本申请提供一种加解密处理方法、装置、系统以及数据保护网关,涉及通信技术领域。该方法包括:接收所述边缘数据保护网关发送的加密的第一业务报文;获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配;在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文进行解密处理后转发给所述目的服务器。该方案通过匹配报文的源终端MAC地址对源终端发往目的服务器的报文进行识别,以实现源终端与目的服务器之间的数据交互的加解密保护,从而使得本方案提供的加解密处理方法支持部署NAT的应用场景。
【技术实现步骤摘要】
加解密处理方法、装置、系统以及数据保护网关
本申请涉及通信
,具体而言,涉及一种加解密处理方法、装置、系统以及数据保护网关。
技术介绍
目前,在一些大规模企业网络中,其企业中心服务器所在的局域网与分支机构所在的局域网的终端设备之间需要跨越互联网通信。随着网络安全日渐重要,链路加密方案能够在不改变企业客户原有网络拓扑环境的基础上实现点到点的数据安全传输保护。链路加密方案在终端设备端和中心服务器端分别成对部署了加解密设备,即在终端设备端部署边缘数据保护网关(EdgeDataProtectionGateway,简称E-DPG),在中心服务器端部署中心数据保护网关(CentralDataProtectionGateway,简称C-DPG)。链路加解密方案通过配置匹配策略能够对指定终端向指定服务器发起的某个业务的数据交互报文进行加解密保护,而其他业务不受影响,大大解决了数据安全传输的问题,而且灵活度高。在现有常见的网络部署方案中,与边缘设备连接的终端数量众多,为了节省IP地址,通常在边缘设备端部署NAT设备。现有链路加密方案如果配置的匹配策略依赖于源IP地址,则C-DPG设备无法对NAT转换后的源IP地址进行正常匹配,所以无法对数据进行正常的解密,最终导致通信发生故障。
技术实现思路
本申请实施例的目的在于提供一种加解密处理方法、装置、系统以及数据保护网关。第一方面,本申请实施例提供了一种加解密处理方法,应用于网络系统中的中心数据保护网关,所述网络系统还包括边缘数据保护网关和NAT设备,所述边缘数据保护网关和所述NAT设备连接,所述方法包括:接收所述边缘数据保护网关发送的加密的第一业务报文;获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则;在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文进行解密处理后转发给所述目的服务器。在上述实现过程中,通过匹配报文的源终端MAC地址对源终端发往目的服务器的报文进行识别,使得本方案提供的加解密处理方法支持部署NAT的应用场景,进而使得中心数据保护网关能对部署NAT的场景中的加密报文进行正常解密,以实现源终端与目的服务器之间的数据交互的加解密保护。可选地,在所述源终端MAC地址、业务特征信息与所述解密策略匹配之后,所述方法还包括:获取所述第一业务报文对应的下行传输信息;根据所述下行传输信息确定对应的加密策略,以利用所述加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。在上述实现过程中,根据第一业务报文对应的下行传输信息可动态确定对应的加密策略,这样在报文的源IP地址改变时,可以及时更新对应的加密策略,以确保目的服务器与源终端之间的数据的加密传输。可选地,所述获取所述第一业务报文对应的下行传输信息,包括:获取所述第一业务报文对应的连接跟踪信息,所述连接跟踪信息为所述下行传输信息,所述下行传输信息包括源IP地址、目的IP地址、目的端口以及协议类型,所述目的IP地址为通过所述NAT设备对所述源终端的IP地址进行NAT转换后获得的。在上述实现过程中,通过获取第一业务报文对应的连接跟踪信息,即可实现对第一业务报文的相关信息进行转换,以获得其对应的下行传输信息,进而可动态确定对应的加密策略。可选地,所述方法还包括:在确定所述源终端的IP地址通过NAT转换后的IP地址改变,重新基于新的下行传输信息确定对应新的加密策略,以利用新的加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。在上述实现过程中,在NAT转换后的IP地址改变时,重新确定新的加密策略,则可以确保对目的服务器与源终端之间交互的数据进行正常加密处理。可选地,所述重新基于新的下行传输信息确定对应新的加密策略之后,所述方法还包括:删除原有的加密策略,从而可以防止对不需要加密的报文实施误操作。可选地,所述方法还包括:周期性的更新所述解密策略中的解密密钥以及所述加密策略中的加密密钥,从而可以进一步提高数据传输的安全性。可选地,所述网络系统还包括与所述中心数据保护网关连接的软件定义网络SDN控制器,所述根据所述下行传输信息确定对应的加密策略,包括:将所述下行传输信息发送给所述SDN控制器,以使所述SDN控制器根据所述下行传输信息生成对应的加密策略,并为所述中心数据保护网关配置对应的加密策略。在上述实现过程中,通过SDN控制器进行加密策略的配置,更加便捷。第二方面,本申请实施例提供了一种加解密处理装置,运行于网络系统中的中心数据保护网关,所述网络系统还包括边缘数据保护网关和NAT设备,所述边缘数据保护网关和所述NAT设备连接,所述装置包括:报文接收模块,用于接收所述边缘数据保护网关发送的加密的第一业务报文;匹配模块,用于获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则;解密处理模块,用于在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文进行解密处理后转发给所述目的服务器。可选地,所述装置还包括:加密处理模块,用于获取所述第一业务报文对应的下行传输信息;根据所述下行传输信息确定对应的加密策略,以利用所述加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。可选地,所述加密处理模块,用于获取所述第一业务报文对应的连接跟踪信息,所述连接跟踪信息为所述下行传输信息,所述下行传输信息包括源IP地址、目的IP地址、目的端口以及协议类型,所述目的IP地址为通过所述NAT设备对所述源终端的IP地址进行NAT转换后获得的。可选地,所述加密处理模块,还用于在确定所述源终端的IP地址通过NAT转换后的IP地址改变,重新基于新的下行传输信息确定对应新的加密策略,以利用新的加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。可选地,所述加密处理模块,还用于删除原有的加密策略。可选地,所述装置还包括:更新模块,用于周期性的更新所述解密策略中的解密密钥以及所述加密策略中的加密密钥。可选地,所述网络系统还包括与所述中心数据保护网关连接的软件定义网络SDN控制器,所述加密处理模块,用于将所述下行传输信息发送给所述SDN控制器,以使所述SDN控制器根据所述下行传输信息生成对应的加密策略,并为所述中心数据保护网关配置对应的加密策略。第三方面,本申请实施例提供一种网络系统,所述网络系统包括中心数据保护网关、边缘数据保护网关和本文档来自技高网...
【技术保护点】
1.一种加解密处理方法,其特征在于,应用于网络系统中的中心数据保护网关,所述网络系统还包括边缘数据保护网关和NAT设备,所述边缘数据保护网关和所述NAT设备连接,所述方法包括:/n接收所述边缘数据保护网关发送的加密的第一业务报文;/n获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则;/n在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文进行解密处理后转发给所述目的服务器。/n
【技术特征摘要】
1.一种加解密处理方法,其特征在于,应用于网络系统中的中心数据保护网关,所述网络系统还包括边缘数据保护网关和NAT设备,所述边缘数据保护网关和所述NAT设备连接,所述方法包括:
接收所述边缘数据保护网关发送的加密的第一业务报文;
获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则;
在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文进行解密处理后转发给所述目的服务器。
2.根据权利要求1所述的方法,其特征在于,在所述源终端MAC地址、业务特征信息与所述解密策略匹配之后,所述方法还包括:
获取所述第一业务报文对应的下行传输信息;
根据所述下行传输信息确定对应的加密策略,以利用所述加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。
3.根据权利要求2所述的方法,其特征在于,所述获取所述第一业务报文对应的下行传输信息,包括:
获取所述第一业务报文对应的连接跟踪信息,所述连接跟踪信息为所述下行传输信息,所述下行传输信息包括源IP地址、目的IP地址、目的端口以及协议类型,所述目的IP地址为通过所述NAT设备对所述源终端的IP地址进行NAT转换后获得的。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在确定所述源终端的IP地址通过NAT转换后的IP地址改变,重新基于新的下行传输信息确定对应新的加密策略,以利用新的加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。
5.根据权利要求4所述的方法,其特征在于,所述重新基于新的下行传输信息确定对应新的加密策略之后,所述方法还包括:
删除原有的加密策略。
6.根据权利要求2所述的方法,其特征在于,所述方法还包括:
周期性的更新所述解密策略...
【专利技术属性】
技术研发人员:杨大川,
申请(专利权)人:迈普通信技术股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。