本发明专利技术提供一种实现安全信息导出的装置及方法,装置包括验签设备,所述验签设备连接有内网脱敏信息发送服务器和外网脱敏信息接收服务器,内网脱敏信息发送服务器设置在内网,外网脱敏信息接收服务器设置在外网;所述验签设备包括FPGA,FPAG连接有内网通信接口和外网通信接口、管理员KEY接口以及算法芯片;内网通信接口与内网脱敏信息发送服务器连接,外网通信接口与外网脱敏信息接收服务器连接。本发明专利技术使用FPGA实现验签设备功能,保证了验签设备无法被黑客攻击和劫持,能有效保证脱敏信息审批节点签名的脱敏信息与导出到外网系统的脱敏信息的一致性,且本发明专利技术采用电子化管理,提高办公效率,节省办公成本。
A device and method to export safety information
【技术实现步骤摘要】
一种实现安全信息导出的装置及方法
本专利技术属于网络安全领域,具体涉及一种实现安全信息导出的装置及方法。
技术介绍
目前很多单位的计算机办公网络系统分为两套,分别为内网系统和外网系统。内网系统用于处理单位内部的敏感信息。外网系统用于对外交流沟通。单位内部敏感信息是需要对外保密,不希望外界获悉的,因此内网系统与外网系统是隔离的,无法互联互通。但当敏感信息已脱敏,需要对外发布时,需要将内网系统的脱敏信息导出到外网系统中。为防止内网系统敏感信息泄露,目前脱敏信息向外网系统导出的管理方法为:发起人提出脱敏信息导出到外网系统的申请书,并签字;审批人对脱敏信息进行审核,并在申请书上签字;刻录人员将脱敏信息刻录到光盘上,并在申请书上签字;光盘由发起人带走,发布到外网系统中。目前的管理方法基本为纸质化管理,流程繁琐,管理成本高,并且由于审批人无法监控刻录到光盘中的信息,会造成审批信息与刻录信息不一致的情况。因此有敏感信息外泄的风险。此为现有技术的不足,因此,针对现有技术中的上述缺陷,提供一种实现安全信息导出的装置及方法,是非常有必要的。
技术实现思路
本专利技术的目的在于,针对上述现有的内网敏感信息管理方法基本为纸质化管理,流程繁琐,管理成本高,并且由于审批人无法监控刻录到光盘中的信息,会造成审批信息与刻录信息不一致的情况,有敏感信息外泄的风险的缺陷,提供一种实现安全信息导出的装置及方法,以解决上述技术问题。为实现上述目的,本专利技术给出以下技术方案:一种实现安全信息导出的装置,包括验签设备,所述验签设备连接有内网脱敏信息发送服务器和外网脱敏信息接收服务器,内网脱敏信息发送服务器设置在内网,外网脱敏信息接收服务器设置在外网;所述验签设备包括FPGA,FPAG连接有内网通信接口和外网通信接口、管理员KEY接口以及算法芯片;内网通信接口与内网脱敏信息发送服务器连接,外网通信接口与外网脱敏信息接收服务器连接。算法芯片,用于给验签设备提供验签算法;管理员KEY接口,用于提供验签设备启动所需的PKICA系统根证书;内网通信接口,用于从内网脱敏信息发送服务器获取数据包;外网通信接口,用于向外网脱敏信息接收服务器发送验签通过的脱敏信息;验签设备采用FPGA的数字电路逻辑实现验签功能,而不是像传统服务器那样依靠运行在RAM中的程序,可有效防止验签设备被内网系统中的木马病毒攻击和劫持,保证设备的有效性。进一步地,所述FPGA包括内网通信接口控制器、外网通信接口控制器、管理员KEY接口控制器以及算法芯片接口控制器,内网通信接口控制器与内网通信接口连接,外网通信接口控制器与外网通信接口连接,管理员KEY接口控制器与管理员KEY接口连接,算法芯片接口控制器与算法芯片连接;内网通信接口控制器连接有缓存模块,缓存模块连接有管理模块、证书解析模块以及摘要运算模块;管理模块还与外网通信接口控制器、管理员KEY接口控制器、证书解析模块、摘要运算模块以及验签模块连接;算法芯片接口控制器连接有验签模块;验签模块还与证书解析模块和摘要运算模块连接。内网通信接口控制器,用于实现内网通信与协议解析;外网通信接口控制器,用于实现外网通信与协议解析;管理员KEY接口控制器,用于实现管理员KEY通信与协议解析;算法芯片接口控制器,用于实现算法芯片通信与协议解析;缓存模块,用于缓存内网数据包;管理模块,用于实现设备权限控制,各功能模块配置与管理;证书解析模块,用于获取脱敏信息发起节点和脱敏信息审批节点证书签名值和证书公钥;摘要运算模块,用于对内网数据包进行摘要运算;验签模块,用于使用CA根证书公钥对脱敏信息发起节点和脱敏信息审批节点证书签名值进行验签,并使用脱敏信息发起节点和脱敏信息审批节点公钥对脱敏信息签名值进行验签。进一步地,所述摘要运算模块实现了SM3和SHA摘要算法。进一步地,所述内网通信接口采用USB接口、以太网接口或自定义接口。进一步地,所述缓存模块采用RAM缓存模块。进一步地,所述算法芯片包括SM2算法单元、RSA算法单元以及ECC算法单元;所述算法芯片接口控制器包括SM2算法芯片接口控制器、RSA算法芯片接口控制器和ECC算法芯片接口控制器。进一步地,所述外网通信接口采用单向发送光纤接口,验签设备通过单向发送光纤接口与外网脱敏信息接收服务器连接;外网通信接口控制器采用单向发送光纤控制器。外网通信接口采用单向发送光纤接口保证数据只能从验签设备流向外网系统,外网系统数据无法流向验签设备,可有效防止外网系统中的木马病毒对验签设备的攻击。进一步地,内网还设置有脱敏信息发起节点和脱敏信息审批节点,脱敏信息发起节点连接脱敏信息审批节点,脱敏信息审批节点连接内网脱敏信息发送服务器。脱敏信息发起单节点和脱敏信息审批节点在内网系统中,各自使用PKICA签发的KEY对需导出的脱敏信息进行签名。脱敏信息审批节点的数量可以有多个。本专利技术还给出如下技术方案:一种实现安全信息导出的方法,包括如下步骤:S1.管理员KEY连接验签设备,验签设备启动,管理员KEY接口将管理员KEY内部存有的PKICA系统根证书导入到验签设备;S2.脱敏信息发起节点和脱敏信息审批节点分别使用PKICA签发的KEY对需导出脱敏信息进行签名;S3.内网脱敏信息发送服务器将脱敏信息、脱敏信息发起节点和脱敏信息审批节点对脱敏信息的签名值以及脱敏信息发起节点和脱敏信息审批节点的公钥证书组合,生成脱敏信息导出数据包,发送给验签设备;S4.验签设备对脱敏信息导出数据包进行解析获取脱敏信息,并对脱敏信息进行验签;S5.若脱敏信息验签成功,验签设备将验签信息通过外网通信接口发送到外网脱敏信息接收服务器;S6.验签设备将验签结果通知内网脱敏信息发送服务器。进一步地,步骤S4具体步骤如下:S41.验签设备缓存内网发送的数据包;S42.验签设备通过包协议对数据包进行识别,提取脱敏信息导出数据包,并将无法识别的数据包丢弃;S43.验签设备使用CA根公钥对脱敏信息数据包中的脱敏信息发起节点证书和脱敏信息审批节点证书进行合法性验证;S44.若脱敏信息发起节点证书和脱敏信息审批节点证书验证成功,则使用脱敏信息发起节点证书和脱敏信息审批节点证书对脱敏信息进行验签。进一步地,若脱敏信息发起节点证书和脱敏信息审批节点证书验证失败,则销毁脱敏信息导出数据包。进一步地,步骤S5中,若脱敏信息验签失败,验签设备销毁脱敏信息。本专利技术的有益效果在于:本专利技术使用FPGA实现验签设备功能,保证了验签设备无法被黑客攻击和劫持,能有效保证脱敏信息审批节点签名的脱敏信息与导出到外网系统的脱敏信息的一致性,且本专利技术采用电子化管理,提高办公效率,节省办公成本。此外,本专利技术设计原理可靠,结构简单,具有非常广泛的应用前景。由此可见,本专利技术本文档来自技高网...
【技术保护点】
1.一种实现安全信息导出的装置,其特征在于,包括验签设备(1),所述验签设备(1)连接有内网脱敏信息发送服务器(2)和外网脱敏信息接收服务器(3),内网脱敏信息发送服务器(2)设置在内网,外网脱敏信息接收服务器(3)设置在外网;/n所述验签设备(1)包括FPGA(4),FPAG(4)连接有内网通信接口(5)和外网通信接口(6)、管理员KEY接口(7)以及算法芯片(8);/n内网通信接口(5)与内网脱敏信息发送服务器(2)连接,外网通信接口(6)与外网脱敏信息接收服务器(3)连接。/n
【技术特征摘要】
1.一种实现安全信息导出的装置,其特征在于,包括验签设备(1),所述验签设备(1)连接有内网脱敏信息发送服务器(2)和外网脱敏信息接收服务器(3),内网脱敏信息发送服务器(2)设置在内网,外网脱敏信息接收服务器(3)设置在外网;
所述验签设备(1)包括FPGA(4),FPAG(4)连接有内网通信接口(5)和外网通信接口(6)、管理员KEY接口(7)以及算法芯片(8);
内网通信接口(5)与内网脱敏信息发送服务器(2)连接,外网通信接口(6)与外网脱敏信息接收服务器(3)连接。
2.如权利要求1所述的一种实现安全信息导出的装置,其特征在于,所述FPGA(4)包括内网通信接口控制器(4.1)、外网通信接口控制器(4.2)、管理员KEY接口控制器(4.3)以及算法芯片接口控制器(4.4),内网通信接口控制器(4.1)与内网通信接口(5)连接,外网通信接口控制器(4.2)与外网通信接口(6)连接,管理员KEY接口控制器(4.3)与管理员KEY接口(7)连接,算法芯片接口控制器(4.4)与算法芯片(8)连接;
内网通信接口控制器(4.1)连接有缓存模块(4.5),缓存模块(4.5)连接有管理模块(4.6)、证书解析模块(4.7)以及摘要运算模块(4.8);
管理模块(4.6)还与外网通信接口控制器(4.2)、管理员KEY接口控制器(4.3)、证书解析模块(4.7)、摘要运算模块(4.8)、以及验签模块(4.9)连接;
算法芯片接口控制器(4.4)连接有验签模块(4.9);
验签模块(4.9)还与证书解析模块(4.7)和摘要运算模块(4.8)连接。
3.如权利要求1所述的一种实现安全信息导出的装置,其特征在于,所述摘要运算模块(4.8)实现了SM3摘要算法和SHA摘要算法。
4.如权利要求2所述的一种实现安全信息导出的装置,其特征在于,所述算法芯片(8)包括SM2算法单元、RSA算法单元以及ECC算法单元;
所述算法芯片接口控制器(4.4)包括SM2算法芯片接口控制器、RSA算法芯片接口控制器和ECC算法芯片接口控制器。
5.如权利要求2所述的一种实现安全信息导出的装置,其特征在于,所述外网通信接口(6)采用单向发送光纤接口...
【专利技术属性】
技术研发人员:王利明,宋晨,李栋,朱启超,孙宏跃,
申请(专利权)人:中国科学院信息工程研究所,中孚信息股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。