CN101330382A - 一种基于加密隧道智能选择的自动旁路方法 - Google Patents
一种基于加密隧道智能选择的自动旁路方法 Download PDFInfo
- Publication number
- CN101330382A CN101330382A CNA2008101237235A CN200810123723A CN101330382A CN 101330382 A CN101330382 A CN 101330382A CN A2008101237235 A CNA2008101237235 A CN A2008101237235A CN 200810123723 A CN200810123723 A CN 200810123723A CN 101330382 A CN101330382 A CN 101330382A
- Authority
- CN
- China
- Prior art keywords
- tunnel
- encryption
- message
- network
- fault
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明针对现有技术的不足,提出一项用于网络加密装置上的自动旁路方法,主要目的在于提供一种基于加密隧道智能选择的自动旁路方法,解决在网络加密装置出现故障时,自动实现故障网络加密装置的旁路,以及保护对端装置正常工作,保证整个系统的稳定运行。
Description
技术领域
本发明涉及数据加密隧道的保护方法,尤其是涉及一种基于加密隧道智能选择的自动旁路方法。
背景技术
在许多网络应用的关键场合下,不允许出现网络中断,但是对于大部分的网络装置而言,很难保证在所有的情况下系统都能稳定运行,不出现故障。特别是在系统的研发以及试运行阶段。一旦装置在运行过程中出现程序死机,加解密错误或者硬件系统故障,网络通讯必然会出现中断。此外,在网络的许多节点都应用有网络加密装置,为了避免单个网络加密装置故障影响到整个系统的网络数据交换,需要采用一种智能自动旁路方法,使系统能够实现自动旁路。
发明内容
1、发明目的
本发明针对现有技术的不足,提出一项用于网络加密装置上的自动旁路方法,主要目的在于提供一种基于加密隧道智能选择的自动旁路方法,解决在网络加密装置出现故障时,自动实现故障网络加密装置的旁路,以及保护对端装置正常工作,保证整个系统的稳定运行。
2、技术方案
网络加密装置的主要工作原理是对网络传输的报文进行加密。装置一般是成对使用,本地装置对报文进行加密,对端装置对报文进行解密。在网络上传输的报文是以密文方式进行,提高报文传输的安全性。
报文的传输是通过隧道方式实现的。在正常工作情况下,首先是网络加密装置与对端装置建立点对点的加密隧道,通过密钥协商,生成该隧道使用的加密密钥。随后需要加密的网络报文都通过该隧道进行加密通讯。
本发明是一项适用于网络加密装置上的自动旁路方法,用于解决在网络加密装置出现故障时,自动旁路网络加密装置。网络报文可以透过网络加密装置,以明文方式继续进行传输,此时网络加密装置不进行报文加解密功能,功能类似于一根网线。
从现场实施情况来看,一个节点可以与多个节点链接,因此每两个节点之间都存在一个隧道,甚至在特殊情况下,两个节点间也可以走多个应用,每个应用都有自己的隧道,每个应用都有各自不同的加密策略。因此,就需要针对每条隧道提供不同的策略。当一条隧道出现故障时,可以自动旁路该隧道,保证其他隧道正常加解密通讯。
基于隧道的自动旁路方法需要实现两个关键技术:
1,由于网络加密装置是成对工作的,一端加密对端解密。当装置出现故障时,应该尽可能的减小该故障装置对网络上的对端装置以及其他装置的影响。
2,如何根据实际的故障情况智能实现装置的自动旁路,如何保证网络报文顺利透过故障网络加密装置,而不影响对端装置的正常工作。
在分析故障的判断之前,先提出一个简化分析的综述。即,装置在进行报文传输时的报文加密算法使用对称密钥算法。这种算法使用装置内的同一加解密单元。当加解密单元故障时,对应的加密和解密都会出错。因此如果装置是处在加密端,则加密出错,如果处在解密端,则解密出错。报文加密和解密的故障原理相同,故障处理方法也相同,因此后续的故障描述只举例报文加密错误来表述装置的报文加密错误和解密错误。
跟据实际的故障情况,考虑将报文加密隧道状态作为判断装置是否正常工作的一个标准。根据实际情况,一般报文加密隧道故障分为三种情况:
1,本地装置出现不影响系统运行的故障,例如出现本地报文加解密错误。这种故障错误是根据两端的数据交互发现的。当本地装置报文加密错误(解密错误根据上文所述,类同)的时候,加密后的密文送到对端装置进行解密。解密后,对端装置会分析报文结构,由于对端装置对错误的密文进行解密,无法得到正常结构的报文,会发现报文错误,进而通知本地装置加密隧道错误。
2,本地装置工作正常,对端某个节点装置出现故障。这种情况就属于上面所述的对端装置的情况。当对端装置出现故障的时候,本地装置解密后就会发现解密的报文结构错误,因此判断该隧道出现故障。故障原因可能是本地装置也可能对端装置。但是隧道的建立是基于双方装置都正常工作。因此如果是本地装置出现故障,最终结果是本地装置所有的隧道都会出现故障,而对端装置只有连接到本地的隧道出故障。
3,装置硬件电路出现故障。例如装置死机,或者装置故障无法启动等。由于纵向加密装置都配有看门狗系统。在装置正常工作的时候,看门狗系统中的定时器会被程序定时清空,因此看门狗系统不会启动。当装置出现故障时,程序无法正常工作,不会去定时清空看门狗系统中的定时器。在看门狗系统中的定时器超时后,会自动判断装置出现故障。看门狗系统会连接旁路系统控制装置实现旁路。
根据上述的故障状态以及判断方法,网络加密装置采取了不同的解决方法,其基本原理是基于报文加密隧道的自动旁路方法。
1,本地装置出现不影响系统运行的故障,在这种情况下,系统程序仍然能够运行,只是不能进行正常的报文加解密。如果是本地装置出现的故障,一般会导致所有的隧道都无法正常进行报文加解密。因此,需要对所有的隧道都进行旁路。考虑到这些隧道有可能在后续的运行中又恢复正常加解密。所以对这种故障情况,采用软件旁路的方法。即所有的隧道以明文方式建立,通过程序对隧道策略进行切换。程序不对报文进行任何加解密处理,以明文方式转发。从整个系统看来,装置就作为一堵透明的墙。一旦在后续的运行中,装置解决故障,能够重新建立隧道,软件的恢复机制又可以使得隧道能够正常工作。
2,本地装置工作正常,对端某个节点装置出现故障。对于本地装置来说,只会出现通向该对端节点的隧道无法正常工作,对其他节点的隧道仍然工作正常。因此只需对该隧道采用软件旁路策略,该隧道的报文传输采用明文通讯,其他隧道则仍然保持正常工作状态。一旦对端故障节点恢复正常,该隧道仍然可以恢复正常工作。
3,本地装置硬件系统出现故障,导致装置无法启动,或者由于本地装置程序故障,导致装置死机。在这种情况下,系统软件已经无法工作,使用软件方法已经无法旁路装置,就需要采用硬件旁路方法实现装置的旁路功能。装置的硬件旁路采用继电器实现旁路功能(图3)。网络加密装置上有内网端口和外网端口,分别对应于内网系统连接,以及外网系统连接。在这两个端口之间,装置设计有一组继电器,这组继电器用于连接两个端口,这组继电器的控制端与系统的看门狗系统连接。当装置正常工作的情况下,看门狗系统不会动作,网络报文经内网端口进入(假设此时进行报文加密操作,报文解密反之),经过装置加密处理后向外网端口输出,此时系统工作正常。当系统软件死机或者硬件故障时,看门狗系统会动作,引导继电器动作,该继电器动作后将装置加解密处理单元屏蔽,装置内网和外网端口直接连接。从系统应用角度看来,装置就变成了一根网线,加解密功能被完全屏蔽。报文仍然能够从内网端口进入,从外网端口输出,唯一的区别在于报文是以明文方式传输,因此不会影响到整个系统的工作。此外这种继电器旁路的设计方法还考虑到了断电的情况,在装置断电的情况下,内外网端口的继电器开关处于常闭状态,内外网端口也是直连,数据仍然可以进行传输。
此外考虑到网络连接存在各种复杂情况,连接上下级设备的时候,网络需要采用不同的线型,连接交换机的时候通常采用直连线,而连接路由器的时候,又需要采用交叉线。因此,为了保证装置能够在硬件旁路的情况下也能够实现通讯,网络加密装置的网络接口需要支持MDI/MDI-X自适应协议。这样,无论装置是处于正常工作状态或者是旁路状态,都可以通讯。
3、有益效果
本发明提供了一种方法,可以将网络加密装置的旁路方法与隧道加密结合起来,通过系统自行判断故障,根据故障原因,智能选择旁路策略,针对软件故障,提供软件旁路方案,当故障排除后还可以自行恢复加解密通讯;当对端装置出现故障时,可以只旁路故障隧道,避免因对端故障,而影响到本地和其他隧道通讯;当本地装置出现大的故障时,例如硬件故障导致装置无法启动等,可以启用硬件旁路功能,避免因装置故障影响整个网络的通讯。
通过上述的设计思想,网络加密装置可以智能根据故障的原因选择不同的旁路策略,针对隧道建立失败,报文加解密错误等低级别故障,装置甚至可以在故障排除后自行恢复到正常工作状态,无需外部控制。而针对大的故障,系统可以实现在丧失加密功能的情况下最大限度保证网络报文的正常交换。
附图说明
图1是网络加密装置应用示意图
图2是基于加密隧道的智能自动旁路方法示意图
图3是硬件旁路电路的工作原理图
具体实施方式
基于加密隧道智能选择的自动旁路方法适用于网络加密装置等类似设备上。主要用于解决对报文传输稳定性要求较高的场合,在这种环境下,要求网络报文传输不能中断,即便因为装置故障,导致无法进行网络报文加密,也要优先保证网络报文的明文通讯正常。基于这种要求,我们提出了基于加密隧道的智能选择的自动旁路方法。
在应用该方法的场合下,网络加密装置正常工作的情况下,每两个网络节点间都会建立一条或者多条加密隧道,装置对通过这些隧道的网络报文根据每条隧道自己的加密策略进行加解密,使得传输在外网侧的网络报文都是以密文的方式进行传输,提高了报文传输的安全性。当网络加密装置出现故障的时候,装置的智能旁路方法可以依据故障原因的不同,自动选择不同的旁路策略。
当对端装置出现故障,该故障只影响到本地装置的某一条或者多条隧道的时候,只需要通过软件旁路方法,旁路出现故障的一条或者多条隧道,即对所有通过该隧道的报文,都采用明文通讯方式,全部放行,不再进行加解密。这样由于对端装置同样采用基于隧道的智能旁路方法,所以报文可以顺利通过该故障装置。
当本地装置出现故障,如果该故障只是突发性的隧道建立失败,或者报文加解密失败需要重新建立隧道链接,或者在故障自动排除后仍然能够恢复运行的,装置将对所有的故障隧道进行软件旁路,软件旁路的方法与对端装置故障的旁路方法一样。这种情况下,由装置自行通过软件方式进行报文转发,不做任何加解密以及其他策略的控制,对于该隧道而言,装置就如同一堵透明的墙,不做任何工作。
当本地装置出现大的故障,例如装置遇到硬件故障导致无法正常启动,或者装置遭遇软件故障死机,或者装置遇到意外事故断电等情况,装置将采用硬件旁路方法。该旁路方法采用一组继电器,直接连接装置的内网端口和外网端口,并且该组继电器的控制端与装置的看门狗系统关联。当装置出现故障无法启动,或者软件故障导致装置死机,这时候看门狗系统便会动作,同时触发继电器动作。这组继电器动作后,直接将内网端口和外网端口直连,网络报文不再由装置处理。从整个传输系统看来,网络加密装置可以看作一根网线,装置被从网络上切除。这样的设计思想使得装置在出现故障的时候,将故障点从整个网络上切除,从而不影响整个网络的运行。这种硬件旁路方法还有个额外的亮点,即巧妙的利用继电器有一组常闭开关,当网络加密装置断电的时候,继电器自动切换至常闭开关,该组继电器会直接将内网端口和外网端口连接,形成硬件旁路。因此当装置断电或者人为手动关闭装置的情况下,无需撤除装置,装置仍然可以像一根网线一样存在于系统中,不妨碍系统的运行。
基于加密隧道智能选择的自动旁路方法为网络加密装置提供了一种更加智能化的旁路方法,保证了整个网络系统在网络加密装置出现故障的时候也能够正常工作,提高了网络加密装置在各种复杂系统下的适应性。
Claims (2)
1、一种基于加密隧道智能选择的自动旁路方法,其特征在于,采用以下步骤的全部或者之一:
1)系统对端接收到加密后的报文,解密无法得到结构正常的报文,则通知本地装置加密隧道错误,进而所有的隧道以明文方式建立,对隧道策略进行切换;
2)系统本地装置接收到加密后的报文,解密无法得到结构正常的报文,则对该隧道以明文方式建立;
3)系统发现本地装置硬件系统出现故障,看门狗系统会引导继电器动作,该继电器动作后将装置加解密处理单元屏蔽,装置内网端口和外网端口直接连接。
2、根据权利要求1所述的一种基于加密隧道智能选择的自动旁路方法,其特征在于,所述步骤3进一步包括,保持内外网端口继电器的开关为闭合状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101237235A CN101330382A (zh) | 2008-05-30 | 2008-05-30 | 一种基于加密隧道智能选择的自动旁路方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101237235A CN101330382A (zh) | 2008-05-30 | 2008-05-30 | 一种基于加密隧道智能选择的自动旁路方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101330382A true CN101330382A (zh) | 2008-12-24 |
Family
ID=40205992
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008101237235A Pending CN101330382A (zh) | 2008-05-30 | 2008-05-30 | 一种基于加密隧道智能选择的自动旁路方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101330382A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377586A (zh) * | 2010-08-16 | 2012-03-14 | 研祥智能科技股份有限公司 | 一种网络旁路装置及其处理网络旁路的方法 |
| CN102694792A (zh) * | 2012-05-03 | 2012-09-26 | 珠海市鸿瑞信息技术有限公司 | 配网纵向加密装置 |
| GB2544491A (en) * | 2015-11-17 | 2017-05-24 | Airbus Ds Ltd | Improvements in and relating to communication links |
| CN106921520A (zh) * | 2017-02-28 | 2017-07-04 | 北京匡恩网络科技有限责任公司 | 通信处理方法及装置 |
| CN111787534A (zh) * | 2020-07-01 | 2020-10-16 | 上海汽车集团股份有限公司 | 一种数据加解密方法、装置及电子设备 |
| CN113347063A (zh) * | 2021-06-05 | 2021-09-03 | 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 | 一种纵向加密认证网关检测方法 |
-
2008
- 2008-05-30 CN CNA2008101237235A patent/CN101330382A/zh active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377586A (zh) * | 2010-08-16 | 2012-03-14 | 研祥智能科技股份有限公司 | 一种网络旁路装置及其处理网络旁路的方法 |
| CN102694792A (zh) * | 2012-05-03 | 2012-09-26 | 珠海市鸿瑞信息技术有限公司 | 配网纵向加密装置 |
| CN102694792B (zh) * | 2012-05-03 | 2015-05-20 | 珠海市鸿瑞信息技术有限公司 | 配网纵向加密装置 |
| GB2544491A (en) * | 2015-11-17 | 2017-05-24 | Airbus Ds Ltd | Improvements in and relating to communication links |
| WO2017085480A1 (en) * | 2015-11-17 | 2017-05-26 | Airbus Ds Limited | Improvements in and relating to communication links |
| US10887054B2 (en) | 2015-11-17 | 2021-01-05 | Airbus Defence And Space Limited | Communication links |
| GB2544491B (en) * | 2015-11-17 | 2022-03-02 | Airbus Defence & Space Ltd | Improvements in and relating to communication links |
| US11374689B2 (en) | 2015-11-17 | 2022-06-28 | Airbus Defence And Space Limited | Mission-critical communication links for industrial control systems |
| CN106921520A (zh) * | 2017-02-28 | 2017-07-04 | 北京匡恩网络科技有限责任公司 | 通信处理方法及装置 |
| CN111787534A (zh) * | 2020-07-01 | 2020-10-16 | 上海汽车集团股份有限公司 | 一种数据加解密方法、装置及电子设备 |
| CN113347063A (zh) * | 2021-06-05 | 2021-09-03 | 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 | 一种纵向加密认证网关检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101330382A (zh) | 一种基于加密隧道智能选择的自动旁路方法 | |
| CN101317388B (zh) | 多协议标签切换的标签切换路径保护切换的装置和方法 | |
| CN106341397A (zh) | 一种工业安全隔离网闸 | |
| CN106448777B (zh) | 一种用于核电厂安全级仪控系统的传输站 | |
| CN113517940A (zh) | 一种电力光纤专网与5g公网智能切换系统 | |
| CN101159504B (zh) | 基于同步数字体系的以太网保护方法 | |
| CN105896490A (zh) | 一种配电网的故障处理方法及装置 | |
| CN102709893B (zh) | 一种含分布式电源/储能的微电网故障隔离方法 | |
| WO2006074614A1 (fr) | Procede et systeme d'auto-recuperation et procede de transfert d'information dans un environnement de protection partagee de canaux optiques | |
| CN101888284A (zh) | 一种用于数据单向传输的方法及其装置 | |
| CN201114070Y (zh) | 抗单站失效的光保护装置 | |
| Zhang et al. | Failure recovery solutions using cognitive mechanisms for software defined optical networks | |
| CN112422348B (zh) | 一种电力信息数据采集通信系统及方法 | |
| US11374689B2 (en) | Mission-critical communication links for industrial control systems | |
| CN102760504A (zh) | 核电站全厂机组的数字控制系统及非核级控制系统、方法 | |
| CN106209425A (zh) | 基于交换机的防火墙自动bypass的方法及系统 | |
| CN104283692B (zh) | Ptn环断电保护系统和方法 | |
| CN102819252A (zh) | 一种分散控制系统中过程控制站多重冗余的实现方法 | |
| CN104104144B (zh) | 一种智能变电站备自投调试系统、方法及智能变电站 | |
| CN107222020A (zh) | 一种安稳装置和备自投装置联锁控制方法、装置及系统 | |
| CN106100864A (zh) | 一种地震台站的通信管理系统 | |
| CN107040309B (zh) | 一种基于物理层的光纤通信断链快速监测方法 | |
| CN202721676U (zh) | 一种智能化光纤通信网络保护系统 | |
| CN105553694A (zh) | 轨道交通车地维护信息通信系统和方法 | |
| CN204633776U (zh) | 数字光网络传输系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Lin Weimin Inventor after: Zhang Tao Inventor after: Yu Gang Inventor after: Yang Weiyong Inventor after: Shao Zhipeng Inventor after: Zeng Rong Inventor after: Huang Yibin Inventor before: Yu Gang Inventor before: Lin Feng |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: YU GANG LIN FENG TO: LIN WEIMIN ZHANG TAO YU GANG YANG WEIYONG SHAO ZHIPENG ZENG RONG HUANG YIBIN |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20081224 |