一种用于保护数据的网关设备的制作方法

1.本发明涉及网络设备技术领域，具体为一种用于保护数据的网关设备。


背景技术：

2.随着云计算的出现，计算机网络的应用出现很大的变化，通过云计算系统，即使很复杂的计算，只要由本地计算机通过互联网发送一个需求信息到远端的云计算系统，云计算系统就会完成所需的计算，并将结果返回到本地计算机上，使得计算压力从本地计算机移到远端的云计算系统。数据安全网关系统是云计算所必须的设备，常规的数据安全网关系统没有完整的考虑到纵深防御性的设计，各个方面只做一层防御，任何一个单点一旦被攻破，安全性立马丧失，并且没有考虑到各个模块安全设计之间的联动性，未能将具有层次性的防御设计成环环相扣，彼此呼应。
3.在现有技术中，虽然为了解决数据安全网关系统防御性不高的技术问题公开了网关设备的纵深防御性设计，但是在应用过程中还存在以下几点不足之处：
4.一、仅usbkey身份验证通过和具有壳体物理锁的钥匙时才能实现网关设备的打开，这种双重防护方式虽然能够增加网关设备的安全性，但是当usbkey与钥匙同时被非法人员持有时依然能够打开网关设备进行数据盗取，存在一定的安全隐患；
5.二、对于仅利用usbkey进行身份验证通过时打开usbkey物理锁的防护方式而言，当该usbkey身份验证失败时，非法人员仅需要破除网关设备上的usbkey物理锁即可打开进行数据盗取，依旧存在一定的安全隐患。
6.三、仅公开了网关设备的外门体的防护锁结构，未公开在网关设备内部设置内置防护结构的设计，使得非法人员破开外门体的防护锁结构后立刻可进行非法操作，无法增加拖延时间使得相关人员有足够时间赶来处理，一定程度上减弱了网关设备的安全性。
7.为此，我们提供了一种用于保护数据的网关设备，用以解决上述中的技术问题。


技术实现要素：

8.针对以上问题，本发明提供了一种用于保护数据的网关设备，在该具有数据安全网关设备中，设置多重不同的防护措施，从而形成环环相扣的、具有纵深式的硬件安全防御设计功能，解决了上述背景技术中的诸多技术问题。
9.为解决上述技术问题，本发明是通过以下技术方案实现的：
10.本发明提供的一种用于保护数据的网关设备，包括用于数据处理的arm处理器，与所述arm处理器相连接并用于与外部网络相连接的网络接口，与所述arm处理器相连接的usb接口，与所述arm处理器相连接的数据主机，以及用于身份验证并通过所述usb接口与所述arm处理器相连接的usbkey；
11.所述用于保护数据的网关设备还包括与所述arm处理器相连接的信号收发器，所述信号收发器用于将所述usbkey身份验证通过信息发送至远端服务器上，所述远端服务器将动态密码发送至所述usbkey内置信息对应的人员手机端上；动态密控限开模块，所述动
态密控限开模块包括动态密码输入单元和密码限开锁，所述动态密码输入单元与所述arm处理器相连接，所述动态密码输入单元与所述密码限开锁相连接，其用于控制所述密码限开锁的开启；与所述arm处理器相连接的报警单元，所述报警单元用于在识别到错误输入信息时发出报警。根据该用于保护数据的网关设备，能够防止usbkey被非法人员持有时对网关设备的网关本体的门体的非法开启。
12.优选地，所述密码限开锁设置为多个，将多个所述密码限开锁均布在所述用于保护数据的网关设备的网关本体的门体处，以增加该网关设备的网关本体的门体的防暴效果，多个所述密码限开锁之间串联连接，当所述动态密码输入单元上输入的动态密码准确无误时，各个密码限开锁被同时打开。优选地，所述报警单元用于在所述usbkey身份验证未通过或在所述动态密码输入单元上密码输入错误时发出报警。
13.本发明提供的一种用于保护数据的网关设备，包括用于数据处理的arm处理器，与所述arm处理器相连接并用于与外部网络相连接的网络接口，与所述arm处理器相连接的usb接口，与所述arm处理器相连接的数据主机，以及用于身份验证并通过所述usb接口与所述arm处理器相连接的usbkey；
14.所述用于保护数据的网关设备还包括设置在所述网关本体上的壳体物理锁，所述壳体物理锁用于开启或锁上所述网关本体的外壳；设置在所述网关本体门体内壁上的防开启器，所述防开启器用于在所述usbkey身份验证未通过时将所述网关本体的门体锁住；与所述arm处理器相连接的报警单元，所述报警单元用于在所述usbkey身份验证未通过时发出报警。根据该用于保护数据的网关设备，能够防止usbkey身份验证失败后非法人员通过钥匙开启壳体物理锁，进而使得用于保护数据的网关设备被非法开启。
15.优选地，所述防开启器可设置成与所述arm处理器相连接的电磁锁扣结构，当所述usbkey身份验证通过时所述电磁锁扣结构处于自然未锁定状态，只要身份验证通过即可直接通过钥匙将网关设备打开进行维护，当所述usbkey身份验证未通过或断电时所述电磁锁扣结构开始将所述网关本体的门体内侧锁上，当身份验证失败时即使有钥匙也无法从网关设备外部打开该网关设备，能够防止网关设备被物理非法开启，从而保护网关设备的安全。
16.本发明提供的一种用于保护数据的网关设备，包括用于数据处理的arm处理器，与所述arm处理器相连接并用于与外部网络相连接的网络接口，与所述arm处理器相连接的usb接口，与所述arm处理器相连接的数据主机，以及用于身份验证并通过所述usb接口与所述arm处理器相连接的usbkey；
17.所述用于保护数据的网关设备还包括设置在所述网关本体门体上且与所述arm处理器相连接的usbkey物理锁，在借助所述usbkey通过身份验证的情况下，所述arm处理器控制开启所述usbkey物理锁；设置在所述网关本体门体内壁上的防开启器，所述防开启器用于在所述usbkey身份验证未通过时将所述网关本体的门体锁住；与所述arm处理器相连接的报警单元，所述报警单元用于在所述usbkey身份验证未通过时发出报警。根据该用于保护数据的网关设备，能够通过usbkey物理锁和防开启器的同时解锁加快网关设备的开启，进而增加对网关设备的维护，同时能够增加usbkey身份验证未通过时整个网关设备被非法开启的难度，进而提高网关设备的安全性。
18.优选地，所述防开启器可设置成与所述arm处理器相连接的电磁锁扣结构，当所述usbkey身份验证通过时所述arm处理器控制所述电磁锁扣结构开始解锁，实现usbkey物理
锁与电磁锁扣结构的同时开锁，以满足高效率设备维护，当所述usbkey身份验证未通过或断电时所述电磁锁扣结构处于自然锁定状态，此时通过内置的电磁锁扣结构以及外置的usbkey物理锁的双重防护，增加了整个网关设备的安全性。
19.本发明提供的一种用于保护数据的网关设备，包括用于数据处理的arm处理器，与所述arm处理器相连接并用于与外部网络相连接的网络接口，与所述arm处理器相连接的usb接口，与所述arm处理器相连接的数据主机，以及用于身份验证并通过所述usb接口与所述arm处理器相连接的usbkey；
20.所述用于保护数据的网关设备还包括设置在所述网关本体门体上且与所述arm处理器相连接的usbkey物理锁，在借助所述usbkey通过身份验证的情况下，所述arm处理器控制开启所述usbkey物理锁；设置在所述网关本体内门体上的响应反制模块，所述响应反制模块与所述arm处理器相连接，用于在所述usbkey身份验证未通过时将所述网关本体内门体锁上；与所述arm处理器相连接的报警单元，所述报警单元用于在所述usbkey身份验证未通过时发出报警。根据该用于保护数据的网关设备，能够防止外置的usbkey物理锁被非法破坏时可直接打开网关设备，使得相收到警报提示的人员有充分时间进行处理，进而增加整个网关设备的安全性。
21.优选地，所述响应反制模块包括与所述arm处理器相连接的磁力动力单元以及通过该磁力动力单元驱动的反制锁定单元，当所述usbkey身份验证未通过或断电时所述反制锁定单元处于自然锁定状态，进一步增加网关设备的防护性，当所述usbkey身份验证通过时所述arm处理器通过所述磁力动力单元驱动所述反制锁定单元解除对所述网关本体内门体的锁定，实现反制锁定单元与usbkey物理锁的同时解锁，以满足高效率设备维护。
22.优选地，所述用于保护数据的网关设备还包括供电电源组，所述供电电源组分别与所述arm处理器和所述数据主机相连接，所述供电电源组包括外部电源以及与所述外部电源相连接的主电池和备用电池，当所述外部电源断电时，通过主电池或备用电池对所述arm处理器和所述动态密码输入单元供电。
23.本发明具有以下有益效果：
24.1、本发明通过usbkey身份验证与远端服务器提供动态密码形成了一套多重身份识别的纵深式安全防御体系，仅当usbkey身份验证通过并且动态密码输入单元上输入的解锁密码正确时才能将网关设备打开进行维护，否则报警单元会发出警报提示相关人员应急处理，通过这种双重身份验证的方式有效避免了usbkey和钥匙同时被非法人员持有时非法打开网关设备，从而大大增加了网关设备的安全防御性能。
25.2、本发明通过usbkey身份验证开启usbkey物理锁与设置在网关设备门体内壁上的防开启器形成了一套多重防护的纵深式安全防御体系，当usbkey身份验证通过开启usbkey物理锁的同时，arm处理器控制防开启器的同步开启，提高了网关设备打开维护的效率，而当usbkey身份验证失败时即使非法人员破坏了外置的usbkey物理锁，但是内置的防开启器处于锁定状态使得非法人员无法轻易破开网关设备，进而为相关人员争取了应急处理的时间，增加了整个网关设备的安全性。
26.3、本发明通过usbkey身份验证开启usbkey物理锁与在网关设备内部设置响应反制模块形成了一套内外多重防护的纵深式安全防御体系，当usbkey身份验证通过开启usbkey物理锁的同时，arm处理器控制响应反制模块对内门体的同步开启，提高了网关设备
打开维护的效率，而当usbkey身份验证失败时即使非法人员破坏了外置的usbkey物理锁，但是内置的响应反制模块对内门体的锁定使得非法人员无法轻易破开网关设备，进而为相关人员争取了应急处理的时间，增加了整个网关设备的安全性。
27.当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
28.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
29.图1为实施例一中的网关设备的结构示意图。
30.图2为实施例二中的网关设备的结构示意图。
31.图3为实施例三中的网关设备的结构示意图。
32.图4为实施例四中的网关设备的结构示意图。
33.图5为供电电源组的结构图。
34.图6为实施例二中防开启器初始状态图。
35.图7为实施例三中防开启器初始状态图。
36.图8为实施例四中响应反制模块的初始状态图。
具体实施方式
37.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
38.具体实施例一：
39.图1示出了本发明一种用于保护数据的网关设备，包括用于数据处理的arm处理器(advancedriscmachine)，与所述arm处理器相连接并用于与外部网络相连接的网络接口，与所述arm处理器相连接的usb接口，与所述arm处理器相连接的数据主机，以及用于身份验证并通过所述usb接口与所述arm处理器相连接的usbkey；
40.所述用于保护数据的网关设备还包括与所述arm处理器相连接的信号收发器，所述信号收发器用于将所述usbkey身份验证通过信息发送至远端服务器上(远端服务器可以是云服务器)，所述远端服务器将动态密码发送至所述usbkey内置信息对应的人员手机端上；动态密控限开模块，所述动态密控限开模块包括动态密码输入单元和密码限开锁，所述动态密码输入单元与所述arm处理器相连接，所述动态密码输入单元与所述密码限开锁相连接，其用于控制所述密码限开锁的开启；与所述arm处理器相连接的报警单元，所述报警单元用于在识别到错误输入信息时发出报警；与所述arm处理器和所述数据主机相连接的供电电源组，当所述外部电源断电时，通过主电池或备用电池对所述arm处理器和所述数据主机供电。
41.为了保证网关设备的安全，所述密码限开锁设置为多个，该密码限开锁可采用常
用的密码锁，将多个所述密码限开锁均布在所述用于保护数据的网关设备的网关本体的门体处，多个所述密码限开锁之间串联连接，通过密码限开锁的布置方式满足网关设备的网关本体的门体多个位置处的锁定功能，以增加网关设备的防护效果，当usbkey身份验证通过时，远端服务器将动态密码发送至合法人员的手机端上，通过动态密码输入单元上的正确动态密码的输入，实现多个密码限开锁的同步开启，通过这种双重身份验证方式，即可非法人员获得usbkey后也无法采用非破坏方式将网关设备打开。
42.当将usbkey插入到usb接口上进行身份验证失败时，报警单元(报警器)会就此发出报警提示相关人员进行及时处理，或者非法人员尝试在动态密码输入单元上随意输入错误密码时，发出报警，报警单元(报警器)同样会就此发出报警提示相关人员进行及时处理。报警的方式不限，在本发明该实施例中，可以是向相应人员发出短信、邮件或电话报警，或者直接采用声光报警装置，通知相应人员紧急处理。
43.在本发明该实施例中，只要判断为所述网关设备处于危险状态下，具体到本实施例中，当usbkey身份验证失败时，或动态密码输入单元检测到错误动态密码输入时，或者usbkey身份验证失败且动态密码输入单元检测到错误动态密码输入时，arm处理器就会触发密钥自毁逻辑，首先生成数组随机数对密钥存储区域进行随机写入，覆盖掉密钥存储区域的数据，反复多次确保数据不可恢复，然后执行密钥初始化。
44.具体实施例二：
45.图2示出了本发明一种用于保护数据的网关设备，包括用于数据处理的arm处理器，与所述arm处理器相连接并用于与外部网络相连接的网络接口，与所述arm处理器相连接的usb接口，与所述arm处理器相连接的数据主机，以及用于身份验证并通过所述usb接口与所述arm处理器相连接的usbkey；
46.所述用于保护数据的网关设备还包括设置在所述网关本体上的壳体物理锁，所述壳体物理锁用于开启或锁上所述网关本体的外壳1；设置在所述网关本体门体2内壁上的防开启器，所述防开启器用于在所述usbkey身份验证未通过时将所述网关本体的门体2锁住；与所述arm处理器相连接的报警单元(报警器)，所述报警单元用于在所述usbkey身份验证未通过时发出报警；与所述arm处理器和所述数据主机相连接的供电电源组，当所述外部电源断电时，通过主电池或备用电池对所述arm处理器和所述数据主机供电。只有usbkey接入时并且拥有壳体物理锁3的钥匙时才可开启网关设备进行设备维护，否则会触发密钥自毁流程。
47.本实施例中，所述防开启器可设置成与所述arm处理器相连接的电磁锁扣结构，当所述usbkey身份验证通过时所述电磁锁扣结构处于自然未锁定状态，当所述usbkey身份验证未通过或断电时所述电磁锁扣结构开始将所述网关本体的门体2内侧锁上。具体而言(图6为该实施例中防开启器初始未锁定状态图)，本实施例中的电磁锁扣结构包括设置在网关本体的壳体1内壁上的电磁铁7以及对应的锁扣组件6，该锁扣组件6设置在壳体1内壁上的安装座5上，还包括设置在网关本体的门体2内壁上的限位环4，在未进行身份验证之前该电磁铁7处于通电具磁状态，使得锁扣组件6被吸附在该电磁铁7上而脱离限位环4(此时电磁锁扣结构处于未锁定状态)，此时只要身份验证通过即可直接利用钥匙将网关设备打开进行维护，而当所述usbkey身份验证未通过或断电时该电磁铁7断电消磁，锁扣组件6脱离该电磁铁7并复位移动至与限位环4卡合，此时的电磁锁扣结构开始将所述网关本体的门体2
内侧锁上，当身份验证失败时即使有钥匙也无法从网关设备外部打开该网关设备，能够防止网关设备被物理非法开启，从而保护网关设备的安全。
48.在本发明该实施例中，只要判断为所述网关设备处于危险状态下，具体到本实施例中，当usbkey身份验证失败时，或壳体物理锁3被非法开启时，arm处理器就会触发密钥自毁逻辑，首先生成数组随机数对密钥存储区域进行随机写入，覆盖掉密钥存储区域的数据，反复多次确保数据不可恢复，然后执行密钥初始化。
49.具体实施例三：
50.图3示出了本发明一种用于保护数据的网关设备，包括用于数据处理的arm处理器，与所述arm处理器相连接并用于与外部网络相连接的网络接口，与所述arm处理器相连接的usb接口，与所述arm处理器相连接的数据主机，以及用于身份验证并通过所述usb接口与所述arm处理器相连接的usbkey；
51.所述用于保护数据的网关设备还包括设置在所述网关本体门体2上且与所述arm处理器相连接的usbkey物理锁，在借助所述usbkey通过身份验证的情况下，所述arm处理器控制开启所述usbkey物理锁；设置在所述网关本体门体2内壁上的防开启器，所述防开启器用于在所述usbkey身份验证未通过时将所述网关本体的门体2锁住；与所述arm处理器相连接的报警单元(报警器)，所述报警单元用于在所述usbkey身份验证未通过时发出报警；与所述arm处理器和所述数据主机相连接的供电电源组，当所述外部电源断电时，通过主电池或备用电池对所述arm处理器和所述数据主机供电。
52.本实施例中，所述防开启器可设置成与所述arm处理器相连接的电磁锁扣结构，当所述usbkey身份验证通过时所述arm处理器控制所述电磁锁扣结构开始解锁，当所述usbkey身份验证未通过或断电时所述电磁锁扣结构处于自然锁定状态。具体而言(图7为该实施例中防开启器初始锁定状态图)，本实施例中的电磁锁扣结构包括设置在网关本体的壳体1内壁上的电磁铁7以及对应的锁扣组件6，该锁扣组件6设置在壳体1内壁上的安装座5上，还包括设置在网关本体的门体2内壁上的限位环4，在未进行身份验证之前该电磁铁7处于断电消磁状态，使得锁扣组件6卡合在限位环4中(此时电磁锁扣结构处于锁定状态)，当usbkey身份验证通过实现usbkey物理锁解锁时，arm处理器控制该电磁铁7通电具磁，使得锁扣组件6被吸附在该电磁铁7上而脱离限位环4(此时电磁锁扣结构处于未锁定状态)，由此实现usbkey物理锁解锁与电磁锁扣结构的同步开锁，而当所述usbkey身份验证未通过或断电时该电磁铁7断电消磁，锁扣组件6脱离该电磁铁7并复位移动至与限位环4卡合，此时的电磁锁扣结构重新将所述网关本体的门体2内侧锁上，通过usbkey物理锁解锁和电磁锁扣结构实现网关设备的双重防护，从而保护网关设备的安全。
53.在本发明该实施例中，只要判断为所述网关设备处于危险状态下，具体到本实施例中，当usbkey身份验证失败时，或usbkey物理锁被非法开启时，arm处理器就会触发密钥自毁逻辑，首先生成数组随机数对密钥存储区域进行随机写入，覆盖掉密钥存储区域的数据，反复多次确保数据不可恢复，然后执行密钥初始化。
54.具体实施例四：
55.图4示出了本发明一种用于保护数据的网关设备，包括用于数据处理的arm处理器，与所述arm处理器相连接并用于与外部网络相连接的网络接口，与所述arm处理器相连接的usb接口，与所述arm处理器相连接的数据主机，以及用于身份验证并通过所述usb接口
与所述arm处理器相连接的usbkey；
56.所述用于保护数据的网关设备还包括设置在所述网关本体门体上且与所述arm处理器相连接的usbkey物理锁，在借助所述usbkey通过身份验证的情况下，所述arm处理器控制开启所述usbkey物理锁；设置在所述网关本体内门体上的响应反制模块，所述响应反制模块与所述arm处理器相连接，用于在所述usbkey身份验证未通过时将所述网关本体内门体锁上；与所述arm处理器相连接的报警单元(报警器)，所述报警单元用于在所述usbkey身份验证未通过时发出报警；与所述arm处理器和所述数据主机相连接的供电电源组，当所述外部电源断电时，通过主电池或备用电池对所述arm处理器和所述数据主机供电。
57.在本发明该实施例中，只要判断为所述网关设备处于危险状态下，具体到本实施例中，当usbkey身份验证失败时，或usbkey物理锁被非法开启时，或者响应反制模块被非法破坏时，arm处理器就会触发密钥自毁逻辑，首先生成数组随机数对密钥存储区域进行随机写入，覆盖掉密钥存储区域的数据，反复多次确保数据不可恢复，然后执行密钥初始化。
58.本实施例中(参阅图8)，所述响应反制模块包括与所述arm处理器相连接的磁力动力单元5(提供磁力的电磁铁)以及通过该磁力动力单元5驱动的反制锁定单元4(用于将网关本体内门体锁定的锁定结构)，响应反制模块设置在网关本体的壳体1内壁上，当所述usbkey身份验证未通过或断电时，该磁力动力单元5上的磁力消失，此时的反制锁定单元4脱离该磁力动力单元5，然后使得反制锁定单元4(例如一端设置有固定磁铁的锁定杆，具体为反制锁定单元4的结构)卡合在内门体8上的卡环7内(类似一般的门扣锁定方式)，此时所述反制锁定单元4处于自然锁定状态，即使非法人员破坏了网关设备的usbkey物理锁造成外门体2失去防护作用，处于锁定状态的内门体8依然能够起到很好的防护作用，使得有足够时间让相关人员赶到现场进行即使处置，当所述usbkey身份验证通过时所述arm处理器通过控制磁力动力单元5通电具磁，此时的磁力动力单元5将反制锁定单元4吸附在其表面上，从而解除对所述网关本体内门体8的锁定，实现usbkey物理锁开启的同时响应反制模块对网关本体内门体8的解锁。
59.在实施例一至实施例四中，经过密钥自毁逻辑处理后的网关设备本身还可以再次使用，但是将会丧失原先设置的密钥，通过重新生成密钥或者把之前备份的密钥恢复进去，就能重新使用数据安全网关设备。由于数据安全网关设备物理功能没有丧失，因此对于用户而言，不用重新购置数据安全网关设备，数据安全网关设备中存储的其他的用户数据或者文件也没有丢失，对于用户而言，无论是成本还是风险都是最小的。
60.图5示出了供电电源组的结构，所述供电电源组分别与所述arm处理器和所述数据主机相连接，所述供电电源组包括外部电源以及与所述外部电源相连接的主电池和备用电池，当所述外部电源断电时，通过主电池或备用电池对所述arm处理器和所述动态密码输入单元供电。外部电源通常为市电通过变压器变压后的电源，一般为12v、5a的电源。外部电源对主电池和备用电池充电，当外部电源断电时，使用主电池或备用电池对所述arm处理器供电，确保网关设备的安全，即在断电时，各个部件仍然处于工作状态，只有在验证通过后才能打开网关设备，否则报警，确保了网关设备在断电状态下的安全。报警的方式可以是向相应人员发出短信或电话报警，通知相应人员紧急处理。
61.在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施
例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
62.以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。