联想网域实名制网络内容审计办法

网络审计技术是针对网络流量中非法信息传播的问题，综合运用网络数据包获取、协议解析、信息处理、不良流量阻断等技术，实现对网络信息内容传播的有效监管。可以帮助用户实时动态监控网络，记录网络上发生的一切，发现违法违规行为，为用户提供事后取证手段。

因为网络内容审计产品是基于数据流分析的，而分析对象是从网络上抓取的数据流。在这些数据流中，只有IP地址和MAC地址反映了信息源，而在三层交换环境中获得的MAC地址通常是交换机或路由器的MAC地址，而不是真正的源主机信息，所以一般的审计产品只能根据IP地址定位信息源。但是IP地址的易修改性和DHCP的大量应用使得基于IP地址的信息定位有很大的局限性。同时，事件审计的严肃性要求对网络事件的分析应该能够准确定位具体用户。如何将事件和信息对应到具体的最终用户，实现实名制注册审核，是网络内容审核产品真正发挥作用的关键挑战。

基于对用户需求的深刻理解，联想网络审计产品通过采用三层MAC地址获取、主动身份认证、灵活的认证信息获取等多种先进技术，针对不同的网络应用环境，提出了完整的实名注册制网络审计方案。

1、根据IP地址识别

在终端电脑采用固定IP地址的环境下，实现实名登记制审核相对容易，局域网内的每台终端电脑都有一个对应的固定IP地址。为了限制终端用户更改ip地址，可以控制边缘交换机端口与固定IP地址建立一一对应的绑定关系，并结合相应的管理措施达到限制目的。

IP地址网络环境的实名制定位模型

2.根据第二层信息进行识别。

在IP地址不可修改的环境下，通过VLAN_ID和MAC地址进行实名定位，可以很好的解决网络实名审计的问题。

在二层交换环境下，用户使用自己的电脑上网，不同的用户有不同的MAC地址。可以在用户身份信息和MAC地址之间建立固定的关联。在三层交换环境下，由于MAC地址无法跨路由器或三层交换机传播，很难通过MAC地址定位实名。针对这一问题，联想联网开发了三层交换机环境下的MAC地址识别技术，可以动态查询三层交换机中的IP/MAC对应关系，解决该环境下的MAC识别问题。

MAC地址实名定位模型

对于一些使用带VLAN功能的交换机的地方，联想网络审计系统支持使用VLAN标签的方案，即在交换机上把每台电脑对应的端口设置为一个VLAN，在这个VLAN的网络数据包上设置一个* * *的标签号。出口审计设备捕获到数据包的标签号后，就可以识别出是哪台计算机的了。这种方式实现复杂度高，专业性强，对网络设备要求高，需要大规模的网络改造。

3.基于主动身份认证技术

联想御网审计系统提供主动身份认证技术，可以强制用户在上网时通过账号/密码在线认证，实现终端电脑IP地址与用户身份信息的关联。认证方法可分为本地认证和远程认证。

a)本地认证:利用审计系统自身数据库的账号密码信息进行认证；

b)远程认证:利用客户网络环境中已有的认证应用系统，通过一些标准协议进行认证。用户提交的认证账号和密码先提交给审计系统，审计系统再将这些数据传输给指定的认证系统。经认证系统认证后，由审计系统决定是否允许用户上网，并建立ip地址与账号的对应关系，实现审计实名。目前支持的远程认证协议有Radius、AD域、LDAP等协议。

考虑到账号/密码模式的不便和保密性的不足，联想的网络审计系统还提供了基于UsbKey的强认证方式。管理员向用户分发一个UsbKey，用户在访问互联网时，将此密钥插入在线认证页面后，即可自动完成在线认证过程。

4.基于第三方认证数据的自动和透明识别

在用户环境存在其他登录或认证系统的情况下，联想网御网审计系统可以通过网络审计系统监控原始认证数据流，在后台捕获原始认证过程数据包，分析认证账号与ip地址的关系，实现实名注册系统审计。目前支持的自动透明识别协议有AD域、Radius、PPPoE等认证协议。下面是这种方式的模型图:

5.与原始计费系统的接口

目前，一些单位已经使用计费系统，并且已经使用账户在线认证进行计时计费。为了保持用户原有的使用习惯，避免二次认证，联想网御网内容审计系统支持第三方接口，可以通过获取账户的登录和注销活动数据，与计费厂商合作建立IP地址与账户的关联。

上述实名注册制内容审核技术为联想网御的网络审核系统提供了溯源能力。结合众多协议分析与还原技术、高速数据流捕获与分析技术，成为业内高效可靠的网络信息内容审核系统，真正做到了各种网络环境下的实名登记制审核。