CN110086750A - 一种基于光纤数据链路网络和卫星通信网络的加密系统 - Google Patents
一种基于光纤数据链路网络和卫星通信网络的加密系统 Download PDFInfo
- Publication number
- CN110086750A CN110086750A CN201810076177.8A CN201810076177A CN110086750A CN 110086750 A CN110086750 A CN 110086750A CN 201810076177 A CN201810076177 A CN 201810076177A CN 110086750 A CN110086750 A CN 110086750A
- Authority
- CN
- China
- Prior art keywords
- encryption
- optical fiber
- network
- data link
- satellite communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于光纤数据链路网络和卫星通信网络的加密系统,选用高速、大容量FPGA实现对称密码算法、加解密运算、非对称密码算法运算、密钥协商运算、密码杂凑类算法运算和随机数发生器,随机数检测遵循国密局要求的相关标准。本发明根据应用环境的星型结构、网状网结构、多站点,单播、组播IP载荷,线路负载均衡等技术特征,进行密钥结构配置、数据加密方式、密钥管理模式等信息加密实施方案的专用设计,确保在实现对用户业务数据安全保密的同时,对用户业务系统的正常使用基本无不利影响。
Description
技术领域
本发明涉及一种加密系统,具体是一种基于光纤数据链路网络和卫星通信网络的加密 系统。
背景技术
很多企业作为国有大型企业,其信息网络上运行有大量的涉密信息,这些信息使用过 程中必须做到保密与安全。因此为确保网络数据传输安全,必须建设与之相符的通信传输 加密系统。由于光纤数据链路传输网络在核心节点和区域节点同时使用两条主干线路,通 过路由策略实现负载均衡和主备;网络上运行着IP电话、视频会议等实时、广播数据包 业务,传统的IPSEC VPN网络加密产品由于密钥管理和协商建立隧道原因,会严重影响原 有网络结构和业务使用模式。
发明内容
本发明的目的在于提供一种基于光纤数据链路网络和卫星通信网络的加密系统,以解 决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种基于光纤数据链路网络和卫星通信网络的加密系统,选用高速、大容量FPGA实 现对称密码算法、加解密运算、非对称密码算法运算、密钥协商运算、密码杂凑类算法运算和随机数发生器,随机数检测遵循国密局要求的相关标准;建立由多个数据运算核组成的运算资源,通过并行处理技术,提升密码机整体处理能力,满足高速加密的应用需求; 同时,将密码运算和密钥管理在同一芯片内完成。
作为本发明进一步的方案:所述随机数发生器用作设备的噪声源,选用国家密码管理 局批准的WNG8噪声源芯片。
作为本发明进一步的方案:采用组播加密技术,保留IP报文头技术实现组播数据包 穿越加密隧道。
作为本发明进一步的方案:组播报文经IP加密隧道封装后,新构建MAC头的目的MAC 地址保持原有报文中的目的MAC地址不变,新构建IP头的目的IP地址保持原有报文中的 目的IP地址不变。
作为本发明再进一步的方案:组播SA采用人工分发的方式,使组播通信的各个点维 持相同的SA。
与现有技术相比,本发明的有益效果是:本发明部署在光纤数据链路网络的核心节点 和区域节点,卫星通信网络的中心站点,并具有实时加解密各类数据信息和广播包加解密 的能力,可对通信链路网络层IP数据包进行加解密,安全保密强度满足国家商用密码的要 求;本发明根据应用环境的星型结构、网状网结构、多站点,单播、组播IP载荷,线路负载均衡等技术特征,进行密钥结构配置、数据加密方式、密钥管理模式等信息加密实施方案的专用设计,确保在实现对用户业务数据安全保密的同时,对用户业务系统的正常使用基本无不利影响。
附图说明
图1为基于光纤数据链路网络和卫星通信网络的加密系统中密码运算单元功能框图。
图2为基于光纤数据链路网络和卫星通信网络的加密系统中组播报文加密流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地 描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本 发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实 施例,都属于本发明保护的范围。
请参阅图1~2,本发明实施例中,一种基于光纤数据链路网络和卫星通信网络的加密 系统,用密码算法可编程设计:选用高速、大容量FPGA实现对称密码算法、加解密运算、 非对称密码算法运算、密钥协商运算、密码杂凑类算法运算和随机数发生器,随机数检测 遵循国密局要求的相关标准,随机数发生器用作设备的噪声源,选用国家密码管理局批准 的WNG8噪声源芯片,密码运算单元功能框图如图1所示;建立由多个数据运算核组成的运算资源,通过并行处理技术,提升密码机整体处理能力,满足高速加密的应用需求。同时,将密码运算和密钥管理在同一芯片内完成,有效防止密码旁路,提高设备的安全性和运行稳定性。
本发明采用组播加密技术,保留IP报文头技术实现组播数据包穿越加密隧道。当两 个网络之间传输组播报文时,因为组播报对应多个接收主机,它的目的IP地址和目的MAC 地址不是实际的主机地址或路由器地址,如果按照单播报文的数据封装方法数据报将不能 到达且的端。为了使组播报文能进行加密保护,同时能够通过路由器转发至对应的组播成 员,对组播报文的封装方式如图2:
组播报文经IP加密隧道封装后,新构建MAC头的目的MAC地址保持原有报文中的目的MAC地址不变,新构建IP头的目的IP地址保持原有报文中的目的IP地址不变,这样 对组播报文执行了IP加密保护的基础上,又可使封装后的IP加密组播报文顺利通过网络 传输,到达目的端。
组播SA采用人工分发的方式,使组播通信的各个点维持相同的SA。在组播通信中,进入接收方向的数据包可能来自采用同一SA的不同子网,由于SA相同,报文中携带的序 列号可能重复,所以在对组播包的IP加密处理中,不能启用抗重放服务。
本发明采用集中管理技术,配置管理中心可对全网的密码机进行集中控制管理,通过 网络远程进行安全策略配置、密钥配置、系统配置(密码机参数设置)、系统监控(监视密 码机运行状况)、系统维护(进行密码机测试)、系统审计(记录密码机运行的全程情况)等 功能,进而使密码机有机地结合,实施统一的密码管理和设备管理,提高网络加密系统的 自动化、智能化程度。
密码管理的对象包含算法参数和密钥。密码管理分为密码资源下载、密码资源更换、 密码资源管控、保障模式切换、遥毙。密码资源下载用于将密码资源数据安全下载至密码 设备。密码资源更换用于对密码设备实施密码资源数据的分发和更换。密码资源管控用于 对密码设备进行密码资源信息的查询、密码资源的启用、停用、销毁等控制功能。保障模式切换,用于对密码设备的保障模式按需进行变更。遥毙用于对密码设备进行远程销毁。
设备管理包括软件升级、策略查询与配置、设备管控、状态监控、安全审计和时间同 步。软件升级用于由配置管理中心为密码机实施系统软件的远程升级。策略查询和配置用 于配置管理中心为密码机进行运行策略和监控策略的查询和下发等配置管理。设备管控用 于配置管理中心远程控制密码机的重启、启用、停用、自检等操作控制。状态监控用于配 置管理中心对密码机的运行状态和工作信息进行实时获取和监控。安全审计用于配置管理 中心收集密码机的日志信息并进行审计管理。时间同步用于配置管理中心对密码机进行时 间校准。
实施例1:
本发明应用于某企业光纤数据链路网络和卫星通信网络。某企业网络通信加密系统由 配置管理中心、千兆网络密码机(本发明)和百兆网络密码机装备组成。
配置管理中心部署在通信网络核心节点或主站,负责全网密码机的密码管理和设备管 理。中心采用专用密码管理设备、密码管理协议实现中心各节点、中心与密码机之间的安 全通信,实现全网密码机的在线管理和离线管理。千兆网络密码机以门卫方式部署在光纤 数据链路网的核心节点、区域节点和卫星通信网主站的网络边界,将用户网络和外部广域 网络隔离。整个系统主要工呢共实现原理如下:
密钥管理功能由配置管理中心和网络密码机协同完成。配置管理中心负责统一产生和 分发各被管密码机的设备密钥和业务密钥,实现密钥的产生、分发、备份、查询、更新、归档和销毁。被管密码机负责接收和执行标准密钥管理命令。
远程配置管理由配置管理中心对网络密码机进行集中监测与管理,网络密码机设计相 应的检测接口和监控代理守护软件。配置管理中心通过主动定时、定期或用户操作的方法, 通过TCP/IP网络协议,实现与密码设备的通信,配置密码设备工作参数,检测密码设备 工作情况,并从密码设备收集有关信息。
网络密码机采用VPN技术的数据封装格式为IP数据包提供机密性和完整性保护,主 要采用国密标准IPSEC安全封装协议对网络IP包进行安全处理。IP层也称为网际互联层, 是异构网络互联的关键,它解决了计算机之间的通信问题,为上层业务提供各种网络服务。IPSec安全协议工作在IP层,是将几种安全技术结合形成一个比较完整的安全体系结构, 通过在IP协议中采用两个基于密码技术的安全协议(认证头AH协议和封装安全载荷ESP 协议),来支持IP数据报的认证,完整性和机密性。千兆网络密码机基于内核协议栈、硬件FPGA实现的密码算法基于国密标准的ESP数据封装格式,采用嵌套式的封装结构, 通过与IP协议结合紧密,协同工作,为上层协议和各种应用服务提供透明的覆蓄式的安 全保护,具有较佳的安全效果。
密码机采用Linux内核下的Netfilter/IPTables防火墙安全机制,实现对网络数据 包安全过滤。Netfilter是linux内核的一个子系统,用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈无缝契合,从而允许使用者对数据报进行过滤、地址转换、处理等操作。
本发明在设计中运用多种安全策略与安全技术,解决了密码算法、密钥管理、身份认 证、操作系统以及物理防护等安全问题,从而具有高强度的抗攻击能力和完善的系统总体 安全性。具体体现在以下几个方面:
1.正确的密码算法:由于对所支持的密码算法进行正确性检验,保证千兆网络密码机 在对信息安全系统提供密码服务时,密码算法的正确性和完整性;
2.安全的密钥管理:工作密钥的生成、导入、备份、恢复、更新、废除等操作由配置管理中心统一管理。密钥的废除必须全部废除介质中的密钥。
3.严格的身份认证:采用数字证书技术USBKEY身份认证,防止用户对密码机的非法 操作和越权管理,也避免密码卡被非法伪造;
4.具有安全机制的操作系统软件平台:具有安全机制的Linux操作系统内核设计,增 强了千兆网络密码机在网络访问控制、系统安全审计、文件目录保护等操作系统方面的安 全性能
5.完善的系统日志:提供详细的系统日志记录,包括系统启动、配置操作、流量记录、 系统关闭等均有详细记录,系统日志记录只有最高级管理员才能查阅,而且必须在三个管 理员均在场时才能进行删除操作;
6密码机的物理安全性:采用身份卡完成对管理员用户的身份认证;加固机箱可有效 地防止非法拆卸;
7.应用模块完整性检查:密码机在第一次使用前,应先配置关键的部分模块做完整性 检查,没有进行完整性检查之前机内的密码卡不会提供安全服务。
在本发明的正常使用、维护和管理等方面,由于采用多级用户管理机制,并实行严格 的合法性和权限性认证,从而使得该密码机不但在安全性上具有很高的强度,并且具有日 常维护方便、分工管理明确和使用效率高等特点。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背 离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从 哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权 利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有 变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含 一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将 说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可 以理解的其他实施方式。
Claims (5)
1.一种基于光纤数据链路网络和卫星通信网络的加密系统,其特征在于,选用高速、大容量FPGA实现对称密码算法、加解密运算、非对称密码算法运算、密钥协商运算、密码杂凑类算法运算和随机数发生器,随机数检测遵循国密局要求的相关标准;建立由多个数据运算核组成的运算资源,通过并行处理技术,提升密码机整体处理能力,满足高速加密的应用需求;同时,将密码运算和密钥管理在同一芯片内完成。
2.根据权利要求1所述的基于光纤数据链路网络和卫星通信网络的加密系统,其特征在于,所述随机数发生器用作设备的噪声源,选用国家密码管理局批准的WNG8噪声源芯片。
3.根据权利要求1所述的基于光纤数据链路网络和卫星通信网络的加密系统,其特征在于,采用组播加密技术,保留IP报文头技术实现组播数据包穿越加密隧道。
4.根据权利要求3所述的基于光纤数据链路网络和卫星通信网络的加密系统,其特征在于,组播报文经IP加密隧道封装后,新构建MAC头的目的MAC地址保持原有报文中的目的MAC地址不变,新构建IP头的目的IP地址保持原有报文中的目的IP地址不变。
5.根据权利要求3所述的基于光纤数据链路网络和卫星通信网络的加密系统,其特征在于,组播SA采用人工分发的方式,使组播通信的各个点维持相同的SA。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810076177.8A CN110086750A (zh) | 2018-01-26 | 2018-01-26 | 一种基于光纤数据链路网络和卫星通信网络的加密系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810076177.8A CN110086750A (zh) | 2018-01-26 | 2018-01-26 | 一种基于光纤数据链路网络和卫星通信网络的加密系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110086750A true CN110086750A (zh) | 2019-08-02 |
Family
ID=67412076
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810076177.8A Pending CN110086750A (zh) | 2018-01-26 | 2018-01-26 | 一种基于光纤数据链路网络和卫星通信网络的加密系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110086750A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112202826A (zh) * | 2020-12-09 | 2021-01-08 | 视联动力信息技术股份有限公司 | 支持分控的视联网跨域通信方法、装置、设备及介质 |
| CN113037390A (zh) * | 2021-03-18 | 2021-06-25 | 南京邮电大学 | 一种基于fpga的光纤加密方法 |
| CN115460595A (zh) * | 2022-11-11 | 2022-12-09 | 北京数盾信息科技有限公司 | 一种基于卫星网络的数据传输方法、中心信关站及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7191342B1 (en) * | 2002-06-04 | 2007-03-13 | Xilinx, Inc. | Methods and circuits for allowing encrypted and unencrypted configuration data to share configuration frames |
| CN102523088A (zh) * | 2011-12-27 | 2012-06-27 | 成都芯通科技股份有限公司 | 一种软件与fpga联合加密和保护系统的方法 |
| CN103973432A (zh) * | 2014-05-23 | 2014-08-06 | 浪潮电子信息产业股份有限公司 | 一种基于fpga和usb接口芯片的sm4算法加密设备 |
| CN104202421A (zh) * | 2014-09-19 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的密码服务系统 |
| CN204316517U (zh) * | 2014-12-22 | 2015-05-06 | 中安网脉(北京)技术股份有限公司 | 一种sas接口密码装置 |
| CN107294711A (zh) * | 2017-07-11 | 2017-10-24 | 国网辽宁省电力有限公司 | 一种基于vxlan技术的电力信息内网报文加密发布方法 |
-
2018
- 2018-01-26 CN CN201810076177.8A patent/CN110086750A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7191342B1 (en) * | 2002-06-04 | 2007-03-13 | Xilinx, Inc. | Methods and circuits for allowing encrypted and unencrypted configuration data to share configuration frames |
| CN102523088A (zh) * | 2011-12-27 | 2012-06-27 | 成都芯通科技股份有限公司 | 一种软件与fpga联合加密和保护系统的方法 |
| CN103973432A (zh) * | 2014-05-23 | 2014-08-06 | 浪潮电子信息产业股份有限公司 | 一种基于fpga和usb接口芯片的sm4算法加密设备 |
| CN104202421A (zh) * | 2014-09-19 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的密码服务系统 |
| CN204316517U (zh) * | 2014-12-22 | 2015-05-06 | 中安网脉(北京)技术股份有限公司 | 一种sas接口密码装置 |
| CN107294711A (zh) * | 2017-07-11 | 2017-10-24 | 国网辽宁省电力有限公司 | 一种基于vxlan技术的电力信息内网报文加密发布方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112202826A (zh) * | 2020-12-09 | 2021-01-08 | 视联动力信息技术股份有限公司 | 支持分控的视联网跨域通信方法、装置、设备及介质 |
| CN112202826B (zh) * | 2020-12-09 | 2021-03-05 | 视联动力信息技术股份有限公司 | 支持分控的视联网跨域通信方法、装置、设备及介质 |
| CN113037390A (zh) * | 2021-03-18 | 2021-06-25 | 南京邮电大学 | 一种基于fpga的光纤加密方法 |
| CN113037390B (zh) * | 2021-03-18 | 2022-02-11 | 南京邮电大学 | 一种基于fpga的光纤加密方法 |
| CN115460595A (zh) * | 2022-11-11 | 2022-12-09 | 北京数盾信息科技有限公司 | 一种基于卫星网络的数据传输方法、中心信关站及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9461975B2 (en) | Method and system for traffic engineering in secured networks | |
| JP7027348B2 (ja) | モバイルエッジにおけるコンピューティングのためのプラットフォーム | |
| CN105577637B (zh) | 用于安全虚拟网络功能间通信的计算设备、方法和机器可读存储介质 | |
| WO2019195755A1 (en) | Network protocol for blockchain based network packets | |
| CN110535653A (zh) | 一种安全的配电终端及其通讯方法 | |
| US20080141360A1 (en) | Wireless Linked Computer Communications | |
| JP2016067054A (ja) | ワイヤレス・ネットワークにおいてデジタル証明書を管理するためのフレキシブルなシステムおよび方法 | |
| US20080082823A1 (en) | Systems and methods for management of secured networks with distributed keys | |
| US9015825B2 (en) | Method and device for network communication management | |
| CN107005534A (zh) | 安全连接建立 | |
| CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
| CN101521667B (zh) | 一种安全的数据通信方法及装置 | |
| CN110086750A (zh) | 一种基于光纤数据链路网络和卫星通信网络的加密系统 | |
| CN110830351B (zh) | 基于SaaS服务模式的租户管理及服务提供方法、装置 | |
| Rizzardi et al. | Analysis on functionalities and security features of Internet of Things related protocols | |
| US20080072033A1 (en) | Re-encrypting policy enforcement point | |
| CN114844730A (zh) | 一种基于可信隧道技术构建的网络系统 | |
| CN115473729B (zh) | 数据传输方法、网关、sdn控制器及存储介质 | |
| Liyanage et al. | Securing virtual private LAN service by efficient key management | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| Cho et al. | Secure open fronthaul interface for 5G networks | |
| CN112887278B (zh) | 一种私有云和公有云的互联系统及方法 | |
| Liyanage et al. | Secure hierarchical VPLS architecture for provider provisioned networks | |
| CN100466599C (zh) | 一种专用局域网的安全访问方法及用于该方法的装置 | |
| CN114640514A (zh) | 安全服务系统、访问控制方法和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190802 |
|
| RJ01 | Rejection of invention patent application after publication |