本申請?zhí)峁┮环N加解密處理方法、裝置、系統(tǒng)以及數(shù)據(jù)保護(hù)網(wǎng)關(guān)，涉及通信技術(shù)領(lǐng)域。該方法包括：接收所述邊緣數(shù)據(jù)保護(hù)網(wǎng)關(guān)發(fā)送的加密的第一業(yè)務(wù)報文；獲取所述第一業(yè)務(wù)報文中的源終端MAC地址和業(yè)務(wù)特征信息，并將所述源終端MAC地址、業(yè)務(wù)特征信息與預(yù)先配置的解密策略進(jìn)行匹配；在所述源終端MAC地址、業(yè)務(wù)特征信息與所述解密策略匹配時，對所述第一業(yè)務(wù)報文進(jìn)行解密處理后轉(zhuǎn)發(fā)給所述目的服務(wù)器。該方案通過匹配報文的源終端MAC地址對源終端發(fā)往目的服務(wù)器的報文進(jìn)行識別，以實(shí)現(xiàn)源終端與目的服務(wù)器之間的數(shù)據(jù)交互的加解密保護(hù)，從而使得本方案提供的加解密處理方法支持部署NAT的應(yīng)用場景。

技術(shù)領(lǐng)域

本申請涉及通信技術(shù)領(lǐng)域，具體而言，涉及一種加解密處理方法、裝置、系統(tǒng)以及數(shù)據(jù)保護(hù)網(wǎng)關(guān)。

背景技術(shù)

目前，在一些大規(guī)模企業(yè)網(wǎng)絡(luò)中，其企業(yè)中心服務(wù)器所在的局域網(wǎng)與分支機(jī)構(gòu)所在的局域網(wǎng)的終端設(shè)備之間需要跨越互聯(lián)網(wǎng)通信。隨著網(wǎng)絡(luò)安全日漸重要，鏈路加密方案能夠在不改變企業(yè)客戶原有網(wǎng)絡(luò)拓?fù)洵h(huán)境的基礎(chǔ)上實(shí)現(xiàn)點(diǎn)到點(diǎn)的數(shù)據(jù)安全傳輸保護(hù)。鏈路加密方案在終端設(shè)備端和中心服務(wù)器端分別成對部署了加解密設(shè)備，即在終端設(shè)備端部署邊緣數(shù)據(jù)保護(hù)網(wǎng)關(guān)(Edge Data Protection Gateway，簡稱E-DPG)，在中心服務(wù)器端部署中心數(shù)據(jù)保護(hù)網(wǎng)關(guān)(Central Data Protection Gateway，簡稱C-DPG)。鏈路加解密方案通過配置匹配策略能夠?qū)χ付ńK端向指定服務(wù)器發(fā)起的某個業(yè)務(wù)的數(shù)據(jù)交互報文進(jìn)行加解密保護(hù)，而其他業(yè)務(wù)不受影響，大大解決了數(shù)據(jù)安全傳輸?shù)膯栴}，而且靈活度高。

在現(xiàn)有常見的網(wǎng)絡(luò)部署方案中，與邊緣設(shè)備連接的終端數(shù)量眾多，為了節(jié)省IP地址，通常在邊緣設(shè)備端部署NAT設(shè)備。現(xiàn)有鏈路加密方案如果配置的匹配策略依賴于源IP地址，則C-DPG設(shè)備無法對NAT轉(zhuǎn)換后的源IP地址進(jìn)行正常匹配，所以無法對數(shù)據(jù)進(jìn)行正常的解密，最終導(dǎo)致通信發(fā)生故障。

發(fā)明內(nèi)容

本申請實(shí)施例的目的在于提供一種加解密處理方法、裝置、系統(tǒng)以及數(shù)據(jù)保護(hù)網(wǎng)關(guān)。

第一方面，本申請實(shí)施例提供了一種加解密處理方法，應(yīng)用于網(wǎng)絡(luò)系統(tǒng)中的中心數(shù)據(jù)保護(hù)網(wǎng)關(guān)，所述網(wǎng)絡(luò)系統(tǒng)還包括邊緣數(shù)據(jù)保護(hù)網(wǎng)關(guān)和NAT設(shè)備，所述邊緣數(shù)據(jù)保護(hù)網(wǎng)關(guān)和所述NAT設(shè)備連接，所述方法包括：

接收所述邊緣數(shù)據(jù)保護(hù)網(wǎng)關(guān)發(fā)送的加密的第一業(yè)務(wù)報文；

獲取所述第一業(yè)務(wù)報文中的源終端MAC地址和業(yè)務(wù)特征信息，并將所述源終端MAC地址、業(yè)務(wù)特征信息與預(yù)先配置的解密策略進(jìn)行匹配，所述解密策略包括對源終端發(fā)往目的服務(wù)器的業(yè)務(wù)報文進(jìn)行匹配的匹配規(guī)則；

在所述源終端MAC地址、業(yè)務(wù)特征信息與所述解密策略匹配時，對所述第一業(yè)務(wù)報文進(jìn)行解密處理后轉(zhuǎn)發(fā)給所述目的服務(wù)器。

在上述實(shí)現(xiàn)過程中，通過匹配報文的源終端MAC地址對源終端發(fā)往目的服務(wù)器的報文進(jìn)行識別，使得本方案提供的加解密處理方法支持部署NAT的應(yīng)用場景，進(jìn)而使得中心數(shù)據(jù)保護(hù)網(wǎng)關(guān)能對部署NAT的場景中的加密報文進(jìn)行正常解密，以實(shí)現(xiàn)源終端與目的服務(wù)器之間的數(shù)據(jù)交互的加解密保護(hù)。

可選地，在所述源終端MAC地址、業(yè)務(wù)特征信息與所述解密策略匹配之后，所述方法還包括：

獲取所述第一業(yè)務(wù)報文對應(yīng)的下行傳輸信息；

根據(jù)所述下行傳輸信息確定對應(yīng)的加密策略，以利用所述加密策略對所述目的服務(wù)器發(fā)往所述源終端的第二業(yè)務(wù)報文進(jìn)行加密處理后發(fā)送給所述邊緣數(shù)據(jù)保護(hù)網(wǎng)關(guān)。

在上述實(shí)現(xiàn)過程中，根據(jù)第一業(yè)務(wù)報文對應(yīng)的下行傳輸信息可動態(tài)確定對應(yīng)的加密策略，這樣在報文的源IP地址改變時，可以及時更新對應(yīng)的加密策略，以確保目的服務(wù)器與源終端之間的數(shù)據(jù)的加密傳輸。

可選地，所述獲取所述第一業(yè)務(wù)報文對應(yīng)的下行傳輸信息，包括：