一种对文件进行加解密的网关系统和方法

一种对文件进行加解密的网关系统和方法
【技术领域】
[0001]本发明属于信息处理技术领域，更具体地，涉及一种对文件进行加解密的网关系统和方法。
【背景技术】
[0002]在如今的信息经济时代，人们越来越多的利用各种系统来实现信息的共享和交换，以提高信息利用效率。对于用户来说，除了即时获取信息的需求之外，还有确保信息的机密性和完整性的需求:避免数据的安全遭受病毒木马的威胁，系统上的某些文件是希望被设置成不可随意被访问，或者被拷贝的。尤其是对于企业用户，如何在保障业务高效及连续性的同时，防止核心信息资产外泄已经成为企业信息安全建设的重点和难点。
[0003]现有技术中多采用网关来管控终端与服务器之间的访问，实现对信息安全的控制。现有的网关系统大多是基于路由来处理数据转发，或者只支持同一网段的局域网内的数据转发，直接对数据包进行处理，而不能根据需求对文件进行加解密处理。

【发明内容】

[0004]针对现有技术的以上缺陷或改进需求，本发明提供了一种对文件进行加密解密的网关系统，其目的在于通过对数据净荷经过文件流分离后的二次封装，解决现有技术不能根据需求对文件进行加解密处理的技术问题。
[0005]为实现上述目的，按照本发明的一个方面，提供了一种对文件进行加解密的网关系统，包括数据收发模块、数据解析模块、文件流分离模块、加解密模块、数据二次封装模块；
[0006]数据解析模块的输入端连接数据收发模块的第一输出端，文件流分离模块的输入端连接数据解析模块的输出端，加解密模块的输入端连接文件流分离模块的第一输出端，数据二次封装模块的第一输入端连接加解密模块的输出端，第二输入端连接文件流分离模块的第二输出端；数据收发模块的第二输入端连接数据二次封装模块的输出端；
[0007]其中，数据收发模块用于接收传送到网关系统的网络数据包，并用于将经过网关系统处理后的数据发送到网络上；
[0008]其中，数据解析模块用于对接收到的网络数据包进行地址信息剥离，解析出净荷；
[0009]其中，所述文件流分离模块用于将接收到的净荷进行分离处理后送到加解密模块，并当接收到的净荷为文件流的第一个包时，生成一个包括加密头的数据包送往二次封装模块；并当接收到的净荷为加密文件流时，剥离掉加密头，将去掉加密头的文件流送到加解密模块；
[0010]其中，加解密模块用于对接收到的数据包进行加密或解密处理；加密指不改变数据包的长度对数据进行编码；解密是指对数据进行反编码；
[0011]其中，数据二次封装模块用于对接收到的数据包添加包头和检验信息，送往数据收发模块。
[0012]为实现本发明的目的，按照本发明的另一方面，提供了一种对文件进行加解密的方法，所述方法基于本发明提供的对文件进行加解密的网关，具体如下:
[0013](I)判断收到的网络数据包是否为文件流，若否，则将该网络数据包直接转发；若是，则进入步骤(2);
[0014](2)判断收到的网络数据包是否为文件流第一个包；若是，则进行添加加密头或去除加密头的处理，对处理后生成的数据进行加解密处理，然后进行二次封装；将二次封装后的数据包发送到网络；若否，则对当前网络数据包直接进行加解密处理后进行二次封装，并转发到网络。
[0015]优选的，对于加密请求，当收到的网络数据包为文件流第一个包时，由网关生成一个包含加密头的数据包并对其进行二次封装，同时对当前网络数据包加密处理后进行二次封装；将二次封装后的数据包一并发送到网络。
[0016]优选的，对于解密请求，当收到的文件流为加密文件，则剥离掉加密头，对去掉加密头的文件流进行解密处理；若否，则将其转入二次封装模块，进行转发处理。
[0017]总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果:
[0018](I)由于本发明的网关系统加解密过程安全智能透明，不改变原有信息的格式和状态，因此，用户在使用过程中不必改变操作习惯；
[0019](2)本发明的网关系统支持跨网段的局域网内的数据包转发，支持服务器设置不同网段的多个IP地址，不同网段的数据处理统一且模块处理相互不影响，节省网关部署设备的数量；
[0020](3)本发明提供的系统能够与企业用户的多种应用系统耦合，方便企业用户后续的需求升级和应用拓展；对于基于B/S架构的常见应用系统(如CRM、OA、ERP、PDM等)，本网关都能提供支持，为企业安全个性化需求提供更多保障。
【附图说明】
[0021]图1是本发明提供的加解密网关系统的示意图；
[0022]图2是本发明提供的网关系统的部署示意图；
[0023]图3是本发明提供的加解密方法的解密流程图；
[0024]图4是本发明提供的加解密方法的加密流程图。
【具体实施方式】
[0025]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0026]以下结合具体的实施例1具体描述本发明提供的一种对文件进行加解密的网关系统，如图1所示，该网关系统包括数据收发模块、数据解析模块、文件流分离模块、加解密模块和数据二次封装模块；
[0027]其中，数据解析模块的输入端连接数据收发模块的第一输出端；文件流分离模块的输入端连接数据解析模块的输出端；加解密模块的输入端连接文件流分离模块的第一输出端；数据二次封装模块的第一输入端连接加解密模块的输出端，第二输入端连接文件流分离模块的第二输出端；数据收发模块的第二输入端连接数据二次封装模块的输出端。
[0028]实施例1中，本发明提供的网关系统部署在交换机与服务器之间，该服务器存储的是明文文件数据，客户端向服务器请求上传和下载文件都需经过网关检测，具体部署位置如图2所示。以下以本系统对上传的文件进行解密以及对下载的文件进行加密为例，具体阐述实施例1的网关系统的工作流程:
[0029]如图3所示的，对上传的文件解密的方法如下