本发明涉及计算机网络安全领域,具体为一种教学用计算机网络信息安全装置。
背景技术:
计算机以其信息存储量大及信息处理速度迅捷,为政府管理、科技研发、军队建设以及企业发展插上了腾飞的翅膀,计算机中存储着大量的公司机密,包括业务机密、技术机密、决策管理机密等等,计算机信息的安全对于公司来讲是尤为重要的,因此,涉密单位会采取很多措施来防范计算机信息被盗的风险,大多采用的防范外贼的手段是在公司安装监控设备、报警设备等,对于防范公司内部人员盗取信息数据的常规手段是计算机不设置对外传输接口,但是越来越多的信息是在人们上网时被盗的,为了上网时保护计算机的数据安全,有的客户采用安装软件防火墙,但是软件防火墙安装在应用层的,在程序运行时,软件防火墙才启动,其对计算机的保护的效果是不大的,是一种伪保护,而计算机是个开放的信息储存与交流平台,内部信息极其容易通过usb、软驱、光驱、串口、并口、红外、1394接口以及网络非法拷贝出来,特别是通过大容量活动硬盘,甚至能够将整个局域网信息完全拷贝走。
技术实现要素:
为了克服现有技术方案的不足,本发明提供一种教学用计算机网络信息安全装置,能有效的解决背景技术提出的问题。
本发明解决其技术问题所采用的技术方案是:
一种教学用计算机网络信息安全装置,包括计算机终端,以及通过tcp/ip连接的管理服务器,且管理服务器包括认证服务器、vcn切换装置、网络控制、端口管理模块以及双层数据备份模块,计算机终端通过usbkey集成硬件的单一接口实现内置用户的登陆管理,且在usbkey集成硬件中设置应用层的硬件放火墙模块,计算机终端由usbkey集成硬件中的pin码开机狗实现身份认证,且同时通过pin码开机狗获取来自认证服务器的网络连接授权,usbkey集成硬件中的单向防拷贝模块将计算机终端其它移动设备的接口设置为禁止读写或只读状态,且计算机终端通过usbkey集成硬件的网络接口管理模块和usb接口实现网络的连接管理和数据传输。
进一步地,其中双层数据备份模块包括硬件数据库a和硬件数据库b,且管理服务器具有硬件数据库a的直接管理授权,硬件数据库b通过vcn网关后接入管理服务器,硬件数据库a和硬件数据库b之间的连接路径上设置有继电器触点开关。
进一步地,在usbkey集成硬件中的单向防拷贝模块包括高速为处理器、集成pci总线协议、加解密算法的fpga芯片和高速缓存flash存储器组成,高速微处理器内部为三级流水。
进一步地,计算机终端的cpu的网络端口通过网卡与硬件防火墙的输入端相连接,硬件防火墙采用eudemon8080的防火墙。
与现有技术相比,本发明的有益效果是:
(1)本发明的通过usbkey集成硬件对接入计算机网络的计算机终端实现虚拟化区域划分,实现了统一化管理,计算机终端采用用户启动和加密的专用设备usbkey和pin码开机狗,形成双因素安全登录和避免强制访问保护,同时,单向拷贝模块中的数据传输算法,保证了数据交换处于相对的保密和安全的状态;
(2)本发明的系统允许每个计算机终端有足够的权利进行服务器数据信息的访问,而在安全情况下的内网访问授权中可对敏感数据进行保护设置并座相应的控制和加密,且不依赖于网络是否连通,相应的双硬件数据库的备份机制能够有效的防止数据信息被破坏,保护信息安全。
附图说明
图1为本发明的整体系统结构示意图;
图中标号:
1-计算机终端;2-管理服务器;3-usbkey集成硬件;4-网卡;
201-认证服务器;202-vcn切换装置;203-网络控制;204-端口管理模块;205-双层数据备份模块;2051-硬件数据库a;2052-硬件数据库b;2053-vcn网关;2054-继电器触点开关;
301-硬件放火墙;302-pin码开机狗;303-单向防拷贝模块;304-网络接口管理模块;305-usb接口;3031-高速微处理器;3032-集成pci总线协议;3033-加解密算法fpga芯片;3034-高速缓存flash存储器。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明提供了一种教学用计算机网络信息安全装置,包括计算机终端1,以及通过tcp/ip连接的管理服务器2,且管理服务器2包括认证服务器201、vcn切换装置202、网络控制203、端口管理模块204以及双层数据备份模块205,计算机终端1通过usbkey集成硬件3的单一接口实现内置用户的登陆管理,且在usbkey集成硬件3中设置物理层的硬件放火墙模块301,计算机终端1由usbkey集成硬件3中的pin码开机狗302实现身份认证,且同时通过pin码开机狗302获取来自认证服务器201的网络连接授权,usbkey集成硬件3中的单向防拷贝模块303将计算机终端1其它连接移动设备的接口设置为禁止读写或只读状态,且计算机终端1通过usbkey集成硬件3的网络接口管理模块304和usb接口305实现网络的连接管理和数据传输。
本发明中通过管理服务器中2的vcn切换装置202将接入tcp的计算机终端分为虚拟化的认证区和未认证区,而认证区的计算机终端1的前提为介入usbkey集成硬件3,且usbkey集成硬件3所附带的pin码生成访问请求,通过认证服务器201的授权,从而实现计算机终端1启动应用访问,同时pin码开机狗302将唯一标识接口的pin码键入,实现计算机的初始启动,计算机终端1的cpu的网络端口通过网卡4与硬件防火墙301的输入端相连接,硬件防火墙301采用eudemon8080的防火墙,eudemon8080硬件防火墙安装在物理层,且在网卡4之前,有效的阻止多种攻击,dos攻击防范类型包括:synflood、icmpflood、udpflood、cc攻击、ipspoofing、land攻击、smurf攻击、fraggle攻击、winnuke、pingofdeath、teardrop、地址扫描、端口扫描、ipoption控制、ip分片报文控制、tcp标记合法性检查、超大icmp报文控制、icmp重定向报文、icmp不可达报文、tracert报文、httpget攻击、bgpflood攻击、dnsflood攻击等。
其中双层数据备份模块205包括硬件数据库a2051和硬件数据库b2052,且管理服务器2具有硬件数据库a2051的直接管理授权,硬件数据库b2052通过vcn网关2053后接入管理服务器2,硬件数据库a2051和硬件数据库b2052之间的连接路径上设置有继电器触点开关2054,当安全网络连接网卡4使得继电器触点开关2054连通,硬件数据库a中的内容被实时的备份在硬件数据库b中,而在进行硬件数据库b的读取授权时必须通过vcn网关使得硬件数据库b处于内网状态,当网卡4切换或vcn切换装置进行网络连接状态转换由网络连接状态转位内网状态时,继电器触点开关2054断开,使得硬件数据库b和硬件数据库a断开连接,停止备份,且至提供硬件数据库a和服务器的连接,vcn网关2053将硬件数据库b切换至内网状态,同时禁止计算机终端1的访问授权,从而保证数据库的信息安全,避免网络病毒侵入,防止数据库内容损坏。
在usbkey集成硬件3中的单向防拷贝模块303包括高速微处理器3031、集成pci总线协议3032、加解密算法的fpga芯片3033和高速缓存flash存储器3034组成,高速微处理器内部为三级流水,其中的加解密算法的fpga芯片3033在进行加解密算法时,产生两个密钥,同时选取两个一样大的素数p和q,公开密钥包括模数m和指数e。模数m=p×q;指数e是加密密钥,随机选取使e和(p-1)(q-1)互素。私人密钥d是解密密钥,满足e×d≡1mod(p-1)(q-1),即d=e-1mod((p-1)(q-1)),加密时,将明文分成比m小的数据分组x(采用二进制,选取小于n的2的最大次幂),加密后的密文由相同长度的分组c组成,计算公式为:加密公式:c=xe(modm)解密数据时,取每一个加密后的分组c计算,恢复明文x,计算如下:解密公式:x=cd(modm)。
在加解密计算的同时通过内置的状态机控制整个算法处理过程流转,控制模块生产各个模块在相应状态下的控制信号,包括三级流水控制和中断控制等,高速缓存flash存储器3034模乘运算的中间结果和最后结构,并最后由网络接口模块304与外部集成pci总线协议3032信号匹配,完成数据输入和输出。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。