CN105721458A - 一种基于isg安全密码技术的工业以太网交换方法 - Google Patents

一种基于isg安全密码技术的工业以太网交换方法 Download PDF

Info

Publication number
CN105721458A
CN105721458A CN201610063113.5A CN201610063113A CN105721458A CN 105721458 A CN105721458 A CN 105721458A CN 201610063113 A CN201610063113 A CN 201610063113A CN 105721458 A CN105721458 A CN 105721458A
Authority
CN
China
Prior art keywords
encryption
network
message
switch
main frame
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610063113.5A
Other languages
English (en)
Inventor
宋旭东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui Ou Maite Digital Technology Ltd
Original Assignee
Anhui Ou Maite Digital Technology Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Ou Maite Digital Technology Ltd filed Critical Anhui Ou Maite Digital Technology Ltd
Priority to CN201610063113.5A priority Critical patent/CN105721458A/zh
Publication of CN105721458A publication Critical patent/CN105721458A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及一种基于ISG安全密码技术的工业以太网交换方法,包括以下步骤:确定以太网交换机在虚拟局域网中的至少一个网络侧端口和至少两个用户侧端口;建立报文过滤表,根据所述报文过滤表对所述交换机接收的报文进行端口过滤;将过滤后的报文进行加密认证,将加密认证后的报文定向转发到网络侧端口中,从网络侧端口到用户侧端口的特定协议报文通过交换芯片发送到相应的用户侧端口。本发明所述的方法可使工业以太网通信网络成为一个数据交换网保护,保护工业以太网数据环网上所有的点仅和中心构成唯一的通讯,与环上其它点完全物理隔离,避免信号窃取。

Description

一种基于ISG安全密码技术的工业以太网交换方法
技术领域
本发明涉及工业以太网技术领域,具体涉及一种基于ISG安全密码技术的工业以太网交换方法。
背景技术
随着互联网技术的不断发展,以太网交换机在工业中的应用越来越广泛;特别是在电力行业,对数据的传输经常会使用到以太网交换机。
以太网加密技术主要是用于防止不合法的电脑接入组织的内部局域网盗取机密信息的行为,这种技术也可以防止组织内的办公电脑与其它非法电脑互连造成对机密数据的拷贝。以太网加密技术中的关键设备包括以太网加密交换机和以太网加密网卡。现有技术通常通过硬件或软件的方法在加密交换机和加密网卡处对以太网数据进行加解密。
硬件加密技术主要通过在加密网卡一侧的网络控制器(MAC)芯片和PHY芯片之间加入FPGA器件,对MII/GMII接口上的数据进行加解密,在加密交换机一侧的交换芯片(MAC)和PHY之间也***FPGA器件,对MII/GMII接口上的数据进行反向的加解密操作。该类技术需大规模在MAC和PHY之间***FPGA器件,成本较高,且认证次数有限,不能进行实时认证,因此安全性差,此外,加密算法在FPGA内部实现相对固定,一旦被破解,会使其他设备也受到攻击。软件加密技术是在加密网卡侧和加密交换机侧利用处理器的处理能力对以太网的报文或其上层报文进行加解密操作。该类技术容易被恶意人员进行反汇编、跟踪和破译,安全性差,且其加密算法固定,容易通过监听加以破解;此外,软件的加解密操作需耗费大量的CPU处理能力,会降低网络的吞吐性能和设备的处理能力。
发明内容
本发明的目的在于提供一种基于ISG安全密码技术的工业以太网交换方法,该方法可使工业以太网通信网络成为一个数据交换网保护,保护工业以太网数据环网上所有的点仅和中心构成唯一的通讯,与环上其它点完全物理隔离,避免信号窃取。
为实现上述目的,本发明采用了以下技术方案:
一种基于ISG安全密码技术的工业以太网交换方法,其特征在于,包括以下步骤:
(1)确定以太网交换机在虚拟局域网中的至少一个网络侧端口和至少两个用户侧端口;
(2)建立报文过滤表,根据所述报文过滤表对所述交换机接收的报文进行端口过滤;
(3)将过滤后的报文进行加密认证,将加密认证后的报文定向转发到网络侧端口中,从网络侧端口到用户侧端口的特定协议报文通过交换芯片发送到相应的用户侧端口。
步骤(3)中所述加密认证包括以下步骤:
A:当交换机发现有新的主机与其网络接口相连时,发送自定义报文给主机,请求其提供加密网卡的序列号;
B:主机通过网卡控制芯片与加密网卡上的带有SHA-1的EEPROM存储器通信,读取加密网卡的序列号发送给加密交换机;
C:加密交换机上的SHA-1协处理器生成随机数和质询报文发送给主机,并根据所述随机数、加密网卡的序列号和密钥生成验证消息认证码;
E:根据收到的随机数、加密网卡的序列号和密钥生成消息认证码;
F:主机将加密网卡生成的消息认证码封装到响应报文中发送给加密交换机;交换机将其生成的验证消息认证码与主机发送的消息认证码相比较,若二者一致,则为主机提供网络交换服务,否则将与主机相连的端口关闭。
进一步的,所述报文过滤表包括交换机入端口所属的虚拟局域网标识和用户信息。
由上述技术方案可知,本发明所述的基于ISG安全密码技术的工业以太网交换方法,该方法可使工业以太网通信网络成为一个数据交换网保护,保护工业以太网数据环网上所有的点仅和中心构成唯一的通讯,与环上其它点完全物理隔离,避免信号窃取。同时也有效的解决了在以太网交换机构成的局域网中接入用户的相互干扰问题,减少管理员维护管理工作量。
附图说明
图1是本发明的方法流程图。
具体实施方式
下面结合附图对本发明做进一步说明:
如图1所示,本实施例的基于ISG安全密码技术的工业以太网交换方法,具体包括以下步骤:
S1:确定以太网交换机在虚拟局域网中的至少一个网络侧端口和至少两个用户侧端口;
S2:建立报文过滤表,根据所述报文过滤表对所述交换机接收的报文进行端口过滤;该报文过滤表包括交换机入端口所属的虚拟局域网标识和用户信息。
S3:将过滤后的报文进行加密认证,将加密认证后的报文定向转发到网络侧端口中,从网络侧端口到用户侧端口的特定协议报文通过交换芯片发送到相应的用户侧端口。
该加密认证包括以下步骤:
当交换机发现有新的主机与其网络接口相连时,发送自定义报文给主机,请求其提供加密网卡的序列号;主机通过网卡控制芯片与加密网卡上的带有SHA-1的EEPROM存储器通信,读取加密网卡的序列号发送给加密交换机;加密交换机上的SHA-1协处理器生成随机数和质询报文发送给主机,并根据所述随机数、加密网卡的序列号和密钥生成验证消息认证码;根据收到的随机数、加密网卡的序列号和密钥生成消息认证码;主机将加密网卡生成的消息认证码封装到响应报文中发送给加密交换机;交换机将其生成的验证消息认证码与主机发送的消息认证码相比较,若二者一致,则为主机提供网络交换服务,否则将与主机相连的端口关闭。
本发明所述的基于ISG安全密码技术的工业以太网交换方法,该方法可使工业以太网通信网络成为一个数据交换网保护,保护工业以太网数据环网上所有的点仅和中心构成唯一的通讯,与环上其它点完全物理隔离,避免信号窃取。同时也有效的解决了在以太网交换机构成的局域网中接入用户的相互干扰问题,减少管理员维护管理工作量。
以上所述的实施例仅仅是对本发明的优选实施方式进行描述,并非对本发明的范围进行限定,在不脱离本发明设计精神的前提下,本领域普通技术人员对本发明的技术方案作出的各种变形和改进,均应落入本发明权利要求书确定的保护范围内。

Claims (3)

1.一种基于ISG安全密码技术的工业以太网交换方法,其特征在于,包括以下步骤:
(1)确定以太网交换机在虚拟局域网中的至少一个网络侧端口和至少两个用户侧端口;
(2)建立报文过滤表,根据所述报文过滤表对所述交换机接收的报文进行端口过滤;
(3)将过滤后的报文进行加密认证,将加密认证后的报文定向转发到网络侧端口中,从网络侧端口到用户侧端口的特定协议报文通过交换芯片发送到相应的用户侧端口。
2.根据权利要求1所述的基于ISG安全密码技术的工业以太网交换方法,其特征在于:步骤(3)中所述加密认证包括以下步骤:
A:当交换机发现有新的主机与其网络接口相连时,发送自定义报文给主机,请求其提供加密网卡的序列号;
B:主机通过网卡控制芯片与加密网卡上的带有SHA-1的EEPROM存储器通信,读取加密网卡的序列号发送给加密交换机;
C:加密交换机上的SHA-1协处理器生成随机数和质询报文发送给主机,并根据所述随机数、加密网卡的序列号和密钥生成验证消息认证码;
E:根据收到的随机数、加密网卡的序列号和密钥生成消息认证码;
F:主机将加密网卡生成的消息认证码封装到响应报文中发送给加密交换机;交换机将其生成的验证消息认证码与主机发送的消息认证码相比较,若二者一致,则为主机提供网络交换服务,否则将与主机相连的端口关闭。
3.根据权利要求1所述的基于ISG安全密码技术的工业以太网交换方法,其特征在于:所述报文过滤表包括交换机入端口所属的虚拟局域网标识和用户信息。
CN201610063113.5A 2016-01-30 2016-01-30 一种基于isg安全密码技术的工业以太网交换方法 Pending CN105721458A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610063113.5A CN105721458A (zh) 2016-01-30 2016-01-30 一种基于isg安全密码技术的工业以太网交换方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610063113.5A CN105721458A (zh) 2016-01-30 2016-01-30 一种基于isg安全密码技术的工业以太网交换方法

Publications (1)

Publication Number Publication Date
CN105721458A true CN105721458A (zh) 2016-06-29

Family

ID=56154353

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610063113.5A Pending CN105721458A (zh) 2016-01-30 2016-01-30 一种基于isg安全密码技术的工业以太网交换方法

Country Status (1)

Country Link
CN (1) CN105721458A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110417706A (zh) * 2018-04-27 2019-11-05 奥维飞越通信有限公司 一种基于交换机的安全通信方法
CN110572821A (zh) * 2019-08-27 2019-12-13 北京握奇数据股份有限公司 一种激活车载单元的方法、***及激活设备
CN111541663A (zh) * 2020-04-14 2020-08-14 北京数盾信息科技有限公司 一种基于国家密码标准的链路交换加密***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6144638A (en) * 1997-05-09 2000-11-07 Bbn Corporation Multi-tenant unit
CN1518289A (zh) * 2003-01-17 2004-08-04 华为技术有限公司 一种基于以太网交换机的安全过滤方法
CN201199439Y (zh) * 2008-05-07 2009-02-25 陈永凡 一种移动存储装置
WO2013086758A1 (zh) * 2011-12-16 2013-06-20 汉柏科技有限公司 以太网加密认证***及加密认证方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6144638A (en) * 1997-05-09 2000-11-07 Bbn Corporation Multi-tenant unit
CN1518289A (zh) * 2003-01-17 2004-08-04 华为技术有限公司 一种基于以太网交换机的安全过滤方法
CN201199439Y (zh) * 2008-05-07 2009-02-25 陈永凡 一种移动存储装置
WO2013086758A1 (zh) * 2011-12-16 2013-06-20 汉柏科技有限公司 以太网加密认证***及加密认证方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110417706A (zh) * 2018-04-27 2019-11-05 奥维飞越通信有限公司 一种基于交换机的安全通信方法
CN110417706B (zh) * 2018-04-27 2022-05-31 中泓慧联技术有限公司 一种基于交换机的安全通信方法
CN110572821A (zh) * 2019-08-27 2019-12-13 北京握奇数据股份有限公司 一种激活车载单元的方法、***及激活设备
CN110572821B (zh) * 2019-08-27 2020-12-18 北京握奇数据股份有限公司 一种激活车载单元的方法和***
CN111541663A (zh) * 2020-04-14 2020-08-14 北京数盾信息科技有限公司 一种基于国家密码标准的链路交换加密***

Similar Documents

Publication Publication Date Title
CN103490895B (zh) 一种应用国密算法的工业控制身份认证方法及装置
WO2019100691A1 (zh) 面向工业嵌入式***的网络信息安全防护单元和防护方法
JP4579969B2 (ja) ネットワーク・ドメインのネットワークエンドポイントにおける組込みエージェントの間で暗号化キーを共有するための方法、装置及びコンピュータプログラム製品
CN102571348B (zh) 以太网加密认证***及加密认证方法
CN102111349A (zh) 安全认证网关
KR20150090154A (ko) 보안 환경에서 엔드포인트 하드웨어 지원형 네트워크 방화벽을 위한 시스템 및 방법
CN103150524B (zh) 一种安全存储器芯片、***及其认证方法
CN106992984A (zh) 一种基于电力采集网的移动终端安全接入信息内网的方法
JP2008299617A (ja) 情報処理装置、および情報処理システム
CN111800436B (zh) IPSec隔离网卡设备及安全通信方法
CN102882850B (zh) 一种采用非网络方式隔离数据的密码装置及其方法
CN101833620A (zh) 一种基于自定义安全jdbc驱动的数据库防护方法
Chomsiri HTTPS hacking protection
CN205584238U (zh) 一种网络数据加密器
CN108848107A (zh) 一种安全传输网络信息的方法
CN105721458A (zh) 一种基于isg安全密码技术的工业以太网交换方法
CN102710638A (zh) 一种采用非网络方式隔离数据的装置及其方法
CN102111377A (zh) 网络密码机
CN111541663A (zh) 一种基于国家密码标准的链路交换加密***
CN1622517A (zh) 一种嵌入式信息安全平台
Yue et al. The research of firewall technology in computer network security
CN109120619A (zh) 一种计算机网络通信***
CN100440190C (zh) 代理模式安全远程接入方法
Yina Discussion on computer network security technology and firewall technology
Zhang et al. Reconfigurable security protection system based on NetFPGA and embedded soft-core technology

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20160629