[发明专利]一种业务加解密的管理方法、装置及系统

说明书

本申请提供一种业务加解密的管理方法、装置及系统，方法应用于局域网络中的SDN控制器，所述局域网络中还包括与所述SDN控制器连接的数据保护网关，所述方法包括：接收所述数据保护网关发送的所述数据保护网关的设备认证信息；利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信；若确定所述数据保护网关可信，为所述数据保护网关配置加解密业务报文时所使用的加解密策略。由于SDN控制器可以对局域网中的数据保护网关的可信进行认证，并在认证通过后才为数据保护网关配置业务的加解密策略，使得每个进行加解密的数据保护网关都是安全可信的，进一步提高网络的安全性。

技术领域

本申请涉及通信技术领域，具体而言，涉及一种业务加解密的管理方法、装置及系统。

背景技术

目前，可以将企业的数据业务部署到局域网中，以确保企业数据的安全。但在一些大规模企业中，其企业中心所在的局域网与分支机构所在的局域网之间需要跨越互联网通信例如跨越IP(InternetProtocol，互联网协议地址)/MPLS(Multi-Protocol LabelSwitching，多协议标签交换)网络。在这种情况下，为确保企业数据的安全，可以在互联网出口部署IPsec VPN网关或者SSL VPN网关，以通过IPsec VPN网关或者SSL VPN网关，加密从局域网发往互联网的企业数据，或者将从互联网接收的企业数据解密。显然，这种互联网出口和出口之间的“点到点”数据加密方式过于简单，安全性不够高。

发明内容

本申请实施例的目的在于提供一种业务加解密的管理方法、装置及系统，用以提高网络的安全性。

第一方面，本申请实施例提供了一种业务加解密的管理方法，应用于局域网络中的SDN控制器，所述局域网络中还包括与所述SDN控制器连接的数据保护网关，所述方法包括：

接收所述数据保护网关发送的所述数据保护网关的设备认证信息；

利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信；

若确定所述数据保护网关可信，为所述数据保护网关配置加解密业务报文时所使用的加解密策略。

在本申请实施例中，由于SDN控制器可以对局域网中的数据保护网关的可信度进行认证，并在认证通过后才为数据保护网关配置业务的加解密策略，使得每个进行加解密的数据保护网关都是安全可信的，进一步提高网络的安全性。

结合第一方面，在第一种可能的实现方式中，利用所述设备认证信息对所述数据保护网关进行认证，以判断所述数据保护网关是否可信，包括：

判断所述设备认证信息中是否携带有所述SDN控制器预先为所述数据保护网关分配的预共享密钥；

若携带有所述预共享密钥，判断所述预共享密钥是否被篡改；

若未篡改，利用所述设备认证信息中携带的所述数据保护网关申请证书所需的信息，向CA服务器申请所述数据保护网关的设备证书，并判断所述设备证书是否申请成功，其中，所述设备证书申请成功表示所述数据保护网关可信。

在本申请实施例中，在为数据保护网关申请证书前，先利用SDN控制器预先为数据保护网关分配的预共享密钥对该数据保护网关的可信进行认证，可以确保申请证书的数据保护网关都是SDN控制器认为可信的设备，进一步提高安全性。

结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，为所述数据保护网关配置加解密业务报文时所使用的加解密策略，包括：

确定出与所述数据保护网关的业务类型对应的所述加解密策略，将所述加解密策略配置到所述数据保护网关。

在本申请实施例中，将加密的加解密策略配置给数据保护网关，可以确保配置过程中的安全性，防止加解密策略被窃取并破解。