CN111800436B - IPSec隔离网卡设备及安全通信方法 - Google Patents

IPSec隔离网卡设备及安全通信方法 Download PDF

Info

Publication number
CN111800436B
CN111800436B CN202010745884.9A CN202010745884A CN111800436B CN 111800436 B CN111800436 B CN 111800436B CN 202010745884 A CN202010745884 A CN 202010745884A CN 111800436 B CN111800436 B CN 111800436B
Authority
CN
China
Prior art keywords
rule
ipsec
decryption module
data encryption
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010745884.9A
Other languages
English (en)
Other versions
CN111800436A (zh
Inventor
何骏
李鹏展
陈晓
余军
武元杰
王凯霖
徐诺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN202010745884.9A priority Critical patent/CN111800436B/zh
Publication of CN111800436A publication Critical patent/CN111800436A/zh
Application granted granted Critical
Publication of CN111800436B publication Critical patent/CN111800436B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种用于实现内网主机与外网主机之间隔离交互的IPSec隔离网卡设备及安全通信方法,设备包括第一物理接口、第二物理接口、数据加解密模块以及存储模块;数据加解密模块通过第一物理接口或第二物理接口接收业务数据包,基于业务数据包中的五元组字段匹配规则表来确定是否需要对业务数据包进行加解密处理;根据命中的密通规则内的索引字段索引确定SA策略,并基于SA策略对业务数据包进行IPSec封装或解封装操作;存储模块电性连接于所述数据加解密模块,用于存储规则表、SA策略表、路由表以及ARP表,以供数据加解密模块进行调用,本发明能够有效加强数据通信过程中的安全性,能大幅度提升数据吞吐量以及系统带宽。

Description

IPSec隔离网卡设备及安全通信方法
技术领域
本发明属于网卡技术领域,尤其涉及一种用于实现内网主机与外网主机之间隔离交互的IPSec隔离网卡设备及安全通信方法。
背景技术
随着网络的开放性、共享性和互联程度的不断扩大,网络安全问题日益重要,运用IP安全(Internet Protocol Security,IPSec)协议虽然可以有效地解决网络通信的安全问题,但是由于IPSec需要对数据包进行复杂的加、解密运算。因此,随着网络传输速率不断提高,用传统的软件方式来实现IPSec功能会使系统的负荷和资源占用率增加。传统对数据进行加解密的运算过程多采用软件实现,而密钥通常存储在内存或者硬盘中,很容易被获取,安全性能不高。
专利公开号CN1770769A公开了一种用于确保具有无效或破坏状态的机器被限制访问主机资源的系统和方法,位于客户机上的隔离代理(QA)从多个隔离策略客户机获取健康声明,QA包装该声明,并将该包提供给隔离实施客户机(QEC)。QEC用对健康证书的请求将该包发送到隔离健康证书服务器(HCS),如果客户机提供了有效的健康声明,则HCS向客户机授予可在IPsec会话协商中使用的健康证书。该对比文件主要是从客户机处接收包括客户机健康证书的互联网密钥交换(IKE)数据包,然后确认客户机健康证书;如果所述客户机健康证书有效,则向客户机发送主机健康证书;如果客户机健康证书无效,则拒绝客户机对主机的访问。对比文件主要是通过主机来鉴别客户机的证书状态是否健康,并确定是否要返回自己的证书给客户机。在对比文件中,客户机的证书健康状态,只是基于业务数据包进行分析,来达到隔离交互的目的,其安全性能还是不高。
发明内容
为了解决上述问题,本发明的目的在于提供一种能够有效加强数据通信过程中的安全性,同时能够大幅度提升数据吞吐量以及系统带宽的IPSec隔离网卡设备及安全通信方法,通过分析业务数据包的五元组信息,并结合规则表来判断是否需要加解密处理,如果判定是需要加解密的,则可以根据命中的密通规则内的索引字段索引确定SA策略,并基于所述SA策略对业务数据包进行IPSec封装或解封装操作,达到隔离交互的目的。
本发明的目的时这样是实现的:
本发明第一方面提供一种IPSec隔离网卡设备,用于实现内网主机与外网主机之间的隔离交互,所述IPSec隔离网卡设备包括第一物理接口、第二物理接口、设置在第一物理接口和第二物理接口之间的数据加解密模块以及与数据加解密模块相连接的存储模块;
所述第一物理接口,通信连接于所述内网主机和所述数据加解密模块之间,用于提供所述内网主机与IPSec隔离网卡设备之间的数据交互通信接口;
所述第二物理接口,通信连接于所述外网主机和所述数据加解密模块之间,用于提供所述外网主机与IPSec隔离网卡设备之间的数据交互通信接口;
所述数据加解密模块通过所述第一物理接口或所述第二物理接口接收业务数据包,并基于业务数据包中的五元组字段匹配规则表,来确定是否需要对业务数据包进行加解密处理;然后根据命中的密通规则内的索引字段索引确定SA策略,并基于所述SA策略对业务数据包进行IPSec封装或解封装操作;
所述存储模块,电性连接在所述数据加解密模块上,用于存储规则表、SA策略表、路由表以及ARP表,以供所述数据加解密模块进行调用。
进一步的,所述规则表包括明通规则和密通规则,在所述数据加解密模块确定是否需要对业务数据包进行加解密处理过程中,所述数据加解密模块对业务数据包的五元组关键字进行解析,并基于解析结果在存储规则表中匹配相应的规则类别,如果命中明通规则,则所述数据加解密模块直接透传所述业务数据包,如果命中密通规则,则所述数据加解密模块需要对业务数据包进行加解密处理;如果同时未命中明通规则和密通规则,则所述数据加解密模块将所述业务数据包丢弃处理。
更进一步的,所述存储模块还包括路由表和ARP表,如果所述业务数据包命中密通规则,则所述数据加解密模块根据命中的密通规则内的索引字段在SA策略表中索引确定相应的SA策略,并基于所述SA策略对业务数据包进行IPSec封装或解封装操作,然后对IPSec封装或解封装后的数据内容进行加解密处理,待加解密完成后,调用路由表进行路由查找,并确定目的IP地址;调用ARP表,并基于目的IP地址查找对应的MAC地址;基于目的IP地址和对应的MAC地址进行以太网协议封装,并将封装后的以太网包发送给外网主机。
进一步的,所述IPSec隔离网卡设备还包括主控模块和安全芯片,所述主控模块电性连接于所述数据加解密模块和安全芯片之间,主控模块调用安全芯片与对端IPSec VPN设备进行密钥协商以形成共享密钥,并约定规则表和SA策略表,将共享密钥置于SA策略表中,并将所述规则表和所述SA策略表存放在所述存储模块中。
进一步的,所述数据加解密模块包括算法池,所述算法池中包括多个SM3算法单元和多个SM4算法单元,多个SM3算法单元分别用于完整性校验,多个SM4算法单元分别用于加解密运算。
本发明第二方面还提出一种基于IPSec隔离网卡设备的安全通信方法,所述方法包括:
步骤1),数据加解密模块通过第一物理接口接收内网主机发送的业务数据包;
步骤2),所述数据加解密模块对业务数据包的五元组关键字进行解析,并基于解析结果在规则表中匹配相应的规则类别,如果命中密通规则;
步骤3),所述数据加解密模块根据命中的密通规则内的索引字段在SA策略表中索引确定相应的SA策略;
步骤4),所述数据加解密模块基于所述SA策略对业务数据包进行IPSec封装操作;
步骤5),由所述数据加解密模块对IPSec封装后的数据报文进行加密处理,以得到数据密文;
步骤6),所述数据加解密模块将所述数据密文通过第二物理接口发送给外网主机。
进一步的,在上述步骤1)之前,所述方法还包括:
步骤1-1),所述主控模块调用安全芯片与外网主机进行密钥协商以形成共享密钥,并约定规则表和SA策略表,其中共享密钥内置于SA策略表中;
步骤1-2),所述主控模块将所述规则表和所述SA策略表预存在所述存储模块中,以供所述数据加解密模块调用。
更进一步的,上述步骤1-1)具体包括:
第一阶段,所述IPSec隔离网卡设备的主控模块通过调用安全芯片来实现通信双方的身份鉴别和密钥交换,得到工作密钥,该工作密钥用于保护第二阶段的协商过程;
第二阶段,实现通信双方规则表和SA策略表的协商,确定通信双方的规则表、SA策略表以及共享密钥,其中共享密钥内置于SA策略表中。
进一步的,在上述步骤5)之后,所述方法还包括:
步骤5-1),所述数据加解密模块调用路由表进行路由查找,并确定目的IP地址;
步骤5-2),所述数据加解密模块调用ARP表,并基于目的IP地址查找对应的MAC地址;
步骤5-3),基于目的IP地址和对应的MAC地址进行以太网协议封装,并将封装后的以太网包通过第二物理接口发送给外网主机。
进一步的,在上述步骤6)之后,所述方法还包括:
步骤6-1),由外网主机接收到所述数据密文,并采用共享密钥进行解密得到数据明文,基于数据明文进行相关业务处理,同时产生响应数据包返回给IPSec隔离网卡设备;
步骤6-2),所述数据加解密模块通过第二物理接口接收外网主机返回的响应数据包;
步骤6-3),所述数据加解密模块对响应数据包的五元组关键字进行解析,并基于解析结果在规则表中匹配相应的规则类别,如果命中密通规则;
步骤6-4),所述数据加解密模块根据命中的密通规则内的索引字段在SA策略表中索引确定相应的SA策略;
步骤6-5),所述数据加解密模块基于所述SA策略对响应数据包进行IPSec解封装操作;
步骤6-6),由所述数据加解密模块对IPSec解封装后的数据报文进行解密处理,以得到数据明文;
步骤6-7),所述数据加解密模块将所述数据明文通过第一物理接口返回给内网主机。
本发明具有如下积极效果:
本发明的IPSec隔离网卡设备以网卡形态嵌入主机内部,可以对主机所有出入境数据包进行过滤、隔离、分发操作,并且本发明的IPSec隔离网卡设备形态小巧,可直接嵌入宿主设备(内网主机)内部进行使用,大大扩展了其应用场景,提升了宿主设备的灵活性。
另外,本发明的IPSec隔离网卡设备采用硬件加密,其密钥的保存在设备内部,同时密码运算均在设备内部实现,可以从密钥根本上对其安全保护。同时,本发明的IPSec隔离网卡设备采用DPDK架构。控制面主要由主控模块实现,FPGA不作干预。数据面主要由数据加解密模块通过FPGA硬件逻辑实现,其中包括数据安全协议IPSec、加解密算法以及各种表项的高速搜索匹配逻辑的实现,能够在确保数据通信过程中机密性的同时,进一步提升数据吞吐量以及系统带宽。
本发明通过分析业务数据包的五元组信息,并结合规则表来判断是否需要加解密处理,如果判定是需要加解密的,则可以根据命中的密通规则内的索引字段索引确定SA策略,并基于所述SA策略对业务数据包进行IPSec封装或解封装操作,因此本申请并不需要判定客户机的证书健康状态,只是基于业务数据包进行分析,来达到隔离交互的目的。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出了本发明一种IPSec隔离网卡设备的框图。
图2示出了本发明的数据加解密模块的工作流程图。
图3示出了本发明一种基于IPSec隔离网卡设备的安全通信方法的流程图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
如图1所示,本发明第一方面提出一种IPSec隔离网卡设备,用于实现内网主机与外网主机之间的隔离交互,所述IPSec隔离网卡设备包括:第一物理接口、第二物理接口、设置在第一物理接口、第二物理接口之间的数据加解密模块以及与数据加解密模块相连接的存储模块;
所述第一物理接口,分别通信连接于所述内网主机和所述数据加解密模块之间,用于提供所述内网主机与IPSec隔离网卡设备之间的数据交互通信接口;
所述第二物理接口,分别通信连接在所述外网主机和所述数据加解密模块之间,用于提供所述外网主机与IPSec隔离网卡设备之间的数据交互通信接口;
所述数据加解密模块,通过所述第一物理接口或所述第二物理接口接收业务数据包,并基于业务数据包中的五元组字段匹配规则表,来确定是否需要对业务数据包进行加解密处理;然后根据命中的密通规则内的索引字段索引确定SA策略,并基于所述SA策略对业务数据包进行IPSec封装或解封装操作;
所述存储模块,电性连接于所述数据加解密模块上,用于存储规则表、SA策略表、路由表以及ARP表等,以供所述数据加解密模块进行调用。
所述IPSec隔离网卡设备还包括主控模块和安全芯片,所述主控模块电性连接在数据加解密模块和安全芯片之间,主控模块调用安全芯片与对端IPSec VPN设备进行密钥协商以形成共享密钥,并约定规则表和SA策略表,将共享密钥置于SA策略表中,并将所述规则表和所述SA策略表存放在所述存储模块中。
如图2所示,所述规则表包括明通规则和密通规则两类,在所述数据加解密模块确定是否需要对业务数据包进行加解密处理过程中,所述数据加解密模块对业务数据包的五元组关键字进行解析,并基于解析结果在规则表中匹配相应的规则类别,如果命中明通规则,则所述数据加解密模块直接透传所述业务数据包,如果命中密通规则,则所述数据加解密模块需要对业务数据包进行加解密处理;如果同时未命中明通规则和密通规则,则所述数据加解密模块将所述业务数据包丢弃处理。
所述存储模块还包括路由表和ARP表,如果所述业务数据包命中密通规则,则所述数据加解密模块根据命中的密通规则内的索引字段索引确定SA策略,并基于所述SA策略对业务数据包进行IPSec封装或解封装操作,然后对IPSec封装或解封装后的数据内容进行加解密处理,待加解密完成后,调用路由表进行路由查找,并确定目的IP地址;调用ARP表,并基于目的IP地址查找对应的MAC地址;基于目的IP地址和对应的MAC地址进行以太网协议封装,并将封装后的以太网包发送给外网主机。
本发明的安全芯片采用国产自主ASIC芯片实现,能够确保工作密钥的高度离散特性,同时内嵌高速密码校验算法,能够有效提高密钥共享效率。
具体的,所述数据加解密模块包括算法池,所述算法池中包括多个SM3算法单元和多个SM4算法单元,多个SM3算法单元分别用于完整性校验,多个SM4算法单元分别用于加解密运算。
具体的,所述第一物理接口可以为PCIE金手指;所述第二物理接口包括以太网PHY模块和RJ45模块,所述以太网PHY模块电性连接于所述数据加解密模块,用于实现以太网通信协议内的物理层功能;所述RJ45模块为千兆以太网双绞线物理连接器单元,其电性连接于所述以太网PHY模块与所述外网主机,用于实现千兆RGMII通信接口。
本发明通过在数据加解密模块与内网主机之间设有PCIE金手指,使得隔离网卡设备可直接嵌入内网主机内部,提升了内网主机的灵活性。
如图3所示,本发明第二方面还提出一种基于IPSec隔离网卡设备的安全通信方法,所述方法包括:
步骤1),数据加解密模块通过第一物理接口接收内网主机发送的业务数据包;
步骤2),所述数据加解密模块对业务数据包的五元组关键字进行解析,并基于解析结果在规则表中匹配相应的规则类别,如果命中密通规则;
步骤3),所述数据加解密模块根据命中的密通规则内的索引字段在SA策略表中索引确定相应的SA策略;
步骤4),所述数据加解密模块基于所述SA策略对业务数据包进行IPSec封装操作;
步骤5),由所述数据加解密模块对IPSec封装后的数据报文进行加密处理,以得到数据密文;
步骤6),所述数据加解密模块将所述数据密文通过第二物理接口发送给外网主机。
可以理解,在上述步骤2)中,如果命中明通规则,则所述数据加解密模块直接透传所述业务数据包;如果同时未命中明通规则和密通规则,则所述数据加解密模块将所述业务数据包丢弃处理。
在上述步骤1)之前,所述方法还包括:
步骤1-1),所述主控模块调用安全芯片与外网主机进行密钥协商以形成共享密钥,并约定规则表和SA策略表,其中共享密钥内置于SA策略表中;
步骤1-2),所述主控模块将所述规则表和所述SA策略表预存在所述存储模块中,以供所述数据加解密模块调用。
上述步骤1-1)中的密钥协商流程具体包括:
所述IPSec隔离网卡设备的主控模块实现的密钥交换协议包括第一阶段和第二阶段,其中第一阶段为主模式,其通过调用安全芯片来实现通信双方的身份鉴别和密钥交换,得到工作密钥,该工作密钥用于保护第二阶段的协商过程;
所述密钥交换协议第二阶段进行快速模式,实现通信双方IPSec SA的协商,确定通信双方的IPSec安全策略以及会话密钥;
所述IPSec隔离网卡设备的主控模块将上述两阶段协商得到的IPSec SA以及会话密钥经由数据加解密模块置入存储模块内部。
所述IPSec隔离网卡设备根据实际需要更新规则表和SA策略表,将更新后的规则表和SA策略表替换原始的规则表和SA策略表存储在存储模块中,以便于后期数据加解密模块进行调用。
在上述步骤5)之后,所述方法还包括:
步骤5-1),所述数据加解密模块调用路由表进行路由查找,并确定目的IP地址;
步骤5-2),所述数据加解密模块调用ARP表,并基于目的IP地址查找对应的MAC地址;
步骤5-3),基于目的IP地址和对应的MAC地址进行以太网协议封装,并将封装后的以太网包通过第二物理接口发送给外网主机。
在上述步骤6)之后,所述方法还包括:
步骤6-1),由外网主机接收到所述数据密文,并采用共享密钥进行解密得到数据明文,基于数据明文进行相关业务处理,同时产生响应数据包返回给IPSec隔离网卡设备;
步骤6-2),所述数据加解密模块通过第二物理接口接收外网主机返回的响应数据包;
步骤6-3),所述数据加解密模块对响应数据包的五元组关键字进行解析,并基于解析结果在规则表中匹配相应的规则类别,如果命中密通规则;
步骤6-4),所述数据加解密模块根据命中的密通规则内的索引字段在SA策略表中索引确定相应的SA策略;
步骤6-5),所述数据加解密模块基于所述SA策略对响应数据包进行IPSec解封装操作;
步骤6-6),由所述数据加解密模块对IPSec解封装后的数据报文进行解密处理,以得到数据明文;
步骤6-7),所述数据加解密模块将所述数据明文通过第一物理接口返回给内网主机。
本发明的IPSec隔离网卡设备以网卡形态嵌入主机内部,可以对主机所有出入境数据包进行过滤、隔离、分发操作,并且本发明的IPSec隔离网卡设备形态小巧,可直接嵌入宿主设备(内网主机)内部进行使用,大大扩展了其应用场景,提升了宿主设备的灵活性。
另外,本发明的IPSec隔离网卡设备采用硬件加密,其密钥的保存在设备内部,同时密码运算均在设备内部实现,可以从密钥根本上对其安全保护,同时,本发明的IPSec隔离网卡设备采用DPDK架构,控制面主要由主控模块实现,FPGA不作干预,数据面主要由数据加解密模块通过FPGA硬件逻辑实现,其中包括数据安全协议IPSec、加解密算法以及各种表项的高速搜索匹配逻辑的实现,能够在确保数据通信过程中机密性的同时,进一步提升数据吞吐量以及系统带宽。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种IPSec隔离网卡设备,用于实现内网主机与外网主机之间的隔离交互,所述IPSec隔离网卡设备包括第一物理接口、第二物理接口、设置在第一物理接口和第二物理接口之间的数据加解密模块以及与数据加解密模块相连接的存储模块;其特征在于,
所述第一物理接口,通信连接于所述内网主机和所述数据加解密模块之间,用于提供所述内网主机与IPSec隔离网卡设备之间的数据交互通信接口;
所述第二物理接口,通信连接于所述外网主机和所述数据加解密模块之间,用于提供所述外网主机与IPSec隔离网卡设备之间的数据交互通信接口;
所述数据加解密模块通过所述第一物理接口或所述第二物理接口接收业务数据包,并基于业务数据包中的五元组字段匹配规则表,来确定是否需要对业务数据包进行加解密处理;然后根据命中的密通规则内的索引字段索引确定SA策略,并基于所述SA策略对业务数据包进行IPSec封装或解封装操作;
所述存储模块,电性连接在所述数据加解密模块上,用于存储规则表、SA策略表、路由表以及ARP表,以供所述数据加解密模块进行调用。
2.根据权利要求1所述的IPSec隔离网卡设备,其特征在于,所述规则表包括明通规则和密通规则,在所述数据加解密模块确定是否需要对业务数据包进行加解密处理过程中,所述数据加解密模块对业务数据包的五元组关键字进行解析,并基于解析结果在存储规则表中匹配相应的规则类别,如果命中明通规则,则所述数据加解密模块直接透传所述业务数据包,如果命中密通规则,则所述数据加解密模块需要对业务数据包进行加解密处理;如果同时未命中明通规则和密通规则,则所述数据加解密模块将所述业务数据包丢弃处理。
3.根据权利要求2所述的IPSec隔离网卡设备,其特征在于,所述存储模块还包括路由表和ARP表,如果所述业务数据包命中密通规则,则所述数据加解密模块根据命中的密通规则内的索引字段在SA策略表中索引确定相应的SA策略,并基于所述SA策略对业务数据包进行IPSec封装或解封装操作,然后对IPSec封装或解封装后的数据内容进行加解密处理,待加解密完成后,调用路由表进行路由查找,并确定目的IP地址;调用ARP表,并基于目的IP地址查找对应的MAC地址;基于目的IP地址和对应的MAC地址进行以太网协议封装,并将封装后的以太网包发送给外网主机。
4.根据权利要求1所述的IPSec隔离网卡设备,其特征在于,所述IPSec隔离网卡设备还包括主控模块和安全芯片,所述主控模块电性连接于所述数据加解密模块和安全芯片之间,主控模块调用安全芯片与对端IPSec VPN设备进行密钥协商以形成共享密钥,并约定规则表和SA策略表,将共享密钥置于SA策略表中,并将所述规则表和所述SA策略表存放在所述存储模块中。
5.根据权利要求1所述的IPSec隔离网卡设备,其特征在于,所述数据加解密模块包括算法池,所述算法池中包括多个SM3算法单元和多个SM4算法单元,多个SM3算法单元分别用于完整性校验,多个SM4算法单元分别用于加解密运算。
6.一种基于IPSec隔离网卡设备的安全通信方法,其特征在于,所述方法包括:
步骤1),数据加解密模块通过第一物理接口接收内网主机发送的业务数据包;
步骤2),所述数据加解密模块对业务数据包的五元组关键字进行解析,并基于解析结果在规则表中匹配相应的规则类别,如果命中密通规则;
步骤3),所述数据加解密模块根据命中的密通规则内的索引字段在SA策略表中索引确定相应的SA策略;
步骤4),所述数据加解密模块基于所述SA策略对业务数据包进行IPSec封装操作;
步骤5),由所述数据加解密模块对IPSec封装后的数据报文进行加密处理,以得到数据密文;
步骤6),所述数据加解密模块将所述数据密文通过第二物理接口发送给外网主机。
7.根据权利要求6所述的基于IPSec隔离网卡设备的安全通信方法,其特征在于,在上述步骤1)之前,所述方法还包括:
步骤1-1),主控模块调用安全芯片与外网主机进行密钥协商以形成共享密钥,并约定规则表和SA策略表,其中共享密钥内置于SA策略表中;
步骤1-2),所述主控模块将所述规则表和所述SA策略表预存在存储模块中,以供所述数据加解密模块调用。
8.根据权利要求7所述的基于IPSec隔离网卡设备的安全通信方法,其特征在于,上述步骤1-1)具体包括:
第一阶段,所述IPSec隔离网卡设备的主控模块通过调用安全芯片来实现通信双方的身份鉴别和密钥交换,得到工作密钥,该工作密钥用于保护第二阶段的协商过程;
第二阶段,实现通信双方规则表和SA策略表的协商,确定通信双方的规则表、SA策略表以及共享密钥,其中共享密钥内置于SA策略表中。
9.根据权利要求6所述的基于IPSec隔离网卡设备的安全通信方法,其特征在于,在上述步骤5之后,所述方法还包括:
步骤5-1),所述数据加解密模块调用路由表进行路由查找,并确定目的IP地址;
步骤5-2),所述数据加解密模块调用ARP表,并基于目的IP地址查找对应的MAC地址;
步骤5-3),基于目的IP地址和对应的MAC地址进行以太网协议封装,并将封装后的以太网包通过第二物理接口发送给外网主机。
10.根据权利要求6所述的基于IPSec隔离网卡设备的安全通信方法,其特征在于,在上述步骤6之后,所述方法还包括:
步骤6-1),由外网主机接收到所述数据密文,并采用共享密钥进行解密得到数据明文,基于数据明文进行相关业务处理,同时产生响应数据包返回给IPSec隔离网卡设备;
步骤6-2),所述数据加解密模块通过第二物理接口接收外网主机返回的响应数据包;
步骤6-3),所述数据加解密模块对响应数据包的五元组关键字进行解析,并基于解析结果在规则表中匹配相应的规则类别,如果命中密通规则;
步骤6-4),所述数据加解密模块根据命中的密通规则内的索引字段在SA策略表中索引确定相应的SA策略;
步骤6-5),所述数据加解密模块基于所述SA策略对响应数据包进行IPSec解封装操作;
步骤6-6),由所述数据加解密模块对IPSec解封装后的数据报文进行解密处理,以得到数据明文;
步骤6-7),所述数据加解密模块将所述数据明文通过第一物理接口返回给内网主机。
CN202010745884.9A 2020-07-29 2020-07-29 IPSec隔离网卡设备及安全通信方法 Active CN111800436B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010745884.9A CN111800436B (zh) 2020-07-29 2020-07-29 IPSec隔离网卡设备及安全通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010745884.9A CN111800436B (zh) 2020-07-29 2020-07-29 IPSec隔离网卡设备及安全通信方法

Publications (2)

Publication Number Publication Date
CN111800436A CN111800436A (zh) 2020-10-20
CN111800436B true CN111800436B (zh) 2022-04-08

Family

ID=72828526

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010745884.9A Active CN111800436B (zh) 2020-07-29 2020-07-29 IPSec隔离网卡设备及安全通信方法

Country Status (1)

Country Link
CN (1) CN111800436B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112699397B (zh) * 2021-01-22 2023-11-14 山西大学 基于虚拟环境下的软件加解密方法和系统
CN113194097B (zh) * 2021-04-30 2022-02-11 北京数盾信息科技有限公司 一种安全网关的数据处理方法、装置及安全网关
CN113329018A (zh) * 2021-05-28 2021-08-31 中国电子信息产业集团有限公司第六研究所 一种新型安全隔离IPsec VPN处理架构
CN114338167B (zh) * 2021-12-29 2024-04-30 无锡沐创集成电路设计有限公司 通信加密系统、方法、存储介质及电子设备

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101291244A (zh) * 2007-04-16 2008-10-22 深圳市维信联合科技有限公司 网络安全管理方法及其系统
KR20110037273A (ko) * 2009-10-06 2011-04-13 경북대학교 산학협력단 멀티 nic이동 노드를 포함하는 네트워크 시스템 및 보안 방법
CN103227742A (zh) * 2013-03-26 2013-07-31 汉柏科技有限公司 一种IPSec隧道快速处理报文的方法
CN103780605A (zh) * 2014-01-07 2014-05-07 京信通信系统(中国)有限公司 一种快速加解密方法及网关
CN103812861A (zh) * 2014-01-20 2014-05-21 广东电网公司电力科学研究院 Ipsec vpn设备及其隔离方法与系统
CN105763557A (zh) * 2016-04-07 2016-07-13 烽火通信科技股份有限公司 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统
CN106341404A (zh) * 2016-09-09 2017-01-18 西安工程大学 基于众核处理器的IPSec VPN系统及加解密处理方法
CN106453314A (zh) * 2016-10-14 2017-02-22 东软集团股份有限公司 数据加解密的方法及装置
CN106790221A (zh) * 2017-01-11 2017-05-31 京信通信技术(广州)有限公司 一种英特网协议安全IPSec协议加密方法和网络设备
WO2018222323A1 (en) * 2017-05-31 2018-12-06 Microsoft Technology Licensing, Llc Distributed ipsec gateway
CN109150688A (zh) * 2018-10-22 2019-01-04 网宿科技股份有限公司 IPSec VPN数据传输方法及装置
CN110768958A (zh) * 2019-09-20 2020-02-07 西安瑞思凯微电子科技有限公司 一种IPv4数据加密方法、IPv4数据解密方法

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101291244A (zh) * 2007-04-16 2008-10-22 深圳市维信联合科技有限公司 网络安全管理方法及其系统
KR20110037273A (ko) * 2009-10-06 2011-04-13 경북대학교 산학협력단 멀티 nic이동 노드를 포함하는 네트워크 시스템 및 보안 방법
CN103227742A (zh) * 2013-03-26 2013-07-31 汉柏科技有限公司 一种IPSec隧道快速处理报文的方法
CN103780605A (zh) * 2014-01-07 2014-05-07 京信通信系统(中国)有限公司 一种快速加解密方法及网关
CN103812861A (zh) * 2014-01-20 2014-05-21 广东电网公司电力科学研究院 Ipsec vpn设备及其隔离方法与系统
WO2017173806A1 (zh) * 2016-04-07 2017-10-12 烽火通信科技股份有限公司 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统
CN105763557A (zh) * 2016-04-07 2016-07-13 烽火通信科技股份有限公司 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统
CN106341404A (zh) * 2016-09-09 2017-01-18 西安工程大学 基于众核处理器的IPSec VPN系统及加解密处理方法
CN106453314A (zh) * 2016-10-14 2017-02-22 东软集团股份有限公司 数据加解密的方法及装置
CN106790221A (zh) * 2017-01-11 2017-05-31 京信通信技术(广州)有限公司 一种英特网协议安全IPSec协议加密方法和网络设备
WO2018222323A1 (en) * 2017-05-31 2018-12-06 Microsoft Technology Licensing, Llc Distributed ipsec gateway
CN109150688A (zh) * 2018-10-22 2019-01-04 网宿科技股份有限公司 IPSec VPN数据传输方法及装置
CN110768958A (zh) * 2019-09-20 2020-02-07 西安瑞思凯微电子科技有限公司 一种IPv4数据加密方法、IPv4数据解密方法

Also Published As

Publication number Publication date
CN111800436A (zh) 2020-10-20

Similar Documents

Publication Publication Date Title
CN111800436B (zh) IPSec隔离网卡设备及安全通信方法
US10079813B2 (en) Method and apparatus for secure network enclaves
US9832015B2 (en) Efficient key derivation for end-to-end network security with traffic visibility
US9461975B2 (en) Method and system for traffic engineering in secured networks
CN1833403B (zh) 通信系统、通信装置、通信方法
JP4707992B2 (ja) 暗号化通信システム
Aiello et al. Just fast keying: Key agreement in a hostile internet
US20060070122A1 (en) Method and apparatus for a distributed firewall
US20030074584A1 (en) System and method for maintaining N number of simultaneous cryptographic sessions using a distributed computing environment
Petullo et al. MinimaLT: minimal-latency networking through better security
Jose et al. Implementation of data security in cloud computing
CN106209883A (zh) 基于链路选择和破碎重组的多链路传输方法及系统
US10841840B2 (en) Processing packets in a computer system
CA2506418C (en) Systems and apparatuses using identification data in network communication
CN101521667A (zh) 一种安全的数据通信方法及装置
US20240146728A1 (en) Access control method, access control system, and related device
Cho et al. Securing ethernet-based optical fronthaul for 5g network
WO2005057841A1 (fr) Procede de production de cryptogramme dynamique dans une transmission de reseau et procede de transmission de donnees de reseau
CN100512108C (zh) 入网终端物理唯一性识别方法和终端接入认证系统
CN211352206U (zh) 基于量子密钥分发的IPSec VPN密码机
US9419800B2 (en) Secure network systems and methods
CN113783868A (zh) 一种基于商用密码保护闸机物联网安全的方法及系统
CN114285594A (zh) 一种软件实现设计的密钥协商方法
US20080059788A1 (en) Secure electronic communications pathway
Ahmed et al. Architecture based on tor network for securing the communication of northbound interface in sdn

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: IPSec isolation network card devices and secure communication methods

Effective date of registration: 20230412

Granted publication date: 20220408

Pledgee: China Construction Bank Corporation Zhengzhou Jinshui sub branch

Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd.

Registration number: Y2023980037751

PE01 Entry into force of the registration of the contract for pledge of patent right