【技术实现步骤摘要】
本专利技术涉及网络数据安全领域,尤其涉及一种基于总线的H2-MAC(哈希运算消息认证码)消息认证IP(intellectualproperty,知识产权)核硬件装置。
技术介绍
随着互联网的发展与普及,人们的生活变得越来越方便,我们可以通过互联网一键购买实体产品,与社会其他人通讯,在线转账等基本可以覆盖我们的日常生活,但是随之而来的信息安全问题也不容小觑,每时每刻都会产生信息安全问题,导致个人、公司、国家财产安全受到威胁,重要信息被截取篡改。网络安全的威胁主要来自两方面:一方面是被动攻击,攻击者通过截取或者监听方式获取信息;另一方面是主动攻击,攻击者通过冒充、篡改,重放等手段来改变信息,应对被动攻击,主要采用消息加密的方式,而对于主动攻击,我们常用的方式是利用消息认证来验证消息的有效性和合法性。消息认证提供一种证实消息来自可信源并且未被篡改的过程,在信息安全领域,应用广泛。为了实现消息认证,最普遍的方法是利用哈希函数(如MD5、SHA-1等)的单向性,即给定长度的消息,返回一个固定长度的独一无二的哈希值,作为“数字签名”。给定消息,产生哈希值很容易,而给定哈希值,要得到消息却很难。哈希函数中,MD5(Message-DigestAlgorithm5,即信息-摘要算法5),可用于确保信息传输完整一致。而SHA-1(SecureHashAlgorithm,即安全散列算法)会从2~64位元的讯息中产生一...
【技术保护点】
一种基于总线的H2‑MAC消息认证IP核硬件装置,其特征在于,包括解析模块、MD5密钥模块、padding模块、SHA‑1密钥模块、初始摘要寄存器、中间摘要寄存器、H2‑MAC控制模块、MD5运算模块、SHA‑1运算模块和后封装模块;解析模块的输入端为整个装置的输入端,解析模块的输入端接收来自总线的数据,解析模块输出端同时连接padding模块、MD5密钥模块和SHA‑1密钥模块的输入端;padding模块和MD5密钥模块的输出端连接MD5运算模块的输入端,padding模块和SHA‑1密钥模块的输出端连接SHA‑1运算模块的输入端;MD5运算模块接受H2‑MAC控制模块的控制进行MD5运算,在第一轮运算中H2‑MAC控制模块首先读取初始摘要寄存器的信息传递给MD5运算模块,并将第一轮MD5运算模块的结果存入中间摘要寄存器,在随后的第二轮运算中由H2‑MAC控制模块读取中间摘要寄存器的信息传递给MD5运算模块,最后将MD5认证运算得到的最终认证摘要传输至后封装模块;SHA‑1运算模块接受H2‑MAC控制模块的控制进行SHA‑1运算,在第一轮运算中H2‑MAC控制模块首先读取初始摘要寄存...
【技术特征摘要】
1.一种基于总线的H2-MAC消息认证IP核硬件装置,其特征在于,包括解
析模块、MD5密钥模块、padding模块、SHA-1密钥模块、初始摘要寄存器、中
间摘要寄存器、H2-MAC控制模块、MD5运算模块、SHA-1运算模块和后封装模
块;
解析模块的输入端为整个装置的输入端,解析模块的输入端接收来自总线的
数据,解析模块输出端同时连接padding模块、MD5密钥模块和SHA-1密钥模块
的输入端;padding模块和MD5密钥模块的输出端连接MD5运算模块的输入端,
padding模块和SHA-1密钥模块的输出端连接SHA-1运算模块的输入端;MD5运
算模块接受H2-MAC控制模块的控制进行MD5运算,在第一轮运算中H2-MAC
控制模块首先读取初始摘要寄存器的信息传递给MD5运算模块,并将第一轮
MD5运算模块的结果存入中间摘要寄存器,在随后的第二轮运算中由H2-MAC
控制模块读取中间摘要寄存器的信息传递给MD5运算模块,最后将MD5认证
运算得到的最终认证摘要传输至后封装模块;SHA-1运算模块接受H2-MAC控
制模块的控制进行SHA-1运算,在第一轮运算中H2-MAC控制模块首先读取初始
摘要寄存器的信息传递给SHA-1运算模块,并将第一轮SHA-1运算模块的结果存
入中间摘要寄存器,在随后的第二轮运算中由H2-MAC控制模块读取中间摘要寄
存器的信息传递给SHA-1运算模块,最后将SHA-1认证运算得到的最终认证摘
要传输至后封装模块;中间摘要寄存器的输入端同时连接MD5运算模块和
SHA-1运算模块,输出端连接H2-MAC控制模块;H2-MAC控制模块的输入端同
时连接初始摘要寄存器和中间摘要寄存器,输出端同时连接MD5运算模块和
SHA-1运算模块;后封装模块的输入端同时连接MD5运算模块和SHA-1运算模
块的输出端,后封装模块的输出端将含最终认证摘要的数据包要发送回总线。
2.如权利要求1所述的基于总线的H2-MAC消息认证IP核硬件装置,其特
征在于,所述解析模块包括顺序连接的总线接入模块、字段解析判断模块和
三个缓存模块;
首先,解析模块通过总线接入模块接收总线数据,总线接入模块通过判
断所接收总线数据中的Control控制信息和Addr地址信息是否对应本IP核来
判断本IP核是否被选中,若本IP核没被选中则不进行处理;若本IP核被选
中,则首先通过总线接入模块接收总线数据中的Data数据,并解析Data数
\t据中的经过上层加密模块的同步数据包,将解析得到的MD5认证秘钥存入第
一缓存模块,将解析得到的SHA-1认证密钥存入第三缓存模块;随后,由字
段解析判断模块接收总线接入模块处理过的同步数据包并进一步解析同步
数据包中的解释域字段,将解析得到的解释域字段存入第二缓存模块;最后,
当同步数据包接收完毕后通过判断所接收数据包的长度是否与数据长度帧
的数值相对应来确认解析得到的数据报文是否完整;若完整,则本次操作有效;
若不完整,则本次操作无效,字段解析判断模块将清空缓存并发出无效信号。
3.如权利要求1所述的基于总线的H2-MAC消息认证IP核硬件装置,其
特征在于,所述所述MD5密钥模块在数据包采用MD5认证方式时接收解析
模块缓存的MD5认证密钥,在接收的MD5认证密钥后填充“0”,直至填充
后的MD5认证密钥长度为512bit,存储长度为512bit的MD5认证密钥;
SHA-1密钥模块在数据包采用SHA-1认证方式时接收解析模块解析出的
SHA-1认证密钥,在接收的SHA-1认证密钥后填充“0”,直至填充后的SHA-1
认证密钥长度为512bit,存储长度为512bit的SHA-1认证密钥。
4.如权利要求1所述的基于总线的H2-MAC消息认证IP核硬件装置,其特
征在于,所述padding模块,第一步先判断解析模块传递过来的数据报文的
长度,若数据报文的长度对512取模后余数为448则不对数据报文进行处理,
否则先在数据报文后补一个“1”;第二步,判断补位后的数据报文长度对
512取模后余数是否为448,若是则不继续对数据报文进行处理,否则在第
一步补入的“1”后继续补“0”,直至补位后的数据报文的长度对512取模
后余数为448;第三步,补长度字段,将原先的消息长度值增加512bit;第
四步,将处理后的数据报文按照所采用的认证方式送入相应的认证运算模块。
5.如权利要求1所述的基于总线的H2-MAC消息认证IP核硬件装置,其特
征在于,所述初始摘要寄存器,用于存储MD5运算模块和SHA-1运算的链接
变量;
所述中间摘要寄存器,用于接收H2-MAC算法中...
【专利技术属性】
技术研发人员:李冰,刘洋,刘玉翠,郭安,刘勇,陈帅,董乾,赵霞,王刚,
申请(专利权)人:东南大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。