專利名稱：一種動(dòng)態(tài)可控交換機(jī)的制作方法
技術(shù)領(lǐng)域：
本實(shí)用新型涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，特別是涉及ー種動(dòng)態(tài)可控交換機(jī)。
背景技術(shù)：
星形網(wǎng)絡(luò)是在實(shí)際中最常見(jiàn)的一種局域網(wǎng)連接方式。圖I是現(xiàn)有的ー種星形網(wǎng)絡(luò)的組網(wǎng)示意圖。如圖I所示，各終端之間的通信必須經(jīng)過(guò)交換機(jī)，且各終端訪問(wèn)安全服務(wù)器也需要通過(guò)交換機(jī)。局域網(wǎng)的開(kāi)放性特點(diǎn)，使得圖I所示星形網(wǎng)絡(luò)中的各個(gè)終端中的重要信息資源處 于高風(fēng)險(xiǎn)狀態(tài)，可能發(fā)生的安全問(wèn)題包括通過(guò)網(wǎng)絡(luò)傳播的病毒木馬等的非法入侵，以及基于網(wǎng)絡(luò)的信息竊取等。因此提高現(xiàn)有的星形網(wǎng)絡(luò)的安全性迫在眉睫。

實(shí)用新型內(nèi)容本實(shí)用新型提供了一種動(dòng)態(tài)可控交換機(jī)，該動(dòng)態(tài)可控交換機(jī)能提高星形網(wǎng)絡(luò)的安全性。為達(dá)到上述目的，本實(shí)用新型的技術(shù)方案是這樣實(shí)現(xiàn)的本實(shí)用新型公開(kāi)了ー種動(dòng)態(tài)可控交換機(jī)，該動(dòng)態(tài)可控交換機(jī)與多個(gè)終端和ー個(gè)安全服務(wù)器相連，該動(dòng)態(tài)可控交換機(jī)包括交換機(jī)模塊和控制器；所述控制器連接所述交換機(jī)模塊，所述交換機(jī)模塊分別連接所述多個(gè)終端和所述安全服務(wù)器。所述控制器包括認(rèn)證模塊、服務(wù)器指令接收模塊、存儲(chǔ)模塊和策略生成模塊，其中所述認(rèn)證模塊連接所述服務(wù)器指令接收模塊，所述服務(wù)器指令接收模塊連接所述存儲(chǔ)模塊，所述存儲(chǔ)模塊連接所述策略生成模塊。該動(dòng)態(tài)可控交換機(jī)與多個(gè)終端和ー個(gè)安全服務(wù)器相連，所述多個(gè)終端通過(guò)該動(dòng)態(tài)可控交換機(jī)訪問(wèn)安全服務(wù)器，該動(dòng)態(tài)可控交換機(jī)包括交換機(jī)模塊和控制器；控制器，用于保存終端物理地址注冊(cè)列表，當(dāng)一個(gè)終端啟動(dòng)時(shí)，判斷該終端的物理地址是否在終端物理地址注冊(cè)列表中，如果在，則向交換機(jī)模塊發(fā)送允許該終端訪問(wèn)安全服務(wù)器的命令，如果不在，則向交換機(jī)模塊發(fā)送拒絕該終端訪問(wèn)安全服務(wù)器的命令；交換機(jī)模塊，用于根據(jù)控制器的命令允許或拒絕終端訪問(wèn)安全服務(wù)器。在上述的動(dòng)態(tài)可控交換機(jī)中，控制器，還用于在收到安全服務(wù)器的連接請(qǐng)求后，向安全服務(wù)器請(qǐng)求證書(shū)，接收安全服務(wù)器發(fā)送的證書(shū)，井根據(jù)該證書(shū)進(jìn)行認(rèn)證，認(rèn)證成功后接受安全服務(wù)器的連接，如果認(rèn)證失敗拒絕安全服務(wù)器的連接；用于在認(rèn)證成功后，接收安全服務(wù)器定時(shí)發(fā)送的檢測(cè)消息，井向安全服務(wù)器反饋應(yīng)答消息；用于接收安全服務(wù)器發(fā)送的文件安全級(jí)別和IP地址，根據(jù)文件安全級(jí)別確定終端的涉密級(jí)別，然后將該終端的IP地址和涉密級(jí)別對(duì)應(yīng)保存到安全級(jí)別映射表中；用于根據(jù)安全級(jí)別映射表生成終端的通信策略發(fā)送給交換機(jī)模塊；其中，各終端在初始時(shí)無(wú)涉密級(jí)別，所述通信策略包括允許涉密級(jí)別最低的終端之間的通信，禁止涉密級(jí)別高于最低級(jí)別的終端與其他終端的通信；允許無(wú)涉密級(jí)別的終端之間，以及無(wú)涉密級(jí)別的終端和涉密級(jí)別最低的終端之間的通信；交換機(jī)模塊，還用于根據(jù)控制器發(fā)來(lái)的通信規(guī)則控制各終端之間的通信。在上述的動(dòng)態(tài)可控交換機(jī)中，所述控制器包括認(rèn)證模塊、服務(wù)器指令接收模塊、存儲(chǔ)模塊和策略生成模塊，其中認(rèn)證模塊，用于在收到安全服務(wù)器的連接請(qǐng)求后，向安全服務(wù)器請(qǐng)求證書(shū)，接收安全服務(wù)器發(fā)送的證書(shū)，井根據(jù)該證書(shū)進(jìn)行認(rèn)證，認(rèn)證成功后接受安全服務(wù)器的連接并通知服務(wù)器指令接收模塊，如果認(rèn)證失敗拒絕安全服務(wù)器的連接；用于在認(rèn)證成功后，接收安全服務(wù)器定時(shí)發(fā)送的檢測(cè)消息，井向安全服務(wù)器反饋應(yīng)答消息；其中，安全服務(wù)器在向認(rèn)證模塊發(fā)送預(yù)設(shè)個(gè)數(shù)的檢測(cè)消息后，仍沒(méi)有收到應(yīng)答消息，則拒絕任何客戶端的訪問(wèn)；服務(wù)器指令接收模塊，用于在收到認(rèn)證模塊的認(rèn)證成功通知后接收安全服務(wù)器發(fā)送的文件安全級(jí)別和IP地址，根據(jù)文件安全級(jí)別確定終端的涉密級(jí)別，然后將該終端的IP地址和涉密級(jí)別對(duì)應(yīng)保存到安全級(jí)別映射表中；其中，安全服務(wù)器是在毎次接收到終端的訪問(wèn)請(qǐng)求后，將該終端所請(qǐng)求的文件的安全級(jí)別以及該終端的IP地址發(fā)送給服務(wù)器指令接收模塊的；存儲(chǔ)模塊，用于保存安全級(jí)別映射表；該安全級(jí)別映射表保存終端的IP地址和終端的涉密級(jí)別之間的對(duì)應(yīng)關(guān)系；策略生成模塊，用于根據(jù)安全級(jí)別映射表生成終端的通信策略發(fā)送給交換機(jī)模塊。在上述的動(dòng)態(tài)可控交換機(jī)中，服務(wù)器指令接收模塊，用于設(shè)定多個(gè)涉密級(jí)別，并用正整數(shù)表示涉密級(jí)別，當(dāng)接收到安全服務(wù)器發(fā)送的文件安全級(jí)別和IP地址時(shí)，根據(jù)文件安全級(jí)別確定終端的涉密級(jí)別，然后將該終端的IP地址和涉密級(jí)別對(duì)應(yīng)的正整數(shù)對(duì)應(yīng)保存到安全級(jí)別映射表中。在上述的動(dòng)態(tài)可控交換機(jī)中，所述認(rèn)證模塊，進(jìn)ー步用于在認(rèn)證成功后，根據(jù)安全服務(wù)器的公鑰加密一個(gè)隨機(jī)產(chǎn)生的密鑰發(fā)送給服務(wù)器，此后，與安全服務(wù)器之間的數(shù)據(jù)通過(guò)該密鑰進(jìn)行加密后傳輸。由上述可見(jiàn)，本實(shí)用新型這種在交換機(jī)中增加控制器，控制器用于保存終端物理地址注冊(cè)列表，當(dāng)一個(gè)終端啟動(dòng)時(shí)，判斷該終端的物理地址是否在終端物理地址注冊(cè)列表中，如果在，則向交換機(jī)模塊發(fā)送允許該終端訪問(wèn)安全服務(wù)器的命令，如果不在，則向交換機(jī)模塊發(fā)送拒絕該終端訪問(wèn)安全服務(wù)器的命令；交換機(jī)模塊根據(jù)控制器的命令允許或拒絕終端訪問(wèn)安全服務(wù)器的技術(shù)方案，大大提高了星形網(wǎng)絡(luò)的安全性。

圖I是現(xiàn)有的ー種星形網(wǎng)絡(luò)的組網(wǎng)示意圖；圖2是本發(fā)明實(shí)施例中的一種動(dòng)態(tài)可控交換機(jī)的組成結(jié)構(gòu)及外部連接示意圖；圖3是本發(fā)明實(shí)施例中的動(dòng)態(tài)可控交換機(jī)中控制器的組成結(jié)構(gòu)示意圖。
具體實(shí)施方式
為了使本實(shí)用新型的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，
以下結(jié)合附圖和具體實(shí)施例對(duì)本實(shí)用新型進(jìn)行詳細(xì)描述。圖2是本發(fā)明實(shí)施例中的一種動(dòng)態(tài)可控交換機(jī)的組成結(jié)構(gòu)及外部連接示意圖。如圖2所示，該動(dòng)態(tài)可控交換機(jī)與多個(gè)終端和ー個(gè)安全服務(wù)器相連，所述多個(gè)終端通過(guò)該動(dòng)態(tài)可控交換機(jī)訪問(wèn)安全服務(wù)器，該動(dòng)態(tài)可控交換機(jī)包括交換機(jī)模塊和控制器；控制器，用于保存終端物理地址注冊(cè)列表，當(dāng)一個(gè)終端啟動(dòng)時(shí)，判斷該終端的物理地址是否在終端物理地址注冊(cè)列表中，如果在，則向交換機(jī)模塊發(fā)送允許該終端訪問(wèn)安全服務(wù)器的命令，如果不在，則向交換機(jī)模塊發(fā)送拒絕該終端訪問(wèn)安全服務(wù)器的命令；交換機(jī)模塊，用于根據(jù)控制器的命令允許或拒絕終端訪問(wèn)安全服務(wù)器。這樣通過(guò)終端的注冊(cè)和物理地址的校驗(yàn)，為局域網(wǎng)的計(jì)算機(jī)準(zhǔn)入控制增加了安全 保護(hù)。注冊(cè)終端的物理地址到控制器上的物理地址注冊(cè)列表具體可以為通過(guò)串ロ或網(wǎng)絡(luò)接ロ進(jìn)入控制器管理平臺(tái)，把需要訪問(wèn)安全服務(wù)器的終端的物理地址填入表中。此外，控制器，還用于在收到安全服務(wù)器的連接請(qǐng)求后，向安全服務(wù)器請(qǐng)求證書(shū)，接收安全服務(wù)器發(fā)送的證書(shū)，井根據(jù)該證書(shū)進(jìn)行認(rèn)證，認(rèn)證成功后接受安全服務(wù)器的連接，如果認(rèn)證失敗拒絕安全服務(wù)器的連接；用于在認(rèn)證成功后，接收安全服務(wù)器定時(shí)發(fā)送的檢測(cè)消息，井向安全服務(wù)器反饋應(yīng)答消息；用于接收安全服務(wù)器發(fā)送的文件安全級(jí)別和IP地址，根據(jù)文件安全級(jí)別確定終端的涉密級(jí)別，然后將該終端的IP地址和涉密級(jí)別對(duì)應(yīng)保存到安全級(jí)別映射表中；用于根據(jù)安全級(jí)別映射表生成終端的通信策略發(fā)送給交換機(jī)模塊；其中，各終端在初始時(shí)無(wú)涉密級(jí)別，所述通信策略包括允許涉密級(jí)別最低的終端之間的通信，禁止涉密級(jí)別高于最低級(jí)別的終端與其他終端的通信；允許無(wú)涉密級(jí)別的終端之間，以及無(wú)涉密級(jí)別的終端和涉密級(jí)別最低的終端之間的通信；交換機(jī)模塊，還用于根據(jù)控制器發(fā)來(lái)的通信規(guī)則控制各終端之間的通信。交換機(jī)模塊會(huì)提供訪問(wèn)控制列表(ACL, Access Control List)命令接ロ，能夠基于MAC地址、IP地址、IP協(xié)議(TCP/UDP)、TCP端口號(hào)、UDP端ロ號(hào)進(jìn)行訪問(wèn)控制，能從物理上切斷兩個(gè)指定終端之間的數(shù)據(jù)通信。因此，交換機(jī)能夠根據(jù)控制器發(fā)來(lái)的通信規(guī)則對(duì)各通信終端之間的通信進(jìn)行控制。這里需要說(shuō)明是的所述安全服務(wù)器和控制器之間的通信是通過(guò)交換機(jī)模塊進(jìn)行轉(zhuǎn)發(fā)的，即交換機(jī)模塊還用于轉(zhuǎn)發(fā)安全服務(wù)器和控制器之間的通信消息。圖2所示的動(dòng)態(tài)可控交換機(jī)能夠?qū)崿F(xiàn)星形網(wǎng)絡(luò)中的終端的動(dòng)態(tài)劃分和物理隔離。其中，在圖2所不的局域網(wǎng)中，動(dòng)態(tài)可控交換機(jī)先啟功并保持工作狀態(tài)。圖3是本發(fā)明實(shí)施例中的動(dòng)態(tài)可控交換機(jī)中控制器的組成結(jié)構(gòu)示意圖。如圖3所示，該控制器包括認(rèn)證模塊、服務(wù)器指令接收模塊、存儲(chǔ)模塊和策略生成模塊，其中認(rèn)證模塊，用于在收到安全服務(wù)器的連接請(qǐng)求后，向安全服務(wù)器請(qǐng)求證書(shū)，接收安全服務(wù)器發(fā)送的證書(shū)，井根據(jù)該證書(shū)進(jìn)行認(rèn)證，認(rèn)證成功后接受安全服務(wù)器的連接并通知服務(wù)器指令接收模塊，如果認(rèn)證失敗拒絕安全服務(wù)器的連接；用于在認(rèn)證成功后，接收安全服務(wù)器定時(shí)發(fā)送的檢測(cè)消息，井向安全服務(wù)器反饋應(yīng)答消息；[0044]其中，安全服務(wù)器在向認(rèn)證模塊發(fā)送預(yù)設(shè)個(gè)數(shù)的檢測(cè)消息后，仍沒(méi)有收到應(yīng)答消息，則拒絕任何客戶端的訪問(wèn)；服務(wù)器指令接收模塊，用于在收到認(rèn)證模塊的認(rèn)證成功通知后接收安全服務(wù)器發(fā)送的文件安全級(jí)別和IP地址，根據(jù)文件安全級(jí)別確定終端的涉密級(jí)別，然后將該終端的IP地址和涉密級(jí)別對(duì)應(yīng)保存到安全級(jí)別映射表中；其中，安全服務(wù)器是在毎次接收到終端的訪問(wèn)請(qǐng)求后，將該終端所請(qǐng)求的文件的安全級(jí)別以及該終端的IP地址發(fā)送給服務(wù)器指令接收模塊的；存儲(chǔ)模塊，用于保存安全級(jí)別映射表；該安全級(jí)別映射表保存終端的IP地址和終端的涉密級(jí)別之間的對(duì)應(yīng)關(guān)系；策略生成模塊，用于根據(jù)安全級(jí)別映射表生成終端的通信策略發(fā)送給交換機(jī)模塊。
·[0049]在圖3中，所訴服務(wù)器指令接收模塊，用于設(shè)定多個(gè)涉密級(jí)別，并用正整數(shù)表示涉密級(jí)別，當(dāng)接收到安全服務(wù)器發(fā)送的文件安全級(jí)別和IP地址時(shí)，根據(jù)文件安全級(jí)別確定終端的涉密級(jí)別，然后將該終端的IP地址和涉密級(jí)別對(duì)應(yīng)的正整數(shù)對(duì)應(yīng)保存到安全級(jí)別映射表中。在圖3中，所述認(rèn)證模塊，進(jìn)ー步用于在認(rèn)證成功后，根據(jù)安全服務(wù)器的公鑰加密一個(gè)隨機(jī)產(chǎn)生的密鑰發(fā)送給服務(wù)器，此后，與安全服務(wù)器之間的數(shù)據(jù)通過(guò)該密鑰進(jìn)行加密后傳輸。綜上所述，本實(shí)用新型這種在交換機(jī)中增加控制器，控制器根據(jù)終端物理地址注冊(cè)列表控制終端對(duì)安全服務(wù)器的訪問(wèn)，并且控制器通過(guò)認(rèn)證方式與安全服務(wù)器建立連接，并且通過(guò)接收安全服務(wù)器周期性地發(fā)送檢測(cè)消息來(lái)確認(rèn)與安全服務(wù)器之間的通信安全，控制器接收安全服務(wù)器發(fā)送的文件安全級(jí)別和終端的IP地址，根據(jù)文件安全級(jí)別確定終端的涉密級(jí)別，將該終端的IP地址和涉密級(jí)別對(duì)應(yīng)保存到安全級(jí)別映射表中，然后根據(jù)安全級(jí)別映射表生成終端的通信規(guī)則發(fā)送給交換機(jī)模塊，進(jìn)而控制各終端之間的通信的技術(shù)方案，大大提高了星形網(wǎng)絡(luò)的安全性。以上所述僅為本實(shí)用新型的較佳實(shí)施例而已，并不用以限制本實(shí)用新型，凡在本實(shí)用新型的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本實(shí)用新型保護(hù)的范圍之內(nèi)。
權(quán)利要求1.一種動(dòng)態(tài)可控交換機(jī)，該動(dòng)態(tài)可控交換機(jī)與多個(gè)終端和ー個(gè)安全服務(wù)器相連，其特征在于，該動(dòng)態(tài)可控交換機(jī)包括交換機(jī)模塊和控制器； 所述控制器連接所述交換機(jī)模塊，所述交換機(jī)模塊分別連接所述多個(gè)終端和所述安全服務(wù)器。
專利摘要本實(shí)用新型公開(kāi)了一種動(dòng)態(tài)可控交換機(jī)，該動(dòng)態(tài)可控交換機(jī)與多個(gè)終端和一個(gè)安全服務(wù)器相連，該動(dòng)態(tài)可控交換機(jī)包括交換機(jī)模塊和控制器；所述控制器連接所述交換機(jī)模塊，所述交換機(jī)模塊分別連接所述多個(gè)終端和所述安全服務(wù)器。本實(shí)用新型提供的動(dòng)態(tài)可控交換機(jī)能提高星形網(wǎng)絡(luò)的安全性。
文檔編號(hào)H04L29/06GK202455377SQ20112016011
公開(kāi)日2012年9月26日 申請(qǐng)日期2011年5月19日 優(yōu)先權(quán)日2011年5月19日
發(fā)明者戴瑞 申請(qǐng)人:蘇州九州安華信息安全技術(shù)有限公司