CN116743505B - 一种基于国密的安全传输加密方法 - Google Patents

一种基于国密的安全传输加密方法 Download PDF

Info

Publication number
CN116743505B
CN116743505B CN202311014549.1A CN202311014549A CN116743505B CN 116743505 B CN116743505 B CN 116743505B CN 202311014549 A CN202311014549 A CN 202311014549A CN 116743505 B CN116743505 B CN 116743505B
Authority
CN
China
Prior art keywords
internet
things
cloud
terminal equipment
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311014549.1A
Other languages
English (en)
Other versions
CN116743505A (zh
Inventor
崔建军
许文波
朱清文
吴钊
高伟峻
李建红
蔡哲飚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Tegao Information Technology Co ltd
Original Assignee
Shanghai Tegao Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Tegao Information Technology Co ltd filed Critical Shanghai Tegao Information Technology Co ltd
Priority to CN202311014549.1A priority Critical patent/CN116743505B/zh
Publication of CN116743505A publication Critical patent/CN116743505A/zh
Application granted granted Critical
Publication of CN116743505B publication Critical patent/CN116743505B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise

Abstract

本发明提供一种基于国密的安全传输加密方法,基于国密SM2的基础上,舍弃国密SM2加密中的C1和C3,保留加密数据C2和消息编号,实现物联网终端设备上的国密SM2的非对称加解密。本发明在传输数据的过程中采用了国密SM2的非对称加解密,通过物联网终端设备和接收端自行计算国密SM2的随机种子,在传输中省略了传统国密SM2中必须传输的C1和C3,只保留C2有效数据,使物联网终端等带宽有限的设备上加入国密SM2的非对称加解密成为可能,使得密文占用带宽减少。

Description

一种基于国密的安全传输加密方法
技术领域
本发明属于信息技术领域,具体涉及一种基于国密的安全传输加密方法。
背景技术
进入二十一世纪以来,物联网技术高速发展,物联网设备之间的通讯面临安全考验,为了建立自主可控的安全传输,我们一般可以对传输的内容采用国密算法进行加密传输。已有的国密SM2解决了物联网设备移植国密算法的适配性等问题,但是,由于国密对加密内容算法的设计存在对原文长度较小情况下加密后密文较大的问题。在大多场景下,物联网设备,如传感器和上位机之间的每次通讯都是非常少内容,少致几个字节,这种情况下势必增加传输的时间和带宽。
发明内容
本发明要解决的技术问题是提供一种基于国密的安全传输加密方法,基于国密SM2实现基于国密SM2的非对称加解密的基础上,舍弃国密SM2中的C1和C3,只保留C2有效数据,使物联网终端等带宽有限的设备上加入国密SM2的非对称加解密成为可能。
为解决上述技术问题,本发明的实施例提供一种基于国密的安全传输加密方法,基于国密SM2的基础上,舍弃国密SM2加密中的C1和C3,保留加密数据C2和消息编号,实现物联网终端设备上的国密SM2的非对称加解密。
其中,基于国密的安全传输加密方法包括如下步骤:
S1、物联网终端设备生成公私钥对P1、K1,云端生成公私钥对P2、K2,物联网终端设备将公钥P1发送给云端,云端将公钥P2发送给物联网终端设备;
S2、物联网终端设备用公钥P2对设备ID做国密SM2的加密后,发送给云端,云端用私钥K2解密获得设备ID;
S3、物联网终端设备将设备ID通过SHA256计算取前16个字节作为种子seed;
S4、物联网终端设备将种子seed和4字节的消息编号通过SHA512计算取前32个字节作为临时私钥K3,通过国密SM2的公钥派生算法计算出临时公钥P3;
S5、物联网终端设备将临时私钥K3、临时公钥P3代入到国密SM2中,替换随机种子;
S6、物联网终端设备将加密生成的加密数据C2和每次递增的消息编号发送给云端;
S7、云端接收到加密数据C2和消息编号后,先通过设备ID和消息编号计算出临时公私钥P3′、K3′,然后将临时公私钥P3′、K3′,加密数据C2和用于解密的云端的私钥K2代入到国密SM2中,临时公私钥P3′、K3′替换国密SM2的随机种子,得到解密后的数据。
其中,物联网终端设备和云端之间采用wifi、lora或ble传输。
本发明的上述技术方案的有益效果如下:
1、传统的物联网设备的加解密一般都是利用对称加解密,非对称加解密一般是在传输密钥的时候使用,传输数据也都是使用对称加解密,本发明在传输数据的过程中采用了国密SM2的非对称加解密,通过物联网终端设备和云端自行计算国密SM2的随机种子,在传输中省略了传统国密SM2中必须传输的C1和C3,只保留C2有效数据,使物联网终端等带宽有限的设备上加入国密SM2的非对称加解密成为可能,使得密文占用带宽减少。
2、本发明在传输过程中,未传输C1,使得破译密文得难度更大。
3、本发明创新性地预定义了物联网终端设备和云端的随机种子的生成算法,使两端的通信更加的安全。
附图说明
图1为本发明的流程图。
图2为本发明对比国密SM2在通信传输中的性能对比图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明提供一种基于国密的安全传输加密方法,基于国密SM2的基础上,舍弃国密SM2中的C1和C3,保留加密数据C2和消息编号,实现物联网终端设备上的国密SM2的非对称加解密。
如图1所示,所述的基于国密的安全传输加密方法包括如下步骤:
S1、物联网终端设备生成公私钥对P1、K1,云端生成公私钥对P2、K2,物联网终端设备将公钥P1发送给云端,云端将公钥P2发送给物联网终端设备;
S2、物联网终端设备用公钥P2对设备ID做国密SM2的加密后,发送给云端,云端用私钥K2解密获得设备ID;
S3、物联网终端设备将设备ID通过SHA256计算取前16个字节作为种子seed;具体为:对设备ID进行SHA256,得到32个字节的HASH,取前16个字节。
S4、物联网终端设备将种子seed和4字节的消息编号通过SHA512计算取前32个字节作为临时私钥K3,通过国密SM2的公钥派生算法计算出临时公钥P3;具体为:Seed(16个字节)+消息编号(4个字节)进行SHA512,得到64个字节的HASH,取前32个字节作为私钥K3,然后通过国密SM2的公钥派生算法计算出公钥P3,对应国密3的api是sm2_jacobian_point_mul_generator,sm2_point_to_compressed_octets。
S5、物联网终端设备将临时私钥K3、临时公钥P3代入到国密SM2中,替换随机种子。本步骤中的随机种子是国密SM2的一个特性,加密的时候会临时随机一个种子,派生出公私钥,然后将加密数据C2和随机种子对应的公钥C1还有SM2的hash C3发送给云端(本发明中所谓云端指物联网终端设备的对端,可以为上位机,可以为云端,也可以为其他设备)。本发明的目的是双方约定随机种子,这样就不需要传递C1了。本步骤中,国密SM2原生的代码是随机生成种子K,我们是通过对国密SM2的API进行改写,将K3、P3传入加解密算法,代替原来随机生成的种子K。
本发明中所述C1、C2、C3是指国密SM2加密后得到的数据,C1为随机种子计算出的公钥,C2是密文数据,C3是SM2的hash。
S6、物联网终端设备将加密生成的加密数据C2和每次递增的消息编号发送给云端;
S7、云端接收到加密数据C2和消息编号后,先通过设备ID和消息编号计算出临时公私钥P3′、K3′,然后将临时公私钥P3′、K3′,加密数据C2和用于解密的云端的私钥K2代入到国密SM2中,临时公私钥P3′、K3′替换国密SM2的随机种子,得到解密后的数据。步骤S4是在设备端进行,S7是在云端进行,只有两端计算出的K3、P3和K3′、P3′一致,才能实现加解密。
所述的物联网终端设备和云端之间采用wifi、lora、ble传输,等传输,但不局限于这些。
本发明对国密SM2进行改造,添加随机种子参数,将在函数内部随机生成的种子替换成外部传递的种子。本发明创新性地预定义了物联网终端设备和云端的随机种子的生成算法(步骤S3和S4),使两端的通信更加的安全。云端计算国密SM2的随机种子与物联网终端设备计算的算法是一样的,只要有设备id和对应的消息编号就可以计算了。
本发明的通信过程中,每次的消息编号递增,以使得每次通信的种子都是变化的。
图2为本发明对比国密SM2在通信传输中的性能对比图。实线为本发明,对应曲线为Y=X/(X+4),虚线为改进前的,对应曲线为Y=X/(X+64+32)。上述方程的获得是根据本发明:SM2的非对称加密需要传输C1、C2、C3,C1是64字节,C3是32字节,C2是加密数据X,所以SM2的曲线为Y=X/X+64+32;本发明在传输过程中除了C2之外,只传输4字节的序列号,所以方程为Y=X/X+4。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (2)

1.一种基于国密的安全传输加密方法,其特征在于,基于国密SM2的基础上,舍弃国密SM2中的C1和C3,保留加密数据C2和消息编号,实现物联网终端设备上的国密SM2的非对称加解密;
所述的基于国密的安全传输加密方法包括如下步骤:
S1、物联网终端设备生成公私钥对P1、K1,云端生成公私钥对P2、K2,物联网终端设备将公钥P1发送给云端,云端将公钥P2发送给物联网终端设备;
S2、物联网终端设备用公钥P2对设备ID做国密SM2的加密后,发送给云端,云端用公钥P2解密获得设备ID;
S3、物联网终端设备将设备ID通过SHA256计算取前16个字节作为种子seed;
S4、物联网终端设备将种子seed和4字节的消息编号通过SHA512计算取前32个字节作为临时私钥K3,通过国密SM2的公钥派生算法计算出临时公钥P3;
S5、物联网终端设备将临时私钥K3、临时公钥P3代入到国密SM2中,替换随机种子;
S6、物联网终端设备将加密生成的加密数据C2和每次递增的消息编号发送给云端;
S7、云端接收到加密数据C2和消息编号后,先通过设备ID和消息编号计算出临时公私钥P3′、K3′,然后将临时公私钥P3′、K3′,加密数据C2和用于解密的云端的私钥K2代入到国密SM2中,临时公私钥P3′、K3′替换国密SM2的随机种子,得到解密后的数据。
2.根据权利要求1所述的基于国密的安全传输加密方法,其特征在于,物联网终端设备和云端之间采用wifi、lora或ble传输。
CN202311014549.1A 2023-08-14 2023-08-14 一种基于国密的安全传输加密方法 Active CN116743505B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311014549.1A CN116743505B (zh) 2023-08-14 2023-08-14 一种基于国密的安全传输加密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311014549.1A CN116743505B (zh) 2023-08-14 2023-08-14 一种基于国密的安全传输加密方法

Publications (2)

Publication Number Publication Date
CN116743505A CN116743505A (zh) 2023-09-12
CN116743505B true CN116743505B (zh) 2023-10-20

Family

ID=87906422

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311014549.1A Active CN116743505B (zh) 2023-08-14 2023-08-14 一种基于国密的安全传输加密方法

Country Status (1)

Country Link
CN (1) CN116743505B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014120121A1 (en) * 2013-01-29 2014-08-07 Certicom Corp. Modified sm2 elliptic curve signature algorithm supporting message recovery
CN104780051A (zh) * 2015-04-24 2015-07-15 成都信息工程学院 针对sm2公钥密码加密算法的侧信道攻击的方法
CN110784870A (zh) * 2019-11-05 2020-02-11 北京智芯微电子科技有限公司 无线局域网安全通信方法及系统、认证服务器
CN111556174A (zh) * 2020-06-28 2020-08-18 江苏恒宝智能系统技术有限公司 一种信息交互方法、装置及系统
CN111768189A (zh) * 2020-06-24 2020-10-13 中国工商银行股份有限公司 基于区块链的充电桩运营方法、装置及系统
WO2020232800A1 (zh) * 2019-05-17 2020-11-26 深圳市网心科技有限公司 一种区块链网络中的数据处理方法、系统及相关设备
CN114244509A (zh) * 2021-12-17 2022-03-25 北京国泰网信科技有限公司 使用移动终端进行sm2一次一密双向认证开锁的方法
CN114968323A (zh) * 2022-05-24 2022-08-30 中安云科科技发展(山东)有限公司 一种基于国密算法的差分升级方法
CN115208615A (zh) * 2022-05-20 2022-10-18 北京科技大学 一种数控系统数据加密传输方法
CN115694827A (zh) * 2022-09-26 2023-02-03 上海阵方科技有限公司 一种基于sm2的证书加密方法及系统
WO2023147785A1 (zh) * 2022-02-07 2023-08-10 南京理工大学 基于国密算法的车联网通信安全认证方法、系统及设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060012884A1 (en) * 2004-07-13 2006-01-19 Snap-On Incorporated Portable diagnostic system with heads-up display
US8971528B2 (en) * 2013-01-29 2015-03-03 Certicom Corp. Modified elliptic curve signature algorithm for message recovery
US11228448B2 (en) * 2018-11-20 2022-01-18 Iot And M2M Technologies, Llc Mutually authenticated ECDHE key exchange for a device and a network using multiple PKI key pairs
US11343084B2 (en) * 2019-03-01 2022-05-24 John A. Nix Public key exchange with authenticated ECDHE and security against quantum computers

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014120121A1 (en) * 2013-01-29 2014-08-07 Certicom Corp. Modified sm2 elliptic curve signature algorithm supporting message recovery
CN104780051A (zh) * 2015-04-24 2015-07-15 成都信息工程学院 针对sm2公钥密码加密算法的侧信道攻击的方法
WO2020232800A1 (zh) * 2019-05-17 2020-11-26 深圳市网心科技有限公司 一种区块链网络中的数据处理方法、系统及相关设备
CN110784870A (zh) * 2019-11-05 2020-02-11 北京智芯微电子科技有限公司 无线局域网安全通信方法及系统、认证服务器
CN111768189A (zh) * 2020-06-24 2020-10-13 中国工商银行股份有限公司 基于区块链的充电桩运营方法、装置及系统
CN111556174A (zh) * 2020-06-28 2020-08-18 江苏恒宝智能系统技术有限公司 一种信息交互方法、装置及系统
CN114244509A (zh) * 2021-12-17 2022-03-25 北京国泰网信科技有限公司 使用移动终端进行sm2一次一密双向认证开锁的方法
WO2023147785A1 (zh) * 2022-02-07 2023-08-10 南京理工大学 基于国密算法的车联网通信安全认证方法、系统及设备
CN115208615A (zh) * 2022-05-20 2022-10-18 北京科技大学 一种数控系统数据加密传输方法
CN114968323A (zh) * 2022-05-24 2022-08-30 中安云科科技发展(山东)有限公司 一种基于国密算法的差分升级方法
CN115694827A (zh) * 2022-09-26 2023-02-03 上海阵方科技有限公司 一种基于sm2的证书加密方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
赵艳敏 ; 刘瑜 ; 王美琴 ; .对SMS4密码算法改进的差分攻击.软件学报.2017,(第09期),全文. *

Also Published As

Publication number Publication date
CN116743505A (zh) 2023-09-12

Similar Documents

Publication Publication Date Title
US9172529B2 (en) Hybrid encryption schemes
CN101442522B (zh) 一种基于组合公钥的通信实体标识认证方法
US10412063B1 (en) End-to-end double-ratchet encryption with epoch key exchange
CN102387152A (zh) 一种基于预设密钥的对称加密通信方法
CN106850191B (zh) 分布式存储系统通信协议的加密、解密方法及装置
CN109005027B (zh) 一种随机数据加解密法、装置及系统
CN112073115B (zh) 基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器
CN116321129B (zh) 一种轻量级的基于动态密钥的电力交易专网通信加密方法
CN113285959A (zh) 一种邮件加密方法、解密方法及加解密系统
CN102469173A (zh) 基于组合公钥算法的IPv6网络层可信传输的方法和系统
CN114338648A (zh) 一种基于国密算法的sftp多端文件安全传输的方法及系统
CN107249002B (zh) 一种提高智能电能表安全性的方法、系统及装置
CN107147626B (zh) 一种AES算法与ElGamal算法相结合的加密文件传输方法
EP2571192A1 (en) Hybrid encryption schemes
CN116743505B (zh) 一种基于国密的安全传输加密方法
CN108111515B (zh) 一种适用于卫星通信的端到端安全通信加密方法
CN114499857B (zh) 一种实现大数据量子加解密中数据正确性与一致性的方法
CN104796254A (zh) 基于ecc的公文流转方法
CN113472539A (zh) 一种利用RDMA R_Key进行国密加密的方法
CN113596054A (zh) 一种信息系统间传输软跳频加密方法
CN108566270B (zh) 使用双分组密码的新型加密方法
CN114553420B (zh) 基于量子密钥的数字信封封装方法及数据保密通信网络
CN114363086B (zh) 基于流密码的工业互联网数据加密传输方法
CN217240711U (zh) 轻量级端到端电力物联网加密系统
CN110650016B (zh) 一种实现交直流控制保护系统网络数据安全的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant