CN115994366A - 网络设备和数据解密方法 - Google Patents
网络设备和数据解密方法 Download PDFInfo
- Publication number
- CN115994366A CN115994366A CN202111223283.2A CN202111223283A CN115994366A CN 115994366 A CN115994366 A CN 115994366A CN 202111223283 A CN202111223283 A CN 202111223283A CN 115994366 A CN115994366 A CN 115994366A
- Authority
- CN
- China
- Prior art keywords
- encryption
- decryption
- indication information
- ciphertext
- plaintext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 45
- 238000010586 diagram Methods 0.000 description 16
- 238000009795 derivation Methods 0.000 description 11
- 238000004519 manufacturing process Methods 0.000 description 10
- 238000013478 data encryption standard Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 238000012512 characterization method Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种网络设备,应用于加解密领域。网络设备包括接收器和芯片。芯片包括硬件加解密组件和一次性可编程OTP存储区。接收器用于接收待解密文件。待解密文件包括密文。硬件加解密组件用于从OTP存储区获取根密钥明文,通过根密钥明文解密密文,得到明文。在本申请中,OTP存储区受到芯片保护。OTP存储区中的根密钥明文无法被芯片外部的应用程序读取,因此可以提高网络设备的安全性。
Description
技术领域
本申请涉及加解密领域,尤其涉及网络设备和数据解密方法。
背景技术
设备厂商可以通过向网络设备发送设备软件包来更新网络设备上的软件。例如基本输入输出***(basic input output system,BIOS)、操作***(operating system,OS)、或应用程序。但是,黑客可能在通信链路中截取设备软件包。若设备软件包被黑客获取,则黑客可以通过二进制逆向分析,得到有助于攻击该软件的信息。因此,设备厂商可以在网络设备出厂前,将根密钥明文设置在网络设备上。在向网络设备发送设备软件包之前,设备厂商通过根密钥明文对设备软件包进行加密。在接收到加密后的软件包密文后,网络设备通过根密钥明文对软件包密文进行解密,得到软件包明文。
在实际应用中,根密钥明文也可能被黑客窃取。黑客可以通过根密钥明文对软件包密文进行解密,从而降低了网络设备的安全性。
发明内容
本申请提供了一种网络设备和数据解密方法,网络设备的OTP存储区中的根密钥明文无法被芯片外部的应用程序读取,因此可以提高网络设备的安全性。
本申请第一方面提供了一种网络设备。网络设备包括硬件加解密组件、一次性可编程(one time programmable,OTP)存储区和接收器。硬件加解密组件和OTP存储区可以集成在网络设备的芯片中。硬件加解密组件是受芯片保护的一种逻辑程序。具体地,硬件加解密组件的逻辑程序可以是逻辑电路或逻辑电路与软件代码的结合。硬件加解密组件的逻辑电路或软件代码在芯片内部。芯片外部的应用程序无法修改或获取硬件加解密组件在处理过程中的相关数据。类似地,OTP存储区也受到芯片保护。OTP存储区中的数据无法被芯片外部的应用程序修改或读取。接收器用于接收待解密文件。待解密文件包括密文。硬件加解密组件用于从OTP存储区获取根密钥明文,通过根密钥明文解密密文,得到明文。其中,密文是指加密后的数据。明文是指未加密或解密后的数据。
在本申请中,OTP存储区中的根密钥明文无法被芯片外部的应用程序读取,因此可以提高网络设备的安全性。
在第一方面的一种可选方式中,硬件加解密组件用于从OTP存储区获取根密钥密文。硬件加解密组件通过第一密钥材料和密钥解密根密钥密文,得到根密钥明文。其中,根密钥密文由根密钥密文、第一密钥材料和密钥得到。因此,本申请可以进一步提高网络设备的安全性。
在第一方面的一种可选方式中,硬件加解密组件还用于从待解密文件中获取密钥和第一密钥材料。其中,通过改变待解密文件中的密钥或第一密钥材料,可以灵活改变根密钥明文。因此,本申请可以进一步提高网络设备的安全性。
在第一方面的一种可选方式中,待解密文件还包括第二密钥材料。硬件加解密组件用于通过第二密钥材料派生根密钥明文以得到子密钥。硬件加解密组件用于通过子密钥解密密文,得到明文。其中,通过根密钥明文得到子密钥,可以进一步提高网络设备的安全性。
在第一方面的一种可选方式中,待解密文件还包括第一加密指示信息。硬件加解密组件还用于根据第一加密指示信息确定是否解密密文。在实际应用中,网络设备也可以接收到明文。网络设备无法确定待解密文件中携带的是密文还是明文。若第一加密指示信息表征不需要解密,这表征待解密文件中携带的是明文。网络设备无需对明文进行解密。若第一加密指示信息表征需要解密,这表征待解密文件中携带的是密文。网络设备需对密文进行解密。因此,本申请可以提高加解密的灵活性。例如,对于不重要的软件,设备厂商可以选择不加密。
在第一方面的一种可选方式中,OTP存储区中存储有第二加密指示信息。硬件加解密组件用于根据第一加密指示信息和第二加密指示信息确定是否解密密文。具体地,当第二加密指示信息和第一加密指示信息表征需要解密时,硬件加解密组件确定解密密文。当第二加密指示信息表征需要解密,第一加密指示信息表征不需要解密时,硬件加解密组件发出告警。当第二加密指示信息和第一加密指示信息表征不需要解密时,硬件加解密组件确定不解密密文。当第二加密指示信息表征不需要解密,第一加密指示信息表征需要解密时,硬件加解密组件发出告警。当硬件加解密组件发出告警时,硬件加解密组件可以不解密密文。
因此,本申请可以强制某些网络设备只能安装软件包密文或软件包明文,从而提高网络设备适应不同场景的灵活性。
在第一方面的一种可选方式中,待解密文件还包括第一算法类型指示信息。硬件加解密组件还用于根据第一算法类型指示信息确定硬件加解密组件中的目标加解密算法。硬件加解密组件用于通过目标加解密算法和根密钥明文解密密文,得到明文。其中,硬件加解密组件中可以预先设置多种解密算法。硬件加解密组件根据第一算法类型指示信息在多种解密算法中选择目标加解密算法。因此,本申请可以灵活选择解密算法,从而提高网络设备的安全性。
在第一方面的一种可选方式中,OTP存储区中包括第二算法类型指示信息。第二算法类型指示信息表征的算法类型覆盖第一算法类型指示信息表征的算法类型。硬件加解密组件用于根据第一算法类型指示信息和第二算法类型指示信息确定硬件加解密组件中的目标加解密算法。其中,当第二算法类型指示信息表征的算法类型覆盖第一算法类型指示信息表征的算法类型时,硬件加解密组件选择第一算法类型指示信息表征的目标加解密算法。当第二算法类型指示信息表征的算法类型不覆盖第一算法类型指示信息表征的算法类型时,硬件加解密组件可以发出告警。硬件加解密组件不采用第一算法类型指示信息表征的算法类型解密密文。因此,本申请可以强制某些网络设备进行何种加解密算法,从而提高网络设备的安全性。
在第一方面的一种可选方式中,硬件加解密组件中的多套加解密算法共用根密钥密文。其中,芯片内的OTP存储空间有限。通过共用根密钥密文,可以节约存储空间,从而降低网络设备的成本。
在第一方面的一种可选方式中,密文为BIOS、OS或应用程序。
本申请第二方面提供了一种数据解密方法。数据解密方法应用于网络设备。网络设备包括芯片和接收器。芯片包括硬件加解密组件和OTP存储区。数据解密方法包括以下步骤:网络设备通过接收器接收待解密文件。待解密文件包括密文。网络设备从OTP存储区获取根密钥明文。网络设备通过硬件加解密组件和根密钥明文解密密文,得到明文。其中,硬件加解密组件和OTP存储区可以集成在网络设备的芯片中。硬件加解密组件是受芯片保护的一种逻辑程序。具体地,硬件加解密组件的逻辑程序可以是逻辑电路或逻辑电路与软件代码的结合。硬件加解密组件的逻辑电路或软件代码在芯片内部。芯片外部的应用程序无法修改或获取硬件加解密组件在处理过程中的相关数据。类似地,OTP存储区也受到芯片保护。OTP存储区中的数据无法被芯片外部的应用程序修改或读取。
在本申请中,OTP存储区中的根密钥明文无法被芯片外部的应用程序读取,因此可以提高网络设备的安全性。
在第二方面的一种可选方式中,网络设备从OTP存储区获取根密钥密文。网络设备通过硬件加解密组件、第一密钥材料和密钥解密根密钥密文,得到根密钥明文。
在第二方面的一种可选方式中,在网络设备解密根密钥密文,得到根密钥明文之前,数据解密方法还包括以下步骤:网络设备从待解密文件中获取密钥和第一密钥材料。
在第二方面的一种可选方式中,待解密文件还包括所述第二密钥材料。网络设备通过硬件加解密组件和第二密钥材料派生根密钥明文,以得到子密钥。网络设备通过硬件加解密组件和子密钥解密密文,得到明文。
在第二方面的一种可选方式中,待解密文件还包括第一加密指示信息。在网络设备通过硬件加解密组件和根密钥明文解密密文,得到明文之前,数据解密方法还包括以下步骤:网络设备根据第一加密指示信息确定是否解密密文。其中,若第一加密指示信息表征不需要解密,这表征网络设备接收到的是明文。网络设备无需对明文进行解密。若第一加密指示信息表征需要解密,这表征网络设备接收到的是密文。网络设备需对密文进行解密。
在第二方面的一种可选方式中,OTP存储区中包括第二加密指示信息。网络设备根据第一加密指示信息和第二加密指示信息确定是否解密密文。具体地,当第二加密指示信息和第一加密指示信息表征需要解密时,硬件加解密组件确定解密密文。当第二加密指示信息表征需要解密,第一加密指示信息表征不需要解密时,硬件加解密组件发出告警。当第二加密指示信息和第一加密指示信息表征不需要解密时,硬件加解密组件确定不解密密文。当第二加密指示信息表征不需要解密,第一加密指示信息表征需要解密时,硬件加解密组件发出告警。当硬件加解密组件发出告警时,硬件加解密组件可以不解密密文。
在第二方面的一种可选方式中,待解密文件还包括第一算法类型指示信息。在网络设备通过硬件加解密组件和根密钥明文解密密文,得到明文之前,数据解密方法还包括以下步骤:网络设备根据第一算法类型指示信息确定硬件加解密组件中的目标加解密算法。网络设备根据目标加解密算法和根密钥明文解密密文,得到明文。
在第二方面的一种可选方式中,OTP存储区中包括第二算法类型指示信息。第二算法类型指示信息表征的算法类型覆盖第一算法类型指示信息表征的算法类型。网络设备根据第一算法类型指示信息和第二算法类型指示信息确定硬件加解密组件中的目标加解密算法。当第二算法类型指示信息表征的算法类型不覆盖第一算法类型指示信息表征的算法类型时,硬件加解密组件可以发出告警。硬件加解密组件不采用第一算法类型指示信息表征的算法类型解密密文。
本申请第三方面提供了一种加密设备。加密设备包括处理器和收发器。处理器用于根据根密钥明文对密文进行加密,得到密文。收发器用于向网络设备发送待解密文件。待解密文件包括密文。网络设备包括芯片和接收器。芯片包括硬件加解密组件和OTP存储区。OTP存储区中存储有根密钥明文的相关信息。密文用于硬件加解密组件通过根密钥明文解密密文,得到明文。
在第三方面的一种可选方式中,OTP存储区中存储有根密钥密文。根密钥密文用于硬件加解密组件通过第一密钥材料和密钥解密根密钥密文,得到根密钥明文。
在第三方面的一种可选方式中,待解密文件还包括密钥和第一密钥材料。
在第三方面的一种可选方式中,待解密文件还包括第二密钥材料。第二密钥材料用于硬件加解密组件用于通过第二密钥材料派生根密钥明文以得到子密钥。密文用于硬件加解密组件通过根密钥明文解密密文,得到明文包括:密文用于硬件加解密组件通过子密钥解密密文,得到明文。
在第三方面的一种可选方式中,待解密文件还包括第一加密指示信息。第一加密指示信息用于硬件加解密组件根据第一加密指示信息确定是否解密密文。若第一加密指示信息表征不需要解密,这表征网络设备接收到的是明文。网络设备无需对明文进行解密。若第一加密指示信息表征需要解密,这表征网络设备接收到的是密文。网络设备需对密文进行解密。
在第三方面的一种可选方式中,OTP存储区中存储有第二加密指示信息。第一加密指示信息用于硬件加解密组件根据第一加密指示信息确定是否解密密文包括:硬件加解密组件用于硬件加解密组件根据第一加密指示信息和第二加密指示信息确定是否解密密文。其中,当第二加密指示信息和第一加密指示信息表征需要解密时,硬件加解密组件确定解密密文。当第二加密指示信息表征需要解密,第一加密指示信息表征不需要解密时,硬件加解密组件发出告警。当第二加密指示信息和第一加密指示信息表征不需要解密时,硬件加解密组件确定不解密密文;当第二加密指示信息表征不需要解密,第一加密指示信息表征需要解密时,硬件加解密组件发出告警。
在第三方面的一种可选方式中,待解密文件还包括第一算法类型指示信息。第一算法类型指示信息用于硬件加解密组件根据第一算法类型指示信息确定硬件加解密组件中的目标加解密算法。密文用于硬件加解密组件通过根密钥明文解密密文,得到明文包括:密文用于硬件加解密组件通过目标加解密算法和根密钥明文解密密文,得到明文。
在第三方面的一种可选方式中,OTP存储区中包括第二算法类型指示信息。第二算法类型指示信息表征的算法类型覆盖第一算法类型指示信息表征的算法类型。第一算法类型指示信息用于硬件加解密组件根据第一算法类型指示信息确定硬件加解密组件中的目标加解密算法包括:第一算法类型指示信息用于硬件加解密组件根据第一算法类型指示信息和第二算法类型指示信息确定硬件加解密组件中的目标加解密算法。当第二算法类型指示信息表征的算法类型不覆盖第一算法类型指示信息表征的算法类型时,硬件加解密组件可以发出告警,不采用第一算法类型指示信息表征的算法类型解密密文。
在第三方面的一种可选方式中,硬件加解密组件中的多套加解密算法共用根密钥密文。
在第三方面的一种可选方式中,密文为BIOS、OS或应用程序。
本申请第四方面提供了一种数据加密方法。数据加密方法包括以下步骤:加密设备根据根密钥明文对密文进行加密,得到密文。加密设备向网络设备发送待解密文件。待解密文件包括密文。网络设备包括芯片和接收器。芯片包括硬件加解密组件和OTP存储区。OTP存储区中存储有根密钥明文的相关信息。密文用于硬件加解密组件通过根密钥明文解密密文,得到明文。
在第四方面的一种可选方式中,OTP存储区中存储有根密钥密文。根密钥密文用于硬件加解密组件通过第一密钥材料和密钥解密根密钥密文,得到根密钥明文。
在第四方面的一种可选方式中,待解密文件还包括密钥和第一密钥材料。
在第四方面的一种可选方式中,待解密文件还包括第二密钥材料。第二密钥材料用于硬件加解密组件用于通过第二密钥材料派生根密钥明文以得到子密钥。密文用于硬件加解密组件通过根密钥明文解密密文,得到明文包括:密文用于硬件加解密组件通过子密钥解密密文,得到明文。
在第四方面的一种可选方式中,待解密文件还包括第一加密指示信息。第一加密指示信息用于硬件加解密组件根据第一加密指示信息确定是否解密密文。若第一加密指示信息表征不需要解密,这表征网络设备接收到的是明文。网络设备无需对明文进行解密。若第一加密指示信息表征需要解密,这表征网络设备接收到的是密文。网络设备需对密文进行解密。
在第四方面的一种可选方式中,OTP存储区中存储有第二加密指示信息。第一加密指示信息用于硬件加解密组件根据第一加密指示信息确定是否解密密文包括:硬件加解密组件用于硬件加解密组件根据第一加密指示信息和第二加密指示信息确定是否解密密文。其中,当第二加密指示信息和第一加密指示信息表征需要解密时,硬件加解密组件确定解密密文。当第二加密指示信息表征需要解密,第一加密指示信息表征不需要解密时,硬件加解密组件发出告警。当第二加密指示信息和第一加密指示信息表征不需要解密时,硬件加解密组件确定不解密密文;当第二加密指示信息表征不需要解密,第一加密指示信息表征需要解密时,硬件加解密组件发出告警。
在第四方面的一种可选方式中,待解密文件还包括第一算法类型指示信息。第一算法类型指示信息用于硬件加解密组件根据第一算法类型指示信息确定硬件加解密组件中的目标加解密算法。密文用于硬件加解密组件通过根密钥明文解密密文,得到明文包括:密文用于硬件加解密组件通过目标加解密算法和根密钥明文解密密文,得到明文。
在第四方面的一种可选方式中,OTP存储区中包括第二算法类型指示信息。第二算法类型指示信息表征的算法类型覆盖第一算法类型指示信息表征的算法类型。第一算法类型指示信息用于硬件加解密组件根据第一算法类型指示信息确定硬件加解密组件中的目标加解密算法包括:第一算法类型指示信息用于硬件加解密组件根据第一算法类型指示信息和第二算法类型指示信息确定硬件加解密组件中的目标加解密算法。当第二算法类型指示信息表征的算法类型不覆盖第一算法类型指示信息表征的算法类型时,硬件加解密组件可以发出告警,不采用第一算法类型指示信息表征的算法类型解密密文。
附图说明
图1为本申请中提供的网络设备的第一个结构示意图;
图2为本申请中提供的网络设备的第二个结构示意图;
图3为本申请中提供的网络设备的第三个结构示意图;
图4为本申请中提供的网络设备的第四个结构示意图;
图5为本申请中提供的加密设备的第一个结构示意图;
图6为本申请中提供的加密设备的第二个结构示意图;
图7为本申请中提供的加密设备的第三个结构示意图;
图8为本申请中提供的加密***的结构示意图;
图9为本申请中提供的数据解密方法的流程示意图;
图10为本申请中提供的数据加密方法的流程示意图。
具体实施方式
本申请提供了一种网络设备和数据解密方法,网络设备的OTP存储区中的根密钥明文无法被芯片外部的应用程序读取,因此可以提高网络设备的安全性。
应理解,本申请中使用的“第一”、“第二”或“目标”等仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。另外,为了简明和清楚,本申请多个附图中重复参考编号和/或字母。重复并不表明各种实施例和/或配置之间存在严格的限定关系。
本申请中的网络设备应用于加解密领域。在加解密领域中,设备厂商可以通过加密设备软件包来提高网络设备的安全性。但是,在实际应用中,网络设备中的根密钥明文可能会被黑客窃取,从而降低了网络设备的安全性。
为此,本申请提供了一种网络设备。图1为本申请中提供的网络设备的第一个结构示意图。如图1所示,网络设备100包括接收器101和芯片105。芯片105包括OTP存储区104和硬件加解密组件103。芯片105可以是处理器。处理器可以是中央处理器(centralprocessing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片或其他通用处理器。上述硬件芯片可以是专用集成电路(application specific integrated circuit,ASIC),可编程逻辑器件(programmablelogic device,PLD)或其组合。
硬件加解密组件103是受芯片105保护的一种逻辑程序。具体地,硬件加解密组件103的逻辑程序可以是逻辑电路或逻辑电路与软件代码的结合。硬件加解密组件103的逻辑电路或软件代码在芯片105内部。芯片105外部的应用程序无法修改或获取硬件加解密组件103在处理过程中的相关数据。类似地,OTP存储区104也受到芯片保护。OTP存储区104中的数据无法被芯片105外部的应用程序修改或读取。例如,通过熔断技术可以使得芯片105外部的应用程序无法读取OTP存储区104中的数据。并且,网络设备100还可以产生伪数据。芯片105外部的应用程序从“OTP存储区104”读取的是伪数据。伪数据可以全为0或全为1。硬件加解密组件103可以通过逻辑电路访问OTP存储区104。其中,芯片105外部的应用程序是指逻辑电路或代码在芯片外部的应用程序。例如,若某个应用程序的代码在网络设备的芯片外存储器上,则该应用程序为芯片105外部的应用程序。
在实际应用中,网络设备100还可以包括芯片外存储器102。芯片外存储器102可以是易失性存储器或非易失性存储器,或易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、如可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM),电子抹除式可复写只读存储器(electrically erasable programmable read only memory,EEPROM),非易失闪存技术(NOR Flash),NAND闪存等。易失性存储器可以是随机存取存储器(random access memory,RAM),如静态随机存取存储器(static random-access memory,SRAM),动态随机存取存储器(dynamic random access memory,DRAM),同步动态随机存取存储器(synchronousdynamic random access memory,DRAM)双倍数据率同步动态随机存取存储器(doubledata rate synchronic dynamic random access memroy,DDR SDRAM)等。
接收器101可以是收发器。收发器可以是无线射频模块或光收发模块。收发器也可以是通信协议模块。网络设备100通过通信协议模块同外部实体建立安全的通信连接。通信协议模块可以是传输层安全性协议(transport layer security,TLS),或互联网安全协议(Internet Protocol Security,IPSec)等。接收器101用于接收待解密文件。待解密文件包括密文。芯片外存储器102用于存储待解密文件。OTP存储区104中存储有根密钥明文的相关信息。根密钥明文的相关信息可以是网络设备在出厂前写入的。根密钥明文的相关信息可以为根密钥明文或根密钥密文等。当OTP存储区104中存储有根密钥明文时,硬件加解密组件103用于从OTP存储区104获取根密钥明文。硬件加解密组件103还用于从芯片外存储器102获取密文。硬件加解密组件103用于通过根密钥明文解密密文,得到明文。
在本申请中,OTP存储区104中的根密钥明文无法被芯片外部的应用程序读取,因此可以提高网络设备的安全性。
在实际应用中,OTP存储区104中的根密钥明文通常只能被写入一次。因此,为了方便升级根密钥明文,OTP存储区104中可以存储根密钥密文。例如,图2为本申请中提供的网络设备的第二个结构示意图。如图2所示,网络设备100包括接收器101、芯片外存储器102和芯片105。芯片105包括OTP存储区104和硬件加解密组件103。OTP存储区104中存储有根密钥密文。接收器101接收的待解密文件包括密文、密钥和第一密钥材料。芯片外存储器102用于存储待解密文件。硬件加解密组件103用于从OTP存储区104获取根密钥密文。硬件加解密组件103还用于从芯片外存储器102获取密钥和第一密钥材料。硬件加解密组件103用于根据根密钥密文、密钥和第一密钥材料得到根密钥明文。硬件加解密组件103还用于从芯片外存储器102获取密文。硬件加解密组件103用于通过根密钥明文解密密文,得到明文。
应理解,在不需要升级根密钥明文的场景中,密钥和第一密钥材料可以存储在OTP存储区104。此时,硬件加解密组件103用于从OTP存储区104获取根密钥密文、密钥和第一密钥材料。硬件加解密组件103用于从芯片外存储器102获取密文。在根据根密钥密文、密钥和第一密钥材料得到根密钥明文后,硬件加解密组件103用于通过根密钥明文解密密文,得到明文。
在实际应用中,为了提高网络设备的安全性,硬件加解密组件103可以根据根密钥明文得到子密钥。硬件加解密组件103通过子密钥解密密文,得到明文。例如,图3为本申请中的提供的网络设备的第三个结构示意图。如图3所示,网络设备100包括接收器101、芯片外存储器102和芯片105。芯片105包括OTP存储区104和硬件加解密组件103。OTP存储区104中存储有密钥、第一密钥材料和根密钥密文。接收器101接收的待解密文件包括密文和第二密钥材料。芯片外存储器102用于存储待解密文件。硬件加解密组件103用于从OTP存储区104获取密钥、第一密钥材料和根密钥密文。硬件加解密组件103用于根据根密钥密文、密钥和第一密钥材料得到根密钥明文。硬件加解密组件103还用于从芯片外存储器102获取第二密钥材料。硬件加解密组件103用于通过第二密钥材料派生根密钥明文,以得到子密钥。硬件加解密组件103还用于从芯片外存储器102获取密文。硬件加解密组件103用于通过子密钥解密密文,得到明文。
在实际应用中,接收器101也可能接收到携带明文的待解密文件。网络设备100无法确定待解密文件中携带的是密文还是明文。因此,待解密文件还可以包括第一加密指示信息,硬件加解密组件103根据第一加密指示信息确定是否解密待解密文件中的密文。例如,图4为本申请中提供的网络设备的第四个结构示意图。如图4所示,网络设备100包括接收器101、芯片外存储器102和芯片105。芯片105包括OTP存储区104和硬件加解密组件103。接收器101接收的待解密文件包括密文、第二密钥材料和第一加密指示信息。
在OTP存储区104不包括加密指示信息的情况下,若第一加密指示信息表征不需要解密,这表征网络设备接收到的是明文。网络设备100无需对明文进行解密。网络设备100可以直接加载明文。若第一加密指示信息表征需要解密,则表征网络设备100接收到的是密文。网络设备100对密文进行解密。具体地的解密操作详见图3中的相关描述。
如图4所示,在实际应用中,为了提高网络设备100的安全性,OTP存储区104中可以存储有第二加密指示信息。网络设备100可以通过第二加密指示信息强制网络设备100只能安装软件包密文或软件包明文。
例如,当存在第二加密指示信息和第一加密指示信息时,网络设备100根据第二加密指示信息确定是否解密密文。具体地,当第二加密指示信息表征需要解密时,硬件加解密组件103解密密文。此时,即使第一加密指示信息指示不需要解密,即待解密文件中携带的是明文,硬件加解密组件103也会对明文进行解密,得到错误的文件。并且,网络设备100无法加载错误的文件,从而强制网络设备100只能安装软件包密文。当第二加密指示信息表征不需要解密时,硬件加解密组件103不解密密文。此时,即使第一加密指示信息指示需要解密,即待解密文件中携带的是密文,硬件加解密组件103也不会对密文进行解密。网络设备100无法加载密文,从而强制网络设备100只能安装软件包明文。
例如,当第二加密指示信息和第一加密指示信息表征需要解密时,硬件加解密组件103确定解密密文。当第二加密指示信息表征需要解密,第一加密指示信息表征不需要解密时,硬件加解密组件103发出告警。当第二加密指示信息和第一加密指示信息表征不需要解密时,硬件加解密组件103确定不解密密文。当第二加密指示信息表征不需要解密,第一加密指示信息表征需要解密时,硬件加解密组件103发出告警。当硬件加解密组件103发出告警时,硬件加解密组件103可以不解密密文。因此,本申请可以强制网络设备100只能安装软件包密文或软件包明文,从而提高网络设备适应不同场景的灵活性。
在实际应用中,硬件加解密组件103中可以预先设置多种加解密算法。例如,多种加解密算法包括国际密码算法和国产密码算法。国际密码算法是国外标准组织或机构主导制定标准的一系列加解密算法。国际密码算法包括对称加密算法、非对称加密算法和密码杂凑算法。对称加密算法包括数据加密标准(data encryptionstandard,DES)、高级加密标准(advanced encryption standard,AES)等。非对称加密算法包括加密算法(rivest-shamir-adleman,RSA)、椭圆加密算法(elliptic curve cryptography,ECC)、密钥交换算法(diffie-hellman,DH)等。密码杂凑算法包括消息摘要算法第五版(message digestalgorithm 5,MD5)和安全散列算法(secure hash algorithm,SHA)算法等。国产密码算法简称国密算法,也称为商用密码算法。国产密码算法是中国国家密码局制定标准的一系列算法。国产密码算法包括对称加密算法、椭圆曲线非对称加密算法、杂凑算法等。例如,对称加密算法包括SM1和SM4。SM1和SM4能够对报文内容或者数据进行加密保护,防止报文内容或者数据在传输或者存储过程中被窥探和窃取。SM1和SM4对应的国际密码算法是DES、三重数据加密标准(triple data encryption standard,3DES)、AES。公钥算法包括SM2。SM2用于实体验证、数字签名和数字信封等。在采用因特网密钥交换协议(internet keyexchang,IKE)自动协商时,可以采用SM2密钥认证方式进行IKE协商。SM2对应的国际密码算法是RSA。验证算法包括SM3。SM3是使用256位的密码算法。SM3用于对称密钥生成和完整性校验,以判别报文在传输过程中是否被篡改。SM3对应的国际密码算法是MD5、SHA1、SHA2等。
待解密文件还可以包括第一算法类型指示信息。第一算法类型指示信息用于表征密文的加解密算法类型。例如,如图4所示,接收器101接收的待解密文件还包括第一算法类型指示信息。硬件加解密组件103还用于根据第一算法类型指示信息确定硬件加解密组件103中的目标加解密算法。硬件加解密组件103用于通过目标加解密算法和根密钥明文解密密文,得到明文。例如,第一算法类型指示信息为SM1。硬件加解密组件103确定目标加解密算法为SM1。硬件加解密组件103通过SM1解密密文。
如图4所示,在实际应用中,为了灵活限制加解密算法类型,OTP存储区104中可以存储有第二算法类型指示信息。硬件加解密组件103根据第二算法类型指示信息和第一算法类型指示信息确定采用何种加解密算法解密密文。当第二算法类型指示信息表征的算法类型覆盖第一算法类型指示信息表征的算法类型时,硬件加解密组件103选择第一算法类型指示信息表征的目标加解密算法。例如,第二算法类型指示信息表征只能使用国产算法。第一算法类型指示信息表征的算法类型为SM1。SM1为国产算法。此时,硬件加解密组件103通过SM1解密密文。当第二算法类型指示信息表征的算法类型不覆盖第一算法类型指示信息表征的算法类型时,硬件加解密组件103可以发出告警。硬件加解密组件103不采用第一算法类型指示信息表征的算法类型解密密文。例如,第二算法类型指示信息表征只能使用国产算法。第一算法类型指示信息表征的算法类型为AES。AES为国际密码算法。国产算法并不覆盖AES。此时,即使硬件加解密组件103中设置有AES的加解密算法,硬件加解密组件103也不采用AES解密密文。并且,硬件加解密组件103还可以发出告警。
根据前面的描可知,硬件加解密组件103中可以预先设置多套加解密算法。为了节约OTP存储区的空间,多套加解密算法可以共用根密钥密文。例如,当硬件加解密组件103采用SM1和SM4解密不同的密文时,硬件加解密组件103使用相同的根密钥密文。
在前述图1至图4的示例中,密文可以为BIOS、OS或应用程序等。当密文为BIOS密文时,芯片105还可以包括片内程序。片内程序可以是硬件加解密组件103的一部分。片内程序也可以是独立于硬件加解密组件103的逻辑程序。在图4中,片内程序读取芯片外存储器102中的第二密钥材料。片内程序用于驱动硬件加解密组件103。硬件加解密组件103用于从根密钥明文中派生出子密钥。硬件加解密组件103通过子密钥解密BIOS密文,得到BIOS明文。在得到明文后,片内程序加载启动BIOS。BIOS后续的密文,例如OS和应用程序等,可以不再由片内程序驱动。具体地,当密文为OS密文时,BIOS驱动硬件加解密组件103对OS密文进行解密,以得到对应的OS明文。之后,再由BIOS加载OS明文。当密文为应用程序密文时,OS驱动硬件加解密组件103对应用程序密文进行解密,以得到对应的应用程序明文。之后,再由OS加载应用程序明文。
前面对本申请中提供的网络设备进行描述,下面对本申请中提供的加密设备进行描述。图5为本申请中提供的加密设备的第一个结构示意图。如图5所示,加密设备500包括处理器501和收发器502。关于处理器501和收发器502的描述,可以参考前述图1中对网络设备的处理器和收发器的描述。
处理器501用于根据根密钥明文对密文进行加密,得到密文。收发器502用于向网络设备发送待解密文件。待解密文件包括密文。网络设备包括芯片和接收器。芯片包括硬件加解密组件和OTP存储区。OTP存储区中存储有根密钥明文的相关信息。密文用于硬件加解密组件通过根密钥明文解密密文,得到明文。应理解,关于网络设备的相关描述,可以参考前述图1至图4中对网络设备的描述。
例如,根密钥明文是处理器501根据根密钥密文、第一密钥材料和密钥得到的。收发器502发送的待解密文件还包括第一密钥材料和密钥。此时,OTP存储区中存储有根密钥密文。第一密钥材料和密钥用于网络设备根据根密钥密文、第一密钥材料和密钥得到根密钥明文。网络设备通过根密钥明文解密密文,得到明文。
例如,处理器501用于根据子密钥对密文进行加密,得到明文。子密钥是处理器501根据根密钥明文和第二密钥材料得到的。此时,待解密文件还包括第二密钥材料。第二密钥材料用于硬件加解密组件通过第二密钥材料派生根密钥明文,以得到子密钥。子密钥用于硬件加解密组件通过子密钥解密密文,得到明文。
例如,待解密文件还包括第一加密指示信息。第一加密指示信息用于硬件加解密组件根据第一加密指示信息确定是否解密密文。若第一加密指示信息表征不需要解密,这表征待解密文件中携带的是明文。网络设备无需对明文进行解密。若第一加密指示信息表征需要解密,这表征待解密文件中携带的是密文。网络设备需对密文进行解密。
例如,待解密文件还包括第一算法类型指示信息。第一算法类型指示信息用于硬件加解密组件根据第一算法类型指示信息确定硬件加解密组件中的目标加解密算法。密文用于硬件加解密组件通过目标加解密算法和根密钥明文解密密文,得到明文。例如,若第一算法类型指示信息表征的算法类型为SM1,则硬件加解密组件通过SM1解密密文,得到明文。
在实际应用中,加密设备500还可以包括存储器503。关于存储器503的描述可以参考前述图1中对芯片外存储器的相关描述。存储器503可以用于存储待发送的待解密文件。存储器503还可以用于存储根密钥密文、第一密钥材料和密钥等。
在实际应用中,加密设备500可以包括多个模块。多个模块可以是处理器501运行的不同的运行程序。或者,加密设备500可以包括多个设备。多个设备和多个模块一一对应。每个设备用于执行对应的模块的功能。下面以多个模块是处理器501运行的不同的运行程序为例,对多个模块的功能进行描述。例如,图6为本申请中提供的加密设备的第二个结构示意图。如图6所示,加密设备600包括制造模块601、派生模块602、加密模块603和生成模块605。
生成模块605用于生成第一密钥材料和密钥。第一密钥材料和密钥可以是使用随机数发生器产生的随机数。生成模块605用于向派生模块602发送第一密钥材料和密钥。生成模块605还用于向派生模块602指定加解密算法类型。加解密算法类型可以为前述的SM1、SM4、AES等。不同的加解密算法类型可以采用相同的第一密钥材料和密钥,也可以使用不同的第一密钥材料和密钥。当不同的算法类型采用不同的第一密钥材料和密钥时,派生模块602可以接收到多组密钥参数。每组密钥参数包括第一密钥材料和密钥。多组密钥参数和多种算法类型一一对应。
派生模块602包括随机数生成器604。派生模块602可以基于加密模块603的第一请求生成第二密钥材料和根密钥密文。在接收到第一请求后,随机数生成器604用于生成第二密钥材料和根密钥密文。第一请求中可以携带第一算法类型指示信息。第一算法类型指示信息可以用于表征目标加解密算法。或者,第一算法类型指示信息只是简单的表征国产算法或国际加密算法。例如,当第一算法类型指示信息表征国产算法时,派生模块602可以在国产算法中选择一种或多种加解密算法作为目标加解密算法。
在确定目标加解密算法后,派生模块602用于根据目标加解密算法、根密钥密文、第一密钥材料和密钥得到根密钥明文。在图6中,派生模块602将随机数生成器604生成的随机数作为根密钥密文。因此,不管目标加解密算法是何种加解密算法,派生模块602都可以采用相同的根密钥密文。例如,当目标加解密算法是国产算法或国际加密算法时,派生模块602采用相同的根密钥密文。因此,在制造网络设备的过程中,无需烧写不同的根密钥密文导致硬件内部出现差异,从而降低网络设备的制造成本。
派生模块602还用于根据根密钥密文得到根密钥密文标识(identifier,ID)。派生模块602用于向制造模块601发送根密钥密文ID。
制造模块601用于从派生模块602接收根密钥密文ID。制造模块601还用于可以根据根密钥密文ID向派生模块602请求根密钥密文、第一密钥材料和密钥。制造模块601在接收到根密钥密文、第一密钥材料和密钥后,可以将根密钥密文、第一密钥材料和密钥烧写到网络设备的OTP存储区。在实际应用中,制造模块601还可以将第二算法类型指示信息和/或第二加密指示信息烧写到网络设备的OTP存储区。关于第二算法类型指示信息和第二加密指示信息的描述,可以参考前述对网络设备的相关描述。
派生模块602还用于根据第二密钥材料派生根密钥明文,以得到子密钥。派生模块602用于根据子密钥生成子密钥ID。派生模块602还用于向加密模块603发送子密钥ID。
加密模块603用于向派生模块602发送子密钥ID和明文。派生模块602用于根据子密钥ID对应的子密钥加密明文,得到密文。派生模块602用于向加密模块603发送密文。派生模块602还用于向加密模块603发送第二密钥材料。加密模块603用于根据第二密钥材料和密文得到待解密文件。在实际应用中,待解密文件还可以包括第一算法类型指示信息和/或第一加密指示信息。关于第一算法类型指示信息和第一加密指示信息的描述,可以参考前述对网络设备的相关描述。加密模块603可以将待解密文件存储在存储器中(图中未示出)。加密设备600还可以包括收发器(图中未示出)。收发器用于向网络设备发送待解密文件。
在前述图6的描述中,派生模块602将随机数生成器604生成的随机数作为根密钥密文。在实际应用中,派生模块602也可以将随机数生成器604生成的随机数作为根密钥明文。例如,图7为本申请中提供的加密设备的第三个结构示意图。如图7所示,加密设备包括制造模块601、派生模块602、加密模块603和生成模块605。在图7中,派生模块602将随机数生成器604生成的随机数作为根密钥明文。在确定目标加解密算法后,派生模块602通过根密钥明文、目标加解密算法、第一密钥材料和密钥得到根密钥密文。关于各个模块的其它描述,可以参考前述图6中的相关描述。
应理解,图6和图7只是以图4中的网络设备为例,对加密设备进行描述。在实际应用中,关于图6和图7中的描述,可以参考前述图1至图5中的相关描述。
例如,在图6和图7中,派生模块602通过第二密钥材料派生根密钥明文,以得到子密钥。在实际应用中,当网络设备直接通过根密钥明文解密密文时,派生模块602可以不需要生成第二密钥材料。此时,派生模块602直接通过根密钥明文对明文进行加密。
例如,在图6和图7中,制造模块601从派生模块602接收根密钥密文、第一密钥材料和密钥。在实际应用中,当待解密文件中携带第一密钥材料和密钥时,派生模块602可以向加密模块603发送第一密钥材料和密钥。加密模块603用于根据第一密钥材料、密钥和密文得到待解密文件。
前面对本申请中提供的网络设备和加密设备进行描述,下面对本申请中提供的加密***进行描述。图8为本申请中提供的加密***的结构示意图。如图8所示,加密***800包括加密设备801和网络设备802。加密设备801用于根据根密钥明文对密文进行加密,得到密文。加密设备801用于向网络设备802发送待解密文件。待解密文件包括密文。网络设备802包括芯片和接收器。芯片包括硬件加解密组件和OTP存储区。OTP存储区中存储有根密钥明文的相关信息。网络设备802用于从OTP存储区获取根密钥明文。网络设备802还用于通过硬件加解密组件和根密钥明文对密文进行解密,得到明文。应理解,关于网络设备802的相关描述,可以参考前述图1至图4中对网络设备的描述。关于加密设备801的相关描述,可以参考前述图5至图7中对加密设备的描述。
前面对本申请中提供的加密***进行描述,下面对本申请中提供的数据解密方法进行描述。图9为本申请中提供的数据解密方法的流程示意图。如图9所示,本申请中的数据解密方法包括以下步骤。
在步骤901中,网络设备通过接收器接收包括密文的待解密文件。网络设备包括接收器、OTP存储区和硬件加解密组件。网络设备通过接收器接收待解密文件。网络设备还可以包括芯片外存储器。芯片外存储器用于存储待解密文件。
在步骤902中,网络设备从OTP存储区获取根密钥明文。OTP存储区和硬件加解密组件可以集成在芯片上。OTP存储区中存储有根密钥明文的相关信息。根密钥明文的相关信息可以是网络设备在出厂前写入的。根密钥明文的相关信息可以为根密钥明文或根密钥密文等。OTP存储区受到芯片保护。OTP存储区中的数据无法被芯片外部的应用程序修改或读取。
在步骤903中,网络设备通过芯片的硬件加解密组件和根密钥明文解密密文,得到明文。当OTP存储区中存储有根密钥明文时,网络设备通过硬件加解密组件从OTP存储区获取根密钥明文。网络设备通过硬件加解密组件从芯片外存储器获取密文。网络设备通过硬件加解密组件和根密钥明文解密密文,得到明文。
应理解,关于网络设备的相关描述,可以参考前述图1-4中对网络设备的相关描述。例如,待解密文件还包括第一加密指示信息。网络设备通过第一加密指示信息确定是否解密待解密文件中的密文。例如,待解密文件还包括第一算法类型指示信息。第一算法类型指示信息用于表征密文的加解密算法类型。网络设备根据第一算法类型指示信息确定目标加解密算法。例如,OTP存储区中存储有根密钥密文。待解密文件还包括第一密钥材料和密钥。网络设备通过硬件加解密组件、根密钥密文、第一密钥材料和密钥得到根密钥明文。
前面对本申请中提供的数据解密方法进行描述,下面对本申请中提供的数据加密方法进行描述。图10为本申请中提供的数据加密方法的流程示意图。如图10所示,本申请中的数据加密方法包括以下步骤。
在步骤1001中,加密设备根据根密钥明文对密文进行加密,得到密文。应理解,关于加密设备的相关描述,可以参考前述图5至图7中对加密设备的相关描述。
在步骤1002中,加密设备向网络设备发送待解密文件。待解密文件包括密文。网络设备包括芯片和接收器。芯片包括硬件加解密组件和OTP存储区。OTP存储区中存储有根密钥明文的相关信息。密文用于硬件加解密组件通过根密钥明文解密密文,以得到明文。应理解,关于网络设备的相关描述,可以参考前述图1至图4中对网络设备的相关描述。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (18)
1.一种网络设备,其特征在于,包括接收器和芯片,其中:
所述芯片包括硬件加解密组件和一次性可编程OTP存储区;
所述接收器用于接收待解密文件,所述待解密文件包括密文;
所述硬件加解密组件用于从所述OTP存储区获取根密钥明文,通过所述根密钥明文解密所述密文,得到明文。
2.根据权利要求1所述的网络设备,其特征在于,所述硬件加解密组件用于从所述OTP存储区获取根密钥明文包括:所述硬件加解密组件用于从所述OTP存储区获取根密钥密文,通过第一密钥材料和密钥解密所述根密钥密文,得到所述根密钥明文。
3.根据权利要求2所述的网络设备,其特征在于,所述硬件加解密组件还用于从所述待解密文件中获取所述密钥和所述第一密钥材料。
4.根据权利要求1至3中任意一项所述的网络设备,其特征在于,所述待解密文件还包括所述第二密钥材料;
所述硬件加解密组件用于通过所述根密钥明文解密所述密文,得到明文包括:所述硬件加解密组件用于通过所述第二密钥材料派生所述根密钥明文以得到子密钥,通过所述子密钥解密所述密文,得到所述明文。
5.根据权利要求1至4中任意一项所述的网络设备,其特征在于,所述待解密文件还包括第一加密指示信息;
所述硬件加解密组件还用于根据所述第一加密指示信息确定是否解密所述密文。
6.根据权利要求5所述的网络设备,其特征在于,所述OTP存储区中存储有第二加密指示信息;
所述硬件加解密组件还用于根据所述第一加密指示信息确定是否解密所述密文包括:所述硬件加解密组件用于根据所述第一加密指示信息和所述第二加密指示信息确定是否解密所述密文,其中,当所述第二加密指示信息和所述第一加密指示信息表征需要解密时,所述硬件加解密组件确定解密所述密文,当所述第二加密指示信息表征需要解密,所述第一加密指示信息表征不需要解密时,所述硬件加解密组件发出告警,当所述第二加密指示信息和所述第一加密指示信息表征不需要解密时,所述硬件加解密组件确定不解密所述密文,当所述第二加密指示信息表征不需要解密,所述第一加密指示信息表征需要解密时,所述硬件加解密组件发出告警。
7.根据权利要求1至6中任意一项所述的网络设备,其特征在于,所述待解密文件还包括第一算法类型指示信息;
所述硬件加解密组件还用于根据所述第一算法类型指示信息确定所述硬件加解密组件中的目标加解密算法;
所述硬件加解密组件用于通过所述根密钥明文解密所述密文,得到明文包括:所述硬件加解密组件用于通过所述目标加解密算法和所述根密钥明文解密所述密文,得到所述明文。
8.根据权利要求7所述的网络设备,其特征在于,所述OTP存储区中包括第二算法类型指示信息,所述第二算法类型指示信息表征的算法类型覆盖所述第一算法类型指示信息表征的算法类型;
所述硬件加解密组件还用于根据所述第一算法类型指示信息确定所述硬件加解密组件中的目标加解密算法包括:所述硬件加解密组件用于根据所述第一算法类型指示信息和所述第二算法类型指示信息确定所述硬件加解密组件中的所述目标加解密算法。
9.根据权利要求2或3所述的网络设备,其特征在于,所述硬件加解密组件中的多套加解密算法共用所述根密钥密文。
10.根据权利要求1至9中任意一项所述的网络设备,其特征在于,所述密文为基本输入输出***BIOS、操作***OS或应用程序。
11.一种数据解密方法,应用于网络设备,其特征在于,所述网络设备包括芯片和接收器,所述芯片包括硬件加解密组件和一次性可编程OTP存储区,所述数据解密的方法包括:
所述网络设备通过所述接收器接收待解密文件,所述待解密文件包括密文;
所述网络设备从所述OTP存储区获取根密钥明文;
所述网络设备通过所述硬件加解密组件和所述根密钥明文解密所述密文,得到明文。
12.根据权利要求11所述的数据解密方法,其特征在于,所述网络设备从所述OTP存储区获取根密钥明文包括:所述网络设备从所述OTP存储区获取根密钥密文,通过所述硬件加解密组件、第一密钥材料和密钥解密所述根密钥密文,得到所述根密钥明文。
13.根据权利要求12所述的数据解密方法,其特征在于,在所述网络设备解密所述根密钥密文,得到所述根密钥明文之前,所述方法还包括:
所述网络设备从所述待解密文件中获取所述密钥和所述第一密钥材料。
14.根据权利要求11至13中任意一项所述的数据解密方法,其特征在于,所述待解密文件还包括所述第二密钥材料;
所述网络设备通过所述硬件加解密组件和所述根密钥明文解密所述密文,得到明文包括:所述网络设备通过所述硬件加解密组件和所述第二密钥材料派生所述根密钥明文以得到子密钥,所述网络设备通过所述硬件加解密组件和所述子密钥解密所述密文,得到所述明文。
15.根据权利要求11至14中任意一项所述的数据解密方法,其特征在于,所述待解密文件还包括第一加密指示信息;
在所述网络设备通过所述硬件加解密组件和所述根密钥明文解密所述密文,得到明文之前,所述方法还包括:
所述网络设备根据所述第一加密指示信息确定是否解密所述密文。
16.根据权利要求15所述的数据解密方法,其特征在于,所述OTP存储区中包括第二加密指示信息;
所述网络设备根据所述第一加密指示信息确定是否解密所述密文包括:所述网络设备根据所述第一加密指示信息和所述第二加密指示信息确定是否解密所述密文,其中,当所述第二加密指示信息和所述第一加密指示信息表征需要解密时,所述网络设备确定解密所述密文,当所述第二加密指示信息表征需要解密,所述第一加密指示信息表征不需要解密时,所述网络设备发出告警,当所述第二加密指示信息和所述第一加密指示信息表征不需要解密时,所述网络设备确定不解密所述密文,当所述第二加密指示信息表征不需要解密,所述第一加密指示信息表征需要解密时,所述网络设备发出告警。
17.根据权利要求11至16中任意一项所述的数据解密方法,其特征在于,所述待解密文件还包括第一算法类型指示信息;
在所述网络设备通过所述硬件加解密组件和所述根密钥明文解密所述密文,得到明文之前,所述方法还包括:
所述网络设备根据所述第一算法类型指示信息确定所述硬件加解密组件中的目标加解密算法;
所述网络设备通过所述硬件加解密组件和所述根密钥明文解密所述密文,得到明文包括:所述网络设备根据所述目标加解密算法和所述根密钥明文解密所述密文,得到所述明文。
18.根据权利要求17所述的数据解密方法,其特征在于,所述OTP存储区中包括第二算法类型指示信息,所述第二算法类型指示信息表征的算法类型覆盖所述第一算法类型指示信息表征的算法类型;
所述网络设备根据所述第一算法类型指示信息确定所述加解密引擎中的目标加解密算法包括:所述网络设备根据所述第一算法类型指示信息和所述第二算法类型指示信息确定所述硬件加解密组件中的所述目标加解密算法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111223283.2A CN115994366A (zh) | 2021-10-20 | 2021-10-20 | 网络设备和数据解密方法 |
EP22882818.2A EP4398139A1 (en) | 2021-10-20 | 2022-10-17 | Network device and data decryption method |
PCT/CN2022/125738 WO2023066212A1 (zh) | 2021-10-20 | 2022-10-17 | 网络设备和数据解密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111223283.2A CN115994366A (zh) | 2021-10-20 | 2021-10-20 | 网络设备和数据解密方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115994366A true CN115994366A (zh) | 2023-04-21 |
Family
ID=85989192
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111223283.2A Pending CN115994366A (zh) | 2021-10-20 | 2021-10-20 | 网络设备和数据解密方法 |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP4398139A1 (zh) |
CN (1) | CN115994366A (zh) |
WO (1) | WO2023066212A1 (zh) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107769912A (zh) * | 2016-08-16 | 2018-03-06 | 广东国盾量子科技有限公司 | 一种量子密钥芯片及基于量子密钥芯片的加解密方法 |
CN108234132B (zh) * | 2017-12-07 | 2021-11-26 | 深圳市中易通安全芯科技有限公司 | 一种主控芯片与加密芯片的安全通信***及方法 |
CN110690963B (zh) * | 2019-09-25 | 2021-04-02 | 支付宝(杭州)信息技术有限公司 | 基于fpga的密钥协商方法及装置 |
CN111191217B (zh) * | 2019-12-27 | 2022-12-13 | 华为技术有限公司 | 一种密码管理方法及相关装置 |
CN112235289B (zh) * | 2020-10-13 | 2023-03-31 | 桂林微网互联信息技术有限公司 | 数据加解密方法、装置、计算设备及存储介质 |
-
2021
- 2021-10-20 CN CN202111223283.2A patent/CN115994366A/zh active Pending
-
2022
- 2022-10-17 WO PCT/CN2022/125738 patent/WO2023066212A1/zh active Application Filing
- 2022-10-17 EP EP22882818.2A patent/EP4398139A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4398139A1 (en) | 2024-07-10 |
WO2023066212A1 (zh) | 2023-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11722296B2 (en) | Device securing communications using two post-quantum cryptography key encapsulation mechanisms | |
US11683163B2 (en) | ECDHE key exchange for server authentication and a key server | |
US9949115B2 (en) | Common modulus RSA key pairs for signature generation and encryption/decryption | |
US20200162247A1 (en) | Secure firmware transfer from a server to a primary platform | |
JP4673890B2 (ja) | オンラインサービスを用いてデバイスに直接証明秘密鍵を転送する方法 | |
US7937593B2 (en) | Storage device content authentication | |
US20170126414A1 (en) | Database-less authentication with physically unclonable functions | |
CN110099064B (zh) | 一种基于物联网的文件处理方法、装置、设备和存储介质 | |
US11582045B2 (en) | Combined digital signature algorithms for security against quantum computers | |
US8600061B2 (en) | Generating secure device secret key | |
CN111614621B (zh) | 物联网通信方法和*** | |
US12003629B2 (en) | Secure server digital signature generation for post-quantum cryptography key encapsulations | |
US20190268145A1 (en) | Systems and Methods for Authenticating Communications Using a Single Message Exchange and Symmetric Key | |
EP3641219A1 (en) | Puf based securing of device update | |
US20200322158A1 (en) | Method and apparatus for determining trust status of tpm, and storage medium | |
CN115994366A (zh) | 网络设备和数据解密方法 | |
EP3920066A1 (en) | Electronic device capable of protecting confidential data | |
KR20220000537A (ko) | 차량 네트워크 기반의 데이터 송수신 시스템 및 그 방법 | |
US11783057B2 (en) | Method for securely provisioning a device incorporating an integrated circuit without using a secure environment | |
US20230308424A1 (en) | Secure Session Resumption using Post-Quantum Cryptography | |
JP7170588B2 (ja) | データ処理方法及びデータ処理システム | |
US12001568B2 (en) | Encryption method and encryption system | |
CN118074988A (zh) | 基于全链路溯源算法的数据处理方法、装置、设备及介质 | |
CN116680710A (zh) | 一种密码机密钥认证方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |