本发明专利技术公开了一种数据加密及隔离系统,包括由内网计算机组成的内网和由外网计算机组成的外网;内网和外网之间通过物理隔离模块或者逻辑隔离模块连接;所述物理隔离模块或者逻辑隔离模块用于将内网的数据进行加密并导出到外网;所述物理隔离模块或者逻辑隔离模块还用于将外网的非加密数据进行单向导入内网;所述物理隔离模块或者逻辑隔离模块还用于将外网的加密数据进行解密后导入内网。所述内网为一个内网计算机或者所述内网由至少两个内网计算机组成。本发明专利技术采用量子数据加密+数据中转器安全交换的解决方案来保障内部网之间的安全通信和内外部网之间安全数据交换,杜绝泄密事件的发生。
【技术实现步骤摘要】
本专利技术提供一种量子加密与数据隔离方案,尤其是涉及一种数据加密及隔离系统。
技术介绍
随着集团信息化的发展,集团内部单位都设有信息系统,这些信息系统运行在生产和办公的内部网络上,集团所有的重要数据都存储在内部网系统中。随着互联网络的迅猛发展,集团内部业务正不断向外延伸,数据交互日益频繁。然而内部网系统中的一些重要数据不能随意在互联网上传输,需要特殊保护。为保证其内部系统的信息安全性,必须控制好这些数据信息,对其采取严格的控制措施,一种方法是参考国家涉密计算机管理规定将内部网与外部网进行物理隔离,进而保障数据的安全。内部与外部网络做隔离处理后,一些信息的传递就会受到影响。外部网上数据要进入内网必须手工导入,内部网上的数据要在单位之间传递需要人工派送。随着业务应用的发展,有些数据需要实时传送,纯手工操作无法适用新的应用需求,因此需要把各个地方单位外部网络连接起来,通过网络传递。按照军工保密的要求,必须在内部和外部网之间采取相应的技术手段和管理措施,防范内部网的涉密文件泄漏到外部网络中。然而如何既能按照国家有关规定将内外网络隔离,又能实现内外网络的信息系统数据安全交换,使现有的资源得到最大利用。
技术实现思路
本专利技术的目的是针对上述现有技术的不足,提供一种数据加密及隔离系统,本集团网络的量子数据加密及隔离系统与方法采用量子数据加密+数据中转器安全交换的解决方案来保障内部网之间的信息传递和内外部网之间安全数据交换,杜绝泄密事件的发生。为实现上述技术目的,本专利技术采取的技术方案是:数据加密及隔离系统,包括由内网计算机组成的内网和由外网计算机组成的外网;其特征在于:内网和外网之间通过物理隔离模块或者逻辑隔离模块连接;所述物理隔离模块或者逻辑隔离模块用于将内网的数据进行加密并导出到外网;所述物理隔离模块或者逻辑隔离模块还用于将外网的非加密数据进行单向导入内网;所述物理隔离模块或者逻辑隔离模块还用于将外网的加密数据进行解密后导入内网。进一步的,所述内网为一个内网计算机或者所述内网由至少两个内网计算机组成。进一步的,所述内网计算机之间直接共享和交换信息或者所述内网计算机之间通过加密和解密的方式交换和共享信息。进一步的,所述物理隔离模块为连接在内网计算机和外网计算机之间的数据中转器;所述数据中转器包括互斥开关、加解密模块和存储介质。所述互斥开关是单刀双掷开关,同一时刻只能一边联通,另一边物理断开。进一步的,所述逻辑隔离模块为两个分别设在外网计算机和内网计算机上的隔离代理模块。外网计算机上的隔离代理将原始数据以文件形式从外网导入到内网,内网计算机上的隔离代理将内网数据以文件形式加密后导出到外网,导入导出过程隔离代理之间采用私有命令协议严格控制数据进出。进一步的,所述物理隔离模块或者逻辑隔离模块采用传统密码方式或者量子密码将内网的数据进行加密并导出给外网;所述物理隔离模块或者逻辑隔离模块采用传统密码或者量子密码将外网的加密数据进行解密后导入内网。进一步的,还包括量子密钥分发设备QKD;所述量子密钥分发设备QKD用于分发量子密钥给物理隔离模块或者逻辑隔离模块。进一步的,通过人工预分配的方式将量子密钥分配给物理隔离模块或者逻辑隔离模块。进一步的,外网计算机和内网计算机之间采用数据线相互连接,数据线是串口数据线或者USB数据线。进一步的,密钥采用的数据加密算法为AES或者DES或者SM1或者SM4或者流加密算法。内网计算机与外网计算机通过数据中转器相连;数据中转器用于提供数据的单向导入与加密导出,任何导出的数据都需要加密,且数据导入导出过程中内网和外网是物理隔离的;同一单位的内网计算机之间信息可以在内部局域网上共享和交换;数据中转器用于对不同单位之间的数据进行加密和解密;所述加密是指本单位的内网计算机用于将数据发送到本单位的数据中转器中,本单位的数据中转器使用量子密钥对数据加密,然后再摆渡到本单位的外网计算机上,本单位的外网计算机将加密的数据发送给对端单位的外网计算机;所述解密是指当加密的数据到达对端单位时,对端单位的外网计算机将加密的数据发送给对端单位的数据中转器,在对端单位的数据中转器将加密的数据被摆渡到对端单位的内网计算机之前,数据中转器使用量子密钥对加密的数据进行解密。此过程数据采用量子密钥进行加密,以保障数据在传输过程的安全。如果导入的数据是外网的非加密数据则直接通过数据中转器单向导入到内网计算机,不需要进行解密。通过数据中转器实现数据的单向导入与加密导出,任何导出的数据都需要加密,且数据导入导出过程中内网和外网是物理隔离的。本专利技术通过数据中转器将内网计算机和外网计算机相连;同一单位的内网计算机之间信息可以在内部局域网上共享和交换;不同单位之间的数据在数据中转器上进行加密和解密;所述加密包括以下步骤:将本单位的内网计算机上数据发送到本单位的数据中转器中,通过数据中转器使用量子密钥对数据加密,然后摆渡到本单位的外网计算机上,再发送到对端单位的外网计算机上;对端单位的外网计算机将加密的数据发送到对端单位的数据中转器,在对端单位的数据中转器将加密的数据摆渡到对端单位的内网计算机之前,对端单位的数据中转器使用量子密钥对加密的数据进行解密。此过程数据采用量子密钥进行加密,以保障数据在传输过程的安全。如果导入的数据是外网的非加密数据则直接通过数据中转器单向导入到内网计算机,不需要进行解密。通过数据中转器实现数据的单向导入与加密导出,任何导出的数据都需要加密,且数据导入导出过程中内网和外网是物理隔离的。本专利技术加密方案的密钥可以是任何方式的密码,优选量子密钥;密钥分发设备与数据加密模块连接;数据加密模块一种方案是放在数据中转器上如图2,另一种方案是放在内网计算机上如图3;图1是物理隔离方案,图4是逻辑隔离方案;逻辑隔离方案中,两台计算机采用数据线相互连接,数据线可以是串口数据线、USB数据线或其它方式的数据线。逻辑隔离方案中,内外网计算机中分别安装隔离代理模块,内网计算机上的隔离代理模块负责数据导入和加密导出,任何导出的数据都需要加密,如果导入的数据是外网的非加密数据则直接通过隔离代理单向导入到内网计算机,不需要进行解密。外网计算机上的隔离代理负责接收内网计算机导出的数据和向内网计算机导入数据。逻辑隔离方案实现简单方便,只需要在内网计算机上安装隔离代理即可。由于所有内网计算机的数据外发都进行了加密,攻击者无法得到明文,保障了数据传输的安全。数据加密算法可以采用AES,DES或者SM1或者SM4或者流加密或者其他的加密算法。所述外网计算机优选选用瘦计算机,所述瘦计算机是一台裁剪去了普通计算机上不需要的硬件单元并只提供日常网络办公用的必须软件的定制计算机。系统精简,价格也只是普通电脑的十分之一,且安全稳定。如图1所示,集团包含两个单位,每个单位内部建有两个网络,一个内网,一个外部网,内部网与外部网物理隔离。同一单位的内网计算机之间信息可以在内部局域网上共享和交换。不同单位之间的数据在数据中转器上进行加解密,内网计算机上数据发送到数据中转器中使用量子密钥加密,然后再“摆渡”到外网计算机上,当数据到达对端单位时,加密的数据被摆渡到内网计算机之前使用量子密钥进行解密。此过程数据采用量子密钥进行加密,以保障数据在传输过程的安全。如果导入的数本文档来自技高网...
【技术保护点】
一种数据加密及隔离系统,包括由内网计算机组成的内网和由外网计算机组成的外网;其特征在于:内网和外网之间通过物理隔离模块或者逻辑隔离模块连接;所述物理隔离模块或者逻辑隔离模块用于将内网的数据进行加密并导出到外网;所述物理隔离模块或者逻辑隔离模块还用于将外网的非加密数据进行单向导入内网;所述物理隔离模块或者逻辑隔离模块还用于将外网的加密数据进行解密后导入内网。
【技术特征摘要】
1.一种数据加密及隔离系统,包括由内网计算机组成的内网和由外网计算机组成的外网;其特征在于:内网和外网之间通过物理隔离模块或者逻辑隔离模块连接;所述物理隔离模块或者逻辑隔离模块用于将内网的数据进行加密并导出到外网;所述物理隔离模块或者逻辑隔离模块还用于将外网的非加密数据进行单向导入内网;所述物理隔离模块或者逻辑隔离模块还用于将外网的加密数据进行解密后导入内网。2.根据权利要求1所述的数据加密及隔离系统,其特征在于:所述内网为一个内网计算机或者所述内网由至少两个内网计算机组成。3.根据权利要求2所述的数据加密及隔离系统,其特征在于:所述内网计算机之间直接共享和交换信息或者所述内网计算机之间通过加密和解密的方式共享和交换信息。4.根据权利要求3所述的集团网络的量子数据加密及隔离系统,其特征在于:所述物理隔离模块为连接在内网计算机和外网计算机之间的数据中转器;所述数据中转器包括互斥开关、加解密模块和存储介质。5.根据权利要求3所述的集团网络的量子数据加密及隔离系统,其特征在于...
【专利技术属性】
技术研发人员:苗春华,王剑锋,刘婧婧,刘云,赵义博,韩正甫,
申请(专利权)人:安徽问天量子科技股份有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。