一种内网安全防护系统的制作方法
【专利摘要】本实用新型公开了一种内网安全防护系统,包括网站服务器、非网站服务器、个人电脑和控制中心服务器,控制中心服务器内设有单片微型计算机;单片微型计算机包括CPU以及通过外部数据总线和外部地址总线连接的ROM、RAM、非易失性存储器;所述CPU包括通过内部数据总线相互连接的算术逻辑运算器、高速缓冲存储器、指令解码器控制器、寄存器组和数据总线控制电路;加密电路包括第一加密单元、第二加密单元、第一异或门和第二异或门,加密电路对由待加密数据分割所得的两个数据块进行分别加密及异或逻辑运算后完成加密处理。本实用新型利用控制中心服务器实现对企业各计算机设备的集中安全防护处理并实现高安全性数据传输,显著提高了内网安全性。
【专利说明】一种内网安全防护系统
【技术领域】
[0001]本实用新型涉及内网安全防护领域,尤其涉及一种企业级的内网安全防护系统。
【背景技术】
[0002]在网络安全问题日益严重的今天,企业级的网络被攻击是频繁发生的事情,导致企业的敏感信息,重要资料泄露,甚至正常业务陷入瘫痪状态。现在企业级网络一般包括网站服务器、非网站服务器和个人电脑,这些设备一般分别由不同用户使用,其安全防护一般各自独立处理,比如依靠杀毒软件、监控软件等实现病毒入侵。但是,现在的防御软件比如杀毒软件不能解决当攻击者用合法软件进行攻击的情况;而且,现有的防火墙主要是防御外网,当攻击者是企业内部的情况下防御外网的防火墙就形同虚设。
[0003]同时,传统数据加密方面存在缺陷,加密数据要求有高度的保密性,要保护其内部信息不因攻击者攻击(如对机密信息的分析行为)而被读出或改写,以前通过不规则地连接在包含存储器及单片微型控制器的逻择电路之间传递信号的地址总线、数据总线的布线,使得难以确定各信号线所具有的功能,以此保护信息不受分析行为的攻击。但是,根据目前的分析技术,用剥离分析技术来确定信号线实际上己达到可能的水平,所以上述传统方法也难以实现良好的保密效果。
实用新型内容
[0004]本实用新型的目的就在于为了解决上述问题而提供一种能实现专业检测非法信息并进行高保密性数据传输的内网安全防护系统。
[0005]本实用新型通过以下技术方案来实现上述目的:
[0006]一种内网安全防护系统,包括网站服务器、非网站服务器和个人电脑,还包括能与所述网站服务器、所述非网站服务器和所述个人电脑之间分别进行数据传输的控制中心服务器,所述控制中心服务器内设有单片微型计算机;所述单片微型计算机包括CPU以及通过外部数据总线和外部地址总线连接的ROM、RAM、非易失性存储器;所述CPU包括通过内部数据总线相互连接的算术逻辑运算器、高速缓冲存储器、指令解码器控制器、寄存器组和数据总线控制电路,所述寄存器组与地址总线控制电路连接,所述数据总线控制电路的数据经加密电路加密并传输给外部数据总线,所述外部数据总线上的数据经解密电路解密并传输给所述数据总线控制电路,所述地址总线控制电路的数据传输给所述外部地址总线;所述加密电路包括第一加密单元、第二加密单元、第一异或门和第二异或门,所述第一加密单元的输入端输入由待加密数据分割所得的第一数据块,由待加密数据分割所得的第二数据块和所述第一加密单元的输出端分别作为所述第一异或门的两个输入端,所述第一异或门的输出端与所述第二加密单元的输入端连接,所述第一数据块和所述第二加密单元的输出端分别作为所述第二异或门的两个输入端,所述第一异或门的输出端和所述第二异或门的输出端分别作为所述加密电路的两个数据块输出端。
[0007]上述结构中,从整个系统角度来说,控制中心服务器是新增设备;从控制中心服务器的结构来说,单片微型计算机是新增部分;从单片微型计算机结构来说,加密电路的结构是创新的。综上,本实用新型的创新重点在于将创新的加密电路应用于内网安全防护系统的控制中心服务器内,从而实现控制中心服务器与网站服务器、非网站服务器和个人电脑之间的高安全性保密数据传输的目的。解密电路与加密电路是逆向运行关系,在确定加密电路结构的基础上,解密电路的结构即已经被确定,所以,本实用新型中,不需再对解密电路的结构进行具体说明。
[0008]具体地,所述第一加密单元和所述第二加密单元结构相同,均包括多个加密子单元、选择电路、查阅表、码生成电路和选择码存储用非易失性存储器,多个所述加密子单元与输入数据块的数据一一对应且用于对单个数据进行加密,码生成电路用于根据输入数据输入时预定的信息生成选择码并连同输入时的地址数据的地址值存储在所述选择码存储用非易失性存储器中,所述查阅表用于使码生成电路生成的多个选择码与多个加密子单元一一对应,所述选择电路用于根据所述查阅表信息输出加密数据。上述加密单元的结构,是常规技术的适应性选择,其中的加密子单元、选择电路、查阅表、码生成电路和选择码存储用非易失性存储器均为常规技术中的部件,其相互之间的连接及应用关系均是常规应用中的一种。
[0009]本实用新型的有益效果在于:
[0010]本实用新型通过增加控制中心服务器,并在控制中心服务器内使用基于两个数据块分别加密并进行异或逻辑运算的加密电路对传输数据进行加密处理,实现高安全性的数据传输,并利用控制中心服务器实现对网站服务器、非网站服务器和个人电脑的集中安全防护处理,避免了一般用户乱操作易被入侵的问题,显著提高了内网安全性。
【专利附图】
【附图说明】
[0011]图1是本实用新型所述内网安全防护系统的系统框图;
[0012]图2是本实用新型所述单片微型计算机的电路框图;
[0013]图3是本实用新型所述加密电路的电路框图;
[0014]图4是本实用新型所述加密单元的电路框图。
【具体实施方式】
[0015]下面结合附图对本实用新型作进一步说明:
[0016]如图1-图4所示,本实用新型所述内网安全防护系统包括网站服务器、非网站服务器、个人电脑和控制中心服务器,控制中心服务器能与网站服务器、非网站服务器和个人电脑之间分别进行数据传输,控制中心服务器内设有单片微型计算机;单片微型计算机包括CPU以及通过外部数据总线和外部地址总线连接的ROM、RAM、非易失性存储器;CPU包括通过内部数据总线相互连接的算术逻辑运算器ALU、高速缓冲存储器、指令解码器控制器、寄存器组和数据总线控制电路,寄存器组与地址总线控制电路连接,数据总线控制电路的数据经加密电路加密并传输给外部数据总线,外部数据总线上的数据经解密电路解密并传输给数据总线控制电路,地址总线控制电路的数据传输给外部地址总线;加密电路包括第一加密单元S1、第二加密单元S2、第一异或门Al和第二异或门A2,第一加密单元SI的输入端输入由待加密数据分割所得的第一数据块,由待加密数据分割所得的第二数据块和第一加密单元SI的输出端分别作为第一异或门Al的两个输入端,第一异或门Al的输出端与第二加密单元S2的输入端连接,第一数据块和第二加密单元S2的输出端分别作为第二异或门A2的两个输入端,第一异或门Al的输出端和第二异或门A2的输出端分别作为加密电路的两个数据块输出端;第一加密单元和第二加密单元结构相同,均包括多个加密子单元、选择电路、查阅表、码生成电路和选择码存储用非易失性存储器,多个加密子单元与输入数据块的数据一一对应且用于对单个数据进行加密,码生成电路用于根据输入数据输入时预定的信息生成选择码并连同输入时的地址数据的地址值存储在选择码存储用非易失性存储器中,查阅表用于使码生成电路生成的多个选择码与多个加密子单元一一对应,选择电路用于根据查阅表信息输出加密数据。图中示出了加密子单元Sa、Sb、Sc,还有其它未示出的加密子单元。
[0017]如图1-图4所示,本内网安全防护系统的工作过程如下,其中涉及方法的内容只是本内网安全防护系统的应用选择,不是本实用新型的创新:
[0018]控制中心服务器制定防御规则并将该防御规则的对应数据加密后传输给网站服务器、非网站服务器和个人电脑,网站服务器、非网站服务器和个人电脑接收该防御规则的对应数据并解密后,根据该防御规则实时记录相应网站服务器、非网站服务器和个人电脑的行为操作,把该防御规则不允许的非法行为阻止掉,并将该非法行为的对应数据加密后传输到控制中心服务器,控制中心服务器收到该非法行为的对应数据并解密后,立即向管理员发出告警信息。
[0019]上述过程中,控制中心服务器内的单片微型计算机内的加密电路的工作过程为:如图3所示,2n位待加密数据首先被分割为两个数据块BO和BI,两个数据块BO和BI均有η位数据,其中BO为O?η-1位,BI为η_1?2n_l位,BI数据块经过第一加密单元SI进行加密处理,BO数据块和第一加密单元SI的输出数据通过第一异或门Al进行异或逻辑运算后,其输出数据一方面作为加密电路处理后的一个η位的加密数据块BI’,另一方面同时再经过第二加密单元S2进行加密处理,第二加密单元S2进行加密处理后的输出数据与BI数据块通过第二异或门Α2进行异或逻辑运算后,其输出数据作为加密电路处理后的另一个η位的加密数据块BO’,这样,通过本加密电路,就将原数据的两个数据块BO和BI进行加密处理后得到两个加密数据块Β0’和BI’,完成加密过程。
[0020]上述第一加密单元SI和第二加密单元S2的处理过程一致,其处理过程如图4所示,根据自输入数据DO?Dn-1拾入时,即自启动时刻起随时间推移的信息和地址数据的地址值AO?An-1共η位,码生成电路每次都使用随机数等生成不同的选择码,最好将所生成的选择码的数目事先限定于加密子单元(如Sa、Sb、Sc)的个数,但是,即使选择码的数目与加密子单元的个数不等,只要能在查阅表上找出上述对应关系就无问题,码生成电路将所生成的选择码与当时的地址数据的地址值一起存储在选择码存储用非易失性存储器中。查阅表生成指示选择与码生成电路所生成的选择码对应的I个加密子单元的选择指示信号,选择电路从根据此选择指示信号而选择的加密子单元中选择中间输出数据,作为加密单元的输出数据SDO?SDn-1输出。
[0021]上述实施例只是本实用新型的较佳实施例,并不是对本实用新型技术方案的限制,只要是不经过创造性劳动即可在上述实施例的基础上实现的技术方案,均应视为落入本实用新型专利的权利保护范围内。
【权利要求】
1.一种内网安全防护系统,包括网站服务器、非网站服务器和个人电脑,其特征在于:还包括能与所述网站服务器、所述非网站服务器和所述个人电脑之间分别进行数据传输的控制中心服务器,所述控制中心服务器内设有单片微型计算机;所述单片微型计算机包括CPU以及通过外部数据总线和外部地址总线连接的ROM、RAM、非易失性存储器;所述CPU包括通过内部数据总线相互连接的算术逻辑运算器、高速缓冲存储器、指令解码器控制器、寄存器组和数据总线控制电路,所述寄存器组与地址总线控制电路连接,所述数据总线控制电路的数据经加密电路加密并传输给外部数据总线,所述外部数据总线上的数据经解密电路解密并传输给所述数据总线控制电路,所述地址总线控制电路的数据传输给所述外部地址总线;所述加密电路包括第一加密单元、第二加密单元、第一异或门和第二异或门,所述第一加密单元的输入端输入由待加密数据分割所得的第一数据块,由待加密数据分割所得的第二数据块和所述第一加密单元的输出端分别作为所述第一异或门的两个输入端,所述第一异或门的输出端与所述第二加密单元的输入端连接,所述第一数据块和所述第二加密单元的输出端分别作为所述第二异或门的两个输入端,所述第一异或门的输出端和所述第二异或门的输出端分别作为所述加密电路的两个数据块输出端。
2.根据权利要求1所述的内网安全防护系统,其特征在于:所述第一加密单元和所述第二加密单元结构相同,均包括多个加密子单元、选择电路、查阅表、码生成电路和选择码存储用非易失性存储器,多个所述加密子单元与输入数据块的数据一一对应且用于对单个数据进行加密,码生成电路用于根据输入数据输入时预定的信息生成选择码并连同输入时的地址数据的地址值存储在所述选择码存储用非易失性存储器中,所述查阅表用于使码生成电路生成的多个选择码与多个加密子单元一一对应,所述选择电路用于根据所述查阅表信息输出加密数据。
【文档编号】H04L29/06GK204156899SQ201420670508
【公开日】2015年2月11日 申请日期:2014年11月12日 优先权日:2014年11月12日
【发明者】谭戴林 申请人:成都安慧科技有限公司