[发明专利]加密装置、解密装置及判断报文是否要加密或解密的方法

说明书

本发明公开了一种加密装置、解密装置及判断报文是否要加密或解密的方法，包括第一检测模块和加密模块，其中，所述第一检测模块，用于对报文进行深度报文检测分析，根据分析结果判断其是否需要加密，将需要加密的报文发送至加密模块；所述加密模块，用于接收需要加密的报文并进行加密。进一步地，所述加密模块还用于，为加密后的报文打上加密标签。本发明通过对报文进行深度报文检测分析，判断其是否需要进行加解密操作，在保证信息同样安全的前提下，大大减少加解密的工作量，从而能够有效地提升加解密的效率。

技术领域

本发明涉及通信技术领域，特别涉及一种加密装置、解密装置及判断报文是否要加密或解密的方法。

背景技术

随着计算机网络的不断发展，全球信息化已经成为人类发展的大趋势。但由于计算机网络具有联接形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。而保障信息安全的最常用方法就是对传输信息进行加密，即在信源处利用特定的加密算法进行信息加密，传输加密后的信息，然后在接收端进行信息的解密，最终获取信息的真实内容。这样即使信息在传输过程中被窃取，也能够保证信息的安全性。

图1为现有的数据传输加解密方法示意图。参见图1，同一个网络的发送端共享一个加密机，当某一个发送端发送数据时，加密机根据报文的五元组信息提取需要进行加密的报文，加密后发送到外部网络；在接收端，解密机根据报文的五元组信息提取加密后的报文进行解密，发送给相应的接收端。

由于加密机只根据五元组或七元组信息识别报文(所述五元组信息包括源IP地址、源端口、目的IP地址、目的端口和协议号；所述七元组信息包括接口索引、源IP地址、源端口号、目的IP地址、目的端口号、协议号和服务类型(ToS))，而且不同的应用产生的报文源端口和目的端口覆盖范围广，甚至有端口复用的情况，这样导致同一个终端产生的绝大部分报文五元组或七元组信息相似。因此，加密机基本上对某个发送端产生的所有报文都执行了加密操作；同样的，解密机基本上对该发送端产生的所有报文执行了解密操作。

由此可见，现有的数据传输加解密方法使用报文五元组或七元组信息匹配，过于简单，匹配粒度太大，导致大量安全级别低的网络数据也执行了加密操作，大大增加了不必要的资源消耗和时间浪费。

此外，随着网络应用层出不穷，对等网络(Peer to Peer，P2P)、网络游戏、IPTV、WEBTV等新兴业务，占用了互联网大部分带宽，实际上，用户对该部分数据，完全没有数据安全性的要求；而用户关心的重要数据，如邮件、账号登陆、文件传输等，真正需要保证传输安全的流量则占比很小。此时，加解密的性能已经成为数据传输速率的一个瓶颈，因此，寻找一个既能保证数据传输安全又可以快速加解密的方法迫在眉睫。

发明内容

为了解决上述技术问题，本发明提供了一种加密装置、解密装置及判断报文是否要加密或解密的方法，能够有效提升数据传输时加解密的效率。

为了达到本发明目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种加密装置，包括第一检测模块和加密模块，其中，

所述第一检测模块，用于对报文进行深度报文检测分析，根据分析结果判断其是否需要加密，将需要加密的报文发送至加密模块；

所述加密模块，用于接收需要加密的报文并对其进行加密。

进一步地，所述加密模块还用于：为加密后的报文打上加密标签。

进一步地，所述加密模块为加密后的报文打上加密标签，具体为：设置报文的VLANPriority字段和/或DSCP字段为预先约定的值。

进一步地，所述第一检测模块对报文进行深度报文检测分析，具体为：通过与预先存储的协议特征库进行匹配，确定报文的业务类型。