一种基于协同签名的国密安全通信方法技术

本发明专利技术公开了一种基于协同签名的国密安全通信方法，按以下步骤进行：步骤1、安装启动并配置密码模块软件；步骤2、密码模块软件按照协同签名协议与协同签名服务端协商密钥并加密存储密钥分量；步骤3、密码模块软件激活后导入数字证书，使用数字证书相互验证通信双方身份；步骤4、在数据通信前，建立通信双方的可靠连接；步骤5、密码模块软件采用协同签名实现数字签名，采用协同解密技术实现解密，在可靠连接上按照TLCP协议建立TLCP安全通道；步骤6、通过协议转换实现应用层无感知接入和使用由密码模块软件提供的TLCP安全通道，实现数据加密通信。本发明专利技术可以实现通信设备间的通信加密和攻击抵抗，实现在网络环境中安全的通信。实现在网络环境中安全的通信。实现在网络环境中安全的通信。

【技术实现步骤摘要】
一种基于协同签名的国密安全通信方法


[0001]本专利技术涉及通信安全
，特别涉及一种基于协同签名的国密安全通信方法。

技术介绍

[0002]随着物联网以及各类通信技术的发展，在各个领域内出现了越来越多的物联网设备，它们部署于各个地，通过其上搭载的传感器采集各项物理参数，并通过无线或有线网络传输至数据中心，例如污染源监测、空气质量监测、水质量监测等，这类设备采用行业内统一的通信协议进行数据传输和控制，这些通信协议在设计时仅考虑业务需求，并没有全面的考虑安全因素，因此在通信时数据可能会被攻击者截获、重放、甚至篡改，通信安全问题较为严重。然而这些设备已经大规模的部署于各地，现有的解决方案是加装加密网关或加密机的方式进行升级，也可采用升级通信协议增加通信安全约定方式实现，这些解决方案都具有较大的成本和风险。基于上述因素需要一种通用的安全通信方法，能够在现有设备提供运行环境内运行，且对原设备软件无侵入，又能够保障传输数据安全，传输协议符合国家相关标准规范要求，本身还需安全、可控、易操作。

技术实现思路

[0003]本专利技术的目的在于，提供一种基于协同签名的国密安全通信方法。本专利技术可以实现通信设备间的通信加密和攻击抵抗，实现在网络环境中安全的通信。
[0004]本专利技术的技术方案：一种基于协同签名的国密安全通信方法，包括密码模块软件和协同签名服务端，并按以下步骤进行：
[0005]步骤1、安装启动并配置密码模块软件；
[0006]步骤2、密码模块软件按照协同签名协议与协同签名服务端协商密钥并加密存储密钥分量；
[0007]步骤3、密码模块软件激活后导入数字证书，使用数字证书相互验证通信双方身份；
[0008]步骤4、在数据通信前，建立通信双方的可靠连接；
[0009]步骤5、密码模块软件采用协同签名实现数字签名，采用协同解密技术实现解密，在可靠连接上按照TLCP协议建立TLCP安全通道；
[0010]步骤6、通过协议转换实现应用层无感知接入和使用由密码模块软件提供的TLCP安全通道，实现数据加密通信。
[0011]上述的基于协同签名的国密安全通信方法，所述密码模块软件包括密码模块服务端与密码模块客户端，密码模块服务端与密码模块客户端在TLCP握手协议中采用ECC_SM4_CBC_SM3或ECC_SM4_GCM_SM3密码套件，密码套件使用SM2签名密钥对签名与验签，密码套件使用SM2加密密钥对加密和解密。
[0012]前述的基于协同签名的国密安全通信方法，所述密码模块软件通过PIN码加密存
储密钥分量，在使用时解密；在需要签名或解密时，由密码模块软件与协同签名服务端双方协同完成密码计算。
[0013]前述的基于协同签名的国密安全通信方法，所述密钥分量由加密密钥对分散得到，其步骤如下：
[0014]步骤2.1：密码模块客户端从密码模块服务端下载加密密钥对密文保护结构；
[0015]步骤2.2：密码模块客户端根据GM/T0014使用签名密钥对与密码模块服务端协同解密密文保护结构得到密钥加密密钥KEK；
[0016]步骤2.3：密码模块客户端使用密钥加密密钥KEK解密得到私钥d
A
；
[0017]步骤2.4：密码模块客户端通过随机数发生器生成满足SM2椭圆曲线要求的密钥分量d1；
[0018]步骤2.5：密码模块客户端计算得到密钥分量d2；
[0019]步骤2.6：密码模块客户端与密码模块服务端建立单向身份认证的TLCP安全通道，密码模块客户端验证密码模块服务端的签名及数字证书；
[0020]步骤2.7：密码模块客户端将密钥分量d2通过TLCP安全通道发送至密码模块服务端，密码模块服务端加密存储密钥分量d2，完成密钥分散。
[0021]前述的基于协同签名的国密安全通信方法，所述密钥分量d2的计算公式如下：
[0022]d2＝(d
A
+1)
‑1d1‑1mod n。
[0023]前述的基于协同签名的国密安全通信方法，所述的可靠连接是基于TCP的连接。
[0024]前述的基于协同签名的国密安全通信方法，所述应用层无感知接入和使用TLCP安全通道根据数据的收发方向包含数据发送时TCP转TLCP协议以及数据接收时TLCP协议转TCP协议。
[0025]与现有技术相比，本专利技术包括了密码模块软件、基于协同签名和协同解密技术实现的符合国家规范的安全通信协议以及保证应用层兼容的协议转换技术；本专利技术采用密码模块软件的形式，以协同签名与协同解密实现SM2签名和解密算法，按TLCP协议在可靠连接上建立安全通道，通过协议转换技术保证上层应用兼容的接入安全通道。本专利技术能够在现有设备提供运行环境内运行，且对原设备软件无侵入，又能够保障传输数据安全，传输协议符合国家相关标准规范要求，本身还需安全、可控、易操作，本专利技术能够在保证上层应用兼容的前提下，通过密码模块软件实现通信设备间的通信加密和攻击抵抗，实现在不安全的网络环境中安全的通信。
附图说明
[0026]图1是本专利技术的密码模块软件与协同签名服务端之间的连接关系示意图；
[0027]图2是本专利技术的方法流程示意图；
[0028]图3是协同签名方案示意图；
[0029]图4是协同计算与TLCP握手协议示意图；
[0030]图5是通信模型的示意图；
[0031]图6是TCP协议与TLCP协议的协议栈对比示意图；
[0032]图7是TCP转TLCP协议的示意图；
[0033]图8是TLCP转TCP协议的示意图。
具体实施方式
[0034]下面结合附图和实施例对本专利技术作进一步的说明，但并不作为对本专利技术限制的依据。
[0035]实施例：一种基于协同签名的国密安全通信方法，包括密码模块软件和协同签名服务端；如图1所示，密码模块软件可分为密码模块服务端与密码模块客户端，通过协同签名与协同解密技术建立双向身份认证的TLCP安全通道，采用协议转换技术实现应用层兼容。
[0036]协同签名服务端用于实现与密码模块软件的密钥协商，TLCP握手过程中所需的协同签名计算、协同解密计算，以及密码模块软件的管理功能。
[0037]密码模块服务端与密码模块客户端在TLCP握手协议中采用ECC_SM4_CBC_SM3或ECC_SM4_GCM_SM3密码套件，这些套件使用SM2签名密钥对签名与验签，使用数字证书相互验证双方身份，保障通信双方的真实性、不可抵赖性，使用SM2加密密钥对加密和解密预主密钥，保证密钥交换的安全，在握手完成后通过加密和校验码保护通信的完整性、机密性。
[0038]密码模块软件采用协同签名技术实现数字签名，采用协同解密技术实现解密，密码模块软件内的签名密钥对与加密密钥对由密码模块软件与协同签名服务端协商产生，并由各自存储协商产生密钥分量。密码模块软件通过PIN码加密存储密钥分量，在使用时解密。在需要签名本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于协同签名的国密安全通信方法，其特征在于：包括密码模块软件和协同签名服务端，并按以下步骤进行：步骤1、安装启动并配置密码模块软件；步骤2、密码模块软件按照协同签名协议与协同签名服务端协商密钥并加密存储密钥分量；步骤3、密码模块软件激活后导入数字证书，使用数字证书相互验证通信双方身份；步骤4、在数据通信前，建立通信双方的可靠连接；步骤5、密码模块软件采用协同签名实现数字签名，采用协同解密技术实现解密，在可靠连接上按照TLCP协议建立TLCP安全通道；步骤6、通过协议转换实现应用层无感知接入和使用由密码模块软件提供的TLCP安全通道，实现数据加密通信。2.根据权利要求1所述的基于协同签名的国密安全通信方法，其特征在于：所述密码模块软件包括密码模块服务端与密码模块客户端，密码模块服务端与密码模块客户端在TLCP握手协议中采用ECC_SM4_CBC_SM3或ECC_SM4_GCM_SM3密码套件，密码套件使用SM2签名密钥对签名与验签，密码套件使用SM2加密密钥对加密和解密。3.根据权利要求2所述的基于协同签名的国密安全通信方法，其特征在于：所述密码模块软件通过PIN码加密存储密钥分量，在使用时解密；在需要签名或解密时，由密码模块软件与协同签名服务端双方协同完成密码计算。4.根据权利要求2所述的基于协同签名的国密安全通信方法，其特征在于：所述密钥分量由加密密钥对分散得到...

【专利技术属性】
技术研发人员：权观宇，胡斌，汤磊，
申请(专利权)人：杭州脉讯科技有限公司，
类型：发明
国别省市：