本發明涉及一種用于實現內網主機與外網主機之間隔離交互的IPSec隔離網卡設備及安全通信方法，設備包括第一物理接口、第二物理接口、數據加解密模塊以及存儲模塊；數據加解密模塊通過第一物理接口或第二物理接口接收業務數據包，基于業務數據包中的五元組字段匹配規則表來確定是否需要對業務數據包進行加解密處理；根據命中的密通規則內的索引字段索引確定SA策略，并基于SA策略對業務數據包進行IPSec封裝或解封裝操作；存儲模塊電性連接于所述數據加解密模塊，用于存儲規則表、SA策略表、路由表以及ARP表，以供數據加解密模塊進行調用，本發明能夠有效加強數據通信過程中的安全性，能大幅度提升數據吞吐量以及系統帶寬。

技術領域

本發明屬于網卡技術領域，尤其涉及一種用于實現內網主機與外網主機之間隔離交互的IPSec隔離網卡設備及安全通信方法。

背景技術

隨著網絡的開放性、共享性和互聯程度的不斷擴大，網絡安全問題日益重要，運用IP安全(Internet Protocol Security，IPSec)協議雖然可以有效地解決網絡通信的安全問題，但是由于IPSec需要對數據包進行復雜的加、解密運算。因此，隨著網絡傳輸速率不斷提高，用傳統的軟件方式來實現IPSec功能會使系統的負荷和資源占用率增加。傳統對數據進行加解密的運算過程多采用軟件實現，而密鑰通常存儲在內存或者硬盤中，很容易被獲取，安全性能不高。

專利公開號CN1770769A公開了一種用于確保具有無效或破壞狀態的機器被限制訪問主機資源的系統和方法，位于客戶機上的隔離代理(QA)從多個隔離策略客戶機獲取健康聲明，QA包裝該聲明，并將該包提供給隔離實施客戶機(QEC)。QEC用對健康證書的請求將該包發送到隔離健康證書服務器(HCS)，如果客戶機提供了有效的健康聲明，則HCS向客戶機授予可在IPsec會話協商中使用的健康證書。該對比文件主要是從客戶機處接收包括客戶機健康證書的互聯網密鑰交換(IKE)數據包，然后確認客戶機健康證書；如果所述客戶機健康證書有效，則向客戶機發送主機健康證書；如果客戶機健康證書無效，則拒絕客戶機對主機的訪問。對比文件主要是通過主機來鑒別客戶機的證書狀態是否健康，并確定是否要返回自己的證書給客戶機。在對比文件中，客戶機的證書健康狀態，只是基于業務數據包進行分析，來達到隔離交互的目的，其安全性能還是不高。

發明內容

為了解決上述問題，本發明的目的在于提供一種能夠有效加強數據通信過程中的安全性，同時能夠大幅度提升數據吞吐量以及系統帶寬的IPSec隔離網卡設備及安全通信方法，通過分析業務數據包的五元組信息，并結合規則表來判斷是否需要加解密處理，如果判定是需要加解密的，則可以根據命中的密通規則內的索引字段索引確定SA策略，并基于所述SA策略對業務數據包進行IPSec封裝或解封裝操作，達到隔離交互的目的。

本發明的目的時這樣是實現的：

本發明第一方面提供一種IPSec隔離網卡設備，用于實現內網主機與外網主機之間的隔離交互，所述IPSec隔離網卡設備包括第一物理接口、第二物理接口、設置在第一物理接口和第二物理接口之間的數據加解密模塊以及與數據加解密模塊相連接的存儲模塊；

所述第一物理接口，通信連接于所述內網主機和所述數據加解密模塊之間，用于提供所述內網主機與IPSec隔離網卡設備之間的數據交互通信接口；

所述第二物理接口，通信連接于所述外網主機和所述數據加解密模塊之間，用于提供所述外網主機與IPSec隔離網卡設備之間的數據交互通信接口；

所述數據加解密模塊通過所述第一物理接口或所述第二物理接口接收業務數據包，并基于業務數據包中的五元組字段匹配規則表，來確定是否需要對業務數據包進行加解密處理；然后根據命中的密通規則內的索引字段索引確定SA策略，并基于所述SA策略對業務數據包進行IPSec封裝或解封裝操作；

所述存儲模塊，電性連接在所述數據加解密模塊上，用于存儲規則表、SA策略表、路由表以及ARP表，以供所述數據加解密模塊進行調用。