CN110896401A - 基于二维码的隔离网间单向数据流传输系统及方法 - Google Patents
基于二维码的隔离网间单向数据流传输系统及方法 Download PDFInfo
- Publication number
- CN110896401A CN110896401A CN201911233820.4A CN201911233820A CN110896401A CN 110896401 A CN110896401 A CN 110896401A CN 201911233820 A CN201911233820 A CN 201911233820A CN 110896401 A CN110896401 A CN 110896401A
- Authority
- CN
- China
- Prior art keywords
- dimensional code
- data
- data stream
- abstract
- end host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于二维码的隔离网间单向数据流传输系统及方法,所述系统包括发送端主机、二维码生成器、二维码扫描器及接收端主机,发送端主机与第一网络连接并用于将需要传送的数据流传输给二维码生成器;二维码生成器用于接收发送端主机传送的数据流并对所述数据流进行加密处理后生成二维码并显示;二维码扫描器用于识别所述二维码生成器生成的二维码并解析提取出数据后发送给接收端主机;接收端主机与第二网络连接并用于接收二维码扫描器发送的数据。本发明实现了物理隔离的两个网络之间的单向数据流传输,安全可靠,不仅可以用于文件传输,还适用于身份验证信息、传感器信息、设备控制信息等数据流的单向安全传输。
Description
技术领域
本发明涉及互联网数据传输技术领域,特别涉及一种基于二维码的隔离网间单向数据流传输系统及方法。
背景技术
一方面随着Internet的迅速发展,越来越多的工作需要依靠互联网来完成,另一方面很多机构或单位为保守商业机密或其它敏感信息很多信息仅在内部局域网(以下简称内网)流转,如何在内网和互联网或其他公共信息网络之间进行信息交换成为迫切需要解决的问题。目前这一问题已经成为制约办公效率提升的瓶颈。。
“内网”与互联网或其他公共信息网络实现严格的隔离后,内外网数据交换成为突出问题,影响了应用系统的有效运行。为实现“内网”与互联网或其他公共信息网络的信息传递,目前主要有以下两种方式:
1、采用逻辑隔离的方式
即互联网与内部网络之间采用单向导入设备连接,如网闸或光闸,虽然效率高,但不属于完全的物理隔离,成本较高,而且由于直接与外网进行连接,存在受网络攻击导致泄密的风险,其安全性较差。
2、物理隔离
采用人工刻盘,将外部(或内部)网络的数据刻录到光盘,再由人工经过安全处理后将数据加载到内部(或外部)网络上,或使用专用的安全U盘来传递。这种方式虽实现了外部与内部网络的物理隔离,但存在资源消耗大、效率低下和不易管理的弊端,而且成为易受“摆渡病毒”攻击,对内网安全构成了巨大的威胁。采用光盘或安全U盘传递数据对文件传输等实时性要求不高的场合尚可接受,对于身份认证信息、传感器信息、控制信息等数据传输频繁的场合就无法适用了。
因而现有技术还有待改进和提高。
发明内容
鉴于上述现有技术的不足之处,本发明的目的在于提供一种基于二维码的隔离网间单向数据流传输系统及方法,可安全可靠的实现物理隔离的两个网络之间的单向数据流传输。
为了达到上述目的,本发明采取了以下技术方案:
一种基于二维码的隔离网间单向数据流传输系统,包括:
发送端主机,与第一网络连接并用于将需要传送的数据流通过USB接口传输给二维码生成器;
二维码生成器,用于接收发送端主机传送的数据流并对所述数据流进行加密处理后生成二维码并显示;
二维码扫描器,用于识别所述二维码生成器生成的二维码并解析提取出数据后通过USB接口发送给接收端主机;
接收端主机,与第二网络连接并用于通过USB接口接收二维码扫描器发送的数据。
优选的,所述的基于二维码的隔离网间单向数据流传输系统中,所述二维码生成器具体包括:
数据接收模块,用于接收发送端主机传送的数据流;
数据分包模块,用于将接收到的数据流处理为数据包,并将长度大于预设值的数据流拆分为若干个数据包;
数据加密模块,用于以密钥协商生成的会话密钥作为加密密钥,对所述数据包进行加密;
数据摘要生成模块,用于在所述数据包进行加密时给所述数据流生成摘要信息;
数字签名生成模块,用于给所述摘要信息进行签名并生成数字签名信息;
二维码生成模块,用于依次将加密后的数据包以及数字签名生成QR二维码;
显示模块,用于显示所述QR二维码。
优选的,所述的基于二维码的隔离网间单向数据流传输系统中,所述二维码扫描器具体包括:
扫描模块,用于扫描所述显示模块显示的QR二维码,并将扫描到的QR二维码转换为二进制数据;
信息解密模块,用于以会话密钥为作为解密密钥,对所述二进制数据进行解密;
摘要计算模块,用于对解密的数据进行计算得到第一摘要;
签名验证模块,用于对所述数字签名信息进行解密得到第二摘要,并比较第一摘要和第二摘要的一致性;
数据发送模块,用于当第一摘要和第二摘要一致时,将解密的数据通过USB接口传输至接收端主机。
优选的,所述的基于二维码的隔离网间单向数据流传输系统中,所述二维码生成器和二维码扫描器中预设有一对预共享非对称密钥对,其中,二维码生成器中存储非对称密钥对私钥,二维码扫描器中存储非对称密钥对公钥。
优选的,所述的基于二维码的隔离网间单向数据流传输系统中,所述非对称密钥对每隔预设时间后更新或在数据流传输次数达到预设累积次数后更新。
一种如上所述的基于二维码的隔离网间单向数据流传输系统的数据流传输方法,包括如下步骤:
由二维码生成器通过USB接口接收发送端主机传送的数据流,并对所述数据流进行加密处理后生成二维码并显示;
由二维码扫描器识别二维码生成器生成的二维码并解析提取出数据后发送给接收端主机。
优选的,所述的基于二维码的隔离网间单向数据流传输方法中,所述由二维码生成器通过USB接口接收发送端主机传送的数据流,并对所述数据流进行加密处理后生成二维码并显示的步骤具体包括:
接收发送端主机传送的数据流;
将接收到的数据流处理为数据包,并将长度大于预设值的数据流拆分为若干个数据包;
以密钥协商生成的会话密钥作为加密密钥,对所述数据包进行加密;
在所述数据包进行加密时给所述数据流生成摘要信息;
给所述摘要信息进行签名并生成数字签名信息;
依次将加密后的数据包以及数字签名生成QR二维码;
显示所述QR二维码。
优选的,所述的基于二维码的隔离网间单向数据流传输方法中,所述由二维码扫描器识别二维码生成器生成的二维码并解析提取出数据后发送给接收端主机的步骤具体包括:
扫描QR二维码,并将扫描到的QR二维码转换为二进制数据;
以会话密钥为作为解密密钥,对所述二进制数据进行解密;
对解密的数据进行计算得到第一摘要;
对所述数字签名信息进行解密得到第二摘要,并比较第一摘要和第二摘要的一致性;
当第一摘要和第二摘要一致时,将解密的数据通过USB接口传输至接收端主机。
优选的,所述的基于二维码的隔离网间单向数据流传输方法中,所述二维码生成器和二维码扫描器中预设有一对预共享非对称密钥对,其中,二维码生成器中存储非对称密钥对私钥,二维码扫描器中存储非对称密钥对公钥。
优选的,所述的基于二维码的隔离网间单向数据流传输方法中,所述非对称密钥对每隔预设时间后更新或在数据流传输次数达到预设累积次数后更新。
相较于现有技术,本发明提供的基于二维码的隔离网间单向数据流传输系统及方法中,所述系统包括发送端主机、二维码生成器、二维码扫描器及接收端主机,所述发送端主机与第一网络连接并用于将需要传送的数据流通过USB接口传输给二维码生成器;所述二维码生成器用于接收发送端主机传送的数据流并对所述数据流进行加密处理后生成二维码并显示;所述二维码扫描器用于识别所述二维码生成器生成的二维码并解析提取出数据后发送给接收端主机;所述接收端主机与第二网络连接并用于通过USB接口接收二维码扫描器发送的数据。本发明实现了物理隔离的两个网络之间的单向数据流传输,安全可靠,不仅可以用于文件传输,还适用于身份验证信息、传感器信息、设备控制信息等数据流的单向安全传输。
附图说明
图1为本发明提供的基于二维码的隔离网间单向数据流传输系统的一较佳实施例的结构框图;
图2为本发明提供的基于二维码的隔离网间单向数据流传输系统中,所述二维码生成器的一较佳实施例的结构框图;
图3为本发明提供的基于二维码的隔离网间单向数据流传输系统中,所述二维码扫描器的一较佳实施例的结构框图;
图4为本发明提供的基于二维码的隔离网间单向数据流传输方法的一较佳实施例的流程图;
图5为本发明提供的基于二维码的隔离网间单向数据流传输方法中,所述步骤S100的流程图;
图6为本发明提供的基于二维码的隔离网间单向数据流传输方法中,所述步骤S200的流程图。
具体实施方式
本发明提供一种基于二维码的隔离网间单向数据流传输系统及方法,为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
请参阅图1,本实施例提供的基于二维码的隔离网间单向数据流传输系统,包括发送端主机1、二维码生成器2、二维码扫描器3和接收端主机4,所述发送端主机1与第一网络连接,所述接收端主机4与第二网络连接,所述发送端主机1可通过USB数据线连接所述二维码生成器2,所述接收端主机4可通过USB数据线连接所述二维码扫描器3,所述二维码扫描器3可扫描所述二维码生成器2生成的二维码,所述第一网络和第二网络不通,换而言之,所述第一网络和第二网络之间具有“物理隔离”,所述“物理隔离”是指企业内部局域网如果在任何时间都不存在与互联网或其它公共网络直接的物理连接。
具体的,所述发送端主机1用于将需要传输的数据流通过USB接口传输给二维码生成器2,其中,所述数据流可以为文件、身份认证信息、传感器信息、控制信息等。例如内网设备可通过本系统将设备状态信息传输至互联网,网络管理员即可及时掌握设备的状态,及时排除故障;所述二维码生成器2用于接收发送端主机1传送的数据流并对所述数据流进行加密处理后生成二维码并显示,所述加密处理后的二维码可被特定的设备识别(本实施例中为二维码扫描器),进而解析出加密的数据流,实现数据流的传输;所述二维码扫描器3用于识别所述二维码生成器生成的二维码并解析提取出数据后发送给接收端主机4,从而实现数据流的传输;所述接收端主机4用于通过USB接口接收二维码扫描器3发送的数据,得到所需的数据流。
本实施例中,二维码生成器2和二维码扫描器3通过QR二维码传递信息,每次传递的信息包括命令和数据两部分。命令部分用于表明该部分数据的种类,如密钥协商、数据、数字签名等。数据部分为需要传输的数据流。本发明实现了物理隔离的两个网络间的数据流安全、可靠的自动化传输。
请一并参阅图2,所述二维码生成器2具体包括:
数据接收模块21,用于接收发送端主机传送的数据流;
数据分包模块22,用于将接收到的数据流处理为数据包,并将长度大于预设值的数据流拆分为若干个数据包;
数据加密模块23,用于以密钥协商生成的会话密钥作为加密密钥,对所述数据包进行加密;
数据摘要生成模块24,用于在所述数据包进行加密时给所述数据流生成摘要信息;
数字签名生成模块25,用于给所述摘要信息进行签名并生成数字签名信息;
二维码生成模块26,用于依次将加密后的数据包以及数字签名生成QR二维码;
显示模块27,用于显示所述QR二维码。
本实施例中,所述数据接收模块21通过USB接口接收发送端主机1传输的数据流;所述数据分包模块22在接收到数据流后对数据进行分包处理,具体实施时,所述数据分包模块22将长度大于512Byte的数据里拆分为多个数据包进行处理,进而方便数据的传输;所述数据加密模块23可通过多种不同的算法来对所述数据包进行加密,二维码生成器2和二维码扫描器3种预设有一对预共享非对称密钥对,其中,二维码生成器2存储非对称密钥对私钥,二维码扫描器3存储非对称密钥对公钥,具体实施时,二维码生成器2在上电后,首先产生16Byte随机数作为会话密钥,并以公钥用算法加密,以保证数据的机密性、完整性和不可否认性,所述算法可以为SM4对称密码算法,也可更换为SM1算法、祖冲之算法等商用对称密码算法或DES、3DES、AES等国际对称密码算法,只需实现本发明功能即可,本发明对所述算法的类型不作限定;所述数据摘要生成模块24可对所述数据包采用SM3密码算法来生成摘要信息,当然也可更换为SHA-1、SHA-256等哈希算法,本发明对摘要信息的生成算法不做限定;所述数字签名生成模块25可采用SM2密码算法对摘要信息进行签名,当然也可更换为SM9商用非对称密码算法、RSA等国际通用的非对称密码算法,本发明对数字签名的生成算法不做限定;所述显示模块27可以采用2.5寸显示屏,方便二维码扫描器3的扫描。
请参阅图3,所述二维码扫描器3具体包括:
扫描模块31,用于扫描所述显示模块显示的QR二维码,并将扫描到的QR二维码转换为二进制数据;
信息解密模块32,用于以会话密钥为作为解密密钥,对所述二进制数据进行解密;
摘要计算模块33,用于对解密的数据进行计算得到第一摘要;
签名验证模块34,用于对所述数字签名信息进行解密得到第二摘要,并比较第一摘要和第二摘要的一致性;
数据发送模块35,用于当第一摘要和第二摘要一致时,将解密的数据通过USB接口传输至接收端主机。
本实施例中,二维码生成器2和二维码扫描器3预置一对预共享非对称密钥对,二维码生成器存储非对称密钥对私钥,二维码扫描器存储非对称密钥对公钥。二维码生成器上电后,首先产生16Byte随机数作为会话密钥,并以公钥用非对称算法加密后,将密钥协商命令和加密后的会话密钥结果生成QR二维码显示在显示屏上。二维码扫描器3通过光变感应识别到显示屏产生了二维码后,扫描显示屏获取QR二维码信息,通过命令头来判断信息的类型,当识别为密钥协商命令时,将数据区数据以私钥用非对称算法进行解密,并将解密结果作为后续通信的会话密钥。
进一步来说,二维码扫描器平时处于待机状态,通过光感传感器检测周围光强变化,当检测到明显光强变化时即开启补光和扫描操作,利用扫描模块31扫描QR二维码,并将扫描到的QR二维码转换为二进制数据;所述信息解密模块32采用的解密算法与数据加密模块23的算法对应,可以为SM4对称密码算法,也可更换为SM1算法、祖冲之算法等商用对称密码算法或DES、3DES、AES等国际对称密码算法;所述摘要计算模块33采用的算法与数据摘要生成模块24采用的算法对应,可以为SM3密码算法,当然也可更换为SHA-1、SHA-256等哈希算法;所述签名验证模块34采用的算法与数字签名生成模块25采用的算法对应,可采用SM2密码算法,当然也可更换为SM9密码算法、RSA等国际通用的非对称算法,所述签名验证模块34将第一摘要和第二摘要进行比较,如果一致表明传输无误,且数据确实来源于配套的二维码生成器,而非其它二维码生成装置产生的二维码;否则说明数据传输错误,数据遭到了截取、篡改或者数据不是来自配对的二维码生成器,其数据机密性、完整性、抗抵赖性无法保障;所述数据发送模块35在摘要信息验证通过后,将解密的信息通过USB接口传输给与第二网络连接的接收端主机4,完成数据流的传输,否则丢弃错误信息。
本发明通过二维码技术实现不同安全等级的第一网络和第二网络的信息传输,两个网络之间以二维码作为媒介,在物理隔离的情况下实现数据流传输。
优选的,为保证加密的可靠性,除了上电时进行密钥协商,系统还将定期进行密钥协商,更新会话密钥保证数据安全,具体的,所述非对称密钥对每隔预设时间后更新或在数据流传输次数达到预设累积次数后更新,优选的,本实施例中每小时更新1次或累计传输100次数据重新进行密钥协商。
请参阅图4,基于上述二维码的隔离网间单向数据流传输系统,本发明还相应的提供一种基于二维码的隔离网间单向数据流传输方法,包括如下步骤:
S100、由二维码生成器通过USB接口接收发送端主机传送的数据流,并对所述数据流进行加密处理后生成二维码并显示;
S200、由二维码扫描器识别二维码生成器生成的二维码并解析提取出数据后发送给接收端主机。
请参阅图5,所述步骤S100具体包括:
S101、接收发送端主机传送的数据流;
S102、将接收到的数据流处理为数据包,并将长度大于预设值的数据流拆分为若干个数据包;
S103、以密钥协商生成的会话密钥作为加密密钥,对所述数据包进行加密;
S104、在所述数据包进行加密时给所述数据流生成摘要信息;
S105、给所述摘要信息进行签名并生成数字签名信息;
S106、依次将加密后的数据包以及数字签名生成QR二维码;
S107、显示所述QR二维码。
优选的,请一并参阅图6,所述步骤S200具体包括:
S201、扫描QR二维码,并将扫描到的QR二维码转换为二进制数据;
S202、以会话密钥为作为解密密钥,对所述二进制数据进行解密;
S203、对解密的数据进行计算得到第一摘要;
S204、对所述数字签名信息进行解密得到第二摘要,并比较第一摘要和第二摘要的一致性;
S205、当第一摘要和第二摘要一致时,将解密的数据通过USB接口传输至接收端主机。
优选的,所述二维码生成器和二维码扫描器中预设有一对预共享非对称密钥对,其中,二维码生成器中存储非对称密钥对私钥,二维码扫描器中存储非对称密钥对公钥。
优选的,所述非对称密钥对每隔预设时间后更新或在数据流传输次数达到预设累积次数后更新。
由于上文已对基于二维码的隔离网间单向数据流传输系统进行详细描述,在此不再对基于二维码的隔离网间单向数据流传输方法进行赘述。
应该理解的是,虽然图4至图6的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。
综上所述,本发明提供的基于二维码的隔离网间单向数据流传输系统及方法中,所述系统包括发送端主机、二维码生成器、二维码扫描器及接收端主机,所述发送端主机与第一网络连接并用于将需要传送的数据流通过USB接口传输给二维码生成器;所述二维码生成器用于接收发送端主机传送的数据流并对所述数据流进行加密处理后生成二维码并显示;所述二维码扫描器用于识别所述二维码生成器生成的二维码并解析提取出数据后发送给接收端主机;所述接收端主机与第二网络连接并用于通过USB接口接收二维码扫描器发送的数据。本发明实现了物理隔离的两个网络之间的单向数据流传输,安全可靠,不仅可以用于文件传输,还适用于身份验证信息、传感器信息、设备控制信息等数据流的单向安全传输。
可以理解的是,对本领域普通技术人员来说,可以根据本发明的技术方案及其发明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。
Claims (10)
1.一种基于二维码的隔离网间单向数据流传输系统,其特征在于,包括:
发送端主机,与第一网络连接并用于将需要传送的数据流通过USB接口传输给二维码生成器;
二维码生成器,用于接收发送端主机传送的数据流并对所述数据流进行加密处理后生成二维码并显示;
二维码扫描器,用于识别所述二维码生成器生成的二维码并解析提取出数据后通过USB接口发送给接收端主机;
接收端主机,与第二网络连接并用于通过USB接口接收二维码扫描器发送的数据。
2.根据权利要求1所述的基于二维码的隔离网间单向数据流传输系统,其特征在于,所述二维码生成器具体包括:
数据接收模块,用于接收发送端主机传送的数据流;
数据分包模块,用于将接收到的数据流处理为数据包,并将长度大于预设值的数据流拆分为若干个数据包;
数据加密模块,用于以密钥协商生成的会话密钥作为加密密钥,对所述数据包进行加密;
数据摘要生成模块,用于在所述数据包进行加密时给所述数据流生成摘要信息;
数字签名生成模块,用于给所述摘要信息进行签名并生成数字签名信息;
二维码生成模块,用于依次将加密后的数据包以及数字签名生成QR二维码;
显示模块,用于显示所述QR二维码。
3.根据权利要求2所述的基于二维码的隔离网间单向数据流传输系统,其特征在于,所述二维码扫描器具体包括:
扫描模块,用于扫描所述显示模块显示的QR二维码,并将扫描到的QR二维码转换为二进制数据;
信息解密模块,用于以会话密钥为作为解密密钥,对所述二进制数据进行解密;
摘要计算模块,用于对解密的数据进行计算得到第一摘要;
签名验证模块,用于对所述数字签名信息进行解密得到第二摘要,并比较第一摘要和第二摘要的一致性;
数据发送模块,用于当第一摘要和第二摘要一致时,将解密的数据通过USB接口传输至接收端主机。
4.根据权利要求3所述的基于二维码的隔离网间单向数据流传输系统,其特征在于,所述二维码生成器和二维码扫描器中设有一对预共享非对称密钥对,其中,二维码生成器中存储非对称密钥对私钥,二维码扫描器中存储非对称密钥对公钥。
5.根据权利要求4所述的基于二维码的隔离网间单向数据流传输系统,其特征在于,所述非对称密钥对每隔预设时间后更新或在数据流传输次数达到预设累积次数后更新。
6.一种如权利要求1-5任意一项所述的基于二维码的隔离网间单向数据流传输系统的数据流传输方法,其特征在于,包括如下步骤:
由二维码生成器通过USB接口接收发送端主机传送的数据流,并对所述数据流进行加密处理后生成二维码并显示;
由二维码扫描器识别二维码生成器生成的二维码并解析提取出数据后发送给接收端主机。
7.根据权利要求所述6的基于二维码的隔离网间单向数据流传输方法,其特征在于,所述由二维码生成器通过USB接口接收发送端主机传送的数据流,并对所述数据流进行加密处理后生成二维码并显示的步骤具体包括:
接收发送端主机传送的数据流;
将接收到的数据流处理为数据包,并将长度大于预设值的数据流拆分为若干个数据包;
以密钥协商生成的会话密钥作为加密密钥,对所述数据包进行加密;
在所述数据包进行加密时给所述数据流生成摘要信息;
给所述摘要信息进行签名并生成数字签名信息;
依次将加密后的数据包以及数字签名生成QR二维码;
显示所述QR二维码。
8.根据权利要求7所述的基于二维码的隔离网间单向数据流传输方法,其特征在于,所述由二维码扫描器识别二维码生成器生成的二维码并解析提取出数据后发送给接收端主机的步骤具体包括:
扫描QR二维码,并将扫描到的QR二维码转换为二进制数据;
以会话密钥为作为解密密钥,对所述二进制数据进行解密;
对解密的数据进行计算得到第一摘要;
对所述数字签名信息进行解密得到第二摘要,并比较第一摘要和第二摘要的一致性;
当第一摘要和第二摘要一致时,将解密的数据通过USB接口传输至接收端主机。
9.根据权利要求8所述的基于二维码的隔离网间单向数据流传输方法,其特征在于,所述二维码生成器和二维码扫描器中预设有一对预共享非对称密钥对,其中,二维码生成器中存储非对称密钥对私钥,二维码扫描器中存储非对称密钥对公钥。
10.根据权利要求9所述的基于二维码的隔离网间单向数据流传输方法,其特征在于,所述非对称密钥对每隔预设时间后更新或在数据流传输次数达到预设累积次数后更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911233820.4A CN110896401A (zh) | 2019-12-05 | 2019-12-05 | 基于二维码的隔离网间单向数据流传输系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911233820.4A CN110896401A (zh) | 2019-12-05 | 2019-12-05 | 基于二维码的隔离网间单向数据流传输系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110896401A true CN110896401A (zh) | 2020-03-20 |
Family
ID=69787177
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911233820.4A Pending CN110896401A (zh) | 2019-12-05 | 2019-12-05 | 基于二维码的隔离网间单向数据流传输系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110896401A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111756772A (zh) * | 2020-07-21 | 2020-10-09 | 武汉爱迪科技股份有限公司 | 一种重大危险源数据监测系统 |
CN111970207A (zh) * | 2020-08-26 | 2020-11-20 | 浙江浙能电力股份有限公司台州发电厂 | 一种基于视频二维码识别的安全实时数据传输系统及方法 |
CN112994233A (zh) * | 2021-02-06 | 2021-06-18 | 西安热工研究院有限公司 | 一种适用于电力监控系统的单向图闸系统和装置 |
CN113194081A (zh) * | 2021-04-25 | 2021-07-30 | 武汉烽火信息集成技术有限公司 | 一种适用于物理隔离环境的单向消息传输系统及方法 |
CN113225299A (zh) * | 2020-05-14 | 2021-08-06 | 国家电网公司东北分部 | 基于二维码的多路径分布式传输电力数据的方法及系统 |
CN114124390A (zh) * | 2021-11-24 | 2022-03-01 | 贵州大学 | 一种基于物理隔离的发送方法、接收方法及系统 |
CN114338209A (zh) * | 2021-12-31 | 2022-04-12 | 广东泓胜科技股份有限公司 | 一种实现不同vpn网络之间数据交换的方法及系统 |
CN115001847A (zh) * | 2022-06-30 | 2022-09-02 | 山东鲁软数字科技有限公司 | 一种基于动态二维码的电力专网终端内外网安全通信系统 |
GB2609746A (en) * | 2021-07-19 | 2023-02-15 | Emc Ip Holding Co Llc | True secure airgap |
CN117596084A (zh) * | 2024-01-19 | 2024-02-23 | 天津航天机电设备研究所 | 一种面向网信安全的软件持续集成系统及方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103839097A (zh) * | 2014-03-20 | 2014-06-04 | 武汉信安珞珈科技有限公司 | 一种基于数字签名的二维码生成方法和装置 |
CN107018139A (zh) * | 2017-04-24 | 2017-08-04 | 宁波永耀信息科技有限公司 | 一种基于移动存储介质的隔离网间数据双工互传自动化装置 |
CN108090370A (zh) * | 2018-01-10 | 2018-05-29 | 芯盾网安(北京)科技发展有限公司 | 基于索引的即时通信加密方法和系统 |
CN109254955A (zh) * | 2018-09-27 | 2019-01-22 | 贵州华云创谷科技有限公司 | 一种基于二维码的隔离网间单向文件摆渡方法及系统 |
-
2019
- 2019-12-05 CN CN201911233820.4A patent/CN110896401A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103839097A (zh) * | 2014-03-20 | 2014-06-04 | 武汉信安珞珈科技有限公司 | 一种基于数字签名的二维码生成方法和装置 |
CN107018139A (zh) * | 2017-04-24 | 2017-08-04 | 宁波永耀信息科技有限公司 | 一种基于移动存储介质的隔离网间数据双工互传自动化装置 |
CN108090370A (zh) * | 2018-01-10 | 2018-05-29 | 芯盾网安(北京)科技发展有限公司 | 基于索引的即时通信加密方法和系统 |
CN109254955A (zh) * | 2018-09-27 | 2019-01-22 | 贵州华云创谷科技有限公司 | 一种基于二维码的隔离网间单向文件摆渡方法及系统 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113225299A (zh) * | 2020-05-14 | 2021-08-06 | 国家电网公司东北分部 | 基于二维码的多路径分布式传输电力数据的方法及系统 |
CN111756772A (zh) * | 2020-07-21 | 2020-10-09 | 武汉爱迪科技股份有限公司 | 一种重大危险源数据监测系统 |
CN111970207A (zh) * | 2020-08-26 | 2020-11-20 | 浙江浙能电力股份有限公司台州发电厂 | 一种基于视频二维码识别的安全实时数据传输系统及方法 |
CN112994233A (zh) * | 2021-02-06 | 2021-06-18 | 西安热工研究院有限公司 | 一种适用于电力监控系统的单向图闸系统和装置 |
CN113194081A (zh) * | 2021-04-25 | 2021-07-30 | 武汉烽火信息集成技术有限公司 | 一种适用于物理隔离环境的单向消息传输系统及方法 |
GB2609746A (en) * | 2021-07-19 | 2023-02-15 | Emc Ip Holding Co Llc | True secure airgap |
CN114124390A (zh) * | 2021-11-24 | 2022-03-01 | 贵州大学 | 一种基于物理隔离的发送方法、接收方法及系统 |
CN114338209A (zh) * | 2021-12-31 | 2022-04-12 | 广东泓胜科技股份有限公司 | 一种实现不同vpn网络之间数据交换的方法及系统 |
CN115001847A (zh) * | 2022-06-30 | 2022-09-02 | 山东鲁软数字科技有限公司 | 一种基于动态二维码的电力专网终端内外网安全通信系统 |
CN117596084A (zh) * | 2024-01-19 | 2024-02-23 | 天津航天机电设备研究所 | 一种面向网信安全的软件持续集成系统及方法 |
CN117596084B (zh) * | 2024-01-19 | 2024-04-16 | 天津航天机电设备研究所 | 一种面向网信安全的软件持续集成系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110896401A (zh) | 基于二维码的隔离网间单向数据流传输系统及方法 | |
US10785019B2 (en) | Data transmission method and apparatus | |
EP3257227B1 (en) | Confidential communication management | |
US9852300B2 (en) | Secure audit logging | |
US9209969B2 (en) | System and method of per-packet keying | |
US20130121491A1 (en) | System and method of creating and sending broadcast and multicast data | |
CN106357690B (zh) | 一种数据传输方法、数据发送装置及数据接收装置 | |
EP3476078B1 (en) | Systems and methods for authenticating communications using a single message exchange and symmetric key | |
WO2013117087A1 (zh) | 一种文件下载方法及系统 | |
CN109005027B (zh) | 一种随机数据加解密法、装置及系统 | |
KR101608815B1 (ko) | 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법 | |
CN113204760B (zh) | 用于软件密码模块的安全通道建立方法及系统 | |
CN111010399A (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
CN109005151A (zh) | 一种信息加密、解密处理方法和处理终端 | |
CN109995785B (zh) | 基于量子密码的局域网内文件安全解锁方法 | |
CN113591109B (zh) | 可信执行环境与云端通信的方法及系统 | |
CN114499857A (zh) | 一种实现大数据量子加解密中数据正确性与一致性的方法 | |
CN112702582B (zh) | 一种基于sm2的监控视频安全传输方法和设备 | |
US20220045848A1 (en) | Password security hardware module | |
KR102523416B1 (ko) | 이미지에 대한 보안 기능을 제공하는 보안 장치, 이를 포함하는 카메라 장치 및 카메라 장치를 제어하는 시스템 온 칩 | |
US20070239984A1 (en) | Method for transferring parameters by network | |
CN114928503B (zh) | 一种安全通道的实现方法及数据传输方法 | |
CN113079155B (zh) | 基于混合密码的文件加密处理方法 | |
Hayden et al. | Multi-channel security through data fragmentation | |
CN106303575B (zh) | 一种基于国产商用密码模块的视频加密系统及实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200320 |