CN116506208B - 一种基于局域网内计算机软件信息安全维护系统 - Google Patents

Abstract

本发明公开了一种基于局域网内计算机软件信息安全维护系统，其架构包括内网终端、服务器、工作站及其用户认证层、诱捕站及其病毒分析层；其中数据传输设置CSMA/CA算法的碰撞检测过程。本发明在局域网内设置与工作站并列的诱捕站，提供集中杀毒和安全分析地点；本发明采用用户认证权限授予与碰撞测试的信道空闲判定相结合的判定方法，在传输mac帧时优先进行权限识别，并与工作站的媒体空闲判定相结合，通过权限对比、Jam命令和碰撞次数赋值，使异常数据难以通过碰撞测试，变为失效数据或低权限数据，实现双重保险的数据安全管理；本发明在用户认证层与病毒分析层之间设置专门的安全信道，实现紧急数据的高速安全识别和处理过程。

Description

一种基于局域网内计算机软件信息安全维护系统

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于局域网内计算机软件信息安全维护系统。

背景技术

局域网作为计算机通信网络中的一种，它将计算机、 数据库和局域网上几公里范围内的外部设备有效的通过网络进行连接。现在局域网保密的防护中有三个难解决的问题：即数据可访问性、信息聚合和设防较困难。

随着网络技术的广泛应用， 病毒在网络上的传播方式越来越多样化，不可能像维护终端一样维护计算机局域网的防护措施。在局域网上累积信息和数据通常集中在特定位置，其价值更客观，却失去了一切信息。

为了确保信息安全性，现有局域网一般通过网络安全系统和防火墙进行防御，其防御机制原理在于加密权限和访问权限两种机制，往往只能识别自带的病毒或漏洞防火墙，新的或改编过的病毒或漏洞则无法有效防御。

通过研究，发明人认为现有局域网安全防御机制过度依赖防火墙，对客户端用户（人）的操作、客户端连接的移动存储以及数据加密、解密和传输均缺乏系统管理，导致杀毒往往为“事后诸葛亮”式的被动处理，造成重大泄密事故，亟待改进。

发明内容

本发明的目的是为了解决现有技术中存在的缺点，而提出的一种基于局域网内计算机软件信息安全维护系统。

为了实现上述目的，本发明采用了如下技术方案：

一种基于局域网内计算机软件信息安全维护系统，架构如下：

内网终端，通过网关与外网交互信息；

服务器，通过路由器或交换机与内网终端交互信息，内网终端设置n组服务器，n为整数且n≥3；

工作站，内部设置有网卡，并通过集线器与服务器交互信息；

用户认证层，设置在工作站客户端的计算机上或与计算机连接的外部识别设备上，用于认证和授予计算机内置软件、网络数据以及外接存储设备中的数据权限；任一服务器设置m组工作站，m为整数且2≤m≤20，同一服务器的工作站均与用户认证层交互信息；

诱捕站，任一服务器内设置1个或2个诱捕站，诱捕站也通过网卡和集线器与服务器交互信息；

病毒分析层，设置在诱捕站的计算机内，用于对低权限数据、无权限数据和病毒数据的分类处理。

还包括各种连接设备：

网卡，即网络适配器，是连接计算机与网络的硬件设备：

集线器，即hub，是局域网内计算机和服务器的连接设备；

中继器，在物理层连接两个网络，用于延伸同型局域网，在网络间传递信息，起信号放大、整形和传输作用；

网桥，网桥则是指数据层连接两个局域网络段，网间通信从网桥传送，网内通信被网桥隔离；

交换机，用于将网络从逻辑上划分成几个较小的网段；

路由器，用于连接网络层、数据层、物理层执行不同协议的网络，协议的转换由路由器完成，从而消除了网络层协议之间的差别；

网关，用于连接网络层之上执行不同协议的子网，组成异构的互连网；网关能实现异构设备之间的通信，对不同的传输层、会话层、表示层、应用层协议进行翻译和变换；网关具有对不兼容的高层协议进行转换的功能，例如使NetWare的PC工作站和SUN网络互连。

优选地，n组服务器中至少设置一个加密资源数据库服务器和一个共享资源服务器，加密资源数据库服务器用于最高加密权限的重要信息数据的储存和专用信道传输，共享资源服务器用于将其他各服务器中的安全信息数据通过共享信道快速传输和使用。

进一步地，加密资源数据库服务器设置有权限管理器，综合用户认证层、病毒分析层以及各计算机的使用情况来分析各数据和各计算机的使用安全性、传输信道占用比以及传输速度，设置为高权限、中权限、低权限及无权限的分类级别，如高权限数据在高权限计算机调用、修改、存储及传输均享有较高速度，高权限计算机在接受高权限数据或中权限数据时享有优先使用权。

更进一步地，数据或计算机的权限通过用户人工认证来识别并标记，包括物理识别、密钥识别或物理与密钥混合识别的方式。

优选地，共享资源服务器的入口通过网桥和中继器与其他服务器进行交互信息，共享资源服务器的出口还设置开放源的无线路由器，无线路由器与内网终端中的任一工作站的计算机的IP层进行识别，便于快速分享调用，而诱捕站的计算机则由其连接的集线器通过服务器交互信息，限制低安全数据的传输效率，降低可能造成的攻击风险。

优选地，用户认证层与病毒分析层通过用户人工认证进行数据交互，即设置专门的安全信道，将用户认证层中初步判断但又急需处理的低权限数据、无权限数据和病毒数据导入病毒分析层，二次分析后，如权限不变则留待诱捕站中进行数据攻击试验得出结论且进行日志存档，而病毒分析层分析权限提高的安全数据则经过用户人工二次认证后，合格则留待各工作站中正常使用及快速信道传输。

优选地，诱捕站设置与工作站相同的软件，但诱捕站内的数据主要为伪装信息，即通过模拟工作站计算机内的储存数据，对储存数据进行乱码处理，具体地是统计所用工作站内的相关数据进行聚类集合分析，随机乱码取所得正常数据值集合以外的值作为伪装数据，直接编辑填写在诱捕站内的数据中mac帧的数据字节，形成伪装信息；而用户认证层直接导入病毒分析层的低权限数据或无权限数据也经过乱码处理；但分析后降低权限后的原有无权限数据，则视作病毒数据，仅经过病毒分析处理，存档备用。

优选地，内网终端、服务器及工作站之间数据传输字节中插入有VLAN标记、权限标记和载波延伸；

VLAN标记用于指明发送该帧的工作站属于哪一个虚拟局域网，便于管理；

权限标记用于标记数据的权限级别及相关的用户认证信息登记，并与计算机的权限码进行一一对应，从而确定该数据在源地址计算机的发送权限以及在目的地址计算机的接受权限，实现自动权限与人工授权的结合管理；

载波延伸用于提高数据兼容性，当很多短帧要发送时，第一个短帧要采用载波延伸方法进行填充512字节的争用期，随后的一些短帧则可一个接一个地发送，只需留有必要的帧间最小间隔即可，这样就形成可一串分组的突发，直到达到1500字节或稍多一些为止。

同时载波延伸对应的以太网以半双工方式工作时，当以太网以全双工方式(即通信双方可同时进行发送和接收数据)工作时，不使用载波延伸和分组突发，从而提高安全信息数据的分析效率和传输速度。

优选地，各服务器之间的任意两个网桥还设置有一段点到点链路，用于提高数据分析效率；且网桥在转发帧之前必须执行CSMA/CA算法，即载波监听多点接入/碰撞检测（Carrier Sense Multiple Access with Collision Detection），对应的内网终端为吉比特或10吉比特无线局域网。

更进一步，CSMA/CA算法的碰撞检测过程如图2所示，如下：

1）预先在数据层发送帧之前经过用户认证，合格后发出一次发送帧命令，并在工作站的客户端计算机判断该媒体是否处于繁忙状态，当判定媒体忙时则返回发送帧命令待命；当判定媒体为空闲时则二次发出发送帧命令，进行碰撞测试，当无碰撞时，则在一段时间后判断是否发送完毕，当未发送完毕则返回二次发出发送帧命令，继续发送并进行碰撞测试；当判定已发送完毕，则通知为发送成功，记录日志，经过加密处理储存在加密资源数据库服务器；

2）当碰撞测试为有碰撞，表明计算机的媒体为繁忙，并发送Jam命令，通过计数器累积碰撞次数N，通过判断N是否≥16，当N≤16，则通过一段延迟随机时间后，反馈至一次发送帧命令，再次进行媒体空闲与否的判定；

3）当N≥16，则直接下达发送失败通知，经过权限评估，对该数据权限降一级，当数据权限为低权限或更低时，则将数据导入诱捕站，经过病毒分析和处理，继续进行分类和级别改变，留待处理；

其中诱捕站的计算机媒体则与工作站不同，其媒体判断永远为空闲状态，从而使各类低权限数据优先导入诱捕站；

其中诱捕站携带数据删除、数据录入、数据自动恢复、数据权限审计及数据分类管理功能，再导入低权限或更低权限数据时，进行病毒攻击试验，试验生成病毒查杀日志，试验结束后恢复初始伪装状态，并且加入新的病毒查杀功能，继续进行诱捕工作；

4）当用户认证不合格式，表明数据层的数据未通过人工认证环节，此时对该数据进行编写，使其权限标记中的用户认证信息不符合任何工作站中的客户端计算机，即所有计算机媒体遇到该类数据均判定为媒体繁忙状态，因此该数据长期处于待命状态，当待命状态超过设定值（如10min以上），则判定该数据为失效数据，并导入诱捕站处理；

5）对于一些带有自动掩盖信息或自动伪装信息的异常数据巧妙通过4）中媒体繁忙状态判定的情况（即权限级别字节出错造成该权限级别比实际高），则根据用户认证信息字节的不匹配性，进行强化碰撞赋值，使该数据自动发送Jam，并使其碰撞次数N≥16，从而发送失败，并导入诱捕站处理，从而实现双重保险的数据安全管理。

与现有技术相比，本发明的有益效果是：

1.本发明通过在现有局域网内设置与工作站并列的诱捕站，且工作站客户端计算机媒体采用媒体繁忙判断，而诱捕站计算机媒体判断永远为空闲状态，从而使各类低权限数据及更低权限数据优先导入诱捕站，提供集中杀毒和安全分析地点。

2.本发明采用用户认证权限授予与碰撞测试的信道空闲判定相结合的判定方法，并在对应的数据字节中插入可编写的权限标记字节，因此在传输mac帧时可优先进行权限识别，并与工作站中的计算机媒体空闲判定相结合，通过权限对比、Jam命令和碰撞次数赋值，使异常数据难以通过碰撞测试，变为失效数据或低权限数据，从而优先导入诱捕站进行分析处理，提高或降低权限，实现双重保险的数据安全管理。

3.另外本发明在用户认证层与病毒分析层之间设置专门的安全信道，使临时的安全数据和危险数据可快速交互，即实现紧急数据的高速安全识别和处理过程，值得推广使用。

附图说明

图1为本发明提出的一种基于局域网内计算机软件信息安全维护系统的系统架构图；

图2为本发明传输数据用户认证及碰撞测试的原理简图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

实施例1：

参照图1，一种基于局域网内计算机软件信息安全维护系统，架构如下：

内网终端，通过网关与外网交互信息；

服务器，通过路由器或交换机与内网终端交互信息，内网终端设置n组服务器，n为整数且n≥3；

工作站，内部设置有网卡，并通过集线器与服务器交互信息；

用户认证层，设置在工作站客户端的计算机上或与计算机连接的外部识别设备上，用于认证和授予计算机内置软件、网络数据以及外接存储设备中的数据权限；任一服务器设置m组工作站，m为整数且2≤m≤20，同一服务器的工作站均与用户认证层交互信息；

诱捕站，任一服务器内设置1个或2个诱捕站，诱捕站也通过网卡和集线器与服务器交互信息；

病毒分析层，设置在诱捕站的计算机内，用于对低权限数据、无权限数据和病毒数据的分类处理。

实施例2：

在实施例1的基础上，n组服务器中至少设置一个加密资源数据库服务器和一个共享资源服务器，加密资源数据库服务器用于最高加密权限的重要信息数据的储存和专用信道传输，共享资源服务器用于将其他各服务器中的安全信息数据通过共享信道快速传输和使用。

加密资源数据库服务器设置有权限管理器，综合用户认证层、病毒分析层以及各计算机的使用情况来分析各数据和各计算机的使用安全性、传输信道占用比以及传输速度，设置为高权限、中权限、低权限及无权限的分类级别，如高权限数据在高权限计算机调用、修改、存储及传输均享有较高速度，高权限计算机在接受高权限数据或中权限数据时享有优先使用权。

数据或计算机的权限通过用户人工认证来识别并标记，包括物理识别、密钥识别或物理与密钥混合识别的方式。

共享资源服务器的入口通过网桥和中继器与其他服务器进行交互信息，共享资源服务器的出口还设置开放源的无线路由器，无线路由器与内网终端中的任一工作站的计算机的IP层进行识别，便于快速分享调用，而诱捕站的计算机则由其连接的集线器通过服务器交互信息，限制低安全数据的传输效率，降低可能造成的攻击风险。

用户认证层与病毒分析层通过用户人工认证进行数据交互，即设置专门的安全信道，将用户认证层中初步判断但又急需处理的低权限数据、无权限数据和病毒数据导入病毒分析层，二次分析后，如权限不变则留待诱捕站中进行数据攻击试验得出结论且进行日志存档，而病毒分析层分析权限提高的安全数据则经过用户人工二次认证后，合格则留待各工作站中正常使用及快速信道传输。

诱捕站设置与工作站相同的软件，但诱捕站内的数据主要为伪装信息，即通过模拟工作站计算机内的储存数据，对储存数据进行乱码处理，具体地是统计所用工作站内的相关数据进行聚类集合分析，随机乱码取所得正常数据值集合以外的值作为伪装数据，直接编辑填写在诱捕站内的数据中mac帧的数据字节，形成伪装信息；而用户认证层直接导入病毒分析层的低权限数据或无权限数据也经过乱码处理；但分析后降低权限后的原有无权限数据，则视作病毒数据，仅经过病毒分析处理，存档备用。

实施例3：

在实施例2的架构基础上，内网终端、服务器及工作站之间数据传输字节中插入有VLAN标记、权限标记和载波延伸，如表1所示：

表1 本发明传输数据的字节占用表

VLAN标记用于指明发送该帧的工作站属于哪一个虚拟局域网，便于管理；

权限标记用于标记数据的权限级别及相关的用户认证信息登记，并与计算机的权限码进行一一对应，从而确定该数据在源地址计算机的发送权限以及在目的地址计算机的接受权限，实现自动权限与人工授权的结合管理；

载波延伸用于提高数据兼容性，当很多短帧要发送时，第一个短帧要采用载波延伸方法进行填充512字节的争用期，随后的一些短帧则可一个接一个地发送，只需留有必要的帧间最小间隔即可，这样就形成可一串分组的突发，直到达到1500字节或稍多一些为止。

同时载波延伸对应的以太网以半双工方式工作时，当以太网以全双工方式(即通信双方可同时进行发送和接收数据)工作时，不使用载波延伸和分组突发，从而提高安全信息数据的分析效率和传输速度。

实施例4：

在实施例2的架构基础上，各服务器之间的任意两个网桥还设置有一段点到点链路，用于提高数据分析效率；且网桥在转发帧之前必须执行CSMA/CA算法，即载波监听多点接入/碰撞检测（Carrier Sense Multiple Access with Collision Detection），对应的内网终端为吉比特或10吉比特无线局域网。

CSMA/CA算法的碰撞检测过程如图2所示，如下：

1）预先在数据层发送帧之前经过用户认证，合格后发出一次发送帧命令，并在工作站的客户端计算机判断该媒体是否处于繁忙状态，当判定媒体忙时则返回发送帧命令待命；当判定媒体为空闲时则二次发出发送帧命令，进行碰撞测试，当无碰撞时，则在一段时间后判断是否发送完毕，当未发送完毕则返回二次发出发送帧命令，继续发送并进行碰撞测试；当判定已发送完毕，则通知为发送成功，记录日志，经过加密处理储存在加密资源数据库服务器；

2）当碰撞测试为有碰撞，表明计算机的媒体为繁忙，并发送Jam命令，通过计数器累积碰撞次数N，通过判断N是否≥16，当N≤16，则通过一段延迟随机时间后，反馈至一次发送帧命令，再次进行媒体空闲与否的判定；

3）当N≥16，则直接下达发送失败通知，经过权限评估，对该数据权限降一级，当数据权限为低权限或更低时，则将数据导入诱捕站，经过病毒分析和处理，继续进行分类和级别改变，留待处理；其中诱捕站的计算机媒体则与工作站不同，其媒体判断永远为空闲状态，从而使各类低权限数据优先导入诱捕站；其中诱捕站携带数据删除、数据录入、数据自动恢复、数据权限审计及数据分类管理功能，再导入低权限或更低权限数据时，进行病毒攻击试验，试验生成病毒查杀日志，试验结束后恢复初始伪装状态，并且加入新的病毒查杀功能，继续进行诱捕工作；

4）当用户认证不合格式，表明数据层的数据未通过人工认证环节，此时对该数据进行编写，使其权限标记中的用户认证信息不符合任何工作站中的客户端计算机，即所有计算机媒体遇到该类数据均判定为媒体繁忙状态，因此该数据长期处于待命状态，当待命状态超过设定值（如10min以上），则判定该数据为失效数据，并导入诱捕站处理；

5）对于一些带有自动掩盖信息或自动伪装信息的异常数据巧妙通过4）中媒体繁忙状态判定的情况（即权限级别字节出错造成该权限级别比实际高），则根据用户认证信息字节的不匹配性，进行强化碰撞赋值，使该数据自动发送Jam，并使其碰撞次数N≥16，从而发送失败，并导入诱捕站处理，从而实现双重保险的数据安全管理。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

Claims (9)

1.一种基于局域网内计算机软件信息安全维护系统，包括网卡、集线器、中继器、网桥、交换机、路由器及网关的连接设备，其特征在于，还包括以下架构：

内网终端，通过网关与外网交互信息；

服务器，通过路由器或交换机与内网终端交互信息，内网终端设置n组服务器，n为整数且n≥3；

工作站，内部设置有网卡，并通过集线器与服务器交互信息；

用户认证层，设置在工作站客户端的计算机上或与计算机连接的外部识别设备上，用于认证和授予计算机内置软件、网络数据以及外接存储设备中的数据权限；每个所述服务器设置m组工作站，m为整数且2≤m≤20，同一所述服务器的工作站均与用户认证层交互信息；

诱捕站，每个所述服务器内设置1个或2个诱捕站，诱捕站也通过网卡和集线器与服务器交互信息；

病毒分析层，设置在诱捕站的计算机内，用于对低权限数据、无权限数据和病毒数据的分类处理；

所述用户认证层与病毒分析层通过用户人工认证进行数据交互，即设置专门的安全信道，将用户认证层中初步判断但又急需处理的低权限数据、无权限数据和病毒数据导入病毒分析层，二次分析后，权限不变则留待诱捕站中进行数据攻击试验得出结论且进行日志存档，而病毒分析层分析权限提高的安全数据则经过用户人工二次认证后，合格则留待各工作站中正常使用及快速信道传输。

2.根据权利要求1所述的一种基于局域网内计算机软件信息安全维护系统，其特征在于，n组所述服务器中至少设置一个加密资源数据库服务器和一个共享资源服务器，加密资源数据库服务器用于最高加密权限的重要信息数据的储存和专用信道传输，共享资源服务器用于将其他各服务器中的安全信息数据通过共享信道快速传输和使用。

3.根据权利要求2所述的一种基于局域网内计算机软件信息安全维护系统，其特征在于，所述加密资源数据库服务器设置有权限管理器，综合用户认证层、病毒分析层以及各计算机的使用情况来分析各数据和各计算机的使用安全性、传输信道占用比以及传输速度，对各数据和各计算机设置为高权限、中权限、低权限及无权限的分类级别。

4.根据权利要求3所述的一种基于局域网内计算机软件信息安全维护系统，其特征在于，所述数据或计算机的权限通过用户人工认证来识别并标记，包括物理识别、密钥识别或物理与密钥混合识别的方式。

5.根据权利要求2所述的一种基于局域网内计算机软件信息安全维护系统，其特征在于，所述共享资源服务器的入口通过网桥和中继器与其他服务器进行交互信息，所述共享资源服务器的出口还设置开放源的无线路由器。

6.根据权利要求1所述的一种基于局域网内计算机软件信息安全维护系统，其特征在于，所述诱捕站内的数据主要为伪装信息，即通过模拟工作站计算机内的储存数据，对储存数据进行乱码处理，具体地是统计所用工作站内的相关数据进行聚类集合分析，随机乱码取所得正常数据值集合以外的值作为伪装数据，直接编辑填写在诱捕站内的数据中mac帧的数据字节，形成伪装信息。

7.根据权利要求1所述的一种基于局域网内计算机软件信息安全维护系统，其特征在于，所述内网终端、服务器及工作站之间数据传输字节中插入有VLAN标记、权限标记和载波延伸；

VLAN标记用于指明发送数据帧的工作站属于哪一个虚拟局域网，便于管理；

权限标记用于标记数据的权限级别及相关的用户认证信息登记，并与计算机的权限码进行一一对应，从而确定该数据在源地址计算机的发送权限以及在目的地址计算机的接受权限，实现自动权限与人工授权的结合管理；

载波延伸用于提高数据兼容性，当很多短帧要发送时，第一个短帧要采用载波延伸方法进行填充512字节的争用期，随后的一些短帧则可一个接一个地发送，只需留有必要的帧间最小间隔即可，这样就形成可一串分组的突发，直到达到1500字节或稍多一些为止。

8.根据权利要求1所述的一种基于局域网内计算机软件信息安全维护系统，其特征在于，各服务器之间的任意两个网桥还设置有一段点到点链路，用于提高数据分析效率；且网桥在转发帧之前必须执行CSMA/CA算法，对应的内网终端为吉比特或10吉比特无线局域网。

9.根据权利要求8所述的一种基于局域网内计算机软件信息安全维护系统，其特征在于，所述CSMA/CA算法的碰撞检测过程如下：

1)预先在数据层发送帧之前经过用户认证，合格后发出一次发送帧命令，并在工作站的客户端计算机判断媒体是否处于繁忙状态，当判定媒体忙时则返回发送帧命令待命；当判定媒体为空闲时则二次发出发送帧命令，进行碰撞测试，当无碰撞时，则在一段时间后判断是否发送完毕，当未发送完毕则返回二次发出发送帧命令，继续发送并进行碰撞测试；当判定已发送完毕，则通知为发送成功，记录日志，经过加密处理储存在加密资源数据库服务器；

2)当碰撞测试为有碰撞，表明计算机的媒体为繁忙，并发送Jam命令，通过计数器累积碰撞次数N，通过判断N是否≥16，当N≤16，则通过一段延迟随机时间后，反馈至一次发送帧命令，再次进行媒体空闲与否的判定；

3)当N≥16，则直接下达发送失败通知，经过权限评估，对该数据权限降一级，当数据权限为低权限或更低时，则将数据导入诱捕站，经过病毒分析和处理，继续进行分类和级别改变，留待处理；其中诱捕站的计算机媒体则与工作站不同，其媒体判断永远为空闲状态，从而使各类低权限数据优先导入诱捕站；其中诱捕站携带数据删除、数据录入、数据自动恢复、数据权限审计及数据分类管理功能，再导入低权限或更低权限数据时，进行病毒攻击试验，试验生成病毒查杀日志，试验结束后恢复初始伪装状态，并且加入新的病毒查杀功能，继续进行诱捕工作；

4)当用户认证不合格时，表明数据层的数据未通过人工认证环节，此时对该数据进行编写，使其权限标记中的用户认证信息不符合任何工作站中的客户端计算机，即所有计算机媒体遇到该数据均判定为媒体繁忙状态，因此该数据长期处于待命状态，当待命状态超过设定值，则判定该数据为失效数据，并导入诱捕站处理；

5)对于一些带有自动掩盖信息或自动伪装信息的异常数据巧妙通过4)中媒体繁忙状态判定的情况，则根据用户认证信息字节的不匹配性，进行强化碰撞赋值，使该数据自动发送Jam，并使其碰撞次数N≥16，从而发送失败，并导入诱捕站处理，从而实现双重保险的数据安全管理。