本实用新型专利技术公开了一种动态可控交换机,该动态可控交换机与多个终端和一个安全服务器相连,该动态可控交换机包括:交换机模块和控制器;所述控制器连接所述交换机模块,所述交换机模块分别连接所述多个终端和所述安全服务器。本实用新型专利技术提供的动态可控交换机能提高星形网络的安全性。(*该技术在2021年保护过期,可自由使用*)
【技术实现步骤摘要】
本技术涉及网络通信
,特别是涉及ー种动态可控交换机。
技术介绍
星形网络是在实际中最常见的一种局域网连接方式。图I是现有的ー种星形网络的组网示意图。如图I所示,各終端之间的通信必须经过交换机,且各终端访问安全服务器也需要通过交换机。局域网的开放性特点,使得图I所示星形网络中的各个终端中的重要信息资源处 于高风险状态,可能发生的安全问题包括通过网络传播的病毒木马等的非法入侵,以及基于网络的信息窃取等。因此提高现有的星形网络的安全性迫在眉睫。
技术实现思路
本技术提供了一种动态可控交换机,该动态可控交换机能提高星形网络的安全性。为达到上述目的,本技术的技术方案是这样实现的本技术公开了ー种动态可控交换机,该动态可控交换机与多个终端和ー个安全服务器相连,该动态可控交換机包括交换机模块和控制器;所述控制器连接所述交换机模块,所述交换机模块分别连接所述多个終端和所述安全服务器。所述控制器包括认证模块、服务器指令接收模块、存储模块和策略生成模块,其中所述认证模块连接所述服务器指令接收模块,所述服务器指令接收模块连接所述存储模块,所述存储模块连接所述策略生成模块。该动态可控交换机与多个终端和ー个安全服务器相连,所述多个终端通过该动态可控交換机访问安全服务器,该动态可控交换机包括交换机模块和控制器;控制器,用于保存終端物理地址注册列表,当一个终端启动时,判断该终端的物理地址是否在終端物理地址注册列表中,如果在,则向交換机模块发送允许该终端访问安全服务器的命令,如果不在,则向交換机模块发送拒绝该终端访问安全服务器的命令;交換机模块,用于根据控制器的命令允许或拒绝终端访问安全服务器。在上述的动态可控交换机中,控制器,还用于在收到安全服务器的连接请求后,向安全服务器请求证书,接收安全服务器发送的证书,井根据该证书进行认证,认证成功后接受安全服务器的连接,如果认证失败拒绝安全服务器的连接;用于在认证成功后,接收安全服务器定时发送的检测消息,井向安全服务器反馈应答消息;用于接收安全服务器发送的文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;用于根据安全级别映射表生成终端的通信策略发送给交換机模块;其中,各終端在初始时无涉密级别,所述通信策略包括允许涉密级别最低的終端之间的通信,禁止涉密级别高于最低级别的終端与其他终端的通信;允许无涉密级别的终端之间,以及无涉密级别的终端和涉密级别最低的終端之间的通信;交換机模块,还用于根据控制器发来的通信规则控制各終端之间的通信。在上述的动态可控交换机中,所述控制器包括认证模块、服务器指令接收模块、存储模块和策略生成模块,其中认证模块,用于在收到安全服务器的连接请求后,向安全服务器请求证书,接收安全服务器发送的证书,井根据该证书进行认证,认证成功后接受安全服务器的连接并通知服务器指令接收模块,如果认证失败拒绝安全服务器的连接;用于在认证成功后,接收安全服务器定时发送的检测消息,井向安全服务器反馈应答消息;其中,安全服务器在向认证模块发送预设个数的检测消息后,仍没有收到应答消息,则拒绝任何客户端的访问;服务器指令接收模块,用于在收到认证模块的认证成功通知后接收安全服务器发送的文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;其中,安全服务器是在毎次接收到终端的访问请求后,将该终端所请求的文件的安全级别以及该终端的IP地址发送给服务器指令接收模块的;存储模块,用于保存安全级别映射表;该安全级别映射表保存终端的IP地址和终端的涉密级别之间的对应关系;策略生成模块,用于根据安全级别映射表生成终端的通信策略发送给交换机模块。在上述的动态可控交换机中,服务器指令接收模块,用于设定多个涉密级别,并用正整数表示涉密级别,当接收到安全服务器发送的文件安全级别和IP地址时,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应的正整数对应保存到安全级别映射表中。在上述的动态可控交换机中,所述认证模块,进ー步用于在认证成功后,根据安全服务器的公钥加密一个随机产生的密钥发送给服务器,此后,与安全服务器之间的数据通过该密钥进行加密后传输。由上述可见,本技术这种在交換机中增加控制器,控制器用于保存終端物理地址注册列表,当一个终端启动时,判断该终端的物理地址是否在終端物理地址注册列表中,如果在,则向交換机模块发送允许该终端访问安全服务器的命令,如果不在,则向交換机模块发送拒绝该终端访问安全服务器的命令;交換机模块根据控制器的命令允许或拒绝終端访问安全服务器的技术方案,大大提高了星形网络的安全性。附图说明图I是现有的ー种星形网络的组网示意图;图2是本专利技术实施例中的一种动态可控交换机的组成结构及外部连接示意图;图3是本专利技术实施例中的动态可控交换机中控制器的组成结构示意图。具体实施方式为了使本技术的目的、技术方案和优点更加清楚,以下结合附图和具体实施例对本技术进行详细描述。图2是本专利技术实施例中的一种动态可控交换机的组成结构及外部连接示意图。如图2所示,该动态可控交换机与多个终端和ー个安全服务器相连,所述多个終端通过该动态可控交換机访问安全服务器,该动态可控交换机包括交换机模块和控制器;控制器,用于保存終端物理地址注册列表,当一个终端启动时,判断该终端的物理地址是否在終端物理地址注册列表中,如果在,则向交換机模块发送允许该终端访问安全服务器的命令,如果不在,则向交換机模块发送拒绝该终端访问安全服务器的命令;交換机模块,用于根据控制器的命令允许或拒绝终端访问安全服务器。这样通过终端的注册和物理地址的校验,为局域网的计算机准入控制增加了安全 保护。注册终端的物理地址到控制器上的物理地址注册列表具体可以为通过串ロ或网络接ロ进入控制器管理平台,把需要访问安全服务器的终端的物理地址填入表中。此外,控制器,还用于在收到安全服务器的连接请求后,向安全服务器请求证书,接收安全服务器发送的证书,井根据该证书进行认证,认证成功后接受安全服务器的连接,如果认证失败拒绝安全服务器的连接;用于在认证成功后,接收安全服务器定时发送的检测消息,井向安全服务器反馈应答消息;用于接收安全服务器发送的文件安全级别和IP地址,根据文件安全级别确定终端的涉密级别,然后将该终端的IP地址和涉密级别对应保存到安全级别映射表中;用于根据安全级别映射表生成终端的通信策略发送给交換机模块;其中,各終端在初始时无涉密级别,所述通信策略包括允许涉密级别最低的終端之间的通信,禁止涉密级别高于最低级别的終端与其他终端的通信;允许无涉密级别的终端之间,以及无涉密级别的终端和涉密级别最低的終端之间的通信;交換机模块,还用于根据控制器发来的通信规则控制各終端之间的通信。交换机模块会提供访问控制列表(ACL, Access Control List)命令接ロ,能够基于MAC地址、IP地址、IP协议(TCP/UDP)、TCP端口号、UDP端ロ号进行访问控制,能从物理上切断两个指定終端之间的数据通信。因此,交換机能够根据控制器发来的通信规则对各通信終端之间的通信进行控制。这里需要说明是的所述安全本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种动态可控交换机,该动态可控交换机与多个终端和ー个安全服务器相连,其特征在于,该动态可控交換机包括...
【专利技术属性】
技术研发人员:戴瑞,
申请(专利权)人:苏州九州安华信息安全技术有限公司,
类型:实用新型
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。