基于ssl加密協(xié)議的網(wǎng)絡(luò)終端安全設(shè)備及方法
【專利摘要】本發(fā)明公開一種基于SSL加密協(xié)議的網(wǎng)絡(luò)終端安全設(shè)備及實(shí)現(xiàn)網(wǎng)絡(luò)終端安全的方法,網(wǎng)絡(luò)終端安全設(shè)備包括一與存儲器相連的網(wǎng)絡(luò)控制芯片和一以太網(wǎng)接入芯片,網(wǎng)絡(luò)控制芯片通過以太網(wǎng)接入芯片接入以太網(wǎng),存儲器用于存放用戶數(shù)據(jù),網(wǎng)絡(luò)控制芯片用于對用戶數(shù)據(jù)實(shí)現(xiàn)SSL數(shù)據(jù)加密和建立SSL連接發(fā)送數(shù)據(jù),以太網(wǎng)接入芯片用于連接網(wǎng)絡(luò)控制芯片和以太網(wǎng),傳輸加密后的數(shù)據(jù);實(shí)現(xiàn)網(wǎng)絡(luò)終端安全的方法包括選擇加密算法,SSL數(shù)據(jù)加密和建立SSL連接發(fā)送數(shù)據(jù)步驟。本發(fā)明的設(shè)備和方法傳輸網(wǎng)絡(luò)數(shù)據(jù),不但數(shù)據(jù)安全性好,而且運(yùn)行速度快、可靠性高。
【專利說明】基于SSL加密協(xié)議的網(wǎng)絡(luò)終端安全設(shè)備及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全設(shè)備【技術(shù)領(lǐng)域】,特別是一種基于SSL加密協(xié)議的網(wǎng)絡(luò)終端安全設(shè)備及實(shí)現(xiàn)網(wǎng)絡(luò)終端安全的方法。
【背景技術(shù)】
[0002]SSL加密協(xié)議又叫安全套接層(Secure Sockets Layer,簡稱SSL)協(xié)議,有著卓越的加密性能,運(yùn)用該協(xié)議傳輸數(shù)據(jù)可以提高安全性。SSL協(xié)議可保證安裝了安全套接字的客戶和服務(wù)器間實(shí)現(xiàn)安全的數(shù)據(jù)傳輸,可用于所有TCP/IP應(yīng)用程序,以保證應(yīng)用層數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)傳輸不被監(jiān)聽、偽造和竄改。
[0003]但是SSL協(xié)議本身很復(fù)雜,不但包括很多復(fù)雜的算法,如加密算法、壓縮算法等,還需要處理繁瑣的證書編碼,加重了 CPU的負(fù)擔(dān);另外復(fù)雜TCP/IP協(xié)議使數(shù)據(jù)傳輸不穩(wěn)定。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種基于SSL加密協(xié)議的網(wǎng)絡(luò)終端安全設(shè)備,不但數(shù)據(jù)安全性好,而且運(yùn)行速度快,可靠性高。
[0005]本發(fā)明的另一目的在于提供一種基于SSL加密協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)終端安全的方法。
[0006]實(shí)現(xiàn)本發(fā)明目的的技術(shù)解決方案為:一種基于SSL加密協(xié)議的網(wǎng)絡(luò)終端安全設(shè)備,包括一與存儲器相連的網(wǎng)絡(luò)控制芯片和一以太網(wǎng)接入芯片,網(wǎng)絡(luò)控制芯片通過以太網(wǎng)接入芯片接入以太網(wǎng);所述存儲器用于存放用戶數(shù)據(jù),所述網(wǎng)絡(luò)控制芯片用于對用戶數(shù)據(jù)實(shí)現(xiàn)SSL數(shù)據(jù)加密和建立SSL連接發(fā)送數(shù)據(jù),所述以太網(wǎng)接入芯片用于連接網(wǎng)絡(luò)控制芯片和以太網(wǎng),傳輸加密后的數(shù)據(jù)。網(wǎng)絡(luò)控制芯片為FS8610 ;以太網(wǎng)接入芯片為RTL820 ;以太網(wǎng)接入芯片通過RJ45接口與以太網(wǎng)連接。
[0007]實(shí)現(xiàn)本發(fā)明另一目的的技術(shù)解決方案為:一種基于SSL加密協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)終端安全的方法,包括如下步驟:獲取用戶數(shù)據(jù),SSL數(shù)據(jù)加密,建立SSL連接發(fā)送數(shù)據(jù)。
[0008]本發(fā)明與現(xiàn)有技術(shù)相比,其顯著優(yōu)點(diǎn):
[0009]1、數(shù)據(jù)安全性好:本發(fā)明充分利用了 SSL加密協(xié)議的安全性特點(diǎn),保證應(yīng)用層數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)傳輸中不被監(jiān)聽、偽造和竄改;
[0010]2、穩(wěn)定可靠:利用網(wǎng)絡(luò)控制芯片F(xiàn)S8610的高運(yùn)行速度和可靠性,避免復(fù)雜TCP/IP協(xié)議棧帶來的不穩(wěn)定因素;
[0011]3、CPU的負(fù)擔(dān)小,運(yùn)行速度快:FS8610控制芯片,在完全兼容標(biāo)準(zhǔn)8051指令集的基礎(chǔ)上,可以提供超高速的處理能力(最高可運(yùn)行在160MHz)。
[0012]下面結(jié)合附圖對本發(fā)明作進(jìn)一步詳細(xì)描述。
【專利附圖】
【附圖說明】
[0013]圖1是本發(fā)明基于SSL加密協(xié)議的網(wǎng)絡(luò)終端安全設(shè)備結(jié)構(gòu)示意圖。
[0014]圖2是網(wǎng)絡(luò)控制芯片F(xiàn)S8610通過以太網(wǎng)接入芯片RTL8201與以太網(wǎng)連接的電路圖。
[0015]圖3是本發(fā)明基于SSL加密協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)終端安全的方法的流程圖。
[0016]圖4是本發(fā)明基于SSL加密協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)終端安全的方法的工作原理圖。
[0017]圖中:1存儲器,2網(wǎng)絡(luò)控制芯片,3以太網(wǎng)接入芯片,4RJ45接口,5以太網(wǎng)。
【具體實(shí)施方式】
[0018]如圖1所示,本發(fā)明基于SSL加密協(xié)議的網(wǎng)絡(luò)終端安全設(shè)備,包括一與存儲器相連的網(wǎng)絡(luò)控制芯片和一以太網(wǎng)接入芯片,所述網(wǎng)絡(luò)控制芯片通過所述以太網(wǎng)接入芯片接入以太網(wǎng)。以太網(wǎng)接入芯片通過RJ45接口與以太網(wǎng)連接。
[0019]如圖2所示,網(wǎng)絡(luò)控制芯片為FS8610,以太網(wǎng)接入芯片為RTL820。
[0020]FS8610是一顆內(nèi)嵌硬件TCP/IP協(xié)議棧的8位高速網(wǎng)絡(luò)微控制器芯片,可以提供硬件處理的 Ethernet/ARP/RARP/IPv4/ICMP/IGMPv2/TCP/UDP/PPPoE 等網(wǎng)絡(luò)協(xié)議,MCU 使用IT RISC架構(gòu)的8051處理器,在完全兼容標(biāo)準(zhǔn)8051指令集的基礎(chǔ)上,可以提供超高速的處理能力(最高可運(yùn)行在160MHz)。
[0021]RTL820系列是一款10/100Mbps自適應(yīng)網(wǎng)絡(luò)芯片,芯片內(nèi)同時具備MAC層和PHY層,其芯片體積不大,針腳數(shù)目少,符合IEEE802.3u規(guī)范。在Realtek的技術(shù)白皮書中提到這款網(wǎng)絡(luò)芯片只能夠作為板載網(wǎng)卡使用,但其模塊結(jié)構(gòu)和IP常用網(wǎng)絡(luò)芯片8139C基本一樣,這意味著使用該網(wǎng)絡(luò)芯片相當(dāng)于用一塊完整的網(wǎng)卡,在資源消耗和穩(wěn)定性能方面都得到良好的保障。
[0022]如圖3所示,本發(fā)明基于SSL加密協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)終端安全的方法,包括如下步驟:51)獲取用戶數(shù)據(jù):從數(shù)據(jù)存儲器如SRAM獲取用于發(fā)用的用戶數(shù)據(jù);
[0023]52) SSL數(shù)據(jù)加密:選擇加密算法:選用SSL_RSA_WITH_RC4_128_MD5算法,即RSA公鑰加密算法、128位RC4對稱加密算法、MD5消息摘要算法和SHAl消息摘要算法;由于RSA加密過程非常復(fù)雜,消耗的時間也非常多,所以只實(shí)現(xiàn)RSA的解密。通過密鑰生成、密鑰更新、密鑰備份及恢復(fù)以及密鑰銷毀和歸檔處理對用戶數(shù)據(jù)實(shí)現(xiàn)SSL數(shù)據(jù)加密;
[0024]53)建立SSL連接發(fā)送數(shù)據(jù):將待發(fā)數(shù)據(jù)經(jīng)由SSL加密后,寫入到FS8610的FIFO中,由FS8610自動將數(shù)據(jù)發(fā)送出去;接收時相反,F(xiàn)S8610將接收到加密的數(shù)據(jù),傳遞給SSL協(xié)議,由SSL協(xié)議解密后,傳遞給高端客戶端。
[0025]上述建立SSL連接發(fā)送數(shù)據(jù)(53 )步驟具體為:
[0026](61)調(diào)用 OpenSSL 提供的函數(shù) SSL_Library_init O 初始化 SSL 環(huán)境;
[0027](62)調(diào)用SSL_CTXnew O創(chuàng)建SSL會話環(huán)境,在會話環(huán)境創(chuàng)建成功后,調(diào)用函數(shù)SL_CTX_set_verify O設(shè)置SSL握手階段證書的驗(yàn)證方式,然后調(diào)用SL_CTX_usecertificate_file O 加載客戶端的數(shù)字證書,調(diào)用 SSL_CTX_use_Pr ivateKey_f ile ()加載客戶端的私鑰;
[0028](63)建立SSL套接字,可使用的函數(shù)有:
[0029]SSL*SSL_new O ; // 申請一個 SSL 套接字
[0030]int SSL_setfd() ;//綁定讀寫套接字
[0031]int SSL_set_rfd() ;/綁定只讀套接字
[0032]int SSL_set_wfd() ;// 綁定只寫套接字;
[0033](64)調(diào)用SSL_Connect O和SSL_Accept O函數(shù)建立SSL握手,完成握手后調(diào)用函數(shù) X509*SSL_get_peer_ceitificate O 詢問對方的證書信息;
[0034](65)調(diào)用函數(shù)SSL_read()和SSL_write()來進(jìn)行對套接字的操作;
[0035](66)完成數(shù)據(jù)傳輸后調(diào)用函數(shù)SSL_shutdown O關(guān)閉連接,用函數(shù)SSL_free O和SSL_CTX_free O釋放SSL套接字和會話環(huán)境。
[0036]SSL在TCP/IP協(xié)議簇中處于運(yùn)輸層和高層協(xié)議之間,SSL提供的安全機(jī)制可以保證應(yīng)用層數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)傳輸不被監(jiān)聽,偽造和竄改。
[0037]如圖4所示,系統(tǒng)工作時,將待發(fā)數(shù)據(jù)經(jīng)由SSL加密后,寫入到FS8610的FIFO中,由FS8610自動將數(shù)據(jù)發(fā)送出去;接收時相反,F(xiàn)S8610將接收到加密的數(shù)據(jù),傳遞給SSL協(xié)議,由SSL協(xié)議解密后,傳遞給高端客戶端。網(wǎng)絡(luò)數(shù)據(jù)在傳輸過程中,經(jīng)由SSL加密,從而避免數(shù)據(jù)被外界獲取或篡改。
[0038]本發(fā)明采用軟硬結(jié)合的技術(shù)方案一網(wǎng)絡(luò)控制芯片和SSL協(xié)議棧。在聯(lián)網(wǎng)上,利用網(wǎng)絡(luò)控制芯片F(xiàn)S8610的高運(yùn)行速度和可靠性,避免復(fù)雜TCP/IP協(xié)議棧帶來的不穩(wěn)定因素;安全上,使用高安全性的SSL協(xié)議,達(dá)到數(shù)據(jù)加密目的。
【權(quán)利要求】
1.一種基于SSL加密協(xié)議的網(wǎng)絡(luò)終端安全設(shè)備,其特征在于:包括一與存儲器相連的網(wǎng)絡(luò)控制芯片和一以太網(wǎng)接入芯片,所述網(wǎng)絡(luò)控制芯片通過所述以太網(wǎng)接入芯片接入以太網(wǎng);所述存儲器用于存放用戶數(shù)據(jù),所述網(wǎng)絡(luò)控制芯片用于對用戶數(shù)據(jù)實(shí)現(xiàn)SSL數(shù)據(jù)加密和建立SSL連接發(fā)送數(shù)據(jù),所述以太網(wǎng)接入芯片用于連接網(wǎng)絡(luò)控制芯片和以太網(wǎng),傳輸加密后的數(shù)據(jù)。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)終端安全設(shè)備,其特征在于:所述網(wǎng)絡(luò)控制芯片為FS8610。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)終端安全設(shè)備,其特征在于:所述以太網(wǎng)接入芯片為RTL820。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)終端安全設(shè)備,其特征在于:所述以太網(wǎng)接入芯片通過RJ45接口與以太網(wǎng)連接。
5.一種基于SSL加密協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)終端安全的方法,其特征在于,包括如下步驟: 51)獲取用戶數(shù)據(jù); 52)SSL數(shù)據(jù)加密; 53)建立SSL連接發(fā)送數(shù)據(jù)。
6.根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)網(wǎng)絡(luò)終端安全的方法,其特征在于,所述建立SSL連接發(fā)送數(shù)據(jù)(53)步驟具體為: (61)調(diào)用OpenSSL提供的函數(shù)SSL_Library_initO初始化SSL環(huán)境; (62)調(diào)用SSL_CTXnew()創(chuàng)建SSL會話環(huán)境,在會話環(huán)境創(chuàng)建成功后,調(diào)用函數(shù)SL_CTX_set_verify O設(shè)置SSL握手階段證書的驗(yàn)證方式,然后調(diào)用SL_CTX_usecertificate_file O加載客戶端的數(shù)字證書,調(diào)用SSL_CTX_use_Pr ivateKey_file O加載客戶端的私鑰; (63)建立SSL套接字,可使用的函數(shù)有: SSL*SSL_new() ;// 申請一個 SSL 套接字 int SSL_setfd() ;//綁定讀寫套接字 int SSL_set_rfdO ;/綁定只讀套接字 int SSL_set_wfdO ;//綁定只寫套接字; (64)調(diào)用SSL_Connect()和SSL_AcceptO函數(shù)建立SSL握手,完成握手后調(diào)用函數(shù)X509*SSL_get_peer_ceitificate O 詢問對方的證書信息; (65)調(diào)用函數(shù)SSL_read()和SSL_write()來進(jìn)行對套接字的操作; (66)完成數(shù)據(jù)傳輸后調(diào)用函數(shù)SSL_shutd0Wn()關(guān)閉連接,用函數(shù)SSL_freeO和SSL_CTX_free O釋放SSL套接字和會話環(huán)境。
【文檔編號】H04L29/06GK104135462SQ201310166153
【公開日】2014年11月5日 申請日期:2013年5月5日 優(yōu)先權(quán)日:2013年5月5日
【發(fā)明者】李千目, 高雙雙, 侯君 申請人:南京理工大學(xué)連云港研究院