[发明专利]一种无缝接入已有网络的加密系统和加密方法

说明书

本发明公开了一种无缝接入已有网络的加密系统和加密方法，包括由外场信息终端、普通接入交换机、普通核心交换机和普通应用服务器依次连接构建的网络拓扑，其中，外场信息终端与普通接入交换机之间串联有IP数据加密终端；IP数据加密终端至少包含与外场信息终端连接的以太网接口A、与普通接入交换机连接的以太网接口B以及电源接口，以太网接口A与以太网接口B按照硬件BYPASS设置；IP数据加密终端还设置有ARP数据自定义功能模块；普通核心交换机采用旁路串联方式连接有中心端IP数据加密装置。本发明不但在保持外场信息终端网络配置不变的情况下，可适当调整中心端网络路由，还可在IP数据加密终端出现故障时，通过断电离线方式恢复明文通信状态。

技术领域

本发明涉及IP网络传输加密技术领域，具体涉及一种无缝接入已有网络的加密系统和加密方法。

背景技术

随着嵌入式计算技术的快速发展，越来越多的外场环境部署具有边缘计算能力的信息终端，由于信息终端具备计算能力和IP网络通信能力，因此能够接受远程控制中心的管理指令并将指令的执行结果反馈至远程控制中心，如图1所示，普通接入交换机为弱三层交换机，只能进行同网段IP地址交换，不具备策略路由功能；普通核心交换机为标准三层交换机，具有策略路由功能。目前，具有边缘计算能力的诸多智能嵌入式信息终端已经在交通、能源、电力、水利、农业、治安等场景中广泛应用，是国家关键信息基础设施的重要组成部分。

随着国家网络安全体系建设的逐步深入，数量众多的外场嵌入式信息终端与远程控制中心之间的IP网络数据需要进行传输加密和身份认证，常规解决方案是在外场嵌入式信息终端串联IP数据加密终端/装置，在远程控制中心部署中心端IP数据加密装置，其中，中心端IP数据加密装置有两种拓扑部署方式，分别为如图2所示的物理串联方式以及如图3所示的旁路串联方式。一方面，传统的IPSec VPN安全网关、SSLVPN安全网关等部署方式要求变更外场嵌入式终端的网络配置信息，不利于大规模外场嵌入式终端网络的升级改造；另一方面，当新增的IP数据加密终端出现宕机情况时，即使IP数据加密终端下线也无法尽快恢复明文通信状态。上述两项技术方案均无法满足建设单位下述需求：

(1)保持外场嵌入式信息终端网络配置不变，可适当调整中心端网络路由；

(2)当IP数据加密终端出现故障时可通过断电离线方式恢复明文通信状态。

发明内容

本发明需要解决的技术问题是提供一种无缝接入已有网络的加密系统和加密方法，不但在保持外场嵌入式信息终端网络配置不变的情况下，可适当调整中心端网络路由，还可在IP数据加密终端出现故障时，通过断电离线方式恢复明文通信状态。

为解决上述技术问题，本发明所采取的技术方案如下。

一种无缝接入已有网络的加密系统，包括由外场信息终端、普通接入交换机、普通核心交换机和普通应用服务器依次连接构建的网络拓扑；所述外场信息终端具备计算能力和IP网络通信能力，其中，所述外场信息终端与普通接入交换机之间串联有工作模式为桥接模式的IP数据加密终端；IP数据加密终端至少包含与外场信息终端连接的以太网接口A、与普通接入交换机连接的以太网接口B以及电源接口三个物理接口，以太网接口A与以太网接口B按照在电源接口处于断开状态时为电路直连状态的硬件BYPASS设置；所述IP数据加密终端还设置有可自行发送虚拟IP地址给外场信息终端的ARP数据自定义功能模块；所述普通核心交换机采用旁路串联方式连接有中心端IP数据加密装置。

优选的，所述以太网接口A与外场信息终端通过RJ45千兆网线连接。

优选的，所述以太网接口B与普通接入交换机的原有网线连接。

优选的，所述IP数据加密终端和中心端IP数据加密装置上分别配置有加密策略，加密策略按照IP五元组模式配置。

优选的，所述普通核心交换机中配置有用于保证普通应用服务器与外场信息终端之间双向传送的IP数据包能进行加密保护的策略路由。