本發(fā)明涉及一種網(wǎng)絡(luò)安全加密裝置，連接在受保護(hù)客戶機(jī)與網(wǎng)絡(luò)之間。網(wǎng)絡(luò)安全加密裝置與另一受保護(hù)客戶機(jī)協(xié)調(diào)對(duì)話密鑰。然后,對(duì)兩客戶機(jī)之間的所有通信進(jìn)行加密。本發(fā)明的裝置是自配置的,它把自己鎖定在其客戶機(jī)的IP地址上。因此,一旦設(shè)備后客戶機(jī)不能改變其IP地址,所以不能仿真另一客戶機(jī)的IP地址。當(dāng)從受保護(hù)主機(jī)傳輸數(shù)據(jù)包時(shí),在把數(shù)據(jù)包傳輸?shù)骄W(wǎng)絡(luò)內(nèi)之前,安全裝置把客戶機(jī)的MAC地址轉(zhuǎn)換成其自己的MAC地址。定址到主機(jī)的數(shù)據(jù)包含有安全裝置的MAC地址。在把數(shù)據(jù)包傳輸給客戶機(jī)。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)，更具體地說(shuō)，涉及一種網(wǎng)絡(luò)安全加密裝置。

背景技術(shù)

目前已有的網(wǎng)絡(luò)安全產(chǎn)品分成兩類：(1)防火墻，例如兩面神(Janus)和ANS 以及(2)軟件產(chǎn)品，諸如加密郵件、保密http、一次口令等。

防火墻是一種專用計(jì)算機(jī)，通常運(yùn)行Unix操作系統(tǒng)。它起到對(duì)輸入和輸 出的通信進(jìn)行過(guò)濾的作用。防火墻作為路由器放置在局域網(wǎng)(LAN)與外界世界 之間。根據(jù)源和/或目的地IP地址以及TCP端口號(hào)決定是否讓數(shù)據(jù)包通過(guò)。一 些防火墻還能加密數(shù)據(jù)，只要通信的兩端都使用相同類型的防火墻。一些防火 墻具有個(gè)入鑒定的特點(diǎn)。

軟件產(chǎn)品是基于這樣一種假定，安裝有軟件產(chǎn)品的計(jì)算是安全的，僅需要 對(duì)外部網(wǎng)絡(luò)進(jìn)行保護(hù)。因此，這種軟件產(chǎn)品能通過(guò)斷開計(jì)算機(jī)容易地旁路。一 種通常的方案是當(dāng)入侵者在計(jì)算機(jī)上植入“特洛伊馬”時(shí)，它向他傳送每次處 理的未加密的復(fù)制件。有時(shí)，即使在計(jì)算機(jī)不可能受監(jiān)視的間斷時(shí)間期間，把 它用為延遲動(dòng)作一樣完成。

另外，有一些設(shè)計(jì)成防止入侵以保持計(jì)算機(jī)完整的鑒別產(chǎn)品。這些產(chǎn)品是 基于這種假設(shè)，即它們是100％安全的。一旦該產(chǎn)品受到危害，它就完全無(wú)效 了。有時(shí)，一用戶的不小心使用可能會(huì)危害該產(chǎn)品的所有其它用戶。

防火墻在保持網(wǎng)絡(luò)安全性方面更有效。然而，它們非常昂貴。其價(jià)格范圍 在$10,000至$50,000之間，加上硬件的價(jià)格。它們需要高級(jí)專家來(lái)安裝和維護(hù)。 大多數(shù)復(fù)雜和高效的防火墻需要經(jīng)專門訓(xùn)練技師或工程師對(duì)它們進(jìn)行維護(hù)。對(duì) 每個(gè)人專門訓(xùn)練的費(fèi)用高達(dá)$10,000，加上每年$60,000至$120,000的薪水。

防火墻不得不進(jìn)行經(jīng)常維護(hù)、改進(jìn)以及監(jiān)視，以提供相當(dāng)?shù)陌踩浴Ｋ鼈?僅覆蓋互聯(lián)網(wǎng)協(xié)議的TCP部分，沒(méi)有覆蓋UDP部分。因此，它們不能對(duì)NFS(網(wǎng) 絡(luò)文件服務(wù))和許多客戶機(jī)/服務(wù)器應(yīng)用提供安全性。

防火墻是一種全服務(wù)計(jì)算機(jī)，它可以登入以進(jìn)行維護(hù)和監(jiān)視。因此，它可 以斷開。一旦防火墻受到危害，它就失去其作用，成為負(fù)擔(dān)而不是安全助手。 防火墻僅保護(hù)LAN與WAN(廣域網(wǎng))之間的連接。它不保護(hù)從LAN內(nèi)入侵到 特定的主機(jī)。

由于上述原因，本發(fā)明的目的在于提供一種網(wǎng)絡(luò)安全加密裝置，它克服了 已有技術(shù)的網(wǎng)絡(luò)安全加密裝置的缺點(diǎn)。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問(wèn)題在于，針對(duì)現(xiàn)有技術(shù)的上述現(xiàn)有問(wèn)題,提供一種 網(wǎng)絡(luò)安全加密裝置。

本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是：構(gòu)造一種網(wǎng)絡(luò)安全加密裝 置，包含：(a)連接到至少一個(gè)特定節(jié)點(diǎn)上的第一網(wǎng)絡(luò)接口，(b)連接到網(wǎng)絡(luò)上 的第二網(wǎng)絡(luò)接口，(c)連接到所述第一和第二接口上的處理電路，所述處理電 路(1)在所述第二接口把所述數(shù)據(jù)包傳輸給所述網(wǎng)絡(luò)之前，把包含在所述第 一接口從所述至少一個(gè)特定節(jié)點(diǎn)接收到的數(shù)據(jù)包內(nèi)的所述至少一特定節(jié)點(diǎn)的MAC地址轉(zhuǎn)換成所述網(wǎng)絡(luò)安全加密裝置的MAC地址，(2)把包含在從所述網(wǎng)絡(luò) 接收到的數(shù)據(jù)包內(nèi)的所述網(wǎng)絡(luò)安全加密裝置的MAC地址轉(zhuǎn)換成所述至少一個(gè) 特定節(jié)點(diǎn)的所述MAC地址。

本發(fā)明中，所述第一和第二網(wǎng)絡(luò)接口為以太網(wǎng)接口。

本發(fā)明中，所述處理電路對(duì)包含在從所述至少一個(gè)特定節(jié)點(diǎn)接收到的所述 數(shù)據(jù)包內(nèi)的用戶數(shù)據(jù)進(jìn)行加密，而包含在從所述至少一個(gè)特定節(jié)點(diǎn)接收到的所 述數(shù)據(jù)包內(nèi)的IP地址保持不加密。