專(zhuān)利名稱(chēng):以太網(wǎng)安全組網(wǎng)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,尤其涉及以太網(wǎng)的安全組網(wǎng)方法�����。
隨著網(wǎng)絡(luò)通信的發(fā)展��,網(wǎng)絡(luò)安全問(wèn)題日益突出��,網(wǎng)絡(luò)設(shè)備對(duì)外來(lái)的竊取數(shù)據(jù)和惡意攻擊行為缺乏足夠的防范能力�,其中主要原因有三個(gè)。其一�����,大部分通信網(wǎng)絡(luò)���,特別是以太網(wǎng)和英特網(wǎng)中�����,網(wǎng)絡(luò)通信協(xié)議未充分考慮到安全性問(wèn)題�����;其二�����,網(wǎng)絡(luò)設(shè)備(尤其是計(jì)算機(jī))使用的操作系統(tǒng)和應(yīng)用程序越來(lái)越復(fù)雜�,不可避免地存在一些安全性漏洞�;其三,現(xiàn)有的組網(wǎng)技術(shù)對(duì)內(nèi)部數(shù)據(jù)的流動(dòng)不加保護(hù)�����,易被竊取和侵入�。
為此發(fā)展了多種網(wǎng)絡(luò)安全技術(shù),從不同的方面來(lái)提供網(wǎng)絡(luò)的安全性�,這些技術(shù)大致可以分為三種第一種是用戶(hù)/口令方式����,因?yàn)槠浜?jiǎn)便而被廣泛使用�����,但是破譯較易�。有些網(wǎng)絡(luò)協(xié)議如telnet等采用明碼傳輸用戶(hù)/口令認(rèn)證,更容易造成泄漏���。此外�,在某些服務(wù)中��,采用主機(jī)認(rèn)證而非用戶(hù)認(rèn)證���,不能阻止非法用戶(hù)盜用被認(rèn)可主機(jī)的行為��。第二種是在網(wǎng)絡(luò)設(shè)備應(yīng)用程序中加入密鑰��,采用通信雙方約定的加密方法����,在數(shù)據(jù)發(fā)送端將數(shù)據(jù)處理成密文,然后在接收端再將密文還原成明文����。這種方法使用不太方便,適合于雙方約定加密方法的重要場(chǎng)合����。第三種是采用隔離技術(shù)����。組網(wǎng)時(shí)就限制網(wǎng)絡(luò)與外部的連接點(diǎn),并在連接點(diǎn)上用防火墻加以保護(hù)����。防火墻對(duì)通過(guò)它的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析,過(guò)濾掉可疑的數(shù)據(jù)�,以防止內(nèi)部數(shù)據(jù)的泄漏和阻擋外部的攻擊。當(dāng)然�,加入防火墻后對(duì)網(wǎng)絡(luò)數(shù)據(jù)的流通有一定影響。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展�����,防火墻也越來(lái)越復(fù)雜��,價(jià)格昂貴,影響了它的普遍應(yīng)用�。
本發(fā)明目的在于針對(duì)上述問(wèn)題,提供一種安全���、簡(jiǎn)便����、經(jīng)濟(jì)的安全組網(wǎng)方法��。
根據(jù)本發(fā)明����,提供了一種用于由多個(gè)網(wǎng)絡(luò)終端設(shè)備和具有接入端口的網(wǎng)絡(luò)連接設(shè)備構(gòu)成的以太網(wǎng)的安全組網(wǎng)方法,包含以下步驟在網(wǎng)絡(luò)連接設(shè)備的每一個(gè)接入端口處設(shè)定保持?jǐn)?shù)據(jù)過(guò)濾條件和丟棄數(shù)據(jù)過(guò)濾條件���,過(guò)濾條件由一個(gè)或多個(gè)數(shù)據(jù)特征信息構(gòu)成��;當(dāng)數(shù)據(jù)經(jīng)過(guò)接入端口時(shí)���,以過(guò)濾條件中的一個(gè)或多個(gè)數(shù)據(jù)特征信息對(duì)數(shù)據(jù)進(jìn)行判斷。當(dāng)經(jīng)過(guò)接入端口的數(shù)據(jù)中的數(shù)據(jù)特征信息滿(mǎn)足保持?jǐn)?shù)據(jù)過(guò)濾條件時(shí)�����,采用保持?jǐn)?shù)據(jù)處理方式,使數(shù)據(jù)保持原來(lái)的流向����;當(dāng)數(shù)據(jù)的數(shù)據(jù)特征信息滿(mǎn)足丟棄數(shù)據(jù)過(guò)濾條件時(shí),采用丟棄數(shù)據(jù)處理方式�����,不予傳輸�。
根據(jù)本發(fā)明的這種方法,通過(guò)在組網(wǎng)時(shí)����,在以太網(wǎng)的網(wǎng)絡(luò)連接設(shè)備中對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理�,根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的安全信任度對(duì)其流通作適當(dāng)?shù)南拗疲峁┝艘环N更為安全和經(jīng)濟(jì)的以太網(wǎng)的安全組網(wǎng)方法下面��,根據(jù)本發(fā)明的實(shí)施例�,參照附圖對(duì)本發(fā)明進(jìn)行更加詳細(xì)的描述。
圖1是本發(fā)明的一個(gè)實(shí)施例的網(wǎng)絡(luò)連接設(shè)備示意圖����;圖2示出一種實(shí)現(xiàn)本發(fā)明的網(wǎng)絡(luò)連接設(shè)備;圖3是用于說(shuō)明本發(fā)明的安全組網(wǎng)方法的框圖���。
在詳細(xì)描述本發(fā)明的實(shí)施例以前��,先定義本說(shuō)明書(shū)中使用的一些術(shù)語(yǔ)“網(wǎng)絡(luò)”����,是指不同規(guī)模的以太網(wǎng),包括網(wǎng)絡(luò)終端設(shè)備和網(wǎng)絡(luò)連接設(shè)備����;“網(wǎng)絡(luò)連接設(shè)備”,即以太網(wǎng)中將各種網(wǎng)絡(luò)設(shè)備連接起來(lái)����,并通過(guò)網(wǎng)絡(luò)交換數(shù)據(jù)的設(shè)備,例如�����,集線器����、交換機(jī)、路由器����、網(wǎng)關(guān)等等�;“接入端口”�,是指網(wǎng)絡(luò)連接設(shè)備中用于連接其它網(wǎng)絡(luò)設(shè)備的端口;“一路數(shù)據(jù)”�,是指每一個(gè)接入端口上不同流向和性質(zhì)的每一類(lèi)數(shù)據(jù)。
以太網(wǎng)數(shù)據(jù)采用以太網(wǎng)包的形式傳輸����,而且每一路數(shù)據(jù)傳輸時(shí),又以先進(jìn)先出方式通過(guò)接入端口�。每一個(gè)以太網(wǎng)包中包括了數(shù)據(jù)的源地址、目的地址���、業(yè)務(wù)類(lèi)型���、優(yōu)先級(jí)等特征信息�。這些特征信息又都在包頭固定位置的若干字節(jié)中。網(wǎng)絡(luò)連接設(shè)備中的接入端口對(duì)不同數(shù)據(jù)執(zhí)行何種處理方式���,就是通過(guò)將數(shù)據(jù)中所包含的一個(gè)或幾個(gè)特征信息與設(shè)定在該接入端口處的過(guò)濾條件進(jìn)行比較后得到的結(jié)果決定的�����,其中�����,該過(guò)濾條件由一組數(shù)據(jù)特征信息構(gòu)成�,數(shù)據(jù)特征信息可以包含數(shù)據(jù)的源地址、目的地址����、業(yè)務(wù)類(lèi)型、優(yōu)先級(jí)等特征信息中的一個(gè)或幾個(gè)�。因此可以按照數(shù)據(jù)的不同特征信息對(duì)數(shù)據(jù)進(jìn)行過(guò)濾。例如從地址角度考慮���,就可以將某些范圍內(nèi)的源地址或目的地址的數(shù)據(jù)設(shè)定為安全����、不安全����。通過(guò)對(duì)這些特征信息的比較,可以將傳輸?shù)浇尤攵丝诘臄?shù)據(jù)分為安全的�、不安全的或不能肯定的三種。
在本發(fā)明的組網(wǎng)方法中��,對(duì)每個(gè)接入端口上的每一路數(shù)據(jù)都進(jìn)行一次上述的過(guò)濾處理���。處理方式的設(shè)定通過(guò)綜合考慮網(wǎng)絡(luò)的物理連接狀況�、對(duì)不同接入端口上不同類(lèi)型數(shù)據(jù)的安全信任程度、以及網(wǎng)絡(luò)管理特定要求等因素而定�����。例如����,對(duì)比較敏感、容易引起安全問(wèn)題的數(shù)據(jù)設(shè)定為丟棄����;對(duì)優(yōu)先級(jí)高或不會(huì)引起安全問(wèn)題的數(shù)據(jù)可以設(shè)定為保持方式;而對(duì)數(shù)據(jù)可靠程度不高���,但尚不足以丟棄的���,可設(shè)定為改向方式����,使該數(shù)據(jù)通過(guò)另一接入端口作進(jìn)一步的檢驗(yàn)。通過(guò)圖3����,可以更加清楚地了解這一點(diǎn)����。
在本發(fā)明的一個(gè)實(shí)施例中����,過(guò)濾處理的方式設(shè)定為以下兩種1對(duì)于安全數(shù)據(jù),為保持方式����,即保持?jǐn)?shù)據(jù)原來(lái)流向;2對(duì)于不安全數(shù)據(jù)�,為丟棄方式,即不予傳輸�。對(duì)不同數(shù)據(jù)的這兩種處理方式,在組網(wǎng)時(shí)即予以設(shè)定���,或根據(jù)運(yùn)行經(jīng)驗(yàn)重新設(shè)定�。
另外�����,在本發(fā)明的另外一個(gè)實(shí)施例中,由于考慮到還可能遇到一時(shí)無(wú)法確定其安全與否的數(shù)據(jù)����,故設(shè)定第三種過(guò)濾處理的方式改向方式,即改變數(shù)據(jù)的原來(lái)流向��,使該數(shù)據(jù)通過(guò)另一接入端口作進(jìn)一步的檢驗(yàn)�。
由于過(guò)濾條件中的數(shù)據(jù)特征信息的數(shù)目直接影響到進(jìn)行過(guò)濾處理的性能和價(jià)格,故在本發(fā)明中采用改向方式有助于減少過(guò)濾條件中的特征信息����,簡(jiǎn)化過(guò)濾條件以及相應(yīng)的成本。其原因在于��,過(guò)濾條件的簡(jiǎn)化可能對(duì)某種數(shù)據(jù)難以判定采用保持或丟棄方式���,通過(guò)改向�����,將數(shù)據(jù)引入具有不同過(guò)濾條件的接入端口�����,作進(jìn)一步的過(guò)濾。由于前一接入端口已經(jīng)對(duì)數(shù)據(jù)進(jìn)行了保持或丟棄處理��,后一接入端口過(guò)濾經(jīng)過(guò)改向處理的數(shù)據(jù)量已經(jīng)大大減少,這樣就可以采用簡(jiǎn)便的硬件方式建立本發(fā)明的安全屏障�。因此引入改向處理方式是提高過(guò)濾作用性能價(jià)格比的一個(gè)途徑。
值得一提的是��,網(wǎng)絡(luò)通信協(xié)議是分層定義的����,因此,以太網(wǎng)中也包含了不同層次協(xié)議的各種特征信息�����,都可以用來(lái)組成過(guò)濾條件���。若不同過(guò)濾條件的內(nèi)容存在相互交叉或沖突時(shí)��,可采用設(shè)定優(yōu)先等級(jí)的方法來(lái)解決�。
圖1是本發(fā)明的一個(gè)實(shí)施例的網(wǎng)絡(luò)連接示意圖���。圖中��,11是一臺(tái)網(wǎng)絡(luò)連接設(shè)備�����,其中P1~P9是9個(gè)10M/100M自適應(yīng)接入端口�。P9是向上連接的專(zhuān)用口。P1~P4連接網(wǎng)絡(luò)服務(wù)器12a�����、12b���、12c��、12d����,P5~P8連接下一級(jí)網(wǎng)絡(luò)13a�����、13b��、13c�、13d。網(wǎng)絡(luò)連接設(shè)備11有自己的網(wǎng)絡(luò)地址��,在該地址上運(yùn)行網(wǎng)絡(luò)連接設(shè)備11的內(nèi)部服務(wù)程序,它也可以看成是一個(gè)接入端口����,稱(chēng)為P10���。在未引入本發(fā)明的安全組網(wǎng)方法時(shí)�����,各接入端口之間的數(shù)據(jù)流通不經(jīng)過(guò)任何過(guò)濾處理��,毫無(wú)屏障��。采用本方法后�,除了P9是向上連接可對(duì)數(shù)據(jù)不加過(guò)濾外����,P1~P8和P10都將根據(jù)其網(wǎng)絡(luò)連接狀況、數(shù)據(jù)類(lèi)型和物理管理要求來(lái)設(shè)定不同的過(guò)濾條件和相應(yīng)的處理形式���,對(duì)于安全�����、不安全以及不肯定的數(shù)據(jù)分別執(zhí)行保持�、丟棄和改向處理。例如���,如果P5來(lái)的某一路與過(guò)濾條件中的數(shù)據(jù)特征信息比較后����,由于其業(yè)務(wù)類(lèi)型而難以判斷出它是安全的數(shù)據(jù)���,故被設(shè)定為改向到P10����,這一路數(shù)據(jù)將經(jīng)過(guò)P10的再一次過(guò)濾處理�����。
圖2示出一種實(shí)現(xiàn)本發(fā)明的網(wǎng)絡(luò)連接設(shè)備����。其中,接口模塊負(fù)責(zé)物理信號(hào)與數(shù)字信號(hào)之間的轉(zhuǎn)換��,以及一些與物理層有關(guān)的功能���,一般采用通用的芯片組設(shè)計(jì)�����。過(guò)濾模塊在接口模塊和交換模塊之間��,主要起數(shù)據(jù)過(guò)濾的功能���,同時(shí)具有數(shù)據(jù)緩沖功能,并可以通過(guò)對(duì)交換模塊的控制決定數(shù)據(jù)的流向����。交換模塊負(fù)責(zé)各個(gè)過(guò)濾模塊之間以及控制模塊之間的數(shù)據(jù)交換,交換的過(guò)程由過(guò)濾模塊和/或控制模塊控制����。這個(gè)部分可以自行設(shè)計(jì),也可以采用通用芯片組設(shè)計(jì)�。控制模塊既可以從交換模塊接收數(shù)據(jù)或向交換模塊發(fā)出數(shù)據(jù)����,也可以對(duì)交換模塊進(jìn)行控制?��?刂颇K的硬件由CPU���、固化內(nèi)存����、動(dòng)態(tài)內(nèi)存等構(gòu)成��,可以運(yùn)行控制程序����。實(shí)現(xiàn)本發(fā)明的這種設(shè)計(jì)方法特點(diǎn)是具有獨(dú)立的過(guò)濾模塊;對(duì)交換模塊的控制不是由控制模塊單獨(dú)完成�����,而是主要由過(guò)濾模塊完成���;對(duì)交換模塊的控制主要由硬件(過(guò)濾模塊)完成�����,和其它網(wǎng)絡(luò)連接設(shè)備相比���,軟件完成的功能比其它網(wǎng)絡(luò)連接設(shè)備少����。
由上可見(jiàn)����,采用本發(fā)明的方法,作并不復(fù)雜的過(guò)濾設(shè)定�,該網(wǎng)絡(luò)連接設(shè)備將原來(lái)完全透明的一個(gè)網(wǎng)絡(luò)分割為多個(gè)子網(wǎng),并在連接點(diǎn)上建立了一道安全屏障���。因此,子網(wǎng)之間的數(shù)據(jù)傳輸并非完全可見(jiàn)���,其它網(wǎng)絡(luò)設(shè)備難以察覺(jué)這種安全屏障的存在���。對(duì)正常的網(wǎng)絡(luò)數(shù)據(jù)來(lái)說(shuō),這個(gè)網(wǎng)絡(luò)仍然是透明的����。由于網(wǎng)絡(luò)連接設(shè)備11加入了過(guò)濾處理,對(duì)P1~P4口的網(wǎng)絡(luò)服務(wù)器���,減少了從其它接入端口來(lái)的錯(cuò)假網(wǎng)絡(luò)信號(hào)及其干擾�����,從而也提高了安全性��,同時(shí)�����,P5~P8口上可以偵聽(tīng)到的網(wǎng)絡(luò)數(shù)據(jù)范圍也大為減少���,降低了泄漏數(shù)據(jù)的可能性�。
上述建立安全屏障的過(guò)濾條件組合是多種多樣的�����,設(shè)置的位置也很靈活�����,也不需要多個(gè)網(wǎng)絡(luò)設(shè)備相互協(xié)調(diào)�,成本又低,便于普遍應(yīng)用���。從整個(gè)局域網(wǎng)的角度看�,可在網(wǎng)絡(luò)邊界處設(shè)立一道安全屏障,也可在用戶(hù)設(shè)備接入到局域網(wǎng)的連接點(diǎn)處設(shè)置一道安全屏障���,還可以將一個(gè)大的局域網(wǎng)分割成幾個(gè)部分��,相互之間設(shè)立安全屏障���,如果與其他安全技術(shù)相結(jié)合,網(wǎng)絡(luò)的安全性將更為良好����。
權(quán)利要求
1.一種用于由多個(gè)網(wǎng)絡(luò)終端設(shè)備和具有接入端口的網(wǎng)絡(luò)連接設(shè)備構(gòu)成的以太網(wǎng)的安全組網(wǎng)方法,其特征在于包含以下步驟在所述網(wǎng)絡(luò)連接設(shè)備的每一個(gè)接入端口處設(shè)定保持?jǐn)?shù)據(jù)過(guò)濾條件和丟棄數(shù)據(jù)過(guò)濾條件���,所述過(guò)濾條件由一個(gè)或多個(gè)數(shù)據(jù)特征信息構(gòu)成;比較經(jīng)過(guò)所述端口的數(shù)據(jù)與所述過(guò)濾條件中的所述一個(gè)或多個(gè)數(shù)據(jù)特征信息�����,當(dāng)所述比較步驟中的比較結(jié)果是所述接入端口的數(shù)據(jù)中的數(shù)據(jù)特征信息滿(mǎn)足所述保持?jǐn)?shù)據(jù)過(guò)濾條件時(shí)�,采用保持?jǐn)?shù)據(jù)處理方式,使數(shù)據(jù)保持原來(lái)的流向�����;當(dāng)所述比較步驟中的比較結(jié)果是所述數(shù)據(jù)的數(shù)據(jù)特征信息滿(mǎn)足所述丟棄數(shù)據(jù)過(guò)濾條件時(shí),采用丟棄數(shù)據(jù)處理方式�,不予傳輸。
2.如權(quán)利要求1所述的安全組網(wǎng)方法����,其特征在于,在所述網(wǎng)絡(luò)連接設(shè)備的每一個(gè)接入端口處還設(shè)定了由一個(gè)或多個(gè)數(shù)據(jù)特征信息構(gòu)成的改向過(guò)濾條件����;當(dāng)所述比較步驟中的比較結(jié)果是所述接入端口的數(shù)據(jù)滿(mǎn)足所述改向過(guò)濾條件時(shí),將所述數(shù)據(jù)發(fā)送到具有不同于所述接入端口的過(guò)濾條件的另一個(gè)接入端口��,進(jìn)行進(jìn)一步判斷����。
3.如權(quán)利要求1或2所述的以太網(wǎng)的安全組網(wǎng)方法,其特征在于構(gòu)成過(guò)濾條件的一個(gè)或多個(gè)數(shù)據(jù)特征信息是從由源地址�、目的地址、業(yè)務(wù)類(lèi)型����、優(yōu)先級(jí)構(gòu)成的一組數(shù)據(jù)特征信息中選出的。
全文摘要
本發(fā)明提供了一種安全���、簡(jiǎn)便�、經(jīng)濟(jì)的以太網(wǎng)的安全組網(wǎng)方法,它包含步驟:在網(wǎng)絡(luò)連接設(shè)備的每一個(gè)接入端口處設(shè)定保持?jǐn)?shù)據(jù)過(guò)濾條件和丟棄數(shù)據(jù)過(guò)濾條件;當(dāng)經(jīng)過(guò)接入端口的數(shù)據(jù)中的數(shù)據(jù)特征信息滿(mǎn)足保持?jǐn)?shù)據(jù)過(guò)濾條件時(shí),采用保持?jǐn)?shù)據(jù)處理方式,使數(shù)據(jù)保持原來(lái)的流向;當(dāng)數(shù)據(jù)的數(shù)據(jù)特征信息滿(mǎn)足丟棄數(shù)據(jù)過(guò)濾條件時(shí),采用丟棄數(shù)據(jù)處理方式,不予傳輸。
文檔編號(hào)H04L12/28GK1336744SQ0011954
公開(kāi)日2002年2月20日 申請(qǐng)日期2000年8月1日 優(yōu)先權(quán)日2000年8月1日
發(fā)明者黃鶯波, 高威, 王翔, 高漢中 申請(qǐng)人:上海龍林通信技術(shù)有限公司