一种基于国密算法的智能加密网卡的使用方法与流程

本发明涉及信息安全，具体为一种基于国密算法的智能加密网卡的使用方法。

背景技术：

1、随着信息化整体水平持续提升，经济和社会对信息化的依赖程度日益提高，与此同时，信息安全事件也频繁发生，信息安全形势日益严峻。为确保通信安全，人们已经基本上不使用明文传输的方式，开始对敏感数据加密后形成密文再进行传输，接收方接收到信息后再进行解密得到明文进行读取，这样虽然浪费了时间，却极大的保障了人们对数据保密的需求。

2、现有技术中，数据加密技术主要分为数据传输加密和数据存储加密，采用数据传输加密技术对数据进行加密时，常见的加密方法有链路加密、节点加密和端到端加密三种方式。

3、采用链路加密方式和节点加密方式时，数据传输过程中需要经过多次加解密操作，增加数据泄漏的风险及降低数据传输效率；采用端到端加密方式时，信息发送方在发送报文前使用密钥对报文进行加密形成密文再发送，接收设备接收后再使用密钥进行解密得到明文，通过这样的方法来保证报文传输的保密性。但在此过程中，用户需要等待数据解密或加密后，才能对数据进行收发操作，降低了数据传输的效率，且一般的数据加解密都是在网络层、运输层或应用层完成的，没有专用的加解密空间，降低数据加解密过程中的安全性。基于此，本申请提出一种基于国密算法的智能加密网卡的使用方法。

技术实现思路

1、本发明提供了一种基于国密算法的智能加密网卡的使用方法，解决了上述背景技术中提出的数据加解密过程中，用户需要进行等待，降低数据传输效率；数据加解密时没有专用的加解密空间，降低数据加解密过程中的安全性的问题。

2、本发明提供如下技术方案：一种基于国密算法的智能加密网卡的使用方法，在智能加密网卡中设置安全芯片，并且用户的业务报文在物理网卡的发送端和接收端均在安全芯片内通过国密算法进行加解密操作，使得终端智能加密网卡可以从端点发出就是密文的数据，终端系统从网卡收到数据时就已经是解密后的数据了，客户还不感知业务被加解密处理。

3、一种基于国密算法的智能加密网卡的使用方法，包括以下步骤：

4、步骤一、ca系统为设备终端的智能加密网卡颁发加密、签名证书；

5、智能加密网卡生成证书请求p10文件，通过ca系统把生成的证书sm2的加密证书、sm2的签名证书、sm2的加密密钥值文件导入到管理终端内，ca系统对终端智能加密网卡分发加密、签名证书，设备终端将证书保存到智能加密网卡安全芯片内部；

6、步骤二、密钥管理系统对颁发加密、签名证书的设备终端进行身份认证；

7、设备终端和密钥管理系统建立安全通信通道，设备终端向密钥管理系统发送认证消息及相关证书，密钥管理系统验证每个终端的合法性，完成终端认证流程，并为完成认证的终端分发智能加密网卡安全芯片使用的sm4对称密钥；

8、步骤三、使用智能加密网卡收发数据；当智能加密网卡接口不使用加解密功能时，对终端业务进行正常收发处理；当智能加密网卡接口使用加解密模式后，终端系统发送的业务报文会先经过加解密处理芯片使用sm4的对称密钥进行加密处理，然后再从网卡端口将报文发送；且对端终端智能加密网卡接口也使能加密功能后，终端网卡接收到对端发送来的报文会先进入加解密处理芯片使用sm4的指定对称密钥进行解密处理；然后将处理还原后的报文经过板卡通信通道在终端系统进行落地或者是再经过路由表进行转发处理。

9、优选的，所述步骤一中，智能加密网卡在离线模式下生成证书请求p10文件，所述ca系统在离线模式下分发加密、签名证书。

10、优选的，所述步骤一和步骤二进行过程中，采用国密算法对数据进行处理。

11、优选的，所述智能加密网卡的安全芯片对报文数据进行加解密处理时不更改数据业务报文的二层mac地址字段和ip报文的报文头字段，仅对以太网报文的ip报文的payload字段或者tcp、udp报文的payload字段进行加密处理。

12、优选的，所述终端智能加密网卡使用的sm4对称密钥通过在线模式使用密钥管理系统进行分发更新或者在离线模式下使用分量合成的方式进行更新。

13、优选的，所述智能加密网卡的安全芯片包含的模块为：gmi、switch、pcie、mpe、rpu、cm3和uart、keyram、flash和sdram；

14、其中：gmi表示外部业务接口，switch表示交换器，pcie是给板卡通信和供电的通道，mpe是接收报文的模块，rpu是加密和解密报文的模块，cm3和uart是和板卡通信的接口，keyram是给rpu计算加解密时使用的密钥数据，flash是存储模块，sdram是同步动态随机存储器模块。

15、与现有技术对比，本发明具备以下有益效果：

16、1、该基于国密算法的智能加密网卡的使用方法，使用智能加密网卡证书颁发流程、设备身份认证流程、智能加密网卡对称密钥下发流程、密钥使用的整个流程通俗易懂简单易用；对数据保证密钥的使用安全，数据业务的加密、解密均在智能加密网卡的安全芯片内操作，维护了密钥的使用安全要求，加快了对业务数据报文进行加密、解密的操作，且密钥私密性强，业务报文的处理比较快，有低延时和网络带宽利用率高的优点。

17、2、该基于国密算法的智能加密网卡的使用方法，可以弥补现在网络通信客户信息不安全的问题，使用终端智能加密网卡可以完成对普通终端网卡的替换，对终端业务数据的加密传输可以保障客户信息的私密性，在业务传输数据性能没有明显下降的前提下，可以完成对传统产品比如ipsecvpn产品和sslvpn产品的替换。

技术特征：

1.一种基于国密算法的智能加密网卡的使用方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于国密算法的智能加密网卡的使用方法，其特征在于：所述步骤一中，智能加密网卡在离线模式下生成证书请求p10文件，所述ca系统在离线模式下分发加密、签名证书。

3.根据权利要求2所述的一种基于国密算法的智能加密网卡的使用方法，其特征在于：所述步骤一和步骤二进行过程中，采用国密算法对数据进行处理。

4.根据权利要求1所述的一种基于国密算法的智能加密网卡的使用方法，其特征在于：所述智能加密网卡的安全芯片对报文数据进行加解密处理时不更改数据业务报文的二层mac地址字段和ip报文的报文头字段，仅对以太网报文的ip报文的payload字段或者tcp、udp报文的payload字段进行加密处理。

5.根据权利要求1所述的一种基于国密算法的智能加密网卡的使用方法，其特征在于：所述终端智能加密网卡使用的sm4对称密钥通过在线模式使用密钥管理系统进行分发更新或者在离线模式下使用分量合成的方式进行更新。

6.根据权利要求1所述的一种基于国密算法的智能加密网卡的使用方法，其特征在于：所述智能加密网卡的安全芯片包含的模块为：gmi、switch、pcie、mpe、rpu、cm3和uart、keyram、flash和sdram；

技术总结
本发明公开了一种基于国密算法的智能加密网卡的使用方法，涉及信息安全技术领域，具体为在智能加密网卡中设置安全芯片，并且用户的业务报文在物理网卡的发送端和接收端均在安全芯片内通过国密算法进行加解密操作，使得终端智能加密网卡从端点发出就是密文的数据，终端系统从网卡收到数据时就已经是解密后的数据。该基于国密算法的智能加密网卡的使用方法，可以弥补现在网络通信客户信息不安全的问题，使用终端智能加密网卡可以完成对普通终端网卡的替换，对终端业务数据的加密传输可以保障客户信息的私密性，在业务传输数据性能没有明显下降的前提下，可以完成对传统产品比如IPsecVPN产品和SSLVPN产品的替换。

技术研发人员：刘福营,刘磊
受保护的技术使用者：中安云科科技发展（山东）有限公司
技术研发日：
技术公布日：2024/1/16