本发明专利技术公开了一种基于流量自适应工作模式的方法及加解密装置,其技术方案要点包括流量采集模块,其被配置为根据报文信息采集目标协议流量;流量分析模块,其被配置为根据流量报文信息将流量分为加密流量和非加密流量;加解密模块,其设置有两个模式,分别为代理模式和透明模式;代理模式下,对主站与子站之间业务流量进行加密与解密处理;透明模式下,仅做数据透传;模式切换模块,其被配置为根据流量分析结果,选择匹配的加解密模块模式;加密流量匹配代理模式,非加密流量匹配透明模式。本发明专利技术能根据主站输出的业务流量类型自动切换加解密模块的模式,无需工程师到现场手动切换加解密模块工作模式。加解密模块工作模式。加解密模块工作模式。
【技术实现步骤摘要】
一种基于流量自适应工作模式的方法及加解密装置
[0001]本专利技术涉及数据通信
,更具体的说,它涉及一种基于流量自适应工作模式的方法及加解密装置。
技术介绍
[0002]随着两化融合走向深入,工业数字化、网络化、智能化快速发展,关系国计民生的关键信息基础设施(电力、交通、制造业等)成为黑客攻击的主要目标,网络攻击事件频发。针对电力的工业控制系统的安全建设与保障关系到国计民生与社会稳定,在新形势下针对电力的工控系统的安全防护建设已刻不容缓。国家电网公司根据上述情况,结合调度业务系统与机构分布情况,建立了完善的调度数字证书认证体系,并通过电力专用纵向加密认证装置,建立起以商用密码为基础的安全保障体系。
[0003]当前电力配电网络的主站与各个子站的RTU(Remote Teminal Unit,即远程终端控制单元)之间会部署有专用的纵向加密网络,可对主站与各个RTU之间通信的流量进行加密。
[0004]中国专利CN202856452U公开了一种配电网系统,其基本结构如图1所示,主站侧设置加解密服务器,RTU侧设置终端加解密装置。主站切换到不加密的工作模式时,其输出的流量无需通过加解密服务器加密,其接收的流量也无需通过加解密服务器解密;这种情况下,终端加解密装置工作在透明模式,终端加解密装置在主站与RTU之间仅起到数据透传作用。主站切换到加密工作模式时,其输出的流量通过加解密服务器加密,其接收的流量需要通过加解密服务器解密;这种情况下,终端加解密装置工作在代理模式,对来自主站的流量需要进行解密并将解密后的流量输出至RTU,对来自RTU的流量需要进行加密并将加密后的流量输出至主站。主站处于加密模式时,主站与终端加解密装置进行的是加密协议连接,同时终端加解密装置与RTU进行的是未加密的协议连接;终端加解密装置起到反向代理作用,使得RTU对于流量的加密无感,而主站与终端加解密装置的会话中,流量仍是安全加密的。需要说明的是,终端加解密装置一般与RTU安装在同一个机柜中,即便是不加密进行通信也可以保证通信链路的安全。
[0005]由此可见,终端加解密装置的工作模式与终端加解密装置和主站之间的协议连接是否加密有着直接的联系。目前终端加解密装置在进行工作模式切换的时候,通常需要工程师到子站通过串口管理的方式手动修改终端加解密装置工作模式。但根据前述场景,主站与RTU之间的通信是否需要加密,往往由主站侧决定,而工程师到达子站进行终端加解密装置工作模式的修改则需要较长的时间。也就是说现有的终端加解密装置,不能根据接收到的流量自主切换工作模式,灵活度受限。
[0006]因此如何使终端加解密装置根据加密流量或非加密流量自主切换匹配的工作模式,即如何提高终端加解密装置工作模式切换的灵活性是本领域技术人员亟待解决的问题。
技术实现思路
[0007]针对现有技术存在的不足,本专利技术的目的在于提供一种基于流量自适应工作模式的方法及加解密装置,其根据流量的报文内容进行业务流量的采集与分类,并根据主站输出的业务流量类型自动切换加解密模块的模式,无需工程师到现场手动切换加解密模块工作模式,提高了RTU侧加解密模块模式切换的灵活性。
[0008]为实现上述目的,本专利技术提供了如下技术方案:一种加解密装置,包括流量采集模块,其被配置为采集流量,并根据流量的报文信息提取采用目标通信协议的流量作为业务流量;
[0009]流量分析模块,其被配置为根据业务流量的报文信息将业务流量分为加密流量和非加密流量;
[0010]加解密模块,其设置有两个模式,分别为代理模式和透明模式;代理模式下,对主站与子站之间业务流量进行加密与解密处理;透明模式下,仅做数据透传;
[0011]以及,模式切换模块,其被配置为根据流量分析模块的分析结果,选择匹配的加解密模块模式;加密流量匹配代理模式,非加密流量匹配透明模式。
[0012]通过采用上述技术方案,本专利技术根据流量的报文内容进行业务流量的采集与分类,并根据主站输出的业务流量类型自动切换加解密模块的模式,无需工程师到现场手动切换加解密模块工作模式,提高了RTU侧加解密模块模式切换的灵活性。
[0013]本专利技术进一步设置为:所述模式切换模块内设置用于显示当前流量环境的环境状态机。
[0014]通过采用上述技术方案,环境状态机用于显示当前流量环境为加密流量状态或非加密流量状态。
[0015]上述加解密装置中使用的一种基于流量自适应工作模式的方法:所述加解密装置中,加解密模块默认采用代理模式;
[0016]S1:流量采集模块采集业务流量;
[0017]S2:流量分析模块将业务流量分成加密流量与非加密流量;
[0018]S3:判断当前流量环境:流量分析模块当前识别的业务流量为加密流量,则当前流量环境为加密流量环境;流量分析模块当前识别的业务流量为非加密流量,则当前流量环境为非加密流量环境;
[0019]S4:模式切换模块判断流量环境与加解密模块模式是否匹配:
[0020]当前为非加密流量环境,且加解密模块为代理模式时,进行S5;
[0021]当前为加密流量环境,且加解密模块为透明模式时,进行S6;
[0022]当前为非加密流量环境,且加解密模块为透明模式时,进行S7
[0023]当前为加密流量环境,且加解密模块为代理模式时,进行S8;
[0024]S5:模式切换模块将加解密模块从代理模式切换为透明模式,进行S7;
[0025]S6:模式切换模块将加解密模块从透明模式切换为代理模式,进行S8;
[0026]S7:加解密模块对流量仅进行透传处理;
[0027]S8:加解密模块将主站的加密流量解密,将RTU的非加密流量加密。
[0028]本专利技术进一步设置为:所述流量采集模块内设置业务流量缓存池,所述S1中的业务流量存入业务流量缓存池中;所述流量分析模块从业务流量缓存池中提取业务流量进行
S2。
[0029]通过采用上述技术方案,流量采集模块采集业务流量后可以直接将其送入业务流量缓存池,不用等流量分析模块分析完再采集流量,提高了流量采集的效率。
[0030]本专利技术进一步设置为:所述流量分析模块内设置加密流量缓存池和非加密流量缓存池,所述S2中的加密流量存入加密流量缓存池,非加密流量存入非加密流量缓存池中;加解密模块从加密流量缓存池和非加密流量缓存池中提取流量进行S7或S8。
[0031]通过采用上述技术方案,流量分析后的加密流量和非加密流量可以分别存入加密流量缓存池和非加密流量缓存池,无需等待加解密模块,提高了流量分析的效率。
[0032]本专利技术进一步设置为:所述S5中,通过如下步骤将加解密模块从代理模式切换成透明模式:
[0033]S51:保持加解密模块在代理模式下,优先处理加密流量缓存池中的加密流量,直至加密流量缓存池清空;
[0034]S52:加解密装置主动断开与主站和RTU的通信连接;当加解密模块从代理模式切换成透本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种加解密装置,其与主站和RTU均建立通信连接,其特征在于:包括:流量采集模块(1),其被配置为采集流量,并根据流量的报文信息提取采用目标通信协议的流量作为业务流量;流量分析模块(2),其被配置为根据业务流量的报文信息将业务流量分为加密流量和非加密流量;加解密模块(3),其设置有两个模式,分别为代理模式和透明模式;代理模式下,对主站与子站之间业务流量进行加密与解密处理;透明模式下,仅做数据透传;以及,模式切换模块(4),其被配置为根据流量分析模块(2)的分析结果,选择匹配的加解密模块(3)模式;加密流量匹配代理模式,非加密流量匹配透明模式。2.根据权利要求1所述的一种加解密装置,其特征在于:所述模式切换模块(4)内设置用于显示当前流量环境的环境状态机。3.一种基于流量自适应工作模式的方法,其特征在于:应用于如权利要求1
‑
2任一中所述的加解密装置,所述加解密装置中,加解密模块(3)默认采用代理模式;S1:流量采集模块(1)采集业务流量;S2:流量分析模块(2)将业务流量分成加密流量与非加密流量;S3:判断当前流量环境:流量分析模块(2)当前识别的业务流量为加密流量,则当前流量环境为加密流量环境;流量分析模块(2)当前识别的业务流量为非加密流量,则当前流量环境为非加密流量环境;S4:模式切换模块(4)判断流量环境与加解密模块(3)模式是否匹配:当前为非加密流量环境,且加解密模块(3)为代理模式时,进行S5;当前为加密流量环境,且加解密模块(3)为透明模式时,进行S6;当前为非加密流量环境,且加解密模块(3)为透明模式时,进行S7当前为加密流量环境,且加解密模块(3)为代理模式时,进行S8;S5:模式切换模块(4)将加解密模块(3)从代理模式切换为透明模式,进行S7;S6:模式切换模块(4)将加解密模块(3)从透明模式切换为代理模式,进行S8;S7:加解密模块(3)对流量仅进行透传处理;S8:加解密模块(3)将主站的加密流量解密,将RTU的非加密流量加密。4.根据权利要求3所述的一种基于流量自适应工作模式的方法,其特征在于:所述流量采集模块(1)内设置业务流量缓存池,所述S1中的业务流量存入业务流量缓存池中;所述流量分析模块(2)从业务流量缓存池中提取业务流量进行S2。5....
【专利技术属性】
技术研发人员:周奇波,张锡波,杜晓雷,
申请(专利权)人:宁波新胜中压电器有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。