CN102710638A - 一种采用非网络方式隔离数据的装置及其方法 - Google Patents
一种采用非网络方式隔离数据的装置及其方法 Download PDFInfo
- Publication number
- CN102710638A CN102710638A CN2012101744170A CN201210174417A CN102710638A CN 102710638 A CN102710638 A CN 102710638A CN 2012101744170 A CN2012101744170 A CN 2012101744170A CN 201210174417 A CN201210174417 A CN 201210174417A CN 102710638 A CN102710638 A CN 102710638A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- information
- intranet host
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种采用非网络方式隔离数据的密码装置:包括内网主机和外网主机,内网主机和外网主机通过串口、并口或者自定义私有总线协议等其它非网络方式连接,内网主机和信息系统内部的服务器和/或应用系统直接相连,是信息系统发送数据的第一道出口;外网主机和互联网相连,是信息系统接收数据的第一道入口。基于密码装置的非网络方式隔离数据的方法:对进入信息系统的数据采用以下步骤:S1 外网主机进行数据网络层过滤;S2 外网主机进行数据和协议剥离;S3 外网主机通过串口、并口的非网络方式发送到内网主机;S4 内网主机进行数据源验证;S5 内网主机对应用层数据信息及网络信息进行解密,最后发送给信息系统。
Description
技术领域
本发明涉及一种密码装置,尤其是涉及一种采用非网络方式隔离数据的密码装置。本发明还涉及一种基于所述密码装置的非网络方式隔离数据的方法。
背景技术
近年来,网络安全问题日益突出,黑客入侵以及网络攻击现象日益增多,而随着计算机网络技术的不断普及,公众使用计算机的次数越来越多,特别是公用信息基础设施建设推动了政府、企业日益依赖各种信息系统,一些涉及国计民生的业务、系统受到了前所未有的安全挑战,如维基解密网站泄漏了大量政府的机密信息;花旗集团受黑客攻击导致36多万的客户账户信息被窃取;CSDN网站被攻击导致600余万用户资料被泄漏等。这些事故充分说明网络安全对国家、政府和企业的重要性。
国家、政府、企业的信息系统涉及到国家的安全、企业机密及公民的切身利益,其数据的安全性、准确性必须得到充分的保障。为了加强信息系统的安全保护,国家、政府、企业大量使用专网、局域网、VPN等技术进行防护,起到了良好的效果。
由于国家、政府、企业的信息系统大多和互联网有数据交互,特别是现有的信息系统大部分采用总部—分支(即主站—终端)的工作模式,在主站和终端之间的通信链路存在数据易窃听泄漏、终端用户易冒充、易受重放攻击等安全风险,给国家、政府、企业的信息系统构成了极大的威胁,因此必须对使用网络的信息系统进行安全保护。
信息系统的主站和终端之间一般通过网络方式连接,主站和终端存在网络连接关系,为黑客的入侵提供了通道,为此本专利提出一种密码装置的非网络方式隔离数据处理方法,通过非网络方式隔离切断黑客网络入侵的通道,切实保护信息系统的安全,本发明中的非网络方式隔离数据处理方法的实现载体为密码装置。
到目前为止(2011年12月29号),国家知识产权局(http://www.sipo.gov.cn/)的技术发明专利和实用新型专利中尚未检索到“非网络方式隔离数据处理方法”相关的发明专利。
发明内容
本发明所要解决的第一个技术问题,就是提供一种采用非网络方式隔离数据的密码装置。
本发明所要解决的第二个技术问题,就是提供一种基于所述的密码装置采用非网络方式隔离数据的处理方法。
通过所述的密码装置和非网络方式隔离数据的处理方法,本发明可实现信息系统的非网络方式隔离,消除信息系统易入侵,特别是易受网络攻击等安全隐患,切断黑客攻击的通道,防止黑客入侵导致的安全事故。
解决上述第一个技术问题,本发明采用的技术方案是:
一种采用非网络方式隔离数据的装置,其特征是:包括内网主机和外网主机,所述的内网主机和外网主机通过串口、并口或者自定义私有总线协议等其它非网络方式连接,所述的内网主机和内网信息系统内部的服务器和/或应用系统直接相连,是内网信息系统发送数据的第一道出口;所述的外网主机和互联网相连,是内网信息系统接收数据的第一道入口。
所述的装置除非网络方式隔离的功能以外,还具有加解密等功能。其采用非对称密码算法实现通信双方身份认证及会话密钥的协商;采用对称密码算法实现业务数据的加解密。从装置的安全性考虑,将在内网主机上实现数据的加解密功能,设备的密钥不出现在外网主机,防止外网主机被劫持以后,密钥被窃取。
也即,在上述基础上,本发明还可以作如下的改进:
1) 装置的加解密模块部署在内网主机;
2) 装置的私钥保存在内网主机的非易失存储区,这样不会因为设备掉电而丢失;
3) 会话密钥动态协商产生并保存在内网主机的易失存储区,会话密钥在通信结束、连接端口断开、设备断电情况下自动销毁;
4) 外网主机根据会话密钥更新触发条件发起会话密钥更新请求,内网主机生成会话密钥,外网主机调用内网主机的密码运算服务对会话密钥进行安全性处理;
上述第二个技术问题的解决,本发明采用的技术方案是:
一种基于所述的装置采用非网络方式隔离数据的处理方法,对进入信息系统的数据采用以下步骤:
S1 外网主机对数据进行网络层过滤;
S2 外网主机对网络层过滤后的数据进行数据和协议剥离,提取出有效的应用层数据信息及网络信息;
S3 外网主机将提取的应用层数据信息及网络信息通过串口、并口或者自定义私有协议的非网络方式发送到内网主机;
S4 内网主机对外网主机发送的应用层数据信息及网络信息进行数据源验证,确认应用层数据信息及网络信息的有效性;
S5 内网主机对应用层数据信息及网络信息进行解密,并根据解密结果再次进行身份验证,最后发送给信息系统。
对出信息系统的数据采用以下步骤:
S1 内网主机对信息系统需要发送的数据进行网络层加密;
S2 内网主机将网络层加密的数据发送给外网主机;
S3 外网主机将网络层加密的数据发送出去。
(对出信息系统的数据亦可以不加密,采用内网主机发送至外网主机,外网主机发送至外网的处理方式)
有益效果:本发明通过所述的装置和非网络方式隔离数据的处理方法,可实现信息系统的非网络方式隔离,消除信息系统易入侵,特别是易受网络攻击等安全隐患,切断黑客攻击的通道,防止黑客入侵导致的安全事故。
本发明非网络方式隔离数据处理方法的装置可以用于电力系统、电子政务系统、金融系统等使用主站—终端模式的信息系统中,具有很强的实用性。
附图说明
下面结合附图和具体实施方式对本发明做进一步的详细说明。
图1为密码装置非网络方式隔离示意图;
图2为非网络方式隔离方法数据处理过程示意图。
具体实施方式
如图1所示,本发明的采用非网络方式隔离数据的装置,包括内网主机和外网主机,内网主机和外网主机通过串口、并口或者自定义私有总线协议等其它非网络方式连接,内网主机和内网信息系统内部的服务器和/或应用系统直接相连,是内网信息系统发送数据的第一道出口;外网主机和互联网相连,是内网信息系统接收数据的第一道入口。
装置的加解密模块部署在内网主机,私钥保存在内网主机的非易失存储区,这样不会因为设备掉电而丢失,会话密钥动态协商产生并保存在内网主机的易失存储区,会话密钥在通信结束、连接端口断开、设备断电情况下自动销毁,外网主机根据会话密钥更新触发条件发起会话密钥更新请求,内网主机生成会话密钥,外网主机调用内网主机的密码运算服务对会话密钥进行安全性处理。
参见图2,基于上述装置采用非网络方式隔离数据的处理方法,包括以下步骤:
S1 外网主机对数据进行网络层过滤;
S2 外网主机对网络层过滤后的数据进行数据和协议剥离,提取出有效的应用层数据信息及网络信息;
S3 外网主机将提取的应用层数据信息及网络信息通过串口、并口或者自定义私有协议的非网络方式发送到内网主机;
S4 内网主机对外网主机发送的应用层数据信息及网络信息进行数据源验证,确认应用层数据信息及网络信息的有效性;
S5 内网主机对应用层数据信息及网络信息进行解密,并根据解密结果再次进行身份验证,最后发送给信息系统。
本发明提出了一种信息系统安全防护方法,有效地切断了网络攻击的通道。
内外网主机通过非网络方式相连,有效实现信息系统的安全防护,其设计原则为:
1) 内外网主机的连接方式可以是串口、并口或者自定义私有总线协议等其它非网络方式,但不能是网口;
2) 内外网主机之间的非网络方式隔离设计应该能够有效地防止针对网络设备的网络攻击;
在装置中,非网络方式隔离需对密钥进行有效的保护,其设计原则是:
1) 数据加解密功能需部署在内网主机;
2) 会话密钥应位于内网主机,会话密钥不出现在外网主机。
Claims (3)
1.一种采用非网络方式隔离数据的装置,其特征是:包括内网主机和外网主机,所述的内网主机和外网主机通过串口、并口或者自定义私有总线协议的其它非网络方式连接,所述的内网主机和内网信息系统内部的服务器和/或应用系统直接相连,是内网信息系统发送数据的第一道出口;所述的外网主机和互联网相连,是内网信息系统接收数据的第一道入口。
2.根据权利要求1所述的采用非网络方式隔离数据的装置,其特征是:
装置的加解密模块部署在内网主机;
装置的私钥保存在内网主机的非易失存储区;
会话密钥动态协商产生并保存在内网主机的易失存储区。
3.一种基于如权利要求1所述的装置采用非网络方式隔离数据的处理方法,对进入的数据采用以下步骤:
S1 外网主机对数据进行网络层过滤;
S2 外网主机对网络层过滤后的数据进行数据和协议剥离,提取出有效的应用层数据信息及网络信息;
S3 外网主机将提取的应用层数据信息及网络信息通过串口、并口或者自定义私有协议的非网络方式发送到内网主机;
S4 内网主机对外网主机发送的应用层数据信息及网络信息进行数据源验证,确认应用层数据信息及网络信息的有效性;
S5 内网主机对应用层数据信息及网络信息进行解密,并根据解密结果再次进行身份验证,最后发送给内网信息系统;
对出口数据采用以下步骤:
S1 内网主机对内网信息系统需要发送的数据进行网络层加密;
S2 内网主机将网络层加密的数据发送给外网主机;
S3 外网主机将网络层加密的数据发送出去。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012101744170A CN102710638A (zh) | 2012-05-31 | 2012-05-31 | 一种采用非网络方式隔离数据的装置及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012101744170A CN102710638A (zh) | 2012-05-31 | 2012-05-31 | 一种采用非网络方式隔离数据的装置及其方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102710638A true CN102710638A (zh) | 2012-10-03 |
Family
ID=46903194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012101744170A Pending CN102710638A (zh) | 2012-05-31 | 2012-05-31 | 一种采用非网络方式隔离数据的装置及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102710638A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486053A (zh) * | 2014-12-05 | 2015-04-01 | 浪潮集团有限公司 | 一种网络加密机防灾系统 |
| CN106506540A (zh) * | 2016-12-15 | 2017-03-15 | 北京三未信安科技发展有限公司 | 一种抗攻击的内网数据传输方法及系统 |
| CN106789894A (zh) * | 2016-11-18 | 2017-05-31 | 天津光电聚能专用通信设备有限公司 | 基于三cpu架构的跨网安全数据传输设备及其实现方法 |
| CN107634949A (zh) * | 2017-09-21 | 2018-01-26 | 明阳智慧能源集团股份公司 | 电力网络架构安全防御模块及其物理节点、网络防御方法 |
| CN110324330A (zh) * | 2019-06-26 | 2019-10-11 | 高新兴科技集团股份有限公司 | 一种实现互联网和公安内网数据传输的系统及方法 |
| CN111277582A (zh) * | 2020-01-15 | 2020-06-12 | 上海至数企业发展有限公司 | 一种用于医院的内外网数据分发装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1808971A (zh) * | 2006-02-09 | 2006-07-26 | 南京工业大学 | 基于单工通信原理实现计算机内、外网之间安全通信的方法及系统 |
| CN1929490A (zh) * | 2006-10-17 | 2007-03-14 | 中网信息技术有限公司 | 一种无反馈单向传输的物理隔离方法 |
| CN201307864Y (zh) * | 2008-12-04 | 2009-09-09 | 杭州恒生数字设备科技有限公司 | 一种基于1394接口的数据隔离转发系统 |
-
2012
- 2012-05-31 CN CN2012101744170A patent/CN102710638A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1808971A (zh) * | 2006-02-09 | 2006-07-26 | 南京工业大学 | 基于单工通信原理实现计算机内、外网之间安全通信的方法及系统 |
| CN1929490A (zh) * | 2006-10-17 | 2007-03-14 | 中网信息技术有限公司 | 一种无反馈单向传输的物理隔离方法 |
| CN201307864Y (zh) * | 2008-12-04 | 2009-09-09 | 杭州恒生数字设备科技有限公司 | 一种基于1394接口的数据隔离转发系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486053A (zh) * | 2014-12-05 | 2015-04-01 | 浪潮集团有限公司 | 一种网络加密机防灾系统 |
| CN106789894A (zh) * | 2016-11-18 | 2017-05-31 | 天津光电聚能专用通信设备有限公司 | 基于三cpu架构的跨网安全数据传输设备及其实现方法 |
| CN106506540A (zh) * | 2016-12-15 | 2017-03-15 | 北京三未信安科技发展有限公司 | 一种抗攻击的内网数据传输方法及系统 |
| CN107634949A (zh) * | 2017-09-21 | 2018-01-26 | 明阳智慧能源集团股份公司 | 电力网络架构安全防御模块及其物理节点、网络防御方法 |
| CN107634949B (zh) * | 2017-09-21 | 2020-02-07 | 明阳智慧能源集团股份公司 | 电力网络架构安全防御模块及其物理节点、网络防御方法 |
| CN110324330A (zh) * | 2019-06-26 | 2019-10-11 | 高新兴科技集团股份有限公司 | 一种实现互联网和公安内网数据传输的系统及方法 |
| CN111277582A (zh) * | 2020-01-15 | 2020-06-12 | 上海至数企业发展有限公司 | 一种用于医院的内外网数据分发装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102882850B (zh) | 一种采用非网络方式隔离数据的密码装置及其方法 | |
| CN106789015B (zh) | 一种智能配电网通信安全系统 | |
| CN102710638A (zh) | 一种采用非网络方式隔离数据的装置及其方法 | |
| CN103441991A (zh) | 一种移动终端安全接入平台 | |
| CN104158653A (zh) | 一种基于商密算法的安全通信方法 | |
| CN101521667B (zh) | 一种安全的数据通信方法及装置 | |
| CN104065485A (zh) | 电网调度移动平台安全保障管控方法 | |
| CN104753953A (zh) | 访问控制系统 | |
| CN102348210A (zh) | 一种安全性移动办公的方法和移动安全设备 | |
| CN115549932B (zh) | 一种面向海量异构物联网终端的安全接入系统及接入方法 | |
| CN102882859B (zh) | 一种基于公网数据传输信息系统的安全防护方法 | |
| CN105610847A (zh) | 一种支持多交换节点电子公文安全传输交换的方法 | |
| CN106789845A (zh) | 一种网络数据安全传输的方法 | |
| CN103269301A (zh) | 桌面型IPSecVPN密码机及组网方法 | |
| CN104811421A (zh) | 基于数字版权管理的安全通信方法及装置 | |
| CN103441851A (zh) | 一种终端设备接入vpn设备的方法 | |
| CN105827601A (zh) | 移动设备数据加密应用方法及系统 | |
| KR101784240B1 (ko) | 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템 및 방법 | |
| CN111917800B (zh) | 基于协议的外置授权系统及授权方法 | |
| CN211930752U (zh) | 一种视频加密的监控系统 | |
| CN111698263B (zh) | 一种北斗卫星导航数据的传输方法和系统 | |
| CN102868686A (zh) | 一种基于esp封装、强化数据加密的方法 | |
| Vijayakumar et al. | A Survey on IoT Security: Security Threads and Analysis of Botnet Attacks Over IoT and Avoidance | |
| Zhang et al. | Application strategy of data encryption technology in computer network security | |
| CN113037470A (zh) | 基于云、集群服务器量子加密数据传输系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Su Yang Inventor after: Zeng Qiang Inventor after: Hu Chaohui Inventor after: Xu Zhanqiang Inventor after: Deng Dawei Inventor after: Liang Zhiqiang Inventor after: Jiang Zexin Inventor after: Liang Zhihong Inventor before: Su Yang Inventor before: Hu Chaohui Inventor before: Xu Zhanqiang Inventor before: Deng Dawei Inventor before: Liang Zhiqiang Inventor before: Jiang Zexin Inventor before: Liang Zhihong Inventor before: Zhou Qiangfeng |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: SU YANG HU CHAOHUI XU ZHANQIANG DENG DAWEI LIANG ZHIQIANG JIANG ZEXIN LIANG ZHIHONG ZHOU QIANGFENG TO: SU YANG CENG QIANG HU CHAOHUI XU ZHANQIANG DENG DAWEI LIANG ZHIQIANG JIANG ZEXIN LIANG ZHIHONG |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20121003 |