一種采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)及方法
【專利摘要】本發(fā)明涉及一種采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng),所述系統(tǒng)包括用戶空間及內(nèi)核空間,所述用戶空間包括管理模塊、業(yè)務(wù)模塊、密鑰協(xié)議模塊、以及撥號模塊;所述內(nèi)核空間包括內(nèi)核驅(qū)動模塊、內(nèi)核任務(wù)模塊、內(nèi)核配置與狀態(tài)存儲模塊、內(nèi)核接口、以及內(nèi)核算法調(diào)度模塊。本發(fā)明還涉及一種采用所述IPsec框架結(jié)構(gòu)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)收發(fā)方法。所述系統(tǒng)和方法采用國家密碼管理局的SM系列算法實(shí)現(xiàn)基于ppp協(xié)議封裝的IPsec框架結(jié)構(gòu),從而實(shí)現(xiàn)工業(yè)終端的通信安全;另外其可實(shí)現(xiàn)對網(wǎng)口型、串口型、工業(yè)總線等多種形態(tài)業(yè)務(wù)終端設(shè)備的安全保護(hù),而不限于傳統(tǒng)網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)主站的保護(hù),因此具有應(yīng)用廣泛的優(yōu)點(diǎn)。
【專利說明】一種采用PPP協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域,尤其涉及一種采用PPP協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)及方法。
【背景技術(shù)】
[0002]信息系統(tǒng)在各行各業(yè)中應(yīng)用廣泛,如在電力電網(wǎng)、軌道交通等多級的生產(chǎn)監(jiān)測系統(tǒng)中,需要對系統(tǒng)所屬的重要設(shè)備運(yùn)行數(shù)據(jù)進(jìn)行采集、分析和故障診斷。由于有線網(wǎng)絡(luò)建設(shè)成本高、接入點(diǎn)不靈活等缺點(diǎn),無線(如GPRS)作為有線網(wǎng)絡(luò)的補(bǔ)充在工業(yè)生產(chǎn)系統(tǒng)(特別是數(shù)據(jù)采集系統(tǒng))中廣泛應(yīng)用;PPP協(xié)議是目前無線GPRS的主要撥號通信協(xié)議。
[0003]然而為保證基于無線GPRS的數(shù)據(jù)完整性、機(jī)密性和不可否認(rèn)性(可以證實(shí)消息發(fā)送方是唯一可能的發(fā)送者,發(fā)送者不能否認(rèn)發(fā)送過消息),需要在無線通信中進(jìn)行加密和認(rèn)證,目前VPN (Virtual Private Network,虛擬專用網(wǎng)絡(luò))技術(shù)是一個比較成熟的通信安全技術(shù),目前常用的VPN有二層L2TP技術(shù)、三層IPsec技術(shù)和四層SSL技術(shù)。
[0004]其中二層VPN的L2TP技術(shù)只能在LAC節(jié)點(diǎn)與LNS節(jié)點(diǎn)之間建立隧道進(jìn)行數(shù)據(jù)保護(hù),而難以實(shí)現(xiàn)工業(yè)數(shù)據(jù)采集終端本體到企業(yè)主站機(jī)房的全面保護(hù)。
[0005]其中四層SSL技術(shù)需要在企業(yè)工控系統(tǒng)的應(yīng)用層進(jìn)行數(shù)據(jù)加密和認(rèn)證,需要進(jìn)行系統(tǒng)改造,而且系統(tǒng)改造后因安全防護(hù)與業(yè)務(wù)共同運(yùn)行在同一臺服務(wù)器中,存在諸多管理問題,如故障排查界面不清晰等問題。
[0006]IPsec (Internet Protocol Security,協(xié)議安全性)是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu),通過使用加密的安全服務(wù)以確保在Internet協(xié)議(IP)網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊,其可以實(shí)現(xiàn)終端到主站全程的隧道保護(hù),并且對于主站應(yīng)用系統(tǒng)完全透明。IPsec框架結(jié)構(gòu)適用于基于無線終端的數(shù)據(jù)采集通信安全保護(hù),然而目前主流的IPsec框架結(jié)構(gòu)主要采用RSA非對稱密碼算法、3DES/AES等對稱密碼算法和MD5/SHA-1散列算法,其中非對稱密碼算法的私鑰安全性決定了整個安全防護(hù)系統(tǒng)的安全性;目前主流的RSA1024已被證實(shí)并不安全,現(xiàn)階段國外主推RSA2048,通過增加密鑰長度增加破解的難度。為此,我國國家密碼管理局近年來力推SM系列算法,其中的非對稱算法SM2采用的是安全強(qiáng)度更高的幾何橢圓算法,而不是采用RSA基于大素數(shù)定理的算法。
[0007]基于以上技術(shù)原因,本發(fā)明提出一種采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)及方法。
【發(fā)明內(nèi)容】
[0008]有鑒于此,本發(fā)明實(shí)施例提供一種采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)及方法,其應(yīng)用廣泛,并可實(shí)現(xiàn)工業(yè)終端的通信安全。
[0009]一方面,提供一種采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng),所述系統(tǒng)包括用戶空間及內(nèi)核空間,其中所述用戶空間包括管理模塊、業(yè)務(wù)模塊、密鑰協(xié)商模塊、撥號模塊,所述管理模塊包括管理報文模塊和初始化管理模塊,所述管理報文模塊用于接收主站裝置的遠(yuǎn)程管理報文,所述初始化管理模塊用于接收數(shù)字證書系統(tǒng)的初始化過程;所述業(yè)務(wù)模塊包括啟動及網(wǎng)絡(luò)配置模塊、以及業(yè)務(wù)數(shù)據(jù)處理模塊,所述啟動及網(wǎng)絡(luò)配置模塊用于實(shí)現(xiàn)上電啟動的自檢、網(wǎng)絡(luò)設(shè)置、路由功能處理,所述業(yè)務(wù)數(shù)據(jù)處理模塊用于實(shí)現(xiàn)業(yè)務(wù)采集終端采集業(yè)務(wù)數(shù)據(jù),并通過PPP協(xié)議和IPsec框架結(jié)構(gòu)將其轉(zhuǎn)發(fā)到前置機(jī);所述密鑰協(xié)商模塊用于與主站裝置進(jìn)行交互;所述撥號模塊用于通過AT指令集對GPRS模塊進(jìn)行配置,并用ppp協(xié)議進(jìn)行解析;所述內(nèi)核空間包括內(nèi)核驅(qū)動模塊、內(nèi)核任務(wù)模塊、內(nèi)核配置與狀態(tài)存儲模塊、內(nèi)核算法調(diào)度模塊、內(nèi)核接口模塊,所述內(nèi)核驅(qū)動模塊用于封裝GPRS模塊所需的串口模塊和業(yè)務(wù)采集終端的接口驅(qū)動;所述內(nèi)核任務(wù)模塊用于提供安全服務(wù)和網(wǎng)絡(luò)通信所需的Bridge,Route功能;所述內(nèi)核配置與狀態(tài)存儲模塊用于存儲IPsec所需的SAD、SH)配置信息;所述內(nèi)核算法調(diào)度模塊用于封裝SM1/2/3算法,并為IPsec-tools的加密和認(rèn)證提供算法封裝;所述內(nèi)核接口模塊用于內(nèi)核空間與用戶空間之間的交互。
[0010]另一方面,提供一種采用上述IPsec框架結(jié)構(gòu)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)收發(fā)方法,所述IPsec框架結(jié)構(gòu)系統(tǒng)與業(yè)務(wù)采集終端之間通過以太網(wǎng)口進(jìn)行互連,所述方法包括:
[0011]接收業(yè)務(wù)數(shù)據(jù),將其進(jìn)行安全策略匹配;
[0012]對業(yè)務(wù)數(shù)據(jù)進(jìn)行源地址轉(zhuǎn)換,并查找安全關(guān)聯(lián);
[0013]對業(yè)務(wù)數(shù)據(jù)進(jìn)行加密,并產(chǎn)生ESP數(shù)據(jù)包;以及
[0014]將ESP數(shù)據(jù)包經(jīng)過路由查找,進(jìn)而通過無線網(wǎng)絡(luò)發(fā)送至業(yè)務(wù)采集終端。
[0015]進(jìn)一步地,提供一種采用上述IPsec框架結(jié)構(gòu)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)收發(fā)方法,所述IPsec框架結(jié)構(gòu)系統(tǒng)與業(yè)務(wù)采集終端之間通過串口進(jìn)行互連,所述方法包括:
[0016]從串口接收業(yè)務(wù)數(shù)據(jù);
[0017]對業(yè)務(wù)數(shù)據(jù)進(jìn)行安全策略匹配并查找其安全關(guān)聯(lián);
[0018]對業(yè)務(wù)數(shù)據(jù)進(jìn)行加密,并產(chǎn)生ESP數(shù)據(jù)包;以及
[0019]將ESP數(shù)據(jù)包經(jīng)過路由查找,進(jìn)而通過無線網(wǎng)絡(luò)發(fā)送至業(yè)務(wù)采集終端。
[0020]相對于現(xiàn)有技術(shù),本發(fā)明實(shí)施例提供的PPP協(xié)議封裝IPsec框架結(jié)構(gòu)系統(tǒng)、以及采用該IPsec框架結(jié)構(gòu)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)收發(fā)方法采用國家密碼管理局的SM系列算法實(shí)現(xiàn)基于PPP協(xié)議封裝的IPsec框架結(jié)構(gòu),從而實(shí)現(xiàn)工業(yè)終端的通信安全;另外其可實(shí)現(xiàn)對網(wǎng)口型、串口型、工業(yè)總線等多種形態(tài)業(yè)務(wù)終端的安全保護(hù),而不限于傳統(tǒng)網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)主站的保護(hù),應(yīng)用十分廣泛。
【專利附圖】
【附圖說明】
[0021]為了更清楚地說明本發(fā)明的技術(shù)方案,下面將對實(shí)施方式中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施方式,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0022]圖1是本發(fā)明實(shí)施例提供的IPsec框架結(jié)構(gòu)系統(tǒng)的框架結(jié)構(gòu)示意圖;
[0023]圖2是采用包括圖1所示IPsec框架結(jié)構(gòu)系統(tǒng)的工業(yè)現(xiàn)場與機(jī)房的連接示意圖;
[0024]圖3是采用圖1所示IPsec框架結(jié)構(gòu)系統(tǒng)的網(wǎng)口型業(yè)務(wù)終端部署示意圖;
[0025]圖4是圖3所示網(wǎng)口型業(yè)務(wù)終端部署中業(yè)務(wù)數(shù)據(jù)傳輸發(fā)送流程示意圖;
[0026]圖5是圖3所示網(wǎng)口型業(yè)務(wù)終端部署中業(yè)務(wù)數(shù)據(jù)傳輸接收流程示意圖;
[0027]圖6是采用圖1所示IPsec框架結(jié)構(gòu)系統(tǒng)的串口型業(yè)務(wù)終端部署示意圖;[0028]圖7是圖6所示串口型業(yè)務(wù)終端部署中業(yè)務(wù)數(shù)據(jù)傳輸發(fā)送流程示意圖;
[0029]圖8是圖6所示串口型業(yè)務(wù)終端部署中業(yè)務(wù)數(shù)據(jù)傳輸接收流程示意圖。
【具體實(shí)施方式】
[0030]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0031]請參閱圖1,本發(fā)明實(shí)施例提供一種采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)100,所述協(xié)議系統(tǒng)包括用戶空間IOA及內(nèi)核空間10B。
[0032]本實(shí)施例中,所述用戶空間IOA運(yùn)行著不同的進(jìn)程模塊,具體包括管理模塊20、業(yè)務(wù)模塊30、密鑰協(xié)議模塊35、以及撥號模塊40。
[0033]如圖1所示,所述管理模塊20包括管理報文模塊21和初始化管理模塊22。其中,管理報文模塊21用于接收主站裝置(或稱主站VPN) 300的遠(yuǎn)程管理報文,以進(jìn)行本系統(tǒng)100的狀態(tài)監(jiān)測、軟件升級和安全策略下發(fā)等管理功能;初始化管理模塊22用于接收數(shù)字證書系統(tǒng)對IPsec框架結(jié)構(gòu)系統(tǒng)100的初始化過程,如對IPsec雙方保護(hù)的IP地址段、ppp協(xié)議撥號的接入點(diǎn)、串口配置等信息進(jìn)行初始化。
[0034]圖2為本發(fā)明實(shí)施例提供的系統(tǒng)100的與機(jī)房的連接示意圖。在工業(yè)現(xiàn)場中包括有本系統(tǒng)100 (本設(shè)備)與工業(yè)終端200,如業(yè)務(wù)采集終端,在機(jī)房(即主站)中包括主站VPN300及采集服務(wù)器400,主站VPN300與采集服務(wù)器400之間通過交換機(jī)500相連接。
[0035]進(jìn)一步地,所述業(yè)務(wù)模塊30包括啟動及網(wǎng)絡(luò)配置模塊31及業(yè)務(wù)數(shù)據(jù)處理模塊32。其中,啟動及網(wǎng)絡(luò)配置模塊31用于實(shí)現(xiàn)本IPsec框架結(jié)構(gòu)系統(tǒng)100上電啟動的自檢、網(wǎng)絡(luò)設(shè)置、路由功能處理等。業(yè)務(wù)數(shù)據(jù)處理模塊32用于實(shí)現(xiàn)業(yè)務(wù)采集終端采集業(yè)務(wù)數(shù)據(jù),并通過PPP協(xié)議和IPsec框架結(jié)構(gòu)將其轉(zhuǎn)發(fā)到前置機(jī)。
[0036]本實(shí)施例中,所述密鑰協(xié)商模塊35用于與主站VPN300進(jìn)行交互,進(jìn)行密鑰協(xié)商和密鑰交換等相關(guān)操作。由這些操作最終形成本IPsec框架結(jié)構(gòu)系統(tǒng)100與主站VPN300的IPsec SA (安全關(guān)聯(lián),Security Association)和 SP (Security Policy,安全策略)信息。
[0037]所述撥號模塊40用于IPsec框架結(jié)構(gòu)系統(tǒng)100上電后自動通過AT (attention)指令集對GPRS模塊進(jìn)行配置,并用ppp協(xié)議進(jìn)行解析,另外還實(shí)現(xiàn)撥號狀態(tài)監(jiān)測和PPP斷線重?fù)艿裙δ堋?br>
[0038]另外,本實(shí)施例中,所述系統(tǒng)100還進(jìn)一步包括一個任務(wù)調(diào)度執(zhí)行模塊36,用于對管理模塊20、業(yè)務(wù)模塊30、密鑰協(xié)商模塊35、撥號模塊40進(jìn)行任務(wù)調(diào)度。
[0039]本實(shí)施例中,所述內(nèi)核空間IOB包括內(nèi)核驅(qū)動模塊50、內(nèi)核任務(wù)模塊60、內(nèi)核配置與狀態(tài)存儲模塊70、內(nèi)核接口 80、以及內(nèi)核算法調(diào)度模塊90。
[0040]其中,內(nèi)核驅(qū)動模塊50用于封裝本發(fā)明GPRS模塊所需的串口模塊和本發(fā)明設(shè)備保護(hù)的業(yè)務(wù)采集終端的接口驅(qū)動,為內(nèi)核中上述各模塊調(diào)用提供封裝接口。
[0041]內(nèi)核任務(wù)模塊60采用IPsec-tools技術(shù)實(shí)現(xiàn)IPsec的數(shù)據(jù)處理流程,提供安全服務(wù)和網(wǎng)絡(luò)通信所需的Bridge、Route等功能。內(nèi)核配置與狀態(tài)存儲模塊70主要用于存儲 IPsec 所需的 SAD (Security Association Database,安全關(guān)聯(lián)數(shù)據(jù)庫)、SPD (SecurityPolicy Database,安全策略數(shù)據(jù)庫)配置信息。內(nèi)核算法調(diào)度模塊90用于封裝SM1/2/3算法,并為IPsec-tools的加密和認(rèn)證提供算法封裝。
[0042]另外,內(nèi)核接口模塊80用于內(nèi)核空間IOB與用戶空間IOA之間的交互。本實(shí)施例中,內(nèi)核接口模塊80主要包括socket、PF_KEY和proc等系統(tǒng)接口,以實(shí)現(xiàn)配置加載、系統(tǒng)實(shí)時狀態(tài)查詢等功能。
[0043]本發(fā)明實(shí)施例提供的采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)100,其采用國家密碼管理局的SM系列算法實(shí)現(xiàn)基于ppp協(xié)議封裝的IPsec框架結(jié)構(gòu),從而實(shí)現(xiàn)工業(yè)終端的通信安全;其優(yōu)點(diǎn)還在于可實(shí)現(xiàn)對網(wǎng)口型、串口型、工業(yè)總線等多種形態(tài)業(yè)務(wù)終端設(shè)備的安全保護(hù),而不限于傳統(tǒng)網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)主站的保護(hù),應(yīng)用十分廣泛。在本實(shí)施例中,所述工業(yè)終端泛指工業(yè)領(lǐng)域(能源、化工、等等工業(yè))的終端,這些終端一般包括采集功能(如上述業(yè)務(wù)米集終端)和控制功能。
[0044]實(shí)施例一:網(wǎng)口型業(yè)務(wù)終端部署
[0045]請參閱圖3,其為采用上述IPsec框架結(jié)構(gòu)系統(tǒng)100的網(wǎng)口型業(yè)務(wù)終端部署示意圖,本實(shí)施例中,所述IPsec框架結(jié)構(gòu)系統(tǒng)100集成GPRS無線撥號模塊,與業(yè)務(wù)采集終端200之間通過以太網(wǎng)口(ethernet)進(jìn)行互連,適用于業(yè)務(wù)采集終端的接口為以太網(wǎng)口應(yīng)用場景。
[0046]業(yè)務(wù)采集終端200和IPsec框架結(jié)構(gòu)系統(tǒng)100分別配置有IP,本實(shí)施例中,其裝置配置為路由模式。具體實(shí)現(xiàn)上,所述IPsec框架結(jié)構(gòu)系統(tǒng)100通過ppp協(xié)議封裝IPsec與主站裝置建立VPN隧道。業(yè)務(wù)采集終端200與前置機(jī)建立TCP長連接,并傳輸業(yè)務(wù)采集數(shù)據(jù)。
[0047]在IPsec框架結(jié)構(gòu)系統(tǒng)100與主站裝置建立VPN隧道后,業(yè)務(wù)數(shù)據(jù)傳輸收發(fā)流程如圖4及圖5所示。本實(shí)施例中,如圖2所示,業(yè)務(wù)采集終端200發(fā)送數(shù)據(jù)時,首先會向系統(tǒng)100發(fā)送ARP請求,當(dāng)系統(tǒng)100響應(yīng)該ARP請求,業(yè)務(wù)采集終端200將數(shù)據(jù)發(fā)送給系統(tǒng)100。需要指明的是,因為系統(tǒng)100與機(jī)房的主站VPN300建立了 VPN隧道,所以系統(tǒng)100可以從業(yè)務(wù)采集終端200接收到數(shù)據(jù),也可以通過無線GPRS從機(jī)房的主站VPN300接收到數(shù)據(jù)。
[0048]當(dāng)數(shù)據(jù)的發(fā)送是從業(yè)務(wù)采集終端200發(fā)送到機(jī)房的采集服務(wù)器400時,執(zhí)行圖4所示的流程。
[0049]如圖4所示,在業(yè)務(wù)數(shù)據(jù)傳輸發(fā)送過程中,首先,IPsec框架結(jié)構(gòu)系統(tǒng)100接收業(yè)務(wù)數(shù)據(jù),將其進(jìn)行安全策略(Security Policy, SP)匹配;然后進(jìn)行源地址轉(zhuǎn)換(SourceNetwork Address Translation, SNAT)、查找相應(yīng)的 SA(安全關(guān)聯(lián),Security Association),進(jìn)行數(shù)據(jù)加密(SA規(guī)定了為IP包提供安全保護(hù)所使用的安全協(xié)議、算法和密鑰等信息),在此過程中可對IPSEC的安全性能進(jìn)行協(xié)商(IKE密鑰協(xié)商),產(chǎn)生真正可以用來加密數(shù)據(jù)流的密鑰,產(chǎn)生的ESP (EncapsulatingSecurity Payload, IP封裝安全載荷協(xié)議)數(shù)據(jù)包經(jīng)過路由查找后,通過無線網(wǎng)絡(luò)進(jìn)行發(fā)送。
[0050]如圖5所示,在業(yè)務(wù)數(shù)據(jù)傳輸接收過程中,首先,IPsec框架結(jié)構(gòu)系統(tǒng)100接收到ESP數(shù)據(jù)包后,查找SA,進(jìn)行數(shù)據(jù)解密,進(jìn)行目的地址轉(zhuǎn)換(DestinationNAT,DNAT),將其進(jìn)行安全策略(SP)匹配后,經(jīng)過路由發(fā)送到業(yè)務(wù)采集終端200。
[0051]實(shí)施例二:串口型業(yè)務(wù)終端部署
[0052]請參閱圖6,其為采用上述IPsec框架結(jié)構(gòu)系統(tǒng)100的串口型業(yè)務(wù)終端部署示意圖。本實(shí)施例中,業(yè)務(wù)采集終端200通過串口 RS232( “數(shù)據(jù)終端設(shè)備(DTE)和數(shù)據(jù)通訊設(shè)備(DCE)之間串行二進(jìn)制數(shù)據(jù)交換接口技術(shù)標(biāo)準(zhǔn))與IPsec框架結(jié)構(gòu)系統(tǒng)100互連,業(yè)務(wù)采集終端200不需要配置IP地址,而IPsec框架結(jié)構(gòu)系統(tǒng)100需要配置IP地址。另外,本發(fā)明設(shè)備通過PPP協(xié)議封裝IPsec與主站裝置建立VPN隧道,并與前置機(jī)建立TCP長連接,進(jìn)而傳輸業(yè)務(wù)采集數(shù)據(jù)。
[0053]本發(fā)明設(shè)備與主站裝置建立IPsec VPN和TCP長連接后的業(yè)務(wù)數(shù)據(jù)收發(fā)流程如圖7及圖8所示。
[0054]如圖7所示,在業(yè)務(wù)數(shù)據(jù)傳輸發(fā)送過程中,首先,IPsec框架結(jié)構(gòu)系統(tǒng)100從串口接收業(yè)務(wù)數(shù)據(jù),將業(yè)務(wù)數(shù)據(jù)通過TCP連接并采用send函數(shù)進(jìn)行發(fā)送;IPseC框架結(jié)構(gòu)系統(tǒng)100根據(jù)SP匹配查找相應(yīng)的SA,進(jìn)行數(shù)據(jù)加密,在此過程中可對IPSEC的安全性能進(jìn)行協(xié)商(IKE密鑰協(xié)商),產(chǎn)生真正可以用來加密數(shù)據(jù)流的密鑰,產(chǎn)生的ESP數(shù)據(jù)包經(jīng)過路由查找后,通過無線網(wǎng)絡(luò)進(jìn)行發(fā)送。
[0055]如圖8所示,在業(yè)務(wù)數(shù)據(jù)傳輸接收過程中,首先,IPsec框架結(jié)構(gòu)系統(tǒng)100接收到ESP數(shù)據(jù)包,查找SA,進(jìn)行數(shù)據(jù)解密,并將數(shù)據(jù)包交上層處理(圖7示出的虛線T以上的流程);在上層TCP使用recv函數(shù)接收ESP數(shù)據(jù)包(包括但不局限于101協(xié)議數(shù)據(jù))JfESP數(shù)據(jù)包通過串口發(fā)送到業(yè)務(wù)采集終端200,由業(yè)務(wù)采集終端200接收業(yè)務(wù)數(shù)據(jù)后進(jìn)行解析和處理。
[0056]本實(shí)施例中,所述業(yè)務(wù)數(shù)據(jù)收發(fā)方法并不局限于使用在業(yè)務(wù)采集終端200中,其也可使用在其它具有控制功能的工業(yè)終端(用于能源、化工、等的終端)。本發(fā)明實(shí)施例提供的采用IPsec框架結(jié)構(gòu)系統(tǒng)100的業(yè)務(wù)數(shù)據(jù)收發(fā)方法,其采用國家密碼管理局的SM系列算法實(shí)現(xiàn)基于PPP協(xié)議封裝的IPsec框架結(jié)構(gòu),從而實(shí)現(xiàn)工業(yè)終端的通信安全;另外其可實(shí)現(xiàn)對網(wǎng)口型、串口型等多種形態(tài)(如工業(yè)總線)工業(yè)終端的安全保護(hù),而不限于傳統(tǒng)網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)主站的保護(hù),因此具有應(yīng)用廣泛的優(yōu)點(diǎn)。
[0057]最后應(yīng)說明的是:以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明,盡管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明,對于本領(lǐng)域的技術(shù)人員來說,其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對其中部分技術(shù)特征進(jìn)行等同替換。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種采用PPP協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng),所述系統(tǒng)包括用戶空間及內(nèi)核空間,其特征在于,所述用戶空間包括: 管理模塊,所述管理模塊包括管理報文模塊和初始化管理模塊,所述管理報文模塊用于接收主站裝置的遠(yuǎn)程管理報文,所述初始化管理模塊用于接收數(shù)字證書系統(tǒng)的初始化過程; 業(yè)務(wù)模塊,所述業(yè)務(wù)模塊包括啟動及網(wǎng)絡(luò)配置模塊、以及業(yè)務(wù)數(shù)據(jù)處理模塊,所述啟動及網(wǎng)絡(luò)配置模塊用于實(shí)現(xiàn)上電啟動的自檢、網(wǎng)絡(luò)設(shè)置、路由功能處理,所述業(yè)務(wù)數(shù)據(jù)處理模塊用于實(shí)現(xiàn)業(yè)務(wù)采集終端采集業(yè)務(wù)數(shù)據(jù),并通過PPP協(xié)議和IPsec框架結(jié)構(gòu)將其轉(zhuǎn)發(fā)到前置機(jī); 密鑰協(xié)商模塊,所述密鑰協(xié)商模塊用于與主站裝置進(jìn)行交互;以及 撥號模塊,所述撥號模塊用于通過AT指令集對GPRS模塊進(jìn)行配置,并用ppp協(xié)議進(jìn)行解析; 所述內(nèi)核空間包括: 內(nèi)核驅(qū)動模塊,內(nèi)核驅(qū)動模塊用于封裝GPRS模塊所需的串口模塊和業(yè)務(wù)采集終端的接口驅(qū)動; 內(nèi)核任務(wù)模塊,內(nèi)核任務(wù)模塊用于提供安全服務(wù)和網(wǎng)絡(luò)通信所需的Bridge、Route功倉泛; 內(nèi)核配置與狀態(tài)存儲模塊,所述內(nèi)核配置與狀態(tài)存儲模塊用于存儲IPsec所需的SAD、SPD配置信息; 內(nèi)核算法調(diào)度模塊,所述內(nèi)核算法調(diào)度模塊用于封裝SM1/2/3算法,并為IPsec-tools的加密和認(rèn)證提供算法封裝;以及 內(nèi)核接口模塊,所述內(nèi)核接口模塊用于內(nèi)核空間與用戶空間之間的交互。
2.如權(quán)利要求1所述的IPsec框架結(jié)構(gòu)系統(tǒng),其特征在于,所述初始化管理模塊用于接收數(shù)字證書系統(tǒng)對IPsec雙方保護(hù)的IP地址段、ppp協(xié)議撥號的接入點(diǎn)、串口配置信息的初始化過程。
3.如權(quán)利要求1所述的IPsec框架結(jié)構(gòu)系統(tǒng),其特征在于,所述撥號模塊進(jìn)一步用于實(shí)現(xiàn)撥號狀態(tài)監(jiān)測和PPP斷線重?fù)芄δ堋?br>
4.如權(quán)利要求1所述的IPsec框架結(jié)構(gòu)系統(tǒng),其特征在于,所述內(nèi)核任務(wù)模塊采用IPsec-tools技術(shù)實(shí)現(xiàn)IPsec的數(shù)據(jù)處理流程。
5.如權(quán)利要求1所述的IPsec框架結(jié)構(gòu)系統(tǒng),其特征在于,所述內(nèi)核接口模塊包括socket、PF_KEY 和 proc 系統(tǒng)接口。
6.如權(quán)利要求1所述的IPsec框架結(jié)構(gòu)系統(tǒng),其特征在于,進(jìn)一步包括一個任務(wù)調(diào)度執(zhí)行模塊,用于對管理模塊、業(yè)務(wù)模塊、密鑰協(xié)商模塊、撥號模塊進(jìn)行任務(wù)調(diào)度。
7.一種采用如權(quán)利要求1-6任意一項所述IPsec框架結(jié)構(gòu)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)收發(fā)方法,所述IPsec框架結(jié)構(gòu)系統(tǒng)與業(yè)務(wù)采集終端之間通過以太網(wǎng)口進(jìn)行互連,所述方法包括: 接收業(yè)務(wù)數(shù)據(jù),將其進(jìn)行安全策略匹配; 對業(yè)務(wù)數(shù)據(jù)進(jìn)行源地址轉(zhuǎn)換,并查找安全關(guān)聯(lián); 對業(yè)務(wù)數(shù)據(jù)進(jìn)行加密,并產(chǎn)生ESP數(shù)據(jù)包;以及 將ESP數(shù)據(jù)包經(jīng)過路由查找,進(jìn)而通過無線網(wǎng)絡(luò)發(fā)送至業(yè)務(wù)采集終端。
8.如權(quán)利要求7所述的業(yè)務(wù)數(shù)據(jù)收發(fā)方法,其特征在于,所述方法進(jìn)一步包括: 接收ESP數(shù)據(jù)包; 根據(jù)ESP數(shù)據(jù)包查找安全關(guān)聯(lián); 對ESP數(shù)據(jù)包進(jìn)行數(shù)據(jù)加密; 對ESP數(shù)據(jù)包進(jìn)行目的地址轉(zhuǎn)換,并進(jìn)行安全策略匹配; 將ESP數(shù)據(jù)包經(jīng)過路由查找,并通過無線網(wǎng)絡(luò)發(fā)送至業(yè)務(wù)采集終端。
9.一種采用如權(quán)利要求1-6任意一項所述IPsec框架結(jié)構(gòu)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)收發(fā)方法,所述IPsec框架結(jié)構(gòu)系統(tǒng)與業(yè)務(wù)采集終端之間通過串口進(jìn)行互連,所述方法包括: 從串口接收業(yè)務(wù)數(shù)據(jù); 對業(yè)務(wù)數(shù)據(jù)進(jìn)行安全策略匹配并查找其安全關(guān)聯(lián); 對業(yè)務(wù)數(shù)據(jù)進(jìn)行加密,并產(chǎn)生ESP數(shù)據(jù)包;以及 將ESP數(shù)據(jù)包經(jīng)過路由查找,進(jìn)而通過無線網(wǎng)絡(luò)發(fā)送至業(yè)務(wù)采集終端。
10.如權(quán)利要求9所述的業(yè)務(wù)數(shù)據(jù) 收發(fā)方法,其特征在于,所述方法進(jìn)一步包括: 接收ESP數(shù)據(jù)包; 根據(jù)ESP數(shù)據(jù)包查找安全關(guān)聯(lián); 對ESP數(shù)據(jù)包進(jìn)行數(shù)據(jù)加密; 將ESP數(shù)據(jù)包通過串口發(fā)送到業(yè)務(wù)采集終端。
【文檔編號】H04L29/06GK103763301SQ201310530738
【公開日】2014年4月30日 申請日期:2013年10月31日 優(yōu)先權(quán)日:2013年10月31日
【發(fā)明者】江澤鑫, 余南華, 陳炯聰, 黃曙, 梁智強(qiáng), 胡朝輝, 梁志宏, 林丹生, 李闖, 石煒君, 梁毅成, 黃岳峰 申請人:廣東電網(wǎng)公司電力科學(xué)研究院