CN109861974A - 一种数据加密传输装置及方法 - Google Patents
一种数据加密传输装置及方法 Download PDFInfo
- Publication number
- CN109861974A CN109861974A CN201811586244.7A CN201811586244A CN109861974A CN 109861974 A CN109861974 A CN 109861974A CN 201811586244 A CN201811586244 A CN 201811586244A CN 109861974 A CN109861974 A CN 109861974A
- Authority
- CN
- China
- Prior art keywords
- encryption
- data
- network
- decryption
- thousand mbit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种数据加密传输装置及方法,所述装置包括加解密单元和两数据收发单元,加解密单元包括多个加密装置,各加密装置分别通过千兆网口与两数据收发单元双向通信连接,两数据收发单元分别通过万兆网口接入万兆以太网;其中一数据收发单元通过万兆网口从万兆以太网获取网络数据报文,通过千兆网口将网络数据报文分发至各加密装置分别进行加解密处理,加解密处理后的网络数据报文经千兆网口传输至另一数据收发单元,最后通过万兆网口传输至万兆以太网。本发明通过千兆网口对从万兆以太网获取的网络数据报文进行加解密处理,创建了多条数据传输链路,形成了万兆以太网在线数据多通道分发处理机制,能够显著增加数据并发处理能力。
Description
技术领域
本发明涉及一种数据加密传输装置及方法,属于网络安全技术领域。
背景技术
随着电网系统D5000在国内各级调度中心广泛部署,智能变电站远程控制系统、地县调度一体化系统逐步落地使用,其对纵向数据传输通道带宽提出了更高要求。基于SM1与SM2算法,目前主流纵向加密认证装置最高带宽密文数据吞吐率大约为1000Mbit/s。为了进一步提高数据加解密速率与安全性,满足现场业务需求,高性能万兆纵向加密认证装置应运而生。
在两个不同局域网之间交换数据最常用的安全策略是使用纵向加密认证装置,即身份认证与数据加解密方式进行业务交互。传统纵向加密认证装置根据网络带宽与数据传输吞吐率要求,分为百兆型、千兆型纵向加密认证装置,其基本结构都由一个带有双网口的控制主板和一个数据加解密模块组成。当前市场万兆型加密认证装置基本都采用CPCI-E结构,硬件架构主要包括两个主控板槽和八个加密卡槽,首先CPU对网络数据进行管控与分配,然后依据CPCI-E标准转发数据进行加解密处理,因此,数据加解密速率与整机运行效率完全取决于主板CPU性能。此种架构对CPU性能要求较高,软件上需要使用负载均衡技术实现资源动态合理分配,开发深度可控性有限,硬件上需由非X86指令集的多核、主频不得低于1.5GHz的CPU支持,硬件生产成本较高,应用场景单一,不宜推广市场化。
发明内容
本发明的目的在于克服现有技术中的不足,提供一种数据加密传输装置及方法,能够提高数据加密传输速率。
为达到上述目的,本发明实施例是采用下述技术方案实现的:
第一方面,本发明实施例提供了一种数据加密传输装置,包括加解密单元和两数据收发单元,所述加解密单元包括多个加密装置,各所述加密装置分别通过千兆网口与两所述数据收发单元双向通信连接,两所述数据收发单元分别通过万兆网口接入万兆以太网;
其中一数据收发单元通过万兆网口从万兆以太网获取网络数据报文,通过千兆网口将所述网络数据报文分发至各加密装置分别进行加解密处理,加解密处理后的网络数据报文经千兆网口传输至另一数据收发单元,最后通过万兆网口传输至万兆以太网。
结合第一方面,进一步的,还包括配置与密钥协商单元,具有国密算法SM2加解密功能,用于用户设备身份认证及对称密码生成。
结合第一方面,进一步的,所述加密装置集成有网口1、网口2和同步接口,所述网口1和网口2具有相同的IP地址,采用静态ARP地址绑定。
结合第一方面,进一步的,所述加解密单元还包括加密装置核心处理单元:用于初始化万兆以太网数据传输环境,包括:
同步完成各所述加密装置的ARP地址学习、密钥交互和日志告警。
结合第一方面,进一步的,所述数据收发单元采用数据通道加速架构。
第二方面,本发明还提供了一种数据加密传输装置的数据加密传输方法,所述装置包括加解密单元和两数据收发单元;所述加解密单元包括多个加密装置,所述方法包括:
其中一数据收发单元通过万兆网口从万兆以太网获取网络数据报文,通过千兆网口将所述网络数据报文分发至各加密装置分别进行加密处理,加密处理后的网络数据报文经千兆网口传输至另一数据收发单元,最后通过万兆网口传输至万兆以太网。
结合第二方面,进一步的,所述方法还包括:在加密处理前,对所述网络数据报文进行过滤解析处理。
结合第二方面,进一步的,所述方法采用电力专用密码卡与RSA算法对网络数据报文进行加密。
与现有技术相比,本发明实施例所提供的数据加密传输装置及方法,配置多个加密装置,通过千兆网口对从万兆以太网获取的网络数据报文进行加密处理,创建了多条数据传输链路,形成了万兆以太网在线数据多通道分发处理机制,能够显著增加数据并发处理能力,提高数据传输效率。
附图说明
图1是根据本发明实施例提供的一种数据加密传输装置的结构示意图;
图2是根据本发明实施例提供的一种两台数据加密传输装置用于在线数据加密传输的结构框图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图1所示,是本发明实施例提供的一种数据加密传输装置的结构示意图,包括一个加解密单元、一个配置与密钥协商单元和两个数据收发单元。
加解密单元包括九个加密装置和一个加密装置核心处理单元,加密装置核心处理单元与加密装置共十台形成陈列模式。加密装置核心处理单元用于初始化万兆以太网数据传输环境,九台加密装置的ARP地址学习、密钥交互和日志告警均由加密装置核心处理单元同步完成。每个加密装置均为千兆型加密装置,具有网口1、网口2和同步接口三个千兆网口,网口1和网口2设置同一个IP地址,采用静态ARP地址绑定。同时每个加密装置均具有国密算法SM1加解密功能,采用北京宏思电子技术有限责任公司的SSX30-D密码芯片。
配置与密钥协商单元也具有三个千兆网口并具有国密算法SM2加解密功能,采用北京华大信安科技有限公司的IS32U320A密码芯片。
加解密单元、配置与密钥协商单元的工作方式都可设置为明文透传模式、路由模式、桥接模式,符合电力专用纵向加密认证装置技术规范。
配置与密钥协商单元首先与用户设备完成身份认证操作,然后实时协商出对称密钥并通过千兆网口向加解密单元推送,保证对称密钥的动态更新以防被窃取,加解密单元将加解密操作后的数据实时传输至数据收发单元,具体如下:
参见图2,以万兆网口作为接收端,采用先进的数据通道加速架构,并按照用户配置要求对网络数据报文进行解析、环回、丢包、均衡分发等操作,形成10个不同的并行数据通道;通过千兆网口依次将数据按需均衡发送至加解密单元以及配置与协商单元。
参见图2,以万兆网口作为发送端,数据收发单元内部千兆以太网数据逻辑处理单元动态自适应从千兆网口获取网络数据报文,并进行网络数据报文过滤操作,以保证加解密单元具有足够数据缓冲空间从而正常工作,数据收发单元内部万兆以太网数据逻辑处理单元依次从不同数据通道的缓存区读取数据通过万兆网口发送出去,实现数据加密传输装置内部每个数据通道的吞吐量相当。
本发明实施例还提供了一种数据加密传输方法,可以采用前述的数据加密传输装置实现,具体包括如下步骤:
步骤一:配置数据收发模块网络数据报文过滤参数,同时,配置与密钥协商单元完成身份认证与对称密码生成任务;
步骤二:以图1从左往右作为数据传输方向,通过数据收发模块1的万兆以太网物理接口SFP+获取网络数据报文,依据配置参数生成防护准则进行报文过滤解析处理。
步骤三:根据数据收发模块1内部10选1分发机制,将网络数据报文发送至某个异步FIFO缓存,直至通过千兆网口传输到对应的加密装置或者配置与密钥协商单元。
加密装置可以采用电力专用密码卡与RSA算法对网络数据报文进行加解密。
步骤四:网络数据报文进行相关加密处理后,加密装置将加密数据定向传输至数据收发模块2的千兆网口。
为了提高万兆接口数据传输效率,采用数据通道加速架构设计方法,具有解决瞬时爆发数据的传输能力,满足数据传输的完整性和高速性要求。
所述网络数据报文采用数据通道加速架构操作方法分发至各所述加密装置。
步骤五:数据收发模块2将加密数据采集到相应网络缓存通道,进行数据并发传输,然后依据10选1机制再将加密数据转化为万兆报文格式送至万兆以太网。
步骤六:以图1从右往左作为数据传输方向,通过数据收发模块2的万兆以太网物理接口SFP+获取网络数据报文,依据配置参数生成防护准则进行报文过滤解析处理。
步骤七:根据数据收发模块2内部10选1分发机制,将网络数据报文发送至数据通道加速架构缓存区,直至通过千兆网口传输到对应的加密装置或者配置与密钥协商单元。
步骤八:网络数据报文进行相关加密处理后,加密装置将加密数据定向传输至数据收发模块1的千兆网口。
步骤九:数据收发模块1将加密数据采集到相应网络数据缓存通道,进行数据并发传输,然后依据10选1机制再将加密数据转化为万兆报文格式送至万兆以太网。
依据此实施方案搭建测试平台,利用南瑞Netkeeper-2000千兆纵向加密认证装置作为加解密单元以及配置与密钥协商单元,以NXP公司T4240CPU来实现万兆以太网在线数据多通道收发功能,经测试在包长为1588字节的测试条件下,得出明文传输的速度可以达到9Gbps,密文传输的速度可以达到6.5Gbps,与传统电力专用纵向加密认证装置相比,速度有明显提升。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (8)
1.一种数据加密传输装置,其特征在于,包括加解密单元和两数据收发单元,所述加解密单元包括多个加密装置,各所述加密装置分别通过千兆网口与两所述数据收发单元双向通信连接,两所述数据收发单元分别通过万兆网口接入万兆以太网;
其中一数据收发单元通过万兆网口从万兆以太网获取网络数据报文,通过千兆网口将所述网络数据报文分发至各加密装置分别进行加解密处理,加解密处理后的网络数据报文经千兆网口传输至另一数据收发单元,最后通过万兆网口传输至万兆以太网。
2.根据权利要求1所述的数据加密传输装置,其特征在于,还包括配置与密钥协商单元,具有国密算法SM2加解密功能,用于用户设备身份认证及对称密码生成。
3.根据权利要求1所述的数据加密传输装置,其特征在于,所述加密装置集成有网口1、网口2和同步接口,所述网口1和网口2具有相同的IP地址,采用静态ARP地址绑定。
4.根据权利要求3所述的数据加密传输装置,其特征在于,所述加解密单元还包括加密装置核心处理单元:用于初始化万兆以太网数据传输环境,包括:
同步完成各所述加密装置的ARP地址学习、密钥交互和日志告警。
5.根据权利要求4所述的数据加密传输装置,其特征在于,所述数据收发单元采用数据通道加速架构。
6.一种数据加密传输装置的数据加密传输方法,其特征在于,所述装置包括加解密单元和两数据收发单元;所述加解密单元包括多个加密装置,所述方法包括:
其中一数据收发单元通过万兆网口从万兆以太网获取网络数据报文,通过千兆网口将所述网络数据报文分发至各加密装置分别进行加密处理,加密处理后的网络数据报文经千兆网口传输至另一数据收发单元,最后通过万兆网口传输至万兆以太网。
7.根据权利要求6所述的数据加密传输方法,其特征在于,所述方法还包括:在加密处理前,对所述网络数据报文进行过滤解析处理。
8.根据权利要求6所述的数据加密传输方法,其特征在于,所述方法采用电力专用密码卡与RSA算法对网络数据报文进行加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811586244.7A CN109861974A (zh) | 2018-12-25 | 2018-12-25 | 一种数据加密传输装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811586244.7A CN109861974A (zh) | 2018-12-25 | 2018-12-25 | 一种数据加密传输装置及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109861974A true CN109861974A (zh) | 2019-06-07 |
Family
ID=66892113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811586244.7A Pending CN109861974A (zh) | 2018-12-25 | 2018-12-25 | 一种数据加密传输装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109861974A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112035899A (zh) * | 2020-08-21 | 2020-12-04 | 郑州信大捷安信息技术股份有限公司 | 一种基于密码卡的数据通信系统及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546312A (zh) * | 2012-03-22 | 2012-07-04 | 上海盖奇信息科技有限公司 | 基于智能多核网卡的网络测试仪及其测试方法 |
| CN106385423A (zh) * | 2016-11-18 | 2017-02-08 | 成都英德思网络技术有限公司 | 一种数据加密传输方法及系统 |
| CN106788718A (zh) * | 2017-03-17 | 2017-05-31 | 河南省中远科技有限公司 | 一种基于vlc的单向安全传输装置、系统及方法 |
| CN108809642A (zh) * | 2018-06-14 | 2018-11-13 | 南瑞集团有限公司 | 一种基于fpga的多通道数据万兆加密认证高速传输实现方法 |
-
2018
- 2018-12-25 CN CN201811586244.7A patent/CN109861974A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546312A (zh) * | 2012-03-22 | 2012-07-04 | 上海盖奇信息科技有限公司 | 基于智能多核网卡的网络测试仪及其测试方法 |
| CN106385423A (zh) * | 2016-11-18 | 2017-02-08 | 成都英德思网络技术有限公司 | 一种数据加密传输方法及系统 |
| CN106788718A (zh) * | 2017-03-17 | 2017-05-31 | 河南省中远科技有限公司 | 一种基于vlc的单向安全传输装置、系统及方法 |
| CN108809642A (zh) * | 2018-06-14 | 2018-11-13 | 南瑞集团有限公司 | 一种基于fpga的多通道数据万兆加密认证高速传输实现方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112035899A (zh) * | 2020-08-21 | 2020-12-04 | 郑州信大捷安信息技术股份有限公司 | 一种基于密码卡的数据通信系统及方法 |
| CN112035899B (zh) * | 2020-08-21 | 2022-04-15 | 郑州信大捷安信息技术股份有限公司 | 一种基于密码卡的数据通信系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2034659A2 (en) | Apparatus and method for deriving keys for securing peer links | |
| CN101741547B (zh) | 节点间保密通信方法及系统 | |
| CN102035845B (zh) | 支持链路层保密传输的交换设备及其数据处理方法 | |
| CN103763099A (zh) | 一种基于量子密钥分配技术的电力安全通信网络 | |
| GB0115770D0 (en) | Cryptographic apparatus and cryptographic communication system | |
| CN108809642B (zh) | 一种基于fpga的多通道数据万兆加密认证高速传输实现方法 | |
| IN2014DN00130A (zh) | ||
| CN106165353A (zh) | 使用点对点认证协议对加密流进行高效路由 | |
| CN208986966U (zh) | 一种加密终端以及相应的数据传输系统 | |
| US7627747B2 (en) | Hardware/software partitioning for encrypted WLAN communications | |
| WO2018098633A1 (zh) | 数据传输方法、数据传输装置、电子设备和计算机程序产品 | |
| US10686587B2 (en) | Method for safeguarding the information security of data transmitted via a data bus and data bus system | |
| CN109344639A (zh) | 一种配网自动化双重防护安全芯片、数据传输方法及设备 | |
| CN108306853A (zh) | 一种支持区块链和iot无线通讯的智能数据采集器及加密通讯方法 | |
| CN110611572A (zh) | 基于量子随机数的非对称密码终端、通信系统及方法 | |
| CN109150829B (zh) | 软件定义云网络可信数据分发方法、可读存储介质和终端 | |
| CN112804265B (zh) | 一种单向网闸接口电路、方法及可读存储介质 | |
| CN101515853B (zh) | 信息终端及其信息安全装置 | |
| Arabul et al. | 100 Gbps quantum-secured and O-RAN-enabled programmable optical transport network for 5G fronthaul | |
| CN109861974A (zh) | 一种数据加密传输装置及方法 | |
| CN108900518B (zh) | 可信的软件定义云网络数据分发系统 | |
| CN106487761A (zh) | 一种消息传输方法和网络设备 | |
| CN101834722B (zh) | 一种加密设备和非加密设备混合组网的通信方法 | |
| Zuo et al. | A novel software-defined network packet security tunnel forwarding mechanism | |
| CN100450119C (zh) | 在ip视频会议系统中进行密文传输的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190607 |