[发明专利]建立网络隔离通道的设备及其方法

说明书

技术领域

 本发明涉及一种建立网络隔离通道的设备及其方法，属于网络通信安全技术领域。

背景技术

随着网络的普及以及国家物联网战略规划的推动，网络通信的安全问题引起了全社会的强烈关注。不法分子利用网络工具进行高科技作案，恐怖分子和敌对势力利用网络工具进行破坏活动。面对信息安全的严峻形势，我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估，我国被列入防护能力最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。近年来，国内与网络有关的各类违法行为以每年30%的速度递增。因此，网络安全技术的开发对我国的国民经济和国家战略利益具有及其重要的意义。

由于网络安全的需求很大，目前市场上有各种各样的网络安全设备，如果恰当配置和维护可以达到较高的安全等级。其缺点是需要专业人员维护，不易配置，容易出错。绝大部分中小企业没有网络安全方面的专业技术人员。

发明内容

本发明的目的是克服现有技术存在的不足，提供一种建立网络隔离通道的设备及其方法，解决中小企业不同部门之间通过公网进行安全通信的问题，零配置零维护，不需要专业人员。

本发明的目的通过以下技术方案来实现：

建立网络隔离通道的设备，特点是：在两台或多台网络设备之间通过网络通道隔离设备（Tunnel Isolating Device ，TID）构建安全的通信通道，网络通道隔离设备有一个内侧网络接口和一个外侧网络接口，内侧网络接口接内侧网络设备，外侧网络接口接外侧网络设备，连接内侧网络接口的网络设备由网络通道隔离设备保护，由一个网络通道隔离设备保护的网络设备的集合称为一个网络通道隔离设备保护域，不同保护域内的主机间安全通信。

进一步地，上述的建立网络隔离通道的设备，其中，连接内侧网络接口的网络设备是带有网络接口的使用Internet通信协议的任何电子设备。

更进一步地，上述的建立网络隔离通道的设备，其中，连接外侧网络接口的网络设备是带有网络接口的使用Internet通信协议的任何电子设备。

本发明建立网络隔离通道的方法，网络通道隔离设备对经过的数据包进行自动加密和解密，网络通道隔离设备成对或多个一起使用，通过内侧网络接口进入网络通道隔离设备的所有用户数据包被加密，并从外侧网络接口输出；通过外侧网络接口进入网络通道隔离设备的用户数据被检测，如果数据包没有被加密或无法被正确解密，则数据包被丢弃，只有被正确解密的数据包才从内侧网络接口输出进入保护域，使任何其他第三方都不能解密由保护域内网络设备或主机发送的数据包，同时任何没有被加密的数据包无法进入保护域，在保护域和外网之间信息隔离；从而在不同保护域的网络设备间建立虚拟隔离通道，进行安全通信。

再进一步地，上述的建立网络隔离通道的方法，其中，过程分为产生和分发主密钥的初始化阶段，以及子密钥的产生和更新过程、数据加密传输的运行阶段；

初始化阶段：设备初始化，产生和分发主密钥：将需要匹配的网络通道隔离设备用网线依次首尾相连形成一个闭环，一个设备的内侧网络接口连接另一设备的外侧网络接口；按下其中一个网络通道隔离设备上的初始化键，该设备启动密钥初始化协议，该协议包括四个阶段：密钥算法选择、密钥产生、密钥分发和密钥验证，密钥算法选择：密钥协议选择一种密钥算法；密钥产生：启动密钥初始化协议的设备随机产生一个主密钥；密钥分发：将密钥算法和主密钥封装在一个数据包中然后从外侧网络接口送出，下一个网络通道隔离设备接收到数据包后，存储密钥算法和主密钥并转发数据包，当启动密钥初始化协议的通道隔离设备在另一端即内侧网络接口接收到自己产生的包含密钥算法和主密钥的数据包时，说明密钥分发完成；密钥验证：测试主密钥分发的正确性，密钥分发完成后，启动密钥协议的设备产生一个密钥协议验证数据包，其中包括明码数据和相应的由主密钥加密的密文，数据包被发往下一节点验证，如果该节点能正确解码密文，就把该数据包发往下一节点继续验证，否则产生一个验证错误数据包并传递给下一节点，当启动密钥协议的设备收到由自己产生的密钥验证数据包时，密钥验证完成；当启动密钥协议的设备收到验证错误数据包时，重新开始密钥初始化协议；