CN114978769A - 单向导入装置、方法、介质、设备 - Google Patents
单向导入装置、方法、介质、设备 Download PDFInfo
- Publication number
- CN114978769A CN114978769A CN202210844577.5A CN202210844577A CN114978769A CN 114978769 A CN114978769 A CN 114978769A CN 202210844577 A CN202210844577 A CN 202210844577A CN 114978769 A CN114978769 A CN 114978769A
- Authority
- CN
- China
- Prior art keywords
- data
- external network
- host
- encryption
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于单向导入技术领域,公开了一种单向导入装置、方法、介质、设备,外网客户端到外网主机申请加密公钥;外网客户端发送数据到外网服务器时,随机生成16字节的加密密钥SK,使用SK对待发送数据进行加密;使用公钥对SK进行加密,将加密后的SK和加密后的加密数据共同发送至外网主机;外网主机收到加密数据后,使用私钥对SK解密;使用解密后的SK对数据内容进行解密,将解密后的数据内容通过单向隔离卡发送到内网主机;内网主机接收来自外网主机的数据后和内网服务器建立安全连接,通过安全连接将数据发送到内网服务器。本发明解决了单向导入设备外网的安全隐患,保证了单向导入装置外网数据交换的安全性。
Description
技术领域
本发明属于单向导入技术领域,尤其涉及一种单向导入装置、方法、介质、设备。
背景技术
目前,当前市场主要的单向导入装置为单向数据隔离网闸,单向隔离网闸采用2+1架构,主要包括外网主机、内网主机、单向隔离卡,单向隔离网闸数据一般由外网导入内网,单向隔离卡的物理特性能保证内网数据不会被非法窃取,但外网机直接部署在公网,外网客户端也是通过公网连接到外网主机,外网客户端和外网主机之间的数据交换很容易被窃取或被篡改,另外对客户端身份也缺乏有效的认证机制,也会导致非法的终端设备非法接入。
通过上述分析,现有技术存在的问题及缺陷为:现有单向导入装置中,外网主机一般部署在公网,外网客户端和外网主机之间的数据交换存在如下安全问题:
外网客户端和外网主机之间的数据传输采用明文方式,数据很容易被窃取或篡改。使得目前外网端存在很大的安全风险。
外网主机对外网客户端缺乏安全认证机制,不能有效防御非法客户端的接入。使得目前外网端存在很大的安全风险。
发明内容
针对现有技术存在的问题,本发明提供了一种单向导入装置、方法、介质、设备,尤其涉及一种基于国密算法的单向导入装置、方法、介质、设备。为此,本发明提供如下技术方案:
本发明是这样实现的,一种单向导入方法,所述单向导入方法包括:
外网客户端到外网主机申请加密公钥;
外网客户端发送数据到外网服务器时,随机生成16字节的加密密钥SK,使用SK对待发送的数据进行加密;使用公钥对SK进行加密,将加密后的SK和加密后的加密数据共同发送至外网主机;
外网主机收到加密数据后,使用私钥对SK解密;使用解密后的SK对数据内容进行解密,将解密后的数据内容通过单向隔离卡发送到内网主机;
内网主机接收来自外网主机的数据后和内网服务器建立安全连接,并通过安全连接将数据发送到内网服务器。
进一步,所述单向导入方法还包括:
外网客户端向外网主机申请加密公钥,输入参数为KeyID,并将对应的私钥保存在外网主机专用加密卡内;外网客户端每次发送数据前生成临时的加密密钥SK;使用SK对发送的数据加密,加密算法使用SM4;使用对应KeyID申请的公钥对SK加密;通过JSON格式构造发送的数据内容,并发给外网主机;
外网主机收到加密数据后进行BASE64解码,根据KeyID找到对应私钥;使用私钥解密SK,并使用SK解密加密数据得到明文数据;构造私有单向传输协议发送明文数据到内网主机;内网主机收到数据后,和内网服务器建立数据连接,并发送数据到内网服务器。
进一步,所述单向导入方法包括数字信封技术、公私钥加密技术以及基于国密芯片的硬件加密算法;所述外网主机集成公私钥签发模块,用于为外网客户端提供加密密钥;数字信封使用公钥SM2算法加密,使用私钥SM2算法解密;数据内容加密解密采用SM4算法。
进一步,所述单向导入方法包括以下步骤:
步骤一,客户端请求公钥;
步骤二,客户端数据加密并发送;
步骤三,外网主机解密;
步骤四,外网主机到内网主机数据单向摆渡。
进一步,所述步骤一中的客户端请求公钥包括:
(1)客户端发起公钥请求;
(2)外网主机调用加密卡接口并生成公私钥对;
(3)外网主机将私钥保存在加密卡中,并将公钥进行BASE64编码;
(4)返回JSON格式的公钥数据给客户端,客户端接收公钥数据。
所述步骤二中的客户端数据加密包括:
(1)客户端调用随机数函数生成临时加密密钥SK;
(2)使用密钥SK和算法SM4对待发送的数据进行加密,并对加密后的数据进行BASE64编码;
(3)使用获取的公钥和算法SM2对SK进行加密,并对加密后的数据进行BASE64编码;
(4)构造JSON格式的加密数据,并发送加密数据到外网主机。
进一步,所述步骤三中的外网主机解密包括:
(1)外网主机接收加密后的JSON格式数据并进行解析;
(2)通过KeyID、EncSm4SK和EncDate字段分别提取公钥ID值、公钥加密后的SK值和SK加密后的密文数据;
(3)对EncSm4SK、EncDate进行BASE64解码;
(4)通过KeyID字段到加密卡查询私钥值;通过KeyID调用加密卡解密接口解密EncSm4SK,获取解密后的SK;
(5)使用解密后的SK对加密数据进行解密,完成外网数据的解密。
所述步骤四中的外网主机到内网主机数据单向摆渡包括:
(1)外网主机构造UDP数据报文,UDP内容包括真实的内网服务器地址和待传输的解密后的数据内容,目的地址为内网主机单项隔离卡地址;
(2)发送UDP报文到内网主机;内网主机接收UDP报文后对报文进行解析,获取真实内网服务器地址和数据;
(3)与真实服务器地址建立数据连接,发送数据到内网服务器,完成内网数据传输。
本发明的另一目的在于提供一种应用所述的单向导入方法的单向导入装置,所述单向导入装置包括外网主机、内网主机、加密卡以及单向隔离部件四部分。
其中,外网主机集成公私钥签发模块,用于为外网客户端提供加密密钥;
单向隔离部件,用于将解密后的数据内容发送至内网主机;
内网主机,用于接收来自外网主机的数据后和内网服务器建立安全连接,并通过安全连接将数据发送到内网服务器;
加密卡,用于存储客户申请的公私钥密钥对的私钥部分,并提供SM4加密解密算法接口;
本发明的另一目的在于提供一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述的单向导入方法。
本发明的另一目的在于提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行所述的单向导入方法。
结合上述的技术方案和解决的技术问题,请从以下几方面分析本发明所要保护的技术方案所具备的优点及积极效果为:
第一、针对上述现有技术存在的技术问题以及解决该问题的难度,紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等,详细、深刻地分析本发明技术方案如何解决的技术问题,解决问题之后带来的一些具备创造性的技术效果。具体描述如下:
本发明装置采用2+2架构,包括外网主机、内网主机、加密卡和单向隔离卡,主要涉及三个关键技术,即数字信封技术、公私钥加密技术、基于国密芯片的硬件加密算法;
传统单向网闸采用2+1架构,该发明装置在传统装置基础上增加国密加密卡,通过硬件加密算法保证外网传输数据的安全加密;
数字信封技术:外网客户端的数据加密密钥SK通过一个公钥加密保护,相当于SK放到一个安全的数字信封中发送给外网主机,外网主机通过私钥打开信封获取明文SK;
公私钥加密技术:外网主机生成公私钥对,公钥对外提供给外网客户端,私钥保存在加密卡中,并且无法导出,加密卡只提供数据解密接口,保证私钥的安全性;
外网客户端到外网主机采用数字信封的加密方式,对外网客户端和外网主机的所有数据交换通过一个临时的加密密钥SK对数据进行加密,加密算法采用国密SM4算法,同时SK通过公钥使用国密SM2算法进行加密。
本发明的外网数据采用数字信封加密技术,外网一包一密钥的加密策略;外网客户端数据通过临时的SK进行加密,SK每个包生成一次,保证了数据的绝对安全;采用数字信封的方式,通过非对称SM2算法对SK进行加密保护;所有硬件加密算法都采用国密算法,并且由国密硬件加密卡实现加解密操作。
本发明提供的单向导入装置解决了单向导入设备外网的安全隐患,保证了单向导入装置外网数据交换的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的单向导入方法流程图;
图2是本发明实施例提供的单向导入方法原理图;
图3是本发明实施例提供的客户端请求公钥流程图;
图4是本发明实施例提供的客户端数据加密流程图;
图5是本发明实施例提供的外网主机解密流程图;
图6是本发明实施例提供的外网到内网数据单向摆渡流程图;
图7是本发明实施例提供的数据封装格式示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种单向导入装置、方法、介质、设备,下面结合附图对本发明作详细的描述。
一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现,该部分是对权利要求技术方案进行展开说明的解释说明实施例。
术语解释:
SK:安全密钥,用来加密数据用的临时密钥,该密钥由公钥加密保护;
SM2算法:一种椭圆曲线公钥密码算法,密钥长度为256比特;
SM4算法:一种分组密码算法,分组长度为128比特,密钥长度为128比特。
如图1所示,本发明实施例提供的单向导入方法包括以下步骤:
S101,外网客户端到外网主机申请加密公钥;
S102,外网客户端发送数据到外网服务器时,随机生成16字节的加密密钥SK,使用SK对待发送的数据进行加密;使用公钥对SK进行加密,将加密后的SK和加密后的加密数据共同发送至外网主机;
S103,外网主机收到加密数据后,使用私钥对SK解密;使用解密后的SK对数据内容进行解密,将解密后的数据内容通过单向隔离卡发送到内网主机;
S104,内网主机接收来自外网主机的数据后和内网服务器建立安全连接,并通过安全连接将数据发送到内网服务器。
如图2所示,本发明实施例提供的外网客户端发送数据到内网服务器包括:
(1)首先外网客户端需要向外网主机申请一个加密公钥,输入参数为KeyID,并且对应的私钥保存在外网主机专用加密卡内;
申请流程如下:
客户端通过https协议向外网主机提交公钥申请,公钥申请接口:https://外网主机IP/api/get_sm2_pubkey,输入参数采用JSON格式,参数如下:
{
"keyID":申请公钥时的ID值
}
外网主机收到请求数据后,提取keyID字段值,然后以这个字段值为索引,通过调用加密卡公私钥接口,生成一对公私钥,其中私钥保存在加密卡内部不能导出,公钥同样通过https协议,构造JSON格式的数据返回给客户端,返回数据格式如下:
{
"PubKey":经过BASE64编码的公钥数据
"status":公钥状态,0表示公钥生成成功,其他表示失败
}
客户端获取PubKey字段内容,然后BASE64解码后,获得用于后续加密SK的加密公钥。
(2)外网客户端每次发送数据前,先生成一个临时的加密密钥SK;
外网客户端成功获取公钥后,当需要发送数据时,首先生成一个数据加密密钥SK,SK是通过调用系统的随机数函数接口生成的16字节的随机数,客户端每次发送数据前都需要先生成SK,这样保证每次的加密密钥不重复。
(3)使用SK对发送的数据加密,加密算法使用SM4;
发送数据前,对数据进行加密,加密算法使用SM4算法,密钥长度为16字节,使用CBC模式对数据进行加密,加密前需要对数据长度做对齐处理,如果数据长度不是16字节对齐,需要对数据使用0进行填充,以达到数据加密对齐要求。
(4)使用第一步对应的KeyID申请的公钥对SK加密;
数据加密完成后,对加密数据的SK通过第一步获取的公钥进行加密,算法使用SM2算法,加密后对加密结果进行BASE64编码。
(5)完成数据加密和SK加密后,构造要发送的数据,数据格式通过JSON格式,并发给外网主机:
发送数据使用https协议,发送接口:https://外网主机IP/api/send_encrypt_date数据格式如下:
{
"KeyID":申请公钥时的ID值,
"EncSm4SK":加密后的SK的BASE64编码值,
"EncDate":加密后数据的BASE64编码值
}
(6)外网主机收到加密数据后,先进行BASE64解码,根据KeyID找到对应私钥,然后使用私钥解密SK,再使用SK解密加密数据得到明文数据;
通过KeyID字段获取解密用的私钥ID,然后调用加密卡解密接口,解密EncSm4SK字段的数据内容后获得解密后的解密密钥SK,SK解密成功后,使用密钥SK,算法使用SM4算法解密EncDate字段的数据内容,解密成功后去填充后,获得明文数据内容。
(7)构造私有单向传输协议发送明文数据到内网主机;
外网主机解密完成后,获得客户端发送的明文数据,然后外网主机需要通过单向隔离卡将数据发送到内网主机,外网主机到内网主机通过UDP协议来发送数据,外网主机重新对数据进行UDP封装,其中源地址为客户端地址、目的地址为内网服务器主机隔离卡地址,真实内网服务器地址同数据一起封装到UDP载荷数据中,然后发送UDP报文到内网主机,数据封装格式如图7所示。
(8)内网主机收到数据后,和内网服务器建立数据连接,并发送数据到内网服务器。
内网主机通过UDP协议收取隔离卡摆渡过来的数据,并存储在内网主机缓存池,然后内网主机和内网服务器建立数据连接,内网主机和内网服务器根据客户需求,可以建立TCP连接或UDP连接,连接建立成功后,读取缓存池数据,然后发送给内网服务器,到此,外网客户端单向导入数据到内网服务器完成全部流程。
作为优选实施例,本发明实施例提供的单向导入方法具体包括以下步骤:
(1)客户端请求公钥
如图3所示,本发明实施例提供的外网客户端在正式发送数据前,需要先申请加密公钥,申请过程如下:
1)客户端构造请求数据,发送给外网主机,公钥申请接口:https://外网主机IP/api/get_sm2_pubkey,输入参数采用JSON格式,参数如下:
{
"KeyID":公钥ID值,
}
2)外网主机收到请求数据后,对JSON数据进行解析,获取KeyID字段值,然后调用加密卡接口,产生公私钥对;
3)外网主机将私钥保存在加密卡中,私钥无法导出,通过申请时的“公钥ID值”参数和私钥建立索引关系,通过该索引可以调用加密卡解密接口,通过该私钥对加密数据使用SM2算法进行解密;
4)外网主机将生成的公私钥对的公钥进行BASE64编码;
5)将BASE64编码后的公钥数据通过JSON格式返回给客户端,格式如下:
{
"KeyID":公钥ID值,
“PubKey”:“经BASE64编码后的公钥数据”
}
6)客户端接收公钥数据后,解析JSON格式的数据,获取PubKey字段的值,然后进行BASE64解码,解密后的数据就是用于加密SK的公钥数据,客户端将公钥数据进行保存,客户端可以申请多个公钥,当有多个公钥的时候,通过KeyID建立索引关系。
(2)客户端数据加密并发送
如图4所示,本发明实施例提供的客户端在发送数据前首先完成对数据的加密,加密过程如下:
1)调用随机数函数生成临时加密密钥SK;
客户端发送数据前,首先生成一个数据加密密钥SK,SK是通过调用系统的随机数函数接口生成的16字节的随机数,客户端每次发送数据前都需要先生成SK,这样保证每次的加密密钥不重复。
2)使用密钥SK,算法SM4对要发送的数据进行加密;
发送数据前,对数据进行加密,加密算法使用SM4算法,密钥长度为16字节,使用CBC模式对数据进行加密,加密前需要对数据长度做对齐处理,如果数据长度不是16字节对齐,需要对数据使用0进行填充。加密模式采用CBC模式,最后对加密后的数据进行BASE64编码;
3)使用公钥,算法SM2对SK进行加密,对加密后的数据进行BASE64编码;
4)构造JSON格式的加密数据,格式如下:
{
"KeyID":申请公钥时的ID值,
"EncSm4SK":加密后SK的BASE64编码值,
"EncDate":加密后数据的BASE64编码值
}
5)发送加密数据到外网主机。
发送数据使用https协议,发送接口:https://外网主机IP/api/send_encrypt_date发送数据格式:
{
"KeyID":申请公钥时的ID值,
"EncSm4SK":加密后的SK的BASE64编码值,
"EncDate":加密后数据的BASE64编码值
}
(3)外网主机解密
如图5所示,本发明实施例提供的外网主机接收到加密数据后,首先解析JSON格式数据,然后解密流程如下:
1)外网主机收到JSON的加密数据后,对JSON数据进行解析,通过KeyID、EncSm4SK、EncDate字段分别提公钥ID值、公钥加密后的SK值、SK加密后的密文数据;
2)对EncSm4SK、EncDate进行BASE64解码;
外网主机获取的加密数据为BASE64编码格式,外网主机获得数据后,先对数据进行BASE64解码,包括EncSm4SK、EncDate,PubKey采用明文方式,无需解码。
3)通过KeyID字段到加密卡查询私钥和界面接口;
首先对BASE64数据进行解码,解码成功后,通过KeyID作为索引调用加密卡解密接口;
4)通过KeyID调用加密卡解密接口,解密EncSm4SK,获取解密后的SK;
解密接口通过私钥使用SM2算法解密EncSm4SK字段数据,解密成功后获取数据密钥SK;
5)使用SK解密加密数据内容,完成数据的解密。
使用数据密钥SK,使用SM4算法解密EncDate字段的值,解密模式使用CBC模式,解密后对数据做去填充操作后,获取明文数据。
(4)外网主机到内网主机数据单向摆渡
如图6所示,本发明实施例提供的外网解密数据到内网的传输流程如下:
1)外网主机构造UDP数据报文,UDP内容包括真实的内网服务器地址和要传输的解密后的数据内容;
外网主机解密完成后,获得客户端发送的明文数据,然后外网主机需要通过单向隔离卡将数据发送到内网主机,外网主机到内网主机通过UDP协议来发送数据,外网主机重新对数据进行UDP封装,其中源地址为客户端地址、目的地址为内网服务器主机隔离卡地址,真实内网服务器地址同数据一起封装到UDP载荷数据中,然后发送UDP报文到内网主机,数据封装格式如图7所示。
2)发送UDP报文到内网主机;
外网主机发送UDP报文,报文目的地址为内网服务器主机隔离卡地址,然后内网主机代理程序从隔离卡地址接收数据。
3)内网主机接收UDP报文,解析报文,获取真实内网服务器地址和数据;
内网主机接收到的UDP报文的载荷内容包含真实内网服务器地址,内网主机通过解析载荷数据,获取真实服务器地址。
4)和真实服务器地址建立数据连接;
内网主机通过UDP协议收取隔离卡摆渡过来的数据,并存储在内网主机缓存池,然后内网主机和内网服务器建立数据连接,内网主机和内网服务器根据客户需求,可以建立TCP连接或UDP连接。
5)发送数据到内网服务器。
内网主机和内网服务器连接建立成功后,读取缓存池数据,然后发送给内网服务器,完成数据从外网客户端单向导入数据到内网服务器。
本发明实施例提供的单向导入装置包括外网主机、内网主机、加密卡以及单向隔离部件四部分。
其中,外网主机集成公私钥签发模块,用于为外网客户端提供加密密钥;
单向隔离部件,用于将解密后的数据内容发送至内网主机;
内网主机,用于接收来自外网主机的数据后和内网服务器建立安全连接,并通过安全连接将数据发送到内网服务器。
二、应用实施例。为了证明本发明的技术方案的创造性和技术价值,该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。
实施例1:
某机场安检数据导入业务
乘客在安检时,提交乘客身份证信息,并且终端设备现场提取人脸照片信息,终端设备预先申请了加密公钥,对乘客的身份证信息、机票信息、人脸信息等通过该装置加密后导入到机场后台服务器,后台服务器与公网联网,对客户机票信息及身份信息进行核验,如发现异常能够进行实时报警处理。
实施例2:
某政务部门文件导入业务
某些政务部门需要每日对一些数据文件进行上传业务,政务部门人员包括办公室人员、现场执法人员、移动办公人员等,他们使用的客户端设备包括手持终端、笔记本电脑、PC电脑等,通过该装置,对以上有业务需求的人员预先申请加密公钥并导入客户端设备,客户端设备每次上传文件时通过该装置提供的接口对数据进行加密后再发送到该装置,然后由该装置单向摆渡到政务内网服务器。
三、实施例相关效果的证据。本发明实施例在研发或者使用过程中取得了一些积极效果,和现有技术相比的确具备很大的优势,下面内容结合试验过程的数据、图表等进行描述。
1)该发明装置可以有效杜绝非法终端的接入,比如上述机场安检业务中,相比当前常规的导入装置,终端设备可以随意更换,也无需进行公钥证书的申请就可以工作,导致现场发生过若干起非法设备接入问题。
2)该发明装置可以有效杜绝数据被非法篡改、恶意客户端攻击等问题,通过某政务部门部署该装置后,每天可以检测到上千次的非法连接请求和上万个数据解密错误报文被丢弃,通过该装置可以有效防御这些非法连接和恶意数据。
本发明实施例提供的单向导入方法具体包括以下步骤:
(1)客户端请求公钥
客户端A向外网主机申请公钥,该公钥用来加密数据加密密钥SK,SK是随机生成的数据加密密钥。
客户端A构造JSON格式的请求数据,并通过HTTP协议发送到外网主机,请求数据如下:
{
"KeyID":"12345678",
}
其中KeyID参数表示申请的公私钥对的ID值,后续对SK使用私钥解密的时候也需要传递该参数,并且通过该ID来索引对应的私钥;
外网主机收到请求数据后,调用加密卡公私钥对接口,生成一对公私钥,其中对公钥进行BASE64编码,私钥直接保存到加密卡,并通过“12345678”的ID值为索引进行保存,公钥数据同样以JSON的格式通过HTTP协议返回给客户端A,返回数据格式如下:
{
"KeyID":"12345678",
“PubKey”:BLdRBQQU6gQ+eeYN0y9s+y32YuuE/fYa3F/1EhSZdwMC1rEm1MbKEMg/Ny+Trfg5RAAzRmBRxIFCa66LO09iOFs
}
客户端保存返回的数据,用于后续数据传输时使用该公钥加密数据加密密钥SK,到此公钥申请完成。
(2)客户端数据加密并发送
客户端A如图3已经获取到了加密SK的公钥,当客户端需要发送数据给外网主机时,首先调用随机数获取函数生成数据加密密钥SK,然后:
1)使用国密SM4算法+SK密钥对要发送的数据进行加密,并对加密结果进行BASE64编码;
2)使用SM2算法+公钥对SK进行加密,并对加密结果进行BASE64编码;
3)构造JSON格式数据,示例如下,EncSm4SK为使用公钥加密SK后的数据BASE64编码,EncDate是使用SK加密要发送的数据的BASE64编码:
{
"KeyID":"12345678",
"EncSm4SK":"BIzsy2cqlid3zp55KlV7fYr6DAWMMrVXRBlAr0DQnYF3kosMpr0bRKPNsNY5j8r/9ukYQ7IE/EDh7GOboYIy/zH7gkuVKRWM9yhNjzuBycV9i7JwEntSa0cVMjizYq1qUvR76Bo75xca9IbC1eFsz4i",
"EncDate":"G5y3w7JwP0d3GqC2vRTyoA"
}
4)通过http协议直接发送如上JSON格式数据即完成客户端到外网主机的数据发送。
(3)外网主机解密
外网主机收到客户端A发送的数据后,首先进行BASE64解码,然后使用私钥解密SK,在使用SK解密数据,外网主机收到的数据如下:
{
"KeyID":"12345678",
"EncSm4SK":"BIzsy2cqlid3zp55KlV7fYr6DAWMMrVXRBlAr0DQnYF3kosMpr0bRKPNsNY5j8r/9ukYQ7IE/EDh7GOboYIy/zH7gkuVKRWM9yhNjzuBycV9i7JwEntSa0cVMjizYq1qUvR76Bo75xca9IbC1eFsz4i",
"EncDate":"G5y3w7JwP0d3GqC2vRTyoA"
}
解密过程如下:
1)外网主机先对EncSm4SK和EncDate进行BASE64解码;
2)外网主机通过KeyID:12345678获取私钥,并使用私钥解密EncSm4SK后,获得原始SKEncDate;
3)外网主机使用SK对EncDate解密,获得客户端A发送的明文数据,到此外网主机完成数据解密。
(4)外网主机到内网主机数据单向摆渡
外网主机解密客户端A发送的数据后,需要将数据部分(EncDate解密后数据)摆渡到内网主机,该过程是通过将数据封装到UDP报文完成的,报文格式如图7所示。
内网主机通过载荷数据中获取真实内网服务器地址,然后内网主机将数据发送给内网服务器IP,到此整个数据导入流程结束。
图2为实际环境中数据导入的完整流程,图3到图6分别举例说明了一个客户端A的数据导入过程;在实际环境中,如图2所示可以支持多个客户端到多个内网服务器的数据导入。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程得存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的原则之内所做的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (9)
1.一种单向导入方法,其特征在于,所述单向导入方法包括:
外网客户端到外网主机申请加密公钥;
外网客户端发送数据到外网服务器时,随机生成16字节的加密密钥SK,使用SK对待发送的数据进行加密;使用公钥对SK进行加密,将加密后的SK和加密后的加密数据共同发送至外网主机;
外网主机收到加密数据后,使用私钥对SK解密;使用解密后的SK对数据内容进行解密,将解密后的数据内容通过单向隔离卡发送到内网主机;
内网主机接收来自外网主机的数据后和内网服务器建立安全连接,并通过安全连接将数据发送到内网服务器。
2.如权利要求1所述一种单向导入方法,其特征在于,所述单向导入方法还包括:
外网客户端向外网主机申请加密公钥,输入参数为KeyID,并将对应的私钥保存在外网主机专用加密卡内;外网客户端每次发送数据前生成临时的加密密钥SK;使用SK对发送的数据加密,加密算法使用SM4;使用对应KeyID申请的公钥对SK加密;通过JSON格式构造发送的数据内容,并发给外网主机;
外网主机收到加密数据后进行BASE64解码,根据KeyID找到对应私钥;使用私钥解密SK,并使用SK解密加密数据得到明文数据;构造私有单向传输协议发送明文数据到内网主机;内网主机收到数据后,和内网服务器建立数据连接,并发送数据到内网服务器。
3.如权利要求1所述一种单向导入方法,其特征在于,所述单向导入方法包括数字信封技术、公私钥加密技术以及基于国密芯片的硬件加密算法;所述外网主机集成公私钥签发模块,用于为外网客户端提供加密密钥;数字信封使用公钥SM2算法加密,使用私钥SM2算法解密;数据内容加密解密采用SM4算法。
4.如权利要求1所述一种单向导入方法,其特征在于,所述单向导入方法包括以下步骤:
步骤一,客户端请求公钥;
步骤二,客户端数据加密并发送;
步骤三,外网主机解密;
步骤四,外网主机到内网主机数据单向摆渡。
5.如权利要求4所述一种单向导入方法,其特征在于,所述步骤一中的客户端请求公钥包括:
(1)客户端发起公钥请求;
(2)外网主机调用加密卡接口并生成公私钥对;
(3)外网主机将私钥保存在加密卡中,并将公钥进行BASE64编码;
(4)返回JSON格式的公钥数据给客户端,客户端接收公钥数据;
所述步骤二中的客户端数据加密包括:
(1)客户端调用随机数函数生成临时加密密钥SK;
(2)使用密钥SK和算法SM4对待发送的数据进行加密,并对加密后的数据进行BASE64编码;
(3)使用获取的公钥和算法SM2对SK进行加密,并对加密后的数据进行BASE64编码;
(4)构造JSON格式的加密数据,并发送加密数据到外网主机。
6.如权利要求4所述一种单向导入方法,其特征在于,所述步骤三中的外网主机解密包括:
(1)外网主机接收加密后的JSON格式数据并进行解析;
(2)通过KeyID、EncSm4SK和EncDate字段分别提取公钥ID值、公钥加密后的SK值和SK加密后的密文数据;
(3)对EncSm4SK、EncDate进行BASE64解码;
(4)通过KeyID字段到加密卡查询私钥值;通过KeyID调用加密卡解密接口解密EncSm4SK,获取解密后的SK;
(5)使用解密后的SK对加密数据进行解密,完成外网数据的解密;
所述步骤四中的外网主机到内网主机数据单向摆渡包括:
(1)外网主机构造UDP数据报文,UDP内容包括真实的内网服务器地址和待传输的解密后的数据内容,目的地址为内网主机单项隔离卡地址;
(2)发送UDP报文到内网主机;内网主机接收UDP报文后对报文进行解析,获取真实内网服务器地址和数据;
(3)与真实服务器地址建立数据连接,发送数据到内网服务器,完成内网数据传输。
7.一种应用如权利要求1~6任意一项所述一种单向导入方法的单向导入装置,其特征在于,所述单向导入装置包括外网主机、内网主机、加密卡以及单向隔离部件四部分;
其中,外网主机集成公私钥签发模块,用于为外网客户端提供加密密钥;
单向隔离部件,用于将解密后的数据内容发送至内网主机;
内网主机,用于接收来自外网主机的数据后和内网服务器建立安全连接,并通过安全连接将数据发送到内网服务器;
加密卡,用于存储客户申请的公私钥密钥对的私钥部分,并提供SM4加密解密算法接口。
8.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1~6任意一项所述单向导入方法。
9.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1~6任意一项所述单向导入方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210844577.5A CN114978769B (zh) | 2022-07-19 | 2022-07-19 | 单向导入装置、方法、介质、设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210844577.5A CN114978769B (zh) | 2022-07-19 | 2022-07-19 | 单向导入装置、方法、介质、设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114978769A true CN114978769A (zh) | 2022-08-30 |
| CN114978769B CN114978769B (zh) | 2023-08-18 |
Family
ID=82970355
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210844577.5A Active CN114978769B (zh) | 2022-07-19 | 2022-07-19 | 单向导入装置、方法、介质、设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978769B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117596084A (zh) * | 2024-01-19 | 2024-02-23 | 天津航天机电设备研究所 | 一种面向网信安全的软件持续集成系统及方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067358A (zh) * | 2012-12-14 | 2013-04-24 | 北京思特奇信息技术股份有限公司 | 一种融合通信ip-pbx内外网互联的系统及方法 |
| US20140064488A1 (en) * | 2012-08-30 | 2014-03-06 | Texas Instruments Incorporated | One-Way Key Fob and Vehicle Pairing |
| US20170171219A1 (en) * | 2015-12-11 | 2017-06-15 | Amazon Technologies, Inc. | Signed envelope encryption |
| CN107634984A (zh) * | 2017-08-07 | 2018-01-26 | 国网河南省电力公司 | 一种基于单向传输通道的文件同步方法 |
| CN109802974A (zh) * | 2018-12-21 | 2019-05-24 | 北京理工大学 | 一种基于公钥密码的数据单向安全传输方法 |
| CN110505055A (zh) * | 2019-07-12 | 2019-11-26 | 如般量子科技有限公司 | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 |
| CN111245783A (zh) * | 2019-12-29 | 2020-06-05 | 航天信息股份有限公司 | 一种基于数字加密技术的隔离环境数据传递装置及方法 |
| CN111641650A (zh) * | 2020-05-29 | 2020-09-08 | 中京天裕科技(北京)有限公司 | 工业数据单向导入系统和方法 |
| CN112511494A (zh) * | 2020-11-05 | 2021-03-16 | 中国电力科学研究院有限公司 | 一种适用于电力智能终端设备的安全防护系统及方法 |
| CN113726725A (zh) * | 2020-12-29 | 2021-11-30 | 京东数字科技控股股份有限公司 | 一种数据加解密方法、装置、电子设备及存储介质 |
| CN114124440A (zh) * | 2021-09-29 | 2022-03-01 | 平安养老保险股份有限公司 | 安全传输方法、装置、计算机设备和存储介质 |
-
2022
- 2022-07-19 CN CN202210844577.5A patent/CN114978769B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140064488A1 (en) * | 2012-08-30 | 2014-03-06 | Texas Instruments Incorporated | One-Way Key Fob and Vehicle Pairing |
| CN103067358A (zh) * | 2012-12-14 | 2013-04-24 | 北京思特奇信息技术股份有限公司 | 一种融合通信ip-pbx内外网互联的系统及方法 |
| US20170171219A1 (en) * | 2015-12-11 | 2017-06-15 | Amazon Technologies, Inc. | Signed envelope encryption |
| CN107634984A (zh) * | 2017-08-07 | 2018-01-26 | 国网河南省电力公司 | 一种基于单向传输通道的文件同步方法 |
| CN109802974A (zh) * | 2018-12-21 | 2019-05-24 | 北京理工大学 | 一种基于公钥密码的数据单向安全传输方法 |
| CN110505055A (zh) * | 2019-07-12 | 2019-11-26 | 如般量子科技有限公司 | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 |
| CN111245783A (zh) * | 2019-12-29 | 2020-06-05 | 航天信息股份有限公司 | 一种基于数字加密技术的隔离环境数据传递装置及方法 |
| CN111641650A (zh) * | 2020-05-29 | 2020-09-08 | 中京天裕科技(北京)有限公司 | 工业数据单向导入系统和方法 |
| CN112511494A (zh) * | 2020-11-05 | 2021-03-16 | 中国电力科学研究院有限公司 | 一种适用于电力智能终端设备的安全防护系统及方法 |
| CN113726725A (zh) * | 2020-12-29 | 2021-11-30 | 京东数字科技控股股份有限公司 | 一种数据加解密方法、装置、电子设备及存储介质 |
| CN114124440A (zh) * | 2021-09-29 | 2022-03-01 | 平安养老保险股份有限公司 | 安全传输方法、装置、计算机设备和存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| LIN FAN; JUN DU; YANPENG GUO; HUI WANG: "A Security Defense Scheme for Encryption and Network Isolation Gateway in Power System", 《2018 IEEE 4TH INFORMATION TECHNOLOGY AND MECHATRONICS ENGINEERING CONFERENCE (ITOEC)》 * |
| 李旋;吴其聪;: "数字签名与加密在网络隔离中的应用研究", 信息网络安全, no. 10 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117596084A (zh) * | 2024-01-19 | 2024-02-23 | 天津航天机电设备研究所 | 一种面向网信安全的软件持续集成系统及方法 |
| CN117596084B (zh) * | 2024-01-19 | 2024-04-16 | 天津航天机电设备研究所 | 一种面向网信安全的软件持续集成系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114978769B (zh) | 2023-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9852300B2 (en) | Secure audit logging | |
| CN104219228B (zh) | 一种用户注册、用户识别方法及系统 | |
| US8745394B1 (en) | Methods and systems for secure electronic communication | |
| CN112150147A (zh) | 一种基于区块链的数据安全存储系统 | |
| CN112511514A (zh) | 一种http加密传输方法、装置、计算机设备及存储介质 | |
| US11985112B2 (en) | Securing data in motion by zero knowledge protocol | |
| CN108809936B (zh) | 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统 | |
| WO2018120938A1 (zh) | 密钥离线传输方法、终端和存储介质 | |
| CN111835774A (zh) | 数据处理方法、装置、设备及存储介质 | |
| CN105099699A (zh) | 基于物联网设备的安全高效通信方法及系统 | |
| CN112689014A (zh) | 一种双全工通信方法、装置、计算机设备和存储介质 | |
| CN114499875B (zh) | 业务数据处理方法、装置、计算机设备和存储介质 | |
| CN113591109B (zh) | 可信执行环境与云端通信的方法及系统 | |
| CN114978769B (zh) | 单向导入装置、方法、介质、设备 | |
| CN111224958A (zh) | 一种数据传输方法和系统 | |
| CN111181920A (zh) | 一种加解密的方法和装置 | |
| CN114338648A (zh) | 一种基于国密算法的sftp多端文件安全传输的方法及系统 | |
| CN114679299B (zh) | 通信协议加密方法、装置、计算机设备和存储介质 | |
| US20130283363A1 (en) | Secure data transfer over an arbitrary public or private transport | |
| Mohamed | New Frontiers in Cryptography: Quantum, Blockchain, Lightweight, Chaotic and DNA | |
| CN116743372A (zh) | 基于ssl协议的量子安全协议实现方法及系统 | |
| CN114785527B (zh) | 数据传输方法、装置、设备及存储介质 | |
| CN116015846A (zh) | 身份认证方法、装置、计算机设备和存储介质 | |
| CN115102768A (zh) | 一种数据处理方法、装置及计算机设备 | |
| CN111294359B (zh) | 压力测试方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |