[发明专利]一种基于VXLAN技术的电力信息内网报文加密发布方法

权利要求书

1.一种基于VXLAN技术的电力信息内网报文加密发布方法，其特征在于：该方法可用于电力系统信息内网报文加密发布，具体步骤包括：VXLAN路由器将接收到的服务器广播、组播、IP报文进行VXLAN封装，通过纵向加密设备建立的隧道进行报文加密远方传输，再通过对端网关VXLAN路由器对数据报文进行VXLAN解封装，VXLAN解封装后的数据报文进行二层网络转发，在本地的二层组播组表中查找到与组播数据报文的目的IP地址和目的MAC地址匹配的二层组播组表项，最后在工作站上接收到广播、组播和IP报文；

底层物理网络边缘设备路由器需支持Overlay技术特性，通过隧道的方式在底层物理网络上形成Overlay网络；通过VXLAN网络的网络标示的不同可以把不同的业务封装在不同的VXLAN层面中，每一个VXLAN层面的业务在一个大二层中；VXLAN之间的互通在设备上部署策略实现，从而保证各个VXLAN网络的互通与隔离；VXLAN大二层平面形成后相应业务实现大二层互通；

所述的纵向加密设备具备三级密钥管理：主密钥、设备公私钥和工作密钥，通过本地和远方的纵向加密互换双方的密钥，以RSA或SM2算法加密传送实时产生的工作密钥，生成密钥同步的双方首先相互验证身份，当密钥匹配后，隧道建立成功，再配置需求的IP包过滤策略，实现报文的密文通信；

纵向加密配置参数有源端IP地址、端口号、目的端IP地址、端口号以及传输报文的方向和类型，建立隧道的参数有两台纵密的证书文件和纵密IP地址；根据配置的私网VTEP地址的对应关系，选择合适的IP地址作为纵向加密装置地址，为两台纵向加密建立独立隧道；

具体实现步骤包括：

S1. 自动化服务器发出广播、组播、IP报文包，经过VXLAN路由器对全部信息体报文进行封装，规划一个VXLAN报文的IP地址；

S2. 两台纵向加密装置的eth1口经过通信长距离光纤相连，两台纵向加密装置的eth0口分别与服务器端和工作站端路由器相连接；

S3. 使用初始化账户登录纵向加密装置，导出设备的证书请求文件；

S4. 对纵向加密设备导入证书系统的根证书；

S5. 通过调度数字证书系统对两台纵向加密装置签发设备证书和操作员证书；

S6. 使用操作员钥匙和设置的操作员密码登录纵向加密装置；

S7.纵向加密通过网络方式管理，在服务器端 VLAN域中配置eth1口与对应相连的目的端VLAN域配置的eth1口同网段的IP地址；

S8.将两台纵向加密装置的VLAN eth1口地址作为本装置的设备协商地址；

S9.在服务器端纵向加密导入目的端纵向加密的设备证书；

S10.在目的端纵向加密导入服务器端纵向加密的设备证书；

S11.两台纵向加密设备向对端建立传输隧道，隧道原IP地址设为服务器端纵向加密eth1口IP地址，隧道目的IP地址设为目的端纵向加密eth1口IP地址；

S12.建立隧道的通讯模式选为加密模式；

S13.然后在已建立的隧道上添加策略，选择源IP业务起始地址和结束地址均为服务器侧路由器规划好的VXLAN报文IP地址，目的IP业务起始地址和结束地址均为目的侧路由器规划好的VXLAN报文IP地址，使得满足配置的“最小化”原则；

S14.配置允许通过的协议为TCP协议，服务器侧源端口范围为1024-65535，目的侧端口范围也为1024-65535；

S15.为满足自动化人员调试远方工作站方便，需再冗余配置一条策略作为调试使用，源IP地址和目的IP地址与上条策略一致，服务器侧源端口范围为1024-65535，目的侧端口为23，表示仅允许来自服务器侧设备对远方工作站的SSH登录访问功能开放；

S16.纵向加密装置功能生效的过程首先由一台纵向加密装置向对端的纵向加密装置IP地址发出协商请求，请求文件中包括对称加密密钥信息；

S17.对端纵向加密装置接收到协商请求，核实请求文件中设备证书与本端证书是否一致，若一致，则发送协商确认报文，表示已商定双方通信加密密钥，该密钥会在使用一段时间后自动重新协商改变；

S18.协商的会话密钥为DES对称算法，纵向加密设备证书为SM2算法；

S19.经过两台纵向加密装置隧道的加密和解密过程，在目的端路由处接收到带有VXLAN封装的IP报文，再进行解封装，得到原始的广播、组播和IP报文；

S20.目的端远程工作站即可接收到服务器端的所有类型报文数据；

所述VTEP在所有VXLAN隧道上通过IS-IS协议将本地存在的VXLAN的ID通告给远端VTEP，远端VTEP将其与本地的VXLAN进行比较，如果存在相同的VXLAN，则将该VXLAN与接收该信息的VXLAN隧道关联;

从所述VXLAN识别报文所属VXLAN，VTEP将连接本地站点的三层接口或与VSI关联，VTEP从三层接口接收到数据帧后，查找与其关联的VSI，VSI内创建的VXLAN即为该数据帧所属的VXLAN;

从所述VXLAN隧道上接收VXLAN报文，VTEP根据报文中携带的VXLAN的VNI判断该报文所属的VXLAN;

从所述VTEP对本地服务器的MAC地址学习，VTEP接收到服务器发送的数据帧后，判断该数据帧所属的VSI，并将数据帧中的源MAC地址添加到该VSI的MAC地址表中，该MAC地址对应的接口为接收到数据帧的接口;

所述VTEP对远端站点内虚拟机MAC地址的学习，远端MAC地址的学习方式有如下几种：手工指定远端MAC地址所属的VSI，及其对应的VXLAN隧道接口；通过报文中的源MAC地址动态学习：VTEP从VXLAN隧道上接收到远端VTEP发送的VXLAN报文后，根据VXLANID判断报文所属的VXLAN，对报文进行解封装，还原二层数据帧，并将数据帧中的源MAC地址添加到所属VXLAN对应VSI的MAC地址表中，该MAC地址对应的接口为VXLAN隧道接口;

所述VTEP从VXLAN隧道上接收到远端VTEP发送的VXLAN报文后，根据VXLAN的VNI判断报文所属的VXLAN，对报文进行解封装，还原二层数据帧，并将数据帧中的源MAC地址添加到所属VXLAN对应VSI的MAC地址表中，该MAC地址对应的接口为VXLAN隧道接口。