技術(shù)領(lǐng)域

本申請涉及計算機(jī)與通信領(lǐng)域，尤其涉及一種數(shù)據(jù)傳輸?shù)募夹g(shù)。

背景技術(shù)

隨著計算機(jī)與信息技術(shù)尤其是網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，數(shù)據(jù)信息已經(jīng)成為整個社會最為關(guān)鍵的資源之一，企事業(yè)單位需要共享訪問的數(shù)據(jù)信息越來越多，并且越來越重要，如何保證這些私密數(shù)據(jù)信息在網(wǎng)絡(luò)傳輸時的安全，已經(jīng)成為亟待解決的重大問題。

目前，為了保護(hù)基于網(wǎng)絡(luò)傳輸時的文件內(nèi)容安全，主要采用以下五種方法：(1)端對端傳輸通道TLS/SSL(TransportLayerSecurity/SecureSocketsLayer，傳輸層安全/安全套接層)加密。服務(wù)器和客戶端之間的數(shù)據(jù)傳輸使用加密通道，服務(wù)器和客戶端上的數(shù)據(jù)為明文，在通信通道中傳輸?shù)臄?shù)據(jù)為密文。(2)對服務(wù)器設(shè)置訪問來源限制。針對不同訪問來源設(shè)置不同的限制策略，并在其連接服務(wù)器之前進(jìn)行訪問來源合法性檢測。(3)對數(shù)據(jù)設(shè)置訪問權(quán)限，進(jìn)行訪問控制。針對不同的用戶設(shè)置不同的訪問權(quán)限，并在其訪問私密數(shù)據(jù)之前對其身份進(jìn)行合法性驗(yàn)證。(4)完整的存儲/傳輸加密。數(shù)據(jù)存儲及傳輸過程均以密文形式存在。(5)使用代理進(jìn)行數(shù)據(jù)加解密和訪問控制。客戶端通過代理服務(wù)器連接數(shù)據(jù)服務(wù)器，在代理服務(wù)器上進(jìn)行數(shù)據(jù)加解密并轉(zhuǎn)發(fā)。

然而，現(xiàn)有技術(shù)的幾種方法均存在一些不足之處：(1)采用端對端傳輸通道TLS/SSL加密技術(shù)，當(dāng)數(shù)據(jù)進(jìn)入傳輸通道時進(jìn)行加密，在數(shù)據(jù)離開傳輸通道時進(jìn)行解密。這種實(shí)現(xiàn)方法保證了私密數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)陌踩裕]有對私密數(shù)據(jù)存儲的安全性進(jìn)行處理，因此，一旦客戶端存儲私密數(shù)據(jù)的存儲設(shè)備暴露，或不受信任的客戶端接入網(wǎng)絡(luò)，私密數(shù)據(jù)的泄漏是顯而易見的。(2)采用服務(wù)器訪問來源限制技術(shù)，控制訪問來源為信任區(qū)域，丟棄任何非信任來源的訪問請求。該方法需要設(shè)置信任區(qū)域，在當(dāng)前網(wǎng)絡(luò)入侵、內(nèi)網(wǎng)滲透流行的網(wǎng)絡(luò)安全形勢下，該方法過于理想化，已經(jīng)無法滿足現(xiàn)實(shí)需求。(3)采用訪問控制，針對不同用戶的私密數(shù)據(jù)設(shè)置不同的訪問權(quán)限，以保證每個用戶只能訪問自己的私密數(shù)據(jù)。顯然，這種方法不能保證私密數(shù)據(jù)的存儲和網(wǎng)絡(luò)傳輸安全。(4)完整的存儲/傳輸加密方案。服務(wù)器及客戶端數(shù)據(jù)均加密存儲，傳輸信道中數(shù)據(jù)也是加密數(shù)據(jù)。該方法可保證數(shù)據(jù)存儲及傳輸過程中的安全性，但是部署復(fù)雜，對現(xiàn)有的服務(wù)器升級技術(shù)難度較大，消耗時間過長。(5)采用代理進(jìn)行數(shù)據(jù)加解密技術(shù)和訪問控制。該方法在服務(wù)器前設(shè)置代理服務(wù)器，所有客戶端連接均通過代理服務(wù)器進(jìn)行，由代理服務(wù)器進(jìn)行數(shù)據(jù)加解密。該方法保證了由服務(wù)器流向客戶端的數(shù)據(jù)的安全性，但由于采用代理機(jī)制，要做到對服務(wù)器網(wǎng)絡(luò)透明的話，技術(shù)流程較復(fù)雜，而且代理方式資源占用率高，對硬件設(shè)備要求較高。

發(fā)明內(nèi)容

本申請的一個目的是提供一種數(shù)據(jù)傳輸?shù)姆椒ㄅc設(shè)備。

根據(jù)本申請的一個方面，提供了一種數(shù)據(jù)傳輸方法，其中，該方法包括：

a通過網(wǎng)關(guān)接收待傳輸?shù)臄?shù)據(jù)包；

b將所述數(shù)據(jù)包從內(nèi)核空間導(dǎo)入至用戶空間；

c檢測處于用戶空間的所述數(shù)據(jù)包是否待加解密處理；

d當(dāng)所述數(shù)據(jù)包待加解密處理，根據(jù)所述數(shù)據(jù)包的傳輸方向?qū)λ鰯?shù)據(jù)包進(jìn)行加解密處理；

e通過所述網(wǎng)關(guān)傳輸經(jīng)加解密處理后的所述數(shù)據(jù)包。

進(jìn)一步地，所述根據(jù)所述數(shù)據(jù)包的傳輸方向?qū)λ鰯?shù)據(jù)包進(jìn)行加解密處理包括：若所述數(shù)據(jù)包為明文數(shù)據(jù)包且接收自服務(wù)器，對所述數(shù)據(jù)包進(jìn)行加密處理；或者若所述數(shù)據(jù)包為密文數(shù)據(jù)包且待傳輸至服務(wù)器，對所述數(shù)據(jù)包進(jìn)行解密處理。

進(jìn)一步地，所述步驟d包括：當(dāng)所述數(shù)據(jù)包待加解密處理，根據(jù)所述數(shù)據(jù)包的目的地址或源地址確定所述數(shù)據(jù)包的傳輸方向；根據(jù)所述數(shù)據(jù)包的傳輸方向?qū)λ鰯?shù)據(jù)包進(jìn)行加解密處理。

進(jìn)一步地，所述根據(jù)所述數(shù)據(jù)包的目的地址或源地址確定所述數(shù)據(jù)包的傳輸方向包括：若所述數(shù)據(jù)包的目的地址屬于服務(wù)器地址范圍，確定所述數(shù)據(jù)包的傳輸方向?yàn)榇齻鬏斨练?wù)器；或者若所述數(shù)據(jù)包的源地址屬于服務(wù)器地址范圍，確定所述數(shù)據(jù)包的傳輸方向?yàn)榻邮兆苑?wù)器。

進(jìn)一步地，所述步驟c包括：根據(jù)處于用戶空間的所述數(shù)據(jù)包所使用的傳輸協(xié)議，確定所述數(shù)據(jù)包是否待加解密處理。

進(jìn)一步地，所述步驟c包括：根據(jù)處于用戶空間的所述數(shù)據(jù)包的文件類型，確定所述數(shù)據(jù)包是否待加解密處理。

根據(jù)本申請的另一個方面，提供了一種數(shù)據(jù)傳輸設(shè)備，其中，該設(shè)備包括：

第一裝置，用于通過網(wǎng)關(guān)接收待傳輸?shù)臄?shù)據(jù)包；

第二裝置，用于將所述數(shù)據(jù)包從內(nèi)核空間導(dǎo)入至用戶空間；