一种广域网数据旁路加密传输方法、设备及介质技术

技术编号：39931365 阅读：3 留言：0更新日期：2024-01-08 21:50

本发明专利技术涉及一种广域网数据旁路加密传输方法、设备及介质，其中方法包括以下步骤：在通信端点旁路并联部署加密网关；正常传输过程中，建立加密网关之间的互联加密隧道，各通信端点间优先选择从加密网关的加密隧道进行加密通信；当某一侧加密网关故障或链路故障时，与该故障加密网关进行通信的各通信端点间基于自动旁路机制切换到明文传输，优先选择相应的路由器进行端到端数据非加密通信；不直接与该故障加密网关进行通信的其他通信端点间仍优先选择从加密网关的加密隧道进行加密通信。与现有技术相比，本发明专利技术具有适用范围广、使用方便、加密/非加密链路可自动切换/恢复等优点。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及轨交信号业务系统数据传输领域，尤其是涉及一种广域网数据旁路加密传输方法、设备及介质。

技术介绍

1、图1为轨交行业信息系统常用的业务场景，即处于不同站点的业务终端通过交换机/路由器与中心侧服务器/终端互联。未设置加密网关场景下，站点终端与中心服务器之间数据传输均采用明文传输，无加密措施。业务系统服务器与终端之间采用ip地址和端口号识别，未进行身份认证。传输平台一般不具备传输加密服务，重要业务系统数据传输过程面临的安全风险日益突出。等级保护基本要求和密码法中明确要求要确保数据在传输过程中的完整性和保密性。如何有效保护轨交行业信号系统网络数据传输安全，防止数据泄漏、截取和篡改对系统造成重大影响，加强信号系统数据保护成为亟待解决的问题。

2、为解决信息系统传输安全问题，可在物理层、数据链路层、网络层、传输层、应用层实现数据传输加密。物理层可使用非通用波段光模块方式，使得物理层无法通过通用光波仪器来获取数据。数据链路层可使用两侧固定密钥加密或传输平台板卡加密，使得两端传输链路是加密通信。网络层/传输层可通过vpn技术实现数据传输加密，应用层可通过调用加密中间件或加密板卡来实现数据传输加密。

3、上述几种方案各有特点，以下进行简单描述。物理层采用非通用波段光模块会引起成本显著增加且不符合设备通用替代理念。物理层采用非通用波段光模块要求数据通信双方的底层通信链路全部进行改造，成本较高。数据链路层通过数通设备或传输板卡使用固定密钥数据加密，具备一定程度上安全要求，但不满足密评要求。网络层/传输层使用vpn

4、cn114465848a公开了一种基于密文的数据传输方法及其系统，方法包括：终端根据vpn客户端以及vpn网关的相关信息确定终端和服务器之间是否进行密文通信；通过所述vpn客户端以及vpn网关在所述终端和服务器之间进行密文通信，能够同时满足铁路行业信息系统的可靠性和数据传输安全的需求，使得网络中处于不同位置不同vlan的多台终端均可以与服务器实现加密通信，适用于铁路信息系统常用的业务场景。该方法的vpn终端侧虽然有身份认证机制，但需要手工断开vpn客户端软件才可进行正常明文通信，并且如需要再次启用密文通信，则需要在终端侧再次手动点击连接按钮才可以实现密文通信，无法实现自动切换。

技术实现思路

1、本专利技术的目的就是为了克服上述现有技术存在的缺陷而提供一种广域网数据旁路加密传输方法、设备及介质，在不影响原有业务系统的前提下，通过在业务系统旁挂加密网关方式实现业务系统旁路加密传输机制，有效加强数据传输加密安全性，并在各站点设备或链路故障时，自动选择数据传输是否使用加密机制，不影响原有业务系统数据传输，既提高了传输过程中数据的保密性、完整性和安全性，又不影响到业务系统的可用性。

2、本专利技术的目的可以通过以下技术方案来实现：

3、根据本专利技术的第一方面，提供了一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，该方法包括以下步骤：

4、s1、在通信端点旁路并联部署加密网关；

5、s2、正常传输过程中，建立加密网关之间的互联加密隧道，各通信端点间优先选择从加密网关的加密隧道进行加密通信；

6、s3、当某一侧加密网关故障或链路故障时，与该故障加密网关进行通信的各通信端点间基于自动旁路机制切换到明文传输，优先选择相应的路由器进行端到端数据非加密通信；不与该故障加密网关进行通信的其他通信端点间仍优先选择从加密网关的加密隧道进行加密通信。

7、作为优选的技术方案，所述的广域网数据旁路加密传输方法适用于hub-spoke/full-mesh模型场景的数据通信加密。

8、作为优选的技术方案，所述的步骤s2包括以下步骤：

9、s21、一阶段加密隧道建立：两端通信端点的加密网关进行身份认证，生成一阶段加密密钥，为二阶段加密数据传输建立安全通道；

10、s22、二阶段加密数据传输：两端通信端点通过安全通道交互加密套件、交换密钥材料，生成二阶段加密密钥，形成加密隧道，实现两端加密通信。

11、作为优选的技术方案，所述的步骤s21具体为：两端通信端点的加密网关通过协商加密算法、认证算法、封装模式、dh组标识、交换数字证书进行身份认证，使用dh算法交换密钥材料后，双方各自生成一阶段加密密钥，基于一阶段加密密钥建立安全通道。

12、作为优选的技术方案，所述的步骤s22具体为：两端通信端点的加密网关通过一阶段建立的安全通道交互ipsec安全参数、密钥材料，双方各自生成基于国密sm4的二阶段ipsec加密密钥，形成动态多点加密隧道模型，实现两端加密通信。

13、作为优选的技术方案，所述的一阶段加密密钥和二阶段加密密钥周期性自动生成。

14、作为优选的技术方案，所述的通信端点包括hub站点和多个spoke站点，hub站点和spoke站点之间存在数据通信需求，spoke站点和spoke站点之间存在数据通信需求。

15、作为优选的技术方案，所述的步骤s3中，在hub侧加密网关故障或链路故障场景下，hub-spoke站点和spoke-spoke站点之间数据流量基于自动旁路机制切换到明文传输，选择相应的路由器进行端到端数据非加密通信，实现两端主机之间数据通信。

16、作为优选的技术方案，所述的步骤s3中，在spoke侧加密网关故障或链路故障场景下，与该故障的spoke站点直接进行通信的hub-spoke站点和spoke-spoke站点基于自动旁路机制切换到明文传输，选择相应的路由器进行端到端数据非加密通信；不直接与该故障加密网关进行通信的hub-spoke站点和spoke-spoke站点优先选择从加密网关的加密隧道进行加密通信。

17、作为优选的技术方案，所述的步骤s3中，当故障的加密网关或链路恢复后，通信加密网关之间互联加密隧道自动恢复，两端通信端点恢复使用加密隧道进行数据加密通信。

18、本技术方案在不影响原有业务系统的前提下，通过在业务系统旁挂加密网关方式实现业务系统旁路加密传输机制。使用数字证书实现身份认证，降低通信双方可能存在的身份认证问题。加密密钥使用国密算法，加强了数据传输过程中的保密性。密钥自动协商、更新机制则解决了密钥时效性问题，有效加强数据传输加密安全性，杜绝数据在传输过程中的泄漏、篡改。各站点设备或链路故障时，可自动选择数据传输是否使用加密机制，本文档来自技高网...

【技术保护点】

1.一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，该方法包括以下步骤：

2.根据权利要求1所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的广域网数据旁路加密传输方法适用于Hub-Spoke/Full-Mesh模型场景的数据通信加密。

3.根据权利要求1所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的步骤S2包括以下步骤：

4.根据权利要求3所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的步骤S21具体为：两端通信端点的加密网关通过协商加密算法、认证算法、封装模式、DH组标识、交换数字证书进行身份认证，使用DH算法交换密钥材料后，双方各自生成一阶段加密密钥，基于一阶段加密密钥建立安全通道。

5.根据权利要求3所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的步骤S22具体为：两端通信端点的加密网关通过一阶段建立的安全通道交互IPSec安全参数、密钥材料，双方各自生成基于

6.根据权利要求3所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的一阶段加密密钥和二阶段加密密钥周期性自动生成。

7.根据权利要求1所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的通信端点包括Hub站点和多个Spoke站点，Hub站点和Spoke站点之间存在数据通信需求，Spoke站点和Spoke站点之间存在数据通信需求。

8.根据权利要求7所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的步骤S3中，在Hub侧加密网关故障或链路故障场景下，Hub-Spoke站点和Spoke-Spoke站点之间数据流量基于自动旁路机制切换到明文传输，选择相应的路由器进行端到端数据非加密通信，实现两端主机之间数据通信。

9.根据权利要求7所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的步骤S3中，在Spoke侧加密网关故障或链路故障场景下，与该故障的Spoke站点直接进行通信的Hub-Spoke站点和Spoke-Spoke站点基于自动旁路机制切换到明文传输，选择相应的路由器进行端到端数据非加密通信；不直接与该故障加密网关进行通信的Hub-Spoke站点和Spoke-Spoke站点优先选择从加密网关的加密隧道进行加密通信。

10.根据权利要求1所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的步骤S3中，当故障的加密网关或链路恢复后，通信加密网关之间互联加密隧道自动恢复，两端通信端点恢复使用加密隧道进行数据加密通信。

11.一种电子设备，包括存储器和处理器，所述存储器上存储有计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1～10中任一项所述的方法。

12.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1～10中任一项所述的方法。

...

【技术特征摘要】

1.一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，该方法包括以下步骤：

2.根据权利要求1所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的广域网数据旁路加密传输方法适用于hub-spoke/full-mesh模型场景的数据通信加密。

3.根据权利要求1所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的步骤s2包括以下步骤：

4.根据权利要求3所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的步骤s21具体为：两端通信端点的加密网关通过协商加密算法、认证算法、封装模式、dh组标识、交换数字证书进行身份认证，使用dh算法交换密钥材料后，双方各自生成一阶段加密密钥，基于一阶段加密密钥建立安全通道。

5.根据权利要求3所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的步骤s22具体为：两端通信端点的加密网关通过一阶段建立的安全通道交互ipsec安全参数、密钥材料，双方各自生成基于国密sm4的二阶段ipsec加密密钥，形成动态多点加密隧道模型，实现两端加密通信。

7.根据权利要求1所述的一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，其特征在于，所述的通信端点包括hub站点和多个spoke站点，hub站点和spok...

【专利技术属性】
技术研发人员：周学兵，韩熠，费振豪，黄辉，陈峰，王美茜，华晟，马钰昕，
申请(专利权)人：卡斯柯信号有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人