一种广域网数据旁路加密传输方法、设备及介质与流程

本发明涉及轨交信号业务系统数据传输领域，尤其是涉及一种广域网数据旁路加密传输方法、设备及介质。

背景技术：

1、图1为轨交行业信息系统常用的业务场景，即处于不同站点的业务终端通过交换机/路由器与中心侧服务器/终端互联。未设置加密网关场景下，站点终端与中心服务器之间数据传输均采用明文传输，无加密措施。业务系统服务器与终端之间采用ip地址和端口号识别，未进行身份认证。传输平台一般不具备传输加密服务，重要业务系统数据传输过程面临的安全风险日益突出。等级保护基本要求和密码法中明确要求要确保数据在传输过程中的完整性和保密性。如何有效保护轨交行业信号系统网络数据传输安全，防止数据泄漏、截取和篡改对系统造成重大影响，加强信号系统数据保护成为亟待解决的问题。

2、为解决信息系统传输安全问题，可在物理层、数据链路层、网络层、传输层、应用层实现数据传输加密。物理层可使用非通用波段光模块方式，使得物理层无法通过通用光波仪器来获取数据。数据链路层可使用两侧固定密钥加密或传输平台板卡加密，使得两端传输链路是加密通信。网络层/传输层可通过vpn技术实现数据传输加密，应用层可通过调用加密中间件或加密板卡来实现数据传输加密。

3、上述几种方案各有特点，以下进行简单描述。物理层采用非通用波段光模块会引起成本显著增加且不符合设备通用替代理念。物理层采用非通用波段光模块要求数据通信双方的底层通信链路全部进行改造，成本较高。数据链路层通过数通设备或传输板卡使用固定密钥数据加密，具备一定程度上安全要求，但不满足密评要求。网络层/传输层使用vpn技术需要将设备串联部署在业务系统。串联部署在网络内部部署模式一方面会增加网络通信风险，一旦发生设备或链路故障，会导致业务系统不能正常工作。应用层可通过加密中间件方式或加密板卡实现数据传输加密，但当加密中间件或加密板卡故障时，需要重新协商两端通信是否加密，存在业务系统程序改造和通信协商时延、通信密钥和身份认证问题，对业务系统改造较大、程序员能力要求较高。综上，上述几种解决方法在不同的层级对数据进行传输加密时，均不能很好的解决传输加密设备故障或链路故障场景。

4、cn114465848a公开了一种基于密文的数据传输方法及其系统，方法包括：终端根据vpn客户端以及vpn网关的相关信息确定终端和服务器之间是否进行密文通信；通过所述vpn客户端以及vpn网关在所述终端和服务器之间进行密文通信，能够同时满足铁路行业信息系统的可靠性和数据传输安全的需求，使得网络中处于不同位置不同vlan的多台终端均可以与服务器实现加密通信，适用于铁路信息系统常用的业务场景。该方法的vpn终端侧虽然有身份认证机制，但需要手工断开vpn客户端软件才可进行正常明文通信，并且如需要再次启用密文通信，则需要在终端侧再次手动点击连接按钮才可以实现密文通信，无法实现自动切换。

技术实现思路

1、本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种广域网数据旁路加密传输方法、设备及介质，在不影响原有业务系统的前提下，通过在业务系统旁挂加密网关方式实现业务系统旁路加密传输机制，有效加强数据传输加密安全性，并在各站点设备或链路故障时，自动选择数据传输是否使用加密机制，不影响原有业务系统数据传输，既提高了传输过程中数据的保密性、完整性和安全性，又不影响到业务系统的可用性。

2、本发明的目的可以通过以下技术方案来实现：

3、根据本发明的第一方面，提供了一种适用于轨道交通信号业务系统的广域网数据旁路加密传输方法，该方法包括以下步骤：

4、s1、在通信端点旁路并联部署加密网关；

5、s2、正常传输过程中，建立加密网关之间的互联加密隧道，各通信端点间优先选择从加密网关的加密隧道进行加密通信；

6、s3、当某一侧加密网关故障或链路故障时，与该故障加密网关进行通信的各通信端点间基于自动旁路机制切换到明文传输，优先选择相应的路由器进行端到端数据非加密通信；不与该故障加密网关进行通信的其他通信端点间仍优先选择从加密网关的加密隧道进行加密通信。

7、作为优选的技术方案，所述的广域网数据旁路加密传输方法适用于hub-spoke/full-mesh模型场景的数据通信加密。

8、作为优选的技术方案，所述的步骤s2包括以下步骤：

9、s21、一阶段加密隧道建立：两端通信端点的加密网关进行身份认证，生成一阶段加密密钥，为二阶段加密数据传输建立安全通道；

10、s22、二阶段加密数据传输：两端通信端点通过安全通道交互加密套件、交换密钥材料，生成二阶段加密密钥，形成加密隧道，实现两端加密通信。

11、作为优选的技术方案，所述的步骤s21具体为：两端通信端点的加密网关通过协商加密算法、认证算法、封装模式、dh组标识、交换数字证书进行身份认证，使用dh算法交换密钥材料后，双方各自生成一阶段加密密钥，基于一阶段加密密钥建立安全通道。

12、作为优选的技术方案，所述的步骤s22具体为：两端通信端点的加密网关通过一阶段建立的安全通道交互ipsec安全参数、密钥材料，双方各自生成基于国密sm4的二阶段ipsec加密密钥，形成动态多点加密隧道模型，实现两端加密通信。

13、作为优选的技术方案，所述的一阶段加密密钥和二阶段加密密钥周期性自动生成。

14、作为优选的技术方案，所述的通信端点包括hub站点和多个spoke站点，hub站点和spoke站点之间存在数据通信需求，spoke站点和spoke站点之间存在数据通信需求。

15、作为优选的技术方案，所述的步骤s3中，在hub侧加密网关故障或链路故障场景下，hub-spoke站点和spoke-spoke站点之间数据流量基于自动旁路机制切换到明文传输，选择相应的路由器进行端到端数据非加密通信，实现两端主机之间数据通信。

16、作为优选的技术方案，所述的步骤s3中，在spoke侧加密网关故障或链路故障场景下，与该故障的spoke站点直接进行通信的hub-spoke站点和spoke-spoke站点基于自动旁路机制切换到明文传输，选择相应的路由器进行端到端数据非加密通信；不直接与该故障加密网关进行通信的hub-spoke站点和spoke-spoke站点优先选择从加密网关的加密隧道进行加密通信。

17、作为优选的技术方案，所述的步骤s3中，当故障的加密网关或链路恢复后，通信加密网关之间互联加密隧道自动恢复，两端通信端点恢复使用加密隧道进行数据加密通信。

18、本技术方案在不影响原有业务系统的前提下，通过在业务系统旁挂加密网关方式实现业务系统旁路加密传输机制。使用数字证书实现身份认证，降低通信双方可能存在的身份认证问题。加密密钥使用国密算法，加强了数据传输过程中的保密性。密钥自动协商、更新机制则解决了密钥时效性问题，有效加强数据传输加密安全性，杜绝数据在传输过程中的泄漏、篡改。各站点设备或链路故障时，可自动选择数据传输是否使用加密机制，不影响原有业务系统数据传输，既提高了传输过程中数据的保密性、完整性和安全性，又不影响到业务系统的可用性。

19、根据本发明的第二方面，提供了一种电子设备，包括存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现所述的方法。

20、根据本发明的第三方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现所述的方法。

21、与现有技术相比，本发明具有以下有益效果：

22、(1)灵活性强，通过在业务系统旁挂加密网关方式实现旁路加密传输，可适用于私有网络加密传输，能适应加密传输和非加密传输同时存在场景；

23、(2)鲁棒性好，各站点加密网关或链路故障时，可自动选择数据传输是否使用加密机制，不影响原有业务系统数据传输，既提高了传输过程中数据的保密性、完整性和安全性，又不影响到业务系统的可用性；当加密网关故障或链路故障恢复时，可从非加密通信状态自动恢复到加密通信状态，无需人为干预；

24、(3)安全性优，加密网关之间使用数字证书进行身份认证，加密网关一阶段协商使用sm3进行数据散列，二阶段密钥使用sm4对称密钥，提高了加密隧道可靠性；

25、(4)时效性好，基于国密的密钥动态更新机制，解决了密钥时效性问题，增加外界的恶意破译的难度，有效加强数据传输加密安全性；

26、(5)兼容性强，既有系统如需实现传输过程加密，通过本方法可逐站设置加密网关，平滑演进至最终目标方案。