技術領域

本發明涉及在虛擬專用網技術應用下的一種高安全性的為終端用戶提供安全通信服務的低成本、高安全、體積小的密碼機設備，并且提出了由該密碼機保護的最為復雜的組網方案。

背景技術

目前，虛擬專用網（VPN）是應用最為廣泛的網絡安全技術，它提供了一整套兼顧經濟性與安全性的解決方案。到目前為止，以虛擬專用網絡為基礎，遵循國密局《IPSecVPN技術規范》的實現加密通信的產品主要有以下三種：

一、基于終端操作系統的軟件加密方式。該種加密通信方式由于基于操作系統設計，不可避免的存在漏洞問題。黑客一旦攻擊成功，在截獲敏感信息之后，攻擊者可繞開相關的VPN安全協議直接利用通用網絡設備將這些信息發送出去，從而導致敏感信息的泄漏。到目前為止國密局尚未審批通過軟件類密碼機。

二、基于硬件的安全加密網關。該種加密機以硬件網關的形式存在，它適宜在具有一定規模的分支結構之間組建內聯網，重點保護網關之間的通信。但是由于其保護的是局域網，無法針對終端用戶進行保護，失去了終端保護的意義。另外該類設備體積大，價格昂貴，不適合普遍推廣應用。

三、基于硬件的終端用戶進行加密的安全網卡。首先此種加密機以網卡的形式存在，要求基本功能和狀態機全部由基于硬件芯片的硬件語言實現，具有較大的難度。其次加密機在實現保密通信的同時要保證網絡通信速度，保證用戶終端使用的方便友好性。經調研目前無錫某廠家生產同類型產品但是在通信的在速度、體積等指標上具有較大差距。

發明內容

本發明為解決現有加密產品無法針對終端用戶進行保護使用，且存在產品體積大，價格昂貴，且實現難度大等問題，提供一種桌面型IPSecVPN密碼機及組網方案。

桌面型IPSecVPN密碼機，包括智能密碼鑰匙、USB接口芯片、加密解密算法芯片、安全存儲芯片、嵌入式處理器和以太網接口芯片；所述密碼機在出廠時已經設置默認的管理員智能密碼鑰匙和PIN密碼，管理員通過驗證后激活密碼機，并通過計算機管理界面為密碼機設置、刪除或更換設備密鑰；客戶端計算機通過USB接口芯片連接至嵌入式處理器，實現交互數據的傳輸；加密解密算法芯片和安全存儲芯片通過總線連接至嵌入式處理器，實現設備密鑰存儲和數據加密解密運算；所述嵌入式處理器通過以太網接口芯片將數據轉為網絡包傳輸至外部互聯網。

桌面型IPSecVPN密碼機的組網方法，該方法由以下步驟實現：

步驟一、用戶通過智能密碼鑰匙和PIN密碼登錄密碼機后，所述密碼機自動讀出管理員所配置的安全策略，并保存到安全策略數據庫中；

步驟二、當有IP包從用戶計算機發送到互聯網絡時，出站處理模塊首先在安全聯盟數據庫中查詢是否存在相應的安全聯盟，如果存在，執行步驟三；如果不存在，則安全聯盟模塊根據用戶發出的連接命令發起IKE協商后建立安全聯盟；執行步驟三；

步驟三、出站報文首先根據目的IP地址在安全聯盟數據庫中查詢對應的IPSecSA，并采用所述SA制定的密鑰對IP報文進行加密，并計算完整性校驗值，完成ESP封裝后，利用以太網接口芯片發送出去；入站報文根據SPI和源IP地址在安全聯盟數據庫中查詢對應的IPSecSA，采用SA制定的密鑰對ESP載荷進行完整性校驗，如果檢驗正確，則對ESP載荷進行解密，然后對ESP報文進行解封，并利用USB接口芯片上傳至計算機。

本發明的有益效果：本發明所述的桌面型IPsecVPN密碼機，具有以下優點：一、能夠提供可證明的安全性依據，完全遵循國密局的相關規范；二、針對終端用戶實現真正端到端的加密隧道；三、體積小，功耗低，接口方便，可即插即用，適于便攜式應用；四、使用硬件少，成本低；基于該密碼機組網的方法傳輸速度快。

附圖說明

圖1為本發明所述的密碼機的結構示意圖；

圖2為本發明所述密碼機的內部工作狀態機原理圖；

圖3為具體實施方式三的組網結構示意圖。

具體實施方式