基於硬體加密的安全網絡傳輸系統的製作方法

2023-09-14 07:35:40 5

專利名稱：基於硬體加密的安全網絡傳輸系統的製作方法
技術領域：
本實用新型屬於網絡安全技術領域，具體涉及一種可以提高數據交換性能和安全性的基於硬體加密的安全網絡傳輸系統。
背景技術：
隨著Internet的發展，網絡安全問題也越發突出，尤其是 如何利用網際網路進行加密通信目前已經成為一個熱點問題。目前主要通過虛擬網卡SSL VPN技術來解決這一問題。但是利用虛擬網卡進行通信需要安裝VPN客戶端，對通信報文進行加密和封裝，因此這種加密方式屬於軟體加密範疇。需要進行SSL VPN加密的報文無論是發送還是接收都會兩次經過協議棧的處理，這自然會在一定程度上導致數據交換性能下降。通過對虛擬網卡的SSL VPN技術數據包發送流程分析可知，發送端主機與外界有兩個交換通道，從而當發送端主機在建立SSL隧道後並未切斷與Internet的數據交互,可能會受到來自Internet的攻擊，因此基於虛擬網卡的SSL VPN技術存在安全問題。VPN客戶端通常是在作業系統核心層安裝一個數據截獲的模塊，VPN客戶端的開發只能針對特定的Windows、Linux作業系統，無法廣泛應用於大型設備中。為了解決基於虛擬網卡的SSL VPN技術的數據交換性能低、安全性不高、適用範圍有限等問題，急需提供一種基於硬體加密的安全網絡傳輸系統。
發明內容本實用新型的目的是解決基於虛擬網卡的SSL VPN技術的客戶端與外界有兩個交換通道，其數據包可能會受到來自Internet的攻擊而提供一種基於硬體加密的安全網絡傳輸系統，同時由於基於軟體加密的不安全，通過內置加密晶片的加密設備對數據包進行加密。本實用新型的方法是這樣實現的一種基於硬體加密的安全網絡傳輸系統，包括發送端主機、通過網線與發送端主機相連接的加密設備、公共LAN/WAN網、SSL VPN網關伺服器和內網主機，其特徵在於，發送端主機用於將傳輸於物理層的IP數據包發送給加密設備；加密設備包括第一網卡模塊、與第一網卡模塊相連接的加密晶片和與加密晶片相連接的第二網卡模塊，發送端主機的RJ45網絡接口通過網線與加密設備的第一網卡模塊相連接，加密設備的第二網卡模塊與公網LAN/WAN的一端相連接；加密設備通過第一網卡模塊接收數據包，並經內置的加密晶片對數據包進行加密封裝形成新的IP數據包，加密設備的第二網卡模塊通過其RJ45網絡接口將加密封裝後的數據包發送到公網LAN/WAN上進行傳輸；公網LAN/WAN的另一端與SSL VPN網關伺服器的RJ45網絡接口相連接，SSL VPN網關伺服器的RJ45網絡接口通過網線與內網主機的RJ45網絡接口相連接；經加密設備加密的數據包通過公網LAN/WAN傳送到連接內網主機的SSL VPN網關伺服器上，並對數據包進行拆封解密；拆封解密過的數據包通過SSL VPN網關伺服器的RJ45網絡接口傳輸到內網主機上，完成數據包的安全傳輸。發送端主機通過網線和RJ45網絡接口與加密設備相連接，發送端主機發送的數據包是在物理層進行傳輸的IP數據包，其報文只需要經過一次協議棧處理從真實物理網卡發出，通過網線發給加密設備的第一網卡模塊。加密設備中內置的加密晶片，完成對傳輸於物理層的數據包的基於硬體的加密，並對加密後的數據包重新封裝形成新的IP數據包，經基於硬體的加密設備加密封裝後的數據包在公網LAN/WAN上傳輸。本實用新型的特點及積極效果如下通過內置加密晶片的加密設備對傳輸於物理層的IP數據包進行加密封裝，從而保證了數據在網絡傳輸中的高安全性。發送端主機的報文只需要經過一次協議棧處理從真實物理網卡發出，內網主機從物理網卡收到的數據包也只需要經過一次協議棧處理，從而提高了數據交換的速度。其特色在於它基於硬體加密提 高了數據安全性，且不用在收發主機上安裝特殊的客戶端簡化了主機的操作。相對於基於虛擬網卡的SSL VPN技術更安全、更方便、數據交換性能更高。

圖I是基於硬體加密的安全網絡傳輸方法的傳輸結構圖。
具體實施方式
以下結合附圖和實施例對本實用新型進一步說明。一種基於硬體加密的安全網絡傳輸系統，包括發送端主機I、通過網線與發送端主機I相連接的加密設備2、公共LAN/WAN網3、SSL VPN網關伺服器4和內網主機5，其特徵在於，發送端主機I用於將傳輸於物理層的IP數據包發送給加密設備2 ；加密設備2包括第一網卡模塊6、與第一網卡模塊6相連接的加密晶片7和與加密晶片7相連接的第二網卡模塊8，發送端主機I的RJ45網絡接口通過網線與加密設備2的第一網卡模塊6相連接，加密設備2的第二網卡模塊8與公網LAN/WAN 3的一端相連接；力口密設備2通過第一網卡模塊6接收數據包，並經內置的加密晶片7對數據包進行加密封裝形成新的IP數據包，加密設備的第二網卡模塊8通過其RJ45網絡接口將加密封裝後的數據包發送到公網LAN/WAN 3上進行傳輸；公網LAN/WAN 3的另一端與SSL VPN網關伺服器4的RJ45網絡接口相連接，SSLVPN網關伺服器4的RJ45網絡接口通過網線與內網主機5的RJ45網絡接口相連接；經加密設備2加密的數據包通過公網LAN/WAN 3傳送到連接內網主機5的SSL VPN網關伺服器4上，並對數據包進行拆封解密；拆封解密過的數據包通過SSL VPN網關伺服器4的RJ45網絡接口傳輸到內網主機5上，完成數據包的安全傳輸。發送端主機I通過網線和RJ45網絡接口與加密設備2相連接，發送端主機I發送的數據包是在物理層進行傳輸的IP數據包，其報文只需要經過一次協議棧處理從真實物理網卡發出，通過網線發給加密設備2的第一網卡模塊6。加密設備2中內置的加密晶片7，完成對傳輸於物理層的數據包的基於硬體的加密，並對加密後的數據包重新封裝形成新的IP數據包，經基於硬體的加密設備2加密封裝後的數據包在公網LAN/WAN 3上傳輸。本實用新型的其中一個網卡模塊接收來自於用戶主機的IP數據包,加密晶片對接收數據包進行加密，並將加密後的數據包封裝成新的IP數據包，新數據包通過加密設備 的另一網卡模塊發送到公網LAN/WAN上傳輸。通過加密設備加密的報文的發送和接收只需要經過一次協議棧處理，提高了數據交換性能。加密設備中內置的加密晶片能夠直接對傳輸於物理層的IP數據包進行加密，因此不需要主機安裝特殊的客戶端對收發報文進行加解密處理。
權利要求1.一種基於硬體加密的安全網絡傳輸系統，包括發送端主機、通過網線與發送端主機相連接的加密設備、公共LAN/WAN網、SSL VPN網關伺服器和內網主機，其特徵在於，加密設備包括第一網卡模塊、與第一網卡模塊相連接的加密晶片和與加密晶片相連接的第二網卡模塊，發送端主機的RJ45網絡接口通過網線與加密設備的第一網卡模塊相連接，加密設備的第二網卡模塊與公網LAN/WAN的一端相連接；公網LAN/WAN的另一端與SSL VPN網關伺服器的RJ45網絡接口相連接，SSL VPN網關伺服器的RJ45網絡接口通過網線與內網主機的RJ45網絡接口相連接。
2.根據權利要求I所述的基於硬體加密的安全網絡傳輸系統，其特徵在於， 發送端主機通過網線和RJ45網絡接口與加密設備相連接。
專利摘要本實用新型涉及一種基於硬體加密的安全網絡傳輸系統，基於硬體加密的安全網絡傳輸系統包括發送端主機、加密設備、公共LAN/WAN網、SSLVPN網關伺服器和內網主機，發送端主機發出數據包，由加密設備的第一網卡模塊接收，經加密設備的加密晶片加密封裝，再通過第二網卡模塊發出，新數據包通過公網LAN/WAN傳輸到SSLVPN網關伺服器拆分解密，根據數據包的目的地址發給內網主機，數據包經過加密封裝在公網LAN/WAN上進行傳輸，能保證數據在網絡傳輸中高安全性，廣泛應用於對數據安全性要求高的網絡傳輸服務中，解決基於虛擬網卡SSLVPN網絡傳輸需在主機上安裝VPN客戶端，對收發報文進行軟體加密安全性不高，主機與外界有兩個交換通道易受攻擊問題。
文檔編號H04L9/06GK202565295SQ201220189329
公開日2012年11月28日 申請日期2012年4月28日 優先權日2012年4月28日
發明者董建強 申請人:鄭州信大捷安信息技術股份有限公司