专利名称:一种实现网络安全的方法和一种星形网络的制作方法
技术领域:
本发明涉及网络通信技术领域,特别是涉及一种实现网络安全的方法和一种星形网络。
背景技术:
星形网络是在实际中最常见的一种局域网连接方式。图1是现有的一种星形网络的组网示意图。如图1所示,各终端之间的通信必须经过交换机,且各终端访问安全服务器也需要通过交换机。局域网的开放性特点,使得图1所示星形网络中的各个终端中的重要信息资源处于高风险状态,可能发生的安全问题包括通过网络传播的病毒木马等的非法入侵,以及基于网络的信息窃取等。针对上述问题,传统的信息安全技术,如防火墙、入侵监测系统、访问控制、身份认证、虚拟专用网等,往往是无能为例的。因为这些信息安全技术大都是针对黑客入侵开发的,不能实时监控和阻断内部机密数据的泄露。可见现有的星形网络的安全性还有待提高。
发明内容
本发明提供了一种实现网络安全的方法,该方法能够提高星形网络的安全性。本发明还提供了一种星形网络,该星形网络具有较高的安全性。为达到上述目的,本发明的技术方案是这样实现的本发明公开了一种实现网络安全的方法,该方法适用于多个终端通过交换机进行通信,并且该多个终端之间通过所述交换机访问安全服务器的星形网络中,在该星形网络中还设置有控制器,则该方法包括安全服务器和控制器之间通过认证方式建立连接;在建立连接成功后,安全服务器定时向控制器发送检测消息,控制器接收到安全服务器发送的检测消息后向安全服务器反馈应答消息;如果服务器在向控制器发送预设个数的检测消息后,仍没有收到应答消息, 则拒绝任何客户端的访问;安全服务器每次在接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器;控制器接收安全服务器发来文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;控制器根据安全级别映射表生成终端的通信规则发送给交换机;其中,所述通信规则中,允许涉密级别最低的终端之间的通信,禁止涉密级别高于最低级别的终端与其他终端的通信;交换机根据控制器发来的通信规则控制各终端之间的通信。本发明还提供了一种星形网络,该星形网络包括交换机、安全服务器和多个终端,多个终端之间通过交换机进行通信,并且该多个终端通过所述交换机访问安全服务器;此外,该星形网络还包括一个与交换机和安全服务器连接的控制器;其中安全服务器,用于通过认证方式与控制器建立连接,在建立连接成功后,定时向控制器发送检测消息;如果在向控制器发送预设个数的检测消息后,仍没有收到应答消息,则拒绝任何客户端的访问;用于在每次接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器;控制器,用于接收到安全服务器发送的检测消息时向安全服务器反馈应答消息; 用于接收安全服务器发来文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;用于根据安全级别映射表生成终端的通信规则发送给交换机;其中,所述通信规则中,允许涉密级别最低的终端之间的通信,禁止涉密级别高于最低级别的终端与其他终端的通信;交换机,用于根据控制器发来的通信规则控制各终端之间的通信。由上述可见,本发明这种在星形网络中增加控制器,该控制器和安全服务器之间通过认证方式建立连接,并且安全服务器通过周期性地发送检测消息来确认与控制器之间的通信安全,安全服务器每次在接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器,控制器根据文件安全级别确定终端的涉密级别, 将该终端的IP地址和涉密级别对应保存到安全级别映射表中,然后控制器根据安全级别映射表生成终端的通信规则发送给交换机,进而控制各终端之间的通信的技术方案,大大提高了星形网络的安全性。
图1是现有的一种星形网络的组网示意图;图2是本发明实施例中的一种实现网络安全的方法的示意图;图3是本发明实施例中的星形网络的示意图。
具体实施例方式为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。图2是本发明实施例中的一种实现网络安全的方法的示意图。该方法适用于多个终端通过交换机进行通信,并且该多个终端之间通过所述交换机访问安全服务器的星形网络中,在该星形网络中还设置有控制器,则如图2所示,该方法包括201,安全服务器和控制器之间通过认证方式建立连接;在建立连接成功后,安全服务器定时向控制器发送检测消息,控制器接收到安全服务器发送的检测消息后向安全服务器反馈应答消息;如果服务器在向控制器发送预设个数的检测消息后,仍没有收到应答消息,则拒绝任何客户端的访问;202,安全服务器每次在接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器;203,控制器接收安全服务器发来文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;控制器根据安全级别映射表生成终端的通信规则发送给交换机;其中,所述通信规则中,允许涉密级别最低的终端之间的通信,禁止涉密级别高于最低级别的终端与其他终端的通信;204,交换机根据控制器发来的通信规则控制各终端之间的通信。图3是本发明实施例中的星形网络的示意图。如图3所示,该星形网络包括交换机、安全服务器和多个终端,多个终端之间通过交换机进行通信,并且该多个终端通过所述交换机访问安全服务器;此外,该星形网络还包括一个与交换机和安全服务器连接的控制器。安全服务器,用于通过认证方式与控制器建立连接,在建立连接成功后,定时向控制器发送检测消息;如果在向控制器发送预设个数的检测消息后,仍没有收到应答消息,则拒绝任何客户端的访问;用于在每次接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器;控制器,用于接收到安全服务器发送的检测消息时向安全服务器反馈应答消息; 用于接收安全服务器发来文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;用于根据安全级别映射表生成终端的通信规则发送给交换机;其中,所述通信规则中,允许涉密级别最低的终端之间的通信,禁止涉密级别高于最低级别的终端与其他终端的通信;交换机,用于根据控制器发来的通信规则控制各终端之间的通信。这里需要说明是的所述安全服务器和控制器之间的通信是通过交换机进行转发的,即交换机还用于转发安全服务器和控制器之间的通信消息。在图3所示的系统中,安全服务器和控制器通过认证方式建立连接具体为安全服务器启动后向控制器发送连接请求;控制器接收到连接请求后,向安全服务器请求证书; 安全服务器将自身的证书发送给控制器;控制器根据证书进行认证,认证成功后接受连接; 如果认证失败拒绝连接。当控制器根据证书进行认证,认证成功后接受连接之后,控制器根据安全服务器的公钥加密一个随机产生的密钥发送给服务器,此后,安全服务器和控制器之间的数据通过该密钥进行加密后传输,即安全服务器发送给控制器的数据通过该密钥进行加密,控制器发送给安全服务器的数据也通过该密钥加密。在图3所示的星形网络中,交换机是三层交换机,会提供访问控制列表(ACL, Access Control List)命令接口,能够基于MAC地址、IP地址、IP协议(TCP/UDP)、TCP端口号、UDP端口号进行访问控制,能从物理上切断两个指定终端之间的数据通信。因此,交换机能够根据控制器发来的通信规则对各通信终端之间的通信进行控制。在图3所示的星形网络中,安全服务器根据终端的访问情况,不断地把各个终端的IP地址以及其访问的涉密文件的安全级别通知给控制器。在图3所示的星形网络中,控制器上建立有包含各个终端IP地址的映射表,当控制器接收到安全服务器发来文件安全级别和IP地址时,根据文件安全级别确定终端的涉密级别,然后将确定的涉密级别写入映射表中的与该终端的IP地址对应的一项中。在本发明的一个实施例中,控制器可以设定多个涉密级别,并用数字表示涉密级别,例如设定5个涉密级别,分别用1、2、3、4、5表示各个涉密级别,其中1表示涉密级别最高,依次下来5表示涉密级别最低。则根据本发明的方案,涉密级别为5的各终端之间可以通信。此外,在图3所示所述星形网络中,各个终端在初始时无涉密级别,即在映射表中,初始时,各个IP地址对应的项为‘无涉密级别’,只有相应终端访问了安全服务器上的涉密文件后,其IP地址对应的项才会被修改为有涉密级别,具体的涉密级别有控制器根据其访问的文件的安全级别确定。在本发明中,控制器下发的交换机的通信规则还包括允许无涉密级别的终端之间,以及无涉密级别的终端和涉密级别最低的终端之间的通信。由上述可见,本发明这种在星形网络中增加控制器,该控制器和安全服务器之间通过认证方式建立连接,并且安全服务器通过周期性地发送检测消息来确认与控制器之间的通信安全,安全服务每次在接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器,控制器根据文件安全级别确定终端的涉密级别,将该终端的IP地址和涉密级别对应保存到安全级别映射表中,然后控制器根据安全级别映射表生成终端的通信规则发送给交换机,进而控制各终端之间的通信的技术方案中,由于安全服务器和控制器之间认证后才建立连接,且安全服务器实时检测与控制器之间的通信安全,首先保证了安全服务器和控制器的可信度,然后安全服务器将终端所访问的文件的安全级别信息发送给控制器,再由控制器根据终端的访问记录制定通信规则发送给交换机执行,保证了各终端的通信安全。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种实现网络安全的方法,该方法适用于多个终端之间通过交换机进行通信,并且该多个终端通过所述交换机访问安全服务器的星形网络中,其特征在于,在该星形网络中还设置有控制器,则该方法包括安全服务器和控制器之间通过认证方式建立连接;在建立连接成功后,安全服务器定时向控制器发送检测消息,控制器接收到安全服务器发送的检测消息后向安全服务器反馈应答消息;如果服务器在向控制器发送预设个数的检测消息后,仍没有收到应答消息,则拒绝任何客户端的访问;安全服务器每次在接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器;控制器接收安全服务器发来文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;控制器根据安全级别映射表生成终端的通信规则发送给交换机;其中,所述通信规则中,允许涉密级别最低的终端之间的通信,禁止涉密级别高于最低级别的终端与其他终端的通信;交换机根据控制器发来的通信规则控制各终端之间的通信。
2.根据权利要求1所述的方法,其特征在于,该方法进一步包括所述星形网络中的终端在初始时无涉密级别;所述通信规则还包括允许无涉密级别的终端之间,以及无涉密级别的终端和涉密级别最低的终端之间的通信。
3.根据权利要求1所述的方法,其特征在于,所述安全服务器和控制器之间通过认证方式建立连接包括安全服务器启动后向控制器发送连接请求;控制器接收到连接请求后,向安全服务器请求证书;安全服务器将自身的证书发送给控制器;控制器根据证书进行认证,认证成功后接受连接;如果认证失败拒绝连接。
4.根据权利要求3所述的方法,其特征在于,该方法进一步包括在所述控制器根据证书进行认证,认证成功后接受连接之后,控制器根据安全服务器的公钥加密一个随机产生的密钥发送给服务器;此后,安全服务器和控制器之间的数据通过该密钥进行加密后传输。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述安全服务器和控制器之间的通信是通过交换机进行转发的。
6.一种星形网络,其特征在于,该星形网络包括交换机、安全服务器和多个终端,多个终端之间通过交换机进行通信,并且该多个终端通过所述交换机访问安全服务器;此外, 该星形网络还包括一个与交换机和安全服务器连接的控制器;其中安全服务器,用于通过认证方式与控制器建立连接,在建立连接成功后,定时向控制器发送检测消息;如果在向控制器发送预设个数的检测消息后,仍没有收到应答消息,则拒绝任何客户端的访问;用于在每次接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器;控制器,用于接收到安全服务器发送的检测消息时向安全服务器反馈应答消息;用于接收安全服务器发来文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;用于根据安全级别映射表生成终端的通信规则发送给交换机;其中,所述通信规则中,允许涉密级别最低的终端之间的通信,禁止涉密级别高于最低级别的终端与其他终端的通信; 交换机,用于根据控制器发来的通信规则控制各终端之间的通信。
7.根据权利要求6所述的星形网络,其特征在于,所述星形网络中的终端在初始时无涉密级别;所述通信规则还包括允许无涉密级别的终端之间,以及无涉密级别的终端和涉密级别最低的终端之间的通信。
8.根据权利要求6所述的星形网络,其特征在于,所述安全服务器,用于在启动后向控制器发送连接请求,在控制器请求证书时,将自身的证书发送给控制器;接受控制器发送的密钥;所述控制器,用于在收到安全服务器的连接请求后,向安全服务器请求证书,接收安全服务器发送的证书,并根据该证书进行认证,认证成功后接受连接,如果认证失败拒绝连接。
9.根据权利要求8所述的星形网络,其特征在于,所述控制器,进一步用于在据证书进行认证,认证成功后接受连接之后,根据安全服务器的公钥加密一个随机产生的密钥发送给服务器,此后,发送给安全服务器的数据通过该密钥进行加密;所述安全服务器,进一步用于接收控制器发送的密钥,之后发送给控制器的数据通过该密钥进行加密。
10.根据权利要求6至9中任一项所述的星形网络,其特征在于, 所述交换机用于转发安全服务器和控制器之间的通信消息。
全文摘要
本发明公开了一种实现网络安全的方法和一种星形网络。在本发明的方案中,在星形网络中增加了控制器,该控制器和安全服务器之间通过认证方式建立连接,并且安全服务器通过周期性地发送检测消息来确认与控制器之间的通信安全,安全服务器每次在接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器,控制器根据文件安全级别确定终端的涉密级别,将该终端的IP地址和涉密级别对应保存到安全级别映射表中,然后控制器根据安全级别映射表生成终端的通信规则发送给交换机,进而控制各终端之间的通信。本发明的技术方案,大大提高了星形网络的安全性。
文档编号H04L12/44GK102185867SQ20111012976
公开日2011年9月14日 申请日期2011年5月19日 优先权日2011年5月19日
发明者戴瑞 申请人:苏州九州安华信息安全技术有限公司