技術領域

本發明涉及信息安全通信技術領域，尤其是涉及一種基于國家商用密碼算法的網絡安全通信系統及方法。

背景技術

中國在信息安全行業里起步較晚，由于“先入為主”的觀念，目前仍有許多用戶在使用國外的網絡安全設備。這些設備長期以來都是沿用3DES、SHA-1、RSA等國際通用的加密算法體系及相關標準，可以說用戶的信息安全是掌握在國外科技公司的手中。而近年來，國際著名廠商的設備頻頻曝光各類安全漏洞及威脅事件，越來越多的國際通用密碼算法屢屢傳出被破解、存在后門等傳聞，讓人對其安全性產生懷疑。以國際上最為位著名的RSA密碼算法為例，中國的三大運營商及不少銀行、制造業企業都是它的客戶。但就是這樣一家世界知名的密碼技術企業，卻被曝出與美國國家安全局達成協議，被要求在部分加密技術中放置后門。這給中國的用戶敲響了警鐘——自主可控、安全可信的國產化改造勢在必行。

為從根本上擺脫對國外加密技術和設備的過度依賴，國家密碼管理局發布了SM1、SM2、SM3、SM4等一系列國家商用密碼算法，從加密算法層面推動信息科技的“安全可控”。

IPSec VPN是一種廣泛采用的安全遠程接入技術，提供公用和專用網絡的端對端加密和驗證服務。IPsec提供了以下的安全服務：

1、數據機密性(Confidentiality)：IPsec發送方在通過網絡傳輸包前對包進行加密。

2、數據完整性(Data Integrity)：IPsec接收方對發送方發送來的包進行認證，以確保數據在傳輸過程中沒有被篡改。

3、數據來源認證(Data Authentication)：IPsec在接收端可以認證發送IPsec報文的發送端是否合法。

4、防重放(Anti-Replay)：IPsec接收方可檢測并拒絕接收過時或重復的報文。

盡管IPsec具有以上這些安全性能，但這些安全性能是由密碼算法的安全性來保證的。為了充分發揮IPsec的安全性能，達到安全可控，必須采用國內自有的密碼算法。

IPsec是第三層安全協議，windows系統中是由在協議棧的內核部分實現，不方便在其基礎上增加國家商用密碼算法。也正是由于在內核中實現，與windows版本依賴性太強，更不易實現跨版本的設計。

SM1對稱分組密碼算法是一種算法非公開的密碼算法，只能通過硬件IP來實現，即密碼算法只能由硬件模塊實現，更加增加了實現難度。為滿足100M網絡的加/解密速度，現有的實現方案成本高，不利于大規模推廣應用，嚴重阻礙了國家商用密碼算法在網絡安全方面的普及應用。

發明內容

本發明的目的就是為了克服上述現有技術存在的缺陷而提供一種基于國家商用密碼算法的網絡安全通信系統及方法，實現支持國家商用密碼算法的IPsec安全網絡通信，具有通信安全性高、生產成本低、實用性強、易于推廣應用等優點。

本發明的目的可以通過以下技術方案來實現：

一種基于國家商用密碼算法的網絡安全通信系統包括：

國密IPsec驅動模塊，嵌入TCP/IP協議處理模塊，位于網絡層的IPsec協議處理與網絡接口層之間，對于外發的IP包，在IPsec協議處理之后按過濾規則表進行攔截，獲得向通信對方IP地址外發的IP包，對于來自網絡的ESP包，在IPsec協議處理之前按過濾規則表進行攔截，獲得來自通信對方IP地址的ESP包，所述過濾規則表包括通信對方IP地址；

國密算法硬件模塊，用于實現包含SM1算法、SM2算法、SM3算法和SM4算法的國家商用密碼算法；

國密應用模塊，分別連接國密IPsec驅動模塊和國密算法硬件模塊，通過IKE協商過程建立通信雙方的IPsec信道和SA(Security Association，安全關聯)，并通過ESP包安全通信過程基于SA進行接收ESP包解析、解密和發送IP包加密、組包，ESP包安全通信過程具體為：

對于來自通信對方IP地址的ESP包，國密應用模塊利用國密算法硬件模塊對 來自通信對方IP地址的ESP包進行解密后得到明文IP包，該明文IP包經國密IPsec驅動模塊進入IPsec協議處理，對于向通信對方IP地址外發的IP包，國密應用模塊利用國密算法硬件模塊對向通信對方IP地址外發的IP包進行加密后得到密文ESP包，該密文ESP包經國密IPsec驅動模塊和網絡接口層發送到網絡上。