一種處理數(shù)字簽名的方法和裝置的制造方法
【專利摘要】本發(fā)明公開了一種處理數(shù)字簽名的方法和裝置,包括接收到包含數(shù)字簽名的IP報文時���,驗證IP報文中的數(shù)字簽名���;如果驗證成功�����,則根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名���,并轉(zhuǎn)發(fā)IP報文到下游設(shè)備。通過本發(fā)明提供的技術(shù)方案����,避免了下游設(shè)備獲得數(shù)字簽名,從而避免了計算數(shù)字簽名的算法根據(jù)獲得的數(shù)字簽名被破解����,保證了網(wǎng)絡(luò)的安全性。
【專利說明】
一種處理數(shù)字簽名的方法和裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)�����,尤指一種處理數(shù)字簽名的方法和裝置��。
【背景技術(shù)】
[0002]隨著通信網(wǎng)絡(luò)如計算機網(wǎng)絡(luò)廣泛應(yīng)用于生產(chǎn)和生活中���,通信網(wǎng)絡(luò)的網(wǎng)絡(luò)安全得到了越來越多的重視�。網(wǎng)絡(luò)安全技術(shù)主要用于保證通信網(wǎng)絡(luò)中的信息的保密性、真實性和完整性���。其中��,完整性指的是保證信息的一致性����,防止信息被非法篡改�����。為了有效保證信息的完整性�,通常采用數(shù)字簽名技術(shù)。
[0003]以計算機網(wǎng)絡(luò)為例來看��,為了保證網(wǎng)際互連協(xié)議(IP)報文的完整性�,通常采用IP報文數(shù)字簽名技術(shù)。目前��,IP報文的接收側(cè)數(shù)字簽名的驗證設(shè)備中處理數(shù)字簽名的方法大致包括:接收到包含數(shù)字簽名的IP報文時��,驗證IP報文中的數(shù)字簽名��;如果驗證成功��,則轉(zhuǎn)發(fā)IP報文到下游設(shè)備如終端設(shè)備�����;如果驗證失敗����,則丟棄IP報文。數(shù)字簽名可以存儲在IP報文的頭部分或者數(shù)據(jù)部分��。通常驗證設(shè)備設(shè)置在信任網(wǎng)絡(luò)如內(nèi)部網(wǎng)絡(luò)中�����,而下游設(shè)備不保證設(shè)置在信任網(wǎng)絡(luò)中�,例如終端設(shè)備設(shè)置在非信任網(wǎng)絡(luò)如非內(nèi)部網(wǎng)絡(luò)中。現(xiàn)有技術(shù)中轉(zhuǎn)發(fā)給終端設(shè)備的IP報文中包括數(shù)字簽名����,如果終端設(shè)備被非法控制如被黑客控制,此時IP報文的發(fā)送側(cè)數(shù)字簽名的簽名設(shè)備計算數(shù)字簽名的算法可能被破解���,一旦破解成功就會偽造出包含驗證設(shè)備可驗證成功的數(shù)字簽名的IP報文��,從而降低計算機網(wǎng)絡(luò)的安全性����,甚至帶來嚴(yán)重性影響如重大經(jīng)濟(jì)損失。
【發(fā)明內(nèi)容】
[0004]為了解決上述技術(shù)問題�,本發(fā)明提供了一種處理數(shù)字簽名的方法和裝置,能夠避免計算數(shù)字簽名的算法被破解��,從而保證網(wǎng)絡(luò)的安全性���。
[0005]為了達(dá)到本發(fā)明目的�����,本發(fā)明公開了一種處理數(shù)字簽名的方法�,包括:
[0006]接收到包含數(shù)字簽名的IP報文時����,驗證IP報文中的數(shù)字簽名;
[0007]如果驗證成功���,則根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名�����,并轉(zhuǎn)發(fā)所述IP報文到下游設(shè)備��。
[0008]所述生成策略為:
[0009]生成隨機信息并作為所述替代信息�����;
[0010]或者���,生成用于指示驗證成功的信息并作為替代信息。
[0011]本發(fā)明方法還包括:如果驗證失敗�����,則丟棄所述IP報文����。
[0012]進(jìn)一步地,所述生成替代信息并覆蓋數(shù)字簽名之前�����,本發(fā)明方法還包括:如果預(yù)先設(shè)置的第一配置項顯示不覆蓋�,則跳過所述生成替代信息并覆蓋數(shù)字簽名的步驟,執(zhí)行所述轉(zhuǎn)發(fā)IP報文到下游設(shè)備的步驟����。
[0013]進(jìn)一步地��,所述丟棄之前���,本發(fā)明方法還包括:如果預(yù)先設(shè)置的第二配置項顯示轉(zhuǎn)發(fā),則將所述IP報文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項顯示的處理設(shè)備�����;如果所述第二配置項顯示丟棄�,則執(zhí)行所述丟棄的步驟。
[0014]本發(fā)明還公開了一種處理數(shù)字簽名的裝置�����,包括驗證單元和處理單元��,其中�,
[0015]驗證單元,用于當(dāng)接收到包含數(shù)字簽名的IP報文時���,驗證IP報文中的數(shù)字簽名����;
[0016]處理單元��,用于當(dāng)驗證單元指示驗證成功時,根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名���,并轉(zhuǎn)發(fā)所述IP報文到下游設(shè)備��。
[0017]所述生成策略可以為:
[0018]生成隨機信息并作為所述替代信息�;
[0019]或者�,生成用于指示驗證成功的信息并作為替代信息�。
[0020]所述處理單元還用于:當(dāng)驗證單元指示驗證失敗時,丟棄所述IP報文���。
[0021]進(jìn)一步地��,所述處理單元還用于:當(dāng)所述驗證單元指示驗證成功��,且預(yù)先設(shè)置的第一配置項顯示不覆蓋時�,轉(zhuǎn)發(fā)所述IP報文到下游設(shè)備�。
[0022]進(jìn)一步地,所述處理單元還用于:當(dāng)所述驗證單元指示驗證失敗��,且預(yù)先設(shè)置的第二配置項顯示轉(zhuǎn)發(fā)時�����,將所述IP報文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項顯示的處理設(shè)備;當(dāng)所述驗證單元指示驗證失敗��,且所述第二配置項顯示丟棄時�����,丟棄所述IP報文���。
[0023]與現(xiàn)有技術(shù)相比��,本發(fā)明技術(shù)方案包括:接收到包含數(shù)字簽名的IP報文時�����,驗證IP報文中的數(shù)字簽名���;如果驗證成功,則根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名���,并轉(zhuǎn)發(fā)IP報文到下游設(shè)備���。通過本發(fā)明技術(shù)方案,避免了下游設(shè)備獲得數(shù)字簽名��,從而避免了計算數(shù)字簽名的算法根據(jù)獲得的數(shù)字簽名被破解,保證了網(wǎng)絡(luò)的安全性�����,從而保證了用戶體驗����。
[0024]本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述,并且�����,部分地從說明書中變得顯而易見�,或者通過實施本發(fā)明而了解���。本發(fā)明的目的和其他優(yōu)點可通過在說明書��、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得����。
【附圖說明】
[0025]附圖用來提供對本發(fā)明技術(shù)方案的進(jìn)一步理解�����,并且構(gòu)成說明書的一部分,與本申請的實施例一起用于解釋本發(fā)明的技術(shù)方案����,并不構(gòu)成對本發(fā)明技術(shù)方案的限制。
[0026]圖1為本發(fā)明處理數(shù)字簽名的方法的流程圖�����;
[0027]圖2為本發(fā)明處理數(shù)字簽名的裝置的組成結(jié)構(gòu)示意圖�。
【具體實施方式】
[0028]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚明白�����,下文中將結(jié)合附圖對本發(fā)明的實施例進(jìn)行詳細(xì)說明����。需要說明的是,在不沖突的情況下���,本申請中的實施例及實施例中的特征可以相互任意組合�。
[0029]在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行��。并且,雖然在流程圖中示出了邏輯順序����,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟���。
[0030]圖1為本發(fā)明處理數(shù)字簽名的方法的流程圖�����,如圖1所示�����,包括:
[0031]步驟101:接收到包含數(shù)字簽名的IP報文時�����,驗證IP報文中的數(shù)字簽名。
[0032]其具體實現(xiàn)屬于本領(lǐng)域技術(shù)人員的慣用技術(shù)手段���,并不用于限定本發(fā)明的保護(hù)范圍��,此處不再贅述���。這里強調(diào)的是��,步驟101之后����,執(zhí)行步驟102��。
[0033]需要說明的是���,數(shù)字簽名可以設(shè)置在IP報文的頭部分或者數(shù)據(jù)部分�。
[0034]步驟102:如果驗證成功����,則根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名,并轉(zhuǎn)發(fā)IP報文到下游設(shè)備如終端設(shè)備��。
[0035]步驟102中的生成策略可以為:生成隨機信息并作為替代信息�����。這樣避免了下游設(shè)備獲得數(shù)字簽名�����,從而避免了計算數(shù)字簽名的算法根據(jù)獲得的數(shù)字簽名被破解,保證了網(wǎng)絡(luò)的安全性����。
[0036]其中,生成隨機信息的具體實現(xiàn)�,屬于本領(lǐng)域技術(shù)人員的慣用技術(shù)手段,并不用于限定本發(fā)明的保護(hù)范圍���,此處不再贅述���。
[0037]步驟102中生成策略還可以為:生成用于指示驗證成功的信息并作為替代信息。這樣避免了下游設(shè)備獲得數(shù)字簽名��,也實現(xiàn)了利用替代信息向下游設(shè)備傳遞驗證結(jié)果�,從而保證了網(wǎng)絡(luò)的安全性,也降低了下游設(shè)備的處理復(fù)雜度���。
[0038]應(yīng)該理解的是�,參考上述傳遞驗證結(jié)果給下游設(shè)備的思路�����,還可以在本發(fā)明技術(shù)方案中實現(xiàn)利用替代信息傳遞其它信息給下游設(shè)備��。
[0039]需要說明的是�,步驟102生成的替代信息與數(shù)字簽名的長度如二進(jìn)制比特數(shù)相等。
[0040]進(jìn)一步地���,為了使本發(fā)明方法兼容現(xiàn)有技術(shù)���,本發(fā)明方法還包括:如果驗證失敗,則丟棄IP報文�����。
[0041]進(jìn)一步地����,為了使本發(fā)明方法兼容現(xiàn)有技術(shù),步驟102中生成替代信息并覆蓋數(shù)字簽名之前���,本發(fā)明方法還包括:如果預(yù)先設(shè)置的第一配置項顯示不覆蓋��,則跳過步驟102中的生成替代信息并覆蓋數(shù)字簽名的步驟��,執(zhí)行步驟102中的轉(zhuǎn)發(fā)IP報文到下游設(shè)備的步驟��;如果第一配置項顯示覆蓋�����,則繼續(xù)執(zhí)行步驟102中的生成替代信息并覆蓋數(shù)字簽名的步驟��,并執(zhí)行步驟102中的轉(zhuǎn)發(fā)IP報文到下游設(shè)備的步驟�����。
[0042]進(jìn)一步地�����,步驟102中丟棄之前�����,本發(fā)明方法還包括:如果預(yù)先設(shè)置的第二配置項顯示轉(zhuǎn)發(fā)��,則將IP報文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項顯示的處理設(shè)備����;如果第二配置項顯示丟棄,則繼續(xù)執(zhí)行步驟102中的丟棄的步驟��。
[0043]這樣����,通過將第二配置項設(shè)置為轉(zhuǎn)發(fā)使得處理設(shè)備能夠?qū)︱炞C失敗的IP報文進(jìn)行處理如進(jìn)行統(tǒng)計計數(shù)處理,從而增加了本發(fā)明技術(shù)方案的靈活性�。
[0044]在本發(fā)明的實施例中,為了使本發(fā)明方法更加靈活��,步驟102中生成替代信息并覆蓋數(shù)字簽名之前���,本發(fā)明方法還包括:
[0045]當(dāng)判斷出下游設(shè)備位于信任網(wǎng)絡(luò)中且第一配置項顯示不覆蓋時����,跳過步驟102中的生成替代信息并覆蓋數(shù)字簽名的步驟����,執(zhí)行步驟102中的轉(zhuǎn)發(fā)IP報文到下游設(shè)備的步驟;當(dāng)判斷出下游設(shè)備位于信任網(wǎng)絡(luò)中且第一配置項顯示覆蓋�,或者判斷出下游設(shè)備位于非信任網(wǎng)絡(luò)中時,繼續(xù)執(zhí)行步驟102中的生成替代信息并覆蓋數(shù)字簽名的步驟�����,并執(zhí)行步驟102中的轉(zhuǎn)發(fā)IP報文到下游設(shè)備的步驟���。其中�,
[0046]判斷下游設(shè)備位于信任網(wǎng)絡(luò)或者非信任網(wǎng)絡(luò)中的具體實現(xiàn),屬于本領(lǐng)域技術(shù)人員的慣用技術(shù)手段���,并不用于限定本發(fā)明的保護(hù)范圍���,此處不再贅述。
[0047]需要說明的是���,本發(fā)明技術(shù)方案可以應(yīng)用于將數(shù)字簽名保存在信息集合(如IP報文)的頭部分的通信網(wǎng)絡(luò)中�。
[0048]圖2為本發(fā)明處理數(shù)字簽名的裝置的組成結(jié)構(gòu)示意圖��,該裝置設(shè)置在數(shù)字簽名的驗證設(shè)備中��。如圖2所示����,包括驗證單元和處理單元,其中�,
[0049]驗證單元,用于當(dāng)接收到包含數(shù)字簽名的IP報文時���,驗證IP報文中的數(shù)字簽名�����。
[0050]處理單元���,用于當(dāng)驗證單元指示驗證成功時,根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名����,并轉(zhuǎn)發(fā)IP報文到下游設(shè)備。
[0051]生成策略可以為:生成隨機信息并作為替代信息�;或者,生成用于指示驗證成功的信息并作為替代信息���。
[0052]進(jìn)一步地�����,
[0053]處理單元還用于:當(dāng)驗證單元指示驗證失敗時�,丟棄IP報文���。
[0054]進(jìn)一步地����,
[0055]處理單元還用于:當(dāng)驗證單元指示驗證成功����,且預(yù)先設(shè)置的第一配置項顯示不覆蓋時�����,轉(zhuǎn)發(fā)IP報文到下游設(shè)備�。
[0056]進(jìn)一步地�����,
[0057]處理單元還用于:當(dāng)驗證單元指示驗證失敗���,且預(yù)先設(shè)置的第二配置項顯示轉(zhuǎn)發(fā)時��,將IP報文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項顯示的處理設(shè)備���;當(dāng)驗證單元指示驗證失敗,且第二配置項顯示丟棄時��,丟棄IP報文�����。
[0058]在本發(fā)明的一個實施例中,處理單元具體用于:
[0059]當(dāng)驗證單元指示驗證成功���,且預(yù)先設(shè)置的第一配置項顯示不覆蓋時����,轉(zhuǎn)發(fā)IP報文到下游設(shè)備����;當(dāng)驗證單元指示驗證成功����,且預(yù)先設(shè)置的第一配置項顯示覆蓋時,根據(jù)生成策略生成替代信息并覆蓋數(shù)字簽名�����,并轉(zhuǎn)發(fā)IP報文到下游設(shè)備����;當(dāng)驗證單元指示驗證失敗,且第二配置項顯示轉(zhuǎn)發(fā)時���,將IP報文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項顯示的處理設(shè)備���;當(dāng)驗證單元指示驗證失敗���,且第二配置項顯示丟棄時,丟棄IP報文���。
[0060]雖然本發(fā)明所揭露的實施方式如上所述��,但所述的內(nèi)容僅為便于理解本發(fā)明而采用的實施方式�,并非用以限定本發(fā)明����。任何本發(fā)明所屬領(lǐng)域內(nèi)的技術(shù)人員,在不脫離本發(fā)明所揭露的精神和范圍的前提下���,可以在實施的形式及細(xì)節(jié)上進(jìn)行任何的修改與變化��,但本發(fā)明的專利保護(hù)范圍��,仍須以所附的權(quán)利要求書所界定的范圍為準(zhǔn)����。
【主權(quán)項】
1.一種處理數(shù)字簽名的方法��,其特征在于,包括: 接收到包含數(shù)字簽名的IP報文時���,驗證IP報文中的數(shù)字簽名���; 如果驗證成功,則根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名�,并轉(zhuǎn)發(fā)所述IP報文到下游設(shè)備。2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,所述生成策略為:生成隨機信息并作為所述替代信息。3.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述生成策略為:生成用于指示驗證成功的信息并作為替代信息���。4.根據(jù)權(quán)利要求1?3任一項所述的方法�����,其特征在于����,該方法還包括:如果驗證失敗,則丟棄所述IP報文�。5.根據(jù)權(quán)利要求1?3任一項所述的方法,其特征在于����,所述生成替代信息并覆蓋數(shù)字簽名之前,該方法還包括:如果預(yù)先設(shè)置的第一配置項顯示不覆蓋��,則跳過所述生成替代信息并覆蓋數(shù)字簽名的步驟���,執(zhí)行所述轉(zhuǎn)發(fā)IP報文到下游設(shè)備的步驟����。6.根據(jù)權(quán)利要求4所述的方法�,其特征在于,所述丟棄之前��,該方法還包括:如果預(yù)先設(shè)置的第二配置項顯示轉(zhuǎn)發(fā)����,則將所述IP報文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項顯示的處理設(shè)備;如果所述第二配置項顯示丟棄�,則執(zhí)行所述丟棄的步驟���。7.—種處理數(shù)字簽名的裝置,其特征在于�����,包括驗證單元和處理單元��,其中���, 驗證單元�����,用于當(dāng)接收到包含數(shù)字簽名的IP報文時��,驗證IP報文中的數(shù)字簽名; 處理單元�����,用于當(dāng)驗證單元指示驗證成功時�����,根據(jù)預(yù)先設(shè)置的生成策略生成替代信息并覆蓋數(shù)字簽名,并轉(zhuǎn)發(fā)所述IP報文到下游設(shè)備����。8.根據(jù)權(quán)利要求7所述的裝置,其特征在于�,所述生成策略為:生成隨機信息并作為所述替代信息。9.根據(jù)權(quán)利要求7所述的裝置��,其特征在于�,所述生成策略為:生成用于指示驗證成功的信息并作為替代信息。10.根據(jù)權(quán)利要求7?9任一項所述的裝置�,其特征在于,所述處理單元還用于:當(dāng)驗證單元指示驗證失敗時����,丟棄所述IP報文。11.根據(jù)權(quán)利要求7?9任一項所述的裝置�����,其特征在于�����,所述處理單元還用于:當(dāng)所述驗證單元指示驗證成功����,且預(yù)先設(shè)置的第一配置項顯示不覆蓋時���,轉(zhuǎn)發(fā)所述IP報文到下游設(shè)備。12.根據(jù)權(quán)利要求10任一項所述的裝置����,其特征在于,所述處理單元還用于:當(dāng)所述驗證單元指示驗證失敗��,且預(yù)先設(shè)置的第二配置項顯示轉(zhuǎn)發(fā)時���,將所述IP報文轉(zhuǎn)發(fā)給預(yù)先設(shè)置的第三配置項顯示的處理設(shè)備�;當(dāng)所述驗證單元指示驗證失敗�����,且所述第二配置項顯示丟棄時��,丟棄所述IP報文���。
【文檔編號】H04L29/06GK105871791SQ201510036933
【公開日】2016年8月17日
【申請日】2015年1月23日
【發(fā)明人】劉晴
【申請人】中興通訊股份有限公司