本发明专利技术公开了基于交换中心的企业间跨域安全交换方法,包括以下步骤:步骤一:通过工业互联网交换中心为预设区域内的各个网络的互通提供一个快速的交换通道,为各个企业内部、企业间实现工业互联网数据的交换共享提供支持;步骤二:在工业互联网交换中心内实现不同互联接入企业/单位的可信网间互联及数据交换,可根据各企业/单位不同类型的可信数据交换需求,在网络层面提供多种类型可信网间互联和数据交换服务;步骤三:通过统一身份认证平台为工业互联网各企业/共享交换服务平台节点的用户和设备提供认证管理。本发明专利技术能够实现跨设备、跨系统、跨企业、跨区域、跨产业的全面互联互通,并且更加的安全可靠。并且更加的安全可靠。并且更加的安全可靠。
【技术实现步骤摘要】
基于交换中心的企业间跨域安全交换方法
[0001]本专利技术涉数据交换领域,具体涉及基于交换中心的企业间跨域安全交换方法。
技术介绍
[0002]当前,工业互联网数据资源总量呈爆炸性增长,但是各地区各行业的数据资源间存在孤立、分散、封闭等问题,数据价值未能得到有效利用,通过开展跨行业的数据可信交换共享,实现信息的高效整合和各种能源及资源的集中优化,是国家战略发展的要求。
[0003]在工业互联网数据可信交换共享服务平台建设过程面临如下一些关键问题亟需解决:
[0004]1、连通性,实现跨设备、跨系统、跨企业、跨区域、跨产业的全面互联互通
[0005]2、安全性,工业互联网企业用户的数据交换前提是安全可信,如何满足工业互联网数据交换的安全需求,保证工业互联网数据可信交换共享服务平台各层之间数据交换的安全性,解决系统中各参与实体的身份认证、数据安全、传输安全、访问控制等多种安全问题。
技术实现思路
[0006]本专利技术所要解决的技术问题在于:如何解决现有的安全交换方法,存在着各参与实体的身份认证、数据安全、传输安全、访问控制等安全性较差的问题,提供了基于交换中心的企业间跨域安全交换方法。
[0007]本专利技术是通过以下技术方案解决上述技术问题的,本专利技术包括以下步骤:
[0008]步骤一:通过工业互联网交换中心为预设区域内的各个网络的互通提供一个快速的交换通道,为各个企业内部、企业间实现工业互联网数据的交换共享提供支持;
[0009]步骤二:在工业互联网交换中心内实现不同互联接入企业/单位的可信网间互联及数据交换,可根据各企业/单位不同类型的可信数据交换需求,在网络层面提供多种类型可信网间互联和数据交换服务;
[0010]步骤三:通过统一身份认证平台为工业互联网各企业/共享交换服务平台节点的用户和设备提供认证管理;
[0011]步骤四:通过步骤一到步骤三的过程在互联双方直接交换的数据流量较大时,交换中心可为私有互联双方开启专用VLAN,双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。
[0012]进一步在于,所述步骤二中主要采用多网多边可信互联实现可信数据交换,以及双边直连实现可信数据交换两种方式;可信网间数据交换主要通过可信路由交换和二层交换网络的VLAN分区来实现。
[0013]进一步在于,所述步骤三中的统一身份认证平台的功能包括用户身份认证、设备身份认证、认证方式与策略管理、身份凭据与单点登录、认证风险管理功能,其支持大批量证书的高效签发及管理需要有高速的数据库访问技术作为支撑,支持对密钥的生成、存储、
使用、销毁、备份全生命周期管理以及设备标识管理,并提供基于证书吊销列表CRL和OCSP的证书状态查询服务,提供实现对工业互联网的各级节点跨区域、跨行业、跨企业、跨协议的设备、人员和机构的互信互认能力。
[0014]进一步在于,所述工业互联网交换中心能够进行的交换过程包括:可信路由交换服务、可信多网多边互联及数据交换与可信双边直联;
[0015]其中,可信路由交换服务的具体过程如下:可信路由交换服务主要由设置在交换中心的可信路由服务器以及安全可信服务系统共同实现,可信路由服务器收集各个企业/单位接入网络通告的路由,利用可信安全服务系统进行可信路由认证后,形成分区路由表,通过路由服务器进行BGP路由广播发布,实现不同信任区域的BGP路由通告广播服务;
[0016]可信多网多边互联及数据交换的具体过程如下:通过在交换中心的核心、接入交换机设备上设置不同VLAN,实现不同信任区域的网间互联划分,各企业/单位网络互联接入不同的VLAN,在不同VLAN中进行可信的数据交换;
[0017]开放交换区域:在交换设备上设置1个公共VLAN,作为交换中心开放互联(Open Peering)区域,接受所有网络的接入互联和数据交换;
[0018]信任交换区域:根据不同的信任原则,在交换设备设置不同VLAN来标识不同类型的信任交换区域;通常可以使用选择性(Selective Peering)或者限制性(Restricted Peering)特性,允许符合信任条件的企业网络接入相应的VLAN,进行网间数据交换;
[0019]可信双边直联的具体过程如下:当互联双方直接交换的数据流量较大时,交换中心可为私有互联双方开启专用VLAN,双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。
[0020]进一步在于,所述步骤一到步骤四基于数据可信交换共享平台数字证书认证系统进行。
[0021]进一步在于,所述数据可信交换共享平台数字证书认证系统包括离线CA、在线CA、密钥管理系统、本地CA、内部RA与外部RA;
[0022]离线CA用于负责管理CA根,根密钥对由加密机产生和保存,同时签发二级根CA证书,由在线CA离线提交证书请求文件到离线CA进行签发;
[0023]在线CA用于负责管理二级CA根和二级子CA根,根密钥由加密机产生和保存,通过生成证书请求文件到离线CA进行二级CA根证书签发,同时在线CA能够根据策略配置多个二级CA和二级子CA,二级CA包括设备CA和服务CA,二级子CA主要面向能够联网的设备、用户和机构提供在线申请证书服务;
[0024]密钥管理系统(KM)用于负责加密密钥对的产生、分发、注销、恢复等功能,由在线CA调用接口获取服务,密钥对由加密机生成;
[0025]本地CA用于面向不能在线接入在线CA的应用(主要为生成系统),在本地建设二级子CA提供本地签发服务,通过本地RA由生成系统通过接口调用获取服务,对签发的证书采用同步的方式发送到在线CA;
[0026]内部RA用于面向能够在线接入在线CA的内部应用和机构,部署RA系统获取证书签发服务;
[0027]外部RA用于面向能够在线接入在线CA的外部应用和机构,部署RA系统获取证书签发服务。
[0028]本专利技术相比现有技术具有以下优点:该基于交换中心的企业间跨域安全交换方法,通过设计包括基于交换中心互联的网络交换骨干平台、多级安全接入防护平台、统一身份认证平台等多个平台,为各个网络(原本是互相隔离的)提供了快速交换通道;针对工业互联网存在的安全风险,为保证工业互联网数据可信交换共享服务平台各层之间数据交换的安全性,通过嵌入式安全模块、安全接入网关等安全产品,配合国家级、企业级证书/密钥管理与目录服务系统、统一标识管理系统和安全态势感知等平台支撑,为工业互联网数据可信交换提供多级安全接入保障,进而将工业互联网数据形成一个由自下而上安全信息流和自上而下的安全决策流构成的工业数字化应用优化闭环,网络联通是基础,通过设置在交换中心的可信路由服务器以及安全可信服务系统实现可信路由交换服务,实现不同互联接入企业/单位的可信网间互联及数据交换,安全数据交换是保障,通过构建围绕以设备身份、人员身份、数据身份为核心的统一身份认证服务平台,采用数字签名和验签,轻量级数据加解密,数字证书等技术来保障数据来源(数据本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于交换中心的企业间跨域安全交换方法,其特征在于,包括以下步骤:步骤一:通过工业互联网交换中心为预设区域内的各个网络的互通提供一个快速的交换通道,为各个企业内部、企业间实现工业互联网数据的交换共享提供支持;步骤二:在工业互联网交换中心内实现不同互联接入企业/单位的可信网间互联及数据交换,可根据各企业/单位不同类型的可信数据交换需求,在网络层面提供多种类型可信网间互联和数据交换服务;步骤三:通过统一身份认证平台为工业互联网各企业/共享交换服务平台节点的用户和设备提供认证管理;步骤四:通过步骤一到步骤三的过程在互联双方直接交换的数据流量较大时,交换中心可为私有互联双方开启专用VLAN,双方网络通过专用VLAN实现双边直接互联并直接进行数据交换。2.根据权利要求1所述的基于交换中心的企业间跨域安全交换方法,其特征在于:所述步骤二中主要采用多网多边可信互联实现可信数据交换,以及双边直连实现可信数据交换两种方式;可信网间数据交换主要通过可信路由交换和二层交换网络的VLAN分区来实现。3.根据权利要求1所述的基于交换中心的企业间跨域安全交换方法,其特征在于:所述步骤三中的统一身份认证平台的功能包括用户身份认证、设备身份认证、认证方式与策略管理、身份凭据与单点登录、认证风险管理功能,其支持大批量证书的高效签发及管理需要有高速的数据库访问技术作为支撑,支持对密钥的生成、存储、使用、销毁、备份全生命周期管理以及设备标识管理,并提供基于证书吊销列表CRL和OCSP的证书状态查询服务,提供实现对工业互联网的各级节点跨区域、跨行业、跨企业、跨协议的设备、人员和机构的互信互认能力。4.根据权利要求1所述的基于交换中心的企业间跨域安全交换方法,其特征在于:所述工业互联网交换中心能够进行的交换过程包括:可信路由交换服务、可信多网多边互联及数据交换与可信双边直联;其中,可信路由交换服务的具体过程如下:可信路由交换服务主要由设置在交换中心的可信路由服务器以及安全可信服务系统共同实现,可信路由服务器收集各个企业/单位接入网络通告的路由,利用可信安全服务系统进行可信路由认证后,形成分区路由表,通过路由服务器进行BGP路由广播发布,实现不同信任区域的BGP路由通告广播服务;可信...
【专利技术属性】
技术研发人员:王艺霖,胡茂霖,王安平,张建军,
申请(专利权)人:和中通信科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。