专利名称:一种透明的全向安全网络方法
技术领域:
本发明涉及一种透明的全向安全网络方法。属于计算机网络安全技术领域。
背景技术:
计算机网络已经成为一种不可或缺的通信手段和数据交换途径,但是,由于计算机通信协议本身设计上没有考虑安全性,所以是一个完全开放的协议,使得其网络传输数据能够被任意截获。随着计算机网络的普及使用,其信息的保密性和安全性收到日益的重视。
虚拟专用网(VPN)技术和链路加密机技术等解决了网关与网关之间的网络数据安全传输问题,但解决不了局域网之间任意两台机器之间进行通信的时候数据的安全性问题。并且现有的技术需要采用硬件,成本高,也不适应在普通的计算机终端上配置和使用。
发明内容
为了填补目前的技术空白,本发明提供一种透明的全向安全网络方法,解决内部信息网络计算机之间的全向安全通信问题,使得任意两台计算机都可以进行安全的保密通信。
本发明解决其技术问题所采用的技术方案是本发明通过密码技术实现任意两台计算机之间的安全网络通信,即任意两台计算机之间的通信数据是加密传输的,主要有初始化方法步骤、密钥管理方法步骤和协议封装方法步骤,从而实现了安全通信。
本发明采用了集中的密钥分发方式;在建立安全通信之前,要求安全通信管理的计算机需要注册到一个共同的密钥管理中心,密钥管理中心将计算机进行分组,其依据是相互之间可以进行直接通信的计算机归结为一组,即同一个域;同域的计算机共享一个相同的密钥,这个密钥由密钥管理中心分发和更新;同域计算机通信的时候使用这个相同的密钥加密传输数据,而不在这个域的计算机由于不能享有这个密钥,不能获取有意义的数据信息。
本发明要求对客户端的通信协议进行改造,加入密钥管理模块和应用数据加密模块,实现对用户和应用的透明;密钥管理模块要求跟密钥管理中心进行实时的通信,以保证密钥的同步和更新。
本发明的有益效果是能够增强网络的安全,达到以下效果同一个安全域的计算机相互之间能够进行正常安全的网络通信,不同安全域计算机不能与安全域内的计算机进行通信;有效防止外来计算机通过网络交换设备或者网卡直连获取安全域管理计算机的数据;安全域计算机之间传输的数据经过加密保护,防止外接计算机窃听;数据的加密过程和密钥管理过程对计算机应用和用户透明;能够适应多种不同层次的协议。
下面结合附图和实施例对本发明进一步说明。
图1是本发明的初始化流程图。
图2是本发明的密钥同步流程图。
图3是本发明的密钥更新流程图。
图4是本发明的协议封装流程图。
图5是本发明的接受解封装流程图。
具体实施例方式
实施例1本发明所描述的全向安全网络技术,对客户端的通信协议进行改造,加入密钥管理模块和应用数据加密模块,主要包括初始化、密钥管理和协议封装三个关键部分,下面分别对这三个部分的具体实现技术进行描述。
初始化方法;本发明的初始化步骤如图1所示,描述如下步骤1安装密钥管理中心,并运行;步骤2密钥管理中心划分安全域,每个安全域代表一个共享密钥;步骤3安装客户端代理,并且注册到密钥管理中心;步骤4密钥管理中心将注册的客户端分配到某个安全域。
密钥管理方法;本发明密钥管理采用在线集中的方式进行,由密钥管理中心和客户端共同完成密钥的同步和更新。密钥同步步骤如图2所示,描述如下步骤1计算机启动的时候,客户端代理启动,并连接到密钥管理中心;步骤2密钥管理中心验证客户端代理身份,并识别其所属安全域;步骤3密钥管理中心查找客户端代理相应安全域密钥,并发送给客户端;步骤4客户端代理保存密钥管理中心的密钥,完成同步。
密钥更新步骤如附图3所示,描述如下步骤1密钥管理中心产生各个安全域新密钥;步骤2密钥管理中心对各个客户端代理广播并分发密钥,设定密钥更换的时间;步骤3客户端代理存储新密钥;
步骤4客户端代理在统一时间启用新的密钥。
协议封装方法;本发明功能要求对用户和应用程序透明,所以需要对具体的网络协议进行重新的透明封装,根据需要不同,可以针对不同层次的不同协议,比如应用层协议、传输层协议或者网络层协议等。针对不同的协议,其步骤是相同的,分成封装和解封装两个过程,封装发送过程如附图4所示,描述如下步骤1截获要重新封装的协议包,并解包获取其地址信息和应用数据;步骤2使用当前的数据封装密钥,对数据进行加密,并重新封包;步骤3根据地址判断数据包目的地址是否在同一个安全域内;步骤4如果在同一个安全域内,则直接将重新封装的数据包发送目标地址;步骤5如果不在同一个安全域内,则将重新封装的数据包发往转发网关,并在数据包中指明实际的目标地址。
接受解封装的过程如图5所示,描述如下步骤1接受到下层数据包,判断是否是本发明技术所封装数据包,如果不是,则丢弃;步骤2如果是本发明所封装数据包,则使用数据密钥解封装,获得内容;将数据重新封装成上层应用包,并发给上层。实施例2,万达虚拟保密网(VCN)系统是用于构造一个逻辑安全保密网络域的系统,其功能主要是为了防止一个具有秘密数据的信息网络信息的泄漏。万达虚拟保密网系统主要从网络交换途径和存储设备交换途径两个方面构造一个虚拟保密网。本申请专利技术应用于万达虚拟保密网系统的网络保密子系统中,很好地满足了该系统的设计需求。
其实现的主要功能如下
内部网络信息保密传输。万达虚拟保密网利用本申请专利技术,可以将内部计算机划分到不同的安全域中,同一个安全域之间的计算机可以进行相互正常的通信,但是通信的数据都是经过加密的。
处于不同安全域计算机之间要进行通信,必须经过转发网关和管理员的的设置,即安全域之间信任关系的设定,否则处于不同安全域之间的计算机不能直接进行通信。
外来的计算机或者不在万达虚拟保密网管理范围内的计算机,不能接入到改系统管理范围内的计算机,无论其接入途径是直接连接还是通过交换设备连接。
实施步骤;安全域划分步骤如下1)根据需要,确立安全域的数量;2)每个安全域随即产生并确定一个密钥,并确定转发网关的IP地址;3)将计算机标记划分到不同的安全域中,并将安全域密钥发送给本域所有计算机作为通信加密密钥,并定期更新该密钥,计算机发送数据步骤如下1)计算机发送数据包的时候,检查目标地址;2)如果是本域内的计算机,则使用本域密钥加密数据包,并发送给该目标地址计算机;3)如果不是本域计算机,则使用本域密钥加密数据部,发送给转发网关;4)转发网关接受到该数据包,检查目标地址是否是信任域,如果不是,则丢弃该数据包;
5)如果是信任域,则用源计算机所在域的密钥解密数据包,并检查其目标计算机所在的域,并用目标计算机所在域的密钥加密数据包后发往该目标计算机。
计算机接受数据步骤如下1)计算机接受到数据包,检查是否是合法的加密数据包,如果不是,则直接丢弃;如果是合法的加密数据包,使用本域域密钥解密,并比较解密后校验和是否正确,如果不正确,则丢弃,如果正确,则完成接受过程。
权利要求
1.一种透明的全向安全网络方法,其特征是任意两台计算机之间的通信数据是加密传输的,有初始化方法步骤、密钥管理方法步骤和协议封装方法步骤。
2.根据权利要求1所述的一种透明的全向安全网络方法,其特征是采用了集中的密钥分发方式;在建立安全通信之前,要求安全通信管理的计算机注册到一个共同的密钥管理中心,密钥管理中心将计算机进行分组,其依据是相互之间可以进行直接通信的计算机归结为一组,即同一个域;同域的计算机共享一个相同的密钥,这个密钥由密钥管理中心分发和更新;同域计算机通信的时候使用这个相同的密钥加密传输数据。
3.根据权利要求1或2所述的一种透明的全向安全网络方法,其特征是初始化步骤描述如下步骤1安装密钥管理中心,并运行;步骤2划分安全域,每个安全域代表一个共享密钥;步骤3安装客户端代理,并且注册到密钥管理中心;步骤4密钥管理中心将注册的客户端分配到某个安全域。
4.根据权利要求1或2所述的一种透明的全向安全网络方法,其特征是密钥管理方法的密钥同步步骤,描述如下步骤1计算机启动的时候,客户端代理启动,并连接到密钥管理中心;步骤2密钥管理中心验证客户端代理身份,并识别其所属安全域;步骤3密钥管理中心查找客户端代理相应安全域密钥,并发送给客户端;步骤4客户端代理保存密钥管理中心的密钥,完成同步;密钥管理方法的密钥更新步骤,描述如下步骤1密钥管理中心产生各个安全域新密钥;步骤2密钥管理中心对各个客户端代理广播并分发密钥,设定密钥更换的时间;步骤3客户端代理存储新密钥;步骤4客户端代理在统一时间启用新的密钥。
5.根据权利要求1或2所述的一种透明的全向安全网络方法,其特征是对网络协议进行重新的透明封装,协议封装方法分成封装和解封装两个过程,封装发送过程描述如下步骤1截获要重新封装的协议包,并解包获取其地址信息和应用数据;步骤2使用当前的数据封装密钥,对数据进行加密,并重新封包;步骤3根据地址判断数据包目的地址是否在同一个安全域内;步骤4如果在同一个安全域内,则直接将重新封装的数据包发送目标地址;步骤5如果不在同一个安全域内,则将重新封装的数据包发往转发网关,并在数据包中指明实际的目标地址;协议封装方法接受解封装的过程,描述如下步骤1接受到下层数据包,判断是否是本发明技术所封装数据包,如果不是,则丢弃;步骤2如果是本发明所封装数据包,则使用数据密钥解封装,获得内容;将数据重新封装成上层应用包,并发给上层。
6.根据权利要求5所述的一种透明的全向安全网络方法,其特征是网络协议为应用层协议或传输层协议或者网络层协议。
全文摘要
一种透明的全向安全网络方法,有初始化方法步骤、密钥管理方法步骤和协议封装方法步骤,采用了集中的密钥分发方式,密钥由密钥管理中心分发和更新;同域计算机通信的时候使用这个相同的密钥加密传输数据,本发明加入密钥管理模块和应用数据加密模块,实现对用户和应用的透明;密钥管理模块要求跟密钥管理中心进行实时的通信,以保证密钥的同步和更新。本发明的有益效果是能够增强网络的安全,同一个安全域的计算机相互之间能够进行正常安全的网络通信,不同安全域计算机不能与安全域内的计算机进行通信;有效防止外来计算机通过网络交换设备或者网卡直连获取安全域管理计算机的数据。
文档编号H04L29/06GK1731720SQ20051008632
公开日2006年2月8日 申请日期2005年8月31日 优先权日2005年8月31日
发明者童新海, 喻波, 谢四江 申请人:北京电子科技学院, 北京明朝万达科技有限公司