數據加密及隔離系統的制作方法
本實用新型提供一種量子加密與數據隔離方案,尤其是涉及一種數據加密及隔離系統。
背景技術:
隨著集團信息化的發展,集團內部單位都設有信息系統,這些信息系統運行在生產和辦公的內部網絡上,集團所有的重要數據都存儲在內部網系統中。隨著互聯網絡的迅猛發展,集團內部業務正不斷向外延伸,數據交互日益頻繁。然而內部網系統中的一些重要數據不能隨意在互聯網上傳輸,需要特殊保護。為保證其內部系統的信息安全性,必須控制好這些數據信息,對其采取嚴格的控制措施,一種方法是參考國家涉密計算機管理規定將內部網與外部網進行物理隔離,進而保障數據的安全。
內部與外部網絡做隔離處理后,一些信息的傳遞就會受到影響。外部網上數據要進入內網必須手工導入,內部網上的數據要在單位之間傳遞需要人工派送。隨著業務應用的發展,有些數據需要實時傳送,純手工操作無法適用新的應用需求,因此需要把各個地方單位外部網絡連接起來,通過網絡傳遞。按照軍工保密的要求,必須在內部和外部網之間采取相應的技術手段和管理措施,防范內部網的涉密文件泄漏到外部網絡中。然而如何既能按照國家有關規定將內外網絡隔離,又能實現內外網絡的信息系統數據安全交換,使現有的資源得到最大利用。
技術實現要素:
本實用新型的目的是針對上述現有技術的不足,提供一種數據加密及隔離系統,本集團網絡的量子數據加密及隔離系統與方法采用量子數據加密+數據中轉器安全交換的解決方案來保障內部網之間的信息傳遞和內外部網之間安全數據交換,杜絕泄密事件的發生。
為實現上述技術目的,本實用新型采取的技術方案是:數據加密及隔離系統,包括由內網計算機組成的內網和由外網計算機組成的外網;其特征在于:
內網和外網之間通過物理隔離模塊或者邏輯隔離模塊連接;
所述物理隔離模塊或者邏輯隔離模塊用于將內網的數據進行加密并導出到外網;
所述物理隔離模塊或者邏輯隔離模塊還用于將外網的非加密數據進行單向導入內網;
所述物理隔離模塊或者邏輯隔離模塊還用于將外網的加密數據進行解密后導入內網。
進一步的,所述內網為一個內網計算機或者所述內網由至少兩個內網計算機組成。
進一步的,所述內網計算機之間直接共享和交換信息或者所述內網計算機之間通過加密和解密的方式交換和共享信息。
進一步的,所述物理隔離模塊為連接在內網計算機和外網計算機之間的數據中轉器;所述數據中轉器包括互斥開關、加解密模塊和存儲介質。所述互斥開關是單刀雙擲開關,同一時刻只能一邊聯通,另一邊物理斷開。
進一步的,所述邏輯隔離模塊為兩個分別設在外網計算機和內網計算機上的隔離代理模塊。外網計算機上的隔離代理將原始數據以文件形式從外網導入到內網,內網計算機上的隔離代理將內網數據以文件形式加密后導出到外網,導入導出過程隔離代理之間采用私有命令協議嚴格控制數據進出。
進一步的,所述物理隔離模塊或者邏輯隔離模塊采用傳統密碼方式或者量子密碼將內網的數據進行加密并導出給外網;所述物理隔離模塊或者邏輯隔離模塊采用傳統密碼或者量子密碼將外網的加密數據進行解密后導入內網。
進一步的,還包括量子密鑰分發設備QKD;所述量子密鑰分發設備QKD用于分發量子密鑰給物理隔離模塊或者邏輯隔離模塊。
進一步的,通過人工預分配的方式將量子密鑰分配給物理隔離模塊或者邏輯隔離模塊。
進一步的,外網計算機和內網計算機之間采用數據線相互連接,數據線是串口數據線或者USB數據線。
進一步的,密鑰采用的數據加密算法為AES或者DES或者SM1或者SM4或者流加密算法。
內網計算機與外網計算機通過數據中轉器相連;數據中轉器用于提供數據的單向導入與加密導出,任何導出的數據都需要加密,且數據導入導出過程中內網和外網是物理隔離的;同一單位的內網計算機之間信息可以在內部局域網上共享和交換;數據中轉器用于對不同單位之間的數據進行加密和解密;所述加密是指本單位的內網計算機用于將數據發送到本單位的數據中轉器中,本單位的數據中轉器使用量子密鑰對數據加密,然后再擺渡到本單位的外網計算機上,本單位的外網計算機將加密的數據發送給對端單位的外網計算機;所述解密是指當加密的數據到達對端單位時,對端單位的外網計算機將加密的數據發送給對端單位的數據中轉器,在對端單位的數據中轉器將加密的數據被擺渡到對端單位的內網計算機之前,數據中轉器使用量子密鑰對加密的數據進行解密。此過程數據采用量子密鑰進行加密,以保障數據在傳輸過程的安全。如果導入的數據是外網的非加密數據則直接通過數據中轉器單向導入到內網計算機,不需要進行解密。通過數據中轉器實現數據的單向導入與加密導出,任何導出的數據都需要加密,且數據導入導出過程中內網和外網是物理隔離的。
本實用新型通過數據中轉器將內網計算機和外網計算機相連;同一單位的內網計算機之間信息可以在內部局域網上共享和交換;不同單位之間的數據在數據中轉器上進行加密和解密;所述加密包括以下步驟:將本單位的內網計算機上數據發送到本單位的數據中轉器中,通過數據中轉器使用量子密鑰對數據加密,然后擺渡到本單位的外網計算機上,再發送到對端單位的外網計算機上;對端單位的外網計算機將加密的數據發送到對端單位的數據中轉器,在對端單位的數據中轉器將加密的數據擺渡到對端單位的內網計算機之前,對端單位的數據中轉器使用量子密鑰對加密的數據進行解密。此過程數據采用量子密鑰進行加密,以保障數據在傳輸過程的安全。如果導入的數據是外網的非加密數據則直接通過數據中轉器單向導入到內網計算機,不需要進行解密。通過數據中轉器實現數據的單向導入與加密導出,任何導出的數據都需要加密,且數據導入導出過程中內網和外網是物理隔離的。
本實用新型加密方案的密鑰可以是任何方式的密碼,優選量子密鑰;密鑰分發設備與數據加密模塊連接;數據加密模塊一種方案是放在數據中轉器上如圖2,另一種方案是放在內網計算機上如圖3;圖1是物理隔離方案,圖4是邏輯隔離方案;邏輯隔離方案中,兩臺計算機采用數據線相互連接,數據線可以是串口數據線、USB數據線或其它方式的數據線。邏輯隔離方案中,內外網計算機中分別安裝隔離代理模塊,內網計算機上的隔離代理模塊負責數據導入和加密導出,任何導出的數據都需要加密,如果導入的數據是外網的非加密數據則直接通過隔離代理單向導入到內網計算機,不需要進行解密。外網計算機上的隔離代理負責接收內網計算機導出的數據和向內網計算機導入數據。邏輯隔離方案實現簡單方便,只需要在內網計算機上安裝隔離代理即可。由于所有內網計算機的數據外發都進行了加密,攻擊者無法得到明文,保障了數據傳輸的安全。數據加密算法可以采用AES,DES或者SM1或者SM4或者流加密或者其他的加密算法。所述外網計算機優選選用瘦計算機,所述瘦計算機是一臺裁剪去了普通計算機上不需要的硬件單元并只提供日常網絡辦公用的必須軟件的定制計算機。系統精簡,價格也只是普通電腦的十分之一,且安全穩定。
如圖1所示,集團包含兩個單位,每個單位內部建有兩個網絡,一個內網,一個外部網,內部網與外部網物理隔離。同一單位的內網計算機之間信息可以在內部局域網上共享和交換。不同單位之間的數據在數據中轉器上進行加解密,內網計算機上數據發送到數據中轉器中使用量子密鑰加密,然后再“擺渡”到外網計算機上,當數據到達對端單位時,加密的數據被擺渡到內網計算機之前使用量子密鑰進行解密。此過程數據采用量子密鑰進行加密,以保障數據在傳輸過程的安全。如果導入的數據是外網的非加密數據則直接通過數據中轉器單向導入到內網計算機,不需要進行解密。
每個工作人員除了使用一臺內網計算機外還配置一臺外網計算機。內網計算機與外網計算機通過數據中轉器相連。數據中轉器只提供數據的單向導入與加密導出,任何導出的數據都需要加密,且數據導入導出過程內外部網絡是物理隔離的。
單位之間通過量子通道完成量子密鑰的分發,然后數據中轉器可以從量子密鑰分發設備獲取量子密鑰,對用戶之間需要傳輸的數據用量子密鑰進行加解密,內網計算機上數據發送到數據中轉器中使用量子密鑰加密,然后再“擺渡”到外網計算機上,當數據到達對端單位時,加密的數據被擺渡到內網計算機之前在中轉器中使用量子密鑰進行解密。此過程數據采用量子密鑰進行加密,以保障數據在傳輸過程的安全。如果導入的數據是外網的非加密數據則直接通過數據中轉器單向導入到內網計算機,不需要進行解密。
集團內部的單位之間組建一個量子密鑰通信網絡,量子密鑰實現實時分發。
用于物理隔離的數據中轉器是使用帶有多種控制功能的和讀寫開關的固態存儲介質連接兩個獨立計算機的信息安全設備。由于數據中轉器所連接的兩個獨立計算機之間,不存在通信的物理連接、邏輯連接、信息傳輸命令和信息傳輸協議,不存在依據協議的信息包轉發,只有數據文件的無協議“擺渡”,且對固態存儲介質只有“讀”和“寫”兩個命令。所以,物理隔離數據中轉器從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現了真正的安全,即使內網計算機存在木馬和病毒,由于所有導出的數據都是加密的,外網攻擊者也無法得到明文數據。
如圖2所示,外網數據通過存儲介質,以“擺渡”的方式單向導入到內部計算機。內部數據如果需要外發,則通過數據中轉器加密后以“擺渡”的方式單向導出到外部計算機。
本實用新型單向開關進,全數據加密出(即數據輸入是自由的,而數據輸出需要加密);內網可以是網也可以是單機;加密:可以是傳統密碼,也可以是量子密碼;密鑰可以用QKD分配,也可以用人工預分配;密鑰可以分配給任意節點;可以實現對每個節點的信息控制。
本實用新型綜合人工導入密鑰的應用和經典密鑰的分配模式(包括公鑰密碼技術和分組密碼方式)。
總之,本實用新型采用量子數據加密+數據中轉器安全交換的解決方案來保障內部網之間的安全通信和內外部網之間安全數據交換,杜絕泄密事件的發生。
附圖說明
圖1 本實用新型的結構示意圖;
圖2本實用新型的數據加密模塊在數據中轉器中的結構示意圖;
圖3本實用新型的數據加密模塊在內網計算機中的結構示意圖;
圖4本實用新型的邏輯隔離結構示意圖。
具體實施方式
實施例1
參見圖1、圖2和圖3,本數據加密及隔離系統,包括由內網計算機組成的內網和由外網計算機組成的外網;內網和外網之間通過物理隔離模塊連接;所述物理隔離模塊用于將內網的數據進行加密并導出到外網;所述物理隔離模塊還用于將外網的非加密數據進行單向導入內網;所述物理隔離模塊還用于將外網的加密數據進行解密后導入內網。所述內網為一個內網計算機或者所述內網由至少兩個內網計算機組成。所述內網計算機之間直接共享和交換信息或者所述內網計算機之間通過加密和解密的方式交換和共享信息。所述物理隔離模塊為連接在內網計算機和外網計算機之間的數據中轉器;所述數據中轉器包括互斥開關、加解密模塊和存儲介質。所述物理隔離模塊采用傳統密碼方式或者量子密碼將內網的數據進行加密并導出給外網;所述物理隔離模塊采用傳統密碼或者量子密碼將外網的加密數據進行解密后導入內網。還包括密鑰分發設備;所述密鑰分發設備用于分發密鑰給物理隔離模塊。密鑰分發設備可以是量子密鑰分發設備或者是公鑰分發體系設備,還可以通過人工預分配的方式將密鑰分配給物理隔離模塊。外網計算機和內網計算機之間采用數據線相互連接,數據線是串口數據線或者USB數據線。密鑰采用的數據加密算法為AES或者DES或者SM1或者SM4或者流加密算法。所述互斥開關是單刀雙擲開關,同一時刻只能一邊聯通,另一邊物理斷開,使存儲介質與外網計算機連接或者與內網計算機連接,存儲介質用于暫存數據,加解密模塊與互斥開關連接,加解密模塊用于對數據進行加密或者解密,加解密模塊設置在數據中轉器內,分別與內網計算機和密鑰分發設備連接如圖2所示;或者加解密模塊設置在內網計算機內,加解密模塊通過內網計算機與密鑰分發設備連接,同時加解密模塊通過內網計算機與互斥開關連接如圖3所示。
實施例2
參見圖4,本數據加密及隔離系統,包括由內網計算機組成的內網和由外網計算機組成的外網;內網和外網之間通過邏輯隔離模塊連接; 所述邏輯隔離模塊用于將內網的數據進行加密并導出到外網;所述邏輯隔離模塊還用于將外網的非加密數據進行單向導入內網;所述邏輯隔離模塊還用于將外網的加密數據進行解密后導入內網。所述內網為一個內網計算機或者所述內網由至少兩個內網計算機組成。所述內網計算機之間直接共享和交換信息或者所述內網計算機之間通過加密和解密的方式交換和共享信息。所述邏輯隔離模塊為兩個分別設在外網計算機和內網計算機上的隔離代理模塊;外網計算機上的隔離代理將原始數據以文件形式從外網導入到內網,內網計算機上的隔離代理將內網數據以文件形式加密導出到外網,導入和導出過程中,隔離代模塊之間采用私有命令協議嚴格控制數據進出。所述邏輯隔離模塊采用傳統密碼方式或者量子密碼將內網的數據進行加密并導出給外網;所述邏輯隔離模塊采用傳統密碼或者量子密碼將外網的加密數據進行解密后導入內網。還包括密鑰分發設備;所述密鑰分發設備用于分發密鑰給邏輯隔離模塊。密鑰分發設備可以是量子密鑰分發設備或者是公鑰分發體系設備,還可以通過人工預分配的方式將密鑰分配給邏輯隔離模塊。外網計算機和內網計算機之間采用數據線相互連接,數據線是串口數據線或者USB數據線。密鑰采用的數據加密算法為AES或者DES或者SM1或者SM4或者流加密算法。
- 還沒有人留言評論。精彩留言會獲得點贊!