[发明专利]桌面型IPSecVPN密码机及组网方法

权利要求书

1.桌面型IPSecVPN密码机，包括智能密码钥匙、USB接口芯片、加密解密算法芯片、安全存储芯片、嵌入式处理器和以太网接口芯片；其特征是，所述密码机在出厂时已经设置默认的管理员智能密码钥匙和PIN密码，管理员通过验证后激活密码机，并通过计算机管理界面为密码机设置、删除或更换设备密钥；客户端计算机通过USB接口芯片连接至嵌入式处理器，实现交互数据的传输；加密解密算法芯片和安全存储芯片通过总线连接至嵌入式处理器，实现设备密钥存储和数据加密解密运算；所述嵌入式处理器通过以太网接口芯片将数据转为网络包传输至外部互联网。

2.根据权利要求1所述的桌面型IPSecVPN密码机，其特征在于，还包括网络滤波器和网络接口；所述网络包经过网络滤波器和网络接口转换成网络电缆连接至外部互联网。

3.基于权利要求1所述的桌面型IPSecVPN密码机的组网方法，其特征是，该方法由以下步骤实现：

步骤一、用户通过智能密码钥匙和PIN密码登录密码机后，所述密码机自动读出管理员所配置的安全策略，并保存到安全策略数据库中；

步骤二、当有IP包从用户计算机发送到互联网络时，出站处理模块首先在安全联盟数据库中查询是否存在相应的安全联盟，如果存在，执行步骤三；如果不存在，则安全联盟模块根据用户发出的连接命令发起IKE协商后建立安全联盟；执行步骤三；

步骤三、出站报文首先根据目的IP地址在安全联盟数据库中查询对应的IPSecSA，并采用所述SA制定的密钥对IP报文进行加密，并计算完整性校验值，完成ESP封装后，利用以太网接口芯片发送出去；入站报文根据SPI和源IP地址在安全联盟数据库中查询对应的IPSecSA，采用SA制定的密钥对ESP载荷进行完整性校验，如果检验正确，则对ESP载荷进行解密，然后对ESP报文进行解封，并利用USB接口芯片上传至计算机。

4.根据权利要求3所述的桌面型IPSecVPN密码机的组网方法，其特征在于，步骤二中，还包括在进行IKE协商之前，首先在安全策略数据库中查询是否存在相应的策略入口，如果未找到规则，则拒绝协商；如果存在相应的安全策略，则遵循国密局IPSecVPN技术规范发起IKE协商，具体的协商过程分为两个阶段，第一阶段产生ISAKMPSA，第二阶段产生IPSecSA，实现建立安全联盟。

5.根据权利要求3所述的桌面型IPSecVPN密码机的组网方法，其特征在于，所述用户与密码机的连接通过具有固定合法IP地址直接连接、通过动态合法IP地址连接或通过内部私有IP地址实现NAT穿越进行连接。