[发明专利]IPSec隔离网卡设备及安全通信方法

说明书

本发明涉及一种用于实现内网主机与外网主机之间隔离交互的IPSec隔离网卡设备及安全通信方法，设备包括第一物理接口、第二物理接口、数据加解密模块以及存储模块；数据加解密模块通过第一物理接口或第二物理接口接收业务数据包，基于业务数据包中的五元组字段匹配规则表来确定是否需要对业务数据包进行加解密处理；根据命中的密通规则内的索引字段索引确定SA策略，并基于SA策略对业务数据包进行IPSec封装或解封装操作；存储模块电性连接于所述数据加解密模块，用于存储规则表、SA策略表、路由表以及ARP表，以供数据加解密模块进行调用，本发明能够有效加强数据通信过程中的安全性，能大幅度提升数据吞吐量以及系统带宽。

技术领域

本发明属于网卡技术领域，尤其涉及一种用于实现内网主机与外网主机之间隔离交互的IPSec隔离网卡设备及安全通信方法。

背景技术

随着网络的开放性、共享性和互联程度的不断扩大，网络安全问题日益重要，运用IP安全(Internet Protocol Security，IPSec)协议虽然可以有效地解决网络通信的安全问题，但是由于IPSec需要对数据包进行复杂的加、解密运算。因此，随着网络传输速率不断提高，用传统的软件方式来实现IPSec功能会使系统的负荷和资源占用率增加。传统对数据进行加解密的运算过程多采用软件实现，而密钥通常存储在内存或者硬盘中，很容易被获取，安全性能不高。

专利公开号CN1770769A公开了一种用于确保具有无效或破坏状态的机器被限制访问主机资源的系统和方法，位于客户机上的隔离代理(QA)从多个隔离策略客户机获取健康声明，QA包装该声明，并将该包提供给隔离实施客户机(QEC)。QEC用对健康证书的请求将该包发送到隔离健康证书服务器(HCS)，如果客户机提供了有效的健康声明，则HCS向客户机授予可在IPsec会话协商中使用的健康证书。该对比文件主要是从客户机处接收包括客户机健康证书的互联网密钥交换(IKE)数据包，然后确认客户机健康证书；如果所述客户机健康证书有效，则向客户机发送主机健康证书；如果客户机健康证书无效，则拒绝客户机对主机的访问。对比文件主要是通过主机来鉴别客户机的证书状态是否健康，并确定是否要返回自己的证书给客户机。在对比文件中，客户机的证书健康状态，只是基于业务数据包进行分析，来达到隔离交互的目的，其安全性能还是不高。

发明内容

为了解决上述问题，本发明的目的在于提供一种能够有效加强数据通信过程中的安全性，同时能够大幅度提升数据吞吐量以及系统带宽的IPSec隔离网卡设备及安全通信方法，通过分析业务数据包的五元组信息，并结合规则表来判断是否需要加解密处理，如果判定是需要加解密的，则可以根据命中的密通规则内的索引字段索引确定SA策略，并基于所述SA策略对业务数据包进行IPSec封装或解封装操作，达到隔离交互的目的。

本发明的目的时这样是实现的：

本发明第一方面提供一种IPSec隔离网卡设备，用于实现内网主机与外网主机之间的隔离交互，所述IPSec隔离网卡设备包括第一物理接口、第二物理接口、设置在第一物理接口和第二物理接口之间的数据加解密模块以及与数据加解密模块相连接的存储模块；

所述第一物理接口，通信连接于所述内网主机和所述数据加解密模块之间，用于提供所述内网主机与IPSec隔离网卡设备之间的数据交互通信接口；

所述第二物理接口，通信连接于所述外网主机和所述数据加解密模块之间，用于提供所述外网主机与IPSec隔离网卡设备之间的数据交互通信接口；

所述数据加解密模块通过所述第一物理接口或所述第二物理接口接收业务数据包，并基于业务数据包中的五元组字段匹配规则表，来确定是否需要对业务数据包进行加解密处理；然后根据命中的密通规则内的索引字段索引确定SA策略，并基于所述SA策略对业务数据包进行IPSec封装或解封装操作；

所述存储模块，电性连接在所述数据加解密模块上，用于存储规则表、SA策略表、路由表以及ARP表，以供所述数据加解密模块进行调用。