CN101291244B - 网络安全管理方法及其系统 - Google Patents
网络安全管理方法及其系统 Download PDFInfo
- Publication number
- CN101291244B CN101291244B CN2007100740504A CN200710074050A CN101291244B CN 101291244 B CN101291244 B CN 101291244B CN 2007100740504 A CN2007100740504 A CN 2007100740504A CN 200710074050 A CN200710074050 A CN 200710074050A CN 101291244 B CN101291244 B CN 101291244B
- Authority
- CN
- China
- Prior art keywords
- safety net
- net card
- communication
- main frame
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种网络安全管理方法及其系统,其中方法包括以下步骤:安全网卡与安全交换机使用证书创建加密隧道;安全网卡向安全交换机请求身份验证;若身份验证通过,安全交换机向安全网卡发放通信密钥,否则发回认证失败信息;安全网卡获取上述密钥后,本地数据加解密开始工作;IP协议通信发生。系统结构为:受控主机连接用于完成身份认证、密钥管理、通信加密和本地数据加密功能的安全网卡,安全网卡连接用于策略管理和配置管理以及分发对安全网卡用户身份认证以及通信密钥分发功能的安全交换机。本发明可以做到信息源防御、信息传输者防御和信息使用者防御三级防御,安全功能完善,具有防泄密、安全程度高的特点。
Description
技术领域
本发明涉及一种网络安全管理方法及其系统,尤其涉及一种基于本地数据加密与传输加密实现安全网络的管理系统及其方法。
背景技术
随着科学技术的发展,网络科技日新月异,办公自动化及互联网络的应用越来越普及,企业或单位之间通过互联网络相互传递信息,企业或单位内部通过局域网相互传递信息,因此,网络信息安全问题至关重要。
目前,广泛应用的防火墙、IDS、内外网隔离以及其它针对外部网络的访问控制系统,可有效防范来自网络外部的攻击,但对于网络内部的信息保密问题,却一直没有好的防范方法。
中国第200510040385.5号专利申请揭示了一种网络行为管理方法与系统,其基于网络内部信息资源的保密安全,采用客户端/服务端c/s管理结构对网络内部进行全面监控,c/s管理结构包括客户端、服务端和数据库;通过密码设定使授权访问限于服务端程序,并将重要信息存入数据库;服务端程序包括全方位监控技术与集中管理方式,来控制和管理网络内部计算机的各种事件,通过客户端程序来记录计算机各种操作,并反馈给服务端程序。这种方式对网络传输和本地数据均未加密,系统仍然可以与外部网络通信,且对在硬盘上的数据的保护仍然不够安全,如果硬盘独立出主机,可以很轻易获取硬盘上数据,并未采用硬件对软件的看护,软件的安装有效性和执行有效性未得到保护。
发明内容
为了克服现有网络信息安全管理系统安全功能不完善、安全程度低的不足,本发明提供一种网络安全管理方法,具有防泄密、安全程度高的特点。
本发明进一步所要解决的技术问题是:提供一种网络安全管理系统,以克服现有网络信息安全管理系统安全功能不完善、安全程度低的不足,具有防泄密、安全程度高的特点。
为解决上述技术问题,本发明采用如下技术方案:一种网络安全管理方法,包括以下步骤:
步骤一:安全网卡与安全交换机使用证书创建加密隧道;
步骤二:安全网卡向安全交换机请求身份验证;
步骤三:若身份验证通过,安全交换机生成安全网卡的通信密钥,并把认证通过信息、安全网卡本地数据加解密密钥、安全网卡通信密钥通知给安全网卡,否则发回认证失败信息;
步骤四:安全网卡获取上述密钥后,本地数据加解密开始工作,当本地数据加解密开始工作,受控主机进行操作系统引导,并启动受控主机防护模块并受安全网卡看护,开始进行主机保护;
步骤五:IP协议通信发生,安全网卡从缓存直接获得未过期的目标地址的通信密钥,或从安全交换机获取目标地址的新的通信密钥,以该密钥对发出的IP包内容进行加密,若目标地址的通信密钥获取失败,将产生此次IP协议通信的失败,对于收到的IP包则用安全网卡自身的通信密钥解密。
所述步骤二中,安全网卡向安全交换机进行请求身份认证,安全交换机将对安全网卡进行身份ID识别和权限授予。
为了解决上述进一步的技术问题,本发明提出一种网络安全管理系统,包括受控主机、安全交换机和安全网卡,所述受控主机连接用于完成身份认证、密钥管理、通信加密和本地数据加密功能的安全网卡,所述安全网卡连接用于策略管理和配置管理、安全网卡用户身份认证以及通信密钥和本地数据加解密密钥分发功能的所述安全交换机,
所述安全网卡包括主控制器,分别与主控制器连接并受其集成控制的硬盘加密模块、USB口、以太网口;所述主控制器与所述受控主机通过计算机总线接口连接通信;硬盘加密模块与受控主机的硬盘接口连接通信,硬盘加密模块通过硬盘接口对硬盘进行数据拦截,实现对硬盘的读写加解密;以太网口传输安全网卡与安全交换机的认证信息,并传输受控主机防护模块与安全交换机的管理信息和加密受控主机正常的业务信息流,设置安全网卡总线接口工作在从模式与受控主机通信。
所述系统还包括用于管理安全网卡和安全交换机的管理模块,并通过浏览器/服务器模式(B/S)或客户机/服务器模式(C/S)来访问安全网卡和安全交换机,完成策略和配置管理变更操作。
所述安全网卡与受控主机的通信接口为计算机总线接口。常见的计算机总线接口如PCI、PCIE和ISA总线接口,优选为PCI接口。除此以外安全网卡与受控主机的通信接口还可以为USB接口、IEEE1394接口等。
所述受控主机还包括接收安全交换机发送的策略,并按照既定策略对主机进行防护、日志上传的受控主机防护模块,其通过计算机总线接口与安全网卡连接通信。
本发明的有益效果在于:由于本发明网络安全管理方法及其系统通过基于本地数据加密与传输加密实现安全网络的方法及系统来完成,既确保资料只能授权使用,又确保了网络通信的安全,可以做到信息源防御、信息传输者防御和信息使用者防御三级防御,安全功能完善,具有防泄密、安全程度高的特点。
附图说明
图1为本发明网络安全管理方法及其系统的原理示意图;
图2为本发明网络安全管理系统的安全交换机的数据流程图;
图3为本发明网络安全管理系统的安全网卡的原理示意图。
具体实施方式
本发明网络安全管理方法及其系统的原理参看图1。主要是体现信息源防御、信息传输者防御和信息使用者防御三级防御的多重网络安全防御机理,真正做到给网络用户提供一个安全的信息交流环境,保证网络数据传递和本地数据的安全。
本发明网络安全管理方法包括以下步骤:
步骤一:安全网卡11与安全交换机20使用证书创建加密隧道;
步骤二:安全网卡11向安全交换机20请求身份验证;
步骤三:当安全交换机20验证通过了安全网卡11身份认证,生成安全网卡11的通信密钥,把认证通过信息、安全网卡11本地数据加解密密钥、安全网卡11通信密钥通知给安全网卡11,否则给安全网卡11发回认证失败信息;
步骤四:安全网卡11获取认证通过信息、安全网卡11本地数据加解密密钥、安全网卡11通信密钥后,本地数据加解密开始工作,受控主机10进行操作系统引导,受控主机防护模块12启动并受安全网卡11看护,开始进行主机保护;
步骤五:IP协议通信发生。安全网卡11从缓存直接获得未过期的目标地址的通信密钥,或从安全交换机20获取目标地址的新的通信密钥,以该密钥对发出的IP包内容进行加密,目标地址的通信密钥获取失败(如无该地址的访问权限),将产生此次IP协议通信的失败,对于收到的IP包则用安全网卡11自身的通信密钥解密。
可以理解,在上述步骤一中,安全网卡11与安全交换机20使用证书创建的加密隧道是一个特殊的通信隧道;在上述步骤二中,安全网卡11向安全交换机20进行请求身份认证,安全交换机20将对安全网卡11进行身份ID识别和权限授予;在上述步骤三中,如果安全交换机20验证通过了安全网卡11身份,生成通信密钥发给安全网卡11,还将安全网卡11本地数据加解密密钥发给安全网卡11。
本发明网络安全管理系统参看图1,包括受控主机10、安全网卡11、安全交换机20及管理模块30。其中受控主机10包括受控主机防护模块12,安全网卡11通过PCI通信接口15与受控主机防护模块12连接通信。安全交换机20包括管理与认证模块21,其和管理模块30分别与安全网卡11和安全交换机20连接通信。
PCI通信接口15为一种常见的计算机总线接口,其它常见的还有如PCIE和ISA总线接口,优选为PCI接口。除此以外安全网卡与受控主机的通信接口还可以为USB接口、IEEE1394接口等。
其中受控主机10上的安全网卡11用于完成身份认证、密钥管理、通信加密和本地数据加密等功能;受控主机防护模块12接收管理与认证模块21发送的策略,按照既定策略对主机进行防护,日志上传管理与认证模块21等;管理与认证模块21用于策略管理和配置管理以及分发,对受控主机防护模块12上传的日志进行管理、存储、查看以及输出报表等,对安全网卡11用户身份认证以及通信密钥分发等功能;用于管理安全网卡和安全交换机的管理模块30是系统管理员与管理与认证模块21进行通信的一个窗口,用浏览器/服务器模式(B/S)来访问管理与认证模块21,完成策略和配置管理变更等操作;PCI通信接口15用于网络通信与传输。
管理模块30除了采用浏览器/服务器模式(B/S)来访问管理与认证模块21外,还可以采用客户机/服务器模式(C/S)。
参看图2为本发明网络安全管理系统的安全交换机的数据流程图,本发明网络安全管理系统的安全交换机20集成安全网卡11身份验证和密钥管理以及本系统管理的功能,其可按实际需要剥离为普通交换机和对安全网卡11身份验证和密钥管理以及本系统管理功能的主机。其工作时:首先,安全交换机20与安全网卡11使用证书创建加密隧道成功,启动该安全网卡11与安全交换机20之间的消息泵;其次,当安全交换机20的消息泵收到安全网卡11发送的请求身份验证消息后,对安全网卡11进行身份识别,通过后给安全网卡11发送认证通过消息,消息中携带本地数据加解密密钥和通信密钥;第三,当安全交换机20的消息泵收到安全网卡发送目标地址的通信密钥请求信息,如果有访问目标地址的权限,给安全网卡11发送目标地址的通信密钥请求成功消息,消息中携带目标地址的通信密钥;第四,当安全交换机20的消息泵收到管理模块30发送的管理请求信息,做配置,策略更新等处理。
可以理解,上述过程中,如果身份识别或分配新的通信密钥失败,安全交换机20给安全网卡11发送认证失败消息,消息中携带失败原因;如果安全网卡11没有访问目标地址的权限,安全交换机20给安全网卡11发送目标地址的通信密钥请求失败消息,消息中携带失败原因。
本发明网络安全管理系统中非常重要的发明部分是安全网卡,安全网卡结构,参看图3示例,本实施例的安全网卡包括主控制器111,分别与主控制器111连接并受其集成控制的硬盘加密模块112、USB口114、以太网控制口115及以太网数据口116,其中主PC机113通过PCI总线接口与主控制器111连接通信,硬盘加密模块112与IDE口连接通信。工作时,首先,硬盘加密模块112通过IDE口对硬盘进行数据拦截,实现对硬盘的读写加解密;其次,通过以太网控制口115传输安全网卡11与安全交换机20的认证信息,并传输受控主机防护模块12与安全交换机20的管理信息;第三,通过以太网数据口116加密受控主机10正常的业务信息流;第四,设置PCI总线接口工作在从模式,与PC主板通信。其中以太网控制口115及以太网数据口116可以合并为一个以太网口。
可以理解,本发明网络安全管理方法及其系统通过基于本地数据加密与传输加密实现安全网络的方法及系统来完成,即通过本地数据加密,保证资料文档的防泄密性,确保资料只能授权使用;通过安全网卡上的身份ID和密钥有效性实现认证和加密,保证网络通信都已授权和加密,确保了网络通信的安全;通过主机防护软件,确保了主机系统的安全;通过软硬件相互看守技术,确保只有通过认证的安全网卡才能正常运行,确保了主机防护的有效性。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种网络安全管理方法,其特征在于包括以下步骤:
步骤一:安全网卡与安全交换机使用证书创建加密隧道;
步骤二:安全网卡向安全交换机请求身份验证;
步骤三:若身份验证通过,安全交换机生成安全网卡的通信密钥,并把认证通过信息、安全网卡本地数据加解密密钥、安全网卡通信密钥通知给安全网卡,否则发回认证失败信息;
步骤四:安全网卡获取上述密钥后,本地数据加解密开始工作,当本地数据加解密开始工作,受控主机进行操作系统引导,并启动受控主机防护模块并受安全网卡看护,开始进行主机保护;
步骤五:IP协议通信发生,安全网卡从缓存直接获得未过期的目标地址的通信密钥,或从安全交换机获取目标地址的新的通信密钥,以该密钥对发出的IP包内容进行加密,若目标地址的通信密钥获取失败,将产生此次IP协议通信的失败,对于收到的IP包则用安全网卡自身的通信密钥解密。
2.如权利要求1所述的网络安全管理方法,其特征在于:所述步骤二中,安全网卡向安全交换机进行请求身份认证,安全交换机将对安全网卡进行身份ID识别和权限授予。
3.一种网络安全管理系统,包括受控主机、安全交换机和安全网卡,其特征在于:所述受控主机连接用于完成身份认证、密钥管理、通信加密和本地数据加密功能的安全网卡,所述安全网卡连接用于策略管理和配置管理、安全网卡用户身份认证以及通信密钥和本地数据加解密密钥分发功能的所述安全交换机,
所述安全网卡包括主控制器,分别与主控制器连接并受其集成控制的硬盘加密模块、USB口、以太网口;所述主控制器与所述受控主机通过计算机总线接口连接通信;硬盘加密模块与受控主机的硬盘接口连接通信,硬盘加密模块通过硬盘接口对硬盘进行数据拦截,实现对硬盘的读写加解密;以太网口传输安全网卡与安全交换机的认证信息,并传输受控主机防护模块与安全交换机的管理信息和加密受控主机正常的业务信息流,设置安全网卡总线接口工作在从模式与受控主机通信。
4.如权利要求3所述的网络安全管理系统,其特征在于:所述系统还包括用于管理安全网卡和安全交换机的管理模块,并通过浏览器/服务器模式或客户机/服务器模式来访问安全网卡和安全交换机,完成策略和配置管理变更操作。
5.如权利要求3或4所述的网络安全管理系统,其特征在于:所述安全网卡与受控主机的通信接口为计算机总线接口。
6.根据权利要求5所述的网络安全管理系统,其特征在于:所述计算机总线接口为PCI总线接口。
7.如权利要求6所述的网络安全管理系统,其特征在于:所述受控主机还包括接收安全交换机发送的策略,并按照既定策略对主机进行防护、日志上传的受控主机防护模块,其通过计算机总线接口与安全网卡连接通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100740504A CN101291244B (zh) | 2007-04-16 | 2007-04-16 | 网络安全管理方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100740504A CN101291244B (zh) | 2007-04-16 | 2007-04-16 | 网络安全管理方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101291244A CN101291244A (zh) | 2008-10-22 |
| CN101291244B true CN101291244B (zh) | 2011-07-20 |
Family
ID=40035339
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100740504A Expired - Fee Related CN101291244B (zh) | 2007-04-16 | 2007-04-16 | 网络安全管理方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101291244B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571348B (zh) * | 2011-12-16 | 2014-09-24 | 汉柏科技有限公司 | 以太网加密认证系统及加密认证方法 |
| CN102497272A (zh) * | 2011-12-26 | 2012-06-13 | 苏州风采信息技术有限公司 | 安全交换机的动态可控方法 |
| CN104239765A (zh) * | 2013-06-09 | 2014-12-24 | 浙江智唐科技有限公司 | 用于通用管理介质的安全管理装置及安全管理系统 |
| CN106155027A (zh) * | 2016-08-24 | 2016-11-23 | 北京匡恩网络科技有限责任公司 | 一种工业控制系统及安全防护方法 |
| CN110225518A (zh) * | 2018-07-13 | 2019-09-10 | Oppo广东移动通信有限公司 | 消息传输的方法、终端设备和网络设备 |
| CN110492994B (zh) * | 2019-07-25 | 2022-08-09 | 北京笛卡尔盾科技有限公司 | 一种可信网络接入方法和系统 |
| CN111614683B (zh) * | 2020-05-25 | 2023-01-06 | 成都卫士通信息产业股份有限公司 | 一种数据处理方法、装置、系统及一种网卡 |
| CN111800436B (zh) * | 2020-07-29 | 2022-04-08 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| CN117478430B (zh) * | 2023-12-27 | 2024-04-09 | 广东云百科技有限公司 | 一种物联网卡安全管理方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1617487A (zh) * | 2003-11-14 | 2005-05-18 | 北京诚安鼎业信息技术有限公司 | 一种协同工作环境下信息泄漏防范系统及其实现方法 |
| CN1725703A (zh) * | 2005-06-03 | 2006-01-25 | 南京才华信息技术有限公司 | 网络行为管理方法与系统 |
| CN1773994A (zh) * | 2005-10-28 | 2006-05-17 | 广东省电信有限公司研究院 | 一种数据安全存储业务的实现方法 |
-
2007
- 2007-04-16 CN CN2007100740504A patent/CN101291244B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1617487A (zh) * | 2003-11-14 | 2005-05-18 | 北京诚安鼎业信息技术有限公司 | 一种协同工作环境下信息泄漏防范系统及其实现方法 |
| CN1725703A (zh) * | 2005-06-03 | 2006-01-25 | 南京才华信息技术有限公司 | 网络行为管理方法与系统 |
| CN1773994A (zh) * | 2005-10-28 | 2006-05-17 | 广东省电信有限公司研究院 | 一种数据安全存储业务的实现方法 |
Non-Patent Citations (2)
| Title |
|---|
| 陈日午 刘航 慕得俊.一种嵌入式安全网卡总体设计.西北工业大学学报第23卷 第2期.2005,第23卷(第2期),第1-3页(1.1设计目标,图3 ). |
| 陈日午 刘航 慕得俊.一种嵌入式安全网卡总体设计.西北工业大学学报第23卷 第2期.2005,第23卷(第2期),第1-3页(1.1设计目标,图3 ). * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101291244A (zh) | 2008-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101291244B (zh) | 网络安全管理方法及其系统 | |
| US6138239A (en) | Method and system for authenticating and utilizing secure resources in a computer system | |
| CN102271037B (zh) | 基于在线密钥的密钥保护装置 | |
| US7644278B2 (en) | Method for securely creating an endorsement certificate in an insecure environment | |
| CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
| US7751568B2 (en) | Method for securely creating an endorsement certificate utilizing signing key pairs | |
| EP1866873B1 (en) | Method, system, personal security device and computer program product for cryptographically secured biometric authentication | |
| EP1473869A1 (en) | Universal secure messaging for cryptographic modules | |
| KR20030036787A (ko) | 네트워크를 통하여 분배되는 객체를 보안화하기 위한 감사추적 구축용 시스템 | |
| JPH10274926A (ja) | 暗号データ回復方法、鍵登録システムおよびデータ回復システム | |
| US20090083539A1 (en) | Method for Securely Creating an Endorsement Certificate in an Insecure Environment | |
| JP2007280180A (ja) | 電子文書 | |
| KR20090075705A (ko) | 개인 정보를 포함하는 전자 증명서를 이용하여 통신 상대를 인증하기 위한 시스템, 장치, 방법, 및 컴퓨터 판독 가능한 기록 매체 | |
| CN102986161B (zh) | 用于对应用进行密码保护的方法和系统 | |
| JP2007280181A (ja) | 電子文書の処理プログラム及び電子文書の処理装置 | |
| CN106533693B (zh) | 轨道车辆监控检修系统的接入方法和装置 | |
| US20020144110A1 (en) | Method and apparatus for constructing digital certificates | |
| KR20080005785A (ko) | 그룹 내 문서에 대한 유출 방지 및 접근 제어 시스템 | |
| CN104125239A (zh) | 一种基于数据链路加密传输的网络认证方法和系统 | |
| CN110365472B (zh) | 基于非对称密钥池对的量子通信服务站数字签名方法、系统 | |
| TW201426395A (zh) | 資料安全保密系統與方法 | |
| US10764260B2 (en) | Distributed processing of a product on the basis of centrally encrypted stored data | |
| CN106992978A (zh) | 网络安全管理方法及服务器 | |
| US8307098B1 (en) | System, method, and program for managing a user key used to sign a message for a data processing system | |
| JPH11265318A (ja) | 相互認証システム、相互認証方法及び記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110720 Termination date: 20190416 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |