基于硬件加密的安全网络传输系统及传输方法
技术领域
本发明属于网络安全技术领域,具体涉及一种可以提高数据交换性能和安全性的基于硬件加密的安全网络传输系统及传输方法。
背景技术
随着Internet的发展,网络安全问题也越发突出,尤其是如何利用因特网进 行加密通信目前已经成为一个热点问题。目前主要通过虚拟网卡SSL VPN技术来解决这一问题。但是利用虚拟网卡进行通信需要安装VPN客户端,对通信报文进行加密和封装,因此这种加密方式属于软件加密范畴。需要进行SSL VPN加密的报文无论是发送还是接收都会两次经过协议栈的处理,这自然会在一定程度上导致数据交换性能下降。通过对虚拟网卡的SSL VPN技术数据包发送流程分析可知,发送端主机与外界有两个交换通道,从而当发送端主机在建立SSL隧道后并未切断与Internet的数据交互,可能会受到来自Internet的攻击,因此基于虚拟网卡的SSL VPN技术存在安全问题。
VPN客户端通常是在操作系统核心层安装一个数据截获的模块,VPN客户端的开发只能针对特定的Windows、Linux操作系统,无法广泛应用于大型设备中。为了解决基于虚拟网卡的SSL VPN技术的数据交换性能低、安全性不高、适用范围有限等问题,急需提供一种基于硬件加密的安全网络传输方法。
发明内容
本发明的目的是解决基于虚拟网卡的SSL VPN技术的客户端与外界有两个交换通道,其数据包可能会受到来自Internet的攻击而提供一种基于硬件加密的安全网络传输系统及传输方法,同时由于基于软件加密的不安全,通过内置加密芯片的加密设备对数据包进行加密。
本发明的方法是这样实现的:
一种基于硬件加密的安全网络传输系统,包括发送端主机、通过网线与发送端主机相连接的加密设备、公共LAN/WAN网、SSL VPN网关服务器和内网主机,其特征在于,
发送端主机用于将传输于物理层的IP数据包发送给加密设备;
加密设备包括第一网卡模块、与第一网卡模块相连接的加密芯片和与加密芯片相连接的第二网卡模块,发送端主机的RJ45网络接口通过网线与加密设备的第一网卡模块相连接,加密设备的第二网卡模块与公网LAN/WAN的一端相连接;加密设备通过第一网卡模块接收数据包,并经内置的加密芯片对数据包进行加密封装形成新的IP数据包,加密设备的第二网卡模块通过其RJ45网络接口将加密封装后的数据包发送到公网LAN/WAN上进行传输;
公网LAN/WAN的另一端与SSL VPN网关服务器的RJ45网络接口相连接,SSL VPN网关服务器的RJ45网络接口通过网线与内网主机的RJ45网络接口相连接;经加密设备加密的数据包通过公网LAN/WAN传送到连接内网主机的SSL VPN网关服务器上,并对数据包进行拆封解密;拆封解密过的数据包通过SSL VPN网关服务器的RJ45网络接口传输到内网主机上,完成数据包的安全传输。
发送端主机通过网线和RJ45网络接口与加密设备相连接,发送端主机发送的数据包是在物理层进行传输的IP数据包,其报文只需要经过一次协议栈处理从真实物理网卡发出,通过网线发给加密设备的第一网卡模块。
加密设备中内置的加密芯片,完成对传输于物理层的数据包的基于硬件的加密,并对加密后的数据包重新封装形成新的IP数据包,经基于硬件的加密设备加密封装后的数据包在公网LAN/WAN上传输。
一种基于硬件加密的安全网络传输方法,其特征在于,包括以下步骤:
步骤1.1,发送端主机与加密设备相连接,发送端主机将数据包发送给加密设备;
步骤1.2,加密设备对数据包进行加密封装,并通过其RJ45接口将新数据包发送到公网LAN/WAN上进行传输;
步骤1.3,加密封装后的新数据包通过公网LAN/WAN传送到连接内网主机的SSL VPN 网关服务器上,对数据包进行拆封解密;
步骤1.4,将拆封解密过的数据包根据其目的地址传输到内网主机上,完成通信。
发送端主机与加密设备通过RJ45网络接口相连接,发送端主机发送的数据包是在物理层进行传输的IP数据包,且该数据包不需要发送端主机安装特殊的客户端对其进行处理。
加密设备包括第一网卡模块、第二网卡模块和一个加密芯片,所述步骤1.2进一步包括以下步骤:
步骤1.2.1,加密设备通过第一网卡模块接收从发送端主机物理网卡发出的IP数据包;
步骤1.2.2,加密设备中的内置的加密芯片将收到的数据包进行加密,并将加密后的数据包重新封装形成新的数据包;
步骤1.2.3,加密封装后的新数据包经加密设备的第二网卡模块传输到公网LAN/WAN上。
加密设备内置加密芯片和网卡模块,完成对传输于物理层的数据包的基于硬件的加密及重新封装,经加密设备加密封装后的数据包在公网LAN/WAN上传输。从公网LAN/WAN上收到的加密数据包经SSL VPN网关服务器拆封解密,并根据数据包的目的地址发送给相应的内网主机,内网主机收到的数据包经过一次协议栈处理直接交给应用程序,不需要安装特殊的客户端对接收数据包进行处理。
本发明的特点及积极效果如下:通过内置加密芯片的加密设备对传输于物理层的IP数据包进行加密封装,从而保证了数据在网络传输中的高安全性。发送端主机的报文只需要经过一次协议栈处理从真实物理网卡发出,内网主机从物理网卡收到的数据包也只需要经过一次协议栈处理,从而提高了数据交换的速度。其特色在于它基于硬件加密提高了数据安全性,且不用在收发主机上安装特殊的客户端简化了主机的操作。相对于基于虚拟网卡的SSL VPN技术更安全、更方便、数据交换性能更高。
附图说明
图1是基于硬件加密的安全网络传输方法的传输结构图。
具体实施方式
下面结合附图和实施例对本发明进一步说明。
一种基于硬件加密的安全网络传输系统,包括发送端主机1、通过网线与发送端主机1相连接的加密设备2、公共LAN/WAN网3、SSL VPN网关服务器4和内网主机5,其特征在于,
发送端主机1用于将传输于物理层的IP数据包发送给加密设备2;
加密设备2包括第一网卡模块6、与第一网卡模块6相连接的加密芯片7和与加密芯片7相连接的第二网卡模块8,发送端主机1的RJ45网络接口通过网线与加密设备2的第一网卡模块6相连接,加密设备2的第二网卡模块8与公网LAN/WAN 3的一端相连接;加密设备2通过第一网卡模块6接收数据包,并经内置的加密芯片7对数据包进行加密封装形成新的IP数据包,加密设备的第二网卡模块8通过其RJ45网络接口将加密封装后的数据包发送到公网LAN/WAN 3上进行传输;
公网LAN/WAN 3的另一端与SSL VPN网关服务器4的RJ45网络接口相连接,SSL VPN网关服务器4的RJ45网络接口通过网线与内网主机5的RJ45网络接口相连接;经加密设备2加密的数据包通过公网LAN/WAN 3传送到连接内网主机5的SSL VPN网关服务器4上,并对数据包进行拆封解密;拆封解密过的数据包通过SSL VPN网关服务器4的RJ45网络接口传输到内网主机5上,完成数据包的安全传输。
发送端主机1通过网线和RJ45网络接口与加密设备2相连接,发送端主机1发送的数据包是在物理层进行传输的IP数据包,其报文只需要经过一次协议栈处理从真实物理网卡发出,通过网线发给加密设备2的第一网卡模块6。
加密设备2中内置的加密芯片7,完成对传输于物理层的数据包的基于硬件的加密,并对加密后的数据包重新封装形成新的IP数据包,经基于硬件的加密设备2加密封装后的数据包在公网LAN/WAN 3上传输。
本发明的其中一个网卡模块接收来自于用户主机的IP数据包,加密芯片对接收数据包进行加密,并将加密后的数据包封装成新的IP数据包,新数据包通过加密设备的另一网卡模块发送到公网LAN/WAN上传输。通过加密设备加密的报文的发送和接收只需要经过一次协议栈处理,提高了数据交换性能。加密设备中内置的加密芯片能够直接对传输于物理层的IP数据包进行加密,因此不需要主机安装特殊的客户端对收发报文进行加解密处理。
一种基于硬件加密的安全网络传输方法,其特征在于,包括以下步骤:
步骤一,发送端主机与加密设备相连接,发送端主机将数据包发送给加密设备;
发送端主机的数据包通过物理网卡发出,通过网线发送到加密设备的RJ45网络接口。发送端主机与外界仅有此一条交互通道。
步骤二,加密设备对数据包进行加密,并通过其RJ45接口将数据包发送到公网LAN/WAN上进行传输;
步骤三,加密数据包通过公网LAN/WAN传送到SSL VPN网关服务器上,对数据包进行拆封解密;经过加密芯片加密封装过的数据包可以通过公网LAN/WAN传输。该加密芯片对数据包的加密属于硬件加密,安全性高,即使在公网上被截获,基本上无法破解;
步骤四,将拆封解密后的数据包根据目的地址传输到内网主机上,完成数据包的安全传输。
在步骤一中,发送端主机与加密设备通过RJ45网络接口相连接,发送端主机发送的数据包是可以在物理层进行传输的IP数据包。
在步骤二中,加密设备中内置加密芯片,完成对数据包的加密封装。
在步骤三中,加密封装后的数据包在公网LAN/WAN上传输,并由SSL VPN网关服务器对数据包进行拆封解密。
实施例1:一种基于硬件加密的安全网络传输系统及方法,包括发送端主机1、加密设备2、公共LAN/WAN网3、SSL VPN网关服务器4、内网主机5。其中,加密设备2包括网卡模块6、加密芯片7和网卡模块8。发送端主机1的RJ45网络接口通过网线与加密设备2的网卡模块6相连接,加密设备2的另一网卡模块8与公网LAN/WAN 3相连接,公网LAN/WAN 3的另一端与SSL VPN网关服务器4的RJ45接口相连接,SSL VPN网关服务器4的RJ45接口通过网线与内网主机5的RJ45接口相连接。
一种基于硬件加密的安全网络传输方法,其特征在于:
步骤一,发送端主机1与加密设备2通过网线相连接,发送端主机1将传输于物理层的IP数据包发送给加密设备2;
步骤二,加密设备2通过网卡模块6接收数据包,并经内置加密芯片7对数据包进行加密封装形成新的IP数据包,加密设备的另一网卡模块8将加密封装后的数据包发送到公网LAN/WAN3上进行传输;
步骤三,经硬件加密的数据包通过公网LAN/WAN 3传送到连接内网主机5的SSL VPN网关服务器4上,并对数据包进行拆封解密;
步骤四,拆封解密过的数据包通过SSL VPN网关服务器4的RJ45接口传输到内网主机5上。
在步骤一中,发送端主机1的报文只需要经过一次协议栈处理从真实物理网卡发出,通过网线发给加密设备2的网卡模块6。发送端主机与外界仅有此一条交互通道。
在步骤二中,加密设备2中内置加密芯片7,完成对传输于物理层的数据包的基于硬件的加密,并对加密后的数据包重新封装形成新的IP数据包。
在步骤三中,经基于硬件的加密设备2加密封装后的数据包在公网LAN/WAN3上传输。
在步骤四中,内网主机5收到的数据包经过一次协议栈处理直接交给应用程序,不需要安装特殊的客户端对数据包进行处理。
综上所述,基于硬件加密的安全网络传输方法,通过内置加密芯片的加密设备对传输于物理层的IP数据包进行加密封装形成新的IP数据包,从而保证了数据在网络传输中的高安全性。发送端主机的报文只需要经过一次协议栈处理从物理网卡发出,内网主机从物理网卡收到的数据包也只需要经过一次协议栈处理,从而提高了数据交换的速度。此外,在收发主机上不用安装特殊的客户端对收发报文进行加密处理,从而简化了主机的操作。相对于基于虚拟网卡的SSL VPN技术更安全、更方便、数据交换性能更高。