CN106572086A - 一种基于芯片实现网络协议密钥动态更新的装置及方法 - Google Patents
一种基于芯片实现网络协议密钥动态更新的装置及方法 Download PDFInfo
- Publication number
- CN106572086A CN106572086A CN201610910970.4A CN201610910970A CN106572086A CN 106572086 A CN106572086 A CN 106572086A CN 201610910970 A CN201610910970 A CN 201610910970A CN 106572086 A CN106572086 A CN 106572086A
- Authority
- CN
- China
- Prior art keywords
- key
- bit
- chip
- dynamic
- decrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
Abstract
本发明公开了一种基于芯片实现网络协议密钥动态更新的装置及方法,具体包括:第一密钥和第二密钥组成一个动态密钥表项,为每个所述动态密钥表项提供一组密钥有效标志位,芯片根据密钥有效标志位的值来决定获取第一密钥或第二密钥。采用本发明能够在芯片中实现网络协议密钥动态更新,使得网络协议报文被正确解析,可加快网络协议处理速度,减轻软件复杂度。
Description
技术领域
本发明涉及网络协议密钥技术,具体涉及一种基于芯片实现网络协议密钥动态更新的装置及方法。
背景技术
在现有网络中,运行着非常多的网络协议,为了保证网络的安全,这些网络协议一般都会使用密钥进行加解密功能。同时为了网络的安全,这些密钥一般会定时进行动态更新。在现有的网络环境中,一般都是通过软件来实现密钥的动态更新,但软件定时更新密钥的方式,对CPU的要求较高,当软件复杂度较高时,导致CPU性能下降。
目前已有芯片能够支持通过芯片来加解密网络协议,由此可降低软件的复杂度,但存在的问题是:当密钥更新后,采用新的密钥时,由于网络传输的特性,上一个密钥加密的报文可能仍然处于传输过程中,芯片只能同时支持1个密钥,这时若使用新的密钥解密该报文,则该报文就会被错误的丢弃。
发明内容
针对现有技术的不足,本发明的主要目的在于提供一种通过芯片来实现网络协议在密钥动态更新期间,能够正常被解密的装置和方法,从而保证网络协议的正常运转。
为实现前述目的,本发明公开了一种基于芯片实现网络协议密钥动态更新的方法,包括:
第一密钥和第二密钥组成一个动态密钥表项,为每个所述动态密钥表项提供一组密钥有效标志位,芯片根据密钥有效标志位的值来决定获取第一密钥或第二密钥。
优选地,所述一组密钥有效标志位包括第一比特位和第二比特位。
进一步地,所述根据密钥有效标志位的值来决定获取第一密钥或第二密钥具体包括:
当第一比特位为1,第二比特位为0,使用第一密钥进行解密;
当第一比特位为0,第二比特位为1,使用第二密钥进行解密;
当第一比特位为1,第二比特位为1,先后使用第一密钥和第二密钥进行解密;
当第一比特位为0,第二比特位为0,不进行解密。
相应地,本发明也公开了一种基于芯片实现网络协议密钥动态更新的装置,包括:
-报文识别单元,用于芯片对加密的网络协议报文进行报文识别;
-密钥解析单元,包括动态密钥表项组和密钥配置表项组,用于获取报文解密所需的密钥;
-报文解密单元,根据密钥解析单元获取的密钥对报文进行解密;
-报文报送单元,用于将解密后的报文上送至CPU;
其中,所述动态密钥表项组中的每个动态密钥表项由第一密钥和第二密钥组成,所述密钥配置表项组中的每个表项包括一组密钥有效标志位,密钥解析单元根据密钥有效标志位的值来决定获取第一密钥或第二密钥。
优选地,所述装置中所述一组密钥有效标志位包括第一比特位和第二比特位。
进一步地,所述装置中所述根据密钥有效标志位的值来决定获取第一密钥或第二密钥过程具体包括:
当第一比特位为1,第二比特位为0,使用第一密钥进行解密;
当第一比特位为0,第二比特位为1,使用第二密钥进行解密;
当第一比特位为1,第二比特位为1,先后使用第一密钥和第二密钥进行解密;
当第一比特位为0,第二比特位为0,不进行解密。
与现有技术相比,本发明的优点在于:本发明公开的一种基于芯片实现网络协议密钥动态更新的装置及方法,能够在芯片中实现网络协议密钥动态更新,从而保证网络协议在密钥更新期间,不会被错误的丢弃。采用本发明的技术方案,能够保证网络协议传输更加安全可靠,可加快网络协议处理速度,减轻软件复杂度,从而节约开发成本。
附图说明
图1是网络协议在芯片中的处理流程示意图;
图2是本发明一优选实施例提出的一种基于芯片实现动态密钥更新的方法的示意图;
图3是本发明一优选实施例提出的一种基于芯片实现动态密钥更新的装置的示意图。
具体实施方式
鉴于现有技术中的不足,本案发明人经长期研究和大量实践,得以提出本发明的技术方案。如下将对该技术方案、其实施过程及原理等作进一步的解释说明。
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
图1为网络协议在芯片中的处理流程,如图所示,经密钥加密的网络协议到达芯片后,首先需经过报文识别,在报文解密阶段根据相应的密钥对报文进行解密操作后,通过CPU端口上送至CPU进行进一步处理。但出于网络安全性的考虑,网络协议所对应的密钥不是一成不变的,一般每隔一定时间便更新一次,而恰巧当老的密钥加密的报文进入到解密阶段,其对应的密钥却已更新,则该报文无法被正确的解密,遂导致其被错误的丢弃。
本发明实施例提出的一种基于芯片实现动态密钥更新的方法采用两个密钥(第一密钥和第二密钥)组成一个动态密钥表项,同时为每个动态密钥表项提供一组密钥有效标志位,芯片会根据动态密钥表项所对应的有效标志位的值来决定使用哪个密钥来进行解密处理。
作为本发明一优选实施例,为每个动态密钥表项提供两个比特位,分别为valid0和valid1,作为一组密钥有效标志位进行管理。具体地,在芯片在解密过程中,首先会获取到动态密钥表项中的两个密钥,第一密钥a和第二密钥b,芯片根据valid0和valid1的值来决定使用哪个密钥来进行解密处理。如果valid0=1,valid1=0,则使用密钥a来解密;如果valid0=0,valid1=1,则使用密钥b来解密;如果valid0=1,valid1=1,则会先后使用a和b来进行解密;如果valid0=0,valid1=0,则不进行解密。
下面通过本发明又一优选实施例,具体详解基于芯片实现动态密钥的方法,图2是本发明一优选实施例提供的芯片解密过程中动态密钥更新的过程示意图。
如图2所示,芯片通过6个密钥表项DsKey可以对外识别提供3组动态密钥更新的网络协议信道。其过程包括:
1.芯片可对加密的网络协议报文进行识别,获得报文索引信息key1_index,同时芯片提供
密钥有效标志位表项DsKeyCfg和密钥表项DsKey,分别用于存储密钥有效标志位及密钥;
2.DsKeyCfg表项中的每个表项包含有两个比特位,分别为valid0和valid1;
3.DsKey表项中的每个表项存储一个密钥值,每两个密钥组成一个动态密钥组,如a1和
a2,b1和b2,c1和c2;
4.根据valid0和valid1的值,获得key2_index的具体值;
5.最后可用于解密的密钥索引位置为key_index=key1_index<<1+key2_index。
基于图2所示的动态密钥更新方法,对密钥动态更新的过程中从初始密钥到更新密钥再到密钥老化的过程进一步阐述如下:
1.初始密钥
假设网络协议报文加解密都使用密钥a1,设置DsKeyCfg表项中index为0的表项valid0=1,valid1=0,同时,设置DsKey中index为0的密钥为a1。设网络协议报文的index为0,加密的动态协议报文进入芯片后,通过报文识别得到key1_index=0,据此到DsKeyCfg表项中取index为0的比特位valid0=1,valid1=0,则key2_index=0;最后,根据key_index=key1_index<<1+key2_index,计算得出key_index=0,取DsKey表项中index=0的密钥a1对报文进行解密后上送至CPU。
2.更新密钥
设置DsKey表项中index为1的密钥为a2,同时设置DsKeyCfg表项中index为0的表项为valid0=1,valid1=1。当网络协议报文到达后,芯片仍然会识别出key1_index=0,但由于DsKeyCfg表项中index为0的表项内容中第一比特位valid0=1,则根据索引值计算结果,芯片会先采用key_index=0获取的密钥a1进行解密处理;接下来,再判断第二比特位valid1=1,则芯片会采用key_index=1获取的密钥a2进行解密处理。
由此,无论到达的网络协议报文是采用a1还是采用a2进行加密,都能够被正确解密且上送至CPU,避免了在密钥更新期间因无法使用正确密钥解密而导致报文被错误丢弃的情况发生。
3.密钥老化
设置DsKeyCfg表项中index为0的表项为valid0=0,valid=1。则当网络协议报文进来后,根据索引值计算结果,芯片只会使用key_index=1的密钥a2来进行解密,密钥a1老化,从而实现密钥动态更新。
图3是本发明一优选实施例提供的一种基于实现动态密钥更新的装置的结构示意图,如图3所示,本实施例提供的装置包括:
报文识别单元301,用于芯片对加密的网络协议报文进行报文识别;
具体地,芯片对到达的网络协议报文进行识别,获取报文对应的索引位置等信息。
密钥解析单元302,包括动态密钥表项组和密钥配置表项组,用于对密钥进行动态更新;
具体地,所述动态密钥表项组中的每个动态密钥表项由第一密钥和第二密钥组成,所述密钥配置表项组中的每个表项包括一组密钥有效标志位,密钥解析单元根据密钥有效标志位的值动态获取密钥。
报文解密单元303,根据密钥解析单元获取的密钥对报文进行解密;
报文报送单元304,用于将解密后的报文上送至CPU;
优选地,所述装置中所述一组密钥有效标志位由两个比特位组成,第一比特位和第二比特位。当网络协议报文进入到密钥解析单元时,密钥解析单元首先获取到动态密钥表项,每个动态密钥表项中含有两个密钥(第一密钥和第二密钥),芯片会根据动态密钥表项所对应的比特位值来决定使用哪个密钥来进行解密处理。具体方法包括:
当第一比特位为1,第二比特位为0,使用第一密钥进行解密;
当第一比特位为0,第二比特位为1,使用第二密钥进行解密;
当第一比特位为1,第二比特位为1,先后使用第一密钥和第二密钥进行解密;
当第一比特位为0,第二比特位为0,不进行解密。
本发明实施例提供的装置植入了本发明图2所示实施例提供的方法,因此,本发明提供的装置的具体工作过程,在此不复赘述。
需要说明的是,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施方式中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
应当理解,上述实施例仅为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人士能够了解本发明的内容并据以实施,并不能以此限制本发明的保护范围。凡根据本发明精神实质所作的等效变化或修饰,都应涵盖在本发明的保护范围之内。
Claims (6)
1.一种基于芯片实现网络协议密钥动态更新的方法,其特征在于:第一密钥和第二密钥组成一个动态密钥表项,为每个所述动态密钥表项提供一组密钥有效标志位,芯片根据密钥有效标志位的值来决定获取第一密钥或第二密钥。
2.根据权利要求1所述的一种基于芯片实现网络协议密钥动态更新的方法,其特征在于:所述一组密钥有效标志位包括第一比特位和第二比特位。
3.根据权利要求2所述的一种基于芯片实现网络协议密钥动态更新的方法,其特征在于所述根据密钥有效标志位的值来决定获取第一密钥或第二密钥具体包括:
当第一比特位为1,第二比特位为0,使用第一密钥进行解密;
当第一比特位为0,第二比特位为1,使用第二密钥进行解密;
当第一比特位为1,第二比特位为1,先后使用第一密钥和第二密钥进行解密;
当第一比特位为0,第二比特位为0,不进行解密。
4.一种基于芯片实现网络协议密钥动态更新的装置,其特征在于包括:
-报文识别单元,用于芯片对加密的网络协议报文进行报文识别;
-密钥解析单元,包括动态密钥表项组和密钥配置表项组,用于获取报文解密所需的密钥;
-报文解密单元,根据密钥解析单元获取的密钥对报文进行解密;
-报文报送单元,用于将解密后的报文上送至CPU;
其中,所述动态密钥表项组中的每个动态密钥表项由第一密钥和第二密钥组成,所述密钥配置表项组中的每个表项包括一组密钥有效标志位,密钥解析单元根据密钥有效标志位的值来决定获取第一密钥或第二密钥。
5.根据权利要求4所述的一种基于芯片实现网络协议密钥动态更新的装置,其特征在于:所述一组密钥有效标志位包括第一比特位和第二比特位。
6.根据权利要求5所述的一种基于芯片实现网络协议密钥动态更新的装置,其特征在于所述根据密钥有效标志位的值来决定获取第一密钥或第二密钥具体包括:
当第一比特位为1,第二比特位为0,使用第一密钥进行解密;
当第一比特位为0,第二比特位为1,使用第二密钥进行解密;
当第一比特位为1,第二比特位为1,先后使用第一密钥和第二密钥进行解密;当第一比特位为0,第二比特位为0,不进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610910970.4A CN106572086A (zh) | 2016-10-19 | 2016-10-19 | 一种基于芯片实现网络协议密钥动态更新的装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610910970.4A CN106572086A (zh) | 2016-10-19 | 2016-10-19 | 一种基于芯片实现网络协议密钥动态更新的装置及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106572086A true CN106572086A (zh) | 2017-04-19 |
Family
ID=58533855
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610910970.4A Pending CN106572086A (zh) | 2016-10-19 | 2016-10-19 | 一种基于芯片实现网络协议密钥动态更新的装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106572086A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101114906A (zh) * | 2006-07-26 | 2008-01-30 | 北京中电华大电子设计有限责任公司 | 802.11芯片中管理wpi密钥的方法和装置 |
| CN101309138A (zh) * | 2007-05-14 | 2008-11-19 | 三星电子株式会社 | 用于处理器的基于加密的安全保护方法及其设备 |
| CN101841743A (zh) * | 2009-03-19 | 2010-09-22 | 中兴通讯股份有限公司 | 密钥切换方法、光线路终端以及光网络单元 |
| CN102238002A (zh) * | 2010-04-30 | 2011-11-09 | 国际商业机器公司 | 用于网络通信的动态加密和解密的方法和设备 |
| CN102843375A (zh) * | 2012-09-07 | 2012-12-26 | 沈阳通用软件有限公司 | 基于ip协议中的标识控制网络访问的方法 |
| CN104050424A (zh) * | 2014-06-26 | 2014-09-17 | 大唐微电子技术有限公司 | 智能卡文件访问安全权限管理的实现及文件访问方法 |
| CN104966525A (zh) * | 2015-01-14 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 文件加密、解密方法和装置 |
| CN105260668A (zh) * | 2015-10-10 | 2016-01-20 | 北京搜狗科技发展有限公司 | 一种文件加密方法及电子设备 |
| CN105678192A (zh) * | 2015-12-29 | 2016-06-15 | 北京数码视讯科技股份有限公司 | 一种基于智能卡的密钥应用方法及应用装置 |
-
2016
- 2016-10-19 CN CN201610910970.4A patent/CN106572086A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101114906A (zh) * | 2006-07-26 | 2008-01-30 | 北京中电华大电子设计有限责任公司 | 802.11芯片中管理wpi密钥的方法和装置 |
| CN101309138A (zh) * | 2007-05-14 | 2008-11-19 | 三星电子株式会社 | 用于处理器的基于加密的安全保护方法及其设备 |
| CN101841743A (zh) * | 2009-03-19 | 2010-09-22 | 中兴通讯股份有限公司 | 密钥切换方法、光线路终端以及光网络单元 |
| CN102238002A (zh) * | 2010-04-30 | 2011-11-09 | 国际商业机器公司 | 用于网络通信的动态加密和解密的方法和设备 |
| CN102843375A (zh) * | 2012-09-07 | 2012-12-26 | 沈阳通用软件有限公司 | 基于ip协议中的标识控制网络访问的方法 |
| CN104050424A (zh) * | 2014-06-26 | 2014-09-17 | 大唐微电子技术有限公司 | 智能卡文件访问安全权限管理的实现及文件访问方法 |
| CN104966525A (zh) * | 2015-01-14 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 文件加密、解密方法和装置 |
| CN105260668A (zh) * | 2015-10-10 | 2016-01-20 | 北京搜狗科技发展有限公司 | 一种文件加密方法及电子设备 |
| CN105678192A (zh) * | 2015-12-29 | 2016-06-15 | 北京数码视讯科技股份有限公司 | 一种基于智能卡的密钥应用方法及应用装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10595207B2 (en) | Methods for verifying data integrity | |
| EP2775660B1 (en) | Message authentication method in communication system and communication system | |
| CN103581173B (zh) | 一种基于工业以太网的数据安全传输方法、系统及装置 | |
| CN104255009B (zh) | 用于自适应流媒体的片段完整性和真实性的系统和方法 | |
| CN103905202B (zh) | 一种基于puf的rfid轻量级双向认证方法 | |
| EP3151462A1 (en) | Transmission device, reception device, transmission method, and reception method | |
| CN101448130B (zh) | 监控系统中数据加密保护的方法、系统和设备 | |
| KR20140122188A (ko) | 센서 및/또는 센서의 센서 데이터의 조작 검출 방법 | |
| CN103401678A (zh) | 一种保障物联网数据传输安全的方法 | |
| MXPA06009235A (es) | Metodo y aparato para procesar criptograficamente datos. | |
| CN103109493A (zh) | 通信装置、程序以及方法 | |
| EP2244416A1 (en) | Encryption processing method and encryption processing device | |
| CN110868294B (zh) | 一种密钥更新方法、装置及设备 | |
| CN108551674A (zh) | 一种基于设备物理指纹特征的无线网络接入安全防护系统及方法 | |
| KR20150035155A (ko) | ESL(Electronic Shelf Label) 시스템에서의 무선 통신방법 | |
| CN101552792A (zh) | 一种利用动态二级密钥来传递信息的方法和设备 | |
| CN105721161B (zh) | 一种基于总线的h2-mac消息认证ip核硬件装置 | |
| JP2005503714A (ja) | 新しい暗号化キーのためのフィンガープリント、制御信号 | |
| CN108134777B (zh) | 一种基于时间戳的通信加密系统 | |
| EP3328014A1 (en) | Data packet transmission method, apparatus, node device, and system | |
| EP3688959B1 (en) | System for securing deployed security cameras | |
| CN106572086A (zh) | 一种基于芯片实现网络协议密钥动态更新的装置及方法 | |
| CN103532965B (zh) | 一种报文回调方法及装置 | |
| CN102843375B (zh) | 基于ip协议中的标识控制网络访问的方法 | |
| JP2004180318A (ja) | データの暗号化又は解読方法及びデータの暗号化又は解読装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170419 |