專利名稱：網絡連接／隔離的控制方法
技術領域：
本發(fā)明涉及網絡安全技術，更具體地說，涉及一種網絡連接/隔離的控制方法。
如

圖1所示為另一種網絡隔離方法結構示意圖，從圖中可以看出，每一個計算機終端內至少有兩個硬盤或兩個硬分區(qū)盤，分別適用于內外網，網卡要經隔離卡后才能連接到內外網HUB(網絡集線器)，由網卡引出的八芯線分為兩組四芯線，其中一組接內網HUB，另一組接外網HUB，通過發(fā)開關信號給隔離卡從而選擇連接內網或外網中的一個。這種方法的缺點在于1)每一臺計算機終端需要連接到兩個HUB端口，而工作時只占用其中一個HUB端口，另一個HUB端口則為空閉，資源浪費較大；2)網卡信號要經過隔離卡才能連接到HUB，存在嚴重的信號損失，影響網絡通信效果；3)一些場所內的布的網線為四芯線，無法滿足這種方法中需要的兩組四芯線。
本發(fā)明的技術方案在于，一種網絡連接/隔離的控制方法，其特征在于，包括以下步驟由計算機終端選擇需要連接的網絡；向設置在網絡交換式集線器(Switch HUB)上的控制模塊發(fā)送網絡連接控制信號；所述控制模塊根據所述網絡連接控制信號，通過虛擬網參數設置，將與所述計算機終端連接的所述網絡交換式集線器端口動態(tài)分配到與所選網絡對應的虛擬網，實現與計算機終端屬同一虛擬網的網絡的連接，而保持與不屬同一虛擬網的網絡的隔離。
其中，所述網絡交換式集線器支持標準VLAN(Virtual LAN，即虛擬局域網)協議，設置在所述網絡交換式集線器上的隔離控制模塊可根據來自計算機終端的所述網絡連接控制信號，通過虛擬網參數的設置，將所述網絡交換式集線器動態(tài)劃分成多個相互獨立的虛擬網，其中一個虛擬網用于連接所述控制模塊并傳輸內部控制命令，其余虛擬網可分別通過其公共端口接到不同的網絡，用戶計算機終端連接到所述網絡交換式集線器的某一端口，并被分配到某一個虛擬網。
在本發(fā)明的方法中，所述網絡連接控制信號包括網絡請求信號和電子認證證書，當所述控制模塊對所述認證證書進行識別分析并判斷為有效時，根據所述網絡請求信號改變所述虛擬網參數表，將所述端口動態(tài)分配到與用戶選擇的網絡對應的虛擬網。其中，所述計算機終端發(fā)送到所述控制模塊的認證證書為一次性動態(tài)認證證書，所述控制模塊在判斷所述認證證書為合法后，會向所述計算機終端發(fā)回一個新的認證證書以供其下次使用。
在本發(fā)明的方法中，還包括以下定時監(jiān)控步驟所述控制模塊定時監(jiān)控所述計算機終端的網絡連接狀態(tài)，當檢測到所述述計算機終端的網絡連接狀態(tài)改變時，將所述端口與當前連接的虛擬網斷開。其具體實現方式包括所述計算機終端定時向所述控制模塊發(fā)送監(jiān)控特征碼；當未定時收到由所述計算機終端發(fā)來的特征碼、或所收到的特征碼不合法時，所述控制模塊通過修改所述網絡交換式集線器的虛擬網參數表，將所述端口與當前連接的虛擬網斷開。其中，為保證定時監(jiān)控的可靠性，同一個計算機終端發(fā)送的監(jiān)控特征碼每次按同一規(guī)則變化，不同的計算機終端發(fā)送的定時監(jiān)控特征碼每次按各自不同的規(guī)則變化；所述定時發(fā)送監(jiān)控特征碼的時間間隔可設為50-300毫秒。
在本發(fā)明的方法中，本發(fā)明提供的網絡連接與隔離的控制方法的一種常用模式，是將所述網絡交換式集線器動態(tài)劃分為分別用于連接內網、外網及控制模塊的三個虛擬網，其中內網虛擬網通過其公共端口連接到內部局域網，外網虛擬網通過其公共端口連接到外部互聯網。
實施本發(fā)明的網絡連接與隔離的控制方法，可克服現有技術的上述缺陷，利用較少的成本和資源，實現網絡與網絡之間的隔離，以保障計算機數據的安全。其優(yōu)點在于每個計算機終端只占用一個網絡交換式集線器中的一個端口，減少對資源的占用；計算機終端的網卡直接連接到網絡交換式集線器，減少了信號的損失；只需要四芯網線就可以實現，可應用于四芯布線場所。
步驟201、用戶通過計算機終端4發(fā)出網絡請求信號；步驟202、控制模塊根據收到的網絡請求信號，改變HBU1的VLAN參數配置，計算機終端連接到的HUB端口被動態(tài)分配到與用戶請求網絡對應的虛擬網；步驟203、用戶計算機終端與其請求連接的網絡連通。
本發(fā)明的方法可實施于一個操作系統(tǒng)的計算機終端，也可實施于裝有兩套操作系統(tǒng)的計算機終端，其區(qū)別在于發(fā)出網絡請求信號的方式不同，前者通過不同的網絡控制命令來完成，后者通過選擇適用于不同網絡的操作系統(tǒng)啟動計算機終端來完成。
下面的實施例為計算機終端中有分別適用于內外網的兩個操作系統(tǒng)時的情況，從圖3中可以看出，為了實現內外網之間的隔離，利用標準VLAN(Virtual LAN，即虛擬局域網)協議，將圖中的HUB1動態(tài)劃分成至少三個相互獨立且相互隔離的虛擬網。圖3中的HUB有101至112共12個端口，各端口由虛擬網參數表來決定其應該分配到哪一個虛擬網，所謂動態(tài)劃分，是指某一個端口屬于哪一個虛擬網不是一成不變的，可通過修改虛擬網參數表改變其所屬的虛擬網。
實施例中將所述HUB1動態(tài)劃分為分別用于連接內網、外網及控制模塊的三個相互獨立且相互隔離的虛擬網，其中，內網虛擬網通過其公共端口105連接到內部局域網；外網虛擬網通過其公共端口106連接到外部互聯網；控制模塊虛擬網通過的其公共端口110連接到一個控制模塊2。圖3中三個虛線框所示為某一時刻的動態(tài)虛擬網劃分情況，此時端口101-105屬于內網虛擬網；端口106-109屬于外網虛擬網；端口112和110屬于控制虛擬網。
本發(fā)明中的控制模塊2用于實現動態(tài)認證和定時監(jiān)控功能，可根據由計算機終端發(fā)來的網絡請求信號通過修改虛擬網參數表來調整用于連接計算機終端的各端口所屬的虛擬網?？刂颇K2可設在HUB1的內部，也可以外置或鑲嵌。
使用前需要預設各個計算機終端的網絡權限，即設定某一計算機終端只可登錄內網、或只可登錄外網、或者既可登錄內網也可登錄外網。如果某一計算機終端既可登錄內網也可登錄外網，則需要內外網之間的安全隔離，從圖3中可以看出，HUB1的其余端口分別連接到多個計算機終端，以連接到HUB 1的端口112上計算機終端3為例，網線由端口112連接到該計算機終端3的網卡31，再接到主板32，其中主板32連接有兩個硬盤33、34(也可以是同一個硬盤中的兩個分區(qū))。在這兩個硬盤33、34中裝有兩個分別適用于內網和外網的操作系統(tǒng)，這兩個操作系統(tǒng)均可單獨啟動，獨立工作。
在反映圖3示出的實施例在選擇連接外網時的工作流程的圖中5中，在步驟301，計算機終端3開機；在步驟302，用戶選擇適用于外網的操作系統(tǒng)；在步驟303，計算機終端3啟動外網操作系統(tǒng)；在步驟304，計算機終端3向控制模塊2發(fā)送網絡請求信號并發(fā)送電子認證證書，如圖3所示，此時該終端3與控制模塊2之間通訊，兩者屬于同一個虛擬網；在步驟305中，控制模塊2判斷是否收到合法的認證證書，如結果為是則執(zhí)行步驟307，否則執(zhí)行步驟306；在步驟306中，拒絕執(zhí)行網絡分配請求；在步驟307中，控制模塊2向計算機終端3發(fā)回一個新的認證證書以供其下次啟動時使用，并根據由計算機終端3發(fā)來的網絡請求信號，修改虛擬網參數表，將計算機終端3所連接的端口112分配到外網虛擬網，如圖4所示為將計算機終端3分配到外網時的情況；在步驟308中，計算機終端與外網連接；在步驟309中，計算機終端每隔100毫秒向控制模塊2發(fā)送每次按同一算法變化的定時監(jiān)控特征碼；在步驟310中，控制模塊2判斷是否定時收到由計算機終端3發(fā)來的特征碼、并判斷所收到的特征碼是否合法，如結果為否則執(zhí)行步驟311、否則返回步驟309；在步驟311中，控制模塊2修改虛擬網參數表，端口112不再屬于外網，計算機終端3與外網之間的連接被斷開。
其中，計算機終端3發(fā)送到控制模塊2的認證證書為一次性動態(tài)認證證書，所謂一次性，是指控制模塊2在判斷所收到的認證證書為合法后，會向計算機終端3發(fā)回一個新的認證證書以供其下次啟動時使用，每一份證書都是自動生成并且只能用一次。
為保證定時監(jiān)控的可靠性，同一個計算機終端發(fā)送的監(jiān)控特征碼每次按同一規(guī)則(算法、參數)變化，不同的計算機終端發(fā)送的定時監(jiān)控特征碼每次按各自不同的規(guī)則變化。定時發(fā)送的時間間隔為50-300毫秒。本實施例中定時發(fā)送的時間間隔設定為100毫秒。這樣可以防止物理方法的破壞，例如A終端只能登錄內網，B終端既可登錄內網也可登錄外網，現假設用戶啟動了A終端、并同時啟動B終端的外網操作系統(tǒng)，如果無定時監(jiān)控，則用戶可將B終端的網線與A終端的網線互換，使A終端可登錄外網。而本發(fā)明的方法中，每100毫秒即檢測一次特征碼，如果不合法則自動切斷終端與當前網絡的連接，手工交換網線的速度是不可能快到小于100毫秒的，所以可達到安全防范的目的。
在按照本發(fā)明提供的網絡連接與隔離的控制方法中，為增強安全性和可靠性，通過對所述控制模塊不設IP地址、不使用標準協議等方法，使他人不能用常規(guī)方法或現有網絡協議訪問所述控制模塊。
本發(fā)明的方法并不限于上述實施例，還可在本發(fā)明的范圍內作出多種變更和修改，通過參數設置將網絡交換機或其它網絡連接設備劃分為多個相互獨立的網段，而各個網段之間不能進行數據傳輸。
權利要求
1.一種網絡連接/隔離的控制方法，其特征在于，包括以下步驟由計算機終端選擇需要連接的網絡；向設置在網絡交換式集線器上的控制模塊發(fā)送網絡連接控制信號；所述控制模塊根據所述網絡連接控制信號，通過虛擬網參數設置，將與所述計算機終端連接的所述網絡交換式集線器端口動態(tài)分配到與所選網絡對應的虛擬網，實現與計算機終端屬同一虛擬網的網絡的連接，而保持與不屬同一虛擬網的網絡的隔離。
2.按照權利要求1所述方法，其特征在于，所述網絡交換式集線器支持VLAN協議，設置在所述網絡交換式集線器上的隔離控制模塊可根據來所述網絡連接控制信號，通過虛擬網參數的設置，將所述網絡交換式集線器動態(tài)劃分成多個相互獨立的虛擬網，其中一個虛擬網用于連接所述控制模塊并傳輸內部控制命令，其余虛擬網可分別通過其公共端口接到不同的網絡，用戶計算機終端連接到所述網絡交換式集線器的某一端口，并被分配到某一個虛擬網。
3.根據權利要求2所述方法，其特征在于，所述網絡連接控制信號包括網絡請求信號和電子認證證書，當所述控制模塊對所述認證證書進行識別分析并判斷為有效時，根據所述網絡請求信號改變所述虛擬網參數表，將所述端口動態(tài)分配到與用戶選擇的網絡對應的虛擬網。
4.根據權利要求3所述方法，其特征在于，所述計算機終端發(fā)送到所述控制模塊的認證證書為一次性動態(tài)認證證書，所述控制模塊在判斷所述認證證書為合法后，會向所述計算機終端發(fā)回一個新的認證證書以供其下次使用。
5.根據權利要求4所述方法，其特征在于，所述證書可以包含在內置或外置的存儲設備中。
6.根據權利要求1所述方法，其特征在于，還包括以下定時監(jiān)控的步驟所述控制模塊定時監(jiān)控所述計算機終端的網絡連接狀態(tài)，當檢測到所述述計算機終端的網絡連接狀態(tài)改變時，將所述端口與其當前連接的虛擬網斷開。
7.根據權利要求6所述方法，其特征在于，所述定時監(jiān)控包括以下步驟所述計算機終端定時向所述控制模塊發(fā)送監(jiān)控特征碼；當未定時收到由所述計算機終端發(fā)來的特征碼、或所收到的特征碼不合法時，所述控制模塊通過修改所述網絡交換式集線器的虛擬網參數表，將所述端口與當前連接的虛擬網斷開。
8.根據權利要求7所述的方法，其特征在于，同一計算機終端發(fā)送的監(jiān)控特征碼每次按同一規(guī)則變化，不同的計算機終端發(fā)送的定時監(jiān)控特征碼每次按各自不同的規(guī)則變化。
9.根據權利要求7所述的方法，其特征在于，所述定時發(fā)送監(jiān)控特征碼的時間間隔為50-300毫秒。
10.根據權利要求1-9中任一項所述方法，其特征在于，所述網絡交換式集線器動態(tài)劃分為分別用于連接內網、外網及控制模塊的三個虛擬網，其中，所述與內網對應的虛擬網通過其公共端口連接到內部局域網，所述與外網對應的虛擬網通過其公共端口連接到外部互聯網。
全文摘要
本發(fā)明涉及網絡安全技術，尤其涉及一種網絡連接與隔離的控制方法，在支持標準VLAN協議的網絡交換式集線器上增加一個可將其動態(tài)劃分成多個相互獨立的虛擬網的隔離控制模塊，其中一個虛擬網連接所述控制模塊，其余虛擬網可分別通過其公共端口接到不同的網絡，用戶計算機終端連接到所述網絡交換式集線器的某一端口，控制模塊根據計算機終端發(fā)來的網絡連接控制信號，將與所述計算機終端連接的所述端口動態(tài)分配到與用戶選擇的網絡對應的虛擬網。在計算機終端與控制模塊之間可通過電子認證證書進行動態(tài)認證，正常工作時兩者之間的還可進行動態(tài)定時監(jiān)控，實現網絡與網絡之間的安全隔離。
文檔編號H04L29/06GK1400540SQ0112770
公開日2003年3月5日 申請日期2001年8月1日 優(yōu)先權日2001年8月1日
發(fā)明者蘇毅 申請人:蘇毅