一種采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)及方法
【專利摘要】本發(fā)明涉及一種采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)��,所述系統(tǒng)包括用戶空間及內(nèi)核空間�����,所述用戶空間包括管理模塊、業(yè)務(wù)模塊���、密鑰協(xié)議模塊��、以及撥號模塊��;所述內(nèi)核空間包括內(nèi)核驅(qū)動模塊�、內(nèi)核任務(wù)模塊��、內(nèi)核配置與狀態(tài)存儲模塊�����、內(nèi)核接口��、以及內(nèi)核算法調(diào)度模塊����。本發(fā)明還涉及一種采用所述IPsec框架結(jié)構(gòu)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)收發(fā)方法。所述系統(tǒng)和方法采用國家密碼管理局的SM系列算法實現(xiàn)基于ppp協(xié)議封裝的IPsec框架結(jié)構(gòu)���,從而實現(xiàn)工業(yè)終端的通信安全;另外其可實現(xiàn)對網(wǎng)口型��、串口型、工業(yè)總線等多種形態(tài)業(yè)務(wù)終端設(shè)備的安全保護�����,而不限于傳統(tǒng)網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)主站的保護����,因此具有應(yīng)用廣泛的優(yōu)點。
【專利說明】一種采用PPP協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域�����,尤其涉及一種采用PPP協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)及方法�����。
【背景技術(shù)】
[0002]信息系統(tǒng)在各行各業(yè)中應(yīng)用廣泛�,如在電力電網(wǎng)、軌道交通等多級的生產(chǎn)監(jiān)測系統(tǒng)中���,需要對系統(tǒng)所屬的重要設(shè)備運行數(shù)據(jù)進行采集���、分析和故障診斷。由于有線網(wǎng)絡(luò)建設(shè)成本高���、接入點不靈活等缺點�����,無線(如GPRS)作為有線網(wǎng)絡(luò)的補充在工業(yè)生產(chǎn)系統(tǒng)(特別是數(shù)據(jù)采集系統(tǒng))中廣泛應(yīng)用����;PPP協(xié)議是目前無線GPRS的主要撥號通信協(xié)議。
[0003]然而為保證基于無線GPRS的數(shù)據(jù)完整性����、機密性和不可否認性(可以證實消息發(fā)送方是唯一可能的發(fā)送者,發(fā)送者不能否認發(fā)送過消息)�,需要在無線通信中進行加密和認證,目前VPN (Virtual Private Network,虛擬專用網(wǎng)絡(luò))技術(shù)是一個比較成熟的通信安全技術(shù)�,目前常用的VPN有二層L2TP技術(shù)、三層IPsec技術(shù)和四層SSL技術(shù)��。
[0004]其中二層VPN的L2TP技術(shù)只能在LAC節(jié)點與LNS節(jié)點之間建立隧道進行數(shù)據(jù)保護�,而難以實現(xiàn)工業(yè)數(shù)據(jù)采集終端本體到企業(yè)主站機房的全面保護。
[0005]其中四層SSL技術(shù)需要在企業(yè)工控系統(tǒng)的應(yīng)用層進行數(shù)據(jù)加密和認證�����,需要進行系統(tǒng)改造,而且系統(tǒng)改造后因安全防護與業(yè)務(wù)共同運行在同一臺服務(wù)器中���,存在諸多管理問題,如故障排查界面不清晰等問題��。
[0006]IPsec (Internet Protocol Security,協(xié)議安全性)是一種開放標準的框架結(jié)構(gòu)�,通過使用加密的安全服務(wù)以確保在Internet協(xié)議(IP)網(wǎng)絡(luò)上進行保密而安全的通訊,其可以實現(xiàn)終端到主站全程的隧道保護�,并且對于主站應(yīng)用系統(tǒng)完全透明。IPsec框架結(jié)構(gòu)適用于基于無線終端的數(shù)據(jù)采集通信安全保護��,然而目前主流的IPsec框架結(jié)構(gòu)主要采用RSA非對稱密碼算法�����、3DES/AES等對稱密碼算法和MD5/SHA-1散列算法�����,其中非對稱密碼算法的私鑰安全性決定了整個安全防護系統(tǒng)的安全性���;目前主流的RSA1024已被證實并不安全��,現(xiàn)階段國外主推RSA2048���,通過增加密鑰長度增加破解的難度�����。為此���,我國國家密碼管理局近年來力推SM系列算法,其中的非對稱算法SM2采用的是安全強度更高的幾何橢圓算法��,而不是采用RSA基于大素數(shù)定理的算法�����。
[0007]基于以上技術(shù)原因�,本發(fā)明提出一種采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)及方法。
【發(fā)明內(nèi)容】
[0008]有鑒于此�����,本發(fā)明實施例提供一種采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)及方法�����,其應(yīng)用廣泛�,并可實現(xiàn)工業(yè)終端的通信安全。
[0009]一方面,提供一種采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)�,所述系統(tǒng)包括用戶空間及內(nèi)核空間,其中所述用戶空間包括管理模塊��、業(yè)務(wù)模塊����、密鑰協(xié)商模塊�、撥號模塊,所述管理模塊包括管理報文模塊和初始化管理模塊�,所述管理報文模塊用于接收主站裝置的遠程管理報文,所述初始化管理模塊用于接收數(shù)字證書系統(tǒng)的初始化過程����;所述業(yè)務(wù)模塊包括啟動及網(wǎng)絡(luò)配置模塊、以及業(yè)務(wù)數(shù)據(jù)處理模塊����,所述啟動及網(wǎng)絡(luò)配置模塊用于實現(xiàn)上電啟動的自檢、網(wǎng)絡(luò)設(shè)置����、路由功能處理,所述業(yè)務(wù)數(shù)據(jù)處理模塊用于實現(xiàn)業(yè)務(wù)采集終端采集業(yè)務(wù)數(shù)據(jù)���,并通過PPP協(xié)議和IPsec框架結(jié)構(gòu)將其轉(zhuǎn)發(fā)到前置機����;所述密鑰協(xié)商模塊用于與主站裝置進行交互;所述撥號模塊用于通過AT指令集對GPRS模塊進行配置�,并用ppp協(xié)議進行解析;所述內(nèi)核空間包括內(nèi)核驅(qū)動模塊�、內(nèi)核任務(wù)模塊、內(nèi)核配置與狀態(tài)存儲模塊���、內(nèi)核算法調(diào)度模塊����、內(nèi)核接口模塊���,所述內(nèi)核驅(qū)動模塊用于封裝GPRS模塊所需的串口模塊和業(yè)務(wù)采集終端的接口驅(qū)動�;所述內(nèi)核任務(wù)模塊用于提供安全服務(wù)和網(wǎng)絡(luò)通信所需的Bridge,Route功能�;所述內(nèi)核配置與狀態(tài)存儲模塊用于存儲IPsec所需的SAD、SH)配置信息���;所述內(nèi)核算法調(diào)度模塊用于封裝SM1/2/3算法����,并為IPsec-tools的加密和認證提供算法封裝;所述內(nèi)核接口模塊用于內(nèi)核空間與用戶空間之間的交互�����。
[0010]另一方面��,提供一種采用上述IPsec框架結(jié)構(gòu)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)收發(fā)方法�����,所述IPsec框架結(jié)構(gòu)系統(tǒng)與業(yè)務(wù)采集終端之間通過以太網(wǎng)口進行互連����,所述方法包括:
[0011]接收業(yè)務(wù)數(shù)據(jù)�����,將其進行安全策略匹配�����;
[0012]對業(yè)務(wù)數(shù)據(jù)進行源地址轉(zhuǎn)換�����,并查找安全關(guān)聯(lián);
[0013]對業(yè)務(wù)數(shù)據(jù)進行加密��,并產(chǎn)生ESP數(shù)據(jù)包���;以及
[0014]將ESP數(shù)據(jù)包經(jīng)過路由查找����,進而通過無線網(wǎng)絡(luò)發(fā)送至業(yè)務(wù)采集終端�����。
[0015]進一步地��,提供一種采用上述IPsec框架結(jié)構(gòu)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)收發(fā)方法����,所述IPsec框架結(jié)構(gòu)系統(tǒng)與業(yè)務(wù)采集終端之間通過串口進行互連,所述方法包括:
[0016]從串口接收業(yè)務(wù)數(shù)據(jù)��;
[0017]對業(yè)務(wù)數(shù)據(jù)進行安全策略匹配并查找其安全關(guān)聯(lián)����;
[0018]對業(yè)務(wù)數(shù)據(jù)進行加密,并產(chǎn)生ESP數(shù)據(jù)包����;以及
[0019]將ESP數(shù)據(jù)包經(jīng)過路由查找�,進而通過無線網(wǎng)絡(luò)發(fā)送至業(yè)務(wù)采集終端����。
[0020]相對于現(xiàn)有技術(shù),本發(fā)明實施例提供的PPP協(xié)議封裝IPsec框架結(jié)構(gòu)系統(tǒng)���、以及采用該IPsec框架結(jié)構(gòu)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)收發(fā)方法采用國家密碼管理局的SM系列算法實現(xiàn)基于PPP協(xié)議封裝的IPsec框架結(jié)構(gòu)���,從而實現(xiàn)工業(yè)終端的通信安全;另外其可實現(xiàn)對網(wǎng)口型�、串口型����、工業(yè)總線等多種形態(tài)業(yè)務(wù)終端的安全保護,而不限于傳統(tǒng)網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)主站的保護���,應(yīng)用十分廣泛�����。
【專利附圖】
【附圖說明】
[0021]為了更清楚地說明本發(fā)明的技術(shù)方案��,下面將對實施方式中所需要使用的附圖作簡單地介紹���,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施方式���,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動的前提下��,還可以根據(jù)這些附圖獲得其他的附圖��。
[0022]圖1是本發(fā)明實施例提供的IPsec框架結(jié)構(gòu)系統(tǒng)的框架結(jié)構(gòu)示意圖��;
[0023]圖2是采用包括圖1所示IPsec框架結(jié)構(gòu)系統(tǒng)的工業(yè)現(xiàn)場與機房的連接示意圖��;
[0024]圖3是采用圖1所示IPsec框架結(jié)構(gòu)系統(tǒng)的網(wǎng)口型業(yè)務(wù)終端部署示意圖���;
[0025]圖4是圖3所示網(wǎng)口型業(yè)務(wù)終端部署中業(yè)務(wù)數(shù)據(jù)傳輸發(fā)送流程示意圖;
[0026]圖5是圖3所示網(wǎng)口型業(yè)務(wù)終端部署中業(yè)務(wù)數(shù)據(jù)傳輸接收流程示意圖���;
[0027]圖6是采用圖1所示IPsec框架結(jié)構(gòu)系統(tǒng)的串口型業(yè)務(wù)終端部署示意圖����;[0028]圖7是圖6所示串口型業(yè)務(wù)終端部署中業(yè)務(wù)數(shù)據(jù)傳輸發(fā)送流程示意圖;
[0029]圖8是圖6所示串口型業(yè)務(wù)終端部署中業(yè)務(wù)數(shù)據(jù)傳輸接收流程示意圖�����。
【具體實施方式】
[0030]下面將結(jié)合本發(fā)明實施例中的附圖����,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述���,顯然���,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例����。基于本發(fā)明中的實施例�����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍�����。
[0031]請參閱圖1���,本發(fā)明實施例提供一種采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)100,所述協(xié)議系統(tǒng)包括用戶空間IOA及內(nèi)核空間10B�����。
[0032]本實施例中��,所述用戶空間IOA運行著不同的進程模塊����,具體包括管理模塊20、業(yè)務(wù)模塊30���、密鑰協(xié)議模塊35��、以及撥號模塊40�����。
[0033]如圖1所示���,所述管理模塊20包括管理報文模塊21和初始化管理模塊22���。其中,管理報文模塊21用于接收主站裝置(或稱主站VPN) 300的遠程管理報文�����,以進行本系統(tǒng)100的狀態(tài)監(jiān)測��、軟件升級和安全策略下發(fā)等管理功能����;初始化管理模塊22用于接收數(shù)字證書系統(tǒng)對IPsec框架結(jié)構(gòu)系統(tǒng)100的初始化過程,如對IPsec雙方保護的IP地址段�����、ppp協(xié)議撥號的接入點�����、串口配置等信息進行初始化�����。
[0034]圖2為本發(fā)明實施例提供的系統(tǒng)100的與機房的連接示意圖�。在工業(yè)現(xiàn)場中包括有本系統(tǒng)100 (本設(shè)備)與工業(yè)終端200,如業(yè)務(wù)采集終端��,在機房(即主站)中包括主站VPN300及采集服務(wù)器400���,主站VPN300與采集服務(wù)器400之間通過交換機500相連接���。
[0035]進一步地,所述業(yè)務(wù)模塊30包括啟動及網(wǎng)絡(luò)配置模塊31及業(yè)務(wù)數(shù)據(jù)處理模塊32�����。其中�����,啟動及網(wǎng)絡(luò)配置模塊31用于實現(xiàn)本IPsec框架結(jié)構(gòu)系統(tǒng)100上電啟動的自檢����、網(wǎng)絡(luò)設(shè)置、路由功能處理等��。業(yè)務(wù)數(shù)據(jù)處理模塊32用于實現(xiàn)業(yè)務(wù)采集終端采集業(yè)務(wù)數(shù)據(jù),并通過PPP協(xié)議和IPsec框架結(jié)構(gòu)將其轉(zhuǎn)發(fā)到前置機��。
[0036]本實施例中��,所述密鑰協(xié)商模塊35用于與主站VPN300進行交互��,進行密鑰協(xié)商和密鑰交換等相關(guān)操作�。由這些操作最終形成本IPsec框架結(jié)構(gòu)系統(tǒng)100與主站VPN300的IPsec SA (安全關(guān)聯(lián),Security Association)和 SP (Security Policy,安全策略)信息��。
[0037]所述撥號模塊40用于IPsec框架結(jié)構(gòu)系統(tǒng)100上電后自動通過AT (attention)指令集對GPRS模塊進行配置�����,并用ppp協(xié)議進行解析����,另外還實現(xiàn)撥號狀態(tài)監(jiān)測和PPP斷線重撥等功能。
[0038]另外���,本實施例中��,所述系統(tǒng)100還進一步包括一個任務(wù)調(diào)度執(zhí)行模塊36���,用于對管理模塊20��、業(yè)務(wù)模塊30�、密鑰協(xié)商模塊35��、撥號模塊40進行任務(wù)調(diào)度��。
[0039]本實施例中����,所述內(nèi)核空間IOB包括內(nèi)核驅(qū)動模塊50����、內(nèi)核任務(wù)模塊60、內(nèi)核配置與狀態(tài)存儲模塊70��、內(nèi)核接口 80�、以及內(nèi)核算法調(diào)度模塊90。
[0040]其中�����,內(nèi)核驅(qū)動模塊50用于封裝本發(fā)明GPRS模塊所需的串口模塊和本發(fā)明設(shè)備保護的業(yè)務(wù)采集終端的接口驅(qū)動����,為內(nèi)核中上述各模塊調(diào)用提供封裝接口����。
[0041]內(nèi)核任務(wù)模塊60采用IPsec-tools技術(shù)實現(xiàn)IPsec的數(shù)據(jù)處理流程,提供安全服務(wù)和網(wǎng)絡(luò)通信所需的Bridge����、Route等功能。內(nèi)核配置與狀態(tài)存儲模塊70主要用于存儲 IPsec 所需的 SAD (Security Association Database,安全關(guān)聯(lián)數(shù)據(jù)庫)�、SPD (SecurityPolicy Database,安全策略數(shù)據(jù)庫)配置信息。內(nèi)核算法調(diào)度模塊90用于封裝SM1/2/3算法��,并為IPsec-tools的加密和認證提供算法封裝�����。
[0042]另外���,內(nèi)核接口模塊80用于內(nèi)核空間IOB與用戶空間IOA之間的交互����。本實施例中���,內(nèi)核接口模塊80主要包括socket��、PF_KEY和proc等系統(tǒng)接口�,以實現(xiàn)配置加載、系統(tǒng)實時狀態(tài)查詢等功能��。
[0043]本發(fā)明實施例提供的采用ppp協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)100���,其采用國家密碼管理局的SM系列算法實現(xiàn)基于ppp協(xié)議封裝的IPsec框架結(jié)構(gòu)����,從而實現(xiàn)工業(yè)終端的通信安全��;其優(yōu)點還在于可實現(xiàn)對網(wǎng)口型���、串口型、工業(yè)總線等多種形態(tài)業(yè)務(wù)終端設(shè)備的安全保護����,而不限于傳統(tǒng)網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)主站的保護,應(yīng)用十分廣泛���。在本實施例中��,所述工業(yè)終端泛指工業(yè)領(lǐng)域(能源���、化工�、等等工業(yè))的終端�����,這些終端一般包括采集功能(如上述業(yè)務(wù)米集終端)和控制功能����。
[0044]實施例一:網(wǎng)口型業(yè)務(wù)終端部署
[0045]請參閱圖3,其為采用上述IPsec框架結(jié)構(gòu)系統(tǒng)100的網(wǎng)口型業(yè)務(wù)終端部署示意圖��,本實施例中��,所述IPsec框架結(jié)構(gòu)系統(tǒng)100集成GPRS無線撥號模塊�,與業(yè)務(wù)采集終端200之間通過以太網(wǎng)口(ethernet)進行互連,適用于業(yè)務(wù)采集終端的接口為以太網(wǎng)口應(yīng)用場景����。
[0046]業(yè)務(wù)采集終端200和IPsec框架結(jié)構(gòu)系統(tǒng)100分別配置有IP,本實施例中����,其裝置配置為路由模式。具體實現(xiàn)上���,所述IPsec框架結(jié)構(gòu)系統(tǒng)100通過ppp協(xié)議封裝IPsec與主站裝置建立VPN隧道�。業(yè)務(wù)采集終端200與前置機建立TCP長連接,并傳輸業(yè)務(wù)采集數(shù)據(jù)��。
[0047]在IPsec框架結(jié)構(gòu)系統(tǒng)100與主站裝置建立VPN隧道后��,業(yè)務(wù)數(shù)據(jù)傳輸收發(fā)流程如圖4及圖5所示�。本實施例中,如圖2所示�,業(yè)務(wù)采集終端200發(fā)送數(shù)據(jù)時,首先會向系統(tǒng)100發(fā)送ARP請求����,當系統(tǒng)100響應(yīng)該ARP請求��,業(yè)務(wù)采集終端200將數(shù)據(jù)發(fā)送給系統(tǒng)100�。需要指明的是,因為系統(tǒng)100與機房的主站VPN300建立了 VPN隧道��,所以系統(tǒng)100可以從業(yè)務(wù)采集終端200接收到數(shù)據(jù)�����,也可以通過無線GPRS從機房的主站VPN300接收到數(shù)據(jù)�。
[0048]當數(shù)據(jù)的發(fā)送是從業(yè)務(wù)采集終端200發(fā)送到機房的采集服務(wù)器400時,執(zhí)行圖4所示的流程����。
[0049]如圖4所示�,在業(yè)務(wù)數(shù)據(jù)傳輸發(fā)送過程中����,首先,IPsec框架結(jié)構(gòu)系統(tǒng)100接收業(yè)務(wù)數(shù)據(jù)����,將其進行安全策略(Security Policy, SP)匹配;然后進行源地址轉(zhuǎn)換(SourceNetwork Address Translation, SNAT)�����、查找相應(yīng)的 SA(安全關(guān)聯(lián)���,Security Association),進行數(shù)據(jù)加密(SA規(guī)定了為IP包提供安全保護所使用的安全協(xié)議�����、算法和密鑰等信息)���,在此過程中可對IPSEC的安全性能進行協(xié)商(IKE密鑰協(xié)商),產(chǎn)生真正可以用來加密數(shù)據(jù)流的密鑰,產(chǎn)生的ESP (EncapsulatingSecurity Payload, IP封裝安全載荷協(xié)議)數(shù)據(jù)包經(jīng)過路由查找后����,通過無線網(wǎng)絡(luò)進行發(fā)送。
[0050]如圖5所示�����,在業(yè)務(wù)數(shù)據(jù)傳輸接收過程中�����,首先����,IPsec框架結(jié)構(gòu)系統(tǒng)100接收到ESP數(shù)據(jù)包后,查找SA��,進行數(shù)據(jù)解密�,進行目的地址轉(zhuǎn)換(DestinationNAT��,DNAT)��,將其進行安全策略(SP)匹配后����,經(jīng)過路由發(fā)送到業(yè)務(wù)采集終端200���。
[0051]實施例二:串口型業(yè)務(wù)終端部署
[0052]請參閱圖6,其為采用上述IPsec框架結(jié)構(gòu)系統(tǒng)100的串口型業(yè)務(wù)終端部署示意圖����。本實施例中,業(yè)務(wù)采集終端200通過串口 RS232( “數(shù)據(jù)終端設(shè)備(DTE)和數(shù)據(jù)通訊設(shè)備(DCE)之間串行二進制數(shù)據(jù)交換接口技術(shù)標準)與IPsec框架結(jié)構(gòu)系統(tǒng)100互連����,業(yè)務(wù)采集終端200不需要配置IP地址,而IPsec框架結(jié)構(gòu)系統(tǒng)100需要配置IP地址��。另外�����,本發(fā)明設(shè)備通過PPP協(xié)議封裝IPsec與主站裝置建立VPN隧道���,并與前置機建立TCP長連接�,進而傳輸業(yè)務(wù)采集數(shù)據(jù)�。
[0053]本發(fā)明設(shè)備與主站裝置建立IPsec VPN和TCP長連接后的業(yè)務(wù)數(shù)據(jù)收發(fā)流程如圖7及圖8所示。
[0054]如圖7所示�,在業(yè)務(wù)數(shù)據(jù)傳輸發(fā)送過程中�,首先��,IPsec框架結(jié)構(gòu)系統(tǒng)100從串口接收業(yè)務(wù)數(shù)據(jù)����,將業(yè)務(wù)數(shù)據(jù)通過TCP連接并采用send函數(shù)進行發(fā)送;IPseC框架結(jié)構(gòu)系統(tǒng)100根據(jù)SP匹配查找相應(yīng)的SA�,進行數(shù)據(jù)加密,在此過程中可對IPSEC的安全性能進行協(xié)商(IKE密鑰協(xié)商)�����,產(chǎn)生真正可以用來加密數(shù)據(jù)流的密鑰�����,產(chǎn)生的ESP數(shù)據(jù)包經(jīng)過路由查找后�����,通過無線網(wǎng)絡(luò)進行發(fā)送��。
[0055]如圖8所示��,在業(yè)務(wù)數(shù)據(jù)傳輸接收過程中�,首先,IPsec框架結(jié)構(gòu)系統(tǒng)100接收到ESP數(shù)據(jù)包�,查找SA,進行數(shù)據(jù)解密���,并將數(shù)據(jù)包交上層處理(圖7示出的虛線T以上的流程)���;在上層TCP使用recv函數(shù)接收ESP數(shù)據(jù)包(包括但不局限于101協(xié)議數(shù)據(jù))JfESP數(shù)據(jù)包通過串口發(fā)送到業(yè)務(wù)采集終端200,由業(yè)務(wù)采集終端200接收業(yè)務(wù)數(shù)據(jù)后進行解析和處理�����。
[0056]本實施例中��,所述業(yè)務(wù)數(shù)據(jù)收發(fā)方法并不局限于使用在業(yè)務(wù)采集終端200中�,其也可使用在其它具有控制功能的工業(yè)終端(用于能源、化工����、等的終端)。本發(fā)明實施例提供的采用IPsec框架結(jié)構(gòu)系統(tǒng)100的業(yè)務(wù)數(shù)據(jù)收發(fā)方法�����,其采用國家密碼管理局的SM系列算法實現(xiàn)基于PPP協(xié)議封裝的IPsec框架結(jié)構(gòu)��,從而實現(xiàn)工業(yè)終端的通信安全;另外其可實現(xiàn)對網(wǎng)口型����、串口型等多種形態(tài)(如工業(yè)總線)工業(yè)終端的安全保護,而不限于傳統(tǒng)網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)主站的保護����,因此具有應(yīng)用廣泛的優(yōu)點。
[0057]最后應(yīng)說明的是:以上所述僅為本發(fā)明的優(yōu)選實施例而已����,并不用于限制本發(fā)明,盡管參照前述實施例對本發(fā)明進行了詳細的說明����,對于本領(lǐng)域的技術(shù)人員來說,其依然可以對前述各實施例所記載的技術(shù)方案進行修改����,或者對其中部分技術(shù)特征進行等同替換。凡在本發(fā)明的精神和原則之內(nèi)����,所作的任何修改、等同替換���、改進等��,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)�。
【權(quán)利要求】
1.一種采用PPP協(xié)議封裝IPsec框架結(jié)構(gòu)的系統(tǒng)���,所述系統(tǒng)包括用戶空間及內(nèi)核空間��,其特征在于��,所述用戶空間包括: 管理模塊�,所述管理模塊包括管理報文模塊和初始化管理模塊�����,所述管理報文模塊用于接收主站裝置的遠程管理報文�,所述初始化管理模塊用于接收數(shù)字證書系統(tǒng)的初始化過程; 業(yè)務(wù)模塊,所述業(yè)務(wù)模塊包括啟動及網(wǎng)絡(luò)配置模塊���、以及業(yè)務(wù)數(shù)據(jù)處理模塊����,所述啟動及網(wǎng)絡(luò)配置模塊用于實現(xiàn)上電啟動的自檢��、網(wǎng)絡(luò)設(shè)置、路由功能處理���,所述業(yè)務(wù)數(shù)據(jù)處理模塊用于實現(xiàn)業(yè)務(wù)采集終端采集業(yè)務(wù)數(shù)據(jù)����,并通過PPP協(xié)議和IPsec框架結(jié)構(gòu)將其轉(zhuǎn)發(fā)到前置機���; 密鑰協(xié)商模塊�,所述密鑰協(xié)商模塊用于與主站裝置進行交互���;以及 撥號模塊����,所述撥號模塊用于通過AT指令集對GPRS模塊進行配置�,并用ppp協(xié)議進行解析; 所述內(nèi)核空間包括: 內(nèi)核驅(qū)動模塊��,內(nèi)核驅(qū)動模塊用于封裝GPRS模塊所需的串口模塊和業(yè)務(wù)采集終端的接口驅(qū)動����; 內(nèi)核任務(wù)模塊,內(nèi)核任務(wù)模塊用于提供安全服務(wù)和網(wǎng)絡(luò)通信所需的Bridge、Route功倉泛; 內(nèi)核配置與狀態(tài)存儲模塊��,所述內(nèi)核配置與狀態(tài)存儲模塊用于存儲IPsec所需的SAD����、SPD配置信息�; 內(nèi)核算法調(diào)度模塊,所述內(nèi)核算法調(diào)度模塊用于封裝SM1/2/3算法�����,并為IPsec-tools的加密和認證提供算法封裝���;以及 內(nèi)核接口模塊��,所述內(nèi)核接口模塊用于內(nèi)核空間與用戶空間之間的交互���。
2.如權(quán)利要求1所述的IPsec框架結(jié)構(gòu)系統(tǒng),其特征在于����,所述初始化管理模塊用于接收數(shù)字證書系統(tǒng)對IPsec雙方保護的IP地址段、ppp協(xié)議撥號的接入點�、串口配置信息的初始化過程。
3.如權(quán)利要求1所述的IPsec框架結(jié)構(gòu)系統(tǒng)����,其特征在于�����,所述撥號模塊進一步用于實現(xiàn)撥號狀態(tài)監(jiān)測和PPP斷線重撥功能�����。
4.如權(quán)利要求1所述的IPsec框架結(jié)構(gòu)系統(tǒng)�����,其特征在于���,所述內(nèi)核任務(wù)模塊采用IPsec-tools技術(shù)實現(xiàn)IPsec的數(shù)據(jù)處理流程。
5.如權(quán)利要求1所述的IPsec框架結(jié)構(gòu)系統(tǒng)���,其特征在于��,所述內(nèi)核接口模塊包括socket���、PF_KEY 和 proc 系統(tǒng)接口。
6.如權(quán)利要求1所述的IPsec框架結(jié)構(gòu)系統(tǒng),其特征在于���,進一步包括一個任務(wù)調(diào)度執(zhí)行模塊��,用于對管理模塊�、業(yè)務(wù)模塊��、密鑰協(xié)商模塊���、撥號模塊進行任務(wù)調(diào)度。
7.一種采用如權(quán)利要求1-6任意一項所述IPsec框架結(jié)構(gòu)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)收發(fā)方法�,所述IPsec框架結(jié)構(gòu)系統(tǒng)與業(yè)務(wù)采集終端之間通過以太網(wǎng)口進行互連,所述方法包括: 接收業(yè)務(wù)數(shù)據(jù)�,將其進行安全策略匹配; 對業(yè)務(wù)數(shù)據(jù)進行源地址轉(zhuǎn)換���,并查找安全關(guān)聯(lián)��; 對業(yè)務(wù)數(shù)據(jù)進行加密,并產(chǎn)生ESP數(shù)據(jù)包����;以及 將ESP數(shù)據(jù)包經(jīng)過路由查找��,進而通過無線網(wǎng)絡(luò)發(fā)送至業(yè)務(wù)采集終端。
8.如權(quán)利要求7所述的業(yè)務(wù)數(shù)據(jù)收發(fā)方法�,其特征在于,所述方法進一步包括: 接收ESP數(shù)據(jù)包�����; 根據(jù)ESP數(shù)據(jù)包查找安全關(guān)聯(lián)���; 對ESP數(shù)據(jù)包進行數(shù)據(jù)加密���; 對ESP數(shù)據(jù)包進行目的地址轉(zhuǎn)換,并進行安全策略匹配����; 將ESP數(shù)據(jù)包經(jīng)過路由查找,并通過無線網(wǎng)絡(luò)發(fā)送至業(yè)務(wù)采集終端��。
9.一種采用如權(quán)利要求1-6任意一項所述IPsec框架結(jié)構(gòu)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)收發(fā)方法�����,所述IPsec框架結(jié)構(gòu)系統(tǒng)與業(yè)務(wù)采集終端之間通過串口進行互連����,所述方法包括: 從串口接收業(yè)務(wù)數(shù)據(jù)����; 對業(yè)務(wù)數(shù)據(jù)進行安全策略匹配并查找其安全關(guān)聯(lián)���; 對業(yè)務(wù)數(shù)據(jù)進行加密,并產(chǎn)生ESP數(shù)據(jù)包�����;以及 將ESP數(shù)據(jù)包經(jīng)過路由查找���,進而通過無線網(wǎng)絡(luò)發(fā)送至業(yè)務(wù)采集終端。
10.如權(quán)利要求9所述的業(yè)務(wù)數(shù)據(jù) 收發(fā)方法����,其特征在于����,所述方法進一步包括: 接收ESP數(shù)據(jù)包; 根據(jù)ESP數(shù)據(jù)包查找安全關(guān)聯(lián)�; 對ESP數(shù)據(jù)包進行數(shù)據(jù)加密; 將ESP數(shù)據(jù)包通過串口發(fā)送到業(yè)務(wù)采集終端���。
【文檔編號】H04L29/06GK103763301SQ201310530738
【公開日】2014年4月30日 申請日期:2013年10月31日 優(yōu)先權(quán)日:2013年10月31日
【發(fā)明者】江澤鑫, 余南華, 陳炯聰, 黃曙, 梁智強, 胡朝輝, 梁志宏, 林丹生, 李闖, 石煒君, 梁毅成, 黃岳峰 申請人:廣東電網(wǎng)公司電力科學(xué)研究院