[发明专利]一种以太网通信安全保护的方法

摘要

本发明属于以太网通信安全相关领域，具体涉及一种以太网通信安全保护的方法，其采用以太网封装格式(RFC894)的以太网帧承载上层数据，在帧净荷与FCS之间增加了安全保护标识，包括序号、时间戳、告警回传、安全校验四个字段，对通信中存在的数据破坏、数据伪装、重传、丢失、乱序、延时等安全风险进行检测、告警和屏蔽，并且将故障信息通过带内进行告警回传。本发明的安全通信模块位于数据链路层，加密后的以太网安全报文可以正常被网络中的交换机和路由器等网络设备进行交换和转发。本发明可以确保通信数据的实时性、完整性和安全性。

主权项

1.一种以太网通信安全保护的方法，其特征在于，该以太网通信安全保护的方法基于安全通信系统来实施，所述安全通信系统包括发送序号累加器、发送时间戳模块、安全校验计算器、序号检测器、延时检测器、安全校验检测器、故障告警器、以太网发送控制器、以太网接收控制器；其中，所述发送序号累加器用于对每个待发送的数据帧进行编号，生成序号字段，32位循环计数，用来标识数据帧发送的顺序；所述发送时间戳模块用于记录发送以太网数据帧的32位时间戳字段；所述安全校验计算器用于通过32位安全密钥与发送序号累加器输出的32位序号字段、发送时间戳模块输出的32位时间戳字段和故障告警器输出的32位告警回传字段进行CRC32计算，得到32位的安全校验字段；所述以太网发送控制器用于按以太网封装格式进行组帧，读取上层数据发送缓存部件构成以太网帧的净荷原始有效数据，然后加入由序号字段、时间戳字段、告警回传字段和安全校验字段构成的16个字节的安全通信标识，最后加上以太网的FCS，完成以太网组帧；所述以太网接收控制器用于接收、校验和解析以太网帧，从以太网帧净荷中剥离净荷尾部16个字节的安全通信标识，还原上层原始有效数据；所述序号检测器用于提取序号字段并与本地存储的期望序号进行比较，当序号相同，帧序检测成功；或者当接收序号比期望序号大，序号检测失败，出现丢失故障；或者当接收序号比期望序号小1，序号检测失败，出现重复故障；否则，序号检测失败，出现乱序故障；所述延时检测器用于提取时间戳字段，将本地的同步时间减去发送时间戳得到帧传输延时，如果大于延时允许的最大值，出现延时故障；所述安全校验检测器用于将安全密钥与接收到的序号字段、时间戳字段、告警回传字段进行CRC32计算，如果计算结果与接收安全校验字段不同，则输出安全校验失败；如果以太网帧的FCS校验失败，则检测到数据破坏告警；如果以太网帧的FCS校验成功，但安全校验失败，则检测到数据伪装告警；所述故障告警器用于提取告警回传字段，解析告警回传字段的内容，报告远端告警；如果当本地检测到安全校验告警，控制上层数据接收缓存丢弃对应上层有效数据，上报安全校验告警，屏蔽本地检测到的其它告警，并通过告警返回功能通知对端；如果本地安全校验成功，上报检测到的本地告警和远端告警，并将本地告警通过告警返回功能通知对端；其中，所述以太网通信安全保护的方法包括如下步骤：步骤S1：安全通信的发送方对每个待发送的数据帧加上帧序列号，写入安全通信标识的序号字段，用来标识数据发送的顺序；安全通信的接收方提取以太网报文安全通信标识中的序号字段，通过序号检测器检测通信过程中的数据丢失、重复、丢失和乱序故障；步骤S2：安全通信的发送方对每个待发送的数据帧加上发送时间戳，写入安全通信标识的时间戳字段，用于标识数据发送的时刻；安全通信的接收方通过时间同步协议建立时间同步，提取以太网报文安全通信标识中的时间戳字段，用于检测通信延时，判断其时间的有效性；步骤S3：安全通信的发送方对每个发送的数据帧加上本地告警，写入安全通信标识的告警回传字段，用于将本地检测到的通信故障回传给对端；安全通信的接收方提取以太网报文安全通信标识中的告警回传字段，用于检测对端接收的通信故障与告警信息；步骤S4：安全通信的发送方对上述的序号字段、时间戳字段和告警回传字段，与安全密钥进行CRC校验，将校验结果写入安全通信标识的安全校验字段，其中安全密钥本身不参与通信；安全通信的接收方提取以太网报文的安全通信标识，对其序号字段、时间戳字段和告警回传字段，与安全密钥进行CRC计算，与接收到的安全通信标识中携带的安全校验字段进行比较，用于检测通信的数据破坏、数据伪装故障；步骤S5：安全通信的发送方将上述的序号、时间戳、告警回传和安全校验字段组成安全通信标识，插入在以太网帧净荷的尾部，送入以太网发送控制器，计算FCS，构成以太网帧进行通信传输；安全通信的接收方从以太网接收控制器解析到以太网帧，提取位于以太网帧净荷尾部的安全通信标识，屏蔽检测到有安全风险的报文，并进行告警上报和告警回传。