设备B从数据链路层抓取数据D3和E4。
[0082]步骤7:网络设备B对数据D3和E4分别进行解析,得到D3的源IP地址为IP (Al),E4的源IP地址为IP (A2),E3和E4的目的IP地址IP (Cl)。
[0083]步骤8:网络设备B作为中间节点,将所得到的D3的源IP地址为IP (Al)和E4的源IP地址为IP (A2)分别与IP地址过滤规则中规定为IP地址匹配,发现D3的源IP地址与IP地址过滤规则中规定的IP地址匹配,而E4的源IP地址与IP地址过滤规则中规定的IP地址不匹配。
[0084]步骤9:对于D3,网络设备B采用加解密规则中指定的对称密钥对D3进行解密处理,得到明文数据E3,并根据E3中的路由信息和检验码,进行路由选择和差错检测。对于E4,网络设备B直接根据E4中的路由信息和检验码,进行路由选择和差错检测。
[0085]步骤10:对于E3,网络设备B在进行路由选择和差错检测后,采用加解密规则中指定的对称密钥对E3进行加密处理,得到密文数据D3,然后通过路径选择将D3发送至目的IP地址IP (Cl)的用户终端Cl所链接的网络设备C。对于E4,网络设备B直接将E4发送至目的IP地址IP(Cl)的用户终端Cl所链接的网络设备C。
[0086]步骤11:网络设备C从数据链路层抓取数据D3和E4。
[0087]步骤12:网络设备C对数据D3和E4分别进行解析,得到D3的源IP地址为IP (Al),E4的源IP地址为IP (A2),D3和E4的目的IP地址IP (Cl)。
[0088]步骤13:网络设备C将所得到的D3的源IP地址为IP (Al)和E4的源IP地址为IP (A2)分别与IP地址过滤规则中规定为IP地址匹配,发现D3的源IP地址与IP地址过滤规则中规定的IP地址匹配,而E4的源IP地址与IP地址过滤规则中规定的IP地址不匹配。
[0089]步骤14:对于D3,网络设备C采用加解密规则中指定的对称密钥对D3进行解密处理,得到明文数据E3,然后将E3发送至目的IP地址IP(Cl)的用户终端Cl。对于E4,网络设备C直接将E4发送至目的IP地址IP (Cl)的用户终端Cl。
[0090]图4是本发明实施例提供的数据加解密流程图,如图4所述,步骤包括:
[0091]步骤S201:采用pcap抓取数据链路层的所有数据。
[0092]步骤S202:通过IP协议对所抓取的数据链路层的所有数据进行数据包分析,得到源IP地址和目的IP地址。
[0093]步骤S203:将所得到的源IP地址和目的IP地址与IP地址过滤规则中的IP地址匹配。
[0094]步骤S204:根据匹配结果,判断是否需要进行加解密处理,若需要进行加解密处理,则执行步骤S205,否则执行步骤S206。
[0095]步骤S205:对数据进行加解密处理。
[0096]步骤S206:对数据进行透传处理。
[0097]具体地说,用户需要预先在服务器侧通过用户管理界面设置IP地址过滤规则,以供网络设备获取并按照所设置的IP地址过滤规则对需要加解密的数据进行过滤,具体地说,将分析得到的源IP和目的IP与IP地址过滤规则中的IP地址进行比较,最后确定对数据进行加解密处理或者数据透传处理。
[0098]综上所述,本发明具有以下技术效果:
[0099]本发明可以使用户很方便地通过设置IP地址,并根据所设置的IP地址来区分数据链路层数据是否需要加解密,可以使用户灵活应用。
[0100]尽管上文对本发明进行了详细说明,但是本发明不限于此,本技术领域技术人员可以根据本发明的原理进行各种修改。因此,凡按照本发明原理所作的修改,都应当理解为落入本发明的保护范围。
【主权项】
1.一种数据加解密方法,其特征在于,包括: 网络设备根据从服务器下载的IP地址过滤规则,对链路层所有数据的IP地址进行过滤处理; 所述网络设备根据过滤处理的结果,对需要在网络层加密传输的明文数据进行加密处理,以便在网络层传输密文数据; 所述网络设备根据过滤处理的结果,对网络层传输的需要解密的密文数据进行解密处理。2.根据权利要求1所述的方法,其特征在于,所述对链路层所有数据的IP地址进行过滤处理的步骤包括: 网络设备通过对链路层所有数据进行解析,得到所述链路层所有数据的IP地址,并判断所得到的IP地址是否满足所述从服务器下载的IP地址过滤规则; 若判断所得到的IP地址满足所述从服务器下载的IP地址过滤规则,则提取所述IP地址满足IP地址过滤规则的链路层数据。3.根据权利要求1或2所述的方法,其特征在于,所述IP地址过滤规则包括根据特定IP地址进行过滤、根据源IP地址和目的IP地址进行过滤、根据IP子段进行过滤处理中的至少一个。4.根据权利要求2所述的方法,其特征在于,所述网络设备根据过滤处理的结果,对需要在网络层加密传输的明文数据进行加密处理,以便在网络层传输密文数据的步骤包括: 所述网络设备根据过滤处理的结果,确定需要在网络层加密传输的明文数据; 所述网络设备对所确定的需要在网络层加密传输的明文数据进行加密处理,把所述明文数据变换为密文数据,再经由网络层传输。5.根据权利要求4所述的方法,其特征在于,网络设备根据过滤提取的链路层数据的IP地址,判断所述链路层数据是否来自其链接的用户终端,若判断所述链路层数据是来自其链接的用户终端,则确定所述链路层数据是需要在网络层加密传输的明文数据。6.根据权利要求2所述的方法,其特征在于,所述网络设备根据过滤处理的结果,对网络层传输的需要解密的密文数据进行解密处理的步骤包括: 所述网络设备根据过滤处理的结果,确定网络层传输的需要解密的密文数据; 所述网络设备对所确定的网络层传输的需要解密的密文数据进行解密处理,把所述密文数据变换为明文数据,再传送给接收该数据的用户终端。7.根据权利要求6所述的方法,其特征在于,网络设备根据过滤提取的链路层数据的IP地址,判断所述链路层数据是否需要发往其链接的用户终端,若判断所述链路层数据需要发往其链接的用户终端,则确定所述链路层数据是网络层传输的需要解密的密文数据。8.一种数据加解密装置,其特征在于,包括: 过滤模块,用于根据从服务器下载的IP地址过滤规则,对链路层所有数据的IP地址进行过滤处理; 加密模块,用于根据过滤处理的结果,对需要在网络层加密传输的明文数据进行加密处理,以便在网络层传输密文数据; 解密模块,用于根据过滤处理的结果,对网络层传输的需要解密的密文数据进行解密处理。9.根据权利要求8所述的装置,其特征在于,所述过滤模块通过对链路层所有数据进行解析,得到所述链路层所有数据的IP地址,并判断所得到的IP地址是否满足所述从服务器下载的IP地址过滤规则,若判断所得到的IP地址满足所述从服务器下载的IP地址过滤规则,则提取所述IP地址满足IP地址过滤规则的链路层数据。10.根据权利要求8或9所述的装置,其特征在于,所述IP地址过滤规则包括根据特定IP地址进行过滤、根据源IP地址和目的IP地址进行过滤、根据IP子段进行过滤处理中的至少一个。
【专利摘要】本发明公开了一种数据加解密方法及装置,涉及网络通信领域,所述方法包括:网络设备根据从服务器下载的IP地址过滤规则,对链路层所有数据的IP地址进行过滤处理;所述网络设备根据过滤处理的结果,对需要在网络层加密传输的明文数据进行加密处理,以便在网络层传输密文数据;所述网络设备根据过滤处理的结果,对网络层传输的需要解密的密文数据进行解密处理。本发明通过IP地址过滤规则,实现有选择性的对数据进行加解密处理,防止敏感信息在网络上被窃取并识别。
【IPC分类】H04L29/06
【公开号】CN105162789
【申请号】CN201510603665
【发明人】于晴, 于宪平
【申请人】北京鼎普信息技术有限公司
【公开日】2015年12月16日
【申请日】2015年9月21日