在国产CPU和OS下的文件传输加密方法及设备与流程

在国产cpu和os下的文件传输加密方法及设备
技术领域
1.本发明涉及文件传输加密技术领域，具体涉及在国产cpu和os下的文件传输加密方法及设备。


背景技术：

2.网络技术的快速发展方便了我们的日常生活，提高了工作效率，增进了交流。网络的出现确实给我们带来了很多的便利，但网络安全问题也在时时困扰着我们，网络安全问题也就成为了社会关注的重点问题。文件传输安全就是大众关注的安全问题之一，一份文件可能包含了很多的机密，一旦被黑客窃取，那损失是不可想象的。
3.随着政务办公信息化的趋势推进，越来越多的各种办公业务场景中都涉及到文件传输需求，文件传输安全是政务安全的重要组成部分，如何保护在国产cpu和os环境下文件数据在传输过程中的安全是本领域技术人员亟需解决的。
4.目前国产终端环境下文件传输通常通过明文直接传输或者直接采用国际上通用的商用密码加密，容易被攻击者窃取以及篡改；同时对加密场景比较多，待加密文件比较大的应用场景也会受到较大影响，占用消耗大量算力，在国产cpu和os下布置相对困难，对终端资源消耗比较大。


技术实现要素：

5.本发明的技术任务是提供在国产cpu和os下的文件传输加密方法及设备，基于国产密码的文件传输加密，兼容性强，安全性好，便于用户使用国产cpu和操作系统安全的传输文件，加强特殊行业安全可控的要求，摆脱对国外技术和产品的过度依赖。
6.本发明解决其技术问题所采用的技术方案是：
7.在国产cpu和os下的文件传输加密方法，设置密钥端，用于对密钥进行统一管理并生成随机密钥，所述密钥端具有国产加密算法管理系统；该方法的实现过程如下：
8.1)、密钥端接收发送方发送的待加密的文件数据；
9.2)、密钥端生成随机密钥，并将随机密钥与待加密文件通过国产密码计算后生成加密的文件数据；
10.3)、密钥端将所述随机密钥再通过国产密码进行加密，得到加密后的随机密钥密文；
11.4)、密钥端将加密后的文件数据和加密后的随机密钥同时发送给接收方；
12.5)、接收方对所述加密后的随机密钥进行解密，然后用该随机密钥对加密后的文件数据进行解密操作，得到解密后的文件数据。
13.该方法在文件传输流程中，密钥分发、文件数据可信，文件数据加解密都是以国产密码为基础，对于需要占用大量加解密运算资源的地方，都是以密钥端进行加解密操作，从而降低了对计算资源的消耗，提升了工作效率。本方法既提高国产终端环境下文件传输的安全性，又保证了文件数据的真实性、可靠性，解决了国产终端环境下文件传输加密安全性
低、效率不高的问题。
14.优选的，所述密钥端为加解密硬件设备。
15.优选的，密钥端安装的国产加密算法包括国密对称密钥算法(sm1、sm4)、国密非对称秘钥算法(sm2)和杂凑算法(sm3)，保障密钥的生成、使用、存储、恢复等密钥生命周期的安全。
16.进一步的，在文件数据传输加密过程中，根据发送方的签名对传输的文件数据和密钥进行加签操作；接收方在接收数据后进行解签操作，验证通过后再进行相应的解密操作。确保文件数据的安全性和完整性。
17.优选的，所述密钥端通过web引导式和图形化界面完成所述文件数据的加密。
18.优选的，该方法的具体实现步骤如下：
19.1)、发送方发送文件数据；
20.2)、密钥端接收发送方传递的文件数据；
21.3)、密钥端进行密钥分配和相应的加密操作；
22.4)、密钥端对传输数据进行加签；
23.5)、接收方接收数据包；
24.6)、接收方对接受的数据进行验签；
25.7)、验签通过后，接收方解密文件数据。
26.本发明还要求保护在国产cpu和os下的文件传输加密设备，该设备具有国产加密算法管理系统，用于对密钥进行统一管理并生成随机密钥，该设备包括文件接收模块、文件加密模块、密钥加密模块和加密文件发送模块，
27.文件接收模块用于接收发送方发送的待加密的文件数据；
28.文件加密模块生成随机密钥，并将随机密钥与待加密文件通过国产密码计算后生成加密的文件数据；
29.密钥加密模块将所述随机密钥再通过国产密码进行加密，得到加密后的随机密钥密文；
30.加密文件发送模块将加密后的文件数据和加密后的随机密钥同时发送给接收方。
31.发送方将待加密的文件数据发送至该文件传输加密设备，文件接收模块接收待加密文件数据，并通过文件加密模块和密钥加密模块实现文件数据的加密和随机密钥的加密，通过加密文件发送模块将加密后的文件数据和加密后的随机密钥同时发送给接收方；接收方对所述加密后的随机密钥进行解密，然后用该随机密钥对加密后的文件数据进行解密操作，得到解密后的文件数据。
32.优选的，该设备安装的国产加密算法包括国密对称密钥算法、国密非对称秘钥算法和杂凑算法。
33.进一步的，还包括数据加签模块，用于根据发送方的签名对传输的文件数据和密钥进行加签操作。
34.接收方在接收数据后进行解签操作，验证通过后再进行相应的解密操作，确保文件数据的安全性和完整性。
35.优选的，该设备通过web引导式和图形化界面完成文件数据的加密。
36.本发明的在国产cpu和os下的文件传输加密方法及设备与现有技术相比，具有以
下有益效果：
37.本方法在国产化操作系统下，基于国产密码的文件传输加密方法，在文件加解密和文件数据可信认证均采用具有自主知识产权的国算法，摒弃了传统的国际商用算法，增强了传输过程中的安全性，也加强了对特殊行业安全可控的要求；
38.在国产化操作系统下，基于国产密码的文件传输加密方法，在文件加解密和文件数据可信认证流程过程中，需要占用大量加解密运算资源的地方，都是以专门硬件设备进行加解密操作，从而降低了对计算资源的消耗，提升了加密传输效率。
39.本方法充分考虑了纯国产环境下，不同的国产cpu、os、算法，浏览器的兼容性。
附图说明
40.图1是本发明实施例提供的在国产cpu和os下的文件传输加密方法实现流程示图。
具体实施方式
41.下面结合具体实施例对本发明作进一步说明。
42.在国产cpu和os下的文件传输加密方法，设置密钥端，用于对密钥进行统一管理并生成随机密钥，所述密钥端具有国产加密算法管理系统；且所述密钥端为加解密硬件设备。密钥端提供完善的国密对称密钥算法(sm1、sm4)、国密非对称秘钥算法(sm2)和杂凑算法(sm3)管理用用体系，保障密钥的生成、使用、存储、恢复等密钥生命周期的安全。
43.该方法的实现过程如下：
44.1)、密钥端接收发送方发送的待加密的文件数据。在日常操作中我们需要传输的文件数据都是以明文数据存在的，这样我们的文件传输过程存在极大地安全隐患，所以待加密的文件数据首先需要发送到密钥端进行加密处理。
45.2)、密钥端对密钥进行统一管理，生成随机密钥，并将获得的随机密钥与待加密文件通过国产密码计算后生成加密的文件数据；
46.3)、密钥端将所述随机密钥再通过国产密码进行加密，得到加密后的随机密钥密文；
47.本实施例中，密钥端将加密文件的随机密钥通过国密非对称密钥算法(sm2)进行加密操作，获得加密后的随机密钥的密文。sm2算法为非对称加密，基于ecc，该算法已公开。由于该算法基于ecc，故其签名速度与秘钥生成速度都快于rsa。ecc 256位(sm2采用的就是ecc 256位的一种)安全强度比rsa2048位高，但运算速度快于rsa。因此，sm2算法密码复杂度更高、处理速度更快、机器性能消耗更小。sm2算法分为公钥和私钥，我们用公钥对加密文件的随机密钥进行加密，得到加密后的随机密钥的密文，同时我们会把相应的私钥传递给接收方，接收方会用该私钥对加密后的随机密钥的密文进行解密，获得加密文件用的随机密钥。
48.4)、密钥端将加密后的文件数据和加密后的随机密钥同时发送给接收方；
49.5)、接收方对所述加密后的随机密钥进行解密，然后用该随机密钥对加密后的文件数据进行解密操作，得到解密后的文件数据。
50.密钥端会将加密后的文件数据和加密后的随机密钥同时发送给接收方，接收方在接收后会根据国产密码(sm2)的私钥进行解密后得到对文件数据进行加密的随机密钥的明
文，然后在用随机密钥对加密后的文件数据进行解密操作，得到解密后的文件数据。
51.在上述文件传输加密过程中，为了确保文件数据的安全性和完整性，根据发送方的签名对传输的文件数据和密钥进行加签操作，避免在传输过程中被篡改。同时接收方在接收数据后会进行解签操作，验证通过后进行相应的解密操作。确保文件数据的安全性和完整性。
52.所述密钥端通过web引导式和图形化界面完成所述文件数据的加密。
53.该方法在文件加解密和文件数据可信认证均采用具有自主知识产权的国产密码，摒弃了传统的国际商用算法，增强了传输过程中的安全性，也加强了对特殊行业安全可控的要求；
54.在文件加解密和文件数据可信认证流程，对于需要占用大量加解密运算资源的地方，都是以专门硬件设备进行加解密操作，从而降低了对计算资源的消耗，提升了加密传输效率。
55.在纯国产环境下，充分考虑了不同型号的国产cpu、os、算法，浏览器的兼容性。
56.如图1所示，该方法的具体实现步骤如下：
57.1)、发送方发送文件数据；
58.2)、密钥端接收发送方传递的文件数据；
59.3)、密钥端进行密钥分配和相应的加密操作；
60.4)、密钥端对传输数据进行加签；
61.5)、接收方接收数据包；
62.6)、接收方对接受的数据进行验签；
63.7)、验签通过后，接收方解密文件数据。
64.本发明实施例还提供了在国产cpu和os下的文件传输加密设备，该设备具有国产加密算法管理系统，用于对密钥进行统一管理并生成随机密钥，该设备包括文件接收模块、文件加密模块、密钥加密模块、加密文件发送模块以及数据加签模块，
65.文件接收模块用于接收发送方发送的待加密的文件数据；
66.文件加密模块生成随机密钥，并将随机密钥与待加密文件通过国产密码计算后生成加密的文件数据；
67.密钥加密模块将所述随机密钥再通过国产密码进行加密，得到加密后的随机密钥密文；
68.加密文件发送模块将加密后的文件数据和加密后的随机密钥同时发送给接收方。
69.数据加签模块用于根据发送方的签名对传输的文件数据和密钥进行加签操作。
70.发送方将待加密的文件数据发送至该文件传输加密设备，文件接收模块接收待加密文件数据，并通过文件加密模块和密钥加密模块实现文件数据的加密和随机密钥的加密，通过加密文件发送模块将加密后的文件数据和加密后的随机密钥同时发送给接收方；接收方对所述加密后的随机密钥进行解密，然后用该随机密钥对加密后的文件数据进行解密操作，得到解密后的文件数据。
71.接收方在接收数据后进行解签操作，验证通过后再进行相应的解密操作，确保文件数据的安全性和完整性。
72.该设备安装的国产加密算法包括国密对称密钥算法、国密非对称秘钥算法和杂凑
算法。
73.该设备通过web引导式和图形化界面完成文件数据的加密。通过该设备实现国产cpu和os下的文件传输加密过程可参考上述实施例中所述在国产cpu和os下的文件传输加密方法的实施过程：
74.1)、发送方发送文件数据；
75.2)、密钥端接收发送方传递的文件数据；
76.3)、密钥端进行密钥分配和相应的加密操作；
77.4)、密钥端对传输数据进行加签；
78.5)、接收方接收数据包；
79.6)、接收方对接受的数据进行验签；
80.7)、验签通过后，接收方解密文件数据。
81.通过上面具体实施方式，所述技术领域的技术人员可容易的实现本发明。但是应当理解，本发明并不限于上述的具体实施方式。在公开的实施方式的基础上，所述技术领域的技术人员可任意组合不同的技术特征，从而实现不同的技术方案。
82.除说明书所述的技术特征外，均为本专业技术人员的已知技术。