CN115664841A - 具有网络隔离与单向加密传输功能的数据采集系统及方法 - Google Patents
具有网络隔离与单向加密传输功能的数据采集系统及方法 Download PDFInfo
- Publication number
- CN115664841A CN115664841A CN202211422658.2A CN202211422658A CN115664841A CN 115664841 A CN115664841 A CN 115664841A CN 202211422658 A CN202211422658 A CN 202211422658A CN 115664841 A CN115664841 A CN 115664841A
- Authority
- CN
- China
- Prior art keywords
- data
- module
- acquisition
- interface
- network isolation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 69
- 230000005540 biological transmission Effects 0.000 title claims abstract description 61
- 230000006870 function Effects 0.000 title claims abstract description 21
- 238000000034 method Methods 0.000 title claims abstract description 15
- 238000012795 verification Methods 0.000 claims description 25
- 238000004891 communication Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 description 5
- 238000005336 cracking Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及数据采集技术领域,公开了具有网络隔离与单向加密传输功能的数据采集系统及方法,包括:部署于硬件采集装置上的用户配置模块、采集任务调度模块、数据采集模块、网络隔离模块、数据加密模块和数据发送模块,以及部署于发送目标端的数据解密模块;硬件采集装置包括采集接口、发送接口以及控制接口;数据采集模块通过采集接口从局域网内采集内网数据;网络隔离模块使采集接口与发送接口不同时处于开启状态;加密模块计算得到加密数据;数据解密模块用于解包出采集数据。不仅减少了攻击面,而且保证了采集数据的完整性与可靠性。
Description
技术领域
本发明涉及数据采集技术领域,具体的说,是涉及具有网络隔离与单向加密传输功能的数据采集系统及方法。
背景技术
本部分的陈述仅仅是提供了与本发明相关的背景技术信息,不必然构成在先技术。
在不同组织之间存在着相互隔离的安全级别不同的局域网,将特定数据从局域网内传输到外部进行处理的需求广泛存在。如果将局域网直接与外部其他网络相连,会打破内外网之间的网络隔离,将局域网内数据资产暴露给外部攻击者。在数据由高密级网络向低密级网络内的目标传输时,数据可能在低密级网络中受到劫持攻击,如果数据使用明文协议传输,可能造成数据被篡改或泄露。为了在不破坏局域网物理隔离的情况下,实现从对局域网内数据的单向、安全、可靠的采集,建立一套具有网络隔离与数据单向加密传输功能的数据采集系统是必要的。
公开号为CN108769076A的专利公开一种具有网络隔离功能的采集装置,包括第一数据采集本体,第一数据采集本体包括第一采集配置模块,用于进行具有网络隔离功能的传输配置,并获取采集配置信息,其中,采集配置信息包括对目标设备的采集配置信息;数据采集模块,用于根据第一采集配置模块的传输配置和获取的采集配置信息获取目标设备的数据;第一数据发送模块,用于将数据采集模块获取的数据输出。然而,该技术方案无法对数据传输中的安全性和可靠性做出保证。没有对发送的采集数据做加密处理,在数据被传输到发送目标的过程中,攻击者可以通过ARP攻击、中间人攻击以及暴力破解等方式获取明文数据,并有能力对数据进行篡改后将篡改后的数据传输给发送目标。
公开号为CN107749840B的专利涉及一种基于单向网闸的数据单向安全传输及协同处理系统及方法。该发明中,源局域网通过单向网闸与目标局域网连接;前置单元与数据源进行数据交互,并通过第一防火墙与单向网闸链接;后置单元接受单向网闸传输数据后通过防毒墙、第二防火墙将数据发送给数据分发系统;数据分发系统与客户端之间进行数据交互。然而,该技术方案使用MD5对数据传输的完整性进行验证,然而在数据明文被传输到发送目标的过程中,攻击者有能力修改数据内容与对应的MD5值,导致传输过程中数据被篡改,无法防止数据被第三方篡改或泄露给第三方。
可以看出,现有技术无法解决在采集数据被传输到发送目标的过程中可能发生的数据泄密、数据篡改以及数据丢失问题。
发明内容
本发明为了解决上述问题,本发明提供具有网络隔离与单向加密传输功能的数据采集系统及方法,不仅通过网络隔离模块确保硬件采集装置上的接口按需开启,以减少攻击面,而且将采集数据与哈希校验数据一同加密,只有加密数据在未被篡改且保持完整性的情况下,才能通过校验解密成功,保证了采集数据的完整性与可靠性。
为了实现上述目的,本发明采用如下技术方案:
本发明的第一个方面提供具有网络隔离与单向加密传输功能的数据采集系统,其包括部署于硬件采集装置上的用户配置模块、采集任务调度模块、数据采集模块、网络隔离模块、数据加密模块和数据发送模块,以及部署于发送目标端的数据解密模块;所述硬件采集装置包括采集接口和发送接口;
所述用户配置模块,用于增删采集任务配置数据,并生成公钥和私钥;
所述采集任务调度模块,用于从采集任务配置数据中加载采集任务,并调用网络隔离模块、数据采集模块、数据加密模块和数据发送模块执行采集任务;
所述数据采集模块,用于通过采集接口从局域网内采集内网数据;
所述网络隔离模块,用于使采集接口与发送接口不同时处于开启状态;
所述加密模块,用于计算采集的内网数据的哈希值,将哈希值拼接到归档文件尾部,并产生token,对归档文件进行加密,利用公钥对token进行加密获得token密文,并基于token密文和数据密文得到加密数据;
所述数据发送模块,用于通过所述发送接口发送加密数据;
所述数据解密模块,用于切分加密数据,得到token密文和数据密文,并使用私钥解密token密文,使用token解密数据密文后,使用解密数据尾部的校验数据校验其余解密数据,校验成功后其余解密数据为归档的内网数据,解包归档数据得到采集数据。
进一步地,所述采集任务配置数据包含局域网内待采集目标信息、采集接口配置信息、发送目标信息和发送接口配置信息。
进一步地,所述采集任务调度模块对于每一个采集任务,执行如下步骤:
调用网络隔离模块,调用参数为第一设定值;
调用数据采集模块采集内网数据;
调用数据加密模块加密采集的内网数据,得到加密数据;
调用网络隔离模块,调用参数为第二设定值;
调用数据发送模块向发送目标发送加密数据;
调用网络隔离模块,调用参数为第三设定值。
进一步地,所述网络隔离模块被配置为:
关闭采集接口与发送接口;
接收采集任务调度模块的调用参数,若参数为所述第三设定值,则清除采集接口与发送接口的配置信息;若参数为所述第一设定值,则开启采集接口,根据采集接口配置信息配置采集接口;若参数为所述第二设定值,则开启发送接口,根据采集任务中发送接口配置信息配置发送接口。
进一步地,所述数据采集模块被配置为:
获取采集任务配置信息中的待采集目标信息;
启动待采集目标信息中规定的通信协议的客户端从局域网内的采集目标中获取数据;
检查缓存目录是否为空,如果是,则将获取到的数据保存到缓存目录;否则,清空缓存目录后,将获取到的数据保存到缓存目录。
进一步地,所述数据发送模块的执行步骤如下:
获取采集任务配置信息中的发送目标信息;
启动发送目标信息中规定的通信协议的客户端发送缓存目录中的加密数据到外部的发送目标;
清空缓存目录。
进一步地,使用对称加密算法,以token作为密钥,对归档文件进行对称加密。
进一步地,使用非对称加密算法,利用公钥对token进行非对称加密。
进一步地,所述数据解密模块,还用于根据哈希算法确定校验数据长度,从解密数据尾部取校验数据长度的数据作为校验值,其余数据作为待校验数据;根据哈希算法计算待校验数据的哈希值,与校验值进行对比,如果二者相等,则使用归档软件解包待校验数据,获得采集数据。
本发明的第二个方面提供具有网络隔离与单向加密传输功能的数据采集方法,其包括如下步骤:
用户配置模块增删采集任务配置数据,并生成公钥和私钥;
采集任务调度模块从采集任务配置数据中加载采集任务,并调用网络隔离模块、数据采集模块、数据加密模块和数据发送模块执行采集任务;
所述数据采集模块通过采集接口从局域网内的待采集目标采集内网数据;
所述网络隔离模块配置所述采集接口与发送接口,保证这两个接口不同时处于开启状态;
所述加密模块计算采集的内网数据的哈希值,将哈希值拼接到归档文件尾部,并产生token,以token作为密钥对归档文件进行加密,利用所述公钥对token进行加密获得token密文,按照token密文长度、token密文和数据密文的顺序拼接得到加密数据;
所述数据发送模块通过发送接口发送加密数据;
所述数据解密模块切分加密数据,得到token密文和数据密文,并使用私钥解密token密文得到token,使用token解密数据密文得到解密数据后,使用解密数据尾部的校验数据校验其余解密数据,校验成功后其余解密数据为归档的内网数据,解包归档数据得到采集数据;
其中,用户配置模块、采集任务调度模块、数据采集模块、网络隔离模块、数据加密模块和数据发送模块部署于硬件采集装置上,数据解密模块部署于发送目标端;且硬件采集装置包括采集接口和发送接口。
与现有技术相比,本发明的有益效果为:
本发明提供了具有网络隔离与单向加密传输功能的数据采集系统,其通过非对称加密与对称加密结合的方式,由采集装置本身在配置和加密的过程中生成高强度密钥,避免了用户自行手动设置弱密码,降低了被暴力破解的风险,即使使用明文协议传输,劫持者截获加密数据,也无法破解数据内容。
本发明提供了具有网络隔离与单向加密传输功能的数据采集系统,其将采集数据与哈希校验数据一同加密,只有加密数据在未被篡改且保持完整性的情况下,才能通过校验解密成功,保证了数据的完整性与可靠性。
附图说明
构成本发明的一部分说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的限定。
图1为本发明的实施例一的具有网络隔离与单向加密传输功能的数据采集系统的结构图;
图2为本发明的实施例一的用户配置模块的流程图;
图3为本发明的实施例一的采集任务调度模块的流程图;
图4为本发明的实施例一的数据采集模块的流程图;
图5为本发明的实施例一的网络隔离模块的流程图;
图6为本发明的实施例一的数据加密模块的流程图;
图7为本发明的实施例一的数据发送模块的流程图;
图8为本发明的实施例一的数据解密模块的流程图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
应该指出,以下详细说明都是示例性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合下面结合附图与实施例对本发明作进一步说明。
实施例一
本实施例一的目的是提供具有网络隔离与单向加密传输功能的数据采集系统,以满足从局域网中安全、可靠地采集数据的需求。如图1所示,包括硬件采集装置(硬件部分)和数据解密模块(解密模块);硬件采集装置部署有用户配置模块、采集任务调度模块、数据采集模块、网络隔离模块、数据加密模块(加密模块)、数据发送模块。
硬件采集装置为具有三个RJ-45接口的Li nux系统板,三个RJ-45接口分别作为采集接口、发送接口、控制接口。Li nux操作系统被配置为默认关闭采集接口、发送接口,仅开启控制接口,并为控制接口配置静态地址作为配置地址。Li nux防火墙被配置为仅允许来自控制接口的入站请求,仅在控制接口开放22端口和80端口,以避免任何外部通过发送接口或采集接口对硬件采集装置发起的主动连接,避免受到网络攻击。
用户配置模块部署在采集系统的硬件部分,用于通过配置接口向用户提供WEB配置页面,以完成对采集任务配置数据的增删以及密钥的生成与分发。如图2所示,用户通过用户配置模块新建采集任务步骤如下:
步骤(a1):用户通过配置接口地址登录配置页面;
步骤(a2):用户配置模块响应于配置页面登录指令,判断数据采集系统是否第一次开机,如果是则执行步骤(a3-1),否则执行步骤(a3-2);
步骤(a3-1):若数据采集系统为第一次开机,则返回密码初始化界面,以引导用户配置初始化密码,密码初始化后执行步骤(a3-2);
步骤(a3-2):获取密码并验证,若验证通过,则用户使用密码登录成功,进入新建采集任务页面;
步骤(a4):用户填写采集任务配置表单,采集任务配置表单包含局域网内待采集目标信息、采集接口配置信息、发送目标信息、发送接口配置信息;
步骤(a5):获取用户提交的采集任务配置表单,用户配置模块将采集任务配置数据写入硬件存储器,即基于采集任务配置表单使用JSON格式序列化采集任务并写入存储器;并通过非对称加密算法产生一对高强度秘钥(公钥和私钥),公钥存储到数据采集系统硬件部分存储器内,并与当前采集任务关联,私钥提供给用户下载,不写入存储器。
采集任务调度模块部署在数据采集系统的硬件部分,用于从用户配置中加载采集任务,根据用户配置调用网络隔离模块、数据采集模块、数据加密模块和数据发送模块自动执行采集任务。如图3所示,采集任务调度模块执行步骤如下:
步骤(b1):读取采集任务配置,获得一组待执行的采集任务,并产生任务队列;
步骤(b2):串行执行采集任务;对于其中的每一个采集任务,执行步骤如下:
步骤①:调用网络隔离模块,调用参数为第一设定值1;
步骤②:调用数据采集模块采集内网数据;
步骤③:调用数据加密模块加密采集的内网数据,得到加密数据;
步骤④:调用网络隔离模块,调用参数为第二设定值2;
步骤⑤:调用数据发送模块向发送目标发送加密数据;
步骤⑥:调用网络隔离模块,调用参数为第三设定值0,并返回步骤①。
数据采集模块部署在数据采集系统的硬件部分,用于通过采集接口从局域网内的待采集目标采集数据,如图4所示,数据采集模块的执行步骤如下:
步骤(c1):获取采集任务配置中的待采集目标信息;
步骤(c2):根据采集任务配置中的待采集目标信息,启动待采集目标信息中规定的通信协议的客户端从局域网内的采集目标(即步骤(c1)中所述的待采集目标)中获取数据;
步骤(c3):检查缓存目录是否为空,如果是则执行步骤(c4-2),否则执行步骤(c4-1);
步骤(c4-1):清空缓存目录,执行步骤(c4-2);
步骤(c4-2):将步骤(c2)获取到的数据保存到缓存目录。
网络隔离模块部署在数据采集系统的硬件部分,用于配置采集接口与发送接口,保证这两个接口不同时处于开启状态,同时确保接口按需开启,采集结束后关闭接口并清除接口信息以减少攻击面。如图5所示,网络隔离模块的执行步骤如下:
步骤(d1):关闭采集接口与发送接口;
步骤(d2):接收采集任务调度模块的调用参数,若参数为0,则执行步骤(d3-3);若参数为1,则执行步骤(d3-1);若参数为2,则执行步骤(d3-2);
步骤(d3-1):开启采集接口,根据采集任务中采集接口配置信息配置采集接口;
步骤(d3-2):开启发送接口,根据采集任务中发送接口配置信息配置发送接口;
步骤(d3-3):清除采集接口与发送接口的配置信息,确保即使接口被意外开启,也处于无法通信的状态。
加密模块部署在数据采集系统的硬件部分,用于对采集到的数据进行加密处理。如图6所示,加密模块的执行步骤如下:
步骤(e1):使用归档程序(例如tar)将缓存目录下的数据(采集的内网数据)归档打包;
步骤(e2):使用哈希算法(例如MD5、sha256、SM3)计算打包后数据的哈希值;
步骤(e3):将哈希值拼接到归档文件尾部;
步骤(e4):随机产生token;
步骤(e5):使用对称加密算法(例如AES、SM4),以token作为密钥,对拼接后的数据(归档文件)进行对称加密得到数据密文;
步骤(e6):读取采集任务配置,获取与采集任务关联的公钥;
步骤(e7):使用非对称加密算法(例如RSA、SM2),利用公钥对token进行非对称加密获得token密文;
步骤(e8):按照token密文长度、token密文、数据密文的顺序拼接得到最终的加密数据,其中token密文长度存储在加密数据的前两个字节;即,加密数据=token密文长度(固定两字节存储)+token密文(长度为前述长度)+数据密文(长度不固定)。
步骤(e9):将最终的加密数据保存到缓存目录,并删除缓存目录中除加密数据外的其他数据。
数据发送模块部署在数据采集系统的硬件部分,用于通过发送接口发送加密后的数据,数据发送模块被设计为只对外主动发起连接。如图7所示,数据发送模块的执行步骤如下:
步骤(f1):获取采集任务配置中的发送目标信息;
步骤(f2):根据采集任务配置中的发送目标信息,启动发送目标信息中规定的通信协议的客户端发送缓存目录中的加密数据到外部的发送目标;
步骤(f3):清空缓存目录。
数据解密模块部署在外部发送目标的计算机系统(发送目标端)上,用于解密数据文件,确保数据传输的可靠性。如图8所示,数据解密模块的执行步骤如下:
步骤(g1):导入加密数据;
步骤(g2):根据加密格式切分加密数据,得到token密文、数据密文;
步骤(g3):导入对应私钥解密token密文,得到token;
步骤(g4):使用token解密数据密文,得到解密数据;
步骤(g5):根据选取的哈希算法确定校验数据长度,从解密数据尾部取前述校验数据长度的数据作为校验值,其余数据作为待校验数据。
步骤(g6):根据选取的哈希算法计算待校验数据的哈希值,与校验值进行对比,如果二者相等,则执行步骤(g7-1),否则执行步骤(g7-2);
步骤(g7-1):解密成功,上述待校验数据通过校验,为已归档的采集到的内网数据,使用对应的归档软件解包,即可获得采集数据;
步骤(g7-2):解密失败,提醒用户数据遭到篡改或者私钥不正确。
用户使用具有网络隔离与单向加密传输功能的数据采集系统的步骤如下:
步骤(1):用户使用双绞线将数据采集系统硬件部分的配置接口与PC连接;
步骤(2):用户成功登录配置页面;根据页面引导填写采集配置并下载采集任务私钥;
步骤(3):用户断开与数据采集系统硬件的连接,将硬件部分的采集接口与发送接口分别连接到待采集目标所在的网络和待发送目标所在的网络;
步骤(4):数据采集系统自动执行采集任务;
步骤(5):用户在发送目标端使用私钥和解密软件获得采集数据。
数据发送模块与数据接收模块可以使用的协议可以选择http、https、ftp、ftps、sftp、smb、webdav等。
数据加密模块与解密模块可以使用的非对称加密算法可以选择RSA、SM2等;使用的哈希算法可以选择SHA家族、SM3、MD5等;对称加密算法可以选择AES、SM4等。
网络隔离模块使用的网络控制工具可以选择i p、i fconf i g等。
本实施例的具有网络隔离与单向加密传输功能的数据采集系统,通过非对称加密与对称加密结合的方式,由采集装置本身在配置和加密的过程中生成高强度密钥,避免了用户自行手动设置弱密码,降低了被暴力破解的风险,即使使用明文协议传输,劫持者截获加密数据,也无法破解数据内容。
本实施例的具有网络隔离与单向加密传输功能的数据采集系统,将采集数据与哈希校验数据一同加密,只有加密数据在未被篡改且保持完整性的情况下,才能通过校验解密成功,保证了数据的完整性与可靠性。
实施例二
本实施例二的目的是提供具有网络隔离与单向加密传输功能的数据采集方法,包括如下步骤:
用户配置模块增删采集任务配置数据,并生成公钥和私钥;
采集任务调度模块从采集任务配置数据中加载采集任务,并调用网络隔离模块、数据采集模块、数据加密模块和数据发送模块执行采集任务;
所述数据采集模块通过采集接口从局域网内的待采集目标采集内网数据;
所述网络隔离模块配置所述采集接口与发送接口,保证这两个接口不同时处于开启状态;
所述加密模块计算采集的内网数据的哈希值,将哈希值拼接到归档文件尾部,并产生token,以token作为密钥对归档文件进行加密,利用所述公钥对token进行加密获得token密文,按照token密文长度、token密文和数据密文的顺序拼接得到加密数据;
所述数据发送模块通过发送接口发送加密数据;
所述数据解密模块切分加密数据,得到token密文和数据密文,并使用私钥解密token密文得到token,使用token解密数据密文得到解密数据后,使用解密数据尾部的校验数据校验其余解密数据,校验成功后其余解密数据为归档的内网数据,解包归档数据得到采集数据;
所述用户配置模块、采集任务调度模块、数据采集模块、网络隔离模块、数据加密模块和数据发送模块部署于硬件采集装置上,数据解密模块部署于发送目标端;且硬件采集装置包括采集接口、发送接口以及控制接口。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (10)
1.具有网络隔离与单向加密传输功能的数据采集系统,其特征在于:包括部署于硬件采集装置上的用户配置模块、采集任务调度模块、数据采集模块、网络隔离模块、数据加密模块和数据发送模块,以及部署于发送目标端的数据解密模块;所述硬件采集装置包括采集接口和发送接口;
所述用户配置模块,用于增删采集任务配置数据,并生成公钥和私钥;
所述采集任务调度模块,用于从采集任务配置数据中加载采集任务,并调用网络隔离模块、数据采集模块、数据加密模块和数据发送模块执行采集任务;
所述数据采集模块,用于通过采集接口从局域网内采集内网数据;
所述网络隔离模块,用于使采集接口与发送接口不同时处于开启状态;
所述加密模块,用于计算采集的内网数据的哈希值,将哈希值拼接到归档文件尾部,并产生token,对归档文件进行加密,利用公钥对token进行加密获得token密文,并基于token密文和数据密文得到加密数据;
所述数据发送模块,用于通过所述发送接口发送加密数据;
所述数据解密模块,用于切分加密数据,得到token密文和数据密文,并使用私钥解密token密文,使用token解密数据密文后,使用解密数据尾部的校验数据校验其余解密数据,校验成功后其余解密数据为归档的内网数据,解包归档数据得到采集数据。
2.如权利要求1所述的具有网络隔离与单向加密传输功能的数据采集系统,其特征在于:所述采集任务配置数据包含局域网内待采集目标信息、采集接口配置信息、发送目标信息和发送接口配置信息。
3.如权利要求1所述的具有网络隔离与单向加密传输功能的数据采集系统,其特征在于:所述采集任务调度模块对于每一个采集任务,执行如下步骤:
调用网络隔离模块,调用参数为第一设定值;
调用数据采集模块采集内网数据;
调用数据加密模块加密采集的内网数据,得到加密数据;
调用网络隔离模块,调用参数为第二设定值;
调用数据发送模块向发送目标发送加密数据;
调用网络隔离模块,调用参数为第三设定值。
4.如权利要求3所述的具有网络隔离与单向加密传输功能的数据采集系统,其特征在于:所述网络隔离模块被配置为:
关闭采集接口与发送接口;
接收采集任务调度模块的调用参数,若参数为所述第三设定值,则清除采集接口与发送接口的配置信息;若参数为所述第一设定值,则开启采集接口,根据采集接口配置信息配置采集接口;若参数为所述第二设定值,则开启发送接口,根据采集任务中发送接口配置信息配置发送接口。
5.如权利要求1所述的具有网络隔离与单向加密传输功能的数据采集系统,其特征在于:所述数据采集模块被配置为:
获取采集任务配置信息中的待采集目标信息;
启动对应通信协议的客户端从局域网内的采集目标中获取数据;
检查缓存目录是否为空,如果是,则将获取到的数据保存到缓存目录;否则,清空缓存目录后,将获取到的数据保存到缓存目录。
6.如权利要求5所述的具有网络隔离与单向加密传输功能的数据采集系统,其特征在于:所述数据发送模块的执行步骤如下:
获取采集任务配置信息中的发送目标信息;
启动对应通信协议的客户端发送缓存目录中的加密数据到外部的发送目标;
清空缓存目录。
7.如权利要求1所述的具有网络隔离与单向加密传输功能的数据采集系统,其特征在于:使用对称加密算法,以token作为密钥,对归档文件进行对称加密。
8.如权利要求1所述的具有网络隔离与单向加密传输功能的数据采集系统,其特征在于:使用非对称加密算法,利用公钥对token进行非对称加密。
9.如权利要求1所述的具有网络隔离与单向加密传输功能的数据采集系统,其特征在于:所述数据解密模块,还用于根据哈希算法确定校验数据长度,从解密数据尾部取校验数据长度的数据作为校验值,其余数据作为待校验数据;根据哈希算法计算待校验数据的哈希值,与校验值进行对比,如果二者相等,则使用归档软件解包待校验数据,获得采集数据。
10.具有网络隔离与单向加密传输功能的数据采集方法,其特征在于:包括如下步骤:
用户配置模块增删采集任务配置数据,并生成公钥和私钥;
采集任务调度模块从采集任务配置数据中加载采集任务,并调用网络隔离模块、数据采集模块、数据加密模块和数据发送模块执行采集任务;
所述数据采集模块通过采集接口从局域网内的待采集目标采集内网数据;
所述网络隔离模块配置所述采集接口与发送接口,保证这两个接口不同时处于开启状态;
所述加密模块计算采集的内网数据的哈希值,将哈希值拼接到归档文件尾部,并产生token,以token作为密钥对归档文件进行加密,利用所述公钥对token进行加密获得token密文,按照token密文长度、token密文和数据密文的顺序拼接得到加密数据;
所述数据发送模块通过发送接口发送加密数据;
所述数据解密模块切分加密数据,得到token密文和数据密文,并使用私钥解密token密文得到token,使用token解密数据密文得到解密数据后,使用解密数据尾部的校验数据校验其余解密数据,校验成功后其余解密数据为归档的内网数据,解包归档数据得到采集数据;
所述用户配置模块、采集任务调度模块、数据采集模块、网络隔离模块、数据加密模块和数据发送模块部署于硬件采集装置上,数据解密模块部署于发送目标端;且硬件采集装置包括采集接口和发送接口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211422658.2A CN115664841A (zh) | 2022-11-14 | 2022-11-14 | 具有网络隔离与单向加密传输功能的数据采集系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211422658.2A CN115664841A (zh) | 2022-11-14 | 2022-11-14 | 具有网络隔离与单向加密传输功能的数据采集系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115664841A true CN115664841A (zh) | 2023-01-31 |
Family
ID=85020873
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211422658.2A Pending CN115664841A (zh) | 2022-11-14 | 2022-11-14 | 具有网络隔离与单向加密传输功能的数据采集系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115664841A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117596073A (zh) * | 2023-12-24 | 2024-02-23 | 中国人民解放军61660部队 | 一种带有噪音数据保护的信息跨域传递方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600185A (zh) * | 2018-03-29 | 2018-09-28 | 武汉虹旭信息技术有限责任公司 | 一种数据安全传输网络系统及其方法 |
| CN108769076A (zh) * | 2018-07-06 | 2018-11-06 | 北京绪水互联科技有限公司 | 具有网络隔离功能的数据采集系统、方法及装置 |
| CN109802974A (zh) * | 2018-12-21 | 2019-05-24 | 北京理工大学 | 一种基于公钥密码的数据单向安全传输方法 |
| CN110061989A (zh) * | 2019-04-19 | 2019-07-26 | 航天云网数据研究院(江苏)有限公司 | 一种数据采集网关全隔离方法 |
| CN111245783A (zh) * | 2019-12-29 | 2020-06-05 | 航天信息股份有限公司 | 一种基于数字加密技术的隔离环境数据传递装置及方法 |
| CN111756690A (zh) * | 2020-05-19 | 2020-10-09 | 北京明略软件系统有限公司 | 一种数据处理系统、方法及服务器 |
| CN112040083A (zh) * | 2020-09-10 | 2020-12-04 | 珠海奔图电子有限公司 | 网络控制方法、图像形成装置及图像形成系统 |
| CN112073375A (zh) * | 2020-08-07 | 2020-12-11 | 中国电力科学研究院有限公司 | 一种适用于电力物联网客户侧的隔离装置及隔离方法 |
| CN112383612A (zh) * | 2020-11-11 | 2021-02-19 | 成都卫士通信息产业股份有限公司 | 一种文件传输方法、装置、设备及可读存储介质 |
| CN114297687A (zh) * | 2021-12-29 | 2022-04-08 | 河北网星软件有限公司 | 数据传输系统和数据传输方法 |
| CN115208615A (zh) * | 2022-05-20 | 2022-10-18 | 北京科技大学 | 一种数控系统数据加密传输方法 |
-
2022
- 2022-11-14 CN CN202211422658.2A patent/CN115664841A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600185A (zh) * | 2018-03-29 | 2018-09-28 | 武汉虹旭信息技术有限责任公司 | 一种数据安全传输网络系统及其方法 |
| CN108769076A (zh) * | 2018-07-06 | 2018-11-06 | 北京绪水互联科技有限公司 | 具有网络隔离功能的数据采集系统、方法及装置 |
| CN109802974A (zh) * | 2018-12-21 | 2019-05-24 | 北京理工大学 | 一种基于公钥密码的数据单向安全传输方法 |
| CN110061989A (zh) * | 2019-04-19 | 2019-07-26 | 航天云网数据研究院(江苏)有限公司 | 一种数据采集网关全隔离方法 |
| CN111245783A (zh) * | 2019-12-29 | 2020-06-05 | 航天信息股份有限公司 | 一种基于数字加密技术的隔离环境数据传递装置及方法 |
| CN111756690A (zh) * | 2020-05-19 | 2020-10-09 | 北京明略软件系统有限公司 | 一种数据处理系统、方法及服务器 |
| CN112073375A (zh) * | 2020-08-07 | 2020-12-11 | 中国电力科学研究院有限公司 | 一种适用于电力物联网客户侧的隔离装置及隔离方法 |
| CN112040083A (zh) * | 2020-09-10 | 2020-12-04 | 珠海奔图电子有限公司 | 网络控制方法、图像形成装置及图像形成系统 |
| CN112383612A (zh) * | 2020-11-11 | 2021-02-19 | 成都卫士通信息产业股份有限公司 | 一种文件传输方法、装置、设备及可读存储介质 |
| CN114297687A (zh) * | 2021-12-29 | 2022-04-08 | 河北网星软件有限公司 | 数据传输系统和数据传输方法 |
| CN115208615A (zh) * | 2022-05-20 | 2022-10-18 | 北京科技大学 | 一种数控系统数据加密传输方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117596073A (zh) * | 2023-12-24 | 2024-02-23 | 中国人民解放军61660部队 | 一种带有噪音数据保护的信息跨域传递方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9602549B2 (en) | Establishing trust between applications on a computer | |
| EP2973183B1 (en) | Intra-computer protected communications between applications | |
| US7039713B1 (en) | System and method of user authentication for network communication through a policy agent | |
| US8447970B2 (en) | Securing out-of-band messages | |
| EP3073668A1 (en) | Apparatus and method for authenticating network devices | |
| US8370630B2 (en) | Client device, mail system, program, and recording medium | |
| US11444958B2 (en) | Web server security | |
| KR20200135157A (ko) | 네트워크 보안 대칭형 양자 암호키 기반 암호화 장치 | |
| CN116471125B (zh) | 加密数据库流量审计方法、装置、计算机设备及存储介质 | |
| CN115664841A (zh) | 具有网络隔离与单向加密传输功能的数据采集系统及方法 | |
| CN107276996A (zh) | 一种日志文件的传输方法及系统 | |
| US20210281608A1 (en) | Separation of handshake and record protocol | |
| US20200053145A1 (en) | System and Method for Providing a Configuration File to Client Devices | |
| CN114707158A (zh) | 基于tee的网络通信认证方法以及网络通信认证系统 | |
| Albrecht et al. | Share with Care: Breaking E2EE in Nextcloud | |
| CN111526128B (zh) | 一种加密管理的方法和装置 | |
| Rajcan | Securing Data in Motion in ZeroMQ and Data at Rest on Windows Platform | |
| Bonachea et al. | SafeTP: Transparently securing FTP network services | |
| Linh et al. | Analysing open-source 5G core networks for TLS vulnerabilities and 3GPP compliance | |
| CN116501694A (zh) | 数据存储方法、数据读取方法、电子设备和程序产品 | |
| Matharu | Exploiting SSL/TLS Vulnerabilities in Modern Technologies | |
| CA3231929A1 (en) | Communication link | |
| CN113449345A (zh) | 一种由微处理器实现的用于保护数据的方法及系统 | |
| CN115865347A (zh) | 一种密钥安全认证方法 | |
| WO2021230906A1 (en) | Caching encrypted content in an oblivious content distribution network, and system, computer-readable medium and terminal for the same |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |