CN101741818A - 设置在网线的独立网络安全加密隔离器及其隔离方法 - Google Patents
设置在网线的独立网络安全加密隔离器及其隔离方法 Download PDFInfo
- Publication number
- CN101741818A CN101741818A CN200810195093A CN200810195093A CN101741818A CN 101741818 A CN101741818 A CN 101741818A CN 200810195093 A CN200810195093 A CN 200810195093A CN 200810195093 A CN200810195093 A CN 200810195093A CN 101741818 A CN101741818 A CN 101741818A
- Authority
- CN
- China
- Prior art keywords
- network
- information
- processing unit
- central processing
- information frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种设置在网线的独立网络安全加密隔离器及其隔离方法,包括一个主网络控制器、一个从网络控制器和中央处理器;安全下载通道,专门传输安全规则而开辟的通道;程序存储器,存放中央处理器所执行的程序;安全规则存储器,存储默认或用户设定的安全规则。本发明在具有敏感信息的通用计算机和公共网络之间设置一个独立的中央处理器,该中央处理器对公共网络与通用计算机交换的所有信息进行分析、过滤,对受限的网络访问或网络数据中包含敏感内容的访问进行物理上的隔离,并对网络信息进行加密、解密,实现在一个不安全的计算机进行安全的网络访问以及在公共计算机或专用设备完成私密的网络访问。
Description
技术领域
本发明属于计算机和网络安全领域,涉及计算机通讯、计算机网络、并行计算、信息安全等技术,特别是一种设置在网线的独立网络安全加密隔离器及其隔离方法。
背景技术
网络上的专用设备越来越多,如网络摄像头,网络数控机床等设备可以方便地联接到网络上,通过网络进行控制,但是这些设备多为通用设备,同时这些设备上是不能加入或修改系统程序的。目前,涉及到网络安全、保密的技术主要有如下几种。
第一是从物理上与公众网隔离的网络隔离器。目前隔离器存在硬件和软件两种方案,主要可以分为以下三类。
(1)两套计算机系统的专用隔离计算机。
(2)共用公共主板、硬盘等器件通过隔离卡或公共主板上的基本输入输出系统来切换不同硬盘分区、网络接口来实现内外网的隔离。
(3)共用公共主板、硬盘等器件通过隔离卡来控制硬盘读写来实现内外网的隔离。
以上技术了实现内网与公众网的物理隔离,断绝了内外网的任何联系。在隔离了不安全信息的同时,也让安全的信息无法进入、发出。其次隔离器采用的物理器件的开关隔离,使用不方便,而且隔离开关的操作命令以是可以被伪造。
第二种是在内网和公众网之间安置防火墙,目前国内外主流防火墙产品存在以下的问题:价格昂贵、配置复杂、需要专业人员维护,只适合于大中型企业、事业单位,而对于广大小企业、个人用户没有条件设置内外网,只用单机上公共网。
第三种是在服务器、个人电脑、专用设备上安装网络安全防护软件,其特点在于安装在服务器、个人电脑、专用设备上网络安全防护软件需要占用大量中央处理器的处理时间、占用大量存储器和其它内部资源。其防护是被动的,而非主动。网络安全防护软件是工作在操作系统之上的,但如果操作系统本身就在安全漏洞(如Windows操作系统就公认为存在安全漏洞)这种网络安全防护软件的作用就不能保证。
近来计算机网络又出现了一种计算机病毒,它通过网络或其它途径传送到被害人的个人电脑中,并寄生在其电脑中,个人电脑一旦与网络联接,寄生的病毒程序主动或被动(由远程的人控制)进行执行,它可将个人电脑的文件传输给网络的特定的电脑,可以控制电脑打开摄像头并将图像传输给特定的电脑。这样将严重地侵犯计算机信息安全和个人隐私。
发明内容
本发明的目的在于提供一种设置在网线的独立网络安全加密隔离器及其隔离方法,不仅能够实现网络的物理隔离,安装使用简单方便,独立工作不占用个人电脑、服务器、专用设备的内部资源,而且可以让单机连接公共网(无内外网之分条件下)时实现安全的网络传输,从根本上阻止本机的敏感数据(信息)传出,阻止受限数据(信息)的传入,从物理上对受限网络结点(以IP地址和端口号等区别)进行隔离。
实现本发明目的的技术解决方案为:一种设置在网线的独立网络安全加密隔离器,包括:
一个主网络控制器,用于实现与通用计算机的网口联接;
一个从网络控制器,实现公共网络联接;
中央处理器,对网络入侵的检测,过滤未授权的网络访问,过滤受的数据的传入与传出,或进行数据加密;
安全下载通道,专门传输安全规则而开辟的通道;
程序存储器,存放中央处理器所执行的程序;
安全规则存储器,存储默认或用户设定的安全规则;
所述的中央处理器分别连接主网络控制器、从网络控制器、安全下载通道、处理程序存储器和安全规则存储器,通用计算机的网络信息通过网络接口和网线输入到主网络控制器,该网络信息经过中央处理器进行分析、过滤,对受限的网络访问或网络数据中包含敏感内容的访问进行物理上的隔离;并对网络信息进行加密、解密,实现在一个不安全的计算机进行安全的网络访问,实现在公共计算机或专用设备完成私密的网络访问;处理后的网络信息经过从网络控制器输出到公共网络入口;安全规则信息经过通讯线输入到安全下载通道,然后经中央处理器处理后存入安全规则存储器;中央处理器在处理过程中所执行的程序存放在处理程序存储器中。
一种设置在网线的独立网络安全加密隔离方法,在具有敏感信息的通用计算机和公共网络之间设置一个独立的中央处理器,该中央处理器对公共网络与通用计算机交换的所有信息进行分析、过滤,对受限的网络访问或网络数据中包含敏感内容的访问进行物理上的隔离,并对网络信息进行加密、解密,实现在一个不安全的计算机进行安全的网络访问以及在公共计算机或专用设备完成私密的网络访问。
本发明与现有技术相比,其显著优点:(1)提高网络主动安全防护能力,只要在网线上安装上本发明,就可实现网络信息加密,保护了信息安全。具体而言,是一种带独立中央处理器,集成了10M/100M自适应网卡功能的网络安全隔离卡。本发明可应用于政府机关、金融证券、军事部门、企业、科研机构和和学校等各个领域的网络信息安全工程之中。安装在通用计算机(PC)的网线上可以在满足安全规则前提下自由上网,既保护通用计算机上数据安全,又方便用户与网络连接;同时还可用于网络数据加密。(2)本发明是建立在一个公共(可以认为是不安全)系统之上,该系统有了大量的应用程序或专用程序,本装置对所有硬件、软件是透明的,不需要在原系统上添加任何硬件和软件(包括驱动程序),只需要将本装置安装在网线上,安装方便,体积小。(3)如将本发明作为加密设备之用,在原系统上不需要进行任何改变,原系统通过网口收到的信息是经本装置解密的正常信息,由原系统发的信息经本装置加密后再经过公共网络传送。就是说在公共网络上传送的加密信息,而在原系统的网口上的是不加密信息。因此,本发明将所有加密、解密运算是在独立中央处理器上进行的,这样可以不占用通用计算机的资源,也能保证加密、解密算法不会被破译或复制。确保加密安全。(4)如将本发明作为安全隔离器使用,采用硬件隔离方案,所有网络数据都必须经过额外的一个独立中央处理器CPU(不是通用计算机中的中央处理器)按照用户定义的安全规则处理后,才能进行接收和发送。保证所信息通过通用计算机网口进入系统的数据信息是安全的。有别于其它方案是将包括不安全信息在内全部信息都传到通用计算机系统后再做处理。(5)本发明对网络信息的处理是建立在网络的最底层——数据帧,这是网络传输中最基本的信息,对它进行分析处理是可靠的,并且不会有遗漏。有别于其它方案在IP层、传输层、程序层上进行安全处理,可以漏过一些信息。(6)本发明对网络信息的分析处理是对从网络接收的数据和发送到网络的数据进行分别处理的,可以对采用不同安全规则处理。(7)本发明对网络信息的分析处理不仅可以限制网络结点(以IP地址和端口号等区别),还可以对网络数据内容进行分析处理,从物理上对受限进行隔离。(8)本发明中的独立的中央处理器(CPU)只执行自己编制的程序(存放在程序存储器中),不将中央处理器(CPU)的的执行权给其它程序,并且程序存储器也不能让其他方式访问,使本发明构成一个封闭系统,不可能有病毒的侵入。(9)本发明中唯一的需要接收外来信息只有用户的安全规则信息的输入,为了避免用户的安全规则被改写,只能通过安全下载通道传输,并在传输后断开物理联接。而安全下载通道可以是串行口或USB接口等易于拔插的接口。
下面结合附图对本发明作进一步详细描述。
附图说明
图1是本发明设置在网线的独立网络安全加密隔离器的结构示意图。
图2是用本发明实现网络络信息加密的实例之一。
图3是用本发明实现网络安全的实例之二。
具体实施方式
结合图1,本发明设置在网线的独立网络安全加密隔离器1,包括:
一个主网络控制器6,用于实现与通用计算机PC2的网口联接;
一个从网络控制器10,实现公共网络联接;
中央处理器7,对网络入侵的检测,过滤未授权的网络访问,过滤受的数据的传入与传出,或进行数据加密;
安全下载通道11,专门传输安全规则而开辟的通道,该安全下载通道11只有在用户进行安全规则更新时或下载密码或密钥时才连接,并将其设定的安全规则在存放于安全规则存储器8中;
程序存储器9,存放中央处理器所执行的程序;
安全规则存储器10,存储默认或用户设定的安全规则;
所述的中央处理器7分别连接主网络控制器6、从网络控制器10、安全下载通道11、处理程序存储器9和安全规则存储器8,通用计算机2的网络信息通过网络接口3和网线输入到主网络控制器6,该网络信息经过中央处理器7进行分析、过滤,对受限的网络访问或网络数据中包含敏感内容的访问进行物理上的隔离;并对网络信息进行加密、解密,实现在一个不安全的计算机进行安全的网络访问,实现在公共计算机或专用设备完成私密的网络访问;处理后的网络信息经过从网络控制器10输出到公共网络入口4;安全规则信息经过通讯线5输入到安全下载通道11,然后经中央处理器7处理后存入安全规则存储器8;中央处理器7在处理过程中所执行的程序存放在处理程序存储器9中。
通过上述隔离器实现设置在网线的独立网络安全加密隔离方法,即在具有敏感信息的通用计算机2和公共网络之间设置一个独立的中央处理器7,该中央处理器7对公共网络与通用计算机2交换的所有信息进行分析、过滤,对受限的网络访问或网络数据中包含敏感内容的访问进行物理上的隔离,并对网络信息进行加密、解密,实现在一个不安全的计算机进行安全的网络访问以及在公共计算机或专用设备完成私密的网络访问。
本发明设置在网线的独立网络安全加密隔离方法中,中央处理器7发送的安全隔离,即从通用计算机2到公共网络的信息的步骤如下:
第一步:分析网络信息,当通用计算机2要向公共网络发送任何信息时,都经过该通用计算机2的网络控制器将信息处理成为符合物理层的网络信息帧的信息形式,再经网线送出,当这些信息经网线到达主网络控制器6时,主网络控制器6将自动还原为TCP或UDP等基本网络层的网络信息帧,这种信息帧将会由中央处理器7获得,该中央处理器7根据收到的信息帧的类别,即每种信息帧都有特定的标识符进行不同的处理,如果是控制类的信息帧将不做处理,自动进入第四步;如果是数据类的信息帧,则再根据它的标识符的定义,将网络路由信息和传输的数据信息分开;
第二步:处理网络路由信息,将得到的网络路由信息按照安全规则存储器(8)中规定的网络路由限制进行比较,如发现该网络路由信息包含在限制访问之列,则将本次的网络信息帧全部舍弃,即不再处理,达到不能与受限网站通讯的目的;如果不属于限制的网络路由信息,则可以通过;
第三步:处理传输的数据信息,将得到的数据信息按照安全规则存储器(8)中规定的输出敏感信息表进行比较,如发现该传输的数据信息中包含有输出敏感信息表中的内容,则将本次的网络信息帧全部舍弃,即不再处理,达到不能让含有敏感信息文件传出通用计算机2;如果不包含敏感信息,则可以通过;
第四步:传送信息,将通过安全规则检查的基本网络信息帧,再由中央处理器7发送给从网络控制器10,该从网络控制器10将信息处理成为符合物理层的网络协议信息形式,最后经网线送到公共网络中。
本发明设置在网线的独立网络安全加密隔离方法中,中央处理器7接收的安全隔离,即从公共网络到通用计算机的信息的步骤如下:
第一步:分析网络信息,当公共网络要向通用计算机2发送任何信息时,公共网络都将符合物理层的网络协议信息形式,再经网线送入,当这些信息经网线到从网络控制器10时,该从网络控制器10将自动还原为基本网络信息帧,这种信息帧将会由中央处理器7获得,该中央处理器7根据收到的信息帧的类别,即每种信息帧都有特定的标识符进行不同的处理,如果是控制类的信息帧将不做处理,自动进入第四步;如果是数据类的信息帧,则再根据它的标识符的定义,将网络路由信息和传输的数据信息分开;
第二步:处理网络路由信息,将得到的网络路由信息按照安全规则存储器(8)中规定的网络路由限制进行比较,如发现该网络路由信息包含在限制访问之列,则将本次的网络信息帧全部舍弃,即不再处理,达到不能与受限网站通讯的目的;如果不属于限制的网络路由信息,则可以通过;
第三步:处理传输的数据信息,将得到的数据信息按照安全规则存储器8中规定的输入敏感信息表进行比较,如发现该传输的数据信息中包含有输入敏感信息表的内容,则将本次的网络信息帧全部舍弃,即不再处理,达到不能让含有敏感信息文件传入通用计算机2;如果不包含敏感信息,则可以通过;
第四步:传送信息,将通过安全规则检查的基本网络信息帧,再由中央处理器7发送给主网络控制器6,该主网络控制器6将信息处理成为符合物理层的网络协议信息形式,最后经网线送到通用计算机2中。
本发明设置在网线的独立网络安全加密隔离方法中,中央处理器的加密,即从通用计算机到公共网络的信息的步骤如下:
第一步:分析网络信息,当通用计算机2要向公共网络任何信息时,都经过该通用计算机2的网络控制器将信息处理成为符合物理层的网络协议信息形式,再经网线送出,当这些信息经网线到主网络控制器6时,该主网络控制器6将自动还原为基本网络信息帧,这种信息帧将会由中央处理器7获得,该中央处理器7根据收到的信息帧的类别,即每种信息包都有特定的标识符进行不同的处理,如果是控制类的信息帧将不做处理,自动进入第四步;如果是数据类的信息帧,则再根据它的标识符的定义,将网络路由信息和传输的数据信息分开;
第二步:处理传输的数据信息,将得到的数据信息按照安全规则存储器8中规定的加密算法进行加密处理,得到一个加密后的密文,解密算法保证密文的长度与原文的长度相同;
第三步:网络信息结合,将第一步分离出的网络路由信息与加密后密文结合成与原来网络信息帧相似的信息帧,这时网络路由信息没有改变,只改变传输的数据信息;
第四步:传送信息,将通过结合后的基本网络信息帧,再由中央处理器7发送给从网络控制器10,该从网络控制器10将信息处理成为符合物理层的网络协议信息形式,最后经网线送到公共网络中。
本发明设置在网线的独立网络安全加密隔离方法中,中央处理器的解密,即从公共网络到通用计算机的信息的步骤如下:
第一步:分析网络信息,当公共网络要向通用计算机2传送任何信息时,公共网络都将符合物理层的网络协议信息形式,经网线送入,当这些信息经网线传送到从网络控制器10时,从网络控制器将自动还原为基本网络信息帧,这种信息帧将会由中央处理器7获得,该中央处理器7根据收到的信息帧的类别,即每种信息帧都有特定的标识符进行不同的处理,如果是控制类的信息帧将不做处理,自动进入第四步;如果是数据类的信息帧,则再根据它的标识符的定义,将网络路由信息和传输的数据信息分开;
第二步:处理传输的数据信息,将得到的数据信息按照安全规则存储器8中规定的解密算法进行解密处理,得到一个明文;
第三步:网络信息结合,将第一步分离出的网络路由信息与解密后明文结合成与原来网络信息帧相似的信息帧,这时这个信息帧与未加密的网络信息帧完全相同;
第四步:传送信息,将通过结合后的基本网络信息帧,再由中央处理器7发送给主网络控制器6,该主网络控制器6将信息处理成为符合物理层的网络协议信息形式,最后经网线送到通用计算机2的网络控制器中,该网络控制器自动将网络信息还原为TCP或UDP等基本网络信息帧,并送给通用计算机2来处理,这时该通用计算机2收到的信息与发送端没有加密的信息完全一样。
实施例1:下面说明本发明在用于网络信息加密方面的使用过程。如图2所示,这里所说加密通讯是指两个设备(计算机)利用公共的通讯网络进行通讯,但通讯的信息是加密,其他设备(计算机)收到也不能得到任何有用的信息。当然这也可以推广到多个设备(计算机)加密通讯。本发明的工作过程是,用两个本发明的隔离器,先通过安全下载通道11下载好密码和密钥,这些信息会存储在安全规则存储器8,掉电后也不会掉丢;再分别安装在两个设备(计算机)的网线上,每个设备(计算机)使用的信息全部为明码,如果控制用通用计算机35要向专用设备31(专用设备可以包括通用计算机、网络摄像头、网络数控机床等)发出一信息包,控制用通用计算机35通过通用程序,经过标准的网络控制器发出一个标准网络包,这个标准网络包通过网线36送到本发明的一个隔离器34中,本发明的主网络控制器6收到信息包后送给独立的中央处理器7中,该处理器将信息包中的网络数据和通讯数据分开,对通讯数据经指定密码加密后,再与原来的网络数据合并后,通过本发明的从网络控制器10经网线37发送到公共网络33上。这时信息包中原有的与TCP/IP协议有关信息没有改变,可以保证信息包能正常传输,而通讯数据已被加密。当信息包经过网线39送到接收端的本发明的另一个隔离器32后,该隔离器收到信息包后,将加密的通讯数据通过密钥进行解密后,再通过网线38以明码形式的信息包送给专用设备31。
这样的优点是通讯双方不用对硬件和软件进行任何修改,只要在网线上加上本发明的隔离器。
实施例2:下面说明本发明在用于网络安全方面的使用过程。如图3所示,将本发明的隔离器42加到专用计算机41的标准双绞线45、46中间,如果本发明安全规则存储器8中没有任何规则,这时就是如同原来直接上网一样;如果安全规则存储器8中存规则,这时隔离器就会按安全规则的要求进行隔离。
当专用计算机41需要给公共网络43发送信息时,信息从网线45传给本发明的隔离器42,经在中央处理器7按安全规则的要求处理对数据进行分析处理,主要完成的有分析每一帧数据的目的地址是否为限制访问的地址;分析每一帧数据中是否包含有限制传出的信息。如果发现则终止该数据帧的传送;如果没有发现则通过本发明的从网络控制器10经网线46发送到公共网络43中去。
同样的方法,当公共网络43中有数据要传入专用计算机41时,公共网络43经网线46进入本发明隔离器42的从网络控制器10,当从网络控制器10收到一个或多个网络数据帧时,通过中断通知中央处理器7,在中断机制作用了读取从网络控制器10中的数据,并对数据按照安全规则的要求进行分析处理,主要完成的有分析每一帧数据的源的地址是否为限制访问的地址;分析每一帧数据中是否包含有限制传入的信息。如果发现则终止该数据帧的传送;如果没有发现则将数据帧通过本发明隔离器42的主网络控制器6直接由网线45送给专用计算机41。
上面所说的对数据帧进行安全规则处理中提到的限制访问的目的地址,限制访问的源地址,限制传出的数据信息,限制传入的数据信息等,是由用户根据自行定义的,这些信息通过除两个网口之外安全下载通道来传送给本发明隔离器中,而安全下载通道11可以是串行口、可以是USB等易于拔插的接口。其目的是保证这些敏感信息的安全,操作方法为:当用户需要加载或更新安全规则信息时,先将通用计算机2的对应接口用通讯线与本发明的安全下载通道11联接(可以是串行口的对录线、可以是USB的传输线),在通用计算机2上执行一个专用的下载程序将上述安全规则信息传输给本发明的安全规则存储器8中,而安全规则存储器8为非易失性存储器,下载完成后将安全下载通道11连接线去掉以保证后写入的安全规则信息不被改写。当重新加电时本发明隔离器将自动从安全规则储器8中读出,并不需要每次加载安全规则信息。
本发明隔离器在通用计算机2的操作系统上不需要做任何改装,不需要加入任何程序,对原来系统的硬件和操作系统没有任何限定,确保对用户有软件上、硬件上、操作上都是透明的。
Claims (6)
1.一种设置在网线的独立网络安全加密隔离器,其特征在于包括:
一个主网络控制器(6),用于实现与通用计算机(2)的网口联接;
一个从网络控制器(10),实现公共网络联接;
中央处理器(7),对网络入侵的检测,过滤未授权的网络访问,过滤受的数据的传入与传出,或进行数据加密;
安全下载通道(11),专门传输安全规则而开辟的通道;
程序存储器(9),存放中央处理器所执行的程序;
安全规则存储器(10),存储默认或用户设定的安全规则;
所述的中央处理器(7)分别连接主网络控制器(6)、从网络控制器(10)、安全下载通道(11)、处理程序存储器(9)和安全规则存储器(8),通用计算机(2)的网络信息通过网络接口(3)和网线输入到主网络控制器(6),该网络信息经过中央处理器(7)进行分析、过滤,对受限的网络访问或网络数据中包含敏感内容的访问进行物理上的隔离;并对网络信息进行加密、解密,实现在一个不安全的计算机进行安全的网络访问,实现在公共计算机或专用设备完成私密的网络访问;处理后的网络信息经过从网络控制器(10)输出到公共网络入口(4);安全规则信息经过通讯线(5)输入到安全下载通道(11),然后经中央处理器(7)处理后存入安全规则存储器(8);中央处理器(7)在处理过程中所执行的程序存放在处理程序存储器(9)中。
2.一种设置在网线的独立网络安全加密隔离方法,其特征在于:在具有敏感信息的通用计算机(2)和公共网络之间设置一个独立的中央处理器(7),该中央处理器(7)对公共网络与通用计算机(2)交换的所有信息进行分析、过滤,对受限的网络访问或网络数据中包含敏感内容的访问进行物理上的隔离,并对网络信息进行加密、解密,实现在一个不安全的计算机进行安全的网络访问以及在公共计算机或专用设备完成私密的网络访问。
3.根据权利要求2所述的设置在网线的独立网络安全加密隔离方法,其特征在于中央处理器(7)发送的安全隔离,即从通用计算机(2)到公共网络的信息的步骤如下:
第一步:分析网络信息,当通用计算机(2)要向公共网络发送任何信息时,都经过该通用计算机(2)的网络控制器将信息处理成为符合物理层的网络信息帧信息形式,再经网线送出,当这些信息经网线到达主网络控制器(6)时,主网络控制器(6)将自动还原为TCP或UDP基本网络层的网络信息帧,这种信息帧将会由中央处理器(7)获得,该中央处理器(7)根据收到的信息帧的类别,即每种信息帧都有特定的标识符进行不同的处理,如果是控制类的信息帧将不做处理,自动进入第四步;如果是数据类的信息帧,则再根据它的标识符的定义,将网络路由信息和传输的数据信息分开;
第二步:处理网络路由信息,将得到的网络路由信息按照安全规则存储器(8)中规定的网络路由限制进行比较,如发现该网络路由信息包含在限制访问之列,则将本次的网络信息帧全部舍弃,即不再处理,达到不能与受限网站通讯的目的;如果不属于限制的网络路由信息,则通过;
第三步:处理传输的数据信息,将得到的数据信息按照安全规则存储器(8)中规定的输出敏感信息表进行比较,如发现该传输的数据信息中包含有输出敏感信息表中的内容,则将本次的网络信息帧全部舍弃,即不再处理,达到不能让含有敏感信息文件传出通用计算机(2);如果不包含敏感信息,则通过;
第四步:传送信息,将通过安全规则检查的基本网络信息帧,再由中央处理器(7)发送给从网络控制器(10),该从网络控制器(10)将信息处理成为符合物理层的网络信息帧信息形式,最后经网线送到公共网络中。
4.根据权利要求2所述的设置在网线的独立网络安全加密隔离方法,其特征在于中央处理器(7)接收的安全隔离,即从公共网络到通用计算机的信息的步骤如下:
第一步:分析网络信息,当公共网络要向通用计算机(2)发送任何信息时,公共网络都将符合物理层的网络协议信息形式,再经网线送入,当这些信息经网线到从网络控制器(10)时,该从网络控制器(10)将自动还原为基本网络信息帧,这种信息帧将会由中央处理器(7)获得,该中央处理器(7)根据收到的信息帧的类别,即每种信息帧都有特定的标识符进行不同的处理,如果是控制类的信息帧将不做处理,自动进入第四步;如果是数据类的信息帧,则再根据它的标识符的定义,将网络路由信息和传输的数据信息分开;
第二步:处理网络路由信息,将得到的网络路由信息按照安全规则存储器(8)中规定的网络路由限制进行比较,如发现该网络路由信息包含在限制访问之列,则将本次的网络信息帧全部舍弃,即不再处理,达到不能与受限网站通讯的目的;如果不属于限制的网络路由信息,则通过;
第三步:处理传输的数据信息,将得到的数据信息按照安全规则存储器(8)中规定的输入敏感信息表进行比较,如发现该传输的数据信息中包含有输入敏感信息表的内容,则将本次的网络信息帧全部舍弃,即不再处理,达到不能让含有敏感信息文件传入通用计算机(2);如果不包含敏感信息,则通过;
第四步:传送信息,将通过安全规则检查的基本网络信息帧,再由中央处理器(7)发送给主网络控制器(6),该主网络控制器(6)将信息处理成为符合物理层的网络信息帧信息形式,最后经网线送到通用计算机(2)中。
5.根据权利要求2所述的设置在网线的独立网络安全加密隔离方法,其特征在于:中央处理器的加密,即从通用计算机到公共网络的信息的步骤如下:
第一步:分析网络信息,当通用计算机(2)要向公共网络任何信息时,都经过该通用计算机(2)的网络控制器将信息处理成为符合物理层的网络信息帧信息形式,再经网线送出,当这些信息经网线到主网络控制器(6)时,该主网络控制器(6)将自动还原为基本网络信息帧,这种信息帧将会由中央处理器(7)获得,该中央处理器(7)根据收到的信息帧的类别,即每种信息包都有特定的标识符进行不同的处理,如果是控制类的信息帧将不做处理,自动进入第四步;如果是数据类的信息帧,则再根据它的标识符的定义,将网络路由信息和传输的数据信息分开;
第二步:处理传输的数据信息,将得到的数据信息按照安全规则存储器(8)中规定的加密算法进行加密处理,得到一个加密后的密文,解密算法保证密文的长度与原文的长度相同;
第三步:网络信息结合,将第一步分离出的网络路由信息与加密后密文结合成与原来网络信息帧相似的信息帧,这时网络路由信息没有改变,只改变传输的数据信息;
第四步:传送信息,将通过结合后的基本网络信息帧,再由中央处理器(7)发送给从网络控制器(10),该从网络控制器(10)将信息处理成为符合物理层的网络协议信息形式,最后经网线送到公共网络中。
6.根据权利要求2所述的设置在网线的独立网络安全加密隔离方法,其特征在于中央处理器的解密,即从公共网络到通用计算机的信息的步骤如下:
第一步:分析网络信息,当公共网络要向通用计算机(2)传送任何信息时,公共网络都将符合物理层的网络协议信息形式,经网线送入,当这些信息经网线传送到从网络控制器(10)时,从网络控制器将自动还原为基本网络信息帧,这种信息帧将会由中央处理器(7)获得,该中央处理器(7)根据收到的信息帧的类别,即每种信息帧都有特定的标识符进行不同的处理,如果是控制类的信息帧将不做处理,自动进入第四步;如果是数据类的信息帧,则再根据它的标识符的定义,将网络路由信息和传输的数据信息分开;
第二步:处理传输的数据信息,将得到的数据信息按照安全规则存储器(8)中规定的解密算法进行解密处理,得到一个明文;
第三步:网络信息结合,将第一步分离出的网络路由信息与解密后明文结合成与原来网络信息帧相似的信息帧,这时这个信息帧与未加密的网络信息帧完全相同;
第四步:传送信息,将通过结合后的基本网络信息帧,再由中央处理器(7)发送给主网络控制器(6),该主网络控制器(6)将信息处理成为符合物理层的网络协议信息形式,最后经网线送到通用计算机(2)的网络控制器中,该网络控制器自动将网络信息还原为TCP或UDP基本网络信息帧,并送给通用计算机(2)来处理,这时该通用计算机(2)收到的信息与发送端没有加密的信息完全一样。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810195093 CN101741818B (zh) | 2008-11-05 | 2008-11-05 | 设置在网线的独立网络安全加密隔离方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810195093 CN101741818B (zh) | 2008-11-05 | 2008-11-05 | 设置在网线的独立网络安全加密隔离方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101741818A true CN101741818A (zh) | 2010-06-16 |
| CN101741818B CN101741818B (zh) | 2013-01-02 |
Family
ID=42464712
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810195093 Expired - Fee Related CN101741818B (zh) | 2008-11-05 | 2008-11-05 | 设置在网线的独立网络安全加密隔离方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101741818B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105306437A (zh) * | 2015-09-17 | 2016-02-03 | 成都索贝数码科技股份有限公司 | 一种网络安全加密及校验方法 |
| CN107371384A (zh) * | 2015-02-13 | 2017-11-21 | 霍尼韦尔国际公司 | 空气间隙的环境中的风险管理 |
| CN108833364A (zh) * | 2018-05-24 | 2018-11-16 | 鸿策企业管理咨询(江苏)有限公司 | 公司独立网络系统 |
| CN109450931A (zh) * | 2018-12-14 | 2019-03-08 | 北京知道创宇信息技术有限公司 | 一种安全上网方法、装置及即插即用设备 |
| CN112236978A (zh) * | 2018-06-14 | 2021-01-15 | 日立汽车系统株式会社 | 网关装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8438465B2 (en) * | 2001-04-03 | 2013-05-07 | Purdue Pharma L.P. | Privileged communication system with routing controls |
| US7903549B2 (en) * | 2002-03-08 | 2011-03-08 | Secure Computing Corporation | Content-based policy compliance systems and methods |
| CN100379231C (zh) * | 2003-10-21 | 2008-04-02 | 西安西邮双维通信技术有限公司 | 一种多媒体通信安全代理网关及安全代理方法 |
| CN1270481C (zh) * | 2003-12-08 | 2006-08-16 | 华为技术有限公司 | 一种无线局域网接入关口及其实现保障网络安全的方法 |
| WO2005086437A1 (en) * | 2004-02-27 | 2005-09-15 | Koninklijke Kpn N.V. | A method and system for blocking unwanted unsolicited information |
| WO2005112390A1 (en) * | 2004-05-12 | 2005-11-24 | Alcatel | Automated containment of network intruder |
| CN1298141C (zh) * | 2004-05-20 | 2007-01-31 | 中国科学院软件研究所 | 实现安全交换网络数据的方法 |
| CN100596351C (zh) * | 2006-04-26 | 2010-03-31 | 南京大学 | 一种基于高速网络数据处理平台的防火墙方法和系统 |
| CN100594690C (zh) * | 2007-05-22 | 2010-03-17 | 网御神州科技(北京)有限公司 | 一种安全网关中进行安全策略统一处理的方法及装置 |
| CN101163264B (zh) * | 2007-11-14 | 2011-01-05 | 中兴通讯股份有限公司 | 一种移动通信系统中的数据业务接入控制方法 |
-
2008
- 2008-11-05 CN CN 200810195093 patent/CN101741818B/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107371384A (zh) * | 2015-02-13 | 2017-11-21 | 霍尼韦尔国际公司 | 空气间隙的环境中的风险管理 |
| CN105306437A (zh) * | 2015-09-17 | 2016-02-03 | 成都索贝数码科技股份有限公司 | 一种网络安全加密及校验方法 |
| CN105306437B (zh) * | 2015-09-17 | 2019-04-12 | 成都索贝数码科技股份有限公司 | 一种网络安全加密及校验方法 |
| CN108833364A (zh) * | 2018-05-24 | 2018-11-16 | 鸿策企业管理咨询(江苏)有限公司 | 公司独立网络系统 |
| CN112236978A (zh) * | 2018-06-14 | 2021-01-15 | 日立汽车系统株式会社 | 网关装置 |
| CN112236978B (zh) * | 2018-06-14 | 2022-08-09 | 日立安斯泰莫株式会社 | 网关装置 |
| CN109450931A (zh) * | 2018-12-14 | 2019-03-08 | 北京知道创宇信息技术有限公司 | 一种安全上网方法、装置及即插即用设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101741818B (zh) | 2013-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1964251B (zh) | 分组加密系统和方法 | |
| CN105763557B (zh) | 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统 | |
| KR100431956B1 (ko) | 가상 사설망용 아키텍쳐 | |
| CN101478533B (zh) | 一种跨越虚拟防火墙发送和接收数据的方法及系统 | |
| CN104662551A (zh) | 在网络环境中对加密的数据的检查 | |
| KR100940525B1 (ko) | 소켓 레벨 가상 사설망 통신 장치 및 방법 | |
| US11209803B2 (en) | Firewall system and method for establishing secured communications connections to an industrial automation system | |
| CN101488952A (zh) | 一种移动存储装置及数据安全传输方法和系统 | |
| CN103778384A (zh) | 一种基于身份认证的虚拟终端安全环境的保护方法及系统 | |
| CN101741818B (zh) | 设置在网线的独立网络安全加密隔离方法 | |
| CN107040536A (zh) | 数据加密方法、装置和系统 | |
| CN106330869A (zh) | 一种基于云应用的数据安全保护系统和方法 | |
| US20210176223A1 (en) | Apparatus and method for transmitting data between a first and a second network | |
| CN104065750A (zh) | 一种基于共享数据安全管理的方法和系统 | |
| JP2003526836A (ja) | 通信ネットワークを安全化するための方法、システム、サーバ、および装置 | |
| CA2403488A1 (en) | Automatic identity protection system with remote third party monitoring | |
| CN104219077A (zh) | 一种中小企业信息管理系统 | |
| CN109379345B (zh) | 敏感信息传输方法及系统 | |
| CN103051636B (zh) | 一种数据报文的传输方法和设备 | |
| CN108322484A (zh) | 一种工控数据摆渡系统 | |
| CN106789008A (zh) | 对可共享的加密数据进行解密的方法、装置及系统 | |
| CN106022158A (zh) | 一种文件资料的外带管理系统 | |
| Singh et al. | A Review on Cloud Data Security Challenges and existing Countermeasures in Cloud Computing | |
| Oli et al. | Confidentiality technique to encrypt and obfuscate non-numerical and numerical data to enhance security in public cloud storage | |
| CN103379103A (zh) | 线性与加密解密的硬件实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130102 Termination date: 20151105 |
|
| EXPY | Termination of patent right or utility model |