[发明专利]以太网加密认证系统及加密认证方法

权利要求书

1.一种以太网加密认证系统，其特征在于，包括加密交换机以及安装于客户端主机的加密网卡；所述加密网卡包括：

带有SHA-1的EEPROM存储器，用于存储加密网卡的序列号、密钥，并根据所述序列号、密钥和用户自定义数据生成消息认证码；

CPLD，用于生成随机数、并产生用来加密重要数据包的控制字；

网络控制芯片，与所述带有SHA-1的EEPROM存储器和CPLD分别连接，用于控制以太网接口；

所述加密交换机包括：SHA-1协处理器，用于存储加密交换机的序列号、密钥，生成随机数，并根据所述序列号、密钥和所述随机数生成消息认证码。

2.如权利要求1所述的以太网加密系统，其特征在于，所述网络控制芯片设有扩展的IIC接口、GPIO和PCIe接口。

3.如权利要求1或2所述的以太网加密系统，其特征在于，所述网络控制芯片为intel 82574芯片。

4.一种利用权利要求1-3中任一项所述系统进行加密交换机对主机的认证的方法，其特征在于，包括以下步骤：

A：当加密交换机发现有新的主机与其网络接口相连时，发送自定义报文给主机，请求其提供加密网卡的序列号；

B：主机通过网卡控制芯片与加密网卡上的带有SHA-1的EEPROM存储器通信，读取加密网卡的序列号发送给加密交换机；

C：加密交换机上的SHA-1协处理器生成随机数和质询报文发送给主机，并根据所述随机数、加密网卡的序列号和密钥生成验证消息认证码；

D：主机收到质询报文后将其发送给加密网卡上的带有SHA-1的EEPROM存储器；

E：带有SHA-1的EEPROM存储器根据收到的随机数、加密网卡的序列号和密钥生成消息认证码；

F：主机将加密网卡生成的消息认证码封装到响应报文中发送给加密交换机；

G：加密交换机将其生成的验证消息认证码与主机发送的消息认证码相比较，若二者一致，则为主机提供网络交换服务，否则将与主机相连的端口关闭。

5.一种利用权利要求1-3中任一项所述系统进行主机对加密交换机的认证的方法，其特征在于，包括以下步骤：

A1：主机检测到其与加密交换机建立连接后发送报文请求加密交换机提供网卡序列号，加密交换机与SHA-1协处理器通信，读取所述网卡序列号并发送给所述主机；

B1：CPLD生成随机数、带有SHA-1的EEPROM存储器读出网卡序列号，并将随机数和网卡序列号封装到质询报文发送给加密交换机；

C1：主机将CPLD生成的随机数发送给带有SHA-1的EEPROM存储器，带有SHA-1的EEPROM存储器根据随机数、网卡序列号和密钥计算出验证消息认证码；

D1：加密交换机将其接收的质询报文中的网卡序列号和随机数发送给SHA-1协处理器，SHA-1协处理器根据随机数、网卡序列号和密钥，计算出消息认证码；

E1：加密交换机将计算出的消息认证码封装到响应报文中发送给主机；

F1：主机将其接收的消息认证码以及所述验证消息认证码发送给CPLD进行比较，若二者一致，则使用加密交换机提供网络交换服务，否则CPLD将关闭本网卡的网络连接。

6.一种利用权利要求1-3中任一项所述系统进行加密网卡驱动器与加密网卡之间的相互认证的方法，其特征在于，包括以下步骤：

A2：在主机的PCI插槽或USB接口插入包括SHA-1 Coprocessor的USB KEY；

B2：加密网卡驱动器向加密网卡发出读取其序列号的请求，并读取序列号发送给USB KEY；

C2：加密网卡驱动器请求USB KEY产生随机数，并读取该随机数发送给加密网卡；

D2：带有SHA-1的EEPROM存储器根据密钥、所述随机数和加密网卡的序列号生成消息认证码并被加密网卡驱动器读回；

E2：USB KEY根据密钥、随机数和加密网卡的序列号生成验证消息认证码并被加密网卡驱动器读回；

F2：加密网卡驱动器将所述消息认证码与所述验证消息认证码进行比较，若二者一致，则继续使用该网络连接，否则，停止使用该网络连接。

7.如权利要求6所述的进行加密网卡驱动器与加密网卡之间的相互认证的方法，其特征在于，还包括：利用CPLD维护计时器监督加密网卡驱动器定时对加密网卡进行认证的步骤。

8.一种利用权利要求1-3中任一项所述系统对数据报文的进行加解密的方法，其特征在于，包括以下步骤：

A3：加密交换机对主机进行认证后，加密网卡上的带有SHA-1的EEPROM存储器生成消息认证码；

B3：加密网卡上的CPLD将该消息认证码转化为控制字，加密网卡利用该控制字对数据报文进行加解密；

C3：加密交换机使用与CPLD同样的算法产生同样的控制字对主机的数据报文进行加解密。