CN114745226A - 基于交换中心的企业间跨域安全交换方法 - Google Patents
基于交换中心的企业间跨域安全交换方法 Download PDFInfo
- Publication number
- CN114745226A CN114745226A CN202210336106.3A CN202210336106A CN114745226A CN 114745226 A CN114745226 A CN 114745226A CN 202210336106 A CN202210336106 A CN 202210336106A CN 114745226 A CN114745226 A CN 114745226A
- Authority
- CN
- China
- Prior art keywords
- exchange
- trusted
- data
- interconnection
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P80/00—Climate change mitigation technologies for sector-wide applications
- Y02P80/10—Efficient use of energy, e.g. using compressed air or pressurized fluid as energy carrier
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于交换中心的企业间跨域安全交换方法,包括以下步骤:步骤一:通过工业互联网交换中心为预设区域内的各个网络的互通提供一个快速的交换通道,为各个企业内部、企业间实现工业互联网数据的交换共享提供支持;步骤二:在工业互联网交换中心内实现不同互联接入企业/单位的可信网间互联及数据交换,可根据各企业/单位不同类型的可信数据交换需求,在网络层面提供多种类型可信网间互联和数据交换服务;步骤三:通过统一身份认证平台为工业互联网各企业/共享交换服务平台节点的用户和设备提供认证管理。本发明能够实现跨设备、跨系统、跨企业、跨区域、跨产业的全面互联互通,并且更加的安全可靠。
Description
技术领域
本发明涉数据交换领域,具体涉及基于交换中心的企业间跨域安全交换方法。
背景技术
当前,工业互联网数据资源总量呈爆炸性增长,但是各地区各行业的数据资源间存在孤立、分散、封闭等问题,数据价值未能得到有效利用,通过开展跨行业的数据可信交换共享,实现信息的高效整合和各种能源及资源的集中优化,是国家战略发展的要求。
在工业互联网数据可信交换共享服务平台建设过程面临如下一些关键问题亟需解决:
1、连通性,实现跨设备、跨系统、跨企业、跨区域、跨产业的全面互联互通
2、安全性,工业互联网企业用户的数据交换前提是安全可信,如何满足工业互联网数据交换的安全需求,保证工业互联网数据可信交换共享服务平台各层之间数据交换的安全性,解决系统中各参与实体的身份认证、数据安全、传输安全、访问控制等多种安全问题。
发明内容
本发明所要解决的技术问题在于:如何解决现有的安全交换方法,存在着各参与实体的身份认证、数据安全、传输安全、访问控制等安全性较差的问题,提供了基于交换中心的企业间跨域安全交换方法。
本发明是通过以下技术方案解决上述技术问题的,本发明包括以下步骤:
步骤一:通过工业互联网交换中心为预设区域内的各个网络的互通提供一个快速的交换通道,为各个企业内部、企业间实现工业互联网数据的交换共享提供支持;
步骤二:在工业互联网交换中心内实现不同互联接入企业/单位的可信网间互联及数据交换,可根据各企业/单位不同类型的可信数据交换需求,在网络层面提供多种类型可信网间互联和数据交换服务;
步骤三:通过统一身份认证平台为工业互联网各企业/共享交换服务平台节点的用户和设备提供认证管理;
步骤四:通过步骤一到步骤三的过程在互联双方直接交换的数据流量较大时,交换中心可为私有互联双方开启专用VLAN,双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。
进一步在于,所述步骤二中主要采用多网多边可信互联实现可信数据交换,以及双边直连实现可信数据交换两种方式;可信网间数据交换主要通过可信路由交换和二层交换网络的VLAN分区来实现。
进一步在于,所述步骤三中的统一身份认证平台的功能包括用户身份认证、设备身份认证、认证方式与策略管理、身份凭据与单点登录、认证风险管理功能,其支持大批量证书的高效签发及管理需要有高速的数据库访问技术作为支撑,支持对密钥的生成、存储、使用、销毁、备份全生命周期管理以及设备标识管理,并提供基于证书吊销列表CRL和OCSP的证书状态查询服务,提供实现对工业互联网的各级节点跨区域、跨行业、跨企业、跨协议的设备、人员和机构的互信互认能力。
进一步在于,所述工业互联网交换中心能够进行的交换过程包括:可信路由交换服务、可信多网多边互联及数据交换与可信双边直联;
其中,可信路由交换服务的具体过程如下:可信路由交换服务主要由设置在交换中心的可信路由服务器以及安全可信服务系统共同实现,可信路由服务器收集各个企业/单位接入网络通告的路由,利用可信安全服务系统进行可信路由认证后,形成分区路由表,通过路由服务器进行BGP路由广播发布,实现不同信任区域的BGP路由通告广播服务;
可信多网多边互联及数据交换的具体过程如下:通过在交换中心的核心、接入交换机设备上设置不同VLAN,实现不同信任区域的网间互联划分,各企业/单位网络互联接入不同的VLAN,在不同VLAN中进行可信的数据交换;
开放交换区域:在交换设备上设置1个公共VLAN,作为交换中心开放互联(OpenPeering)区域,接受所有网络的接入互联和数据交换;
信任交换区域:根据不同的信任原则,在交换设备设置不同VLAN来标识不同类型的信任交换区域;通常可以使用选择性(Selective Peering)或者限制性(RestrictedPeering)特性,允许符合信任条件的企业网络接入相应的VLAN,进行网间数据交换;
可信双边直联的具体过程如下:当互联双方直接交换的数据流量较大时,交换中心可为私有互联双方开启专用VLAN,双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。
进一步在于,所述步骤一到步骤四基于数据可信交换共享平台数字证书认证系统进行。
进一步在于,所述数据可信交换共享平台数字证书认证系统包括离线CA、在线CA、密钥管理系统、本地CA、内部RA与外部RA;
离线CA用于负责管理CA根,根密钥对由加密机产生和保存,同时签发二级根CA证书,由在线CA离线提交证书请求文件到离线CA进行签发;
在线CA用于负责管理二级CA根和二级子CA根,根密钥由加密机产生和保存,通过生成证书请求文件到离线CA进行二级CA根证书签发,同时在线CA能够根据策略配置多个二级CA和二级子CA,二级CA包括设备CA和服务CA,二级子CA主要面向能够联网的设备、用户和机构提供在线申请证书服务;
密钥管理系统(KM)用于负责加密密钥对的产生、分发、注销、恢复等功能,由在线CA调用接口获取服务,密钥对由加密机生成;
本地CA用于面向不能在线接入在线CA的应用(主要为生成系统),在本地建设二级子CA提供本地签发服务,通过本地RA由生成系统通过接口调用获取服务,对签发的证书采用同步的方式发送到在线CA;
内部RA用于面向能够在线接入在线CA的内部应用和机构,部署RA系统获取证书签发服务;
外部RA用于面向能够在线接入在线CA的外部应用和机构,部署RA系统获取证书签发服务。
本发明相比现有技术具有以下优点:该基于交换中心的企业间跨域安全交换方法,通过设计包括基于交换中心互联的网络交换骨干平台、多级安全接入防护平台、统一身份认证平台等多个平台,为各个网络(原本是互相隔离的)提供了快速交换通道;针对工业互联网存在的安全风险,为保证工业互联网数据可信交换共享服务平台各层之间数据交换的安全性,通过嵌入式安全模块、安全接入网关等安全产品,配合国家级、企业级证书/密钥管理与目录服务系统、统一标识管理系统和安全态势感知等平台支撑,为工业互联网数据可信交换提供多级安全接入保障,进而将工业互联网数据形成一个由自下而上安全信息流和自上而下的安全决策流构成的工业数字化应用优化闭环,网络联通是基础,通过设置在交换中心的可信路由服务器以及安全可信服务系统实现可信路由交换服务,实现不同互联接入企业/单位的可信网间互联及数据交换,安全数据交换是保障,通过构建围绕以设备身份、人员身份、数据身份为核心的统一身份认证服务平台,采用数字签名和验签,轻量级数据加解密,数字证书等技术来保障数据来源(数据产生主体)的真实性、数据内容的完整性(没有经过非法篡改、伪造、删减等)和一致性(确保接收的数据确定就是发送方想要发送的数据)、数据内容的保密性(传输过程、存储过程、利用过程,让该系统更加值得推广使用。
附图说明
图1是本发明的流程图;
图2是本发明的数字可信交换共享平台数字认证系统功能图;
图3是本发明的工业互联网交换平台企业接入流程图。
具体实施方式
下面对本发明的实施例作详细说明,本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1~3所示,本实施例提供一种技术方案:基于交换中心的企业间跨域安全交换方法,本发明包括以下步骤:
步骤一:通过工业互联网交换中心为预设区域内的各个网络的互通提供一个快速的交换通道,为各个企业内部、企业间实现工业互联网数据的交换共享提供支持;
步骤二:在工业互联网交换中心内实现不同互联接入企业/单位的可信网间互联及数据交换,可根据各企业/单位不同类型的可信数据交换需求,在网络层面提供多种类型可信网间互联和数据交换服务;
步骤三:通过统一身份认证平台为工业互联网各企业/共享交换服务平台节点的用户和设备提供认证管理;
步骤四:通过步骤一到步骤三的过程在互联双方直接交换的数据流量较大时,交换中心可为私有互联双方开启专用VLAN,双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。
过设计包括基于交换中心互联的网络交换骨干平台、多级安全接入防护平台、统一身份认证平台等多个平台,为各个网络(原本是互相隔离的)提供了快速交换通道;针对工业互联网存在的安全风险,为保证工业互联网数据可信交换共享服务平台各层之间数据交换的安全性,通过嵌入式安全模块、安全接入网关等安全产品,配合国家级、企业级证书/密钥管理与目录服务系统、统一标识管理系统和安全态势感知等平台支撑,为工业互联网数据可信交换提供多级安全接入保障,进而将工业互联网数据形成一个由自下而上安全信息流和自上而下的安全决策流构成的工业数字化应用优化闭环,网络联通是基础,通过设置在交换中心的可信路由服务器以及安全可信服务系统实现可信路由交换服务,实现不同互联接入企业/单位的可信网间互联及数据交换,安全数据交换是保障,通过构建围绕以设备身份、人员身份、数据身份为核心的统一身份认证服务平台,采用数字签名和验签,轻量级数据加解密,数字证书等技术来保障数据来源(数据产生主体)的真实性、数据内容的完整性(没有经过非法篡改、伪造、删减等)和一致性(确保接收的数据确定就是发送方想要发送的数据)、数据内容的保密性(传输过程、存储过程、利用过程,让该系统更加值得推广使用。
所述步骤二中主要采用多网多边可信互联实现可信数据交换,以及双边直连实现可信数据交换两种方式;可信网间数据交换主要通过可信路由交换和二层交换网络的VLAN分区来实现。
所述步骤三中的统一身份认证平台的功能包括用户身份认证、设备身份认证、认证方式与策略管理、身份凭据与单点登录、认证风险管理功能,其支持大批量证书的高效签发及管理需要有高速的数据库访问技术作为支撑,支持对密钥的生成、存储、使用、销毁、备份全生命周期管理以及设备标识管理,并提供基于证书吊销列表CRL和OCSP的证书状态查询服务,提供实现对工业互联网的各级节点跨区域、跨行业、跨企业、跨协议的设备、人员和机构的互信互认能力。
所述工业互联网交换中心能够进行的交换过程包括:可信路由交换服务、可信多网多边互联及数据交换与可信双边直联;
其中,可信路由交换服务的具体过程如下:可信路由交换服务主要由设置在交换中心的可信路由服务器以及安全可信服务系统共同实现,可信路由服务器收集各个企业/单位接入网络通告的路由,利用可信安全服务系统进行可信路由认证后,形成分区路由表,通过路由服务器进行BGP路由广播发布,实现不同信任区域的BGP路由通告广播服务;
可信多网多边互联及数据交换的具体过程如下:通过在交换中心的核心、接入交换机设备上设置不同VLAN,实现不同信任区域的网间互联划分,各企业/单位网络互联接入不同的VLAN,在不同VLAN中进行可信的数据交换;
开放交换区域:在交换设备上设置1个公共VLAN,作为交换中心开放互联(OpenPeering)区域,接受所有网络的接入互联和数据交换;
信任交换区域:根据不同的信任原则,在交换设备设置不同VLAN来标识不同类型的信任交换区域;通常可以使用选择性(Selective Peering)或者限制性(RestrictedPeering)特性,允许符合信任条件的企业网络接入相应的VLAN,进行网间数据交换;
可信双边直联的具体过程如下:当互联双方直接交换的数据流量较大时,交换中心可为私有互联双方开启专用VLAN,双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。
进一步在于,所述步骤一到步骤四基于数据可信交换共享平台数字证书认证系统进行。
进一步在于,所述数据可信交换共享平台数字证书认证系统包括离线CA、在线CA、密钥管理系统、本地CA、内部RA与外部RA;
离线CA用于负责管理CA根,根密钥对由加密机产生和保存,同时签发二级根CA证书,由在线CA离线提交证书请求文件到离线CA进行签发;
在线CA用于负责管理二级CA根和二级子CA根,根密钥由加密机产生和保存,通过生成证书请求文件到离线CA进行二级CA根证书签发,同时在线CA能够根据策略配置多个二级CA和二级子CA,二级CA包括设备CA和服务CA,二级子CA主要面向能够联网的设备、用户和机构提供在线申请证书服务;
密钥管理系统(KM)用于负责加密密钥对的产生、分发、注销、恢复等功能,由在线CA调用接口获取服务,密钥对由加密机生成;
本地CA用于面向不能在线接入在线CA的应用(主要为生成系统),在本地建设二级子CA提供本地签发服务,通过本地RA由生成系统通过接口调用获取服务,对签发的证书采用同步的方式发送到在线CA;
内部RA用于面向能够在线接入在线CA的内部应用和机构,部署RA系统获取证书签发服务;
外部RA用于面向能够在线接入在线CA的外部应用和机构,部署RA系统获取证书签发服务。
1、授权数字证书及相关安装介质:云平台-管理后台应用通过调用内部RA系统Api获取证书签发服务,签发企业数字证书,参考上图-数字可信交换共享平台数字认证系统;
2、企业平台系统激活:企业接入端首次部署启动时携带企业标识,激活申请签名(调用企业侧本地加密机)信息向云平台申请激活,云平台-管理后台应用签名验证成功后完成激活流程,将该企业及用户等信息同步到企业接入端系统,企业安全接入流程完毕;
说明:
1:数据提供者企业A、消费数据企业B都是工业互联网数据共享平台的入驻企业,企业A与企业B之间是网络不可达的,但都能和云平台进行通信(云平台部署在交换中心,企业网络与交换中心网络签署并遵守双边协议,建立专用对等互联网络,既满足和工业互联网交换平台的网络连接需求,又保留原各个企业间网络的隔离性)
2:企业B获取到企业A的共享数据集(传递过来的是企业A数据集的引用描述信息,数据还在企业A那里)后,可以通过提交一个交换任务,将跨域的企业A的数据通过云平台为媒介交换到企业B的本地数据库中;
3、交换过程的安全保障设计
企业接入端和云平台通信,传输通道采用HTTPs进行加密保护
不可抵赖性保护:企业接入端和云平台间的关键业务交互需实现数字签名、签名验证,从而确保业务操作的实体身份,保障数据消费端以及数据来源(数据产生主体)的真实性;
交换数据的机密性保护:采用数字信封技术确保交换数据内容的完整性(没有经过非法篡改、伪造、删减等)和传输过程的保密性,数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容;数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。数字信封中采用了单钥加密体制和公钥密码体制。数据发送方(企业A)首先利用随机产生的对称密码加密信息(因为非对称加密技术的速度比较慢),再利用接收方(企业B)的公钥加密对称密码,在传递信息时,信息接收方(企业B)要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息;
4、交换过程的传输效率设计:云平台引入了分布式消息系统Kafka中间件作为数据传输的管道,利用kafka的高吞吐量、低延迟、持久性、可扩展性以及容错性等特点,数据发送方作为生产者向kafka push数据,数据接收方作为消费者从kafka拉取数据,大大提高了整个数据交换系统的可靠性及传输效率。
本发明基于交换中心的可信路由交换服务,企业网络与交换中心网络签署并遵守双边协议,建立专用对等互联网络,既满足和工业互联网交换平台的网络连接需求,又保留原各个企业间网络的隔离性;
企业安全接入规范,首先在交换中心构建统一身份认证平台,提供实现对工业互联网的各级节点跨区域、跨行业、跨企业、跨协议的设备、人员和机构的互信互认能力,云平台对申请入驻企业的资质进行严格的审查,审查通过后,由云平台签发企业端数字证书。在企业侧部署数据交换企业端平台,需持有云平台签发的数字证书激活后,才能使用;
企业间跨域安全交换流程,以部署在交换中心的云平台能够和各个企业网络连通为基础,通过交换中心统一身份认证平台提供跨企业间互信互认能力为安全保障,各企业接入端与工业互联网服务平台之间的通讯建立SSL通道来保证通讯过程中数据的安全,在各个企业跨网络数据交换的业务层面的通讯,通过数字信封的加解密方案,既能保障数据交换过程中的安全需求,也满足海量数据交换对传输效率的要求。
该跨域安全交换技术可以应用在跨越多个网域,涉及多个不同的信任主体的业务场景;实现不同信任区域的网间互联,不同信任主体间工业生产的资源优化和协同制造。通过中心侧的统一身份认证平台,主要实现密钥的生成与分发,为需要进行身份认证的实体提供安全接入、身份认证等服务。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (6)
1.基于交换中心的企业间跨域安全交换方法,其特征在于,包括以下步骤:
步骤一:通过工业互联网交换中心为预设区域内的各个网络的互通提供一个快速的交换通道,为各个企业内部、企业间实现工业互联网数据的交换共享提供支持;
步骤二:在工业互联网交换中心内实现不同互联接入企业/单位的可信网间互联及数据交换,可根据各企业/单位不同类型的可信数据交换需求,在网络层面提供多种类型可信网间互联和数据交换服务;
步骤三:通过统一身份认证平台为工业互联网各企业/共享交换服务平台节点的用户和设备提供认证管理;
步骤四:通过步骤一到步骤三的过程在互联双方直接交换的数据流量较大时,交换中心可为私有互联双方开启专用VLAN,双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。
2.根据权利要求1所述的基于交换中心的企业间跨域安全交换方法,其特征在于:所述步骤二中主要采用多网多边可信互联实现可信数据交换,以及双边直连实现可信数据交换两种方式;可信网间数据交换主要通过可信路由交换和二层交换网络的VLAN分区来实现。
3.根据权利要求1所述的基于交换中心的企业间跨域安全交换方法,其特征在于:所述步骤三中的统一身份认证平台的功能包括用户身份认证、设备身份认证、认证方式与策略管理、身份凭据与单点登录、认证风险管理功能,其支持大批量证书的高效签发及管理需要有高速的数据库访问技术作为支撑,支持对密钥的生成、存储、使用、销毁、备份全生命周期管理以及设备标识管理,并提供基于证书吊销列表CRL和OCSP的证书状态查询服务,提供实现对工业互联网的各级节点跨区域、跨行业、跨企业、跨协议的设备、人员和机构的互信互认能力。
4.根据权利要求1所述的基于交换中心的企业间跨域安全交换方法,其特征在于:所述工业互联网交换中心能够进行的交换过程包括:可信路由交换服务、可信多网多边互联及数据交换与可信双边直联;
其中,可信路由交换服务的具体过程如下:可信路由交换服务主要由设置在交换中心的可信路由服务器以及安全可信服务系统共同实现,可信路由服务器收集各个企业/单位接入网络通告的路由,利用可信安全服务系统进行可信路由认证后,形成分区路由表,通过路由服务器进行BGP路由广播发布,实现不同信任区域的BGP路由通告广播服务;
可信多网多边互联及数据交换的具体过程如下:通过在交换中心的核心、接入交换机设备上设置不同VLAN,实现不同信任区域的网间互联划分,各企业/单位网络互联接入不同的VLAN,在不同VLAN中进行可信的数据交换;
开放交换区域:在交换设备上设置1个公共VLAN,作为交换中心开放互联区域,接受所有网络的接入互联和数据交换;
信任交换区域:根据不同的信任原则,在交换设备设置不同VLAN来标识不同类型的信任交换区域;通常可以使用选择性或者限制性特性,允许符合信任条件的企业网络接入相应的VLAN,进行网间数据交换;
可信双边直联的具体过程如下:当互联双方直接交换的数据流量较大时,交换中心可为私有互联双方开启专用VLAN,双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。
5.根据权利要求1所述的基于交换中心的企业间跨域安全交换方法,其特征在于:所述步骤一到步骤四基于数据可信交换共享平台数字证书认证系统进行。
6.根据权利要求5所述的基于交换中心的企业间跨域安全交换方法,其特征在于:所述数据可信交换共享平台数字证书认证系统包括离线CA、在线CA、密钥管理系统、本地CA、内部RA与外部RA;
离线CA用于负责管理CA根,根密钥对由加密机产生和保存,同时签发二级根CA证书,由在线CA离线提交证书请求文件到离线CA进行签发;
在线CA用于负责管理二级CA根和二级子CA根,根密钥由加密机产生和保存,通过生成证书请求文件到离线CA进行二级CA根证书签发,同时在线CA能够根据策略配置多个二级CA和二级子CA,二级CA包括设备CA和服务CA,二级子CA主要面向能够联网的设备、用户和机构提供在线申请证书服务;
密钥管理系统(KM)用于负责加密密钥对的产生、分发、注销、恢复等功能,由在线CA调用接口获取服务,密钥对由加密机生成;
本地CA用于面向不能在线接入在线CA的应用,在本地建设二级子CA提供本地签发服务,通过本地RA由生成系统通过接口调用获取服务,对签发的证书采用同步的方式发送到在线CA;
内部RA用于面向能够在线接入在线CA的内部应用和机构,部署RA系统获取证书签发服务;
外部RA用于面向能够在线接入在线CA的外部应用和机构,部署RA系统获取证书签发服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210336106.3A CN114745226B (zh) | 2022-03-31 | 2022-03-31 | 基于交换中心的企业间跨域安全交换方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210336106.3A CN114745226B (zh) | 2022-03-31 | 2022-03-31 | 基于交换中心的企业间跨域安全交换方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114745226A true CN114745226A (zh) | 2022-07-12 |
CN114745226B CN114745226B (zh) | 2023-09-05 |
Family
ID=82278183
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210336106.3A Active CN114745226B (zh) | 2022-03-31 | 2022-03-31 | 基于交换中心的企业间跨域安全交换方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114745226B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116800615A (zh) * | 2022-12-31 | 2023-09-22 | 浙江省新型互联网交换中心有限责任公司 | 基于sdn&ixp的流量交换平台及配置方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001067679A1 (fr) * | 2000-03-10 | 2001-09-13 | Shenzhen Liming Network Systems Co., Ltd. | Plate-forme de commutateur d'informations |
CN1707998A (zh) * | 2005-04-28 | 2005-12-14 | 上海交通大学 | 基于消息服务的公共数据交换中心的安全控制方法 |
CN101635704A (zh) * | 2008-07-24 | 2010-01-27 | 北京盖特佳信息安全技术股份有限公司 | 一种基于可信技术的应用安全交换平台 |
CN107193245A (zh) * | 2017-04-18 | 2017-09-22 | 山东新矿信息技术有限公司 | 煤矿生产工业网信息与办公互联网信息融合的方法 |
US20200021488A1 (en) * | 2018-07-12 | 2020-01-16 | Honeywell International Inc. | Systems and methods for autonomous creation of a domain specific industrial internet of things gateway using a conversational interface |
CN113194027A (zh) * | 2021-05-21 | 2021-07-30 | 上海振华重工(集团)股份有限公司 | 面向自动化码头工业互联网的安全通信网关系统 |
CN113709109A (zh) * | 2021-07-27 | 2021-11-26 | 云南昆钢电子信息科技有限公司 | 一种基于云端与边缘端数据交换的安全系统和方法 |
CN113992769A (zh) * | 2021-10-26 | 2022-01-28 | 重庆斯欧智能科技研究院有限公司 | 一种工业互联网信息交换方法 |
-
2022
- 2022-03-31 CN CN202210336106.3A patent/CN114745226B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001067679A1 (fr) * | 2000-03-10 | 2001-09-13 | Shenzhen Liming Network Systems Co., Ltd. | Plate-forme de commutateur d'informations |
CN1707998A (zh) * | 2005-04-28 | 2005-12-14 | 上海交通大学 | 基于消息服务的公共数据交换中心的安全控制方法 |
CN101635704A (zh) * | 2008-07-24 | 2010-01-27 | 北京盖特佳信息安全技术股份有限公司 | 一种基于可信技术的应用安全交换平台 |
CN107193245A (zh) * | 2017-04-18 | 2017-09-22 | 山东新矿信息技术有限公司 | 煤矿生产工业网信息与办公互联网信息融合的方法 |
US20200021488A1 (en) * | 2018-07-12 | 2020-01-16 | Honeywell International Inc. | Systems and methods for autonomous creation of a domain specific industrial internet of things gateway using a conversational interface |
CN113194027A (zh) * | 2021-05-21 | 2021-07-30 | 上海振华重工(集团)股份有限公司 | 面向自动化码头工业互联网的安全通信网关系统 |
CN113709109A (zh) * | 2021-07-27 | 2021-11-26 | 云南昆钢电子信息科技有限公司 | 一种基于云端与边缘端数据交换的安全系统和方法 |
CN113992769A (zh) * | 2021-10-26 | 2022-01-28 | 重庆斯欧智能科技研究院有限公司 | 一种工业互联网信息交换方法 |
Non-Patent Citations (2)
Title |
---|
SHIHUI DUAN; WEI GAO; JUNPING WANG: "A Novel Network Control Architecture for Large Scale Machine in Industrial Internet", 2015 INTERNATIONAL CONFERENCE ON IDENTIFICATION, INFORMATION, AND KNOWLEDGE IN THE INTERNET OF THINGS (IIKI) * |
谢哲天,徐磊: "VLAN技术及其在工业互联网中的应用", 自动化应用 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116800615A (zh) * | 2022-12-31 | 2023-09-22 | 浙江省新型互联网交换中心有限责任公司 | 基于sdn&ixp的流量交换平台及配置方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114745226B (zh) | 2023-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lu et al. | DRRS-BC: Decentralized routing registration system based on blockchain | |
CN111262692B (zh) | 基于区块链的密钥分发系统和方法 | |
Park et al. | Role-based access control on the web | |
US7181614B1 (en) | Method and arrangement in a communication network | |
CN103354498B (zh) | 一种基于身份的文件加密传输方法 | |
CN102710605A (zh) | 一种云制造环境下的信息安全管控方法 | |
CN112418860A (zh) | 一种基于跨链技术的区块链高效管理架构及工作方法 | |
Toorani et al. | LPKI-a lightweight public key infrastructure for the mobile environments | |
WO2008083628A1 (fr) | Serveur d'authentification, procédé, système et dispositif d'authentification mutuelle dans un réseau sans fil maillé | |
CN112351019B (zh) | 一种身份认证系统及方法 | |
Wang et al. | An efficient and privacy-preserving blockchain-based authentication scheme for low earth orbit satellite-assisted internet of things | |
CN111935213A (zh) | 一种基于分布式的可信认证虚拟组网系统及方法 | |
CN107135081A (zh) | 一种双证书ca系统及其实现方法 | |
Yang et al. | Blockchain-based decentralized public key management for named data networking | |
CN114745226B (zh) | 基于交换中心的企业间跨域安全交换方法 | |
KR101526653B1 (ko) | 비밀 디지털 콘텐츠에 액세스하는 시스템 및 방법 | |
Zhao et al. | A novel decentralized cross‐domain identity authentication protocol based on blockchain | |
Gu et al. | An efficient blockchain-based cross-domain authentication and secure certificate revocation scheme | |
Tang et al. | Strong authentication for tactical mobile ad hoc networks | |
CN114553527A (zh) | 一种基于区块链的跨ca信任域的身份认证服务系统 | |
Tabassum et al. | Securely Transfer Information with RSA and Digital Signature by using the concept of Fog Computing and Blockchain | |
Boeyen et al. | Liberty trust models guidelines | |
Patel et al. | Public key infrastructure for air traffic management systems | |
Amoretti et al. | Introducing secure peergroups in SP/sup 2/A | |
US20070079114A1 (en) | Method and system for the communication of a message as well as a suitable key generator for this |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |