技術領域

本發明屬于計算機安全技術領域，尤其涉及一種數據安全交換方法、裝置、節點及系統。

背景技術

自1999年開始，互聯網在我國開始普及，目前我國的信息化建設獲得了巨大的發展。隨著互聯網的不斷發展，互聯網的互聯互通和信息共享已越來越廣泛，為大眾帶來了極大的便利。但是，某些網站，如政府、軍隊部門和企事業單位的網站等，出于安全性的考慮，通常設置為內網，其中雖然積累了大量的信息，但是由于內外網的限制，無法實現信息共享，該種網站中獨立、分散的數據會形成一個個“信息孤島”、“數據孤島”，嚴重影響了其信息化建設的進一步發展，也為信息化工作的開展帶來了不便。因此，如何解除內外網的隔離，安全的實現各個信息系統間數據同步、信息資源的交換和共享，消除信息孤島，是我國互聯網系統中亟待解決的一個重要問題。

現有技術中，實現隔離環境下的數據交換方法主要有以下四種：

一、將需要交換的數據刻錄成光盤，然后直接把光盤接入內網或外網計算機拷貝信息，完成信息交換。這種方法必須將信息全部刻錄成光盤，不夠方便，同時因為數據會保留在光盤中，所以完整數據交換之后，需要銷毀光盤來保證信息的安全，操作不便，因此，出現了第二種方法以實現數據的安全交換。

二、通過移動儲存介質，如USB閃存驅動器（U盤，USB?flash?disk）在內、外網主機上直接拷貝信息。這種方法比較方便，但容易造成病毒或者木馬在內、外網主機上直接竊取信息。并且，如果內網一臺計算機感染了木馬，很可能使得內網的所有計算機也感染相應的木馬，這樣內網所有的敏感信息都面臨著泄漏的風險。

三、使用專門的計算機作為數據交換節點，分別使用內網的U盤和外網的U盤來連接所述交換節點計算機，而這樣依然避免不了擺渡木馬等病毒的攻擊，安全性差。

四、鑒于第二種和第三種方法的安全性差，因此現在又出現了一種依靠移動存儲安全交換中間機進行數據安全交換的方法，移動存儲安全交換中間機，是專門的移動儲存介質數據交換設備，將內、外網的計算機連接，從物理上隔離內部網絡和外部網絡的直接數據交換。該方法使用了專用的交換設備，在一定程度上提高了交換效率，但是，使用該種方法，每兩臺相連接的內、外網計算機都需要配置一臺移動存儲中間機，代價大、成本高，不適合全面的推廣。

鑒于此，如何安全實現數據交換，成為亟待解決的問題。

發明內容

有鑒于此，本發明的目的在于提供一種數據安全交換方法、裝置、節點及系統，以解決現有技術在進行數據交換時所存在的安全性低、成本高、效率低，不適合全面推廣的問題。

本發明公開了一種數據安全交換方法，包括：

根據接收到的配置信息生成相應的配置文件，所述配置文件至少包括：當前需要交換數據的發送從節點和接收從節點組成的交換對象、交換任務、交換目錄和安全策略配置文件，所述發送從節點和接收從節點為從預先經過審核后存儲在主節點內的從節點集合中選取的從節點，所述交換目錄包括發送目錄和接收目錄，并將所述配置文件傳輸至當前需要交換數據的發送從節點和接收從節點；

根據從初始化后的所述發送從節點和接收從節點中獲取的完整性驗證信息，對所述發送從節點和接收從節點進行完整性驗證，以便通過完整性驗證的發送從節點和接收從節點對自身進行安全性驗證，并在安全性驗證結束后，產生證明請求信息；

接收到所述發送從節點和接收從節點傳輸的所述證明請求信息后，對所述發送從節點和接收從節點進行安全性驗證；

通過所述安全性驗證后，分別與所述發送從節點和接收從節點建立專用安全交換進程，以通過所述專用安全交換進程提取所述發送從節點中，根據所述安全策略配置文件提供的待過濾敏感詞和密碼進行過濾、加密處理后的待交換數據；

從所述發送從節點中提取所述過濾、加密后的待交換數據，對所述待交換數據進行驗證，并通過所述專用安全交換進程將所述驗證后的待交換數據推送至所述接收從節點。

優選的，所述主節點從所述初始化的發送從節點和接收從節點中獲取的完整性驗證信息包括與所述從節點相連接的安全交換卡傳輸的專用安全交換進程的身份證書CAn、專用安全交換進程的完整性標識Sla和專用安全交換進程的動態標識Dla。

優選的，對所述發送從節點和接收從節點進行安全性驗證的方法具體包括：

在接收到所述證明請求信息后，產生服務器標識和一個隨機數，并將所述服務器標識和隨機數傳輸至所述發送和接收從節點，以便所述發送從節點和接收從節點調用所述安全交換卡中的專用安全交換進程身份證書CAn的私鑰對所述服務器標識、隨機數和動態標識Dla進行簽名；