本发明涉及通信网络技术领域,尤其涉及一种自适应切换密钥的方法及装置。
背景技术:
随着计算机领域的飞速发展,加密技术在计算机领域得到广泛应用;加密技术主要利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密),深受广大用户的喜爱。
现有的报文加密技术主要采用软件加密形式,将需要加密的报文传送给CPU进行软件加密处理,CPU处理完成后将加密的报文传送到芯片中继续传送,同样解密时也需要将报文传送给CPU进行解密处理,解密完成CPU回复给接收端解密完成。
在实现本发明的过程中,发明人发现现有技术中至少存在如下技术问题:
现有加密技术采用CPU软件加密处理的方法,不符合交换机高带宽、高性能低延时的要求;同时软件加密的方法保密性低,容易破解。
技术实现要素:
本发明提供的自适应切换密钥的方法及装置,能够以一定频率自适应切换密钥,切换过程不增加芯片额外的操作周期,不影响报文正常转发,低延时,不丢包,从而在某种程度上防止第三方破解密钥。
第一方面,本发明提供一种自适应切换密钥的方法,包括:
获取报文发送端口和接收端口所协商密钥对应的当前关联编号AN值和下个AN值;
获取当前出端口自适应切换密钥的加密模式;
判断当前加密模式下的设置阈值是否被触发;
当所述当前加密模式下的设置阈值被触发时,用所述下个AN值替换所述当前AN值;
根据替换后的AN值信息获取对应的密钥并加密报文。
可选地,所述判断当前加密模式下设置阈值是否被触发包括;
当所述当前出端口加密模式是基于时间触发时,根据寄存器中标识符信息判断是否达到阈值;
当所述当前出端口加密模式是基于报文个数的切换时,根据当前报文编号PN值中报文数量与设置阈值对比结果判断是否达到阈值。
可选地,所述当所述加密密钥的模式中设置阈值被触发时,用所述下个AN值替代所述当前AN值还包括:
上报一个中断通知CPU本次的切换;
接收CPU指令在报文发送和接收端口之间协商新密钥并将所述新密钥及新密钥对应AN值保存到交换机芯片中,清除中断。
可选地,在所述获取报文发送端口和接收端口所协商密钥对应的当前关联编号AN值和下个AN值之前,所述方法还包括:
判断当前出端口所属的组网环境是点到点组网环境还是点到多点组网环境;
当所述当前出端口是点到点组网环境时,根据当前出端口加密索引,获取当前AN值和下个AN值;
当所述当前出端口是点到多点组网环境时,获取点到多点组网环境中的SCI字段,根据所述SCI字段识别端口信息,根据所述端口信息获取当前AN值和下个AN值。
可选地,所述方法还包括:
根据接收端端口号获取解密索引;
当所述接收端端口是点到点组网环境时,根据所述解密索引和报文中每次更新的AN值记录获取解密密钥;
当所述接收端端口是点到多点组网环境时,根据报文中的SCI字段和AN值获取解密密钥。
第二方面,本发明提供一种自适应切换密钥的装置,包括:
第一获取单元,用于获取报文发送端口和接收端口所协商密钥对应的当前关联编号AN值和下个AN值;
第二获取单元,用于获取当前出端口自适应切换密钥的加密模式;
第一判断单元,用于判断当前加密模式下的设置阈值是否被触发;
替换单元,用于当所述当前加密模式下的设置阈值被触发时,用所述下个AN值替换所述当前AN值;
加密单元,用于根据替换后的AN值信息获取对应的密钥并加密报文。
可选地,所述第一判断单元包括:
第一判断模块,用于当所述当前出端口加密模式是基于时间触发时,根据寄存器中标识符信息判断是否达到阈值;
第二判断模块,用于当所述当前出端口加密模式是基于报文个数的切换时,根据当前报文编号PN值中报文数量与设置阈值对比结果判断是否达到阈值。
可选地,所述替换单元包括:
上报模块,用于上报一个中断通知CPU本次的切换;
更新模块,用于接收CPU指令在报文发送和接收端口之间协商新密钥并将所述新密钥及新密钥对应AN值保存到交换机芯片中,清除中断。
可选地,其特征在于,所述装置还包括:
第二判断单元,用于在所述第一获取单元获取报文发送端口和接收端口所协商密钥对应的当前关联编号AN值和下个AN值之前,判断当前出端口所属的组网环境是点到点组网环境还是点到多点组网环境;
第一处理单元,用于当所述当前出端口是点到点组网环境时,根据当前出端口加密索引,获取当前AN值和下个AN值;
第二处理单元,用于当所述当前出端口是点到多点组网环境时,获取点到多点组网环境中的SCI字段,根据所述SCI字段识别端口信息,根据所述端口信息获取当前AN值和下个AN值。
可选地,其特征在于,所述装置还包括:
第三获取单元,用于在所述加密单元根据替换后的AN值信息获取对应的密钥并加密报文之后,根据接收端端口号获取解密索引;
第四获取单元,用于当所述接收端端口是点到点组网环境时,根据所述解密索引和报文中每次更新的AN值记录获取解密密钥;
第五获取单元,用于当所述接收端端口是点到多点组网环境时,根据报文中的SCI字段和AN值获取解密密钥。
本发明实施例提供的自适应切换密钥的方法及装置,获取报文发送端口和接收端口所协商密钥对应的当前关联编号AN值和下个AN值;获取当前出端口自适应切换密钥的加密模式;判断当前加密模式下的设置阈值是否被触发;当所述当前加密模式下的设置阈值被触发时,用所述下个AN值替换所述当前AN值;根据替换后的AN值信息获取对应的密钥并加密报文。与现有技术相比,本发明能够以一定频率自适应切换密钥,切换过程不增加芯片额外的操作周期,不影响报文正常转发,低延时,不丢包,从而在某种程度上防止第三方破解密钥。
附图说明
图1为本发明一实施例自适应切换密钥的方法的流程图;
图2为本发明另一实施例自适应切换密钥的方法的流程图;
图3为本发明一实施例自适应切换密钥的装置的结构示意图;
图4为图3中第一判断单元13的结构示意图;
图5为图3中替换单元14的结构示意图;
图6为本发明另一实施例自适应切换密钥的装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种自适应切换密钥的方法,如图1所示,所述方法包括:
S11、获取报文发送端口和接收端口所协商密钥对应的当前关联编号AN值和下个AN值;
S12、获取当前出端口自适应切换密钥的加密模式;
S13、判断当前加密模式下的设置阈值是否被触发;
S14、当所述当前加密模式下的设置阈值被触发时,用所述下个AN值替换所述当前AN值;
S15、根据替换后的AN值信息获取对应的密钥并加密报文。
本发明实施例提供的自适应切换密钥的方法,获取报文发送端口和接收端口所协商密钥对应的当前关联编号AN值和下个AN值;获取当前出端口自适应切换密钥的加密模式;判断当前加密模式下的设置阈值是否被触发;当所述当前加密模式下的设置阈值被触发时,用所述下个AN值替换所述当前AN值;根据替换后的AN值信息获取对应的密钥并加密报文。与现有技术相比,本发明能够以一定频率自适应切换密钥,切换过程不增加芯片额外的操作周期,不影响报文正常转发,低延时,不丢包,从而在某种程度上防止第三方破解密钥。
可选地,如图2所示,所述方法还包括:
S201、判断当前出端口所属的组网环境是点到点组网环境还是点到多点组网环境。
S202、当所述当前出端口是点到点组网环境时,根据当前出端口加密索引,获取当前AN值和下个AN值。
S203、当所述当前出端口是点到多点组网环境时,获取点到多点组网环境中的SCI字段,根据所述SCI字段识别端口信息,根据所述端口信息获取当前AN值和下个AN值。
S204、获取当前出端口自适应切换密钥的加密模式。
S205、判断当前加密模式下的设置阈值是否被触发。
可选的,所述判断当前加密模式下设置阈值是否被触发包括:
当所述当前出端口加密模式是基于时间触发时,根据寄存器中标识符信息判断是否达到阈值;
当所述当前出端口加密模式是基于报文个数的切换时,根据当前报文编号PN值中报文数量与设置阈值对比结果判断是否达到阈值。
S206、当所述当前加密模式下的设置阈值被触发时,用所述下个AN值替换所述当前AN值。
可选的,所述当所述加密密钥的模式中设置阈值被触发时,用所述下个AN值替代所述当前AN值包括:
上报一个中断通知CPU本次的切换;
接收CPU指令在报文发送和接收端口之间协商新密钥并将所述新密钥及新密钥对应AN值保存到交换机芯片中,清除中断。
S207、根据替换后的AN值信息获取对应的密钥并加密报文。
S208、根据接收端端口号获取解密索引。
S209、当所述接收端端口是点到点组网环境时,根据所述解密索引和报文中每次更新的AN值记录获取解密密钥。
S210、当所述接收端端口是点到多点组网环境时,根据报文中的SCI字段和AN值获取解密密钥。
本发明实施例还提供一种自适应切换密钥的装置,如图3所示,所述装置包括:
第一获取单元11,用于获取报文发送端口和接收端口所协商密钥对应的当前关联编号AN值和下个AN值;
第二获取单元12,用于获取当前出端口自适应切换密钥的加密模式;
第一判断单元13,用于判断当前加密模式下的设置阈值是否被触发;
替换单元14,用于当所述当前加密模式下的设置阈值被触发时,用所述下个AN值替换所述当前AN值;
加密单元15,用于根据替换后的AN值信息获取对应的密钥并加密报文。
本发明实施例提供的自适应切换密钥的装置,获取报文发送端口和接收端口所协商密钥对应的当前关联编号AN值和下个AN值;获取当前出端口自适应切换密钥的加密模式;判断当前加密模式下的设置阈值是否被触发;当所述当前加密模式下的设置阈值被触发时,用所述下个AN值替换所述当前AN值;根据替换后的AN值信息获取对应的密钥并加密报文。通过一定频率自适应切换密钥,且切换过程不增加芯片额外的操作周期,不影响报文正常转发,低延时,不丢包,从而在某种程度上防止第三方破解密钥。
可选地,如图4所示,所述第一判断单元13包括:
第一判断模块131,用于当所述当前出端口加密模式是基于时间触发时,根据寄存器中标识符信息判断是否达到阈值;
第二判断模块132,用于当所述当前出端口加密模式是基于报文个数的切换时,根据当前报文编号PN值中报文数量与设置阈值对比结果判断是否达到阈值。
可选地,如图5所示,所述替换单元14包括:
上报模块141,用于上报一个中断通知CPU本次的切换;
更新模块142,用于接收CPU指令在报文发送和接收端口之间协商新密钥并将所述新密钥及新密钥对应AN值保存到交换机芯片中,清除中断。
可选地,如图6所示,所述装置还包括:
第二判断单元16,用于在所述第一获取单元获取报文发送端口和接收端口所协商密钥对应的当前关联编号AN值和下个AN值之前,判断当前出端口所属的组网环境是点到点组网环境还是点到多点组网环境;
第一处理单元17,用于当所述当前出端口是点到点组网环境时,根据当前出端口加密索引,获取当前AN值和下个AN值;
第二处理单元18,用于当所述当前出端口是点到多点组网环境时,获取点到多点组网环境中的SCI字段,根据所述SCI字段识别端口信息,根据所述端口信息获取当前AN值和下个AN值。
可选地,如图6所示,其特征在于,所述装置还包括:
第三获取单元19,用于在所述加密单元根据替换后的AN值信息获取对应的密钥并加密报文之后,根据接收端端口号获取解密索引;
第四获取单元20,用于当所述接收端端口是点到点组网环境时,根据所述解密索引和报文中每次更新的AN值记录获取解密密钥;
第五获取单元21,用于当所述接收端端口是点到多点组网环境时,根据报文中的SCI字段和AN值获取解密密钥。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。