[发明专利]网络联接技术及其系统

说明书

技术领域

本发明涉及现代通信技术、信息处理技术和计算机网络技术。单位(指国家机关、行政团体和事业企业等独立组织和机构，或者私人及其组织和机构等)构建的一个单独的计算机网络或者二个以上相联接的计算机网络系统，称为该单位的专有网络。把单位的各个计算机网络，通过常规计算机相互联接，以实现异构或者同构网络之间互联(Interconnection)、互通(Intercommunication)和互操作(Interoperability)的技术，广泛应用于电子政务、电子商务、电子军务、电子医务、电子公务、电子事务、电子银行、电子旅游、电子物流、自动化控制等领域。

背景技术

目前的现有技术中，路由器承担网络互联工作(internetworking)，它无法实现相联的两个网络之间的安全隔离。

在内联网络与外联网络之间设置的防火墙(包括硬件设备、相关的软件代码和安全策略)，容易被黑客(HACK)采用“反端口”技术攻克，入侵到防火墙后面的内部网络的计算机。内部人员有意的破坏行为，或者无意的非正常操作，都会对内部网络造成严重的威胁。防火墙无法防止来自网络内部的攻击和破坏行为，也是其主要缺陷之一。防火墙不能控制旁路连接(如内联网络的某台计算机，擅自与外联网连接)的信息流；不适合进行病毒检测；无法防范数据驱动型攻击；无法完全防御各种新的攻击行为。

入侵检测(Intrusion Detection)技术，无法完全自动地完成对所有攻击行为的检查；不能适应攻击技术的发展；很难实现对攻击的实时响应；无法弥补各种网络协议的缺陷；其检测精度依赖于系统提供信息的质量和完整性；无法完全适应现代网络软件和硬件技术的发展速度；无法快速适应单位网络的系统安全策略的变化，调整过程复杂。

虚拟专用网(Virtual Private Network，VPN)技术，主要基于近年发展的局域网交换技术(异步传输模式和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。以太网采用广播技术(Broadcasting)，但应用了交换器和虚拟局域网(Virtual LocalArea Network，VLAN)技术后，实际上转变为点对点通信。目前存在两种网络布局结构：中心辐射布局和全网络布局。中心辐射布局由一个中心站点同许多远程站点相连。位于中心站点位置的用户边缘路由器非常昂贵，其价格同相连的远程站点的数目有关。同时，其延迟时间大大超过两个站点之间直接通信时的数据包延迟时间。全网络布局需要支持的隧道(Tunnel)的数量，随着站点的数目呈几何级数增加。例如，一个由100个站点组成的VPN网络，需要建立4950个隧道，是不现实的。安全性是另一个重大问题。每个连接到互联网的用户边缘路由器，都必须采取诸如防火墙这样的安全措施，以便确保每个站点的安全。但每个防火墙必须对供应商开放，以便访问有关设备，这本身将是安全隐患。同时当网络规模较大时，管理每个防火墙将变得很困难。安全套接字层(Secure Socket Layer，SSL)VPN只适合站点对网络的连接，无法实现多个网络之间的安全互通。还有传统的防火墙，不能对VPN的加密连接，进行解密检查，是不允许VPN信息通过的。

反病毒技术主要包括病毒预防、病毒检测和病毒清除。随着病毒技术的发展，病毒种类越来越多，入侵途径越来越多，危害也越来越大。面对这些形形色色的病毒，反病毒技术如果光靠病毒的预防、检测和消除是远远不够的。一旦系统被病毒攻击并导致灾难性后果，损失惨重。

发明内容

本发明任务是用具有特定功能的常规计算机，把各种计算机网络连接成互联网络(Internetwork)。特定功能的常规计算机(辨机)，与被保护网络中的一台常规计算机(优机)的接口直接连接，通过网络接口与另一个网络相连接。由于各种计算机网络之间的不同连接技术，构建成各种不同结构和用途的互联网络。

1、单位的一个内部网络中，具有该单位对外服务功能最完善的或者该单位根据对外服务的需要而指定的主机(host computer)，称为该单位的这一个网络中优势功能的常规计算机，简称优机。这个网络称为优机网络。优机也是优机网络中的一台主机。外部主机与优机相连接，而不能与优机网络中其他主机直接相连接。