一種處理數(shù)字簽名的方法和裝置的制造方法
【專利摘要】本發(fā)明公開了一種處理數(shù)字簽名的方法和裝置,包括接收到包含數(shù)字簽名的IP報(bào)文時(shí),驗(yàn)證IP報(bào)文中的數(shù)字簽名;如果驗(yàn)證成功,則根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名,并轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備。通過(guò)本發(fā)明提供的技術(shù)方案,避免了下游設(shè)備獲得數(shù)字簽名,從而避免了計(jì)算數(shù)字簽名的算法根據(jù)獲得的數(shù)字簽名被破解,保證了網(wǎng)絡(luò)的安全性。
【專利說(shuō)明】
一種處理數(shù)字簽名的方法和裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù),尤指一種處理數(shù)字簽名的方法和裝置。
【背景技術(shù)】
[0002]隨著通信網(wǎng)絡(luò)如計(jì)算機(jī)網(wǎng)絡(luò)廣泛應(yīng)用于生產(chǎn)和生活中,通信網(wǎng)絡(luò)的網(wǎng)絡(luò)安全得到了越來(lái)越多的重視。網(wǎng)絡(luò)安全技術(shù)主要用于保證通信網(wǎng)絡(luò)中的信息的保密性、真實(shí)性和完整性。其中,完整性指的是保證信息的一致性,防止信息被非法篡改。為了有效保證信息的完整性,通常采用數(shù)字簽名技術(shù)。
[0003]以計(jì)算機(jī)網(wǎng)絡(luò)為例來(lái)看,為了保證網(wǎng)際互連協(xié)議(IP)報(bào)文的完整性,通常采用IP報(bào)文數(shù)字簽名技術(shù)。目前,IP報(bào)文的接收側(cè)數(shù)字簽名的驗(yàn)證設(shè)備中處理數(shù)字簽名的方法大致包括:接收到包含數(shù)字簽名的IP報(bào)文時(shí),驗(yàn)證IP報(bào)文中的數(shù)字簽名;如果驗(yàn)證成功,則轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備如終端設(shè)備;如果驗(yàn)證失敗,則丟棄IP報(bào)文。數(shù)字簽名可以存儲(chǔ)在IP報(bào)文的頭部分或者數(shù)據(jù)部分。通常驗(yàn)證設(shè)備設(shè)置在信任網(wǎng)絡(luò)如內(nèi)部網(wǎng)絡(luò)中,而下游設(shè)備不保證設(shè)置在信任網(wǎng)絡(luò)中,例如終端設(shè)備設(shè)置在非信任網(wǎng)絡(luò)如非內(nèi)部網(wǎng)絡(luò)中?,F(xiàn)有技術(shù)中轉(zhuǎn)發(fā)給終端設(shè)備的IP報(bào)文中包括數(shù)字簽名,如果終端設(shè)備被非法控制如被黑客控制,此時(shí)IP報(bào)文的發(fā)送側(cè)數(shù)字簽名的簽名設(shè)備計(jì)算數(shù)字簽名的算法可能被破解,一旦破解成功就會(huì)偽造出包含驗(yàn)證設(shè)備可驗(yàn)證成功的數(shù)字簽名的IP報(bào)文,從而降低計(jì)算機(jī)網(wǎng)絡(luò)的安全性,甚至帶來(lái)嚴(yán)重性影響如重大經(jīng)濟(jì)損失。
【發(fā)明內(nèi)容】
[0004]為了解決上述技術(shù)問(wèn)題,本發(fā)明提供了一種處理數(shù)字簽名的方法和裝置,能夠避免計(jì)算數(shù)字簽名的算法被破解,從而保證網(wǎng)絡(luò)的安全性。
[0005]為了達(dá)到本發(fā)明目的,本發(fā)明公開了一種處理數(shù)字簽名的方法,包括:
[0006]接收到包含數(shù)字簽名的IP報(bào)文時(shí),驗(yàn)證IP報(bào)文中的數(shù)字簽名;
[0007]如果驗(yàn)證成功,則根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名,并轉(zhuǎn)發(fā)所述IP報(bào)文到下游設(shè)備。
[0008]所述生成策略為:
[0009]生成隨機(jī)信息并作為所述替代信息;
[0010]或者,生成用于指示驗(yàn)證成功的信息并作為替代信息。
[0011]本發(fā)明方法還包括:如果驗(yàn)證失敗,則丟棄所述IP報(bào)文。
[0012]進(jìn)一步地,所述生成替代信息并覆蓋數(shù)字簽名之前,本發(fā)明方法還包括:如果預(yù)先設(shè)置的第一配置項(xiàng)顯示不覆蓋,則跳過(guò)所述生成替代信息并覆蓋數(shù)字簽名的步驟,執(zhí)行所述轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備的步驟。
[0013]進(jìn)一步地,所述丟棄之前,本發(fā)明方法還包括:如果預(yù)先設(shè)置的第二配置項(xiàng)顯示轉(zhuǎn)發(fā),則將所述IP報(bào)文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項(xiàng)顯示的處理設(shè)備;如果所述第二配置項(xiàng)顯示丟棄,則執(zhí)行所述丟棄的步驟。
[0014]本發(fā)明還公開了一種處理數(shù)字簽名的裝置,包括驗(yàn)證單元和處理單元,其中,
[0015]驗(yàn)證單元,用于當(dāng)接收到包含數(shù)字簽名的IP報(bào)文時(shí),驗(yàn)證IP報(bào)文中的數(shù)字簽名;
[0016]處理單元,用于當(dāng)驗(yàn)證單元指示驗(yàn)證成功時(shí),根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名,并轉(zhuǎn)發(fā)所述IP報(bào)文到下游設(shè)備。
[0017]所述生成策略可以為:
[0018]生成隨機(jī)信息并作為所述替代信息;
[0019]或者,生成用于指示驗(yàn)證成功的信息并作為替代信息。
[0020]所述處理單元還用于:當(dāng)驗(yàn)證單元指示驗(yàn)證失敗時(shí),丟棄所述IP報(bào)文。
[0021]進(jìn)一步地,所述處理單元還用于:當(dāng)所述驗(yàn)證單元指示驗(yàn)證成功,且預(yù)先設(shè)置的第一配置項(xiàng)顯示不覆蓋時(shí),轉(zhuǎn)發(fā)所述IP報(bào)文到下游設(shè)備。
[0022]進(jìn)一步地,所述處理單元還用于:當(dāng)所述驗(yàn)證單元指示驗(yàn)證失敗,且預(yù)先設(shè)置的第二配置項(xiàng)顯示轉(zhuǎn)發(fā)時(shí),將所述IP報(bào)文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項(xiàng)顯示的處理設(shè)備;當(dāng)所述驗(yàn)證單元指示驗(yàn)證失敗,且所述第二配置項(xiàng)顯示丟棄時(shí),丟棄所述IP報(bào)文。
[0023]與現(xiàn)有技術(shù)相比,本發(fā)明技術(shù)方案包括:接收到包含數(shù)字簽名的IP報(bào)文時(shí),驗(yàn)證IP報(bào)文中的數(shù)字簽名;如果驗(yàn)證成功,則根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名,并轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備。通過(guò)本發(fā)明技術(shù)方案,避免了下游設(shè)備獲得數(shù)字簽名,從而避免了計(jì)算數(shù)字簽名的算法根據(jù)獲得的數(shù)字簽名被破解,保證了網(wǎng)絡(luò)的安全性,從而保證了用戶體驗(yàn)。
[0024]本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說(shuō)明書中闡述,并且,部分地從說(shuō)明書中變得顯而易見,或者通過(guò)實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過(guò)在說(shuō)明書、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來(lái)實(shí)現(xiàn)和獲得。
【附圖說(shuō)明】
[0025]附圖用來(lái)提供對(duì)本發(fā)明技術(shù)方案的進(jìn)一步理解,并且構(gòu)成說(shuō)明書的一部分,與本申請(qǐng)的實(shí)施例一起用于解釋本發(fā)明的技術(shù)方案,并不構(gòu)成對(duì)本發(fā)明技術(shù)方案的限制。
[0026]圖1為本發(fā)明處理數(shù)字簽名的方法的流程圖;
[0027]圖2為本發(fā)明處理數(shù)字簽名的裝置的組成結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0028]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說(shuō)明。需要說(shuō)明的是,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。
[0029]在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行。并且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
[0030]圖1為本發(fā)明處理數(shù)字簽名的方法的流程圖,如圖1所示,包括:
[0031]步驟101:接收到包含數(shù)字簽名的IP報(bào)文時(shí),驗(yàn)證IP報(bào)文中的數(shù)字簽名。
[0032]其具體實(shí)現(xiàn)屬于本領(lǐng)域技術(shù)人員的慣用技術(shù)手段,并不用于限定本發(fā)明的保護(hù)范圍,此處不再贅述。這里強(qiáng)調(diào)的是,步驟101之后,執(zhí)行步驟102。
[0033]需要說(shuō)明的是,數(shù)字簽名可以設(shè)置在IP報(bào)文的頭部分或者數(shù)據(jù)部分。
[0034]步驟102:如果驗(yàn)證成功,則根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名,并轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備如終端設(shè)備。
[0035]步驟102中的生成策略可以為:生成隨機(jī)信息并作為替代信息。這樣避免了下游設(shè)備獲得數(shù)字簽名,從而避免了計(jì)算數(shù)字簽名的算法根據(jù)獲得的數(shù)字簽名被破解,保證了網(wǎng)絡(luò)的安全性。
[0036]其中,生成隨機(jī)信息的具體實(shí)現(xiàn),屬于本領(lǐng)域技術(shù)人員的慣用技術(shù)手段,并不用于限定本發(fā)明的保護(hù)范圍,此處不再贅述。
[0037]步驟102中生成策略還可以為:生成用于指示驗(yàn)證成功的信息并作為替代信息。這樣避免了下游設(shè)備獲得數(shù)字簽名,也實(shí)現(xiàn)了利用替代信息向下游設(shè)備傳遞驗(yàn)證結(jié)果,從而保證了網(wǎng)絡(luò)的安全性,也降低了下游設(shè)備的處理復(fù)雜度。
[0038]應(yīng)該理解的是,參考上述傳遞驗(yàn)證結(jié)果給下游設(shè)備的思路,還可以在本發(fā)明技術(shù)方案中實(shí)現(xiàn)利用替代信息傳遞其它信息給下游設(shè)備。
[0039]需要說(shuō)明的是,步驟102生成的替代信息與數(shù)字簽名的長(zhǎng)度如二進(jìn)制比特?cái)?shù)相等。
[0040]進(jìn)一步地,為了使本發(fā)明方法兼容現(xiàn)有技術(shù),本發(fā)明方法還包括:如果驗(yàn)證失敗,則丟棄IP報(bào)文。
[0041]進(jìn)一步地,為了使本發(fā)明方法兼容現(xiàn)有技術(shù),步驟102中生成替代信息并覆蓋數(shù)字簽名之前,本發(fā)明方法還包括:如果預(yù)先設(shè)置的第一配置項(xiàng)顯示不覆蓋,則跳過(guò)步驟102中的生成替代信息并覆蓋數(shù)字簽名的步驟,執(zhí)行步驟102中的轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備的步驟;如果第一配置項(xiàng)顯示覆蓋,則繼續(xù)執(zhí)行步驟102中的生成替代信息并覆蓋數(shù)字簽名的步驟,并執(zhí)行步驟102中的轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備的步驟。
[0042]進(jìn)一步地,步驟102中丟棄之前,本發(fā)明方法還包括:如果預(yù)先設(shè)置的第二配置項(xiàng)顯示轉(zhuǎn)發(fā),則將IP報(bào)文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項(xiàng)顯示的處理設(shè)備;如果第二配置項(xiàng)顯示丟棄,則繼續(xù)執(zhí)行步驟102中的丟棄的步驟。
[0043]這樣,通過(guò)將第二配置項(xiàng)設(shè)置為轉(zhuǎn)發(fā)使得處理設(shè)備能夠?qū)︱?yàn)證失敗的IP報(bào)文進(jìn)行處理如進(jìn)行統(tǒng)計(jì)計(jì)數(shù)處理,從而增加了本發(fā)明技術(shù)方案的靈活性。
[0044]在本發(fā)明的實(shí)施例中,為了使本發(fā)明方法更加靈活,步驟102中生成替代信息并覆蓋數(shù)字簽名之前,本發(fā)明方法還包括:
[0045]當(dāng)判斷出下游設(shè)備位于信任網(wǎng)絡(luò)中且第一配置項(xiàng)顯示不覆蓋時(shí),跳過(guò)步驟102中的生成替代信息并覆蓋數(shù)字簽名的步驟,執(zhí)行步驟102中的轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備的步驟;當(dāng)判斷出下游設(shè)備位于信任網(wǎng)絡(luò)中且第一配置項(xiàng)顯示覆蓋,或者判斷出下游設(shè)備位于非信任網(wǎng)絡(luò)中時(shí),繼續(xù)執(zhí)行步驟102中的生成替代信息并覆蓋數(shù)字簽名的步驟,并執(zhí)行步驟102中的轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備的步驟。其中,
[0046]判斷下游設(shè)備位于信任網(wǎng)絡(luò)或者非信任網(wǎng)絡(luò)中的具體實(shí)現(xiàn),屬于本領(lǐng)域技術(shù)人員的慣用技術(shù)手段,并不用于限定本發(fā)明的保護(hù)范圍,此處不再贅述。
[0047]需要說(shuō)明的是,本發(fā)明技術(shù)方案可以應(yīng)用于將數(shù)字簽名保存在信息集合(如IP報(bào)文)的頭部分的通信網(wǎng)絡(luò)中。
[0048]圖2為本發(fā)明處理數(shù)字簽名的裝置的組成結(jié)構(gòu)示意圖,該裝置設(shè)置在數(shù)字簽名的驗(yàn)證設(shè)備中。如圖2所示,包括驗(yàn)證單元和處理單元,其中,
[0049]驗(yàn)證單元,用于當(dāng)接收到包含數(shù)字簽名的IP報(bào)文時(shí),驗(yàn)證IP報(bào)文中的數(shù)字簽名。
[0050]處理單元,用于當(dāng)驗(yàn)證單元指示驗(yàn)證成功時(shí),根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名,并轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備。
[0051]生成策略可以為:生成隨機(jī)信息并作為替代信息;或者,生成用于指示驗(yàn)證成功的信息并作為替代信息。
[0052]進(jìn)一步地,
[0053]處理單元還用于:當(dāng)驗(yàn)證單元指示驗(yàn)證失敗時(shí),丟棄IP報(bào)文。
[0054]進(jìn)一步地,
[0055]處理單元還用于:當(dāng)驗(yàn)證單元指示驗(yàn)證成功,且預(yù)先設(shè)置的第一配置項(xiàng)顯示不覆蓋時(shí),轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備。
[0056]進(jìn)一步地,
[0057]處理單元還用于:當(dāng)驗(yàn)證單元指示驗(yàn)證失敗,且預(yù)先設(shè)置的第二配置項(xiàng)顯示轉(zhuǎn)發(fā)時(shí),將IP報(bào)文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項(xiàng)顯示的處理設(shè)備;當(dāng)驗(yàn)證單元指示驗(yàn)證失敗,且第二配置項(xiàng)顯示丟棄時(shí),丟棄IP報(bào)文。
[0058]在本發(fā)明的一個(gè)實(shí)施例中,處理單元具體用于:
[0059]當(dāng)驗(yàn)證單元指示驗(yàn)證成功,且預(yù)先設(shè)置的第一配置項(xiàng)顯示不覆蓋時(shí),轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備;當(dāng)驗(yàn)證單元指示驗(yàn)證成功,且預(yù)先設(shè)置的第一配置項(xiàng)顯示覆蓋時(shí),根據(jù)生成策略生成替代信息并覆蓋數(shù)字簽名,并轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備;當(dāng)驗(yàn)證單元指示驗(yàn)證失敗,且第二配置項(xiàng)顯示轉(zhuǎn)發(fā)時(shí),將IP報(bào)文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項(xiàng)顯示的處理設(shè)備;當(dāng)驗(yàn)證單元指示驗(yàn)證失敗,且第二配置項(xiàng)顯示丟棄時(shí),丟棄IP報(bào)文。
[0060]雖然本發(fā)明所揭露的實(shí)施方式如上所述,但所述的內(nèi)容僅為便于理解本發(fā)明而采用的實(shí)施方式,并非用以限定本發(fā)明。任何本發(fā)明所屬領(lǐng)域內(nèi)的技術(shù)人員,在不脫離本發(fā)明所揭露的精神和范圍的前提下,可以在實(shí)施的形式及細(xì)節(jié)上進(jìn)行任何的修改與變化,但本發(fā)明的專利保護(hù)范圍,仍須以所附的權(quán)利要求書所界定的范圍為準(zhǔn)。
【主權(quán)項(xiàng)】
1.一種處理數(shù)字簽名的方法,其特征在于,包括: 接收到包含數(shù)字簽名的IP報(bào)文時(shí),驗(yàn)證IP報(bào)文中的數(shù)字簽名; 如果驗(yàn)證成功,則根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名,并轉(zhuǎn)發(fā)所述IP報(bào)文到下游設(shè)備。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述生成策略為:生成隨機(jī)信息并作為所述替代信息。3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述生成策略為:生成用于指示驗(yàn)證成功的信息并作為替代信息。4.根據(jù)權(quán)利要求1?3任一項(xiàng)所述的方法,其特征在于,該方法還包括:如果驗(yàn)證失敗,則丟棄所述IP報(bào)文。5.根據(jù)權(quán)利要求1?3任一項(xiàng)所述的方法,其特征在于,所述生成替代信息并覆蓋數(shù)字簽名之前,該方法還包括:如果預(yù)先設(shè)置的第一配置項(xiàng)顯示不覆蓋,則跳過(guò)所述生成替代信息并覆蓋數(shù)字簽名的步驟,執(zhí)行所述轉(zhuǎn)發(fā)IP報(bào)文到下游設(shè)備的步驟。6.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述丟棄之前,該方法還包括:如果預(yù)先設(shè)置的第二配置項(xiàng)顯示轉(zhuǎn)發(fā),則將所述IP報(bào)文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項(xiàng)顯示的處理設(shè)備;如果所述第二配置項(xiàng)顯示丟棄,則執(zhí)行所述丟棄的步驟。7.—種處理數(shù)字簽名的裝置,其特征在于,包括驗(yàn)證單元和處理單元,其中, 驗(yàn)證單元,用于當(dāng)接收到包含數(shù)字簽名的IP報(bào)文時(shí),驗(yàn)證IP報(bào)文中的數(shù)字簽名; 處理單元,用于當(dāng)驗(yàn)證單元指示驗(yàn)證成功時(shí),根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名,并轉(zhuǎn)發(fā)所述IP報(bào)文到下游設(shè)備。8.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述生成策略為:生成隨機(jī)信息并作為所述替代信息。9.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述生成策略為:生成用于指示驗(yàn)證成功的信息并作為替代信息。10.根據(jù)權(quán)利要求7?9任一項(xiàng)所述的裝置,其特征在于,所述處理單元還用于:當(dāng)驗(yàn)證單元指示驗(yàn)證失敗時(shí),丟棄所述IP報(bào)文。11.根據(jù)權(quán)利要求7?9任一項(xiàng)所述的裝置,其特征在于,所述處理單元還用于:當(dāng)所述驗(yàn)證單元指示驗(yàn)證成功,且預(yù)先設(shè)置的第一配置項(xiàng)顯示不覆蓋時(shí),轉(zhuǎn)發(fā)所述IP報(bào)文到下游設(shè)備。12.根據(jù)權(quán)利要求10任一項(xiàng)所述的裝置,其特征在于,所述處理單元還用于:當(dāng)所述驗(yàn)證單元指示驗(yàn)證失敗,且預(yù)先設(shè)置的第二配置項(xiàng)顯示轉(zhuǎn)發(fā)時(shí),將所述IP報(bào)文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項(xiàng)顯示的處理設(shè)備;當(dāng)所述驗(yàn)證單元指示驗(yàn)證失敗,且所述第二配置項(xiàng)顯示丟棄時(shí),丟棄所述IP報(bào)文。
【文檔編號(hào)】H04L29/06GK105871791SQ201510036933
【公開日】2016年8月17日
【申請(qǐng)日】2015年1月23日
【發(fā)明人】劉晴
【申請(qǐng)人】中興通訊股份有限公司