技術(shù)領(lǐng)域：

本發(fā)明涉及一種網(wǎng)絡(luò)安全技術(shù)，特別涉及一種網(wǎng)絡(luò)密碼機技術(shù)。

背景技術(shù)：

隨著信息化的普及，網(wǎng)絡(luò)已成為人們獲取、利用和傳遞信息與知識的重要手段，但是在使用中也同時承擔了敏感信息遭受攻擊的風險。面對這種現(xiàn)實，信息安全技術(shù)便成為網(wǎng)絡(luò)應用的根本核心和國家信息化基礎(chǔ)結(jié)構(gòu)建設(shè)的重要內(nèi)容之一。網(wǎng)絡(luò)安全技術(shù)現(xiàn)在已在各個行業(yè)領(lǐng)域開始了廣泛地應用，包括了反病毒、防火墻、安全路由器、安全網(wǎng)關(guān)、密碼機、加密服務器等一系列產(chǎn)品的使用，其中一個主要方面就是網(wǎng)絡(luò)安全硬件設(shè)備。網(wǎng)絡(luò)安全硬件設(shè)備由于其具有不占用主機資源、功能強大、性能完善、加密強度高等特點，而越來越受到人們的重視，并正在演變成一個新的安全規(guī)范，由此構(gòu)建了一個安全牢固的網(wǎng)絡(luò)信息世界。

然而中國國內(nèi)目前的網(wǎng)絡(luò)安全硬件設(shè)備從功能、性能到工藝都遠遠落后于市場需求，

發(fā)明內(nèi)容：

本發(fā)明針對上述現(xiàn)有網(wǎng)絡(luò)所存在的安全隱患以及現(xiàn)有網(wǎng)絡(luò)安全硬件設(shè)備所存在的缺陷，而提供一種高性能的網(wǎng)絡(luò)密碼機，該密碼機為一個完全開放式的硬件安全平臺，主要應用于信息在網(wǎng)絡(luò)中的安全傳輸，通過以太網(wǎng)接口，向用戶提供鏈路層、IP層以及應用層的加解密平臺，實現(xiàn)對數(shù)據(jù)的加密、解密、簽名、認證以及密鑰管理等功能，以保證信息在傳送、交換、處理和存儲過程中的機密性、完整性、有效性和可控性。

為了達到上述目的，本發(fā)明采用如下的技術(shù)方案：

網(wǎng)絡(luò)密碼機，其包括以ARM940T為核的系統(tǒng)CPU、分組加密算法芯片、硬件隨機數(shù)發(fā)生器、存儲器、外殼防護監(jiān)測電路以及帶后備電池的SRAM器件，所述系統(tǒng)CPU分別控制連接分組加密算法芯片、硬件隨機數(shù)發(fā)生器、存儲器、外殼防護監(jiān)測電路和帶后備電池的SRAM器件；所述外殼防護監(jiān)測電路對帶后備電池的SRAM器件進行保護；所述系統(tǒng)CPU通過兩個物理層收發(fā)器外接兩個以太網(wǎng)口，并通過串口控制器外接串口。

所述存儲器包括擴展SDRAM器件和擴展FLASH器件。

所述網(wǎng)絡(luò)密碼機中還包括電源轉(zhuǎn)換以及監(jiān)視電路和狀態(tài)指示電路，并分別與系統(tǒng)CPU相接。

根據(jù)上述技術(shù)方案得到的網(wǎng)絡(luò)密碼機具有以下優(yōu)點：

(1)應用IKE技術(shù)和Ipsec技術(shù)對IP數(shù)據(jù)流進行加密保護，提供VPN服務，實現(xiàn)異地子網(wǎng)之間的安全互聯(lián)；

(2)應用包過濾和狀態(tài)檢測技術(shù)保護內(nèi)網(wǎng)主機和服務器，提供防火墻的功能；

(3)應用NAT技術(shù)使得企業(yè)內(nèi)部私有地址能夠訪問外部互聯(lián)網(wǎng)，并且能將位于DMZ的服務器的某些端口映射到公網(wǎng)上；

(4)具有鏈路備份和負載均衡的功能，支持在兩條線路接入下的鏈路備份功能，以及多條線路接入下的鏈路負載均衡功能；

(5)具備隧道接力、隧道嵌套、自動路由(VPN后NAT)、虛地址互聯(lián)(NAT后VPN)等多種高級功能，能夠組建各種復雜的VPN網(wǎng)絡(luò)，滿足客戶的各種應用需求；

(6)提供增強的客戶端身份認證，支持數(shù)字證書認證。

附圖說明：

以下結(jié)合附圖和具體實施方式來進一步說明本發(fā)明。

圖1為本發(fā)明的系統(tǒng)框圖。

圖2為本發(fā)明中硬件結(jié)構(gòu)圖。

圖3為本發(fā)明初始化流程圖。

圖4為本發(fā)明網(wǎng)絡(luò)應用結(jié)構(gòu)圖。

具體實施方式：

為了使本發(fā)明實現(xiàn)的技術(shù)手段、創(chuàng)作特征、達成目的與功效易于明白了解，下面結(jié)合具體圖示，進一步闡述本發(fā)明。

本發(fā)明采用VPN(Virtual?Private?Network)技術(shù)，在Internet(或?qū)＞W(wǎng))上組建虛擬專網(wǎng)網(wǎng)絡(luò)，“使聯(lián)網(wǎng)變得更容易，使安全變得更簡單”。本發(fā)明嚴格遵循IPSEC/IKE規(guī)范，融合了IPSec?VPN和SSL?VPN的優(yōu)點，支持基于路由的VPN實現(xiàn)，具有VPN內(nèi)網(wǎng)訪問控制能力，實現(xiàn)真正意義上的網(wǎng)絡(luò)安全互聯(lián)。

基于上述目的，本發(fā)明提供如圖1所示的網(wǎng)絡(luò)密碼機，其主要包括密碼機硬件部分、相應的操作系統(tǒng)、BSP模塊、通信模塊、IKE密鑰交換模塊、IPSec處理模塊以及主控制臺處理模塊和控制臺管理模塊。如圖所示，本發(fā)明中的控制臺管理模塊實現(xiàn)對密碼機硬件部分的相關(guān)操作，密碼機硬件部分通過BSP模塊實現(xiàn)與相應操作系統(tǒng)的銜接，并通過BSP模塊對IKE密鑰交換模塊的調(diào)用以及與通信模塊之間的通信。主控制臺處理模塊實現(xiàn)對系統(tǒng)的一些操作。通信模塊分別與IKE密鑰交換模塊、IPSec處理模塊以及主控制臺處理模塊進行相關(guān)的數(shù)據(jù)信息的傳輸。

參見圖2，本發(fā)明提供的網(wǎng)絡(luò)密碼機硬件系統(tǒng)由以下部分組成：

以ARM940T為核的系統(tǒng)CPU部分，SAMSUNG公司的ARM核微處理器S3C2510A；