[0121]以加扰为例,配置中心下发的配置信息包含:算法以及密钥。
[0122]然后:报文进入入口的光模块后,光模块按照配置中心下发的算法以及密钥对报文进行加扰处理,加扰后的报文由NP进行处理;如果NP处理后的报文转交给CPU,则CPU对报文进行解扰,然后继续处理;如果NP处理后的报文经过交换网进入其他路由器线卡,最终到达出口光模块,则出口光模块对报文进行解扰。
[0123]作为加扰处理的一个实例:假定原始报文的载荷包含0x010x020x030x040x050x060x070x08这8个字节的数据,每个字节都与0x80进行异或,则结果就是 0x810x820x830x840x850x860x870x88。
[0124]在本实施例中,配置中心下发的算法有可能会影响NP的业务处理,例如:配置中心下发的算法要求对整个IP报文进行了加扰处理,这样会导致目的IP地址、TCP报文的端口都发生变化,因此路由查找、ACL(Access control list,访问控制列表)、NAT (NetworkAddress Transform,网络地址转换)等业务都会受到影响,本发明实施例提供了解决的方案,至少可以有两种:
[0125]一种方法是:在配置中心下发配置信息之前评估路由器需要支持的业务,按照业务来确定采用什么样的算法(比如仅对TCP/UDP的载荷进行处理)避免对IP头、TCP头处理之后影响NP正常的业务处理;该方法可以由配置中心向出口和入口的光模块下发过滤表来实现,过滤表的表项指定不需要加密的数据包类型。例如指定对IP头和TCP头的业务不进行加密,或者,通过在加密算法中指定的加密对象中不包含报文的IP头和TCP头。
[0126]另一种方法是:对业务对应的表项进行同步处理,比如:配置的算法要求对整个IP报文进行加扰,为了保证NP的正常报文转发,CPU向NP下发转发表时候,对转发表进行加扰处理,ACL表项也进行加扰处理,通过这种方法保证业务任然可以正常处理。对转发表以及ACL表项的加扰处理方式与入口的光模块对报文的加扰处理方式相同。
[0127]在本实施例中由于对所有报文进行加密,那么CPU对外发送的报文,如果未加密在出口光模块会出现错误解密的情况,本发明实施例提供了解决方案,如下=CPU对外发报文时,CPU对外发的报文进行加扰处理,这样,CPU外发的报文经出口的光模块时,出口光模块仍可以进行相应的解扰或解密处理,最终还原成正常的报文发送出去。
[0128]在本实施例中,光模块和路由器(不含光模块)可以由不同的厂商提供,由于光模块对报文进行了加密处理,在路由器内部(CPU除外)处理的报文始终是经过加密的报文,引发后门触发的特殊数据的报文由于经过了加密,加密之后变得与原报文不相同,这样就会大大降低后门被触发的概率。
[0129]二、假定路由器中所有的部件都是不安全的;
[0130]系统结构以及报文的流向,如图5所示,LPU上有光模块,CPU和NP,LPU采用交换网连接,LPU、CPU、NP以及交换网均为路由器的部件;光模块在售卖时可以是独立的,也可以作为路由器的部件一并售卖。配置中心是独立的设备。
[0131]在本实施例中,假设路由器中的NP等均是不安全的,其中可能存在后门。至于CPU是否安全可以通过公开操作系统连同软件的源代码给第三方审查机构审查实现。因此,也可以假设发送给路由器需要由CPU处理的报文是安全的。
[0132]首先:路由器设备正常工作之前,先由配置中心下发配置信息到各个LPU单板上的光模块;与前一实施例不同的是,配置信息不用下发给CPU,另外在本实施例中,还下发过滤表到给各个LPU单板上的光模块。
[0133]在本实施例中,过滤表中设定了不需要加扰的报文类型,如果不发送配置信息给CPU,那么过滤表应该包含发送给CPU的报文,因此过滤表中可以用来过滤NP需要转发给CPU处理的报文,例如路由协议报文,对于这些报文,光模块可以根据过滤表的指导不进行加扰处理,因此CPU也就不需要解扰,可以按原有流程处理。
[0134]然后:报文进入入口的光模块后,光模块按照配置中心下发的过滤表对报文进行过滤,如果报文匹配过滤表中一个或者多个表项,则光模块不对报文进行加扰处理;如果报文不匹配过滤表中的任何表项,则光模块会使用配置中心下发的算法与密钥对报文进行加扰处理,具体的处理方法同前一实施例在此不再赘述。
[0135]如果NP处理后的报文转交给CPU,这部分报文应该是满足过滤表规则的,没有被光模块加扰;因此CPU可以正常进行处理。如果NP处理后的报文转交给其他作为出口的光模块,则其他作为出口的光模块对报文进行解扰。
[0136]在本实施例中,过滤表的表项可以由报文头部的一个或者多个字段组成,例如根据虚拟局域网(Virtual Local Area Network, VLAN)号、IP报文的协议字段、源IP地址、目的IP地址、TCP端口(源端口、目的端口)、UDP端口(源端口、目的端口)等。过滤表的表项可以依据需要进行设定,具体内容本发明实施例不作唯一性限定。
[0137]在本实施例中,CPU对外发送报文时,CPU由于并没有接收到配置信息,因此CPU不会对外发的报文进行加扰处理,而出口的光模块上由于存在相应的过滤表表项,因此也不对此类报文进行解扰处理。
[0138]本实施例中的光模块和路由器(不含光模块)可以由不同的厂商提供,由于光模块对报文进行了加扰处理,在路由器内部(CPU除外)处理的报文始终是经过加扰的报文,引发后门触发的特殊数据的报文由于经过了加扰,加扰之后变得与原报文不相同,这样就会大大降低后门被触发的概率。
[0139]三、假定路由器中所有的部件都是不安全的;
[0140]在本实施例中,假设路由器采用的是软件定义的网络(Software DefinedNetwork, SDN)架构,在SDN网络中部署有SDN控制器。在这种架构的路由网络中,路由器不再需要处理路由协议,路由器中的转发表由SDN控制器下发。这种场景与前一实施例基本类似,请参阅图6所示,不同之处在于如果需要对整个IP报文进行加扰处理,那么配置中心会下发配置信息(加/解扰算法以及密钥)到SDN控制器,然后SDN控制器下发的转发表需要进行与报文相同的加扰处理;如果配置信息配置的是仅对报文的载荷(如IP载荷、TCP/UDP载荷)进行处理,则配置中心不需要对SDN控制器下发配置信息,SDN也不需要对转发表进行加扰处理。
[0141]由于路由协议功能已经由SDN控制器实现,因此LPU板上的CPU只需要接收来自SDN控制器的报文,因此光模块上的过滤表的表项将会更少,规则也将会更简单;相应地,光模块不需要加扰的报文也更少,能极大降低后门被触发的概率。
[0142]本发明实施例对报文进行加密处理对NP业务的影响及解决方法可以参考第一种应用场景的解决方案,不同之处在于本实施例中转发表是由SDN控制器下发给CPU的,在下发转发表之前SDN控制器需要对转发表进行与报文相同的加扰处理。
[0143]本实施例,路由器内部,CPU除外,处理的报文始终是经过加扰的报文,引发后门触发的特殊数据的报文由于经过了加扰,加扰之后变得与原报文不相同,这样就会大大降低后门被触发的概率。
[0144]本发明实施例还提供了一种配置中心,如图7所示,包括:
[0145]配置信息确定单元701,用于确定加密配置信息以及与上述加密配置信息对应的解密配置信息;
[0146]信息发送单元702,用于将上述加密配置信息发送给网络设备的入口模块,将上述解密配置信息发送给上述网络设备的出口模块;上述加密配置信息用于使上述入口模块加密进入上述网络设备的数据包,上述解密配置信息用于使上述出口模块解密发出上述网络设备的数据包,上述出口模块解密的数据包是经上述入口模块加密的数据包。
[0147]加密配置信息是用来指定如何加密的配置信息,例如:加密规则,加密对象等信息。加密规则可以包含:加密算法以及密钥,或者加密算法、公钥以及私钥;加密的算法有很多,例如:DES,DSA, MD5等,除了以上加密算法以外,加扰算法也属于加密算法,例如:对数据进行异或运算扰乱原数据的算法。加密对象,则是要指定对数据包的哪些部分进行加
LU O
[0148]本实施例,数据包在进入网络设备时被加密,对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变,可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门,不但可以解决网络设备本身的信任问题,还可以提高网络设备的安全性。
[0149]本发明实施例还给出了加密配置信息以及对应的解密配置信息的可选方案如下:可选地,上述加密配置信息包括:加密对象以及加密规则,上述加密对象指定了数据包需要加密的部分;上述解密配置信息包括:解密对象以及解密规则,上述解密对象指定了数据包需要解密的部分,与上述需要加密的部分相同。
[0150]在本实施例中,加密配置信息中除了加密规则以外,还携带了用于指定需要加密的部分的信息,因此可以灵活的控制对数据包加密的具体部分。由于对数据包进行加密,会对网络业务造成影响,例如:对协议头进行加密,则可能影响到网络设备提供的业务服务。因此,通过在加密配置信息中加入加密对象,可以按照业务需求或者数据包的安全性需求灵活控制,而不必一定对整个数据包进行加密。解密配置信息是与加密配置信息具有相应关系的信息,由于出口模块不一定能够检测到数据包的那个部分进行了加密,因此在解密配置信息中也加入了解密对象。另外,即使出口模块可以检测到数据包加密的部分,通过在解密配置信息中也加入解密对象也可以节省检测加密部分所需要的计算资源。因此本实施例可以作为一个优选的实现方式。
[0151]在本发明实施例中,网络设备可以是任意的网络设备,本发明实施例对此不作唯一性的限定;另外,本发明实施例给出了一个具体的应用场景如下:可选地,上述加密对象包括:加扰对象,上述加扰对象指定了数据包需要加扰的部分;上述加密规则包括:加扰算法以及密钥;上述解密对象包括:解扰对象,上述解扰对象指定了数据包需要解扰的部分;上述解密规则包括:与上述加扰算法对应的解扰算法以及上述密钥;
[0152]上述信息发送单元702,用于将上述加密配置信息发送给路由器入口的光模块,将上述解密配置信息发送给上述路由器出口的光模块。
[0153]本实施例中,加密采用的是加扰的方式完成,对于路由器这种特定的应用场景而言,如果仅是为了避免数据包触发后门,可以不用执行复杂的加密算法,这样可以减少计算量避免加密解密对路由器响应速度的影响。加扰是加密的一种,相比于其他如MD5类的加密而言,计算量会小很多,可以作为路由器这一特定应用场景下的优选实现方案。
[0154]在本发明实施例中,即使在路由器这种特定的应用场景,加扰的部分可以是整个数据包也可以是仅载荷部分,还可以是任意的其他设定部分;但是由于对数据包的协议头进行加扰,会导致数据包转发受影响,因此基于此本发明实施例提供了如下三种解决方案,如下:可选地,若加扰的部分包括数据包的协议头部分;
[0155]上述信息发送单元702,还用于向上述网络设备发送上述加密配置信息,使上述网络设备对转发表的表项进行与上述数据包相同的加扰处理;
[0156]或者,上述信息发送单元702,还用于向上述网络设备发送经加扰处理后的转发表;上述加扰处理后的转发表使用的加扰方式,与上述数据包的加扰方式相同;
[0157]或者,上述信息发送单元702,还用于向软件定义的网络SDN控制器发送上述加密配置信息,使上述SDN控制器对转发表进行与上述数据包相同的加扰处理,并将加扰处理后的转发表发送给上述网络设备。
[0158]在本实施例中,网络设备为路由器。在本实施例中,还引入了新的设备SDN控制器,配置中心还会将加密配置信息发送给SDN控制器,SDN控制器对转发表进行加扰,然后将加扰后的转发表发送给