基于國密算法與動態擴展流的混合加密通信方法及裝置與流程

本發明涉及信息安全，尤其涉及基于國密算法與動態擴展流的混合加密通信方法及裝置。

背景技術：

1、隨著數字化轉型的深入，通信數據的安全傳輸已成為金融、政務等關鍵領域的核心需求，要求數據傳輸過程具備機密性、完整性與身份認證能力。當前主流通信加密方案存在以下核心缺陷，難以滿足高安全等級場景的應用要求：

2、1）數據編碼效率低：現有方案多采用?base64?編碼，數據膨脹率高達?33%，導致傳輸帶寬開銷顯著增加，在海量數據傳輸場景中效率損失超?20%；

3、2）密鑰安全性薄弱：普遍采用靜態密鑰機制，易遭受重放攻擊與暴力破解，單一sm4靜態加密方案的密鑰破解成功率較動態密鑰方案高40%；且部分方案缺乏硬件信任根支撐，密鑰生成依賴軟件隨機數，熵值不足導致安全強度降低；

4、3）安全性與效率失衡：高強度加密往往伴隨高計算開銷，例如sm4-gcm方案在邊緣終端的cpu占用率超?45%，不適用于資源受限場景；

5、4）適配性不足：未有效解決網絡延遲導致的數據包亂序問題，且密鑰更新機制不完善，易引發通信中斷或舊密鑰復用風險；

6、5）合規性欠缺：部分方案采用國際加密算法，不符合我國《網絡安全法》《數據安全法》及?gb/t、gm/t?系列國密標準對關鍵領域數據加密的合規要求。

技術實現思路

1、為了解決上述技術問題，一方面，本發明提供一種基于國密算法與動態擴展流的混合加密通信方法，采用了如下所述的技術方案，包括步驟：

2、對通信參與方進行身份認證，所述通信參與方包括安管平臺、密碼機及通信終端；

3、在通信發起方與通信響應方之間建立共享的會話密鑰；

4、建立動態會話密鑰的定時與定量更新機制；

5、在加密前對原始數據進行編碼，并基于當前會話密鑰和由通信發送方獨立維護的計數器，派生出長度與所述原始數據匹配的密鑰流，所述通信發送方為通信發起方或通信響應方；

6、利用派生的所述密鑰流對編碼后的所述原始數據進行加密，基于加密結果構建數據包；

7、由通信接收方對收到的所述數據包進行逆向處理，恢復原始數據，并借助滑窗機制處理因網絡延遲導致的亂序數據包。

8、優選地，所述對通信參與方進行身份認證，所述通信參與方包括安管平臺、密碼機及通信終端的步驟具體包括：

9、對安管平臺的可信平臺模塊進行集成，對密鑰庫進行初始化；

10、基于ukey與數字證書，進行雙因子身份認證；

11、對密碼機進行身份認證。

12、優選地，所述在通信發起方與通信響應方之間建立共享的會話密鑰的步驟具體包括：

13、下發基于sm2的非對稱加密密鑰標識；

14、所述通信響應方進行查詢式密鑰同步與身份驗證；

15、對當前密鑰和預備密鑰進行雙密鑰緩存與同步超時管控處理。

16、優選地，所述建立動態會話密鑰的定時與定量更新機制的步驟具體包括：

17、基于網絡時間協議ntp，對密鑰進行定時更新觸發；

18、基于數據包計數，對密鑰進行定量更新觸發；

19、對當前密鑰和預備密鑰雙密鑰進行無縫切換，且將舊密鑰進行銷毀。

20、優選地，所述在加密前對原始數據進行編碼，并基于當前會話密鑰和由通信發送方獨立維護的計數器，派生出長度與所述原始數據匹配的密鑰流，所述通信發送方為通信發起方或通信響應方的步驟具體包括：

21、采用base91編碼方式，壓縮所述原始數據；

22、基于hkdf與sm3，進行密鑰流分段派生；

23、對所述發送方獨立維護的計數器進行管理與溢出控制，所述通信發送方為通信發起方或通信響應方。

24、優選地，所述利用派生的所述密鑰流對編碼后的所述原始數據進行加密，基于加密結果構建數據包的步驟具體包括：

25、利用派生的所述密鑰流對編碼后的所述原始數據進行基于異或運算的流加密；

26、進行sm4-ecb模式頭部加密與映射表加速，得到所述數據包；

27、生成基于sm3的hmac校驗值，對所述數據包進行拼接。

28、優選地，所述由通信接收方對收到的所述數據包進行逆向處理，恢復原始數據，并借助滑窗機制處理因網絡延遲導致的亂序數據包的步驟具體包括：

29、由通信接收方對收到的所述數據包進行解析與hmac-sm3強校驗；

30、進行sm4頭部驗證與密鑰流再生解密；

31、借助滑窗機制處理所述數據包的亂序與重放。

32、為了解決上述技術問題，另一方面，本發明還提供一種基于國密算法與動態擴展流的混合加密通信裝置，采用了如下所述的技術方案，包括：

33、認證模塊，用于對通信參與方進行身份認證，所述通信參與方包括安管平臺、密碼機及通信終端；

34、建立模塊，用于在通信發起方與通信響應方之間建立共享的會話密鑰；

35、更新模塊，用于建立動態會話密鑰的定時與定量更新機制；

36、派生模塊，用于在加密前對原始數據進行編碼，并基于當前會話密鑰和由通信發送方獨立維護的計數器，派生出長度與所述原始數據匹配的密鑰流，所述通信發送方為通信發起方或通信響應方；

37、加密模塊，用于利用派生的所述密鑰流對編碼后的所述原始數據進行加密，基于加密結果構建數據包；

38、處理模塊，用于由通信接收方對收到的所述數據包進行逆向處理，恢復原始數據，并借助滑窗機制處理因網絡延遲導致的亂序數據包。

39、為了解決上述技術問題，本發明還提供一種計算機設備，采用了如下所述的技術方案，包括存儲器和處理器，所述存儲器中存儲有計算機可讀指令，所述處理器執行所述計算機可讀指令時實現上述的基于國密算法與動態擴展流的混合加密通信方法的步驟。

40、為了解決上述技術問題，本發明還提供一種計算機可讀存儲介質，采用了如下所述的技術方案，所述計算機可讀存儲介質上存儲有計算機可讀指令，所述計算機可讀指令被處理器執行時實現上述的基于國密算法與動態擴展流的混合加密通信方法的步驟。

41、與現有技術相比，本發明主要有以下有益效果：

42、（1）傳輸效率高：采用base91編碼使數據膨脹率降至23%，較base64?降低10個百分點，顯著減少帶寬占用；加密延遲控制在1ms以內，適配中高速數據傳輸場景；

43、（2）安全性強：通過tpm硬件信任根、ukey身份認證、動態密鑰流、sm3-hmac校驗及nonce?滑窗管理，有效抵御重放攻擊、篡改攻擊、密鑰泄露等風險；雙重密鑰更新機制降低密鑰長期使用導致的破解風險；

44、（3）具有輕量化特性：異或加密運算與高效編碼技術降低計算開銷，cpu占用率顯著低于同類方案，適用于資源受限終端；

45、（4）合規性達標：全程采用sm2/sm3/sm4國密算法，符合gb/t?32907-2016、gm/t0005-2021?等系列標準及《網絡安全法》《數據安全法》要求；

46、（5）可用性強：雙密鑰無縫更新機制避免通信中斷，nonce滑窗管理適配網絡延遲導致的數據包亂序問題，具備良好的場景適配性與擴展性。