CN202713365U - 一种对网络数据流硬件加密的系统 - Google Patents

一种对网络数据流硬件加密的系统 Download PDF

Info

Publication number
CN202713365U
CN202713365U CN 201220227775 CN201220227775U CN202713365U CN 202713365 U CN202713365 U CN 202713365U CN 201220227775 CN201220227775 CN 201220227775 CN 201220227775 U CN201220227775 U CN 201220227775U CN 202713365 U CN202713365 U CN 202713365U
Authority
CN
China
Prior art keywords
network
intranet
encryption
encryption equipment
miniature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
CN 201220227775
Other languages
English (en)
Inventor
苗欣
李昀
罗洪昌
马震伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Synodata Security Technology Co Ltd
Original Assignee
HANGZHOU SHENGYUAN CHIP TECHNIQUE CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HANGZHOU SHENGYUAN CHIP TECHNIQUE CO Ltd filed Critical HANGZHOU SHENGYUAN CHIP TECHNIQUE CO Ltd
Priority to CN 201220227775 priority Critical patent/CN202713365U/zh
Application granted granted Critical
Publication of CN202713365U publication Critical patent/CN202713365U/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Abstract

本实用新型涉及一种对网络数据流硬件加密的系统,PC用户A通过微型加密机A与内网A网络连接,微型加密机A通过预先设置的规则对PC用户A发出的数据包加密或不加密,加密数据包或不加密的数据包经过内网A传输到同局域网的目标用户,或者由内网A通过普通网关A、公网、普通网关B传输到内网B,内网B通过微型加密机B将加密数据包解密后传输给PC用户B。本实用新型有益的效果是:本实用新型解决现有技术对网络数据流进行硬件加密时存在的速度瓶颈、安全性以及成本问题。

Description

一种对网络数据流硬件加密的系统
技术领域
本实用新型涉及对网络数据流实现硬件加密的领域,尤其是一种对网络数据流硬件加密的系统。 
背景技术
在一些政府或者企业的信息保密类部门,在日常工作中,对网络安全性要求很高,需防止非法用户访问内部资源、防止信息传输过程被黑客攻击,保证网络传输过程中数据的机密性、完整性、真实性、抗重放性。 
而软件加密始终存在安全隐患,当黑客攻击了相关PC以后,软件加密就形同虚设了,而硬件加密的方法则避免了这个问题,因为加密过程本身处于一个PC不可控的环境下,使得这种加密方法更加可靠。 
现在在出现需要进行网络数据加密的情况时,一般采用的是加密网关的方法。具体实现方法是将各个需要加密的单位的局域网网关换成加密网关,加密网关会对所有流入/流出该局域网的网络数据进行判断,如果网络包符合特定的格式,则对其进行加密或解密操作,从而保证网络数据的安全可靠。其实质是利用IPsec协议族构建虚拟专用网(VPN)来实现网关到网关的安全通信。图1是使用加密网关时的内网A和内网B上的用户交互时的数据流示意图。 
现有技术能够在从局域网向外网传输之前对相应的包进行加密,以及从外网向局域网内传输时对相应的包进行解密。这样就造成: 
1)当局域网内不同用户同时需要发送/接收大量需要加密/解密的数据时,容易产生由于加/解密速度引起的网络延迟。 
2)当局域网内存在量大用户时,收发每个数据包都需要进行是否需要解密的判断,影响网络效率。 
3)无法保证在局域网内部数据流动时的安全性,当攻击者和被攻击者处于同一个局域网或攻击者已经侵入了局域网内某台PC时,攻击者能够在局域网内获取明文数据,这种情况下加密网关无法保证数据的安全。 
4)为了减少对网络效率的影响而增加大量成本,现在密文流量达到100M的加密网关价格在三万元以上,密文流量达到1000M的加密网关价格一般都在十万元以上。 
实用新型内容
本实用新型的目的正是要解决上述技术存在的不足,而提供一种对网络数据流硬件加密的系统。 
本实用新型解决其技术问题采用的技术方案:这种对网络数据流硬件加密的系统,PC用户A通过微型加密机A与内网A网络连接,微型加密机A通过预先设置的规则对PC用户A发出的数据包加密或不加密,加密数据包或不加密的数据包经过内网A传输到同局域网的目标用户,或者由内网A通过普通网关A、公网、普通网关B传输到内网B,内网B通过微型加密机B将加密数据包解密后传输给PC用户B。 
更进一步的,所述的微型加密机A和微型加密机B之间能够通过互联网金钥交换协定实现该会话密钥的交换。 
更进一步的,所述的微型加密机A和微型加密机B均有2个网络接口,一个面向PC设备,一个面向局域网,对PC设备和局域网内流通的数据包进行过滤和加解密操作。 
本实用新型有益的效果是:本实用新型解决现有技术对网络数据流进行硬件加密时存在的速度瓶颈、安全性以及成本问题。 
附图说明
图1是现有技术的方框示意图; 
图2是本实用新型的方框示意图; 
图3是本实用新型中PC-微型加密机-网络之间的数据流示意图。 
具体实施方式
下面结合附图和实施例对本实用新型作进一步说明: 
本实用新型是一种网络数据流硬件加密装置,实现了PC到PC的网络安全通信,下文将该装置简称为微型加密机,PC用户A通过微型加密机A与内网A网络连接,微型加密机A通过预先设置的规则对PC用户A发出的数据包加密或不加密,加密数据包或不加密的数据包经过内网A传输到同局域网的目标用户,或者由内网A通过普通网关A、公网、普通网关B传输到内网B,内网B通过微型加密机B将加密数据包解密后传输给PC用户B。 
1)安全通信的实现方法: 
本技术实现了PC到PC的网络安全通信,PC用户发送数据包时,必须经过微型加密机,加密机通过预先设置的规则判断数据包是否需要加密,如果需要,则对数据包加密并发送,加密后的数据包经过内网传输到同局域网的目标用户,或者通过网关和公网到达其他局域网内的目标用户。 
以图2为例,当用户A1发送一包需要保密的数据到B2要经过以下步骤: 
●PC用户A1发送一个带标记的明文数据包; 
●数据包流入加密机A1时,加密机判断到这包数据需要加密,然后将数据包加密并发送; 
●数据经过普通网关A、公网、普通网关B,到达加密机B2; 
●加密机B2接收到该包数据后判断是否需要解密; 
●加密机B2解密后再将明文数据传送给PC用户B2。 
加密机A1和加密机B2之间可以通过互联网金钥交换协定(IKE)实现该会话密钥的交换。 
2)微型加密机的结构: 
微型加密机摒弃了传统桌面加密的U盘接口,直接采用网络接口实现。微型加密机有2个网络接口,一个面向PC设备,一个面向局域网,对PC和局域网内流通的数据包进行过滤和加解密操作。 
这种方式有以下几个好处: 
●相对于U盘接口的加密机,微型加密机无需在使用前后插拔,可以半永久的安装在PC网卡出口。 
●微型加密机不需要额外占用PC任何接口。 
●可以对试图流入/流出PC的所有网络包进行过滤。 
3)微型加密机内的数据流: 
每个微型加密机在生产时就获得一对密钥,其私钥不能被仍和用户获得,只有微型加密机本身能够使用,公钥能够通过固定的协议发送给其他微型加密机。 
PC在有微型加密机的情况下,发送数据的流程如下: 
●PC发出的数据经过微型加密机的过滤模块,将不符合规则的数据包丢弃; 
●判断符合规则的数据包是否需要加密; 
●不需要加密的数据直接发送到局域网; 
●需要加密的数据送到加/解密模块,加密后发送到网络; 
●加密数据发送后和目标PC(实际上是和目标PC对应的微型加密机)进行IKE密钥交换; 
PC在有微型加密机的情况下,接收数据的流程如下: 
●微型加密机从网络获得数据包后,判断是否需要解密; 
●不需要解密的数据直接送到过滤模块; 
●需要解密则查询是否已经完成了该次会话需要的密钥交换; 
●若没有则通过IKE协议实现密钥交换; 
●对需要解密的数据解密,并将解密结果发送到过滤模块; 
●过滤模块对数据包进行过滤,将不符合规则的数据包丢弃,符合规则的数据包发 送给PC; 
图3是PC-微型加密机-网络之间的数据流示意图,这里的网络一般情况下是局域网,也可以是公网或专用网络。 
4)微型加密机的优点: 
●局域网内安全性,微型加密机实现了PC到PC的安全通信,相对于现有的网关到网关,避免了局域网内部的攻击,有更高的安全性。 
●速度快,现有的加密芯片完全可以满足单台电脑的加/解密速度要求,并且避免了加密网关必然存在的全局域网内加/解密总速度峰值的瓶颈; 
●加密算法安全性,由于避免了加密网关对加密算法速度的严苛要求,微型加密机可以使用一些加密速度稍慢,但加密更复杂,加密效果更好的算法,提高整体的安全性。 
●对其他用户无影响,使用微型加密对局域网内其他用户完全没有影响,不会出现由于已经有大量数据在排队加密而导致其他用户无法及时发送加密数据或接收解密数据的问题; 
●对PC软件的兼容性,当用户在不同的应用中需要加密不同的数据时(各机关/单位使用的公文流转平台可能数据格式都不同),只需要修改加密判断模块中的判断条件,就可以无缝衔接到现有的各种公文流转平台或其他PC软件,无需对软件进行更新; 
●抗攻击性,微型加密机可以由特定的软件设置规则(该软件由发放加密机的部门专有),使得即使有黑客侵入到局域网PC也无法修改该PC上的微型加密机的规则。 
●密钥安全性,密钥的生成和交换过程只在微型加密机之间,攻击者无法从PC端获得密钥,而微型加密机本身无法作为一个终端被攻击者访问。 
●灵活性,微型加密机适用于各种不同的局域网环境,可以以PC为单位选择是否需要使用; 
●易用性,相对于传统的桌面加密机,微型加密机不占用PC额外的接口,无需频繁插拔; 
●成本低,单个微型加密机成本比较低,同时基于灵活性,局域网内并不是所有PC都需要加密功能,局域网内用户增加时只需增加少量微型加密机,而加密网关在局域网内用户扩展到一定规模时必须选用价格不菲的高端机器。 
5)微型加密机适用的场合: 
●适用于局域网内PC不多的机构; 
●适用于局域网内并不是每台机器都需要加/解密传输功能的机构; 
●适用于局域网内数据传输也有保密需求的机构。 
术语解释: 
IPsec(Internet Protocol Security): 
IPsec是通过对IP协议(互联网协议)的分组进行加密和认证来保护IP协议的网络传输协议族。 
IPsec由2大部分组成:(1)建立安全分组流的密钥交换协议;(2)保护分组流的协议。前者为互联网金钥交换(IKE)协议。后者包括加密分组流的封装安全载荷协议(ESP协议)或认证头协议(AH协议)协议,用于保证数据的机密性、来源可靠性(认证)、无连接的完整性并提供抗重播服务。 
虚拟专用网络(Virtual Private Network,简称VPN): 
是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构(例如:互联网)来传送内联网的网络讯息。 
互联网金钥交换协定(Internet Key Exchange,简称IKE或IKEv2):一种网络协定,归属于IPsec协定之下,用以建立安全关联(Security association,SA)。它建立在奥克利协定(Oakley protocol)与ISAKMA协定的基础之上。使用X.509安全认证。 
除上述实施例外,本实用新型还可以有其他实施方式。凡采用等同替换或等效变换形成的技术方案,均落在本实用新型要求的保护范围。 

Claims (3)

1.一种对网络数据流硬件加密的系统,其特征在于:PC用户A通过微型加密机A与内网A网络连接,微型加密机A通过预先设置的规则对PC用户A发出的数据包加密或不加密,加密数据包或不加密的数据包经过内网A传输到同局域网的目标用户,或者由内网A通过普通网关A、公网、普通网关B传输到内网B,内网B通过微型加密机B将加密数据包解密后传输给PC用户B。
2.根据权利要求1所述的对网络数据流硬件加密的系统,其特征在于:所述的微型加密机A和微型加密机B之间能够通过互联网金钥交换协定实现该会话密钥的交换。
3.根据权利要求1所述的对网络数据流硬件加密的系统,其特征在于:所述的微型加密机A和微型加密机B均有2个网络接口,一个面向PC设备,一个面向局域网,对PC设备和局域网内流通的数据包进行过滤和加解密操作。 
CN 201220227775 2012-05-17 2012-05-17 一种对网络数据流硬件加密的系统 Expired - Lifetime CN202713365U (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201220227775 CN202713365U (zh) 2012-05-17 2012-05-17 一种对网络数据流硬件加密的系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201220227775 CN202713365U (zh) 2012-05-17 2012-05-17 一种对网络数据流硬件加密的系统

Publications (1)

Publication Number Publication Date
CN202713365U true CN202713365U (zh) 2013-01-30

Family

ID=47593620

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201220227775 Expired - Lifetime CN202713365U (zh) 2012-05-17 2012-05-17 一种对网络数据流硬件加密的系统

Country Status (1)

Country Link
CN (1) CN202713365U (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105162796A (zh) * 2015-09-24 2015-12-16 上海上讯信息技术股份有限公司 一种数据传输的方法与设备
CN115314269A (zh) * 2022-07-29 2022-11-08 北京国领科技有限公司 一种串行任务分工实现高性能网络加密的方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105162796A (zh) * 2015-09-24 2015-12-16 上海上讯信息技术股份有限公司 一种数据传输的方法与设备
CN115314269A (zh) * 2022-07-29 2022-11-08 北京国领科技有限公司 一种串行任务分工实现高性能网络加密的方法

Similar Documents

Publication Publication Date Title
US7274792B2 (en) Methods and apparatus for initialization vector processing
CN110535868A (zh) 基于混合加密算法的数据传输方法及系统
CN101335615B (zh) 用于usb key音频加解密装置密钥协商的方法
CN105357218B (zh) 一种具备硬件加解密功能的路由器及其加解密方法
CN107105060A (zh) 一种实现电动汽车信息安全的方法
CN105553951A (zh) 数据传输方法和装置
CN101296086B (zh) 接入认证的方法、系统和设备
CN104219041A (zh) 一种适用于移动互联网的数据传输加密方法
CN110753344B (zh) 基于NB-IoT的智能表安全接入系统
CN104219217A (zh) 安全关联协商方法、设备和系统
CN104901803A (zh) 一种基于cpk标识认证技术的数据交互安全保护方法
CN104901935A (zh) 一种基于cpk的双向认证及数据交互安全保护方法
CN103051869A (zh) 一种摄像头视频实时加密系统及加密方法
CN104468126A (zh) 一种安全通信系统及方法
CN111756528B (zh) 一种量子会话密钥分发方法、装置及通信架构
CN108234114A (zh) 一种基于硬件加密算法的ssl的实现方法
CN101808089A (zh) 基于非对称加密算法同态性的秘密数据传输保护方法
CN101521667B (zh) 一种安全的数据通信方法及装置
CN101707767A (zh) 一种数据传输方法及设备
CN102891848A (zh) 利用IPSec安全联盟进行加密解密的方法
CN106657085A (zh) 数据处理方法和装置及加密装置
CN109104278A (zh) 一种加密解密方法
CN102404120A (zh) 电子文档的加密方法及系统
CN102281303A (zh) 一种数据交换方法
CN102056156B (zh) 将计算机数据安全下载至移动终端的方法及系统

Legal Events

Date Code Title Description
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee
CP02 Change in the address of a patent holder

Address after: The city of Hangzhou in West Zhejiang province 311121 No. 998 Building 9 East Sea Park

Patentee after: Hangzhou Shengyuan Chip Technique Co., Ltd.

Address before: 310012, room 17, building 176, 203 Tianmu Mountain Road, Hangzhou, Zhejiang, Xihu District

Patentee before: Hangzhou Shengyuan Chip Technique Co., Ltd.

C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: The city of Hangzhou in West Zhejiang province 311121 No. 998 Building 9 East Sea Park

Patentee after: HANGZHOU SYNODATA SECURITY TECHNOLOGY CO., LTD.

Address before: The city of Hangzhou in West Zhejiang province 311121 No. 998 Building 9 East Sea Park

Patentee before: Hangzhou Shengyuan Chip Technique Co., Ltd.

CX01 Expiry of patent term
CX01 Expiry of patent term

Granted publication date: 20130130