一种网络安全管理方法、装置，及系统的制作方法

一种网络安全管理方法、装置，及系统的制作方法
【技术领域】
[0001]本发明涉及通信技术领域，特别一种网络安全管理方法、装置，及系统
【背景技术】
[0002]路由器、交换机等网络设备正面临着严峻的安全问题。例如:中国国家互联网应急中心发布报告称，大量路由器存在漏洞和后门。这些漏洞和后门有的是外部攻击者通过逆向分析得到，有的是设备商出于调试等目的有意为之。常见的攻击手段包括设备中嵌入恶意电路、预设超级用户名和密码、预留传输控制协议(Transmiss1n Control Protocol,TCP)/用户数据报协议(User Datagram Protocol,UDP)端口、对含有特殊数据的报文进行特殊处理、夹带用户的敏感数据等。这些漏洞和后门的存在让运营商与用户对网络设备产生了信任危机，极大的影响了设备商的安全形象。
[0003]为了解决以上问题，目前采用的处理方式为:公开网络设备的电路图、软件源代码、相关资料等给第三方审查机构进行审查，由审查结构给出审查结果来证明网络设备的安全性。
[0004]以上处理方式需要设备商公开网络设备的核心机密，影响设备商的商业利益。另夕卜，公开的信息可能被恶意者获取，并修改已有产品实现发动新的网络攻击。因此以上处理方式存在巨大的安全隐患。

【发明内容】

[0005]本发明实施例提供了一种网络安全管理方法、装置，及系统，用于提高网络设备的安全性。
[0006]本发明实施例一方面提供了一种网络安全管理方法，包括:
[0007]配置中心确定加密配置信息以及与所述加密配置信息对应的解密配置信息；
[0008]所述配置中心将所述加密配置信息发送给网络设备的入口模块，将所述解密配置信息发送给所述网络设备的出口模块；
[0009]所述加密配置信息用于使所述入口模块加密进入所述网络设备的数据包，所述解密配置信息用于使所述出口模块解密发出所述网络设备的数据包，所述出口模块解密的数据包是经所述入口模块加密的数据包。
[0010]结合一方面的实现方式，在第一种可能的实现方式中，所述加密配置信息包括:力口密对象以及加密规则，所述加密对象指定了数据包需要加密的部分；
[0011]所述解密配置信息包括:解密对象以及解密规则，所述解密对象指定了数据包需要解密的部分，与所述需要加密的部分相同。
[0012]结合一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述网络设备为路由器，所述入口模块和所述出口模块均为光模块；
[0013]所述加密对象包括:加扰对象,所述加扰对象指定了数据包需要加扰的部分；所述加密规则包括:加扰算法以及密钥；所述解密对象包括:解扰对象，所述解扰对象指定了数据包需要解扰的部分；所述解密规则包括:与所述加扰算法对应的解扰算法以及所述密钥。
[0014]结合一方面的第二种可能的实现方式，在第三种可能的实现方式中，若加扰的部分包括数据包的协议头部分，所述方法还包括:
[0015]所述配置中心向所述网络设备发送所述加密配置信息，使所述网络设备对转发表的表项进行与所述数据包相同的加扰处理；
[0016]或者，所述配置中心向所述网络设备发送经加扰处理后的转发表；所述加扰处理后的转发表使用的加扰方式，与所述数据包的加扰方式相同；
[0017]或者，所述配置中心向软件定义的网络SDN控制器发送所述加密配置信息，使所述SDN控制器对转发表进行与所述数据包相同的加扰处理，并将加扰处理后的转发表发送给所述网络设备。
[0018]结合一方面、一方面第第一种、第二种或者第三种可能的实现方式，在第四种可能的实现方式中，所述方法还包括:
[0019]所述配置中心确定第一过滤配置信息和对应的第二过滤配置信息，所述第一过滤配置信息指定了不需要加密的数据包，所述第二过滤配置信息指定了不需要解密的数据包；
[0020]所述配置中心将所述第一过滤配置信息发送给所述入口模块，将所述第二过滤配置信息发送给所述出口模块。
[0021]本发明实施例二方面提供了一种配置中心，包括:
[0022]配置信息确定单元，用于确定加密配置信息以及与所述加密配置信息对应的解密配置信息；
[0023]信息发送单元，用于将所述加密配置信息发送给网络设备的入口模块，将所述解密配置信息发送给所述网络设备的出口模块；所述加密配置信息用于使所述入口模块加密进入所述网络设备的数据包，所述解密配置信息用于使所述出口模块解密发出所述网络设备的数据包，所述出口模块解密的数据包是经所述入口模块加密的数据包。
[0024]结合二方面的实现方式，在第一种可能的实现方式中，所述加密配置信息包括:力口密对象以及加密规则，所述加密对象指定了数据包需要加密的部分；所述解密配置信息包括:解密对象以及解密规则，所述解密对象指定了数据包需要解密的部分，与所述需要加密的部分相同。
[0025]结合二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述加密对象包括:加扰对象，所述加扰对象指定了数据包需要加扰的部分；所述加密规则包括:加扰算法以及密钥；所述解密对象包括:解扰对象，所述解扰对象指定了数据包需要解扰的部分；所述解密规则包括:与所述加扰算法对应的解扰算法以及所述密钥；
[0026]所述信息发送单元，具体用于将所述加密配置信息发送给路由器入口的光模块，将所述解密配置信息发送给所述路由器出口的光模块。
[0027]结合二方面的第二种可能的实现方式，在第三种可能的实现方式中，若加扰的部分包括数据包的协议头部分；
[0028]所述信息发送单元，还用于向所述网络设备发送所述加密配置信息，使所述网络设备对转发表的表项进行与所述数据包相同的加扰处理；
[0029]或者，所述信息发送单元，还用于向所述网络设备发送经加扰处理后的转发表；所述加扰处理后的转发表使用的加扰方式，与所述数据包的加扰方式相同；
[0030]或者，所述信息发送单元，还用于向软件定义的网络SDN控制器发送所述加密配置信息，使所述SDN控制器对转发表进行与所述数据包相同的加扰处理，并将加扰处理后的转发表发送给所述网络设备。
[0031]结合二方面、二方面第第一种、第二种或者第三种可能的实现方式，在第四种可能的实现方式中，所述配置中心还包括:
[0032]过滤信息确定单元，用于确定第一过滤配置信息和对应的第二过滤配置信息，所述第一过滤配置信息指定了不需要加密的数据包，所述第二过滤配置信息指定了不需要解密的数据包；
[0033]所述信息发送单元，还用于将所述第一过滤配置信息发送给所述入口模块，将所述第二过滤配置信息发送给所述出口模块。
[0034]本发明实施例三方面还提供了一种入口模块，包括:
[0035]数据包接收单元，用于接收需要途径网络设备的数据包；
[0036]数据包加密单元，用于依据加密配置信息对所述数据包进行加密；
[0037]数据包发送单元，用于将所述加密后的数据包发往所述网络设备，使所述网络设备转发给具有数据包解密功能的出口模块。
[0038]结合三方面的实现方式，在第一种可能的实现方式中，所述入口模块还包括:
[0039]过滤信息接收单元，用于接收来自配置中心的第一过滤配置信息；
[0040]所述数据包加密单元，具体用于确定所述数据包是否属于所述第一过滤配置信息中指定的不需要加密的数据包，若否，则依据所述加密配置信息对所述数据包进行加密。
[0041]结合三方面或者三方面的第一种可能的实现方式，在第二种可能的实现方式中，所述加密配置信息包括:加密对象，以及加密规则；所述加密对象指定了数据包需要加密的部分；
[0042]所述数据包加密单元，具体用于采用所述加密规则对所述数据包中的所述需要加密的部分进行加密。
[0043]结合三方面、三方面的第一种或者第二种可能的实现方式，在第三种可能的实现方式中，所述入口模块为光模块，所述网络设备为路由器；
[0044]所述数据包接收单元，具体用于接收需要途径路由器的数据包。
[0045]本发明实施例四方面提供了一种出口模块，包括:
[0046]接收单元，用于接收途径网络设备后需要发往目的端的数据包，所述数据包由所述网络设备的入口模块加密；
[0047]解密单元，用于依据解密配置信息对所述数据包进行解密；
[0048]发送单元，用于将所述解密后的数据包发往所述目的端。
[0049]结合四方面的实现方式，在第一种可能的实现方式中，所述出口模块为光模块，所述网络设备为路由器；
[0050]所述接收单元，具体用于接收途径路由器后需要发往目的端的数据包，所述数据包由所述路由器入口的光模块加密。
[0051]结合四方面的实现方式，在第二种可能的实现方式中，所述接收单元，还用于接收来自配置中心的第二过滤配置信息；
[0052]所述解密单元，具体用于确定所述接收数据包单元接收的数据包是否属于所述第二过滤配置信息中指定的不需要解密的数据包，若否，则依据所述解密配置信息对所述数据包进行解密。
[0053]本发明实施例五方面还提供了一种网络设备，包括:
[0054]本发明实施例提供的任意一项的入口模块，以及本发明实施例提供的任意一项的出口模块。
[0055]本发明实施例六方面还提供了一种网络安全管理系统，包括:
[0056]本发明实施例提供的任意一项的配置中心，本发明实施例提供的任意一项的入口模块，以及本发明实施例提供的任意一项的出口模块；或者，包括:本发明实施例提供的任意一项的配置中心，以及本发明实施例提供的网络设备。
[0057]结合六方面的实现方式，在第一种可能的实现方式中，若所述配置中心向SDN控制器发送加密配置信息，所述系统还包括:SDN控制器；
[0058]所述SDN控制器，用于对转发表进行与数据包相同的加扰处理，并将加扰处理后的转发表发送给所述网络设备。
[0059]从以上技术方案可以看出，本发明实施例具有以下优点:数据包在进入网络设备时被加密，对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变，可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门，不但可以解决网络设备本身的信任问题，还可以提高网络设备的安全性。
【附图说明】
[0060]为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0061]图1为本发明实施例方法流程示意图；
[0062]图2为本发明实施例方法流程示意图；
[0063]图3为本发明实施例方法流程示意图；
[0064]图4为本发明实施例系统结构以及报文的流向示意图；
[0065]图5为本发明实施例系统结构以及报文的流向示意图；
[0066]图6为本发明实施例系统结构以及报文的流向示意图；
[0067]图7为本发明实施例配置中心结构示意图；
[0068]图8为本发明实施例配置中心结构示意图；
[0069]图9为本发明实施例入口模块结构示意图；
[0070]图10为本发明实施例入口模块结构示意图；
[0071]图11为本发明实施例出口模块结构示意图；
[0072]图12为本发明实施例网络设备结构示意图；
[0073]图13为本发明实施例系统结构示意图；
[0074]图14为本发明实施例系统结构示意图；
[0075]图15为本发明实施例系统结构示意图；
[0076]图16为本发明实施