[发明专利]一种采用ppp协议封装IPsec框架结构的系统及方法

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种采用ppp协议封装IPsec框架结构的系统及方法。

背景技术

信息系统在各行各业中应用广泛，如在电力电网、轨道交通等多级的生产监测系统中，需要对系统所属的重要设备运行数据进行采集、分析和故障诊断。由于有线网络建设成本高、接入点不灵活等缺点，无线（如GPRS）作为有线网络的补充在工业生产系统（特别是数据采集系统）中广泛应用；PPP协议是目前无线GPRS的主要拨号通信协议。

然而为保证基于无线GPRS的数据完整性、机密性和不可否认性(可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息)，需要在无线通信中进行加密和认证，目前VPN（Virtual Private Network，虚拟专用网络）技术是一个比较成熟的通信安全技术，目前常用的VPN有二层L2TP技术、三层IPsec技术和四层SSL技术。

其中二层VPN的L2TP技术只能在LAC节点与LNS节点之间建立隧道进行数据保护，而难以实现工业数据采集终端本体到企业主站机房的全面保护。

其中四层SSL技术需要在企业工控系统的应用层进行数据加密和认证，需要进行系统改造，而且系统改造后因安全防护与业务共同运行在同一台服务器中，存在诸多管理问题，如故障排查界面不清晰等问题。

IPsec(Internet Protocol Security，协议安全性)是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯，其可以实现终端到主站全程的隧道保护，并且对于主站应用系统完全透明。IPsec框架结构适用于基于无线终端的数据采集通信安全保护，然而目前主流的IPsec框架结构主要采用RSA非对称密码算法、3DES/AES等对称密码算法和MD5/SHA-1散列算法，其中非对称密码算法的私钥安全性决定了整个安全防护系统的安全性；目前主流的RSA1024已被证实并不安全，现阶段国外主推RSA2048，通过增加密钥长度增加破解的难度。为此，我国国家密码管理局近年来力推SM系列算法，其中的非对称算法SM2采用的是安全强度更高的几何椭圆算法，而不是采用RSA基于大素数定理的算法。

基于以上技术原因，本发明提出一种采用ppp协议封装IPsec框架结构的系统及方法。

发明内容

有鉴于此，本发明实施例提供一种采用ppp协议封装IPsec框架结构的系统及方法，其应用广泛，并可实现工业终端的通信安全。

一方面，提供一种采用ppp协议封装IPsec框架结构的系统，所述系统包括用户空间及内核空间，其中所述用户空间包括管理模块、业务模块、密钥协商模块、拨号模块，所述管理模块包括管理报文模块和初始化管理模块，所述管理报文模块用于接收主站装置的远程管理报文，所述初始化管理模块用于接收数字证书系统的初始化过程；所述业务模块包括启动及网络配置模块、以及业务数据处理模块，所述启动及网络配置模块用于实现上电启动的自检、网络设置、路由功能处理，所述业务数据处理模块用于实现业务采集终端采集业务数据，并通过ppp协议和IPsec框架结构将其转发到前置机；所述密钥协商模块用于与主站装置进行交互；所述拨号模块用于通过AT指令集对GPRS模块进行配置，并用ppp协议进行解析；所述内核空间包括内核驱动模块、内核任务模块、内核配置与状态存储模块、内核算法调度模块、内核接口模块，所述内核驱动模块用于封装GPRS模块所需的串口模块和业务采集终端的接口驱动；所述内核任务模块用于提供安全服务和网络通信所需的Bridge、Route功能；所述内核配置与状态存储模块用于存储IPsec所需的SAD、SPD配置信息；所述内核算法调度模块用于封装SM1/2/3算法，并为IPsec-tools的加密和认证提供算法封装；所述内核接口模块用于内核空间与用户空间之间的交互。

另一方面，提供一种采用上述IPsec框架结构系统的业务数据收发方法，所述IPsec框架结构系统与业务采集终端之间通过以太网口进行互连，所述方法包括：

接收业务数据，将其进行安全策略匹配；

对业务数据进行源地址转换，并查找安全关联；

对业务数据进行加密，并产生ESP数据包；以及

将ESP数据包经过路由查找，进而通过无线网络发送至业务采集终端。

进一步地，提供一种采用上述IPsec框架结构系统的业务数据收发方法，所述IPsec框架结构系统与业务采集终端之间通过串口进行互连，所述方法包括：

从串口接收业务数据；