一种FC网络中的安全网关实现方法与流程

本发明属于计算机通信，具体涉及一种fc网络中的安全网关实现方法。

背景技术：

1、随着航电技术的发展，机载网络间的信息交互越来频繁，fc网络是目前机间服务进行信息交互的网络。传统的fc网络主要面向数据传输通信，当fc网络节点进行通信时，通信双方无法确认彼此身份，且数据包传输过程中，未做安全防护处理，易被攻击者窃取篡改，被篡改的恶意数据包可能会破坏节点，从而造成整个fc网络处于不安全状态。

技术实现思路

1、发明目的：传统的fc通信节点无法完成身份认证，容易受到身份假冒攻击、中间人攻击、重放攻击等攻击方式，且在数据传输过程未采取保护措施，传输数据易被攻击者窃取，篡改，这些攻击可以使得整个fc网络处于不安全状态。ipsec技术是目前常用的身份认证以及信息安全传输技术，但是由于以太网与fc通信网络之间的协议的不同，无法直接应用于fc网络中，为解决以上问题，需要提出一种fc网络中的安全网关实现方法。

2、技术方案：

3、一种fc网络中的安全网关实现方法，当节点a的服务s1需要向节点b服务q2进行通信时，所述方法包括:

4、步骤一：服务s1调用节点a内的安全网关接口向节点b内安全网关发送认证请求；

5、步骤二：节点a与节点b的安全网关进行身份认证，并根据身份信息协商出通信相关的安全策略，节点a和节点b的安全网关均保存安全策略；

6、步骤三：在双方完成身份认证，并协商出通信相关安全策略的情况下，s1发送原始ip包到节点a的安全网关；

7、步骤四：节点a的安全网关根据保存的安全策略对原始ip包完成ipsec封装，成为安全数据包；

8、步骤五：节点a的安全网关将安全数据包转换为与fc网络中的fc-2层对应的fc数据包并发送给节点b的安全网关；

9、步骤六：节点b的安全网关接收到fc数据包后，将fc数据包转换成安全数据包；

10、步骤七：节点b的安全网关根据保存的安全策略完成对安全数据包的解封装；

11、步骤八：节点b的安全网关将解封装后的原始ip包转发给服务q2。

12、进一步地，步骤二中，节点a与节点b的安全网关进行身份认证，具体包括：

13、节点a安全网关发送节点a数字证书，以及根据节点a的数字证书产生的签名信息给节点b安全网关；

14、节点b安全网关收到信息后，利用节点a的数字证书对签名信息进行验签操作，根据验签结果确定节点a身份的合法性；

15、a身份合法性验证通过后，节点b网关发送节点b的数字证书及签名信息给节点a网关；

16、节点a安全网关收到信息后，利用节点b的数字证书对签名信息进行验签操作，根据验签结果确定节点b身份的合法性；

17、其中，节点a与节点b网关使用的数字证书皆由ca节点生成并预置在各自的安全网关。

18、进一步地，步骤二中，根据身份信息协商出通信相关的安全策略，具体包括：

19、密钥交换：身份认证成功后，节点a网关产生随机数n1，并使用节点b网关数字证书中的公钥对随机数加密发送到节点b安全网关；节点b安全网关收到后产生随机数n2，并用节点a网关数字证书中公钥加密，发送给节点a网关，两个网关均获得随机数n1和随机数n2后，利用密钥协商算法协商出会话密钥；

20、安全策略协商：节点a发送自己使用的安全策略及随机数n3给节点b安全网关，安全策略包括接下来ipsec封装使用的加密算法、认证算法、密钥协商算法、密钥长度；节点b安全网关收到节点a的安全策略与自身安全网关保存的安全策略进行匹配，在存在共同的安全策略的情况下，节点b安全网关将共同的安全策略及随机数n4发送给节点a安全网关；其中，安全策略在协商过程中均通过会话密钥加密保护。

21、进一步地，在获得共同的安全策略后，所述方法还包括：根据随机数n3和随机数n4协商出加密密钥及认证密钥。

22、进一步地，步骤四，具体包括：

23、步骤4-1：安全策略的选择：将对端网关的ip地址与保存的安全策略形成映射，首先根据映射获得安全策略，并判断安全策略是否过期，若安全策略过期，则丢弃并重新开始身份认证，若未过期，则使用该安全策略；

24、步骤4-2：数据包加密：采用安全策略中的加密算法及协商出的加密密钥对原始ip包进行加密处理，将原始ip包整体进行加密得到加密数据包；

25、步骤4-3：认证数据生成：采用安全策略中的认证算法及协商出的认证密钥生成数据包认证信息，产生hmac数据填充到加密数据包末尾得到认证数据包；

26、步骤4-4：安全数据包产生：根据原始ip包的信息以及认证数据包的信息产生安全数据包的包头，安全数据包的载荷由认证数据包组成。

27、进一步地，步骤五，具体包括：

28、用ip over fc技术进行转换：首先节点a根据安全数据包的ip地址查找表获得目的端ip地址对应的转发端口，若不存在该映射，则由安全网关向fc网络发送fc_arp请求，获得表项后更新网关映射表，并根据获得的port_id完成fc数据包封装，在封装时将整个安全数据包作为fc数据包的载荷。

29、进一步地，步骤六，具体包括：

30、对fc-2层数据包进行拆包处理，摘除数据包包头，获得安全数据包信息。

31、进一步地，步骤七，具体包括：

32、步骤7-1：安全策略选择：根据发送方的ip地址选择对应的安全策略信息；

33、步骤7-2：数据包完整性校验：去除安全数据包的包头得到认证数据包；去除认证数据包中的hmac数据得到加密数据包；根据安全策略中的认证算法生成加密数据包的hmac值与认证数据包hmac值进行对比，若不相同，直接丢弃该数据包，相同转步骤7-3；

34、步骤7-3：利用安全策略中包含的密钥对加密数据包进行解密操作，获得原始ip包。

35、有益技术效果：

36、本发明针对多嵌入式节点通过fc网络进行通信时面临的信息安全问题，通过基于ipsec技术实现代理网关的方法实现节点和节点之间数据的安全通信，提高了fc网络的安全性。

技术特征：

1.一种fc网络中的安全网关实现方法，其特征在于，当节点a的服务s1需要向节点b服务q2进行通信时，所述方法包括:

2.根据权利要求1所述的fc网络中的安全网关实现方法，其特征在于，步骤二中，节点a与节点b的安全网关进行身份认证，具体包括：

3.根据权利要求1所述的fc网络中的安全网关实现方法，其特征在于，步骤二中，根据身份信息协商出通信相关的安全策略，具体包括：

4.根据权利要求3所述的fc网络中的安全网关实现方法，其特征在于，在获得共同的安全策略后，所述方法还包括：根据随机数n3和随机数n4协商出加密密钥及认证密钥。

5.根据权利要求3所述的fc网络中的安全网关实现方法，其特征在于，步骤四，具体包括：

6.根据权利要求5所述的fc网络中的安全网关实现方法，其特征在于，步骤五，具体包括：

7.根据权利要求3所述的fc网络中的安全网关实现方法，其特征在于，步骤六，具体包括：

8.根据权利要求3所述的fc网络中的安全网关实现方法，其特征在于，步骤七，具体包括：

技术总结
本发明属于计算机通信技术领域，具体涉及一种FC网络中的安全网关实现方法。方法包括：服务S1向节点B内安全网关发送认证请求；节点A与节点B的安全网关进行身份认证，并根据身份信息协商出通信相关的安全策略，在双方完成身份认证，并协商出通信相关安全策略的情况下，S1发送原始IP包到节点A的安全网关；节点A的安全网关根据保存的安全策略对原始IP包完成ipsec封装，成为安全数据包；节点A的安全网关将安全数据包转换为与FC网络中的FC‑2层对应的FC数据包并发送给节点B的安全网关；节点B的安全网关将接收的FC数据包转换成安全数据包；节点B的安全网关根据保存的安全策略完成对安全数据包的解封装并将解封装后的原始IP包转发给服务Q2。

技术研发人员：刘镡稚,王中华,尉嘉维,何旺宇,王斌,谢建春
受保护的技术使用者：中国航空工业集团公司西安航空计算技术研究所
技术研发日：
技术公布日：2024/1/13