CN2492979Y - 带身份认证的网络隔离装置 - Google Patents
带身份认证的网络隔离装置 Download PDFInfo
- Publication number
- CN2492979Y CN2492979Y CN 01246775 CN01246775U CN2492979Y CN 2492979 Y CN2492979 Y CN 2492979Y CN 01246775 CN01246775 CN 01246775 CN 01246775 U CN01246775 U CN 01246775U CN 2492979 Y CN2492979 Y CN 2492979Y
- Authority
- CN
- China
- Prior art keywords
- network
- computer
- user
- information
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本实用新型提供一种带身份认证的网络隔离装置,它包括:一安装在用户机网络接口和用户机任一接口之间,可将计算机的连接外部网络的硬盘与计算机存放秘密信息物理上隔开的网络选择器和一安装在计算机网络系统中可与上述网络选择器相连的硬件身份认证装置。由于本实用新型的带身份认证的网络隔离装置采用了网络隔离装置和硬件身份认证装置,保证了用户机网络接口和用户机任一接口之间被网络选择器物理上隔开。而硬件身份认证装置使得需要键盘输入的用户信息、密码和其他重要信息一起储存在用户的硬件密码钥匙上,并通过加密方式传送验算装置,由验算装置进行解密,并进行确认,从而保证合法身份的使用者进入计算机网络,使网络的安全性大大提高。
Description
技术领域
本实用新型涉及一种网络接口硬件,特别涉及到带身份认证的网络隔离接口硬件。
背景技术
随着互联网络的发展,对于如何保护用户机所在的网络免受其它网络的侵入人们曾设计了防火墙等技术,如中国专利ZL96109573.3(发明创造名称一防火墙系统),但这些技术在解决方案上均采用了软件的方式,并没有从物理上将用户机所在网络与其它网络断开。采用手工插拔网线的方式在不同的网络上切换又是相当不方便的。为此,公开号为CN 1292533A的中国专利“网络隔离系统”公开了一种网络选择器实现用户即在内外网络之间的切换,从而达到物理上的隔离与连接的切换,以保证网络的安全。然而,这种网络选择器缺少身份认证装置,无法对使用着的身份进行认证,随着计算机网络的蓬勃发展,对于系统资源和系统运行的安全性要求亦愈来愈高,这是因为非法用户常采用窃取口令,修改和伪造合法用户的方式对系统进行攻击,使系统的资源和运行得不到安全,其中,对使用者的身份进行确认是保证系统安全的一个重要环节。如果仅采用现有的身份确认方法即采用用户口令(密码)进行身份认证,由于口令(密码)容易被解密而被窃取,从而使计算机网络系统的运行的安全得不到很好的保障。
发明内容
本实用新型的目的是提供一种能保证计算机网络更加安全的的网络隔离装置。
为了实现上述目的,本实用新型提供的带有身份认证装置的网络隔离装置包括:
一网络选择器,它安装在用户机网络接口和用户机任一接口之间,可将计算机的连接外部网络的硬盘与计算机存放秘密信息物理上隔开,同时计算机通过所述的网络选择器与若干个网络相连,确保在任何时间内每台计算机在物理上只与一个网络相连;以及
一安装在计算机网络系统中可与上述网络选择器相连的硬件身份认证装置,它包括:
一可用公开密钥对其包含的私有密钥进行加密、并可用私有密钥对自己的私有信息进行加密的硬件钥匙;
一与上述硬件钥匙相连并接收硬件钥匙输出的加密的私有密钥和加密的私有信息的接口装置;
一接收接口装置输出的加密的私有密钥和加密的私有信息并用自己的公开密钥进行解密获得用户的私有密钥,并用该解密的私有密钥对用户的加密的私有信息进行解密来判断用户合法身份和利用采用系统资源的权限,并将所获得的解密信息传给控制装置以及对设备系统进行控制的验算装置。
由于本实用新型的带身份认证的网络隔离装置采用了网络隔离装置和硬件身份认证装置,保证了用户机网络接口和用户机任一接口之间被网络选择器物理上隔开。而硬件身份认证装置使得需要键盘输入的用户信息、密码和其他重要信息一起储存在用户的硬件密码钥匙上,并通过加密方式传送验算装置,由验算装置进行解密,并进行确认,从而保证合法身份的使用者进入计算机网络,使网络的安全性大大提高。
附图说明
图1是本实用新型的一个实施例的带身份认证的网络隔离装置在系统中的工作示意图。
图2是图1所述的网络选择器的工作流程图。
图3为图1所述的身份认证装置的工作原理图。
图4是3所述的硬件钥匙的结构原理图。
具体实施方式
下面接合附图对本实用新型作详细描述。
如图1所示,本发明仅以配置两台服务器,两台集线器(HUB)和N台计算机及N个网络选择器2为例组成的系统设计方案。该系统设计方案是互联网(Internet)和内部网(Intranet)之间的一个或若干个中间层,通过所述的两台服务器的一台外部服务器1控制上网,经一台集线器(HUB)与互联网(Internet)相连,一台内部服务器5,经另一台集线器(HUB)与互联网(Internet)相连,存放所述的各台计算机3上的重要文件,所述的各台计算机3通过所述的网络选择器与若干个网络相连,其能确保在任何时间内每台计算机3在物理上只与一个网络相连,确保内部网(Intranet)的网络系统的安全。同时,通过配置所述的内部服务器5,集中存放所述若干台计算机上的重要信息,在所述的若干台计算机上不存放重要文件,在与互联网(Internet)相连时也不会发生信息失窃。网络选择器与两台服务器相连,该网络选择器能确保在任何时候,每台计算机3在物理上只与一个网络相连,确保内部网络系统的安全。
所述的N个网络选择器是安装在用户机网络接口和用户机任一接口上的:串口、并口、USB或PC上各种可用的扩展槽上,它是一种实现用户机与两个以上网络中的唯一一个网络实现物理相连并且切换的物理设备,它通过串口、并口、USB或PC上各种可用的扩展槽在内的任一PC接口接受用户机上网络选择器的控制软件发送的切换指令来实现用户机与指定网络的物理连接。
所述的N个网络选择器控制软件是运行在用户机上的用户进行交互并与网络选择器通过串口、并口、USB或PC上各种可用的扩展槽进行通信的计算机程序。它能实现保证每台计算机3在物理上只与一个网络相连的功能。
所述的N个网络选择器通过运行在用户机上的所述的网络选择器的控制软件,接收用户的网络切换指令,把切换指令以一定的格式通过用户机任一接口:串口、并口、USB或PC上各种可用的扩展槽,发送到所述的网络选择器,由它对切换指令进行解释,并实现与相应网络的物理连接。
如图2所示,当用户机上的网络选择器2控制软件接收到用户切换到网络Xn的指令后,该软件即向串口、并口、USB接口或总线接口等PC接口发送切换到网络Xn指令,当网络选择器接收到切换到网络Xn的指令后,即切断用户机到已连网络的物理连接,并切换所述用户的物理连接至网络Xn,从而完成网络的切换。
如图3所示,本实用新型提供的带身份认证的网络隔离装置包括身份认证装置和网络选择器。身份认证装置包括硬件钥匙9、接口装置10、验算装置12和控制装置15。在本实施例中,网络选择器2与验算装置12做成一体,当然,它们可以分开。其中,验算装置12和控制装置15安装在设备系统16中。硬件钥匙9通过接口装置10与设备系统16的验算装置12相连,并可向设备系统16发送信息。验算装置12和控制装置15相连,并可进行信息交换。
在上述系统中,用户硬件系统的硬件钥匙9拥有自己的私有密钥并可用验算装置的公开密钥对自己的私有密钥进行加密,然后传送到验算装置12,而且,对所要传输的秘密信息(私有信息)用自己的私有密钥进行加密,然后把加密后的文件传送到验算装置12。验算装置12用自己的公开密钥对私有密钥进行解密后得到用户硬件系统的私有密钥并用此私有密钥对秘密信息(私有信息)进行解密来判断用户的真实身份,从而确定是否允许用尸登录系统。在本发明中,对用户持有随身携带的秘密信息可通过“非对称加密算法”进行加密,并使用特定的传送方法来验算用户的合法身份或验证持有者的身份和登录信息。
参见图4,硬件钥匙9包括接口电路18、微处理器19和电可擦存取存储器(EEPRAM)20。接口电路18与系统相连并与该系统通讯联络。微处理器19与接口电路相连并可将电可擦存取存储器(EEPRAM)20储存的信息进行加密,并发送到接口电路18中。电可擦存取存储器(EEPRAM)20可将接口电路18传送的用户私有信息及私有密钥进行存储。
本发明提供的认证系统的工作过程如下:
系统在上电开机时向验算装置12发出指令,要求验算装置12对登录用户进行身份确认。验算装置12在收到指令后通过接口装置10向硬件钥匙9发出指令。硬件钥匙9将一个自己的私有密钥用验算装123的公开密钥对自己的密钥进行加密,然后传送到验算装置12,同时对所要传输的使用者的身份、口令等私有信息(秘密信息)用自己的私有密钥进行加密,然后把加密后的信息传送到验算装置12。验算装置12在收到上述系列信息后用自己的公开密钥进行解密,取得用户硬件系统的私有密钥。这样,验算装置12可用此私有密钥对私有信息进行解密来判断用户的合法身份和利用系统资源的权限,并将所取真实信息传给控制装置15。控制装置15根据验算装置12的指令对设备系统进行相应处理。在系统上电后,验算装置12将周期性地向系统的硬件系统发出验证指令,如果验算装置12对用户的密钥信息验算并判别后确认用户为合法的,则允许该用户在线使用系统资源,如果验证失败或用户离线,验算装置12将通知控制系统关闭整个系统16。
另外,所述的验算装置12中可包含一记录装置,它可将连接在设备系统上的用户在使用系统资源的有关信息进行记录,以便验算装置12不断进行对比确认。该记录装置也可以放在计算机系统中。
本发明提供的认证系统可安装在各类计算机上的验算装置,通过用户持有的随身携带的某个私有信息(秘密信息)(用户智能硬件系统)进行验证、以合法身份进行登录的系统,包括:安保系统、网络通讯系统、信息交互系统、读卡系统、终端设备以及确定串行接口,并行接口、USB PC机的PCI IDEISA等各类通讯接口设备的身份认证。
本发明由于采用上述的结构,具有安全身份认证系统完全兼容的功能,但使用硬件密码钥匙,利用其特性将需要键盘输入的用户信,密码和其他重要信息一起储存在用户携带的硬件密码钥匙上,通过加密的方式传递到认证系统上,将可视化的用户登录身份验证转化为不可见的,这就从硬件层开始对信息安全进行控制。
另外,通过对本发明的身份认证系统的详细描述,可以发现,本系统具有以下几点认证的功能:
可信性:保证登录身份是可信的。即登录者所发出的信息不是由冒充者所发的。
完整性:要求登录者在使用系统资源的整个过程必须将其硬件身份连接在系统上。即登录者在使用过程中没有被替换不可抵赖性由于用户硬件身份连接在系统上,登录者在使用系统资源的有关信息被系统所纪录,用户无法抵赖。
控制访问性:拒绝非法用户访问系统资源,合法用户只能访问系统授权和指定的资源。
Claims (4)
1、一种带身份认证的网络隔离装置,其特征在于包括:
一网络选择器,它安装在用户机网络接口和用户机任一接口之间,可将计算机的连接外部网络的硬盘与计算机存放秘密信息物理上隔开,同时计算机通过所述的网络选择器与若干个网络相连,确保在任何时间内每台计算机在物理上只与一个网络相连;以及
一安装在计算机网络系统中可与上述网络选择器相连的硬件身份认证装置,它包括:
一可用公开密钥对其包含的私有密钥进行加密、并可用私有密钥对自己的私有信息进行加密的硬件钥匙;
一与上述硬件钥匙相连并接收硬件钥匙输出的加密的私有密钥和加密的私有信息的接口装置;
一接收接口装置输出的加密的私有密钥和加密的私有信息并用自己的公开密钥进行解密获得用户的私有密钥,并用该解密的私有密钥对用户的加密的私有信息进行解密来判断用户合法身份和利用采用系统资源的权限,并将所获得的解密信息传给控制装置以及对设备系统进行控制的验算装置。
2、如权利要求1所述的带身份认证的网络隔离装置,其特征在于:所述的验算装置中包含一记录装置,它可将连接在设备系统上的用户在使用系统资源的有关信息记录,以便验算装置不断进行对比确认的记录装置。
3、如权利要求1所述的带身份认证的网络隔离装置,其特征在于所述硬件钥匙包括:
一可将用户信息及私有密钥进行存储的电可擦存取存储器(EEPRAM);
一与计算机系统相近并与该系统通讯联络的接口电路;
一与接口电路电可擦存取存储器相连的微处理器,该微处理器可对电可擦随机存取存储器中储存的信息进行加密,并发送到接口电路中。
4、如权利要求1所述的带身份认证的网络隔离装置,其特征在于所述网络选择器与验算装置做成一体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 01246775 CN2492979Y (zh) | 2001-07-27 | 2001-07-27 | 带身份认证的网络隔离装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 01246775 CN2492979Y (zh) | 2001-07-27 | 2001-07-27 | 带身份认证的网络隔离装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN2492979Y true CN2492979Y (zh) | 2002-05-22 |
Family
ID=33657733
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 01246775 Expired - Fee Related CN2492979Y (zh) | 2001-07-27 | 2001-07-27 | 带身份认证的网络隔离装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN2492979Y (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1321513C (zh) * | 2003-04-16 | 2007-06-13 | 三星电子株式会社 | 连接独立网络的装置和方法 |
CN100440238C (zh) * | 2005-08-04 | 2008-12-03 | 株式会社知识潮 | 使用外部设备的计算机控制方法及计算机控制系统 |
CN1925401B (zh) * | 2006-10-12 | 2011-06-15 | 中国联合网络通信有限公司北京市分公司 | 互联网接入系统及接入方法 |
CN101667140B (zh) * | 2008-09-03 | 2013-02-13 | 联想(北京)有限公司 | 控制操作系统切换的方法、装置及系统 |
CN101640595B (zh) * | 2008-07-28 | 2015-03-25 | 联想(北京)有限公司 | 控制隔离卡切换的方法、装置和系统 |
-
2001
- 2001-07-27 CN CN 01246775 patent/CN2492979Y/zh not_active Expired - Fee Related
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1321513C (zh) * | 2003-04-16 | 2007-06-13 | 三星电子株式会社 | 连接独立网络的装置和方法 |
CN100440238C (zh) * | 2005-08-04 | 2008-12-03 | 株式会社知识潮 | 使用外部设备的计算机控制方法及计算机控制系统 |
CN1925401B (zh) * | 2006-10-12 | 2011-06-15 | 中国联合网络通信有限公司北京市分公司 | 互联网接入系统及接入方法 |
CN101640595B (zh) * | 2008-07-28 | 2015-03-25 | 联想(北京)有限公司 | 控制隔离卡切换的方法、装置和系统 |
CN101667140B (zh) * | 2008-09-03 | 2013-02-13 | 联想(北京)有限公司 | 控制操作系统切换的方法、装置及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8971537B2 (en) | Access control protocol for embedded devices | |
US5491752A (en) | System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens | |
US7231526B2 (en) | System and method for validating a network session | |
EP2021938B1 (en) | Policy driven, credential delegation for single sign on and secure access to network resources | |
US6981156B1 (en) | Method, server system and device for making safe a communication network | |
KR101753859B1 (ko) | 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법 | |
EP2936369A1 (en) | Verification of password using a keyboard with a secure password entry mode | |
CN101815091A (zh) | 密码提供设备、密码认证系统和密码认证方法 | |
CN111770088A (zh) | 数据鉴权方法、装置、电子设备和计算机可读存储介质 | |
CN1635738A (zh) | 通用认证授权服务系统及方法 | |
CN106027467A (zh) | 一种身份证读取响应系统 | |
Rana et al. | Secure and ubiquitous authenticated content distribution framework for IoT enabled DRM system | |
CN2492979Y (zh) | 带身份认证的网络隔离装置 | |
Oksiiuk et al. | Security technique for authentication process in the cloud environment | |
CN1180566C (zh) | 一种实现网络设备间安全可靠互连的方法 | |
Xia et al. | Design of secure FTP system | |
CN116684875A (zh) | 一种电力5g网络切片的通信安全认证方法 | |
CN201717885U (zh) | 密码提供设备和密码认证系统 | |
CN106027477A (zh) | 一种身份证读取响应方法 | |
Zou et al. | Information Security Transmission Technology in Internet of Things Control System. | |
CN105991649B (zh) | 一种读取身份证的调度系统 | |
CN105991648B (zh) | 一种读取身份证的调度方法 | |
CN2492980Y (zh) | 硬件密钥身份认证装置 | |
CN111641646A (zh) | 一种安全增强型通信定位终端 | |
CN1400766A (zh) | 硬件身份认证系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C19 | Lapse of patent right due to non-payment of the annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |