CN114422256B - 一种基于ssal/ssl协议的高性能安全接入方法及装置 - Google Patents

一种基于ssal/ssl协议的高性能安全接入方法及装置 Download PDF

Info

Publication number
CN114422256B
CN114422256B CN202210076550.6A CN202210076550A CN114422256B CN 114422256 B CN114422256 B CN 114422256B CN 202210076550 A CN202210076550 A CN 202210076550A CN 114422256 B CN114422256 B CN 114422256B
Authority
CN
China
Prior art keywords
terminal
electric power
access gateway
power internet
things
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210076550.6A
Other languages
English (en)
Other versions
CN114422256A (zh
Inventor
殷鑫鹏
王晔
邓进
韦小刚
金倩倩
鲍俊丞
张滔
张旭东
陆杰
王正琦
姜涛
田鹏飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nari Information and Communication Technology Co
Original Assignee
Nari Information and Communication Technology Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nari Information and Communication Technology Co filed Critical Nari Information and Communication Technology Co
Priority to CN202210076550.6A priority Critical patent/CN114422256B/zh
Publication of CN114422256A publication Critical patent/CN114422256A/zh
Application granted granted Critical
Publication of CN114422256B publication Critical patent/CN114422256B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • H04L69/162Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Abstract

本发明公开了一种基于SSAL/SSL协议的高性能安全接入方法及装置,包括电力物联网安全接入网关和终端,终端通过SSAL接入电力物联网安全接入网关,所述方法应用于电力物联网安全接入网关,包括:接收终端发送的数据包请求,其中,所述数据包包括终端的签名证书及加密证书;对所述签名证书及加密证书进行认证,认证成功之后通过加密签名运算生成“密钥协商请求”发送给终端;接收终端发送的“密钥协商响应”进行验证和解密,得到会话密钥和初始IV,然后使用会话密钥和初始IV产生“密钥协商确认”发送给终端,本发明在协商,认证,加解密过程中选择使用硬件密码卡对关检数据的保护,保证数据的完整性和安全性。

Description

一种基于SSAL/SSL协议的高性能安全接入方法及装置
技术领域
本发明涉及一种基于SSAL/SSL协议的高性能安全接入方法及装置,属于 技术领域。
背景技术
当前电力行业的安全接入主要采用多种网关,比如视频接入时使用视频专 用网关,输电线路采集业务使用采集专用网关及手持终端业务使用的安全接入 网关,其中视频专用网关采用视频控制信令加密、视频流数据不加密的方式实 现视频流数据的高效传输。视频终端必须在硬件上集成特定安全加密芯片,软 件上遵循视频专用网关特定的安全协议进行协商、认证、加密传输。
采集专用网关主要用于输电供电线路电压采集等业务场景,同样是需要在 采集终端集成安全加密芯片,软件上使用类似视频专用网关的协议进行认证和 加密传输。
以上两种网关支持的协议单一,并且协议与业务绑定较强,终端接入时还 需要进行硬件改造,接入难度较大。
安全接入网关主要用于现场人员的手持终端接入等,同时也可接入视频终 端等设备。安全接入网关实现安全接入与业务协议的完全解耦,业务不再关心 安全接入的具体细节,并且可采用安全TF卡(通用接口)方式接入,终端硬件 无需改动,降低终端设备安全接入的复杂度。正由于安全接入网关不关心应用 层协议,因此亦可采用安全网关进行视频传输。但是,安全接入网关在进行视频传输时,对视频流数据也进行了加密传输,视频流数据的加密占用了终端大 量的资源,降低了数据传输效率,且限制了安全接入网关接入终端的数量。 综上,现有技术不能有效解决海量终端,大流量,多种业务的安全接入问题, 分析现有的安全接入方式,我们发现了现有技术的一些短板:
(1)接入终端种类和业务单一,不能支持物联网的万物互联,单一种类网关只 能支持一种终端。
(2)终端接入改造周期长,难度大,需要进行硬件适配和改造,同时可能需要 修改原有的业务协议以接入新的网关。
(3)面对海量终端和大流量业务时,由于设计容量不足,导致需要多台网关进 行并行处理,在设备部署和故障排查方面造成了较大的困难。
发明内容
本发明的目的在于克服现有技术中的不足,提供一种基于SSAL/SSL协议 的高性能安全接入方法及装置,在协商,认证,加解密过程中选择使用硬件密 码卡对关检数据的保护,保证数据的完整性和安全性。
为达到上述目的,本发明是采用下述技术方案实现的:
第一方面,本发明提供了一种基于SSAL/SSL协议的高性能安全接入方法, 包括电力物联网安全接入网关和终端,终端通过SSAL接入电力物联网安全接 入网关,所述方法应用于电力物联网安全接入网关,包括:
接收终端发送的数据包请求,其中,所述数据包包括终端的签名证书及加 密证书;
对所述签名证书及加密证书进行认证,认证成功之后通过加密签名运算生 成“密钥协商请求”发送给终端;
接收终端发送的“密钥协商响应”进行验证和解密,得到会话密钥和初始IV,然后使用会话密钥和初始IV产生“密钥协商确认”发送给终端,
其中,所述“密钥协商响应”为终端对“密钥协商请求”进行验证和解密, 然后产生再通过加密和签名运算产生,
其中,所述终端对“密钥协商确认”进行验签和解密,并对比解密后的明 文,确认无误则协商完成;
使用会话密钥和初始IV对通信数据解密后去掉SSAL协议外壳,把原始数 据发送给业务服务器,
其中,终端使用会话密钥和初始IV对通信数据加密后发送给电力物联网安 全接入网关,
其中,业务服务器收到电力物联网安全接入网关的原始数据后,对数据进 行处理,将响应发给电力物联网安全接入网关;
根据记录的链路信息找到终端的信息,使用与终端协商的会话密钥及初始 IV对响应数据加密后发送给终端。
进一步的,还包括:将终端通过SSL协议接入电力物联网安全接入网关, 通过端口代理模式和隧道模式两种模式进行业务数据传输。
进一步的,所述终端以端口代理模式的接入时,终端向电力物联网安全接 入网关发起代理请求时,通过报文通知电力物联网安全接入网关需要代理的服 务地址和端口,电力物联网安全接入网关根据终端信息查询对应的访问控制列 表,如果符合则终端启动对应的代理规则,在客户端访问对应的代理端口时, 向电力物联网安全接入网关发送代理请求,电力物联网安全接入网关成功连接服务器之后,向终端发送代理响应,终端即可通过电力物联网安全接入网关与 服务器通信。
进一步的,所述终端以隧道模式接入时,终端支持虚拟网卡技术,电力物 联网安全接入网关在对终端认证完成后,向终端分配虚拟局域网地址和路由, 终端和服务器就处在以电力物联网安全接入网关为中心的虚拟局域网络中,可 以互相直接访问,终端向服务器发送的IP层数据会经SDK程序加密后发送到电 力物联网安全接入网关,电力物联网安全接入网关收到加密的IP层数据后解密,再发送给服务器,实现虚拟局域网。
第二方面,本发明提供一种基于SSAL/SSL协议的高性能安全接入方法, 包括电力物联网安全接入网关和终端,终端通过SSAL接入电力物联网安全接 入网关,所述方法应用于终端,包括:
发送数据包请求至电力物联网安全接入网关,其中,所述数据包包括终端 的签名证书及加密证书,
其中,电力物联网安全接入网关对所述签名证书及加密证书进行认证,认 证成功之后通过加密签名运算生成“密钥协商请求”发送给终端;
对“密钥协商请求”进行验证和解密,然后产生再通过加密和签名等运算 产生“密钥协商响应”发送给电力物联网安全接入网关,
其中,电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证 和解密,得到会话密钥和初始IV,然后使用会话密钥和初始IV产生“密钥协商 确认”发送给终端;
对“密钥协商确认”进行验签和解密,并对比解密后的明文,确认无误则 协商完成;
使用会话密钥和初始IV对通信数据加密后发送给电力物联网安全接入网关,
其中,电力物联网安全接入网关使用会话密钥和初始IV对通信数据解密后 去掉SSAL协议外壳,把原始数据发送给业务服务器,
其中,业务服务器收到电力物联网安全接入网关的原始数据后,对数据进 行处理,将响应发给电力物联网安全接入网关;
其中,电力物联网安全接入网关根据记录的链路信息找到终端的信息,使 用与终端协商的会话密钥及初始IV对响应数据加密后发送给终端。
进一步的,还包括:将终端通过SSL协议接入电力物联网安全接入网关, 通过端口代理模式和隧道模式两种模式进行业务数据传输。
进一步的,所述终端以端口代理模式的接入时,终端向电力物联网安全接 入网关发起代理请求时,通过报文通知电力物联网安全接入网关需要代理的服 务地址和端口,电力物联网安全接入网关根据终端信息查询对应的访问控制列 表,如果符合则终端启动对应的代理规则,在客户端访问对应的代理端口时, 向电力物联网安全接入网关发送代理请求,电力物联网安全接入网关成功连接服务器之后,向终端发送代理响应,终端即可通过电力物联网安全接入网关与 服务器通信。
进一步的,所述终端以隧道模式接入时,终端支持虚拟网卡技术,电力物 联网安全接入网关在对终端认证完成后,向终端分配虚拟局域网地址和路由, 终端和服务器就处在以电力物联网安全接入网关为中心的虚拟局域网络中,可 以互相直接访问,终端向服务器发送的IP层数据会经SDK程序加密后发送到电 力物联网安全接入网关,电力物联网安全接入网关收到加密的IP层数据后解密,再发送给服务器,实现虚拟局域网。
第三方面,本发明提供一种基于SSAL/SSL协议的高性能安全接入装置, 包括电力物联网安全接入网关和终端,终端通过SSAL接入电力物联网安全接 入网关,所述装置应用于电力物联网安全接入网关,包括:
数据包接收单元,用于接收终端发送的数据包请求,其中,所述数据包包 括终端的签名证书及加密证书;
认证单元,用于对所述签名证书及加密证书进行认证,认证成功之后通过 加密签名运算生成“密钥协商请求”发送给终端;
验证解密单元,用于接收终端发送的“密钥协商响应”进行验证和解密, 得到会话密钥和初始IV,然后使用会话密钥和初始IV产生“密钥协商确认”发 送给终端,
其中,所述“密钥协商响应”为终端对“密钥协商请求”进行验证和解密, 然后产生再通过加密和签名运算产生,
其中,所述终端对“密钥协商确认”进行验签和解密,并对比解密后的明 文,确认无误则协商完成;
解密单元,用于使用会话密钥和初始IV对通信数据解密后去掉SSAL协议 外壳,把原始数据发送给业务服务器,
其中,终端使用会话密钥和初始IV对通信数据加密后发送给电力物联网安 全接入网关,
其中,业务服务器收到电力物联网安全接入网关的原始数据后,对数据进 行处理,将响应发给电力物联网安全接入网关;
加密单元,用于根据记录的链路信息找到终端的信息,使用与终端协商的 会话密钥及初始IV对响应数据加密后发送给终端。
第四方面,本发明提供一种基于SSAL/SSL协议的高性能安全接入装置, 包括电力物联网安全接入网关和终端,终端通过SSAL接入电力物联网安全接 入网关,所述装置应用于终端,包括:
数据包发送单元,用于发送数据包请求至电力物联网安全接入网关,其中, 所述数据包包括终端的签名证书及加密证书,
其中,电力物联网安全接入网关对所述签名证书及加密证书进行认证,认 证成功之后通过加密签名运算生成“密钥协商请求”发送给终端;
第一验证解密单元,用于对“密钥协商请求”进行验证和解密,然后产生 再通过加密和签名等运算产生“密钥协商响应”发送给电力物联网安全接入网 关,
其中,电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证 和解密,得到会话密钥和初始IV,然后使用会话密钥和初始IV产生“密钥协商 确认”发送给终端;
第二验证解密单元,对“密钥协商确认”进行验签和解密,并对比解密后 的明文,确认无误则协商完成;
加密单元,用于使用会话密钥和初始IV对通信数据加密后发送给电力物联 网安全接入网关,
其中,电力物联网安全接入网关使用会话密钥和初始IV对通信数据解密后 去掉SSAL协议外壳,把原始数据发送给业务服务器,
其中,业务服务器收到电力物联网安全接入网关的原始数据后,对数据进 行处理,将响应发给电力物联网安全接入网关;
其中,电力物联网安全接入网关根据记录的链路信息找到终端的信息,使 用与终端协商的会话密钥及初始IV对响应数据加密后发送给终端。
与现有技术相比,本发明所达到的有益效果:
本发明基于自主可控算法国密算法的SSL协议,在协商,认证,加解密过 程中选择使用硬件密码卡对关检数据的保护,保证数据的完整性和安全性,使 用SSL和SSAL协议,两种协议都可以与业务解耦,承载多种业务,接入多种终 端,同时端口代理模式和透明代理模式,可理论上可承载ip层之上的所有协议。
附图说明
图1是本发明实施例提供的一种基于SSAL/SSL协议的高性能安全接入方 法的流程图;
图2是本发明实施例提供的终端以端口代理模式接入时的方法流程图;
图3是本发明实施例提供的终端以隧道模式接入时的方法流程图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明 本发明的技术方案,而不能以此来限制本发明的保护范围。
实施例1
如图1所示,本实施例介绍一种基于SSAL/SSL协议的高性能安全接入方 法,包括电力物联网安全接入网关和终端,终端通过SSAL接入电力物联网安 全接入网关,所述方法应用于电力物联网安全接入网关,包括:
接收终端发送的数据包请求,其中,所述数据包包括终端的签名证书及加 密证书;
对所述签名证书及加密证书进行认证,认证成功之后通过加密签名运算生 成“密钥协商请求”发送给终端;
接收终端发送的“密钥协商响应”进行验证和解密,得到会话密钥和初始 IV,然后使用会话密钥和初始IV产生“密钥协商确认”发送给终端,
其中,所述“密钥协商响应”为终端对“密钥协商请求”进行验证和解密, 然后产生再通过加密和签名运算产生,
其中,所述终端对“密钥协商确认”进行验签和解密,并对比解密后的明 文,确认无误则协商完成;
使用会话密钥和初始IV对通信数据解密后去掉SSAL协议外壳,把原始数 据发送给业务服务器,
其中,终端使用会话密钥和初始IV对通信数据加密后发送给电力物联网安 全接入网关,
其中,业务服务器收到电力物联网安全接入网关的原始数据后,对数据进 行处理,将响应发给电力物联网安全接入网关;
根据记录的链路信息找到终端的信息,使用与终端协商的会话密钥及初始 IV对响应数据加密后发送给终端。
本实施例分为SSAL协议接入和SSL协议接入两种协议,其中SSL协议接入 还区分端口代理模式和透明代理模式两种不同的实现方式。
(1)SSAL协议
SSAL协议全称《SSAL国家电网公司安全应用层协议》,为规范国家电网公 司信息网络边界专用安全防护设备的功能和性能,落实《国家电网公司关于印 发《新一代信息网络安全接入网关与信息网络安全隔离装置应用指导意见》的 通知》(国家电网信通﹝2018﹞289号)要求,制定本技术协议规范。
(2)SSL协议
SSL协议即安全套接字协议,使用SSL协议的终端接入过程为国密SSL标准 流程。
(3)终端接入电力物联网安全接入网关的协商,如图1至如图3所示,认 证及业务流程如下:
一.ssal协议接入
1.终端向网关发送接入请求,数据包内容为终端的签名证书及加密证书
2.电力物联网安全接入网关对终端的证书进行认证,认证成功之后通过加 密签名等运算生成“密钥协商请求”发送给终端
3.终端对“密钥协商请求”进行验证和解密,然后产生再通过加密和签名 等运算产生“密钥协商响应”发送给电力物联网安全接入网关
4.电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证和解 密,得到会话密钥和初始IV,然后使用会话密钥和初始IV产生“密钥协商确认”发送给终端
5.终端对“密钥协商确认”进行验签和解密,并对比解密后的明文,确认 无误则协商完成
6.终端和电力物联网安全接入网关在之后的通信中,使用会话密钥和初始 IV对通信数据加解密,终端将数据加密后发送给电力物联网安全接入网关,网 关解密后去掉SSAL协议外壳,把原始数据发送给业务服务器。
7.业务服务器收到网关的原始数据后,对数据进行处理,将响应发给网关, 网关根据记录的链路信息找到终端的信息,使用与终端协商的会话密钥及初始 IV对响应数据加密后发送给终端。
二.SSL接入
SSL协议的终端认证流程为国密标准流程,终端通过SSL协议接入网关后, 分两种模式进行业务数据传输,详细说明如下:
1.端口代理模式
端口代理模式与SSAL协议接入的方式类似,终端向网关发起代理请求时, 通过报文通知网关需要代理的服务地址和端口,网关根据终端信息查询对应的 访问控制列表,如果符合则终端启动对应的代理规则,在客户端访问对应的代 理端口时,向网关发送代理请求,网关成功连接服务器之后,向终端发送代理响应,终端即可通过网关与服务器通信。
2.隧道模式
终端以隧道模式接入时,需要终端支持虚拟网卡技术(tun/tap),网关在对 终端认证完成后,向终端分配虚拟局域网地址和路由,终端和服务器就处在以 网关为中心的虚拟局域网络中,可以互相直接访问。终端向服务器发送的IP层 数据会经SDK程序加密后发送到网关,网关收到加密的IP层数据后解密,再发 送给服务器这样就实现了虚拟局域网。
(4)电力物联网安全接入网关支持国密SSL协议或者SSAL协议接入,在 使用国密的SM2/3/4以及部分终端使用的硬件SM1算法经过加解密,签名验签 等步骤后终端与网关完成相互认证,并且协商出一套用来加密业务数据的会话 密钥。之后的业务都使用这一套密钥进行加密。会话密钥可以设置不超过24小 时的有效期,到期后自动协商,避免长时间使用相同的密钥。
(5)SSAL协议和SSL协议接入都支持端口代理模式,SSAL协议使用通信 前置等装置进行链路聚合,在一条TCP连接上承载多个终端的业务数据,因此 可以接入数十万终端同时上线和收发数据。
(6)SSL协议还可以使用透明代理模式接入,将IP层数据打包至SSL的数 据域,建立起“终端←→网关←→业务服务器”之间的虚拟网络连接,可以承 载包括TCP和UDP协议在内的所有工作于IP层的协议。
本实施例还使用多线程技术,相比于上述其他网关,采集网关和视频网关 的多线程技术每个线程只完成交互的部分任务,然后切换到另一个线程完成之 后的任务,在频繁的切换线程造成了巨大的资源开销,降低了CPU缓存的命中, 而安全接入网关使用单线程,虽然避免了频繁的切换线程,但是无法发挥硬件的全部性能,同样造成了硬件资源的浪费。本发明的每个线程都与CPU的核心 进行绑定,每个终端在网关上线到断开连接都是在同一个线程内,减少了在单 次业务交互过程中的线程切换。在每个线程使用了异步IO模型,每个线程内虽 然有多个终端在同时进行业务交互,但是异步IO使网关不需要等待业务的响应 即可进行下一个终端的业务处理。较少大量的等待时间也是网关性能和吞吐量 提高的主要原因。
因为在一个终端从上线到断开连接都是在一个线程内完成,所以本发明在 开发时还使用了无锁编程技术,当一个数据在多个线程被使用使,需要加锁防 止数据在使用时被其他线程修改而导致不可预知的错误,但是在同一线程内, 就不需要加锁,在处理业务时也就不需要等待获取锁,在终端业务量很大时, 减少的每次获取和释放锁的时间大约0.4微秒,网关的峰值性能每秒数据包转 发量为100w,计算可知,在峰值性能工况下,无锁编程可至少提高40%的性能。
本实施例的关键点:
1、使用自主可控的国密SSL协议进行通信
本实施例基于自主可控算法国密算法的SSL协议,在协商,认证,加解密 过程中选择使用硬件密码卡对关检数据的保护,保证数据的完整性和安全性。
2、使用自主可控的SSAL协议进行通信
本实施例基于SSAL协议,在安全可靠的基础上,使用链路复用等技术,使 单台装置可接入的终端数量极大增加,配合高性能软硬件结合,可处理海量终 端,大流量业务数据,保证业务的安全性,可靠性和实时性。
3、使用多线程异步IO模型
使用异步IO模型后,每一个线程几乎同时处理多个终端的业务,也就是在 等待一个终端响应的同时处理下一个终端的业务,减少了线程等待的时间
4、使用无锁编程技术
使用无锁编程后,网关在终端的业务过程中不需要等待获取锁资源,也不 需要对资源加锁,相对于加锁的业务,至少可以提高40%的峰值性能,也可以降 低业务的延时。
本实施例的有益效果如下:
(1)使用SSAL协议所以终端可以自主选择通信时使用的加密模式,因此终 端可以使用硬件加密芯片或者使用软加密接入物联网安全接入网关
(2)使用SSL和SSAL协议,两种协议都可以与业务解耦,承载多种业务, 接入多种终端
(3)同时端口代理模式和透明代理模式,可理论上可承载ip层之上的所有 协议
(4)SSAL协议可配合采集前置和通信前置等设备同时接入超过60万台终 端同时在线和收发业务数据。
(5)电力物联网安全接入网关使用高性能硬件和万兆网卡,可达到4Gbps 以上的吞吐量,支持大流量业务。
(6)开放sdk,终端厂家可按需求和技术难度选择使用集成sdk或者独立进 程接入物联网安全接入网关。
(7)使用多线程技术,提高了CPU使用率,使终端业务均匀分布在每个CPU 核心,在单CPU核心的处理量不变的情况下,总业务处理量加倍
(8)使用异步IO模型,每个终端的业务无须等待业务的响应即可处理下一 个终端,省去等待时间,每个线程可以处理更多的终端业务
(9)使用无锁编程,处理终端业务时无需等待资源锁的加锁和释放,可提 高处理业务的峰值性能的同时降低业务延时。
实施例2
本实施例提供一种基于SSAL/SSL协议的高性能安全接入方法,包括电力 物联网安全接入网关和终端,终端通过SSAL接入电力物联网安全接入网关, 所述方法应用于终端,包括:
发送数据包请求至电力物联网安全接入网关,其中,所述数据包包括终端 的签名证书及加密证书,
其中,电力物联网安全接入网关对所述签名证书及加密证书进行认证,认 证成功之后通过加密签名运算生成“密钥协商请求”发送给终端;
对“密钥协商请求”进行验证和解密,然后产生再通过加密和签名等运算 产生“密钥协商响应”发送给电力物联网安全接入网关,
其中,电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证 和解密,得到会话密钥和初始IV,然后使用会话密钥和初始IV产生“密钥协商 确认”发送给终端;
对“密钥协商确认”进行验签和解密,并对比解密后的明文,确认无误则 协商完成;
使用会话密钥和初始IV对通信数据加密后发送给电力物联网安全接入网关,
其中,电力物联网安全接入网关使用会话密钥和初始IV对通信数据解密后 去掉SSAL协议外壳,把原始数据发送给业务服务器,
其中,业务服务器收到电力物联网安全接入网关的原始数据后,对数据进 行处理,将响应发给电力物联网安全接入网关;
其中,电力物联网安全接入网关根据记录的链路信息找到终端的信息,使 用与终端协商的会话密钥及初始IV对响应数据加密后发送给终端。
进一步的,还包括:将终端通过SSL协议接入电力物联网安全接入网关, 通过端口代理模式和隧道模式两种模式进行业务数据传输。
进一步的,所述终端以端口代理模式的接入时,终端向电力物联网安全接 入网关发起代理请求时,通过报文通知电力物联网安全接入网关需要代理的服 务地址和端口,电力物联网安全接入网关根据终端信息查询对应的访问控制列 表,如果符合则终端启动对应的代理规则,在客户端访问对应的代理端口时, 向电力物联网安全接入网关发送代理请求,电力物联网安全接入网关成功连接服务器之后,向终端发送代理响应,终端即可通过电力物联网安全接入网关与 服务器通信。
进一步的,所述终端以隧道模式接入时,终端支持虚拟网卡技术,电力物 联网安全接入网关在对终端认证完成后,向终端分配虚拟局域网地址和路由, 终端和服务器就处在以电力物联网安全接入网关为中心的虚拟局域网络中,可 以互相直接访问,终端向服务器发送的IP层数据会经SDK程序加密后发送到电 力物联网安全接入网关,电力物联网安全接入网关收到加密的IP层数据后解密,再发送给服务器,实现虚拟局域网。
实施例3
本实施例提供一种基于SSAL/SSL协议的高性能安全接入装置,包括电力 物联网安全接入网关和终端,终端通过SSAL接入电力物联网安全接入网关, 所述装置应用于电力物联网安全接入网关,包括:
数据包接收单元,用于接收终端发送的数据包请求,其中,所述数据包包 括终端的签名证书及加密证书;
认证单元,用于对所述签名证书及加密证书进行认证,认证成功之后通过 加密签名运算生成“密钥协商请求”发送给终端;
验证解密单元,用于接收终端发送的“密钥协商响应”进行验证和解密, 得到会话密钥和初始IV,然后使用会话密钥和初始IV产生“密钥协商确认”发 送给终端,
其中,所述“密钥协商响应”为终端对“密钥协商请求”进行验证和解密, 然后产生再通过加密和签名运算产生,
其中,所述终端对“密钥协商确认”进行验签和解密,并对比解密后的明 文,确认无误则协商完成;
解密单元,用于使用会话密钥和初始IV对通信数据解密后去掉SSAL协议 外壳,把原始数据发送给业务服务器,
其中,终端使用会话密钥和初始IV对通信数据加密后发送给电力物联网安 全接入网关,
其中,业务服务器收到电力物联网安全接入网关的原始数据后,对数据进 行处理,将响应发给电力物联网安全接入网关;
加密单元,用于根据记录的链路信息找到终端的信息,使用与终端协商的 会话密钥及初始IV对响应数据加密后发送给终端。
实施例4
本实施例提供一种基于SSAL/SSL协议的高性能安全接入装置,包括电力 物联网安全接入网关和终端,终端通过SSAL接入电力物联网安全接入网关, 所述装置应用于终端,包括:
数据包发送单元,用于发送数据包请求至电力物联网安全接入网关,其中, 所述数据包包括终端的签名证书及加密证书,
其中,电力物联网安全接入网关对所述签名证书及加密证书进行认证,认 证成功之后通过加密签名运算生成“密钥协商请求”发送给终端;
第一验证解密单元,用于对“密钥协商请求”进行验证和解密,然后产生 再通过加密和签名等运算产生“密钥协商响应”发送给电力物联网安全接入网 关,
其中,电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证 和解密,得到会话密钥和初始IV,然后使用会话密钥和初始IV产生“密钥协商 确认”发送给终端;
第二验证解密单元,对“密钥协商确认”进行验签和解密,并对比解密后 的明文,确认无误则协商完成;
加密单元,用于使用会话密钥和初始IV对通信数据加密后发送给电力物联 网安全接入网关,
其中,电力物联网安全接入网关使用会话密钥和初始IV对通信数据解密后 去掉SSAL协议外壳,把原始数据发送给业务服务器,
其中,业务服务器收到电力物联网安全接入网关的原始数据后,对数据进 行处理,将响应发给电力物联网安全接入网关;
其中,电力物联网安全接入网关根据记录的链路信息找到终端的信息,使 用与终端协商的会话密钥及初始IV对响应数据加密后发送给终端。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通 技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变 形,这些改进和变形也应视为本发明的保护范围。

Claims (4)

1.一种基于SSAL/SSL协议的高性能安全接入方法,其特征在于,包括电力物联网安全接入网关和终端,终端通过SSAL接入电力物联网安全接入网关,所述方法应用于电力物联网安全接入网关,包括:
接收终端发送的数据包请求,其中,所述数据包包括终端的签名证书及加密证书;
对所述签名证书及加密证书进行认证,认证成功之后通过加密签名运算生成“密钥协商请求”发送给终端;
接收终端发送的“密钥协商响应”进行验证和解密,得到会话密钥和初始IV,然后使用会话密钥和初始IV产生“密钥协商确认”发送给终端,
其中,所述“密钥协商响应”为终端对“密钥协商请求”进行验证和解密,然后产生再通过加密和签名运算产生,
其中,所述终端对“密钥协商确认”进行验签和解密,并对比解密后的明文,确认无误则协商完成;
使用会话密钥和初始IV对通信数据解密后去掉SSAL协议外壳,把原始数据发送给业务服务器,
其中,终端使用会话密钥和初始IV对通信数据加密后发送给电力物联网安全接入网关,
其中,业务服务器收到电力物联网安全接入网关的原始数据后,对数据进行处理,将响应发给电力物联网安全接入网关;
根据记录的链路信息找到终端的信息,使用与终端协商的会话密钥及初始IV对响应数据加密后发送给终端;
将终端通过SSL协议接入电力物联网安全接入网关,通过端口代理模式和隧道模式两种模式进行业务数据传输;
所述终端以端口代理模式的接入时,终端向电力物联网安全接入网关发起代理请求时,通过报文通知电力物联网安全接入网关需要代理的服务地址和端口,电力物联网安全接入网关根据终端信息查询对应的访问控制列表,如果符合则终端启动对应的代理规则,在客户端访问对应的代理端口时,向电力物联网安全接入网关发送代理请求,电力物联网安全接入网关成功连接服务器之后,向终端发送代理响应,终端即可通过电力物联网安全接入网关与服务器通信;
所述终端以隧道模式接入时,终端支持虚拟网卡技术,电力物联网安全接入网关在对终端认证完成后,向终端分配虚拟局域网地址和路由,终端和服务器就处在以电力物联网安全接入网关为中心的虚拟局域网络中,可以互相直接访问,终端向服务器发送的IP层数据会经SDK程序加密后发送到电力物联网安全接入网关,电力物联网安全接入网关收到加密的IP层数据后解密,再发送给服务器,实现虚拟局域网。
2.一种基于SSAL/SSL协议的高性能安全接入方法,其特征在于,包括电力物联网安全接入网关和终端,终端通过SSAL接入电力物联网安全接入网关,所述方法应用于终端,包括:
发送数据包请求至电力物联网安全接入网关,其中,所述数据包包括终端的签名证书及加密证书,
其中,电力物联网安全接入网关对所述签名证书及加密证书进行认证,认证成功之后通过加密签名运算生成“密钥协商请求”发送给终端;
对“密钥协商请求”进行验证和解密,然后产生再通过加密和签名等运算产生“密钥协商响应”发送给电力物联网安全接入网关,
其中,电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证和解密,得到会话密钥和初始IV,然后使用会话密钥和初始IV产生“密钥协商确认”发送给终端;
对“密钥协商确认”进行验签和解密,并对比解密后的明文,确认无误则协商完成;
使用会话密钥和初始IV对通信数据加密后发送给电力物联网安全接入网关,
其中,电力物联网安全接入网关使用会话密钥和初始IV对通信数据解密后去掉SSAL协议外壳,把原始数据发送给业务服务器,
其中,业务服务器收到电力物联网安全接入网关的原始数据后,对数据进行处理,将响应发给电力物联网安全接入网关;
其中,电力物联网安全接入网关根据记录的链路信息找到终端的信息,使用与终端协商的会话密钥及初始IV对响应数据加密后发送给终端;
将终端通过SSL协议接入电力物联网安全接入网关,通过端口代理模式和隧道模式两种模式进行业务数据传输;
所述终端以端口代理模式的接入时,终端向电力物联网安全接入网关发起代理请求时,通过报文通知电力物联网安全接入网关需要代理的服务地址和端口,电力物联网安全接入网关根据终端信息查询对应的访问控制列表,如果符合则终端启动对应的代理规则,在客户端访问对应的代理端口时,向电力物联网安全接入网关发送代理请求,电力物联网安全接入网关成功连接服务器之后,向终端发送代理响应,终端即可通过电力物联网安全接入网关与服务器通信;
所述终端以隧道模式接入时,终端支持虚拟网卡技术,电力物联网安全接入网关在对终端认证完成后,向终端分配虚拟局域网地址和路由,终端和服务器就处在以电力物联网安全接入网关为中心的虚拟局域网络中,可以互相直接访问,终端向服务器发送的IP层数据会经SDK程序加密后发送到电力物联网安全接入网关,电力物联网安全接入网关收到加密的IP层数据后解密,再发送给服务器,实现虚拟局域网。
3.一种基于SSAL/SSL协议的高性能安全接入装置,其特征在于,包括电力物联网安全接入网关和终端,终端通过SSAL接入电力物联网安全接入网关,所述装置应用于电力物联网安全接入网关,包括:
数据包接收单元,用于接收终端发送的数据包请求,其中,所述数据包包括终端的签名证书及加密证书;
认证单元,用于对所述签名证书及加密证书进行认证,认证成功之后通过加密签名运算生成“密钥协商请求”发送给终端;
验证解密单元,用于接收终端发送的“密钥协商响应”进行验证和解密,得到会话密钥和初始IV,然后使用会话密钥和初始IV产生“密钥协商确认”发送给终端,
其中,所述“密钥协商响应”为终端对“密钥协商请求”进行验证和解密,然后产生再通过加密和签名运算产生,
其中,所述终端对“密钥协商确认”进行验签和解密,并对比解密后的明文,确认无误则协商完成;
解密单元,用于使用会话密钥和初始IV对通信数据解密后去掉SSAL协议外壳,把原始数据发送给业务服务器,
其中,终端使用会话密钥和初始IV对通信数据加密后发送给电力物联网安全接入网关,
其中,业务服务器收到电力物联网安全接入网关的原始数据后,对数据进行处理,将响应发给电力物联网安全接入网关;
加密单元,用于根据记录的链路信息找到终端的信息,使用与终端协商的会话密钥及初始IV对响应数据加密后发送给终端;
还包括:两种模式传输单元,用于将终端通过SSL协议接入电力物联网安全接入网关,通过端口代理模式和隧道模式两种模式进行业务数据传输;
所述终端以端口代理模式的接入时,终端向电力物联网安全接入网关发起代理请求时,通过报文通知电力物联网安全接入网关需要代理的服务地址和端口,电力物联网安全接入网关根据终端信息查询对应的访问控制列表,如果符合则终端启动对应的代理规则,在客户端访问对应的代理端口时,向电力物联网安全接入网关发送代理请求,电力物联网安全接入网关成功连接服务器之后,向终端发送代理响应,终端即可通过电力物联网安全接入网关与服务器通信;
所述终端以隧道模式接入时,终端支持虚拟网卡技术,电力物联网安全接入网关在对终端认证完成后,向终端分配虚拟局域网地址和路由,终端和服务器就处在以电力物联网安全接入网关为中心的虚拟局域网络中,可以互相直接访问,终端向服务器发送的IP层数据会经SDK程序加密后发送到电力物联网安全接入网关,电力物联网安全接入网关收到加密的IP层数据后解密,再发送给服务器,实现虚拟局域网。
4.一种基于SSAL/SSL协议的高性能安全接入装置,其特征在于,包括电力物联网安全接入网关和终端,终端通过SSAL接入电力物联网安全接入网关,所述装置应用于终端,包括:
数据包发送单元,用于发送数据包请求至电力物联网安全接入网关,其中,所述数据包包括终端的签名证书及加密证书,
其中,电力物联网安全接入网关对所述签名证书及加密证书进行认证,认证成功之后通过加密签名运算生成“密钥协商请求”发送给终端;
第一验证解密单元,用于对“密钥协商请求”进行验证和解密,然后产生再通过加密和签名等运算产生“密钥协商响应”发送给电力物联网安全接入网关,
其中,电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证和解密,得到会话密钥和初始IV,然后使用会话密钥和初始IV产生“密钥协商确认”发送给终端;
第二验证解密单元,对“密钥协商确认”进行验签和解密,并对比解密后的明文,确认无误则协商完成;
加密单元,用于使用会话密钥和初始IV对通信数据加密后发送给电力物联网安全接入网关,
其中,电力物联网安全接入网关使用会话密钥和初始IV对通信数据解密后去掉SSAL协议外壳,把原始数据发送给业务服务器,
其中,业务服务器收到电力物联网安全接入网关的原始数据后,对数据进行处理,将响应发给电力物联网安全接入网关;
其中,电力物联网安全接入网关根据记录的链路信息找到终端的信息,使用与终端协商的会话密钥及初始IV对响应数据加密后发送给终端;
还包括:两种模式传输单元,用于将终端通过SSL协议接入电力物联网安全接入网关,通过端口代理模式和隧道模式两种模式进行业务数据传输;
所述终端以端口代理模式的接入时,终端向电力物联网安全接入网关发起代理请求时,通过报文通知电力物联网安全接入网关需要代理的服务地址和端口,电力物联网安全接入网关根据终端信息查询对应的访问控制列表,如果符合则终端启动对应的代理规则,在客户端访问对应的代理端口时,向电力物联网安全接入网关发送代理请求,电力物联网安全接入网关成功连接服务器之后,向终端发送代理响应,终端即可通过电力物联网安全接入网关与服务器通信;
所述终端以隧道模式接入时,终端支持虚拟网卡技术,电力物联网安全接入网关在对终端认证完成后,向终端分配虚拟局域网地址和路由,终端和服务器就处在以电力物联网安全接入网关为中心的虚拟局域网络中,可以互相直接访问,终端向服务器发送的IP层数据会经SDK程序加密后发送到电力物联网安全接入网关,电力物联网安全接入网关收到加密的IP层数据后解密,再发送给服务器,实现虚拟局域网。
CN202210076550.6A 2022-01-24 2022-01-24 一种基于ssal/ssl协议的高性能安全接入方法及装置 Active CN114422256B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210076550.6A CN114422256B (zh) 2022-01-24 2022-01-24 一种基于ssal/ssl协议的高性能安全接入方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210076550.6A CN114422256B (zh) 2022-01-24 2022-01-24 一种基于ssal/ssl协议的高性能安全接入方法及装置

Publications (2)

Publication Number Publication Date
CN114422256A CN114422256A (zh) 2022-04-29
CN114422256B true CN114422256B (zh) 2023-11-17

Family

ID=81275311

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210076550.6A Active CN114422256B (zh) 2022-01-24 2022-01-24 一种基于ssal/ssl协议的高性能安全接入方法及装置

Country Status (1)

Country Link
CN (1) CN114422256B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114828007A (zh) * 2022-04-30 2022-07-29 佛山技研智联科技有限公司 基于边缘网关的数据处理方法、装置和系统、边缘网关
CN114928491A (zh) * 2022-05-20 2022-08-19 国网江苏省电力有限公司信息通信分公司 基于标识密码算法的物联网安全认证方法、装置及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016187690A1 (en) * 2015-05-26 2016-12-01 Infosec Global Inc. Key agreement protocol
CN106941491A (zh) * 2017-03-29 2017-07-11 中国电力科学研究院 用电信息采集系统的安全应用数据链路层设备及通信方法
CN108965215A (zh) * 2017-05-26 2018-12-07 中国科学院沈阳自动化研究所 一种多融合联动响应的动态安全方法与系统
CN109639432A (zh) * 2018-11-20 2019-04-16 中国电力科学研究院有限公司 一种用于对通信业务数据进行处理的方法、密码卡及系统
CN110267270A (zh) * 2019-05-07 2019-09-20 国网浙江省电力有限公司电力科学研究院 一种变电站内传感器终端接入边缘网关身份认证智能合约
CN111294212A (zh) * 2020-05-12 2020-06-16 广东纬德信息科技股份有限公司 一种基于电力配电的安全网关密钥协商方法
CN112600667A (zh) * 2020-11-25 2021-04-02 广东电网有限责任公司电力科学研究院 一种密钥协商方法、装置、设备及存储介质
CN112995612A (zh) * 2021-05-06 2021-06-18 信联科技(南京)有限公司 一种电力视频监控终端安全接入方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106559217B (zh) * 2015-09-29 2019-09-20 腾讯科技(深圳)有限公司 一种动态加密方法、终端、服务器

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016187690A1 (en) * 2015-05-26 2016-12-01 Infosec Global Inc. Key agreement protocol
CN106941491A (zh) * 2017-03-29 2017-07-11 中国电力科学研究院 用电信息采集系统的安全应用数据链路层设备及通信方法
CN108965215A (zh) * 2017-05-26 2018-12-07 中国科学院沈阳自动化研究所 一种多融合联动响应的动态安全方法与系统
CN109639432A (zh) * 2018-11-20 2019-04-16 中国电力科学研究院有限公司 一种用于对通信业务数据进行处理的方法、密码卡及系统
CN110267270A (zh) * 2019-05-07 2019-09-20 国网浙江省电力有限公司电力科学研究院 一种变电站内传感器终端接入边缘网关身份认证智能合约
CN111294212A (zh) * 2020-05-12 2020-06-16 广东纬德信息科技股份有限公司 一种基于电力配电的安全网关密钥协商方法
CN112600667A (zh) * 2020-11-25 2021-04-02 广东电网有限责任公司电力科学研究院 一种密钥协商方法、装置、设备及存储介质
CN112995612A (zh) * 2021-05-06 2021-06-18 信联科技(南京)有限公司 一种电力视频监控终端安全接入方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于证书的改进ECDH双向认证及密钥协商协议;王新国;张兵;胡天军;万国根;;小型微型计算机系统(12);全文 *
基于身份的SIP认证与密钥协商机制研究;康松林;陈军;周玖玖;;信息通信(05);全文 *

Also Published As

Publication number Publication date
CN114422256A (zh) 2022-04-29

Similar Documents

Publication Publication Date Title
US7987359B2 (en) Information communication system, information communication apparatus and method, and computer program
US7039713B1 (en) System and method of user authentication for network communication through a policy agent
CN111371549B (zh) 一种报文数据传输方法、装置及系统
Chou Inside SSL: the secure sockets layer protocol
CN114422256B (zh) 一种基于ssal/ssl协议的高性能安全接入方法及装置
CN111756529B (zh) 一种量子会话密钥分发方法及系统
US20040161110A1 (en) Server apparatus, key management apparatus, and encrypted communication method
CN113225352B (zh) 一种数据传输方法、装置、电子设备及存储介质
CN112235232A (zh) 用于知识产权保护的远程调试的系统和方法
CN111756528B (zh) 一种量子会话密钥分发方法、装置及通信架构
CN112422560A (zh) 基于安全套接层的轻量级变电站安全通信方法及系统
CN110808834A (zh) 量子密钥分发方法和量子密钥分发系统
CN211352206U (zh) 基于量子密钥分发的IPSec VPN密码机
WO2005057841A1 (fr) Procede de production de cryptogramme dynamique dans une transmission de reseau et procede de transmission de donnees de reseau
CN115622772A (zh) 一种金融业务服务的金融数据传输方法及应用网关
KR101448866B1 (ko) 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법
JPH10242957A (ja) ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体
WO2016000473A1 (zh) 一种业务访问方法、系统及装置
CN108989302B (zh) 一种基于密钥的opc代理连接系统和连接方法
CN111901335B (zh) 基于中台的区块链数据传输管理方法及系统
CN112995140B (zh) 安全管理系统及方法
CN114501143A (zh) 一种基于端口选择性加密的视频安全接入方法及系统
CN113972999A (zh) 一种基于PSK进行MACSec通信的方法及装置
US7890751B1 (en) Method and system for increasing data access in a secure socket layer network environment
CN115835194B (zh) 一种nb-iot物联网终端安全接入系统及接入方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant