[技術領域]

本發明涉及一種實現局域網信息安全的方法，尤其涉及一種實現局域網信息安全的方法及基于方法的安全網卡及網絡。

[背景技術]

以太網的普及使得計算機以太網網口成為網絡辦公必不可少的一個通訊接口，該網口在帶給網絡辦公高效快捷的同時，也給計算機內的技術資料保密工作帶來了極大的威脅。為了杜絕通過網絡泄密的情況，目前在局域網信息安全上應用比較多的方案就是把局域網劃分成內網和外網兩個相互獨立的網絡，內外網之間物理隔離。一般內網和外網之間按照物理區域進行劃分，內外網之間無物理連接，外網接入Internet，而內網不接入，這樣組網后內網的資料信息看似安全，實際上仍然存在很大的漏洞和缺陷。

總的來看，簡單網絡隔離存在以下問題：

1)安全方面：該方案在安全方面仍有漏洞，可能通過移動通訊設備泄密。從技術層面看，目前可以通過便攜式計算機、移動網口硬盤、無線局域網等通用設備直接同內網計算機進行通訊，竊取保密資料。

2)監管方面：該方案實現后監管難度大。隨著通訊設備小型化、微型化的發展，通過保安人員物理監控以上設備不能進入保密區域的難度越來越大，不僅技術上存在漏檢的可能性，而且很難得到被檢查人員的配合，被檢人員抵觸情緒大，容易造成管理上的困難。

3)使用方面：該方案使用不方便，嚴重影響辦公效率。由于內網同外部Internet物理隔離，內網計算機不能自由上網查詢資料，更不能通過Internet進行正常的溝通交流，導致正常的辦公受到很大影響。而且由于內網計算機和外網計算機可以通過直連網線、通用交換機、無線交換機等方式繞開公司的通訊網絡而直接建立連接，因此內網和外網的計算機不能允許在同一個物理區域存在，內網和外網必須有一個足夠的物理距離，而目前的無線局域網設備的有效通訊距離高達數百米，這就要求公司得有兩處距離足夠的辦公區域。而員工要上網查閱資料或收發Email就必須到數百米以外的外網區域才能進行，這對辦公的影響是非常嚴重的。

4)設備方面：該方案固定投入成本高。不算兩處獨立的辦公區域的投入，單內網和外網的通訊設備不能共享的投入就增加了一大筆開支，因為原本只需一套網絡設備，而分內網外網必需兩套網絡設備。

5)維護方面：該方案維護成本高。兩套網絡設備的正常運行，需要兩倍的設備維護管理的投入，而且每臺內網的計算機都有可能泄密的網口，安全管理人員需要對每臺內網計算機進行有效監控。

6)技術方面：該方案尚無可靠的技術手段對網口進行可靠監管，通過軟件對網口的通訊進行監控，是一個比較常用的網口監控方法。但這種方法的漏洞很多，不僅病毒、黑客可能攻破這些監控軟件，而且通過最簡單的光驅啟動就可以阻止這些監控軟件的啟動，就可以將計算機的資料毫不費力地全部拷走，而且不留任何痕跡。

[發明內容]

本發明的目的在于提供一種實現局域網信息安全的方法及基于該方法的安全網卡、網絡。該方法的創新點在于：在普通網卡的基礎上，通過新增一個芯片或模塊，在該芯片或模塊內植入加密/解密機制使其成為加解密芯片，由該加解密芯片實現對以太網報文的強行加/解密處理。

前述的芯片，可采用普通的可編程芯片，或采用ASIC芯片，或用各類CPU來實現。

所述的實現局域網信息安全的方法對報文的加密機制為：

1)接收報文輸入；

2)定位數據字段，提取數據；

3)加密數據字段，對數據字段進行加密算法；

4)重新計算FCS，加上原來的目的MAC地址和源MAC地址，重新計算FCS校驗域；

5)重新構造報文；

6)發送報文輸出，交換機可以根據該加密報文的目的MAC地址尋找到正確的目的計算機；

對報文的解密機制為：

1)接收報文輸入；

2)校驗數據字段，提取相應數據；

3)解密數據字段，對數據字段進行解密算法；

4)重新構造報文；

5)發送報文輸出。

所述的加密過程中步驟2)定位數據字段，提取數據，所提取的數據包含：TYPE域和DATA域，即：類型長度域和數據凈荷。

基于該方法的安全網卡(SafeNIC)，它包括：一塊8139芯片、兩塊PHY芯片、一個RJ45插口，它還包括一塊植入有加解密機制的加解密芯片，該網卡結構為：按8139芯片-PHY芯片-加解密芯片-PHY芯片-RJ45插口的順序通信連接。