CN116232880A - 一种基于安全隔离的虚拟专用网建立方法及系统 - Google Patents
一种基于安全隔离的虚拟专用网建立方法及系统 Download PDFInfo
- Publication number
- CN116232880A CN116232880A CN202310083894.4A CN202310083894A CN116232880A CN 116232880 A CN116232880 A CN 116232880A CN 202310083894 A CN202310083894 A CN 202310083894A CN 116232880 A CN116232880 A CN 116232880A
- Authority
- CN
- China
- Prior art keywords
- area equipment
- management information
- production control
- equipment
- area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于安全隔离的虚拟专用网建立方法及系统,涉及电力通信网络技术领域,在生产控制大区设备中,创建生产虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;在管理信息大区设备中,创建管理虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;生产控制大区设备通过正向隔离装置与管理信息大区设备通信连接,管理信息大区设备通过反向隔离装置与生产控制大区设备通信连接,实现生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接。本发明可以保证生产控制大区设备和管理信息大区设备畅通,实现电力生产控制大区和电力管理信息大区之间的通信连接,保障通信安全,满足通信需求。
Description
技术领域
本发明涉及电力通信网络技术领域,尤其涉及一种基于安全隔离的虚拟专用网建立方法及系统。
背景技术
当前新能源发电得到了广泛的发展,新能源通常采用分布式发电,并可以接入电网。分布式电站具有数字化、智能化的特点,可以实现业主和智能运维方的随时监控,也可以根据需要进行远程主站的电力调度控制,保证电能质量,降低对电网上电的冲击。对于新能源发电过程信息,可以基于业主端由互联网访问服务器查询相关状态,新能源运维也可以是专线外网或VPN加密的外网进行访问服务器查询相关状态。而电网内部生产控制属于管理信息大区设备,具有一定的安全等级,防止非授权访问,因此需要在不同安全区之间进行安全隔离。
目前较为常用的是物理隔离,物理隔离的目的是保护网络设备及计算机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。物理隔离只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。但是由于物理隔离的相关技术复杂性,安全控制十分有限性,无法满足电网对数据安全的要求,容易导致在线分析技术无法提供数据安全要求。而且对于通信逻辑实体而言容易被窃取及操纵。因此,无法保证电力生产控制大区和电力管理信息大区之间安全,容易造成信息泄露和破坏,这给电网运行安全带来了风险。
发明内容
本发明提供一种基于安全隔离的虚拟专用网建立方法,方法实现电力生产控制大区和电力管理信息大区之间的通信连接,保障通信安全,满足通信需求。
方法包括:
在生产控制大区设备中,创建生产虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;
在管理信息大区设备中,创建管理虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;
生产控制大区设备通过正向隔离装置与管理信息大区设备通信连接,管理信息大区设备通过反向隔离装置与生产控制大区设备通信连接,实现生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接。
优选地,方法中,生产控制大区设备启动循环线程1;
循环线程1包括:监视设置的反向接收目录,当数据文件接收完毕后,读取文件内容,使用base64解码为原始数据,写入虚拟网络设备,将文件删除。
生产控制大区设备再启动循环线程2;
循环线程2是从虚拟网络设备读取数据,将接收的数据通过正向隔离装置的文件发送接口发送。
优选地,方法中,管理信息大区设备启动循环线程1;
循环线程1为监视设置的正向接收目录,当数据文件接收完毕后,读取文件内容,写入虚拟网络设备,将文件删除。
管理信息大区设备启动循环线程2;
循环线程2从虚拟网络设备读取数据,接收的数据先使用base64编码,再通过反向隔离装置的文件发送接口发送。
优选地,生产控制大区设备和管理信息大区设备之间配置有通信网关;
通信网关建立虚拟通道,保证接入数据的传输安全以及生产控制大区设备和管理信息大区设备之间的通信安全;
通信网关还对接入的终端进行身份认证,保证接入终端可信性的同时,利用安全通信协议建立虚拟通道,对传送的数据进行加密;
通信网关根据预设规则对生产控制大区设备和管理信息大区设备的访问权限进行控制,赋予用户权限。
优选地,生产控制大区设备向管理信息大区通过正反向安全隔离装置发送文件;
管理信息大区设备向生产控制大区设备通过反向隔离装置发送任意非空文本文件,且支持发送ASCII中的可打印字符。
优选地,生产控制大区设备和管理信息大区设备之间使用inotify机制监控文件系统,读取收到的数据文件,同时将待发送的数据通过隔离装置的文件发送接口发送。
本发明还提供一种基于安全隔离的虚拟专用网建立系统,系统包括:正向隔离装置、反向隔离装置、生产控制大区设备和管理信息大区设备;
在生产控制大区设备中,创建生产虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;
在管理信息大区设备中,创建管理虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;
生产控制大区设备通过正向隔离装置与管理信息大区设备通信连接,管理信息大区设备通过反向隔离装置与生产控制大区设备通信连接,实现生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接。
优选地,生产控制大区设备和管理信息大区设备之间的配置有虚拟通道以及通信网关;
通信网关用于建立虚拟通道能够保证接入传输的安全以及生产控制大区设备和管理信息大区设备之间的通信安全;
虚拟通道承载网络采用专线方式,或采用基于SSL安全通讯协议进行通信,在虚拟通道对传输的数据进行加密保护;
生产控制大区设备和管理信息大区设备均嵌入有国密安全芯片,国密安全芯片实现SM1、SM2、SM3及SM4加密算法。
从以上技术方案可以看出,本发明具有以下优点:
本发明提供的基于安全隔离的虚拟专用网建立方法能够建立生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接,方便用户进行数据通信,有效的提升通信效率和通信质量。还能够对生产控制大区设备数据和管理信息大区设备数据高效率地收集、存储,并进行处理,可以实现两个大区设备的实时数据交互,提高数据通信质量和畅通,避免或减少黑客入侵窃取数据,在一定程度上保护了电力网络的网络安全,控制通信过程风险,从而实现生产控制大区设备和管理信息大区设备通信全过程管理和控制的及时性和科学性。
本发明提供的基于安全隔离的虚拟专用网建立方法通过建立虚拟通道能够保证接入传输的安全以及生产控制大区设备和管理信息大区设备之间的通信安全。通信网关对接入的终端进行身份认证,保证接入终端可信性的同时,利用安全通信协议建立虚拟通道,对传送的数据进行加密,防止数据在传送的过程中被截获、篡改和破坏。根据预设规则对生产控制大区设备和管理信息大区设备的访问权限进行控制,赋予用户权限,保证生产控制大区设备和管理信息大区设备通信安全。
附图说明
为了更清楚地说明本发明的技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为基于安全隔离的虚拟专用网建立方法通信示意图;
图2为基于安全隔离的虚拟专用网建立系统示意图。
具体实施方式
本发明提供的基于安全隔离的虚拟专用网建立方法利用虚拟网络技术,通过建立虚拟专用网通信连接,利用传感器监控、数据传输等技术,实现生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接,进而将生产控制大区数据传输至管理信息大区,反之也就是从管理信息大区数据传输至生产控制大区,可以有效地保存数据畅通。
特别地,根据本公开的实施方式,下文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施方式包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施方式中,该计算机程序可以通过通信部分从网络上被下载和安装,和/或从可拆卸介质被安装。在该计算机程序被中央处理单元(CPU)执行时,执行本申请的方法和/或装置中限定的各种功能。
本发明中涉及的生产控制大区设备和管理信息大区设备可以基于云技术进行通信,基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等,可以组成资源池,按需所用,灵活便利。
生产控制大区设备和管理信息大区设备基于云计算技术网络系统,满足后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
生产控制大区设备和管理信息大区设备分别具有人工智能云服务,具体来说AIaaS平台会把几类常见的AI服务进行拆分,并在云端提供独立或者打包的服务。这种服务模式类似于开了一个AI主题商城:所有的开发者都可以通过API接口的方式来接入使用平台提供的一种或者是多种人工智能服务,部分资深的开发者还可以使用平台提供的AI框架和AI基础设施来部署和运维专属的云人工智能服务。
生产控制大区设备和管理信息大区设备可以是指用于提供人工智能服务的后端设备,具体的,识别服务器搭建有人工智能平台,用户可以通过API接口的方式来接入或使用该人工智能平台提供的一种或者是多种人工智能服务;如人工智能服务包括图像识别服务、语音识别服务、智能问答服务、大数据处理服务等等。
生产控制大区设备和管理信息大区设备均可以是独立的一个物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。生产控制大区设备和管理信息大区设备还可以是摄像设备(如监控设备、摄像机)、智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。生产控制大区设备和管理信息大区设备之间可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1至2所示,本发明提供的基于安全隔离的虚拟专用网建立方法包括:
在生产控制大区设备中,创建生产虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;
在管理信息大区设备中,创建管理虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;
生产控制大区设备通过正向隔离装置与管理信息大区设备通信连接,管理信息大区设备通过反向隔离装置与生产控制大区设备通信连接,实现生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接。
需要说明的是,生产控制大区设备和管理信息大区设备分别包括中央处理单元(CPU,Central Processing Unit),其可以根据存储在只读存储器(ROM,Read-OnlyMemory)中的程序或者从储存部分加载到随机访问存储器(RAM,Random Access Memory)中的程序而执行各种适当的动作和处理。在RAM中,还存储有系统操作所需的各种程序和数据。
生产控制大区设备和管理信息大区设备分别具有I/O接口:I/O接口连接包括键盘、鼠标等的输入部分;包括诸如阴极射线管(CRT,Cathode Ray Tube)、液晶显示器(LCD,Liquid Crystal Display)等以及扬声器等的输出部分;包括硬盘等的储存部分;以及包括诸如LAN(Local Area Network,局域网)卡、调制解调器等的网络接口卡的通信部分。通信部分经由诸如因特网的网络执行通信处理。
在本发明的一种实施例中,基于安全隔离的虚拟专用网建立方法,以下将给出一种可能的实施例对其具体的实施方案进行非限制性阐述。
现生产控制大区设备和管理信息大区设备双方可通过正反向安全隔离装置发送文件,即:正向隔离装置可发送任意非空文件,反向隔离装置可发送任意非空文本文件(支持发送ASCII中的可打印字符)。并假设正反向安全隔离装置仅传输与本文所述虚拟专用网相关的文件,通信双方分别位于生产控制大区与管理信息大区,并提前约定好文件接收目录。
现生产控制大区设备和管理信息大区设备分别创建虚拟网络设备TUN/TAP,并配置局域网地址,使用inotify机制监控文件系统,读取收到的数据文件,同时将待发送的数据通过隔离装置的文件发送接口发送。
生产控制大区设备通过正向隔离装置与管理信息大区设备通信连接是一种完全单向通讯方式;单向数据1Bit返回方式;虚拟主机IP地址、隐藏MAC地址。
其中,生产控制大区设备通过正向隔离装置向管理信息大区设备传输数据时,正向隔离装置内网主机接收数据,并进行协议剥离,将原始数据写入存储介质。正向隔离装置收到完整的交换信号之后,立即切断与内网主机的物理连接,向外网主机发起物理连接,将存储介质内的数据推向外网主机。外网主机收到数据后,立即进行网络协议的封装重组,并将数据传输给管理信息大区设备。
管理信息大区设备通过反向隔离装置与生产控制大区设备通信是保证从管理信息大区到生产控制大区单向数据传输,集中接收管理信息大区发向生产控制大区的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给生产控制大区内部的接收程序。反向通信时,将待发送信息转为预设语言格式的纯文本文件,并进行文件签名。
管理信息大区设备与反向隔离装置外网主机进行密钥协商(SM2、SM3算法),建立加密通道(电力专用加密算法),将带有签名的预设语言文件发送至反向隔离装置外网主机。外网主机对数据进行解密、验签、E语言格式检查,将通过验证的数据摆渡到内网主机。反向隔离装置只响应UDP协议,因此协商报文与数据通信报文都使用UDP协议。反向隔离装置内网主机将数据传送生产控制大区设备。
对于本发明的具体实现逻辑来讲,
生产控制大区设备:
创建虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址。
启动2个循环线程
线程1:监视设置的反向接收目录,当数据文件接收完毕后,读取文件内容,使用base64解码为原始数据,写入虚拟网络设备,将文件删除。
线程2:从虚拟网络设备读取数据(即网络数据包),将接收的数据通过正向隔离装置的文件发送接口发送。
管理信息大区设备:
创建虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址。
启动2个循环线程
线程1:监视设置的正向接收目录,当数据文件接收完毕后,读取文件内容,写入虚拟网络设备,将文件删除。
线程2:从虚拟网络设备读取数据(即网络数据包),接收的数据先使用base64编码,再通过反向隔离装置的文件发送接口发送。
进一步的,作为上述实施例具体实施方式的细化和扩展,基于安全隔离的虚拟专用网建立方法还包括:
生产控制大区设备和管理信息大区设备之间配置有通信网关;
通信网关建立虚拟通道,保证接入数据的传输安全以及生产控制大区设备和管理信息大区设备之间的通信安全;
通信网关还对接入的终端进行身份认证,保证接入终端可信性的同时,利用安全通信协议建立虚拟通道,对传送的数据进行加密;
通信网关根据预设规则对生产控制大区设备和管理信息大区设备的访问权限进行控制,赋予用户权限。
这样,本发明能够建立生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接,方便用户进行数据通信,有效的提升通信效率和通信质量。还能够对生产控制大区设备数据和管理信息大区设备数据高效率地收集、存储,并进行处理,可以实现两个大区设备的实时数据交互,提高数据通信质量和畅通,避免或减少黑客入侵窃取数据,在一定程度上保护了电力网络的网络安全,控制通信过程风险,从而实现生产控制大区设备和管理信息大区设备通信全过程管理和控制的及时性和科学性。
以下是本公开实施例提供的基于安全隔离的虚拟专用网建立系统的实施例,该系统与上述各实施例的基于安全隔离的虚拟专用网建立方法属于同一个发明构思,在基于安全隔离的虚拟专用网建立系统的实施例中未详尽描述的细节内容,可以参考上述基于安全隔离的虚拟专用网建立方法的实施例。
系统包括:正向隔离装置、反向隔离装置、生产控制大区设备和管理信息大区设备;
在生产控制大区设备中,创建生产虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;
在管理信息大区设备中,创建管理虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;
生产控制大区设备通过正向隔离装置与管理信息大区设备通信连接,管理信息大区设备通过反向隔离装置与生产控制大区设备通信连接,实现生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接。
在一个示例性实施例中,生产控制大区设备和管理信息大区设备之间的配置有虚拟通道以及通信网关,通过建立的虚拟通道保证数据的安全传输。通信网关保证生产控制大区设备和管理信息大区设备之间内网应用的安全接入控制。
虚拟通道是为了防止数据在传输的过程中被窃听、篡改、破坏,生产控制大区设备和管理信息大区设备之间采用虚拟通道进行通信。虚拟通道可以承载网络采用专线方式,还可以采用基于SSL安全通讯协议进行通信,在虚拟通道对传输的数据进行加密保护。
通信网关用于建立虚拟通道能够保证接入传输的安全以及生产控制大区设备和管理信息大区设备之间的通信安全。通信网关对接入的终端进行身份认证,保证接入终端可信性的同时,利用安全通信协议建立虚拟通道,对传送的数据进行加密,防止数据在传送的过程中被截获、篡改和破坏。
通信网关根据预设规则对生产控制大区设备和管理信息大区设备的访问权限进行控制,赋予用户权限,保证生产控制大区设备和管理信息大区设备通信安全。
生产控制大区设备和管理信息大区设备均嵌入有国密安全芯片,国密安全芯片实现SM1、SM2、SM3及SM4加密算法,利用ISO7816接口或SPI接口进行交互,实现生产控制大区设备和管理信息大区设备数据的加密存储及数据传输过程中的安全加密。
本发明的基于安全隔离的虚拟专用网建立方法及系统中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
基于安全隔离的虚拟专用网建立方法及系统的流程图和框图,图示了按照本公开各种实施例的设备、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。示例性的讲,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在基于安全隔离的虚拟专用网建立方法及系统中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本发明的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本发明的各方面。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种基于安全隔离的虚拟专用网建立方法,其特征在于,方法包括:
在生产控制大区设备中,创建生产虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;
在管理信息大区设备中,创建管理虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;
生产控制大区设备通过正向隔离装置与管理信息大区设备通信连接,管理信息大区设备通过反向隔离装置与生产控制大区设备通信连接,实现生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接。
2.根据权利要求1所述的基于安全隔离的虚拟专用网建立方法,其特征在于,方法中,生产控制大区设备启动循环线程1;
循环线程1包括:监视设置的反向接收目录,当数据文件接收完毕后,读取文件内容,使用base64解码为原始数据,写入虚拟网络设备,将文件删除。
3.根据权利要求2所述的基于安全隔离的虚拟专用网建立方法,其特征在于,方法中,生产控制大区设备再启动循环线程2;
循环线程2是从虚拟网络设备读取数据,将接收的数据通过正向隔离装置的文件发送接口发送。
4.根据权利要求1所述的基于安全隔离的虚拟专用网建立方法,其特征在于,方法中,管理信息大区设备启动循环线程1;
循环线程1为监视设置的正向接收目录,当数据文件接收完毕后,读取文件内容,写入虚拟网络设备,将文件删除。
5.根据权利要求1所述的基于安全隔离的虚拟专用网建立方法,其特征在于,方法中,管理信息大区设备启动循环线程2;
循环线程2从虚拟网络设备读取数据,接收的数据先使用base64编码,再通过反向隔离装置的文件发送接口发送。
6.根据权利要求1所述的基于安全隔离的虚拟专用网建立方法,其特征在于,
生产控制大区设备和管理信息大区设备之间配置有通信网关;
通信网关建立虚拟通道,保证接入数据的传输安全以及生产控制大区设备和管理信息大区设备之间的通信安全;
通信网关还对接入的终端进行身份认证,保证接入终端可信性的同时,利用安全通信协议建立虚拟通道,对传送的数据进行加密;
通信网关根据预设规则对生产控制大区设备和管理信息大区设备的访问权限进行控制,赋予用户权限。
7.根据权利要求1所述的基于安全隔离的虚拟专用网建立方法,其特征在于,
生产控制大区设备向管理信息大区通过正反向安全隔离装置发送文件;
管理信息大区设备向生产控制大区设备通过反向隔离装置发送任意非空文本文件,且支持发送ASCII中的可打印字符。
8.根据权利要求1所述的基于安全隔离的虚拟专用网建立方法,其特征在于,
生产控制大区设备和管理信息大区设备之间使用inotify机制监控文件系统,读取收到的数据文件,同时将待发送的数据通过隔离装置的文件发送接口发送。
9.一种基于安全隔离的虚拟专用网建立系统,其特征在于,系统采用如权利要求1至8任意一项所述的基于安全隔离的虚拟专用网建立方法;
系统包括:正向隔离装置、反向隔离装置、生产控制大区设备和管理信息大区设备;
在生产控制大区设备中,创建生产虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;
在管理信息大区设备中,创建管理虚拟网络设备TUN/TAP并初始化,配置设备参数、IP地址;
生产控制大区设备通过正向隔离装置与管理信息大区设备通信连接,管理信息大区设备通过反向隔离装置与生产控制大区设备通信连接,实现生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接。
10.根据权利要求9所述的基于安全隔离的虚拟专用网建立系统,其特征在于,
生产控制大区设备和管理信息大区设备之间的配置有虚拟通道以及通信网关;
通信网关用于建立虚拟通道能够保证接入传输的安全以及生产控制大区设备和管理信息大区设备之间的通信安全;
虚拟通道承载网络采用专线方式,或采用基于SSL安全通讯协议进行通信,在虚拟通道对传输的数据进行加密保护;
生产控制大区设备和管理信息大区设备均嵌入有国密安全芯片,国密安全芯片实现SM1、SM2、SM3及SM4加密算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310083894.4A CN116232880A (zh) | 2023-01-31 | 2023-01-31 | 一种基于安全隔离的虚拟专用网建立方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310083894.4A CN116232880A (zh) | 2023-01-31 | 2023-01-31 | 一种基于安全隔离的虚拟专用网建立方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116232880A true CN116232880A (zh) | 2023-06-06 |
Family
ID=86579955
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310083894.4A Pending CN116232880A (zh) | 2023-01-31 | 2023-01-31 | 一种基于安全隔离的虚拟专用网建立方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116232880A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116801239A (zh) * | 2023-08-23 | 2023-09-22 | 国网信息通信产业集团有限公司 | 一种基于国密sm4的点对点虚拟通信方法及系统 |
-
2023
- 2023-01-31 CN CN202310083894.4A patent/CN116232880A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116801239A (zh) * | 2023-08-23 | 2023-09-22 | 国网信息通信产业集团有限公司 | 一种基于国密sm4的点对点虚拟通信方法及系统 |
| CN116801239B (zh) * | 2023-08-23 | 2024-01-09 | 国网信息通信产业集团有限公司 | 一种基于国密sm4的点对点虚拟通信方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2022206349A1 (zh) | 一种信息验证的方法、相关装置、设备以及存储介质 | |
| US8447970B2 (en) | Securing out-of-band messages | |
| CN111064757B (zh) | 应用访问方法、装置、电子设备以及存储介质 | |
| EP3337088B1 (en) | Data encryption method, decryption method, apparatus, and system | |
| US20180262352A1 (en) | Secure Authentication of Remote Equipment | |
| CN103780609A (zh) | 一种云数据的处理方法、装置和云数据安全网关 | |
| CN112270020B (zh) | 一种基于安全芯片的终端设备安全加密装置 | |
| CN114567470A (zh) | 一种基于sdk的多系统下密钥拆分验证系统及方法 | |
| CN112437044A (zh) | 即时通讯方法和装置 | |
| CN116232880A (zh) | 一种基于安全隔离的虚拟专用网建立方法及系统 | |
| CN112436936A (zh) | 一种具备量子加密功能的云存储方法及系统 | |
| CN106789845A (zh) | 一种网络数据安全传输的方法 | |
| CN105812218A (zh) | 用于实现应用多vpn协议接入的方法、中间件和移动终端 | |
| CN112073185A (zh) | 云游戏安全传输方法及装置 | |
| CN105678542B (zh) | 支付业务交互方法、支付终端和支付云端 | |
| CN112073963A (zh) | 通信交互数据传输方法及装置 | |
| US20240146511A1 (en) | Cryptographic bridge for securing public key infrastructure (pki) | |
| CN114793178B (zh) | 配网方法、装置、设备和存储介质 | |
| CN116232700A (zh) | 登录认证方法、装置、计算机设备、存储介质 | |
| CN107172078B (zh) | 一种基于应用服务的核心框架平台的安全管控方法和系统 | |
| CN111212017A (zh) | 一种面向智能终端的安全传输方法及系统 | |
| CN103997483A (zh) | 一种信息安全控制方法、装置及电子设备 | |
| WO2021102023A1 (en) | Transmission of secure information in a content distribution network | |
| CN113468584A (zh) | 一种信息管理方法、装置、电子设备及存储介质 | |
| CN112788600A (zh) | 蓝牙设备间实现认证以及安全连接的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |