CN115134171A - 隔离网络环境下加密存储报文的方法、装置、系统及介质 - Google Patents
隔离网络环境下加密存储报文的方法、装置、系统及介质 Download PDFInfo
- Publication number
- CN115134171A CN115134171A CN202211045592.XA CN202211045592A CN115134171A CN 115134171 A CN115134171 A CN 115134171A CN 202211045592 A CN202211045592 A CN 202211045592A CN 115134171 A CN115134171 A CN 115134171A
- Authority
- CN
- China
- Prior art keywords
- message
- request message
- data
- request
- fragmentation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种隔离网络环境下加密存储报文的方法、装置、系统及介质,其中,方法包括获取请求报文,并将请求报文根据报文偏移量进行数据对齐处理;将数据对齐处理后的请求报文按照物理隔离加密设备块大小进行分片报文,并行向设置在物理隔离加密设备输入侧的第一报文聚合转发服务单元发送分片报文;通过第一报文聚合转发服务单元接收分片处理后的分片报文,并解析分片报文头,将请求报文转发至物理隔离加密设备;根据设置在物理隔离加密设备输出侧的第二报文聚合转发服务单元从隔离加密设备中读取加密的分片报文,通过解析分片请求报文头以及报文偏移量判断请求报文是否重组完成;将重组完成的请求报文通过unix域套接字转发存储。
Description
技术领域
本申请涉及加密存储报文技术领域,尤其涉及一种隔离网络环境下加密存储报文的方法、装置、系统及介质。
背景技术
在事关国计民生的领域,常常需要将内部网络和外部网络进行物理隔离,同时对数据进行加密保护处理。在这样的环境中,数据报文需要通过隔离设备和加密设备在两个隔离的网络中透明的传输。由于网络请求是并发的,对文件数据的读写可能不是按顺序读取的,那么就可能造成一个文件先写入了后面的数据,而前面的数据还没有写入,在这种情况下,文件系统会对前面的部分标记为空洞或者补0。如果这时请求读取的数据里面同时存在空洞和部分数据,将无法对数据进行正确的解密处理,因为其中的空洞数据是文件系统填充的,本身没有经过加密处理,需要保证一个报文中的数据要么全部为可加解密的数据,要么全部为不需要加解密的数据。
有鉴于此,有必要提供一种隔离网络环境下加密存储报文的方法、装置、系统及介质。
发明内容
本申请的主要目的在于提供一种隔离网络环境下加密存储报文的方法、装置、系统及介质,以解决报文中的数据全部为可加解密的数据或者全部为不需要加解密的数据的技术问题。
为实现上述目的,本发明提供的一种隔离网络环境下加密存储报文的方法,包括:
S1,获取请求报文,并将请求报文根据报文偏移量进行数据对齐处理;
S2,将数据对齐处理后的请求报文将按照物理隔离加密设备块大小进行分片报文,并行向第一报文聚合转发服务单元发送分片报文,其中,第一报文聚合转发服务单元设置在物理隔离加密设备的输入侧;
S3,通过第一报文聚合转发服务单元接收分片处理后的分片报文,并解析分片报文头,将请求报文转发至物理隔离加密设备;
S4,根据第二报文聚合转发服务单元从隔离加密设备中读取加密的分片报文,通过解析分片请求报文头以及报文偏移量判断请求报文是否重组完成,其中,第二报文聚合转发服务单元设置在物理隔离加密设备的输出侧;
S5,将重组完成的请求报文通过unix域套接字转发存储。
进一步地,获取请求报文,并将请求报文根据偏移量进行数据对齐处理包括:获取请求报文以及请求报文中请求数据的偏移量;若偏移量不为加密设备块大小的整数倍,提取前一个对齐位置到请求报文头部的位置之间的数据作为头部对齐填充数据;将头部对齐填充数据填充至请求数据的头部,并将填充后的请求数据的头部位置作为新的偏移量。
进一步地,获取请求报文以及请求报文中请求数据的偏移量之后,还包括:若偏移量为加密设备块大小的整数倍,且请求报文尾部为块对齐,则请求报文数据对齐完成。
进一步地,获取请求报文以及请求报文中请求数据的偏移量之后,还包括:若偏移量加上请求报文数据大小之和不为加密设备块大小的整数倍,则请求报文尾部不为块对齐;提取请求报文尾部的位置,到下一个对齐位置之间的数据作为尾部对齐填充数据;将尾部对齐填充数据填充到请求数据的尾部。
进一步地,根据第二报文聚合转发服务单元从隔离加密设备中读取加密的分片报文,通过解析分片请求报文头以及所述报文偏移量判断请求报文是否重组完成包括:解析分片请求报文头,采用请求ID做索引将请求报文存入预设的哈希表内;将请求ID对应的分片报文数据基于分片数据偏移量写入分片处理前的请求报文数据的对应部分,并记录已收到的请求报文数据的大小;将已经收到的请求报文数据大小和报文头中总数据大小比较;若收到的请求报文数据大小等于报文头中数据总大小,则判定重组完成。
进一步地,将数据对齐处理后的请求报文将按照物理隔离加密设备块大小进行分片报文,并行向第一报文聚合转发服务单元发送分片报文还包括:通过unix域套接字,使用线程池将分片报文包并行发送往所述第一报文聚合转发服务单元,并将请求报文放入预设的哈希表内,异步等待请求报文响应结果。
进一步地,通过第一报文聚合转发服务单元接收分片处理后的分片报文,并解析分片报文头,将请求报文转发至物理隔离加密设备还包括:将解析出的请求报文头信息放入预设的哈希表内,异步等待请求报文响应结果。
本申请还提供一种隔离网络环境下加密存储报文装置,包括:
获取模块:用于获取请求报文,并将请求报文根据报文偏移量进行数据对齐处理;
分片模块:用于将数据对齐处理后的请求报文将按照物理隔离加密设备块大小进行分片报文,并行向第一报文聚合转发服务单元发送分片报文,其中,第一报文聚合转发服务单元设置在物理隔离加密设备的输入侧;
解析模块:用于通过第一报文聚合转发服务单元接收分片处理后的分片报文,并解析分片报文头,将请求报文转发至物理隔离加密设备;
重组模块:用于根据第二报文聚合转发服务单元从隔离加密设备中读取加密的分片报文,通过解析分片请求报文头以及报文偏移量判断请求报文是否重组完成,其中,第二报文聚合转发服务单元设置在物理隔离加密设备的输出侧;
存储模块:用于将重组完成的所述请求报文通过unix域套接字转发存储。
本申请还提供一种隔离网络环境下加密存储报文的系统,系统包括存储器、处理器、以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述任一项所述的隔离网络环境下加密存储报文的方法的步骤。
本申请还提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述的隔离网络环境下加密存储报文的方法的步骤。
本申请实施例提供的技术方案,至少具有如下有益效果:
本申请提供的隔离网络环境下加密存储报文的方法、装置、系统及介质,可以对网络数据请求报文在加密之前进行分片,然后再将分片报文发往加解密设备,在分片报文加密处理完成之后,再将分片报文进行重组处理,确保每个分片将满足报文中的数据全部为可加密数据的要求。
附图说明
图1为一个实施例中隔离网络环境下加密存储报文的总体架构示意图;
图2为一个实施例中隔离网络环境下加密存储报文方法的流程示意图;
图3为一个实施例中隔离网络环境下加密存储报文装置的结构框图;
图4为一个实施例中计算机设备的内部结构图。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
由于对不同网络的安全需求不同,常常需要将内部网络和外部网络进行物理隔离,同时对数据进行加密保护处理,在这样的环境中,数据报文需要通过隔离设备和加解密设备在两个隔离的网络中透明的传输。
“物理隔离”是指内部网不直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、网路服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击,只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。
如图1所示,隔离网络环境下加密存储报文过程如下:
(1)当请求报文到达应用程序接口层时,应用程序接口层会进行请求报文数据对齐处理,然后对请求报文进行数据分片,组织分片报文,最后把分片报文并行发送至第一报文聚合转发服务单元。
(2)第一报文聚合转发服务单元是一个独立的服务进程,通过第一报文聚合转发服务单元异步的接收来自应用程序接口层的分片报文,并将请求报文转发至加解密设备,在加解密设备中进行请求报文加密或者解密,然后加解密设备将处理好的请求报文转发至第二报文聚合转发服务单元。
(3)第二报文聚合转发服务单元也是一个独立的服务进程,通过第二报文聚合转发服务单元异步的从加解密设备中读取已加密或者解密的分片请求报文,同时将分片请求报文进行分片请求报文重组,最后将重组完成的分片请求报文转发至存储处理服务。
(4)最后由存储处理服务发送接收到请求报文的信号,然后将此信号一层一层向上反馈,直至用户接收到请求报文已存储的信号。
如图2所示,本申请提供了一种隔离网络环境下加密存储报文的方法,包括:
S1,获取请求报文,并将请求报文根据报文偏移量进行数据对齐处理。
可以理解地,首先获取需要加密的请求报文,然后将请求报文根据报文偏移量进行请求报文数据对齐处理,该步骤是通过应用程序接口层完成的,应用程序接口层实现了对各类请求的处理封装,所有数据的对齐处理、分片处理,分片报文组织都在应用程序接口层中实现。偏移量是分片数据相对于完整数据的偏移位置,所以本申请的报文偏移量是指把请求报文分片后,每个报文分片所在的实际位置相对于完整数据的偏移位置。通过数据对齐处理,使得数据上传和数据下载的过程中,对数据的加密和解密的时候,都会从对齐的位置开始处理数据,从而不会引发加密和解密的位置不一致而导致失败的情况。
S2,将数据对齐处理后的请求报文将按照物理隔离加密设备块大小进行分片报文,并行向第一报文聚合转发服务单元发送分片报文,其中,第一报文聚合转发服务单元设置在物理隔离加密设备的输入侧。
可以理解地,数据对齐处理后的请求报文会按照物理隔离加密设备块大小进行分片报文,分片报文数据长度使用加密设备块大小一致的长度,使得每个分片报文都包含固定长度的数据,由于网络请求是并发的,所以向第一聚合转发服务单元发送分片报文的方式也是并行,第一聚合转发服务单元是一个独立的服务进程,第一聚合转发服务单元的作用是异步的接收来自应用程序接口的分片报文,并将分片报文转发至加解密设备,同时异步的接收分片报文已经转发至加解密设备的信号,并将此信号发送给应用程序接口层。
S3,通过第一报文聚合转发服务单元接收分片处理后的分片报文,并解析分片报文头,将请求报文转发至物理隔离加密设备。
可以理解地,由于组织分片的报文头包含请求ID、请求类型、包类型、参数长度、完整请求数据的大小、分片报文包数据的大小、分片报文包数据在完整数据中的偏移量等主要字段,所以要对分片处理后的分片报文进行解析分片报文头,才能为下一步提供有用的依据。
S4,根据第二报文聚合转发服务单元从隔离加密设备中读取加密的分片报文,通过解析分片请求报文头以及报文偏移量判断请求报文是否重组完成,其中,第二报文聚合转发服务单元设置在物理隔离加密设备的输出侧;
可以理解地,第二报文聚合转发服务单元是一个独立的服务进程,第二报文聚合转发服务单元的作用是异步的从加密设备中读已加密的分片报文,转发至存储处理服务;同时异步的接收响应报文已存储好的信号,并将此信号发送到加密设备,解析分片报文头,通过设计私有报文头结构,使得分片报文可以在加解密完成之后正确的重组还原。根据报文头中的请求ID等信息在预设的哈希表中建立一个节点,把对应请求ID的分片报文数据根据分片数据偏移量写入数据的对应部分,并记录已经收到数据的大小,已经收到的数据大小和报文头中数据总大小比较,如果收到的数据大小等于数据总大小,则表示重组已经完成。哈希表是根据关键字和值(Key-Value)直接进行访问的数据结构。值得注意的是,它是通过关键字 key 和一个映射函数 Hash(key) 计算出对应的值 value,然后把键值对映射到表中一个位置来访问记录,以加快查找的速度。所以将报文头中的请求ID放入哈希表中,便于后续直接调用。
S5,将重组完成的请求报文通过unix域套接字转发存储。具体的,unix域套接字是linux环境下的一种标准通信方式,通过unix域套接字将重组完成的请求报文转发存储,采用unix域套接字可以使各个进程之间正常通信,并且将重组完成的请求报文发往后端存储服务。
本申请隔离网络环境下加密存储报文的方法,可以对网络数据请求报文在加解密之前进行分片,然后再将分片报文发往加解密设备,在分片报文加解密处理完成之后,再将分片报文进行重组处理,确保每个分片将满足报文中的数据全部为可加解密数据的要求。
进一步地,获取请求报文,并将请求报文根据偏移量进行数据对齐处理包括:获取请求报文以及请求报文中请求数据的偏移量;若偏移量不为加密设备块大小的整数倍,提取前一个对齐位置到所述请求报文头部的位置之间的数据作为头部对齐填充数据;将头部对齐填充数据填充至请求数据的头部,并将填充的所述请求数据的头部位置作为新的偏移量。
可以理解地,根据偏移量,计算出不大于偏移量值的最大块对齐的位置,并对文件的相应块加锁,防止期间对此块数据进行其他操作,通过文件块加锁处理,使并发环境下,不会产生读写脏数据的问题,用计算出来的对齐位置作为偏移量,用一个块大小的值作为请求数据的大小,组织一个数据请求报文,获取对齐数据,获取对齐数据之后,并对文件的相应块解锁,将提取前一个对齐位置到所述请求报文头部的位置之间的数据作为头部对齐填充数据;将头部对齐填充数据填充至请求数据的头部,并将填充的所述请求数据的头部位置作为新的偏移量,且偏移量为加密设备块大小的整数倍。
进一步地,获取请求报文以及请求报文中请求数据的偏移量之后,还包括:若偏移量为加密设备块大小的整数倍,请求报文尾部为块对齐,则请求报文数据对齐完成。具体的,若偏移量为加密设备块大小的整数倍,则表明请求报文的头部是对齐的,若请求报文尾部为块对齐,则表明请求报文整体数据对齐完成。
进一步地,获取请求报文以及请求报文中请求数据的偏移量之后,还包括:若偏移量加上请求报文数据大小之和不为加密设备块大小的整数倍,请求报文尾部不为块对齐;提取偏移量加上请求报文数据大小之和的位置,到下一个对齐位置之间的数据作为尾部对齐填充数据;将尾部对齐填充数据填充到请求数据的尾部。
可以理解地,若偏移量加上请求报文数据大小之和不为加密设备块大小的整数倍,而请求报文尾部没有完成块对齐,则需要根据偏移量和请求报文数据大小,计算出不大于偏移量加上请求报文数据大小之和的最大块对齐的位置,并对文件的相应块加锁,防止期间对此块数据进行其他操作;将计算处理的对齐位置作为偏移量,将一个块大小的值作为请求数据大小,组织一个数据请求报文,获取对齐数据;得到对齐数据之后,然后将文件的相应块解锁,并将提取请求报文尾部的位置,到下一个对齐位置之间的数据作为尾部对齐填充数据,将尾部对齐填充数据填充到请求数据的尾部,并且请求数据的大小还需要加上尾部填充数据的大小。
进一步地,将数据对齐处理后的请求报文将按照物理隔离加密设备块大小进行分片报文,并行向第一报文聚合转发服务单元发送分片报文还包括:通过unix域套接字,使用线程池将分片报文包并行发送往所述第一报文聚合转发服务单元,并将请求报文放入预设的哈希表内,异步等待请求报文响应结果。
可以理解地,线程池是一种线程使用模式,线程过多会带来调度开销,进而影响缓存局部性和整体性能。而线程池维护着多个线程,等待着监督管理者分配可并发执行的任务。这避免了在处理短时间任务时创建与销毁线程的代价。线程池不仅能够保证内核的充分利用,还能防止过分调度。因此,本技术领域人员使用线程池分片报文包并行发送往所述第一报文聚合转发服务单元,避免了在处理短时间任务时创建与销毁线程的代价,同时也能够保证内核的充分利用,还能防止过分调度,分片报文使用线程池并行发送,可有效利用网络带宽提高传输效率。
进一步地,通过第一报文聚合转发服务单元接收分片处理后的分片报文,并解析分片报文头,将请求报文转发至物理隔离加密设备还包括:将解析出的请求报文头信息放入预设的哈希表内,异步等待请求报文响应结果。
可以理解地,请求报文头信息含请求ID、请求类型、包类型、参数长度、完整请求数据的大小、分片报文包数据的大小、分片报文包数据在完整数据中的偏移量等主要字段,将这些请求报文头信息放入预设的哈希表内,异步的等待请求报文头信息放入预设的哈希表内的信号。
在一个实施例中,如图3所示,本申请还提供一种隔离网络环境下加密存储报文装置。包括:
获取模块100:用于获取请求报文,并将请求报文根据报文偏移量进行数据对齐处理;
分片模块200:用于将数据对齐处理后的请求报文将按照物理隔离加密设备块大小进行分片报文,并行向第一报文聚合转发服务单元发送分片报文,其中,第一报文聚合转发服务单元设置在物理隔离加密设备的输入侧;
解析模块300:用于通过第一报文聚合转发服务单元接收分片处理后的分片报文,并解析分片报文头,将请求报文转发至物理隔离加密设备;
重组模块400:用于根据第二报文聚合转发服务单元从隔离加密设备中读取加密的分片报文,通过解析分片请求报文头以及报文偏移量判断请求报文是否重组完成,其中,第二报文聚合转发服务单元设置在物理隔离加密设备的输出侧;
存储模块500:用于将重组完成的请求报文通过unix域套接字转发存储。
本申请隔离网络环境下加密存储报文的装置,可以对网络数据请求报文在加解密之前进行分片,然后再将分片报文发往加解密设备,在分片报文加解密处理完成之后,再将分片报文进行重组处理,确保每个分片将满足报文中的数据全部为可加解密数据的要求,
在其中一个实施例中,获取模块100还用于获取请求报文以及请求报文中请求数据的偏移量;若偏移量不为加密设备块大小的整数倍,提取前一个对齐位置到所述请求报文头部的位置之间的数据作为头部对齐填充数据;将头部对齐填充数据填充至请求数据的头部,并将填充的所述请求数据的头部位置作为新的偏移量;若偏移量为所述加密设备块大小的整数倍,且请求报文尾部为块对齐,则请求报文数据对齐完成。若偏移量加上请求报文数据大小之和不为加密设备块大小的整数倍,请求报文尾部不为块对齐;提取请求报文尾部的位置,到下一个对齐位置之间的数据作为尾部对齐填充数据;将尾部对齐填充数据填充到请求数据的尾部。
在其中一个实施例中,分片模块200还用于通过unix域套接字,使用线程池将分片报文包并行发送往所述第一报文聚合转发服务单元,并将请求报文放入预设的哈希表内,异步等待请求报文响应结果。
在其中一个实施例中,解析模块300还用于解析分片请求报文头,采用请求ID做索引将请求报文存入预设的哈希表内;将请求ID对应的分片报文数据基于分片数据偏移量写入分片处理前的请求报文数据的对应部分,并记录已收到的请求报文数据的大小;并将解析出的请求报文头信息放入预设的哈希表内,异步等待请求报文响应结果。
在其中一个实施例中,重组模块400还用于将已经收到的请求报文数据大小和报文头中总数据大小比较;若收到的请求报文数据大小等于报文头中数据总大小,则判定重组完成。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种智能就餐管理方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括内存储器、处理器以及存储在内存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的隔离网络环境下加密存储报文方法的步骤。
即,在本发明的具体实施例中,计算机系统的处理器执行所述计算机程序时实现上述的隔离网络环境下加密存储报文方法的步骤,同样能够实现隔离网络环境下加密存储报文方法对网络数据请求报文在加解密之前进行分片,然后再将分片报文发往加解密设备,在分片报文加解密处理完成之后,再进行分片重组处理,通过本申请的技术方案可以确保每个分片将满足需要保证一个报文中的数据全部为可加解密的数据,或者全部为不需要加解密数据的要求。
在一个实施例中,提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述的一种隔离网络环境下加密存储报文方法的步骤。
即,在本发明的具体实施例中,计算机可读存储介质的计算机程序被处理器执行时实现上述的一种隔离网络环境下加密存储报文方法的步骤,同样能够实现一种隔离网络环境下加密存储报文方法对网络数据请求报文在加解密之前进行分片,然后再将分片报文发往加解密设备,在分片报文加解密处理完成之后,再进行分片重组处理,通过本申请的技术方案可以确保每个分片将满足需要保证一个报文中的数据全部为可加解密的数据,或者全部为不需要加解密数据的要求。
示例性的,计算机可读存储介质的计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。
在本说明书的描述中,参考术语“一实施例”、“另一实施例”、“其他实施例”、或“第一实施例~第X实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料、方法步骤或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种隔离网络环境下加密存储报文的方法,其特征在于,包括步骤:
获取请求报文,并将所述请求报文根据报文偏移量进行数据对齐处理;
将数据对齐处理后的所述请求报文将按照物理隔离加密设备块大小进行分片报文,并行向第一报文聚合转发服务单元发送分片报文,其中,所述第一报文聚合转发服务单元设置在物理隔离加密设备的输入侧;
通过所述第一报文聚合转发服务单元接收分片处理后的分片报文,并解析分片报文头,将所述请求报文转发至所述物理隔离加密设备;
根据第二报文聚合转发服务单元从所述隔离加密设备中读取加密的分片报文,通过解析分片请求报文头以及所述报文偏移量判断所述请求报文是否重组完成,其中,所述第二报文聚合转发服务单元设置在所述物理隔离加密设备的输出侧;
将重组完成的所述请求报文通过unix域套接字转发存储。
2.根据权利要求1所述的隔离网络环境下加密存储报文的方法,其特征在于,所述获取请求报文,并将所述请求报文根据偏移量进行数据对齐处理包括:
获取请求报文以及所述请求报文中请求数据的偏移量;
若所述偏移量不为所述加密设备块大小的整数倍,提取前一个对齐位置到所述请求报文头部的位置之间的数据作为头部对齐填充数据;
将所述头部对齐填充数据填充至请求数据的头部,并将填充后的所述请求数据的头部位置作为新的偏移量。
3.根据权利要求2所述的隔离网络环境下加密存储报文的方法,其特征在于,所述获取请求报文以及所述请求报文中请求数据的偏移量之后,还包括:
若所述偏移量为所述加密设备块大小的整数倍,且请求报文尾部为块对齐,则请求报文数据对齐完成。
4.根据权利要求3所述的隔离网络环境下加密存储报文的方法,其特征在于,所述获取请求报文以及所述请求报文中请求数据的偏移量之后,还包括:
若所述偏移量加上所述请求报文数据大小之和不为所述加密设备块大小的整数倍,则所述请求报文尾部不为块对齐;
提取所述请求报文尾部的位置,到下一个对齐位置之间的数据作为尾部对齐填充数据;
将所述尾部对齐填充数据填充到请求数据的尾部。
5.根据权利要求1所述的隔离网络环境下加密存储报文的方法,其特征在于,所述根据第二报文聚合转发服务单元从所述隔离加密设备中读取加密的分片报文,通过解析分片请求报文头以及所述报文偏移量判断所述请求报文是否重组完成包括:
解析所述分片请求报文头,采用请求ID做索引将请求报文存入预设的哈希表内;
将请求ID对应的分片报文数据基于分片数据偏移量写入分片处理前的请求报文数据的对应部分,并记录已收到的请求报文数据的大小;
将已经收到的请求报文数据大小和报文头中总数据大小比较;
若收到的请求报文数据大小等于报文头中数据总大小,则判定重组完成。
6.根据权利要求1所述的隔离网络环境下加密存储报文的方法,其特征在于,所述将数据对齐处理后的所述请求报文将按照物理隔离加密设备块大小进行分片报文,并行向第一报文聚合转发服务单元发送分片报文还包括:
通过unix域套接字,使用线程池将分片报文包并行发送往所述第一报文聚合转发服务单元,并将请求报文放入预设的哈希表内,异步等待请求报文响应结果。
7.根据权利要求1所述的隔离网络环境下加密存储报文的方法,其特征在于,所述通过所述第一报文聚合转发服务单元接收分片处理后的分片报文,并解析分片报文头,将所述请求报文转发至所述物理隔离加密设备还包括:
将解析出的所述请求报文头信息放入预设的哈希表内,异步等待请求报文响应结果。
8.一种隔离网络环境下加密存储报文装置,其特征在于,包括:
获取模块:用于获取请求报文,并将所述请求报文根据报文偏移量进行数据对齐处理;
分片模块:用于将数据对齐处理后的所述请求报文将按照物理隔离加密设备块大小进行分片报文,并行向第一报文聚合转发服务单元发送分片报文,其中,所述第一报文聚合转发服务单元设置在物理隔离加密设备的输入侧;
解析模块:用于通过所述第一报文聚合转发服务单元接收分片处理后的分片报文,并解析分片报文头,将所述请求报文转发至所述物理隔离加密设备;
重组模块:用于根据第二报文聚合转发服务单元从所述隔离加密设备中读取加密的分片报文,通过解析分片请求报文头以及所述报文偏移量判断所述请求报文是否重组完成,其中,所述第二报文聚合转发服务单元设置在所述物理隔离加密设备的输出侧;
存储模块:用于将重组完成的所述请求报文通过unix域套接字转发存储。
9.一种隔离网络环境下加密存储报文的系统,所述系统包括存储器、处理器、以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的隔离网络环境下加密存储报文的方法的步骤。
10.一种存储介质,所述存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的隔离网络环境下加密存储报文的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211045592.XA CN115134171B (zh) | 2022-08-30 | 2022-08-30 | 隔离网络环境下加密存储报文的方法、装置、系统及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211045592.XA CN115134171B (zh) | 2022-08-30 | 2022-08-30 | 隔离网络环境下加密存储报文的方法、装置、系统及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115134171A true CN115134171A (zh) | 2022-09-30 |
| CN115134171B CN115134171B (zh) | 2022-11-29 |
Family
ID=83387834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211045592.XA Active CN115134171B (zh) | 2022-08-30 | 2022-08-30 | 隔离网络环境下加密存储报文的方法、装置、系统及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115134171B (zh) |
Citations (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060104268A1 (en) * | 2004-11-15 | 2006-05-18 | Recordation Form Cover Sheet: Credit Card Payment Form for the amount of $1796.00. | Method and apparatus for classifying a network protocol and aligning a network protocol header relative to cache line boundary |
| US7403542B1 (en) * | 2002-07-19 | 2008-07-22 | Qlogic, Corporation | Method and system for processing network data packets |
| US7512787B1 (en) * | 2004-02-03 | 2009-03-31 | Advanced Micro Devices, Inc. | Receive IPSEC in-line processing of mutable fields for AH algorithm |
| JP2010011122A (ja) * | 2008-06-27 | 2010-01-14 | Fujitsu Ltd | 暗号化パケット処理システム |
| CN102724170A (zh) * | 2011-06-03 | 2012-10-10 | 北京天地互连信息技术有限公司 | 支持UGCCNet和基于IPv6lowpan的物联网网关 |
| CN103532653A (zh) * | 2013-10-15 | 2014-01-22 | 南京艾科朗克信息科技有限公司 | 用于吉比特无源光网络的分段重组方法 |
| CN105933244A (zh) * | 2016-04-14 | 2016-09-07 | 浪潮电子信息产业股份有限公司 | 一种通道对齐去偏斜的装置和方法 |
| WO2016192402A1 (zh) * | 2015-06-03 | 2016-12-08 | 中兴通讯股份有限公司 | 一种调整IPv6隧道最大传输单元的方法和装置 |
| CN110351208A (zh) * | 2019-07-03 | 2019-10-18 | 天津华云软件有限公司 | 一种报文转发方法、装置、设备及计算机可读存储介质 |
| CN110417602A (zh) * | 2019-08-06 | 2019-11-05 | Ut斯达康通讯有限公司 | 以太网通道管理方法和通信设备 |
| CN110545448A (zh) * | 2018-05-29 | 2019-12-06 | 北京字节跳动网络技术有限公司 | 基于数据加密的媒体播放方法、装置及存储介质 |
| CN110730143A (zh) * | 2015-11-11 | 2020-01-24 | 大唐移动通信设备有限公司 | 一种分片数据包处理方法及装置 |
| CN111400744A (zh) * | 2020-04-20 | 2020-07-10 | 深信服科技股份有限公司 | 文件加解密处理方法、装置、设备及可读存储介质 |
| CN112202691A (zh) * | 2019-07-08 | 2021-01-08 | 普天信息技术有限公司 | 一种gtp-u协议的报文处理方法、发送端及接收端 |
| CN113115132A (zh) * | 2021-03-01 | 2021-07-13 | 烽火通信科技股份有限公司 | 一种olt中帧重组的方法及装置 |
| CN113411290A (zh) * | 2020-03-17 | 2021-09-17 | 华为技术有限公司 | 一种分组头解析方法及装置 |
| CN113660295A (zh) * | 2021-10-20 | 2021-11-16 | 深圳市龙信信息技术有限公司 | 报文处理装置 |
| US11252109B1 (en) * | 2018-09-21 | 2022-02-15 | Marvell Asia Pte Ltd | Out of order placement of data in network devices |
| CN114070801A (zh) * | 2021-11-23 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 报文处理方法、报文传输方法、装置及电子设备 |
| CN114189905A (zh) * | 2020-09-15 | 2022-03-15 | 华为技术有限公司 | 一种报文处理方法及相关设备 |
| WO2022166359A1 (zh) * | 2021-02-05 | 2022-08-11 | 武汉绿色网络信息服务有限责任公司 | 一种发送分片报文的方法与装置 |
-
2022
- 2022-08-30 CN CN202211045592.XA patent/CN115134171B/zh active Active
Patent Citations (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7403542B1 (en) * | 2002-07-19 | 2008-07-22 | Qlogic, Corporation | Method and system for processing network data packets |
| US7512787B1 (en) * | 2004-02-03 | 2009-03-31 | Advanced Micro Devices, Inc. | Receive IPSEC in-line processing of mutable fields for AH algorithm |
| US20060104268A1 (en) * | 2004-11-15 | 2006-05-18 | Recordation Form Cover Sheet: Credit Card Payment Form for the amount of $1796.00. | Method and apparatus for classifying a network protocol and aligning a network protocol header relative to cache line boundary |
| JP2010011122A (ja) * | 2008-06-27 | 2010-01-14 | Fujitsu Ltd | 暗号化パケット処理システム |
| CN102724170A (zh) * | 2011-06-03 | 2012-10-10 | 北京天地互连信息技术有限公司 | 支持UGCCNet和基于IPv6lowpan的物联网网关 |
| CN103532653A (zh) * | 2013-10-15 | 2014-01-22 | 南京艾科朗克信息科技有限公司 | 用于吉比特无源光网络的分段重组方法 |
| WO2016192402A1 (zh) * | 2015-06-03 | 2016-12-08 | 中兴通讯股份有限公司 | 一种调整IPv6隧道最大传输单元的方法和装置 |
| CN110730143A (zh) * | 2015-11-11 | 2020-01-24 | 大唐移动通信设备有限公司 | 一种分片数据包处理方法及装置 |
| CN105933244A (zh) * | 2016-04-14 | 2016-09-07 | 浪潮电子信息产业股份有限公司 | 一种通道对齐去偏斜的装置和方法 |
| CN110545448A (zh) * | 2018-05-29 | 2019-12-06 | 北京字节跳动网络技术有限公司 | 基于数据加密的媒体播放方法、装置及存储介质 |
| US11252109B1 (en) * | 2018-09-21 | 2022-02-15 | Marvell Asia Pte Ltd | Out of order placement of data in network devices |
| CN110351208A (zh) * | 2019-07-03 | 2019-10-18 | 天津华云软件有限公司 | 一种报文转发方法、装置、设备及计算机可读存储介质 |
| CN112202691A (zh) * | 2019-07-08 | 2021-01-08 | 普天信息技术有限公司 | 一种gtp-u协议的报文处理方法、发送端及接收端 |
| CN110417602A (zh) * | 2019-08-06 | 2019-11-05 | Ut斯达康通讯有限公司 | 以太网通道管理方法和通信设备 |
| CN113411290A (zh) * | 2020-03-17 | 2021-09-17 | 华为技术有限公司 | 一种分组头解析方法及装置 |
| CN111400744A (zh) * | 2020-04-20 | 2020-07-10 | 深信服科技股份有限公司 | 文件加解密处理方法、装置、设备及可读存储介质 |
| CN114189905A (zh) * | 2020-09-15 | 2022-03-15 | 华为技术有限公司 | 一种报文处理方法及相关设备 |
| WO2022166359A1 (zh) * | 2021-02-05 | 2022-08-11 | 武汉绿色网络信息服务有限责任公司 | 一种发送分片报文的方法与装置 |
| CN113115132A (zh) * | 2021-03-01 | 2021-07-13 | 烽火通信科技股份有限公司 | 一种olt中帧重组的方法及装置 |
| CN113660295A (zh) * | 2021-10-20 | 2021-11-16 | 深圳市龙信信息技术有限公司 | 报文处理装置 |
| CN114070801A (zh) * | 2021-11-23 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 报文处理方法、报文传输方法、装置及电子设备 |
Non-Patent Citations (2)
| Title |
|---|
| 谢昊飞等: "6LoWPAN适配层协议的分片与重组测试方法设计", 《单片机与嵌入式系统应用》 * |
| 陈志坚等: "基于Libpcap和Libnids的网络入侵检测系统(NIDS)设计与实现", 《福建电脑》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115134171B (zh) | 2022-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220239466A1 (en) | Secure storage of data via a distributed ledger system | |
| US10043029B2 (en) | Cloud storage encryption | |
| US10873454B2 (en) | Cloud storage encryption with variable block sizes | |
| US8423780B2 (en) | Encryption based security system for network storage | |
| US7565532B2 (en) | Secure file system server architecture and methods | |
| US6931530B2 (en) | Secure network file access controller implementing access control and auditing | |
| US10623186B1 (en) | Authenticated encryption with multiple contexts | |
| US20040107342A1 (en) | Secure network file access control system | |
| CN104618096B (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
| Virvilis et al. | Secure cloud storage: Available infrastructures and architectures review and evaluation | |
| US6725370B1 (en) | Sharing data safely using service replication | |
| US11243881B2 (en) | Practical ORAM delegation for untrusted memory on cloud servers | |
| WO2002093314A2 (en) | Encryption based security system for network storage | |
| CN108718268B (zh) | 一种提高vpn服务端并发处理性能的方法 | |
| CN113972985A (zh) | 一种基于云密码机密钥管理的私有云加密存储方法 | |
| US9219712B2 (en) | WAN optimization without required user configuration for WAN secured VDI traffic | |
| WO2018028359A1 (zh) | 业务处理方法、装置、存储介质及电子装置 | |
| CN115134171B (zh) | 隔离网络环境下加密存储报文的方法、装置、系统及介质 | |
| CN115225258B (zh) | 一种基于区块链的跨域可信数据的安全管理方法及系统 | |
| CN114553411B (zh) | 用于分布式内存加密装置和用于分布式内存解密装置 | |
| CN114915503A (zh) | 基于安全芯片的数据流拆分处理加密方法及安全芯片装置 | |
| CN116032514A (zh) | 一种分布式高并发数据安全加解密的方法 | |
| CN108616537B (zh) | 一种低耦合的通用数据加解密方法及系统 | |
| KR101875093B1 (ko) | HTTPs 패킷분석 처리성능 향상 시스템 | |
| Hossain et al. | Measuring Interpretation and Evaluation of Client-side Encryption Tools in Cloud Computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |