專利名稱:保證安全聯(lián)盟信息安全的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊領(lǐng)域,尤其涉及一種保證SA(安全聯(lián)盟)信息安全的方法和裝置。
背景技術(shù):
我國的互聯(lián)網(wǎng),在國家大力倡導(dǎo)和積極推動下,在經(jīng)濟建設(shè)和各項事業(yè)中得到日益廣泛的應(yīng)用,使人們的生產(chǎn)、工作、學習和生活方式已經(jīng)開始并將繼續(xù)發(fā)生深刻的變化,同時,如何保障互聯(lián)網(wǎng)的運行安全和信息安全問題已經(jīng)引起全社會的普遍關(guān)注。
隨著越來越多的互聯(lián)網(wǎng)用戶認識到網(wǎng)絡(luò)安全的重要性,安全特性逐漸成為通信設(shè)備的必備特性之一?,F(xiàn)有技術(shù)中,一種常用的網(wǎng)絡(luò)安全解決方案示意圖如圖1所示。在該方案中,采用NSP(網(wǎng)絡(luò)安全處理器)芯片作為網(wǎng)絡(luò)CPU(中央處理器)的協(xié)處理器,NSP輔助CPU完成安全協(xié)議處理和加密解密等安全處理操作,下面簡單介紹一下該方案的具體處理流程,包括如下過程1、CPU根據(jù)SA索引,通過系統(tǒng)總線把包括加解密密鑰等信息的SA(安全聯(lián)盟)明文信息下發(fā)到NSP附屬的SA_SDRAM(NSP芯片附屬的用于存儲安全關(guān)聯(lián)的存儲器)中,SA_SDRAM把該SA明文信息在相應(yīng)地址中進行存儲。
2、當需要對報文進行安全性處理時,CPU把待處理的報文和對應(yīng)的SA索引下發(fā)到NSP芯片中。
3、NSP首先根據(jù)SA索引,去SA_SDRAM讀取相應(yīng)的SA明文數(shù)據(jù),得到加解密密鑰等相關(guān)信息。
4、NSP根據(jù)獲得的SA明文信息,對待處理的報文進行加解密和安全協(xié)議處理等安全處理操作,然后,把處理后報文上傳到CPU,把更新后的SA明文信息回寫到SA_SDRAM中。
上面所述現(xiàn)有技術(shù)的解決方案的缺點為保護網(wǎng)絡(luò)安全的關(guān)鍵信息SA信息以明文的方式在系統(tǒng)總線上傳輸,在傳輸過程中可能被竊??;SA還以明文的方式存儲在本地SDRAM中,惡意攻擊者可以通過系統(tǒng)總線或讀取SA_SDRAM竊取SA信息。總之,該方案中SA信息容易被攻擊者竊取,網(wǎng)絡(luò)安全性比較低。
發(fā)明內(nèi)容
鑒于上述現(xiàn)有技術(shù)所存在的問題,本發(fā)明的目的是提供一種保證SA信息安全的方法和裝置,從而可以有效地保證SA信息的安全,提高網(wǎng)絡(luò)安全性。
本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的一種保證安全聯(lián)盟信息安全的裝置,包括中央處理器用于和加密芯片通過密鑰交換算法協(xié)商得到共享密鑰,利用該共享密鑰和對稱加密算法對安全聯(lián)盟SA信息進行加密,并將SA密文信息傳遞給加密芯片;加密芯片用于和中央處理器通過密鑰交換算法協(xié)商得到共享密鑰,利用該共享密鑰和對稱加密算法對保存的SA密文信息進行解密得到SA明文信息,并利用該SA明文信息對報文進行安全處理。
所述的中央處理器具體包括密鑰生成模塊用于和加密芯片中的密鑰生成模塊通過D-H密鑰交換算法協(xié)商獲得共享密鑰,并將生成的共享密鑰保存在其附屬內(nèi)存中,同時傳遞給加解密處理模塊;加解密處理模塊用于根據(jù)接收到的共享密鑰通過對稱加密算法對SA信息進行加密,并將SA密文信息和SA索引通過系統(tǒng)總線傳遞給加密芯片;報文發(fā)送和接收模塊用于將待處理的報文和SA索引發(fā)送給加密芯片,并接收加密芯片處理后的報文。
所述的加密芯片具體包括密鑰生成模塊用于和中央處理器中的密鑰生成模塊通過密鑰交換算法協(xié)商獲得共享密鑰,并將生成的共享密鑰保存在芯片內(nèi)部,同時傳遞給加解密處理模塊;加解密和報文處理模塊用于根據(jù)接收到的SA索引從安全聯(lián)盟保存模塊中獲得SA密文信息,利用共享密鑰通過對稱加密算法對SA密文信息進行解密得到SA明文信息,利用SA明文信息對接收的報文進行安全處理操作,然后對更新后的SA明文信息進行加密并傳遞給安全聯(lián)盟保存模塊;安全聯(lián)盟保存模塊用于接受中央處理器和加解密處理模塊傳遞過來的SA密文信息,根據(jù)SA索引將接收的SA密文信息進行保存。
一種基于上面所述裝置的保證安全聯(lián)盟信息安全的方法,包括A、CPU和加密芯片通過密鑰交換算法協(xié)商得到共享密鑰;B、CPU和所述加密芯片利用所述共享密鑰,通過對稱加密算法對SA信息進行加解密操作。
所述的步驟A還包括CPU和加密芯片將得到的共享密鑰保存在其芯片內(nèi)部。
所述的密鑰交換算法包括D-H密鑰交換算法,并且CPU和加密芯片通過系統(tǒng)總線傳遞該D-H密鑰交換算法的全局公開的參數(shù)。
所述的步驟B具體包括B1、CPU利用對稱加密算法和所述共享密鑰對SA信息進行加密,并將得到的SA密文信息和SA索引傳遞給加密芯片;B2、加密芯片利用對稱加密算法和所述共享密鑰對SA密文信息進行解密,得到SA明文信息。
所述的對稱加密算法包括高級數(shù)據(jù)加密標準算法AES或數(shù)據(jù)加密標準DES。
所述的步驟B1還包括加密芯片根據(jù)接收到的SA索引,將得到的SA密文信息保存在其內(nèi)部相應(yīng)地址中。
所述的步驟B2具體包括B21、CPU把待處理的報文和SA索引通過系統(tǒng)總線傳遞給加密芯片;B22、加密芯片根據(jù)接收到SA索引,查找得到相應(yīng)的SA密文信息,利用對稱加密算法和所述共享密鑰對SA密文信息進行解密,得到SA明文信息。
所述的步驟B22還包括加密芯片利用得到的SA明文信息對接收到的報文進行安全處理操作,把處理后的報文傳遞給CPU,并利用對稱加密算法和共享密鑰加密更新后的SA明文信息,并將獲得的SA密文信息重新進行保存。
由上述本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明和現(xiàn)有技術(shù)相比,具有如下優(yōu)點本發(fā)明在系統(tǒng)總線上只傳輸SA的密文,可以防止攻擊者通過系統(tǒng)總線探測SA信息;在SA_SDRAM中只存儲SA的密文,可以防止攻擊者通過讀取SA_SDRAM探測SA信息;通過協(xié)商的方式得到CPU,NSP的共享加解密密鑰,密鑰只存在于NSP芯片內(nèi)部,密鑰不出現(xiàn)在系統(tǒng)總線上,可以保證SA密文不被破譯。總之,本發(fā)明可以有效地保證SA信息的安全,提高網(wǎng)絡(luò)安全性。
圖1為現(xiàn)有技術(shù)中一種常用的網(wǎng)絡(luò)安全解決方案示意圖;圖2為本發(fā)明所述方法的具體處理流程圖;圖3為本發(fā)明所述裝置的結(jié)構(gòu)圖。
具體實施例方式
本發(fā)明提供了一種保證安全聯(lián)盟信息安全的方法和裝置。本發(fā)明的核心為利用共享密鑰對SA信息進行加密存放和傳輸,密鑰只存在于加密芯片內(nèi)部,不出現(xiàn)在系統(tǒng)總線上,保證了SA信息的安全。
下面結(jié)合附圖來詳細描述本發(fā)明,本發(fā)明所述方法的具體處理流程如圖1所示。包括如下步驟步驟2-1、CPU和加密芯片通過D-H密鑰交換算法協(xié)商得到共享密鑰。
下面我們首先介紹一下D-H(一種密鑰交換算法)密鑰交換算法。
D-H密鑰交換算法可以使兩個用戶能安全地交換一個共享密鑰,以便于以后的報文加密。D-H密鑰交換算法的安全性依賴于計算離散對數(shù)的難度。
D-H密鑰交換算法首先需要選擇兩個全局公開的參數(shù)1、參數(shù)q,q為一個素數(shù);2、參數(shù)a,a<q,a是q的一個原根。
然后需要進行密鑰交換的兩個用戶用戶A、用戶B分別產(chǎn)生共享密鑰,具體產(chǎn)生共享密鑰的過程如下用戶A密鑰產(chǎn)生1、選擇一個私有的隨即數(shù)XA,XA<q;2、根據(jù)XA和全局公開的參數(shù),產(chǎn)生一個公開的YA,YA=aXAmod q。
然后用戶A將公開的YA傳遞給用戶B。
用戶B密鑰產(chǎn)生1、選擇一個私有的隨即數(shù)XB,XB<q;
2、根據(jù)XA和全局公開的參數(shù),產(chǎn)生一個公開的YB,YB=aXBmod q。
然后用戶B將公開的YB傳遞給用戶A。
最后,用戶A根據(jù)接收到的YB,產(chǎn)生秘密密鑰為K=Y(jié)BXAmod q;用戶B根據(jù)接收到的YA,產(chǎn)生秘密密鑰為 K=Y(jié)AXBmod q。
因為YBXA=aXB*XA=aXA*XB=Y(jié)AXB。因此,用戶A和用戶B產(chǎn)生的秘密密鑰K是相同的,K即為用戶A和用戶B的共享加解密密鑰。
于是,利用系統(tǒng)CPU輔助完成上述操作,CPU首先確定D-H密鑰交換算法的兩個全局公開的參數(shù)q和a,通過系統(tǒng)總線將q和a傳遞給加密芯片。然后,CPU和加密芯片通過上面所述的D-H密鑰交換算法,協(xié)商得到一個共享密鑰,并將該共享密鑰存儲在CPU和加密芯片的內(nèi)部。所述加密芯片可以通過NSP來實現(xiàn)。
步驟2-2、CPU利用對稱加密算法和共享密鑰把SA信息加密,并根據(jù)SA索引把SA密文信息下發(fā)到加密芯片中。
我們首先介紹一下對稱加密算法,對稱加密算法包括AES(高級數(shù)據(jù)加密標準算法),DES(數(shù)據(jù)加密標準)等加密算法,使用對稱加密算法可以對一個數(shù)據(jù)分組進行加密,把明文變?yōu)槊芪摹T诮饷軙r只有使用與加密時相同的密鑰才能把密文恢復(fù)成原有明文。因此,利用對稱加密算法可以達到保密數(shù)據(jù)的目的。
CPU利用選擇的對稱加密算法,比如AES,和步驟2-1產(chǎn)生的共享密鑰把SA信息加密,并根據(jù)SA索引,通過系統(tǒng)總線把SA密文信息下發(fā)到加密芯片中。
步驟2-3、CPU把待處理的報文和對應(yīng)的SA索引下發(fā)到加密芯片中。
當需要對報文進行安全性處理時,CPU把待處理的報文和對應(yīng)的SA索引通過系統(tǒng)總線下發(fā)到加密芯片中。
步驟2-4、加密芯片根據(jù)SA索引讀取SA密文數(shù)據(jù),并進行解密得到SA明文信息。
加密芯片根據(jù)接收到的SA索引讀取SA密文數(shù)據(jù),并利用選擇的對稱加密算法和步驟2-1產(chǎn)生的共享密鑰解密讀取的SA密文數(shù)據(jù),得到SA明文信息。
步驟2-5、加密芯片根據(jù)SA明文信息,處理對應(yīng)報文,生成更新后的SA信息。
加密芯片根據(jù)獲得的SA明文信息,對待處理的報文進行加解密和安全協(xié)議處理等安全處理操作,同時生成更新后的SA信息,然后,把經(jīng)過處理的報文通過系統(tǒng)總線上傳到CPU。
步驟2-6、加密芯片利用對稱加密算法和共享密鑰加密更新后的SA信息,得到SA密文信息,并將獲得的SA密文信息重新進行保存。
加密芯片在對報文進行安全處理操作后,利用對稱加密算法和共享密鑰加密更新后的SA信息,得到SA密文信息,并將獲得的SA密文信息重新存儲。
總之,利用本發(fā)明所述方法可以有效地保護SA信息的安全,利用SA信息對報文進行安全處理操作。
本發(fā)明所述裝置的結(jié)構(gòu)圖如圖3所示,包括如下模塊中央處理器在原有功能基礎(chǔ)上,增加如下功能用于和加密芯片中的密鑰生成模塊通過密鑰交換算法協(xié)商獲得共享密鑰,利用該共享密鑰對SA信息進行加密,并將SA密文信息傳遞給加密芯片,中央處理器還將待處理的報文和SA索引發(fā)送給加密芯片,并接收加密芯片處理后的報文。中央處理器增加的功能模塊,包括密鑰生成模塊、加解密處理模塊和報文發(fā)送和接收模塊。
其中,密鑰生成模塊用于和加密芯片中的密鑰生成模塊通過D-H密鑰交換算法協(xié)商獲得共享密鑰,在生成共享密鑰的過程中和加密芯片通過系統(tǒng)總線傳遞公開參數(shù)。然后,將生成的共享密鑰保存在其附屬的內(nèi)存中,同時傳遞給加解密處理模塊。
其中,加解密處理模塊用于根據(jù)接收到的共享密鑰和選擇的對稱加密算法,對SA信息進行加密,并將SA密文信息和SA索引通過系統(tǒng)總線傳遞給加密芯片。
其中,報文處理模塊用于將待處理的報文和SA索引發(fā)送給加密芯片,并接收加密芯片處理后的報文。
上述中央處理器增加的功能是通過軟件來實現(xiàn)的。
加密芯片用于保存SA密文信息,和中央處理器中的密鑰生成模塊通過D-H密鑰交換算法協(xié)商獲得共享密鑰,利用該共享密鑰對SA信息進行解密得到SA明文信息,利用SA明文信息對接收的報文進行安全處理操作,并將處理后的報文傳遞給中央處理器,然后對更新后的SA明文信息進行加密并傳遞給安全聯(lián)盟保存模塊。加密芯片包括密鑰生成模塊、加解密處理模塊、安全聯(lián)盟保存模塊。
其中,密鑰生成模塊用于和中央處理器中的密鑰生成模塊通過D-H密鑰交換算法協(xié)商獲得共享密鑰,在生成共享密鑰的過程中和中央處理器通過系統(tǒng)總線傳遞公開參數(shù)。然后,將生成的共享密鑰保存在其內(nèi)部的芯片中,同時傳遞給加解密處理模塊。
其中,加解密和報文處理模塊用于根據(jù)接收到的SA索引從安全聯(lián)盟保存模塊中獲得SA密文信息,然后利用共享密鑰和選擇的對稱加密算法對SA密文信息進行解密得到SA明文信息,利用SA明文信息對接收的報文進行安全處理操作,并將處理后的報文通過系統(tǒng)總線傳遞給中央處理器。并利用共享密鑰和選擇的對稱加密算法對更新后的SA明文信息進行加密,根據(jù)SA索引將更新后的SA密文信息傳遞給安全聯(lián)盟保存模塊。
其中,安全聯(lián)盟保存模塊用于接受中央處理器和加解密處理模塊傳遞過來的SA密文信息,根據(jù)SA索引將接收的SA密文信息進行保存。
所述加密芯片中的密鑰生成模塊、加解密處理模塊和安全聯(lián)盟保存模塊是通過硬件來實現(xiàn)的。
所述加密芯片可以通過對NSP進行適當?shù)母倪M來實現(xiàn),所述安全聯(lián)盟保存模塊可以通過SA_SDRAM來實現(xiàn)。
以上所述,僅為本發(fā)明較佳的具體實施方式
,但本發(fā)明的保護范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求的保護范圍為準。
權(quán)利要求
1.一種保證安全聯(lián)盟信息安全的裝置,其特征在于,包括中央處理器用于和加密芯片通過密鑰交換算法協(xié)商得到共享密鑰,利用該共享密鑰和對稱加密算法對安全聯(lián)盟SA信息進行加密,并將SA密文信息傳遞給加密芯片;加密芯片用于和中央處理器通過密鑰交換算法協(xié)商得到共享密鑰,利用該共享密鑰和對稱加密算法對保存的SA密文信息進行解密得到SA明文信息,并利用該SA明文信息對報文進行安全處理。
2.根據(jù)權(quán)利要求1所述保證安全聯(lián)盟信息安全的裝置,其特征在于,所述的中央處理器具體包括密鑰生成模塊用于和加密芯片中的密鑰生成模塊通過D-H密鑰交換算法協(xié)商獲得共享密鑰,并將生成的共享密鑰保存在其附屬內(nèi)存中,同時傳遞給加解密處理模塊;加解密處理模塊用于根據(jù)接收到的共享密鑰通過對稱加密算法對SA信息進行加密,并將SA密文信息和SA索引通過系統(tǒng)總線傳遞給加密芯片;報文發(fā)送和接收模塊用于將待處理的報文和SA索引發(fā)送給加密芯片,并接收加密芯片處理后的報文。
3.根據(jù)權(quán)利要求1或2所述保證安全聯(lián)盟信息安全的裝置,其特征在于,所述的加密芯片具體包括密鑰生成模塊用于和中央處理器中的密鑰生成模塊通過密鑰交換算法協(xié)商獲得共享密鑰,并將生成的共享密鑰保存在芯片內(nèi)部,同時傳遞給加解密處理模塊;加解密和報文處理模塊用于根據(jù)接收到的SA索引從安全聯(lián)盟保存模塊中獲得SA密文信息,利用共享密鑰通過對稱加密算法對SA密文信息進行解密得到SA明文信息,利用SA明文信息對接收的報文進行安全處理操作,然后對更新后的SA明文信息進行加密并傳遞給安全聯(lián)盟保存模塊;安全聯(lián)盟保存模塊用于接受中央處理器和加解密處理模塊傳遞過來的SA密文信息,根據(jù)SA索引將接收的SA密文信息進行保存。
4.一種基于上面所述裝置的保證安全聯(lián)盟信息安全的方法,其特征在于,包括A、CPU和加密芯片通過密鑰交換算法協(xié)商得到共享密鑰;B、CPU和所述加密芯片利用所述共享密鑰,通過對稱加密算法對SA信息進行加解密操作。
5.根據(jù)權(quán)利要求4所述保證安全聯(lián)盟信息安全的方法,其特征在于,所述的步驟A還包括CPU和加密芯片將得到的共享密鑰保存在其芯片內(nèi)部。
6.根據(jù)權(quán)利要求5所述保證安全聯(lián)盟信息安全的方法,其特征在于,所述的密鑰交換算法包括D-H密鑰交換算法,并且CPU和加密芯片通過系統(tǒng)總線傳遞該D-H密鑰交換算法的全局公開的參數(shù)。
7.根據(jù)權(quán)利要求4、5或6所述保證安全聯(lián)盟信息安全的方法,其特征在于,所述的步驟B具體包括B1、CPU利用對稱加密算法和所述共享密鑰對SA信息進行加密,并將得到的SA密文信息和SA索引傳遞給加密芯片;B2、加密芯片利用對稱加密算法和所述共享密鑰對SA密文信息進行解密,得到SA明文信息。
8.根據(jù)權(quán)利要求7所述保證安全聯(lián)盟信息安全的方法,其特征在于,所述的對稱加密算法包括高級數(shù)據(jù)加密標準算法AES或數(shù)據(jù)加密標準DES。
9.根據(jù)權(quán)利要求7所述保證安全聯(lián)盟信息安全的方法,其特征在于,所述的步驟B1還包括加密芯片根據(jù)接收到的SA索引,將得到的SA密文信息保存在其內(nèi)部相應(yīng)地址中。
10.根據(jù)權(quán)利要求9所述保證安全聯(lián)盟信息安全的方法,其特征在于,所述的步驟B2具體包括B21、CPU把待處理的報文和SA索引通過系統(tǒng)總線傳遞給加密芯片;B22、加密芯片根據(jù)接收到SA索引,查找得到相應(yīng)的SA密文信息,利用對稱加密算法和所述共享密鑰對SA密文信息進行解密,得到SA明文信息。
11.根據(jù)權(quán)利要求10所述保證安全聯(lián)盟信息安全的方法,其特征在于,所述的步驟B22還包括加密芯片利用得到的SA明文信息對接收到的報文進行安全處理操作,把處理后的報文傳遞給CPU,并利用對稱加密算法和共享密鑰加密更新后的SA明文信息,并將獲得的SA密文信息重新進行保存。
全文摘要
本發(fā)明涉及一種保證安全聯(lián)盟信息安全的裝置和方法,該裝置主要包括中央處理器用于和加密芯片通過密鑰交換算法協(xié)商得到共享密鑰,利用該共享密鑰和對稱加密算法對安全聯(lián)盟SA信息進行加密,并將SA密文信息傳遞給加密芯片;加密芯片用于和中央處理器通過密鑰交換算法協(xié)商得到共享密鑰,利用該共享密鑰和對稱加密算法對保存的SA密文信息進行解密得到SA明文信息,并利用該SA明文信息對報文進行安全處理。利用本發(fā)明,可以有效地保證SA信息的安全,提高網(wǎng)絡(luò)安全性。
文檔編號G06F1/00GK1863040SQ20051008394
公開日2006年11月15日 申請日期2005年7月14日 優(yōu)先權(quán)日2005年7月14日
發(fā)明者王海 申請人:華為技術(shù)有限公司