(19)中华 人民共和国 国家知识产权局
(12)发明 专利
(10)授权公告 号
(45)授权公告日
(21)申请 号 202111427304.2
(22)申请日 2021.11.29
(65)同一申请的已公布的文献号
申请公布号 CN 113839968 A
(43)申请公布日 2021.12.24
(73)专利权人 军事科学院系统工程研究院网络
信息研究所
地址 100141 北京市丰台区大成路13号院
(72)发明人 杨林
(74)专利代理 机构 中国和平利用军工技 术协会
专利中心 1 1215
代理人 刘光德
(51)Int.Cl.
H04L 9/40(2022.01)
H04L 41/082(2022.01)H04L 47/76(2022.01)
(56)对比文件
CN 10289183 5 A,2013.01.23
审查员 刘娟
(54)发明名称
一种基于通道划分的安全平面隔离方法和
系统
(57)摘要
本发明提出一种基于通道划分的安全平面
隔离方法和系统。 所述方法包 括: 步骤S1、 通道建
立及参数协商; 步骤S2、 所述通道建立后, 执行平
面业务安全传输; 步骤S3、 所述通道建立后, 对所
述通道的带宽进行更新; 步骤S4、 所述通道建立
后, 基于网络管理设备配置删除或设备失效, 执
行通道关闭; 步骤S5、 通道建立之后, 所述发起方
发送报文时的处理过程和所述接收方发送报文
时的处理过程。
权利要求书3页 说明书11页 附图5页
CN 113839968 B
2022.02.18
CN 113839968 B
1.一种基于通道划分的安全平面隔离方法, 其特 征在于:
各个网络设备之间的传输链路包含三个彼此独立的逻辑通道, 分别为控制通道、 管理
通道和业务通道, 以对应地形成控制平面、 管理平面、 业务平面; 所述传输链路上同时存在
所述控制通道、 所述管理通道和所述业务通道中的一个或多个; 各个通道均为双向通道, 所
述各个通道相互隔离, 且所述各个通道内的报文独立传输;
所述方法包括:
步骤S1、 通道建立及参数协商: 由发起方发送通道建立请求消息给接收方, 所述接收方
收所述通道建立请求消息并进行处理, 所述接收方将通道建立应答报文发送给所述发起
方, 所述发起方收到所述通道建立应答报文并进 行处理, 以完成参数协商; 所述发起方和所
述接收方均包括路由模块、 通道 表、 加密模块和接口;
步骤S2、 所述通道建立后, 执行平面业务安全传输: 当所述发起方需要发送报文时, 对
所述报文进行加密, 将加密报文发送给所述接 收方, 所述接 收方接收到所述加密报文并进
行解密, 以查询 相应的通道 表, 按照通道类型, 提交给 上层相应的软件;
步骤S3、 所述通道建立后, 对所述通道的带宽进行更新: 当所述接收方收到通道带宽配
置发生变更的消息时, 若此时接收方已完成通道建立, 则触发通道带宽更新流程, 并对所述
通道的带宽进行 更新;
步骤S4、 所述通道建立后, 基于网管配置删除或对端设备失效, 执行通道关闭: 所述发
起方主动关闭与所述接 收方之间的通道链路, 所述发起方和接 收方分别进行通道、 链路关
闭并清除各自的通道表的信息, 以回到接口初始阶段, 并向所述 发起方回复通道终止应答,
同时向所述路由模块 通知通道状态;
步骤S5、 通道建立之后, 所述发起方发送报文时的处理过程和所述接收方发送报文时
的处理过程: 通过虚拟接口驱动实现接口板上 的物理端口、 平面和虚链路到逻辑端口的映
射工作, 从而实现业 务层面的隔离 。
2.根据权利要求1所述的一种基于通道划分的安全平面隔离方法, 其特征在于, 在所述
步骤S1中, 具体方法包括:
步骤S11、 由所述发起方发送携带IP和带宽参数的通道建立请求消息给接收方;
步骤S12、 所述接收方收到所述通道建立请求消息并提取其中的参数信息, 包括基于节
点号和设备类型匹配参数协商策略表, 以判决协商参数, 完成参数协商;
步骤S13、 完成参数协商后, 所述接收方发送通道建立应答报文给所述发起方, 同时配
置通道表并通知路由模块 通道连接状态、 参数信息;
步骤S14、 所述发起方收到通道建立应答报文后, 完成所述参数协商后, 配置所述通道
表并上报所述路由模块 通道连接状态、 所述 参数信息 。
3.根据权利要求2所述的一种基于通道划分的安全平面隔离方法, 其特征在于, 在所述
步骤S2中, 具体包括:
步骤S21、 当所述发起方需要发送报文时, 根据所述路由模块中的算法查询端口号, 然
后按照通道类型查询通道表, 找到对应的通道, 基于安全标记匹配通道并进行封装后 发送
给所述加密模块进行加密、 完整性计算, 形成加密报文, 通过接口将加密报文发送给接收
方;
步骤S22、 当所述接收方收到所述加密报文时, 发送给所述加密模块完成解密、 完整性权 利 要 求 书 1/3 页
2
CN 113839968 B
2校验, 查询 相应的通道 表, 按照通道类型, 交给 上层相应的软件。
4.根据权利要求3所述的一种基于通道划分的安全平面隔离方法, 其特征在于, 在所述
步骤S3中, 具体包括:
步骤S31、 所述发起方发送通道带宽更新请求, 并携带新的通道带宽信息;
步骤S32、 所述接收方收到所述通道更新请求后, 并完成通道协商后, 更新通道表, 同时
发送通道更新应答给路由模块, 更新路由模块中实链路虚拟网卡的带宽信息;
步骤S33、 所述发起方收到通道更新应答, 同时发送通道更新应答给路由模块, 更新路
由模块中实链路虚拟网卡的带宽信息 。
5.根据权利要求4所述的一种基于通道划分的安全平面隔离方法, 其特征在于, 在所述
步骤S4中, 具体包括:
步骤S41、 所述发起方主动关闭与接收方的通道链路, 向所述接收方发送通道终止请
求;
步骤S42、 所述接收方进行通道、 链路关闭并清除通道表的信息, 回到接口初始阶段, 并
向所述发起方回复通道终止应答, 同时向所述路由模块 通告通道状态;
步骤S43、 所述发起方收到通道更新应答后, 进行通道、 链路关闭并清除通道表的信息,
回到接口初始阶段, 并向所述发起方回复通道终止应答, 同时向路由模块 通告通道状态。
6.根据权利要求5所述的一种基于通道划分的安全平面隔离方法, 其特征在于, 在所述
步骤S5中, 具体包括:
当所述发起方发送报文时的处 理过程包括:
步骤S51、 所述虚拟接口驱动层对报文进行预处理, 根据虚拟逻辑端口存储的数据 结构
信息, 将报文的以太网首部 封装虚拟接口对应的虚通道参数信息, 并发送给 所述接口;
步骤S52、 所述接口根据 所述以太网首部虚拟接口参数信息完成到虚通道的映射, 最终
将报文发送出去;
当所述接收方收到报文时的处 理过程:
步骤S53、 经过虚通道映射处理后, 当接收方收到报文时, 在以太网首部附加上所述物
理端口所述平面的信息;
步骤S54、 当所述虚拟接口驱动收到报文后, 基于虚通道信息匹配虚拟逻辑端口, 在虚
拟接口驱动的数据结构 中附加虚拟逻辑端口对应的接口指针, 送给协议栈内核后续处理,
使得虚拟路由器能够正确识别接收报文的目的。
7.根据权利要求1 ‑6任一项所述的一种基于通道划分的安全平面隔离方法, 其特征在
于, 所述发起方和所述接收方为路由器, 所述路由器具备虚拟路由器功能, 所述发起方和所
述接收方为多个不同虚拟路由器。
8.一种用于基于通道划分的安全平面隔离系统, 其特征在于, 各个网络设备之间的传
输链路包含三个彼此独立的逻辑通道, 分别为控制通道、 管 理通道和业务通道, 以对应地形
成控制平面、 管理平面、 业务平面; 所述传输链路上同时存在所述控制通道、 所述管理通道
和所述业务通道中的一个或多个; 各个通道均为双向通道, 所述各个通道相互隔离, 且所述
各个通道内的报文独立传输; 所述系统包括:
第一处理单元, 被配置为执行通道建立及参数协商: 由发起方发送通道建立请求消息
给接收方, 所述接 收方收所述通道建立请求消息并进行处理, 所述接 收方将通道建立应答权 利 要 求 书 2/3 页
3
CN 113839968 B
3
专利 一种基于通道划分的安全平面隔离方法和系统
文档预览
中文文档
20 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
温馨提示:本文档共20页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 人生无常 于 2024-03-19 04:20:14上传分享