一种交换机安全代理通信方法及系统技术方案

本发明专利技术公开了一种交换机安全代理通信方法及系统，方法包括：在客户端与服务端之间设置安全代理通信转换模块；安全代理通信转换模块包括客户端安全代理通信转换模块、服务端安全代理通信转换模块；客户端安全代理通信转换模块与客户端之间建立TCP连接，服务端安全代理通信转换模块与服务端之间建立TCP连接，客户端安全代理通信转换模块与所述服务端安全代理通信转换模块之间建立安全通道SSL TCP连接。该方法在原有的访问模式下，保持交换机所有的通信协议应用（HTTP、Telnet、SNMP、IEC61850、FTP/TFTP）不变，通过该方法将非安全通道转换为安全通道即可实现交换机的安全访问与管理。

A Secure Agent Communication Method and System for Switches

The invention discloses a secure proxy communication method and system for a switch, which includes: setting up a secure proxy communication conversion module between the client and the server; a secure proxy communication conversion module includes a client secure proxy communication conversion module and a server secure proxy communication conversion module; and establishing a TCP connection between the client secure proxy communication conversion module and the client. A TCP connection is established between the security proxy communication conversion module at the server end and the security channel SSL TCP connection is established between the client security proxy communication conversion module and the security proxy communication conversion module at the server end. This method keeps all communication protocol applications (HTTP, Telnet, SNMP, IEC61850, FTP/TFTP) unchanged in the original access mode. By this method, the secure access and management of switches can be realized by converting the non-secure channel into the secure channel.

【技术实现步骤摘要】
一种交换机安全代理通信方法及系统
本专利技术属于交换机
，具体涉及一种交换机安全代理通信方法及系统。
技术介绍
由于计算机和网络技术在电力系统中更为广泛的应用，信息技术的负面影响也开始波及到电力系统，国内外电力系统通信网络中也发现了黑客活动的踪迹。与此同时，电力工业市场化改革使得具备潜在攻击能力和知识的内部用户大大增加，内部攻击威胁不容忽视。如何有效保障电力系统及其网络的信息安全已成为一项非常紧迫的任务。交换机作为智能变站站的必备通信设备，同样需要考虑其安全访问与管理，目前变电站交换机均为管理型，一般通过HTTP、Telnet、SNMP、IEC61850等通信协议进行远程管理，以及通过FTP/TFTP进行文件传输。这些通信协议均为明文传输，没有任何安全防护措施。安全措施包括身份认证、机密性和完整性。虽然目前有相关安全通信协议HTTPS、SSH、SFTP能替换HTTP、Telnet、FTP，但是目前仍存在较多的公有(SNMP、IEC61850)或私有通信协议不支持SSL安全通信，将之前的非安全通信协议替换也存在一定的开发难度。
技术实现思路
目的：为了克服现有技术中存在的不足，本专利技术提供一种交换机安全代理通信方法及系统。技术方案：为解决上述技术问题，本专利技术采用的技术方案为：一种交换机安全代理通信方法，包括：在客户端与服务端之间设置安全代理通信转换模块；所述安全代理通信转换模块包括客户端安全代理通信转换模块、服务端安全代理通信转换模块；所述客户端安全代理通信转换模块与客户端之间建立TCP连接，所述服务端安全代理通信转换模块与服务端之间建立TCP连接，所述客户端安全代理通信转换模块与所述服务端安全代理通信转换模块之间建立安全通道SSLTCP连接。所述的交换机安全代理通信方法，所述客户端安全代理通信转换模块用于：接收客户端发送的连接请求，判断本次连接请求为TCP连接，将TCP连接转换成SSLTCP连接，并发送至服务端安全代理通信转换模块；接收数据信息，判断本次数据信息是TCP数据，将TCP数据通过SSLTCP连接发送至服务端安全代理通信转换模块，实现数据安全传输；接收数据信息，判断本次数据信息是SSLTCP数据，将SSLTCP数据通过TCP连接发送至客户端。所述的交换机安全代理通信方法，所述服务端安全代理通信转换模块用于：接收客户端安全代理通信转换模块发送的连接请求，判断本次连接请求为SSLTCP连接，将SSLTCP连接转换成TCP连接，并发送至服务端，建立起服务端与客户端之间的安全连接；接收数据信息，判断本次数据信息为SSLTCP数据，将SSLTCP数据通过TCP连接发送至服务端；接收数据信息，判断本次数据信息为TCP数据，将TCP数据通过SSLTCP连接发送至客户端安全代理通信转换模块。进一步的，所述服务端安全代理通信转换模块与服务端运行于同一台交换机设备。所述客户端安全代理通信转换模块与客户端运行于同一台PC。本专利技术中，TCP连接上建立的SSL安全通信，是使用openssl库提供的API在TCP通信的基础上实现，其中涉及双方身份认证、协商加密算法、交换加密密钥等，因此之后的数据通信安全得以保证。所述客户端安全代理通信转换模块与所述服务端安全代理通信转换模块，使用基于SSL/TLS（安全套接字层/安全传输层协议）安全协议的openssl库开发，包括通信安全以及SSLTCP与TCP之间的转换两大功能，该模块独立于交换机中IEC61850等一系列通信协议应用，适用于任何有安全通信需求的应用。以IEC61850通信协议应用为例，其他应用类似。当IEC61850客户端（IEDScout）发起TCP连接时，该连接请求并非直接发送至IEC61850服务端，而是发送至安全代理通信转换模块，再由安全代理通信转换模块发送至IEC61850服务端，当连接会话建立后，IEC61850客户端与服务端的数据请求与回应会通过该安全会话进行传输，实现IEC61850的通信安全。具体在交换机应用中，当IEC61850客户端（IEDScout）发起TCP连接时，该TCP连接会被客户端安全代理通信转换模块转化成SSLTCP连接，连接的目标是交换机中运行的服务端安全代理通信转换模块，当交换机中的服务端安全代理通信转换模块探测到SSLTCP连接时会将该SSLTCP连接转化成普通的TCP连接，连接的目标是交换机中的IEC61850服务端。当整个连接建立完成后，IEC61850客户端与服务端之间的通信是基于标准SSL协议的安全通信。根据本专利技术的另一方面，提供了一种交换机安全代理通信系统，包括：客户端、服务端、安全代理通信转换模块；所述安全代理通信转换模块包括客户端安全代理通信转换模块、服务端安全代理通信转换模块；所述客户端安全代理通信转换模块与客户端之间建立TCP连接，所述服务端安全代理通信转换模块与服务端之间建立TCP连接，所述客户端安全代理通信转换模块与所述服务端安全代理通信转换模块之间建立安全通道SSLTCP连接。所述的交换机安全代理通信系统，所述客户端安全代理通信转换模块用于：接收客户端发送的连接请求，判断本次连接请求为TCP连接，将TCP连接转换成SSLTCP连接，并发送至服务端安全代理通信转换模块；接收数据信息，判断本次数据信息是TCP数据，将TCP数据通过SSLTCP连接发送至服务端安全代理通信转换模块，实现数据安全传输；接收数据信息，判断本次数据信息是SSLTCP数据，将SSLTCP数据通过TCP连接发送至客户端。所述的交换机安全代理通信系统，所述服务端安全代理通信转换模块用于：接收客户端安全代理通信转换模块发送的连接请求，判断本次连接请求为SSLTCP连接，将SSLTCP连接转换成TCP连接，并发送至服务端，建立起服务端与客户端之间的安全连接；接收数据信息，判断本次数据信息为SSLTCP数据，将SSLTCP数据通过TCP连接发送至服务端；接收数据信息，判断本次数据信息为TCP数据，将TCP数据通过SSLTCP连接发送至客户端安全代理通信转换模块。所述的交换机安全代理通信系统，所述服务端安全代理通信转换模块与服务端运行于同一台交换机设备。所述的交换机安全代理通信系统，所述客户端安全代理通信转换模块与客户端运行于同一台PC。有益效果：本专利技术提供的交换机安全代理通信方法及系统，针对智能变电站交换机进行远程管理的各通信协议应用，结合SSL安全标准，设计出一个相对独立、通用、易于实现的安全代理通信转换方法，使得针对交换机的远程管理均能实现安全通信。将成熟的openssl库与代理通信技术相结合，设计出安全代理通信转换方法。该方法在原有的访问模式下，保持交换机所有的通信协议应用（HTTP、Telnet、SNMP、IEC61850、FTP/TFTP）不变，通过该方法将非安全通道转换为安全通道即可实现交换机的安全访问与管理。附图说明图1是实施例的方法及系统示意图；图2是实施例中通信协议应用与SSL结构层次图；图3是实施例中客户端安全代理通信转换模块工作流程图；图4是实施例中服务端安全代理通信转换模块工作流程图；图5是实施例的IEC61850安全通信流程图。具体实施方式下面结合附图和实施例对本专利技术作进一步描述。以下实施例仅用于更加清楚地说本文档来自技高网...

【技术保护点】
1.一种交换机安全代理通信方法，其特征在于，包括：在客户端与服务端之间设置安全代理通信转换模块；所述安全代理通信转换模块包括客户端安全代理通信转换模块、服务端安全代理通信转换模块；所述客户端安全代理通信转换模块与客户端之间建立TCP连接，所述服务端安全代理通信转换模块与服务端之间建立TCP连接，所述客户端安全代理通信转换模块与所述服务端安全代理通信转换模块之间建立安全通道SSL TCP连接。

【技术特征摘要】
1.一种交换机安全代理通信方法，其特征在于，包括：在客户端与服务端之间设置安全代理通信转换模块；所述安全代理通信转换模块包括客户端安全代理通信转换模块、服务端安全代理通信转换模块；所述客户端安全代理通信转换模块与客户端之间建立TCP连接，所述服务端安全代理通信转换模块与服务端之间建立TCP连接，所述客户端安全代理通信转换模块与所述服务端安全代理通信转换模块之间建立安全通道SSLTCP连接。2.根据权利要求1所述的交换机安全代理通信方法，其特征在于，所述客户端安全代理通信转换模块：接收客户端发送的连接请求，判断本次连接请求为TCP连接，将TCP连接转换成SSLTCP连接，并发送至服务端安全代理通信转换模块；或，接收数据信息，判断本次数据信息是TCP数据，将TCP数据通过SSLTCP连接发送至服务端安全代理通信转换模块，实现数据安全传输；或，接收数据信息，判断本次数据信息是SSLTCP数据，将SSLTCP数据通过TCP连接发送至客户端。3.根据权利要求1所述的交换机安全代理通信方法，其特征在于，所述服务端安全代理通信转换模块：接收客户端安全代理通信转换模块发送的连接请求，判断本次连接请求为SSLTCP连接，将SSLTCP连接转换成TCP连接，并发送至服务端，建立起服务端与客户端之间的安全连接；或，接收数据信息，判断本次数据信息为SSLTCP数据，将SSLTCP数据通过TCP连接发送至服务端；或，接收数据信息，判断本次数据信息为TCP数据，将TCP数据通过SSLTCP连接发送至客户端安全代理通信转换模块。4.根据权利要求1所述的交换机安全代理通信方法，其特征在于，所述服务端安全代理通信转换模块与服务端运行于同一台交换机设备。5.根据权利要求1所述的交换机安全代理通信方法，其特征在于，所述客户端安全代理通信转换模块与客户端运行于同一...

【专利技术属性】
技术研发人员：晏平仲，梁志宝，张宪军，赵谦，
申请(专利权)人：南京国电南自软件工程有限公司，
类型：发明
国别省市：江苏,32