CN111740844A - 基于硬件的国密算法的ssl通信方法及装置 - Google Patents
基于硬件的国密算法的ssl通信方法及装置 Download PDFInfo
- Publication number
- CN111740844A CN111740844A CN202010583944.1A CN202010583944A CN111740844A CN 111740844 A CN111740844 A CN 111740844A CN 202010583944 A CN202010583944 A CN 202010583944A CN 111740844 A CN111740844 A CN 111740844A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- certificate
- random number
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于硬件的国密算法的SSL通信方法,包括:客户端向服务端发送请求,发送客户端支持的通信协议版本列表及客户端支持的加密算法列表,客户端生成一第一随机数;服务端收到请求后发送响应和服务端证书,所述服务端证书存储于加密芯片中,确认使用的通信协议版本,确认加密方式,服务端生成一第二随机数并发送给客户端;客户端从服务端证书中取出公钥,并发送用公钥加密的第三随机数,发送编码改变通知和客户端握手结束通知,所述客户端握手结束通知为前面发送的所有内容的哈希值,用于供服务器校验;服务端收到发送的加密数据后使用私钥进行解密,并对数据进行验证,生成工作密钥。大大提高通信***的安全性与可靠性。
Description
技术领域
本发明涉及数据通信加密技术领域,具体地涉及一种基于硬件的国密算法的SSL通信方法及装置。
背景技术
国密算法作为国际密码局认定的国产密码算法,被广泛运用在各种安全认证、网上银行及数字签名等数据加密中。国际商用密码管理办公室制定了一系列国密算法标准,包括SSF3、SM1、SM2、SM3、SM4、SM7、祖冲之密码算法标准等。由于目前科研领域对于国密算法的研发投入大、研发水平成熟并且成功***,所以国密算法更具安全性和实用性,采用国密算法加密传输数据可使数据的安全性和可靠性都能得到严格保障。
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(TransportLayer Security,TLS)是目前使用最广泛的为网络通信提供安全及数据完整性的一种传输层安全通信协议,为应用数据安全传输提供保障,采用上述传统国际密码算法的SSL协议满足不了我国商业密码应用的需求,面对日益严峻的安全形势,国家密码管理局自主创新研发了国密商用SM系列算法,并且还制定了《国密SSL VPN技术规范》来指导国密SSL VPN的研发。
中国专利文献CN 107277007 A公开了一种数据加密传输方法及装置,该方法的步骤包括:服务端在进行SSL协议的初始化设置并加载国密算法库后,建立基于国密算法的SSL的服务,并在国密算法库中选择需要使用的加密算法;客户端加载国密算法库,并与服务端建立tcp连接;客户端建立与服务端的SSL会话,并向服务端发起连接请求以建立与服务端之间的SSL链路连接;服务端通过加密算法将待传输数据进行加密以得到密文,并将密文发送至客户端;客户端通过国密算法库中的解密算法对密文进行解密以得到待传输数据。该方法能够在一定程度上提高传输数据的安全性与可靠性。但是其安全性无法满足我国商业密码应用的需求,因此亟需进一步提高通信的安全性。
发明内容
为了解决上述存在的技术问题,本发明提供了一种基于硬件的国密算法的SSL通信方法,将国密算法嵌入到硬件加密芯片中结合使用,基于硬件的安全使用专用集成电路(IC)或具有专用安全硬件的处理器,专门为提供加密功能和防范攻击进行设计,可以大大提高通信***的安全性与可靠性。
本发明的技术方案是:
一种基于硬件的国密算法的SSL通信方法,所述基于硬件的国密算法采用专用集成电路或具有专用安全硬件的处理器,所述国密算法嵌入到硬件加密芯片中结合使用,在硬件层面进行加解密和身份认证,密钥和终端应用的关键参数被保护在加密硬件的电气边界内,具体包括以下步骤:
S01:客户端向服务端发送请求,发送客户端支持的通信协议版本列表及客户端支持的加密算法列表,客户端生成一第一随机数,并将该第一随机数发送给服务端;
S02:服务端收到客户端请求后,发送服务端响应给客户端,发送服务端证书,所述服务端证书存储于加密芯片中,确认使用的通信协议版本,确认加密方式,服务端生成一第二随机数并发送给客户端;所述第一随机数与第二随机数用于生成主密钥;
S03:客户端对服务端证书进行检查,若证书存在问题,向访问者显示一个警告;若证书没有问题,客户端从服务端证书中取出公钥,并向服务端发送一第三随机数,该第三随机数用服务端公钥加密,发送编码改变通知和客户端握手结束通知,所述客户端握手结束通知为前面发送的所有内容的哈希值,用于供服务器校验;
S04:服务端收到客户端发送的加密数据后使用私钥对该加密数据进行解密,并对数据进行验证,生成工作密钥,给客户端发送编码改变通知。
优选的技术方案中,所述步骤S01中加密算法列表为加密算法的组合列表,包括M2、SM1、SM3,其中SM2证书存于硬件中,SM1通过硬件进行加解密,SM3通过硬件实现。
优选的技术方案中,所述步骤S02中,在服务端向客户端发送的服务端证书中信息量不足时,向客户端发送一个密钥协商请求。
优选的技术方案中,所述步骤S02中还包括服务端对客户端进行验证,向客户端发出证书请求。
优选的技术方案中,所述步骤S02中的服务端证书由专门的数字认证机构审核通过颁发的电子证书,颁发证书时产生一对密钥,包括一个公钥和一个私钥,私钥由服务端保存,公钥附带在证书的信息中,证书附带一个电子签名。
优选的技术方案中,所述步骤S03中客户端对服务端证书进行检查的内容包括证书是否由可信机构颁布、证书中的域名与实际域名是否一致、证书是否过期。
优选的技术方案中,所述步骤S03中还包括如果服务端对客户端进行验证,在客户端收到服务端请求消息之后优先向服务端发送客户端证书,服务端验证客户端的合法性。
优选的技术方案中,所述步骤S03中的第三随机数由客户端使用SM2产生的48个字节的密钥,该密钥被作为预主密钥。
本发明还公开了一种基于硬件的国密算法的SSL通信装置,所述基于硬件的国密算法采用专用集成电路或具有专用安全硬件的处理器,所述国密算法嵌入到硬件加密芯片中结合使用,在硬件层面进行加解密和身份认证,密钥和终端应用的关键参数被保护在加密硬件的电气边界内,包括:
一客户端请求发送模块,用于客户端向服务端发送请求,发送客户端支持的通信协议版本列表及客户端支持的加密算法列表,客户端生成一第一随机数,并将该第一随机数发送给服务端;
一服务端响应模块,用于服务端收到客户端请求后,发送服务端响应给客户端,发送服务端证书,所述服务端证书存储于加密芯片中,确认使用的通信协议版本,确认加密方式,服务端生成一第二随机数并发送给客户端;所述第一随机数与第二随机数用于生成主密钥;
一客户端回应模块,客户端对服务端证书进行检查,若证书存在问题,向访问者显示一个警告;若证书没有问题,客户端从服务端证书中取出公钥,并向服务端发送一第三随机数,该第三随机数用服务端公钥加密,发送编码改变通知和客户端握手结束通知,所述客户端握手结束通知为前面发送的所有内容的哈希值,用于供服务器校验;
一服务端回应模块,服务端收到客户端发送的加密数据后使用私钥对该加密数据进行解密,并对数据进行验证,生成工作密钥,给客户端发送编码改变通知。
优选的技术方案中,所述服务端响应模块中,在服务端向客户端发送的服务端证书中信息量不足时,向客户端发送一个密钥协商请求。
与现有技术相比,本发明的优点是:
(1)本发明提供了一种支持国密硬件算法的SSL通信方法,该方法把国密算法融入SSL协议实现了安全通信,为应用数据安全传输提供保障,满足我国商业密码的需求。
(2)本发明将国密算法嵌入到硬件加密芯片中结合使用,基于硬件的安全使用专用集成电路(IC)或具有专用安全硬件的处理器,加解密和身份认证等安全操作发生在对密码算法性能优化过的IC硬件层面,另外,密钥和终端应用的关键参数等敏感信息被保护在加密硬件的电气边界内。由于对芯片进行篡改既非常困难又很昂贵,因此网络犯罪分子无法对基于硬件的安全实施攻击。另外,当受到攻击时,安全IC能够在遭受破坏之前关闭操作并毁掉敏感数据。因此本发明采用的基于硬件的国密算法,可降低嵌入式设备、周边和***遭受未经授权访问的风险,显著提高通信***的安全性。
附图说明
下面结合附图及实施例对本发明作进一步描述:
图1为本发明SSL通信方法的协议框架示意图;
图2为本发明基于硬件的国密算法的SSL通信方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
实施例:
下面结合附图,对本发明的较佳实施例作进一步说明。
如图1、2所示,本发明基于硬件的国密算法的SSL通信方法,用于通信双方身份认证及通信安全参数协商,包括以下步骤:
1.1客户端发出请求
此步骤中客户端需告知服务端自己所支持的加密算法,并将本地支持的加密套件列表传送给服务端;另外客户端还需要生成一个随机数,该随机数一方面被客户端保存,另一方面也需要传送给服务端,所述随机数将与服务端产生的随机数结合,用于生成主密钥。
客户端需向服务端提供以下消息:
(a)客户端支持的通信协议版本列表;
(b)客户端生成的随机数;
(c)客户端支持的加密算法列表。
加密算法列表包括加密算法的组合,如SM2_SM4_SM3表示密钥协商算法使用的是SM2,对称加密算法使用的是SM4,摘要使用的是SM3。本发明基于硬件的国密加密算法使用SM2_SM1_SM3,其中SM2证书存于硬件中,SM1是通过硬件进行加解密的,SM3也是通过硬件实现的。该加密算法的组合均基于国密加密芯片,另芯片本身硬件安全还通过Ukey保障。
基于硬件的国密算法使用专用集成电路(IC)或具有专用安全硬件的处理器,将国密算法嵌入到硬件加密芯片中结合使用,专门为提供加密功能和防范攻击进行设计。加解密和身份认证等安全操作发生在对密码算法性能优化过的IC硬件层面,另外,密钥和终端应用的关键参数等敏感信息被保护在加密硬件的电气边界内。所述安全IC包含数学加速器、随机数生成器、非易失存储器、篡改检测和物理不可仿制功能(PUF)等电路模块。特别地,PUF模块可以使密钥等敏感数据免受入侵或利用反向工程提取。由于对芯片进行篡改既非常困难又很昂贵,因此网络犯罪分子无法对基于硬件的安全实施攻击。另外,当受到攻击时,安全IC能够在遭受破坏之前关闭操作并毁掉敏感数据。因此本发明采用的基于硬件的国密算法,可降低嵌入式设备、周边和***遭受未经授权访问的风险,显著提高通信***的安全性。
1.2服务端响应
服务端收到客户端的请求之后,发送自己的证书给客户端。该证书是由专门的数字认证机构(CA)审核通过颁发的电子证书。特别地,颁发证书同时会产生一对密钥,包括一个公钥和一个私钥,私钥由服务端保存,公钥附带在证书的信息中;证书也附带一个电子签名,该签名用于验证证书的完整性和真实性,用于防止证书被篡改。同样服务端也需要产生一个随机数并发送给客户端,客户端和服务端均需要使用上述两个随机数产生主密钥,主密钥由预主密钥、客户端随机数、服务端随机数、常数字符串,经SM3计算生成的密钥,通过接口函数和消息结构调用存储于硬件的SM3。最后服务端会发送一个请求结束的消息,表示服务端的响应结束。
服务端的响应包括以下消息:
(a)确认使用的通信协议版本;
(c)确认加密方式;
(d)服务器证书;
(b)服务端生成的随机数。
从服务端请求到请求结束,服务端都是唯一发送方,且每条信息单独发送。
在服务端向客户端发送的证书中信息量不足时,需向客户端发送一个密钥协商请求。
对于重要的保密数据,服务端还需要对客户端进行验证,以保证数据传送给了安全合法的客户端,即向客户端发出证书请求。
本发明服务端证书存于加密芯片中,为信息提供更为安全的电气保证,通过接口函数和消息结构进行调用存储于加密芯片的服务端证书。
1.3客户端回应
客户端对服务端证书进行检查,如果证书不是可信机构颁布、或者证书中的域名与实际域名不一致、或者证书已经过期,向访问者显示一个警告;若证书没有问题,客户端会从服务端证书中取出公钥,并向服务端发送以下信息:
(a)随机数,该随机数需用服务端公钥加密;
(b)编码改变通知,表示随后的信息都将用双方协定的加密方式和密钥发送;
(c)客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的哈希值,用来供服务器校验。
如果服务端要求对客户端进行验证,在客户端收到服务端请求消息之后优先需要向服务端发送客户端的证书,让服务端来验证客户端的合法性。
上述步骤中的随机数为第三个随机数,该随机数是客户端使用SM2产生的48个字节的密钥,被称为预主密钥,使用SM2时通过接口函数和消息结构调用存储于硬件的SM2,预主密钥是双方协商的密钥素材,用于生成主密钥。
1.4服务端回应
服务端在收到客户端传来的预主密钥之后使用私钥对该加密数据进行解密,并对数据进行验证,和客户端以同样的方式生成工作密钥,工作密钥包括数据加密密钥和校验密钥。其中数据加密密钥用于数据的加解密,校验密钥用于数据的完整性计算和校验。工作密钥由主密钥、客户端随机数、服务端随机数、常数字符串,经SM3计算生成,通过接口函数和消息结构调用存储于硬件的SM3。一切准备好之后,会给客户端发送编码改变通知,告诉客户端已经切换到协商过的加密套件状态,准备使用加密套件和工作密钥加密数据。之后,服务端会用工作密钥加密结束消息发送给客户端,以验证通过握手协议建立的加密通道是否成功。
根据上述通信信息,如果客户端和服务端都能对结束信息进行正常加解密且消息正确验收,则说明通信通道已经成功建立,接下来可以通过工作密钥对传输数据进行加解密传输了。
还可以将本发明的基于硬件的国密算法的SSL通信方法做出算法模块存储于装置中,具体包括以下模块:
一客户端请求发送模块,用于客户端向服务端发送请求,发送客户端支持的通信协议版本列表及客户端支持的加密算法列表,客户端生成一第一随机数,并将该第一随机数发送给服务端;
一服务端响应模块,用于服务端收到客户端请求后,发送服务端响应给客户端,发送服务端证书,所述服务端证书存储于加密芯片中,确认使用的通信协议版本,确认加密方式,服务端生成一第二随机数并发送给客户端;所述第一随机数与第二随机数用于生成主密钥;
一客户端回应模块,客户端对服务端证书进行检查,若证书存在问题,向访问者显示一个警告;若证书没有问题,客户端从服务端证书中取出公钥,并向服务端发送一第三随机数,该第三随机数用服务端公钥加密,发送编码改变通知和客户端握手结束通知,所述客户端握手结束通知为前面发送的所有内容的哈希值,用于供服务器校验;
一服务端回应模块,服务端收到客户端发送的加密数据后使用私钥对该加密数据进行解密,并对数据进行验证,生成工作密钥,给客户端发送编码改变通知。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (10)
1.一种基于硬件的国密算法的SSL通信方法,其特征在于,所述基于硬件的国密算法采用专用集成电路或具有专用安全硬件的处理器,所述国密算法嵌入到硬件加密芯片中结合使用,在硬件层面进行加解密和身份认证,密钥和终端应用的关键参数被保护在加密硬件的电气边界内,具体通信包括以下步骤:
S01:客户端向服务端发送请求,发送客户端支持的通信协议版本列表及客户端支持的加密算法列表,客户端生成一第一随机数,并将该第一随机数发送给服务端;
S02:服务端收到客户端请求后,发送服务端响应给客户端,发送服务端证书,所述服务端证书存储于加密芯片中,确认使用的通信协议版本,确认加密方式,服务端生成一第二随机数并发送给客户端;所述第一随机数与第二随机数用于生成主密钥;
S03:客户端对服务端证书进行检查,若证书存在问题,向访问者显示一个警告;若证书没有问题,客户端从服务端证书中取出公钥,并向服务端发送一第三随机数,该第三随机数用服务端公钥加密,发送编码改变通知和客户端握手结束通知,所述客户端握手结束通知为前面发送的所有内容的哈希值,用于供服务器校验;
S04:服务端收到客户端发送的加密数据后使用私钥对该加密数据进行解密,并对数据进行验证,生成工作密钥,给客户端发送编码改变通知。
2.根据权利要求1所述的基于硬件的国密算法的SSL通信方法,其特征在于,所述步骤S01中加密算法列表为加密算法的组合列表,包括M2、SM1、SM3,其中SM2证书存于硬件中,SM1通过硬件进行加解密,SM3通过硬件实现。
3.根据权利要求1所述的基于硬件的国密算法的SSL通信方法,其特征在于,所述步骤S02中,在服务端向客户端发送的服务端证书中信息量不足时,向客户端发送一个密钥协商请求。
4.根据权利要求1所述的基于硬件的国密算法的SSL通信方法,其特征在于,所述步骤S02中还包括服务端对客户端进行验证,向客户端发出证书请求。
5.根据权利要求1所述的基于硬件的国密算法的SSL通信方法,其特征在于,所述步骤S02中的服务端证书由专门的数字认证机构审核通过颁发的电子证书,颁发证书时产生一对密钥,包括一个公钥和一个私钥,私钥由服务端保存,公钥附带在证书的信息中,证书附带一个电子签名。
6.根据权利要求1所述的基于硬件的国密算法的SSL通信方法,其特征在于,所述步骤S03中客户端对服务端证书进行检查的内容包括证书是否由可信机构颁布、证书中的域名与实际域名是否一致、证书是否过期。
7.根据权利要求4所述的基于硬件的国密算法的SSL通信方法,其特征在于,所述步骤S03中还包括如果服务端对客户端进行验证,在客户端收到服务端请求消息之后优先向服务端发送客户端证书,服务端验证客户端的合法性。
8.根据权利要求1所述的基于硬件的国密算法的SSL通信方法,其特征在于,所述步骤S03中的第三随机数由客户端使用SM2产生的48个字节的密钥,该密钥被作为预主密钥。
9.一种基于硬件的国密算法的SSL通信装置,其特征在于,所述基于硬件的国密算法采用专用集成电路或具有专用安全硬件的处理器,所述国密算法嵌入到硬件加密芯片中结合使用,在硬件层面进行加解密和身份认证,密钥和终端应用的关键参数被保护在加密硬件的电气边界内,包括:
一客户端请求发送模块,用于客户端向服务端发送请求,发送客户端支持的通信协议版本列表及客户端支持的加密算法列表,客户端生成一第一随机数,并将该第一随机数发送给服务端;
一服务端响应模块,用于服务端收到客户端请求后,发送服务端响应给客户端,发送服务端证书,所述服务端证书存储于加密芯片中,确认使用的通信协议版本,确认加密方式,服务端生成一第二随机数并发送给客户端;所述第一随机数与第二随机数用于生成主密钥;
一客户端回应模块,客户端对服务端证书进行检查,若证书存在问题,向访问者显示一个警告;若证书没有问题,客户端从服务端证书中取出公钥,并向服务端发送一第三随机数,该第三随机数用服务端公钥加密,发送编码改变通知和客户端握手结束通知,所述客户端握手结束通知为前面发送的所有内容的哈希值,用于供服务器校验;
一服务端回应模块,服务端收到客户端发送的加密数据后使用私钥对该加密数据进行解密,并对数据进行验证,生成工作密钥,给客户端发送编码改变通知。
10.根据权利要求9所述的基于硬件的国密算法的SSL通信装置,其特征在于,所述服务端响应模块中,在服务端向客户端发送的服务端证书中信息量不足时,向客户端发送一个密钥协商请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010583944.1A CN111740844A (zh) | 2020-06-24 | 2020-06-24 | 基于硬件的国密算法的ssl通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010583944.1A CN111740844A (zh) | 2020-06-24 | 2020-06-24 | 基于硬件的国密算法的ssl通信方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111740844A true CN111740844A (zh) | 2020-10-02 |
Family
ID=72651684
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010583944.1A Pending CN111740844A (zh) | 2020-06-24 | 2020-06-24 | 基于硬件的国密算法的ssl通信方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111740844A (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112422275A (zh) * | 2020-10-26 | 2021-02-26 | 深圳Tcl新技术有限公司 | Uart通信中的秘钥协商方法、***、设备及计算机存储介质 |
| CN112422560A (zh) * | 2020-11-17 | 2021-02-26 | 中国电力科学研究院有限公司 | 基于安全套接层的轻量级变电站安全通信方法及*** |
| CN112468470A (zh) * | 2020-11-16 | 2021-03-09 | 北京字节跳动网络技术有限公司 | 数据传输方法、装置和电子设备 |
| CN112511550A (zh) * | 2020-12-02 | 2021-03-16 | 迈普通信技术股份有限公司 | 通信方法、装置、电子设备及存储介质 |
| CN112543100A (zh) * | 2020-11-27 | 2021-03-23 | ***股份有限公司 | 一种动态密钥生成方法和*** |
| CN112653672A (zh) * | 2020-12-11 | 2021-04-13 | 苏州浪潮智能科技有限公司 | 一种基于国密算法双向认证方法、装置、设备及可读介质 |
| CN112966287A (zh) * | 2021-03-30 | 2021-06-15 | 建信金融科技有限责任公司 | 获取用户数据的方法、***、设备和计算机可读介质 |
| CN113300845A (zh) * | 2021-07-20 | 2021-08-24 | 国能信控互联技术有限公司 | 一种智慧热网数据传输安全防护***和方法 |
| CN113347010A (zh) * | 2021-08-05 | 2021-09-03 | 深圳市财富趋势科技股份有限公司 | 基于ssl-tls协议的双向认证方法、装置 |
| CN113596046A (zh) * | 2021-08-03 | 2021-11-02 | 中电金信软件有限公司 | 一种双向认证方法及装置 |
| CN113779619A (zh) * | 2021-08-11 | 2021-12-10 | 深圳市证通云计算有限公司 | 一种基于国密算法的ceph分布式对象存储***加解密方法 |
| CN113992702A (zh) * | 2021-09-16 | 2022-01-28 | 深圳市证通电子股份有限公司 | 一种ceph分布式文件***存储国密加固方法及*** |
| CN114172679A (zh) * | 2021-06-23 | 2022-03-11 | 上海电力大学 | 一种基于国密算法的电力数据安全加密传输方法 |
| CN114268655A (zh) * | 2021-12-20 | 2022-04-01 | 山东浪潮通软信息科技有限公司 | socket通信方法和*** |
| CN114679299A (zh) * | 2022-02-24 | 2022-06-28 | 广东电网有限责任公司 | 通信协议加密方法、装置、计算机设备和存储介质 |
| CN115208696A (zh) * | 2022-09-14 | 2022-10-18 | 东方电子股份有限公司 | 一种变电站远动装置的远程通信方法及装置 |
| CN115460604A (zh) * | 2022-09-09 | 2022-12-09 | 深圳市建和智能卡技术有限公司 | 一种多应用sim卡生产方法 |
| CN115766017A (zh) * | 2022-09-27 | 2023-03-07 | 国网天津市电力公司 | 一种基于权益证明的电力区块链云端部署方法及装置 |
| CN116865966A (zh) * | 2023-09-04 | 2023-10-10 | 中量科(南京)科技有限公司 | 基于量子密钥生成工作密钥的加密方法、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108377186A (zh) * | 2018-03-19 | 2018-08-07 | 北京工业大学 | 一种基于tcm的ssl协议 |
| CN109726598A (zh) * | 2018-12-10 | 2019-05-07 | 佛山芯珠微电子有限公司 | 基于云服务器的嵌入式安全加密芯片 |
| CN110708304A (zh) * | 2019-09-27 | 2020-01-17 | 苏州浪潮智能科技有限公司 | 信息处理方法和装置 |
-
2020
- 2020-06-24 CN CN202010583944.1A patent/CN111740844A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108377186A (zh) * | 2018-03-19 | 2018-08-07 | 北京工业大学 | 一种基于tcm的ssl协议 |
| CN109726598A (zh) * | 2018-12-10 | 2019-05-07 | 佛山芯珠微电子有限公司 | 基于云服务器的嵌入式安全加密芯片 |
| CN110708304A (zh) * | 2019-09-27 | 2020-01-17 | 苏州浪潮智能科技有限公司 | 信息处理方法和装置 |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112422275A (zh) * | 2020-10-26 | 2021-02-26 | 深圳Tcl新技术有限公司 | Uart通信中的秘钥协商方法、***、设备及计算机存储介质 |
| CN112468470A (zh) * | 2020-11-16 | 2021-03-09 | 北京字节跳动网络技术有限公司 | 数据传输方法、装置和电子设备 |
| CN112468470B (zh) * | 2020-11-16 | 2022-10-11 | 北京字节跳动网络技术有限公司 | 数据传输方法、装置和电子设备 |
| CN112422560A (zh) * | 2020-11-17 | 2021-02-26 | 中国电力科学研究院有限公司 | 基于安全套接层的轻量级变电站安全通信方法及*** |
| CN112543100A (zh) * | 2020-11-27 | 2021-03-23 | ***股份有限公司 | 一种动态密钥生成方法和*** |
| CN112511550B (zh) * | 2020-12-02 | 2022-02-22 | 迈普通信技术股份有限公司 | 通信方法、装置、电子设备及存储介质 |
| CN112511550A (zh) * | 2020-12-02 | 2021-03-16 | 迈普通信技术股份有限公司 | 通信方法、装置、电子设备及存储介质 |
| CN112653672A (zh) * | 2020-12-11 | 2021-04-13 | 苏州浪潮智能科技有限公司 | 一种基于国密算法双向认证方法、装置、设备及可读介质 |
| CN112966287A (zh) * | 2021-03-30 | 2021-06-15 | 建信金融科技有限责任公司 | 获取用户数据的方法、***、设备和计算机可读介质 |
| CN112966287B (zh) * | 2021-03-30 | 2022-12-13 | 中国建设银行股份有限公司 | 获取用户数据的方法、***、设备和计算机可读介质 |
| CN114172679A (zh) * | 2021-06-23 | 2022-03-11 | 上海电力大学 | 一种基于国密算法的电力数据安全加密传输方法 |
| CN114172679B (zh) * | 2021-06-23 | 2023-12-01 | 上海电力大学 | 一种基于国密算法的电力数据安全加密传输方法 |
| CN113300845A (zh) * | 2021-07-20 | 2021-08-24 | 国能信控互联技术有限公司 | 一种智慧热网数据传输安全防护***和方法 |
| CN113596046A (zh) * | 2021-08-03 | 2021-11-02 | 中电金信软件有限公司 | 一种双向认证方法及装置 |
| CN113347010A (zh) * | 2021-08-05 | 2021-09-03 | 深圳市财富趋势科技股份有限公司 | 基于ssl-tls协议的双向认证方法、装置 |
| CN113779619A (zh) * | 2021-08-11 | 2021-12-10 | 深圳市证通云计算有限公司 | 一种基于国密算法的ceph分布式对象存储***加解密方法 |
| CN113992702A (zh) * | 2021-09-16 | 2022-01-28 | 深圳市证通电子股份有限公司 | 一种ceph分布式文件***存储国密加固方法及*** |
| CN113992702B (zh) * | 2021-09-16 | 2023-11-03 | 深圳市证通电子股份有限公司 | 一种ceph分布式文件***存储国密加固方法及*** |
| CN114268655A (zh) * | 2021-12-20 | 2022-04-01 | 山东浪潮通软信息科技有限公司 | socket通信方法和*** |
| CN114679299A (zh) * | 2022-02-24 | 2022-06-28 | 广东电网有限责任公司 | 通信协议加密方法、装置、计算机设备和存储介质 |
| CN114679299B (zh) * | 2022-02-24 | 2024-03-15 | 广东电网有限责任公司 | 通信协议加密方法、装置、计算机设备和存储介质 |
| CN115460604A (zh) * | 2022-09-09 | 2022-12-09 | 深圳市建和智能卡技术有限公司 | 一种多应用sim卡生产方法 |
| CN115208696A (zh) * | 2022-09-14 | 2022-10-18 | 东方电子股份有限公司 | 一种变电站远动装置的远程通信方法及装置 |
| CN115766017A (zh) * | 2022-09-27 | 2023-03-07 | 国网天津市电力公司 | 一种基于权益证明的电力区块链云端部署方法及装置 |
| CN116865966A (zh) * | 2023-09-04 | 2023-10-10 | 中量科(南京)科技有限公司 | 基于量子密钥生成工作密钥的加密方法、装置及存储介质 |
| CN116865966B (zh) * | 2023-09-04 | 2023-12-05 | 中量科(南京)科技有限公司 | 基于量子密钥生成工作密钥的加密方法、装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111740844A (zh) | 基于硬件的国密算法的ssl通信方法及装置 | |
| CN109309565B (zh) | 一种安全认证的方法及装置 | |
| JP4748774B2 (ja) | 暗号化通信方式及びシステム | |
| CN109361668A (zh) | 一种数据可信传输方法 | |
| US20190238334A1 (en) | Communication system, communication client, communication server, communication method, and program | |
| CN113472793B (zh) | 一种基于硬件密码设备的个人数据保护*** | |
| CN108323230B (zh) | 一种传输密钥的方法、接收终端和分发终端 | |
| CN111030814A (zh) | 秘钥协商方法及装置 | |
| CN111654510B (zh) | 一种带有国密加密功能的签批终端及签批数据传输方法 | |
| CN111224784B (zh) | 一种基于硬件可信根的角色分离的分布式认证授权方法 | |
| CN113204760B (zh) | 用于软件密码模块的安全通道建立方法及*** | |
| CN111540093A (zh) | 一种门禁控制***及其控制方法 | |
| CN114650173A (zh) | 一种加密通讯方法及*** | |
| CN116743470A (zh) | 业务数据加密处理方法及装置 | |
| US20060053288A1 (en) | Interface method and device for the on-line exchange of content data in a secure manner | |
| WO2015109958A1 (zh) | 一种基于协商密钥的数据处理方法和手机 | |
| CN110611679A (zh) | 一种数据传输方法、装置、设备及*** | |
| CN113904767A (zh) | 一种基于ssl建立通信的*** | |
| CN109412799B (zh) | 一种生成本地密钥的***及其方法 | |
| JP2008234143A (ja) | バイオメトリクスを使用した本人限定メール開封システムおよびその方法ならびにそのためのプログラム | |
| CN113438074B (zh) | 基于量子安全密钥的接收邮件的解密方法 | |
| CN115333779A (zh) | 一种验证数据的方法、装置及电子设备 | |
| CN109902515B (zh) | 一种真实数据验证方法及*** | |
| CN108323231B (zh) | 一种传输密钥的方法、接收终端和分发终端 | |
| KR101210411B1 (ko) | 공인인증서와 키수열발생기로 생성되는 otp를 이용한 트렌젝션보호 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201002 |