网络安全系统的制作方法

本发明涉及计算机网络领域，尤其涉及一种网络安全系统。

背景技术：

随着计算机技术与网络通信技术的高速发展，计算机网络在各个领域的广泛应用，极大地提高了人们的工作效率，使得衣食住行变得更方便。在地球两端的人们通过互联网就能互通有无。但是在互联网给人们带来巨大利益的同时，黑客通过网络病毒开始侵袭各大服务器和数据库，给使用网络的正常用户带来了巨大的损失。由于网络传播速度快，即便防火墙软件和杀毒软件数量繁多，仍然存在漏洞，使得黑客能够利用这些软件的漏洞进行攻击。现有技术中，往往通过一层防火墙来保护整个系统的安全，这样只要黑客了解该防火墙的漏洞就能很容易操纵整个系统。显然本领域迫切需要一款能克服上述缺陷易于操作的网络安全系统。

技术实现要素：

本发明旨在提供一种网络安全系统，其能够防范来自外网和内网攻击，数据经过拆分分别存放在第一数据库和第二数据库中，并且需要第一权限服务器和第二权限服务器分别验证数据请求来获取数据，主控机任意选择第一权限服务器和第二权限服务器，极大地增加了黑客的破解难度，多种防护措施协同工作，能够有效保护系统的安全。

为实现上述目的，本发明提供一种网络安全系统，包括依次连接的外层防火墙、隔离器、权限服务器、内层防火墙、内层交换机和末端主机，其中，权限服务器分别连接隔离器、内层防火墙、数据压缩器和主控机，数据压缩器分别连接第一数据库和第二数据库。末端主机或外网的智能终端上设置有数据解压器。

外层防火墙设置于最外层，用于过滤来自外网的病毒和网络攻击。内层防火墙用于过滤来自内网的病毒和网络攻击。

隔离器用于生成内网的各个主机的虚拟地址，以及生成内网和外网之间的数据传输通道。

数据压缩器用于将接收的每份数据压缩为第一数据包和第二数据包并分配第一数据包和第二数据包至第一数据库和第二数据库。所述数据解压器用于分别接收第一数据包和第二数据包并解压为一份数据。

第一数据库用于存储第一数据包。第二数据库用于存储第二数据包。

权限服务器用于接收数据请求，以及根据存储的权限表来验证数据请求是否合法，包括第一权限服务器和第二权限服务器。第一权限服务器通过数据压缩器连接第一数据库，用于当数据请求合法时，发送验证数据请求合法性的第一验证结果至主控机。第二权限服务器通过数据压缩器连接第二数据库，用于当数据请求合法时，发送验证数据请求合法性的第二验证结果至主控机。

主控机用于从多个权限服务器中选择第一权限服务器，从多个权限服务器中选择第二权限服务器，以及接收第一权限服务器和第二权限服务器发送的第一验证结果和第二验证结果，并且，主控机仅当第一验证结果和第二验证结果均合法时，分别控制第一权限服务器接收或发送第一数据库中的相应数据依次发送至外网或末端主机，控制第二权限服务器接收或发送第二数据库中的相应数据依次发送至外网或末端主机。

优选地，本发明提供一种网络安全系统，其中，末端主机上设置有RFID读取器，用于接收带有用户信息的RFID芯片发送的用户信息，并将用户信息分别发送至第一权限服务器和第二权限服务器；第一权限服务器和第二权限服务器通过比对用户信息以判断数据请求是否合法。

优选地，本发明提供一种网络安全系统，还包括报警器，分别连接第一权限服务器和第二权限服务器，用于在数据请求不合法时发出报警信号。

优选地，本发明提供一种网络安全系统，还包括设置在末端主机上的锁机芯片，通过有线或无线连接第一权限服务器和第二权限服务器，用于数据请求不合法时控制末端主机锁机，以及接收来自管理员的智能终端的解锁信号后解锁。

优选地，本发明提供一种网络安全系统，还包括设置在末端主机上的门禁码生成模块和设置在各个门禁系统上的门禁码读取模块；门禁码生成模块通过有线或无线分别与第一权限服务器和第二权限服务器相连接，用于当数据请求合法时，生成二维门禁码，并且，将二维门禁码发送至显示器进行显示，方便用户转存二维门禁码；门禁码读取模块用于读取二维门禁码并解锁相应门禁。

优选地，本发明提供一种网络安全系统，还包括设置在末端主机上的断电器，通过有线或无线分别连接第一权限服务器和第二权限服务器，用于在数据请求不合法时控制末端主机自动断电。

优选地，本发明提供一种网络安全系统，还包括设置在第一权限服务器和第二权限服务器上的防拆回路，用于在防拆回路被破坏时发出报警信号。

优选地，本发明提供一种网络安全系统，其中，末端主机和主控机上均设置有相连接的通讯模块和权限验证模块；权限验证模块用于接收显示器发送的验证码，将验证码与预设验证码进行比较，当验证码与预设验证码一致时，检索第一数据库和第二数据库上存储的通讯路径表得到相应通讯路径和通讯对象，并发送至通讯模块；通讯模块根据通讯路径和通讯对象来实现与通讯对象的通信。

优选地，本发明提供一种网络安全系统，还包括分别设置于隔离器、权限服务器、数据库、内层交换机和末端主机上的语音控制模块，用于接收用户发送的语音信息并转换为命令以分别控制上述设备。

优选地，本发明提供一种网络安全系统，还包括分别设置于隔离器、权限服务器、数据库、内层交换机和末端主机上的定位模块，用于对上述设备进行定位跟踪。

本发明提供的一种网络安全系统能够防范来自外网和内网攻击，压缩数据包存储在数据库中，解压在用户端，保证系统不会中毒，切实的提高了系统的安全性，降低了用户仅仅依赖防火墙防御病毒。防御病毒的同时即便黑客设置木马在文件内，经过系统的压缩，在系统中黑客的木马也会失效，这样够防范黑客的后门攻击。一份数据经过拆分分别存放在第一数据库和第二数据库中，并且用户获取数据需要第一权限服务器和第二权限服务器通过不同算法分别验证数据请求，并且通过用户的数据解压器才能够解压出完整的一份数据，使得黑客无法通过仅仅破解一个权限服务器或是绑架数据库来获取数据，只有持有数据解压器的用户才能解压相应数据，大大增加了系统的安全性。主控机任意选择第一权限服务器和第二权限服务器，增加了第一权限服务器和第二权限服务器的隐蔽性极大地增加了黑客的破解难度，大大增加了系统的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例。

图1为本发明网络安全系统的示意框图；

图2为本发明网络安全系统的外网发送接收数据的步骤流程图；

图3为本发明网络安全系统的内网发送接收数据的步骤流程图。

附图标记说明：

1、外网 2、外层防火墙 3、隔离器

4、权限服务器 5、第一权限服务器 6、第二权限服务器

7、内层防火墙 8、内层交换机 9、末端主机

10、主控机 11、数据压缩器 12、第一数据库

13、第二数据库 14、防拆回路 15、数据解压器

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。

如图1所示，本发明提出的一种网络安全系统，包括依次连接的外层防火墙2、隔离器3、权限服务器4、内层防火墙7、内层交换机8和末端主机9，其中，权限服务器4分别连接隔离器3、内层防火墙7、数据压缩器11和主控机10，数据压缩器11分别连接第一数据库12和第二数据库13。末端主机或外网的智能终端上设置有数据解压器15。

外层防火墙2设置于最外层，用于过滤来自外网1的病毒和网络攻击。内层防火墙7用于过滤来自内网的病毒和网络攻击。

隔离器3用于生成内网(主要包括权限服务器4、内层交换机8和末端主机9)的各个主机的虚拟地址，以及生成内网和外网1之间的数据传输通道。

数据压缩器11用于将接收的每份数据压缩为第一数据包和第二数据包并分配第一数据包和第二数据包至第一数据库12和第二数据库13。数据解压器15用于分别接收第一数据包和第二数据包并解压为一份数据。

第一数据库12用于存储第一数据包。第二数据库13用于存储第二数据包。

权限服务器4用于接收数据请求，以及根据存储的权限表来验证数据请求是否合法，包括第一权限服务器5和第二权限服务器6。第一权限服务器5通过数据压缩器11连接第一数据库12，用于当数据请求合法时，发送验证数据请求合法性的第一验证结果至主控机10。第二权限服务器6通过数据压缩器11连接第二数据库13，用于当数据请求合法时，发送验证数据请求合法性的第二验证结果至主控机10。

主控机10用于从多个权限服务器4中选择第一权限服务器5，从多个权限服务器4中选择第二权限服务器6，以及接收第一权限服务器5和第二权限服务器6发送的第一验证结果和第二验证结果，并且，主控机10仅当第一验证结果和第二验证结果均合法时，分别控制第一权限服务器5接收或发送第一数据库12中的相应数据依次发送至外网1或末端主机9，控制第二权限服务器6接收或发送第二数据库13中的相应数据依次发送至外网1或末端主机9。

在本实施例中，防火墙也可以设置在门禁系统的门禁控制机上和门禁系统相结合。数据压缩器11可以为带有输入输出端口、存储器和控制器的智能设备。控制器设置有数据压缩的程式。控制器可以为处理芯片。通过控制器来控制存储器通过输入输出端口来输入输出数据，以及压缩和解压存储器中数据。压缩时，数据经过输入端口到达存储器，存储器中的数据经过控制器的压缩成为第一数据包和第二数据包，第一数据包和第二数据包经过输出端口输出。

在合法用户的末端主机或是外网智能设备上设置有数据解压器，解压第一数据包和第二数据包时，必须使用数据解压器。数据解压器上设置有和数据压缩器的数据压缩算法相匹配的解压算法。解压算法里面含有秘钥。这样即便黑客拿到数据包，没有解压秘钥也不能解压。通过限制合法用户才能获得数据解压器，来防范黑客对系统的攻击和窃取数据。

隔离器3可以为相互连接的交换机和路由。隔离器3可以包括第一隔离器和第二隔离器，其中，第一隔离器用于生成内网和外网1之间的第一数据传输通道；第二隔离器用于生成内网和外网1之间的第二数据传输通道；第一隔离器可以为相互连接的第一交换机和第一路由。第二隔离器可以为相互连接的第二交换机和第二路由。

主控机10分别与第一权限服务器5和第二权限服务器6通过局域网相互连接。主控机10可以根据预设时间表来选择第一权限服务器5和第二权限服务器6。预设的时间表包括时间段和时间段对应的第一权限服务器5和第二权限服务器6的编号。主控机10根据预设时间表按照时间段不断的切换第一权限服务器5和第二权限服务器6，并且，可以通过改变第一权限服务器5和第二权限服务器6存储的路径映射表来改变第一权限服务器5连接的第一数据库12和第二权限服务器6连接的第二数据库13，让更新的映射表覆盖旧映射表。这样使得第一权限服务器5和第二权限服务器6即便同时被绑架，在一段时间后(根据维护人员对主控机预设的切换时间表得到的切换时间)经过主控机10的调整，选出另外一对第一权限服务器5和第二权限服务器6以控制第一数据库12和第二数据库13。而原先的第一权限服务器5和第二权限服务器6可以去控制第三数据库和第四数据库。

这样就导致黑客获取重要数据时被中断。并且黑客难以判断出选定的第一权限服务器5和第二权限服务器6，使得黑客难以同时从第一数据库12和第二数据库13中同时获取数据来得到有效数据。

主控机10可以设置有禁止外部数据提交模块，用于防止黑客通过第一权限服务器5或是第二权限服务器6来修改主控机10上的数据。第一数据库12和第二数据库13上分别存储来自内网(主要是末端主机)和外网1的第一数据包和第二数据包。用户只有同时取得第一数据包和第二数据包，并具备数据解压器15，才能够解压出真正的数据。并且，第一权限服务器5和第二权限服务器6可以设置不同的算法来分别验证数据请求，进而提高系统的安全性。

工作步骤如下：

如图2所示，S11当外网1发送数据请求。S12数据请求经过外层防火墙2拦截掉其中的病毒和网络攻击。S13再经由隔离器3分配虚拟目的地地址使得数据请求到达第一权限服务器5和第二权限服务器6。S14第一权限服务器5和第二权限服务器6向主控机10发送数据请求。主控机10接收数据请求后分配相应的第一权限服务器5和第二权限服务器6来验证数据请求。S15从外网1接收数据时，当数据请求验证成功时，外网1的数据经过外层防火墙2、隔离器3、第一权限服务器5或第二权限服务器6、数据压缩器11的压缩和分配后分别发送至第一数据库12和第二数据库13中。S16发送数据至外网1时，当数据请求验证成功时，分别来自第一数据库12和第二数据库13的数据依次经过第一权限服务器5或第二权限服务器6、隔离器3和外层防火墙2发送至外网1的数据解压器15进行解压。

如图3所示，S21当内网发送数据请求。S22数据请求自末端主机9经过内层交换机8分配虚拟目的地地址。S23数据请求到达内层防火墙7拦截掉其中的病毒和网络攻击后，到达第一权限服务器5和第二权限服务器6。S24第一权限服务器5和第二权限服务器6向主控机10发送数据请求。主控机10接收数据请求后分配相应的第一权限服务器5和第二权限服务器6来验证数据请求。S25自末端主机9接收数据时，当数据请求验证成功时，末端主机9的数据经过内层交换机8、内层防火墙7、第一权限服务器5或第二权限服务器6、数据压缩器11的压缩和分配分别发送至第一数据库12和第二数据库13中。S26发送数据至末端主机9时，当数据请求验证成功时，分别来自第一数据库12和第二数据库13的数据依次经过第一权限服务器5或第二权限服务器6、内层防火墙7和内层交换机8发送至末端主机9的数据解压器15进行解压。

这样压缩数据包存储在数据库中，解压在用户端，那么就保证系统不会中毒，切实的提高了系统的安全性，降低了用户仅仅依赖防火墙防御病毒。防御病毒的同时即便黑客设置木马在文件内，经过系统的压缩，在系统中黑客的木马也会失效，这样够防范黑客的后门攻击。这样一份数据经过拆分分别存放在第一数据库12和第二数据库13中，并且用户获取数据需要第一权限服务器5和第二权限服务器6通过不同算法分别验证数据请求，并且通过用户的数据解压器才能够解压出完整的一份数据，使得黑客无法通过仅仅破解一个权限服务器4或是绑架数据库来获取数据，只有持有数据解压器15的用户才能解压相应数据，大大增加了系统的安全性。主控机10任意选择第一权限服务器5和第二权限服务器6，增加了第一权限服务器5和第二权限服务器6的隐蔽性极大地增加了黑客的破解难度，大大增加了系统的安全性。

本实施例进一步优选地，提供了一种网络安全系统，其中，末端主机9上设置有RFID读取器，用于接收带有用户信息的RFID芯片发送的用户信息，并将用户信息分别发送至第一权限服务器5和第二权限服务器6；第一权限服务器5和第二权限服务器6通过比对用户信息以判断数据请求是否合法。

在本实施例中，用户信息通过RFID读取器发送至第一权限服务器5和第二权限服务器6，以分别验证数据请求是否合法。这样不仅节约用户验证时间，而且极大地增加了黑客的破解难度，大大增加了系统的安全性。

本实施例进一步优选地，提供了一种网络安全系统，还包括报警器，分别连接第一权限服务器5和第二权限服务器6，用于在数据请求不合法时发出报警信号。

在本实施例中，当第一权限服务器5或第二权限服务器6数据请求不合法时，报警器就会发出报警信号。这样极大地增加了黑客的破解难度，大大增加了系统的安全性。

本实施例进一步优选地，提供了一种网络安全系统，还包括设置在末端主机9上的锁机芯片，通过有线或无线连接第一权限服务器5和第二权限服务器6，用于数据请求不合法时控制末端主机9锁机，以及接收来自管理员的智能终端的解锁信号后解锁。

在本实施例中，当第一权限服务器5或第二权限服务器6数据请求不合法时，锁机芯片就会控制末端主机9锁机。这样极大地增加了黑客的破解难度，大大增加了系统的安全性。

本实施例进一步优选地，提供了一种网络安全系统，还包括设置在末端主机9上的门禁码生成模块和设置在各个门禁系统上的门禁码读取模块；门禁码生成模块通过有线或无线分别与第一权限服务器5和第二权限服务器6相连接，用于当数据请求合法时，生成二维门禁码，并且，将二维门禁码发送至显示器进行显示，方便用户转存二维门禁码；门禁码读取模块用于读取二维门禁码并解锁相应门禁。

在本实施例中，门禁系统为二维码门禁系统。这样一方面实现了门禁二维码的生成。另一方面仅仅当第一权限服务器5或第二权限服务器6数据请求合法时，才会生成门禁二维码，这样极大地增加了黑客的破解难度，大大增加了系统的安全性。

本实施例进一步优选地，提供了一种网络安全系统，还包括设置在末端主机9上的断电器，通过有线或无线分别连接第一权限服务器5和第二权限服务器6，用于在数据请求不合法时控制末端主机9自动断电。

在本实施例中，当第一权限服务器5或第二权限服务器6数据请求不合法时，断电器就会控制末端主机9自动断电。这样极大地增加了黑客的破解难度，大大增加了系统的安全性。

本实施例进一步优选地，提供了一种网络安全系统，还包括设置在第一权限服务器5和第二权限服务器6上的防拆回路14，用于在防拆回路14被破坏时发出报警信号。

在本实施例中，当第一权限服务器5或第二权限服务器6的防拆回路14被破坏时，防拆回路14就会发出报警信号。这样极大地增加了黑客的破解难度，大大增加了系统的安全性。

本实施例进一步优选地，提供了一种网络安全系统，其中，末端主机9和主控机10上均设置有相连接的通讯模块和权限验证模块；权限验证模块用于接收显示器发送的验证码，将验证码与预设验证码进行比较，当验证码与预设验证码一致时，检索第一数据库12和第二数据库13上存储的通讯路径表得到相应通讯路径和通讯对象，并发送至通讯模块；通讯模块根据通讯路径和通讯对象来实现与通讯对象的通信。

这样用户可以通过权限验证模块来限制通讯对象，通过通讯模块进行通信，大大增加了系统的安全性。

本实施例进一步优选地，提供了一种网络安全系统，还包括分别设置于隔离器3、权限服务器4、数据库、内层交换机8和末端主机9上的语音控制模块，用于接收用户发送的语音信息并转换为命令以分别控制上述设备。

这样用户可以通过语音控制模块来分别控制隔离器3、权限服务器4、数据库、内层交换机8和末端主机9，大大增加了系统的便利性。

本实施例进一步优选地，提供了一种网络安全系统，还包括分别设置于隔离器3、权限服务器4、数据库、内层交换机8和末端主机9上的定位模块，用于对上述设备进行定位跟踪。

这样用户可以通过定位模块来对隔离器3、权限服务器4、数据库、内层交换机8和末端主机9进行定位，大大增加了系统的安全性。

应当理解的是，本发明的上述具体实施方式仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。