基于信息分离的数据安全传输系统及方法
【技术领域】
[0001]本发明涉及数据传输技术领域,具体涉及一种基于信息分离的数据安全传输系统及方法。
【背景技术】
[0002]长期以来,信息传输过程中的安全保密管理,主要基于加密、访问控制以及两种技术的综合应用,以完整形式保存和传输是数据资料应用和管理的主要形态,存在被攻击、窃取和破解的严重隐患。近年来,一些基于数据分离的存储管理解决方案,将完整的数据资料进行信息分离后,保存于网络上多个不同的位置,并通过复杂的加密、授权、访问控制技术等技术的综合应用,增加窃取和分析破解的难度,提高文档资料在存储和传输中的安全保密性,但实际应用中,过于复杂的解决方案技术性要求高、管理代价大,在绝大多数中、小规模系统中难以实施或普及。
【发明内容】
[0003]发明目的:针对信息安全传输需求,本发明提供一种基于信息分离的数据安全传输系统及方法,能够有效防止黑客通过侦听、非法访问等手段窃取秘密;同时易于实施和普及。
[0004]技术方案:本发明所述的基于信息分离的数据安全传输系统及方法,包括终端系统、数据传输系统、公钥管理装置和传输控制服务器;所述终端系统安装在各用户终端、具有发送模式和接收模式,处于发送模式的终端系统为发送方、处于接收模式的终端系统为接收方;所述公钥管理装置包括一对PKI密钥对,发送方将原文件分离成主体块文件和分离块文件,收、发双方ID通过“公钥”加密后和分离块文件一并发送至所述传输控制服务器,分离块文件的文件名通过“公钥”加密形成加密指针插入至主体块文件内,含有加密指针的主体块文件通过所述数据传输系统直接发送至接收方;接收方收到含有加密指针的主体块文件,以加密指针为参数向所述传输控制服务器发送分离块文件获取请求,所述传输控制服务器通过“私钥”解密加密指针和收、发双方ID,进行文件比对和身份验证,验证、比对成功后,将分离块文件返回至接收方;接收方将主体块文件和分离块文件恢复成原文件。
[0005]进一步完善上述技术方案,所述终端系统包括专用访问装置、通用传输装置、分离还原处理装置;发送方的所述分离还原处理装置将原文件分离成分离块文件和主体块文件,接收方的所述分离还原处理装置将主体块文件和分离块文件恢复成原文件;发送方的所述通用传输装置用于将主体块文件通过所述数据传输系统直接发送至接收方,接收方的所述通用传输装置用于接收主体块文件;发送方的所述专用访问装置用于发送分离块文件及收、发双方ID至所述传输控制服务器,接收方的所述专用访问装置用于向所述传输控制服务器发送分离文件获取请求、获取分离块文件。
[0006]所述传输控制服务器包括用户表、分离块数据库和访问控制装置;所述访问控制装置接收所述发送方传输的分离块文件及收、发双方ID,存储到所述分离块数据库,并受理所述接收方的分离块文件获取请求,通过所述“私钥”进行收、发双方ID认证和文件比对,对于合法请求,将相应的分离块文件返回至所述接收方。
[0007]所述“公钥”由所有用户共享,用于传输时对各类信息的加密处理,所述“私钥”由传输控制服务器独自用于各类信息的解密处理。
[0008]所述数据传输系统包括普通数据传输系统、专用数据传输系统和各类邮件系统。
[0009]基于上述系统在发送方和接收方进行数据安全传输,包括如下步骤:
S1:原文件的分离处理:发送方的分离还原处理装置将原文件自动分离成主体块文件和分离块文件,通过“公钥”对分离块文件的文件名进行加密,生成加密指针并将其插入到主体块文件的指定位置,同时通过“公钥”对收、发双方ID进行加密;
52:文件发送:发送方的通用传输装置将含有加密指针的主体块文件通过数据传输系统直接传至接收方,发送方的专用访问装置将分离块文件及收、发双方ID发送至传输控制服务器;
53:原文件的恢复:接收方的通用传输装置收到直传的含有加密指针的主体块文件后暂存,并启动专用访问装置,专用访问装置以主体块文件中的加密指针为参数,向传输控制服务器发出分离块文件获取请求,传输控制服务器通过“私钥”解密加密指针及收、发双方ID,进行身份认证,在分离块数据库中比对分离块文件的文件名及收、发双方ID,比对成功后将相应分离块文件返回至接收方,接收方将主体块文件和分离块文件通过分离还原处理装置恢复成原文件。
[0010]所述步骤S2中主体块文件通过普通或专用数据传输系统或邮件系统直传;所述步骤S2中分离块文件及收、发双方ID发送至传输控制服务器,存储于分离块数据库。
[0011]为防止通过窃取用户表,比对密文信息来获取收、发双方ID,所述步骤SI中采用如下加强算法对所述分离块文件及收、发双方ID进行加密,而不是对ID做简单的加密保存:
A:设user$为包括发件方和收件方ID的字符串,LO为其长度;
B:在分离块文件H)指定位置取LO个字符,记为S0$ (S0$为无序乱码);
C:user$与S0$按二进制进行异或变换后,作为加密的收、发双方ID ;
D:S0$通过“公钥”加密后(记为Sl$),保存到H)原来位置;
所述步骤S3中采用如下算法对对所述分离块文件及收、发双方ID进行解密:
A:在分离块文件H)指定位置取出Sl$,通过“私钥”解密成S0$ ;
B:在分离块文件H)中,以S0$替换Sl$,恢复原先的H);
C:将加密的收、发双方ID通过S0$进行二进制异或反变换,还原包括发件方和收件方ID的字符串user$。
[0012]为强化本系统防分析破解性能,可以将上述分离块文件的加密处理方式应用于主体块文件,此时需增加一对密钥,即:针对分离块文件和主体块文件,分别使用一个密钥对。
[0013]本发明基于PKI公钥加密体制,通过一个密钥对管理传输过程中的关键数据,以提供安全保密的信息传输服务,公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分、向所有用户公开,私钥则是非公开的部分、通过专用硬件保存。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密,比如用公钥加密数据就必须用私钥解密,如果用私钥加密数据也必须用公钥解密,否则解密将不会成功。
[0014]有益效果:与现有技术相比,本发明的优点:
1、本发明提供的基于信息分离的文件传输模式,传输处理过程中,文件以两个分离文档的形态,通过网络中的不同的路由进行存储和转发,能够有效防止涉密文档资料在存储、转发、传输过程中被黑客通过侦听、非法访问等手段窃取秘密;
2、本发明提供了一个完整的文档分离传输实施方案,实际上包括了文档分离、发送、传输和接收过程的总体解决方案,通过分离、PKI加解密、访问控制多项技术的叠加应用,不仅倍增了传输过程中文档防窃取、防分析破解能力,同时发送、传输和接收各过程逻辑清楚,便于成体系集成为实用的传输系统;
3、基于PKI的密钥对,用户根据需要设置一对或者两对,以非常经济的方式,实现信息传输中关键信息的加密处理和解密运算,实现和管理也十分方便,加密收发双方的用户标识及分离文档的关联关系,隐藏收发双方的用户之间、分离文档之间的关联关系,有效地防止了通过技术手段进行分析、搜寻,以获取两个分离文档,实现原文恢复的可能。
【附图说明】