法律状态公告日
法律状态信息
法律状态
2016-12-14
专利权人的姓名或者名称、地址的变更 IPC(主分类):H04L9/00 变更前: 变更后: 申请日:20040203
专利权人的姓名或者名称、地址的变更
2010-04-28
授权
授权
2005-03-02
实质审查的生效
实质审查的生效
2004-12-29
公开
公开
技术领域:
本发明涉及信息安全领域,是利用密码技术来实现网络数据的安全防护,该技术方法可保证网络数据的安全传输和存储,适用于政府、军队、工商、税务、银行、证券、保险、企业等单位的各种网站。
背景技术:
目前,国内外能同时解决网络数据的传输和存储安全的产品还没有,一些厂商生产的基于密码技术的网络数据安全防护产品,主要是采用CA认证技术、虚拟专用网技术和安全操作系统技术,这三类产品都有对网络数据加密处理功能,都能实现网络数据安全传输,但是,网络服务器中的文件都是以明文形式进行存储,数据的存储安全得不到保证,即不能完全防止黑客对文件的非法访问,也不能防止内部员工对文件的越权访问,同时,这三类产品都不同程度的造成局部信息“孤岛”现象;还有一些厂商生产的是用于数据存储安全的产品,是基于单个计算机的对硬盘加锁、或对文件夹加锁、或对文件进行加密等,这类产品都不具备网络化的数据安全存储功能,不能满足市场对网络数据安全防护的需求。
发明内容:
本网络数据安全防护方法是利用密码、计算机和网络技术来构建网络数据安全防护系统,是在客户机和网络服务器两端,分别设置一对相同的密码机,其加密算法使用对称密码算法,即:序列密码算法或分组密码算法,网络服务器硬盘上供用户浏览的秘密文件全部用其加密成密文,用户需要浏览密文的明文内容时,在客户机端用该端的密码机和密钥解密得到明文;客户机端需发送给网络服务器的文件,先加密再发送,使得网络服务器和客户机里的文件在网络上是以密文的形式传输,从而,实现网络数据的安全防护,全部过程由软、硬件结合方式实现,具体方法如下:
1、网络服务器端和客户机端的密码机用硬件实现或用软件实现,各客户机端存放一套专用密钥,并将其全部在网络服务器端备份;网络服务器端使用一套通用密钥,用于加密网络服务器端的文件,该套通用密钥不存放在网络服务器端,而分别存放在各客户机端用户的数字钥匙里。
2、在各客户机端存储一套用户的专用密钥,用于加密明文并将密文发送给网络服务器;网络服务器端备份的各用户的一套专用密钥,用于对客户机端发来的密文进行解密;客户机端存放的一套通用密钥,用于将网络服务器端的密文文件进行解密。
3、每个用户有一组用户号,用户号由N位数字或英文字母组成,其中:N=4~16,与一套专用密钥一一对应。
4、在各客户机端的数字钥匙里,存放一组用户号、一套专用密钥和一套通用密钥,网络服务器端的数字钥匙里,存放一组固定的密钥K,该数字钥匙用硬件实现,是一支内置CPU智能芯片具有智能卡功能的USB硬件设备。
5、网络服务器端备份的各用户的一套专用密钥,是事先将其用固定密钥K,加密成“密密钥”后,再与对应的用户号一起存放在网络服务器的硬盘存储区。
6、网络服务器端将所有秘密文件,用该套通用密钥加密成密文,其中:文件名不加密,只注明“(密)”字样,将密文与其时间戳和随机码一并存放在网络服务器的硬盘存储区,为各合法用户提供文件浏览服务。
7、网络服务器端将所有非秘密文件不加密,以明文的形式存放在网络服务器的硬盘存储区,为各用户提供文件浏览服务。
8、每套密钥含通用和专用密钥,都是由T组“子密钥”组成,其中:T=500~1500,每组“子密钥”为1~3字节,加密时,每次从T组“子密钥”中,随机选出R组“子密钥”合成一组密钥,其中:R=8~16,用于对文件进行加解密。
9、时间戳为8位数字组成,包含:年为4位数字组成、月为2位数字组成、日为2位数字组成,由客户机或网络服务器的时间函数产生;随机码为R位数字组成,其中:R=8~16,由客户机和网络服务器的随机函数产生,随机码R的个数与每次选出的“子密钥”的组数一致,由用户号、时间戳和随机码控制对“子密钥”的选取,其中:用户号不参与对该套通用密钥中“子密钥”的控制选取。
10、网络服务器端所有被加密的非关系型数据库文件,每个文件使用一组密钥进行加密,做到一次一密,密钥不重复使用;其加密过程是先对原文件进行关键词索引,建立索引文件,该索引文件包括关键词及其所在原文件的位置等参数,再对原文件和其索引文件进行加密生成密文;全部索引文件中的每组关键词,使用同一组密钥加密,其关键词所在原文件的位置等参数不加密,以保证用户快速检索关键词。
11、网络服务器端所有被加密的关系型数据库文件,每个字段使用一组密钥,每条记录使用同样的密钥,以提高文件检索的效率。
12、用户登录网站后,能浏览所有明文文件,且能浏览已被加密成密文文件的文件名,合法用户可以使用客户机端的密码机和通用密钥,在客户机端对该密文进行解密,并浏览其明文,其中:密钥的选取是根据时间戳和随机码从数字钥匙中选出,非法用户则不能对密文进行解密。
13、用户在对所有被加密的关系型数据库文件进行关键词检索过程中,将输入的关键词先加密成密文,以密关键词的形式,在关系型数据库文件的字段中进行检索。
14、用户在对所有被加密的非关系型数据库文件进行关键词检索过程中,将输入的关键词先加密成密文,以密关键词的形式,在已被加密的各索引文件中进行检索,若检索到关键词,则显示原文件的文件名和关键词在原文件中的位置。
15、客户机端拟发送给网络服务器端的文件,首先将该文件加密成密文再发送,并对该密文加注“(密)”字样,同时,在文件的头尾增加特殊符号,来区分文件是否为密文,若发送前不对文件进行加密处理,则网络服务器不接收明文文件。
16、网络服务器接收到的客户机端发来的密文,及其用户号、时间戳和随机码等参数后,根据其参数从对应的一套专用密钥中,选出一组“密密钥”,用其数字钥匙中的一组固定密钥K,对其进行解密生成一组密钥,再用该组密钥将密文解密成明文。
17、网络服务器对各用户登录网站的过程进行跟踪和监控,实时登记用户号、登录时间、挂线时间、浏览数据库的文件名、客户机的IP地址等参数,并对该参数进行统计、分析,为网络管理员提供用户的上网情况,同时,也对黑客可能攻击网站提供预警,并能警告黑客不要再进行攻击,否则,系统将根据其IP地址,自动对黑客的计算机进行还击,如:清除其计算机的部分操作系统文件等。
附图说明:
附图:网络数据安全防护方法的流程图
具体实施方式:
以下结合附图说明网络数据安全防护方法的实现步骤:
附图:说明网络服务器端将供用户浏览的所有明文文件,存放在网络服务器的硬盘存储区;用一套通用密钥,将网络服务器端供用户浏览的所有秘密文件加密成密文,该密文的文件名不加密,将文件名后注上“(密)”字,以区分明、密文件的不同,再将选取通用密钥的时间戳和随机码,与其对应的密文存放在网络服务器的硬盘存储区;网络用户登录网站后,能够随意浏览明文文件,也能够浏览密文文件的文件名,要访问其明文内容,用户使用客户机端的密码机和数字钥匙中的一套通用密钥,在客户机端对该密文进行解密生成明文,供用户浏览,当用户挂线即:退出网络时,客户机自动清除该被解密成明文的文件。
机译: 一种能够保护基于动作的特定应用程序执行的安全防护设备及其方法
机译: 一种基于合作中继的蜂窝网络数据传输方法
机译: 一种基于合作中继的蜂窝网络数据传输方法