CN115361152A - 一种无缝接入已有网络的加密系统和加密方法 - Google Patents

Abstract

本发明公开了一种无缝接入已有网络的加密系统和加密方法，包括由外场信息终端、普通接入交换机、普通核心交换机和普通应用服务器依次连接构建的网络拓扑，其中，外场信息终端与普通接入交换机之间串联有IP数据加密终端；IP数据加密终端至少包含与外场信息终端连接的以太网接口A、与普通接入交换机连接的以太网接口B以及电源接口，以太网接口A与以太网接口B按照硬件BYPASS设置；IP数据加密终端还设置有ARP数据自定义功能模块；普通核心交换机采用旁路串联方式连接有中心端IP数据加密装置。本发明不但在保持外场信息终端网络配置不变的情况下，可适当调整中心端网络路由，还可在IP数据加密终端出现故障时，通过断电离线方式恢复明文通信状态。

Description

一种无缝接入已有网络的加密系统和加密方法

技术领域

本发明涉及IP网络传输加密技术领域，具体涉及一种无缝接入已有网络的加密系统和加密方法。

背景技术

随着嵌入式计算技术的快速发展，越来越多的外场环境部署具有边缘计算能力的信息终端，由于信息终端具备计算能力和IP网络通信能力，因此能够接受远程控制中心的管理指令并将指令的执行结果反馈至远程控制中心，如图1所示，普通接入交换机为弱三层交换机，只能进行同网段IP地址交换，不具备策略路由功能；普通核心交换机为标准三层交换机，具有策略路由功能。目前，具有边缘计算能力的诸多智能嵌入式信息终端已经在交通、能源、电力、水利、农业、治安等场景中广泛应用，是国家关键信息基础设施的重要组成部分。

随着国家网络安全体系建设的逐步深入，数量众多的外场嵌入式信息终端与远程控制中心之间的IP网络数据需要进行传输加密和身份认证，常规解决方案是在外场嵌入式信息终端串联IP数据加密终端/装置，在远程控制中心部署中心端IP数据加密装置，其中，中心端IP数据加密装置有两种拓扑部署方式，分别为如图2所示的物理串联方式以及如图3所示的旁路串联方式。一方面，传统的IPSec VPN安全网关、SSLVPN安全网关等部署方式要求变更外场嵌入式终端的网络配置信息，不利于大规模外场嵌入式终端网络的升级改造；另一方面，当新增的IP数据加密终端出现宕机情况时，即使IP数据加密终端下线也无法尽快恢复明文通信状态。上述两项技术方案均无法满足建设单位下述需求：

(1)保持外场嵌入式信息终端网络配置不变，可适当调整中心端网络路由；

(2)当IP数据加密终端出现故障时可通过断电离线方式恢复明文通信状态。

发明内容

本发明需要解决的技术问题是提供一种无缝接入已有网络的加密系统和加密方法，不但在保持外场嵌入式信息终端网络配置不变的情况下，可适当调整中心端网络路由，还可在IP数据加密终端出现故障时，通过断电离线方式恢复明文通信状态。

为解决上述技术问题，本发明所采取的技术方案如下。

一种无缝接入已有网络的加密系统，包括由外场信息终端、普通接入交换机、普通核心交换机和普通应用服务器依次连接构建的网络拓扑；所述外场信息终端具备计算能力和IP网络通信能力，其中，所述外场信息终端与普通接入交换机之间串联有工作模式为桥接模式的IP数据加密终端；IP数据加密终端至少包含与外场信息终端连接的以太网接口A、与普通接入交换机连接的以太网接口B以及电源接口三个物理接口，以太网接口A与以太网接口B按照在电源接口处于断开状态时为电路直连状态的硬件BYPASS设置；所述IP数据加密终端还设置有可自行发送虚拟IP地址给外场信息终端的ARP数据自定义功能模块；所述普通核心交换机采用旁路串联方式连接有中心端IP数据加密装置。

优选的，所述以太网接口A与外场信息终端通过RJ45千兆网线连接。

优选的，所述以太网接口B与普通接入交换机的原有网线连接。

优选的，所述IP数据加密终端和中心端IP数据加密装置上分别配置有加密策略，加密策略按照IP五元组模式配置。

优选的，所述普通核心交换机中配置有用于保证普通应用服务器与外场信息终端之间双向传送的IP数据包能进行加密保护的策略路由。

一种无缝接入已有网络的加密方法，基于一种无缝接入已有网络的加密系统实现，具体包括以下步骤：

S1：设置外场信息终端的以太网接口的IP地址和网关地址；

S2：设置IP数据加密终端与外场信息终端连接的以太网接口A的IP地址为与步骤S1中的IP地址不同的任何其它地址；

S3：设置IP数据加密终端与普通接入交换机连接的以太网接口B的IP地址为与步骤S1中的IP地址为同网段的IP地址，设置以太网接口B的网关地址为步骤S1中的网关地址；

S4：设置普通接入交换机与IP数据加密终端连接的以太网接口的IP地址为步骤S3中的网关地址；

S5：设置普通核心交换机与中心端IP数据加密装置连接的以太网接口的IP地址；

S6：设置中心端IP数据加密装置与普通核心交换机连接的以太网接口的IP地址为与步骤S5中的IP地址为同网段的IP地址。

优选的，所述步骤S2中的以太网接口A的IP地址为虚地址，具体为：1.1.1.1。

优选的，所述步骤还包括：

S7：设置普通核心交换机与普通接入交换机连接的以太网接口的IP地址；

S8：设置普通应用服务器与普通接入交换机连接的以太网接口的IP地址为与步骤S7中的IP地址为同网段的IP地址，设置普通应用服务器与普通接入交换机连接的以太网接口的网关地址为步骤S7中的IP地址。

由于采用了以上技术方案，本发明所取得技术进步如下。

本发明通过设置的网络路由配置和IP路由方式，在保持外场信息终端网络配置不变的情况下，可适当调整中心端网络路由；通过设置包含电源接口和两个按照硬件BYPASS设置的以太网接口的IP数据加密终端，可在IP数据加密终端出现故障时，通过断电离线方式恢复明文通信状态；通过设置在IP数据加密终端上的ARP数据自定义功能模块可自行发送虚拟IP地址给外场信息终端，且普通接入交换机的IP无需改变，即使IP数据加密终端断电，外场信息终端仍然认可普通接入交换机。

附图说明

图1为现有外场信息终端与远程控制中心的网络拓扑图；

图2为现有外场信息终端与远程控制中心采用中心端物理串联方式进行加密的拓扑图；

图3为现有外场信息终端与远程控制中心采用中心端旁路串联方式进行加密的拓扑图；

图4为本发明的网络拓扑图；

图5为本发明的IP数据加密终端的外部接口形态示意图。

具体实施方式

下面将结合附图和具体实施方式对本发明进行进一步详细说明。

一种无缝接入已有网络的加密系统，结合图4所示，包括外场信息终端、普通接入交换机、普通核心交换机、普通应用服务器、IP数据加密终端和中心端IP数据加密装置，其中，外场信息终端具备计算能力和IP网络通信能力，外场信息终端、普通接入交换机、普通核心交换机和普通应用服务器依次连接构建成网络拓扑；IP数据加密终端串联在外场信息终端与普通接入交换机之间；中心端IP数据加密装置采用旁路串联方式与普通核心交换机连接。

IP数据加密终端的工作模式为桥接模式，如图5所示，IP数据加密终端至少包含三个物理接口，分别为：以太网接口A、以太网接口B以及电源接口，其中，以太网接口A与外场信息终端通过RJ45千兆网线连接；以太网接口B与普通接入交换机的原有网线连接，确保IP数据加密终端为物理串联接入。以太网接口A与以太网接口B按照硬件BYPASS设置，即当电源接口处于断开状态时，以太网接口A和以太网接口B为电路直连状态，从而保证当IP数据加密终端的电源处于断开状态时，外场信息终端与普通接入交换机为正常通信状态。

当IP数据加密终端处于桥接工作模式时，其与外场信息终端连接的以太网接口A的IP地址可以设置为与外场信息终端不同的任何其它地址(该IP地址为虚地址，推荐IP地址为：1.1.1.1)；IP数据加密终端与普通接入交换机连接的以太网端口B的IP地址设置为与外场信息终端以太网接口A相同网段的IP地址，但IP地址不能与网络拓扑中的其它设备IP地址发生冲突。

IP数据加密终端增设有ARP数据自定义功能模块，ARP数据自定义功能模块可自行发送虚拟IP地址给外场信息终端，且普通接入交换机的IP无需改变，即使IP数据加密终端断电，外场信息终端仍然认可普通接入交换机。从而可实现当IP数据加密终端收到外场信息终端发送的网关地址ARP请求报文时，该功能模块使用自己的MAC地址和预期的网关地址生成ARP响应报文并发送给外场信息发布终端，外场信息终端的默认路由建立成功，外场信息终端的所有IP数据报文发送给IP数据加密终端。

为实现普通应用服务器与外场信息终端之间传输数据处于加密状态，需要在IP数据加密终端与中心端IP数据加密装置上配置加密策略，按照IP五元组模式配置，加密策略如表格1所示：

表格1加密策略示例

需要注意的是，IP数据加密终端与中心端IP数据加密装置之间的加密协议、加密算法并不特别指定。

为保证普通应用服务器发向外场信息终端的IP数据包能进入中心端IP数据加密装置进行加密保护，普通核心交换机中配置有策略路由，从而可保证普通应用服务器与外场信息终端之间双向传送的IP数据包均能进行加密保护。

当普通应用服务器发向外场信息终端IP数据包时，由普通核心交换机将满足源地址和目标地址的IP数据包转发到中心端IP数据加密装置中，经由中心端IP数据加密装置加密后将加密后的IP数据包发送给IP数据加密终端，IP数据加密终端解密后将明文数据包发送给外场信息终端。

当外场信息终端发向普通应用服务器IP数据包时，外场信息终端主动发送给普通应用服务器的IP数据包则由IP数据加密终端加密后发送给中心端IP数据加密装置，由中心端IP数据加密装置解密后将明文IP数据包发送给核心交换机，核心交换机则按照默认路由发送给普通应用服务器。

本发明还提供了一种基于上述无缝接入已有网络的加密系统的加密方法，具体包括以下步骤：

S1：设置外场信息终端的以太网接口的IP地址和网关地址。

S2：设置IP数据加密终端与外场信息终端连接的以太网接口A的IP地址为与步骤S1中的IP地址不同的任何其它地址。

以太网接口A的IP地址为虚地址，具体为：1.1.1.1。

S3：设置IP数据加密终端与普通接入交换机连接的以太网接口B的IP地址为与步骤S1中的IP地址为同网段的IP地址，设置以太网接口B的网关地址为步骤S1中的网关地址。

S4：设置普通接入交换机与IP数据加密终端连接的以太网接口的IP地址为步骤S3中的网关地址。

S5：设置普通核心交换机与中心端IP数据加密装置连接的以太网接口的IP地址。

S6：设置中心端IP数据加密装置与普通核心交换机连接的以太网接口的IP地址为与步骤S5中的IP地址为同网段的IP地址。

S7：设置普通核心交换机与普通接入交换机连接的以太网接口的IP地址；

S8：设置普通应用服务器与普通接入交换机连接的以太网接口的IP地址为与步骤S7中的IP地址为同网段的IP地址，设置普通应用服务器与普通接入交换机连接的以太网接口的网关地址为步骤S7中的IP地址。

上述步骤的排列关系可进行调整，但需满足各IP地址间以及各网关地址与相关IP地址间的设置要求。

Claims (8)

1.一种无缝接入已有网络的加密系统，包括由外场信息终端、普通接入交换机、普通核心交换机和普通应用服务器依次连接构建的网络拓扑；所述外场信息终端具备计算能力和IP网络通信能力，其特征在于：所述外场信息终端与普通接入交换机之间串联有工作模式为桥接模式的IP数据加密终端；IP数据加密终端至少包含与外场信息终端连接的以太网接口A、与普通接入交换机连接的以太网接口B以及电源接口三个物理接口，以太网接口A与以太网接口B按照在电源接口处于断开状态时为电路直连状态的硬件BYPASS设置；所述IP数据加密终端还设置有可自行发送虚拟IP地址给外场信息终端的ARP数据自定义功能模块；所述普通核心交换机采用旁路串联方式连接有中心端IP数据加密装置。

2.根据权利要求1所述的一种无缝接入已有网络的加密系统，其特征在于：所述以太网接口A与外场信息终端通过RJ45千兆网线连接。

3.根据权利要求1所述的一种无缝接入已有网络的加密系统，其特征在于：所述以太网接口B与普通接入交换机的原有网线连接。

4.根据权利要求1所述的一种无缝接入已有网络的加密系统，其特征在于：所述IP数据加密终端和中心端IP数据加密装置上分别配置有加密策略，加密策略按照IP五元组模式配置。

5.根据权利要求1所述的一种无缝接入已有网络的加密系统，其特征在于：所述普通核心交换机中配置有用于保证普通应用服务器与外场信息终端之间双向传送的IP数据包能进行加密保护的策略路由。

6.一种无缝接入已有网络的加密方法，其特征在于，该加密方法基于权利要求1至5任一项所述的一种无缝接入已有网络的加密系统实现，具体包括以下步骤：

S1：设置外场信息终端的以太网接口的IP地址和网关地址；

S2：设置IP数据加密终端与外场信息终端连接的以太网接口A的IP地址为与步骤S1中的IP地址不同的任何其它地址；

S3：设置IP数据加密终端与普通接入交换机连接的以太网接口B的IP地址为与步骤S1中的IP地址为同网段的IP地址，设置以太网接口B的网关地址为步骤S1中的网关地址；

S4：设置普通接入交换机与IP数据加密终端连接的以太网接口的IP地址为步骤S3中的网关地址；

S5：设置普通核心交换机与中心端IP数据加密装置连接的以太网接口的IP地址；

S6：设置中心端IP数据加密装置与普通核心交换机连接的以太网接口的IP地址为与步骤S5中的IP地址为同网段的IP地址。

7.根据权利要求6所述的一种无缝接入已有网络的加密方法，其特征在于：所述步骤S2中的以太网接口A的IP地址为虚地址，具体为：1.1.1.1。

8.根据权利要求6所述的一种无缝接入已有网络的加密方法，其特征在于：所述步骤还包括：

S7：设置普通核心交换机与普通接入交换机连接的以太网接口的IP地址；

S8：设置普通应用服务器与普通接入交换机连接的以太网接口的IP地址为与步骤S7中的IP地址为同网段的IP地址，设置普通应用服务器与普通接入交换机连接的以太网接口的网关地址为步骤S7中的IP地址。

Images