一种基于国密SM4的点对点虚拟通信方法及系统与流程

本发明属于电力系统数据通信，尤其涉及一种基于国密sm4的点对点虚拟通信方法及系统。

背景技术：

1、随着新型电力系统建设的不断深入和完善，海量电力终端设备接入电网生产的各个环节，实时感知和测量电网运行状态。终端感知到的电力业务数据借助电力通信网络传输至主站，并与主站进行数据交互，保障电网的安全稳定运行。在这个过程中，电力业务数据依次经过了终端、接入网、承载网、核心网，最终到达地市公司主站。终端和主站分别属于不同的局域网，数据需要实现在不同地区，不同局域网之间的传输和交互。

2、其次，电力通信网承载了庞大的电力业务数据，这些数据对电网安全来说至关重要，在数据的传输过程中，时刻面临着网络入侵、数据篡改和信息泄露的风险。因此，数据在跨局域网传输的同时，也要考虑采取何种措施，才能防止网络攻击和信息泄露，保证电力业务的安全性和私密性。

3、基于以上两个目的，目前的解决方案有：一是在局域网与局域网之间铺设有线专网，两个局域网通过有线专网建立物理链路，实现数据的传输和保护；二是通过ipsec或ssl方式的vpn技术，依托现有公共网络资源，在不同局域网之间建立逻辑通道，形成点对点虚拟专网，让不同局域网的用户在逻辑上处于同一网络，从而实现相互通信，以及数据的隔离和加密。

4、针对1中的方案一：有线专网技术。其缺点在于：对于距离较远的两个局域网，光缆铺设周期长，新增一个局域网就要新增1条线路，铺设成本高；有时局域网之间跨越地区复杂，导致施工难度大；建设完成后，铺设的光缆需要防止虫蚁损坏，检修和维护成本高。

5、针对1中的方案二：ipsec、ssl方式的vpn技术。其缺点在于：一是ipsec、ssl方式的vpn技术协议较为复杂，在两个不同局域网间建立虚拟专网时，要求站点分别部署专用vpn网关，本地局域网将数据传送至网关，在网关处进行数据交互，再由网关传送至对端局域网，实现本地局域网和对端局域网的通信。一般情况下，此类网关设备连接着多个局域网，如果网关出现异常，将影响到多个局域网的网络。二是ipsec和ssl vpn在建立点对点虚拟专网时，需要在两端的cpe设备上配置sa类型、dpd使能、esp算法、网关公网ip地址、ike版本等十几种信息，还需要配置一些身份验证证书，这些证书需要经常更新，大大增加了使用和维护的复杂性。三是此类vpn技术普遍使用aes、des等国外加密算法对数据进行加密，依赖国外算法技术，对电网安全都存在一定威胁。

技术实现思路

1、本发明提供一种基于国密sm4的点对点虚拟通信方法，方法可以在局域网与局域网之间建立直连隧道，省略中间网关、中心服务器等中间设备，消除中间设备异常对局域网的影响。

2、基于国密sm4的点对点虚拟通信方法包括：

3、s1：在本地局域网的5g cpe终端上配置本端网络信息，并保存在网络配置文件中；

4、s2：读取网络配置文件的本端网络参数，解析出网络参数，并进行通信协议的初始化，创建通信进程；

5、s3：根据预设的本端隧道ip地址，创建虚拟tunnel网卡，定义虚拟tunnel网卡的ip地址为本端隧道ip地址；

6、s4：若虚拟tunnel网卡创建成功，在本地局域网的5g cpe终端中配置路由策略；

7、s5：路由策略配置完成后，虚拟tunnel网卡将发送至对端局域网的电力业务通信报文进行重新封装；

8、s6：封装完成后，开启虚拟专网隧道，虚拟专网隧道借助公网屏蔽局域网的ip地址，使本端局域网和对端局域网形成一条专网通信通道。

9、进一步需要说明的是，步骤s1中配置的本端网络信息包括：本端隧道ip、本端和对端的公网ip、对端局域网ip信息。

10、进一步需要说明的是，步骤s2基于netifd进程调用协议脚本读取本端网络参数。

11、进一步需要说明的是，步骤s4中的路由策略包括：定义发往对端局域网的通信报文；

12、将下一跳地址设定为tunnel网卡的ip地址，还将下一跳网卡设备为tunnel网卡。

13、进一步需要说明的是，若虚拟tunnel网卡创建失败，调取网络配置文件，判断网络配置文件中的信息是否发生错误；

14、如是，则基于协议配置脚本实时刷新本地局域网的5g cpe终端的网络配置信息，并对原网络配置文件进行更新。

15、进一步需要说明的是，步骤s5中的封装方式包括：在原ip报文头部新增一ip头，将新增的ip头的目的地址设为对端公网ip，源地址设为本端公网ip。

16、进一步需要说明的是，方法中，本端局域网向对端局域网发送数据前，在虚拟专网隧道接口处调用sm4算法对tunnel网卡发送的数据进行加密；

17、对端局域网接收到数据之后，对基于预设的sm4算法对接收的数据进行解密处理。

18、本发明还提供一种基于国密sm4的点对点虚拟通信系统，系统包括：本端5g cpe终端和对端5g cpe终端；

19、本端5g cpe终端配置本端网络信息，并保存在网络配置文件中；

20、本端5g cpe终端基于通信启动指令，读取网络配置文件的本端网络参数，解析出网络参数，并进行通信协议的初始化，创建通信进程；根据预设的本端隧道ip地址，创建虚拟tunnel网卡，定义虚拟tunnel网卡的ip地址为本端隧道ip地址；

21、基于虚拟tunnel网卡创建成功之后，配置路由策略；并以虚拟tunnel网卡对待发送的电力业务通信报文进行重新封装；

22、封装完成后，开启虚拟专网隧道，虚拟专网隧道借助公网屏蔽局域网的ip地址，使本端5g cpe终端和对端5g cpe终端形成一条专网通信通道。

23、进一步需要说明的是，本端5g cpe终端和对端5g cpe终端分别配置有国密sm4算法。

24、从以上技术方案可以看出，本发明具有以下优点：

25、基于上述基于国密sm4的点对点虚拟通信方法，本发明对局域网电力业务通信报文重新进行封装，借助公网打通点对点电网业务的隧道，建立点对点电网业务的虚拟专网，节约了部署有线专网的成本。

26、本发明的方法无需利用中间网关设备或者中间服务器转发通信报文至对端局域网，而是建立局域网与局域网之间，点对点的直接连接。省略了中间网关或中心服务器的成本，也避免了中间设备出现异常对各局域网的影响。

27、本发明的方法在实现的过程中，在本地局域网的5g cpe终端中配置路由策略，将发送至对端局域网的电力业务通信报文进行重新封装；封装了本端隧道ip（和tunnel网卡的ip地址是同一个地址）、本端和对端的公网ip、对端局域网ip 4个信息，极大程度上简化了配置，操作简单，使用方便。

28、本发明还在隧道接口处采用国密sm4加密算法对通信数据实施加密，替换掉原来的aes、des等常用国外加密算法，加强了电网网络安全的自主可控。

技术特征：

1.一种基于国密sm4的点对点虚拟通信方法，其特征在于，方法包括：

2.根据权利要求1所述的基于国密sm4的点对点虚拟通信方法，其特征在于，步骤s1中配置的本端网络信息包括：本端隧道ip、本端和对端的公网ip、对端局域网ip信息。

3.根据权利要求1所述的基于国密sm4的点对点虚拟通信方法，其特征在于，步骤s2基于netifd进程调用协议脚本读取本端网络参数。

4.根据权利要求1所述的基于国密sm4的点对点虚拟通信方法，其特征在于，步骤s4中的路由策略包括：

5.根据权利要求4所述的基于国密sm4的点对点虚拟通信方法，其特征在于，若虚拟tunnel网卡创建失败，调取网络配置文件，判断网络配置文件中的信息是否发生错误；

6.根据权利要求1所述的基于国密sm4的点对点虚拟通信方法，其特征在于，步骤s5中的封装方式包括：在原ip报文头部新增一ip头，将新增的ip头的目的地址设为对端公网ip，源地址设为本端公网ip。

7.根据权利要求1所述的基于国密sm4的点对点虚拟通信方法，其特征在于，方法中，本端局域网向对端局域网发送数据前，在虚拟专网隧道接口处调用sm4算法对tunnel网卡发送的数据进行加密；

8.一种基于国密sm4的点对点虚拟通信系统，其特征在于，系统采用如权利要求1至7任意一项所述的基于国密sm4的点对点虚拟通信方法；

9.根据权利要求8所述的基于国密sm4的点对点虚拟通信系统，其特征在于，本端5gcpe终端和对端5g cpe终端分别配置有国密sm4算法。

技术总结
本发明提供一种基于国密SM4的点对点虚拟通信方法及系统，属于电力系统数据通信技术领域，在本端5G CPE终端配置本端网络信息，并保存在网络配置文件中；读取网络配置文件的本端网络参数，解析出网络参数；创建虚拟tunnel网卡；在本端5G CPE终端配置路由策略；路由策略配置完成后，虚拟tunnel网卡将发送至对端局域网的电力业务通信报文进行重新封装；封装完成后，开启虚拟专网隧道，虚拟专网隧道借助公网屏蔽局域网的IP地址，使本端局域网和对端局域网形成一条专网通信通道。本发明无需利用中间网关设备或者中间服务器转发通信报文至对端局域网，而是建立局域网与局域网之间，点对点的直接连接。避免中间设备出现异常对各局域网的影响。

技术研发人员：王日宁,郭光明,李金安,赵国锋,王进帅,孟子健
受保护的技术使用者：国网信息通信产业集团有限公司
技术研发日：
技术公布日：2024/1/15