[发明专利]一种业务加解密的管理方法、装置及系统

权利要求书

1.一种业务加解密的管理方法，其特征在于，应用于局域网络中的SDN控制器，所述局域网络中还包括与所述SDN控制器连接的数据保护网关，所述方法包括：

接收所述数据保护网关发送的所述数据保护网关的设备认证信息；

利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信；

若确定所述数据保护网关可信，为所述数据保护网关配置加解密业务报文时所使用的加解密策略；

为所述数据保护网关配置加解密业务报文时所使用的加解密策略，包括：

确定出与所述数据保护网关的业务类型对应的所述加解密策略，将所述加解密策略配置到所述数据保护网关；

将所述加解密策略配置到所述数据保护网关，包括：

利用CA服务器为所述数据保护网关的设备证书分配的密钥加密所述加解密策略，将加密后的加解密策略发送给所述数据保护网关，以使所述数据保护网关利用所述密钥解密所述加密后的加解密策略，并配置所述加解密策略。

2.根据权利要求1所述业务加解密的管理方法，其特征在于，利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信，包括：

判断所述设备认证信息中是否携带有所述SDN控制器预先为所述数据保护网关分配的预共享密钥；

若携带有所述预共享密钥，判断所述预共享密钥是否被篡改；

若未篡改，利用所述设备认证信息中携带的所述数据保护网关申请证书所需的信息，向CA服务器申请所述数据保护网关的设备证书，并判断所述设备证书是否申请成功，其中，所述设备证书申请成功表示所述数据保护网关可信。

3.根据权利要求1所述业务加解密的管理方法，其特征在于，在为所述数据保护网关配置加解密业务报文时所使用的加解密策略之后，所述方法还包括：

周期性的更新所述加解密策略中用于加解密的密钥，其中，任意两个周期对应的所述密钥均不同。

4.根据权利要求1所述业务加解密的管理方法，其特征在于，在判断所述数据保护网关否可信之后，所述方法还包括：

若确定不可信，将所述数据保护网关从所述局域网络中删除。

5.一种业务加解密的管理方法，其特征在于，应用于局域网络中的数据保护网关，所述局域网络中还包括与所述数据保护网关连接的SDN控制器，所述方法包括：

向所述SDN控制器发送自身的设备认证信息，以使所述SDN控制器利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信；

在所述SDN控制器确定所述数据保护网关可信后，接收所述SDN控制器下发的加密后的加解密策略；所述加密后的加解密策略由所述SDN控制器利用CA服务器为所述数据保护网关的设备证书分配的密钥加密所述加解密策略后得到；

利用所述密钥解密所述加密后的加解密策略，并配置所述加解密策略；

利用所述加解密策略对接收到的业务报文进行加解密。

6.根据权利要求5所述业务加解密的管理方法，其特征在于，利用所述加解密策略对接收到的业务报文进行加解密，包括：

接收客户端发送的所述业务报文；

利用所述加解密策略，对所述业务报文携带的业务内容进行加密，以及在所述业务报文中添加策略加密头部，获得处理后的业务报文；

将所述处理后的业务报文发送到所述局域网络中对端的数据保护网关。