例配置中心结构示意图;
[0077]图17为本发明实施例入口模块结构示意图;
[0078]图18为本发明实施例出口模块结构示意图。
【具体实施方式】
[0079]为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0080]本发明实施例提供了一种网络安全管理方法,如图1所示,请一并参阅图2以及图3所示,包括:
[0081]101:配置中心确定加密配置信息以及与上述加密配置信息对应的解密配置信息;
[0082]加密配置信息是用来指定如何加密的配置信息,例如:加密规则,加密对象等信息。加密规则可以包含:加密算法以及密钥,或者加密算法、公钥以及私钥;加密的算法有很多,例如:对称算法(Data Encrypt1n Standard, DES),数字签名算法(DigitalSignature Algorithm, DSA),消息摘要算法第五版(Message Digest Algorithm, MD5)等,除了以上加密算法以外,加扰算法也属于加密算法,例如:对数据进行异或运算扰乱原数据的算法。加密对象,则是要指定对数据包的哪些部分进行加密,例如:对整个数据包进行加密,或者对协议头进行加密,或者仅对载荷部分加密。具体依据不同的应用需求进行设定,本发明实施例不做唯一性限定。配置中心确定加密配置信息以及与上述加密配置信息对应的解密配置信息的过程,可以是接收用户的设定,也可以是基于当前的应用场景的固定配置,具体如何确定加密配置信息以及对应的解密配置信息的过程并不会影响到本发明实施例的实现,因此本发明实施例也不作唯一性限定。
[0083]102:上述配置中心将上述加密配置信息发送给网络设备的入口模块,将上述解密配置信息发送给上述网络设备的出口模块;上述加密配置信息用于使上述入口模块加密进入上述网络设备的数据包,上述解密配置信息用于使上述出口模块解密发出上述网络设备的数据包,上述出口模块解密的数据包是经上述入口模块加密的数据包。
[0084]在本实施例中,配置中心发送加密配置信息给入口模块,并且发送解密配置信息给出口模块以后;请参阅图2所示,数据包从入口模块进入,经入口模块加密后得到加密的数据包,加密的数据包由入口模块发送给网络设备,然后网络设备将加密的数据包转发给出口模块,出口模块对加密的数据包进行解密,得到解密后的数据包。
[0085]本实施例,数据包在进入网络设备时被加密,对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变,可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门,不但可以解决网络设备本身的信任问题,还可以提高网络设备的安全性。
[0086]本发明实施例还给出了加密配置信息以及对应的解密配置信息的可选方案如下:上述加密配置信息包括:加密对象以及加密规则,上述加密对象指定了数据包需要加密的部分;
[0087]上述解密配置信息包括:解密对象以及解密规则,上述解密对象指定了数据包需要解密的部分,与上述需要加密的部分相同。
[0088]在本实施例中,加密配置信息中除了加密规则以外,还携带了用于指定需要加密的部分的信息,因此可以灵活的控制对数据包加密的具体部分。由于对数据包进行加密,会对网络业务造成影响,例如:对协议头进行加密,则可能影响到网络设备提供的业务服务。因此,通过在加密配置信息中加入加密对象,可以按照业务需求或者数据包的安全性需求灵活控制,而不必一定对整个数据包进行加密。解密配置信息是与加密配置信息具有相应关系的信息,由于出口模块不一定能够检测到数据包的哪个部分进行了加密,因此在解密配置信息中也加入了解密对象。另外,即使出口模块可以检测到数据包加密的部分,通过在解密配置信息中也加入解密对象也可以节省检测加密部分所需要的计算资源。
[0089]在本发明实施例中,网络设备可以是任意的网络设备本发明实施例对此不作唯一性的限定;另外,本发明实施例给出了一个具体的应用场景如下:上述网络设备为路由器,上述入口模块和上述出口模块均为光模块;
[0090]上述加密对象包括:加扰对象,上述加扰对象指定了数据包需要加扰的部分;上述加密规则包括:加扰算法以及密钥;上述解密对象包括:解扰对象,上述解扰对象指定了数据包需要解扰的部分;上述解密规则包括:与上述加扰算法对应的解扰算法以及上述密钥。
[0091]本实施例中,加密采用的是加扰的方式完成,对于路由器这种特定的应用场景而言,如果仅是为了避免数据包触发后门,可以不用执行复杂的加密算法,这样可以减少计算量避免加密解密对路由器响应速度的影响。加扰是加密的一种,相比于其他如MD5类的加密而言,计算量会小很多,可以作为路由器这一特定应用场景下的优选实现方案。
[0092]上述光模块可以是采用现场可编程门阵列(Field Programmable Gate Array,FPGA)实现的光模块。
[0093]在本发明实施例中,即使在路由器这种特定的应用场景,加扰的部分可以是整个数据包也可以是仅载荷部分,还可以是任意的其他设定部分;但是由于对数据包的协议头进行加扰,会导致数据包转发受影响,因此基于此本发明实施例提供了如下三种解决方案,如下:若加扰的部分包括数据包的协议头部分,上述方法还包括:
[0094]上述配置中心向上述网络设备发送上述加密配置信息,使上述网络设备对转发表的表项进行与上述数据包相同的加扰处理;
[0095]或者,上述配置中心向上述网络设备发送经加扰处理后的转发表;上述加扰处理后的转发表使用的加扰方式,与上述数据包的加扰方式相同;
[0096]或者,上述配置中心向软件定义的网络交换数据网络(Switched Data Network,SDN)控制器发送上述加密配置信息,使上述SDN控制器对转发表进行与上述数据包相同的加扰处理,并将加扰处理后的转发表发送给上述网络设备。
[0097]在本实施例中,网络设备为路由器。在本实施例中,还引入了新的设备SDN控制器,因此处理流程会有少许修改,请参阅图3所示,与图2相比,区别在于配置中心还会将加密配置信息发送给SDN控制器,SDN控制器对转发表进行加扰,然后将加扰后的转发表发送给网络设备,网络设备会使用加扰后的转发表执行转发功能。
[0098]以上三种方案,均对转发表进行了加扰处理,由于对转发表的加扰方式与对数据包的加扰方式相同,因此加扰后的转发表可以被路由器正确使用。本实施例给出了路由表的实例进行举例来说明这一点,具体如下:
[0099]假设路由表有3项:
[0100]10.10.10.10 portl
[0101]10.11.*.* port2
[0102]10.*.*.* port3
[0103]现在接收到一个目的网络协议(Internet Protocol, IP)地址是10.11.1.1的报文(数据包),根据最长匹配原理,应该匹配第2个表项。
[0104]报文的目的IP用16进制表示为(OxOa, 0x0b, 0x01, 0x01),加扰算法用报文的目的IP与0x81做异或,异或后变成了 (0x8b, 0x8a, 0x80,0x80);
[0105]3个路由表项也分别与0x81进行异或,得到:
[0106]0x8b,0x8b, 0x8b, 0x8b portl
[0107]0x8b, 0x8a, *,*port2
[0108]0x8b, *,*,*port3
[0109]采用加扰后的报文与加扰后的路由表匹配port2对应的路由,与原始的匹配结果一致。因此,采用加扰后的报文与加扰后的路由表,只要加扰方式相同,不会影响到路由的具体实现。
[0110]除了控制对数据包加密的部分进行控制以外,还可以控制是否需要对数据包进行加密,具体方案如下:上述方法还包括:
[0111]上述配置中心确定第一过滤配置信息和对应的第二过滤配置信息,上述第一过滤配置信息指定了不需要加密的数据包,上述第二过滤配置信息指定了不需要解密的数据包;
[0112]上述配置中心将上述第一过滤配置信息发送给上述入口模块,将上述第二过滤配置信息发送给上述出口模块。
[0113]在本实施例中,使用了过滤配置信息来指定哪些数据包不需要加密以及哪些数据包不需要解密。由于入口模块和出口模块可以是两个独立的物理实体,而且中间还有网络设备,出口模块并不会必然的获知哪些数据包被入口模块加密了,而对于哪些未被加密的数据包而言,是不需要解密的;可是若加密采用的是加扰的方式,那么未被加扰的的数据包,在发出网络设备时被解扰将会导致目的端的设备无法识别,所以在本实施例中,除了第一过滤配置信息,还需要第二过滤配置信息与之对应。通过过滤配置信息来控制是否需要对数据包进行加密,与通过加密对象来控制的方式相比存在较大区别,具体如下:采用配置加密对象的方式并不会使一部分数据包不加密,而是决定这些数据包加密的部分。而采用过滤配置信息,则会直接决定数据包是否会被加密。例如:有一些数据包本身就是发送给网络设备进行处理的,这部分数据包如果加密,还需要再将解密配置信息发送给网络设备,这样会存在安全隐患,而且还会导致不必要的加密和解密计算。因此,采用本实施例方案,可以提高安全性,而且可以节省计算资源。
[0114]以下实施例,将给出网络设备以路由器为例的三个具体应用场景的举例,对应路由器的应用场景,入口模块和出口模块将均为光模块,为了区分两个光模块,分别称为入口的光模块和出口的光模块,光模块会插接在线路处理单元(Line Processing Unit,LPU)单板上,由于信号是可逆的,光模块可以作为入口光模块使用,同时也可以作为出口光模块使用,以下实施例为方便起见,示意图中显示为两个独立的光模块分别代表出口的光模块和入口的光模块,另外两个光模块是可以在一块LPU单板上的,图示的两块独立的LPU单板通过交换网连接不应理解为对本发明实施例的限定。在路由器中,还包含有中央处理单元(Central Processing Unit, CPU)和网络处理器(Network Processor, NP),实际应用中路由器还可以有其他的功能部件,本实施例的示意图不应理解为对本发明实施例的限定。
[0115]—、假定路由器中的CPU是安全的,其他功能部件不安全;
[0116]系统结构以及报文的流向,如图4所示,LPU上有光模块,CPU和NP,LPU采用交换网连接,LPU、CPU、NP以及交换网均为路由器的部件;光模块在售卖时可以是独立的,也可以作为路由器的部件一并售卖。配置中心是独立的设备。
[0117]在本实施例中,假设路由器中的NP、流量管理(Traffic Management TM)等芯片均是不安全的(或者不确定是否安全),其中可能存在后门。假设路由器中的CPU是安全的。(PU的安全性,这可以通过公开操作系统连同软件的源代码给第三方审查机构审查实现。具体的实现过程如下:
[0118]首先:路由器设备正常工作之前,先由配置中心下发配置信息到各个LPU单板上的光模块和CPU ;
[0119]配置信息可以根据业务的需要进行设定,配置中心下发的算法中可以包括对报文的哪些字段进行处理,以及如何处理。
[0120]需要加密的字段可以是:整个IP报文、或IP报文的载荷、或TCP/UDP的载荷等;力口密所采用的加密算法可以如:数据加密标准(Data Encrypt1n Standard, DES)、RSA算法(RSA algorithm),或者是加扰,加扰对应的算法如异或算法等。密钥的长度是可变的,可以是8bit,56bit,128bit等长度。本发明实施例对此不作唯一性限定。