CN105721458A - 一种基于isg安全密码技术的工业以太网交换方法 - Google Patents
一种基于isg安全密码技术的工业以太网交换方法 Download PDFInfo
- Publication number
- CN105721458A CN105721458A CN201610063113.5A CN201610063113A CN105721458A CN 105721458 A CN105721458 A CN 105721458A CN 201610063113 A CN201610063113 A CN 201610063113A CN 105721458 A CN105721458 A CN 105721458A
- Authority
- CN
- China
- Prior art keywords
- encryption
- network
- message
- switch
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种基于ISG安全密码技术的工业以太网交换方法,包括以下步骤:确定以太网交换机在虚拟局域网中的至少一个网络侧端口和至少两个用户侧端口;建立报文过滤表,根据所述报文过滤表对所述交换机接收的报文进行端口过滤;将过滤后的报文进行加密认证,将加密认证后的报文定向转发到网络侧端口中,从网络侧端口到用户侧端口的特定协议报文通过交换芯片发送到相应的用户侧端口。本发明所述的方法可使工业以太网通信网络成为一个数据交换网保护,保护工业以太网数据环网上所有的点仅和中心构成唯一的通讯,与环上其它点完全物理隔离,避免信号窃取。
Description
技术领域
本发明涉及工业以太网技术领域,具体涉及一种基于ISG安全密码技术的工业以太网交换方法。
背景技术
随着互联网技术的不断发展,以太网交换机在工业中的应用越来越广泛;特别是在电力行业,对数据的传输经常会使用到以太网交换机。
以太网加密技术主要是用于防止不合法的电脑接入组织的内部局域网盗取机密信息的行为,这种技术也可以防止组织内的办公电脑与其它非法电脑互连造成对机密数据的拷贝。以太网加密技术中的关键设备包括以太网加密交换机和以太网加密网卡。现有技术通常通过硬件或软件的方法在加密交换机和加密网卡处对以太网数据进行加解密。
硬件加密技术主要通过在加密网卡一侧的网络控制器(MAC)芯片和PHY芯片之间加入FPGA器件,对MII/GMII接口上的数据进行加解密,在加密交换机一侧的交换芯片(MAC)和PHY之间也***FPGA器件,对MII/GMII接口上的数据进行反向的加解密操作。该类技术需大规模在MAC和PHY之间***FPGA器件,成本较高,且认证次数有限,不能进行实时认证,因此安全性差,此外,加密算法在FPGA内部实现相对固定,一旦被破解,会使其他设备也受到攻击。软件加密技术是在加密网卡侧和加密交换机侧利用处理器的处理能力对以太网的报文或其上层报文进行加解密操作。该类技术容易被恶意人员进行反汇编、跟踪和破译,安全性差,且其加密算法固定,容易通过监听加以破解;此外,软件的加解密操作需耗费大量的CPU处理能力,会降低网络的吞吐性能和设备的处理能力。
发明内容
本发明的目的在于提供一种基于ISG安全密码技术的工业以太网交换方法,该方法可使工业以太网通信网络成为一个数据交换网保护,保护工业以太网数据环网上所有的点仅和中心构成唯一的通讯,与环上其它点完全物理隔离,避免信号窃取。
为实现上述目的,本发明采用了以下技术方案:
一种基于ISG安全密码技术的工业以太网交换方法,其特征在于,包括以下步骤:
(1)确定以太网交换机在虚拟局域网中的至少一个网络侧端口和至少两个用户侧端口;
(2)建立报文过滤表,根据所述报文过滤表对所述交换机接收的报文进行端口过滤;
(3)将过滤后的报文进行加密认证,将加密认证后的报文定向转发到网络侧端口中,从网络侧端口到用户侧端口的特定协议报文通过交换芯片发送到相应的用户侧端口。
步骤(3)中所述加密认证包括以下步骤:
A:当交换机发现有新的主机与其网络接口相连时,发送自定义报文给主机,请求其提供加密网卡的序列号;
B:主机通过网卡控制芯片与加密网卡上的带有SHA-1的EEPROM存储器通信,读取加密网卡的序列号发送给加密交换机;
C:加密交换机上的SHA-1协处理器生成随机数和质询报文发送给主机,并根据所述随机数、加密网卡的序列号和密钥生成验证消息认证码;
E:根据收到的随机数、加密网卡的序列号和密钥生成消息认证码;
F:主机将加密网卡生成的消息认证码封装到响应报文中发送给加密交换机;交换机将其生成的验证消息认证码与主机发送的消息认证码相比较,若二者一致,则为主机提供网络交换服务,否则将与主机相连的端口关闭。
进一步的,所述报文过滤表包括交换机入端口所属的虚拟局域网标识和用户信息。
由上述技术方案可知,本发明所述的基于ISG安全密码技术的工业以太网交换方法,该方法可使工业以太网通信网络成为一个数据交换网保护,保护工业以太网数据环网上所有的点仅和中心构成唯一的通讯,与环上其它点完全物理隔离,避免信号窃取。同时也有效的解决了在以太网交换机构成的局域网中接入用户的相互干扰问题,减少管理员维护管理工作量。
附图说明
图1是本发明的方法流程图。
具体实施方式
下面结合附图对本发明做进一步说明:
如图1所示,本实施例的基于ISG安全密码技术的工业以太网交换方法,具体包括以下步骤:
S1:确定以太网交换机在虚拟局域网中的至少一个网络侧端口和至少两个用户侧端口;
S2:建立报文过滤表,根据所述报文过滤表对所述交换机接收的报文进行端口过滤;该报文过滤表包括交换机入端口所属的虚拟局域网标识和用户信息。
S3:将过滤后的报文进行加密认证,将加密认证后的报文定向转发到网络侧端口中,从网络侧端口到用户侧端口的特定协议报文通过交换芯片发送到相应的用户侧端口。
该加密认证包括以下步骤:
当交换机发现有新的主机与其网络接口相连时,发送自定义报文给主机,请求其提供加密网卡的序列号;主机通过网卡控制芯片与加密网卡上的带有SHA-1的EEPROM存储器通信,读取加密网卡的序列号发送给加密交换机;加密交换机上的SHA-1协处理器生成随机数和质询报文发送给主机,并根据所述随机数、加密网卡的序列号和密钥生成验证消息认证码;根据收到的随机数、加密网卡的序列号和密钥生成消息认证码;主机将加密网卡生成的消息认证码封装到响应报文中发送给加密交换机;交换机将其生成的验证消息认证码与主机发送的消息认证码相比较,若二者一致,则为主机提供网络交换服务,否则将与主机相连的端口关闭。
本发明所述的基于ISG安全密码技术的工业以太网交换方法,该方法可使工业以太网通信网络成为一个数据交换网保护,保护工业以太网数据环网上所有的点仅和中心构成唯一的通讯,与环上其它点完全物理隔离,避免信号窃取。同时也有效的解决了在以太网交换机构成的局域网中接入用户的相互干扰问题,减少管理员维护管理工作量。
以上所述的实施例仅仅是对本发明的优选实施方式进行描述,并非对本发明的范围进行限定,在不脱离本发明设计精神的前提下,本领域普通技术人员对本发明的技术方案作出的各种变形和改进,均应落入本发明权利要求书确定的保护范围内。
Claims (3)
1.一种基于ISG安全密码技术的工业以太网交换方法,其特征在于,包括以下步骤:
(1)确定以太网交换机在虚拟局域网中的至少一个网络侧端口和至少两个用户侧端口;
(2)建立报文过滤表,根据所述报文过滤表对所述交换机接收的报文进行端口过滤;
(3)将过滤后的报文进行加密认证,将加密认证后的报文定向转发到网络侧端口中,从网络侧端口到用户侧端口的特定协议报文通过交换芯片发送到相应的用户侧端口。
2.根据权利要求1所述的基于ISG安全密码技术的工业以太网交换方法,其特征在于:步骤(3)中所述加密认证包括以下步骤:
A:当交换机发现有新的主机与其网络接口相连时,发送自定义报文给主机,请求其提供加密网卡的序列号;
B:主机通过网卡控制芯片与加密网卡上的带有SHA-1的EEPROM存储器通信,读取加密网卡的序列号发送给加密交换机;
C:加密交换机上的SHA-1协处理器生成随机数和质询报文发送给主机,并根据所述随机数、加密网卡的序列号和密钥生成验证消息认证码;
E:根据收到的随机数、加密网卡的序列号和密钥生成消息认证码;
F:主机将加密网卡生成的消息认证码封装到响应报文中发送给加密交换机;交换机将其生成的验证消息认证码与主机发送的消息认证码相比较,若二者一致,则为主机提供网络交换服务,否则将与主机相连的端口关闭。
3.根据权利要求1所述的基于ISG安全密码技术的工业以太网交换方法,其特征在于:所述报文过滤表包括交换机入端口所属的虚拟局域网标识和用户信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610063113.5A CN105721458A (zh) | 2016-01-30 | 2016-01-30 | 一种基于isg安全密码技术的工业以太网交换方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610063113.5A CN105721458A (zh) | 2016-01-30 | 2016-01-30 | 一种基于isg安全密码技术的工业以太网交换方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105721458A true CN105721458A (zh) | 2016-06-29 |
Family
ID=56154353
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610063113.5A Pending CN105721458A (zh) | 2016-01-30 | 2016-01-30 | 一种基于isg安全密码技术的工业以太网交换方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105721458A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110417706A (zh) * | 2018-04-27 | 2019-11-05 | 奥维飞越通信有限公司 | 一种基于交换机的安全通信方法 |
CN110572821A (zh) * | 2019-08-27 | 2019-12-13 | 北京握奇数据股份有限公司 | 一种激活车载单元的方法、***及激活设备 |
CN111541663A (zh) * | 2020-04-14 | 2020-08-14 | 北京数盾信息科技有限公司 | 一种基于国家密码标准的链路交换加密*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6144638A (en) * | 1997-05-09 | 2000-11-07 | Bbn Corporation | Multi-tenant unit |
CN1518289A (zh) * | 2003-01-17 | 2004-08-04 | 华为技术有限公司 | 一种基于以太网交换机的安全过滤方法 |
CN201199439Y (zh) * | 2008-05-07 | 2009-02-25 | 陈永凡 | 一种移动存储装置 |
WO2013086758A1 (zh) * | 2011-12-16 | 2013-06-20 | 汉柏科技有限公司 | 以太网加密认证***及加密认证方法 |
-
2016
- 2016-01-30 CN CN201610063113.5A patent/CN105721458A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6144638A (en) * | 1997-05-09 | 2000-11-07 | Bbn Corporation | Multi-tenant unit |
CN1518289A (zh) * | 2003-01-17 | 2004-08-04 | 华为技术有限公司 | 一种基于以太网交换机的安全过滤方法 |
CN201199439Y (zh) * | 2008-05-07 | 2009-02-25 | 陈永凡 | 一种移动存储装置 |
WO2013086758A1 (zh) * | 2011-12-16 | 2013-06-20 | 汉柏科技有限公司 | 以太网加密认证***及加密认证方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110417706A (zh) * | 2018-04-27 | 2019-11-05 | 奥维飞越通信有限公司 | 一种基于交换机的安全通信方法 |
CN110417706B (zh) * | 2018-04-27 | 2022-05-31 | 中泓慧联技术有限公司 | 一种基于交换机的安全通信方法 |
CN110572821A (zh) * | 2019-08-27 | 2019-12-13 | 北京握奇数据股份有限公司 | 一种激活车载单元的方法、***及激活设备 |
CN110572821B (zh) * | 2019-08-27 | 2020-12-18 | 北京握奇数据股份有限公司 | 一种激活车载单元的方法和*** |
CN111541663A (zh) * | 2020-04-14 | 2020-08-14 | 北京数盾信息科技有限公司 | 一种基于国家密码标准的链路交换加密*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103490895B (zh) | 一种应用国密算法的工业控制身份认证方法及装置 | |
WO2019100691A1 (zh) | 面向工业嵌入式***的网络信息安全防护单元和防护方法 | |
JP4579969B2 (ja) | ネットワーク・ドメインのネットワークエンドポイントにおける組込みエージェントの間で暗号化キーを共有するための方法、装置及びコンピュータプログラム製品 | |
CN102571348B (zh) | 以太网加密认证***及加密认证方法 | |
CN102111349A (zh) | 安全认证网关 | |
KR20150090154A (ko) | 보안 환경에서 엔드포인트 하드웨어 지원형 네트워크 방화벽을 위한 시스템 및 방법 | |
CN103150524B (zh) | 一种安全存储器芯片、***及其认证方法 | |
CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
JP2008299617A (ja) | 情報処理装置、および情報処理システム | |
CN111800436B (zh) | IPSec隔离网卡设备及安全通信方法 | |
CN102882850B (zh) | 一种采用非网络方式隔离数据的密码装置及其方法 | |
CN101833620A (zh) | 一种基于自定义安全jdbc驱动的数据库防护方法 | |
Chomsiri | HTTPS hacking protection | |
CN205584238U (zh) | 一种网络数据加密器 | |
CN108848107A (zh) | 一种安全传输网络信息的方法 | |
CN105721458A (zh) | 一种基于isg安全密码技术的工业以太网交换方法 | |
CN102710638A (zh) | 一种采用非网络方式隔离数据的装置及其方法 | |
CN102111377A (zh) | 网络密码机 | |
CN111541663A (zh) | 一种基于国家密码标准的链路交换加密*** | |
CN1622517A (zh) | 一种嵌入式信息安全平台 | |
Yue et al. | The research of firewall technology in computer network security | |
CN109120619A (zh) | 一种计算机网络通信*** | |
CN100440190C (zh) | 代理模式安全远程接入方法 | |
Yina | Discussion on computer network security technology and firewall technology | |
Zhang et al. | Reconfigurable security protection system based on NetFPGA and embedded soft-core technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160629 |