本申请公开了一种加解密方法、装置及计算机可读存储介质。加解密方法应用于内核,包括:通过配置在内核中的eBPF程序拦截接收到的数据包,以数据包中的目的以太网地址作为索引,对全局配置数据进行查找,得到用于加密或者解密的加解密参数,根据加解密参数对数据包进行加密处理或者解密处理,得到目标数据包,根据本申请实施例的方案,能够在内核接收或发送数据时,利用eBPF程序直接拦截内核对于数据包的处理入口和出口,使eBPF程序直接访问到最原始的数据包,并进行加解密,与MACSec等传统的以太网加解密方法相比,本方法不会显著增加数据帧传输开销,无须为每一对通信对象单独配置加密信道,且可以与任意类型的以太网帧数据配合使用,具备良好的兼容性。具备良好的兼容性。具备良好的兼容性。
【技术实现步骤摘要】
加解密方法、装置及计算机可读存储介质
[0001]本申请涉及但不限于数据传输加密领域,特别是涉及一种加解密方法、装置及计算机可读存储介质。
技术介绍
[0002]由于网络安全形势的日益严峻,业界对网络数据传输的安全性提出了越来越高的要求,数据在网络传输的过程中必须要保证其安全性,避免恶意攻击者篡改、破坏或窃取数据。为了保证数据在传输过程中的安全性,在数据的传输过程中可以利用相关的加解密协议对数据进行加解密处理。目前,可以通过MACSec为以太网数据提供加解密服务,但是由于MACSec具有自己的帧类型,无法与其他类型的以太网帧共存,兼容性差。此外,其会增加帧协议头尺寸,降低了数据传输效;最后,MACSec需要为每一对通信对象配置加密隧道,配置繁琐且对上层应用不透明。
技术实现思路
[0003]以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。
[0004]本申请实施例提供了一种加解密方法、装置及计算机可读存储介质,能够对不同帧类型的数据进行加解密,具备良好的兼容性。
[0005]第一方面,本申请实施例提供了一种加解密方法,应用于内核,包括:
[0006]通过配置在所述内核中的eBPF程序拦截接收到的数据包;
[0007]以所述数据包中的目的以太网地址作为索引对全局配置数据进行查找,得到加解密参数;
[0008]根据加解密参数对所述数据包进行加密或者解密处理,得到目标数据包。
[0009]第二方面,本申请实施例还提供了一种加解密方法,应用于代理端,包括:
[0010]获取来自总控制端的更新请求,所述更新请求包括eBPF程序;
[0011]根据所述更新请求将所述eBPF程序向内核进行加载或者更新处理,以通过所述eBPF程序拦截所述内核所接收到的数据包,并对所述数据包进行加密或者解密处理得到目标数据包。
[0012]第三方面,本申请实施例还提供了一种加解密方法,应用于总控制端,包括:
[0013]向代理端发送更新请求,所述更新请求包括eBPF程序,以使所述代理端根据所述更新请求将所述eBPF程序向内核进行加载或者更新处理,以通过所述eBPF程序拦截所述内核所接收到的数据包,并对所述数据包进行加密或者解密处理得到目标数据包。
[0014]第四方面,本申请实施例还提供了一种加解密装置,其特征在于,包括存储器、处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如第一方面所述的加解密方法,或者实现如第二方面所述的加解密方法,或者实现如第三方面所述的加解密方法。
[0015]第五方面,本申请实施例还提供了一种计算机可读存储介质,所述程序被处理器执行如第一方面所述的加解密方法,或者实现如第二方面所述的加解密方法,或者实现如第三方面所述的加解密方法。
[0016]本申请实施例包括:通过配置在内核中的eBPF程序拦截接收到的数据包,以数据包中的目的以太网地址作为索引,对全局配置数据进行查找,得到用于加密或者解密的加解密参数,根据加解密参数对数据包进行加密处理或者解密处理,得到目标数据包,即是说,根据本申请实施例的方案,能够在内核接收或发送数据时,利用eBPF程序直接拦截内核对于数据包的处理入口和出口,使eBPF程序直接访问到最原始的数据包,并进行加解密处理,由于eBPF程序没有被标准化,因此可以与任意以太网帧类型数据配合使用,并对不同帧类型的数据进行加解密,具备良好的兼容性。
附图说明
[0017]附图用来提供对本申请技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
[0018]图1是本申请一些实施例提供的OSI模型、网络协议栈与加密协议的关系图;
[0019]图2是本申请一些实施例提供的加解密装置的模块结构示意图;
[0020]图3是本申请一些实施例提供的加解密方法的第一流程图;
[0021]图4是图3中步骤S302的具体方法的流程图;
[0022]图5是图4中步骤S402的具体方法的流程图;
[0023]图6是本申请一些实施例提供的eBPF程序工作的流程图;
[0024]图7是本申请一些实施例提供的eBPF程序内部模块的示意图;
[0025]图8是本申请一些实施例提供的加解密方法的第二流程图;
[0026]图9是本申请一些实施例提供的加解密方法的第三流程图;
[0027]图10是本申请一些实施例提供的代理端工作的流程图;
[0028]图11是本申请一些实施例提供的代理端内部模块的示意图;
[0029]图12是本申请一些实施例提供的加解密方法的第四流程图;
[0030]图13是本申请一些实施例提供的总控制端工作的流程图;
[0031]图14是本申请一些实施例提供的总控制端内部模块的示意图;
[0032]图15是本申请一些实施例提供的加解密装置的软件部署形态的示意图;
[0033]图16是本申请一些实施例提供的加解密装置的硬件部署形态的示意图;
[0034]图17是本申请一些实施例提供的加解密装置的硬件结构示意图。
具体实施方式
[0035]为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
[0036]应了解,在本申请实施例的描述中,多个(或多项)的含义是两个以上,大于、小于、超过等理解为不包括本数,以上、以下、以内等理解为包括本数。如果有描述到“第一”、“第二”等只是用于区分技术特征为目的,而不能理解为指示或暗示相对重要性或者隐含指明
所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
[0037]除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的
的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
[0038]首先,对本申请中涉及的若干名词进行解释:
[0039]扩展的伯克利包过滤器(Extended Berkerly Packet Filter,eBPF):伯克利包过滤器(Berkerly Packet Filter,BPF),是类Unix系统上数据链路层的一种原始接口,提供原始链路层封包的收发。在BPF的基础上生成了新的eBPF程序,eBPF是一套通用执行引擎,提供了可基于系统或程序事件高效安全执行特定代码的通用能力,通用能力的使用者不再局限于内核开发者;eBPF可由执行字节码指令、存储对象和Helper帮助函数组成,字节码指令在内核执行前必须通过BPF验证器的验证,同时在启用BPF即时编译器(Just
‑
In
‑
Time Compiler,JIT)模式的内核中,会直接将字节码指令转成内核可执行本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种加解密方法,应用于内核,所述方法包括:通过配置在所述内核中的eBPF程序拦截接收到的数据包;以所述数据包中的目的以太网地址作为索引对全局配置数据进行查找,得到加解密参数;根据加解密参数对所述数据包进行加密或者解密处理,得到目标数据包。2.根据权利要求1所述的方法,其特征在于,所述以所述数据包中的目的以太网地址作为索引对全局配置数据进行查找,得到加解密参数包括:对所述数据包进行解析处理,得到协议头内容;在根据所述协议头内容确定所述数据包的数据为以太网帧的情况下,获取所述数据包的目的以太网地址,并以所述目的以太网地址作为索引对全局配置数据进行查找,得到加解密参数。3.根据权利要求2所述的方法,其特征在于,所述在根据所述协议头内容确定所述数据包的数据为以太网帧的情况下,获取所述数据包的目的以太网地,并以所述目的以太网地址作为索引对全局配置数据进行查找,得到加解密参数包括:在根据所述协议头内容确定所述数据包的数据为以太网帧的情况下,获取所述数据包的目的以太网地址和源以太网地址;在目的以太网地址和源以太网地址均不为预设的豁免地址列表中的地址的情况下,以所述目的以太网地址作为索引对全局配置数据进行查找,得到加解密参数。4.根据权利要求1所述的方法,其特征在于,所述数据包为需要发送的数据包,所述根据加解密参数对所述数据包进行加密或者解密处理,得到目标数据包,包括:根据所述加解密参数对所述数据包进行加密处理,得到目标数据包。5.根据权利要求1所述的方法,其特征在于,所述数据包为接收到的数据包,所述根据加解密参数对所述数据包进行加密或者解密处理,得到目标数据包,包括:根据所述加解密参数对所述数据包进行解密处理,得到目标数据包。6.一种加解密方法,应用于代理端,所述方法包括:获取来自总控制端的更新请求,所述更新请求包括eBPF程序;根据...
【专利技术属性】
技术研发人员:郭天,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。