[发明专利]桌面型IPSecVPN密码机及组网方法

说明书

技术领域

本发明涉及在虚拟专用网技术应用下的一种高安全性的为终端用户提供安全通信服务的低成本、高安全、体积小的密码机设备，并且提出了由该密码机保护的最为复杂的组网方案。

背景技术

目前，虚拟专用网（VPN）是应用最为广泛的网络安全技术，它提供了一整套兼顾经济性与安全性的解决方案。到目前为止，以虚拟专用网络为基础，遵循国密局《IPSecVPN技术规范》的实现加密通信的产品主要有以下三种：

一、基于终端操作系统的软件加密方式。该种加密通信方式由于基于操作系统设计，不可避免的存在漏洞问题。黑客一旦攻击成功，在截获敏感信息之后，攻击者可绕开相关的VPN安全协议直接利用通用网络设备将这些信息发送出去，从而导致敏感信息的泄漏。到目前为止国密局尚未审批通过软件类密码机。

二、基于硬件的安全加密网关。该种加密机以硬件网关的形式存在，它适宜在具有一定规模的分支结构之间组建内联网，重点保护网关之间的通信。但是由于其保护的是局域网，无法针对终端用户进行保护，失去了终端保护的意义。另外该类设备体积大，价格昂贵，不适合普遍推广应用。

三、基于硬件的终端用户进行加密的安全网卡。首先此种加密机以网卡的形式存在，要求基本功能和状态机全部由基于硬件芯片的硬件语言实现，具有较大的难度。其次加密机在实现保密通信的同时要保证网络通信速度，保证用户终端使用的方便友好性。经调研目前无锡某厂家生产同类型产品但是在通信的在速度、体积等指标上具有较大差距。

发明内容

本发明为解决现有加密产品无法针对终端用户进行保护使用，且存在产品体积大，价格昂贵，且实现难度大等问题，提供一种桌面型IPSecVPN密码机及组网方案。

桌面型IPSecVPN密码机，包括智能密码钥匙、USB接口芯片、加密解密算法芯片、安全存储芯片、嵌入式处理器和以太网接口芯片；所述密码机在出厂时已经设置默认的管理员智能密码钥匙和PIN密码，管理员通过验证后激活密码机，并通过计算机管理界面为密码机设置、删除或更换设备密钥；客户端计算机通过USB接口芯片连接至嵌入式处理器，实现交互数据的传输；加密解密算法芯片和安全存储芯片通过总线连接至嵌入式处理器，实现设备密钥存储和数据加密解密运算；所述嵌入式处理器通过以太网接口芯片将数据转为网络包传输至外部互联网。

桌面型IPSecVPN密码机的组网方法，该方法由以下步骤实现：

步骤一、用户通过智能密码钥匙和PIN密码登录密码机后，所述密码机自动读出管理员所配置的安全策略，并保存到安全策略数据库中；

步骤二、当有IP包从用户计算机发送到互联网络时，出站处理模块首先在安全联盟数据库中查询是否存在相应的安全联盟，如果存在，执行步骤三；如果不存在，则安全联盟模块根据用户发出的连接命令发起IKE协商后建立安全联盟；执行步骤三；

步骤三、出站报文首先根据目的IP地址在安全联盟数据库中查询对应的IPSecSA，并采用所述SA制定的密钥对IP报文进行加密，并计算完整性校验值，完成ESP封装后，利用以太网接口芯片发送出去；入站报文根据SPI和源IP地址在安全联盟数据库中查询对应的IPSecSA，采用SA制定的密钥对ESP载荷进行完整性校验，如果检验正确，则对ESP载荷进行解密，然后对ESP报文进行解封，并利用USB接口芯片上传至计算机。

本发明的有益效果：本发明所述的桌面型IPsecVPN密码机，具有以下优点：一、能够提供可证明的安全性依据，完全遵循国密局的相关规范；二、针对终端用户实现真正端到端的加密隧道；三、体积小，功耗低，接口方便，可即插即用，适于便携式应用；四、使用硬件少，成本低；基于该密码机组网的方法传输速度快。

附图说明

图1为本发明所述的密码机的结构示意图；

图2为本发明所述密码机的内部工作状态机原理图；

图3为具体实施方式三的组网结构示意图。

具体实施方式