The invention relates to a network communication system of national commercial cipher algorithm and method, which is based on a state secret IPsec driver module, embedded TCP/IP protocol module, IPsec protocol between the processing and the network interface layer in the network layer, the outgoing IP packets and ESP packets from the network to intercept, according to filter rules the encryption algorithm; hardware module for the realization of national commercial encryption algorithm; state secret Application module, IPsec driver module is respectively connected with the state secret encryption algorithm and the country hardware module, establish IPsec channel and SA communication through the IKE negotiation process, and the process of secure communication based on SA to receive the ESP packet and send IP packet encryption decryption by ESP package. Compared with the prior art, the invention realizes the IPsec security network communication supporting the national commercial cipher algorithm, and has the advantages of high communication safety, low production cost, strong practicability, easy popularization and application, etc..
【技术实现步骤摘要】
一种基于国家商用密码算法的网络安全通信系统及方法
本专利技术涉及信息安全通信
,尤其是涉及一种基于国家商用密码算法的网络安全通信系统及方法。
技术介绍
中国在信息安全行业里起步较晚,由于“先入为主”的观念,目前仍有许多用户在使用国外的网络安全设备。这些设备长期以来都是沿用3DES、SHA-1、RSA等国际通用的加密算法体系及相关标准,可以说用户的信息安全是掌握在国外科技公司的手中。而近年来,国际著名厂商的设备频频曝光各类安全漏洞及威胁事件,越来越多的国际通用密码算法屡屡传出被破解、存在后门等传闻,让人对其安全性产生怀疑。以国际上最为位著名的RSA密码算法为例,中国的三大运营商及不少银行、制造业企业都是它的客户。但就是这样一家世界知名的密码技术企业,却被曝出与美国国家安全局达成协议,被要求在部分加密技术中放置后门。这给中国的用户敲响了警钟——自主可控、安全可信的国产化改造势在必行。为从根本上摆脱对国外加密技术和设备的过度依赖,国家密码管理局发布了SM1、SM2、SM3、SM4等一系列国家商用密码算法,从加密算法层面推动信息科技的“安全可控”。IPSecVPN是一种广泛采用的安全远程接入技术,提供公用和专用网络的端对端加密和验证服务。IPsec提供了以下的安全服务:1、数据机密性(Confidentiality):IPsec发送方在通过网络传输包前对包进行加密。2、数据完整性(DataIntegrity):IPsec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。3、数据来源认证(DataAuthentication):IPsec在接 ...
【技术保护点】
一种基于国家商用密码算法的网络安全通信系统,其特征在于,包括:国密IPsec驱动模块(1),嵌入TCP/IP协议处理模块(4),位于网络层(42)的IPsec协议处理与网络接口层(41)之间,对于外发的IP包,在IPsec协议处理之后按过滤规则表进行拦截,获得向通信对方IP地址外发的IP包,对于来自网络的ESP包,在IPsec协议处理之前按过滤规则表进行拦截,获得来自通信对方IP地址的ESP包,所述过滤规则表包括通信对方IP地址;国密算法硬件模块(3),用于实现包含SM1算法、SM2算法、SM3算法和SM4算法的国家商用密码算法;国密应用模块(2),分别连接国密IPsec驱动模块(1)和国密算法硬件模块(3),通过IKE协商过程建立通信双方的IPsec信道和SA,并通过ESP包安全通信过程基于SA进行接收ESP包解析、解密和发送IP包加密、组包,ESP包安全通信过程具体为:对于来自通信对方IP地址的ESP包,国密应用模块(2)利用国密算法硬件模块(3)对来自通信对方IP地址的ESP包进行解密后得到明文IP包,该明文IP包经国密IPsec驱动模块(1)进入IPsec协议处理,对于向通信对 ...
【技术特征摘要】
1.一种基于国家商用密码算法的网络安全通信系统,其特征在于,包括:国密IPsec驱动模块(1),嵌入TCP/IP协议处理模块(4),位于网络层(42)的IPsec协议处理与网络接口层(41)之间,对于外发的IP包,在IPsec协议处理之后按过滤规则表进行拦截,获得向通信对方IP地址外发的IP包,对于来自网络的ESP包,在IPsec协议处理之前按过滤规则表进行拦截,获得来自通信对方IP地址的ESP包,所述过滤规则表包括通信对方IP地址;国密算法硬件模块(3),用于实现包含SM1算法、SM2算法、SM3算法和SM4算法的国家商用密码算法;国密应用模块(2),分别连接国密IPsec驱动模块(1)和国密算法硬件模块(3),通过IKE协商过程建立通信双方的IPsec信道和SA,并通过ESP包安全通信过程基于SA进行接收ESP包解析、解密和发送IP包加密、组包,ESP包安全通信过程具体为:对于来自通信对方IP地址的ESP包,国密应用模块(2)利用国密算法硬件模块(3)对来自通信对方IP地址的ESP包进行解密后得到明文IP包,该明文IP包经国密IPsec驱动模块(1)进入IPsec协议处理,对于向通信对方IP地址外发的IP包,国密应用模块(2)利用国密算法硬件模块(3)对向通信对方IP地址外发的IP包进行加密后得到密文ESP包,该密文ESP包经国密IPsec驱动模块(1)和网络接口层(41)发送到网络上。2.根据权利要求1所述的一种基于国家商用密码算法的网络安全通信系统,其特征在于,还包括连接国密应用模块(2)的安全策略配置模块,所述安全策略配置模块用于添加、编辑或删除安全策略配置文件,所述安全策略配置文件包括支持IKE协商过程的第一配置参数、支持ESP包安全通信过程的第二配置参数和远端IP地址,所述国密应用模块(2)读取安全策略配置文件,根据第一配置参数设置IKE协商过程的加解密算法,根据第二配置参数设置ESP包安全通信过程的加解密算法,并将远端IP地址设置为通信对方IP地址后发送给国密IPsec驱动模块(1),国密IPsec驱动模块(1)将接收到的通信对方IP地址添加到过滤规则表中。3.根据权利要求2所述的一种基于国家商用密码算法的网络安全通信系统,其特征在于,所述第一配置参数设置IKE协商过程的对称分组密码算法为SM1算法或SM4算法,密码杂凑算法为SM3算法,公钥算法为SM2算法。4.根据权利要求2所述的一种基于国家商用密码算法的网络安全通信系统,其特征在于,所述第二配置参数设置ESP包安全通信过程的对称加密算法为SM1算法或SM4算法,密码杂凑算法为SM3算法。5.根据权利要求1所述的一种基于国家商用密码算法的网络安全通信系统,其特征在于,所述国密IPsec驱动模块(1)内嵌有用于支持不同windows系统运行环境的驱动单元,所述驱动单元包含不同windows系统对应的NDIS版本的驱动程序,当国密IPsec驱动模块(1)嵌入TCP/IP协议处理模块...
【专利技术属性】
技术研发人员:许小青,杜宇中,李伟,
申请(专利权)人:上海传真通信设备技术研究所有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。