CN113315787B - 加密保护方法、装置及存储介质 - Google Patents
加密保护方法、装置及存储介质 Download PDFInfo
- Publication number
- CN113315787B CN113315787B CN202110853502.9A CN202110853502A CN113315787B CN 113315787 B CN113315787 B CN 113315787B CN 202110853502 A CN202110853502 A CN 202110853502A CN 113315787 B CN113315787 B CN 113315787B
- Authority
- CN
- China
- Prior art keywords
- plug
- message
- encryption
- algorithm
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种加密保护方法、装置及存储介质。其中,该方法包括:第一插件从服务端的目标端口获取对应的报文,第一插件设置于服务端的网络协议栈的传输层,目标端口与服务端提供的需要数据加密的目标服务对应,并且报文承载有目标服务的数据;第一插件利用预设的加密算法,对报文中承载的数据进行加密;以及第一插件将加密后的数据回填至报文,利用服务端的原有协议传输能力将报文传输至客户端的传输层,由设置于客户端的网络协议栈的传输层的第二插件通过与预设的加密算法对应的解密算法对报文进行解密。
Description
技术领域
本申请涉及数据处理技术领域,特别是涉及一种加密保护方法、装置及存储介质。
背景技术
随着信息发展,互联网系统的种类性日益增多,每个互联网系统都会对外或对内提供服务,尤其是一些基础服务,如各类数据库、各类消息队列和各类Web Server中间件等。但是,整个系统平台对外提供服务时容易被恶意用户在协议层劫持破解,从而非法拿到数据,破坏信息安全。尽管可以通过对服务的数据进行加密传输的方式来避免被恶意用户在协议层劫持破解,但是现有的数据加密传输方式都需要互联网系统的服务端和客户端协商一种加密方式,因此需要服务端和客户端参与数据加密传输,其是有感知的,这会加深互联网系统和加密套件的耦合,增加开发和部署运维难度。此外,现有的数据加密传输方式还需要对互联网系统进行调整修改,这会在一定程度上妨碍其提供服务。
针对上述的现有技术中存在的互联网系统的数据保护方式存在互联网系统和加密套件的耦合度高、开发和部署运维难度大以及妨碍互联网系统提供服务的技术问题,目前尚未提出有效的解决方案。
发明内容
本公开的实施例提供了一种加密保护方法、装置及存储介质,以至少解决现有技术中存在的互联网系统的数据保护方式存在互联网系统和加密套件的耦合度高、开发和部署运维难度大以及妨碍互联网系统提供服务的技术问题。
根据本公开实施例的一个方面,提供了一种加密保护方法,包括:第一插件从服务端的目标端口获取对应的报文,第一插件设置于服务端的网络协议栈的传输层,目标端口与服务端提供的需要数据加密的目标服务对应,并且报文承载有目标服务的数据;第一插件利用预设的加密算法,对报文中承载的数据进行加密;以及第一插件将加密后的数据回填至报文,利用服务端的原有协议传输能力将报文传输至客户端的传输层,由设置于客户端的网络协议栈的传输层的第二插件通过与预设的加密算法对应的解密算法对报文进行解密。
根据本公开实施例的另一方面,还提供了一种加密保护方法,包括:第二插件从客户端的与目标端口对应的端口获取承载有加密数据的报文,其中第二插件设置于客户端的网络协议栈的传输层,目标端口为服务端上设置的与服务端的目标服务对应的端口,承载有加密数据的的报文为设置于服务端的网络协议栈的传输层的第一插件利用预设的加密算法对从目标端口获取的报文中承载的数据进行加密后得到的报文;第二插件利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密,从而得到解密后的数据;以及第二插件将解密后的数据回填至报文,利用客户端的原有协议传输能力将报文传输至客户端的应用层。
根据本公开实施例的另一个方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时由处理器执行以上任意一项所述的方法。
根据本公开实施例的另一个方面,还提供了一种加密保护装置,包括:第一获取模块,用于通过第一插件从服务端的目标端口获取对应的报文,第一插件设置于服务端的网络协议栈的传输层,目标端口与服务端提供的需要数据加密的目标服务对应,并且报文承载有目标服务的数据;加密模块,用于通过第一插件利用预设的加密算法,对报文中承载的数据进行加密;以及第一传输模块,用于通过第一插件将加密后的数据回填至报文,利用服务端的原有协议传输能力将报文传输至客户端的传输层,由设置于客户端的网络协议栈的传输层的第二插件通过与预设的加密算法对应的解密算法对报文进行解密。
根据本公开实施例的另一个方面,还提供了一种加密保护装置,包括:第二获取模块,用于通过第二插件从客户端的与目标端口对应的端口获取承载有加密数据的报文,其中第二插件设置于客户端的网络协议栈的传输层,目标端口为服务端上设置的与服务端的目标服务对应的端口,承载有加密数据的的报文为设置于服务端的网络协议栈的传输层的第一插件利用预设的加密算法对从目标端口获取的报文中承载的数据进行加密后得到的报文;解密模块,用于通过第二插件利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密,从而得到解密后的数据;以及第二传输模块,用于通过第二插件将解密后的数据回填至报文,利用客户端的原有协议传输能力将报文传输至客户端的应用层。
根据本公开实施例的另一个方面,还提供了一种加密保护装置,包括:第一处理器;以及第一存储器,与第一处理器连接,用于为第一处理器提供处理以下处理步骤的指令:第一插件从服务端的目标端口获取对应的报文,第一插件设置于服务端的网络协议栈的传输层,目标端口与服务端提供的需要数据加密的目标服务对应,并且报文承载有目标服务的数据;第一插件利用预设的加密算法,对报文中承载的数据进行加密;以及第一插件将加密后的数据回填至报文,利用服务端的原有协议传输能力将报文传输至客户端的传输层,由设置于客户端的网络协议栈的传输层的第二插件通过与预设的加密算法对应的解密算法对报文进行解密。
根据本公开实施例的另一个方面,还提供了一种加密保护装置,包括:第二处理器;以及第二存储器,与第二处理器连接,用于为第二处理器提供处理以下处理步骤的指令:第二插件从客户端的与目标端口对应的端口获取承载有加密数据的报文,其中第二插件设置于客户端的网络协议栈的传输层,目标端口为服务端上设置的与服务端的目标服务对应的端口,承载有加密数据的的报文为设置于服务端的网络协议栈的传输层的第一插件利用预设的加密算法对从目标端口获取的报文中承载的数据进行加密后得到的报文;第二插件利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密,从而得到解密后的数据;以及第二插件将解密后的数据回填至报文,利用客户端的原有协议传输能力将报文传输至客户端的应用层。
在本公开实施例中,以纯外接式的方式将第一插件设置于服务端的网络协议栈的传输层,通过第一插件从需要保护或者所关注的目标端口获取报文,利用预设的加密算法对报文中承载的数据进行加密,并将加密后的数据回填至报文,利用服务端的原有协议传输能力将报文传输至客户端的传输层。从而,以纯外接式的方式设置于客户端的网络协议栈的传输层的第二插件,可以实时监听与目标端口对应的端口,获取传输过来的加密后的报文,然后利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密,并将解密后的数据回填至报文,然后利用客户端的原有协议传输能力将报文传输至客户端的应用层。从而,客户端可以按照正常方式接收数据并使用。通过上述方式,对于需要保护或者所关注的目标端口,其报文中承载的数据的加密传输操作可以由外接的第一插件和第二插件来执行的。对于不需要进行数据加密传输的其他端口,可以不外接使用第一插件和第二插件,从而不会对系统原有的报文的传输有影响,也不对非关注的端口有任何影响。并且,本实施例通过纯外接的第一插件和第二插件来执行数据加密操作,对于互联网系统的服务端和客户端而言加密操作是无感知的,数据加密行为是透明的,即服务端和客户端均是不知道接收到的数据是否进行了加密传输。从而,原系统和加密插件的耦合度极低、大大降低了开发和部署运维难度。并且,不需要对原系统做任何调整修改,从而不会妨碍互联网系统提供服务。进而解决了现有技术中存在的互联网系统的数据保护方式存在互联网系统和加密套件的耦合度高、开发和部署运维难度大以及妨碍互联网系统提供服务的技术问题。
附图说明
此处所说明的附图用来提供对本公开的进一步理解,构成本申请的一部分,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。在附图中:
图1是用于实现根据本公开实施例1所述的方法的计算设备的硬件结构框图;
图2是根据本公开实施例1所述的加密保护系统的示意图;
图3是根据本公开实施例1的第一个方面所述的加密保护方法的流程示意图;
图4是根据本公开实施例1所述的加密保护方法的整体流程示意图;
图5是根据本公开实施例1所述的TCP报文格式的示意图;
图6是根据本公开实施例1的第二个方面所述的加密保护方法的流程示意图;
图7是根据本公开实施例2的第一个方面所述的加密保护装置的示意图;
图8是根据本公开实施例2的第二个方面所述的加密保护装置的示意图;
图9是根据本公开实施例3的第一个方面所述的加密保护装置的示意图;以及
图10是根据本公开实施例3的第二个方面所述的加密保护装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本公开的技术方案,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本公开一部分的实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本公开保护的范围。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本实施例,提供了一种加密保护方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的计算设备中执行。图1示出了一种用于实现加密保护方法的计算设备的硬件结构框图。如图1所示,计算设备可以包括一个或多个处理器(处理器可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器、以及用于通信功能的传输装置。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算设备还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算设备中的其他元件中的任意一个内。如本公开实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器可用于存储应用软件的软件程序以及模块,如本公开实施例中的加密保护方法对应的程序指令/数据存储装置,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的加密保护方法。存储器可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至计算设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算设备的通信供应商提供的无线网络。在一个实例中,传输装置包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算设备的用户界面进行交互。
此处需要说明的是,在一些可选实施例中,上述图1所示的计算设备可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图1仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算设备中的部件的类型。
图2是根据本实施例所述的加密保护系统的示意图。参照图2所示,该加密保护系统包括:系统的服务端10、系统的客户端20、加密管理系统30、第一插件310以及第二插件320。该系统为互联网系统,可以对外或者外内提供服务,例如各类数据库、各类消息队列以及各类Web Server中间件等。服务端10为对外提供服务的服务提供方,例如但不限于为MySQL数据库服务端。客户端20为需要使用服务的服务使用方,例如但不限于为MySQL的客户端。第一插件310与第二插件320直接通信连接,第一插件310以纯外接式的方式设置于服务端10的传输层,第二插件320以纯外接式的方式设置于客户端20的传输层。此外,加密管理系统30与第一插件310和第二插件320通信连接,可以对第一插件310和第二插件320进行加密管理,例如但不限于为统一升级加解密算法、切换是否加解密、定期更新加解密算法以及更新加密端口等加密管理。需要说明的是,系统中的服务端10、客户端20、加密管理系统30、第一插件310以及第二插件320均可适用上面所述的硬件结构。
在上述运行环境下,根据本实施例的第一个方面,提供了一种加密保护方法,该方法由图2中所示的第一插件310和加密管理系统30共同实现。图3示出了该方法的流程示意图,参考图3所示,该方法包括:
S302:第一插件从服务端的目标端口获取对应的报文,第一插件设置于服务端的网络协议栈的传输层,目标端口与服务端提供的需要数据加密的目标服务对应,并且报文承载有目标服务的数据;
S304:第一插件利用预设的加密算法,对报文中承载的数据进行加密;以及
S306:第一插件将加密后的数据回填至报文,利用服务端的原有协议传输能力将所述报文传输至客户端的传输层,由设置于客户端的网络协议栈的传输层的第二插件通过与预设的加密算法对应的解密算法对报文进行解密。
参照图2以及图3所示,本实施例中,可以以纯外接式的方式将第一插件(对应于图2中的第一插件310)安装于服务端10的网络协议栈的传输层,以纯外接式的方式将第二插件(对应于图2中的第二插件320)安装于客户端20的网络协议栈的传输层。在需要对服务端10所提供的目标服务的数据进行加密传输的情况下,目标服务对应的目标端口则为第一插件310和第二插件320需要保护或者所关注的端口。从而,对于需要保护或者所关注的目标端口(例如但不限于为MySQL的3306端口),其报文(例如但不限于为TCP报文、IP报文和UPD报文)中承载的数据的加密传输操作可以由外接的第一插件310和第二插件320来执行的。对于不需要进行数据加密传输的其他端口,可以不外接使用第一插件310和第二插件310,从而不会对系统原有的TCP报文、IP报文和UPD报文的传输有影响,也不对非关注的端口有任何影响。从而,本实施例所提出的技术方案可以灵活地、针对性地对需要保护或者所关注的端口的报文进行加密传输。
具体为,第一插件310首先从服务端10的目标端口获取对应的报文,然后利用预设的加密算法对报文中承载的数据进行加密,最后将加密后的数据回填至报文,利用服务端10的原有协议传输能力将报文传输至客户端20的传输层。由于第二插件320以纯外接式的方式安装于客户端20的网络协议栈的传输层,因此第二插件320可以实时监听与目标端口对应的端口,获取传输过来的加密后的报文,然后利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密20,并将解密后的数据回填至报文,然后利用客户端的原有协议传输能力将报文传输至客户端的应用层。从而,客户端20可以按照正常方式接收数据并使用。因此,对于互联网系统的服务端和客户端而言加密操作是无感知的,数据加密行为是透明的,即服务端和客户端均是不知道接收到的数据是否进行了加密传输。从而,原系统和加密插件的耦合度低、大大降低了开发和部署运维难度。并且,不需要对原系统做任何调整修改,从而不会妨碍互联网系统提供服务。
正如上述背景技术所述的,系统平台对外提供服务时容易被恶意用户在协议层劫持破解,从而非法拿到数据,破坏信息安全。尽管可以通过对服务的数据进行加密传输的方式来避免被恶意用户在协议层劫持破解,但是现有的数据加密传输方式都需要互联网系统的服务端和客户端协商一种加密方式,因此需要互联网系统的服务端和客户端参与数据加密传输,其是有感知的,这会加深互联网系统和加密套件的耦合,增加开发和部署运维难度。此外,现有的数据加密传输方式还需要对互联网系统进行调整修改,这会在一定程度上妨碍其提供服务。
为了解决上述存在的技术问题,本实施例所提供的加密保护方法,首先通过以纯外接式的方式设置于服务端10的网络协议栈的传输层的第一插件310从需要保护或者所关注的目标端口获取报文,然后利用预设的加密算法对报文中承载的数据进行加密,最后将加密后的数据回填至报文,利用服务端的原有协议传输能力将报文传输至客户端的传输层。从而,以纯外接式的方式设置于客户端20的网络协议栈的传输层的第二插件320,可以实时监听与目标端口对应的端口,获取传输过来的加密后的报文,然后利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密,并将解密后的数据回填至报文,然后利用客户端的原有协议传输能力将报文传输至客户端的应用层。从而,客户端20可以按照正常方式接收数据并使用。通过上述方式,对于需要保护或者所关注的目标端口,其报文中承载的数据的加密传输操作可以由外接的第一插件310和第二插件320来执行的。对于不需要进行数据加密传输的其他端口,可以不外接使用第一插件310和第二插件310,从而不会对系统原有的报文的传输有影响,也不对非关注的端口有任何影响。并且,本实施例通过纯外接的第一插件310和第二插件320来执行数据加密操作,对于互联网系统的服务端和客户端而言加密操作是无感知的,数据加密行为是透明的,即服务端和客户端均是不知道接收到的数据是否进行了加密传输。从而,原系统和加密插件的耦合度极低、大大降低了开发和部署运维难度。并且,不需要对原系统做任何调整修改,从而不会妨碍互联网系统提供服务。进而解决了现有技术中存在的互联网系统的数据保护方式存在互联网系统和加密套件的耦合度高、开发和部署运维难度大以及妨碍互联网系统提供服务的技术问题。
此外,由于传输的数据是加密数据,可以有效的防止常规黑客程序的嗅探,比如MySQL的协议,通过第一插件310加密后,其内容已不符合MySQL的标准协议,则自然不可能被嗅探程序嗅探到,不会识别为MySQL的协议在传输数据,从而也保障了传输过程中通过固定端口或通过固定协议嗅探导致的数据泄露。
可选地,加密保护方法还包括:第一插件接收第二插件发送的算法获取请求,其中算法获取请求用于指示请求获取与预设的加密算法对应的解密算法;以及第一插件响应于算法获取请求,将与预设的加密算法对应的解密算法发送至第二插件。
具体地,参照图2所述,第二插件320启动后,首先联网访问第一插件310,向第一插件310发送算法获取请求。该算法获取请求用于指示请求获取与预设的加密算法对应的解密算法。从而,第一插件310接收第二插件320发送的算法获取请求,并响应于该算法获取请求,将与预设的加密算法对应的解密算法发送至第二插件320。通过这种方式,第二插件320可以随时获取最新的数据解密算法,为数据加解密算法的动态升级和更新提供了技术基础。
可选地,加密保护方法还包括:第一插件识别服务端中需要进行数据加密保护的服务,并将识别到的服务作为目标服务;以及第一插件从多个端口中确定与目标服务对应的目标端口。
具体地,服务端10可以向外或者向内提供各个服务,不同的服务对应于不同的端口。此外,每一个服务可以对应于一个应用程序。从而,参照图4所示,第一插件310在获取报文(例如但不限于为TCP报文)之前,需要识别服务端10中哪一个服务是需要进行数据加密保护的服务,并将识别到的服务作为目标服务,然后从多个端口中确定与该目标服务对应的目标端口。通过这种方式,第一插件310可以通过对多个端口中所关注的端口进行加密传输,也意味着可以选择性地对所关注的服务(或者应用程序)的数据进行加密传输。
可选地,第一插件利用预设的加密算法,对报文中承载的数据进行加密的操作,包括:第一插件按照对应的报文格式对报文进行解析,从而得到报文中承载的数据;以及第一插件利用预设的加密算法,对报文中承载的数据进行加密。
具体地,参照图4所示,第一插件310利用预设的加密算法,对报文中承载的数据进行加密的操作过程中,首先按照对应的报文格式对报文进行解析,从而得到报文中承载的数据。例如,在报文为TCP报文时,第一插件310需要按照TCP报文格式对该TCP报文进行解析。其中,图5示例性的示出了TCP报文格式的示意图。在报文为IP报文时,第一插件310需要按照IP报文格式对该IP报文进行解析。在报文为UPD报文时,第一插件310需要按照UPD报文格式对该UPD报文进行解析。同理,在报文为其他报文时,第一插件310需要按照对应的报文格式对该报文进行解析。然后,参照图4所示,第一插件310利用预设的加密算法,对报文中承载的数据进行加密,最后按照对应的报文格式将加密后的数据回填至报文,从而完成对报文的加密操作。通过这种方式,针对不同类型的报文,第一插件310可以按照不同的报文格式对报文进行解析,从而获得其承载的数据,并在完成数据的加密后还按照报文格式将加密数据回填至报文,从而实现了报文的加密操作。
可选地,通过预设的加密管理系统对第一插件和第二插件执行以下至少一项操作:更新第一插件和第二插件的加解密算法;更新第一插件和第二插件对应的加密端口,其中加密端口为需要对数据进行加密保护的服务对应的端口;以及启用或者停止第一插件和第二插件的加解密功能。
现有技术中,当加密方式需要更新(例如升级或者更换)时,需要原系统将升级或者更换后的加密方式同步给服务端和客户端,让两者同时知晓并更换加密方式。然而,在本申请中,由于报文的加密传输是由外接的第一插件310和第二插件320来执行的,因此可以通过设置一个专门用于统一管理第一插件310和第二插件320的加密管理系统30,由该加密管理系统30对第一插件310和第二插件320进行统一管理。从而,参照图2所示,加密保护系统还包括加密管理系统30。该加密管理系统30与第一插件310和第二插件320通信连接,可以对第一插件310和第二插件320进行加密管理。
具体为,通过加密管理系统30统一管理第一插件310和第二插件320的启用和停用,统一升级或更换第一插件310和第二插件320所使用的加密方式。即下发相应的升级指令或者更换指令至第一插件310和第二插件320,由第一插件310和第二插件320根据接收到的指令同步升级或者更换加密方式。从而,不需要对原系统做任何调整修改,达到了在无需原系统参与安全管理工作的前提下,有效提升了原系统的安全等级的技术效果。
此外,加密管理系统30也可以根据需要随时调整加密密级,如定期自动替换插件两侧的密码或更换加密算法。加密管理系统30也可以在原系统毫无感知的情况下对系统进行加密变更(如内网服务需要对外提供时,由原来的不加密变更为加密)或降级为不加密(如对外服务迁移为纯企业内网服务时,可根据需要降级为不加密),即启用或者停止第一插件310和第二插件320的加解密功能。
此外,加密管理系统30可以通过在服务端10的传输层插入第一插件310,通过在客户端20的传输层插入第二插件320。同理,加密管理系统30还可以从服务端10的传输层卸载第一插件310,从客户端20的传输层卸载第二插件320。通过这种方式,实现了以纯外接式的方式将第一插件310设置于服务端10的网络协议栈的传输层,以及以纯外接式的方式将第二插件320设置于客户端20的网络协议栈的传输层的目的。
此外,根据本实施例的第二个方面,提供了一种加密保护方法,该方法由图2中所示的第二插件320实现。图6示出了该方法的流程示意图,参考图6所示,该方法包括:
S602:第二插件从客户端的与目标端口对应的端口获取承载有加密数据的报文,其中第二插件设置于客户端的网络协议栈的传输层,目标端口为服务端上设置的与服务端的目标服务对应的端口,承载有加密数据的的报文为设置于服务端的网络协议栈的传输层的第一插件利用预设的加密算法对从目标端口获取的报文中承载的数据进行加密后得到的报文;
S604:第二插件利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密,从而得到解密后的数据;以及
S606:第二插件将解密后的数据回填至报文,利用客户端的原有协议传输能力将报文传输至客户端的应用层。
可选地,加密保护方法还包括:第二插件将算法获取请求发送至第一插件,其中算法获取请求用于指示请求获取与预设的加密算法对应的解密算法;以及第二插件从第一插件接收与预设的加密算法对应的解密算法。
可选地,第二插件利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密,从而得到解密后的数据的操作,包括:第二插件按照对应的报文格式对报文进行解析,从而得到报文中承载的加密数据;以及第二插件利用与预设的加密算法对应的解密算法,对报文中承载的加密数据进行解密,从而得到解密后的数据。
本实施例第二方面提供的加密保护方法可以参照第一方面提供的第二插件320中的所有描述,并且能够实现第一方面提供的第二插件320的所有功能,这里不再赘述。
此外,参照图4所示,第二插件320利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密的操作过程中,首先按照对应的报文格式对报文进行解析,从而得到报文中承载的加密数据。例如,在报文为TCP报文时,第二插件320需要按照TCP报文格式对加密后的TCP报文进行解析。其中,图5示例性的示出了TCP报文格式的示意图。在报文为IP报文时,第二插件320需要按照IP报文格式对该加密后的IP报文进行解析。在报文为UPD报文时,第二插件320需要按照UPD报文格式对加密后的UPD报文进行解析。同理,在报文为其他报文时,第二插件320需要按照对应的报文格式对报文进行解析。然后,参照图4所示,第二插件320利用与预设的加密算法对应的解密算法,对报文中承载的加密数据进行解密,最后按照对应的报文格式将解密后的数据回填至报文,从而完成对报文的解密操作。通过这种方式,针对不同类型的报文,第二插件320可以按照不同的报文格式对报文进行解析,从而获得其承载的加密数据,并在完成数据的解密后还按照报文格式将解密得到的数据回填至报文,从而实现了报文的解密操作。
此外,参照图4所示,本实施例所提出的加密保护方法的完整流程步骤如下:
步骤一、第一插件310(也可称为服务器端插件)识别需要保护的对外提供服务的系统,如MySQL服务,对外提供服务的端口为3306;
步骤二、第一插件310识别对应的端口(如MySQL的3306)端口,在TCP层获取该层数据,根据MySQL的客户端协议定义,混淆进去加密因子;
步骤三、第一插件310再将混淆加密因子计算出加密后的加密内容,按照TCP协议要求,放入TCP层的数据段中,数据继续传递;
步骤四、第二插件320(可称为客户端插件)启动后,首先联网访问第一插件310,从第一插件310中获取解密因子;
步骤五、第二插件320监听服务端口(如MySQL的3306),同样从TCP层获取数据段;
步骤六、第二插件320将获取的数据段利用解密因子进行数据解密,同时将解密后的内容按照TCP协议要求,存入到协议中,此时TCP中传输的为解密内容,继续进行下一个环节传输;
步骤七、客户端20按正常方式接收数据并使用。
其中,第一插件310安装在对外提供服务的机器上(如MySQL数据库服务端),需要工作在内核态层。第二插件320安装在需要使用服务的客户端机器上(如MySQL的客户端),需要工作在内核态层。并且,第一插件310和第二插件320以纯外接式的方式进行工作,不需要对原系统做任何调整修改。
此外,参考图1所示,根据本实施例的第三个方面,提供了一种存储介质。存储介质包括存储的程序,其中,在程序运行时由处理器执行以上任意一项所述的方法。
从而根据本实施例,以纯外接式的方式将第一插件设置于服务端的网络协议栈的传输层,通过第一插件从需要保护或者所关注的目标端口获取报文,利用预设的加密算法对报文中承载的数据进行加密,并将加密后的数据回填至报文,利用服务端的原有协议传输能力将报文传输至客户端的传输层。从而,以纯外接式的方式设置于客户端的网络协议栈的传输层的第二插件,可以实时监听与目标端口对应的端口,获取传输过来的加密后的报文,然后利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密,并将解密后的数据回填至报文,然后利用客户端的原有协议传输能力将报文传输至客户端的应用层。从而,客户端可以按照正常方式接收数据并使用。通过上述方式,对于需要保护或者所关注的目标端口,其报文中承载的数据的加密传输操作可以由外接的第一插件和第二插件来执行的。对于不需要进行数据加密传输的其他端口,可以不外接使用第一插件和第二插件,从而不会对系统原有的报文的传输有影响,也不对非关注的端口有任何影响。并且,本实施例通过纯外接的第一插件和第二插件来执行数据加密操作,对于互联网系统的服务端和客户端而言加密操作是无感知的,数据加密行为是透明的,即服务端和客户端均是不知道接收到的数据是否进行了加密传输。从而,原系统和加密插件的耦合度极低、大大降低了开发和部署运维难度。并且,不需要对原系统做任何调整修改,从而不会妨碍互联网系统提供服务。进而解决了现有技术中存在的互联网系统的数据保护方式存在互联网系统和加密套件的耦合度高、开发和部署运维难度大以及妨碍互联网系统提供服务的技术问题。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
图7示出了根据本实施例的第一个方面所述的加密保护装置700,该装置700与根据实施例1的第一个方面所述的方法相对应。参考图7所示,该装置700包括:第一获取模块710,用于通过第一插件从服务端的目标端口获取对应的报文,第一插件设置于服务端的网络协议栈的传输层,目标端口与服务端提供的需要数据加密的目标服务对应,并且报文承载有目标服务的数据;加密模块720,用于通过第一插件利用预设的加密算法,对报文中承载的数据进行加密;以及第一传输模块730,用于通过第一插件将加密后的数据回填至报文,利用服务端的原有协议传输能力将报文传输至客户端的传输层,由设置于客户端的网络协议栈的传输层的第二插件通过与预设的加密算法对应的解密算法对报文进行解密。
可选地,系统保护装置700还包括:请求接收模块,用于通过第一插件接收第二插件发送的算法获取请求,其中算法获取请求用于指示请求获取与预设的加密算法对应的解密算法;以及算法发送模块,用于通过第一插件响应于算法获取请求,将与预设的加密算法对应的解密算法发送至第二插件。
可选地,加密保护方法装置700还包括:识别模块,用于通过第一插件识别服务端中需要进行数据加密保护的服务,并将识别到的服务作为目标服务;以及确定模块,用于通过第一插件从多个端口中确定与目标服务对应的目标端口。
可选地,加密模块720,包括:第一解析子模块,用于通过第一插件按照对应的报文格式对报文进行解析,从而得到报文中承载的数据;以及加密子模块,用于通过第一插件利用预设的加密算法,对报文中承载的数据进行加密。
可选地,系统保护装置700还包括加密管理模块,用于通过预设的加密管理系统对第一插件和第二插件执行以下至少一项操作:更新第一插件和第二插件的加解密算法;更新第一插件和第二插件对应的加密端口,其中加密端口为需要对数据进行加密保护的服务对应的端口;以及启用或者停止第一插件和第二插件的加解密功能。
此外,图8示出了根据本实施例的第二个方面所述的加密保护装置800,该装置800与根据实施例1的第二个方面所述的方法相对应。参考图8所示,该装置800包括:第二获取模块810,用于通过第二插件从客户端的与目标端口对应的端口获取承载有加密数据的报文,其中第二插件设置于客户端的网络协议栈的传输层,目标端口为服务端上设置的与服务端的目标服务对应的端口,承载有加密数据的的报文为设置于服务端的网络协议栈的传输层的第一插件利用预设的加密算法对从目标端口获取的报文中承载的数据进行加密后得到的报文;解密模块820,用于通过第二插件利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密,从而得到解密后的数据;以及第二传输模块830,用于通过第二插件将解密后的数据回填至报文,利用客户端的原有协议传输能力将报文传输至客户端的应用层。
可选地,加密保护方法装置800还包括:请求发送模块,用于通过第二插件将算法获取请求发送至第一插件,其中算法获取请求用于指示请求获取与预设的加密算法对应的解密算法;以及算法接收模块,用于通过第二插件从第一插件接收与预设的加密算法对应的解密算法。
可选地,解密模块820,包括:第二解析子模块,用于通过第二插件按照报文格式对报文进行解析,从而得到报文中承载的加密数据;以及解密子模块,用于通过第二插件利用与预设的加密算法对应的解密算法,对报文中承载的加密数据进行解密,从而得到解密后的数据。
从而根据本实施例,以纯外接式的方式将第一插件设置于服务端的网络协议栈的传输层,通过第一插件从需要保护或者所关注的目标端口获取报文,利用预设的加密算法对报文中承载的数据进行加密,并将加密后的数据回填至报文,利用服务端的原有协议传输能力将报文传输至客户端的传输层。从而,以纯外接式的方式设置于客户端的网络协议栈的传输层的第二插件,可以实时监听与目标端口对应的端口,获取传输过来的加密后的报文,然后利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密,并将解密后的数据回填至报文,然后利用客户端的原有协议传输能力将报文传输至客户端的应用层。从而,客户端可以按照正常方式接收数据并使用。通过上述方式,对于需要保护或者所关注的目标端口,其报文中承载的数据的加密传输操作可以由外接的第一插件和第二插件来执行的。对于不需要进行数据加密传输的其他端口,可以不外接使用第一插件和第二插件,从而不会对系统原有的报文的传输有影响,也不对非关注的端口有任何影响。并且,本实施例通过纯外接的第一插件和第二插件来执行数据加密操作,对于互联网系统的服务端和客户端而言加密操作是无感知的,数据加密行为是透明的,即服务端和客户端均是不知道接收到的数据是否进行了加密传输。从而,原系统和加密插件的耦合度极低、大大降低了开发和部署运维难度。并且,不需要对原系统做任何调整修改,从而不会妨碍互联网系统提供服务。进而解决了现有技术中存在的互联网系统的数据保护方式存在互联网系统和加密套件的耦合度高、开发和部署运维难度大以及妨碍互联网系统提供服务的技术问题。
实施例3
图9示出了根据本实施例的第一个方面所述的加密保护装置900,该装置900与根据实施例1的第一个方面所述的方法相对应。参考图9所示,该装置900包括:第一处理器910;以及第一存储器920,与第一处理器910连接,用于为第一处理器910提供处理以下处理步骤的指令:第一插件从服务端的目标端口获取对应的报文,第一插件设置于服务端的网络协议栈的传输层,目标端口与服务端提供的需要数据加密的目标服务对应,并且报文承载有目标服务的数据;第一插件利用预设的加密算法,对报文中承载的数据进行加密;以及第一插件将加密后的数据回填至报文,利用服务端的原有协议传输能力将报文传输至客户端的传输层,由设置于客户端的网络协议栈的传输层的第二插件通过与预设的加密算法对应的解密算法对报文进行解密。
可选地,第一存储器920还用于为第一处理器910提供处理以下处理步骤的指令:第一插件接收第二插件发送的算法获取请求,其中算法获取请求用于指示请求获取与预设的加密算法对应的解密算法;以及第一插件响应于算法获取请求,将与预设的加密算法对应的解密算法发送至第二插件。
可选地,第一存储器920还用于为第一处理器910提供处理以下处理步骤的指令:第一插件识别服务端中需要进行数据加密保护的服务,并将识别到的服务作为目标服务;以及第一插件从多个端口中确定与目标服务对应的目标端口。
可选地,第一插件利用预设的加密算法,对报文中承载的数据进行加密的操作,包括:第一插件按照对应的报文格式对报文进行解析,从而得到报文中承载的数据;以及第一插件利用预设的加密算法,对报文中承载的数据进行加密。
可选地,第一存储器920还用于为第一处理器910提供处理以下处理步骤的指令:通过预设的加密管理系统对第一插件和第二插件执行以下至少一项操作:更新第一插件和第二插件的加解密算法;更新第一插件和第二插件对应的加密端口,其中加密端口为需要对数据进行加密保护的服务对应的端口;以及启用或者停止第一插件和第二插件的加解密功能。
此外,图10示出了根据本实施例的第二个方面所述的加密保护装置1000,该装置1000与根据实施例1的第二个方面所述的方法相对应。参考图10所示,该装置1000包括:第二处理器1010;以及第二存储器1020,与第二处理器1010连接,用于为第二处理器1010提供处理以下处理步骤的指令:第二插件从客户端的与目标端口对应的端口获取承载有加密数据的报文,其中第二插件设置于客户端的网络协议栈的传输层,目标端口为服务端上设置的与服务端的目标服务对应的端口,承载有加密数据的的报文为设置于服务端的网络协议栈的传输层的第一插件利用预设的加密算法对从目标端口获取的报文中承载的数据进行加密后得到的报文;第二插件利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密,从而得到解密后的数据;以及第二插件将解密后的数据回填至报文,利用客户端的原有协议传输能力将报文传输至客户端的应用层。
可选地,第二存储器1020还用于为第二处理器1010提供处理以下处理步骤的指令:第二插件将算法获取请求发送至第一插件,其中算法获取请求用于指示请求获取与预设的加密算法对应的解密算法;以及第二插件从第一插件接收与预设的加密算法对应的解密算法。
可选地,第二插件利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密,从而得到解密后的数据的操作,包括:第二插件按照对应的报文格式对报文进行解析,从而得到报文中承载的加密数据;第二插件利用与预设的加密算法对应的解密算法,对报文中承载的加密数据进行解密,从而得到解密后的数据。
从而根据本实施例,以纯外接式的方式将第一插件设置于服务端的网络协议栈的传输层,通过第一插件从需要保护或者所关注的目标端口获取报文,利用预设的加密算法对报文中承载的数据进行加密,并将加密后的数据回填至报文,利用服务端的原有协议传输能力将报文传输至客户端的传输层。从而,以纯外接式的方式设置于客户端的网络协议栈的传输层的第二插件,可以实时监听与目标端口对应的端口,获取传输过来的加密后的报文,然后利用与预设的加密算法对应的解密算法对报文中承载的加密数据进行解密,并将解密后的数据回填至报文,然后利用客户端的原有协议传输能力将报文传输至客户端的应用层。从而,客户端可以按照正常方式接收数据并使用。通过上述方式,对于需要保护或者所关注的目标端口,其报文中承载的数据的加密传输操作可以由外接的第一插件和第二插件来执行的。对于不需要进行数据加密传输的其他端口,可以不外接使用第一插件和第二插件,从而不会对系统原有的报文的传输有影响,也不对非关注的端口有任何影响。并且,本实施例通过纯外接的第一插件和第二插件来执行数据加密操作,对于互联网系统的服务端和客户端而言加密操作是无感知的,数据加密行为是透明的,即服务端和客户端均是不知道接收到的数据是否进行了加密传输。从而,原系统和加密插件的耦合度极低、大大降低了开发和部署运维难度。并且,不需要对原系统做任何调整修改,从而不会妨碍互联网系统提供服务。进而解决了现有技术中存在的互联网系统的数据保护方式存在互联网系统和加密套件的耦合度高、开发和部署运维难度大以及妨碍互联网系统提供服务的技术问题。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (9)
1.一种加密保护方法,其特征在于,包括:
第一插件从服务端的目标端口获取对应的报文,所述第一插件设置于所述服务端的网络协议栈的传输层,所述目标端口与所述服务端提供的需要数据加密的目标服务对应,并且所述报文承载有所述目标服务的数据;
所述第一插件从所述目标端口获取加密因子;
所述第一插件基于所述加密因子,利用预设的加密算法,对所述报文中承载的数据进行加密;以及
所述第一插件将加密后的数据回填至所述报文,利用所述服务端的原有协议传输能力将所述报文传输至客户端的传输层,由设置于所述客户端的传输层的第二插件通过与所述预设的加密算法对应的解密算法对所述报文进行解密,并且方法还包括:
所述第一插件接收所述第二插件发送的算法获取请求,其中所述算法获取请求用于指示请求获取与所述预设的加密算法对应的解密算法;以及
所述第一插件响应于所述算法获取请求,将与所述预设的加密算法对应的解密算法发送至所述第二插件。
2.根据权利要求1所述的加密保护方法,其特征在于,还包括:
所述第一插件识别所述服务端中需要进行数据加密保护的服务,并将识别到的服务作为所述目标服务;以及
所述第一插件从多个端口中确定与所述目标服务对应的所述目标端口。
3.根据权利要求1所述的加密保护方法,其特征在于,所述第一插件利用预设的加密算法,对所述报文中承载的数据进行加密的操作,包括:
所述第一插件按照对应的报文格式对所述报文进行解析,从而得到所述报文中承载的数据;以及
所述第一插件利用所述预设的加密算法,对所述报文中承载的数据进行加密。
4.根据权利要求1所述的加密保护方法,其特征在于,还包括通过预设的加密管理系统对所述第一插件和所述第二插件执行以下至少一项操作:
更新所述第一插件和所述第二插件的加解密算法;
更新所述第一插件和所述第二插件对应的加密端口,其中所述加密端口为需要对数据进行加密保护的服务对应的端口;以及
启用或者停止所述第一插件和所述第二插件的加解密功能。
5.一种加密保护方法,其特征在于,包括:
第二插件从客户端的与目标端口对应的端口获取承载有加密数据的报文,其中所述第二插件设置于所述客户端的网络协议栈的传输层,所述目标端口为服务端上设置的与所述服务端的目标服务对应的端口,所述承载有加密数据的报文为设置于所述服务端的网络协议栈的传输层的第一插件基于加密因子利用预设的加密算法对从所述目标端口获取的报文中承载的数据进行加密后得到的报文;
所述第二插件从所述第一插件获取与所述加密因子对应的解密因子;
所述第二插件基于解密因子,利用与所述预设的加密算法对应的解密算法对所述报文中承载的加密数据进行解密,从而得到解密后的数据;以及
所述第二插件将所述解密后的数据回填至所述报文,利用所述客户端的原有协议传输能力将所述报文传输至所述客户端的应用层,并且方法还包括:
所述第二插件将算法获取请求发送至所述第一插件,其中所述算法获取请求用于指示请求获取与所述预设的加密算法对应的解密算法;以及
所述第二插件从所述第一插件接收与所述预设的加密算法对应的解密算法。
6.根据权利要求5所述的加密保护方法,其特征在于,所述第二插件利用与所述预设的加密算法对应的解密算法对所述报文中承载的加密数据进行解密,从而得到解密后的数据的操作,包括:
所述第二插件按照对应的报文格式对所述报文进行解析,从而得到所述报文中承载的加密数据;以及
所述第二插件利用与所述预设的加密算法对应的解密算法,对所述报文中承载的加密数据进行解密,从而得到解密后的数据。
7.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时由处理器执行权利要求1至6中任意一项所述的方法。
8.一种加密保护装置,其特征在于,包括:
第一获取模块,用于通过第一插件从服务端的目标端口获取对应的报文,所述第一插件设置于所述服务端的网络协议栈的传输层,所述目标端口与所述服务端提供的需要数据加密的目标服务对应,并且所述报文承载有所述目标服务的数据;
第二获取模块,用于通过所述第一插件从所述目标端口获取加密因子;
加密模块,用于通过所述第一插件基于所述加密因子,利用预设的加密算法,对所述报文中承载的数据进行加密;以及
第一传输模块,用于通过所述第一插件将加密后的数据回填至所述报文,利用所述服务端的原有协议传输能力将所述报文传输至客户端的传输层,由设置于所述客户端的传输层的第二插件通过与所述预设的加密算法对应的解密算法对所述报文进行解密,并且
装置还包括:请求接收模块,用于通过第一插件接收第二插件发送的算法获取请求,其中算法获取请求用于指示请求获取与预设的加密算法对应的解密算法;以及算法发送模块,用于通过第一插件响应于算法获取请求,将与预设的加密算法对应的解密算法发送至第二插件。
9.一种加密保护装置,其特征在于,包括:
第一处理器;以及
第一存储器,与所述第一处理器连接,用于为所述第一处理器提供处理以下处理步骤的指令:
第一插件从服务端的目标端口获取对应的报文,所述第一插件设置于所述服务端的网络协议栈的传输层,所述目标端口与所述服务端提供的需要数据加密的目标服务对应,并且所述报文承载有所述目标服务的数据;
所述第一插件从所述目标端口获取加密因子;
所述第一插件基于所述加密因子,利用预设的加密算法,对所述报文中承载的数据进行加密;以及
所述第一插件将加密后的数据回填至所述报文,利用所述服务端的原有协议传输能力将所述报文传输至客户端的传输层,由设置于所述客户端的网络协议栈的传输层的第二插件通过与所述预设的加密算法对应的解密算法对所述报文进行解密,并且
第一存储器还用于为第一处理器提供处理以下处理步骤的指令:第一插件接收第二插件发送的算法获取请求,其中算法获取请求用于指示请求获取与预设的加密算法对应的解密算法;以及第一插件响应于算法获取请求,将与预设的加密算法对应的解密算法发送至第二插件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110853502.9A CN113315787B (zh) | 2021-07-28 | 2021-07-28 | 加密保护方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110853502.9A CN113315787B (zh) | 2021-07-28 | 2021-07-28 | 加密保护方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113315787A CN113315787A (zh) | 2021-08-27 |
CN113315787B true CN113315787B (zh) | 2021-11-23 |
Family
ID=77382330
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110853502.9A Active CN113315787B (zh) | 2021-07-28 | 2021-07-28 | 加密保护方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113315787B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109947489A (zh) * | 2019-03-19 | 2019-06-28 | 佳都新太科技股份有限公司 | 基于容器的外接设备管理方法、装置、设备及存储介质 |
CN110414244A (zh) * | 2018-04-28 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 加密卡、电子设备及加密服务方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106130999A (zh) * | 2016-06-30 | 2016-11-16 | 北京奇虎科技有限公司 | 数据传输方法、装置及系统 |
CN106713320B (zh) * | 2016-12-23 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 终端数据传输的方法和装置 |
CN109714292B (zh) * | 2017-10-25 | 2021-05-11 | 华为技术有限公司 | 传输报文的方法与装置 |
US11240024B2 (en) * | 2019-07-29 | 2022-02-01 | EMC IP Holding Company LLC | Cryptographic key management using key proxies and generational indexes |
CN112688954B (zh) * | 2020-12-28 | 2022-08-05 | 上海创能国瑞数据系统有限公司 | 一种敏感数据传输的保护方法 |
-
2021
- 2021-07-28 CN CN202110853502.9A patent/CN113315787B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110414244A (zh) * | 2018-04-28 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 加密卡、电子设备及加密服务方法 |
CN109947489A (zh) * | 2019-03-19 | 2019-06-28 | 佳都新太科技股份有限公司 | 基于容器的外接设备管理方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113315787A (zh) | 2021-08-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9647984B2 (en) | System and method for securely using multiple subscriber profiles with a security component and a mobile telecommunications device | |
CN108270739B (zh) | 一种管理加密信息的方法及装置 | |
CN112910869B (zh) | 对数据信息进行加密和解密的方法、装置以及存储介质 | |
CN105308560A (zh) | 用于设置简档的方法和装置 | |
CN103546435A (zh) | 数据的同步方法及服务器 | |
CN110971398A (zh) | 数据处理方法、装置及系统 | |
CN104601325A (zh) | 数据加密方法、数据解密方法、装置、设备及系统 | |
CN111274611A (zh) | 数据脱敏方法、装置及计算机可读存储介质 | |
CN107948212A (zh) | 一种日志的处理方法及装置 | |
CN114465803B (zh) | 对象授权方法、装置、系统及存储介质 | |
CN109347839A (zh) | 集中式密码管理方法、装置、电子设备及计算机存储介质 | |
CN115473660A (zh) | 网络传输层数据处理方法、设备及存储介质 | |
CN112883388A (zh) | 文件加密方法及装置、存储介质、电子装置 | |
CN114637743A (zh) | 数据库的操作方法、系统、存储介质以及计算机终端 | |
CN113382029A (zh) | 文件数据处理方法及装置 | |
CN113794706A (zh) | 数据的处理方法、装置、电子设备及可读存储介质 | |
CN113315787B (zh) | 加密保护方法、装置及存储介质 | |
CN110213346B (zh) | 加密信息的传输方法及装置 | |
CN109600631B (zh) | 视频文件的加密及公布方法与装置 | |
CN110875902A (zh) | 通信方法、装置及系统 | |
CN115909560A (zh) | 数据加密方法、解密方法及门锁系统 | |
CN113141353B (zh) | 一种数字证书的存储方法、读取方法、装置及网关 | |
CN111181831B (zh) | 通信数据处理方法和装置、存储介质及电子装置 | |
CN113452513B (zh) | 密钥分发方法、装置和系统 | |
CN113472737A (zh) | 边缘设备的数据处理方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 264000 No. 113, Shanhai Road, Laishan District, Yantai City, Shandong Province Applicant after: Orange cloud Internet Design Co.,Ltd. Applicant after: BEIJING UNI-ORANGE TECHNOLOGY CO.,LTD. Address before: 100125 room 605, Room 601, 6 / F, building 1, a40, Liangmaqiao Road, Chaoyang District, Beijing Applicant before: BEIJING UNI-ORANGE TECHNOLOGY CO.,LTD. Applicant before: Orange cloud Internet Design Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |