CN111614691A - 一种基于电力网关的出站报文处理方法及装置 - Google Patents
一种基于电力网关的出站报文处理方法及装置 Download PDFInfo
- Publication number
- CN111614691A CN111614691A CN202010467046.XA CN202010467046A CN111614691A CN 111614691 A CN111614691 A CN 111614691A CN 202010467046 A CN202010467046 A CN 202010467046A CN 111614691 A CN111614691 A CN 111614691A
- Authority
- CN
- China
- Prior art keywords
- data
- protocol
- original
- value
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/565—Conversion or adaptation of application format or content
- H04L67/5651—Reducing the amount or size of exchanged application data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
- H04L9/16—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于电力网关的出站报文处理方法,包括:获取原始IP数据并根据本地策略查找与原始IP数据相关联的SA协议;将原始IP数据填充到ESP载荷字段中进行封装得到第一封装数据;在第一封装数据中添加填充数据生成第二封装数据;根据SA协议中的加密算法对第二封装数据进行加密处理得到加密数据;根据SA协议中的加密算法对加密数据的完整性进行计算得到完整性校验值,并将完整性校验值添加在加密数据中,生成IP数据报文;判断IP数据报文的长度是否超过预设长度值;当确定超过时,将IP数据报文进行分片处理,得到多段IP数据报文,并将多段IP数据报文依次发送至接收端;当确定不超过时,将IP数据报文发送至接收端。
Description
技术领域
本发明涉及网关出站报文处理领域,尤其涉及一种基于电力网关的出站报文处理方法及装置。
背景技术
安全网关在电力配电行业中应用广泛,通过将安全网关部署在网络边界来保证跨网络信息传输的安全、保密和完整,实现客户端和服务器之间身份的有效认证、授权和数据传输安全;因此,安全网关的访问方法是网关技术中重要的环节。
传统的安全网关都是使用普通传输的应用模式,在处理出站报文的流程上,传统的报文处理方案是将原始IP数据进行代码封装后传输给接收端,然而,对原始IP数据进行直接传输的传统传输方式安全性不高,数据在传输中容易被截获,对封装数据进行解密后即可得到原始数据,导致保密信息外泄,造成不可估算的损失。
因此,目前市面上亟需一种基于电力网关的出站报文处理策略,可以提高数据传输过程中的安全性,避免保密信息外泄。
发明内容
本发明提供了一种基于电力网关的出站报文处理方法及装置,可以提高数据传输过程中的安全性,避免保密信息外泄。
为了解决上述技术问题,本发明实施例提供了一种基于电力网关的出站报文处理方法,包括:
获取原始IP数据,并根据本地策略查找与所述原始IP数据相关联的SA协议;所述SA协议包括加密算法和算法密钥;
将所述原始IP数据填充到ESP载荷字段中进行封装,得到第一封装数据;
在所述第一封装数据中添加填充数据,生成第二封装数据;
根据所述SA协议中的加密算法对所述第二封装数据进行加密处理,得到加密数据;
根据所述SA协议中的加密算法对所述加密数据的完整性进行计算,得到完整性校验值,并将所述完整性校验值添加在所述加密数据中,生成IP数据报文;
判断所述IP数据报文的长度是否超过预设长度值;
当确定所述IP数据报文的长度超过预设长度值时,将所述IP数据报文进行分片处理,得到多段IP数据报文,并将所述多段IP数据报文依次发送至接收端;
当确定所述IP数据报文的长度不超过预设长度值时,将所述IP数据报文发送至接收端。
作为优选方案,所述SA协议还包括计数器,其中,所述计数器的初始值为0;在每次发送一个IP数据报文后,对所述计数器的值增加1,直到所述计数器的值达到预设最大值时,生成新的SA协议。
作为优选方案,所述根据本地策略查找与所述原始IP数据相关联的SA协议的步骤中,具体为:
判断所述本地策略中是否存在与所述原始IP数据相关联的SA协议,当确定所述本地策略中存在与所述原始IP数据相关联的SA协议时,直接配置使用所述SA协议;当确定所述本地策略中不存在与所述原始IP数据相关联的SA协议时,生成新的SA协议进行配置使用。
作为优选方案,所述加密算法包括SM1算法和SM3算法。
本发明另一实施例提供了一种基于电力网关的出站报文处理装置,包括:
数据获取模块,用于获取原始IP数据,并根据本地策略查找与所述原始IP数据相关联的SA协议;所述SA协议包括加密算法和算法密钥;
第一封装模块,用于将所述原始IP数据填充到ESP载荷字段中进行封装,得到第一封装数据;
第二封装模块,用于在所述第一封装数据中添加填充数据,生成第二封装数据;
数据加密模块,用于根据所述SA协议中的加密算法对所述第二封装数据进行加密处理,得到加密数据;
数据校验模块,用于根据所述SA协议中的加密算法对所述加密数据的完整性进行计算,得到完整性校验值,并将所述完整性校验值添加在所述加密数据中,生成IP数据报文;
长度判断模块,用于判断所述IP数据报文的长度是否超过预设长度值;
第一传输模块,用于当确定所述IP数据报文的长度超过预设长度值时,将所述IP数据报文进行分片处理,得到多段IP数据报文,并将所述多段IP数据报文依次发送至接收端;
第二传输模块,用于当确定所述IP数据报文的长度不超过预设长度值时,将所述IP数据报文发送至接收端。
作为优选方案,所述SA协议还包括计数器,其中,所述计数器的初始值为0;
所述基于电力网关的出站报文处理装置,还包括:计数统计模块,用于在每次发送一个IP数据报文后,对所述计数器的值增加1,直到所述计数器的值达到预设最大值时,生成新的SA协议。
作为优选方案,所述数据获取模块包括:协议判断单元,用于判断所述本地策略中是否存在与所述原始IP数据相关联的SA协议,当确定所述本地策略中存在与所述原始IP数据相关联的SA协议时,直接配置使用所述SA协议;当确定所述本地策略中不存在与所述原始IP数据相关联的SA协议时,生成新的SA协议进行配置使用。
作为优选方案,所述加密算法包括SM1算法和SM3算法。
本发明另一实施例提供了一种基于电力网关的出站报文处理装置,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如上述所述基于电力网关的出站报文处理方法的步骤。
相比于现有技术,本发明实施例具有如下有益效果:
1、本发明技术方案通过SA协议与接收端事先协议需要使用的加密算法和算法密钥,然后根据SA协议中的加密算法对原始数据进行封装加密,使得接收端可以根据SA协议中的算法密钥对数据进行解密,并结合认证数据和填充数据对原始数据进行层层保护,可以提高数据传输过程中的安全性,避免保密信息外泄。
2、为了进一步提高数据传输的安全性,通过设置计数器的最大值更换SA协议,可以避免加密策略长时间不更换而被破解的危机,进一步提高本技术方案的实用性。
附图说明
图1:为本发明提供的基于电力网关的出站报文处理方法的一种实施例的流程示意图;
图2:为本发明实施例2提供的基于电力网关的出站报文处理装置的一种实施例的结构示意图;
图3:为本发明实施例3提供的基于电力网关的出站报文处理装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
请参照图1,是本发明提供的基于电力网关的出站报文处理方法的一种实施例的流程示意图,该方法包括步骤101至步骤108,各步骤具体如下:
步骤101,获取原始IP数据,并根据本地策略查找与所述原始IP数据相关联的SA协议;所述SA协议包括加密算法和算法密钥。
在本实施例中,所述根据本地策略查找与所述原始IP数据相关联的SA协议的步骤中,具体为:判断所述本地策略中是否存在与所述原始IP数据相关联的SA协议,当确定所述本地策略中存在与所述原始IP数据相关联的SA协议时,直接配置使用所述SA协议;当确定所述本地策略中不存在与所述原始IP数据相关联的SA协议时,生成新的SA协议进行配置使用。
步骤102,将所述原始IP数据填充到ESP载荷字段中进行封装,得到第一封装数据。
步骤103,在所述第一封装数据中添加填充数据,生成第二封装数据。
步骤104,根据所述SA协议中的加密算法对所述第二封装数据进行加密处理,得到加密数据。
步骤105,根据所述SA协议中的加密算法对所述加密数据的完整性进行计算,得到完整性校验值,并将所述完整性校验值添加在所述加密数据中,生成IP数据报文。
步骤106,判断所述IP数据报文的长度是否超过预设长度值。
步骤107,当确定所述IP数据报文的长度超过预设长度值时,将所述IP数据报文进行分片处理,得到多段IP数据报文,并将所述多段IP数据报文依次发送至接收端。
步骤108,当确定所述IP数据报文的长度不超过预设长度值时,将所述IP数据报文发送至接收端。
在另一实施例中,所述SA协议还包括计数器,其中,所述计数器的初始值为0;在每次发送一个IP数据报文后,对所述计数器的值增加1,直到所述计数器的值达到预设最大值时,生成新的SA协议。本步骤为了进一步提高数据传输的安全性,通过设置计数器的最大值更换SA协议,可以避免加密策略长时间不更换而被破解的危机,进一步提高本技术方案的实用性。
在本实施例中,所述加密算法包括SM1算法和SM3算法。
具体地,首先,为了使通信双方的认证算法、加密算法保持一致,相互间建立的联系,在使用过程中采用安全联盟建立联系,SA是两个IPSec实体之间经过协商建立起来的一种协定,内容包括采用何种IPSec协议(ESP)、运行模式(隧道模式)、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等,从而决定了保护什么、如何保护以及谁来保护。可以说SA是构成传输的基础。传输方案最终会构建一个SA的数据库SADB,用于维护IPSec协议保障数据包安全的SA记录。在IPSec保护IP报文前,必须先建立一个安全联盟,可以手工也可以动态建立。SA是单向的,进入SA负责处理接收到的数据包,外出SA负责处理要发送的数据包。因此每个通信方必须要有两种SA,一个进入SA,一个外出SA,这两个SA构成了一个SA束。Internet密钥交换用于动态建立安全联盟,密钥协商代表IPSec对SA进行协商,并对SADB进行填充。
在发送ESP报文之前,首先检查本地策略SA的存在,当密钥协商完成,建立SA,同时将发送发的序列号计数器初始化为0,发送数据时将整个原始IP数据报文封装到ESP载荷字段中,根据报文长度进行填充,最后使用指定的密钥、加密算法、IV进行加密。发送一个报文后,计数器加1,当计数器达到最大值时,则生成新的SA。此外发送方会在除去认证数据字段的ESP报文上计算ICV,将计算的值添加在认证数据字段上,作为SM3完整性校验值。当IP数据报文长度超过ESP输出接口的MTU之后,则对数据报文进行分片。
报文入站时,查看数据是否需要重组,如果需要,则对IP数据报文重组,得到ESP封装的数据包,再根据目的IP地址、SPI等来查找SA,当查找失败时,则丢弃报文。同发送端一样,SA建立之时,接收端序列号计数器初始化为0,对于每一个接收到的报文,接收端都有一个对应的确认序列号,在SA的生命周期内,不能存在重复的接收序列号,否则丢弃该报文。接收方接收到报文后采用完整性校验算法计算出报文的ICV,如果与出站时一致,则说明报文接收成功,再使用指定的密钥、加密算法、IV进行解密,最后对解密的报文进行重构回原始IP数据报文。
本实施例提供的方法通过SA协议与接收端事先协议需要使用的加密算法和算法密钥,然后根据SA协议中的加密算法对原始数据进行封装加密,使得接收端可以根据SA协议中的算法密钥对数据进行解密,并结合认证数据和填充数据对原始数据进行层层保护,可以提高数据传输过程中的安全性,避免保密信息外泄。
实施例2
请参照图2,是本发明提供的基于电力网关的出站报文处理装置的一种实施例的结构示意图,该装置包括:
数据获取模块,用于获取原始IP数据,并根据本地策略查找与所述原始IP数据相关联的SA协议;所述SA协议包括加密算法和算法密钥。
在本实施例中,所述数据获取模块包括:协议判断单元,用于判断所述本地策略中是否存在与所述原始IP数据相关联的SA协议,当确定所述本地策略中存在与所述原始IP数据相关联的SA协议时,直接配置使用所述SA协议;当确定所述本地策略中不存在与所述原始IP数据相关联的SA协议时,生成新的SA协议进行配置使用。
第一封装模块,用于将所述原始IP数据填充到ESP载荷字段中进行封装,得到第一封装数据;
第二封装模块,用于在所述第一封装数据中添加填充数据,生成第二封装数据;
数据加密模块,用于根据所述SA协议中的加密算法对所述第二封装数据进行加密处理,得到加密数据;
数据校验模块,用于根据所述SA协议中的加密算法对所述加密数据的完整性进行计算,得到完整性校验值,并将所述完整性校验值添加在所述加密数据中,生成IP数据报文;
长度判断模块,用于判断所述IP数据报文的长度是否超过预设长度值;
第一传输模块,用于当确定所述IP数据报文的长度超过预设长度值时,将所述IP数据报文进行分片处理,得到多段IP数据报文,并将所述多段IP数据报文依次发送至接收端;
第二传输模块,用于当确定所述IP数据报文的长度不超过预设长度值时,将所述IP数据报文发送至接收端。
在另一实施例中,所述SA协议还包括计数器,其中,所述计数器的初始值为0;
所述基于电力网关的出站报文处理装置,还包括:计数统计模块,用于在每次发送一个IP数据报文后,对所述计数器的值增加1,直到所述计数器的值达到预设最大值时,生成新的SA协议。本模块为了进一步提高数据传输的安全性,通过设置计数器的最大值更换SA协议,可以避免加密策略长时间不更换而被破解的危机,进一步提高本技术方案的实用性。
在本实施例中,所述加密算法包括SM1算法和SM3算法。
本实施例提供的装置通过SA协议与接收端事先协议需要使用的加密算法和算法密钥,然后根据SA协议中的加密算法对原始数据进行封装加密,使得接收端可以根据SA协议中的算法密钥对数据进行解密,并结合认证数据和填充数据对原始数据进行层层保护,可以提高数据传输过程中的安全性,避免保密信息外泄。
实施例3
图3是本发明实施例3提供的基于电力网关的出站报文处理装置的结构示意图。该装置包括:处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,例如用于出站报文处理方法的程序。所述处理器执行所述计算机程序时实现上述基于电力网关的出站报文处理方法实施例中的步骤,例如图1所示的步骤101至步骤108。
示例性的,所述计算机程序可以被分割成一个或多个模块,所述一个或者多个模块被存储在所述存储器中,并由所述处理器执行,以完成本申请。所述一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述基于电力网关的出站报文处理装置中的执行过程。
所述基于电力网关的出站报文处理装置可包括,但不仅限于,处理器、存储器以及存储在所述存储器中的计算机程序。本领域技术人员可以理解,图3仅仅是基于电力网关的出站报文处理装置的示例,并不构成对基于电力网关的出站报文处理装置的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述基于电力网关的出站报文处理装置还可以包括输入输出设备、网络接入设备、总线等。
所述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器可以是所述基于电力网关的出站报文处理装置的内部存储单元,例如基于电力网关的出站报文处理装置的硬盘或内存。所述存储器也可以是外部存储设备,例如基于电力网关的出站报文处理装置上配备的插接式硬盘,智能存储卡(Smart MediaCard,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器还可以既包括基于电力网关的出站报文处理装置的内部存储单元也包括外部存储设备。所述存储器用于存储所述计算机程序以及基于电力网关的出站报文处理方法所需的其他程序和数据。所述存储器还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步的详细说明,应当理解,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围。特别指出,对于本领域技术人员来说,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种基于电力网关的出站报文处理方法,其特征在于,包括:
获取原始IP数据,并根据本地策略查找与所述原始IP数据相关联的SA协议;所述SA协议包括加密算法和算法密钥;
将所述原始IP数据填充到ESP载荷字段中进行封装,得到第一封装数据;
在所述第一封装数据中添加填充数据,生成第二封装数据;
根据所述SA协议中的加密算法对所述第二封装数据进行加密处理,得到加密数据;
根据所述SA协议中的加密算法对所述加密数据的完整性进行计算,得到完整性校验值,并将所述完整性校验值添加在所述加密数据中,生成IP数据报文;
判断所述IP数据报文的长度是否超过预设长度值;
当确定所述IP数据报文的长度超过预设长度值时,将所述IP数据报文进行分片处理,得到多段IP数据报文,并将所述多段IP数据报文依次发送至接收端;
当确定所述IP数据报文的长度不超过预设长度值时,将所述IP数据报文发送至接收端;
所述根据本地策略查找与所述原始IP数据相关联的SA协议的步骤中,具体为:
判断所述本地策略中是否存在与所述原始IP数据相关联的SA协议,当确定所述本地策略中存在与所述原始IP数据相关联的SA协议时,直接配置使用所述SA协议;当确定所述本地策略中不存在与所述原始IP数据相关联的SA协议时,生成新的SA协议进行配置使用。
2.如权利要求1所述的基于电力网关的出站报文处理方法,其特征在于,所述SA协议还包括计数器,其中,所述计数器的初始值为0;在每次发送一个IP数据报文后,对所述计数器的值增加1,直到所述计数器的值达到预设最大值时,生成新的SA协议。
3.如权利要求1所述的基于电力网关的出站报文处理方法,其特征在于,所述加密算法包括SM1算法和SM3算法。
4.一种基于电力网关的出站报文处理装置,其特征在于,包括:
数据获取模块,用于获取原始IP数据,并根据本地策略查找与所述原始I P数据相关联的SA协议;所述SA协议包括加密算法和算法密钥;
第一封装模块,用于将所述原始IP数据填充到ESP载荷字段中进行封装,得到第一封装数据;
第二封装模块,用于在所述第一封装数据中添加填充数据,生成第二封装数据;
数据加密模块,用于根据所述SA协议中的加密算法对所述第二封装数据进行加密处理,得到加密数据;
数据校验模块,用于根据所述SA协议中的加密算法对所述加密数据的完整性进行计算,得到完整性校验值,并将所述完整性校验值添加在所述加密数据中,生成IP数据报文;
长度判断模块,用于判断所述IP数据报文的长度是否超过预设长度值;
第一传输模块,用于当确定所述IP数据报文的长度超过预设长度值时,将所述IP数据报文进行分片处理,得到多段IP数据报文,并将所述多段IP数据报文依次发送至接收端;
第二传输模块,用于当确定所述IP数据报文的长度不超过预设长度值时,将所述IP数据报文发送至接收端;
所述数据获取模块包括:协议判断单元,用于判断所述本地策略中是否存在与所述原始IP数据相关联的SA协议,当确定所述本地策略中存在与所述原始IP数据相关联的SA协议时,直接配置使用所述SA协议;当确定所述本地策略中不存在与所述原始IP数据相关联的SA协议时,生成新的SA协议进行配置使用。
5.如权利要求4所述的基于电力网关的出站报文处理装置,其特征在于,所述SA协议还包括计数器,其中,所述计数器的初始值为0;
所述基于电力网关的出站报文处理装置,还包括:计数统计模块,用于在每次发送一个IP数据报文后,对所述计数器的值增加1,直到所述计数器的值达到预设最大值时,生成新的SA协议。
6.如权利要求4所述的基于电力网关的出站报文处理装置,其特征在于,所述加密算法包括SM1算法和SM3算法。
7.一种基于电力网关的出站报文处理装置,其特征在于,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至3中任一项所述基于电力网关的出站报文处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010467046.XA CN111614691B (zh) | 2020-05-28 | 2020-05-28 | 一种基于电力网关的出站报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010467046.XA CN111614691B (zh) | 2020-05-28 | 2020-05-28 | 一种基于电力网关的出站报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111614691A true CN111614691A (zh) | 2020-09-01 |
| CN111614691B CN111614691B (zh) | 2021-06-22 |
Family
ID=72201635
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010467046.XA Active CN111614691B (zh) | 2020-05-28 | 2020-05-28 | 一种基于电力网关的出站报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111614691B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244577A (zh) * | 2021-11-24 | 2022-03-25 | 贵州电网有限责任公司 | 一种基于esp的报文处理方法 |
| CN114826748A (zh) * | 2022-04-29 | 2022-07-29 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 基于rtp、udp及ip协议的音视频流数据加密方法和装置 |
| CN116471345A (zh) * | 2023-06-19 | 2023-07-21 | 中电科网络安全科技股份有限公司 | 一种数据通信方法、装置、设备及介质 |
| CN116489244A (zh) * | 2023-06-25 | 2023-07-25 | 中电科网络安全科技股份有限公司 | 一种业务数据处理方法、装置、电子设备和存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309273A (zh) * | 2008-07-16 | 2008-11-19 | 杭州华三通信技术有限公司 | 一种生成安全联盟的方法和装置 |
| CN101640614A (zh) * | 2009-09-03 | 2010-02-03 | 成都市华为赛门铁克科技有限公司 | 一种配置ipsec安全策略的方法及装置 |
| CN102882789A (zh) * | 2012-09-17 | 2013-01-16 | 华为技术有限公司 | 一种数据报文处理方法、系统及设备 |
| US20170170956A1 (en) * | 2015-12-10 | 2017-06-15 | Ixia | Methods, systems, and computer readable media for reducing the size of a cryptographic key in a test simulation environment |
| CN108964880A (zh) * | 2018-10-10 | 2018-12-07 | 深信服科技股份有限公司 | 一种数据传输方法及装置 |
| CN109450852A (zh) * | 2018-10-09 | 2019-03-08 | 中国科学院信息工程研究所 | 网络通信加密解密方法及电子设备 |
| CN110636052A (zh) * | 2019-09-04 | 2019-12-31 | 广西电网有限责任公司防城港供电局 | 用电数据传输系统 |
-
2020
- 2020-05-28 CN CN202010467046.XA patent/CN111614691B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309273A (zh) * | 2008-07-16 | 2008-11-19 | 杭州华三通信技术有限公司 | 一种生成安全联盟的方法和装置 |
| CN101640614A (zh) * | 2009-09-03 | 2010-02-03 | 成都市华为赛门铁克科技有限公司 | 一种配置ipsec安全策略的方法及装置 |
| CN102882789A (zh) * | 2012-09-17 | 2013-01-16 | 华为技术有限公司 | 一种数据报文处理方法、系统及设备 |
| US20170170956A1 (en) * | 2015-12-10 | 2017-06-15 | Ixia | Methods, systems, and computer readable media for reducing the size of a cryptographic key in a test simulation environment |
| CN109450852A (zh) * | 2018-10-09 | 2019-03-08 | 中国科学院信息工程研究所 | 网络通信加密解密方法及电子设备 |
| CN108964880A (zh) * | 2018-10-10 | 2018-12-07 | 深信服科技股份有限公司 | 一种数据传输方法及装置 |
| CN110636052A (zh) * | 2019-09-04 | 2019-12-31 | 广西电网有限责任公司防城港供电局 | 用电数据传输系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244577A (zh) * | 2021-11-24 | 2022-03-25 | 贵州电网有限责任公司 | 一种基于esp的报文处理方法 |
| CN114826748A (zh) * | 2022-04-29 | 2022-07-29 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 基于rtp、udp及ip协议的音视频流数据加密方法和装置 |
| CN114826748B (zh) * | 2022-04-29 | 2023-11-28 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 基于rtp、udp及ip协议的音视频流数据加密方法和装置 |
| CN116471345A (zh) * | 2023-06-19 | 2023-07-21 | 中电科网络安全科技股份有限公司 | 一种数据通信方法、装置、设备及介质 |
| CN116471345B (zh) * | 2023-06-19 | 2023-10-20 | 中电科网络安全科技股份有限公司 | 一种数据通信方法、装置、设备及介质 |
| CN116489244A (zh) * | 2023-06-25 | 2023-07-25 | 中电科网络安全科技股份有限公司 | 一种业务数据处理方法、装置、电子设备和存储介质 |
| CN116489244B (zh) * | 2023-06-25 | 2023-10-20 | 中电科网络安全科技股份有限公司 | 一种业务数据处理方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111614691B (zh) | 2021-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111614691B (zh) | 一种基于电力网关的出站报文处理方法及装置 | |
| CN109450852B (zh) | 网络通信加密解密方法及电子设备 | |
| CN111614692B (zh) | 一种基于电力网关的入站报文处理方法及装置 | |
| CN109714292B (zh) | 传输报文的方法与装置 | |
| CN104067595A (zh) | 用于在网络环境中的传输层安全会话票证的创新管理的系统和方法 | |
| US8745381B2 (en) | Methods, systems, and computer readable media for performing encapsulating security payload (ESP) rehashing | |
| CN1461461A (zh) | 数据安全化通信装置及其方法 | |
| CN107040446B (zh) | 一种vpn隧道协议实现方法 | |
| CN111756627A (zh) | 一种电力监控系统的云平台安全接入网关 | |
| CN114448624B (zh) | 基于白盒密码服务的透明化物联网安全传输方法及装置 | |
| CN110620762A (zh) | 基于rdma的数据传输方法、网卡、服务器及介质 | |
| CN114143117B (zh) | 数据处理方法及设备 | |
| CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
| CN113572766A (zh) | 电力数据传输方法和系统 | |
| EP3944554A1 (en) | Rollover of encryption keys in a packet-compatible network | |
| CN113904766A (zh) | 一种加密通信方法、装置、设备及介质 | |
| CN114500013B (zh) | 一种数据加密传输方法 | |
| US20180176230A1 (en) | Data packet transmission method, apparatus, and system, and node device | |
| CN111147451A (zh) | 一种基于云平台的业务系统安全访问方法、装置及系统 | |
| US11652910B2 (en) | Data transmission method, device, and system | |
| CN114978769B (zh) | 单向导入装置、方法、介质、设备 | |
| CN111585986A (zh) | 基于电力网关的安全传输方法、装置、介质及终端设备 | |
| CN114039812B (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
| CN110381034B (zh) | 一种报文处理方法、装置、设备及可读存储介质 | |
| CN210839642U (zh) | 一种物联网终端数据安全接收、发送的装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |