CN107294711A - 一种基于vxlan技术的电力信息内网报文加密发布方法 - Google Patents
一种基于vxlan技术的电力信息内网报文加密发布方法 Download PDFInfo
- Publication number
- CN107294711A CN107294711A CN201710559431.5A CN201710559431A CN107294711A CN 107294711 A CN107294711 A CN 107294711A CN 201710559431 A CN201710559431 A CN 201710559431A CN 107294711 A CN107294711 A CN 107294711A
- Authority
- CN
- China
- Prior art keywords
- vxlan
- address
- encryption
- message
- longitudinal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于VXLAN技术的电力信息内网报文加密发布方法,属于电力系统调度监控远方传输技术领域。在电力系统中,纵向链路远方传输必须要经过国家认证的纵向加密装置,保证信息的安全传输,但存在纵向加密设备不能加密广播和组播报文的缺陷。该发明是通过利用网关VXLAN路由器实现VXLAN的二层网络功能,以实现VXLAN对广播、组播和IP数据报文的封装,再通过纵向加密装置隧道根据策略实现加密,且整个过程是在网关VXLAN路由器内部和纵向加密隧道内部执行,做到了组播和广播数据报文远方加密传输,提高了报文传输的安全性,节省了链路带宽的浪费。
Description
技术领域
本发明涉及电力系统调度监控远方传输技术领域,具体涉及一种基于VXLAN技术的电力信息内网报文加密发布方法。
背景技术
智能电网调度技术支持系统实现了以“集约运行、源端维护、分布应用、扁平管理、优化流程”为核心的省地县一体化调度管理体系。由于智能电网调度技术支持系统采用分布式采集方式,该模式需要在远方调度配置工作站,该网络为地调系统主干网络的远端延伸,需要地调主站与各供电局之间通过以太网络长距离纵向联接。
根据发改委14号令《电力监控系统安全防护规定》要求:“在生产控制大区与广域网的纵向联接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。”但对于调控系统现状,文中所指的纵向联结处仅包括调控中心前置服务器至变电站的通讯网关机段,却未包含调控中心主网至各县调调度工作站段,这使得电力监控系统安全防护存在薄弱环节,必须采取相应的措施避免安全隐患。
目前国内电力系统调度技术支持系统采用远程工作站模式的,均为利用远距离网线将主网交换机延伸接入远方工作站,这就导致黑客可以从通信链路任意一点直接攻击调度SCADA系统,造成大面积停电事故。
采用VXLAN技术(Virtual eXtensible LAN,可扩展虚拟局域网络)是基于IP网络、采用“MAC in UDP”封装形式的二层VPN技术。VXLAN具备极好的开放性,可以基于现有网络的基础上为分散的物理站点提供二层互联,并能够为不同的用户提供业务隔离。
在电力系统中,纵向链路远方传输必须要经过国家认证的纵向加密装置,保证信息的安全传输,但存在纵向加密设备不能加密广播和组播报文的缺陷。然而,若直接采用VXLAN技术在主干网至远方工作站两侧配置两台纵向加密,来解决通道安全的问题,却存在纵向加密设备只能对单播报文实现加密传输却不能加密广播和组播报文的缺陷,仍然无法保证纵向链路的密文传输。
发明内容
本发明是一种基于VXLAN技术对电力信息内网报文加密发布的方法,该方法解决了现有技术中电力系统不能加密广播和组播报文的缺陷。利用网关VXLAN路由器实现VXLAN的二层网络功能,以实现VXLAN对广播、组播和IP数据报文的封装,再通过纵向加密装置隧道根据策略实现加密。
利用并改进两项重要技术VXLAN封装与解封装技术及纵向加密隧道的虚拟VTEP策略整合技术,封装电力系统需要远程传输的各类报文数据和加密封装好的VXLAN报文数据,将经过VXLAN封装好的报文,通过电力专用纵向加密认证装置,进行报文加密,使得信息在通信链路中传输过程即使被黑客截获,既无法破解,又无法冒充。使用满足电力系统二次安防要求的SM2加密算法,保证了调度系统安全可靠性。且整个过程是在网关VXLAN路由器内部和纵向加密隧道内部执行,做到了组播和广播数据报文远方加密传输,提高了报文传输的安全性,节省了链路带宽的浪费。
本发明的主干网络设备包括服务器、源VXLAN隧道端点VTEP和纵向加密、目的VXLAN隧道端点VTEP的纵向加密、远方工作站;VXLAN设备对发送到远方工作站的所有报文(包含广播、组播和IP报文)根据指定IP地址进行VXLAN封装,封装后的数据包通过加密隧道传输后,再根据目的端网关路由器进行解封装,把主干网络中传输的广播、组播和IP报文转发给远程工作站;远方工作站的IP地址及工作站VTEP地址之间的映射关系在服务器hosts表和源端路由器进行配置,使得网关路由器能确定需要封装的目的IP地址,从而实现报文转发。
纵向加密设备具备三级密钥管理:主密钥、设备公私钥和工作密钥,通过本地和远方的纵向加密互换双方的密钥,以RSA或SM2算法加密传送实时产生的工作密钥,生成密钥同步的双方首先相互验证身份,当密钥匹配后,隧道建立成功,再配置需求的IP包过滤策略,实现报文的密文通信。该设备对其他主机而言是透明的,只占用一个IP地址,不影响原有网络拓扑结构,也无须更改网络设备或局域网计算机的设置,它所提供的密文隧道若没有相应的证书密钥解密是不能读取意义的,这一特性极大地保证了远程传输的安全性。
纵向加密配置参数有源端IP地址、端口号、目的端IP地址、端口号以及传输报文的方向和类型(TCP/UDP),建立隧道的参数有两台纵密的证书文件和纵密IP地址;根据配置的私网VTEP地址的对应关系,选择合适的IP地址作为纵向加密装置地址,为两台纵向加密建立独立隧道(实际情况应为服务器端一对多调度纵向加密)。
在隧道策略中配置服务器侧网关路由VTEP地址作为源地址,设置相应的端口号,工作站侧网关路由VTEP地址作为目的地址,同样配置相应的端口号,协议为TCP,方向双向。
具体采用如下步骤实现的(如图5):
1.自动化服务器发出广播、组播、IP报文包,经过VXLAN路由器对全部信息体报文进行封装,规划一个VXLAN报文的IP地址。
2.两台纵向加密装置的eth1口经过通信长距离光纤相连,两台纵向加密装置的eth0口分别于服务器端和工作站端路由器相连接。
3.使用初始化账户登录纵向加密装置,导出设备的证书请求文件。
4.对纵向加密设备导入证书系统的根证书。
5.通过调度数字证书系统对两台纵向加密装置签发设备证书和操作员证书。
6.使用操作员钥匙和设置的操作员密码登录纵向加密装置。
7.纵向加密通过网络方式管理,在服务器端VLAN域中配置eth1口与对应相连的目的端VLAN域配置的eth1口同网段的IP地址。
8.将两台纵向加密装置的VLAN eth1口地址作为本装置的设备协商地址。
9.在服务器端纵向加密导入目的端纵向加密的设备证书。
10.在目的端纵向加密导入服务器端纵向加密的设备证书。
11.两台纵向加密设备向对端建立传输隧道,隧道原IP地址设为服务器端纵向加密eth1口IP地址,隧道目的IP地址设为目的端纵向加密eth1口IP地址。
12.建立隧道的通讯模式选为加密模式。
13.然后再已建立的隧道上添加策略,选择源IP业务起始地址和结束地址均为服务器侧路由器规划好的VXLAN报文IP地址,目的IP业务起始地址和结束地址均为目的侧路由器规划好的VXLAN报文IP地址,使得满足配置的“最小化”原则。
14.配置允许通过的协议为TCP协议,服务器侧源端口范围为1024-65535,目的侧端口范围也为1024-65535。
15.为满足自动化人员调试远方工作站方便,需再冗余配置一条策略作为调试使用,源IP地址和目的IP地址与上条策略一致,服务器侧源端口范围为1024-65535,目的侧端口为23,表示仅允许来自服务器侧设备对远方工作站的ssh登录访问功能开放。
16.纵向加密装置功能生效的过程首先由一台纵向加密装置向对端的纵向加密装置IP地址发出协商请求,请求文件中包括对称加密密钥信息。
17.对端纵向加密装置接收到协商请求,核实请求文件中设备证书与本端证书是否一致,若一致,则发送协商确认报文,表示已商定双方通信加密密钥,该密钥会在使用一段时间后自动重新协商改变。
18.协商的会话密钥为DES对称算法,纵向加密设备证书为适合SM2算法。
19.经过两台纵向加密装置隧道的加密和解密过程,在目的端路由处接收到带有VXLAN封装的IP报文,再进行解封装,得到原始的广播、组播和IP报文。
20.目的端远程工作站即可接收到服务器端的所有类型报文数据。
在VXLAN中报文发送方法具体步骤如下(如图3):
步骤一、本端VTEP设备根据在系统中配置的远端VTEP的IP地址从而实现发现远端VTEP,本端VTEP与远端VTEP之间建立VXLAN隧道,并将VXLAN隧道与VXLAN关联;
步骤二、识别接收到的报文所属的VXLAN,以便将报文的源MAC地址学习到VXLAN对应的VSI,并在该VSI内转发该报文;
步骤三、学习所述服务器的MAC地址形成MAC地址表,根据学习到的MAC地址表项转发报文。
步骤四:VXLAN的实现方式,可采用手动或自动两种方式。
进一步的,手工方式建立VXLAN隧道方法:手工配置Tunnel接口,并指定隧道的源和目的IP地址分别为本端和远端VTEP的IP地址从而实现隧道的建立。手工方式建立VXLAN隧道的方式配置稍显复杂,适用于局点不多的环境。手工将VXLAN隧道与所述VXLAN关联.。
进一步的,自动方式建立VXLAN隧道方法:通过ENDP(Enhanced NeighborDiscovery Protocol,增强的邻居发现协议)发现远端VTEP后,自动在本端和远端VTEP之间建立VXLAN隧道;自动建立隧道配置较为简单,适用于局点多的环境,从而减轻维护人员的工作压力。VXLAN扩展了IS-IS协议来发布VXLAN的VNI信息。
所述VTEP在所有VXLAN隧道上通过IS-IS协议将本地存在的VXLAN的ID通告给远端VTEP,远端VTEP将其与本地的VXLAN进行比较,如果存在相同的VXLAN,则将该VXLAN与接收该信息的VXLAN隧道关联。
从所述VXLAN识别报文所属VXLAN,VTEP将连接本地站点的三层接口或与VSI关联,VTEP从三层接口接收到数据帧后,查找与其关联的VSI,VSI内创建的VXLAN即为该数据帧所属的VXLAN。
从所述VXLAN隧道上接收VXLAN报文,VTEP根据报文中携带的VXLAN的VN I判断该报文所属的VXLAN。
从所述VTEP对本地服务器的MAC地址学习,VTEP接收到服务器发送的数据帧后,判断该数据帧所属的VSI,并将数据帧中的源MAC地址添加到该VSI的MAC地址表中,该MAC地址对应的接口为接收到数据帧的接口。
所述VTEP对远端站点内虚拟机MAC地址的学习,远端MAC地址的学习方式有如下几种:手工指定远端MAC地址所属的VSI(VXLAN),及其对应的VXLAN隧道接口;通过报文中的源MAC地址动态学习:VTEP从VXLAN隧道上接收到远端VTEP发送的VXLAN报文后,根据VXLAN ID判断报文所属的VXLAN,对报文进行解封装,还原二层数据帧,并将数据帧中的源MAC地址添加到所属VXLAN对应VSI的MAC地址表中,该MAC地址对应的接口为VXLAN隧道接口。
所述VTEP从VXLAN隧道上接收到远端VTEP发送的VXLAN报文后,根据VXLAN的VNI判断报文所属的VXLAN,对报文进行解封装,还原二层数据帧,并将数据帧中的源MAC地址添加到所属VXLAN对应VSI的MAC地址表中,该MAC地址对应的接口为VXLAN隧道接口。
有益效果:本发明是电力系统内网报文发布方法,符合电力专用安全加密密钥SM2算法要求,能够实现非对称密钥和对称密钥结合传输报文,既提高了通道传输效率,又保证了报文传输的安全可靠性。
附图说明
图1为现有省地县一体化调度技术支持系统网络简易拓扑;
图2为本发明提供方法的设备拓扑图;
图3为本发明提供的一种在VXLAN中报文发送方法流程图;
图4为服务器与工作站间VXLAN报文转发流程图;
图5为本发明设备全网拓扑图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例;
本发明实施例提供的一种基于VXLAN技术的电力系统信息内网报文加密发布方法,适用于如图1所示的广播、组播和IP报文均需要加密传输的电力二次系统网络。
本发明实施例的拓扑结构如图2所示,所述设备包括源VXLAN隧道端点VTEP、目标VTEP和纵向加密装置。
所述源VTEP用于管理源服务器在所述VXLAN中的通信和包含所述源VTEP的互联网协议IP地址与所述服务器的IP地址的映射关系。
所述目的VTEP用于管理目的工作站在所述VXLAN中的通信和所述目的VTEP的IP地址与所述目的VM的IP地址的映射关系。
所述纵向加密装置用于通道内报文加密和解密,加密隧道策略为源VTEP的互联网协议IP地址和目的VTEP的IP地址双向TCP通信。
报文加密的实现方式,根据所述纵向加密工作原理,在通道两侧互换两台纵向加密的证书文件,签发的加密策略一致为SM2算法,将源地址和目的地址按照VXLAN两侧VTEP的IP地址配置,可观察到该隧道内协商请求成功,报文加密传输。
一种基于VXLAN技术的电力系统信息内网报文加密发布方法流程图如图3所示,所述方法包括:
本端VTEP设备根据在系统中配置的远端VTEP的IP地址从而实现发现远端VTEP,本端VTEP与远端VTEP之间建立VXLAN隧道,并将VXLAN隧道与VXLAN关联;
识别接收到的报文所属的VXLAN,以便将报文的源MAC地址学习到VXLAN对应的VSI,并在该VSI内转发该报文;
学习所述服务器的MAC地址形成MAC地址表,根据学习到的MAC地址表项转发报文。
VXLAN的实现方式可通过手工或自动两种方式实现。手工方式建立VXLAN隧道:手工配置Tunnel接口,并指定隧道的源和目的IP地址分别为本端和远端VTEP的IP地址从而实现隧道的建立。手工方式建立VXLAN隧道的方式配置稍显复杂,适用于局点不多的环境。也可以自动方式建立:通过ENDP(Enhanced Neighbor Discovery Protocol,增强的邻居发现协议)发现远端VTEP后,自动在本端和远端VTEP之间建立VXLAN隧道;自动建立隧道配置较为简单,适用于局点多的环境,从而减轻维护人员的工作压力。
手工将VXLAN隧道与所述VXLAN关联,或通过自动方式:VXLAN扩展了IS-IS协议来发布VXLAN的VNI信息;
所述VTEP在所有VXLAN隧道上通过IS-IS协议将本地存在的VXLAN的ID通告给远端VTEP,远端VTEP将其与本地的VXLAN进行比较,如果存在相同的VXLAN,则将该VXLAN与接收该信息的VXLAN隧道关联;
从所述VXLAN识别报文所属VXLAN,VTEP将连接本地站点的三层接口或与VSI关联,VTEP从三层接口接收到数据帧后,查找与其关联的VSI,VSI内创建的VXLAN即为该数据帧所属的VXLAN。
从所述VXLAN隧道上接收VXLAN报文,VTEP根据报文中携带的VXLAN的VN I判断该报文所属的VXLAN;
从所述VTEP对本地服务器的MAC地址学习,VTEP接收到服务器发送的数据帧后,判断该数据帧所属的VSI,并将数据帧中的源MAC地址添加到该VSI的MAC地址表中,该MAC地址对应的接口为接收到数据帧的接口;
所述VTEP对远端站点内虚拟机MAC地址的学习,远端MAC地址的学习方式有两种:手工指定远端MAC地址所属的VSI(VXLAN)及其对应的VXLAN隧道接口。
通过报文中的源MAC地址动态学习:VTEP从VXLAN隧道上接收到远端VTEP发送的VXLAN报文后,根据VXLAN ID判断报文所属的VXLAN,对报文进行解封装,还原二层数据帧,并将数据帧中的源MAC地址添加到所属VXLAN对应VSI的MAC地址表中,该MAC地址对应的接口为VXLAN隧道接口。
所述VTEP从VXLAN隧道上接收到远端VTEP发送的VXLAN报文后,根据VXLAN的VNI判断报文所属的VXLAN,对报文进行解封装,还原二层数据帧,并将数据帧中的源MAC地址添加到所属VXLAN对应VSI的MAC地址表中,该MAC地址对应的接口为VXLAN隧道接口。
所述VTEP在VXLAN内转发广播报文的过程如图4所示,以服务器(MAC地址为MAC 1)发送以太网帧给远程工作站3(MAC地址为MAC 3)为例,站点间报文的转发过程包括:
服务器发送以太网数据帧给远程工作站3,数据帧的源MAC地址为MAC 1,目的MAC为MAC 3,VLAN tag为2;
VTEP 1从接口GigabitEthernet1/0/1收到该数据帧后,判断该数据帧属于VSIA(VXLAN 10),查找VSIA的MAC地址表,得到MAC3的出端口为Tunnel1,如表1所示;
表1 VTEP 1的MAC地址表
VTEP 1为数据帧封装VXLAN头、UDP头和IP头后,将封装好的报文通过VXLAN隧道Tunnel 1、经由加密设备发送给VTEP 2;
VTEP 2接收到报文后,根据报文中的VXLAN ID判断该报文属于VXLAN10,并剥离VXLAN头、UDP头和IP头,还原出原始的数据帧;
VTEP 2查找与VXLAN 10对应的VSI A的MAC地址表,得到MAC 3的出端口为GigabitEthernet1/0/2,所在VLAN为VLAN 20,如表2所示;
表2 VTEP 2的MAC地址表
VTEP 2从接口GigabitEthernet1/0/2的VLAN 20内将数据帧发送给工作站3;
VTEP 3的MAC地址表如表3所示,该报文选择VXLAN为10的VTEP 2表转发信息;
表3 VTEP 3的MAC地址表
所述工作站3接收到来自服务器的解封装后的VXLAN报文,实现报文信息的全路径加密传输。
本发明实施例的全拓扑结构如图5所示,所述设备包括服务器、源端VXLAN路由器、主网交换机、纵向加密、远方调度端交换机、目的端VXLAN路由器、和远程工作站。步骤如下:
S1.自动化服务器发出广播、组播、IP报文包,经过VXLAN路由器对全部信息体报文进行封装,规划一个VXLAN报文的IP地址。
S2.两台纵向加密装置的eth1口经过通信长距离光纤相连,两台纵向加密装置的eth0口分别于服务器端和工作站端路由器相连接。
S3.使用初始化账户登录纵向加密装置,导出设备的证书请求文件。
S4.对纵向加密设备导入证书系统的根证书。
S5.通过调度数字证书系统对两台纵向加密装置签发设备证书和操作员证书。
S6.使用操作员钥匙和设置的操作员密码登录纵向加密装置。
S7.纵向加密通过网络方式管理,在服务器端VLAN域中配置eth1口与对应相连的目的端VLAN域配置的eth1口同网段的IP地址。
S8.将两台纵向加密装置的VLAN eth1口地址作为本装置的设备协商地址。
S9.在服务器端纵向加密导入目的端纵向加密的设备证书。
S10.在目的端纵向加密导入服务器端纵向加密的设备证书。
S11.两台纵向加密设备向对端建立传输隧道,隧道原IP地址设为服务器端纵向加密eth1口IP地址,隧道目的IP地址设为目的端纵向加密eth1口IP地址。
S12.建立隧道的通讯模式选为加密模式。
S13.然后再已建立的隧道上添加策略,选择源IP业务起始地址和结束地址均为服务器侧路由器规划好的VXLAN报文IP地址,目的IP业务起始地址和结束地址均为目的侧路由器规划好的VXLAN报文IP地址,使得满足配置的“最小化”原则。
S14.配置允许通过的协议为TCP协议,服务器侧源端口范围为1024-65535,目的侧端口范围也为1024-65535。
S15.为满足自动化人员调试远方工作站方便,需再冗余配置一条策略作为调试使用,源IP地址和目的IP地址与上条策略一致,服务器侧源端口范围为1024-65535,目的侧端口为23,表示仅允许来自服务器侧设备对远方工作站的SSH登录访问功能开放。
S16.纵向加密装置功能生效的过程首先由一台纵向加密装置向对端的纵向加密装置IP地址发出协商请求,请求文件中包括对称加密密钥信息。
S17.对端纵向加密装置接收到协商请求,核实请求文件中设备证书与本端证书是否一致,若一致,则发送协商确认报文,表示已商定双方通信加密密钥,该密钥会在使用一段时间后自动重新协商改变。
S18.协商的会话密钥为DES对称算法,纵向加密设备证书为SM2算法。
S19.经过两台纵向加密装置隧道的加密和解密过程,在目的端路由处接收到带有VXLAN封装的IP报文,再进行解封装,得到原始的广播、组播和IP报文。
S20.目的端远程工作站即可接收到服务器端的所有类型报文数据。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (11)
1.一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于:该方法可用于电力系统信息内网报文加密发布,具体步骤包括:VXLAN路由器将接收到的服务器广播、组播、IP报文进行VXLAN封装,通过纵向加密设备建立的隧道进行报文加密远方传输,再通过对端网关VXLAN路由器对数据报文进行VXLAN解封装,VXLAN解封装后的数据报文进行二层网络转发,在本地的二层组播组表中查找到与组播数据报文的目的IP地址和目的MAC地址匹配的二层组播组表项,最后在工作站上接受到广播、组播和IP报文。
2.如权利要求1所述的一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,所述的网关VXLAN路由器在对广播、组播和IP数据报文进行VXLAN封装前包括如下步骤:为数据报文的VXLAN封装头打上虚拟网络标识VNI标签;配置隧道源端VTEP地址和目的路由器端VTEP地址,然后在纵向加密设备已建立好的隧道中配置原端和目的地址的VTEP地址,实现加密策略通信。
3.如权利要求2所述一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,所述的数据报文VXLAN的封装头中识别出虚拟网络标识VNI,VXLAN解封后的数据报文二层转发包括:从路由器的本地MAC表中查找到与所述VNI和所述VXLAN解封装后的数据报文的目的MAC地址匹配的MAC表项,根据所述VXLAN解封装后的数据报文目的MAC地址为广播MAC地址、目的IP地址为广播IP地址,则确定VXLAN解封装后的广播数据报文进行二层组播转发,组播和IP报文步骤相同。
4.如权利要求1所述一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,底层物理网络边缘设备路由器需支持Overlay技术特性,通过隧道的方式在底层物理网络上形成Overlay网络;通过VXLAN网络网络标示的不同可以把不同的业务封装在不同的VXLAN层面中,每一个VXLAN层面的业务在一个大二层中;VXLAN之间的互通在设备上部署策略实现,从而保证各个VXLAN网络的互通与隔离;VXLAN大二层平面形成后相应业务实现大二层互通。
5.如权利要求1所述一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,所述的纵向加密设备具备三级密钥管理:主密钥、设备公私钥和工作密钥,通过本地和远方的纵向加密互换双方的密钥,以RSA或SM2算法加密传送实时产生的工作密钥,生成密钥同步的双方首先相互验证身份,当密钥匹配后,隧道建立成功,再配置需求的IP包过滤策略,实现报文的密文通信。
6.如权利要求5所述一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,纵向加密配置参数有源端IP地址、端口号、目的端IP地址、端口号以及传输报文的方向和类型(TCP/UDP),建立隧道的参数有两台纵密的证书文件和纵密IP地址;根据配置的私网VTEP地址的对应关系,选择合适的IP地址作为纵向加密装置地址,为两台纵向加密建立独立隧道。
7.如权利要求1所述一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,所述的在VXLAN中报文发送方法具体包括四个:
步骤一、本端VTEP设备根据在系统中配置的远端VTEP的IP地址从而实现发现远端VTEP,本端VTEP与远端VTEP之间建立VXLAN隧道,并将VXLAN隧道与VXLAN关联;
步骤二、识别接收到的报文所属的VXLAN,以便将报文的源MAC地址学习到VXLAN对应的VSI,并在该VSI内转发该报文;
步骤三、学习所述服务器的MAC地址形成MAC地址表,根据学习到的MAC地址表项转发报文;
步骤四:VXLAN的实现方式,可采用手动或自动两种方式。
8.如权利要求7所述一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,所述的在VXLAN中报文发送方法步骤四VXLAN的实现方式采用手动方式:手工方式建立VXLAN隧道方法:手工配置Tunnel接口,并指定隧道的源和目的IP地址分别为本端和远端VTEP的IP地址从而实现隧道的建立;手工将VXLAN隧道与所述VXLAN关联。
9.如权利要求7所述一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,所述的在VXLAN中报文发送方法步骤四VXLAN的实现方式采用自动方式:自动方式建立VXLAN隧道方法:通过ENDP发现远端VTEP后,自动在本端和远端VTEP之间建立VXLAN隧道;VXLAN扩展了IS-IS协议来发布VXLAN的VNI信息。
10.一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,实现该方法所需设备包括服务器、源端VXLAN路由器、主网交换机、纵向加密、远方调度端交换机、目的端VXLAN路由器、和远程工作站。
11.一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,具体实现步骤包括:
S1.自动化服务器发出广播、组播、IP报文包,经过VXLAN路由器对全部信息体报文进行封装,规划一个VXLAN报文的IP地址;
S2.两台纵向加密装置的eth1口经过通信长距离光纤相连,两台纵向加密装置的eth0口分别于服务器端和工作站端路由器相连接;
S3.使用初始化账户登录纵向加密装置,导出设备的证书请求文件;
S4.对纵向加密设备导入证书系统的根证书;
S5.通过调度数字证书系统对两台纵向加密装置签发设备证书和操作员证书;
S6.使用操作员钥匙和设置的操作员密码登录纵向加密装置;
S7.纵向加密通过网络方式管理,在服务器端VLAN域中配置eth1口与对应相连的目的端VLAN域配置的eth1口同网段的IP地址;
S8.将两台纵向加密装置的VLAN eth1口地址作为本装置的设备协商地址;
S9.在服务器端纵向加密导入目的端纵向加密的设备证书;
S10.在目的端纵向加密导入服务器端纵向加密的设备证书;
S11.两台纵向加密设备向对端建立传输隧道,隧道原IP地址设为服务器端纵向加密eth1口IP地址,隧道目的IP地址设为目的端纵向加密eth1口IP地址;
S12.建立隧道的通讯模式选为加密模式;
S13.然后再已建立的隧道上添加策略,选择源IP业务起始地址和结束地址均为服务器侧路由器规划好的VXLAN报文IP地址,目的IP业务起始地址和结束地址均为目的侧路由器规划好的VXLAN报文IP地址,使得满足配置的“最小化”原则;
S14.配置允许通过的协议为TCP协议,服务器侧源端口范围为1024-65535,目的侧端口范围也为1024-65535;
S15.为满足自动化人员调试远方工作站方便,需再冗余配置一条策略作为调试使用,源IP地址和目的IP地址与上条策略一致,服务器侧源端口范围为1024-65535,目的侧端口为23,表示仅允许来自服务器侧设备对远方工作站的SSH登录访问功能开放;
S16.纵向加密装置功能生效的过程首先由一台纵向加密装置向对端的纵向加密装置IP地址发出协商请求,请求文件中包括对称加密密钥信息;
S17.对端纵向加密装置接收到协商请求,核实请求文件中设备证书与本端证书是否一致,若一致,则发送协商确认报文,表示已商定双方通信加密密钥,该密钥会在使用一段时间后自动重新协商改变;
S18.协商的会话密钥为DES对称算法,纵向加密设备证书为SM2算法;
S19.经过两台纵向加密装置隧道的加密和解密过程,在目的端路由处接收到带有VXLAN封装的IP报文,再进行解封装,得到原始的广播、组播和IP报文;
S20.目的端远程工作站即可接收到服务器端的所有类型报文数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710559431.5A CN107294711B (zh) | 2017-07-11 | 2017-07-11 | 一种基于vxlan技术的电力信息内网报文加密发布方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710559431.5A CN107294711B (zh) | 2017-07-11 | 2017-07-11 | 一种基于vxlan技术的电力信息内网报文加密发布方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107294711A true CN107294711A (zh) | 2017-10-24 |
CN107294711B CN107294711B (zh) | 2021-03-30 |
Family
ID=60100523
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710559431.5A Active CN107294711B (zh) | 2017-07-11 | 2017-07-11 | 一种基于vxlan技术的电力信息内网报文加密发布方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107294711B (zh) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109327462A (zh) * | 2018-11-14 | 2019-02-12 | 盛科网络(苏州)有限公司 | 一种基于l2vpn网络的mac地址认证方法 |
CN109728993A (zh) * | 2019-01-28 | 2019-05-07 | 赵瑞红 | 基于vxlan的远程局域网加密认证装置以及使用方法 |
CN109842540A (zh) * | 2017-11-28 | 2019-06-04 | 上海仪电(集团)有限公司中央研究院 | 一种基于软件定义网络的二层组播网络互通装置和方法 |
CN110086750A (zh) * | 2018-01-26 | 2019-08-02 | 北京数盾信息科技有限公司 | 一种基于光纤数据链路网络和卫星通信网络的加密系统 |
CN110290043A (zh) * | 2018-03-19 | 2019-09-27 | 杭州达乎科技有限公司 | Vxlan网络中报文传输方法及设备 |
CN111193735A (zh) * | 2019-12-27 | 2020-05-22 | 泛在数字电能技术(珠海)有限公司 | 基于独立计算单元的智能终端安全通讯系统 |
CN111526080A (zh) * | 2020-05-07 | 2020-08-11 | 网经科技(苏州)有限公司 | 网关vxlan可选择加密数据传输的方法 |
CN111698245A (zh) * | 2020-06-10 | 2020-09-22 | 成都国泰网信科技有限公司 | 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法 |
EP3694157A4 (en) * | 2017-11-09 | 2020-11-18 | Huawei Technologies Co., Ltd. | VXLAN ENCODING CONFIGURATION PROCEDURE, DEVICE AND SYSTEM |
CN111988212A (zh) * | 2019-05-23 | 2020-11-24 | 华为技术有限公司 | 一种报文传输方法以及相关装置 |
CN113676390A (zh) * | 2021-07-21 | 2021-11-19 | 北京网聚云联科技有限公司 | 基于vxlan的触发式动态安全通道的方法、用户端及中央控制台 |
CN113783837A (zh) * | 2021-08-03 | 2021-12-10 | 国网福建省电力有限公司检修分公司 | 一种自适应变电站纵向加密主机校验方法与终端 |
CN113949718A (zh) * | 2021-10-13 | 2022-01-18 | 国网福建省电力有限公司 | 基于e1及ip混合承载的电力专网调度放号系统及方法 |
CN114465788A (zh) * | 2022-01-24 | 2022-05-10 | 山东梅格彤天电气有限公司 | 一种多融合网关信息加密发布方法及其装置 |
CN114697130A (zh) * | 2022-04-22 | 2022-07-01 | 国网安徽省电力有限公司信息通信分公司 | 一种电力系统智能移动终端信息安全加密方法 |
WO2023061069A1 (zh) * | 2021-10-15 | 2023-04-20 | 中兴通讯股份有限公司 | 路由报文处理方法、装置、存储介质及电子装置 |
CN117424778A (zh) * | 2023-12-18 | 2024-01-19 | 深圳市赛柏特通信技术有限公司 | 跨控制域sd-wan网络实现大二层通信的方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209401A (zh) * | 2015-04-30 | 2016-12-07 | 杭州华三通信技术有限公司 | 一种传输方法及装置 |
-
2017
- 2017-07-11 CN CN201710559431.5A patent/CN107294711B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209401A (zh) * | 2015-04-30 | 2016-12-07 | 杭州华三通信技术有限公司 | 一种传输方法及装置 |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11310080B2 (en) | 2017-11-09 | 2022-04-19 | Huawei Technologies Co., Ltd. | VXLAN configuration method, device, and system |
EP3694157A4 (en) * | 2017-11-09 | 2020-11-18 | Huawei Technologies Co., Ltd. | VXLAN ENCODING CONFIGURATION PROCEDURE, DEVICE AND SYSTEM |
CN109842540A (zh) * | 2017-11-28 | 2019-06-04 | 上海仪电(集团)有限公司中央研究院 | 一种基于软件定义网络的二层组播网络互通装置和方法 |
CN109842540B (zh) * | 2017-11-28 | 2022-10-11 | 上海仪电(集团)有限公司中央研究院 | 一种基于软件定义网络的二层组播网络互通装置和方法 |
CN110086750A (zh) * | 2018-01-26 | 2019-08-02 | 北京数盾信息科技有限公司 | 一种基于光纤数据链路网络和卫星通信网络的加密系统 |
CN110290043A (zh) * | 2018-03-19 | 2019-09-27 | 杭州达乎科技有限公司 | Vxlan网络中报文传输方法及设备 |
CN109327462A (zh) * | 2018-11-14 | 2019-02-12 | 盛科网络(苏州)有限公司 | 一种基于l2vpn网络的mac地址认证方法 |
CN109728993A (zh) * | 2019-01-28 | 2019-05-07 | 赵瑞红 | 基于vxlan的远程局域网加密认证装置以及使用方法 |
CN111988212A (zh) * | 2019-05-23 | 2020-11-24 | 华为技术有限公司 | 一种报文传输方法以及相关装置 |
CN111988212B (zh) * | 2019-05-23 | 2021-10-22 | 华为技术有限公司 | 一种报文传输方法以及相关装置 |
CN111193735A (zh) * | 2019-12-27 | 2020-05-22 | 泛在数字电能技术(珠海)有限公司 | 基于独立计算单元的智能终端安全通讯系统 |
CN111526080A (zh) * | 2020-05-07 | 2020-08-11 | 网经科技(苏州)有限公司 | 网关vxlan可选择加密数据传输的方法 |
CN111526080B (zh) * | 2020-05-07 | 2022-03-11 | 网经科技(苏州)有限公司 | 网关vxlan可选择加密数据传输的方法 |
CN111698245A (zh) * | 2020-06-10 | 2020-09-22 | 成都国泰网信科技有限公司 | 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法 |
CN113676390A (zh) * | 2021-07-21 | 2021-11-19 | 北京网聚云联科技有限公司 | 基于vxlan的触发式动态安全通道的方法、用户端及中央控制台 |
CN113676390B (zh) * | 2021-07-21 | 2022-10-25 | 北京网聚云联科技有限公司 | 基于vxlan的触发式动态安全通道的方法、用户端及中央控制台 |
CN113783837A (zh) * | 2021-08-03 | 2021-12-10 | 国网福建省电力有限公司检修分公司 | 一种自适应变电站纵向加密主机校验方法与终端 |
CN113949718A (zh) * | 2021-10-13 | 2022-01-18 | 国网福建省电力有限公司 | 基于e1及ip混合承载的电力专网调度放号系统及方法 |
CN113949718B (zh) * | 2021-10-13 | 2023-06-27 | 国网福建省电力有限公司 | 基于e1及ip混合承载的电力专网调度放号系统及方法 |
WO2023061069A1 (zh) * | 2021-10-15 | 2023-04-20 | 中兴通讯股份有限公司 | 路由报文处理方法、装置、存储介质及电子装置 |
CN114465788A (zh) * | 2022-01-24 | 2022-05-10 | 山东梅格彤天电气有限公司 | 一种多融合网关信息加密发布方法及其装置 |
CN114697130A (zh) * | 2022-04-22 | 2022-07-01 | 国网安徽省电力有限公司信息通信分公司 | 一种电力系统智能移动终端信息安全加密方法 |
CN117424778A (zh) * | 2023-12-18 | 2024-01-19 | 深圳市赛柏特通信技术有限公司 | 跨控制域sd-wan网络实现大二层通信的方法 |
CN117424778B (zh) * | 2023-12-18 | 2024-02-20 | 深圳市赛柏特通信技术有限公司 | 跨控制域sd-wan网络实现大二层通信的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107294711B (zh) | 2021-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107294711A (zh) | 一种基于vxlan技术的电力信息内网报文加密发布方法 | |
CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
CN107959654B (zh) | 一种数据传输方法、装置及混合云系统 | |
Del Piccolo et al. | A survey of network isolation solutions for multi-tenant data centers | |
CN104285416B (zh) | 在存储区域网络中端接覆盖隧道的虚拟路由器 | |
CN104780069B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
CN107852365A (zh) | 具有加密和流量工程解析的动态vpn策略模型 | |
CN103067290B (zh) | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 | |
CN106936777A (zh) | 基于OpenFlow的云计算分布式网络实现方法、系统 | |
CN101217435B (zh) | 一种L2TP over IPSEC远程接入的方法及装置 | |
CN104283701A (zh) | 配置信息的下发方法、系统及装置 | |
CN107241454B (zh) | 一种实现地址管理的方法、装置、aaa服务器及sdn控制器 | |
CN101515859B (zh) | 一种因特网协议安全隧道传输组播的方法及设备 | |
CN103118064A (zh) | 一种Portal集中认证的方法和装置 | |
EP2991284A1 (en) | Method and device used in ethernet virtual private network | |
CN104660527A (zh) | 一种服务交换机、跨VLAN的PPPoE网络系统及方法 | |
US9825759B2 (en) | Secure service management in a communication network | |
Liyanage et al. | A scalable and secure VPLS architecture for provider provisioned networks | |
EP2897328B1 (en) | Method, system and apparatus for establishing communication link | |
CN105635154A (zh) | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 | |
CN110611658A (zh) | 一种基于sd-wan的设备认证方法及系统 | |
CN109547392B (zh) | 一种在sdn网络中支持多用户隔离的加密接入方法及系统 | |
CN101304337A (zh) | 生成业务虚拟私有网络的接入拓扑的方法和装置 | |
CN106533984B (zh) | 一种社会资源的接入方法及装置 | |
CN102932229A (zh) | 一种对数据包进行加解密处理的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |