CN114500177B - 一种传输通信方式确定方法及其系统 - Google Patents

一种传输通信方式确定方法及其系统 Download PDF

Info

Publication number
CN114500177B
CN114500177B CN202210383085.0A CN202210383085A CN114500177B CN 114500177 B CN114500177 B CN 114500177B CN 202210383085 A CN202210383085 A CN 202210383085A CN 114500177 B CN114500177 B CN 114500177B
Authority
CN
China
Prior art keywords
vpn
terminal
vpn client
communication
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210383085.0A
Other languages
English (en)
Other versions
CN114500177A (zh
Inventor
刘媛萍
李强
侯斯尧
敖奇
邹奇良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CRSC Research and Design Institute Group Co Ltd
Original Assignee
CRSC Research and Design Institute Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CRSC Research and Design Institute Group Co Ltd filed Critical CRSC Research and Design Institute Group Co Ltd
Priority to CN202210383085.0A priority Critical patent/CN114500177B/zh
Publication of CN114500177A publication Critical patent/CN114500177A/zh
Application granted granted Critical
Publication of CN114500177B publication Critical patent/CN114500177B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种传输通信方式确定方法及其系统,方法包括如下步骤:在终端中设置VPN客户端;在和终端通信的交换机旁路上设置VPN网关;VPN客户端的运行进程包括启动阶段、运行阶段以及守护阶段;在启动阶段以及运行阶段,所述终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式,即在VPN客户端、传输链路以及VPN网关正常运行下,通过VPN客户端以及VPN网关在终端和服务器之间进行密文通信,若VPN客户端、传输链路或者VPN网关出现故障,则VPN客户端会自动断开与VPN网关的连接,终端与服务器的通信不再经过VPN客户端以及VPN网关,通信从密文切换明文,不影响业务系统的正常通信,能够满足铁路行业信息系统的加密传输方案的需求。

Description

一种传输通信方式确定方法及其系统
技术领域
本发明涉及数据传输技术领域,具体涉及一种传输通信方式确定方法及其系统。
背景技术
目前铁路行业信息系统尚无全面综合的防护方案,铁路行业尚未建立体系化的网络安全综合防护能力,网络安全保障能力相对薄弱,安全事件应急处置能力相对较差。铁路信息系统网络作为工控网络,对网络的可靠性、实时性有较高要求,尤其是铁路信息系统网络承担着控制高铁运行的重要任务,在进行数据传输安全防护时必须要保证原有系统业务的正常使用。因此加密传输方案需要满足以下需求:
(1)采用密码技术在局域网内内部流转、查询数据流,保证文件的完整性和保密性。
(2)加密系统故障不影响业务系统的正常通信。
所以,在加密系统故障后,如何保证铁路行业业务系统的正常通信成为亟待解决的问题。
发明内容
为了克服现有技术的缺陷,本发明提供一种传输通信方式确定方法及其系统。
本发明通过如下技术方案实现:
本发明提供一种传输通信方式确定方法,方法包括:
在终端中设置VPN客户端;
在和终端通信的交换机旁路上设置VPN网关;
VPN客户端的运行进程包括启动阶段,
在启动阶段,所述终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式。
进一步的,所述通信方式包括明文通信和密文通信。
进一步的,在启动阶段,所述终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式,具体包括:
所述终端判断本机网卡信息是否与VPN客户端配置文件的IP信息一致;
若本机网卡信息与VPN客户端配置文件的IP信息不一致,则所述终端和服务器通过交换机直接进行明文通信;
若本机网卡信息与VPN客户端配置文件的IP信息一致,则继续判断VPN网关是否存活;
若所述VPN网关不处于存活状态,则所述终端和服务器通过交换机直接进行明文通信;
若所述VPN网关处于存活状态,则所述终端依次创建VPN虚拟网卡、再次读取VPN客户端配置文件创建用户以及通过VPN客户端尝试连接VPN网关;
所述终端判断VPN客户端尝试连接VPN网关是否成功;若VPN客户端尝试连接VPN网关不成功,则所述终端和服务器通过交换机直接进行明文通信;若VPN客户端尝试连接VPN网关成功,则VPN客户端与所述VPN网关建立VPN隧道,通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信。
进一步的,所述VPN客户端的运行进程还包括运行阶段;
在运行阶段,所述终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式。
进一步的,在运行阶段,所述终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式,具体包括:
所述终端判断VPN网关是否存活;
若所述VPN网关处于不存活状态,则所述终端和服务器通过交换机直接进行明文通信;
若所述VPN网关处于存活状态,则继续通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信。
进一步的,所述VPN客户端的运行进程还包括守护阶段;
在守护阶段,所述终端对所述VPN客户端运行阶段的运行状态进行守护。
进一步的,在守护阶段,所述终端对所述VPN客户端运行阶段的运行状态进行守护,包括:
所述终端检测VPN客户端程序是否正常运行;
若所述VPN客户端程序正常运行,则保持当前状态不变;
若所述VPN客户端程序不是正常运行,则主动启动VPN客户端程序。
本发明还提供一种传输通信方式确定系统,
包括VPN客户端、VPN网关以及终端;
所述VPN客户端设置在终端中;
所述VPN网关设置在和终端通信的交换机旁路上;
VPN客户端的运行进程包括启动阶段,
在启动阶段,所述终端用于,根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式。
进一步的,所述通信方式包括明文通信和密文通信。
进一步的,在启动阶段,所述终端用于,根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式,具体包括:
所述终端判断本机网卡信息是否与VPN客户端配置文件的IP信息一致;
若本机网卡信息与VPN客户端配置文件的IP信息不一致,则所述终端和服务器通过交换机直接进行明文通信;
若本机网卡信息与VPN客户端配置文件的IP信息一致,则继续判断VPN网关是否存活;
若所述VPN网关不处于存活状态,则所述终端和服务器通过交换机直接进行明文通信;
若所述VPN网关处于存活状态,则所述终端依次创建VPN虚拟网卡、再次读取VPN客户端配置文件创建用户以及通过VPN客户端尝试连接VPN网关;
所述终端判断VPN客户端尝试连接VPN网关是否成功;若VPN客户端尝试连接VPN网关不成功,则所述终端和服务器通过交换机直接进行明文通信;若VPN客户端尝试连接VPN网关成功,则VPN客户端与所述VPN网关建立VPN隧道,通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信。
进一步的,所述VPN客户端的运行进程还包括运行阶段;
在运行阶段,所述终端还用于,根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式,具体包括:
所述终端判断VPN网关是否存活;
若所述VPN网关处于不存活状态,则所述终端和服务器通过交换机直接进行明文通信;
若所述VPN网关处于存活状态,则继续通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信。
进一步的,所述VPN客户端的运行进程还包括守护阶段;
在守护阶段,所述终端还用于,对所述VPN客户端运行阶段的运行状态进行守护,具体包括:
所述终端检测VPN客户端程序是否正常运行;
若所述VPN客户端程序正常运行,则保持当前状态不变;
若所述VPN客户端程序不是正常运行,则主动启动VPN客户端程序。
和现有技术比,本发明的技术方案具有如下有益效果:
本发明提供一种传输通信方式确定方法,在终端中设置VPN客户端,在和终端通信的交换机旁路上设置VPN网关,VPN客户端运行进程的启动阶段,终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式为密文通信或者明文通信,即在VPN客户端、传输链路以及VPN网关正常运行下,通过VPN客户端以及VPN网关在终端和服务器之间进行密文通信,若VPN客户端、传输链路或者VPN网关出现故障,则VPN客户端会自动断开与VPN网关的连接,终端与服务器的通信不再经过VPN客户端以及VPN网关,通信从密文切换明文,不影响业务系统的正常通信。
进一步的,本发明提供的传输通信方式确定方法,能够满足铁路行业信息系统的加密传输方案的需求,即一方面可以实现采用密码技术在局域网内内部流转、查询数据流,保证文件的完整性和保密性,另一方面在加密系统故障情况下不影响业务系统的正常通信。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例数据传输系统的结构示意图。
图2为本发明实施例数据传输系统的密文传输结构示意图。
图3为本发明实施例终端通过VPN客户端以及VPN网关和服务器进行密文通信的示意图。
图4为本发明实施例数据传输系统的密文传输流程示意图。
图5为本发明实施例VPN客户端运行进程示意图。
图6为本发明实施例VPN客户端守护阶段执行流程示意图。
图7为本发明实施例VPN客户端的启动阶段执行流程示意图。
图8为本发明实施例VPN客户端的运行阶段执行流程示意图。
具体实施方式
下面将结合本发明的实施例,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本文中,术语“第一”、“第二”和其它类似词语并不意在暗示任何顺序、数量和重要性,而是仅仅用于对不同的元件进行区分。在本文中,术语“一”、“一个”和其它类似词语并不意在表示只存在一个所述事物,而是表示有关描述仅仅针对所述事物中的一个,所述事物可能具有一个或多个。在本文中,术语“包含”、“包括”和其它类似词语意在表示逻辑上的相互关系,而不能视作表示空间结构上的关系。例如,“A包括B”意在表示在逻辑上B属于A,而不表示在空间上B位于A的内部。另外,术语“包含”、“包括”和其它类似词语的含义应视为开放性的,而非封闭性的。例如,“A包括B”意在表示B属于A,但是B不一定构成A的全部,A还可能包括C、D、E等其它元素。
在本文中,术语“实施例”、“本实施例”、“优选实施例”、“一个实施例”并不表示有关描述仅仅适用于一个特定的实施例,而是表示这些描述还可能适用于另外一个或多个实施例中。本领域技术人员应理解,在本文中,任何针对某一个实施例所做的描述都可以与另外一个或多个实施例中的有关描述进行替代、组合、或者以其它方式结合,所述替代、组合、或者以其它方式结合所产生的新实施例是本领域技术人员能够容易想到的,属于本发明的保护范围。
在本文的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
如图1所示,本发明实施例提供一种数据传输系统,包括终端、VPN客户端、VPN网关以及服务器。
其中,终端可以包括处于不同位置不同VLAN的多台终端,即终端设置可以采用多VLAN自适应技术。
VPN网关采用旁路技术部署在核心交换机上,采用数据加密操作,在不更改现有网络拓扑和网络配置的情况下,实现对进出核心交换机数据的安全加密和解密。VPN网关可以采用IPSec VPN技术。
如图2所示,VPN网关包括数据接收模块、数据解密模块、数据封装模块、数据转发模块、数据加密模块。
VPN客户端安装在终端实现对进出维护终端数据的加密和解密,如图2所示,VPN客户端具有客户端加密模块、客户端发送模块、客户端解密模块、客户端接收模块。具体的VPN客户端可以以软件形式设置在终端内,作为微型插件占用资源小,对终端系统影响较小。
并且在终端中设置VPN客户端,终端侧可以根据传输数据重要性的程度灵活选择使用密文通信或者明文通信,适用于多种不同的业务场景。具体的,终端侧的VPN客户端设置了身份认证机制。若无需密文通信,终端侧可以通过输入密码等进行身份认证,认证通过后能够手动断开VPN客户端软件,进行正常的明文通信。若再次需要密文通信,终端侧可以手动点击连接按钮,实现密文通信,并且对于手动操作(断开或连接),VPN客户端软件都会有相应的日志记录。
通过VPN客户端以及VPN网关可以实现在终端和服务器之间进行密文通信,密文通信的过程中进行密文传输,如图2所示,密文通信采用ARP代理技术。
其中,通过VPN客户端以及VPN网关可以实现在终端和服务器之间进行密文通信,包括如下两种情形:
1.终端通过VPN客户端以及VPN网关和服务器进行密文通信。
具体的,如图3所示,终端发送ARP广播数据包,ARP广播数据包请求服务器的MAC地址。
VPN网关拦截所述ARP广播数据包,封装自身的MAC地址作为目的地址形成ARP回应数据报给终端,然后所述VPN网关代理终端去访问服务器。
2.服务器通过VPN客户端以及VPN网关和终端进行密文通信。
服务器发送ARP广播数据包,ARP广播数据包请求终端的MAC地址。
VPN网关拦截所述ARP广播数据包,封装自身的MAC地址作为目的地址形成ARP回应数据报给服务器,然后所述VPN网关代理服务器去访问终端(图中未示出)。
具体的,与密文通信方式对应,采用上述数据传输系统进行密文传输,包括如下两种情形,如图4所示:
1.终端通过所述VPN客户端以及VPN网关和服务器进行密文通信,在密文通信过程中进行密文传输,包括:
VPN客户端对终端发送数据进行加密操作,得到第一加密报文,并将所述第一加密报文转发给VPN网关;
VPN网关接收第一加密报文,进行解密处理,得到第一解密报文,将第一解密报文进行封装,并将封装后的第一解密报文发送给服务器。
具体包括如下步骤,
客户端加密模块对终端发送数据进行加密操作,得到第一加密报文,并发送给客户端发送模块。
客户端发送模块接收第一加密报文并转发给数据接收模块。
数据接收模块接收第一加密报文后,发送给第一数据解密模块。
第一数据解密模块接收第一加密报文,将第一加密报文进行解密处理,得到第一解密报文发送给数据封装模块。
数据封装模块接收第一解密报文后将目的MAC地址封装为服务器MAC地址,得到封装后的第一解密报文并发送给数据转发模块。
数据转发模块接收并转发封装后的第一解密报文给服务器。
2.服务器通过所述VPN客户端以及VPN网关和所述终端进行密文通信,在密文通信过程中进行密文传输,包括:
服务器接收第一解密报文,根据第一解密报文获取回复报文,并将回复报文转发给VPN网关。
VPN网关接收回复报文,进行数据封装,并将封装后的回复报文进行加密操作,得到第二加密报文,并将第二加密报文发送给VPN终端客户端。
VPN客户端接收第二加密报文,对第二加密报文进行解密处理,得到第二解密报文,并转发至终端的相应应用程序。
具体包括如下步骤,
服务器接收第一解密报文,根据第一解密报文获取回复报文,并将回复报文转发给数据接收模块。
数据接收模块接收回复报文后发送给数据封装模块。
数据封装模块接收回复报文后,将目的MAC地址封装为终端MAC地址,得到封装后的回复报文并将封装后的回复报文发送给数据加密模块。
数据加密模块将封装后的回复报文进行加密操作,得到第二加密报文,并将第二加密报文发送给数据转发模块。
数据转发模块接收并转发第二加密报文给客户端接收模块。
客户端接收模块接收并转发所述第二加密报文给客户端解密模块。
客户端解密模块接收第二加密报文,对所述第二加密报文进行解密处理,得到第二解密报文,并转发至终端的相应应用程序。
进一步的,如图5所示,上述VPN客户端运行进程包括启动模块、运行阶段和守护模块。对应的,VPN客户端包括启动阶段、运行阶段以及守护阶段。
启动模块具有终端开机自启动、终端休眠开机自启动、终端重启自启动功能,满足高可用性。
运行模块实现在VPN客户端运行过程中,对进出维护终端数据的加密和解密,保障通信数据的安全传输。
守护模块可以实时检测VPN客户端是否正常运行,一旦检测到运行状态异常,如VPN客户端关闭或VPN客户端进程结束,该守护模块可以通过重新启动VPN客户端或重新生成VPN客户端进程及时恢复VPN客户端的正常运行状态,实时守护VPN客户端的正常运行。如图6所示,为守护模块的守护示意图,具体包括如下步骤:
步骤013:终端检测VPN客户端程序是否正常运行;若VPN客户端程序正常运行,则执行步骤014,否则执行步骤015。
步骤014:保持当前状态不变。
步骤015:若VPN客户端程序不是正常运行,则主动启动VPN客户端程序。
并且,本发明的实施例中,终端在VPN客户端启动阶段以及运行阶段,可以根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间是进行密文通信还是明文通信,具体如下:
在VPN客户端启动阶段,如图7所示,
步骤001终端读取VPN客户端配置文件。
具体为,终端读取VPN客户端安装包中配置文件的IP信息。
步骤002终端比对本机网卡信息是否与配置文件的IP信息是否一致。
具体为,终端读取本机网卡信息,判断本机IP地址与配置文件中IP地址信息是否一致。
步骤003检测VPN网关是否存活,若所述VPN网关不处于存活状态,则执行步骤009,否则,执行步骤004。
具体的,通过心跳机制检测VPN网关是否存活。
步骤004调用系统接口,创建VPN虚拟网卡
具体为,通过系统接口,创建VPN虚拟网卡,VPN虚拟网卡的IP地址为上述本机IP地址。本机网卡IP地址修改为配置文件中的虚拟IP地址。
步骤005再次读取配置文件,创建用户。
具体为,读取配置文件的认证信息,创建用户。
步骤006终端通过VPN客户端尝试连接VPN网关,判断VPN客户端尝试连接VPN网关是否成功,成功则执行步骤007,否则执行步骤009。
步骤007建立VPN隧道。
优选可以建立IPSec VPN隧道。
步骤008终端与服务器之间通过VPN客户端以及VPN网关密文通信。
步骤009终端与服务器不经过VPN客户端以及VPN网关,而通过交换机直接进行明文通信。在VPN客户端运行阶段,如图8所示,
步骤010:根据心跳机制,判断VPN网关是否存活,若VPN网关处于不存活状态,则执行步骤012,否则执行步骤011。
具体的,终端读取VPN客户端配置文件,根据心跳机制,周期性判断VPN网关是否存活。
步骤011:保持状态不变。
具体为,若检测到VPN网关存活,则状态保持不变,即继续通过VPN客户端以及VPN网关在终端和服务器之间进行密文通信。
步骤012:断开VPN隧道,切换明文通信。
具体为,若检测到VPN网关不存活,则VPN客户端主动断开VPN网关连接,终端修改本机物理网卡为原来IP业务地址,终端与服务器的不经过VPN客户端以及VPN网关密文通信,切换成终端和服务器通过交换机直接进行明文通信。
采用上述方案,若VPN客户端、传输链路或者VPN网关出现故障,则VPN客户端会自动断开与VPN网关的连接,即VPN隧道会自动断开,终端上本地连接的网卡自动切换回实际的业务IP地址,与服务器的通信不再经过VPN客户端以及VPN网关,通信从密文切换明文,不影响业务系统的正常通信,且故障恢复时间与现有的IPSec VPN双机热备技术的恢复时间相当。
结合铁路信息系统的实际业务场景,本发明方案针对多种故障问题,提供密文链路切换成明文链路的功能,维持业务系统的正常运转。
(1)客户端故障:客户端发生故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
(2)链路故障:链路故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
(3)VPN网关故障:VPN网关故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
此外,本发明还能够适用于铁路信息系统多VLAN的需求,处于不同VLAN不同位置的终端之间的业务能够正常通信:
(1)多VLAN情况下,两台位于不同VLAN、均安装VPN客户端且与VPN网关正常连接的终端通信:
客户端故障:客户端发生故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
链路故障:链路故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
VPN网关故障:VPN网关故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
(2)多VLAN情况下,两台位于不同VLAN且均未安装VPN客户端的终端通信:
VPN网关故障:VPN网关故障,不影响两台终端的正常通信。
(3)多VLAN情况下,两台位于不同VLAN中的终端通信,一台安装VPN客户端且与VPN网关正常连接,一台未安装VPN客户端:
链路故障:链路故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
VPN网关故障:VPN网关故障,网络可以恢复明文通信,不影响业务;故障恢复,网络可以恢复密文通信,不影响业务。
综上所述,该技术方案采用旁路部署,不改变现有网络结构和网络规划,不会引起既有系统的修改,不影响既有系统的正常运行。当加密通道出现故障时,会自动将密文传输切换成明文传输,保证业务功能优先;当加密通道恢复时,会自动切换回密文,不影响业务系统的可用性。
以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员依然可以对本发明的具体实施方式进行修改或者等同替换,这些未脱离本发明精神和范围的任何修改或者等同替换,均在申请待批的本发明的权利要求保护范围之内。

Claims (8)

1.一种传输通信方式确定方法,其特征在于,所述通信方式包括明文通信和密文通信;所述方法包括如下步骤:
在终端中设置VPN客户端;
在和终端通信的交换机旁路上设置VPN网关;
VPN客户端的运行进程包括启动阶段,在启动阶段,所述终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式,具体包括:所述终端判断本机网卡信息是否与VPN客户端配置文件的IP信息一致;若本机网卡信息与VPN客户端配置文件的IP信息不一致,则所述终端和服务器通过交换机直接进行明文通信;若本机网卡信息与VPN客户端配置文件的IP信息一致,则继续判断VPN网关是否存活;若所述VPN网关不处于存活状态,则所述终端和服务器通过交换机直接进行明文通信;若所述VPN网关处于存活状态,则所述终端依次创建VPN虚拟网卡、再次读取VPN客户端配置文件创建用户以及通过VPN客户端尝试连接VPN网关;所述终端判断VPN客户端尝试连接VPN网关是否成功;若VPN客户端尝试连接VPN网关不成功,则所述终端和服务器通过交换机直接进行明文通信;若VPN客户端尝试连接VPN网关成功,则VPN客户端与所述VPN网关建立VPN隧道,通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信;
其中,终端侧的VPN客户端设置有身份认证机制;若无需密文通信,终端侧通过输入密码进行身份认证,认证通过后能够手动断开VPN客户端软件,进行正常的明文通信;若再次需要密文通信,终端侧手动点击连接按钮,实现密文通信;对于手动操作断开或连接,VPN客户端软件都会有相应的日志记录。
2.根据权利要求1所述的传输通信方式确定方法,其特征在于,所述VPN客户端的运行进程还包括运行阶段;
在运行阶段,所述终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式。
3.根据权利要求2所述的传输通信方式确定方法,其特征在于,
在运行阶段,所述终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式,具体包括:
所述终端判断VPN网关是否存活;
若所述VPN网关处于不存活状态,则所述终端和服务器通过交换机直接进行明文通信;
若所述VPN网关处于存活状态,则继续通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信。
4.根据权利要求1所述的传输通信方式确定方法,其特征在于,所述VPN客户端的运行进程还包括守护阶段;
在守护阶段,所述终端对所述VPN客户端运行阶段的运行状态进行守护。
5.根据权利要求4所述的传输通信方式确定方法,其特征在于,
在守护阶段,所述终端对所述VPN客户端运行阶段的运行状态进行守护,包括:
所述终端检测VPN客户端程序是否正常运行;
若所述VPN客户端程序正常运行,则保持当前状态不变;
若所述VPN客户端程序不是正常运行,则主动启动VPN客户端程序。
6.一种传输通信方式确定系统,其特征在于,所述通信方式包括明文通信和密文通信;所述系统包括VPN客户端、VPN网关以及终端;
所述VPN客户端设置在终端中;
所述VPN网关设置在和终端通信的交换机旁路上;
VPN客户端的运行进程包括启动阶段,在启动阶段,所述终端用于,根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式,具体包括:所述终端判断本机网卡信息是否与VPN客户端配置文件的IP信息一致;若本机网卡信息与VPN客户端配置文件的IP信息不一致,则所述终端和服务器通过交换机直接进行明文通信;若本机网卡信息与VPN客户端配置文件的IP信息一致,则继续判断VPN网关是否存活;若所述VPN网关不处于存活状态,则所述终端和服务器通过交换机直接进行明文通信;若所述VPN网关处于存活状态,则所述终端依次创建VPN虚拟网卡、再次读取VPN客户端配置文件创建用户以及通过VPN客户端尝试连接VPN网关;所述终端判断VPN客户端尝试连接VPN网关是否成功;若VPN客户端尝试连接VPN网关不成功,则所述终端和服务器通过交换机直接进行明文通信;若VPN客户端尝试连接VPN网关成功,则VPN客户端与所述VPN网关建立VPN隧道,通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信;
其中,VPN客户端设置有身份认证单元和日志单元;身份认证单元用于认证身份,若无需密文通信,终端侧通过输入密码进行身份认证,认证通过后能够手动断开VPN客户端软件,进行正常的明文通信;若再次需要密文通信,终端侧手动点击连接按钮,实现密文通信;日志单元用于记录操作,对于手动操作断开或连接,VPN客户端软件都会有相应的日志记录。
7.根据权利要求6所述的传输通信方式确定系统,其特征在于,所述VPN客户端的运行进程还包括运行阶段;
在运行阶段,所述终端还用于,根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间的通信方式,具体包括:
所述终端判断VPN网关是否存活;
若所述VPN网关处于不存活状态,则所述终端和服务器通过交换机直接进行明文通信;
若所述VPN网关处于存活状态,则继续通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信。
8.根据权利要求6所述的传输通信方式确定系统,其特征在于,所述VPN客户端的运行进程还包括守护阶段;
在守护阶段,所述终端还用于,对所述VPN客户端运行阶段的运行状态进行守护,具体包括:
所述终端检测VPN客户端程序是否正常运行;
若所述VPN客户端程序正常运行,则保持当前状态不变;
若所述VPN客户端程序不是正常运行,则主动启动VPN客户端程序。
CN202210383085.0A 2022-04-13 2022-04-13 一种传输通信方式确定方法及其系统 Active CN114500177B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210383085.0A CN114500177B (zh) 2022-04-13 2022-04-13 一种传输通信方式确定方法及其系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210383085.0A CN114500177B (zh) 2022-04-13 2022-04-13 一种传输通信方式确定方法及其系统

Publications (2)

Publication Number Publication Date
CN114500177A CN114500177A (zh) 2022-05-13
CN114500177B true CN114500177B (zh) 2022-08-12

Family

ID=81487838

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210383085.0A Active CN114500177B (zh) 2022-04-13 2022-04-13 一种传输通信方式确定方法及其系统

Country Status (1)

Country Link
CN (1) CN114500177B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115412160B (zh) * 2022-11-01 2023-01-13 清华大学 面向卫星测控链路的测控数据传输方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021238263A1 (zh) * 2020-05-29 2021-12-02 苏州浪潮智能科技有限公司 一种链路检测方法及系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2002951013A0 (en) * 2002-08-27 2002-09-12 Sunbay Software Ag System for improved network data access
US8228830B2 (en) * 2008-01-04 2012-07-24 International Business Machines Corporation Using a transmission control protocol (TCP) channel to save power for virtual private networks (VPNs) that use user datagram protocol (UDP)
CN102065059B (zh) * 2009-11-16 2013-12-04 华为技术有限公司 安全访问控制方法、客户端及系统
CN104168173B (zh) * 2010-08-20 2018-01-16 华为技术有限公司 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
JP6107498B2 (ja) * 2013-07-17 2017-04-05 富士通株式会社 通信方法、通信装置及び通信プログラム
CN108616912B (zh) * 2018-08-02 2021-05-18 竞技世界(北京)网络技术有限公司 一种网络质量优化方法及装置
CN111756751B (zh) * 2020-06-28 2022-10-21 杭州迪普科技股份有限公司 报文传输方法、装置及电子设备
CN112104511B (zh) * 2020-10-30 2021-02-19 信联科技(南京)有限公司 一种基于单臂部署的vpn网关无感知切换方法及装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021238263A1 (zh) * 2020-05-29 2021-12-02 苏州浪潮智能科技有限公司 一种链路检测方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
蒙强."CTC与TSRS通信异常中断故障分析及解决方案探讨".《铁道通信信号》.2020,(第01期), *

Also Published As

Publication number Publication date
CN114500177A (zh) 2022-05-13

Similar Documents

Publication Publication Date Title
US11190491B1 (en) Method and apparatus for maintaining a resilient VPN connection
CN110996318B (zh) 一种变电站智能巡检机器人安全通信接入系统
EP3432523B1 (en) Method and system for connecting a terminal to a virtual private network
US7394761B2 (en) System and method for delivering messages using alternate modes of communication
US7000121B2 (en) Computer systems, in particular virtual private networks
US9426678B2 (en) Implementing dual-homed node protection
US20220210130A1 (en) Method and apparatus for maintaining a resilient vpn connection
CN102833167B (zh) 局域网间数据传输方法和系统
CN114500177B (zh) 一种传输通信方式确定方法及其系统
CN112422348B (zh) 一种电力信息数据采集通信系统及方法
CN101753401A (zh) 一种实现IPSec虚拟专用网隧道备份和负载的方法
CN115499177A (zh) 云桌面访问方法、零信任网关、云桌面客户端和服务端
Mehner et al. No need to marry to change your name! attacking profinet io automation networks using dcp
US20230370848A1 (en) Methods for configuring a user apparatus, negotiating with a network entity, and managing a connection, and associated devices
CN111049648A (zh) 一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法
CN117956450A (zh) 一种通信公网与通信专网的协作通信方法和系统
CN114465848B (zh) 一种基于密文的数据传输方法及其系统
JPH1141280A (ja) 通信システム、vpn中継装置、記録媒体
EP2557727B1 (en) Method and system for multi-access authentication in next generation network
CN111526018A (zh) 一种基于电力配电的通信加密系统及通信加密方法
JP7526827B2 (ja) サービス伝送方法、装置、ネットワーク機器及び記憶媒体
WO2011143891A1 (zh) 用户业务信息备份方法和装置
JP2004328563A (ja) 暗号通信装置および暗号通信システム
CN114071458A (zh) 一种配网差动保护方法及装置
CN114285594A (zh) 一种软件实现设计的密钥协商方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant