CN1448851A - 采用硬件加解密的虚拟私有网络 - Google Patents
采用硬件加解密的虚拟私有网络 Download PDFInfo
- Publication number
- CN1448851A CN1448851A CN 03116608 CN03116608A CN1448851A CN 1448851 A CN1448851 A CN 1448851A CN 03116608 CN03116608 CN 03116608 CN 03116608 A CN03116608 A CN 03116608A CN 1448851 A CN1448851 A CN 1448851A
- Authority
- CN
- China
- Prior art keywords
- data
- pci
- card
- algorithm
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
一种采用硬件加解密的虚拟私有网络属于信息安全领域。在用作网关的计算机中内置PCI插卡,通过PCI插卡实现虚拟私有网络技术中的加密算法、解密算法、数字签名、身份认证等,当虚拟私有网络中不同子网间的用户相互访问时,PCI插卡采用已经固化在插卡存储器中的任何成熟数据流加解密算法,将数据经过PCI控制器由微处理器接收并暂存在数据存储器中,数据流经过微处理器运算加密后再通过网卡模块输出,达到在VPN环境下计算机之间安全的、高效的通讯。本发明采用PCI硬卡实现VPN中加解密算法、身份认证和数字签名及策略库信息的存储,比单纯用软件实现VPN功能有更好的安全性。
Description
技术领域
本发明涉及的是一种网络安全系统,特别是一种采用硬件加解密的虚拟私有网络,属于信息安全领域。
背景技术
Internet的出现使企事业单位信息化建设程度不断提高,跨地区的企事业的不同部门之间的互联变得既方便又经济。但是如何保证企业内部的数据通过公共网络传输的安全性和保密性,以及如何管理企业网在公共网络上的不同节点,成为企业非常关注的问题。虚拟私有网络技术采用专用的网络加密和通信协议,可以使企业在公共网络上建立虚拟的加密通道,构筑自己的安全虚拟通道。企业的跨地区的部门或出差人员可以从远程经过公共网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。虚拟专用网以其独具特色的优势,赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。VPN代表了当今网络发展的新趋势,它综合了传统数据网络和共享数据网络的性能优点,能够提供安全经济的远程访问,外部网和内部网的连接,VPN将成为未来企业传输业务的主要工具。但在VPN的应用越来越广泛的同时,传统的单纯用软件来实现的VPN技术在保证信息传输安全性方面出现了一定的局限性。经文献检索发现,《辽宁师专科学报》2000年4期上,艾红等人在“虚拟私有网络(VPN)技术的实现”一文中给出了一种在Linux系统上通过软件编程具体实现VPN的方法。但是用软件的方法修改协议而实现VPN的方法工作量大,且不易实现。
发明内容
本发明的目的在于克服现有技术中的不足,提供一种采用硬件加解密的虚拟私有网络,采用依靠硬件实现加解密算法和策略库信息存储的方法建立VPN系统,使其大大提高了VPN系统的效率和可靠性。
本发明是通过以下技术方案实现的,本发明在用作网关的计算机中内置PCI即周边元件扩展接口插卡,通过PCI插卡实现虚拟私有网络技术中的加密算法、解密算法、数字签名、身份认证等,当虚拟私有网络中不同子网间的用户相互访问时,PCI插卡采用已经固化在插卡存储器中的任何成熟数据流加解密算法,将数据经过PCI控制器由微处理器接收并暂存在数据存储器中,数据流经过微处理器运算加密后再通过网卡模块输出,达到在VPN环境下计算机之间安全的、高效的通讯。
PCI插卡是一块电路板,该插卡由PCI控制器、微处理器、存储器、网卡模块组成,这些电子元器件都焊接在电路板上,其中程序存储器、数据存储器、网卡模块、策略库存储器EEPROM都连接到由微处理器为中心的本地总线,包括数据总线、地址总线和控制总线上,PCI控制器构成连接PCI总线和本地总线的桥梁,PCI配置存储器与PCI控制器相连。PCI插卡通过PCI插槽与计算机相连。PCI插卡完成数据流的加解密算法,数据流的加解密算法可以采用任何成熟的数据流加解密算法。PCI控制器、微处理器、存储器均可以采用不同公司生产的相关集成芯片。
本发明具有实质性特点和显著进步,虚拟私有网络可以使企业在公共网络上建立虚拟的加密通道,是未来企业传输业务的主要工具采用硬件加、解密的虚拟私有网络(VPN)在传统的单纯用软件实现VPN的技术中加入了硬件成分,采用PCI硬卡实现VPN中加解密算法、身份认证和数字签名及策略库信息的存储,比单纯用软件实现VPN功能有更好的安全性。
附图说明
图1本发明的硬件部分电气结构示意图
图2本发明的实施例应用示意图
具体实施方式
如图1和图2所示,本发明在用作网关的计算机1中内置PCI插卡9,用PCI插卡9实现虚拟私有网络技术中的加密算法、解密算法、数字签名、身份认证等,当虚拟私有网络中不同子网间的用户相互访问时,PCI插卡9采用已经固化在策略库存储器5、程序存储器6中的任何成熟数据流加解密算法,将数据经过PCI控制器2和PCI配置存储器4由微处理器3接收并暂存在数据存储器7中,数据流经过微处理器3运算加密后再通过网卡模块8输出,达到在虚拟私有网络环境下计算机之间安全的、高效的通讯。
PCI插卡9是一块电路板,该插卡由PCI控制器2、PCI配置存储器4、微处理器3、程序存储器6、数据存储器7、网卡模块8组成,这些电子元器件都焊接在同一块电路板上,其中程序存储器6、数据存储器7、网卡模块8、策略库存储器EEPROM5都连接到由微处理器3为中心的本地总线,包括数据总线、地址总线和控制总线上,PCI控制器2构成连接PCI总线和本地总线的桥梁,PCI配置存储器4与PCI控制器2相连。PCI插卡通过PCI插槽与计算机1相连。PCI插卡9完成数据流的加解密算法,数据流的加解密算法可以采用任何成熟的数据流加解密算法。PCI控制器2、微处理器3、PCI配置存储器4、程序存储器6、数据存储器7均可以采用不同公司生产的相关集成芯片。
网关计算机和PCI插卡之间的通讯传输要按帧编码,以使通讯双方分辨数据类型是策略库信息(包括居域网节点信息、接收端IP地址、加解密算法选择、加解密密钥等)还是明文。
PCI插卡实现私有虚拟网络的流程具体如下:
(这里是用DES算法实现对明文的加密和对密文的解密,用RSA算法实现数字签名和身份认证,其它加密和认证算法过程与此相似)
(1)上电复位,配置PCI控制器。
(2)等待网关计算机握手信号。
(3)对网关计算机的握手信号给予应答。
(4)从网关计算机接收策略库信息,主要包含以下内容:
局域网节点信息、兄弟网关接点的RSA的公开密钥、本地网关RSA私有密钥等并将此类信息写入EEPROM存储器5。
(5)等待网关计算机发来数据信息或从网卡模块接收外部数据。
(6)若读取的数据为网关计算机要求发送的明文,则执行操作(7)-(13)。
若读取的数据为从网卡模块从InterNet接收到的密文则执行操作(14)-(20)。
(7)接收数据并将数据分段(例如每次接收64KB)暂存在数据存储器7。
(8)执行数字签名算法
(9)执行加密算法
(10)从策略库存储器中读取接收方的RSA公开密钥,并用该公钥加密本地产生DES密钥,将被加密的密钥写入存储器7,作为待发数据的一部分。
(11)将待发数据数据(包括密文和签名信息,DES密钥)送至网卡模块输出。
(12)若网关计算机的明文没有发送结束则返回步骤(7)继续接收明文。
(13)若网关计算机的明文已经发送结束则返回步骤(5)继续等待网关计算机的命令。
(14)接收数据并暂存在数据存储器7。
(15)用本地RSA私有密钥解开密文中的被加密DES密钥,获得DES解密密钥(和加密密钥相同)
(16)执行DES解密算法
(17)PCI插卡上的微处理器3对暂存在数据存储器7中的数据进行解密处理,解密算法同加密算法完全相同,获得明文和签名信息。
(18)进行信息鉴别。
(19)利用RSA规则分析签名信息和发送方的公开密钥,确认发送方的身份。
(20)若网卡模块未接收完数据返回步骤(14)继续。
(21)若网卡模块接收完数据返回步骤(5)继续。
下面对上述过程中出现的关键算法或步骤作进一步的说明:
A.加密算法
所述过程第(9)步的加密算法是指通过PCI插卡对数据进行加密,其具体步骤如下:
PCI插卡上的微处理器3对暂存在数据存储器7中的数据(包括明文和签名信息)进行加密处理,首先微处理器3执行随机函数产生一个64位的DES密钥,对明文和签名信息进行加密,并将加密后的密文存储在数据存储器7的另一地址段。解密算法同加密算法完全相同。加密过程如下:
1)产生密钥(64bit)。
2)密钥置换。
3)取64bit数据。
4)执行数据置换程序。
5)数据置换并和密钥进行运算。
6)64位密文暂存在存储器7。
7)返回步骤3)继续数据加密算法直到所有暂存明文数据和签名信息被取完。
B.数字签名方法
上述过程的第(8)步执行数字签名算法的具体步骤如下:
a)对数据存储器中的暂存数据(明文)进行一次哈希(hash)运算,得到一个信息摘要。
b)从策略库存储器EEPROM5读取本地的RSA私有密钥
c)将信息摘要和私钥进行RAS运算,得到的结果作为数字签名信息,并将其写入数据存储器7,作为待发数据的一部分。
C.信息鉴别
上述过程的第(18)步进行信息鉴别,是指用发送方的公开密钥对接收到的签名信息进行RSA运算,得到的结果是发送方运算的信息摘要,在本地将接收到的明文进行哈希(hash)运算得到一个新的信息摘要,若两个信息摘要相同则说明信息在传送过程中没有被破坏过。
网关计算机与PCI插卡配合实现私有虚拟网络的流程如下:
(1)启动网关计算机(此时PCI插卡进行复位操作)。
(2)向PCI插卡发出通信握手信号,在接收到PCI插卡上的应答信号后进入等待状态。
(3)向PCI插卡传送策略库信息。
(4)在VPN系统内部的子网一的计算机1上运行命令访问子网二中的共享资源。
(5)两子网中的结点通过各子网关握手取得联系。
(6)子网一的网关将明文传送到PCI插卡的上。
(7)被发送的明文在PCI插卡上被加密后通过网卡送出。
(8)接收到子网二的应答信号后继续发送数据直到数据发送完成。
(9)返回的数据经过相反的过程由计算机1接收后,在显示器上显示出被访问节点共享网络资源。
以下结合具体实施例对本发明的内容进行说明,具体内容如下:
首先配置一台网关计算机1,在此计算机内部放置带VPN功能的PCI插卡9;网关计算机配置双网卡,一个网卡同Internet相连,另一个网卡连接HUB10,本地子网内的计算机11、12、13全部连接到HUB10上;在计算机上安装VPN软件、VPN卡驱动程序,并在PCI插槽内放入VPN卡,设置本地VPN配置信息;虚拟私有网络中不同子网间的用户可通过网络邻居相互访问,访问方式与访问本地子网中的用户完全相同;假定子网一的地址设定为10.0.0.*,子网二的地址为10.0.1.*,子网二中的某用户访问子网一中IP地址是10.0.0.250的计算机上的共享资源;启动网关计算机(此时PCI插卡进行复位操作)并运行网关软件;向PCI插卡发出通信握手信号,在接收到PCI插卡上的应答信号后进入等待状态;假定在子网二的计算机1上执行命令\\10.0.0.250,连接IP地址是10.0.0.250的计算机,网关计算机判断该IP地址是VPN网络中另外一个子网的某个计算机的地址,然后将必要的策略库信息传送至PCI插卡上的EEPROM5;计算机1发送信息与10.0.0.250的计算机握手联系;握手成功后,计算机将提示输入允许访问10.0.0.250计算机的合法用户名和密码,用户此时应按要求输入用户名和密码;如果用户名和密码正确,计算机1先将需要传送的数据明文分段,每段明文经过PCI控制器2由微处理器3接收并暂存在数据存储器7中;等待PCI插卡上的明文在PCI插卡上加密处理结束完发送后,继续发送明文,直到数据传送结束;返回的数据经过相反的过程由计算机1接收后,在显示器上显示出IP地址是10.0.0.250的计算机上的可用网络资源。
Claims (9)
1、一种采用硬件加解密的虚拟私有网络,其特征在于:在用作网关的计算机(1)中内置PCI插卡(9),通过PCI插卡(9)实现虚拟私有网络技术中的加密算法、解密算法、数字签名、身份认证,当虚拟私有网络中子网间的用户相互访问时,PCI插卡(9)采用已经固化在策略库存储器(5)、程序存储器(6)中的成熟数据流加解密算法,将数据经过PCI控制器(2)和PCI配置存储器(4)由微处理器(3)接收并暂存在数据存储器(7)中,数据流经过微处理器(3)运算加密后再通过网卡模块(8)输出,达到在虚拟私有网络环境下计算机之间安全的、高效的通讯。
2、根据权利要求1所述的采用硬件加解密的虚拟私有网络,其特征是,PCI插卡(9)是一块电路板,该插卡由PCI控制器(2)、PCI配置存储器(4)、微处理器(3)、程序存储器(6)、数据存储器(7)、网卡模块(8)组成,这些电子元器件都焊接在该电路板上,程序存储器(6)、数据存储器(7)、网卡模块(8)、策略库存储器(5)都连接到由微处理器(3)为中心的本地总线上,本地总线包括数据总线、地址总线和控制总线,PCI控制器(2)构成连接PCI总线和本地总线的桥梁,PCI配置存储器(4)与PCI控制器(2)相连,PCI插卡通过PCI插槽与计算机(1)相连。
3、根据权利要求1或2所述的采用硬件加解密的虚拟私有网络,其特征是,网关计算机(1)和PCI插卡之间的通讯传输按帧编码,以使通讯双方分辨数据类型是策略库信息,包括居域网节点信息、接收端IP地址、加解密算法选择、加解密密钥,还是明文。
4、根据权利要求1或2所述的采用硬件加解密的虚拟私有网络,其特征是,PCI插卡实现私有虚拟网络的流程具体如下:
(1)上电复位,配置PCI控制器;
(2)等待网关计算机握手信号;
(3)对网关计算机的握手信号给予应答;
(4)从网关计算机接收策略库信息,主要包含以下内容:
局域网节点信息、兄弟网关接点的RSA的公开密钥、本地网关RSA私有密钥等并将此类信息写入EEPROM存储器;
(5)等待网关计算机发来数据信息或从网卡模块接收外部数据;
(6)若读取的数据为网关计算机要求发送的明文,则执行操作(7)-(13);
若读取的数据为从网卡模块从Internet接收到的密文则执行操作(14)-(20);
(7)接收数据并将数据分段暂存在数据存储器;
(8)执行数字签名算法;
(9)执行加密算法;
(10)从策略库存储器中读取接收方的RSA公开密钥,并用该公钥加密本地产生DES密钥,将被加密的密钥写入数据存储器,作为待发数据的一部分;
(11)将待发数据数据,包括密文和签名信息,DES密钥,送至网卡模块输出;
(12)若网关计算机的明文没有发送结束则返回步骤(7)继续接收明文;
(13)若网关计算机的明文已经发送结束则返回步骤(5)继续等待网关计算机的命令;
(14)接收数据并暂存在数据存储器;
(15)用本地RSA私有密钥解开密文中的被加密DES密钥,获得DES解密密钥;
(16)执行DES解密算法;
(17)PCI插卡上的微处理器对暂存在数据存储器中的数据进行解密处理,解密算法同加密算法完全相同,获得明文和签名信息;
(18)进行信息鉴别;
(19)利用RSA规则分析签名信息和发送方的公开密钥,确认发送方的身份;
(20)若网卡模块未接收完数据返回步骤(14)继续;
(21)若网卡模块接收完数据返回步骤(5)继续。
5、根据权利要求1或4所述的采用硬件加解密的虚拟私有网络,其特征是,所述的加密算法是指通过PCI插卡对数据进行加密,其具体步骤如下:
PCI插卡上的微处理器对暂存在数据存储器中的数据,包括明文和签名信息,进行加密处理,首先微处理器执行随机函数产生一个64位的DES密钥,对明文和签名信息进行加密,并将加密后的密文存储在数据存储器的另一地址段;解密算法同加密算法完全相同;加密过程如下:1)产生密钥64bit;2)密钥置换;3)取64bit数据;4)执行数据置换程序;5)数据置换并和密钥进行运算;6)64位密文暂存在存储器;7)返回步骤3)继续数据加密算法直到所有暂存明文数据和签名信息被取完。
6、根据权利要求1或4所述的采用硬件加解密的虚拟私有网络,其特征是,所述的数字签名算法,具体步骤如下:
a)对数据存储器中的暂存数据进行一次哈希运算,得到一个信息摘要;
b)从策略库存储器EEPROM5读取本地的RSA私有密钥;
c)将信息摘要和私钥进行RAS运算,得到的结果作为数字签名信息,并将其写入数据存储器,作为待发数据的一部分;
7、根据权利要求4所述的采用硬件加解密的虚拟私有网络,其特征是,第(18)步进行的信息鉴别,是指用发送方的公开密钥对接收到的签名信息进行RSA运算,得到的结果是发送方运算的信息摘要,在本地将接收到的明文进行哈希(hash)运算得到一个新的信息摘要,若两个信息摘要相同则说明信息在传送过程中没有被破坏过。
8、根据权利要求1或3或4所述的采用硬件加解密的虚拟私有网络,其特征是,PCI插卡(9)完成数据流的加解密算法,数据流的加解密算法采用任何一种成熟的数据流加解密算法。
9、根据权利要求1所述的采用硬件加解密的虚拟私有网络,其特征是,网关计算机与PCI插卡配合流程如下:
(1)启动网关计算机,此时PCI插卡进行复位操作;
(2)向PCI插卡发出通信握手信号,在接收到PCI插卡上的应答信号后进入等待状态;
(3)向PCI插卡传送策略库信息;
(4)在VPN系统内部的子网一的计算机上运行命令访问子网二中的共享资源;
(5)两子网中的结点通过各子网关握手取得联系;
(6)子网一的网关将明文传送到PCI插卡的上;
(7)被发送的明文在PCI插卡上被加密后通过网卡送出;
(8)接收到子网二的应答信号后继续发送数据直到数据发送完成;
(9)返回的数据经过相反的过程由计算机1接收后,在显示器上显示出被访问节点共享网络资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03116608 CN1448851A (zh) | 2003-04-24 | 2003-04-24 | 采用硬件加解密的虚拟私有网络 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03116608 CN1448851A (zh) | 2003-04-24 | 2003-04-24 | 采用硬件加解密的虚拟私有网络 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1448851A true CN1448851A (zh) | 2003-10-15 |
Family
ID=28684220
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 03116608 Pending CN1448851A (zh) | 2003-04-24 | 2003-04-24 | 采用硬件加解密的虚拟私有网络 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1448851A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101335675B (zh) * | 2008-01-09 | 2011-05-11 | 中兴通讯股份有限公司 | 一种策略控制方法 |
| CN102333093A (zh) * | 2011-09-28 | 2012-01-25 | 深圳市赛格导航科技股份有限公司 | 一种数据加密传输方法及系统 |
| CN102377560A (zh) * | 2010-08-19 | 2012-03-14 | 北京韩美智恒科技有限公司 | 一种移动通信终端数据加密方法及装置 |
| CN103154960A (zh) * | 2010-10-19 | 2013-06-12 | 惠普发展公司,有限责任合伙企业 | 用于生成授权虚拟设备的系统和方法 |
| CN103368916A (zh) * | 2012-04-01 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 基于硬件信息的计算机终端可信证明生成技术 |
| CN107317684A (zh) * | 2017-08-22 | 2017-11-03 | 浪潮(北京)电子信息产业有限公司 | 一种网络适配器的安全操作方法及系统 |
-
2003
- 2003-04-24 CN CN 03116608 patent/CN1448851A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101335675B (zh) * | 2008-01-09 | 2011-05-11 | 中兴通讯股份有限公司 | 一种策略控制方法 |
| CN102377560A (zh) * | 2010-08-19 | 2012-03-14 | 北京韩美智恒科技有限公司 | 一种移动通信终端数据加密方法及装置 |
| CN103154960A (zh) * | 2010-10-19 | 2013-06-12 | 惠普发展公司,有限责任合伙企业 | 用于生成授权虚拟设备的系统和方法 |
| CN102333093A (zh) * | 2011-09-28 | 2012-01-25 | 深圳市赛格导航科技股份有限公司 | 一种数据加密传输方法及系统 |
| CN103368916A (zh) * | 2012-04-01 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 基于硬件信息的计算机终端可信证明生成技术 |
| CN107317684A (zh) * | 2017-08-22 | 2017-11-03 | 浪潮(北京)电子信息产业有限公司 | 一种网络适配器的安全操作方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ganesan | Yaksha: Augmenting Kerberos with public key cryptography | |
| CN1799018A (zh) | 基于接近令牌单元对应用服务的安全访问 | |
| US7266705B2 (en) | Secure transmission of data within a distributed computer system | |
| CN1234662A (zh) | 密码点火处理方法及其装置 | |
| CN1808973A (zh) | 通用串行总线人机交互类的信息安全设备及其控制方法 | |
| CN1703867A (zh) | 防火墙 | |
| CN1694555A (zh) | 一种基于移动通信终端的动态密码系统及方法 | |
| CN109743170B (zh) | 一种流媒体登录以及数据传输加密的方法和装置 | |
| CN113037484B (zh) | 数据传输方法、装置、终端、服务器及存储介质 | |
| CN110177099B (zh) | 基于非对称加密技术的数据交换方法、发送终端和介质 | |
| CN102088352B (zh) | 消息中间件的数据加密传输方法和系统 | |
| US20020021804A1 (en) | System and method for data encryption | |
| US10999073B2 (en) | Secure network communication method | |
| Cheng | An architecture for the Internet Key Exchange protocol | |
| CN1881878A (zh) | 在可控因特网网络环境下基于智能卡业务安全认证方法 | |
| CN114781006A (zh) | 基于区块链和sgx的外包数据完整性审计方法及系统 | |
| CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
| CN1728637A (zh) | 入网终端物理唯一性识别方法和终端接入认证系统 | |
| CN1448851A (zh) | 采用硬件加解密的虚拟私有网络 | |
| CN112187767A (zh) | 基于区块链的多方合同共识系统、方法及介质 | |
| JP2006279269A (ja) | 情報管理装置、情報管理システム、ネットワークシステム、ユーザ端末、及びこれらのプログラム | |
| CN101048971B (zh) | 对于使用广播材料管理验证和支付的方法和系统 | |
| JPH0969831A (ja) | 暗号通信システム | |
| WO2020177109A1 (zh) | 抽签处理方法、可信芯片、节点、存储介质和电子设备 | |
| CN1859088A (zh) | 一种提供加密服务的方法以及使用该方法的系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |