提高网络报文加密存储安全性的方法及装置与流程

本发明属于通信设计领域，主要涉及一种提高网络报文加密存储安全性的方法和装置。

背景技术：

在高安全需求网络中，以太网交换芯片需要有效防御未知漏洞或后门攻击。普通以太网交换芯片若对报文数据存储进行算法加密操作，可以提高系统的安全性，有效防御后门攻击。

现有技术中，通常利用随机数作为密钥对报文数据进行算法加密存储，读取数据后使用相同的密钥进行算法解码操作；如此，使得攻击者短时间内很难在密钥未知情况下发生攻击。

然而，因为完整的报文从sop(报文开始的第一个切片数据)至eop(报文结束的最后切片数据)需要使用同一个随机密钥进行算法加密与解密，现有技术的传输方法，若每隔一段时间切换随机密钥则会造成一些报文的解密错误；若系统工作中一直保持密钥不变，又会降低系统安全性能。

技术实现要素：

为解决上述技术问题，本发明的目的在于提供一种提高网络报文加密存储安全性的方法和装置。

为了实现上述发明目的之一，本发明一实施方式提供一种提高网络报文加密存储安全性的方法，所述方法包括：加密流程和解密流程；

所述加密流程包括：

采用相同间隔轮换刷新并切换第一秘钥和第二秘钥，将在奇数周期开始接收到报文采用第一秘钥进行加密，第一秘钥作用至奇数周期开始接收的报文加密完成；将在偶数周期开始接收到的报文采用第二秘钥进行加密，第二秘钥作用至偶数周期开始接收的报文加密完成；

并在报文传递过程中产生秘钥标识，将每一报文对应的秘钥标识发送至数据读出端，所述秘钥标识用于标识当前报文加密时使用第一秘钥或是第二秘钥；

所述解密流程包括：

读出报文过程中，解析报文以获取其携带的秘钥标识，根据秘钥标识确定当前报文加密时采用的秘钥，并根据加密相同的秘钥解密报文。

作为本发明一实施方式的进一步改进，加密流程中，所述方法还包括：采用同一lfsr发生器生成预定位数的秘钥，每次触发lfsr发生器时进行刷新，并在每次刷新服务时，将产生的秘钥值轮换指定给第一秘钥和第二秘钥。

作为本发明一实施方式的进一步改进，加密流程中，所述方法还包括：在任一个周期内，若监测到报文的sop数据，则记录当前周期内刷新后的第一秘钥或第二秘钥，根据第一秘钥或第二秘钥形成描述符指定给sop数据；并将该第一秘钥或第二秘钥指定给sop数据之后的body数据和eop数据，以对同一报文采用同一秘钥进行加密。

作为本发明一实施方式的进一步改进，加密流程中，将每一报文对应的秘钥标识发送至数据读出端具体包括：在每一报文的sop数据的描述符中封装秘钥标识信息，将所述描述符发送至数据读出端；

解密流程的读出报文过程中，解析报文描述符以获取其携带的秘钥标识。

作为本发明一实施方式的进一步改进，所述方法还包括：任一相邻奇偶周期的时间和大于芯片中任一个报文的sop数据被存储延续至其eop数据被读出的最大时间。

为了实现上述发明目的之一，本发明一实施方式提供一种提高网络报文加密存储安全性的装置，所述装置包括：加密模块和解密模块；所述加密模块包括：秘钥间隔控制单元，加密单元以及数据传输控制单元；

所述秘钥间隔控制单元用于采用相同间隔轮换刷新并切换第一秘钥和第二秘钥；

所述加密单元用于：将在奇数周期开始接收到报文采用第一秘钥进行加密，第一秘钥作用至奇数周期开始接收的报文加密完成；将在偶数周期开始接收到的报文采用第二秘钥进行加密，第二秘钥作用至偶数周期开始接收的报文加密完成；

所述数据传输控制单元用于：在报文传递过程中产生秘钥标识，将每一报文对应的秘钥标识发送至数据读出端，所述秘钥标识用于标识当前报文加密时使用第一秘钥或是第二秘钥；

所述解密模块用于：在读出报文过程中，解析报文以获取其携带的秘钥标识，根据秘钥标识确定当前报文加密时采用的秘钥，并根据加密相同的秘钥解密报文。

作为本发明一实施方式的进一步改进，秘钥间隔控制单元还用于：采用同一lfsr发生器生成预定位数的秘钥，每次触发lfsr发生器时进行刷新，并在每次刷新服务时，将产生的秘钥值轮换指定给第一秘钥和第二秘钥。

作为本发明一实施方式的进一步改进，所述加密单元还用于：在任一个周期内，若监测到报文的sop数据，则记录当前周期内刷新后的第一秘钥或第二秘钥，根据第一秘钥或第二秘钥形成描述符指定给sop数据；并将该第一秘钥或第二秘钥指定给sop数据之后的body数据和eop数据，以对同一报文采用同一秘钥进行加密。

作为本发明一实施方式的进一步改进，所述数据传输控制单元具体用于：在每一报文的sop数据的描述符中封装秘钥标识信息，将所述描述符发送至数据读出端；

所述解密模块还用于：在读出报文过程中，解析报文描述符以获取其携带的秘钥标识。

作为本发明一实施方式的进一步改进，所述装置还包括：配置模块，用于配置任一相邻奇偶周期的时间和大于芯片中任一个报文的sop数据被存储延续至其eop数据被读出的最大时间。

与现有技术相比，本发明的有益效果是：本发明的提高网络报文加密存储安全性的方法和装置，在现有加密算法基础上增加极少的逻辑量，即可以在对报文加密解密过程中，通过两个动态切换的第一密钥和第二秘钥，来提高算法加密的可靠性，保护芯片系统安全性，抵御未知漏洞和/或后门攻击。

附图说明

图1是本发明一实施方式提供的提高网络报文加密存储安全性的方法的流程示意图；

图2是本发明一实施方式提供的提高网络报文加密存储安全性的装置的模块示意图；

图3、图4是本发明一具体应用场景中的报文传递结构示意图。

具体实施方式

以下将结合附图所示的具体实施方式对本发明进行详细描述。但这些实施方式并不限制本发明，本领域的普通技术人员根据这些实施方式所做出的结构、方法、或功能上的变换均包含在本发明的保护范围内。

如图1所示，本发明一实施方式提供的提高网络报文加密存储安全性的方法，所述方法包括：加密流程和解密流程；

所述加密流程包括：采用相同间隔轮换刷新并切换第一秘钥和第二秘钥，将在奇数周期开始接收到报文采用第一秘钥进行加密，第一秘钥作用至奇数周期开始接收的报文加密完成；将在偶数周期开始接收到的报文采用第二秘钥进行加密，第二秘钥作用至偶数周期开始接收的报文加密完成；并在报文传递过程中产生秘钥标识，将每一报文对应的秘钥标识发送至数据读出端，所述秘钥标识用于标识当前报文加密时使用第一秘钥或是第二秘钥；

所述解密流程包括：读出报文过程中，解析报文以获取其携带的秘钥标识，根据秘钥标识确定当前报文加密时采用的秘钥，并根据加密相同的秘钥解密报文。

本发明具体实现方式中，加密流程中，所述方法还包括：采用同一lfsr发生器生成预定位数的秘钥，每次触发lfsr发生器时进行刷新，并在每次刷新服务时，将产生的秘钥值轮换指定给第一秘钥和第二秘钥。

lfsr发生器为线性反馈移位寄存器的简称，实际应用中，其数量根据秘钥所需的位数进行设定，本发明具体示例中，例如：报文数据宽度为384bit，相应的，参与加密算法的秘钥的宽度也需要384bit，如此，可以设置6份64bit的lfsr产生384bit的key；进一步的，间隔刷新并将产生的key值轮换指定给第一秘钥和第二秘钥。

较佳的，加密流程中，所述方法还包括：在任一个周期内，若监测到报文的sop数据，则记录当前周期内刷新后的第一秘钥或第二秘钥，根据第一秘钥或第二秘钥形成描述符指定给sop数据；并将该第一秘钥或第二秘钥指定给sop数据之后的body数据和eop数据，以对同一报文采用同一秘钥进行加密。

可以理解的是，以太网交换机芯片中，不同端口的数据报文交替传输，同一端口的数据报文顺序传输；为了保证切换秘钥后，解密同样不会出错，本发明具体实施方式中，对同一报文采用相同的秘钥进行加密。

较佳的，加密流程中，将每一报文对应的秘钥标识发送至数据读出端具体包括：在每一报文的sop数据的描述符中封装秘钥标识信息，将所述描述符发送至数据读出端。

本发明可实现方式中，根据秘钥数量的多少，可以选择用不同的秘钥标识，本具体示例中，由于选择两个秘钥，第一秘钥和第二秘钥，如此，可以采用二进制数值0和1为第一秘钥和第二秘钥对应的秘钥标识；具体的，将第一秘钥以keya标识，第二秘钥以keyb标识，则秘钥标识keyid可以表示为0：keya，1：keyb，即当描述符中携带的秘钥标识为0时，表示采用第一秘钥进行加密和解密，当描述符中携带的秘钥标识为1时，表示采用第二秘钥进行加密和解密。

较佳的，本发明具体实施方式中，利用上述刷新和切换秘钥的方法，在加密过程中，对于同一报文，第一秘钥和第二秘钥的值大约保持在两个周期不变，同时，在调度读取数据时，也是在该两个周期内使用相同的秘钥进行解密；为了保证秘钥不会混淆，本发明较佳实施方式中，所述方法还包括：任一相邻奇偶周期的时间和大于芯片中任一个报文的sop数据被存储延续至其eop数据被读出的最大时间。

可以理解的是，在本发明具体示例中，每一周期的延续时间越短，系统秘钥更新越频繁，芯片的安全性能越高。

对于解密流程，解析报文的描述符并获得秘钥标识，通过秘钥标识确认当前报文加密时采用第一秘钥或第二秘钥；进一步，根据加密时相同的第一秘钥或第二秘钥解密当前报文，并进行数据读出。

结合图2所示，本发明一实施方式提供一种提高网络报文加密存储安全性的装置，所述装置包括：加密模块100，解密模块200和配置模块300；所述加密模块100包括：所述加密模块100包括：秘钥间隔控制单元101，加密单元103以及数据传输控制单元105。

所述秘钥间隔控制单元101用于采用相同间隔轮换刷新并切换第一秘钥和第二秘钥；所述加密单元103用于：将在奇数周期开始接收到报文采用第一秘钥进行加密，第一秘钥作用至奇数周期开始接收的报文加密完成；将在偶数周期开始接收到的报文采用第二秘钥进行加密，第二秘钥作用至偶数周期开始接收的报文加密完成；所述数据传输控制单元105用于：在报文传递过程中产生秘钥标识，将每一报文对应的秘钥标识发送至数据读出端，所述秘钥标识用于标识当前报文加密时使用第一秘钥或是第二秘钥；所述解密模块200用于：在读出报文过程中，解析报文以获取其携带的秘钥标识，根据秘钥标识确定当前报文加密时采用的秘钥，并根据加密相同的秘钥解密报文；配置模块300用于配置任一相邻奇偶周期的时间和大于芯片中任一个报文的sop数据被存储延续至其eop数据被读出的最大时间。

较佳的，秘钥间隔控制单元101还用于：采用同一lfsr发生器生成预定位数的秘钥，每次触发lfsr发生器时进行刷新，并在每次刷新服务时，将产生的秘钥值轮换指定给第一秘钥和第二秘钥。

所述加密单元103还用于：在任一个周期内，若监测到报文的sop数据，则记录当前周期内刷新后的第一秘钥或第二秘钥，根据第一秘钥或第二秘钥形成描述符指定给sop数据；并将该第一秘钥或第二秘钥指定给sop数据之后的body数据和eop数据，以对同一报文采用同一秘钥进行加密。

所述数据传输控制单元105还用于：在每一报文的sop数据的描述符中封装秘钥标识信息，将所述描述符发送至数据读出端。

对于解密流程，解密模块200具体用于：解析报文的描述符并获得秘钥标识，通过秘钥标识确认当前报文加密时采用第一秘钥或第二秘钥；进一步，根据加密时相同的第一秘钥或第二秘钥解密当前报文，并进行数据读出。

为了便于理解，以下描述一具体示例供参考。

结合图3所示，在该具体示例中，中间部分为数据报文缓存区，其可以由一块或多块ram组成，通过空闲地址来缓存数据报文；左半部分为数据报文加密框图，右半部分为数据报文解密框图；其中，图中左右部分的第一秘钥(keya)和第二秘钥(keyb)为同一份，即实际应用中，左右部分的keya为一份，采用一个寄存器存储，左右部分的存储keyb为一份，采用一个寄存器存储；本示例为了便于理解，将keya和keyb以左右两边示出两份进行标识。需要说明的是，本发明的目的是通过随机切换密钥以提高芯片安全性，因此，技术中算法加解密的具体实现功能与本技术无关，故没有对加解密过程做进一步详细赘述。

该具体示例中，以报文数据宽度为384bit为例，参与加密算法密钥的宽度也需384bit，相应的，本发明使用6份64bit的lfsr产生384bit的key，并通过秘钥间隔控制单元101间隔地刷新keya和keyb密钥值，同时，还会间隔切换使用keya和keyb，所述数据传输控制单元105将当前的keyid(0：keya，1：keyb)通过描述符携带发送至数据读出端。

在该具体示例中，结合图4所示，秘钥间隔控制单元101每间隔预设时间触发脉冲以进行秘钥刷新，具体参照keyrefresh脉冲时序，在该示例中，高电平触发，预设时间可根据需要自定义，例如1s，2s，高电平与其相邻的低电平形成一个周期；在该具体示例中，在pret1至pret2之间为第1个周期，在pret2至pret3之间为第2个周期，在pret3至pret4之间为第3个周期，在pret4至pret5之间为第4个周期；且在奇数周期期间开始传递的报文以keya加密，相应的其对应携带的keyid为0，在偶数周期期间开始传递的报文以keyb加密，相应的其对应携带的keyid为1；需要说明的是，在任一周期开始传递的报文，其对应body数据以及eop数据的加密不受周期影响，其一直保持与sop数据相同的秘钥进行加密；如此，因为相邻奇偶周期的时间和大于芯片中任一个报文的sop数据被存储延续至其eop数据被读出的最大时间，如此，虽然加密秘钥轮换刷新，但每一报文均可以在大约2个周期内完成加密和解密操作，且解密秘钥不会混淆，进而以提高算法加密的可靠性。

综上所述，本发明的提高网络报文加密存储安全性的方法和装置，在现有加密算法基础上增加极少的逻辑量，即可以在对报文加密解密过程中，通过两个动态切换的第一密钥和第二秘钥，来提高算法加密的可靠性，保护芯片系统安全性，抵御未知漏洞和/或后门攻击。

以上所描述的系统实施方式仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件是逻辑模块，即可以位于芯片逻辑中的一个模块中，或者也可以分布到芯片内的多个数据处理模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施方式方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本申请可用于众多通用或专用的芯片设计中。例如：交换芯片、路由器芯片，服务器芯片等等。

应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施方式中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明，它们并非用以限制本发明的保护范围，凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。