[发明专利]加密数据处理方法、装置和系统

说明书

本申请提供一种加密数据处理方法、装置和系统，该方法包括：服务端加密网关接收服务端设备发送的第一数据报文；使用第一会话ID替换第一数据报文中的第一源端参数以及第一目的端参数，得到第二数据报文；将所述第二数据报文发送给所述服务端加密网关的密码模块，由所述服务端加密网关的密码模块对所述第二数据报文中的明文数据进行加密，得到第三数据报文，并由所述服务端加密网关的密码模块通过该密码模块上的网口将所述第三数据报文发送给用户端加密网关。该方法可以提升业务并发量和执行速度。

技术领域

本申请涉及信息安全领域，尤其涉及一种加密数据处理方法、装置和系统。

背景技术

为了提高用户端设备和服务端设备之间数据通信的安全性，可以在网络中部署加密网关，利用加密网关对用户端设备和服务端设备之间通信的数据的进行加密或解密。

目前，主流的加密网关设备，大多内置专用密码模块实现数据的加解密。例如，通过PCI-E（Peripheral Component Interconnect-Express，一种通用总线规格）密码卡实现数据的加解密。

发明内容

有鉴于此，本申请提供一种加密数据处理方法、装置和系统。

具体地，本申请是通过如下技术方案实现的：

根据本申请实施例的第一方面，提供一种加密数据处理方法，应用于包括用户端设备、服务端设备以及加密网关的加密数据处理系统，所述加密网关的密码模块设置有网口，所述加密网关包括服务端加密网关和用户端加密网关，所述方法包括：

服务端加密网关接收服务端设备发送的第一数据报文，所述第一数据报文中包括第一源端参数、第一目标的端参数以及明文数据；

所述服务端加密网关依据所述第一源端参数以及所述第一目的端参数，确定对应的第一会话ID；所述第一会话ID由服务端设备与用户端设备在握手阶段协商确定；

所述服务端加密网关使用所述第一会话ID替换所述第一数据报文中的第一源端参数以及所述第一目的端参数，得到第二数据报文；

所述服务端加密网关将所述第二数据报文发送给所述服务端加密网关的密码模块，由所述服务端加密网关的密码模块对所述第二数据报文中的明文数据进行加密，得到第三数据报文，并由所述服务端加密网关的密码模块通过该密码模块上的网口将所述第三数据报文发送给用户端加密网关；

所述用户端加密网关依据所述第一会话ID，确定对应的所述第一源端参数以及所述第一目的端参数，使用所述第一源端参数以及所述第一目的端参数替换所述第三数据报文中的所述第一会话ID，得到第四数据报文；

所述用户端加密网关将所述第四数据报文发送给所述用户端加密网关的密码模块，由所述用户端加密网关的密码模块对所述第四数据报文中的密文数据进行解密，得到所述第一数据报文，并由所述用户端加密网关的密码模块通过该密码模块的网口将所述第一数据报文发送给用户端设备。

根据本申请实施例的第二方面，提供一种加密数据处理装置，应用于加密数据处理系统中的加密网关，所述加密数据处理系统还包括用户端设备和服务端设备，所述加密网关的密码模块设置有网口，所述加密网关包括服务端加密网关和用户端加密网关，所述装置包括：接收单元、确定单元、替换单元以及发送单元；其中：

在所述加密网关被部署为服务端加密网关的情况下：

所述接收单元，用于接收服务端设备发送的第一数据报文，所述第一数据报文中包括第一源端参数、第一目的端参数以及明文数据；

所述确定单元，用于依据所述第一源端参数、第一目的端参数，确定对应的第一会话ID；所述第一会话ID由服务端设备与用户端设备在握手阶段协商确定；