一种网络安全访问控制体系结构及实现方法

摘要

本发明提供一种网络安全访问控制体系结构及实现方法，该是由上层适配器、底层适配器、数据处理器和加解密器分别组成收发送节点，发送节点将网络层打包后的数据经过发送节点处理后，送入数据链路层发送队列发送到接收节点，接收节点接收到数据链路层数据后，经过接收节点处理后送入网络层，并通过节点标识和系统时间对数据的安全性及访问权限进行控制；该方法基于密值学运算，通过加密网络层的数据包，使非相同组织的终端节点互不可见，并且内部机制使用户在使用本系统的时候不用输入用户名及密值，为网络中各个终端之间的通信提供安全保证。

主权项

一种网络安全访问控制方法，其特征在于在接收发送节点中分别设置上层适配器、底层适配器、数据处理器和加/解密器，发送节点将网络层打包后的数据依次经过上层适配器、数据处理器、加/解密器和底层适配器的处理后，送入数据链路层发送队列发送到接收节点，接收节点接收到数据链路层数据后，分别经过底层适配器、加/解密器、数据处理器和上层适配器处理后送入网络层，并通过节点标识和系统时间对数据的安全性及访问权限进行控制；网络中的服务器负责节点标识和系统时间的发放并维护‘节点标识-MAC-IP表’，其中，上层适配器的任务是：在发送数据时，将网络层的数据拆分成若干段，并在每段数据前面加上唯一标识；具有唯一标识的数据段包括：网络层包的编号、包拆分的数据段的数量、数据段的位置、数据段的长度和分解后的数据段，将所拆分的带有唯一标识的数据段随机的选取若干个组合成一段新的数据传送给数据处理器；在接收数据时，上层适配器接收到数据处理器拆分的带有唯一标识的数据段数据后，根据数据段前的标识还原成网络层在接收数据时识别的原数据包，再传送到网络层；数据处理器发送数据时，给上层适配器传来的数据增加头信息、目的节点标识、发送节点标识、形成本段数据的系统时间标识、随机扰值、数据段长度标识，并在此数据后面加上此段数据的奇偶校验值，目的节点标识是根据‘节点标识-MAC-IP表’的对应关系确定；数据处理器接收数据时在加/解密器解密后的数据里分离出目的节点标识、发送节点标识、形成本段数据的系统时间标识、数据段的长度标识和数据段的奇偶校验码信息，验证数据目的节点标识是否是本节点、数据的发送节点标识是否是已知节点、验证系统时间格式是否正确、验证接收到的数据的系统时间是否在约定的有效时间内，根据‘节点标识-MAC-IP表’所记录的对应关系验证接收到的数据的目的节点与发送节点的正确性和验证此数据段的奇偶校验值；底层适配器的任务是：发送数据时，在加/解密器加密过的数据前增加与现有系统所兼容的头信息和在数据后增加此条数据的奇偶校验值；接收数据时，检查数据的奇偶校验值和去除数据附加的头信息，并传送到加/解密器，其中，头信息主要包括：发送和接收节点的网络层地址、上层协议标识、用于区分所属网络的安全域标号。