基于网络安全隔离技术的网络通信数据组合加密传输方法与流程

本发明涉及用于网路通信数据加密传输的方法领域，尤其涉及一种基于网络安全隔离技术的网络通信数据组合加密传输方法。

背景技术：

网络通信数据加密传输技术是可信网络通信数据传输的基石，网络通信数据加密传输所使用的秘钥是可信网络通信数据传输过程中安全防护的核心，高复杂度秘钥配合足强度的加密算法，如采用128位以上秘钥同时使用aes高级加密算法或rsa加密算法，可确保在有效的时间内加密传输的网络通信数据不被破解，但是通常情况下网络通信双方或网络通信双方所处的网络均与外部网络有连接，若网络通信设备本身或所处网络因存在漏洞等原因遭受来自外部网络的恶意攻击，任何一方秘钥的失窃或通信设备被攻击者完全控制，干扰攻击数据加解密过程，都将造成网络通信数据加密传输的不可信。

目前本技术领域尚未提出有效的技术方案来隔离网络通信双方或网络通信双方所处网络来自外部网络的恶意攻击，为网络通信数据加密传输使用的秘钥及加解密过程构建安全可信的局部网络。

网络安全隔离技术是指两个或两个以上的计算机或网络在断开连接的基础上实现信息交换和资源共享，其目标是确保隔离有害的攻击在可信网络之外和保证可信网络内部信息不外泄的前提下完成网间数据的安全交换。网络隔离技术的核心是物理隔离，通过专用硬件和安全协议来确保两个链路层断开的网络能够实现数据信息在可信网络环境中进行交互、共享。网络安全隔离技术按照其使用的隔离技术分为单板安全隔离计算机、网络安全隔离卡、网络安全集线器、网闸、光闸五大类，其中以安全岛技术为核心理念的网闸和无反馈单向传输为核心理念的光闸等安全网络安全隔离装置在政府和金融行业应用较为广泛，多部署在政府、金融机构内网与互联网等外部网络的连接处，以保护内部网络不受非法入侵。

目前本技术领域网络隔离装置如光闸、网闸等多用于构建内部可信网络并与外部网络进行数据交换，其高度的安全性尚未应用于网络通信数据加密传输领域，为通信双方构建安全可信的局部网络。

技术实现要素：

针对以上问题，本发明提供一种基于网络安全隔离技术的网络通信数据组合加密传输方法，该网络通信数据组合加密传输方法将网络安全隔离技术应用于网络通信数据加密传输领域，将通信双方和通信双方所处网络与外部网络隔离并建立局部安全可信网络，解决了通信数据加密传输过程中秘钥存储及加解密过程所处网的络环境因来自外部网络的恶意攻击等造成的不可信的问题。

为实现上述发明目的，本发明采用如下技术方案：

基于网络安全隔离技术的网络通信数据组合加密传输方法，该网络通信数据组合加密传输方法使用到网络安全隔离装置、网络通信设备，其特征是：

第一网络安全隔离装置分别连接第一网络和外部网络、第二网络安全隔离装置分别连接第二网络和外部网络、…、第n网络安全隔离装置分别连接第n网络和外部网络，n为大于等于2的自然正整数，第一网络包含有第一网络通信设备及第一秘钥组，第二网络包含有第二网络通信设备及第二秘钥组，同理第n网络包含有第n网络通信设备及第n秘钥组；

上述第一网络安全隔离装置、第二网络安全隔离装置、…、第n网络安全隔离装置或是光闸，或是基于安全岛技术的网闸或其它非基于互斥开关技术的安全隔离装置；

上述外部网络以及第一网络、第二网络、…、第n网络或是基于tcp/ip协议的通信网络，或是其它基于一种或数种数字通信协议的通信网络；

上述第一网络、第二网络、…、第n网络除包含有网络通信设备外，还包含有其它一个或数个网络设备，或是不包含所述网络设备；

上述秘钥组均有一个或数个秘钥构成，所述秘钥优选为128位以上；

第一网络通信设备传输的通信数据在第一网络中使用第一秘钥组完成加密并传输至第一网络安全隔离装置，然后第一网络安全隔离装置将使用第一秘钥组加密的通信数据交换至外部网络，之后使用第一秘钥组加密的通信数据经外部网络传输至第二网络安全隔离装置，第二网络安全隔离装置将使用第一秘钥组加密的通信数据交换至第二网络，最后使用第一秘钥组加密的通信数据在第二网络中使用第二秘钥组完成解密后传输至第二通信设备，完成第一通信设备到第二通信设备之间的通信数据加密传输；

第一网络通信设备传输的通信数据在第一网络中使用第一秘钥组完成加密并传输至第一网络安全隔离装置，然后第一网络安全隔离装置将使用第一秘钥组加密的通信数据交换至外部网络，之后使用第一秘钥组加密的通信数据经外部网络传输至第n网络安全隔离装置，第n网络安全隔离装置将使用第一秘钥组加密的通信数据交换至第n网络，最后使用第一秘钥组加密的通信数据在第n网络中使用第n秘钥组完成解密后传输至第n通信设备，完成第一通信设备到第n通信设备之间的通信数据加密传输；

依据上述方式并以此类推，任一网络通信设备第m网络通信设备，m为小于等于n自然正整数，与另一网络通信设备第n网络通信设备，n为小于等于n且不等于m的自然正整数，进行通信数据加密传输时，第m网络通信设备传输的通信数据在第m网络中使用第m秘钥组完成加密并传输至第m网络安全隔离装置，然后第m网络安全隔离装置将使用第m秘钥组加密的通信数据交换至外部网络，之后使用第m秘钥组加密的通信数据经外部网络传输至第n网络安全隔离装置，第n网络安全隔离装置将使用第m秘钥组加密的通信数据交换至第n网络，最后使用第m秘钥组加密的通信数据在第n网络中使用第n秘钥组完成解密后传输至第n通信设备，完成第m通信设备到第n通信设备之间的通信数据加密传输；

上述网络通信数据加密传输过程中通信数据加解密或采用aes高级加密算法，或采用rsa加密算法，或采用其它加密算法。

上述第一网络包括第一网络安全隔离装置中与外部网络隔离的模块或设备，第二网络包括第二网络安全隔离装置中与外部网络隔离的模块或设备，同理第n网络包括第n网络安全隔离装置中与外部网络隔离的模块或设备。

由于采用如上所述技术方案，本发明产生如下积极效果：

1、本发明使用网络安全隔离装置将网络通信双方和网络通信双方所处的网络与外部网络隔离，隔离来自外部网络的恶意攻击并建立局部安全可信网络，即使通信双方或通信双方所处网络存在漏洞，恶意攻击仍无法触及通信数据加解密过程及秘钥组，同时采用高复杂度的aes高级加密算法或rsa加密算法及128位以上的秘钥可保证通信数据加密在有效的时间内不被破解，确保网路通信数据加密传输的可信。

2、本发明使用网络安全隔离装置构建局部安全可信网络，降低了局部可信安全网络内网络通信设备的安全防护要求，若将秘钥组部署在网络安全隔离装置与局部可信网络直接连接的模块或设备中，通信数据加解密工作均由网络安全隔离装置与局部可信网络直接连接的模块或设备完成，网络通信设备可以采用承载通信网络基础加密与网络安全隔离装置进行通信，甚至以明文的方式与网络安全隔离装置进行通信，降低了网络通信设备制造的复杂度及制造成本。

3、本发明采用秘钥组而不是采用单一的秘钥，可在给一方通信过程中使用一个秘钥而给另一方通信过程中使另一个秘钥，杜绝了单一密钥泄露造成整个系统不可信。

4、使用本发明可依托互联网或移动互联网搭建机密信息传输系统，可用于企业、政府等组织或机构的机密信息传输。

5、本发明的使用范围非常广泛，比方可以广泛应用于车联网中，如确保车载设备与自动驾驶云中心之间、车载设备与用户控制终端之间、用户控制终端与自动驾驶云中心之间的网络通信数据加密传输安全可信，也可以广泛应用于智能家居系统中，如确保智能家居设备与用户控制终端之间的通信数据加密通信安全可信。

6、目前，各大品牌的智能家居控制系统大多提供了一个诸如智能音箱等的控制中心，按本发明提供的数据加密通信方法，可以在智能家居控制中心及智能家居设备组成的智能家居网络与家庭局域网连接处部署安全隔离装置，在用户控制终端与互联网连接处部署网络安全隔离装置，智能家居设备与控制中心之间的通信方式无需更改，仅需按照本发明提供的通信数据加密传输方法更改用户控制终端与智能家居控制中心之家的通信方式便可将本发明融入现有智能家居系统。

附图说明

图1是本发明网络通信数据组合加密传输系统构成示意简图。

图2是本发明在智能家居系统中的一个应用场景示意简图。

图3是本发明在车联网系统中的一个应用场景示意简图。

图4是使用本发明并依托互联网搭建的机密信息加密传输系统示意简图。

具体实施方式

在本发明中所指的网络通信设备是一种泛指，具有网络通信数据传输功能的设备均为网络通信设备，相关网络通信数据组合加密传输系统的构成参见图1并参阅所述技术方案，不另赘述。

需要说明的是：

第一网络包括第一网络安全隔离装置中与外部网络隔离的模块或设备，这就是说第一秘钥组可以存储在这些模块或设备，同样本发明所述网络通信数据组合加密过程中由第一网络通信设备发出或发送至第一网络通信设备的通信数据加解密也可以由这些模块或设备完成；

第二网络包括第二网络安全隔离装置中与外部网络隔离的模块或设备，这就是说第二秘钥组可以存储在这些模块或设备中，同样本发明所述网络通信数据组合加密过程中由第二网络通信设备发出或发送至第二网络通信设备的通信数据加解密也可以这些述模块或设备完成；

同理第n网络包括第n网络安全隔离装置中与外部网络隔离的模块或设备，这就是说第n秘钥组可以存储在这些模块或设备，同样本发明所述网络通信数据组合加密过程中由第n网络通信设备发出或发送至第n网络通信设备的通信数据加解密也可以由这些模块或设备完成。

下面结合所述技术方案给出三个具体应用的实施例，显然所描述的实施例仅仅是本发明的一部分，未述部分以及所述技术方案均属于本发明保护之范围。

结合图2，本发明在智能家居系统中的一个应用场景示意简图，给出本发明在智能家居系统中的具体应用举例，此时n=2。

第一通信设备为用户控制终端，可以为智能手机、手环等设备，第一网络为用户控制终端组成的用户控制终端网络，第一网络安全隔离装置连接用户控制终端网络和移动互联网或公司、家庭中的wifi网络，第一网络安全隔离装置可在逻辑隔离或物理隔离的隔离强度下交换用户控制终端网络和移动互联网或公司、家庭中的wifi网络的数据，第二网络通信设备为智能家居设备，如智能入户门、智能空调等设备，第二网络为智能家居设备构成的智能家居网络，第二网络安全隔离装置连接智能家居网络和家庭局域网，第二网络安全隔离装置可在逻辑隔离或物理隔离的隔离强度下交换智能家居网络和家庭局域网的数据。家庭局域网和移动互联网或公司、家庭中的wifi网络通过互联网连接在一起，三者共同构成本实施例中的外部网络。

考虑到成本、便携性、性能等问题，此实施例中第一网络安全隔离装置可以为采用scsi开关、内存总线或单向传输等基于安全岛技术的微型化网闸，第二网络安全隔离装置可以为采用scsi开关、内存总线或单向传输等基于安全岛技术的小型化网闸。

第一秘钥组由一个128位秘钥组成，存储于用户控制终端中，由用户使用用户控制终端输入设定，第二秘钥组与第一秘钥组相同，存储于智能家居设备中，由用户使用智能家居设备输入设定。

本实施例中网络通信数据加密采用aes高级加密算法。

按照本发明所述技术方案，用户控制终端网络传输至智能家居设备的控制命令等通信数据，首先在用户控制终端中使用第一秘钥组完成加密并传输至第一网络安全隔离装置，然后第一网络安全隔离装置将使用第一秘钥组加密的通信数据交换至移动互联网或公司、家庭中的wifi网络，之后使用第一秘钥组加密的通信数据互联网、家庭局域网传输至第二网络安全隔离装置，第二网络安全隔离装置将使用第一秘钥组加密的通信数据交换至智能家居系统网络，最后使用第一秘钥组加密的通信数据在智能家居系统网络中的智能家居设备中使用第二秘钥组解密，至此用户控制终端发出的控制命令已传输至智能家居设备，智能家居设备按照控制命令执行相关操作。

依据技术方案结合本实施例的部署同样可实现智能家居设备状态数据传输至用户控制终端的加密，这里不再赘述。

第一网络安全隔离装置、第二网络安全隔离装置的部署，将用户控制终端网络及用户控制终端、智能家居系统网路及智能家居设备与家庭局域网、互联网、移动互联网或公司、家庭中的wifi网络构成的外部网络分隔开来，即使用户控制终端网络及用户控制终端、智能家居系统网路及智能家居设备存在极易被入侵控制漏洞的情况下，网络安全隔离装置的部署隔离了来自外部网络的恶意攻击，攻击者仍无法跨越安全隔离装置窃取秘钥或干扰加解密过程，aes高级加密算法，128位秘钥，可保证控制命令的通信加密传输可信。

结合图3，本发明在车联网系统中的一个应用场景示意简图，给出本发明在车联网系统中的具体应用举例，此时n=3。

第一网络通信设备为车载设备，如车内环境控制设备、自动驾驶设备等，第一网络为车载设备构成的车载网络，第一网络安全隔离装置安装在车辆内部连接车载网络和移动互联网络，第一网络安全隔离网关可在接近或达到物理隔离的隔离强度下交换车载网络和移动互联网的数据，第二通信设备为用户控制终端可以为智能手机、手环等设备，第二网络用户控制终端组成的用户控制终端网络，第二网络安全隔离装置连接用户控制终端网路和移动互联网，第二网络用户控制终端组成的用户控制终端网络，第二网络安全隔离装置连接用户控制终端网路和移动互联网网络，第二网络安全隔离装置可在接近或达到物理隔离的隔离强度下交换用户控制终端网络和移动互联网的数据，第三网络通信设备为自动云驾驶控制中心中的服务器，第三网络为自动驾驶云中心网络，第三网络安全隔离装置连接自动驾驶云中心网络和互联网，第三网络安全隔离装置可在接近或达到物理隔离的隔离强度下交换自动驾驶云中心网络和互联网的数据。互联网与移动互联网相互连接一同构成本例中的外部网络。

考虑到成本、便携性、性能等问题，此实施例中第一网络安全隔离装置为采用scsi开关、内存总线、单向传输等基于安全岛技术的小型化网闸，第二网络安全隔离装置为采用scsi开关、内存总线、单向传输等基于安全岛技术的微型化网闸，第三网络安全隔离装置为安全性和性能均较高的光闸。

第一秘钥组由两个256位秘钥组成存储于车载设备中，秘钥一用于加密车载设备和自动驾驶云中心控制服务器的通信数据加密，秘钥二用于加密车载设备和用户控制终端的通信数据加密，第二秘钥组由两个256位秘钥组成存储于用户控制终端中，秘钥一与第一秘钥组秘钥二相同，秘钥二用于用户控制终端和自动驾驶云中心控制服务器的通信数据加密，第三秘钥组由两个256位秘钥组成存储于自动驾驶云中心控制服务器中，秘钥一与第一秘钥组秘钥一相同，秘钥二与第二秘钥组秘钥二相同。第一秘钥组、第二秘钥组、第三秘钥组由车载设备、自动驾驶云中心服务器、用户控制终端采用diffie-hellman秘钥交换技术协商生成。

本实施例中网络通信终端之间的通信数据加密采用aes高级加密算法。

依据本发明的技术方案结合本实施例的部署能实现车载设备、用户控制终端、自动驾驶云中心服务器两两之间的通信数据加密传输，具体加密过程可依据本发明的技术方案推出，不再赘述，这里仅描述按照本实施例使用本发明的通信数据加密传输方法可实现的功能。

功能一：用户通过用户控制终端与车载设备通信，按本发明通信数据组合加密传输方法，加密传输启动汽车发动机、调节车内环境温度等控制命令及车辆状态实施反馈数据等通信数据。

功能二：车辆使用车载网络通信设备与自动驾驶云中心控制服务器通信，按本发明通信数据组合加密传输方法，加密传输车辆行驶位置、速度、目的地等通信数据至自动驾驶云中心控制服务器，并加密传输自动驾驶云中心服务器依据车辆行驶位置、速度、目的地及其它车辆传输的数据自动规划的快速自动行驶路线。

功能三：用户在公司使用使户控制终端与自动驾驶云中心通信，预约三小时后车辆由家庭停车场自动驾驶至公司停车场，按本发明通信数据组合加密传输方法，加密传输到达时间、目的地等通信数据至自动驾驶云中心控制服务器。

上述三个功能是车联网中典型的功能，若因网络通信设备存在漏洞、网络通信设备所在网络存在漏洞等原因，致使通信数据加密传输过程被黑客攻击、干扰、篡改，向车辆下达错误的、危险的命令，造成的后果、危害是难以估计的。

本实施例中第一网络安全隔离装置、第二网络安全隔离装置、第三网络安全隔离装置的部署，构建局部可信网络，隔离来自外部网络的恶意攻击，确保实现上述功能时网络通信设备两两之间传输通信数据加密的可信，即使网络通信设备存在漏洞、或网络通信设备所在网络存在漏洞，仍能确保通信数据加密传输的可信。

结合图4，使用本发明提供并依托互联网搭建的机密信息加密传输系统示意简图，给出本发明在机密信息传递方面的一个具体应用距举例，此时n=2。

如图4所示公司a与公司b之间需要加密传输机密信息，按照本发明的技术方案在公司a部署第一网络信通信设备计算机a和第一网络安全隔离装置光闸a，公司b部署第二网络信通信设备计算机b和第二网络安全隔离装置光闸b，计算机a生成第一秘钥组a和第二秘钥组b，并通过u盘将秘钥组b拷贝至计算机b。网络安全隔离a和b分别通过公司a和b的网络连接至互联网。秘钥使用2048位秘钥，加密算法使用rsa非对称加密算法。

需要传输的机密信息通过u盘等物理的方式拷贝至计算机a或b,然后使用秘钥组a或b按本发明所述通信数据组合加密传输方法加密传输。光闸的高安全性，确保了计算机a和b与公司网络和互联网隔离，确保了秘钥组和加解密过程的安全可信，配合2048位秘钥和rsa非对称算法可确保机密信息在互联网传输的过程中不被破解窃取。

除了本发明所述的技术方案以及上述三个实施例，实际上本发明的技术方案还是可以扩展的，以下给三个本发明的扩展：

1.每一网络通信设备都可以并联数个分支网络通信设备，在每一个所述分支网络通信设备中均可以对应增加秘钥组，这样扩展的结果是通信加密系统得到增容，同样可按照本发明所述通信数据组合加密传输过程实现网络通信设备分支与其它安全可信局部网络中的网络通信设备或网络通信设备分支的通信数据加密传输，这种扩展同样属于本发明的保护范围。

2.上述三个实施例中使用到的网络隔离设备如光闸、网闸等均存在已成熟的设备，这些设备除了提供数据可信交换外还提供了内容检查、协议剥离、协议检查、访问控制、会话终结等技术，本发明重点讨论的是数据的加密传输，显而易见的以上所述技术也可应用在本发明加密数据在可信网络与外部网络的交换过程中，以进一步增加数据交换的可信度，这种扩展同样属于本发明的保护范围。

3.本发明的核心思想是使用网络隔离技术为数据加密传输过程中秘钥的存储和数据加解密过程构建安全可信的网络环境，显而易见的在不违背此核心思想的前提下，可以将完整性验证、随机数抗重放攻击、身份认证、数字签名等密码学技术应用到通信数据加密传输过程中，以进一步增强数据传输加密的可信度，这种扩展同样属于本发明的保护范围。

上述实施例及扩展例充分说明了本发明的技术方案是可行的可操作的。当然本发明的实施例并不仅限于以上三个具体实施例，扩展也不仅限于以上三个扩展，本技术领域普通技术人员，在不付出创造性劳动的前提下，根据本发明获得实施例或扩展均属本发明的保护范围。