一种基于VXLAN技术的电力信息内网报文加密发布方法技术
A message encryption and release method for power information network based on VXLAN Technology
The invention discloses a message encryption publishing method of electric power information network based on VXLAN technology, which belongs to the field of power system dispatching monitoring remote transmission technology. In the power system, the vertical link remote transmission must pass the national certification of vertical encryption device, to ensure the safe transmission of information, but there is a vertical encryption device can not encrypt broadcast and multicast packets defects. This invention is the two level network of VXLAN to realize the function of the VXLAN gateway router, to achieve VXLAN to broadcast, multicast and IP data packet package, through the longitudinal tunnel encryption device according to the strategy implementation of encryption, and the whole process is to perform encryption inside the tunnel at the gateway VXLAN router and the longitudinal, do the multicast and broadcast data packet encryption transmission distance, improves the security of message transmission, saves the bandwidth waste.
【技术实现步骤摘要】
一种基于VXLAN技术的电力信息内网报文加密发布方法
本专利技术涉及电力系统调度监控远方传输
,具体涉及一种基于VXLAN技术的电力信息内网报文加密发布方法。
技术介绍
智能电网调度技术支持系统实现了以“集约运行、源端维护、分布应用、扁平管理、优化流程”为核心的省地县一体化调度管理体系。由于智能电网调度技术支持系统采用分布式采集方式,该模式需要在远方调度配置工作站,该网络为地调系统主干网络的远端延伸,需要地调主站与各供电局之间通过以太网络长距离纵向联接。根据发改委14号令《电力监控系统安全防护规定》要求:“在生产控制大区与广域网的纵向联接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。”但对于调控系统现状,文中所指的纵向联结处仅包括调控中心前置服务器至变电站的通讯网关机段,却未包含调控中心主网至各县调调度工作站段,这使得电力监控系统安全防护存在薄弱环节,必须采取相应的措施避免安全隐患。目前国内电力系统调度技术支持系统采用远程工作站模式的,均为利用远距离网线将主网交换机延伸接入远方工作站,这就导致黑客可以从通信链路任意一...
【技术保护点】
一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于:该方法可用于电力系统信息内网报文加密发布,具体步骤包括:VXLAN路由器将接收到的服务器广播、组播、IP报文进行VXLAN封装,通过纵向加密设备建立的隧道进行报文加密远方传输,再通过对端网关VXLAN路由器对数据报文进行VXLAN解封装,VXLAN解封装后的数据报文进行二层网络转发,在本地的二层组播组表中查找到与组播数据报文的目的IP地址和目的MAC地址匹配的二层组播组表项,最后在工作站上接受到广播、组播和IP报文。
【技术特征摘要】
1.一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于:该方法可用于电力系统信息内网报文加密发布,具体步骤包括:VXLAN路由器将接收到的服务器广播、组播、IP报文进行VXLAN封装,通过纵向加密设备建立的隧道进行报文加密远方传输,再通过对端网关VXLAN路由器对数据报文进行VXLAN解封装,VXLAN解封装后的数据报文进行二层网络转发,在本地的二层组播组表中查找到与组播数据报文的目的IP地址和目的MAC地址匹配的二层组播组表项,最后在工作站上接受到广播、组播和IP报文。2.如权利要求1所述的一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,所述的网关VXLAN路由器在对广播、组播和IP数据报文进行VXLAN封装前包括如下步骤:为数据报文的VXLAN封装头打上虚拟网络标识VNI标签;配置隧道源端VTEP地址和目的路由器端VTEP地址,然后在纵向加密设备已建立好的隧道中配置原端和目的地址的VTEP地址,实现加密策略通信。3.如权利要求2所述一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,所述的数据报文VXLAN的封装头中识别出虚拟网络标识VNI,VXLAN解封后的数据报文二层转发包括:从路由器的本地MAC表中查找到与所述VNI和所述VXLAN解封装后的数据报文的目的MAC地址匹配的MAC表项,根据所述VXLAN解封装后的数据报文目的MAC地址为广播MAC地址、目的IP地址为广播IP地址,则确定VXLAN解封装后的广播数据报文进行二层组播转发,组播和IP报文步骤相同。4.如权利要求1所述一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,底层物理网络边缘设备路由器需支持Overlay技术特性,通过隧道的方式在底层物理网络上形成Overlay网络;通过VXLAN网络网络标示的不同可以把不同的业务封装在不同的VXLAN层面中,每一个VXLAN层面的业务在一个大二层中;VXLAN之间的互通在设备上部署策略实现,从而保证各个VXLAN网络的互通与隔离;VXLAN大二层平面形成后相应业务实现大二层互通。5.如权利要求1所述一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,所述的纵向加密设备具备三级密钥管理:主密钥、设备公私钥和工作密钥,通过本地和远方的纵向加密互换双方的密钥,以RSA或SM2算法加密传送实时产生的工作密钥,生成密钥同步的双方首先相互验证身份,当密钥匹配后,隧道建立成功,再配置需求的IP包过滤策略,实现报文的密文通信。6.如权利要求5所述一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,纵向加密配置参数有源端IP地址、端口号、目的端IP地址、端口号以及传输报文的方向和类型(TCP/UDP),建立隧道的参数有两台纵密的证书文件和纵密IP地址;根据配置的私网VTEP地址的对应关系,选择合适的IP地址作为纵向加密装置地址,为两台纵向加密建立独立隧道。7.如权利要求1所述一种基于VXLAN技术的电力信息内网报文加密发布方法,其特征在于,所述的在VXLAN中报文发送方法具体包括四个:步骤一、本端VTEP设备根据在系统中配置的远端VTEP的IP地址从而实现发现远端VTEP,本端VTEP与远端VTEP之间建立VXLAN隧道,并将VXLAN隧道与VXLAN关联;步骤二、识别接收到的报文所属的VXLAN,以便将报文的源MAC地址学习到VXLAN对应的VSI,并在该VSI内转发该报文;步骤三、学习所述服务器的MAC地址形成MAC地址表,根据学习到的MAC地址表项转发报文;步骤四:VXLAN的实现方式,可采用手动或自动两种方式。8.如权利要求7所述一种基于VXLA...
【专利技术属性】
技术研发人员:葛维春,王顺江,纪翔,高凯,寿增,梅迪,许睿超,潘鹏飞,狄跃斌,蔡健,刘嘉明,李正文,李铁,葛延峰,唐宏丹,
申请(专利权)人:国网辽宁省电力有限公司,国网辽宁省电力有限公司电力科学研究院,国家电网公司,
类型:发明
国别省市:辽宁,21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。