CN105978879A - 网络通道安全管理系统 - Google Patents
网络通道安全管理系统 Download PDFInfo
- Publication number
- CN105978879A CN105978879A CN201610311980.6A CN201610311980A CN105978879A CN 105978879 A CN105978879 A CN 105978879A CN 201610311980 A CN201610311980 A CN 201610311980A CN 105978879 A CN105978879 A CN 105978879A
- Authority
- CN
- China
- Prior art keywords
- subscriber equipment
- unit
- network
- channel allocation
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络通道安全管理系统。主要包括:数据采集单元、身份认证单元、网络通道分配单元和用户管理单元;数据采集单元采集用户设备的身份信息,身份认证单元对用户设备的身份信息进行认证,在认证通过后,向用户管理单元请求用户设备的网络通道分配策略,并将用户管理单元返回的网络通道分配策略传给网络通道分配单元;用户管理单元根据预先设定的用户设备的级别信息和网络行为记录数据确定用户设备的网络通道分配策略,网络通道分配单元按照给定的网络通道分配策略,给用户设备分配具体网络通道。本发明不需要更改用户设备,避免了用户设备重复以用户名+密码的方式认证,简化了用户设备的操作,有效地防止了用户设备的非法接入。
Description
技术领域
本发明涉及网络安全管理技术领域,尤其涉及一种网络通道安全管理系统。
背景技术
根据现有法律法规,如《计算机网络国际联网出入口信道办法》,网络通道在为企事业单位和个人用户提供网络服务的时,必须经过严格的审查。同时,随着企事业单位数据业务的不断拓展、用户获取国际互联网资源的需求日益增大,使用安全可靠的国际网络通道与海外部门进行网络通讯成为一种迫切需求。
现有的企业网络安全管理办法主要是在保证企业内部网络通讯顺畅的同时,防止恶意入侵、资料泄露,对用户行为进行安全管理,实施网站的访问控制,禁止其访问某些网站等等。目前的网络安全监管多侧重于防入侵,而对用户上传恶意代码、检索不良内容没有更好的监管。与此同时,传统的网站访问控制也有很大局限性,一方面在面对数量巨大的网站时,其监管作用有限;另一方面它不能自动区分不同的用户,并对不同用户实施灵活的管理;再者用户接入时需要更改客户端安装软件来进行认证和服务器远程安全接入,例如VPN(Virtual Private Network,虚拟专用网络)需要安装客户端软件,或者重复以输入用户名和密码的方式认证,操作过程较为繁琐。
因此,构建一套完备、精准、高效的网络安全监管系统来解决当前的网络安全问题迫在眉睫。
现有技术中的一种企业内网访问管理系统包括终端浏览器和控制台,所述终端浏览器包括网页请求拦截模块;网址信息发送模块;判断处理模块;所述控制台包括:比较判断模块,用于根据网址信息库判断所述网址信息是否被禁止访问,并返回判断结果至终端浏览器;其中,所述网址信息发送模块包括加密模块,适于将所述网址信息加密;发送模块,用于将所述加密后的网址信息发送至控制控制台;则所述控制台还包括:解密模块,用于根据相应解密方式对终端浏览器发送过来的加密后的网址信息进行解密,获得所述网址信息和用户标识。
上述现有技术中的第一种企业内网访问管理系统的缺点为:网址信息库包括能力有限,可能会遗漏掉某些需要禁止的网址。
该系统只是单纯地限制网页的访问,没有设置用户级别,不能灵活管理用户,对不同级别的用户进行灵活管理。
需要用户安装数字证书软件,或者每次登陆需要用户名+密码认证,比较繁琐。
现有技术中的一种跨互联网对局域网实施统一监控和管理的方案包括:
步骤1:设立若干个集中管理用户设备,该集中管理用户设备实时采集待监控的网络单元的运行状态和性能数据,并对运行状态和性能数据进行解析,根据预设的格式将解析后的信息形成报表;
步骤2:各集中管理用户设备向云端注册,云端将各集中管理用户设备采集的信息形成用户设备报表并存储;
步骤3:云端将接收到的所有报表进行数据处理,并根据预先定制的处理逻辑处理为客户端所需要展现的信息格式;
步骤4:云端接收与其连接的客户端的处理指令,将该处理指令转发至集中管理用户设备,集中管理用户设备解析并处理后,相应结果发送至云端,云端呈现给客户端。
上述现有技术中的跨互联网对局域网实施统一监控和管理的方案的缺点为:
没有网元接入认证策略,不能防止非法接入。
该方案主要侧重于网络故障或者遭受入侵时对网络的处理,在监管网内用户是否访问不良网站或者上传不良内容等方面并未提出可靠方案。
不能主动断开用户接入。
发明内容
本发明的实施例提供了一种网络通道安全管理系统,以实现有效地对用户设备进行身份认证和分配网络通道。
本发明提供了如下方案:
一种网络通道安全管理系统,包括:数据采集单元、身份认证单元、网络通道分配单元和用户管理单元;
所述数据采集单元,用于在用户设备连接网络后,采集所述用户设备的身份信息,将所述用户设备的身份信息发送给身份认证单元和用户管理单元;
所述身份认证单元,用于对所述数据采集单元传输过来的用户设备的身份信息进行认证,在认证通过后,向用户管理单元请求所述用户设备的网络通道分配策略,并将用户管理单元返回的网络通道分配策略传给网络通道分配单元;
所述用户管理单元,用于确定用户角色信息和制定网络通道分配策略管理用户设备的级别信息和网络通道分配策略,接收到请求所述用户设备的网络通道分配策略后,根据预先设定的所述用户设备的级别信息和所述用户设备的网络行为记录数据确定所述用户设备的网络通道分配策略,将该网络通道分配策略发送给身份认证单元;
所述网络通道分配单元,用于管理各种网络通道资源,接收到所述用户设备的网络通道分配策略后,按照给定的网络通道分配策略,给所述用户设备分配所述具体网络通道。
进一步地,所述的系统还包括:深度包检测单元;
所述的数据采集单元,还用于采集用户设备的数据包,并将所述数据包发送给用户管理单元和深度包检测单元;
所述的深度包检测单元,用于承载在网关和管理中心上,对所述数据采集单元传输过来的用户设备的数据包进行深度包检测,检测所述数据包中是否包含违法或者不良内容,检测用户访问的数据是否是合法数据、访问的网站是否是合法网站,根据检测结果获取网络行为记录数据,将所述网络行为记录数据传输给用户管理单元。
进一步地,所述的数据采集单元,用于承载在网关上,采集网关连接的用户设备的身份信息和账户信息,所述身份信息包括MAC地址、CPU序列号和硬盘序列号,所述账户信息包括用户名,将所述用户设备的身份信息和账户信息传输给所述身份认证单元。
进一步地,所述的数据采集单元,用于采用portal认证方式在用户设备的客户端浏览器上弹出web页面,利用浏览器ActiveX插件获得用户设备的MAC地址、CPU序列号和硬盘序列号,以及用户绑定账户时输入的账号和密码;
或者;
从用户设备发送的带有特定标签的数据包中采集用户设备的MAC地址、CPU序列号和硬盘序列号。
进一步地,所述的身份认证单元,用于管理用户身份信息数据库,在所述用户身份信息数据库中关联存储了认证通过的用户设备的标签信息和账户信息,所述标签信息根据用户设备的MAC地址、CPU序列号和硬盘序列号组合得到;
验证所述数据采集单元传输过来的用户设备的身份信息中的MAC地址、CPU序列号和硬盘序列号的合法性,合法性验证通过后,将所述用户设备的MAC地址、CPU序列号和硬盘序列号组合形成所述用户设备的标签,根据所述用户设备的标签查询所述用户身份信息数据库,当查询到同时包含所述用户设备的标签和账户信息的记录后,向所述用户管理单元请求所述用户设备的网络通道分配策略,并将用户管理单元返回的网络通道分配策略传给网络通道分配单元;
当没有查询到包含所述用户设备的标签的记录后,则向所述用户设备返回身份信息绑定页面,接受所述用户设备在所述身份信息绑定页面中输入的用户账户信息,将所述用户设备的标签信息和账户信息关联存储在用户身份信息数据库中,向所述用户管理单元请求所述用户设备的网络通道分配策略,并将用户管理单元返回的网络通道分配策略传给网络通道分配单元。
进一步地,所述的用户管理单元,用于承载在数据中心和管理中心上,所述管理中心用于用户管理,接收所述深度包检测单元发送过来的用户设备的网络行为记录数据,接收所述数据采集单元发送过来的用户设备的数据包,将所述用户设备的网络行为记录数据和数据包发送给数据中心,根据预先设定的所述用户设备的级别信息和所述用户设备的网络行为记录数据确定所述用户设备的网络通道分配策略,将该网络通道分配策略发送给身份认证单元;
所述数据中心用来存储所述管理中心发送过来的用户设备的数据包和网络行为记录数据。
进一步地,所述的用户管理单元,还用于根据所述深度包检测单元传输过来的用户设备的网络行为记录数据,调整所述用户设备的账户的级别信息,更新所述用户设备的网络通道分配策略,并将更新后的用户设备的网络通道分配策略发送给所述网络通道分配单元,以使得所述网络通道分配单元根据更新后的所述用户设备的网络通道分配策略重新给所述用户设备分配网络通道。
进一步地,所述的用户管理单元,还用于根据用户设备的网络行为记录数据设置基于用户设备的账户级别信息的网络通道分配策略,该网络通道分配策略包括:对于级别相对低的用户设备,分配带宽相对小的网络通道;对于级别相对高的用户设备,分配带宽相对大的网络通道;当用户设备发送的数据包中包含违法或者不良内容时,发送丢弃所述用户设备的数据包或者停止所述用户设备的网卡工作的控制指令。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例不需要更改用户设备,避免了用户设备重复以用户名+密码的方式认证,极大地简化了用户设备的操作。本发明采取MAC地址、CPU序列号和硬盘序列号的三重组合认证,有效地防止了用户设备的非法接入,相对于只以MAC地址认证的方式更加可靠。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络通道安全管理系统的结构示意图;
图2为本发明实施例提供的一种数据采集单元的工作原理示意图;
图3为本发明实施例提供的一种身份认证单元的工作原理示意图;
图4为本发明实施例提供的一种tag的拼接形式示意图;
图5为本发明实施例提供的一种网络通道分配单元给用户设备分配网络通道的示意图;
图6为本发明实施例提供的一种网络通道的管理方法的处理流程图。
具体实施方式
下面详细描述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
本发明实施例提供了一种网络通道安全管理系统,用于解决传统网络通道安全管理中遇到的诸如网站访问限制的局限性、用户认证繁琐、无法针对不同的用户采取不同策略、未对上传网络数据包进行安全监控等问题。
本发明实施例提供的网络通道安全管理系统的结构示意图如图1所示,包括数据采集单元、身份认证单元、网络通道分配单元、深度包检测单元、用户管理单元五个单元。各单元模块相互通信协作,共同完成网络通道的安全管理。
所述数据采集单元,用于在用户设备连接网络后,采集所述用户设备的身份信息和数据包,并将用户设备的身份信息和数据包发送给用户管理单元、身份认证单元和深度包检测单元;
所述身份认证单元,用于对所述数据采集单元传输过来的用户设备的身份信息进行认证,在认证通过后,向用户管理单元请求所述用户设备的网络通道分配策略,并将用户管理单元返回的网络通道分配策略传给网络通道分配单元;
所述用户管理单元,用于确定用户角色信息和制定网络通道分配策略管理用户设备的级别信息和网络通道分配策略,接收到请求所述用户设备的网络通道分配策略后,根据预先设定的所述用户设备的级别信息和所述用户设备的网络行为记录数据确定所述用户设备的网络通道分配策略,将该网络通道分配策略发送给身份认证单元;
所述网络通道分配单元,用于管理各种网络通道资源,接收到所述用户设备的网络通道分配策略后,按照给定的网络通道分配策略,给所述用户设备分配所述具体网络通道。
所述的深度包检测单元,用于承载在网关和管理中心上,对所述数据采集单元传输过来的用户设备的数据包进行深度包检测,检测所述数据包中是否包含违法或者不良内容,检测用户访问的数据是否是合法数据、访问的网站是否是合法网站,根据检测结果获取网络行为记录数据,将所述网络行为记录数据传输给用户管理单元。
深度包检测单元用于检测数据采集采集的用户上网数据包的合法性,当检测到不良数据包时通过用户管理对具有不良行为的用户实施网络限制。
下面详细介绍各个单元的功能:
(1)数据采集单元
本发明实施例提供的一种数据采集单元的工作原理示意图如图2所示,数据采集单元承载在网关上,用于承载在网关上,采集网关连接的用户设备的身份信息、数据包和账户信息,所述身份信息包括MAC(Media AccessControl,媒体访问控制)地址、CPU序列号和硬盘序列号,所述账户信息包括用户名,将所述用户设备的身份信息和账户信息传输给所述身份认证单元,并将用户设备的身份信息、账户信息和数据包发送给用户管理单元和深度包检测单元。
所述的数据采集单元,用于采用portal认证方式在用户设备的客户端浏览器上弹出web页面,利用浏览器ActiveX插件获得用户设备的MAC地址、CPU序列号和硬盘序列号,以及用户绑定账户时输入的账号和密码;
或者;
从用户设备发送的带有特定标签的数据包中采集用户设备的MAC地址、CPU序列号和硬盘序列号。
数据采集单元还根据用户管理单元的控制指令对数据包进行丢弃等处理,甚至停止其网卡工作,并返回给用户一个警告通知。
(2)身份认证单元
本发明实施例提供的一种身份认证单元的工作原理示意图如图3所示,所述的身份认证单元,用于承载在认证服务器中,管理用户身份信息数据库,在所述用户身份信息数据库中关联存储了验证通过的用户设备的标签信息和账户信息,所述标签信息根据用户设备的MAC地址、CPU序列号和硬盘序列号组合得到;
验证所述数据采集单元传输过来的用户设备的身份信息中的MAC地址、CPU序列号和硬盘序列号的合法性,合法性验证通过后,将所述用户设备的MAC地址、CPU序列号和硬盘序列号组合形成所述用户设备的标签(tag)。Tag为IP数据报的可选字段,具体可将其码字转换为二进制码简单拼接作为tag,也可以采用哈希值的方法,计算出拼接后的序列的哈希值作为tag,其长度固定并且独一无二,从而固定tag的长度。图4为一种tag的拼接形式示意图,拼接顺序可互换。
根据所述用户设备的标签和账户信息查询所述用户身份信息数据库,当查询到同时包含所述用户设备的标签和账户信息的记录后,向用户管理单元请求所述用户设备的网络通道分配策略,并将用户管理单元返回的网络通道分配策略传给网络通道分配单元;
当没有查询到包含所述用户设备的标签的记录后,则向所述用户设备返回身份信息绑定页面,接受所述用户设备在所述身份信息绑定页面中输入的用户账户信息,将所述用户设备的标签信息和账户信息关联存储在用户身份信息数据库中,向所述用户管理单元请求所述用户设备的网络通道分配策略,并将用户管理单元返回的网络通道分配策略传给网络通道分配单元。由网络通道分配单元执行具体的通道分配操作,用户可正常上网,无需再次输入用户名+密码。
身份认证单元可识别用户设备是否已经绑定。第一次登录时可以输入用户名+密码绑定用户设备,具体可采用portal认证方式;身份认证单元需要将增加的绑定用户设备上报管理中心更新其用户数据。用户上线时,网关自动采集到用户设备的MAC地址、CPU序列号和硬盘序列号传输到认证服务器进行识别。若不存在该用户设备,即第一次登录,MAC地址、CPU序列号和硬盘序列号均不存在,则弹出绑定页面,用户需要输入用户名+密码进行用户设备绑定,将MAC地址、CPU序列号和硬盘序列号组合形成tag,将该tag作为一个用户设备的身份ID绑定到该用户设备的账号下,登录时,只有三者同时吻合时才允许用户设备接入网络通道;若存在该用户设备,即MAC地址、CPU序列号和硬盘序列号均吻合,则可正常上网,无需用户再次输入用户名+密码;若发现登录设备MAC地址能对应某账户但是该登录设备的CPU序列号和硬盘序列号不吻合,则认定为伪造MAC地址非法接入,做警告甚至暂停网卡工作等处理,同理,有伪造硬盘序列号和CPU的情况,一旦出现既有吻合又有不吻合的情况,则视为伪造设备信息处理。
(3)网络通道分配单元
本发明实施例提供的一种网络通道分配单元给用户设备分配网络通道的示意图如图5所示。
所述的网络通道分配单元,还用于接收到所述身份认证单元发送过来的用户设备的账户信息和网络通道分配策略后,给上述用户设备分配具体的网络通道。
还用于接收到用户管理单元发送过来的用户设备的账户信息和调整后的网络通道分配策略后,根据调整后的网络通道分配策略给用户管理单元重新分配网络通道。
(4)深度包检测单元
深度包检测单元承载在网关和管理中心上,对所述数据采集单元传输过来的用户设备的数据包进行深度包检测,检测所述数据包中是否包含违法或者不良内容,将深度包检测结果传输给用户管理单元。可采取的深度包检测方法有:基于“特征字”的识别技术、应用层网关识别技术、行为模式识别技术等等。当深度宝检测单元检测到不良数据包时,认定该用户有不良行为,告知用户管理单元,这时用户管理单元更新策略,直接通知网络通道分配单元重新给用户设备分配网络通道。
(5)用户管理单元
所述的用户管理单元,用于承载在数据中心和管理中心上,所述管理中心用于用户管理,接收所述深度包检测单元发送过来的用户设备的网络行为记录数据,接收所述数据采集单元发送过来的用户设备的数据包,将所述用户设备的网络行为记录数据和数据包发送给数据中心,根据预先设定的所述用户设备的级别信息和所述用户设备的网络行为记录数据确定所述用户设备的网络通道分配策略,将该网络通道分配策略发送给身份认证单元。
网络通道分配策略由管理中心决定,其根据用户级别等因素控制网络通道的分配,甚至主动断开用户接入,不转发其数据报,停止其网卡工作。表1为网络通道分配策略的一个例子。
表1
所述数据中心用来存储所述管理中心发送过来的用户设备的数据包和网络行为记录数据,这些数据将定期移交相关部门审查。
在实际应用中,用户管理单元还根据所述深度包检测单元传输过来的用户设备的网络行为记录数据,实时调整用户设备的账户的级别信息,更新所述用户设备的网络通道分配策略,并将更新后的用户设备的网络通道分配策略发送给所述网络通道分配单元,以使得所述网络通道分配单元根据更新后的所述用户设备的网络通道分配策略重新给所述用户设备分配网络通道。
根据用户设备的网络行为记录数据设置基于用户设备的账户级别信息的网络通道分配策略,该网络通道分配策略包括:对于级别相对低的用户设备,分配带宽相对小的网络通道;对于级别相对高的用户设备,分配带宽相对大的网络通道;当用户设备发送的数据包中包含违法或者不良内容时,发送丢弃所述用户设备的数据包或者停止所述用户设备的网卡工作的控制指令。管理中心用于用户管理,采用一种灵活的角色管理方式,既可以人为设置用户角色,进行可控的管理,同时也可以自适应识别未经过人工设置的用户角色,进行自动的管理,人为设置级别高于自适应识别。人为设置即对某些账号赋予特殊权限,使其绑定的用户设备能够优先使用网络通道资源等等。自适应识别角色时,一旦用户设备有不良请求,管理中心需要将其对应用户记录下来作为一次坏记录,并根据不良记录对所有用户建立评价档案,进行等级排序,对高级用户优先安排国际网络通道降低检查力度,对低级用户增加检查力度。
实施例一
该实施例提供的一种网络通道的管理方法的处理流程如图6所示,包括如下的处理步骤:
步骤1、用户设备通过网络连接到网关后,网关自动采集到用户设备的MAC地址、CPU序列号和硬盘序列号,并将用户设备的MAC地址、CPU序列号和硬盘序列号传输到认证服务器进行识别。
认证服务器识别到不存在该用户设备,即用户设备第一次登录,MAC地址、CPU序列号和硬盘序列号在认证服务器中均不存在,则弹出绑定页面,用户需要在绑定页面输入用户名+密码进行用户设备绑定。
然后,认证服务器将MAC地址、CPU序列号和硬盘序列号组合形成tag(标签),将tag作为一个用户设备的身份ID绑定到该用户设备的账号(即用户名)下。用户设备后续登录时,只有MAC地址、CPU序列号和硬盘序列号三者同时吻合时,才允许该用户设备接入网络通道。执行步骤2。
若认证服务器识别到存在该用户设备,即MAC地址、CPU序列号和硬盘序列号均吻合,则可正常上网,无需用户再次输入用户名+密码。执行步骤2。
若认证服务器发现登录用户设备的MAC地址及其对应的CPU序列号和硬盘序列号不同时吻合,则认定为非法接入,做警告甚至暂停网卡工作等处理。
步骤2、网关根据用户设备MAC地址、CPU序列号和硬盘序列号,在用户IP数据报的可选字段打tag作为数据报的身份标识,从而跟踪有不良内容的数据报的来源,并进行相应管理,管理中心可以通知网关丢弃不转发含有某tag的数据包以及优先传输、限制传输。
步骤3、网关获得用户的访问请求数据包,对请求内容进行深度包检测,检测到其检索或者上传不良内容时,通知管理中心,网关根据管理中心的指令对数据包进行丢弃处理,甚至停止其网卡工作,并返回用户设备一个警告通知。可采取的深度包检测方法有:基于“特征字”的识别技术、应用层网关识别技术、行为模式识别技术等等。
步骤4、管理根据需求可首先人为设置账号角色,对某些账号赋予特殊权限,使其绑定的用户设备能够优先使用网络通道资源等等。人为设置完成后,对剩余用户采用自适应识别角色的方法,一旦用户设备有不良请求,管理中心需要将其对应用户记录下来作为一次坏记录,并根据不良记录对所有用户建立评价档案,进行等级排序,对高级用户优先安排国际网络通道降低检查力度,对低级用户增加检查力度。
步骤5、当某种情况需要立即停止某用户上网行为时,管理中心可通知网关主动断开该用户接入网络,丢弃含有该用户tag的数据包,管理中心还可以通知网关暂停用户设备网卡的工作,比如当检测到伪造mac地址用户设备非法接入时,可以停止该用户设备网卡的工作,使其不能访问网络。
步骤6、网关定期采集数据包上传到数据中心,管理中心也定时将用户网络行为情况上传到数据中心,移交相关部门审查。
实施例二
使用本发明时,用户接入不需要更改客户端或者重复以用户名+密码这种繁琐的方式认证,但与此同时能够保证安全、防止非法接入。
A、用户第一次接入时,网关会以网页的形式提示用户输入用户名+密码进行设备绑定,确认绑定后,网关将读取的设备MAC地址、CPU序列号与硬盘序列号进行组合形成tag,作为这一设备的身份ID绑定在该账号下,tag的位置为IP数据报的可选字段。再次接入网络时,则无需重复输入用户名+密码,网关会自动读取设备MAC地址、CPU序列号与硬盘序列号进行认证识别。
B、当有人员企图通过伪造MAC地址的方法接入网络时,网关识别出MAC地址与CPU序列号、硬盘序列号没有同时吻合,确认为非法接入,做警告甚至暂停网卡工作等处理。
实施例三
在企业对于互联网通讯业务的需求比较大,而浏览一些社交网站、娱乐网站的业务比较少的情况下,可以采用本发明的角色管理方式。
公司人员需要凭借自己的身份信息在信息中心注册获得一个账号包含用户名+密码,初次登录时可以以此账号绑定设备,绑定设备的网络行为责任由该账号负责。该账号可以设置不同的角色等级,通常公司高级人员拥有最多资源,比如可访问的网络资源、最大带宽等等;特别情况例如视频会议时需要保持通信畅通等等,可设置专门账号使其在使用时可优先分配网络通道资源以保证视频通畅;未人工设置的账号将进行默认处理,即根据其网络行为自适应判断其等级角色,并进行相应处理。
根据企业的通讯业务需求,可以通知网关优先传输邮件、视频会议类数据包,并可适当放松对该类内容监管来提高速度。
实施例四
在互联网舆论安全问题中,我们需要限制其搜索一些不良内容。这种情况下,结合本发明的深度包检测将能从搜索源头上解决问题。
建立管理服务器,接收网关采集的数据包,并进行会话重组、协议解析等步骤,解析出数据包的来源和内容,数据包的来源可由IP数据报中的tag来确定,内容则需要对IP数据包进一步解析。管理服务器要设置程序和预置需要禁止内容的数据库,将报文解析结果在数据库中进行检索对比,检测其内容安全性,如果不安全,则通知网关丢弃该系列数据包,并返回错误通知,同时记录下来作为一次不良记录,并根据不良记录对所有用户建立评价档案,将此放到用户评价资料数据库中,定期进行等级排序,通知网关对不同用户请求数据的处理方式。另外,内容检查时先检查网址是否是禁止的,如果是禁止的则直接丢弃并返回错误通知,如果是未知的,需要检查内容是否包含不良内容。
网关收集的数据报以及管理中心的数据均可备份到数据中心交由有关部门审查。
综上所述,本发明实施例不需要更改用户设备,避免了用户设备重复以用户名+密码的方式认证,极大地简化了用户设备的操作。本发明采取MAC地址、CPU序列号和硬盘序列号的三重组合认证,有效地防止了用户设备的非法接入,相对于只以MAC地址认证的方式更加可靠。
本发明通过给数据包打了tag标签,可以迅速有效的跟踪不良数据包,甚至将之销毁。可以远程控制用户的接入,在紧急情况下可以主动断开用户接入、丢弃其数据包、暂停其网卡工作。
本发明实施例采用的深度包检测可以检测出用户是否检索或者上传不良内容,比禁止访问网站的方式更细致,更精准。可以自适应识别用户角色,记录不良行为次数,并根据不良记录对所有用户建立评价档案,进行等级排序,对高级用户优先安排网络通道资源、降低检查力度,对低级用户增加检查力度,从而减少监管成本,高效利用网络通道资源。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件单元的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机用户设备(可以是个人计算机,服务器,或者网络用户设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (8)
1.一种网络通道安全管理系统,其特征在于,包括:数据采集单元、身份认证单元、网络通道分配单元和用户管理单元;
所述数据采集单元,用于在用户设备连接网络后,采集所述用户设备的身份信息,将所述用户设备的身份信息发送给身份认证单元和用户管理单元;
所述身份认证单元,用于对所述数据采集单元传输过来的用户设备的身份信息进行认证,在认证通过后,向用户管理单元请求所述用户设备的网络通道分配策略,并将用户管理单元返回的网络通道分配策略传给网络通道分配单元;
所述用户管理单元,用于确定用户角色信息和制定网络通道分配策略管理用户设备的级别信息和网络通道分配策略,接收到请求所述用户设备的网络通道分配策略后,根据预先设定的所述用户设备的级别信息和所述用户设备的网络行为记录数据确定所述用户设备的网络通道分配策略,将该网络通道分配策略发送给身份认证单元;
所述网络通道分配单元,用于管理各种网络通道资源,接收到所述用户设备的网络通道分配策略后,按照给定的网络通道分配策略,给所述用户设备分配所述具体网络通道。
2.根据权利要求1所述的网络通道安全管理系统,其特征在于,所述的系统还包括:深度包检测单元;
所述的数据采集单元,还用于采集用户设备的数据包,并将所述数据包发送给用户管理单元和深度包检测单元;
所述的深度包检测单元,用于承载在网关和管理中心上,对所述数据采集单元传输过来的用户设备的数据包进行深度包检测,检测所述数据包中是否包含违法或者不良内容,检测用户访问的数据是否是合法数据、访问的网站是否是合法网站,根据检测结果获取网络行为记录数据,将所述网络行为记录数据传输给用户管理单元。
3.根据权利要求1所述的网络通道安全管理系统,其特征在于:
所述的数据采集单元,用于承载在网关上,采集网关连接的用户设备的身份信息和账户信息,所述身份信息包括MAC地址、CPU序列号和硬盘序列号,所述账户信息包括用户名,将所述用户设备的身份信息和账户信息传输给所述身份认证单元。
4.根据权利要求3所述的网络通道安全管理系统,其特征在于:
所述的数据采集单元,用于采用portal认证方式在用户设备的客户端浏览器上弹出web页面,利用浏览器ActiveX插件获得用户设备的MAC地址、CPU序列号和硬盘序列号,以及用户绑定账户时输入的账号和密码;
或者;
从用户设备发送的带有特定标签的数据包中采集用户设备的MAC地址、CPU序列号和硬盘序列号。
5.根据权利要求3所述的网络通道安全管理系统,其特征在于:
所述的身份认证单元,用于管理用户身份信息数据库,在所述用户身份信息数据库中关联存储了认证通过的用户设备的标签信息和账户信息,所述标签信息根据用户设备的MAC地址、CPU序列号和硬盘序列号组合得到;
验证所述数据采集单元传输过来的用户设备的身份信息中的MAC地址、CPU序列号和硬盘序列号的合法性,合法性验证通过后,将所述用户设备的MAC地址、CPU序列号和硬盘序列号组合形成所述用户设备的标签,根据所述用户设备的标签查询所述用户身份信息数据库,当查询到同时包含所述用户设备的标签和账户信息的记录后,向所述用户管理单元请求所述用户设备的网络通道分配策略,并将用户管理单元返回的网络通道分配策略传给网络通道分配单元;
当没有查询到包含所述用户设备的标签的记录后,则向所述用户设备返回身份信息绑定页面,接受所述用户设备在所述身份信息绑定页面中输入的用户账户信息,将所述用户设备的标签信息和账户信息关联存储在用户身份信息数据库中,向所述用户管理单元请求所述用户设备的网络通道分配策略,并将用户管理单元返回的网络通道分配策略传给网络通道分配单元。
6.根据权利要求5所述的网络通道安全管理系统,其特征在于:
所述的用户管理单元,用于承载在数据中心和管理中心上,所述管理中心用于用户管理,接收所述深度包检测单元发送过来的用户设备的网络行为记录数据,接收所述数据采集单元发送过来的用户设备的数据包,将所述用户设备的网络行为记录数据和数据包发送给数据中心,根据预先设定的所述用户设备的级别信息和所述用户设备的网络行为记录数据确定所述用户设备的网络通道分配策略,将该网络通道分配策略发送给身份认证单元;
所述数据中心用来存储所述管理中心发送过来的用户设备的数据包和网络行为记录数据。
7.根据权利要求6所述的网络通道安全管理系统,其特征在于;
所述的用户管理单元,还用于根据所述深度包检测单元传输过来的用户设备的网络行为记录数据,调整所述用户设备的账户的级别信息,更新所述用户设备的网络通道分配策略,并将更新后的用户设备的网络通道分配策略发送给所述网络通道分配单元,以使得所述网络通道分配单元根据更新后的所述用户设备的网络通道分配策略重新给所述用户设备分配网络通道。
8.根据权利要求6所述的网络通道安全管理系统,其特征在于;
所述的用户管理单元,还用于根据用户设备的网络行为记录数据设置基于用户设备的账户级别信息的网络通道分配策略,该网络通道分配策略包括:对于级别相对低的用户设备,分配带宽相对小的网络通道;对于级别相对高的用户设备,分配带宽相对大的网络通道;当用户设备发送的数据包中包含违法或者不良内容时,发送丢弃所述用户设备的数据包或者停止所述用户设备的网卡工作的控制指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610311980.6A CN105978879B (zh) | 2016-05-11 | 2016-05-11 | 网络通道安全管理系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610311980.6A CN105978879B (zh) | 2016-05-11 | 2016-05-11 | 网络通道安全管理系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105978879A true CN105978879A (zh) | 2016-09-28 |
CN105978879B CN105978879B (zh) | 2019-04-26 |
Family
ID=56993009
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610311980.6A Active CN105978879B (zh) | 2016-05-11 | 2016-05-11 | 网络通道安全管理系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105978879B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108429624A (zh) * | 2016-12-21 | 2018-08-21 | 迈普通信技术股份有限公司 | 一种qos动态调整方法、设备及系统 |
CN111031016A (zh) * | 2019-11-29 | 2020-04-17 | 苏州浪潮智能科技有限公司 | 一种局域网管理的方法、装置、设备及可读存储介质 |
CN112737822A (zh) * | 2020-12-23 | 2021-04-30 | 中国商用飞机有限责任公司 | 基于授权的机载网络带宽分配系统和方法 |
CN116112247A (zh) * | 2023-01-17 | 2023-05-12 | 广州通则康威智能科技有限公司 | 一种基于浏览器插件的cpe管理后台登录方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101127598A (zh) * | 2006-08-18 | 2008-02-20 | 华为技术有限公司 | 一种在无源光网络中实现802.1x认证的方法和系统 |
CN101695022A (zh) * | 2009-11-02 | 2010-04-14 | 杭州华三通信技术有限公司 | 一种服务质量管理方法及装置 |
CN201821367U (zh) * | 2010-07-29 | 2011-05-04 | 上海忆通广达信息技术有限公司 | 一种上网行为信息处理系统 |
CN103442328A (zh) * | 2013-09-02 | 2013-12-11 | 北京鹏通高科科技有限公司 | 一种物联网终端的服务质量控制方法和系统 |
-
2016
- 2016-05-11 CN CN201610311980.6A patent/CN105978879B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101127598A (zh) * | 2006-08-18 | 2008-02-20 | 华为技术有限公司 | 一种在无源光网络中实现802.1x认证的方法和系统 |
CN101695022A (zh) * | 2009-11-02 | 2010-04-14 | 杭州华三通信技术有限公司 | 一种服务质量管理方法及装置 |
CN201821367U (zh) * | 2010-07-29 | 2011-05-04 | 上海忆通广达信息技术有限公司 | 一种上网行为信息处理系统 |
CN103442328A (zh) * | 2013-09-02 | 2013-12-11 | 北京鹏通高科科技有限公司 | 一种物联网终端的服务质量控制方法和系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108429624A (zh) * | 2016-12-21 | 2018-08-21 | 迈普通信技术股份有限公司 | 一种qos动态调整方法、设备及系统 |
CN111031016A (zh) * | 2019-11-29 | 2020-04-17 | 苏州浪潮智能科技有限公司 | 一种局域网管理的方法、装置、设备及可读存储介质 |
CN112737822A (zh) * | 2020-12-23 | 2021-04-30 | 中国商用飞机有限责任公司 | 基于授权的机载网络带宽分配系统和方法 |
CN112737822B (zh) * | 2020-12-23 | 2022-05-13 | 中国商用飞机有限责任公司 | 基于授权的机载网络带宽分配系统和方法 |
CN116112247A (zh) * | 2023-01-17 | 2023-05-12 | 广州通则康威智能科技有限公司 | 一种基于浏览器插件的cpe管理后台登录方法及系统 |
CN116112247B (zh) * | 2023-01-17 | 2024-01-16 | 广州通则康威科技股份有限公司 | 一种基于浏览器插件的cpe管理后台登录方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105978879B (zh) | 2019-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Hameed et al. | Security issues in IoT: A survey | |
CN109729180B (zh) | 全体系智慧社区平台 | |
Karie et al. | IoT threat detection advances, challenges and future directions | |
US8424072B2 (en) | Behavior-based security system | |
US20120151565A1 (en) | System, apparatus and method for identifying and blocking anomalous or improper use of identity information on computer networks | |
US20160261616A1 (en) | Data access verification for enterprise resources | |
CN109150805A (zh) | 应用程序编程接口的安全管理方法和系统 | |
KR101294280B1 (ko) | 패킷 미러링 방식으로 암호화된 https 통신 데이터를 모니터링하여 개인정보유출을 방지하는 개인정보 유출 방지 시스템 및 방법 | |
US9479522B1 (en) | Method and apparatus for managing content distribution using content signatures | |
CN101425903A (zh) | 一种基于身份的可信网络架构 | |
CN105978879A (zh) | 网络通道安全管理系统 | |
CN101986599A (zh) | 基于云服务的网络安全控制方法和云安全网关 | |
CN104796383B (zh) | 一种终端信息防篡改的方法和装置 | |
Damghani et al. | Classification of attacks on IoT | |
EP2790354B1 (en) | Security management system having multiple relay servers, and security management method | |
CN106209905B (zh) | 一种网络安全管理方法和装置 | |
CN106899561A (zh) | 一种基于acl的tnc权限控制方法和系统 | |
CN113542339A (zh) | 一种电力物联网安全防护设计方法 | |
CN106027476A (zh) | 一种身份证云认证系统及读卡系统 | |
CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
DesRuisseaux | Practical overview of implementing IEC 62443 security levels in industrial control applications | |
CN113839945A (zh) | 一种基于身份的可信接入控制系统和方法 | |
CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
Jena et al. | A Pragmatic Analysis of Security Concerns in Cloud, Fog, and Edge Environment | |
Feng et al. | Autonomous vehicles' forensics in smart cities |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |