本发明专利技术公开了一种无缝接入已有网络的加密系统和加密方法,包括由外场信息终端、普通接入交换机、普通核心交换机和普通应用服务器依次连接构建的网络拓扑,其中,外场信息终端与普通接入交换机之间串联有IP数据加密终端;IP数据加密终端至少包含与外场信息终端连接的以太网接口A、与普通接入交换机连接的以太网接口B以及电源接口,以太网接口A与以太网接口B按照硬件BYPASS设置;IP数据加密终端还设置有ARP数据自定义功能模块;普通核心交换机采用旁路串联方式连接有中心端IP数据加密装置。本发明专利技术不但在保持外场信息终端网络配置不变的情况下,可适当调整中心端网络路由,还可在IP数据加密终端出现故障时,通过断电离线方式恢复明文通信状态。式恢复明文通信状态。式恢复明文通信状态。
【技术实现步骤摘要】
一种无缝接入已有网络的加密系统和加密方法
[0001]本专利技术涉及IP网络传输加密
,具体涉及一种无缝接入已有网络的加密系统和加密方法。
技术介绍
[0002]随着嵌入式计算技术的快速发展,越来越多的外场环境部署具有边缘计算能力的信息终端,由于信息终端具备计算能力和IP网络通信能力,因此能够接受远程控制中心的管理指令并将指令的执行结果反馈至远程控制中心,如图1所示,普通接入交换机为弱三层交换机,只能进行同网段IP地址交换,不具备策略路由功能;普通核心交换机为标准三层交换机,具有策略路由功能。目前,具有边缘计算能力的诸多智能嵌入式信息终端已经在交通、能源、电力、水利、农业、治安等场景中广泛应用,是国家关键信息基础设施的重要组成部分。
[0003]随着国家网络安全体系建设的逐步深入,数量众多的外场嵌入式信息终端与远程控制中心之间的IP网络数据需要进行传输加密和身份认证,常规解决方案是在外场嵌入式信息终端串联IP数据加密终端/装置,在远程控制中心部署中心端IP数据加密装置,其中,中心端IP数据加密装置有两种拓扑部署方式,分别为如图2所示的物理串联方式以及如图3所示的旁路串联方式。一方面,传统的IPSec VPN安全网关、SSLVPN安全网关等部署方式要求变更外场嵌入式终端的网络配置信息,不利于大规模外场嵌入式终端网络的升级改造;另一方面,当新增的IP数据加密终端出现宕机情况时,即使IP数据加密终端下线也无法尽快恢复明文通信状态。上述两项技术方案均无法满足建设单位下述需求:
[0004](1)保持外场嵌入式信息终端网络配置不变,可适当调整中心端网络路由;
[0005](2)当IP数据加密终端出现故障时可通过断电离线方式恢复明文通信状态。
技术实现思路
[0006]本专利技术需要解决的技术问题是提供一种无缝接入已有网络的加密系统和加密方法,不但在保持外场嵌入式信息终端网络配置不变的情况下,可适当调整中心端网络路由,还可在IP数据加密终端出现故障时,通过断电离线方式恢复明文通信状态。
[0007]为解决上述技术问题,本专利技术所采取的技术方案如下。
[0008]一种无缝接入已有网络的加密系统,包括由外场信息终端、普通接入交换机、普通核心交换机和普通应用服务器依次连接构建的网络拓扑;所述外场信息终端具备计算能力和IP网络通信能力,其中,所述外场信息终端与普通接入交换机之间串联有工作模式为桥接模式的IP数据加密终端;IP数据加密终端至少包含与外场信息终端连接的以太网接口A、与普通接入交换机连接的以太网接口B以及电源接口三个物理接口,以太网接口A与以太网接口B按照在电源接口处于断开状态时为电路直连状态的硬件BYPASS设置;所述IP数据加密终端还设置有可自行发送虚拟IP地址给外场信息终端的ARP数据自定义功能模块;所述普通核心交换机采用旁路串联方式连接有中心端IP数据加密装置。
[0009]优选的,所述以太网接口A与外场信息终端通过RJ45千兆网线连接。
[0010]优选的,所述以太网接口B与普通接入交换机的原有网线连接。
[0011]优选的,所述IP数据加密终端和中心端IP数据加密装置上分别配置有加密策略,加密策略按照IP五元组模式配置。
[0012]优选的,所述普通核心交换机中配置有用于保证普通应用服务器与外场信息终端之间双向传送的IP数据包能进行加密保护的策略路由。
[0013]一种无缝接入已有网络的加密方法,基于一种无缝接入已有网络的加密系统实现,具体包括以下步骤:
[0014]S1:设置外场信息终端的以太网接口的IP地址和网关地址;
[0015]S2:设置IP数据加密终端与外场信息终端连接的以太网接口A的IP地址为与步骤S1中的IP地址不同的任何其它地址;
[0016]S3:设置IP数据加密终端与普通接入交换机连接的以太网接口B的IP地址为与步骤S1中的IP地址为同网段的IP地址,设置以太网接口B的网关地址为步骤S1中的网关地址;
[0017]S4:设置普通接入交换机与IP数据加密终端连接的以太网接口的IP地址为步骤S3中的网关地址;
[0018]S5:设置普通核心交换机与中心端IP数据加密装置连接的以太网接口的IP地址;
[0019]S6:设置中心端IP数据加密装置与普通核心交换机连接的以太网接口的IP地址为与步骤S5中的IP地址为同网段的IP地址。
[0020]优选的,所述步骤S2中的以太网接口A的IP地址为虚地址,具体为:1.1.1.1。
[0021]优选的,所述步骤还包括:
[0022]S7:设置普通核心交换机与普通接入交换机连接的以太网接口的IP地址;
[0023]S8:设置普通应用服务器与普通接入交换机连接的以太网接口的IP地址为与步骤S7中的IP地址为同网段的IP地址,设置普通应用服务器与普通接入交换机连接的以太网接口的网关地址为步骤S7中的IP地址。
[0024]由于采用了以上技术方案,本专利技术所取得技术进步如下。
[0025]本专利技术通过设置的网络路由配置和IP路由方式,在保持外场信息终端网络配置不变的情况下,可适当调整中心端网络路由;通过设置包含电源接口和两个按照硬件BYPASS设置的以太网接口的IP数据加密终端,可在IP数据加密终端出现故障时,通过断电离线方式恢复明文通信状态;通过设置在IP数据加密终端上的ARP数据自定义功能模块可自行发送虚拟IP地址给外场信息终端,且普通接入交换机的IP无需改变,即使IP数据加密终端断电,外场信息终端仍然认可普通接入交换机。
附图说明
[0026]图1为现有外场信息终端与远程控制中心的网络拓扑图;
[0027]图2为现有外场信息终端与远程控制中心采用中心端物理串联方式进行加密的拓扑图;
[0028]图3为现有外场信息终端与远程控制中心采用中心端旁路串联方式进行加密的拓扑图;
[0029]图4为本专利技术的网络拓扑图;
[0030]图5为本专利技术的IP数据加密终端的外部接口形态示意图。
具体实施方式
[0031]下面将结合附图和具体实施方式对本专利技术进行进一步详细说明。
[0032]一种无缝接入已有网络的加密系统,结合图4所示,包括外场信息终端、普通接入交换机、普通核心交换机、普通应用服务器、IP数据加密终端和中心端IP数据加密装置,其中,外场信息终端具备计算能力和IP网络通信能力,外场信息终端、普通接入交换机、普通核心交换机和普通应用服务器依次连接构建成网络拓扑;IP数据加密终端串联在外场信息终端与普通接入交换机之间;中心端IP数据加密装置采用旁路串联方式与普通核心交换机连接。
[0033]IP数据加密终端的工作模式为桥接模式,如图5所示,IP数据加密终端至少包含三个物理接口,分别为:以太网接口A、以太网接口B以及电源接口,其中,以太网接口A与外场信息终端通过RJ45千兆网线连接;以太网接口B与普通接入交换机的原有网线连接,确保IP数据加密终端为物本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种无缝接入已有网络的加密系统,包括由外场信息终端、普通接入交换机、普通核心交换机和普通应用服务器依次连接构建的网络拓扑;所述外场信息终端具备计算能力和IP网络通信能力,其特征在于:所述外场信息终端与普通接入交换机之间串联有工作模式为桥接模式的IP数据加密终端;IP数据加密终端至少包含与外场信息终端连接的以太网接口A、与普通接入交换机连接的以太网接口B以及电源接口三个物理接口,以太网接口A与以太网接口B按照在电源接口处于断开状态时为电路直连状态的硬件BYPASS设置;所述IP数据加密终端还设置有可自行发送虚拟IP地址给外场信息终端的ARP数据自定义功能模块;所述普通核心交换机采用旁路串联方式连接有中心端IP数据加密装置。2.根据权利要求1所述的一种无缝接入已有网络的加密系统,其特征在于:所述以太网接口A与外场信息终端通过RJ45千兆网线连接。3.根据权利要求1所述的一种无缝接入已有网络的加密系统,其特征在于:所述以太网接口B与普通接入交换机的原有网线连接。4.根据权利要求1所述的一种无缝接入已有网络的加密系统,其特征在于:所述IP数据加密终端和中心端IP数据加密装置上分别配置有加密策略,加密策略按照IP五元组模式配置。5.根据权利要求1所述的一种无缝接入已有网络的加密系统,其特征在于:所述普通核心交换机中配置有用于保证普通应用服务器与外场信息终端之间双向传送的IP数据包能进行加密保护的策略路由。6.一种无缝接入已有...
【专利技术属性】
技术研发人员:李耀龙,张卜中,李克强,
申请(专利权)人:北京格密科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。