技術(shù)領(lǐng)域

本發(fā)明涉及一種密碼裝置，尤其是涉及一種采用非網(wǎng)絡(luò)方式隔離數(shù)據(jù)的密碼裝置。本發(fā)明還涉及一種基于所述密碼裝置的非網(wǎng)絡(luò)方式隔離數(shù)據(jù)的方法。

技術(shù)背景

近年來(lái)，網(wǎng)絡(luò)安全問(wèn)題日益突出，黑客入侵以及網(wǎng)絡(luò)攻擊現(xiàn)象日益增多，而隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷普及，公眾使用計(jì)算機(jī)的次數(shù)越來(lái)越多，特別是公用信息基礎(chǔ)設(shè)施建設(shè)推動(dòng)了政府、企業(yè)日益依賴各種信息系統(tǒng)，一些涉及國(guó)計(jì)民生的業(yè)務(wù)、系統(tǒng)受到了前所未有的安全挑戰(zhàn)，如維基解密網(wǎng)站泄漏了大量政府的機(jī)密信息；花旗集團(tuán)受黑客攻擊導(dǎo)致36多萬(wàn)的客戶賬戶信息被竊取；CSDN網(wǎng)站被攻擊導(dǎo)致600余萬(wàn)用戶資料被泄漏等。這些事故充分說(shuō)明網(wǎng)絡(luò)安全對(duì)國(guó)家、政府和企業(yè)的重要性。

國(guó)家、政府、企業(yè)的信息系統(tǒng)涉及到國(guó)家的安全、企業(yè)機(jī)密及公民的切身利益，其數(shù)據(jù)的安全性、準(zhǔn)確性必須得到充分的保障。為了加強(qiáng)信息系統(tǒng)的安全保護(hù)，國(guó)家、政府、企業(yè)大量使用專網(wǎng)、局域網(wǎng)、VPN等技術(shù)進(jìn)行防護(hù)，起到了良好的效果。

由于國(guó)家、政府、企業(yè)的信息系統(tǒng)大多和互聯(lián)網(wǎng)有數(shù)據(jù)交互，特別是現(xiàn)有的信息系統(tǒng)大部分采用總部—分支（即主站—終端）的工作模式，在主站和終端之間的通信鏈路存在數(shù)據(jù)易竊聽(tīng)泄漏、終端用戶易冒充、易受重放攻擊等安全風(fēng)險(xiǎn)，給國(guó)家、政府、企業(yè)的信息系統(tǒng)構(gòu)成了極大的威脅，因此必須對(duì)使用網(wǎng)絡(luò)的信息系統(tǒng)進(jìn)行安全保護(hù)。

信息系統(tǒng)的主站和終端之間一般通過(guò)網(wǎng)絡(luò)方式連接，主站和終端存在網(wǎng)絡(luò)連接關(guān)系，為黑客的入侵提供了通道，為此本專利提出一種密碼裝置的非網(wǎng)絡(luò)方式隔離數(shù)據(jù)處理方法，通過(guò)非網(wǎng)絡(luò)方式隔離切斷黑客網(wǎng)絡(luò)入侵的通道，切實(shí)保護(hù)信息系統(tǒng)的安全，本發(fā)明中的非網(wǎng)絡(luò)方式隔離數(shù)據(jù)處理方法的實(shí)現(xiàn)載體為密碼裝置。

到目前為止（2011年12月29號(hào)），國(guó)家知識(shí)產(chǎn)權(quán)局（http：//www.sipo.gov.cn/）的技術(shù)發(fā)明專利和實(shí)用新型專利中尚未檢索到“非網(wǎng)絡(luò)方式隔離數(shù)據(jù)處理方法”相關(guān)的發(fā)明專利。

發(fā)明內(nèi)容

本發(fā)明所要解決的第一個(gè)技術(shù)問(wèn)題，就是提供一種采用非網(wǎng)絡(luò)方式隔離數(shù)據(jù)的密碼裝置。

本發(fā)明所要解決的第二個(gè)技術(shù)問(wèn)題，就是提供一種基于上述的密碼裝置采用非網(wǎng)絡(luò)方式隔離數(shù)據(jù)的處理方法。

通過(guò)所述的密碼裝置和非網(wǎng)絡(luò)方式隔離數(shù)據(jù)的處理方法，本發(fā)明可實(shí)現(xiàn)信息系統(tǒng)的非網(wǎng)絡(luò)方式隔離，消除信息系統(tǒng)易入侵，特別是易受網(wǎng)絡(luò)攻擊等安全隱患，切斷黑客攻擊的通道，防止黑客入侵導(dǎo)致的安全事故。

解決上述第一個(gè)技術(shù)問(wèn)題，本發(fā)明采用的技術(shù)方案是：

一種采用非網(wǎng)絡(luò)方式隔離數(shù)據(jù)的密碼裝置，其特征是：包括內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī)，所述的內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī)通過(guò)串口、并口或者其它自定義私有總線協(xié)議非網(wǎng)絡(luò)方式連接，所述的內(nèi)網(wǎng)主機(jī)和信息系統(tǒng)內(nèi)部的主機(jī)相連，并主要負(fù)責(zé)數(shù)據(jù)的加解密。

所述的密碼裝置除非網(wǎng)絡(luò)方式隔離的功能以外，還具有加解密等功能。其采用非對(duì)稱密碼算法實(shí)現(xiàn)通信雙方身份認(rèn)證及會(huì)話密鑰的協(xié)商；采用對(duì)稱密碼算法實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的加解密。從裝置的安全性考慮，將在內(nèi)網(wǎng)主機(jī)上實(shí)現(xiàn)數(shù)據(jù)的加解密功能，設(shè)備密鑰、會(huì)話密鑰不出現(xiàn)在外網(wǎng)主機(jī)，防止外網(wǎng)主機(jī)被劫持以后，密鑰被竊取。

也即，在上述基礎(chǔ)上，本發(fā)明還可以作如下的改進(jìn)：

1）密碼裝置設(shè)有加解密模塊并部署在內(nèi)網(wǎng)主機(jī)；

2）密碼裝置設(shè)有的設(shè)備私鑰保存在內(nèi)網(wǎng)主機(jī)的非易失存儲(chǔ)區(qū)，這樣不會(huì)因?yàn)樵O(shè)備掉電而丟失；

3）密碼裝置會(huì)話密鑰動(dòng)態(tài)協(xié)商產(chǎn)生并保存在內(nèi)網(wǎng)主機(jī)的易失存儲(chǔ)區(qū)，會(huì)話密鑰在通信結(jié)束、連接端口斷開(kāi)、設(shè)備斷電情況下自動(dòng)銷毀；

4）外網(wǎng)主機(jī)根據(jù)會(huì)話密鑰更新觸發(fā)條件發(fā)起會(huì)話密鑰更新請(qǐng)求，內(nèi)網(wǎng)主機(jī)生成會(huì)話密鑰，外網(wǎng)主機(jī)調(diào)用內(nèi)網(wǎng)主機(jī)的密碼運(yùn)算服務(wù)對(duì)會(huì)話密鑰進(jìn)行安全性處理。

上述第二個(gè)技術(shù)問(wèn)題的解決，本發(fā)明采用的技術(shù)方案是：

一種基于所述的裝置采用非網(wǎng)絡(luò)方式隔離數(shù)據(jù)的處理方法：

對(duì)進(jìn)入信息系統(tǒng)的數(shù)據(jù)采用以下步驟：

S1外網(wǎng)主機(jī)對(duì)數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)層過(guò)濾；

S2外網(wǎng)主機(jī)對(duì)網(wǎng)絡(luò)層過(guò)濾后的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)層（三層）剝離，去掉數(shù)據(jù)包的IP頭等信息，提取出數(shù)據(jù)包的四層及以上的信息；

S3外網(wǎng)主機(jī)將剝離后的數(shù)據(jù)包的四層及以上的信息通過(guò)串口、并口或者自定義私有協(xié)議的非網(wǎng)絡(luò)方式發(fā)送到內(nèi)網(wǎng)主機(jī)；

S4內(nèi)網(wǎng)主機(jī)對(duì)外網(wǎng)主機(jī)發(fā)送的數(shù)據(jù)包的四層及以上的信息進(jìn)行數(shù)據(jù)源驗(yàn)證和審查，；

S5內(nèi)網(wǎng)主機(jī)對(duì)接收到的數(shù)據(jù)包的四層及以上的信息進(jìn)行解密；

S6內(nèi)網(wǎng)主機(jī)根據(jù)解密結(jié)果判斷數(shù)據(jù)包的四層及以上的信息的合法性