CN114745226A - 基于交换中心的企业间跨域安全交换方法 - Google Patents

Abstract

本发明公开了基于交换中心的企业间跨域安全交换方法，包括以下步骤：步骤一：通过工业互联网交换中心为预设区域内的各个网络的互通提供一个快速的交换通道，为各个企业内部、企业间实现工业互联网数据的交换共享提供支持；步骤二：在工业互联网交换中心内实现不同互联接入企业/单位的可信网间互联及数据交换，可根据各企业/单位不同类型的可信数据交换需求，在网络层面提供多种类型可信网间互联和数据交换服务；步骤三：通过统一身份认证平台为工业互联网各企业/共享交换服务平台节点的用户和设备提供认证管理。本发明能够实现跨设备、跨系统、跨企业、跨区域、跨产业的全面互联互通，并且更加的安全可靠。

Description

基于交换中心的企业间跨域安全交换方法

技术领域

本发明涉数据交换领域，具体涉及基于交换中心的企业间跨域安全交换方法。

背景技术

当前，工业互联网数据资源总量呈爆炸性增长，但是各地区各行业的数据资源间存在孤立、分散、封闭等问题，数据价值未能得到有效利用，通过开展跨行业的数据可信交换共享，实现信息的高效整合和各种能源及资源的集中优化，是国家战略发展的要求。

在工业互联网数据可信交换共享服务平台建设过程面临如下一些关键问题亟需解决：

1、连通性，实现跨设备、跨系统、跨企业、跨区域、跨产业的全面互联互通

2、安全性，工业互联网企业用户的数据交换前提是安全可信，如何满足工业互联网数据交换的安全需求，保证工业互联网数据可信交换共享服务平台各层之间数据交换的安全性，解决系统中各参与实体的身份认证、数据安全、传输安全、访问控制等多种安全问题。

发明内容

本发明所要解决的技术问题在于：如何解决现有的安全交换方法，存在着各参与实体的身份认证、数据安全、传输安全、访问控制等安全性较差的问题，提供了基于交换中心的企业间跨域安全交换方法。

本发明是通过以下技术方案解决上述技术问题的，本发明包括以下步骤：

步骤一：通过工业互联网交换中心为预设区域内的各个网络的互通提供一个快速的交换通道，为各个企业内部、企业间实现工业互联网数据的交换共享提供支持；

步骤二：在工业互联网交换中心内实现不同互联接入企业/单位的可信网间互联及数据交换，可根据各企业/单位不同类型的可信数据交换需求，在网络层面提供多种类型可信网间互联和数据交换服务；

步骤三：通过统一身份认证平台为工业互联网各企业/共享交换服务平台节点的用户和设备提供认证管理；

步骤四：通过步骤一到步骤三的过程在互联双方直接交换的数据流量较大时，交换中心可为私有互联双方开启专用VLAN，双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。

进一步在于，所述步骤二中主要采用多网多边可信互联实现可信数据交换，以及双边直连实现可信数据交换两种方式；可信网间数据交换主要通过可信路由交换和二层交换网络的VLAN分区来实现。

进一步在于，所述步骤三中的统一身份认证平台的功能包括用户身份认证、设备身份认证、认证方式与策略管理、身份凭据与单点登录、认证风险管理功能，其支持大批量证书的高效签发及管理需要有高速的数据库访问技术作为支撑，支持对密钥的生成、存储、使用、销毁、备份全生命周期管理以及设备标识管理，并提供基于证书吊销列表CRL和OCSP的证书状态查询服务，提供实现对工业互联网的各级节点跨区域、跨行业、跨企业、跨协议的设备、人员和机构的互信互认能力。

进一步在于，所述工业互联网交换中心能够进行的交换过程包括：可信路由交换服务、可信多网多边互联及数据交换与可信双边直联；

其中，可信路由交换服务的具体过程如下：可信路由交换服务主要由设置在交换中心的可信路由服务器以及安全可信服务系统共同实现，可信路由服务器收集各个企业/单位接入网络通告的路由，利用可信安全服务系统进行可信路由认证后，形成分区路由表，通过路由服务器进行BGP路由广播发布，实现不同信任区域的BGP路由通告广播服务；

可信多网多边互联及数据交换的具体过程如下：通过在交换中心的核心、接入交换机设备上设置不同VLAN，实现不同信任区域的网间互联划分，各企业/单位网络互联接入不同的VLAN，在不同VLAN中进行可信的数据交换；

开放交换区域：在交换设备上设置1个公共VLAN，作为交换中心开放互联(OpenPeering)区域，接受所有网络的接入互联和数据交换；

信任交换区域：根据不同的信任原则，在交换设备设置不同VLAN来标识不同类型的信任交换区域；通常可以使用选择性(Selective Peering)或者限制性(RestrictedPeering)特性，允许符合信任条件的企业网络接入相应的VLAN，进行网间数据交换；

可信双边直联的具体过程如下：当互联双方直接交换的数据流量较大时，交换中心可为私有互联双方开启专用VLAN，双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。

进一步在于，所述步骤一到步骤四基于数据可信交换共享平台数字证书认证系统进行。

进一步在于，所述数据可信交换共享平台数字证书认证系统包括离线CA、在线CA、密钥管理系统、本地CA、内部RA与外部RA；

离线CA用于负责管理CA根，根密钥对由加密机产生和保存，同时签发二级根CA证书，由在线CA离线提交证书请求文件到离线CA进行签发；

在线CA用于负责管理二级CA根和二级子CA根，根密钥由加密机产生和保存，通过生成证书请求文件到离线CA进行二级CA根证书签发，同时在线CA能够根据策略配置多个二级CA和二级子CA，二级CA包括设备CA和服务CA，二级子CA主要面向能够联网的设备、用户和机构提供在线申请证书服务；

密钥管理系统(KM)用于负责加密密钥对的产生、分发、注销、恢复等功能，由在线CA调用接口获取服务，密钥对由加密机生成；

本地CA用于面向不能在线接入在线CA的应用(主要为生成系统)，在本地建设二级子CA提供本地签发服务，通过本地RA由生成系统通过接口调用获取服务，对签发的证书采用同步的方式发送到在线CA；

内部RA用于面向能够在线接入在线CA的内部应用和机构，部署RA系统获取证书签发服务；

外部RA用于面向能够在线接入在线CA的外部应用和机构，部署RA系统获取证书签发服务。

本发明相比现有技术具有以下优点：该基于交换中心的企业间跨域安全交换方法，通过设计包括基于交换中心互联的网络交换骨干平台、多级安全接入防护平台、统一身份认证平台等多个平台，为各个网络(原本是互相隔离的)提供了快速交换通道；针对工业互联网存在的安全风险，为保证工业互联网数据可信交换共享服务平台各层之间数据交换的安全性，通过嵌入式安全模块、安全接入网关等安全产品，配合国家级、企业级证书/密钥管理与目录服务系统、统一标识管理系统和安全态势感知等平台支撑，为工业互联网数据可信交换提供多级安全接入保障，进而将工业互联网数据形成一个由自下而上安全信息流和自上而下的安全决策流构成的工业数字化应用优化闭环，网络联通是基础，通过设置在交换中心的可信路由服务器以及安全可信服务系统实现可信路由交换服务，实现不同互联接入企业/单位的可信网间互联及数据交换，安全数据交换是保障，通过构建围绕以设备身份、人员身份、数据身份为核心的统一身份认证服务平台，采用数字签名和验签，轻量级数据加解密，数字证书等技术来保障数据来源(数据产生主体)的真实性、数据内容的完整性(没有经过非法篡改、伪造、删减等)和一致性(确保接收的数据确定就是发送方想要发送的数据)、数据内容的保密性(传输过程、存储过程、利用过程，让该系统更加值得推广使用。

附图说明

图1是本发明的流程图；

图2是本发明的数字可信交换共享平台数字认证系统功能图；

图3是本发明的工业互联网交换平台企业接入流程图。

具体实施方式

下面对本发明的实施例作详细说明，本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

如图1～3所示，本实施例提供一种技术方案：基于交换中心的企业间跨域安全交换方法，本发明包括以下步骤：

步骤一：通过工业互联网交换中心为预设区域内的各个网络的互通提供一个快速的交换通道，为各个企业内部、企业间实现工业互联网数据的交换共享提供支持；

步骤二：在工业互联网交换中心内实现不同互联接入企业/单位的可信网间互联及数据交换，可根据各企业/单位不同类型的可信数据交换需求，在网络层面提供多种类型可信网间互联和数据交换服务；

步骤三：通过统一身份认证平台为工业互联网各企业/共享交换服务平台节点的用户和设备提供认证管理；

步骤四：通过步骤一到步骤三的过程在互联双方直接交换的数据流量较大时，交换中心可为私有互联双方开启专用VLAN，双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。

过设计包括基于交换中心互联的网络交换骨干平台、多级安全接入防护平台、统一身份认证平台等多个平台，为各个网络(原本是互相隔离的)提供了快速交换通道；针对工业互联网存在的安全风险，为保证工业互联网数据可信交换共享服务平台各层之间数据交换的安全性，通过嵌入式安全模块、安全接入网关等安全产品，配合国家级、企业级证书/密钥管理与目录服务系统、统一标识管理系统和安全态势感知等平台支撑，为工业互联网数据可信交换提供多级安全接入保障，进而将工业互联网数据形成一个由自下而上安全信息流和自上而下的安全决策流构成的工业数字化应用优化闭环，网络联通是基础，通过设置在交换中心的可信路由服务器以及安全可信服务系统实现可信路由交换服务，实现不同互联接入企业/单位的可信网间互联及数据交换，安全数据交换是保障，通过构建围绕以设备身份、人员身份、数据身份为核心的统一身份认证服务平台，采用数字签名和验签，轻量级数据加解密，数字证书等技术来保障数据来源(数据产生主体)的真实性、数据内容的完整性(没有经过非法篡改、伪造、删减等)和一致性(确保接收的数据确定就是发送方想要发送的数据)、数据内容的保密性(传输过程、存储过程、利用过程，让该系统更加值得推广使用。

所述步骤二中主要采用多网多边可信互联实现可信数据交换，以及双边直连实现可信数据交换两种方式；可信网间数据交换主要通过可信路由交换和二层交换网络的VLAN分区来实现。

所述步骤三中的统一身份认证平台的功能包括用户身份认证、设备身份认证、认证方式与策略管理、身份凭据与单点登录、认证风险管理功能，其支持大批量证书的高效签发及管理需要有高速的数据库访问技术作为支撑，支持对密钥的生成、存储、使用、销毁、备份全生命周期管理以及设备标识管理，并提供基于证书吊销列表CRL和OCSP的证书状态查询服务，提供实现对工业互联网的各级节点跨区域、跨行业、跨企业、跨协议的设备、人员和机构的互信互认能力。

所述工业互联网交换中心能够进行的交换过程包括：可信路由交换服务、可信多网多边互联及数据交换与可信双边直联；

其中，可信路由交换服务的具体过程如下：可信路由交换服务主要由设置在交换中心的可信路由服务器以及安全可信服务系统共同实现，可信路由服务器收集各个企业/单位接入网络通告的路由，利用可信安全服务系统进行可信路由认证后，形成分区路由表，通过路由服务器进行BGP路由广播发布，实现不同信任区域的BGP路由通告广播服务；

可信多网多边互联及数据交换的具体过程如下：通过在交换中心的核心、接入交换机设备上设置不同VLAN，实现不同信任区域的网间互联划分，各企业/单位网络互联接入不同的VLAN，在不同VLAN中进行可信的数据交换；

开放交换区域：在交换设备上设置1个公共VLAN，作为交换中心开放互联(OpenPeering)区域，接受所有网络的接入互联和数据交换；

信任交换区域：根据不同的信任原则，在交换设备设置不同VLAN来标识不同类型的信任交换区域；通常可以使用选择性(Selective Peering)或者限制性(RestrictedPeering)特性，允许符合信任条件的企业网络接入相应的VLAN，进行网间数据交换；

可信双边直联的具体过程如下：当互联双方直接交换的数据流量较大时，交换中心可为私有互联双方开启专用VLAN，双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。

进一步在于，所述步骤一到步骤四基于数据可信交换共享平台数字证书认证系统进行。

进一步在于，所述数据可信交换共享平台数字证书认证系统包括离线CA、在线CA、密钥管理系统、本地CA、内部RA与外部RA；

离线CA用于负责管理CA根，根密钥对由加密机产生和保存，同时签发二级根CA证书，由在线CA离线提交证书请求文件到离线CA进行签发；

在线CA用于负责管理二级CA根和二级子CA根，根密钥由加密机产生和保存，通过生成证书请求文件到离线CA进行二级CA根证书签发，同时在线CA能够根据策略配置多个二级CA和二级子CA，二级CA包括设备CA和服务CA，二级子CA主要面向能够联网的设备、用户和机构提供在线申请证书服务；

密钥管理系统(KM)用于负责加密密钥对的产生、分发、注销、恢复等功能，由在线CA调用接口获取服务，密钥对由加密机生成；

本地CA用于面向不能在线接入在线CA的应用(主要为生成系统)，在本地建设二级子CA提供本地签发服务，通过本地RA由生成系统通过接口调用获取服务，对签发的证书采用同步的方式发送到在线CA；

内部RA用于面向能够在线接入在线CA的内部应用和机构，部署RA系统获取证书签发服务；

外部RA用于面向能够在线接入在线CA的外部应用和机构，部署RA系统获取证书签发服务。

1、授权数字证书及相关安装介质：云平台-管理后台应用通过调用内部RA系统Api获取证书签发服务，签发企业数字证书，参考上图-数字可信交换共享平台数字认证系统；

2、企业平台系统激活：企业接入端首次部署启动时携带企业标识，激活申请签名(调用企业侧本地加密机)信息向云平台申请激活，云平台-管理后台应用签名验证成功后完成激活流程，将该企业及用户等信息同步到企业接入端系统，企业安全接入流程完毕；

说明:

1:数据提供者企业A、消费数据企业B都是工业互联网数据共享平台的入驻企业，企业A与企业B之间是网络不可达的，但都能和云平台进行通信(云平台部署在交换中心，企业网络与交换中心网络签署并遵守双边协议，建立专用对等互联网络，既满足和工业互联网交换平台的网络连接需求，又保留原各个企业间网络的隔离性)

2:企业B获取到企业A的共享数据集(传递过来的是企业A数据集的引用描述信息，数据还在企业A那里)后，可以通过提交一个交换任务，将跨域的企业A的数据通过云平台为媒介交换到企业B的本地数据库中；

3、交换过程的安全保障设计

企业接入端和云平台通信，传输通道采用HTTPs进行加密保护

不可抵赖性保护：企业接入端和云平台间的关键业务交互需实现数字签名、签名验证，从而确保业务操作的实体身份，保障数据消费端以及数据来源(数据产生主体)的真实性；

交换数据的机密性保护：采用数字信封技术确保交换数据内容的完整性(没有经过非法篡改、伪造、删减等)和传输过程的保密性，数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。数字信封中采用了单钥加密体制和公钥密码体制。数据发送方(企业A)首先利用随机产生的对称密码加密信息(因为非对称加密技术的速度比较慢)，再利用接收方(企业B)的公钥加密对称密码，在传递信息时，信息接收方(企业B)要解密信息时，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得到的信息；

4、交换过程的传输效率设计:云平台引入了分布式消息系统Kafka中间件作为数据传输的管道，利用kafka的高吞吐量、低延迟、持久性、可扩展性以及容错性等特点，数据发送方作为生产者向kafka push数据，数据接收方作为消费者从kafka拉取数据，大大提高了整个数据交换系统的可靠性及传输效率。

本发明基于交换中心的可信路由交换服务，企业网络与交换中心网络签署并遵守双边协议，建立专用对等互联网络，既满足和工业互联网交换平台的网络连接需求，又保留原各个企业间网络的隔离性；

企业安全接入规范，首先在交换中心构建统一身份认证平台，提供实现对工业互联网的各级节点跨区域、跨行业、跨企业、跨协议的设备、人员和机构的互信互认能力，云平台对申请入驻企业的资质进行严格的审查，审查通过后，由云平台签发企业端数字证书。在企业侧部署数据交换企业端平台，需持有云平台签发的数字证书激活后，才能使用；

企业间跨域安全交换流程,以部署在交换中心的云平台能够和各个企业网络连通为基础，通过交换中心统一身份认证平台提供跨企业间互信互认能力为安全保障，各企业接入端与工业互联网服务平台之间的通讯建立SSL通道来保证通讯过程中数据的安全，在各个企业跨网络数据交换的业务层面的通讯，通过数字信封的加解密方案，既能保障数据交换过程中的安全需求，也满足海量数据交换对传输效率的要求。

该跨域安全交换技术可以应用在跨越多个网域，涉及多个不同的信任主体的业务场景；实现不同信任区域的网间互联，不同信任主体间工业生产的资源优化和协同制造。通过中心侧的统一身份认证平台，主要实现密钥的生成与分发，为需要进行身份认证的实体提供安全接入、身份认证等服务。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (6)

1.基于交换中心的企业间跨域安全交换方法，其特征在于，包括以下步骤：

步骤一：通过工业互联网交换中心为预设区域内的各个网络的互通提供一个快速的交换通道，为各个企业内部、企业间实现工业互联网数据的交换共享提供支持；

步骤二：在工业互联网交换中心内实现不同互联接入企业/单位的可信网间互联及数据交换，可根据各企业/单位不同类型的可信数据交换需求，在网络层面提供多种类型可信网间互联和数据交换服务；

步骤三：通过统一身份认证平台为工业互联网各企业/共享交换服务平台节点的用户和设备提供认证管理；

步骤四：通过步骤一到步骤三的过程在互联双方直接交换的数据流量较大时，交换中心可为私有互联双方开启专用VLAN，双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。

2.根据权利要求1所述的基于交换中心的企业间跨域安全交换方法，其特征在于：所述步骤二中主要采用多网多边可信互联实现可信数据交换，以及双边直连实现可信数据交换两种方式；可信网间数据交换主要通过可信路由交换和二层交换网络的VLAN分区来实现。

3.根据权利要求1所述的基于交换中心的企业间跨域安全交换方法，其特征在于：所述步骤三中的统一身份认证平台的功能包括用户身份认证、设备身份认证、认证方式与策略管理、身份凭据与单点登录、认证风险管理功能，其支持大批量证书的高效签发及管理需要有高速的数据库访问技术作为支撑，支持对密钥的生成、存储、使用、销毁、备份全生命周期管理以及设备标识管理，并提供基于证书吊销列表CRL和OCSP的证书状态查询服务，提供实现对工业互联网的各级节点跨区域、跨行业、跨企业、跨协议的设备、人员和机构的互信互认能力。

4.根据权利要求1所述的基于交换中心的企业间跨域安全交换方法，其特征在于：所述工业互联网交换中心能够进行的交换过程包括：可信路由交换服务、可信多网多边互联及数据交换与可信双边直联；

其中，可信路由交换服务的具体过程如下：可信路由交换服务主要由设置在交换中心的可信路由服务器以及安全可信服务系统共同实现，可信路由服务器收集各个企业/单位接入网络通告的路由，利用可信安全服务系统进行可信路由认证后，形成分区路由表，通过路由服务器进行BGP路由广播发布，实现不同信任区域的BGP路由通告广播服务；

可信多网多边互联及数据交换的具体过程如下：通过在交换中心的核心、接入交换机设备上设置不同VLAN，实现不同信任区域的网间互联划分，各企业/单位网络互联接入不同的VLAN，在不同VLAN中进行可信的数据交换；

开放交换区域：在交换设备上设置1个公共VLAN，作为交换中心开放互联区域，接受所有网络的接入互联和数据交换；

信任交换区域：根据不同的信任原则，在交换设备设置不同VLAN来标识不同类型的信任交换区域；通常可以使用选择性或者限制性特性，允许符合信任条件的企业网络接入相应的VLAN，进行网间数据交换；

可信双边直联的具体过程如下：当互联双方直接交换的数据流量较大时，交换中心可为私有互联双方开启专用VLAN，双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。

5.根据权利要求1所述的基于交换中心的企业间跨域安全交换方法，其特征在于：所述步骤一到步骤四基于数据可信交换共享平台数字证书认证系统进行。

6.根据权利要求5所述的基于交换中心的企业间跨域安全交换方法，其特征在于：所述数据可信交换共享平台数字证书认证系统包括离线CA、在线CA、密钥管理系统、本地CA、内部RA与外部RA；

离线CA用于负责管理CA根，根密钥对由加密机产生和保存，同时签发二级根CA证书，由在线CA离线提交证书请求文件到离线CA进行签发；

在线CA用于负责管理二级CA根和二级子CA根，根密钥由加密机产生和保存，通过生成证书请求文件到离线CA进行二级CA根证书签发，同时在线CA能够根据策略配置多个二级CA和二级子CA，二级CA包括设备CA和服务CA，二级子CA主要面向能够联网的设备、用户和机构提供在线申请证书服务；

密钥管理系统(KM)用于负责加密密钥对的产生、分发、注销、恢复等功能，由在线CA调用接口获取服务，密钥对由加密机生成；

本地CA用于面向不能在线接入在线CA的应用，在本地建设二级子CA提供本地签发服务，通过本地RA由生成系统通过接口调用获取服务，对签发的证书采用同步的方式发送到在线CA；

内部RA用于面向能够在线接入在线CA的内部应用和机构，部署RA系统获取证书签发服务；

外部RA用于面向能够在线接入在线CA的外部应用和机构，部署RA系统获取证书签发服务。

Images