本申请公开了一种基于国密算法的卡级加解密及签名验签的方法,包括:配置PCIE板卡的加密策略信息;PCIE板卡接收到业务数据报文后根据TCAM的匹配策略对数据报文进行策略机制匹配;如果数据报文与TCAM的策略相匹配,则数据报文进入MPE进行处理将需要加密或者解密或者签名验签的数据字段截取发送给RPU,处理完后再次发送给MPE进行重组后通过PCIE板卡预先配置的接口发出;如果数据报文与TCAM的策略不匹配,则报文不处理并转发出去。从SM2签名验签密钥对的生成,SM4对称密钥分发、使用及存储均在卡内处理,密钥不会窃取,解决了传输信息会被窃取的可能性。匹配上TCAM策略的报文也在卡内进行加密、解密、签名和验签及MAC的处理,使用安全性都得到了保障。用安全性都得到了保障。用安全性都得到了保障。
【技术实现步骤摘要】
一种基于国密算法的卡级加解密及签名验签的方法
[0001]本申请涉及网络信息安全
,具体涉及一种基于国密算法的卡级加解密及签名验签的方法。
技术介绍
[0002]网络信息安全传输关乎到国家和个人信息的安全,没有信息的安全传输,企业和国家重要信息就没有安全性保障。目前,网络安全形势严峻,网络传输的个人、企业、或者是国家信息都容易被截取。被不法分子加以利用,信息传输的安全性至关重要。在信息安全中,可能会存在窃听(秘密泄漏)、篡改(信息被修改)、伪装(伪装成真正的发送者),否认(事后否认自己做过)。
[0003]密码的重要作用是保护网络与信息安全。密码直接关系国家政治安全、经济安全、国防安全和网络安全,直接关系公民、法人和其他组织的合法权益,在网络空间安全防护中发挥着重要的基础支撑作用,是维护网络安全最有效、最可靠、最经济的技术手段。
[0004]当通信双方的密钥被窃取则通讯双方毫无秘密可言,为了解决国密算法密钥的使用及解决加解密及签名验签mac的速率问题,如何保证密钥的加解密、签名验签等功能使用的安全性是本领域亟待解决的技术问题。
技术实现思路
[0005]本申请为了解决上述技术问题,提出了如下技术方案:第一方面,本申请实施例提供了一种基于国密算法的卡级加解密及签名验签的方法,包括:PCIE板卡根据内部生成的SM2密钥和获取的SM4密钥配置PCIE板卡的加密信息;所述PCIE板卡接收到数据报文后根据三态内容寻址存储器TCAM的匹配策略对所述数据报文进行策略机制匹配;如果所述数据报文与所述TCAM的策略不匹配,则所述数据报文直接转发出去;或者,如果所述数据报文与所述TCAM的策略相匹配,则所述数据报文进入MPE进行处理将需要加密或者解密或者签名验签的数据字段截取发送给RPU;所述RPU将需要处理的数据字段处理完后再次发送给MPE,所述MPE将所述数据字段和数据报文未处理数据字段进行重组后通过所述PCIE板卡预先配置的接口发出。
[0006]在一种可能的实现方式中,所述PCIE板卡根据内部生成的SM2密钥和获取的SM4密钥配置PCIE板卡的加密信息,包括:所述PCIE板卡接收密钥生成指令生成SM2密钥对;获取SM2公钥配置到KMC密钥管理系统;从KMC密钥管理系统申请SM4的密钥,所述KMC密钥管理系统根据配置的SM2公钥对申请的SM4密钥进行加密后在线分发;
将在线分发获取的SM4加密密钥进行密文配置,PCIE板卡将使用SM2的私钥对下发的SM4密文密钥进行解密后存储到PCIE板卡的flash并在内存中进行加解密使用。
[0007]在一种可能的实现方式中,所述TCAM的匹配策略包括对所述数据报文源IP地址、目的IP地址、源端口号、目的端口号及协议号中一个或多个的匹配验证。
[0008]在一种可能的实现方式中,如果所述数据报文为业务IP报文,则配置源IP地址及掩码、目的IP地址及掩码、协议号及掩码。
[0009]在一种可能的实现方式中,如果所述数据报文为TCP/UDP报文,则配置源IP地址及掩码、目的IP地址及掩码、协议号及掩码、源端口号及掩码和目的端口号及掩码。
[0010]在一种可能的实现方式中,所述RPU将需要处理的数据字段处理完后再次发送给MPE,包括:所述RPU根据当前报文匹配的TCAM策略进行算法选择;使用策略指定的密钥key从RAM中将取出对数据字段进行加密、解密、签名、验签或者MAC的计算。
[0011]在一种可能的实现方式中,对配置的TCAM策略使用指定的算法(SM1、SM4)对数据报文进行加密及解密的处理,使用SM2算法对业务数据报文进行签名验签的处理,使用SM3算法对业务的数据报文进行MAC的处理。
[0012]在本申请实施例中,从SM2签名验签密钥对的生成,SM4对称密钥分发、使用及存储均在卡内处理,密钥不会窃取,解决了传输信息会被窃取的可能性。匹配上TCAM策略的报文也在卡内进行加密、解密、签名和验签及MAC的处理,使用安全性都得到了保障。
附图说明
[0013]图1为本申请实施例提供的一种基于国密算法的卡级加解密及签名验签的方法的流程示意图;图2为本申请实施例提供的加解密及签名验签的逻辑示意图;图3为本申请实施例提供的对IP报文格式加密处理的示意图;图4为本申请实施例提供的对TCP/UDP报文格式加密处理的示意图。
具体实施方式
[0014]下面结合附图与具体实施方式对本方案进行阐述。
[0015]图1为本申请实施例提供的一种基于国密算法的卡级加解密及签名验签的方法的流程示意图,参见图1,本实施例中的基于国密算法的卡级加解密及签名验签的方法,包括:S101,PCIE板卡根据内部生成的SM2密钥和获取的SM4密钥配置PCIE板卡的加密信息。
[0016]如图2所示,先下发让PCIE板卡生成密钥对的命令,板卡会生成SM2密钥对并且在PCIE的flash内部进行存储,以便上电时能将SM2的公私钥进行恢复处理。生成的SM2密钥对的公钥是可以让外部获取的。
[0017]获取SM2公钥配置到KMC密钥管理系统,从PCIE板卡内将生成的SM2的公钥获取,获取到的是SM2的密文公钥,将获取的密文公钥配置到KMC密钥管理系统。
[0018]从KMC密钥管理系统申请SM4的密钥,KMC可以根据配置的SM2公钥对申请的SM4密
钥进行加密后在线分发。将在线分发获取的SM4加密密钥进行密文配置,PCIE板卡将使用SM2的私钥将下发的SM4密文密钥进行解密后存储到PCIE板卡的flash并在内存中进行加解密业务使用。
[0019]S102,所述PCIE板卡接收到数据报文后根据三态内容寻址存储器TCAM的匹配策略对所述数据报文进行策略机制匹配。
[0020]配置TCAM(ternary content addressablememory)是一种三态内容寻址存储器,主要用于快速查找ACL、路由等表项的策略,此策略可以精确或者模糊匹配报文的源IP地址、目的IP地址、源端口号、目的端口号、协议号。此策略支持增删改查的基本操作。可以根据用户的需求完成客户需求的匹配机制。
[0021]假如当用户的业务IP报文的payload字段需要加密处理,则配置源IP地址及掩码、目的IP地址及掩码、协议号及掩码,掩码的作用是决定需要匹配当前的字段还是不需要匹配当前字段。IP报文进入PCIE板卡,首先TCAM机制会获取数据报文的源IP地址、目的IP地址、协议号看是否能匹配当前的策略机制,业务报文和配置的策略匹配上之后,报文会进入MPE处理。如果报文没有匹配策略,报文会原封不动的经过出接口转发出去。
[0022]本申请实施例中的TCAM配置策略可以任意搭配,可以精确匹配IP地址或者是IP地址段,当用户需要使用的是TCP/UDP的报文时这时在需要匹配源IP地址及掩码、目的IP地址及掩码、协议号及掩码、还需要加上源端口号及掩码和目的端口号及掩码。我们将源IP地址、目的IP地址、源端口号本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于国密算法的卡级加解密及签名验签的方法,其特征在于,包括:PCIE板卡根据内部生成的SM2密钥和获取的SM4密钥配置PCIE板卡的加密信息;所述PCIE板卡接收到数据报文后根据三态内容寻址存储器TCAM的匹配策略对所述数据报文进行策略机制匹配;如果所述数据报文与所述TCAM的策略不匹配,则所述数据报文直接转发出去;或者,如果所述数据报文与所述TCAM的策略相匹配,则所述数据报文进入MPE进行处理将需要加密或者解密或者签名验签的数据字段截取发送给RPU;所述RPU将需要处理的数据字段处理完后再次发送给MPE,所述MPE将所述数据字段和数据报文未处理数据字段进行重组后通过所述PCIE板卡预先配置的接口发出。2.根据权利要求1所述的基于国密算法的卡级加解密及签名验签的方法,其特征在于,所述PCIE板卡根据内部生成的SM2密钥和获取的SM4密钥配置PCIE板卡的加密信息,包括:所述PCIE板卡接收密钥生成指令生成SM2密钥对;获取SM2公钥配置到KMC密钥管理系统;从KMC密钥管理系统申请SM4的密钥,所述KMC密钥管理系统根据配置的SM2公钥对申请的SM4密钥进行加密后在线分发;将在线分发获取的SM4加密密钥进行密文配置,PCIE板卡将使用SM2的私钥对下发的SM4密文密钥进行解密后存储到PCIE板卡的flash并在内存中进...
【专利技术属性】
技术研发人员:刘福营,刘磊,
申请(专利权)人:中安云科科技发展山东有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。