CN116801239B - 一种基于国密sm4的点对点虚拟通信方法及*** - Google Patents

Abstract

本发明提供一种基于国密SM4的点对点虚拟通信方法及***，属于电力***数据通信技术领域，在本端5G CPE终端配置本端网络信息，并保存在网络配置文件中；读取网络配置文件的本端网络参数，解析出网络参数；创建虚拟tunnel网卡；在本端5G CPE终端配置路由策略；路由策略配置完成后，虚拟tunnel网卡将发送至对端局域网的电力业务通信报文进行重新封装；封装完成后，开启虚拟专网隧道，虚拟专网隧道借助公网屏蔽局域网的IP地址，使本端局域网和对端局域网形成一条专网通信通道。本发明无需利用中间网关设备或者中间服务器转发通信报文至对端局域网，而是建立局域网与局域网之间，点对点的直接连接。避免中间设备出现异常对各局域网的影响。

Description

一种基于国密SM4的点对点虚拟通信方法及***

技术领域

本发明属于电力***数据通信技术领域，尤其涉及一种基于国密SM4的点对点虚拟通信方法及***。

背景技术

随着新型电力***建设的不断深入和完善，海量电力终端设备接入电网生产的各个环节，实时感知和测量电网运行状态。终端感知到的电力业务数据借助电力通信网络传输至主站，并与主站进行数据交互，保障电网的安全稳定运行。在这个过程中，电力业务数据依次经过了终端、接入网、承载网、核心网，最终到达地市公司主站。终端和主站分别属于不同的局域网，数据需要实现在不同地区，不同局域网之间的传输和交互。

其次，电力通信网承载了庞大的电力业务数据，这些数据对电网安全来说至关重要，在数据的传输过程中，时刻面临着网络入侵、数据篡改和信息泄露的风险。因此，数据在跨局域网传输的同时，也要考虑采取何种措施，才能防止网络攻击和信息泄露，保证电力业务的安全性和私密性。

基于以上两个目的，目前的解决方案有：一是在局域网与局域网之间铺设有线专网，两个局域网通过有线专网建立物理链路，实现数据的传输和保护；二是通过IPSec或SSL方式的vpn技术，依托现有公共网络资源，在不同局域网之间建立逻辑通道，形成点对点虚拟专网，让不同局域网的用户在逻辑上处于同一网络，从而实现相互通信，以及数据的隔离和加密。

针对1中的方案一：有线专网技术。其缺点在于：对于距离较远的两个局域网，光缆铺设周期长，新增一个局域网就要新增1条线路，铺设成本高；有时局域网之间跨越地区复杂，导致施工难度大；建设完成后，铺设的光缆需要防止虫蚁损坏，检修和维护成本高。

针对1中的方案二：IPSec、SSL方式的vpn技术。其缺点在于：一是IPSec、SSL方式的VPN技术协议较为复杂，在两个不同局域网间建立虚拟专网时，要求站点分别部署专用VPN网关，本地局域网将数据传送至网关，在网关处进行数据交互，再由网关传送至对端局域网，实现本地局域网和对端局域网的通信。一般情况下，此类网关设备连接着多个局域网，如果网关出现异常，将影响到多个局域网的网络。二是IPSec和SSL VPN在建立点对点虚拟专网时，需要在两端的CPE设备上配置SA类型、DPD使能、ESP算法、网关公网IP地址、IKE版本等十几种信息，还需要配置一些身份验证证书，这些证书需要经常更新，大大增加了使用和维护的复杂性。三是此类VPN技术普遍使用AES、DES等国外加密算法对数据进行加密，依赖国外算法技术，对电网安全都存在一定威胁。

发明内容

本发明提供一种基于国密SM4的点对点虚拟通信方法，方法可以在局域网与局域网之间建立直连隧道，省略中间网关、中心服务器等中间设备，消除中间设备异常对局域网的影响。

基于国密SM4的点对点虚拟通信方法包括：

S1：在本地局域网的5G CPE终端上配置本端网络信息，并保存在网络配置文件中；

S2：读取网络配置文件的本端网络参数，解析出网络参数，并进行通信协议的初始化，创建通信进程；

S3：根据预设的本端隧道IP地址，创建虚拟tunnel网卡，定义虚拟tunnel网卡的IP地址为本端隧道IP地址；

S4：若虚拟tunnel网卡创建成功，在本地局域网的5G CPE终端中配置路由策略；

S5：路由策略配置完成后，虚拟tunnel网卡将发送至对端局域网的电力业务通信报文进行重新封装；

S6：封装完成后，开启虚拟专网隧道，虚拟专网隧道借助公网屏蔽局域网的IP地址，使本端局域网和对端局域网形成一条专网通信通道。

进一步需要说明的是，步骤S1中配置的本端网络信息包括：本端隧道IP、本端和对端的公网IP、对端局域网IP信息。

进一步需要说明的是，步骤S2基于netifd进程调用协议脚本读取本端网络参数。

进一步需要说明的是，步骤S4中的路由策略包括：定义发往对端局域网的通信报文；

将下一跳地址设定为tunnel网卡的IP地址，还将下一跳网卡设备为tunnel网卡。

进一步需要说明的是，若虚拟tunnel网卡创建失败，调取网络配置文件，判断网络配置文件中的信息是否发生错误；

如是，则基于协议配置脚本实时刷新本地局域网的5G CPE终端的网络配置信息，并对原网络配置文件进行更新。

进一步需要说明的是，步骤S5中的封装方式包括：在原IP报文头部新增一IP头，将新增的IP头的目的地址设为对端公网IP，源地址设为本端公网IP。

进一步需要说明的是，方法中，本端局域网向对端局域网发送数据前，在虚拟专网隧道接口处调用SM4算法对tunnel网卡发送的数据进行加密；

对端局域网接收到数据之后，对基于预设的SM4算法对接收的数据进行解密处理。

本发明还提供一种基于国密SM4的点对点虚拟通信***，***包括：本端5G CPE终端和对端5G CPE终端；

本端5G CPE终端配置本端网络信息，并保存在网络配置文件中；

本端5G CPE终端基于通信启动指令，读取网络配置文件的本端网络参数，解析出网络参数，并进行通信协议的初始化，创建通信进程；根据预设的本端隧道IP地址，创建虚拟tunnel网卡，定义虚拟tunnel网卡的IP地址为本端隧道IP地址；

基于虚拟tunnel网卡创建成功之后，配置路由策略；并以虚拟tunnel网卡对待发送的电力业务通信报文进行重新封装；

封装完成后，开启虚拟专网隧道，虚拟专网隧道借助公网屏蔽局域网的IP地址，使本端5G CPE终端和对端5G CPE终端形成一条专网通信通道。

进一步需要说明的是，本端5G CPE终端和对端5G CPE终端分别配置有国密SM4算法。

从以上技术方案可以看出，本发明具有以下优点：

基于上述基于国密SM4的点对点虚拟通信方法，本发明对局域网电力业务通信报文重新进行封装，借助公网打通点对点电网业务的隧道，建立点对点电网业务的虚拟专网，节约了部署有线专网的成本。

本发明的方法无需利用中间网关设备或者中间服务器转发通信报文至对端局域网，而是建立局域网与局域网之间，点对点的直接连接。省略了中间网关或中心服务器的成本，也避免了中间设备出现异常对各局域网的影响。

本发明的方法在实现的过程中，在本地局域网的5G CPE终端中配置路由策略，将发送至对端局域网的电力业务通信报文进行重新封装；封装了本端隧道IP（和tunnel网卡的IP地址是同一个地址）、本端和对端的公网IP、对端局域网IP 4个信息，极大程度上简化了配置，操作简单，使用方便。

本发明还在隧道接口处采用国密SM4加密算法对通信数据实施加密，替换掉原来的AES、DES等常用国外加密算法，加强了电网网络安全的自主可控。

附图说明

为了更清楚地说明本发明的技术方案，下面将对描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为基于国密SM4的点对点虚拟通信***示意图；

图2为基于国密SM4的点对点虚拟通信方法流程图。

具体实施方式

如图1所示，本发明提供的基于国密SM4的点对点虚拟通信***架构可以包括本端5G CPE终端、对端5G CPE终端和网络。网络是用以在本端5G CPE终端和对端5G CPE终端之间提供通信链路的介质。网络可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。网络还包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(VirtualPrivateNetwork，VPN)等。

应该理解，图1中的本端5G CPE终端和对端5G CPE终端的数目仅仅是示意性的。根据实现需要，可以具有任意数目的本端5G CPE终端和对端5G CPE终端。比如服务器可以是多个服务器组成的服务器集群等。

本端5G CPE终端和对端5G CPE终端旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本申请实施例的实现。

需要说明的是，本端5G CPE终端和对端5G CPE终端均可以包括中央处理单元(CPU，Central Processing Unit)，其可以根据存储在只读存储器(ROM，Read-OnlyMemory)中的程序或者从储存部分加载到随机访问存储器(RAM，Random Access Memory)中的程序而执行各种适当的动作和处理。以及包括诸如LAN(Local Area Network，局域网)卡、调制解调器等的网络接口卡的通信部分。通信部分经由诸如因特网的网络执行通信处理。

在下文中，将更全面地描述本公开的各种实施例。本公开可具有各种实施例，并且可在其中做出调整和改变。然而，应理解：不存在将本公开的各种实施例限于在此公开的特定实施例的意图，而是应将本公开理解为涵盖落入本公开的各种实施例的精神和范围内的所有调整、等同物和/或可选方案。

在下文中，可在本公开的各种实施例中使用的术语“包括”或“可包括”指示所公开的功能、操作或元件的存在，并且不限制一个或更多个功能、操作或元件的增加。此外，如在本公开的各种实施例中所使用，术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合，并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增加一个或更多个特征、数字、步骤、操作、元件、组件或前述项的组合的可能性。

在本公开的各种实施例中使用的术语仅用于描述特定实施例的目的并且并非意在限制本公开的各种实施例。如在此所使用，单数形式意在也包括复数形式，除非上下文清楚地另有指示。除非另有限定，否则在这里使用的所有术语(包括技术术语和科学术语)具有与本公开的各种实施例所属领域普通技术人员通常理解的含义相同的含义。所述术语(诸如在一般使用的词典中限定的术语)将被解释为具有与在相关技术领域中的语境含义相同的含义并且将不被解释为具有理想化的含义或过于正式的含义，除非在本公开的各种实施例中被清楚地限定。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图2所示是一具体实施例中基于国密SM4的点对点虚拟通信方法的流程图，方法包括：

S1：在本地局域网的5G CPE终端上配置本端网络信息，并保存在网络配置文件中。

在一个示例性实施例中，5G CPE终端为Customer Premise Equipment，客户前置设备，5G CPE终端上配置有本端网络信息。本端网络信息可以是预先配置到5G CPE终端中，也可以基于实际需要进行更新，满足通信要求。

本端网络信息可以包括：本端隧道IP、本端和对端的公网IP、对端局域网IP等网络信息，这些配置信息存储在网络配置文件中。

S2：读取网络配置文件的本端网络参数，解析出网络参数，并进行通信协议的初始化，创建通信进程。

示例性的讲，可以基于netifd进程调用协议脚本读取网络配置文件的本端网络参数，也就是，netifd进程调用协议脚本对本端隧道IP、本端和对端的公网IP、对端局域网IP等参数进行读取、解析和格式转储，完成协议初始化，并创建通信进程，通信进程可以为VPN进程。基于VPN进程可以实现本端5G CPE终端和对端5G CPE终端之间创建虚拟网络，为本端5G CPE终端和对端5G CPE终端之间提供安全(加密)的数据传输隧道服务。

可选的，本实施例基于netifd进程调用协议脚本可以在netlink event上访问内核API。netifd进程调用协议脚本可以采用如下方式：

a. /lib/network/*.sh；

b. /sbin/ifup；

c./etc/hotplug.d脚本。

netifd可以保持与已存在的/etc/config/network格式的兼容性。

S3：根据预设的本端隧道IP地址，创建虚拟tunnel网卡，定义虚拟tunnel网卡的IP地址为本端隧道IP地址；

S4：若虚拟tunnel网卡创建成功，在本地局域网的5G CPE终端中配置路由策略；

具体来讲，若tunnel网卡创建成功，在本地局域网的5G CPE终端中配置路由策略，路由策略包括：发往对端5G CPE终端的通信报文，下一跳地址设定为tunnel网卡的IP地址，下一跳网卡设备为tunnel网卡；若tunnel网卡创建失败，是由于网络配置文件发生错误导致，此时协议脚本将实时刷新本端CPE的网络配置信息。

S5：路由策略配置完成后，虚拟tunnel网卡将发送至对端局域网的电力业务通信报文进行重新封装；

可以理解的是，路由策略设置完成后。虚拟tunnel网卡会将对发送往对端局域网的电力业务通信报文进行重新封装。这里的封装方式是在原IP报文头部新增一层IP头，新增IP头的目的地址设为对端公网IP，源地址设为本端公网IP。

S6：封装完成后，开启虚拟专网隧道，虚拟专网隧道借助公网屏蔽局域网的IP地址，使本端局域网和对端局域网形成一条专网通信通道。

根据本申请的实施例，为了保证通信安全，数据报文在两端局域网的通信交互皆为明文传输，明文传输并不符合电网对于数据安全的要求，很容易遭受网络攻击和信息泄露。所以，在隧道接口处调用SM4算法，对tunnel网卡发送的数据进行加密。

也就是说，本端局域网向对端局域网发送数据前，在虚拟专网隧道接口处调用SM4算法对tunnel网卡发送的数据进行加密；对端局域网接收到数据之后，对基于预设的SM4算法对接收的数据进行解密处理。实现了加密传输，并在接收数据之后进行解密。

而本端5G CPE终端和对端5G CPE终端均预设有SM4算法，可以基于SM4算法来进行加密解密处理。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

基于上述基于国密SM4的点对点虚拟通信方法，本发明对局域网电力业务通信报文重新进行封装，借助公网打通点对点电网业务的隧道，建立点对点电网业务的虚拟专网，节约了部署有线专网的成本。

本发明的方法无需利用中间网关设备或者中间服务器转发通信报文至对端局域网，而是建立局域网与局域网之间，点对点的直接连接。省略了中间网关或中心服务器的成本，也避免了中间设备出现异常对各局域网的影响。

本发明的方法在实现的过程中，在本地局域网的5G CPE终端中配置路由策略，将发送至对端局域网的电力业务通信报文进行重新封装；封装了本端隧道IP（和tunnel网卡的IP地址是同一个地址）、本端和对端的公网IP、对端局域网IP 4个信息，极大程度上简化了配置，操作简单，使用方便。

本发明还在隧道接口处采用国密SM4加密算法对通信数据实施加密，替换掉原来的AES、DES等常用国外加密算法，加强了电网网络安全的自主可控。

以下是本公开实施例提供的基于国密SM4的点对点虚拟通信***的实施例，该基于国密SM4的点对点虚拟通信***与上述各实施例的基于国密SM4的点对点虚拟通信方法属于同一个发明构思，在基于国密SM4的点对点虚拟通信***的实施例中未详尽描述的细节内容，可以参考上述基于国密SM4的点对点虚拟通信方法的实施例。

***包括：本端5G CPE终端和对端5G CPE终端；本端5G CPE终端配置本端网络信息，并保存在网络配置文件中；本端5G CPE终端基于通信启动指令，读取网络配置文件的本端网络参数，解析出网络参数，并进行通信协议的初始化，创建通信进程；根据预设的本端隧道IP地址，创建虚拟tunnel网卡，定义虚拟tunnel网卡的IP地址为本端隧道IP地址。

基于虚拟tunnel网卡创建成功之后，配置路由策略；并以虚拟tunnel网卡对待发送的电力业务通信报文进行重新封装。

封装完成后，开启虚拟专网隧道，虚拟专网隧道借助公网屏蔽局域网的IP地址，使本端5G CPE终端和对端5G CPE终端形成一条专网通信通道。本端5G CPE终端和对端5G CPE终端分别配置有国密SM4算法。

这样，本发明不用铺设点对点的光缆专线，而是借助现有的公网，就可实现局域网与局域网的互通，能够大大缩短建设周期，节约经济成本和维护成本。

局域网终端在通信时，省略了例如网关和中心服务器这样的中间设备，节约了设备成本，同时也避免了中间设备出现异常对各局域网造成影响。在使用上配置简单，容易部署，除了局域网自身两台CPE少数信息的配置，没有其他设备和信息的配置，后期的运行和维护都很方便，网络中若有新加入的局域网，不用改变原来的网络，只需新接入一台CPE设备即可。

5G CPE终端之间进行通信时，隧道通信的加密方式采用国密SM4算法，不依赖国外加密算法，加强了电网网络安全的自主可控。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

附图中的流程图和框图，图示了按照本公开各种实施例的设备、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。示例性的讲，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的***来实现，或者可以用专用硬件与计算机指令的组合来实现。

在本申请所提供的几个实施例中，应该理解到，所揭露的***、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本发明的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本发明的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本发明的各方面。

在本发明的实施例中，可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (5)

1.一种基于国密SM4的点对点虚拟通信方法，其特征在于，方法包括：

S1：在本地局域网的5G CPE终端上配置本端网络信息，并保存在网络配置文件中；

S2：读取网络配置文件的本端网络参数，解析出网络参数，并进行通信协议的初始化，创建通信进程；

基于netifd进程调用协议脚本读取本端网络参数；

S3：根据预设的本端隧道IP地址，创建虚拟tunnel网卡，定义虚拟tunnel网卡的IP地址为本端隧道IP地址；

S4：若虚拟tunnel网卡创建成功，在本地局域网的5G CPE终端中配置路由策略；

路由策略包括：定义发往对端局域网的通信报文；将下一跳地址设定为tunnel网卡的IP地址，还将下一跳网卡设备设置为tunnel网卡；

S5：路由策略配置完成后，虚拟tunnel网卡将发送至对端局域网的电力业务通信报文进行重新封装；

封装方式包括：在原IP报文头部新增一IP头，将新增的IP头的目的地址设为对端公网IP，源地址设为本端公网IP；

若虚拟tunnel网卡创建失败，调取网络配置文件，判断网络配置文件中的信息是否发生错误；

如是，则基于协议配置脚本实时刷新本地局域网的5G CPE终端的网络配置信息，并对原网络配置文件进行更新；

S6：封装完成后，开启虚拟专网隧道，虚拟专网隧道借助公网屏蔽局域网的IP地址，使本端局域网和对端局域网形成一条专网通信通道。

2.根据权利要求1所述的基于国密SM4的点对点虚拟通信方法，其特征在于，步骤S1中配置的本端网络信息包括：本端隧道IP、本端和对端的公网IP、对端局域网IP信息。

3.根据权利要求1所述的基于国密SM4的点对点虚拟通信方法，其特征在于，方法中，本端局域网向对端局域网发送数据前，在虚拟专网隧道接口处调用SM4算法对tunnel网卡发送的数据进行加密；

对端局域网接收到数据之后，基于预设的SM4算法对接收的数据进行解密处理。

4.一种基于国密SM4的点对点虚拟通信***，其特征在于，***采用如权利要求1至3任意一项所述的基于国密SM4的点对点虚拟通信方法；

***包括：本端5G CPE终端和对端5G CPE终端；

本端5G CPE终端配置本端网络信息，并保存在网络配置文件中；

本端5G CPE终端基于通信启动指令，读取网络配置文件的本端网络参数，解析出网络参数，并进行通信协议的初始化，创建通信进程；根据预设的本端隧道IP地址，创建虚拟tunnel网卡，定义虚拟tunnel网卡的IP地址为本端隧道IP地址；

基于虚拟tunnel网卡创建成功之后，配置路由策略；并以虚拟tunnel网卡对待发送的电力业务通信报文进行重新封装；

封装完成后，开启虚拟专网隧道，虚拟专网隧道借助公网屏蔽局域网的IP地址，使本端5G CPE终端和对端5G CPE终端形成一条专网通信通道。

5.根据权利要求4所述的基于国密SM4的点对点虚拟通信***，其特征在于，本端5GCPE终端和对端5G CPE终端分别配置有国密SM4算法。