一种网络安全管理方法、装置，及系统制造方法及图纸

本发明专利技术实施例公开了一种网络安全管理方法、装置，及系统，其中方法的实现包括：配置中心确定加密配置信息以及与对应的解密配置信息；将加密配置信息发送给网络设备的入口模块，将解密配置信息发送给所述网络设备的出口模块；所述加密配置信息用于使入口模块加密进入网络设备的数据包，所述解密配置信息用于使出口模块解密发出网络设备的数据包，所述出口模块解密的数据包是经所述入口模块加密的数据包。数据包在进入网络设备时被加密，对于网络设备而言进入网络设备的数据包的内容由于加密发生了改变，可以避免恶意用户发送包含特殊数据的报文触发网络设备中存在的后门，不但可以解决网络设备本身的信任问题，还可以提高网络设备的安全性。

【技术实现步骤摘要】

本专利技术涉及通信
，特别一种网络安全管理方法、装置，及系统
技术介绍
路由器、交换机等网络设备正面临着严峻的安全问题。例如：中国国家互联网应急中心发布报告称，大量路由器存在漏洞和后门。这些漏洞和后门有的是外部攻击者通过逆向分析得到，有的是设备商出于调试等目的有意为之。常见的攻击手段包括设备中嵌入恶意电路、预设超级用户名和密码、预留传输控制协议(TransmissionControlProtocol，TCP)/用户数据报协议(UserDatagramProtocol，UDP)端口、对含有特殊数据的报文进行特殊处理、夹带用户的敏感数据等。这些漏洞和后门的存在让运营商与用户对网络设备产生了信任危机，极大的影响了设备商的安全形象。为了解决以上问题，目前采用的处理方式为：公开网络设备的电路图、软件源代码、相关资料等给第三方审查机构进行审查，由审查结构给出审查结果来证明网络设备的安全性。以上处理方式需要设备商公开网络设备的核心机密，影响设备商的商业利益。另外，公开的信息可能被恶意者获取，并修改已有产品实现发动新的网络攻击。因此以上处理方式存在巨大的安全隐患。
技术实现思路
本专利技术实施例提供了一种网络安全管理方法、装置，及系统，用于提高网络设备的安全性。本专利技术实施例一方面提供了一种网络安全管理方法，包括：配置中心确定加密配置信息以及与所述加密配置信息对应的解密配置信息；所述配置中心将所述加密配置信息发送给网络设备的入口模块，将所述解密配置信息发送给所述网络设备的出口模块；所述加密配置信息用于使所述入口模块加密进入所述网络设备的数据包，所述解密配置信息用于使所述出口模块解密发出所述网络设备的数据包，所述出口模块解密的数据包是经所述入口模块加密的数据包。结合一方面的实现方式，在第一种可能的实现方式中，所述加密配置信息包括：加密对象以及加密规则，所述加密对象指定了数据包需要加密的部分；所述解密配置信息包括：解密对象以及解密规则，所述解密对象指定了数据包需要解密的部分，与所述需要加密的部分相同。结合一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述网络设备为路由器，所述入口模块和所述出口模块均为光模块；所述加密对象包括：加扰对象，所述加扰对象指定了数据包需要加扰的部分；所述加密规则包括：加扰算法以及密钥；所述解密对象包括：解扰对象，所述解扰对象指定了数据包需要解扰的部分；所述解密规则包括：与所述加扰算法对应的解扰算法以及所述密钥。结合一方面的第二种可能的实现方式，在第三种可能的实现方式中，若加扰的部分包括数据包的协议头部分，所述方法还包括：所述配置中心向所述网络设备发送所述加密配置信息，使所述网络设备对转发表的表项进行与所述数据包相同的加扰处理；或者，所述配置中心向所述网络设备发送经加扰处理后的转发表；所述加扰处理后的转发表使用的加扰方式，与所述数据包的加扰方式相同；或者，所述配置中心向软件定义的网络SDN控制器发送所述加密配置信息，使所述SDN控制器对转发表进行与所述数据包相同的加扰处理，并将加扰处理后的转发表发送给所述网络设备。结合一方面、一方面第第一种、第二种或者第三种可能的实现方式，在第四种可能的实现方式中，所述方法还包括：所述配置中心确定第一过滤配置信息和对应的第二过滤配置信息，所述第一过滤配置信息指定了不需要加密的数据包，所述第二过滤配置信息指定了不需要解密的数据包；所述配置中心将所述第一过滤配置信息发送给所述入口模块，将所述第二过滤配置信息发送给所述出口模块。本专利技术实施例二方面提供了一种配置中心，包括：配置信息确定单元，用于确定加密配置信息以及与所述加密配置信息对应的解密配置信息；信息发送单元，用于将所述加密配置信息发送给网络设备的入口模块，将所述解密配置信息发送给所述网络设备的出口模块；所述加密配置信息用于使所述入口模块加密进入所述网络设备的数据包，所述解密配置信息用于使所述出口模块解密发出所述网络设备的数据包，所述出口模块解密的数据包是经所述入口模块加密的数据包。结合二方面的实现方式，在第一种可能的实现方式中，所述加密配置信息包括：加密对象以及加密规则，所述加密对象指定了数据包需要加密的部分；所述解密配置信息包括：解密对象以及解密规则，所述解密对象指定了数据包需要解密的部分，与所述需要加密的部分相同。结合二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述加密对象包括：加扰对象，所述加扰对象指定了数据包需要加扰的部分；所述加密规则包括：加扰算法以及密钥；所述解密对象包括：解扰对象，所述解扰对象指定了数据包需要解扰的部分；所述解密规则包括：与所述加扰算法对应的解扰算法以及所述密钥；所述信息发送单元，具体用于将所述加密配置信息发送给路由器入口的光模块，将所述解密配置信息发送给所述路由器出口的光模块。结合二方面的第二种可能的实现方式，在第三种可能的实现方式中，若加扰的部分包括数据包的协议头部分；所述信息发送单元，还用于向所述网络设备发送所述加密配置信息，使所述网络设备对转发表的表项进行与所述数据包相同的加扰处理；或者，所述信息发送单元，还用于向所述网络设备发送经加扰处理后的转发表；所述加扰处理后的转发表使用的加扰方式，与所述数据包的加扰方式相同；或者，所述信息发送单元，还用于向软件定义的网络SDN控制器发送所述加密配置信息，使所述SDN控制器对转发表进行与所述数据包相同的加扰处理，并将加扰处理后的转发表发送给所述网络设备。结合二方面、二方面第第一种、第二种或者第三种可能的实现方式，在第四种可能的实现方式中，所述配置中心还包括：过滤信息确定单元，用于确定第一过滤配置信息和对应的第二过滤配置信息，所述第一过滤配置信息指定了不需要加密的数据包，所述第二过滤配置信息指定了不需要解密的数据包；所述信息发送单元，还用于将所述第一过滤配置信息发送给所述入口模块，将所述第二过滤配置信息发送给所述出口模块。本专利技术实施例三方面还提供了一种入口模块，包括：数据包接收单元，用于接收需要途径网络设备的数据包；数据包加密单元，用于依据加密配置信息对所述数据包进行加密；数据包发送单元，用于将所述加密后的数据包发往所述网络设备，使所述网络设备转发给具有数据包解密功能的出口模块。结合三方面的实现方式，在第一种可能的实现方式中，所述入口模块还本文档来自技高网...

【技术保护点】
一种网络安全管理方法，其特征在于，包括：配置中心确定加密配置信息以及与所述加密配置信息对应的解密配置信息；所述配置中心将所述加密配置信息发送给网络设备的入口模块，将所述解密配置信息发送给所述网络设备的出口模块；所述加密配置信息用于使所述入口模块加密进入所述网络设备的数据包，所述解密配置信息用于使所述出口模块解密发出所述网络设备的数据包，所述出口模块解密的数据包是经所述入口模块加密的数据包。

【技术特征摘要】
1.一种网络安全管理方法，其特征在于，包括：
配置中心确定加密配置信息以及与所述加密配置信息对应的解密配置信
息；
所述配置中心将所述加密配置信息发送给网络设备的入口模块，将所述
解密配置信息发送给所述网络设备的出口模块；
所述加密配置信息用于使所述入口模块加密进入所述网络设备的数据
包，所述解密配置信息用于使所述出口模块解密发出所述网络设备的数据包，
所述出口模块解密的数据包是经所述入口模块加密的数据包。
2.根据权利要求1所述方法，其特征在于，所述加密配置信息包括：加
密对象以及加密规则，所述加密对象指定了数据包需要加密的部分；
所述解密配置信息包括：解密对象以及解密规则，所述解密对象指定了
数据包需要解密的部分，与所述需要加密的部分相同。
3.根据权利要求2所述方法，其特征在于，所述网络设备为路由器，所
述入口模块和所述出口模块均为光模块；
所述加密对象包括：加扰对象，所述加扰对象指定了数据包需要加扰的
部分；所述加密规则包括：加扰算法以及密钥；所述解密对象包括：解扰对
象，所述解扰对象指定了数据包需要解扰的部分；所述解密规则包括：与所
述加扰算法对应的解扰算法以及所述密钥。
4.根据权利要求3所述方法，其特征在于，若加扰的部分包括数据包的
协议头部分，所述方法还包括：
所述配置中心向所述网络设备发送所述加密配置信息，使所述网络设备
对转发表的表项进行与所述数据包相同的加扰处理；
或者，所述配置中心向所述网络设备发送经加扰处理后的转发表；所述
加扰处理后的转发表使用的加扰方式，与所述数据包的加扰方式相同；
或者，所述配置中心向软件定义的网络SDN控制器发送所述加密配置信
息，使所述SDN控制器对转发表进行与所述数据包相同的加扰处理，并将加
扰处理后的转发表发送给所述网络设备。
5.根据权利要求1至4任意一项所述方法，其特征在于，所述方法还包
括：
所述配置中心确定第一过滤配置信息和对应的第二过滤配置信息，所述
第一过滤配置信息指定了不需要加密的数据包，所述第二过滤配置信息指定
了不需要解密的数据包；
所述配置中心将所述第一过滤配置信息发送给所述入口模块，将所述第
二过滤配置信息发送给所述出口模块。
6.一种配置中心，其特征在于，包括：
配置信息确定单元，用于确定加密配置信息以及与所述加密配置信息对
应的解密配置信息；
信息发送单元，用于将所述加密配置信息发送给网络设备的入口模块，
将所述解密配置信息发送给所述网络设备的出口模块；所述加密配置信息用
于使所述入口模块加密进入所述网络设备的数据包，所述解密配置信息用于
使所述出口模块解密发出所述网络设备的数据包，所述出口模块解密的数据
包是经所述入口模块加密的数据包。
7.根据权利要求6所述配置中心，其特征在于，
所述加密配置信息包括：加密对象以及加密规则，所述加密对象指定了
数据包需要加密的部分；所述解密配置信息包括：解密对象以及解密规则，
所述解密对象指定了数据包需要解密的部分，与所述需要加密的部分相同。
8.根据权利要求7所述配置中心，其特征在于，所述加密对象包括：加
扰对象，所述加扰对象指定了数据包需要加扰的部分；所述加密规则包括：
加扰算法以及密钥；所述解密对象包括：解扰对象，所述解扰对象指定了数
据包需要解扰的部分；所述解密规则包括：与所述加扰算法对应的解扰算法
以及所述密钥；
所述信息发送单元，具体用于将所述加密配置信息发送给路由器入口的
光模块，将所述解密配置信息发送给所述路由器出口的光模块。
9.根据权利要求8所述配置中心，其特征在于，若加扰的部分包括数据
包的协议头部分；
所述信息发送单元，还用于向所述网络设备发送所述加密配置信息，...

【专利技术属性】
技术研发人员：黄志钢，张波，陈建，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44