[发明专利]保护网络空间安全的电子隔离墙方法、装置及系统

权利要求书

1.一种保护网络空间安全的电子隔离墙方法，其特征在于，包括：

在通过电子墙隔离的第一网络空间和第二网络空间之间建立可信认证和安全连接；

用户终端对初始请求接入的网络空间进行网络空间注册，并向所述网络空间进行安全认证以及身份和网络的分离映射；

当用户向当前接入的第一网络空间之外的第二网络空间申请接入时，用户终端向所述的第二网络空间进行网络空间注册，并根据在所述第二网络空间注册的身份符号执行跨网络空间安全认证以及身份和网络的分离映射,包括：

S301当用户向当前接入的第一网络空间之外的第二网络空间申请认证接入时，用户终端向所述的第二网络空间注册；

S302用户终端向第二网络空间申请接入认证；

S303第一网络空间中的第一接入路由器收到用户的认证请求时，判断用户使用的不是第一网络空间的身份标识，则根据网络空间的映射关系将该认证请求转发至安全虚拟专用通道的起始端；

S304所述安全虚拟专用通道起始端将所述认证请求进行安全封装，并转发至第二网络空间中的安全虚拟专用通道对端；

S305所述安全虚拟专用通道对端将报文解封装，判断解封装后的请求报文中用户使用的是否为第二网络空间的身份标识，是则执行步骤S606，否则根据映射关系转发；

S306安全虚拟专用通道对端为第二网络空间中的第二接入路由器，所述第二接入路由器向用户终端回复认证响应，所述认证响应消息根据映射关系通过安全虚拟专用通道返回至用户终端；

S307所述用户终端收到认证响应消息，向第二网络空间的第二接入路由器发送认证参数；

S308第二网络空间的第二接入路由器收到认证参数消息时，加入终端的接入符号，将该消息转发给第二网络空间的认证中心服务器装置进行查询；

S309第二网络空间的认证中心服务器装置收到认证查询消息，根据用户终端的接入符号查询第二网络空间的终端信息列表，并通过加密算法对信息加密对比，将对比结果作为查询返回；

S310第二接入路由器收到查询返回消息，根据映射关系通过安全虚拟专用通道转发给用户终端，如果认证结果为失败，则停止执行后续步骤；如果认证结果为成功，则执行步骤611向第二网络空间的映射服务器装置汇报自身路由符号与用户终端身份符号的映射关系；

S311第二网络空间的映射服务器装置收到映射汇报的消息时，将映射关系存储到第二网络空间的映射对象列表中，并向第二网络空间下发映射更新指令。

2.根据权利要求1所述的方法，其特征在于，所述的在通过电子墙隔离的所述第一网络空间和第二网络空间之间建立可信认证和安全连接，包括：

第一网络空间和第二网络空间分别向对方通告信息，双方分别对收到的信息进行验证，双方验证成功后，分别保存连接关系将到各自网络空间的映射服务器装置中，并发送协商信令，协商信令成功后，建立和保存安全虚拟专用通道，将安全虚拟专用通道映射关系保存在各自的映射服务器装置中，并向各自的网络空间下发映射更新指令，引导用户报文流传输。

3.根据权利要求1所述的方法，其特征在于，所述的方法还包括在电子墙隔离的相邻网络空间之间建立可信认证和安全连接后，所述的网络空间定时发送探测信令，维持安全虚拟专用通道的连接状态。

4.根据权利要求1所述的方法，其特征在于，所述的网络空间注册包括：

S41用户终端向网络空间发送注册请求及相关信息；

S42所述网络空间根据用户终端发送的注册请求及相关信息,网络空间的认证中心服务器装置从身份符号库中选出一个未用的身份符号，将包含所述身份符号的注册结果加密返回给所述用户终端；

S43用户终端保存所述注册结果。