CN117857226B - 基于工业互联网多边平台的安全通信方法及系统 - Google Patents
基于工业互联网多边平台的安全通信方法及系统 Download PDFInfo
- Publication number
- CN117857226B CN117857226B CN202410264384.1A CN202410264384A CN117857226B CN 117857226 B CN117857226 B CN 117857226B CN 202410264384 A CN202410264384 A CN 202410264384A CN 117857226 B CN117857226 B CN 117857226B
- Authority
- CN
- China
- Prior art keywords
- message
- virtual line
- data
- industrial internet
- vpp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 72
- 238000004891 communication Methods 0.000 title claims abstract description 33
- 230000008569 process Effects 0.000 claims abstract description 39
- 238000012545 processing Methods 0.000 claims abstract description 27
- 238000012544 monitoring process Methods 0.000 claims abstract description 6
- 241001323321 Pluto Species 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 abstract description 9
- 238000013461 design Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于工业互联网技术领域,具体涉及基于工业互联网多边平台的安全通信方法及系统,首先对工业互联网在虚拟线下部署IPSec VPN,并设置虚拟线处理节点;然后通过数据包转发模块vpp将从虚拟线接口收到指向内核tap口ip的协商流量重定向到tap口;密钥交换协议IKE的守护进程pluto通过监听tap口对密钥交换协议IKE进行协商,并且密钥交换协议IKE的守护进程pluto将协商好的信息同步给所述数据包转发模块vpp;再将虚拟线接口收到的数据流进行加解密处理;最后将数据包通过虚拟线对应的接口进行转发。该通信方法实现了工业互联网中不改变原有网络部署的情况下进行通信数据的加解密过程,确保了工业互联网的安全稳定运行,提升工业互联网数据传输的安全性能。
Description
技术领域
本发明属于工业互联网技术领域,尤其涉及基于工业互联网多边平台的安全通信方法及系统。
背景技术
工业互联网是新一代信息通信技术与工业经济深度融合的新型基础设施、应用模式和工业生态,通过对人、机、物、系统等的全面连接,构建起覆盖全产业链、全价值链的全新制造和服务体系,为工业乃至产业数字化、网络化、智能化发展提供了实现途径,是第四次工业革命的重要基石。工业互联网不是互联网在工业的简单应用,而是具有更为丰富的内涵和外延。
工业互联网以网络为基础、平台为中枢、数据为要素、安全为保障,既是工业数字化、网络化、智能化转型的基础设施,也是互联网、大数据、人工智能与实体经济深度融合的应用模式,同时也是一种新业态、新产业,将重塑企业形态、供应链和产业链。工业互联网融合应用向国民经济重点行业广泛拓展,形成平台化设计、智能化制造、网络化协同、个性化定制、服务化延伸、数字化管理六大新模式,赋能、赋智、赋值作用不断显现,有力地促进了实体经济提质、增效、降本、绿色、安全发展。
而工业互联网涉及大量的敏感数据和核心资产,工业互联网平台上已经进行网络部署,实现工业数据传输和数据处理,但是在工业数据传输过程中,由于存在不断变化的网络威胁和攻击,工业数据的传输存在较大的安全隐患。
然而拆解掉现有的工业互联网的网络部署,并且重新搭建安全系数更高的网络部署,需要耗费大量的人工和时间,并且成本极高,因此如何在现有的网络部署基础上,确保工业互联网的安全稳定运行,提升工业互联网中数据传输的安全性能,是目前工业互联网亟需解决的技术问题。
发明内容
本发明的目的在于提供基于工业互联网多边平台的安全通信方法,用以实现在现有的网络部署基础上,确保工业互联网的安全稳定运行,提升工业互联网中数据传输的安全性能。
为解决上述技术问题,本发明采用的技术方案如下:
第一方面,提供基于工业互联网多边平台的安全通信方法,包括以下步骤:
S1:将工业互联网的防火墙在虚拟线下部署IPSec VPN ,并设置虚拟线处理节点;
S2:通过数据包转发模块VPP将从虚拟线接口收到指向内核tap口ip的协商流量重定向到tap口;
S3:密钥交换协议IKE的守护进程pluto通过监听tap口对密钥交换协议IKE进行协商,并且所述密钥交换协议IKE的守护进程pluto将协商好的信息同步给所述数据包转发模块VPP;
S4:将虚拟线接口收到的数据流进行加解密处理;
S5:将数据包通过虚拟线对应的接口进行转发。
优选的,步骤S3中具体的协商密钥交换协议IKE过程的报文处理过程如下:
S31:数据包转发模块VPP从虚拟线接口接收到数据报文,送入到网络层进行处理;
S32:将数据报文送到虚拟线处理节点,判断该数据报文是否是送往本地的Tun口的协商报文,如果是,记录该报文的五元组信息以及收到的虚拟线接口id建立正反向会话,发送到Tun口去,执行S33;否则,执行步骤S4;
S33:密钥交换协议IKE的守护进程pluto收到协商报文,处理报文数据,通过所述Tun口发送对应的报文,数据包转发模块VPP从Tun口收到报文,匹配反向会话,若匹配到了,则直接通过匹配信息中的虚拟线接口id发送出该报文;若没有匹配则直接丢弃。
优选的,步骤S4中进行加解密报文的处理过程如下:
S41:数据包转发模块VPP从虚拟线接口接收到数据报文,送入到网络层处理;
S42:将数据报文送到虚拟线处理节点;
S43:判断该报文是否是到Tun口的esp数据报文,若是,直接将数据报文送到网关节点进行解密,丢弃原始数据报文,将解密数据报文通过虚拟线对端接口发送出去;若否,执行步骤S44;
S44:判断报文是否满足SA策略,若是,直接将数据报文发送到网关节点进行加密,丢弃原始报文,将加密报文通过虚拟线对端接口发送出去;否则,直接通过虚拟线对端接口发送出去。
第二方面,提供基于工业互联网多边平台的安全通信系统,实现基于工业互联网多边平台的安全通信方法,包括数据包转发模块VPP和密钥交换协议IKE的守护进程pluto;
所述数据包转发模块VPP,用于从网络接口收发报文;
所述密钥交换协议IKE的守护进程pluto,用于实现IKE协议;
所述数据包转发模块VPP和密钥交换协议IKE的守护进程pluto分别与操作系统的内核kernel连接。
本发明的有益效果包括:
本发明提供的基于工业互联网多边平台的安全通信方法及系统,首先在工业互联网防火墙中,在虚拟线下部署IPSec VPN ,并设置虚拟线处理节点;然后通过数据包转发模块VPP将从虚拟线接口收到指向内核tap口ip的协商流量重定向到tap口;密钥交换协议IKE的守护进程pluto通过监听tap口对密钥交换协议IKE进行协商,并且所述密钥交换协议IKE的守护进程pluto将协商好的信息同步给所述数据包转发模块VPP;再将虚拟线接口收到的数据流进行加解密处理;最后将数据包通过虚拟线对应的接口进行转发。该通信方法实现了工业互联网中不改变原有网络部署的情况下进行通信数据的加解密过程,确保了工业互联网的安全稳定运行,提升工业互联网中数据传输的安全性能。
附图说明
图1为本发明的基于工业互联网多边平台的安全通信方法的流程图。
图2为本发明的基于工业互联网多边平台的安全通信方法中的协商密钥交换协议IKE过程的报文处理流程示意图。
图3为本发明的基于工业互联网多边平台的安全通信方法中的数据报文解密处理的流程示意图。
图4为本发明的基于工业互联网多边平台的安全通信系统的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是,各个系统可以包括另外的设备、组件、模块等,并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外,还可以使用这些方案的组合。
另外,在本申请实施例中,“示例地”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用示例的一词旨在以具体方法呈现概念。
本申请实施例中,“信息(information)”,“信号(signal)”,“消息(message)”,“信道(channel)”、“信令(signalling)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是一致的。“的(of)”,“相应的(corresponding,relevant)”和“对应的(corresponding)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是一致的。
下面结合附图1~图4对本发明作进一步的详细说明:
参见附图1所示,基于工业互联网多边平台的安全通信方法,包括以下步骤:
S1:将工业互联网的防火墙在虚拟线下部署IPSec VPN ,并设置虚拟线处理节点;
S2:通过数据包转发模块VPP将从虚拟线接口收到指向内核tap口ip的协商流量重定向到tap口;
S3:密钥交换协议IKE的守护进程pluto通过监听tap口对密钥交换协议IKE进行协商,并且所述密钥交换协议IKE的守护进程pluto将协商好的信息同步给所述数据包转发模块VPP;
S4:将虚拟线接口收到的数据流进行加解密处理;
S5:将数据包通过虚拟线对应的接口进行转发。
该基于工业互联网多边平台的安全通信方法,在数据包转发模块VPP的数据处理过程中增加了虚拟线,使得数据包转发模块VPP具备了虚拟线的转发功能。数据包转发模块VPP通过Tun口与内核通信转发数据报文,实现了工业互联网中不改变原有网络部署的情况下进行通信数据的加解密过程,确保了工业互联网的安全稳定运行,提升工业互联网中数据传输的安全性能。
上述方案中,参见图2,步骤S3中具体的协商密钥交换协议IKE过程的报文处理过程如下:
S31:数据包转发模块VPP从虚拟线接口接收到数据报文,送入到网络层进行处理;
S32:将数据报文送到虚拟线处理节点,判断该数据报文是否是送往本地的Tun口的协商报文,如果是,记录该报文的五元组信息以及收到的虚拟线接口id建立正反向会话,发送到Tun口去,执行S33;否则,执行步骤S4;
S33:密钥交换协议IKE的守护进程pluto收到协商报文,处理报文数据,通过所述Tun口发送对应的报文,数据包转发模块VPP从Tun口收到报文,匹配反向会话,若匹配到了,则直接通过匹配信息中的虚拟线接口id发送出该报文;若没有匹配则直接丢弃。
上述方案中,用户态启用密钥交换协议IKE的守护进程pluto用于协商将虚拟线接口上的数据收上来,通过判断是否是本地报文且该报文是送往Tun口的,同时通过五元组记录下来同时保存对应的入接口id。若是,则直接送往该Tun口。因为密钥交换协议IKE的守护进程pluto监听了所有的接口,所有密钥交换协议IKE的守护进程pluto会收到数据包转发模块VPP转发过来的报文。密钥交换协议IKE的守护进程pluto收到第一个协商报文以后就会发起对IKE协商过程,发送后面的对应报文,在用户态配置对应的策略,使得密钥交换协议IKE的守护进程pluto发出来的报文通过该Tun口转发出去,这是数据包转发模块VPP通过Tun的id拿到转发的报文,根据反向匹配之前存储的五元组得到之前的入接口id,通过该接口将报文丢出去。
参见图3,步骤S4中进行加解密报文的处理过程如下:
S41:数据包转发模块VPP从虚拟线接口接收到数据报文,送入到网络层处理;
S42:将数据报文送到虚拟线处理节点;
S43:判断该报文是否是到Tun口的esp数据报文,若是,直接将数据报文送到网关节点进行解密,丢弃原始数据报文,将解密数据报文通过虚拟线对端接口发送出去;若否,执行步骤S44;
S44:判断报文是否满足SA策略,若是,直接将数据报文发送到网关节点进行加密,丢弃原始报文,将加密报文通过虚拟线对端接口发送出去;否则,直接通过虚拟线对端接口发送出去。
当数据包转发模块VPP的虚拟线接口收到数据以后,如果是esp报文同时该报文的目的ip指向Tun口,直接通过SA中的密钥进行解密,然后通过虚拟线的另外一个非接收接口进行转发,丢弃原报文;如果是非esp报文,则直接匹配SA中的策略,如果匹配到SA中的策略,通过网关节点进行加密,然后通过虚拟线非接收接口转发,丢弃原报文;如果没有匹配到SA中的策略,则直接通过非接收接口进行数据转发。
上述方法通过在工业互联网的已有网络部署下在虚拟线的环境下面部署IPSecVPN,实现对通信数据的加解密过程,在较低时间成本和人工成本的情况下,提升了现有工业互联网的安全性能。
参见图4,基于工业互联网多边平台的安全通信系统,实现所述的基于工业互联网多边平台的安全通信方法,包括数据包转发模块VPP和密钥交换协议IKE的守护进程pluto;
所述数据包转发模块VPP,用于从网络接口收发报文;
所述密钥交换协议IKE的守护进程pluto,用于实现IKE协议;
所述数据包转发模块VPP和密钥交换协议IKE的守护进程pluto分别与操作系统的内核kernel连接。
综上所述,本发明提供的基于工业互联网多边平台的安全通信方法,首先对工业互联网的防火墙中在虚拟线下部署IPSec VPN ,并设置虚拟线处理节点;然后通过数据包转发模块VPP将从虚拟线接口收到指向内核tap口ip的协商流量重定向到tap口;密钥交换协议IKE的守护进程pluto通过监听tap口对密钥交换协议IKE进行协商,并且所述密钥交换协议IKE的守护进程pluto将协商好的信息同步给所述数据包转发模块VPP;再将虚拟线接口收到的数据流进行加解密处理;最后将数据包通过虚拟线对应的接口进行转发。该通信方法实现了工业互联网中不改变原有网络部署的情况下进行通信数据的加解密过程,确保了工业互联网的安全稳定运行,提升工业互联网中数据传输的安全性能。
以上所述实施例仅表达了本申请的具体实施方法,其描述较为具体和详细,但并不能因此而理解为对本申请保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请技术方案构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。
Claims (4)
1.基于工业互联网多边平台的安全通信方法,其特征在于,包括以下步骤:
S1:将工业互联网的防火墙在虚拟线下部署IPSec VPN ,并设置虚拟线处理节点;
S2:通过数据包转发模块VPP将从虚拟线接口收到指向内核tap口ip的协商流量重定向到tap口;
S3:密钥交换协议IKE的守护进程pluto通过监听tap口对密钥交换协议IKE进行协商,并且所述密钥交换协议IKE的守护进程pluto将协商好的信息同步给所述数据包转发模块VPP;
S4:将虚拟线接口收到的数据流进行加解密处理;
S5:将数据包通过虚拟线对应的接口进行转发。
2.根据权利要求1所述的基于工业互联网多边平台的安全通信方法,其特征在于,步骤S3中具体的协商密钥交换协议IKE过程的报文处理过程如下:
S31:数据包转发模块VPP从虚拟线接口接收到数据报文,送入到网络层进行处理;
S32:将数据报文送到虚拟线处理节点,判断该数据报文是否是送往本地的Tun口的协商报文,如果是,记录该报文的五元组信息以及收到的虚拟线接口id建立正反向会话,发送到Tun口去,执行S33;否则,执行步骤S4;
S33:密钥交换协议IKE的守护进程pluto收到协商报文,处理报文数据,通过所述Tun口发送对应的报文,数据包转发模块VPP从Tun口收到数据报文,并匹配反向会话,若匹配到了,则直接通过匹配信息中的虚拟线接口id发送出该报文;若没有匹配到,则直接将数据报文进行丢弃。
3.根据权利要求2所述的基于工业互联网多边平台的安全通信方法,其特征在于,步骤S4中进行加解密报文的处理过程如下:
S41:数据包转发模块VPP从虚拟线接口接收到数据报文,送入到网络层处理;
S42:将数据报文送到虚拟线处理节点;
S43:判断该报文是否是到Tun口的esp数据报文,若是,直接将数据报文送到网关节点进行解密,丢弃原始数据报文,将解密数据报文通过虚拟线对端接口发送出去;若否,执行步骤S44;
S44:判断报文是否满足SA策略,若是,直接将数据报文发送到网关节点进行加密,丢弃原始报文,将加密报文通过虚拟线对端接口发送出去;否则,直接通过虚拟线对端接口发送出去。
4.基于工业互联网多边平台的安全通信系统,用于实现权利要求1-3中任意一项所述的基于工业互联网多边平台的安全通信方法,其特征在于,包括数据包转发模块VPP和密钥交换协议IKE的守护进程pluto;
所述数据包转发模块VPP,用于从网络接口收发报文;
所述密钥交换协议IKE的守护进程pluto,用于实现IKE协议;
所述数据包转发模块VPP和密钥交换协议IKE的守护进程pluto分别与操作系统的内核kernel连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410264384.1A CN117857226B (zh) | 2024-03-08 | 2024-03-08 | 基于工业互联网多边平台的安全通信方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410264384.1A CN117857226B (zh) | 2024-03-08 | 2024-03-08 | 基于工业互联网多边平台的安全通信方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117857226A CN117857226A (zh) | 2024-04-09 |
| CN117857226B true CN117857226B (zh) | 2024-05-31 |
Family
ID=90546922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410264384.1A Active CN117857226B (zh) | 2024-03-08 | 2024-03-08 | 基于工业互联网多边平台的安全通信方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117857226B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610264A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 |
| CN112699397A (zh) * | 2021-01-22 | 2021-04-23 | 山西大学 | 基于虚拟环境下的软件加解密方法和系统 |
| CN117254976A (zh) * | 2023-11-15 | 2023-12-19 | 杭州海康威视数字技术股份有限公司 | 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9979704B2 (en) * | 2014-12-17 | 2018-05-22 | Cisco Technology, Inc. | End-to-end security for virtual private service chains |
-
2024
- 2024-03-08 CN CN202410264384.1A patent/CN117857226B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610264A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 |
| CN112699397A (zh) * | 2021-01-22 | 2021-04-23 | 山西大学 | 基于虚拟环境下的软件加解密方法和系统 |
| CN117254976A (zh) * | 2023-11-15 | 2023-12-19 | 杭州海康威视数字技术股份有限公司 | 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 对云网融合技术创新的相关思考;史凡;;电信科学;20200720(第07期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117857226A (zh) | 2024-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hennebert et al. | Security protocols and privacy issues into 6LoWPAN stack: A synthesis | |
| US11165604B2 (en) | Method and system used by terminal to connect to virtual private network, and related device | |
| CN100437543C (zh) | 在第2层装置中实现第3层/第7层防火墙的方法和设备 | |
| EP1911192B1 (en) | Suspension and resumption of secure data connection session | |
| US20030088787A1 (en) | Method and apparatus to manage address translation for secure connections | |
| US8160255B2 (en) | System and method for encrypted group network communication with point-to-point privacy | |
| EP1175061A2 (en) | Computer systems, in particular virtual private networks | |
| KR20170140157A (ko) | 안전한 동적 통신망 및 프로토콜 | |
| US20090113202A1 (en) | System and method for providing secure network communications | |
| CN101753553B (zh) | 安全隔离与信息交换系统及方法 | |
| CN111865903A (zh) | 报文传输的方法、装置和系统 | |
| CN105359480A (zh) | 针对受约束资源设备的密钥建立 | |
| JP2008228273A (ja) | データストリームのセキュリティを確保するための方法 | |
| CN114844730A (zh) | 一种基于可信隧道技术构建的网络系统 | |
| US20020178356A1 (en) | Method for setting up secure connections | |
| JP2001292174A (ja) | インターネットのメールドメイン間の保安されたeメール交信を構成するための方法及び通信装置 | |
| US20060143701A1 (en) | Techniques for authenticating network protocol control messages while changing authentication secrets | |
| CN117857226B (zh) | 基于工业互联网多边平台的安全通信方法及系统 | |
| Castilho et al. | Proposed model to implement high-level information security in internet of things | |
| CN111683093A (zh) | 基于IPv6网络的动态隐蔽通信方法 | |
| CN1996960B (zh) | 一种即时通信消息的过滤方法及即时通信系统 | |
| CN113746861B (zh) | 基于国密技术的数据传输加密、解密方法及加解密系统 | |
| CN114614984A (zh) | 一种基于国密算法的时间敏感网络安全通信方法 | |
| US7237263B1 (en) | Remote management of properties, such as properties for establishing a virtual private network | |
| CN112787940A (zh) | 一种多级vpn加密传输方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |