,防止通讯中间数据包被截获,再被恶意重放到网络中。数据通讯协议主要是保证整个业务通讯是安全可靠的。
[0026]管理控制系统对通信终端进行安全认证的具体操作方式为:
通信终端通过读取其自身的USBKEY,将自身的USBKEY中的证书信息提交给管理控制系统,管理控制系统接收到证书信息和终端IP地址后,与其内存储的证书信息和终端IP地址进行比对,如果和数据库中的信息完全一致,则表述该用户是完全合法的。
[0027]在发明的一个实施例中,通信终端与被通信设备进行通信之前,通信终端需要进行入网服务申请,即通信终端将其证书信息和终端IP地址发送给管理控制系统进行安全认证;当管理控制系统已接收通信终端的入网服务申请并同意入网服务申请之后,通信终端才具备与被通信设备进行通信的权限。
[0028]管理控制系统接收通信终端的入网服务申请的操作方法为:管理控制系统接收通信终端发送的证书信息和终端IP地址,并将证书信息和终端IP地址写入其数据库,同时向通信终端发送入网服务申请成功的信息。
[0029]通信终端接收到已通过管理控制系统安全认证的信息后,向管理控制系统发送被通信设备的目标IP地址;管理控制系统接收通信终端上传的被通信设备的目标IP地址,根据目标IP地址分析判断其内部的在线用户数据库中是否存在被通信设备:
若存在,管理控制系统将含有被通信设备接入的网关设备的通信IP地址的路径查询回应报文发送给通信终端。
[0030]关于在线用户数据库的说明:通信终端通过安全认证后,管理控制系统就把通信终端标记为在线状态并将其存储至在线用户数据库中,在线用户数据库的数据是实时更新的,比如通信终端退出登录,管理控制系统就把通信终端标记为下线状态,并将其从在线用户数据库中清除。
[0031]网关设备接收通信终端上传的隧道报文,并判断隧道报文是否被篡改,若未被篡改,则将隧道报文发送给被通信设备。
[0032]在本发明的一个实施例中,网关设备接收通信终端上传的隧道报文,并判断隧道报文是否被篡改步骤进一步包括:
网关设备的网络业务板接收通信终端上传的隧道报文,并将对通信终端的安全通信数据和报文数据采用SHA1方式计算得到的计算结果与安全数据进行比较:
若计算结果与安全数据相等,则隧道报文未被篡改,网络业务板将隧道报文通过网关设备的隔离卡摆渡到网关设备中与被通信设备所在网络所对应的处理板上。
[0033]与被通信设备所在网络所对应的处理板收到隧道报文后,将对通信终端的安全通信数据和报文数据采用SHA1方式计算得到数据结果与安全数据进行比较:
若数据结果与安全数据相等,则隧道报文未被篡改,与被通信设备所在网络所对应的处理板将报文发送给被通信设备。
[0034]在本发明的一个实施例中,隧道报文至少包括安全通信数据、通信IP地址、报文数据及将安全通信数据与报文数据采用SHA1方式计算方式得到的安全数据。
[0035]在进行安全通信过程,通信终端实现通信的操作方式为:
通信终端将证书信息和终端IP地址上传给管理控制系统,并接收管理控制发送的含有安全通信数据的安装认证通过信息。
[0036]通信终端向管理控制系统发送被通信设备的目标IP地址,并接收管理控制系统发送的含有被通信设备接入的网关设备的通信IP地址的路径查询回应报文。
[0037]通信终端将安全通信数据、通信IP地址、报文数据及将安全通信数据与报文数据采用SHA1方式计算方式得到的安全数据封装成隧道报文发送给网关设备。
[0038]综上所述,不同网络之间的通信终端和被通信设备进行通信时,管理控制系统会首先会对通信终端进行安全认证,从而保证了管理人员对对不同网络间的通信进行统一管理;隧道报文在传输过程中,网关设备能够对隧道报文是否被篡改进行判断,从而保证了不同网络之间的通信终端和被通信设备进行通信的安全通信。
【主权项】
1.不同网络间安全通信装置,其特征在于,包括: 若干网关设备,部署于不同网络边缘,用于接收通信终端上传的隧道报文,并判断所述隧道报文是否被篡改,若未被篡改,则将所述隧道报文发送给所述被通信设备; 网关控制设备,与所述网关设备连接,用于给所述网关设备配置网络接口地址和静态路由信息;以及 管理控制系统,与所述网关控制设备进行通信,用于通信终端的安全认证和判断所述通信终端请求的被通信设备是否在线,若在线,将被通信设备在线的信息发送给所述通信终端。2.根据权利要求1所述的不同网络间安全通信装置,其特征在于,所述网关设备包括隔离卡及分别与所述隔离卡连接的网络业务板和若干处理板,每个处理板分别与不同的网络进行通?目; 其中,网络业务板接收所述通信终端上传的隧道报文,并将对通信终端的安全通信数据和报文数据采用SHA1方式计算得到的计算结果与安全数据进行比较:若计算结果与安全数据相等,则所述隧道报文未被篡改,则所述网络业务板将所述隧道报文通过网关设备的隔离卡摆渡到网关设备中与被通信设备所在网络所对应的处理板上; 与被通信设备所在网络所对应的处理板收到所述隧道报文后,将对通信终端的安全通信数据和报文数据采用SHA1方式计算得到数据结果与安全数据进行比较:若数据结果与安全数据相等,则所述隧道报文未被篡改,与被通信设备所在网络所对应的处理板将所述报文发送给所述被通信设备。3.根据前权利要求1或2所述的不同网络间安全通信装置,其特征在于,所述网关控制设备和所述管理控制系统均为服务器。4.一种权利要求1-3任一所述的不同网络间安全通信设备的通信方法,其特征在于,包括: 管理控制系统接收通信终端上传的证书信息和终端IP地址,并将证书信息和终端IP地址与其内部存储的数据进行对比: 若存在相应的证书信息和终端IP地址,则允许通信终端通过安全认证,并将含有安全通信数据的安装认证通过信息发送给所述通信终端; 所述管理控制系统接收通信终端上传的被通信设备的目标IP地址,根据所述目标IP地址分析判断其内部的在线用户数据库中是否存在所述被通信设备: 若存在,所述管理控制系统将含有被通信设备接入的网关设备的通信IP地址的路径查询回应报文发送给所述通信终端; 所述网关设备接收所述通信终端上传的隧道报文,并判断所述隧道报文是否被篡改,若未被篡改,则将所述隧道报文发送给所述被通信设备。5.根据权利要求4所述的不同网络间安全通信方法,其特征在于,所述隧道报文至少包括安全通信数据、通信IP地址、报文数据及将安全通信数据与报文数据采用SHA1方式计算方式得到的安全数据。6.根据权利要求5所述的不同网络间安全通信方法,其特征在于,所述网关设备接收所述通信终端上传的隧道报文,并判断所述隧道报文是否被篡改步骤进一步包括: 所述网关设备的网络业务板接收所述通信终端上传的隧道报文,并将对通信终端的安全通信数据和报文数据采用SHA1方式计算得到的计算结果与安全数据进行比较: 若计算结果与安全数据相等,则所述隧道报文未被篡改,所述网络业务板将所述隧道报文通过网关设备的隔离卡摆渡到网关设备中与被通信设备所在网络所对应的处理板上; 与被通信设备所在网络所对应的处理板收到所述隧道报文后,将对通信终端的安全通信数据和报文数据采用SHA1方式计算得到数据结果与安全数据进行比较: 若数据结果与安全数据相等,则所述隧道报文未被篡改,与被通信设备所在网络所对应的处理板将所述报文发送给所述被通信设备。7.根据权利要求4-6任一所述的不同网络间安全通信方法,其特征在于,当所述管理控制系统已接收所述通信终端的入网服务申请,所述通信终端才具备与所述被通信设备进行通信的权限。8.根据权利要求7所述的不同网络间安全通信方法,其特征在于,所述管理控制系统接收所述通信终端的入网服务申请的操作方法为: 所述管理控制系统接收所述通信终端发送的证书信息和终端IP地址,并将所述证书信息和终端IP地址写入其数据库,同时向所述通信终端发送入网服务申请成功的信息。
【专利摘要】本发明公开了不同网络间安全通信装置及其方法,不同网络间安全通信装置包括若干网关设备、与网关设备连接的网关控制设备和与网关控制设备连接的管理控制系统。不同网络间安全通信方法包括:管理控制系统接收通信终端上传的证书信息和终端IP地址,并与其内部存储的数据进行对比,若存在相应信息,则告知通信终端通过安全认证;管理控制系统接收通信终端上传的被通信设备的目标IP地址,根据目标IP地址分析判断其内部的在线用户数据库中是否存在被通信设备:若存在,管理控制系统将路径查询回应报文发送给通信终端;网关设备接收通信终端上传的隧道报文,并判断隧道报文是否被篡改,若未被篡改,则将隧道报文发送给被通信设备。
【IPC分类】H04L29/06
【公开号】CN105407095
【申请号】CN201510835958
【发明人】芦伟
【申请人】深圳市风云实业有限公司
【公开日】2016年3月16日
【申请日】2015年11月26日