[发明专利]用于访问和保护网络设备的安全方法

说明书

技术领域

本发明系关于网络安全应用，具体为一种用于访问和保护网络设备的方法，例如安全网关和网络管理服务器。

背景技术

在网络环境中，网络设备丢失的潜在风险客观存在，例如安全网关、网络管理服务器、路由器等等。如果设备丢失，如何保护其中的数据是信息技术(IT)管理员面临的一大难题。特别是当丢失的设备是网络管理服务器时，其中可能包含重要数据，例如网络拓扑结构、IT管理员用户名和密码以及其它高度保密的信息。这类设备即使存放时上锁以求安全，仍然可能被偷窃，其中的秘密数据就可能被他人得知。

发明内容

本发明的主旨即在于提供一种设备和方法来防止数据在未经认证的情况下被访问。

为了达到上述目标，本发明提供了一种网络设备。该网络设备包括一个硬件安全设备，其中包含了该网络设备的安全性令牌信息。该网络设备还包括一个认证模块，认证模块可与硬件安全设备互动以认证其中包含的安全性令牌信息。只有在硬件安全设备成功通过认证模块的认证时该网络设备才可正常工作。

附图说明

后文具体实施方式结合以下附图进行，将使得本发明之优点、新颖性和其它特征更加显而易见。

图1为本发明提供的一种防止数据在未经认证的情况下被访问的网络设备的块图。

图2为本发明提供的一种用于访问和保护网络设备的方法的块图。

具体实施方式

以下将对本发明的实施例进行具体描述。需要理解的是，尽管后文对本发明的说明是结合实施例来进行的，本发明并非限于这些实施例。相反，本发明涵盖了后附权利要求所界定的发明范围内的所有替代物、变体和等同物。

另外，下文给出了众多细节以详细说明本发明的实施方式，本领域技术人员应该理解，不使用这些细节，本发明同样可以实现。另外的一些示例中，大家熟知的方法、手续、元件和电路不作赘述，以凸显本发明之主旨。

图1所示为本发明提供的一种用于保护数据不被访问的网络设备110。举例来说，网络设备110可以是一种安全网关或者是网络管理服务器，该网络设备连接到一个网络上，例如因特网(图中未示出)。网络设备110中包含了重要信息，例如网络拓扑结构、IT管理员的用户名和密码以及其它高度保密的信息。即使网络设备110被盗，也可保证其中的数据在未经授权和认证的情况下无法访问。

在本发明的一个实施例中，网络设备110包括一个硬件安全设备140和一个认证模块142。另外，网络设备110还包括两个接口120和122。接口120用于连接硬件安全设备140和网络设备110。在本发明的一个实施例中，硬件安全设备140是嵌入在网络设备110内部的，因此接口120为虚拟接口以将硬件安全设备140设定为网络设备110内部的组件。

在本发明的另一实施例中，硬件安全设备140是可拆卸的组件，可通过接口120连接到网络设备110上。例如，硬件安全设备140可以是符合ISO 14443A标准的智能卡，其中包含了经过配置的网络设备110的安全性令牌信息，例如IT管理员的姓名、该信息的有效期和密码。

当认证模块142是网络设备110的内部组件时，接口122也可以是用于连接或安装认证模块142的虚拟接口。例如，接口122可以是PCI总线，用于连接认证模块142和网络设备110。在本发明的另一实施例中，认证模块142为可拆卸的组件，接口122为实际存在的接口，用于接收认证模块142并将其与网络设备110相连。

认证模块142与操作系统的内核或者工具和应用层协作，并与硬件安全设备140互动以执行认证和加密。在本发明的一个实施例中，网络设备110的操作系统为UNIX操作系统或类似UNIX的系统，例如Linux、Mac OS或BSD系列。本领域技术人员显然理解，UNIX操作系统的设计允许多个用户同时访计算机并共享其资源。UNIX操作系统包括三个部分：内核、外壳以及工具和应用。内核负责给任务排序并管理存储，是操作系统的中心模块，由操作系统最先载入。外壳负责连接和翻译用户命令、从存储器中调用并执行程序。工具和应用部分则提供额外的功能给操作系统。

在本发明的一个实施例中，认证模块142作用于操作系统的内核。内核控制硬件并根据编程器的命令打开和关闭系统的各个部分。在本发明的另一实施例中，认证模块142也可作用于操作系统的工具和应用部分。操作系统的工具和应用部分包括了数以百计的工具供用户使用，并按照特定功能加以分类。本领域技术人员显然理解，认证模块142的应用与操作系统中工具与和应用部分其它工具的应用类似。