[发明专利]单向导入装置、方法、介质、设备

说明书

本发明属于单向导入技术领域，公开了一种单向导入装置、方法、介质、设备，外网客户端到外网主机申请加密公钥；外网客户端发送数据到外网主机时，随机生成16字节的加密密钥SK，使用SK对待发送数据进行加密；使用公钥对SK进行加密，将加密后的SK和加密后的加密数据共同发送至外网主机；外网主机收到加密数据后，使用私钥对SK解密；使用解密后的SK对数据内容进行解密，将解密后的数据内容通过单向隔离卡发送到内网主机；内网主机接收来自外网主机的数据后和内网服务器建立安全连接，通过安全连接将数据发送到内网服务器。本发明解决了单向导入设备外网的安全隐患，保证了单向导入装置外网数据交换的安全性。

技术领域

本发明属于单向导入技术领域，尤其涉及一种单向导入装置、方法、介质、设备。

背景技术

目前，当前市场主要的单向导入装置为单向数据隔离网闸，单向隔离网闸采用2+1架构，主要包括外网主机、内网主机、单向隔离卡，单向隔离网闸数据一般由外网导入内网，单向隔离卡的物理特性能保证内网数据不会被非法窃取，但外网机直接部署在公网，外网客户端也是通过公网连接到外网主机，外网客户端和外网主机之间的数据交换很容易被窃取或被篡改，另外对客户端身份也缺乏有效的认证机制，也会导致非法的终端设备非法接入。

通过上述分析，现有技术存在的问题及缺陷为：现有单向导入装置中，外网主机一般部署在公网，外网客户端和外网主机之间的数据交换存在如下安全问题：

外网客户端和外网主机之间的数据传输采用明文方式，数据很容易被窃取或篡改。使得目前外网端存在很大的安全风险。

外网主机对外网客户端缺乏安全认证机制，不能有效防御非法客户端的接入。使得目前外网端存在很大的安全风险。

发明内容

针对现有技术存在的问题，本发明提供了一种单向导入装置、方法、介质、设备，尤其涉及一种基于国密算法的单向导入装置、方法、介质、设备。为此，本发明提供如下技术方案：

本发明是这样实现的，一种单向导入方法，所述单向导入方法包括：

外网客户端到外网主机申请加密公钥；

外网客户端发送数据到外网主机时，随机生成16字节的加密密钥SK，使用SK对待发送的数据进行加密；使用公钥对SK进行加密，将加密后的SK和加密后的加密数据共同发送至外网主机；

外网主机收到加密数据后，使用私钥对SK解密；使用解密后的SK对数据内容进行解密，将解密后的数据内容通过单向隔离卡发送到内网主机；

内网主机接收来自外网主机的数据后和内网服务器建立安全连接，并通过安全连接将数据发送到内网服务器。

进一步，所述单向导入方法还包括：

外网客户端向外网主机申请加密公钥，输入参数为KeyID，并将对应的私钥保存在外网主机专用加密卡内；外网客户端每次发送数据前生成临时的加密密钥SK；使用SK对发送的数据加密，加密算法使用SM4；使用对应KeyID申请的公钥对SK加密；通过JSON格式构造发送的数据内容，并发给外网主机；

外网主机收到加密数据后进行BASE64解码，根据KeyID找到对应私钥；使用私钥解密SK，并使用SK解密加密数据得到明文数据；构造私有单向传输协议发送明文数据到内网主机；内网主机收到数据后，和内网服务器建立数据连接，并发送数据到内网服务器。

进一步，所述单向导入方法包括数字信封技术、公私钥加密技术以及基于国密芯片的硬件加密算法；所述外网主机集成公私钥签发模块，用于为外网客户端提供加密密钥；数字信封使用公钥SM2算法加密，使用私钥SM2算法解密；数据内容加密解密采用SM4算法。

进一步，所述单向导入方法包括以下步骤：

步骤一，客户端请求公钥；