CN117857317A - 一种基于加密网络的冗余双网口、配置方法及加密方法 - Google Patents
一种基于加密网络的冗余双网口、配置方法及加密方法 Download PDFInfo
- Publication number
- CN117857317A CN117857317A CN202311707698.6A CN202311707698A CN117857317A CN 117857317 A CN117857317 A CN 117857317A CN 202311707698 A CN202311707698 A CN 202311707698A CN 117857317 A CN117857317 A CN 117857317A
- Authority
- CN
- China
- Prior art keywords
- network
- upper computer
- network card
- equipment
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 230000006854 communication Effects 0.000 claims abstract description 49
- 238000004891 communication Methods 0.000 claims abstract description 46
- 239000013307 optical fiber Substances 0.000 claims abstract description 4
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000003993 interaction Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 8
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 230000000694 effects Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于核电站控制系统技术领域,具体涉及一种基于加密网络的冗余双网口及加密方法。包括两块物理网卡,两个网卡通过网线或光纤接入同一个交换机,上位机的一网口也接入同一交换机,在设备上添加虚拟网卡并将设备的两个物理网卡绑定到虚拟网卡。本发明的有益效果在于:设备端应包含至少两个网口作为通讯端口,设备的两个通讯网口与服务器端的通讯网口同时连接到同一交换机上,设备端软件采用bonding技术绑定两个网口到虚拟网卡,在正确配置完虚拟网卡后,服务器端的上位机软件与设备端通过网络实现通讯,并且设备端实现双网口的冗余热备效果。
Description
技术领域
本发明属于核电站控制系统技术领域,具体涉及一种基于加密网络的冗余双网口及加密方法。
背景技术
现阶段随着国际形势的发展,核电站的网络质量和安全重要性日益凸显,常规的单网口明文通讯方式显然已经不能满足需求。这种方式一旦网口出现问题就会导致设备断网,同时明文传输的通讯方式也导致传输内容容易泄露的问题。对于当前主流的方式就是使用网口冗余方案及硬件加密方式,但是也有以下不足:
(1)设计多个独立网口,但由于独立网口配置的不同IP地址及MAC地址,导致应用层不能有效切换到新的网口。即使切换成功,由于对外交互网口IP地址和MAC地址都发生了改变,对外的所有连接状态都需要做重新建立,网口切换平滑性不好,切换延时大。
(2)采用硬件加密确实会保证了通讯的安全,但同时也带来了产品成本的增加和产品容错率的降低。
发明内容
本发明的目的是提供一种基于加密网络的冗余双网口及加密方法,能够保证设备端与服务器端的网络质量和网络安全。
本发明的技术方案如下:一种基于加密网络的冗余双网口,包括两块物理网卡,两个网卡通过网线或光纤接入同一个交换机,上位机的一网口也接入同一交换机,在设备上添加虚拟网卡并将设备的两个物理网卡绑定到虚拟网卡。
包括配置设备虚拟网卡的工作方式、网卡速率和主备关系,将其配置为主备模式并配置第一网卡为主网卡,第二网卡为备网卡。
包括配置设备虚拟网卡和上位机装置的IP地址、子网掩码、网关和MAC地址,使两者在同一局域网内进行通信。
通信过程中设备端的第一网卡作为主网卡将投入使用,而第二网卡作为备网卡则处于待命状态;在第一网卡的网络出现通信故障,主备网卡角色转化,第二网卡作为主网卡负责通信,第一网卡则作为备用网卡。
一种基于加密网络的冗余双网口配置方法,包括如下:
将设备双网口和上位机网口通过HUB进行互联;绑定双网卡到虚拟网卡,正确配置虚拟网卡和上位机网卡,组成双网热备冗余网络;设备发送密钥协商帧到上位机,上位机回复密钥协商帧,获取两帧内容通过特定算法获取AES密钥;设备和上位机的通过AES密钥进行AES加密网络帧实现信息交互。
设备端至少包含两个网口来进行冗余设置,同时两个网口和服务器端的通讯网口接入同一个HUB进行通讯。
设备端的双网口绑定到虚拟网卡上,并将虚拟网卡和上位机通讯网卡设置在同一IP局域网网段,来实现上位机和设备的网络通讯。
上位机和设备之间的网络通讯报文通过AES加密算法进行加密,在上位机和设备通讯成功后,设备将自身产生的随机数加入密钥协商报文并进行发送,上位机接收到协商报文后也将产生的随机数加入报文进行回复,设备和上位机将两者的随机数进行组合后,得到相同的加密密钥。
上位机和设备在得到通讯密钥后,通过密钥进行数据通信,报文在发出前需进行CRC校验,并将CRC校验码随报文一起发出,报文内容通过CRC校验码保证其完整性,通过加密保证安全性。
一种基于加密网络的冗余双网口的加密方法,包括如下:设备作为客户端主动发起socket连接,上位机作为服务端等待socket连接,socket连接建立后,设备端将生成的16字节的随机数放入报文发送给上位机,上位机收到随机数1后生成16字节的随机数放入报文回复给设备端,回复的16字节的随机数就是随机数2;上位机和设备端根据得到的随机数1和随机数2进行自定义的算法处理,得到用于AES加密的密钥;设备端发送加密后的握手帧,如果双方密钥相同,上位机在接收到该帧后能正确解密握手帧并发送加密后的握手成功的回复帧;如果双方密钥不同,上位机则会发送握手失败的回复帧,表示双方的密钥不相同,并结束该连接;如果握手成功,设备和上位机在该socket连接上的通信就将以该密钥进行报文加密传输。
本发明的有益效果在于:设备端应包含至少两个网口作为通讯端口,设备的两个通讯网口与服务器端的通讯网口同时连接到同一交换机上,设备端软件采用bonding技术绑定两个网口到虚拟网卡,在正确配置完虚拟网卡后,服务器端的上位机软件与设备端通过网络实现通讯,并且设备端实现双网口的冗余热备效果。为保证上位机与设备通讯的数据安全,双方使用AES加密算法对通讯数据进行加密,AES密钥通过约定好的定制算法获取。提高了网络链路的稳定性,同时通过网络负载均衡策略和网络加密的方式可以大大提高数据的安全性。
附图说明
图1为本发明实施例1提供的双网口的网络连接图;
图2为本发明实施例1提供的网络通信AES加密过程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明提供一种基于加密网络的冗余双网口,包括两块网卡,将两个网卡通过网线或光纤接入同一个交换机,上位机的一网口也接入同一交换机,Linuxbonding驱动提供了一种方法,用以把多个网络接口组合成一个逻辑的虚拟网络接口。该接口的工作方式取决于驱动的模式,不同的模式提供了热备份或负载均衡等不同的服务。通过bonding技术在设备上添加虚拟网卡并将设备的两个物理网卡绑定到虚拟网卡。
首先需要在Linux系统下加载bonding驱动,使系统支持bonding技术。其次可以通过修改系统网络配置文件或者使用命令行修改网络配置的方式,来进行bonding配置。配置bonding主要包括配置虚拟网卡绑定的物理网卡,配置设备虚拟网卡的模式、网卡速率、主备关系等。将其配置为主备模式并配置第一网卡为主网卡,第二网卡为备网卡。配置设备虚拟网卡和上位机装置的IP地址、子网掩码、网关和MAC地址,使两者可以在同一局域网内进行通信。至此,通过bonding技术配置双网卡冗余模式已经完成,设备和上位机已经可以进行正常的网络通信,通信过程中设备端的第一网卡作为主网卡将投入使用,而第二网卡作为备网卡则处于待命状态。只有在第一网卡的网络出现通信故障,才会出现主备网卡角色转化,第二网卡作为主网卡负责通信,而第一网卡则作为备用网卡。此时,设备软件应该尽量去检测网路1的故障,并给出相应的响应(告警或日志记录等)。
图2所示,一种基于加密网络的冗余双网口的加密方法,包括如下:设备作为客户端主动发起socket连接,上位机作为服务端等待socket连接。
socket连接建立后,设备端将生成的16字节的随机数放入报文发送给上位机,这16字节的随机数就是随机数1。
上位机收到随机数1后也会生成16字节的随机数放入报文回复给设备端,回复的16字节的随机数就是随机数2。
上位机和设备端根据得到的随机数1和随机数2进行自定义的算法处理,得到用于AES加密的密钥。
设备端发送加密后的握手帧,如果双方密钥相同,上位机在接收到该帧后能正确解密握手帧并发送加密后的握手成功的回复帧。如果双方密钥不同,上位机则会发送握手失败的回复帧,表示双方的密钥不相同,并结束该连接。
如果握手成功,设备和上位机在该socket连接上的通信就将以该密钥进行报文加密传输。
在本发明的具体实施例子中,使用交换机和双网线对设备和上位机进行组网。对设备采用双网卡绑定,使得网卡工作于主备模式。设备工作在此冗余链路下,在一路网络出现故障的情况下,也可以保证网络的运行,提高了网络的健壮性。同时设备和上位机之间通过加密报文通信,确保了网络的安全性。
一种基于加密网络的双网口冗余配置方法,包括如下:
将设备双网口和上位机网口通过HUB进行互联;通过bond技术绑定双物理网卡到虚拟网卡,正确配置虚拟网卡和上位机网卡,组成双网热备冗余网络;设备发送密钥协商帧到上位机,上位机回复密钥协商帧,获取两帧内容通过特定算法获取AES密钥;设备和上位机的通过AES密钥进行AES加密网络帧实现信息交互。
优选地,设备端至少包含两个网口来进行冗余设置,同时两个网口和服务器端的通讯网口应该接入同一个HUB进行通讯。
优选地,设备端的双网口通过bonding技术绑定到虚拟网卡上,并将虚拟网卡和上位机通讯网卡设置在同一IP局域网网段,来实现上位机和设备的网络通讯。
优选地,通过设置虚拟网卡的网络配置来实现网络冗余策略配置。Bonding技术提供了7种配置策略,可以根据自身需求进行灵活配置。在此设计中为保证数据安全,选择策略1(active-backup)即只有一个接口处于活动状态用于传输数据。其他接口处于备用状态,仅在活动接口故障时接管,提供故障切换和冗余性。
优选地,上位机和设备之间的网络通讯报文通过AES加密算法进行加密,以保证通讯报文的安全。在上位机和设备通讯成功后,设备将自身产生的随机数加入密钥协商报文并进行发送,上位机接收到协商报文后也将产生的随机数加入报文进行回复。设备和上位机将两者的随机数进行组合后,通过特定的算法得到相同的加密密钥。
优选地,上位机和设备在得到通讯密钥后,通过密钥进行数据通信,报文在发出前需进行CRC校验,并将CRC校验码随报文一起发出。报文内容通过CRC校验码保证其完整性,通过加密保证安全性。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界或者这种范围和边界的等同形式内的全部变化和修改方案。
Claims (10)
1.一种基于加密网络的冗余双网口,其特征在于:包括两块物理网卡,两个网卡通过网线或光纤接入同一个交换机,上位机的一网口也接入同一交换机,在设备上添加虚拟网卡并将设备的两个物理网卡绑定到虚拟网卡。
2.如权利要求1所述的一种基于加密网络的冗余双网口,其特征在于:包括配置设备虚拟网卡的工作方式、网卡速率和主备关系,将其配置为主备模式并配置第一网卡为主网卡,第二网卡为备网卡。
3.如权利要求1所述的一种基于加密网络的冗余双网口,其特征在于:包括配置设备虚拟网卡和上位机装置的IP地址、子网掩码、网关和MAC地址,使两者在同一局域网内进行通信。
4.如权利要求2所述的一种基于加密网络的冗余双网口,其特征在于:通信过程中设备端的第一网卡作为主网卡将投入使用,而第二网卡作为备网卡则处于待命状态;在第一网卡的网络出现通信故障,主备网卡角色转化,第二网卡作为主网卡负责通信,第一网卡则作为备用网卡。
5.一种基于加密网络的冗余双网口配置方法,其特征在于,包括如下:
将设备双网口和上位机网口通过HUB进行互联;绑定双网卡到虚拟网卡,正确配置虚拟网卡和上位机网卡,组成双网热备冗余网络;设备发送密钥协商帧到上位机,上位机回复密钥协商帧,获取两帧内容通过特定算法获取AES密钥;设备和上位机的通过AES密钥进行AES加密网络帧实现信息交互。
6.如权利要求5所述的一种基于加密网络的冗余双网口配置方法,其特征在于:设备端至少包含两个网口来进行冗余设置,同时两个网口和服务器端的通讯网口接入同一个HUB进行通讯。
7.如权利要求5所述的一种基于加密网络的冗余双网口配置方法,其特征在于:设备端的双网口绑定到虚拟网卡上,并将虚拟网卡和上位机通讯网卡设置在同一IP局域网网段,来实现上位机和设备的网络通讯。
8.如权利要求5所述的一种基于加密网络的冗余双网口配置方法,其特征在于:上位机和设备之间的网络通讯报文通过AES加密算法进行加密,在上位机和设备通讯成功后,设备将自身产生的随机数加入密钥协商报文并进行发送,上位机接收到协商报文后也将产生的随机数加入报文进行回复,设备和上位机将两者的随机数进行组合后,得到相同的加密密钥。
9.如权利要求5所述的一种基于加密网络的冗余双网口配置方法,其特征在于:上位机和设备在得到通讯密钥后,通过密钥进行数据通信,报文在发出前需进行CRC校验,并将CRC校验码随报文一起发出,报文内容通过CRC校验码保证其完整性,通过加密保证安全性。
10.一种基于加密网络的冗余双网口的加密方法,其特征在于,包括如下:设备作为客户端主动发起socket连接,上位机作为服务端等待socket连接,socket连接建立后,设备端将生成的16字节的随机数放入报文发送给上位机,上位机收到随机数1后生成16字节的随机数放入报文回复给设备端,回复的16字节的随机数就是随机数2;上位机和设备端根据得到的随机数1和随机数2进行自定义的算法处理,得到用于AES加密的密钥;设备端发送加密后的握手帧,如果双方密钥相同,上位机在接收到该帧后能正确解密握手帧并发送加密后的握手成功的回复帧;如果双方密钥不同,上位机则会发送握手失败的回复帧,表示双方的密钥不相同,并结束该连接;如果握手成功,设备和上位机在该socket连接上的通信就将以该密钥进行报文加密传输。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311707698.6A CN117857317A (zh) | 2023-12-11 | 2023-12-11 | 一种基于加密网络的冗余双网口、配置方法及加密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311707698.6A CN117857317A (zh) | 2023-12-11 | 2023-12-11 | 一种基于加密网络的冗余双网口、配置方法及加密方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117857317A true CN117857317A (zh) | 2024-04-09 |
Family
ID=90546695
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311707698.6A Pending CN117857317A (zh) | 2023-12-11 | 2023-12-11 | 一种基于加密网络的冗余双网口、配置方法及加密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117857317A (zh) |
-
2023
- 2023-12-11 CN CN202311707698.6A patent/CN117857317A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101262409B (zh) | 虚拟私有网络vpn接入方法和装置 | |
JP6105155B2 (ja) | Drniにおける同一端内システムの間で情報を交換する方法及びシステム | |
US20050086342A1 (en) | Techniques for client-transparent TCP migration | |
CN102082733B (zh) | 一种Portal系统的接入方法和Portal系统 | |
CN102209064B (zh) | 使用vrrp为接入设备提供备份的方法和vrrp网关设备 | |
CN101729543A (zh) | 利用异地Socks5技术改善移动SSL VPN性能的方法 | |
CN111988222A (zh) | 数据传输方法及装置、电子设备和计算机可读存储介质 | |
CN102170366B (zh) | 与单板进行通信的方法、装置和系统 | |
CN1980232A (zh) | 远程登录会话维护方法、远程登录代理和计算机网络系统 | |
JPH1185644A (ja) | 冗長構成システムの系切替制御方法 | |
CN117857317A (zh) | 一种基于加密网络的冗余双网口、配置方法及加密方法 | |
CN105763442A (zh) | 主备倒换lacp聚合链路不中断的pon系统及方法 | |
CN201657020U (zh) | 一种基于异地Socks5代理的移动SSL VPN系统 | |
CN114500177B (zh) | 一种传输通信方式确定方法及其系统 | |
CN102868616A (zh) | 网络中虚mac地址表项建立的方法、路由器及系统 | |
WO2011143891A1 (zh) | 用户业务信息备份方法和装置 | |
JP5767309B2 (ja) | 緊急時用切り替え方法及びそのシステム | |
CN112953897B (zh) | 一种基于云计算设备的列控系统边缘安全节点的实现方法 | |
JP2504366B2 (ja) | 耐故障性システム | |
CN114124667A (zh) | 一种双网口冗余备份方法及系统 | |
CN100583891C (zh) | 一种通讯加密的方法与系统 | |
JP2023531034A (ja) | サービス伝送方法、装置、ネットワーク機器及び記憶媒体 | |
US20080222716A1 (en) | COMMUNICATION SYSTEM, IPsec TUNNEL TERMINATION DEVICE, AND IPsec TUNNEL COMMUNICATION CONTINUATION METHOD USED FOR THEM | |
JP3990196B2 (ja) | スパニングツリー構成再構築に伴う通信断回避方法 | |
CN107733692A (zh) | 通信设备的1+1冗余备份方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |