本申請提供一種加密數據處理方法、裝置和系統，該方法包括：服務端加密網關接收服務端設備發送的第一數據報文；使用第一會話ID替換第一數據報文中的第一源端參數以及第一目的端參數，得到第二數據報文；將所述第二數據報文發送給所述服務端加密網關的密碼模塊，由所述服務端加密網關的密碼模塊對所述第二數據報文中的明文數據進行加密，得到第三數據報文，并由所述服務端加密網關的密碼模塊通過該密碼模塊上的網口將所述第三數據報文發送給用戶端加密網關。該方法可以提升業務并發量和執行速度。

技術領域

本申請涉及信息安全領域，尤其涉及一種加密數據處理方法、裝置和系統。

背景技術

為了提高用戶端設備和服務端設備之間數據通信的安全性，可以在網絡中部署加密網關，利用加密網關對用戶端設備和服務端設備之間通信的數據的進行加密或解密。

目前，主流的加密網關設備，大多內置專用密碼模塊實現數據的加解密。例如，通過PCI-E（Peripheral Component Interconnect-Express，一種通用總線規格）密碼卡實現數據的加解密。

發明內容

有鑒于此，本申請提供一種加密數據處理方法、裝置和系統。

具體地，本申請是通過如下技術方案實現的：

根據本申請實施例的第一方面，提供一種加密數據處理方法，應用于包括用戶端設備、服務端設備以及加密網關的加密數據處理系統，所述加密網關的密碼模塊設置有網口，所述加密網關包括服務端加密網關和用戶端加密網關，所述方法包括：

服務端加密網關接收服務端設備發送的第一數據報文，所述第一數據報文中包括第一源端參數、第一目標的端參數以及明文數據；

所述服務端加密網關依據所述第一源端參數以及所述第一目的端參數，確定對應的第一會話ID；所述第一會話ID由服務端設備與用戶端設備在握手階段協商確定；

所述服務端加密網關使用所述第一會話ID替換所述第一數據報文中的第一源端參數以及所述第一目的端參數，得到第二數據報文；

所述服務端加密網關將所述第二數據報文發送給所述服務端加密網關的密碼模塊，由所述服務端加密網關的密碼模塊對所述第二數據報文中的明文數據進行加密，得到第三數據報文，并由所述服務端加密網關的密碼模塊通過該密碼模塊上的網口將所述第三數據報文發送給用戶端加密網關；

所述用戶端加密網關依據所述第一會話ID，確定對應的所述第一源端參數以及所述第一目的端參數，使用所述第一源端參數以及所述第一目的端參數替換所述第三數據報文中的所述第一會話ID，得到第四數據報文；

所述用戶端加密網關將所述第四數據報文發送給所述用戶端加密網關的密碼模塊，由所述用戶端加密網關的密碼模塊對所述第四數據報文中的密文數據進行解密，得到所述第一數據報文，并由所述用戶端加密網關的密碼模塊通過該密碼模塊的網口將所述第一數據報文發送給用戶端設備。

根據本申請實施例的第二方面，提供一種加密數據處理裝置，應用于加密數據處理系統中的加密網關，所述加密數據處理系統還包括用戶端設備和服務端設備，所述加密網關的密碼模塊設置有網口，所述加密網關包括服務端加密網關和用戶端加密網關，所述裝置包括：接收單元、確定單元、替換單元以及發送單元；其中：

在所述加密網關被部署為服務端加密網關的情況下：

所述接收單元，用于接收服務端設備發送的第一數據報文，所述第一數據報文中包括第一源端參數、第一目的端參數以及明文數據；

所述確定單元，用于依據所述第一源端參數、第一目的端參數，確定對應的第一會話ID；所述第一會話ID由服務端設備與用戶端設備在握手階段協商確定；