[发明专利]应用进程无感式内核层加解密系统及方法

说明书

本发明涉及一种应用进程无感式内核层加解密系统，包括：第一加解密设备，用于在操作系统内核层对指定应用进程的通讯数据内容执行传输层上的、应用进程无感式的加密动作，以获得基于传输层的加密数据包；网络通讯设备，用于对所述加密数据包执行传输层上的网络传输；第二加解密设备，用于在操作系统内核层对所述加密数据包执行传输层上的、应用进程无感式的解密动作，以获得指定应用进程的通讯数据内容，并将指定应用进程的通讯数据内容回调给与所述指定应用进程对应的应用进程。本发明还涉及一种应用进程无感式内核层加解密方法。通过本发明，在对通讯数据内容执行加解密时，能够达到应用进程无感，同时避免了网络资源的浪费。

技术领域

本发明涉及数据加解密领域，尤其涉及一种应用进程无感式内核层加解密系统及方法。

背景技术

随着工业互联网、物联网的快速发展，出现了各种需要进程级通讯加密的场景。

工业互联网是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应用生态，是工业智能化发展的关键综合信息基础设施，其自身的安全可控是确保其在各生产领域能够落地实施的前提，更是产业安全和国家安全的重要基础和保障。

工业互联网的核心思想是工业数据上云，其数据传输安全必然涉及到数据加解密技术。目前市场上的专业数据加解密厂商提供的加解密方案一般分为两种：链路加密和API接口加密。

链路加密：有时也叫做链路级或链路层加密，它是同一网络内两点传输数据时在数字链路层加密信息的一种数字保密方法。该方法的优势是应用无感，不需要修改现有的应用程序实现即可实现端到端加密，非常方便。但缺点也很明显，这种方法会给所有两点间传输的数据都进行加解密，包括没有安全需求的报文，造成资源浪费，也因此存在严重的性能问题，因为加解密算法是有较高的性能损失的，这种方法往往会显著增加网络通讯延时，甚至造成网络通讯阻塞。因此这种方案目前仍处在概念阶段，实用性不高。

API接口加密：数据安全厂商只提供加解密的SDK包，具体的加解密实现依赖于应用对加解密接口的调用。这种方式完全避免了加解密资源的浪费，能够满足实际的加解密需求，这也是目前被广泛采用的数据传输安全方案。但这种方案要求各种应用深度依赖加解密SDK包，对加解密接口进行调用，对于已经成型的应用需要对其所有的网络调用部分进行修改才能使用，对于可靠性要求非常高的工控环境(工业互联网边缘侧)来说这几乎是不允许的。

发明内容

为了解决上述问题，本发明提供了一种应用进程无感式内核层加解密系统及方法，对两点间传输的数据进行选择性的加解密处理，避免浪费大量的网络资源，同时，在操作系统的内核层对通讯数据进行过滤和加解密处理，不需要对应用进程进行修改，提升了其应用的工控环境的可靠性和安全性。

为此，本发明至少需要具备以下两处关键的发明点：

(1)提出一种基于操作系统内核技术实现的数据加解密系统，能够在内核层对通讯数据进行过滤，实现了应用进程无感式的加解密操作，即需要进行数据加解密传输的应用进程不需要做任何修改；

(2)只对指定应用进程的传输层，例如基于TCP或UDP协议的传输层，之上的通讯数据内容进行加解密，避免了对非安全通讯数据进行加解密而造成的资源浪费。