CN109600372A - 一种端对端硬件加密系统 - Google Patents
一种端对端硬件加密系统 Download PDFInfo
- Publication number
- CN109600372A CN109600372A CN201811499158.2A CN201811499158A CN109600372A CN 109600372 A CN109600372 A CN 109600372A CN 201811499158 A CN201811499158 A CN 201811499158A CN 109600372 A CN109600372 A CN 109600372A
- Authority
- CN
- China
- Prior art keywords
- message
- encryption
- hardware
- server
- enciphering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种端对端硬件加密系统,其包括:第一硬件加解密设备以及第二硬件加解密设备,第一硬件加解密设备连接用户端,对用户端发送的报文在出现在互联网之前进行加密;第二硬件加解密设备连接服务端,对经第一硬件加解密设备加密且从互联网发送至服务端的报文进行解密,并将解密后的报文发送至服务端。本发明提供方案可实现在用户端和服务端没有感知的情况下,保证两者间传输数据报文的安全性,并且不需要增加任何软件开发成本。
Description
技术领域
本发明涉及网络安全技术,具体涉及网络数据加密技术。
背景技术
随着社会生活中各种应用信息系统的普及使用,信息系统的数据安全性显得日益重要。对于保密性较高的信息系统,网络数据加密是比较通常的做法。而目前的数据加密主要采取的措施有如下两种:
1、针对敏感数据字段进行加密,服务器端接收到数据之后,对数据进行解密并处理。
2、使用https协议或者使用VPN网络,以防网络流量被不法分子截获,造成数据泄露。
但是,传统的针对敏感数据字段进行加密的方式,需要在软件上进行设计,并且如果数据报文被截取到的话,依然可以从中提取例如目的地址等一些列的有效信息,因此这种技术做不到绝对的安全,且会增加软件开发成本。
而采用https协议或使用VPN网络,在相同网络环境下,网络报文传送延时接近50%。另外,https服务器端资源占用较高,需要投入更多的带宽和服务器成本。
发明内容
针对现有网络数据加密技术所存在的问题,需要一种新的网络数据加密技术。
为此,本发明的目的在于提供一种端对端硬件加密系统,可实现在用户无感的情况下完成网络数据加解密,并不增加任何软件开发成本。
为了达到上述目的,本发明提供的端对端硬件加密系统,包括:第一硬件加解密设备以及第二硬件加解密设备,所述第一硬件加解密设备连接用户端,对用户端发送的报文在出现在互联网之前进行加密;所述第二硬件加解密设备连接服务端,对经第一硬件加解密设备加密且从互联网发送至服务端的报文进行解密,并将解密后的报文发送至服务端。
进一步的,所述硬件加解密设备包含http报文代理转发模块和报文加解密模块,所述http报文代理转发模块采用nginx实现服务的反向代理,将所有网络报文都经由nginx代理转发,对所有经过代理转发的报文内容,通过报文加解密模块进行报文体加密;
所述报文加解密模块对硬件加解密设备接收到的经过加密之后的报文进行报文解密,然后使用http代理模块进行http报文转发。
进一步的,所述硬件加解密设备中搭载有TCM芯片,提供存储单元,用于存储加解密http报文所需要的密钥数据。
本发明提供方案通过用户端和服务端分别连接一个硬件加解密设备,在用户无感的情况下,对用户发送给信息系统服务器的网络数据报文进行加密,再利用连接在服务器端的硬件加解密设备对数据报文进行解密,实现在用户端和服务端没有感知的情况下,保证两者间传输数据报文的安全性,并且不需要增加任何软件开发成本。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明实例中端对端硬件加密系统的实施原理图;
图2为本发明实例中对报文进行端对端硬件加解密的流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明通过在用户端和服务端分别连接硬件加解密设备,通过该硬件加解密设备在用户无感的情况下,对用户发送给信息系统服务器端的网络数据报文进入互联网前进行加密,再利用连接在服务器端的硬件加解密设备对经过加密的数据报文进行解密后再送至服务器端。本发明中采用的端对端硬件加解密设备,可以选取特定类型的网络报文,并采用设备内置的硬件加解密算法对数据进行加密、解密,使得加解密算法更具有效率,更加安全;实现在用户端和服务端没有感知的情况下,保证网络报文传输的安全性,且不需要增加任何软件开发成本。
参见图1,其所示为本发明基于上述原理给出的一种端对端硬件加密系统的实施示例图。
由图可知,本端对端硬件加密系统主要由第一硬件加解密设备10和第二硬件加解密设备20相互配合构成。
其中,第一硬件加解密设备10设置在客户端30与互联网40之间,根据要求对客户端30发送的特定类型的网络报文在进入互联网40之前进行加密,并将加密后的报文送入互联网40。
第二硬件加解密设备20设置在服务器端50与互联网40之间,用于对经第一硬件加解密设备10加密且从互联网40发送至服务器端50的报文进行解密,并将解密后的报文发送至服务器端50。
本实例中的硬件加解密设备内部包含http报文代理转发模块、报文加解密模块。
其中,http报文代理转发模块采用nginx实现服务的反向代理,所有网络报文都经由nginx代理转发,对所有经过代理转发的报文内容,通过报文加解密模块进行报文体加密;
对接收到的经过加密之后的报文,使用报文加解密模块对报文解密,然后使用http代理模块转发http报文。
报文加解密模块的加密密钥存储于设备所搭载的TCM芯片中。
进一步的,该硬件加解密设备具体搭载有TCM芯片,该芯片提供15个160字节的存储单元,用于存储加解密http报文所需要的密钥数据,防止密钥失窃。
由此构成的端对端硬件加密系统在运行时,将所有网络报文都经由nginx代理转发,在连接客户端的加解密设备上,对所有经过代理转发的报文内容,通过加解密模块进行报文体加密,加密密钥存储于设备所搭载的TCM芯片中。经过加密之后的报文经过互联网发送到连接在保密系统服务器前的加解密设备中,设备使用报文加解密模块对报文解密,然后使用http代理模块转发http报文到保密系统服务器。
参见图1,其所示为根据上述方案构成的端对端硬件加密系统在用户端30、公开系统服务器端60、保密系统服务器端50之间的布置应用示例。
其中,将第一硬件加解密设备10布置在客户端30与互联网40之间,将第二硬件加解密设备20设置在服务器端50与互联网40之间,而公开系统服务器端60直接接入互联网40。
这样,客户端30对外发送原始网络请求报文,第一硬件加解密设备10在该原始网络请求报文进入互联网40前,获取该该原始网络请求报文。
第一硬件加解密设备10在获得客户端所发出的原始网络请求报文后,解析报文头,查看请求目的IP是否为保密系统服务器端50:
如果是,则使用内置的硬件加密模块对数据报文进行加密后,经由互联网40发送到保密系统服务器端50所连接的第二硬件加解密设备20;第二硬件加解密设备20将接受到的数据报文进行解密,并转发给保密系统服务器端50;
如果请求目的IP是公开系统服务器端60,则直接转发原始报文到互联网40上。
参见图2,其所以为本端对端硬件加密对需要加密的报文进行加解密处理的流程。
由图可知,以客户端为例:硬件加解密设备在获取客户端发出的网络报文后,解析报文中的网络目的地址,根据系统中的保密系统服务器地址列表,判断该报文是否需要进行加密操作;如果需要,则调用设备内置的硬件加密模块,然后将加密后的报文发送至网络中;如果不需要,则直接发送原始报文到网络中。
硬件加解密设备在获取客户端接收到的网络报文后,解析报文中的网络源地址,根据系统中保密系统服务器地址列表,判断该报文是否需要进行解密操作:如果需要,则调用设备内置的硬件解密模块,然后将解密后的报文发送给客户端;如果不需要,则直接发送收到的原始报文给客户端。
由上操作流程可知,在整个收发报文过程中,客户端和服务器端是无感的,二者所接收的报文都是经过硬件加密设备处理之后的,能够有效保证报文在互联网传输的安全性。
本实例方案在具体应用时,无需改造现有的软件系统,只需要将加解密硬件设备连接在客户端和服务器端,即可实现保密系统的数据加密,防止因网络报文而导致的数据泄露。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.端对端硬件加密系统,其特征在于,包括:第一硬件加解密设备以及第二硬件加解密设备,所述第一硬件加解密设备连接用户端,对用户端发送的报文在出现在互联网之前进行加密;所述第二硬件加解密设备连接服务端,对经第一硬件加解密设备加密且从互联网发送至服务端的报文进行解密,并将解密后的报文发送至服务端。
2.根据权利要求1所述的端对端硬件加密系统,其特征在于,所述硬件加解密设备包含http报文代理转发模块和报文加解密模块,所述http报文代理转发模块采用nginx实现服务的反向代理,将所有网络报文都经由nginx代理转发,对所有经过代理转发的报文内容,通过报文加解密模块进行报文体加密;
所述报文加解密模块对硬件加解密设备接收到的经过加密之后的报文进行报文解密,然后使用http代理模块进行http报文转发。
3.根据权利要求1所述的端对端硬件加密系统,其特征在于,所述硬件加解密设备中搭载有TCM芯片,提供存储单元,用于存储加解密http报文所需要的密钥数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811499158.2A CN109600372A (zh) | 2018-12-08 | 2018-12-08 | 一种端对端硬件加密系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811499158.2A CN109600372A (zh) | 2018-12-08 | 2018-12-08 | 一种端对端硬件加密系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109600372A true CN109600372A (zh) | 2019-04-09 |
Family
ID=65961578
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811499158.2A Pending CN109600372A (zh) | 2018-12-08 | 2018-12-08 | 一种端对端硬件加密系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109600372A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111510304A (zh) * | 2020-04-20 | 2020-08-07 | 中国人民解放军陆军勤务学院 | 信息传输、信息管理方法、系统、装置及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023926A (zh) * | 2012-12-28 | 2013-04-03 | 中科正阳信息安全技术有限公司 | 一种基于反向代理的防信息泄漏安全网关系统 |
| US20170091474A1 (en) * | 2015-09-28 | 2017-03-30 | Xmedius Solutions Inc. | Maintaining Data Security In A Network Device |
| CN108809888A (zh) * | 2017-04-26 | 2018-11-13 | 北京握奇智能科技有限公司 | 一种基于安全模块的安全网络构建方法和系统 |
-
2018
- 2018-12-08 CN CN201811499158.2A patent/CN109600372A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023926A (zh) * | 2012-12-28 | 2013-04-03 | 中科正阳信息安全技术有限公司 | 一种基于反向代理的防信息泄漏安全网关系统 |
| US20170091474A1 (en) * | 2015-09-28 | 2017-03-30 | Xmedius Solutions Inc. | Maintaining Data Security In A Network Device |
| CN108809888A (zh) * | 2017-04-26 | 2018-11-13 | 北京握奇智能科技有限公司 | 一种基于安全模块的安全网络构建方法和系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111510304A (zh) * | 2020-04-20 | 2020-08-07 | 中国人民解放军陆军勤务学院 | 信息传输、信息管理方法、系统、装置及电子设备 |
| CN111510304B (zh) * | 2020-04-20 | 2023-06-20 | 中国人民解放军陆军勤务学院 | 信息传输、信息管理方法、系统、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101936758B1 (ko) | 정보 조회 기록의 무결성을 위한 암호화 장치, 방법 및 블록체인에서 정보 조회 기록의 무결성을 위한 분산 원장 장치 | |
| US8499156B2 (en) | Method for implementing encryption and transmission of information and system thereof | |
| US9100370B2 (en) | Strong SSL proxy authentication with forced SSL renegotiation against a target server | |
| US9219709B2 (en) | Multi-wrapped virtual private network | |
| US20130332724A1 (en) | User-Space Enabled Virtual Private Network | |
| US10749667B2 (en) | System and method for providing satellite GTP acceleration for secure cellular backhaul over satellite | |
| TW201644252A (zh) | 用於經由代理伺服器之安全視訊、影像、音訊及其他媒體訊務之接收及傳輸最佳化的系統及方法 | |
| JP2008512924A (ja) | 限定受信を提供する方法 | |
| CN109428867A (zh) | 一种报文加解密方法、网路设备及系统 | |
| CN113225352B (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| CN104219234A (zh) | 一种云存储个人数据安全的方法 | |
| CN104917723A (zh) | 用于实现加密文件安全共享的方法、装置和系统 | |
| CN105792190A (zh) | 通信系统中的数据加解密和传输方法 | |
| CN110519203B (zh) | 一种数据加密传输方法和装置 | |
| CN104753925A (zh) | 一种对文件进行加解密的网关系统和方法 | |
| JP2013235465A (ja) | ファイル処理システム | |
| CN115622772A (zh) | 一种金融业务服务的金融数据传输方法及应用网关 | |
| CN108111546A (zh) | 一种文件传输方法及系统 | |
| CN114125027A (zh) | 一种通信建立方法、装置、电子设备及存储介质 | |
| CN103916834A (zh) | 一种用户独享密钥的短信加密方法和系统 | |
| CN104735020A (zh) | 一种获取敏感数据的方法、设备及系统 | |
| CN109600372A (zh) | 一种端对端硬件加密系统 | |
| KR101737895B1 (ko) | 중요 정보에 대한 암호화 통신을 수행하는 웹 서버 | |
| CN104243291A (zh) | 一种可保障用户通讯内容安全的即时通讯方法及其系统 | |
| Shin et al. | Implementation of security mechanism in iiot systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190409 |
|
| RJ01 | Rejection of invention patent application after publication |