数据进行透传处理。如果需要加解密,则对有效数据进行加解密处理,即在数据链路层对网络中传输的明文数据进行加密,使得进入设备的明文数据在出设备时变换为经过加密处理的密文数据,反之进入设备的密文数据在出设备时变换为经过解密处理的明文数据,上述所有处理均在数据链路层实现。
[0047]这样,仅需要在服务器侧的管理界面设置IP地址过滤规则,即设置哪些IP地址的数据需要加密,哪些IP地址的数据不需要加密,从而实现根据IP来区分是否进行数据加解
LU O
[0048]图2是本发明实施例提供的数据加解密装置框图,如图2所示,包括过滤模块10、加密模块20和解密模块30。
[0049]过滤模块10用于根据从服务器下载的IP地址过滤规则,对链路层所有数据的IP地址进行过滤处理。具体地说,过滤模块10通过对链路层所有数据进行解析,得到所述链路层所有数据的IP地址,并判断所得到的IP地址是否满足所述从服务器下载的IP地址过滤规则,若判断所得到的IP地址满足所述从服务器下载的IP地址过滤规则,则提取所述IP地址满足IP地址过滤规则的链路层数据。其中,所述IP地址过滤规则包括根据特定IP地址进行过滤、根据源IP地址和目的IP地址进行过滤、根据IP子段进行过滤处理中的至少一个。
[0050]加密模块20用于根据过滤处理的结果,对需要在网络层加密传输的明文数据进行加密处理,以便在网络层传输密文数据。加密模块20根据过滤提取的链路层数据的IP地址,判断所述链路层数据是否来自其链接的用户终端,若判断所述链路层数据是来自其链接的用户终端,则确定所述链路层数据是需要在网络层加密传输的明文数据,对于所确定的需要在网络层加密传输的明文数据进行加密处理,把所述明文数据变换为密文数据,再经由网络层传输。
[0051]解密模块30用于根据过滤处理的结果,对网络层传输的需要解密的密文数据进行解密处理。解密模块30根据过滤提取的链路层数据的IP地址,判断所述链路层数据是否需要发往其链接的用户终端,若判断所述链路层数据需要发往其链接的用户终端,则确定所述链路层数据是网络层传输的需要解密的密文数据,对于所确定的网络层传输的需要解密的密文数据进行解密处理,把所述密文数据变换为明文数据,再传送给接收该数据的用户终端。
[0052]也就是说,本发明首先从数据链路层抓取到经过网络设备的所有数据,然后进行包头分析,分析出IP地址(包括源IP地址和目的IP地址),然后将分析出的IP地址与其数据库中IP地址过滤规则中的IP地址进行比较,判断出这一 IP地址的数据是否需要加密,如果需要加密则进行加密处理,如果不需要加密则进行透传处理。
[0053]图3是本发明实施例提供的数据加解密系统拓扑图,如图3所示,包括:
[0054]服务器,其上具有用户设置的IP地址过滤规则和加解密规则;
[0055]网络设备(A,B,C),其从服务器获取IP地址过滤规则和加解密规则,利用所获取的IP地址过滤规则,判断是否对从数据链路层抓取的数据进行加解密处理,若需要对从数据链路层抓取的数据进行加解密处理,则利用所获取的加解密规则,对数据进行加解密处理,若不需要对从数据链路层抓取的数据进行加解密处理,则对数据进行透传处理;其中,网络设备A、网络设备B、网络设备C依次相连;
[0056]用户终端(Al、A2、A3),与网络设备A链接,并通过网络设备A接入网络;
[0057]用户终端(B1、B2),与网络设备B链接,并通过网络设备B接入网络;
[0058]用户终端(Cl),与网络设备C链接,并通过网络设备C接入网络。
[0059]实施例1
[0060]假设服务器端设置IP地址过滤规则为:对源IP地址为IP (Al)的数据链路层数据进行加解密处理,加解密规则为采用对称密钥加解密。
[0061]假设明文数据El由用户终端Al (IP(Al))发送至用户终端BI (IP(BI)),即该明文数据El的源IP地址为IP (Al),目的IP为IP (BI);明文数据E2由用户终端A2 (IP (A2))发送至用户终端BI (IP(Bl)),即该明文数据E2的源IP地址为IP (A2),目的IP为IP(Bl)。
[0062]此时,数据加解密步骤如下:
[0063]步骤1:链接用户终端Al的网络设备A从服务器获取上述IP地址过滤规则和加解密规则。
[0064]步骤2:网络设备A从数据链路层抓取数据El和E2。
[0065]步骤3:网络设备A对数据El和E2分别进行解析,得到El的源IP地址为IP (Al),E2的源IP地址为IP (A2),El和E2的目的IP地址IP (BI)。
[0066]步骤4:网络设备A将所得到的El的源IP地址为IP (Al)和E2的源IP地址为IP (A2)分别与IP地址过滤规则中规定为IP地址匹配,发现El的源IP地址与IP地址过滤规则中规定的IP地址匹配,而E2的源IP地址与IP地址过滤规则中规定的IP地址不匹配。
[0067]步骤5:对于E1,网络设备A采用加解密规则中指定的对称密钥对El进行加密处理,得到密文数据D1,然后将Dl发送至目的IP地址IP(Bl)的用户终端所链接的网络设备Bo对于E2,网络设备A直接将E2发送至目的IP地址IP (BI)的用户终端所链接的网络设备B。
[0068]步骤6:网络设备B从数据链路层抓取数据Dl和E2。
[0069]步骤7:网络设备B对数据Dl和E2分别进行解析,得到Dl的源IP地址为IP (Al),E2的源IP地址为IP (A2),Dl和E2的目的IP地址IP (BI)。
[0070]步骤8:网络设备B将所得到的Dl的源IP地址为IP (Al)和E2的源IP地址为IP (A2)分别与IP地址过滤规则中规定为IP地址匹配,发现Dl的源IP地址与IP地址过滤规则中规定的IP地址匹配,而E2的源IP地址与IP地址过滤规则中规定的IP地址不匹配。
[0071]步骤9:对于D1,网络设备B采用加解密规则中指定的对称密钥对Dl进行解密处理,得到明文数据E1,然后将El发送至目的IP地址IP(Bl)的用户终端BI。对于E2,网络设备B直接将E2发送至目的IP地址IP (BI)的用户终端BI。
[0072]实施例2
[0073]假设服务器端设置IP地址过滤规则为:对源IP地址为IP (Al)的数据链路层数据进行加解密处理,加解密规则为采用对称密钥加解密。
[0074]假设明文数据E3由用户终端Al (IP(Al))发送至用户终端Cl (IP (Cl)),即该明文数据E3的源IP地址为IP (Al),目的IP为IP (Cl);明文数据E4由用户终端A2 (IP (A2))发送至用户终端Cl (IP(Cl)),即该明文数据E4的源IP地址为IP (A2),目的IP为IP(Cl)。
[0075]此时,数据加解密步骤如下:
[0076]步骤1:链接用户终端Al的网络设备A从服务器获取上述IP地址过滤规则和加解密规则。
[0077]步骤2:网络设备A从数据链路层抓取数据E3和E4。
[0078]步骤3:网络设备A对数据E3和E4分别进行解析,得到E3的源IP地址为IP (Al),E4的源IP地址为IP (A2),E3和E4的目的IP地址IP (Cl)。
[0079]步骤4:网络设备A将所得到的E3的源IP地址为IP (Al)和E4的源IP地址为IP (A2)分别与IP地址过滤规则中规定为IP地址匹配,发现E3的源IP地址与IP地址过滤规则中规定的IP地址匹配,而E4的源IP地址与IP地址过滤规则中规定的IP地址不匹配。
[0080]步骤5:对于E3,网络设备A采用加解密规则中指定的对称密钥对E3进行加密处理,得到密文数据D3,然后通过路径选择将D3发送至网络设备B。对于E4,网络设备A通过路径选择直接将E4发送至网络设备B。
[0081]步骤6:网络