CN111541663A - 一种基于国家密码标准的链路交换加密系统 - Google Patents
一种基于国家密码标准的链路交换加密系统 Download PDFInfo
- Publication number
- CN111541663A CN111541663A CN202010298236.3A CN202010298236A CN111541663A CN 111541663 A CN111541663 A CN 111541663A CN 202010298236 A CN202010298236 A CN 202010298236A CN 111541663 A CN111541663 A CN 111541663A
- Authority
- CN
- China
- Prior art keywords
- encryption
- network card
- switch
- electrically connected
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种基于国家密码标准的链路交换加密系统,包括加密交换机和国产化加密网卡,所述加密交换机与国产化加密网卡双向电性连接。本发明中,采用高性能FPGA芯片的国密算法,32个算法核并行集成与调度,实现加密交换机全背板带宽速率,加解密速率可以达到32G以上,采用专用的加密通信协议和密钥管理系统,保证每个加密网卡与交换机之间都采用各自独立的加密密钥,每个通路各不相同,增加攻击者的抓包及分析难度,增加系统的安全系数。密钥管理系统提供密钥管理、设备管理和设备自毁等功能,可以管理用户密钥,进行网卡设备绑定,配置加密模式,在特定安全泄露的情况下进行紧急销毁。
Description
技术领域
本发明属于计算机密码安全应用领域技术,具体为一种基于国家密码标准的链路交换加密系统。
背景技术
随着计算机技术的快速发展,计算机通信技术已经渗透到大家的工作和生活中,我们会通过电脑进行大量的信息传输及信息交换,其中可能包含有商业机密及个人隐私,这时信息安全就显得尤为重要了。交换机可分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。现在的以太链路交换机是数据链路层的机器,基于以太网使用物理MAC地址传输数据的,交换机分割冲突域,每个端口独立成一个冲突域,每个端口如果有大量数据发送,则端口会先将收到的等待发送的数据存储到寄存器中,在轮到发送时再发送出去。网卡按照传输速率主要分为10Mbps网卡、100Mbps网卡、10/100Mbps自适应网卡和1000Mbps网卡四类。在局域网内网卡通过计算机的主板I/O与计算机终端通信,另一端通过串口与局域网络通信,组成一条通信链路,实现数据包的定向转发。然而这种传统的方式存在着它的缺陷,如ARP攻击、IP欺骗、会话劫持、局域网断网攻击等,都会造成通信链路的不安全,可能引起数据丢失、信息篡改等问题,对一些有信息安全要求的企业、组织造成不可估量的影响。
发明内容
本发明的目的在于为解决局域网内网络设备之间传输安全问题,保证整个链路数据交换过程中信息的保密性,通过对终端设备接入加密网卡,链路层用加密交换机的方式提升局域网链路数据包交换的安全。
本发明采用的技术方案如下:一种基于国家密码标准的链路交换加密系统,包括加密交换机和国产化加密网卡,所述加密交换机与国产化加密网卡双向电性连接。
其中,所述加密交换机包括第一加密芯片、GD32、第一FPGA和载板交换芯片,所述GD32与第一加密芯片双向电性连接。
其中,所述国产化加密网卡包括第二加密芯、第二FPGA和MAC芯片,所述第二加密芯与第二FPGA双向电性连接。
其中,所述国产化加密网卡的PICE端与PC主机的PICE双向电性连接。
其中,所述第二FPGA与MAC芯片双向电性连接。
其中,所述GD32与第一FPGA通过SPI接口双向电性连接,所述第一FPGA与载板交换芯片双向电性连接。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1、本发明中,采用高性能FPGA芯片的国密算法,32个算法核并行集成与调度,实现加密交换机全背板带宽速率,加解密速率可以达到32G以上。
2、本发明中,采用专用的加密通信协议和密钥管理系统,保证每个加密网卡与交换机之间都采用各自独立的加密密钥,每个通路各不相同,增加攻击者的抓包及分析难度,增加系统的安全系数。密钥管理系统提供密钥管理、设备管理和设备自毁等功能,可以管理用户密钥,进行网卡设备绑定,配置加密模式,在特定安全泄露的情况下进行紧急销毁。
3、本发明中,局域网内运用配套的加密交换机和加密网卡,普通的交换机和网卡都无法接入,保证接入设备之间通信安全
附图说明
图1为本发明的系统模块图;
图2为本发明的网卡设备接入密钥分发流程;
图3为本发明的密钥更新流程;
图4为本发明的数据交换流程图;
图5为本发明的密管软件启动流程;
图6为本发明的设备管理软件登录及管理。
图中标记:1、加密交换机;101、第一加密芯片;102、GD32;103、第一FPGA;104、载板交换芯片;2、国产化加密网卡;201、第二加密芯;202、第二FPGA;203、MAC芯片。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1:一种基于国家密码标准的链路交换加密系统,包括加密交换机1和国产化加密网卡2,组成一个使用密码对链路加密、具有安全防护体系、包含密钥管理策略、满足安全工作环境需求的内部网络,对连接到高速交换机的多台终端设备所构成的局域网络的数据链路层进行加密安全保护,加密网卡2的PICE端与PC主机的PICE双向电性连接,加密交换机1是在传统交换机结构上加上交换机国产化加密模块,对加入到每个端口的网络设备进行身份认证、数据加解密,实现对加密后的数据链路包存储转发,以实现可信网络设备的加入和对加密局域网络的授权,加密交换机1包括第一加密芯片101、GD32102、第一FPGA103和载板交换芯片104,GD32102与第一加密芯片101双向电性连接,GD32102与第一FPGA103通过SPI接口双向电性连接,第一FPGA103与载板交换芯片104双向电性连接,加密交换机1与国产化加密网卡2双向电性连接,国产化加密网卡2包括第二加密芯201、第二FPGA202和MAC芯片203,第二加密芯201与第二FPGA202双向电性连接,第二FPGA202与MAC芯片203双向电性连接,在局域网网络终端上加上国产化加密网卡2,以保证这台终端加入到授权的加密网络中,但是此终端不能加入到非授权的加密网络或通用的局域网络中,在网络链路层对网络数据进行加解密等相关操作,加密交换机1和国产化加密网卡2这两个密码产品统一采用国产化的设计要求,电子元器件和芯片的选择以自主国产为主,有效的防止非国产化元器件和芯片存在的漏洞和后门等安全威胁,确保安全可靠,适合对机要、敏感、网络安全要求高的政府企事业单位,其中使用的安全芯片取得国家密码管理局的“商用密码产品型号证书”,可提供国密算法SM2和SM3,并且提供敏感数据的安全存储,此外还支持抗DPA/SPA攻击、存储保护、主动屏蔽、电压频率温度检测等安全防护机制,数据交换模式:以太链路数据包存储转发,支持协议:专用以太链路层网络通信协议,端口特性:支持全双工模式,端口工作模式:支持多种类型的加密通讯模式,如全包加密、链路载荷加密等,固定端口:不少于24个100/1000Mbps以太网端口,数据吞吐量:≥24Gbit/s,端口加解密速率:≥950Mbit/s。
参照图2和图3:会话密钥管理分为两种情况,一为加密网卡设备加入局域网时,会向交换机请求密钥分发,二为运用管理软件可以触发密钥协商对系统密钥进行更新,网卡设备接入流程,当加密网卡接入交换机时,向交换机的加密模块发送网卡设备主密钥的公钥(DMK)及设备序列号,交换机收到后通过加密模块中的加密芯片生成存储保护密钥(SPK)和会话密钥(WSK),并通过节点网卡设备公钥及密钥协议,对密钥使用SM2算法加密,将SPK密文、WSK密文和交换机设备公钥返给加密网卡,加密网卡对这些信息进行保存,可通过网卡中保存的会话密钥对信息加密后传输,我们可以用管理软件手动或定时自动执行密钥更新,加密交换机将与所有接入本可信网络中的终端设备进行密钥协商。
参照图4:PC机设备终端进行信息传输时,在链路层通过加密网卡中的会话密钥对数据帧进行SM4加密后传输到加密交换机,并经交换机上的路由器转接传输给目的PC终端设备,系统中加密网卡与加密交换机中都有密钥销毁机制,在必要时,可对密钥等信息进行销毁处理,以保证信息安全。
参照图2、图3和图5:该系统两个基于Linux系统的管理程序,分别为manage_usart和netcard_usart,两个程序通过串口分别实现对加密交换机1、国产化加密网卡2的管理和配置等操作,manage_usart可以对国产化加密网卡2及加密交换机1进行加载设备主密钥、加密算法、端口加密模式、会话密钥更新、网卡管理、销毁密钥或算法或可定时执行等设置,netcard_usart可单独对加密网卡进行导入设备主密钥、销毁密钥或算法设置,SPK和WSK两种密钥是通过底层的密钥协议,由QSGMII加密模块分发到网络设备的各个节点中,分发到不同节点的密钥数据使用不同的密钥加密传输,密钥分发采用类似数字信封的设计,具体流程如下:首先,交换机的加密模块中产生随机数生成SPK和WSK,然后,使用SPK加密WSK生成WSK密文Ewsk,再次,使用目标设备节点的DMK公钥加密SPK生成密文Espk,最后,使用密钥传输协议将分发的密钥数据Ewsk和Espk发送的目标节点,目标设备节点处理密钥数据的具体流程如下:首先,解析密钥传输协议,从密钥数据中提取Ewsk和Espk,然后,使用设备节点的DMK私钥解密密文Espk生成明文SPK,最后,当使用需要会话密钥时,使用SPK解密密文Ewsk生成明文WSK,加密交换协议,是集成有加密交换机1与国产化加密网卡2间进行通信的协议,增加攻击者通过抓包对协议进行分析破解的难度,通信协议主要包括:密钥协议、传输协议、管理协议和报警协议,密钥协议:密钥协议用于网络系统的密码生成、分发、更新和销毁控制等,传输协议:传输用于网络系统的通信数据加密和解密控制等,管理协议:管理协议用于网络系统的设备节点信息管理和设备控制等,报警协议:报警协议用于网络系统的异常报警和特殊情况处理等,方案中设备全部使用国产化设备:国产化QSGMII加密模块、国产化加密网卡2,并使用国密局发布的国密对称算法SM4对网络链路的数据进行加密保护,国密ECC椭圆曲线SM2算法,在分发对称加密密钥时或者数据来源认证时使用,使用哈希算法SM3保护系统数据传输的完整性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种基于国家密码标准的链路交换加密系统,包括加密交换机(1)和国产化加密网卡(2),其特征在于:所述加密交换机(1)与国产化加密网卡(2)双向电性连接。
2.如权利要求1所述的一种基于国家密码标准的链路交换加密系统,其特征在于:所述加密交换机(1)包括第一加密芯片(101)、GD32(102)、第一FPGA(103)和载板交换芯片(104),所述GD32(102)与第一加密芯片(101)双向电性连接。
3.如权利要求1所述的一种基于国家密码标准的链路交换加密系统,其特征在于:所述国产化加密网卡(2)包括第二加密芯(201)、第二FPGA(202)和MAC芯片(203),所述第二加密芯(201)与第二FPGA(202)双向电性连接。
4.如权利要求1所述的一种基于国家密码标准的链路交换加密系统,其特征在于:所述国产化加密网卡(2)的PICE端与PC主机的PICE双向电性连接。
5.如权利要求3所述的一种基于国家密码标准的链路交换加密系统,其特征在于:所述第二FPGA(202)与MAC芯片(203)双向电性连接。
6.如权利要求2所述的一种基于国家密码标准的链路交换加密系统,其特征在于:所述GD32(102)与第一FPGA(103)通过SPI接口双向电性连接,所述第一FPGA(103)与载板交换芯片(104)双向电性连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010298236.3A CN111541663A (zh) | 2020-04-14 | 2020-04-14 | 一种基于国家密码标准的链路交换加密系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010298236.3A CN111541663A (zh) | 2020-04-14 | 2020-04-14 | 一种基于国家密码标准的链路交换加密系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111541663A true CN111541663A (zh) | 2020-08-14 |
Family
ID=71978578
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010298236.3A Pending CN111541663A (zh) | 2020-04-14 | 2020-04-14 | 一种基于国家密码标准的链路交换加密系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111541663A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113014385A (zh) * | 2021-03-25 | 2021-06-22 | 黑龙江大学 | 一种双网口硬件网络数据加密系统及方法 |
| CN113660655A (zh) * | 2021-06-30 | 2021-11-16 | 南京邮电大学 | 一种面向边防系统的延迟容忍网络安全路由方法及其装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013086758A1 (zh) * | 2011-12-16 | 2013-06-20 | 汉柏科技有限公司 | 以太网加密认证系统及加密认证方法 |
| CN105721458A (zh) * | 2016-01-30 | 2016-06-29 | 安徽欧迈特数字技术有限责任公司 | 一种基于isg安全密码技术的工业以太网交换方法 |
| CN206962832U (zh) * | 2017-06-26 | 2018-02-02 | 杭州创谐信息技术股份有限公司 | 基于fpga高性能采集卡的网络数据审计系统 |
| CN110417706A (zh) * | 2018-04-27 | 2019-11-05 | 奥维飞越通信有限公司 | 一种基于交换机的安全通信方法 |
-
2020
- 2020-04-14 CN CN202010298236.3A patent/CN111541663A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013086758A1 (zh) * | 2011-12-16 | 2013-06-20 | 汉柏科技有限公司 | 以太网加密认证系统及加密认证方法 |
| CN105721458A (zh) * | 2016-01-30 | 2016-06-29 | 安徽欧迈特数字技术有限责任公司 | 一种基于isg安全密码技术的工业以太网交换方法 |
| CN206962832U (zh) * | 2017-06-26 | 2018-02-02 | 杭州创谐信息技术股份有限公司 | 基于fpga高性能采集卡的网络数据审计系统 |
| CN110417706A (zh) * | 2018-04-27 | 2019-11-05 | 奥维飞越通信有限公司 | 一种基于交换机的安全通信方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李耀龙: "基于Suite-B的密码令牌接口系统的设计与实现", 《中国优秀硕士论文全文数据库 信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113014385A (zh) * | 2021-03-25 | 2021-06-22 | 黑龙江大学 | 一种双网口硬件网络数据加密系统及方法 |
| CN113014385B (zh) * | 2021-03-25 | 2023-09-01 | 黑龙江大学 | 一种双网口硬件网络数据加密系统 |
| CN113660655A (zh) * | 2021-06-30 | 2021-11-16 | 南京邮电大学 | 一种面向边防系统的延迟容忍网络安全路由方法及其装置 |
| CN113660655B (zh) * | 2021-06-30 | 2023-06-02 | 南京邮电大学 | 一种面向边防系统的延迟容忍网络安全路由方法及其装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6067620A (en) | Stand alone security device for computer networks | |
| Chen et al. | Security enhancement on an improvement on two remote user authentication schemes using smart cards | |
| EP3073668B1 (en) | Apparatus and method for authenticating network devices | |
| US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
| Xin | A mixed encryption algorithm used in internet of things security transmission system | |
| US11841985B2 (en) | Method and system for implementing security operations in an input/output device | |
| US9614669B1 (en) | Secure network communications using hardware security barriers | |
| Jose et al. | Implementation of data security in cloud computing | |
| CN111800436B (zh) | IPSec隔离网卡设备及安全通信方法 | |
| CN111541663A (zh) | 一种基于国家密码标准的链路交换加密系统 | |
| CN202652534U (zh) | 移动终端安全接入平台 | |
| CN201051744Y (zh) | 一种安全的加密网卡装置 | |
| CN106992978A (zh) | 网络安全管理方法及服务器 | |
| CN113783868A (zh) | 一种基于商用密码保护闸机物联网安全的方法及系统 | |
| CN103379103A (zh) | 线性与加密解密的硬件实现方法 | |
| Khoussainov et al. | LAN security: problems and solutions for Ethernet networks | |
| US20140052980A1 (en) | Secure network systems and methods | |
| CN210274109U (zh) | 一种支持加密功能的以太网卡装置 | |
| Freeman et al. | Design for a decentralized security system for network attached storage | |
| CN108460267B (zh) | 一种教学用计算机网络信息安全装置 | |
| Jianguang et al. | The security research of network access control system | |
| Zhan et al. | GUARDBOX: A high-performance middlebox providing confidentiality and integrity for packets | |
| CN116846547B (zh) | 一种基于量子技术的政法数据跨域安全传输方法 | |
| US20240064012A1 (en) | Authentication cryptography operations, exchanges and signatures | |
| US20240073009A1 (en) | Registration of endpoints by authentication server when onboarding to network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200814 |
|
| WD01 | Invention patent application deemed withdrawn after publication |