CN102111377A - 网络密码机 - Google Patents
网络密码机 Download PDFInfo
- Publication number
- CN102111377A CN102111377A CN2009102009048A CN200910200904A CN102111377A CN 102111377 A CN102111377 A CN 102111377A CN 2009102009048 A CN2009102009048 A CN 2009102009048A CN 200910200904 A CN200910200904 A CN 200910200904A CN 102111377 A CN102111377 A CN 102111377A
- Authority
- CN
- China
- Prior art keywords
- network
- backup battery
- system cpu
- cipher machine
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了网络密码机,该密码机中的系统CPU分别控制连接分组加密算法芯片、硬件随机数发生器、存储器、外壳防护监测电路和带后备电池的SRAM器件;而外壳防护监测电路对带后备电池的SRAM器件进行保护;同时系统CPU通过两个物理层收发器外接两个以太网口,并通过串口控制器外接串口。本发明采用VPN(Virtual Private Network)技术,在Internet(或专网)上组建虚拟专网网络,使联网变得更容易,使安全变得更简单。
Description
技术领域:
本发明涉及一种网络安全技术,特别涉及一种网络密码机技术。
背景技术:
随着信息化的普及,网络已成为人们获取、利用和传递信息与知识的重要手段,但是在使用中也同时承担了敏感信息遭受攻击的风险。面对这种现实,信息安全技术便成为网络应用的根本核心和国家信息化基础结构建设的重要内容之一。网络安全技术现在已在各个行业领域开始了广泛地应用,包括了反病毒、防火墙、安全路由器、安全网关、密码机、加密服务器等一系列产品的使用,其中一个主要方面就是网络安全硬件设备。网络安全硬件设备由于其具有不占用主机资源、功能强大、性能完善、加密强度高等特点,而越来越受到人们的重视,并正在演变成一个新的安全规范,由此构建了一个安全牢固的网络信息世界。
然而中国国内目前的网络安全硬件设备从功能、性能到工艺都远远落后于市场需求,
发明内容:
本发明针对上述现有网络所存在的安全隐患以及现有网络安全硬件设备所存在的缺陷,而提供一种高性能的网络密码机,该密码机为一个完全开放式的硬件安全平台,主要应用于信息在网络中的安全传输,通过以太网接口,向用户提供链路层、IP层以及应用层的加解密平台,实现对数据的加密、解密、签名、认证以及密钥管理等功能,以保证信息在传送、交换、处理和存储过程中的机密性、完整性、有效性和可控性。
为了达到上述目的,本发明采用如下的技术方案:
网络密码机,其包括以ARM940T为核的系统CPU、分组加密算法芯片、硬件随机数发生器、存储器、外壳防护监测电路以及带后备电池的SRAM器件,所述系统CPU分别控制连接分组加密算法芯片、硬件随机数发生器、存储器、外壳防护监测电路和带后备电池的SRAM器件;所述外壳防护监测电路对带后备电池的SRAM器件进行保护;所述系统CPU通过两个物理层收发器外接两个以太网口,并通过串口控制器外接串口。
所述存储器包括扩展SDRAM器件和扩展FLASH器件。
所述网络密码机中还包括电源转换以及监视电路和状态指示电路,并分别与系统CPU相接。
根据上述技术方案得到的网络密码机具有以下优点:
(1)应用IKE技术和Ipsec技术对IP数据流进行加密保护,提供VPN服务,实现异地子网之间的安全互联;
(2)应用包过滤和状态检测技术保护内网主机和服务器,提供防火墙的功能;
(3)应用NAT技术使得企业内部私有地址能够访问外部互联网,并且能将位于DMZ的服务器的某些端口映射到公网上;
(4)具有链路备份和负载均衡的功能,支持在两条线路接入下的链路备份功能,以及多条线路接入下的链路负载均衡功能;
(5)具备隧道接力、隧道嵌套、自动路由(VPN后NAT)、虚地址互联(NAT后VPN)等多种高级功能,能够组建各种复杂的VPN网络,满足客户的各种应用需求;
(6)提供增强的客户端身份认证,支持数字证书认证。
附图说明:
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明的系统框图。
图2为本发明中硬件结构图。
图3为本发明初始化流程图。
图4为本发明网络应用结构图。
具体实施方式:
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明采用VPN(Virtual Private Network)技术,在Internet(或专网)上组建虚拟专网网络,“使联网变得更容易,使安全变得更简单”。本发明严格遵循IPSEC/IKE规范,融合了IPSec VPN和SSL VPN的优点,支持基于路由的VPN实现,具有VPN内网访问控制能力,实现真正意义上的网络安全互联。
基于上述目的,本发明提供如图1所示的网络密码机,其主要包括密码机硬件部分、相应的操作系统、BSP模块、通信模块、IKE密钥交换模块、IPSec处理模块以及主控制台处理模块和控制台管理模块。如图所示,本发明中的控制台管理模块实现对密码机硬件部分的相关操作,密码机硬件部分通过BSP模块实现与相应操作系统的衔接,并通过BSP模块对IKE密钥交换模块的调用以及与通信模块之间的通信。主控制台处理模块实现对系统的一些操作。通信模块分别与IKE密钥交换模块、IPSec处理模块以及主控制台处理模块进行相关的数据信息的传输。
参见图2,本发明提供的网络密码机硬件系统由以下部分组成:
以ARM940T为核的系统CPU部分,SAMSUNG公司的ARM核微处理器S3C2510A;
国密办指定分组加密算法芯片SSP02-A;
硬件随机数发生器部分,物理燥声源WNG-4;
存储器部分包括扩展SDRAM器件、扩展FLASH器件及带后备电池的SRAM器件;
电源转换以及监视电路和状态指示电路;
外壳防护监测电路;
上述部件分别由系统系CPU控制连接;同时通过两个物理层收发器外接两个10/100兆以太网接口,并通过MAX3222串口控制器外接RS232串口。
本发明中的物理层收发器采用10/100Mbps以太网物理层收发器AM79C874。
本发明中系统CPU为多功能RISC处理器S3C2510A,S3C2510A包括2个以太网MAC层控制器,可配置作为路由器、网关等;S3C2510A具有1个配置串口和2个高速串口,配置串口可作为系统配置或调试端口,速率最大为115200bps;高速串口可作为Modem或其它高速应用,速率最大为921600bps。S3C2510A加密算法单元与硬件加密算法芯片SSP02-A结合,完成加密运算。
根据上述技术方案的密码机具有4M字节的FLASH空间和32M字节的SDRAM空间。在FLASH的0x00000000地址存放Boot程序,在0x00001000地址存放目标应用程序。其初始化流程如图3所示:
系统上电或复位后首先执行Boot程序,Boot程序是小型的初始化程序,易于由仿真器写入,Boot程序的工作是初始化SDRAM,然后将目标应用程序全部复制到SDRAM,重新映射内存地址,使SDRAM的基地址为0x00000000,系统执行SDRAM的应用程序。
S3C2510A提供以太网MAC子层接口,由物理层进来的MII接口信号,经MAC子层模块同步、定界,CRC校验后,接收得到一个完整的以太网帧数据,并产生中断通知CPU处理。
S3C2510A提供以太网MAC子层接口,应用程序产生一个以太网帧,调用S3C2510A的MAC发送模块,MAC子层会自动添加前导码,生成FCS校验,并发送到物理层。
应用程序解析得到一个IP数据包后,通过调用相应的数据加解密处理模块进行处理,处理完成后将新IP包转发出去;另外也可以通过解析用户应用数据协议,进行数据加解密处理。
S3C2510A提供配置串口,连接控制台,执行SJW64网络密码机配置、实时监控、日志审计以及目标应用程序下载等功能。配置串口波特率可设为9600bps-115200bps。
密钥对在SJW64网络密码机内部产生,私钥内部保存,不可导出,公钥以证书为载体公开。
SJW64网络密码机的FLASH空间为4M字节,其中2M字节用来装载程序,剩下2M字节空间可用于密钥管理,存储RSA密钥对。SJW64的主密钥专门存放于一个可进行掉电保护的SRAM中,并由外壳监测电路进行保护。当外壳招受恶意拆卸时,主密钥将自动销毁。
如图4所示,本发明在实际应用时,能够实现计算机、WAN、LAN之间的安全通信。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.网络密码机,其特征在于,所述密码机包括以ARM940T为核的系统CPU、分组加密算法芯片、硬件随机数发生器、存储器、外壳防护监测电路以及带后备电池的SRAM器件,所述系统CPU分别控制连接分组加密算法芯片、硬件随机数发生器、存储器、外壳防护监测电路和带后备电池的SRAM器件;所述外壳防护监测电路对带后备电池的SRAM器件进行保护;所述系统CPU通过两个物理层收发器外接两个以太网口,并通过串口控制器外接串口。
2.根据权利要求1所述的网络密码机,其特征在于,所述存储器包括扩展SDRAM器件和扩展FLASH器件。
3.根据权利要求1所述的网络密码机,其特征在于,所述网络密码机中还包括电源转换以及监视电路和状态指示电路,并分别与系统CPU相接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102009048A CN102111377A (zh) | 2009-12-25 | 2009-12-25 | 网络密码机 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102009048A CN102111377A (zh) | 2009-12-25 | 2009-12-25 | 网络密码机 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102111377A true CN102111377A (zh) | 2011-06-29 |
Family
ID=44175407
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009102009048A Pending CN102111377A (zh) | 2009-12-25 | 2009-12-25 | 网络密码机 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102111377A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104393985A (zh) * | 2014-11-25 | 2015-03-04 | 成都卫士通信息产业股份有限公司 | 一种基于多网卡技术的密码机 |
CN104618338A (zh) * | 2014-12-31 | 2015-05-13 | 北京航天测控技术有限公司 | 一种工业以太网通信数据加密透传模块 |
CN107040589A (zh) * | 2017-03-15 | 2017-08-11 | 西安电子科技大学 | 通过虚拟化密码设备集群提供密码服务的系统及方法 |
CN109344639A (zh) * | 2018-10-30 | 2019-02-15 | 南方电网科学研究院有限责任公司 | 一种配网自动化双重防护安全芯片、数据传输方法及设备 |
CN109672684A (zh) * | 2018-12-25 | 2019-04-23 | 山东超越数控电子股份有限公司 | 一种网络密码机的管理服务系统 |
CN110136340A (zh) * | 2019-06-03 | 2019-08-16 | 国网宁夏电力有限公司电力科学研究院 | 一种智能电能表电费充值方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1606288A (zh) * | 2004-10-18 | 2005-04-13 | 胡祥义 | 一种基于微内核技术的vpn实现方法 |
CN1622517A (zh) * | 2003-11-27 | 2005-06-01 | 上海安创信息科技有限公司 | 一种嵌入式信息安全平台 |
US20060230431A1 (en) * | 2005-03-31 | 2006-10-12 | Jemes Brian L | System and method for implementing a private virtual backbone on a common network infrastructure |
-
2009
- 2009-12-25 CN CN2009102009048A patent/CN102111377A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1622517A (zh) * | 2003-11-27 | 2005-06-01 | 上海安创信息科技有限公司 | 一种嵌入式信息安全平台 |
CN1606288A (zh) * | 2004-10-18 | 2005-04-13 | 胡祥义 | 一种基于微内核技术的vpn实现方法 |
US20060230431A1 (en) * | 2005-03-31 | 2006-10-12 | Jemes Brian L | System and method for implementing a private virtual backbone on a common network infrastructure |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104393985A (zh) * | 2014-11-25 | 2015-03-04 | 成都卫士通信息产业股份有限公司 | 一种基于多网卡技术的密码机 |
CN104618338A (zh) * | 2014-12-31 | 2015-05-13 | 北京航天测控技术有限公司 | 一种工业以太网通信数据加密透传模块 |
CN104618338B (zh) * | 2014-12-31 | 2018-10-19 | 北京航天测控技术有限公司 | 一种工业以太网通信数据加密透传模块 |
CN107040589A (zh) * | 2017-03-15 | 2017-08-11 | 西安电子科技大学 | 通过虚拟化密码设备集群提供密码服务的系统及方法 |
CN109344639A (zh) * | 2018-10-30 | 2019-02-15 | 南方电网科学研究院有限责任公司 | 一种配网自动化双重防护安全芯片、数据传输方法及设备 |
CN109672684A (zh) * | 2018-12-25 | 2019-04-23 | 山东超越数控电子股份有限公司 | 一种网络密码机的管理服务系统 |
CN110136340A (zh) * | 2019-06-03 | 2019-08-16 | 国网宁夏电力有限公司电力科学研究院 | 一种智能电能表电费充值方法及系统 |
CN110136340B (zh) * | 2019-06-03 | 2021-11-16 | 国网宁夏电力有限公司营销服务中心(国网宁夏电力有限公司计量中心) | 一种智能电能表电费充值方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109842585B (zh) | 面向工业嵌入式系统的网络信息安全防护单元和防护方法 | |
CN202856781U (zh) | 一种工业控制系统主站安全防护装置 | |
CN200962604Y (zh) | 电力专用纵向加密认证网关设备 | |
CN110753344B (zh) | 基于NB-IoT的智能表安全接入系统 | |
CN102111377A (zh) | 网络密码机 | |
CN108810023A (zh) | 安全加密方法、密钥共享方法以及安全加密隔离网关 | |
CN107612679B (zh) | 一种基于国密算法的以太网桥加扰终端 | |
CN105656655B (zh) | 一种网络安全管理方法、装置,及系统 | |
CN100559820C (zh) | 一种拨号安全网关装置 | |
CN103414558A (zh) | 一种基于xen云平台的虚拟机块设备隔离方法 | |
CN110061991A (zh) | 一种实现高速公路收费专网安全接入互联网的网关设置方法 | |
CN104468519B (zh) | 一种嵌入式电力安全防护终端加密装置 | |
CN202652534U (zh) | 移动终端安全接入平台 | |
CN104168565A (zh) | 一种非可信无线网络环境下智能终端安全通讯的控制方法 | |
CN103763301B (zh) | 一种采用ppp协议封装IPsec框架结构的系统及方法 | |
CN110730170A (zh) | 一种内外网隔离方法及系统 | |
CN201051744Y (zh) | 一种安全的加密网卡装置 | |
CN106203188A (zh) | 一种基于双cpu加mac的单向数据传输系统及其方法 | |
CN111541663A (zh) | 一种基于国家密码标准的链路交换加密系统 | |
CN103269301A (zh) | 桌面型IPSecVPN密码机及组网方法 | |
CN105721458A (zh) | 一种基于isg安全密码技术的工业以太网交换方法 | |
Li et al. | Research on sensor-gateway-terminal security mechanism of smart home based on IOT | |
CN201315596Y (zh) | 一种拨号安全网关装置 | |
CN210274109U (zh) | 一种支持加密功能的以太网卡装置 | |
Zhang et al. | Reconfigurable security protection system based on NetFPGA and embedded soft-core technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110629 |