基于国密算法在互联网系统中安全应用方法

技术领域

本发明涉及互联网技术领域，更具体涉及一种基于国密算法在互联网系统中安全应用方法。

背景技术

在当前互联网系统安全形式严峻的情况下，各互联网系统在安全方面所应用的加密技术普遍存在的以下几个问题：

1)在互联网系统中，对称加密算法被广泛应用于数据保护，传统的对称加密算法(如AES、DES等)具有高效的加密和解密速度，但在密钥管理和安全性方面存在一些挑战；2)非对称加密算法(如RSA、DSA等)提供了一种更安全的加密方式，其中公钥用于加密，私钥用于解密，然而，传统的非对称加密算法在密钥长度和性能方面存在一些限制，不适合处理大量数据的加密需求；3)哈希算法(如MD5、SHA-1等)用于生成数据的摘要，验证数据的完整性和防止篡改，然而，早期的哈希算法存在碰撞和弱抗性等问题，对于安全性要求较高的互联网系统不再足够；4)数字签名用于验证数据的来源和完整性，并防止数据被篡改，传统的数字签名算法(如RSA、DSA等)具有一定的安全性，但密钥管理和性能方面存在一些问题。

发明内容

本发明需要解决的技术问题是提供一种基于国密算法在互联网系统中安全应用方法，解决传统加密算法在性能和安全性方面的限制，具备更高的安全性和抗攻击能力。

为解决上述技术问题，发明所采取的技术方案如下。

基于国密算法在互联网系统中安全应用方法，包括以下步骤：

用户登录时，利用非对称加密算法(SM2)生成公私钥对来进行身份验证；

在数据传输和存储过程中，使用对称加密算法(SM4)对用户数据进行加密；

使用非对称加密算法(SM2)生成数字证书，并进行证书验证；

通过非对称加密算法(SM2)对上述验证的证书进行数字签名；

最后使用安全哈希算法(SM3)对数据进行哈希运算，生成数据摘要，进行数据完整性校验。

进一步优化技术方案，使用非对称加密算法进行身份验证时，先使用非对称加密算法生成公私钥对，将公钥作为粤居码用户的身份标识，私钥对用户提供的身份信息进行签名，在粤居码用户注册或登录时，服务器端通过验证签名和公钥的一致性来验证用户的身份真实性。

进一步优化技术方案，所述使用对称加密算法对用户数据进行加密方法是根据适用场景的不同选择适合互联网需求的加密模式，使用随机数生成器生成秘钥，当用户数据长度不是SM4算法的分组长度，则进行数据填充，使用SM4算法和生成的密钥对填充后的用户数据进行加密，形成密文；将得到的密文和生成的密钥保存起来。

进一步优化技术方案，所述加密模式包括ECB(电子密码本模式)、CBC(密码分组链接模式)、CTR(计数器模式)。

进一步优化技术方案，所述数据填充的方式包括PKCS#5/PKCS#7填充和ZeroPadding填充。

进一步优化技术方案，所述使用非对称加密算法生成数字证书时，先生成一对SM2密钥，使用生成的密钥对创建证书请求；将证书请求提交给证书颁发机构(CA)进行认证和签名，CA完成验证和签名后，会将生成的数字证书返回给请求者。

进一步优化技术方案，所述证书验证的方法包括以下步骤：

a.获取证书：首先，从信任的来源获取证书；

b.提取公钥：从证书中提取公钥，确保公钥的完整性和真实性；

c.验证签名：使用CA的公钥对证书的签名进行验证，确保证书没有被篡改，并且是由CA签发的；

d.验证有效期：检查证书的有效期，确保证书在当前时间内是有效的；

e.验证主体信息：验证证书中的主体信息，确保证书是属于预期的实体。

进一步优化技术方案，所述使用非对称加密算法对证书进行数字签名时，先生成一对SM2密钥，通过SM3算法计算数据的哈希值，使用私钥对要签名的数据进行签名；使用SM3算法计算接收到的数据的哈希值，使用公钥对接收到的签名值进行解密，得到原始的哈希值，将计算得到的哈希值与解密得到的哈希值进行对比，如果一致，则表示数字签名是有效的，否则表示签名无效。

进一步优化技术方案，使用哈希算法进行数据完整性校验的方法是使用哈希算法进行哈希计算，生成固定长度的哈希值，通过比对发送和接收数据的哈希值，验证数据在传输过程中是否被篡改。

由于采用了以上技术方案，发明所取得技术进步如下。

本发明提供的基于国密算法在互联网系统中安全应用方法，通过采用SM4对称加密算法、SM2非对称加密算法和SM3安全哈希算法，国密算法提供了更高的安全性、更快的加密速度和更长的密钥长度，为粤居码互联网系统的数据保护和身份认证提供了可靠的解决方案。

附图说明

图1为本发明的结构框图；

图2为本发明中使用对称加密算法对用户数据进行加密的流程图；

图3为本发明中使用非对称加密算法对证书进行数字签名的流程图。

具体实施方式

下面将结合附图和具体实施例对发明进行进一步详细说明。

基于国密算法在互联网系统中安全应用方法，随着科技进步，移动互联网的普及，人们的生活进入码的应用时代，二维码成为政府管理与服务的重要载体。开拓创新设计粤居码，粤居码作为实有人口身份信息和居住信息的应用载体，按照粤居码应用规则自动产生码的初始信息，在亮码服务应用过程中实现码的使用和更新，以公民身份号码和标准地址编码为组合信任根，连结公安机关实有人口、实有房屋治安管理以及社会服务管理。

粤居码作为政务民生互联网系统项目，粤居码既需要安全、可信、合规的纵深防御体系为前提的安全保障，也需要高效、稳定、可靠的系统运行的基础保障。

基于国密算法在互联网系统中安全应用方法，结合图1，包括以下步骤：

用户登录时，利用非对称加密算法(SM2)生成公私钥对进行身份验证。

先使用SM2生成公私钥对，将公钥作为粤居码用户的身份标识，用于身份认证和数据加密，私钥对用户提供的身份信息进行签名，在粤居码用户注册或登录时，服务器端通过验证签名和公钥的一致性来验证用户的身份真实性。

用户在系统中进行身份认证时，使用私钥对数据进行签名，以保证身份的真实性和数据的完整性。

在数据传输和存储过程中，使用对称加密算法(SM4)对用户数据进行加密。

使用SM4对用户数据进行加密的流程图如图2所示，步骤如下：

选择加密模式：首先，确定使用的SM4加密模式，常见的加密模式包括ECB(电子密码本模式)、CBC(密码分组链接模式)、CTR(计数器模式)等。每种模式有不同的特点和适用场景，选择适合互联网需求的加密模式。

生成密钥：为了使用SM4进行加密和解密，首先需要生成一个安全的密钥，使用随机数生成器随机生成一个安全的SM4密钥，密钥长度为128位(16字节)。

数据填充：如果用户数据长度不是SM4算法的分组长度(128位)，则需要进行数据填充。常见的填充方式有PKCS#5/PKCS#7填充和Zero Padding填充，这些填充方式能够确保数据长度为SM4算法的倍数。其中用户数据包括姓名、证件号码、手机号码等。

加密：使用SM4算法和生成的密钥对填充后的用户数据进行加密。根据选择的加密模式，将数据分成块，然后逐个块进行加密，得到加密后的密文。

存储密文和密钥：将得到的密文和生成的密钥分别保存在数据库或其他存储设施中。密文是加密后的用户数据，密钥用于后续的解密操作。

解密：当需要获取用户原始数据时，使用相同的密钥对密文进行解密，得到的解密结果即为用户原始数据。

密钥管理：严格保护密钥的安全性，确保密钥仅限于授权的使用者访问，防止密钥泄露和不当使用。

数据传输和存储：在数据传输和存储过程中，采用安全的传输协议(如HTTPS)来保护密文的传输安全。同时，妥善保管密钥，避免密钥泄露导致数据不安全。

粤居码使用SM3非对称加密算法主要应用在第一数据对称加密和解密，粤居码系统使用SM4算法对敏感并且加解密效率要求高的数据进行加密，保护数据在传输和存储过程中的安全性。发送方使用密钥对数据进行加密，接收方使用相同的密钥进行解密，确保只有授权的人员能够访问和解密数据。

使用非对称加密算法(SM2)生成数字证书，并进行证书验证。

使用非对称加密算法生成数字证书的步骤如下：

生成秘钥对：粤居码国密算法服务生成SM2非对称加密算法所需的密钥对，包括公钥和私钥。公钥用于数字证书中的公钥部分，私钥用于后续签名和证书验证。

创建证书请求：使用生成的密钥对，生成证书请求，其中包含需要包含在数字证书中的信息，例如主体名称、公钥等。证书请求一般是一个包含公钥和相关信息的文件。

证书颁发：将证书请求提交给证书颁发机构(CA)进行认证和签名。CA会验证请求中的信息，并根据验证结果为请求者签发数字证书。

获取数字证书：一旦CA完成验证和签名，会将生成的数字证书返回给请求者。数字证书包含了公钥、主体信息、有效期等，并由CA的数字签名进行保护，用于证明证书的真实性。

在使用数字证书时，可以通过以下步骤验证证书的有效性：

a.获取证书：首先，从信任的来源获取证书。

b.提取公钥：从证书中提取公钥，确保公钥的完整性和真实性。

c.验证签名：使用CA的公钥对证书的签名进行验证，确保证书没有被篡改，并且是由CA签发的。

d.验证有效期：检查证书的有效期，确保证书在当前时间内是有效的。

e.验证主体信息：验证证书中的主体信息，确保证书是属于预期的实体。通过非对称加密算法(SM2)对上述验证的证书进行数字签名。

使用非对称加密算法对证书进行数字签名的的流程图如图3所示，步骤如下：

生成秘钥对：生成一对SM2密钥，包括公钥和私钥。公钥用于验证数字签名，私钥用于生成数字签名。

创建数字签名：使用私钥对要签名的数据进行签名，通常是先使用SM3算法计算数据的哈希值，然后使用私钥对哈希值进行加密生成签名值。

验证数字签名：使用公钥对收到的数据和签名进行验证。首先，使用SM3算法计算接收到的数据的哈希值。然后，使用公钥对接收到的签名值进行解密，得到原始的哈希值。最后，将计算得到的哈希值与解密得到的哈希值进行对比，如果一致，则表示数字签名是有效的，否则表示签名无效。

最后使用安全哈希算法(SM3)对数据进行哈希运算，生成数据摘要，进行数据完整性校验。

粤居码使用SM3非对称加密算法主要应用在第一数据完整性校验，在粤居码系统中，使用SM3算法对数据进行哈希计算，生成固定长度的哈希值，通过比对发送和接收数据的哈希值，验证数据在传输过程中是否被篡改，从而确保数据的完整性。