CN102546522A - 一种内网安全***及其实现方法 - Google Patents
一种内网安全***及其实现方法 Download PDFInfo
- Publication number
- CN102546522A CN102546522A CN2010105787496A CN201010578749A CN102546522A CN 102546522 A CN102546522 A CN 102546522A CN 2010105787496 A CN2010105787496 A CN 2010105787496A CN 201010578749 A CN201010578749 A CN 201010578749A CN 102546522 A CN102546522 A CN 102546522A
- Authority
- CN
- China
- Prior art keywords
- intranet
- user terminal
- terminal
- server
- visited
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种内网***及其实现方法,***包括内网用户终端和被访网络终端,还包括一分别与内网用户终端和被访网络终端相连的服务器,该服务器中预先存储有网络访问规则以及与该网络访问规则所对应的电子数字证书,所述的服务器首先为内网用户终端赋予一电子数字证书,当该内网用户终端访问所述的被访网络终端时,则触发数字认证事件,即所述的被访网络终端自动调用所述服务器中的网络访问规则,根据内网用户终端所携带的数字电子证书,判断其是否具有访问该被访网络终端的权限,并做相应的处理。本发明克服了防火墙式的单纯过滤的特点,能够使内网资源的整个用户群体区别对待,并且自身负荷小,可广泛运用于多种拓扑结构的局域网络。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种内网安全***及其实现方法。
背景技术
在现今信息技术高速发展的今天,计算机技术以及电脑高科技产品已经成为了产业发展的重要推动力之一。随着网络与计算机的普及,由局域网作为基干的企业、政府、学校等办公信息化自动化已经逐步建立起来,并且趋于成熟。局域网,亦称内网,在交互过程中既享受到了网络信息,办公资源互联、共享带来的便捷与实惠,然而与此同时也面临网络信息安全的挑战。
一批以解决内网与互联网的连接过程的信息安全为导向的产品、解决办法的研究,正在如火如荼的进行中。防火墙就是其中比较具有代表性的而且被广为接受,同时还是技术比较成熟的产品。
防火墙就是一种将诸如病毒,非授权用户访问以及骇客等可能对内网资源以及信息安全构成威胁的行为加以阻止,防患于未然的软件硬件相结合的嵌入式***。如图1所示。防火墙1’直接联入基干网2’中,它对于网络访问行为、数据的发送接受进行实时干预的运行模式和方法。是值得内网安全所值得借鉴的。
然而,随着计算机技术的不断提高和局域网内广大客户用户群体的不断扩大,客户群体中还可能存在对客户的访问级别差异,以及可进行的操作进行细分的需要。“防火墙”式的单纯过滤或屏蔽客户的访问及其仅仅能够面对来自外部网络对局域网内的入侵、病毒主动防御,并不能满足我们实际应用的全部要求达到能够监督控制内网的目的,我们更加需要对得到认可可以使用内网资源的整个用户群体进行区分,区别对待,智能化的监督和管理每个终端用户只能“照章办事”,“不可越雷池一步”。
在另外一方面,如微软视窗服务器版本的操作***,从软件角度引入了数字认证。采用了服务器自身对联入的客户终端所归属的类别以及所能访问使用的资源进行管理、监督和控制的机制。这样的数字认证以及管理分类监控机制是比较先进又切实可行的。然而单纯通过服务器实现就出现了以下的几点不足:
其一,单一服务器接入方式,因为服务器集电子认证发放审核,资源处理,运算等多角色于一身,严重增大了自身负荷,局限了局域网规模,并且使局域网的拓扑结构成为“星形”,如图2所示,如果服务器3’发生问题,将会造成局域网络的全面瘫痪。这样的集中式网络构架,会减慢局域网整体运行速度,影响局域网的稳定性以及规模化,对大型企业、高等院校及政府机关部门要求,稳定、大吞吐量的要求存在着相当的差距。
其二,如果使用了上述以服务器节点为中心的星型集中式网络,当该局域网要求对数字认证***有适当的冗余保证***稳定性和可扩展性的时候。通过添加新的服务器,往往是一种非常不必要的开销。
其三,如果是通过服务器来提供数字认证,如此的拓扑结构,不利于对局域网内每个客户终端之间的直接连接进行管理。
综上所述,现在的局域网需要一种稳定高效,投入产出比高,实用性高的设备产品及其简便易行的能够支持环型网络拓扑,切实地到达能够监控内网的功能。
发明内容
本发明的目的在于克服现有技术的缺陷而提供一种内网安全***及其实现方法,它克服了防火墙式的单纯过滤的特点,能够使内网资源的整个用户群体区别对待,并且自身负荷小,可广泛运用于多种拓扑结构的局域网络。
实现上述目的的技术方案是:
本发明之一的一种内网安全***,包括内网用户终端和被访网络终端,所述的内网用户终端发出请求访问消息给所述的被访网络终端以进行访问,其中,还包括一分别与所述的内网用户终端和被访网络终端相连的服务器,该服务器中预先存储有网络访问规则以及与该网络访问规则所对应的电子数字证书,所述的服务器首先为内网用户终端赋予一电子数字证书,当该内网用户终端访问所述的被访网络终端时,则触发数字认证事件,即所述的被访网络终端自动调用所述服务器中的网络访问规则,根据内网用户终端所携带的数字电子证书,判断其是否具有访问该被访网络终端的权限,并根据判断结果做相应的处理。
上述的内网安全***,其中,所述的服务器为小型服务器。
上述的内网安全***,其中,在判断内网用户终端是否具有访问其被访网络终端的权限时,
当内网用户终端没有携带数字证书的情况下访问将被直接拒绝;
当内网用户终端携带有效的数字证书时,被访网络终端将进一步根据网络访问规则判定内网用户终端是否有访问权限,如果没有权限,内网用户终端的访问请求将被拒绝,反之,内网用户终端和被访网络终端的通信将被建立起来。
上述的内网安全***,其中,所述的服务器将所述的内网用户终端与其所访问的被访网络终端的行为进行记录,以形成可回溯的日志。
上述的内网安全***,其中,所述的服务器以预先设定好的时间间隔对所述的内网用户终端进行记录,构成状态恢复点,在网络出现故障或者需要重新启动的时候,提供以前有效工作状态的恢复参考。
本发明之二的一种内网安全***的实现方法,其中,包括以下步骤:
首先,在一服务器中预先存储网络访问规则以及与该网络访问规则所对应的电子数字证书;
然后,服务器首先为内网用户终端赋予一电子数字证书;
最后,当该内网用户终端访问被访网络终端时,则触发数字认证事件,即所述的被访网络终端自动调用所述服务器中的网络访问规则,根据内网用户终端所携带的数字电子证书,判断其是否具有访问该被访网络终端的权限,并根据判断结果做相应的处理。
本发明的有益效果是:本发明利用数字认证嵌入式***集成实现内网信息安全问题,将高端信息数字认证技术嵌入路由网关等基本功能集成设备中,实现了植入基干网络后对内网(局域网)信息安全的保密、保护,以信息访问策略的规范与具体实施。针对现在局域网信息安全的实际需要,弥补现存设备的不足,并且进一步的提高嵌入式网络安全设备对复杂拓扑结构的局域网管理控制能力,本发明将电子数字证书授权认证技术,与硬件防火墙的嵌入式结构相结合。大大提高了安全性,并且实现区别对待。
附图说明
图1是现有技术中硬件防火墙的基本工作原理示意图;
图2是现有技术中依靠单一服务器自身管理认证功能而形成“星形”网络拓扑结构示意图;
图3是本发明之一的一种内网安全***的原理图;
图4是本发明之一的一种内网安全***的第一实施例示意图;
图5是本发明之一的一种内网安全***的第二实施例示意图。
具体实施方式
下面将结合附图对本发明做进一步说明。
请参阅图3,图中示出了本发明的一种内网安全***的其中一个客户终端的节点的原理图,包括内网用户终端1和被访网络终端2,内网用户终端1发出请求访问消息给被访网络终端2以进行访问,还包括一分别与内网用户终端1和被访网络终端2相连的服务器3,该服务器3中预先存储有网络访问规则以及与该网络访问规则所对应的电子数字证书。
服务器3首先为内网用户终端1赋予一电子数字证书,电子数字证书将成为该网络用户终端的“身份证件”在整个内网中流通,当该内网用户终端1访问被访网络终端2时,比如,访问另外一个网络用户终端,访问信息服务器中的资料,调用网络打印机等,则触发数字认证事件,即被访网络终端2自动调用服务器3中的网络访问规则,根据内网用户终端所携带的数字电子证书,判断其是否具有访问该被访网络终端的权限,并根据判断结果做相应的处理;服务器3还将内网用户终端1与其所访问的被访网络终端2的行为进行记录,以形成可回溯的日志;服务器3以预先设定好的时间间隔对内网用户终端1进行记录,构成状态恢复点,在网络出现故障或者需要重新启动的时候,提供以前有效工作状态的恢复参考。
在判断内网用户终端1是否具有访问其被访网络终端2的权限时,
当内网用户终端1没有携带数字证书的情况下访问将被直接拒绝;
当内网用户终端1携带有效的数字证书时,被访网络终端2将进一步根据网络访问规则判定内网用户终端1是否有访问权限,如果没有权限,内网用户终端1的访问请求将被拒绝,反之,内网用户终端1和被访网络终端2的通信将被建立起来。
本发明中,服务器3为小型服务器,基本参数为:
CPU:Intel奔腾4 530主频3000MHz二级缓存1MB;
内存:RAM 1024M;
电源:400W冗余电源;
网络接口:100BASE-T(RJ45)X4RS232X1;
标准1U机架结构42.7(cm)长X32.9(cm)宽X4.45(cm)高;
最大客户连接数:1024;
最大支持客户组数:256;
最大并行客户终端管理量:512。
本发明就像是服务器3给每一个内网用户终端1都根据他们的用户角色配发了一把钥匙,这把钥匙并不能打局域网上每个资源仓库的门锁,哪一把钥匙可以开哪几把锁,在什么时候才是合法的并且有开启锁的权利都是可以通过服务器3调整、控制和监督。
请参阅图4,该图是本发明的第一实施例,是一个复杂拓扑结构以及无线网络的支持示意图,图中,将服务器3接入通信链路中,通过通信链路与内网无线终端4以及以太网终端5相连,将电子数字证书赋予内网无线终端4,当内网无线终端4需要访问以太网终端5时,则被访问的以太网终端5调用服务器3中的网络访问规则,根据规则进行判断。
请参阅图5,是本发明用于校内网络的应用实施例,我们从校园网资源的终端用户中提取出(普通)学生A,班级主任B,招生办主任C这三类用户,另外对应的列出“开放的教学资料”,“学生通讯资料”以及“学生档案资料”三种网络资源。
在将服务器3引入校园网络从而管理、监督和控制校园内网的终端用户对校园内网资源的访问。首先,服务器3在配置到校园内网的物理连接上之后,管理员可以动态的配置内网资源访问策略。策略被定制好后将会被服务器3存储,并且根据访问策略,动态的为每个终端用户赋予、更新数字证书。
本发明之二的一种内网安全***的实现方法,包括以下步骤:
首先,在一服务器中预先存储网络访问规则以及与该网络访问规则所对应的电子数字证书;
然后,服务器首先为内网用户终端赋予一电子数字证书;
最后,当该内网用户终端访问被访网络终端时,则触发数字认证事件,即被访网络终端自动调用服务器中的网络访问规则,根据内网用户终端所携带的数字电子证书,判断其是否具有访问该被访网络终端的权限,并根据判断结果做相应的处理。
综上所述,本发明为企事业单位以及其他用户在建立起局域网后,能够行之有效的部署自己的网络信息安全策略。使依据不同部门业务职能合理安排网络资源,根据角色不同安全级别划分信息的访问权限,成为可能,提供了稳定可靠的产品以及相应的解决方案。针对现在企事业单位以及各个使用局域网建立起来的网上社区,提供切实可靠的安全措施与保障。维系互联健康的发展,于内部基干网络互联的过程中,在很大程度上杜绝了内网资源以及数据受到没有得到授权用户的使用和访问。在提高了内网信息的安全性的同时,也能够很好的根据既定方针,为外部网络使用内网资源调配起到了控制和监控作用。
本发明在注重网络监督控制能力的同时,提供了主动欺骗防御、入侵保护、异常监测发现阻断恶意代码攻击的功能。支持分时、分组集中策略强制管理,通过技术手段将局域网安全制度落到实处并且贯彻执行。支持多种经典电子数字证书标准生成认证计算,保证***合规接入。提供完善记录功能,保留包括被拒绝的网络访问尝试以及内网客户终端的一切行为对应时间的纪录保留上网痕迹,方便审核,补漏。支持无线局域网,简便易用,广泛适用于三大主要拓扑结构的局域网络,对星形、环型、总线型都有着同样好的支持与管理能力。
本发明集数字证书的发行、管理,认证服务器及***管理工具于一身。不但有着硬件防火墙那种嵌入式***直接控制网络访问的强大功能和快捷的访问速度也有着相交服务器直接通过数字证书管理局域网络的更加方便快捷和直接的管理能力。间距了目的性强,功能多样易于管理更加灵活支持网络复杂性等优势。可以在局域网络内灵活配置,可以对以太(或光纤等)及无线局域网络构架有着良好的支持。
以上结合附图实施例对本发明进行了详细说明,本领域中普通技术人员可根据上述说明对本发明做出种种变化例。因而,实施例中的某些细节不应构成对本发明的限定,本发明将以所附权利要求书界定的范围作为本发明的保护范围。
Claims (6)
1.一种内网安全***,包括内网用户终端和被访网络终端,所述的内网用户终端发出请求访问消息给所述的被访网络终端以进行访问,其特征在于,还包括一分别与所述的内网用户终端和被访网络终端相连的服务器,该服务器中预先存储有网络访问规则以及与该网络访问规则所对应的电子数字证书,所述的服务器首先为内网用户终端赋予一电子数字证书,当该内网用户终端访问所述的被访网络终端时,则触发数字认证事件,即所述的被访网络终端自动调用所述服务器中的网络访问规则,根据内网用户终端所携带的数字电子证书,判断其是否具有访问该被访网络终端的权限,并根据判断结果做相应的处理。
2.根据权利要求1所述的内网安全***,其特征在于,所述的服务器为小型服务器。
3.根据权利要求1所述的内网安全***,其特征在于,在判断内网用户终端是否具有访问其被访网络终端的权限时,
当内网用户终端没有携带数字证书的情况下访问将被直接拒绝;
当内网用户终端携带有效的数字证书时,被访网络终端将进一步根据网络访问规则判定内网用户终端是否有访问权限,如果没有权限,内网用户终端的访问请求将被拒绝,反之,内网用户终端和被访网络终端的通信将被建立起来。
4.根据权利要求1所述的内网安全***,其特征在于,所述的服务器将所述的内网用户终端与其所访问的被访网络终端的行为进行记录,以形成可回溯的日志。
5.根据权利要求1所述的内网安全***,其特征在于,所述的服务器以预先设定好的时间间隔对所述的内网用户终端进行记录,构成状态恢复点,在网络出现故障或者需要重新启动的时候,提供以前有效工作状态的恢复参考。
6.一种内网安全***的实现方法,其特征在于,包括以下步骤:
首先,在一服务器中预先存储网络访问规则以及与该网络访问规则所对应的电子数字证书;
然后,服务器首先为内网用户终端赋予一电子数字证书;
最后,当该内网用户终端访问被访网络终端时,则触发数字认证事件,即所述的被访网络终端自动调用所述服务器中的网络访问规则,根据内网用户终端所携带的数字电子证书,判断其是否具有访问该被访网络终端的权限,并根据判断结果做相应的处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010105787496A CN102546522A (zh) | 2010-12-08 | 2010-12-08 | 一种内网安全***及其实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010105787496A CN102546522A (zh) | 2010-12-08 | 2010-12-08 | 一种内网安全***及其实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102546522A true CN102546522A (zh) | 2012-07-04 |
Family
ID=46352496
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010105787496A Pending CN102546522A (zh) | 2010-12-08 | 2010-12-08 | 一种内网安全***及其实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102546522A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103166977A (zh) * | 2013-04-16 | 2013-06-19 | 福建伊时代信息科技股份有限公司 | 一种网站访问的方法、终端、服务器和*** |
CN103841050A (zh) * | 2012-11-23 | 2014-06-04 | 中广核(北京)仿真技术有限公司 | 一种核电站模拟机的局域网准入控制方法和*** |
CN104869142A (zh) * | 2014-02-26 | 2015-08-26 | 苏州海博智能***有限公司 | 一种基于社交平台的链接分享方法、***及装置 |
CN107111697A (zh) * | 2014-10-15 | 2017-08-29 | 艾拉物联公司 | 对于所连接的消费者设备的基于角色的访问控制 |
CN111416815A (zh) * | 2020-03-17 | 2020-07-14 | 深圳市信锐网科技术有限公司 | 报文处理方法、电子设备和存储介质 |
CN111600718A (zh) * | 2020-05-13 | 2020-08-28 | 广东电网有限责任公司电力科学研究院 | 一种数字证书离线认证***和方法 |
-
2010
- 2010-12-08 CN CN2010105787496A patent/CN102546522A/zh active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103841050A (zh) * | 2012-11-23 | 2014-06-04 | 中广核(北京)仿真技术有限公司 | 一种核电站模拟机的局域网准入控制方法和*** |
CN103841050B (zh) * | 2012-11-23 | 2017-03-08 | 中广核(北京)仿真技术有限公司 | 一种核电站模拟机的局域网准入控制方法和*** |
CN103166977A (zh) * | 2013-04-16 | 2013-06-19 | 福建伊时代信息科技股份有限公司 | 一种网站访问的方法、终端、服务器和*** |
CN104869142A (zh) * | 2014-02-26 | 2015-08-26 | 苏州海博智能***有限公司 | 一种基于社交平台的链接分享方法、***及装置 |
CN104869142B (zh) * | 2014-02-26 | 2021-08-06 | 苏州海博智能***有限公司 | 一种基于社交平台的链接分享方法、***及装置 |
CN107111697A (zh) * | 2014-10-15 | 2017-08-29 | 艾拉物联公司 | 对于所连接的消费者设备的基于角色的访问控制 |
CN107111697B (zh) * | 2014-10-15 | 2021-01-05 | 艾拉物联网络(深圳)有限公司 | 对于所连接的消费者设备的基于角色的访问控制 |
CN111416815A (zh) * | 2020-03-17 | 2020-07-14 | 深圳市信锐网科技术有限公司 | 报文处理方法、电子设备和存储介质 |
CN111416815B (zh) * | 2020-03-17 | 2022-06-17 | 深圳市信锐网科技术有限公司 | 报文处理方法、电子设备和存储介质 |
CN111600718A (zh) * | 2020-05-13 | 2020-08-28 | 广东电网有限责任公司电力科学研究院 | 一种数字证书离线认证***和方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zolanvari et al. | Machine learning-based network vulnerability analysis of industrial Internet of Things | |
William et al. | Blockchain technology for data privacy using contract mechanism for 5G networks | |
AU2004248605B2 (en) | Event monitoring and management | |
US7213265B2 (en) | Real time active network compartmentalization | |
CN105430000A (zh) | 云计算安全管理*** | |
CN101675423B (zh) | 在外部设备与主机设备间提供数据和设备安全的***和方法 | |
Guha et al. | Case-based agents for packet-level intrusion detection in ad hoc networks | |
US20190132346A1 (en) | Distributed Data Surveillance in a Community Capture Environment | |
CN101802837A (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的***和方法 | |
CN101496025A (zh) | 用于向移动设备提供网络安全的***和方法 | |
CN102546522A (zh) | 一种内网安全***及其实现方法 | |
Hodo et al. | Anomaly detection for simulated iec-60870-5-104 trafiic | |
Iyengar et al. | A multilevel thrust filtration defending mechanism against DDoS attacks in cloud computing environment | |
CN101594360A (zh) | 局域网***和维护局域网信息安全的方法 | |
Rekik et al. | A cyber-physical threat analysis for microgrids | |
Chu et al. | ALERT-ID: analyze logs of the network element in real time for intrusion detection | |
Jena et al. | A Pragmatic Analysis of Security Concerns in Cloud, Fog, and Edge Environment | |
Zardari et al. | IoT–assets taxonomy, threats assessment and potential solutions | |
Benjamin et al. | Protecting IT systems from cyber crime | |
Moghariya et al. | Blockchain-Enabled IoT (B-IoT): Overview, Security, Scalability & Challenges | |
Vokorokos et al. | Security of distributed intrusion detection system based on multisensor fusion | |
Saeed et al. | Machine learning based intrusion detection system in cloud environment | |
CN201910816U (zh) | 一种内网安全*** | |
Chiu et al. | BlockFW--Towards Blockchain-based Rule-Sharing Firewall | |
Malani et al. | Intrusion detection systems for distributed environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120704 |