CN106355101A - 一种面向简易存储服务的透明文件加解密***及其方法 - Google Patents
一种面向简易存储服务的透明文件加解密***及其方法 Download PDFInfo
- Publication number
- CN106355101A CN106355101A CN201510415809.5A CN201510415809A CN106355101A CN 106355101 A CN106355101 A CN 106355101A CN 201510415809 A CN201510415809 A CN 201510415809A CN 106355101 A CN106355101 A CN 106355101A
- Authority
- CN
- China
- Prior art keywords
- encryption
- packet
- decryption
- module
- tcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种面向简易存储服务的透明文件加解密***及其方法,该***包括初始化模块、输入模块、处理模块和输出模块;其中初始化模块用于完成对文件加解密***的初始化处理;输入模块用于完成对输入到文件加解密***的数据包进行分类处理,将第一类型数据包发送给处理模块,将第二类型数据包发送给输出模块;处理模块用于对第一类型数据包进行匹配处理;若匹配成功,对第一类型数据包进行加解密处理;若匹配不成功,对第一类型数据包不进行加解密处理;匹配处理后的第一类型数据包发送给输出模块;输出模块用于将接收的第一类型数据包或第二类型数据包发送到相应的网络端口上。本发明减轻了用户与服务器的加密负荷,实现稳定高效的加解密框架。
Description
技术领域
本发明涉及文件加解密技术领域,尤其涉及一种面向简易存储服务的透明文件加解密***及其方法。
背景技术
计算机行业面临严峻的考验,在大数据已经到来的时代,信息数据呈几何级别地增长,迅速地填满了***内一切可用的存储空间。当前,网络存储已经成为存储业界的共识。Amazon S3,全名为亚马逊简易存储服务(AmazonSimple Storage Service),由亚马逊公司,利用他们的亚马逊网络服务***所提供的网络在线存储服务。经由Web服务界面,包括REST,SOAP,与BitTorrent,提供用户能够轻易把文件存储到网络服务器上。
现今数据是最核心资产,存储***作为数据的保存空间,是数据保护的最后一道防线;随着存储***由本地直连向着网络化和分布式的方向发展,并被网络上的众多计算机共享,使存储***变得更易受到攻击,相对静态的存储***往往成为攻击者的首选目标,达到窃取、篡改或破坏数据的目的。工信部也针对网络用户的信息安全提出明确的保护标准,未来的互联网及其数据分析应用都将围绕数据安全开展,因此安全机制将成为网络存储中亟待解决的问题,也将是未来网络健康发展的必要条件。由此可见,安全机制是网络存储的基础问题,是影响S3等网络存储应用的关键因素,已经逐渐成为网络存储服务解决方案中首要考虑的重点和难点。
发明内容
本发明的目的是为了完善网络存储的安全机制,提出了一种面向简易存储服务的透明文件加解密***及其方法,在用户与存储服务器之间搭建加解密***,提供透明的加解密服务,以提高数据存储安全性。
为了实现上述目的,一方面,本发明提供了一种面向简易存储服务的透明文件加解密***,该***包括初始化模块、输入模块、处理模块和输出模块;其中初始化模块用于完成对文件加解密***的初始化处理;输入模块用于完成对输入到文件加解密***的数据包进行分类处理,将第一类型数据包发送给处理模块,将第二类型数据包发送给输出模块;处理模块用于对第一类型数据包进行匹配处理;若匹配成功,对第一类型数据包进行加解密处理;若匹配不成功,对第一类型数据包不进行加解密处理;匹配处理后的第一类型数据包发送给输出模块;输出模块用于将接收的第一类型数据包或第二类型数据包发送到相应的网络端口上。
另一方面,本发明提供了一种面向简易存储服务的透明文件加解密方法,该方法包括以下步骤:对所述文件加解密***进行初始化处理;对输入到所述文件加解密***的数据包进行分类处理,将第一类型数据包发送给所述处理模块,将第二类型数据包发送给所述输出模块;对所述第一类型数据包进行匹配处理;如果匹配成功,对所述第一类型数据包进行加解密处理;如果匹配不成功,对所述第一类型数据包不进行加解密处理;匹配处理后的第一类型数据包发送给所述输出模块;将接收的所述第一类型数据包或所述第二类型数据包发送到相应的网络端口上。
本发明通过在用户与服务器之间设置加解密,减轻了用户与服务器的加密负荷,实现稳定高效的加解密框架。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种面向简易存储服务的透明文件加解密***结构示意图;
图2为本发明实施例提供的另一种面向简易存储服务的透明文件加解密***结构示意图;
图3为本发明实施例提供的一种面向简易存储服务的透明文件加解密方法流程示意图。
具体实施方式
传输控制协议(Transmission Control Protocol,简称TCP)是一种面向连接的、可靠的、基于字节流的传输层通信协议;超文本传输协议(HyperText Transfer Protocol,简称HTTP)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准,HTTP是一个客户端和服务器端请求和应答的标准(TCP),客户端是终端用户,服务器端是网站。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1为本发明实施例提供的一种面向简易存储服务的透明文件加解密***结构示意图。如图1所示,本***包括初始化模块101、输入模块102、处理模块103以及输出模块104。
初始化模块101用于完成对本***的内存、网口、加密算法、加解密规则列表和密钥列表的初始化,根据数据包的源IP、目的IP、源端口和目的端口四元组建立TPC连接信息,又称TCP四元组信息,来区分不同的数据流,根据TCP数据包中的HTTP协议产生加解密规则,并分别初始化密钥列表以及加解密规则列表。
加解密规则根据HTTP协议产生,对于HTTP协议的上传put命令和用户信息产生加密规则,对于HTTP协议的下载get命令和用户信息产生解密规则。加解密规则由用户信息、TCP连接信息以及密钥构成。
输入模块102负责完成对输入到S3文件加解密***的数据包进行分类,将非TCP数据包提交给输出模块,将TCP数据包提交给处理模块103进一步处理。
处理模块103根据TCP数据包的四元组在加解密规则列表中进行匹配,对于匹配成功的数据包进行加解密,对于匹配不成功的数据包不进行加解密。当用户与服务器之间交互的数据匹配加解密规则,则根据加解密规则的加密算法和密钥对数据进行加解密,对用户存入服务器的文件进行透明加密,对用户从S3服务器读取的文件进行透明解密。
输出模块104将数据包发送到网络端口上,根据预先定义的规则,对于从某个输入端口进入的数据包转发到相应的输出端口上,数据包的输出长度不改变。
由上所述,本***运行流程如图3所示:
步骤1:首先初始化模块101完成对S3文件加解密***的内存、网口、加密算法以及数据结构的初始化配置,并初始化密钥列表以及加解密规则列表。
步骤2:然后输入模块102完成对输入到S3文件加解密***的数据包进行数据包分类,将非TCP数据包提交给输出模块,将TCP数据包提交给处理模块103进一步处理。
步骤3:处理模块103接收经过输入模块102过滤的TCP数据包,根据TCP数据包四元组在加解密规则列表中进行匹配。
步骤3-1:如果匹配成功说明该数据包需要进行加解密,根据用户信息从密钥分发服务器获取用户密钥,使用经过配置的流式加密算法对有效荷载payload数据进行加解密;
步骤3-2:如果匹配不成功说明该数据包不需要进行加解密,需要进一步分析该TCP数据包是否包含HTTP协议,如果包含HTTP协议,且HTTP协议中包含用户登录、注销信息,则需更新密钥列表,建立用户与密钥的映射关系;如果HTTP协议中包含文件下载/上传命令,则需要更新加解密规则列表,为该数据流启动数据加解密;
步骤3-3:未匹配的TCP数据包以及不包含上述命令的HTTP数据包均需要直接提交给输出模块。
步骤4:输出模块104根据预先定义的规则,将数据包发送到相应的网络端口上。
图2为本发明实施例提供的一种面向简易存储服务的透明文件加解密***结构示意图。如图2所示,本***包括初始化模块101、输入模块102、处理模块103以及输出模块104。其中,初始化模块101包含密钥初始化单元113、内存初始化单元114、网口初始化单元115、加密规则初始化单元116与加密算法初始化单元117;处理模块103由加解密规则匹配单元105、TCP协议解析单元106、HTTP命令解析单元107、加解密规则管理单元108、密钥管理单元109、加解密规则列表110、密钥列表111以及数据加解密单元112组成。
本***首先由初始化模块101完成初始化工作,对***所需要的内存、网口、密钥、加解规则和加密算法等进行初始化,并分配相应的资源。
当用户与S3服务器交互的一个数据包进入本***,首先由输入模块102对数据包进行分类:非TCP数据包会被直接过滤提交给输出模块104并输出***;TCP数据包则提交给处理模块103,处理模块103对TCP数据包的具体处理流程为:
在用户登录S3服务器阶段,TCP数据包会包含HTTP请求,此TCP数据包进入处理模块103后,首先由加解密规则匹配单元105判断为HTTP数据包,并经过HTTP命令解析单元107识别HTTP请求中的关键字段并获取请求中的用户信息,之后本***经过密钥管理109凭用户信息与密钥管理服务器交互,获得与用户一一对应的用户密钥,并且在密钥列表111中添加TCP四元组信息、用户信息以及密钥,以此作为密钥列表111的一条新记录。
在用户上传或下载文件阶段,此TCP数据包进入处理模块103后,首先由加解密规则匹配单元105判断此TCP数据包是否含HTTP协议。对于HTTP数据包,由HTTP命令解析单元107解析HTTP请求中的关键字段并获取用户信息与连接信息,加解密规则管理单元108根据用户信息和TCP四元组信息在加解密规则列表110中添加一条新纪录,作为加解密的依据。对于TCP数据包,由TCP协议解析单元106来获取TCP数据包的四元组信息和关键字段,TCP四元组信息与规则列表110中的信息进行匹配,若匹配成功并且包含上传文件关键字段,则此TCP数据流开始由数据加解密单元112进行加密处理,若匹配成功并且包含下载文件关键字段,则此TCP数据流开始由数据加解密单元112进行解密。加密和解密都是针对TCP的payload部分。
最后,输出模块104根据预先定义的各个输入端口与各个输出端口上的对应规则,将非TCP数据包、不匹配不含HTTP协议的TCP数据包和经过处理的TCP数据包输出到S3服务器,且输出的数据包长度不改变。
本发明实施例通过在用户与服务器之间设置加解密***,卸载了用户与服务器的加密负荷,实现稳定高效的加解密框架。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种面向简易存储服务的透明文件加解密***,其特征在于,包括初始化模块、输入模块、处理模块和输出模块;其中,
所述初始化模块,用于完成对所述文件加解密***的初始化处理;
所述输入模块,用于完成对输入到所述文件加解密***的数据包进行分类处理,将第一类型数据包发送给所述处理模块,将第二类型数据包发送给所述输出模块;
所述处理模块,用于对所述第一类型数据包进行匹配处理;如果匹配成功,对所述第一类型数据包进行加解密处理;如果匹配不成功,对所述第一类型数据包不进行加解密处理;匹配处理后的第一类型数据包发送给所述输出模块;
所述输出模块,用于将接收的所述第一类型数据包或所述第二类型数据包发送到相应的网络端口上。
2.根据权利要求1所述的***,其特征在于,所述初始化模块具体用于:完成对所述文件加解密***的内存、网口、加密算法、加解密规则列表和密钥列表的初始化,根据数据包的四元组信息建立传输控制协议TCP连接信息,来区分不同的数据流,根据TCP数据包中的超文本传输HTTP协议产生加解密规则,并分别初始化密钥列表以及加解密规则列表。
3.根据权利要求2所述的***,其特征在于,所述初始化模块包括密钥列表初始化单元、内存初始化单元、网口初始化单元、加解密规则初始化单元和加密算法初始化单元中的一种或多种。
4.根据权利要求1所述的***,其特征在于,所述第一类型数据包为TCP数据包,所述第二类型数据包为非TCP数据包;所述输入模块将所述输入的数据包按TCP进行分类,将非TCP数据包发送给所述输出模块,将TCP数据包发送给所述处理模块。
5.根据权利要求4所述的***,其特征在于,所述处理模块具体用于,根据TCP数据包的四元组在加解密规则列表中进行匹配;如果匹配成功,根据加解密规则的加密算法和密钥对数据进行加解密处理;如果匹配不成功,对TCP数据包不进行加解密处理;匹配处理后的TCP数据包发送给所述输出模块。
6.根据权利要求5所述的***,其特征在于,所述加解密规则根据HTTP协议产生,对于HTTP协议的数据上传命令和用户信息产生加密规则,对于HTTP协议的数据下载命令和用户信息产生解密规则。
7.根据权利要求1所述的***,其特征在于,所述处理模块包括加解密匹配单元、TCP协议解析单元、HTTP命令解析单元、加解密规则管理单元、密钥管理单元、加解密规则列表、密钥列表以及数据加解密单元中的一种或多种。
8.根据权利要求5所述的***,其特征在于,所述处理模块还用于,
分析所述未匹配成功的TCP数据包是否包含HTTP协议:
对于包含HTTP协议,且HTTP协议中包含用户登录和注销信息的数据包,则更新所述密钥列表;或者
对于包含HTTP协议,且HTTP协议中包含文件下载/上传命令的数据包,则需要更新所述加解密规则列表。
9.一种面向简易存储服务的透明文件加解密方法,其特征在于,
对所述文件加解密***进行初始化处理;
对输入到所述文件加解密***的数据包进行分类处理,将第一类型数据包发送给所述处理模块,将第二类型数据包发送给所述输出模块;
对所述第一类型数据包进行匹配处理;如果匹配成功,对所述第一类型数据包进行加解密处理;如果匹配不成功,对所述第一类型数据包不进行加解密处理;匹配处理后的第一类型数据包发送给所述输出模块;
将接收的所述第一类型数据包或所述第二类型数据包发送到相应的网络端口上。
10.根据权利要求9中所述的方法,其特征在于,所述对所述第一类型数据包进行匹配处理步骤包括:
根据TCP数据包的四元组在加解密规则列表中进行匹配;如果匹配成功,根据加解密规则的加密算法和密钥对数据进行加解密处理;如果匹配不成功,对TCP数据包不进行加解密处理;匹配处理后的TCP数据包发送给所述输出模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510415809.5A CN106355101B (zh) | 2015-07-15 | 2015-07-15 | 一种面向简易存储服务的透明文件加解密***及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510415809.5A CN106355101B (zh) | 2015-07-15 | 2015-07-15 | 一种面向简易存储服务的透明文件加解密***及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106355101A true CN106355101A (zh) | 2017-01-25 |
| CN106355101B CN106355101B (zh) | 2019-04-26 |
Family
ID=57842364
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510415809.5A Active CN106355101B (zh) | 2015-07-15 | 2015-07-15 | 一种面向简易存储服务的透明文件加解密***及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106355101B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107948208A (zh) * | 2018-01-05 | 2018-04-20 | 宝牧科技(天津)有限公司 | 一种网络应用层透明加密的方法及装置 |
| CN108199863A (zh) * | 2017-11-27 | 2018-06-22 | 中国科学院声学研究所 | 一种基于两阶段序列特征学习的网络流量分类方法及*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141243A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 一种对通信数据进行安全检查和内容过滤的装置和方法 |
| CN103701592A (zh) * | 2013-12-18 | 2014-04-02 | 上海普华诚信软件技术有限公司 | 数据截取和加解密的方法及*** |
| CN104753925A (zh) * | 2015-03-11 | 2015-07-01 | 华中科技大学 | 一种对文件进行加解密的网关***和方法 |
-
2015
- 2015-07-15 CN CN201510415809.5A patent/CN106355101B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141243A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 一种对通信数据进行安全检查和内容过滤的装置和方法 |
| CN103701592A (zh) * | 2013-12-18 | 2014-04-02 | 上海普华诚信软件技术有限公司 | 数据截取和加解密的方法及*** |
| CN104753925A (zh) * | 2015-03-11 | 2015-07-01 | 华中科技大学 | 一种对文件进行加解密的网关***和方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108199863A (zh) * | 2017-11-27 | 2018-06-22 | 中国科学院声学研究所 | 一种基于两阶段序列特征学习的网络流量分类方法及*** |
| CN108199863B (zh) * | 2017-11-27 | 2021-01-22 | 中国科学院声学研究所 | 一种基于两阶段序列特征学习的网络流量分类方法及*** |
| CN107948208A (zh) * | 2018-01-05 | 2018-04-20 | 宝牧科技(天津)有限公司 | 一种网络应用层透明加密的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106355101B (zh) | 2019-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110199508B (zh) | 敏感数据跨内容分发网络的安全数据分配 | |
| US11750681B2 (en) | Mapping between user interface fields and protocol information | |
| US11212261B2 (en) | Data computation in a multi-domain cloud environment | |
| CN104322001B (zh) | 使用服务名称识别的传输层安全流量控制 | |
| US8843750B1 (en) | Monitoring content transmitted through secured communication channels | |
| CA2598227C (en) | Mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server | |
| JP2020502668A (ja) | ネットワークを介した機密データの安全なデータ取得 | |
| US7765310B2 (en) | Opaque cryptographic web application data protection | |
| WO2015014136A1 (zh) | 一种通用虚拟数据加密存储*** | |
| CN112689014B (zh) | 一种双全工通信方法、装置、计算机设备和存储介质 | |
| CN112954047A (zh) | 一种通过负载均衡设备进行cookie加密的方法 | |
| CN107276996A (zh) | 一种日志文件的传输方法及*** | |
| CN106355101A (zh) | 一种面向简易存储服务的透明文件加解密***及其方法 | |
| CN104618323B (zh) | 基于网络过滤驱动的业务***传输安全加固方法 | |
| RU2449361C2 (ru) | Способ защиты вычислительной сети с выделенным сервером | |
| JP2005301576A (ja) | データ通信システムの制御方法、データ通信システム、及び情報処理装置 | |
| Ji et al. | Security analysis of shadowsocks (r) protocol | |
| JP2014220668A (ja) | 送信側装置および受信側装置 | |
| KR102449282B1 (ko) | 웹사이트 보안강화를 위한 사이트 복제 장치 | |
| US11968188B2 (en) | Secure email transmission via treasury portal | |
| US20230198969A1 (en) | On-demand secure email transformation | |
| Al-Hakeem et al. | Development of Fast Reliable Secure File Transfer Protocol (FRS-FTP) | |
| CN106464684A (zh) | 业务处理方法及装置 | |
| George | A Supportable Format for Attribute Based Encryption in Cloud Computing | |
| Chandran | Efficient Cloud Authentication Scheme using Single Sign-On Nature in Hands with Branca Strategy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210823 Address after: Room 1601, 16th floor, East Tower, Ximei building, No. 6, Changchun Road, high tech Industrial Development Zone, Zhengzhou, Henan 450001 Patentee after: Zhengzhou xinrand Network Technology Co.,Ltd. Address before: 100190, No. 21 West Fourth Ring Road, Beijing, Haidian District Patentee before: INSTITUTE OF ACOUSTICS, CHINESE ACADEMY OF SCIENCES Effective date of registration: 20210823 Address after: 100190, No. 21 West Fourth Ring Road, Beijing, Haidian District Patentee after: INSTITUTE OF ACOUSTICS, CHINESE ACADEMY OF SCIENCES Address before: 100190, No. 21 West Fourth Ring Road, Beijing, Haidian District Patentee before: INSTITUTE OF ACOUSTICS, CHINESE ACADEMY OF SCIENCES Patentee before: BEIJING INTELLIX TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |