專利名稱:網(wǎng)絡(luò)連接/隔離的控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)��,更具體地說��,涉及一種網(wǎng)絡(luò)連接/隔離的控制方法��。
如
圖1所示為另一種網(wǎng)絡(luò)隔離方法結(jié)構(gòu)示意圖���,從圖中可以看出����,每一個計算機終端內(nèi)至少有兩個硬盤或兩個硬分區(qū)盤���,分別適用于內(nèi)外網(wǎng)���,網(wǎng)卡要經(jīng)隔離卡后才能連接到內(nèi)外網(wǎng)HUB(網(wǎng)絡(luò)集線器)���,由網(wǎng)卡引出的八芯線分為兩組四芯線,其中一組接內(nèi)網(wǎng)HUB�����,另一組接外網(wǎng)HUB�,通過發(fā)開關(guān)信號給隔離卡從而選擇連接內(nèi)網(wǎng)或外網(wǎng)中的一個。這種方法的缺點在于1)每一臺計算機終端需要連接到兩個HUB端口����,而工作時只占用其中一個HUB端口,另一個HUB端口則為空閉��,資源浪費較大���;2)網(wǎng)卡信號要經(jīng)過隔離卡才能連接到HUB��,存在嚴(yán)重的信號損失����,影響網(wǎng)絡(luò)通信效果�����;3)一些場所內(nèi)的布的網(wǎng)線為四芯線�����,無法滿足這種方法中需要的兩組四芯線����。
本發(fā)明的技術(shù)方案在于,一種網(wǎng)絡(luò)連接/隔離的控制方法��,其特征在于����,包括以下步驟由計算機終端選擇需要連接的網(wǎng)絡(luò);向設(shè)置在網(wǎng)絡(luò)交換式集線器(Switch HUB)上的控制模塊發(fā)送網(wǎng)絡(luò)連接控制信號�;所述控制模塊根據(jù)所述網(wǎng)絡(luò)連接控制信號,通過虛擬網(wǎng)參數(shù)設(shè)置����,將與所述計算機終端連接的所述網(wǎng)絡(luò)交換式集線器端口動態(tài)分配到與所選網(wǎng)絡(luò)對應(yīng)的虛擬網(wǎng),實現(xiàn)與計算機終端屬同一虛擬網(wǎng)的網(wǎng)絡(luò)的連接�,而保持與不屬同一虛擬網(wǎng)的網(wǎng)絡(luò)的隔離。
其中��,所述網(wǎng)絡(luò)交換式集線器支持標(biāo)準(zhǔn)VLAN(Virtual LAN���,即虛擬局域網(wǎng))協(xié)議�����,設(shè)置在所述網(wǎng)絡(luò)交換式集線器上的隔離控制模塊可根據(jù)來自計算機終端的所述網(wǎng)絡(luò)連接控制信號�����,通過虛擬網(wǎng)參數(shù)的設(shè)置����,將所述網(wǎng)絡(luò)交換式集線器動態(tài)劃分成多個相互獨立的虛擬網(wǎng),其中一個虛擬網(wǎng)用于連接所述控制模塊并傳輸內(nèi)部控制命令�,其余虛擬網(wǎng)可分別通過其公共端口接到不同的網(wǎng)絡(luò),用戶計算機終端連接到所述網(wǎng)絡(luò)交換式集線器的某一端口�����,并被分配到某一個虛擬網(wǎng)���。
在本發(fā)明的方法中�,所述網(wǎng)絡(luò)連接控制信號包括網(wǎng)絡(luò)請求信號和電子認(rèn)證證書���,當(dāng)所述控制模塊對所述認(rèn)證證書進(jìn)行識別分析并判斷為有效時��,根據(jù)所述網(wǎng)絡(luò)請求信號改變所述虛擬網(wǎng)參數(shù)表��,將所述端口動態(tài)分配到與用戶選擇的網(wǎng)絡(luò)對應(yīng)的虛擬網(wǎng)����。其中�,所述計算機終端發(fā)送到所述控制模塊的認(rèn)證證書為一次性動態(tài)認(rèn)證證書,所述控制模塊在判斷所述認(rèn)證證書為合法后�,會向所述計算機終端發(fā)回一個新的認(rèn)證證書以供其下次使用。
在本發(fā)明的方法中��,還包括以下定時監(jiān)控步驟所述控制模塊定時監(jiān)控所述計算機終端的網(wǎng)絡(luò)連接狀態(tài)�,當(dāng)檢測到所述述計算機終端的網(wǎng)絡(luò)連接狀態(tài)改變時,將所述端口與當(dāng)前連接的虛擬網(wǎng)斷開��。其具體實現(xiàn)方式包括所述計算機終端定時向所述控制模塊發(fā)送監(jiān)控特征碼���;當(dāng)未定時收到由所述計算機終端發(fā)來的特征碼��、或所收到的特征碼不合法時����,所述控制模塊通過修改所述網(wǎng)絡(luò)交換式集線器的虛擬網(wǎng)參數(shù)表,將所述端口與當(dāng)前連接的虛擬網(wǎng)斷開�����。其中��,為保證定時監(jiān)控的可靠性�����,同一個計算機終端發(fā)送的監(jiān)控特征碼每次按同一規(guī)則變化����,不同的計算機終端發(fā)送的定時監(jiān)控特征碼每次按各自不同的規(guī)則變化;所述定時發(fā)送監(jiān)控特征碼的時間間隔可設(shè)為50-300毫秒����。
在本發(fā)明的方法中,本發(fā)明提供的網(wǎng)絡(luò)連接與隔離的控制方法的一種常用模式�����,是將所述網(wǎng)絡(luò)交換式集線器動態(tài)劃分為分別用于連接內(nèi)網(wǎng)��、外網(wǎng)及控制模塊的三個虛擬網(wǎng)�����,其中內(nèi)網(wǎng)虛擬網(wǎng)通過其公共端口連接到內(nèi)部局域網(wǎng),外網(wǎng)虛擬網(wǎng)通過其公共端口連接到外部互聯(lián)網(wǎng)����。
實施本發(fā)明的網(wǎng)絡(luò)連接與隔離的控制方法,可克服現(xiàn)有技術(shù)的上述缺陷����,利用較少的成本和資源,實現(xiàn)網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的隔離�����,以保障計算機數(shù)據(jù)的安全����。其優(yōu)點在于每個計算機終端只占用一個網(wǎng)絡(luò)交換式集線器中的一個端口���,減少對資源的占用�;計算機終端的網(wǎng)卡直接連接到網(wǎng)絡(luò)交換式集線器����,減少了信號的損失�;只需要四芯網(wǎng)線就可以實現(xiàn)����,可應(yīng)用于四芯布線場所。
步驟201�、用戶通過計算機終端4發(fā)出網(wǎng)絡(luò)請求信號;步驟202����、控制模塊根據(jù)收到的網(wǎng)絡(luò)請求信號,改變HBU1的VLAN參數(shù)配置����,計算機終端連接到的HUB端口被動態(tài)分配到與用戶請求網(wǎng)絡(luò)對應(yīng)的虛擬網(wǎng);步驟203��、用戶計算機終端與其請求連接的網(wǎng)絡(luò)連通�。
本發(fā)明的方法可實施于一個操作系統(tǒng)的計算機終端,也可實施于裝有兩套操作系統(tǒng)的計算機終端��,其區(qū)別在于發(fā)出網(wǎng)絡(luò)請求信號的方式不同�����,前者通過不同的網(wǎng)絡(luò)控制命令來完成���,后者通過選擇適用于不同網(wǎng)絡(luò)的操作系統(tǒng)啟動計算機終端來完成�。
下面的實施例為計算機終端中有分別適用于內(nèi)外網(wǎng)的兩個操作系統(tǒng)時的情況,從圖3中可以看出���,為了實現(xiàn)內(nèi)外網(wǎng)之間的隔離�����,利用標(biāo)準(zhǔn)VLAN(Virtual LAN��,即虛擬局域網(wǎng))協(xié)議��,將圖中的HUB1動態(tài)劃分成至少三個相互獨立且相互隔離的虛擬網(wǎng)��。圖3中的HUB有101至112共12個端口,各端口由虛擬網(wǎng)參數(shù)表來決定其應(yīng)該分配到哪一個虛擬網(wǎng)����,所謂動態(tài)劃分,是指某一個端口屬于哪一個虛擬網(wǎng)不是一成不變的����,可通過修改虛擬網(wǎng)參數(shù)表改變其所屬的虛擬網(wǎng)。
實施例中將所述HUB1動態(tài)劃分為分別用于連接內(nèi)網(wǎng)�����、外網(wǎng)及控制模塊的三個相互獨立且相互隔離的虛擬網(wǎng),其中�����,內(nèi)網(wǎng)虛擬網(wǎng)通過其公共端口105連接到內(nèi)部局域網(wǎng)���;外網(wǎng)虛擬網(wǎng)通過其公共端口106連接到外部互聯(lián)網(wǎng)�����;控制模塊虛擬網(wǎng)通過的其公共端口110連接到一個控制模塊2��。圖3中三個虛線框所示為某一時刻的動態(tài)虛擬網(wǎng)劃分情況�����,此時端口101-105屬于內(nèi)網(wǎng)虛擬網(wǎng)�����;端口106-109屬于外網(wǎng)虛擬網(wǎng)��;端口112和110屬于控制虛擬網(wǎng)��。
本發(fā)明中的控制模塊2用于實現(xiàn)動態(tài)認(rèn)證和定時監(jiān)控功能���,可根據(jù)由計算機終端發(fā)來的網(wǎng)絡(luò)請求信號通過修改虛擬網(wǎng)參數(shù)表來調(diào)整用于連接計算機終端的各端口所屬的虛擬網(wǎng)�����?���?刂颇K2可設(shè)在HUB1的內(nèi)部����,也可以外置或鑲嵌。
使用前需要預(yù)設(shè)各個計算機終端的網(wǎng)絡(luò)權(quán)限�,即設(shè)定某一計算機終端只可登錄內(nèi)網(wǎng)、或只可登錄外網(wǎng)�����、或者既可登錄內(nèi)網(wǎng)也可登錄外網(wǎng)����。如果某一計算機終端既可登錄內(nèi)網(wǎng)也可登錄外網(wǎng)�,則需要內(nèi)外網(wǎng)之間的安全隔離��,從圖3中可以看出�,HUB1的其余端口分別連接到多個計算機終端���,以連接到HUB 1的端口112上計算機終端3為例�����,網(wǎng)線由端口112連接到該計算機終端3的網(wǎng)卡31�����,再接到主板32��,其中主板32連接有兩個硬盤33�����、34(也可以是同一個硬盤中的兩個分區(qū))�����。在這兩個硬盤33�����、34中裝有兩個分別適用于內(nèi)網(wǎng)和外網(wǎng)的操作系統(tǒng)���,這兩個操作系統(tǒng)均可單獨啟動��,獨立工作���。
在反映圖3示出的實施例在選擇連接外網(wǎng)時的工作流程的圖中5中,在步驟301�����,計算機終端3開機�����;在步驟302���,用戶選擇適用于外網(wǎng)的操作系統(tǒng)��;在步驟303�,計算機終端3啟動外網(wǎng)操作系統(tǒng)���;在步驟304�����,計算機終端3向控制模塊2發(fā)送網(wǎng)絡(luò)請求信號并發(fā)送電子認(rèn)證證書����,如圖3所示�����,此時該終端3與控制模塊2之間通訊�,兩者屬于同一個虛擬網(wǎng);在步驟305中�����,控制模塊2判斷是否收到合法的認(rèn)證證書�,如結(jié)果為是則執(zhí)行步驟307,否則執(zhí)行步驟306�����;在步驟306中�,拒絕執(zhí)行網(wǎng)絡(luò)分配請求;在步驟307中,控制模塊2向計算機終端3發(fā)回一個新的認(rèn)證證書以供其下次啟動時使用���,并根據(jù)由計算機終端3發(fā)來的網(wǎng)絡(luò)請求信號�����,修改虛擬網(wǎng)參數(shù)表��,將計算機終端3所連接的端口112分配到外網(wǎng)虛擬網(wǎng)���,如圖4所示為將計算機終端3分配到外網(wǎng)時的情況;在步驟308中����,計算機終端與外網(wǎng)連接;在步驟309中���,計算機終端每隔100毫秒向控制模塊2發(fā)送每次按同一算法變化的定時監(jiān)控特征碼���;在步驟310中,控制模塊2判斷是否定時收到由計算機終端3發(fā)來的特征碼�、并判斷所收到的特征碼是否合法,如結(jié)果為否則執(zhí)行步驟311����、否則返回步驟309����;在步驟311中���,控制模塊2修改虛擬網(wǎng)參數(shù)表,端口112不再屬于外網(wǎng)���,計算機終端3與外網(wǎng)之間的連接被斷開�����。
其中�,計算機終端3發(fā)送到控制模塊2的認(rèn)證證書為一次性動態(tài)認(rèn)證證書�,所謂一次性,是指控制模塊2在判斷所收到的認(rèn)證證書為合法后���,會向計算機終端3發(fā)回一個新的認(rèn)證證書以供其下次啟動時使用���,每一份證書都是自動生成并且只能用一次。
為保證定時監(jiān)控的可靠性��,同一個計算機終端發(fā)送的監(jiān)控特征碼每次按同一規(guī)則(算法、參數(shù))變化���,不同的計算機終端發(fā)送的定時監(jiān)控特征碼每次按各自不同的規(guī)則變化����。定時發(fā)送的時間間隔為50-300毫秒�。本實施例中定時發(fā)送的時間間隔設(shè)定為100毫秒。這樣可以防止物理方法的破壞����,例如A終端只能登錄內(nèi)網(wǎng),B終端既可登錄內(nèi)網(wǎng)也可登錄外網(wǎng)�,現(xiàn)假設(shè)用戶啟動了A終端、并同時啟動B終端的外網(wǎng)操作系統(tǒng)���,如果無定時監(jiān)控�,則用戶可將B終端的網(wǎng)線與A終端的網(wǎng)線互換�����,使A終端可登錄外網(wǎng)���。而本發(fā)明的方法中���,每100毫秒即檢測一次特征碼����,如果不合法則自動切斷終端與當(dāng)前網(wǎng)絡(luò)的連接��,手工交換網(wǎng)線的速度是不可能快到小于100毫秒的��,所以可達(dá)到安全防范的目的��。
在按照本發(fā)明提供的網(wǎng)絡(luò)連接與隔離的控制方法中���,為增強安全性和可靠性,通過對所述控制模塊不設(shè)IP地址�����、不使用標(biāo)準(zhǔn)協(xié)議等方法��,使他人不能用常規(guī)方法或現(xiàn)有網(wǎng)絡(luò)協(xié)議訪問所述控制模塊�。
本發(fā)明的方法并不限于上述實施例,還可在本發(fā)明的范圍內(nèi)作出多種變更和修改�����,通過參數(shù)設(shè)置將網(wǎng)絡(luò)交換機或其它網(wǎng)絡(luò)連接設(shè)備劃分為多個相互獨立的網(wǎng)段,而各個網(wǎng)段之間不能進(jìn)行數(shù)據(jù)傳輸�����。
權(quán)利要求
1.一種網(wǎng)絡(luò)連接/隔離的控制方法���,其特征在于�,包括以下步驟由計算機終端選擇需要連接的網(wǎng)絡(luò)����;向設(shè)置在網(wǎng)絡(luò)交換式集線器上的控制模塊發(fā)送網(wǎng)絡(luò)連接控制信號;所述控制模塊根據(jù)所述網(wǎng)絡(luò)連接控制信號�����,通過虛擬網(wǎng)參數(shù)設(shè)置���,將與所述計算機終端連接的所述網(wǎng)絡(luò)交換式集線器端口動態(tài)分配到與所選網(wǎng)絡(luò)對應(yīng)的虛擬網(wǎng)���,實現(xiàn)與計算機終端屬同一虛擬網(wǎng)的網(wǎng)絡(luò)的連接,而保持與不屬同一虛擬網(wǎng)的網(wǎng)絡(luò)的隔離�。
2.按照權(quán)利要求1所述方法,其特征在于���,所述網(wǎng)絡(luò)交換式集線器支持VLAN協(xié)議����,設(shè)置在所述網(wǎng)絡(luò)交換式集線器上的隔離控制模塊可根據(jù)來所述網(wǎng)絡(luò)連接控制信號,通過虛擬網(wǎng)參數(shù)的設(shè)置���,將所述網(wǎng)絡(luò)交換式集線器動態(tài)劃分成多個相互獨立的虛擬網(wǎng)�,其中一個虛擬網(wǎng)用于連接所述控制模塊并傳輸內(nèi)部控制命令�,其余虛擬網(wǎng)可分別通過其公共端口接到不同的網(wǎng)絡(luò),用戶計算機終端連接到所述網(wǎng)絡(luò)交換式集線器的某一端口��,并被分配到某一個虛擬網(wǎng)���。
3.根據(jù)權(quán)利要求2所述方法,其特征在于�,所述網(wǎng)絡(luò)連接控制信號包括網(wǎng)絡(luò)請求信號和電子認(rèn)證證書,當(dāng)所述控制模塊對所述認(rèn)證證書進(jìn)行識別分析并判斷為有效時�,根據(jù)所述網(wǎng)絡(luò)請求信號改變所述虛擬網(wǎng)參數(shù)表,將所述端口動態(tài)分配到與用戶選擇的網(wǎng)絡(luò)對應(yīng)的虛擬網(wǎng)����。
4.根據(jù)權(quán)利要求3所述方法,其特征在于���,所述計算機終端發(fā)送到所述控制模塊的認(rèn)證證書為一次性動態(tài)認(rèn)證證書�,所述控制模塊在判斷所述認(rèn)證證書為合法后,會向所述計算機終端發(fā)回一個新的認(rèn)證證書以供其下次使用����。
5.根據(jù)權(quán)利要求4所述方法,其特征在于�,所述證書可以包含在內(nèi)置或外置的存儲設(shè)備中。
6.根據(jù)權(quán)利要求1所述方法�����,其特征在于�,還包括以下定時監(jiān)控的步驟所述控制模塊定時監(jiān)控所述計算機終端的網(wǎng)絡(luò)連接狀態(tài),當(dāng)檢測到所述述計算機終端的網(wǎng)絡(luò)連接狀態(tài)改變時�,將所述端口與其當(dāng)前連接的虛擬網(wǎng)斷開。
7.根據(jù)權(quán)利要求6所述方法�����,其特征在于�����,所述定時監(jiān)控包括以下步驟所述計算機終端定時向所述控制模塊發(fā)送監(jiān)控特征碼;當(dāng)未定時收到由所述計算機終端發(fā)來的特征碼����、或所收到的特征碼不合法時,所述控制模塊通過修改所述網(wǎng)絡(luò)交換式集線器的虛擬網(wǎng)參數(shù)表���,將所述端口與當(dāng)前連接的虛擬網(wǎng)斷開�����。
8.根據(jù)權(quán)利要求7所述的方法��,其特征在于����,同一計算機終端發(fā)送的監(jiān)控特征碼每次按同一規(guī)則變化��,不同的計算機終端發(fā)送的定時監(jiān)控特征碼每次按各自不同的規(guī)則變化�����。
9.根據(jù)權(quán)利要求7所述的方法��,其特征在于��,所述定時發(fā)送監(jiān)控特征碼的時間間隔為50-300毫秒���。
10.根據(jù)權(quán)利要求1-9中任一項所述方法��,其特征在于�,所述網(wǎng)絡(luò)交換式集線器動態(tài)劃分為分別用于連接內(nèi)網(wǎng)����、外網(wǎng)及控制模塊的三個虛擬網(wǎng),其中�,所述與內(nèi)網(wǎng)對應(yīng)的虛擬網(wǎng)通過其公共端口連接到內(nèi)部局域網(wǎng),所述與外網(wǎng)對應(yīng)的虛擬網(wǎng)通過其公共端口連接到外部互聯(lián)網(wǎng)��。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)��,尤其涉及一種網(wǎng)絡(luò)連接與隔離的控制方法�,在支持標(biāo)準(zhǔn)VLAN協(xié)議的網(wǎng)絡(luò)交換式集線器上增加一個可將其動態(tài)劃分成多個相互獨立的虛擬網(wǎng)的隔離控制模塊,其中一個虛擬網(wǎng)連接所述控制模塊���,其余虛擬網(wǎng)可分別通過其公共端口接到不同的網(wǎng)絡(luò)�����,用戶計算機終端連接到所述網(wǎng)絡(luò)交換式集線器的某一端口�����,控制模塊根據(jù)計算機終端發(fā)來的網(wǎng)絡(luò)連接控制信號�,將與所述計算機終端連接的所述端口動態(tài)分配到與用戶選擇的網(wǎng)絡(luò)對應(yīng)的虛擬網(wǎng)。在計算機終端與控制模塊之間可通過電子認(rèn)證證書進(jìn)行動態(tài)認(rèn)證��,正常工作時兩者之間的還可進(jìn)行動態(tài)定時監(jiān)控�����,實現(xiàn)網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的安全隔離�。
文檔編號H04L29/06GK1400540SQ0112770
公開日2003年3月5日 申請日期2001年8月1日 優(yōu)先權(quán)日2001年8月1日
發(fā)明者蘇毅 申請人:蘇毅