[发明专利]加解密处理方法、装置、系统以及数据保护网关

权利要求书

1.一种加解密处理方法，其特征在于，应用于网络系统中的中心数据保护网关，所述网络系统还包括边缘数据保护网关和NAT设备，所述边缘数据保护网关和所述NAT设备连接，所述方法包括：

接收所述边缘数据保护网关发送的加密的第一业务报文；

获取所述第一业务报文中的源终端MAC地址和业务特征信息，并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配，所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则，其中，所述业务特征信息包括目的IP地址、协议类型和目的端口号，所述匹配规则用于指示将源MAC地址与多个预设MAC地址进行匹配以及将所述业务特征信息与预设业务特征信息进行匹配；

在所述源终端MAC地址、业务特征信息与所述解密策略匹配时，对所述第一业务报文按照对应的解密算法进行解密处理后转发给所述目的服务器，所述解密算法是基于预先配置的各个预设MAC地址与各个解密算法之间的对应关系确定的。

2.根据权利要求1所述的方法，其特征在于，在所述源终端MAC地址、业务特征信息与所述解密策略匹配之后，所述方法还包括：

获取所述第一业务报文对应的下行传输信息；

根据所述下行传输信息确定对应的加密策略，以利用所述加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。

3.根据权利要求2所述的方法，其特征在于，所述获取所述第一业务报文对应的下行传输信息，包括：

获取所述第一业务报文对应的连接跟踪信息，所述连接跟踪信息为所述下行传输信息，所述下行传输信息包括源IP地址、目的IP地址、目的端口以及协议类型，所述目的IP地址为通过所述NAT设备对所述源终端的IP地址进行NAT转换后获得的。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

在确定所述源终端的IP地址通过NAT转换后的IP地址改变，重新基于新的下行传输信息确定对应新的加密策略，以利用新的加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。

5.根据权利要求4所述的方法，其特征在于，所述重新基于新的下行传输信息确定对应新的加密策略之后，所述方法还包括：

删除原有的加密策略。

6.根据权利要求2所述的方法，其特征在于，所述方法还包括：

周期性的更新所述解密策略中的解密密钥以及所述加密策略中的加密密钥。

7.根据权利要求2所述的方法，其特征在于，所述网络系统还包括与所述中心数据保护网关连接的软件定义网络SDN控制器，所述根据所述下行传输信息确定对应的加密策略，包括：

将所述下行传输信息发送给所述SDN控制器，以使所述SDN控制器根据所述下行传输信息生成对应的加密策略，并为所述中心数据保护网关配置对应的加密策略。

8.一种加解密处理装置，其特征在于，运行于网络系统中的中心数据保护网关，所述网络系统还包括边缘数据保护网关和NAT设备，所述边缘数据保护网关和所述NAT设备连接，所述装置包括：

报文接收模块，用于接收所述边缘数据保护网关发送的加密的第一业务报文；

匹配模块，用于获取所述第一业务报文中的源终端MAC地址和业务特征信息，并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配，所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则，其中，所述业务特征信息包括目的IP地址、协议类型和目的端口号，所述匹配规则用于指示将源MAC地址与多个预设MAC地址进行匹配以及将所述业务特征信息与预设业务特征信息进行匹配；

解密处理模块，用于在所述源终端MAC地址、业务特征信息与所述解密策略匹配时，对所述第一业务报文按照对应的解密算法进行解密处理后转发给所述目的服务器，所述解密算法是基于预先配置的各个预设MAC地址与各个解密算法之间的对应关系确定的。