本发明涉及信息安全,具体涉及一种隐私区与通信区之间的数据安全交换系统。
背景技术:
1、随着信息技术的不断发展,各类数据通信系统在运行过程中需要频繁地传输文件数据。数据传输是指将文件从一个位置传输到另一个位置的过程。针对有着严格安全要求的系统,如何安全可控地实现数据传输成为一个亟需解决的问题。
2、传统的数据传输权限控制通常采用集中式管理的方式,所有权限配置信息均保存在统一的管理系统中,各终端设备需要与管理系统实时交互以获取权限信息。这种方式存在一定缺陷,例如管理系统一旦出现故障,将影响所有终端的正常运行;此外,终端与管理系统之间的通信链路也可能被攻击者窃取或篡改信息。
3、另一种权限控制思路是将权限配置信息分发存储到各个终端本地,终端根据本地权限信息控制文件传输。但这种分布式方式难以及时、动态地更新权限配置,无法满足实际应用的安全管控需求。
技术实现思路
1、为解决上述问题,本发明公开了一种隐私区与通信区之间的数据安全交换系统。
2、该系统包括隐私区、隔离区、加密区以及通信区,所述加密区包含有量子安全业务模块,其特征在于,所述隐私区通过隔离区与通信区形成数据发送和接收通道;
3、所述数据安全交换系统的数据交换包括:数据传输控制和数据安全隔离;
4、其中,所述数据传输控制的过程包括:
5、由量子安全业务模块控制所述隔离区是否允许待传输数据通过所述隔离区转发至所述隐私区或通信区;
6、所述数据安全隔离的过程包括:
7、由所述隔离区确定待传输数据是否符合数据安全隔离策略,并允许确定安全的待传输数据发送至所述隐私区或通信区。
8、在具体的方案中,所述量子安全业务模块控制所述隔离区的过程包括:
9、量子安全业务模块根据权限配置端的权限开关状态配置信息匹配并生成对应的传输控制策略,将所述传输控制策略发送至所述隔离区;
10、所述隔离区根据所述传输控制策略确定否允许待传输数据通过所述隔离区转发至所述隐私区或通信区。
11、其中,量子安全业务模块生成传输控制策略的过程包括:
12、在量子安全业务模块中预先配置多条策略规则,每条策略规则对应一种隐私区、通信区和隔离区权限状态的组合;
13、权限配置端将隐私区、通信区和隔离区的权限开关状态配置信息发送至量子安全业务模块;
14、量子安全业务模块接收所述配置信息,根据所述配置信息匹配到对应的策略规则;
15、量子安全业务模块将所匹配的策略规则对应的控制指令,作为传输控制信息发送至隔离区。
16、上述策略规则包括允许数据传输、禁止数据传输和仅允许单向传输控制指令。
17、在一种可能得实施方式中,所述数据安全隔离策略包括基于数据内容检查的隔离、基于数据格式检查的隔离、基于发送端身份验证的隔离和基于接收端身份授权的隔离策略。
18、所述传输控制策略按预设的数据格式进行存储。
19、此外,所述量子安全业务模块对所述传输控制策略进行量子加密处理后,再存储于本地。
20、具体的,所述量子安全业务模块进一步包含有量子加解密单元,所述量子加解密单元用于根据预置的量子随机数密钥对数据进行量子加解密处理。
21、在具体的方案中,所述权限配置端包括服务器、个人电脑和移动设备中的一种或多种。
22、本申请实施例的方案将数据传输权限的控制逻辑分离于数据传输通路之外,由专门的量子安全业务模块执行。数据传输控制功能交由加密区中的量子安全业务模块实现,使得隔离区只需关注数据安全隔离,而无需处理传输控制策略的生成和更新,减轻了隔离区的计算负担,从而提高了整体数据传输效率。此外,数据可以直接在隐私区和通信区之间传输,减少了数据在多个区域之间传输的延迟。隔离区根据控制信息决定是否转发数据,从而实现了权限控制和数据传输的物理隔离,提升了系统的安全性。
1.一种隐私区与通信区之间的数据安全交换系统,该系统包括隐私区、隔离区、加密区以及通信区,所述加密区包含有量子安全业务模块,其特征在于,所述隐私区通过隔离区与通信区形成数据发送和接收通道;
2.根据权利要求1所述的数据安全交换系统,其特征在于,所述量子安全业务模块控制所述隔离区的过程包括:
3.根据权利要求2所述的数据安全交换系统,其特征在于,量子安全业务模块生成传输控制策略的过程包括:
4.根据权利要求3所述的数据安全交换系统,其特征在于,所述策略规则包括允许数据传输、禁止数据传输和仅允许单向传输控制指令。
5.根据权利要求1所述的数据安全交换系统,其特征在于,所述数据安全隔离策略包括基于数据内容检查的隔离、基于数据格式检查的隔离、基于发送端身份验证的隔离和基于接收端身份授权的隔离策略。
6.根据权利要求2所述的数据安全交换系统,其特征在于,所述传输控制策略按预设的数据格式进行存储。
7.根据权利要求2所述的数据安全交换系统,其特征在于,所述对所述传输控制策略进行量子加密处理后,再存储于本地。
8.根据权利要求7所述的数据安全交换系统,其特征在于,所述量子安全业务模块进一步包含有量子加解密单元,所述量子加解密单元用于根据预置的量子随机数密钥对数据进行量子加解密处理。
9.根据权利要求2所述的数据安全交换系统,其特征在于,所述权限配置端包括服务器、个人电脑和移动设备中的一种或多种。