本发明专利技术公开了一种实现网络安全的方法和一种星形网络。在本发明专利技术的方案中,在星形网络中增加了控制器,该控制器和安全服务器之间通过认证方式建立连接,并且安全服务器通过周期性地发送检测消息来确认与控制器之间的通信安全,安全服务器每次在接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器,控制器根据文件安全级别确定终端的涉密级别,将该终端的IP地址和涉密级别对应保存到安全级别映射表中,然后控制器根据安全级别映射表生成终端的通信规则发送给交换机,进而控制各终端之间的通信。本发明专利技术的技术方案,大大提高了星形网络的安全性。
【技术实现步骤摘要】
本专利技术涉及网络通信
,特别是涉及一种实现网络安全的方法和一种星形网络。
技术介绍
星形网络是在实际中最常见的一种局域网连接方式。图1是现有的一种星形网络的组网示意图。如图1所示,各终端之间的通信必须经过交换机,且各终端访问安全服务器也需要通过交换机。局域网的开放性特点,使得图1所示星形网络中的各个终端中的重要信息资源处于高风险状态,可能发生的安全问题包括通过网络传播的病毒木马等的非法入侵,以及基于网络的信息窃取等。针对上述问题,传统的信息安全技术,如防火墙、入侵监测系统、访问控制、身份认证、虚拟专用网等,往往是无能为例的。因为这些信息安全技术大都是针对黑客入侵开发的,不能实时监控和阻断内部机密数据的泄露。可见现有的星形网络的安全性还有待提高。
技术实现思路
本专利技术提供了一种实现网络安全的方法,该方法能够提高星形网络的安全性。本专利技术还提供了一种星形网络,该星形网络具有较高的安全性。为达到上述目的,本专利技术的技术方案是这样实现的本专利技术公开了一种实现网络安全的方法,该方法适用于多个终端通过交换机进行通信,并且该多个终端之间通过所述交换机访问安全服务器的星形网络中,在该星形网络中还设置有控制器,则该方法包括安全服务器和控制器之间通过认证方式建立连接;在建立连接成功后,安全服务器定时向控制器发送检测消息,控制器接收到安全服务器发送的检测消息后向安全服务器反馈应答消息;如果服务器在向控制器发送预设个数的检测消息后,仍没有收到应答消息, 则拒绝任何客户端的访问;安全服务器每次在接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器;控制器接收安全服务器发来文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;控制器根据安全级别映射表生成终端的通信规则发送给交换机;其中,所述通信规则中,允许涉密级别最低的终端之间的通信,禁止涉密级别高于最低级别的终端与其他终端的通信;交换机根据控制器发来的通信规则控制各终端之间的通信。本专利技术还提供了一种星形网络,该星形网络包括交换机、安全服务器和多个终端,多个终端之间通过交换机进行通信,并且该多个终端通过所述交换机访问安全服务器;此外,该星形网络还包括一个与交换机和安全服务器连接的控制器;其中安全服务器,用于通过认证方式与控制器建立连接,在建立连接成功后,定时向控制器发送检测消息;如果在向控制器发送预设个数的检测消息后,仍没有收到应答消息,则拒绝任何客户端的访问;用于在每次接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器;控制器,用于接收到安全服务器发送的检测消息时向安全服务器反馈应答消息; 用于接收安全服务器发来文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;用于根据安全级别映射表生成终端的通信规则发送给交换机;其中,所述通信规则中,允许涉密级别最低的终端之间的通信,禁止涉密级别高于最低级别的终端与其他终端的通信;交换机,用于根据控制器发来的通信规则控制各终端之间的通信。由上述可见,本专利技术这种在星形网络中增加控制器,该控制器和安全服务器之间通过认证方式建立连接,并且安全服务器通过周期性地发送检测消息来确认与控制器之间的通信安全,安全服务器每次在接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器,控制器根据文件安全级别确定终端的涉密级别, 将该终端的IP地址和涉密级别对应保存到安全级别映射表中,然后控制器根据安全级别映射表生成终端的通信规则发送给交换机,进而控制各终端之间的通信的技术方案,大大提高了星形网络的安全性。附图说明图1是现有的一种星形网络的组网示意图;图2是本专利技术实施例中的一种实现网络安全的方法的示意图;图3是本专利技术实施例中的星形网络的示意图。具体实施例方式为了使本专利技术的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本专利技术进行详细描述。图2是本专利技术实施例中的一种实现网络安全的方法的示意图。该方法适用于多个终端通过交换机进行通信,并且该多个终端之间通过所述交换机访问安全服务器的星形网络中,在该星形网络中还设置有控制器,则如图2所示,该方法包括201,安全服务器和控制器之间通过认证方式建立连接;在建立连接成功后,安全服务器定时向控制器发送检测消息,控制器接收到安全服务器发送的检测消息后向安全服务器反馈应答消息;如果服务器在向控制器发送预设个数的检测消息后,仍没有收到应答消息,则拒绝任何客户端的访问;202,安全服务器每次在接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器;203,控制器接收安全服务器发来文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;控制器根据安全级别映射表生成终端的通信规则发送给交换机;其中,所述通信规则中,允许涉密级别最低的终端之间的通信,禁止涉密级别高于最低级别的终端与其他终端的通信;204,交换机根据控制器发来的通信规则控制各终端之间的通信。图3是本专利技术实施例中的星形网络的示意图。如图3所示,该星形网络包括交换机、安全服务器和多个终端,多个终端之间通过交换机进行通信,并且该多个终端通过所述交换机访问安全服务器;此外,该星形网络还包括一个与交换机和安全服务器连接的控制器。安全服务器,用于通过认证方式与控制器建立连接,在建立连接成功后,定时向控制器发送检测消息;如果在向控制器发送预设个数的检测消息后,仍没有收到应答消息,则拒绝任何客户端的访问;用于在每次接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器;控制器,用于接收到安全服务器发送的检测消息时向安全服务器反馈应答消息; 用于接收安全服务器发来文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;用于根据安全级别映射表生成终端的通信规则发送给交换机;其中,所述通信规则中,允许涉密级别最低的终端之间的通信,禁止涉密级别高于最低级别的终端与其他终端的通信;交换机,用于根据控制器发来的通信规则控制各终端之间的通信。这里需要说明是的所述安全服务器和控制器之间的通信是通过交换机进行转发的,即交换机还用于转发安全服务器和控制器之间的通信消息。在图3所示的系统中,安全服务器和控制器通过认证方式建立连接具体为安全服务器启动后向控制器发送连接请求;控制器接收到连接请求后,向安全服务器请求证书; 安全服务器将自身的证书发送给控制器;控制器根据证书进行认证,认证成功后接受连接; 如果认证失败拒绝连接。当控制器根据证书进行认证,认证成功后接受连接之后,控制器根据安全服务器的公钥加密一个随机产生的密钥发送给服务器,此后,安全服务器和控制器之间的数据通过该密钥进行加密后传输,即安全服务器发送给控制器的数据通过该密钥进行加密,控制器发送给安全服务器的数据也通过该密钥加密。在图3所示的星形网络中,交换机是三层交换机,会提供访问控制列表(ACL, Access Co本文档来自技高网...
【技术保护点】
1.一种实现网络安全的方法,该方法适用于多个终端之间通过交换机进行通信,并且该多个终端通过所述交换机访问安全服务器的星形网络中,其特征在于,在该星形网络中还设置有控制器,则该方法包括:安全服务器和控制器之间通过认证方式建立连接;在建立连接成功后,安全服务器定时向控制器发送检测消息,控制器接收到安全服务器发送的检测消息后向安全服务器反馈应答消息;如果服务器在向控制器发送预设个数的检测消息后,仍没有收到应答消息,则拒绝任何客户端的访问;安全服务器每次在接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器;控制器接收安全服务器发来文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;控制器根据安全级别映射表生成终端的通信规则发送给交换机;其中,所述通信规则中,允许涉密级别最低的终端之间的通信,禁止涉密级别高于最低级别的终端与其他终端的通信;交换机根据控制器发来的通信规则控制各终端之间的通信。
【技术特征摘要】
1.一种实现网络安全的方法,该方法适用于多个终端之间通过交换机进行通信,并且该多个终端通过所述交换机访问安全服务器的星形网络中,其特征在于,在该星形网络中还设置有控制器,则该方法包括安全服务器和控制器之间通过认证方式建立连接;在建立连接成功后,安全服务器定时向控制器发送检测消息,控制器接收到安全服务器发送的检测消息后向安全服务器反馈应答消息;如果服务器在向控制器发送预设个数的检测消息后,仍没有收到应答消息,则拒绝任何客户端的访问;安全服务器每次在接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给控制器;控制器接收安全服务器发来文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;控制器根据安全级别映射表生成终端的通信规则发送给交换机;其中,所述通信规则中,允许涉密级别最低的终端之间的通信,禁止涉密级别高于最低级别的终端与其他终端的通信;交换机根据控制器发来的通信规则控制各终端之间的通信。2.根据权利要求1所述的方法,其特征在于,该方法进一步包括所述星形网络中的终端在初始时无涉密级别;所述通信规则还包括允许无涉密级别的终端之间,以及无涉密级别的终端和涉密级别最低的终端之间的通信。3.根据权利要求1所述的方法,其特征在于,所述安全服务器和控制器之间通过认证方式建立连接包括安全服务器启动后向控制器发送连接请求;控制器接收到连接请求后,向安全服务器请求证书;安全服务器将自身的证书发送给控制器;控制器根据证书进行认证,认证成功后接受连接;如果认证失败拒绝连接。4.根据权利要求3所述的方法,其特征在于,该方法进一步包括在所述控制器根据证书进行认证,认证成功后接受连接之后,控制器根据安全服务器的公钥加密一个随机产生的密钥发送给服务器;此后,安全服务器和控制器之间的数据通过该密钥进行加密后传输。5.根据权利要求1至4中任一项所述的方法,其特征在于,所述安全服务器和控制器之间的通信是通过交换机进行转发的。6.一种星形网络,其特征在于,该星形网络包括交换机、安全服务器和...
【专利技术属性】
技术研发人员:戴瑞,
申请(专利权)人:苏州九州安华信息安全技术有限公司,
类型:发明
国别省市:32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。