技術領域

本發明涉及以太網加密認證技術領域，尤其涉及一種以太網加密認證系統及加密認證方法。

背景技術

以太網加密技術主要是用于防止不合法的電腦接入組織的內部局域網盜取機密信息的行為，這種技術也可以防止組織內的辦公電腦與其它非法電腦互連造成對機密數據的拷貝。以太網加密技術中的關鍵設備包括以太網加密交換機和以太網加密網卡。現有技術通常通過硬件或軟件的方法在加密交換機和加密網卡處對以太網數據進行加解密。

硬件加密技術主要通過在加密網卡一側的網絡控制器(MAC)芯片和PHY芯片之間加入FPGA器件，對MII/GMII接口上的數據進行加解密，在加密交換機一側的交換芯片(MAC)和PHY之間也插入FPGA器件，對MII/GMII接口上的數據進行反向的加解密操作。該類技術需大規模在MAC和PHY之間插入FPGA器件，成本較高，且認證次數有限，不能進行實時認證，因此安全性差，此外，加密算法在FPGA內部實現相對固定，一旦被破解，會使其他設備也受到攻擊。

軟件加密技術是在加密網卡側和加密交換機側利用處理器的處理能力對以太網的報文或其上層報文進行加解密操作。該類技術容易被惡意人員進行反匯編、跟蹤和破譯，安全性差，且其加密算法固定，容易通過監聽加以破解；此外，軟件的加解密操作需耗費大量的CPU處理能力，會降低網絡的吞吐性能和設備的處理能力。

發明內容

(一)要解決的技術問題

本發明要解決的技術問題是：提供一種以太網加密認證系統及加密認證方法，其能夠確保加密網絡的實時可用性，具有更高的安全性能，不易被破解或監聽，且降低了以太網加密認證的成本。

(二)技術方案

為解決上述問題，本發明提供了一種以太網加密認證系統，包括加密交換機以及安裝于客戶端主機的加密網卡；所述加密網卡包括：

帶有SHA-1的EEPROM存儲器，用于存儲加密網卡的序列號、密鑰，并根據所述序列號、密鑰和用戶自定義數據生成消息認證碼；

CPLD，用于生成隨機數、并產生用來加密重要數據包的控制字；

網絡控制芯片，與所述帶有SHA-1的EEPROM存儲器和CPLD分別連接，用于控制以太網接口；

所述加密交換機包括：SHA-1協處理器，用于存儲加密交換機的序列號、密鑰，生成隨機數，并根據所述序列號、密鑰和所述隨機數生成消息認證碼。

優選地，所述網絡控制芯片設有擴展的IIC接口、GPIO和PCIe接口。

優選地，所述網絡控制芯片為intel?82574芯片，也可以是其它滿足功能需要的網絡控制芯片。

一種利用前述系統進行加密交換機對主機的認證的方法，包括以下步驟：

A：當加密交換機發現有新的主機與其網絡接口相連時，發送自定義報文給主機，請求其提供加密網卡的序列號；

B：主機通過網卡控制芯片與加密網卡上的帶有SHA-1的EEPROM存儲器通信，讀取加密網卡的序列號發送給加密交換機；

C：加密交換機上的SHA-1協處理器生成隨機數和質詢報文發送給主機，并根據所述隨機數、加密網卡的序列號和密鑰生成驗證消息認證碼；

D：主機收到質詢報文后將其發送給加密網卡上的帶有SHA-1的EEPROM存儲器；

E：帶有SHA-1的EEPROM存儲器根據收到的隨機數、加密網卡的序列號和密鑰生成消息認證碼；

F：主機將加密網卡生成的消息認證碼封裝到響應報文中發送給加密交換機；

G：加密交換機將其生成的驗證消息認證碼與主機發送的消息認證碼相比較，若二者一致，則為主機提供網絡交換服務，否則將與主機相連的端口關閉。

即使對于通過認證的主機，加密交換機也可以每隔一段時間(如幾分鐘)對其發起認證過程，若通過，繼續為其提供服務，否則將其與網絡中的其他部分隔離。

一種利用前述系統進行主機對加密交換機的認證的方法，包括以下步驟：

A1：主機檢測到其與加密交換機建立連接后發送報文請求加密交換機提供網卡序列號，加密交換機與SHA-1協處理器通信，讀取所述網卡序列號并發送給所述主機；

B1：CPLD生成隨機數、帶有SHA-1的EEPROM存儲器讀出網卡序列號，并將隨機數和網卡序列號封裝到質詢報文發送給加密交換機；

C1：主機將CPLD生成的隨機數發送給帶有SHA-1的EEPROM存儲器，帶有SHA-1的EEPROM存儲器根據隨機數、網卡序列號和密鑰計算出驗證消息認證碼；