[发明专利]一种采用非网络方式隔离数据的装置及其方法

说明书

技术领域

本发明涉及一种密码装置，尤其是涉及一种采用非网络方式隔离数据的密码装置。本发明还涉及一种基于所述密码装置的非网络方式隔离数据的方法。

背景技术

近年来，网络安全问题日益突出，黑客入侵以及网络攻击现象日益增多，而随着计算机网络技术的不断普及，公众使用计算机的次数越来越多，特别是公用信息基础设施建设推动了政府、企业日益依赖各种信息系统，一些涉及国计民生的业务、系统受到了前所未有的安全挑战，如维基解密网站泄漏了大量政府的机密信息；花旗集团受黑客攻击导致36多万的客户账户信息被窃取；CSDN网站被攻击导致600余万用户资料被泄漏等。这些事故充分说明网络安全对国家、政府和企业的重要性。

国家、政府、企业的信息系统涉及到国家的安全、企业机密及公民的切身利益，其数据的安全性、准确性必须得到充分的保障。为了加强信息系统的安全保护，国家、政府、企业大量使用专网、局域网、VPN等技术进行防护，起到了良好的效果。

由于国家、政府、企业的信息系统大多和互联网有数据交互，特别是现有的信息系统大部分采用总部—分支（即主站—终端）的工作模式，在主站和终端之间的通信链路存在数据易窃听泄漏、终端用户易冒充、易受重放攻击等安全风险，给国家、政府、企业的信息系统构成了极大的威胁，因此必须对使用网络的信息系统进行安全保护。

信息系统的主站和终端之间一般通过网络方式连接，主站和终端存在网络连接关系，为黑客的入侵提供了通道，为此本专利提出一种密码装置的非网络方式隔离数据处理方法，通过非网络方式隔离切断黑客网络入侵的通道，切实保护信息系统的安全，本发明中的非网络方式隔离数据处理方法的实现载体为密码装置。

到目前为止（2011年12月29号），国家知识产权局（http://www.sipo.gov.cn/）的技术发明专利和实用新型专利中尚未检索到“非网络方式隔离数据处理方法”相关的发明专利。

发明内容

本发明所要解决的第一个技术问题，就是提供一种采用非网络方式隔离数据的密码装置。

本发明所要解决的第二个技术问题，就是提供一种基于所述的密码装置采用非网络方式隔离数据的处理方法。

通过所述的密码装置和非网络方式隔离数据的处理方法，本发明可实现信息系统的非网络方式隔离，消除信息系统易入侵，特别是易受网络攻击等安全隐患，切断黑客攻击的通道，防止黑客入侵导致的安全事故。

解决上述第一个技术问题，本发明采用的技术方案是：

一种采用非网络方式隔离数据的装置，其特征是：包括内网主机和外网主机，所述的内网主机和外网主机通过串口、并口或者自定义私有总线协议等其它非网络方式连接，所述的内网主机和内网信息系统内部的服务器和/或应用系统直接相连，是内网信息系统发送数据的第一道出口；所述的外网主机和互联网相连，是内网信息系统接收数据的第一道入口。

所述的装置除非网络方式隔离的功能以外，还具有加解密等功能。其采用非对称密码算法实现通信双方身份认证及会话密钥的协商；采用对称密码算法实现业务数据的加解密。从装置的安全性考虑，将在内网主机上实现数据的加解密功能，设备的密钥不出现在外网主机，防止外网主机被劫持以后，密钥被窃取。

也即，在上述基础上，本发明还可以作如下的改进：

1）  装置的加解密模块部署在内网主机；

2）  装置的私钥保存在内网主机的非易失存储区，这样不会因为设备掉电而丢失；

3）  会话密钥动态协商产生并保存在内网主机的易失存储区，会话密钥在通信结束、连接端口断开、设备断电情况下自动销毁；

4）  外网主机根据会话密钥更新触发条件发起会话密钥更新请求，内网主机生成会话密钥，外网主机调用内网主机的密码运算服务对会话密钥进行安全性处理；

上述第二个技术问题的解决，本发明采用的技术方案是：

一种基于所述的装置采用非网络方式隔离数据的处理方法，对进入信息系统的数据采用以下步骤：

S1  外网主机对数据进行网络层过滤；

S2  外网主机对网络层过滤后的数据进行数据和协议剥离，提取出有效的应用层数据信息及网络信息；

S3  外网主机将提取的应用层数据信息及网络信息通过串口、并口或者自定义私有协议的非网络方式发送到内网主机；

S4  内网主机对外网主机发送的应用层数据信息及网络信息进行数据源验证，确认应用层数据信息及网络信息的有效性；