专利名称:一种动态可控交换机的制作方法
技术领域:
本实用新型涉及网络通信技术领域,特别是涉及ー种动态可控交换机。
背景技术:
星形网络是在实际中最常见的一种局域网连接方式。图I是现有的ー种星形网络的组网示意图。如图I所示,各終端之间的通信必须经过交换机,且各终端访问安全服务器也需要通过交换机。局域网的开放性特点,使得图I所示星形网络中的各个终端中的重要信息资源处 于高风险状态,可能发生的安全问题包括通过网络传播的病毒木马等的非法入侵,以及基于网络的信息窃取等。因此提高现有的星形网络的安全性迫在眉睫。
实用新型内容本实用新型提供了一种动态可控交换机,该动态可控交换机能提高星形网络的安全性。为达到上述目的,本实用新型的技术方案是这样实现的本实用新型公开了ー种动态可控交换机,该动态可控交换机与多个终端和ー个安全服务器相连,该动态可控交換机包括交换机模块和控制器;所述控制器连接所述交换机模块,所述交换机模块分别连接所述多个終端和所述安全服务器。所述控制器包括认证模块、服务器指令接收模块、存储模块和策略生成模块,其中所述认证模块连接所述服务器指令接收模块,所述服务器指令接收模块连接所述存储模块,所述存储模块连接所述策略生成模块。该动态可控交换机与多个终端和ー个安全服务器相连,所述多个终端通过该动态可控交換机访问安全服务器,该动态可控交换机包括交换机模块和控制器;控制器,用于保存終端物理地址注册列表,当一个终端启动时,判断该终端的物理地址是否在終端物理地址注册列表中,如果在,则向交換机模块发送允许该终端访问安全服务器的命令,如果不在,则向交換机模块发送拒绝该终端访问安全服务器的命令;交換机模块,用于根据控制器的命令允许或拒绝终端访问安全服务器。在上述的动态可控交换机中,控制器,还用于在收到安全服务器的连接请求后,向安全服务器请求证书,接收安全服务器发送的证书,井根据该证书进行认证,认证成功后接受安全服务器的连接,如果认证失败拒绝安全服务器的连接;用于在认证成功后,接收安全服务器定时发送的检测消息,井向安全服务器反馈应答消息;用于接收安全服务器发送的文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;用于根据安全级别映射表生成终端的通信策略发送给交換机模块;其中,各終端在初始时无涉密级别,所述通信策略包括允许涉密级别最低的終端之间的通信,禁止涉密级别高于最低级别的終端与其他终端的通信;允许无涉密级别的终端之间,以及无涉密级别的终端和涉密级别最低的終端之间的通信;交換机模块,还用于根据控制器发来的通信规则控制各終端之间的通信。在上述的动态可控交换机中,所述控制器包括认证模块、服务器指令接收模块、存储模块和策略生成模块,其中认证模块,用于在收到安全服务器的连接请求后,向安全服务器请求证书,接收安全服务器发送的证书,井根据该证书进行认证,认证成功后接受安全服务器的连接并通知服务器指令接收模块,如果认证失败拒绝安全服务器的连接;用于在认证成功后,接收安全服务器定时发送的检测消息,井向安全服务器反馈应答消息;其中,安全服务器在向认证模块发送预设个数的检测消息后,仍没有收到应答消息,则拒绝任何客户端的访问;服务器指令接收模块,用于在收到认证模块的认证成功通知后接收安全服务器发送的文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;其中,安全服务器是在毎次接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给服务器指令接收模块的;存储模块,用于保存安全级别映射表;该安全级别映射表保存终端的IP地址和终端的涉密级别之间的对应关系;策略生成模块,用于根据安全级别映射表生成终端的通信策略发送给交换机模块。在上述的动态可控交换机中,服务器指令接收模块,用于设定多个涉密级别,并用正整数表示涉密级别,当接收到安全服务器发送的文件安全级别和IP地址时,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应的正整数对应保存到安全级别映射表中。在上述的动态可控交换机中,所述认证模块,进ー步用于在认证成功后,根据安全服务器的公钥加密一个随机产生的密钥发送给服务器,此后,与安全服务器之间的数据通过该密钥进行加密后传输。由上述可见,本实用新型这种在交換机中增加控制器,控制器用于保存終端物理地址注册列表,当一个终端启动时,判断该终端的物理地址是否在終端物理地址注册列表中,如果在,则向交換机模块发送允许该终端访问安全服务器的命令,如果不在,则向交換机模块发送拒绝该终端访问安全服务器的命令;交換机模块根据控制器的命令允许或拒绝終端访问安全服务器的技术方案,大大提高了星形网络的安全性。
图I是现有的ー种星形网络的组网示意图;图2是本发明实施例中的一种动态可控交换机的组成结构及外部连接示意图;图3是本发明实施例中的动态可控交换机中控制器的组成结构示意图。
具体实施方式
为了使本实用新型的目的、技术方案和优点更加清楚,
以下结合附图和具体实施例对本实用新型进行详细描述。图2是本发明实施例中的一种动态可控交换机的组成结构及外部连接示意图。如图2所示,该动态可控交换机与多个终端和ー个安全服务器相连,所述多个終端通过该动态可控交換机访问安全服务器,该动态可控交换机包括交换机模块和控制器;控制器,用于保存終端物理地址注册列表,当一个终端启动时,判断该终端的物理地址是否在終端物理地址注册列表中,如果在,则向交換机模块发送允许该终端访问安全服务器的命令,如果不在,则向交換机模块发送拒绝该终端访问安全服务器的命令;交換机模块,用于根据控制器的命令允许或拒绝终端访问安全服务器。这样通过终端的注册和物理地址的校验,为局域网的计算机准入控制增加了安全 保护。注册终端的物理地址到控制器上的物理地址注册列表具体可以为通过串ロ或网络接ロ进入控制器管理平台,把需要访问安全服务器的终端的物理地址填入表中。此外,控制器,还用于在收到安全服务器的连接请求后,向安全服务器请求证书,接收安全服务器发送的证书,井根据该证书进行认证,认证成功后接受安全服务器的连接,如果认证失败拒绝安全服务器的连接;用于在认证成功后,接收安全服务器定时发送的检测消息,井向安全服务器反馈应答消息;用于接收安全服务器发送的文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;用于根据安全级别映射表生成终端的通信策略发送给交換机模块;其中,各終端在初始时无涉密级别,所述通信策略包括允许涉密级别最低的終端之间的通信,禁止涉密级别高于最低级别的終端与其他终端的通信;允许无涉密级别的终端之间,以及无涉密级别的终端和涉密级别最低的終端之间的通信;交換机模块,还用于根据控制器发来的通信规则控制各終端之间的通信。交换机模块会提供访问控制列表(ACL, Access Control List)命令接ロ,能够基于MAC地址、IP地址、IP协议(TCP/UDP)、TCP端口号、UDP端ロ号进行访问控制,能从物理上切断两个指定終端之间的数据通信。因此,交換机能够根据控制器发来的通信规则对各通信終端之间的通信进行控制。这里需要说明是的所述安全服务器和控制器之间的通信是通过交換机模块进行转发的,即交換机模块还用于转发安全服务器和控制器之间的通信消息。图2所示的动态可控交换机能够实现星形网络中的终端的动态划分和物理隔离。其中,在图2所不的局域网中,动态可控交换机先启功并保持工作状态。图3是本发明实施例中的动态可控交换机中控制器的组成结构示意图。如图3所示,该控制器包括认证模块、服务器指令接收模块、存储模块和策略生成模块,其中认证模块,用于在收到安全服务器的连接请求后,向安全服务器请求证书,接收安全服务器发送的证书,井根据该证书进行认证,认证成功后接受安全服务器的连接并通知服务器指令接收模块,如果认证失败拒绝安全服务器的连接;用于在认证成功后,接收安全服务器定时发送的检测消息,井向安全服务器反馈应答消息;[0044]其中,安全服务器在向认证模块发送预设个数的检测消息后,仍没有收到应答消息,则拒绝任何客户端的访问;服务器指令接收模块,用于在收到认证模块的认证成功通知后接收安全服务器发送的文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;其中,安全服务器是在毎次接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给服务器指令接收模块的;存储模块,用于保存安全级别映射表;该安全级别映射表保存终端的IP地址和终端的涉密级别之间的对应关系;策略生成模块,用于根据安全级别映射表生成终端的通信策略发送给交换机模块。
·[0049]在图3中,所诉服务器指令接收模块,用于设定多个涉密级别,并用正整数表示涉密级别,当接收到安全服务器发送的文件安全级别和IP地址时,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应的正整数对应保存到安全级别映射表中。在图3中,所述认证模块,进ー步用于在认证成功后,根据安全服务器的公钥加密一个随机产生的密钥发送给服务器,此后,与安全服务器之间的数据通过该密钥进行加密后传输。综上所述,本实用新型这种在交換机中增加控制器,控制器根据终端物理地址注册列表控制终端对安全服务器的访问,并且控制器通过认证方式与安全服务器建立连接,并且通过接收安全服务器周期性地发送检测消息来确认与安全服务器之间的通信安全,控制器接收安全服务器发送的文件安全级别和终端的IP地址,根据文件安全级别确定终端的涉密级别,将该终端的IP地址和涉密级别对应保存到安全级别映射表中,然后根据安全级别映射表生成终端的通信规则发送给交换机模块,进而控制各終端之间的通信的技术方案,大大提高了星形网络的安全性。以上所述仅为本实用新型的较佳实施例而已,并不用以限制本实用新型,凡在本实用新型的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本实用新型保护的范围之内。
权利要求1.一种动态可控交换机,该动态可控交换机与多个终端和ー个安全服务器相连,其特征在于,该动态可控交換机包括交换机模块和控制器; 所述控制器连接所述交换机模块,所述交换机模块分别连接所述多个終端和所述安全服务器。
专利摘要本实用新型公开了一种动态可控交换机,该动态可控交换机与多个终端和一个安全服务器相连,该动态可控交换机包括交换机模块和控制器;所述控制器连接所述交换机模块,所述交换机模块分别连接所述多个终端和所述安全服务器。本实用新型提供的动态可控交换机能提高星形网络的安全性。
文档编号H04L29/06GK202455377SQ20112016011
公开日2012年9月26日 申请日期2011年5月19日 优先权日2011年5月19日
发明者戴瑞 申请人:苏州九州安华信息安全技术有限公司