全性。
[0215]可选地,上述加密配置信息包括:加密对象,以及加密规则;上述加密对象指定了数据包需要加密的部分;
[0216]上述处理器1703,具体用于采用上述加密规则对上述数据包中的上述需要加密的部分进行加密。
[0217]在本实施例中,加密配置信息中除了加密规则以外,还携带了用于指定需要加密的部分的信息,因此可以灵活的控制对数据包加密的具体部分。
[0218]进一步地,上述接收器1701,还用于接收来自配置中心的第一过滤配置信息;
[0219]上述处理器1703,具体用于确定上述数据包是否属于上述第一过滤配置信息中指定的不需要加密的数据包,若否,则依据上述加密配置信息对上述数据包进行加密。
[0220]可选地,上述入口模块为光模块,上述网络设备为路由器;
[0221]上述接收器1701,具体用于接收需要途径路由器的数据包。
[0222]本实施例给出了入口模块的具体应用场景,是路由器应用场景下的光模块。作为本发明实施例的一个可选的应用场景,不应理解为对本发明实施例的唯一性限定。
[0223]本发明实施例还提供了另一种出口模块,如图18所示,包括:接收器1801,发射器1802,处理器1803以及存储器1804 ;其中存储器1804可以在处理器1803运行过程中为其提供存储资源;
[0224]上述接收器1801,用于接收途径网络设备后需要发往目的端的数据包,上述数据包由上述网络设备的入口模块加密;
[0225]上述处理器1803,用于依据解密配置信息对上述数据包进行解密;
[0226]上述发射器1802,用于将上述解密后的数据包发往上述目的端。
[0227]可选地,上述出口模块为光模块,上述网络设备为路由器;
[0228]上述接收器1801,具体用于接收途径路由器后需要发往目的端的数据包,上述数据包由上述路由器入口的光模块加密。
[0229]本实施例给出了出口模块的具体应用场景,是路由器应用场景下的光模块。作为本发明实施例的一个可选的应用场景,不应理解为对本发明实施例的唯一性限定。
[0230]进一步地,上述接收器1801,还用于接收来自配置中心的第二过滤配置信息;
[0231]上述上述处理器1803,具体用于确定上述接收数据包单元接收的数据包是否属于上述第二过滤配置信息中指定的不需要解密的数据包,若否,则依据上述解密配置信息对上述数据包进行解密。
[0232]在本实施例中,采用配置解密对象的方式并不会使一部分数据包不解密,而是决定这些数据包解密的部分。而采用过滤配置信息,则会直接决定数据包是否会被解密。例如:有一些数据包本身就是发送给网络设备进行处理的,这部分数据包如果加密,还需要在将解密配置信息发送给网络设备,这样会存在安全隐患,而且还会导致不必要的加密和解密计算。因此,采用本实施例方案,可以提高安全性,而且可以节省计算资源。
[0233]值得注意的是,上述装置只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
[0234]另外,本领域普通技术人员可以理解实现上述各方法实施例中的全部或部分步骤是可以通过程序来指令相关的硬件完成,相应的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0235]以上仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
【主权项】
1.一种网络安全管理方法,其特征在于,包括: 配置中心确定加密配置信息以及与所述加密配置信息对应的解密配置信息; 所述配置中心将所述加密配置信息发送给网络设备的入口模块,将所述解密配置信息发送给所述网络设备的出口模块; 所述加密配置信息用于使所述入口模块加密进入所述网络设备的数据包,所述解密配置信息用于使所述出口模块解密发出所述网络设备的数据包,所述出口模块解密的数据包是经所述入口模块加密的数据包。2.根据权利要求1所述方法,其特征在于,所述加密配置信息包括:加密对象以及加密规则,所述加密对象指定了数据包需要加密的部分; 所述解密配置信息包括:解密对象以及解密规则,所述解密对象指定了数据包需要解密的部分,与所述需要加密的部分相同。3.根据权利要求2所述方法,其特征在于,所述网络设备为路由器,所述入口模块和所述出口模块均为光模块; 所述加密对象包括:加扰对象,所述加扰对象指定了数据包需要加扰的部分;所述加密规则包括:加扰算法以及密钥;所述解密对象包括:解扰对象,所述解扰对象指定了数据包需要解扰的部分;所述解密规则包括:与所述加扰算法对应的解扰算法以及所述密钥。4.根据权利要求3所述方法,其特征在于,若加扰的部分包括数据包的协议头部分,所述方法还包括: 所述配置中心向所述网络设备发送所述加密配置信息,使所述网络设备对转发表的表项进行与所述数据包相同的加扰处理; 或者,所述配置中心向所述网络设备发送经加扰处理后的转发表;所述加扰处理后的转发表使用的加扰方式,与所述数据包的加扰方式相同; 或者,所述配置中心向软件定义的网络SDN控制器发送所述加密配置信息,使所述SDN控制器对转发表进行与所述数据包相同的加扰处理,并将加扰处理后的转发表发送给所述网络设备。5.根据权利要求1至4任意一项所述方法,其特征在于,所述方法还包括: 所述配置中心确定第一过滤配置信息和对应的第二过滤配置信息,所述第一过滤配置信息指定了不需要加密的数据包,所述第二过滤配置信息指定了不需要解密的数据包; 所述配置中心将所述第一过滤配置信息发送给所述入口模块,将所述第二过滤配置信息发送给所述出口模块。6.一种配置中心,其特征在于,包括: 配置信息确定单元,用于确定加密配置信息以及与所述加密配置信息对应的解密配置信息; 信息发送单元,用于将所述加密配置信息发送给网络设备的入口模块,将所述解密配置信息发送给所述网络设备的出口模块;所述加密配置信息用于使所述入口模块加密进入所述网络设备的数据包,所述解密配置信息用于使所述出口模块解密发出所述网络设备的数据包,所述出口模块解密的数据包是经所述入口模块加密的数据包。7.根据权利要求6所述配置中心,其特征在于, 所述加密配置信息包括:加密对象以及加密规则,所述加密对象指定了数据包需要加密的部分;所述解密配置信息包括:解密对象以及解密规则,所述解密对象指定了数据包需要解密的部分,与所述需要加密的部分相同。8.根据权利要求7所述配置中心,其特征在于,所述加密对象包括:加扰对象,所述加扰对象指定了数据包需要加扰的部分;所述加密规则包括:加扰算法以及密钥;所述解密对象包括:解扰对象,所述解扰对象指定了数据包需要解扰的部分;所述解密规则包括??与所述加扰算法对应的解扰算法以及所述密钥; 所述信息发送单元,具体用于将所述加密配置信息发送给路由器入口的光模块,将所述解密配置信息发送给所述路由器出口的光模块。9.根据权利要求8所述配置中心,其特征在于,若加扰的部分包括数据包的协议头部分; 所述信息发送单元,还用于向所述网络设备发送所述加密配置信息,使所述网络设备对转发表的表项进行与所述数据包相同的加扰处理; 或者,所述信息发送单元,还用于向所述网络设备发送经加扰处理后的转发表;所述加扰处理后的转发表使用的加扰方式,与所述数据包的加扰方式相同; 或者,所述信息发送单元,还用于向软件定义的网络SDN控制器发送所述加密配置信息,使所述SDN控制器对转发表进行与所述数据包相同的加扰处理,并将加扰处理后的转发表发送给所述网络设备。10.根据权利要求6至9任意一项所述配置中心,其特征在于,所述配置中心还包括: 过滤信息确定单元,用于确定第一过滤配置信息和对应的第二过滤配置信息,所述第一过滤配置信息指定了不需要加密的数据包,所述第二过滤配置信息指定了不需要解密的数据包; 所述信息发送单元,还用于将所述第一过滤配置信息发送给所述入口模块,将所述第二过滤配置信息发送给所述出口模块。11.一种入口模块,其特征在于,包括: 数据包接收单元,用于接收需要途径网络设备的数据包; 数据包加密单元,用于依据加密配置信息对所述数据包进行加密; 数据包发送单元,用于将所述加密后的数据包发往所述网络设备,使所述网络设备转发给具有数据包解密功能的出口模块。12.根据权利要求11所述入口模块,其特征在于,所述入口模块还包括: 过滤信息接收单元,用于接收来自配置中心的第一过滤配置信息; 所述数据包加密单元,具体用于确定所述数据包是否属于所述第一过滤配置信息中指定的不需要加密的数据包,若否,则依据所述加密配置信息对所述数据包进行加密。13.根据权利要求11或12所述入口模块,其特征在于,所述加密配置信息包括:加密对象,以及加密规则;所述加密对象指定了数据包需要加密的部分; 所述数据包加密单元,具体用于采用所述加密规则对所述数据包中的所述需要加密的部分进行加密。14.根据权利要求11至13任意一项所述入口模块,其特征在于,所述入口模块为光模块,所述网络设备为路由器; 所述数据包接收单元,具体用于接收需要途径路由器的数据包。15.—种出口模块,其特征在于,包括: 接收单元,用于接收途径网络设备后需要发往目的端的数据包,所述数据包由所述网络设备的入口模块加密; 解密单元,用于依据解密配置信息对所述数据包进行解密; 发送单元,用于将所述解密后的数据包发往所述目的端。16.根据权利要求15所述出口模块,其特征在于,所述出口模块为光模块,所述网络设备为路由器; 所述接收单元,具体用于接收途径路由器后需要发往目的端的数据包,所述数据包由所述路由器入口的光模块加密。17.根据权利要求15所述出口模块,其特征在于, 所述接收单元,还用于接收来自配置中心的第二过滤配置信息; 所述解密单元,具体用于确定所述接收数据包单元接收的数据包是否属于所述第二过滤配置信息中指定的不需要解密的数据包,若否,则依据所述解密配置信息对所述数据包进行解密。18.—种网络设备,其特征在于,包括: 权利要求11?14任意一项的入口模块,以及权利要求15?17任意一项的出口模块。19.一种网络安全管理系统,其特征在于,包括: 权利要求6?10任意一项的配置中心,权利要求11?14任意一项的入口模块,以及权利要求15?17任意一项的出口模块;或者,包括:权利要求6?10任意一项的配置中心,以及权利要求18的网络设备。20.根据权利要求19所述系统,其特征在于,若所述配置中心向SDN控制器发送加密配置信息,所述系统还包括:SDN控制器; 所述SDN控制器,用于对转发表进行与数据包相同的加扰处理,并将加扰处理后的转发表发送给所述网络设备。
【专利摘要】本发明实施例公开了一种网络安全管理方法、装置,及系统,其中方法的实现包括:配置中心确定加密配置信息以及与对应的解密配置信息;将加密配置信息发送给网络设备的入口模块,将解密配置信息发送给所述网络设备的出口模块;所述加密配置信息用于使入口模块加密进入网络设备的数据包,所述解密配置信息用于使出口模块解密发出网络设备的数据包,所述出口模块解密的数据包是经所述入口模块加密的数据包。数据包在进入网络设备时被加密,对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变,可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门,不但可以解决网络设备本身的信任问题,还可以提高网络设备的安全性。
【IPC分类】H04L12/24, H04L29/06
【公开号】CN105656655
【申请号】
【发明人】黄志钢, 张波, 陈建
【申请人】华为技术有限公司
【公开日】2016年6月8日
【申请日】2014年11月14日