[发明专利]网络密码机

说明书

技术领域：

本发明涉及一种网络安全技术，特别涉及一种网络密码机技术。

背景技术：

随着信息化的普及，网络已成为人们获取、利用和传递信息与知识的重要手段，但是在使用中也同时承担了敏感信息遭受攻击的风险。面对这种现实，信息安全技术便成为网络应用的根本核心和国家信息化基础结构建设的重要内容之一。网络安全技术现在已在各个行业领域开始了广泛地应用，包括了反病毒、防火墙、安全路由器、安全网关、密码机、加密服务器等一系列产品的使用，其中一个主要方面就是网络安全硬件设备。网络安全硬件设备由于其具有不占用主机资源、功能强大、性能完善、加密强度高等特点，而越来越受到人们的重视，并正在演变成一个新的安全规范，由此构建了一个安全牢固的网络信息世界。

然而中国国内目前的网络安全硬件设备从功能、性能到工艺都远远落后于市场需求，

发明内容：

本发明针对上述现有网络所存在的安全隐患以及现有网络安全硬件设备所存在的缺陷，而提供一种高性能的网络密码机，该密码机为一个完全开放式的硬件安全平台，主要应用于信息在网络中的安全传输，通过以太网接口，向用户提供链路层、IP层以及应用层的加解密平台，实现对数据的加密、解密、签名、认证以及密钥管理等功能，以保证信息在传送、交换、处理和存储过程中的机密性、完整性、有效性和可控性。

为了达到上述目的，本发明采用如下的技术方案：

网络密码机，其包括以ARM940T为核的系统CPU、分组加密算法芯片、硬件随机数发生器、存储器、外壳防护监测电路以及带后备电池的SRAM器件，所述系统CPU分别控制连接分组加密算法芯片、硬件随机数发生器、存储器、外壳防护监测电路和带后备电池的SRAM器件；所述外壳防护监测电路对带后备电池的SRAM器件进行保护；所述系统CPU通过两个物理层收发器外接两个以太网口，并通过串口控制器外接串口。

所述存储器包括扩展SDRAM器件和扩展FLASH器件。

所述网络密码机中还包括电源转换以及监视电路和状态指示电路，并分别与系统CPU相接。

根据上述技术方案得到的网络密码机具有以下优点：

(1)应用IKE技术和Ipsec技术对IP数据流进行加密保护，提供VPN服务，实现异地子网之间的安全互联；

(2)应用包过滤和状态检测技术保护内网主机和服务器，提供防火墙的功能；

(3)应用NAT技术使得企业内部私有地址能够访问外部互联网，并且能将位于DMZ的服务器的某些端口映射到公网上；

(4)具有链路备份和负载均衡的功能，支持在两条线路接入下的链路备份功能，以及多条线路接入下的链路负载均衡功能；

(5)具备隧道接力、隧道嵌套、自动路由(VPN后NAT)、虚地址互联(NAT后VPN)等多种高级功能，能够组建各种复杂的VPN网络，满足客户的各种应用需求；

(6)提供增强的客户端身份认证，支持数字证书认证。

附图说明：

以下结合附图和具体实施方式来进一步说明本发明。

图1为本发明的系统框图。

图2为本发明中硬件结构图。

图3为本发明初始化流程图。

图4为本发明网络应用结构图。

具体实施方式：

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。

本发明采用VPN(Virtual Private Network)技术，在Internet(或专网)上组建虚拟专网网络，“使联网变得更容易，使安全变得更简单”。本发明严格遵循IPSEC/IKE规范，融合了IPSec VPN和SSL VPN的优点，支持基于路由的VPN实现，具有VPN内网访问控制能力，实现真正意义上的网络安全互联。

基于上述目的，本发明提供如图1所示的网络密码机，其主要包括密码机硬件部分、相应的操作系统、BSP模块、通信模块、IKE密钥交换模块、IPSec处理模块以及主控制台处理模块和控制台管理模块。如图所示，本发明中的控制台管理模块实现对密码机硬件部分的相关操作，密码机硬件部分通过BSP模块实现与相应操作系统的衔接，并通过BSP模块对IKE密钥交换模块的调用以及与通信模块之间的通信。主控制台处理模块实现对系统的一些操作。通信模块分别与IKE密钥交换模块、IPSec处理模块以及主控制台处理模块进行相关的数据信息的传输。

参见图2，本发明提供的网络密码机硬件系统由以下部分组成：

以ARM940T为核的系统CPU部分，SAMSUNG公司的ARM核微处理器S3C2510A；