2. 专利查询
  3. 基于国密算法具备SSL和IPsec的加密方法及装置与流程

基于国密算法具备SSL和IPsec的加密方法及装置与流程

专利查询11月前  57

基于国密算法具备ssl和ipsec的加密方法及装置
技术领域
1.本发明涉及信息安全技术领域,尤其涉及一种基于国密算法具备ssl和ipsec的加密方法及装置。


背景技术:

2.在目前我国各行业的集成系统当中,各式各样的工控、电力、通讯终端一般都需要和主站之间建立一条或多条通讯链接,通过报文的形式来上报各类业务数据并根据主站下达的控制指令进行设备控制。这些终端设备和主站之间往往使用公网进行通信,在进行通讯时难免会受到来自公共网络的各种形式的安全攻击和威胁。
3.安装在内网的主站,通常情况是采用被动接受终端请求建立通讯的方式与终端建立通讯链接,主站在这种方式下很难事先去判断这个链接是否是安全的,而且当这些终端设备不主动连接主站时,主站就无法主动发起与工控终端之间的通信,对终端进行集中管理,这种模式对终端的管理维护需要极大的人力成本支持,为了降低人力成本有些行业的系统主站主动通过公网去连接终端设备,这种情况主站无法对连接上的终端身份进行判断。一旦有不法份子刻意伪造模仿终端主动与主站建立了链接,或者模仿终端设备接收了主站的连接,不法份子就可以利用该链接对内网进行攻击,干扰内网各个处理系统的正常运作,更有甚者还可能引起严重的生产故障,给个人、企业或国家造成不可挽回的损失。


技术实现要素:

4.为了避免或者减少上述我国目前阶段存在与各行业系统中终端设备从公网接入内网而造成的风险,加强终端设备通过公网接入的安全性,本发明提出一种基于国密算法具备ssl和ipsec的加密方法及装置,极大程度避免或者减少了因终端通过公网直接接入而引发的安全事故的风险,拔高了各类业务系统中各种工控终端从公网等各类不安全网络接入的安全性,加强了整个业务链的防护力。
5.本发明采用的技术方案如下:
6.一种基于国密算法具备ssl和ipsec的加密方法,包括:
7.当业务系统采用终端主动连接主站这种单向链接时,使用ssl协议进行安全处理:当终端需要连接主站时,基于国密算法的密码技术首先对终端进行数字认证与后续加密处理商定,当认证通过并敲定通信过程中的加密细节后,便从此链接进行数据接收,将接收到数据剥离ssl/tcp/ip信息后,再进行私有协议的身份认证,认证通过的便根据其权限允许该链接的终端访问内网对其开放权限的部分,对可访问的部分建立链接并转发业务数据;
8.当业务系统采用终端-主站,主站-终端这种双向链接时,使用ipsec协议进行安全处理:ipsec协议簇直接在iso模型的三层对每一包数据进行认证加密,此时主站和终端设备之间的应用层通信都将通过ipsec协议簇进行认证加密来保证安全性,终端与主站之间相互建立链接时在iso网络模型的第三层就进行双方的身份验证与基于国密算法的密码技术加密,验证不通过的就无法建立应用层的链接;当终端身份认证通过后,对收到的每一包
网络数据进行ipsec协议簇剥离并向主站链接进行数据转发。
9.进一步地,使用ssl协议进行安全处理时,被动接受公网侧终端建立的安全性未知的网络链接,再对建立了网络链接的公网侧终端的身份进行基于国密算法的验证及加密通信的细节商定,确定可信的ssl链接后再进行后续的通信。
10.进一步地,使用ssl协议进行安全处理时,终端请求与主站通信时再主动与主站建立链接。
11.进一步地,使用ssl协议进行安全处理时,收到网络数据后,剥除掉ssl/tcp/ip协议,只保留基础业务数据部分。
12.进一步地,使用ipsec协议进行安全处理时,ipsec协议部署于iso模型的第三层,其对ip层以上的内容进行认证加密。
13.一种基于国密算法具备ssl和ipsec的加密装置,所述加密装置设置于内网终端与主站的链路之间,其中:
14.当业务系统采用终端主动连接主站这种单向链接时,所述加密装置使用ssl协议进行安全处理:当终端需要连接主站时,所述加密装置基于国密算法的密码技术首先对终端进行数字认证与后续加密处理商定,当认证通过并敲定通信过程中的加密细节后,便从此链接进行数据接收,将接收到数据剥离ssl/tcp/ip信息后,再进行私有协议的身份认证,认证通过的便根据其权限允许该链接的终端访问内网对其开放权限的部分,对可访问的部分建立链接并转发业务数据;
15.当业务系统采用终端-主站,主站-终端这种双向链接时,所述加密装置使用ipsec协议进行安全处理:ipsec协议簇直接在iso模型的三层对每一包数据进行认证加密,此时主站和终端设备之间的应用层通信都将通过ipsec协议簇进行认证加密来保证安全性,终端与主站之间相互建立链接时通过所述加密装置在iso网络模型的第三层就进行双方的身份验证与基于国密算法的密码技术加密,验证不通过的就无法建立应用层的链接;当所述加密装置对终端身份认证通过后,对收到的每一包网络数据进行ipsec协议簇剥离并向主站链接进行数据转发。
16.进一步地,使用ssl协议进行安全处理时,所述加密装置被动接受公网侧终端建立的安全性未知的网络链接,再对建立了网络链接的公网侧终端的身份进行基于国密算法的验证及加密通信的细节商定,确定可信的ssl链接后再进行后续的通信。
17.进一步地,使用ssl协议进行安全处理时,终端请求与主站通信时再主动与主站建立链接。
18.进一步地,使用ssl协议进行安全处理时,收到网络数据后,剥除掉ssl/tcp/ip协议,只保留基础业务数据部分。
19.进一步地,使用ipsec协议进行安全处理时,ipsec协议部署于iso模型的第三层,其对ip层以上的内容进行认证加密。
20.本发明的有益效果在于:
21.采用本发明的技术方案,位于内网侧的主站可以主动建立可信的网络连接,也可以被动接受终端链接,后续与终端的通信均基于可信的链接进行。对主站而言,所有的网络链接均是已知的和可信的,所有通信的数据都是经过加密的,可大大降低因未知网络链接接入而导致的风险,提高各类业务系统终端接入过程的安全性。本发明极大程度避免或者
减少了因终端通过公网直接接入而引发的安全事故的风险,拔高了各类业务系统中各种工控终端从公网等各类不安全网络接入的安全性,加强了整个业务链的防护力。
附图说明
22.图1是本发明实施例中使用ssl协议进行安全处理时的数据转发示意图。
23.图2是本发明实施例中使用ipsec协议进行安全处理时的数据转发示意图。
具体实施方式
24.为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
25.实施例1
26.本实施例提供了一种基于国密算法具备ssl和ipsec的加密方法,包括两种处理模式,其中:
27.(1)使用ssl协议进行安全处理时:
28.在收到工控终端的网络数据后,对工控终端的有效身份基于符合ssl协议规范国密算法技术进行真实性鉴别,鉴别失败则断开该终端的网络链接,鉴别通过后剥离掉原始的ssl/tcp/ip协议信息(由于ssl协议没有校验数据包ip序号的连续性与完整性,所以建立可靠的通讯链路,只能使用在tcp之上而不能使用udp之类的无连接的传输协议),只保留基础的业务数据。对剥离后的业务数据,再次进行基于私有协议的身份有效性进行验证,验证失败断开链接;验证成功后进行访问权限的评估,评估失败的报文予以丢弃处理;评估成功后,通过装置建立的可信链接将业务数据发送至主站。
29.在收到主站的网络数据后,剥离掉原始的ssl/tcp/ip协议信息,只记录业务数据。通过终端设备侧的网络链接,将业务数据经ssl协议加密发送至工控终端。具体包括以下步骤:
30.1)工控终端首先发起链接请求;
31.2)使用基于国密算法密码技术对终端有效身份进行鉴别,鉴别通过则接收数据,鉴别失败跳转至9)退出流程;
32.3)从公网侧链接中接收网络数据;
33.4)从网络数据中剥离掉ssl/tcp/ip信息,只保留基础的业务数据;
34.5)对终端发送数据进行基于私有协议的身份有效性认证,认证成功跳转到6),认证失败跳转至9)退出流程;
35.6)对业务数据的安全性进行评估,丢弃未通过评估的业务数据,并跳转至9)退出流程;通过安全性评估后跳转至7)进行链接替换;
36.7)将根据链接a中访问的目的地址去建立与主站间的链接b;
37.8)向新建立的链接b发送业务数据;
38.9)主站侧向终端发送数据,则必须等待终端与主站建立链接后,对此业务数据进
行加密封装ssl/tcp/ip信息,通过已建立的链接发送给终端。
39.10)结束处理过程。
40.(2)使用ipsec协议进行安全处理时:
41.当终端发送数据时,每一包数据的ip包头都带有ipsec头,其中包含了身份认证信息与加密信息,根据这些信息对终端身份进行鉴别,只有经过认证的数据才会被转发向主站,这些处理都是在iso模型的第三层完成的,所以对主站和终端是透明的,主站与终端之间在应用层建立基于任何协议的链接都是可行的。
42.实施例2
43.本实施例提供了一种基于国密算法具备ssl和ipsec的加密装置,部署于内网终端与主站的链路之间,其包括两种处理模式,其中:
44.(1)使用ssl协议进行安全处理时:
45.如图1所示,装置在收到工控终端的网络数据后,对工控终端的有效身份基于符合ssl协议规范国密算法技术进行真实性鉴别,鉴别失败则断开该终端的网络链接,鉴别通过后剥离掉原始的ssl/tcp/ip协议信息(由于ssl协议没有校验数据包ip序号的连续性与完整性,所以建立可靠的通讯链路,只能使用在tcp之上而不能使用udp之类的无连接的传输协议),只保留基础的业务数据。对剥离后的业务数据,再次进行基于私有协议的身份有效性进行验证,验证失败断开链接;验证成功后进行访问权限的评估,评估失败的报文予以丢弃处理;评估成功后,通过装置建立的可信链接将业务数据发送至主站。
46.装置在收到主站的网络数据后,剥离掉原始的ssl/tcp/ip协议信息,只记录业务数据。通过终端设备侧的网络链接,将业务数据经ssl协议加密发送至工控终端。具体包括以下步骤:
47.1)工控终端首先发起链接请求;
48.2)使用基于国密算法密码技术对终端有效身份进行鉴别,鉴别通过则接收数据,鉴别失败跳转至9)退出流程;
49.3)从公网侧链接中接收网络数据;
50.4)从网络数据中剥离掉ssl/tcp/ip信息,只保留基础的业务数据;
51.5)对终端发送数据进行基于私有协议的身份有效性认证,认证成功跳转到6),认证失败跳转至9)退出流程;
52.6)对业务数据的安全性进行评估,丢弃未通过评估的业务数据,并跳转至9)退出流程;通过安全性评估后跳转至7)进行链接替换;
53.7)将根据链接a中访问的目的地址去建立与主站间的链接b;
54.8)向新建立的链接b发送业务数据;
55.9)主站侧向终端发送数据,则必须等待终端与主站建立链接后,装置对此业务数据进行加密封装ssl/tcp/ip信息,通过已建立的链接发送给终端。
56.10)结束处理过程。
57.(2)使用ipsec协议进行安全处理时:
58.如图2所示,当终端发送数据到装置时,每一包数据的ip包头都带有ipsec头,其中包含了身份认证信息与加密信息,装置可以根据这些信息对终端身份进行鉴别,只有经过装置认证的数据才会被转发向主站,这些处理都是在iso模型的第三层完成的,所以对主站
和终端是透明的,主站与终端之间在应用层建立基于任何协议的链接都是可行的。
59.需要说明的是,对于前述实施例,为了简便描述,故将其表述为一系列的动作组合,但是本领域技术人员应该知悉,本技术并不受所描述的动作顺序的限制,因为依据本技术,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本技术所必须的。

技术特征:
1.一种基于国密算法具备ssl和ipsec的加密方法,其特征在于,包括:当业务系统采用终端主动连接主站这种单向链接时,使用ssl协议进行安全处理:当终端需要连接主站时,基于国密算法的密码技术首先对终端进行数字认证与后续加密处理商定,当认证通过并敲定通信过程中的加密细节后,便从此链接进行数据接收,将接收到数据剥离ssl/tcp/ip信息后,再进行私有协议的身份认证,认证通过的便根据其权限允许该链接的终端访问内网对其开放权限的部分,对可访问的部分建立链接并转发业务数据;当业务系统采用终端-主站,主站-终端这种双向链接时,使用ipsec协议进行安全处理:ipsec协议簇直接在iso模型的三层对每一包数据进行认证加密,此时主站和终端设备之间的应用层通信都将通过ipsec协议簇进行认证加密来保证安全性,终端与主站之间相互建立链接时在iso网络模型的第三层就进行双方的身份验证与基于国密算法的密码技术加密,验证不通过的就无法建立应用层的链接;当终端身份认证通过后,对收到的每一包网络数据进行ipsec协议簇剥离并向主站链接进行数据转发。2.根据权利要求1所述的基于国密算法具备ssl和ipsec的加密方法,其特征在于,使用ssl协议进行安全处理时,被动接受公网侧终端建立的安全性未知的网络链接,再对建立了网络链接的公网侧终端的身份进行基于国密算法的验证及加密通信的细节商定,确定可信的ssl链接后再进行后续的通信。3.根据权利要求1所述的基于国密算法具备ssl和ipsec的加密方法,其特征在于,使用ssl协议进行安全处理时,终端请求与主站通信时再主动与主站建立链接。4.根据权利要求1所述的基于国密算法具备ssl和ipsec的加密方法,其特征在于,使用ssl协议进行安全处理时,收到网络数据后,剥除掉ssl/tcp/ip协议,只保留基础业务数据部分。5.根据权利要求1所述的基于国密算法具备ssl和ipsec的加密方法,其特征在于,使用ipsec协议进行安全处理时,ipsec协议部署于iso模型的第三层,其对ip层以上的内容进行认证加密。6.一种基于国密算法具备ssl和ipsec的加密装置,其特征在于,所述加密装置设置于内网终端与主站的链路之间,其中:当业务系统采用终端主动连接主站这种单向链接时,所述加密装置使用ssl协议进行安全处理:当终端需要连接主站时,所述加密装置基于国密算法的密码技术首先对终端进行数字认证与后续加密处理商定,当认证通过并敲定通信过程中的加密细节后,便从此链接进行数据接收,将接收到数据剥离ssl/tcp/ip信息后,再进行私有协议的身份认证,认证通过的便根据其权限允许该链接的终端访问内网对其开放权限的部分,对可访问的部分建立链接并转发业务数据;当业务系统采用终端-主站,主站-终端这种双向链接时,所述加密装置使用ipsec协议进行安全处理:ipsec协议簇直接在iso模型的三层对每一包数据进行认证加密,此时主站和终端设备之间的应用层通信都将通过ipsec协议簇进行认证加密来保证安全性,终端与主站之间相互建立链接时通过所述加密装置在iso网络模型的第三层就进行双方的身份验证与基于国密算法的密码技术加密,验证不通过的就无法建立应用层的链接;当所述加密装置对终端身份认证通过后,对收到的每一包网络数据进行ipsec协议簇剥离并向主站链接进行数据转发。
7.根据权利要求6所述的基于国密算法具备ssl和ipsec的加密装置,其特征在于,使用ssl协议进行安全处理时,所述加密装置被动接受公网侧终端建立的安全性未知的网络链接,再对建立了网络链接的公网侧终端的身份进行基于国密算法的验证及加密通信的细节商定,确定可信的ssl链接后再进行后续的通信。8.根据权利要求6所述的基于国密算法具备ssl和ipsec的加密装置,其特征在于,使用ssl协议进行安全处理时,终端请求与主站通信时再主动与主站建立链接。9.根据权利要求6所述的基于国密算法具备ssl和ipsec的加密装置,其特征在于,使用ssl协议进行安全处理时,收到网络数据后,剥除掉ssl/tcp/ip协议,只保留基础业务数据部分。10.根据权利要求6所述的基于国密算法具备ssl和ipsec的加密装置,其特征在于,使用ipsec协议进行安全处理时,ipsec协议部署于iso模型的第三层,其对ip层以上的内容进行认证加密。

技术总结
本发明公开了一种基于国密算法具备SSL和IPsec的加密方法及装置,当业务系统采用终端主动连接主站这种单向链接时,使用SSL协议进行安全处理:当终端需要连接主站时,基于国密算法的密码技术首先对终端进行数字认证与后续加密处理商定,当认证通过并敲定通信过程中的加密细节后,便从此链接进行数据接收;当业务系统采用终端-主站,主站-终端这种双向链接时,使用IPsec协议进行安全处理:IPsec协议簇直接在ISO模型的三层对每一包数据进行认证加密,此时主站和终端设备之间的应用层通信都将通过IPsec协议簇进行认证加密来保证安全性。本发明极大程度避免或减少了因终端通过公网直接接入而引发的安全事故的风险。直接接入而引发的安全事故的风险。直接接入而引发的安全事故的风险。


技术研发人员:李欣 李元正 程茂林 陈位仅
受保护的技术使用者:北京国泰网信科技有限公司
技术研发日:2021.12.14
技术公布日:2022/3/8

专利

最新回复(0)