CN110572357B - 一种实现安全信息导出的装置及方法 - Google Patents
一种实现安全信息导出的装置及方法 Download PDFInfo
- Publication number
- CN110572357B CN110572357B CN201910675851.9A CN201910675851A CN110572357B CN 110572357 B CN110572357 B CN 110572357B CN 201910675851 A CN201910675851 A CN 201910675851A CN 110572357 B CN110572357 B CN 110572357B
- Authority
- CN
- China
- Prior art keywords
- desensitization information
- desensitization
- information
- intranet
- communication interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种实现安全信息导出的装置及方法,装置包括验签设备,所述验签设备连接有内网脱敏信息发送服务器和外网脱敏信息接收服务器,内网脱敏信息发送服务器设置在内网,外网脱敏信息接收服务器设置在外网;所述验签设备包括FPGA,FPAG连接有内网通信接口和外网通信接口、管理员KEY接口以及算法芯片;内网通信接口与内网脱敏信息发送服务器连接,外网通信接口与外网脱敏信息接收服务器连接。本发明使用FPGA实现验签设备功能,保证了验签设备无法被黑客攻击和劫持,能有效保证脱敏信息审批节点签名的脱敏信息与导出到外网系统的脱敏信息的一致性,且本发明采用电子化管理,提高办公效率,节省办公成本。
Description
技术领域
本发明属于网络安全领域,具体涉及一种实现安全信息导出的装置及方法。
背景技术
目前很多单位的计算机办公网络系统分为两套,分别为内网系统和外网系统。内网系统用于处理单位内部的敏感信息。外网系统用于对外交流沟通。单位内部敏感信息是需要对外保密,不希望外界获悉的,因此内网系统与外网系统是隔离的,无法互联互通。但当敏感信息已脱敏,需要对外发布时,需要将内网系统的脱敏信息导出到外网系统中。
为防止内网系统敏感信息泄露,目前脱敏信息向外网系统导出的管理方法为:发起人提出脱敏信息导出到外网系统的申请书,并签字;审批人对脱敏信息进行审核,并在申请书上签字;刻录人员将脱敏信息刻录到光盘上,并在申请书上签字;光盘由发起人带走,发布到外网系统中。目前的管理方法基本为纸质化管理,流程繁琐,管理成本高,并且由于审批人无法监控刻录到光盘中的信息,会造成审批信息与刻录信息不一致的情况。因此有敏感信息外泄的风险。
此为现有技术的不足,因此,针对现有技术中的上述缺陷,提供一种实现安全信息导出的装置及方法,是非常有必要的。
发明内容
本发明的目的在于,针对上述现有的内网敏感信息管理方法基本为纸质化管理,流程繁琐,管理成本高,并且由于审批人无法监控刻录到光盘中的信息,会造成审批信息与刻录信息不一致的情况,有敏感信息外泄的风险的缺陷,提供一种实现安全信息导出的装置及方法,以解决上述技术问题。
为实现上述目的,本发明给出以下技术方案:
一种实现安全信息导出的装置,包括验签设备,所述验签设备连接有内网脱敏信息发送服务器和外网脱敏信息接收服务器,
内网脱敏信息发送服务器设置在内网,外网脱敏信息接收服务器设置在外网;
所述验签设备包括FPGA,FPAG连接有内网通信接口和外网通信接口、管理员KEY接口以及算法芯片;
内网通信接口与内网脱敏信息发送服务器连接,外网通信接口与外网脱敏信息接收服务器连接。算法芯片,用于给验签设备提供验签算法;管理员KEY接口,用于提供验签设备启动所需的PKI CA系统根证书;内网通信接口,用于从内网脱敏信息发送服务器获取数据包;外网通信接口,用于向外网脱敏信息接收服务器发送验签通过的脱敏信息;验签设备采用FPGA的数字电路逻辑实现验签功能,而不是像传统服务器那样依靠运行在RAM中的程序,可有效防止验签设备被内网系统中的木马病毒攻击和劫持,保证设备的有效性。
进一步地,所述FPGA包括内网通信接口控制器、外网通信接口控制器、管理员KEY接口控制器以及算法芯片接口控制器,内网通信接口控制器与内网通信接口连接,外网通信接口控制器与外网通信接口连接,管理员KEY接口控制器与管理员KEY接口连接,算法芯片接口控制器与算法芯片连接;
内网通信接口控制器连接有缓存模块,缓存模块连接有管理模块、证书解析模块以及摘要运算模块;
管理模块还与外网通信接口控制器、管理员KEY接口控制器、证书解析模块、摘要运算模块以及验签模块连接;
算法芯片接口控制器连接有验签模块;
验签模块还与证书解析模块和摘要运算模块连接。
内网通信接口控制器,用于实现内网通信与协议解析;
外网通信接口控制器,用于实现外网通信与协议解析;
管理员KEY接口控制器,用于实现管理员KEY通信与协议解析;
算法芯片接口控制器,用于实现算法芯片通信与协议解析;
缓存模块,用于缓存内网数据包;
管理模块,用于实现设备权限控制,各功能模块配置与管理;
证书解析模块,用于获取脱敏信息发起节点和脱敏信息审批节点证书签名值和证书公钥;
摘要运算模块,用于对内网数据包进行摘要运算;
验签模块,用于使用CA根证书公钥对脱敏信息发起节点和脱敏信息审批节点证书签名值进行验签,并使用脱敏信息发起节点和脱敏信息审批节点公钥对脱敏信息签名值进行验签。
进一步地,所述摘要运算模块实现了SM3和SHA摘要算法。
进一步地,所述内网通信接口采用USB接口、以太网接口或自定义接口。
进一步地,所述缓存模块采用RAM缓存模块。
进一步地,所述算法芯片包括SM2算法单元、RSA算法单元以及ECC算法单元;所述算法芯片接口控制器包括SM2算法芯片接口控制器、RSA算法芯片接口控制器和ECC算法芯片接口控制器。
进一步地,所述外网通信接口采用单向发送光纤接口,验签设备通过单向发送光纤接口与外网脱敏信息接收服务器连接;
外网通信接口控制器采用单向发送光纤控制器。外网通信接口采用单向发送光纤接口保证数据只能从验签设备流向外网系统,外网系统数据无法流向验签设备,可有效防止外网系统中的木马病毒对验签设备的攻击。
进一步地,内网还设置有脱敏信息发起节点和脱敏信息审批节点,脱敏信息发起节点连接脱敏信息审批节点,脱敏信息审批节点连接内网脱敏信息发送服务器。脱敏信息发起单节点和脱敏信息审批节点在内网系统中,各自使用PKI CA签发的KEY对需导出的脱敏信息进行签名。脱敏信息审批节点的数量可以有多个。
本发明还给出如下技术方案:
一种实现安全信息导出的方法,包括如下步骤:
S1.管理员KEY连接验签设备,验签设备启动,管理员KEY接口将管理员KEY内部存有的PKI CA系统根证书导入到验签设备;
S2.脱敏信息发起节点和脱敏信息审批节点分别使用PKI CA签发的KEY对需导出脱敏信息进行签名;
S3.内网脱敏信息发送服务器将脱敏信息、脱敏信息发起节点和脱敏信息审批节点对脱敏信息的签名值以及脱敏信息发起节点和脱敏信息审批节点的公钥证书组合,生成脱敏信息导出数据包,发送给验签设备;
S4.验签设备对脱敏信息导出数据包进行解析获取脱敏信息,并对脱敏信息进行验签;
S5.若脱敏信息验签成功,验签设备将验签信息通过外网通信接口发送到外网脱敏信息接收服务器;
S6.验签设备将验签结果通知内网脱敏信息发送服务器。
进一步地,步骤S4具体步骤如下:
S41.验签设备缓存内网发送的数据包;
S42.验签设备通过包协议对数据包进行识别,提取脱敏信息导出数据包,并将无法识别的数据包丢弃;
S43.验签设备使用CA根公钥对脱敏信息数据包中的脱敏信息发起节点证书和脱敏信息审批节点证书进行合法性验证;
S44.若脱敏信息发起节点证书和脱敏信息审批节点证书验证成功,则使用脱敏信息发起节点证书和脱敏信息审批节点证书对脱敏信息进行验签。
进一步地,若脱敏信息发起节点证书和脱敏信息审批节点证书验证失败,则销毁脱敏信息导出数据包。
进一步地,步骤S5中,若脱敏信息验签失败,验签设备销毁脱敏信息。
本发明的有益效果在于:
本发明使用FPGA实现验签设备功能,保证了验签设备无法被黑客攻击和劫持,能有效保证脱敏信息审批节点签名的脱敏信息与导出到外网系统的脱敏信息的一致性,且本发明采用电子化管理,提高办公效率,节省办公成本。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。
附图说明
图1为本发明的装置结构示意图;
图2为本发明的FPGA结构示意图;
图3为本发明的装置结构示意图二;
图4为本发明的方法流程图;
图5为验签设备获取脱敏信息并对脱敏信息进行验签的流程图;
其中,1-验签设备;2-内网脱敏信息发送服务器;3-外网脱敏信息接收服务器;4-FPGA;4.1-内网通信接口控制器;4.2-外网通信接口控制器;4.3-管理员KEY接口控制器;4.4-算法芯片接口控制器;4.5-缓存模块;4.6-管理模块;4.7-证书解析模块;4.8-摘要运算模块;4.9-验签模块;5-内网通信接口;6-外网通信接口;7-管理员KEY接口;8-算法芯片;9-脱敏信息发起节点;10-脱敏信息审批节点。
具体实施方式:
为使得本发明的目的、特征、优点能够更加的明显和易懂,下面将结合本发明具体实施例中的附图,对本发明中的技术方案进行清楚、完整地描述。
如图1本发明提供一种实现安全信息导出的装置,包括验签设备1,所述验签设备1连接有内网脱敏信息发送服务器2和外网脱敏信息接收服务器3,内网脱敏信息发送服务器2设置在内网,外网脱敏信息接收服务器3设置在外网;
所述验签设备1包括FPGA 4,FPAG 4连接有内网通信接口5和外网通信接口6、管理员KEY接口7以及算法芯片8;
内网通信接口5与内网脱敏信息发送服务器2连接,外网通信接口6与外网脱敏信息接收服务器3连接。算法芯片8,用于给验签设备提供验签算法;管理员KEY接口7,用于提供验签设备启动所需的PKI CA系统根证书;内网通信接口5,用于从内网脱敏信息发送服务器2获取数据包;外网通信接口6,用于向外网脱敏信息接收服务器3发送验签通过的脱敏信息;验签设备1采用FPGA 4的数字电路逻辑实现验签功能,而不是像传统服务器那样依靠运行在RAM中的程序,可有效防止验签设备被内网系统中的木马病毒攻击和劫持,保证设备的有效性。
如图2所示,上述实施例1中的FPGA 4包括内网通信接口控制器4.1、外网通信接口控制器4.2、管理员KEY接口控制器4.3以及算法芯片接口控制器4.4,内网通信接口控制器4.1与内网通信接口5连接,外网通信接口控制器4.2与外网通信接口6连接,管理员KEY接口控制器4.3与管理员KEY接口7连接,算法芯片接口控制器4.4与算法芯片8连接;算法芯片8包括SM2算法单元、RSA算法单元以及ECC算法单元;
外网通信接口6采用单向发送光纤接口,验签设备1通过单向发送光纤接口与外网脱敏信息接收服务器3连接;
内网通信接口控制器4.1连接有缓存模块4.5,缓存模块4.5连接有管理模块4.6、证书解析模块4.7以及摘要运算模块4.8;
管理模块4.6还与外网通信接口控制器4.2、管理员KEY接口控制器4.3、证书解析模块4.7、摘要运算模块4.8以及验签模块4.9连接;
算法芯片接口控制器4.4连接有验签模块4.9;
验签模块4.9还与证书解析模块4.7和摘要运算模块4.8连接。
内网通信接口控制器4.1,用于实现内网通信与协议解析;内网通信接口5采用USB接口、以太网接口或自定义接口;
外网通信接口控制器4.2,用于实现外网通信与协议解析;外网通信接口控制器4.2采用单向发送光纤控制器;外网通信接口6采用单向发送光纤接口保证数据只能从验签设备流向外网系统,外网系统数据无法流向验签设备,可有效防止外网系统中的木马病毒对验签设备的攻击;
管理员KEY接口控制器4.3,用于实现管理员KEY通信与协议解析;
算法芯片接口控制器4.4,用于实现算法芯片通信与协议解析;所述算法芯片接口控制器4.4包括SM2算法芯片接口控制器、RSA算法芯片接口控制器和ECC算法芯片接口控制器;SM2算法芯片接口控制器与SM2算法单元连接,RSA算法芯片接口控制器与RSA算法单元连接,ECC算法芯片接口控制器与ECC算法单元连接;
缓存模块4.5,用于缓存内网数据包;缓存模块4.5采用RAM缓存模块;
管理模块4.6,用于实现设备权限控制,各功能模块配置与管理;
证书解析模块4.7,用于获取脱敏信息发起节点和脱敏信息审批节点证书签名值和证书公钥;
摘要运算模块4.8,用于对内网数据包进行摘要运算;摘要运算模块4.8采用SM3和SHA摘要算法;
验签模块4.9,用于使用CA根证书公钥对脱敏信息发起节点和脱敏信息审批节点证书签名值进行验签,并使用脱敏信息发起节点和脱敏信息审批节点公钥对脱敏信息签名值进行验签。
如图3所示,本发明提供一种实现安全信息导出的装置,包括验签设备1,所述验签设备1连接有内网脱敏信息发送服务器2和外网脱敏信息接收服务器3,内网脱敏信息发送服务器2设置在内网,外网脱敏信息接收服务器3设置在外网;
所述验签设备1包括FPGA 4,FPAG 4连接有内网通信接口5和外网通信接口6、管理员KEY接口7以及算法芯片8;
内网通信接口5与内网脱敏信息发送服务器2连接,外网通信接口6与外网脱敏信息接收服务器3连接;
内网还设置有脱敏信息发起节点9和脱敏信息审批节点10,脱敏信息发起节点9连接脱敏信息审批节点10,脱敏信息审批节点10连接内网脱敏信息发送服务器2。脱敏信息发起单节点9和脱敏信息审批节点10在内网系统中,各自使用PCI CA签发的KEY对需导出的脱敏信息进行签名;脱敏信息审批节点10的数量可以有多个。
如图4所示,本发明提供一种实现安全信息导出的方法,包括如下步骤:
S1.管理员KEY连接验签设备,验签设备启动,管理员KEY接口将管理员KEY内部存有的PKI CA系统根证书导入到验签设备;
S2.脱敏信息发起节点和脱敏信息审批节点分别使用PKI CA签发的KEY对需导出脱敏信息进行签名;
S3.内网脱敏信息发送服务器将脱敏信息、脱敏信息发起节点和脱敏信息审批节点对脱敏信息的签名值以及脱敏信息发起节点和脱敏信息审批节点的公钥证书组合,生成脱敏信息导出数据包,发送给验签设备;
S4.验签设备对脱敏信息导出数据包进行解析获取脱敏信息,并对脱敏信息进行验签;
S5.若脱敏信息验签成功,验签设备将验签信息通过外网通信接口发送到外网脱敏信息接收服务器;
若脱敏信息验签失败,验签设备销毁脱敏信息;
S6.验签设备将验签结果通知内网脱敏信息发送服务器。
如图5所示,上述步骤S4的具体步骤如下:
S41.验签设备缓存内网发送的数据包;
S42.验签设备通过包协议对数据包进行识别,提取脱敏信息导出数据包,并将无法识别的数据包丢弃;
S43.验签设备使用CA根公钥对脱敏信息数据包中的脱敏信息发起节点证书和脱敏信息审批节点证书进行合法性验证;
S44.若脱敏信息发起节点证书和脱敏信息审批节点证书验证成功,则使用脱敏信息发起节点证书和脱敏信息审批节点证书对脱敏信息进行验签;
若脱敏信息发起节点证书和脱敏信息审批节点证书验证失败,则销毁脱敏信息导出数据包。
本发明的实施例是说明性的,而非限定性的,上述实施例只是帮助理解本发明,因此本发明不限于具体实施方式中所述的实施例,凡是由本领域技术人员根据本发明的技术方案得出的其他的具体实施方式,同样属于本发明保护的范围。
Claims (9)
1.一种实现安全信息导出的装置,其特征在于,包括验签设备(1),所述验签设备(1)连接有内网脱敏信息发送服务器(2)和外网脱敏信息接收服务器(3),内网脱敏信息发送服务器(2)设置在内网,外网脱敏信息接收服务器(3)设置在外网;
所述验签设备(1)包括FPGA(4),FPGA(4)连接有内网通信接口(5)和外网通信接口(6)、管理员KEY接口(7)以及算法芯片(8);
内网通信接口(5)与内网脱敏信息发送服务器(2)连接,外网通信接口(6)与外网脱敏信息接收服务器(3)连接;
所述FPGA(4)包括内网通信接口控制器(4.1)、外网通信接口控制器(4.2)、管理员KEY接口控制器(4.3)以及算法芯片接口控制器(4.4),内网通信接口控制器(4.1)与内网通信接口(5)连接,外网通信接口控制器(4.2)与外网通信接口(6)连接,管理员KEY接口控制器(4.3)与管理员KEY接口(7)连接,算法芯片接口控制器(4.4)与算法芯片(8)连接;
内网通信接口控制器(4.1)连接有缓存模块(4.5),缓存模块(4.5)连接有管理模块(4.6)、证书解析模块(4.7)以及摘要运算模块(4.8);
管理模块(4.6)还与外网通信接口控制器(4.2)、管理员KEY接口控制器(4.3)、证书解析模块(4.7)、摘要运算模块(4.8)、以及验签模块(4.9)连接;
算法芯片接口控制器(4.4)连接有验签模块(4.9);
验签模块(4.9)还与证书解析模块(4.7)和摘要运算模块(4.8)连接。
2.如权利要求1所述的一种实现安全信息导出的装置,其特征在于,所述摘要运算模块(4.8)实现了SM3摘要算法和SHA摘要算法。
3.如权利要求1所述的一种实现安全信息导出的装置,其特征在于,所述算法芯片(8)包括SM2算法单元、RSA算法单元以及ECC算法单元;
所述算法芯片接口控制器(4.4)包括SM2算法芯片接口控制器、RSA算法芯片接口控制器和ECC算法芯片接口控制器。
4.如权利要求1所述的一种实现安全信息导出的装置,其特征在于,所述外网通信接口(6)采用单向发送光纤接口,验签设备(1)通过单向发送光纤接口与外网脱敏信息接收服务器(3)连接;
外网通信接口控制器(4.2)采用单向发送光纤控制器。
5.如权利要求1所述的一种实现安全信息导出的装置,其特征在于,内网还设置有脱敏信息发起节点(9)和脱敏信息审批节点(10),脱敏信息发起节点(9)连接脱敏信息审批节点(10),脱敏信息审批节点(10)连接内网脱敏信息发送服务器(2)。
6.一种实现安全信息导出的方法,其特征在于,包括如下步骤:
S1.管理员KEY连接验签设备,验签设备启动,管理员KEY接口将管理员KEY内部存有的PKI CA系统根证书导入到验签设备;
S2.脱敏信息发起节点和脱敏信息审批节点分别使用PKI CA签发的KEY对需导出脱敏信息进行签名;
S3.内网脱敏信息发送服务器将脱敏信息、脱敏信息发起节点和脱敏信息审批节点对脱敏信息的签名值以及脱敏信息发起节点和脱敏信息审批节点的公钥证书组合,生成脱敏信息导出数据包,发送给验签设备;
S4.验签设备对脱敏信息导出数据包进行解析获取脱敏信息,并对脱敏信息进行验签;
S5.若脱敏信息验签成功,验签设备将验签信息通过外网通信接口发送到外网脱敏信息接收服务器;
S6.验签设备将验签结果通知内网脱敏信息发送服务器。
7.如权利要求6所述的一种实现安全信息导出的方法,其特征在于,步骤S4具体步骤如下:
S41.验签设备缓存内网发送的数据包;
S42.验签设备通过包协议对数据包进行识别,提取脱敏信息导出数据包,并将无法识别的数据包丢弃;
S43.验签设备使用CA根公钥对脱敏信息数据包中的脱敏信息发起节点证书和脱敏信息审批节点证书进行合法性验证;
S44.若脱敏信息发起节点证书和脱敏信息审批节点证书验证成功,则使用脱敏信息发起节点证书和脱敏信息审批节点证书对脱敏信息进行验签。
8.如权利要求7所述的一种实现安全信息导出的方法,其特征在于,步骤S44中,若脱敏信息发起节点证书和脱敏信息审批节点证书验证失败,则销毁脱敏信息导出数据包。
9.如权利要求6所述的一种实现安全信息导出的方法,其特征在于,步骤S5中,若脱敏信息验签失败,验签设备销毁脱敏信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910675851.9A CN110572357B (zh) | 2019-07-25 | 2019-07-25 | 一种实现安全信息导出的装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910675851.9A CN110572357B (zh) | 2019-07-25 | 2019-07-25 | 一种实现安全信息导出的装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110572357A CN110572357A (zh) | 2019-12-13 |
| CN110572357B true CN110572357B (zh) | 2020-09-18 |
Family
ID=68773526
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910675851.9A Active CN110572357B (zh) | 2019-07-25 | 2019-07-25 | 一种实现安全信息导出的装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110572357B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113542224B (zh) * | 2021-06-16 | 2023-12-29 | 深圳市中金岭南有色金属股份有限公司凡口铅锌矿 | 培训数据的处理方法、装置、服务器及介质 |
| CN113569272B (zh) * | 2021-09-27 | 2022-01-11 | 深圳市永达电子信息股份有限公司 | 一种安全计算机实现方法和安全计算机 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103997495A (zh) * | 2014-05-23 | 2014-08-20 | 中国人民解放军理工大学 | 一种安全隔离文件传输控制方法 |
| CN105491011A (zh) * | 2015-11-20 | 2016-04-13 | 北京天行网安信息技术有限责任公司 | 一种数据安全单向导出系统及方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8386783B2 (en) * | 2006-12-04 | 2013-02-26 | Fuji Xerox Co., Ltd. | Communication apparatus and communication method |
| CN101986638A (zh) * | 2010-09-16 | 2011-03-16 | 珠海市鸿瑞软件技术有限公司 | 千兆单向型网络隔离装置 |
| CN104866780B (zh) * | 2015-04-24 | 2018-01-05 | 广东电网有限责任公司信息中心 | 基于分级分类的非结构化数据资产防泄露方法 |
| CN107920130A (zh) * | 2017-12-07 | 2018-04-17 | 北京书生电子技术有限公司 | 内外网数据同步的方法和装置 |
-
2019
- 2019-07-25 CN CN201910675851.9A patent/CN110572357B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103997495A (zh) * | 2014-05-23 | 2014-08-20 | 中国人民解放军理工大学 | 一种安全隔离文件传输控制方法 |
| CN105491011A (zh) * | 2015-11-20 | 2016-04-13 | 北京天行网安信息技术有限责任公司 | 一种数据安全单向导出系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110572357A (zh) | 2019-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8533806B2 (en) | Method for authenticating a trusted platform based on the tri-element peer authentication(TEPA) | |
| US8572673B2 (en) | Data processing apparatus and method | |
| CN110572357B (zh) | 一种实现安全信息导出的装置及方法 | |
| CN106161024B (zh) | 一种usb控制芯片级的usb设备可信认证方法及其系统 | |
| CN113708935B (zh) | 基于区块链和puf的物联网设备统一认证方法及系统 | |
| CN113986470B (zh) | 一种用户无感知的虚拟机批量远程证明方法 | |
| CN112866242A (zh) | 一种基于区块链的数字身份验证方法、设备及存储介质 | |
| CN112865965B (zh) | 一种基于量子密钥的列车业务数据处理方法及系统 | |
| CN116980175A (zh) | 企业隐私分析与异常发现方法、装置、设备和存储介质 | |
| CN112015111B (zh) | 基于主动免疫机理的工业控制设备安全防护系统和方法 | |
| CN104270346B (zh) | 双向认证的方法、装置和系统 | |
| CN105791294A (zh) | 一种无需修改Web业务系统实现用户数据完整性和机密性的方法 | |
| CN115348114B (zh) | 一种智慧电厂数据安全传输方法、系统、电子设备及介质 | |
| CN109413111B (zh) | 一种基于智慧数据中心的安全访问系统及方法 | |
| CN113783846B (zh) | 一种可信数据传输系统及方法 | |
| CN115834149A (zh) | 一种基于国密算法的数控系统安全防护方法及装置 | |
| Basic et al. | Trust your BMS: Designing a Lightweight Authentication Architecture for Industrial Networks | |
| WO2019076019A1 (zh) | 电子签名方法和设备 | |
| CN113285934A (zh) | 基于数字签名的服务器密码机客户端ip检测方法及装置 | |
| Yang et al. | Authentication technology in industrial control system based on identity password | |
| KR20200073103A (ko) | 클라이언트 장치, 발급 장치 및 서버의 통신 방법 | |
| CN118054901B (zh) | 基于密钥标识快速传递的网络通信方法及存储装置 | |
| Li et al. | Trusted Sharing of Data Under Cloud-Edge-End Collaboration and Its Formal Verification | |
| CN114925361B (zh) | 基于可信平台的嵌入式设备软件远程审计方法及装置 | |
| CN118432826B (zh) | 群组设备的注册与身份认证方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |