本公開屬于密碼應(yīng)用，尤其涉及透明加密方法、解密方法、裝置、電子設(shè)備及存儲介質(zhì)。

背景技術(shù)：

1、高鐵列控系統(tǒng)是高速鐵路列車安全、穩(wěn)定、有序運(yùn)行的大腦和中樞神經(jīng)，在高鐵列控系統(tǒng)網(wǎng)絡(luò)中采用了雙環(huán)網(wǎng)的冗余架構(gòu)模式，這種架構(gòu)保障了高鐵列控網(wǎng)絡(luò)的數(shù)據(jù)的高效、穩(wěn)定、安全、有序傳輸。此外在高鐵列控系統(tǒng)中，大都采用私有的rssp-i和rssp-ii專有的鐵路信號安全通信協(xié)議進(jìn)行數(shù)據(jù)傳輸，該協(xié)議通過序列號、時(shí)間戳、超時(shí)防護(hù)、源標(biāo)識、反饋報(bào)文、雙重報(bào)文等機(jī)制，防止數(shù)據(jù)發(fā)生重復(fù)、丟失、插入、錯(cuò)序、錯(cuò)碼、延遲等危險(xiǎn)情形，有效保障了高鐵列控系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?、穩(wěn)定性、可靠性，實(shí)現(xiàn)數(shù)據(jù)在高鐵了列控系統(tǒng)雙環(huán)網(wǎng)中高效、穩(wěn)定、安全流轉(zhuǎn)。

2、然而在現(xiàn)有鐵路信號安全通信協(xié)議中，未對傳輸數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)采用明文數(shù)據(jù)傳輸，雖然可通過雙重校驗(yàn)機(jī)制保障數(shù)據(jù)傳輸?shù)耐暾耘c正確性，但是無法保障數(shù)據(jù)傳輸?shù)谋Ｃ苄?，?dǎo)致攻擊者可通過截取鐵路信號安全數(shù)據(jù)網(wǎng)中明文數(shù)據(jù)，進(jìn)而竊聽等手段監(jiān)聽網(wǎng)絡(luò)中傳輸?shù)拿舾袛?shù)據(jù)，通過對這些敏感數(shù)據(jù)的分析，獲取列控系統(tǒng)核心資產(chǎn)狀態(tài)、線路等信息，從而威脅到信號安全數(shù)據(jù)網(wǎng)的安全運(yùn)行。

3、雖然可以在信號安全數(shù)據(jù)網(wǎng)中部署加密網(wǎng)關(guān)的方式實(shí)現(xiàn)信號安全數(shù)據(jù)網(wǎng)中數(shù)據(jù)傳輸?shù)谋Ｃ苄?，然而傳統(tǒng)的網(wǎng)關(guān)大都采用三層路由模式，通過串聯(lián)在信號安全數(shù)據(jù)網(wǎng)對上下行數(shù)據(jù)進(jìn)行加解密，雖實(shí)現(xiàn)了數(shù)據(jù)傳輸?shù)谋Ｃ苄?，然而這種方式有以下兩方面缺點(diǎn)，一方面是采用三層模式，需要對現(xiàn)網(wǎng)設(shè)備配置進(jìn)行大規(guī)模修改，修改了網(wǎng)絡(luò)原有的傳輸模式，缺少靈活性；另一方面是網(wǎng)關(guān)設(shè)備需要配對使用，且串聯(lián)在網(wǎng)絡(luò)中，一旦發(fā)生故障，將導(dǎo)致全網(wǎng)癱瘓。

4、有鑒于此，需要提出透明加密方法、解密方法、裝置、電子設(shè)備及存儲介質(zhì)。

技術(shù)實(shí)現(xiàn)思路

1、為解決上述問題，本公開提供了透明加密方法、解密方法、裝置、電子設(shè)備及存儲介質(zhì)，采用內(nèi)核協(xié)議棧的旁路技術(shù)和使用加解密配置表，在數(shù)據(jù)鏈路層對報(bào)文進(jìn)行加解密的判斷，無需業(yè)務(wù)更改，對業(yè)務(wù)透明。

2、第一方面，提供了一種自適應(yīng)透明加密方法，應(yīng)用在包括第一網(wǎng)卡nic1、加解密模塊和第二網(wǎng)卡nic2的網(wǎng)關(guān)中，包括：

3、第二網(wǎng)卡nic2接收包含明文數(shù)據(jù)的報(bào)文，利用內(nèi)核協(xié)議棧的旁路技術(shù)，將報(bào)文經(jīng)數(shù)據(jù)鏈路層直接提交至數(shù)據(jù)加解密模塊；

4、數(shù)據(jù)加解密模塊提取報(bào)文中的五元組信息，將五元組信息與加解密配置表中的信息相匹配，若匹配且需要加密，則對報(bào)文進(jìn)行加密處理，將加密處理后的報(bào)文發(fā)送給第一網(wǎng)卡nic1；若匹配且不需要加密，或者不匹配，則直接轉(zhuǎn)發(fā)給第一網(wǎng)卡nic1；其中，所述加解密配置表中包含五元組信息與是否需要加密的對應(yīng)關(guān)系；

5、第一網(wǎng)卡nic1發(fā)送來自數(shù)據(jù)加解密模塊的報(bào)文。

6、進(jìn)一步地，所述加解密配置表中還包含五元組信息與加解密算法的對應(yīng)關(guān)系；

7、數(shù)據(jù)加密模塊對報(bào)文進(jìn)行加密處理，包括：

8、數(shù)據(jù)加解密模塊利用提取的五元組信息和派生密鑰，生成加解密會話密鑰，所述派生密鑰是在各網(wǎng)關(guān)的啟動過程中，利用派生密鑰算法和設(shè)定的規(guī)則，對智能密鑰進(jìn)行派生計(jì)算得到的；

9、數(shù)據(jù)加解密模塊基于加解密會話密鑰，調(diào)用與提取的五元組信息對應(yīng)的加密算法對報(bào)文進(jìn)行加密。

10、進(jìn)一步地，數(shù)據(jù)加解密模塊利用提取的五元組信息和派生密鑰，生成加解密會話密鑰，包括：

11、數(shù)據(jù)加解密模塊將報(bào)文的五元組信息作為國密sm3哈希算法的輸入，生成鹽salt值；將派生密鑰作為國密sm3哈希算法的輸入，生成256位哈希值；將256位哈希值、salt值、設(shè)定的迭代次數(shù)、報(bào)文中數(shù)據(jù)塊的大小和設(shè)定的生成密鑰的長度作為密鑰衍生算法scrypt的輸入，生成加解密會話密鑰。

12、第二方面，提供一種自適應(yīng)透明解密方法，應(yīng)用在包括第一網(wǎng)卡nic1、加解密模塊和第二網(wǎng)卡nic2的網(wǎng)關(guān)中，包括：

13、第一網(wǎng)卡nic1接收包含密文數(shù)據(jù)的報(bào)文，利用內(nèi)核協(xié)議棧的旁路技術(shù)，將報(bào)文經(jīng)數(shù)據(jù)鏈路層直接提交至數(shù)據(jù)加解密模塊；

14、數(shù)據(jù)加解密模塊提取報(bào)文中的五元組信息，將五元組信息與加解密配置表中的信息相匹配，若匹配且需要解密，則對報(bào)文進(jìn)行解密處理，將解密處理后的報(bào)文發(fā)送給第二網(wǎng)卡nic2；若匹配且不需要解密，或者不匹配，則直接轉(zhuǎn)發(fā)給第二網(wǎng)卡nic2；其中，所述加解密配置表中包含五元組信息與是否需要加密的對應(yīng)關(guān)系；

15、第二網(wǎng)卡nic2發(fā)送來自數(shù)據(jù)加解密模塊的報(bào)文。

16、進(jìn)一步地，所述加解密配置表中還包含五元組信息與加解密算法的對應(yīng)關(guān)系；

17、數(shù)據(jù)加密模塊對報(bào)文進(jìn)行解密處理，包括：

18、數(shù)據(jù)加解密模塊利用提取的五元組信息和派生密鑰，生成加解密會話密鑰，所述派生密鑰是在各網(wǎng)關(guān)的啟動過程中，利用派生密鑰算法和設(shè)定的規(guī)則，對智能密鑰進(jìn)行派生計(jì)算得到的；

19、數(shù)據(jù)加解密模塊基于加解密會話密鑰，調(diào)用與提取的五元組信息對應(yīng)的解密算法對報(bào)文進(jìn)行解密。

20、進(jìn)一步地，數(shù)據(jù)加解密模塊利用提取的五元組信息和派生密鑰，生成加解密會話密鑰，包括：

21、數(shù)據(jù)加解密模塊將報(bào)文的五元組信息作為國密sm3哈希算法的輸入，生成salt值；將派生密鑰作為國密sm3哈希算法的輸入，生成256位哈希值；將256位哈希值、salt值、設(shè)定的迭代次數(shù)、數(shù)據(jù)塊的大小和設(shè)定的生成密鑰的長度作為密鑰衍生算法scrypt的輸入，生成加解密會話密鑰。

22、第三方面，提供了一種自適應(yīng)透明加密裝置，包括：第一網(wǎng)卡nic1、加解密模塊和第二網(wǎng)卡nic2；其中：

23、第二網(wǎng)卡nic2，用于接收包含明文數(shù)據(jù)的報(bào)文，利用內(nèi)核協(xié)議棧的旁路技術(shù)，將報(bào)文經(jīng)數(shù)據(jù)鏈路層直接提交至數(shù)據(jù)加解密模塊；

24、數(shù)據(jù)加解密模塊，用于提取報(bào)文中的五元組信息，將五元組信息與加解密配置表中的信息相匹配，若匹配且需要加密，則對報(bào)文進(jìn)行加密處理，將加密處理后的報(bào)文發(fā)送給第一網(wǎng)卡nic1；若匹配且不需要加密，或者不匹配，則直接轉(zhuǎn)發(fā)給第一網(wǎng)卡nic1；其中，所述加解密配置表中包含五元組信息與是否需要加密的對應(yīng)關(guān)系；

25、第一網(wǎng)卡nic1，用于發(fā)送來自數(shù)據(jù)加解密模塊的報(bào)文。

26、第四方面，提供了一種自適應(yīng)透明解密裝置，包括：第一網(wǎng)卡nic1、加解密模塊和第二網(wǎng)卡nic2；其中：

27、第一網(wǎng)卡nic1，用于接收包含密文數(shù)據(jù)的報(bào)文，利用內(nèi)核協(xié)議棧的旁路技術(shù)，將報(bào)文經(jīng)數(shù)據(jù)鏈路層直接提交至數(shù)據(jù)加解密模塊；

28、數(shù)據(jù)加解密模塊，用于提取報(bào)文中的五元組信息，將五元組信息與加解密配置表中的信息相匹配，若匹配且需要解密，則對報(bào)文進(jìn)行解密處理，將解密處理后的報(bào)文發(fā)送給第二網(wǎng)卡nic2；若匹配且不需要解密，或者不匹配，則直接轉(zhuǎn)發(fā)給第二網(wǎng)卡nic2；其中，所述加解密配置表中包含五元組信息與是否需要加密的對應(yīng)關(guān)系；

29、第二網(wǎng)卡nic2，用于發(fā)送來自數(shù)據(jù)加解密模塊的報(bào)文。

30、第五方面，提供了一種電子設(shè)備，包括處理器、通信接口、存儲器和通信總線，其中，處理器，通信接口和存儲器通過通信總線完成相互間的通信；

31、存儲器，用于存放計(jì)算機(jī)程序；

32、處理器，用于執(zhí)行存儲器上所存放的程序時(shí)，實(shí)現(xiàn)上述方法的步驟。

33、第六方面，提供了一種計(jì)算機(jī)可讀存儲介質(zhì)，所述計(jì)算機(jī)可讀存儲介質(zhì)內(nèi)存儲有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述方法的步驟。

34、與現(xiàn)有技術(shù)相比，本公開具有如下優(yōu)點(diǎn)：

35、1、本公開實(shí)施例的方案相較于傳統(tǒng)的加密網(wǎng)關(guān)，通過采用內(nèi)核協(xié)議棧的旁路技術(shù)，實(shí)現(xiàn)針對網(wǎng)卡接收到報(bào)文數(shù)據(jù)二層透明轉(zhuǎn)發(fā)及加解密，無需對業(yè)務(wù)進(jìn)行任何修改，直接將網(wǎng)關(guān)接入網(wǎng)絡(luò)即可實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的加解密；

36、2、同時(shí)在加密過程中基于會話五元組信息，自適應(yīng)實(shí)現(xiàn)對部分?jǐn)?shù)據(jù)加解密處理、部分?jǐn)?shù)據(jù)明文傳輸，具有很強(qiáng)的靈活性；

37、3、數(shù)據(jù)加解密過程中所使用的加解密會話密鑰，基于五元組信息生成，針對不同的會話有不同的加解密會話密鑰，最大限度保障了數(shù)據(jù)加解密傳輸過程中的安全性。

38、本公開的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實(shí)施本公開而了解。本公開的目的和其他優(yōu)點(diǎn)可通過在說明書、權(quán)利要求書以及附圖中所指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得。