[go: up one dir, main page]

CN120150926A - 一种专网传输系统加固方法及系统 - Google Patents

一种专网传输系统加固方法及系统 Download PDF

Info

Publication number
CN120150926A
CN120150926A CN202510341520.7A CN202510341520A CN120150926A CN 120150926 A CN120150926 A CN 120150926A CN 202510341520 A CN202510341520 A CN 202510341520A CN 120150926 A CN120150926 A CN 120150926A
Authority
CN
China
Prior art keywords
key
round
encrypted
encryption
bytes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202510341520.7A
Other languages
English (en)
Inventor
徐旺生
邱晨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fiberhome Telecommunication Technologies Co Ltd
Original Assignee
Fiberhome Telecommunication Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fiberhome Telecommunication Technologies Co Ltd filed Critical Fiberhome Telecommunication Technologies Co Ltd
Priority to CN202510341520.7A priority Critical patent/CN120150926A/zh
Publication of CN120150926A publication Critical patent/CN120150926A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种专网传输系统加固方法及系统,涉及通信技术领域。该专网传输系统加固方法包括:获取预设密钥,并构造待加密数据,上述待加密数据的长度为16字节的整数倍;基于预设密钥,对待加密数据形成的各消息块执行多轮的轮加密操作,得到加密密文;消息块执行多轮的轮加密操作时的表示状态均为状态矩阵;除最后一轮的轮加密操作之外,其余各轮加密操作包括:按列读取状态矩阵行位移操作后的每列字节,并对读取的每列字节依次进行替换操作、列混合操作和轮密钥异或操作。本申请的专网传输系统加固方法及系统,减少了数据之间的依赖性,使并行处理更为容易,还提高了加密效率和数据吞吐量。

Description

一种专网传输系统加固方法及系统
技术领域
本申请涉及通信技术领域,具体涉及一种专网传输系统加固方法及系统。
背景技术
目前,专网的传输网要求稳定,且满足特定的业务需求,不同于运营商的公网以流量驱动,追求网络的先进性和竞争力。运营商的网络变更和更迭的速度非常快,专网的网络相对稳定,多种设备共存,网络整体稳定,着眼于满足实际应用,同时追求稳定性与安全性。传输系统作为管道服务层,其生命周期较长,一般为10年到20年,专网基于不同的需求与场景,其投资是依照规划来实施,导致多种传输设备共存,超长期服役、网络结构复杂。因此,在基础设施、网络设计、设备的等多个维度都存在一定的安全隐患。此外,光传输网络的透明传输特性使得信号传输过程中不需要经过识别和再生等电子过程,非法探测是网络攻击的常用手段,恶意攻击用户利用光网络器件的特性非法窃听或者破坏通信。因此,传输网络透明传输的业务数据很容易通过上述途径被攻击者非法探测,成为光传输网络的重大安全隐患。
相关技术中,可采用AES(Advanced Encryption Standard,高级加密标准)加密算法对传输系统进行加密加固,但AES加密算法为一种串行算法,其实现过程中,处理的数据吞吐量有限,无法满足专网传输的安全性和稳定性需求。
发明内容
本申请提供一种专网传输系统加固方法及系统,可以解决现有技术中存在的传输加密过程中处理的数据吞吐量小的技术问题。
第一方面,本申请提供一种专网传输系统加固方法,其包括:
获取预设密钥,并构造待加密数据,上述待加密数据的长度为16字节的整数倍;
基于上述预设密钥,对上述待加密数据形成的各消息块执行多轮的轮加密操作,得到加密密文;上述消息块执行多轮的轮加密操作时的表示状态均为状态矩阵;
除最后一轮的轮加密操作之外,其余各轮加密操作包括:按列读取状态矩阵行位移操作后的每列字节,并对读取的每列字节依次进行替换操作、列混合操作和轮密钥异或操作。
结合第一方面,在一种实施方式中,对某一消息块执行多轮的轮加密操作之前,还包括:
根据上述预设密钥、该消息块和预设的第一常数矩阵,构造密钥密文;
当上述密钥密文的最高有效位为1时,将上述密钥密文与预设的第二常数矩阵进行异或操作并将结果左移一位,得到该消息块对应的第一密钥;当上述密钥密文的最高有效位为0时,将上述密钥密文左移一位,得到该消息块对应的第一密钥;
对上述第一密钥进行十轮密钥扩展,得到每轮轮加密操作的轮密钥。
结合第一方面,在一种实施方式中,对读取的某列字节进行轮密钥异或操作,具体包括:
将该列字节与当前轮的轮密钥的对应列进行逐位异或操作。
结合第一方面,在一种实施方式中,除第一个消息块之外,对其余消息块加密前,将该消息块与前一个消息块加密得到的密文块进行异或操作。
结合第一方面,在一种实施方式中,得到最后一个消息块对应的第一密钥之后,还包括:
判断该第一密钥的最高有效位是否为1,若是,则将该第一密钥与上述第二常数矩阵进行异或操作并左移,得到第二密钥;否则,将该第一密钥左移,得到第二密钥;
通过上述第二密钥对最后一个消息块加密得到的密文块进行二次加密处理。
结合第一方面,在一种实施方式中,对上述待加密数据形成的各消息块执行多轮的轮加密操作之前,还包括:
将各消息块与其对应的第一密钥进行异或操作。
结合第一方面,在一种实施方式中,上述待加密数据的长度为:STM-1的净荷长度加3后,乘以2。
结合第一方面,在一种实施方式中,获取预设密钥之前,还包括:
对用户操作进行鉴权,并在鉴权通过后,生成上述预设密钥。
第二方面,本申请提供了一种专网传输系统的加固系统,其包括:
管理单元,其用于生成预设密钥;
传输设备单元,其用于获取预设密钥,并构造待加密数据,上述待加密数据的长度为16字节的整数倍;其还用于基于上述预设密钥,对上述待加密数据形成的各消息块执行多轮的轮加密操作,得到加密密文;上述消息块执行多轮的轮加密操作时的表示状态均为状态矩阵;
除最后一轮的轮加密操作之外,其余各轮加密操作包括:按列读取状态矩阵行位移操作后的每列字节,并对读取的每列字节依次进行替换操作、列混合操作和轮密钥异或操作。
结合第二方面,在一种实施方式中,上述管理单元包括:
管理模块,其用于对用户操作进行鉴权,并在鉴权通过后,下发鉴权通过通知消息至认证模块和密钥模块;
上述认证模块用于在收到上述鉴权通过通知消息后,下发安全证书至传输设备单元;
上述密钥模块用于在收到上述鉴权通过通知消息后,生成上述预设密钥,并下发给传输设备单元。
本申请提供的技术方案带来的有益效果包括:
本申请的专网传输系统加固方法,通过获取预设密钥,并构造待加密数据,上述待加密数据的长度为16字节的整数倍;随后基于预设密钥,对待加密数据形成的各消息块执行多轮的轮加密操作,得到加密密文;消息块执行多轮的轮加密操作时的表示状态均为状态矩阵;其中,除最后一轮的轮加密操作之外,其余各轮加密操作包括:按列读取状态矩阵行位移操作后的每列字节,并对读取的每列字节依次进行替换操作、列混合操作和轮密钥异或操作;因此,在其余轮加密操作中,先进行行位移处理,使行位移后的每列字节可以同时进行替换,进而实现每列字节的列混合操作,不仅减少了数据之间的依赖性,使并行处理更为容易,还提高了加密效率和数据吞吐量,解决了相关技术中传输加密过程中数据吞吐量小的技术问题。
附图说明
图1为本申请专网传输系统加固方法一实施例的流程示意图;
图2为本申请实施例中最后一个消息块对应的第一密钥和第二密钥的生成示意图;
图3为本申请实施例中其余各轮加密操作的示意图;
图4为本申请专网传输系统加固系统一实施例的架构示意图。
图5是本申请实施例中线路侧模块处理的原理框图;
图6是本发明实施例中数据的移位示意图;
图7是本发明实施例中开销处理示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
第一方面,本申请实施例提供一种专网传输系统加固方法。
一实施例中,参照图1,图1为本申请专网传输系统加固方法第一实施例的流程示意图。上述专网传输系统加固方法包括:
S1.获取预设密钥,并构造待加密数据,上述待加密数据的长度为16字节的整数倍;其中,预设密钥长度为128比特。
S2.基于上述预设密钥,对上述待加密数据形成的各消息块执行多轮的轮加密操作,得到加密密文。上述消息块执行多轮的轮加密操作时的表示状态均为状态矩阵。
其中,除最后一轮的轮加密操作之外,其余各轮加密操作包括:按列读取状态矩阵行位移操作后的每列字节,并对读取的每列字节依次进行替换操作、列混合操作和轮密钥异或操作。
本实施例中,每个消息块执行多轮的轮加密操作后,均形成一个密文块,进而根据各密文块形成加密密文。
本实施例中,通过获取预设密钥,并构造待加密数据,上述待加密数据的长度为16字节的整数倍;随后基于预设密钥,对待加密数据形成的各消息块执行多轮的轮加密操作,得到加密密文;消息块执行多轮的轮加密操作时的表示状态均为状态矩阵;其中,除最后一轮的轮加密操作之外,其余各轮加密操作包括:按列读取状态矩阵行位移操作后的每列字节,并对读取的每列字节依次进行替换操作、列混合操作和轮密钥异或操作;因此,在其余轮加密操作中,先进行行位移处理,使行位移后的每列字节可以同时进行替换,进而实现每列字节的列混合操作,不仅减少了数据之间的依赖性,使并行处理更为容易,还提高了加密效率和数据吞吐量,解决了相关技术中传输加密过程中数据吞吐量小的技术问题。
在上述实施例的基础上,本实施例中,上述步骤S2中,对上述待加密数据形成的某一消息块执行多轮的轮加密操作之前,还包括:
首先,根据上述预设密钥、该消息块和预设的第一常数矩阵,构造密钥密文。
然后,判断上述密钥密文的最高有效位是否为1。当上述密钥密文的最高有效位为1时,将上述密钥密文与预设的第二常数矩阵进行异或操作并将结果左移一位,进而得到该消息块对应的第一密钥;当上述密钥密文的最高有效位为0时,将上述密钥密文左移一位,进而得到该消息块对应的第一密钥。
最后,对上述第一密钥进行十轮密钥扩展,得到每轮轮加密操作的轮密钥。
可选地,上述预设的第一常数矩阵为全为常数零的矩阵。预设的第二常数矩阵为120位的0和8位的二进制10000111。
本实施例中,通过该消息块对应的第一密钥得到每轮轮加密操作的轮密钥,进而可对该消息块进行轮加密操作。
进一步地,本实施例中,对读取的某列字节进行轮密钥异或操作,具体包括:
将该列字节与当前轮的轮密钥的对应列进行逐位异或操作。
进一步地,本实施例中,除第一个消息块之外,对其余消息块加密前,将该消息块与前一个消息块加密得到的密文块进行异或操作。
本实施例中,每个消息块的加密结果与下一个消息块进行异或操作,可形成链式加密,增加加密安全性,并避免相同明文矩阵生成相同密文矩阵的问题。
进一步地,一实施例中,得到最后一个消息块对应的第一密钥之后,还包括:
判断该第一密钥的最高有效位是否为1,若是,则将该第一密钥与上述第二常数矩阵进行异或操作并左移,得到最后一个消息块对应的第二密钥;否则,将该第一密钥左移,得到最后一个消息块对应的第二密钥。
形成加密密文之前,还包括,通过上述第二密钥对最后一个消息块加密得到的密文块进行二次加密处理。
本实施例中,通过最后一个消息块的第一密钥得到第二密钥,并通过第二密钥对最后一个密文块进行二次加密处理,可进一步增加安全性。
进一步地,一实施例中,对上述待加密数据形成的各消息块执行多轮的轮加密操作之前,还包括:将各消息块与其对应的第一密钥进行异或操作。
本实施例中,通过将待加密数据形成的各消息块和其对应的第一密钥进行一次异或操作,可增加加密的初始混淆性。
本实施例中,上述待加密数据被分块处理得到多个消息块,每个消息块的大小为128位。128位的消息块和一个预设密钥作为输入,与全为常数零的第一常数矩阵构造一个由密文表示的密钥密文,进而生成对应的第一密钥。
如图2所示,本实施例中,使用预设密钥、最后一个消息块和全为常数零的第一常数矩阵构造一个由密文L表示的密钥密文,在生成第一密钥K1之前,还会检查密文L的最高有效位(MSB)。当L的MSB为1时,将密文L与第二常数矩阵Rb进行异或运算,并将结果左移一位,生成K1;当MSB为0时,K1为密文L左移一位。
进一步地,在生成最后一个消息块的第二密钥K2时,同样分析K1的MSB。如果若K1的MSB等于1,K2为将第二常数矩阵Rb与K1进行异或运算的结果并左移一位,否则,K2为K1左移一位的结果。
优选地,上述待加密数据的长度为:STM-1的净荷长度加3后,乘以2。
基于STM-n的块状结构的特性,固定的净荷长度261×9字节,可用开销26字节,动态的预设密钥长度定为128比特。结合加密的密文长度和数据之间的关系,密文字节长度=(明文长度+1)/16*16,待加密数据的原始数据长度等于16n+m,其中,m小于16。
本实施例中,为提高处理的吞吐量,设计待加密数据M的长度为37632bit,该待加密数据的长度由基帧净荷2349字节加3个预留开销字节后,乘以2,即4704字节组成,构成了一个固定长度的帧结构,这个定长的帧结构同时满足m为0,使其不需要补充,保证加密后长度不变,此时,既实现了不需要额外带宽,同时后续运算中可分为完整的block块,减少后续运算的过程。因此,基于安全性和STM-n的开销OH可用性,采用高安全性的128bit密钥与OH的16个字节匹配。
在上述实施例的基础上,本实施例中,上述步骤S1中,获取预设密钥之前,还包括以下步骤:
对用户操作进行鉴权,并在鉴权通过后,生成上述预设密钥。
本实施例中,通过进行鉴权处理,可及时发现非法设备的接入,保证接入设备的合法安全可靠。
一些实施例中,AES加密是按字节顺序处理,难以满足在STM-64的速率下达到线速。该AES中一轮的4个操作阶段包括字节替换、行位移、混合运算、异或运算。其中,字节替换操作是一个非线性替换步骤,其是对每个字节进行替换,使用一个有限域GF(28):x8+x4+x3+x+1,来将输入字节转换为输出字节,这个过程是独立的,每个字节的替换不依赖于其他字节的值;行位移操作是一个线性变换步骤,是对每一行的字节进行重新排列,其对状态矩阵的行进行循环左移,以重新排列字节的位置,而不改变字节的值。为了满足线速,可对过程处理进行优化。
由于字节替换操作是针对单个字节的查找替换,而字节左移只是重新排列字节,因此它们的顺序可以互换而不会影响最终的加密结果。
本实施例中,利用这种特性,结合上述构造的帧特性,设计一个128比特长度的数据,其16个8位组成计算字节查找代换,以及四个32位混合运算组成操作,优化后使得将其进行并行化处理,以优化性能适应特定的实现需求。
当字节替换操作和左移操作的顺序调换后,可以先对所有字节进行字节左移操作,然后再进行查找替换。由于这两个操作都是独立的,可以在多个处理单元上同时执行,将状态矩阵分成多个部分,分别在不同的处理单元上进行字节左移,完成后再进行字节替换操作。
此外,由于行位移只涉及到字节的重新排列,不涉及复杂的计算,因此可以快速完成,为后续的字节替换提供准备。
如图3所示,本实施例中,其余各轮加密操作均包括步骤:
A1.读取输入字节:0、5、A、F,然后依次执行字节替换操作、列混合操作和轮密钥异或操作,并将结果写入输出位置:0、1、2、3;
A2.对输入字节:4、9、E、3,然后依次执行替换操作、列混合操作和轮密钥异或操作,并将结果写入输出位置:4、5、6、7。
A3.对字节:8、D、2、7,然后依次执行替换操作、列混合操作和轮密钥异或操作,并将结果写入输出位置:8、9、A、B。
A4.对字节:C、1、6、B,然后依次执行替换操作、列混合操作和轮密钥异或操作,并将结果写入输出位置:C、D、E、F。
在上述四个步骤中,整个轮加密操作的执行先进行行位移操作。在每一步中,仅从每个输入行读取一个字节,并将一个字节写入每个输出行。对于解密变换,可以执行类似的操作,得出相同的结论。每一行可以视为一个可寻址的8位宽存储器。行位移操作和逆行位移操作的执行为在连续时钟周期中对每个存储器的正确寻址。
本实施例的方法在专网传输系统中,实现对专网信息的加固,同时满足不影响现有系统网络的基础上,不占有业务带宽,达到线速的要求,保证了传输系统的信息安全传输,较好地达到了专网对安全性和稳定性的要求,具有可观的经济效益,且该方法已在部分工程中使用,获得了较好的效果。
第二方面,本申请实施例还提供一种专网传输系统的加固系统。
一实施例中,参照图4,图4为本申请专网传输系统的加固系统一实施例的功能模块示意图。上述专网传输系统加固系统包括管理单元和传输设备单元。
上述管理单元用于生成预设密钥。
上述传输设备单元用于获取预设密钥,并构造待加密数据,上述待加密数据的长度为16字节的整数倍,以及基于上述预设密钥,对上述待加密数据形成的各消息块执行多轮的轮加密操作,得到加密密文。消息块执行多轮的轮加密操作时的表示状态均为状态矩阵。
其中,除最后一轮的轮加密操作之外,其余各轮加密操作包括:按列读取状态矩阵行位移操作后的每列字节,并对读取的每列字节依次进行替换操作、列混合操作和轮密钥异或操作。
进一步地,一实施例中,上述上输设备单元还用于:
根据上述预设密钥、某一消息块和预设的第一常数矩阵,构造密钥密文;
当上述密钥密文的最高有效位为1时,将上述密钥密文与预设的第二常数矩阵进行异或操作并将结果左移一位,得到该消息块对应的第一密钥;当上述密钥密文的最高有效位为0时,将上述密钥密文左移一位,得到该消息块对应的第一密钥;
对上述第一密钥进行十轮密钥扩展,得到每轮轮加密操作的轮密钥。
进一步地,一实施例中,上述上输设备单元还用于:对读取的某列字节进行轮密钥异或操作时,将该列字节与当前轮的轮密钥的对应列进行逐位异或操作。
进一步地,一实施例中,上述上输设备单元还用于:除第一个消息块之外,对其余消息块加密前,将该消息块与前一个消息块加密得到的密文块进行异或操作。
进一步地,一实施例中,上述上输设备单元还用于:
得到最后一个消息块对应的第一密钥之后,判断该第一密钥的最高有效位是否为1,若是,则将该第一密钥与上述第二常数矩阵进行异或操作并左移,得到第二密钥;否则,将该第一密钥左移,得到第二密钥;
通过所述第二密钥对最后一个消息块加密得到的密文块进行二次加密处理。
进一步地,一实施例中,上述上输设备单元还用于:对上述待加密数据形成的各消息块执行多轮的轮加密操作之前,将各消息块与其对应的第一密钥进行异或操作。
进一步地,一实施例中,上述待加密数据的长度为:STM-1的净荷长度加3后,乘以2。
进一步地,一实施例中,上述管理单元还用于:对用户操作进行鉴权,并在鉴权通过后,生成上述预设密钥。
优选地,本实施例中,上述管理单元与传输设备单元通过以太网接口相连,同时传输设备单元间通过STM-n接口和光纤相连。
本实施例中,上述管理单元包括管理模块、认证模块和密钥模块。
上述管理模块用于对用户操作进行鉴权,并在鉴权通过后,下发鉴权通过通知消息至认证模块和密钥模块。管理模块实现设备操作的鉴权管理,操作包括添加、删除、修改等操作,针对该类管理操作进行生物特征识别及物理安全识别的双认证机制的鉴权,保证操作的可信安全。其中,生物特征识别包括人脸识别、虹膜识别、静脉等,物理安全识别包括Ukey/U盾设备等,保证操作的可信安全。在鉴权通过后,进行管理操作,启动密钥模块和认证模块。
上述认证模块用于在收到上述鉴权通过通知消息后,下发安全证书至传输设备单元。在管理模块鉴权成功后,认证模块下发安全证书到传输设备单元,通过证书的分发,实现灵活的对新设备接入、扩网等操作的认证,保证其接入设备的合法安全可靠。
上述密钥模块用于在收到上述鉴权通过通知消息后,生成上述预设密钥,并下发给传输设备单元。在管理模块鉴权成功后,设定动态可配置的密钥规则,双TRNG熵源,保障随机数的随机性,发送到传输设备单元,从而保障生成密钥的合规性,且密钥动态管理,定时刷性,密钥更新时业务无损。
本实施例中,上述传输设备单元包括管理接入模块和线路侧模块,上述线路侧模块包括识别子模块、逻辑处理子模块和开销处理子模块。
上述管理接入模块与线路侧模块相连,用于与管理单元交互信息,并将交互的信息,对其处理后转送到线路侧模块。
上述线路侧模块的识别子模块用于对接收的信息进行类型识别后,将密钥类的信息写入到逻辑处理子模块和开销处理子模块,将证书类信息写入到开销处理子模块。
上述逻辑处理子模块用于基于STM-n的块状帧结构的特性,构造由2个基帧净荷长度组成的待加密数据,按密钥对传输净荷进行线速处理加密,并对加密算法结构处理使其加密处理效率提高,实现处理的吞吐量达到10G线速。
上述开销处理子模块用于对动态密钥和证书信息进行处理,以及与对端设备进行动态实时的交互信息,使线路侧模块从线路接收加密和解密的过程密钥正确,实现传输设备和数据的安全性和可靠性。
本实施例中,上述开销处理子模块基于STM-n的块状帧结构的特性,将可用开销26字节分为2组,其中一组16个字节,在线路侧的发送方向,传送动态更新的密钥,另一组10字节,传送下发的证书信息;上述开销处理子模块还用于在线路侧的反方向,接收动态更新的密钥和证书,提出后发送至逻辑处理子模块和管理接入模块。该过程实现数据密钥的动态实时更新和数据同步,以及接入设备的实时认证,实现对专网系统的加固,提高其安全性和可靠性。
本实施例中,密钥模块动态可配置的密钥交换功能,业务加密密钥可定时的动态更新,基于动态更新的密钥通过管理接入模块传送给线路侧模块处理,在线路侧模块的开销处理子模块进行密钥交换过程通过开销字节完成,不影响业务带宽;认证模块进行证书的安全认证,具备合规性,通过证书的分发,能够实现灵活的新设备接入、扩网。通过证书吊销列表的维护,易于实现灵活的吊销机制,实现设备的更换与注销;在线路侧模块的开销处理子模块基于开销字节进行安全认证交换,不影响带宽,通过给管理单元,可构建认证预警平台,及时发现非法设备的接入。
如图5所示,本实施例中,通过FPGA(Field-Programmable Gate Array,现场可编程门阵列)实现对STM-n数据的加密/解密,加密方向的STM-n数据通过高速接口进入FPGA,先对其解帧,提取净荷,即待加密字节,进入加密处理模块,加密完成后,再经过插入加密字节处理模块,送到成帧模块处理,完成STM-n成帧后,送到高速接口。相应地,解密方向进行类似处理即可。
采用FPGA的LUT(Lookup Table,查找表)设计实现行位移,LUT配置为具有可变抽头的16位移位寄存器,如图6所示,实现一个8位宽、16位长的移位寄存器。移位寄存器的输入用于将结果移入,而动态选择的抽头地址用于读取数据,同时,采用FPGA中的另一LUT被配置为一个16×1ROM(Read-Only Memory Table,只读存储器)表,两个LUT实现一个16×1双端口RAM(Random Access Memory,随机存取存储器)。一个8位宽的双端口的块RAM可以使用8个编程逻辑功能块(CLB)实现。该存储器可以分为两个独立存储区域bank,每个bank由不同的端口寻址。一个端口用于从存储器读取数据,而另一个端口用于将结果写回同一存储器。每四个时钟周期翻转一个地址位可以实现bank之间的切换。基于此设计方案,避免了复杂路径,从而提高了性能,同时减少了逻辑资源。
加密过程的字节替换映射到块RAM中,每个块RAM代表一个4096位的双端口存储器。每个端口独立配置为512×8的配置,进而可以从两个端口以相同的方式访问相同的存储空间。
单个字节替换或逆字节替换操作实现需要一个256×8的RAM。因此,两个端口可以以相同的方式访问相同的内存空间。一个块RAM有足够的空间同时实现字节查找和反向字节查找,每个端口可以访问整个内存空间,并可以独立于彼此执行字节查找和反向字节查找变换。该设计只需要2个块RAM来一起实现四个字节查找和反向字节查找操作,上述这种结构调整相关处理方式提高了逻辑处理子模块的加密效率,进一步提高吞吐量。
如图7所示,在此基础上,16字节的密钥在开销中随加密的净荷一起传送,在接收方向解密中可实时获取,达到实时动态的加固数据。同时基于设计构造的37632bit的长度,按128比特为单元,分为37632/128个单位,即294个单元,采用预设密钥创建子第一密钥和第二密钥,两个密钥均为128位,创建两个子密钥的方案,增强安全性,使用第一密钥对每个单元块进行加密,每个块的加密结果会与下一个块的明文进行异或操作,以形成链式加密,使用第二密钥对基于K1加密后的最后一个密文块进行额外的加密处理,以进一步增加加密效果。
可选地,应用上述系统进行加固,具体包括:
1)在管理模块上对用户的操作(删除、修改SDH时隙交叉配置等)鉴别用户的真伪,杜绝存在人为破坏整个传输网的安全风险和破坏性操作,进行生物特征识别及物理安全识别的多重认证机制和双人鉴权许可限制,只有双人同时授权,网管才向设备下发此类操作,包含网元增加/修改/删除、MSTP SDH业务的增加/修改/删除、ETH业务的增加/修改/删除;
2)在管理模块鉴权成功后,认证模块下发安全证书到传输设备单元,通过证书的分发,实现灵活的对新设备接入、扩网等操作的认证,通过给管理网,可构建认证预警平台,及时发现非法设备的接入,保证其接入设备的合法安全可靠。
3)在管理模块鉴权成功后,密钥模块设定动态可配置的密钥规则,双TRNG熵源,保障随机数的随机性,发送到传输设备单元,从而保障生成密钥的合规性;
4)管理接入模块接收管理单元发来的信息,并进行特征值识别,提取出密钥信息和证书信息后,将该信息转发给线路侧模块;
5)线路侧模块的识别子模块对接收管理接入模块发来的信息,并进行类型识别,将密钥类的信息写入到逻辑处理子模块和开销处理子模块,将证书类信息写入到开销处理子模块;
6)线路侧模块的逻辑处理子模块,构造待加密信息,以及对加密算法结构处理,使其加密处理效率提高,处理的吞吐量达到STM-64线速;
7)线路侧模块的线路侧模块的开销处理子模块,将可用开销26字节分为2组,其中一组16个字节,在线路侧的发送方向,传送动态更新的密钥,另一组10字节,传送下发的证书信息,在线路侧的反方向,接收动态更新的密钥和证书,提出后发送给逻辑处理子模块和管理接入模块。
本实施例的系统,对传送和管理方面进行安全加固,提升传输网络的整体安全性,实现专网的传输系统加固,保障信息通信的可靠性,同时实现在不影响现有系统网络架构的基础上,不占有业务带宽,达到线速的要求,提高效率,节省成本,满足专网对安全性,稳定性的要求。
其中,上述专网传输系统加固系统中各个单元的功能实现与上述专网传输系统加固方法实施例中各步骤相对应,其功能和实现过程在此处不再一一赘述。
需要说明的是,上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
本申请的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。术语“第一”、“第二”和“第三”等描述,是用于区分不同的对象等,其不代表先后顺序,也不限定“第一”、“第二”和“第三”是不同的类型。
在本申请实施例的描述中,“示例性的”、“例如”或者“举例来说”等用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”、“例如”或者“举例来说”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”、“例如”或者“举例来说”等词旨在以具体方式呈现相关概念。
在本申请实施例的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;文本中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,另外,在本申请实施例的描述中,“多个”是指两个或多于两个。
在本申请实施例描述的一些流程中,包含了按照特定顺序出现的多个操作或步骤,但是应该理解,这些操作或步骤可以不按照其在本申请实施例中出现的顺序来执行或并行执行,操作的序号仅用于区分开各个不同的操作,序号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作或步骤可以按顺序执行或并行执行,并且这些操作或步骤可以进行组合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备执行本申请各个实施例所述的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。

Claims (10)

1.一种专网传输系统加固方法,其特征在于,所述方法包括:
获取预设密钥,并构造待加密数据,所述待加密数据的长度为16字节的整数倍;
基于所述预设密钥,对所述待加密数据形成的各消息块执行多轮的轮加密操作,得到加密密文;所述消息块执行多轮的轮加密操作时的表示状态均为状态矩阵;
除最后一轮的轮加密操作之外,其余各轮加密操作包括:按列读取状态矩阵行位移操作后的每列字节,并对读取的每列字节依次进行替换操作、列混合操作和轮密钥异或操作。
2.如权利要求1所述的专网传输系统加固方法,其特征在于,对某一消息块执行多轮的轮加密操作之前,还包括:
根据所述预设密钥、该消息块和预设的第一常数矩阵,构造密钥密文;
当所述密钥密文的最高有效位为1时,将所述密钥密文与预设的第二常数矩阵进行异或操作并将结果左移一位,得到该消息块对应的第一密钥;当所述密钥密文的最高有效位为0时,将所述密钥密文左移一位,得到该消息块对应的第一密钥;
对所述第一密钥进行十轮密钥扩展,得到每轮轮加密操作的轮密钥。
3.如权利要求2所述的专网传输系统加固方法,其特征在于,对读取的某列字节进行轮密钥异或操作,具体包括:
将该列字节与当前轮的轮密钥的对应列进行逐位异或操作。
4.如权利要求3所述的专网传输系统加固方法,其特征在于:
除第一个消息块之外,对其余消息块加密前,将该消息块与前一个消息块加密得到的密文块进行异或操作。
5.如权利要求2所述的专网传输系统加固方法,其特征在于,得到最后一个消息块对应的第一密钥之后,还包括:
判断该第一密钥的最高有效位是否为1,若是,则将该第一密钥与所述第二常数矩阵进行异或操作并左移,得到第二密钥;否则,将该第一密钥左移,得到第二密钥;
通过所述第二密钥对最后一个消息块加密得到的密文块进行二次加密处理。
6.如权利要求2所述的专网传输系统加固方法,其特征在于,对所述待加密数据形成的各消息块执行多轮的轮加密操作之前,还包括:
将各消息块与其对应的第一密钥进行异或操作。
7.如权利要求1所述的专网传输系统加固方法,其特征在于,所述待加密数据的长度为:STM-1的净荷长度加3后,乘以2。
8.如权利要求1所述的专网传输系统加固方法,其特征在于,获取预设密钥之前,还包括:
对用户操作进行鉴权,并在鉴权通过后,生成所述预设密钥。
9.一种专网传输系统加固系统,其特征在于,所述系统包括:
管理单元,其用于生成预设密钥;
传输设备单元,其用于获取预设密钥,并构造待加密数据,所述待加密数据的长度为16字节的整数倍;其还用于基于所述预设密钥,对所述待加密数据形成的各消息块执行多轮的轮加密操作,得到加密密文;所述消息块执行多轮的轮加密操作时的表示状态均为状态矩阵;
除最后一轮的轮加密操作之外,其余各轮加密操作包括:按列读取状态矩阵行位移操作后的每列字节,并对读取的每列字节依次进行替换操作、列混合操作和轮密钥异或操作。
10.如权利要求9所述的专网传输系统加固系统,其特征在于,所述管理单元包括:
管理模块,其用于对用户操作进行鉴权,并在鉴权通过后,下发鉴权通过通知消息至认证模块和密钥模块;
所述认证模块用于在收到所述鉴权通过通知消息后,下发安全证书至传输设备单元;
所述密钥模块用于在收到所述鉴权通过通知消息后,生成所述预设密钥,并下发给传输设备单元。
CN202510341520.7A 2025-03-21 2025-03-21 一种专网传输系统加固方法及系统 Pending CN120150926A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202510341520.7A CN120150926A (zh) 2025-03-21 2025-03-21 一种专网传输系统加固方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202510341520.7A CN120150926A (zh) 2025-03-21 2025-03-21 一种专网传输系统加固方法及系统

Publications (1)

Publication Number Publication Date
CN120150926A true CN120150926A (zh) 2025-06-13

Family

ID=95944991

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202510341520.7A Pending CN120150926A (zh) 2025-03-21 2025-03-21 一种专网传输系统加固方法及系统

Country Status (1)

Country Link
CN (1) CN120150926A (zh)

Similar Documents

Publication Publication Date Title
US10951392B2 (en) Fast format-preserving encryption for variable length data
US6831979B2 (en) Cryptographic accelerator
AU767323B2 (en) Block encryption device using auxiliary conversion
TW201826162A (zh) 用於藉由位元混合器來產生保密器回合金鑰的方法和系統
US20020051534A1 (en) Cryptographic system with enhanced encryption function and cipher key for data encryption standard
JPH1075240A (ja) データ送信を保護する方法およびデータを暗号化または解読化する装置
CN113660620B (zh) 一种数据防伪加密方法、装置、计算机设备及存储介质
Noura et al. Lesca: Lightweight stream cipher algorithm for emerging systems
US20010033654A1 (en) W-EC1 encryption and decryption method and system
Achkoun et al. SPF-CA: A new cellular automata based block cipher using key-dependent S-boxes
Joshy et al. Text to image encryption technique using RGB substitution and AES
CN100393026C (zh) 二进制数据块加密变换方法
US11165758B2 (en) Keystream generation using media data
JP3769804B2 (ja) 解読化方法および電子機器
CN115632765A (zh) 加密方法、解密方法、装置、电子设备及存储介质
US20040184607A1 (en) Crypto-system with an inverse key evaluation circuit
CN120150926A (zh) 一种专网传输系统加固方法及系统
CN117725605A (zh) 一种远端自动编制电子档案文件信息保密的方法和系统
Soe et al. Performance analysis of data encryption standard (DES)
CN116980194A (zh) 一种基于云边端协同的安全高效数据传输方法及其系统
CN115801227A (zh) 一种生成置换表的方法及装置
KR100350207B1 (ko) 디지털 데이터의 엘-비트 입력 블록들을 엘-비트 출력비트들로 암호 변환하는 방법
CN117411727B (zh) 一种通信传输对称加密的加密方法、装置及存储介质
KR102626974B1 (ko) 화이트박스 암호의 비밀키 보호를 위한 방법 및 시스템
Gaffar et al. Security of Digital Images Based on SHA-3 and Multiplication-Rotation-XOR (MRX) Operations over Galois Field

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination