專利名稱：網(wǎng)絡(luò)安全網(wǎng)卡的制作方法
技術(shù)領(lǐng)域：
本實(shí)用新型涉及網(wǎng)絡(luò)領(lǐng)域，特別是一種用于有線或無(wú)線上網(wǎng)方式的網(wǎng)絡(luò)安全網(wǎng)卡。
背景技術(shù)：
目前，公知的網(wǎng)絡(luò)通信設(shè)備是網(wǎng)卡，可用于終端設(shè)備上網(wǎng)和不同網(wǎng)絡(luò)間的通信。對(duì)于各種網(wǎng)絡(luò)終端設(shè)備，包括PC、筆記本、服務(wù)器、智能移動(dòng)通信設(shè)備(PDA、手機(jī)等)，均采用獨(dú)立的或集成的網(wǎng)卡、上網(wǎng)卡或無(wú)線調(diào)制解調(diào)器(Modem)采用有線或無(wú)線方式連接Internet。面對(duì)日益嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題，一般采用各種硬件和軟件措施，包括防火墻、加密、口令等各種系統(tǒng)。但是，這些安全措施主要針對(duì)來(lái)自網(wǎng)絡(luò)外部的安全威脅，用于對(duì)網(wǎng)絡(luò)間通信進(jìn)行監(jiān)管。對(duì)單個(gè)終端特別是個(gè)人使用的PC、筆記本、智能手機(jī)、PDA等的保護(hù)不足，主要是殺毒、windows防火墻、木馬查殺等軟件措施，缺乏有力的硬件保障措施。而來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和用戶權(quán)力濫用才是威脅個(gè)人終端的最常被攻擊點(diǎn)。

發(fā)明內(nèi)容
本實(shí)用新型所要解決的技術(shù)問(wèn)題是提供一種用于有線或無(wú)線上網(wǎng)方式的網(wǎng)絡(luò)安全網(wǎng)卡，以解決上述網(wǎng)卡、上網(wǎng)卡或無(wú)線調(diào)制解調(diào)器本身不具備硬件保護(hù)能力和難以保護(hù)上網(wǎng)終端設(shè)備免受來(lái)自Internet和內(nèi)部局域網(wǎng)絡(luò)攻擊的問(wèn)題，本實(shí)用新型解決其技術(shù)問(wèn)題采用的技術(shù)方案是包括傳統(tǒng)網(wǎng)卡、上網(wǎng)卡或無(wú)線調(diào)制解調(diào)器的通信部分，通信部分由網(wǎng)絡(luò)通訊裝置和內(nèi)部通信裝置組成；還包括集成硬件級(jí)的安全保護(hù)部分，其主要由路由或NAT組成，NAT為網(wǎng)絡(luò)地址轉(zhuǎn)換；路由或NAT位于網(wǎng)絡(luò)通訊裝置和內(nèi)部通信裝置之間，網(wǎng)絡(luò)通訊裝置接收網(wǎng)絡(luò)通信后，經(jīng)路由轉(zhuǎn)發(fā)給內(nèi)部通信裝置。
本實(shí)用新型具有如下優(yōu)點(diǎn)本實(shí)用新型通過(guò)將路由、NAT、包過(guò)濾等硬件級(jí)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)簡(jiǎn)化集成于單一網(wǎng)卡、上網(wǎng)卡或無(wú)線調(diào)制解調(diào)器中，通過(guò)加入路由或NAT功能使得本終端對(duì)外部訪問(wèn)者而言不可見(jiàn)，實(shí)現(xiàn)了終端設(shè)備和網(wǎng)絡(luò)的物理分開(kāi)，從而達(dá)到降低被攻擊的風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全的有益效果。由于均采用現(xiàn)有成熟技術(shù)，并加以簡(jiǎn)化，使得生產(chǎn)容易成本較低。
本實(shí)用新型與傳統(tǒng)網(wǎng)卡、上網(wǎng)卡或無(wú)線調(diào)制解調(diào)器功能相兼容。用戶不需作任何設(shè)置即可正常訪問(wèn)Internet和外部網(wǎng)絡(luò)，同時(shí)允許用戶自行啟用或停止網(wǎng)卡中集成的路由和防火墻系統(tǒng)，通過(guò)軟件配置或硬件一鍵式開(kāi)關(guān)，可允許一次關(guān)閉所有功能或自行配置關(guān)閉部分功能。


圖1是本實(shí)用新型的的結(jié)構(gòu)原理圖。
圖2是實(shí)現(xiàn)圖1的一種電路框架圖。
圖3是本實(shí)用新型的的通信過(guò)程圖。
具體實(shí)施方式
本實(shí)用新型涉及一種提高網(wǎng)絡(luò)安全性的網(wǎng)卡、上網(wǎng)卡或無(wú)線調(diào)制解調(diào)器，用于有線和無(wú)線上網(wǎng)方式。通過(guò)加入路由或NAT功能將獨(dú)立或集成網(wǎng)卡對(duì)應(yīng)的單一終端偽裝為一個(gè)只有一臺(tái)終端組成的虛擬內(nèi)部局域網(wǎng)絡(luò)，屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)對(duì)外部訪問(wèn)者不可見(jiàn)。將路由、NAT、包過(guò)濾、DHCP服務(wù)、虛擬服務(wù)等全部或部分功能和單一網(wǎng)卡的通信功能集成，將保護(hù)網(wǎng)絡(luò)的硬件保護(hù)措施簡(jiǎn)化集成到單個(gè)網(wǎng)卡中，構(gòu)筑硬件級(jí)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，用于保護(hù)單臺(tái)終端。
圖1反映了本實(shí)用新型的設(shè)計(jì)思想，這是本實(shí)用新型的結(jié)構(gòu)原理圖。本實(shí)用新型是由傳統(tǒng)網(wǎng)卡、上網(wǎng)卡或無(wú)線調(diào)制解調(diào)器的通信部分和集成硬件級(jí)的安全保護(hù)部分組成的網(wǎng)絡(luò)安全網(wǎng)卡，其中通信部分由網(wǎng)絡(luò)通訊裝置和內(nèi)部通信裝置組成，安全保護(hù)部分主要由路由或NAT組成，NAT為網(wǎng)絡(luò)地址轉(zhuǎn)換。
根據(jù)需要，安全保護(hù)部分還設(shè)有動(dòng)態(tài)主機(jī)分配服務(wù)器、虛擬服務(wù)器。
上述路由可以是包過(guò)濾路由器。
本實(shí)用新型可用于各種終端設(shè)備的上網(wǎng)需要。其中網(wǎng)絡(luò)通信裝置用于連接Internet和外部網(wǎng)絡(luò)，可采用各種有線(電纜、雙絞線、光纖等)和無(wú)線(無(wú)線寬窄帶接入、移動(dòng)通信等)通信方式。內(nèi)部通信裝置用于連接通信終端，可采用集成(PC和筆記本主板集成、智能手機(jī)、PDA等)、內(nèi)置(PCI、PCMCIA接口等)和外置(USB接口等)等方式。
整個(gè)硬件級(jí)安全保護(hù)系統(tǒng)組成中，包過(guò)濾路由器提供路由功能，屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，由于內(nèi)部虛擬網(wǎng)絡(luò)只有單一的一臺(tái)計(jì)算機(jī)，路由功能極為簡(jiǎn)單，允許自動(dòng)或手動(dòng)配置路由表，加入虛擬服務(wù)器后路由功能會(huì)相應(yīng)復(fù)雜化。集成NAT功能，進(jìn)行IP網(wǎng)絡(luò)地址轉(zhuǎn)換。也可簡(jiǎn)化設(shè)計(jì)，只使用NAT進(jìn)行偽裝。包過(guò)濾路由器可同時(shí)提供硬件級(jí)的數(shù)據(jù)包級(jí)防火墻，是最外層。對(duì)于包過(guò)濾功能，由于內(nèi)部計(jì)算機(jī)的不可見(jiàn)性和只有單一的一臺(tái)計(jì)算機(jī)，可以很簡(jiǎn)單的實(shí)現(xiàn)該功能，也可選擇啟用或停止該項(xiàng)功能。為了安全性可完整實(shí)現(xiàn)，可加入ACL(防問(wèn)控制列表)等功能，為了簡(jiǎn)化也可以不要包過(guò)濾功能。為了達(dá)到最高的安全性，可采用兩級(jí)包過(guò)濾路由器，在圖1中包過(guò)濾路由器、動(dòng)態(tài)主機(jī)分配服務(wù)器、虛擬服務(wù)器之下內(nèi)部通信裝置之上再增加一個(gè)包過(guò)濾路由器，不推薦采用。
動(dòng)態(tài)主機(jī)分配服務(wù)器提供DHCP服務(wù)，為本網(wǎng)絡(luò)自動(dòng)分配內(nèi)部IP地址。由于內(nèi)部虛擬網(wǎng)絡(luò)只有單一的一臺(tái)計(jì)算機(jī)，功能可相應(yīng)簡(jiǎn)化，也可選擇啟用或停止該項(xiàng)功能，可允許用戶配置DHCP服務(wù)，也可允許用戶手工配置本機(jī)IP地址。
虛擬服務(wù)器，提供外部用戶訪問(wèn)本地服務(wù)的虛擬接口。當(dāng)啟用安全保護(hù)功能時(shí)只能由本終端訪問(wèn)Internet和外部網(wǎng)絡(luò)，不允許外部訪問(wèn)本地終端，通過(guò)這種方式來(lái)保護(hù)本機(jī)。但是某些情況下用戶又希望對(duì)外提供一定的訪問(wèn)窗口(如Web服務(wù)、Ftp服務(wù)等)，這與安全的需求相矛盾，這時(shí)可通過(guò)提供虛擬服務(wù)器功能來(lái)解決。虛擬服務(wù)器將所有來(lái)自外部的服務(wù)請(qǐng)求重新定位給內(nèi)部虛擬網(wǎng)絡(luò)(即本機(jī))中的服務(wù)器?？赏ㄟ^(guò)集成代理和NAT功能來(lái)實(shí)現(xiàn)。為了簡(jiǎn)化也可以不要該功能。
如圖2中所示，這是本實(shí)用新型的一種實(shí)現(xiàn)電路框架圖，根據(jù)設(shè)計(jì)思想的一種典型實(shí)現(xiàn)方式，并不代表所有可能的具體設(shè)計(jì)實(shí)現(xiàn)。
圖2中方框1為物理層接口(PHY)，其可根據(jù)需要選用各種有線或無(wú)線通信方式，如100/1000BaseT以太網(wǎng)、RF等。方框2為介質(zhì)訪問(wèn)控制(MAC)。方框3為電可擦寫(xiě)可編程只讀存儲(chǔ)器(EEPROM)，其用于存儲(chǔ)資源配置、參數(shù)和數(shù)據(jù)等。方框1-3共同構(gòu)成網(wǎng)絡(luò)通信裝置，連接局域或廣域網(wǎng)絡(luò)，可根據(jù)需要自行選用獨(dú)立或集成的芯片。
方框4為中央處理器(CPU)負(fù)責(zé)路由的配置、管理和數(shù)據(jù)包的轉(zhuǎn)發(fā)工作，完成相關(guān)協(xié)議程序的運(yùn)算，如維護(hù)路由所需的各種表格以及路由運(yùn)算等；可選用合適的嵌入式微處理器，如典型的RISC(精簡(jiǎn)指令集計(jì)算機(jī))微控制器ARM等。
方框5為隨機(jī)存儲(chǔ)器(RAM)運(yùn)行期間暫時(shí)存放操作系統(tǒng)和數(shù)據(jù)，包含路由表項(xiàng)目、ARP緩沖項(xiàng)目、日志項(xiàng)目和隊(duì)列中排隊(duì)等待發(fā)送的分組等；除此之外，還包括運(yùn)行配置文件、正在執(zhí)行的代碼、IOS操作系統(tǒng)程序和一些臨時(shí)數(shù)據(jù)信息；典型的可選用SDRAM、DDR等。方框6為引導(dǎo)程序只讀存儲(chǔ)器(BootROM)主要用于系統(tǒng)初始化等功能。加電自檢，啟動(dòng)路由器并載入IOS操作系統(tǒng)，備份的IOS操作系統(tǒng)。方框7為閃存(Flash)，可讀可寫(xiě)的存儲(chǔ)器，存放著當(dāng)前使用中的IOS操作系統(tǒng)內(nèi)核、文件系統(tǒng)映像和用戶程序文件。方框8為非易失性存儲(chǔ)器(NVRAM)，用于保存啟動(dòng)配置文件。方框5-8構(gòu)成存儲(chǔ)子系統(tǒng)，每種內(nèi)存以不同方式協(xié)助路由和過(guò)濾工作，可根據(jù)需要選用各式只讀和動(dòng)態(tài)存儲(chǔ)類型，DRAM/SDRAM、DDR、ROM、SRAM、Flash等。
方框9為現(xiàn)場(chǎng)可編程門陣列(FPGA)，可用于編程，使之實(shí)現(xiàn)特定的輔助邏輯功能；也可用其他類型可編程的邏輯電路。
方框4-9構(gòu)成集成硬件級(jí)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，完成路由和過(guò)濾工作以及相關(guān)協(xié)議功能；也可采用高集成的解決方案，提供RISC CPU、Cache(高速緩存)、以太控制器、HDLC(高級(jí)數(shù)據(jù)鏈路控制)、UART(通用異步收發(fā))通道、定時(shí)器、通用可編程I/O端口、系統(tǒng)總線、中斷控制器、DRAM/SDRAM控制器、ROM/SRAM和閃存控制器的全部或部分功能。以上功能特點(diǎn)可集成在單芯片中，作為路由器的核心，大大減少系統(tǒng)成本。
方框10為周邊元件擴(kuò)展接口(PCI，Peripheral Component Interface)，內(nèi)部通信裝置，接系統(tǒng)總線，可根據(jù)具體應(yīng)用選擇各種內(nèi)置和外置方式，如PCMCIA、USB等。主板集成方式下不需要，直接接系統(tǒng)總線到南橋芯片。
方框11為外圍電路元件，包括電源、時(shí)鐘、LED顯示、復(fù)位等相關(guān)功能。
本實(shí)用新型的設(shè)計(jì)與傳統(tǒng)網(wǎng)卡、上網(wǎng)卡或無(wú)線調(diào)制解調(diào)器功能相兼容。用戶不需作任何設(shè)置即可正常訪問(wèn)Internet和外部網(wǎng)絡(luò)，優(yōu)化設(shè)計(jì)中允許用戶自行啟用或停止網(wǎng)卡中集成的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，可通過(guò)軟件配置或硬件一鍵式開(kāi)關(guān)，可允許一次關(guān)閉所有功能或自行配置關(guān)閉部分功能。
本實(shí)用新型可采用各種有線(電纜、雙絞線、光纖等)和無(wú)線(無(wú)線寬窄帶接入、移動(dòng)通信等)通信方式，可采用集成(PC和筆記本主板集成、智能手機(jī)等)、內(nèi)置(PCI、PCMCIA接口等)和外置(USB接口等)等方式，可在主板上分別獨(dú)立集成網(wǎng)卡、路由、NAT、包過(guò)濾等，可用于各種終端設(shè)備的上網(wǎng)需要。
本實(shí)用新型的工作原理是通過(guò)加入路由或NAT功能將獨(dú)立或集成網(wǎng)卡對(duì)應(yīng)的單一終端偽裝為一個(gè)只有一臺(tái)終端組成的虛擬內(nèi)部局域網(wǎng)絡(luò)，屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)對(duì)外部訪問(wèn)者不可見(jiàn)。通過(guò)路由或NAT功能，將擁有獨(dú)立合法IP地址(如A、B、C類IP地址)的或內(nèi)部局域網(wǎng)IP地址(如10.*.*.*和192.168.*.*)的可由外部網(wǎng)絡(luò)(如Internet)和內(nèi)部網(wǎng)絡(luò)(如機(jī)構(gòu)、公司、小區(qū)的內(nèi)部局域網(wǎng)等)直接訪問(wèn)的終端(PC、筆記本、服務(wù)器(Web、Ftp等)、智能移動(dòng)通信設(shè)備(PDA、手機(jī)等))，轉(zhuǎn)變?yōu)橹粨碛幸慌_(tái)終端的內(nèi)部局域網(wǎng)。簡(jiǎn)而言之，即將一臺(tái)計(jì)算機(jī)變?yōu)橐粋€(gè)只有一臺(tái)計(jì)算機(jī)的虛擬網(wǎng)絡(luò)。擁有獨(dú)立合法IP地址的計(jì)算機(jī)可被整個(gè)Internet的用戶訪問(wèn)，只有內(nèi)部局域網(wǎng)IP地址的計(jì)算機(jī)只能被本局域網(wǎng)內(nèi)部用戶訪問(wèn)。當(dāng)一臺(tái)計(jì)算機(jī)變?yōu)橐粋€(gè)只有一臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)時(shí)，就沒(méi)有任何人可以直接訪問(wèn)，對(duì)外部訪問(wèn)者而言只能看到內(nèi)部網(wǎng)絡(luò)的對(duì)外接口而無(wú)法了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，而本內(nèi)部網(wǎng)絡(luò)只有一臺(tái)網(wǎng)卡所對(duì)應(yīng)的計(jì)算機(jī)，也就不存在內(nèi)部網(wǎng)絡(luò)攻擊的可能性。將保護(hù)網(wǎng)絡(luò)的硬件保護(hù)措施簡(jiǎn)化集成到單個(gè)網(wǎng)卡、上網(wǎng)卡或無(wú)線調(diào)制解調(diào)器中，用于保護(hù)單臺(tái)終端。通過(guò)將路由、NAT、包過(guò)濾、DHCP(動(dòng)態(tài)主機(jī)分配協(xié)議)服務(wù)、虛擬服務(wù)等全部或部分功能和單一網(wǎng)卡的通信功能集成，構(gòu)筑硬件級(jí)防火墻。本實(shí)用新型設(shè)計(jì)主要用于單一終端上網(wǎng)時(shí)的通信，不適用于網(wǎng)絡(luò)間通信和多個(gè)終端連接成內(nèi)部網(wǎng)絡(luò)再與Internet或外部網(wǎng)絡(luò)通信，區(qū)別于集成防火墻的路由器和其它集成防火墻或路由功能的通信設(shè)備，網(wǎng)絡(luò)間通信已有成熟的安全保護(hù)系統(tǒng)。
本實(shí)用新型的通訊過(guò)程如圖3所示當(dāng)用戶正常上網(wǎng)時(shí)，由本地終端發(fā)起通信連接，請(qǐng)求網(wǎng)絡(luò)上的服務(wù)器提供信息或服務(wù)(見(jiàn)圖中向上箭頭所反映的通信過(guò)程)。用戶發(fā)起的通信將按一般網(wǎng)卡的通信方式正常進(jìn)行，不會(huì)受網(wǎng)絡(luò)安全保護(hù)系統(tǒng)的干擾。
當(dāng)本地終端作為服務(wù)器接受外部的訪問(wèn)請(qǐng)求時(shí)或是遭受到網(wǎng)絡(luò)攻擊時(shí)(見(jiàn)圖中向下箭頭所反映的通信過(guò)程)，網(wǎng)絡(luò)安全保護(hù)系統(tǒng)起作用，不會(huì)直接將來(lái)自外部網(wǎng)絡(luò)的不明數(shù)據(jù)包轉(zhuǎn)發(fā)給本地終端。
如果本地終端作為服務(wù)器提供特定服務(wù)端口，包過(guò)濾路由器檢查來(lái)自外部網(wǎng)絡(luò)的數(shù)據(jù)包后轉(zhuǎn)發(fā)給虛擬服務(wù)器，由虛擬服務(wù)器按照用戶設(shè)定的端口映射或服務(wù)代理方案進(jìn)行檢查和轉(zhuǎn)發(fā)，如果有對(duì)應(yīng)服務(wù)則轉(zhuǎn)發(fā)給內(nèi)部通信裝置提交給本地終端的服務(wù)端口，如果沒(méi)有對(duì)應(yīng)服務(wù)則虛擬服務(wù)器將阻截服務(wù)請(qǐng)求。
如果本地終端不作為服務(wù)器，沒(méi)有提供特定服務(wù)端口，所有來(lái)自外部的連接訪問(wèn)請(qǐng)求可以視為無(wú)意義或是惡意的，將在包過(guò)濾路由器處被阻截，不會(huì)到達(dá)本地終端。通過(guò)這種嚴(yán)格限制流入的方式保護(hù)用戶上網(wǎng)時(shí)通信的安全。
權(quán)利要求1.一種網(wǎng)絡(luò)安全網(wǎng)卡，包括傳統(tǒng)網(wǎng)卡、上網(wǎng)卡或無(wú)線調(diào)制解調(diào)器的通信部分，通信部分由網(wǎng)絡(luò)通訊裝置和內(nèi)部通信裝置組成，其特征是還包括集成硬件級(jí)的安全保護(hù)部分，該安全保護(hù)部分主要由路由或NAT組成，NAT為網(wǎng)絡(luò)地址轉(zhuǎn)換；路由或NAT位于網(wǎng)絡(luò)通訊裝置和內(nèi)部通信裝置之間，網(wǎng)絡(luò)通訊裝置接收網(wǎng)絡(luò)通信后，經(jīng)路由轉(zhuǎn)發(fā)給內(nèi)部通信裝置。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全網(wǎng)卡，其特征是路由是包過(guò)濾路由器。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全網(wǎng)卡，其特征是安全保護(hù)部分還設(shè)有動(dòng)態(tài)主機(jī)分配服務(wù)器。
4根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全網(wǎng)卡，其特征是安全保護(hù)部分還設(shè)有虛擬服務(wù)器。
專利摘要本實(shí)用新型是網(wǎng)絡(luò)安全網(wǎng)卡，包括傳統(tǒng)網(wǎng)卡、上網(wǎng)卡或無(wú)線調(diào)制解調(diào)器的通信部分；還包括由路由或NAT組成的安全保護(hù)部分，其位于網(wǎng)絡(luò)通訊裝置和內(nèi)部通信裝置之間，網(wǎng)絡(luò)通訊裝置接收網(wǎng)絡(luò)通信后，經(jīng)路由轉(zhuǎn)發(fā)給內(nèi)部通信裝置。本實(shí)用新型通過(guò)加入路由或NAT功能將獨(dú)立或集成網(wǎng)卡對(duì)應(yīng)的單一終端偽裝為一個(gè)只有一臺(tái)終端組成的虛擬內(nèi)部局域網(wǎng)絡(luò)，屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)對(duì)外部訪問(wèn)者不可見(jiàn)；將路由、NAT、包過(guò)濾、DHCP服務(wù)、虛擬服務(wù)等全部或部分功能和單一網(wǎng)卡的通信功能集成，將保護(hù)網(wǎng)絡(luò)的硬件保護(hù)措施簡(jiǎn)化集成到單個(gè)網(wǎng)卡中，構(gòu)筑硬件級(jí)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，用于保護(hù)單臺(tái)終端；實(shí)現(xiàn)了終端設(shè)備和網(wǎng)絡(luò)的物理分開(kāi)，從而提高了網(wǎng)絡(luò)安全的有益效果。
文檔編號(hào)H04L29/06GK2922301SQ200620095899
公開(kāi)日2007年7月11日 申請(qǐng)日期2006年3月30日 優(yōu)先權(quán)日2006年3月30日
發(fā)明者湯長(zhǎng)風(fēng), 湯云帆 申請(qǐng)人:湯長(zhǎng)風(fēng)