CN111787025B - 加解密处理方法、装置、系统以及数据保护网关 - Google Patents
加解密处理方法、装置、系统以及数据保护网关 Download PDFInfo
- Publication number
- CN111787025B CN111787025B CN202010721152.6A CN202010721152A CN111787025B CN 111787025 B CN111787025 B CN 111787025B CN 202010721152 A CN202010721152 A CN 202010721152A CN 111787025 B CN111787025 B CN 111787025B
- Authority
- CN
- China
- Prior art keywords
- data protection
- decryption
- protection gateway
- source terminal
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种加解密处理方法、装置、系统以及数据保护网关,涉及通信技术领域。该方法包括:接收所述边缘数据保护网关发送的加密的第一业务报文;获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配;在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文进行解密处理后转发给所述目的服务器。该方案通过匹配报文的源终端MAC地址对源终端发往目的服务器的报文进行识别,以实现源终端与目的服务器之间的数据交互的加解密保护,从而使得本方案提供的加解密处理方法支持部署NAT的应用场景。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种加解密处理方法、装置、系统以及数据保护网关。
背景技术
目前,在一些大规模企业网络中,其企业中心服务器所在的局域网与分支机构所在的局域网的终端设备之间需要跨越互联网通信。随着网络安全日渐重要,链路加密方案能够在不改变企业客户原有网络拓扑环境的基础上实现点到点的数据安全传输保护。链路加密方案在终端设备端和中心服务器端分别成对部署了加解密设备,即在终端设备端部署边缘数据保护网关(Edge Data Protection Gateway,简称E-DPG),在中心服务器端部署中心数据保护网关(Central Data Protection Gateway,简称C-DPG)。链路加解密方案通过配置匹配策略能够对指定终端向指定服务器发起的某个业务的数据交互报文进行加解密保护,而其他业务不受影响,大大解决了数据安全传输的问题,而且灵活度高。
在现有常见的网络部署方案中,与边缘设备连接的终端数量众多,为了节省IP地址,通常在边缘设备端部署NAT设备。现有链路加密方案如果配置的匹配策略依赖于源IP地址,则C-DPG设备无法对NAT转换后的源IP地址进行正常匹配,所以无法对数据进行正常的解密,最终导致通信发生故障。
发明内容
本申请实施例的目的在于提供一种加解密处理方法、装置、系统以及数据保护网关。
第一方面,本申请实施例提供了一种加解密处理方法,应用于网络系统中的中心数据保护网关,所述网络系统还包括边缘数据保护网关和NAT设备,所述边缘数据保护网关和所述NAT设备连接,所述方法包括:
接收所述边缘数据保护网关发送的加密的第一业务报文;
获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则;
在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文进行解密处理后转发给所述目的服务器。
在上述实现过程中,通过匹配报文的源终端MAC地址对源终端发往目的服务器的报文进行识别,使得本方案提供的加解密处理方法支持部署NAT的应用场景,进而使得中心数据保护网关能对部署NAT的场景中的加密报文进行正常解密,以实现源终端与目的服务器之间的数据交互的加解密保护。
可选地,在所述源终端MAC地址、业务特征信息与所述解密策略匹配之后,所述方法还包括:
获取所述第一业务报文对应的下行传输信息;
根据所述下行传输信息确定对应的加密策略,以利用所述加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。
在上述实现过程中,根据第一业务报文对应的下行传输信息可动态确定对应的加密策略,这样在报文的源IP地址改变时,可以及时更新对应的加密策略,以确保目的服务器与源终端之间的数据的加密传输。
可选地,所述获取所述第一业务报文对应的下行传输信息,包括:
获取所述第一业务报文对应的连接跟踪信息,所述连接跟踪信息为所述下行传输信息,所述下行传输信息包括源IP地址、目的IP地址、目的端口以及协议类型,所述目的IP地址为通过所述NAT设备对所述源终端的IP地址进行NAT转换后获得的。
在上述实现过程中,通过获取第一业务报文对应的连接跟踪信息,即可实现对第一业务报文的相关信息进行转换,以获得其对应的下行传输信息,进而可动态确定对应的加密策略。
可选地,所述方法还包括:
在确定所述源终端的IP地址通过NAT转换后的IP地址改变,重新基于新的下行传输信息确定对应新的加密策略,以利用新的加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。
在上述实现过程中,在NAT转换后的IP地址改变时,重新确定新的加密策略,则可以确保对目的服务器与源终端之间交互的数据进行正常加密处理。
可选地,所述重新基于新的下行传输信息确定对应新的加密策略之后,所述方法还包括:
删除原有的加密策略,从而可以防止对不需要加密的报文实施误操作。
可选地,所述方法还包括:
周期性的更新所述解密策略中的解密密钥以及所述加密策略中的加密密钥,从而可以进一步提高数据传输的安全性。
可选地,所述网络系统还包括与所述中心数据保护网关连接的软件定义网络SDN控制器,所述根据所述下行传输信息确定对应的加密策略,包括:
将所述下行传输信息发送给所述SDN控制器,以使所述SDN控制器根据所述下行传输信息生成对应的加密策略,并为所述中心数据保护网关配置对应的加密策略。
在上述实现过程中,通过SDN控制器进行加密策略的配置,更加便捷。
第二方面,本申请实施例提供了一种加解密处理装置,运行于网络系统中的中心数据保护网关,所述网络系统还包括边缘数据保护网关和NAT设备,所述边缘数据保护网关和所述NAT设备连接,所述装置包括:
报文接收模块,用于接收所述边缘数据保护网关发送的加密的第一业务报文;
匹配模块,用于获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则;
解密处理模块,用于在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文进行解密处理后转发给所述目的服务器。
可选地,所述装置还包括:
加密处理模块,用于获取所述第一业务报文对应的下行传输信息;根据所述下行传输信息确定对应的加密策略,以利用所述加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。
可选地,所述加密处理模块,用于获取所述第一业务报文对应的连接跟踪信息,所述连接跟踪信息为所述下行传输信息,所述下行传输信息包括源IP地址、目的IP地址、目的端口以及协议类型,所述目的IP地址为通过所述NAT设备对所述源终端的IP地址进行NAT转换后获得的。
可选地,所述加密处理模块,还用于在确定所述源终端的IP地址通过NAT转换后的IP地址改变,重新基于新的下行传输信息确定对应新的加密策略,以利用新的加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。
可选地,所述加密处理模块,还用于删除原有的加密策略。
可选地,所述装置还包括:
更新模块,用于周期性的更新所述解密策略中的解密密钥以及所述加密策略中的加密密钥。
可选地,所述网络系统还包括与所述中心数据保护网关连接的软件定义网络SDN控制器,所述加密处理模块,用于将所述下行传输信息发送给所述SDN控制器,以使所述SDN控制器根据所述下行传输信息生成对应的加密策略,并为所述中心数据保护网关配置对应的加密策略。
第三方面,本申请实施例提供一种网络系统,所述网络系统包括中心数据保护网关、边缘数据保护网关和NAT设备,所述边缘数据保护网关和所述NAT设备连接;
所述中心数据保护网关,用于接收所述边缘数据保护网关发送的加密的第一业务报文;
所述中心数据保护网关,用于获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则;
所述中心数据保护网关,用于在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文进行解密处理后转发给所述目的服务器。
第四方面,本申请实施例提供一种数据保护网关,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第五方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络系统的结构示意图;
图2为本申请实施例提供的一种加解密处理方法的流程图;
图3为本申请实施例提供的一种用于执行加解密处理方法的数据保护网关的结构示意图;
图4为本申请实施例提供的一种加解密处理装置的结构框图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。
请参照图1,图1为本申请实施例提供的一种网络系统100的结构示意图,该网络系统100包括中心数据保护网关110(C-DPG)和边缘数据保护网关120(E-DPG),该网络系统100可以部署到企业内部使用的局域网中,用于对企业内部与外界的通信提供安全防护。
其中,中心数据保护网关110和边缘数据保护网关120可以是根据其连接的对象所区分的,或者是根据网关类型来区分的,如中心数据保护网关110用于连接局域网络中的服务器140,边缘数据保护网关120用于连接局域网络中的终端130。
本申请实施例中,中心数据保护网关110可以利用加密策略对需要发送到互联网的业务数据进行加密,以通过互联网将加密的数据发送到局域网络中的对端的边缘数据保护网关120。反之,中心数据保护网关110也可以接收到边缘数据保护网关120通过互联网发送的加密的报文,并利用相应的解密策略对加密的报文进行解密,从而可将解密后的报文发送给局域网络中的服务器140。
同理,对于边缘数据保护网关120中的加解密处理方式也类似,如边缘数据保护网关120可将需要发送到互联网的报文按照对应的加密策略进行加密后传输给对端的中心数据保护网关110,也可以对接收到中心数据保护网关110发送的加密的报文按照相应的解密策略进行解密处理,然后可将解密后的报文传输给局域网络中的终端130。
随着终端130数量的增大,为了提高对企业内部数据的安全性,网络系统中一般还包括网络地址转换(Network Address Translation NAT)设备150,该NAT设备150具有网络地址转换功能,NAT设备150与边缘数据保护网关连接,其可以对发往中心数据保护网关的报文进行网络地址转换后再发送,即针对与边缘数据保护网关120连接的终端130发出的报文,NAT设备150均会将报文中的私有IP地址转换为公有IP地址。所以,外部接收报文看到的源IP地址为公有IP地址,并不是终端130实际的IP地址,这种方式在一定程度上可以避免终端130遭受外部网络攻击,增加了内部网络的安全性。
但是,在边缘数据保护网关120和NAT设备连接后,在中心数据保护网关110执行加解密策略时,现有技术中的加解密解决方案无法对NAT转换后的源IP地址进行正常匹配,因为中心数据保护网关110接收到的报文的源IP地址均一样,此时按照现有的解密方案无法对报文进行正常解密,则最终可能导致通信故障。所以,现有的加解密方法无法支持网络中部署NAT的应用场景。
以上现有技术中的方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本发明实施例针对上述问题所提出的解决方案,都应该是发明人在本发明过程中对本发明做出的贡献。
可以理解,图1所示的结构仅为示意,网络系统100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
针对以上现有技术中的缺陷,本申请实施例提供了一种新的加解密处理方法。
下面结合方法实施例对中心数据保护网关的加解密处理过程进行详细说明。
请参照图2,图2为本申请实施例提供的一种加解密处理方法的流程图,该方法应用于图1中的中心数据保护网关,包括如下步骤:
步骤S110:接收所述边缘数据保护网关发送的加密的第一业务报文。
在支持链路加密网络系统中部署NAT的应用场景下,为了实现对指定终端与指定服务器之间的业务数据的保护,可以对涉及该指定终端与指定服务器的数据保护网关配置对应的加解密策略。也即在边缘数据保护网关和中心数据保护网关中均配置有相应的加解密策略,如在与指定终端连接的边缘数据保护网关中配置对应的加密策略以及解密策略,这样边缘数据保护网关在接收到指定终端发送给指定服务器的报文后,根据对应的加密策略对该报文进行加密,然后将加密的报文发送给中心数据保护网关。
举例来说,若源终端(其可以指图1中的某个终端)与目的服务器(指图1中的服务器)之间的业务数据需要进行加密传输,则在源终端发送给目的服务器的业务报文经过边缘数据保护网关时,边缘数据保护网关可对该报文进行加密后,再将加密的报文发送给中心数据保护网关,此时中心数据保护网关接收到的报文为加密的报文。
本申请实施例中所指的端点数据保护与中心数据保护网关是指涉及源终端与目的服务器的两个网关,即源终端与目的服务器之间的业务数据经过这两个网关进行传输。对于中心数据保护网关来说,其接收的边缘数据保护网关发送的加密的报文在本申请实施例中为了描述的方便均可以称为第一业务报文,由于边缘数据保护网关下连接的终端可能有多个,若还有其他终端有加密数据传输的需求时,边缘数据保护网关不只对一个终端(如上述的源终端)发出的报文进行加密,还可以对应其他有加密需求的终端发出的报文进行加密,此时,中心数据保护网关可能接收的加密的报文可能也不仅仅是源终端发出的报文。
步骤S120:获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则。
在本发明实施例中,源终端MAC地址可以填充到第一业务报文的加密策略头部中。
步骤S130:在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文进行解密处理后转发给所述目的服务器。
由于网络系统中配置了NAT设备,所以NAT设备将其接收到的报文均进行了IP地址的转换,所以,所以不同的终端发出的报文的IP地址可能是一样的。这种情况下,中心数据保护网关从边缘数据保护网关接收到的报文的源IP地址是一样,这就使得中心数据保护网关无法区分具体是哪个终端发出的报文,应该按照怎样的解密策略进行处理。所以,本申请实施例中,为了避免该情况,中心数据保护网关获取第一业务报文中的源终端媒体访问控制(Media Access Control,MAC)地址以及业务特征信息,并将源终端MAC地址与业务特征信息与解密策略进行匹配。其中,该源终端MAC地址是指源终端的MAC地址,并不是第一业务报文本身携带的源MAC地址。
其中,解密策略可以是指用于指示中心数据保护网关在获取到加密的报文后对该加密的报文的解密处理方式,即解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则,如本申请实施例中的中心数据保护网关中配置的解密策略用于指示中心数据保护网关从加密的第一业务报文中提取源终端MAC地址以及业务特征信息,然后将源终端MAC地址与业务特征信息与解密策略进行匹配,其匹配的方式可以是将源终端MAC地址与预设MAC地址进行匹配,将业务特征信息与预设业务特征信息进行匹配,进而可确定对该报文按照怎样的方式处理。
其中,业务特征信息可以包括但不限于目的IP地址、协议类型、目的端口号等,也即解密策略中的匹配规则为对加密的报文中的“源终端MAC+目的IP+协议类型+目的端口”进行匹配。这样中心数据保护网关在接收到加密的第一业务报文后,可从第一业务报文中提取源终端MAC地址、目的IP、协议类型以及目的端口号,然后将这些信息与预存储的信息进行匹配。其中,中心数据保护网关中可预先将源终端MAC地址、目的IP、协议类型以及目的端口号这四个信息按照对应关系进行存储,这样在各个信息均匹配一致时,则对第一业务报文进行解密处理后发送给目的服务器,从而可实现对源终端与目的服务器之间的业务数据的准确匹配。
可以理解地,为了实现源终端与目的服务器之间业务数据的加密传输,中心数据保护网关中的解密策略为针对源终端发往目的服务器的加密报文配置的,所以上述的预设MAC地址为源终端的MAC地址。这里应该理解的是,若涉及加密需求的终端为多个时,中心数据保护网关中可存储有多个预设MAC地址,每个预设MAC地址对应一个终端的MAC地址。并且,中心数据保护网关也可以存储对应的预设业务特征信息,预设业务特征信息包括预设目的IP地址、预设目的端口以及预设协议类型等,预设目的IP地址可以是指目的服务器的IP地址,预设目的端口是指目的服务器上的端口,预设协议类型与源终端与目的服务器约定的数据传输协议,这样中心数据保护网关在获取第一业务报文中的源终端MAC地址后,可将源终端MAC地址与多个预设MAC地址进行匹配,若多个预设MAC地址中存在与源终端MAC地址一致的MAC地址,则表示源终端MAC地址匹配到预设MAC地址,并且还将获得的目的IP地址与预设目的IP地址匹配,目的端口与预设目的端口匹配,协议类型与预设协议类型匹配等。在这些信息均匹配时,中心数据保护网关即可确定该第一业务报文为涉及源终端与目的服务器之间需加密传输的业务数据,然后即可对第一业务报文进行解密处理后发送给目的服务器。
另外应该说明的是,边缘数据保护网关在对报文进行加密时,一般是对报文携带的业务内容进行加密,而报文的报文头一般包括报文传输所需的路由信息,但是在中心数据保护网关接收到第一业务报文后,该第一业务报文的报文头所携带的源MAC地址应为边缘数据保护网关的地址,所以边缘数据保护网关在对第一业务报文进行加密时,可将源终端MAC地址封装在报文的其他指定字段(如第一业务报文的加密策略头部)中,这样中心数据保护网关在获得加密的第一业务报文后,可从第一业务报文的报文头中的指定字段中提取第一业务报文的源终端MAC地址。
在上述实现过程中,通过匹配报文的源终端MAC地址对源终端发往目的服务器的报文进行识别,使得本方案提供的加解密处理方法支持部署NAT的应用场景,进而使得中心数据保护网关能对部署NAT的场景中的加密报文进行正常解密,以实现源终端与目的服务器之间的数据交互的加解密保护。
本申请实施例中,中心数据保护网关中的解密策略是预先配置的,如用户可先获知哪些终端与服务器之间的业务数据需要进行加密传输,然后针对涉及该终端和服务器的中心数据保护网关配置对应的解密策略。
解密策略用于指示中心数据保护网关在获得加密的报文,按照对应的匹配规则将该报文与解密策略进行匹配,在匹配时,则对加密的报文进行解密处理。
其中,对报文进行解密是指采用对应的解密算法进行解密,该解密算法与边缘数据保护网关采用的加密算法对应,即中心数据保护网关可以与边缘数据保护网关预先约定针对源终端与目的服务器之间需加密传输的业务数据的加密算法和解密算法,这样,边缘数据保护网关在获得源终端发往目的服务器的报文后,可采用相应的加密算法对其进行加密,而中心数据保护网关在获得该加密的报文后,即可采用对应的解密算法对其进行解密。
若每个终端对应的加密算法不一样,则在进行解密时,其对应的解密算法也不一样,所以,为了便于确定每个终端传输的加密报文对应的解密算法,则中心数据保护网关中可存储各个预设MAC地址与对应的解密算法的对应关系,如下表所示:
这样,在为中心数据保护网关配置相应的解密策略时,可以按照上述表中所示的预设MAC地址与解密算法之间的对应关系,在中心数据保护网关中配置这样的对应关系即可。
在中心数据保护网关配置这样的对应关系后,中心数据保护网关针对接收到加密的第一业务报文,则可从第一业务报文中提取源终端MAC地址,然后将该源终端MAC地址与多个预设MAC地址进行一一匹配,在源终端MAC地址匹配到对应的预设MAC地址,则可获取该预设MAC地址对应的解密算法,然后按照该解密算法对第一业务报文进行解密。
同理,在边缘数据保护网关中也可配置这样MAC地址与加密算法的对应关系,使得边缘数据保护网关在获得终端发送的报文,通过匹配MAC地址,从而可找到对应的加密算法对该报文进行加密。
当然,对于有加密需求的多个终端也可配置同样的加密算法和解密算法,这种情况下即可无需按照上述的对应关系来确定对应的加密算法或解密算法,而是可以直接以默认的加密算法对匹配到MAC地址的报文进行加密,或者以默认的解密算法对匹配到MAC地址的报文进行解密。
其中,加密算法和解密算法可以为MD5算法、数据加密标准(Data EncryptionStandard,DES)算法、哈希运算消息认证码(Hash-based Message Authentication Code,HMAC)等,在此不一一列举。而对于各种加密算法和解密算法的具体实现过程可参照现有技术中的相关过程,在此也不详细说明。
相应地,对于目的服务器发往源终端的业务数据(本申请实施例中称为第二业务报文)也需要进行加密时,还可以为中心数据保护网关配置对应的加密策略,加密策略包括对目的服务器发往源终端的业务报文进行匹配的匹配规则。本申请实施例中,中心数据保护网关获得加密策略的过程可以如下:获取第一业务报文对应的下行传输信息,然后根据该下行传输信息确定对应的加密策略,以利用该加密策略对目的服务器发往源终端的第二业务报文进行加密处理后再发送给边缘数据保护网关。
其中,下行传输信息是指中心数据保护网关将报文发送给下行的边缘数据保护网关时该报文中携带的相关路由信息,如包括目的IP地址、源IP地址、目的端口、源端口和协议类型等。其中,下行传输信息可以通过获取第一业务报文对应的连接跟踪信息来确定,该连接跟踪信息即为下行传输信息,前述的下行传输信息中的目的IP地址即为通过NAT设备对源终端的IP地址进行NAT转换后获得的。
连接跟踪机制是防火墙和NAT的实现基础,可以对通过防火墙的连接进行跟踪,即可以用来记录和跟踪连接的状态。其连接的状态可以包括源IP地址、目的IP地址、源端口、目的端口、协议类型、连接状态和超时时间等,这些连接的状态可以通过一个连接跟踪表进行记录。
例如,若中心数据保护网关接收到一个报文后,则将该次连接的信息保存在连接跟踪表中,并记录该报文所应有的状态,也即在连接跟踪表中生成一条对应的连接记录。这样中心数据保护网关在确定报文对应的连接跟踪信息时,即可基于连接跟踪表中的连接记录来确定。
也就是说,中心数据保护网关可以通过连接跟踪机制将第一业务报文中所携带的源IP地址、目的IP地址、源端口、目的端口进行转换,以将其转换为下行传输信息,如将第一业务报文中的源IP地址转换为下行传输信息中的目的IP地址,将目的IP地址转换为下行传输信息中的源IP地址,源端口转换为下行传输信息中的目的端口,目的端口转换为下行传输信息中的源端口。
举例来说,如第一业务报文中携带的源IP地址为:192.0.0.1,目的IP地址为168.0.1.1,源端口号为:32,目的端口号为:18,协议类型:TCP,则基于连接跟踪机制,获得第一业务报文对应的下行传输信息包括:源IP地址为:168.0.1.1,目的IP地址为192.0.0.1,源端口号为:18,目的端口号为:32,协议类型:TCP。
可以理解地,对于连接跟踪机制的具体实现过程可参照现有技术中的相关过程,在此不再详细描述。
在上述实现过程中,通过获取第一业务报文对应的连接跟踪信息,即可实现对第一业务报文的相关信息进行转换,以获得其对应的下行传输信息,进而可动态确定对应的加密策略。
按照上述方式即可获得第一业务报文对应的下行传输信息后,可基于下行传输信息确定对应的加密策略,该加密策略用于指示中心数据保护网关在获取到服务器发送的报文后对该报文的加密处理方式,如本申请实施例中的中心数据保护网关确定的加密策用于指示中心数据保护网关接收到下行传输的报文后,从报文中提取源IP地址、目的IP地址、目的端口以及协议类型,然后按照对应的匹配规则将这些信息与上述从下行传输信息中包含的源IP地址、目的IP地址、目的端口以及协议类型进行匹配,若匹配上,则将该报文进行加密后再发送给边缘数据保护网关。
可以理解地,也可以配置相应的加密算法,即在基于加密策略匹配上后,可获取对应的加密算法,根据该加密算法对该报文进行加密处理。
在上述实现过程中,中心数据保护网关可根据接收到的第一业务报文中的相关信息来动态确定对应的加密策略,从而可以实现对边缘数据保护网关中NAT转换后的IP地址的实时感知,这样在报文的源IP地址改变时,可以及时更新对应的加密策略,以确保目的服务器与源终端之间的数据的加密传输,进而实现对下端NAT网络部署加解密策略的支持。
在一些实施方式中,由于网络系统中部署NAT设备后,NAT设备将从终端接收的报文的源IP地址进行NAT转换为公有IP地址,该公有IP地址在一些情况下可能会发生变化。所以,本申请实施例中,在中心数据保护网关进行解密处理时,通过对第一业务报文的源终端MAC地址以及业务特征信息的匹配,可以无需关心公有IP变化也能匹配到对应的报文。
而在中心数据保护网关确定对应的加密策略时,若确定源终端的IP地址通过NAT转换的IP地址发生了改变,可以重新基于新的下行传输信息确定对应新的加密策略,以利用新的加密策略对目的服务器发往源终端的第二业务报文进行加密处理后发送给边缘数据保护网关。
其中,中心数据保护网关在获取第一业务报文中的源终端MAC地址后,可以根据解密策略将该源终端MAC地址与预设MAC地址进行匹配,在匹配一致后,还可以获取第一业务报文中的源IP地址,并记录该源IP地址与预设MAC地址之间的对应关系,在中心数据保护网关下次接收到加密的报文后,然后继续根据解密策略将该报文中的源终端MAC地址与预设MAC地址匹配,若匹配一致,表明该报文与上述的第一业务报文为同一终端发出的报文,则提取该报文中的源IP地址,然后将其与上次存储的源IP地址进行匹配,若匹配不一致,则确定该报文对应的源终端的IP地址通过NAT转换后的IP地址发生了改变,此时可重新按照上述方式获取该报文中的下行传输信息,重新确定新的加密策略,并且可以将上次存储的源IP地址更新为本次获得的报文的源IP地址,以供下次进行解密处理时判断是否重新确定新的加密策略。
在确定新的加密策略后,中心数据保护网关可自行在设备上配置对应的加密策略,或者通过用户在中心数据保护网关上配置对应的加密策略,从而中心数据保护网关即可利用新的加密策略继续对目的服务器发往源终端的第二业务报文进行加密处理。
在上述实现过程中,在NAT转换后的IP地址改变时,重新确定新的加密策略,则可以确保对目的服务器与源终端之间交互的数据进行正常加密处理。
另外,在一些实施例中,在确定新的加密策略后,用户可将该新的加密策略配置给中心数据保护网关,中心数据保护网关可以删除原有的加密策略,这样中心数据保护网关即可利用新的加密策略对涉及源终端与目的服务器之间的业务数据进行加密处理,从而可以防止对不需要加密的报文实施误操作。
相应地,在边缘数据保护网关中也可配置对应的解密策略,该解密策略与上述的中心数据保护网关中的加密策略对应,这样边缘数据保护网关在接收到中心数据保护网关发送的加密的报文后,可从该报文中提取源IP地址、目的IP地址、源端口、目的端口以及协议类型等信息,然后将这些信息与预存储的信息进行匹配,在匹配一致后,即可对该报文进行解密处理后发送给对应的终端。
在一些实施例中,为了进一步提高终端与服务器之间的业务数据的安全性,中心数据保护网关中还可以设置有加密策略以及解密策略的更新规则,中心数据保护网关可利用该更新规则将中心数据保护网关中需要更新的加密策略或解密策略进行更新,在一些实施方式中,更新规则可以为周期性的更新解密策略中的解密密钥以及加密策略中的加密密钥,周期性地将解密策略中所使用的解密密钥以及加密策略所使用的加密密钥进行更新。
同样地,也可以周期性的更新边缘数据保护网关中解密策略中的解密密钥以及加密策略中的加密密钥,这样可在加密密钥以及解密密钥被泄露后,可通过及时更新密钥来确保终端与服务器之间数据传输的安全性。
当然,在上述实施例中若确定出中心数据保护网关中新的加密策略后,也可以直接基于该新的加密策略更新原有的加密策略,如将原有的加密策略涉及的源IP地址或者加密算法进行更改等。
作为一种实施方式,为了便于对边缘数据保护网关以及中心数据保护网关中加解密策略的配置,上述的网络系统还可包括与中心数据保护网关以及边缘数据保护网关连接的软件定义网络(Software Defined Network,SDN)控制器,这样可通过SDN控制器来自动为数据保护网关配置对应的加解密策略。
如上述实施例中在确定中心数据保护网关的加密策略时,中心数据保护网关可以将下行传输信息发送给SDN控制器,以使SDN控制器根据下行传输信息生成对应的加密策略,并为中心数据保护网关配置对应的加密策略。
同样地,对于中心数据保护网关的解密策略也可以通过SDN控制器进行配置,对于边缘数据保护网关中的加密策略和解密策略也可以通过SDN控制器进行配置。
在上述实现过程中,通过SDN控制器进行加密策略的配置,更加便捷。
请参照图3,图3为本申请实施例提供的一种用于执行加解密处理方法的数据保护网关的结构示意图,所述数据保护网关可以包括:至少一个处理器210,例如CPU,至少一个通信接口220,至少一个存储器230和至少一个通信总线240。其中,通信总线240用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口220用于与其他节点设备进行信令或数据的通信。存储器230可以是高速RAM存储器,也可以是非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器230可选的还可以是至少一个位于远离前述处理器的存储装置。存储器230中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器210执行时,电子设备执行上述图2所示方法过程。例如,存储器230可用于存储预设MAC地址以及加解密策略等,处理器210可在对报文进行加解密处理时,从存储器230中获取对应的加解密策略对报文进行处理。
可以理解,图3所示的结构仅为示意,所述电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
请参照图4,图4为本申请实施例提供的一种加解密处理装置300的结构框图,该装置300运行于网络系统中的中心数据保护网关,所述网络系统还包括边缘数据保护网关和NAT设备,所述边缘数据保护网关和所述NAT设备连接,该装置300可以是数据保护网关上的模块、程序段或代码。应理解,该装置300与上述图2方法实施例对应,能够执行图2方法实施例涉及的各个步骤,该装置300具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置300包括:
报文接收模块310,用于接收所述边缘数据保护网关发送的加密的第一业务报文;
匹配模块320,用于获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则;
解密处理模块330,用于在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文进行解密处理后转发给所述目的服务器。
可选地,所述装置300还包括:
加密处理模块,用于获取所述第一业务报文对应的下行传输信息;根据所述下行传输信息确定对应的加密策略,以利用所述加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。
可选地,所述加密处理模块,用于获取所述第一业务报文对应的连接跟踪信息,所述连接跟踪信息为所述下行传输信息,所述下行传输信息包括源IP地址、目的IP地址、目的端口以及协议类型,所述目的IP地址为通过所述NAT设备对所述源终端的IP地址进行NAT转换后获得的。
可选地,所述加密处理模块,还用于在确定所述源终端的IP地址通过NAT转换后的IP地址改变,重新基于新的下行传输信息确定对应新的加密策略,以利用新的加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。
可选地,所述加密处理模块,还用于删除原有的加密策略。
可选地,所述装置300还包括:
更新模块,用于周期性的更新所述解密策略中的解密密钥以及所述加密策略中的加密密钥。
可选地,所述网络系统还包括与所述中心数据保护网关连接的软件定义网络SDN控制器,所述加密处理模块,用于将所述下行传输信息发送给所述SDN控制器,以使所述SDN控制器根据所述下行传输信息生成对应的加密策略,并为所述中心数据保护网关配置对应的加密策略。
本申请实施例还提供一种网络系统,所述网络系统包括中心数据保护网关、边缘数据保护网关和NAT设备,所述边缘数据保护网关和所述NAT设备连接;
所述中心数据保护网关,用于接收所述边缘数据保护网关发送的加密的第一业务报文;
所述中心数据保护网关,用于接收所述边缘数据保护网关发送的加密的第一业务报文;
所述中心数据保护网关,用于获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则;
所述中心数据保护网关,用于在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文进行解密处理后转发给所述目的服务器。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
本申请实施例提供一种可读存储介质,所述计算机程序被处理器执行时,执行如图2所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:接收所述边缘数据保护网关发送的加密的第一业务报文;获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则;在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文进行解密处理后转发给所述目的服务器。
综上所述,本申请实施例提供一种加解密处理方法、装置、系统以及数据保护网关,通过匹配报文的源终端MAC地址对源终端发往目的服务器的报文进行识别,使得本方案提供的加解密处理方法支持部署NAT的应用场景,进而使得中心数据保护网关能对部署NAT的场景中的加密报文进行正常解密,以实现源终端与目的服务器之间的数据交互的加解密保护。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种加解密处理方法,其特征在于,应用于网络系统中的中心数据保护网关,所述网络系统还包括边缘数据保护网关和NAT设备,所述边缘数据保护网关和所述NAT设备连接,所述方法包括:
接收所述边缘数据保护网关发送的加密的第一业务报文;
获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则,其中,所述业务特征信息包括目的IP地址、协议类型和目的端口号,所述匹配规则用于指示将源MAC地址与多个预设MAC地址进行匹配以及将所述业务特征信息与预设业务特征信息进行匹配;
在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文按照对应的解密算法进行解密处理后转发给所述目的服务器,所述解密算法是基于预先配置的各个预设MAC地址与各个解密算法之间的对应关系确定的。
2.根据权利要求1所述的方法,其特征在于,在所述源终端MAC地址、业务特征信息与所述解密策略匹配之后,所述方法还包括:
获取所述第一业务报文对应的下行传输信息;
根据所述下行传输信息确定对应的加密策略,以利用所述加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。
3.根据权利要求2所述的方法,其特征在于,所述获取所述第一业务报文对应的下行传输信息,包括:
获取所述第一业务报文对应的连接跟踪信息,所述连接跟踪信息为所述下行传输信息,所述下行传输信息包括源IP地址、目的IP地址、目的端口以及协议类型,所述目的IP地址为通过所述NAT设备对所述源终端的IP地址进行NAT转换后获得的。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在确定所述源终端的IP地址通过NAT转换后的IP地址改变,重新基于新的下行传输信息确定对应新的加密策略,以利用新的加密策略对所述目的服务器发往所述源终端的第二业务报文进行加密处理后发送给所述边缘数据保护网关。
5.根据权利要求4所述的方法,其特征在于,所述重新基于新的下行传输信息确定对应新的加密策略之后,所述方法还包括:
删除原有的加密策略。
6.根据权利要求2所述的方法,其特征在于,所述方法还包括:
周期性的更新所述解密策略中的解密密钥以及所述加密策略中的加密密钥。
7.根据权利要求2所述的方法,其特征在于,所述网络系统还包括与所述中心数据保护网关连接的软件定义网络SDN控制器,所述根据所述下行传输信息确定对应的加密策略,包括:
将所述下行传输信息发送给所述SDN控制器,以使所述SDN控制器根据所述下行传输信息生成对应的加密策略,并为所述中心数据保护网关配置对应的加密策略。
8.一种加解密处理装置,其特征在于,运行于网络系统中的中心数据保护网关,所述网络系统还包括边缘数据保护网关和NAT设备,所述边缘数据保护网关和所述NAT设备连接,所述装置包括:
报文接收模块,用于接收所述边缘数据保护网关发送的加密的第一业务报文;
匹配模块,用于获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则,其中,所述业务特征信息包括目的IP地址、协议类型和目的端口号,所述匹配规则用于指示将源MAC地址与多个预设MAC地址进行匹配以及将所述业务特征信息与预设业务特征信息进行匹配;
解密处理模块,用于在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文按照对应的解密算法进行解密处理后转发给所述目的服务器,所述解密算法是基于预先配置的各个预设MAC地址与各个解密算法之间的对应关系确定的。
9.一种网络系统,其特征在于,所述网络系统包括中心数据保护网关、边缘数据保护网关和NAT设备,所述边缘数据保护网关和所述NAT设备连接;
所述中心数据保护网关,用于接收所述边缘数据保护网关发送的加密的第一业务报文;
所述中心数据保护网关,用于获取所述第一业务报文中的源终端MAC地址和业务特征信息,并将所述源终端MAC地址、业务特征信息与预先配置的解密策略进行匹配,所述解密策略包括对源终端发往目的服务器的业务报文进行匹配的匹配规则,其中,所述业务特征信息包括目的IP地址、协议类型和目的端口号,所述匹配规则用于指示将源MAC地址与多个预设MAC地址进行匹配以及将所述业务特征信息与预设业务特征信息进行匹配;
所述中心数据保护网关,用于在所述源终端MAC地址、业务特征信息与所述解密策略匹配时,对所述第一业务报文按照对应的解密算法进行解密处理后转发给所述目的服务器,所述解密算法是基于预先配置的各个预设MAC地址与各个解密算法之间的对应关系确定的。
10.一种数据保护网关,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010721152.6A CN111787025B (zh) | 2020-07-23 | 2020-07-23 | 加解密处理方法、装置、系统以及数据保护网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010721152.6A CN111787025B (zh) | 2020-07-23 | 2020-07-23 | 加解密处理方法、装置、系统以及数据保护网关 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111787025A CN111787025A (zh) | 2020-10-16 |
| CN111787025B true CN111787025B (zh) | 2022-02-22 |
Family
ID=72764185
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010721152.6A Active CN111787025B (zh) | 2020-07-23 | 2020-07-23 | 加解密处理方法、装置、系统以及数据保护网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111787025B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112887427B (zh) * | 2021-03-05 | 2023-04-07 | 湖州奕锐信安科技有限公司 | 一种云平台加密系统及方法 |
| CN114389883B (zh) * | 2022-01-14 | 2023-10-24 | 平安科技(深圳)有限公司 | 应用网关数据处理方法、电子设备及存储介质 |
| CN114401139A (zh) * | 2022-01-14 | 2022-04-26 | 京东方科技集团股份有限公司 | 用于在边缘计算设备处处理数据采样的方法及装置 |
| CN114466078A (zh) * | 2022-03-07 | 2022-05-10 | 云知声智能科技股份有限公司 | 一种业务处理方法、装置、电子设备及存储介质 |
| CN114567557B (zh) * | 2022-03-07 | 2024-09-13 | 上海数禾信息科技有限公司 | 报文处理方法、装置、计算机设备和存储介质 |
| CN115134637B (zh) * | 2022-06-29 | 2024-04-12 | 北京奇艺世纪科技有限公司 | 流媒体播放系统、方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924699A (zh) * | 2010-08-05 | 2010-12-22 | 福建星网锐捷网络有限公司 | 报文转发处理方法、系统和运营商边缘设备 |
| CN103141133A (zh) * | 2011-09-30 | 2013-06-05 | 华为技术有限公司 | 对数据报文进行策略控制的方法和装置 |
| CN103152269A (zh) * | 2013-02-26 | 2013-06-12 | 杭州华三通信技术有限公司 | 一种基于nat的报文转发方法和设备 |
| CN103763195A (zh) * | 2014-01-23 | 2014-04-30 | 中国联合网络通信集团有限公司 | 一种传输报文的方法及装置 |
| CN104618360A (zh) * | 2015-01-22 | 2015-05-13 | 盛科网络(苏州)有限公司 | 基于802.1X协议的bypass认证方法及系统 |
| CN106603491A (zh) * | 2016-11-10 | 2017-04-26 | 上海斐讯数据通信技术有限公司 | 基于https协议的Portal认证方法及路由器 |
| CN108156092A (zh) * | 2017-12-05 | 2018-06-12 | 杭州迪普科技股份有限公司 | 报文传输控制方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101188526B1 (ko) * | 2008-12-16 | 2012-10-05 | 한국전자통신연구원 | 패킷 필터링 정보 전송 방법 및 장치 |
| KR101047997B1 (ko) * | 2010-12-07 | 2011-07-13 | 플러스기술주식회사 | 네트워크 패킷을 이용한 공유 단말 구분 시스템 및 처리 방법 |
-
2020
- 2020-07-23 CN CN202010721152.6A patent/CN111787025B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924699A (zh) * | 2010-08-05 | 2010-12-22 | 福建星网锐捷网络有限公司 | 报文转发处理方法、系统和运营商边缘设备 |
| CN103141133A (zh) * | 2011-09-30 | 2013-06-05 | 华为技术有限公司 | 对数据报文进行策略控制的方法和装置 |
| CN103152269A (zh) * | 2013-02-26 | 2013-06-12 | 杭州华三通信技术有限公司 | 一种基于nat的报文转发方法和设备 |
| CN103763195A (zh) * | 2014-01-23 | 2014-04-30 | 中国联合网络通信集团有限公司 | 一种传输报文的方法及装置 |
| CN104618360A (zh) * | 2015-01-22 | 2015-05-13 | 盛科网络(苏州)有限公司 | 基于802.1X协议的bypass认证方法及系统 |
| CN106603491A (zh) * | 2016-11-10 | 2017-04-26 | 上海斐讯数据通信技术有限公司 | 基于https协议的Portal认证方法及路由器 |
| CN108156092A (zh) * | 2017-12-05 | 2018-06-12 | 杭州迪普科技股份有限公司 | 报文传输控制方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| MAC units for matched filters in DS-CDMA systems;A.B. Premkumar;《IEEE》;20020807;全文 * |
| SDN架构下网络安全协议的认证机制研究与探索;杨泽明;《网络空间安全》;20190725;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111787025A (zh) | 2020-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111787025B (zh) | 加解密处理方法、装置、系统以及数据保护网关 | |
| US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
| US6044402A (en) | Network connection blocker, method, and computer readable memory for monitoring connections in a computer network and blocking the unwanted connections | |
| US8327437B2 (en) | Securing network traffic by distributing policies in a hierarchy over secure tunnels | |
| US7536715B2 (en) | Distributed firewall system and method | |
| US20020083344A1 (en) | Integrated intelligent inter/intra networking device | |
| US20100077203A1 (en) | Relay device | |
| US8365269B2 (en) | Embedded communication terminal | |
| JP2006101051A (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
| EP2827551A2 (en) | Communication method, communication apparatus and communication program | |
| CN113726795B (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| JP3259724B2 (ja) | 暗号装置、暗号化器および復号器 | |
| CN114915583A (zh) | 报文处理方法、客户端设备、服务器端设备和介质 | |
| CN110943996B (zh) | 一种业务加解密的管理方法、装置及系统 | |
| JP4305087B2 (ja) | 通信ネットワークシステム及びそのセキュリティ自動設定方法 | |
| JP7526827B2 (ja) | サービス伝送方法、装置、ネットワーク機器及び記憶媒体 | |
| CN100583891C (zh) | 一种通讯加密的方法与系统 | |
| US20080222693A1 (en) | Multiple security groups with common keys on distributed networks | |
| KR101837064B1 (ko) | 보안 통신 장치 및 방법 | |
| JP2005130511A (ja) | コンピュータネットワークを管理する方法及びシステム | |
| KR102694199B1 (ko) | 공동주택 세대간 망분리를 위한 l2 기반 가상 사설 네트워크 관리 장치 | |
| CN114785536B (zh) | 一种报文处理方法及装置 | |
| JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
| CN115277190B (zh) | 一种链路层透明加密系统在网络上实现邻居发现的方法 | |
| WO2023238323A1 (ja) | スイッチ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |