一种采用硬件加解密的虚拟私有网络属于信息安全领域。在用作网关的计算机中内置PCI插卡,通过PCI插卡实现虚拟私有网络技术中的加密算法、解密算法、数字签名、身份认证等,当虚拟私有网络中不同子网间的用户相互访问时,PCI插卡采用已经固化在插卡存储器中的任何成熟数据流加解密算法,将数据经过PCI控制器由微处理器接收并暂存在数据存储器中,数据流经过微处理器运算加密后再通过网卡模块输出,达到在VPN环境下计算机之间安全的、高效的通讯。本发明专利技术采用PCI硬卡实现VPN中加解密算法、身份认证和数字签名及策略库信息的存储,比单纯用软件实现VPN功能有更好的安全性。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及的是一种网络安全系统,特别是一种采用硬件加解密的虚拟私有网络,属于信息安全领域。
技术介绍
Internet的出现使企事业单位信息化建设程度不断提高,跨地区的企事业的不同部门之间的互联变得既方便又经济。但是如何保证企业内部的数据通过公共网络传输的安全性和保密性,以及如何管理企业网在公共网络上的不同节点,成为企业非常关注的问题。虚拟私有网络技术采用专用的网络加密和通信协议,可以使企业在公共网络上建立虚拟的加密通道,构筑自己的安全虚拟通道。企业的跨地区的部门或出差人员可以从远程经过公共网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。虚拟专用网以其独具特色的优势,赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。VPN代表了当今网络发展的新趋势,它综合了传统数据网络和共享数据网络的性能优点,能够提供安全经济的远程访问,外部网和内部网的连接,VPN将成为未来企业传输业务的主要工具。但在VPN的应用越来越广泛的同时,传统的单纯用软件来实现的VPN技术在保证信息传输安全性方面出现了一定的局限性。经文献检索发现,《辽宁师专科学报》2000年4期上,艾红等人在“虚拟私有网络(VPN)技术的实现”一文中给出了一种在Linux系统上通过软件编程具体实现VPN的方法。但是用软件的方法修改协议而实现VPN的方法工作量大,且不易实现。
技术实现思路
本专利技术的目的在于克服现有技术中的不足,提供一种采用硬件加解密的虚拟私有网络,采用依靠硬件实现加解密算法和策略库信息存储的方法建立VPN系统,使其大大提高了VPN系统的效率和可靠性。本专利技术是通过以下技术方案实现的,本专利技术在用作网关的计算机中内置PCI即周边元件扩展接口插卡,通过PCI插卡实现虚拟私有网络技术中的加密算法、解密算法、数字签名、身份认证等,当虚拟私有网络中不同子网间的用户相互访问时,PCI插卡采用已经固化在插卡存储器中的任何成熟数据流加解密算法,将数据经过PCI控制器由微处理器接收并暂存在数据存储器中,数据流经过微处理器运算加密后再通过网卡模块输出,达到在VPN环境下计算机之间安全的、高效的通讯。PCI插卡是一块电路板,该插卡由PCI控制器、微处理器、存储器、网卡模块组成,这些电子元器件都焊接在电路板上,其中程序存储器、数据存储器、网卡模块、策略库存储器EEPROM都连接到由微处理器为中心的本地总线,包括数据总线、地址总线和控制总线上,PCI控制器构成连接PCI总线和本地总线的桥梁,PCI配置存储器与PCI控制器相连。PCI插卡通过PCI插槽与计算机相连。PCI插卡完成数据流的加解密算法,数据流的加解密算法可以采用任何成熟的数据流加解密算法。PCI控制器、微处理器、存储器均可以采用不同公司生产的相关集成芯片。本专利技术具有实质性特点和显著进步,虚拟私有网络可以使企业在公共网络上建立虚拟的加密通道,是未来企业传输业务的主要工具采用硬件加、解密的虚拟私有网络(VPN)在传统的单纯用软件实现VPN的技术中加入了硬件成分,采用PCI硬卡实现VPN中加解密算法、身份认证和数字签名及策略库信息的存储,比单纯用软件实现VPN功能有更好的安全性。附图说明图1本专利技术的硬件部分电气结构示意2本专利技术的实施例应用示意图具体实施方式如图1和图2所示,本专利技术在用作网关的计算机1中内置PCI插卡9,用PCI插卡9实现虚拟私有网络技术中的加密算法、解密算法、数字签名、身份认证等,当虚拟私有网络中不同子网间的用户相互访问时,PCI插卡9采用已经固化在策略库存储器5、程序存储器6中的任何成熟数据流加解密算法,将数据经过PCI控制器2和PCI配置存储器4由微处理器3接收并暂存在数据存储器7中,数据流经过微处理器3运算加密后再通过网卡模块8输出,达到在虚拟私有网络环境下计算机之间安全的、高效的通讯。PCI插卡9是一块电路板,该插卡由PCI控制器2、PCI配置存储器4、微处理器3、程序存储器6、数据存储器7、网卡模块8组成,这些电子元器件都焊接在同一块电路板上,其中程序存储器6、数据存储器7、网卡模块8、策略库存储器EEPROM5都连接到由微处理器3为中心的本地总线,包括数据总线、地址总线和控制总线上,PCI控制器2构成连接PCI总线和本地总线的桥梁,PCI配置存储器4与PCI控制器2相连。PCI插卡通过PCI插槽与计算机1相连。PCI插卡9完成数据流的加解密算法,数据流的加解密算法可以采用任何成熟的数据流加解密算法。PCI控制器2、微处理器3、PCI配置存储器4、程序存储器6、数据存储器7均可以采用不同公司生产的相关集成芯片。网关计算机和PCI插卡之间的通讯传输要按帧编码,以使通讯双方分辨数据类型是策略库信息(包括居域网节点信息、接收端IP地址、加解密算法选择、加解密密钥等)还是明文。PCI插卡实现私有虚拟网络的流程具体如下(这里是用DES算法实现对明文的加密和对密文的解密,用RSA算法实现数字签名和身份认证,其它加密和认证算法过程与此相似)(1)上电复位,配置PCI控制器。(2)等待网关计算机握手信号。(3)对网关计算机的握手信号给予应答。(4)从网关计算机接收策略库信息,主要包含以下内容局域网节点信息、兄弟网关接点的RSA的公开密钥、本地网关RSA私有密钥等并将此类信息写入EEPROM存储器5。(5)等待网关计算机发来数据信息或从网卡模块接收外部数据。(6)若读取的数据为网关计算机要求发送的明文,则执行操作(7)-(13)。若读取的数据为从网卡模块从InterNet接收到的密文则执行操作(14)-(20)。(7)接收数据并将数据分段(例如每次接收64KB)暂存在数据存储器7。(8)执行数字签名算法(9)执行加密算法(10)从策略库存储器中读取接收方的RSA公开密钥,并用该公钥加密本地产生DES密钥,将被加密的密钥写入存储器7,作为待发数据的一部分。(11)将待发数据数据(包括密文和签名信息,DES密钥)送至网卡模块输出。(12)若网关计算机的明文没有发送结束则返回步骤(7)继续接收明文。(13)若网关计算机的明文已经发送结束则返回步骤(5)继续等待网关计算机的命令。(14)接收数据并暂存在数据存储器7。(15)用本地RSA私有密钥解开密文中的被加密DES密钥,获得DES解密密钥(和加密密钥相同)(16)执行DES解密算法(17)PCI插卡上的微处理器3对暂存在数据存储器7中的数据进行解密处理,解密算法同加密算法完全相同,获得明文和签名信息。(18)进行信息鉴别。(19)利用RSA规则分析签名信息和发送方的公开密钥,确认发送方的身份。(20)若网卡模块未接收完数据返回步骤(14)继续。(21)若网卡模块接收完数据返回步骤(5)继续。下面对上述过程中出现的关键算法或步骤作进一步的说明A.加密算法所述过程第(9)步的加密算法是指通过PCI插卡对数据进行加密,其具体步骤如下PCI插卡上的微处理器3对暂存在数据存储器7中的数据(包括明文和签名信息)进行加密处理,首先微处理器3执行随机函数产生一个64位的DES密钥,对明文和签名信息进行加密,并将加密后的密文存储在数据存储器7的另一地址段。解密算法同本文档来自技高网...
【技术保护点】
一种采用硬件加解密的虚拟私有网络,其特征在于:在用作网关的计算机(1)中内置PCI插卡(9),通过PCI插卡(9)实现虚拟私有网络技术中的加密算法、解密算法、数字签名、身份认证,当虚拟私有网络中子网间的用户相互访问时,PCI插卡(9)采用已经固化在策略库存储器(5)、程序存储器(6)中的成熟数据流加解密算法,将数据经过PCI控制器(2)和PCI配置存储器(4)由微处理器(3)接收并暂存在数据存储器(7)中,数据流经过微处理器(3)运算加密后再通过网卡模块(8)输出,达到在虚拟私有网络环境下计算机之间安全的、高效的通讯。
【技术特征摘要】
【专利技术属性】
技术研发人员:张申生,王来瑞,肖少君,李磊,朱翔飞,
申请(专利权)人:上海交通大学,
类型:发明
国别省市:31[中国|上海]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。