[发明专利]安全通信方法及装置

说明书

技术领域

本发明涉及通信技术领域，更具体地说，涉及安全通信方法及装置。

背景技术

近年来针对工业控制系统的攻击不断涌现，给人民的生命财产带来了巨大威胁，在这种情况下，保障信息安全就显得尤为重要。

对于工业现场来说，目前的现场仪表还没有实现加密解密功能，这使得工业现场中的数据安全性存在隐患。对于这种情况，可以通过提高交换机网络的安全性来保证现场设备数据的安全性。如何利用交换机网络提高现场设备数据传输的安全性就成为迫在眉睫的问题。

发明内容

有鉴于此，本发明实施例的目的在于提供安全通信方法及装置，以解决上述问题。

为实现上述目的，本发明实施例提供如下技术方案：

根据本发明实施例的第一方面，提供一种通信方法，基于安全交换机网络，所述安全交换机网络包括多个普通安全交换机；所述方法至少包括：

普通安全交换机接收数据报文；

所述普通安全交换机对所述数据报文执行加密处理策略，所述加密处理策略包括：判断所述数据报文的发送方或转发方是否是普通安全交换机，若判定所述数据报文的发送方或转发方不是普通安全交换机，则对所述数据报文进行加密处理，若判定所述数据报文的发送方或转发方是普通安全交换机，则不进行加密处理；

所述普通安全交换机对所述执行过加密处理策略的数据报文执行解密处理策略，所述解密处理策略包括：判断转发所述数据报文的端口所连接设备是否是普通安全交换机，若判定转发所述数据报文的端口所连接设备是普通安全交换机，则不进行解密处理，若判定转发所述数据报文的端口所连接设备不是普通安全交换机，则对所述数据报文进行解密处理；

所述普通安全交换机对所述执行过解密处理策略的数据报文进行转发。

结合第一方面，在第一种可能的实现方式中，当满足第一条件时，所述普通安全交换机判定所述数据报文的发送方或转发方是普通安全交换机；所述第一条件至少包括：接收所述数据接文的端口所连接设备的设备类型是普通安全交换机，以及，所述数据报文携带加密标识的至少一种；

当不满足所述第一条件时，所述普通安全交换机判定所述数据接文的发送方或转发方不是普通安全交换机；

当转发所述数据报文的端口所连接设备的设备类型是普通安全交换机时，所述普通安全交换机判定转发所述数据报文的端口所连接设备是普通安全交换机；

当转发所述数据报文的端口所连接设备的设备类型不是普通安全交换机时，所述普通安全交换机判定转发所述数据报文的端口所连接设备不是普通安全交换机。

结合第一方面，在第二种可能的实现方式中，所述普通安全交换机中存储有物理地址表，所述物理地址表中记载有接入所述安全交换机网络的所有现场设备的物理地址，所述方法还包括：

所述普通安全交换机在第一次接收到现场设备发送的数据报文时，将所述现场设备的物理地址与所述物理地址表中的物理地址进行匹配；若匹配成功，则认证通过，否则认证不通过。

结合第一方面，在第三种可能的实现方式中，所述安全交换机网络还包括服务器交换机；所述服务交换机中存储有所有普通安全交换机的标识码和用户密码；

在接收数据报文之前，所述方法还包括：

所述普通安全交换机向服务器交换机发送第一认证请求报文，所述第一认证请求报文携带所述普通安全交换机的标识码，以便所述服务器交换机在检索到存储有所述普通安全交换机的标识码后，向所述普通安全交换机返回携带加密字的第一质询报文；

所述普通安全交换机接收所述第一质询报文；

所述普通安全交换机将用户密码和所述第一质询报文中的加密字进行不可逆加密，得到第一加密结果，并将所述第一加密结果返回给服务器交换机，以便所述服务器交换机将第二加密结果与第一加密结果相比较，在二者相同时，判定所述普通安全交换机认证成功，进行第一认证通过操作；

所述第二加密结果是所述服务器交换器将存储的、所述普通安全交换机的用户密码和所述加密字进行所述不可逆加密得到的；

所述第一认证通过操作包括：记录所述普通安全交换机的物理地址和IP地址，向所有普通安全交换机发送第一认证成功通知报文，所述第一认证成功通知报文携带认证成功的普通安全交换机的物理地址和IP地址，用于与所述认证成功的普通安全交换机相连的普通安全交换机开启相应数据端口。

结合第一方面第三种可能的实现方式，在第四种可能的实现方式中，所述服务交换机中存储有所有客户端的用户信息和用户密码；所述方法还包括：