一种数据加解密方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络通信领域,特别涉及一种数据加解密方法及装置。
【背景技术】
[0002]虽然网络可以使经济、文化、医疗、科学、教育、交通等领域的信息更加有效和迅速地被获取、传输和应用,但如果网络系统和用户缺乏适当的安全保护措施,这些信息就很容易在传输过程中被非法获取,以及网络系统的其它资源被破坏等,从而使系统遭受重大损失。
[0003]为使网络系统资源被充分利用,要保证网络系统有很好的通信安全。要保证系统的通信安全,就要充分认识到网络系统的脆弱性,特别是网络通信系统和通信协议的不足,估计到网络可能遭受的各种威胁,并采取相应的安全策略,尽可能地减少各种风险,保证网络系统具有高度的可靠性、信息完整性和保密性。
[0004]在通信过程中,为防止敏感信息在网络上被窃取和识别,需要利用数据加解密技术对敏感信息进行加解密处理。数据加解密可以在不同层次上进行,例如应用层和数据链路层。
[0005]数据链路层加解密是对数据链路层传输的所有数据进行加解密,也就是说,处于数据链路两端的节点不能区分数据链路层传输的数据是否是需要加解密的敏感数据,因此,不能有选择性对数据进行加解密处理。
【发明内容】
[0006]本发明的目的在于提供一种数据加解密方法及设备,能更好地解决有选择性地对数据进行加解密处理的问题。
[0007]根据本发明的一个方面,提供了一种数据加解密方法,包括:
[0008]网络设备根据从服务器下载的IP地址过滤规则,对链路层所有数据的IP地址进行过滤处理;
[0009]所述网络设备根据过滤处理的结果,对需要在网络层加密传输的明文数据进行加密处理,以便在网络层传输密文数据;
[0010]所述网络设备根据过滤处理的结果,对网络层传输的需要解密的密文数据进行解密处理。
[0011]优选地,所述对链路层所有数据的IP地址进行过滤处理的步骤包括:
[0012]网络设备通过对链路层所有数据进行解析,得到所述链路层所有数据的IP地址,并判断所得到的IP地址是否满足所述从服务器下载的IP地址过滤规则;
[0013]若判断所得到的IP地址满足所述从服务器下载的IP地址过滤规则,则提取所述IP地址满足IP地址过滤规则的链路层数据。
[0014]优选地,所述IP地址过滤规则包括根据特定IP地址进行过滤、根据源IP地址和目的IP地址进行过滤、根据IP子段进行过滤处理中的至少一个。
[0015]优选地,所述网络设备根据过滤处理的结果,对需要在网络层加密传输的明文数据进行加密处理,以便在网络层传输密文数据的步骤包括:
[0016]所述网络设备根据过滤处理的结果,确定需要在网络层加密传输的明文数据;
[0017]所述网络设备对所确定的需要在网络层加密传输的明文数据进行加密处理,把所述明文数据变换为密文数据,再经由网络层传输。
[0018]优选地,网络设备根据过滤提取的链路层数据的IP地址,判断所述链路层数据是否来自其链接的用户终端,若判断所述链路层数据是来自其链接的用户终端,则确定所述链路层数据是需要在网络层加密传输的明文数据。
[0019]优选地,所述网络设备根据过滤处理的结果,对网络层传输的需要解密的密文数据进行解密处理的步骤包括:
[0020]所述网络设备根据过滤处理的结果,确定网络层传输的需要解密的密文数据;
[0021]所述网络设备对所确定的网络层传输的需要解密的密文数据进行解密处理,把所述密文数据变换为明文数据,再传送给接收该数据的用户终端。
[0022]优选地,网络设备根据过滤提取的链路层数据的IP地址,判断所述链路层数据是否需要发往其链接的用户终端,若判断所述链路层数据需要发往其链接的用户终端,则确定所述链路层数据是网络层传输的需要解密的密文数据。
[0023]根据本发明的另一方面,提供了一种数据加解密装置,包括:
[0024]过滤模块,用于根据从服务器下载的IP地址过滤规则,对链路层所有数据的IP地址进行过滤处理;
[0025]加密模块,用于根据过滤处理的结果,对需要在网络层加密传输的明文数据进行加密处理,以便在网络层传输密文数据;
[0026]解密模块,用于根据过滤处理的结果,对网络层传输的需要解密的密文数据进行解密处理。
[0027]优选地,所述过滤模块通过对链路层所有数据进行解析,得到所述链路层所有数据的IP地址,并判断所得到的IP地址是否满足所述从服务器下载的IP地址过滤规则,若判断所得到的IP地址满足所述从服务器下载的IP地址过滤规则,则提取所述IP地址满足IP地址过滤规则的链路层数据。
[0028]优选地,所述IP地址过滤规则包括根据特定IP地址进行过滤、根据源IP地址和目的IP地址进行过滤、根据IP子段进行过滤处理中的至少一个。
[0029]与现有技术相比较,本发明的有益效果在于:
[0030]本发明通过IP地址过滤规则,实现有选择性的对数据进行加解密处理,防止敏感?目息在网络上被窃取并识别。
【附图说明】
[0031]图1是本发明实施例提供的数据加解密方法框图;
[0032]图2是本发明实施例提供的数据加解密装置框图;
[0033]图3是本发明实施例提供的数据加解密系统拓扑图;
[0034]图4是本发明实施例提供的数据加解密流程图。
【具体实施方式】
[0035]以下结合附图对本发明的优选实施例进行详细说明,应当理解,以下所说明的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
[0036]图1是本发明实施例提供的数据加解密方法框图,如图1所示,步骤包括:
[0037]步骤SlOl:网络设备根据从服务器下载的IP地址过滤规则,对链路层所有数据的IP地址进行过滤处理。
[0038]具体地说,网络设备通过对链路层所有数据进行解析,得到所述链路层所有数据的IP地址,并判断所得到的IP地址是否满足所述从服务器下载的IP地址过滤规则,若判断所得到的IP地址满足所述从服务器下载的IP地址过滤规则,则提取所述IP地址满足IP地址过滤规则的链路层数据。
[0039]其中,所述IP地址过滤规则包括根据特定IP地址进行过滤、根据源IP地址和目的IP地址进行过滤、根据IP子段进行过滤处理中的至少一个。
[0040]步骤S102:所述网络设备根据过滤处理的结果,对需要在网络层加密传输的明文数据进行加密处理,以便在网络层传输密文数据。
[0041]具体地说,所述网络设备根据过滤处理的结果,确定需要在网络层加密传输的明文数据,并对所确定的需要在网络层加密传输的明文数据进行加密处理,把所述明文数据变换为密文数据,再经由网络层传输。
[0042]其中,网络设备根据过滤提取的链路层数据的IP地址,判断所述链路层数据是否来自其链接的用户终端,若判断所述链路层数据是来自其链接的用户终端,则确定所述链路层数据是需要在网络层加密传输的明文数据。
[0043]步骤S103:所述网络设备根据过滤处理的结果,对网络层传输的需要解密的密文数据进行解密处理。
[0044]具体地说,网络设备根据过滤处理的结果,确定网络层传输的需要解密的密文数据,并对所确定的网络层传输的需要解密的密文数据进行解密处理,把所述密文数据变换为明文数据,再传送给接收该数据的用户终端。
[0045]其中,网络设备根据过滤提取的链路层数据的IP地址,判断所述链路层数据是否需要发往其链接的用户终端,若判断所述链路层数据需要发往其链接的用户终端,则确定所述链路层数据是网络层传输的需要解密的密文数据。
[0046]也就是说,本发明首先对数据链路层的明文数据进行包头分析,得到IP地址,并根据分析得到的IP地址来判断是否需要加解密。如果不需要加解密,则直接对该明文