[发明专利]实现局域网信息安全的方法及基于方法的安全网卡及网络

说明书

[技术领域]

本发明涉及一种实现局域网信息安全的方法，尤其涉及一种实现局域网信息安全的方法及基于方法的安全网卡及网络。

[背景技术]

以太网的普及使得计算机以太网网口成为网络办公必不可少的一个通讯接口，该网口在带给网络办公高效快捷的同时，也给计算机内的技术资料保密工作带来了极大的威胁。为了杜绝通过网络泄密的情况，目前在局域网信息安全上应用比较多的方案就是把局域网划分成内网和外网两个相互独立的网络，内外网之间物理隔离。一般内网和外网之间按照物理区域进行划分，内外网之间无物理连接，外网接入Internet，而内网不接入，这样组网后内网的资料信息看似安全，实际上仍然存在很大的漏洞和缺陷。

总的来看，简单网络隔离存在以下问题：

1)安全方面：该方案在安全方面仍有漏洞，可能通过移动通讯设备泄密。从技术层面看，目前可以通过便携式计算机、移动网口硬盘、无线局域网等通用设备直接同内网计算机进行通讯，窃取保密资料。

2)监管方面：该方案实现后监管难度大。随着通讯设备小型化、微型化的发展，通过保安人员物理监控以上设备不能进入保密区域的难度越来越大，不仅技术上存在漏检的可能性，而且很难得到被检查人员的配合，被检人员抵触情绪大，容易造成管理上的困难。

3)使用方面：该方案使用不方便，严重影响办公效率。由于内网同外部Internet物理隔离，内网计算机不能自由上网查询资料，更不能通过Internet进行正常的沟通交流，导致正常的办公受到很大影响。而且由于内网计算机和外网计算机可以通过直连网线、通用交换机、无线交换机等方式绕开公司的通讯网络而直接建立连接，因此内网和外网的计算机不能允许在同一个物理区域存在，内网和外网必须有一个足够的物理距离，而目前的无线局域网设备的有效通讯距离高达数百米，这就要求公司得有两处距离足够的办公区域。而员工要上网查阅资料或收发Email就必须到数百米以外的外网区域才能进行，这对办公的影响是非常严重的。

4)设备方面：该方案固定投入成本高。不算两处独立的办公区域的投入，单内网和外网的通讯设备不能共享的投入就增加了一大笔开支，因为原本只需一套网络设备，而分内网外网必需两套网络设备。

5)维护方面：该方案维护成本高。两套网络设备的正常运行，需要两倍的设备维护管理的投入，而且每台内网的计算机都有可能泄密的网口，安全管理人员需要对每台内网计算机进行有效监控。

6)技术方面：该方案尚无可靠的技术手段对网口进行可靠监管，通过软件对网口的通讯进行监控，是一个比较常用的网口监控方法。但这种方法的漏洞很多，不仅病毒、黑客可能攻破这些监控软件，而且通过最简单的光驱启动就可以阻止这些监控软件的启动，就可以将计算机的资料毫不费力地全部拷走，而且不留任何痕迹。

[发明内容]

本发明的目的在于提供一种实现局域网信息安全的方法及基于该方法的安全网卡、网络。该方法的创新点在于：在普通网卡的基础上，通过新增一个芯片或模块，在该芯片或模块内植入加密/解密机制使其成为加解密芯片，由该加解密芯片实现对以太网报文的强行加/解密处理。

前述的芯片，可采用普通的可编程芯片，或采用ASIC芯片，或用各类CPU来实现。

所述的实现局域网信息安全的方法对报文的加密机制为：

1)接收报文输入；

2)定位数据字段，提取数据；

3)加密数据字段，对数据字段进行加密算法；

4)重新计算FCS，加上原来的目的MAC地址和源MAC地址，重新计算FCS校验域；

5)重新构造报文；

6)发送报文输出，交换机可以根据该加密报文的目的MAC地址寻找到正确的目的计算机；

对报文的解密机制为：

1)接收报文输入；

2)校验数据字段，提取相应数据；

3)解密数据字段，对数据字段进行解密算法；

4)重新构造报文；

5)发送报文输出。

所述的加密过程中步骤2)定位数据字段，提取数据，所提取的数据包含：TYPE域和DATA域，即：类型长度域和数据净荷。

基于该方法的安全网卡(SafeNIC)，它包括：一块8139芯片、两块PHY芯片、一个RJ45插口，它还包括一块植入有加解密机制的加解密芯片，该网卡结构为：按8139芯片-PHY芯片-加解密芯片-PHY芯片-RJ45插口的顺序通信连接。