專利名稱:一種對(duì)網(wǎng)絡(luò)數(shù)據(jù)流硬件加密的系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及對(duì)網(wǎng)絡(luò)數(shù)據(jù)流實(shí)現(xiàn)硬件加密的領(lǐng)域��,尤其是一種對(duì)網(wǎng)絡(luò)數(shù)據(jù)流硬件加密的系統(tǒng)����。
背景技術(shù):
在一些政府或者企業(yè)的信息保密類部門,在日常工作中���,對(duì)網(wǎng)絡(luò)安全性要求很高�����,需防止非法用戶訪問內(nèi)部資源�����、防止信息傳輸過程被黑客攻擊�����,保證網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)的機(jī)密性��、完整性����、真實(shí)性�����、抗重放性。而軟件加密始終存在安全隱患�,當(dāng)黑客攻擊了相關(guān)PC以后,軟件加密就形同虛設(shè)了��,而硬件加密的方法則避免了這個(gè)問題�,因?yàn)榧用苓^程本身處于一個(gè)PC不可控的環(huán)境下,使得這種加密方法更加可靠����。 現(xiàn)在在出現(xiàn)需要進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)加密的情況時(shí),一般采用的是加密網(wǎng)關(guān)的方法��。具體實(shí)現(xiàn)方法是將各個(gè)需要加密的單位的局域網(wǎng)網(wǎng)關(guān)換成加密網(wǎng)關(guān)����,加密網(wǎng)關(guān)會(huì)對(duì)所有流入/流出該局域網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行判斷,如果網(wǎng)絡(luò)包符合特定的格式�����,則對(duì)其進(jìn)行加密或解密操作��,從而保證網(wǎng)絡(luò)數(shù)據(jù)的安全可靠�。其實(shí)質(zhì)是利用IPsec協(xié)議族構(gòu)建虛擬專用網(wǎng)(VPN)來實(shí)現(xiàn)網(wǎng)關(guān)到網(wǎng)關(guān)的安全通信。圖I是使用加密網(wǎng)關(guān)時(shí)的內(nèi)網(wǎng)A和內(nèi)網(wǎng)B上的用戶交互時(shí)的數(shù)據(jù)流示意圖?���,F(xiàn)有技術(shù)能夠在從局域網(wǎng)向外網(wǎng)傳輸之前對(duì)相應(yīng)的包進(jìn)行加密����,以及從外網(wǎng)向局域網(wǎng)內(nèi)傳輸時(shí)對(duì)相應(yīng)的包進(jìn)行解密��。這樣就造成I)當(dāng)局域網(wǎng)內(nèi)不同用戶同時(shí)需要發(fā)送/接收大量需要加密/解密的數(shù)據(jù)時(shí)�,容易產(chǎn)生由于加/解密速度引起的網(wǎng)絡(luò)延遲���。2)當(dāng)局域網(wǎng)內(nèi)存在量大用戶時(shí)��,收發(fā)每個(gè)數(shù)據(jù)包都需要進(jìn)行是否需要解密的判斷�����,影響網(wǎng)絡(luò)效率�����。3)無法保證在局域網(wǎng)內(nèi)部數(shù)據(jù)流動(dòng)時(shí)的安全性��,當(dāng)攻擊者和被攻擊者處于同一個(gè)局域網(wǎng)或攻擊者已經(jīng)侵入了局域網(wǎng)內(nèi)某臺(tái)PC時(shí)���,攻擊者能夠在局域網(wǎng)內(nèi)獲取明文數(shù)據(jù)�����,這種情況下加密網(wǎng)關(guān)無法保證數(shù)據(jù)的安全�。4)為了減少對(duì)網(wǎng)絡(luò)效率的影響而增加大量成本�,現(xiàn)在密文流量達(dá)到100M的加密網(wǎng)關(guān)價(jià)格在三萬元以上,密文流量達(dá)到1000M的加密網(wǎng)關(guān)價(jià)格一般都在十萬元以上��。
實(shí)用新型內(nèi)容本實(shí)用新型的目的正是要解決上述技術(shù)存在的不足����,而提供一種對(duì)網(wǎng)絡(luò)數(shù)據(jù)流硬件加密的系統(tǒng)。本實(shí)用新型解決其技術(shù)問題采用的技術(shù)方案這種對(duì)網(wǎng)絡(luò)數(shù)據(jù)流硬件加密的系統(tǒng)��,PC用戶A通過微型加密機(jī)A與內(nèi)網(wǎng)A網(wǎng)絡(luò)連接��,微型加密機(jī)A通過預(yù)先設(shè)置的規(guī)則對(duì)PC用戶A發(fā)出的數(shù)據(jù)包加密或不加密��,加密數(shù)據(jù)包或不加密的數(shù)據(jù)包經(jīng)過內(nèi)網(wǎng)A傳輸?shù)酵钟蚓W(wǎng)的目標(biāo)用戶�����,或者由內(nèi)網(wǎng)A通過普通網(wǎng)關(guān)A����、公網(wǎng)��、普通網(wǎng)關(guān)B傳輸?shù)絻?nèi)網(wǎng)B��,內(nèi)網(wǎng)B通過微型加密機(jī)B將加密數(shù)據(jù)包解密后傳輸給PC用戶B��。更進(jìn)一步的�,所述的微型加密機(jī)A和微型加密機(jī)B之間能夠通過互聯(lián)網(wǎng)金鑰交換協(xié)定實(shí)現(xiàn)該會(huì)話密鑰的交換��。更進(jìn)一步的��,所述的微型加密機(jī)A和微型加密機(jī)B均有2個(gè)網(wǎng)絡(luò)接口�����,一個(gè)面向PC設(shè)備����,一個(gè)面向局域網(wǎng)�,對(duì)PC設(shè)備和局域網(wǎng)內(nèi)流通的數(shù)據(jù)包進(jìn)行過濾和加解密操作。本實(shí)用新型有益的效果是本實(shí)用新型解決現(xiàn)有技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行硬件加密時(shí)存在的速度瓶頸��、安全性以及成本問題�。
圖I是現(xiàn)有技術(shù)的方框示意圖;圖2是本實(shí)用新型的方框示意圖�;圖3是本實(shí)用新型中PC-微型加密機(jī)-網(wǎng)絡(luò)之間的數(shù)據(jù)流示意圖�。
具體實(shí)施方式
以下結(jié)合附圖和實(shí)施例對(duì)本實(shí)用新型作進(jìn)一步說明本實(shí)用新型是一種網(wǎng)絡(luò)數(shù)據(jù)流硬件加密裝置����,實(shí)現(xiàn)了 PC到PC的網(wǎng)絡(luò)安全通信,下文將該裝置簡稱為微型加密機(jī)�����,PC用戶A通過微型加密機(jī)A與內(nèi)網(wǎng)A網(wǎng)絡(luò)連接��,微型加密機(jī)A通過預(yù)先設(shè)置的規(guī)則對(duì)PC用戶A發(fā)出的數(shù)據(jù)包加密或不加密�,加密數(shù)據(jù)包或不加密的數(shù)據(jù)包經(jīng)過內(nèi)網(wǎng)A傳輸?shù)酵钟蚓W(wǎng)的目標(biāo)用戶,或者由內(nèi)網(wǎng)A通過普通網(wǎng)關(guān)A��、公網(wǎng)����、普通網(wǎng)關(guān)B傳輸?shù)絻?nèi)網(wǎng)B,內(nèi)網(wǎng)B通過微型加密機(jī)B將加密數(shù)據(jù)包解密后傳輸給PC用戶B��。I)安全通信的實(shí)現(xiàn)方法本技術(shù)實(shí)現(xiàn)了 PC到PC的網(wǎng)絡(luò)安全通信�,PC用戶發(fā)送數(shù)據(jù)包時(shí),必須經(jīng)過微型加密機(jī)��,加密機(jī)通過預(yù)先設(shè)置的規(guī)則判斷數(shù)據(jù)包是否需要加密,如果需要�,則對(duì)數(shù)據(jù)包加密并發(fā)送,加密后的數(shù)據(jù)包經(jīng)過內(nèi)網(wǎng)傳輸?shù)酵钟蚓W(wǎng)的目標(biāo)用戶�,或者通過網(wǎng)關(guān)和公網(wǎng)到達(dá)其他局域網(wǎng)內(nèi)的目標(biāo)用戶。以圖2為例���,當(dāng)用戶Al發(fā)送一包需要保密的數(shù)據(jù)到B2要經(jīng)過以下步驟· PC用戶Al發(fā)送一個(gè)帶標(biāo)記的明文數(shù)據(jù)包��; 數(shù)據(jù)包流入加密機(jī)Al時(shí)���,加密機(jī)判斷到這包數(shù)據(jù)需要加密,然后將數(shù)據(jù)包加密并發(fā)送��; 數(shù)據(jù)經(jīng)過普通網(wǎng)關(guān)A�、公網(wǎng)�、普通網(wǎng)關(guān)B,到達(dá)加密機(jī)B2 ���; 加密機(jī)B2接收到該包數(shù)據(jù)后判斷是否需要解密�; 加密機(jī)B2解密后再將明文數(shù)據(jù)傳送給PC用戶B2��。加密機(jī)Al和加密機(jī)B2之間可以通過互聯(lián)網(wǎng)金鑰交換協(xié)定(IKE)實(shí)現(xiàn)該會(huì)話密鑰的交換�����。2)微型加密機(jī)的結(jié)構(gòu)微型加密機(jī)摒棄了傳統(tǒng)桌面加密的U盤接口,直接采用網(wǎng)絡(luò)接口實(shí)現(xiàn)�。微型加密機(jī)有2個(gè)網(wǎng)絡(luò)接口,一個(gè)面向PC設(shè)備���,一個(gè)面向局域網(wǎng)�����,對(duì)PC和局域網(wǎng)內(nèi)流通的數(shù)據(jù)包進(jìn)行過濾和加解密操作�。這種方式有以下幾個(gè)好處[0032] 相對(duì)于U盤接口的加密機(jī)�����,微型加密機(jī)無需在使用前后插拔���,可以半永久的安裝在PC網(wǎng)卡出口�。 微型加密機(jī)不需要額外占用PC任何接口����。 可以對(duì)試圖流入/流出PC的所有網(wǎng)絡(luò)包進(jìn)行過濾。3)微型加密機(jī)內(nèi)的數(shù)據(jù)流每個(gè)微型加密機(jī)在生產(chǎn)時(shí)就獲得一對(duì)密鑰����,其私鑰不能被仍和用戶獲得����,只有微型加密機(jī)本身能夠使用��,公鑰能夠通過固定的協(xié)議發(fā)送給其他微型加密機(jī)�����。PC在有微型加密機(jī)的情況下����,發(fā)送數(shù)據(jù)的流程如下· PC發(fā)出的數(shù)據(jù)經(jīng)過微型加密機(jī)的過濾模塊,將不符合規(guī)則的數(shù)據(jù)包丟棄�; 判斷符合規(guī)則的數(shù)據(jù)包是否需要加密; 不需要加密的數(shù)據(jù)直接發(fā)送到局域網(wǎng)��; 需要加密的數(shù)據(jù)送到加/解密模塊��,加密后發(fā)送到網(wǎng)絡(luò)���; 加密數(shù)據(jù)發(fā)送后和目標(biāo)PC (實(shí)際上是和目標(biāo)PC對(duì)應(yīng)的微型加密機(jī))進(jìn)行IKE密鑰交換;PC在有微型加密機(jī)的情況下�,接收數(shù)據(jù)的流程如下 微型加密機(jī)從網(wǎng)絡(luò)獲得數(shù)據(jù)包后,判斷是否需要解密; 不需要解密的數(shù)據(jù)直接送到過濾模塊�; 需要解密則查詢是否已經(jīng)完成了該次會(huì)話需要的密鑰交換; 若沒有則通過IKE協(xié)議實(shí)現(xiàn)密鑰交換�; 對(duì)需要解密的數(shù)據(jù)解密,并將解密結(jié)果發(fā)送到過濾模塊���; 過濾模塊對(duì)數(shù)據(jù)包進(jìn)行過濾�,將不符合規(guī)則的數(shù)據(jù)包丟棄�,符合規(guī)則的數(shù)據(jù)包發(fā)送給PC ;圖3是PC-微型加密機(jī)-網(wǎng)絡(luò)之間的數(shù)據(jù)流示意圖�,這里的網(wǎng)絡(luò)一般情況下是局域網(wǎng),也可以是公網(wǎng)或?qū)S镁W(wǎng)絡(luò)��。4)微型加密機(jī)的優(yōu)點(diǎn) 局域網(wǎng)內(nèi)安全性�����,微型加密機(jī)實(shí)現(xiàn)了 PC到PC的安全通信��,相對(duì)于現(xiàn)有的網(wǎng)關(guān)到網(wǎng)關(guān)�,避免了局域網(wǎng)內(nèi)部的攻擊,有更高的安全性���。 速度快��,現(xiàn)有的加密芯片完全可以滿足單臺(tái)電腦的加/解密速度要求��,并且避免了加密網(wǎng)關(guān)必然存在的全局域網(wǎng)內(nèi)加/解密總速度峰值的瓶頸�; 加密算法安全性,由于避免了加密網(wǎng)關(guān)對(duì)加密算法速度的嚴(yán)苛要求���,微型加密機(jī)可以使用一些加密速度稍慢��,但加密更復(fù)雜�����,加密效果更好的算法��,提高整體的安全性���。 對(duì)其他用戶無影響,使用微型加密對(duì)局域網(wǎng)內(nèi)其他用戶完全沒有影響���,不會(huì)出現(xiàn)由于已經(jīng)有大量數(shù)據(jù)在排隊(duì)加密而導(dǎo)致其他用戶無法及時(shí)發(fā)送加密數(shù)據(jù)或接收解密數(shù)據(jù)的問題��; 對(duì)PC軟件的兼容性,當(dāng)用戶在不同的應(yīng)用中需要加密不同的數(shù)據(jù)時(shí)(各機(jī)關(guān)/單位使用的公文流轉(zhuǎn)平臺(tái)可能數(shù)據(jù)格式都不同)�����,只需要修改加密判斷模塊中的判斷條件,就可以無縫銜接到現(xiàn)有的各種公文流轉(zhuǎn)平臺(tái)或其他PC軟件�,無需對(duì)軟件進(jìn)行更新; 抗攻擊性�,微型加密機(jī)可以由特定的軟件設(shè)置規(guī)則(該軟件由發(fā)放加密機(jī)的部門專有),使得即使有黑客侵入到局域網(wǎng)PC也無法修改該P(yáng)C上的微型加密機(jī)的規(guī)則����。[0058] 密鑰安全性,密鑰的生成和交換過程只在微型加密機(jī)之間�����,攻擊者無法從PC端獲得密鑰����,而微型加密機(jī)本身無法作為一個(gè)終端被攻擊者訪問。 靈活性���,微型加密機(jī)適用于各種不同的局域網(wǎng)環(huán)境�����,可以以PC為單位選擇是否
需要使用��; 易用性��,相對(duì)于傳統(tǒng)的桌面加密機(jī)��,微型加密機(jī)不占用PC額外的接口���,無需頻繁插拔�����; ·成本低��,單個(gè)微型加密機(jī)成本比較低���,同時(shí)基于靈活性,局域網(wǎng)內(nèi)并不是所有PC都需要加密功能�,局域網(wǎng)內(nèi)用戶增加時(shí)只需增加少量微型加密機(jī),而加密網(wǎng)關(guān)在局域網(wǎng)內(nèi)用戶擴(kuò)展到一定規(guī)模時(shí)必須選用價(jià)格不菲的高端機(jī)器���。5)微型加密機(jī)適用的場(chǎng)合 適用于局域網(wǎng)內(nèi)PC不多的機(jī)構(gòu)��; 適用于局域網(wǎng)內(nèi)并不是每臺(tái)機(jī)器都需要加/解密傳輸功能的機(jī)構(gòu)����; 適用于局域網(wǎng)內(nèi)數(shù)據(jù)傳輸也有保密需求的機(jī)構(gòu)。術(shù)語解釋IPsec (Internet Protocol Security)IPsec是通過對(duì)IP協(xié)議(互聯(lián)網(wǎng)協(xié)議)的分組進(jìn)行加密和認(rèn)證來保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族����。IPsec由2大部分組成(I)建立安全分組流的密鑰交換協(xié)議��;(2)保護(hù)分組流的協(xié)議��。前者為互聯(lián)網(wǎng)金鑰交換(IKE)協(xié)議�����。后者包括加密分組流的封裝安全載荷協(xié)議(ESP協(xié)議)或認(rèn)證頭協(xié)議(AH協(xié)議)協(xié)議���,用于保證數(shù)據(jù)的機(jī)密性�����、來源可靠性(認(rèn)證)����、無連接的完整性并提供抗重播服務(wù)����。虛擬專用網(wǎng)絡(luò)(VirtualPrivate Network,簡稱 VPN):是一種常用于連接中��、大型企業(yè)或團(tuán)體與團(tuán)體間的私人網(wǎng)絡(luò)的通訊方法����。虛擬私人網(wǎng)絡(luò)的訊息透過公用的網(wǎng)絡(luò)架構(gòu)(例如互聯(lián)網(wǎng))來傳送內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)訊息����。互聯(lián)網(wǎng)金鑰交換協(xié)定(Internet Key Exchange,簡稱IKE或IKEv2):—種網(wǎng)絡(luò)協(xié)定����,歸屬于IPsec協(xié)定之下,用以建立安全關(guān)聯(lián)(Security association, SA)。它建立在奧克利協(xié)定(Oakley protocol)與ISAKMA協(xié)定的基礎(chǔ)之上���。使用X. 509安全認(rèn)證���。除上述實(shí)施例外,本實(shí)用新型還可以有其他實(shí)施方式��。凡采用等同替換或等效變換形成的技術(shù)方案�����,均落在本實(shí)用新型要求的保護(hù)范圍。
權(quán)利要求1.一種對(duì)網(wǎng)絡(luò)數(shù)據(jù)流硬件加密的系統(tǒng)�����,其特征在于PC用戶A通過微型加密機(jī)A與內(nèi)網(wǎng)A網(wǎng)絡(luò)連接���,微型加密機(jī)A通過預(yù)先設(shè)置的規(guī)則對(duì)PC用戶A發(fā)出的數(shù)據(jù)包加密或不加密,加密數(shù)據(jù)包或不加密的數(shù)據(jù)包經(jīng)過內(nèi)網(wǎng)A傳輸?shù)酵钟蚓W(wǎng)的目標(biāo)用戶��,或者由內(nèi)網(wǎng)A通過普通網(wǎng)關(guān)A���、公網(wǎng)����、普通網(wǎng)關(guān)B傳輸?shù)絻?nèi)網(wǎng)B���,內(nèi)網(wǎng)B通過微型加密機(jī)B將加密數(shù)據(jù)包解密后傳輸給PC用戶B��。
2.根據(jù)權(quán)利要求I所述的對(duì)網(wǎng)絡(luò)數(shù)據(jù)流硬件加密的系統(tǒng)�,其特征在于所述的微型加密機(jī)A和微型加密機(jī)B之間能夠通過互聯(lián)網(wǎng)金鑰交換協(xié)定實(shí)現(xiàn)該會(huì)話密鑰的交換��。
3.根據(jù)權(quán)利要求I所述的對(duì)網(wǎng)絡(luò)數(shù)據(jù)流硬件加密的系統(tǒng)�,其特征在于所述的微型加密機(jī)A和微型加密機(jī)B均有2個(gè)網(wǎng)絡(luò)接口,一個(gè)面向PC設(shè)備,一個(gè)面向局域網(wǎng)�,對(duì)PC設(shè)備和局域網(wǎng)內(nèi)流通的數(shù)據(jù)包進(jìn)行過濾和加解密操作。
專利摘要本實(shí)用新型涉及一種對(duì)網(wǎng)絡(luò)數(shù)據(jù)流硬件加密的系統(tǒng)��,PC用戶A通過微型加密機(jī)A與內(nèi)網(wǎng)A網(wǎng)絡(luò)連接����,微型加密機(jī)A通過預(yù)先設(shè)置的規(guī)則對(duì)PC用戶A發(fā)出的數(shù)據(jù)包加密或不加密,加密數(shù)據(jù)包或不加密的數(shù)據(jù)包經(jīng)過內(nèi)網(wǎng)A傳輸?shù)酵钟蚓W(wǎng)的目標(biāo)用戶����,或者由內(nèi)網(wǎng)A通過普通網(wǎng)關(guān)A、公網(wǎng)�、普通網(wǎng)關(guān)B傳輸?shù)絻?nèi)網(wǎng)B,內(nèi)網(wǎng)B通過微型加密機(jī)B將加密數(shù)據(jù)包解密后傳輸給PC用戶B��。本實(shí)用新型有益的效果是本實(shí)用新型解決現(xiàn)有技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行硬件加密時(shí)存在的速度瓶頸��、安全性以及成本問題��。
文檔編號(hào)H04L29/06GK202713365SQ20122022777
公開日2013年1月30日 申請(qǐng)日期2012年5月17日 優(yōu)先權(quán)日2012年5月17日
發(fā)明者苗欣, 李昀, 羅洪昌, 馬震偉 申請(qǐng)人:杭州晟元芯片技術(shù)有限公司