一种基于密码技术的网络数据安全防护方法

摘要

一种基于密码技术的网络数据安全防护方法，是运用密码、计算机和网络技术，在网络服务器端和各客户机端，分别设置一对相同的密码机，其加密算法使用对称密码算法，网络服务器硬盘上供用户浏览的秘密文件全部用其加密成密文，文件名不加密并注明该文件为密文，当用户登录网站后，能浏览网络服务器端这些密文的文件名，需要浏览其明文时，在客户机端用其密码机和密钥解密得到明文；客户机端需发送给网络服务器的文件，先加密再发送，使得网络服务器和客户机里的文件在网络上是以密文的形式传输，从而，实现网络数据的安全防护。

说明书

技术领域：

本发明涉及信息安全领域，是利用密码技术来实现网络数据的安全防护，该技术方法可保证网络数据的安全传输和存储，适用于政府、军队、工商、税务、银行、证券、保险、企业等单位的各种网站。

背景技术：

目前，国内外能同时解决网络数据的传输和存储安全的产品还没有，一些厂商生产的基于密码技术的网络数据安全防护产品，主要是采用CA认证技术、虚拟专用网技术和安全操作系统技术，这三类产品都有对网络数据加密处理功能，都能实现网络数据安全传输，但是，网络服务器中的文件都是以明文形式进行存储，数据的存储安全得不到保证，即不能完全防止黑客对文件的非法访问，也不能防止内部员工对文件的越权访问，同时，这三类产品都不同程度的造成局部信息“孤岛”现象；还有一些厂商生产的是用于数据存储安全的产品，是基于单个计算机的对硬盘加锁、或对文件夹加锁、或对文件进行加密等，这类产品都不具备网络化的数据安全存储功能，不能满足市场对网络数据安全防护的需求。

发明内容：

本网络数据安全防护方法是利用密码、计算机和网络技术来构建网络数据安全防护系统，是在客户机和网络服务器两端，分别设置一对相同的密码机，其加密算法使用对称密码算法，即：序列密码算法或分组密码算法，网络服务器硬盘上供用户浏览的秘密文件全部用其加密成密文，用户需要浏览密文的明文内容时，在客户机端用该端的密码机和密钥解密得到明文；客户机端需发送给网络服务器的文件，先加密再发送，使得网络服务器和客户机里的文件在网络上是以密文的形式传输，从而，实现网络数据的安全防护，全部过程由软、硬件结合方式实现，具体方法如下：

1、网络服务器端和客户机端的密码机用硬件实现或用软件实现，各客户机端存放一套专用密钥，并将其全部在网络服务器端备份；网络服务器端使用一套通用密钥，用于加密网络服务器端的文件，该套通用密钥不存放在网络服务器端，而分别存放在各客户机端用户的数字钥匙里。

2、在各客户机端存储一套用户的专用密钥，用于加密明文并将密文发送给网络服务器；网络服务器端备份的各用户的一套专用密钥，用于对客户机端发来的密文进行解密；客户机端存放的一套通用密钥，用于将网络服务器端的密文文件进行解密。

3、每个用户有一组用户号，用户号由N位数字或英文字母组成，其中：N＝4～16，与一套专用密钥一一对应。

4、在各客户机端的数字钥匙里，存放一组用户号、一套专用密钥和一套通用密钥，网络服务器端的数字钥匙里，存放一组固定的密钥K，该数字钥匙用硬件实现，是一支内置CPU智能芯片具有智能卡功能的USB硬件设备。

5、网络服务器端备份的各用户的一套专用密钥，是事先将其用固定密钥K，加密成“密密钥”后，再与对应的用户号一起存放在网络服务器的硬盘存储区。

6、网络服务器端将所有秘密文件，用该套通用密钥加密成密文，其中：文件名不加密，只注明“(密)”字样，将密文与其时间戳和随机码一并存放在网络服务器的硬盘存储区，为各合法用户提供文件浏览服务。

7、网络服务器端将所有非秘密文件不加密，以明文的形式存放在网络服务器的硬盘存储区，为各用户提供文件浏览服务。

8、每套密钥含通用和专用密钥，都是由T组“子密钥”组成，其中：T＝500～1500，每组“子密钥”为1～3字节，加密时，每次从T组“子密钥”中，随机选出R组“子密钥”合成一组密钥，其中：R＝8～16，用于对文件进行加解密。

9、时间戳为8位数字组成，包含：年为4位数字组成、月为2位数字组成、日为2位数字组成，由客户机或网络服务器的时间函数产生；随机码为R位数字组成，其中：R＝8～16，由客户机和网络服务器的随机函数产生，随机码R的个数与每次选出的“子密钥”的组数一致，由用户号、时间戳和随机码控制对“子密钥”的选取，其中：用户号不参与对该套通用密钥中“子密钥”的控制选取。

10、网络服务器端所有被加密的非关系型数据库文件，每个文件使用一组密钥进行加密，做到一次一密，密钥不重复使用；其加密过程是先对原文件进行关键词索引，建立索引文件，该索引文件包括关键词及其所在原文件的位置等参数，再对原文件和其索引文件进行加密生成密文；全部索引文件中的每组关键词，使用同一组密钥加密，其关键词所在原文件的位置等参数不加密，以保证用户快速检索关键词。

11、网络服务器端所有被加密的关系型数据库文件，每个字段使用一组密钥，每条记录使用同样的密钥，以提高文件检索的效率。

12、用户登录网站后，能浏览所有明文文件，且能浏览已被加密成密文文件的文件名，合法用户可以使用客户机端的密码机和通用密钥，在客户机端对该密文进行解密，并浏览其明文，其中：密钥的选取是根据时间戳和随机码从数字钥匙中选出，非法用户则不能对密文进行解密。

13、用户在对所有被加密的关系型数据库文件进行关键词检索过程中，将输入的关键词先加密成密文，以密关键词的形式，在关系型数据库文件的字段中进行检索。

14、用户在对所有被加密的非关系型数据库文件进行关键词检索过程中，将输入的关键词先加密成密文，以密关键词的形式，在已被加密的各索引文件中进行检索，若检索到关键词，则显示原文件的文件名和关键词在原文件中的位置。

15、客户机端拟发送给网络服务器端的文件，首先将该文件加密成密文再发送，并对该密文加注“(密)”字样，同时，在文件的头尾增加特殊符号，来区分文件是否为密文，若发送前不对文件进行加密处理，则网络服务器不接收明文文件。

16、网络服务器接收到的客户机端发来的密文，及其用户号、时间戳和随机码等参数后，根据其参数从对应的一套专用密钥中，选出一组“密密钥”，用其数字钥匙中的一组固定密钥K，对其进行解密生成一组密钥，再用该组密钥将密文解密成明文。

17、网络服务器对各用户登录网站的过程进行跟踪和监控，实时登记用户号、登录时间、挂线时间、浏览数据库的文件名、客户机的IP地址等参数，并对该参数进行统计、分析，为网络管理员提供用户的上网情况，同时，也对黑客可能攻击网站提供预警，并能警告黑客不要再进行攻击，否则，系统将根据其IP地址，自动对黑客的计算机进行还击，如：清除其计算机的部分操作系统文件等。

附图说明：

附图：网络数据安全防护方法的流程图

具体实施方式：

以下结合附图说明网络数据安全防护方法的实现步骤：

附图：说明网络服务器端将供用户浏览的所有明文文件，存放在网络服务器的硬盘存储区；用一套通用密钥，将网络服务器端供用户浏览的所有秘密文件加密成密文，该密文的文件名不加密，将文件名后注上“(密)”字，以区分明、密文件的不同，再将选取通用密钥的时间戳和随机码，与其对应的密文存放在网络服务器的硬盘存储区；网络用户登录网站后，能够随意浏览明文文件，也能够浏览密文文件的文件名，要访问其明文内容，用户使用客户机端的密码机和数字钥匙中的一套通用密钥，在客户机端对该密文进行解密生成明文，供用户浏览，当用户挂线即：退出网络时，客户机自动清除该被解密成明文的文件。