数据加密及隔离系统的制作方法
【专利摘要】本发明公开了一种数据加密及隔离系统,包括由内网计算机组成的内网和由外网计算机组成的外网;内网和外网之间通过物理隔离模块或者逻辑隔离模块连接;所述物理隔离模块或者逻辑隔离模块用于将内网的数据进行加密并导出到外网;所述物理隔离模块或者逻辑隔离模块还用于将外网的非加密数据进行单向导入内网;所述物理隔离模块或者逻辑隔离模块还用于将外网的加密数据进行解密后导入内网。所述内网为一个内网计算机或者所述内网由至少两个内网计算机组成。本发明采用量子数据加密+数据中转器安全交换的解决方案来保障内部网之间的安全通信和内外部网之间安全数据交换,杜绝泄密事件的发生。
【专利说明】
数据加密及隔离系统
技术领域
[0001]本发明提供一种量子加密与数据隔离方案,尤其是涉及一种数据加密及隔离系统。
【背景技术】
[0002]随着集团信息化的发展,集团内部单位都设有信息系统,这些信息系统运行在生产和办公的内部网络上,集团所有的重要数据都存储在内部网系统中。随着互联网络的迅猛发展,集团内部业务正不断向外延伸,数据交互日益频繁。然而内部网系统中的一些重要数据不能随意在互联网上传输,需要特殊保护。为保证其内部系统的信息安全性,必须控制好这些数据信息,对其采取严格的控制措施,一种方法是参考国家涉密计算机管理规定将内部网与外部网进行物理隔离,进而保障数据的安全。
[0003]内部与外部网络做隔离处理后,一些信息的传递就会受到影响。外部网上数据要进入内网必须手工导入,内部网上的数据要在单位之间传递需要人工派送。随着业务应用的发展,有些数据需要实时传送,纯手工操作无法适用新的应用需求,因此需要把各个地方单位外部网络连接起来,通过网络传递。按照军工保密的要求,必须在内部和外部网之间采取相应的技术手段和管理措施,防范内部网的涉密文件泄漏到外部网络中。然而如何既能按照国家有关规定将内外网络隔离,又能实现内外网络的信息系统数据安全交换,使现有的资源得到最大利用。
【发明内容】
[0004]本发明的目的是针对上述现有技术的不足,提供一种数据加密及隔离系统,本集团网络的量子数据加密及隔离系统与方法采用量子数据加密+数据中转器安全交换的解决方案来保障内部网之间的信息传递和内外部网之间安全数据交换,杜绝泄密事件的发生。
[0005]为实现上述技术目的,本发明采取的技术方案是:数据加密及隔离系统,包括由内网计算机组成的内网和由外网计算机组成的外网;其特征在于:
内网和外网之间通过物理隔离模块或者逻辑隔离模块连接;
所述物理隔离模块或者逻辑隔离模块用于将内网的数据进行加密并导出到外网;
所述物理隔离模块或者逻辑隔离模块还用于将外网的非加密数据进行单向导入内网; 所述物理隔离模块或者逻辑隔离模块还用于将外网的加密数据进行解密后导入内网。
[0006]进一步的,所述内网为一个内网计算机或者所述内网由至少两个内网计算机组成。
[0007]进一步的,所述内网计算机之间直接共享和交换信息或者所述内网计算机之间通过加密和解密的方式交换和共享信息。
[0008]进一步的,所述物理隔离模块为连接在内网计算机和外网计算机之间的数据中转器;所述数据中转器包括互斥开关、加解密模块和存储介质。所述互斥开关是单刀双掷开关,同一时刻只能一边联通,另一边物理断开。
[0009]进一步的,所述逻辑隔离模块为两个分别设在外网计算机和内网计算机上的隔离代理模块。外网计算机上的隔离代理将原始数据以文件形式从外网导入到内网,内网计算机上的隔离代理将内网数据以文件形式加密后导出到外网,导入导出过程隔离代理之间采用私有命令协议严格控制数据进出。
[0010]进一步的,所述物理隔离模块或者逻辑隔离模块采用传统密码方式或者量子密码将内网的数据进行加密并导出给外网;所述物理隔离模块或者逻辑隔离模块采用传统密码或者量子密码将外网的加密数据进行解密后导入内网。
[00?1 ]进一步的,还包括量子密钥分发设备QKD;所述量子密钥分发设备QKD用于分发量子密钥给物理隔离模块或者逻辑隔离模块。
[0012]进一步的,通过人工预分配的方式将量子密钥分配给物理隔离模块或者逻辑隔离模块。
[0013]进一步的,外网计算机和内网计算机之间采用数据线相互连接,数据线是串口数据线或者USB数据线。
[0014]进一步的,密钥采用的数据加密算法为AES或者DES或者SMl或者SM4或者流加密算法。
[0015]内网计算机与外网计算机通过数据中转器相连;数据中转器用于提供数据的单向导入与加密导出,任何导出的数据都需要加密,且数据导入导出过程中内网和外网是物理隔离的;同一单位的内网计算机之间信息可以在内部局域网上共享和交换;数据中转器用于对不同单位之间的数据进行加密和解密;所述加密是指本单位的内网计算机用于将数据发送到本单位的数据中转器中,本单位的数据中转器使用量子密钥对数据加密,然后再摆渡到本单位的外网计算机上,本单位的外网计算机将加密的数据发送给对端单位的外网计算机;所述解密是指当加密的数据到达对端单位时,对端单位的外网计算机将加密的数据发送给对端单位的数据中转器,在对端单位的数据中转器将加密的数据被摆渡到对端单位的内网计算机之前,数据中转器使用量子密钥对加密的数据进行解密。此过程数据采用量子密钥进行加密,以保障数据在传输过程的安全。如果导入的数据是外网的非加密数据则直接通过数据中转器单向导入到内网计算机,不需要进行解密。通过数据中转器实现数据的单向导入与加密导出,任何导出的数据都需要加密,且数据导入导出过程中内网和外网是物理隔离的。
[0016]本发明通过数据中转器将内网计算机和外网计算机相连;同一单位的内网计算机之间信息可以在内部局域网上共享和交换;不同单位之间的数据在数据中转器上进行加密和解密;所述加密包括以下步骤:将本单位的内网计算机上数据发送到本单位的数据中转器中,通过数据中转器使用量子密钥对数据加密,然后摆渡到本单位的外网计算机上,再发送到对端单位的外网计算机上;对端单位的外网计算机将加密的数据发送到对端单位的数据中转器,在对端单位的数据中转器将加密的数据摆渡到对端单位的内网计算机之前,对端单位的数据中转器使用量子密钥对加密的数据进行解密。此过程数据采用量子密钥进行加密,以保障数据在传输过程的安全。如果导入的数据是外网的非加密数据则直接通过数据中转器单向导入到内网计算机,不需要进行解密。通过数据中转器实现数据的单向导入与加密导出,任何导出的数据都需要加密,且数据导入导出过程中内网和外网是物理隔离的。
[0017]本发明加密方案的密钥可以是任何方式的密码,优选量子密钥;密钥分发设备与数据加密模块连接;数据加密模块一种方案是放在数据中转器上如图2,另一种方案是放在内网计算机上如图3;图1是物理隔离方案,图4是逻辑隔离方案;逻辑隔离方案中,两台计算机采用数据线相互连接,数据线可以是串口数据线、USB数据线或其它方式的数据线。逻辑隔离方案中,内外网计算机中分别安装隔离代理模块,内网计算机上的隔离代理模块负责数据导入和加密导出,任何导出的数据都需要加密,如果导入的数据是外网的非加密数据则直接通过隔离代理单向导入到内网计算机,不需要进行解密。外网计算机上的隔离代理负责接收内网计算机导出的数据和向内网计算机导入数据。逻辑隔离方案实现简单方便,只需要在内网计算机上安装隔离代理即可。由于所有内网计算机的数据外发都进行了加密,攻击者无法得到明文,保障了数据传输的安全。数据加密算法可以采用AES,DES或者SMl或者SM4或者流加密或者其他的加密算法。所述外网计算机优选选用瘦计算机,所述瘦计算机是一台裁剪去了普通计算机上不需要的硬件单元并只提供日常网络办公用的必须软件的定制计算机。系统精简,价格也只是普通电脑的十分之一,且安全稳定。
[0018]如图1所示,集团包含两个单位,每个单位内部建有两个网络,一个内网,一个外部网,内部网与外部网物理隔离。同一单位的内网计算机之间信息可以在内部局域网上共享和交换。不同单位之间的数据在数据中转器上进行加解密,内网计算机上数据发送到数据中转器中使用量子密钥加密,然后再“摆渡”到外网计算机上,当数据到达对端单位时,加密的数据被摆渡到内网计算机之前使用量子密钥进行解密。此过程数据采用量子密钥进行加密,以保障数据在传输过程的安全。如果导入的数据是外网的非加密数据则直接通过数据中转器单向导入到内网计算机,不需要进行解密。
[0019]每个工作人员除了使用一台内网计算机外还配置一台外网计算机。内网计算机与外网计算机通过数据中转器相连。数据中转器只提供数据的单向导入与加密导出,任何导出的数据都需要加密,且数据导入导出过程内外部网络是物理隔离的。
[0020]单位之间通过量子通道完成量子密钥的分发,然后数据中转器可以从量子密钥分发设备获取量子密钥,对用户之间需要传输的数据用量子密钥进行加解密,内网计算机上数据发送到数据中转器中使用量子密钥加密,然后再“摆渡”到外网计算机上,当数据到达对端单位时,加密的数据被摆渡到内网计算机之前在中转器中使用量子密钥进行解密。此过程数据采用量子密钥进行加密,以保障数据在传输过程的安全。如果导入的数据是外网的非加密数据则直接通过数据中转器单向导入到内网计算机,不需要进行解密。
[0021]集团内部的单位之间组建一个量子密钥通信网络,量子密钥实现实时分发。
[0022]用于物理隔离的数据中转器是使用带有多种控制功能的和读写开关的固态存储介质连接两个独立计算机的信息安全设备。由于数据中转器所连接的两个独立计算机之间,不存在通信的物理连接、逻辑连接、信息传输命令和信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离数据中转器从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全,即使内网计算机存在木马和病毒,由于所有导出的数据都是加密的,外网攻击者也无法得到明文数据。
[0023]如图2所示,外网数据通过存储介质,以“摆渡”的方式单向导入到内部计算机。内部数据如果需要外发,则通过数据中转器加密后以“摆渡”的方式单向导出到外部计算机。
[0024]本发明单向开关进,全数据加密出(即数据输入是自由的,而数据输出需要加密);内网可以是网也可以是单机;加密:可以是传统密码,也可以是量子密码;密钥可以用Q KD分配,也可以用人工预分配;密钥可以分配给任意节点;可以实现对每个节点的信息控制。
[0025]本发明综合人工导入密钥的应用和经典密钥的分配模式(包括公钥密码技术和分组密码方式)。
[0026]总之,本发明采用量子数据加密+数据中转器安全交换的解决方案来保障内部网之间的安全通信和内外部网之间安全数据交换,杜绝泄密事件的发生。
【附图说明】
[0027]图1本发明的结构示意图;
图2本发明的数据加密模块在数据中转器中的结构示意图;
图3本发明的数据加密模块在内网计算机中的结构示意图;
图4本发明的逻辑隔离结构示意图。
【具体实施方式】
[0028]实施例1
参见图1、图2和图3,本数据加密及隔离系统,包括由内网计算机组成的内网和由外网计算机组成的外网;内网和外网之间通过物理隔离模块连接;所述物理隔离模块用于将内网的数据进行加密并导出到外网;所述物理隔离模块还用于将外网的非加密数据进行单向导入内网;所述物理隔离模块还用于将外网的加密数据进行解密后导入内网。所述内网为一个内网计算机或者所述内网由至少两个内网计算机组成。所述内网计算机之间直接共享和交换信息或者所述内网计算机之间通过加密和解密的方式交换和共享信息。所述物理隔离模块为连接在内网计算机和外网计算机之间的数据中转器;所述数据中转器包括互斥开关、加解密模块和存储介质。所述物理隔离模块采用传统密码方式或者量子密码将内网的数据进行加密并导出给外网;所述物理隔离模块采用传统密码或者量子密码将外网的加密数据进行解密后导入内网。还包括密钥分发设备;所述密钥分发设备用于分发密钥给物理隔离模块。密钥分发设备可以是量子密钥分发设备或者是公钥分发体系设备,还可以通过人工预分配的方式将密钥分配给物理隔离模块。外网计算机和内网计算机之间采用数据线相互连接,数据线是串口数据线或者USB数据线。密钥采用的数据加密算法为AES或者DES或者SMl或者SM4或者流加密算法。所述互斥开关是单刀双掷开关,同一时刻只能一边联通,另一边物理断开,使存储介质与外网计算机连接或者与内网计算机连接,存储介质用于暂存数据,加解密模块与互斥开关连接,加解密模块用于对数据进行加密或者解密,加解密模块设置在数据中转器内,分别与内网计算机和密钥分发设备连接如图2所示;或者加解密模块设置在内网计算机内,加解密模块通过内网计算机与密钥分发设备连接,同时加解密模块通过内网计算机与互斥开关连接如图3所示。
[0029]实施例2
参见图4,本数据加密及隔离系统,包括由内网计算机组成的内网和由外网计算机组成的外网;内网和外网之间通过逻辑隔离模块连接;所述逻辑隔离模块用于将内网的数据进行加密并导出到外网;所述逻辑隔离模块还用于将外网的非加密数据进行单向导入内网;所述逻辑隔离模块还用于将外网的加密数据进行解密后导入内网。所述内网为一个内网计算机或者所述内网由至少两个内网计算机组成。所述内网计算机之间直接共享和交换信息或者所述内网计算机之间通过加密和解密的方式交换和共享信息。所述逻辑隔离模块为两个分别设在外网计算机和内网计算机上的隔离代理模块;外网计算机上的隔离代理将原始数据以文件形式从外网导入到内网,内网计算机上的隔离代理将内网数据以文件形式加密导出到外网,导入和导出过程中,隔离代模块之间采用私有命令协议严格控制数据进出。所述逻辑隔离模块采用传统密码方式或者量子密码将内网的数据进行加密并导出给外网;所述逻辑隔离模块采用传统密码或者量子密码将外网的加密数据进行解密后导入内网。还包括密钥分发设备;所述密钥分发设备用于分发密钥给逻辑隔离模块。密钥分发设备可以是量子密钥分发设备或者是公钥分发体系设备,还可以通过人工预分配的方式将密钥分配给逻辑隔离模块。外网计算机和内网计算机之间采用数据线相互连接,数据线是串口数据线或者USB数据线。密钥采用的数据加密算法为AES或者DES或者SMl或者SM4或者流加密算法。
【主权项】
1.一种数据加密及隔离系统,包括由内网计算机组成的内网和由外网计算机组成的外网;其特征在于: 内网和外网之间通过物理隔离模块或者逻辑隔离模块连接; 所述物理隔离模块或者逻辑隔离模块用于将内网的数据进行加密并导出到外网; 所述物理隔离模块或者逻辑隔离模块还用于将外网的非加密数据进行单向导入内网; 所述物理隔离模块或者逻辑隔离模块还用于将外网的加密数据进行解密后导入内网。2.根据权利要求1所述的数据加密及隔离系统,其特征在于:所述内网为一个内网计算机或者所述内网由至少两个内网计算机组成。3.根据权利要求2所述的数据加密及隔离系统,其特征在于:所述内网计算机之间直接共享和交换信息或者所述内网计算机之间通过加密和解密的方式共享和交换信息。4.根据权利要求3所述的集团网络的量子数据加密及隔离系统,其特征在于:所述物理隔离模块为连接在内网计算机和外网计算机之间的数据中转器;所述数据中转器包括互斥开关、加解密模块和存储介质。5.根据权利要求3所述的集团网络的量子数据加密及隔离系统,其特征在于:所述逻辑隔离模块为两个分别设在外网计算机和内网计算机上的隔离代理模块。6.根据权利要求1或2或3或4或5所述的数据加密及隔离系统,其特征在于:所述物理隔离模块或者逻辑隔离模块采用传统密码方式或者量子密码将内网的数据进行加密并导出给外网;所述物理隔离模块或者逻辑隔离模块采用传统密码或者量子密码将外网的加密数据进行解密后导入内网。7.根据权利要求6所述的数据加密及隔离系统,其特征在于:还包括量子密钥分发设备QKD;所述量子密钥分发设备QKD用于分发量子密钥给物理隔离模块或者逻辑隔离模块。8.根据权利要求6所述的数据加密及隔离系统,其特征在于:通过人工预分配的方式将量子密钥分配给物理隔离模块或者逻辑隔离模块。9.根据权利要求6所述的数据加密及隔离系统,其特征在于:外网计算机和内网计算机之间采用数据线相互连接,数据线是串口数据线或者USB数据线。10.根据权利要求6所述的数据加密及隔离系统,其特征在于:密钥采用的数据加密算法为AES或者DES或者SMl或者SM4或者流加密算法。
【文档编号】H04L9/08GK105871902SQ201610353953
【公开日】2016年8月17日
【申请日】2016年5月25日
【发明人】苗春华, 王剑锋, 刘婧婧, 刘云, 赵义博, 韩正甫
【申请人】安徽问天量子科技股份有限公司