一種內網安全系統及其實現方法
2023-05-29 13:29:26 1
專利名稱:一種內網安全系統及其實現方法
技術領域:
本發明涉及網絡安全領域,尤其涉及一種內網安全系統及其實現方法。
背景技術:
在現今信息技術高速發展的今天,計算機技術以及電腦高科技產品已經成為了產業發展的重要推動カ之一。隨著網絡與計算機的普及,由區域網作為基幹的企業、政府、學校等辦公信息化自動化已經逐步建立起來,並且趨於成熟。區域網,亦稱內網,在交互過程中既享受到了網絡信息,辦公資源互聯、共享帶來的便捷與實恵,然而與此同時也面臨網絡信息安全的挑戰。一批以解決內網與網際網路的連接過程的信息安全為導向的產品、解決辦法的研究,正在如火如荼的進行中。防火牆就是其中比較具有代表性的而且被廣為接受,同時還是技術比較成熟的產品。防火牆就是一種將諸如病毒,非授權用戶訪問以及駭客等可能對內網資源以及信息安全構成威脅的行為加以阻止,防患於未然的軟體硬體相結合的嵌入式系統。如圖1所示。防火牆1』直接聯入基幹網2』中,它對於網絡訪問行為、數據的發送接受進行實時幹預的運行模式和方法。是值得內網安全所值得借鑑的。然而,隨著計算機技術的不斷提高和區域網內廣大客戶用戶群體的不斷擴大,客戶群體中還可能存在對客戶的訪問級別差異,以及可進行的操作進行細分的需要。「防火牆」式的單純過濾或屏蔽客戶的訪問及其僅僅能夠面對來自外部網絡對區域網內的入侵、 病毒主動防禦,並不能滿足我們實際應用的全部要求達到能夠監督控制內網的目的,我們更加需要對得到認可可以使用內網資源的整個用戶群體進行區分,區別對待,智能化的監督和管理每個終端用戶只能「照章辦事」,「不可越雷池一歩」。在另外一方面,如微軟視窗伺服器版本的作業系統,從軟體角度引入了數字認證。 採用了伺服器自身對聯入的客戶終端所歸屬的類別以及所能訪問使用的資源進行管理、監督和控制的機制。這樣的數字認證以及管理分類監控機制是比較先進又切實可行的。然而單純通過伺服器實現就出現了以下的幾點不足其一,單一伺服器接入方式,因為伺服器集電子認證發放審核,資源處理,運算等多角色於一身,嚴重増大了自身負荷,局限了區域網規模,並且使區域網的拓撲結構成為 「星形」,如圖2所示,如果伺服器3』發生問題,將會造成區域網路的全面癱瘓。這樣的集中式網絡構架,會減慢區域網整體運行速度,影響區域網的穩定性以及規模化,對大型企業、 高等院校及政府機關部門要求,穩定、大吞吐量的要求存在著相當的差距。其ニ,如果使用了上述以伺服器節點為中心的星型集中式網絡,當該區域網要求對數字認證系統有適當的冗餘保證系統穩定性和可擴展性的時候。通過添加新的伺服器, 往往是ー種非常不必要的開銷。其三,如果是通過伺服器來提供數字認證,如此的拓撲結構,不利於對區域網內每個客戶終端之間的直接連接進行管理。
綜上所述,現在的區域網需要一種穩定高效,投入產出比高,實用性高的設備產品及其簡便易行的能夠支持環型網絡拓撲,切實地到達能夠監控內網的功能。
發明內容
本發明的目的在於克服現有技術的缺陷而提供一種內網安全系統及其實現方法, 它克服了防火牆式的單純過濾的特點,能夠使內網資源的整個用戶群體區別對待,並且自身負荷小,可廣泛運用於多種拓撲結構的區域網路。實現上述目的的技術方案是本發明之一的一種內網安全系統,包括內網用戶終端和被訪網絡終端,所述的內網用戶終端發出請求訪問消息給所述的被訪網絡終端以進行訪問,其中,還包括一分別與所述的內網用戶終端和被訪網絡終端相連的伺服器,該伺服器中預先存儲有網絡訪問規則以及與該網絡訪問規則所對應的電子數字證書,所述的伺服器首先為內網用戶終端賦予一電子數字證書,當該內網用戶終端訪問所述的被訪網絡終端時,則觸發數字認證事件,即所述的被訪網絡終端自動調用所述伺服器中的網絡訪問規則,根據內網用戶終端所攜帶的數字電子證書,判斷其是否具有訪問該被訪網絡終端的權限,並根據判斷結果做相應的處理。上述的內網安全系統,其中,所述的伺服器為小型伺服器。上述的內網安全系統,其中,在判斷內網用戶終端是否具有訪問其被訪網絡終端的權限時,當內網用戶終端沒有攜帶數字證書的情況下訪問將被直接拒絕;當內網用戶終端攜帶有效的數字證書時,被訪網絡終端將進一步根據網絡訪問規則判定內網用戶終端是否有訪問權限,如果沒有權限,內網用戶終端的訪問請求將被拒絕, 反之,內網用戶終端和被訪網絡終端的通信將被建立起來。上述的內網安全系統,其中,所述的伺服器將所述的內網用戶終端與其所訪問的被訪網絡終端的行為進行記錄,以形成可回溯的日誌。上述的內網安全系統,其中,所述的伺服器以預先設定好的時間間隔對所述的內網用戶終端進行記錄,構成狀態恢復點,在網絡出現故障或者需要重新啟動的時候,提供以前有效工作狀態的恢復參考。本發明之二的一種內網安全系統的實現方法,其中,包括以下步驟首先,在一伺服器中預先存儲網絡訪問規則以及與該網絡訪問規則所對應的電子數字證書;然後,伺服器首先為內網用戶終端賦予一電子數字證書;最後,當該內網用戶終端訪問被訪網絡終端時,則觸發數字認證事件,即所述的被訪網絡終端自動調用所述伺服器中的網絡訪問規則,根據內網用戶終端所攜帶的數字電子證書,判斷其是否具有訪問該被訪網絡終端的權限,並根據判斷結果做相應的處理。本發明的有益效果是本發明利用數字認證嵌入式系統集成實現內網信息安全問題,將高端信息數字認證技術嵌入路由網關等基本功能集成設備中,實現了植入基幹網絡後對內網(區域網)信息安全的保密、保護,以信息訪問策略的規範與具體實施。針對現在區域網信息安全的實際需要,彌補現存設備的不足,並且進一步的提高嵌入式網絡安全設備對複雜拓撲結構的區域網管理控制能力,本發明將電子數字證書授權認證技術,與硬體防火牆的嵌入式結構相結合。大大提高了安全性,並且實現區別對待。
圖1是現有技術中硬體防火牆的基本工作原理示意圖;圖2是現有技術中依靠單一伺服器自身管理認證功能而形成「星形」網絡拓撲結構示意圖;圖3是本發明之一的一種內網安全系統的原理圖;圖4是本發明之一的一種內網安全系統的第一實施例示意圖;圖5是本發明之一的一種內網安全系統的第二實施例示意圖。
具體實施例方式下面將結合附圖對本發明做進ー步說明。請參閱圖3,圖中示出了本發明的一種內網安全系統的其中ー個客戶終端的節點的原理圖,包括內網用戶終端1和被訪網絡終端2,內網用戶終端1發出請求訪問消息給被訪網絡終端2以進行訪問,還包括一分別與內網用戶終端1和被訪網絡終端2相連的伺服器3,該伺服器3中預先存儲有網絡訪問規則以及與該網絡訪問規則所對應的電子數字證書。伺服器3首先為內網用戶終端1賦予ー電子數字證書,電子數字證書將成為該網絡用戶終端的「身份證件」在整個內網中流通,當該內網用戶終端1訪問被訪網絡終端2吋, 比如,訪問另外一個網絡用戶終端,訪問信息伺服器中的資料,調用網絡印表機等,則觸發數字認證事件,即被訪網絡終端2自動調用伺服器3中的網絡訪問規則,根據內網用戶終端所攜帯的數字電子證書,判斷其是否具有訪問該被訪網絡終端的權限,並根據判斷結果做相應的處理;伺服器3還將內網用戶終端1與其所訪問的被訪網絡終端2的行為進行記錄, 以形成可回溯的日誌;伺服器3以預先設定好的時間間隔對內網用戶終端1進行記錄,構成狀態恢復點,在網絡出現故障或者需要重新啟動的時候,提供以前有效工作狀態的恢復參為ο在判斷內網用戶終端1是否具有訪問其被訪網絡終端2的權限吋,當內網用戶終端1沒有攜帯數字證書的情況下訪問將被直接拒絕;當內網用戶終端1攜帯有效的數字證書時,被訪網絡終端2將進ー步根據網絡訪問規則判定內網用戶終端1是否有訪問權限,如果沒有權限,內網用戶終端1的訪問請求將被拒絕,反之,內網用戶終端1和被訪網絡終端2的通信將被建立起來。本發明中,伺服器3為小型伺服器,基本參數為CPU Jntel 奔騰 4 530 主頻 3000MHz ニ級緩存 1MB ;內存RAM 1024M ;電源400W冗餘電源;網絡接 ロ 100BASE-T (RJ45)X4RS232X1 ;標準 IU 機架結構 42. 7 (cm)長 X32. 9 (cm)寬 X4. 45 (cm)高;最大客戶連接數1024;最大支持客戶組數256 ;
5
最大並行客戶終端管理量512。本發明就像是伺服器3給每一個內網用戶終端1都根據他們的用戶角色配發了一把鑰匙,這把鑰匙並不能打區域網上每個資源倉庫的門鎖,哪一把鑰匙可以開哪幾把鎖,在什麼時候才是合法的並且有開啟鎖的權利都是可以通過伺服器3調整、控制和監督。請參閱圖4,該圖是本發明的第一實施例,是一個複雜拓撲結構以及無線網絡的支持示意圖,圖中,將伺服器3接入通信鏈路中,通過通信鏈路與內網無線終端4以及乙太網終端5相連,將電子數字證書賦予內網無線終端4,當內網無線終端4需要訪問乙太網終端 5時,則被訪問的乙太網終端5調用伺服器3中的網絡訪問規則,根據規則進行判斷。請參閱圖5,是本發明用於校內網絡的應用實施例,我們從校園網資源的終端用戶中提取出(普通)學生A,班級主任B,招生辦主任C這三類用戶,另外對應的列出「開放的教學資料」,「學生通訊資料」以及「學生檔案資料」三種網絡資源。在將伺服器3引入校園網絡從而管理、監督和控制校園內網的終端用戶對校園內網資源的訪問。首先,伺服器3在配置到校園內網的物理連接上之後,管理員可以動態的配置內網資源訪問策略。策略被定製好後將會被伺服器3存儲,並且根據訪問策略,動態的為每個終端用戶賦予、更新數字證書。本發明之二的一種內網安全系統的實現方法,包括以下步驟首先,在一伺服器中預先存儲網絡訪問規則以及與該網絡訪問規則所對應的電子數字證書;然後,伺服器首先為內網用戶終端賦予一電子數字證書;最後,當該內網用戶終端訪問被訪網絡終端時,則觸發數字認證事件,即被訪網絡終端自動調用伺服器中的網絡訪問規則,根據內網用戶終端所攜帶的數字電子證書,判斷其是否具有訪問該被訪網絡終端的權限,並根據判斷結果做相應的處理。綜上所述,本發明為企事業單位以及其他用戶在建立起區域網後,能夠行之有效的部署自己的網絡信息安全策略。使依據不同部門業務職能合理安排網絡資源,根據角色不同安全級別劃分信息的訪問權限,成為可能,提供了穩定可靠的產品以及相應的解決方案。針對現在企事業單位以及各個使用區域網建立起來的網上社區,提供切實可靠的安全措施與保障。維繫互聯健康的發展,於內部基幹網絡互聯的過程中,在很大程度上杜絕了內網資源以及數據受到沒有得到授權用戶的使用和訪問。在提高了內網信息的安全性的同時,也能夠很好的根據既定方針,為外部網絡使用內網資源調配起到了控制和監控作用。本發明在注重網絡監督控制能力的同時,提供了主動欺騙防禦、入侵保護、異常監測發現阻斷惡意代碼攻擊的功能。支持分時、分組集中策略強制管理,通過技術手段將區域網安全制度落到實處並且貫徹執行。支持多種經典電子數字證書標準生成認證計算,保證系統合規接入。提供完善記錄功能,保留包括被拒絕的網絡訪問嘗試以及內網客戶終端的一切行為對應時間的紀錄保留上網痕跡,方便審核,補漏。支持無線區域網,簡便易用,廣泛適用於三大主要拓撲結構的區域網路,對星形、環型、總線型都有著同樣好的支持與管理能力。本發明集數字證書的發行、管理,認證伺服器及系統管理工具於一身。不但有著硬體防火牆那種嵌入式系統直接控制網絡訪問的強大功能和快捷的訪問速度也有著相交伺服器直接通過數字證書管理區域網路的更加方便快捷和直接的管理能力。間距了目的性強,功能多樣易於管理更加靈活支持網絡複雜性等優勢。可以在區域網路內靈活配置,可以對以太(或光纖等)及無線區域網路構架有著良好的支持。 以上結合附圖實施例對本發明進行了詳細說明,本領域中普通技術人員可根據上述說明對本發明做出種種變化例。因而,實施例中的某些細節不應構成對本發明的限定,本發明將以所附權利要求書界定的範圍作為本發明的保護範圍。
權利要求
1.一種內網安全系統,包括內網用戶終端和被訪網絡終端,所述的內網用戶終端發出請求訪問消息給所述的被訪網絡終端以進行訪問,其特徵在於,還包括一分別與所述的內網用戶終端和被訪網絡終端相連的伺服器,該伺服器中預先存儲有網絡訪問規則以及與該網絡訪問規則所對應的電子數字證書,所述的伺服器首先為內網用戶終端賦予ー電子數字證書,當該內網用戶終端訪問所述的被訪網絡終端吋,則觸發數字認證事件,即所述的被訪網絡終端自動調用所述伺服器中的網絡訪問規則,根據內網用戶終端所攜帯的數字電子證書,判斷其是否具有訪問該被訪網絡終端的權限,並根據判斷結果做相應的處理。
2.根據權利要求1所述的內網安全系統,其特徵在幹,所述的伺服器為小型伺服器。
3.根據權利要求1所述的內網安全系統,其特徵在幹,在判斷內網用戶終端是否具有訪問其被訪網絡終端的權限吋,當內網用戶終端沒有攜帯數字證書的情況下訪問將被直接拒絕;當內網用戶終端攜帶有效的數字證書時,被訪網絡終端將進ー步根據網絡訪問規則判定內網用戶終端是否有訪問權限,如果沒有權限,內網用戶終端的訪問請求將被拒絕,反之,內網用戶終端和被訪網絡終端的通信將被建立起來。
4.根據權利要求1所述的內網安全系統,其特徵在幹,所述的伺服器將所述的內網用戶終端與其所訪問的被訪網絡終端的行為進行記錄,以形成可回溯的日誌。
5.根據權利要求1所述的內網安全系統,其特徵在幹,所述的伺服器以預先設定好的時間間隔對所述的內網用戶終端進行記錄,構成狀態恢復點,在網絡出現故障或者需要重新啟動的時候,提供以前有效工作狀態的恢復參考。
6.一種內網安全系統的實現方法,其特徵在幹,包括以下步驟首先,在一伺服器中預先存儲網絡訪問規則以及與該網絡訪問規則所對應的電子數字證書;然後,伺服器首先為內網用戶終端賦予ー電子數字證書;最後,當該內網用戶終端訪問被訪網絡終端時,則觸發數字認證事件,即所述的被訪網絡終端自動調用所述伺服器中的網絡訪問規則,根據內網用戶終端所攜帯的數字電子證書,判斷其是否具有訪問該被訪網絡終端的權限,並根據判斷結果做相應的處理。
全文摘要
本發明公開了一種內網系統及其實現方法,系統包括內網用戶終端和被訪網絡終端,還包括一分別與內網用戶終端和被訪網絡終端相連的伺服器,該伺服器中預先存儲有網絡訪問規則以及與該網絡訪問規則所對應的電子數字證書,所述的伺服器首先為內網用戶終端賦予一電子數字證書,當該內網用戶終端訪問所述的被訪網絡終端時,則觸發數字認證事件,即所述的被訪網絡終端自動調用所述伺服器中的網絡訪問規則,根據內網用戶終端所攜帶的數字電子證書,判斷其是否具有訪問該被訪網絡終端的權限,並做相應的處理。本發明克服了防火牆式的單純過濾的特點,能夠使內網資源的整個用戶群體區別對待,並且自身負荷小,可廣泛運用於多種拓撲結構的區域網路。
文檔編號H04L29/06GK102546522SQ201010578749
公開日2012年7月4日 申請日期2010年12月8日 優先權日2010年12月8日
發明者李晨, 鄭乃瑞 申請人:上海熠傲信息科技有限公司