一種數(shù)據(jù)傳輸?shù)姆椒ㄅc設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本申請涉及計(jì)算機(jī)與通信領(lǐng)域，尤其涉及一種數(shù)據(jù)傳輸?shù)募夹g(shù)。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)與信息技術(shù)尤其是網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，數(shù)據(jù)信息已經(jīng)成為整個社會最為關(guān)鍵的資源之一，企事業(yè)單位需要共享訪問的數(shù)據(jù)信息越來越多，并且越來越重要，如何保證這些私密數(shù)據(jù)信息在網(wǎng)絡(luò)傳輸時的安全，已經(jīng)成為亟待解決的重大問題。
[0003]目前，為了保護(hù)基于網(wǎng)絡(luò)傳輸時的文件內(nèi)容安全，主要采用以下五種方法:(1)端對端傳輸通道TLS/SSL (Transport Layer Security/Secure Sockets Layer，傳輸層安全/安全套接層)加密。服務(wù)器和客戶端之間的數(shù)據(jù)傳輸使用加密通道，服務(wù)器和客戶端上的數(shù)據(jù)為明文，在通信通道中傳輸?shù)臄?shù)據(jù)為密文。(2)對服務(wù)器設(shè)置訪問來源限制。針對不同訪問來源設(shè)置不同的限制策略，并在其連接服務(wù)器之前進(jìn)行訪問來源合法性檢測。(3)對數(shù)據(jù)設(shè)置訪問權(quán)限，進(jìn)行訪問控制。針對不同的用戶設(shè)置不同的訪問權(quán)限，并在其訪問私密數(shù)據(jù)之前對其身份進(jìn)行合法性驗(yàn)證。(4)完整的存儲/傳輸加密。數(shù)據(jù)存儲及傳輸過程均以密文形式存在。(5)使用代理進(jìn)行數(shù)據(jù)加解密和訪問控制?？蛻舳送ㄟ^代理服務(wù)器連接數(shù)據(jù)服務(wù)器，在代理服務(wù)器上進(jìn)行數(shù)據(jù)加解密并轉(zhuǎn)發(fā)。
[0004]然而，現(xiàn)有技術(shù)的幾種方法均存在一些不足之處:(I)采用端對端傳輸通道TLS/SSL加密技術(shù)，當(dāng)數(shù)據(jù)進(jìn)入傳輸通道時進(jìn)行加密，在數(shù)據(jù)離開傳輸通道時進(jìn)行解密。這種實(shí)現(xiàn)方法保證了私密數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)陌踩?，但并沒有對私密數(shù)據(jù)存儲的安全性進(jìn)行處理，因此，一旦客戶端存儲私密數(shù)據(jù)的存儲設(shè)備暴露，或不受信任的客戶端接入網(wǎng)絡(luò)，私密數(shù)據(jù)的泄漏是顯而易見的。(2)采用服務(wù)器訪問來源限制技術(shù)，控制訪問來源為信任區(qū)域，丟棄任何非信任來源的訪問請求。該方法需要設(shè)置信任區(qū)域，在當(dāng)前網(wǎng)絡(luò)入侵、內(nèi)網(wǎng)滲透流行的網(wǎng)絡(luò)安全形勢下，該方法過于理想化，已經(jīng)無法滿足現(xiàn)實(shí)需求。(3)采用訪問控制，針對不同用戶的私密數(shù)據(jù)設(shè)置不同的訪問權(quán)限，以保證每個用戶只能訪問自己的私密數(shù)據(jù)。顯然，這種方法不能保證私密數(shù)據(jù)的存儲和網(wǎng)絡(luò)傳輸安全。(4)完整的存儲/傳輸加密方案。服務(wù)器及客戶端數(shù)據(jù)均加密存儲，傳輸信道中數(shù)據(jù)也是加密數(shù)據(jù)。該方法可保證數(shù)據(jù)存儲及傳輸過程中的安全性，但是部署復(fù)雜，對現(xiàn)有的服務(wù)器升級技術(shù)難度較大，消耗時間過長。(5)采用代理進(jìn)行數(shù)據(jù)加解密技術(shù)和訪問控制。該方法在服務(wù)器前設(shè)置代理服務(wù)器，所有客戶端連接均通過代理服務(wù)器進(jìn)行，由代理服務(wù)器進(jìn)行數(shù)據(jù)加解密。該方法保證了由服務(wù)器流向客戶端的數(shù)據(jù)的安全性，但由于采用代理機(jī)制，要做到對服務(wù)器網(wǎng)絡(luò)透明的話，技術(shù)流程較復(fù)雜，而且代理方式資源占用率高，對硬件設(shè)備要求較高。

【發(fā)明內(nèi)容】

[0005]本申請的一個目的是提供一種數(shù)據(jù)傳輸?shù)姆椒ㄅc設(shè)備。
[0006]根據(jù)本申請的一個方面，提供了一種數(shù)據(jù)傳輸方法，其中，該方法包括:
[0007]a通過網(wǎng)關(guān)接收待傳輸?shù)臄?shù)據(jù)包；
[0008]b將所述數(shù)據(jù)包從內(nèi)核空間導(dǎo)入至用戶空間；
[0009]c檢測處于用戶空間的所述數(shù)據(jù)包是否待加解密處理；
[0010]d當(dāng)所述數(shù)據(jù)包待加解密處理，根據(jù)所述數(shù)據(jù)包的傳輸方向?qū)λ鰯?shù)據(jù)包進(jìn)行加解密處理；
[0011]e通過所述網(wǎng)關(guān)傳輸經(jīng)加解密處理后的所述數(shù)據(jù)包。
[0012]進(jìn)一步地，所述根據(jù)所述數(shù)據(jù)包的傳輸方向?qū)λ鰯?shù)據(jù)包進(jìn)行加解密處理包括:若所述數(shù)據(jù)包為明文數(shù)據(jù)包且接收自服務(wù)器，對所述數(shù)據(jù)包進(jìn)行加密處理；或者若所述數(shù)據(jù)包為密文數(shù)據(jù)包且待傳輸至服務(wù)器，對所述數(shù)據(jù)包進(jìn)行解密處理。
[0013]進(jìn)一步地，所述步驟d包括:當(dāng)所述數(shù)據(jù)包待加解密處理，根據(jù)所述數(shù)據(jù)包的目的地址或源地址確定所述數(shù)據(jù)包的傳輸方向；根據(jù)所述數(shù)據(jù)包的傳輸方向?qū)λ鰯?shù)據(jù)包進(jìn)行加解密處理。
[0014]進(jìn)一步地，所述根據(jù)所述數(shù)據(jù)包的目的地址或源地址確定所述數(shù)據(jù)包的傳輸方向包括:若所述數(shù)據(jù)包的目的地址屬于服務(wù)器地址范圍，確定所述數(shù)據(jù)包的傳輸方向?yàn)榇齻鬏斨练?wù)器；或者若所述數(shù)據(jù)包的源地址屬于服務(wù)器地址范圍，確定所述數(shù)據(jù)包的傳輸方向?yàn)榻邮兆苑?wù)器。
[0015]進(jìn)一步地，所述步驟c包括:根據(jù)處于用戶空間的所述數(shù)據(jù)包所使用的傳輸協(xié)議，確定所述數(shù)據(jù)包是否待加解密處理。
[0016]進(jìn)一步地，所述步驟c包括:根據(jù)處于用戶空間的所述數(shù)據(jù)包的文件類型，確定所述數(shù)據(jù)包是否待加解密處理。
[0017]根據(jù)本申請的另一個方面，提供了一種數(shù)據(jù)傳輸設(shè)備，其中，該設(shè)備包括:
[0018]第一裝置，用于通過網(wǎng)關(guān)接收待傳輸?shù)臄?shù)據(jù)包；
[0019]第二裝置，用于將所述數(shù)據(jù)包從內(nèi)核空間導(dǎo)入至用戶空間；
[0020]第三裝置，用于檢測處于用戶空間的所述數(shù)據(jù)包是否待加解密處理；
[0021]第四裝置，用于當(dāng)所述數(shù)據(jù)包待加解密處理，根據(jù)所述數(shù)據(jù)包的傳輸方向?qū)λ鰯?shù)據(jù)包進(jìn)行加解密處理；
[0022]第五裝置，用于通過所述網(wǎng)關(guān)傳輸經(jīng)加解密處理后的所述數(shù)據(jù)包。
[0023]進(jìn)一步地，所述根據(jù)所述數(shù)據(jù)包的傳輸方向?qū)λ鰯?shù)據(jù)包進(jìn)行加解密處理包括:若所述數(shù)據(jù)包為明文數(shù)據(jù)包且接收自服務(wù)器，對所述數(shù)據(jù)包進(jìn)行加密處理；或者若所述數(shù)據(jù)包為密文數(shù)據(jù)包且待傳輸至服務(wù)器，對所述數(shù)據(jù)包進(jìn)行解密處理。
[0024]進(jìn)一步地，所述第四裝置用于:當(dāng)所述數(shù)據(jù)包待加解密處理，根據(jù)所述數(shù)據(jù)包的目的地址或源地址確定所述數(shù)據(jù)包的傳輸方向；根據(jù)所述數(shù)據(jù)包的傳輸方向?qū)λ鰯?shù)據(jù)包進(jìn)行加解密處理。
[0025]進(jìn)一步地，所述根據(jù)所述數(shù)據(jù)包的目的地址或源地址確定所述數(shù)據(jù)包的傳輸方向包括:若所述數(shù)據(jù)包的目的地址屬于服務(wù)器地址范圍，確定所述數(shù)據(jù)包的傳輸方向?yàn)榇齻鬏斨练?wù)器；或者若所述數(shù)據(jù)包的源地址屬于服務(wù)器地址范圍，確定所述數(shù)據(jù)包的傳輸方向?yàn)榻邮兆苑?wù)器。
[0026]進(jìn)一步地，所述第三裝置用于:根據(jù)處于用戶空間的所述數(shù)據(jù)包所使用的傳輸協(xié)議，確定所述數(shù)據(jù)包是否待加解密處理。
[0027]進(jìn)一步地，所述第三裝置用于:根據(jù)處于用戶空間的所述數(shù)據(jù)包的文件類型，確定所述數(shù)據(jù)包是否待加解密處理。
[0028]與現(xiàn)有技術(shù)相比，本申請將接收到的待傳輸?shù)臄?shù)據(jù)包從內(nèi)核空間導(dǎo)入至用戶空間，然后檢測處于用戶空間的所述數(shù)據(jù)包是否待加解密處理，當(dāng)所述數(shù)據(jù)包待加解密處理，根據(jù)所述數(shù)據(jù)包的傳輸方向?qū)λ鰯?shù)據(jù)包進(jìn)行加解密處理，最后通過網(wǎng)關(guān)傳輸經(jīng)加解密處理后的所述數(shù)據(jù)包。本申請通過對接收自服務(wù)器的數(shù)據(jù)包進(jìn)行加密處理，對待傳輸至服務(wù)器數(shù)據(jù)包進(jìn)行解密處理，使得待加解密處理的所述數(shù)據(jù)包在網(wǎng)關(guān)與用戶設(shè)備之間的傳輸過程中處于加密狀態(tài)，并且以加密狀態(tài)存儲于用戶設(shè)備，滿足了傳輸安全的需求，保證了所述數(shù)據(jù)包在用戶設(shè)備處的存儲安全。進(jìn)一步地，根據(jù)所述數(shù)據(jù)包所使用的傳輸協(xié)議和/或所述數(shù)據(jù)包的文件類型，確定所述數(shù)據(jù)包是否待加解密處理，可滿足根據(jù)實(shí)際情況靈活配置的需求，提升用戶體驗(yàn)。
【附圖說明】
[0029]通過閱讀參照以下附圖所作的對非限制性實(shí)施例所作的詳細(xì)描述，本申請的其它特征、目的和優(yōu)點(diǎn)將會變得更明顯:
[0030]圖1示出根據(jù)本申請一個方面的一種用于數(shù)據(jù)傳輸?shù)南到y(tǒng)拓?fù)涫疽鈭D；
[0031]圖2示出根據(jù)本申請另一個方面的一種用于數(shù)據(jù)傳輸?shù)脑O(shè)備示意圖；
[0032]圖3示出根據(jù)本申請一個方面的一種用于數(shù)據(jù)傳輸?shù)姆椒鞒虉D。
[0033]附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件。
【具體實(shí)施方式】
[0034]下面結(jié)合附圖對本申請作進(jìn)一步詳細(xì)描述。
[0035]在本申請一個典型的配置中，終端、服務(wù)網(wǎng)絡(luò)的設(shè)備和可信方均包括一個或多個處理器(CPU)、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存。
[0036]內(nèi)存可能包括計(jì)算機(jī)可讀介質(zhì)中的非永久性存儲器，隨機(jī)存取存儲器(RAM)和/或非易失性內(nèi)存等形式，如只讀存儲器(ROM)或閃存(flash RAM)。內(nèi)存是計(jì)算機(jī)可讀介質(zhì)的示例。
[0037]計(jì)算機(jī)可讀介質(zhì)包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術(shù)來實(shí)現(xiàn)信息存儲。信息可以是計(jì)算機(jī)可讀指令、數(shù)據(jù)包結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)包。計(jì)算機(jī)的存儲介質(zhì)的例子包括，但不限于相變內(nèi)存(PRAM)、靜態(tài)隨機(jī)存取存儲器(SRAM)、動態(tài)隨機(jī)存取存儲器(DRAM)、其他類型的隨機(jī)存取存儲器(RAM)、只讀存儲器(ROM)、電可擦除可編程只讀存儲器(EEPROM)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲器(CD-ROM)、數(shù)字多功能光盤(DVD)或其他光學(xué)存儲、磁盒式磁帶，磁帶磁盤存儲或其他磁性存儲設(shè)備或任何其他非傳輸介質(zhì)，可用于存儲可以被計(jì)算設(shè)備訪問的信息。按照本文中的界定，計(jì)算機(jī)可讀介質(zhì)不包括非暫存電腦可讀媒體(transitory media)，如調(diào)制的數(shù)據(jù)包信號和載波。
[0038]圖1示出根據(jù)本申請一個方面的一種用于數(shù)據(jù)傳輸?shù)南到y(tǒng)拓?fù)涫疽鈭D。
[0039]—個或多個用戶設(shè)備經(jīng)由網(wǎng)關(guān)和設(shè)