1.本发明属于通信安全技术领域,特别涉及一种单端口以太网隔离卡及其隔离方法。
背景技术:2.随着网络产品的日益普及,人们对传输性能和安全有了更高的要求。安全性在军工、科研院所等机构已经成为网络硬件产品数据传输的一个重要衡量指标。目前市面上典型的硬件传输产品网卡不具备对传输数据的加密保护。部分类似产品即使能对传输数据进行加密,但也照成了网卡传输率的大打折扣。以10100兆带宽传输为例,目前加密传输只有250mb/s左右。某些依靠软件来实现数据传输加密,又缺乏硬件本身加密的独立性和高效性。
技术实现要素:3.针对上述问题,本发明提供一种新的单端口以太网隔离卡及其隔离方法。
4.本发明具体技术方案如下:
5.本发明提供一种基于单端口以太网隔离卡的隔离方法,隔离卡作为加密并发送数据的发送卡,所述发送卡设置在发送终端上,所述发送卡被配置的隔离算法如下:
6.s1:接收所述发送终端发送的以太网帧,并对所述以太网帧自最外层开始进行过滤,过滤出满足条件的报文;
7.s2:对于满足过滤条件的请求报文,在发送卡的加密模块中获取对应的密钥,根据密钥并基于加密算法对请求报文加密后发送至对应的接收卡。
8.一种单端口以太网隔离卡的隔离方法,隔离卡还作为解密并接收数据的接收卡,所述接收卡设置在接收终端上,所述接收卡被配置的隔离算法如下:
9.s1011:接收对应的发送终端发送的请求报文,并对所述请求报文自最外层开始进行过滤,过滤出满足条件的报文;
10.s1012:对于满足过滤条件的请求报文,在接收卡的加解密模块中获取对应的密钥,根据密钥并基于解密算法对请求报文进行解密。
11.一种单端口以太网隔离卡,隔离卡为发送卡,所述发送卡包括电路板,所述电路板上集成有加密模块、控制模块以及电源模块,所述加密模块和电源模块均与所述控制模块连接,所述加密模块包括加密芯片和存储芯片,加密芯片内烧录有加密算法,存储芯片内存储有密钥、放行的ip地址列表或者放行的端口地址列表,所述加密芯片用于对接收的请求报文基于密钥进行加密;
12.优选的,隔离卡为接收卡,所述接收卡包括电路板,所述电路板上集成有解密模块、控制模块以及电源模块,所述解密模块和电源模块均与所述控制模块连接,所述解密模块包括解密芯片和存储芯片,解密芯片内烧录有解密算法,存储芯片内存储有密钥、放行的ip地址列表或者放行的端口地址列表,所述解密芯片用于对接收的请求报文基于密钥进行
解密。
13.本发明的有益效果如下:
14.本发明提供一种新的单端口以太网隔离卡及其隔离方法,不需要额外增加硬件加密模块,加密模块与普通控制模块集成在同一块网卡上,平滑链接,加解密过程中,不需要密钥传递,密钥始终保存在隔离卡上,提高了安全性和传输率。
附图说明
15.图1为本发明中发送卡的流程图;
16.图2为本发明中接收卡的流程图;
17.图3为本发明中基于单端口以太网隔离卡的隔离方法的流程图;
18.图4为本发明中基于单端口以太网隔离卡的隔离方法的逻辑图;
19.图5为本发明中协议的判断方法的流程图
20.图6为本发明中ip地址和端口的判断方法的流程图;
21.图7为本发明中ip地址和端口的判断方法的流程图;
22.图8为本发明中发送卡的电路框图;
23.图9为本发明中接收卡的电路框图。
具体实施方式
24.下面结合附图和实施例对本发明作进一步的描述,下列实施例仅用于解释本发明的发明内容,不用于限定本发明的保护范围。
25.附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所描述的步骤。
26.在一些实施例中,本发明提供一种基于单端口以太网隔离卡及其隔离方法,如图1所示,隔离卡作为加密并发送数据的发送卡,所述发送卡设置在发送终端上,所述发送卡被配置的隔离算法如下:
27.s1:接收所述发送终端发送的以太网帧,并对所述以太网帧自最外层开始进行过滤,过滤出满足条件的报文;
28.s2:对于满足过滤条件的请求报文,在发送卡的加密模块中获取对应的密钥,根据密钥并基于加密算法对请求报文加密后发送至对应的接收卡。
29.本发明提供一种新的基于单端口以太网隔离卡的隔离方法,不需要额外增加硬件加密模块,加密模块与普通控制模块集成在同一块网卡上,平滑链接,加解密过程中,不需要密钥传递,密钥始终保存在隔离卡上,提高了安全性和传输率。
30.如图2所示,一种基于单端口以太网隔离卡的隔离方法,隔离卡还作为解密并接收数据的接收卡,所述接收卡设置在接收终端上,所述接收卡被配置的隔离算法如下:
31.s1011:接收对应的发送终端发送的请求报文,并对所述请求报文自最外层开始进行过滤,过滤出满足条件的报文;
32.s1012:对于满足过滤条件的请求报文,在接收卡的加解密模块中获取对应的密钥,根据密钥并基于解密算法对请求报文进行解密。
33.本实施例中的加密算法和解密算法均是同一种算法,名字的不同是为了区分发送端和接收端,且无论是发送卡还是接收卡均是隔离卡,只是一端作为发送端,另一端作为接收端,其上均烧录有算法,且其在ipv4下的传输指标是一样的,具体的传输指标如表1所示:
34.表1技术指标
[0035][0036]
由表1可知,本实施例所述的隔离卡在数据加密模式下的传输率大于现有技术中加密模式下的传输率1020mb/s(背景技术中公开了),且在普通网卡模式和内网保护模式下的传输率也提高了。
[0037]
如图3所示,本实施例中所述请求报文的过滤从外到内,过滤的内容包括协议、ip地址和端口,其中,最外层为以太网帧中报文的协议,次外层为ip地址,最内层为端口。
[0038]
如图4所示,在操作系统中,传输层负责tcp、udp数据包的接收和发送,网络层负责ipv4和ipv6数据包的接收和发送,mac层也就是所述隔离卡所在的层,在该层需要完成如下功能:
[0039]
1)从以太网帧中过滤出ipv4、ipv6报文;
[0040]
2)根据事先已经烧入网卡的配置数据:加密协议类型(tcp、udp),加密ip列表,放行ip列表,加密端口对以太网帧进行过滤分析;
[0041]
3)根据过滤分析结果,对相应的数据加密或者解密;
[0042]
上述功能的具体实施方法如下:
[0043]
如图5所示,s1中协议的判断方法如下:
[0044]
s11:在接收到请求报文后,判断报文是否是ipv4报文,若是,则进行步骤s12,若不是,则所述请求报文不是发送终端发送的,将对应请求报文删除;
[0045]
s12:判断ipv4报文是否是udp协议报文,若是,则进行步骤s14,若不是,则进行步骤s13;
[0046]
s13:判断ipv4报文是否是tcp协议报文,若是,则进行步骤s14,若不是,则将请求报文删除;
[0047]
s14:根据请求报文中封装的通信配置参数判断报文是否满足帧协议加密的条件;
[0048]
优选的,s101中协议的判断方法如下:
[0049]
s1011:在接收到请求报文后,判断报文是否是ipv4报文,若是,则进行步骤s1012,若不是,则所述请求报文不是发送终端发送的,将对应请求报文删除;
[0050]
s1012:判断ipv4报文是否是udp协议报文,若是,则进行步骤s1014,若不是,则进
行步骤s1013;
[0051]
s1013:判断ipv4报文是否是tcp协议报文,若是,则进行步骤s1014,若不是,则将请求报文删除;
[0052]
s1014:根据请求报文中封装的通信配置参数判断报文是否满足帧协议解密的条件。
[0053]
如图6所示,本实施例中步骤s1中ip地址和端口的判断方法如下:
[0054]
s15:在请求报文满足帧协议加密条件时,进行步骤s2,对报文进行协议加密后,判断通信配置参数与ip地址放行条件是否匹配,若匹配,则ip地址放行,并向对应的接收卡发送报文,若不匹配,则进行步骤s16;
[0055]
s16:判断通信配置参数与端口放行条件是否匹配,若匹配,则端口放行,并向对应的接收卡发送报文,若不匹配,则进行步骤s2,对报文数据加密;
[0056]
步骤s101中ip地址和端口的判断方法如下:
[0057]
s1015:在请求报文满足帧协议解密条件时,进行步骤s102,对报文进行协议解密后,判断通信配置参数与ip地址放行条件是否匹配,若匹配,则ip地址放行,并向对应的接收终端发送报文,若不匹配,则进行步骤s1016;
[0058]
s1016:判断通信配置参数与端口放行条件是否匹配,若匹配,则端口放行,并向对应的接收终端发送报文,若不匹配,则进行步骤s102,对报文数据解密。
[0059]
如图7所示,本实施例中步骤s1中ip地址和端口的判断方法如下:
[0060]
s17:在报文不满足协议加密条件时,判断通信配置参数与ip地址放行条件是否匹配,若匹配,则ip地址放行,并向对应的接收卡发送报文,若不匹配,则进行步骤s18;
[0061]
s18:判断发送卡内存储的加密ip列表是否为空,若是,则进行步骤s102,若不是,则进行步骤s19;
[0062]
s19:根据通信配置参数判断是否进行ip地址加密,若是,进行步骤s2,对报文进行地址加密后进行步骤s102,若不是,则向对应的接收卡发送报文;
[0063]
s102:根据通信配置参数判断是否进行传输端口加密,若是,进行步骤s2,对报文进行地址加密后进行向对应的接收卡发送报文,若不是,则向对应的接收卡发送报文;
[0064]
步骤s101中ip地址和端口的判断方法如下:
[0065]
s1017:在报文不满足协议解密条件时,判断通信配置参数与ip地址放行条件是否匹配,若匹配,则ip地址放行,并向对应的接收终端发送报文,若不匹配,则进行步骤s1018;
[0066]
s1018:判断接收卡内存储的解密ip列表是否为空,若是,则进行步骤s1020,若不是,则进行步骤s1019;
[0067]
s1019:根据通信配置参数判断是否进行ip地址解密,若是,进行步骤s102,对报文进行地址解密后进行步骤s1020,若不是,则向对应的接收终端发送报文;
[0068]
s1020:根据通信配置参数判断是否进行传输端口解密,若是,进行步骤s102,对报文进行地址解密后进行向对应的接收终端发送报文,若不是,则向对应的接收终端发送报文。
[0069]
本实施例中所述发送卡中的通信配置参数包括加密协议、加密地址、加密端口、放行地址、放行端口;所述接收卡中的通信配置参数包括解密协议、解密地址、解密端口、放行地址或放行端口。
[0070]
本实施例中对于所述发送卡,帧协议加密的条件包括报文中是否有加密协议,判断是否进行地址加密或者端口加密时,需要判断报文中是否有加密地址或加密端口,发送卡内的加密模块中存储有放行的ip地址列表或者放行的端口地址列表,在判断ip地址或者端口放行时,需要判断报文内的放行地址或者放行端口与列表里的ip地址或者端口是否匹配;发送卡的芯片中提前写有需要加密的协议列表、ip地址列表和端口列表,在判断时,需要将报文中的协议、ip地址或者端口与对应的列表进行匹配,在满足匹配条件时进行相应的加密;
[0071]
优选的,对于所述接收卡,帧协议解密的条件包括报文中是否有解密协议,判断是否进行地址解密或者端口解密时,需要判断报文中是否有解密地址或解密端口,接收卡内的解密模块中存储有放行的ip地址列表或者放行的端口地址列表,在判断ip地址或者端口放行时,需要判断报文内的放行地址或者放行端口与列表里的ip地址或者端口是否匹配。接收卡的芯片中提前写有需要解密的协议列表、ip地址列表和端口列表,在判断时,需要将报文中的协议、ip地址或者端口与对应的列表进行匹配,在满足匹配条件时进行相应的解密。
[0072]
本实施例中协议的加密和解密采用的是同一算法,ip地址的加密和解密采用的是同一算法,端口的加密和解密采用的是同一算法,名称不同是为了区分发送端和接收端;另外,安装有所述隔离卡的终端既可作为发送端,也可作为接收端,即设置在同一终端上的隔离卡既可以作为发送卡,也可以作为接收卡。
[0073]
本实施例中所述算法包括对称算法和/或非对称算法,其中,对称算法包括国密算法和商密算法,优选国密sm4 ecb 128算法加密,商密aes ecb 128算法加密,将该加密算法烧录在隔离卡内,可以提高传输率,其技术指标如表2所示:
[0074]
图2算法的技术指标
[0075]
算法名称传输率误码率sm4 ecb 128421mb/s0aes ecb 1284102mb/s0
[0076]
本实施例中以对称算法国密sm4 ecb 128和商密aes ecb 128为例,由表2可知,采用这两者算法的传输率远高于现有技术的传输率,因此,采用带有加密模块的所述隔离卡可提高传输率。
[0077]
本实施例中保障企业内部插有隔离卡终端之间的正常通讯。不具备隔离卡的任何终端都无法参与隔离卡终端通讯。
[0078]
本发明所述的隔离卡的优异性能包括:
[0079]
1)不需要额外增加硬件加密模块,加密模块与普通控制模块集成在同一块网卡上,平滑链接。
[0080]
2)不依靠上层软件做加解密支持,一次配置、烧录就可独立工作。
[0081]
3)不需要将原有数据块对齐处理,不改变数据源大小。
[0082]
4)同时支持国密和商密两种算法。
[0083]
5)不改变现有网络的拓扑结构。
[0084]
6)加解密过程中,不需要密钥传递。密钥始终保存在硬件智能管控卡上。
[0085]
其应用特性包括:
[0086]
1)适用于所有普通网卡的应用环境
[0087]
2)特别适用于对数据传输高度机密的军工、科研院所等机构
[0088]
3)可以根据客户需求,灵活配置需要控制的ip地址,端口。
[0089]
其系统特性包括:
[0090]
1)以普通网卡形式存在,兼容任何操作系统,不改变网络数据流传输。
[0091]
2)集数据传输、加密和控制于一体,无缝衔接任何对普通网卡需求的硬件环境中。
[0092]
本技术中的隔离卡共支持三种出厂配置模式:广域网加密、局域网加密、内网保护:
[0093]
广域网模式选取:勾选广域网check按钮,勾选tcp check按钮,udp check按钮;
[0094]
局域网模式选取:不勾选广域网check按钮,勾选tcp check按钮,勾选udp check按钮;
[0095]
内网保护模式:只勾选内网保护模式check按钮,其他check按钮不勾选;
[0096]
2)隔离卡的三种模式说明:
[0097]
广域网模式:客户要在internet上点对点传输加密数据;
[0098]
局域网模式:客户要在企业内部点对点传输加密数据;
[0099]
内网保护模式:企业内部只允许隔离卡间相互通信,并且禁止员工访问外网。
[0100]
本实施例中步骤s2中在接收到密钥更新指令时,将加密模块中存储的密钥进行更新;
[0101]
优选的,步骤s102中在接收到密钥更新指令时,将解密模块中存储的密钥进行更新。
[0102]
本实施例中的隔离卡内存储的密钥可以远程更新,接收卡或者发送卡在接收到更新指令时,接收发送的新的密钥并将其加密模块或者解密模块内的密钥进行更新。
[0103]
如图8所示,一种单端口以太网隔离卡,隔离卡为发送卡,所述电路板上集成有加密模块1、控制模块2以及电源模块3,所述加密模块1和电源模块3均与所述控制模块2连接,所述加密模块1包括加密芯片11和存储芯片12,加密芯片11内烧录有加密算法,存储芯片12内存储有密钥、放行的ip地址列表或者放行的端口地址列表,所述加密芯片11用于对接收的请求报文基于密钥进行加密;
[0104]
优选的,如图9所示,隔离卡为接收卡,所述接收卡包括电路板,所述电路板上集成有解密模块101、控制模块102以及电源模块103,所述解密模块101和电源模块103均与所述控制模块102连接,所述解密模块101包括解密芯片1011和存储芯片1012,解密芯片1011内烧录有解密算法,存储芯片1012内存储有密钥、放行的ip地址列表或者放行的端口地址列表,所述解密芯片1011用于对接收的请求报文基于密钥进行解密。
[0105]
本发明提供一种新的单端口以太网隔离卡,不需要额外增加硬件加密模块,加密模块与普通控制模块集成在同一块网卡上,平滑链接,加解密过程中,不需要密钥传递,密钥始终保存在隔离卡上,提高了安全性和传输率。
[0106]
本实施例中加密模块和解密模块是同一模块、加密芯片和解密芯片是同一芯片、加密算法和解密算法是同一算法,名字的不同是为了区分接收端和发送端。
[0107]
以上所述实施例仅仅是本发明的优选实施方式进行描述,并非对本发明的范围进行限定,在不脱离本发明设计精神的前提下,本领域普通技术人员对本发明的技术方案作
出的各种变形和改进,均应落入本发明的权利要求书确定的保护范围内。