专利名称:采用硬件加解密的虚拟私有网络的制作方法
技术领域:
本发明涉及的是一种网络安全系统,特别是一种采用硬件加解密的虚拟私有网络,属于信息安全领域。
背景技术:
Internet的出现使企事业单位信息化建设程度不断提高,跨地区的企事业的不同部门之间的互联变得既方便又经济。但是如何保证企业内部的数据通过公共网络传输的安全性和保密性,以及如何管理企业网在公共网络上的不同节点,成为企业非常关注的问题。虚拟私有网络技术采用专用的网络加密和通信协议,可以使企业在公共网络上建立虚拟的加密通道,构筑自己的安全虚拟通道。企业的跨地区的部门或出差人员可以从远程经过公共网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。虚拟专用网以其独具特色的优势,赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。VPN代表了当今网络发展的新趋势,它综合了传统数据网络和共享数据网络的性能优点,能够提供安全经济的远程访问,外部网和内部网的连接,VPN将成为未来企业传输业务的主要工具。但在VPN的应用越来越广泛的同时,传统的单纯用软件来实现的VPN技术在保证信息传输安全性方面出现了一定的局限性。经文献检索发现,《辽宁师专科学报》2000年4期上,艾红等人在“虚拟私有网络(VPN)技术的实现”一文中给出了一种在Linux系统上通过软件编程具体实现VPN的方法。但是用软件的方法修改协议而实现VPN的方法工作量大,且不易实现。
发明内容
本发明的目的在于克服现有技术中的不足,提供一种采用硬件加解密的虚拟私有网络,采用依靠硬件实现加解密算法和策略库信息存储的方法建立VPN系统,使其大大提高了VPN系统的效率和可靠性。
本发明是通过以下技术方案实现的,本发明在用作网关的计算机中内置PCI即周边元件扩展接口插卡,通过PCI插卡实现虚拟私有网络技术中的加密算法、解密算法、数字签名、身份认证等,当虚拟私有网络中不同子网间的用户相互访问时,PCI插卡采用已经固化在插卡存储器中的任何成熟数据流加解密算法,将数据经过PCI控制器由微处理器接收并暂存在数据存储器中,数据流经过微处理器运算加密后再通过网卡模块输出,达到在VPN环境下计算机之间安全的、高效的通讯。
PCI插卡是一块电路板,该插卡由PCI控制器、微处理器、存储器、网卡模块组成,这些电子元器件都焊接在电路板上,其中程序存储器、数据存储器、网卡模块、策略库存储器EEPROM都连接到由微处理器为中心的本地总线,包括数据总线、地址总线和控制总线上,PCI控制器构成连接PCI总线和本地总线的桥梁,PCI配置存储器与PCI控制器相连。PCI插卡通过PCI插槽与计算机相连。PCI插卡完成数据流的加解密算法,数据流的加解密算法可以采用任何成熟的数据流加解密算法。PCI控制器、微处理器、存储器均可以采用不同公司生产的相关集成芯片。
本发明具有实质性特点和显著进步,虚拟私有网络可以使企业在公共网络上建立虚拟的加密通道,是未来企业传输业务的主要工具采用硬件加、解密的虚拟私有网络(VPN)在传统的单纯用软件实现VPN的技术中加入了硬件成分,采用PCI硬卡实现VPN中加解密算法、身份认证和数字签名及策略库信息的存储,比单纯用软件实现VPN功能有更好的安全性。
图1本发明的硬件部分电气结构示意2本发明的实施例应用示意图具体实施方式
如图1和图2所示,本发明在用作网关的计算机1中内置PCI插卡9,用PCI插卡9实现虚拟私有网络技术中的加密算法、解密算法、数字签名、身份认证等,当虚拟私有网络中不同子网间的用户相互访问时,PCI插卡9采用已经固化在策略库存储器5、程序存储器6中的任何成熟数据流加解密算法,将数据经过PCI控制器2和PCI配置存储器4由微处理器3接收并暂存在数据存储器7中,数据流经过微处理器3运算加密后再通过网卡模块8输出,达到在虚拟私有网络环境下计算机之间安全的、高效的通讯。
PCI插卡9是一块电路板,该插卡由PCI控制器2、PCI配置存储器4、微处理器3、程序存储器6、数据存储器7、网卡模块8组成,这些电子元器件都焊接在同一块电路板上,其中程序存储器6、数据存储器7、网卡模块8、策略库存储器EEPROM5都连接到由微处理器3为中心的本地总线,包括数据总线、地址总线和控制总线上,PCI控制器2构成连接PCI总线和本地总线的桥梁,PCI配置存储器4与PCI控制器2相连。PCI插卡通过PCI插槽与计算机1相连。PCI插卡9完成数据流的加解密算法,数据流的加解密算法可以采用任何成熟的数据流加解密算法。PCI控制器2、微处理器3、PCI配置存储器4、程序存储器6、数据存储器7均可以采用不同公司生产的相关集成芯片。
网关计算机和PCI插卡之间的通讯传输要按帧编码,以使通讯双方分辨数据类型是策略库信息(包括居域网节点信息、接收端IP地址、加解密算法选择、加解密密钥等)还是明文。
PCI插卡实现私有虚拟网络的流程具体如下(这里是用DES算法实现对明文的加密和对密文的解密,用RSA算法实现数字签名和身份认证,其它加密和认证算法过程与此相似)(1)上电复位,配置PCI控制器。
(2)等待网关计算机握手信号。
(3)对网关计算机的握手信号给予应答。
(4)从网关计算机接收策略库信息,主要包含以下内容局域网节点信息、兄弟网关接点的RSA的公开密钥、本地网关RSA私有密钥等并将此类信息写入EEPROM存储器5。
(5)等待网关计算机发来数据信息或从网卡模块接收外部数据。
(6)若读取的数据为网关计算机要求发送的明文,则执行操作(7)-(13)。
若读取的数据为从网卡模块从InterNet接收到的密文则执行操作(14)-(20)。
(7)接收数据并将数据分段(例如每次接收64KB)暂存在数据存储器7。
(8)执行数字签名算法(9)执行加密算法(10)从策略库存储器中读取接收方的RSA公开密钥,并用该公钥加密本地产生DES密钥,将被加密的密钥写入存储器7,作为待发数据的一部分。
(11)将待发数据数据(包括密文和签名信息,DES密钥)送至网卡模块输出。
(12)若网关计算机的明文没有发送结束则返回步骤(7)继续接收明文。
(13)若网关计算机的明文已经发送结束则返回步骤(5)继续等待网关计算机的命令。
(14)接收数据并暂存在数据存储器7。
(15)用本地RSA私有密钥解开密文中的被加密DES密钥,获得DES解密密钥(和加密密钥相同)(16)执行DES解密算法(17)PCI插卡上的微处理器3对暂存在数据存储器7中的数据进行解密处理,解密算法同加密算法完全相同,获得明文和签名信息。
(18)进行信息鉴别。
(19)利用RSA规则分析签名信息和发送方的公开密钥,确认发送方的身份。
(20)若网卡模块未接收完数据返回步骤(14)继续。
(21)若网卡模块接收完数据返回步骤(5)继续。
下面对上述过程中出现的关键算法或步骤作进一步的说明A.加密算法所述过程第(9)步的加密算法是指通过PCI插卡对数据进行加密,其具体步骤如下PCI插卡上的微处理器3对暂存在数据存储器7中的数据(包括明文和签名信息)进行加密处理,首先微处理器3执行随机函数产生一个64位的DES密钥,对明文和签名信息进行加密,并将加密后的密文存储在数据存储器7的另一地址段。解密算法同加密算法完全相同。加密过程如下1)产生密钥(64bit)。
2)密钥置换。
3)取64bit数据。
4)执行数据置换程序。
5)数据置换并和密钥进行运算。
6)64位密文暂存在存储器7。
7)返回步骤3)继续数据加密算法直到所有暂存明文数据和签名信息被取完。
B.数字签名方法上述过程的第(8)步执行数字签名算法的具体步骤如下a)对数据存储器中的暂存数据(明文)进行一次哈希(hash)运算,得到一个信息摘要。
b)从策略库存储器EEPROM5读取本地的RSA私有密钥c)将信息摘要和私钥进行RAS运算,得到的结果作为数字签名信息,并将其写入数据存储器7,作为待发数据的一部分。
C.信息鉴别上述过程的第(18)步进行信息鉴别,是指用发送方的公开密钥对接收到的签名信息进行RSA运算,得到的结果是发送方运算的信息摘要,在本地将接收到的明文进行哈希(hash)运算得到一个新的信息摘要,若两个信息摘要相同则说明信息在传送过程中没有被破坏过。
网关计算机与PCI插卡配合实现私有虚拟网络的流程如下(1)启动网关计算机(此时PCI插卡进行复位操作)。
(2)向PCI插卡发出通信握手信号,在接收到PCI插卡上的应答信号后进入等待状态。
(3)向PCI插卡传送策略库信息。
(4)在VPN系统内部的子网一的计算机1上运行命令访问子网二中的共享资源。
(5)两子网中的结点通过各子网关握手取得联系。
(6)子网一的网关将明文传送到PCI插卡的上。
(7)被发送的明文在PCI插卡上被加密后通过网卡送出。
(8)接收到子网二的应答信号后继续发送数据直到数据发送完成。
(9)返回的数据经过相反的过程由计算机1接收后,在显示器上显示出被访问节点共享网络资源。
以下结合具体实施例对本发明的内容进行说明,具体内容如下首先配置一台网关计算机1,在此计算机内部放置带VPN功能的PCI插卡9;网关计算机配置双网卡,一个网卡同Internet相连,另一个网卡连接HUB10,本地子网内的计算机11、12、13全部连接到HUB10上;在计算机上安装VPN软件、VPN卡驱动程序,并在PCI插槽内放入VPN卡,设置本地VPN配置信息;虚拟私有网络中不同子网间的用户可通过网络邻居相互访问,访问方式与访问本地子网中的用户完全相同;假定子网一的地址设定为10.0.0.*,子网二的地址为10.0.1.*,子网二中的某用户访问子网一中IP地址是10.0.0.250的计算机上的共享资源;启动网关计算机(此时PCI插卡进行复位操作)并运行网关软件;向PCI插卡发出通信握手信号,在接收到PCI插卡上的应答信号后进入等待状态;假定在子网二的计算机1上执行命令\\10.0.0.250,连接IP地址是10.0.0.250的计算机,网关计算机判断该IP地址是VPN网络中另外一个子网的某个计算机的地址,然后将必要的策略库信息传送至PCI插卡上的EEPROM5;计算机1发送信息与10.0.0.250的计算机握手联系;握手成功后,计算机将提示输入允许访问10.0.0.250计算机的合法用户名和密码,用户此时应按要求输入用户名和密码;如果用户名和密码正确,计算机1先将需要传送的数据明文分段,每段明文经过PCI控制器2由微处理器3接收并暂存在数据存储器7中;等待PCI插卡上的明文在PCI插卡上加密处理结束完发送后,继续发送明文,直到数据传送结束;返回的数据经过相反的过程由计算机1接收后,在显示器上显示出IP地址是10.0.0.250的计算机上的可用网络资源。
权利要求
1.一种采用硬件加解密的虚拟私有网络,其特征在于在用作网关的计算机(1)中内置PCI插卡(9),通过PCI插卡(9)实现虚拟私有网络技术中的加密算法、解密算法、数字签名、身份认证,当虚拟私有网络中子网间的用户相互访问时,PCI插卡(9)采用已经固化在策略库存储器(5)、程序存储器(6)中的成熟数据流加解密算法,将数据经过PCI控制器(2)和PCI配置存储器(4)由微处理器(3)接收并暂存在数据存储器(7)中,数据流经过微处理器(3)运算加密后再通过网卡模块(8)输出,达到在虚拟私有网络环境下计算机之间安全的、高效的通讯。
2.根据权利要求1所述的采用硬件加解密的虚拟私有网络,其特征是,PCI插卡(9)是一块电路板,该插卡由PCI控制器(2)、PCI配置存储器(4)、微处理器(3)、程序存储器(6)、数据存储器(7)、网卡模块(8)组成,这些电子元器件都焊接在该电路板上,程序存储器(6)、数据存储器(7)、网卡模块(8)、策略库存储器(5)都连接到由微处理器(3)为中心的本地总线上,本地总线包括数据总线、地址总线和控制总线,PCI控制器(2)构成连接PCI总线和本地总线的桥梁,PCI配置存储器(4)与PCI控制器(2)相连,PCI插卡通过PCI插槽与计算机(1)相连。
3.根据权利要求1或2所述的采用硬件加解密的虚拟私有网络,其特征是,网关计算机(1)和PCI插卡之间的通讯传输按帧编码,以使通讯双方分辨数据类型是策略库信息,包括居域网节点信息、接收端IP地址、加解密算法选择、加解密密钥,还是明文。
4.根据权利要求1或2所述的采用硬件加解密的虚拟私有网络,其特征是,PCI插卡实现私有虚拟网络的流程具体如下(1)上电复位,配置PCI控制器;(2)等待网关计算机握手信号;(3)对网关计算机的握手信号给予应答;(4)从网关计算机接收策略库信息,主要包含以下内容局域网节点信息、兄弟网关接点的RSA的公开密钥、本地网关RSA私有密钥等并将此类信息写入EEPROM存储器;(5)等待网关计算机发来数据信息或从网卡模块接收外部数据;(6)若读取的数据为网关计算机要求发送的明文,则执行操作(7)-(13);若读取的数据为从网卡模块从Internet接收到的密文则执行操作(14)-(20);(7)接收数据并将数据分段暂存在数据存储器;(8)执行数字签名算法;(9)执行加密算法;(10)从策略库存储器中读取接收方的RSA公开密钥,并用该公钥加密本地产生DES密钥,将被加密的密钥写入数据存储器,作为待发数据的一部分;(11)将待发数据数据,包括密文和签名信息,DES密钥,送至网卡模块输出;(12)若网关计算机的明文没有发送结束则返回步骤(7)继续接收明文;(13)若网关计算机的明文已经发送结束则返回步骤(5)继续等待网关计算机的命令;(14)接收数据并暂存在数据存储器;(15)用本地RSA私有密钥解开密文中的被加密DES密钥,获得DES解密密钥;(16)执行DES解密算法;(17)PCI插卡上的微处理器对暂存在数据存储器中的数据进行解密处理,解密算法同加密算法完全相同,获得明文和签名信息;(18)进行信息鉴别;(19)利用RSA规则分析签名信息和发送方的公开密钥,确认发送方的身份;(20)若网卡模块未接收完数据返回步骤(14)继续;(21)若网卡模块接收完数据返回步骤(5)继续。
5.根据权利要求1或4所述的采用硬件加解密的虚拟私有网络,其特征是,所述的加密算法是指通过PCI插卡对数据进行加密,其具体步骤如下PCI插卡上的微处理器对暂存在数据存储器中的数据,包括明文和签名信息,进行加密处理,首先微处理器执行随机函数产生一个64位的DES密钥,对明文和签名信息进行加密,并将加密后的密文存储在数据存储器的另一地址段;解密算法同加密算法完全相同;加密过程如下1)产生密钥64bit;2)密钥置换;3)取64bit数据;4)执行数据置换程序;5)数据置换并和密钥进行运算;6)64位密文暂存在存储器;7)返回步骤3)继续数据加密算法直到所有暂存明文数据和签名信息被取完。
6.根据权利要求1或4所述的采用硬件加解密的虚拟私有网络,其特征是,所述的数字签名算法,具体步骤如下a)对数据存储器中的暂存数据进行一次哈希运算,得到一个信息摘要;b)从策略库存储器EEPROM5读取本地的RSA私有密钥;c)将信息摘要和私钥进行RAS运算,得到的结果作为数字签名信息,并将其写入数据存储器,作为待发数据的一部分;
7.根据权利要求4所述的采用硬件加解密的虚拟私有网络,其特征是,第(18)步进行的信息鉴别,是指用发送方的公开密钥对接收到的签名信息进行RSA运算,得到的结果是发送方运算的信息摘要,在本地将接收到的明文进行哈希(hash)运算得到一个新的信息摘要,若两个信息摘要相同则说明信息在传送过程中没有被破坏过。
8.根据权利要求1或3或4所述的采用硬件加解密的虚拟私有网络,其特征是,PCI插卡(9)完成数据流的加解密算法,数据流的加解密算法采用任何一种成熟的数据流加解密算法。
9.根据权利要求1所述的采用硬件加解密的虚拟私有网络,其特征是,网关计算机与PCI插卡配合流程如下(1)启动网关计算机,此时PCI插卡进行复位操作;(2)向PCI插卡发出通信握手信号,在接收到PCI插卡上的应答信号后进入等待状态;(3)向PCI插卡传送策略库信息;(4)在VPN系统内部的子网一的计算机上运行命令访问子网二中的共享资源;(5)两子网中的结点通过各子网关握手取得联系;(6)子网一的网关将明文传送到PCI插卡的上;(7)被发送的明文在PCI插卡上被加密后通过网卡送出;(8)接收到子网二的应答信号后继续发送数据直到数据发送完成;(9)返回的数据经过相反的过程由计算机1接收后,在显示器上显示出被访问节点共享网络资源。
全文摘要
一种采用硬件加解密的虚拟私有网络属于信息安全领域。在用作网关的计算机中内置PCI插卡,通过PCI插卡实现虚拟私有网络技术中的加密算法、解密算法、数字签名、身份认证等,当虚拟私有网络中不同子网间的用户相互访问时,PCI插卡采用已经固化在插卡存储器中的任何成熟数据流加解密算法,将数据经过PCI控制器由微处理器接收并暂存在数据存储器中,数据流经过微处理器运算加密后再通过网卡模块输出,达到在VPN环境下计算机之间安全的、高效的通讯。本发明采用PCI硬卡实现VPN中加解密算法、身份认证和数字签名及策略库信息的存储,比单纯用软件实现VPN功能有更好的安全性。
文档编号G06F12/14GK1448851SQ03116608
公开日2003年10月15日 申请日期2003年4月24日 优先权日2003年4月24日
发明者张申生, 王来瑞, 肖少君, 李磊, 朱翔飞 申请人:上海交通大学