CN116761172A - 基于sd-wan的安全网络构建方法 - Google Patents
基于sd-wan的安全网络构建方法 Download PDFInfo
- Publication number
- CN116761172A CN116761172A CN202310713928.3A CN202310713928A CN116761172A CN 116761172 A CN116761172 A CN 116761172A CN 202310713928 A CN202310713928 A CN 202310713928A CN 116761172 A CN116761172 A CN 116761172A
- Authority
- CN
- China
- Prior art keywords
- wan
- node
- cpe
- pop
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000010276 construction Methods 0.000 title claims abstract description 19
- 238000004891 communication Methods 0.000 claims abstract description 78
- 238000000034 method Methods 0.000 claims description 27
- 238000012795 verification Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于SD‑WAN的安全网络构建方法,该方法可以在私域网中部署SD‑WAN‑POP节点;建立SD‑WAN‑POP节点与内网交换机之间的通信隧道,其中,内网交换机经过安全设备及运营商路由器与基站通信;通过多个SD‑WAN‑CPE节点通过sim卡与基站建立通信隧道,实现各个SD‑WAN‑CPE节点经过基站、运营商路由器、安全设备及内网交换机与SD‑WAN‑POP节点通信;建立多个边缘装置与SD‑WAN‑CPE节点之间的通信隧道,实现多个边缘装置间的安全通信,如此,边缘装置可以利用SD‑WAN‑POP节点与SD‑WAN‑CPE节点可以相互通信的特点,与SD‑WAN‑POP节点通信,从而,实现各个边缘装置间的安全通信。可见,本申请可以利用SD‑WAN构建边缘装置间的安全通信,保障用户的数据安全。
Description
技术领域
本申请涉及安全技术领域,更具体地说,涉及一种基于SD-WAN的安全网络构建方法。
背景技术
目前,光纤通信系统应用广域网(WAN)技术进行信息的传输,WAN所能覆盖的地理区域较大,通常在几公里至几千甚至几万公里,但这也引发了网络拓补结构复杂的问题。WAN的传输速率比较低、连接常借用公共网络,安全性不强。
软件定义广域网(Software Defined Wide Area Network,简称SD-WAN)。具有灵活可靠、安全性较强的特点。因而,可以引入SD-WAN解决WAN的安全性问题,因而,亟需一种结合有SD-WAN的网络,用于保障用户的数据安全。
发明内容
有鉴于此,本申请提供了一种基于SD-WAN的安全网络构建方法,用于解决现有技术中信息传输安全性不足的缺点。
为了实现上述目的,现提出的方案如下:
一种基于SD-WAN的安全网络构建方法,包括:
在私域网中部署SD-WAN-POP节点;
建立SD-WAN-POP节点与内网交换机之间的通信隧道,其中,所述内网交换机经过安全设备及运营商路由器与基站通信;
多个SD-WAN-CPE节点通过sim卡与基站建立通信隧道,实现各个所述SD-WAN-CPE节点经过基站、运营商路由器、安全设备及内网交换机与SD-WAN-POP节点通信;
建立多个边缘装置与SD-WAN-CPE节点之间的通信隧道,实现多个边缘装置间的安全通信。
可选的,所述在私域网中部署SD-WAN-POP节点,包括:
响应用户设置SD-WAN-POP节点的操作,获取SD-WAN-POP节点的配置信息;
利用所述配置信息,在私域网中部署SD-WAN-POP节点。
可选的,所述建立多个边缘装置与SD-WAN-CPE节点之间的通信隧道,实现多个边缘装置间的安全通信,包括:
利用所述SD-WAN-CPE节点及所述SD-WAN-POP节点对每个所述边缘装置进行身份认证;
在所述边缘装置身份认证通过后,建立所述SD-WAN-CPE节点与所述边缘装置间的安全通信隧道。
可选的,所述利用所述SD-WAN-CPE节点及所述SD-WAN-POP节点对每个所述边缘装置进行身份认证,包括:
利用所述SD-WAN-CPE节点接收每个所述边缘装置的数字证书,并对所述数字证书进行验证;
在所述数字证书验证通过后,利用所述SD-WAN-CPE节点对所述数字证书进行加密,得到加密证书;
利用所述SD-WAN-CPE节点将所述加密证书,经所述基站、所述运营商路由器、所述安全设备及所述内网交换机传输至所述SD-WAN-POP节点;
利用所述SD-WAN-POP节点对所述加密证书进行解密验证;
在所述加密证书解密验证通过后,确定所述边缘装置身份认证通过。
可选的,所述利用所述SD-WAN-CPE节点对所述数字证书进行加密,得到加密证书,包括:
利用所述SD-WAN-CPE节点基于目标加密算法,对所述数字证书进行加密,得到加密证书,所述目标加密算法包括以下任意一种:高级加密算法AES、三重数据加密算法3DES、非对称加密算法RSA、对称加密算法RC4、信息摘要算法MD5、对称加密算法SM1、椭圆曲线公钥密码算法SM2、哈希算法SM3及分组算法SM4。
可选的,利用所述SD-WAN-CPE节点接收每个所述边缘装置的数字证书,包括:
利用所述SD-WAN-CPE节点通过串口或网络,接收每个所述边缘装置的数字证书。
可选的,所述利用所述SD-WAN-CPE节点将所述加密证书,经所述基站、所述运营商路由器、所述安全设备及所述内网交换机传输至所述SD-WAN-POP节点,包括:
调用所述SD-WAN-CPE节点基于所述基站及所述运营商路由器,将所述加密证书传输至所述安全设备;
利用所述安全设备将所述加密证书传输至所述内网交换机;
利用所述内网交换机将所述加密证书传输至所述SD-WAN-POP节点。
可选的,所述安全设备为防火墙或机房核心路由器。
可选的,所述SD-WAN-CPE节点与基站间的通信隧道,以及,各个所述边缘装置与SD-WAN-CPE节点之间的通信隧道,通过配电变压器监测TTU公网前置路由器建立。
可选的,所述SD-WAN-POP节点、基站、各个所述边缘装置及SD-WAN-CPE节点间通过因特网密钥交换协议IKE实现密钥交换。
一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现上述基于SD-WAN的安全网络构建方法的各个步骤。
从上述的技术方案可以看出,本申请提供的基于SD-WAN的安全网络构建方法,该方法可以在私域网中部署SD-WAN-POP节点;建立SD-WAN-POP节点与内网交换机之间的通信隧道,其中,所述内网交换机经过安全设备及运营商路由器与基站通信;如此,SD-WAN-POP节点可以通过通信隧道与内网交换机进行数据交互,并实现SD-WAN-POP节点与基站的数据交互;通过多个SD-WAN-CPE节点通过sim卡与基站建立通信隧道,实现各个所述SD-WAN-CPE节点经过基站、运营商路由器、安全设备及内网交换机与SD-WAN-POP节点通信;如此,SD-WAN-POP节点与SD-WAN-CPE节点可以相互通信;建立多个边缘装置与SD-WAN-CPE节点之间的通信隧道,实现多个边缘装置间的安全通信,如此,边缘装置可以利用SD-WAN-POP节点与SD-WAN-CPE节点可以相互通信的特点,与SD-WAN-POP节点通信,从而,实现各个边缘装置间的安全通信。可见,本申请可以利用SD-WAN构建边缘装置间的安全通信,保障用户的数据安全。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例公开的一种基于SD-WAN的安全网络构建方法流程图;
图2为本申请实施例公开的一种基于SD-WAN的安全网络构建设备的硬件结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明可用于众多通用或专用的计算装置环境或配置中。例如:多处理器装置或分布式计算环境等等。
本发明实施例提供一种基于SD-WAN的安全网络构建方法,该方法可以应用于安全网络构建系统中,亦可以应用在各种计算机终端或是智能终端中,其执行主体可以为计算机终端或是智能终端的处理器或服务器,所述方法的方法流程图如图1所示,具体包括:
步骤S1、在私域网中部署SD-WAN-POP节点。
具体地,可以在每个公司或者每个企业的私域网中部署SD-WAN-POP节点。SD-WAN-POP节点可以为通信网络中的主节点。
步骤S2、建立SD-WAN-POP节点与内网交换机之间的通信隧道,其中,所述内网交换机经过安全设备及运营商路由器与基站通信。
具体地,可以建立SD-WAN-POP节点与内网交换机之间的通信隧道,可以生成密钥,确定SD-WAN-POP节点与内网交换机之间的加解密方式;还可以监控SD-WAN-POP节点与内网交换机之间的通信隧道,以确定SD-WAN-POP节点与内网交换机数据交互情况。
步骤S3、多个SD-WAN-CPE节点通过sim卡与基站建立通信隧道,实现各个所述SD-WAN-CPE节点经过基站、运营商路由器、安全设备及内网交换机与SD-WAN-POP节点通信。
具体地,可以通过4Gsim卡,实现SD-WAN-CPE节点与4G基站之间的通信。而4G基站可以通过运营商路由器与安全设备进行信息交互,安全设备可以与内网交换机进行信息交互,内网交换机可以与SD-WAN-POP节点进行信息交互。
内网交换机、安全设备以及SD-WAN-POP节点可以部署与私域网中。
因而,在SD-WAN-CPE节点通过sim卡与基站建立通信隧道后,SD-WAN-CPE节点可以通过4Gsim卡与SD-WAN-POP节点进行信息交互。
同理,还可以通过5Gsim卡,实现SD-WAN-CPE节点与5G基站之间的通信,5G基站可以通过运营商路由器与安全设备进行信息交互。
安全设备可以为机房核心路由器或防火墙。
步骤S4、建立多个边缘装置与SD-WAN-CPE节点之间的通信隧道,实现多个边缘装置间的安全通信。
具体地,可以建立边缘装置与SD-WAN-CPE节点之间的通信隧道,而SD-WAN-CPE节点可以通过4Gsim卡或5Gsim卡与SD-WAN-POP节点进行信息交互,实现各个边缘装置可以与SD-WAN-POP节点进行信息交互,当边缘装置将信息传输至SD-WAN-POP节点时,SD-WAN-POP节点可以将接收到的信息传输至另一边缘装置,实现各个边缘装置间的安全通信。
其中,边缘装置可以为各类型可通信设备,例如,边缘装置可以为手机或笔记本等可通信设备。
从上述技术方案可以看出,本申请实施例提供的基于SD-WAN的安全网络构建方法,该方法可以在私域网中部署SD-WAN-POP节点;建立SD-WAN-POP节点与内网交换机之间的通信隧道,其中,所述内网交换机经过安全设备及运营商路由器与基站通信;如此,SD-WAN-POP节点可以通过通信隧道与内网交换机进行数据交互,并实现SD-WAN-POP节点与基站的数据交互;通过多个SD-WAN-CPE节点通过sim卡与基站建立通信隧道,实现各个所述SD-WAN-CPE节点经过基站、运营商路由器、安全设备及内网交换机与SD-WAN-POP节点通信;如此,SD-WAN-POP节点与SD-WAN-CPE节点可以相互通信;建立多个边缘装置与SD-WAN-CPE节点之间的通信隧道,实现多个边缘装置间的安全通信,如此,边缘装置可以利用SD-WAN-POP节点与SD-WAN-CPE节点可以相互通信的特点,与SD-WAN-POP节点通信,从而,实现各个边缘装置间的安全通信。SD-WAN支持防火墙、流量控制、虚拟私人网络等服务和应用,安全性较高。可见,本申请可以利用SD-WAN构建边缘装置间的安全通信,保障用户的数据安全。
此外,SD-WAN可以集成专线,可以通过多种连接方式进行数据传输,有效提升广域网的带宽,同时降低总体连接成本。
通过SD-WAN-CPE节点以及SD-WAN-POP节点完成通信,部署方式简单,部署过程快速,大大减轻了运维开通的压力,为快速开展业务提供了基础。SD-WAN支持实时监控链路质量,当链路出现故障时,可以做相应的警告与切换,减少人工监控和排除故障的时间,能自动导出每个分支站点的使用情况包含带宽、时延,方便运维。
在本申请的一些实施例中,对步骤S1、在私域网中部署SD-WAN-POP节点的过程进行详细说明,步骤如下:
S10、响应用户设置SD-WAN-POP节点的操作,获取SD-WAN-POP节点的配置信息。
具体地,可以确定SD-WAN-POP节点的配置信息,配置信息中可以包括私钥、公钥、隧道协议等与通信相关的信息。
S11、利用所述配置信息,在私域网中部署SD-WAN-POP节点。
具体地,可以利用配置信息对SD-WAN-POP节点进行配置。
从上述技术方案可以看出,本实施例中提供了一种在私域网中部署SD-WAN-POP节点的可选的方式,通过上述的方式可以利用配置信息在私域网中部署SD-WAN-POP节点,更好地完成SD-WAN-POP节点的部署。
在本申请的一些实施例中,对步骤S2、建立SD-WAN-POP节点与内网交换机之间的通信隧道,其中,所述内网交换机经过安全设备及运营商路由器与基站通信的过程进行详细说明,步骤如下:
S20、利用所述SD-WAN-CPE节点及所述SD-WAN-POP节点对每个所述边缘装置进行身份认证。
具体地,可以通过数字证书对边缘装置进行身份认证,例如,可以利用利用所述SD-WAN-CPE节点以及SD-WAN-POP节点对边缘装置上传的数字证书的可靠性进行验证,以实现对边缘装置进行身份认证。
S21、在所述边缘装置身份认证通过后,建立所述SD-WAN-CPE节点与所述边缘装置间的安全通信隧道。
具体地,可以建立SD-WAN-POP节点与身份认证通过的边缘装置间的安全通信隧道。
从上述技术方案可以看出,本实施例提供了一种建立SD-WAN-POP节点与内网交换机之间的通信隧道的可选的方式,通过上述的方式,可以仅与通过身份认证的边缘装置进行信息交互,进一步保证了安全通信。
在本申请的一些实施例中,对步骤S20、利用所述SD-WAN-CPE节点及所述SD-WAN-POP节点对每个所述边缘装置进行身份认证的过程进行详细说明,步骤如下:
S200、利用所述SD-WAN-CPE节点接收每个所述边缘装置的数字证书,并对所述数字证书进行验证。
具体地,可以基于SD-WAN-CPE节点接收到的边缘装置的数字证书,对边缘装置进行身份认证。
其中,可以通过验证该数字证书的签名的有效性,验证数字证书是否由电力调度数字证书系统颁布,实现数字证书的验证。
可以通过IKE协议,实现数字证书的传输。
可以使用智能卡USB-KEY存储数字证书。
S201、在所述数字证书验证通过后,利用所述SD-WAN-CPE节点对所述数字证书进行加密,得到加密证书。
具体地,可以在数字证书验证通过SD-WAN-CPE节点的验证后,利用SD-WAN-CPE节点加密通过验证的数字证书,得到加密证书。
S202、利用所述SD-WAN-CPE节点将所述加密证书,经所述基站、所述运营商路由器、所述安全设备及所述内网交换机传输至所述SD-WAN-POP节点。
具体地,可以利用SD-WAN-CPE节点将加密证书,经由基站、运营商路由器、安全设备及内网交换机传输至SD-WAN-POP节点,以便SD-WAN-POP节点对加密证书进行验证。
S203、利用所述SD-WAN-POP节点对所述加密证书进行解密验证。
具体地,可以利用SD-WAN-POP节点,依据预先约定的私钥对加密证书进行解密,得到解密证书,并对解密证书的有效性进行验证。
S204、在所述加密证书解密验证通过后,确定所述边缘装置身份认证通过。
具体地,可以在验证解密证书存在有效性后,确定边缘装置身份认证通过。
从上述技术方案可以看出,本实施例提供了一种利用SD-WAN-CPE节点及SD-WAN-POP节点对边缘装置进行身份认证的可选的方式,通过上述的方式可以通过数字证书对边缘装置进行身份认证,进一步提高了本申请的可靠性,进一步提高了本申请通信的安全性。
在本申请的一些实施例中,对步骤S200中利用所述SD-WAN-CPE节点接收每个所述边缘装置的数字证书的过程进行详细说明,步骤如下:
S2000、利用所述SD-WAN-CPE节点通过串口或网络,接收每个所述边缘装置的数字证书。
具体地,SD-WAN-CPE节点可以通过串口或者网络,接收边缘装置的数字证书。
从上述技术方案可以看出,本实施例可以利用串口或网络实现边缘装置与SD-WAN-CPE节点间的通信。
在本申请的一些实施例中,对步骤S201中利用所述SD-WAN-CPE节点对所述数字证书进行加密,得到加密证书的过程进行详细说明,步骤如下:
S2010、利用所述SD-WAN-CPE节点基于目标加密算法,对所述数字证书进行加密,得到加密证书。
具体地,SD-WAN-CPE节点可以利用目标加密算法对数字证书进行加密,其中,目标加密算法包括以下任意一种:高级加密算法AES、三重数据加密算法3DES、非对称加密算法RSA、对称加密算法RC4、信息摘要算法MD5、对称加密算法SM1、椭圆曲线公钥密码算法SM2、哈希算法SM3及分组算法SM4。
从上述技术方案可以看出,本实施例提供了一种对数字证书进行加密的可选的方式,通过上述的方式可以更好地对数字证书进行加密,从而更好地实现边缘装置的身份认证。
在本申请的一些实施例中,对步骤S202、利用所述SD-WAN-CPE节点将所述加密证书,经所述基站、所述运营商路由器、所述安全设备及所述内网交换机传输至所述SD-WAN-POP节点的过程进行详细说明,步骤如下:
S2020、调用所述SD-WAN-CPE节点基于所述基站及所述运营商路由器,将所述加密证书传输至所述安全设备。
具体地,可以调用SD-WAN-CPE节点基于sim卡,经由基站及运营商路由器将加密证书传输至安全设备。
S2021、利用所述安全设备将所述加密证书传输至所述内网交换机。
具体地,可以通过安全设备将加密证书发送至内网交换机。
S2022、利用所述内网交换机将所述加密证书传输至所述SD-WAN-POP节点。
具体地,可以通过内网交换机将加密证书发送至述SD-WAN-POP节点。
从上述技术方案可以看出,本实施例提供了一种传输加密证书至SD-WAN-POP节点的可选的方式,通过上述的方式可以实现加密证书的安全传输。
进一步地,SD-WAN-CPE节点与基站间的通信隧道,以及,各个边缘装置与SD-WAN-CPE节点之间的通信隧道,通过配电变压器监测TTU公网前置路由器建立。
进一步地,SD-WAN-CPE节点、基站、各个边缘装置及SD-WAN-CPE节点间通过IKE协议实现密钥交换。
IKE协议为因特网密钥交换协议。
本申请实施例提供的可应用于基于SD-WAN的安全网络构建设备,如云平台及服务器集群等。可选的,图2示出了基于SD-WAN的安全网络构建设备的硬件结构框图,参照图2,基于SD-WAN的安全网络构建设备的硬件结构可以包括:至少一个处理器1,至少一个通信接口2,至少一个存储器3和至少一个通信总线4;
在本申请实施例中,处理器1、通信接口2、存储器3、通信总线4的数量为至少一个,且处理器1、通信接口2、存储器3通过通信总线4完成相互间的通信;
处理器1可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路等;
存储器3可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory)等,例如至少一个磁盘存储器;
其中,存储器存储有程序,处理器可调用存储器存储的程序,所述程序用于:
在私域网中部署SD-WAN-POP节点;
建立SD-WAN-POP节点与内网交换机之间的通信隧道,其中,所述内网交换机经过安全设备及运营商路由器与基站通信;
多个SD-WAN-CPE节点通过sim卡与基站建立通信隧道,实现各个所述SD-WAN-CPE节点经过基站、运营商路由器、安全设备及内网交换机与SD-WAN-POP节点通信;
建立多个边缘装置与SD-WAN-CPE节点之间的通信隧道,实现多个边缘装置间的安全通信。
可选地,所述程序的细化功能和扩展功能可参照上文描述。
本申请实施例还提供一种可读存储介质,该可读存储介质可存储有适于处理器执行的程序,所述程序用于:
在私域网中部署SD-WAN-POP节点;
建立SD-WAN-POP节点与内网交换机之间的通信隧道,其中,所述内网交换机经过安全设备及运营商路由器与基站通信;
多个SD-WAN-CPE节点通过sim卡与基站建立通信隧道,实现各个所述SD-WAN-CPE节点经过基站、运营商路由器、安全设备及内网交换机与SD-WAN-POP节点通信;
建立多个边缘装置与SD-WAN-CPE节点之间的通信隧道,实现多个边缘装置间的安全通信。
可选地,所述程序的细化功能和扩展功能可参照上文描述。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。本申请的各个实施例之间可以相互结合。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种基于SD-WAN的安全网络构建方法,其特征在于,包括:
在私域网中部署SD-WAN-POP节点;
建立SD-WAN-POP节点与内网交换机之间的通信隧道,其中,所述内网交换机经过安全设备及运营商路由器与基站通信;
多个SD-WAN-CPE节点通过sim卡与基站建立通信隧道,实现各个所述SD-WAN-CPE节点经过基站、运营商路由器、安全设备及内网交换机与SD-WAN-POP节点通信;
建立多个边缘装置与SD-WAN-CPE节点之间的通信隧道,实现多个边缘装置间的安全通信。
2.根据权利要求1所述的基于SD-WAN的安全网络构建方法,其特征在于,所述在私域网中部署SD-WAN-POP节点,包括:
响应用户设置SD-WAN-POP节点的操作,获取SD-WAN-POP节点的配置信息;
利用所述配置信息,在私域网中部署SD-WAN-POP节点。
3.根据权利要求1所述的基于SD-WAN的安全网络构建方法,其特征在于,所述建立多个边缘装置与SD-WAN-CPE节点之间的通信隧道,实现多个边缘装置间的安全通信,包括:
利用所述SD-WAN-CPE节点及所述SD-WAN-POP节点对每个所述边缘装置进行身份认证;
在所述边缘装置身份认证通过后,建立所述SD-WAN-CPE节点与所述边缘装置间的安全通信隧道。
4.根据权利要求3所述的基于SD-WAN的安全网络构建方法,其特征在于,所述利用所述SD-WAN-CPE节点及所述SD-WAN-POP节点对每个所述边缘装置进行身份认证,包括:
利用所述SD-WAN-CPE节点接收每个所述边缘装置的数字证书,并对所述数字证书进行验证;
在所述数字证书验证通过后,利用所述SD-WAN-CPE节点对所述数字证书进行加密,得到加密证书;
利用所述SD-WAN-CPE节点将所述加密证书,经所述基站、所述运营商路由器、所述安全设备及所述内网交换机传输至所述SD-WAN-POP节点;
利用所述SD-WAN-POP节点对所述加密证书进行解密验证;
在所述加密证书解密验证通过后,确定所述边缘装置身份认证通过。
5.根据权利要求4所述的基于SD-WAN的安全网络构建方法,其特征在于,所述利用所述SD-WAN-CPE节点对所述数字证书进行加密,得到加密证书,包括:
利用所述SD-WAN-CPE节点基于目标加密算法,对所述数字证书进行加密,得到加密证书,所述目标加密算法包括以下任意一种:高级加密算法AES、三重数据加密算法3DES、非对称加密算法RSA、对称加密算法RC4、信息摘要算法MD5、对称加密算法SM1、椭圆曲线公钥密码算法SM2、哈希算法SM3及分组算法SM4。
6.根据权利要求4所述的基于SD-WAN的安全网络构建方法,其特征在于,利用所述SD-WAN-CPE节点接收每个所述边缘装置的数字证书,包括:
利用所述SD-WAN-CPE节点通过串口或网络,接收每个所述边缘装置的数字证书。
7.根据权利要求4所述的基于SD-WAN的安全网络构建方法,其特征在于,所述利用所述SD-WAN-CPE节点将所述加密证书,经所述基站、所述运营商路由器、所述安全设备及所述内网交换机传输至所述SD-WAN-POP节点,包括:
调用所述SD-WAN-CPE节点基于所述基站及所述运营商路由器,将所述加密证书传输至所述安全设备;
利用所述安全设备将所述加密证书传输至所述内网交换机;
利用所述内网交换机将所述加密证书传输至所述SD-WAN-POP节点。
8.根据权利要求1-7任一项所述的基于SD-WAN的安全网络构建方法,其特征在于,所述安全设备为防火墙或机房核心路由器。
9.根据权利要求1-7任一项所述的基于SD-WAN的安全网络构建方法,其特征在于,所述SD-WAN-CPE节点与基站间的通信隧道,以及,各个所述边缘装置与SD-WAN-CPE节点之间的通信隧道,通过配电变压器监测TTU公网前置路由器建立。
10.根据权利要求4所述的基于SD-WAN的安全网络构建方法,其特征在于,所述SD-WAN-POP节点、基站、各个所述边缘装置及SD-WAN-CPE节点间通过因特网密钥交换协议IKE实现密钥交换。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310713928.3A CN116761172A (zh) | 2023-06-15 | 2023-06-15 | 基于sd-wan的安全网络构建方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310713928.3A CN116761172A (zh) | 2023-06-15 | 2023-06-15 | 基于sd-wan的安全网络构建方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116761172A true CN116761172A (zh) | 2023-09-15 |
Family
ID=87954733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310713928.3A Pending CN116761172A (zh) | 2023-06-15 | 2023-06-15 | 基于sd-wan的安全网络构建方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116761172A (zh) |
-
2023
- 2023-06-15 CN CN202310713928.3A patent/CN116761172A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107317674B (zh) | 密钥分发、认证方法,装置及系统 | |
| CN111052672B (zh) | 无证书或预共享对称密钥的安全密钥传输协议 | |
| EP1976322A1 (en) | An authentication method | |
| CN106788989B (zh) | 一种建立安全加密信道的方法及设备 | |
| WO2023082599A1 (zh) | 基于量子密钥的区块链网络安全通信方法 | |
| CN111435913A (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
| CN111756530B (zh) | 量子服务移动引擎系统、网络架构及相关设备 | |
| CN101170413B (zh) | 一种数字证书及其私钥的获得、分发方法及设备 | |
| CN110536292A (zh) | 发送终端序列号的方法和装置以及认证方法和装置 | |
| CN110808834B (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| CN112804356B (zh) | 一种基于区块链的联网设备监管认证方法及系统 | |
| CN110401530A (zh) | 一种燃气表的安全通信方法、系统、设备和存储介质 | |
| CN112565302A (zh) | 基于安全网关的通信方法、系统及设备 | |
| CN111654503A (zh) | 一种远程管控方法、装置、设备及存储介质 | |
| CN117118628A (zh) | 电力物联网轻量级身份认证方法、装置及电子设备 | |
| CN114374550B (zh) | 一种具备高安全性的电力计量平台 | |
| CN112054905B (zh) | 一种移动终端的安全通信方法及系统 | |
| CN116761172A (zh) | 基于sd-wan的安全网络构建方法 | |
| CN118317299B (zh) | 5g加密通信方法、装置、电子设备及存储介质 | |
| CN118413389B (zh) | 一种基于量子安全的零信任网络的访问方法及系统 | |
| CN118282778B (zh) | 多元算力底座中算力节点的密钥管理方法、数据传输方法及系统 | |
| CN115913528B (zh) | 一种基于安全芯片及云端协同的量子密钥管理方法 | |
| CN214205583U (zh) | 一种基于电力可信计算平台通信端到端外置安全通信装置 | |
| CN118450383A (zh) | 网络接入方法及系统 | |
| CN115567195A (zh) | 安全通信方法、客户端、服务器、终端和网络侧设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |