CN104113532B - 物理隔离网络间信息自动安全交换的方法 - Google Patents
物理隔离网络间信息自动安全交换的方法 Download PDFInfo
- Publication number
- CN104113532B CN104113532B CN201410308002.7A CN201410308002A CN104113532B CN 104113532 B CN104113532 B CN 104113532B CN 201410308002 A CN201410308002 A CN 201410308002A CN 104113532 B CN104113532 B CN 104113532B
- Authority
- CN
- China
- Prior art keywords
- information
- file
- physical isolation
- network
- isolation network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了物理隔离网络间,在符合国家相关信息安全法规的基础上,进行不同网络间信息自动交换的一种实现方法。其能有效的提升不同网络间的信息交换效率,并大大缩短信息交换的延迟时间。其包括信息抽取、信息压缩、信息加密、信息传输、信息解密、信息解压、信息还原、信息交换监测等步骤,实现了完整闭环信息传输机制,使得信息交换实现了自动化。以光盘摆渡机的信息自动刻录、移动和读取动作代替了人工手动的光盘刻录拷贝动作,避免了效率低下、重复性工作多、容易出错等问题。本发明适用于公安或政府机构专网和公共信息网间的信息交换。
Description
技术领域
本发明涉及一种网络信息安全交换的方法,尤其涉及物理隔离网络间文件和数据库格式信息自动安全交换的实现方法。适用于公安或政府机构专网和公共信息网间的信息交换。
背景技术
国家保密局《计算机信息系统国际联网保密管理规定》中要求“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”。按照要求,物理隔离网络间进行数据的交换,只能采用光盘刻录、拷贝的方式。这种方式存在效率低下、重复性工作多、容易出错等问题,不适应于信息连续性交换的要求。
发明内容
本发明的目的在于提供一种物理隔离网络间信息自动安全交换的方法,对存储在不同网络环境下的信息经抽取成XML文档、加密压缩、Ftp传输、解压解密、XML信息解析等步骤进行自动交换,一方面保证了信息交换的安全性,另一方面提高了效率,避免了出错。本发明采用的技术方案是:
一种物理隔离网络间信息自动安全交换的方法,包括下述步骤:
步骤一.信息抽取:在物理隔离网络的两端,分别以定时任务方式读取配置信息,按照更新时间增量更新和以导出标记为条件抽取数据库中的信息,将配置的字段信息组织为XML文档;完成抽取后记录每条抽取记录的信息抽取日志信息;
步骤二:信息加密压缩,包括:
在物理隔离网络的两端,分别以定时任务方式读取抽取的XML文档,对XML文档以另一端服务器的公钥进行加密,并以本网服务器的私钥对加密后的XML文档进行签名后生成签名文件,将加密后的XML文档和签名文件压缩进一个有密码保护的文件中;完成压缩后记录每个操作的压缩日志信息。
在物理隔离网络的两端,分别以定时任务方式读取更新时间大于时间基线的文件服务器中文件,对读取的文件以另一端服务器的公钥进行加密,并以本网服务器的私钥对加密后的文件进行签名后生成签名文件,将加密后的文件和签名文件压缩进一个有密码保护的文件中;完成压缩后记录每个操作的压缩日志信息;
步骤三.信息传输,包括:
物理隔离网络的两端,分别以定时任务方式读写压缩文件,以Ftp协议将压缩文件传输到指定的Ftp服务器中;完成传输后记录每个操作的上传日志信息;
光盘摆渡机在物理隔离网络的两端的前置服务程序定时从本网端Ftp服务器上读取文件,读取的文件刻录到本网端的光驱的光盘中,待刻录完成后控制光驱和光盘摆渡机把光盘移动到另一网端的光驱中,另一网端的前置服务程序读取光盘中的内容把信息上传另一网端的Ftp服务器;
物理隔离网络的两端,分别以定时任务方式,以Ftp协议访问Ftp服务器下载文件信息;完成下载信息后记录每个操作的下载日志信息;
步骤四.信息解密和验证,包括:
物理隔离网络的两端,分别以定时任务方式读取下载的压缩文件,解压文件后获得加密文件和签名文件,以另一网端服务器的公钥对签名文件信息进行验证,并以本网端服务器的私钥对加密文件进行解密;
对解密后获取的普通文件按照配置要求传输到指定文件服务器,对解密后的XML文档存储到数据库中;完成解密和验证后记录每个操作的解压日志信息;
步骤五.信息还原,包括:
物理隔离网络的两端,分别以定时任务方式读取解密后的XML文档,对XML文档进行解析后按照配置以每一个子元素组为一条记录插入或更新指定数据库表;完成信息还原操作后记录每个操作的信息还原日志信息。
步骤六.信息交换检测:
物理隔离网络的两端,分别以定时任务方式读取时间基线后的解压日志和信息还原日志信息,并经过信息抽取、信息加密及签名、信息压缩、信息传输、信息解压、信息解密及验证、信息还原一系列步骤传送到另一网端,并更新另一网端对应的信息压缩日志和信息抽取日志信息。
物理隔离网络的两端,分别以定时任务方式检测信息压缩日志和信息抽取日志信息,对指定时间内未标记完成信息解压和信息还原操作的记录,更新相应标记,使这条记录重新进行信息加密及签名操作、信息压缩、信息传输、信息解压、信息解密及验证、信息还原一系列步骤传送到另一网端。
本发明的优点在于:
1)形成了经信息抽取、信息加密及签名、信息压缩、信息传输、信息解压、信息解密及验证、信息还原、信息交换监测出错后再返回到信息加密的完整闭环信息传输机制,使得信息交换实现了自动化。
2)信息传输过程中基于公、私钥的信息安全加密机制。基于RSA算法生成1024位的密钥,在信息传输前对数据进行加密和签名操作,在接收信息后再进行验证和解密操作,保证信息传输过程中的安全性和完整性。
3)基于光盘摆渡机的光盘自动刻录、移动和读取。以光盘摆渡机的信息自动刻录、移动和读取动作代替了人工手动的光盘刻录拷贝动作,避免了效率低下、重复性工作多、容易出错等问题。
附图说明
图1为本发明的物理隔离网络间信息交换系统构成图。
图2为本发明的物理隔离网络间信息交换流程图。
图3a和图3b为本发明的物理隔离网络间信息交换监控流程图。
具体实施方式
如图1所示,为物理隔离网络的结构组成示意图。A网络和B网络都包含数据库、文件服务器和FTP服务器。A网络和B网络之间是隔离的,依靠设置在两者之间的光盘摆渡机来沟通信息。光盘摆渡机具备刻录光盘、将光盘从一侧网络移动到另一侧网络、光盘读取的功能。
本发明提出的物理隔离网络间信息自动安全交换的方法,包括下述步骤:
步骤一.信息抽取:
在物理隔离网络的两端,分别以定时任务方式读取配置信息,按照更新时间增量更新和以导出标记为条件抽取数据库中的信息,将配置的字段信息组织为XML文档,每条数据库记录(比如一个二维表格中的一行)为一个子元素组,XML文档中的每个字段以数据库记录中的字段名为子元素的属性。完成抽取后记录每条抽取记录的信息抽取日志信息。
数据库的数据类型包括字符串、数字、时间等全部基本类型外还支持扩展的BLOB和CLOB等大字段数据类型。
步骤二.信息加密压缩;包括对抽取的XML文档和文件服务器中的文件的信息加密压缩。
在物理隔离网络的两端,分别以定时任务方式读取抽取的XML文档,对XML文档以另一端服务器的公钥进行加密,并以本网服务器的私钥对加密后的XML文档进行签名后生成签名文件,将加密后的XML文档和签名文件以Zip格式压缩进一个有密码保护的文件中。完成压缩后记录每个操作的压缩日志信息。
在物理隔离网络的两端,分别以定时任务方式读取更新时间大于时间基线的文件服务器中文件,对读取的文件以另一端服务器的公钥进行加密,并以本网服务器的私钥对加密后的文件进行签名后生成签名文件,将加密后的文件和签名文件以Zip格式压缩进一个有密码保护的文件中。完成压缩后记录每个操作的压缩日志信息。
此步骤中,加密采用RSA算法,公钥和私钥的长度都是1024位。文件服务器中的文件包括二进制和文本文件。
步骤三.信息传输:
物理隔离网络的两端,分别以定时任务方式读写压缩文件,以PASV模式的Ftp协议下将压缩文件传输到指定的Ftp服务器中。完成传输后记录每个操作的上传日志信息。
光盘摆渡机在物理隔离网络的两端的前置服务程序定时从本网端Ftp服务器上读取文件,读取的文件刻录到本网端的光驱的光盘中,待刻录完成后控制光驱和光盘摆渡机中的机械手把光盘移动到另一网端的光驱中,另一网端的前置服务程序读取光盘中的内容把信息上传另一网端的Ftp服务器。
物理隔离网络的两端,分别以定时任务方式,以PASV模式的Ftp协议访问Ftp服务器下载文件信息。完成下载信息后记录每个操作的下载日志信息。
此处作一简单说明,光盘摆渡机通常有两个光驱,其中一个光驱作为A网络前置机的连接设备;另一个光驱作为B网络前置机的连接设备。A网络前置机和B网络前置机都是服务器或者PC机,上面运行有前置服务程序;A网络前置机和B网络前置机是分设在两个隔离的A网络和B网络中的。
步骤四.信息解密和验证:
物理隔离网络的两端,分别以定时任务方式读取下载的压缩文件,解压文件后获得加密文件和签名文件,以另一网端服务器的公钥对签名文件信息进行验证,并以本网端服务器的私钥对加密文件进行解密。
对解密后获取的普通文件按照配置要求传输到指定文件服务器,对解密后的XML文档存储到数据库中。完成解密和验证后记录每个操作的解压日志信息。
步骤五.信息还原:
物理隔离网络的两端,分别以定时任务方式读取解密后的XML文档,对XML文档进行解析后按照配置以每一个子元素组为一条记录插入或更新指定数据库表。完成信息还原操作后记录每个操作的信息还原日志信息。
步骤六.信息交换检测:
物理隔离网络的两端,分别以定时任务方式读取时间基线后的解压日志和信息还原日志信息,并经过信息抽取、信息加密及签名、信息压缩、信息传输、信息解压、信息解密及验证、信息还原一系列步骤传送到另一网端,并更新另一网端对应的信息压缩日志和信息抽取日志信息。
物理隔离网络的两端,分别以定时任务方式检测信息压缩日志和信息抽取日志信息,对指定时间内未标记完成信息解压和信息还原操作的记录,更新相应标记,使这条记录重新进行信息加密及签名操作、信息压缩、信息传输、信息解压、信息解密及验证、信息还原一系列步骤传送到另一网端。
本发明能有效的提升物理隔离网络间的信息交换效率,并大大缩短信息交换的延迟时间。
Claims (2)
1.一种物理隔离网络间信息自动安全交换的方法,其特征在于,包括下述步骤:
步骤一.信息抽取:在物理隔离网络的两端,分别以定时任务方式读取配置信息,按照更新时间增量更新和以导出标记为条件抽取数据库中的信息,将配置的字段信息组织为XML文档;完成抽取后记录每条抽取记录的信息抽取日志信息;
步骤二:信息加密压缩,包括:
在物理隔离网络的两端,分别以定时任务方式读取抽取的XML文档,对XML文档以另一端服务器的公钥进行加密,并以本网服务器的私钥对加密后的XML文档进行签名后生成签名文件,将加密后的XML文档和签名文件压缩进一个有密码保护的文件中;完成压缩后记录每个操作的压缩日志信息;
在物理隔离网络的两端,分别以定时任务方式读取更新时间大于时间基线的文件服务器中文件,对读取的文件以另一端服务器的公钥进行加密,并以本网服务器的私钥对加密后的文件进行签名后生成签名文件,将加密后的文件和签名文件压缩进一个有密码保护的文件中;完成压缩后记录每个操作的压缩日志信息;
步骤三.信息传输,包括:
物理隔离网络的两端,分别以定时任务方式读写压缩文件,以Ftp协议将压缩文件传输到指定的Ftp服务器中;完成传输后记录每个操作的上传日志信息;
光盘摆渡机在物理隔离网络的两端的前置服务程序定时从本网端Ftp服务器上读取文件,读取的文件刻录到本网端的光驱的光盘中,待刻录完成后控制光驱和光盘摆渡机把光盘移动到另一网端的光驱中,另一网端的前置服务程序读取光盘中的内容把信息上传另一网端的Ftp服务器;
物理隔离网络的两端,分别以定时任务方式,以Ftp协议访问Ftp服务器下载文件信息;完成下载信息后记录每个操作的下载日志信息;
步骤四.信息解密和验证,包括:
物理隔离网络的两端,分别以定时任务方式读取下载的压缩文件,解压文件后获得加密文件和签名文件,以另一网端服务器的公钥对签名文件信息进行验证,并以本网端服务器的私钥对加密文件进行解密;
对解密后获取的普通文件按照配置要求传输到指定文件服务器,对解密后的XML文档存储到数据库中;完成解密和验证后记录每个操作的解压日志信息;
步骤五.信息还原,包括:
物理隔离网络的两端,分别以定时任务方式读取解密后的XML文档,对XML文档进行解析后按照配置以每一个子元素组为一条记录插入或更新指定数据库表;完成信息还原操作后记录每个操作的信息还原日志信息;
步骤六:信息交换检测,包括:
物理隔离网络的两端,分别以定时任务方式读取时间基线后的解压日志和信息还原日志信息,并经过信息抽取、信息加密及签名、信息压缩、信息传输、信息解压、信息解密及验证、信息还原一系列步骤传送到另一网端,并更新另一网端对应的信息压缩日志和信息抽取日志信息;
物理隔离网络的两端,分别以定时任务方式检测信息压缩日志和信息抽取日志信息,对指定时间内未标记完成信息解压和信息还原操作的记录,更新相应标记,使这条记录重新进行信息加密及签名操作、信息压缩、信息传输、信息解压、信息解密及验证、信息还原一系列步骤传送到另一网端;
所述步骤一中,组织XML文档时,将每条数据库记录为一个子元素组,XML文档中的每个字段以数据库记录中的字段名为子元素的属性。
2.如权利要求1所述的物理隔离网络间信息自动安全交换的方法,其特征在于:
所述步骤二中,压缩格式为Zip格式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410308002.7A CN104113532B (zh) | 2014-06-30 | 2014-06-30 | 物理隔离网络间信息自动安全交换的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410308002.7A CN104113532B (zh) | 2014-06-30 | 2014-06-30 | 物理隔离网络间信息自动安全交换的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104113532A CN104113532A (zh) | 2014-10-22 |
| CN104113532B true CN104113532B (zh) | 2017-09-19 |
Family
ID=51710165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410308002.7A Active CN104113532B (zh) | 2014-06-30 | 2014-06-30 | 物理隔离网络间信息自动安全交换的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104113532B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789755A (zh) * | 2016-11-30 | 2017-05-31 | 中国电子科技集团公司第五十四研究所 | 跨网数据交换平台 |
| CN107122474A (zh) * | 2017-05-02 | 2017-09-01 | 山东浪潮通软信息科技有限公司 | 一种网络物理隔离环境下系统单据对接技术实现方法 |
| CN107831741A (zh) * | 2017-10-18 | 2018-03-23 | 上海华电电力发展有限公司 | 用于电厂的新的时间序列数据读取方法 |
| CN108810015A (zh) * | 2018-07-09 | 2018-11-13 | 南方电网科学研究院有限责任公司 | 安全基线评估系统、基线管理平台及基线代理工具 |
| CN109067790A (zh) * | 2018-09-25 | 2018-12-21 | 北京京航计算通讯研究所 | 数据传输方法及装置 |
| CN109150912A (zh) * | 2018-10-17 | 2019-01-04 | 北京京航计算通讯研究所 | 基于安全存储技术的网间大数据交换管理方法 |
| CN109389998B (zh) * | 2018-10-24 | 2024-04-02 | 北京星震维度信息技术有限公司 | 一种数据摆渡装置及方法 |
| CN112217827B (zh) * | 2020-10-15 | 2022-10-28 | 国网安徽省电力有限公司合肥供电公司 | 一种无限制类型文件穿越隔离发送数据的方法 |
| CN112633836A (zh) * | 2020-12-24 | 2021-04-09 | 安徽航天信息科技有限公司 | 一种娱乐场所管理方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820378A (zh) * | 2010-03-26 | 2010-09-01 | 童超 | 一种安全信息交换系统 |
| CN102938761A (zh) * | 2012-10-22 | 2013-02-20 | 苏州互盟信息存储技术有限公司 | 不同安全级别网络间物理隔离的单向数据交换装置及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9098347B2 (en) * | 2006-12-21 | 2015-08-04 | Vmware | Implementation of virtual machine operations using storage system functionality |
-
2014
- 2014-06-30 CN CN201410308002.7A patent/CN104113532B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820378A (zh) * | 2010-03-26 | 2010-09-01 | 童超 | 一种安全信息交换系统 |
| CN102938761A (zh) * | 2012-10-22 | 2013-02-20 | 苏州互盟信息存储技术有限公司 | 不同安全级别网络间物理隔离的单向数据交换装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104113532A (zh) | 2014-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104113532B (zh) | 物理隔离网络间信息自动安全交换的方法 | |
| CN109377244B (zh) | 一种基于多链互联区块链网络的食品快速溯源系统及方法 | |
| US11036392B2 (en) | Determining when to use convergent encryption | |
| CN105706099B (zh) | 软件更新装置 | |
| Krueger et al. | Learning stateful models for network honeypots | |
| CN102202044A (zh) | 便携式云存储方法和设备 | |
| US8751450B1 (en) | Method and system for securely capturing workloads at a live network for replaying at a test network | |
| US20140331062A1 (en) | System and apparatus for securely storing data | |
| CN106776111A (zh) | 一种基于lrc纠删码的可恢复云存储系统 | |
| CN109656882A (zh) | 数据记录方法、提取方法及装置、存储介质、终端 | |
| CN103957172B (zh) | 一种内外网物理隔离网络数据自动交换机 | |
| WO2012063755A1 (ja) | 分散アーカイブシステム並びにデータアーカイブ装置及びデータ復元装置 | |
| CN111339201A (zh) | 基于区块链的测评方法及系统 | |
| CN110633575A (zh) | 数据加密方法、装置、设备及存储介质 | |
| CN105592107A (zh) | 一种基于fpga的工业过程数据安全采集装置及方法 | |
| CN113868685A (zh) | 基于区块链的电力监控数据加密存储系统 | |
| CN105117654A (zh) | 一种网络物理隔离情况下相同系统之间数据同步方法 | |
| CN108304733A (zh) | 加密数据搜索方法及可加密搜索的数据存储系统 | |
| Mohammad Etemad et al. | Generic efficient dynamic proofs of retrievability | |
| CN106941476A (zh) | 一种sftp数据采集及审计的方法及系统 | |
| Liang et al. | Research on IoT forensics system based on blockchain technology | |
| CN109375932B (zh) | 一种app热修复脚本构建的方法、装置、终端及存储介质 | |
| CN105159797A (zh) | 一种基于oracle数据库备份及恢复的方法 | |
| CN111400316A (zh) | 数据获取方法、装置、存储介质及电子装置 | |
| CN104486441B (zh) | 基于ftp的远程控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |