一种业务加解密的管理方法、装置及系统制造方法及图纸

本申请提供一种业务加解密的管理方法、装置及系统，方法应用于局域网络中的SDN控制器，所述局域网络中还包括与所述SDN控制器连接的数据保护网关，所述方法包括：接收所述数据保护网关发送的所述数据保护网关的设备认证信息；利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信；若确定所述数据保护网关可信，为所述数据保护网关配置加解密业务报文时所使用的加解密策略。由于SDN控制器可以对局域网中的数据保护网关的可信进行认证，并在认证通过后才为数据保护网关配置业务的加解密策略，使得每个进行加解密的数据保护网关都是安全可信的，进一步提高网络的安全性。

【技术实现步骤摘要】
一种业务加解密的管理方法、装置及系统
本申请涉及通信
，具体而言，涉及一种业务加解密的管理方法、装置及系统。
技术介绍
目前，可以将企业的数据业务部署到局域网中，以确保企业数据的安全。但在一些大规模企业中，其企业中心所在的局域网与分支机构所在的局域网之间需要跨越互联网通信例如跨越IP(InternetProtocol，互联网协议地址)/MPLS(Multi-ProtocolLabelSwitching，多协议标签交换)网络。在这种情况下，为确保企业数据的安全，可以在互联网出口部署IPsecVPN网关或者SSLVPN网关，以通过IPsecVPN网关或者SSLVPN网关，加密从局域网发往互联网的企业数据，或者将从互联网接收的企业数据解密。显然，这种互联网出口和出口之间的“点到点”数据加密方式过于简单，安全性不够高。
技术实现思路
本申请实施例的目的在于提供一种业务加解密的管理方法、装置及系统，用以提高网络的安全性。第一方面，本申请实施例提供了一种业务加解密的管理方法，应用于局域网络中的SDN控制器，所述局域网络中还包括与所述SDN控制器连接的数据保护网关，所述方法包括：接收所述数据保护网关发送的所述数据保护网关的设备认证信息；利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信；若确定所述数据保护网关可信，为所述数据保护网关配置加解密业务报文时所使用的加解密策略。在本申请实施例中，由于SDN控制器可以对局域网中的数据保护网关的可信度进行认证，并在认证通过后才为数据保护网关配置业务的加解密策略，使得每个进行加解密的数据保护网关都是安全可信的，进一步提高网络的安全性。结合第一方面，在第一种可能的实现方式中，利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信，包括：判断所述设备认证信息中是否携带有所述SDN控制器预先为所述数据保护网关分配的预共享密钥；若携带有所述预共享密钥，判断所述预共享密钥是否被篡改；若未篡改，利用所述设备认证信息中携带的所述数据保护网关申请证书所需的信息，向CA服务器申请所述数据保护网关的设备证书，并判断所述设备证书是否申请成功，其中，所述设备证书申请成功表示所述数据保护网关可信。在本申请实施例中，在为数据保护网关申请证书前，先利用SDN控制器预先为数据保护网关分配的预共享密钥对该数据保护网关的可信进行认证，可以确保申请证书的数据保护网关都是SDN控制器认为可信的设备，进一步提高安全性。结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，为所述数据保护网关配置加解密业务报文时所使用的加解密策略，包括：确定出与所述数据保护网关的业务类型对应的所述加解密策略，将所述加解密策略配置到所述数据保护网关。在本申请实施例中，将加密的加解密策略配置给数据保护网关，可以确保配置过程中的安全性，防止加解密策略被窃取并破解。结合第一方面的第二种可能的实现方式，在第三种可能的实现方式中，将所述加解密策略配置到所述数据保护网关，包括：利用所述CA服务器为所述设备证书分配的密钥加密所述加解密策略，将加密后的加解密策略发送给所述数据保护网关，以使所述数据保护网关利用所述分配的密钥解密所述加密后的加解密策略，并配置所述加解密策略。在本申请实施例中，由于设备证书申请成功后，数据保护网关可以持有CA服务器为设备证书分配的密钥，那么采用CA服务器为设备证书分配的密钥加密加解密策略可以便于数据保护网关解密。结合第一方面，在第四种可能的实现方式中，在为所述数据保护网关配置加解密业务报文时所使用的加解密策略之后，所述方法还包括：周期性的更新所述加解密策略中用于加解密的密钥，其中，任意两个周期对应的所述密钥均不同。在本申请实施例中，通过周期性的更新加解密策略中用于加解密的密钥，可以进一步提高加解密的安全性。结合第一方面，在第五种可能的实现方式中，在判断所述数据保护网关是否可信之后，所述方法还包括：若确定不可信，将所述数据保护网关从所述局域网络中删除。在本申请实施例中，通过将不可信的数据保护网关从局域网络中删除，可以避免不可信的数据保护网关破坏局域网络的安全。第二方面，本申请实施例提供了一种业务加解密的管理方法，应用于局域网络中的数据保护网关，所述局域网络中还包括与所述数据保护网关连接的SDN控制器，所述方法包括：向所述SDN控制器发送自身的设备认证信息，以使所述SDN控制器利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信；在所述SDN控制器确定所述数据保护网关可信后，接收所述SDN控制器下发的加解密策略；利用所述加解密策略对接收到的业务报文进行加解密。在本申请实施例中，由于SDN控制器可以对局域网中的数据保护网关的可信进行认证，并在认证通过后才为数据保护网关配置业务的加解密策略。这样，局域网络中，每个进行加解密的数据保护网关都是安全可信的，从而进一步提高网络的安全性。结合第二方面，在第一种可能的实现方式中，利用所述加解密策略对接收到的业务报文进行加解密，包括：接收客户端发送的所述业务报文；利用所述加解密策略，对所述业务报文携带的业务内容进行加密，以及在所述业务报文中添加策略加密头部，获得处理后的业务报文；将所述处理后的业务报文发送到所述局域网络中对端的数据保护网关。在本申请实施例中，由于对业务报文的加密格式是在业务报文中添加策略加密头部，并不改变业务报文原有的以太头部、IP头部和TCP(TransmissionControlProtocol传输控制协议)/UDP(UserDatagramProtocol，用户数据报协议)头部，故无需对原有的网络结构进行调整，实现无感知的提高网络安全性。结合第二方面的第一种可能的实现方式，在第二种可能的实现方式中，利用所述加解密策略，对所述业务报文携带的业务内容进行加密，以及在所述业务报文中添加策略加密头部，获得处理后的业务报文，包括：利用所述加解密策略，将所述业务内容加密成密文，获得携带有所述密文的第一业务报文，以及压缩所述密文，获得携带有所述压缩的密文的第二业务报文；若确定所述压缩的密文与需要添加的所述策略加密头部的第一长度和小于所述业务内容的长度，在所述第二业务报文中添加所述策略加密头部，通过添加所述压缩后的密文的内容而将所述第一长度增加到与所述业务内容的长度相同，获得所述处理后的业务报文；若确定所述第一长度和大于所述业务内容的长度，且确定所述第一业务报文与所述策略加密头部的第二长度和小于等于预设的长度阈值，根据所述第二长度和对应修改所述第一业务报文的IP头部和TCP头部中的长度字段，获得所述处理后的业务报文；若确定所述第一长度和大于所述业务内容的长度，且确定所述第二长度和大于所述长度阈值，生成与所述第一业务报文对应的两个所述处理后的本文档来自技高网...

【技术保护点】
1.一种业务加解密的管理方法，其特征在于，应用于局域网络中的SDN控制器，所述局域网络中还包括与所述SDN控制器连接的数据保护网关，所述方法包括：/n接收所述数据保护网关发送的所述数据保护网关的设备认证信息；/n利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信；/n若确定所述数据保护网关可信，为所述数据保护网关配置加解密业务报文时所使用的加解密策略。/n

【技术特征摘要】
1.一种业务加解密的管理方法，其特征在于，应用于局域网络中的SDN控制器，所述局域网络中还包括与所述SDN控制器连接的数据保护网关，所述方法包括：
接收所述数据保护网关发送的所述数据保护网关的设备认证信息；
利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信；
若确定所述数据保护网关可信，为所述数据保护网关配置加解密业务报文时所使用的加解密策略。


2.根据权利要求1所述业务加解密的管理方法，其特征在于，利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信，包括：
判断所述设备认证信息中是否携带有所述SDN控制器预先为所述数据保护网关分配的预共享密钥；
若携带有所述预共享密钥，判断所述预共享密钥是否被篡改；
若未篡改，利用所述设备认证信息中携带的所述数据保护网关申请证书所需的信息，向CA服务器申请所述数据保护网关的设备证书，并判断所述设备证书是否申请成功，其中，所述设备证书申请成功表示所述数据保护网关可信。


3.根据权利要求2所述业务加解密的管理方法，其特征在于，为所述数据保护网关配置加解密业务报文时所使用的加解密策略，包括：
确定出与所述数据保护网关的业务类型对应的所述加解密策略，将所述加解密策略配置到所述数据保护网关。


4.根据权利要求3所述业务加解密的管理方法，其特征在于，将所述加解密策略配置到所述数据保护网关，包括：
利用所述CA服务器为所述设备证书分配的密钥加密所述加解密策略，将加密后的加解密策略发送给所述数据保护网关，以使所述数据保护网关利用所述分配的密钥解密所述加密后的加解密策略，并配置所述加解密策略。


5.根据权利要求1所述业务加解密的管理方法，其特征在于，在为所述数据保护网关配置加解密业务报文时所使用的加解密策略之后，所述方法还包括：
周期性的更新所述加解密策略中用于加解密的密钥，其中，任意两个周期对应的所述密钥均不同。


6.根据权利要求1所述业务加解密的管理方法，其特征在于，在判断所述数据保护网关否可信之后，所述方法还包括：
若确定不可信，将所述数据保护网关从所述局域网络中删除。


7.一种业务加解密的管理方法，其特征在于，应用于局域网络中的数据保护网关，所述局域网络中还包括与所述数据保护网关连接的SDN控制器，所述方法包括：
向所述SDN控制器发送自身的设备认证信息，以使所述SDN控制器利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信；
在所述SDN控制器确定所述数据保护网关可信后，接收所述SDN控制器下发的加解密策略；
利用所述加解密策略对接收到的业务报文进行加解密。


8.根据权利要求7所述业务加解密的管理方法，其特征在于，利用所述加解密策略对接收到的业务报文进行加解密，包括：
接收客户端发送的所述业务报文；
利用所述加解密策略，对所述业务报文携带的业务内容进行加密，以及在所述业务报文中添加策略加密头部，获得处理后的业务报文；
将所述处理后的业务报文发送到所述局域网络中对端的数据保护网关。


9.根据权利要求8所述业务加解密的管理方法，其特征在于，利用所述加解密策略，对所述业务报文携带的业务内容进行加密，以及在所述业务报文中添加策略加密头部，获得处理后的业务报文，包括：
利用所述加解密策略，将所述业务内容加密成密文，获得携带有所述密文的第一业务报文，以及压缩所述密文，获得携带有所述压缩的密文的第二业务报文；
若确定所述压缩的密文与需要添加的所述策略加密头部的第一长度和小于所述业务内容的长度，在所述第二业务报文中添加所述策略加密头部，通过添加所述压缩后的密文的内容而将所述第一长度增加到与所...

【专利技术属性】
技术研发人员：范浩，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：四川;51