专利名称:用于加速加密方案之间转换过程的方法和系统的制作方法
背景技术:
1.发明领域本发明涉及网络安全协议转换的领域。特别是,本发明涉及无线传输层安全和安全套接层协议之间的转换。
2.相关技术的背景信息和描述无线应用协议(WAP)定义了一组用于无线应用的协议。无线传输层安全(WTLS)是WAP的安全层并且提供用于WAP服务的保密,数据完整性和认证。
WTLS基于传输层安全(TLS),广泛被用于因特网的安全层,进行修改以适应典型的无线通信中的带宽,数据报连接,处理能力,存储量和加密限制。
安全套接层(SSL)是一种用于经由因特网发射私人文件的协议。当前,SSL不和WTLS直接相适合。因此,不可能不经解密数据就在WTLS加密数据和SSL加密数据之间进行转换。
在SSL数据和WTLS数据之间转换的常用方法运用在WAP网关内部执行的软件。无线消息穿过大气到达载波通信系统的接收器,在那儿无线消息被接收并且传给网关。如果消息被WTLS加密,加密消息被解密,随后利用SSL被加密。如果消息被SSL加密,加密消息被解密,随后利用WTLS被加密。随后,加密消息被发射出网关。
数据被解密并且允许暂时存储在WAP网关的存储器中一段时期,该时期内消息在WAP网关中不被加密并且不受保护。这产生了安全薄弱性。此外,由于利用软件完成转换,大量CPU资源被消耗并且可能经历了响应客户机请求的等待时间。
附图简述在参考数字适用于类似部件的附图中,本发明以举例的形式被示出,而不是作为限制。
图1示出实现本发明的系统的实施例。
图2示出采用一个本发明的方法的实施例实现的安全程序的举例。
图3示出根据本发明的板的实施例。
图4示出根据本发明的方法的实施例。
发明的详细说明描述了用于加速加密方案之间转换过程的系统和方法的实施例。在以下的描述中,为彻底了解本发明的实施例提供了许多具体的细节。然而,本领域的普通技术人员将认识到在没有一个或多个细节的情况下,或者采用其他的方法,组件,材料等等能够实施本发明。在其它的实例中,没有示出或者详细描写众所周知的结构,材料或者操作,以避免模糊本发明的特征。
整个说明书中引用的“一个实施例”或者“一实施例”指的是结合该实施例描述的特定的特征,结构或者特性至少被归入本发明的一个实施例。因此,在整个说明书不同的地方出现的词组“在一个实施例中”或者“在一实施例中”没有必要全部关于相同的实施例。此外,特定的特征,结构特性可以以任何适当的方式合并在一或多个实施例中。
关于图1,方框图示出实现本发明的系统100的实施例。本领域的普通技术人员将理解到系统100可以包括比图1所示出的更多的组件。然而,为了公开用于实施本发明的说明性的实施例,没有必要示出所有的基本常规的组件。系统100包括服务提供者102,客户机104,和内容提供者106。客户机具有一装置110。在本发明的一个实施例中,装置110是一个无线电装置,其典型地运用无线应用协议(WAP)——一组用于无线应用的协议。内容提供者106具有一服务器112以存储内容。服务提供者102提供一个网关108。网关108将客户机104连接到内容提供者106。网关108根据需要加密和解密数据,以提供由客户机和内容提供者使用的不同的协议之间的兼容性。例如,客户机装置110典型地根据无线传输层安全协议(WTLS)加密数据,用于WAP的安全层提供用于WAP服务的保密,数据完整性和认证。关于因特网的数据典型地根据安全套接层协议(SSL)来加密。因此,如果客户机想要访问一因特网网络页面,网关将对从WTLS到SSL的数据解密和加密,反之亦然。
网关108包含用于解密和加密数据的加速板114。在本发明的一个实施例中,板114是即插即用装置,适合外围组件互连(PCI)插槽或者单个或者双列直插式存储模块(SIMM或者DIMM)插槽。
客户机使用装置110来发送请求116,其根据加密方案被加密。例如,客户机可以使用蜂窝电话发送对因特网网络页面的请求。请求116被网关108接收。板114解密请求116并且根据另一个加密方案加密该请求。在本发明的一个实施例中,根据WTLS加密该请求。板114可以解密该请求并且根据SSL加密该请求。请求118被发送到内容提供者106。内容提供者访问请求的内容并且发送响应120,根据加密方案对该响应进行加密。在本发明的一个实施例中,根据SSL加密该响应。响应120被网关108接收。板114解密该响应并且根据另一个加密方案加密该响应。在本发明的一个实施例中,板解密该响应并且根据WTLS加密该响应。随后,响应122被发送到客户机装置110。
参考图2,示出采用本发明的方法的实施例实现的安全程序的举例。在200,在客户机和网关之间有一安全协议握手。随后,在202,客户机向网关提供安全参数指示,包括安全协议和密码参数。然后,在204,网关接收根据第一加密方案加密的数据。随后,在206,数据和安全参数被发送到板。随后,在208,板解密该数据并且防止从板以外访问数据。随后,在210,网关启动与服务器的安全协议握手,并且它们商定请求的安全参数。随后,在212,板接收来自网关的安全参数。随后,在214,板根据第二加密方案加密数据并且发射数据到网关。然后,在216,网关发射加密的数据到服务器。当来自服务器的数据被网关接收并且被发送到客户机时使用类似的安全程序。
图3示出一个本发明的安全加速板114的实施例。该板包括控制器300和硬件装置302。控制器从总线306接收数据和安全参数。在本发明的一个实施例中,控制器是现场可编程门阵列(FPGA)。根据一个加密方案加密数据。控制器300确定需要多少转换然后发射数据到硬件装置302。在本发明的一个实施例中,硬件装置302是可编程硬件装置。例如,硬件装置302可以是一个FPGA。在本发明的另一个实施例中,硬件装置302是不可编程硬件装置。例如,硬件装置302可以是专用集成电路(ASIC)。硬件装置302对从控制器接收的数据进行解密并且根据另一个加密方案对该数据进行加密。
在本发明的一个实施例中,在转换过程期间数据被存储在存储器308。控制器300控制存储器308的访问。在一个实施例中,控制器300防止从板114以外访问存储器。这防止网关108和网关以外的源访问该存储器。在本发明的一个实施例中,在转换过程期间可能有多于一个存储器被用于存储数据。在数据从一个加密方案转换到另一个加密方案以后,数据被发送到控制器300,以运出网关108。
在本发明的一个实施例中,板114包括第二硬件装置304。在这个实施例中,硬件装置302根据一个加密方案进行数据的解密和加密,而第二硬件装置304根据另一个加密方案进行数据的解密和加密。例如,假定板114被用于将数据从WTLS转换到SSL,从SSL转换到WTLS。硬件装置302可以被配置成用于SSL加密和解密,而第二硬件装置304可以被配置成用于WTLS加密和解密。因此,如果在控制器300接收的数据被SSL加密,控制器将发射数据到硬件装置302以解密该数据。随后,硬件装置302将发射该数据到第二硬件装置304以根据WTLS加密该数据。该数据随后被发送到控制器,用于运出网关。反之,如果在控制器接收的数据被WTLS加密,控制器将发射数据到第二硬件装置304以解密该数据。随后,第二硬件装置304将发射该数据到硬件装置302以根据SSL加密该数据。
在本发明的一个实施例中,第二硬件装置302是可编程硬件装置,例如FPGA。在本发明的另一个实施例中,第二硬件装置302是不可编程硬件装置,例如ASIC。
图4示出一个根据本发明的方法的实施例。在400,数据在第一硬件装置被接收,并且根据第一加密方案来加密。在本发明的一个实施例中,数据是从控制器接收的。在本发明的一个实施例中,在第一硬件装置接收数据和安全参数。然后,在402,数据在第一硬件装置被解密。在本发明的一个实施例中,数据随后被发送到第二硬件装置。在404,根据第二加密方案加密该数据。在本发明的一个实施例中,根据第二加密方案在第一硬件装置加密数据。在本发明的另一个实施例中,根据第二加密方案在第二硬件装置加密数据。在本发明的一个实施例中,在从第一加密方案到第二加密方案的转换期间,存储和重现(retrieved)解密数据。数据可以被存储在一个存储器。在本发明的一个实施例中,防止从板114外面访问存储的解密数据。这防止从网关108和任何的网关以外的源访问存储的解密数据。在本发明的一个实施例中,由控制器300防止访问存储的解密数据。在本发明的一个实施例中,根据第二加密方案加密的数据被发送到控制器,以运出网关。
包括摘要中所描述的,本发明举例说明的实施例的上述描述不意指穷举或者将限制本发明为准确的公开形式。当在此处为了说明性的目的描述本发明的具体实施例和举例时,在本发明范围内可能有不同的等价修改,本领域的普通技术人员将认识到这一点。
根据上述详细说明可以进行本发明的这些修改。在以下的权利要求中使用的术语将不会被解释为将本发明限制为说明书和权利要求中公开的具体实施例。当然,本发明的范围将完全由以下的权利要求来确定,其将根据权利要求说明的制定原则被解释。
权利要求
1.一种设备包括控制器,用于接收根据第一加密方案加密的数据和控制该数据的传送;以及偶联到控制器的硬件装置,用于解密该数据和根据第二加密方案加密该数据。
2.权利要求1所述的设备,其中用于接收根据第一加密方案加密的数据的控制器包括用于接收根据安全套接层协议加密的数据的控制器。
3.权利要求1所述的设备,其中用于接收根据第一加密方案加密的数据的控制器包括用于接收根据无线传输层安全协议加密的数据的控制器。
4.权利要求1所述的设备,偶联到控制器的用于解密数据和根据第二加密方案加密该数据的硬件装置包括偶联到控制器的用于解密数据和根据无线传输层安全协议加密该数据的硬件装置。
5.权利要求1所述的设备,偶联到控制器的用于解密数据和根据第二加密方案加密该数据的硬件装置包括偶联到控制器的用于解密数据和根据安全套接层协议加密该数据的硬件装置。
6.权利要求1所述的设备,进一步包括存储器,用于在从第一加密方案向第二加密方案的转换期间存储数据。
7.权利要求6所述的设备,其中,控制器进一步防止从第一加密方案向第二加密方案的转换期间从设备外部访问存储器。
8.权利要求1所述的设备,其中该硬件装置包括专用集成电路。
9.权利要求1所述的设备,其中该硬件装置包括现场可编程门阵列。
10.一种方法包括在一个硬件装置接收根据第一加密方案加密的数据;在该硬件装置解密该数据;以及根据第二加密方案加密该解密数据。
11.权利要求10所述的方法,其中根据第二加密方案加密该解密数据包括在硬件装置根据第二加密方案加密该解密数据。
12.权利要求10所述的方法,进一步包括发射解密数据到第二硬件装置,以及其中根据第二加密方案加密该解密数据包括在第二硬件装置根据第二加密方案加密该解密数据。
13.权利要求10所述的方法,其中在硬件装置接收数据包括在硬件装置接收数据和安全参数。
14.权利要求10所述的方法,进一步包括在从第一加密方案向第二加密方案的转换期间存储该解密数据和重现该数据。
15.权利要求14所述的方法,进一步包括在网关中的控制器接收数据,根据第一加密方案加密该数据。
16.权利要求15所述的方法,进一步包括发射根据第二加密方案加密的数据到网关中的控制器和发射该数据到网关外。
17.权利要求15所述的方法,进一步包括防止网关访问存储的解密数据。
18.权利要求15所述的方法,进一步包括防止网关以外的任何源访问存储的解密数据。
19.权利要求10所述的方法,其中在硬件装置接收根据第一加密方案加密的数据包括在硬件装置根据安全套接层协议加密的数据。
20.权利要求10所述的方法,其中在硬件装置接收根据第一加密方案加密的数据包括在硬件装置根据无线传输层安全协议加密的数据。
21.权利要求10所述的方法,其中根据第二加密方案加密该解密数据包括根据无线传输层安全协议加密该解密数据。
22.权利要求10所述的方法,其中根据第二加密方案加密该解密数据包括根据安全套接层协议加密该解密数据。
23.一种设备包括控制器,用于接收根据第一加密方案加密的数据;用于解密该数据的第一硬件装置;偶联到第一硬件装置和控制器的第二硬件装置,用于接收该解密数据和根据第二加密方案加密该数据。
24.权利要求23所述的设备,其中第一和第二硬件装置是现场可编程门阵列。
25.权利要求23所述的设备,其中第一和第二硬件装置是专用集成电路。
26.权利要求23所述的设备,其中用于接收根据第一个加密方案加密的数据的控制器包括用于接收根据安全套接层协议加密的数据的控制器。
27.权利要求23所述的设备,其中用于接收根据第一加密方案加密的数据的控制器包括用于接收根据无线传输层安全协议加密的数据的控制器。
28.权利要求27所述的设备,偶联到第一硬件装置和控制器的用于接收解密数据和根据第二加密方案加密该数据的第二硬件装置包括一偶联到第一硬件装置和控制器的用于接收解密数据和根据安全套接层协议加密该数据的第二硬件装置。
29.权利要求26所述的设备,偶联到第一硬件装置和控制器的用于接收解密数据和根据第二加密方案加密该数据的第二硬件装置包括一个偶联到第一硬件装置和控制器的用于接收解密数据和根据无线传输层安全协议加密该数据的第二硬件装置。
30.权利要求23所述的设备,进一步包括存储器,以在从第一加密方案向第二加密方案的转换期间存储该数据,控制器进一步防止从第一加密方案向第二加密方案的转换期间设备外部访问该存储器。
全文摘要
提供了一种用于加速加密方案之间转换过程的方法和系统。该系统在一个网关包括一个板。该板包括一个控制器,以接收安全参数和根据第一加密方案加密的数据并且控制该数据的传送。该系统包括偶联到该控制器的硬件装置,对数据进行解密并且根据第二加密方案对该数据进行加密。该数据随后被发送到控制器,用于运出网关。
文档编号H04L29/08GK1640093SQ03805129
公开日2005年7月13日 申请日期2003年2月14日 优先权日2002年3月7日
发明者K·奥杜苏米利 申请人:英特尔公司