專利名稱：以太網安全組網方法
技術領域：
本發(fā)明涉及網絡安全技術領域，尤其涉及以太網的安全組網方法。
隨著網絡通信的發(fā)展，網絡安全問題日益突出，網絡設備對外來的竊取數(shù)據(jù)和惡意攻擊行為缺乏足夠的防范能力，其中主要原因有三個。其一，大部分通信網絡，特別是以太網和英特網中，網絡通信協(xié)議未充分考慮到安全性問題；其二，網絡設備(尤其是計算機)使用的操作系統(tǒng)和應用程序越來越復雜，不可避免地存在一些安全性漏洞；其三，現(xiàn)有的組網技術對內部數(shù)據(jù)的流動不加保護，易被竊取和侵入。
為此發(fā)展了多種網絡安全技術，從不同的方面來提供網絡的安全性，這些技術大致可以分為三種第一種是用戶/口令方式，因為其簡便而被廣泛使用，但是破譯較易。有些網絡協(xié)議如telnet等采用明碼傳輸用戶/口令認證，更容易造成泄漏。此外，在某些服務中，采用主機認證而非用戶認證，不能阻止非法用戶盜用被認可主機的行為。第二種是在網絡設備應用程序中加入密鑰，采用通信雙方約定的加密方法，在數(shù)據(jù)發(fā)送端將數(shù)據(jù)處理成密文，然后在接收端再將密文還原成明文。這種方法使用不太方便，適合于雙方約定加密方法的重要場合。第三種是采用隔離技術。組網時就限制網絡與外部的連接點，并在連接點上用防火墻加以保護。防火墻對通過它的網絡數(shù)據(jù)進行分析，過濾掉可疑的數(shù)據(jù)，以防止內部數(shù)據(jù)的泄漏和阻擋外部的攻擊。當然，加入防火墻后對網絡數(shù)據(jù)的流通有一定影響。隨著網絡技術的發(fā)展，防火墻也越來越復雜，價格昂貴，影響了它的普遍應用。
本發(fā)明目的在于針對上述問題，提供一種安全、簡便、經濟的安全組網方法。
根據(jù)本發(fā)明，提供了一種用于由多個網絡終端設備和具有接入端口的網絡連接設備構成的以太網的安全組網方法，包含以下步驟在網絡連接設備的每一個接入端口處設定保持數(shù)據(jù)過濾條件和丟棄數(shù)據(jù)過濾條件，過濾條件由一個或多個數(shù)據(jù)特征信息構成；當數(shù)據(jù)經過接入端口時，以過濾條件中的一個或多個數(shù)據(jù)特征信息對數(shù)據(jù)進行判斷。當經過接入端口的數(shù)據(jù)中的數(shù)據(jù)特征信息滿足保持數(shù)據(jù)過濾條件時，采用保持數(shù)據(jù)處理方式，使數(shù)據(jù)保持原來的流向；當數(shù)據(jù)的數(shù)據(jù)特征信息滿足丟棄數(shù)據(jù)過濾條件時，采用丟棄數(shù)據(jù)處理方式，不予傳輸。
根據(jù)本發(fā)明的這種方法，通過在組網時，在以太網的網絡連接設備中對網絡數(shù)據(jù)進行處理，根據(jù)網絡數(shù)據(jù)的安全信任度對其流通作適當?shù)南拗?，提供了一種更為安全和經濟的以太網的安全組網方法下面，根據(jù)本發(fā)明的實施例，參照附圖對本發(fā)明進行更加詳細的描述。


圖1是本發(fā)明的一個實施例的網絡連接設備示意圖；圖2示出一種實現(xiàn)本發(fā)明的網絡連接設備；圖3是用于說明本發(fā)明的安全組網方法的框圖。
在詳細描述本發(fā)明的實施例以前，先定義本說明書中使用的一些術語“網絡”，是指不同規(guī)模的以太網，包括網絡終端設備和網絡連接設備；“網絡連接設備”，即以太網中將各種網絡設備連接起來，并通過網絡交換數(shù)據(jù)的設備，例如，集線器、交換機、路由器、網關等等；“接入端口”，是指網絡連接設備中用于連接其它網絡設備的端口；“一路數(shù)據(jù)”，是指每一個接入端口上不同流向和性質的每一類數(shù)據(jù)。
以太網數(shù)據(jù)采用以太網包的形式傳輸，而且每一路數(shù)據(jù)傳輸時，又以先進先出方式通過接入端口。每一個以太網包中包括了數(shù)據(jù)的源地址、目的地址、業(yè)務類型、優(yōu)先級等特征信息。這些特征信息又都在包頭固定位置的若干字節(jié)中。網絡連接設備中的接入端口對不同數(shù)據(jù)執(zhí)行何種處理方式，就是通過將數(shù)據(jù)中所包含的一個或幾個特征信息與設定在該接入端口處的過濾條件進行比較后得到的結果決定的，其中，該過濾條件由一組數(shù)據(jù)特征信息構成，數(shù)據(jù)特征信息可以包含數(shù)據(jù)的源地址、目的地址、業(yè)務類型、優(yōu)先級等特征信息中的一個或幾個。因此可以按照數(shù)據(jù)的不同特征信息對數(shù)據(jù)進行過濾。例如從地址角度考慮，就可以將某些范圍內的源地址或目的地址的數(shù)據(jù)設定為安全、不安全。通過對這些特征信息的比較，可以將傳輸?shù)浇尤攵丝诘臄?shù)據(jù)分為安全的、不安全的或不能肯定的三種。
在本發(fā)明的組網方法中，對每個接入端口上的每一路數(shù)據(jù)都進行一次上述的過濾處理。處理方式的設定通過綜合考慮網絡的物理連接狀況、對不同接入端口上不同類型數(shù)據(jù)的安全信任程度、以及網絡管理特定要求等因素而定。例如，對比較敏感、容易引起安全問題的數(shù)據(jù)設定為丟棄；對優(yōu)先級高或不會引起安全問題的數(shù)據(jù)可以設定為保持方式；而對數(shù)據(jù)可靠程度不高，但尚不足以丟棄的，可設定為改向方式，使該數(shù)據(jù)通過另一接入端口作進一步的檢驗。通過圖3，可以更加清楚地了解這一點。
在本發(fā)明的一個實施例中，過濾處理的方式設定為以下兩種1對于安全數(shù)據(jù)，為保持方式，即保持數(shù)據(jù)原來流向；2對于不安全數(shù)據(jù)，為丟棄方式，即不予傳輸。對不同數(shù)據(jù)的這兩種處理方式，在組網時即予以設定，或根據(jù)運行經驗重新設定。
另外，在本發(fā)明的另外一個實施例中，由于考慮到還可能遇到一時無法確定其安全與否的數(shù)據(jù)，故設定第三種過濾處理的方式改向方式，即改變數(shù)據(jù)的原來流向，使該數(shù)據(jù)通過另一接入端口作進一步的檢驗。
由于過濾條件中的數(shù)據(jù)特征信息的數(shù)目直接影響到進行過濾處理的性能和價格，故在本發(fā)明中采用改向方式有助于減少過濾條件中的特征信息，簡化過濾條件以及相應的成本。其原因在于，過濾條件的簡化可能對某種數(shù)據(jù)難以判定采用保持或丟棄方式，通過改向，將數(shù)據(jù)引入具有不同過濾條件的接入端口，作進一步的過濾。由于前一接入端口已經對數(shù)據(jù)進行了保持或丟棄處理，后一接入端口過濾經過改向處理的數(shù)據(jù)量已經大大減少，這樣就可以采用簡便的硬件方式建立本發(fā)明的安全屏障。因此引入改向處理方式是提高過濾作用性能價格比的一個途徑。
值得一提的是，網絡通信協(xié)議是分層定義的，因此，以太網中也包含了不同層次協(xié)議的各種特征信息，都可以用來組成過濾條件。若不同過濾條件的內容存在相互交叉或沖突時，可采用設定優(yōu)先等級的方法來解決。
圖1是本發(fā)明的一個實施例的網絡連接示意圖。圖中，11是一臺網絡連接設備，其中P1～P9是9個10M/100M自適應接入端口。P9是向上連接的專用口。P1～P4連接網絡服務器12a、12b、12c、12d，P5～P8連接下一級網絡13a、13b、13c、13d。網絡連接設備11有自己的網絡地址，在該地址上運行網絡連接設備11的內部服務程序，它也可以看成是一個接入端口，稱為P10。在未引入本發(fā)明的安全組網方法時，各接入端口之間的數(shù)據(jù)流通不經過任何過濾處理，毫無屏障。采用本方法后，除了P9是向上連接可對數(shù)據(jù)不加過濾外，P1～P8和P10都將根據(jù)其網絡連接狀況、數(shù)據(jù)類型和物理管理要求來設定不同的過濾條件和相應的處理形式，對于安全、不安全以及不肯定的數(shù)據(jù)分別執(zhí)行保持、丟棄和改向處理。例如，如果P5來的某一路與過濾條件中的數(shù)據(jù)特征信息比較后，由于其業(yè)務類型而難以判斷出它是安全的數(shù)據(jù)，故被設定為改向到P10，這一路數(shù)據(jù)將經過P10的再一次過濾處理。
圖2示出一種實現(xiàn)本發(fā)明的網絡連接設備。其中，接口模塊負責物理信號與數(shù)字信號之間的轉換，以及一些與物理層有關的功能，一般采用通用的芯片組設計。過濾模塊在接口模塊和交換模塊之間，主要起數(shù)據(jù)過濾的功能，同時具有數(shù)據(jù)緩沖功能，并可以通過對交換模塊的控制決定數(shù)據(jù)的流向。交換模塊負責各個過濾模塊之間以及控制模塊之間的數(shù)據(jù)交換，交換的過程由過濾模塊和/或控制模塊控制。這個部分可以自行設計，也可以采用通用芯片組設計?？刂颇K既可以從交換模塊接收數(shù)據(jù)或向交換模塊發(fā)出數(shù)據(jù)，也可以對交換模塊進行控制。控制模塊的硬件由CPU、固化內存、動態(tài)內存等構成，可以運行控制程序。實現(xiàn)本發(fā)明的這種設計方法特點是具有獨立的過濾模塊；對交換模塊的控制不是由控制模塊單獨完成，而是主要由過濾模塊完成；對交換模塊的控制主要由硬件(過濾模塊)完成，和其它網絡連接設備相比，軟件完成的功能比其它網絡連接設備少。
由上可見，采用本發(fā)明的方法，作并不復雜的過濾設定，該網絡連接設備將原來完全透明的一個網絡分割為多個子網，并在連接點上建立了一道安全屏障。因此，子網之間的數(shù)據(jù)傳輸并非完全可見，其它網絡設備難以察覺這種安全屏障的存在。對正常的網絡數(shù)據(jù)來說，這個網絡仍然是透明的。由于網絡連接設備11加入了過濾處理，對P1～P4口的網絡服務器，減少了從其它接入端口來的錯假網絡信號及其干擾，從而也提高了安全性，同時，P5～P8口上可以偵聽到的網絡數(shù)據(jù)范圍也大為減少，降低了泄漏數(shù)據(jù)的可能性。
上述建立安全屏障的過濾條件組合是多種多樣的，設置的位置也很靈活，也不需要多個網絡設備相互協(xié)調，成本又低，便于普遍應用。從整個局域網的角度看，可在網絡邊界處設立一道安全屏障，也可在用戶設備接入到局域網的連接點處設置一道安全屏障，還可以將一個大的局域網分割成幾個部分，相互之間設立安全屏障，如果與其他安全技術相結合，網絡的安全性將更為良好。
權利要求
1.一種用于由多個網絡終端設備和具有接入端口的網絡連接設備構成的以太網的安全組網方法，其特征在于包含以下步驟在所述網絡連接設備的每一個接入端口處設定保持數(shù)據(jù)過濾條件和丟棄數(shù)據(jù)過濾條件，所述過濾條件由一個或多個數(shù)據(jù)特征信息構成；比較經過所述端口的數(shù)據(jù)與所述過濾條件中的所述一個或多個數(shù)據(jù)特征信息，當所述比較步驟中的比較結果是所述接入端口的數(shù)據(jù)中的數(shù)據(jù)特征信息滿足所述保持數(shù)據(jù)過濾條件時，采用保持數(shù)據(jù)處理方式，使數(shù)據(jù)保持原來的流向；當所述比較步驟中的比較結果是所述數(shù)據(jù)的數(shù)據(jù)特征信息滿足所述丟棄數(shù)據(jù)過濾條件時，采用丟棄數(shù)據(jù)處理方式，不予傳輸。
2.如權利要求1所述的安全組網方法，其特征在于，在所述網絡連接設備的每一個接入端口處還設定了由一個或多個數(shù)據(jù)特征信息構成的改向過濾條件；當所述比較步驟中的比較結果是所述接入端口的數(shù)據(jù)滿足所述改向過濾條件時，將所述數(shù)據(jù)發(fā)送到具有不同于所述接入端口的過濾條件的另一個接入端口，進行進一步判斷。
3.如權利要求1或2所述的以太網的安全組網方法，其特征在于構成過濾條件的一個或多個數(shù)據(jù)特征信息是從由源地址、目的地址、業(yè)務類型、優(yōu)先級構成的一組數(shù)據(jù)特征信息中選出的。
全文摘要
本發(fā)明提供了一種安全、簡便、經濟的以太網的安全組網方法,它包含步驟:在網絡連接設備的每一個接入端口處設定保持數(shù)據(jù)過濾條件和丟棄數(shù)據(jù)過濾條件;當經過接入端口的數(shù)據(jù)中的數(shù)據(jù)特征信息滿足保持數(shù)據(jù)過濾條件時,采用保持數(shù)據(jù)處理方式,使數(shù)據(jù)保持原來的流向;當數(shù)據(jù)的數(shù)據(jù)特征信息滿足丟棄數(shù)據(jù)過濾條件時,采用丟棄數(shù)據(jù)處理方式,不予傳輸。
文檔編號H04L12/28GK1336744SQ0011954
公開日2002年2月20日 申請日期2000年8月1日 優(yōu)先權日2000年8月1日
發(fā)明者黃鶯波, 高威, 王翔, 高漢中 申請人:上海龍林通信技術有限公司