一种处理数字签名的方法和装置的制造方法
【专利摘要】本发明公开了一种处理数字签名的方法和装置,包括接收到包含数字签名的IP报文时,验证IP报文中的数字签名;如果验证成功,则根据预先设置的生成策略生成替代信息并覆盖数字签名,并转发IP报文到下游设备。通过本发明提供的技术方案,避免了下游设备获得数字签名,从而避免了计算数字签名的算法根据获得的数字签名被破解,保证了网络的安全性。
【专利说明】
一种处理数字签名的方法和装置
技术领域
[0001]本发明涉及网络安全技术,尤指一种处理数字签名的方法和装置。
【背景技术】
[0002]随着通信网络如计算机网络广泛应用于生产和生活中,通信网络的网络安全得到了越来越多的重视。网络安全技术主要用于保证通信网络中的信息的保密性、真实性和完整性。其中,完整性指的是保证信息的一致性,防止信息被非法篡改。为了有效保证信息的完整性,通常采用数字签名技术。
[0003]以计算机网络为例来看,为了保证网际互连协议(IP)报文的完整性,通常采用IP报文数字签名技术。目前,IP报文的接收侧数字签名的验证设备中处理数字签名的方法大致包括:接收到包含数字签名的IP报文时,验证IP报文中的数字签名;如果验证成功,则转发IP报文到下游设备如终端设备;如果验证失败,则丢弃IP报文。数字签名可以存储在IP报文的头部分或者数据部分。通常验证设备设置在信任网络如内部网络中,而下游设备不保证设置在信任网络中,例如终端设备设置在非信任网络如非内部网络中。现有技术中转发给终端设备的IP报文中包括数字签名,如果终端设备被非法控制如被黑客控制,此时IP报文的发送侧数字签名的签名设备计算数字签名的算法可能被破解,一旦破解成功就会伪造出包含验证设备可验证成功的数字签名的IP报文,从而降低计算机网络的安全性,甚至带来严重性影响如重大经济损失。
【发明内容】
[0004]为了解决上述技术问题,本发明提供了一种处理数字签名的方法和装置,能够避免计算数字签名的算法被破解,从而保证网络的安全性。
[0005]为了达到本发明目的,本发明公开了一种处理数字签名的方法,包括:
[0006]接收到包含数字签名的IP报文时,验证IP报文中的数字签名;
[0007]如果验证成功,则根据预先设置的生成策略生成替代信息并覆盖数字签名,并转发所述IP报文到下游设备。
[0008]所述生成策略为:
[0009]生成随机信息并作为所述替代信息;
[0010]或者,生成用于指示验证成功的信息并作为替代信息。
[0011]本发明方法还包括:如果验证失败,则丢弃所述IP报文。
[0012]进一步地,所述生成替代信息并覆盖数字签名之前,本发明方法还包括:如果预先设置的第一配置项显示不覆盖,则跳过所述生成替代信息并覆盖数字签名的步骤,执行所述转发IP报文到下游设备的步骤。
[0013]进一步地,所述丢弃之前,本发明方法还包括:如果预先设置的第二配置项显示转发,则将所述IP报文转发给预先设置的第三配置项显示的处理设备;如果所述第二配置项显示丢弃,则执行所述丢弃的步骤。
[0014]本发明还公开了一种处理数字签名的装置,包括验证单元和处理单元,其中,
[0015]验证单元,用于当接收到包含数字签名的IP报文时,验证IP报文中的数字签名;
[0016]处理单元,用于当验证单元指示验证成功时,根据预先设置的生成策略生成替代信息并覆盖数字签名,并转发所述IP报文到下游设备。
[0017]所述生成策略可以为:
[0018]生成随机信息并作为所述替代信息;
[0019]或者,生成用于指示验证成功的信息并作为替代信息。
[0020]所述处理单元还用于:当验证单元指示验证失败时,丢弃所述IP报文。
[0021]进一步地,所述处理单元还用于:当所述验证单元指示验证成功,且预先设置的第一配置项显示不覆盖时,转发所述IP报文到下游设备。
[0022]进一步地,所述处理单元还用于:当所述验证单元指示验证失败,且预先设置的第二配置项显示转发时,将所述IP报文转发给预先设置的第三配置项显示的处理设备;当所述验证单元指示验证失败,且所述第二配置项显示丢弃时,丢弃所述IP报文。
[0023]与现有技术相比,本发明技术方案包括:接收到包含数字签名的IP报文时,验证IP报文中的数字签名;如果验证成功,则根据预先设置的生成策略生成替代信息并覆盖数字签名,并转发IP报文到下游设备。通过本发明技术方案,避免了下游设备获得数字签名,从而避免了计算数字签名的算法根据获得的数字签名被破解,保证了网络的安全性,从而保证了用户体验。
[0024]本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
【附图说明】
[0025]附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
[0026]图1为本发明处理数字签名的方法的流程图;
[0027]图2为本发明处理数字签名的装置的组成结构示意图。
【具体实施方式】
[0028]为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
[0029]在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0030]图1为本发明处理数字签名的方法的流程图,如图1所示,包括:
[0031]步骤101:接收到包含数字签名的IP报文时,验证IP报文中的数字签名。
[0032]其具体实现属于本领域技术人员的惯用技术手段,并不用于限定本发明的保护范围,此处不再赘述。这里强调的是,步骤101之后,执行步骤102。
[0033]需要说明的是,数字签名可以设置在IP报文的头部分或者数据部分。
[0034]步骤102:如果验证成功,则根据预先设置的生成策略生成替代信息并覆盖数字签名,并转发IP报文到下游设备如终端设备。
[0035]步骤102中的生成策略可以为:生成随机信息并作为替代信息。这样避免了下游设备获得数字签名,从而避免了计算数字签名的算法根据获得的数字签名被破解,保证了网络的安全性。
[0036]其中,生成随机信息的具体实现,属于本领域技术人员的惯用技术手段,并不用于限定本发明的保护范围,此处不再赘述。
[0037]步骤102中生成策略还可以为:生成用于指示验证成功的信息并作为替代信息。这样避免了下游设备获得数字签名,也实现了利用替代信息向下游设备传递验证结果,从而保证了网络的安全性,也降低了下游设备的处理复杂度。
[0038]应该理解的是,参考上述传递验证结果给下游设备的思路,还可以在本发明技术方案中实现利用替代信息传递其它信息给下游设备。
[0039]需要说明的是,步骤102生成的替代信息与数字签名的长度如二进制比特数相等。
[0040]进一步地,为了使本发明方法兼容现有技术,本发明方法还包括:如果验证失败,则丢弃IP报文。
[0041]进一步地,为了使本发明方法兼容现有技术,步骤102中生成替代信息并覆盖数字签名之前,本发明方法还包括:如果预先设置的第一配置项显示不覆盖,则跳过步骤102中的生成替代信息并覆盖数字签名的步骤,执行步骤102中的转发IP报文到下游设备的步骤;如果第一配置项显示覆盖,则继续执行步骤102中的生成替代信息并覆盖数字签名的步骤,并执行步骤102中的转发IP报文到下游设备的步骤。
[0042]进一步地,步骤102中丢弃之前,本发明方法还包括:如果预先设置的第二配置项显示转发,则将IP报文转发给预先设置的第三配置项显示的处理设备;如果第二配置项显示丢弃,则继续执行步骤102中的丢弃的步骤。
[0043]这样,通过将第二配置项设置为转发使得处理设备能够对验证失败的IP报文进行处理如进行统计计数处理,从而增加了本发明技术方案的灵活性。
[0044]在本发明的实施例中,为了使本发明方法更加灵活,步骤102中生成替代信息并覆盖数字签名之前,本发明方法还包括:
[0045]当判断出下游设备位于信任网络中且第一配置项显示不覆盖时,跳过步骤102中的生成替代信息并覆盖数字签名的步骤,执行步骤102中的转发IP报文到下游设备的步骤;当判断出下游设备位于信任网络中且第一配置项显示覆盖,或者判断出下游设备位于非信任网络中时,继续执行步骤102中的生成替代信息并覆盖数字签名的步骤,并执行步骤102中的转发IP报文到下游设备的步骤。其中,
[0046]判断下游设备位于信任网络或者非信任网络中的具体实现,属于本领域技术人员的惯用技术手段,并不用于限定本发明的保护范围,此处不再赘述。
[0047]需要说明的是,本发明技术方案可以应用于将数字签名保存在信息集合(如IP报文)的头部分的通信网络中。
[0048]图2为本发明处理数字签名的装置的组成结构示意图,该装置设置在数字签名的验证设备中。如图2所示,包括验证单元和处理单元,其中,
[0049]验证单元,用于当接收到包含数字签名的IP报文时,验证IP报文中的数字签名。
[0050]处理单元,用于当验证单元指示验证成功时,根据预先设置的生成策略生成替代信息并覆盖数字签名,并转发IP报文到下游设备。
[0051]生成策略可以为:生成随机信息并作为替代信息;或者,生成用于指示验证成功的信息并作为替代信息。
[0052]进一步地,
[0053]处理单元还用于:当验证单元指示验证失败时,丢弃IP报文。
[0054]进一步地,
[0055]处理单元还用于:当验证单元指示验证成功,且预先设置的第一配置项显示不覆盖时,转发IP报文到下游设备。
[0056]进一步地,
[0057]处理单元还用于:当验证单元指示验证失败,且预先设置的第二配置项显示转发时,将IP报文转发给预先设置的第三配置项显示的处理设备;当验证单元指示验证失败,且第二配置项显示丢弃时,丢弃IP报文。
[0058]在本发明的一个实施例中,处理单元具体用于:
[0059]当验证单元指示验证成功,且预先设置的第一配置项显示不覆盖时,转发IP报文到下游设备;当验证单元指示验证成功,且预先设置的第一配置项显示覆盖时,根据生成策略生成替代信息并覆盖数字签名,并转发IP报文到下游设备;当验证单元指示验证失败,且第二配置项显示转发时,将IP报文转发给预先设置的第三配置项显示的处理设备;当验证单元指示验证失败,且第二配置项显示丢弃时,丢弃IP报文。
[0060]虽然本发明所揭露的实施方式如上所述,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
【主权项】
1.一种处理数字签名的方法,其特征在于,包括: 接收到包含数字签名的IP报文时,验证IP报文中的数字签名; 如果验证成功,则根据预先设置的生成策略生成替代信息并覆盖数字签名,并转发所述IP报文到下游设备。2.根据权利要求1所述的方法,其特征在于,所述生成策略为:生成随机信息并作为所述替代信息。3.根据权利要求1所述的方法,其特征在于,所述生成策略为:生成用于指示验证成功的信息并作为替代信息。4.根据权利要求1?3任一项所述的方法,其特征在于,该方法还包括:如果验证失败,则丢弃所述IP报文。5.根据权利要求1?3任一项所述的方法,其特征在于,所述生成替代信息并覆盖数字签名之前,该方法还包括:如果预先设置的第一配置项显示不覆盖,则跳过所述生成替代信息并覆盖数字签名的步骤,执行所述转发IP报文到下游设备的步骤。6.根据权利要求4所述的方法,其特征在于,所述丢弃之前,该方法还包括:如果预先设置的第二配置项显示转发,则将所述IP报文转发给预先设置的第三配置项显示的处理设备;如果所述第二配置项显示丢弃,则执行所述丢弃的步骤。7.—种处理数字签名的装置,其特征在于,包括验证单元和处理单元,其中, 验证单元,用于当接收到包含数字签名的IP报文时,验证IP报文中的数字签名; 处理单元,用于当验证单元指示验证成功时,根据预先设置的生成策略生成替代信息并覆盖数字签名,并转发所述IP报文到下游设备。8.根据权利要求7所述的装置,其特征在于,所述生成策略为:生成随机信息并作为所述替代信息。9.根据权利要求7所述的装置,其特征在于,所述生成策略为:生成用于指示验证成功的信息并作为替代信息。10.根据权利要求7?9任一项所述的装置,其特征在于,所述处理单元还用于:当验证单元指示验证失败时,丢弃所述IP报文。11.根据权利要求7?9任一项所述的装置,其特征在于,所述处理单元还用于:当所述验证单元指示验证成功,且预先设置的第一配置项显示不覆盖时,转发所述IP报文到下游设备。12.根据权利要求10任一项所述的装置,其特征在于,所述处理单元还用于:当所述验证单元指示验证失败,且预先设置的第二配置项显示转发时,将所述IP报文转发给预先设置的第三配置项显示的处理设备;当所述验证单元指示验证失败,且所述第二配置项显示丢弃时,丢弃所述IP报文。
【文档编号】H04L29/06GK105871791SQ201510036933
【公开日】2016年8月17日
【申请日】2015年1月23日
【发明人】刘晴
【申请人】中兴通讯股份有限公司