一种基于国密算法的数据安全传输系统及方法技术方案

本发明专利技术公开了一种基于国密算法的数据安全传输系统及方法，涉及数据加密技术领域。CA使用国密算法生成Alice的第一数字证书和Bob的第二数字证书；第一身份认证模块和第二身份认证模块，分别用于验证第二数字证书和第一数字证书，以分别对Bob和Alice进行认证；第一量子加密模块和第二量子加密模块，进行量子密钥分发确定Alice与Bob之间进行数据通信的量子密钥；第一量子安全网关和第二量子安全网关，用于使用量子密钥进行数据加密通信。通过可信任的第三方CA使用国密算法先对接收者Bob和发送者Alice进行身份认证，双向认证通过之后通过量子密钥分发技术确定量子密钥，保证了数据传输的安全。传输的安全。传输的安全。

【技术实现步骤摘要】
一种基于国密算法的数据安全传输系统及方法


[0001]本专利技术涉及数据加密
，具体涉及一种基于国密算法的数据安全传输系统及方法。

技术介绍

[0002]量子密钥分发(quantum key distribution，QKD)，是利用量子力学特性来保证通信安全性。通过量子叠加态或量子纠缠态来传输信息，通信系统便可以检测是否存在窃听。
[0003]目前，各种量子密钥分发都是基于量子力学测量原理，利用光子的偏振态作为信息载体传递密钥，可以保证数据传输时的安全性。但是量子密钥分发技术无法对网络中通信各方进行身份认证，导致数据传输存在安全缺陷。

技术实现思路

[0004]本专利技术的目的就在于解决上述
技术介绍
的问题，而提出一种基于国密算法的数据安全传输系统及方法。
[0005]本专利技术的目的可以通过以下技术方案实现：
[0006]本专利技术实施例第一方面，首先提供了一种基于国密算法的数据安全传输系统，包括第一量子安全网关、第二量子安全网关和数字证书认证机构CA；所述第一量子安全网关与发送者Alice连接，所述第二量子安全网关与接收者Bob连接；所述第一量子安全网关包括第一身份认证模块和第一量子加密模块；所述第二量子安全网关包括第二身份认证模块和第二量子加密模块；
[0007]所述CA，用于接收所述发送者Alice和所述接收者Bob的数字证书申请，使用国密算法生成所述发送者Alice的第一数字证书和所述接收者Bob的第二数字证书；
[0008]所述第一身份认证模块和所述第二身份认证模块，分别用于验证所述第二数字证书和所述第一数字证书，以分别对所述接收者Bob和所述发送者Alice进行认证；
[0009]所述第一量子加密模块和所述第二量子加密模块，用于当所述发送者Alice和所述接收者Bob双向认证通过之后，进行量子密钥分发确定所述发送者Alice与所述接收者Bob之间进行数据通信的量子密钥；
[0010]所述第一量子安全网关和所述第二量子安全网关，用于使用所述量子密钥进行数据加密通信。
[0011]可选地，所述CA包括国密算法模块、签证模块、审核模块；数字证书申请包括目标客户端的身份信息；所述目标客户端为所述发送者Alice和所述接收者Bob中的任意一个；
[0012]所述国密算法模块，用于使用SM2国密算法生成SM2公私钥对；
[0013]所述审核模块，用于根据所述身份信息对所述目标客户端进行审核；
[0014]所述签证模块，用于若审核通过，使用所述SM2公私钥对根据所述身份信息与所述CA的签发信息生成目标数字证书；所述签发信息包括签发机构CA的信息、有效时间和证书序列号。
[0015]可选地，所述签证模块包括明文生成子模块、第一摘要生成子模块、签名生成子模块和证书生成子模块：
[0016]所述明文生成子模块，用于若所述目标客户端审核通过，根据所述身份信息与所述CA的签发信息生成目标证书明文；
[0017]所述第一摘要生成子模块，用于使用SM3国密算法生成所述目标证书明文的目标证书摘要；
[0018]所述签名生成子模块，用于使用所述SM2公私钥的私钥加密所述目标证书摘要得到目标证书签名；
[0019]所述证书生成子模块，用于将所述目标证书明文和所述目标证书签名组合成为所述目标数字证书。
[0020]可选地，目标身份认证模块包括解密模块、第二摘要生成子模块和验证模块；当所述目标客户端为所述发送者Alice，则所述目标身份认证模块为所述第二身份认证模块，或者当所述目标客户端为所述接收者Bob，则所述目标身份认证模块为所述第一身份认证模块；
[0021]所述验证模块，用于当接收到所述目标数字证书，根据所述目标证书明文验证所述目标数字证书的合法性；
[0022]所述解密模块，用于若所述目标数字证书合法，则使用所述SM2公私钥的公钥解密所述目标证书签名得到所述目标证书摘要；
[0023]所述第二摘要生成子模块，用于使用SM3国密算法生成当前目标证书明文的对比证书摘要；
[0024]所述验证模块，还用于对比所述目标证书摘要和所述对比证书摘要对所述目标客户端进行认证。
[0025]本专利技术实施例第二方面，还提供了一种基于国密算法的数据安全传输方法，应用于第一量子安全网关；所述第一量子安全网关连接的第一目标终端为发送者Alice或接收者Bob；所述第一量子安全网关包括第一身份认证模块和第一量子加密模块；所述方法包括：
[0026]向第二量子安全网关发送第一数字证书；以使所述第二量子安全网关的第二身份认证模块验证所述第一数字证书；所述第一数字证书为CA使用国密算法生成的所述第一目标终端的数字证书；若所述第一目标终端为发送者Alice，则所述第二量子安全网关连接的第二目标终端为接收者Bob，若所述第一目标终端为接收者Bob，则所述第二目标终端为发送者Alice；
[0027]接收所述第二量子安全网关发送的第二数字证书，使用所述第一身份认证模块验证所述第二数字证书；所述第二数字证书为所述CA使用国密算法生成的所述第二目标终端的数字证书；
[0028]当所述第一目标终端和所述第二目标终端双向认证通过之后，使用所述第一量子加密模块与所述第二量子安全网关的第二量子加密模块进行量子密钥分发，确定所述第一目标终端和所述第二目标终端之间进行数据通信的量子密钥；
[0029]使用所述量子密钥与所述第二量子安全网关进行数据加密通信。
[0030]可选地，在向第二量子安全网关发送第一数字证书之前，所述方法还包括：
[0031]向所述CA发送包括所述第一目标客户端的身份信息的数字证书申请；以使所述CA根据所述身份信息对所述目标客户端进行审核，若审核通过，使用SM2公私钥对根据所述身份信息与所述CA的签发信息生成所述第一数字证书；所述签发信息包括签发机构CA的信息、有效时间和证书序列号；
[0032]接收所述CA下发的所述第一数字证书。
[0033]可选地，所述第一数字证书包括目标证书明文和目标证书签名；所述目标证书明文为所述CA根据所述身份信息与所述CA的签发信息生成的明文数据；所述目标证书签名为所述CA使用所述SM2公私钥的私钥加密目标证书摘要得到签名数据；所述目标证书摘要为所述CA使用SM3国密算法计算所述目标证书明文生成的摘要数据。
[0034]可选地，对所述第二目标终端进行认证的过程为：
[0035]根据所述第二数字证书的明文验证所述第二数字证书的合法性；
[0036]若所述第二数字证书合法，则使用所述SM2公私钥的公钥解密所述第二数字证书的证书签名得到所述第二数字证书的证书摘要；
[0037]使用SM3国密算法生成所述第二数字证书的明文的对比证书摘要；
[0038]对比所述证书摘要和所述对比证书摘要对所述第二目标终端进行认证。
[0039]本专利技术实施例提供了一种基于国密算法的数据安全传输系统，包括第本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于国密算法的数据安全传输系统，其特征在于，包括第一量子安全网关、第二量子安全网关和数字证书认证机构CA；所述第一量子安全网关与发送者Alice连接，所述第二量子安全网关与接收者Bob连接；所述第一量子安全网关包括第一身份认证模块和第一量子加密模块；所述第二量子安全网关包括第二身份认证模块和第二量子加密模块；所述CA，用于接收所述发送者Alice和所述接收者Bob的数字证书申请，使用国密算法生成所述发送者Alice的第一数字证书和所述接收者Bob的第二数字证书；所述第一身份认证模块和所述第二身份认证模块，分别用于验证所述第二数字证书和所述第一数字证书，以分别对所述接收者Bob和所述发送者Alice进行认证；所述第一量子加密模块和所述第二量子加密模块，用于当所述发送者Alice和所述接收者Bob双向认证通过之后，进行量子密钥分发确定所述发送者Alice与所述接收者Bob之间进行数据通信的量子密钥；所述第一量子安全网关和所述第二量子安全网关，用于使用所述量子密钥进行数据加密通信。2.基于权利要求1所述的一种基于国密算法的数据安全传输系统，其特征在于，所述CA包括国密算法模块、签证模块、审核模块；数字证书申请包括目标客户端的身份信息；所述目标客户端为所述发送者Alice和所述接收者Bob中的任意一个；所述国密算法模块，用于使用SM2国密算法生成SM2公私钥对；所述审核模块，用于根据所述身份信息对所述目标客户端进行审核；所述签证模块，用于若审核通过，使用所述SM2公私钥对根据所述身份信息与所述CA的签发信息生成目标数字证书；所述签发信息包括签发机构CA的信息、有效时间和证书序列号。3.基于权利要求2所述的一种基于国密算法的数据安全传输系统，其特征在于，所述签证模块包括明文生成子模块、第一摘要生成子模块、签名生成子模块和证书生成子模块：所述明文生成子模块，用于若所述目标客户端审核通过，根据所述身份信息与所述CA的签发信息生成目标证书明文；所述第一摘要生成子模块，用于使用SM3国密算法生成所述目标证书明文的目标证书摘要；所述签名生成子模块，用于使用所述SM2公私钥的私钥加密所述目标证书摘要得到目标证书签名；所述证书生成子模块，用于将所述目标证书明文和所述目标证书签名组合成为所述目标数字证书。4.基于权利要求3所述的一种基于国密算法的数据安全传输系统，其特征在于，目标身份认证模块包括解密模块、第二摘要生成子模块和验证模块；当所述目标客户端为所述发送者Alice，则所述目标身份认证模块为所述第二身份认证模块，或者当所述目标客户端为所述接收者Bob，则所述目标身份认证模块为所述第一身份认证模块；所述验证模块，用于当接收到所述目标数字证书，根据所述目标证书明文验证所述目标数字证书的合法性；所述解密模块，用于若所述目标数字证书合法，则使用所述SM2公私钥的公钥解密所...

【专利技术属性】
技术研发人员：王龙，黄峰，章鹏飞，周涛，
申请(专利权)人：安徽省极光智能科技有限公司，
类型：发明
国别省市：