CN110602053A - 应用进程无感式内核层加解密系统及方法 - Google Patents
应用进程无感式内核层加解密系统及方法 Download PDFInfo
- Publication number
- CN110602053A CN110602053A CN201910768429.8A CN201910768429A CN110602053A CN 110602053 A CN110602053 A CN 110602053A CN 201910768429 A CN201910768429 A CN 201910768429A CN 110602053 A CN110602053 A CN 110602053A
- Authority
- CN
- China
- Prior art keywords
- application process
- encryption
- data packet
- decryption
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种应用进程无感式内核层加解密系统,包括:第一加解密设备,用于在操作系统内核层对指定应用进程的通讯数据内容执行传输层上的、应用进程无感式的加密动作,以获得基于传输层的加密数据包;网络通讯设备,用于对所述加密数据包执行传输层上的网络传输;第二加解密设备,用于在操作系统内核层对所述加密数据包执行传输层上的、应用进程无感式的解密动作,以获得指定应用进程的通讯数据内容,并将指定应用进程的通讯数据内容回调给与所述指定应用进程对应的应用进程。本发明还涉及一种应用进程无感式内核层加解密方法。通过本发明,在对通讯数据内容执行加解密时,能够达到应用进程无感,同时避免了网络资源的浪费。
Description
技术领域
本发明涉及数据加解密领域,尤其涉及一种应用进程无感式内核层加解密系统及方法。
背景技术
随着工业互联网、物联网的快速发展,出现了各种需要进程级通讯加密的场景。
工业互联网是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应用生态,是工业智能化发展的关键综合信息基础设施,其自身的安全可控是确保其在各生产领域能够落地实施的前提,更是产业安全和国家安全的重要基础和保障。
工业互联网的核心思想是工业数据上云,其数据传输安全必然涉及到数据加解密技术。目前市场上的专业数据加解密厂商提供的加解密方案一般分为两种:链路加密和API接口加密。
链路加密:有时也叫做链路级或链路层加密,它是同一网络内两点传输数据时在数字链路层加密信息的一种数字保密方法。该方法的优势是应用无感,不需要修改现有的应用程序实现即可实现端到端加密,非常方便。但缺点也很明显,这种方法会给所有两点间传输的数据都进行加解密,包括没有安全需求的报文,造成资源浪费,也因此存在严重的性能问题,因为加解密算法是有较高的性能损失的,这种方法往往会显著增加网络通讯延时,甚至造成网络通讯阻塞。因此这种方案目前仍处在概念阶段,实用性不高。
API接口加密:数据安全厂商只提供加解密的SDK包,具体的加解密实现依赖于应用对加解密接口的调用。这种方式完全避免了加解密资源的浪费,能够满足实际的加解密需求,这也是目前被广泛采用的数据传输安全方案。但这种方案要求各种应用深度依赖加解密SDK包,对加解密接口进行调用,对于已经成型的应用需要对其所有的网络调用部分进行修改才能使用,对于可靠性要求非常高的工控环境(工业互联网边缘侧)来说这几乎是不允许的。
发明内容
为了解决上述问题,本发明提供了一种应用进程无感式内核层加解密系统及方法,对两点间传输的数据进行选择性的加解密处理,避免浪费大量的网络资源,同时,在操作系统的内核层对通讯数据进行过滤和加解密处理,不需要对应用进程进行修改,提升了其应用的工控环境的可靠性和安全性。
为此,本发明至少需要具备以下两处关键的发明点:
(1)提出一种基于操作系统内核技术实现的数据加解密系统,能够在内核层对通讯数据进行过滤,实现了应用进程无感式的加解密操作,即需要进行数据加解密传输的应用进程不需要做任何修改;
(2)只对指定应用进程的传输层,例如基于TCP或UDP协议的传输层,之上的通讯数据内容进行加解密,避免了对非安全通讯数据进行加解密而造成的资源浪费。
根据本发明的一方面,提供了一种应用进程无感式内核层加解密系统,所述系统包括:第一加解密设备,用于在操作系统内核层对指定应用进程的通讯数据内容执行传输层上的、应用进程无感式的加密动作,以获得基于传输层的加密数据包;网络通讯设备,与所述第一加解密设备连接,用于接收所述加密数据包,并对所述加密数据包执行传输层上的网络传输;第二加解密设备,与所述网络通讯设备连接,用于接收所述加密数据包,在操作系统内核层对所述加密数据包执行传输层上的、应用进程无感式的解密动作,以获得指定应用进程的通讯数据内容,并将指定应用进程的通讯数据内容回调给与所述指定应用进程对应的应用进程;其中,所述第一加解密设备位于网络数据发送端,所述指定应用进程运行在所述网络数据发送端;其中,所述第二加解密设备位于网络数据接收端,所述指定应用进程对应的应用进程运行在所述网络数据接收端。
根据本发明的另一方面,还提供了一种应用进程无感式内核层加解密方法,所述方法包括:使用第一加解密设备在操作系统内核层对指定应用进程的通讯数据内容执行传输层上的、应用进程无感式的加密动作,以获得基于传输层的加密数据包;使用网络通讯设备接收所述加密数据包,并对所述加密数据包执行传输层上的网络传输;使用第二加解密设备接收所述加密数据包,在操作系统内核层对所述加密数据包执行传输层上的、应用进程无感式的解密动作,以获得指定应用进程的通讯数据内容,并将指定应用进程的通讯数据内容回调给与所述指定应用进程对应的应用进程;其中,所述第一加解密设备位于网络数据发送端,所述指定应用进程运行在所述网络数据发送端;其中,所述第二加解密设备位于网络数据接收端,所述指定应用进程对应的应用进程运行在所述网络数据接收端。
附图说明
以下将结合附图对本发明的实施方案进行描述,其中:
图1为根据本发明实施方案示出的应用进程无感式内核层加解密系统的结构方框图。
图2为根据本发明实施方案示出的应用进程无感式内核层加解密系统的具体化的结构方框图。
图3为根据本发明实施方案示出的应用进程无感式内核层加解密方法的步骤流程图。
图4A为根据本发明实施方案示出的应用进程无感式内核层加解密方法的加密处理流程的步骤流程图。
图4B为根据本发明实施方案示出的应用进程无感式内核层加解密方法的解密处理流程的步骤流程图。
具体实施方式
下面将参照附图对本发明的应用进程无感式内核层加解密系统及方法的实施方案进行详细说明。
现有技术中的加解密方案包括链路加解密方案和API接口加解密方案,上述两种加解密方案虽然都能够实现网络数据内容的加解密操作,然而都存在本身固有的缺陷。其中,链路加解密方案对所有网络数据内容都要进行加解密,容易导致网络堵塞,造成不必要的资源浪费,API接口加解密方案需要对应用进程进行修改,操作繁琐且可靠性下降。
为了克服上述不足,本发明搭建了一种应用进程无感式内核层加解密系统及方法,能够有效解决相应的技术问题。
图1为根据本发明实施方案示出的应用进程无感式内核层加解密系统的结构方框图;
其中,应用进程A在网络数据发送端,应用进程A’在网络数据接收端,且应用进程A’与应用进程A对应;
其中,所述网络通讯设备分别与所述第一加解密设备和所述第二加解密设备连接;
具体地,所述应用进程无感式内核层加解密系统包括:
第一加解密设备,用于在操作系统内核层对指定应用进程的通讯数据内容执行传输层上的、应用进程无感式的加密动作,以获得基于传输层的加密数据包;
网络通讯设备,与所述第一加解密设备连接,用于接收所述加密数据包,并对所述加密数据包执行传输层上的网络传输;
第二加解密设备,与所述网络通讯设备连接,用于接收所述加密数据包,在操作系统内核层对所述加密数据包执行传输层上的、应用进程无感式的解密动作,以获得指定应用进程的通讯数据内容,并将指定应用进程的通讯数据内容回调给与所述指定应用进程对应的应用进程;
其中,所述第一加解密设备位于网络数据发送端,所述指定应用进程运行在所述网络数据发送端;
其中,所述第二加解密设备位于网络数据接收端,所述指定应用进程对应的应用进程运行在所述网络数据接收端。
接着,继续对本发明的应用进程无感式内核层加解密系统的具体结构进行进一步的说明。
图2给出了根据本发明实施方案示出的应用进程无感式内核层加解密系统的具体化的结构方框图;
其中,在图2中,对所述第一加解密设备的各个组成单元以及相互连接关系进行了进一步的描述,同时,对所述第二加解密设备的各个组成单元以及相互连接关系也进行了进一步的描述;
如图2所示,在所述应用进程无感式内核层加解密系统中:
所述第一加解密设备包括顺序连接的第一拦截单元、第一判断单元、第二判断单元、第三判断单元、加密执行单元、第一重构单元和数据包发送单元;
所述第二加解密设备包括顺序连接的第二拦截单元、第四判断单元、第五判断单元、第六判断单元、解密执行单元、第二重构单元和接收回调单元;
所述第一拦截单元用于对网络数据发送端的网络发送数据包进行拦截;
所述第一判断单元用于判断拦截到的网络发送数据包是否属于指定应用进程;
第二判断单元用于判断属于指定应用进程的网络发送数据包基于的传输层的协议名称是否在指定应用进程支持的加解密的传输层的协议名称列表中;
第三判断单元用于判断第二判断单元判断为是的网络发送数据包的指定端口号是否在指定应用进程的端口列表中;
加密执行单元用于对第三判断单元判断为是的网络发送数据包进行解包处理以获得其中的数据内容,对所述数据内容执行加密动作,以获得相应的加密数据;
第一重构单元用于对接收到的加密数据执行传输层上的打包处理,以获得基于传输层的加密数据包;
数据包发送单元用于将接收到的基于传输层的加密数据包发送给所述网络通讯设备;
第二拦截单元用于从所述网络通讯设备接收到的数据中拦截基于传输层的加密数据包;
第四判断单元用于判断接收到的加密数据包是否属于指定应用进程对应的应用进程;
第五判断单元用于判断第四判断单元判断为是的加密数据包基于的传输层的协议名称是否在指定应用进程对应的应用进程支持的加解密的传输层的协议名称列表中;
第六判断单元用于判断第五判断单元判断为是的加密数据包的指定端口号是否在指定应用进程对应的应用进程的端口列表中;
解密执行单元用于对第六判断单元判断为是的加密数据包执行传输层的解包动作以获得对应的数据内容;
第二重构单元用于对来自解密执行单元的数据内容进行传输层上的打包处理,以获得基于传输层的重构数据包;
接收回调单元用于将第二重构单元输出的重构数据包回调给指定应用进程对应的应用进程以使得指定应用进程对应的应用进程接收所述重构数据包;
其中,所述第一拦截单元或所述第二拦截单元在Windows操作系统下通过NDIS中间层驱动程序执行数据包的拦截;
其中,所述第一拦截单元或所述第二拦截单元在Linux操作系统下通过Netfilter程序执行数据包的拦截,所述Netfilter程序是Linux操作系统的防火墙内核部分的实现。
在所述应用进程无感式内核层加解密系统中:
在网络数据发送端或网络数据接收端,为每一个应用进程配置的属性包括:进程名称、协议列表和端口列表。
在所述应用进程无感式内核层加解密系统中:
针对每一个应用进程,所述协议列表为应用进程支持的加解密的传输层的协议名称列表,所述协议名称为TCP或UDP,所述端口列表为网络通讯的指定端口号组成的列表,仅对指定端口号对应的通讯数据内容执行加解密,指定端口号需标明是源端口号还是目的端口号,当不配置指定端口号时,对所有端口号对应的通讯数据内容执行加解密。
在所述应用进程无感式内核层加解密系统中:
所述第一加解密设备还包括顺序连接的第二拦截单元、第四判断单元、第五判断单元、第六判断单元、解密执行单元、第二重构单元和接收回调单元,用于当所述第一加解密设备位于网络数据接收端时执行相应的解密动作;
所述第二加解密设备还包括顺序连接的第一拦截单元、第一判断单元、第二判断单元、第三判断单元、加密执行单元、第一重构单元和数据包发送单元,用于当第二加解密设备位于网络数据发送端时执行相应的加密动作。
图3为根据本发明实施方案示出的应用进程无感式内核层加解密方法的步骤流程图,所述方法包括:
步骤S201:使用第一加解密设备在操作系统内核层对指定应用进程的通讯数据内容执行传输层上的、应用进程无感式的加密动作,以获得基于传输层的加密数据包;
步骤S202:使用网络通讯设备接收所述加密数据包,并对所述加密数据包执行传输层上的网络传输;
步骤S203:使用第二加解密设备接收所述加密数据包,在操作系统内核层对所述加密数据包执行传输层上的、应用进程无感式的解密动作,以获得指定应用进程的通讯数据内容,并将指定应用进程的通讯数据内容回调给与所述指定应用进程对应的应用进程;
其中,所述第一加解密设备位于网络数据发送端,所述指定应用进程运行在所述网络数据发送端;
其中,所述第二加解密设备位于网络数据接收端,所述指定应用进程对应的应用进程运行在所述网络数据接收端。
接着,继续对本发明的应用进程无感式内核层加解密方法的具体步骤进行进一步的说明。
图4A给出了根据本发明实施方案示出的应用进程无感式内核层加解密方法的加密处理流程的步骤流程图;
在图4A中,对步骤S201的加密处理流程进行了具体地说明;
如图4A所示,在操作系统内核层对指定应用进程的通讯数据内容执行传输层上的、应用进程无感式的加密动作,以获得基于传输层的加密数据包包括:
对网络数据发送端的网络发送数据包进行拦截;
判断拦截到的网络发送数据包是否属于指定应用进程;
判断属于指定应用进程的网络发送数据包基于的传输层的协议名称是否在指定应用进程支持的加解密的传输层的协议名称列表中;
当判断为是时,判断网络发送数据包的指定端口号是否在指定应用进程的端口列表中;
当判断为是时,判断网络发送数据包进行解包处理以获得其中的数据内容,对所述数据内容执行加密动作,以获得相应的加密数据;
对接收到的加密数据执行传输层上的打包处理,以获得基于传输层的加密数据包;
将接收到的基于传输层的加密数据包发送给所述网络通讯设备;
图4B给出了根据本发明实施方案示出的应用进程无感式内核层加解密方法的解密处理流程的步骤流程图;
在图4B中,对步骤S203的解密处理流程进行了具体地说明;
如图4B所示,接收所述加密数据包,在操作系统内核层对所述加密数据包执行传输层上的、应用进程无感式的解密动作,以获得指定应用进程的通讯数据内容,并将指定应用进程的通讯数据内容回调给与所述指定应用进程对应的应用进程包括:
从所述网络通讯设备接收到的数据中拦截基于传输层的加密数据包;
判断接收到的加密数据包是否属于指定应用进程对应的应用进程;
当判断为是时,判断加密数据包基于的传输层的协议名称是否在指定应用进程对应的应用进程支持的加解密的传输层的协议名称列表中;
当判断为是时,判断加密数据包的指定端口号是否在指定应用进程对应的应用进程的端口列表中;
当判断为是时,对加密数据包执行传输层的解包动作以获得对应的数据内容;
对对应的数据内容进行传输层上的打包处理,以获得基于传输层的重构数据包;
将重构数据包回调给指定应用进程对应的应用进程以使得指定应用进程对应的应用进程接收所述重构数据包;
所述应用进程无感式内核层加解密方法中:
对网络数据发送端的网络发送数据包进行拦截或从所述网络通讯设备接收到的数据中拦截基于传输层的加密数据包包括:在Windows操作系统下通过NDIS中间层驱动程序执行数据包的拦截;
其中,对网络数据发送端的网络发送数据包进行拦截或从所述网络通讯设备接收到的数据中拦截基于传输层的加密数据包包括:在Linux操作系统下通过Netfilter程序执行数据包的拦截,所述Netfilter程序是Linux操作系统的防火墙内核部分的实现。
所述应用进程无感式内核层加解密方法中:
在网络数据发送端或网络数据接收端,为每一个应用进程配置的属性包括:进程名称、协议列表和端口列表。
所述应用进程无感式内核层加解密方法中:
针对每一个应用进程,所述协议列表为应用进程支持的加解密的传输层的协议名称列表,所述协议名称为TCP或UDP,所述端口列表为网络通讯的指定端口号组成的列表,仅对指定端口号对应的通讯数据内容执行加解密,指定端口号需标明是源端口号还是目的端口号,当不配置指定端口号时,对所有端口号对应的通讯数据内容执行加解密。
所述应用进程无感式内核层加解密方法中:
当使用第二加解密设备在操作系统内核层对指定应用进程的通讯数据内容执行传输层上的、应用进程无感式的加密动作,以获得基于传输层的加密数据包时:
使用网络通讯设备接收所述加密数据包,并对所述加密数据包执行传输层上的网络传输;
使用第一加解密设备接收所述加密数据包,在操作系统内核层对所述加密数据包执行传输层上的、应用进程无感式的解密动作,以获得指定应用进程的通讯数据内容,并将指定应用进程的通讯数据内容回调给与所述指定应用进程对应的应用进程。
另外,进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器。程序是指令、数据及其组织形式的描述,进程是程序的实体。
进程是一个具有独立功能的程序关于某个数据集合的一次运行活动。它可以申请和拥有系统资源,是一个动态的概念,是一个活动的实体。它不只是程序的代码,还包括当前的活动,通过程序计数器的值和处理寄存器的内容来表示。
进程的狭义定义如下:进程是正在运行的程序的实例(an instance of acomputer program that is being executed)。
进程的广义定义如下:进程是一个具有一定独立功能的程序关于某个数据集合的一次运行活动。它是操作系统动态执行的基本单元,在传统的操作系统中,进程既是基本的分配单元,也是基本的执行单元。
进程的概念主要有两点:第一,进程是一个实体。每一个进程都有它自己的地址空间,一般情况下,包括文本区域(text region)、数据区域(data region)和堆栈(stackregion)。文本区域存储处理器执行的代码;数据区域存储变量和进程执行期间使用的动态分配的内存;堆栈区域存储着活动过程调用的指令和本地变量。第二,进程是一个“执行中的程序”。程序是一个没有生命的实体,只有处理器赋予程序生命时(操作系统执行之),它才能成为一个活动的实体,我们称其为进程。
进程是操作系统中最基本、重要的概念。是多道程序系统出现后,为了刻画系统内部出现的动态情况,描述系统内部各道程序的活动规律引进的一个概念,所有多道程序设计操作系统都建立在进程的基础上。
另外,API(Application Programming Interface,应用程序接口)是一些预先定义的函数,或指软件系统不同组成部分衔接的约定。目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问原码,或理解内部工作机制的细节。
操作系统是用户与计算机硬件系统之间的接口,用户通过操作系统的帮助,可以快速、有效和安全、可靠地操纵计算机系统中的各类资源,以处理自己的程序。为使用户能方便地使用操作系统,OS又向用户提供了如下两类接口:
(1)用户接口:操作系统专门为用户提供了“用户与操作系统的接口”,通常称为用户接口。该接口支持用户与OS之间进行交互,即由用户向OS请求提供特定的服务,而系统则把服务的结果返回给用户。
(2)程序接口:操作系统向编程人员提供了“程序与操作系统的接口”,简称程序接口,又称应用程序接口API(Application Programming Interface)。该接口是为程序员在编程时使用的,系统和应用程序通过这个接口,可在执行中访问系统中的资源和取得OS的服务,它也是程序能取得操作系统服务的惟一途径。大多数操作系统的程序接口是由一组系统调用(system call)组成,每一个系统调用都是一个能完成特定功能的子程序。
应用程序接口又称为应用编程接口,是一组定义、程序及协议的集合,通过API接口实现计算机软件之间的相互通信。API的一个主要功能是提供通用功能集。API同时也是一种中间件,为各种不同平台提供数据共享。程序设计的实践中,编程接口的设计首先要使软件系统的职责得到合理划分。良好的接口设计可以降低系统各部分的相互依赖,提高组成单元的内聚性,降低组成单元间的耦合程度,从而提高系统的可维护性和可扩展性。
最后应注意到的是,在本发明各个实施例中的各功能设备可以集成在一个处理设备中,也可以是各个设备单独物理存在,也可以两个或两个以上设备集成在一个设备中。
所述功能如果以软件功能设备的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种应用进程无感式内核层加解密系统,其特征在于,所述系统包括:
第一加解密设备,用于在操作系统内核层对指定应用进程的通讯数据内容执行传输层上的、应用进程无感式的加密动作,以获得基于传输层的加密数据包;
网络通讯设备,与所述第一加解密设备连接,用于接收所述加密数据包,并对所述加密数据包执行传输层上的网络传输;
第二加解密设备,与所述网络通讯设备连接,用于接收所述加密数据包,在操作系统内核层对所述加密数据包执行传输层上的、应用进程无感式的解密动作,以获得指定应用进程的通讯数据内容,并将指定应用进程的通讯数据内容回调给与所述指定应用进程对应的应用进程;
其中,所述第一加解密设备位于网络数据发送端,所述指定应用进程运行在所述网络数据发送端;
其中,所述第二加解密设备位于网络数据接收端,所述指定应用进程对应的应用进程运行在所述网络数据接收端。
2.如权利要求1所述的应用进程无感式内核层加解密系统,其特征在于:
所述第一加解密设备包括顺序连接的第一拦截单元、第一判断单元、第二判断单元、第三判断单元、加密执行单元、第一重构单元和数据包发送单元;
所述第二加解密设备包括顺序连接的第二拦截单元、第四判断单元、第五判断单元、第六判断单元、解密执行单元、第二重构单元和接收回调单元;
所述第一拦截单元用于对网络数据发送端的网络发送数据包进行拦截;
所述第一判断单元用于判断拦截到的网络发送数据包是否属于指定应用进程;
第二判断单元用于判断属于指定应用进程的网络发送数据包基于的传输层的协议名称是否在指定应用进程支持的加解密的传输层的协议名称列表中;
第三判断单元用于判断第二判断单元判断为是的网络发送数据包的指定端口号是否在指定应用进程的端口列表中;
加密执行单元用于对第三判断单元判断为是的网络发送数据包进行解包处理以获得其中的数据内容,对所述数据内容执行加密动作,以获得相应的加密数据;
第一重构单元用于对接收到的加密数据执行传输层上的打包处理,以获得基于传输层的加密数据包;
数据包发送单元用于将接收到的基于传输层的加密数据包发送给所述网络通讯设备;
第二拦截单元用于从所述网络通讯设备接收到的数据中拦截基于传输层的加密数据包;
第四判断单元用于判断接收到的加密数据包是否属于指定应用进程对应的应用进程;
第五判断单元用于判断第四判断单元判断为是的加密数据包基于的传输层的协议名称是否在指定应用进程对应的应用进程支持的加解密的传输层的协议名称列表中;
第六判断单元用于判断第五判断单元判断为是的加密数据包的指定端口号是否在指定应用进程对应的应用进程的端口列表中;
解密执行单元用于对第六判断单元判断为是的加密数据包执行传输层的解包动作以获得对应的数据内容;
第二重构单元用于对来自解密执行单元的数据内容进行传输层上的打包处理,以获得基于传输层的重构数据包;
接收回调单元用于将第二重构单元输出的重构数据包回调给指定应用进程对应的应用进程以使得指定应用进程对应的应用进程接收所述重构数据包;
其中,所述第一拦截单元或所述第二拦截单元在Windows操作系统下通过NDIS中间层驱动程序执行数据包的拦截;
其中,所述第一拦截单元或所述第二拦截单元在Linux操作系统下通过Netfilter程序执行数据包的拦截,所述Netfilter程序是Linux操作系统的防火墙内核部分的实现。
3.如权利要求2所述的应用进程无感式内核层加解密系统,其特征在于:
在网络数据发送端或网络数据接收端,为每一个应用进程配置的属性包括:进程名称、协议列表和端口列表。
4.如权利要求3所述的应用进程无感式内核层加解密系统,其特征在于:
针对每一个应用进程,所述协议列表为应用进程支持的加解密的传输层的协议名称列表,所述协议名称为TCP或UDP,所述端口列表为网络通讯的指定端口号组成的列表,仅对指定端口号对应的通讯数据内容执行加解密,指定端口号需标明是源端口号还是目的端口号,当不配置指定端口号时,对所有端口号对应的通讯数据内容执行加解密。
5.如权利要求4所述的应用进程无感式内核层加解密系统,其特征在于:
所述第一加解密设备还包括顺序连接的第二拦截单元、第四判断单元、第五判断单元、第六判断单元、解密执行单元、第二重构单元和接收回调单元,用于当所述第一加解密设备位于网络数据接收端时执行相应的解密动作;
所述第二加解密设备还包括顺序连接的第一拦截单元、第一判断单元、第二判断单元、第三判断单元、加密执行单元、第一重构单元和数据包发送单元,用于当第二加解密设备位于网络数据发送端时执行相应的加密动作。
6.一种应用进程无感式内核层加解密方法,其特征在于,所述方法包括:
使用第一加解密设备在操作系统内核层对指定应用进程的通讯数据内容执行传输层上的、应用进程无感式的加密动作,以获得基于传输层的加密数据包;
使用网络通讯设备接收所述加密数据包,并对所述加密数据包执行传输层上的网络传输;
使用第二加解密设备接收所述加密数据包,在操作系统内核层对所述加密数据包执行传输层上的、应用进程无感式的解密动作,以获得指定应用进程的通讯数据内容,并将指定应用进程的通讯数据内容回调给与所述指定应用进程对应的应用进程;
其中,所述第一加解密设备位于网络数据发送端,所述指定应用进程运行在所述网络数据发送端;
其中,所述第二加解密设备位于网络数据接收端,所述指定应用进程对应的应用进程运行在所述网络数据接收端。
7.如权利要求6所述的应用进程无感式内核层加解密方法,其特征在于:
在操作系统内核层对指定应用进程的通讯数据内容执行传输层上的、应用进程无感式的加密动作,以获得基于传输层的加密数据包包括:
对网络数据发送端的网络发送数据包进行拦截;
判断拦截到的网络发送数据包是否属于指定应用进程;
判断属于指定应用进程的网络发送数据包基于的传输层的协议名称是否在指定应用进程支持的加解密的传输层的协议名称列表中;
当判断为是时,判断网络发送数据包的指定端口号是否在指定应用进程的端口列表中;
当判断为是时,判断网络发送数据包进行解包处理以获得其中的数据内容,对所述数据内容执行加密动作,以获得相应的加密数据;
对接收到的加密数据执行传输层上的打包处理,以获得基于传输层的加密数据包;
将接收到的基于传输层的加密数据包发送给所述网络通讯设备;
接收所述加密数据包,在操作系统内核层对所述加密数据包执行传输层上的、应用进程无感式的解密动作,以获得指定应用进程的通讯数据内容,并将指定应用进程的通讯数据内容回调给与所述指定应用进程对应的应用进程包括:
从所述网络通讯设备接收到的数据中拦截基于传输层的加密数据包;
判断接收到的加密数据包是否属于指定应用进程对应的应用进程;
当判断为是时,判断加密数据包基于的传输层的协议名称是否在指定应用进程对应的应用进程支持的加解密的传输层的协议名称列表中;
当判断为是时,判断加密数据包的指定端口号是否在指定应用进程对应的应用进程的端口列表中;
当判断为是时,对加密数据包执行传输层的解包动作以获得对应的数据内容;
对对应的数据内容进行传输层上的打包处理,以获得基于传输层的重构数据包;
将重构数据包回调给指定应用进程对应的应用进程以使得指定应用进程对应的应用进程接收所述重构数据包;
其中,对网络数据发送端的网络发送数据包进行拦截或从所述网络通讯设备接收到的数据中拦截基于传输层的加密数据包包括:在Windows操作系统下通过NDIS中间层驱动程序执行数据包的拦截;
其中,对网络数据发送端的网络发送数据包进行拦截或从所述网络通讯设备接收到的数据中拦截基于传输层的加密数据包包括:在Linux操作系统下通过Netfilter程序执行数据包的拦截,所述Netfilter程序是Linux操作系统的防火墙内核部分的实现。
8.如权利要求7所述的应用进程无感式内核层加解密方法,其特征在于:
在网络数据发送端或网络数据接收端,为每一个应用进程配置的属性包括:进程名称、协议列表和端口列表。
9.如权利要求8所述的应用进程无感式内核层加解密方法,其特征在于:
针对每一个应用进程,所述协议列表为应用进程支持的加解密的传输层的协议名称列表,所述协议名称为TCP或UDP,所述端口列表为网络通讯的指定端口号组成的列表,仅对指定端口号对应的通讯数据内容执行加解密,指定端口号需标明是源端口号还是目的端口号,当不配置指定端口号时,对所有端口号对应的通讯数据内容执行加解密。
10.如权利要求9所述的应用进程无感式内核层加解密方法,其特征在于:
当使用第二加解密设备在操作系统内核层对指定应用进程的通讯数据内容执行传输层上的、应用进程无感式的加密动作,以获得基于传输层的加密数据包时:
使用网络通讯设备接收所述加密数据包,并对所述加密数据包执行传输层上的网络传输;
使用第一加解密设备接收所述加密数据包,在操作系统内核层对所述加密数据包执行传输层上的、应用进程无感式的解密动作,以获得指定应用进程的通讯数据内容,并将指定应用进程的通讯数据内容回调给与所述指定应用进程对应的应用进程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910768429.8A CN110602053B (zh) | 2019-08-20 | 2019-08-20 | 应用进程无感式内核层加解密系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910768429.8A CN110602053B (zh) | 2019-08-20 | 2019-08-20 | 应用进程无感式内核层加解密系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110602053A true CN110602053A (zh) | 2019-12-20 |
| CN110602053B CN110602053B (zh) | 2022-05-13 |
Family
ID=68854792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910768429.8A Active CN110602053B (zh) | 2019-08-20 | 2019-08-20 | 应用进程无感式内核层加解密系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110602053B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023061158A1 (zh) * | 2021-10-12 | 2023-04-20 | 中兴通讯股份有限公司 | 加解密方法、装置及计算机可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618323A (zh) * | 2014-12-22 | 2015-05-13 | 沈阳通用软件有限公司 | 基于网络过滤驱动的业务系统传输安全加固方法 |
| US9456002B2 (en) * | 2013-05-07 | 2016-09-27 | Imperva, Inc. | Selective modification of encrypted application layer data in a transparent security gateway |
| CN107124435A (zh) * | 2017-07-06 | 2017-09-01 | 济南浪潮高新科技投资发展有限公司 | 一种tcp报文加密电路及方法 |
| CN107172063A (zh) * | 2017-06-08 | 2017-09-15 | 上海中兴电力建设发展有限公司 | 基于智慧城市网络的高效应用式安全专网传输方法与系统 |
| CN107864129A (zh) * | 2017-10-31 | 2018-03-30 | 江苏神州信源系统工程有限公司 | 一种保证网络数据安全的方法和装置 |
| CN107948208A (zh) * | 2018-01-05 | 2018-04-20 | 宝牧科技(天津)有限公司 | 一种网络应用层透明加密的方法及装置 |
| CN108833380A (zh) * | 2018-05-31 | 2018-11-16 | 安徽四创电子股份有限公司 | 一种系统上下级平台间数据交换的方法 |
-
2019
- 2019-08-20 CN CN201910768429.8A patent/CN110602053B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9456002B2 (en) * | 2013-05-07 | 2016-09-27 | Imperva, Inc. | Selective modification of encrypted application layer data in a transparent security gateway |
| CN104618323A (zh) * | 2014-12-22 | 2015-05-13 | 沈阳通用软件有限公司 | 基于网络过滤驱动的业务系统传输安全加固方法 |
| CN107172063A (zh) * | 2017-06-08 | 2017-09-15 | 上海中兴电力建设发展有限公司 | 基于智慧城市网络的高效应用式安全专网传输方法与系统 |
| CN107124435A (zh) * | 2017-07-06 | 2017-09-01 | 济南浪潮高新科技投资发展有限公司 | 一种tcp报文加密电路及方法 |
| CN107864129A (zh) * | 2017-10-31 | 2018-03-30 | 江苏神州信源系统工程有限公司 | 一种保证网络数据安全的方法和装置 |
| CN107948208A (zh) * | 2018-01-05 | 2018-04-20 | 宝牧科技(天津)有限公司 | 一种网络应用层透明加密的方法及装置 |
| CN108833380A (zh) * | 2018-05-31 | 2018-11-16 | 安徽四创电子股份有限公司 | 一种系统上下级平台间数据交换的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023061158A1 (zh) * | 2021-10-12 | 2023-04-20 | 中兴通讯股份有限公司 | 加解密方法、装置及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110602053B (zh) | 2022-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11824962B2 (en) | Methods and apparatus for sharing and arbitration of host stack information with user space communication stacks | |
| US10924404B2 (en) | Multi-tenant middleware cloud service technology | |
| US10601596B2 (en) | Techniques to secure computation data in a computing environment | |
| US8990920B2 (en) | Creating a virtual private network (VPN) for a single app on an internet-enabled device or system | |
| US10353726B2 (en) | Transparent network security for application containers | |
| US9361163B2 (en) | Managing containerized applications on a mobile device while bypassing operating system implemented inter process communication | |
| EP2562647B1 (en) | Modifying application behaviour | |
| JP5293580B2 (ja) | ウェブサービスシステム、ウェブサービス方法及びプログラム | |
| JP2018513505A (ja) | システム層間でデータオペレーション機能を分割する方法 | |
| CN110602053B (zh) | 应用进程无感式内核层加解密系统及方法 | |
| US8516240B1 (en) | WAN secured VDI traffic for WAN optimization without required user configuration | |
| US20220311791A1 (en) | Systems and methods for low latency stateful threat detection and mitigation | |
| EP3139298A1 (en) | Information processing system, control method, and control program | |
| Matsumoto et al. | bypass4netns: Accelerating TCP/IP communications in rootless containers | |
| CN111460464B (zh) | 数据加解密方法、装置、电子设备及计算机存储介质 | |
| US20120246286A1 (en) | Modifying computer management request | |
| CN105162577A (zh) | 虚拟环境下的加密解密方法和物理服务器 | |
| Mueller | Proxies in PromethOS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Huaneng building, No.47, section 4, Renmin South Road, Wuhou District, Chengdu, Sichuan 610000 Applicant after: Huaneng Sichuan Energy Development Co.,Ltd. Address before: Huaneng building, No.47, section 4, Renmin South Road, Wuhou District, Chengdu, Sichuan 610000 Applicant before: Huaneng Sichuan Hydropower Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |