[发明专利]一种数据安全交换方法、装置、节点及系统

说明书

技术领域

本发明属于计算机安全技术领域，尤其涉及一种数据安全交换方法、装置、节点及系统。

背景技术

自1999年开始，互联网在我国开始普及，目前我国的信息化建设获得了巨大的发展。随着互联网的不断发展，互联网的互联互通和信息共享已越来越广泛，为大众带来了极大的便利。但是，某些网站，如政府、军队部门和企事业单位的网站等，出于安全性的考虑，通常设置为内网，其中虽然积累了大量的信息，但是由于内外网的限制，无法实现信息共享，该种网站中独立、分散的数据会形成一个个“信息孤岛”、“数据孤岛”，严重影响了其信息化建设的进一步发展，也为信息化工作的开展带来了不便。因此，如何解除内外网的隔离，安全的实现各个信息系统间数据同步、信息资源的交换和共享，消除信息孤岛，是我国互联网系统中亟待解决的一个重要问题。

现有技术中，实现隔离环境下的数据交换方法主要有以下四种：

一、将需要交换的数据刻录成光盘，然后直接把光盘接入内网或外网计算机拷贝信息，完成信息交换。这种方法必须将信息全部刻录成光盘，不够方便，同时因为数据会保留在光盘中，所以完整数据交换之后，需要销毁光盘来保证信息的安全，操作不便，因此，出现了第二种方法以实现数据的安全交换。

二、通过移动储存介质，如USB闪存驱动器（U盘，USB flash disk）在内、外网主机上直接拷贝信息。这种方法比较方便，但容易造成病毒或者木马在内、外网主机上直接窃取信息。并且，如果内网一台计算机感染了木马，很可能使得内网的所有计算机也感染相应的木马，这样内网所有的敏感信息都面临着泄漏的风险。

三、使用专门的计算机作为数据交换节点，分别使用内网的U盘和外网的U盘来连接所述交换节点计算机，而这样依然避免不了摆渡木马等病毒的攻击，安全性差。

四、鉴于第二种和第三种方法的安全性差，因此现在又出现了一种依靠移动存储安全交换中间机进行数据安全交换的方法，移动存储安全交换中间机，是专门的移动储存介质数据交换设备，将内、外网的计算机连接，从物理上隔离内部网络和外部网络的直接数据交换。该方法使用了专用的交换设备，在一定程度上提高了交换效率，但是，使用该种方法，每两台相连接的内、外网计算机都需要配置一台移动存储中间机，代价大、成本高，不适合全面的推广。

鉴于此，如何安全实现数据交换，成为亟待解决的问题。

发明内容

有鉴于此，本发明的目的在于提供一种数据安全交换方法、装置、节点及系统，以解决现有技术在进行数据交换时所存在的安全性低、成本高、效率低，不适合全面推广的问题。

本发明公开了一种数据安全交换方法，包括：

根据接收到的配置信息生成相应的配置文件，所述配置文件至少包括：当前需要交换数据的发送从节点和接收从节点组成的交换对象、交换任务、交换目录和安全策略配置文件，所述发送从节点和接收从节点为从预先经过审核后存储在主节点内的从节点集合中选取的从节点，所述交换目录包括发送目录和接收目录，并将所述配置文件传输至当前需要交换数据的发送从节点和接收从节点；

根据从初始化后的所述发送从节点和接收从节点中获取的完整性验证信息，对所述发送从节点和接收从节点进行完整性验证，以便通过完整性验证的发送从节点和接收从节点对自身进行安全性验证，并在安全性验证结束后，产生证明请求信息；

接收到所述发送从节点和接收从节点传输的所述证明请求信息后，对所述发送从节点和接收从节点进行安全性验证；

通过所述安全性验证后，分别与所述发送从节点和接收从节点建立专用安全交换进程，以通过所述专用安全交换进程提取所述发送从节点中，根据所述安全策略配置文件提供的待过滤敏感词和密码进行过滤、加密处理后的待交换数据；

从所述发送从节点中提取所述过滤、加密后的待交换数据，对所述待交换数据进行验证，并通过所述专用安全交换进程将所述验证后的待交换数据推送至所述接收从节点。

优选的，所述主节点从所述初始化的发送从节点和接收从节点中获取的完整性验证信息包括与所述从节点相连接的安全交换卡传输的专用安全交换进程的身份证书CAn、专用安全交换进程的完整性标识Sla和专用安全交换进程的动态标识Dla。

优选的，对所述发送从节点和接收从节点进行安全性验证的方法具体包括：

在接收到所述证明请求信息后，产生服务器标识和一个随机数，并将所述服务器标识和随机数传输至所述发送和接收从节点，以便所述发送从节点和接收从节点调用所述安全交换卡中的专用安全交换进程身份证书CAn的私钥对所述服务器标识、随机数和动态标识Dla进行签名；