非国密系统访问国密系统的方法及装置

摘要

本公开的实施例提供了一种非国密系统访问国密系统的方法及装置；应用于计算机信息安全领域。所述方法包括截获非国密系统发送至国密系统的第一数据包并将其转换成国密系统可识别的第二数据包；国密系统接收第二数据包并对其解密，根据解密后的第二数据包生成响应数据包，将响应数据包加密生成第三数据包，并将第三数据包返回非国密系统；截获国密系统发送至非国密系统的第三数据包并将其转换成非国密系统可识别的第四数据包；非国密系统接收第四数据包并对其解密。以此方式，可以实现非国密系统访问国密系统中的数据。

说明书

技术领域

本公开涉及计算机信息安全领域，尤其涉及一种非国密系统访问国密系统的方法及装置。

背景技术

随着国密系统的增多，很多非国密系统不支持国密SSL加密体系，导致网站访问的问题日益突出，很多政府、银行、科研机构等仍运行着面向非国密系统开发的应用，因此如何让非国密系统访问国密系统成为了一个亟需解决的问题。

发明内容

本公开提供了一种非国密系统访问国密系统的方法、装置、设备以及存储介质。

根据本公开的第一方面，提供了一种非国密系统访问国密系统的方法。该方法包括：

调用内核数据包抓取程序，以便截获非国密系统发送至国密系统的第一数据包；

调用转换程序，以便将第一数据包转换成国密系统可识别的第二数据包；

将第二数据包发送至国密系统，以便国密系统对第二数据包进行解密并根据解密后的第二数据包生成响应数据包，以及将响应数据包进行加密生成第三数据包，并将第三数据包返回非国密系统；

调用内核数据包抓取程序，以便截获国密系统发送至非国密系统的第三数据包；

调用转换程序，以便将第三数据包转换成非国密系统可识别的第四数据包；

将第四数据包发送至非国密系统，以便非国密系统对第四数据包进行解密。

在第一方面的一些可实现方式中，内核数据包抓取程序通过ebpf技术开发。

在第一方面的一些可实现方式中，调用转换程序，以便将第一数据包转换成国密系统可识别的第二数据包，包括：

调用转换程序，以便转换程序利用非国密私钥通过RSA算法解密第一数据包，利用国密公钥对已解密的第一数据包通过国密系统使用的加解密算法进行加密并生成第二数据包；其中，

第二数据包携带访问请求数据；

国密系统使用的加解密算法包括但不限于SM2算法、SM3算法、SM4算法。

在第一方面的一些可实现方式中，对第二数据包进行解密并根据解密后的第二数据包生成响应数据包，以及将响应数据包进行加密生成第三数据包，包括：

利用国密私钥通过国密系统使用的加解密算法对第二数据包进行解密并根据解密后的第二数据包生成响应数据包，利用国密公钥通过国密系统使用的加解密算法对响应数据包进行加密，生成第三数据包；

响应数据包携带请求响应数据和非国密系统需要访问的数据。

在第一方面的一些可实现方式中，调用转换程序，以便将第三数据包转换成非国密系统可识别的第四数据包，包括：

调用转换程序，以便转换程序利用国密公钥通过国密系统使用的加解密算法解密第三数据包，利用非国密公钥通过RSA算法对已解密的第三数据包进行加密，生成第四数据包。

在第一方面的一些可实现方式中，对第四数据包进行解密包括：

利用非国密私钥通过RSA算法对第四数据包进行解密。

根据本公开的第二方面，提供了一种非国密系统访问国密系统的装置。该装置包括：

访问请求模块，用于调用内核数据包抓取程序，以便截获非国密系统发送至国密系统的第一数据包；

调用转换程序，以便将第一数据包转换成国密系统可识别的第二数据包；

请求响应模块，用于将第二数据包发送至国密系统，以便国密系统对第二数据包进行解密并根据解密后的第二数据包生成响应数据包，以及将响应数据包进行加密生成第三数据包，并将第三数据包返回非国密系统；

数据访问模块，用于调用内核数据包抓取程序，以便截获国密系统发送给非国密系统的第三数据包；

调用转换程序，以便将第三数据包转换成非国密系统可识别的第四数据包；

将第四数据包发送至非国密系统，以便非国密系统对第四数据包进行解密。

根据本公开的第三方面，提供了一种电子设备。该电子设备包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行如上所述的方法。

根据本公开的第四方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，计算机指令用于使计算机执行如上所述的方法。

在本公开中，通过截获非国密系统发送至国密系统的第一数据包并将其转换成国密系统可识别的第二数据包；国密系统接收第二数据包并对其解密，根据解密后的第二数据包生成响应数据包，将响应数据包加密生成第三数据包，并将第三数据包返回非国密系统；截获国密系统发送至非国密系统的第三数据包并将其转换成非国密系统可识别的第四数据包；非国密系统接收第四数据包并对其解密；可以实现非国密系统访问国密系统中的数据。

应当理解，发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征，亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。

附图说明

结合附图并参考以下详细说明，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案，不构成对本公开的限定在附图中，相同或相似的附图标记表示相同或相似的元素，其中：

图1示出了本公开实施例提供的一种非国密系统访问国密系统的方法流程图；

图2示出了本公开实施例提供的一种非国密系统访问国密系统的装置结构图；

图3示出了能够实施本公开的实施例的示例性电子设备的结构图。

具体实施方式

为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本公开保护的范围。

另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

针对背景技术中出现的问题，本公开实施例提供了一种非国密系统访问国密系统的方法及装置。具体地，通过截获非国密系统发送至国密系统的第一数据包并将其转换成国密系统可识别的第二数据包；国密系统接收第二数据包并对其解密，根据解密后的第二数据包生成响应数据包，将响应数据包加密生成第三数据包，并将第三数据包返回非国密系统；截获国密系统发送至非国密系统的第三数据包并将其转换成非国密系统可识别的第四数据包；非国密系统接收第四数据包并对其解密；可以实现非国密系统访问国密系统中的数据。

下面结合附图，通过具体的实施例对本公开实施例提供的非国密系统访问国密系统的方法及装置进行详细地说明。

图1示出了本公开实施例提供的一种非国密系统访问国密系统的方法流程图，访问方法100包括以下步骤：

S110，调用内核数据包抓取程序，以便截获非国密系统发送至国密系统的第一数据包。

在一些实施例中，内核数据包抓取程序通过ebpf技术开发。

在一些实施例中，内核数据包抓取程序的方法如下：

使用套接字API打开非国密系统到国密系统的网络接口，以便读取从该接口接收到的数据包；

根据需要设置过滤条件，例如可以根据IP地址、端口号、协议类型等设置过滤条件，以便截获符合条件的数据包，即第一数据包；

使用套接字API从上述网络接口中读取第一数据包，并将其存储到内存中，以便进行后续分析；

查看数据包的源地址、目标地址、协议类型、数据内容等对截获的第一数据包进行分析，以确定是该数据包是非国密系统发送至国密系统的第一数据包。

在一些实施例中，第一数据包携带访问请求数据。

S120，调用转换程序，以便将第一数据包转换成国密系统可识别的第二数据包。

在一些实施例中，转换程序利用非国密私钥通过RSA算法解密第一数据包，利用国密公钥对已解密的第一数据包通过国密系统使用的加解密算法进行加密并生成第二数据包；其中，

第二数据包携带访问请求数据；

国密系统使用的加解密算法包括但不限于SM2算法、SM3算法、SM4算法。

S130，将第二数据包发送至国密系统，以便国密系统对第二数据包进行解密并根据解密后的第二数据包生成响应数据包，以及将响应数据包进行加密生成第三数据包，并将第三数据包返回非国密系统。

在一些实施例中，利用国密私钥通过国密系统使用的加解密算法对第二数据包进行解密并根据解密后的第二数据包生成响应数据包，利用国密公钥通过国密系统使用的加解密算法对响应数据包进行加密，生成第三数据包；其中，

响应数据包携带请求响应数据和非国密系统需要访问的数据。

S140，调用内核数据包抓取程序，以便截获国密系统发送至非国密系统的第三数据包。

在一些实施例中，此处内核数据包抓取程序的方法与方法S110中内核数据包抓取程序方法的原理相同，在此不再赘述。

S150，调用转换程序，以便将第三数据包转换成非国密系统可识别的第四数据包。

在一些实施例中，转换程序利用国密公钥通过国密系统使用的加解密算法解密第三数据包，利用非国密公钥通过RSA算法对已解密的第三数据包进行加密，生成第四数据包。

在一些实施例中，利用国密公钥通过国密系统使用的加解密算法对响应数据包进行加密生成第三数据包与利用国密公钥通过国密系统使用的加解密算法解密第三数据包，属于对称加密方式。

S160，将第四数据包发送至非国密系统，以便非国密系统对第四数据包进行解密。

在一些实施例中，利用非国密私钥通过RSA算法对第四数据包进行解密。

在一些实施例中，RSA算法的加解密过程如下：

选取两个质数p和q，计算其乘积n，即n＝p*q；

选取整数e，使e与((p-1)*(q-1))互质，并计算e关于((p-1)*(q-1))的模反元素d，使d*e＝1(mod((p-1)*(q-1)))；

获取公钥(e,n)和私钥(d,n)；

通过RSA算法加密时，明文m使用非国密公钥加密，得到密文c，其中，c＝m^e(modn)，m^e(mod n)表示m的e次方除以n的余数；

通过RSA算法解密时，使用非国密私钥对密文进行解密，得到明文m，即m＝c^d(modn)，c^d(mod n)表示c的d次方除以n的余数。

以上是关于方法实施例的介绍，以下通过采用该方法的具体实施例，对本公开所述方案进行进一步说明。

以国密系统使用的加解密算法为SM2算法为例，说明SM2算法的加解密过程：

选取一个椭圆曲线作为函数，以椭圆曲线上的点G作为基点；

选取一个随机数K作为私钥，计算公钥P，即P＝kG，并将公钥P的X坐标作为加密密钥；

将明文转换为椭圆曲线上的点M，选取一个随机数r作为加密算法的参数，计算密文C1＝rG、C2＝M+rP，得到加密后的密文C1、C2；

解密密文时，计算S＝KC1，并将S的X坐标作为解密密钥；

计算M＝C2-S，得到解密后的明文在椭圆曲线上的点M；

将点M转换为明文。

根据本公开的实施例，实现了以下技术效果：

通过截获非国密系统发送至国密系统的第一数据包并将其转换成国密系统可识别的第二数据包；国密系统接收第二数据包并对其解密，根据解密后的第二数据包生成响应数据包，将响应数据包加密生成第三数据包，并将第三数据包返回非国密系统；截获国密系统发送至非国密系统的第三数据包并将其转换成非国密系统可识别的第四数据包；非国密系统接收第四数据包并对其解密；可以实现非国密系统访问国密系统中的数据。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本公开并不受所描述的动作顺序的限制，因为依据本公开，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本公开所必须的。

以上是关于方法实施例的介绍，以下通过装置实施例，对本公开所述方案进行进一步说明。

图2示出了本公开实施例提供的一种非国密系统访问国密系统的装置结构图，装置200包括：

访问请求模块210，用于调用内核数据包抓取程序，以便截获非国密系统发送至国密系统的第一数据包；

调用转换程序，以便将第一数据包转换成国密系统可识别的第二数据包。

请求响应模块220，用于将第二数据包发送至国密系统，以便国密系统对第二数据包进行解密并根据解密后的第二数据包生成响应数据包，以及将响应数据包进行加密生成第三数据包，并将第三数据包返回非国密系统。

数据访问模块230，用于调用内核数据包抓取程序，以便截获国密系统发送给非国密系统的第三数据包；

调用转换程序，以便将第三数据包转换成非国密系统可识别的第四数据包；

将第四数据包发送至非国密系统，以便非国密系统对第四数据包进行解密。

在一些实施例中，访问请求模块210具体用于：

内核数据包抓取程序通过ebpf技术开发；

调用转换程序，以便转换程序利用非国密私钥通过RSA算法解密第一数据包，利用国密公钥对已解密的第一数据包通过国密系统使用的加解密算法进行加密并生成第二数据包；其中，

第二数据包携带访问请求数据；

国密系统使用的加解密算法包括但不限于SM2算法、SM3算法、SM4算法。

在一些实施例中，请求响应模块220具体用于：

利用国密私钥通过国密系统使用的加解密算法对第二数据包进行解密并根据解密后的第二数据包生成响应数据包，利用国密公钥通过国密系统使用的加解密算法对响应数据包进行加密，生成第三数据包；

响应数据包携带请求响应数据和非国密系统需要访问的数据。

在一些实施例中，数据访问模块230具体用于：

调用转换程序，以便转换程序利用国密公钥通过国密系统使用的加解密算法解密第三数据包，利用非国密公钥通过RSA算法对已解密的第三数据包进行加密，生成第四数据包；

利用非国密私钥通过RSA算法对第四数据包进行解密。

可以理解的是，图2所示装置200中的各个模块/单元具有实现本公开实施例提供的访问方法100中的各个步骤的功能，并能达到其相应的技术效果，为了简洁，在此不再赘述。

图3示出了能够实施本公开的实施例的示例性电子设备的结构图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。

如图3所示，电子设备300包括计算单元301，其可以根据存储在只读存储器(ROM)302中的计算机程序或者从存储单元308加载到随机访问存储器(RAM)303中的计算机程序，来执行各种适当的动作和处理。在RAM303中，还可存储电子设备300操作所需的各种程序和数据。计算单元301、ROM302以及RAM303通过总线304彼此相连。I/O接口305也连接至总线304。

电子设备300中的多个部件连接至I/O接口305，包括：输入单元306，例如键盘、鼠标等；输出单元307，例如各种类型的显示器、扬声器等；存储单元308，例如磁盘、光盘等；以及通信单元309，例如网卡、调制解调器、无线通信收发机等。通信单元309允许电子设备300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

计算单元301可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元301的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元301执行上文所描述的各个方法和处理，例如方法100。例如，在一些实施例中，方法100可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元308。在一些实施例中，计算机程序的部分或者全部可以经由ROM302和/或通信单元309而被载入和/或安装到电子设备300上。当计算机程序加载到RAM303并由计算单元301执行时，可以执行上文描述的方法100的一个或多个步骤。备选地，在其他实施例中，计算单元301可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行方法100。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

需要注意的是，本公开还提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，计算机指令用于使计算机执行方法100，并达到本公开实施例执行其方法达到的相应技术效果，为简洁描述，在此不再赘述。

为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)和互联网。

计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。