送给网络接入控制器的接入认证请求包含了相应上网人员CPK标识的上网设备。
本发明实施例提供的网络接入控制器,如图4所示,包括:
标识校验单元401,完成接入认证请求中的上网人员CPK标识校验,如果校验通过,则允许此上网人员接入网络。
示例性的,当CPK标识为BN的上网人员通过上网设备请求接入网络时,标识校验单元401会去判断目前设备的授权CPK标识表中是否包含BN这个标识,如果包含,则允许其接入网络,如果不包含,则拒绝其接入网络;标识校验单元401可以从物理上断开非授权用户接入网络,这比传统的从逻辑上限制非授权用户网络权限的防范措施更加安全。
特征码绑定单元402,完成上网人员CPK标识与上网设备特征码的绑定,利用CPK体制具有的安全性和不可抵赖性,实现上网人员和上网设备的逐一绑定。
示例性的,当CPK标识为BN的上网人员通过物理MAC地址为14:CF:BC:00:01:14的上网设备接入网络时,特征码绑定单元402则将标识BN和MAC地址14:CF:BC:00:01:14绑定,这样就为实现以上网人员为网络管理对象做了很好的基础铺垫;同时,也为那些具有合法CPK标识的上网人员在网络接入控制器所辖范围内的移动办公创造了条件。
接入时间统计单元403,完成上网人员接入网络时间的统计,以便更好地为网络管理人员提供规范、管理上网行为的数据。
示例性的,当特征码绑定单元402将标识BN和MAC地址14:CF:BC:00:01:14绑定后,接入时间统计单元403则记录标识BN何时接入网络和何时断开网络,为实现上网人员网络行为的可追溯做了铺垫。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因为,本发明的保护范围应以所述权力要求的保护范围为准。
Claims (10)
1.基于CPK标识认证的可追溯网络行为管理方法,其特征步骤包括:
a.支持CPK标识认证的上网设备发出包含上网人员CPK标识信息的接入认证请求给网络接入控制器;
b.网络接入控制器接收到包含某人员CPK标识信息的接入认证请求后,校验其CPK标识是否有效,如果无效则拒绝其接入网络;如果有效,网络接入控制器则绑定此上网设备特征码和此人员的CPK标识,并记录其接入网络的起止时间;
c.位于互联网出口端的上网行为管理设备基于上网设备特征码,记录下所有上网设备的上网行为。
2.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:上述中的CPK,就是组合公钥体制(Combined Public Key Cryptosystem,简称CPK),是在椭圆曲线密码(ECC)上,由组合矩阵和分割密钥序列构成,是一种先进的标识认证体制。
3.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:步骤a中所述的支持CPK标识认证的上网设备是指能够识别CPK Key,并能将CPK标识在接入认证请求信息中发送给上网接入控制器的上网设备;这种上网设备可以是基于以太网等有线互连技术的上网设备,也可以基于WiFi等无线互连技术的上网设备。
4.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:步骤a中所述的上网人员CPK标识信息是指用CPK Key中私钥对上网人员的特征码进行数字签名后的数据;这种上网人员的特征码包括但不局限于上网人员姓名拼写、上网人员工号或上网人员CPK Key的标识。
5.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:步骤b中所述的网络接入控制器是指收到上网设备的接入认证请求后,能够校验其中CPK标识信息是否有效的设备;而且网络接入控制器中的有效CPK标识是可以配置修改的。
6.这种网络接入控制器,其特征在于,包括:
标识校验单元,完成接入认证请求中的上网人员CPK标识校验,如果校验通过,则允许此上网人员接入网络;
特征码绑定单元,完成上网人员CPK标识与上网设备特征码的绑定,利用CPK体制具有的安全性和不可抵赖性,在网络世界中实现上网人员和上网设备的逐一绑定;
接入时间统计单元,完成上网人员接入网络时间的统计,以便更好地为网络管理人员提供规范、管理上网行为的数据。
7.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:步骤b和c中所述的上网设备特征码包括但不局限于物理MAC地址、IP地址或上网设备序列号。
8.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:步骤c中所述的上网行为管理设备可以基于上网设备特征码(如物理MAC地址)记录下人员的具体上网行为;比如访问过哪些网页、发送邮件的内容、网络即时聊天信息等。
9.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:这种网络管理方法没有把人员局限在某台特定的上网设备,而是只要有合法并授权的CPK Key,那么这个人员就能够在整个单位网络覆盖范围内的任何一台上网设备上接入网络,更有利于人员的移动互联办公。
10.如权利要求1所述的基于CPK标识认证的可追溯网络行为管理方法,其特征为:让网络管理的对象从上网设备升级为上网人员,实现了网络世界中对上网人员网络行为的规范和可追溯。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410159272.6A CN104901930A (zh) | 2014-04-21 | 2014-04-21 | 一种基于cpk标识认证的可追溯网络行为管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410159272.6A CN104901930A (zh) | 2014-04-21 | 2014-04-21 | 一种基于cpk标识认证的可追溯网络行为管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104901930A true CN104901930A (zh) | 2015-09-09 |
Family
ID=54034329
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410159272.6A Pending CN104901930A (zh) | 2014-04-21 | 2014-04-21 | 一种基于cpk标识认证的可追溯网络行为管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104901930A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110611685A (zh) * | 2019-10-30 | 2019-12-24 | 南宁市指搜信息技术有限公司 | 基于智能设备监测和用户身份识别的互联网站点登录系统 |
| CN110830237A (zh) * | 2019-11-29 | 2020-02-21 | 晋商博创(北京)科技有限公司 | 基于时刻的cpk密钥生成方法、装置、实体及密钥中心 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050135268A1 (en) * | 2003-12-17 | 2005-06-23 | Simon Daniel R. | Mesh networks with end device recognition |
| US20060137025A1 (en) * | 2004-12-17 | 2006-06-22 | Canon Europa Nv | Method for restriction of access to at least one content, computer program product and corresponding receiver device |
| CN1859091A (zh) * | 2006-06-06 | 2006-11-08 | 南相浩 | 一种基于cpk的可信连接安全认证系统和方法 |
| CN1996902A (zh) * | 2006-06-30 | 2007-07-11 | 深圳市中科新业信息科技发展有限公司 | 访问网络的实名制系统和方法 |
| CN101009558A (zh) * | 2006-12-31 | 2007-08-01 | 深圳市中科新业信息科技发展有限公司 | 网络接入的实名制系统及方法 |
| CN101034983A (zh) * | 2006-12-31 | 2007-09-12 | 深圳市中科新业信息科技发展有限公司 | 一种对网络接入用户实现上网实名的系统及其方法 |
| CN101340282A (zh) * | 2008-05-28 | 2009-01-07 | 北京易恒信认证科技有限公司 | 复合公钥的生成方法 |
| CN101350721A (zh) * | 2007-07-20 | 2009-01-21 | 华为技术有限公司 | 一种网络系统、网络接入方法及网络设备 |
| CN101583937A (zh) * | 2005-05-11 | 2009-11-18 | 菲瓦技术股份有限公司 | 发展与网络接入点的用户关系 |
| US20100040371A1 (en) * | 2007-07-13 | 2010-02-18 | Huawei Technologies Co., Ltd. | Method, equipment, and system for detecting and authenticating terminal in passive optical network |
| CN101958796A (zh) * | 2010-09-27 | 2011-01-26 | 北京联合智华微电子科技有限公司 | 一种支持匿名认证的密钥装置及其生成方法和解锁方法 |
| CN101989984A (zh) * | 2010-08-24 | 2011-03-23 | 北京易恒信认证科技有限公司 | 电子文件安全共享系统及方法 |
| CN102006588A (zh) * | 2010-12-28 | 2011-04-06 | 北京安天电子设备有限公司 | 智能手机网络行为监控的方法和系统 |
| CN102752288A (zh) * | 2012-06-06 | 2012-10-24 | 华为技术有限公司 | 网络访问行为识别方法和装置 |
-
2014
- 2014-04-21 CN CN201410159272.6A patent/CN104901930A/zh active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050135268A1 (en) * | 2003-12-17 | 2005-06-23 | Simon Daniel R. | Mesh networks with end device recognition |
| US20060137025A1 (en) * | 2004-12-17 | 2006-06-22 | Canon Europa Nv | Method for restriction of access to at least one content, computer program product and corresponding receiver device |
| CN101583937A (zh) * | 2005-05-11 | 2009-11-18 | 菲瓦技术股份有限公司 | 发展与网络接入点的用户关系 |
| CN1859091A (zh) * | 2006-06-06 | 2006-11-08 | 南相浩 | 一种基于cpk的可信连接安全认证系统和方法 |
| CN1996902A (zh) * | 2006-06-30 | 2007-07-11 | 深圳市中科新业信息科技发展有限公司 | 访问网络的实名制系统和方法 |
| CN101009558A (zh) * | 2006-12-31 | 2007-08-01 | 深圳市中科新业信息科技发展有限公司 | 网络接入的实名制系统及方法 |
| CN101034983A (zh) * | 2006-12-31 | 2007-09-12 | 深圳市中科新业信息科技发展有限公司 | 一种对网络接入用户实现上网实名的系统及其方法 |
| US20100040371A1 (en) * | 2007-07-13 | 2010-02-18 | Huawei Technologies Co., Ltd. | Method, equipment, and system for detecting and authenticating terminal in passive optical network |
| CN101350721A (zh) * | 2007-07-20 | 2009-01-21 | 华为技术有限公司 | 一种网络系统、网络接入方法及网络设备 |
| CN101340282A (zh) * | 2008-05-28 | 2009-01-07 | 北京易恒信认证科技有限公司 | 复合公钥的生成方法 |
| CN101989984A (zh) * | 2010-08-24 | 2011-03-23 | 北京易恒信认证科技有限公司 | 电子文件安全共享系统及方法 |
| CN101958796A (zh) * | 2010-09-27 | 2011-01-26 | 北京联合智华微电子科技有限公司 | 一种支持匿名认证的密钥装置及其生成方法和解锁方法 |
| CN102006588A (zh) * | 2010-12-28 | 2011-04-06 | 北京安天电子设备有限公司 | 智能手机网络行为监控的方法和系统 |
| CN102752288A (zh) * | 2012-06-06 | 2012-10-24 | 华为技术有限公司 | 网络访问行为识别方法和装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110611685A (zh) * | 2019-10-30 | 2019-12-24 | 南宁市指搜信息技术有限公司 | 基于智能设备监测和用户身份识别的互联网站点登录系统 |
| CN110611685B (zh) * | 2019-10-30 | 2021-11-30 | 南宁市指搜信息技术有限公司 | 基于智能设备监测和用户身份识别的互联网站点登录系统 |
| CN110830237A (zh) * | 2019-11-29 | 2020-02-21 | 晋商博创(北京)科技有限公司 | 基于时刻的cpk密钥生成方法、装置、实体及密钥中心 |
| CN110830237B (zh) * | 2019-11-29 | 2023-05-12 | 晋商博创(北京)科技有限公司 | 基于时刻的cpk密钥生成方法、装置、实体及密钥中心 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105723648B (zh) | 一种密钥配置方法、系统和装置 | |
| CN103997733B (zh) | 一种WiFi接入资源分享方法与系统 | |
| CN107209659A (zh) | 移动虚拟网络中的移动认证 | |
| CN102682506A (zh) | 基于对称密码技术的智能蓝牙门禁控制方法及装置 | |
| CN101783800B (zh) | 一种嵌入式系统安全通信方法、装置及系统 | |
| CN108512862A (zh) | 基于无证书标识认证技术的物联网终端安全认证管控平台 | |
| CN101803331A (zh) | 用于以安全的方式来访问设备的方法和系统 | |
| CN103746983A (zh) | 一种接入认证方法及认证服务器 | |
| CN104202308A (zh) | Wi-Fi物联网系统的安全的批量配置实现方法 | |
| CN105471897A (zh) | 一种嵌入式设备云服务接入方法及系统 | |
| CN101406021A (zh) | 基于sim的认证 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN105487517B (zh) | 一种家居wifi网络系统的自动组网方法 | |
| CN103095861A (zh) | 确定设备是否处于网络内部 | |
| CN103428211A (zh) | 基于交换机的网络认证系统及其认证方法 | |
| JP5041257B2 (ja) | フィールド通信システムおよびフィールド通信方法 | |
| CN105262773A (zh) | 一种物联网系统的验证方法及装置 | |
| CN106101054A (zh) | 一种多系统的单点登录方法和集中管控系统 | |
| CN104219626B (zh) | 一种身份认证的方法和装置 | |
| CN104410641A (zh) | 一种pos终端安全受控的联网激活方法及装置 | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| CN105792095A (zh) | 用于mtc分组通信的密钥协商方法、系统及网络实体 | |
| CN102377731A (zh) | 虚拟专用网络系统及其网络装置 | |
| CN104902470B (zh) | 一种基于动态密钥的无线热点的接入控制方法及系统 | |
| CN102685144A (zh) | 一种基于家庭网关的云安全处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160621 Address after: 610041 Sichuan city of Chengdu province Gaopeng Road No. 12 Building 1 No. 207 Applicant after: Chengdu Teng Yi Marketing Data Services Ltd Address before: High tech Zone Gaopeng road in Chengdu city of Sichuan province 610000 No. 12 A block 207 Applicant before: Meng Jun Applicant before: Chen Qian |
|
| DD01 | Delivery of document by public notice |
Addressee: Chengdu Teng Yi Marketing Data Services Ltd Document name: Notification that Application Deemed to be Withdrawn |
|
| DD01 | Delivery of document by public notice | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150909 |
|
| WD01 | Invention patent application deemed withdrawn after publication |