專利名稱:實(shí)現(xiàn)局域網(wǎng)信息安全的方法及基于方法的安全網(wǎng)卡及網(wǎng)絡(luò)的制作方法
實(shí)現(xiàn)局域網(wǎng)信息安全的方法及基于方法的安全網(wǎng)卡及網(wǎng)絡(luò)
本發(fā)明涉及一種實(shí)現(xiàn)局域網(wǎng)信息安全的方法,尤其涉及一種實(shí)現(xiàn)局域網(wǎng)信息安全的 方法及基于方法的安全網(wǎng)卡及網(wǎng)絡(luò)。 [背景技術(shù)]
以太網(wǎng)的普及使得計(jì)算機(jī)以太網(wǎng)網(wǎng)口成為網(wǎng)絡(luò)辦公必不可少的一個(gè)通訊接口,該網(wǎng) 口在帶給網(wǎng)絡(luò)辦公高效快捷的同時(shí),也給計(jì)算機(jī)內(nèi)的技術(shù)資料保密工作帶來(lái)了極大的威 脅。為了杜絕通過(guò)網(wǎng)絡(luò)泄密的情況,目前在局域網(wǎng)信息安全上應(yīng)用比較多的方案就是把 局域網(wǎng)劃分成內(nèi)網(wǎng)和外網(wǎng)兩個(gè)相互獨(dú)立的網(wǎng)絡(luò),內(nèi)外網(wǎng)之間物理隔離。 一般內(nèi)網(wǎng)和外網(wǎng) 之間按照物理區(qū)域進(jìn)行劃分,內(nèi)外網(wǎng)之間無(wú)物理連接,外網(wǎng)接入Internet,而內(nèi)網(wǎng)不接入, 這樣組網(wǎng)后內(nèi)網(wǎng)的資料信息看似安全,實(shí)際上仍然存在很大的漏洞和缺陷。
總的來(lái)看,簡(jiǎn)單網(wǎng)絡(luò)隔離存在以下問(wèn)題
1) 安全方面該方案在安全方面仍有漏洞,可能通過(guò)移動(dòng)通訊設(shè)備泄密。從技術(shù) 層面看,目前可以通過(guò)便攜式計(jì)算機(jī)、移動(dòng)網(wǎng)口硬盤(pán)、無(wú)線局域網(wǎng)等通用設(shè)備直接同內(nèi) 網(wǎng)計(jì)算機(jī)進(jìn)行通訊,竊取保密資料。
2) 監(jiān)管方面該方案實(shí)現(xiàn)后監(jiān)管難度大。隨著通訊設(shè)備小型化、微型化的發(fā)展,
通過(guò)保安人員物理監(jiān)控以上設(shè)備不能進(jìn)入保密區(qū)域的難度越來(lái)越大,不僅技術(shù)上存在漏 檢的可能性,而且很難得到被檢查人員的配合,被檢人員抵觸情緒大,容易造成管理上 的困難。
3) 使用方面該方案使用不方便,嚴(yán)重影響辦公效率。由于內(nèi)網(wǎng)同外部Internet 物理隔離,內(nèi)網(wǎng)計(jì)算機(jī)不能自由上網(wǎng)査詢資料,更不能通過(guò)Internet進(jìn)行正常的溝通交 流,導(dǎo)致正常的辦公受到很大影響。而且由于內(nèi)網(wǎng)計(jì)算機(jī)和外網(wǎng)計(jì)算機(jī)可以通過(guò)直連網(wǎng) 線、通用交換機(jī)、無(wú)線交換機(jī)等方式繞開(kāi)公司的通訊網(wǎng)絡(luò)而直接建立連接,因此內(nèi)網(wǎng)和 外網(wǎng)的計(jì)算機(jī)不能允許在同一個(gè)物理區(qū)域存在,內(nèi)網(wǎng)和外網(wǎng)必須有一個(gè)足夠的物理距 離,而目前的無(wú)線局域網(wǎng)設(shè)備的有效通訊距離高達(dá)數(shù)百米,這就要求公司得有兩處距離 足夠的辦公區(qū)域。而員工要上網(wǎng)査閱資料或收發(fā)Email就必須到數(shù)百米以外的外網(wǎng)區(qū)域 才能進(jìn)行,這對(duì)辦公的影響是非常嚴(yán)重的。
4) 設(shè)備方面該方案固定投入成本高。不算兩處獨(dú)立的辦公區(qū)域的投入,單內(nèi)網(wǎng)
和外網(wǎng)的通訊設(shè)備不能共享的投入就增加了一大筆開(kāi)支,因?yàn)樵局恍枰惶拙W(wǎng)絡(luò)設(shè)備, 而分內(nèi)網(wǎng)外網(wǎng)必需兩套網(wǎng)絡(luò)設(shè)備。
5) 維護(hù)方面該方案維護(hù)成本高。兩套網(wǎng)絡(luò)設(shè)備的正常運(yùn)行,需要兩倍的設(shè)備維 護(hù)管理的投入,而且每臺(tái)內(nèi)網(wǎng)的計(jì)算機(jī)都有可能泄密的網(wǎng)口,安全管理人員需要對(duì)每臺(tái) 內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行有效監(jiān)控。
6) 技術(shù)方面該方案尚無(wú)可靠的技術(shù)手段對(duì)網(wǎng)口進(jìn)行可靠監(jiān)管,通過(guò)軟件對(duì)網(wǎng)口 的通訊進(jìn)行監(jiān)控,是一個(gè)比較常用的網(wǎng)口監(jiān)控方法。但這種方法的漏洞很多,不僅病毒、 黑客可能攻破這些監(jiān)控軟件,而且通過(guò)最簡(jiǎn)單的光驅(qū)啟動(dòng)就可以阻止這些監(jiān)控軟件的啟 動(dòng),就可以將計(jì)算機(jī)的資料毫不費(fèi)力地全部拷走,而且不留任何痕跡。
本發(fā)明的目的在于提供一種實(shí)現(xiàn)局域網(wǎng)信息安全的方法及基于該方法的安全網(wǎng)卡、 網(wǎng)絡(luò)。該方法的創(chuàng)新點(diǎn)在于在普通網(wǎng)卡的基礎(chǔ)上,通過(guò)新增一個(gè)芯片或模塊,在該芯 片或模塊內(nèi)植入加密/解密機(jī)制使其成為加解密芯片,由該加解密芯片實(shí)現(xiàn)對(duì)以太網(wǎng)報(bào)文 的強(qiáng)行加/解密處理。
前述的芯片,可采用普通的可編程芯片,或采用ASIC芯片,或用各類CPU來(lái)實(shí)現(xiàn)。 所述的實(shí)現(xiàn)局域網(wǎng)信息安全的方法對(duì)報(bào)文的加密機(jī)制為
1) 接收?qǐng)?bào)文輸入;
2) 定位數(shù)據(jù)字段,提取數(shù)據(jù);
3) 加密數(shù)據(jù)字段,對(duì)數(shù)據(jù)字段進(jìn)行加密算法;
4) 重新計(jì)算FCS,加上原來(lái)的目的MAC地址和源MAC地址,重新計(jì)算FCS校 驗(yàn)域;
5) 重新構(gòu)造報(bào)文;
6) 發(fā)送報(bào)文輸出,交換機(jī)可以根據(jù)該加密報(bào)文的目的MAC地址尋找到正確的目的 計(jì)算機(jī);
對(duì)報(bào)文的解密機(jī)制為
1) 接收?qǐng)?bào)文輸入;
2) 校驗(yàn)數(shù)據(jù)字段,提取相應(yīng)數(shù)據(jù);
3) 解密數(shù)據(jù)字段,對(duì)數(shù)據(jù)字段進(jìn)行解密算法;
4) 重新構(gòu)造報(bào)文;
5) 發(fā)送報(bào)文輸出。
所述的加密過(guò)程中步驟2)定位數(shù)據(jù)字段,提取數(shù)據(jù),所提取的數(shù)據(jù)包含TYPE 域和DATA域,即類型長(zhǎng)度域和數(shù)據(jù)凈荷。
基于該方法的安全網(wǎng)卡(SafeNIC),它包括 一塊8139芯片、兩塊PHY芯片、一 個(gè)RJ45插口,它還包括一塊植入有加解密機(jī)制的加解密芯片,該網(wǎng)卡結(jié)構(gòu)為按8139 芯片-PHY芯片-加解密芯片-PHY芯片-RJ45插口的順序通信連接。
基于該安全網(wǎng)卡的網(wǎng)絡(luò)連接,當(dāng)所組建的安全內(nèi)網(wǎng)無(wú)需同外網(wǎng)進(jìn)行信息交換時(shí),該 網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)都分別裝上了普通網(wǎng)卡或安全網(wǎng)卡,然后全部接入一臺(tái)以太網(wǎng)交換機(jī), 以太網(wǎng)交換機(jī)的上行口接路由器的LAN 口,路由器的WAN 口接入Internet。
上述的網(wǎng)絡(luò)連接中,當(dāng)安全內(nèi)網(wǎng)需要同外網(wǎng)進(jìn)行信息交換時(shí),可在其中一臺(tái)或多臺(tái) 計(jì)算機(jī)上同時(shí)安裝普通網(wǎng)卡和安全網(wǎng)卡,此計(jì)算機(jī)稱為安全官員計(jì)算機(jī)(Safe Officer), 安全官員計(jì)算機(jī)作為內(nèi)外網(wǎng)信息交換的中轉(zhuǎn)站。
當(dāng)安全內(nèi)網(wǎng)包含多個(gè)子網(wǎng)時(shí),各個(gè)獨(dú)立的二層安全內(nèi)網(wǎng)都接入安全接入器 (SafeGuard),安全接入器通過(guò)外網(wǎng)的三層交換機(jī)(L3 Switch)和路由器(Router)連接 Internet 。
所述的安全接入器對(duì)從二層安全內(nèi)網(wǎng)收到的內(nèi)網(wǎng)報(bào)文進(jìn)行解密后打上內(nèi)網(wǎng)對(duì)應(yīng)的 VLAN的ID號(hào),外網(wǎng)報(bào)文直接打上外網(wǎng)對(duì)應(yīng)的VLAN的ID號(hào),再發(fā)送到三層交換機(jī)。 安全接入器對(duì)從三層交換機(jī)收到的報(bào)文,根據(jù)其VLAN的ID號(hào)決定處理方式,對(duì)帶內(nèi) 網(wǎng)VLAN的ID號(hào)的報(bào)文進(jìn)行加密處理,對(duì)帶外網(wǎng)VLAN的ID號(hào)的報(bào)文直接透?jìng)魈幚恚?然后發(fā)往二層安全內(nèi)網(wǎng)。
所述的安全接入器對(duì)從三層交換機(jī)收到的報(bào)文,根據(jù)其VLAN的ID號(hào)決定處理方 式,對(duì)帶內(nèi)網(wǎng)VLAN的ID號(hào)的報(bào)文進(jìn)行加密處理,對(duì)帶外網(wǎng)VLAN的ID號(hào)的報(bào)文直 接透?jìng)魈幚?,然后發(fā)往二層安全內(nèi)網(wǎng)。
本發(fā)明的有益技術(shù)效果是1)安全方面,提升內(nèi)網(wǎng)數(shù)據(jù)安全性,2)使用方面,實(shí) 現(xiàn)了內(nèi)外網(wǎng)的物理位置融合,使用方便,3)兼容性,無(wú)須對(duì)已有設(shè)備進(jìn)行更換,成本 低廉,4)建網(wǎng)升級(jí)改造簡(jiǎn)便無(wú)需改變以往通信設(shè)備,5)管理方面,只需保證計(jì)算機(jī)的 物理安全,降低了管理的難度和工作量,6)技術(shù)上保證了不經(jīng)過(guò)安全官員計(jì)算機(jī),內(nèi) 網(wǎng)資料不可能傳遞到外網(wǎng)。 [
]
附圖l,普通以太網(wǎng)的報(bào)文格式;
附圖2,加密后以太網(wǎng)的報(bào)文格式;
附圖3,加密過(guò)程流程圖; 附圖4,安全網(wǎng)卡芯片連接附圖5,內(nèi)外網(wǎng)無(wú)需進(jìn)行信息交換時(shí)利用安全網(wǎng)卡組網(wǎng)的基本結(jié)構(gòu)示意圖; 附圖6,內(nèi)外網(wǎng)需進(jìn)行信息交換時(shí)利用安全網(wǎng)卡組網(wǎng)的基本結(jié)構(gòu)示意圖; 附圖7,復(fù)雜三層安全網(wǎng)絡(luò)組網(wǎng)示意附圖中計(jì)算機(jī)l,安全官員計(jì)算機(jī)2,普通網(wǎng)卡3,安全網(wǎng)卡4,交換機(jī)5,路由
器6,安全接入器7, 二層交換機(jī)8,三層交換機(jī)9。 [具體實(shí)施方式
]
一種實(shí)現(xiàn)局域網(wǎng)信息安全的方法,其特征在于在普通網(wǎng)卡的基礎(chǔ)上,通過(guò)新增一
個(gè)芯片或模塊,在該芯片或模塊內(nèi)植入加密/解密機(jī)制使其成為加解密芯片,由該加解密 芯片實(shí)現(xiàn)對(duì)以太網(wǎng)報(bào)文的強(qiáng)行加/解密處理。
所述的芯片,可采用普通的可編程芯片,或采用ASIC芯片,或用各類CPU來(lái)實(shí)現(xiàn)。
ASIC芯片是一種可應(yīng)特定用戶要求和特定電子系統(tǒng)的需要而設(shè)計(jì)制造的集成電 路,我們可直接向ASIC芯片生產(chǎn)廠家定制植入有下文所述的加/解密機(jī)制的ASIC芯片, 采用這種定制的ASIC芯片所實(shí)現(xiàn)的功能及其與其它硬件的連接結(jié)構(gòu),與采用普通的可 編程芯片或用各類CPU來(lái)實(shí)現(xiàn)本發(fā)明的方案一致。
參見(jiàn)附圖l,普通以太網(wǎng)的報(bào)文格式為
SFD域?yàn)榍皩?dǎo)碼字段:8字節(jié)。
DMAC為目的MAC地址:6字節(jié)。
SMAC為源MAC地址:6字節(jié)。
TYPE為長(zhǎng)度類型域:2字節(jié)。
DATA為凈荷字段:長(zhǎng)度為46字節(jié)到1500字節(jié)。
FCS域?yàn)閹r?yàn)字段:4字節(jié)。
參見(jiàn)附圖3,對(duì)報(bào)文的加密機(jī)制為
1) 接收?qǐng)?bào)文輸入;
2) 定位數(shù)據(jù)字段,數(shù)據(jù)字段包含TYPE域、DATA域,即類型長(zhǎng)度域和數(shù)據(jù)凈 荷;提取數(shù)據(jù);
3) 加密數(shù)據(jù)字段,對(duì)數(shù)據(jù)字段進(jìn)行加密算法,對(duì)其它地址相關(guān)字段進(jìn)行透串;
4) 重新計(jì)算FCS,加上原來(lái)的目的MAC地址和源MAC地址,重新計(jì)算FCS校 驗(yàn)域;
5) 重新構(gòu)造報(bào)文;
6) 發(fā)送報(bào)文輸出,交換機(jī)可以根據(jù)該加密報(bào)文的目的MAC地址尋找到正確的目的 計(jì)算機(jī);
對(duì)報(bào)文的解密機(jī)制為 .1)接收?qǐng)?bào)文輸入;
2) 校驗(yàn)數(shù)據(jù)字段,提取相應(yīng)數(shù)據(jù);
3) 解密數(shù)據(jù)字段,對(duì)數(shù)據(jù)字段進(jìn)行解密算法;
4) 重新構(gòu)造報(bào)文;
5) 發(fā)送報(bào)文輸出;
參見(jiàn)附圖2,在數(shù)據(jù)字段只定位為包含TYPE域和DATA域的情況,經(jīng)過(guò)加密后以 太網(wǎng)的報(bào)文格式
SFD域?yàn)榍皩?dǎo)碼字段:未加密。 DMAC為目的MAC地址:未加密。 SMAC為源MAC地址:未加密。 TYPE為長(zhǎng)度類型域:已加密。 DATA為凈荷字段:已加密。 FCS域?yàn)閹r?yàn)字段:未加密。
所述的加密過(guò)程中步驟2)定位數(shù)據(jù)字段,提取數(shù)據(jù),所提取的數(shù)據(jù)包含TYPE 域和DATA域,即類型長(zhǎng)度域和數(shù)據(jù)凈荷。
參見(jiàn)附圖4, 一種基于實(shí)現(xiàn)局域網(wǎng)信息安全的方法的安全網(wǎng)卡,它包括 一塊8139 芯片、兩塊PHY芯片、 一個(gè)RJ45插口,其特征在于它還包括一塊植入有加解密機(jī)制 的加解密芯片,該網(wǎng)卡結(jié)構(gòu)為按8139芯片-PHY芯片-加解密芯片-PHY芯片-RJ45插 口的順序通信連接。
所述的加解密芯片工作原理為加解密芯片在收到CPU傳來(lái)的一個(gè)普通的以太網(wǎng) 報(bào)文時(shí),首先提取其中的數(shù)據(jù)字段(包括類型、長(zhǎng)度域和數(shù)據(jù)凈荷),強(qiáng)行將其數(shù)據(jù)字 段進(jìn)行加密,該加密過(guò)程不受CPU控制,對(duì)軟件為不可見(jiàn)(這樣可以防止病毒的威脅); 加密完成后,加上原來(lái)的目的MAC地址和源MAC地址,重新計(jì)算FCS校驗(yàn)域,就得 到了一個(gè)加密的二層以太網(wǎng)報(bào)文,該報(bào)文由于目的MAC地址未改變,二層交換機(jī)8可 以根據(jù)該加密報(bào)文的目的MAC地址尋找到正確的目的計(jì)算機(jī)1,將該加密報(bào)文發(fā)送到 正確的目的計(jì)算機(jī)l,而且由于該報(bào)文的源MAC地址未改變,二層交換機(jī)8可以根據(jù)
該加密報(bào)文的源MAC地址建立正確的MAC地址表項(xiàng),確保對(duì)端的響應(yīng)報(bào)文的正確尋 址;當(dāng)加密報(bào)文正確到達(dá)目的計(jì)算機(jī)l后,如果該計(jì)算機(jī)l的網(wǎng)卡也是安全網(wǎng)卡4,那 么安全網(wǎng)卡4內(nèi)的加解密芯片將對(duì)該報(bào)文進(jìn)行解密處理,同樣解密過(guò)程對(duì)CPU為不可 見(jiàn)(確保加/解密算法的安全),解密后的報(bào)文與源端計(jì)算機(jī)1CPU發(fā)出的報(bào)文完全相同, 這樣CPU就可以正確解析出報(bào)文內(nèi)部的信息;如果目的計(jì)算機(jī)l的網(wǎng)卡是普通網(wǎng)卡3, 那么它無(wú)法對(duì)報(bào)文進(jìn)行解密處理,該報(bào)文在傳給CPU后會(huì)因?yàn)闊o(wú)法解析而被當(dāng)成錯(cuò)包 丟棄,這樣內(nèi)網(wǎng)計(jì)算機(jī)1就可以利用安全網(wǎng)卡4進(jìn)行安全暢通地通信,同時(shí)外網(wǎng)計(jì)算機(jī) 1也可以利用普通網(wǎng)卡3同外網(wǎng)計(jì)算機(jī)1自由通信,外網(wǎng)計(jì)算機(jī)l可以同Internet連接, 進(jìn)行自由的信息交流,而內(nèi)網(wǎng)計(jì)算機(jī)l雖然同外網(wǎng)計(jì)算機(jī)l近在咫尺,但卻不可能同外 網(wǎng)計(jì)算機(jī)l直接通信,技術(shù)上保證了不經(jīng)過(guò)安全官員計(jì)算機(jī)2,內(nèi)網(wǎng)資料不可能傳遞到 外網(wǎng)。
上述加解密芯片工作原理中的核心是讓原有的MAC地址和源MAC地址信息透明, 其它字段加密,具體報(bào)文的構(gòu)造則可以采用不同的構(gòu)造,如其中一種提取其中的數(shù)據(jù) 字段進(jìn)行硬件加密,加密完成后,加上原來(lái)的目的MAC地址和源MAC地址,重新計(jì) 算FCS校驗(yàn)域;也可以采用其它構(gòu)造復(fù)制原報(bào)文的目的MAC地址和源MAC地址作 為新報(bào)文的目的MAC地址和源MAC地址,提取其中的數(shù)據(jù)字段進(jìn)行硬件加密,加密 完成后,將原報(bào)文的整個(gè)報(bào)文(包括加密后的字段和地址字段)連同復(fù)制的目的MAC 地址和源MAC地址一起重新構(gòu)造報(bào)文計(jì)算FCS校驗(yàn)域。
實(shí)施例l:
如果準(zhǔn)備組建一個(gè)小型的安全內(nèi)網(wǎng),該安全內(nèi)網(wǎng)為一個(gè)子網(wǎng),交換機(jī)5只進(jìn)行二層 交換,那么安全網(wǎng)卡4的處理對(duì)象是二層的以太網(wǎng)報(bào)文。
參見(jiàn)附圖5, 一種簡(jiǎn)單二層安全網(wǎng)絡(luò)組網(wǎng),即內(nèi)外網(wǎng)無(wú)需進(jìn)行信息交換時(shí)利用安全 網(wǎng)卡4組網(wǎng)的基本結(jié)構(gòu)示意圖,圖中每臺(tái)計(jì)算機(jī)1都分別裝上了普通網(wǎng)卡3或安全網(wǎng)卡 4,然后全部接入一臺(tái)以太網(wǎng)交換機(jī)5,以太網(wǎng)交換機(jī)5的上行口接路由器6的LAN口, 最后路由器6的WAN 口接入Internet,從附圖5中大家可以看到,二層交換機(jī)8的接口 得到了充分利用,連接方法也相當(dāng)簡(jiǎn)便,內(nèi)外網(wǎng)設(shè)備完全可以混合在一起,內(nèi)網(wǎng)計(jì)算機(jī) 和外網(wǎng)計(jì)算機(jī)可以放在同一張辦公桌上,操作者可以在內(nèi)網(wǎng)計(jì)算機(jī)上處理工作,同時(shí)通 過(guò)外網(wǎng)計(jì)算機(jī)査詢資料由于技術(shù)手段已經(jīng)保證了內(nèi)網(wǎng)的信息安全, 一些便攜式計(jì)算機(jī)、 便攜式網(wǎng)口硬盤(pán)等設(shè)備也可以帶到以前戒備森嚴(yán)的內(nèi)網(wǎng)區(qū)域了。
安裝了安全網(wǎng)卡4的計(jì)算機(jī)可以接在原來(lái)的以太網(wǎng)交換機(jī)上,根本無(wú)需淘汰以前的
設(shè)備,節(jié)省了大量資金和人力,僅需換張網(wǎng)卡即可。
管理人員只要保證計(jì)算機(jī)機(jī)箱和機(jī)房的物理安全,也就保證了內(nèi)網(wǎng)的信息安全,這 比以前要檢査出入人員的便攜式計(jì)算機(jī)、便攜式網(wǎng)口硬盤(pán)等設(shè)備要簡(jiǎn)單得多,大大降低 了管理的難度和工作量,也大大減小了因管理失誤導(dǎo)致泄密的風(fēng)險(xiǎn)。
實(shí)施例2:
如果要實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的信息傳遞,可以設(shè)置一個(gè)安全官員計(jì)算機(jī)2,該計(jì)算機(jī)同
時(shí)安裝普通網(wǎng)卡3和安全網(wǎng)卡4,通過(guò)普通網(wǎng)卡3,該計(jì)算機(jī)可以同外網(wǎng)通信,通過(guò)安 全網(wǎng)卡4,該計(jì)算機(jī)可以同內(nèi)網(wǎng)進(jìn)行通信。所有內(nèi)網(wǎng)資料要傳遞到外網(wǎng),必須通過(guò)共享 給安全官員,由安全官員審查后傳遞到外網(wǎng);外網(wǎng)向內(nèi)網(wǎng)傳遞資料也可采用類似的辦法; 不通過(guò)安全官員計(jì)算機(jī)2,內(nèi)網(wǎng)資料是無(wú)法傳遞到外網(wǎng)的。
參見(jiàn)附圖6,內(nèi)外網(wǎng)需進(jìn)行信息交換時(shí)利用安全網(wǎng)卡組網(wǎng)的基本結(jié)構(gòu)示意圖,本例
與實(shí)施例1不同之處在于在其中一臺(tái)計(jì)算機(jī)上裝了一塊普通網(wǎng)卡3和一塊安全網(wǎng)卡4 雙網(wǎng)卡,這臺(tái)計(jì)算機(jī)就成為了一臺(tái)安全官員計(jì)算機(jī)2,在內(nèi)外網(wǎng)需要進(jìn)行信息交換時(shí)它
就起到了一個(gè)中轉(zhuǎn)站的作用。
實(shí)施例3:
如果準(zhǔn)備組建的是一個(gè)大型的安全內(nèi)網(wǎng),該安全內(nèi)網(wǎng)有多個(gè)子網(wǎng),需要三層交換機(jī)
9和路由器6的參與,首先需要將每個(gè)子網(wǎng)按照實(shí)施例1或?qū)嵤├?建立二層安全內(nèi)網(wǎng) 的方式建立起多個(gè)獨(dú)立的二層安全內(nèi)網(wǎng),然后將所有二層安全內(nèi)網(wǎng)都接入安全接入器7。 對(duì)從二層安全內(nèi)網(wǎng)收到的報(bào)文,安全接入器7分別在外網(wǎng)的普通報(bào)文打上一個(gè)外網(wǎng)對(duì)應(yīng) 的VLAN的ID號(hào)發(fā)送到三層交換機(jī)9,在內(nèi)網(wǎng)的加密報(bào)文解密后打上一個(gè)內(nèi)網(wǎng)對(duì)應(yīng)的 VLAN的ID號(hào)發(fā)送到三層交換機(jī)9。安全接入器7對(duì)從三層交換機(jī)9收到的報(bào)文,根 據(jù)其VLAN的ID號(hào)決定處理方式,對(duì)帶內(nèi)網(wǎng)VLAN的ID號(hào)的報(bào)文進(jìn)行加密處理,對(duì) 帶外網(wǎng)VLAN的ID號(hào)的報(bào)文直接透?jìng)魈幚?,然后發(fā)往二層安全內(nèi)網(wǎng),安全接入器7在 接收到三層交換機(jī)9發(fā)來(lái)的報(bào)文時(shí),根據(jù)其VLAN的ID號(hào)來(lái)決定是將該報(bào)文進(jìn)行加密還 是透?jìng)鳌?br>
這樣就可以通過(guò)配置交換機(jī)和路由器的VLAN交換規(guī)則實(shí)現(xiàn)多個(gè)二層安全內(nèi)網(wǎng)的 互聯(lián)。
參見(jiàn)附圖7,多個(gè)二層安全網(wǎng)絡(luò)通過(guò)安全接入器7匯聚到三層交換機(jī)9和路由器6 再連接到Internet,三層交換機(jī)9和路由器6通過(guò)VLAN的ID號(hào)來(lái)區(qū)分內(nèi)網(wǎng)和外網(wǎng)的計(jì) 算機(jī),通過(guò)配置三層交換機(jī)9和路由器6的VLAN訪問(wèn)控制權(quán)限來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)計(jì)算
機(jī)的隔離以及實(shí)現(xiàn)對(duì)Internet的訪問(wèn)控制;內(nèi)網(wǎng)外網(wǎng)的信息交換可以通過(guò)安全官員計(jì)算 機(jī)2來(lái)實(shí)現(xiàn),安全官員計(jì)算機(jī)2同時(shí)安裝有普通網(wǎng)卡3和安全網(wǎng)卡4,通過(guò)普通網(wǎng)卡3 同外網(wǎng)連接,通過(guò)安全網(wǎng)卡4同內(nèi)網(wǎng)連接。
通過(guò)前面幾個(gè)實(shí)施例可以看出如果只建一個(gè)簡(jiǎn)單的二層安全網(wǎng)絡(luò),根本就無(wú)需改 變以往的通信設(shè)備,甚至不需修改配置;建立復(fù)雜的三層安全網(wǎng)絡(luò)時(shí),僅需在二層交換 機(jī)8和路由器6間增加安全接入器7和三層交換機(jī)9;簡(jiǎn)單的二層安全網(wǎng)絡(luò)對(duì)物理空間 幾乎無(wú)要求,只有復(fù)雜的三層安全網(wǎng)絡(luò)才需設(shè)置專門(mén)的安全機(jī)房用以確保三層交換機(jī)9、 路由器6、安全接入器7的物理安全。
采用上述實(shí)施例l、實(shí)施例2、實(shí)施例3組網(wǎng)后,當(dāng)一個(gè)以太網(wǎng)報(bào)文要通過(guò)安全網(wǎng) 卡3的網(wǎng)口向外發(fā)送時(shí),加/解密芯片會(huì)對(duì)該報(bào)文的數(shù)據(jù)部分進(jìn)行硬件加密后再發(fā)出,如 果是普通網(wǎng)卡3的網(wǎng)口收到了該報(bào)文,那么它會(huì)因無(wú)法解密報(bào)文而無(wú)法同安全網(wǎng)卡4建 立有效連接,如果是安全網(wǎng)卡4的網(wǎng)口收到了該報(bào)文,那么加/解密芯片會(huì)將其解密后接 收。簡(jiǎn)單來(lái)說(shuō)就是只要是不能對(duì)加密報(bào)文進(jìn)行解密的以太網(wǎng)終端設(shè)備,都無(wú)法同安全 網(wǎng)卡4建立有效連接。這樣,通過(guò)對(duì)以太網(wǎng)報(bào)文加密、解密的過(guò)程,實(shí)現(xiàn)了安全網(wǎng)卡4 和普通網(wǎng)卡3之間的有效隔離,從而防止了內(nèi)網(wǎng)信息通過(guò)網(wǎng)口泄漏出去。
在安全網(wǎng)卡4工作時(shí)8139芯片完成普通網(wǎng)卡3的基本功能,PHY芯片起接口轉(zhuǎn)換 作用,起核心作用的是加/解密芯片。
權(quán)利要求
1、一種實(shí)現(xiàn)局域網(wǎng)信息安全的方法,其特征在于在普通網(wǎng)卡的基礎(chǔ)上,通過(guò)新增一個(gè)芯片或模塊,在該芯片或模塊內(nèi)植入加密/解密機(jī)制使其成為加解密芯片,由該加解密芯片實(shí)現(xiàn)對(duì)以太網(wǎng)報(bào)文的強(qiáng)行加/解密處理。。
2、 根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)局域網(wǎng)信息安全的方法,其特征在于所述的芯片, 可采用普通的可編程芯片,或采用ASIC芯片,或用各類CPU來(lái)實(shí)現(xiàn)。
3、 根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)局域網(wǎng)信息安全的方法,其特征在于對(duì)報(bào)文的加 密機(jī)制為1) 接收?qǐng)?bào)文輸入;2) 定位數(shù)據(jù)字段,提取數(shù)據(jù);3) 加密數(shù)據(jù)字段,對(duì)數(shù)據(jù)字段進(jìn)行加密算法;4) 重新計(jì)算FCS,加上原來(lái)的目的MAC地址和源MAC地址,重新計(jì)算FCS校 驗(yàn)域;5) 重新構(gòu)造報(bào)文;6) 發(fā)送報(bào)文輸出,交換機(jī)可以根據(jù)該加密報(bào)文的目的MAC地址尋找到正確的目的 計(jì)算機(jī);對(duì)報(bào)文的解密機(jī)制為1) 接收?qǐng)?bào)文輸入;2) 校驗(yàn)數(shù)據(jù)字段,提取相應(yīng)數(shù)據(jù);3) 解密數(shù)據(jù)字段,對(duì)數(shù)據(jù)字段進(jìn)行解密算法;4) 重新構(gòu)造報(bào)文;5) 發(fā)送報(bào)文輸出。
4、 根據(jù)權(quán)利要求3所述的實(shí)現(xiàn)局域網(wǎng)信息安全的方法,其特征在于所述的加密 過(guò)程中步驟2)定位數(shù)據(jù)字段,提取數(shù)據(jù),所提取的數(shù)據(jù)包含TYPE域和DATA域,即類型長(zhǎng)度域和數(shù)據(jù)凈荷。
5、 一種基于實(shí)現(xiàn)局域網(wǎng)信息安全的方法的安全網(wǎng)卡,它包括 一塊8139芯片、兩塊PHY芯片、 一個(gè)RJ45插口,其特征在于它還包括一塊加解密芯片,該網(wǎng)卡結(jié)構(gòu)為 按8139芯片-raY芯片-加解密芯片-PHY芯片-RJ45插口的順序通信連接。
6、 一種基于安全網(wǎng)卡的網(wǎng)絡(luò),其特征在于所組建的安全內(nèi)網(wǎng)內(nèi)的計(jì)算機(jī)(1 )都分別裝上了普通網(wǎng)卡(3)或安全網(wǎng)卡(4),然后全部接入一臺(tái)以太網(wǎng)交換機(jī)(5), 以太網(wǎng)交換機(jī)(5)的上行口接路由器(6)的LAN 口,路由器(6)的WAN 口接入Internet。
7、 根據(jù)權(quán)利要求6所述的基于安全網(wǎng)卡的網(wǎng)絡(luò),其特征在于在各計(jì)算機(jī)(1 ) 中的任一臺(tái)或多臺(tái)計(jì)算機(jī)上同時(shí)安裝普通網(wǎng)卡(3)和安全網(wǎng)卡(4),成為安全官員計(jì) 算機(jī)(2),作為內(nèi)外網(wǎng)信息交換的中轉(zhuǎn)站。
8、 根據(jù)權(quán)利要求7所述的基于安全網(wǎng)卡的網(wǎng)絡(luò),其特征在于所述的安全內(nèi)網(wǎng)包 含多個(gè)子網(wǎng)時(shí),各個(gè)獨(dú)立的二層安全內(nèi)網(wǎng)都接入安全接入器(7),安全接入器(7)通 過(guò)外網(wǎng)的三層交換機(jī)(9)和路由器(6)連接到Internet。
9、 根據(jù)權(quán)利要求8所述的基于安全網(wǎng)卡的網(wǎng)絡(luò),其特征在于所述的安全接入器 (7)對(duì)從二層安全內(nèi)網(wǎng)收到的內(nèi)網(wǎng)報(bào)文進(jìn)行解密后打上內(nèi)網(wǎng)對(duì)應(yīng)的VLAN的ID號(hào),外網(wǎng)報(bào)文直接打上外網(wǎng)對(duì)應(yīng)的VLAN的ID號(hào),再發(fā)送到三層交換機(jī)。
10、 根據(jù)權(quán)利要求9所述的基于安全網(wǎng)卡的網(wǎng)絡(luò),其特征在于所述的安全接入器 (7)對(duì)從三層交換機(jī)收到的報(bào)文,根據(jù)其VLAN的ID號(hào)決定處理方式,對(duì)帶內(nèi)網(wǎng)VLAN的ID號(hào)的報(bào)文進(jìn)行加密處理,對(duì)帶外網(wǎng)VLAN的ID號(hào)的報(bào)文直接透?jìng)魈幚?,然后發(fā) 往二層安全內(nèi)網(wǎng)。
全文摘要
本發(fā)明公開(kāi)了一種實(shí)現(xiàn)局域網(wǎng)信息安全的方法及基于方法的安全網(wǎng)卡及網(wǎng)絡(luò),該方法在對(duì)以太網(wǎng)報(bào)文加密時(shí),利用設(shè)計(jì)有加密/解密功能的芯片對(duì)接收到的報(bào)文強(qiáng)行硬件加密再輸出;解密時(shí)校驗(yàn)報(bào)文是否經(jīng)過(guò)加密,對(duì)相應(yīng)報(bào)文進(jìn)行解密,其加/解密過(guò)程對(duì)CPU都為不可見(jiàn),普通網(wǎng)卡網(wǎng)口收到經(jīng)加密的報(bào)文,會(huì)因無(wú)法解密報(bào)文而無(wú)法同安全網(wǎng)卡建立有效連接;所組建的安全網(wǎng)絡(luò)在其中一臺(tái)計(jì)算機(jī)上裝了一塊普通網(wǎng)卡和一塊安全網(wǎng)卡雙網(wǎng)卡,這臺(tái)計(jì)算機(jī)就成為了一臺(tái)安全官員計(jì)算機(jī),在內(nèi)外網(wǎng)需要進(jìn)行信息交換時(shí)它就起到了一個(gè)中轉(zhuǎn)站的作用;本發(fā)明的有益技術(shù)效果是提升內(nèi)網(wǎng)數(shù)據(jù)安全性,使用方便,成本低廉,無(wú)需改變以往通信設(shè)備,降低了管理的難度和工作量,技術(shù)上保證了不經(jīng)過(guò)安全官員計(jì)算機(jī),內(nèi)網(wǎng)資料不可能傳遞到外網(wǎng)。
文檔編號(hào)H04L9/00GK101179376SQ20071009310
公開(kāi)日2008年5月14日 申請(qǐng)日期2007年12月5日 優(yōu)先權(quán)日2007年12月5日
發(fā)明者剛 龍 申請(qǐng)人:龍 剛;重慶佳歐科技有限公司