一种面向简易存储服务的透明文件加解密系统及其方法与流程

本发明涉及文件加解密技术领域，尤其涉及一种面向简易存储服务的透明文件加解密系统及其方法。

背景技术：

计算机行业面临严峻的考验，在大数据已经到来的时代，信息数据呈几何级别地增长，迅速地填满了系统内一切可用的存储空间。当前，网络存储已经成为存储业界的共识。Amazon S3，全名为亚马逊简易存储服务(Amazon Simple Storage Service)，由亚马逊公司，利用他们的亚马逊网络服务系统所提供的网络在线存储服务。经由Web服务界面，包括REST,SOAP,与BitTorrent，提供用户能够轻易把文件存储到网络服务器上。

现今数据是最核心资产，存储系统作为数据的保存空间，是数据保护的最后一道防线；随着存储系统由本地直连向着网络化和分布式的方向发展，并被网络上的众多计算机共享，使存储系统变得更易受到攻击，相对静态的存储系统往往成为攻击者的首选目标，达到窃取、篡改或破坏数据的目的。工信部也针对网络用户的信息安全提出明确的保护标准，未来的互联网及其数据分析应用都将围绕数据安全开展，因此安全机制将成为网络存储中亟待解决的问题，也将是未来网络健康发展的必要条件。由此可见，安全机制是网络存储的基础问题，是影响S3等网络存储应用的关键因素，已经逐渐成为网络存储服务解决方案中首要考虑的重点和难点。

技术实现要素：

本发明的目的是为了完善网络存储的安全机制，提出了一种面向简易存储服务的透明文件加解密系统及其方法，在用户与存储服务器之间搭建加解 密系统，提供透明的加解密服务，以提高数据存储安全性。

为了实现上述目的，一方面，本发明提供了一种面向简易存储服务的透明文件加解密系统，该系统包括初始化模块、输入模块、处理模块和输出模块；其中初始化模块用于完成对文件加解密系统的初始化处理；输入模块用于完成对输入到文件加解密系统的数据包进行分类处理，将第一类型数据包发送给处理模块，将第二类型数据包发送给输出模块；处理模块用于对第一类型数据包进行匹配处理；若匹配成功，对第一类型数据包进行加解密处理；若匹配不成功，对第一类型数据包不进行加解密处理；匹配处理后的第一类型数据包发送给输出模块；输出模块用于将接收的第一类型数据包或第二类型数据包发送到相应的网络端口上。

另一方面，本发明提供了一种面向简易存储服务的透明文件加解密方法，该方法包括以下步骤：对所述文件加解密系统进行初始化处理；对输入到所述文件加解密系统的数据包进行分类处理，将第一类型数据包发送给所述处理模块，将第二类型数据包发送给所述输出模块；对所述第一类型数据包进行匹配处理；如果匹配成功，对所述第一类型数据包进行加解密处理；如果匹配不成功，对所述第一类型数据包不进行加解密处理；匹配处理后的第一类型数据包发送给所述输出模块；将接收的所述第一类型数据包或所述第二类型数据包发送到相应的网络端口上。

本发明通过在用户与服务器之间设置加解密，减轻了用户与服务器的加密负荷，实现稳定高效的加解密框架。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的一种面向简易存储服务的透明文件加解密系统结构示意图；

图2为本发明实施例提供的另一种面向简易存储服务的透明文件加解密系统结构示意图；

图3为本发明实施例提供的一种面向简易存储服务的透明文件加解密方法流程示意图。

具体实施方式

传输控制协议(Transmission Control Protocol，简称TCP)是一种面向连接的、可靠的、基于字节流的传输层通信协议；超文本传输协议(HyperText Transfer Protocol,简称HTTP)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准，HTTP是一个客户端和服务器端请求和应答的标准(TCP)，客户端是终端用户，服务器端是网站。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

图1为本发明实施例提供的一种面向简易存储服务的透明文件加解密系统结构示意图。如图1所示，本系统包括初始化模块101、输入模块102、处理模块103以及输出模块104。

初始化模块101用于完成对本系统的内存、网口、加密算法、加解密规则列表和密钥列表的初始化，根据数据包的源IP、目的IP、源端口和目的端口四元组建立TPC连接信息，又称TCP四元组信息，来区分不同的数据流，根据TCP数据包中的HTTP协议产生加解密规则，并分别初始化密钥列表以及加解密规则列表。

加解密规则根据HTTP协议产生，对于HTTP协议的上传put命令和用户信息产生加密规则，对于HTTP协议的下载get命令和用户信息产生解密规则。加解密规则由用户信息、TCP连接信息以及密钥构成。

输入模块102负责完成对输入到S3文件加解密系统的数据包进行分类， 将非TCP数据包提交给输出模块，将TCP数据包提交给处理模块103进一步处理。

处理模块103根据TCP数据包的四元组在加解密规则列表中进行匹配，对于匹配成功的数据包进行加解密，对于匹配不成功的数据包不进行加解密。当用户与服务器之间交互的数据匹配加解密规则，则根据加解密规则的加密算法和密钥对数据进行加解密，对用户存入服务器的文件进行透明加密，对用户从S3服务器读取的文件进行透明解密。

输出模块104将数据包发送到网络端口上，根据预先定义的规则，对于从某个输入端口进入的数据包转发到相应的输出端口上，数据包的输出长度不改变。

由上所述，本系统运行流程如图3所示：

步骤1：首先初始化模块101完成对S3文件加解密系统的内存、网口、加密算法以及数据结构的初始化配置，并初始化密钥列表以及加解密规则列表。

步骤2：然后输入模块102完成对输入到S3文件加解密系统的数据包进行数据包分类，将非TCP数据包提交给输出模块，将TCP数据包提交给处理模块103进一步处理。

步骤3：处理模块103接收经过输入模块102过滤的TCP数据包，根据TCP数据包四元组在加解密规则列表中进行匹配。

步骤3-1：如果匹配成功说明该数据包需要进行加解密，根据用户信息从密钥分发服务器获取用户密钥，使用经过配置的流式加密算法对有效荷载payload数据进行加解密；

步骤3-2：如果匹配不成功说明该数据包不需要进行加解密，需要进一步分析该TCP数据包是否包含HTTP协议，如果包含HTTP协议，且HTTP协议中包含用户登录、注销信息，则需更新密钥列表，建立用户与密钥的映射关系；如果HTTP协议中包含文件下载/上传命令，则需要更新加解密规则列表， 为该数据流启动数据加解密；

步骤3-3：未匹配的TCP数据包以及不包含上述命令的HTTP数据包均需要直接提交给输出模块。

步骤4：输出模块104根据预先定义的规则，将数据包发送到相应的网络端口上。

图2为本发明实施例提供的一种面向简易存储服务的透明文件加解密系统结构示意图。如图2所示，本系统包括初始化模块101、输入模块102、处理模块103以及输出模块104。其中，初始化模块101包含密钥初始化单元113、内存初始化单元114、网口初始化单元115、加密规则初始化单元116与加密算法初始化单元117；处理模块103由加解密规则匹配单元105、TCP协议解析单元106、HTTP命令解析单元107、加解密规则管理单元108、密钥管理单元109、加解密规则列表110、密钥列表111以及数据加解密单元112组成。

本系统首先由初始化模块101完成初始化工作，对系统所需要的内存、网口、密钥、加解规则和加密算法等进行初始化，并分配相应的资源。

当用户与S3服务器交互的一个数据包进入本系统，首先由输入模块102对数据包进行分类：非TCP数据包会被直接过滤提交给输出模块104并输出系统；TCP数据包则提交给处理模块103，处理模块103对TCP数据包的具体处理流程为：

在用户登录S3服务器阶段，TCP数据包会包含HTTP请求，此TCP数据包进入处理模块103后，首先由加解密规则匹配单元105判断为HTTP数据包，并经过HTTP命令解析单元107识别HTTP请求中的关键字段并获取请求中的用户信息，之后本系统经过密钥管理109凭用户信息与密钥管理服务器交互，获得与用户一一对应的用户密钥，并且在密钥列表111中添加TCP四元组信息、用户信息以及密钥，以此作为密钥列表111的一条新记录。

在用户上传或下载文件阶段，此TCP数据包进入处理模块103后，首先 由加解密规则匹配单元105判断此TCP数据包是否含HTTP协议。对于HTTP数据包，由HTTP命令解析单元107解析HTTP请求中的关键字段并获取用户信息与连接信息，加解密规则管理单元108根据用户信息和TCP四元组信息在加解密规则列表110中添加一条新纪录，作为加解密的依据。对于TCP数据包，由TCP协议解析单元106来获取TCP数据包的四元组信息和关键字段，TCP四元组信息与规则列表110中的信息进行匹配，若匹配成功并且包含上传文件关键字段，则此TCP数据流开始由数据加解密单元112进行加密处理，若匹配成功并且包含下载文件关键字段，则此TCP数据流开始由数据加解密单元112进行解密。加密和解密都是针对TCP的payload部分。

最后，输出模块104根据预先定义的各个输入端口与各个输出端口上的对应规则，将非TCP数据包、不匹配不含HTTP协议的TCP数据包和经过处理的TCP数据包输出到S3服务器，且输出的数据包长度不改变。

本发明实施例通过在用户与服务器之间设置加解密系统，卸载了用户与服务器的加密负荷，实现稳定高效的加解密框架。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。