CN102882850B - 一种采用非网络方式隔离数据的密码装置及其方法 - Google Patents
一种采用非网络方式隔离数据的密码装置及其方法 Download PDFInfo
- Publication number
- CN102882850B CN102882850B CN201210320163.9A CN201210320163A CN102882850B CN 102882850 B CN102882850 B CN 102882850B CN 201210320163 A CN201210320163 A CN 201210320163A CN 102882850 B CN102882850 B CN 102882850B
- Authority
- CN
- China
- Prior art keywords
- data
- main frame
- intranet host
- outer net
- net main
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
采用非网络方式隔离数据的密码装置:包括内网主机和外网主机,内网主机和外网主机通过串口、并口或者自定义私有总线协议等其它非网络方式连接,内网主机和信息***内部的主机相连,并负责数据的加解密。隔离数据的方法:S1外网主机对数据包进行网络层过滤;S2外网主机对数据包进行网络层剥离,去掉数据包的IP头等信息;S3外网主机将剥离后的数据通过串口、并口或者自定义私有协议的非网络方式发送到内网主机;S4内网主机对数据进行数据源验证;S5内网主机对接收到的剥离的数据进行解密,解密正确以后发送给内网信息***。本发明可实现信息***的非网络方式隔离,降低信息***主站易被入侵易受网络攻击等安全隐患。
Description
技术领域
本发明涉及一种密码装置,尤其是涉及一种采用非网络方式隔离数据的密码装置。本发明还涉及一种基于所述密码装置的非网络方式隔离数据的方法。
技术背景
近年来,网络安全问题日益突出,黑客入侵以及网络攻击现象日益增多,而随着计算机网络技术的不断普及,公众使用计算机的次数越来越多,特别是公用信息基础设施建设推动了政府、企业日益依赖各种信息***,一些涉及国计民生的业务、***受到了前所未有的安全挑战,如维基解密网站泄漏了大量政府的机密信息;花旗集团受黑客攻击导致36多万的客户账户信息被窃取;CSDN网站被攻击导致600余万用户资料被泄漏等。这些事故充分说明网络安全对国家、政府和企业的重要性。
国家、政府、企业的信息***涉及到国家的安全、企业机密及公民的切身利益,其数据的安全性、准确性必须得到充分的保障。为了加强信息***的安全保护,国家、政府、企业大量使用专网、局域网、VPN等技术进行防护,起到了良好的效果。
由于国家、政府、企业的信息***大多和互联网有数据交互,特别是现有的信息***大部分采用总部—分支(即主站—终端)的工作模式,在主站和终端之间的通信链路存在数据易窃听泄漏、终端用户易冒充、易受重放攻击等安全风险,给国家、政府、企业的信息***构成了极大的威胁,因此必须对使用网络的信息***进行安全保护。
信息***的主站和终端之间一般通过网络方式连接,主站和终端存在网络连接关系,为黑客的入侵提供了通道,为此本专利提出一种密码装置的非网络方式隔离数据处理方法,通过非网络方式隔离切断黑客网络入侵的通道,切实保护信息***的安全,本发明中的非网络方式隔离数据处理方法的实现载体为密码装置。
到目前为止(2011年12月29号),国家知识产权局(http://www.sipo.gov.cn/)的技术发明专利和实用新型专利中尚未检索到“非网络方式隔离数据处理方法”相关的发明专利。
发明内容
本发明所要解决的第一个技术问题,就是提供一种采用非网络方式隔离数据的密码装置。
本发明所要解决的第二个技术问题,就是提供一种基于上述的密码装置采用非网络方式隔离数据的处理方法。
通过所述的密码装置和非网络方式隔离数据的处理方法,本发明可实现信息***的非网络方式隔离,消除信息***易入侵,特别是易受网络攻击等安全隐患,切断黑客攻击的通道,防止黑客入侵导致的安全事故。
解决上述第一个技术问题,本发明采用的技术方案是:
一种采用非网络方式隔离数据的密码装置,其特征是:包括内网主机和外网主机,所述的内网主机和外网主机通过串口、并口或者其它自定义私有总线协议非网络方式连接,所述的内网主机和信息***内部的主机相连,并主要负责数据的加解密。
所述的密码装置除非网络方式隔离的功能以外,还具有加解密等功能。其采用非对称密码算法实现通信双方身份认证及会话密钥的协商;采用对称密码算法实现业务数据的加解密。从装置的安全性考虑,将在内网主机上实现数据的加解密功能,设备密钥、会话密钥不出现在外网主机,防止外网主机被劫持以后,密钥被窃取。
也即,在上述基础上,本发明还可以作如下的改进:
1)密码装置设有加解密模块并部署在内网主机;
2)密码装置设有的设备私钥保存在内网主机的非易失存储区,这样不会因为设备掉电而丢失;
3)密码装置会话密钥动态协商产生并保存在内网主机的易失存储区,会话密钥在通信结束、连接端口断开、设备断电情况下自动销毁;
4)外网主机根据会话密钥更新触发条件发起会话密钥更新请求,内网主机生成会话密钥,外网主机调用内网主机的密码运算服务对会话密钥进行安全性处理。
上述第二个技术问题的解决,本发明采用的技术方案是:
一种基于所述的装置采用非网络方式隔离数据的处理方法:
对进入信息***的数据采用以下步骤:
S1外网主机对数据进行网络层过滤;
S2外网主机对网络层过滤后的数据进行网络层(三层)剥离,去掉数据包的IP头等信息,提取出数据包的四层及以上的信息;
S3外网主机将剥离后的数据包的四层及以上的信息通过串口、并口或者自定义私有协议的非网络方式发送到内网主机;
S4内网主机对外网主机发送的数据包的四层及以上的信息进行数据源验证和审查,;
S5内网主机对接收到的数据包的四层及以上的信息进行解密;
S6内网主机根据解密结果判断数据包的四层及以上的信息的合法性
S7内网主机将解密后合法的数据发送给内网主机;
对出信息***的数据采用以下步骤:
S1内网主机对信息***需要发送的数据进行网络层加密;
S2内网主机将网络层加密的数据发送给外网主机;
S3外网主机将网络层加密的数据发送出去。
(对出信息***的数据亦可以不加密,采用内网主机发送至外网主机,外网主机发送至外网的处理方式)
有益效果:本发明通过所述的装置和非网络方式隔离数据的处理方法,可实现信息***的非网络方式隔离,消除信息***易入侵,特别是易受网络攻击等安全隐患,切断黑客攻击的通道,防止黑客入侵导致的安全事故。
本发明非网络方式隔离数据处理方法的装置可以用于电力***、电子政务***、金融***等使用主站-终端模式的信息***中,具有很强的实用性。
附图说明
下面结合附图和具体实施方式对本发明做进一步的详细说明。
图1为密码装置非网络方式隔离示意图;
图2为非网络方式隔离方法数据处理过程示意图。
具体实施方式
如图1所示,本发明的采用非网络方式隔离数据的密码装置,包括内网主机和外网主机,内网主机和外网主机通过串口、并口或者自定义私有总线协议等其它非网络方式连接,内网主机和信息***内部的主机相连,并负责数据的加解密。
装置的加解密模块部署在内网主机,私钥保存在内网主机的非易失存储区,这样不会因为设备掉电而丢失,会话密钥动态协商产生并保存在内网主机的易失存储区,会话密钥在通信结束、连接端口断开、设备断电情况下自动销毁,外网主机根据会话密钥更新触发条件发起会话密钥更新请求,内网主机生成会话密钥,外网主机调用内网主机的密码运算服务对会话密钥进行安全性处理。
参见图2,基于上述装置采用非网络方式隔离数据的处理方法:
对进入信息***的数据采用以下步骤:
S1外网主机对数据进行网络层过滤;
S2外网主机对网络层过滤后的数据进行网络层剥离,去掉数据包的IP头等信息,提取出数据包的四层及以上的信息;
S3外网主机将剥离后的数据包的四层及以上的信息通过串口、并口或者自定义私有协议的非网络方式发送到内网主机;
S4内网主机对外网主机发送的数据包的四层及以上的信息进行数据源验证和审查,;
S5内网主机对接收到的数据包的四层及以上的信息进行解密;
S6内网主机根据解密结果判断数据包的四层及以上的信息的合法性
S7内网主机将解密后合法的数据发送给信息***。
对出信息***的数据采用以下步骤:
S1内网主机对信息***需要发送的数据进行网络层加密;
S2内网主机将网络层加密的数据发送给外网主机;
S3外网主机将网络层加密的数据发送出去。
(对出信息***的数据亦可以不加密,采用内网主机发送至外网主机,外网主机发送至外网的处理方式)
本发明提出了一种信息***安全防护方法,有效地切断了网络攻击的通道。
内外网主机通过非网络方式相连,有效实现信息***的安全防护,其设计原则为:
1)内外网主机的连接方式可以是串口、并口或者自定义私有总线协议等其它非网络方式,但不能是网口;
2)内外网主机之间的非网络方式隔离设计应该能够有效地防止针对网络设备的网络攻击;
在装置中,非网络方式隔离需对密钥进行有效的保护,其设计原则是:
1)数据加解密功能需部署在内网主机;
2)会话密钥应位于内网主机,会话密钥不出现在外网主机。
Claims (1)
1.一种采用非网络方式隔离数据的处理方法,所述方法中用到的装置包括内网主机和外网主机,其特征在于:所述的内网主机和外网主机通过自定义私有总线协议的非网络方式连接,所述内网主机主要负责数据的加解密;且:
1)装置的加解密模块部署在内网主机;
2)装置的私钥保存在内网主机的非易失存储区;
3)会话密钥动态协商产生并保存在内网主机的易失存储区,会话密钥在通信结束、连接端口断开、设备断电情况下自动销毁;
4)外网主机根据会话密钥更新触发条件发起会话密钥更新请求,内网主机生成会话密钥,外网主机调用内网主机的密码运算服务对会话密钥进行安全性处理;
所述的方法对进入的数据采用以下步骤:
S1外网主机对数据进行网络层过滤;
S2外网主机对网络层过滤后的数据进行网络层剥离,提取出数据包的四层以上的信息;
S3外网主机将剥离后的数据包的四层及以上的信息通过自定义私有总线协议的非网络方式发送到内网主机;
S4内网主机对外网主机发送的数据包的四层及以上的信息进行数据源验证,确认信息的有效性;
S5内网主机对接收到的数据包的四层及以上的信息进行解密,并根据解密结果判断数据包的四层及以上的信息的合法性,再将解密后合法的数据发送给内网信息***;
对出口数据采用以下步骤:
S1内网主机对内网信息***需要发送的数据进行网络层加密;
S2内网主机将网络层加密的数据发送给外网主机;
S3外网主机将网络层加密的数据发送出去。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210320163.9A CN102882850B (zh) | 2012-09-03 | 2012-09-03 | 一种采用非网络方式隔离数据的密码装置及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210320163.9A CN102882850B (zh) | 2012-09-03 | 2012-09-03 | 一种采用非网络方式隔离数据的密码装置及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102882850A CN102882850A (zh) | 2013-01-16 |
| CN102882850B true CN102882850B (zh) | 2015-11-18 |
Family
ID=47483994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210320163.9A Active CN102882850B (zh) | 2012-09-03 | 2012-09-03 | 一种采用非网络方式隔离数据的密码装置及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102882850B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871902A (zh) * | 2016-05-25 | 2016-08-17 | 安徽问天量子科技股份有限公司 | 数据加密及隔离*** |
| CN106506540A (zh) * | 2016-12-15 | 2017-03-15 | 北京三未信安科技发展有限公司 | 一种抗攻击的内网数据传输方法及*** |
| CN106941494A (zh) * | 2017-03-30 | 2017-07-11 | 中国电力科学研究院 | 一种适用于用电信息采集***的安全隔离网关及其使用方法 |
| CN107070951A (zh) * | 2017-05-25 | 2017-08-18 | 北京北信源软件股份有限公司 | 一种内网安全防护***和方法 |
| CN108243181A (zh) * | 2017-10-09 | 2018-07-03 | 北京车和家信息技术有限公司 | 一种车联网终端、数据加密方法及车联网服务器 |
| CN111431905B (zh) * | 2020-03-26 | 2022-07-22 | 重庆新致金服信息技术有限公司 | 一种适用于信贷行业的智能网关*** |
| CN112671719A (zh) * | 2020-12-08 | 2021-04-16 | 山东鲁能软件技术有限公司 | 一种基于数据剥离的网络安全隔离方法、装置及其搭建方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1808971A (zh) * | 2006-02-09 | 2006-07-26 | 南京工业大学 | 基于单工通信原理实现计算机内、外网之间安全通信的方法及*** |
| CN200962604Y (zh) * | 2006-09-14 | 2007-10-17 | 北京科东电力控制***有限责任公司 | 电力专用纵向加密认证网关设备 |
| CN201307864Y (zh) * | 2008-12-04 | 2009-09-09 | 杭州恒生数字设备科技有限公司 | 一种基于1394接口的数据隔离转发*** |
| CN101986638A (zh) * | 2010-09-16 | 2011-03-16 | 珠海市鸿瑞软件技术有限公司 | 千兆单向型网络隔离装置 |
| CN102244649A (zh) * | 2010-05-12 | 2011-11-16 | 杭州华三通信技术有限公司 | 一种安全网络间传输数据的方法和资料处理机 |
| CN102316108A (zh) * | 2011-09-09 | 2012-01-11 | 周伯生 | 建立网络隔离通道的设备及其方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030079121A1 (en) * | 2001-10-19 | 2003-04-24 | Applied Materials, Inc. | Secure end-to-end communication over a public network from a computer inside a first private network to a server at a second private network |
-
2012
- 2012-09-03 CN CN201210320163.9A patent/CN102882850B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1808971A (zh) * | 2006-02-09 | 2006-07-26 | 南京工业大学 | 基于单工通信原理实现计算机内、外网之间安全通信的方法及*** |
| CN200962604Y (zh) * | 2006-09-14 | 2007-10-17 | 北京科东电力控制***有限责任公司 | 电力专用纵向加密认证网关设备 |
| CN201307864Y (zh) * | 2008-12-04 | 2009-09-09 | 杭州恒生数字设备科技有限公司 | 一种基于1394接口的数据隔离转发*** |
| CN102244649A (zh) * | 2010-05-12 | 2011-11-16 | 杭州华三通信技术有限公司 | 一种安全网络间传输数据的方法和资料处理机 |
| CN101986638A (zh) * | 2010-09-16 | 2011-03-16 | 珠海市鸿瑞软件技术有限公司 | 千兆单向型网络隔离装置 |
| CN102316108A (zh) * | 2011-09-09 | 2012-01-11 | 周伯生 | 建立网络隔离通道的设备及其方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102882850A (zh) | 2013-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102882850B (zh) | 一种采用非网络方式隔离数据的密码装置及其方法 | |
| CN101795271B (zh) | 网络安全打印***及打印方法 | |
| Iqbal et al. | Security issues in software defined networking (SDN): risks, challenges and potential solutions | |
| CN110943913A (zh) | 一种工业安全隔离网关 | |
| CN103441991A (zh) | 一种移动终端安全接入平台 | |
| CN102710638A (zh) | 一种采用非网络方式隔离数据的装置及其方法 | |
| Jha et al. | Security considerations for Internet of Things | |
| CN102882859B (zh) | 一种基于公网数据传输信息***的安全防护方法 | |
| CN107094137A (zh) | 一种vpn安全网关 | |
| Liew et al. | One-time knocking framework using SPA and IPsec | |
| CN102970276A (zh) | 基于隔离技术的电力专用移动终端安全工作的实现方法 | |
| Sawalmeh et al. | VPN remote access OSPF-based VPN security vulnerabilities and counter measurements | |
| Chu | Application of data encryption technology in computer network security | |
| CN115835194B (zh) | 一种nb-iot物联网终端安全接入***及接入方法 | |
| CN105721458A (zh) | 一种基于isg安全密码技术的工业以太网交换方法 | |
| Kim | Studies on Inspecting Encrypted Data: Trends and Challenges | |
| CN111917800B (zh) | 基于协议的外置授权***及授权方法 | |
| CN211930752U (zh) | 一种视频加密的监控*** | |
| Yina | Discussion on computer network security technology and firewall technology | |
| Maple et al. | Choosing the right wireless LAN security protocol for the home and business user | |
| Zhang et al. | Application strategy of data encryption technology in computer network security | |
| Singh et al. | A hybrid model for cyberspace security | |
| Bartman et al. | Securing critical industrial systems with SEL solutions | |
| CN117424742B (zh) | 一种无感知传输层安全协议会话密钥还原方法 | |
| CN109787947A (zh) | 公有云的云安全加密***及方法及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent for invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Chen Jiongcong Inventor after: Xu Zhanqiang Inventor after: Zeng Qiang Inventor after: Yu Zhiwen Inventor after: Deng Dawei Inventor after: Liang Zhiqiang Inventor after: Hu Chaohui Inventor after: Jiang Zexin Inventor after: Liang Zhihong Inventor before: Su Yang Inventor before: Hu Chaohui Inventor before: Xu Zhanqiang Inventor before: Deng Dawei Inventor before: Liang Zhiqiang Inventor before: Jiang Zexin Inventor before: Liang Zhihong Inventor before: Zhou Qiangfeng |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: SU YANG HU CHAOHUI XU ZHANQIANG DENG DAWEI LIANG ZHIQIANG JIANG ZEXIN LIANG ZHIHONG ZHOU QIANGFENG TO: CHEN JIONGCONG XU ZHANQIANG CENG QIANG YU ZHIWEN DENG DAWEI LIANG ZHIQIANG HU CHAOHUI JIANG ZEXIN LIANG ZHIHONG |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: 510080 Dongfeng East Road, Dongfeng, Guangdong, Guangzhou, Zhejiang Province, No. 8 Patentee after: ELECTRIC POWER RESEARCH INSTITUTE, GUANGDONG POWER GRID CO., LTD. Patentee after: Guangdong Center of Electric Dispatching and Transforming Address before: 510080 Dongfeng East Road, Guangdong, Guangzhou, water, Kong Kong, No. 8 Patentee before: Electrical Power Research Institute of Guangdong Power Grid Corporation Patentee before: Guangdong Center of Electric Dispatching and Transforming |