国产91免费_国产精品电影一区_日本s色大片在线观看_中文在线免费看视频

1, 耿煜  2,武金木  3,王占川
（1．河北工業大學計算機軟件學院，天津 300130 E-mail:gy0402@sina.com）

　　摘要：本文主要介紹了加密網卡的設計和加密網卡對數據的處理。首先結合目前網絡安全的現狀分析了加密網卡的產生是勢在必趨的，并指出了加密網卡對數據安全的重要作用；繼而提出了該加密網卡的設計思想，詳細闡述了加密網卡的工作流程，并根據加密網卡所包含的重要組成部分，分別對排列碼加密算法及IPSec進行了介紹。最后指出了加密網卡的應用前景必將更加廣泛。
　　關鍵詞：網卡，IPSec, 排列碼加密解密算法，ESP封裝

1. 引言
　　以Internet為代表的全球性信息化浪潮日益深刻，信息網絡技術的應用正日益普及和廣泛，應用層次正在深入，應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。伴隨網絡的普及，安全日益成為影響網絡效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求。
　　目前，網絡安全技術的應用主要包括數據加密技術、防火墻技術、防病毒技術等。數據加密技術是為提高信息系統的數據安全性、保密性和防止秘密數據被破解所采用的主要手段之一。應用最為廣泛、綜合功能最強的是防火墻技術。防火墻是一種用來控制網絡之間互相訪問的網絡互連設備，通常是軟件和硬件的組合體，它在Internet與內部網之間建立起一個安全網關，保護了內部網絡免受非法用戶的侵入。
從安全保密的角度來看，互聯網的安全主要指內部網（Intranet）的安全，因此除了在內部網與外部網的聯接處用防火墻進行隔離之外，還應在內部網構筑安全保密系統，以確保內部網的安全。密碼技術是保護信息安全的主要手段之一，加密軟件就是伴隨著對信息安全的要求應運而生，信息的加密和解密運算需要占用CPU的資源，大大降低了系統運行的效率。
　　而硬件加密網卡則提高了加密的速度，不但簡化了信息處理過程，而且提高了整個網絡的性能。實現了基于加密的強訪問控制，從而有效地保護局域網內部主機間、主機與網關間的通信，防止了局域網內部的第三臺計算機進行竊聽；而且當移動用戶安裝了加密網卡后，與企業總部通信時，加密網卡就可以保證流經Internet的數據的安全。所以，加密網卡也可以保護外部網的安全。
2. 加密網卡系統介紹
2.1 主要性能指標
 工作方式：全雙工/半雙工
 接口標準：與計算機采用PCI總線接口，與網絡采用雙絞線RJ-45接口，可采用屏蔽或非屏蔽雙絞線
 數據傳輸速率（bit/s）：10M/100M
 密碼方式：基于排列碼的分組加密
 密鑰方式：數字串或任意的文字串
 加密強度：比DES高 105781
 加密時延：7.5ns內完成1個分組的加密

2.2 加密網卡的設計
　　網卡工作在物理層和數據鏈路層之間，在IP層之下，主要完成數據鏈路層的功能，所有發送和接收的數據都必須經過網卡。IPSec是有效保護IP層數據報的安全，它提供了一種標準的、健壯的以及包容廣泛的機制，可用它為IP及上層協議（如TCP、UDP）提供安全保證。將IPSec的加密、解密模塊集成在網卡上，而將IPSec的密鑰交換與管理模塊、SPD、SAD放在虛擬設備的驅動程序中實現，這樣就在網絡內部需要保護的主機之間建立了一條條安全隧道，有效地實現了局域網內部的安全。而網卡就是安全隧道兩端的封裝/解封裝設備。
我們在網卡原有的功能結構基礎上，增加加密模塊、解密模塊、封裝模塊、解封裝模塊，加密緩沖區、解密緩沖區。并且為加密模塊、解密模塊、封裝模塊、解封裝模塊設置輸入數據線、輸出數據線以及控制線。加密網卡的功能流程圖如圖一。

　　當主機發送數據時，由驅動程序控制詢問SPD，判斷是否加密或丟棄，如果丟棄，則直接丟棄；如果加密，則送到加密緩沖區，進行加密，當安全封裝完，就送到發送緩沖區；不加密則直接送到發送緩沖區，進行網卡發送數據的工作。
　　當接收數據時，由網絡接口控制器將數據送到網卡上，先進行網卡接收工作，然后由接收緩沖器將數據送到主機接口控制處，最后由驅動程序判斷該包是否加密數據包，如果判斷該包是加密數據則送到解密緩沖區，進行解封裝，然后進行解密，最后詢問SPD判斷該包是否丟棄，如果丟棄，則直接丟棄，否則，送給主機；如果判斷該包不是加密數據，由驅動程序詢問SPD是否對該包進行丟棄，如果丟棄，則直接丟棄；否則，則直接送給主機。
　　驅動程序是網卡不可缺少的一個組成部分。在網卡驅動程序原功能的基礎上，將具有基于排列碼加密解密算法的IPSec基本功能的安全聯盟和密鑰協商與管理功能的模塊在網卡驅動程序中實現就形成了加密網卡的驅動程序。

2.3 加密算法的介紹
    該加密網卡采用排列碼加密解密算法。排列碼加密解密算法是一種分組密碼，但它突破了傳統分組密碼從明文到密文的一對一映射關系，形成了多對多映射的分組密碼新概念，從而提高了加密強度。該算法已經申請了中國專利，專利證號為：99107969.8[10]。
(圖二)所示為排列碼加密解密原理示意圖，它的加密強度比世界最先進的DES高 105781 多倍；加密速度極快，僅幾級門電路的延遲。本算法采用Maxplus設計此算法的專門功能部件來提高算法的加密速度。加密模塊采用ALTERA 公司的MAX7000B系列產品 EPM7256BQC208-5。

 

2.5 加密網卡對數據的處理過程
　　任何安裝了該加密網卡的兩臺主機進行通信都要經過三個步驟，第一，通信雙方確認對方的身份，即進行身份認證，建立安全通道ISAKMP　SA。第二，通信雙方協商IPSEC　SA的各參數，并將SA添加到SAD中。最后，兩主機開始正常通信，一切安全保護的運算工作都由網卡負責，對用戶是透明的。
　　該加密網卡采用REALTEK的8139D作為主芯片，IPSec以BITS（Bump-in-the-stack）方式實現，ESP封裝，工作在傳送模式下，采用預共享密鑰進行身份認證。
　　該加密網卡對發送接收數據的處理過程如圖三、圖四。