數(shù)據(jù)截取和加解密的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種數(shù)據(jù)截取和加解密的方法,從客戶端到服務(wù)端傳輸數(shù)據(jù)時將敏感數(shù)據(jù)加密后再離開內(nèi)網(wǎng)����,從服務(wù)端到客戶端傳輸數(shù)據(jù)時在進入內(nèi)網(wǎng)后將加密后的數(shù)據(jù)解密以得到敏感數(shù)據(jù)。為此�����,本發(fā)明還公開了數(shù)據(jù)截取和加解密的系統(tǒng)��。本發(fā)明可以保障政府����、企業(yè)等涉及到敏感數(shù)據(jù)的內(nèi)網(wǎng)用戶對敏感數(shù)據(jù)的保護和管控要求,具有極強的安全性���。
【專利說明】數(shù)據(jù)截取和加解密的方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001 ] 本申請涉及一種從內(nèi)網(wǎng)向外網(wǎng)的數(shù)據(jù)傳輸過程中����,截取敏感數(shù)據(jù)并將敏感數(shù)據(jù)加密后繼續(xù)向外網(wǎng)傳輸?shù)姆椒ǎ灰约跋鄳?yīng)地從外網(wǎng)向內(nèi)網(wǎng)的數(shù)據(jù)傳輸過程中����,在加密的數(shù)據(jù)進入內(nèi)網(wǎng)后將其解密為敏感數(shù)據(jù)的方法。
【背景技術(shù)】
[0002]內(nèi)網(wǎng)是指政府�、企業(yè)、或其他機構(gòu)所建設(shè)的專有的計算機網(wǎng)絡(luò)���。外網(wǎng)是指公共的計算機網(wǎng)絡(luò)��,即互聯(lián)網(wǎng)?����,F(xiàn)代社會信息交流日益頻繁��,數(shù)據(jù)在內(nèi)、外網(wǎng)之間的雙向傳輸非常普遍�。以云計算服務(wù)為例,用戶會把大量的數(shù)據(jù)保存在云端�,如何保證數(shù)據(jù)在傳輸過程中,以及保存在云端的數(shù)據(jù)安全���,是用戶非常關(guān)注的問題?���,F(xiàn)在云服務(wù)提供商常提供SSL或VPN等方式來保證傳輸?shù)陌踩裕灿性品?wù)提供商提供加密存儲等安全措施���。然而��,這些傳輸和存儲的安全機制是由云服務(wù)提供商提供的��,甚至最關(guān)鍵的加密密鑰也可能由云服務(wù)提供商保存�����,這種由外網(wǎng)的服務(wù)商提供的安全解決方案很難讓內(nèi)網(wǎng)的用戶真正放心�。
[0003]如何讓涉及到敏感數(shù)據(jù)的內(nèi)網(wǎng)用戶可以在保護敏感數(shù)據(jù)的前提下�����,正常地使用諸如云計算網(wǎng)絡(luò)等涉及到內(nèi)��、外網(wǎng)之間數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)服務(wù)��,就成為亟待解決的一大難題����。
【發(fā)明內(nèi)容】
[0004]本申請所要解決的技術(shù)問題是提供一種數(shù)據(jù)截取和加解密的方法����,可以解決上述技術(shù)難題����。為此,本申請還要提供一種數(shù)據(jù)截取和加解密的系統(tǒng)�����。
[0005]為解決上述技術(shù)問題����,本申請數(shù)據(jù)截取和加解密的方法為:
[0006]從客戶端到服務(wù)端傳輸數(shù)據(jù)時包括如下步驟:
[0007]第al步,截獲從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包���;
[0008]第a2步��,從截獲的數(shù)據(jù)包中查找需要加密的數(shù)據(jù)項�����,稱為原數(shù)據(jù)項;如果未找到任何原數(shù)據(jù)項�,則將截獲的數(shù)據(jù)包直接發(fā)給服務(wù)端���;如果找到一個或多個原數(shù)據(jù)項,則進入第a3步��;
[0009]第a3步�,針對每一個原數(shù)據(jù)項,將其加密后作為標(biāo)簽值�;在每一個標(biāo)簽值前、后分別加上前綴和后綴����,形成一個標(biāo)簽;用每一個標(biāo)簽替換每一個原數(shù)據(jù)項�;
[0010]將截獲的數(shù)據(jù)包中的所有原數(shù)據(jù)項都用標(biāo)簽替換后,生成替換數(shù)據(jù)包�����;
[0011]第a4步��,格式化替換數(shù)據(jù)包����;
[0012]第a5步,將替換數(shù)據(jù)包發(fā)給服務(wù)端���;
[0013]從服務(wù)端到客戶端傳輸數(shù)據(jù)時包括如下步驟:
[0014]第bl步�����,截獲從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包�;
[0015]第b2步,從截獲的數(shù)據(jù)包中查找標(biāo)簽��;如果未找到任何標(biāo)簽���,則將截獲的數(shù)據(jù)包直接發(fā)給客戶端����;如果找到一個或多個標(biāo)簽�����,則進入第b3步����;
[0016]第b3步,針對每一個標(biāo)簽��,對標(biāo)簽值解密后得到相應(yīng)的原數(shù)據(jù)項�����;用每一個原數(shù)據(jù)項替換每一個標(biāo)簽���;[0017]將截獲的數(shù)據(jù)包中的所有標(biāo)簽都用原數(shù)據(jù)項替換后�����,生成還原數(shù)據(jù)包����;
[0018]第b4步��,格式化還原數(shù)據(jù)包���;
[0019]第b5步����,將還原數(shù)據(jù)包發(fā)送至客戶端�。
[0020]本申請數(shù)據(jù)截取和加解密的系統(tǒng)包括
[0021]——截取模塊,截獲從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包�、以及從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包;
[0022]——解析模塊,在截獲的從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包中查找需要加密的數(shù)據(jù)項�����,稱為原數(shù)據(jù)項,在截獲的從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包中查找標(biāo)簽�;
[0023]——直通傳輸模塊,如果在截獲的從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包中未找到原數(shù)據(jù)項����,則將截獲的數(shù)據(jù)包發(fā)給服務(wù)端;如果在截獲的從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包中未找到標(biāo)簽��,則將截獲的數(shù)據(jù)包發(fā)給客戶端�;
[0024]——加密模塊,將原數(shù)據(jù)項加密后作為標(biāo)簽值;
[0025]—標(biāo)簽封裝模塊�����,在標(biāo)簽值前��、后分別加上前綴和后綴�����,形成一個標(biāo)簽����;
[0026]—解密模塊���,對標(biāo)簽值解密后得到相應(yīng)的原數(shù)據(jù)項;
[0027]——替換模塊�,如果在截獲的從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包中找到一個或多個原數(shù)據(jù)項�,則將所有原數(shù)據(jù)項都用標(biāo)簽替換后,生成替換數(shù)據(jù)包����;如果在截獲的從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包中找到一個或多個標(biāo)簽,則將所有標(biāo)簽都用原數(shù)據(jù)項替換后���,生成還原數(shù)據(jù)包��;
[0028]——文本格式化模塊,根據(jù)截獲的從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包中的各個原數(shù)據(jù)項所對應(yīng)的標(biāo)簽的大小屬性修改替換數(shù)據(jù)包的大小屬性���,根據(jù)截獲的從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包中的各個標(biāo)簽所對應(yīng)的原數(shù)據(jù)項的大小屬性修改還原數(shù)據(jù)包的大小屬性;
[0029]——轉(zhuǎn)換傳輸模塊��,如果在截獲的從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包中找到一個或多個原數(shù)據(jù)項���,則將替換數(shù)據(jù)包發(fā)給服務(wù)端��;如果在截獲的從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包中找到一個或多個標(biāo)簽����,則將還原數(shù)據(jù)包發(fā)給客戶端。
[0030]本申請數(shù)據(jù)截取和加解密的方法及系統(tǒng)可以保障政府�、企業(yè)等涉及到敏感數(shù)據(jù)的內(nèi)網(wǎng)用戶對敏感數(shù)據(jù)的保護和管控要求,同時又能正常地使用諸如云計算等涉及到內(nèi)�、夕卜網(wǎng)之間數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)服務(wù)。這樣既可以促進政府��、企業(yè)等內(nèi)網(wǎng)用戶的信息化應(yīng)用���,又能夠促使網(wǎng)絡(luò)服務(wù)業(yè)得到蓬勃發(fā)展��。
[0031]此外�����,本申請將原數(shù)據(jù)項加密后進行替換��,根據(jù)加密的標(biāo)簽值無法破解得到原數(shù)據(jù)項��,加密數(shù)據(jù)的算法都由用戶自己決定���,加密數(shù)據(jù)的密鑰都是由用戶自己管理,這樣安全性更強,用戶更放心�����,從而對于敏感數(shù)據(jù)的流向具有完全的管控能力����。
【專利附圖】
【附圖說明】
[0032]圖1是本申請數(shù)據(jù)截取和加解密的方法的第一實施例的流程圖(對上行數(shù)據(jù)的處理);
[0033]圖2是本申請數(shù)據(jù)截取和加解密的方法的第一實施例的流程圖(對下行數(shù)據(jù)的處理)���;
[0034]圖3是本申請數(shù)據(jù)截取和加解密系統(tǒng)的第一實施例的結(jié)構(gòu)示意圖;
[0035]圖4是本申請數(shù)據(jù)截取和加解密的方法的第二實施例的流程圖(對上行數(shù)據(jù)的處理)���;
[0036]圖5是本申請數(shù)據(jù)截取和加解密系統(tǒng)的第二實施例的結(jié)構(gòu)示意圖�。
【具體實施方式】
[0037]本申請數(shù)據(jù)截取和加解密的方法包括對上行數(shù)據(jù)的處理���、對下行數(shù)據(jù)的處理兩部分����。所述上行數(shù)據(jù)是指從客戶端到服務(wù)端的數(shù)據(jù)����,所述下行數(shù)據(jù)是指從服務(wù)端到客戶端的數(shù)據(jù)。并且,客戶端是在內(nèi)網(wǎng)中���,服務(wù)端是在外網(wǎng)中��。在數(shù)據(jù)離開內(nèi)網(wǎng)前����,首先要加密�,只有用戶自己才能解開。
[0038]請參閱圖1�����,本申請對于上行數(shù)據(jù)的截取和加密的方法的第一實施例包括如下步驟:
[0039]第al步�,截獲從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包;
[0040]第a2步��,從截獲的數(shù)據(jù)包中查找需要加密的數(shù)據(jù)項�����,即原數(shù)據(jù)項�����;如果未找到任何原數(shù)據(jù)項,則將截獲的數(shù)據(jù)包直接發(fā)給服務(wù)端�;如果找到一個或多個原數(shù)據(jù)項,則進入第a3步���;
[0041]第a3步��,針對每一個原數(shù)據(jù)項�����,對該原數(shù)據(jù)項加密后作為標(biāo)簽值�����;在每一個標(biāo)簽值前、后分別加上前綴和后綴�,形成一個標(biāo)簽;用每一個標(biāo)簽替換每一個原數(shù)據(jù)項�����;
[0042]截獲的數(shù)據(jù)包通常由需要加密的數(shù)據(jù)項(原數(shù)據(jù)項)和無需加密的數(shù)據(jù)項共兩部分組成�����;將截獲的數(shù)據(jù)包中的所有原數(shù)據(jù)項都用標(biāo)簽替換后,而無需加密的數(shù)據(jù)項均保留不變���,生成替換數(shù)據(jù)包���;
[0043]第a4步,格式化替換數(shù)據(jù)包��;
[0044]第a5步�,將替換數(shù)據(jù)包發(fā)給服務(wù)端。
[0045]所述方法第a2步中�����,為了從截獲的數(shù)據(jù)包中查找需要加密的數(shù)據(jù)項��,首先根據(jù)傳輸協(xié)議的不同(每種傳輸協(xié)議都有相應(yīng)的數(shù)據(jù)結(jié)構(gòu))將截獲的數(shù)據(jù)包分解為多個數(shù)據(jù)項�,然后通過查詢數(shù)據(jù)項屬性字典與分解的各個數(shù)據(jù)項比對,確定哪些是需要加密的數(shù)據(jù)項����,哪些是無需加密的數(shù)據(jù)項。所述數(shù)據(jù)項屬性字典預(yù)先保存了需要加密的數(shù)據(jù)項(原數(shù)據(jù)項)的屬性���,從而可以根據(jù)各個數(shù)據(jù)項的屬性判斷是否屬于原數(shù)據(jù)項����。
[0046]所述方法第a3步中,每個標(biāo)簽都由前綴����、標(biāo)簽值、后綴這三部分組成���。標(biāo)簽值是加密后的原數(shù)據(jù)項�,因而無法根據(jù)標(biāo)簽值推算出原數(shù)據(jù)項���。在該第一實施例中��,所有標(biāo)簽的前綴均相同或具有統(tǒng)一特征��,所有標(biāo)簽的后綴也均相同或具有統(tǒng)一特征。前綴�����、后綴均有區(qū)別于原數(shù)據(jù)項的明顯特征�,且其長度是可變、可配置的���。優(yōu)選地���,對原數(shù)據(jù)項可以采用多種加密算法�,不同加密算法所得到的標(biāo)簽值以不同的前綴和/或后綴加以區(qū)分���。相應(yīng)地在對標(biāo)簽值解密時��,可以根據(jù)前綴和/或后綴的不同得知采用的加密算法�,從而采用相應(yīng)的解密算法��。
[0047]所述方法第a4步中�����,對替換數(shù)據(jù)包的格式化是指根據(jù)原數(shù)據(jù)項所對應(yīng)的標(biāo)簽的大小屬性修改替換數(shù)據(jù)包的大小屬性����。這是因為截獲的數(shù)據(jù)包本身有大小的屬性,其中的每個數(shù)據(jù)項也有大小的屬性�,截獲的數(shù)據(jù)包的大小等于所有數(shù)據(jù)項的大小之和。如果直接用標(biāo)簽代替原數(shù)據(jù)項�,每個標(biāo)簽的大小(長度,以位或字節(jié)為單位)不一定完全和原數(shù)據(jù)項一致��。為確保替換數(shù)據(jù)包的大小等于原數(shù)據(jù)項所對應(yīng)標(biāo)簽的大小與無需加密的數(shù)據(jù)項的大小之和,必須對替換數(shù)據(jù)包進行格式化處理才不會在傳輸中出現(xiàn)混亂���。[0048]請參閱圖2���,本申請對于下行數(shù)據(jù)的截取和解密的方法的第一實施例包括如下步驟:
[0049]第bl步,截獲從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包���;
[0050]第b2步��,從截獲的數(shù)據(jù)包中查找標(biāo)簽��;如果未找到任何標(biāo)簽�����,則將截獲的數(shù)據(jù)包直接發(fā)給客戶端�;如果找到一個或多個標(biāo)簽����,則進入第b3步�����;
[0051]第b3步,針對每一個標(biāo)簽提取出標(biāo)簽值���,對該標(biāo)簽值解密后得到原數(shù)據(jù)項���;用每一個原數(shù)據(jù)項替換每一個標(biāo)簽;
[0052]截獲的數(shù)據(jù)包通常由標(biāo)簽和無需加密的數(shù)據(jù)項共兩部分組成�����;將截獲的數(shù)據(jù)包中的所有標(biāo)簽都用格式化后的原數(shù)據(jù)項替換后����,而無需加密的數(shù)據(jù)項均保留不變,生成還原數(shù)據(jù)包���;
[0053]第b4步�����,格式化還原數(shù)據(jù)包�;
[0054]第b5步�����,將還原數(shù)據(jù)包發(fā)送至客戶端。
[0055]所述方法第b2步中���,為了從截獲的數(shù)據(jù)包中查找標(biāo)簽��,首先根據(jù)傳輸協(xié)議的不同將截獲的數(shù)據(jù)包分解為多個數(shù)據(jù)項�,然后通過標(biāo)簽的前綴和后綴所具有的特征確定哪些是標(biāo)簽�����,哪些是無需加密的數(shù)據(jù)項���。
[0056]所述方法第b4步中����,對還原數(shù)據(jù)包的格式化是指根據(jù)標(biāo)簽所對應(yīng)的原數(shù)據(jù)項的大小屬性修改還原數(shù)據(jù)包的大小屬性���。這是因為截獲的數(shù)據(jù)包本身有大小的屬性����,其中的每個數(shù)據(jù)項也有大小的屬性���,截獲的數(shù)據(jù)包的大小等于所有數(shù)據(jù)項的大小之和��。如果直接用原數(shù)據(jù)項代替標(biāo)簽����,每個原數(shù)據(jù)項的大小(長度�����,以位或字節(jié)為單位)不一定完全和標(biāo)簽一致����。為確保還原數(shù)據(jù)包的大小等于標(biāo)簽所對應(yīng)的原數(shù)據(jù)項的大小與無需加密的數(shù)據(jù)項的大小之和,必須對還原數(shù)據(jù)包進行格式化處理才不會在傳輸中出現(xiàn)混亂��。
[0057]請參閱圖3��,本申請數(shù)據(jù)截取和加解密系統(tǒng)的第一實施例包括
[0058]——截取模塊��,截獲從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包(即上行數(shù)據(jù)包����,圖3中以實線表示)、以及從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包(即下行數(shù)據(jù)包����,圖3中以虛線表示)��;
[0059]——解析模塊�,在截獲的上行數(shù)據(jù)包中查找需要加密的數(shù)據(jù)項(原數(shù)據(jù)項)����,在截獲的下行數(shù)據(jù)包中查找標(biāo)簽;
[0060]——直通傳輸模塊�,如果在截獲的上行數(shù)據(jù)包中未找到原數(shù)據(jù)項,則將截獲的上行數(shù)據(jù)包直接發(fā)給服務(wù)端�����;如果在截獲的下行數(shù)據(jù)包中未找到標(biāo)簽����,則將截獲的下行數(shù)據(jù)包直接發(fā)給客戶端;
[0061]——加密模塊,將原數(shù)據(jù)項加密后作為標(biāo)簽值�����;
[0062]—標(biāo)簽封裝模塊����,在標(biāo)簽值前����、后分別加上前綴和后綴��,形成一個標(biāo)簽�;
[0063]——解密模塊�����,在標(biāo)簽中提取出標(biāo)簽值���,對標(biāo)簽值解密后得到相應(yīng)的原數(shù)據(jù)項����;
[0064]——替換模塊,如果在截獲的上行數(shù)據(jù)包中找到一個或多個原數(shù)據(jù)項����,則將所有原數(shù)據(jù)項都用標(biāo)簽替換后,生成替換數(shù)據(jù)包���;如果在截獲的下行數(shù)據(jù)包中找到一個或多個標(biāo)簽�,則將所有標(biāo)簽都用原數(shù)據(jù)項替換后����,生成還原數(shù)據(jù)包�;
[0065]——文本格式化模塊,根據(jù)截獲的上行數(shù)據(jù)包中的各個原數(shù)據(jù)項所對應(yīng)的標(biāo)簽的大小屬性修改替換數(shù)據(jù)包的大小屬性���,根據(jù)截獲的下行數(shù)據(jù)包中的各個標(biāo)簽所對應(yīng)的原數(shù)據(jù)項的大小屬性修改還原數(shù)據(jù)包的大小屬性�����;
[0066]——轉(zhuǎn)換傳輸模塊���,如果在截獲的上行數(shù)據(jù)包中找到一個或多個原數(shù)據(jù)項,則將替換數(shù)據(jù)包發(fā)給服務(wù)端�����;如果在截獲的下行數(shù)據(jù)包中找到一個或多個標(biāo)簽�,則將還原數(shù)據(jù)包發(fā)給客戶端。
[0067]本申請數(shù)據(jù)截取和加解密系統(tǒng)可以有多種實現(xiàn)方式���。例如�����,該系統(tǒng)可以是一臺計算機�����,部署在客戶端與服務(wù)端之間�,并且與客戶端同屬內(nèi)網(wǎng)。又如���,該系統(tǒng)可以是一個連接在客戶端的計算機配件��,諸如U盤之類。再如��,該系統(tǒng)可以是客戶端上面的純軟件系統(tǒng)���,無須增加任何硬件��。無論何種實時方式�,該系統(tǒng)都必須部署在內(nèi)網(wǎng)中���。顯然在該系統(tǒng)中保存有加密算法和解密算法以及相應(yīng)的密鑰�����。
[0068]請參閱圖4����,這是本申請對于上行數(shù)據(jù)的截取和加解密的方法的第二實施例。與第一實施例相比的區(qū)別僅在于第a3步����,將原數(shù)據(jù)項分為不同類型;針對每一個原數(shù)據(jù)項�,對原數(shù)據(jù)項的內(nèi)容進行加密后作為標(biāo)簽值,在每一個標(biāo)簽值前��、后分別加上前綴和后綴�����,形成一個標(biāo)簽���;用每一個標(biāo)簽替換每一個原數(shù)據(jù)項��;將截獲的數(shù)據(jù)包中的所有原數(shù)據(jù)項都用標(biāo)簽替換后��,生成替換數(shù)據(jù)包��。
[0069]作為一個示例�,可將原數(shù)據(jù)項分為兩種不同類型:一般型、順序型�。任何原數(shù)據(jù)項的內(nèi)容都要加密后作為標(biāo)簽值。一般型的原數(shù)據(jù)項所對應(yīng)的標(biāo)簽值前�����、后分別加上一般的前綴���、后綴�����。針對順序型的原數(shù)據(jù)項����,在每一個標(biāo)簽值前增加順序型前綴�,在每一個標(biāo)簽值后增加后綴�����,形成一個標(biāo)簽��。 [0070]該第二實施例中���,將原數(shù)據(jù)項分為兩種不同類型����。在其他實施例中,對原數(shù)據(jù)項的分類可以更少或更多���。但同一類型的原數(shù)據(jù)項所對應(yīng)的標(biāo)簽中的前綴相同或具有統(tǒng)一特征��、后綴相同或具有統(tǒng)一特征�����;不同類型的原數(shù)據(jù)項所對應(yīng)的標(biāo)簽中的前綴不同�����,后綴可以相同或不同���。
[0071]如果原數(shù)據(jù)項是電子郵件地址,則以標(biāo)簽僅替換O之前的內(nèi)容��,O和O之后的部分保留不變����,以便于服務(wù)端識別出這是電子郵件地址。
[0072]某些原數(shù)據(jù)項之間是具有順序關(guān)系的,例如按姓氏拼音或筆畫排序的多個姓名����,此時這多個姓名就屬于順序型原數(shù)據(jù)項。如果簡單地用一般前綴+加密的順序型原數(shù)據(jù)項(標(biāo)簽值)+ 一般后綴組成的標(biāo)簽替換這些姓名�����,那么順序型原數(shù)據(jù)項之間的排序關(guān)系就無法用標(biāo)簽體現(xiàn)出來��。因此本申請為順序型的原數(shù)據(jù)項設(shè)計了順序型前綴+加密的順序型原數(shù)據(jù)項(標(biāo)簽值)+—般后綴的標(biāo)簽加以替換���,此時原來的排序關(guān)系可以由順序型前綴加以
體現(xiàn)��。而順序型的原數(shù)據(jù)項仍以標(biāo)簽值來--對應(yīng),從而充分保證了數(shù)據(jù)的安全性���。例如,
可以用Ziv-Lempel壓縮算法形成順序前綴�。該算法并不安全���,較容易通過字典攻擊等方式破解出原始數(shù)據(jù)����。本申請將順序型原數(shù)據(jù)項的開頭的一部分按照Ziv-Lempel壓縮算法進行壓縮,形成順序型前綴���。這樣即便根據(jù)這些順序前綴破解出原始數(shù)據(jù)��,也只是順序型原數(shù)據(jù)項的開頭的一部分�����,而不會泄漏順序型原數(shù)據(jù)項的全部內(nèi)容�。然而也由于只是采用了順序型原數(shù)據(jù)項的一部分�����,使得標(biāo)簽的排序可能與順序型原數(shù)據(jù)項的排序不完全相同����,而只是近似。
[0073]優(yōu)選地�����,在使用相同的算法加密時���,所有替換一般型原數(shù)據(jù)項的標(biāo)簽中的前綴均相同�、后綴也均相同。在使用不同的算法加密時��,前綴和/或后綴則具有明顯不缺�����。所有替換順序型原數(shù)據(jù)項的標(biāo)簽中的后綴均相同�,前綴雖不同但具有統(tǒng)一的特征(例如順序前綴開頭具有一段統(tǒng)一的便于識別、又與其他數(shù)據(jù)不易混淆的字符)����。但兩種不同類型的原數(shù)據(jù)項所對應(yīng)的標(biāo)簽中的前綴各不相同;后綴可以相同或者也各不相同����。這樣既便于從截獲的下行數(shù)據(jù)包中分辨哪些是標(biāo)簽、哪些是無需加密的數(shù)據(jù)項�����,還便于分辨原數(shù)據(jù)項的類型以及使用的加密算法���。
[0074]本申請對于上行數(shù)據(jù)的截取和加密的方法的第一實施例中���,所有原數(shù)據(jù)項不加分類地用同一種格式(一般前綴+加密值+—般后綴)的標(biāo)簽加以替換。而在第二實施例中���,將原數(shù)據(jù)項分為兩種類型�,并采用兩種不同格式的前綴��。這便保留了順序型原數(shù)據(jù)項的排序關(guān)系��,可作為第一實施例的優(yōu)化方案����。
[0075]本申請對于下行數(shù)據(jù)的截取和解密的方法的第二實施例與圖2所示的第一實施例大體相同。只是在第b3步中����,針對每一個標(biāo)簽提取出標(biāo)簽值,對該標(biāo)簽值解密后得到原數(shù)據(jù)項��;用每一個原數(shù)據(jù)項替換每一個標(biāo)簽��;將截獲的數(shù)據(jù)包中的所有標(biāo)簽都用格式化后的原數(shù)據(jù)項替換后�����,生成還原數(shù)據(jù)包�����。
[0076]請參閱圖5,本申請數(shù)據(jù)截取和加解密系統(tǒng)的第二實施例包括
[0077]——截取模塊���,截獲上行數(shù)據(jù)包(圖5中以實線表示)��、以及下行數(shù)據(jù)包(圖5中以虛線表示);
[0078]——解析模塊���,在截獲的上行數(shù)據(jù)包中查找原數(shù)據(jù)項,在截獲的下行數(shù)據(jù)包中查找標(biāo)簽�����;
[0079]——直通傳輸模塊���,如果在截獲的上行數(shù)據(jù)包中未找到原數(shù)據(jù)項�����,則將截獲的上行數(shù)據(jù)包直接發(fā)給服務(wù)端��;如果在截獲的下行數(shù)據(jù)包中未找到標(biāo)簽����,則將截獲的下行數(shù)據(jù)包直接發(fā)給客戶端;
[0080]——原數(shù)據(jù)項分類模塊���,將原數(shù)據(jù)項分為不同類型;
[0081]——加密模塊����,將原數(shù)據(jù)項的內(nèi)容加密后作為標(biāo)簽值;
[0082]——標(biāo)簽封裝模塊��,為一般型的原數(shù)據(jù)項對應(yīng)的標(biāo)簽值前�、后分別加上前綴和后綴,形成一個標(biāo)簽��;為順序型原數(shù)據(jù)項對應(yīng)的標(biāo)簽值前加上順序前綴�����、標(biāo)簽值后加上后綴��,形成一個標(biāo)簽��;
[0083]——解密模塊���,從標(biāo)簽中提取出標(biāo)簽值����,對標(biāo)簽值解密后得到相應(yīng)的原數(shù)據(jù)項;
[0084]——替換模塊���,如果在截獲的上行數(shù)據(jù)包中找到一個或多個原數(shù)據(jù)項���,則將所有原數(shù)據(jù)項都用標(biāo)簽替換后,生成替換數(shù)據(jù)包����;如果在截獲的下行數(shù)據(jù)包中找到一個或多個標(biāo)簽,則將所有標(biāo)簽都用原數(shù)據(jù)項替換后���,生成還原數(shù)據(jù)包��;
[0085]——文本格式化模塊,根據(jù)截獲的上行數(shù)據(jù)包中的各個原數(shù)據(jù)項所對應(yīng)標(biāo)簽的大小屬性修改替換數(shù)據(jù)包的大小屬性���,根據(jù)截獲的下行數(shù)據(jù)包中的各個標(biāo)簽所對應(yīng)的原數(shù)據(jù)項的大小屬性修改還原數(shù)據(jù)包的大小屬性;
[0086]——轉(zhuǎn)換傳輸模塊����,如果在截獲的上行數(shù)據(jù)包中找到一個或多個原數(shù)據(jù)項,則將替換數(shù)據(jù)包發(fā)給服務(wù)端;如果在截獲的下行數(shù)據(jù)包中找到一個或多個標(biāo)簽��,則將還原數(shù)據(jù)包發(fā)給客戶端�。
[0087]本申請數(shù)據(jù)截取和加解密系統(tǒng)的第二實施例與第一實施例相比,增加了原數(shù)據(jù)項分類模塊�,修改了標(biāo)簽封裝模塊的職能,從而適用于本申請數(shù)據(jù)截取和加解密方法的第二實施例�。
[0088]本申請數(shù)據(jù)截取和加解密的方法用于攔截并識別客戶端發(fā)往服務(wù)端的敏感數(shù)據(jù)(原數(shù)據(jù)項)�,并用加密后的標(biāo)簽替換這些敏感數(shù)據(jù)。同時攔截并識別服務(wù)端發(fā)往客戶端的標(biāo)簽����,并將標(biāo)簽解密后得到原數(shù)據(jù)項。本申請支持截獲任意傳輸協(xié)議的數(shù)據(jù)��,例如TCP�����、UDP���、http���、ftp、smtp、pop3 等����。
[0089]以上僅為本申請的優(yōu)選實施例,并不用于限定本申請�。對于本領(lǐng)域的技術(shù)人員來說,本申請可以有各種更改和變化�����。凡在本申請的精神和原則之內(nèi)����,所作的任何修改、等同替換�����、改進等�����,均應(yīng)包含在本申請的保護范圍之內(nèi)��。
【權(quán)利要求】
1.一種數(shù)據(jù)截取和加解密的方法����,其特征是���, 從客戶端到服務(wù)端傳輸數(shù)據(jù)時包括如下步驟: 第al步,截獲從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包�����; 第a2步���,從截獲的數(shù)據(jù)包中查找需要加密的數(shù)據(jù)項�,稱為原數(shù)據(jù)項���;如果未找到任何原數(shù)據(jù)項,則將截獲的數(shù)據(jù)包直接發(fā)給服務(wù)端�;如果找到一個或多個原數(shù)據(jù)項,則進入第a3步���; 第a3步��,針對每一個原數(shù)據(jù)項��,將其加密后作為標(biāo)簽值�����;在每一個標(biāo)簽值前���、后分別加上前綴和后綴���,形成一個標(biāo)簽;用每一個標(biāo)簽替換每一個原數(shù)據(jù)項���; 將截獲的數(shù)據(jù)包中的所有原數(shù)據(jù)項都用標(biāo)簽替換后�����,生成替換數(shù)據(jù)包�; 第a4步��,格式化替換數(shù)據(jù)包��; 第a5步����,將替換數(shù)據(jù)包發(fā)給服務(wù)端; 從服務(wù)端到客戶端傳輸數(shù)據(jù)時包括如下步驟: 第bl步����,截獲從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包��; 第b2步�,從截獲的數(shù)據(jù)包中查找標(biāo)簽���;如果未找到任何標(biāo)簽���,則將截獲的數(shù)據(jù)包直接發(fā)給客戶端;如果找到一個或多個標(biāo)簽���,則進入第b3步�; 第b3步�����,針對每一個標(biāo)簽將其標(biāo)簽值解密后得到相應(yīng)的原數(shù)據(jù)項��;用每一個原數(shù)據(jù)項替換每一個標(biāo)簽����; 將截獲的數(shù)據(jù)包中的所有標(biāo)簽都`用原數(shù)據(jù)項替換后�,生成還原數(shù)據(jù)包�; 第b4步�����,格式化還原數(shù)據(jù)包�����; 第b5步�����,將還原數(shù)據(jù)包發(fā)送至客戶端�。
2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)截取和加解密的方法,其特征是����,所述方法第a2步中,先根據(jù)傳輸協(xié)議將截獲的數(shù)據(jù)包分解為多個數(shù)據(jù)項�����,然后通過查詢數(shù)據(jù)項屬性字典與分解的數(shù)據(jù)項比對���,確定哪些是原數(shù)據(jù)項��,哪些是無需加密的數(shù)據(jù)項����; 所述數(shù)據(jù)項屬性字典預(yù)先保存了原數(shù)據(jù)項的屬性; 所述方法第b2步中��,先根據(jù)傳輸協(xié)議將截獲的數(shù)據(jù)包分解為多個數(shù)據(jù)項����,然后通過標(biāo)簽的前綴和后綴確定哪些是標(biāo)簽,哪些是無需加密的數(shù)據(jù)項�。
3.根據(jù)權(quán)利要求1所述的數(shù)據(jù)截取和加解密的方法,其特征是����, 所述方法第a4步中,格式化替換數(shù)據(jù)包是指根據(jù)標(biāo)簽的大小屬性修改替換數(shù)據(jù)包的大小屬性�����; 所述方法第b4步中�����,格式化還原數(shù)據(jù)包是指根據(jù)原數(shù)據(jù)項的大小屬性修改還原數(shù)據(jù)包的大小屬性�����。
4.根據(jù)權(quán)利要求1所述的數(shù)據(jù)截取和加解密的方法��,其特征是����,所述方法第a3步中,所有前綴相同或具有統(tǒng)一特征��,所有后綴相同或具有統(tǒng)一特征����。
5.根據(jù)權(quán)利要求1所述的數(shù)據(jù)截取和加解密的方法,其特征是��,所述方法第a3步中�,采用多種加密算法,同一種加密算法得到的標(biāo)簽值的所有前綴相同或具有統(tǒng)一特征�����,或者所有后綴相同或具有統(tǒng)一特征�����;不同加密算法得到的標(biāo)簽值的前綴和/或后綴不同。
6.根據(jù)權(quán)利要求1所述的數(shù)據(jù)截取和加解密的方法����,其特征是,所述方法第a3步中�����,還將原數(shù)據(jù)項分為不同類型��,同一類型的原數(shù)據(jù)項所對應(yīng)的標(biāo)簽中的前綴相同或具有統(tǒng)一特征����、后綴相同或具有統(tǒng)一特征;不同類型的原數(shù)據(jù)項所對應(yīng)的標(biāo)簽中的前綴不同�����。
7.一種數(shù)據(jù)截取和加解密的系統(tǒng)���,其特征是����,包括: ——截取模塊�����,截獲從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包�����、以及從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包�����; ——解析模塊���,在截獲的從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包中查找需要加密的數(shù)據(jù)項���,稱為原數(shù)據(jù)項,在截獲的從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包中查找標(biāo)簽���; ——直通傳輸模塊�,如果在截獲的從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包中未找到原數(shù)據(jù)項����,則將截獲的數(shù)據(jù)包發(fā)給服務(wù)端;如果在截獲的從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包中未找到標(biāo)簽,則將截獲的數(shù)據(jù)包發(fā)給客戶端�����; ——加密模塊�����,將原數(shù)據(jù)項加密后作為標(biāo)簽值��; ——標(biāo)簽封裝模塊�����,在標(biāo)簽值前����、后分別加上前綴和后綴,形成一個標(biāo)簽�; ——解密模塊,對標(biāo)簽值解密后得到相應(yīng)的原數(shù)據(jù)項�; ——替換模塊,如果在截獲的從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包中找到一個或多個原數(shù)據(jù)項�,則將所有原數(shù)據(jù)項都用標(biāo)簽替換后,生成替換數(shù)據(jù)包��;如果在截獲的從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包中找到一個或多個標(biāo)簽,則將所有標(biāo)簽都用原數(shù)據(jù)項替換后�,生成還原數(shù)據(jù)包; ——文本格式化模塊�,根據(jù)截獲的從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包中的各個原數(shù)據(jù)項所對應(yīng)的標(biāo)簽的大小屬性修改替換數(shù)據(jù)包的大小屬性,根據(jù)截獲的從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包中的各個標(biāo)簽所對應(yīng)的原數(shù)據(jù)項的大小屬性修改還原數(shù)據(jù)包的大小屬性����; ——轉(zhuǎn)換傳輸模塊�,如果在截獲的從客戶端發(fā)往服務(wù)端的數(shù)據(jù)包中找到一個或多個原數(shù)據(jù)項,則將替換數(shù)據(jù)包發(fā)給服務(wù)端��;如果在截獲的從服務(wù)端發(fā)往客戶端的數(shù)據(jù)包中找到一個或多個標(biāo)簽�,則將還原數(shù)據(jù)包發(fā)給客戶端。
8.根據(jù)權(quán)利要求7所述的數(shù)據(jù)截取和加解密的系統(tǒng)�,其特征是, 新增原數(shù)據(jù)項分類模塊�,將原數(shù)據(jù)項分為不同類型。
9.根據(jù)權(quán)利要求7或8所述的數(shù)據(jù)截取和加解密的系統(tǒng)�,其特征是,所述數(shù)據(jù)截取和轉(zhuǎn)換的系統(tǒng)是一臺計算機�,部署在客戶端與服務(wù)端之間,并且與客戶端同屬內(nèi)網(wǎng)�����; 或者,所述數(shù)據(jù)截取和加解密的系統(tǒng)是一個連接在客戶端的計算機配件��; 或者����,所述數(shù)據(jù)截取和加解密的系統(tǒng)是客戶端上面的純軟件系統(tǒng)。
【文檔編號】H04L9/28GK103701592SQ201310697993
【公開日】2014年4月2日 申請日期:2013年12月18日 優(yōu)先權(quán)日:2013年12月18日
【發(fā)明者】顧青, 謝超, 梁佐泉, 田文晉, 趙艷紅, 胡凱, 馮四風(fēng), 王寧寧, 賈偉峰, 倪慶洋, 梁艷敏 申請人:上海普華誠信軟件技術(shù)有限公司