发明名称 |
一种基于公网数据传输信息系统的安全防护方法 |
摘要 |
一种基于公网数据传输信息系统的安全防护方法:S1主站部署带第一加解密模块的主站安全防护装置;S2终端部署带第二加解密模块的终端安全防护装置;S3设有离线数字证书系统;S4安全防护装置接收数据时先对数据包进行基于IP地址、端口号、协议号的数据包过滤,实现访问控制功能;S4通信双方建立加密隧道之前首先进行基于数字证书系统的身份认证,实现身份认证功能;S5主站发送信息先加密,在终端安全防护装置处解密,反之亦然;S7主站采用内外网双主机形式,内外网主机通过非网络方式连接,实现主站信息系统的非网络方式隔离。本发明的基于公网传输的数据不易被窃听泄漏和篡改,主站、终端用户身份不易被伪造,主站不易受渗透攻击。 |
申请公布号 |
CN102882859B |
申请公布日期 |
2015.08.05 |
申请号 |
CN201210338831.0 |
申请日期 |
2012.09.13 |
申请人 |
广东电网公司电力科学研究院;广东省电力调度中心 |
发明人 |
苏扬;梁智强;徐展强;邓大为;胡朝辉;江泽鑫;梁志宏;周强峰 |
分类号 |
H04L29/06(2006.01)I;H04L9/32(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
广州知友专利商标代理有限公司 44104 |
代理人 |
周克佑 |
主权项 |
一种基于公网数据传输信息系统的安全防护方法,所述的信息系统采用主站至终端或者终端至主站的工作形式,方法包括以下步骤:S1在信息系统主站的网络边界即信息系统主站的数据出口部署具有第一加解密模块的主站安全防护装置;S2在信息系统终端的网络边界即终端信息系统的数据出口部署具有第二加解密模块的终端安全防护装置;S3设有离线数字证书系统为主站安全防护装置和终端安全防护装置签发数字证书; S4通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份鉴别,确保通信双方身份的合法性; S5信息系统主站发送至信息系统终端的数据包首先在主站安全防护装置处加密,在终端安全防护装置处解密,反之亦然;所述的主站安全防护装置和终端安全防护装置提供访问控制功能,使用访问控制列表技术实现基于IP地址、端口号和网络协议的数据包过滤;所述的信息系统主站发往终端安全防护装置的数据包首先在主站安全防护装置的内网侧进行数据包加密,加密后的数据包摆渡到主站安全防护装置的外网侧并发往终端安全防护装置,终端安全防护装置对收到的数据包进行基于IP地址、端口号、协议类型的过滤,初步确认数据包的合法性以后,对数据包进行解密,将解密正确的数据发送到信息系统终端;所述的信息系统终端发往信息系统主站的数据包首先到达主站安全防护装置的外网侧,在外网侧进行基于IP地址、端口号、协议类型的数据包过滤,将初步确认身份数据包摆渡到主站安全防护装置的内网侧,在内网侧进行数据包解密,将解密正确的数据发送到信息系统主站;所述的主站安全防护装置采用内外网双主机的形式,内网主机连接信息系统主站内部的业务系统,外网主机连接公网,内网主机和外网主机通过非网络方式隔离,业务系统设备以及认证加密设备位于非网络隔离设备的内网侧。 |
地址 |
510080 广东省广州市东风东路水均岗8号 |