专利名称:建立网络隔离通道的设备及其方法
技术领域:
本发明涉及一种建立网络隔离通道的设备及其方法,属于网络通信安全技术领域。
背景技术:
随着网络的普及以及国家物联网战略规划的推动,网络通信的安全问题引起了全社会的强烈关注。不法分子利用网络工具进行高科技作案,恐怖分子和敌对势力利用网络工具进行破坏活动。面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估,我国被列入防护能力最低的国家之一,不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。近年来,国内与网络有关的各类违法行为以每年30%的速度递增。因此,网络安全技术的开发对我国的国民经济和国家战略利益具有及其重要的意义。由于网络安全的需求很大,目前市场上有各种各样的网络安全设备,如果恰当配置和维护可以达到较高的安全等级。其缺点是需要专业人员维护,不易配置,容易出错。绝大部分中小企业没有网络安全方面的专业技术人员。
发明内容
本发明的目的是克服现有技术存在的不足,提供一种建立网络隔离通道的设备及其方法,解决中小企业不同部门之间通过公网进行安全通信的问题,零配置零维护,不需要专业人员。本发明的目的通过以下技术方案来实现
建立网络隔离通道的设备,特点是在两台或多台网络设备之间通过网络通道隔离设备(Tunnel Isolating Device,TID)构建安全的通信通道,网络通道隔离设备有一个内侧网络接口和一个外侧网络接口,内侧网络接口接内侧网络设备,外侧网络接口接外侧网络设备,连接内侧网络接口的网络设备由网络通道隔离设备保护,由一个网络通道隔离设备保护的网络设备的集合称为一个网络通道隔离设备保护域,不同保护域内的主机间安全通
信 °进一步地,上述的建立网络隔离通道的设备,其中,连接内侧网络接口的网络设备是带有网络接口的使用hternet通信协议的任何电子设备。更进一步地,上述的建立网络隔离通道的设备,其中,连接外侧网络接口的网络设备是带有网络接口的使用^ternet通信协议的任何电子设备。本发明建立网络隔离通道的方法,网络通道隔离设备对经过的数据包进行自动加密和解密,网络通道隔离设备成对或多个一起使用,通过内侧网络接口进入网络通道隔离设备的所有用户数据包被加密,并从外侧网络接口输出;通过外侧网络接口进入网络通道隔离设备的用户数据被检测,如果数据包没有被加密或无法被正确解密,则数据包被丢弃,只有被正确解密的数据包才从内侧网络接口输出进入保护域,使任何其他第三方都不能解密由保护域内网络设备或主机发送的数据包,同时任何没有被加密的数据包无法进入保护域,在保护域和外网之间信息隔离;从而在不同保护域的网络设备间建立虚拟隔离通道,进行安全通信。再进一步地,上述的建立网络隔离通道的方法,其中,过程分为产生和分发主密钥的初始化阶段,以及子密钥的产生和更新过程、数据加密传输的运行阶段;
初始化阶段设备初始化,产生和分发主密钥将需要匹配的网络通道隔离设备用网线依次首尾相连形成一个闭环,一个设备的内侧网络接口连接另一设备的外侧网络接口 ; 按下其中一个网络通道隔离设备上的初始化键,该设备启动密钥初始化协议,该协议包括四个阶段密钥算法选择、密钥产生、密钥分发和密钥验证,密钥算法选择密钥协议选择一种密钥算法;密钥产生启动密钥初始化协议的设备随机产生一个主密钥;密钥分发将密钥算法和主密钥封装在一个数据包中然后从外侧网络接口送出,下一个网络通道隔离设备接收到数据包后,存储密钥算法和主密钥并转发数据包,当启动密钥初始化协议的通道隔离设备在另一端即内侧网络接口接收到自己产生的包含密钥算法和主密钥的数据包时, 说明密钥分发完成;密钥验证测试主密钥分发的正确性,密钥分发完成后,启动密钥协议的设备产生一个密钥协议验证数据包,其中包括明码数据和相应的由主密钥加密的密文, 数据包被发往下一节点验证,如果该节点能正确解码密文,就把该数据包发往下一节点继续验证,否则产生一个验证错误数据包并传递给下一节点,当启动密钥协议的设备收到由自己产生的密钥验证数据包时,密钥验证完成;当启动密钥协议的设备收到验证错误数据包时,重新开始密钥初始化协议;
运行阶段经过初始化的网络通道隔离设备安装在网络设备上进行安全通信,网络通道隔离设备的连接方法是将内侧网络接口连接需要保护的网络设备或主机,将外侧网络接口连接外网或公网,当保护域内的网络通信设备开始通信时,如果还没有产生相应的子密钥,网络通道隔离设备从接收到的数据包中提取目的地地址并缓存该数据包;该通道隔离设备随机产生一个子密钥,并用主密钥将子密钥加密发往提取的目的地地址,当包含子密钥的数据包通过目的地的通道隔离设备时,该数据包被截获,截获该数据包的通道隔离设备用主密钥解密该数据包,提取子密钥,并发送应答数据包,当发送子密钥的通道隔离设备接收到应到时,用子密钥加密用户数据包,开始安全通信,子密钥进行不定期更新,加密用户数据,主密钥仅用于加密并传递子密钥,不用于加密用户数据。本发明技术方案突出的实质性特点和显著的进步主要体现在
①本发明在不同的地理位置间,通过公网建立虚拟的网络隔离通道,通信数据都都采用国家保密局推荐的加密算法进行高强度加密,任何第三方无法对加密数据进行有效解密,也不能篡改通信数据;解决中小企业不同部门之间通过公网进行安全通信的问题;零配置零维护,不需要专业人员;
②通道隔离设备(TID)特性不需要用户在电脑上安装任何软件;即插即用,零配置, 用户使用方便;TID对用户数据自动加解密,实现数据完整性和数据防重放保护;透明支持所有标准网络应用程序(包括用户自己编制的基于IP的应用程序);架设隔离通道灵活方便,可以实现TID保护域间网络设备的安全通信;抗攻击能力强,处于保护域之外的黑客无法成功实施中间人攻击以获取用户的数据(黑客截获的数据是经过加密的密文);抗病毒能力强,即使被保护的主机感染了木马病毒,也不用担心信息泄露,因为木马向保护域外主机发送的数据时,TID因为得不到目的主机有效的应答,会将数据丢弃;病毒隔离,保护域内设备不会受到公网上病毒的感染,因为公网上的病毒无法通过TID。③TID可用于企业两个分公司间的安全通信;企业不同部门间的安全通信;员工出差在外与公司网络间的安全通信;合作伙伴间的安全通信等等。
下面结合附图对本发明技术方案作进一步说明 图1 网络通道隔离设备的构造示意图。
具体实施例方式本发明在不同的地理位置间,通过公网建立虚拟的隔离通道,通信数据都进行高强度加密,任何第三方无法对加密数据进行有效解密,也不能篡改通信数据。如图1所示,建立网络隔离通道的设备,在两台或多台网络设备之间通过网络通道隔离设备(Tunnel Isolating Device,简称为TID)构建安全的通信隧道。网络通道隔离设备,如图1所示,有一个内侧网络接口 11、一个外侧网络接口 21、一个网络处理器31 (进行数据包加密解密处理和其他事务处理)、一个初始化键22、一组LED指示灯32 (用于指示设备状态)、一个电源接口 33和一个可选的USB接口 12 (可用于初始化密钥或安装设备证书)。内侧网络接口 11接内侧网络设备,外侧网络接口 21接外侧网络设备,连接内侧网络接口 11的网络设备由网络通道隔离设备保护,由一个网络通道隔离设备保护的网络设备的集合称为一个网络通道隔离设备保护域(简称为保护域),不同保护域内的主机间安全通信。保护域可以是一台主机,也可以是一个子网,或者是多个子网。连接内侧网络接口 11的网络设备是带有网络接口的使用hternet通信协议的任何电子设备。连接外侧网络接口 21的网络设备是带有网络接口的使用hternet通信协议的任何电子设备。建立网络隔离通道的方法,通过对用户数据包进行自动加密和解密实现。网络通道隔离设备需成对或多个一起使用,通过内侧网络接口 11进入网络通道隔离设备的所有用户数据包将被加密,并从外侧网络接口 21输出;通过外侧网络接口 21进入网络通道隔离设备的用户数据都将被检测,如果数据包没有被加密或无法被正确解密,则该数据包将被丢弃,只有能被正确解密的数据包才能从内侧网络接口 11输出进入保护域。这保证了任何其他第三方都不能解密由保护域内网络设备或主机发送的数据包,同时任何没有被恰当加密的数据包都无法进入保护域。这实现了保护域和外网之间的信息隔离。从而在不同保护域的网络设备间建立虚拟隔离通道,进行安全通信。加密算法使用对称加密算法AES或国家保密局推荐算法。AES算法是目前公认的最好的算法之一,破解该算法的唯一方法是暴力破解,而暴力破解该算法所需的时间要以亿年来计算,因此只要密钥选择恰当,可以认为该算法是不可破解的。网络通道隔离设备的主要目的是在两台或多台网络设备间构建安全的通信隧道,其功能相当于虚拟专用网 (VPN),与VPN相比,TID具有独特之处。
其过程分为产生和分发主密钥的初始化阶段,以及子密钥的产生和更新、数据加密传输的运行阶段;
初始化阶段设备初始化,产生和分发主密钥将需要匹配的网络通道隔离设备用网线依次首尾相连形成一个闭环(一个设备的内侧网络接口 11连接另一设备的外侧网络接口 21);按下其中一个网络通道隔离设备上的初始化键22,该设备启动密钥初始化协议,该协议包括四个阶段密钥算法选择、密钥产生、密钥分发和密钥验证,密钥算法选择密钥协议选择一种密钥算法;密钥产生启动密钥初始化协议的设备随机产生一个主密钥;密钥分发将密钥算法和主密钥封装在一个数据包中然后从外侧网络接口 21送出,下一个网络通道隔离设备接收到数据包后,用特定算法存储密钥算法和主密钥并转发该数据包,当启动密钥初始化协议的通道隔离设备在另一端即内侧网络接口 11接收到自己产生的包含密钥算法和主密钥的数据包时,说明密钥分发完成;密钥验证测试主密钥分发的正确性, 当密钥分发完成后,启动密钥协议的设备产生一个密钥协议验证数据包,其中包括明码数据和相应的由主密钥加密的密文,该数据包被发往下一节点验证,如果该节点能正确解码密文,就把该数据包发往下一节点继续验证,否则产生一个验证错误数据包并传递给下一节点。当启动密钥协议的设备收到由自己产生的密钥验证数据包时,密钥验证完成;当启动密钥协议的设备收到验证错误数据包时,重新开始密钥初始化协议。由于设备初始化过程中只有TID互联,因此主密钥的分发是安全的(没有第三方能截获密钥)。在发生TIDTID被盗或丢失的情况下,只要重新做一次TIDTID初始化,丢失的TIDTID就没法接入网络。运行阶段产生子密钥,子密钥不定期更新,数据加密通信,主密钥传递子密钥, 子密钥加密数据。目前国内外还没有功能相同的产品。这里的功能定义为(1)用一个TID加密的IP 数据包,必须用匹配过的TID才能解密;这隐含了(2)—定要两个或多个TID配合使用构建安全隧道或隧道网;(3)不可管理性(自封闭性)。TID设备既没有IP地址也没有MAC地址, 还禁止远程管理功能。这使得TID设备通过网络是“不可见”的-没法进行访问。用户和黑客都感觉不到TID设备,这对用户使用完全透明,但使得黑客无法攻击TID设备。TID具有以下特性不需要用户在电脑上安装任何软件;即插即用,零配置,用户使用方便;IP报文加解密,实现数据完整性和数据防重放保护;透明支持所有标准网络应用程序(包括用户自己编制的基于IP的应用程序);安全强度高;架设安全隧道灵活,可以实现TID保护域间的安全通信;抗攻击能力强,处于保护域之外的黑客无法成功实施中间人攻击以获取用户的数据(黑客截获的数据是经过加密的密文);抗病毒能力强,即使被保护的主机感染了木马病毒,也不用担心信息泄露,因为木马向保护域外主机发送的数据时, TID因为得不到目的主机有效的应答,会将数据丢弃;病毒隔离,保护域内设备不会受到公网上病毒的感染,因为公网上的病毒无法通过TID。需要理解到的是以上所述仅是本发明的优选实施方式,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.建立网络隔离通道的设备,其特征在于在两台或多台网络设备之间通过网络通道隔离设备构建安全的通信通道,网络通道隔离设备有一个内侧网络接口和一个外侧网络接口,内侧网络接口接内侧网络设备,外侧网络接口接外侧网络设备,连接内侧网络接口的网络设备由网络通道隔离设备保护,由一个网络通道隔离设备保护的网络设备的集合称为一个网络通道隔离设备保护域,不同保护域内的主机间安全通信。
2.根据权利要求1所述的建立网络隔离通道的设备,其特征在于连接内侧网络接口的网络设备是带有网络接口的使用^ternet通信协议的任何电子设备。
3.根据权利要求1所述的建立网络隔离通道的设备,其特征在于连接外侧网络接口的网络设备是带有网络接口的使用^ternet通信协议的任何电子设备。
4.权利要求1所述的设备实现建立网络隔离通道的方法,其特征在于网络通道隔离设备对经过的数据包进行自动加密和解密,网络通道隔离设备成对或多个一起使用,通过内侧网络接口进入网络通道隔离设备的所有用户数据包被加密,并从外侧网络接口输出; 通过外侧网络接口进入网络通道隔离设备的用户数据被检测,如果数据包没有被加密或无法被正确解密,则数据包被丢弃,只有被正确解密的数据包才从内侧网络接口输出进入保护域,使任何其他第三方都不能解密由保护域内网络设备或主机发送的数据包,同时任何没有被加密的数据包无法进入保护域,在保护域和外网之间信息隔离。
5.根据权利要求4所述的建立网络隔离通道的方法,其特征在于过程分为产生和分发主密钥的初始化阶段,以及子密钥的产生和更新过程、数据加密传输的运行阶段;初始化阶段设备初始化,产生和分发主密钥将需要匹配的网络通道隔离设备用网线依次首尾相连形成一个闭环,一个设备的内侧网络接口连接另一设备的外侧网络接口 ; 按下其中一个网络通道隔离设备上的初始化键,该设备启动密钥初始化协议,该协议包括四个阶段密钥算法选择、密钥产生、密钥分发和密钥验证,密钥算法选择密钥协议选择一种密钥算法;密钥产生启动密钥初始化协议的设备随机产生一个主密钥;密钥分发将密钥算法和主密钥封装在一个数据包中然后从外侧网络接口送出,下一个网络通道隔离设备接收到数据包后,存储密钥算法和主密钥并转发数据包,当启动密钥初始化协议的通道隔离设备在另一端即内侧网络接口接收到自己产生的包含密钥算法和主密钥的数据包时, 说明密钥分发完成;密钥验证测试主密钥分发的正确性,密钥分发完成后,启动密钥协议的设备产生一个密钥协议验证数据包,其中包括明码数据和相应的由主密钥加密的密文, 数据包被发往下一节点验证,如果该节点能正确解码密文,就把该数据包发往下一节点继续验证,否则产生一个验证错误数据包并传递给下一节点,当启动密钥协议的设备收到由自己产生的密钥验证数据包时,密钥验证完成;当启动密钥协议的设备收到验证错误数据包时,重新开始密钥初始化协议;运行阶段经过初始化的网络通道隔离设备安装在网络设备上进行安全通信,网络通道隔离设备的连接方法是将内侧网络接口连接需要保护的网络设备或主机,将外侧网络接口连接外网或公网,当保护域内的网络通信设备开始通信时,如果还没有产生相应的子密钥,网络通道隔离设备从接收到的数据包中提取目的地地址并缓存该数据包;该通道隔离设备随机产生一个子密钥,并用主密钥将子密钥加密发往提取的目的地地址,当包含子密钥的数据包通过目的地的通道隔离设备时,该数据包被截获,截获该数据包的通道隔离设备用主密钥解密该数据包,提取子密钥,并发送应答数据包,当发送子密钥的通道隔离设备接收到应到时,用子密钥加密用户数据包,开始安全通信,子密钥进行不定期更新,加密用户数据,主密钥仅用于加密并传递子密钥,不用于加密用户数据。
全文摘要
本发明涉及建立网络隔离通道的设备及方法,在两台或多台网络设备之间通过网络通道隔离设备构建安全的通信通道,网络通道隔离设备有一个内侧网络接口和一个外侧网络接口,内侧网络接口接内侧网络设备,外侧网络接口接外侧网络设备,连接内侧网络接口的网络设备由网络通道隔离设备保护,由一个网络通道隔离设备保护的网络设备的集合称为一个网络通道隔离设备保护域,不同保护域内的主机间安全通信。在不同的地理位置间,通过公网建立虚拟的网络隔离通道,通信数据都都采用国家保密局推荐的加密算法进行高强度加密,任何第三方无法对加密数据进行有效解密,也不能篡改通信数据;解决中小企业不同部门之间通过公网进行安全通信的问题。
文档编号G06F21/00GK102316108SQ20111026643
公开日2012年1月11日 申请日期2011年9月9日 优先权日2011年9月9日
发明者周伯生 申请人:周伯生