專利名稱:一種內(nèi)網(wǎng)安全系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及網(wǎng)絡(luò)安全領(lǐng)域�,尤其涉及一種內(nèi)網(wǎng)安全系統(tǒng)。
背景技術(shù):
在現(xiàn)今信息技術(shù)高速發(fā)展的今天��,計(jì)算機(jī)技術(shù)以及電腦高科技產(chǎn)品已經(jīng)成為了產(chǎn) 業(yè)發(fā)展的重要推動(dòng)力之一��。隨著網(wǎng)絡(luò)與計(jì)算機(jī)的普及��,由局域網(wǎng)作為基干的企業(yè)����、政府、學(xué) 校等辦公信息化自動(dòng)化已經(jīng)逐步建立起來(lái)����,并且趨于成熟。局域網(wǎng),亦稱內(nèi)網(wǎng)���,在交互過(guò)程 中既享受到了網(wǎng)絡(luò)信息���,辦公資源互聯(lián)���、共享帶來(lái)的便捷與實(shí)惠����,然而與此同時(shí)也面臨網(wǎng)絡(luò) 信息安全的挑戰(zhàn)����。一批以解決內(nèi)網(wǎng)與互聯(lián)網(wǎng)的連接過(guò)程的信息安全為導(dǎo)向的產(chǎn)品、解決辦法的研 究�,正在如火如荼的進(jìn)行中。防火墻就是其中比較具有代表性的而且被廣為接受�����,同時(shí)還是 技術(shù)比較成熟的產(chǎn)品����。防火墻就是一種將諸如病毒,非授權(quán)用戶訪問(wèn)以及駭客等可能對(duì)內(nèi)網(wǎng)資源以及信 息安全構(gòu)成威脅的行為加以阻止��,防患于未然的軟件硬件相結(jié)合的嵌入式系統(tǒng)。如圖1所 示��。防火墻1’直接聯(lián)入基干網(wǎng)2’中�,它對(duì)于網(wǎng)絡(luò)訪問(wèn)行為、數(shù)據(jù)的發(fā)送接受進(jìn)行實(shí)時(shí)干預(yù) 的運(yùn)行模式和方法��。是值得內(nèi)網(wǎng)安全所值得借鑒的��。然而�,隨著計(jì)算機(jī)技術(shù)的不斷提高和局域網(wǎng)內(nèi)廣大客戶用戶群體的不斷擴(kuò)大,客 戶群體中還可能存在對(duì)客戶的訪問(wèn)級(jí)別差異��,以及可進(jìn)行的操作進(jìn)行細(xì)分的需要�����?��!胺阑?墻”式的單純過(guò)濾或屏蔽客戶的訪問(wèn)及其僅僅能夠面對(duì)來(lái)自外部網(wǎng)絡(luò)對(duì)局域網(wǎng)內(nèi)的入侵�、 病毒主動(dòng)防御�����,并不能滿足我們實(shí)際應(yīng)用的全部要求達(dá)到能夠監(jiān)督控制內(nèi)網(wǎng)的目的,我們 更加需要對(duì)得到認(rèn)可可以使用內(nèi)網(wǎng)資源的整個(gè)用戶群體進(jìn)行區(qū)分�����,區(qū)別對(duì)待��,智能化的監(jiān) 督和管理每個(gè)終端用戶只能“照章辦事”����,“不可越雷池一步”����。在另外一方面,如微軟視窗服務(wù)器版本的操作系統(tǒng)�����,從軟件角度引入了數(shù)字認(rèn)證�。 采用了服務(wù)器自身對(duì)聯(lián)入的客戶終端所歸屬的類別以及所能訪問(wèn)使用的資源進(jìn)行管理、監(jiān) 督和控制的機(jī)制���。這樣的數(shù)字認(rèn)證以及管理分類監(jiān)控機(jī)制是比較先進(jìn)又切實(shí)可行的����。然而 單純通過(guò)服務(wù)器實(shí)現(xiàn)就出現(xiàn)了以下的幾點(diǎn)不足其一,單一服務(wù)器接入方式����,因?yàn)榉?wù)器集電子認(rèn)證發(fā)放審核,資源處理�,運(yùn)算等 多角色于一身,嚴(yán)重增大了自身負(fù)荷��,局限了局域網(wǎng)規(guī)模�����,并且使局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)成為 “星形”��,如圖2所示�,如果服務(wù)器3’發(fā)生問(wèn)題,將會(huì)造成局域網(wǎng)絡(luò)的全面癱瘓����。這樣的集中 式網(wǎng)絡(luò)構(gòu)架,會(huì)減慢局域網(wǎng)整體運(yùn)行速度�,影響局域網(wǎng)的穩(wěn)定性以及規(guī)模化��,對(duì)大型企業(yè)���、 高等院校及政府機(jī)關(guān)部門(mén)要求����,穩(wěn)定、大吞吐量的要求存在著相當(dāng)?shù)牟罹?�。其二�,如果使用了上述以服?wù)器節(jié)點(diǎn)為中心的星型集中式網(wǎng)絡(luò),當(dāng)該局域網(wǎng)要求 對(duì)數(shù)字認(rèn)證系統(tǒng)有適當(dāng)?shù)娜哂啾WC系統(tǒng)穩(wěn)定性和可擴(kuò)展性的時(shí)候��。通過(guò)添加新的服務(wù)器����, 往往是一種非常不必要的開(kāi)銷��。其三�,如果是通過(guò)服務(wù)器來(lái)提供數(shù)字認(rèn)證,如此的拓?fù)浣Y(jié)構(gòu)�����,不利于對(duì)局域網(wǎng)內(nèi)每 個(gè)客戶終端之間的直接連接進(jìn)行管理���。[0010]綜上所述�,現(xiàn)在的局域網(wǎng)需要一種穩(wěn)定高效,投入產(chǎn)出比高���,實(shí)用性高的設(shè)備產(chǎn)品 及其簡(jiǎn)便易行的能夠支持環(huán)型網(wǎng)絡(luò)拓?fù)?,切?shí)地到達(dá)能夠監(jiān)控內(nèi)網(wǎng)的功能����。
發(fā)明內(nèi)容本實(shí)用新型的目的在于克服現(xiàn)有技術(shù)的缺陷而提供一種內(nèi)網(wǎng)安全系統(tǒng),它采用非 單一服務(wù)器的接入使得其自身負(fù)荷小�,可廣泛運(yùn)用于多種拓?fù)浣Y(jié)構(gòu)的局域網(wǎng)絡(luò)。實(shí)現(xiàn)上述目的的技術(shù)方案是一種內(nèi)網(wǎng)安全系統(tǒng)��,包括內(nèi)網(wǎng)用戶終端和被訪網(wǎng)絡(luò) 終端��,所述的內(nèi)網(wǎng)用戶終端發(fā)出請(qǐng)求訪問(wèn)消息給所述的被訪網(wǎng)絡(luò)終端以進(jìn)行訪問(wèn)��,其中�����,還 包括一分別與所述的內(nèi)網(wǎng)用戶終端和被訪網(wǎng)絡(luò)終端相連的服務(wù)器�。上述的內(nèi)網(wǎng)安全系統(tǒng),其中�����,所述的服務(wù)器為小型服務(wù)器。本實(shí)用新型的有益效果是本實(shí)用新型通過(guò)將服務(wù)器分別與內(nèi)網(wǎng)用戶終端和被訪 網(wǎng)絡(luò)終端連接����,而內(nèi)網(wǎng)用戶終端和被訪網(wǎng)絡(luò)終端也連接,結(jié)構(gòu)簡(jiǎn)單����,采用了這種非單一服務(wù) 器的接入方式,即服務(wù)器不采用串接方式�,而是采用了并聯(lián)的方式,使其自身負(fù)荷小�,可廣 泛運(yùn)用于多種拓?fù)浣Y(jié)構(gòu)的局域網(wǎng)絡(luò)。
圖1是現(xiàn)有技術(shù)中硬件防火墻的基本工作原理示意圖�;圖2是現(xiàn)有技術(shù)中依靠單一服務(wù)器自身管理認(rèn)證功能而形成“星形”網(wǎng)絡(luò)拓?fù)浣Y(jié) 構(gòu)示意圖;圖3是本實(shí)用新型的一種內(nèi)網(wǎng)安全系統(tǒng)的原理圖����;圖4是本實(shí)用新型的本實(shí)用新型用于校內(nèi)網(wǎng)絡(luò)的應(yīng)用實(shí)施例示意圖���。
具體實(shí)施方式
下面將結(jié)合附圖對(duì)本實(shí)用新型做進(jìn)一步說(shuō)明����。請(qǐng)參閱圖3�����,圖中示出了本實(shí)用新型的一種內(nèi)網(wǎng)安全系統(tǒng)的其中一個(gè)客戶終端的 節(jié)點(diǎn)的原理圖,包括內(nèi)網(wǎng)用戶終端1和被訪網(wǎng)絡(luò)終端2��,內(nèi)網(wǎng)用戶終端1發(fā)出請(qǐng)求訪問(wèn)消息 給被訪網(wǎng)絡(luò)終端2以進(jìn)行訪問(wèn)��,還包括一分別與內(nèi)網(wǎng)用戶終端1和被訪網(wǎng)絡(luò)終端2相連的 服務(wù)器3�����,該服務(wù)器3中可以預(yù)先存儲(chǔ)有網(wǎng)絡(luò)訪問(wèn)規(guī)則以及與該網(wǎng)絡(luò)訪問(wèn)規(guī)則所對(duì)應(yīng)的電 子數(shù)字證書(shū)�����。工作原理服務(wù)器3首先為內(nèi)網(wǎng)用戶終端1賦予一電子數(shù)字證書(shū)���,電子數(shù)字證書(shū)將 成為該網(wǎng)絡(luò)用戶終端的“身份證件”在整個(gè)內(nèi)網(wǎng)中流通�����,當(dāng)該內(nèi)網(wǎng)用戶終端1訪問(wèn)被訪網(wǎng)絡(luò) 終端2時(shí)�,比如����,訪問(wèn)另外一個(gè)網(wǎng)絡(luò)用戶終端�,訪問(wèn)信息服務(wù)器中的資料����,調(diào)用網(wǎng)絡(luò)打印機(jī) 等,則觸發(fā)數(shù)字認(rèn)證事件�,即被訪網(wǎng)絡(luò)終端2自動(dòng)調(diào)用服務(wù)器3中的網(wǎng)絡(luò)訪問(wèn)規(guī)則,根據(jù)內(nèi) 網(wǎng)用戶終端所攜帶的數(shù)字電子證書(shū)����,判斷其是否具有訪問(wèn)該被訪網(wǎng)絡(luò)終端的權(quán)限,并根據(jù) 判斷結(jié)果做相應(yīng)的處理��;服務(wù)器3還將內(nèi)網(wǎng)用戶終端1與其所訪問(wèn)的被訪網(wǎng)絡(luò)終端2的行 為進(jìn)行記錄�����,以形成可回溯的日志���;服務(wù)器3以預(yù)先設(shè)定好的時(shí)間間隔對(duì)內(nèi)網(wǎng)用戶終端1進(jìn) 行記錄����,構(gòu)成狀態(tài)恢復(fù)點(diǎn)����,在網(wǎng)絡(luò)出現(xiàn)故障或者需要重新啟動(dòng)的時(shí)候,提供以前有效工作狀 態(tài)的恢復(fù)參考��。在判斷內(nèi)網(wǎng)用戶終端1是否具有訪問(wèn)其被訪網(wǎng)絡(luò)終端2的權(quán)限時(shí)����,[0023]當(dāng)內(nèi)網(wǎng)用戶終端1沒(méi)有攜帶數(shù)字證書(shū)的情況下訪問(wèn)將被直接拒絕;當(dāng)內(nèi)網(wǎng)用戶終端1攜帶有效的數(shù)字證書(shū)時(shí)����,被訪網(wǎng)絡(luò)終端2將進(jìn)一步根據(jù)網(wǎng)絡(luò)訪 問(wèn)規(guī)則判定內(nèi)網(wǎng)用戶終端1是否有訪問(wèn)權(quán)限,如果沒(méi)有權(quán)限����,內(nèi)網(wǎng)用戶終端1的訪問(wèn)請(qǐng)求將 被拒絕,反之�,內(nèi)網(wǎng)用戶終端1和被訪網(wǎng)絡(luò)終端2的通信將被建立起來(lái)。本實(shí)用新型中���,服務(wù)器3為小型服務(wù)器���,其基本參數(shù)為CPU Jntel 奔騰 4530 主頻 3000MHz 二級(jí)緩存 1MB ;內(nèi)存RAM 1024M �����;電源400W冗余電源;網(wǎng)絡(luò)接口 100BASE-T (RJ45)X4 RS232 Xl �����;標(biāo)準(zhǔn)IU 機(jī)架結(jié)構(gòu) 42. 7 (cm)長(zhǎng) X32. 9 (cm)寬 X4. 45 (cm)高���;最大客戶連接數(shù)1024;最大支持客戶組數(shù)256 �;最大并行客戶終端管理量512�����。本實(shí)用新型就像是服務(wù)器3給每一個(gè)內(nèi)網(wǎng)用戶終端1都根據(jù)他們的用戶角色配發(fā) 了一把鑰匙��,這把鑰匙并不能打局域網(wǎng)上每個(gè)資源倉(cāng)庫(kù)的門(mén)鎖����,哪一把鑰匙可以開(kāi)哪幾把 鎖,在什么時(shí)候才是合法的并且有開(kāi)啟鎖的權(quán)利都是可以通過(guò)服務(wù)器3調(diào)整�、控制和監(jiān)督。請(qǐng)參閱圖4���,是本實(shí)用新型用于校內(nèi)網(wǎng)絡(luò)的應(yīng)用實(shí)施例��,我們從校園網(wǎng)資源的終端 用戶中提取出(普通)學(xué)生A�����,班級(jí)主任B�,招生辦主任C這三類用戶����,另外對(duì)應(yīng)的列出“開(kāi) 放的教學(xué)資料”,“學(xué)生通訊資料”以及“學(xué)生檔案資料”三種網(wǎng)絡(luò)資源����。在將服務(wù)器3引入校園網(wǎng)絡(luò)從而管理、監(jiān)督和控制校園內(nèi)網(wǎng)的終端用戶對(duì)校園內(nèi) 網(wǎng)資源的訪問(wèn)�����。首先���,服務(wù)器3在配置到校園內(nèi)網(wǎng)的物理連接上之后��,管理員可以動(dòng)態(tài)的配 置內(nèi)網(wǎng)資源訪問(wèn)策略��。策略被定制好后將會(huì)被服務(wù)器3存儲(chǔ)����,并且根據(jù)訪問(wèn)策略,動(dòng)態(tài)的為 每個(gè)終端用戶賦予����、更新數(shù)字證書(shū)。以上結(jié)合附圖實(shí)施例對(duì)本實(shí)用新型進(jìn)行了詳細(xì)說(shuō)明��,本領(lǐng)域中普通技術(shù)人員可根 據(jù)上述說(shuō)明對(duì)本實(shí)用新型做出種種變化例�����。因而���,實(shí)施例中的某些細(xì)節(jié)不應(yīng)構(gòu)成對(duì)本實(shí)用 新型的限定��,本實(shí)用新型將以所附權(quán)利要求書(shū)界定的范圍作為本實(shí)用新型的保護(hù)范圍���。
權(quán)利要求1.一種內(nèi)網(wǎng)安全系統(tǒng),包括內(nèi)網(wǎng)用戶終端和被訪網(wǎng)絡(luò)終端��,所述的內(nèi)網(wǎng)用戶終端發(fā)出 請(qǐng)求訪問(wèn)消息給所述的被訪網(wǎng)絡(luò)終端以進(jìn)行訪問(wèn)��,其特征在于���,還包括一分別與所述的內(nèi) 網(wǎng)用戶終端和被訪網(wǎng)絡(luò)終端相連的服務(wù)器���。
2.根據(jù)權(quán)利要求1所述的內(nèi)網(wǎng)安全系統(tǒng)��,其特征在于,所述的服務(wù)器為小型服務(wù)器�����。
專利摘要本實(shí)用新型公開(kāi)了一種內(nèi)網(wǎng)系統(tǒng)��,包括內(nèi)網(wǎng)用戶終端和被訪網(wǎng)絡(luò)終端�,還包括一分別與內(nèi)網(wǎng)用戶終端和被訪網(wǎng)絡(luò)終端相連的服務(wù)器。本實(shí)用新型采用非單一服務(wù)器的接入使得其自身負(fù)荷小�����,可廣泛運(yùn)用于多種拓?fù)浣Y(jié)構(gòu)的局域網(wǎng)絡(luò)�����。
文檔編號(hào)H04L29/06GK201910816SQ20102064772
公開(kāi)日2011年7月27日 申請(qǐng)日期2010年12月8日 優(yōu)先權(quán)日2010年12月8日
發(fā)明者李晨, 鄭乃瑞 申請(qǐng)人:上海熠傲信息科技有限公司