CN102882850A - 一种采用非网络方式隔离数据的密码装置及其方法 - Google Patents
一种采用非网络方式隔离数据的密码装置及其方法 Download PDFInfo
- Publication number
- CN102882850A CN102882850A CN2012103201639A CN201210320163A CN102882850A CN 102882850 A CN102882850 A CN 102882850A CN 2012103201639 A CN2012103201639 A CN 2012103201639A CN 201210320163 A CN201210320163 A CN 201210320163A CN 102882850 A CN102882850 A CN 102882850A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- intranet host
- host
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
一种采用非网络方式隔离数据的密码装置:包括内网主机和外网主机,内网主机和外网主机通过串口、并口或者自定义私有总线协议等其它非网络方式连接,内网主机和信息系统内部的主机相连,并负责数据的加解密。隔离数据的方法:S1外网主机对数据包进行网络层过滤;S2外网主机对数据包进行网络层剥离,去掉数据包的IP头等信息;S3外网主机将剥离后的数据通过串口、并口或者自定义私有协议的非网络方式发送到内网主机;S4内网主机对数据进行数据源验证;S5内网主机对接收到的剥离的数据进行解密,解密正确以后发送给内网信息系统。本发明可实现信息系统的非网络方式隔离,降低信息系统主站易被入侵易受网络攻击等安全隐患。
Description
技术领域
本发明涉及一种密码装置,尤其是涉及一种采用非网络方式隔离数据的密码装置。本发明还涉及一种基于所述密码装置的非网络方式隔离数据的方法。
技术背景
近年来,网络安全问题日益突出,黑客入侵以及网络攻击现象日益增多,而随着计算机网络技术的不断普及,公众使用计算机的次数越来越多,特别是公用信息基础设施建设推动了政府、企业日益依赖各种信息系统,一些涉及国计民生的业务、系统受到了前所未有的安全挑战,如维基解密网站泄漏了大量政府的机密信息;花旗集团受黑客攻击导致36多万的客户账户信息被窃取;CSDN网站被攻击导致600余万用户资料被泄漏等。这些事故充分说明网络安全对国家、政府和企业的重要性。
国家、政府、企业的信息系统涉及到国家的安全、企业机密及公民的切身利益,其数据的安全性、准确性必须得到充分的保障。为了加强信息系统的安全保护,国家、政府、企业大量使用专网、局域网、VPN等技术进行防护,起到了良好的效果。
由于国家、政府、企业的信息系统大多和互联网有数据交互,特别是现有的信息系统大部分采用总部—分支(即主站—终端)的工作模式,在主站和终端之间的通信链路存在数据易窃听泄漏、终端用户易冒充、易受重放攻击等安全风险,给国家、政府、企业的信息系统构成了极大的威胁,因此必须对使用网络的信息系统进行安全保护。
信息系统的主站和终端之间一般通过网络方式连接,主站和终端存在网络连接关系,为黑客的入侵提供了通道,为此本专利提出一种密码装置的非网络方式隔离数据处理方法,通过非网络方式隔离切断黑客网络入侵的通道,切实保护信息系统的安全,本发明中的非网络方式隔离数据处理方法的实现载体为密码装置。
到目前为止(2011年12月29号),国家知识产权局(http://www.sipo.gov.cn/)的技术发明专利和实用新型专利中尚未检索到“非网络方式隔离数据处理方法”相关的发明专利。
发明内容
本发明所要解决的第一个技术问题,就是提供一种采用非网络方式隔离数据的密码装置。
本发明所要解决的第二个技术问题,就是提供一种基于上述的密码装置采用非网络方式隔离数据的处理方法。
通过所述的密码装置和非网络方式隔离数据的处理方法,本发明可实现信息系统的非网络方式隔离,消除信息系统易入侵,特别是易受网络攻击等安全隐患,切断黑客攻击的通道,防止黑客入侵导致的安全事故。
解决上述第一个技术问题,本发明采用的技术方案是:
一种采用非网络方式隔离数据的密码装置,其特征是:包括内网主机和外网主机,所述的内网主机和外网主机通过串口、并口或者其它自定义私有总线协议非网络方式连接,所述的内网主机和信息系统内部的主机相连,并主要负责数据的加解密。
所述的密码装置除非网络方式隔离的功能以外,还具有加解密等功能。其采用非对称密码算法实现通信双方身份认证及会话密钥的协商;采用对称密码算法实现业务数据的加解密。从装置的安全性考虑,将在内网主机上实现数据的加解密功能,设备密钥、会话密钥不出现在外网主机,防止外网主机被劫持以后,密钥被窃取。
也即,在上述基础上,本发明还可以作如下的改进:
1)密码装置设有加解密模块并部署在内网主机;
2)密码装置设有的设备私钥保存在内网主机的非易失存储区,这样不会因为设备掉电而丢失;
3)密码装置会话密钥动态协商产生并保存在内网主机的易失存储区,会话密钥在通信结束、连接端口断开、设备断电情况下自动销毁;
4)外网主机根据会话密钥更新触发条件发起会话密钥更新请求,内网主机生成会话密钥,外网主机调用内网主机的密码运算服务对会话密钥进行安全性处理。
上述第二个技术问题的解决,本发明采用的技术方案是:
一种基于所述的装置采用非网络方式隔离数据的处理方法:
对进入信息系统的数据采用以下步骤:
S1外网主机对数据进行网络层过滤;
S2外网主机对网络层过滤后的数据进行网络层(三层)剥离,去掉数据包的IP头等信息,提取出数据包的四层及以上的信息;
S3外网主机将剥离后的数据包的四层及以上的信息通过串口、并口或者自定义私有协议的非网络方式发送到内网主机;
S4内网主机对外网主机发送的数据包的四层及以上的信息进行数据源验证和审查,;
S5内网主机对接收到的数据包的四层及以上的信息进行解密;
S6内网主机根据解密结果判断数据包的四层及以上的信息的合法性
S7内网主机将解密后合法的数据发送给内网主机;
对出信息系统的数据采用以下步骤:
S1内网主机对信息系统需要发送的数据进行网络层加密;
S2内网主机将网络层加密的数据发送给外网主机;
S3外网主机将网络层加密的数据发送出去。
(对出信息系统的数据亦可以不加密,采用内网主机发送至外网主机,外网主机发送至外网的处理方式)
有益效果:本发明通过所述的装置和非网络方式隔离数据的处理方法,可实现信息系统的非网络方式隔离,消除信息系统易入侵,特别是易受网络攻击等安全隐患,切断黑客攻击的通道,防止黑客入侵导致的安全事故。
本发明非网络方式隔离数据处理方法的装置可以用于电力系统、电子政务系统、金融系统等使用主站-终端模式的信息系统中,具有很强的实用性。
附图说明
下面结合附图和具体实施方式对本发明做进一步的详细说明。
图1为密码装置非网络方式隔离示意图;
图2为非网络方式隔离方法数据处理过程示意图。
具体实施方式
如图1所示,本发明的采用非网络方式隔离数据的密码装置,包括内网主机和外网主机,内网主机和外网主机通过串口、并口或者自定义私有总线协议等其它非网络方式连接,内网主机和信息系统内部的主机相连,并负责数据的加解密。
装置的加解密模块部署在内网主机,私钥保存在内网主机的非易失存储区,这样不会因为设备掉电而丢失,会话密钥动态协商产生并保存在内网主机的易失存储区,会话密钥在通信结束、连接端口断开、设备断电情况下自动销毁,外网主机根据会话密钥更新触发条件发起会话密钥更新请求,内网主机生成会话密钥,外网主机调用内网主机的密码运算服务对会话密钥进行安全性处理。
参见图2,基于上述装置采用非网络方式隔离数据的处理方法:
对进入信息系统的数据采用以下步骤:
S1外网主机对数据进行网络层过滤;
S2外网主机对网络层过滤后的数据进行网络层剥离,去掉数据包的IP头等信息,提取出数据包的四层及以上的信息;
S3外网主机将剥离后的数据包的四层及以上的信息通过串口、并口或者自定义私有协议的非网络方式发送到内网主机;
S4内网主机对外网主机发送的数据包的四层及以上的信息进行数据源验证和审查,;
S5内网主机对接收到的数据包的四层及以上的信息进行解密;
S6内网主机根据解密结果判断数据包的四层及以上的信息的合法性
S7内网主机将解密后合法的数据发送给信息系统。
对出信息系统的数据采用以下步骤:
S1内网主机对信息系统需要发送的数据进行网络层加密;
S2内网主机将网络层加密的数据发送给外网主机;
S3外网主机将网络层加密的数据发送出去。
(对出信息系统的数据亦可以不加密,采用内网主机发送至外网主机,外网主机发送至外网的处理方式)
本发明提出了一种信息系统安全防护方法,有效地切断了网络攻击的通道。
内外网主机通过非网络方式相连,有效实现信息系统的安全防护,其设计原则为:
1)内外网主机的连接方式可以是串口、并口或者自定义私有总线协议等其它非网络方式,但不能是网口;
2)内外网主机之间的非网络方式隔离设计应该能够有效地防止针对网络设备的网络攻击;
在装置中,非网络方式隔离需对密钥进行有效的保护,其设计原则是:
1)数据加解密功能需部署在内网主机;
2)会话密钥应位于内网主机,会话密钥不出现在外网主机。
Claims (3)
1.一种采用非网络方式隔离数据的密码装置,其特征是:包括内网主机和外网主机,所述的内网主机和外网主机通过串口、并口或者其它自定义私有总线协议的非网络方式连接,内网主机主要负责数据的加解密。
2.根据权利要求1所述的采用非网络方式隔离数据的密码装置,其特征是:
1)密码装置设有加解密模块并部署在内网主机;
2)密码装置设有的设备私钥保存在内网主机的非易失存储区,并设有保护措施,防止任何方式的导出;
3)密码装置的会话密钥动态协商产生并保存在内网主机的易失存储区;
4)外网主机根据会话密钥更新触发条件发起会话密钥更新请求,内网主机生成会话密钥,外网主机调用内网主机的密码运算服务对会话密钥进行安全性处理。
3.一种基于如权利要求1或2所述的密码装置采用非网络方式隔离数据的方法:
对进入的数据采用以下步骤:
S1外网主机对数据进行网络层过滤;
S2外网主机对网络层过滤后的数据进行网络层剥离,提取出数据包的四层及以上的信息;
S3外网主机将剥离后的数据包的四层及以上的信息通过串口、并口或者自定义私有协议的非网络方式发送到内网主机;
S4内网主机对外网主机发送的数据包的四层及以上的信息进行数据源验证和审查,;
S5内网主机对接收到的数据包的四层及以上的信息进行解密;
S6内网主机根据解密结果判断数据包的四层及以上的信息的合法性
S7内网主机将解密后合法的数据发送给内网主机;
对出口数据采用以下步骤:
S1内网主机对信息系统需要发送的数据进行网络层加密;
S2内网主机将网络层加密的数据发送给外网主机;
S3外网主机将网络层加密的数据发送出去。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210320163.9A CN102882850B (zh) | 2012-09-03 | 2012-09-03 | 一种采用非网络方式隔离数据的密码装置及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210320163.9A CN102882850B (zh) | 2012-09-03 | 2012-09-03 | 一种采用非网络方式隔离数据的密码装置及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102882850A true CN102882850A (zh) | 2013-01-16 |
| CN102882850B CN102882850B (zh) | 2015-11-18 |
Family
ID=47483994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210320163.9A Active CN102882850B (zh) | 2012-09-03 | 2012-09-03 | 一种采用非网络方式隔离数据的密码装置及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102882850B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871902A (zh) * | 2016-05-25 | 2016-08-17 | 安徽问天量子科技股份有限公司 | 数据加密及隔离系统 |
| CN106506540A (zh) * | 2016-12-15 | 2017-03-15 | 北京三未信安科技发展有限公司 | 一种抗攻击的内网数据传输方法及系统 |
| CN106941494A (zh) * | 2017-03-30 | 2017-07-11 | 中国电力科学研究院 | 一种适用于用电信息采集系统的安全隔离网关及其使用方法 |
| CN107070951A (zh) * | 2017-05-25 | 2017-08-18 | 北京北信源软件股份有限公司 | 一种内网安全防护系统和方法 |
| CN108243181A (zh) * | 2017-10-09 | 2018-07-03 | 北京车和家信息技术有限公司 | 一种车联网终端、数据加密方法及车联网服务器 |
| CN111431905A (zh) * | 2020-03-26 | 2020-07-17 | 重庆新致金服信息技术有限公司 | 一种适用于信贷行业的智能网关系统 |
| CN112671719A (zh) * | 2020-12-08 | 2021-04-16 | 山东鲁能软件技术有限公司 | 一种基于数据剥离的网络安全隔离方法、装置及其搭建方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030079121A1 (en) * | 2001-10-19 | 2003-04-24 | Applied Materials, Inc. | Secure end-to-end communication over a public network from a computer inside a first private network to a server at a second private network |
| CN1808971A (zh) * | 2006-02-09 | 2006-07-26 | 南京工业大学 | 基于单工通信原理实现计算机内、外网之间安全通信的方法及系统 |
| CN200962604Y (zh) * | 2006-09-14 | 2007-10-17 | 北京科东电力控制系统有限责任公司 | 电力专用纵向加密认证网关设备 |
| CN201307864Y (zh) * | 2008-12-04 | 2009-09-09 | 杭州恒生数字设备科技有限公司 | 一种基于1394接口的数据隔离转发系统 |
| CN101986638A (zh) * | 2010-09-16 | 2011-03-16 | 珠海市鸿瑞软件技术有限公司 | 千兆单向型网络隔离装置 |
| CN102244649A (zh) * | 2010-05-12 | 2011-11-16 | 杭州华三通信技术有限公司 | 一种安全网络间传输数据的方法和资料处理机 |
| CN102316108A (zh) * | 2011-09-09 | 2012-01-11 | 周伯生 | 建立网络隔离通道的设备及其方法 |
-
2012
- 2012-09-03 CN CN201210320163.9A patent/CN102882850B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030079121A1 (en) * | 2001-10-19 | 2003-04-24 | Applied Materials, Inc. | Secure end-to-end communication over a public network from a computer inside a first private network to a server at a second private network |
| CN1808971A (zh) * | 2006-02-09 | 2006-07-26 | 南京工业大学 | 基于单工通信原理实现计算机内、外网之间安全通信的方法及系统 |
| CN200962604Y (zh) * | 2006-09-14 | 2007-10-17 | 北京科东电力控制系统有限责任公司 | 电力专用纵向加密认证网关设备 |
| CN201307864Y (zh) * | 2008-12-04 | 2009-09-09 | 杭州恒生数字设备科技有限公司 | 一种基于1394接口的数据隔离转发系统 |
| CN102244649A (zh) * | 2010-05-12 | 2011-11-16 | 杭州华三通信技术有限公司 | 一种安全网络间传输数据的方法和资料处理机 |
| CN101986638A (zh) * | 2010-09-16 | 2011-03-16 | 珠海市鸿瑞软件技术有限公司 | 千兆单向型网络隔离装置 |
| CN102316108A (zh) * | 2011-09-09 | 2012-01-11 | 周伯生 | 建立网络隔离通道的设备及其方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871902A (zh) * | 2016-05-25 | 2016-08-17 | 安徽问天量子科技股份有限公司 | 数据加密及隔离系统 |
| CN106506540A (zh) * | 2016-12-15 | 2017-03-15 | 北京三未信安科技发展有限公司 | 一种抗攻击的内网数据传输方法及系统 |
| CN106941494A (zh) * | 2017-03-30 | 2017-07-11 | 中国电力科学研究院 | 一种适用于用电信息采集系统的安全隔离网关及其使用方法 |
| CN107070951A (zh) * | 2017-05-25 | 2017-08-18 | 北京北信源软件股份有限公司 | 一种内网安全防护系统和方法 |
| CN108243181A (zh) * | 2017-10-09 | 2018-07-03 | 北京车和家信息技术有限公司 | 一种车联网终端、数据加密方法及车联网服务器 |
| CN111431905A (zh) * | 2020-03-26 | 2020-07-17 | 重庆新致金服信息技术有限公司 | 一种适用于信贷行业的智能网关系统 |
| CN111431905B (zh) * | 2020-03-26 | 2022-07-22 | 重庆新致金服信息技术有限公司 | 一种适用于信贷行业的智能网关系统 |
| CN112671719A (zh) * | 2020-12-08 | 2021-04-16 | 山东鲁能软件技术有限公司 | 一种基于数据剥离的网络安全隔离方法、装置及其搭建方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102882850B (zh) | 2015-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102882850B (zh) | 一种采用非网络方式隔离数据的密码装置及其方法 | |
| CN106789015B (zh) | 一种智能配电网通信安全系统 | |
| CN110943913A (zh) | 一种工业安全隔离网关 | |
| CN101094065B (zh) | 无线通信网络中的密钥分发方法和系统 | |
| CN103441991A (zh) | 一种移动终端安全接入平台 | |
| Vijayakumaran et al. | A reliable next generation cyber security architecture for industrial internet of things environment | |
| CN101795271A (zh) | 网络安全打印系统及打印方法 | |
| CN108712364B (zh) | 一种sdn网络的安全防御系统及方法 | |
| CN102710638A (zh) | 一种采用非网络方式隔离数据的装置及其方法 | |
| Jha et al. | Security considerations for Internet of Things | |
| CN104065485A (zh) | 电网调度移动平台安全保障管控方法 | |
| CN103441983A (zh) | 基于链路层发现协议的信息保护方法和装置 | |
| Musa et al. | Secure security model implementation for security services and related attacks base on end-to-end, application layer and data link layer security | |
| CN107094137A (zh) | 一种vpn安全网关 | |
| CN107947937A (zh) | 一种安全音视频加密系统及终端认证实现方法 | |
| CN102882859B (zh) | 一种基于公网数据传输信息系统的安全防护方法 | |
| CN102413144B (zh) | 一种用于c/s架构业务的安全接入系统及相关接入方法 | |
| CN111541663A (zh) | 一种基于国家密码标准的链路交换加密系统 | |
| CN105721458A (zh) | 一种基于isg安全密码技术的工业以太网交换方法 | |
| CN211930752U (zh) | 一种视频加密的监控系统 | |
| CN111917800B (zh) | 基于协议的外置授权系统及授权方法 | |
| CN105099849B (zh) | 一种IPsec隧道的建立方法和设备 | |
| Yina | Discussion on computer network security technology and firewall technology | |
| Zhong et al. | Security technologies in ad-hoc networks: a survey | |
| Maple et al. | Choosing the right wireless LAN security protocol for the home and business user |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Chen Jiongcong Inventor after: Xu Zhanqiang Inventor after: Zeng Qiang Inventor after: Yu Zhiwen Inventor after: Deng Dawei Inventor after: Liang Zhiqiang Inventor after: Hu Chaohui Inventor after: Jiang Zexin Inventor after: Liang Zhihong Inventor before: Su Yang Inventor before: Hu Chaohui Inventor before: Xu Zhanqiang Inventor before: Deng Dawei Inventor before: Liang Zhiqiang Inventor before: Jiang Zexin Inventor before: Liang Zhihong Inventor before: Zhou Qiangfeng |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: SU YANG HU CHAOHUI XU ZHANQIANG DENG DAWEI LIANG ZHIQIANG JIANG ZEXIN LIANG ZHIHONG ZHOU QIANGFENG TO: CHEN JIONGCONG XU ZHANQIANG CENG QIANG YU ZHIWEN DENG DAWEI LIANG ZHIQIANG HU CHAOHUI JIANG ZEXIN LIANG ZHIHONG |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: 510080 Dongfeng East Road, Dongfeng, Guangdong, Guangzhou, Zhejiang Province, No. 8 Patentee after: ELECTRIC POWER RESEARCH INSTITUTE, GUANGDONG POWER GRID CO., LTD. Patentee after: Guangdong Center of Electric Dispatching and Transforming Address before: 510080 Dongfeng East Road, Guangdong, Guangzhou, water, Kong Kong, No. 8 Patentee before: Electrical Power Research Institute of Guangdong Power Grid Corporation Patentee before: Guangdong Center of Electric Dispatching and Transforming |