CN114465848B - 一种基于密文的数据传输方法及其系统 - Google Patents

一种基于密文的数据传输方法及其系统 Download PDF

Info

Publication number
CN114465848B
CN114465848B CN202210383070.4A CN202210383070A CN114465848B CN 114465848 B CN114465848 B CN 114465848B CN 202210383070 A CN202210383070 A CN 202210383070A CN 114465848 B CN114465848 B CN 114465848B
Authority
CN
China
Prior art keywords
vpn
terminal
client
server
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210383070.4A
Other languages
English (en)
Other versions
CN114465848A (zh
Inventor
刘媛萍
李亚红
李强
刘贞
丁欢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CRSC Research and Design Institute Group Co Ltd
Original Assignee
CRSC Research and Design Institute Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CRSC Research and Design Institute Group Co Ltd filed Critical CRSC Research and Design Institute Group Co Ltd
Priority to CN202210383070.4A priority Critical patent/CN114465848B/zh
Publication of CN114465848A publication Critical patent/CN114465848A/zh
Application granted granted Critical
Publication of CN114465848B publication Critical patent/CN114465848B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/42Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for mass transport vehicles, e.g. buses, trains or aircraft

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提供一种基于密文的数据传输方法及其系统,方法包括:终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间是否进行密文通信;通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信,能够同时满足铁路行业信息系统的可靠性和数据传输安全的需求,使得网络中处于不同位置不同VLAN的多台终端均可以与服务器实现加密通信,适用于铁路信息系统常用的业务场景。

Description

一种基于密文的数据传输方法及其系统
技术领域
本发明涉及数据传输技术领域,具体涉及一种基于密文的数据传输方法及其系统。
背景技术
图1为铁路行业信息系统常用的业务场景,即处于不同位置不同VLAN的多台终端通过一个核心交换机/路由器与服务器相连。然而,目前终端与服务器之间的数据通信均为明文传输,无加密措施,应用系统通信双方仅靠IP地址和端口号进行识别,无可靠的认证手段,数据传输面临的安全风险日益突出。因此,如何有效保护铁路信息系统网络数据安全传输,加强网络安全综合防护成为必须要解决的重要问题。
为解决传输安全问题,目前大多采用VPN技术来实现数据传输加密。VPN(VirtualPrivate Network,虚拟专用网络)技术是指将在物理上分布于不同区域的网络通过公用骨干网络连接成的逻辑上的虚拟子网,它采用数据加密技术、身份认证技术、隧道技术和密钥管理技术等关键技术实施通信保护,防止通信信息被泄露、篡改和复制。现有的主流VPN技术通常分为两类:1.基于IPSec协议的IPSec VPN。2.基于SSL协议的SSL VPN。
1.IPSec VPN使用如图2的串联部署模式,一方面,这种串联在网络内部的方式会增加网络通信的风险,一旦VPN设备发生故障,会导致网络中原有业务通信不能正常使用,增加故障点;另一方面,这种部署模式要求网络中每一台终端都需要配备一套IPSec VPN设备才能实现该终端与服务器通信加密,这极大地增加了网络部署的成本和风险。
IPSec VPN技术是网到网的确保IP层通信安全的机制,不适用于铁路信息系统网络,与既有系统不兼容。此外,IPSec VPN的串联部署模式需要对铁路信息系统网络进行大规模改造,实施难度大,无法保证铁路系统业务的正常使用,且一旦加密设备发生故障,会导致原有业务系统不可用,不符合铁路信息系统高可用性的需求。
2.SSL VPN应用于铁路信息系统这种多VLAN跨网段的场景时,需要修改设备IP,但铁路信息系统业务的IP地址不能改变。
因此,现有的IPSec VPN部署模式以及SSL VPN不适用于铁路行业信息系统的业务场景。
发明内容
为了克服现有技术的缺陷,本发明提供一种基于密文的数据传输方法及其系统。
本发明通过如下技术方案实现:
本发明提供一种基于密文的数据传输方法,包括如下步骤:
终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间是否进行密文通信;
若是,则通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信。
进一步的,通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信,包括:
所述终端通过所述VPN客户端以及VPN网关和服务器进行密文通信。
进一步的,所述终端通过所述VPN客户端以及VPN网关和服务器进行密文通信,具体包括:
终端发送ARP广播数据包,ARP广播数据包请求服务器的MAC地址;
VPN网关拦截所述ARP广播数据包,封装自身的MAC地址作为目的地址形成ARP回应数据报给终端,然后所述VPN网关代理终端去访问服务器。
进一步的,所述终端通过所述VPN客户端以及VPN网关和服务器进行密文通信的过程中进行密文传输,密文传输包括:
VPN客户端对终端发送数据进行加密操作,得到第一加密报文,并将所述第一加密报文转发给VPN网关;
VPN网关接收所述第一加密报文,将所述第一加密报文进行解密处理,得到第一解密报文,并将第一解密报文发送给服务器。
进一步的,通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信,还包括:
所述服务器通过所述VPN客户端以及VPN网关和所述终端进行密文通信。
进一步的,所述服务器通过所述VPN客户端以及VPN网关和所述终端进行密文通信,具体包括:
服务器发送ARP广播数据包,ARP广播数据包请求终端的MAC地址;
VPN网关拦截所述ARP广播数据包,封装自身的MAC地址作为目的地址形成ARP回应数据报给服务器,然后所述VPN网关代理服务器去访问终端。
进一步的,所述服务器通过所述VPN客户端以及VPN网关和所述终端进行密文通信的过程中进行密文传输,密文传输包括:
服务器根据接收的第一解密报文,获取回复报文,并将所述回复报文转发给所述VPN网关;
所述VPN网关接收所述回复报文,将所述回复报文进行加密操作,得到第二加密报文,并将所述第二加密报文发送给VPN客户端;
所述VPN客户端接收所述第二加密报文,对所述第二加密报文进行解密处理,得到第二解密报文,并转发至终端的相应应用程序。
进一步的,所述VPN网关接收所述第一加密报文后,将所述第一加密报文进行解密处理之后,还包括:
VPN网关进行数据封装。
进一步的,所述VPN网关接收所述回复报文后,将所述回复报文进行加密操作之前,还包括:
VPN网关进行数据封装。
进一步的,所述终端包括处于不同位置不同VLAN的多台终端;
VPN采用IPSec VPN。
本发明还提供了一种基于密文的数据传输系统,包括终端、VPN客户端、VPN网关以及服务器;
所述终端,用于根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间是否进行密文通信;
所述VPN客户端以及VPN网关,用于在所述终端和服务器之间进行密文通信。
进一步的,
所述VPN客户端以及VPN网关,用于在所述终端和服务器之间进行密文通信,包括:
所述终端通过所述VPN客户端以及VPN网关和服务器进行密文通信,在密文通信过程中进行密文传输;
以及,
所述服务器通过所述VPN客户端以及VPN网关和所述终端进行密文通信,在密文通信过程中进行密文传输。
进一步的,所述终端通过所述VPN客户端以及VPN网关和服务器进行密文通信,在密文通信过程中进行密文传输,包括:
VPN客户端对终端发送数据进行加密操作,得到第一加密报文,并将所述第一加密报文转发给VPN网关;
VPN网关接收所述第一加密报文,将所述第一加密报文进行解密处理,得到第一解密报文,并将第一解密报文进行封装后发送给服务器。
进一步的,所述VPN客户端包括客户端加密模块以及客户端发送模块;
所述VPN网关包括数据接收模块、数据解密模块、数据封装模块以及数据转发模块;
所述客户端加密模块对所述终端发送数据进行加密操作,得到第一加密报文,并发送给客户端发送模块;
所述客户端发送模块接收所述第一加密报文并转发给数据接收模块;
所述数据接收模块接收所述第一加密报文后进行解密处理,得到第一解密报文发送给数据封装模块;
所述数据封装模块接收第一解密报文后,将第一解密报文中的目的MAC地址封装为服务器MAC地址,得到封装后的第一解密报文并发送给数据转发模块;
所述数据转发模块接收并转发所述封装后的第一解密报文给服务器。
进一步的,所述服务器通过所述VPN客户端以及VPN网关和所述终端进行密文通信,在密文通信过程中进行密文传输,包括:
服务器根据接收的第一解密报文,获取回复报文,并将所述回复报文转发给所述VPN网关;
所述VPN网关接收所述回复报文,对所述回复报文进行数据封装,得到封装后的回复报文将所述封装后的回复报文进行加密操作,得到第二加密报文,并将所述第二加密报文发送给VPN客户端;
所述VPN客户端接收所述第二加密报文,对所述第二加密报文进行解密处理,得到第二解密报文,并转发至终端的相应应用程序。
进一步的,所述VPN客户端还包括客户端接收模块以及客户端解密模块;
所述VPN网关还包括数据加密模块;
所述数据接收模块接收所述回复报文后发送给数据封装模块;
所述数据封装模块接收所述回复报文后对回复报文进行封装,将回复报文中的目的MAC地址封装为终端MAC地址,得到封装后的回复报文并发送给数据加密模块;
所述数据加密模块将所述封装后的回复报文进行加密操作,得到第二加密报文,并将所述第二加密报文发送给数据转发模块;
所述数据转发模块接收并转发所述第二加密报文给所述客户端接收模块;
所述客户端接收模块接收并转发所述第二加密报文给所述客户端解密模块;
所述客户端解密模块接收所述第二加密报文,对所述第二加密报文进行解密处理,得到第二解密报文,并转发至终端的相应应用程序。
和现有技术比,本发明的技术方案具有如下有益效果:
本发明提供的基于密文的数据传输方法,VPN网关采用旁路技术部署在核心交换机上,采用数据加密技术,在不更改现有网络拓扑和网络配置的情况下,实现对进出核心交换机数据的安全加密和解密,VPN客户端安装在终端实现对进出维护终端数据的加密和解密,终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间是否进行密文通信,通过VPN客户端以及VPN网关在终端和服务器之间进行密文通信,若VPN客户端、传输链路或者VPN网关出现故障,则VPN客户端会自动断开与VPN网关的连接,终端与服务器的通信不再经过VPN客户端以及VPN网关,通信从密文切换明文,不影响业务系统的正常通信。
VPN客户端软件套件作为微型插件占用资源小,对终端系统影响较小,并且在终端中设置VPN客户端,终端侧可以根据传输数据重要性的程度灵活选择使用密文通信或者明文通信,适用于多种不同的业务场景。
进一步的,本发明提供的数据传输方法,能够同时满足铁路行业信息系统的可靠性和数据传输安全的需求,使得网络中处于不同位置不同VLAN的多台终端均可以与服务器实现加密通信,适用于铁路信息系统常用的业务场景。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为铁路行业信息系统常用的数据传输业务场景示意图。
图2为现有IPSec VPN的部署方式示意图。
图3为本发明实施例数据传输系统的结构示意图。
图4为本发明实施例数据传输系统的密文传输结构示意图。
图5为本发明实施例终端通过VPN客户端以及VPN网关和服务器进行密文通信的示意图。
图6为本发明实施例数据传输系统的密文传输流程示意图。
具体实施方式
下面将结合本发明的实施例,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本文中,术语“第一”、“第二”和其它类似词语并不意在暗示任何顺序、数量和重要性,而是仅仅用于对不同的元件进行区分。在本文中,术语“一”、“一个”和其它类似词语并不意在表示只存在一个所述事物,而是表示有关描述仅仅针对所述事物中的一个,所述事物可能具有一个或多个。在本文中,术语“包含”、“包括”和其它类似词语意在表示逻辑上的相互关系,而不能视作表示空间结构上的关系。例如,“A包括B”意在表示在逻辑上B属于A,而不表示在空间上B位于A的内部。另外,术语“包含”、“包括”和其它类似词语的含义应视为开放性的,而非封闭性的。例如,“A包括B”意在表示B属于A,但是B不一定构成A的全部,A还可能包括C、D、E等其它元素。
在本文中,术语“实施例”、“本实施例”、“优选实施例”、“一个实施例”并不表示有关描述仅仅适用于一个特定的实施例,而是表示这些描述还可能适用于另外一个或多个实施例中。本领域技术人员应理解,在本文中,任何针对某一个实施例所做的描述都可以与另外一个或多个实施例中的有关描述进行替代、组合、或者以其它方式结合,所述替代、组合、或者以其它方式结合所产生的新实施例是本领域技术人员能够容易想到的,属于本发明的保护范围。
在本文的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
如图3所示,本发明实施例提供一种数据传输系统,包括终端、VPN客户端、VPN网关以及服务器。
其中,终端可以包括处于不同位置不同VLAN的多台终端,即终端设置可以采用多VLAN自适应技术。
VPN网关采用旁路技术部署在核心交换机上,采用数据加密操作,在不更改现有网络拓扑和网络配置的情况下,实现对进出核心交换机数据的安全加密和解密。VPN网关可以采用IPSec VPN技术。
如图4所示,VPN网关包括数据接收模块、数据解密模块、数据封装模块、数据转发模块、数据加密模块。
VPN客户端安装在终端实现对进出维护终端数据的加密和解密,如图4所示,VPN客户端具有客户端加密模块、客户端发送模块、客户端解密模块、客户端接收模块。具体的VPN客户端可以以软件形式设置在终端内,作为微型插件占用资源小,对终端系统影响较小。
并且在终端中设置VPN客户端,终端侧可以根据传输数据重要性的程度灵活选择使用密文通信或者明文通信,适用于多种不同的业务场景。具体的,终端侧的VPN客户端设置了身份认证机制。若无需密文通信,终端侧可以通过输入密码等进行身份认证,认证通过后能够手动断开VPN客户端软件,进行正常的明文通信。若再次需要密文通信,终端侧可以手动点击连接按钮,实现密文通信,并且对于手动操作(断开或连接),VPN客户端软件都会有相应的日志记录。
通过VPN客户端以及VPN网关可以实现在终端和服务器之间进行密文通信,密文通信的过程中进行密文传输,如图4所示,密文通信采用ARP代理技术。
其中,通过VPN客户端以及VPN网关可以实现在终端和服务器之间进行密文通信,包括如下两种情形:
1.终端通过VPN客户端以及VPN网关和服务器进行密文通信。
具体的,如图5所示,终端发送ARP广播数据包,ARP广播数据包请求服务器的MAC地址。
VPN网关拦截所述ARP广播数据包,封装自身的MAC地址作为目的MAC地址形成ARP回应数据报给终端,然后所述VPN网关代理终端去访问服务器。
2.服务器通过VPN客户端以及VPN网关和终端进行密文通信。
服务器发送ARP广播数据包,ARP广播数据包请求终端的MAC地址。
VPN网关拦截所述ARP广播数据包,封装自身的MAC地址作为目的MAC地址形成ARP回应数据报给服务器,然后所述VPN网关代理服务器去访问终端(图中未示出)。
具体的,与密文通信方式对应,采用上述数据传输系统进行密文传输,包括如下两种情形,如图6所示:
1.终端通过所述VPN客户端以及VPN网关和服务器进行密文通信,在密文通信过程中进行密文传输,包括:
VPN客户端对终端发送数据进行加密操作,得到第一加密报文,并将所述第一加密报文转发给VPN网关;
VPN网关接收第一加密报文,进行解密处理,得到第一解密报文,将第一解密报文进行封装,并将封装后的第一解密报文发送给服务器。
具体包括如下步骤,
客户端加密模块对终端发送数据进行加密操作,得到第一加密报文,并发送给客户端发送模块。
客户端发送模块接收第一加密报文并转发给数据接收模块。
数据接收模块接收第一加密报文后,发送给第一数据解密模块。
第一数据解密模块接收第一加密报文,将第一加密报文进行解密处理,得到第一解密报文发送给数据封装模块。
数据封装模块接收第一解密报文后将目的MAC地址封装为服务器MAC地址,得到封装后的第一解密报文并发送给数据转发模块。
数据转发模块接收并转发封装后的第一解密报文给服务器。
2.服务器通过所述VPN客户端以及VPN网关和所述终端进行密文通信,在密文通信过程中进行密文传输,包括:
服务器接收第一解密报文,根据第一解密报文获取回复报文,并将回复报文转发给VPN网关。
VPN网关接收回复报文,进行数据封装,并将封装后的回复报文进行加密操作,得到第二加密报文,并将第二加密报文发送给VPN客户端。
VPN客户端接收第二加密报文,对第二加密报文进行解密处理,得到第二解密报文,并转发至终端的相应应用程序。
具体包括如下步骤,
服务器接收第一解密报文,根据第一解密报文获取回复报文,并将回复报文转发给数据接收模块。
数据接收模块接收回复报文后发送给数据封装模块。
数据封装模块接收回复报文后,将目的MAC地址封装为终端MAC地址,得到封装后的回复报文并将封装后的回复报文发送给数据加密模块。
数据加密模块将封装后的回复报文进行加密操作,得到第二加密报文,并将第二加密报文发送给数据转发模块。
数据转发模块接收并转发第二加密报文给客户端接收模块。
客户端接收模块接收并转发所述第二加密报文给客户端解密模块。
客户端解密模块接收第二加密报文,对所述第二加密报文进行解密处理,得到第二解密报文,并转发至终端的相应应用程序。
进一步的,上述VPN客户端运行进程包括启动模块、运行阶段和守护模块。对应的,VPN客户端包括启动阶段、运行阶段以及守护阶段。
启动模块具有终端开机自启动、终端休眠开机自启动、终端重启自启动功能,满足高可用性。
运行模块实现在VPN客户端运行过程中,对进出维护终端数据的加密和解密,保障通信数据的安全传输。
守护模块可以实时检测VPN客户端是否正常运行,一旦检测到运行状态异常,如VPN客户端关闭或VPN客户端进程结束,该守护模块可以通过重新启动VPN客户端或重新生成VPN客户端进程及时恢复VPN客户端的正常运行状态,实时守护VPN客户端的正常运行。守护具体包括如下步骤:
步骤013:终端检测VPN客户端程序是否正常运行;若VPN客户端程序正常运行,则执行步骤014,否则执行步骤015。
步骤014:保持当前状态不变。
步骤015:若VPN客户端程序不是正常运行,则主动启动VPN客户端程序。
并且,本发明的实施例通过VPN客户端以及VPN网关在终端和服务器之间进行密文通信之前,终端在在VPN客户端启动阶段以及运行阶段,可以根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间是进行密文通信还是明文通信,具体如下:
在VPN客户端启动阶段,
步骤001终端读取VPN客户端配置文件。
具体为,终端读取VPN客户端安装包中配置文件的IP信息。
步骤002终端比对本机网卡信息是否与配置文件的IP信息是否一致。
具体为,终端读取本机网卡信息,判断本机IP地址与配置文件中IP地址信息是否一致。
步骤003检测VPN网关是否存活,若所述VPN网关不处于存活状态,则执行步骤009,否则,执行步骤004。
具体的,通过心跳机制检测VPN网关是否存活。
步骤004调用系统接口,创建VPN虚拟网卡
具体为,通过系统接口,创建VPN虚拟网卡,VPN虚拟网卡的IP地址为上述本机IP地址。本机网卡IP地址修改为配置文件中的虚拟IP地址。
步骤005再次读取配置文件,创建用户。
具体为,读取配置文件的认证信息,创建用户。
步骤006终端通过VPN客户端尝试连接VPN网关,判断VPN客户端尝试连接VPN网关是否成功,成功则执行步骤007,否则执行步骤009。
步骤007建立VPN隧道。
优选可以建立IPSec VPN隧道。
步骤008终端与服务器之间通过VPN客户端以及VPN网关密文通信。
步骤009终端与服务器不经过VPN客户端以及VPN网关,而通过交换机直接进行明文通信。在VPN客户端运行阶段,
步骤010:根据心跳机制,判断VPN网关是否存活,若VPN网关处于不存活状态,则执行步骤012,否则执行步骤011。
具体的,终端读取VPN客户端配置文件,根据心跳机制,周期性判断VPN网关是否存活。
步骤011:保持状态不变。
具体为,若检测到VPN网关存活,则状态保持不变,即继续通过VPN客户端以及VPN网关在终端和服务器之间进行密文通信。
步骤012:断开VPN隧道,切换明文通信。
具体为,若检测到VPN网关不存活,则VPN客户端主动断开VPN网关连接,终端修改本机物理网卡为原来IP业务地址,终端与服务器的不经过VPN客户端以及VPN网关密文通信,切换成终端和服务器通过交换机直接进行明文通信。
采用上述方案,若VPN客户端、传输链路或者VPN网关出现故障,则VPN客户端会自动断开与VPN网关的连接,即VPN隧道会自动断开,终端上本地连接的网卡自动切换回实际的业务IP地址,与服务器的通信不再经过VPN客户端以及VPN网关,通信从密文切换明文,不影响业务系统的正常通信,且故障恢复时间与现有的IPSec VPN双机热备技术的恢复时间相当。
结合铁路信息系统的实际业务场景,本发明方案针对多种故障问题,提供密文链路切换成明文链路的功能,维持业务系统的正常运转。
(1)客户端故障:客户端发生故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
(2)链路故障:链路故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
(3)VPN网关故障:VPN网关故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
此外,本发明还能够适用于铁路信息系统多VLAN的需求,处于不同VLAN不同位置的终端之间的业务能够正常通信:
(1)多VLAN情况下,两台位于不同VLAN、均安装VPN客户端且与VPN网关正常连接的终端通信:
客户端故障:客户端发生故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
链路故障:链路故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
VPN网关故障:VPN网关故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
(2)多VLAN情况下,两台位于不同VLAN且均未安装VPN客户端的终端通信:
VPN网关故障:VPN网关故障,不影响两台终端的正常通信。
(3)多VLAN情况下,两台位于不同VLAN中的终端通信,一台安装VPN客户端且与VPN网关正常连接,一台未安装VPN客户端:
链路故障:链路故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
VPN网关故障:VPN网关故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
综上所述,该技术方案采用旁路部署,不改变现有网络结构和网络规划,不会引起既有系统的修改,不影响既有系统的正常运行。当加密通道出现故障时,会自动将密文传输切换成明文传输,保证业务功能优先;当加密通道恢复时,会自动切换回密文,不影响业务系统的可用性。
以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员依然可以对本发明的具体实施方式进行修改或者等同替换,这些未脱离本发明精神和范围的任何修改或者等同替换,均在申请待批的本发明的权利要求保护范围之内。

Claims (16)

1.一种基于密文的数据传输方法,其特征在于,包括如下步骤:
终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间是否进行密文通信;
若是,则通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信;
终端在VPN客户端启动阶段以及运行阶段,可以根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间是进行密文通信还是明文通信;
在VPN客户端启动阶段:
终端读取VPN客户端配置文件;
终端比对终端网卡信息与VPN客户端配置文件的IP信息是否一致;
检测VPN网关是否存活;
若所述VPN网关不处于存活状态,终端与服务器不经过VPN客户端以及VPN网关,而通过交换机直接进行明文通信;
若所述VPN网关处于存活状态,终端通过VPN客户端尝试连接VPN网关,判断VPN客户端尝试连接VPN网关是否成功;
若不成功,终端与服务器不经过VPN客户端以及VPN网关,而通过交换机直接进行明文通信;
若成功,建立VPN隧道,终端与服务器之间通过VPN客户端以及VPN网关密文通信;
在VPN客户端运行阶段:
判断VPN网关是否存活;
若VPN网关处于不存活状态,断开VPN隧道,切换明文通信;
若VPN网关处于存活状态,保持状态不变。
2.根据权利要求1所述的数据传输方法,其特征在于,通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信,包括:
所述终端通过所述VPN客户端以及VPN网关和服务器进行密文通信。
3.根据权利要求2所述的数据传输方法,其特征在于,所述终端通过所述VPN客户端以及VPN网关和服务器进行密文通信,具体包括:
终端发送ARP广播数据包,ARP广播数据包请求服务器的MAC地址;
VPN网关拦截所述ARP广播数据包,封装自身的MAC地址作为目的MAC地址形成ARP回应数据报给终端,然后所述VPN网关代理终端去访问服务器。
4.根据权利要求3所述的数据传输方法,其特征在于,所述终端通过所述VPN客户端以及VPN网关和服务器进行密文通信的过程中进行密文传输,密文传输包括:
VPN客户端对终端发送数据进行加密操作,得到第一加密报文,并将所述第一加密报文转发给VPN网关;
VPN网关接收所述第一加密报文,将所述第一加密报文进行解密处理,得到第一解密报文,并将第一解密报文发送给服务器。
5.根据权利要求2所述的数据传输方法,其特征在于,通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信,还包括:
所述服务器通过所述VPN客户端以及VPN网关和所述终端进行密文通信。
6.根据权利要求5所述的数据传输方法,其特征在于,所述服务器通过所述VPN客户端以及VPN网关和所述终端进行密文通信,具体包括:
服务器发送ARP广播数据包,ARP广播数据包请求终端的MAC地址;
VPN网关拦截所述ARP广播数据包,封装自身的MAC地址作为目的MAC地址形成ARP回应数据报给服务器,然后所述VPN网关代理服务器去访问终端。
7.根据权利要求6所述的数据传输方法,其特征在于,所述服务器通过所述VPN客户端以及VPN网关和所述终端进行密文通信的过程中进行密文传输,密文传输包括:
服务器根据接收的第一解密报文,获取回复报文,并将所述回复报文转发给所述VPN网关;
所述VPN网关接收所述回复报文,将所述回复报文进行加密操作,得到第二加密报文,并将所述第二加密报文发送给VPN客户端;
所述VPN客户端接收所述第二加密报文,对所述第二加密报文进行解密处理,得到第二解密报文,并转发至终端的相应应用程序。
8.根据权利要求4所述的数据传输方法,其特征在于,所述VPN网关接收所述第一加密报文后,将所述第一加密报文进行解密处理之后,还包括:
VPN网关进行数据封装。
9.根据权利要求7所述的数据传输方法,其特征在于,所述VPN网关接收所述回复报文后,将所述回复报文进行加密操作之前,还包括:
VPN网关进行数据封装。
10.根据权利要求1所述的数据传输方法,其特征在于,
所述终端包括处于不同位置不同VLAN的多台终端;
VPN采用IPSec VPN。
11.一种基于密文的数据传输系统,其特征在于,包括VPN客户端、VPN网关、终端以及服务器;
所述终端,用于根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间是否进行密文通信;
所述VPN客户端以及VPN网关,用于在所述终端和服务器之间进行密文通信;
终端在VPN客户端启动阶段以及运行阶段,可以根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间是进行密文通信还是明文通信;
在VPN客户端启动阶段:
终端读取VPN客户端配置文件;
终端比对终端网卡信息与VPN客户端配置文件的IP信息是否一致;
检测VPN网关是否存活;
若所述VPN网关不处于存活状态,终端与服务器不经过VPN客户端以及VPN网关,而通过交换机直接进行明文通信;
若所述VPN网关处于存活状态,终端通过VPN客户端尝试连接VPN网关,判断VPN客户端尝试连接VPN网关是否成功;
若不成功,终端与服务器不经过VPN客户端以及VPN网关,而通过交换机直接进行明文通信;
若成功,建立VPN隧道,终端与服务器之间通过VPN客户端以及VPN网关密文通信;
在VPN客户端运行阶段:
判断VPN网关是否存活;
若VPN网关处于不存活状态,断开VPN隧道,切换明文通信;
若VPN网关处于存活状态,保持状态不变。
12.根据权利要求11所述的数据传输系统,其特征在于,
所述VPN客户端以及VPN网关,用于在所述终端和服务器之间进行密文通信,包括:
所述终端通过所述VPN客户端以及VPN网关和服务器进行密文通信,在密文通信过程中进行密文传输;
以及,
所述服务器通过所述VPN客户端以及VPN网关和所述终端进行密文通信,在密文通信过程中进行密文传输。
13.根据权利要求12所述的数据传输系统,其特征在于,所述终端通过所述VPN客户端以及VPN网关和服务器进行密文通信,在密文通信过程中进行密文传输,包括:
VPN客户端对终端发送数据进行加密操作,得到第一加密报文,并将所述第一加密报文转发给VPN网关;
VPN网关接收所述第一加密报文,将所述第一加密报文进行解密处理,得到第一解密报文,并将第一解密报文进行封装后发送给服务器。
14.根据权利要求13所述的数据传输系统,其特征在于,
所述VPN客户端包括客户端加密模块以及客户端发送模块;
所述VPN网关包括数据接收模块、数据解密模块、数据封装模块以及数据转发模块;
所述客户端加密模块对所述终端发送数据进行加密操作,得到第一加密报文,并发送给客户端发送模块;
所述客户端发送模块接收所述第一加密报文并转发给数据接收模块;
所述数据接收模块接收所述第一加密报文后进行解密处理,得到第一解密报文发送给数据封装模块;
所述数据封装模块接收第一解密报文后,将第一解密报文中的目的MAC地址封装为服务器MAC地址,得到封装后的第一解密报文并发送给数据转发模块;
所述数据转发模块接收并转发所述封装后的第一解密报文给服务器。
15.根据权利要求14所述的数据传输系统,其特征在于,所述服务器通过所述VPN客户端以及VPN网关和所述终端进行密文通信,在密文通信过程中进行密文传输,包括:
服务器根据接收的第一解密报文,获取回复报文,并将所述回复报文转发给所述VPN网关;
所述VPN网关接收所述回复报文,对所述回复报文进行数据封装,得到封装后的回复报文,将所述封装后的回复报文进行加密操作,得到第二加密报文,并将所述第二加密报文发送给VPN客户端;
所述VPN客户端接收所述第二加密报文,对所述第二加密报文进行解密处理,得到第二解密报文,并转发至终端的相应应用程序。
16.根据权利要求15所述的数据传输系统,其特征在于,所述VPN客户端还包括客户端接收模块以及客户端解密模块;
所述VPN网关还包括数据加密模块;
所述数据接收模块接收所述回复报文后发送给数据封装模块;
所述数据封装模块接收所述回复报文后对回复报文进行封装,将回复报文中的目的MAC地址封装为终端MAC地址,得到封装后的回复报文并发送给数据加密模块;
所述数据加密模块将所述封装后的回复报文进行加密操作,得到第二加密报文,并将所述第二加密报文发送给数据转发模块;
所述数据转发模块接收并转发所述第二加密报文给所述客户端接收模块;
所述客户端接收模块接收并转发所述第二加密报文给所述客户端解密模块;
所述客户端解密模块接收所述第二加密报文,对所述第二加密报文进行解密处理,得到第二解密报文,并转发至终端的相应应用程序。
CN202210383070.4A 2022-04-13 2022-04-13 一种基于密文的数据传输方法及其系统 Active CN114465848B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210383070.4A CN114465848B (zh) 2022-04-13 2022-04-13 一种基于密文的数据传输方法及其系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210383070.4A CN114465848B (zh) 2022-04-13 2022-04-13 一种基于密文的数据传输方法及其系统

Publications (2)

Publication Number Publication Date
CN114465848A CN114465848A (zh) 2022-05-10
CN114465848B true CN114465848B (zh) 2022-09-13

Family

ID=81418489

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210383070.4A Active CN114465848B (zh) 2022-04-13 2022-04-13 一种基于密文的数据传输方法及其系统

Country Status (1)

Country Link
CN (1) CN114465848B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005244588A (ja) * 2004-02-26 2005-09-08 Toshiba Corp ネットワークシステム、ゲートウェイ装置、プログラム及び通信制御方法
CN102065059A (zh) * 2009-11-16 2011-05-18 华为技术有限公司 安全访问控制方法、客户端及系统
CN102316093A (zh) * 2010-06-30 2012-01-11 丛林网络公司 用于移动设备的双模式多服务vpn网络客户端
CN104168173A (zh) * 2010-08-20 2014-11-26 华为技术有限公司 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
CN112104511A (zh) * 2020-10-30 2020-12-18 信联科技(南京)有限公司 一种基于单臂部署的vpn网关无感知切换方法及装置
CN113691394A (zh) * 2021-07-29 2021-11-23 广州鲁邦通物联网科技有限公司 一种vpn通信的建立和切换的方法和系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101399838B (zh) * 2008-10-29 2012-01-25 成都市华为赛门铁克科技有限公司 报文处理方法、装置和系统
CN102143492B (zh) * 2010-12-06 2014-01-22 东莞宇龙通信科技有限公司 Vpn连接建立方法、移动终端、服务器
CN114143050B (zh) * 2021-11-23 2023-09-08 广东电网有限责任公司 一种视频数据加密系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005244588A (ja) * 2004-02-26 2005-09-08 Toshiba Corp ネットワークシステム、ゲートウェイ装置、プログラム及び通信制御方法
CN102065059A (zh) * 2009-11-16 2011-05-18 华为技术有限公司 安全访问控制方法、客户端及系统
CN102316093A (zh) * 2010-06-30 2012-01-11 丛林网络公司 用于移动设备的双模式多服务vpn网络客户端
CN104168173A (zh) * 2010-08-20 2014-11-26 华为技术有限公司 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
CN112104511A (zh) * 2020-10-30 2020-12-18 信联科技(南京)有限公司 一种基于单臂部署的vpn网关无感知切换方法及装置
CN113691394A (zh) * 2021-07-29 2021-11-23 广州鲁邦通物联网科技有限公司 一种vpn通信的建立和切换的方法和系统

Also Published As

Publication number Publication date
CN114465848A (zh) 2022-05-10

Similar Documents

Publication Publication Date Title
US11190491B1 (en) Method and apparatus for maintaining a resilient VPN connection
EP3432523B1 (en) Method and system for connecting a terminal to a virtual private network
JP3143027U (ja) “常時オン”通信接続システム及び方法を用いたテレメトリ
US7394761B2 (en) System and method for delivering messages using alternate modes of communication
US7000121B2 (en) Computer systems, in particular virtual private networks
CN103067290B (zh) 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法
WO2013107356A1 (en) Implementing dual-homed node protection
US20220210130A1 (en) Method and apparatus for maintaining a resilient vpn connection
CN106209883A (zh) 基于链路选择和破碎重组的多链路传输方法及系统
CN111787025B (zh) 加解密处理方法、装置、系统以及数据保护网关
CN114726523B (zh) 密码应用服务系统和量子安全能力开放平台
US20200120134A1 (en) Synchronizing link and event detection mechanisms with a secure session associated with the link
CN116389105B (zh) 一种远程接入管理平台及管理方法
CN101753401A (zh) 一种实现IPSec虚拟专用网隧道备份和负载的方法
CN114500177B (zh) 一种传输通信方式确定方法及其系统
CN114465848B (zh) 一种基于密文的数据传输方法及其系统
CN111526018A (zh) 一种基于电力配电的通信加密系统及通信加密方法
JP2023531034A (ja) サービス伝送方法、装置、ネットワーク機器及び記憶媒体
JP2004328563A (ja) 暗号通信装置および暗号通信システム
JP4568857B2 (ja) 認証伝送システム
CN116886405B (zh) 一种小型化分组路由器及其单点接入信息加密保护方法
CN115834090A (zh) 通信方法及装置
CN117499917A (zh) 一种终端认证方法、分流设备及存储介质
CN117857120A (zh) 一种实现云上网络流量安全传输的方法及装置
CN114285594A (zh) 一种软件实现设计的密钥协商方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant