[发明专利]一种数据传输的方法与设备

说明书

技术领域

本申请涉及计算机与通信领域，尤其涉及一种数据传输的技术。

背景技术

随着计算机与信息技术尤其是网络技术的飞速发展，数据信息已经成为整个社会最为关键的资源之一，企事业单位需要共享访问的数据信息越来越多，并且越来越重要，如何保证这些私密数据信息在网络传输时的安全，已经成为亟待解决的重大问题。

目前，为了保护基于网络传输时的文件内容安全，主要采用以下五种方法：(1)端对端传输通道TLS/SSL(TransportLayerSecurity/SecureSocketsLayer，传输层安全/安全套接层)加密。服务器和客户端之间的数据传输使用加密通道，服务器和客户端上的数据为明文，在通信通道中传输的数据为密文。(2)对服务器设置访问来源限制。针对不同访问来源设置不同的限制策略，并在其连接服务器之前进行访问来源合法性检测。(3)对数据设置访问权限，进行访问控制。针对不同的用户设置不同的访问权限，并在其访问私密数据之前对其身份进行合法性验证。(4)完整的存储/传输加密。数据存储及传输过程均以密文形式存在。(5)使用代理进行数据加解密和访问控制。客户端通过代理服务器连接数据服务器，在代理服务器上进行数据加解密并转发。

然而，现有技术的几种方法均存在一些不足之处：(1)采用端对端传输通道TLS/SSL加密技术，当数据进入传输通道时进行加密，在数据离开传输通道时进行解密。这种实现方法保证了私密数据网络传输的安全性，但并没有对私密数据存储的安全性进行处理，因此，一旦客户端存储私密数据的存储设备暴露，或不受信任的客户端接入网络，私密数据的泄漏是显而易见的。(2)采用服务器访问来源限制技术，控制访问来源为信任区域，丢弃任何非信任来源的访问请求。该方法需要设置信任区域，在当前网络入侵、内网渗透流行的网络安全形势下，该方法过于理想化，已经无法满足现实需求。(3)采用访问控制，针对不同用户的私密数据设置不同的访问权限，以保证每个用户只能访问自己的私密数据。显然，这种方法不能保证私密数据的存储和网络传输安全。(4)完整的存储/传输加密方案。服务器及客户端数据均加密存储，传输信道中数据也是加密数据。该方法可保证数据存储及传输过程中的安全性，但是部署复杂，对现有的服务器升级技术难度较大，消耗时间过长。(5)采用代理进行数据加解密技术和访问控制。该方法在服务器前设置代理服务器，所有客户端连接均通过代理服务器进行，由代理服务器进行数据加解密。该方法保证了由服务器流向客户端的数据的安全性，但由于采用代理机制，要做到对服务器网络透明的话，技术流程较复杂，而且代理方式资源占用率高，对硬件设备要求较高。

发明内容

本申请的一个目的是提供一种数据传输的方法与设备。

根据本申请的一个方面，提供了一种数据传输方法，其中，该方法包括：

a通过网关接收待传输的数据包；

b将所述数据包从内核空间导入至用户空间；

c检测处于用户空间的所述数据包是否待加解密处理；

d当所述数据包待加解密处理，根据所述数据包的传输方向对所述数据包进行加解密处理；

e通过所述网关传输经加解密处理后的所述数据包。

进一步地，所述根据所述数据包的传输方向对所述数据包进行加解密处理包括：若所述数据包为明文数据包且接收自服务器，对所述数据包进行加密处理；或者若所述数据包为密文数据包且待传输至服务器，对所述数据包进行解密处理。

进一步地，所述步骤d包括：当所述数据包待加解密处理，根据所述数据包的目的地址或源地址确定所述数据包的传输方向；根据所述数据包的传输方向对所述数据包进行加解密处理。

进一步地，所述根据所述数据包的目的地址或源地址确定所述数据包的传输方向包括：若所述数据包的目的地址属于服务器地址范围，确定所述数据包的传输方向为待传输至服务器；或者若所述数据包的源地址属于服务器地址范围，确定所述数据包的传输方向为接收自服务器。

进一步地，所述步骤c包括：根据处于用户空间的所述数据包所使用的传输协议，确定所述数据包是否待加解密处理。

进一步地，所述步骤c包括：根据处于用户空间的所述数据包的文件类型，确定所述数据包是否待加解密处理。

根据本申请的另一个方面，提供了一种数据传输设备，其中，该设备包括：

第一装置，用于通过网关接收待传输的数据包；

第二装置，用于将所述数据包从内核空间导入至用户空间；