[发明专利]网络安全管理方法及其系统

权利要求书

1.一种网络安全管理方法，其特征在于包括以下步骤：

步骤一：安全网卡与安全交换机使用证书创建加密隧道；

步骤二：安全网卡向安全交换机请求身份验证；

步骤三：若身份验证通过，安全交换机生成安全网卡的通信密钥，并把认证通过信息、安全网卡本地数据加解密密钥、安全网卡通信密钥通知给安全网卡，否则发回认证失败信息；

步骤四：安全网卡获取上述密钥后，本地数据加解密开始工作，当本地数据加解密开始工作，受控主机进行操作系统引导，并启动受控主机防护模块并受安全网卡看护，开始进行主机保护；

步骤五：IP协议通信发生，安全网卡从缓存直接获得未过期的目标地址的通信密钥，或从安全交换机获取目标地址的新的通信密钥，以该密钥对发出的IP包内容进行加密，若目标地址的通信密钥获取失败，将产生此次IP协议通信的失败，对于收到的IP包则用安全网卡自身的通信密钥解密。

2.如权利要求1所述的网络安全管理方法，其特征在于：所述步骤二中，安全网卡向安全交换机进行请求身份认证，安全交换机将对安全网卡进行身份ID识别和权限授予。

3.一种网络安全管理系统，包括受控主机、安全交换机和安全网卡，其特征在于：所述受控主机连接用于完成身份认证、密钥管理、通信加密和本地数据加密功能的安全网卡，所述安全网卡连接用于策略管理和配置管理、安全网卡用户身份认证以及通信密钥和本地数据加解密密钥分发功能的所述安全交换机，

所述安全网卡包括主控制器，分别与主控制器连接并受其集成控制的硬盘加密模块、USB口、以太网口；所述主控制器与所述受控主机通过计算机总线接口连接通信；硬盘加密模块与受控主机的硬盘接口连接通信，硬盘加密模块通过硬盘接口对硬盘进行数据拦截，实现对硬盘的读写加解密；以太网口传输安全网卡与安全交换机的认证信息，并传输受控主机防护模块与安全交换机的管理信息和加密受控主机正常的业务信息流，设置安全网卡总线接口工作在从模式与受控主机通信。

4.如权利要求3所述的网络安全管理系统，其特征在于：所述系统还包括用于管理安全网卡和安全交换机的管理模块，并通过浏览器/服务器模式或客户机/服务器模式来访问安全网卡和安全交换机，完成策略和配置管理变更操作。

5.如权利要求3或4所述的网络安全管理系统，其特征在于：所述安全网卡与受控主机的通信接口为计算机总线接口。

6.根据权利要求5所述的网络安全管理系统，其特征在于：所述计算机总线接口为PCI总线接口。

7.如权利要求6所述的网络安全管理系统，其特征在于：所述受控主机还包括接收安全交换机发送的策略，并按照既定策略对主机进行防护、日志上传的受控主机防护模块，其通过计算机总线接口与安全网卡连接通信。