[发明专利]一种交换机两级加密保护的方法

说明书

技术领域

本发明公开一种交换机两级加密保护的方法，属于交换机安全管理技术领域。

背景技术

交换机的主要功能部件由交换模块和配置模块组成，交换模块实现交换机的数据转发，而配置模块则提供交换机VLAN配置和SNMP管理等功能。随着SDN等技术的提出，配置模块的重要性更加凸显。防止程序被非法窃取，保护配置模块上的程序是日常维护配置模块的必要工作，而使用加密芯片技术是一种常用的程序保护解决方案。但其中已有的加密芯片中采用的加密算法往往是固化在芯片中的，如果用户期望采用其他算法对程序进行加密，需要更换加密芯片和对应的加密认证程序，不但灵活性不足，而且加密认证过程中也存在通信不可靠带来的认证失败的危险。本发明提供了一种交换机两级加密保护的方法，利用交换配置芯片配置和管理交换芯片的方式，交换配置芯片与单片机之间执行上层加密认证，单片机与加密芯片之间执行底层加密认证，实现防止交换机程序被非法窃取，并支持自定义加密算法，具有实现简单、灵活性好等特点。

发明内容

本发明针对现有技术交换机加密芯片和对应的加密认证程序，灵活性不足，而且加密认证过程中也存在通信不可靠带来的认证失败的危险的问题，提供一种交换机两级加密保护的方法，实现防止交换机程序被非法窃取，并支持自定义加密算法，实现简单、灵活性好。

本发明提出的具体方案是：

一种交换机两级加密保护的方法，对交换机设置交换配置芯片、单片机和加密芯片，交换配置芯片配置和管理交换芯片，交换配置芯片与单片机之间执行上层加密认证，单片机与加密芯片之间执行底层加密认证；

上层加密认证发起认证请求触发底层加密认证，底层加密认证根据认证通过情况启动上层加密认证，判断上层加密认证是否成功，成功则启动交换机操作系统内核，否则判断认证次数是否大于预定值，若大于预定值则将交换机操作系统内核锁住，否则继续进行加密认证。

由上层加密认证中交换配置芯片发起认证请求，单片机接收认证请求信号时触发底层加密认证，若底层加密认证通过，则单片机向交换配置芯片发送认证应答信号，等待交换配置芯片的下一个认证请求信号，否则单片机不向交换配置芯片发送认证应答信号而直接等待交换配置芯片的下一个认证请求信号。

交换配置芯片收到单片机的认证应答信号，启动上层加密认证过程进行加密认证，否则按照定时超时后未收到单片机的认证应答信号，则此次认证失败。

所述启动上层加密认证过程后，若上层加密认证通过，则此次认证成功，否则此次认证失败。

所述上层加密认证采用自定义加密算法，底层加密认证采用与加密芯片内置的加密算法一致的加密算法。

本发明的有益之处是：

本发明提供一种交换机两级加密保护的方法，对交换机设置交换配置芯片、单片机和加密芯片，交换配置芯片配置和管理交换芯片，交换配置芯片与单片机之间执行上层加密认证，单片机与加密芯片之间执行底层加密认证；

上层加密认证发起认证请求触发底层加密认证，底层加密认证根据认证通过情况启动上层加密认证，判断上层加密认证是否成功，成功则启动交换机操作系统内核，否则判断认证次数是否大于预定值，若大于预定值则将交换机操作系统内核锁住，否则继续进行加密认证；利用本发明方法当加密认证失败不大于某一次数时可以尝试再次进行加密认证，降低由总线通信可靠性问题造成的加密认证失败的概率，提高了加密认证的可靠性，同时实现防止交换机程序被非法窃取，并支持自定义加密算法，具有实现简单、灵活性好等特点。

附图说明

图1是本发明方法流程示意图；

图2是本发明两级加密认证具体过程示意图；

图3本发明交换机中芯片连接结构示意图。

具体实施方式

在具体实施中，例如有交换机主板一块，板卡上设置有交换配置芯片BCM53003、单片机为C8051F340，加密芯片采用DS28E01-100，交换配置芯片BCM53003通过I2C总线与单片机C8051F340通信，单片机C8051F340通过1-Wire与加密芯片DS28E01-100通信。

利用本发明方法对交换机设置交换配置芯片、单片机和加密芯片，交换配置芯片配置和管理交换芯片，交换配置芯片与单片机之间执行上层加密认证，单片机与加密芯片之间执行底层加密认证；