专利名称:一种对网络数据流硬件加密的系统的利记博彩app
技术领域:
本实用新型涉及对网络数据流实现硬件加密的领域,尤其是一种对网络数据流硬件加密的系统。
背景技术:
在一些政府或者企业的信息保密类部门,在日常工作中,对网络安全性要求很高,需防止非法用户访问内部资源、防止信息传输过程被黑客攻击,保证网络传输过程中数据的机密性、完整性、真实性、抗重放性。而软件加密始终存在安全隐患,当黑客攻击了相关PC以后,软件加密就形同虚设了,而硬件加密的方法则避免了这个问题,因为加密过程本身处于一个PC不可控的环境下,使得这种加密方法更加可靠。 现在在出现需要进行网络数据加密的情况时,一般采用的是加密网关的方法。具体实现方法是将各个需要加密的单位的局域网网关换成加密网关,加密网关会对所有流入/流出该局域网的网络数据进行判断,如果网络包符合特定的格式,则对其进行加密或解密操作,从而保证网络数据的安全可靠。其实质是利用IPsec协议族构建虚拟专用网(VPN)来实现网关到网关的安全通信。图I是使用加密网关时的内网A和内网B上的用户交互时的数据流示意图。现有技术能够在从局域网向外网传输之前对相应的包进行加密,以及从外网向局域网内传输时对相应的包进行解密。这样就造成I)当局域网内不同用户同时需要发送/接收大量需要加密/解密的数据时,容易产生由于加/解密速度引起的网络延迟。2)当局域网内存在量大用户时,收发每个数据包都需要进行是否需要解密的判断,影响网络效率。3)无法保证在局域网内部数据流动时的安全性,当攻击者和被攻击者处于同一个局域网或攻击者已经侵入了局域网内某台PC时,攻击者能够在局域网内获取明文数据,这种情况下加密网关无法保证数据的安全。4)为了减少对网络效率的影响而增加大量成本,现在密文流量达到100M的加密网关价格在三万元以上,密文流量达到1000M的加密网关价格一般都在十万元以上。
实用新型内容本实用新型的目的正是要解决上述技术存在的不足,而提供一种对网络数据流硬件加密的系统。本实用新型解决其技术问题采用的技术方案这种对网络数据流硬件加密的系统,PC用户A通过微型加密机A与内网A网络连接,微型加密机A通过预先设置的规则对PC用户A发出的数据包加密或不加密,加密数据包或不加密的数据包经过内网A传输到同局域网的目标用户,或者由内网A通过普通网关A、公网、普通网关B传输到内网B,内网B通过微型加密机B将加密数据包解密后传输给PC用户B。更进一步的,所述的微型加密机A和微型加密机B之间能够通过互联网金钥交换协定实现该会话密钥的交换。更进一步的,所述的微型加密机A和微型加密机B均有2个网络接口,一个面向PC设备,一个面向局域网,对PC设备和局域网内流通的数据包进行过滤和加解密操作。本实用新型有益的效果是本实用新型解决现有技术对网络数据流进行硬件加密时存在的速度瓶颈、安全性以及成本问题。
图I是现有技术的方框示意图;图2是本实用新型的方框示意图;图3是本实用新型中PC-微型加密机-网络之间的数据流示意图。
具体实施方式
以下结合附图和实施例对本实用新型作进一步说明本实用新型是一种网络数据流硬件加密装置,实现了 PC到PC的网络安全通信,下文将该装置简称为微型加密机,PC用户A通过微型加密机A与内网A网络连接,微型加密机A通过预先设置的规则对PC用户A发出的数据包加密或不加密,加密数据包或不加密的数据包经过内网A传输到同局域网的目标用户,或者由内网A通过普通网关A、公网、普通网关B传输到内网B,内网B通过微型加密机B将加密数据包解密后传输给PC用户B。I)安全通信的实现方法本技术实现了 PC到PC的网络安全通信,PC用户发送数据包时,必须经过微型加密机,加密机通过预先设置的规则判断数据包是否需要加密,如果需要,则对数据包加密并发送,加密后的数据包经过内网传输到同局域网的目标用户,或者通过网关和公网到达其他局域网内的目标用户。以图2为例,当用户Al发送一包需要保密的数据到B2要经过以下步骤· PC用户Al发送一个带标记的明文数据包; 数据包流入加密机Al时,加密机判断到这包数据需要加密,然后将数据包加密并发送; 数据经过普通网关A、公网、普通网关B,到达加密机B2 ; 加密机B2接收到该包数据后判断是否需要解密; 加密机B2解密后再将明文数据传送给PC用户B2。加密机Al和加密机B2之间可以通过互联网金钥交换协定(IKE)实现该会话密钥的交换。2)微型加密机的结构微型加密机摒弃了传统桌面加密的U盘接口,直接采用网络接口实现。微型加密机有2个网络接口,一个面向PC设备,一个面向局域网,对PC和局域网内流通的数据包进行过滤和加解密操作。这种方式有以下几个好处[0032] 相对于U盘接口的加密机,微型加密机无需在使用前后插拔,可以半永久的安装在PC网卡出口。 微型加密机不需要额外占用PC任何接口。 可以对试图流入/流出PC的所有网络包进行过滤。3)微型加密机内的数据流每个微型加密机在生产时就获得一对密钥,其私钥不能被仍和用户获得,只有微型加密机本身能够使用,公钥能够通过固定的协议发送给其他微型加密机。PC在有微型加密机的情况下,发送数据的流程如下· PC发出的数据经过微型加密机的过滤模块,将不符合规则的数据包丢弃; 判断符合规则的数据包是否需要加密; 不需要加密的数据直接发送到局域网; 需要加密的数据送到加/解密模块,加密后发送到网络; 加密数据发送后和目标PC (实际上是和目标PC对应的微型加密机)进行IKE密钥交换;PC在有微型加密机的情况下,接收数据的流程如下 微型加密机从网络获得数据包后,判断是否需要解密; 不需要解密的数据直接送到过滤模块; 需要解密则查询是否已经完成了该次会话需要的密钥交换; 若没有则通过IKE协议实现密钥交换; 对需要解密的数据解密,并将解密结果发送到过滤模块; 过滤模块对数据包进行过滤,将不符合规则的数据包丢弃,符合规则的数据包发送给PC ;图3是PC-微型加密机-网络之间的数据流示意图,这里的网络一般情况下是局域网,也可以是公网或专用网络。4)微型加密机的优点 局域网内安全性,微型加密机实现了 PC到PC的安全通信,相对于现有的网关到网关,避免了局域网内部的攻击,有更高的安全性。 速度快,现有的加密芯片完全可以满足单台电脑的加/解密速度要求,并且避免了加密网关必然存在的全局域网内加/解密总速度峰值的瓶颈; 加密算法安全性,由于避免了加密网关对加密算法速度的严苛要求,微型加密机可以使用一些加密速度稍慢,但加密更复杂,加密效果更好的算法,提高整体的安全性。 对其他用户无影响,使用微型加密对局域网内其他用户完全没有影响,不会出现由于已经有大量数据在排队加密而导致其他用户无法及时发送加密数据或接收解密数据的问题; 对PC软件的兼容性,当用户在不同的应用中需要加密不同的数据时(各机关/单位使用的公文流转平台可能数据格式都不同),只需要修改加密判断模块中的判断条件,就可以无缝衔接到现有的各种公文流转平台或其他PC软件,无需对软件进行更新; 抗攻击性,微型加密机可以由特定的软件设置规则(该软件由发放加密机的部门专有),使得即使有黑客侵入到局域网PC也无法修改该PC上的微型加密机的规则。[0058] 密钥安全性,密钥的生成和交换过程只在微型加密机之间,攻击者无法从PC端获得密钥,而微型加密机本身无法作为一个终端被攻击者访问。 灵活性,微型加密机适用于各种不同的局域网环境,可以以PC为单位选择是否
需要使用; 易用性,相对于传统的桌面加密机,微型加密机不占用PC额外的接口,无需频繁插拔; ·成本低,单个微型加密机成本比较低,同时基于灵活性,局域网内并不是所有PC都需要加密功能,局域网内用户增加时只需增加少量微型加密机,而加密网关在局域网内用户扩展到一定规模时必须选用价格不菲的高端机器。5)微型加密机适用的场合 适用于局域网内PC不多的机构; 适用于局域网内并不是每台机器都需要加/解密传输功能的机构; 适用于局域网内数据传输也有保密需求的机构。术语解释IPsec (Internet Protocol Security)IPsec是通过对IP协议(互联网协议)的分组进行加密和认证来保护IP协议的网络传输协议族。IPsec由2大部分组成(I)建立安全分组流的密钥交换协议;(2)保护分组流的协议。前者为互联网金钥交换(IKE)协议。后者包括加密分组流的封装安全载荷协议(ESP协议)或认证头协议(AH协议)协议,用于保证数据的机密性、来源可靠性(认证)、无连接的完整性并提供抗重播服务。虚拟专用网络(VirtualPrivate Network,简称 VPN):是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构(例如互联网)来传送内联网的网络讯息。互联网金钥交换协定(Internet Key Exchange,简称IKE或IKEv2):—种网络协定,归属于IPsec协定之下,用以建立安全关联(Security association, SA)。它建立在奥克利协定(Oakley protocol)与ISAKMA协定的基础之上。使用X. 509安全认证。除上述实施例外,本实用新型还可以有其他实施方式。凡采用等同替换或等效变换形成的技术方案,均落在本实用新型要求的保护范围。
权利要求1.一种对网络数据流硬件加密的系统,其特征在于PC用户A通过微型加密机A与内网A网络连接,微型加密机A通过预先设置的规则对PC用户A发出的数据包加密或不加密,加密数据包或不加密的数据包经过内网A传输到同局域网的目标用户,或者由内网A通过普通网关A、公网、普通网关B传输到内网B,内网B通过微型加密机B将加密数据包解密后传输给PC用户B。
2.根据权利要求I所述的对网络数据流硬件加密的系统,其特征在于所述的微型加密机A和微型加密机B之间能够通过互联网金钥交换协定实现该会话密钥的交换。
3.根据权利要求I所述的对网络数据流硬件加密的系统,其特征在于所述的微型加密机A和微型加密机B均有2个网络接口,一个面向PC设备,一个面向局域网,对PC设备和局域网内流通的数据包进行过滤和加解密操作。
专利摘要本实用新型涉及一种对网络数据流硬件加密的系统,PC用户A通过微型加密机A与内网A网络连接,微型加密机A通过预先设置的规则对PC用户A发出的数据包加密或不加密,加密数据包或不加密的数据包经过内网A传输到同局域网的目标用户,或者由内网A通过普通网关A、公网、普通网关B传输到内网B,内网B通过微型加密机B将加密数据包解密后传输给PC用户B。本实用新型有益的效果是本实用新型解决现有技术对网络数据流进行硬件加密时存在的速度瓶颈、安全性以及成本问题。
文档编号H04L29/06GK202713365SQ20122022777
公开日2013年1月30日 申请日期2012年5月17日 优先权日2012年5月17日
发明者苗欣, 李昀, 罗洪昌, 马震伟 申请人:杭州晟元芯片技术有限公司