[发明专利]一种基于ISG安全密码技术的工业以太网交换方法

说明书

技术领域

本发明涉及工业以太网技术领域，具体涉及一种基于ISG安全密码技术的工业以太网交换方法。

背景技术

随着互联网技术的不断发展，以太网交换机在工业中的应用越来越广泛；特别是在电力行业，对数据的传输经常会使用到以太网交换机。

以太网加密技术主要是用于防止不合法的电脑接入组织的内部局域网盗取机密信息的行为，这种技术也可以防止组织内的办公电脑与其它非法电脑互连造成对机密数据的拷贝。以太网加密技术中的关键设备包括以太网加密交换机和以太网加密网卡。现有技术通常通过硬件或软件的方法在加密交换机和加密网卡处对以太网数据进行加解密。

硬件加密技术主要通过在加密网卡一侧的网络控制器(MAC)芯片和PHY芯片之间加入FPGA器件，对MII/GMII接口上的数据进行加解密，在加密交换机一侧的交换芯片(MAC)和PHY之间也插入FPGA器件，对MII/GMII接口上的数据进行反向的加解密操作。该类技术需大规模在MAC和PHY之间插入FPGA器件，成本较高，且认证次数有限，不能进行实时认证，因此安全性差，此外，加密算法在FPGA内部实现相对固定，一旦被破解，会使其他设备也受到攻击。软件加密技术是在加密网卡侧和加密交换机侧利用处理器的处理能力对以太网的报文或其上层报文进行加解密操作。该类技术容易被恶意人员进行反汇编、跟踪和破译，安全性差，且其加密算法固定，容易通过监听加以破解；此外，软件的加解密操作需耗费大量的CPU处理能力，会降低网络的吞吐性能和设备的处理能力。

发明内容

本发明的目的在于提供一种基于ISG安全密码技术的工业以太网交换方法，该方法可使工业以太网通信网络成为一个数据交换网保护，保护工业以太网数据环网上所有的点仅和中心构成唯一的通讯，与环上其它点完全物理隔离，避免信号窃取。

为实现上述目的，本发明采用了以下技术方案：

一种基于ISG安全密码技术的工业以太网交换方法，其特征在于，包括以下步骤：

（1）确定以太网交换机在虚拟局域网中的至少一个网络侧端口和至少两个用户侧端口；

（2）建立报文过滤表，根据所述报文过滤表对所述交换机接收的报文进行端口过滤；

（3）将过滤后的报文进行加密认证，将加密认证后的报文定向转发到网络侧端口中，从网络侧端口到用户侧端口的特定协议报文通过交换芯片发送到相应的用户侧端口。

步骤（3）中所述加密认证包括以下步骤：

A：当交换机发现有新的主机与其网络接口相连时，发送自定义报文给主机，请求其提供加密网卡的序列号；

B：主机通过网卡控制芯片与加密网卡上的带有SHA-1的EEPROM存储器通信，读取加密网卡的序列号发送给加密交换机；

C：加密交换机上的SHA-1协处理器生成随机数和质询报文发送给主机，并根据所述随机数、加密网卡的序列号和密钥生成验证消息认证码；

E：根据收到的随机数、加密网卡的序列号和密钥生成消息认证码；

F：主机将加密网卡生成的消息认证码封装到响应报文中发送给加密交换机；交换机将其生成的验证消息认证码与主机发送的消息认证码相比较，若二者一致，则为主机提供网络交换服务，否则将与主机相连的端口关闭。

进一步的，所述报文过滤表包括交换机入端口所属的虚拟局域网标识和用户信息。

由上述技术方案可知，本发明所述的基于ISG安全密码技术的工业以太网交换方法，该方法可使工业以太网通信网络成为一个数据交换网保护，保护工业以太网数据环网上所有的点仅和中心构成唯一的通讯，与环上其它点完全物理隔离，避免信号窃取。同时也有效的解决了在以太网交换机构成的局域网中接入用户的相互干扰问题，减少管理员维护管理工作量。

附图说明

图1是本发明的方法流程图。

具体实施方式

下面结合附图对本发明做进一步说明：

如图1所示，本实施例的基于ISG安全密码技术的工业以太网交换方法，具体包括以下步骤：

S1：确定以太网交换机在虚拟局域网中的至少一个网络侧端口和至少两个用户侧端口；

S2：建立报文过滤表，根据所述报文过滤表对所述交换机接收的报文进行端口过滤；该报文过滤表包括交换机入端口所属的虚拟局域网标识和用户信息。