CN116319066A - 基于单工传输物理隔离设备的全双工通信方法及相关装置 - Google Patents

基于单工传输物理隔离设备的全双工通信方法及相关装置 Download PDF

Info

Publication number
CN116319066A
CN116319066A CN202310453382.2A CN202310453382A CN116319066A CN 116319066 A CN116319066 A CN 116319066A CN 202310453382 A CN202310453382 A CN 202310453382A CN 116319066 A CN116319066 A CN 116319066A
Authority
CN
China
Prior art keywords
identity
content
request
server
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310453382.2A
Other languages
English (en)
Inventor
黄亮浩
陈钢
邓瑞麒
叶伟铨
何健伟
黄高敏
易晋
郑广勇
李永乐
黄国政
丁勇
梁社潮
李骞
詹一佳
黄伟杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Power Grid Co Ltd
Jiangmen Power Supply Bureau of Guangdong Power Grid Co Ltd
Original Assignee
Guangdong Power Grid Co Ltd
Jiangmen Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Power Grid Co Ltd, Jiangmen Power Supply Bureau of Guangdong Power Grid Co Ltd filed Critical Guangdong Power Grid Co Ltd
Priority to CN202310453382.2A priority Critical patent/CN116319066A/zh
Publication of CN116319066A publication Critical patent/CN116319066A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L5/00Arrangements affording multiple use of the transmission path
    • H04L5/14Two-way operation using the same type of signal, i.e. duplex
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及通信传输技术领域,提供一种基于单工传输物理隔离设备的全双工通信方法及相关装置,方法包括:接收上位机的通信请求,并根据通信请求设置第一内容标识;将标识与通信请求加密后得到请求报文,并发至正向隔离设备;接收并解密反向隔离设备中的回应报文,得到标识和响应内容,根据各标识进行验证,通过则确定通信请求已被服务端处理。在经过正向隔离设备后,服务端能验证请求报文发送方的身份;在反向隔离设备中接收的回应报文中,解密得到的标识能验证回应报文发送方的身份,并将回应内容与通信请求相关联,确认服务端接收并处理了通信请求,在保证安全性的基础上,提高了通信效率和客户端的用户体验。

Description

基于单工传输物理隔离设备的全双工通信方法及相关装置
技术领域
本发明涉及通信传输技术领域,尤其涉及一种基于单工传输物理隔离设备的全双工通信方法及相关装置。
背景技术
在高安全等级的电网系统中,通常采用传统物理隔离设备,例如正向隔离设备、反向隔离设备、网闸,仅实现单工传输来管控传输方向,以此来提高通信的安全性。
但因为内外网之间单工传输的单向传输方式,发送方发送数据后无法收到业务回应,无法确保发送的业务数据被接收方接收处理,也就无法实现全双工通信,极大的影响通信效率和用户体验。
发明内容
本发明提供了一种基于单工传输物理隔离设备的全双工通信方法,用于解决现有技术中单工传输隔离系统中无法建立全双工通信的问题。
本发明第一方面提供了一种基于单工传输物理隔离设备的全双工通信方法,应用于单工传输隔离系统,系统包括客户端、服务端、正向隔离设备和反向隔离设备,客户端设置在内网侧,通过正向隔离设备与服务端连接,服务端设置在外网侧,通过反向隔离设备与客户端连接,其特征在于,方法包括:
客户端接收到上位机的通信请求后,根据所述通信请求设置第一内容标识;客户端获取自身预置的第一身份标识;将所述第一身份标识、所述第一内容标识与所述通信请求以第一公钥加密后得到请求报文,并将所述请求报文发送至所述正向隔离设备;
正向隔离设备将所述请求报文发送至服务端;
服务端通过所述正向隔离设备接收请求报文,以第二私钥解密所述请求报文,得到第一身份标识、第一内容标识和通信请求;以预置的客户端身份证书验证所述第一身份标识,若验证成功,则分析通信请求,获取通信请求对应的响应内容;服务端获取自身预置的第二身份标识;将所述第一内容标识、所述第二身份标识与所述响应内容以第二公钥加密后得到回应报文,并将所述回应报文发送至反向隔离设备;
反向隔离设备将所述回应报文发送至客户端;
客户端接收所述反向隔离设备中的回应报文,并以预置的第一私钥解密所述回应报文,得到第二身份标识、第二内容标识和响应内容;以预置的服务端身份证书验证所述第二身份标识,若验证成功,则判断所述第二内容标识是否与所述第一内容标识一致;若一致,则确定全双工通信建立。
可选的,所述服务端获取自身预置的第二身份标识之后,还包括:生成回应时间戳,将所述回应时间戳以第二公钥加密后加入所述回应报文中;
所述客户端接收反向隔离设备中的回应报文之后还包括,记录接收回应报文时间点,以第一私钥解密所述回应报文得到回应时间戳;
所述确定全双工通信建立具体为:判断所述回应时间戳与接收回应报文时间点之间的时间差是否小于第二预设时间;若是,则确定全双工通信建立。
可选的,所述获取预置的第一身份标识之后,还包括:生成请求时间戳;
所述接收所述反向隔离设备中的回应报文之前,还包括:基于所述请求时间戳,若在第一预设时间内未接收到回应报文,则重新将所述请求报文发送至正向隔离设备。
可选的,所述判断所述第二内容标识是否与所述第一内容标识一致之后,还包括:若不一致,则基于所述请求时间戳,判断是否达到第一预设时间;若是,则重新将所述请求报文发送至正向隔离设备。
可选的,所述确定全双工通信建立之后还包括:
根据所述第一内容标识查询对应的通信请求;
将所述响应内容发送给所述通信请求对应的上位机。
可选的,所述客户端接收到上位机的通信请求之前,还包括:
客户端与服务端交换身份证书;客户端根据服务端身份证书得到第一公钥;服务端根据客户端身份证书得到第二公钥。
本申请第二方面提供了另一种基于单工传输物理隔离设备的全双工通信方法,包括:
接收上位机的通信请求,并根据所述通信请求设置第一内容标识;获取预置的第一身份标识;将所述第一身份标识、所述第一内容标识与所述通信请求以第一公钥加密后得到请求报文,并将所述请求报文发送至正向隔离设备;
接收反向隔离设备中的回应报文,并以预置的第一私钥解密,得到第二身份标识、第二内容标识和响应内容;以预置的服务端身份证书验证所述第二身份标识,若验证成功,则判断所述第二内容标识是否与所述第一内容标识一致;若一致,则确定全双工通信建立。
本申请第三方面提供了一种基于单工传输物理隔离设备的全双工通信系统,其特征在于,包括:客户端、服务端、正向隔离设备和反向隔离设备;
所述客户端设置在内网侧,通过正向隔离设备与服务端连接,用于接收上位机的通信请求,根据所述通信请求设置第一内容标识;获取预置的第一身份标识;将所述第一身份标识、所述第一内容标识与所述通信请求以第一公钥加密后得到请求报文,并将所述请求报文发送至所述正向隔离设备;还用于接收所述反向隔离设备中的回应报文,并以预置的第一私钥解密所述回应报文,得到第二身份标识、第二内容标识和响应内容;以预置的服务端身份证书验证所述第二身份标识,若验证成功,则判断所述第二内容标识是否与所述第一内容标识一致;若一致,则确定全双工通信建立;
所述服务端设置在外网侧,通过反向隔离设备与客户端连接,用于接收所述正向隔离设备中的请求报文,并以第二私钥解密所述请求报文,得到第一身份标识、第一内容标识和通信请求;以预置的客户端身份证书验证所述第一身份标识,若验证成功,则分析通信请求,获取通信请求对应的响应内容;获取预置的第二身份标识;将所述第一内容标识、所述第二身份标识与所述响应内容以第二公钥加密后得到回应报文,并将所述回应报文发送至反向隔离设备;
所述正向隔离设备和所述反向隔离设备用于进行数据单向传输。
本申请第四方面提供了一种基于单工传输物理隔离设备的全双工通信设备,所述设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行本发明第一和第二方面任一项所述的基于单工传输物理隔离设备的全双工通信方法。
本申请第五方面提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行本发明第一和第二方面任一项所述的基于单工传输物理隔离设备的全双工通信方法。
从以上技术方案可以看出,本发明具有以下优点:通过在请求报文中以第一公钥加密第一身份标识、第一内容标识与通信请求,在经过正向隔离设备后,服务端能验证请求报文发送方的身份;在反向隔离设备中接收的回应报文中,以第一私钥解密得到的标识能验证回应报文发送方的身份,并将回应内容与通信请求相关联,确认服务端接收并处理了通信请求,在保证安全性的基础上,以单工传输隔离系统实现全双工通信,提高了通信效率和客户端的用户体验。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为单工传输隔离系统的结构图;
图2为基于单工传输物理隔离设备的全双工通信方法的第一个流程图;
图3为基于单工传输物理隔离设备的全双工通信方法的第二个流程图;
图4为基于单工传输物理隔离设备的全双工通信方法的第三个流程图;
图5为基于单工传输物理隔离设备的全双工通信系统结构图。
具体实施方式
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
单工传输隔离系统中,正向隔离预先需要配置好内网服务器IP,内网服务器对应的MAC地址,外网服务器IP,外网服务器MAC地址,外网服务器端口;工作时候正向隔离装置修改自己内网网口的MAC为外网服务器的MAC,对内网使用arp欺骗技术伪装自己是外网IP,所以内网服务器向外网IP发送数据就自动发送到正向隔离装置上了。同理,正向隔离装置修改自己外网网口的MAC为内网服务器的MAC,对外网使用arp欺骗技术伪装自己是内网服务器IP,所以外网服务器向内网IP发送数据也就自动发送到正向隔离装置了,正向隔离设备不转发外网设备向内网设备的方向的数据传输报文,也就实现了数据单向传输,内网设备发送TCP报文后,无法确认到外网设备的在应用层的回应。
本发明提供了一种基于单工传输物理隔离设备的全双工通信方法,用于解决现有技术中单工传输隔离系统中无法建立全双工通信的问题。
请参阅图1,本实施例应用于单工传输隔离系统,系统包括客户端、服务端、正向隔离设备和反向隔离设备,客户端设置在内网侧,通过正向隔离设备与服务端连接,服务端设置在外网侧,通过反向隔离设备与客户端连接。
请参阅图2,图2为本发明实施例提供的基于单工传输物理隔离设备的全双工通信方法的第一个流程图。
S100,客户端接收到上位机的通信请求后,根据所述通信请求设置第一内容标识;客户端获取自身预置的第一身份标识;将所述第一身份标识、所述第一内容标识与所述通信请求以第一公钥加密后得到请求报文,并将所述请求报文发送至所述正向隔离设备;
需要说明的是,上位机为内网侧用户使用的计算机,内网侧用户需要访问外网时,即会通过上位机向客户端下发请求。客户端在接收到通信请求后,根据不同的通信请求分配不同的第一内容标识,本实施例中第一内容标识采用32位guid格式;
每个客户端有各自的身份证书,身份证书可以得到对应的身份标识,在客户端投入使用时即会预置身份标识供使用,本实施例中第一身份标识也采用32位guid格式,例如478AEF5B-808D-D9BD-0853-01807250138A。本实施例中,可将第一身份标识和第一内容标识串连接在一起,形成一条特殊字段。第一公钥为非对称加密技术下外网侧的服务端生成的公钥,以第一公钥加密的内容需要其对应的私钥解密,即在外网侧服务端的第二私钥。
S200,正向隔离设备将所述请求报文发送至服务端;
本实施例中,正向隔离设备,用于安全等级高的一侧发送数据到安全等级低的一侧,有校验机制,防止数据非法流出,仅允许内网客户端向外网服务端发送TCP的报文,而禁止外网服务端向内网客户端发送报文。该TCP报文可以根据需要自定义设置,本实施例中这个自定义的数据内容为加密后的通信请求和各标识,第一身份标识能标识出发送方身份,第一内容标识能标识当前会话。
S300,服务端通过所述正向隔离设备接收请求报文,以第二私钥解密所述请求报文,得到第一身份标识、第一内容标识和通信请求;以预置的客户端身份证书验证所述第一身份标识,若验证成功,则分析通信请求,获取通信请求对应的响应内容;服务端获取自身预置的第二身份标识;将所述第一内容标识、所述第二身份标识与所述响应内容以第二公钥加密后得到回应报文,并将所述回应报文发送至反向隔离设备;
需要说明的是,服务端设置在外网侧,通过正向隔离设备能接收来自内网的请求报文。第二私钥服务端的私钥,其与客户端的第一公钥对应。
客户端身份证书为客户端部署时交换证书得到的,该客户端身份证书与第一身份标识对应,验证第一身份标识即验证了请求报文发送方的身份合法;在验证成功后,再为通信请求执行服务响应。预置的第二身份标识于服务端身份证书对应,在服务端投入使用时即会预置身份标识供使用,本实施例中第二身份标识也采用32位guid格式;第二公钥与第一私钥对应,与客户端身份证书相关。
在将所述第一内容标识通过第二公钥加密得到回应报文发出后,在回应报文中的第一内容标识被视为第二内容标识。
S400,反向隔离设备将所述回应报文发送至客户端;
反向隔离设备用于安全等级低的一侧发送数据给安全等级高的一侧,有校验机制,防止安全等级高的主机收到病毒。
S500,客户端接收所述反向隔离设备中的回应报文,并以预置的第一私钥解密所述回应报文,得到第二身份标识、第二内容标识和响应内容;以预置的服务端身份证书验证所述第二身份标识,若验证成功,则判断所述第二内容标识是否与所述第一内容标识一致;若一致,则确定全双工通信建立。
需要说明的是,客户端通过正向隔离设备发送请求报文后,即可通过反向隔离设备,等待接收返回的回应报文;回应报文可能有多个,其对应于之前通过正向隔离设备发送的多个请求报文,即客户端在发送请求报文C后,接收到的回应报文可能包括回应报文A、B和C,回应报文A和B对应之前发送的请求报文A和B。
第二身份标识是服务端根据其自身身份证书设置的,因此在客户端以预置服务端身份证书验证该第二身份标识,即可验证该回应报文的发送方身份;虽然第一公钥与服务端身份证书相关,但因为没采用CA证书验证,因此身份证书或公钥可能存在冒用的情况,为增加安全性,需二者配合使用。
在身份验证成功后,以第一内容标识与第二内容标识匹配比对,当二者一致时,即可确认该回应报文中的回应内容与之前的通信请求对应,确认外网服务端接收并处理了该通信请求,将回应内容发送给上位机,使得在内网侧的上位机得到外网数据,此时客户端和服务端即完成了全双工通信的建立。若身份验证失败,则该回应报文的发送方身份存在风险,向网络管理人员发出警报;若内容标识匹配比对不一致,则继续接收回应报文,等等外网侧服务端响应。
本实施例中,通过在请求报文中以第一公钥加密第一身份标识、第一内容标识与通信请求,在经过正向隔离设备后,服务端能验证请求报文发送方的身份;在反向隔离设备中接收的回应报文中,以第一私钥解密得到的标识能验证回应报文发送方的身份,并将回应内容与通信请求相关联,确认服务端接收并处理了通信请求,在保证安全性的基础上,以单工传输隔离系统实现全双工通信,提高了通信效率和客户端的用户体验。
以上为本申请提供的一种基于单工传输物理隔离设备的全双工通信方法的第一个实施例的详细说明,下面为本申请提供的一种基于单工传输物理隔离设备的全双工通信方法的第二个实施例的详细说明。
本实施例中,进一步的提供了一种基于单工传输物理隔离设备的全双工通信方法,请参见图3,步骤S500具体包括步骤S501-S505,详情如下:
S501,基于请求时间戳,若在第一预设时间内未接收到回应报文,则重新将所述请求报文发送至正向隔离设备;
需要说明的是,前述步骤S100中,在获取预置的第一身份标识之后,还包括:生成请求时间戳;客户端在发送请求报文时还会生成时间戳来标记请求报文的时间;本实施例中时间戳的格式可以为2023-10-22 12:32:21,该时间戳用于判断回应报文的响应是否超时。
第一预设时间为判断服务端响应超时的时间,可根据时间需求设置,以请求时间戳的时间为基准,经过第一预设时间后,仍未收到回应报文,说明该通信请求响应超时,可能是服务端未连接或者无通信请求的正确数据。若因服务端响应超时客户端重新发送请求报文,此时还是同一次的通信请求,因此第一内容标识无需改变。
S502,记录接收回应报文时间点,客户端接收所述反向隔离设备中的回应报文,并以预置的第一私钥解密所述回应报文,得到第二身份标识、第二内容标识、回应时间戳和响应内容;
需要说明的是,在前述实施例步骤S300中,服务端在获取自身预置的第二身份后,还会生成回应时间戳,将所述回应时间戳以第二公钥加密后加入所述回应报文中;该回应时间戳用于标记回复回应报文的时间。
本实施例中的回应报文和请求报文可采用Json格式拼接;例如请求报文中,第一身份标识(ClientGuid)、所述第一内容标识(RequestGuid)、所述请求时间戳(Time)采用Json格式拼接后一起加密,Json格式下的内容为:
{
ClientGuid:xxxxx,
RequestGuid:xxxxx,
Time:xxxxx
}
S503,以预置的服务端身份证书验证所述第二身份标识,若验证成功,则进入步骤S504;
需要说明的是,内外网通讯搭建时,若内网侧需要主动向外网侧的一个服务器发送数据,则部署一个客户端,部署时客户端与服务端互换身份证书,互换得到的身份证书中包含有非对称加密技术的公钥。
S504,判断所述第二内容标识是否与所述第一内容标识一致;若一致,则进入步骤S505,若不一致,则返回步骤S501;
需要说明的是,在第二内容标识与第一内容标识一致时,说明此次通信请求得到了响应,而若不一致,说明步骤S501接收到的回应报文是另一次通信请求的,该回应报文由另一次判断内容标识一致的通信请求来处理,而本次通信请求的响应还未接收到,因此需要返回步骤S501继续等待响应,以及作响应超时的检测。
S505,判断所述回应时间戳与接收回应报文时间点之间的时间差是否小于第二预设时间,若是,则确定全双工通信建立;
需要说明的是,计算回应时间戳与接收回应报文时间点之间时间差,当该时间差小于第二预设时间时才通过验证,可以防止恶意用户抓包回应报文后过了一段时间再重发,避免内网遭到重放攻击;
进一步的,在确定全双工通信建立后,根据所述第一内容标识查询对应的通信请求;将所述响应内容发送给所述通信请求对应的上位机;客户端可能连接有多个上位机,接收到的通信请求中会包含有上位机的身份信息,知晓通信请求是哪个上位机发送的。
进一步的,若身份标识验证或时间差验证不通过,则向上位机发送警报信息;可先向网络管理人员或上位机发送报警信息,判断是否有外网的恶意用户以伪造身份等手段想攻击内网,然后在确认网络安全后,再重新将所述请求报文发送至正向隔离设备。
进一步的,在前述实施例步骤S100之前,还包括客户端与服务端交换身份证书;客户端根据服务端身份证书得到第一公钥;服务端根据客户端身份证书得到第二公钥。客户端与服务端在布置时即需交换身份证书,来支持进行后续的全双工通信建立。
本实施例中,通过时间戳的设置,在接收报文超过响应时间后,自动重新发送请求报文,提高了通信效率;并以时间戳验证回应时间差,避免重放攻击,进一步提高通信方法的安全性。
以上为本申请提供的一种基于单工传输物理隔离设备的全双工通信方法的第二个实施例的详细说明,下面为本申请第二方面还提供的一种基于单工传输物理隔离设备的全双工通信方法的实施例的详细说明。
本实施例中,提供了一种基于单工传输物理隔离设备的全双工通信方法,请参见图4,图4为本发明实施例提供的基于单工传输物理隔离设备的全双工通信方法的第三个流程图
S1,接收上位机的通信请求,并根据所述通信请求设置第一内容标识;获取预置的第一身份标识;将所述第一身份标识、所述第一内容标识与所述通信请求以第一公钥加密后得到请求报文,并将所述请求报文发送至正向隔离设备;
需要说明的是,本实施例是客户端侧执行的计算机流程。
S2,接收反向隔离设备中的回应报文,并以预置的第一私钥解密,得到第二身份标识、第二内容标识和响应内容;以预置的服务端身份证书验证所述第二身份标识,若验证成功,则判断所述第二内容标识是否与所述第一内容标识一致;若一致,则确定全双工通信建立。
本实施例中,在客户端一侧完成通信请求的加密发送以及回应报文的解密处理,判断全双工通信的建立,提高了通信效率和客户端的用户体验。
以上为本申请提供的第二方面的一种基于单工传输物理隔离设备的全双工通信方法的详细说明,下面为本申请第三方面提供的一种基于单工传输物理隔离设备的全双工通信系统的实施例的详细说明。
请参阅图5,图1为基于单工传输物理隔离设备的全双工通信系统结构图。本实施例提供了一种基于单工传输物理隔离设备的全双工通信系统,包括:客户端10、服务端20、正向隔离设备30和反向隔离设备40;
所述客户端10设置在内网侧,通过正向隔离设备30与服务端20连接,用于接收上位机的通信请求,根据所述通信请求设置第一内容标识;获取预置的第一身份标识;将所述第一身份标识、所述第一内容标识与所述通信请求以第一公钥加密后得到请求报文,并将所述请求报文发送至所述正向隔离设备30;还用于接收所述反向隔离设备40中的回应报文,并以预置的第一私钥解密所述回应报文,得到第二身份标识、第二内容标识和响应内容;以预置的服务端身份证书验证所述第二身份标识,若验证成功,则判断所述第二内容标识是否与所述第一内容标识一致;若一致,则确定全双工通信建立;
所述服务端20设置在外网侧,通过反向隔离设备40与客户端10连接,用于接收所述正向隔离设备30中的请求报文,并以第二私钥解密所述请求报文,得到第一身份标识、第一内容标识和通信请求;以预置的客户端身份证书验证所述第一身份标识,若验证成功,则分析通信请求,获取通信请求对应的响应内容;获取预置的第二身份标识;将所述第一内容标识、所述第二身份标识与所述响应内容以第二公钥加密后得到回应报文,并将所述回应报文发送至反向隔离设备40;
所述正向隔离设备30和所述反向隔离设备40用于进行数据单向传输。
本申请第四方面还提供了一种基于单工传输物理隔离设备的全双工通信设备,包括处理器以及存储器:其中存储器用于存储程序代码,并将程序代码传输给处理器;处理器用于根据程序代码中的指令执行上述基于单工传输物理隔离设备的全双工通信方法。
本申请第五方面提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行上述基于单工传输物理隔离设备的全双工通信方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和设备的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于单工传输物理隔离设备的全双工通信方法,应用于单工传输隔离系统,系统包括客户端、服务端、正向隔离设备和反向隔离设备,客户端设置在内网侧,通过正向隔离设备与服务端连接,服务端设置在外网侧,通过反向隔离设备与客户端连接,其特征在于,方法包括:
客户端接收到上位机的通信请求后,根据所述通信请求设置第一内容标识;客户端获取自身预置的第一身份标识;将所述第一身份标识、所述第一内容标识与所述通信请求以第一公钥加密后得到请求报文,并将所述请求报文发送至所述正向隔离设备;
正向隔离设备将所述请求报文发送至服务端;
服务端通过所述正向隔离设备接收请求报文,以第二私钥解密所述请求报文,得到第一身份标识、第一内容标识和通信请求;以预置的客户端身份证书验证所述第一身份标识,若验证成功,则分析通信请求,获取通信请求对应的响应内容;服务端获取自身预置的第二身份标识;将所述第一内容标识、所述第二身份标识与所述响应内容以第二公钥加密后得到回应报文,并将所述回应报文发送至反向隔离设备;
反向隔离设备将所述回应报文发送至客户端;
客户端接收所述反向隔离设备中的回应报文,并以预置的第一私钥解密所述回应报文,得到第二身份标识、第二内容标识和响应内容;以预置的服务端身份证书验证所述第二身份标识,若验证成功,则判断所述第二内容标识是否与所述第一内容标识一致;若一致,则确定全双工通信建立。
2.根据权利要求1所述的一种基于单工传输物理隔离设备的全双工通信方法,其特征在于,所述服务端获取自身预置的第二身份标识之后,还包括:生成回应时间戳,将所述回应时间戳以第二公钥加密后加入所述回应报文中;
所述客户端接收反向隔离设备中的回应报文之后还包括,记录接收回应报文时间点,以第一私钥解密所述回应报文得到回应时间戳;
所述确定全双工通信建立具体为:判断所述回应时间戳与接收回应报文时间点之间的时间差是否小于第二预设时间;若是,则确定全双工通信建立。
3.根据权利要求1所述的一种基于单工传输物理隔离设备的全双工通信方法,其特征在于,所述获取预置的第一身份标识之后,还包括:生成请求时间戳;
所述接收所述反向隔离设备中的回应报文之前,还包括:基于所述请求时间戳,若在第一预设时间内未接收到回应报文,则重新将所述请求报文发送至正向隔离设备。
4.根据权利要求3所述的一种基于单工传输物理隔离设备的全双工通信方法,其特征在于,所述判断所述第二内容标识是否与所述第一内容标识一致之后,还包括:若不一致,则基于所述请求时间戳,判断是否达到第一预设时间;若是,则重新将所述请求报文发送至正向隔离设备。
5.根据权利要求1所述的一种基于单工传输物理隔离设备的全双工通信方法,其特征在于,所述确定全双工通信建立之后还包括:
根据所述第一内容标识查询对应的通信请求;
将所述响应内容发送给所述通信请求对应的上位机。
6.根据权利要求1所述的一种基于单工传输物理隔离设备的全双工通信方法,其特征在于,所述客户端接收到上位机的通信请求之前,还包括:
客户端与服务端交换身份证书;客户端根据服务端身份证书得到第一公钥;服务端根据客户端身份证书得到第二公钥。
7.一种基于单工传输物理隔离设备的全双工通信方法,其特征在于,包括:
接收上位机的通信请求,并根据所述通信请求设置第一内容标识;获取预置的第一身份标识;将所述第一身份标识、所述第一内容标识与所述通信请求以第一公钥加密后得到请求报文,并将所述请求报文发送至正向隔离设备;
接收反向隔离设备中的回应报文,并以预置的第一私钥解密,得到第二身份标识、第二内容标识和响应内容;以预置的服务端身份证书验证所述第二身份标识,若验证成功,则判断所述第二内容标识是否与所述第一内容标识一致;若一致,则确定全双工通信建立。
8.一种基于单工传输物理隔离设备的全双工通信系统,其特征在于,包括:客户端、服务端、正向隔离设备和反向隔离设备;
所述客户端设置在内网侧,通过正向隔离设备与服务端连接,用于接收上位机的通信请求,根据所述通信请求设置第一内容标识;获取预置的第一身份标识;将所述第一身份标识、所述第一内容标识与所述通信请求以第一公钥加密后得到请求报文,并将所述请求报文发送至所述正向隔离设备;还用于接收所述反向隔离设备中的回应报文,并以预置的第一私钥解密所述回应报文,得到第二身份标识、第二内容标识和响应内容;以预置的服务端身份证书验证所述第二身份标识,若验证成功,则判断所述第二内容标识是否与所述第一内容标识一致;若一致,则确定全双工通信建立;
所述服务端设置在外网侧,通过反向隔离设备与客户端连接,用于接收所述正向隔离设备中的请求报文,并以第二私钥解密所述请求报文,得到第一身份标识、第一内容标识和通信请求;以预置的客户端身份证书验证所述第一身份标识,若验证成功,则分析通信请求,获取通信请求对应的响应内容;获取预置的第二身份标识;将所述第一内容标识、所述第二身份标识与所述响应内容以第二公钥加密后得到回应报文,并将所述回应报文发送至反向隔离设备;
所述正向隔离设备和所述反向隔离设备用于进行数据单向传输。
9.一种基于单工传输物理隔离设备的全双工通信设备,其特征在于,所述设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行权利要求1-7任一项所述的基于单工传输物理隔离设备的全双工通信方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行权利要求1-7任一项所述的基于单工传输物理隔离设备的全双工通信方法。
CN202310453382.2A 2023-04-25 2023-04-25 基于单工传输物理隔离设备的全双工通信方法及相关装置 Pending CN116319066A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310453382.2A CN116319066A (zh) 2023-04-25 2023-04-25 基于单工传输物理隔离设备的全双工通信方法及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310453382.2A CN116319066A (zh) 2023-04-25 2023-04-25 基于单工传输物理隔离设备的全双工通信方法及相关装置

Publications (1)

Publication Number Publication Date
CN116319066A true CN116319066A (zh) 2023-06-23

Family

ID=86799788

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310453382.2A Pending CN116319066A (zh) 2023-04-25 2023-04-25 基于单工传输物理隔离设备的全双工通信方法及相关装置

Country Status (1)

Country Link
CN (1) CN116319066A (zh)

Similar Documents

Publication Publication Date Title
CN111835752B (zh) 基于设备身份标识的轻量级认证方法及网关
CN108650227B (zh) 基于数据报安全传输协议的握手方法及系统
US7325133B2 (en) Mass subscriber management
EP2779524A1 (en) Secure data transmission method, device and system
RU2597526C2 (ru) Связь шлюза с обеспечением безопасности
US7321971B2 (en) System and method for secure remote access
CN113099443B (zh) 设备认证方法、装置、设备和系统
US8583809B2 (en) Destroying a secure session maintained by a server on behalf of a connection owner
EP2590356A1 (en) Method, device and system for authenticating gateway, node and server
KR100842267B1 (ko) 다중 인증 수단을 가지는 시스템의 통합 사용자 인증 서버,클라이언트 및 방법
CN111756529B (zh) 一种量子会话密钥分发方法及系统
CN112019566B (zh) 数据的传输方法、服务器、客户端及计算机存储介质
CN110635901B (zh) 用于物联网设备的本地蓝牙动态认证方法和系统
CN112312393A (zh) 5g应用接入认证方法及5g应用接入认证网络架构
CN112637136A (zh) 加密通信方法及系统
CN111914291A (zh) 消息处理方法、装置、设备及存储介质
CN103118363A (zh) 一种互传秘密信息的方法、系统、终端设备及平台设备
JP2016514913A (ja) セッション鍵を確立する方法および装置
JP4550759B2 (ja) 通信システム及び通信装置
KR100957044B1 (ko) 커버로스를 이용한 상호 인증 방법 및 그 시스템
CN110719169A (zh) 传输路由器安全信息的方法及装置
CN101483867B (zh) 无线应用协议业务中用户身份验证方法、相关设备及系统
CN116319066A (zh) 基于单工传输物理隔离设备的全双工通信方法及相关装置
CN112235320B (zh) 一种基于密码的视联网组播通信方法及装置
CN115694945B (zh) 一种工业终端主机维护方法及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination