[发明专利]加解密处理方法、装置、系统以及数据保护网关

说明书

本申请提供一种加解密处理方法、装置、系统以及数据保护网关，涉及通信技术领域。该方法包括：接收所述边缘数据保护网关发送的加密的第一业务报文；获取所述第一业务报文中的源终端MAC地址和业务特征信息，并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配；在所述源终端MAC地址、业务特征信息与所述解密策略匹配时，对所述第一业务报文进行解密处理后转发给所述目的服务器。该方案通过匹配报文的源终端MAC地址对源终端发往目的服务器的报文进行识别，以实现源终端与目的服务器之间的数据交互的加解密保护，从而使得本方案提供的加解密处理方法支持部署NAT的应用场景。

技术领域

本申请涉及通信技术领域，具体而言，涉及一种加解密处理方法、装置、系统以及数据保护网关。

背景技术

目前，在一些大规模企业网络中，其企业中心服务器所在的局域网与分支机构所在的局域网的终端设备之间需要跨越互联网通信。随着网络安全日渐重要，链路加密方案能够在不改变企业客户原有网络拓扑环境的基础上实现点到点的数据安全传输保护。链路加密方案在终端设备端和中心服务器端分别成对部署了加解密设备，即在终端设备端部署边缘数据保护网关(Edge Data Protection Gateway，简称E-DPG)，在中心服务器端部署中心数据保护网关(Central Data Protection Gateway，简称C-DPG)。链路加解密方案通过配置匹配策略能够对指定终端向指定服务器发起的某个业务的数据交互报文进行加解密保护，而其他业务不受影响，大大解决了数据安全传输的问题，而且灵活度高。

在现有常见的网络部署方案中，与边缘设备连接的终端数量众多，为了节省IP地址，通常在边缘设备端部署NAT设备。现有链路加密方案如果配置的匹配策略依赖于源IP地址，则C-DPG设备无法对NAT转换后的源IP地址进行正常匹配，所以无法对数据进行正常的解密，最终导致通信发生故障。

发明内容

本申请实施例的目的在于提供一种加解密处理方法、装置、系统以及数据保护网关。

第一方面，本申请实施例提供了一种加解密处理方法，应用于网络系统中的中心数据保护网关，所述网络系统还包括边缘数据保护网关和NAT设备，所述边缘数据保护网关和所述NAT设备连接，所述方法包括：

接收所述边缘数据保护网关发送的加密的第一业务报文；

获取所述第一业务报文中的源终端MAC地址和业务特征信息，并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配，所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则；

在所述源终端MAC地址、业务特征信息与所述解密策略匹配时，对所述第一业务报文进行解密处理后转发给所述目的服务器。

在上述实现过程中，通过匹配报文的源终端MAC地址对源终端发往目的服务器的报文进行识别，使得本方案提供的加解密处理方法支持部署NAT的应用场景，进而使得中心数据保护网关能对部署NAT的场景中的加密报文进行正常解密，以实现源终端与目的服务器之间的数据交互的加解密保护。

可选地，在所述源终端MAC地址、业务特征信息与所述解密策略匹配之后，所述方法还包括：

获取所述第一业务报文对应的下行传输信息；

根据所述下行传输信息确定对应的加密策略，以利用所述加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。

在上述实现过程中，根据第一业务报文对应的下行传输信息可动态确定对应的加密策略，这样在报文的源IP地址改变时，可以及时更新对应的加密策略，以确保目的服务器与源终端之间的数据的加密传输。

可选地，所述获取所述第一业务报文对应的下行传输信息，包括：