CN114553528A - 一种内外网数据安全传输系统及其传输方法 - Google Patents
一种内外网数据安全传输系统及其传输方法 Download PDFInfo
- Publication number
- CN114553528A CN114553528A CN202210160613.6A CN202210160613A CN114553528A CN 114553528 A CN114553528 A CN 114553528A CN 202210160613 A CN202210160613 A CN 202210160613A CN 114553528 A CN114553528 A CN 114553528A
- Authority
- CN
- China
- Prior art keywords
- data
- external network
- network
- intranet
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 41
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000005516 engineering process Methods 0.000 claims abstract description 22
- 238000012545 processing Methods 0.000 claims abstract description 18
- 238000012795 verification Methods 0.000 claims description 16
- 238000012544 monitoring process Methods 0.000 claims description 10
- 238000000605 extraction Methods 0.000 claims description 9
- 238000007405 data analysis Methods 0.000 claims description 7
- 230000001960 triggered effect Effects 0.000 claims description 4
- 239000000284 extract Substances 0.000 abstract description 6
- 238000005259 measurement Methods 0.000 abstract description 3
- 239000013598 vector Substances 0.000 description 4
- 230000010354 integration Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/062—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明公开了一种内外网数据安全传输系统及其传输方法。系统由内网端与外网端组成,在内网端部署数据库储存用户账号密码与人脸信息,人脸信息基于深度度量学习模型从人脸图像中提取出人脸哈希值作为身份验证信息。在外网端则采用计算机视觉处理,通过识别显卡数据,从第三方软件中提取预设数据。外网—内网之间通过单向网卡进行连接,且采用非对称加密的方式对所传输的数据进行加密。本发明采用单向传输网卡严格保证数据的单向传输,采用人脸识别技术对操作人员身份进行校验,通过计算机视觉处理技术对第三方软件界面进行数据提取;本发明结合上述三种技术,通过认证用户的操作下从第三方软件中提取数据并单向传输至安全级别高的内网环境。
Description
技术领域
本发明属于网络安全技术领域,涉及一种基于计算机视觉识别技术集成的外网第三方数据提取与外网—内网间单向数据安全传输方案。
背景技术
随着计算机网络应用不断普及,随之而来的计算机病毒和信息窃取程序对系统的破坏性也越来越受到重视。在一些安全性要求高的场景,往往采用物理隔离的方式将内部网络与外部网络进行分隔,以确保一些敏感场所的信息安全。在此情况下,外网与内网的信息传递与鉴权等操作将变得不便。一方面,一些第三方软件部署于外网环境,出于安全考虑,第三方软件无法也不宜直接与内网进行通信;另一方面,若内网期望从部署于外网的第三方软件中提取特定信息时,第三方软件可能缺乏相应的接口。
发明内容
本发明公开了一种内外网数据安全传输系统及其传输方法,本发明目的是提供一种更安全的、所见即所得的基于计算机视觉识别技术集成的外网第三方数据提取与外网内网间单向数据安全传输方案。
本发明通过以下技术方案实现:
本发明内外网数据安全传输系统,包括内网侧的内网端、单向网卡和外网侧的外网端;
内网端,包括单向网卡接收端和内网端认证模块;单向网卡接收端储存预设的非对称加密私钥,对单向接收到的数据进行解密;内网端认证模块储存用户ID、用户账号、用户密码的MD5码、用户人脸哈希值构成的鉴权数据库;
外网端,包括单向网卡发送端、外网端认证模块和屏幕数据解析模块;单向网卡发送端储存预设的非对称加密的公钥,对待发送的数据进行加密并发送数据;外网端认证模块采集认证数据,认证数据包括输入的用户账号、用户密码的MD5码、人脸哈希值和操作时间戳;屏幕数据解析模块获取外网需传输数据。
所述屏幕数据解析模块包括以下部分:
监测模块,用于监测目标第三方软件的窗体界面是否获得焦点且处于激活状态,自动解析程序在激活状态下触发;
获取模块,用于监测目标第三方软件处于激活状态下,开始自动截取软件窗体界面所在区域,从显卡获得获得界面图像数据;
识别模块,用于通过计算机视觉对感兴趣区域内的图形进行识别,或/和通过计算机视觉对感兴趣区域内的字符进行识别。
本发明采用上述传输系统的安全传输方法,包括以下步骤:
1)操作人员在内网端认证模块进行操作,输入用户账号、用户密码并核验登录身份是否合法;
2)通过用户账号、用户密码核验后进行人脸识别,内网端认证模块开启摄像头抓取人脸图像,检测到人脸后,对人脸进行哈希编码求解,得到的结果与数据库内的哈希值进行对比,相似度大于预设的阈值,则确认为本人操作,通过核验;
3)将此次输入的人脸哈希值、操作的毫秒时间戳进行储存备用,通知单向网卡接收端准备接收外网传输数据;
4)操作人员在外网端操作第三方软件,使其窗体界面当前处于激活状态,解析程序捕获其窗体界面,对第三方软件窗体区域进行数据获取,以获得图像或/和字符数据;
5)采用计算机视觉处理技术,提取屏幕图像中的图像或/和字符数据,将所提取的数据发送给外网端认证模块;
6)外网端认证模块要求操作人员输入用户账号、用户密码,完成后开启摄像头进行人脸识别,提取人脸哈希值;
7)将用户输入的用户账号、用户密码、人脸哈希值、图像或/和字符、时间戳数据采用预设的公钥进行加密,通过单向网卡发送端发至内网端;
8)内网端单向网卡接收端接收到数据后,采用预设私钥进行解密,从中还原出用户账号、用户密码、人脸哈希值交由内网端认证模块进行识别处理;
9)内网端认证通过后完成外网数据传入。
所述步骤9)内网端认证通过后完成外网数据传入流程包括:
a.外网端传输过来的时间戳与内网登录的时间戳的差值在预设的有效时间范围内,则进行下一步;
b.用户账号、用户密码与内网端之前登录的用户账号、用户密码一致,则进行下一步;
c.人脸哈希与登录时内网端采集的人脸哈希进行对比,相似度大于预设的阈值则认为核验通过;
通过以上认证,由外网传输过来的屏幕提取信息合法有效,完成了外网数据的传入过程。
步骤5)采用计算机视觉处理技术,提取屏幕图像中的图像或/和字符数据是:在第三方软件所部署的机器上进行显卡数据读取,得到屏幕数据,采用计算机视觉处理技术,在感兴趣的屏幕区域内对文字及图形进行识别,以提取预设的文字目标与图形目标。
本发明提出了基于多种计算机视觉处理技术集成的信息提取与安全传输系统及其传输方法。对于数据提取而言,在第三方软件所部署的机器上进行显卡数据读取,得到屏幕数据,通过计算机视觉处理技术,在感兴趣的屏幕区域内对文字及图形进行识别,以提取预设的文字目标与图形目标。这样既保证了可以在第三方软件缺乏接口的情况下获得其数据,也保证了以主动筛选过滤的方式仅提取所期望的数据,避免了被动接收外部不确定性的数据而带来的安全隐患。
本发明计算机视觉处理技术是基于图像数据对其所呈现、所承载的文字、图形等高级逻辑信息进行处理和提取。在本发明专利中,利用计算机视觉处理技术对第三方的软件屏幕数据进行采集并处理,可在第三方软件未提供数据接口的情况下,通过抓取其软件界面图形进而主动地、有针对性地提取出软件相关数据信息。如此既可以在缺乏相关接口的情况下得到第三方软件的数据,同时由于这种数据获取方式是主动地、经图像处理算法有目的性地提取数据,而非被动地接收数据,因此数据获取方式的安全性大大提高。
对于安全传输而言,一方面采用单向网卡进行数据传输,只允许外网数据传入内网,避免了内网的信息泄露。另一方面,除了采用账号密码作为常规校验手段外,采用人脸哈希作为身份验证的依据。人脸哈希值基于深度度量学习模型从人脸图像中提取得到,与账号密码一起作为操作人员身份的代表。操作人员先在内网侧进行账号密码与人脸哈希的核验,核验通过后将信息缓存在本机,并开始监听单向网卡的数据。然后操作人员在外网输入账号密码并进行人脸哈希计算,再进行第三方软件数据提取,提取出的数据将与账号密码及人脸哈希等信息一起打包发送至内网单向网卡。若来自外网的数据包在有效时间范围内被内网的监听到后,内网将对其中的账号密码及人脸哈希与内网本机缓存的信息进行对比,若通过比对则认为数据合法允以放行,由此内网可获得外网第三方软件内经过过滤筛选的数据。
本发明有益性:本发明采用单向传输网卡严格保证数据的单向传输,采用人脸识别技术对操作人员身份进行校验,通过计算机视觉处理技术对第三方软件界面进行数据提取。本发明有机地结合了这三种技术,设计了一套可在认证用户的操作下从第三方软件中提取数据并单向传输至安全级别高的内网环境的方案。本发明传输系统基于单向传输网卡,并在传输的数据内包含操作人员账号密码及人脸信息,数据传输至内网后,在接收端进行账号合法性校验。这样一则可保证数据仅从外网输入内网,不会使得内网信息的外泄,二则可保证输入数据的合法性。本发明传输方法信息提取采用计算机视觉处理技术,包括字符识别与图形识别两个类,通过显卡数据读取,从第三方软件界面中提取得到预设信息;该方法可以不依赖第三方软件提供的数据接口,主动地、有目的性地从第三方软件界面中过滤并提取所需数据。本发明传输方法鉴权技术采用除账号密码等常规校验手段外,还包括基于深度度量学习模型的人脸图像识别技术,采用从人脸图像中计算人脸哈希特征作为身份判断依据,分别在内网与外网进行账号密码的录入与人脸哈希的计算,通过单向网卡传输至内网后,在内网侧进行对比,仅当对比通过后才接收从外网第三方软件中提取出的数据;该方法结合了账号密码与人脸信息用以验证操作人员的合法性,且由于数据验证步骤是运行在内网而非外网,可以有效避免暴露验证方法带来的破解风险。
附图说明
图1是本发明传输系统示意图;
图2是本发明传输方法示意图。
具体实施方式
下面结合具体实施方式对本发明进一步说明,具体实施方式是对本发明原理的进一步说明,不以任何方式限制本发明,与本发明相同或类似技术均没有超出本发明保护的范围。
本发明内外网数据安全传输系统,包括内网侧的内网端、单向网卡和外网侧的外网端;
内网端,包括单向网卡接收端和内网端认证模块;单向网卡接收端储存预设的非对称加密私钥,对单向接收到的数据进行解密;内网端认证模块储存用户ID、用户账号、用户密码的MD5码、用户人脸哈希值构成的鉴权数据库;
外网端,包括单向网卡发送端、外网端认证模块和屏幕数据解析模块;单向网卡发送端储存预设的非对称加密的公钥,对待发送的数据进行加密并发送数据;外网端认证模块采集认证数据,认证数据包括输入的用户账号、用户密码的MD5码、人脸哈希值和操作时间戳;屏幕数据解析模块获取外网需传输数据。
屏幕数据解析模块包括以下部分:
监测模块,用于监测目标第三方软件的窗体界面是否获得焦点且处于激活状态,自动解析程序在激活状态下触发;
获取模块,用于监测目标第三方软件处于激活状态下,开始自动截取软件窗体界面所在区域,从显卡获得获得界面图像数据;
识别模块,用于通过计算机视觉对感兴趣区域内的图形进行识别,或/和通过计算机视觉对感兴趣区域内的字符进行识别。
如图1所示,本发明系统包括内网端和外网端,外网与内网之间通过单向网卡进行数据传输,内网数据无法传输至外网,只允许外网单向将数据传输入内网,以保证内网的数据不被泄露。外网与内网之间的单向传输采用非对称加密方式进行数据加解密,私钥储存于内网,公钥储存于外网。
第三方软件部署于外网,无法直接获取其数据接口的情况下,可直接在第三方软件窗体处于激活的情况下,自动在外网端对感兴趣的屏幕区域进行截取,通过计算机视觉技术对区域内的图形及文字进行识别,由此可提取出第三方软件内的数据。
为保证数据传输安全,除常规的用户账号、用户密码验证外,在内网端与外网端同时进行人脸哈希提取,与时间戳、用户账号、用户密码等信息一起在内网端进行校验,以对操作与数据传输行为进行鉴权。
如图1所示,内网端包括单向网卡接收端和内网端认证模块。
单向网卡接收端储存了预设的非对称加密的私钥,用于对接收到的数据进行解密。
内网端认证模块核心为鉴权数据库,数据库仅部署于内网,且由于外网与内网之间仅有外网至内网的单向传输通道,这样可以确保数据库的信息不会被外网访问。
鉴权数据库中至少包括下表信息:
内网端认证模块除校验用户账号、用户密码是否与数据库内的一致外,还将校验输入的人脸哈希值与预存的哈希值是否相似,仅当相似度高于预设阈值,才认为鉴权通过。
人脸哈希模型是基于深度度量学习(Deep Metric Learning)训练的深度学习推理模型,其输入为图像中检测到存在人脸的人脸框,2D图像经该深度度量学习模型可输出一个特征向量,其具有这样的性质:当人脸图像来自同一人时,特征向量的相似度高,当来自不同人脸时,其求出的特征向量相似度低。因此可将此模型作为哈希函数,对人脸哈希值进行提取。
在注册阶段,用户账号、用户密码与人脸哈希值一起被预存入数据库中用于日后的校验。
如图1所示,外网端包括单向网卡发送端、外网端认证模块和屏幕数据解析模块。
单向网卡发送端储存了预设的非对称加密的公钥,用于对待发送的数据进行加密,待发送的信息包括:用户输入的用户账号,经MD5加密后的密码,人脸哈希值与操作时间戳。
外网端认证模块与内网的不同,由于在外网端并不存在数据库,无法直接校验用户身份,所以在外网的认证端,只做数据采集。采集的信息除了包括用户账号、密码外,还需采集用户的人脸,并通过人脸哈希模型提取出人脸哈希值。本发明系统中外网部署的人脸哈希模型与内网使用的是同一个模型;如此可以保证同样的操作人员,在内网与外网可以得到相似度高的人脸哈希值。
屏幕数据解析模块包括以下部分。
a.首先监测目标第三方软件的窗体界面当前是否获得焦点且处于激活状态,自动解析程序仅在激活状态下才触发,可节约对系统资源的占用
b.当监测到目标第三方软件处于激活状态下,开始自动截取软件窗体界面所在区域,从显卡获得获得界面图像数据。
c.通过计算机视觉对感兴趣区域内的图形进行识别。
d.通过计算机视觉对感兴趣区域内的字符进行识别。
图形和/或字符数据将与外网端认证模块中的用户账号、用户密码与人脸哈希值一起被打包传输至内网。
如图2所示,采用本发明输系统的安全传输方法,包括以下步骤:
1)操作人员在内网端认证模块进行操作,输入用户账号、用户密码并核验登录身份是否合法。用户信息数据库部署于内网,外网无法访问。
2)通过用户账号、用户密码核验后进行人脸识别,内网端认证模块开启摄像头抓取人脸图像,检测到人脸后,对人脸进行哈希编码求解,得到的结果与数据库内的哈希值进行对比,相似度大于预设的阈值,则确认为本人操作,核验通过。
3)将此次输入的人脸哈希值、操作的毫秒时间戳进行储存备用,通知单向网卡接收端准备接收外网的数据。完成以上步骤后,操作人员开始在外网端进行操作。
4)操作人员在外网端操作第三方软件,使其窗体界面当前处于激活状态,由此解析程序可捕获其窗体界面,对第三方软件窗体区域进行屏幕截取,以获得图像数据。
5)基于计算机视觉处理技术,提取屏幕图像中的图形及文字信息,将所提取的信息发送给外网端认证模块。
6)认证模块要求操作人员输入用户账号、用户密码,但由于外网端没有部署数据库,并不在外网核验,仅录入即可。完成后开启摄像头进行人脸检测,并采用与内网相同的深度学习模型提取人脸哈希值,同样不进行核验,仅提取即可。
7)将用户输入的用户账号、用户密码、人脸哈希值、屏幕图像提取信息采用预设的公钥进行加密,通过单向网卡的发端发至内网。
8)内网单向网卡接收到数据后,采用预设私钥进行解密,从中还原出账号、密码、人脸哈希值交由认证模块进行处理。
9)内网端认证外网数据流程如下:
a.外网传输过来的时间戳与内网登录的时间戳的差值在预设的有效时间范围内,则进行下一步验证
b.账号密码与内网之前登录的账号密码一致
c.人脸哈希与登录时采集的人脸哈希进行对比,相似度大于预设的阈值则认为核验通过
10)通过以上认证过程,由外网传输过来的屏幕提取信息认为合法有效,至此完成了外网数据的传入过程。
Claims (5)
1.一种内外网数据安全传输系统,其特征在于:包括内网侧的内网端、单向网卡和外网侧的外网端;
内网端,包括单向网卡接收端和内网端认证模块;单向网卡接收端储存预设的非对称加密私钥,对单向接收到的数据进行解密;内网端认证模块储存用户ID、用户账号、用户密码的MD5码、用户人脸哈希值构成的鉴权数据库;
外网端,包括单向网卡发送端、外网端认证模块和屏幕数据解析模块;单向网卡发送端储存预设的非对称加密的公钥,对待发送的数据进行加密并发送数据;外网端认证模块采集认证数据,认证数据包括输入的用户账号、用户密码的MD5码、人脸哈希值和操作时间戳;屏幕数据解析模块获取外网需传输数据。
2.根据权利要求1所述的内外网数据安全传输系统,其特征在于屏幕数据解析模块包括以下部分:
监测模块,用于监测目标第三方软件的窗体界面是否获得焦点且处于激活状态,自动解析程序在激活状态下触发;
获取模块,用于监测目标第三方软件处于激活状态下,开始自动截取软件窗体界面所在区域,从显卡获得获得界面图像数据;
识别模块,用于通过计算机视觉对感兴趣区域内的图形进行识别,或/和通过计算机视觉对感兴趣区域内的字符进行识别。
3.一种内外网数据安全传输方法,其特征在于包括:
1)操作人员在内网端认证模块进行操作,输入用户账号、用户密码并核验登录身份是否合法;
2)通过用户账号、用户密码核验后进行人脸识别,认证模块开启摄像头抓取人脸图像,检测到人脸后,对人脸进行哈希编码求解,得到的结果与数据库内的哈希值进行对比,相似度大于预设的阈值,则确认为本人操作,通过核验;
3)将此次输入的人脸哈希值、操作的毫秒时间戳进行储存备用,通知单向网卡接收端准备接收外网传输数据;
4)操作人员在外网端操作第三方软件,使其窗体界面当前处于激活状态,解析程序捕获其窗体界面,对第三方软件窗体区域进行数据获取,以获得图像或/和字符数据;
5)采用计算机视觉处理技术,提取屏幕图像中的图像或/和字符数据,将所提取的数据发送给外网端认证模块;
6)外网端认证模块要求操作人员输入用户账号、用户密码,完成后开启摄像头进行人脸识别,提取人脸哈希值;
7)将用户输入的用户账号、用户密码、人脸哈希值、图像或/和字符、时间戳数据采用预设的公钥进行加密,通过单向网卡发送端发至内网端;
8)内网端单向网卡接收端接收到数据后,采用预设私钥进行解密,从中还原出用户账号、用户密码、人脸哈希值交由内网端认证模块进行识别处理;
9)内网端认证通过后完成外网数据传入。
4.根据权利要求3所述的内外网数据安全传输方法,其特征在于所述步骤9)内网端认证通过后完成外网数据传入流程包括:
a.外网端传输过来的时间戳与内网登录的时间戳的差值在预设的有效时间范围内,则进行下一步;
b.用户账号、用户密码与内网端之前登录的用户账号、用户密码一致,则进行下一步;
c.人脸哈希与登录时内网端采集的人脸哈希进行对比,相似度大于预设的阈值则认为核验通过;
通过以上认证,由外网传输过来的屏幕提取信息合法有效,完成了外网数据的传入过程。
5.根据权利要求3所述的内外网数据安全传输方法,其特征在于所述步骤5)采用计算机视觉处理技术,提取屏幕图像中的图像或/和字符数据是:在第三方软件所部署的机器上进行显卡数据读取,得到屏幕数据,采用计算机视觉处理技术,在感兴趣的屏幕区域内对文字及图形进行识别,以提取预设的文字目标与图形目标。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210160613.6A CN114553528B (zh) | 2022-02-22 | 2022-02-22 | 一种内外网数据安全传输系统及其传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210160613.6A CN114553528B (zh) | 2022-02-22 | 2022-02-22 | 一种内外网数据安全传输系统及其传输方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114553528A true CN114553528A (zh) | 2022-05-27 |
| CN114553528B CN114553528B (zh) | 2024-04-19 |
Family
ID=81677478
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210160613.6A Active CN114553528B (zh) | 2022-02-22 | 2022-02-22 | 一种内外网数据安全传输系统及其传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114553528B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116260657A (zh) * | 2023-05-09 | 2023-06-13 | 南京汇荣信息技术有限公司 | 适用于网络安全系统的信息加密方法及系统 |
| CN118276559A (zh) * | 2024-06-04 | 2024-07-02 | 国核自仪系统工程有限公司 | 分散控制系统控制室的监测方法、装置、设备和程序产品 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104363221A (zh) * | 2014-11-10 | 2015-02-18 | 青岛微智慧信息有限公司 | 一种网络安全隔离文件传输控制方法 |
| CN105656883A (zh) * | 2015-12-25 | 2016-06-08 | 冶金自动化研究设计院 | 一种适用于工控网络的单向传输内外网安全隔离网闸 |
| CN105844281A (zh) * | 2016-05-19 | 2016-08-10 | 华南理工大学 | 一种自动获取窗体上设置参数系统与方法 |
| CN106998333A (zh) * | 2017-05-24 | 2017-08-01 | 山东省计算中心(国家超级计算济南中心) | 一种双向网络安全隔离系统及方法 |
| CN107391017A (zh) * | 2017-07-20 | 2017-11-24 | 广东欧珀移动通信有限公司 | 文字处理方法、装置、移动终端及存储介质 |
| CN111026798A (zh) * | 2019-12-05 | 2020-04-17 | 苏州中车建设工程有限公司 | 一种机电设备数据库系统及其控制方法 |
| CN111556069A (zh) * | 2020-05-12 | 2020-08-18 | 南方电网数字电网研究院有限公司 | 访客身份认证方法、系统、装置、计算机设备和存储介质 |
| CN113595847A (zh) * | 2021-07-21 | 2021-11-02 | 上海淇玥信息技术有限公司 | 远程接入方法、系统、设备和介质 |
| CN214846744U (zh) * | 2021-05-17 | 2021-11-23 | 河北师范大学 | 一种基于身份认证的隔离网间数据摆渡系统 |
-
2022
- 2022-02-22 CN CN202210160613.6A patent/CN114553528B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104363221A (zh) * | 2014-11-10 | 2015-02-18 | 青岛微智慧信息有限公司 | 一种网络安全隔离文件传输控制方法 |
| CN105656883A (zh) * | 2015-12-25 | 2016-06-08 | 冶金自动化研究设计院 | 一种适用于工控网络的单向传输内外网安全隔离网闸 |
| CN105844281A (zh) * | 2016-05-19 | 2016-08-10 | 华南理工大学 | 一种自动获取窗体上设置参数系统与方法 |
| CN106998333A (zh) * | 2017-05-24 | 2017-08-01 | 山东省计算中心(国家超级计算济南中心) | 一种双向网络安全隔离系统及方法 |
| CN107391017A (zh) * | 2017-07-20 | 2017-11-24 | 广东欧珀移动通信有限公司 | 文字处理方法、装置、移动终端及存储介质 |
| CN111026798A (zh) * | 2019-12-05 | 2020-04-17 | 苏州中车建设工程有限公司 | 一种机电设备数据库系统及其控制方法 |
| CN111556069A (zh) * | 2020-05-12 | 2020-08-18 | 南方电网数字电网研究院有限公司 | 访客身份认证方法、系统、装置、计算机设备和存储介质 |
| CN214846744U (zh) * | 2021-05-17 | 2021-11-23 | 河北师范大学 | 一种基于身份认证的隔离网间数据摆渡系统 |
| CN113595847A (zh) * | 2021-07-21 | 2021-11-02 | 上海淇玥信息技术有限公司 | 远程接入方法、系统、设备和介质 |
Non-Patent Citations (2)
| Title |
|---|
| SHAO ZUO-ZHI; CHEN HAI-SU: "A Method of One-Way Transmission Based on Optical Fiber", 《IEEE》 * |
| 刘潇谊: "Web安全登录的研究与实现", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116260657A (zh) * | 2023-05-09 | 2023-06-13 | 南京汇荣信息技术有限公司 | 适用于网络安全系统的信息加密方法及系统 |
| CN118276559A (zh) * | 2024-06-04 | 2024-07-02 | 国核自仪系统工程有限公司 | 分散控制系统控制室的监测方法、装置、设备和程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114553528B (zh) | 2024-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105227316A (zh) | 基于人脸图像身份验证的移动互联网账号登录系统及方法 | |
| CN101958892B (zh) | 基于人脸识别的电子数据保护方法、装置及系统 | |
| US20150040212A1 (en) | Locking apparatus with enhanced security using iris image | |
| US10360463B2 (en) | Method and apparatus of verifying usability of biological characteristic image | |
| CN114553528B (zh) | 一种内外网数据安全传输系统及其传输方法 | |
| US10339366B2 (en) | System and method for facial recognition | |
| US20160241552A1 (en) | System and method for biometric authentication with device attestation | |
| CN105635099A (zh) | 身份认证方法、身份认证系统、终端和服务器 | |
| KR20040053253A (ko) | 네트워크를 거쳐 생체 인식 데이터를 안전하게 전송하고인증하는 방법 및 장치 | |
| KR20020021080A (ko) | 네트워크를 거쳐 생체 측정 데이터를 안전하게 전송하고인증하는 방법 및 장치 | |
| CN105787477A (zh) | 虹膜识别方法及终端 | |
| CN105574477A (zh) | 一种安全防盗方法、装置及系统 | |
| CN112149497B (zh) | 基于人脸识别的操作系统安全登录方法 | |
| CN103269481A (zh) | 对便携式电子设备的程序或文件加密保护的方法及系统 | |
| CN111476577A (zh) | 一种基于小波变换和sm4的人脸图像加密识别支付方法 | |
| CN111698253A (zh) | 一种计算机网络安全系统 | |
| CN113378136B (zh) | 一种指纹识别方法、装置、密码钥匙及存储介质 | |
| CN108932420B (zh) | 人证核验装置、方法和系统以及证件解密装置和方法 | |
| CN108989331B (zh) | 数据存储设备的使用鉴权方法及其设备和存储介质 | |
| KR101331201B1 (ko) | Cctv 카메라 촬영 영상의 보안 전송 시스템 및 그 방법 | |
| Latha et al. | A study on attacks and security against fingerprint template database | |
| CN107249006A (zh) | 密码使用环境的认证方法和装置 | |
| KR101750292B1 (ko) | 휴대용 지정맥 리더기 및 그것을 이용한 생체 인증 방법 | |
| CN211742128U (zh) | 一种人脸图像加密识别支付系统 | |
| KR20000050230A (ko) | 얼굴인식에 의한 네트워크상의 인증보안 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |