CN102891835A - 一种计算机终端多网接入的安全隔离方法 - Google Patents
一种计算机终端多网接入的安全隔离方法 Download PDFInfo
- Publication number
- CN102891835A CN102891835A CN2011102060713A CN201110206071A CN102891835A CN 102891835 A CN102891835 A CN 102891835A CN 2011102060713 A CN2011102060713 A CN 2011102060713A CN 201110206071 A CN201110206071 A CN 201110206071A CN 102891835 A CN102891835 A CN 102891835A
- Authority
- CN
- China
- Prior art keywords
- isolation
- network
- channel
- user
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的目的是要提供一种成本低,操作方便,安全性和可靠性好的计算机终端多网接入的安全隔离方法,其方法如下:A.外部网络用不同连线和不同的网卡链接到主机设备,采用OSI网络模型的物理层隔离和数据链路层隔离;B.共享平台分层对隔离的不同的网络接入设备的在时域上执行设备通道开关控制,实现通道隔离;C.应用嵌入式系统独立资源,在硬盘内部实现多个物理级隔离分区,每个分区构建各自的网络连接操作和安全配置系统;D.共享平台对上述隔离设备、隔离通道和隔离分区的功能实体,依据设计功能结构路线图,用通讯协议进行有序配对组合而实现智能化绑定,在各自时域上运行实体空间隔离;E.专网系统接入用户强制身份认证。
Description
技术领域
本发明涉及一种计算机网络控制系统,尤其是一种计算机终端多网接入的安全隔离方法。
背景技术
同一个计算机终端分时接入国际互联网(Internet)、保密系统专用网络或其它小型局域网等多个网络系统时,多个不同的网络信息经由终端处理过程必须符合国家《计算机信息系统国际联网保密管理规定》中“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”的安全管理要求;同时,符合公安部对国家公安系统专网接入终端要求网络接入设备达到物理层隔离和强制性监管指标。
目前解决计算机终端多用户网络环境接入的隔离方法很多,早期涉密单位就是用不同的多台电脑终端,禁止终端网络接入的相互串接,实现接入设备的物理层隔离。其次,采用网络隔离卡专用设备分时复用技术,将同一台主机的一个网卡扩展出多个用户网络接入端口,分时接入各自联通的网络;其技术实现在不同网络的接入切换过程中,用户需要手动操控一个物理网闸开关选择器来分时控制(接通或关闭)隔离部件。这种隔离的共性技术是通过受控开关在时域上禁止或开启受控隔离部件的工作状态实现的,保障内外网切换过程的隔离部件有序对应和通道隔离。一般的控制实体是切换器,控制对象是硬盘存储器,在切换过程系统重新启动,属于时分复用。成本高,操作繁琐,安全性和可靠性较差。
发明内容
本发明的目的是要提供一种成本低,操作方便,安全性和可靠性好的计算机终端多网接入的安全隔离方法。
本发明是这样实现的:一种计算机终端多网接入的安全隔离方法,其特征在于包括外部隔离、通道隔离、物理隔离分区、空间隔离、身份认证,其具体方法如下:
A.外部网络用不同连线和不同的网卡链接到主机设备,依据外部隔离网络信息经由终端处理过程隔离目标部件之间信息流通I/O内在逻辑线路图的运行结构实体,采用OSI网络模型的物理层隔离和数据链路层隔离;
B.在主机系统运行过程中,共享平台分层对隔离的不同的网络接入设备的在时域上执行设备通道开关控制,实现通道隔离;同一台计算机终端拥有多个不同的网络接入设备通道,在一个时间域内共享平台只有一个网络接入设备-网络通道在工作,其余禁用;
C.应用嵌入式系统独立资源,在硬盘内部实现多个物理级隔离分区,每个分区构建各自的网络连接操作和安全配置系统;每个隔离分区独立实现用户OS分区安装,安装过程为各自“逻辑盘”再次逻辑分区和分别引导OS,引进嵌入式系统对硬盘存储空间执行抢先的管理与控制,嵌入式模块将物理硬盘分割成多个引导分区,确保每次只可以选择激活其中一个分区可以引导系统,当前引导区的OS用户不可以访问其它隔离分区;
D.共享平台对上述隔离设备、隔离通道和隔离分区的功能实体,依据设计功能结构路线图,用通讯协议进行有序配对组合而实现智能化绑定,在各自时域上运行实体空间隔离;根据用户定义,初始系统从匹配表中搜索当前安全网络设备与网络通道所对应的硬盘隔离分区(通道)信息,建立目标地址映射,使用户选择的隔离通道标识和硬盘相应的隔离分区标识智能化绑定;
E.专网系统接入用户强制身份认证。
本发明从终端系统体系结构宏观角度,构建主机系统加工处理网络信息所涉及运算部件和数据交换通道等内在逻辑线路结构体,并分别构建分层分级管理控制单元子系统,从设备、通道和通讯协议立体的层面,确保分时运行中的结构体相互隔离。采用底层硬件设备和抽象层逻辑部件的开关控制技术,分别应用物理设备层嵌入式系统独立资源、主机系统资源分层分级管理和多级部件的结构体联动设计与共享平台设备通道分时通道开关隔离控制。核心技术与应用创新点在:(1)多网络接入设备的物理层隔离和共享平台分时对网络接入设备I/O通道物理层设备开关隔离控制;(2)共享平台对逻辑功能结构体协议层联动设计。(3)专网系统用户接入过程强制身份认证,谨防误操作。
在时域隔离基础上,对共享平台处理部件可能的信息夹带或I/O通道渗透部件实现物理空间隔离。
本发明是围绕主机系统平台功能部件的开关控制技术,直接实现OSI网络模型的物理层隔离和数据链路层隔离。OSI网络模型,如图1所示。其隔离的安全性、可靠性和隔离卡一级在主机外层的OSI网络层隔离解决方法相比更高级、更彻底。真正符合公安系统的专网接入终端的物理层网络安全隔离级别要求和强制性网警监管系统要求。
同时,和网络隔离卡解决方案比较并没有带来产品的成本和生产设备费用成本增加。
技术方法:
首先,外部网络用不同连线和不同的网卡链接到主机设备,实现网络的接入设备物理层和数据链路层隔离;其次,在主机系统运行过程中,共享平台分层对隔离的不同的网络接入设备的在时域上执行设备通道开关控制,实现通道隔离;第三、应用嵌入式系统独立资源,在硬盘内部实现多个物理级隔离分区,并且每个分区可以构建各自的网络连接操作和安全配置系统。第四、共享平台对上述隔离设备、隔离通道和隔离分区等功能实体,依据设计功能结构路线图,用通讯协议进行有序配对组合而实现智能化绑定,确保在各自时域上运行实体空间隔离。第五、专网系统接入用户强制身份认证,谨防误操作。
依据外部隔离网络信息经由终端处理过程隔离目标部件之间信息流通I/O内在逻辑线路图的运行结构实体,从设备、通道和通讯协议立体的层面隔离。实现同一台计算机终端拥有多个不同的网络接入设备通道,必须确保在一个时间域内共享平台只有一个网络接入设备-网络通道在工作,其余彻底禁用,防止信息夹带泄露;一个物理层设备只能接入一个网络,相互之间禁止人为串接。实现接入端在专网和互联网之间干净隔离,同一台机器能够安全接入两个或多个不同的隔离网络,在保密隔离网络环境下,解决一台安全电脑“一台顶三台”功效。
隔离部件与多级隔离部件逻辑结构体联动与分时隔离的拓扑组合关系,如图2所示。公网和专网两个网络物理隔离环境的关键部件隔离与多级隔离关系扩展所构建的一分为二的隔离环境构建。
所谓物理层隔离,如图1所示,公网和专网在网络接入物理连线上是完全隔离的,且没有任何公用的存储信息,包括主机的动态内存和外部辅助存储设备信息。
所述的隔离方法既可以用于实现双网隔离,也适用于多网隔离。专利文稿在描述中,为清晰透明起见,以双网隔离为主。
本发明实现步骤:
1.计算机开机,初始化系统给出用户选择进入各自不同的隔离网络标识,并给用户提供选择的操作权限和操作界面UI,其选择如:外网、保密网或小型专用内网等。
2.用户选择的信息,是下一步的输入;初始化系统据此确定主机系统要为当前用户开放或关闭的网络设备及其负载通道。复杂的底层平台硬件设备开关控制技术与抽象层系统平台的接管控制,要求初始化系统确保用户所选择的每种网络接入工作模式下,在分时系统的同一时间域内,例如MS windows2000/XP、Windows Vista和Linux等主流操作系统环境中,系统只能有一个网络设备及其通道正常运行,其他网络接入设备处于禁用状态。
生产制成实现用户网络接入设备(网卡)与网络通道的组合绑定,初始化系统完成底层设备通道隔离,间接实现用户设备与底层设备的网络接入的设备隔离关系。
3.硬盘安全隔离分区
嵌入式模块资源的物理层隔离分区技术是在同一个物理硬盘上,应用嵌入模块的独立运算资源,分时为主机提供一个物理MBR技术实现;而且,每个隔离分区独立实现用户OS分区安装、安装过程用户可以为各自“逻辑盘”再次逻辑分区和分别引导OS等操作,就和普通物理硬盘给主机系统提供的一个物理MBR硬盘实体具有一样的用户特性。本质上,就是引进嵌入式系统对硬盘存储空间执行抢先的管理与控制,结合主机系统对已经约定的存储空间控制实体的识别与控制管理而言,就是分级管理(两级)。同样,嵌入式模块将物理硬盘分割成多个引导分区,确保每次只可以选择激活其中一个分区可以引导系统。嵌入式微系统依据用户对硬盘初始配置和当前默认分区信息,进入活动引导区。
嵌入式模块应用硬盘存储系统对存储扇区空间寻址特性和嵌入式独立运算资源的先天优势,自主和用户交互,接管硬盘存储资源与存取控制权,为用户提供了将海量存储器划分为三个隔离分区,并且对每个隔离用户区起始空间做标记;同理,在主机系统还未接管控制硬盘前,嵌入式系统根据用户的状态和参数设置,强制控制物理硬盘的磁头偏置,置其它两个分区为负磁道;即使在当前主机资源运行的用户OS下奈何不了其余空间。就是当前引导区的OS用户不可以访问其它隔离分区,确保隔离信息的安全性,如图4所示。
4.网络设备通道和硬盘嵌入式系统配置的分区表信息在系统初始化过程实现智能配对的一对一绑定关系,确保在后续抽象层系统装载与设备初始化过程的网络数据链路层隔离。方法是在用户系统初始化过程,根据用户定义,初始系统从匹配表中搜索要当前安全网络设备与网络通道所对应的硬盘隔离分区(通道)信息,建立目标地址映射。使用户选择的隔离通道标识和硬盘相应的隔离分区标识智能化绑定,确保不同用户的隔离存储分区的系统初始化和运行环境达到物理层隔离,增强易用性和减少用户误操作。
在分割多个引导区的基础上,将每个引导分区与外部隔离卡的网络端口绑定,形成内外网络与硬盘引导区一一对应的隔离关系。形成网络环境下隔离的、安全的多用户环境。每个隔离分区与隔离网卡一一对应,网卡端口与网络UTP双绞线一一对应,实现引导系统与分时并行多网络接入。
三个启动区分别对应用户三个不同的网络,达到单硬盘三网隔离的目的。并且,三个分区之间隔离而不可相互访问,在确保用户数据安全的前提下,提高了计算机资源配置和利用效率。
用户分区中可以建立共享分区,对于设置了共享分区的用户,必须遵守数据单向隔离的属性与安全员安全规则设置、管理。
5.机器部件级隔离通道标识,依据通道标签标识,标识出网络接入设备-网卡标识;机器出厂分别在主机的相关设备上贴标签,标明各自的用途,如外网、内网。
在生产制造过程依据主板部件的标识对整机生产中扩展的网卡设备,在出厂前,在网卡的RJ-45双绞线链接接口处再次贴有醒目的图文标记,清楚地标明网卡给用户接入网络的用途。
6.用户根据机器出厂时网卡用途标识,分别接入各自网络。
出厂机器为用户定义的安全网络连接关系,用户只要根据标记连接即可。终端用户依据主机的网卡用途标识和单位的安全管理规程,讲不同的网络分别连接到机器的不同网卡。
隔离方法基于分时复用的模式,在用户选择不同网络接入的切换过程,安全隔离机制的系统设计要求强制主机重新启动,确保计算机系统动态存储器中当前的敏感数据在多个网络之间切换时不会被重用,避免内存中信息被嗅探攻击。
综上所述,本发明专利的核心技术在于应用主机资源的设备通道开关控制与分层分级管理;其次,是不通层次的配套隔离部件(如硬盘嵌入式资源的物理级隔离分区)在主机系统资源下运行结构体的多级联动设计与分时隔离的基本方法;第三、当前用户进程入网身份认证。本发明是一种成本低,操作方便,安全性和可靠性好的计算机终端多网接入的安全隔离方法。
附图说明
图1是OSI七层网络模型方框图;
图2是多级部件功能结构体与分时隔离拓扑组合关系示意图;
图3是隔离分区与主机通讯示意图;
图4是隔离区、网卡、隔离通道网络的智能绑定关系示意图;
图5是系统初始化流程方框图;
具体实施方式
下面结合附图和典型实施例对本发明作进一步说明。
本发明是一种计算机终端多网接入的安全隔离方法,包括外部隔离、通道隔离、物理隔离分区、空间隔离、身份认证,其具体方法如下:
A.外部网络用不同连线和不同的网卡链接到主机设备,依据外部隔离网络信息经由终端处理过程隔离目标部件之间信息流通I/O内在逻辑线路图的运行结构实体,采用OSI网络模型的物理层隔离和数据链路层隔离;如图1所示。
B.在主机系统运行过程中,共享平台分层对隔离的不同的网络接入设备的在时域上执行设备通道开关控制,实现通道隔离;同一台计算机终端拥有多个不同的网络接入设备通道,在一个时间域内共享平台只有一个网络接入设备-网络通道在工作,其余禁用;隔离部件与多级隔离部件逻辑结构体联动与分时隔离的拓扑组合关系,如图2所示。
C.应用嵌入式系统独立资源,在硬盘内部实现多个物理级隔离分区,每个分区构建各自的网络连接操作和安全配置系统;每个隔离分区独立实现用户OS分区安装,安装过程为各自“逻辑盘”再次逻辑分区和分别引导OS,引进嵌入式系统对硬盘存储空间执行抢先的管理与控制,嵌入式模块将物理硬盘分割成多个引导分区,确保每次只可以选择激活其中一个分区可以引导系统,当前引导区的OS用户不可以访问其它隔离分区,确保隔离信息的安全性,如图4所示。
D.共享平台对上述隔离设备、隔离通道和隔离分区的功能实体,依据设计功能结构路线图,用通讯协议进行有序配对组合而实现智能化绑定,在各自时域上运行实体空间隔离;根据用户定义,初始系统从匹配表中搜索当前安全网络设备与网络通道所对应的硬盘隔离分区(通道)信息,建立目标地址映射,使用户选择的隔离通道标识和硬盘相应的隔离分区标识智能化绑定;隔离区、网卡、隔离通道网络的智能绑定关系如图5所示。
E.专网系统接入用户强制身份认证。
Claims (1)
1.一种计算机终端多网接入的安全隔离方法,其特征在于包括外部隔离、通道隔离、物理隔离分区、空间隔离、身份认证,其具体方法如下:
A.外部网络用不同连线和不同的网卡链接到主机设备,依据外部隔离网络信息经由终端处理过程隔离目标部件之间信息流通I/O内在逻辑线路图的运行结构实体,采用OSI网络模型的物理层隔离和数据链路层隔离;
B.在主机系统运行过程中,共享平台分层对隔离的不同的网络接入设备的在时域上执行设备通道开关控制,实现通道隔离;同一台计算机终端拥有多个不同的网络接入设备通道,在一个时间域内共享平台只有一个网络接入设备-网络通道在工作,其余禁用;
C.应用嵌入式系统独立资源,在硬盘内部实现多个物理级隔离分区,每个分区构建各自的网络连接操作和安全配置系统;每个隔离分区独立实现用户OS分区安装,安装过程为各自“逻辑盘”再次逻辑分区和分别引导OS,引进嵌入式系统对硬盘存储空间执行抢先的管理与控制,嵌入式模块将物理硬盘分割成多个引导分区,确保每次只可以选择激活其中一个分区可以引导系统,当前引导区的OS用户不可以访问其它隔离分区;
D.共享平台对上述隔离设备、隔离通道和隔离分区的功能实体,依据设计功能结构路线图,用通讯协议进行有序配对组合而实现智能化绑定,在各自时域上运行实体空间隔离;根据用户定义,初始系统从匹配表中搜索当前安全网络设备与网络通道所对应的硬盘隔离分区(通道)信息,建立目标地址映射,使用户选择的隔离通道标识和硬盘相应的隔离分区标识智能化绑定;
E.专网系统接入用户强制身份认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102060713A CN102891835A (zh) | 2011-07-20 | 2011-07-20 | 一种计算机终端多网接入的安全隔离方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102060713A CN102891835A (zh) | 2011-07-20 | 2011-07-20 | 一种计算机终端多网接入的安全隔离方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102891835A true CN102891835A (zh) | 2013-01-23 |
Family
ID=47535202
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102060713A Pending CN102891835A (zh) | 2011-07-20 | 2011-07-20 | 一种计算机终端多网接入的安全隔离方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102891835A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105721481A (zh) * | 2016-03-02 | 2016-06-29 | 清华大学 | 一种基于透明计算的网络接入系统及方法 |
| CN110235134A (zh) * | 2017-01-26 | 2019-09-13 | 微软技术许可有限责任公司 | 使用洁净室供应来寻址可信执行环境 |
| CN113839968A (zh) * | 2021-11-29 | 2021-12-24 | 军事科学院系统工程研究院网络信息研究所 | 一种基于通道划分的安全平面隔离方法方法和系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2450705Y (zh) * | 2000-11-15 | 2001-09-26 | 谭华 | 单台计算机同时连接内网和外网的物理隔离卡 |
| CN2454798Y (zh) * | 2000-01-21 | 2001-10-17 | 陈宏宪 | 用于内外网物理分离的网络同步切换装置 |
| CN2754136Y (zh) * | 2004-12-15 | 2006-01-25 | 中国长城计算机深圳股份有限公司 | 一种保证信息安全的计算机系统 |
| CN2794055Y (zh) * | 2004-10-18 | 2006-07-05 | 肖勇 | 内外网隔离和数据交换装置 |
| CN102110023A (zh) * | 2009-12-25 | 2011-06-29 | 中国长城计算机深圳股份有限公司 | 一种多用户操作系统并行运行的控制方法、系统及计算机 |
-
2011
- 2011-07-20 CN CN2011102060713A patent/CN102891835A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2454798Y (zh) * | 2000-01-21 | 2001-10-17 | 陈宏宪 | 用于内外网物理分离的网络同步切换装置 |
| CN2450705Y (zh) * | 2000-11-15 | 2001-09-26 | 谭华 | 单台计算机同时连接内网和外网的物理隔离卡 |
| CN2794055Y (zh) * | 2004-10-18 | 2006-07-05 | 肖勇 | 内外网隔离和数据交换装置 |
| CN2754136Y (zh) * | 2004-12-15 | 2006-01-25 | 中国长城计算机深圳股份有限公司 | 一种保证信息安全的计算机系统 |
| CN102110023A (zh) * | 2009-12-25 | 2011-06-29 | 中国长城计算机深圳股份有限公司 | 一种多用户操作系统并行运行的控制方法、系统及计算机 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105721481A (zh) * | 2016-03-02 | 2016-06-29 | 清华大学 | 一种基于透明计算的网络接入系统及方法 |
| CN110235134A (zh) * | 2017-01-26 | 2019-09-13 | 微软技术许可有限责任公司 | 使用洁净室供应来寻址可信执行环境 |
| CN110235134B (zh) * | 2017-01-26 | 2023-09-08 | 微软技术许可有限责任公司 | 使用洁净室供应来寻址可信执行环境 |
| CN113839968A (zh) * | 2021-11-29 | 2021-12-24 | 军事科学院系统工程研究院网络信息研究所 | 一种基于通道划分的安全平面隔离方法方法和系统 |
| CN113839968B (zh) * | 2021-11-29 | 2022-02-18 | 军事科学院系统工程研究院网络信息研究所 | 一种基于通道划分的安全平面隔离方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107153565B (zh) | 配置资源的方法及其网络设备 | |
| CN102484593B (zh) | 网络接入中的区域转移 | |
| CN104639522B (zh) | 一种网络访问控制方法及装置 | |
| US9294351B2 (en) | Dynamic policy based interface configuration for virtualized environments | |
| WO2016090702A1 (zh) | 一种双卡双待通话方法、装置及终端 | |
| CN102571698B (zh) | 一种虚拟机访问权限的控制方法、系统及装置 | |
| CN105117320B (zh) | 在电子终端中管理应用的方法及其电子终端 | |
| CN110109427A (zh) | 基于最小特权的过程控制软件安全架构 | |
| CN104793995A (zh) | 控制gps调用的方法及装置 | |
| CN107959614B (zh) | 一种基于网络命名空间的多租户自定义组网方法、系统 | |
| CN104598309B (zh) | 基于os虚拟化的多模式os的系统和其创建、切换方法 | |
| CN109933376A (zh) | 一种BIOS setup中PCIE丝印信息更新方法、装置、受控终端及存储介质 | |
| CN112099913B (zh) | 一种基于OpenStack实现虚拟机安全隔离的方法 | |
| CN102891835A (zh) | 一种计算机终端多网接入的安全隔离方法 | |
| CN103997502A (zh) | 一种基于云计算数据中心安全增强模型的设计方法 | |
| CN106776067A (zh) | 多容器系统中系统资源的管理方法及管理装置 | |
| CN114615109B (zh) | 容器网络创建方法、装置、电子设备及存储介质 | |
| CN103312424A (zh) | 自动测试系统中多开关的控制方法及控制系统 | |
| CN109542525A (zh) | 一种通过bmc切换系统内存配置的方法、装置、终端及存储介质 | |
| CN109446000A (zh) | 多硬盘背板下硬盘顺序识别方法、装置、终端及存储介质 | |
| CN104268605B (zh) | 一种操作智能sd卡和普通sd卡的读卡器及其工作方法 | |
| CN111092828B (zh) | 网络操作方法、装置、设备和存储介质 | |
| Murillo et al. | Access control policies for network function virtualization environments in industrial control systems | |
| CN114944971B (zh) | Kubernetes部署网络的方法及装置、电子设备和存储介质 | |
| CN111131280A (zh) | 一种内外网隔离系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C05 | Deemed withdrawal (patent law before 1993) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130123 |