基于網(wǎng)絡(luò)隔離技術(shù)的信息資源共享方案研究

敖麟欽+陳卓

摘要：為有效避免各類網(wǎng)絡(luò)攻擊導(dǎo)致企業(yè)內(nèi)部數(shù)據(jù)泄露，目前最有效的方法是將企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行物理鏈路隔離。使用網(wǎng)閘實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)雙向擺渡，容易造成內(nèi)網(wǎng)數(shù)據(jù)大量泄露，無法應(yīng)用于安全保護(hù)等級較高的企業(yè)網(wǎng)；同時(shí)現(xiàn)有網(wǎng)絡(luò)隔離技術(shù)對傳輸數(shù)據(jù)的協(xié)議剝離，容易導(dǎo)致信息泄露，形成新的安全漏洞。為此，提出一種新的信息資源共享方案，利用網(wǎng)絡(luò)安全邊界平臺將外網(wǎng)信息單向?qū)雰?nèi)網(wǎng)，在內(nèi)網(wǎng)通過可信任第三方短信平臺將信息反饋至外網(wǎng)終端，有效控制內(nèi)網(wǎng)數(shù)據(jù)輸出，最終完成企業(yè)內(nèi)部數(shù)據(jù)資源共享；運(yùn)用改進(jìn)的DES/RSA混合加密算法對傳輸數(shù)據(jù)文件進(jìn)行加密和身份認(rèn)證，避免網(wǎng)閘協(xié)議剝離導(dǎo)致的信息泄露。設(shè)計(jì)并實(shí)現(xiàn)了一款SMS信息查詢系統(tǒng)，實(shí)例分析證明該方案在安全和效率等方面能夠滿足預(yù)定要求。

關(guān)鍵詞：網(wǎng)絡(luò)隔離；網(wǎng)絡(luò)安全邊界；DES算法；RSA算法；SMS

DOIDOI：10.11907/rjdk.162896

中圖分類號：TP391

文獻(xiàn)標(biāo)識碼：A 文章編號：1672-7800（2017）006-0163-05

0 引言

隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，政府、安全、金融等保密要求較高的單位對移動(dòng)信息化解決方案的需求日益迫切。當(dāng)前，普遍采用的方式是添置網(wǎng)絡(luò)隔離設(shè)備來保護(hù)內(nèi)部網(wǎng)絡(luò)安全，從物理鏈路上斷開內(nèi)網(wǎng)與外網(wǎng)不可信任的直接網(wǎng)絡(luò)連接，在外網(wǎng)終端通過數(shù)字證書、安全USIM卡等方式進(jìn)行安全加固，保持在安全可控的條件下進(jìn)行適度的數(shù)據(jù)交換[1-2]。但是，此方法使用的外網(wǎng)終端仍采用傳統(tǒng)路由協(xié)議（物理鏈路采用專用VPN）實(shí)現(xiàn)與安全邊界的數(shù)據(jù)交換，為了保證數(shù)據(jù)安全，在外網(wǎng)終端與內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)交互時(shí)必須切斷互聯(lián)網(wǎng)的網(wǎng)絡(luò)物理連接，導(dǎo)致外網(wǎng)終端僅成為內(nèi)網(wǎng)終端的一種變向“移動(dòng)”擴(kuò)展，使用極為不便。同時(shí)可通過在外網(wǎng)終端植入惡意程序，當(dāng)終端接入內(nèi)網(wǎng)時(shí)自動(dòng)下載數(shù)據(jù)并存儲在本地硬盤，然后可通過互聯(lián)網(wǎng)或移動(dòng)介質(zhì)導(dǎo)出數(shù)據(jù)，由此可導(dǎo)致大量內(nèi)網(wǎng)數(shù)據(jù)泄露；另一方面，各類硬件加密及認(rèn)證設(shè)備的配置耗資巨大，專用數(shù)字證書及USIM卡屬于移動(dòng)涉密部件，易被其它非法用戶竊用；同時(shí)，使用雙向網(wǎng)閘進(jìn)行數(shù)據(jù)包協(xié)議剝離極易造成數(shù)據(jù)泄密，復(fù)雜性、安全性和高成本導(dǎo)致此方案無法大規(guī)模深入推廣和應(yīng)用。

1 方案介紹

本文提出一種成本低、安全性高、可大規(guī)模推廣應(yīng)用的內(nèi)外網(wǎng)信息資源共享方案，數(shù)據(jù)導(dǎo)入、輸出分別通過完全獨(dú)立的網(wǎng)絡(luò)鏈路。外網(wǎng)終端傳送數(shù)據(jù)采用改進(jìn)的DES/RSA混合加密算法進(jìn)行應(yīng)用層數(shù)據(jù)加密和身份認(rèn)證，避免在網(wǎng)絡(luò)協(xié)議剝離過程中造成數(shù)據(jù)泄露，此算法兼顧DES算法的高效性和RSA算法的高安全性，加密數(shù)據(jù)可通過互聯(lián)網(wǎng)傳送至網(wǎng)絡(luò)安全邊界，由光閘進(jìn)行數(shù)據(jù)協(xié)議剝離和數(shù)據(jù)擺渡至內(nèi)網(wǎng)[3]，經(jīng)內(nèi)網(wǎng)程序解密和業(yè)務(wù)處理，結(jié)果經(jīng)加密后，通過可信任第三方短信平臺單向輸出至外網(wǎng)終端，由外網(wǎng)終端解密獲取信息，最終完成業(yè)務(wù)數(shù)據(jù)交互。

本方案主要分為三部分：①外網(wǎng)數(shù)據(jù)采集及加密；②網(wǎng)絡(luò)安全隔離區(qū)對數(shù)據(jù)的單向傳輸；③數(shù)據(jù)在內(nèi)網(wǎng)的解密、應(yīng)用和信息反饋（見圖1）。整個(gè)方案中，網(wǎng)絡(luò)安全隔離區(qū)中的單向光閘確保數(shù)據(jù)“只進(jìn)不出”，第三方短信平臺的應(yīng)用可以有效控制數(shù)據(jù)輸出，避免信息的大量泄露；DES/RSA混合加密算法的應(yīng)用是確保數(shù)據(jù)內(nèi)容僅能被數(shù)據(jù)擁有者或授權(quán)使用者使用，避免非法第三方竊取信息，可適用于涉密信息的傳送。

1.1 外網(wǎng)數(shù)據(jù)采集及加密

在外網(wǎng)設(shè)置應(yīng)用服務(wù)器，用戶可通過PC電腦和移動(dòng)互聯(lián)網(wǎng)終端（手機(jī)、平板等）發(fā)送信息，信息載體可以是TCP/IP或SMS數(shù)據(jù)包，應(yīng)用服務(wù)器在接收數(shù)據(jù)文件后進(jìn)行數(shù)據(jù)校驗(yàn)，并使用DES加密算法進(jìn)行加密并形成DES數(shù)據(jù)包，DES加密完成后采用RSA算法對產(chǎn)生的DES密鑰進(jìn)行加密和數(shù)字簽名，形成RSA加密數(shù)據(jù)包和認(rèn)證數(shù)據(jù)包，最后將所有數(shù)據(jù)包合并發(fā)送至網(wǎng)絡(luò)安全隔離區(qū)。

1.2 網(wǎng)絡(luò)安全隔離區(qū)

網(wǎng)絡(luò)安全隔離區(qū)主要由IPS（入侵防御系統(tǒng)）、FW（防火墻）、安全審計(jì)、鑒別評估、身份認(rèn)證等網(wǎng)絡(luò)安全和網(wǎng)絡(luò)隔離等設(shè)備組成（見圖2）。其中，網(wǎng)絡(luò)隔離設(shè)備為核心部件，其主要功能是進(jìn)行數(shù)據(jù)包的網(wǎng)絡(luò)協(xié)議剝離及轉(zhuǎn)換、數(shù)據(jù)擺渡，確保數(shù)據(jù)單向?qū)雰?nèi)網(wǎng)。

IPS/FW即由入侵防御系統(tǒng)和防火墻組成的網(wǎng)絡(luò)安全系統(tǒng)，主要用于阻斷外網(wǎng)用戶非法進(jìn)入企業(yè)內(nèi)網(wǎng)，而入侵防御系統(tǒng)是對防火墻功能的補(bǔ)充，它能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為，有效阻斷惡意代碼攻擊和非法連接。

身份認(rèn)證系統(tǒng)實(shí)現(xiàn)移動(dòng)終端和安全隔離區(qū)接入設(shè)備之間的雙向身份認(rèn)證，保證持有合法身份證書的移動(dòng)終端才能接入安全隔離區(qū)。

安全隔離區(qū)配置了安全審計(jì)、鑒別評估等邊界安全防護(hù)措施，它們的主要功能是實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包、用戶操作過程的跟蹤記錄，并根據(jù)一定規(guī)則識別可疑用戶，在外網(wǎng)終端接入內(nèi)網(wǎng)之前進(jìn)行安全防護(hù)；網(wǎng)絡(luò)隔離設(shè)備從物理鏈路上斷開內(nèi)網(wǎng)與外網(wǎng)之間不可信任的直接網(wǎng)絡(luò)連接，安全隔離區(qū)充分解決了外網(wǎng)接入內(nèi)網(wǎng)的安全問題。

1.3 內(nèi)網(wǎng)數(shù)據(jù)應(yīng)用及反饋

內(nèi)網(wǎng)應(yīng)用服務(wù)器從網(wǎng)絡(luò)隔離設(shè)備中讀取傳入數(shù)據(jù)文件，根據(jù)約定協(xié)議對文件的DES和RSA加密部分進(jìn)行分離，首先用自己的私鑰和傳送對端的公鑰對接收數(shù)據(jù)文件進(jìn)行身份認(rèn)證并獲取DES密鑰，利用獲取的DES密鑰解密文件數(shù)據(jù)部分，最終獲取有效信息。

根據(jù)獲取的信息，經(jīng)數(shù)據(jù)庫查詢獲取結(jié)果，由內(nèi)網(wǎng)的敏感信息審核模塊進(jìn)行反饋結(jié)果審核，審核通過后由內(nèi)網(wǎng)應(yīng)用服務(wù)器使用RSA算法對反饋信息進(jìn)行應(yīng)用層加密，通過調(diào)用可信任第三方短信平臺將數(shù)據(jù)以SMS（Short Message Service）形式反饋外網(wǎng)終端，外網(wǎng)終端獲取SMS數(shù)據(jù)包后使用自己私鑰解密獲取信息，最終完成整個(gè)業(yè)務(wù)流程。由于SMS負(fù)載的信息傳輸效率較低，每條SMS在PDU模式下最多能傳送140Byte數(shù)據(jù)，同時(shí)反饋程序采用限制用戶反饋次數(shù)的策略，可以有效防止大量信息泄露。

2 網(wǎng)絡(luò)安全隔離區(qū)

網(wǎng)絡(luò)安全隔離的基本原理是[3]：切斷網(wǎng)絡(luò)之間的通用協(xié)議連接（TCP/IP），將外網(wǎng)數(shù)據(jù)包分解重組為靜態(tài)數(shù)據(jù)；對靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；再將確認(rèn)后的安全數(shù)據(jù)導(dǎo)入內(nèi)網(wǎng)，內(nèi)網(wǎng)用戶通過嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)。為了保證內(nèi)部數(shù)據(jù)的絕對安全，在實(shí)現(xiàn)互聯(lián)網(wǎng)與等級保護(hù)評定較高的網(wǎng)絡(luò)以及涉密網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換時(shí)，必須采用單向?qū)雮鬏斣O(shè)備進(jìn)行安全隔離保護(hù)。單向網(wǎng)絡(luò)隔離主要采用數(shù)據(jù)二極管技術(shù)和分光技術(shù)，分光技術(shù)由于采用光作為傳輸介質(zhì)，在傳輸速率、穩(wěn)定性等各方面具有較大優(yōu)勢，代表了網(wǎng)絡(luò)隔離設(shè)備未來發(fā)展方向。

2.1 單向光閘

單向光閘是一種基于分光技術(shù)的數(shù)據(jù)還原裝置，它由兩臺計(jì)算機(jī)、一個(gè)分光器等部分組成。它采用分光鏡像的原理，通過分光器將源主機(jī)上的數(shù)據(jù)鏡像到目標(biāo)主機(jī)上，最終實(shí)現(xiàn)數(shù)據(jù)的單向傳輸（見圖3）。分光器是組建光通道網(wǎng)絡(luò)的一個(gè)組件，是一個(gè)連接光纜終端設(shè)備和光接收節(jié)點(diǎn)的無源設(shè)備，其功能是分發(fā)下行數(shù)據(jù)，分光器帶有一個(gè)上行光接口和若干個(gè)下行光接口，上行光接口接受光信號，下行光接口傳輸被分配到的光信號。分光器的主要功能是實(shí)現(xiàn)光閘物理信號的擺渡。

2.2 數(shù)據(jù)擺渡與協(xié)議轉(zhuǎn)換

實(shí)現(xiàn)數(shù)據(jù)層面擺渡是網(wǎng)絡(luò)隔離設(shè)備的核心功能，一方面，協(xié)議轉(zhuǎn)換進(jìn)一步增強(qiáng)了設(shè)備的擺渡功能，允許內(nèi)外網(wǎng)數(shù)據(jù)交換雙方使用不同的網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)交換；另一方面，為了消除應(yīng)用協(xié)議（OSI的第三層至第七層）的漏洞，首先必須剝離應(yīng)用協(xié)議，剝離應(yīng)用協(xié)議后的原始數(shù)據(jù)，在經(jīng)過光閘之后，代理重建應(yīng)用協(xié)議。協(xié)議剝離后，安全模塊可對應(yīng)用層數(shù)據(jù)進(jìn)行安全分析，防止數(shù)據(jù)中嵌套木馬、病毒等惡意程序，進(jìn)一步增強(qiáng)了數(shù)據(jù)安全。但是，對于涉密數(shù)據(jù)而言，在光閘進(jìn)行協(xié)議轉(zhuǎn)換時(shí)極易發(fā)生數(shù)據(jù)泄密，本方案引入了DES/RSA混合加密算法可解決涉密數(shù)據(jù)的安全性問題。

2.3 認(rèn)證接入安全

由于采用數(shù)據(jù)單向?qū)敫綦x技術(shù)，本方案中數(shù)據(jù)的保密性主要依賴DES/RSA混合加密算法。DES算法發(fā)明于20世紀(jì)70年代，以目前計(jì)算機(jī)硬件的運(yùn)算能力可以在一定時(shí)間內(nèi)進(jìn)行暴力破解[6]。本方案DES密鑰采用隨機(jī)生成密鑰加密數(shù)據(jù)文件的方式，加密密鑰頻繁更替，即使破解原有密鑰也無法獲得更多有價(jià)值的信息。為了防止外網(wǎng)終端因感染病毒或被植入惡意木馬導(dǎo)致私鑰泄露，加密程序?qū)⒔K端RSA私鑰寫入動(dòng)態(tài)鏈接庫文件中，可防止反編譯等非法方式獲取RSA私鑰，同時(shí)定期更新RSA算法私鑰，有效防范密鑰泄露。

3 DES/RSA混合加密算法

3.1 算法原型

文獻(xiàn)[5]中提出了一種基于RSA算法和改進(jìn)型DES算法的混合加密算法，用于異構(gòu)網(wǎng)絡(luò)數(shù)據(jù)傳送。對稱加密算法DES的優(yōu)點(diǎn)是運(yùn)算開銷少、速度快，但通信過程中密鑰交換困難，可能發(fā)生密鑰泄露；非對稱加密算法RSA密鑰管理方便，加密安全性高，但加密算法復(fù)雜，加密效率低。結(jié)合兩種算法的優(yōu)點(diǎn)形成一種新的混合加密算法，既可增強(qiáng)數(shù)據(jù)加密安全性，提高加密效率，還能滿足業(yè)務(wù)分離的要求。

文獻(xiàn)[5]給出的加密算法過程如下：①在發(fā)送方A處產(chǎn)生隨機(jī)數(shù)發(fā)生器，生成DES加密密鑰D-Key，采用DES加密算法對明文Q進(jìn)行加密，得到加密密文P1，并保存D-Key；②A從密鑰管理中心獲取收方B的公鑰，對A產(chǎn)生的D-Key進(jìn)行RSA加密，產(chǎn)生輔助密文P2；③將P1和P2組合，進(jìn)行傳輸，完成混合加密。

解密過程與加密過程相對應(yīng)，介紹如下：①收方B獲取密文P1和P2后進(jìn)行拆分，識別P1、P2；②B用向密鑰管理中心注冊過的RSA私鑰對P2進(jìn)行解密，恢復(fù)A的DES密鑰D-Key；③B利用D-Key對P1進(jìn)行解密，恢復(fù)初始明文Q。

3.2 改進(jìn)算法

以上算法存在問題如下：若攻擊者C明晰A與B之間應(yīng)用層的數(shù)據(jù)格式，獲取了B的公鑰，并采用同種算法進(jìn)行數(shù)據(jù)傳送，B接受C發(fā)送的數(shù)據(jù)，但無法判定C的真實(shí)身份，誤認(rèn)為是A發(fā)送的數(shù)據(jù)，按照數(shù)據(jù)文件中的反饋地址將信息發(fā)送給C，由此可構(gòu)成欺騙攻擊。

改進(jìn)方法：①在原加密過程第二步中，A從密鑰管理中心申請RSA私鑰，對產(chǎn)生的輔助密文P2進(jìn)行數(shù)字簽名P3，將P1、P2、P3組合傳輸；②在原解密過程②中，B首先利用A的RSA公鑰對P3進(jìn)行數(shù)字簽名驗(yàn)證，P3解密后與P2進(jìn)行比對，結(jié)果相同即表示數(shù)據(jù)包來源可信，否則認(rèn)為數(shù)據(jù)包是攻擊者C發(fā)送的，丟棄此數(shù)據(jù)包。改進(jìn)后的算法步驟如圖4所示。

4 系統(tǒng)實(shí)現(xiàn)

4.1 SMS信息查詢系統(tǒng)

SMS信息查詢系統(tǒng)是根據(jù)本方案實(shí)現(xiàn)的一款跨網(wǎng)信息查詢系統(tǒng)。開發(fā)環(huán)境如下：SIM900A通訊模塊、CP2102串口模塊；CPU Intel Core2 Q9400/主頻2.66GHz、內(nèi)存4G；操作系統(tǒng)Windows Server 2003 R2；數(shù)據(jù)庫Oracle 11g Enterprise Edition 11.2.0.4.0；開發(fā)平臺Visual Studio 2010。系統(tǒng)主要功能是通過手機(jī)終端發(fā)送短信指令，經(jīng)安全加密及認(rèn)證，由網(wǎng)絡(luò)安全邊界單向?qū)雰?nèi)網(wǎng)，在內(nèi)網(wǎng)中進(jìn)行信息查詢，將查詢結(jié)果過濾后進(jìn)行RSA加密，通過可信任第三方短信平臺反饋至外網(wǎng)應(yīng)用服務(wù)器，由外網(wǎng)應(yīng)用服務(wù)器解密并反饋至外網(wǎng)終端，此系統(tǒng)已應(yīng)用于企業(yè)實(shí)際運(yùn)營業(yè)務(wù)中。具體業(yè)務(wù)流程如圖5所示。

4.2 安全性分析

目前，針對DES算法的攻擊有差分密碼分析法[7]和線性密碼分析法，前者需要知道DES的大量配對（明文、密文），后者則是已知明文攻擊法。由于本系統(tǒng)設(shè)計(jì)的DES加密密鑰隨機(jī)變換，每次發(fā)送數(shù)據(jù)文件均采用不同的密鑰加密，攻擊者獲取密鑰代價(jià)較大，且獲取的信息極為有限，因此可以有效應(yīng)對以上兩種攻擊方式。

RSA算法的復(fù)雜度較高，攻擊者無法通過暴力破解的方法獲取DES加密密鑰，進(jìn)而無法獲取明文信息。本文改進(jìn)了原算法，在信息發(fā)送和接受過程中加入了認(rèn)證機(jī)制，實(shí)現(xiàn)通信雙方的相互鑒權(quán)功能，可有效避免欺騙攻擊，進(jìn)一步提升信息傳輸?shù)陌踩?；并且，混合加密在傳輸中對密文進(jìn)行了組合，使得暴力破解的復(fù)雜度近似于RSA算法復(fù)雜度與DES算法的復(fù)雜度之積，安全性得到了極大增強(qiáng)。

4.3 性能分析

RSA算法的密鑰較長，加密算法實(shí)現(xiàn)復(fù)雜，對硬件資源消耗大、復(fù)雜度高、加密時(shí)間長；DES密鑰較短、加密速度快，適用于硬件實(shí)現(xiàn)，如表1所示。

本文使用DES、RSA、DES/RSA混合、改進(jìn)DES/RSA混合加密4種算法，分別對1KB、100KB、0.97MB、9.78MB、29.3MB、48.9MB的數(shù)據(jù)文件進(jìn)行加解密運(yùn)算實(shí)驗(yàn)，如表2所示。由于工作時(shí)段業(yè)務(wù)繁忙程度對互聯(lián)網(wǎng)網(wǎng)速和網(wǎng)絡(luò)隔離設(shè)備處理效率影響較大，不能準(zhǔn)確客觀地反映各加密算法運(yùn)算時(shí)間，此次實(shí)驗(yàn)采用脫網(wǎng)運(yùn)行方式。運(yùn)行環(huán)境如下：CPU Intel i7 2620M/主頻2.7GHz、內(nèi)存4G、操作系統(tǒng)64位 Windows10、開發(fā)平臺Visual Studio 2010。

本文使用System.Security.Cryptography中的DESCryptoServiceProvider類開發(fā)DES加密程序，使用RSACryptoServiceProvider類和SHA1Crypto Service Provider類開發(fā)RSA加密及數(shù)字簽名程序。利用RSA公鑰進(jìn)行數(shù)據(jù)加密時(shí)，必須對明文進(jìn)行拆分加密，每個(gè)拆分?jǐn)?shù)據(jù)長度必須小于117（公鑰長度/8-11），將密文發(fā)送至對端后必須能進(jìn)行拆分解密，然后將解密數(shù)據(jù)重新組裝形成明文，拆包過程進(jìn)一步導(dǎo)致RSA加密算法在加解密大數(shù)據(jù)文件時(shí)效率下降。

根據(jù)表2中的數(shù)據(jù)，本文從加密文件大?。ㄒ妶D6）、加密效率（見圖7）和解密效率（見圖8）等方面進(jìn)行了比較。對圖6、圖7、圖8分析可知，在軟硬件運(yùn)行環(huán)境相同的情況下，使用RSA加密算法生成的加密文件占用存儲空間最小，其余3種加密算法生成的加密文件大小幾乎相同；加密效率方面，DES算法的效率最高，DES/RSA算法和改進(jìn)DES/RSA算法的加密效率十分接近，由于改進(jìn)DES/RSA算法引入了數(shù)字簽名和身份認(rèn)證，相比DES/RSA算法而言效率偏低，RSA算法加密效率最差；解密效率方面，DES算法最高，DES/RSA算法和改進(jìn)DES/RSA算法幾乎相同，但前者偏高，RSA解密效率最低。

綜上，在加密文件大小和加解密效率方面，改進(jìn)后的DES/RSA算法在各項(xiàng)性能方面與原算法比較均十分接近，但在安全性方面解決了原算法易受到欺騙攻擊的問題，使原算法安全性得到了一定提升。

5 結(jié)語

針對目前網(wǎng)絡(luò)隔離方案存在內(nèi)網(wǎng)數(shù)據(jù)大量泄露的風(fēng)險(xiǎn)，提出一種新的基于網(wǎng)絡(luò)隔離技術(shù)的信息資源共享方案，該方案中使用一種改進(jìn)的DES/RSA混合加密算法，能有效避免涉密數(shù)據(jù)在跨網(wǎng)傳輸過程中的泄密。由于本方案采用SMS作為載體進(jìn)行數(shù)據(jù)單項(xiàng)導(dǎo)出，雖然技術(shù)成本較低、容易實(shí)現(xiàn)，但此方法效率太低，并且SMS信息發(fā)送增加了系統(tǒng)的運(yùn)行成本。如何使用一種更安全、成本更低的信息輸出方式，在能確保內(nèi)網(wǎng)數(shù)據(jù)絕對安全的情況下，實(shí)現(xiàn)高效的信息導(dǎo)出，成為下一步研究的重點(diǎn)。

參考文獻(xiàn)：

[1]孫慶和，劉道群.網(wǎng)絡(luò)隔離技術(shù)在3G移動(dòng)辦公中的應(yīng)用探討[J].計(jì)算機(jī)科學(xué)，2013，40（6A）：381-383.

[2]劉道群，孫慶和.信息敏感行業(yè)3G移動(dòng)辦公安全解決方案[J].電信科學(xué)，2011（10A）：146-149.

[3]陳征，陳銀慧，于玉龍，等.網(wǎng)絡(luò)隔離環(huán)境下多節(jié)點(diǎn)接入控制技術(shù)研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2014，35（7）：1528-1532.

[4]王珺，李立新，李福林.物理隔離和網(wǎng)閘的技術(shù)原理淺析[J].微計(jì)算機(jī)信息，2007，8（3）：53-55.

[5]陳瑩瑩，張賡，翟明樂，等.基于統(tǒng)一通信技術(shù)的異構(gòu)網(wǎng)絡(luò)穿越安全算法研究[J].電信科學(xué)，2013（12）：50-54.

[6]劉晶晶，馬世偉，陳光化，等.基面向NFC應(yīng)用的DES/3DES算法研究與仿真實(shí)現(xiàn)[J].微電子學(xué)，2013，43（1）：134-138.

[7]陳杰，張躍宇，胡予濮.一種新的6輪AES不可能差分密碼分析方法[J].西安電子科技大學(xué)學(xué)報(bào)：自然科學(xué)版，2006，33（4）：598-601.

[8]吳筱，郭培源，何多多.DES和SM4算法的可重構(gòu)研究與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究，2014，31（3）：853-856.

[9]李佩之，嚴(yán)迎建，段二朋.DES密碼芯片模板攻擊技術(shù)研究[J].計(jì)算機(jī)應(yīng)用與軟件，2013，30（3）：310-312.

[10]石井，吳哲，譚璐，等.RSA數(shù)據(jù)加密算法的分析與改進(jìn)[J].濟(jì)南大學(xué)學(xué)報(bào)：自然科學(xué)版，2013，27（3）：283-286.

[11]賈歡歡.通用短信平臺中協(xié)議轉(zhuǎn)換功能的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2010.

[12]“網(wǎng)絡(luò)隔離”安全技術(shù)發(fā)展方向概述[EB/OL].http：//www.huacolor.com/article/737.html.

（責(zé)任編輯：孫 娟）

英文摘要Abstract：In order to avoid network attacks lead to enterprise internal data leakage，the most effective way was isolating physical link between the enterprise internal network and internet.Its easy to leakage the enterprise internal data，when you use the traditional gap to interactive data between internal network and internet.Furthermore，the old Way of exchanging data can not be applied to protect the high security level enterprise network； On the other hand，the existing network isolation technology for network protocol is easy to peel，resulting in information disclosure，and cause the new security vulnerabilities.Therefore，this thesis proposes a new information resource sharing scheme，transport internet data through Network Security Boundary Platform by using one-way import network，and using a trusted third party SMS platform for information feedback to the internet terminal.Restrict control the network data output，the final completion of data sharing within Enterprise； The use of improved DES/RSA hybrid encryption algorithm to encrypt the data file encryption and identity authentication，to avoid the information leakage caused by the peeling the network protocol.Design and implementation of a SMS information system，the case analysis proves that this scheme can meet the requirements in security and efficiency.

英文關(guān)鍵詞Key Words：Network Isolation Technology； Network Security Boundary； DES Algorithm； RSA Algorithm； SMS