[发明专利]IPSec隔离网卡设备及安全通信方法

权利要求书

1.一种IPSec隔离网卡设备，用于实现内网主机与外网主机之间的隔离交互，所述IPSec隔离网卡设备包括第一物理接口、第二物理接口、设置在第一物理接口和第二物理接口之间的数据加解密模块以及与数据加解密模块相连接的存储模块；其特征在于，

所述第一物理接口，通信连接于所述内网主机和所述数据加解密模块之间，用于提供所述内网主机与IPSec隔离网卡设备之间的数据交互通信接口；

所述第二物理接口，通信连接于所述外网主机和所述数据加解密模块之间，用于提供所述外网主机与IPSec隔离网卡设备之间的数据交互通信接口；

所述数据加解密模块通过所述第一物理接口或所述第二物理接口接收业务数据包，并基于业务数据包中的五元组字段匹配规则表，来确定是否需要对业务数据包进行加解密处理；然后根据命中的密通规则内的索引字段索引确定SA策略，并基于所述SA策略对业务数据包进行IPSec封装或解封装操作；

所述存储模块，电性连接在所述数据加解密模块上，用于存储规则表、SA策略表、路由表以及ARP表，以供所述数据加解密模块进行调用。

2.根据权利要求1所述的IPSec隔离网卡设备，其特征在于，所述规则表包括明通规则和密通规则，在所述数据加解密模块确定是否需要对业务数据包进行加解密处理过程中，所述数据加解密模块对业务数据包的五元组关键字进行解析，并基于解析结果在存储规则表中匹配相应的规则类别，如果命中明通规则，则所述数据加解密模块直接透传所述业务数据包，如果命中密通规则，则所述数据加解密模块需要对业务数据包进行加解密处理；如果同时未命中明通规则和密通规则，则所述数据加解密模块将所述业务数据包丢弃处理。

3.根据权利要求2所述的IPSec隔离网卡设备，其特征在于，所述存储模块还包括路由表和ARP表，如果所述业务数据包命中密通规则，则所述数据加解密模块根据命中的密通规则内的索引字段在SA策略表中索引确定相应的SA策略，并基于所述SA策略对业务数据包进行IPSec封装或解封装操作，然后对IPSec封装或解封装后的数据内容进行加解密处理，待加解密完成后，调用路由表进行路由查找，并确定目的IP地址；调用ARP表，并基于目的IP地址查找对应的MAC地址；基于目的IP地址和对应的MAC地址进行以太网协议封装，并将封装后的以太网包发送给外网主机。

4.根据权利要求1所述的IPSec隔离网卡设备，其特征在于，所述IPSec隔离网卡设备还包括主控模块和安全芯片，所述主控模块电性连接于所述数据加解密模块和安全芯片之间，主控模块调用安全芯片与对端IPSec VPN设备进行密钥协商以形成共享密钥，并约定规则表和SA策略表，将共享密钥置于SA策略表中，并将所述规则表和所述SA策略表存放在所述存储模块中。

5.根据权利要求1所述的IPSec隔离网卡设备，其特征在于，所述数据加解密模块包括算法池，所述算法池中包括多个SM3算法单元和多个SM4算法单元，多个SM3算法单元分别用于完整性校验，多个SM4算法单元分别用于加解密运算。

6.一种基于IPSec隔离网卡设备的安全通信方法，其特征在于，所述方法包括：

步骤1)，数据加解密模块通过第一物理接口接收内网主机发送的业务数据包；

步骤2)，所述数据加解密模块对业务数据包的五元组关键字进行解析，并基于解析结果在规则表中匹配相应的规则类别，如果命中密通规则；

步骤3)，所述数据加解密模块根据命中的密通规则内的索引字段在SA策略表中索引确定相应的SA策略；

步骤4)，所述数据加解密模块基于所述SA策略对业务数据包进行IPSec封装操作；

步骤5)，由所述数据加解密模块对IPSec封装后的数据报文进行加密处理，以得到数据密文；

步骤6)，所述数据加解密模块将所述数据密文通过第二物理接口发送给外网主机。