一种实现高速公路收费专网安全接入互联网的网关设置方法技术

本发明专利技术公开了一种实现高速公路收费专网安全接入互联网的网关设置方法。该方法中数锁卡基于PCIe总线与安全网关主机上的API进行数据交换，数锁卡与安全网关主机使用的私有数据交换协议是采用基于国产密码算法的数字证书进行保护，通过双向认证握手协议和“一次一密”的数据加密传输方式。同时，该安全机制建立在双安全模块(SE)的硬件级密码运算的基础之上，通过数锁卡实现。为高速公路收费专网接入互联网提供一种不可路由的数据交换私，实现安全、高效隔离网络攻击，并可进行高速通信。

A Method of Setting up Gateway to Achieve Secure Access to Internet for Expressway Toll Private Network

【技术实现步骤摘要】
一种实现高速公路收费专网安全接入互联网的网关设置方法
：本专利技术涉及高速公路收费联网
，特指一种实现高速公路收费专网安全接入互联网的网关设置方法。
技术介绍
：近年来，随着“互联网+”的蓬勃发展，高速公路行业拥抱互联网开创“智慧高速”的时代已经来临。然而，高速公路收费系统涉及每年数千亿的高速公路收费资金信息，一直以来均采用与外网(特别是互联网)隔离的专网体系。ETC被认定为交通运输行业国家关键信息基础设施以后，依据《中华人民共和国网络安全法》对于国家关键信息基础设施的运行安全的相关规定和要求，如何在保障ETC这一国家关键信息基础设施安全运行的前提下，实现基于互联网的应用，已成为高速公路运营者必须重点应对的问题。随着取消省界收费站，高速公路联网区域将由省域扩大到全国，对专网安全性和可靠性更提出了苛刻的保障要求。为了保障这张遍及全国的高速公路收费系统网络实时、持续、不间断可靠运行，ETC国家联网中心提出建设一套扁平化、高可靠性的备用网络链路，支撑取消省界收费站后的全国高速公路收费联网运行。然而，为节省投资、提高可用性，能否通过互联网实现部-站网络链路备份，同步为“智慧高速”提供互联网服务？首先要解决安全性问题，同时要保证效率、兼顾成本。目前，高速公路收费系统接入互联网的方法主要有以下几种：第一种为直接接入。即或多或少采购一些网络安全产品进行防护。这种方式安全性非常低，曾经出现过大面积中木马和“勒索病毒”的情况。这种方案的致命缺陷就是：不安全。第二种是采用外接设备连接互联网，通过串口与专网主机进行数据交换。这种方式受串口传输速率制约，通信速度慢，而且对设备也没有认证机制，并不能保证外接设备就是安全的。这种方案的主要问题就是：效率低、不够安全。第三种是使用网闸隔离内外网。这种方式成本高、效率低，而且对运维、管理能力都有很高的要求。这种方案的最大问题就是：成本高、效率低。以上方案，都不符合构建部-站网络链路备份的要求，这就需要有一种安全、高速、低成本地为高速公路收费专网接入互联网方法。另外一方面，以下技术经过发展已经得到广泛的应用。数字证书技术：数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。以数字证书为核心的加密技术(加密传输、数字签名、数字信封等安全技术)可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性及交易的不可抵赖性。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。证书授权中心(CertificateAuthority)，简称CA中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。证书注册中心(RegistrationAuthority)，简称RA中心，是CA中心证书发放、管理的承担机构，主要负责证书申请者的信息录入、审核以及证书发放等工作，同时，对发放的证书完成相应的管理功能。交通运输部路网监测与应急处置中心收费公路联网结算管理中心，作为全国高速公路联网收费的运营管理机构，目前已对接交通运输行业CA中心建设了服务于全国高速公路联网收费的RA中心。这样，高速公路联网收费专网就基本具备了应用数字证书技术保障与外部网络进行数据传输的安全性的能力。国产密码算法：密码技术是信息安全保障的核心，我国绝大部分行业核心领域长期以来都是沿用国际通用的密码算法体系，主要包括RSA、SHA-1、3DES、MD5等密码算法。为确保密码算法的自主可控，降低敏感信息泄露和信息系统遭受攻击的风险，国家密码管理局制定并发布了国产密码算法及相关密码行业标准，统称“国产密码算法”。国产密码算法是我国自主研制、具有自主知识产权的一系列密码算法，享有较高安全性，主要包括SM2、SM3、SM4等一系列密码算法和标准。SM2算法：SM2椭圆曲线公钥密码算法是一种非对称加密算法，替代RSA算法，适用于数字签名等高强度加解密运算。SM3算法：SM3杂凑算法是一种摘要算法，替代SHA-1或MD5算法，适用于数字签名和验证消息认证码的生成与验证以及随机数的生成。SM4算法：SM4分组密码算法是一种对称加密算法，替代3DES算法，适用于对速度要求高的较高强度加解密运算。为了这保证安全性的前提下提高运算性能，一般采用SM2、SM3、SM4三种算法组合使用的方式。PCIE高速总线：PCI-Express(PCIe)是一种高速串行计算机扩展总线标准，最新的接口是PCIe3.0，信号频率达到8GT/s，数据带宽达到10GB/s。PCIe的主要优势在于其减少延迟的能力，基于点到点拓扑，单独的串行链路将每个设备连接到根系统(主机)。由于其共享总线拓扑，可以对单个方向上的PCI总线进行仲裁(在多个主机的情况下)，支持任何两个端点之间的全双工通信，同时跨多个端点的并发访问没有固有的限制。基本的PCIExpress链路由两个低电压，差分驱动信号对组成：发送对和接收对，使用编码方案嵌入数据时钟以实现非常高的数据速率。本专利技术人基于上述技术，经过长期的实验，克服现有技术的不同，提出了以下技术方案。
技术实现思路
：本专利技术所要解决的技术问题在于克服现有技术的不足，提供一种实现高速公路收费专网安全接入互联网的网关设置方法。该方法具有安全、高速，并且成本低等诸多优点。为了解决上述技术问题，本专利技术采用了下述技术方案：一种实现高速公路收费专网安全接入互联网的网关设置方法，其特征在于：所述的高速公路专网通过一安全网关主机与位于互联网的云平台连接，该安全网关主机中具有一数锁卡，数锁卡基于PCIe总线与安全网关主机上的API进行数据交换，包括以下步骤：第一步：数锁卡从内嵌的安全模块(SE1)获得芯片编号sn，并生成随机数r1，设置算法标识A1，从网关主机获取时间戳T1，设置M1＝sn||r1||A1||T1，最后使用安全模块(SE1)私钥对M1签名，得到签名值S1；第二步：数锁卡通过PCIe向安全网关主机发送请求R1(R1＝M1||S1)，安全网关主机部署的授权应用通过数锁卡API解释PCIe私有协议数据，并向云平台透传握手请求数据；第三步：云平台对握手请求进行验证，如果验证通过则继续，否则发送出错消息，结束握手；第四步：验证通过后，云平台生成工作密钥密文K1_Enc及校验值K1_Mac、MAC密钥密文K2_Enc及校验值K2_Mac、随机数r2，设置M2＝K1_Enc||K1_Mac||K2_Enc||K1_Mac||r2，最后使用私钥对M2||M1进行签名，得到签名值S2；第五步：云平台发送响应R2给授权应用，授权应用通过数锁卡API按照PCIe私有协议编码格式发送握手相应数据；第六步：数锁卡使用云平台证书对签名S2进行验证，如果验证通过则继续，否则产生错误，同时退出握手；第七步：数锁卡将K1_Enc、K1_Mac、K2_Enc、K2_Mac导入安全模块(SE1)，安全模块(SE1)在内部计算工作密钥的校验值和MAC密钥的校验值，分别进行比较，如果生成的校验值和从处理中心收到的校验值一致，则将K1、K2本文档来自技高网...

【技术保护点】
1.一种实现高速公路收费专网安全接入互联网的网关设置方法，其特征在于：所述的高速公路专网通过一安全网关主机与位于互联网的云平台连接，该安全网关主机中具有一数锁卡，数锁卡基于PCIe总线与安全网关主机上的API进行数据交换，包括以下步骤：第一步：数锁卡从内嵌的安全模块(SE1)获得芯片编号sn，并生成随机数r1，设置算法标识A1，从网关主机获取时间戳T1，设置M1＝sn||r1||A1||T1，最后使用安全模块(SE1)私钥对M1签名，得到签名值S1；第二步：数锁卡通过PCIe向安全网关主机发送请求R1(R1＝M1||S1)，安全网关主机部署的授权应用通过数锁卡API解释PCIe私有协议数据，并向云平台透传握手请求数据；第三步：云平台对握手请求进行验证，如果验证通过则继续，否则发送出错消息，结束握手；第四步：验证通过后，云平台生成工作密钥密文K1_Enc及校验值K1_Mac、MAC密钥密文K2_Enc及校验值K2_Mac、随机数r2，设置M2＝K1_Enc||K1_Mac||K2_Enc||K1_Mac||r2，最后使用私钥对M2||M1进行签名，得到签名值S2；第五步：云平台发送响应R2给授权应用，授权应用通过数锁卡API按照PCIe私有协议编码格式发送握手相应数据；第六步：数锁卡使用云平台证书对签名S2进行验证，如果验证通过则继续，否则产生错误，同时退出握手；第七步：数锁卡将K1_Enc、K1_Mac、K2_Enc、K2_Mac导入安全模块(SE1)，安全模块(SE1)在内部计算工作密钥的校验值和MAC密钥的校验值，分别进行比较，如果生成的校验值和从处理中心收到的校验值一致，则将K1、K2存储在SE的安全区域中，否则产生错误、结束握手；如果一致，则握手过程正常完成。...

【技术特征摘要】
1.一种实现高速公路收费专网安全接入互联网的网关设置方法，其特征在于：所述的高速公路专网通过一安全网关主机与位于互联网的云平台连接，该安全网关主机中具有一数锁卡，数锁卡基于PCIe总线与安全网关主机上的API进行数据交换，包括以下步骤：第一步：数锁卡从内嵌的安全模块(SE1)获得芯片编号sn，并生成随机数r1，设置算法标识A1，从网关主机获取时间戳T1，设置M1＝sn||r1||A1||T1，最后使用安全模块(SE1)私钥对M1签名，得到签名值S1；第二步：数锁卡通过PCIe向安全网关主机发送请求R1(R1＝M1||S1)，安全网关主机部署的授权应用通过数锁卡API解释PCIe私有协议数据，并向云平台透传握手请求数据；第三步：云平台对握手请求进行验证，如果验证通过则继续，否则发送出错消息，结束握手；第四步：验证通过后，云平台生成工作密钥密文K1_Enc及校验值K1_Mac、MAC密钥密文K2_Enc及校验值K2_Mac、随机数r2，设置M2＝K1_Enc||K1_Mac||K2_Enc||K1_Mac||r2，最后使用私钥对M2||M1进行签名，得到签名值S2；第五步：云平台发送响应R2给授权应用，授权应用通过数锁卡API按照PCIe私有协议编码格式发送握手相应数据；第六步：数锁卡使用云平台证书对签名S2进行验证，如果验证通过则继续，否则产生错误，同时退出握手；第七步：数锁卡将K1_Enc、K1_Mac、K2_Enc、K2_Mac导入安全模块(SE1)，安全模块(SE1)在内部计算工作密钥的校验值和MAC密钥的校验值，分别进行比较，如果生成的校验值和从处...

【专利技术属性】
技术研发人员：陈喆，
申请(专利权)人：陈喆，
类型：发明
国别省市：广东,44