专利名称:一种增强网络安全性能的方法及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种增强网络安全性能的方法及系统。
背景技术:
在工业环境下或者要求高可靠性的数据 通信领域中,例如,工厂自动化系统、智能交通运输系统(ITS)、变电站或者其他恶劣环境中等,相应的网络部署广泛使用以太网技术,以组建相应的专用网络来连接工业设备,并通常通过冗余的网络拓扑结构来为数据通信链路提供保护。具体地,如图I所示,在工业冗余以太网中,采用若干工业以太网交换机(以下简称交换机)连接成的环状网络,为严苛工业环境提供高可靠性的数据通信。工业冗余以太网面临着多方面的安全性挑战。例如,如图2所示,攻击者的攻击方式可以为以下三种中的任意一种或多种(I)攻击者可以伪造身份(假冒终端)接入专用网络(即工业冗余以太网);(2)攻击者也可以在网络上窃听或篡改通信数据;(3)攻击者还可以通过管理交换机来破坏工业冗余以太网的正常工作。目前,为保证工业冗余以太网的安全性能,具体采用了以下技术手段技术手段一广播风暴控制技术广播风暴控制技术是通过在交换机端口配置广播风暴抑制策略来限制广播数据流量;具体地,如图3所示,若在交换机端口上配置广播风暴抑制策略,则只有指定速率内的广播流量能够通过交换机,超过的流量将被丢弃。技术手段二 划分VLAN划分VLAN (虚拟局域网)的方式可以缩小广播域,以实现业务隔离。具体地,如图4所示,将交换机端口划分成不同的VLAN,进入交换机的广播流量只会被转发到属于相同VLAN的端口,例如,从VLANlO进入交换机的广播流量只会被转发到同属于VLANlO的端口,属于其他VLAN的端口则接收不到该流量。技术手段三IEEE802. Ix安全认证技术在IEEE802. Ix安全认证技术中,具体是对连接到交换机物理端口的设备进行用户认证和授权,从而禁止未授权设备的接入。例如,参照图5所示,在启用了 IEEE802. Ix认证技术之后,交换机端口处于未授权的初始状态,此时,通过该端口不能访问网络。当有终端接入该端口时,交换机向终端发起认证要求,并对终端响应的用户信息及口令信息进行认证若认证成功,则交换机对该端口进行授权,允许终端访问网络;若认证失败,则交换机将该端口置成未授权状态,禁止终端访问网络。对于上述三种目前用来保证网络安全的技术手段,其并不能够很好地克服图2中所示的3种攻击形式。其中,广播风暴控制技术和划分VLAN的方式虽然可以抵御泛洪攻击,但其对网络上的窃听和伪装等攻击行为毫无作用;IEEE802. Ix安全认证技术虽然可以有效防范假冒终端接入网络,却无法解决环路上的窃听和篡改等安全问题。
总之,现有的工业以太网交换机安全技术所提供的保护能力比较有限,无法有效保证工业冗余以太网数据通信保密性和完整性。
发明内容
本发明的目的是提供一种增强网络安全性能的方法及系统,以保证工业网络中的数据传递的安全性能。本发明的目的是通过以下技术方案实现的一种增强网络安全性能的方法,包括在工业网络中,确定第一终端设备需要发送给第二终端设备的数据;在数据发送端,将所述数据基于建立的隧道进行加密处理,并发送经过加密处理后的数据;·在数据接收端,基于建立的隧道对接收到的加密处理后的数据进行解密操作,并将解密后的数据发送所述第二终端设备。可选地,所述的数据发送端包括终端设备或交换机或接入设备;所述的数据接收端包括终端设备或交换机或接入设备。可选地,所述的工业网络包括工业冗余以太网。进一步地,该方法还包括数据发送端在探测到第一终端设备的接入后,或接收第一终端设备发送来的数据后,对所述第一终端设备进行接入认证,并仅对通过接入认证的第一终端设备发送来的数据执行后续的所述加密处理;和/ 或,网络设备接收管理用户发送来的管理操作信息后,对所述管理用户进行认证,并仅对通过认证的管理用户发送来的管理操作信息执行对应的管理操作;和/ 或,数据发送端接收第一终端设备发送来的需要发送给第二终端设备的数据后,根据预先定义的第一访问控制列表ACL确定是否允许发送所述数据,并仅在确定允许的情况下,对所述数据执行后续的加密处理;和/ 或,数据接收端接收到数据发送端发送来的加密处理后的数据后,根据预先定义的第二访问控制列表ACL确定是否允许继续接收所述数据,并仅在确定允许的情况下,对所述数据执行后续的解密操作。进一步地,所述的接入认证包括基于IEEE802. Ix的认证,或者,基于端口安全的接入认证。可选地,若所述的接入认证为基于IEEE802. Ix的认证,则所述数据发送端或数据接收端需要与网络侧的认证服务器之间进行认证信息的交互,且所述认证信息通过所述建立的隧道进行传递。可选地,所述的第一 ACL中预先定义了终端设备的源地址及允许该终端设备访问的目的地址或网络服务,第二 ACL中的预先定义了经过隧道加密的数据帧的特性。一种增强网络安全性能的系统,包括
数据发送端,设置于工业网络中,用于在确定第一终端设备需要发送给第二终端设备的数据后,将所述数据基于建立的隧道进行加密处理,并将经过加密处理后的数据发送给数据接收端;数据接收端,设置于工业网络中,用于基于建立的隧道对接收到的加密处理后的数据进行解密操作,并将解密后的数据发送所述第二终端设备。进一步地,该系统还包括所述数据发送端接收第一终端设备发送来的需要发送给第二终端设备的数据后,还对所述第一终端设备进行接入认证,并仅对通过接入认证的第一终端设备发送来的数据执行后续的所述加密处理;和/ 或,网络设备接收管理用户发送来的管理操作信息后,对所述管理用户进行认证,并·仅对通过认证的管理用户发送来的管理操作信息执行对应的管理操作;和/ 或,所述数据发送端接收第一终端设备发送来的需要发送给第二终端设备的数据后,还根据预先定义的第一访问控制列表ACL确定是否允许发送所述数据,并仅在确定允许的情况下,对所述数据执行后续的加密处理;和/ 或,所述数据接收端接收到数据发送端发送来的加密处理后的数据后,根据预先定义的第二访问控制列表ACL确定是否允许继续接收所述数据,并仅在确定允许的情况下,对所述数据执行后续的解密操作。若所述的接入认证为基于IEEE802. Ix的认证,则所述数据发送端或数据接收端需要与网络侧的认证服务器之间进行认证信息的交互,且所述认证信息通过所述建立的隧道进行传递。由上述本发明提供的技术方案可以看出,本发明实施例提供了一种能够在工业冗余以太网等工业网络环境下,增强网络安全特性的技术方案。在该技术方案中,采用加密隧道技术保护网络上数据的保密性和完整性,从而可以有效保证工业网络中数据传递的安全性能。进一步地,还可以采用ACL技术过滤经过交换机等设备的数据;以及可以采用IEEE802. Ix或者端口安全技术有效防范交换机物理端口上未授权设备的接入,从而进一步加强交换机等设备的自身抗攻击能力。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。图I为现有技术中工业冗余以太网的结构示意图;图2为现有技术中工业冗余以太网的安全隐患示意图;图3为现有技术中的广播风暴抑制技术不意图;图4为现有技术中的VLAN划分技术示意图5为现有技术中的接入认证技术处理过程示意图;图6为本发明提供的处理过程示意图;图7为本发明提供的应用实施例的处理过程示意图;图8为本发明提供的工业冗余以太网的安全策略示意图;图9为本发明提供的本地数据的处理过程示意图;图10为本发明提供的远端数据处理过程示意图。
具体实施例方式下面结合本发明实施例中的附图,对本发明实 施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。下面将结合附图对本发明实施例作进一步地详细描述。本发明提供了一种增强网络安全性能的方法,如图6所示,其实现过程具体可以包括以下处理步骤步骤S600,在工业网络中,确定第一终端设备需要发送给第二终端设备的数据;其中,相应的工业网络可以但不限于包括工业冗余以太网,或者,也可以为其他在类似网络安全保护需求的工业网络。步骤S602,在数据发送端,将所述数据基于建立的隧道进行加密处理,并发送经过加密处理后的数据;其中,相应的数据发送端可以但不限于采用终端设备或交换机或接入设备等等,同样,相应的数据接收端也可以但不限于采用终端设备或交换机或接入设备等等;步骤S604,在数据接收端,基于建立的隧道对接收到的加密处理后的数据进行解密操作,并将解密后的数据发送所述第二终端设备。在本发明中,为进一步提高网络安全性能,还可以但不限于采用以下任意一种或多种技术处理手段对网络中传送的数据的安全性提供保护,具体包括技术处理手段一数据发送端在探测到第一终端设备的接入后,或接收第一终端设备发送来的数据后,对所述第一终端设备进行接入认证,并仅对通过接入认证的第一终端设备发送来的数据执行后续的所述加密处理,对于未通过接入认证的第一终端设备发送来的数据,则丢弃或忽略,即不允许其在网络中传递;其中,在上述技术处理手段一中,相应的的接入认证可以但不限于采用基于IEEE802. Ix的认证,或者,基于端口安全的接入认证;进一步地,若所述的接入认证为基于IEEE802. Ix的认证,则所述数据发送端或网络设备需要与网络侧的认证服务器之间进行认证信息的交互,且所述认证信息通过所述建立的隧道进行传递;技术处理手段二网络设备接收管理用户发送来的管理操作信息后,对所述管理用户进行认证,并仅对通过认证的管理用户发送来的管理操作信息执行对应的管理操作;相应的网络设备可以为交换机或接入设备等;其中,在上述技术处理手段二中,若所述的认证为基于认证服务器的认证,则所述数据发送端或网络设备需要与网络侧的认证服务器之间进行认证信息的交互,且所述认证信息通过所述建立的隧道进行传递;技术处理手段三数据发送端接收第一终端设备发送来的需要发送给第二终端设备的数据后,根据预先定义的第一访问控制列表ACL确定是否允许发送所述数据,并仅在确定允许的情况下,对所述数据执行后续的加密处理,对于不符合第一 ACL中预先定义的条件的数据,则丢弃或忽略,即不允许其在网络中传递;技术处理手段四数据接收端接收到数据发送端发送来的加密处理后的数据后,根据预先定义的第二访问控制列表ACL确定是否允许继续接收所述数据,并仅在确定允许的情况下,对所述数据执行后续的解密操作,同样,对于不符合第二 ACL中预先定义的条件的数据,则丢弃或忽略,即不允许其在网络中传递。需要说明的是,在上述的第一 ACL中具体可以预先定义终端设备的源地址及允许该终端设备访问的目的地址或网络服务,第二 ACL中的预先定义了经过隧道加密的数据帧的特性,从而使得数据发送端和数据接收端均可以根据相应的ACL对经过的数据进行过滤·处理,即仅允许符合第一 ACL或者第二 ACL中预先定义的规则的数据在网络中传递,从而进一步有效保证网络的安全性能。通过上述技术方案,本发明给出了一种能够在工业冗余以太网等工业网络环境下,增强网络安全特性的技术方案。在该技术方案中,采用加密隧道技术保护网络上数据的保密性和完整性。进一步地,还可以采用ACL技术过滤经过交换机等设备的数据;以及可以采用IEEE802. Ix或者端口安全技术有效防范交换机物理端口上未授权设备的接入,其中,采用IEEE802. Ix认证技术过程中,具体可以与AAA (即认证Authentication,授权Authorization,记帐Accounting)认证服务器通信,以实现相应的AAA认证,从而有效加强交换机等设备的自身抗攻击能力。为便于理解,下面将结合具体的应用实施例对本发明的实现过程进行详细描述。在下述本发明实施例中,具体为采用冗余协议、访问控制列表、IEEE802. Ix认证或端口安全技术,以及加密隧道协议组建安全的工业冗余以太网。在下述描述过程中,具体将相应的交换机作为上述数据发送端和相应的数据接收端,且为便于描述和理解,还将交换机连接到工业冗余以太网的端口称为网络侧端口,将交换机上除网络侧端口以外的所有端口称之为设备侧端口。如图7和图8所示,本发明实施例的具体实现过程可以包括以下步骤步骤S700,可以但不限于采用VLAN技术将交换机端口划分成网络侧端口和设备侧端口。网络侧端口用于将交换机连接到冗余以太网(即工业冗余以太网),设备侧端口用于连接终端设备。步骤S702,在交换机的网络侧端口上采用链路冗余协议,例如,可以但不限于采用RSTP (快速生成树协议),构建环形网络,以便于为数据通信提供冗余备份链路。步骤S704,在交换机上的网络侧端口采用加密隧道的方式分别对业务数据进行加密,以防范网络上的窃听、伪装或中间人攻击等,有效保证上、下行链路数据的保密性和完整性;其中,相应的加密隧道可以但不限于包括基于IPSec (互联网协议安全性)、PPTP(点对点隧道协议)、L2TP (二层隧道协议)等VPN (虚拟专用网)中建立的隧道;例如,如果通信业务全部为IP数据,则可以采用IPSec隧道机制对通信业务进行加密和验证,即建立相应的IPSec隧道,以用于进行后续数据的安全传送;如果通信业务为多协议数据,则可以采用PPTP或L2TP等第二层隧道机制对通信业务提供保护,即建立相应的二层隧道,以用于进行后续数据的安全传送。步骤S706,在交换机上所有的设备侧端口还可以采用IEEE802. Ix或者端口安全技术,以防范未授权终端设备的接入。若采用IEEE802. Ix认证技术,则需要接入以太网的终端设备必须支持IEEE802. Ix客户端(请求者)协议。若采用认证服务(如=RADIUS(远端验证拨入用户服务)、TACACS+ (终端访问控制器访问控制系统))对IEEE802. Ix请求进行认证,则认证服务器(或称AAA认证服务器)必须放置于VPN服务器之后,从而使认证流量受到步骤S704所述加密隧道的保护;进一步地,对于不支持IEEE802. Ix认证技术或端口安全技术的交换机或接入终端设备,还可以采用IP-MAC地址绑定的方式进行接入限制,即将接入设备的MAC地址绑定到指定端口上,并禁止其他所有MAC地址的出现。·步骤S708,可以在交换机的所有端口上采用ACL,只允许安全流量通过,过滤(SP屏蔽)所有其他数据;当然,若交换机或接入设备中不支持ACL技术,则可以省略该步骤;具体地,为保证在交换机中的双向数据均能够得到控制,具体可以包括在交换机所有设备侧端口配置ACL (即前面所述第一 ACL),只允许已授权的终端设备的数据进入作为数据发送端的交换机,过滤所有其他数据。使用的过滤规则可以有MAC地址、IP地址、所需服务(协议)类型。在交换机网络侧端口配置ACL (即前面所述第二 ACL),只允许步骤S704所述隧道机制的加密流量进入作为数据接收端的交换机,过滤所有其他数据。步骤S710,在所有交换机上可以但不限于采用AAA认证服务(如RADIUS、TACACS+),以确保交换机是以安全的方式被管理,即在认证服务器上建立交换机管理员的用户及权限信息,仅有通过认证的用户才可以作为交换机管理员对交换机进行管理操作。与上述步骤S706类似,该认证服务器也必须放置于VPN服务器之后,从而使认证流量受到步骤S704所述加密隧道的保护; 需要说明的是,在该步骤S710中,若交换机不支持AAA认证技术,则还可以采用其他权限管理手段对交换机或接入设备的管理权限进行限制。基于上述处理,下面将以相应的数据传递过程为例,对本发明的具体实现过程作进一步地描述。如图9所示,在按照步骤S700至步骤S710实施了本发明方案之后,从终端设备发出的本地数据在通过交换机的过程中所经历的处理流程可以包括(I)终端设备发出的本地数据进入交换机的设备侧端口之后,将进行IEEE802. Ix认证状态或端口安全的判定;其中,当采用IEEE802. Ix认证技术时,若本地数据属于该端口已授权的终端用户数据,则执行步骤(2),否则将被丢弃;当采用端口安全技术时,若本地数据帧的源MAC (媒体接入控制)地址包含于该端口的安全MAC地址列表,则执行步骤
(2),否则将被丢弃。(2)交换机将依据在该设备侧端口上预定义的ACL中预先定义的规则对本地数据进行匹配处理若匹配成功且预定义的ACL动作为放行,则对本地数据执行步骤(3),否则,本地数据将被丢弃;其中,ACL中的规则定义了该终端设备的源地址以及所允许访问的目的地址、网络服务等信息。(3)交换机依据交换(或路由)转发规则将本地数据转发到对应的网络侧端口上,并执行步骤(4)。(4)交换机使用预先建立好的隧道对本地数据进行加密处理,并将经过隧道加密的本地数据通过网络侧端口发送到工业冗余以太网上。对应的,如图10所示,在按照步骤S700至步骤S710实施了本发明方案之后,来自工业冗余以太网上的远端数据在通过交换机的过程中所经历的处理流程包括(5)远端数据从网络侧端口进入交换机之后,将依据在该网络侧端口上预定义的ACL规则对本地数据进行匹配处理若匹配成功且预定义的ACL动作为放行,则针对远端数·据执行步骤(6),否则,本地数据将被丢弃;其中,该ACL中的规则定义了经过隧道加密的数据帧的特性。(6)交换机依据交换(或路由)转发规则将本地数据转发到对应的设备侧端口上,并执行步骤(7)。(7)交换机使用预先建立好的隧道对远端数据进行解密处理,并将解密后的数据通过设备侧端口发送出去。在上述处理过程中,通过采用隧道加密和ACL技术,从数据通道的层面提供经过加密的安全数据通道,抵御网络上的窃听和伪装等攻击行为。进一步地,还通过采用IEEE802. lx(或端口安全)和ACL技术,从终端接入的层面防止未授权设备接入网络。另外,本发明实施例中还采用AAA认证技术,并将认证服务器放置于VPN服务器之后,从网络管理的层面确保以安全的方式对网络设备进行管理。总而言之,本发明能够有效地增强工业冗余以太网的安全性能,在工业环境下的要求高可靠性、高安全性的数据通信领域具有重要的实用意义。在本发明方案所述的步骤S604中,加密隧道不一定要建立在交换机和远端设备之间,可以建立在本地终端设备和远端设备之间。本发明还提供了一种一种增强网络安全性能的系统,其具体可以包括数据发送端,设置于工业网络中,用于在确定第一终端设备需要发送给第二终端设备的数据后,将所述数据基于建立的隧道进行加密处理,并将经过加密处理后的数据发送给数据接收端;数据接收端,设置于工业网络中,用于基于建立的隧道对接收到的加密处理后的数据进行解密操作,并将解密后的数据发送所述第二终端设备。在该系统中,数据发送端可以但不限于采用终端设备或交换机或接入设备等等,同样,数据接收端也可以但不限于采用终端设备或交换机或接入设备等等。为进一步提高系统的安全性能,在该系统中还可以但不限于包括以下至少一种技术处理手段,具体包括(一)数据发送端在探测到第一终端设备的接入后,或接收第一终端设备发送来的数据后,还对所述第一终端设备进行接入认证,并仅对通过接入认证的第一终端设备发送来的数据执行后续的所述加密处理;
(二)网络设备接收管理用户发送来的管理操作信息后,对所述管理用户进行接入认证,并仅对通过接入认证的管理用户发送来的管理操作信息执行对应的管理操作;相应的网络设备可以为交换机或接入设备等;(三)数据发送端接收第一终端设备发送来的需要发送给第二终端设备的数据后,还根据预先定义的第一访问控制列表ACL确定是否允许发送所述数据,并仅在确定允许的情况下,对所述数据执行后续的加密处理;(四)数据接收端接收到数据发送端发送来的加 密处理后的数据后,根据预先定义的第二访问控制列表ACL确定是否允许继续接收所述数据,并仅在确定允许的情况下,对所述数据执行后续的解密操作。其中,若所述的接入认证为基于IEEE802. Ix的认证,则所述数据发送端或网络设备需要与网络侧的认证服务器之间进行认证信息的交互,且所述认证信息通过所述建立的隧道进行传递。在该系统中,数据发送端和数据接收端所采用的具体处理方式在之前的方法描述中已经详细描述,故在些不再赘述。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
权利要求
1.一种增强网络安全性能的方法,其特征在于,包括 在工业网络中,确定第一终端设备需要发送给第二终端设备的数据; 在数据发送端,将所述数据基于建立的隧道进行加密处理,并发送经过加密处理后的数据; 在数据接收端,基于建立的隧道对接收到的加密处理后的数据进行解密操作,并将解密后的数据发送所述第二终端设备。
2.根据权利要求I所述的方法,其特征在于,所述的数据发送端包括终端设备或交换机或接入设备;所述的数据接收端包括终端设备或交换机或接入设备。
3.根据权利要求I所述的方法,其特征在于,所述的工业网络包括工业冗余以太网。
4.根据权利要求1、2或3所述的方法,其特征在于,该方法还包括 数据发送端在探测到第一终端设备的接入后,或接收第一终端设备发送来的数据后,对所述第一终端设备进行接入认证,并仅对通过接入认证的第一终端设备发送来的数据执行后续的所述加密处理; 和/或, 网络设备接收管理用户发送来的管理操作信息后,对所述管理用户进行认证,并仅对通过认证的管理用户发送来的管理操作信息执行对应的管理操作; 和/或, 数据发送端接收第一终端设备发送来的需要发送给第二终端设备的数据后,根据预先定义的第一访问控制列表ACL确定是否允许发送所述数据,并仅在确定允许的情况下,对所述数据执行后续的加密处理; 和/或, 数据接收端接收到数据发送端发送来的加密处理后的数据后,根据预先定义的第二访问控制列表ACL确定是否允许继续接收所述数据,并仅在确定允许的情况下,对所述数据执行后续的解密操作。
5.根据权利要求4所述的方法,其特征在于,所述的接入认证包括基于IEEE802.Ix的认证,或者,基于端口安全的接入认证。
6.根据权利要求5所述的方法,其特征在于,若所述的接入认证为基于IEEE802.Ix的认证,则所述数据发送端或数据接收端需要与网络侧的认证服务器之间进行认证信息的交互,且所述认证信息通过所述建立的隧道进行传递。
7.根据权利要求4所述的方法,其特征在于,所述的第一ACL中预先定义了终端设备的源地址及允许该终端设备访问的目的地址或网络服务,第二 ACL中的预先定义了经过隧道加密的数据帧的特性。
8.一种增强网络安全性能的系统,其特征在于,包括 数据发送端,设置于工业网络中,用于在确定第一终端设备需要发送给第二终端设备的数据后,将所述数据基于建立的隧道进行加密处理,并将经过加密处理后的数据发送给数据接收端; 数据接收端,设置于工业网络中,用于基于建立的隧道对接收到的加密处理后的数据进行解密操作,并将解密后的数据发送所述第二终端设备。
9.根据权利要求8所述的系统,其特征在于,该系统还包括所述数据发送端在探测到第一终端设备的接入后,或接收第一终端设备发送来的数据后,还对所述第一终端设备进行接入认证,并仅对通过接入认证的第一终端设备发送来的数据执行后续的所述加密处理; 和/或, 网络设备接收管理用户发送来的管理操作信息后,对所述管理用户进行认证,并仅对通过认证的管理用户发送来的管理操作信息执行对应的管理操作; 和/或, 所述数据发送端接收第一终端设备发送来的需要发送给第二终端设备的数据后,还根据预先定义的第一访问控制列表ACL确定是否允许发送所述数据,并仅在确定允许的情况下,对所述数据执行后续的加密处理; 和/或, 所述数据接收端接收到数据发送端发送来的加密处理后的数据后,根据预先定义的第二访问控制列表ACL确定是否允许继续接收所述数据,并仅在确定允许的情况下,对所述数据执行后续的解密操作。
10.根据权利要求9所述的系统,其特征在于,若所述的接入认证为基于IEEE802. Ix的认证,则所述数据发送端或数据接收端需要与网络侧的认证服务器之间进行认证信息的交互,且所述认证信息通过所述建立的隧道进行传递。
全文摘要
本发明公开了一种增强网络安全性能的方法及系统,包括在工业网络中,确定第一终端设备需要发送给第二终端设备的数据;在数据发送端,将所述数据基于建立的隧道进行加密处理,并发送经过加密处理后的数据;在数据接收端,基于建立的隧道对接收到的加密处理后的数据进行解密操作,并将解密后的数据发送所述第二终端设备。本发明实施例提供了一种能够在工业冗余以太网等工业网络环境下,增强网络安全特性的技术方案。在该技术方案中,采用加密隧道技术保护网络上数据的保密性和完整性,从而可以有效保证工业网络中数据传递的安全性能。
文档编号H04L12/46GK102790775SQ20121027179
公开日2012年11月21日 申请日期2012年8月1日 优先权日2012年8月1日
发明者张建良, 张立殷, 郑毅彬 申请人:北京映翰通网络技术有限公司