技術領域

本發明屬于信息安全領域，具體涉及一種通過對接入到網絡中的設備或終端進行身份識別并進行登記，進行精準身份識別，以這種精準身份識別為基礎進行網絡安全和管理，可以大幅提升網絡安全管理等級。

背景技術

IP是英文Internet?Protocol(網際協議)的縮寫，也就是為計算機網絡相互連接進行通信而設計的協議。在因特網中，它是能使連接到網上的所有計算機網絡實現相互通信的一套規則，規定了計算機在因特網上進行通信時應當遵守的規則。任何廠家生產的計算機系統，只要遵守IP協議就可以與因特網互連互通。

IP地址就是給每個連接在Internet上的主機分配的一個32bit地址。IP協議屬TCP/IP協議族，是TCP/IP協議族中最為核心的協議，所有的TCP、UDP、ICMP、及IGMP數據都以IP數據報格式傳輸。TCP/IP(Transmission?Control?Protocol/Internet?Protocol)的簡寫，中文譯名為傳輸控制協議/因特網互聯協議，又叫網絡通訊協議，這個協議是Internet最基本的協議、Internet國際互聯網絡的基礎，TCP/IP協議分為四層，依次是鏈路層、網絡層、傳輸層、應用層，IP協議屬于網絡層。

按照TCP/IP協議規定，IP地址用二進制來表示，每個IP地址長32bit，比特換算成字節，就是4個字節。Internet上的每臺主機(Host)都有一個唯一的IP地址。IP協議就是使用這個地址在主機之間傳遞信息，這是Internet能夠運行的基礎。IP地址的長度為32位，分為4段，每段8位，用十進制數字表示，每段數字范圍為0～255，段與段之間用句點隔開。例如159.226.1.1。IP地址有兩部分組成，一部分為網絡地址，另一部分為主機地址。IP地址分為A、B、C、D、E5類。常用的是B和C兩類。

目前對于連接于網絡中的網絡設備和終端設備的身份識別是通過IP、MAC地址進行的。這種識別方式是最為普通，也是最為廣泛、最簡單的身份識別方式，很多防火墻、行為管理、IDS、IPS、路由器、交換機和軟件產品的安全和管理均是通過對數據包中得IP和MAC地址進行讀取，通過IP、MAC匹配的方式進行身份識別、確定，然后進行相應的管理策略和數據處理。

MAC(Medium/MediaAccess?Control，介質訪問控制)MAC地址是燒錄在(網卡，NIC)里的。MAC地址，也叫硬件地址，是由48比特/bit長(6字節/byte，1byte＝8bits)，16進制的數字組成.0-23位叫做組織唯一標志符(organizationally?unique，是識別LAN(局域網)節點的標識.24-47位是由廠家自己分配。其中第40位是組播地址標志位。網卡的物理地址通常是由網卡生產廠家燒入網卡的EPROM(一種閃存芯片，通常可以通過程序擦寫)，它存儲的是傳輸數據時真正賴以標識發出數據的電腦和接收數據的主機的地址。

也就是說，在網絡底層的物理傳輸過程中，是通過物理地址來識別主機和傳輸數據的，其中MAC是全球唯一的。比如以太網卡，其物理地址是48bit(比特位)的整數，如：44-45-53-54-00-00，以機器可讀的方式存入主機接口中。以太網地址管理機構(除了管這個外還管別的)(IEEE)(IEEE：電氣和電子工程師協會)將以太網地址，也就是48比特的不同組合，分為若干獨立的連續地址組，生產以太網網卡的廠家就購買其中一組，具體生產時，逐個將唯一地址賦予以太網卡。形象的說，MAC地址就如同我們身份證上的身份證號碼，具有全球唯一性。

在正常的情況下，由相應MAC地址的網卡發布出來的數據包其源MAC填充位是該網卡的物理MAC，這樣通過分析數據包中源MAC地址可以確定數據來源的準確身份。但在實際中由于數據包可以由基于網卡驅動的上層應用程序構造發出，這樣數據包中的源MAC填充位的內容并不是只有網卡可以操作，其它應用程序和軟件可以隨意填充。特別是網絡設備管理接口和終端設備系統都提供了對MAC和IP地址的修改功能，這就使得通過IP、MAC修改達到改變身份脫離相應管理規則的目標得以較容易的實現，導致了通過數據包源MAC進行身份識別具有很大的不確定性、準確性差。

要實現網絡中設備和終端的管理控制，身份的準確識別是基礎，而現有的方式已經不能滿足對于身份的準確識別和控制，帶來了很多安全和管理問題。

發明內容