一种面向TSN轻量级的通信系统、认证及授权方法技术方案

本发明专利技术涉及计算机通信网络安全领域，公开了一种面向TSN轻量级的通信系统、认证及授权方法。包括：实现软硬件协同工作方式的硬件模块和软件模块，所述软件模块保存管理配置，配置门控制列表，完成配置时刻计算；所述硬件模块保存操作配置，完成配置切换、门控执行的操作；所述硬件模块包括中央网关模块，由主节点与TSN交换机构成，通过轻量级TSN协议与端控制器模块通信；端控制器模块，由多个从节点构成，接收所述主节点的公钥信息进行认证。本发明专利技术设计了在TSN通信基础上的认证与授权通信框架。搭建了节点身份认证与授权通信机制，并进行了流量的配置：设计了轻量级TSN通信，保证网络通信的高带宽与低消耗。信的高带宽与低消耗。信的高带宽与低消耗。

【技术实现步骤摘要】
一种面向TSN轻量级的通信系统、认证及授权方法


[0001]本专利技术涉及计算机通信网络安全领域，尤其涉及一种面向TSN轻量级的通信系统、认证及授权方法。

技术介绍

[0002]传统以太网是通过在OSI模型的第3层和第4层设置防火墙(Firewall)来避免DoS攻击并限制同时连接到网络的数量和吞吐量。此外，还有使用密码学的方式。密码学的IEEE802.1AEMAC安全(MAC
‑
Sec)提供了在固定网络中验证报文有效负载内容的规范，并指定了如何加密报文有效负载的内容来提供除报文验证之外的机密性。除了这些传统以太网安全协议外，还有安全套接字层(SSL)、传输层安全性(TLS)和数据报传输层安全性(DTLS)等协议可用于提高安全性。
[0003]TSN作为以太网数据链路层的扩展，需要对第2层进行保护，因此需要考虑流过滤和监管(这取决于如何使用不同的检测参数，如MAC地址、VLANID等)，TSN提出的802.1Qci协议(Per
‑
StreamFilteringandPolicing，PSFP)对到达网桥入端口的报文，提供流过滤和监管功能，来防止流量过载，从而提高网络安全性。
[0004]现有技术的PSFP协议主要包含：流过滤器模块(StreamFilters)、流门控模块(StreamGates)和流计量器模块(FlowMeters)，具体步骤如下：
[0005]步骤一：流过滤器模块根据其中定义的流过滤器标识符(StreamID，定义了流过滤器表的顺序)、优先级(Priority)信息，识别流量是否由流过滤器表中的过滤器控制，若匹配则通过流过滤器，若不匹配其中的流过滤器则被丢弃。进入流过滤器的数据包长度超过定义的最大服务数据单元(ServiceDataUnit，SDU)尺寸则会被丢弃。
[0006]步骤二：流量经过流过滤器模块后，进入指定的流门控，按照流门控的状态依次传输，门打开时允许帧通过，门关闭时不允许帧通过。如果帧没有在正确的时间窗口内按时发送，则在门关闭时将会被丢弃。
[0007]步骤三：流量通过流门控模块后流入流计量器模块，由流计量器模块中参数判断流量速率是否超出限额，若超出限额则根据配置决定对流量采用限流或阻断的控制方式。
[0008]现有技术中的PSFP协议类似于防火墙的机制，它可以对转发前的数据进行筛选和过滤，对特定标识的数据帧加以控制。能够有效实现对每个数据流采取过滤和控制策略，以确保输入流量符合规范，从而避免由故障或恶意攻击(如Dos攻击)引起的异常流量问题，提高了网络的可靠性。
[0009]然而仍然存在如下不足：
[0010]1、现有技术的实现机制与防火墙类似，通过检测流量的异常情况来对其进行阻断或限流操作。一旦有异常流量突破这道保护屏障，网络安全将会受到威胁。
[0011]2、每个流量都需要经过流过滤器、流门控、流计量器三层防护模块，这会产生额外的计算开销和传输延迟。

技术实现思路

[0012]有鉴于现有技术的上述缺陷，本专利技术所要解决的技术问题是：异常流量一旦通过现有防护技术的安全边界，通信安全便无法得到保障，需要在TSN通信基础上搭建认证与授权通信框架，对每个节点都进行身份认证，对节点间通信进行授权；流量通过防护模块会产生开销，认证与授权通信也会带来开销，需要尽量减少开销以及开销所带来的传输延迟。
[0013]为实现上述目的，本专利技术提供了一种面向TSN轻量级通信系统，包括实现软硬件协同工作方式的硬件模块和软件模块，所述软件模块保存管理配置，配置门控制列表，完成配置时刻计算；所述硬件模块保存操作配置，完成配置切换、门控执行的操作；所述硬件模块包括：
[0014]中央网关模块，由主节点与TSN交换机构成，通过轻量级TSN协议与端控制器模块通信；
[0015]端控制器模块，由多个从节点构成，接收所述主节点的公钥信息进行认证；
[0016]所述中央网关模块采用TSN通信中的音频
‑
视频桥接流向所述从节点广播公钥证书，采用时间触发流为所述从节点之间的通信进行授权；
[0017]所述端控制器模块采用音频
‑
视频桥接流将所述从节点的身份认证信息发送给中央网关模块，所述从节点之间通信时采用时间触发流发送通信请求给所述中央网关模块。
[0018]优选地，所述软件模块包括STM32加解密算法库、TSN交换机配置文件。
[0019]优选地，所述从节点与TSN交换机之间采用媒体独立接口和/或精简的媒体独立接口实现以太网MAC驱动PHY。
[0020]本专利技术还提供了一种通信方法，包括如下步骤：
[0021]建立主节点和从节点之间的TSN通信；
[0022]所述主节点和从节点之间进行身份认证；
[0023]所述主节点为从节点之间的通信授权；
[0024]所述从节点之间进行通信。
[0025]本专利技术还提供了一种认证通信方法，用于中央网关模块，包括如下步骤：
[0026]建立所述主节点和从节点之间的TSN通信；
[0027]将所述主节点的数字证书广播给所述从节点，完成向所述从节点发送主节点公钥；
[0028]接收所述从节点发送的加密信息；
[0029]利用所述主节点私钥解密所述从节点授权密钥，对所述从节点授权密钥进行哈希运算得到新哈希值，利用所述从节点公钥解密旧哈希值，对所述新哈希值和解密后的旧哈希值进行对比，如果一致则表明消息未被篡改，验证通过，否则停止认证通信；
[0030]验证通过后获得所述从节点授权密钥，通过所述从节点授权密钥加密确认信息，并将所述确认信息发送给各从节点。
[0031]本专利技术还提供了一种认证通信方法，用于从节点，包括如下步骤：
[0032]建立与主节点之间的TSN通信；
[0033]接收来自所述主节点数字证书后，对其进行验证：如果验证通过，表明传输内容合法可信，则利用所述主节点公钥加密所述从节点的授权密钥，并用所述从节点私钥加密所述从节点授权密钥的哈希值，然后将加密信息发送给所述中央网关模块；
[0034]接收所述中央网关模块的确认信息，利用所述从节点的授权密钥解密所述确认信息，完成所述从节点身份确认。
[0035]优选地，所述主节点的数字证书标志了通信方的身份信息，包括节点的公钥、标识符。
[0036]本专利技术还提供了一种主节点为从节点之间的授权通信方法，用于第一从节点，包括如下步骤：
[0037]利用第一从节点授权密钥对发送消息的消息流ID进行加密，然后将加密后的消息流ID发送给中央网关模块；
[0038]接收所述中央网关模块授权消息后，利用所述第一从节点授权密钥解密授权信息获取流密钥，第一从节点利用所述流密钥对要发送的消息进行加密，同时生成加密消息的HMAC值，并将HMAC值与所述加密消息一并发送给第二从节点。
[0039]本专利技术还提供了一种主节点为从节点之间的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向TSN轻量级通信系统，其特征在于，包括：实现软硬件协同工作方式的硬件模块和软件模块，所述软件模块保存管理配置，配置门控制列表，完成配置时刻计算；所述硬件模块保存操作配置，完成配置切换、门控执行的操作；所述硬件模块包括：中央网关模块，由主节点与TSN交换机构成，通过轻量级TSN协议与端控制器模块通信；端控制器模块，由多个从节点构成，接收所述主节点的公钥信息进行认证；所述中央网关模块采用TSN通信中的音频
‑
视频桥接流向所述从节点广播公钥证书，采用时间触发流为所述从节点之间的通信进行授权；所述端控制器模块采用音频
‑
视频桥接流将所述从节点的身份认证信息发送给中央网关模块，所述从节点之间通信时采用时间触发流发送通信请求给所述中央网关模块。2.如权利要求1所述的面向TSN轻量级认证与授权通信系统，其特征在于，所述软件模块包括STM32加解密算法库、TSN交换机配置文件。3.如权利要求1所述的面向TSN轻量级认证与授权通信系统，其特征在于，所述从节点与TSN交换机之间采用媒体独立接口和/或精简的媒体独立接口实现以太网MAC驱动PHY。4.一种基于权利要求1所述的通信系统的通信方法，其特征在于，包括如下步骤：建立主节点和从节点之间的TSN通信；所述主节点和从节点之间进行身份认证；所述主节点为从节点之间的通信授权；所述从节点之间进行通信。5.一种基于权利要求1所述的通信系统的认证通信方法，其特征在于，用于中央网关模块，包括如下步骤：建立所述主节点和从节点之间的TSN通信；将所述主节点的数字证书广播给所述从节点，完成向所述从节点发送主节点公钥；接收所述从节点发送的加密信息；利用所述主节点私钥解密所述从节点授权密钥，对所述从节点授权密钥进行哈希运算得到新哈希值，利用所述从节点公钥解密旧哈希值，对所述新哈希值和解密后的旧哈希值进行对比，如果一致则表明消息未被篡改，验证通过，否则停止认证通信；验证通过后获得所述从节点授权密钥，通过所述从节点授权密钥加密确认信息，并将所述确认信息发送给各从节点。6.一种基于权利要求1所述的通信系统的认证通信...

【专利技术属性】
技术研发人员：谢国琪，彭碗丽，鲁睿其，黄爽，刘彦，李仁发，
申请(专利权)人：湖南大学重庆研究院，
类型：发明
国别省市：