CN113329018A - 一种新型安全隔离IPsec VPN处理架构 - Google Patents

一种新型安全隔离IPsec VPN处理架构 Download PDF

Info

Publication number
CN113329018A
CN113329018A CN202110592613.9A CN202110592613A CN113329018A CN 113329018 A CN113329018 A CN 113329018A CN 202110592613 A CN202110592613 A CN 202110592613A CN 113329018 A CN113329018 A CN 113329018A
Authority
CN
China
Prior art keywords
processing
unit
interface
isolation
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110592613.9A
Other languages
English (en)
Inventor
郝克林
黄毅龙
姬胜凯
张姗
杨欢
王硕
赵城
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
6th Research Institute of China Electronics Corp
Original Assignee
6th Research Institute of China Electronics Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 6th Research Institute of China Electronics Corp filed Critical 6th Research Institute of China Electronics Corp
Priority to CN202110592613.9A priority Critical patent/CN113329018A/zh
Publication of CN113329018A publication Critical patent/CN113329018A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up

Abstract

本发明实施例提供一种新型安全隔离IPsec VPN处理架构,其包括主控制面板以及设置在所述主控制面板上的多个物理隔离分区,第一物理隔离分区为内网处理区;第二物理隔离分区为密码处理区;第三物理隔离分区为外网处理区;上述新型安全隔离IPsec VPN处理架构,实现不同网络节点间数据的安全可靠传输,最大程度上保障了新型安全隔离IPsec VPN处理架构的数据使用可靠性以及数据安全性。

Description

一种新型安全隔离IPsec VPN处理架构
技术领域
本发明属于通信技术领域,尤其涉及一种新型安全隔离IPsec VPN处理架构。
背景技术
IPSe VPN备是一种基于Ipsec协议实现对IP网络传输数据保护的通用设备,提供数据完整性保护、数据源鉴别、载荷机密性和抗重放攻击等安全服务,主要位于网络边界,起到边界防护的功能。
经过我研究人员发现,现有的IPSec VPN设备硬件架构多采用CPU处理器实现或采用CPU处理器配合定制加密板卡实现VPN的功能。但是,针对内外网数据明文和密文进行安全隔离处理的需求,目前尚未有成熟的解决方案,由于内网与外网的明文与密文交互非常频繁,如果不能实施更高的安全隔离将会造成严重的安全问题。而且,研究人员还发现,传统技术大多是采用CPU处理器直接进行接口数据处理和IP协议解析,同时因CPU处理器往往要依靠操作系统运行,因此存在较大网络攻击的风险及威胁,容易造成主机程序死机或拒绝服务等问题,从而导致IPSec VPN设备安全问题突出。
发明内容
为了解决上述现有技术中的技术问题,本发明提供了一种新型安全隔离IPsecVPN处理架构。上述新型安全隔离IPsec VPN处理架构,采用硬件FPGA进行接口接收和协议处理,并将内网和外网接口协议处理与密码处理区进行隔离设计,能够有效解决以上问题。
本发明提供了一种新型安全隔离IPsec VPN处理架构,其包括主控制面板以及设置在所述主控制面板上的多个物理隔离分区,具体分为第一物理隔离分区,第二物理隔离分区以及第三物理隔离分区;其中,所述第一物理隔离分区为内网处理区;所述第二物理隔离分区为密码处理区;所述第三物理隔离分区为外网处理区;
所述内网处理区包括内网协议处理单元和第一接口;所述第一接口包括第一通用标准网络物理接口,第一通用标准网络物理接口用于连接用户内网;所述内网处理区还包括与第二物理隔离分区中的接口单元连接的第一内部自定义协议接口;所述内网协议处理单元用于对明文数据执行转发操作,转发给密码处理区,且所述内网协议处理单元还用于接收所述密码处理区中控制隔离单元对所述内网协议处理单元的网络配置信息的配置操作;
所述外网处理区包括外网协议处理单元和第二接口;所述第二接口包括第二通用标准网络物理接口,第二通用标准网络物理接口用于连接用户外网;所述外网处理区还包括与第二物理隔离分区中的接口单元连接的第二内部自定义协议接口;所述外网协议处理单元用于对密文数据执行转发操作,转发给密码处理区,且所述外网协议处理单元还用于接收所述密码处理区中控制隔离单元对所述外网协议处理单元的网络配置信息的配置操作;
所述密码处理区包括加解密处理单元、控制隔离单元、接口单元;
其中,所述加解密处理单元一方面用于接收外网协议处理单元转发的密文数据,另一方面还用于识别当前连接的第二内部自定义协议接口的格式类型,同时还用于接收控制隔离单元针对当前第二内部自定义协议接口的格式类型确定匹配的目标解密算法,并根据所述目标解密算法对当前密文数据实施解密操作,并按照识别当前连接的第一内部自定义协议接口的格式类型,根据第一内部自定义协议接口的格式类型确定目标明文数据格式;按照目标明文数据格式发送给第一内部自定义协议接口,实现对密文数据的转发操作;
其中,所述加解密处理单元一方面用于接收内网协议处理单元转发的明文数据,另一方面还用于识别当前连接的第一内部自定义协议接口的格式类型,同时还用于接收控制隔离单元针对当前第一内部自定义协议接口的格式类型确定匹配的目标加密算法,并根据所述目标加密算法对当前明文数据实施加密操作,并按照识别当前连接的第二内部自定义协议接口的格式类型,根据第二内部自定义协议接口的格式类型确定目标密文数据格式;按照目标密文数据格式发送给第二内部自定义协议接口,实现对明文数据的转发操作;
且所述密码处理区的接口单元用于通过物理方式分别与内网处理区的第一内部自定义协议接口以及外网处理区的第二内部自定义协议接口实现通信连接;
所述控制隔离单元用于对目标加密算法及目标解密算法的策略配置分发;
所述控制隔离单元还用于分别与内网处理区、外网处理区实施数据管控隔离;所述管控隔离的目标对象包括目标加密算法、目标解密算法中的密钥信息、算法类型信息。
优选的,作为一种可实施方案;所述密码处理区还包括业务管理单元;所述业务管理单元用于对所述加解密处理单元配置的密钥信息进行配置分发以及存储管理。
优选的,作为一种可实施方案;所述业务管理单元还用于对内网处理区、外网处理区的安全参数进行设置;所述内网处理区还用于接收业务管理单元下发的安全参数进行的设置指令并执行;所述外网处理区还用于接收业务管理单元下发的安全参数进行的设置指令并执行。
优选的,作为一种可实施方案;所述密码处理区还包括设备管理单元;所述设备管理单元还用于对接入的新型安全隔离IPsec VPN处理架构的多个子网设备进行管理。
优选的,作为一种可实施方案;所述密钥信息包括加密密钥和认证密钥。
优选的,作为一种可实施方案;所述加解密处理单元、控制隔离单元以及所述业务管理单元均采用各自独立运行的FPGA模块芯片。
优选的,作为一种可实施方案;所述第一内部自定义协议接口、第二内部自定义协议接口为GMII接口或者SGMII接口中的任意一种。
优选的,作为一种可实施方案;所述加解密处理单元用于对所有进出密码处理区的明文数据以及密文数据进行数据加解密处理,且所述控制隔离单元用于对加解密处理单元处理的加解密方式进行控制,还用于对加解密处理单元处理后的数据进行分发处理,转发至内网处理区的第一内部自定义协议接口或是外网处理区的第二内部自定义协议接口;
所述业务管理单元还用于对控制隔离单元的处理数据以及管控指令进行备份处理。
本发明实施例提供的上述技术方案与现有技术相比具有如下优点:
本发明实施例一提供了一种新型安全隔离IPsec VPN处理架构,该新型安全隔离IPsec VPN处理架构主要由主控制面板以及设置在主控制面板上的多个物理隔离分区等构成,其中,物理隔离分区具体分为第一物理隔离分区,第二物理隔离分区以及第三物理隔离分区;第一物理隔离分区为内网处理区;第二物理隔离分区为密码处理区;第三物理隔离分区为外网处理区;
上述内网处理区包括内网协议处理单元和第一接口;第一接口包括第一通用标准网络物理接口,第一通用标准网络物理接口用于连接用户内网;内网处理区还包括与第二物理隔离分区中的接口单元连接的第一内部自定义协议接口;内网协议处理单元用于对明文数据执行转发操作,转发给密码处理区,且内网协议处理单元还用于接收密码处理区中控制隔离单元对内网协议处理单元的网络配置信息的配置操作;
上述外网处理区包括外网协议处理单元和第二接口;第二接口包括第二通用标准网络物理接口,第二通用标准网络物理接口用于连接用户外网;外网处理区还包括与第二物理隔离分区中的接口单元连接的第二内部自定义协议接口;外网协议处理单元用于对密文数据执行转发操作,转发给密码处理区,且外网协议处理单元还用于接收密码处理区中控制隔离单元对外网协议处理单元的网络配置信息的配置操作;
其中最为重要的是上述密码处理区,该密码处理区包括加解密处理单元、控制隔离单元、接口单元;
其中,加解密处理单元一方面用于接收外网协议处理单元转发的密文数据,另一方面还用于识别当前连接的第二内部自定义协议接口的格式类型,同时还用于接收控制隔离单元针对当前第二内部自定义协议接口的格式类型确定匹配的目标解密算法,并根据目标解密算法对当前密文数据实施解密操作,并按照识别当前连接的第一内部自定义协议接口的格式类型,根据第一内部自定义协议接口的格式类型确定目标明文数据格式;按照目标明文数据格式发送给第一内部自定义协议接口,实现对密文数据的转发操作;其中,加解密处理单元一方面用于接收内网协议处理单元转发的明文数据,另一方面还用于识别当前连接的第一内部自定义协议接口的格式类型,同时还用于接收控制隔离单元针对当前第一内部自定义协议接口的格式类型确定匹配的目标加密算法,并根据目标加密算法对当前明文数据实施加密操作,并按照识别当前连接的第二内部自定义协议接口的格式类型,根据第二内部自定义协议接口的格式类型确定目标密文数据格式;按照目标密文数据格式发送给第二内部自定义协议接口,实现对明文数据的转发操作;上述控制隔离单元不仅仅可以针对第一内部自定义协议接口的格式类型确定匹配的目标解密算法,从而实现相应的解密运算,同时还可以针对相应的第二内部自定义协议接口的格式类型确定目标密文数据格式,实现了密文数据以及明文数据的有效协调转发,然而其不是内部直接转发而是通过相关内部自定义协议接口实现相应内部格式转发,这样外部用户并不能真正了解内部自定义协议接口的全部信息(协议属性信息,协议算法类型等)从而增大数据安全性,增强的数据截取难度;同时其数据转发,数据加解密甚至是数据加解密管控并不是一个芯片完成,而是各自独立的三个芯片完成,其中数据转发主要要外网协议处理单元以及内部自定义协议接口等实现,数据加解密则是加解密处理单元完成,控制隔离单元则是对加解密处理单元的系统参数下发以及控制、执行指令的下发;接口单元则是用于通过物理方式分别与内网处理区的第一内部自定义协议接口以及外网处理区的第二内部自定义协议接口实现通信连接;
上述控制隔离单元对目标加密算法及目标解密算法的策略配置分发,这样可以不仅实现了破解密文数据的难度增加,进一步增强的数据安全性;上述控制隔离单元还分别与内网处理区、外网处理区实施数据管控隔离,管控隔离的目标对象包括目标加密算法、目标解密算法中的密钥信息、算法类型信息。本发明实施例提供的新型安全隔离IPsec VPN处理架构,其实现多种接口协议的管控以及各自独立的加解密运算,独立的加解密算法控制,独立的数据中转控制等等,最终最大程度上保障了新型安全隔离IPsec VPN处理架构的数据使用可靠性以及数据安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种新型安全隔离IPsec VPN处理架构的主要模块单元原理结构示意图;
图2是本发明实施例的一种新型安全隔离IPsec VPN处理架构的具体模块单元原理结构示意图;
图3是本发明实施例的一种新型安全隔离IPsec VPN处理架构中的局部模块原理结构示意图。
标号:主控制面板10;第一物理隔离分区11;第三物理隔离分区12;第二物理隔离分区13;内网协议处理单元110;第一接口111;第一内部自定义协议接口112;外网协议处理单元120;第二接口121;第二内部自定义协议接口122;加解密处理单元130;控制隔离单元131;接口单元132;业务管理单元133;设备管理单元134。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
参见图1以及图2,本发明实施例一提供了一种新型安全隔离IPsec VPN处理架构,其包括主控制面板10以及设置在所述主控制面板上的多个物理隔离分区,具体分为第一物理隔离分区11,第二物理隔离分区13以及第三物理隔离分区12;
其中,所述第一物理隔离分区11为内网处理区;所述第二物理隔离分区13为密码处理区;所述第三物理隔离分区12为外网处理区;
所述内网处理区包括内网协议处理单元110和第一接口111;所述第一接口111包括第一通用标准网络物理接口,第一通用标准网络物理接口用于连接用户内网(例如:RJ-45接口,上述通用标准网络物理接口可以选用常见的以太网接口);所述内网处理区还包括与第二物理隔离分区中的接口单元连接的第一内部自定义协议接口112;所述内网协议处理单元110用于对明文数据执行转发操作,转发给密码处理区,且所述内网协议处理单元110还用于接收所述密码处理区中控制隔离单元131对所述内网协议处理单元110的网络配置信息的配置操作;
所述外网处理区包括外网协议处理单元120和第二接口121;所述第二接口121包括第二通用标准网络物理接口,第二通用标准网络物理接口用于连接用户外网;所述外网处理区还包括与第二物理隔离分区中的接口单元连接的第二内部自定义协议接口122;所述外网协议处理单元120用于对密文数据执行转发操作,转发给密码处理区,且所述外网协议处理单元120还用于接收所述密码处理区中控制隔离单元131对所述外网协议处理单元120的网络配置信息的配置操作;
所述密码处理区包括加解密处理单元130、控制隔离单元131、接口单元132;
其中,所述加解密处理单元130一方面用于接收外网协议处理单元120转发的密文数据,另一方面加解密处理单元130还用于识别当前连接的第二内部自定义协议接口122的格式类型,同时加解密处理单元130还用于接收控制隔离单元131针对当前第二内部自定义协议接口122的格式类型确定匹配的目标解密算法,并根据所述目标解密算法对当前密文数据实施解密操作,并按照识别当前连接的第一内部自定义协议接口112的格式类型,根据第一内部自定义协议接口112的格式类型确定目标明文数据格式;按照目标明文数据格式发送给第一内部自定义协议接口112,最终通过第一内部自定义协议接口112实现对密文数据的转发操作;
其中,所述加解密处理单元130一方面用于接收内网协议处理单元转发的明文数据,另一方面加解密处理单元130还用于识别当前连接的第一内部自定义协议接口112的格式类型,同时加解密处理单元130还用于接收控制隔离单元131针对当前第一内部自定义协议接口112的格式类型确定匹配的目标加密算法,并根据所述目标加密算法对当前明文数据实施加密操作,并按照识别当前连接的第二内部自定义协议接口122的格式类型,根据第二内部自定义协议接口122的格式类型确定目标密文数据格式;按照目标密文数据格式发送给第二内部自定义协议接口122,然而最终却通过第二内部自定义协议接口122实现对明文数据的转发操作;
且所述密码处理区的接口单元132用于通过物理方式分别与内网处理区的第一内部自定义协议接口112以及外网处理区的第二内部自定义协议接口122实现通信连接;
所述控制隔离单元131用于对目标加密算法及目标解密算法的策略配置分发,当然上述控制隔离单元131还可以用于对目标加密算法以及目标解密算法实施随机匹配以增加后续破解难度;
所述控制隔离单元131还用于分别与内网处理区、外网处理区实施数据管控隔离;所述管控隔离的目标对象包括目标加密算法、目标解密算法中的密钥信息、算法类型信息。
需要说明的是,本发明实施例一提供了一种新型安全隔离IPsec VPN处理架构,其可以实现用户内网与外网的物理隔离,保障内网与外网的数据传输安全;具体设计如下,硬件架构按照功能进行分区域物理隔离,并划分为第一物理隔离分区,第二物理隔离分区以及第三物理隔离分区,第一物理隔离分区为内网处理区;第二物理隔离分区为密码处理区;第三物理隔离分区为外网处理区。上述各部分均为独立的物理器件,器件之间的软件接口采用专用自定义格式。其中,内网处理区包括网络协议处理和接口模块,主要负责明文数据转发以及接收密码处理区控制隔离FPGA的相关网络配置管理等,该区域也不涉及密码相关运算。上述内网处理区硬件主要由可编程逻辑器件、内存以及相关接口组成。
上述外网处理区主要负责密文转发以及必要的访问控制,同时需要接收密码处理区控制隔离FPGA的相关配置数据并完成配置等,该区域也不涉及密码相关运算。外网处理区硬件由可编程逻辑器件、内存以及相关接口组成,其可以连接用户外网。上述密码处理区包括加解密处理单元、控制隔离单元、业务管理单元、接口单元等组成,其中各个模块物理硬件相互独立。加解密处理采用独立的FPGA实现,支持商密算法(SM2/SM3/SM4),同时也支持接收业务管理单元下发的密钥(包括加密密钥和认证密钥)。业务管理单元采用独立的CPU实现,主要负责给加解密处理单元配置密钥和内外网处理区下发相关安全参数。上述控制隔离单元采用独立FPGA实现,主要负责业务管理与内外网处理区的隔离和密钥数据、网络配置参数、FPGA逻辑配置等不同业务类型数据之间隔离。
本发明实施例采用的新型安全隔离IPsec VPN处理架构,其数据安全处理以及多种自定义接口协议管控,实现了更安全的明文数据以及密文数据管理,同时其系统不支持随意的接口扩展,这样将会影响信息安全。
在本发明实施例的具体的技术方案中,所述密码处理区还包括业务管理单元133;所述业务管理单元133用于对所述加解密处理单元配置的密钥信息进行记录以及存储管理。
不仅如此,上述业务管理单元还用于对内网处理区、外网处理区的安全参数进行设置;所述内网处理区还用于接收业务管理单元下发的安全参数进行的设置指令并执行;所述外网处理区还用于接收业务管理单元下发的安全参数进行的设置指令并执行。
在本发明实施例的具体的技术方案中,所述密码处理区还包括设备管理单元134;所述设备管理单元134还用于对接入的新型安全隔离IPsec VPN处理架构的多个子网设备进行管理。
在本发明实施例的具体的技术方案中,所述加解密处理单元130、控制隔离单元131以及所述业务管理单元134均采用各自独立运行的FPGA模块芯片。
在本发明实施例的一具体方案中,所述加解密处理单元、控制隔离单元以及所述业务管理单元甚至是上述内网协议处理单元以及外网协议处理单元均可以采用高性能的FPGA芯片,当前其不限于使用高性能FPGA芯片或是其他高性能CPU芯片。上述高性能FPGA芯片各自执行控制指令,相互之间数据运算更为独立(另可参见图3)。
上述控制隔离单元采用独立FPGA实现,主要负责各个芯片FPGA逻辑配置以及不同业务类型数据之间隔离。具体隔离保护实现逻辑为:在密码处理区内,承担密钥数据的产生、处理、存储等业务处理功能的CPU相关处理器件单元,均无任何直接对外网络接口,所有进出密码处理区的数据均需由控制隔离FPGA进行数据分发与保护处理,做到对核心处理区域的隔离保护。实现内外网区域隔离和数控分离。
在本发明实施例的一具体方案中,所述第一内部自定义协议接口、第二内部自定义协议接口为GMII接口或者SGMII接口中的任意一种。
在本发明实施例的一具体方案中,所述加解密处理单元用于对所有进出密码处理区的明文数据以及密文数据进行数据加解密处理,且所述控制隔离单元用于对加解密处理单元处理的加解密方式进行控制,还用于对加解密处理单元处理后的数据进行分发处理,转发至内网处理区的第一内部自定义协议接口或是外网处理区的第二内部自定义协议接口;所述业务管理单元还用于对控制隔离单元的处理数据以及管控指令进行备份处理。
上述业务管理单元主要用于对密码处理区的统筹管理以及系统设置,同时其还具有自动防护程序,当检测到加解密处理单元的数据运算出现故障或是处理配置受到异常影响,其可以启动自动防护程序。
综上所述,本发明实施例提供新型安全隔离IPsec VPN处理架构,其具有接口协调管控的技术功能(本发明实施例的设备接口设计方面进行了相关的改进,区别于普通VPN设备的单路单网口设计,本新型安全隔离IPsec VPN处理架构其设计了内外网接口,其内外网接口完全区分,分为内网业务数据口和外网业务数据口),同时其实现了内外网区域隔离和数控分离,保障了系统的处理架构的运行安全性以及数据安全性。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和单元,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (8)

1.一种新型安全隔离IPsec VPN处理架构,其特征在于,其包括主控制面板以及设置在所述主控制面板上的多个物理隔离分区,具体分为第一物理隔离分区,第二物理隔离分区以及第三物理隔离分区;
其中,所述第一物理隔离分区为内网处理区;所述第二物理隔离分区为密码处理区;所述第三物理隔离分区为外网处理区;
所述内网处理区包括内网协议处理单元和第一接口;所述第一接口包括第一通用标准网络物理接口,第一通用标准网络物理接口用于连接用户内网;所述内网处理区还包括与第二物理隔离分区中的接口单元连接的第一内部自定义协议接口;所述内网协议处理单元用于对明文数据执行转发操作,转发给密码处理区,且所述内网协议处理单元还用于接收所述密码处理区中控制隔离单元对所述内网协议处理单元的网络配置信息的配置操作;
所述外网处理区包括外网协议处理单元和第二接口;所述第二接口包括第二通用标准网络物理接口,第二通用标准网络物理接口用于连接用户外网;所述外网处理区还包括与第二物理隔离分区中的接口单元连接的第二内部自定义协议接口;所述外网协议处理单元用于对密文数据执行转发操作,转发给密码处理区,且所述外网协议处理单元还用于接收所述密码处理区中控制隔离单元对所述外网协议处理单元的网络配置信息的配置操作;
所述密码处理区包括加解密处理单元、控制隔离单元、接口单元;
其中,所述加解密处理单元一方面用于接收外网协议处理单元转发的密文数据,另一方面还用于识别当前连接的第二内部自定义协议接口的格式类型,同时还用于接收控制隔离单元针对当前第二内部自定义协议接口的格式类型确定匹配的目标解密算法,并根据所述目标解密算法对当前密文数据实施解密操作,并按照识别当前连接的第一内部自定义协议接口的格式类型,根据第一内部自定义协议接口的格式类型确定目标明文数据格式;按照目标明文数据格式发送给第一内部自定义协议接口,实现对密文数据的转发操作;
其中,所述加解密处理单元一方面用于接收内网协议处理单元转发的明文数据,另一方面还用于识别当前连接的第一内部自定义协议接口的格式类型,同时还用于接收控制隔离单元针对当前第一内部自定义协议接口的格式类型确定匹配的目标加密算法,并根据所述目标加密算法对当前明文数据实施加密操作,并按照识别当前连接的第二内部自定义协议接口的格式类型,根据第二内部自定义协议接口的格式类型确定目标密文数据格式;按照目标密文数据格式发送给第二内部自定义协议接口,实现对明文数据的转发操作;
且所述密码处理区的接口单元用于通过物理方式分别与内网处理区的第一内部自定义协议接口以及外网处理区的第二内部自定义协议接口实现通信连接;
所述控制隔离单元用于对目标加密算法及目标解密算法的策略配置分发;
所述控制隔离单元还用于分别与内网处理区、外网处理区实施数据管控隔离;所述管控隔离的目标对象包括目标加密算法、目标解密算法中的密钥信息、算法类型信息。
2.根据权利要求1所述的新型安全隔离IPsec VPN处理架构,其特征在于,所述密码处理区还包括业务管理单元;所述业务管理单元用于对所述加解密处理单元配置的密钥信息进行配置分发以及存储管理。
3.根据权利要求2所述的新型安全隔离IPsec VPN处理架构,其特征在于,所述业务管理单元还用于对内网处理区、外网处理区的安全参数进行设置;所述内网处理区还用于接收业务管理单元下发的安全参数进行的设置指令并执行;所述外网处理区还用于接收业务管理单元下发的安全参数进行的设置指令并执行。
4.根据权利要求1所述的新型安全隔离IPsec VPN处理架构,其特征在于,所述密码处理区还包括设备管理单元;所述设备管理单元还用于对接入的新型安全隔离IPsec VPN处理架构的多个子网设备进行管理。
5.根据权利要求2所述的新型安全隔离IPsec VPN处理架构,其特征在于,所述密钥信息包括加密密钥和认证密钥。
6.根据权利要求2所述的新型安全隔离IPsec VPN处理架构,其特征在于,所述加解密处理单元、控制隔离单元以及所述业务管理单元均采用各自独立运行的FPGA模块芯片。
7.根据权利要求1所述的新型安全隔离IPsec VPN处理架构,其特征在于,所述第一内部自定义协议接口、第二内部自定义协议接口为GMII接口或者SGMII接口中的任意一种。
8.根据权利要求1所述的新型安全隔离IPsec VPN处理架构,其特征在于,所述加解密处理单元用于对所有进出密码处理区的明文数据以及密文数据进行数据加解密处理,且所述控制隔离单元用于对加解密处理单元处理的加解密方式进行控制,还用于对加解密处理单元处理后的数据进行分发处理,转发至内网处理区的第一内部自定义协议接口或是外网处理区的第二内部自定义协议接口;
所述业务管理单元还用于对控制隔离单元的处理数据以及管控指令进行备份处理。
CN202110592613.9A 2021-05-28 2021-05-28 一种新型安全隔离IPsec VPN处理架构 Pending CN113329018A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110592613.9A CN113329018A (zh) 2021-05-28 2021-05-28 一种新型安全隔离IPsec VPN处理架构

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110592613.9A CN113329018A (zh) 2021-05-28 2021-05-28 一种新型安全隔离IPsec VPN处理架构

Publications (1)

Publication Number Publication Date
CN113329018A true CN113329018A (zh) 2021-08-31

Family

ID=77422327

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110592613.9A Pending CN113329018A (zh) 2021-05-28 2021-05-28 一种新型安全隔离IPsec VPN处理架构

Country Status (1)

Country Link
CN (1) CN113329018A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113747434A (zh) * 2021-10-15 2021-12-03 湖南麒麟信安科技股份有限公司 一种基于IPSec的移动通信安全通信方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140189343A1 (en) * 2012-12-31 2014-07-03 James Heit Secure internet protocol (ip) front-end for virtualized environments
CN105656883A (zh) * 2015-12-25 2016-06-08 冶金自动化研究设计院 一种适用于工控网络的单向传输内外网安全隔离网闸
CN105871902A (zh) * 2016-05-25 2016-08-17 安徽问天量子科技股份有限公司 数据加密及隔离系统
CN106941494A (zh) * 2017-03-30 2017-07-11 中国电力科学研究院 一种适用于用电信息采集系统的安全隔离网关及其使用方法
CN111800436A (zh) * 2020-07-29 2020-10-20 郑州信大捷安信息技术股份有限公司 IPSec隔离网卡设备及安全通信方法
CN112073375A (zh) * 2020-08-07 2020-12-11 中国电力科学研究院有限公司 一种适用于电力物联网客户侧的隔离装置及隔离方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140189343A1 (en) * 2012-12-31 2014-07-03 James Heit Secure internet protocol (ip) front-end for virtualized environments
CN105656883A (zh) * 2015-12-25 2016-06-08 冶金自动化研究设计院 一种适用于工控网络的单向传输内外网安全隔离网闸
CN105871902A (zh) * 2016-05-25 2016-08-17 安徽问天量子科技股份有限公司 数据加密及隔离系统
CN106941494A (zh) * 2017-03-30 2017-07-11 中国电力科学研究院 一种适用于用电信息采集系统的安全隔离网关及其使用方法
CN111800436A (zh) * 2020-07-29 2020-10-20 郑州信大捷安信息技术股份有限公司 IPSec隔离网卡设备及安全通信方法
CN112073375A (zh) * 2020-08-07 2020-12-11 中国电力科学研究院有限公司 一种适用于电力物联网客户侧的隔离装置及隔离方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113747434A (zh) * 2021-10-15 2021-12-03 湖南麒麟信安科技股份有限公司 一种基于IPSec的移动通信安全通信方法及装置
CN113747434B (zh) * 2021-10-15 2023-08-01 湖南麒麟信安科技股份有限公司 一种基于IPSec的移动通信安全通信方法及装置

Similar Documents

Publication Publication Date Title
CN109842585B (zh) 面向工业嵌入式系统的网络信息安全防护单元和防护方法
EP2731292B1 (en) Access point device, system and relevant method for wireless local area network
JP3599552B2 (ja) パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
US8984088B2 (en) Communication control apparatus, communication system, information processing apparatus, and communication control method
US11539747B2 (en) Secure communication session resumption in a service function chain
JP2011528142A (ja) 安全且つハイパフォーマンスの多重レベルセキュリティデータベースシステム及び方法
CN105049412A (zh) 一种不同网络间数据安全交换方法、装置及设备
EP3542513B1 (en) Logical port authentication for virtual machines
CN101512539B (zh) iSCSI和光纤通道认证
US20230388339A1 (en) Secure communication method, apparatus, and system for dc interconnection
CN103209191A (zh) 一种实现内外网物理隔断的方法
CN103237036A (zh) 一种实现内外网物理隔断的装置
CN107094137A (zh) 一种vpn安全网关
CN105656655B (zh) 一种网络安全管理方法、装置,及系统
CN104506548A (zh) 一种数据包重定向装置、虚拟机安全保护方法及系统
CN113329018A (zh) 一种新型安全隔离IPsec VPN处理架构
CN113676476B (zh) 一种基于动作可编程软件定义网络的加密跳变方法
CN105262668A (zh) 一种应用于云计算网络的防火墙配置
CN100426753C (zh) 一种基于snmp的网络管理方法
CN109104385A (zh) 一种防止macsec安全通道故障的方法和装置
KR100889753B1 (ko) 링크 애그리게이션 그룹에서의 보호 절체 방법 및 그 장치
CN110086750A (zh) 一种基于光纤数据链路网络和卫星通信网络的加密系统
CN111541663A (zh) 一种基于国家密码标准的链路交换加密系统
CN111526018A (zh) 一种基于电力配电的通信加密系统及通信加密方法
CN101388796B (zh) 信息发送处理方法、通信设备与通信系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210831

RJ01 Rejection of invention patent application after publication