一种网络数据加密中继器的制作方法

1.本实用新型涉及网络信息安全技术领域，尤其涉及一种网络数据加密中继器。


背景技术：

2.网络传输数据的安全性是重要的安全需求。对传输的数据进行加密，加密后在网络上传输，以保证网络传输数据安全，是重要的安全技术手段。随着计算机技术和计算机网络的不断发展，人们对网络数据的安全性要求越来越高。特别是在涉及到机密信息、个人隐私和公众安全等方面的数据在网络上传输的时候，数据的安全性尤为重要。
3.传统的数据加密方案通常使用aes等算法进行数据加密，而aes所需要的密钥则通过rsa等算法分发。由于rsa的安全性是基于计算的复杂度，随着计算技术特别是量子计算技术的发展，对以rsa为代表的传统的基于计算复杂度加密算法的安全性形成巨大的挑战。
4.另一方面，千兆以太网等宽带计算机网络对加密处理的效率提出了更高的要求，以aes为代表的加密算法较为复杂，难以实现千兆以太网数据的实时加密和解密。


技术实现要素：

5.基于背景技术存在的技术问题，本实用新型提出了一种基于fpga芯片的千兆以太网数据加密中继器，加密处理的实时性好。通过本实用新型的fpga电路的创新设计以较小资源实现千兆网络数据的高效率实时加密。
6.本实用新型提出的一种网络数据加密中继器，由包括密钥管理模块、网络数据接收电路模块、数据加密解密处理模块和网络数据发送电路模块，密钥管理模块和网络数据加密解密处理模块集成于fpga芯片上；网络数据接收电路模块的输出端与数据加密解密处理模块的输入端连接，数据加密解密处理模块的输出端与网络数据发送电路模块的输入端连接，数据加密解密处理模块与密钥管理模块连接。
7.进一步地，中继器还包括密钥存取电路模块、时钟电路模块和fpga外围电路模块；密钥存取电路模块与密钥管理模块连接，时钟电路模块的输出端分别与密钥存取电路模块的输入端、密钥管理模块的输入端、网络数据接收电路模块的输入端、数据加密解密处理模块的输入端、网络数据发送电路模块的输入端连接，fpga外围电路模块的输出端分别与密钥管理模块的输入端、数据加密解密处理模块的输入端连接。
8.进一步地，网络数据发送电路模块同时具有接收以太网数据的功能，网络数据接收电路模块同时具有发送以太网数据的功能。
9.进一步地，数据加密解密处理模块包括数据接收处理电路、加密电路、解密电路和数据发送处理电路；加密电路和解密电路是相互独立的电路,加密电路和解密电路均一端连接到数据接收处理电路上、另一端连接到数据发送处理电路上，数据接收处理电路与网络数据接收电路模块连接，数据发送处理电路与网络数据发送电路模块连接。
10.进一步地，加密电路采用aes-128加密算法，解密电路采用aes-128解密算法。
11.进一步地，密钥存取电路模块包括密钥存储介质和密钥数据读写电路；密钥存储
介质、密钥数据读写电路、密钥管理模块依次连接；密钥存储介质中预存的密钥是预先获取的量子密钥分发网络分发的量子密钥或者量子随机数发生器产生的量子随机数密钥，预存的密钥长度大于加密和解密算法要求的密钥长度。
12.进一步地，所述网络数据接收电路模块和网络数据发送电路模块中的数据缓存均采用fifo-ram数据缓存。
13.进一步地，网络数据接收电路模块和网络数据发送电路模块均为基于phy芯片的千兆网数据电路。
14.本实用新型提供的一种网络数据加密中继器的优点在于：采用以fpga核心的电路设计高速网络传输数据的实时加密和解密电路，实现网络传输数据的加密和解密，通过设计加密算法的高效率的硬件实现电路，所需资源较小，加密算法运行时间短，可以实现千兆网络数据的实时加密或解密。
附图说明
15.图1为本实用新型的结构原理框图；
16.图2为密钥存取电路模块的结构原理框图；
17.图3为数据加密解密处理模块的结构原理框图；
18.图4为fpga的逻辑结构原理框图；
19.其中，110-密钥存取电路模块，101-时钟电路模块，102-fpga外围电路模块，111-密钥存储介质，112-和密钥数据读写电路，120-密钥管理模块，130-网络数据接收电路模块，140-数据加密解密处理模块，141-数据接收处理电路，142-加密电路，143-解密电路，144-数据发送处理电路，150-网络数据发送电路模块，200-fpga芯片电路。
具体实施方式
20.下面，通过具体实施例对本实用新型的技术方案进行详细说明，在下面的描述中阐述了很多具体细节以便于充分理解本实用新型。但是本实用新型能够以很多不同于在此描述的其他方式来实施，本领域技术人员可以在不违背本实用新型内涵的情况下做类似改进，因此本实用新型不受下面公开的具体实施的限制。
21.如图1至4所示，本实用新型提出的一种网络数据加密中继器，包括包括密钥管理模块120、网络数据接收电路模块130、数据加密解密处理模块140和网络数据发送电路模块150，密钥管理模块120和网络数据加密解密处理模块140集成于fpga芯片200上；网络数据接收电路模块130的输出端与数据加密解密处理模块140的输入端连接，数据加密解密处理模块140的输出端与网络数据发送电路模块150的输入端连接，数据加密解密处理模块140与密钥管理模块120连接。
22.上述模块之间的连接均可以通过接口电路进行连接，本实施例中的密钥管理模块120和网络数据加密解密处理模块140集成于fpga芯片200上，采用vhdl语言作为编程语言，实现了设计中涉及到的各个子功能模块，仅以较小资源即可实现千兆网络数据的实时加密或解密，加密算法运行时间短。
23.在本实施例中，中继器还包括密钥存取电路模块110、时钟电路模块101和fpga外围电路模块102；密钥存取电路模块110与密钥管理模块120连接，时钟电路模块101的输出
端分别与密钥存取电路模块110的输入端、密钥管理模块120的输入端、网络数据接收电路模块130的输入端、数据加密解密处理模块140的输入端、网络数据发送电路模块150的输入端连接，fpga外围电路模块102的输出端分别与密钥管理模块120的输入端、数据加密解密处理模块140的输入端连接。
24.所述密钥存取电路模块110中存储有量子密钥分发网络分发的量子密钥或者量子随机数发生器产生的量子随机数密钥。存储的密钥通过分割得到一系列加密和解密算法需要的长度的密钥数据块，在舍弃不完整的密钥数据块后顺序编号并存储于密钥存取电路模块110中。所存储的密钥数据块在加密和解密过程中被顺序读取并用于网络数据的加密和加密数据的解密。在加密和解密都使用某一密钥数据块后，由密钥管理模块120永久删除这一密钥数据块，以提高加密数据的安全性。
25.密钥存取电路模块110包含密钥存储介质111和密钥数据读写电路112；密钥存储介质111、密钥数据读写电路112、密钥管理模块120依次连接。
26.密钥存储介质111中存储有进行网络数据加密和解密处理所需要的密钥，该密钥为预先获取的量子密钥分发网络分发的量子密钥或者量子随机数发生器产生的量子随机数密钥，按照加密和解密算法要求的长度分割为一系列密钥数据块，并赋予编号后顺序存储的，在分割密钥数据块时，最后一个密钥数据块的长度不足加密算法要求的密钥长度的，舍弃这一个密钥数据块，密钥块分割完成后得到的一系列密钥数据块的个数为n个，n是大于等于1正整数，顺序编为1至n号密钥数据块存储于存储介质，每个密钥数据块与其对应的编号成对存储在密钥存储介质中。其中预先获取的密钥的长度大于加密和解密算法要求的密钥长度。
27.在数据加密解密处理模块140读取密钥存储介质111中的预存密钥时，读取第1个密钥数据块，分配给第1个至第m个网络数据块加密使用，重复使用m次，m是大于等于1的正整数，读取第2个密钥数据块，分配给第m+1个至第2m个网络数据块加密使用，重复使用m次，直至网络数据包中的全部需要加密的数据块完成加密处理。上述读取的预存密钥数据块如果是最后一个密钥数据块，重复使用这一密钥数据块直至更新密钥。
28.上述读取的预存的密钥数据块如果是第l个密钥数据块，密钥管理模块120通过网络数据加密处理模块和网络数据发送电路模块150，发送提前更换预存密钥的提示，l是小于等于n并大于等于1的正整数。
29.上述密钥管理模块120在加密电路和解密电路均使用完一个密钥数据块后，通过密钥存取电路模块110在密钥存储介质111中删除这一预存的密钥数据块，删除的密钥数据块如果是第n个(最后一个)密钥数据块，不在密钥存储介质111中删除这一预存的密钥数据块。
30.数据加密解密处理模块140包括数据接收处理电路141、加密电路142、解密电路143和数据发送处理电路144；加密电路142和解密电路143是相互独立的电路，加密电路142和解密电路143均一端连接到数据接收处理电路141上、另一端连接到数据发送处理电路144上，数据接收处理电路141与网络数据接收电路模块130连接，数据发送处理电路144与网络数据发送电路模块150连接。
31.在本实施例中，数据加密解密处理模块140使用3个并行独立的加密电路(1421，1422，1423)，加密电路采用aes-128算法加密，使得整个数据加密功能可以满足千兆网高速
数据加密的要求，但加密电路不限3个，可以为多于3个的有限整数个。
32.数据加密解密处理模块140使用3个并行独立的解密电路(1431，1432，1433)，解密电路采用aes-128算法解密，使得整个数据解密功能可以满足千兆网高速数据解密的要求，但解密电路不限3个，可以为多于3个的有限整数个。
33.当进行加密时：数据接收处理电路141接收到网络数据接收电路模块130传输的以太网网络数据后，根据网络协议处理所传输的数据包中的包头数据、传输数据和校验数据，对数据包中的包头数据的处理为直接发送到数据发送处理电路144，对数据包中的传输数据的处理为按照加密算法要求分割为一系列网络数据块，分割后得到的每一个网络数据块顺序分配给并行独立的加密电路(1421，1422，1423)进行加密处理，处理后得到的加密数据发送到数据发送处理电路144，数据发送处理电路144，根据接收到的包头数据，加密数据，所用密钥编号和新的校验数据，重新组装为以太网数据包，并输出到网络数据发送电路模块150发送到以太网。
34.上述分割网络数据包中的传输数据得到的一系列网络数据块的最后一个网络数据块，如果不足一个网络数据块要求的长度的，通过填充特定字符补足长度。分割后得到的一系列网络数据块顺序分配给并行独立的数据加密电路(1421，1422，1423)进行加密处理，如果某网络数据块分配给最后一个并行独立的加密电路1423，那么下一个网络数据块分配给第一个并行独立的加密电路1421，这一顺序分配的过程按照这一规则循环进行。
35.上述加密处理包括读取密钥存取电路模块110中的密钥，使用密钥存取电路模块110中的密钥按照加密算法来处理数据块得到加密数据块。
36.当进行解密时：数据发送处理电路144接收到网络数据发送电路模块150传输的以太网网络数据后，根据网络协议处理所传输的数据包中的包头数据，传输数据和校验数据，对数据包中的包头数据的处理为直接发送到数据接收处理电路141，对数据包中的传输数据的处理为按照解密算法要求分割为一系列网络数据块，分割后得到的每一个网络数据块顺序分配给并行独立的解密电路(1431，1432，1433)进行解密处理，处理后得到的解密数据发送到数据接收处理电路141，数据接收处理电路141根据接收到的包头数据，解密数据和新的校验数据，重新组装为以太网数据包，并输出到网络数据接收电路模块130发送到以太网。
37.上述分割后得到的一系列数据块按顺序分配给并行独立的解密电路(1431，1432，1433)进行解密处理，如果某数据块分配给最后一个并行独立的解密电路1433，那么下一个数据块分配给第一个并行独立的数据解密电路1431，这一顺序分配的过程按照这一规则循环进行。
38.上述解密处理包括按照加密数据包中的密钥序号读取密钥存取电路模块110中的密钥，使用密钥存取电路模块110中的密钥按照解密算法来处理数据块得到解密数据块。
39.在本实施例中，所述网络数据接收电路模块130和网络数据发送电路模块150中的数据缓存均采用fifo-ram数据缓存。在本实施例中，以上每个模块均可以采用现有的模块。
40.在本实施例中，网络数据接收电路模块130为基于phy芯片的千兆网数据获取电路，用于接收和转发网络数据，网络数据接收电路模块130在空闲时，在时钟下降沿检测数据接收有效信号，一旦接收数据信号有效，则读取8位数据总线上的数据，判断是否是前导码，如果是前导码就开始按照以太网协议进行接收。在数据接收的过程将数据包的头部直
接存入先进先出(fifo)队列。对于校验数据部分，由于aes加密解密的过程会对数据进行操作，所以先将校验数据在接收过程中置零。包总长度和协议类型等字段的数据不仅需要存入fifo队列，还需要将他们存入寄存器作为数据处理控制信号。
41.在本实施例中，网络数据发送电路模块150为基于phy芯片的千兆网网络数据发送电路模块150，用于数据的发送。在发送状态，网络数据发送电路模块150首先发送前导码，之后将包含所有头部信息的fifo队列内的数据输出作为发送数据的头部，同时开始crc校验。发送完头部数据之后，数据缓冲fifo队列内的加密或者解密数据输出作为新的数据包数据。最后将crc校验输出给数据发送总线，完成整个数据包发送的过程。
42.需要理解的是，网络数据发送电路模块150同时具有接收以太网数据的功能，网络数据接收电路模块130同时具有发送以太网数据的功能，即网络数据接收电路模块130和网络数据发送电路模块150同时具有收发功能，以实现数据的加密或解密。具体地：网络数据接收电路模块130在收到数据包时，发送到网络数据加密解密处理模块140上完成加密处理，并输出到网络数据发送电路模块150发送到以太网。或者，网络数据发送电路模块150在收到数据包时，发送到网络数据加密解密处理模块140上完成解密处理，并输出到网络数据接收电路模块130发送到以太网。同步通过密钥管理模块120从密钥存取电路模块110中读取密钥，为网络数据加密解密处理模块140使用。为了传输密钥信息，在数据包数据前面中加入4字节的密钥序号标记，并重新计算校验和。
43.以上所述，仅为本实用新型较佳的具体实施方式，但本实用新型的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本实用新型揭露的技术范围内，根据本实用新型的技术方案及其实用新型构思加以等同替换或改变，都应涵盖在本实用新型的保护范围之内。