專利名稱:一種安全的加密網(wǎng)卡裝置的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及網(wǎng)絡信息安全領(lǐng)域����,特別是涉及一種安全的加密網(wǎng)卡裝置。
背景技術(shù):
以國際互聯(lián)網(wǎng)(Internet)為代表的全球性信息化浪潮日益深刻���,信息網(wǎng)絡 技術(shù)的應用正日益普及和廣泛���,應用層次正在深入��,應用領(lǐng)域從傳統(tǒng)的���、小型 業(yè)務系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務系統(tǒng)擴展����。伴隨網(wǎng)絡的普及,安全日益成為影 響網(wǎng)絡效能的重要問題��,而Internet所具有的開放性����、國際性和自由性在增加 應用自由度的同時���,對安全提出了更高的要求�。對此信任運算組織(Trusted Computing Group, TCG)經(jīng)過多年的努力推 出了可信運算的標準實施規(guī)范����。目前最新為1.2版(2003年10月)。TCG的前身為可信計算平臺聯(lián)盟(Trusted Computing Platform Alliance, TCPA)���,是于1999年10月由Intel����, Compaq, HP,舊M以及Microsoft公rfj 發(fā)起的,他們的目標便是致力于創(chuàng)建新一代具有安全��,信任能力的硬件平臺與 軟件接口�����。2003年10月TCG發(fā)布了可信平臺模塊(Trusted Platform Module, TPM) 1.2���。它除了提供信任鏈的建立之外���,還提供密鑰管理等功能。目前典型的應 用比如微軟最新的操作系統(tǒng)Vista中的Bitlocker功能�,提供磁盤數(shù)據(jù)保護。隨 著該技術(shù)繼續(xù)發(fā)展��,在未來的應用中TPM將逐步成為計算機網(wǎng)絡中必備的組件之一�。加密網(wǎng)卡裝置是用于為網(wǎng)絡中設備間的通信提供加解密和完整性保護服 務的設備。其適用于各種主流操作系統(tǒng)中��,并且對上層應用是透明的��,另外�����, 其可以通過軟件方法設置后屏蔽加密功能,作為普通的網(wǎng)卡使用��。公開號為 CN1448851的中國專利申請���,公開了一種采用硬件加解密的虛擬私有網(wǎng)絡���。 在用作網(wǎng)關(guān)的計算機中內(nèi)置PCI插卡,通過PCI插卡實現(xiàn)虛擬私有網(wǎng)絡技術(shù)中
的加密算法�����、解密算法�、數(shù)字簽名���、身份認證等�����,當虛擬私有網(wǎng)絡中不同子網(wǎng) 間的用戶相互訪問時����,PCI插卡采用已經(jīng)固化在插卡存儲器中的任何成熟數(shù)據(jù) 流加解密算法,將數(shù)據(jù)經(jīng)過pci控制器由微處理器接收并暫存在數(shù)據(jù)存儲器中�����,數(shù)據(jù)流經(jīng)過微處理器運算加密后再通過網(wǎng)卡模塊輸出����,達到在VPN環(huán)境下計算機之間安全的、高效的通訊���。盡管現(xiàn)有的如上述的通信加密設備目前很多�����,包括虛擬專有網(wǎng)絡VPN等����, 但是它們都是利用其它設備截獲網(wǎng)卡數(shù)據(jù)進行加解密��,同時對密鑰沒有好的管 理方式�,使數(shù)據(jù)在網(wǎng)絡傳輸過程中,無法保證其安全性�����。實用新型內(nèi)容本實用新型的目的在于提供一種安全的加密網(wǎng)卡裝置,其實現(xiàn)網(wǎng)卡的透明 的高速加解密����,具有很好的應用前景,更好地解決網(wǎng)絡的安全問題�����。為實現(xiàn)本實用新型目的而提供的一種安全的加密網(wǎng)卡裝置��,包括處理器�����, 內(nèi)存控制器����,總線接口�,還包括可信計算密鑰管理單元和高速加密芯片單元,其中所述可信計算密鑰管理單元����,對高速加密芯片單元所使用的密鑰進行管理;所述高速加密芯片單元截獲網(wǎng)卡接收或者發(fā)送的數(shù)據(jù)��,從所述的可信計算 密鑰管理單元中讀取密鑰,并利用高速加密芯片單元中的加解密算法對數(shù)據(jù)進 行加解密�。所述可信計算密鑰管理單元為TPM芯片或者cTPM芯片。 所述高速加密芯片單元為包含DES算法��、IDEA算法��、AES算法中的一 種或者一種以上的加解密算法組合的芯片單元���。所述高速加密芯片單元為包含RSA算法����、ECC算法中的一種或者一種以 上的加解密算法組合的芯片單元����。所述網(wǎng)卡裝置還包括物理層芯片和數(shù)據(jù)鏈路層芯片控制器。 本實用新型的有益效果是本實用新型的安全的加密網(wǎng)卡裝置�����,在網(wǎng)卡裝 置中集成TPM芯片���,使在網(wǎng)卡設備使用的過程中�,達到TCG安全規(guī)范標準���, 既使數(shù)據(jù)在網(wǎng)卡傳輸?shù)倪^程中�,保證其安全性,又幾乎不影響其速度��。其提高 了加密的速度�����,不但簡化了信息處理過程���,而且提高了整個網(wǎng)絡的性能���,實現(xiàn) 了基于加密的強訪問控制,從而有效地保護局域網(wǎng)內(nèi)部主機間�����、主機與網(wǎng)關(guān)間 的通信���,防止了局域網(wǎng)內(nèi)部的第三者進行竊聽�����,而且當移動用戶安裝了加密網(wǎng)卡后�,與企業(yè)總部通信時�,加密網(wǎng)卡就可以保證流經(jīng)國際互聯(lián)網(wǎng)(Internet)的數(shù)據(jù)的安全,所以�,加密網(wǎng)卡也可以保護外部網(wǎng)的安全。
圖1是本實用新型的安全的加密網(wǎng)卡裝置電路模塊示意圖��; 圖2是本實用新型的網(wǎng)卡安全加解密數(shù)據(jù)過程示意圖��。
具體實施方式
為了使本實用新型的目的����、技術(shù)方案及優(yōu)點更加清楚明白,
以下結(jié)合附圖 及實施例�����,對本實用新型的一種安全的加密網(wǎng)卡裝置進行進一歩詳細說明���。應 當理解����,此處所描述的具體實施例僅僅用以解釋本實用新型�����,并不用于限定本 實用新型。如圖1所示���,為本實用新型的一種安全的加密網(wǎng)卡裝置電路模塊示意圖����, 如圖所示��, 一般地�,包括處理器ll,內(nèi)存控制器12��,總線接口 13��。網(wǎng)卡裝置是-一個SOC (System On Chip)產(chǎn)品�, 一般地,帶有處理器ll�����、 內(nèi)存控制器12�、總線接口13等等。所謂SOC技術(shù)�,是一種高度集成化�、固件化的裝置集成技術(shù)�。使用SOC 技術(shù)設計系統(tǒng)的核心思想����,就是要把整個應用電子系統(tǒng)全部集成在 一個芯片 中。在使用SOC技術(shù)設計應用系統(tǒng)����,除了那些無法集成的外部電路或機械部 分以外,其他所有的系統(tǒng)電路全部集成在一起�����。處理器ll (Processor)����,即網(wǎng)卡裝置中的中央處理器(CPU),是網(wǎng)卡裝 置的控制中心����,用于發(fā)送各種控制指令和處理指令,對網(wǎng)卡裝置接收和發(fā)送的 數(shù)據(jù)���,處理或者控制網(wǎng)卡裝置的其他單元進行處理�。通常,網(wǎng)卡裝置工作在OSI (Open System Interconnect,幵放式系統(tǒng)互聯(lián)) 的最后兩層���,即物理層和數(shù)據(jù)鏈路層����。其中�,物理層定義了數(shù)據(jù)傳送與接收所需要的電與光信號、線路狀態(tài)�����、時 鐘基準���、數(shù)據(jù)編碼和電路等����,并向數(shù)據(jù)鏈路層設備提供標準接口��,物理層的芯 片稱之為PHY (PHysical Layer) 14��。數(shù)據(jù)鏈路層則提供尋址機構(gòu)�����、數(shù)據(jù)幀的構(gòu)建、數(shù)據(jù)差錯檢查�、傳送控制、 向網(wǎng)絡層提供標準的數(shù)據(jù)接口等功能�����。以太網(wǎng)卡中數(shù)據(jù)鏈路層的芯片稱之為MAC (Media Access Control,介質(zhì) 訪問控制)控制器15����。本實用新型的安全的加密網(wǎng)卡裝置���,還包括可信計算密鑰管理單元16和 高速加密芯片單元17�����。其中����,所述可信計算密鑰管理單元16,對高速加密芯片單元17所使用的 密鑰進行管理���。所述的可信計算密鑰管理單元16���,可以是TPM芯片��,如1.2版標準TPM 芯片���;也可以是其它可信平臺模塊芯片。所述的高速加密芯片單元17截獲網(wǎng)卡接收或者發(fā)送的數(shù)據(jù)���,從所述的可 信計算密鑰管理單元16中讀取密鑰�����,并利用高速加密芯片單元17中的加解密 算法對數(shù)據(jù)進行加解密�。所述的加解密算法����,可以是各種與密鑰相應的現(xiàn)有的加解密算法,包括對 稱加解密算法或者非對稱加解密算法中的一種或者多種�����。對稱加解密算法�����,包括出自IBM公司而被美國政府正式采納的數(shù)據(jù)加密 算法(Data Encryption Standard, DES)算法�����、由中國學者Xuejia Lai和James L. Massey在蘇黎世的ETH開發(fā)的國際數(shù)據(jù)加密算法IDEA(International Data Encryption Algorithm)算法、比禾U時Joan Daemen禾口 Vincent Rijmen提交��, 被美國國家標準和技術(shù)研究所(US National Institute of Standards and Technology, NIST)選為美國高級加密標準的AES (Advanced Encryption Standard)算法等�。其中,DES是Data Encryption Standard (數(shù)據(jù)加密標準)的縮寫���。它是由 IBM公司研制的一種加密算法���,美國國家標準局于1977年公布把它作為非機 要部門使用的數(shù)據(jù)加密標準���,二十年來�,它 一直活躍在國際保密通信的舞臺上�����, 扮演了十分重要的角色���。DES是一個分組加密算法�����,他以64位為分組對數(shù)據(jù)加密�。同時DES也是 --個對稱算法加密和解密用的是同一個算法。它的密匙長度是56位(因為 每個第8位都用作奇偶校驗)�。非對稱加解密算法,包括有RSA (Rivest,Shamir和Adlernan)算法���、ECC (Elliptic Curves Cryptography,橢圓曲線密碼編碼學)算法等����。
如圖2所示�����,下面進一步詳細說明本實用新型的安全的網(wǎng)卡系統(tǒng)的加解密 數(shù)據(jù)過程--方面����,網(wǎng)卡裝置從外部接口接收數(shù)據(jù);網(wǎng)卡裝置從物理鏈路上接收到數(shù)據(jù)以后�,高速加密芯片單元17截獲該數(shù) 據(jù),由于此數(shù)據(jù)是密文數(shù)據(jù)�����,因此高速加密芯片從可信計算密鑰管理單元16 讀取密鑰,根據(jù)相應的加解密算法對此數(shù)據(jù)進行解密��,然后把數(shù)據(jù)通過總線遞 交出去到與網(wǎng)卡裝置連接的主機���。所述的物理鏈路上包括物理層芯片(PHY) i4和數(shù)據(jù)鏈路層芯片(MAC) 控制器15�����。另一方面���,網(wǎng)卡裝置發(fā)送數(shù)據(jù);與網(wǎng)卡裝置連接的主機發(fā)送出數(shù)據(jù)后�����,高速加密芯片單元n首先截獲該數(shù)據(jù)���,然后從可信計算密鑰管理單元16讀取密鑰,根據(jù)相應的加解密算法對 此數(shù)據(jù)進行加密�,然后通過網(wǎng)卡裝置發(fā)送到物理鏈路。高速加密芯片單元17根據(jù)密鑰加解密通信數(shù)據(jù)���,對這個密鑰的管理非常 關(guān)鍵�����,只有這個密鑰安全了�,才能保證通信的安全。本實用新型通過可信計算 密鑰管理單元16獨立管理此密鑰���,進行密鑰的產(chǎn)生���、保護等,使得在高速加密芯片單元n加解密數(shù)據(jù)的過程中���,密鑰不直接數(shù)據(jù)發(fā)生關(guān)聯(lián)����,保證密鑰的安全性�����,使得密鑰更加安全����,數(shù)據(jù)在網(wǎng)卡傳輸?shù)倪^程中,其安全性得到更大的 保證����。通過以上結(jié)合附圖對本實用新型具體實施例的描述�,本實用新型的其它方 面及特征對本領(lǐng)域的技術(shù)人員而言是顯而易見的���。本實用新型的安全的加密網(wǎng)卡裝置���,提出了網(wǎng)卡控制器同時集成加密芯片和TPM芯片這種結(jié)構(gòu),通過在網(wǎng)卡控制器中集成了加密芯片��,實現(xiàn)網(wǎng)卡的透 明加解密�����,其通過加密芯片和TPM芯片的通信��,使用TPM芯片管理加密芯片 使用密鑰的產(chǎn)生���、保護以及保存�。并且�����,由于TPM的唯一性特性���,確保通過 網(wǎng)卡控制器唯一標識一個計算機平臺�。其具有很好的應用前景���,更好地解決了 網(wǎng)絡的安全問題��。以上對本實用新型的具體實施例進行了描述和說明�����,這些實施例應被認為 其只是示例性的�,并不用于對本實用新型進行限制�����,本實用新型應根據(jù)所附的 權(quán)利要求進行解釋��。
權(quán)利要求1�、一種安全的加密網(wǎng)卡裝置,包括處理器�����,內(nèi)存控制器��,總線接口,其特征在于�����,還包括可信計算密鑰管理單元和高速加密芯片單元���,其中所述可信計算密鑰管理單元�,對高速加密芯片單元所使用的密鑰進行管理���;所述高速加密芯片單元截獲網(wǎng)卡接收或者發(fā)送的數(shù)據(jù)�����,從所述的可信計算密鑰管理單元中讀取密鑰��,并利用高速加密芯片單元中的加解密算法對數(shù)據(jù)進行加解密��。
2��、 根據(jù)權(quán)利要求1所述的安全的加密網(wǎng)卡裝置�,其特征在于���,所述可信 計算密鑰管理單元為TPM芯片�����。
3�、 根據(jù)權(quán)利要求1或2所述的安全的加密網(wǎng)卡裝置���,其特征在于��,所述 高速加密芯片單元為包含DES算法���、IDEA算法、AES算法中的一種或者一 種以上的加解密算法組合的芯片單元����。
4、 根據(jù)權(quán)利要求1或2所述的安全的加密網(wǎng)卡裝置��,其特征在于���,所述 高速加密芯片單元為包含RSA算法����、ECC算法中的一種或者一種以上的加解 密算法組合的芯片單元����。
5�、 根據(jù)權(quán)利要求1所述的安全的加密網(wǎng)卡裝置�,其特征在于,所述網(wǎng)卡 裝置還包括物理層芯片和數(shù)據(jù)鏈路層芯片控制器��。
專利摘要本實用新型公開了一種安全的加密網(wǎng)卡裝置����,包括處理器,內(nèi)存控制器�,總線接口,還包括可信計算密鑰管理單元和高速加密芯片單元�����,其中可信計算密鑰管理單元�����,對高速加密芯片單元所使用的密鑰進行管理�;高速加密芯片單元,當高速加密芯片單元對接收到的數(shù)據(jù)進行加解密時���,從所述的可信計算密鑰管理單元中讀取密鑰�,并利用高速加密芯片單元中的加解密算法對數(shù)據(jù)進行加解密。其實現(xiàn)網(wǎng)卡的透明的高速加解密�,具有很好的應用前景,更好地解決網(wǎng)絡的安全問題����。
文檔編號H04L9/32GK201051744SQ200720148860
公開日2008年4月23日 申請日期2007年4月20日 優(yōu)先權(quán)日2007年4月20日
發(fā)明者梓 王 申請人:深圳兆日技術(shù)有限公司