CN105656655B - 一种网络安全管理方法、装置,及*** - Google Patents
一种网络安全管理方法、装置,及*** Download PDFInfo
- Publication number
- CN105656655B CN105656655B CN201410650194.XA CN201410650194A CN105656655B CN 105656655 B CN105656655 B CN 105656655B CN 201410650194 A CN201410650194 A CN 201410650194A CN 105656655 B CN105656655 B CN 105656655B
- Authority
- CN
- China
- Prior art keywords
- data packet
- configuration information
- encryption
- decryption
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例公开了一种网络安全管理方法、装置,及***,其中方法的实现包括:配置中心确定加密配置信息以及与对应的解密配置信息;将加密配置信息发送给网络设备的入口模块,将解密配置信息发送给所述网络设备的出口模块;所述加密配置信息用于使入口模块加密进入网络设备的数据包,所述解密配置信息用于使出口模块解密发出网络设备的数据包,所述出口模块解密的数据包是经所述入口模块加密的数据包。数据包在进入网络设备时被加密,对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变,可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门,不但可以解决网络设备本身的信任问题,还可以提高网络设备的安全性。
Description
技术领域
本发明涉及通信技术领域,特别一种网络安全管理方法、装置,及***
背景技术
路由器、交换机等网络设备正面临着严峻的安全问题。例如:中国国家互联网应急中心发布报告称,大量路由器存在漏洞和后门。这些漏洞和后门有的是外部攻击者通过逆向分析得到,有的是设备商出于调试等目的有意为之。常见的攻击手段包括设备中嵌入恶意电路、预设超级用户名和密码、预留传输控制协议(Transmission Control Protocol,TCP)/用户数据报协议(User Datagram Protocol,UDP)端口、对含有特殊数据的报文进行特殊处理、夹带用户的敏感数据等。这些漏洞和后门的存在让运营商与用户对网络设备产生了信任危机,极大的影响了设备商的安全形象。
为了解决以上问题,目前采用的处理方式为:公开网络设备的电路图、软件源代码、相关资料等给第三方审查机构进行审查,由审查结构给出审查结果来证明网络设备的安全性。
以上处理方式需要设备商公开网络设备的核心机密,影响设备商的商业利益。另外,公开的信息可能被恶意者获取,并修改已有产品实现发动新的网络攻击。因此以上处理方式存在巨大的安全隐患。
发明内容
本发明实施例提供了一种网络安全管理方法、装置,及***,用于提高网络设备的安全性。
本发明实施例一方面提供了一种网络安全管理方法,包括:
配置中心确定加密配置信息以及与所述加密配置信息对应的解密配置信息;
所述配置中心将所述加密配置信息发送给网络设备的入口模块,将所述解密配置信息发送给所述网络设备的出口模块;
所述加密配置信息用于使所述入口模块加密进入所述网络设备的数据包,所述解密配置信息用于使所述出口模块解密发出所述网络设备的数据包,所述出口模块解密的数据包是经所述入口模块加密的数据包。
结合一方面的实现方式,在第一种可能的实现方式中,所述加密配置信息包括:加密对象以及加密规则,所述加密对象指定了数据包需要加密的部分;
所述解密配置信息包括:解密对象以及解密规则,所述解密对象指定了数据包需要解密的部分,与所述需要加密的部分相同。
结合一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述网络设备为路由器,所述入口模块和所述出口模块均为光模块;
所述加密对象包括:加扰对象,所述加扰对象指定了数据包需要加扰的部分;所述加密规则包括:加扰算法以及密钥;所述解密对象包括:解扰对象,所述解扰对象指定了数据包需要解扰的部分;所述解密规则包括:与所述加扰算法对应的解扰算法以及所述密钥。
结合一方面的第二种可能的实现方式,在第三种可能的实现方式中,若加扰的部分包括数据包的协议头部分,所述方法还包括:
所述配置中心向所述网络设备发送所述加密配置信息,使所述网络设备对转发表的表项进行与所述数据包相同的加扰处理;
或者,所述配置中心向所述网络设备发送经加扰处理后的转发表;所述加扰处理后的转发表使用的加扰方式,与所述数据包的加扰方式相同;
或者,所述配置中心向软件定义的网络SDN控制器发送所述加密配置信息,使所述SDN控制器对转发表进行与所述数据包相同的加扰处理,并将加扰处理后的转发表发送给所述网络设备。
结合一方面、一方面第第一种、第二种或者第三种可能的实现方式,在第四种可能的实现方式中,所述方法还包括:
所述配置中心确定第一过滤配置信息和对应的第二过滤配置信息,所述第一过滤配置信息指定了不需要加密的数据包,所述第二过滤配置信息指定了不需要解密的数据包;
所述配置中心将所述第一过滤配置信息发送给所述入口模块,将所述第二过滤配置信息发送给所述出口模块。
本发明实施例二方面提供了一种配置中心,包括:
配置信息确定单元,用于确定加密配置信息以及与所述加密配置信息对应的解密配置信息;
信息发送单元,用于将所述加密配置信息发送给网络设备的入口模块,将所述解密配置信息发送给所述网络设备的出口模块;所述加密配置信息用于使所述入口模块加密进入所述网络设备的数据包,所述解密配置信息用于使所述出口模块解密发出所述网络设备的数据包,所述出口模块解密的数据包是经所述入口模块加密的数据包。
结合二方面的实现方式,在第一种可能的实现方式中,所述加密配置信息包括:加密对象以及加密规则,所述加密对象指定了数据包需要加密的部分;所述解密配置信息包括:解密对象以及解密规则,所述解密对象指定了数据包需要解密的部分,与所述需要加密的部分相同。
结合二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述加密对象包括:加扰对象,所述加扰对象指定了数据包需要加扰的部分;所述加密规则包括:加扰算法以及密钥;所述解密对象包括:解扰对象,所述解扰对象指定了数据包需要解扰的部分;所述解密规则包括:与所述加扰算法对应的解扰算法以及所述密钥;
所述信息发送单元,具体用于将所述加密配置信息发送给路由器入口的光模块,将所述解密配置信息发送给所述路由器出口的光模块。
结合二方面的第二种可能的实现方式,在第三种可能的实现方式中,若加扰的部分包括数据包的协议头部分;
所述信息发送单元,还用于向所述网络设备发送所述加密配置信息,使所述网络设备对转发表的表项进行与所述数据包相同的加扰处理;
或者,所述信息发送单元,还用于向所述网络设备发送经加扰处理后的转发表;所述加扰处理后的转发表使用的加扰方式,与所述数据包的加扰方式相同;
或者,所述信息发送单元,还用于向软件定义的网络SDN控制器发送所述加密配置信息,使所述SDN控制器对转发表进行与所述数据包相同的加扰处理,并将加扰处理后的转发表发送给所述网络设备。
结合二方面、二方面第第一种、第二种或者第三种可能的实现方式,在第四种可能的实现方式中,所述配置中心还包括:
过滤信息确定单元,用于确定第一过滤配置信息和对应的第二过滤配置信息,所述第一过滤配置信息指定了不需要加密的数据包,所述第二过滤配置信息指定了不需要解密的数据包;
所述信息发送单元,还用于将所述第一过滤配置信息发送给所述入口模块,将所述第二过滤配置信息发送给所述出口模块。
本发明实施例三方面还提供了一种入口模块,包括:
数据包接收单元,用于接收需要途径网络设备的数据包;
数据包加密单元,用于依据加密配置信息对所述数据包进行加密;
数据包发送单元,用于将所述加密后的数据包发往所述网络设备,使所述网络设备转发给具有数据包解密功能的出口模块。
结合三方面的实现方式,在第一种可能的实现方式中,所述入口模块还包括:
过滤信息接收单元,用于接收来自配置中心的第一过滤配置信息;
所述数据包加密单元,具体用于确定所述数据包是否属于所述第一过滤配置信息中指定的不需要加密的数据包,若否,则依据所述加密配置信息对所述数据包进行加密。
结合三方面或者三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述加密配置信息包括:加密对象,以及加密规则;所述加密对象指定了数据包需要加密的部分;
所述数据包加密单元,具体用于采用所述加密规则对所述数据包中的所述需要加密的部分进行加密。
结合三方面、三方面的第一种或者第二种可能的实现方式,在第三种可能的实现方式中,所述入口模块为光模块,所述网络设备为路由器;
所述数据包接收单元,具体用于接收需要途径路由器的数据包。
本发明实施例四方面提供了一种出口模块,包括:
接收单元,用于接收途径网络设备后需要发往目的端的数据包,所述数据包由所述网络设备的入口模块加密;
解密单元,用于依据解密配置信息对所述数据包进行解密;
发送单元,用于将所述解密后的数据包发往所述目的端。
结合四方面的实现方式,在第一种可能的实现方式中,所述出口模块为光模块,所述网络设备为路由器;
所述接收单元,具体用于接收途径路由器后需要发往目的端的数据包,所述数据包由所述路由器入口的光模块加密。
结合四方面的实现方式,在第二种可能的实现方式中,所述接收单元,还用于接收来自配置中心的第二过滤配置信息;
所述解密单元,具体用于确定所述接收数据包单元接收的数据包是否属于所述第二过滤配置信息中指定的不需要解密的数据包,若否,则依据所述解密配置信息对所述数据包进行解密。
本发明实施例五方面还提供了一种网络设备,包括:
本发明实施例提供的任意一项的入口模块,以及本发明实施例提供的任意一项的出口模块。
本发明实施例六方面还提供了一种网络安全管理***,包括:
本发明实施例提供的任意一项的配置中心,本发明实施例提供的任意一项的入口模块,以及本发明实施例提供的任意一项的出口模块;或者,包括:本发明实施例提供的任意一项的配置中心,以及本发明实施例提供的网络设备。
结合六方面的实现方式,在第一种可能的实现方式中,若所述配置中心向SDN控制器发送加密配置信息,所述***还包括:SDN控制器;
所述SDN控制器,用于对转发表进行与数据包相同的加扰处理,并将加扰处理后的转发表发送给所述网络设备。
从以上技术方案可以看出,本发明实施例具有以下优点:数据包在进入网络设备时被加密,对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变,可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门,不但可以解决网络设备本身的信任问题,还可以提高网络设备的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例方法流程示意图;
图2为本发明实施例方法流程示意图;
图3为本发明实施例方法流程示意图;
图4为本发明实施例***结构以及报文的流向示意图;
图5为本发明实施例***结构以及报文的流向示意图;
图6为本发明实施例***结构以及报文的流向示意图;
图7为本发明实施例配置中心结构示意图;
图8为本发明实施例配置中心结构示意图;
图9为本发明实施例入口模块结构示意图;
图10为本发明实施例入口模块结构示意图;
图11为本发明实施例出口模块结构示意图;
图12为本发明实施例网络设备结构示意图;
图13为本发明实施例***结构示意图;
图14为本发明实施例***结构示意图;
图15为本发明实施例***结构示意图;
图16为本发明实施例配置中心结构示意图;
图17为本发明实施例入口模块结构示意图;
图18为本发明实施例出口模块结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供了一种网络安全管理方法,如图1所示,请一并参阅图2以及图3所示,包括:
101:配置中心确定加密配置信息以及与上述加密配置信息对应的解密配置信息;
加密配置信息是用来指定如何加密的配置信息,例如:加密规则,加密对象等信息。加密规则可以包含:加密算法以及密钥,或者加密算法、公钥以及私钥;加密的算法有很多,例如:对称算法(Data Encryption Standard,DES),数字签名算法(Digital SignatureAlgorithm,DSA),消息摘要算法第五版(Message Digest Algorithm,MD5)等,除了以上加密算法以外,加扰算法也属于加密算法,例如:对数据进行异或运算扰乱原数据的算法。加密对象,则是要指定对数据包的哪些部分进行加密,例如:对整个数据包进行加密,或者对协议头进行加密,或者仅对载荷部分加密。具体依据不同的应用需求进行设定,本发明实施例不做唯一性限定。配置中心确定加密配置信息以及与上述加密配置信息对应的解密配置信息的过程,可以是接收用户的设定,也可以是基于当前的应用场景的固定配置,具体如何确定加密配置信息以及对应的解密配置信息的过程并不会影响到本发明实施例的实现,因此本发明实施例也不作唯一性限定。
102:上述配置中心将上述加密配置信息发送给网络设备的入口模块,将上述解密配置信息发送给上述网络设备的出口模块;上述加密配置信息用于使上述入口模块加密进入上述网络设备的数据包,上述解密配置信息用于使上述出口模块解密发出上述网络设备的数据包,上述出口模块解密的数据包是经上述入口模块加密的数据包。
在本实施例中,配置中心发送加密配置信息给入口模块,并且发送解密配置信息给出口模块以后;请参阅图2所示,数据包从入口模块进入,经入口模块加密后得到加密的数据包,加密的数据包由入口模块发送给网络设备,然后网络设备将加密的数据包转发给出口模块,出口模块对加密的数据包进行解密,得到解密后的数据包。
本实施例,数据包在进入网络设备时被加密,对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变,可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门,不但可以解决网络设备本身的信任问题,还可以提高网络设备的安全性。
本发明实施例还给出了加密配置信息以及对应的解密配置信息的可选方案如下:上述加密配置信息包括:加密对象以及加密规则,上述加密对象指定了数据包需要加密的部分;
上述解密配置信息包括:解密对象以及解密规则,上述解密对象指定了数据包需要解密的部分,与上述需要加密的部分相同。
在本实施例中,加密配置信息中除了加密规则以外,还携带了用于指定需要加密的部分的信息,因此可以灵活的控制对数据包加密的具体部分。由于对数据包进行加密,会对网络业务造成影响,例如:对协议头进行加密,则可能影响到网络设备提供的业务服务。因此,通过在加密配置信息中加入加密对象,可以按照业务需求或者数据包的安全性需求灵活控制,而不必一定对整个数据包进行加密。解密配置信息是与加密配置信息具有相应关系的信息,由于出口模块不一定能够检测到数据包的哪个部分进行了加密,因此在解密配置信息中也加入了解密对象。另外,即使出口模块可以检测到数据包加密的部分,通过在解密配置信息中也加入解密对象也可以节省检测加密部分所需要的计算资源。
在本发明实施例中,网络设备可以是任意的网络设备本发明实施例对此不作唯一性的限定;另外,本发明实施例给出了一个具体的应用场景如下:上述网络设备为路由器,上述入口模块和上述出口模块均为光模块;
上述加密对象包括:加扰对象,上述加扰对象指定了数据包需要加扰的部分;上述加密规则包括:加扰算法以及密钥;上述解密对象包括:解扰对象,上述解扰对象指定了数据包需要解扰的部分;上述解密规则包括:与上述加扰算法对应的解扰算法以及上述密钥。
本实施例中,加密采用的是加扰的方式完成,对于路由器这种特定的应用场景而言,如果仅是为了避免数据包触发后门,可以不用执行复杂的加密算法,这样可以减少计算量避免加密解密对路由器响应速度的影响。加扰是加密的一种,相比于其他如MD5类的加密而言,计算量会小很多,可以作为路由器这一特定应用场景下的优选实现方案。
上述光模块可以是采用现场可编程门阵列(Field Programmable Gate Array,FPGA)实现的光模块。
在本发明实施例中,即使在路由器这种特定的应用场景,加扰的部分可以是整个数据包也可以是仅载荷部分,还可以是任意的其他设定部分;但是由于对数据包的协议头进行加扰,会导致数据包转发受影响,因此基于此本发明实施例提供了如下三种解决方案,如下:若加扰的部分包括数据包的协议头部分,上述方法还包括:
上述配置中心向上述网络设备发送上述加密配置信息,使上述网络设备对转发表的表项进行与上述数据包相同的加扰处理;
或者,上述配置中心向上述网络设备发送经加扰处理后的转发表;上述加扰处理后的转发表使用的加扰方式,与上述数据包的加扰方式相同;
或者,上述配置中心向软件定义的网络交换数据网络(Switched Data Network,SDN)控制器发送上述加密配置信息,使上述SDN控制器对转发表进行与上述数据包相同的加扰处理,并将加扰处理后的转发表发送给上述网络设备。
在本实施例中,网络设备为路由器。在本实施例中,还引入了新的设备SDN控制器,因此处理流程会有少许修改,请参阅图3所示,与图2相比,区别在于配置中心还会将加密配置信息发送给SDN控制器,SDN控制器对转发表进行加扰,然后将加扰后的转发表发送给网络设备,网络设备会使用加扰后的转发表执行转发功能。
以上三种方案,均对转发表进行了加扰处理,由于对转发表的加扰方式与对数据包的加扰方式相同,因此加扰后的转发表可以被路由器正确使用。本实施例给出了路由表的实例进行举例来说明这一点,具体如下:
假设路由表有3项:
10.10.10.10 port1
10.11.*.* port2
10.*.*.* port3
现在接收到一个目的网络协议(Internet Protocol,IP)地址是10.11.1.1的报文(数据包),根据最长匹配原理,应该匹配第2个表项。
报文的目的IP用16进制表示为(0x0a,0x0b,0x01,0x01),加扰算法用报文的目的IP与0x81做异或,异或后变成了(0x8b,0x8a,0x80,0x80);
3个路由表项也分别与0x81进行异或,得到:
0x8b,0x8b,0x8b,0x8b port1
0x8b,0x8a,*,* port2
0x8b,*,*,* port3
采用加扰后的报文与加扰后的路由表匹配port2对应的路由,与原始的匹配结果一致。因此,采用加扰后的报文与加扰后的路由表,只要加扰方式相同,不会影响到路由的具体实现。
除了控制对数据包加密的部分进行控制以外,还可以控制是否需要对数据包进行加密,具体方案如下:上述方法还包括:
上述配置中心确定第一过滤配置信息和对应的第二过滤配置信息,上述第一过滤配置信息指定了不需要加密的数据包,上述第二过滤配置信息指定了不需要解密的数据包;
上述配置中心将上述第一过滤配置信息发送给上述入口模块,将上述第二过滤配置信息发送给上述出口模块。
在本实施例中,使用了过滤配置信息来指定哪些数据包不需要加密以及哪些数据包不需要解密。由于入口模块和出口模块可以是两个独立的物理实体,而且中间还有网络设备,出口模块并不会必然的获知哪些数据包被入口模块加密了,而对于哪些未被加密的数据包而言,是不需要解密的;可是若加密采用的是加扰的方式,那么未被加扰的的数据包,在发出网络设备时被解扰将会导致目的端的设备无法识别,所以在本实施例中,除了第一过滤配置信息,还需要第二过滤配置信息与之对应。通过过滤配置信息来控制是否需要对数据包进行加密,与通过加密对象来控制的方式相比存在较大区别,具体如下:采用配置加密对象的方式并不会使一部分数据包不加密,而是决定这些数据包加密的部分。而采用过滤配置信息,则会直接决定数据包是否会被加密。例如:有一些数据包本身就是发送给网络设备进行处理的,这部分数据包如果加密,还需要再将解密配置信息发送给网络设备,这样会存在安全隐患,而且还会导致不必要的加密和解密计算。因此,采用本实施例方案,可以提高安全性,而且可以节省计算资源。
以下实施例,将给出网络设备以路由器为例的三个具体应用场景的举例,对应路由器的应用场景,入口模块和出口模块将均为光模块,为了区分两个光模块,分别称为入口的光模块和出口的光模块,光模块会插接在线路处理单元(Line Processing Unit,LPU)单板上,由于信号是可逆的,光模块可以作为入口光模块使用,同时也可以作为出口光模块使用,以下实施例为方便起见,示意图中显示为两个独立的光模块分别代表出口的光模块和入口的光模块,另外两个光模块是可以在一块LPU单板上的,图示的两块独立的LPU单板通过交换网连接不应理解为对本发明实施例的限定。在路由器中,还包含有中央处理单元(Central Processing Unit,CPU)和网络处理器(Network Processor,NP),实际应用中路由器还可以有其他的功能部件,本实施例的示意图不应理解为对本发明实施例的限定。
一、假定路由器中的CPU是安全的,其他功能部件不安全;
***结构以及报文的流向,如图4所示,LPU上有光模块,CPU和NP,LPU采用交换网连接,LPU、CPU、NP以及交换网均为路由器的部件;光模块在售卖时可以是独立的,也可以作为路由器的部件一并售卖。配置中心是独立的设备。
在本实施例中,假设路由器中的NP、流量管理(Traffic Management TM)等芯片均是不安全的(或者不确定是否安全),其中可能存在后门。假设路由器中的CPU是安全的。CPU的安全性,这可以通过公开操作***连同软件的源代码给第三方审查机构审查实现。具体的实现过程如下:
首先:路由器设备正常工作之前,先由配置中心下发配置信息到各个LPU单板上的光模块和CPU;
配置信息可以根据业务的需要进行设定,配置中心下发的算法中可以包括对报文的哪些字段进行处理,以及如何处理。
需要加密的字段可以是:整个IP报文、或IP报文的载荷、或TCP/UDP的载荷等;加密所采用的加密算法可以如:数据加密标准(Data Encryption Standard,DES)、RSA算法(RSAalgorithm),或者是加扰,加扰对应的算法如异或算法等。密钥的长度是可变的,可以是8bit,56bit,128bit等长度。本发明实施例对此不作唯一性限定。
以加扰为例,配置中心下发的配置信息包含:算法以及密钥。
然后:报文进入入口的光模块后,光模块按照配置中心下发的算法以及密钥对报文进行加扰处理,加扰后的报文由NP进行处理;如果NP处理后的报文转交给CPU,则CPU对报文进行解扰,然后继续处理;如果NP处理后的报文经过交换网进入其他路由器线卡,最终到达出口光模块,则出口光模块对报文进行解扰。
作为加扰处理的一个实例:假定原始报文的载荷包含0x010x020x030x040x050x060x070x08这8个字节的数据,每个字节都与0x80进行异或,则结果就是0x810x820x830x840x850x860x870x88。
在本实施例中,配置中心下发的算法有可能会影响NP的业务处理,例如:配置中心下发的算法要求对整个IP报文进行了加扰处理,这样会导致目的IP地址、TCP报文的端口都发生变化,因此路由查找、ACL(Access control list,访问控制列表)、NAT(NetworkAddress Transform,网络地址转换)等业务都会受到影响,本发明实施例提供了解决的方案,至少可以有两种:
一种方法是:在配置中心下发配置信息之前评估路由器需要支持的业务,按照业务来确定采用什么样的算法(比如仅对TCP/UDP的载荷进行处理)避免对IP头、TCP头处理之后影响NP正常的业务处理;该方法可以由配置中心向出口和入口的光模块下发过滤表来实现,过滤表的表项指定不需要加密的数据包类型。例如指定对IP头和TCP头的业务不进行加密,或者,通过在加密算法中指定的加密对象中不包含报文的IP头和TCP头。
另一种方法是:对业务对应的表项进行同步处理,比如:配置的算法要求对整个IP报文进行加扰,为了保证NP的正常报文转发,CPU向NP下发转发表时候,对转发表进行加扰处理,ACL表项也进行加扰处理,通过这种方法保证业务任然可以正常处理。对转发表以及ACL表项的加扰处理方式与入口的光模块对报文的加扰处理方式相同。
在本实施例中由于对所有报文进行加密,那么CPU对外发送的报文,如果未加密在出口光模块会出现错误解密的情况,本发明实施例提供了解决方案,如下:CPU对外发报文时,CPU对外发的报文进行加扰处理,这样,CPU外发的报文经出口的光模块时,出口光模块仍可以进行相应的解扰或解密处理,最终还原成正常的报文发送出去。
在本实施例中,光模块和路由器(不含光模块)可以由不同的厂商提供,由于光模块对报文进行了加密处理,在路由器内部(CPU除外)处理的报文始终是经过加密的报文,引发后门触发的特殊数据的报文由于经过了加密,加密之后变得与原报文不相同,这样就会大大降低后门被触发的概率。
二、假定路由器中所有的部件都是不安全的;
***结构以及报文的流向,如图5所示,LPU上有光模块,CPU和NP,LPU采用交换网连接,LPU、CPU、NP以及交换网均为路由器的部件;光模块在售卖时可以是独立的,也可以作为路由器的部件一并售卖。配置中心是独立的设备。
在本实施例中,假设路由器中的NP等均是不安全的,其中可能存在后门。至于CPU是否安全可以通过公开操作***连同软件的源代码给第三方审查机构审查实现。因此,也可以假设发送给路由器需要由CPU处理的报文是安全的。
首先:路由器设备正常工作之前,先由配置中心下发配置信息到各个LPU单板上的光模块;与前一实施例不同的是,配置信息不用下发给CPU,另外在本实施例中,还下发过滤表到给各个LPU单板上的光模块。
在本实施例中,过滤表中设定了不需要加扰的报文类型,如果不发送配置信息给CPU,那么过滤表应该包含发送给CPU的报文,因此过滤表中可以用来过滤NP需要转发给CPU处理的报文,例如路由协议报文,对于这些报文,光模块可以根据过滤表的指导不进行加扰处理,因此CPU也就不需要解扰,可以按原有流程处理。
然后:报文进入入口的光模块后,光模块按照配置中心下发的过滤表对报文进行过滤,如果报文匹配过滤表中一个或者多个表项,则光模块不对报文进行加扰处理;如果报文不匹配过滤表中的任何表项,则光模块会使用配置中心下发的算法与密钥对报文进行加扰处理,具体的处理方法同前一实施例在此不再赘述。
如果NP处理后的报文转交给CPU,这部分报文应该是满足过滤表规则的,没有被光模块加扰;因此CPU可以正常进行处理。如果NP处理后的报文转交给其他作为出口的光模块,则其他作为出口的光模块对报文进行解扰。
在本实施例中,过滤表的表项可以由报文头部的一个或者多个字段组成,例如根据虚拟局域网(Virtual Local Area Network,VLAN)号、IP报文的协议字段、源IP地址、目的IP地址、TCP端口(源端口、目的端口)、UDP端口(源端口、目的端口)等。过滤表的表项可以依据需要进行设定,具体内容本发明实施例不作唯一性限定。
在本实施例中,CPU对外发送报文时,CPU由于并没有接收到配置信息,因此CPU不会对外发的报文进行加扰处理,而出口的光模块上由于存在相应的过滤表表项,因此也不对此类报文进行解扰处理。
本实施例中的光模块和路由器(不含光模块)可以由不同的厂商提供,由于光模块对报文进行了加扰处理,在路由器内部(CPU除外)处理的报文始终是经过加扰的报文,引发后门触发的特殊数据的报文由于经过了加扰,加扰之后变得与原报文不相同,这样就会大大降低后门被触发的概率。
三、假定路由器中所有的部件都是不安全的;
在本实施例中,假设路由器采用的是软件定义的网络(Software DefinedNetwork,SDN)架构,在SDN网络中部署有SDN控制器。在这种架构的路由网络中,路由器不再需要处理路由协议,路由器中的转发表由SDN控制器下发。这种场景与前一实施例基本类似,请参阅图6所示,不同之处在于如果需要对整个IP报文进行加扰处理,那么配置中心会下发配置信息(加/解扰算法以及密钥)到SDN控制器,然后SDN控制器下发的转发表需要进行与报文相同的加扰处理;如果配置信息配置的是仅对报文的载荷(如IP载荷、TCP/UDP载荷)进行处理,则配置中心不需要对SDN控制器下发配置信息,SDN也不需要对转发表进行加扰处理。
由于路由协议功能已经由SDN控制器实现,因此LPU板上的CPU只需要接收来自SDN控制器的报文,因此光模块上的过滤表的表项将会更少,规则也将会更简单;相应地,光模块不需要加扰的报文也更少,能极大降低后门被触发的概率。
本发明实施例对报文进行加密处理对NP业务的影响及解决方法可以参考第一种应用场景的解决方案,不同之处在于本实施例中转发表是由SDN控制器下发给CPU的,在下发转发表之前SDN控制器需要对转发表进行与报文相同的加扰处理。
本实施例,路由器内部,CPU除外,处理的报文始终是经过加扰的报文,引发后门触发的特殊数据的报文由于经过了加扰,加扰之后变得与原报文不相同,这样就会大大降低后门被触发的概率。
本发明实施例还提供了一种配置中心,如图7所示,包括:
配置信息确定单元701,用于确定加密配置信息以及与上述加密配置信息对应的解密配置信息;
信息发送单元702,用于将上述加密配置信息发送给网络设备的入口模块,将上述解密配置信息发送给上述网络设备的出口模块;上述加密配置信息用于使上述入口模块加密进入上述网络设备的数据包,上述解密配置信息用于使上述出口模块解密发出上述网络设备的数据包,上述出口模块解密的数据包是经上述入口模块加密的数据包。
加密配置信息是用来指定如何加密的配置信息,例如:加密规则,加密对象等信息。加密规则可以包含:加密算法以及密钥,或者加密算法、公钥以及私钥;加密的算法有很多,例如:DES,DSA,MD5等,除了以上加密算法以外,加扰算法也属于加密算法,例如:对数据进行异或运算扰乱原数据的算法。加密对象,则是要指定对数据包的哪些部分进行加密。
本实施例,数据包在进入网络设备时被加密,对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变,可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门,不但可以解决网络设备本身的信任问题,还可以提高网络设备的安全性。
本发明实施例还给出了加密配置信息以及对应的解密配置信息的可选方案如下:可选地,上述加密配置信息包括:加密对象以及加密规则,上述加密对象指定了数据包需要加密的部分;上述解密配置信息包括:解密对象以及解密规则,上述解密对象指定了数据包需要解密的部分,与上述需要加密的部分相同。
在本实施例中,加密配置信息中除了加密规则以外,还携带了用于指定需要加密的部分的信息,因此可以灵活的控制对数据包加密的具体部分。由于对数据包进行加密,会对网络业务造成影响,例如:对协议头进行加密,则可能影响到网络设备提供的业务服务。因此,通过在加密配置信息中加入加密对象,可以按照业务需求或者数据包的安全性需求灵活控制,而不必一定对整个数据包进行加密。解密配置信息是与加密配置信息具有相应关系的信息,由于出口模块不一定能够检测到数据包的那个部分进行了加密,因此在解密配置信息中也加入了解密对象。另外,即使出口模块可以检测到数据包加密的部分,通过在解密配置信息中也加入解密对象也可以节省检测加密部分所需要的计算资源。因此本实施例可以作为一个优选的实现方式。
在本发明实施例中,网络设备可以是任意的网络设备,本发明实施例对此不作唯一性的限定;另外,本发明实施例给出了一个具体的应用场景如下:可选地,上述加密对象包括:加扰对象,上述加扰对象指定了数据包需要加扰的部分;上述加密规则包括:加扰算法以及密钥;上述解密对象包括:解扰对象,上述解扰对象指定了数据包需要解扰的部分;上述解密规则包括:与上述加扰算法对应的解扰算法以及上述密钥;
上述信息发送单元702,用于将上述加密配置信息发送给路由器入口的光模块,将上述解密配置信息发送给上述路由器出口的光模块。
本实施例中,加密采用的是加扰的方式完成,对于路由器这种特定的应用场景而言,如果仅是为了避免数据包触发后门,可以不用执行复杂的加密算法,这样可以减少计算量避免加密解密对路由器响应速度的影响。加扰是加密的一种,相比于其他如MD5类的加密而言,计算量会小很多,可以作为路由器这一特定应用场景下的优选实现方案。
在本发明实施例中,即使在路由器这种特定的应用场景,加扰的部分可以是整个数据包也可以是仅载荷部分,还可以是任意的其他设定部分;但是由于对数据包的协议头进行加扰,会导致数据包转发受影响,因此基于此本发明实施例提供了如下三种解决方案,如下:可选地,若加扰的部分包括数据包的协议头部分;
上述信息发送单元702,还用于向上述网络设备发送上述加密配置信息,使上述网络设备对转发表的表项进行与上述数据包相同的加扰处理;
或者,上述信息发送单元702,还用于向上述网络设备发送经加扰处理后的转发表;上述加扰处理后的转发表使用的加扰方式,与上述数据包的加扰方式相同;
或者,上述信息发送单元702,还用于向软件定义的网络SDN控制器发送上述加密配置信息,使上述SDN控制器对转发表进行与上述数据包相同的加扰处理,并将加扰处理后的转发表发送给上述网络设备。
在本实施例中,网络设备为路由器。在本实施例中,还引入了新的设备SDN控制器,配置中心还会将加密配置信息发送给SDN控制器,SDN控制器对转发表进行加扰,然后将加扰后的转发表发送给网络设备,网络设备会使用加扰后的转发表执行转发功能。以上方案对转发表进行了加扰处理,由于对转发表的加扰方式与对数据包的加扰方式相同,因此加扰后的转发表可以被路由器正确使用。
除了控制对数据包加密的部分进行控制以外,还可以控制是否需要对数据包进行加密,具体方案如下:进一步地,如图8所示,上述配置中心还包括:
过滤信息确定单元801,用于确定第一过滤配置信息和对应的第二过滤配置信息,上述第一过滤配置信息指定了不需要加密的数据包,上述第二过滤配置信息指定了不需要解密的数据包;
上述信息发送单元702,还用于将上述第一过滤配置信息发送给上述入口模块,将上述第二过滤配置信息发送给上述出口模块。
采用配置加密对象的方式并不会使一部分数据包不加密,而是决定这些数据包加密的部分。而采用过滤配置信息,则会直接决定数据包是否会被加密。例如:有一些数据包本身就是发送给网络设备进行处理的,这部分数据包如果加密,还需要在将解密配置信息发送给网络设备,这样会存在安全隐患,而且还会导致不必要的加密和解密计算。因此,采用本实施例方案,可以提高安全性,而且可以节省计算资源。
本发明实施例还提供了一种入口模块,如图9所示,包括:
数据包接收单元901,用于接收需要途径网络设备的数据包;
数据包加密单元902,用于依据加密配置信息对上述数据包进行加密;
数据包发送单元903,用于将上述加密后的数据包发往上述网络设备,使上述网络设备转发给具有数据包解密功能的出口模块。
本实施例中,数据包在进入网络设备时被入口模块加密,对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变,可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门,不但可以解决网络设备本身的信任问题,还可以提高网络设备的安全性。
可选地,上述加密配置信息包括:加密对象,以及加密规则;上述加密对象指定了数据包需要加密的部分;
上述数据包加密单元902,具体用于采用上述加密规则对上述数据包中的上述需要加密的部分进行加密。
在本实施例中,加密配置信息中除了加密规则以外,还携带了用于指定需要加密的部分的信息,因此可以灵活的控制对数据包加密的具体部分。
进一步地,如图10所示,上述入口模块还包括:
过滤信息接收单元1001,用于接收来自配置中心的第一过滤配置信息;
上述数据包加密单元902,具体用于确定上述数据包是否属于上述第一过滤配置信息中指定的不需要加密的数据包,若否,则依据上述加密配置信息对上述数据包进行加密。
在本实施例中,采用配置加密对象的方式并不会使一部分数据包不加密,而是决定这些数据包加密的部分。而采用过滤配置信息,则会直接决定数据包是否会被加密。例如:有一些数据包本身就是发送给网络设备进行处理的,这部分数据包如果加密,还需要在将解密配置信息发送给网络设备,这样会存在安全隐患,而且还会导致不必要的加密和解密计算。因此,采用本实施例方案,可以提高安全性,而且可以节省计算资源。
可选地,上述入口模块为光模块,上述网络设备为路由器;
上述数据包接收单元901,具体用于接收需要途径路由器的数据包。
本实施例给出了入口模块的具体应用场景,是路由器应用场景下的光模块。作为本发明实施例的一个可选的应用场景,不应理解为对本发明实施例的唯一性限定。
本发明实施例还提供了一种出口模块,如图11所示,包括:
接收单元1101,用于接收途径网络设备后需要发往目的端的数据包,上述数据包由上述网络设备的入口模块加密;
解密单元1102,用于依据解密配置信息对上述数据包进行解密;
发送单元1103,用于将上述解密后的数据包发往上述目的端。
本实施例中,数据包在进入网络设备时被入口模块加密,在数据包出网络设备经过出口模块时,由出口模块进行解密;对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变,可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门,不但可以解决网络设备本身的信任问题,还可以提高网络设备的安全性。
可选地,上述出口模块为光模块,上述网络设备为路由器;
上述接收单元1101,具体用于接收途径路由器后需要发往目的端的数据包,上述数据包由上述路由器入口的光模块加密。
本实施例给出了出口模块的具体应用场景,是路由器应用场景下的光模块。作为本发明实施例的一个可选的应用场景,不应理解为对本发明实施例的唯一性限定。
进一步地,上述接收单元1101,还用于接收来自配置中心的第二过滤配置信息;
上述解密单元1102,具体用于确定上述接收数据包单元接收的数据包是否属于上述第二过滤配置信息中指定的不需要解密的数据包,若否,则依据上述解密配置信息对上述数据包进行解密。
在本实施例中,采用配置解密对象的方式并不会使一部分数据包不解密,而是决定这些数据包解密的部分。而采用过滤配置信息,则会直接决定数据包是否会被解密。例如:有一些数据包本身就是发送给网络设备进行处理的,这部分数据包如果加密,还需要在将解密配置信息发送给网络设备,这样会存在安全隐患,而且还会导致不必要的加密和解密计算。因此,采用本实施例方案,可以提高安全性,而且可以节省计算资源。
本发明实施例还提供了一种网络设备,如图12所示,包括:
本发明实施例提供的任意一项的入口模块1201,以及本发明实施例提供的任意一项的出口模块1202。
本实施例,数据包在进入网络设备时被加密,对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变,可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门,不但可以解决网络设备本身的信任问题,还可以提高网络设备的安全性。
本发明实施例还提供了一种网络安全管理***,如图13所示,包括:本发明实施例提供的任意一项的配置中心1301,本发明实施例提供的任意一项的入口模块1302,以及本发明实施例提供的任意一项的出口模块1302;或者,如图14所示,包括:本发明实施例提供的任意一项的配置中心1401,以及本发明实施例提供的网络设备1402。
本实施例,数据包在进入网络设备时被加密,对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变,可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门,不但可以解决网络设备本身的信任问题,还可以提高网络设备的安全性。
进一步地,如图15所示,若上述配置中心向SDN控制器发送加密配置信息,上述***还包括:SDN控制器1501;
上述SDN控制器1501,用于对转发表进行与数据包相同的加扰处理,并将加扰处理后的转发表发送给上述网络设备1402。
在本实施例中,网络设备为路由器。在本实施例中,还引入了新的设备SDN控制器,配置中心还会将加密配置信息发送给SDN控制器,SDN控制器对转发表进行加扰,然后将加扰后的转发表发送给网络设备,网络设备会使用加扰后的转发表执行转发功能。以上方案对转发表进行了加扰处理,由于对转发表的加扰方式与对数据包的加扰方式相同,因此加扰后的转发表可以被路由器正确使用。
本发明实施实还提供了另一种配置中心,如图16所示,包括:处理器1601、发射器1602,以及存储器1603;上述存储器1603可以用于处理器进行处理时的数据缓存等存储功能;
其中,处理器1601,用于确定加密配置信息以及与上述加密配置信息对应的解密配置信息;
发射器1602,用于将上述加密配置信息发送给网络设备的入口模块,将上述解密配置信息发送给上述网络设备的出口模块;上述加密配置信息用于使上述入口模块加密进入上述网络设备的数据包,上述解密配置信息用于使上述出口模块解密发出上述网络设备的数据包,上述出口模块解密的数据包是经上述入口模块加密的数据包。
本实施例,数据包在进入网络设备时被加密,对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变,可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门,不但可以解决网络设备本身的信任问题,还可以提高网络设备的安全性。
本发明实施例还给出了加密配置信息以及对应的解密配置信息的可选方案如下:上述加密配置信息包括:加密对象以及加密规则,上述加密对象指定了数据包需要加密的部分;
上述解密配置信息包括:解密对象以及解密规则,上述解密对象指定了数据包需要解密的部分,与上述需要加密的部分相同。
在本发明实施例中,网络设备可以是任意的网络设备,本发明实施例对此不作唯一性的限定;另外,本发明实施例给出了一个具体的应用场景如下:上述网络设备为路由器,上述入口模块和上述出口模块均为光模块;
上述加密对象包括:加扰对象,上述加扰对象指定了数据包需要加扰的部分;上述加密规则包括:加扰算法以及密钥;上述解密对象包括:解扰对象,上述解扰对象指定了数据包需要解扰的部分;上述解密规则包括:与上述加扰算法对应的解扰算法以及上述密钥。
在本发明实施例中,即使在路由器这种特定的应用场景,加扰的部分可以是整个数据包也可以是仅载荷部分,还可以是任意的其他设定部分;但是由于对数据包的协议头进行加扰,会导致数据包转发受影响,因此基于此本发明实施例提供了如下三种解决方案,如下:若加扰的部分包括数据包的协议头部分,上述发射器1602,还用于向上述网络设备发送上述加密配置信息,使上述网络设备对转发表的表项进行与上述数据包相同的加扰处理;
或者,上述发射器1602,还用于向上述网络设备发送经加扰处理后的转发表;上述加扰处理后的转发表使用的加扰方式,与上述数据包的加扰方式相同;
或者,上述发射器1602,还用于向SDN发送上述加密配置信息,使上述SDN控制器对转发表进行与上述数据包相同的加扰处理,并将加扰处理后的转发表发送给上述网络设备。
除了控制对数据包加密的部分进行控制以外,还可以控制是否需要对数据包进行加密,具体方案如下:上述处理器1601,还用于确定第一过滤配置信息和对应的第二过滤配置信息,上述第一过滤配置信息指定了不需要加密的数据包,上述第二过滤配置信息指定了不需要解密的数据包;
上述发射器1602,还用于将上述第一过滤配置信息发送给上述入口模块,将上述第二过滤配置信息发送给上述出口模块。
本发明实施例还提供了另一种入口模块,如图17所示,包括:接收器1701,发射器1702,处理器1703以及存储器1704;其中存储器1704可以在处理器1703运行过程中为其提供存储资源;
上述接收器1701,用于接收需要途径网络设备的数据包;
上述处理器1703,用于依据加密配置信息对上述数据包进行加密;
上述发射器1702,用于将上述加密后的数据包发往上述网络设备,使上述网络设备转发给具有数据包解密功能的出口模块。
本实施例中,数据包在进入网络设备时被入口模块加密,对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变,可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门,不但可以解决网络设备本身的信任问题,还可以提高网络设备的安全性。
可选地,上述加密配置信息包括:加密对象,以及加密规则;上述加密对象指定了数据包需要加密的部分;
上述处理器1703,具体用于采用上述加密规则对上述数据包中的上述需要加密的部分进行加密。
在本实施例中,加密配置信息中除了加密规则以外,还携带了用于指定需要加密的部分的信息,因此可以灵活的控制对数据包加密的具体部分。
进一步地,上述接收器1701,还用于接收来自配置中心的第一过滤配置信息;
上述处理器1703,具体用于确定上述数据包是否属于上述第一过滤配置信息中指定的不需要加密的数据包,若否,则依据上述加密配置信息对上述数据包进行加密。
可选地,上述入口模块为光模块,上述网络设备为路由器;
上述接收器1701,具体用于接收需要途径路由器的数据包。
本实施例给出了入口模块的具体应用场景,是路由器应用场景下的光模块。作为本发明实施例的一个可选的应用场景,不应理解为对本发明实施例的唯一性限定。
本发明实施例还提供了另一种出口模块,如图18所示,包括:接收器1801,发射器1802,处理器1803以及存储器1804;其中存储器1804可以在处理器1803运行过程中为其提供存储资源;
上述接收器1801,用于接收途径网络设备后需要发往目的端的数据包,上述数据包由上述网络设备的入口模块加密;
上述处理器1803,用于依据解密配置信息对上述数据包进行解密;
上述发射器1802,用于将上述解密后的数据包发往上述目的端。
可选地,上述出口模块为光模块,上述网络设备为路由器;
上述接收器1801,具体用于接收途径路由器后需要发往目的端的数据包,上述数据包由上述路由器入口的光模块加密。
本实施例给出了出口模块的具体应用场景,是路由器应用场景下的光模块。作为本发明实施例的一个可选的应用场景,不应理解为对本发明实施例的唯一性限定。
进一步地,上述接收器1801,还用于接收来自配置中心的第二过滤配置信息;
上述上述处理器1803,具体用于确定上述接收数据包单元接收的数据包是否属于上述第二过滤配置信息中指定的不需要解密的数据包,若否,则依据上述解密配置信息对上述数据包进行解密。
在本实施例中,采用配置解密对象的方式并不会使一部分数据包不解密,而是决定这些数据包解密的部分。而采用过滤配置信息,则会直接决定数据包是否会被解密。例如:有一些数据包本身就是发送给网络设备进行处理的,这部分数据包如果加密,还需要在将解密配置信息发送给网络设备,这样会存在安全隐患,而且还会导致不必要的加密和解密计算。因此,采用本实施例方案,可以提高安全性,而且可以节省计算资源。
值得注意的是,上述装置只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
另外,本领域普通技术人员可以理解实现上述各方法实施例中的全部或部分步骤是可以通过程序来指令相关的硬件完成,相应的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (20)
1.一种网络安全管理方法,其特征在于,包括:
配置中心确定加密配置信息以及与所述加密配置信息对应的解密配置信息;
所述配置中心将所述加密配置信息发送给网络设备的入口模块,将所述解密配置信息发送给所述网络设备的出口模块;
所述加密配置信息用于使所述入口模块加密进入所述网络设备的数据包,所述解密配置信息用于使所述出口模块解密发出所述网络设备的数据包,所述出口模块解密的数据包是经所述入口模块加密的数据包。
2.根据权利要求1所述方法,其特征在于,所述加密配置信息包括:加密对象以及加密规则,所述加密对象指定了数据包需要加密的部分;
所述解密配置信息包括:解密对象以及解密规则,所述解密对象指定了数据包需要解密的部分,与所述需要加密的部分相同。
3.根据权利要求2所述方法,其特征在于,所述网络设备为路由器,所述入口模块和所述出口模块均为光模块;
所述加密对象包括:加扰对象,所述加扰对象指定了数据包需要加扰的部分;所述加密规则包括:加扰算法以及密钥;所述解密对象包括:解扰对象,所述解扰对象指定了数据包需要解扰的部分;所述解密规则包括:与所述加扰算法对应的解扰算法以及所述密钥。
4.根据权利要求3所述方法,其特征在于,若加扰的部分包括数据包的协议头部分,所述方法还包括:
所述配置中心向所述网络设备发送所述加密配置信息,使所述网络设备对转发表的表项进行与所述数据包相同的加扰处理;
或者,所述配置中心向所述网络设备发送经加扰处理后的转发表;所述加扰处理后的转发表使用的加扰方式,与所述数据包的加扰方式相同;
或者,所述配置中心向软件定义的网络SDN控制器发送所述加密配置信息,使所述SDN控制器对转发表进行与所述数据包相同的加扰处理,并将加扰处理后的转发表发送给所述网络设备。
5.根据权利要求1至4任意一项所述方法,其特征在于,所述方法还包括:
所述配置中心确定第一过滤配置信息和对应的第二过滤配置信息,所述第一过滤配置信息指定了不需要加密的数据包,所述第二过滤配置信息指定了不需要解密的数据包;
所述配置中心将所述第一过滤配置信息发送给所述入口模块,将所述第二过滤配置信息发送给所述出口模块。
6.一种配置中心,其特征在于,包括:
配置信息确定单元,用于确定加密配置信息以及与所述加密配置信息对应的解密配置信息;
信息发送单元,用于将所述加密配置信息发送给网络设备的入口模块,将所述解密配置信息发送给所述网络设备的出口模块;所述加密配置信息用于使所述入口模块加密进入所述网络设备的数据包,所述解密配置信息用于使所述出口模块解密发出所述网络设备的数据包,所述出口模块解密的数据包是经所述入口模块加密的数据包。
7.根据权利要求6所述配置中心,其特征在于,
所述加密配置信息包括:加密对象以及加密规则,所述加密对象指定了数据包需要加密的部分;所述解密配置信息包括:解密对象以及解密规则,所述解密对象指定了数据包需要解密的部分,与所述需要加密的部分相同。
8.根据权利要求7所述配置中心,其特征在于,所述加密对象包括:加扰对象,所述加扰对象指定了数据包需要加扰的部分;所述加密规则包括:加扰算法以及密钥;所述解密对象包括:解扰对象,所述解扰对象指定了数据包需要解扰的部分;所述解密规则包括:与所述加扰算法对应的解扰算法以及所述密钥;
所述信息发送单元,具体用于将所述加密配置信息发送给路由器入口的光模块,将所述解密配置信息发送给所述路由器出口的光模块。
9.根据权利要求8所述配置中心,其特征在于,若加扰的部分包括数据包的协议头部分;
所述信息发送单元,还用于向所述网络设备发送所述加密配置信息,使所述网络设备对转发表的表项进行与所述数据包相同的加扰处理;
或者,所述信息发送单元,还用于向所述网络设备发送经加扰处理后的转发表;所述加扰处理后的转发表使用的加扰方式,与所述数据包的加扰方式相同;
或者,所述信息发送单元,还用于向软件定义的网络SDN控制器发送所述加密配置信息,使所述SDN控制器对转发表进行与所述数据包相同的加扰处理,并将加扰处理后的转发表发送给所述网络设备。
10.根据权利要求6至9任意一项所述配置中心,其特征在于,所述配置中心还包括:
过滤信息确定单元,用于确定第一过滤配置信息和对应的第二过滤配置信息,所述第一过滤配置信息指定了不需要加密的数据包,所述第二过滤配置信息指定了不需要解密的数据包;
所述信息发送单元,还用于将所述第一过滤配置信息发送给所述入口模块,将所述第二过滤配置信息发送给所述出口模块。
11.一种入口模块,其特征在于,包括:
数据包接收单元,用于接收需要途径网络设备的数据包;
数据包加密单元,用于依据加密配置信息对所述数据包进行加密;
数据包发送单元,用于将所述加密后的数据包发往所述网络设备,使所述网络设备转发给具有数据包解密功能的出口模块;
所述加密配置信息包括:加密对象,以及加密规则,所述加密对象指定了所述数据包需要加密的部分。
12.根据权利要求11所述入口模块,其特征在于,所述入口模块还包括:
过滤信息接收单元,用于接收来自配置中心的第一过滤配置信息;
所述数据包加密单元,具体用于确定所述数据包是否属于所述第一过滤配置信息中指定的不需要加密的数据包,若否,则依据所述加密配置信息对所述数据包进行加密。
13.根据权利要求11或12所述入口模块,其特征在于,所述加密配置信息包括:加密对象,以及加密规则;所述加密对象指定了数据包需要加密的部分;
所述数据包加密单元,具体用于采用所述加密规则对所述数据包中的所述需要加密的部分进行加密。
14.根据权利要求11或12所述入口模块,其特征在于,所述入口模块为光模块,所述网络设备为路由器;
所述数据包接收单元,具体用于接收需要途径路由器的数据包。
15.一种出口模块,其特征在于,包括:
接收单元,用于接收途径网络设备后需要发往目的端的数据包,所述数据包由所述网络设备的入口模块加密;
解密单元,用于依据解密配置信息对所述数据包进行解密;
发送单元,用于将所述解密后的数据包发往所述目的端;
所述解密配置信息包括:解密对象以及解密规则,所述解密对象指定了所述数据包需要解密的部分。
16.根据权利要求15所述出口模块,其特征在于,所述出口模块为光模块,所述网络设备为路由器;
所述接收单元,具体用于接收途径路由器后需要发往目的端的数据包,所述数据包由所述路由器入口的光模块加密。
17.根据权利要求15所述出口模块,其特征在于,
所述接收单元,还用于接收来自配置中心的第二过滤配置信息;
所述解密单元,具体用于确定所述接收数据包单元接收的数据包是否属于所述第二过滤配置信息中指定的不需要解密的数据包,若否,则依据所述解密配置信息对所述数据包进行解密。
18.一种网络设备,其特征在于,包括:
权利要求11~14任意一项的入口模块,以及权利要求15~17任意一项的出口模块。
19.一种网络安全管理***,其特征在于,包括:
权利要求6~10任意一项的配置中心,权利要求11~14任意一项的入口模块,以及权利要求15~17任意一项的出口模块;或者,包括:权利要求6~10任意一项的配置中心,以及权利要求18的网络设备。
20.根据权利要求19所述***,其特征在于,若所述配置中心向SDN控制器发送加密配置信息,所述***还包括:SDN控制器;
所述SDN控制器,用于对转发表进行与数据包相同的加扰处理,并将加扰处理后的转发表发送给所述网络设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410650194.XA CN105656655B (zh) | 2014-11-14 | 2014-11-14 | 一种网络安全管理方法、装置,及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410650194.XA CN105656655B (zh) | 2014-11-14 | 2014-11-14 | 一种网络安全管理方法、装置,及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105656655A CN105656655A (zh) | 2016-06-08 |
CN105656655B true CN105656655B (zh) | 2019-07-23 |
Family
ID=56478977
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410650194.XA Active CN105656655B (zh) | 2014-11-14 | 2014-11-14 | 一种网络安全管理方法、装置,及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105656655B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106657121B (zh) * | 2016-12-30 | 2019-10-08 | 盛科网络(苏州)有限公司 | 镜像802.1ae明文和密文的方法及交换芯片 |
CN108632201A (zh) * | 2017-03-16 | 2018-10-09 | 中兴通讯股份有限公司 | 加密装置、解密装置及判断报文是否要加密或解密的方法 |
CN107800716B (zh) * | 2017-11-14 | 2020-05-01 | 中国银行股份有限公司 | 一种数据处理方法及装置 |
CN110011939B (zh) * | 2019-04-12 | 2021-06-01 | 无锡中金鼎讯信通科技股份有限公司 | 一种支持量子密钥进行数据加密以太网交换机 |
CN111756767A (zh) * | 2020-07-06 | 2020-10-09 | 成都卫士通信息产业股份有限公司 | 流媒体数据传输方法、装置、电子设备及计算机存储介质 |
CN111885070A (zh) * | 2020-07-29 | 2020-11-03 | 解来斌 | 一种网络与信息安全管理*** |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1443318A (zh) * | 2000-07-21 | 2003-09-17 | 惠普公司 | 用于按要求的安全文档打印的两极加密高速缓存 |
CN101179374A (zh) * | 2006-11-09 | 2008-05-14 | 日电(中国)有限公司 | 通信设备、通信***及其方法 |
CN101261666A (zh) * | 2008-04-10 | 2008-09-10 | 北京深思洛克数据保护中心 | 一种通过加密可执行程序文件实现软件版权保护的方法 |
CN101741827A (zh) * | 2008-11-11 | 2010-06-16 | 刘芳 | 网络安全处理装置及其方法 |
CN103746815A (zh) * | 2014-02-14 | 2014-04-23 | 浙江中控研究院有限公司 | 安全通信方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040107344A1 (en) * | 2001-05-14 | 2004-06-03 | Atsushi Minemura | Electronic device control apparatus |
-
2014
- 2014-11-14 CN CN201410650194.XA patent/CN105656655B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1443318A (zh) * | 2000-07-21 | 2003-09-17 | 惠普公司 | 用于按要求的安全文档打印的两极加密高速缓存 |
CN101179374A (zh) * | 2006-11-09 | 2008-05-14 | 日电(中国)有限公司 | 通信设备、通信***及其方法 |
CN101261666A (zh) * | 2008-04-10 | 2008-09-10 | 北京深思洛克数据保护中心 | 一种通过加密可执行程序文件实现软件版权保护的方法 |
CN101741827A (zh) * | 2008-11-11 | 2010-06-16 | 刘芳 | 网络安全处理装置及其方法 |
CN103746815A (zh) * | 2014-02-14 | 2014-04-23 | 浙江中控研究院有限公司 | 安全通信方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105656655A (zh) | 2016-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105656655B (zh) | 一种网络安全管理方法、装置,及*** | |
CN109842585B (zh) | 面向工业嵌入式***的网络信息安全防护单元和防护方法 | |
CN110996318B (zh) | 一种变电站智能巡检机器人安全通信接入*** | |
US9219709B2 (en) | Multi-wrapped virtual private network | |
CN102882789B (zh) | 一种数据报文处理方法、***及设备 | |
EP2357763B1 (en) | Methods apparatuses for crossing virtual firewall to transmit and receive data | |
KR100940525B1 (ko) | 소켓 레벨 가상 사설망 통신 장치 및 방법 | |
US20130332724A1 (en) | User-Space Enabled Virtual Private Network | |
CN105721317B (zh) | 一种基于sdn的数据流加密方法和*** | |
CN106341404A (zh) | 基于众核处理器的IPSec VPN***及加解密处理方法 | |
Lu et al. | Ipsec implementation on xilinx virtex-ii pro fpga and its application | |
CN108712364B (zh) | 一种sdn网络的安全防御***及方法 | |
CN110266725A (zh) | 密码安全隔离模块及移动办公安全*** | |
CN110430178A (zh) | 一种用于网络安全***防护的安全芯片及使用该芯片的网络安全*** | |
WO2014046604A2 (en) | Method and device for network communication management | |
US20110145572A1 (en) | Apparatus and method for protecting packet-switched networks from unauthorized traffic | |
Touil et al. | Secure and guarantee QoS in a video sequence: a new approach based on TLS protocol to secure data and RTP to ensure real-time exchanges | |
O’Raw et al. | Securing the industrial Internet of Things for critical infrastructure (IIoT-CI) | |
Tippenhauer et al. | Vbump: Securing ethernet-based industrial control system networks with vlan-based traffic aggregation | |
O'Raw et al. | IEC 61850 substation configuration language as a basis for automated security and SDN configuration | |
CN110417706A (zh) | 一种基于交换机的安全通信方法 | |
Shah et al. | A review on security on internet of things | |
US20230269077A1 (en) | On-demand formation of secure user domains | |
Zhan et al. | GUARDBOX: A high-performance middlebox providing confidentiality and integrity for packets | |
Qu et al. | Research and application of encrypted data transmission based on IPSec |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |