专利名称:网络连接/隔离的控制方法
技术领域:
本发明涉及网络安全技术,更具体地说,涉及一种网络连接/隔离的控制方法。
如
图1所示为另一种网络隔离方法结构示意图,从图中可以看出,每一个计算机终端内至少有两个硬盘或两个硬分区盘,分别适用于内外网,网卡要经隔离卡后才能连接到内外网HUB(网络集线器),由网卡引出的八芯线分为两组四芯线,其中一组接内网HUB,另一组接外网HUB,通过发开关信号给隔离卡从而选择连接内网或外网中的一个。这种方法的缺点在于1)每一台计算机终端需要连接到两个HUB端口,而工作时只占用其中一个HUB端口,另一个HUB端口则为空闭,资源浪费较大;2)网卡信号要经过隔离卡才能连接到HUB,存在严重的信号损失,影响网络通信效果;3)一些场所内的布的网线为四芯线,无法满足这种方法中需要的两组四芯线。
本发明的技术方案在于,一种网络连接/隔离的控制方法,其特征在于,包括以下步骤由计算机终端选择需要连接的网络;向设置在网络交换式集线器(Switch HUB)上的控制模块发送网络连接控制信号;所述控制模块根据所述网络连接控制信号,通过虚拟网参数设置,将与所述计算机终端连接的所述网络交换式集线器端口动态分配到与所选网络对应的虚拟网,实现与计算机终端属同一虚拟网的网络的连接,而保持与不属同一虚拟网的网络的隔离。
其中,所述网络交换式集线器支持标准VLAN(Virtual LAN,即虚拟局域网)协议,设置在所述网络交换式集线器上的隔离控制模块可根据来自计算机终端的所述网络连接控制信号,通过虚拟网参数的设置,将所述网络交换式集线器动态划分成多个相互独立的虚拟网,其中一个虚拟网用于连接所述控制模块并传输内部控制命令,其余虚拟网可分别通过其公共端口接到不同的网络,用户计算机终端连接到所述网络交换式集线器的某一端口,并被分配到某一个虚拟网。
在本发明的方法中,所述网络连接控制信号包括网络请求信号和电子认证证书,当所述控制模块对所述认证证书进行识别分析并判断为有效时,根据所述网络请求信号改变所述虚拟网参数表,将所述端口动态分配到与用户选择的网络对应的虚拟网。其中,所述计算机终端发送到所述控制模块的认证证书为一次性动态认证证书,所述控制模块在判断所述认证证书为合法后,会向所述计算机终端发回一个新的认证证书以供其下次使用。
在本发明的方法中,还包括以下定时监控步骤所述控制模块定时监控所述计算机终端的网络连接状态,当检测到所述述计算机终端的网络连接状态改变时,将所述端口与当前连接的虚拟网断开。其具体实现方式包括所述计算机终端定时向所述控制模块发送监控特征码;当未定时收到由所述计算机终端发来的特征码、或所收到的特征码不合法时,所述控制模块通过修改所述网络交换式集线器的虚拟网参数表,将所述端口与当前连接的虚拟网断开。其中,为保证定时监控的可靠性,同一个计算机终端发送的监控特征码每次按同一规则变化,不同的计算机终端发送的定时监控特征码每次按各自不同的规则变化;所述定时发送监控特征码的时间间隔可设为50-300毫秒。
在本发明的方法中,本发明提供的网络连接与隔离的控制方法的一种常用模式,是将所述网络交换式集线器动态划分为分别用于连接内网、外网及控制模块的三个虚拟网,其中内网虚拟网通过其公共端口连接到内部局域网,外网虚拟网通过其公共端口连接到外部互联网。
实施本发明的网络连接与隔离的控制方法,可克服现有技术的上述缺陷,利用较少的成本和资源,实现网络与网络之间的隔离,以保障计算机数据的安全。其优点在于每个计算机终端只占用一个网络交换式集线器中的一个端口,减少对资源的占用;计算机终端的网卡直接连接到网络交换式集线器,减少了信号的损失;只需要四芯网线就可以实现,可应用于四芯布线场所。
步骤201、用户通过计算机终端4发出网络请求信号;步骤202、控制模块根据收到的网络请求信号,改变HBU1的VLAN参数配置,计算机终端连接到的HUB端口被动态分配到与用户请求网络对应的虚拟网;步骤203、用户计算机终端与其请求连接的网络连通。
本发明的方法可实施于一个操作系统的计算机终端,也可实施于装有两套操作系统的计算机终端,其区别在于发出网络请求信号的方式不同,前者通过不同的网络控制命令来完成,后者通过选择适用于不同网络的操作系统启动计算机终端来完成。
下面的实施例为计算机终端中有分别适用于内外网的两个操作系统时的情况,从图3中可以看出,为了实现内外网之间的隔离,利用标准VLAN(Virtual LAN,即虚拟局域网)协议,将图中的HUB1动态划分成至少三个相互独立且相互隔离的虚拟网。图3中的HUB有101至112共12个端口,各端口由虚拟网参数表来决定其应该分配到哪一个虚拟网,所谓动态划分,是指某一个端口属于哪一个虚拟网不是一成不变的,可通过修改虚拟网参数表改变其所属的虚拟网。
实施例中将所述HUB1动态划分为分别用于连接内网、外网及控制模块的三个相互独立且相互隔离的虚拟网,其中,内网虚拟网通过其公共端口105连接到内部局域网;外网虚拟网通过其公共端口106连接到外部互联网;控制模块虚拟网通过的其公共端口110连接到一个控制模块2。图3中三个虚线框所示为某一时刻的动态虚拟网划分情况,此时端口101-105属于内网虚拟网;端口106-109属于外网虚拟网;端口112和110属于控制虚拟网。
本发明中的控制模块2用于实现动态认证和定时监控功能,可根据由计算机终端发来的网络请求信号通过修改虚拟网参数表来调整用于连接计算机终端的各端口所属的虚拟网。控制模块2可设在HUB1的内部,也可以外置或镶嵌。
使用前需要预设各个计算机终端的网络权限,即设定某一计算机终端只可登录内网、或只可登录外网、或者既可登录内网也可登录外网。如果某一计算机终端既可登录内网也可登录外网,则需要内外网之间的安全隔离,从图3中可以看出,HUB1的其余端口分别连接到多个计算机终端,以连接到HUB 1的端口112上计算机终端3为例,网线由端口112连接到该计算机终端3的网卡31,再接到主板32,其中主板32连接有两个硬盘33、34(也可以是同一个硬盘中的两个分区)。在这两个硬盘33、34中装有两个分别适用于内网和外网的操作系统,这两个操作系统均可单独启动,独立工作。
在反映图3示出的实施例在选择连接外网时的工作流程的图中5中,在步骤301,计算机终端3开机;在步骤302,用户选择适用于外网的操作系统;在步骤303,计算机终端3启动外网操作系统;在步骤304,计算机终端3向控制模块2发送网络请求信号并发送电子认证证书,如图3所示,此时该终端3与控制模块2之间通讯,两者属于同一个虚拟网;在步骤305中,控制模块2判断是否收到合法的认证证书,如结果为是则执行步骤307,否则执行步骤306;在步骤306中,拒绝执行网络分配请求;在步骤307中,控制模块2向计算机终端3发回一个新的认证证书以供其下次启动时使用,并根据由计算机终端3发来的网络请求信号,修改虚拟网参数表,将计算机终端3所连接的端口112分配到外网虚拟网,如图4所示为将计算机终端3分配到外网时的情况;在步骤308中,计算机终端与外网连接;在步骤309中,计算机终端每隔100毫秒向控制模块2发送每次按同一算法变化的定时监控特征码;在步骤310中,控制模块2判断是否定时收到由计算机终端3发来的特征码、并判断所收到的特征码是否合法,如结果为否则执行步骤311、否则返回步骤309;在步骤311中,控制模块2修改虚拟网参数表,端口112不再属于外网,计算机终端3与外网之间的连接被断开。
其中,计算机终端3发送到控制模块2的认证证书为一次性动态认证证书,所谓一次性,是指控制模块2在判断所收到的认证证书为合法后,会向计算机终端3发回一个新的认证证书以供其下次启动时使用,每一份证书都是自动生成并且只能用一次。
为保证定时监控的可靠性,同一个计算机终端发送的监控特征码每次按同一规则(算法、参数)变化,不同的计算机终端发送的定时监控特征码每次按各自不同的规则变化。定时发送的时间间隔为50-300毫秒。本实施例中定时发送的时间间隔设定为100毫秒。这样可以防止物理方法的破坏,例如A终端只能登录内网,B终端既可登录内网也可登录外网,现假设用户启动了A终端、并同时启动B终端的外网操作系统,如果无定时监控,则用户可将B终端的网线与A终端的网线互换,使A终端可登录外网。而本发明的方法中,每100毫秒即检测一次特征码,如果不合法则自动切断终端与当前网络的连接,手工交换网线的速度是不可能快到小于100毫秒的,所以可达到安全防范的目的。
在按照本发明提供的网络连接与隔离的控制方法中,为增强安全性和可靠性,通过对所述控制模块不设IP地址、不使用标准协议等方法,使他人不能用常规方法或现有网络协议访问所述控制模块。
本发明的方法并不限于上述实施例,还可在本发明的范围内作出多种变更和修改,通过参数设置将网络交换机或其它网络连接设备划分为多个相互独立的网段,而各个网段之间不能进行数据传输。
权利要求
1.一种网络连接/隔离的控制方法,其特征在于,包括以下步骤由计算机终端选择需要连接的网络;向设置在网络交换式集线器上的控制模块发送网络连接控制信号;所述控制模块根据所述网络连接控制信号,通过虚拟网参数设置,将与所述计算机终端连接的所述网络交换式集线器端口动态分配到与所选网络对应的虚拟网,实现与计算机终端属同一虚拟网的网络的连接,而保持与不属同一虚拟网的网络的隔离。
2.按照权利要求1所述方法,其特征在于,所述网络交换式集线器支持VLAN协议,设置在所述网络交换式集线器上的隔离控制模块可根据来所述网络连接控制信号,通过虚拟网参数的设置,将所述网络交换式集线器动态划分成多个相互独立的虚拟网,其中一个虚拟网用于连接所述控制模块并传输内部控制命令,其余虚拟网可分别通过其公共端口接到不同的网络,用户计算机终端连接到所述网络交换式集线器的某一端口,并被分配到某一个虚拟网。
3.根据权利要求2所述方法,其特征在于,所述网络连接控制信号包括网络请求信号和电子认证证书,当所述控制模块对所述认证证书进行识别分析并判断为有效时,根据所述网络请求信号改变所述虚拟网参数表,将所述端口动态分配到与用户选择的网络对应的虚拟网。
4.根据权利要求3所述方法,其特征在于,所述计算机终端发送到所述控制模块的认证证书为一次性动态认证证书,所述控制模块在判断所述认证证书为合法后,会向所述计算机终端发回一个新的认证证书以供其下次使用。
5.根据权利要求4所述方法,其特征在于,所述证书可以包含在内置或外置的存储设备中。
6.根据权利要求1所述方法,其特征在于,还包括以下定时监控的步骤所述控制模块定时监控所述计算机终端的网络连接状态,当检测到所述述计算机终端的网络连接状态改变时,将所述端口与其当前连接的虚拟网断开。
7.根据权利要求6所述方法,其特征在于,所述定时监控包括以下步骤所述计算机终端定时向所述控制模块发送监控特征码;当未定时收到由所述计算机终端发来的特征码、或所收到的特征码不合法时,所述控制模块通过修改所述网络交换式集线器的虚拟网参数表,将所述端口与当前连接的虚拟网断开。
8.根据权利要求7所述的方法,其特征在于,同一计算机终端发送的监控特征码每次按同一规则变化,不同的计算机终端发送的定时监控特征码每次按各自不同的规则变化。
9.根据权利要求7所述的方法,其特征在于,所述定时发送监控特征码的时间间隔为50-300毫秒。
10.根据权利要求1-9中任一项所述方法,其特征在于,所述网络交换式集线器动态划分为分别用于连接内网、外网及控制模块的三个虚拟网,其中,所述与内网对应的虚拟网通过其公共端口连接到内部局域网,所述与外网对应的虚拟网通过其公共端口连接到外部互联网。
全文摘要
本发明涉及网络安全技术,尤其涉及一种网络连接与隔离的控制方法,在支持标准VLAN协议的网络交换式集线器上增加一个可将其动态划分成多个相互独立的虚拟网的隔离控制模块,其中一个虚拟网连接所述控制模块,其余虚拟网可分别通过其公共端口接到不同的网络,用户计算机终端连接到所述网络交换式集线器的某一端口,控制模块根据计算机终端发来的网络连接控制信号,将与所述计算机终端连接的所述端口动态分配到与用户选择的网络对应的虚拟网。在计算机终端与控制模块之间可通过电子认证证书进行动态认证,正常工作时两者之间的还可进行动态定时监控,实现网络与网络之间的安全隔离。
文档编号H04L29/06GK1400540SQ0112770
公开日2003年3月5日 申请日期2001年8月1日 优先权日2001年8月1日
发明者苏毅 申请人:苏毅