专利名称:一种基于模式切换的网络隔离控制方法
技术领域:
本发明涉及一种基于模式切换的网络隔离控制方法,属于计算机领域。
背景技术:
计算机网络技术使得网络上的资源可以远程随意获取,但是,由于计算机网络协议本身的开放性,防止网络中不同环境中信息资源的相互渗透,做到资源的有效控制和隔离是一个日益重要的问题。
目前这方面的技术包括物理隔离技术和逻辑隔离技术。其中,物理隔离技术立足于在网络物理链路上进行隔绝,需要增加硬件投资,并给用户使用带来很大不方便。
逻辑隔离技术目前主要是协议隔离,通过非网络协议的转换来进行两个不同网络之间的隔离,这种技术一方面是基于链路上还存在相通的可能,另一方面也不灵活,使得两个不同网络间的设备同样不能进行有效的硬件资源重用。
本申请专利属于逻辑隔离,但是不同于协议隔离的是,本申请专利直接利用网络协议的特性进行控制,从而实现有效的网络资源逻辑隔离,并能够对相同的硬件资源(计算机和网络设备)进行重用。
发明内容
为了克服现有技术的不足,本发明提供一种基于模式切换的网络隔离控制方法。
本发明解决其技术问题所采用的技术方案是本发明通过针对网络协议的加密技术,通过对需要隔离的两个或者多个网络分别采用不同的加密算法或者密钥,从而实现网络的有效隔离。
本发明所描述的网络隔离控制方法,有初始化、密钥管理和协议封装三个步骤,下面分别对这三个部分的具体实现技术进行描述初始化步骤安装并运行密钥管理中心;划分n个网络资源区域,至少n-1个中的每个网络资源区域有一个共享密钥;安装客户端代理,并且注册到密钥管理中心;密钥管理中心将注册的客户端分配到某个网络资源区域;密钥管理步骤客户端代理启动,并连接到密钥管理中心;密钥管理中心验证客户端代理身份,并识别其所属网络资源区域;密钥管理中心查找客户端代理相应网络资源区域密钥,并发送给客户端;客户端代理保存密钥管理中心的密钥,完成同步;密钥更新步骤描述如下密钥管理中心产生各个网络资源区域新密钥;密钥管理中心对各个客户端代理广播并分发密钥,设定密钥更换的时间;客户端代理存储新密钥;客户端代理在统一时间启用新的密钥;协议封装步骤分成封装发送和接受解封装两个步骤封装发送步骤描述如下截获网络协议包,并解包获取其地址信息和应用数据;根据地址判断数据包目的地址所在网络资源区域是否需要封装数据包;如果需要封装,那么使用当前的数据封装密钥,对数据进行加密,重新封包发往安全网关,并在数据包中指明实际的目标地址;如果不需要封装数据,则直接将数据包发往目标地址;接受解封步骤装描述如下接受到下层数据包,判断所在网络资源区域是否需要解封装数据包,如果不需要解封装,则直接接收;如果需要解封装,则使用数据密钥解封装,获得内容;将数据重新封装成上层应用包,并发给上层。
本发明的有益效果本发明基于网络协议本身提供一种新的网络隔离技术,具有部署方便、使用简单、硬件资源重用和节省投资的特点,满足一般企事业单位的网络资源隔离的需要。
本发明专利实施使用后,能够增强网络的安全,达到以下效果1)计算机网络被划分成不同的网络资源区域,各个网络资源区域数据相互隔离,计算机只能同时访问一种资源区域,从而达到资源的有效控制和隔离;2)网络资源区域与计算机之间传输的数据经过加密保护,防止外接计算机窃听;3)数据的加密过程和密钥管理过程对计算机应用和用户透明;能够适应多种不同层次的协议。
下面结合附图和实施例对发明进一步说明。
图1为本发明拓扑图示意图;图2初始化流程图;图3密钥同步流程;图4密钥更新流程;图5协议封装流程;图6协议解封装流程。
具体实施例方式
实施例1在本方案中,网络区域划分为两大类。一类是网络资源区域,是资源集中存放和提供服务的区域;另外一类是终端计算机网络区域,即由各个终端计算机组成的网络。本方案目标就是要实现在相同的终端计算机网络中使用不同的网络资源区域中的资源的时候,实现不同的网络资源区域之间的有效隔离,这些隔离主要是指资源,包括服务和数据信息等。
本方案可以用于隔离多个网络资源区域,当隔离多个网络资源区域的时候,假设为n个,那么其中至少n-1要通过本方案的安全网关与终端计算机网络区域连接。例如要隔离内部网络业务服务器群和互联网两个网络区域,则要求内部网络服务器群放置在安全网关后面,通过安全网关与普通的终端计算机连接工作。图1描述了本方案的拓扑图。
安全网关与每个终端计算机之间要建立连接的时候,需要首先进行密钥和算法的协商,从而建立安全的网络加密通道,每个安全网关与同一台计算机终端建立的网络通信密钥都互不相同。在本方案中,每个计算机终端同时只能跟一个网络资源区域通信,根据本方案设计的系统会自动切换同其它网络资源区域的通信链路,从而实现不同网络的隔离。每一个网络资源区域在策略上定义为一个模式,终端计算机用户使用的时候只需要在不同的模式间切换,即可使用不同的网络资源区域中,并切断其它网络的连接,从而实现有效的网络隔离。
实施例2下面分别对初始化、密钥管理和协议封装步骤进行描述。
初始化步骤本发明的初始化步骤如图2,描述如下步骤1安装密钥管理中心,并运行;步骤2划分n个(n=10)网络资源区域,至少n-1(n-1=9)个中的每个网络资源区域代表一个共享密钥;步骤3安装客户端代理,并且注册到密钥管理中心;步骤4密钥管理中心将注册的客户端分配到某个网络资源区域。
密钥管理步骤本发明密钥管理采用在线集中的方式进行,由密钥管理中心和客户端共同完成密钥的同步和更新。
密钥同步步骤如图3所示,描述如下步骤1计算机启动的时候,客户端代理启动,并连接到密钥管理中心;步骤2密钥管理中心验证客户端代理身份,并识别其所属网络资源区域;步骤3密钥管理中心查找客户端代理相应网络资源区域密钥,并发送给客户端;步骤4客户端代理保存密钥管理中心的密钥,完成同步。密钥更新步骤如图4所示,描述如下步骤1密钥管理中心产生各个网络资源区域新密钥;步骤2密钥管理中心对各个客户端代理广播并分发密钥,设定密钥更换的时间;步骤3客户端代理存储新密钥;步骤4客户端代理在统一时间启用新的密钥。
协议封装步骤本发明功能要求对用户和应用程序透明,所以需要对具体的网络协议进行重新的透明封装,根据需要不同,可以针对不同层次的不同协议,比如应用层协议、传输层协议或者网络层协议等。针对不同的协议,其步骤是相同的,分成封装和解封装两个过程,封装发送过程如图5所示,描述如下步骤1截获网络协议包,并解包获取其地址信息和应用数据;步骤2根据地址判断数据包目的地址所在网络资源区域是否需要封装数据包;步骤3如果需要封装,那么使用当前的数据封装密钥,对数据进行加密,重新封包发往安全网关,并在数据包中指明实际的目标地址;步骤4如果不需要封装数据,则直接将数据包发往目标地址;接受解封装的过程如图6所示,描述如下步骤1接受到下层数据包,判断所在网络资源区域是否需要解封装数据包,如果不需要解封装,则直接接收;步骤2如果需要解封装,则使用数据密钥解封装,获得内容;步骤3将数据重新封装成上层应用包,并发给上层。
实施例3实施背景万达可信数据管理系统网络隔离子系统,万达可信数据管理(DMS)系统是用于构造一个逻辑数据隔离的系统,其功能主要是为了防止一个具有秘密数据的信息网络信息的泄漏。万达可信数据管理系统主要从网络途径和存储设备交换途径两个方面构造一个逻辑数据隔离系统。本申请专利技术应用于万达可信数据管理系统的网络隔离子系统中,很好地满足了该系统的设计需求。
其实现的主要功能如下计算机分为不同的工作模式,不同工作模式下可以访问不同的网络资源区域,各个资源区域之间相互隔离,例如普通模式下可以访问外网,但是不能访问网络保密区域;工作模式下可以访问网络保密区域,但是不能访问外网。
外来的计算机或者不在万达数据管理系统管理范围内的计算机,不能接入到访问到受安装网关保护的网络资源区域。
实施步骤网络资源区域划分步骤如下1)根据需要,确立网络资源区域的数量;2)每个网络资源区域随即产生并确定一个密钥,并确定安全网关的IP地址;3)将计算机连接到的网络资源区域中,并将密钥分配给该计算机作为通信加密密钥,并定期更新该密钥。
计算机发送数据步骤如下1)计算机发送数据包的时候,检查目标地址;2)如果不是安全网关保护的计算机,则直接发送给该目标地址计算机;3)如果是安全网关保护计算机,则使用本域密钥加密数据包,发送给安全网关;
4)安全网关接受到该数据包,检查目标地址是否是保护的计算机,如果不是,则丢弃该数据包;5)如果是,则用源计算机所在网络资源区的密钥解密数据包,并发往该目标计算机。
计算机接受数据步骤如下1)如果安全网关接受到数据包,检查是否是合法的加密数据包,如果不是,则直接丢弃;如果是合法的加密数据包,使用网络资源区域密钥解密,并比较解密后校验和是否正确,如果不正确,则丢弃,如果正确,则转发给受保护的计算机;2)如果是普通计算机接收到数据,则直接接收。
权利要求
1.一种基于模式切换的网络隔离控制方法,其特征是有划分网络资源区域,每个网络资源区域有一个共享密钥;将注册的客户端分配到某个网络资源区域的初始化步骤;有验证客户端代理身份,并识别其所属网络资源区域;查找客户端代理相应网络资源区域密钥,并发送给客户端;客户端代理保存密钥管理中心的密钥,完成同步的密钥管理步骤;有截获网络协议包,并解包获取其地址信息和应用数据;根据地址判断数据包目的地址所在网络资源区域是否需要封装数据包的封装发送步骤;有接受到下层数据包,判断所在网络资源区域是否需要解封装数据包的接受解封步骤。
2.根据权利要求1所述的一种基于模式切换的网络隔离控制方法,其特征是有密钥更新步骤描述如下密钥管理中心产生各个网络资源区域新密钥;密钥管理中心对各个客户端代理广播并分发密钥,设定密钥更换的时间;客户端代理存储新密钥;客户端代理在统一时间启用新的密钥。
3.根据权利要求1或2所述的一种基于模式切换的网络隔离控制方法,其特征是如果需要封装,那么使用当前的数据封装密钥,对数据进行加密,重新封包发往安全网关,并在数据包中指明实际的目标地址;如果不需要封装数据,则直接将数据包发往目标地址的。
4.根据权利要求1所述的一种基于模式切换的网络隔离控制方法,其特征是如果不需要解封装,则直接接收;如果需要解封装,则使用数据密钥解封装,获得内容;将数据重新封装成上层应用包,并发给上层。
全文摘要
一种基于模式切换的网络隔离控制方法有初始化、密钥管理和协议封装三个步骤,划分的每个网络资源区域有一个共享密钥;将注册的客户端分配到某个网络资源区域;密钥管理中心验证客户端代理身份,并识别其所属网络资源区域;密钥管理中心查找客户端代理相应网络资源区域密钥,并发送给客户端;客户端代理保存密钥管理中心的密钥;截获网络协议包,并解包获取其地址信息和应用数据;使用当前的数据封装密钥,对数据进行加密,重新封包发往安全网关。计算机只能同时访问一种资源区域,从而达到资源的有效控制和隔离;网络资源区域与计算机之间传输的数据经过加密保护,防止外接计算机窃听;数据对计算机应用和用户透明;能够适应多种不同层次的协议。
文档编号H04L9/32GK1953395SQ200610113169
公开日2007年4月25日 申请日期2006年9月18日 优先权日2006年9月18日
发明者李志涛, 顾飞, 喻波, 王志海 申请人:北京明朝万达科技有限公司