[发明专利]以太网加密认证系统及加密认证方法

说明书

技术领域

本发明涉及以太网加密认证技术领域，尤其涉及一种以太网加密认证系统及加密认证方法。

背景技术

以太网加密技术主要是用于防止不合法的电脑接入组织的内部局域网盗取机密信息的行为，这种技术也可以防止组织内的办公电脑与其它非法电脑互连造成对机密数据的拷贝。以太网加密技术中的关键设备包括以太网加密交换机和以太网加密网卡。现有技术通常通过硬件或软件的方法在加密交换机和加密网卡处对以太网数据进行加解密。

硬件加密技术主要通过在加密网卡一侧的网络控制器(MAC)芯片和PHY芯片之间加入FPGA器件，对MII/GMII接口上的数据进行加解密，在加密交换机一侧的交换芯片(MAC)和PHY之间也插入FPGA器件，对MII/GMII接口上的数据进行反向的加解密操作。该类技术需大规模在MAC和PHY之间插入FPGA器件，成本较高，且认证次数有限，不能进行实时认证，因此安全性差，此外，加密算法在FPGA内部实现相对固定，一旦被破解，会使其他设备也受到攻击。

软件加密技术是在加密网卡侧和加密交换机侧利用处理器的处理能力对以太网的报文或其上层报文进行加解密操作。该类技术容易被恶意人员进行反汇编、跟踪和破译，安全性差，且其加密算法固定，容易通过监听加以破解；此外，软件的加解密操作需耗费大量的CPU处理能力，会降低网络的吞吐性能和设备的处理能力。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：提供一种以太网加密认证系统及加密认证方法，其能够确保加密网络的实时可用性，具有更高的安全性能，不易被破解或监听，且降低了以太网加密认证的成本。

(二)技术方案

为解决上述问题，本发明提供了一种以太网加密认证系统，包括加密交换机以及安装于客户端主机的加密网卡；所述加密网卡包括：

带有SHA-1的EEPROM存储器，用于存储加密网卡的序列号、密钥，并根据所述序列号、密钥和用户自定义数据生成消息认证码；

CPLD，用于生成随机数、并产生用来加密重要数据包的控制字；

网络控制芯片，与所述带有SHA-1的EEPROM存储器和CPLD分别连接，用于控制以太网接口；

所述加密交换机包括：SHA-1协处理器，用于存储加密交换机的序列号、密钥，生成随机数，并根据所述序列号、密钥和所述随机数生成消息认证码。

优选地，所述网络控制芯片设有扩展的IIC接口、GPIO和PCIe接口。

优选地，所述网络控制芯片为intel 82574芯片，也可以是其它满足功能需要的网络控制芯片。

一种利用前述系统进行加密交换机对主机的认证的方法，包括以下步骤：

A：当加密交换机发现有新的主机与其网络接口相连时，发送自定义报文给主机，请求其提供加密网卡的序列号；

B：主机通过网卡控制芯片与加密网卡上的带有SHA-1的EEPROM存储器通信，读取加密网卡的序列号发送给加密交换机；

C：加密交换机上的SHA-1协处理器生成随机数和质询报文发送给主机，并根据所述随机数、加密网卡的序列号和密钥生成验证消息认证码；

D：主机收到质询报文后将其发送给加密网卡上的带有SHA-1的EEPROM存储器；

E：带有SHA-1的EEPROM存储器根据收到的随机数、加密网卡的序列号和密钥生成消息认证码；

F：主机将加密网卡生成的消息认证码封装到响应报文中发送给加密交换机；

G：加密交换机将其生成的验证消息认证码与主机发送的消息认证码相比较，若二者一致，则为主机提供网络交换服务，否则将与主机相连的端口关闭。

即使对于通过认证的主机，加密交换机也可以每隔一段时间(如几分钟)对其发起认证过程，若通过，继续为其提供服务，否则将其与网络中的其他部分隔离。

一种利用前述系统进行主机对加密交换机的认证的方法，包括以下步骤：

A1：主机检测到其与加密交换机建立连接后发送报文请求加密交换机提供网卡序列号，加密交换机与SHA-1协处理器通信，读取所述网卡序列号并发送给所述主机；

B1：CPLD生成随机数、带有SHA-1的EEPROM存储器读出网卡序列号，并将随机数和网卡序列号封装到质询报文发送给加密交换机；

C1：主机将CPLD生成的随机数发送给带有SHA-1的EEPROM存储器，带有SHA-1的EEPROM存储器根据随机数、网卡序列号和密钥计算出验证消息认证码；