本发明涉及通信技术领域,更具体地,涉及一种基于数字加密技术的隔离环境数据传递装置及方法。
背景技术:
当前政府、银行、军队等保密单位内部大量部署内部涉密网络,这些网络环境与外部非涉密网络或广域互联网网络间数据导入/导出交互操作和信息备份,目前主要通过安全隔离网闸或通过光盘等媒介作为网间数据交互的物理隔离传送介质。传统的网闸设备成本较高,一般售价在几万到几十万不等,对于一些只是实现小量数据传输不定时传输应用的信息系统,增加了额外的成本和增加了实施费用;采用光盘等介质,需要借助人工管理,较为复杂,近年来虽然出现的自动机械手臂的刻录管理方式,整个系统比较复杂,可靠性较低,且在信息交换的实时性不高。
此外,除上述方式外,近年来出现了一些简易的单向传输装置,借助图像技术或射频技术进行数据传递,但存在如下的问题:一是在硬件方面需要借助于工控机或工业控制主板硬件,以及桌面操作系统或服务器操作系统,设备整体体积较大、成本高,同时,由于包含了许多不必要的功能模块,整体设备的可靠性降低;二是已有设备采用的一体化方式,并不能解决不同系统间数据的临时存储、中转等应用,特别是两个网络间距离较远的情况下,无法直接部署设备;三是数据传输过程缺乏有效的安全保护,数据容易遭到攻击,从而导致在数据交换过程中被替换、更改或信息泄露,影响了网络安全;四是大都采用网络接口方式,使得使用环境收到了限制。
技术实现要素:
为了解决背景技术存在的硬件成本高、保密性差等的问题,本发明提供了一种基于数字加密技术的隔离环境数据传递装置及方法,所述装置包括:可分离的发送设备和接收设备;
所述发送设备包括发送主控模块、加密模块、编码显示模块以及发送通信接口模块;
所述发送主控模块通过发送通信接口模块获取原文数据,将所述原文数据发送至加密模块进行加密得到加密数据,所述加密数据与原文数据拼接后得到编码信息;
所述加密模块用于对从发送主控模块获得的数据进行加密处理;
所述编码显示模块将发送主控模块生成的编码信息输出至显示设备,供接收设备采集;
所述发送通信接口模块用于提供发送设备与外部系统的数据传输接口,完成数据接收和反馈。
所述接收设备包括接收主控模块、解密模块、图像采集模块、数字图像处理模块以及接收通信接口模块;
所述接收主控模块轮询检测所述图像采集模块接收的图像信息,若检测到图像信息发生变换,采集图像信息传输至数字图像处理模块获得解码信息,对所述解码信息通过解密模块解密,完成数字签名验证,如果验证成功,通过接收通讯接口模块传出所述原文数据;
所述图像采集模块用于采集图像信息;
所述数字图像处理模块用于图像数据解析,将解析得到的解码信息发送给接收主控模块;
所述解密模块用于由接收主控模块获得的信息进行解密处理;
所述接收通信接口模块用于提供接收设备与外部系统的数据传输接口,完成数据接收和反馈。
进一步的,所述装置还包括存储模块;
所述存储模块用于保存所述编码信息;
所述发送主控模块检测工作模式为存储模式时,将所述编码信息存储至存储模块;若工作模式为直接转发模式,对所述编码信息进行图像转换编码,发送至编码显示模块进行编码显示。
进一步的,所述加密模块保存发送设备的私钥信息、证书信息以及提供给发送主控模块的算法支持,所述算法包括哈希运算、非对称加解密运算以及对称加解密运算;
所述原文数据为应用层协议包原数据。
进一步的,所述发送通信接口模块提供有线网络接口、无线网络接口、rs232串行接口和rs485串行接口。
所述接收通信接口模块提供有线网络接口、无线网络接口、rs232串行接口和rs485串行接口。
进一步的,所述加密模块对原文数据进行哈希运算,得到数字摘要信息;
所述加密模块使用发送设备私钥,根据非对称算法对所述数字摘要信息加密,得到数字签名;
所述发送主控模块将原文数据、数字签名以及发送设备公钥拼接,得到第一打包数据;
所述加密模块使用对称密钥,根据对称算法对所述第一打包数据进行加密运算,得到加密信息;
所述加密模块使用接收设备公钥,根据非对称算法对所述对称密钥加密,得到数字信封;
所述发送主控模块将加密信息和数字信封拼接,得到第二打包数据。
进一步的,所述主控模块直接工作于直接发送模式时,从所述存储模块逐条取出预先保存的数据,发送至编码显示模块供接收设备采集。
进一步的,所述接收设备还包括数字隔离器,所述发送设备通过数字隔离器对数据包是否发送完成进行确认,检测到确认信号时再发送下一包数据。
进一步的,所述解码信息包括加密信息和数字信封;
所述接收主控模块提取所述解码信息中的数字信封,通过解密模块使用接收设备私钥解密数字信封,得到对称密钥;
所述解密模块使用所述对称密钥根据对称算法解密所述解码信息中的加密信息,得到原文数据、数字签名及发送设备公钥;
所述解密模块使用所述发送设备公钥解密所述数字签名,得到第一数字摘要,使用所述第一数字摘要根据所述加密模块哈希算法对所述原文数据进行哈希运算,得到第二数字摘要;
所述接收主控模块比较第一数字摘要和第二数字摘要,如果相同则验证成功,如果不同则验证失败,抛弃该组原文数据,产生报警信息。
一种基于数字加密技术的可分离式隔离环境数据发送方法,其特征在于:
接收原文数据,对所述原文数据进行哈希运算,得到数字摘要信息,所述原文数据为应用层协议包原数据;
使用发送设备私钥,根据非对称算法对所述数字摘要信息加密,得到数字签名;
将原文数据、数字签名以及发送设备公钥拼接,得到第一打包数据;
使用对称密钥,根据对称算法对所述第一打包数据进行加密运算,得到加密信息;
使用接收设备公钥,根据非对称算法对所述对称密钥加密,得到数字信封;
将加密信息和数字信封拼接,得到第二打包数据;
若当前工作模式为存储模式时,存储所述第二打包数据;若工作模式为直接转发模式,对所述编码信息进行图像转换编码,发送以编码方式显示的所述第二打包数据。
进一步的,直接工作于直接发送模式时,提取预存的数据以编码方式显示所述第二打包数据。
进一步的,检测接收端数字隔离器发送的确认信号,当检测到确认信号时再发送下一包数据。
一种基于数字加密技术的可分离式隔离环境数据接收方法,其特征在于:
采集图像信息对其解析,获得解码信息;
提取所述解码信息中的数字信封,使用接收设备私钥解密数字信封,得到对称密钥;
使用所述对称密钥,根据对称算法解密所述解码信息中的加密信息,得到原文数据、数字签名以及发送设备公钥;
使用所述发送设备公钥解密所述数字签名,得到第一数字摘要,使用所述第一数字摘要,根据数据发送采用的哈希算法对所述原文数据进行哈希运算,得到第二数字摘要;
比较第一数字摘要和第二数字摘要,如果相同则验证成功,通过通讯接口模块传出原文数据;如果不同则验证失败,抛弃该组原文数据,产生报警信息。
本发明的有益效果为:本发明的技术方案,给出了一种基于数字加密技术的隔离环境数据传递装置,所述装置设置了可分离的发送端和接收端,实现两个系统距离较远情况下的数据导入;内置加密算法,采用数字信封技术确保数据不被篡改和伪造,实现在传输中对敏感数据的安全保密;采用嵌入式的设计方案,设备体积小、成本低;内置通讯模块支持更加丰富的硬件接口和协议,使得设备的应用场景适应性更广;可以在多网、多系统间的身份数据、金融数据、政府部门机要数据等重要加密数据转移和传输领域应用,前景广阔且易于推广。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为本发明具体实施方式的一种基于数字加密技术的隔离环境数据传递装置的结构图;
图2为本发明具体实施方式的一种基于数字加密技术的可分离式隔离环境数据发送方法的流程图;
图3为本发明具体实施方式的一种基于数字加密技术的可分离式隔离环境数据接收方法的流程图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为本发明具体实施方式的一种基于数字加密技术的隔离环境数据传递装置的流结构图;如图1所示,所述装置包括:
所述装置包括可分离的发送设备110和接收设备120;
所述发送设备110及接收设备120的硬件设计采用mcu处理器加嵌入式操作系统,去掉不必要的硬件电路和软件功能,降低装置成本和体积,增加可靠性;
发送设备110和接收设备120可分离,可以实现直接在两个隔离系统间进行单向数据传输,解决远距离数据导入困难的问题。
所述发送设备110包括发送主控模块1101、加密模块1102、编码显示模块1103以及发送通信接口模块1104。
其中,所述发送主控模块1101负责协调发送设备内部的处理逻辑和基本运算支持;通过发送通信接口模块1104获取原文数据,所述原文数据为应用层协议包原数据;将所述原文数据发送至加密模块1102进行加密得到加密数据,所述加密数据与原文数据拼接后得到编码信息。
所述加密模块1102用于对从发送主控模块1101获得的数据进行加密处理,所述加密模块1102保存发送设备的私钥信息、证书信息以及提供给发送主控模块的算法支持,所述算法包括哈希运算、非对称加解密运算以及对称加解密运算。
所述编码显示模块1103将发送主控模块1101生成的编码信息输出至显示设备,供接收设备采集。
所述发送通信接口模块1104用于提供发送设备与外部系统的数据传输接口,完成数据接收和反馈;所述发送通信接口模块提供有线网络接口、无线网络接口、rs232串行接口和rs485串行接口;实际中,也可根据需要扩展其他通讯接口,也可以根据保密网络要求禁用某类接口,增加装置的适用范围。
发送设备110发送数据时,首先由所述加密模块1102对原文数据进行哈希运算,得到数字摘要信息;
然后,由所述加密模块1102使用发送设备私钥,根据非对称算法对所述数字摘要信息加密,得到数字签名,所述非对称算法采用rsa算法;所述发送主控模块1101将原文数据、数字签名以及发送设备公钥拼接,得到第一打包数据;
接着,所述加密模块1102使用对称密钥,根据对称算法对所述第一打包数据进行加密运算,得到加密信息,所述对称算法采用3des算法;所述加密模块1102使用接收设备公钥,根据非对称算法对所述对称密钥加密,得到数字信封;
最后,所述发送主控模块1101将加密信息和数字信封拼接,得到第二打包数据,将所述第二打包数据发送至编码显示模块1103,供接收设备采集。
由此可以看出,加密模块1102使用数字信封技术确保数据不被篡改和伪造,同时无需系统上位机进行加密运算或增加额外加密硬件设备;同时对于未经认证和授权的人或终端,无法解析原数据,有效防止信息泄露,具有在传输中针对敏感数据的安全保密作用。
此外,所述发送设备110还包括存储模块1105,所述存储模块1105用于保存所述编码信息;
得到第二打包数据后,所述发送主控模块1101检测工作模式,若为存储模式时,将所述第二打包数据存储至存储模块1105,等待发送主控模块启动发送指令;若工作模式为直接转发模式,对所述第二打包数据进行图像转换编码,发送至编码显示模块1103进行编码显示。
所述接收设备120还包括数字隔离器,所述发送设备110通过数字隔离器对数据包是否发送完成进行确认,检测到确认信号时所述发送设备110再发送下一包数据。
此外,所述发送主控模块1101还可直接工作于直接发送模式,此时从存储模块1105中逐条取出已保存的数据,发送至编码显示模块1103,供接收设备采集。
具有存储模块1105的发送设备110可以作为保密存储装置,进行数据的移动,再进行导入,实现远距离数据单向传输。
所述接收设备120包括接收主控模块1201、解密模块1202、图像采集模块1203、数字图像处理模块1204以及接收通信接口模块1205;
所述接收主控模块1201轮询检测所述图像采集模块1203接收的图像信息,若检测到图像信息发生变换,采集图像信息传输至数字图像处理模块1204获得解码信息,对所述解码信息通过解密模块1202解密,完成数字签名验证,如果验证成功,通过接收通讯接口模块1205传出所述原文数据。
所述图像采集模块1203用于采集图像信息。
所述数字图像处理模块1204用于图像数据解析,将解析得到的解码信息发送给接收主控模块1201。
所述解密模块1202用于由接收主控模块1201获得的信息进行解密处理。
所述接收通信接口模块1205用于提供接收设备120与外部系统的数据传输接口,完成数据接收和反馈;所述接收通信接口模块1205提供有线网络接口、无线网络接口、rs232串行接口和rs485串行接口;实际中,与发送通信接口模块1104相同,也可根据需要扩展其他通讯接口,也可以根据保密网络要求禁用某类接口,增加装置的适用范围。
接收设备120接收所述发送设备110发送的数据时,首先由所述接收主控模块1201提取所述解码信息中的数字信封,通过解密模块1202使用接收设备私钥解密数字信封,得到对称密钥;
所述解密模块1202使用所述对称密钥,根据对称算法解密所述解码信息中的加密信息,得到原文数据、数字签名及发送设备公钥;
所述解密模,1202使用所述发送设备公钥解密所述数字签名,得到第一数字摘要,使用所述第一数字摘要根据所述加密模块哈希算法对所述原文数据进行哈希运算,得到第二数字摘要;
所述接收主控模块1201比较第一数字摘要和第二数字摘要,如果相同则验证成功,如果不同则验证失败,抛弃该组原文数据,产生报警信息。
如果采用两对发送设备和接收设备,将两对设备分别设置成不同方向,可以实现两个物理隔离系统之间的双向数据传输。
图2为本发明具体实施方式的一种基于数字加密技术的可分离式隔离环境数据发送方法的流程图;如图2所示,所述方法包括:
步骤210,接收原文数据,对所述原文数据进行哈希运算,得到数字摘要信息;
其中,所述原文数据为应用层协议包原数据。
步骤220,使用发送设备私钥,根据非对称算法对所述数字摘要信息加密,得到数字签名;
所述非对称算法采用rsa算法。
步骤230,将原文数据、数字签名以及发送设备公钥拼接,得到第一打包数据;
步骤240,使用对称密钥,根据对称算法对所述第一打包数据进行加密运算,得到加密信息;
所述对称算法采用3des算法。
步骤250,使用接收设备公钥,根据非对称算法对所述对称密钥加密,得到数字信封;
步骤260,将加密信息和数字信封拼接,得到第二打包数据;
步骤270,若当前工作模式为存储模式时,存储所述第二打包数据;若工作模式为直接转发模式,对所述编码信息进行图像转换编码,发送以编码方式显示所述的第二打包数据。
检测数据包是否发送成功的方式包括检测接收端数字隔离器发送的确认信号,若检测到确认信号时再发送下一包数据。
此外,如果工作模式为直接发送模式时,提取预存的数据以编码方式显示所述第二打包数据。
图3为本发明具体实施方式的一种基于数字加密技术的可分离式隔离环境数据接收方法的流程图;如图3所示,所述方法包括:
步骤310,采集图像信息对其解析,获得解码信息;
步骤320,提取所述解码信息中的数字信封,使用接收设备私钥解密数字信封,得到对称密钥;
步骤330,使用所述对称密钥,根据对称算法解密所述解码信息中的加密信息,得到原文数据、数字签名以及发送设备公钥;
步骤340,使用所述发送设备公钥解密所述数字签名,得到第一数字摘要,使用所述第一数字摘要,根据数据发送采用的哈希算法对所述原文数据进行哈希运算,得到第二数字摘要;
步骤350,比较第一数字摘要和第二数字摘要,如果相同则验证成功,通过通讯接口模块传出原文数据;如果不同则验证失败,抛弃该组原文数据,产生报警信息。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本公开的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。本说明书中涉及到的步骤编号仅用于区别各步骤,而并不用于限制各步骤之间的时间或逻辑的关系,除非文中有明确的限定,否则各个步骤之间的关系包括各种可能的情况。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本公开的范围之内并且形成不同的实施例。例如,在权利要求书中所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本公开的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本公开还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者系统程序(例如,计算机程序和计算机程序产品)。这样的实现本公开的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本公开进行说明而不是对本公开进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本公开可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干系统的单元权利要求中,这些系统中的若干个可以是通过同一个硬件项来具体体现。
以上所述仅是本公开的具体实施方式,应当指出的是,对于本领域的普通技术人员来说,在不脱离本公开精神的前提下,可以作出若干改进、修改、和变形,这些改进、修改、和变形都应视为落在本申请的保护范围内。
1.一种基于数字加密技术的隔离环境数据传递装置,其特征在于:
所述装置包括可分离的发送设备和接收设备;
所述发送设备包括发送主控模块、加密模块、编码显示模块以及发送通信接口模块;
所述发送主控模块通过发送通信接口模块获取原文数据,将所述原文数据发送至加密模块进行加密得到加密数据,所述加密数据与原文数据拼接后得到编码信息;
所述加密模块用于对从发送主控模块获得的数据进行加密处理;
所述编码显示模块将发送主控模块生成的编码信息输出至显示设备,供接收设备采集;
所述发送通信接口模块用于提供发送设备与外部系统的数据传输接口,完成数据接收和反馈。
所述接收设备包括接收主控模块、解密模块、图像采集模块、数字图像处理模块以及接收通信接口模块;
所述接收主控模块轮询检测所述图像采集模块接收的图像信息,若检测到图像信息发生变换,采集图像信息传输至数字图像处理模块获得解码信息,对所述解码信息通过解密模块解密,完成数字签名验证,如果验证成功,通过接收通讯接口模块传出所述原文数据;
所述图像采集模块用于采集图像信息;
所述数字图像处理模块用于图像数据解析,将解析得到的解码信息发送给接收主控模块;
所述解密模块用于由接收主控模块获得的信息进行解密处理;
所述接收通信接口模块用于提供接收设备与外部系统的数据传输接口,完成数据接收和反馈。
2.根据权利要求1所述的装置,其特征在于:
所述装置还包括存储模块;
所述存储模块用于保存所述编码信息;
所述发送主控模块检测工作模式为存储模式时,将所述编码信息存储至存储模块;若工作模式为直接转发模式,对所述编码信息进行图像转换编码,发送至编码显示模块进行编码显示。
3.根据权利要求1所述的装置,其特征在于:
所述加密模块保存发送设备的私钥信息、证书信息以及提供给发送主控模块的算法支持,所述算法包括哈希运算、非对称加解密运算以及对称加解密运算;
所述原文数据为应用层协议包原数据。
4.根据权利要求1所述的装置,其特征在于:
所述发送通信接口模块提供有线网络接口、无线网络接口、rs232串行接口和rs485串行接口。
所述接收通信接口模块提供有线网络接口、无线网络接口、rs232串行接口和rs485串行接口。
5.根据权利要求2所述的装置,其特征在于:
所述加密模块对原文数据进行哈希运算,得到数字摘要信息;
所述加密模块使用发送设备私钥,根据非对称算法对所述数字摘要信息加密,得到数字签名;
所述发送主控模块将原文数据、数字签名以及发送设备公钥拼接,得到第一打包数据;
所述加密模块使用对称密钥,根据对称算法对所述第一打包数据进行加密运算,得到加密信息;
所述加密模块使用接收设备公钥,根据非对称算法对所述对称密钥加密,得到数字信封;
所述发送主控模块将加密信息和数字信封拼接,得到第二打包数据。
6.根据权利要求2所述的装置,其特征在于:
所述主控模块直接工作于直接发送模式时,从所述存储模块逐条取出预先保存的数据,发送至编码显示模块供接收设备采集。
7.根据权利要求1所述的装置,其特征在于:
所述接收设备还包括数字隔离器,所述发送设备通过数字隔离器对数据包是否发送完成进行确认,检测到确认信号时再发送下一包数据。
8.根据权利要求1所述的装置,其特征在于:
所述解码信息包括加密信息和数字信封;
所述接收主控模块提取所述解码信息中的数字信封,通过解密模块使用接收设备私钥解密数字信封,得到对称密钥;
所述解密模块使用所述对称密钥根据对称算法解密所述解码信息中的加密信息,得到原文数据、数字签名及发送设备公钥;
所述解密模块使用所述发送设备公钥解密所述数字签名,得到第一数字摘要,使用所述第一数字摘要根据所述加密模块哈希算法对所述原文数据进行哈希运算,得到第二数字摘要;
所述接收主控模块比较第一数字摘要和第二数字摘要,如果相同则验证成功,如果不同则验证失败,抛弃该组原文数据,产生报警信息。
9.如权利要求1所述的数据发送处理方法,其特征在于:
接收原文数据,对所述原文数据进行哈希运算,得到数字摘要信息,所述原文数据为应用层协议包原数据;
使用发送设备私钥,根据非对称算法对所述数字摘要信息加密,得到数字签名;
将原文数据、数字签名以及发送设备公钥拼接,得到第一打包数据;
使用对称密钥,根据对称算法对所述第一打包数据进行加密运算,得到加密信息;
使用接收设备公钥,根据非对称算法对所述对称密钥加密,得到数字信封;
将加密信息和数字信封拼接,得到第二打包数据;
若当前工作模式为存储模式时,存储所述第二打包数据;若工作模式为直接转发模式,对所述编码信息进行图像转换编码,发送以编码方式显示的所述第二打包数据。
10.根据权利要求9所述的数据发送处理方法,其特征在于:
直接工作于直接发送模式时,提取预存的数据以编码方式显示所述第二打包数据。
11.根据权利要求9所述的数据发送处理方法,其特征在于:
检测接收端数字隔离器发送的确认信号,当检测到确认信号时再发送下一包数据。
12.一种如权利要求1所述的数据接收处理方法,其特征在于:
采集图像信息对其解析,获得解码信息;
提取所述解码信息中的数字信封,使用接收设备私钥解密数字信封,得到对称密钥;
使用所述对称密钥,根据对称算法解密所述解码信息中的加密信息,得到原文数据、数字签名以及发送设备公钥;
使用所述发送设备公钥解密所述数字签名,得到第一数字摘要,使用所述第一数字摘要,根据数据发送采用的哈希算法对所述原文数据进行哈希运算,得到第二数字摘要;
比较第一数字摘要和第二数字摘要,如果相同则验证成功,通过通讯接口模块传出原文数据;如果不同则验证失败,抛弃该组原文数据,产生报警信息。
技术总结