[实用新型]基于硬件加密的安全网络传输系统

说明书

技术领域

本实用新型属于网络安全技术领域，具体涉及一种可以提高数据交换性能和安全性的基于硬件加密的安全网络传输系统。

背景技术

随着Internet的发展，网络安全问题也越发突出，尤其是如何利用因特网进 行加密通信目前已经成为一个热点问题。目前主要通过虚拟网卡SSL VPN技术来解决这一问题。但是利用虚拟网卡进行通信需要安装VPN客户端，对通信报文进行加密和封装，因此这种加密方式属于软件加密范畴。需要进行SSL VPN加密的报文无论是发送还是接收都会两次经过协议栈的处理，这自然会在一定程度上导致数据交换性能下降。通过对虚拟网卡的SSL VPN技术数据包发送流程分析可知，发送端主机与外界有两个交换通道，从而当发送端主机在建立SSL隧道后并未切断与Internet的数据交互，可能会受到来自Internet的攻击，因此基于虚拟网卡的SSL VPN技术存在安全问题。

VPN客户端通常是在操作系统核心层安装一个数据截获的模块，VPN客户端的开发只能针对特定的Windows、Linux操作系统，无法广泛应用于大型设备中。为了解决基于虚拟网卡的SSL VPN技术的数据交换性能低、安全性不高、适用范围有限等问题，急需提供一种基于硬件加密的安全网络传输系统。

发明内容

本实用新型的目的是解决基于虚拟网卡的SSL VPN技术的客户端与外界有两个交换通道，其数据包可能会受到来自Internet的攻击而提供一种基于硬件加密的安全网络传输系统，同时由于基于软件加密的不安全，通过内置加密芯片的加密设备对数据包进行加密。

本实用新型的方法是这样实现的：

一种基于硬件加密的安全网络传输系统，包括发送端主机、通过网线与发送端主机相连接的加密设备、公共LAN/WAN网、SSL VPN网关服务器和内网主机，其特征在于，

发送端主机用于将传输于物理层的IP数据包发送给加密设备；

加密设备包括第一网卡模块、与第一网卡模块相连接的加密芯片和与加密芯片相连接的第二网卡模块，发送端主机的RJ45网络接口通过网线与加密设备的第一网卡模块相连接，加密设备的第二网卡模块与公网LAN/WAN的一端相连接；加密设备通过第一网卡模块接收数据包，并经内置的加密芯片对数据包进行加密封装形成新的IP数据包，加密设备的第二网卡模块通过其RJ45网络接口将加密封装后的数据包发送到公网LAN/WAN上进行传输；

公网LAN/WAN的另一端与SSL VPN网关服务器的RJ45网络接口相连接，SSL VPN网关服务器的RJ45网络接口通过网线与内网主机的RJ45网络接口相连接；经加密设备加密的数据包通过公网LAN/WAN传送到连接内网主机的SSL VPN网关服务器上，并对数据包进行拆封解密；拆封解密过的数据包通过SSL VPN网关服务器的RJ45网络接口传输到内网主机上，完成数据包的安全传输。

发送端主机通过网线和RJ45网络接口与加密设备相连接，发送端主机发送的数据包是在物理层进行传输的IP数据包，其报文只需要经过一次协议栈处理从真实物理网卡发出，通过网线发给加密设备的第一网卡模块。 

加密设备中内置的加密芯片，完成对传输于物理层的数据包的基于硬件的加密，并对加密后的数据包重新封装形成新的IP数据包，经基于硬件的加密设备加密封装后的数据包在公网LAN/WAN上传输。

本实用新型的特点及积极效果如下：通过内置加密芯片的加密设备对传输于物理层的IP数据包进行加密封装，从而保证了数据在网络传输中的高安全性。发送端主机的报文只需要经过一次协议栈处理从真实物理网卡发出，内网主机从物理网卡收到的数据包也只需要经过一次协议栈处理，从而提高了数据交换的速度。其特色在于它基于硬件加密提高了数据安全性，且不用在收发主机上安装特殊的客户端简化了主机的操作。相对于基于虚拟网卡的SSL VPN技术更安全、更方便、数据交换性能更高。

附图说明

图1是基于硬件加密的安全网络传输方法的传输结构图。

具体实施方式

下面结合附图和实施例对本实用新型进一步说明。

一种基于硬件加密的安全网络传输系统，包括发送端主机1、通过网线与发送端主机1相连接的加密设备2、公共LAN/WAN网3、SSL VPN网关服务器4和内网主机5，其特征在于，

发送端主机1用于将传输于物理层的IP数据包发送给加密设备2；