(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111415111.5 (22)申请日 2021.11.25 (71)申请人 云南电网有限责任公司信息中心 地址 650000 云南省昆明市拓东路73号 (72)发明人 陈何雄　谢林江　郭威　杭菲璐　 张振红　罗震宇　毛正雄　何映军　 (74)专利代理 机构 昆明正原 专利商标代理有限 公司 53100 代理人 亢能　金耀生 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种可信协议增强专用网络通信安全方法 和设备 (57)摘要 本发明涉及一种可信协议增强专用网络通 信安全方法和设备， 方法包 括在TCP/IP协议栈的 基础上， 在 链路层和网络层之间增加一层网络安 全控制层； 所述网络安全控制层的数据按照协议 规定编码与解码； 网络安全控制层使用的协议， 规定传输的数据包括协议前导码、 通信集群编 号、 访问来源、 访问目标及协议控制码； 所述传输 的数据由网络通信的源端编码生成， 并由目的端 将所述网络安全控制层传输的数据进行解码， 若 解码数据经过检测与所述协议规定的数据格式 不一致， 则断开两端通信。 本发明使得数据链路 通道之间加入其他设备或者被监听时， 链路层帧 都是无法被正确解码的， 能够立 即中断数据链路 通道的连接， 保护传输数据的安全。 权利要求书1页 说明书3页 附图2页 CN 114124543 A 2022.03.01 CN 114124543 A 1.一种可信协议增强专用网络通信安全方法， 其特 征在于： 按以下进行： 在TCP/IP协议栈 的基础上， 在链路层和网络层之间增加一层网络安全控制层； 所述网 络安全控制层的数据按照协议 规定编码与解码； 网络安全控制层使用的协议， 规定传输的数据包括协议前导码、 通信集群编号、 访问来 源、 访问目标及协议控制码； 所述传输的数据由网络通信的源端编码生成， 并由目的端将所述网络安全控制层传输 的数据进行解码， 若解码数据经过检测与所述协议规定的数据格式不一致， 则断开两端通 信。 2.根据权利要求1所述的方法， 其特征在于： 协议前导码数据长度为4比特， 通信集群编 号数据长度为8比特， 访问来源为32比特， 访问目标为32比特， 协议控制码为8比特。 3.一种可信协议增强专用网络通信安全设备， 其特 征在于： 包括： 报文发送编码模块， 将向对端发送的网络数据中增 加网络安全 控制层； 报文接收解码模块， 接收并解码所述的网络安全 控制层传输的数据； 检测模块， 检测解码后的数据是否与所述协议 规定一致， 若不一致， 则断开两端通信。 4.根据权利要求3所述的设备， 其特征在于： 所述设备为网络通信的源端设备和目的端 设备任意 一端。 5.根据权利要求3所述的设备， 其特征在于： 所述网络安全层传输的数据， 符合所述协 议规定， 包括协议前导码、 通信集群编号、 访问来源、 访问目标及协议控制码。 6.一种可信协议增强专用网络通信安全设备， 其特征在于： 包括源端设备和目的端设 备； 目的端设备解码时， 将链路层帧解码后， 按照网络安全控制层协议， 提取出网络安全控 制层协议数据， 并按协 议规定进 行解码， 并继续解码IP数据报， 进而 再将IP数据报解码获取 TCP段， 最后从TCP段中获取源端设备 所传输的数据； 如果恶意设备加入专用网络， 对源端设备伪装自身为目的端设备， 由于恶意设备无法 识别链路帧中加入的网络安全控制层数据， 恶意设备认为此报文为异常报文， 将其抛弃， 进 而断开源端设备与恶意设备之间的连接， 保护了源端设备 所传输的数据安全。权　利　要　求　书 1/1 页 2 CN 114124543 A 2一种可信协议增强专用网 络通信安全方 法和设备 技术领域 [0001]本发明涉及网络安全领域， 尤其是涉及一种可信 协议增强专用网络通信安全方法 和设备。 背景技术 [0002]TCP/IP协议栈的架构下， 由于攻击者所在网络与受保护的网络的通信协议一致， 攻击者可以持续、 长时间对现有安全方案进 行漏洞分析与攻击。 而为了修复这些漏洞， 基于 现有架构不断叠加安全措施的方式， 形成了 “用有限的安全预算抵御无穷攻击 ”的结构性矛 盾。 [0003]而专用网络中， 如果废弃现的基于TCP/IP协议架构的技术基础， 直接采用一个全 新的私有协议栈， 会导 致现有软硬件资产的浪费。 发明内容 [0004]为了解决上述问题， 本发明的目的在于， 提供一种可信协议增强专用网络通信安 全方法和设备， 通过该方法对现有的TCP/IP协议栈进行局 部改造， 在链路层和网络层之间 增加一层网络安全控制层， 在该层中传输协议规定的数据， 并由本发明所涉及的设备进行 编码和解码。 [0005]本发明采用技 术方案如下： 一种可信协议增强专用网络通信安全方法， 按以下进行： 在TCP/IP协议栈的基础上， 在链路层和网络层之间增加一层网络安全控制层； 所 述网络安全 控制层的数据按照协议 规定编码与解码； 网络安全控制层使用的协议， 规定传输的数据包括协议前导码、 通信集群编号、 访 问来源、 访问目标及协议控制码； 所述传输的数据由网络通信的源端编码生成， 并由目的端将 所述网络安全控制层 传输的数据进行解码， 若解码数据经过检测与所述协议规定的数据格式不一致， 则断开两 端通信。 [0006]进一步地， 协议前导码数据长度为4比特， 通信集群编号数据长度为8比特， 访问来 源为32比特， 访问目标为32比特， 协议控制码为8比特。 [0007]本发明还涉及的一种可信协议增强专用网络通信安全设备， 包括： 报文发送编码模块， 将向对端发送的网络数据中增 加网络安全 控制层； 报文接收解码模块， 接收并解码所述的网络安全 控制层传输的数据； 检测模块， 检测解码后的数据是否与所述协议规定一致， 若不一致， 则断开两端通 信。 [0008]进一步地， 所述设备为网络通信的源端设备和目的端设备任意 一端。 [0009]进一步地， 所述网络安全层传输 的数据， 符合所述协议规定， 包括协议前导码、 通 信集群编号、 访问来源、 访问目标及协议控制码。说　明　书 1/3 页 3 CN 114124543 A 3