本發(fā)明涉及網(wǎng)絡接入方法，具體涉及一種配電終端接入平臺的實現(xiàn)方法。

背景技術：

ipsec安全協(xié)議是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。它是基于ipsec的vpn，不依賴于網(wǎng)絡接入方式，可以在任意基礎網(wǎng)絡上部署，而且可以實現(xiàn)端到端的安全保護。但ipsecvpn有一些局限性：

1)需要安裝客戶端軟件，存在大量的安裝、培訓、升級、管理等工作，無形增加了用戶的使用成本。

2)接入設備支持的種類少，以desktoppc和notebookpc為主，對配電類設備的支持有局限性。

3)存在一些技術問題，如：nat穿透、私有地址沖突等。

4)由于ipsec是網(wǎng)絡層協(xié)議，安全隧道一旦建立，可以訪問所有內(nèi)部資源，存在一定的安全隱患。

sslvpn是以https為基礎的vpn技術，工作在傳輸層和應用層之間。sslvpn充分利用了ssl協(xié)議提供的基于證書的身份認證、數(shù)據(jù)加密和消息完整性驗證機制，可以為應用層之間的通信建立安全連接。但由于sslvpn是基于web瀏覽器的，可以很好的支持b/s應用，但對于c/s的應用支持不完善，并且不支持配電類設備。

技術實現(xiàn)要素：

發(fā)明目的：本發(fā)明的目的在于針對現(xiàn)有技術的問題，提供了一種配電終端安全接入平臺及其實現(xiàn)方法，不依賴于網(wǎng)絡接入方式，可以在任意基礎網(wǎng)絡上部署，而且可以實現(xiàn)端到端的安全保護，安全級別高；無論網(wǎng)絡應用的類型，對所有傳輸數(shù)據(jù)進行保護，在事實上將配電終端“置于”企業(yè)內(nèi)部網(wǎng)。

技術方案：本發(fā)明提供了一種配電終端安全接入平臺，包括配電終端、配電交互網(wǎng)關和數(shù)據(jù)隔離組件；

所述配電終端包括入網(wǎng)認證模塊和安全通信模塊，所述入網(wǎng)認證模塊將數(shù)字證書存放在具有安全加密功能和身份認證功能的安全加密芯片中，并為每一個配電終端配備相應的安全加密芯片；所述安全通信模塊使用專用通信協(xié)議與配電交互網(wǎng)關建立安全通道，保證傳輸數(shù)據(jù)的安全；

所述配電交互網(wǎng)關部署在配電網(wǎng)縱向網(wǎng)絡邊界上，負責建立安全通道和對配電終端進行訪問控制，能夠保證接入傳輸?shù)陌踩蛢?nèi)部被訪問的應用系統(tǒng)的安全。

所述數(shù)據(jù)隔離組件提供數(shù)據(jù)包的線速轉(zhuǎn)發(fā)功能。

一種配電終端安全接入平臺的實現(xiàn)方法，配電終端在接入內(nèi)網(wǎng)之前進行由入網(wǎng)認證模塊的安全加密芯片和內(nèi)網(wǎng)ca認證服務器共同保證的身份認證，實現(xiàn)只有通過入網(wǎng)認證的終端才可以接入到企業(yè)內(nèi)網(wǎng)中，防止接入的配電終端是被偽造過的非法用戶；安全通信模塊通過與配電交互網(wǎng)關進行密鑰交換算法、數(shù)據(jù)加密算法以及數(shù)據(jù)完整性檢查算法的協(xié)商、客戶端和服務端的雙向認證以及確定會話密鑰，建立安全通道，防止數(shù)據(jù)在傳輸過程中被竊聽、篡改、破壞、插入重放攻擊，保證數(shù)據(jù)傳輸?shù)陌踩?。具體的，密鑰交換算法即下述的密鑰協(xié)商的過程，數(shù)據(jù)加密算法可采用國密sm1算法，數(shù)據(jù)完整性算法可采用國密sm2算法做簽名、驗簽；客戶端和服務端的雙向認證即客戶端、服務端各自持有自己的私鑰和對方的公鑰，有一方密鑰有錯都會認證失敗。

進一步，密鑰協(xié)商過程包括以下步驟：

配電交互網(wǎng)關程序在建立完與配電終端的tcp連接之后，立即與配電終端進行會話密鑰協(xié)商，協(xié)商好會話密鑰之后，進行后續(xù)的數(shù)據(jù)加密通信，在密鑰協(xié)商完成之前，不得進行任何其他數(shù)據(jù)信息的發(fā)送，否則，tcp連接將被關閉，如圖4所示：

(1)裝置1產(chǎn)生隨機數(shù)r1，作：

a＝ecert2(r1)‖eskey1(h(r1))，將a發(fā)送到裝置2；

(2)裝置2對a解密并驗證裝置1的簽名，產(chǎn)生隨機數(shù)r2，作：

b＝ecert1(r2)‖eskey2(h(r2))，將b發(fā)送到裝置1；合成會話密鑰

(3)裝置1對b解密并驗證裝置2的簽名，作：合成會話密鑰將c發(fā)送到裝置2；裝置2作并比較c與d是否相同；若相同，則此時雙方已經(jīng)驗證的對方身份，并持有會話密鑰若不同，則裝置2給出協(xié)商失敗告警信息，通知裝置1，由裝置1重新發(fā)起協(xié)商；

其中，裝置1為配電交互網(wǎng)關，裝置2為配電終端，rn為裝置n產(chǎn)生的隨機數(shù)，certn為裝置n的公鑰，skeyn為裝置n的私鑰，ex(y)表示用x對y作加密運算，h(y)表示對y作散列運算。

進一步，配電交互網(wǎng)關除了通過安全加密芯片中的數(shù)字證書認證驗證配電終端的身份，還將記錄終端上安全加密芯片的序列號，并將數(shù)字證書名與安全加密芯片序列號做綁定后用于認證。

進一步，所述配電交互網(wǎng)關在系統(tǒng)網(wǎng)卡中抓取報文，并對報文進行解析后完成以下操作：

①獲取報文，解析報文的目標地址及目標端口，與配電終端建立連接，完成雙向身份認證，并將該鏈接保存到內(nèi)存表中；

②獲取報文的數(shù)據(jù)部分，加密后發(fā)送至配電終端；

③接收配電終端的回送報文，解密其中的密文數(shù)據(jù)，并將明文數(shù)據(jù)構造成新的報文，從系統(tǒng)網(wǎng)卡上發(fā)回給外網(wǎng)前置機。

配電終端安全接入平臺的數(shù)據(jù)流向如附圖的圖3所示，通信過程如下：

1)配電主站經(jīng)過數(shù)據(jù)隔離組件與配電終端準備建立初始化連接；

2)配電交互網(wǎng)關截取配電主站的報文，解析報文的目標地址及目標端口(配電終端ip及監(jiān)聽端口)，與配電終端建立連接，并將該鏈接保存到內(nèi)存表中；

3)配電交互網(wǎng)關向配電終端發(fā)送密鑰協(xié)商請求；

4)配電終端返回密鑰協(xié)商確認；

5)配電交互網(wǎng)關向配電終端發(fā)送密鑰協(xié)商內(nèi)容；

6)配電終端返回密鑰協(xié)商結(jié)果；

7)配電終端發(fā)送身份認證信息；

8)配電交互網(wǎng)關返回身份認證結(jié)果；

9)獲取配主站報文的數(shù)據(jù)部分，加密后發(fā)送至配電終端；

10)配電終端解密后處理相應業(yè)務操作；

11)配電終端將返回數(shù)據(jù)加密后，發(fā)送給配電交互網(wǎng)關；

12)配電交互網(wǎng)關解密后經(jīng)過數(shù)據(jù)隔離組件轉(zhuǎn)發(fā)至配電主站。

有益效果：1、與現(xiàn)有的安全接入產(chǎn)品相比，本發(fā)明將信息安全防護劃分為應用服務器安全、傳輸通道安全和終端安全三個主體進行理論研究和技術實現(xiàn)，與使平臺的目的性更為明確。

2、與現(xiàn)有的安全接入產(chǎn)品使用標準通訊協(xié)議不同，本發(fā)明的安全網(wǎng)絡協(xié)議，該協(xié)議配套了專用的密鑰協(xié)商方式及國產(chǎn)加密算法。

3、根據(jù)電力企業(yè)信息網(wǎng)絡的特點與應用系統(tǒng)的現(xiàn)狀，及電力信息安全等級保護的要求，針對電力企業(yè)內(nèi)部不同業(yè)務應用的需求，本發(fā)明擁有針對配電終端安全接入的完整的技術體系和解決方案。

4、本發(fā)明的實現(xiàn)不需要改變網(wǎng)絡結(jié)構，不需要修改防火墻配置和修改終端用戶的配置。

附圖說明

圖1為本發(fā)明是配電終端安全接入平臺系統(tǒng)架構圖；

圖2為配電交互網(wǎng)關程序流程圖；

圖3為配電終端安全接入平臺數(shù)據(jù)流向圖；

圖4為配電終端安全接入平臺密鑰協(xié)商過程圖。

具體實施方式

下面對本發(fā)明技術方案進行詳細說明，但是本發(fā)明的保護范圍不局限于所述實施例。

實施例：配電終端安全接入平臺的系統(tǒng)架構包括：配電終端、配電交互網(wǎng)關和數(shù)據(jù)隔離組件，如圖1所示，其中，配電主站、正向隔離設備、反向隔離設備、內(nèi)網(wǎng)前置機、外網(wǎng)前置機為原有配電業(yè)務設備。配電主站可以時刻監(jiān)控各個配電終端的數(shù)據(jù)信息，下發(fā)開閉命令，進行電網(wǎng)重構等操作；正向隔離設備、反向隔離設備僅允許文件同步；內(nèi)網(wǎng)前置機、外網(wǎng)前置機用于配合正向隔離設備、反向隔離設備進行文本向傳輸。

其中，配電終端包括入網(wǎng)認證模塊和安全通信模塊，入網(wǎng)認證模塊將數(shù)字證書存放在具有安全加密功能和身份認證功能的安全加密芯片中，并為每一個配電終端配備相應的安全加密芯片；安全通信模塊使用專用通信協(xié)議與配電交互網(wǎng)關建立安全通道，保證傳輸數(shù)據(jù)的安全。配電交互網(wǎng)關部署在配電網(wǎng)縱向網(wǎng)絡邊界上，建立安全通道并對配電終端進行訪問控制。數(shù)據(jù)隔離組件直接采用現(xiàn)有安全接入平臺的數(shù)據(jù)隔離組件設備，基于np技術，采用100g網(wǎng)絡處理器，并發(fā)量達到200w級別，可提供數(shù)據(jù)包的線速轉(zhuǎn)發(fā)功能。在主站邊界處通過安全通道實現(xiàn)以信息流為單位的數(shù)據(jù)內(nèi)容解析，并以此為基礎實現(xiàn)邊界內(nèi)外網(wǎng)絡的隔離、數(shù)據(jù)交換和高精度的行為控制，可針對配電業(yè)務制定嚴格的準入制度，可實現(xiàn)安全傳輸通道的定制，防止非法鏈接穿透主站，在確保安全前提下實現(xiàn)終端和業(yè)務系統(tǒng)安全、正確的數(shù)據(jù)雙向訪問控制，進行數(shù)據(jù)報文的雙向訪問控制，嚴格限制終端訪問應用。

平臺部署時，為實現(xiàn)終端的安全接入，接入鏈路拓撲必須嚴格遵循配電交互網(wǎng)關→數(shù)據(jù)隔離組件→業(yè)務系統(tǒng)的方式，如果不能進行明確的接入鏈路區(qū)分，必須進行相應的網(wǎng)絡拓撲改造或進行接入平臺的分布式組件部署或利用增設前置機等方式實現(xiàn)業(yè)務分流。

實施過程如下：

1、在外網(wǎng)前置機與配電終端間增加數(shù)據(jù)隔離組件和配電交互網(wǎng)關；

2、在外網(wǎng)前置機上添加靜態(tài)路由，將外網(wǎng)前置機的數(shù)據(jù)流定向路由到配電交互網(wǎng)關上；

3、數(shù)據(jù)隔離組件配置為透傳模式，相當于一個二層設備，只對數(shù)據(jù)流做格式檢查及基于acl規(guī)則的訪問控制，不對報文的網(wǎng)絡地址做任何改動；

4、如圖2所示，配電交互網(wǎng)關在系統(tǒng)網(wǎng)卡中抓取報文，并對報文進行解析后完成以下操作：

①通過libpcap獲取報文，解析報文的目標地址及目標端口(配電終端ip及監(jiān)聽端口)，與配電終端建立連接，完成雙向身份認證，并將該鏈接保存到內(nèi)存表中；

②獲取報文的數(shù)據(jù)部分，加密后發(fā)送至配電終端；

③接收配電終端的回送報文，解密其中的密文數(shù)據(jù)，并再通過libnet將明文數(shù)據(jù)構造成新的報文(報文源地址為終端ip)，從系統(tǒng)網(wǎng)卡上發(fā)回給外網(wǎng)前置機。