CN117336038A - 一种广域网数据旁路加密传输方法、设备及介质 - Google Patents
一种广域网数据旁路加密传输方法、设备及介质 Download PDFInfo
- Publication number
- CN117336038A CN117336038A CN202311244171.4A CN202311244171A CN117336038A CN 117336038 A CN117336038 A CN 117336038A CN 202311244171 A CN202311244171 A CN 202311244171A CN 117336038 A CN117336038 A CN 117336038A
- Authority
- CN
- China
- Prior art keywords
- encryption
- communication
- gateway
- spoke
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 73
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004891 communication Methods 0.000 claims abstract description 116
- 230000007246 mechanism Effects 0.000 claims abstract description 17
- 239000000463 material Substances 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 8
- 238000005538 encapsulation Methods 0.000 claims description 3
- 238000011084 recovery Methods 0.000 abstract description 2
- 230000003287 optical effect Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种广域网数据旁路加密传输方法、设备及介质,其中方法包括以下步骤:在通信端点旁路并联部署加密网关;正常传输过程中,建立加密网关之间的互联加密隧道,各通信端点间优先选择从加密网关的加密隧道进行加密通信;当某一侧加密网关故障或链路故障时,与该故障加密网关进行通信的各通信端点间基于自动旁路机制切换到明文传输,优先选择相应的路由器进行端到端数据非加密通信;不直接与该故障加密网关进行通信的其他通信端点间仍优先选择从加密网关的加密隧道进行加密通信。与现有技术相比,本发明具有适用范围广、使用方便、加密/非加密链路可自动切换/恢复等优点。
Description
技术领域
本发明涉及轨交信号业务系统数据传输领域,尤其是涉及一种广域网数据旁路加密传输方法、设备及介质。
背景技术
图1为轨交行业信息系统常用的业务场景,即处于不同站点的业务终端通过交换机/路由器与中心侧服务器/终端互联。未设置加密网关场景下,站点终端与中心服务器之间数据传输均采用明文传输,无加密措施。业务系统服务器与终端之间采用IP地址和端口号识别,未进行身份认证。传输平台一般不具备传输加密服务,重要业务系统数据传输过程面临的安全风险日益突出。等级保护基本要求和密码法中明确要求要确保数据在传输过程中的完整性和保密性。如何有效保护轨交行业信号系统网络数据传输安全,防止数据泄漏、截取和篡改对系统造成重大影响,加强信号系统数据保护成为亟待解决的问题。
为解决信息系统传输安全问题,可在物理层、数据链路层、网络层、传输层、应用层实现数据传输加密。物理层可使用非通用波段光模块方式,使得物理层无法通过通用光波仪器来获取数据。数据链路层可使用两侧固定密钥加密或传输平台板卡加密,使得两端传输链路是加密通信。网络层/传输层可通过VPN技术实现数据传输加密,应用层可通过调用加密中间件或加密板卡来实现数据传输加密。
上述几种方案各有特点,以下进行简单描述。物理层采用非通用波段光模块会引起成本显著增加且不符合设备通用替代理念。物理层采用非通用波段光模块要求数据通信双方的底层通信链路全部进行改造,成本较高。数据链路层通过数通设备或传输板卡使用固定密钥数据加密,具备一定程度上安全要求,但不满足密评要求。网络层/传输层使用VPN技术需要将设备串联部署在业务系统。串联部署在网络内部部署模式一方面会增加网络通信风险,一旦发生设备或链路故障,会导致业务系统不能正常工作。应用层可通过加密中间件方式或加密板卡实现数据传输加密,但当加密中间件或加密板卡故障时,需要重新协商两端通信是否加密,存在业务系统程序改造和通信协商时延、通信密钥和身份认证问题,对业务系统改造较大、程序员能力要求较高。综上,上述几种解决方法在不同的层级对数据进行传输加密时,均不能很好的解决传输加密设备故障或链路故障场景。
CN114465848A公开了一种基于密文的数据传输方法及其系统,方法包括:终端根据VPN客户端以及VPN网关的相关信息确定终端和服务器之间是否进行密文通信;通过所述VPN客户端以及VPN网关在所述终端和服务器之间进行密文通信,能够同时满足铁路行业信息系统的可靠性和数据传输安全的需求,使得网络中处于不同位置不同VLAN的多台终端均可以与服务器实现加密通信,适用于铁路信息系统常用的业务场景。该方法的VPN终端侧虽然有身份认证机制,但需要手工断开VPN客户端软件才可进行正常明文通信,并且如需要再次启用密文通信,则需要在终端侧再次手动点击连接按钮才可以实现密文通信,无法实现自动切换。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种广域网数据旁路加密传输方法、设备及介质,在不影响原有业务系统的前提下,通过在业务系统旁挂加密网关方式实现业务系统旁路加密传输机制,有效加强数据传输加密安全性,并在各站点设备或链路故障时,自动选择数据传输是否使用加密机制,不影响原有业务系统数据传输,既提高了传输过程中数据的保密性、完整性和安全性,又不影响到业务系统的可用性。
本发明的目的可以通过以下技术方案来实现:
根据本发明的第一方面,提供了一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法,该方法包括以下步骤:
S1、在通信端点旁路并联部署加密网关;
S2、正常传输过程中,建立加密网关之间的互联加密隧道,各通信端点间优先选择从加密网关的加密隧道进行加密通信;
S3、当某一侧加密网关故障或链路故障时,与该故障加密网关进行通信的各通信端点间基于自动旁路机制切换到明文传输,优先选择相应的路由器进行端到端数据非加密通信;不与该故障加密网关进行通信的其他通信端点间仍优先选择从加密网关的加密隧道进行加密通信。
作为优选的技术方案,所述的广域网数据旁路加密传输方法适用于Hub-Spoke/Full-Mesh模型场景的数据通信加密。
作为优选的技术方案,所述的步骤S2包括以下步骤:
S21、一阶段加密隧道建立:两端通信端点的加密网关进行身份认证,生成一阶段加密密钥,为二阶段加密数据传输建立安全通道;
S22、二阶段加密数据传输:两端通信端点通过安全通道交互加密套件、交换密钥材料,生成二阶段加密密钥,形成加密隧道,实现两端加密通信。
作为优选的技术方案,所述的步骤S21具体为:两端通信端点的加密网关通过协商加密算法、认证算法、封装模式、DH组标识、交换数字证书进行身份认证,使用DH算法交换密钥材料后,双方各自生成一阶段加密密钥,基于一阶段加密密钥建立安全通道。
作为优选的技术方案,所述的步骤S22具体为:两端通信端点的加密网关通过一阶段建立的安全通道交互IPSec安全参数、密钥材料,双方各自生成基于国密SM4的二阶段IPSec加密密钥,形成动态多点加密隧道模型,实现两端加密通信。
作为优选的技术方案,所述的一阶段加密密钥和二阶段加密密钥周期性自动生成。
作为优选的技术方案,所述的通信端点包括Hub站点和多个Spoke站点,Hub站点和Spoke站点之间存在数据通信需求,Spoke站点和Spoke站点之间存在数据通信需求。
作为优选的技术方案,所述的步骤S3中,在Hub侧加密网关故障或链路故障场景下,Hub-Spoke站点和Spoke-Spoke站点之间数据流量基于自动旁路机制切换到明文传输,选择相应的路由器进行端到端数据非加密通信,实现两端主机之间数据通信。
作为优选的技术方案,所述的步骤S3中,在Spoke侧加密网关故障或链路故障场景下,与该故障的Spoke站点直接进行通信的Hub-Spoke站点和Spoke-Spoke站点基于自动旁路机制切换到明文传输,选择相应的路由器进行端到端数据非加密通信;不直接与该故障加密网关进行通信的Hub-Spoke站点和Spoke-Spoke站点优先选择从加密网关的加密隧道进行加密通信。
作为优选的技术方案,所述的步骤S3中,当故障的加密网关或链路恢复后,通信加密网关之间互联加密隧道自动恢复,两端通信端点恢复使用加密隧道进行数据加密通信。
本技术方案在不影响原有业务系统的前提下,通过在业务系统旁挂加密网关方式实现业务系统旁路加密传输机制。使用数字证书实现身份认证,降低通信双方可能存在的身份认证问题。加密密钥使用国密算法,加强了数据传输过程中的保密性。密钥自动协商、更新机制则解决了密钥时效性问题,有效加强数据传输加密安全性,杜绝数据在传输过程中的泄漏、篡改。各站点设备或链路故障时,可自动选择数据传输是否使用加密机制,不影响原有业务系统数据传输,既提高了传输过程中数据的保密性、完整性和安全性,又不影响到业务系统的可用性。
根据本发明的第二方面,提供了一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现所述的方法。
根据本发明的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现所述的方法。
与现有技术相比,本发明具有以下有益效果:
(1)灵活性强,通过在业务系统旁挂加密网关方式实现旁路加密传输,可适用于私有网络加密传输,能适应加密传输和非加密传输同时存在场景;
(2)鲁棒性好,各站点加密网关或链路故障时,可自动选择数据传输是否使用加密机制,不影响原有业务系统数据传输,既提高了传输过程中数据的保密性、完整性和安全性,又不影响到业务系统的可用性;当加密网关故障或链路故障恢复时,可从非加密通信状态自动恢复到加密通信状态,无需人为干预;
(3)安全性优,加密网关之间使用数字证书进行身份认证,加密网关一阶段协商使用SM3进行数据散列,二阶段密钥使用SM4对称密钥,提高了加密隧道可靠性;
(4)时效性好,基于国密的密钥动态更新机制,解决了密钥时效性问题,增加外界的恶意破译的难度,有效加强数据传输加密安全性;
(5)兼容性强,既有系统如需实现传输过程加密,通过本方法可逐站设置加密网关,平滑演进至最终目标方案。
附图说明
图1为轨交行业信息系统常用的业务场景示意图;
图2为本发明的方法流程图;
图3为本发明的广域网数据旁路加密传输方法针对的业务场景示意图;
图4为本发明建立加密隧道的流程示意图;
图5为Hub侧加密网关故障或链路故障场景示意图;
图6为Spoke侧加密网关故障或链路故障场景示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
本实施例提供一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法,,通过旁路设置加密网关方式对端到端数据进行加密,可用于对信号业务系统Hub-Spoke/Full-Mesh模型场景,不论是Hub/Spoke端设备或加密网关链路故障,均可自动切换到非加密链路进行通信。该方法无需物理层、数据链路层或应用层进行改造,在不影响原有业务系统的前提下,通过在业务系统旁挂加密网关方式实现业务系统旁路加密传输功能。如图2所示,该方法包括以下步骤:
S1、在通信端点旁路并联部署加密网关。
如图3所示,业务系统中的通信端点包括Hub站点和多个Spoke站点,Hub站点和Spoke站点之间存在数据通信需求,Spoke站点和Spoke站点之间存在数据通信需求。加密网关在通信端点旁路部署,并联旁挂于业务系统中,不直接串联在业务系统中。加密网关导入数字证书用于加密网关之间双向身份认证,加密网关之间通过建立通信隧道,协商加密套件、交换密钥材料生成加密密钥,用于业务数据通信加密通信,加密密钥可定期自动更换。
S2、正常传输过程中,建立加密网关之间的互联加密隧道,各通信端点间优先选择从加密网关的加密隧道进行加密通信。
即,正常情况下,一侧加密网关根据安全策略,将数据流量加密后经加密隧道发向对侧加密网关,对端加密网关解密后发送给原目的业务主机(PC终端)。业务主机双方对加密过程透明无感,业务主机双方接收和发送的数据均为明文。
在一种实施例中,若业务系统中既有设有加密网关的站点,又有未设置加密网关的站点,则设置加密网关站点可与未设置加密网关站点使用明文通信,与已设置加密网关站点实现加密通信。在既有系统可逐步推进加密网关安装调试,不影响既有业务系统正常运行。
一种择优的实施例中,步骤S2包括以下步骤:
S21、一阶段加密隧道建立:两端通信端点的加密网关通过协商加密算法、认证算法、封装模式、DH组标识、交换数字证书进行身份认证,使用DH算法交换密钥材料后,基于国密SM3进行数据散列,双方各自生成一阶段加密密钥,基于一阶段加密密钥建立安全通道。
S22、二阶段加密数据传输:两端通信端点的加密网关通过一阶段建立的安全通道交互IPSec安全参数、密钥材料,双方各自生成基于国密SM4的二阶段IPSec加密密钥,形成动态多点加密隧道模型,实现两端加密通信。
一阶段加密密钥和二阶段加密密钥均可周期性自动生成,克服了密钥时效性问题。
如图4所示,加密隧道的构建流程如下:
1)Hub/Spoke模型底层路由互联完成,各站点网络终端/服务器之间可以互访。
2)在各Hub/Spoke站点旁路配置加密网关后,加密网关导入CA证书和CA颁发的证书。
3)各站点加密网关借助底层路由形成多点隧道链路,加密网关可获得各站点路由条目。
4)在动态多点互联VPN基础上,Hub/Spoke两端加密网关首先通过IKE协议,利用数字证书进行身份认证,通过协商加密算法、认证算法、封装模式、DH组标识,使用DH算法交换密钥材料后,双方各自生成一阶段加密密钥,一阶段加密密钥为二阶段建立安全传输通道。如果一阶段加密密钥协商成功,则进行下一步,否则重复本步骤直至协商完成。
5)Hub/Spoke两端加密网关通过IKE一阶段建立的安全传输通道,双方交互IPSec安全参数、密钥材料,双方各自生成二阶段IPSec加密密钥。如果二阶段加密密钥协商成功,则进行下一步,否则重复本步骤直至协商完成。
6)Hub/Spoke站点加密网关形成动态多点加密隧道模型。
S3、当某一侧加密网关故障或链路故障时,与该故障加密网关进行通信的各通信端点间基于自动旁路机制切换到明文传输,优先选择相应的路由器进行端到端数据非加密通信;不与该故障加密网关进行通信的其他通信端点间仍优先选择从加密网关的加密隧道进行加密通信。
情况一:Hub侧加密网关故障或链路故障
如图5所示,在Hub侧加密网关故障或链路故障场景下,Hub-Spoke站点和Spoke-Spoke站点之间数据流量基于自动旁路机制切换到明文传输,选择相应的路由器进行端到端数据非加密通信,实现两端主机之间数据通信。
具体的,当Hub侧加密网关故障场景下,如图5中①所示,核心交换机无法从加密网关学习到底层各站点路由,此时Hub侧交换机通过Hub侧路由器实现Hub-Spoke端到端数据非加密通信;Spoke站点路由器收到数据后将根据目标地址直接转发给终端设备,自动切换到非加密通信状态。当Spoke侧加密网关没有目标路由时,加密网关将数据包使用明文方式转发至路由器设备,由Spoke侧路由器进行非加密数据转发;Hub侧路由器收到数据后将根据目标地址转发给交换机后,由交换机转发给服务器或终端设备。
当Hub侧加密网关链路故障场景下:
如图5中②所示,Hub侧加密网关与路由器侧互联链路全部故障时,加密网关无法通过隧道获取对端路由条目,此时交换机选择从路由器进行数据转发,实现Hub-Spoke端到端数据非加密通信;Spoke侧加密网关无法获取对端路由条目,也切换到非加密状态。
如图5中③所示,Hub侧加密网关与交换机侧互联链路全部故障时,交换机无法获取加密网关学习到的路由条目,交换机将选择通过路由器Hub-Spoke端到端数据非加密通信;Spoke侧加密网关无法获取对端路由,也切换到非加密状态。
情况二:Spoke侧加密网关故障或链路故障
如图6所示,在Spoke侧加密网关故障或链路故障场景下,与该故障的Spoke站点直接进行通信的Hub-Spoke站点(Hub站点-本站点Spoke)和Spoke-Spoke站点(本站点Spoke-任意站Spoke)基于自动旁路机制切换到明文传输,选择相应的路由器进行端到端数据非加密通信。本站点Spoke加密网关故障不影响到Hub-非本站Spoke和非本站点Spoke-非本站点Spoke之间的加密通信,即不直接与该故障加密网关进行通信的Hub-Spoke站点(Hub站点-非本站Spoke站点)和Spoke-Spoke站点(非本站点Spoke-非本站点Spoke)仍优先选择从加密网关的加密隧道进行加密通信。
当Hub侧加密网关工作正常,Spoke侧加密网关故障场景下,如图6中①所示,终端设备优选路由器网关实现Hub-Spoke/Spoke-Spoke端到端数据非加密通信。当Hub侧路由器收到数据后将根据目标地址转发给交换机,由交换机转发给服务器或终端设备;Spoke站点路由器收到数据后将根据目标地址直接转发给终端设备,自动切换到非加密通信状态。
当Hub侧加密网关工作正常,Spoke侧加密网关链路故障场景下:
如图6中②所示,Spoke侧加密网关与交换机上行互联链路故障场景下,终端设备将自动选择路由器网关实现与外部的非加密通信。当Hub侧路由器收到数据后将根据目标地址转发给交换机,由交换机转发给服务器或终端设备,切换到非加密通信。
如图6中③所示,Spoke侧加密网关与交换机下行互联链路故障场景下,终端设备将自动选择路由器网关实现与外部的非加密通信。当Hub侧路由器收到数据后将根据目标地址转发给交换机,由交换机转发给服务器或终端设备,切换到非加密通信。
当故障的加密网关或链路恢复后,通信加密网关之间互联加密隧道自动恢复,无需人为干预,两端通信端点恢复使用加密隧道进行数据加密通信。即,当Hub侧加密网关设备及链路故障恢复情况下,Hub-Spoke和Spoke-Spoke加密通信链路可自动恢复,无需人为干预。当Hub侧加密网关工作正常前提下,Spoke侧加密网关设备及链路故障恢复情况下,Hub-本站点Spoke和本站点Spoke-其他Spoke站点加密通信链路可自动恢复,无需人为干预。
本发明电子设备包括中央处理单元(CPU),其可以根据存储在只读存储器(ROM)中的计算机程序指令或者从存储单元加载到随机访问存储器(RAM)中的计算机程序指令,来执行各种适当的动作和处理。在RAM中,还可以存储设备操作所需的各种程序和数据。CPU、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。
设备中的多个部件连接至I/O接口,包括:输入单元、输出单元,例如各种类型的显示器、扬声器等;存储单元,例如磁盘、光盘等;以及通信单元,例如网卡、调制解调器、无线通信收发机等。通信单元允许设备通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理单元执行上文所描述的各个方法和处理,例如方法S1~S3。例如,在一些实施例中,方法S1~S3可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元。在一些实施例中,计算机程序的部分或者全部可以经由ROM和/或通信单元而被载入和/或安装到设备上。当计算机程序加载到RAM并由CPU执行时,可以执行上文描述的方法S1~S3的一个或多个步骤。备选地,在其他实施例中,CPU可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法S1~S3。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
用于实施本发明的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (12)
1.一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法,其特征在于,该方法包括以下步骤:
S1、在通信端点旁路并联部署加密网关;
S2、正常传输过程中,建立加密网关之间的互联加密隧道,各通信端点间优先选择从加密网关的加密隧道进行加密通信;
S3、当某一侧加密网关故障或链路故障时,与该故障加密网关进行通信的各通信端点间基于自动旁路机制切换到明文传输,优先选择相应的路由器进行端到端数据非加密通信;不与该故障加密网关进行通信的其他通信端点间仍优先选择从加密网关的加密隧道进行加密通信。
2.根据权利要求1所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法,其特征在于,所述的广域网数据旁路加密传输方法适用于Hub-Spoke/Full-Mesh模型场景的数据通信加密。
3.根据权利要求1所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法,其特征在于,所述的步骤S2包括以下步骤:
S21、一阶段加密隧道建立:两端通信端点的加密网关进行身份认证,生成一阶段加密密钥,为二阶段加密数据传输建立安全通道;
S22、二阶段加密数据传输:两端通信端点通过安全通道交互加密套件,交换密钥材料,生成二阶段对称加密密钥,通过加密隧道实现两端加密通信。
4.根据权利要求3所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法,其特征在于,所述的步骤S21具体为:两端通信端点的加密网关通过协商加密算法、认证算法、封装模式、DH组标识、交换数字证书进行身份认证,使用DH算法交换密钥材料后,双方各自生成一阶段加密密钥,基于一阶段加密密钥建立安全通道。
5.根据权利要求3所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法,其特征在于,所述的步骤S22具体为:两端通信端点的加密网关通过一阶段建立的安全通道交互IPSec安全参数、密钥材料,双方各自生成基于国密SM4的二阶段IPSec加密密钥,形成动态多点加密隧道模型,实现两端加密通信。
6.根据权利要求3所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法,其特征在于,所述的一阶段加密密钥和二阶段加密密钥周期性自动生成。
7.根据权利要求1所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法,其特征在于,所述的通信端点包括Hub站点和多个Spoke站点,Hub站点和Spoke站点之间存在数据通信需求,Spoke站点和Spoke站点之间存在数据通信需求。
8.根据权利要求7所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法,其特征在于,所述的步骤S3中,在Hub侧加密网关故障或链路故障场景下,Hub-Spoke站点和Spoke-Spoke站点之间数据流量基于自动旁路机制切换到明文传输,选择相应的路由器进行端到端数据非加密通信,实现两端主机之间数据通信。
9.根据权利要求7所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法,其特征在于,所述的步骤S3中,在Spoke侧加密网关故障或链路故障场景下,与该故障的Spoke站点直接进行通信的Hub-Spoke站点和Spoke-Spoke站点基于自动旁路机制切换到明文传输,选择相应的路由器进行端到端数据非加密通信;不直接与该故障加密网关进行通信的Hub-Spoke站点和Spoke-Spoke站点优先选择从加密网关的加密隧道进行加密通信。
10.根据权利要求1所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法,其特征在于,所述的步骤S3中,当故障的加密网关或链路恢复后,通信加密网关之间互联加密隧道自动恢复,两端通信端点恢复使用加密隧道进行数据加密通信。
11.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~10中任一项所述的方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~10中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311244171.4A CN117336038A (zh) | 2023-09-25 | 2023-09-25 | 一种广域网数据旁路加密传输方法、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311244171.4A CN117336038A (zh) | 2023-09-25 | 2023-09-25 | 一种广域网数据旁路加密传输方法、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117336038A true CN117336038A (zh) | 2024-01-02 |
Family
ID=89289526
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311244171.4A Pending CN117336038A (zh) | 2023-09-25 | 2023-09-25 | 一种广域网数据旁路加密传输方法、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117336038A (zh) |
-
2023
- 2023-09-25 CN CN202311244171.4A patent/CN117336038A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11134064B2 (en) | Network guard unit for industrial embedded system and guard method | |
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| US8112622B2 (en) | Chaining port scheme for network security | |
| CN102882789B (zh) | 一种数据报文处理方法、系统及设备 | |
| US9002016B2 (en) | Rekey scheme on high speed links | |
| US9806886B2 (en) | Service plane encryption in IP/MPLS networks | |
| US20050114710A1 (en) | Host bus adapter for secure network devices | |
| US20110162081A1 (en) | Method and device for protecting the integrity of data transmitted over a network | |
| CN110753327B (zh) | 一种基于无线自组网和LoRa的终端物联接入系统 | |
| CN101572644B (zh) | 一种数据封装方法和设备 | |
| EP3905623A1 (en) | Data transmission method and apparatus, related device, and storage medium | |
| US20230388339A1 (en) | Secure communication method, apparatus, and system for dc interconnection | |
| CN114844730A (zh) | 一种基于可信隧道技术构建的网络系统 | |
| US20140208094A1 (en) | Control plane encryption in ip/mpls networks | |
| CN105635154A (zh) | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 | |
| CN211352206U (zh) | 基于量子密钥分发的IPSec VPN密码机 | |
| CN109617908B (zh) | 一体化通信单元的涉密信息传输方法及系统 | |
| CN117336038A (zh) | 一种广域网数据旁路加密传输方法、设备及介质 | |
| CN114157509B (zh) | 基于国密算法具备SSL和IPsec的加密方法及装置 | |
| WO2022001937A1 (zh) | 业务传输方法、装置、网络设备和存储介质 | |
| CN115473729A (zh) | 数据传输方法、网关、sdn控制器及存储介质 | |
| CN111935112B (zh) | 一种基于串行的跨网数据安全摆渡设备和方法 | |
| CN114338116B (zh) | 加密传输方法、装置及sd-wan网络系统 | |
| CN115150179B (zh) | 软硬生命老化控制方法和相关装置、芯片、介质和程序 | |
| CN113473470A (zh) | 基于5g的充电桩组网通信系统及双向通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |