专利名称:一种可集中管理的网络适配器的制作方法
技术领域:
本发明涉及计算机通信设备,具体地说,涉及作为计算机部件的网络适配器。
背景技术:
随着互联网的广泛应用,信息安全保障问题是信息系统建设中必须解决的基础和根本性问题。
现有安全解决方案通常在互联网与内网边界部署防火墙、VPN、入侵检测系统、安全隔离系统、负载均衡设备等多台设备,实现网络层安全。内网部署身份认证服务器实现基于证书身份认证,应用(如Web)服务器通过操作系统角色权限配置实现强制访问控制,通过应用软件实现主动应用访问控制,并通过安装防病毒软件实现病毒查杀。这种模式下,内网安全无法得到保障。
基于主机系统实现安全功能,能够实现内网安全。但这种模式下,其安全功能在操作系统之上通过安全软件实现,通用CPU及操作系统可能隐藏有未公开后门,操作系统隐藏的安全脆弱性,以及通过软件指令代码实现安全功能这种方式不能满足严格的参照确认机制。信息安全基本假设就是通过参照确认机制保证安全功能正确实现从而保障系统安全。参照确认机制的要求是安全功能防篡改,一直运行,不可旁路。而主机系统安全功能在操作系统之上通过软件实现,安全功能不可能与操作系统分离,违反了信息安全的基本原则之一域分离原则,即安全功能应该与系统的其它部分处于相分离的安全域。系统中操作系统及软件的风险会引入安全功能中。攻击者可以针对操作系统及软件的漏洞以及CPU执行代码机制的不安全之处,例如通过堆栈溢出攻击,精心构造的恶意请求输入等方式改变安全模块处理流程,从而篡改,绕过或停止其安全功能,直接导致主机系统机密性,完整性和可用性丧失。
在基于主机系统难以实现严格安全保障情况下,通过主机系统上独立的网络适配器实现网络安全功能是可行的方案。通过在网络适配器上实现网络访问控制,应用访问控制,身份认证等安全功能能够满足信息安全的域分离原则,即安全功能应该与系统的其它部分处于相分离的安全域。但现有网络适配器均接受来自主机系统配置管理,由主机系统配置其安全策略。这种模式下,由于主机系统存在不安全因素,在主机系统被侵入情况下,攻击者可以非法修改网络适配器安全策略,甚至停掉网络适配器安全功能。在这种模式下,依然无法满足严格的安全保障要求。
发明内容
本发明的目的是针对现有技术存在的不足,提出一种独立于主机系统运行,接受集中管理的网络适配器,该网络适配器独立于主机系统运行,通过PCI接口与主机系统交互网络数据,接受集中管理控制台的集中管理,对主机系统所传输网络数据实现安全功能。网络适配器与集中管理控制台的数据交互直接进行,不经过网络适配器所在主机系统,其主机系统未经集中管理安全策略允许无权查看更改网络适配器的安全策略,从而确保网络适配器上运行的安全功能在任何情况下不被主机系统非法篡改、停止和绕过。
本发明解决其技术问题所采用的技术方案是本发明可集中管理的网络适配器的主要器件包括主处理器、网络芯片、内存芯片、存储器件和电源器件,主处理器实现的功能模块包括网络数据收发单元、安全功能单元、集中管理控制单元和主机系统接口单元。该网络适配器独立于主机系统运行,通过PCI接口与主机系统交互网络数据,接受集中管理控制台集中管理,对所传输数据实施安全检查。该网络适配器具备独立的处理器与内存,管理命令与策略不经过其所在的主机系统,其产生的日志消息与审计消息直接发送到集中管理控制台,并且可以将所传输的网络数据全部或者有选择地(加密)传输到集中管理中控制台。网络适配器与集中管理控制台的数据交互直接进行,不经过网络适配器所在主机系统,其主机系统未经集中管理安全策略允许无权查看更改网络适配器的安全策略。
网络适配器与集中管理控制台通信可以共用其主机系统网络接口和网络地址,也可以共用其主机系统网络接口但具备独立的网络地址,还可以具备独立的网络接口和网络地址,该网络接口与网络地址专门用于集中管理。
本发明的有益效果是,由于这是一种独立于主机系统运行,接受集中管理控制台的集中管理,对主机系统所传输网络数据实现安全功能的网络适配器,该网络适配器与集中管理控制台的数据交互直接进行,不经过网络适配器所在主机系统,其主机系统未经集中管理安全策略允许无权查看更改网络适配器的安全策略,确保网络适配器上运行的安全功能在任何情况下不被主机系统非法篡改、停止和绕过,从而能够满足严格的信息安全保障要求。
图1为本发明可集中管理的网络适配器主处理器功能模块与数据流框图。
具体实施例方式
网络适配器可以是板卡形式插于主机系统主板,也可以以多个器件的形式集成在主板之上。通过PCI接口于主机系统交互。
1、网络适配器结构网络适配器主要器件包括主处理器芯片,网络芯片,内存芯片,Flash等存储器件,电源器件等,其核心为主处理器芯片。内存芯片可以是DDR或SSRAM芯片,可以支持多个百兆与千兆网络接口,与多路内存通路。其中DDR内存通路分别用于网络数据缓存,连接状态表存储,网络数据存储与应用数据存储。SSRAM内存通路可用于主处理器芯片内CPU指令与数据存储及高速连接状态表索引。
2、主处理器内功能单元主处理器可以采用多核并行处理体系架构,集成多个内嵌CPU,TCP/IP协议栈,SSL记录协议,数据加密,内容匹配,内存管理等模块,各个模块并行/流水运行。
主处理器内功能单元包括网络数据处理单元,安全功能单元,集中管理控制单元,主机系统接口单元。
网络数据处理单元
该单元可以实现完整的TCP/IP协议栈功能,将接收到的网络数据按照TCP/IP协议规范重组后,提交给安全功能单元。接受来自安全功能单元的数据,按照TCP/IP协议规范封装成数据包后发送到网络。
安全功能单元该单元接受来自网络数据处理单元和集中管理控制单元提交的的数据。对于来自网络数据处理单元的数据实现安全隔离,数据解密,身份认证,应用访问控制等安全功能,将经过安全检查的数据提交给集中管理控制单元。对于来自集中管理控制单元的数据进行安全审计与数据加密后,提交给网络数据处理单元。
集中管理控制单元该单元管理网络适配器的安全功能,来自集中管理控制台的管理配置数据与来自主机系统的管理配置数据均通过该单元处理。
该单元接收安全功能单元提交的数据,能够识别出其提交的数据识是来自集中管理控制台的管理配置命令,还是发往主机系统的数据。对于来自集中管理控制台的管理配置命令,按照集中管理控制台的管理配置命令对网络适配器的安全功能进行管理,不再将数据上传主机系统。对于发往主机系统的数据,则直接提交给主机系统接口单元。
该单元接收来自主机系统的数据,识别出是否是对本网络适配器的管理配置命令,还是需要发送出去的网络数据。对于来自主机系统的管理配置命令,只有在得到集中管理控制台安全策略允许的情况下,该集中管理控制单元才接受来自主机系统的管理配置命令,按照主机系统的管理配置命令对网络适配器的安全功能进行管理。在未得到集中管理控制台安全策略允许的情况下,该集中管理控制单元不接受来自主机的管理配置命令。对于来自主机系统需要发送出去的网络数据,则直接提交给安全功能单元。
该集中管理控制单元按照集中管理控制台或主机系统所配置的安全策略(如果得到集中管理控制台的允许),管理网络适配器的各个安全功能模块,并采集各个安全功能模块的日志消息与网络适配器系统信息,并发送到集中管理控制台。也可以根据安全策略,将所接收与发送的特定网络数据或者全部网络数据发送到集中管理控制台。该单元需要发送给集中管理控制台的数据提交给安全功能单元后再发送出去。
主机系统接口单元该单元负责在主机系统与集中管理控制单元间交换网络数据与管理配置命令。
3.数据处理流程来自网络的数据处理流程1)来自网络的数据包首先在网络数据处理单元完成数据包重组,重组后的数据提交给安全功能单元。
2)安全功能模块接收到来自网络数据处理单元提交的数据,实现安全隔离,数据解密,身份认证,应用访问控制等安全功能,将经过安全检查的数据提交给集中管理控制单元。
3)集中管理控制单元接收安全功能单元提交的数据,识别出其提交的数据识是来自集中管理控制台的管理配置命令,还是发往主机系统的数据。对于来自集中管理控制台的管理配置命令,按照集中管理控制台的管理配置命令对网络适配器的安全功能进行管理,不再将数据上传主机系统。对于发往主机系统的数据,则直接提交给主机系统接口单元。
4)主机系统接口单元将来自集中管理控制单元的数据通过PCI接口提交给主机系统。
来自主机系统的数据处理流程1)主机系统接口单元通过PCI接口接受来自主机系统的数据,提交给集中管理控制单元。
2)集中管理控制单元接收来自主机系统接口单元提交的数据,识别出是否是对本网络适配器的管理配置命令,还是需要发送出去的网络数据。对于来自主机系统的管理配置命令,只有在得到集中管理控制台安全策略允许的情况下,该集中管理控制单元才接受来自主机系统的管理配置命令,按照主机系统的管理配置命令对网络适配器的安全功能进行管理。在未得到集中管理控制台安全策略允许的情况下,该集中管理控制单元不接受来自主机的管理配置命令。对于来自主机系统需要发送出去的网络数据,则直接提交给安全功能单元。
3)安全功能单元对于来自集中管理控制单元的数据进行安全审计后,提交给网络数据处理单元。
4)网络数据处理单元接受来自安全功能单元的数据,按照TCP/IP协议规范封装成数据包后发送到网络。
4、与集中管理控制台交互网络适配器中集中管理控制单元接受来自集中管理控制台的管理配置命令,按照集中管理控制台的管理配置命令对网络适配器的安全功能进行管理,并采集各个安全功能模块的日志消息与网络适配器系统信息,发送到集中管理控制台。也可以根据安全策略,将所接收与发送的特定网络数据或者全部网络数据发送到集中管理控制台。网络适配器与集中管理控制台的数据交互直接进行,不经过网络适配器所在主机系统。
可在局域网范围内也可以在更大范围信息系统内部署一台集中管理控制台,用于管理信息系统内多台主机上的网络适配器,实现全局安全策略统一管理。该集中管理控制台提供人机界面便于管理员制定配置全局安全策略,接受信息系统内多台主机上的网络适配器发出的日志与审计信息,以及特定主机系统所收发的特定或全部网络数据,并提供信息查询人机界面,方便管理员查看。
权利要求
1.一种可集中管理的网络适配器,其特征在于,独立于主机系统运行,通过PCI接口与主机系统交互网络数据,接受集中管理控制台的集中管理,对主机系统所传输网络数据实现安全功能,网络适配器与集中管理控制台的数据交互直接进行,不经过网络适配器所在主机系统,其主机系统未经集中管理安全策略允许无权查看更改网络适配器的安全策略,从而确保网络适配器上运行的安全功能在任何情况下不被主机系统非法篡改、停止和绕过。
2.一种可集中管理的网络适配器,其特征在于,主要器件包括主处理器、网络芯片、内存芯片、存储器件和电源器件,主处理器实现的功能模块包括网络数据收发单元、安全功能单元、集中管理控制单元和主机系统接口单元,网络适配器独立于主机系统运行,通过PCI接口与主机系统交互网络数据,接受集中管理控制台集中管理,对所传输数据实现安全功能。
3.根据权利要求1所述的可集中管理的网络适配器,其特征在于,网络适配器与集中管理控制台通信可以共用其主机系统网络接口和网络地址,也可以共用其主机系统网络接口但具备独立的网络地址,还可以具备独立的网络接口和网络地址,该网络接口与网络地址专门用于集中管理。
4.根据权利要求1所述的可集中管理的网络适配器,其特征在于,网络适配器主处理器对来自网络所有数据包进行检查处理,对于发往主机系统的数据包根据安全策略处理后提交给主机系统,对于来自集中管理控制台的管理配置命令则处理后不再提交主机系统。
5.根据权利要求1所述的可集中管理的网络适配器,其特征在于,所述的网络数据处理单元完成网络数据接收与发送,将接收到的网络数据按照TCP/IP协议规范重组后,提交给安全功能单元,接受来自安全功能单元的数据,按照TCP/IP协议规范将来之上层模块数据封装成数据包后发送到网络;安全功能单元接受来自网络数据收发单元和集中管理控制单元提交的数据,对于来自网络数据收发单元的数据实现安全隔离、数据加密、身份认证和应用访问控制的安全功能,将经过安全检查的数据提交给集中管理控制单元,对于来自集中管理控制单元的数据进行安全审计后,提交给网络数据收发单元;集中管理控制单元管理网络适配器的安全功能,来自集中管理控制台的管理配置数据与来自主机系统的管理配置数据均通过该单元处理;主机系统接口单元负责在主机系统与网络适配器之间交换网络数据与管理配置命令。
6.根据权利要求4所述的可集中管理的网络适配器,其特征在于,所述的集中管理控制单元接收安全功能单元提交的数据,能够识别出其提交的数据识是来自集中管理控制台的管理配置命令,还是发往主机系统的数据。对于来自集中管理控制台的管理配置命令,按照集中管理控制台的管理配置命令对网络适配器的安全功能进行管理,不再将数据上传主机系统。对于发往主机系统的数据,提交给主机系统接口单元。
7.根据权利要求4所述的可集中管理的网络适配器,其特征在于,所述的集中管理控制单元接收来自主机系统的数据,识别出是否是对本网络适配器的管理配置命令,还是需要发送出去的网络数据。对于来自主机系统的管理配置命令,只有在得到集中管理控制台安全策略允许的情况下,该集中管理控制单元才接受来自主机系统的管理配置命令,按照主机系统的管理配置命令对网络适配器的安全功能进行管理。在未得到集中管理控制台安全策略允许的情况下,该集中管理控制单元不接受来自主机的管理配置命令,对于来自主机系统需要发送出去的网络数据,则提交给安全功能单元进行审计等安全处理。
8.根据权利要求4所述的可集中管理的网络适配器,其特征在于,所述的集中管理控制单元按照集中管理控制台或主机系统所合法配置的安全策略,管理网络适配器的各个安全功能模块,并采集各个安全功能模块的日志消息与网络适配器系统信息,并发送到集中管理控制台。也可以根据安全策略,将所接收与发送的特定网络数据或者全部网络数据发送到集中管理控制台。
全文摘要
本发明公开一种可集中管理的网络适配器,主要器件包括主处理器、网络芯片、内存芯片、存储器件和电源器件,主处理器实现的功能模块包括网络数据收发单元、安全功能单元、集中管理控制单元和主机系统接口单元。该网络适配器独立于主机系统运行,通过PCI接口与主机系统交互网络数据,接受集中管理控制台的集中管理,对主机系统所传输网络数据实现安全功能。网络适配器与集中管理控制台的数据交互直接进行,不经过网络适配器所在主机系统,其主机系统未经集中管理安全策略允许无权查看更改网络适配器的安全策略,从而确保网络适配器上运行的安全功能在任何情况下不被主机系统非法篡改、停止和绕过。
文档编号H04L29/06GK101079711SQ200710098969
公开日2007年11月28日 申请日期2007年4月30日 优先权日2007年4月30日
发明者林伟 申请人:北京策度集成电路设计有限公司