(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210922258.1 (22)申请日 2022.08.02 (71)申请人 天津光电聚 能专用通信设备有限公 司 地址 300202 天津市河西区泰山路6号 (72)发明人 袁静　苏锦秀　吴淑艳　 (74)专利代理 机构 天津市北洋 有限责任专利代 理事务所 12 201 专利代理师 李丽萍 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种加密、 解密的网络传输方法及设备 (57)摘要 本发明公开了一种加密、 解密的网络传输方 法及设备， 采用一台服务器与多个PAD连接的方 式， 服务器与 PAD端都装有相同的加密模块。 加密 模块采用红黑隔离电源的思路进行设计。 加密模 块包括USB网卡模块、 FPGA、 内网CPU与外网CPU； 加密模块需通过认证介质进行开机认证， 认证成 功后外网CP U的wifi模块主动地与其它设备建立 连接， 连接成功后双方进行密钥协商， 协商出共 有的会话密钥， 会话密钥生 成后便可进行网络数 据收发； 发送端将报文发送到加密模块， 加密模 块通过FPGA加密整个报文， 将加密后的密文发送 到接收端， 接收端的加密模块接收后， 通过FPGA 解密报文， 将明文返回到接收主机。 因此无线网 内核心数据全为密文， 保证了数据通路的安全可 靠性。 权利要求书3页 说明书7页 附图5页 CN 115442030 A 2022.12.06 CN 115442030 A 1.一种加密、 解密的网络传输设备， 包括服务器端和若干PAD终端， 其特征在于， 所述服 务器端与PAD终端分别配备有用于内外网隔离的加密模块， 采用无线VPN技术， 构建一个无 线VPN系统， 形成数据隧道； 所述加密模块包括USB网卡模块、 FP GA模块、 电源模块、 与内网相连的内网CPU和与外网 相连的外网CPU； 所述的USB网卡模块实现服务器端或是PAD终端与FPGA模块的数据交换； 所 述的FPGA模块用以协 议报文解析、 数据转发和商密算法的实现； 所述商密算法采用AES对称 算法， 所述内网CPU和外网CPU与FPGA模块之间均采用SDIO接口连接， 所述内网CPU用于配置 管理、 开机认证与密钥 信息管理， 所述外网CPU带有w ifi模块； 所述加密模块配备有认证介质； 所述的服务器端与其配备的加密模块中： 所述服务器端与加密模块通过USB网卡模块 连接， 所述服务器端传出 的网络报文通过其配备 的加密模块进行报文加密， 网络报文加密 后， 外网CPU通过网线 连接无线AP发送数据； 同时， 从外网CPU接收到的网络数据通过加密模 块进行解密， 将解密后的明文数据发送到服 务器端； 所述的PAD终端与其配备的加密模块中： 所述的PAD终端拆 除所有的无线接口， 仅通过 WIFI模块传输数据， PAD终端与加密模块通过与所述的USB网卡模块连接， 所述PAD端传出的 网络报文通过其配备的加密模块进行报文加密， 网络报文加密后， 通过wifi模块发送至外 网； 同时， 从wifi模块接收到的网络报文， 通过加密模块进行解密， 解密后将明文数据发送 到PAD终端。 2.根据权利要求1所述的网络传输设备， 其特 征在于， 所述USB网卡模块采用PH Y芯片。 3.一种加密、 解密的网络传输方法， 其特征在于， 利用权利要求1或2所述的网络传输设 备， 在整个传输过程不解析网络数据包的核心数据部 分， 在外网的传输过程中， 核心信息全 部加密； 该网络传输方法包括： 步骤一、 所述的加密模块通过认证介质验证密钥分量， 验证通过， 加密模块正常运行， 其中， 认证介质具有防复制功能； 步骤二、 工作密钥信息从服务器端或是PAD终端通过其配备的加密模块的USB网卡模块 发送到FPGA模块， FPGA模块解析报文， 转发报文至内网CPU， 内网CPU解析工作密钥Wkey； 调 用FPGA模块内的AES算法， 使用设备密钥R加密工作密钥Wkey， 将工作密钥密文保存在内网 CPU中； 步骤三、 所述服务器端配备的加密模块为主设备， PAD终端配备的加密模块为从设备以 一对多的传输方式通过TCP连接方式将主设备与所有从设备之间建立连接； 步骤四、 建立连接后， 主设备与从设备双方进行密钥协商， 协商出一个共有的密钥作为 会话密钥， 用于数据报文加/解密的传输； 步骤五、 网络报文传输， 传输过程中， 所述的主设备与从设备， 其中发送方进行加密， 接 收方进行解密。 4.根据权利要求3所述的网络传输方法， 其特 征在于， 步骤一的具体内容是： 所述的认证介质存有设备密钥分量R1， 所述内网CPU存有设备密钥分量R2和设备密钥 分量Rc， 所述的设备密钥分量Rc为16 字节随机数ram与CRC(ram)的密文； 所述认证介质接入加密模块， 电源模块给加密模块上电后， 内网CPU读取认证介质中的 设备密钥分量R1和FLASH中的设备密钥分量R2， 生成设备密钥R， R＝R1xorR2； 内网CPU通过权　利　要　求　书 1/3 页 2 CN 115442030 A 2SDIO接口调用FPGA模块内的AES算法对设备密钥分量Rc进行解密， 运算后检测解密的明文 是否满足ram| |CRC(ram)格式， 满足的话， 则成功生成设备密钥R， 加密模块 正常开机； 开机认证成功后， 内网CPU重新获取32字节随机数， 前16字节为更新后的设备密钥分量 R1， 后16字节作为设备密钥分量R3， 重新计算设备密钥R， R＝R1xorR2； 重新计算设备密钥分 量Rc， Rc为R3||CRC(R3)的密文， 将重新计算的设备密钥分量Rc存储在内网CPU中， 将更新后 的设备密钥分量R1重新写入认证介质， 作为下次开机认证， 从而使每次开机时认证介质中 的设备密钥分量R 1和内网CPU存 储的设备密钥分量Rc不同。 5.根据权利要求3所述的网络传输方法， 其特征在于， 步骤二中， 所述加密模块的每次 上电后， 通过FPGA模块中AES算法， 使用设备密钥R解密工作密钥Wkey， 将解密后的工作密钥 Wkey发送到FPGA模块用于密钥协商运算； 当设备密钥分量R1、 设备密钥分量Rc更新时， 使用 重新生成的设备密钥R重新加密工作密钥W key， 更新FLASH中存 储的工作密钥密文 文件。 6.根据权利要求3所述的网络传输方法， 其特征在于， 步骤三中， 所述主设备上电后， 主 设备的外网CPU开启TCP连接请求方式等待从设备的连接， 从设备的外网CPU开启TCP连接方 式主动连接主设备； 所述主设备成功连接到一个从设备后， 获取该从设备的IP地址信息， 将 IP地址信息通过SDIO接口发送到主设备的FPGA模块； FPGA模块接收到报文解析报文， 将报 文转发到内网CPU， 内网CPU解析后， 保存地址信息， 随后， 发起密钥协商操作。 7.根据权利要求3所述的网络传输方法， 其特 征在于， 步骤四的具体内容是： 主设备中： 内网CPU获取16字节随机数Wka， 将随机数Wka通过SDIO接口发送到FPGA模 块， FPGA模块调用AES算法加密该Wka， 密钥使用工作密钥Wkey， 加密结果记为Wkac； 内网CPU 封装Wkac协商报文并通过FPGA模块将协商报文发送到外网CPU， 外网CPU发送Wkac报文到与 之建立的从设备中； 该从设备中： 外网CPU接收到报文， 外网CPU发送报文到FPGA模块， FPGA模块解析报文为 会话协商， 调用FPGA模块的AES算法解密所述的Wkac， 密钥使用工作密钥 Wkey， 解密后获得 Wka， FPGA模块将该Wka发送到内网CPU， 内网CPU保存该Wka； 内网CPU获取16字节的随机数 Wkb， 通过SDIO接口将该Wkb发送到FPGA模块， FPGA模块使用工作密钥Wkey调用AES算法加密 该Wkb， 获得密文Wkbc， 加密运算成功后返回密文到内网CPU， 内网CPU封装Wkbc协商报文并 通过FPGA模块将协商报文发送到 外网CPU， 外网CPU发送报文W kbc到主设备； 主设备的外网CPU接收报文Wkbc后发送到FPGA模块， FPGA模块解析报文为会话协商， 调 用FPGA模块的AES算法解密Wkbc， 解密结果为所述的Wkb， FPGA模块将该Wkb发送到内网CPU， 内网CPU合成会话密钥 Wk， Wk＝WkaxorWkb， 并根据与该主设备相连的从设备的目的地址建 立会话密钥与连接 设备地址的映射关系； 当主设备与从设备连接断开时， 内网CPU主动清除 会话密钥Wk； 会话密钥生 成后通知从设备密钥生 成， 从设备接收后合成所述的会话密钥Wk， 协商结束。 8.根据权利要求7所述的网络传输方法， 其特征在于， 会话密钥在每次设备连接时创 建， 保证每个连接的设备会话密钥不同， 主设备存 储所有连接的从设备的会话密钥 信息。 9.根据权利要求7 所述的网络传输方法， 其特 征在于， 步骤五的具体内容是： 会话协商完成后， 主设备和从设备之间进行网络通信， 其中： 服务器端到PAD终端的网络数据传输过程是： 服务器端发送网络报文到主设备， 主设备 的FPGA模块接收报文， 通过SDIO转发报文到内网CPU， 内网CPU解析报文， 解析出为网络报权　利　要　求