一种基于国密算法的数据安全传输系统及方法与流程

1.本发明涉及数据加密技术领域，具体涉及一种基于国密算法的数据安全传输系统及方法。


背景技术：

2.量子密钥分发(quantum key distribution，qkd)，是利用量子力学特性来保证通信安全性。通过量子叠加态或量子纠缠态来传输信息，通信系统便可以检测是否存在窃听。
3.目前，各种量子密钥分发都是基于量子力学测量原理，利用光子的偏振态作为信息载体传递密钥，可以保证数据传输时的安全性。但是量子密钥分发技术无法对网络中通信各方进行身份认证，导致数据传输存在安全缺陷。


技术实现要素：

4.本发明的目的就在于解决上述背景技术的问题，而提出一种基于国密算法的数据安全传输系统及方法。
5.本发明的目的可以通过以下技术方案实现：
6.本发明实施例第一方面，首先提供了一种基于国密算法的数据安全传输系统，包括第一量子安全网关、第二量子安全网关和数字证书认证机构ca；所述第一量子安全网关与发送者alice连接，所述第二量子安全网关与接收者bob连接；所述第一量子安全网关包括第一身份认证模块和第一量子加密模块；所述第二量子安全网关包括第二身份认证模块和第二量子加密模块；
7.所述ca，用于接收所述发送者alice和所述接收者bob的数字证书申请，使用国密算法生成所述发送者alice的第一数字证书和所述接收者bob的第二数字证书；
8.所述第一身份认证模块和所述第二身份认证模块，分别用于验证所述第二数字证书和所述第一数字证书，以分别对所述接收者bob和所述发送者alice进行认证；
9.所述第一量子加密模块和所述第二量子加密模块，用于当所述发送者alice和所述接收者bob双向认证通过之后，进行量子密钥分发确定所述发送者alice与所述接收者bob之间进行数据通信的量子密钥；
10.所述第一量子安全网关和所述第二量子安全网关，用于使用所述量子密钥进行数据加密通信。
11.可选地，所述ca包括国密算法模块、签证模块、审核模块；数字证书申请包括目标客户端的身份信息；所述目标客户端为所述发送者alice和所述接收者bob中的任意一个；
12.所述国密算法模块，用于使用sm2国密算法生成sm2公私钥对；
13.所述审核模块，用于根据所述身份信息对所述目标客户端进行审核；
14.所述签证模块，用于若审核通过，使用所述sm2公私钥对根据所述身份信息与所述ca的签发信息生成目标数字证书；所述签发信息包括签发机构ca的信息、有效时间和证书序列号。
15.可选地，所述签证模块包括明文生成子模块、第一摘要生成子模块、签名生成子模块和证书生成子模块：
16.所述明文生成子模块，用于若所述目标客户端审核通过，根据所述身份信息与所述ca的签发信息生成目标证书明文；
17.所述第一摘要生成子模块，用于使用sm3国密算法生成所述目标证书明文的目标证书摘要；
18.所述签名生成子模块，用于使用所述sm2公私钥的私钥加密所述目标证书摘要得到目标证书签名；
19.所述证书生成子模块，用于将所述目标证书明文和所述目标证书签名组合成为所述目标数字证书。
20.可选地，目标身份认证模块包括解密模块、第二摘要生成子模块和验证模块；当所述目标客户端为所述发送者alice，则所述目标身份认证模块为所述第二身份认证模块，或者当所述目标客户端为所述接收者bob，则所述目标身份认证模块为所述第一身份认证模块；
21.所述验证模块，用于当接收到所述目标数字证书，根据所述目标证书明文验证所述目标数字证书的合法性；
22.所述解密模块，用于若所述目标数字证书合法，则使用所述sm2公私钥的公钥解密所述目标证书签名得到所述目标证书摘要；
23.所述第二摘要生成子模块，用于使用sm3国密算法生成当前目标证书明文的对比证书摘要；
24.所述验证模块，还用于对比所述目标证书摘要和所述对比证书摘要对所述目标客户端进行认证。
25.本发明实施例第二方面，还提供了一种基于国密算法的数据安全传输方法，应用于第一量子安全网关；所述第一量子安全网关连接的第一目标终端为发送者alice或接收者bob；所述第一量子安全网关包括第一身份认证模块和第一量子加密模块；所述方法包括：
26.向第二量子安全网关发送第一数字证书；以使所述第二量子安全网关的第二身份认证模块验证所述第一数字证书；所述第一数字证书为ca使用国密算法生成的所述第一目标终端的数字证书；若所述第一目标终端为发送者alice，则所述第二量子安全网关连接的第二目标终端为接收者bob，若所述第一目标终端为接收者bob，则所述第二目标终端为发送者alice；
27.接收所述第二量子安全网关发送的第二数字证书，使用所述第一身份认证模块验证所述第二数字证书；所述第二数字证书为所述ca使用国密算法生成的所述第二目标终端的数字证书；
28.当所述第一目标终端和所述第二目标终端双向认证通过之后，使用所述第一量子加密模块与所述第二量子安全网关的第二量子加密模块进行量子密钥分发，确定所述第一目标终端和所述第二目标终端之间进行数据通信的量子密钥；
29.使用所述量子密钥与所述第二量子安全网关进行数据加密通信。
30.可选地，在向第二量子安全网关发送第一数字证书之前，所述方法还包括：
31.向所述ca发送包括所述第一目标客户端的身份信息的数字证书申请；以使所述ca根据所述身份信息对所述目标客户端进行审核，若审核通过，使用sm2公私钥对根据所述身份信息与所述ca的签发信息生成所述第一数字证书；所述签发信息包括签发机构ca的信息、有效时间和证书序列号；
32.接收所述ca下发的所述第一数字证书。
33.可选地，所述第一数字证书包括目标证书明文和目标证书签名；所述目标证书明文为所述ca根据所述身份信息与所述ca的签发信息生成的明文数据；所述目标证书签名为所述ca使用所述sm2公私钥的私钥加密目标证书摘要得到签名数据；所述目标证书摘要为所述ca使用sm3国密算法计算所述目标证书明文生成的摘要数据。
34.可选地，对所述第二目标终端进行认证的过程为：
35.根据所述第二数字证书的明文验证所述第二数字证书的合法性；
36.若所述第二数字证书合法，则使用所述sm2公私钥的公钥解密所述第二数字证书的证书签名得到所述第二数字证书的证书摘要；
37.使用sm3国密算法生成所述第二数字证书的明文的对比证书摘要；
38.对比所述证书摘要和所述对比证书摘要对所述第二目标终端进行认证。
39.本发明实施例提供了一种基于国密算法的数据安全传输系统，包括第一量子安全网关、第二量子安全网关和数字证书认证机构ca；第一量子安全网关与发送者alice连接，第二量子安全网关与接收者bob连接；第一量子安全网关包括第一身份认证模块和第一量子加密模块；第二量子安全网关包括第二身份认证模块和第二量子加密模块；ca，用于接收发送者alice和接收者bob的数字证书申请，使用国密算法生成发送者alice的第一数字证书和接收者bob的第二数字证书；第一身份认证模块和第二身份认证模块，分别用于验证第二数字证书和第一数字证书，以分别对接收者bob和发送者alice进行认证；第一量子加密模块和第二量子加密模块，用于当发送者alice和接收者bob双向认证通过之后，进行量子密钥分发确定发送者alice与接收者bob之间进行数据通信的量子密钥；第一量子安全网关和第二量子安全网关，用于使用量子密钥进行数据加密通信。
40.通过可信任的第三方ca使用国密算法先对接收者bob和发送者alice进行身份认证，双向认证通过之后通过量子密钥分发技术确定量子密钥，保证了数据传输的安全。
附图说明
41.下面结合附图对本发明作进一步的说明。
42.图1为本发明实施例提供的一种基于国密算法的数据安全传输系统的系统框图。
具体实施方式
43.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
44.本发明实施例提供了一种基于国密算法的数据安全传输系统。参见图1，图1为本发明实施例提供的一种基于国密算法的数据安全传输系统的系统框图。包括第一量子安全
网关、第二量子安全网关和ca(certificate authority，数字证书认证机构)；第一量子安全网关与发送者alice连接，第二量子安全网关与接收者bob连接；第一量子安全网关包括第一身份认证模块和第一量子加密模块；第二量子安全网关包括第二身份认证模块和第二量子加密模块；
45.ca，用于接收发送者alice和接收者bob的数字证书申请，使用国密算法生成发送者alice的第一数字证书和接收者bob的第二数字证书；
46.第一身份认证模块和第二身份认证模块，分别用于验证第二数字证书和第一数字证书，以分别对接收者bob和发送者alice进行认证；
47.第一量子加密模块和第二量子加密模块，用于当发送者alice和接收者bob双向认证通过之后，进行量子密钥分发确定发送者alice与接收者bob之间进行数据通信的量子密钥；
48.第一量子安全网关和第二量子安全网关，用于使用量子密钥进行数据加密通信。
49.基于本发明实施例提供的一种基于国密算法的数据安全传输系统，通过可信任的第三方ca使用国密算法先对接收者bob和发送者alice进行身份认证，双向认证通过之后通过量子密钥分发技术确定量子密钥，保证了数据传输的安全。
50.一种实现方式中，发送者alice与接收者bob之间进行量子密钥分发可以采用bb84协议、b92协议和e91协议中的任意一种。
51.在一个实施例中，ca包括国密算法模块、签证模块、审核模块；数字证书申请包括目标客户端的身份信息；目标客户端为发送者alice和接收者bob中的任意一个；
52.国密算法模块，用于使用sm2国密算法生成sm2公私钥对；
53.审核模块，用于根据身份信息对所述目标客户端进行审核；
54.签证模块，用于若审核通过，使用sm2公私钥对根据身份信息与ca的签发信息生成目标数字证书；签发信息包括签发机构ca的信息、有效时间和证书序列号。
55.一种实现方式中，在国密算法模块生成sm2公私钥对(sm2私钥和sm2公钥)之后，ca保存sm2私钥，并当目标客户端在ca完成注册时将sm2公钥发送给目标客户端保存。
56.在一个实施例中，签证模块包括明文生成子模块、第一摘要生成子模块、签名生成子模块和证书生成子模块：
57.明文生成子模块，用于若目标客户端审核通过，根据身份信息与ca的签发信息生成目标证书明文；
58.第一摘要生成子模块，用于使用sm3国密算法生成目标证书明文的目标证书摘要；
59.签名生成子模块，用于使用sm2公私钥的私钥加密目标证书摘要得到目标证书签名；
60.证书生成子模块，用于将目标证书明文和目标证书签名组合成为目标数字证书。
61.在一个实施例中，目标身份认证模块包括解密模块、第二摘要生成子模块和验证模块；当目标客户端为发送者alice，则目标身份认证模块为第二身份认证模块，或者当目标客户端为接收者bob，则目标身份认证模块为第一身份认证模块；
62.验证模块，用于当接收到目标数字证书，根据目标证书明文验证目标数字证书的合法性；
63.解密模块，用于若目标数字证书合法，则使用sm2公私钥的公钥解密目标证书签名
得到目标证书摘要；
64.第二摘要生成子模块，用于使用sm3国密算法生成当前目标证书明文的对比证书摘要；
65.验证模块，还用于对比目标证书摘要和对比证书摘要对目标客户端进行认证。
66.一种实现方式中，通过目标证书明文记载的签发机构ca的信息、有效时间和证书序列号，验证目标数字证书的合法性。
67.一种实现方式中，若目标证书摘要和对比证书摘要相同，则目标客户端进行认证成功，否则认证失败。
68.基于相同的发明构思本发明实施例还提供了一种基于国密算法的数据安全传输方法，应用于第一量子安全网关。第一量子安全网关连接的第一目标终端为发送者alice或接收者bob；第一量子安全网关包括第一身份认证模块和第一量子加密模块；方法包括：
69.步骤一，向第二量子安全网关发送第一数字证书；以使第二量子安全网关的第二身份认证模块验证第一数字证书；第一数字证书为ca使用国密算法生成的第一目标终端的数字证书；若第一目标终端为发送者alice，则第二量子安全网关连接的第二目标终端为接收者bob，若第一目标终端为接收者bob，则第二目标终端为发送者alice；
70.步骤二，接收第二量子安全网关发送的第二数字证书，使用第一身份认证模块验证第二数字证书；第二数字证书为ca使用国密算法生成的第二目标终端的数字证书；
71.步骤三，当第一目标终端和第二目标终端双向认证通过之后，使用第一量子加密模块与第二量子安全网关的第二量子加密模块进行量子密钥分发，确定第一目标终端和第二目标终端之间进行数据通信的量子密钥；
72.步骤四，使用量子密钥与第二量子安全网关进行数据加密通信。
73.基于本发明实施例提供的一种基于国密算法的数据安全传输方法，通过可信任的第三方ca使用国密算法先对接收者bob和发送者alice进行身份认证，双向认证通过之后通过量子密钥分发技术确定量子密钥，保证了数据传输的安全。
74.在一个实施例中，在向第二量子安全网关发送第一数字证书之前，方法还包括：
75.步骤一，向ca发送包括第一目标客户端的身份信息的数字证书申请；以使ca根据身份信息对目标客户端进行审核，若审核通过，使用sm2公私钥对根据身份信息与ca的签发信息生成第一数字证书；签发信息包括签发机构ca的信息、有效时间和证书序列号；
76.步骤二，接收ca下发的所述第一数字证书。
77.在一个实施例中，第一数字证书包括目标证书明文和目标证书签名；目标证书明文为ca根据身份信息与ca的签发信息生成的明文数据；目标证书签名为ca使用sm2公私钥的私钥加密目标证书摘要得到签名数据；目标证书摘要为ca使用sm3国密算法计算目标证书明文生成的摘要数据。
78.在一个实施例中，对第二目标终端进行认证的过程为：
79.步骤一，根据第二数字证书的明文验证第二数字证书的合法性；
80.步骤二，若第二数字证书合法，则使用sm2公私钥的公钥解密第二数字证书的证书签名得到第二数字证书的证书摘要；
81.步骤三，使用sm3国密算法生成第二数字证书的明文的对比证书摘要；
82.步骤四，对比证书摘要和对比证书摘要对第二目标终端进行认证。
83.以上对本发明的一个实施例进行了详细说明，但所述内容仅为本发明的较佳实施例，不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等，均应仍归属于本发明的专利涵盖范围之内。