[发明专利]建立网络隔离通道的设备及其方法

权利要求书

1.建立网络隔离通道的设备，其特征在于：在两台或多台网络设备之间通过网络通道隔离设备构建安全的通信通道，网络通道隔离设备有一个内侧网络接口和一个外侧网络接口，内侧网络接口接内侧网络设备，外侧网络接口接外侧网络设备，连接内侧网络接口的网络设备由网络通道隔离设备保护，由一个网络通道隔离设备保护的网络设备的集合称为一个网络通道隔离设备保护域，不同保护域内的主机间安全通信。

2.根据权利要求1所述的建立网络隔离通道的设备，其特征在于：连接内侧网络接口的网络设备是带有网络接口的使用Internet通信协议的任何电子设备。

3.根据权利要求1所述的建立网络隔离通道的设备，其特征在于：连接外侧网络接口的网络设备是带有网络接口的使用Internet通信协议的任何电子设备。

4.权利要求1所述的设备实现建立网络隔离通道的方法，其特征在于：网络通道隔离设备对经过的数据包进行自动加密和解密，网络通道隔离设备成对或多个一起使用，通过内侧网络接口进入网络通道隔离设备的所有用户数据包被加密，并从外侧网络接口输出；通过外侧网络接口进入网络通道隔离设备的用户数据被检测，如果数据包没有被加密或无法被正确解密，则数据包被丢弃，只有被正确解密的数据包才从内侧网络接口输出进入保护域，使任何其他第三方都不能解密由保护域内网络设备或主机发送的数据包，同时任何没有被加密的数据包无法进入保护域，在保护域和外网之间信息隔离。

5.根据权利要求4所述的建立网络隔离通道的方法，其特征在于：过程分为产生和分发主密钥的初始化阶段，以及子密钥的产生和更新过程、数据加密传输的运行阶段；

初始化阶段：设备初始化，产生和分发主密钥：将需要匹配的网络通道隔离设备用网线依次首尾相连形成一个闭环，一个设备的内侧网络接口连接另一设备的外侧网络接口；按下其中一个网络通道隔离设备上的初始化键，该设备启动密钥初始化协议，该协议包括四个阶段：密钥算法选择、密钥产生、密钥分发和密钥验证，密钥算法选择：密钥协议选择一种密钥算法；密钥产生：启动密钥初始化协议的设备随机产生一个主密钥；密钥分发：将密钥算法和主密钥封装在一个数据包中然后从外侧网络接口送出，下一个网络通道隔离设备接收到数据包后，存储密钥算法和主密钥并转发数据包，当启动密钥初始化协议的通道隔离设备在另一端即内侧网络接口接收到自己产生的包含密钥算法和主密钥的数据包时，说明密钥分发完成；密钥验证：测试主密钥分发的正确性，密钥分发完成后，启动密钥协议的设备产生一个密钥协议验证数据包，其中包括明码数据和相应的由主密钥加密的密文，数据包被发往下一节点验证，如果该节点能正确解码密文，就把该数据包发往下一节点继续验证，否则产生一个验证错误数据包并传递给下一节点，当启动密钥协议的设备收到由自己产生的密钥验证数据包时，密钥验证完成；当启动密钥协议的设备收到验证错误数据包时，重新开始密钥初始化协议；

运行阶段 ：经过初始化的网络通道隔离设备安装在网络设备上进行安全通信，网络通道隔离设备的连接方法是：将内侧网络接口连接需要保护的网络设备或主机，将外侧网络接口连接外网或公网，当保护域内的网络通信设备开始通信时，如果还没有产生相应的子密钥，网络通道隔离设备从接收到的数据包中提取目的地地址并缓存该数据包；该通道隔离设备随机产生一个子密钥，并用主密钥将子密钥加密发往提取的目的地地址，当包含子密钥的数据包通过目的地的通道隔离设备时，该数据包被截获，截获该数据包的通道隔离设备用主密钥解密该数据包，提取子密钥，并发送应答数据包，当发送子密钥的通道隔离设备接收到应到时，用子密钥加密用户数据包，开始安全通信，子密钥进行不定期更新，加密用户数据，主密钥仅用于加密并传递子密钥，不用于加密用户数据。