專利名稱:安全處理的裝置、系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電子、通信、計算機領(lǐng)域,尤其涉及數(shù)據(jù)的安全處理方法、裝置和系統(tǒng)。
背景技術(shù):
近年來,網(wǎng)絡(luò)安全問題日益受到人們的關(guān)注,由于因特網(wǎng)與大多數(shù)包交換網(wǎng)絡(luò)都是建立在因特網(wǎng)協(xié)議(IP)之上,要解決這些網(wǎng)絡(luò)的安全問題,首先必須解決因特網(wǎng)協(xié)議的安全問題。解決因特網(wǎng)協(xié)議通信安全的協(xié)議包括IPSecInternet Protocol Security,因特網(wǎng)協(xié)議安全;SSLSecurity Socke Layer,安全套接層(協(xié)議);TLSTransport Layer Security,傳輸層安全(協(xié)議)等,它們使用加密算法和雜湊算法來保護因特網(wǎng)協(xié)議通信的保密性和完整性。
目前的安全處理裝置結(jié)構(gòu)如圖1所示,包括數(shù)據(jù)接口模塊、協(xié)議處理模塊、加密算法模塊和雜湊算法模塊。其中,數(shù)據(jù)接口模塊用來完成數(shù)據(jù)包的輸入輸出;協(xié)議處理模塊用來完成協(xié)議處理,即安全協(xié)議處理和與數(shù)據(jù)接口模塊之間的數(shù)據(jù)包傳送,安全協(xié)議處理包括協(xié)議封裝和解封裝、所需算法的判斷和算法模塊的調(diào)用等;加密算法模塊用來完成對數(shù)據(jù)包的加解密;雜湊算法模塊用來完成數(shù)據(jù)包的雜湊值計算。其中加密算法模塊可以支持一種或多種加密算法,雜湊算法模塊也可以支持一種或多種雜湊算法。
目前,安全處理裝置一般在裝置內(nèi)部實現(xiàn)數(shù)據(jù)的安全處理,包括協(xié)議的封裝和解封裝,以及各種算法處理,具體的處理過程為
數(shù)據(jù)接口模塊將接收到的數(shù)據(jù)包發(fā)送至協(xié)議處理模塊,協(xié)議處理模塊完成安全協(xié)議解封裝,并調(diào)用加密算法模塊和雜湊算法模塊對數(shù)據(jù)包進行加解密和計算雜湊值,簡稱進行算法處理。調(diào)用加密算法模塊和雜湊算法模塊的先后次序由協(xié)議處理模塊確定,如,可先將數(shù)據(jù)包發(fā)送給加密算法模塊進行加解密處理,收到后再發(fā)給雜湊算法模塊進行雜湊算法處理。協(xié)議處理模塊將算法處理完畢的數(shù)據(jù)包送給數(shù)據(jù)接口模塊,再由數(shù)據(jù)接口模塊將數(shù)據(jù)包發(fā)出。或者在數(shù)據(jù)接口模塊將數(shù)據(jù)包發(fā)送至協(xié)議處理模塊時,由協(xié)議處理模塊對數(shù)據(jù)包先進行算法判斷和算法模塊調(diào)用,再將經(jīng)過算法處理的數(shù)據(jù)包進行安全協(xié)議封裝,并回傳給數(shù)據(jù)接口模塊。
由于裝置內(nèi)所實現(xiàn)的加密算法和雜湊算法都已經(jīng)確定,采用這種方案的裝置只能滿足有限情景下的需求,對其它及未來出現(xiàn)的加密算法和雜湊算法缺乏適應(yīng)性,如果需要支持新的加密算法或雜湊算法,就必須重新設(shè)計芯片和流片,從而需要花費大量的成本。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供安全處理裝置、系統(tǒng)和方法,實現(xiàn)對安全處理裝置內(nèi)原不具備的各種算法對數(shù)據(jù)包的處理,提高算法處理靈活性,降低開發(fā)成本。
為達到上述目的,本發(fā)明提供一種安全處理裝置,包括以下模塊數(shù)據(jù)接口模塊,用來完成數(shù)據(jù)包的接收和發(fā)送;協(xié)議處理模塊,與數(shù)據(jù)接口模塊相連,用來從數(shù)據(jù)接口模塊處獲取數(shù)據(jù)包,完成安全協(xié)議處理,并回傳給數(shù)據(jù)處理模塊;還包括算法處理模塊,與協(xié)議處理模塊相連,用來對協(xié)議處理模塊發(fā)送的數(shù)據(jù)包進行處理并回傳給協(xié)議處理模塊。
可選的,安全處理裝置還包括至少下述之一加密算法模塊,含有至少一種加密算法,與協(xié)議處理模塊相連,用來完成對數(shù)據(jù)包的加密或解密;雜湊算法模塊,含有至少一種雜湊算法,與協(xié)議處理模塊相連,用來完成對數(shù)據(jù)包的雜湊值計算。
將算法處理模塊設(shè)置為可編程算法模塊時,通過可編程算法模塊編程實現(xiàn)的加密算法或雜湊算法對數(shù)據(jù)包進行算法處理;將算法處理模塊設(shè)置為算法接口模塊時,通過算法接口模塊外接輔助安全處理裝置對數(shù)據(jù)包進行算法處理。
本發(fā)明還提供了一種輔助安全處理裝置,包括算法接口模塊和與之相連的下列至少一個模塊加密算法模塊、雜湊算法模塊;其中,算法接口模塊用來接收數(shù)據(jù)包并傳遞給加密算法模塊和/或雜湊算法模塊,并將經(jīng)算法處理的數(shù)據(jù)包輸出。
本發(fā)明還提供一種安全處理系統(tǒng),包括以下裝置安全處理裝置和輔助安全處理裝置;其中,安全處理裝置包括數(shù)據(jù)接口模塊,用來完成數(shù)據(jù)包的接收和發(fā)送;協(xié)議處理模塊,與數(shù)據(jù)接口模塊相連,用來完成安全協(xié)議處理;算法接口模塊,與協(xié)議處理模塊和輔助安全處理裝置相連,用來完成安全處理裝置和輔助安全處理裝置之間數(shù)據(jù)包的傳遞;輔助安全處理裝置包括算法接口模塊,用來完成安全處理裝置和輔助安全處理裝置之間數(shù)據(jù)包的傳遞; 和與所述算法接口模塊相連的下述至少一種模塊加密算法模塊、雜湊算法模塊,用來對數(shù)據(jù)包進行算法處理。
可選的,上述安全處理裝置還包括至少下述之一加密算法模塊,用來完成對數(shù)據(jù)包的加解密;
雜湊算法模塊,用來完成數(shù)據(jù)包的雜湊值計算。
本發(fā)明還提供一種安全處理方法,數(shù)據(jù)包經(jīng)安全處理系統(tǒng)中的數(shù)據(jù)接口模塊傳遞至協(xié)議處理模塊,進行協(xié)議解封裝后,協(xié)議處理模塊將數(shù)據(jù)包發(fā)送給與其相連的算法處理模塊進行處理;或者,數(shù)據(jù)包經(jīng)安全處理系統(tǒng)中的數(shù)據(jù)接口模塊傳遞至協(xié)議處理模塊,協(xié)議處理模塊將數(shù)據(jù)包發(fā)送給與其相連的算法處理模塊進行處理,然后對數(shù)據(jù)包進行協(xié)議封裝后返回數(shù)據(jù)接口模塊。
較佳的,協(xié)議處理模塊收到數(shù)據(jù)包,進行協(xié)議解封裝后,判斷數(shù)據(jù)包所對應(yīng)的加密算法或雜湊算法是否為與其直接相連的加密算法模塊和/或雜湊算法模塊所包含,如果包含,則按目前的處理過程進行數(shù)據(jù)處理;如果不包含,則將數(shù)據(jù)包發(fā)送至數(shù)據(jù)算法模塊進行處理,協(xié)議處理模塊收到處理完畢的數(shù)據(jù)包后回傳給數(shù)據(jù)接口模塊。
或者,協(xié)議處理模塊收到數(shù)據(jù)包,判斷數(shù)據(jù)包所對應(yīng)的加密算法或雜湊算法是否為與其直接相連的加密算法模塊和/或雜湊算法模塊所包含,如果包含,則按目前的處理過程進行數(shù)據(jù)處理;如果不包含,則將數(shù)據(jù)包發(fā)送至數(shù)據(jù)算法模塊進行處理,再將收到的數(shù)據(jù)包進行協(xié)議封裝,并回傳至數(shù)據(jù)接口模塊。
上述數(shù)據(jù)算法模塊進行處理的方法包括對算法進行編程,再將接收到的數(shù)據(jù)包進行算法處理,并回傳給協(xié)議處理模塊。
將接收到的數(shù)據(jù)包發(fā)至含有對應(yīng)的加密算法或雜湊算法的輔助安全處理裝置,進行算法處理,并回傳給協(xié)議處理模塊。
因此,本發(fā)明提供的安全處理方法、裝置,通過增添的可編程算法模塊,對加密算法或雜湊算法進行編程,使系統(tǒng)能夠靈活適用各種算法對數(shù)據(jù)包進行處理;通過選擇性調(diào)用可編程算法模塊,實現(xiàn)對裝置內(nèi)原不具備的加密算法或雜湊算法對數(shù)據(jù)包的處理,提高了裝置應(yīng)用的靈活性,降低了開發(fā)成本。
本發(fā)明提供的安全處理方法、裝置和系統(tǒng),通過增添算法接口模塊和輔助安全處理裝置,對輔助安全處理裝置中的加密算法模塊和/或雜湊算法模塊,進行選擇性調(diào)用,實現(xiàn)對安全處理裝置內(nèi)原不具備的加密算法或雜湊算法對數(shù)據(jù)包的處理,提高了裝置和系統(tǒng)應(yīng)用的靈活性,降低了開發(fā)成本。
圖1為現(xiàn)有安全處理裝置結(jié)構(gòu)示意圖;圖2為增加算法處理模塊的安全處理裝置的結(jié)構(gòu)示意圖;圖3為第一實施例中安全處理裝置的結(jié)構(gòu)示意圖;圖4為第一實施例的安全處理系統(tǒng)結(jié)構(gòu)示意圖;圖5為第二實施例的安全處理裝置結(jié)構(gòu)示意圖。
具體實施例方式
下面結(jié)合附圖及具體實施例對本發(fā)明作進一步詳細說明。
在現(xiàn)有的安全處理裝置中增加一算法處理模塊,與協(xié)議處理模塊相連,如圖2所示,安全處理裝置由數(shù)據(jù)接口模塊、協(xié)議處理模塊、加密算法模塊、雜湊算法模塊和算法處理模塊組成。由此產(chǎn)生了兩個較佳實施例實施例一將圖2中的算法處理模塊設(shè)置為算法接口模塊,則新生成的安全處理系統(tǒng)由安全處理裝置和至少一個輔助安全處理裝置組成。具體如圖3所示,其中,輔助安全處理裝置由算法接口模塊、加密算法模塊和/或雜湊算法模塊組成,算法接口模塊用來完成安全處理裝置和輔助安全處理裝置之間數(shù)據(jù)包的傳遞;加密算法模塊和/或雜湊算法模塊用來對數(shù)據(jù)包進行算法處理。。
當安全處理系統(tǒng)執(zhí)行協(xié)議解封裝時,數(shù)據(jù)包經(jīng)數(shù)據(jù)接口模塊傳遞至協(xié)議處理模塊進行協(xié)議解封裝。然后協(xié)議處理模塊據(jù)協(xié)議判斷數(shù)據(jù)包所需的加密算法包含在安全處理裝置中的加密算法模塊1中時,將數(shù)據(jù)包發(fā)送給該模塊進行處理,加密或解密之后,數(shù)據(jù)包又被發(fā)回協(xié)議處理模塊。當協(xié)議處理模塊判斷數(shù)據(jù)包所需的雜湊算法模塊不在安全處理裝置中的雜湊算法模塊1中后,尋找包含該雜湊算法的輔助安全處理裝置的端口地址。假設(shè)協(xié)議處理模塊判斷出數(shù)據(jù)包所需的雜湊算法包含在圖3所示輔助安全處理裝置的雜湊算法模塊2中,算法接口模塊根據(jù)該輔助安全處理裝置的端口地址將數(shù)據(jù)包經(jīng)輔助安全處理裝置中的算法接口模塊傳遞至雜湊算法模塊2中進行處理,處理完畢的數(shù)據(jù)包再經(jīng)原路徑送至協(xié)議處理模塊、再傳至數(shù)據(jù)接口模塊輸出。
顯然,協(xié)議處理模塊也可先判斷雜湊算法并進行處理,再判斷加密算法來處理。根據(jù)所需雜湊算法和加密算法所在的算法模塊的具體情況,協(xié)議處理模塊對各算法模塊的調(diào)用情況也會不同。
當安全處理系統(tǒng)執(zhí)行協(xié)議封裝時,數(shù)據(jù)包經(jīng)數(shù)據(jù)接口模塊傳遞至協(xié)議處理模塊,協(xié)議處理模塊判斷數(shù)據(jù)包所需的各種算法來調(diào)用加密算法模塊和雜湊算法模塊,算法處理完畢后,協(xié)議處理模塊對數(shù)據(jù)包進行協(xié)議封裝后回傳給數(shù)據(jù)接口模塊。
圖2、圖3和圖4中的加密算法模塊1和雜湊算法模塊1(在圖2中用虛線表示)中所包含的各種算法,可以根據(jù)實際需要做相應(yīng)的刪減,也可以刪減掉加密算法模塊或雜湊算法模塊,甚至將兩模塊都刪除,只保留數(shù)據(jù)接口模塊、協(xié)議處理模塊和算法接口模塊,這樣,算法接口模塊與系統(tǒng)外部的至少一塊算法處理芯片相連,當協(xié)議處理模塊判斷出數(shù)據(jù)包需要的加密或雜湊算法所在的外部算法處理芯片時,獲取該芯片的接口地址,將數(shù)據(jù)包經(jīng)算法接口模塊傳遞至該接口地址進行算法處理,針對如何增強算法適應(yīng)性的問題,本發(fā)明提供另一較佳實施例,即實施例二將安全處理裝置內(nèi)增加的算法處理模塊設(shè)置為可編程算法模塊,如圖5所示,可編程算法模塊為可讀可寫,在該模塊上編程裝置原不具有的加密算法或雜湊算法,通過協(xié)議處理模塊對這些算法的選擇性調(diào)用,實現(xiàn)對原不具有的算法的靈活補充。
先在可編程算法模塊中編程一種或一種以上加密算法和/或雜湊算法,數(shù)據(jù)包經(jīng)數(shù)據(jù)接口模塊傳遞至協(xié)議處理模塊進行協(xié)議解封裝之后。協(xié)議處理模塊判斷數(shù)據(jù)包所需的加密算法包含在安全處理裝置中的加密算法模塊1中時,將數(shù)據(jù)包發(fā)送給該模塊進行處理,加密或解密之后,數(shù)據(jù)包又被發(fā)回協(xié)議處理模塊。當協(xié)議處理模塊判斷數(shù)據(jù)包所需的雜湊算法模塊不在安全處理裝置中的雜湊算法模塊1中后,判斷在可編程算法模塊中是否含有需要的雜湊算法,若有,則將數(shù)據(jù)包發(fā)送至可編程算法模塊中進行處理,可編程算法模塊將處理完畢的數(shù)據(jù)包送回至協(xié)議處理模塊、經(jīng)協(xié)議處理后經(jīng)數(shù)據(jù)接口模塊輸出。
或者在數(shù)據(jù)包經(jīng)數(shù)據(jù)接口模塊傳遞至協(xié)議處理模塊之后,協(xié)議處理模塊判斷包含所需各種算法的算法模塊并進行調(diào)用,經(jīng)過算法處理的數(shù)據(jù)包經(jīng)協(xié)議處理模塊封裝后,回傳至數(shù)據(jù)接口模塊。
同樣需要說明,圖5中的加密算法模塊1和雜湊算法模塊1中所包含的各種算法,可以根據(jù)實際需要做相應(yīng)的刪減,也可以將加密算法模塊或雜湊算法模塊刪減,甚至將兩模塊都刪除(對應(yīng)于圖2的虛線框所示加密算法模塊1和雜湊算法模塊1)只保留數(shù)據(jù)接口模塊、協(xié)議處理模塊和可編程算法模塊,這樣,可以根據(jù)不同的算法需要,對可編程算法模塊進行編程,從而適應(yīng)不同加密算法或雜湊算法的需求。
以上所述僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進等,均包含在本發(fā)明的包含范圍內(nèi)。
權(quán)利要求
1.一種安全處理裝置,包括以下模塊數(shù)據(jù)接口模塊,用來完成數(shù)據(jù)包的接收和發(fā)送;協(xié)議處理模塊,與數(shù)據(jù)接口模塊相連,用來從數(shù)據(jù)接口模塊處獲取數(shù)據(jù)包,完成安全協(xié)議處理,并回傳給數(shù)據(jù)處理模塊;其特征在于,還包括算法處理模塊,與協(xié)議處理模塊相連,用來對協(xié)議處理模塊發(fā)送的數(shù)據(jù)包進行處理并回傳給協(xié)議處理模塊。
2.如權(quán)利要求1所述的安全處理裝置,其特征在于,還包括至少下述之一加密算法模塊,含有至少一種加密算法,與協(xié)議處理模塊相連,用來完成對數(shù)據(jù)包的加密或解密;雜湊算法模塊,含有至少一種雜湊算法,與協(xié)議處理模塊相連,用來完成對數(shù)據(jù)包的雜湊值計算。
3.如權(quán)利要求1所述的安全處理裝置,其特征在于,所述算法處理模塊為算法接口模塊或可編程算法模塊。
4.如權(quán)利要求3所述的安全處理裝置,其特征在于,當所述算法處理模塊為可編程算法模塊時,通過可編程算法模塊編程實現(xiàn)的加密算法或雜湊算法對數(shù)據(jù)包進行算法處理。
5.如權(quán)利要求3所述的安全處理裝置,其特征在于,當所述算法處理模塊為算法接口模塊時,通過算法接口模塊外接輔助安全處理裝置對數(shù)據(jù)包進行算法處理。
6.一種輔助安全處理裝置,其特征在于,包括算法接口模塊和與之相連的下列至少一個模塊加密算法模塊、雜湊算法模塊;其中,算法接口模塊用來接收數(shù)據(jù)包并傳遞給加密算法模塊和/或雜湊算法模塊,并將經(jīng)算法處理的數(shù)據(jù)包輸出。
7.一種安全處理系統(tǒng),其特征在于,包括以下裝置安全處理裝置和輔助安全處理裝置;其中,安全處理裝置包括數(shù)據(jù)接口模塊,用來完成數(shù)據(jù)包的接收和發(fā)送;協(xié)議處理模塊,與數(shù)據(jù)接口模塊相連,用來完成安全協(xié)議處理;算法接口模塊,與協(xié)議處理模塊和輔助安全處理裝置相連,用來完成安全處理裝置和輔助安全處理裝置之間數(shù)據(jù)包的傳遞;輔助安全處理裝置包括算法接口模塊,用來完成安全處理裝置和輔助安全處理裝置之間數(shù)據(jù)包的傳遞;和與所述算法接口模塊相連的下述至少一種模塊加密算法模塊、雜湊算法模塊,用來對數(shù)據(jù)包進行算法處理。
8.如權(quán)利要求7所述的安全處理系統(tǒng),其特征在于,所述安全處理裝置還包括至少下述之一加密算法模塊,用來完成對數(shù)據(jù)包的加解密;雜湊算法模塊,用來完成數(shù)據(jù)包的雜湊值計算。
9.一種安全處理方法,數(shù)據(jù)包經(jīng)安全處理系統(tǒng)中的數(shù)據(jù)接口模塊傳遞至協(xié)議處理模塊,進行協(xié)議處理,其特征在于,協(xié)議處理模塊將數(shù)據(jù)包發(fā)送給與其相連的算法處理模塊進行處理。
10.如權(quán)利要求9所述的安全處理方法,其特征在于,協(xié)議處理模塊收到數(shù)據(jù)包,進行協(xié)議解封裝后,判斷數(shù)據(jù)包所對應(yīng)的加密算法或雜湊算法是否為與其直接相連的加密算法模塊和/或雜湊算法模塊所包含,如果包含,則按目前的處理過程進行數(shù)據(jù)處理;如果不包含,則將數(shù)據(jù)包發(fā)送至數(shù)據(jù)算法模塊進行處理,協(xié)議處理模塊收到處理完畢的數(shù)據(jù)包后回傳給數(shù)據(jù)接口模塊。
11.如權(quán)利要求9所述的安全處理方法,其特征在于,協(xié)議處理模塊收到數(shù)據(jù)包,判斷數(shù)據(jù)包所對應(yīng)的加密算法或雜湊算法是否為與其直接相連的加密算法模塊和/或雜湊算法模塊所包含,如果包含,則按目前的處理過程進行數(shù)據(jù)處理;如果不包含,則將數(shù)據(jù)包發(fā)送至數(shù)據(jù)算法模塊進行處理,再將收到的數(shù)據(jù)包進行協(xié)議封裝,并回傳至數(shù)據(jù)接口模塊。
12.如權(quán)利要求9至11任一所述安全處理方法,其特征在于,所述數(shù)據(jù)算法模塊進行處理的方法為對算法進行編程,再將接收到的數(shù)據(jù)包進行算法處理,并回傳給協(xié)議處理模塊。
13.如權(quán)利要求9至11任一所述安全處理方法,其特征在于,所述數(shù)據(jù)算法模塊進行處理的方法為將接收到的數(shù)據(jù)包發(fā)至含有對應(yīng)的加密算法或雜湊算法的輔助安全處理裝置,進行算法處理,并回傳給協(xié)議處理模塊。
全文摘要
本發(fā)明公開了一種安全處理系統(tǒng),包括安全處理裝置和輔助安全處理裝置,其中安全處理裝置包括數(shù)據(jù)接口模塊、協(xié)議處理模塊、以及與協(xié)議處理模塊相連的算法接口模塊;輔助安全處理裝置包括算法接口模塊和至少下述一種加密算法模塊、雜湊算法模塊。通過輔助安全處理裝置,可用系統(tǒng)原不具備的加密算法或雜湊算法對數(shù)據(jù)進行處理,提高了系統(tǒng)應(yīng)用的靈活性。本發(fā)明還公開了一種安全處理裝置,包括數(shù)據(jù)接口模塊、協(xié)議處理模塊以及與協(xié)議處理模塊相連的可編程算法模塊。新增的可編程算法模塊可以實現(xiàn)對其它和未來加密和雜湊算法的支持,提高了系統(tǒng)應(yīng)用的靈活性。
文檔編號H04L12/56GK1859404SQ20061003360
公開日2006年11月8日 申請日期2006年2月9日 優(yōu)先權(quán)日2006年2月9日
發(fā)明者張贊 申請人:華為技術(shù)有限公司