CN110417706A - 一种基于交换机的安全通信方法 - Google Patents

一种基于交换机的安全通信方法 Download PDF

Info

Publication number
CN110417706A
CN110417706A CN201810388976.9A CN201810388976A CN110417706A CN 110417706 A CN110417706 A CN 110417706A CN 201810388976 A CN201810388976 A CN 201810388976A CN 110417706 A CN110417706 A CN 110417706A
Authority
CN
China
Prior art keywords
interchanger
user
network interface
interface card
method based
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810388976.9A
Other languages
English (en)
Other versions
CN110417706B (zh
Inventor
陶林
万积文
孙琳琳
田越
辛树奇
马晓华
胡德环
苏成鑫
吴智睿
杨少华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orville Over Communication Co Ltd
Original Assignee
Orville Over Communication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orville Over Communication Co Ltd filed Critical Orville Over Communication Co Ltd
Priority to CN201810388976.9A priority Critical patent/CN110417706B/zh
Publication of CN110417706A publication Critical patent/CN110417706A/zh
Application granted granted Critical
Publication of CN110417706B publication Critical patent/CN110417706B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及到一种基于交换机的安全通信方法,***包括一个安全交换主板和网卡;安全交换主板上行方向正常接收/发送普通以太网包;安全交换主板将下行以太网数据包发送到FPGA加密处理模块;FPGA加密模块对以太网数据进行加密处理;加密模块把加密后的数据包发送到网卡;网卡对加密数据进行解密后,转化成正常以太网网数据包;本发明解决了交换机在用户接入侧的安全通信问题,实现了对每个以太网端口的独立加密和密钥分发,能完全阻断针对用户侧通信的非法侦听。

Description

一种基于交换机的安全通信方法
技术领域
本发明涉及数据通信领域,具体地说是一种基于交换机的安全通信方法。
背景技术
随着我国信息化建设步伐的不断加快,计算机网络技术的应用日趋广泛。但从整体情况看,我国的网络信息安全还存在很多问题,网络安全工作明显滞后于网络建设。特别是涉密信息在网络中传输的安全可靠性低。隐私及涉密信息存储在网络***内,很容易被搜集而造成泄密。这此涉密资料在传输过程中,由于要经过许多外节点,且难以查证,在任何中介节点均可能被读取或恶意修改,包括数据修改、重发和假冒。
由于安全交换机***是采用基于加密算法并采用用户侧加密方式,市面上没有与其匹配的交换设备,因此缺乏一种基于交换机的安全通信方法。
对于社会上大多的网络交换设备都是采用标准TCP/IP网络通信协议,这些通信方式只能采用交换机到交换机之间的加密网络通信。
发明内容
针对现有技术的不足,本发明提供一种基于加密算法的安全交换机***,解决了局域网内的数据安全交换问题,使得非法侦听者无法在局域网内进行数据窃取和拦截。
本发明为实现上述目的所采用的技术方案是:一种基于交换机的安全通信方法,交换机和用户之间的线路全部采用加密传输,包括以下步骤:
用户A的数据通过网卡进行加密后,再经过交换机传输到用户B;
用户B的网卡收到数据进行解密后,得到用户A发送的数据。
所述交换机设有多个交换端口,均与交换机内部的加解扰单元连接。
用户的网卡与交换机传输数据前,进行认证和密钥下发,包括以下步骤:
1)用户通过网卡、交换机向安全服务器发起认证请求;
2)认证通过后,用户向安全服务器发起密钥下发请求;
3)安全服务器将密钥通过交换机下发到该用户对应的交换端口和网卡中;
4)交换机和网卡收到密钥后进行相互联络、确认,握手成功后,开始通信。
当用户关机或断网后,密钥自动失效。
所述交换机根据安全服务器的指令定期更新密钥。
所述网卡的加解密密钥只与对应的交换板卡端口保持一致。
所述加密算法包括SM1、SM2、SM3、SM4中的一种。
本发明具有以下有益效果及优点:
1.本发明采用FPGA芯片进行加解密处理,速度快,满足千兆线速传输要求;
2.本发明采用安全算法,保密性强;
3.本发明对各个物理端口进行独立加解密,使得窃听者无法同时对所有端口进行侦听;
4.本发明采用动态密钥分发,非人工干预,使得无法人为得到密钥;
5.本发明采用一次一密、断开或下线后密钥自动消失,需要重新自动申请,极大地增大失密的风险。
6.本发明采用自毁电路,设备的任何非法操作都将导致加密算法自动销毁,保证了安全算法的安全性。
7.本发明支持动态实时加载安全算法,保证安全算法的实时更新。
附图说明
图1是本发明的交换机***结构图;
图2是本发明在***应用的网络模式示意图;
图3是本发明在***应用的安全加密功能示意图;
图4是本发明的密钥分发示意图;
图5是FPGA的结构原理图。
图6是本发明的交换机***的工作原理图。
具体实施方式
下面结合附图及实施例对本发明做进一步的详细说明。
如图1所示为本发明的硬件结构图。
基于加密算法的安全交换机***包括CPU与交换芯片连接;交换芯片和FPGA通过Serdes接口进行连接;FPGA进行加解密工作后,把加密报文通过PHY芯片发送到用户侧电脑的网卡。网卡经过解密后形成正常的报文上传给电脑。如图6所示。
FPGA实现主要由RGMII接口MAC、SGMII接口MAC、加扰单元、解扰单元和MDIO控制单元等组成,如图5所示。
密文数据通过PHY模块处理后以RGMII格式传输给FPGA,经过MAC处理及校验后再进行解扰操作;
解扰后恢复成明文数据,通过SGMII接口传输给交换模块。经过交换模块处理后,将数据转发到相应的端口,其中,转发到本交换机其它端口的数据需要重新加密再转发,而转发到其它外部端口(如级联端口)不需要加密。
转发的明文数据通过加扰单元处理后变成密文数据通过RGMII接口传输到以太网上。
一种基于加密算法的安全交换机***,包括CPU连接一个千兆交换芯片;千兆交换芯片与2个FPGA相连;FPGA与PHY芯片相连后通过网线与网卡进行加密通信。还包括FLASH、内存、串口和网口芯片连接CPU。还包括自毁电路与CPU连接,用于在非正常工作情况下删除存储的保密算法。板上有备用电源,以便CPU在掉电情况下保持工作状态,监控设备的安全,随时根据自毁状态进行删除保密信息。
FPGA通过SerDes与交换芯片相连。FPGA对正常报文进行加密,并传送到以太网线路上。FPGA对加密报文进行解密,并传送到交换芯片。
专属FLASH与FPGA相连,以便保存FPGA的加载程序。
交换板卡最多支持24个千兆端口的加解密。交换板卡的24个端口支持动态加解密。交换板卡的24个端口支持独立的安全加密密钥配置和分发。
网卡由FPGA、FLASH和PHY芯片组成。网卡的FPGA负责实现对报文的逆向加解密工作。网卡的加解密密钥只与对应的交换板卡端口保持一致。
加密算法可以被动态配置和加载。
如图2所示是本发明在***应用的工作模式示意图。
如图3、图4所示,安全交换机和用户侧电脑之间的线路全部采用加密传输;安全交换机把正常报文加密后传输到用户侧电脑,用户侧把电脑发送的报文经过加密后发送到安全交换机。用户侧电脑断连后,密钥需要重新申请和下发,安全性得到充足的保障。
如图3所示为本发明的加解密流程。
用户A的数据通过网卡进行加扰后传输到网络上,再经过安全增强交换机解扰后输出;
安全交换机将用户A数据路由到用户B的端口上;
经安全交换机加扰后再传输到网络上,用户B的网卡收到数据后再进行解扰后就得到用户A发送的数据。
图4所示是本发明的密钥分发流程。
***设置一个可靠的密钥生成中心。当新用户要加入(或重新连接)安全通信网络时,首先进行安全认证,认证通过后,密钥生成中心通过秘密的算法计算出密钥,发送给用户。在通信的过程中应当遵循一次一密的加密方式。
1)网卡认证与安全协议下发前,网卡与交换机处于透明传输状态,只能交互认证消息,无法正常通信,必须完成认证和密钥下发之后,才可以正常通信。
2)用户通过安全网卡、安全交换机向安全认证服务器发起认证请求;
3)认证通过后,用户向安全服务器发起密钥下发请求;
4)安全服务器将密钥通过安全交换机下发到该用户对应的安全交换端口和安全网卡中;
5)安全交换机和网卡收到密钥后进行相互联络、确认,握手成功后,就进入正常通信模式;
6)用户关机、断网后,密钥自动失效;
7)用户在使用、申请等过程中,始终无法接触到密钥。从而保证了网络的保密安全。
8)交换机可以根据安全服务器的指令定期更新密钥,确保网卡FPGA与交换机FPGA的安全性。

Claims (7)

1.一种基于交换机的安全通信方法,其特征在于,交换机和用户之间的线路全部采用加密传输,包括以下步骤:
用户A的数据通过网卡进行加密后,再经过交换机传输到用户B;
用户B的网卡收到数据进行解密后,得到用户A发送的数据。
2.根据权利要求1所述的一种基于交换机的安全通信方法,其特征在于,所述交换机设有多个交换端口,均与交换机内部的加解扰单元连接。
3.根据权利要求1所述的一种基于交换机的安全通信方法,其特征在于,用户的网卡与交换机传输数据前,进行认证和密钥下发,包括以下步骤:
1)用户通过网卡、交换机向安全服务器发起认证请求;
2)认证通过后,用户向安全服务器发起密钥下发请求;
3)安全服务器将密钥通过交换机下发到该用户对应的交换端口和网卡中;
4)交换机和网卡收到密钥后进行相互联络、确认,握手成功后,开始通信。
4.根据权利要求1所述的一种基于交换机的安全通信方法,其特征在于,当用户关机或断网后,密钥自动失效。
5.根据权利要求1所述的一种基于交换机的安全通信方法,其特征在于,所述交换机根据安全服务器的指令定期更新密钥。
6.根据权利要求1所述的一种基于交换机的安全通信方法,其特征在于,所述网卡的加解密密钥只与对应的交换板卡端口保持一致。
7.根据权利要求1所述的一种基于交换机的安全通信方法,其特征在于,所述加密算法包括SM1、SM2、SM3、SM4中的一种。
CN201810388976.9A 2018-04-27 2018-04-27 一种基于交换机的安全通信方法 Active CN110417706B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810388976.9A CN110417706B (zh) 2018-04-27 2018-04-27 一种基于交换机的安全通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810388976.9A CN110417706B (zh) 2018-04-27 2018-04-27 一种基于交换机的安全通信方法

Publications (2)

Publication Number Publication Date
CN110417706A true CN110417706A (zh) 2019-11-05
CN110417706B CN110417706B (zh) 2022-05-31

Family

ID=68346168

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810388976.9A Active CN110417706B (zh) 2018-04-27 2018-04-27 一种基于交换机的安全通信方法

Country Status (1)

Country Link
CN (1) CN110417706B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111400700A (zh) * 2020-03-10 2020-07-10 深圳市三旺通信股份有限公司 交换机的加密方法、装置、设备及计算机可读存储介质
CN111541663A (zh) * 2020-04-14 2020-08-14 北京数盾信息科技有限公司 一种基于国家密码标准的链路交换加密***
CN117714031A (zh) * 2024-01-11 2024-03-15 无锡路通视信网络股份有限公司 一种高速数据加密通信方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050063547A1 (en) * 2003-09-19 2005-03-24 Audrius Berzanskis Standards-compliant encryption with QKD
CN101005359A (zh) * 2006-01-18 2007-07-25 华为技术有限公司 一种实现终端设备间安全通信的方法及装置
CN102571348A (zh) * 2011-12-16 2012-07-11 汉柏科技有限公司 以太网加密认证***及加密认证方法
CN105721458A (zh) * 2016-01-30 2016-06-29 安徽欧迈特数字技术有限责任公司 一种基于isg安全密码技术的工业以太网交换方法
CN206322185U (zh) * 2016-12-20 2017-07-11 天津铜牛信息科技有限公司 一种计算机网络信息安全装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050063547A1 (en) * 2003-09-19 2005-03-24 Audrius Berzanskis Standards-compliant encryption with QKD
CN101005359A (zh) * 2006-01-18 2007-07-25 华为技术有限公司 一种实现终端设备间安全通信的方法及装置
CN102571348A (zh) * 2011-12-16 2012-07-11 汉柏科技有限公司 以太网加密认证***及加密认证方法
CN105721458A (zh) * 2016-01-30 2016-06-29 安徽欧迈特数字技术有限责任公司 一种基于isg安全密码技术的工业以太网交换方法
CN206322185U (zh) * 2016-12-20 2017-07-11 天津铜牛信息科技有限公司 一种计算机网络信息安全装置

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111400700A (zh) * 2020-03-10 2020-07-10 深圳市三旺通信股份有限公司 交换机的加密方法、装置、设备及计算机可读存储介质
CN111400700B (zh) * 2020-03-10 2023-07-21 深圳市三旺通信股份有限公司 交换机的加密方法、装置、设备及计算机可读存储介质
CN111541663A (zh) * 2020-04-14 2020-08-14 北京数盾信息科技有限公司 一种基于国家密码标准的链路交换加密***
CN117714031A (zh) * 2024-01-11 2024-03-15 无锡路通视信网络股份有限公司 一种高速数据加密通信方法
CN117714031B (zh) * 2024-01-11 2024-06-04 无锡路通视信网络股份有限公司 一种高速数据加密通信方法

Also Published As

Publication number Publication date
CN110417706B (zh) 2022-05-31

Similar Documents

Publication Publication Date Title
CN110996318B (zh) 一种变电站智能巡检机器人安全通信接入***
WO2019100691A1 (zh) 面向工业嵌入式***的网络信息安全防护单元和防护方法
US8600063B2 (en) Key distribution system
CN104780069B (zh) 一种面向sdn网络的控制层与数据层通信通道自配置方法及其***
CN101442403B (zh) 一种自适应的复合密钥交换和会话密钥管理方法
CN110636052B (zh) 用电数据传输***
CN104658090B (zh) 一种内置安全模块和ZigBee无线通讯模块的智能锁
WO2018226154A1 (en) Secure and encrypted heartbeat protocol
TW200307423A (en) Password device and method, password system
CN104219217A (zh) 安全关联协商方法、设备和***
CN106209883A (zh) 基于链路选择和破碎重组的多链路传输方法及***
CN103119910A (zh) 利用vpn盒来进行安全数据传输的方法和***
CN110417706A (zh) 一种基于交换机的安全通信方法
CN109344639A (zh) 一种配网自动化双重防护安全芯片、数据传输方法及设备
CN112270020B (zh) 一种基于安全芯片的终端设备安全加密装置
Cho et al. Securing ethernet-based optical fronthaul for 5g network
Cho et al. Secure open fronthaul interface for 5G networks
CN111245604B (zh) 一种服务器数据安全交互***
JP2001177514A (ja) 通信方法および通信装置
CN106656493A (zh) 基于量子密钥分发的软件定义网络安全通信方法
CN210839642U (zh) 一种物联网终端数据安全接收、发送的装置
CN113709119A (zh) 一种密码安全网关、***及使用方法
CN111212018A (zh) 基于链路选择和破碎重组的多链路传输方法及***
CN113037470A (zh) 基于云、集群服务器量子加密数据传输***
CN104994096B (zh) 一种动态加载于智能变电站通讯管理机的安全加固机制模块的配置方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: At 110179 Shenyang Road, Liaoning Province Hunnan New District No. 6

Applicant after: Zhonghong Huilian Technology Co.,Ltd.

Address before: At 110179 Shenyang Road, Liaoning Province Hunnan New District No. 6

Applicant before: AOWEI FEIYUE COMMUNICATION CO.,LTD.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant