专利名称:保证安全联盟信息安全的方法和装置的制作方法
技术领域:
本发明涉及通讯领域,尤其涉及一种保证SA(安全联盟)信息安全的方法和装置。
背景技术:
我国的互联网,在国家大力倡导和积极推动下,在经济建设和各项事业中得到日益广泛的应用,使人们的生产、工作、学习和生活方式已经开始并将继续发生深刻的变化,同时,如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。
随着越来越多的互联网用户认识到网络安全的重要性,安全特性逐渐成为通信设备的必备特性之一。现有技术中,一种常用的网络安全解决方案示意图如图1所示。在该方案中,采用NSP(网络安全处理器)芯片作为网络CPU(中央处理器)的协处理器,NSP辅助CPU完成安全协议处理和加密解密等安全处理操作,下面简单介绍一下该方案的具体处理流程,包括如下过程1、CPU根据SA索引,通过系统总线把包括加解密密钥等信息的SA(安全联盟)明文信息下发到NSP附属的SA_SDRAM(NSP芯片附属的用于存储安全关联的存储器)中,SA_SDRAM把该SA明文信息在相应地址中进行存储。
2、当需要对报文进行安全性处理时,CPU把待处理的报文和对应的SA索引下发到NSP芯片中。
3、NSP首先根据SA索引,去SA_SDRAM读取相应的SA明文数据,得到加解密密钥等相关信息。
4、NSP根据获得的SA明文信息,对待处理的报文进行加解密和安全协议处理等安全处理操作,然后,把处理后报文上传到CPU,把更新后的SA明文信息回写到SA_SDRAM中。
上面所述现有技术的解决方案的缺点为保护网络安全的关键信息SA信息以明文的方式在系统总线上传输,在传输过程中可能被窃取;SA还以明文的方式存储在本地SDRAM中,恶意攻击者可以通过系统总线或读取SA_SDRAM窃取SA信息。总之,该方案中SA信息容易被攻击者窃取,网络安全性比较低。
发明内容
鉴于上述现有技术所存在的问题,本发明的目的是提供一种保证SA信息安全的方法和装置,从而可以有效地保证SA信息的安全,提高网络安全性。
本发明的目的是通过以下技术方案实现的一种保证安全联盟信息安全的装置,包括中央处理器用于和加密芯片通过密钥交换算法协商得到共享密钥,利用该共享密钥和对称加密算法对安全联盟SA信息进行加密,并将SA密文信息传递给加密芯片;加密芯片用于和中央处理器通过密钥交换算法协商得到共享密钥,利用该共享密钥和对称加密算法对保存的SA密文信息进行解密得到SA明文信息,并利用该SA明文信息对报文进行安全处理。
所述的中央处理器具体包括密钥生成模块用于和加密芯片中的密钥生成模块通过D-H密钥交换算法协商获得共享密钥,并将生成的共享密钥保存在其附属内存中,同时传递给加解密处理模块;加解密处理模块用于根据接收到的共享密钥通过对称加密算法对SA信息进行加密,并将SA密文信息和SA索引通过系统总线传递给加密芯片;报文发送和接收模块用于将待处理的报文和SA索引发送给加密芯片,并接收加密芯片处理后的报文。
所述的加密芯片具体包括密钥生成模块用于和中央处理器中的密钥生成模块通过密钥交换算法协商获得共享密钥,并将生成的共享密钥保存在芯片内部,同时传递给加解密处理模块;加解密和报文处理模块用于根据接收到的SA索引从安全联盟保存模块中获得SA密文信息,利用共享密钥通过对称加密算法对SA密文信息进行解密得到SA明文信息,利用SA明文信息对接收的报文进行安全处理操作,然后对更新后的SA明文信息进行加密并传递给安全联盟保存模块;安全联盟保存模块用于接受中央处理器和加解密处理模块传递过来的SA密文信息,根据SA索引将接收的SA密文信息进行保存。
一种基于上面所述装置的保证安全联盟信息安全的方法,包括A、CPU和加密芯片通过密钥交换算法协商得到共享密钥;B、CPU和所述加密芯片利用所述共享密钥,通过对称加密算法对SA信息进行加解密操作。
所述的步骤A还包括CPU和加密芯片将得到的共享密钥保存在其芯片内部。
所述的密钥交换算法包括D-H密钥交换算法,并且CPU和加密芯片通过系统总线传递该D-H密钥交换算法的全局公开的参数。
所述的步骤B具体包括B1、CPU利用对称加密算法和所述共享密钥对SA信息进行加密,并将得到的SA密文信息和SA索引传递给加密芯片;B2、加密芯片利用对称加密算法和所述共享密钥对SA密文信息进行解密,得到SA明文信息。
所述的对称加密算法包括高级数据加密标准算法AES或数据加密标准DES。
所述的步骤B1还包括加密芯片根据接收到的SA索引,将得到的SA密文信息保存在其内部相应地址中。
所述的步骤B2具体包括B21、CPU把待处理的报文和SA索引通过系统总线传递给加密芯片;B22、加密芯片根据接收到SA索引,查找得到相应的SA密文信息,利用对称加密算法和所述共享密钥对SA密文信息进行解密,得到SA明文信息。
所述的步骤B22还包括加密芯片利用得到的SA明文信息对接收到的报文进行安全处理操作,把处理后的报文传递给CPU,并利用对称加密算法和共享密钥加密更新后的SA明文信息,并将获得的SA密文信息重新进行保存。
由上述本发明提供的技术方案可以看出,本发明和现有技术相比,具有如下优点本发明在系统总线上只传输SA的密文,可以防止攻击者通过系统总线探测SA信息;在SA_SDRAM中只存储SA的密文,可以防止攻击者通过读取SA_SDRAM探测SA信息;通过协商的方式得到CPU,NSP的共享加解密密钥,密钥只存在于NSP芯片内部,密钥不出现在系统总线上,可以保证SA密文不被破译。总之,本发明可以有效地保证SA信息的安全,提高网络安全性。
图1为现有技术中一种常用的网络安全解决方案示意图;图2为本发明所述方法的具体处理流程图;图3为本发明所述装置的结构图。
具体实施例方式
本发明提供了一种保证安全联盟信息安全的方法和装置。本发明的核心为利用共享密钥对SA信息进行加密存放和传输,密钥只存在于加密芯片内部,不出现在系统总线上,保证了SA信息的安全。
下面结合附图来详细描述本发明,本发明所述方法的具体处理流程如图1所示。包括如下步骤步骤2-1、CPU和加密芯片通过D-H密钥交换算法协商得到共享密钥。
下面我们首先介绍一下D-H(一种密钥交换算法)密钥交换算法。
D-H密钥交换算法可以使两个用户能安全地交换一个共享密钥,以便于以后的报文加密。D-H密钥交换算法的安全性依赖于计算离散对数的难度。
D-H密钥交换算法首先需要选择两个全局公开的参数1、参数q,q为一个素数;2、参数a,a<q,a是q的一个原根。
然后需要进行密钥交换的两个用户用户A、用户B分别产生共享密钥,具体产生共享密钥的过程如下用户A密钥产生1、选择一个私有的随即数XA,XA<q;2、根据XA和全局公开的参数,产生一个公开的YA,YA=aXAmod q。
然后用户A将公开的YA传递给用户B。
用户B密钥产生1、选择一个私有的随即数XB,XB<q;
2、根据XA和全局公开的参数,产生一个公开的YB,YB=aXBmod q。
然后用户B将公开的YB传递给用户A。
最后,用户A根据接收到的YB,产生秘密密钥为K=YBXAmod q;用户B根据接收到的YA,产生秘密密钥为 K=YAXBmod q。
因为YBXA=aXB*XA=aXA*XB=YAXB。因此,用户A和用户B产生的秘密密钥K是相同的,K即为用户A和用户B的共享加解密密钥。
于是,利用系统CPU辅助完成上述操作,CPU首先确定D-H密钥交换算法的两个全局公开的参数q和a,通过系统总线将q和a传递给加密芯片。然后,CPU和加密芯片通过上面所述的D-H密钥交换算法,协商得到一个共享密钥,并将该共享密钥存储在CPU和加密芯片的内部。所述加密芯片可以通过NSP来实现。
步骤2-2、CPU利用对称加密算法和共享密钥把SA信息加密,并根据SA索引把SA密文信息下发到加密芯片中。
我们首先介绍一下对称加密算法,对称加密算法包括AES(高级数据加密标准算法),DES(数据加密标准)等加密算法,使用对称加密算法可以对一个数据分组进行加密,把明文变为密文。在解密时只有使用与加密时相同的密钥才能把密文恢复成原有明文。因此,利用对称加密算法可以达到保密数据的目的。
CPU利用选择的对称加密算法,比如AES,和步骤2-1产生的共享密钥把SA信息加密,并根据SA索引,通过系统总线把SA密文信息下发到加密芯片中。
步骤2-3、CPU把待处理的报文和对应的SA索引下发到加密芯片中。
当需要对报文进行安全性处理时,CPU把待处理的报文和对应的SA索引通过系统总线下发到加密芯片中。
步骤2-4、加密芯片根据SA索引读取SA密文数据,并进行解密得到SA明文信息。
加密芯片根据接收到的SA索引读取SA密文数据,并利用选择的对称加密算法和步骤2-1产生的共享密钥解密读取的SA密文数据,得到SA明文信息。
步骤2-5、加密芯片根据SA明文信息,处理对应报文,生成更新后的SA信息。
加密芯片根据获得的SA明文信息,对待处理的报文进行加解密和安全协议处理等安全处理操作,同时生成更新后的SA信息,然后,把经过处理的报文通过系统总线上传到CPU。
步骤2-6、加密芯片利用对称加密算法和共享密钥加密更新后的SA信息,得到SA密文信息,并将获得的SA密文信息重新进行保存。
加密芯片在对报文进行安全处理操作后,利用对称加密算法和共享密钥加密更新后的SA信息,得到SA密文信息,并将获得的SA密文信息重新存储。
总之,利用本发明所述方法可以有效地保护SA信息的安全,利用SA信息对报文进行安全处理操作。
本发明所述装置的结构图如图3所示,包括如下模块中央处理器在原有功能基础上,增加如下功能用于和加密芯片中的密钥生成模块通过密钥交换算法协商获得共享密钥,利用该共享密钥对SA信息进行加密,并将SA密文信息传递给加密芯片,中央处理器还将待处理的报文和SA索引发送给加密芯片,并接收加密芯片处理后的报文。中央处理器增加的功能模块,包括密钥生成模块、加解密处理模块和报文发送和接收模块。
其中,密钥生成模块用于和加密芯片中的密钥生成模块通过D-H密钥交换算法协商获得共享密钥,在生成共享密钥的过程中和加密芯片通过系统总线传递公开参数。然后,将生成的共享密钥保存在其附属的内存中,同时传递给加解密处理模块。
其中,加解密处理模块用于根据接收到的共享密钥和选择的对称加密算法,对SA信息进行加密,并将SA密文信息和SA索引通过系统总线传递给加密芯片。
其中,报文处理模块用于将待处理的报文和SA索引发送给加密芯片,并接收加密芯片处理后的报文。
上述中央处理器增加的功能是通过软件来实现的。
加密芯片用于保存SA密文信息,和中央处理器中的密钥生成模块通过D-H密钥交换算法协商获得共享密钥,利用该共享密钥对SA信息进行解密得到SA明文信息,利用SA明文信息对接收的报文进行安全处理操作,并将处理后的报文传递给中央处理器,然后对更新后的SA明文信息进行加密并传递给安全联盟保存模块。加密芯片包括密钥生成模块、加解密处理模块、安全联盟保存模块。
其中,密钥生成模块用于和中央处理器中的密钥生成模块通过D-H密钥交换算法协商获得共享密钥,在生成共享密钥的过程中和中央处理器通过系统总线传递公开参数。然后,将生成的共享密钥保存在其内部的芯片中,同时传递给加解密处理模块。
其中,加解密和报文处理模块用于根据接收到的SA索引从安全联盟保存模块中获得SA密文信息,然后利用共享密钥和选择的对称加密算法对SA密文信息进行解密得到SA明文信息,利用SA明文信息对接收的报文进行安全处理操作,并将处理后的报文通过系统总线传递给中央处理器。并利用共享密钥和选择的对称加密算法对更新后的SA明文信息进行加密,根据SA索引将更新后的SA密文信息传递给安全联盟保存模块。
其中,安全联盟保存模块用于接受中央处理器和加解密处理模块传递过来的SA密文信息,根据SA索引将接收的SA密文信息进行保存。
所述加密芯片中的密钥生成模块、加解密处理模块和安全联盟保存模块是通过硬件来实现的。
所述加密芯片可以通过对NSP进行适当的改进来实现,所述安全联盟保存模块可以通过SA_SDRAM来实现。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种保证安全联盟信息安全的装置,其特征在于,包括中央处理器用于和加密芯片通过密钥交换算法协商得到共享密钥,利用该共享密钥和对称加密算法对安全联盟SA信息进行加密,并将SA密文信息传递给加密芯片;加密芯片用于和中央处理器通过密钥交换算法协商得到共享密钥,利用该共享密钥和对称加密算法对保存的SA密文信息进行解密得到SA明文信息,并利用该SA明文信息对报文进行安全处理。
2.根据权利要求1所述保证安全联盟信息安全的装置,其特征在于,所述的中央处理器具体包括密钥生成模块用于和加密芯片中的密钥生成模块通过D-H密钥交换算法协商获得共享密钥,并将生成的共享密钥保存在其附属内存中,同时传递给加解密处理模块;加解密处理模块用于根据接收到的共享密钥通过对称加密算法对SA信息进行加密,并将SA密文信息和SA索引通过系统总线传递给加密芯片;报文发送和接收模块用于将待处理的报文和SA索引发送给加密芯片,并接收加密芯片处理后的报文。
3.根据权利要求1或2所述保证安全联盟信息安全的装置,其特征在于,所述的加密芯片具体包括密钥生成模块用于和中央处理器中的密钥生成模块通过密钥交换算法协商获得共享密钥,并将生成的共享密钥保存在芯片内部,同时传递给加解密处理模块;加解密和报文处理模块用于根据接收到的SA索引从安全联盟保存模块中获得SA密文信息,利用共享密钥通过对称加密算法对SA密文信息进行解密得到SA明文信息,利用SA明文信息对接收的报文进行安全处理操作,然后对更新后的SA明文信息进行加密并传递给安全联盟保存模块;安全联盟保存模块用于接受中央处理器和加解密处理模块传递过来的SA密文信息,根据SA索引将接收的SA密文信息进行保存。
4.一种基于上面所述装置的保证安全联盟信息安全的方法,其特征在于,包括A、CPU和加密芯片通过密钥交换算法协商得到共享密钥;B、CPU和所述加密芯片利用所述共享密钥,通过对称加密算法对SA信息进行加解密操作。
5.根据权利要求4所述保证安全联盟信息安全的方法,其特征在于,所述的步骤A还包括CPU和加密芯片将得到的共享密钥保存在其芯片内部。
6.根据权利要求5所述保证安全联盟信息安全的方法,其特征在于,所述的密钥交换算法包括D-H密钥交换算法,并且CPU和加密芯片通过系统总线传递该D-H密钥交换算法的全局公开的参数。
7.根据权利要求4、5或6所述保证安全联盟信息安全的方法,其特征在于,所述的步骤B具体包括B1、CPU利用对称加密算法和所述共享密钥对SA信息进行加密,并将得到的SA密文信息和SA索引传递给加密芯片;B2、加密芯片利用对称加密算法和所述共享密钥对SA密文信息进行解密,得到SA明文信息。
8.根据权利要求7所述保证安全联盟信息安全的方法,其特征在于,所述的对称加密算法包括高级数据加密标准算法AES或数据加密标准DES。
9.根据权利要求7所述保证安全联盟信息安全的方法,其特征在于,所述的步骤B1还包括加密芯片根据接收到的SA索引,将得到的SA密文信息保存在其内部相应地址中。
10.根据权利要求9所述保证安全联盟信息安全的方法,其特征在于,所述的步骤B2具体包括B21、CPU把待处理的报文和SA索引通过系统总线传递给加密芯片;B22、加密芯片根据接收到SA索引,查找得到相应的SA密文信息,利用对称加密算法和所述共享密钥对SA密文信息进行解密,得到SA明文信息。
11.根据权利要求10所述保证安全联盟信息安全的方法,其特征在于,所述的步骤B22还包括加密芯片利用得到的SA明文信息对接收到的报文进行安全处理操作,把处理后的报文传递给CPU,并利用对称加密算法和共享密钥加密更新后的SA明文信息,并将获得的SA密文信息重新进行保存。
全文摘要
本发明涉及一种保证安全联盟信息安全的装置和方法,该装置主要包括中央处理器用于和加密芯片通过密钥交换算法协商得到共享密钥,利用该共享密钥和对称加密算法对安全联盟SA信息进行加密,并将SA密文信息传递给加密芯片;加密芯片用于和中央处理器通过密钥交换算法协商得到共享密钥,利用该共享密钥和对称加密算法对保存的SA密文信息进行解密得到SA明文信息,并利用该SA明文信息对报文进行安全处理。利用本发明,可以有效地保证SA信息的安全,提高网络安全性。
文档编号G06F1/00GK1863040SQ20051008394
公开日2006年11月15日 申请日期2005年7月14日 优先权日2005年7月14日
发明者王海 申请人:华为技术有限公司