一种SD-WAN加密通信系统和方法技术方案

本发明专利技术涉及通信技术领域，且公开了一种SD

【技术实现步骤摘要】
一种SD
‑
WAN加密通信系统和方法


[0001]本专利技术涉及通信
，尤其涉及一种SD
‑
WAN加密通信系统和方法。

技术介绍

[0002]经检索现有技术公开了
[0003]为此，我们提出一种SD
‑
WAN加密通信系统和方法。

技术实现思路

[0004]本专利技术主要是解决上述现有技术所存在的技术问题，提供一种SD
‑
WAN加密通信系统和方法。
[0005]为了实现上述目的，本专利技术采用了如下技术方案，一种SD
‑
WAN加密通信系统和方法，包括虚拟逻辑网络层、物理网络层、网络互连层和用户层；
[0006]虚拟逻辑网络层、物理网络层、网络互连层和用户层通过通信设备相互连接，所述通信设备包括SD
‑
WAN控制器、交换机和特制SIM卡；所述交换机的内部设置通信模组，特制SIM卡设置在通信模组上，SD
‑
WAN控制器用于基于基础流表和会话秘钥，生成加密流表，并将加密流表发送至所述交换机中，交换机，经过通信模组将加密流表传输至虚拟逻辑网络层，经由物理网络层传输至网络互连层最终传输给用户层；
[0007]所述虚拟逻辑网络层包括多个网关，所述任意网关的第一WAN口与SD
‑
WAN控制器通信连接，剩余WAN口与物理网络层物理连接，任意两个网关通过其余任意WAN口物理连接；
[0008]所述网络互连层和物理网络层物理连接且网络互连层与用户层通信连接；
[0009]SD
‑
WAN控制器用于根据所述访问请求，确定路由策略，控制所述网络互连层中接收到所述访问数据的网关装置将所述访问数据转发至其他网关装置，由其他网关装置将所述访问数据传送至所述物理网络层，还用于对所述网络互连层中所有的网关装置进行编译，使所述网络互连层中所有的网关装置具备数据转发属性，还用于控制所述网络互连层中转发及传输所述访问数据的网关装置对所述访问数据进行加密，还用于生成加密流表。
[0010]作为上述方案的进一步限定，所述加密流表基于基础流表和会话秘钥，基于预设私钥，对时间戳进行分散，获取所述会话秘钥；
[0011]将所述会话秘钥置于所述基础流表之后，通过预设加密算法，对所述基础流表进行加密；
[0012]基于加密结果，计算数字签名；
[0013]根据所述加密结果和所述数字签名，生成得到加密流表，交换机接收所述加密流表，并通过调用内部预设通信模组，向所述特制SIM卡发送所述加密流表。
[0014]作为上述方案的进一步限定，所述预设加密算法包括RSA、ECC和SM2其中一种或者任意多种。
[0015]作为上述方案的进一步限定，所述SD
‑
WAN控制器还用于接收和解密加密流表，SD
‑
WAN控制器接收所述加密流表，通过其内部的通信模组打开预设机卡通道，通过特制SIM卡
接收并验证解密所述加密流表，通过预设解密算法和预存公钥对所述加密流表进行解密。
[0016]作为上述方案的进一步限定，在对所述加密流表进行解密之前，通信模组需要对数字签名和会话秘钥进行验证，验证后采用预设解密算法中RSA、ECC或SM2中的一种或多种算法进行解密且预设解密算法与预设加密算法使用同一种或者使用相同的多种。
[0017]作为上述方案的进一步限定，在对所述加密流表进行解密过程中，SD
‑
WAN控制器会将验证数字签名和会话秘钥进行的结果实时反馈给交换机。
[0018]作为上述方案的进一步限定，若所述数字签名和所述会话秘钥进行验证结果通过，交换机调用通信模组经过特制SIM发送至虚拟逻辑网络层，若所述数字签名和所述会话秘钥进行验证未通过则不上传并将错误信息反馈给预设交换机。
[0019]作为上述方案的进一步限定，所述SD
‑
WAN控制器内还设置有备用通信模块和储备发送模块，备用通信模块用于根据所述访问数据生成访问请求，并将所述访问请求发送给所述SD
‑
WAN系统中的虚拟逻辑网络层；
[0020]储备发送模块用于在所述虚拟逻辑网络层的控制下将所述访问数据传送至所述物理网络层。
[0021]作为上述方案的进一步限定，所述通信设备还包括处理器和存储器，所述存储器和处理器通信连接，存储器中存储有可读计算机程序。
[0022]有益效果
[0023]本专利技术提供了一种SD
‑
WAN加密通信系统和方法。具备以下有益效果：
[0024](1)、该一种SD
‑
WAN加密通信系统和方法，通过将流表在控制器端基于秘钥进行加密，数据传输后，在SIM卡中通过预存的公钥进行验证解密，实现双重保密，降低数据被篡改的概率，提高通信安全效果和对数据的加密效果。
[0025](2)、该一种SD
‑
WAN加密通信系统和方法，通过彼此连接通信的虚拟逻辑网络层、物理网络层物理连接、网络互连层和用户层，基于现有的网络为基础，减少改造过程中的替换设备。
[0026](3)、该一种SD
‑
WAN加密通信系统和方法，通过通信模块中存储的加密和解密算法的随机更换，在保证加密后的数据流表可采用与预设加密算法对应的预设解密算法解密基础上，通过随机更换其中任意一种或者多种算法，提高对数据流表的加密效果。
具体实施方式
[0027]实施例一，一种SD
‑
WAN加密通信系统和方法，包括虚拟逻辑网络层、物理网络层、网络互连层和用户层；
[0028]虚拟逻辑网络层、物理网络层、网络互连层和用户层通过通信设备相互连接，所述通信设备包括SD
‑
WAN控制器、交换机和特制SIM卡；所述交换机的内部设置通信模组，特制SIM卡设置在通信模组上，SD
‑
WAN控制器用于基于基础流表和会话秘钥，生成加密流表，并将加密流表发送至所述交换机中，交换机，经过通信模组将加密流表传输至虚拟逻辑网络层，经由物理网络层传输至网络互连层最终传输给用户层；用户层可以是便携式电脑(笔记本电脑)、工作站中能够连网的设备、主机等；
[0029]特制SIM卡可以采用专用COS脚本，支持多种卡片中国联通、中国移动中国电信入网2G/3G/4G/5G多种制式，符合中国联通、中国移动、中国电信入网标准的SIM卡，支持入网
鉴权、语音通话、短信收发、蜂窝移动数据等功能，另外在该卡COS中预先存储上级控制器的公钥，并保存在卡中，用于后续对接收的加密流表进行解密；
[0030]所述虚拟逻辑网络层包括多个网关，所述任意网关的第一WAN口与SD
‑
WAN控制器通信连接，第二WAN口与物理网络层物理连接，任意两个网关通过其余任意WAN口物理连接；
[0031]所述网络互连层和物理网络层物理连接且网络互连层与用户层通信本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种SD
‑
WAN加密通信系统和方法，其特征在于：包括虚拟逻辑网络层、物理网络层、网络互连层和用户层；虚拟逻辑网络层、物理网络层、网络互连层和用户层通过通信设备相互连接，所述通信设备包括SD
‑
WAN控制器、交换机和特制SIM卡；所述交换机的内部设置通信模组，特制SIM卡设置在通信模组上，SD
‑
WAN控制器用于基于基础流表和会话秘钥，生成加密流表，并将加密流表发送至所述交换机中，交换机，经过通信模组将加密流表传输至虚拟逻辑网络层，经由物理网络层传输至网络互连层最终传输给用户层；所述虚拟逻辑网络层包括多个网关，所述任意网关的第一WAN口与SD
‑
WAN控制器通信连接，剩余WAN口与物理网络层物理连接，任意两个网关通过其余任意WAN口物理连接；所述网络互连层和物理网络层物理连接且网络互连层与用户层通信连接；SD
‑
WAN控制器用于根据所述访问请求，确定路由策略，控制所述网络互连层中接收到所述访问数据的网关装置将所述访问数据转发至其他网关装置，由其他网关装置将所述访问数据传送至所述物理网络层，还用于对所述网络互连层中所有的网关装置进行编译，使所述网络互连层中所有的网关装置具备数据转发属性，还用于控制所述网络互连层中转发及传输所述访问数据的网关装置对所述访问数据进行加密，还用于生成加密流表。2.根据权利要求1所述的一种SD
‑
WAN加密通信系统和方法，其特征在于：所述加密流表基于基础流表和会话秘钥，基于预设私钥，对时间戳进行分散，获取所述会话秘钥；将所述会话秘钥置于所述基础流表之后，通过预设加密算法，对所述基础流表进行加密；基于加密结果，计算数字签名；根据所述加密结果和所述数字签名，生成得到加密流表，交换机接收所述加密流表，并通过调用内部预设通信模组，向所述特制SIM卡发送所述加密流表。3.根据权利要求2所述的一种SD
‑
WAN加密通信系统和方法，其特征在于：所述预设加密算法包括RSA、ECC和SM2其中一种或者...

【专利技术属性】
技术研发人员：李锦基，黄永权，李明东，付长财，龙泽，
申请(专利权)人：深圳市高德信通信股份有限公司，
类型：发明
国别省市：