[发明专利]一种基于IPSec的移动通信安全通信方法及装置

说明书

本发明公开了一种基于IPSec的移动通信安全装置和方法，实现通过该移动通信安全装置对处于外网的移动终端设备端发送的上行用户数据报文进行强制加密，对接收的下行用户数据报文进行强制解密，IPSec加解密时不会占用移动终端设备的CPU资源。移动通信安全装置与公用网络直连，移动终端设备端发送和接收的报文都将经过移动通信安全装置，与现有技术相比，移动通信安全装置的特性决定了它是一款安全、高效的移动通信安全装置，分担移动终端设备的CPU资源成本，只充当报文转发的角色；同时实现了符合国密标准的基于数字证书认证的IPSec VPN通信，协商过程和IPSec加密的算法都是由我国自主研究发布的，具有较高的实用价值。

技术领域

本发明涉及网络信息安全技术领域，尤其涉及一种基于IPSec的移动通信安全通信方法及装置。

背景技术

IPSec(Internet Protocol Security，互联网协议安全性)是应用于IP层上网络数据安全的一套安全协议族，它由多种安全协议构成，主要包括AH (AuthenticationHeader，网络认证协议)协议、ESP(Encapsulating Security Payload，封装安全荷载协议)协议、IKE(Internet Key Exchange，互联网密钥交换协议)和加解密、认证等实现策略。

IPSec VPN(Virtual Private Network，虚拟专用网络)是使用IPSec协议来实现远程安全通信的一种VPN技术，在公用网络上搭建两个专用网络的安全通信通道，提供端对端的认证和加密服务。

现有技术中，处于公用网络的移动终端设备(Mobile Terminal Equipment，MTE)与介于内部网络和公用网络之间的中心服务器(Central Server，CS)建立IPSec VPN，可以实现内部网络计算机(Intranet Computer，INC)与MTE之间的安全通信，MTE在发送上行用户数据报文和接收下行用户数据报文时，使用IPSec技术对上行报文进行加密、对下行报文进行解密，而在CS侧，则使用IPSec技术对上行报文进行解密、对下行报文进行加密，所以用户数据可以安全地在该虚拟专用网络通道中传输。

然而，现有技术在使用IPSec加解密时会占用MTE的CPU资源，且没有从硬件层面上考虑用户数据与公用网络严格的安全隔离。

因此，有必要在此基础上，构建的一个新的基于IPSec的移动通信安全通信方法及装置，以解决上述技术问题。

发明内容

本发明的主要目的在于提供一种基于IPSec的移动通信安全通信方法及装置，以解决上述的技术问题。

为实现上述目的，本发明提供的一种基于IPSec的移动通信安全通信装置，包括密钥模块、外网模块、内网模块以及密码模块；其中，

虚拟内网模块，用于建立所述移动通信安全通信装置与移动终端设备之间的通信，并在所述移动终端设备与所述密码模块之间接收和转发数据；

外网模块，用于将所述移动通信安全通信装置接入外网，并在所述密码模块以及中心服务器之间接收和转发数据；其中，所述中心服务器连接在内网与所述外网之间，所述中心服务器通过所述内网连接内网计算机设备，以实现所述内网计算机设备与外网的通信；

密钥模块，用于与所述移动通信安全通信装置进行通信的对端进行互联网密钥交换协议的协商；

密码模块，用于根据所述密钥模块的协商结果，对需要进行传输的数据进行IPSec签名和加密、或者进行认证和解密。

进一步的，所述密钥模块预置了IKE协商阶段用到的证书、支持国密X.509格式双证书，签名证书支持使用SM2作为数字签名算法，加密证书支持使用SM3作为哈希算法。