一种网络透明加解密方法、装置、系统、设备及存储介质与流程

本发明属于网络通信中的数据安全保护，具体涉及一种网络透明加解密方法、装置、系统、设备及存储介质。

背景技术：

1、服务器密码机是一种常见的硬件加密产品，用于保护服务器和网络通信的安全性。它可以通过加密和解密数据、生成和管理密钥等方式来确保数据的机密性和完整性。然而服务器密码机存在以下缺陷：

2、服务器密码机通常以服务调用模式工作，即在需要进行加密解密操作时，应用程序需要通过网络请求向密码机发送请求，可能导致通信延迟和性能下降，尤其是在需要频繁进行加密解密操作时，可能引入显著的延时，特别是在要求实时性较高的应用场景，延时可能会影响系统的响应性能；服务器密码机通常是专门的硬件设备，造价成本相对较高，包括硬件采购、部署和维护成本，对中小型组织的实施造成一定的经济压力；服务器密码机配置复杂，需要专门的技术人员进行设置和维护，无疑增加了系统管理的难度和成本。

技术实现思路

1、本发明的目的是提供一种网络透明加解密方法、装置、系统、设备及存储介质，用以至少解决现有技术中存在的上述问题之一。

2、为了实现上述目的，本发明采用以下技术方案：

3、第一方面，本发明提供一种网络透明加解密方法，包括：

4、由中间节点设备执行，包括：

5、接收来自第一设备的ip数据包，其中，所述ip数据包携带有ip首部字段、tcp/udp报文首部字段和tcp/udp报文数据字段，其中，tcp是传输控制协议，udp是用户数据报协议；

6、从所述ip数据包中提取出所述tcp/udp报文数据字段的数据内容，并判断所述数据内容是密文数据还是明文数据；

7、若判定所述数据内容是密文数据，则使用国密算法和预先获取的至少一个加解密配置信息，对所述数据内容进行解密处理，得到解密后明文数据，而若判定所述数据内容是明文数据，则使用所述国密算法和所述至少一个加解密配置信息，对所述数据内容进行加密处理，得到加密后密文数据；

8、将所述tcp/udp报文数据字段中的所述数据内容替换为所述解密后明文数据或所述加密后密文数据，得到新的tcp/udp报文数据字段；将所述ip首部字段、所述tcp/udp报文首部字段和所述新的tcp/udp报文数据字段一起组成新的ip数据包；

9、根据在所述ip首部字段中的ip地址，将所述新的ip数据包发送至具有该ip地址的第二设备。

10、在一个可能设计中，在接收来自第一设备的ip数据包之前，所述方法还包括：

11、接收来自客户端设备的icmp数据包，其中，icmp是控制报文协议的英文缩写；

12、从所述icmp数据包中解析获取用户设置的至少一个加解密配置信息。

13、在一个可能设计中，所述国密算法包括：sm4-ofb、sm4-cbc、sm4-ecb、sm2和/或sm3，其中，sm4-ofb表示国密sm4算法输出反馈模式，sm4-cbc表示国密sm4算法密文分组链接模式，sm4-ecb表示国密sm4算法电子密码本模式，sm2表示国密sm2椭圆曲线公钥密码算法，sm3表示国密sm3密码杂凑算法。

14、在一个可能设计中，所述至少一个加解密配置信息包括：密钥、初始向量值和加解密策略。

15、在一个可能设计中，所述中间节点设备为通信连接在所述第一设备与所述第二设备之间的且无ip地址的网络设备。

16、第二方面，本发明提供一种网络透明加解密装置，包括：

17、接收模块、判断模块、加解密模块、替换模块、组包模块和发送模块；

18、所述接收模块，用于接收来自第一设备的ip数据包，其中，所述ip数据包携带有ip首部字段、tcp/udp报文首部字段和tcp/udp报文数据字段，其中，tcp是传输控制协议，udp是用户数据报协议；

19、所述判断模块，用于从所述ip数据包中提取出所述tcp/udp报文数据字段的数据内容，并判断所述数据内容是密文数据还是明文数据；

20、所述加解密模块，用于若判定所述数据内容是密文数据，则使用国密算法和预先获取的至少一个加解密配置信息，对所述数据内容进行解密处理，得到解密后明文数据，而若判定所述数据内容是明文数据，则使用所述国密算法和所述至少一个加解密配置信息，对所述数据内容进行加密处理，得到加密后密文数据；

21、所述替换模块，用于将所述tcp/udp报文数据字段中的所述数据内容替换为所述解密后明文数据或所述加密后密文数据，得到新的tcp/udp报文数据字段；

22、所述组包模块，用于将所述ip首部字段、所述tcp/udp报文首部字段和所述新的tcp/udp报文数据字段一起组成新的ip数据包；

23、所述发送模块，用于根据在所述ip首部字段中的ip地址，将所述新的ip数据包发送至具有该ip地址的第二设备。

24、第三方面，本发明提供一种网络传输系统，包括有依次通信连接的第一设备、中间节点设备和第二设备；

25、所述中间节点设备，用于执行如第一方面或第一方面中任意可能设计所述的网络透明加解密方法。

26、在一个可能设计中，还包括电连接所述中间节点设备的电源设备，其中，所述电源设备用于通过usb接口供电方式、poe供电方式或dc12v电源供电方式为所述中间节点设备供电。

27、第四方面，本发明提供了一种计算机设备，包括有依次通信连接的存储器、处理器和收发器，其中，所述存储器用于存储计算机程序，所述收发器用于收发消息，所述处理器用于读取所述计算机程序，执行如第一方面或第一方面中任意可能设计所述的网络透明加解密方法。

28、第五方面，本发明提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，执行如第一方面或第一方面中任意可能设计所述的网络透明加解密方法。

29、第六方面，本发明提供了一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使所述计算机执行如第一方面或第一方面中任意可能设计所述的网络透明加解密方法。

30、有益效果：

31、本发明在进行加密解密频繁进行加密解密操作时，应用程序不需要通过网络请求向密码机发送请求，不产生通信延迟和性能下降；

32、本发明在要求实时性较高的应用场景，网络通信和服务调用，不会影响系统的响应性能；

33、本发明对中小型组织的实施不会造成经济压力；

34、本发明配置简单，减少系统管理的难度和成本；

35、本发明采用sm4-ofb、sm4-cbc、sm4-ecb、sm2和sm3算法，具有较高的安全性和高效的加解密速度。

技术特征：

1.一种网络透明加解密方法，其特征在于，由中间节点设备执行，包括：

2.如权利要求1所述的网络透明加解密方法，其特征在于，在接收来自第一设备的ip数据包之前，所述方法还包括：

3.如权利要求1所述的网络透明加解密方法，其特征在于，所述国密算法包括：sm4-ofb、sm4-cbc、sm4-ecb、sm2和/或sm3，其中，sm4-ofb表示国密sm4算法输出反馈模式，sm4-cbc表示国密sm4算法密文分组链接模式，sm4-ecb表示国密sm4算法电子密码本模式，sm2表示国密sm2椭圆曲线公钥密码算法，sm3表示国密sm3密码杂凑算法。

4.如权利要求1所述的网络透明加解密方法，其特征在于，所述至少一个加解密配置信息包括：密钥、初始向量值和加解密策略。

5.如权利要求1所述的网络透明加解密方法，其特征在于，所述中间节点设备为通信连接在所述第一设备与所述第二设备之间的且无ip地址的网络设备。

6.一种网络透明加解密装置，其特征在于，布置在中间节点设备中，包括接收模块、判断模块、加解密模块、替换模块、组包模块和发送模块；

7.一种网络传输系统，其特征在于，包括有依次通信连接的第一设备、中间节点设备和第二设备；

8.如权利要求7所述的网络传输系统，其特征在于，还包括电连接所述中间节点设备的电源设备，其中，所述电源设备用于通过usb接口供电方式、poe供电方式或dc12v电源供电方式为所述中间节点设备供电。

9.一种计算机设备，其特征在于，包括依次通信连接的存储器、处理器和收发器，其中，所述存储器用于存储计算机程序，所述收发器用于收发消息，所述处理器用于读取所述计算机程序，执行如权利要求1～5中任意一项所述的网络透明加解密方法。

10.一种计算机可读存储介质，其特征在于,所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，执行如权利要求1～5中任意一项所述的网络透明加解密方法。

技术总结
本发明公开了一种网络透明加解密方法、装置、系统、设备及存储介质，接收来自第一设备的IP数据包；从IP数据包中提取出TCP/UDP报文数据字段的数据内容，通过判断数据内容是密文数据还是明文数据，相应处理分别获得所需类型数据；将TCP/UDP报文数据字段中的数据内容替换为解密后明文数据或加密后密文数据，得到新的TCP/UDP报文数据字段；并与IP首部字段、TCP/UDP报文首部字段一起组成新的IP数据包；根据在IP首部字段中的IP地址，将新的IP数据包发送至具有该IP地址的第二设备。本发明保障了数据的机密性和完整性；网络通信高效性、透明性；便捷性、对原有通信协议零影响。

技术研发人员：郭宝安,黄世亮
受保护的技术使用者：广州希有科技有限公司
技术研发日：
技术公布日：2024/1/25