CN104753925A - 一种对文件进行加解密的网关系统和方法 - Google Patents
一种对文件进行加解密的网关系统和方法 Download PDFInfo
- Publication number
- CN104753925A CN104753925A CN201510107867.1A CN201510107867A CN104753925A CN 104753925 A CN104753925 A CN 104753925A CN 201510107867 A CN201510107867 A CN 201510107867A CN 104753925 A CN104753925 A CN 104753925A
- Authority
- CN
- China
- Prior art keywords
- module
- encryption
- data
- file
- decryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种对文件进行加解密的网关系统和方法,所述系统包括数据收发模块、数据解析模块、文件流分离模块、加解密模块、数据二次封装模块;应有本发明提供的对文件进行加解密的方法,通过本发明提供的系统对收到的网络数据包进行解析以及分离后进行加密或解密,能够精细的根据具体应用层网络协议,将网络传输数据有针对性的以文件为单位进行独立的加解密控制,对数据在网络传输中的安全和私密性提供可靠保障,并对数据提供特殊的加解密标志和细粒度的加解密权限,以满足用户对服务器文档数据的安全保密性的要求。
Description
技术领域
本发明属于信息处理技术领域,更具体地,涉及一种对文件进行加解密的网关系统和方法。
背景技术
在如今的信息经济时代,人们越来越多的利用各种系统来实现信息的共享和交换,以提高信息利用效率。对于用户来说,除了即时获取信息的需求之外,还有确保信息的机密性和完整性的需求:避免数据的安全遭受病毒木马的威胁,系统上的某些文件是希望被设置成不可随意被访问,或者被拷贝的。尤其是对于企业用户,如何在保障业务高效及连续性的同时,防止核心信息资产外泄已经成为企业信息安全建设的重点和难点。
现有技术中多采用网关来管控终端与服务器之间的访问,实现对信息安全的控制。现有的网关系统大多是基于路由来处理数据转发,或者只支持同一网段的局域网内的数据转发,直接对数据包进行处理,而不能根据需求对文件进行加解密处理。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种对文件进行加密解密的网关系统,其目的在于通过对数据净荷经过文件流分离后的二次封装,解决现有技术不能根据需求对文件进行加解密处理的技术问题。
为实现上述目的,按照本发明的一个方面,提供了一种对文件进行加解密的网关系统,包括数据收发模块、数据解析模块、文件流分离模块、加解密模块、数据二次封装模块;
数据解析模块的输入端连接数据收发模块的第一输出端,文件流分离 模块的输入端连接数据解析模块的输出端,加解密模块的输入端连接文件流分离模块的第一输出端,数据二次封装模块的第一输入端连接加解密模块的输出端,第二输入端连接文件流分离模块的第二输出端;数据收发模块的第二输入端连接数据二次封装模块的输出端;
其中,数据收发模块用于接收传送到网关系统的网络数据包,并用于将经过网关系统处理后的数据发送到网络上;
其中,数据解析模块用于对接收到的网络数据包进行地址信息剥离,解析出净荷;
其中,所述文件流分离模块用于将接收到的净荷进行分离处理后送到加解密模块,并当接收到的净荷为文件流的第一个包时,生成一个包括加密头的数据包送往二次封装模块;并当接收到的净荷为加密文件流时,剥离掉加密头,将去掉加密头的文件流送到加解密模块;
其中,加解密模块用于对接收到的数据包进行加密或解密处理;加密指不改变数据包的长度对数据进行编码;解密是指对数据进行反编码;
其中,数据二次封装模块用于对接收到的数据包添加包头和检验信息,送往数据收发模块。
为实现本发明的目的,按照本发明的另一方面,提供了一种对文件进行加解密的方法,所述方法基于本发明提供的对文件进行加解密的网关,具体如下:
(1)判断收到的网络数据包是否为文件流,若否,则将该网络数据包直接转发;若是,则进入步骤(2);
(2)判断收到的网络数据包是否为文件流第一个包;若是,则进行添加加密头或去除加密头的处理,对处理后生成的数据进行加解密处理,然后进行二次封装;将二次封装后的数据包发送到网络;若否,则对当前网络数据包直接进行加解密处理后进行二次封装,并转发到网络。
优选的,对于加密请求,当收到的网络数据包为文件流第一个包时, 由网关生成一个包含加密头的数据包并对其进行二次封装,同时对当前网络数据包加密处理后进行二次封装;将二次封装后的数据包一并发送到网络。
优选的,对于解密请求,当收到的文件流为加密文件,则剥离掉加密头,对去掉加密头的文件流进行解密处理;若否,则将其转入二次封装模块,进行转发处理。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)由于本发明的网关系统加解密过程安全智能透明,不改变原有信息的格式和状态,因此,用户在使用过程中不必改变操作习惯;
(2)本发明的网关系统支持跨网段的局域网内的数据包转发,支持服务器设置不同网段的多个IP地址,不同网段的数据处理统一且模块处理相互不影响,节省网关部署设备的数量;
(3)本发明提供的系统能够与企业用户的多种应用系统耦合,方便企业用户后续的需求升级和应用拓展;对于基于B/S架构的常见应用系统(如CRM、OA、ERP、PDM等),本网关都能提供支持,为企业安全个性化需求提供更多保障。
附图说明
图1是本发明提供的加解密网关系统的示意图;
图2是本发明提供的网关系统的部署示意图;
图3是本发明提供的加解密方法的解密流程图;
图4是本发明提供的加解密方法的加密流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的 本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
以下结合具体的实施例1具体描述本发明提供的一种对文件进行加解密的网关系统,如图1所示,该网关系统包括数据收发模块、数据解析模块、文件流分离模块、加解密模块和数据二次封装模块;
其中,数据解析模块的输入端连接数据收发模块的第一输出端;文件流分离模块的输入端连接数据解析模块的输出端;加解密模块的输入端连接文件流分离模块的第一输出端;数据二次封装模块的第一输入端连接加解密模块的输出端,第二输入端连接文件流分离模块的第二输出端;数据收发模块的第二输入端连接数据二次封装模块的输出端。
实施例1中,本发明提供的网关系统部署在交换机与服务器之间,该服务器存储的是明文文件数据,客户端向服务器请求上传和下载文件都需经过网关检测,具体部署位置如图2所示。以下以本系统对上传的文件进行解密以及对下载的文件进行加密为例,具体阐述实施例1的网关系统的工作流程:
如图3所示的,对上传的文件解密的方法如下:
(1)客户端向服务器发送上传请求,当服务器对该上传请求验证通过,客户端开始向服务器上传文件;其中,上传请求为HTTP、FTP或CIFS协议类型的请求;
(2)网关系统接收文件数据并进行数据分析,当识别到该上传请求,并且识别到客户端向服务器传送的是文件数据,网关系统存储该文件数据,并检测该文件数据是否为加密文件;
(3)若该文件是明文就放过该文件不进行处理;如果该文件是加密文件,则缓存该文件,直到存储的文件大小超过自定义加密头的大小;将含加密头的数据包丢弃,将剩余的已去除加密头的部分,送往加解密模块进行解密处理,然后对解密处理后的文件数据进行二次封装并将其发送到服 务器;后续发送的文件数据均经过解密处理。
如图4所示的,对下载的文件加密的方法具体如下:
(1)客户端向服务器发送下载请求,当服务器对该下载请求验证通过,服务器开始向客户端传送文件数据;其中,下载请求为HTTP、FTP或CIFS协议类型的请求;
(2)网关系统进行数据分析,当识别到下载请求,并且识别出服务器向客户端传送的文件数据,网关开始存储收到的文件数据,并且检测该文件是否为加密文件;
(3)若该文件是明文,则在该文件的起始部添加一个自定大小的加密文件头,并将该加密文件头发往客户端,同时加密已经保存的文件数据并发往客户端;后续发送的文件数据均经过加密处理。
实施例2是本发明提供的网关系统和加解密方法在应用上传下载中的应用,具体如下:
a,判断客户端请求是上传还是下载;若为上传,则进入步骤(b);若为下载,则进入步骤e;
b,判断文件是否为经过本发明的网关系统加密过的文件,若不是,则不处理;若是,则进入步骤c;
c,根据文件头包含的密钥级别判断是否有解密权限,如果没有则不处理,如果有权限,则进入步骤d;
d,剥离文件的加密头,根据加密头中的密钥信息,解密收到的加密文件;将明文文件传送到服务器;
e,根据预设的密钥级别在文件头内添加加密信息;将加密后的文件发送到客户端。
在实施例2提供的上传下载的方法中,客户端的文件在上传服务器的时候,若文件不是指定系统加密过的文件就不处理,若是指定系统加密过的文件,首先分析文件头,根据密钥级别判断是否有解密权限,如果没有 权限就不处理,如果有权限,就会去除文件的加密头,根据加密头中密钥相关信息,解密传输过程中的加密文件,保证了传输到服务器的文件是明文。
而另一方面,当客户端从服务器下载文件的时候,文件经过加解密网关,会对文件进行加密处理,同时根据密钥级别添加特定的加密文件头,文件头会添加相关的加密信息用来标志该文件是指定网关系统加密的,保证传输到客户端的文件是加密文件,确保文件数据的保密性。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种对文件进行加解密的网关系统,其特征在于,所述网关系统包括数据收发模块、数据解析模块、文件流分离模块、加解密模块和数据二次封装模块;
所述数据解析模块的输入端连接数据收发模块的第一输出端;文件流分离模块的输入端连接数据解析模块的输出端;加解密模块的输入端连接文件流分离模块的第一输出端;数据二次封装模块的第一输入端连接加解密模块的输出端,第二输入端连接文件流分离模块的第二输出端;数据收发模块的第二输入端连接数据二次封装模块的输出端;
所述数据解析模块用于对接收到的网络数据包进行地址信息剥离,解析出净荷;
所述文件流分离模块用于将接收到的净荷进行分离处理后送到加解密模块,并当接收到的净荷为文件流的第一个包时,生成一个包括加密头的数据包送往二次封装模块;并当接收到的净荷为加密文件流时,剥离掉加密头,将去掉加密头的文件流送到加解密模块;
所述数据二次封装模块用于对接收到的数据包添加包头和检验信息。
2.一种采用权利要求1所述的网关系统对文件进行加解密的方法,其特征在于,所述方法具体如下:
(1)判断收到的网络数据包是否为文件流,若否,则将该网络数据包直接转发;若是,则进入步骤(2);
(2)判断收到的网络数据包是否为文件流第一个包;若是,则进行添加加密头或去除加密头的处理,对处理后生成的数据进行加解密处理,然后进行二次封装,将二次封装后的数据包发送到网络;若否,则对当前网络数据包直接进行加解密处理后进行二次封装,并转发到网络。
3.一种如权利要求2所述的对文件进行加解密的方法,其特征在于,对于加密请求,在步骤(2)中,当收到的网络数据包为文件流第一个包时,由网关生成一个包含加密头的数据包并对其进行二次封装,同时对当前网络数据包加密处理后进行二次封装;将二次封装后的数据包一并发送到网络。
4.一种如权利要求2或3所述的对文件进行加解密的方法,其特征在于,对于解密请求,当收到的文件流为加密文件,则剥离掉加密头,对去掉加密头的文件流进行解密处理;若否,则将其转入二次封装模块,进行转发处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510107867.1A CN104753925A (zh) | 2015-03-11 | 2015-03-11 | 一种对文件进行加解密的网关系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510107867.1A CN104753925A (zh) | 2015-03-11 | 2015-03-11 | 一种对文件进行加解密的网关系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104753925A true CN104753925A (zh) | 2015-07-01 |
Family
ID=53593029
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510107867.1A Pending CN104753925A (zh) | 2015-03-11 | 2015-03-11 | 一种对文件进行加解密的网关系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104753925A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106355101A (zh) * | 2015-07-15 | 2017-01-25 | 中国科学院声学研究所 | 一种面向简易存储服务的透明文件加解密系统及其方法 |
| CN108243177A (zh) * | 2016-12-27 | 2018-07-03 | 中国移动通信有限公司研究院 | 一种数据传输方法及装置 |
| CN108664803A (zh) * | 2018-04-04 | 2018-10-16 | 中国电子科技集团公司第三十研究所 | 一种基于密码的文档内容细粒度访问控制系统 |
| CN111930763A (zh) * | 2020-07-29 | 2020-11-13 | 浙江德迅网络安全技术有限公司 | 一种加密https协议的网络安全防护方法 |
| CN113852595A (zh) * | 2021-07-29 | 2021-12-28 | 四川天翼网络服务有限公司 | 一种嵌入式设备跨网段加密通信方法 |
| CN114417393A (zh) * | 2021-12-08 | 2022-04-29 | 马上消费金融股份有限公司 | 文件加密方法、系统、电子设备及计算机可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047500A (zh) * | 2006-03-28 | 2007-10-03 | 华为技术有限公司 | 一种在演进网络中进行加密数据包传输的方法 |
| CN101184223A (zh) * | 2007-12-07 | 2008-05-21 | 四川长虹电器股份有限公司 | 一种对wma/wmv/asf/asx文件进行加密的方法 |
| CN102254127A (zh) * | 2011-08-11 | 2011-11-23 | 华为技术有限公司 | 文件的加密和解密方法、装置及系统 |
| CN102567690A (zh) * | 2011-12-27 | 2012-07-11 | 四川长虹电器股份有限公司 | 一种对flv文件进行加密的方法 |
| US20120290842A1 (en) * | 2010-01-27 | 2012-11-15 | Jerry John Artishdad | Method for securely downloading from distributed download sources |
| CN103279693A (zh) * | 2013-05-30 | 2013-09-04 | 付弦 | 一种文件加密方法 |
| CN103297437A (zh) * | 2013-06-20 | 2013-09-11 | 中国软件与技术服务股份有限公司 | 一种移动智能终端安全访问服务器的方法 |
| CN103488915A (zh) * | 2013-09-24 | 2014-01-01 | 无锡德思普科技有限公司 | 一种软硬件相结合的双重密钥加密的资源加密解密方法 |
| CN104113528A (zh) * | 2014-06-23 | 2014-10-22 | 汉柏科技有限公司 | 一种基于前置网关的防止敏感信息泄露的方法和系统 |
-
2015
- 2015-03-11 CN CN201510107867.1A patent/CN104753925A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047500A (zh) * | 2006-03-28 | 2007-10-03 | 华为技术有限公司 | 一种在演进网络中进行加密数据包传输的方法 |
| CN101184223A (zh) * | 2007-12-07 | 2008-05-21 | 四川长虹电器股份有限公司 | 一种对wma/wmv/asf/asx文件进行加密的方法 |
| US20120290842A1 (en) * | 2010-01-27 | 2012-11-15 | Jerry John Artishdad | Method for securely downloading from distributed download sources |
| CN102254127A (zh) * | 2011-08-11 | 2011-11-23 | 华为技术有限公司 | 文件的加密和解密方法、装置及系统 |
| CN102567690A (zh) * | 2011-12-27 | 2012-07-11 | 四川长虹电器股份有限公司 | 一种对flv文件进行加密的方法 |
| CN103279693A (zh) * | 2013-05-30 | 2013-09-04 | 付弦 | 一种文件加密方法 |
| CN103297437A (zh) * | 2013-06-20 | 2013-09-11 | 中国软件与技术服务股份有限公司 | 一种移动智能终端安全访问服务器的方法 |
| CN103488915A (zh) * | 2013-09-24 | 2014-01-01 | 无锡德思普科技有限公司 | 一种软硬件相结合的双重密钥加密的资源加密解密方法 |
| CN104113528A (zh) * | 2014-06-23 | 2014-10-22 | 汉柏科技有限公司 | 一种基于前置网关的防止敏感信息泄露的方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 陶珉: "基于文件过滤驱动的透明加密系统的设计与实现", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106355101A (zh) * | 2015-07-15 | 2017-01-25 | 中国科学院声学研究所 | 一种面向简易存储服务的透明文件加解密系统及其方法 |
| CN106355101B (zh) * | 2015-07-15 | 2019-04-26 | 中国科学院声学研究所 | 一种面向简易存储服务的透明文件加解密系统及其方法 |
| CN108243177A (zh) * | 2016-12-27 | 2018-07-03 | 中国移动通信有限公司研究院 | 一种数据传输方法及装置 |
| CN108243177B (zh) * | 2016-12-27 | 2021-01-15 | 中国移动通信有限公司研究院 | 一种数据传输方法及装置 |
| CN108664803A (zh) * | 2018-04-04 | 2018-10-16 | 中国电子科技集团公司第三十研究所 | 一种基于密码的文档内容细粒度访问控制系统 |
| CN111930763A (zh) * | 2020-07-29 | 2020-11-13 | 浙江德迅网络安全技术有限公司 | 一种加密https协议的网络安全防护方法 |
| CN113852595A (zh) * | 2021-07-29 | 2021-12-28 | 四川天翼网络服务有限公司 | 一种嵌入式设备跨网段加密通信方法 |
| CN113852595B (zh) * | 2021-07-29 | 2024-02-02 | 四川天翼网络服务有限公司 | 一种嵌入式设备跨网段加密通信方法 |
| CN114417393A (zh) * | 2021-12-08 | 2022-04-29 | 马上消费金融股份有限公司 | 文件加密方法、系统、电子设备及计算机可读存储介质 |
| CN114417393B (zh) * | 2021-12-08 | 2023-04-07 | 马上消费金融股份有限公司 | 文件加密方法、系统、电子设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104753925A (zh) | 一种对文件进行加解密的网关系统和方法 | |
| CN106713320B (zh) | 终端数据传输的方法和装置 | |
| US10069800B2 (en) | Scalable intermediate network device leveraging SSL session ticket extension | |
| CN107801165B (zh) | 业务短信推送方法、装置、计算机设备和存储介质 | |
| US9531689B1 (en) | System and method for encryption of network data | |
| US20160248734A1 (en) | Multi-Wrapped Virtual Private Network | |
| US10057218B2 (en) | Network address-based encryption | |
| CN108028834B (zh) | 用于安全文件传输的装置和方法 | |
| CN104145444A (zh) | 操作计算设备的方法、计算设备及计算机程序 | |
| CN104602238A (zh) | 一种无线网络连接方法、装置和系统 | |
| EP3182324A1 (en) | System and method for secure communications between a computer test tool and a cloud-based server | |
| CN104145446A (zh) | 操作计算设备的方法、计算设备及计算机程序 | |
| US10404451B2 (en) | Apparatus and method for message communication | |
| US9438569B2 (en) | Secured embedded data encryption systems | |
| EP3614292A1 (en) | File transfer system comprising an upload, storage and download device | |
| CN103731423A (zh) | 一种安全的重复数据删除方法 | |
| JP2013235465A (ja) | ファイル処理システム | |
| CN110198320B (zh) | 一种加密信息传输方法和系统 | |
| CN101052029B (zh) | 用于传输包括可扩展标记语言信息的消息的方法 | |
| US20160080327A1 (en) | Terminal apparatus, gateway apparatus, and relay apparatus connected to content-centric network, and communication method | |
| CN108563396B (zh) | 一种安全的云端对象存储方法 | |
| CN110611674B (zh) | 不同计算机系统之间的协议交互方法、系统及存储介质 | |
| JP2008182649A (ja) | 暗号化パケット通信システム | |
| JP2000305849A (ja) | 送信装置とその方法、受信装置とその方法および通信システム | |
| US11032352B2 (en) | Conveying encrypted electronic data from a device outside a multitenant system via the multitenant system to a recipient device that is a tenant device associated with the multitenant system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150701 |
|
| WD01 | Invention patent application deemed withdrawn after publication |