專利名稱:一種計算機終端多網接入的安全隔離方法
技術領域:
本發明涉及一種計算機網絡控制系統,尤其是一種計算機終端多網接入的安全隔離方法。
背景技術:
同一個計算機終端分時接入國際互聯網(Internet)、保密系統專用網絡或其它小型局域網等多個網絡系統時,多個不同的網絡信息經由終端處理過程必須符合國家《計算機信息系統國際聯網保密管理規定》中“涉及國家秘密的計算機信息系統,不得直接或間接地與國際互聯網或其它公共信息網絡相連接,必須實行物理隔離”的安全管理要求;同時, 符合公安部對國家公安系統專網接入終端要求網絡接入設備達到物理層隔離和強制性監管指標。目前解決計算機終端多用戶網絡環境接入的隔離方法很多,早期涉密單位就是用不同的多臺電腦終端,禁止終端網絡接入的相互串接,實現接入設備的物理層隔離。其次,采用網絡隔離卡專用設備分時復用技術,將同一臺主機的一個網卡擴展出多個用戶網絡接入端口,分時接入各自聯通的網絡;其技術實現在不同網絡的接入切換過程中,用戶需要手動操控一個物理網閘開關選擇器來分時控制(接通或關閉)隔離部件。這種隔離的共性技術是通過受控開關在時域上禁止或開啟受控隔離部件的工作狀態實現的,保障內外網切換過程的隔離部件有序對應和通道隔離。一般的控制實體是切換器,控制對象是硬盤存儲器,在切換過程系統重新啟動,屬于時分復用。成本高,操作繁瑣,安全性和可靠性較差。
發明內容
本發明的目的是要提供一種成本低,操作方便,安全性和可靠性好的計算機終端多網接入的安全隔離方法。本發明是這樣實現的一種計算機終端多網接入的安全隔離方法,其特征在于包括外部隔離、通道隔離、物理隔離分區、空間隔離、身份認證,其具體方法如下A.外部網絡用不同連線和不同的網卡鏈接到主機設備,依據外部隔離網絡信息經由終端處理過程隔離目標部件之間信息流通I/o內在邏輯線路圖的運行結構實體,采用OSI網絡模型的物理層隔離和數據鏈路層隔離;B.在主機系統運行過程中,共享平臺分層對隔離的不同的網絡接入設備的在時域上執行設備通道開關控制,實現通道隔離;同一臺計算機終端擁有多個不同的網絡接入設備通道,在一個時間域內共享平臺只有一個網絡接入設備-網絡通道在工作,其余禁用;C.應用嵌入式系統獨立資源,在硬盤內部實現多個物理級隔離分區,每個分區構建各自的網絡連接操作和安全配置系統;每個隔離分區獨立實現用戶OS分區安裝,安裝過程為各自“邏輯盤”再次邏輯分區和分別引導OS,引進嵌入式系統對硬盤存儲空間執行搶先的管理與控制,嵌入式模塊將物理硬盤分割成多個引導分區,確保每次只可以選擇激活其中一個分區可以引導系統,當前引導區的OS用戶不可以訪問其它隔離分區;
D.共享平臺對上述隔離設備、隔離通道和隔離分區的功能實體,依據設計功能結構路線圖,用通訊協議進行有序配對組合而實現智能化綁定,在各自時域上運行實體空間隔離;根據用戶定義,初始系統從匹配表中搜索當前安全網絡設備與網絡通道所對應的硬盤隔離分區(通道)信息,建立目標地址映射,使用戶選擇的隔離通道標識和硬盤相應的隔離分區標識智能化綁定;E.專網系統接入用戶強制身份認證。本發明從終端系統體系結構宏觀角度,構建主機系統加工處理網絡信息所涉及運算部件和數據交換通道等內在邏輯線路結構體,并分別構建分層分級管理控制單元子系統,從設備、通道和通訊協議立體的層面,確保分時運行中的結構體相互隔離。采用底層硬件設備和抽象層邏輯部件的開關控制技術,分別應用物理設備層嵌入式系統獨立資源、主機系統資源分層分級管理和多級部件的結構體聯動設計與共享平臺設備通道分時通道開關隔離控制。核心技術與應用創新點在(I)多網絡接入設備的物理層隔離和共享平臺分 時對網絡接入設備I/o通道物理層設備開關隔離控制;(2)共享平臺對邏輯功能結構體協議層聯動設計。(3)專網系統用戶接入過程強制身份認證,謹防誤操作。在時域隔離基礎上,對共享平臺處理部件可能的信息夾帶或I/O通道滲透部件實現物理空間隔離。本發明是圍繞主機系統平臺功能部件的開關控制技術,直接實現OSI網絡模型的物理層隔離和數據鏈路層隔離。OSI網絡模型,如圖I所示。其隔離的安全性、可靠性和隔離卡一級在主機外層的OSI網絡層隔離解決方法相比更高級、更徹底。真正符合公安系統的專網接入終端的物理層網絡安全隔離級別要求和強制性網警監管系統要求。同時,和網絡隔離卡解決方案比較并沒有帶來產品的成本和生產設備費用成本增加。技術方法首先,外部網絡用不同連線和不同的網卡鏈接到主機設備,實現網絡的接入設備物理層和數據鏈路層隔離;其次,在主機系統運行過程中,共享平臺分層對隔離的不同的網絡接入設備的在時域上執行設備通道開關控制,實現通道隔離;第三、應用嵌入式系統獨立資源,在硬盤內部實現多個物理級隔離分區,并且每個分區可以構建各自的網絡連接操作和安全配置系統。第四、共享平臺對上述隔離設備、隔離通道和隔離分區等功能實體,依據設計功能結構路線圖,用通訊協議進行有序配對組合而實現智能化綁定,確保在各自時域上運行實體空間隔離。第五、專網系統接入用戶強制身份認證,謹防誤操作。依據外部隔離網絡信息經由終端處理過程隔離目標部件之間信息流通I/O內在邏輯線路圖的運行結構實體,從設備、通道和通訊協議立體的層面隔離。實現同一臺計算機終端擁有多個不同的網絡接入設備通道,必須確保在一個時間域內共享平臺只有一個網絡接入設備-網絡通道在工作,其余徹底禁用,防止信息夾帶泄露;一個物理層設備只能接入一個網絡,相互之間禁止人為串接。實現接入端在專網和互聯網之間干凈隔離,同一臺機器能夠安全接入兩個或多個不同的隔離網絡,在保密隔離網絡環境下,解決一臺安全電腦“一臺頂三臺”功效。隔離部件與多級隔離部件邏輯結構體聯動與分時隔離的拓撲組合關系,如圖2所示。公網和專網兩個網絡物理隔離環境的關鍵部件隔離與多級隔離關系擴展所構建的一分為二的隔離環境構建。所謂物理層隔離,如圖I所示,公網和專網在網絡接入物理連線上是完全隔離的,且沒有任何公用的存儲信息,包括主機的動態內存和外部輔助存儲設備信息。所述的隔離方法既可以用于實現雙網隔離,也適用于多網隔離。專利文稿在描述中,為清晰透明起見,以雙網隔離為主。本發明實現步驟I.計算機開機,初始化系統給出用戶選擇進入各自不同的隔離網絡標識,并給用戶提供選擇的操作權限和操作界面UI,其選擇如外網、保密網或小型專用內網等。2.用戶選擇的信息,是下一步的輸入;初始化系統據此確定主機系統要為當前用戶開放或關閉的網絡設備及其負載通道。復雜的底層平臺硬件設備開關控制技術與抽象層 系統平臺的接管控制,要求初始化系統確保用戶所選擇的每種網絡接入工作模式下,在分時系統的同一時間域內,例如MS windows2000/XP、Windows Vista和Linux等主流操作系統環境中,系統只能有一個網絡設備及其通道正常運行,其他網絡接入設備處于禁用狀態。生產制成實現用戶網絡接入設備(網卡)與網絡通道的組合綁定,初始化系統完成底層設備通道隔離,間接實現用戶設備與底層設備的網絡接入的設備隔離關系。3.硬盤安全隔離分區嵌入式模塊資源的物理層隔離分區技術是在同一個物理硬盤上,應用嵌入模塊的獨立運算資源,分時為主機提供一個物理MBR技術實現;而且,每個隔離分區獨立實現用戶
OS分區安裝、安裝過程用戶可以為各自“邏輯盤”再次邏輯分區和分別引導OS等操作,就和普通物理硬盤給主機系統提供的一個物理MBR硬盤實體具有一樣的用戶特性。本質上,就是引進嵌入式系統對硬盤存儲空間執行搶先的管理與控制,結合主機系統對已經約定的存儲空間控制實體的識別與控制管理而言,就是分級管理(兩級)。同樣,嵌入式模塊將物理硬盤分割成多個引導分區,確保每次只可以選擇激活其中一個分區可以引導系統。嵌入式微系統依據用戶對硬盤初始配置和當前默認分區信息,進入活動引導區。嵌入式模塊應用硬盤存儲系統對存儲扇區空間尋址特性和嵌入式獨立運算資源的先天優勢,自主和用戶交互,接管硬盤存儲資源與存取控制權,為用戶提供了將海量存儲器劃分為三個隔離分區,并且對每個隔離用戶區起始空間做標記;同理,在主機系統還未接管控制硬盤前,嵌入式系統根據用戶的狀態和參數設置,強制控制物理硬盤的磁頭偏置,置其它兩個分區為負磁道;即使在當前主機資源運行的用戶OS下奈何不了其余空間。就是當前引導區的OS用戶不可以訪問其它隔離分區,確保隔離信息的安全性,如圖4所示。4.網絡設備通道和硬盤嵌入式系統配置的分區表信息在系統初始化過程實現智能配對的一對一綁定關系,確保在后續抽象層系統裝載與設備初始化過程的網絡數據鏈路層隔離。方法是在用戶系統初始化過程,根據用戶定義,初始系統從匹配表中搜索要當前安全網絡設備與網絡通道所對應的硬盤隔離分區(通道)信息,建立目標地址映射。使用戶選擇的隔離通道標識和硬盤相應的隔離分區標識智能化綁定,確保不同用戶的隔離存儲分區的系統初始化和運行環境達到物理層隔離,增強易用性和減少用戶誤操作。在分割多個引導區的基礎上,將每個引導分區與外部隔離卡的網絡端口綁定,形成內外網絡與硬盤引導區一一對應的隔離關系。形成網絡環境下隔離的、安全的多用戶環境。每個隔離分區與隔離網卡一一對應,網卡端口與網絡UTP雙絞線一一對應,實現引導系統與分時并行多網絡接入。三個啟動區分別對應用戶三個不同的網絡,達到單硬盤三網隔離的目的。并且,三個分區之間隔離而不可相互訪問,在確保用戶數據安全的前提下,提高了計算機資源配置和利用效率。用戶分區中可以建立共享分區,對于設置了共享分區的用戶,必須遵守數據單向隔離的屬性與安全員安全規則設置、管理。5.機器部件級隔離通道標識,依據通道標簽標識,標識出網絡接入設備-網卡標識;機器出廠分別在主機的相關設備上貼標簽,標明各自的用途,如外網、內網。在生產制造過程依據主板部件的標識對整機生產中擴展的網卡設備,在出廠前,在網卡的RJ-45雙絞線鏈接接口處再次貼有醒目的圖文標記,清楚地標明網卡給用戶接入 網絡的用途。6.用戶根據機器出廠時網卡用途標識,分別接入各自網絡。出廠機器為用戶定義的安全網絡連接關系,用戶只要根據標記連接即可。終端用戶依據主機的網卡用途標識和單位的安全管理規程,講不同的網絡分別連接到機器的不同網卡。隔離方法基于分時復用的模式,在用戶選擇不同網絡接入的切換過程,安全隔離機制的系統設計要求強制主機重新啟動,確保計算機系統動態存儲器中當前的敏感數據在多個網絡之間切換時不會被重用,避免內存中信息被嗅探攻擊。綜上所述,本發明專利的核心技術在于應用主機資源的設備通道開關控制與分層分級管理;其次,是不通層次的配套隔離部件(如硬盤嵌入式資源的物理級隔離分區)在主機系統資源下運行結構體的多級聯動設計與分時隔離的基本方法;第三、當前用戶進程入網身份認證。本發明是一種成本低,操作方便,安全性和可靠性好的計算機終端多網接入的安全隔離方法。
圖I是OSI七層網絡模型方框圖;圖2是多級部件功能結構體與分時隔離拓撲組合關系示意圖;圖3是隔離分區與主機通訊示意圖;圖4是隔離區、網卡、隔離通道網絡的智能綁定關系示意圖;圖5是系統初始化流程方框具體實施例方式下面結合附圖和典型實施例對本發明作進一步說明。本發明是一種計算機終端多網接入的安全隔離方法,包括外部隔離、通道隔離、物理隔離分區、空間隔離、身份認證,其具體方法如下A.外部網絡用不同連線和不同的網卡鏈接到主機設備,依據外部隔離網絡信息經由終端處理過程隔離目標部件之間信息流通I/o內在邏輯線路圖的運行結構實體,采用OSI網絡模型的物理層隔離和數據鏈路層隔離;如圖I所示。B.在主機系統運行過程中,共享平臺分層對隔離的不同的網絡接入設備的在時域上執行設備通道開關控制,實現通道隔離;同一臺計算機終端擁有多個不同的網絡接入設備通道,在一個時間域內共享平臺只有一個網絡接入設備-網絡通道在工作,其余禁用;隔離部件與多級隔離部件邏輯結構體聯動與分時隔離的拓撲組合關系,如圖2所示。C.應用嵌入式系統獨立資源,在硬盤內部實現多個物理級隔離分區,每個分區構建各自的網絡連接操作和安全配置系統;每個隔離分區獨立實現用戶OS分區安裝,安裝過程為各自“邏輯盤”再次邏輯分區和分別引導OS,引進嵌入式系統對硬盤存儲空間執行搶先的管理與控制,嵌入式模塊將物理硬盤分割成多個引導分區,確保每次只可以選擇激活其中一個分區可以引導系統,當前引導區的OS用戶不可以訪問其它隔離分區,確保隔離信息的安全性,如圖4所示。D.共享平臺對上述隔離設備、隔離通道和隔離分區的功能實體,依據設計功能結構路線圖,用通訊協議進行有序配對組合而實現智能化綁定,在各自時域上運行實體空間隔離;根據用戶定義,初始系統從匹配表中搜索當前安全網絡設備與網絡通道所對應的硬盤隔離分區(通道)信息,建立目標地址映射,使用戶選擇的隔離通道標識和硬盤相應的隔 離分區標識智能化綁定;隔離區、網卡、隔離通道網絡的智能綁定關系如圖5所示。E.專網系統接入用戶強制身份認證。
權利要求
1.一種計算機終端多網接入的安全隔離方法,其特征在于包括外部隔離、通道隔離、物理隔離分區、空間隔離、身份認證,其具體方法如下 A.外部網絡用不同連線和不同的網卡鏈接到主機設備,依據外部隔離網絡信息經由終端處理過程隔離目標部件之間信息流通I/O內在邏輯線路圖的運行結構實體,采用OSI網絡模型的物理層隔離和數據鏈路層隔離; B.在主機系統運行過程中,共享平臺分層對隔離的不同的網絡接入設備的在時域上執行設備通道開關控制,實現通道隔離;同一臺計算機終端擁有多個不同的網絡接入設備通道,在一個時間域內共享平臺只有一個網絡接入設備-網絡通道在工作,其余禁用; C.應用嵌入式系統獨立資源,在硬盤內部實現多個物理級隔離分區,每個分區構建各自的網絡連接操作和安全配置系統;每個隔離分區獨立實現用戶OS分區安裝,安裝過程為各自“邏輯盤”再次邏輯分區和分別引導OS,引進嵌入式系統對硬盤存儲空間執行搶先的管理與控制,嵌入式模塊將物理硬盤分割成多個引導分區,確保每次只可以選擇激活其中一個分區可以引導系統,當前引導區的OS用戶不可以訪問其它隔離分區; D.共享平臺對上述隔離設備、隔離通道和隔離分區的功能實體,依據設計功能結構路線圖,用通訊協議進行有序配對組合而實現智能化綁定,在各自時域上運行實體空間隔離;根據用戶定義,初始系統從匹配表中搜索當前安全網絡設備與網絡通道所對應的硬盤隔離分區(通道)信息,建立目標地址映射,使用戶選擇的隔離通道標識和硬盤相應的隔離分區標識智能化綁定; E.專網系統接入用戶強制身份認證。
全文摘要
本發明的目的是要提供一種成本低,操作方便,安全性和可靠性好的計算機終端多網接入的安全隔離方法,其方法如下A.外部網絡用不同連線和不同的網卡鏈接到主機設備,采用OSI網絡模型的物理層隔離和數據鏈路層隔離;B.共享平臺分層對隔離的不同的網絡接入設備的在時域上執行設備通道開關控制,實現通道隔離;C.應用嵌入式系統獨立資源,在硬盤內部實現多個物理級隔離分區,每個分區構建各自的網絡連接操作和安全配置系統;D.共享平臺對上述隔離設備、隔離通道和隔離分區的功能實體,依據設計功能結構路線圖,用通訊協議進行有序配對組合而實現智能化綁定,在各自時域上運行實體空間隔離;E.專網系統接入用戶強制身份認證。
文檔編號H04L29/06GK102891835SQ20111020607
公開日2013年1月23日 申請日期2011年7月20日 優先權日2011年7月20日
發明者童廣勝, 鄭兆妙, 周海波, 何躍平 申請人:桂林長海科技有限責任公司