本发明专利技术涉及一种保证安全联盟信息安全的装置和方法,该装置主要包括:中央处理器:用于和加密芯片通过密钥交换算法协商得到共享密钥,利用该共享密钥和对称加密算法对安全联盟SA信息进行加密,并将SA密文信息传递给加密芯片;加密芯片:用于和中央处理器通过密钥交换算法协商得到共享密钥,利用该共享密钥和对称加密算法对保存的SA密文信息进行解密得到SA明文信息,并利用该SA明文信息对报文进行安全处理。利用本发明专利技术,可以有效地保证SA信息的安全,提高网络安全性。
【技术实现步骤摘要】
本专利技术涉及通讯领域,尤其涉及一种保证SA(安全联盟)信息安全的方法和装置。
技术介绍
我国的互联网,在国家大力倡导和积极推动下,在经济建设和各项事业中得到日益广泛的应用,使人们的生产、工作、学习和生活方式已经开始并将继续发生深刻的变化,同时,如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。随着越来越多的互联网用户认识到网络安全的重要性,安全特性逐渐成为通信设备的必备特性之一。现有技术中,一种常用的网络安全解决方案示意图如图1所示。在该方案中,采用NSP(网络安全处理器)芯片作为网络CPU(中央处理器)的协处理器,NSP辅助CPU完成安全协议处理和加密解密等安全处理操作,下面简单介绍一下该方案的具体处理流程,包括如下过程1、CPU根据SA索引,通过系统总线把包括加解密密钥等信息的SA(安全联盟)明文信息下发到NSP附属的SA_SDRAM(NSP芯片附属的用于存储安全关联的存储器)中,SA_SDRAM把该SA明文信息在相应地址中进行存储。2、当需要对报文进行安全性处理时,CPU把待处理的报文和对应的SA索引下发到NSP芯片中。3、NSP首先根据SA索引,去SA_SDRAM读取相应的SA明文数据,得到加解密密钥等相关信息。4、NSP根据获得的SA明文信息,对待处理的报文进行加解密和安全协议处理等安全处理操作,然后,把处理后报文上传到CPU,把更新后的SA明文信息回写到SA_SDRAM中。上面所述现有技术的解决方案的缺点为保护网络安全的关键信息SA信息以明文的方式在系统总线上传输,在传输过程中可能被窃取;SA还以明文的方式存储在本地SDRAM中,恶意攻击者可以通过系统总线或读取SA_SDRAM窃取SA信息。总之,该方案中SA信息容易被攻击者窃取,网络安全性比较低。
技术实现思路
鉴于上述现有技术所存在的问题,本专利技术的目的是提供一种保证SA信息安全的方法和装置,从而可以有效地保证SA信息的安全,提高网络安全性。本专利技术的目的是通过以下技术方案实现的一种保证安全联盟信息安全的装置,包括中央处理器用于和加密芯片通过密钥交换算法协商得到共享密钥,利用该共享密钥和对称加密算法对安全联盟SA信息进行加密,并将SA密文信息传递给加密芯片;加密芯片用于和中央处理器通过密钥交换算法协商得到共享密钥,利用该共享密钥和对称加密算法对保存的SA密文信息进行解密得到SA明文信息,并利用该SA明文信息对报文进行安全处理。所述的中央处理器具体包括密钥生成模块用于和加密芯片中的密钥生成模块通过D-H密钥交换算法协商获得共享密钥,并将生成的共享密钥保存在其附属内存中,同时传递给加解密处理模块;加解密处理模块用于根据接收到的共享密钥通过对称加密算法对SA信息进行加密,并将SA密文信息和SA索引通过系统总线传递给加密芯片;报文发送和接收模块用于将待处理的报文和SA索引发送给加密芯片,并接收加密芯片处理后的报文。所述的加密芯片具体包括密钥生成模块用于和中央处理器中的密钥生成模块通过密钥交换算法协商获得共享密钥,并将生成的共享密钥保存在芯片内部,同时传递给加解密处理模块;加解密和报文处理模块用于根据接收到的SA索引从安全联盟保存模块中获得SA密文信息,利用共享密钥通过对称加密算法对SA密文信息进行解密得到SA明文信息,利用SA明文信息对接收的报文进行安全处理操作,然后对更新后的SA明文信息进行加密并传递给安全联盟保存模块;安全联盟保存模块用于接受中央处理器和加解密处理模块传递过来的SA密文信息,根据SA索引将接收的SA密文信息进行保存。一种基于上面所述装置的保证安全联盟信息安全的方法,包括A、CPU和加密芯片通过密钥交换算法协商得到共享密钥;B、CPU和所述加密芯片利用所述共享密钥,通过对称加密算法对SA信息进行加解密操作。所述的步骤A还包括CPU和加密芯片将得到的共享密钥保存在其芯片内部。所述的密钥交换算法包括D-H密钥交换算法,并且CPU和加密芯片通过系统总线传递该D-H密钥交换算法的全局公开的参数。所述的步骤B具体包括B1、CPU利用对称加密算法和所述共享密钥对SA信息进行加密,并将得到的SA密文信息和SA索引传递给加密芯片;B2、加密芯片利用对称加密算法和所述共享密钥对SA密文信息进行解密,得到SA明文信息。所述的对称加密算法包括高级数据加密标准算法AES或数据加密标准DES。所述的步骤B1还包括加密芯片根据接收到的SA索引,将得到的SA密文信息保存在其内部相应地址中。所述的步骤B2具体包括B21、CPU把待处理的报文和SA索引通过系统总线传递给加密芯片;B22、加密芯片根据接收到SA索引,查找得到相应的SA密文信息,利用对称加密算法和所述共享密钥对SA密文信息进行解密,得到SA明文信息。所述的步骤B22还包括加密芯片利用得到的SA明文信息对接收到的报文进行安全处理操作,把处理后的报文传递给CPU,并利用对称加密算法和共享密钥加密更新后的SA明文信息,并将获得的SA密文信息重新进行保存。由上述本专利技术提供的技术方案可以看出,本专利技术和现有技术相比,具有如下优点本专利技术在系统总线上只传输SA的密文,可以防止攻击者通过系统总线探测SA信息;在SA_SDRAM中只存储SA的密文,可以防止攻击者通过读取SA_SDRAM探测SA信息;通过协商的方式得到CPU,NSP的共享加解密密钥,密钥只存在于NSP芯片内部,密钥不出现在系统总线上,可以保证SA密文不被破译。总之,本专利技术可以有效地保证SA信息的安全,提高网络安全性。附图说明图1为现有技术中一种常用的网络安全解决方案示意图;图2为本专利技术所述方法的具体处理流程图;图3为本专利技术所述装置的结构图。具体实施例方式本专利技术提供了一种保证安全联盟信息安全的方法和装置。本专利技术的核心为利用共享密钥对SA信息进行加密存放和传输,密钥只存在于加密芯片内部,不出现在系统总线上,保证了SA信息的安全。下面结合附图来详细描述本专利技术,本专利技术所述方法的具体处理流程如图1所示。包括如下步骤步骤2-1、CPU和加密芯片通过D-H密钥交换算法协商得到共享密钥。下面我们首先介绍一下D-H(一种密钥交换算法)密钥交换算法。D-H密钥交换算法可以使两个用户能安全地交换一个共享密钥,以便于以后的报文加密。D-H密钥交换算法的安全性依赖于计算离散对数的难度。D-H密钥交换算法首先需要选择两个全局公开的参数1、参数q,q为一个素数;2、参数a,a<q,a是q的一个原根。然后需要进行密钥交换的两个用户用户A、用户B分别产生共享密钥,具体产生共享密钥的过程如下用户A密钥产生1、选择一个私有的随即数XA,XA<q;2、根据XA和全局公开的参数,产生一个公开的YA,YA=aXAmod q。然后用户A将公开的YA传递给用户B。用户B密钥产生1、选择一个私有的随即数XB,XB<q; 2、根据XA和全局公开的参数,产生一个公开的YB,YB=aXBmod q。然后用户B将公开的YB传递给用户A。最后,用户A根据接收到的YB,产生秘密密钥为K=YBXAmod q;用户B根据接收到的YA,产生秘密密钥为 K=YAXBmod q。因为YBXA=aXB*XA=aXA*XB=YAXB。因此,用户A和用户B产生的秘密密钥K是相同的,K即为用户A和用户B的共本文档来自技高网...
【技术保护点】
一种保证安全联盟信息安全的装置,其特征在于,包括: 中央处理器:用于和加密芯片通过密钥交换算法协商得到共享密钥,利用该共享密钥和对称加密算法对安全联盟SA信息进行加密,并将SA密文信息传递给加密芯片; 加密芯片:用于和中央处理器通过密钥交换算法协商得到共享密钥,利用该共享密钥和对称加密算法对保存的SA密文信息进行解密得到SA明文信息,并利用该SA明文信息对报文进行安全处理。
【技术特征摘要】
【专利技术属性】
技术研发人员:王海,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。