一种基于国家商用密码算法的网络安全通信系统及方法技术方案

本发明专利技术涉及一种基于国家商用密码算法的网络安全通信系统及方法，包括：国密IPsec驱动模块，嵌入TCP/IP协议处理模块，位于网络层的IPsec协议处理与网络接口层之间，对于外发的IP包和来自网络的ESP包，按过滤规则表进行拦截；国密算法硬件模块，用于实现国家商用密码算法；国密应用模块，分别连接国密IPsec驱动模块和国密算法硬件模块，通过IKE协商过程建立通信双方的IPsec信道和SA，并通过ESP包安全通信过程基于SA进行接收ESP包解密和发送IP包加密。与现有技术相比，本发明专利技术实现支持国家商用密码算法的IPsec安全网络通信，具有通信安全性高、生产成本低、实用性强、易于推广应用等优点。

Network security communication system and method based on national commercial cipher algorithm

The invention relates to a network communication system of national commercial cipher algorithm and method, which is based on a state secret IPsec driver module, embedded TCP/IP protocol module, IPsec protocol between the processing and the network interface layer in the network layer, the outgoing IP packets and ESP packets from the network to intercept, according to filter rules the encryption algorithm; hardware module for the realization of national commercial encryption algorithm; state secret Application module, IPsec driver module is respectively connected with the state secret encryption algorithm and the country hardware module, establish IPsec channel and SA communication through the IKE negotiation process, and the process of secure communication based on SA to receive the ESP packet and send IP packet encryption decryption by ESP package. Compared with the prior art, the invention realizes the IPsec security network communication supporting the national commercial cipher algorithm, and has the advantages of high communication safety, low production cost, strong practicability, easy popularization and application, etc..

【技术实现步骤摘要】
一种基于国家商用密码算法的网络安全通信系统及方法
本专利技术涉及信息安全通信
，尤其是涉及一种基于国家商用密码算法的网络安全通信系统及方法。
技术介绍
中国在信息安全行业里起步较晚，由于“先入为主”的观念，目前仍有许多用户在使用国外的网络安全设备。这些设备长期以来都是沿用3DES、SHA-1、RSA等国际通用的加密算法体系及相关标准，可以说用户的信息安全是掌握在国外科技公司的手中。而近年来，国际著名厂商的设备频频曝光各类安全漏洞及威胁事件，越来越多的国际通用密码算法屡屡传出被破解、存在后门等传闻，让人对其安全性产生怀疑。以国际上最为位著名的RSA密码算法为例，中国的三大运营商及不少银行、制造业企业都是它的客户。但就是这样一家世界知名的密码技术企业，却被曝出与美国国家安全局达成协议，被要求在部分加密技术中放置后门。这给中国的用户敲响了警钟——自主可控、安全可信的国产化改造势在必行。为从根本上摆脱对国外加密技术和设备的过度依赖，国家密码管理局发布了SM1、SM2、SM3、SM4等一系列国家商用密码算法，从加密算法层面推动信息科技的“安全可控”。IPSecVPN是一种广泛采用的安全远程接入技术，提供公用和专用网络的端对端加密和验证服务。IPsec提供了以下的安全服务：1、数据机密性(Confidentiality)：IPsec发送方在通过网络传输包前对包进行加密。2、数据完整性(DataIntegrity)：IPsec接收方对发送方发送来的包进行认证，以确保数据在传输过程中没有被篡改。3、数据来源认证(DataAuthentication)：IPsec在接收端可以认证发送IPsec报文的发送端是否合法。4、防重放(Anti-Replay)：IPsec接收方可检测并拒绝接收过时或重复的报文。尽管IPsec具有以上这些安全性能，但这些安全性能是由密码算法的安全性来保证的。为了充分发挥IPsec的安全性能，达到安全可控，必须采用国内自有的密码算法。IPsec是第三层安全协议，windows系统中是由在协议栈的内核部分实现，不方便在其基础上增加国家商用密码算法。也正是由于在内核中实现，与windows版本依赖性太强，更不易实现跨版本的设计。SM1对称分组密码算法是一种算法非公开的密码算法，只能通过硬件IP来实现，即密码算法只能由硬件模块实现，更加增加了实现难度。为满足100M网络的加/解密速度，现有的实现方案成本高，不利于大规模推广应用，严重阻碍了国家商用密码算法在网络安全方面的普及应用。
技术实现思路
本专利技术的目的就是为了克服上述现有技术存在的缺陷而提供一种基于国家商用密码算法的网络安全通信系统及方法，实现支持国家商用密码算法的IPsec安全网络通信，具有通信安全性高、生产成本低、实用性强、易于推广应用等优点。本专利技术的目的可以通过以下技术方案来实现：一种基于国家商用密码算法的网络安全通信系统包括：国密IPsec驱动模块，嵌入TCP/IP协议处理模块，位于网络层的IPsec协议处理与网络接口层之间，对于外发的IP包，在IPsec协议处理之后按过滤规则表进行拦截，获得向通信对方IP地址外发的IP包，对于来自网络的ESP包，在IPsec协议处理之前按过滤规则表进行拦截，获得来自通信对方IP地址的ESP包，所述过滤规则表包括通信对方IP地址；国密算法硬件模块，用于实现包含SM1算法、SM2算法、SM3算法和SM4算法的国家商用密码算法；国密应用模块，分别连接国密IPsec驱动模块和国密算法硬件模块，通过IKE协商过程建立通信双方的IPsec信道和SA(SecurityAssociation，安全关联)，并通过ESP包安全通信过程基于SA进行接收ESP包解析、解密和发送IP包加密、组包，ESP包安全通信过程具体为：对于来自通信对方IP地址的ESP包，国密应用模块利用国密算法硬件模块对来自通信对方IP地址的ESP包进行解密后得到明文IP包，该明文IP包经国密IPsec驱动模块进入IPsec协议处理，对于向通信对方IP地址外发的IP包，国密应用模块利用国密算法硬件模块对向通信对方IP地址外发的IP包进行加密后得到密文ESP包，该密文ESP包经国密IPsec驱动模块和网络接口层发送到网络上。还包括连接国密应用模块的安全策略配置模块，所述安全策略配置模块用于添加、编辑或删除安全策略配置文件，所述安全策略配置文件包括支持IKE协商过程的第一配置参数、支持ESP包安全通信过程的第二配置参数和远端IP地址，所述国密应用模块读取安全策略配置文件，根据第一配置参数设置IKE协商过程的加解密算法，根据第二配置参数设置ESP包安全通信过程的加解密算法，并将远端IP地址设置为通信对方IP地址后发送给国密IPsec驱动模块，国密IPsec驱动模块将接收到的通信对方IP地址添加到过滤规则表中。所述第一配置参数设置IKE协商过程的对称分组密码算法为SM1算法或SM4算法，密码杂凑算法为SM3算法，公钥算法为SM2算法。所述第二配置参数设置ESP包安全通信过程的对称加密算法为SM1算法或SM4算法，密码杂凑算法为SM3算法。所述国密IPsec驱动模块内嵌有用于支持不同windows系统运行环境的驱动单元，所述驱动单元包含不同windows系统对应的NDIS版本的驱动程序，当国密IPsec驱动模块嵌入TCP/IP协议处理模块后，国密IPsec驱动模块通过驱动单元识别出当前windows系统并安装对应的NDIS版本的驱动程序。所述国密IPsec驱动模块通过第一回调函数向国密应用模块传输来自通信对方IP地址的ESP包或向通信对方IP地址外发的IP包，所述第一回调函数的内容包括待处理包缓冲区、待处理包长度、包处理后缓冲区和包标识，所述待处理包缓冲区和包处理后缓冲区均由国密IPsec驱动模块分配，并在国密应用模块处理后由国密IPsec驱动模块释放，对于来自通信对方IP地址的ESP包，待处理包缓冲区和包处理后缓冲区指向相同的缓冲区地址，对于向通信对方IP地址外发的IP包，待处理包缓冲区指向的缓冲区地址和包处理后缓冲区指向的缓冲区地址存在设定的偏置量，所述包标识指向包处理后缓冲区的缓冲区地址；所述国密应用模块通过第二回调函数向国密IPsec驱动模块发送处理后的明文IP包或密文ESP包，所述第二回调函数的内容包括包标识、包处理后缓冲区和包处理后长度。当包处理后长度的值为零时，表示国密应用模块检测到包错误或者IPsec信道未建立，此时国密IPsec驱动模块抛弃该包，释放包标识指向的缓冲区地址；当包处理后长度的值为非零时，表示国密应用模块检测到包正常，此时国密IPsec驱动模块将返回的明文IP包发送到IPsec协议处理或者将返回的密文ESP包经网络接口层发送到网络上，并释放包标识指向的缓冲区地址。所述IKE协商过程的消息仅在国密IPsec驱动模块和国密应用模块中处理，其中：向通信对方发出IKE协商的消息流程为：国密应用模块生成用于IKE协商的UDP包，该UDP包经国密IPsec驱动模块和网络接口层直接发送到网络上；接收通信对方发出的IKE协商的消息流程为：国密IPsec驱动模块按过滤规则拦截到通信对方发出的UDP包后转发给国密应用模块，国密应用模块利用国本文档来自技高网...

【技术保护点】
一种基于国家商用密码算法的网络安全通信系统，其特征在于，包括：国密IPsec驱动模块(1)，嵌入TCP/IP协议处理模块(4)，位于网络层(42)的IPsec协议处理与网络接口层(41)之间，对于外发的IP包，在IPsec协议处理之后按过滤规则表进行拦截，获得向通信对方IP地址外发的IP包，对于来自网络的ESP包，在IPsec协议处理之前按过滤规则表进行拦截，获得来自通信对方IP地址的ESP包，所述过滤规则表包括通信对方IP地址；国密算法硬件模块(3)，用于实现包含SM1算法、SM2算法、SM3算法和SM4算法的国家商用密码算法；国密应用模块(2)，分别连接国密IPsec驱动模块(1)和国密算法硬件模块(3)，通过IKE协商过程建立通信双方的IPsec信道和SA，并通过ESP包安全通信过程基于SA进行接收ESP包解析、解密和发送IP包加密、组包，ESP包安全通信过程具体为：对于来自通信对方IP地址的ESP包，国密应用模块(2)利用国密算法硬件模块(3)对来自通信对方IP地址的ESP包进行解密后得到明文IP包，该明文IP包经国密IPsec驱动模块(1)进入IPsec协议处理，对于向通信对方IP地址外发的IP包，国密应用模块(2)利用国密算法硬件模块(3)对向通信对方IP地址外发的IP包进行加密后得到密文ESP包，该密文ESP包经国密IPsec驱动模块(1)和网络接口层(41)发送到网络上。...

【技术特征摘要】
1.一种基于国家商用密码算法的网络安全通信系统，其特征在于，包括：国密IPsec驱动模块(1)，嵌入TCP/IP协议处理模块(4)，位于网络层(42)的IPsec协议处理与网络接口层(41)之间，对于外发的IP包，在IPsec协议处理之后按过滤规则表进行拦截，获得向通信对方IP地址外发的IP包，对于来自网络的ESP包，在IPsec协议处理之前按过滤规则表进行拦截，获得来自通信对方IP地址的ESP包，所述过滤规则表包括通信对方IP地址；国密算法硬件模块(3)，用于实现包含SM1算法、SM2算法、SM3算法和SM4算法的国家商用密码算法；国密应用模块(2)，分别连接国密IPsec驱动模块(1)和国密算法硬件模块(3)，通过IKE协商过程建立通信双方的IPsec信道和SA，并通过ESP包安全通信过程基于SA进行接收ESP包解析、解密和发送IP包加密、组包，ESP包安全通信过程具体为：对于来自通信对方IP地址的ESP包，国密应用模块(2)利用国密算法硬件模块(3)对来自通信对方IP地址的ESP包进行解密后得到明文IP包，该明文IP包经国密IPsec驱动模块(1)进入IPsec协议处理，对于向通信对方IP地址外发的IP包，国密应用模块(2)利用国密算法硬件模块(3)对向通信对方IP地址外发的IP包进行加密后得到密文ESP包，该密文ESP包经国密IPsec驱动模块(1)和网络接口层(41)发送到网络上。2.根据权利要求1所述的一种基于国家商用密码算法的网络安全通信系统，其特征在于，还包括连接国密应用模块(2)的安全策略配置模块，所述安全策略配置模块用于添加、编辑或删除安全策略配置文件，所述安全策略配置文件包括支持IKE协商过程的第一配置参数、支持ESP包安全通信过程的第二配置参数和远端IP地址，所述国密应用模块(2)读取安全策略配置文件，根据第一配置参数设置IKE协商过程的加解密算法，根据第二配置参数设置ESP包安全通信过程的加解密算法，并将远端IP地址设置为通信对方IP地址后发送给国密IPsec驱动模块(1)，国密IPsec驱动模块(1)将接收到的通信对方IP地址添加到过滤规则表中。3.根据权利要求2所述的一种基于国家商用密码算法的网络安全通信系统，其特征在于，所述第一配置参数设置IKE协商过程的对称分组密码算法为SM1算法或SM4算法，密码杂凑算法为SM3算法，公钥算法为SM2算法。4.根据权利要求2所述的一种基于国家商用密码算法的网络安全通信系统，其特征在于，所述第二配置参数设置ESP包安全通信过程的对称加密算法为SM1算法或SM4算法，密码杂凑算法为SM3算法。5.根据权利要求1所述的一种基于国家商用密码算法的网络安全通信系统，其特征在于，所述国密IPsec驱动模块(1)内嵌有用于支持不同windows系统运行环境的驱动单元，所述驱动单元包含不同windows系统对应的NDIS版本的驱动程序，当国密IPsec驱动模块(1)嵌入TCP/IP协议处理模块...

【专利技术属性】
技术研发人员：许小青，杜宇中，李伟，
申请(专利权)人：上海传真通信设备技术研究所有限公司，
类型：发明
国别省市：上海,31