基于国密技术的数据传输加密、解密方法及加解密系统与流程

技术特征：
1.基于国密技术的数据传输加密方法，其特征在于，包括如下步骤：（1）获取来自内网口的数据；（2）通过数据报文获取ip的五元组；（3）根据五元组查询所属会话，若会话不存在、则创建新的会话，若会话存在、执行步骤（4）；（4）检查会话密钥合法性，若会话密钥不合法、内网口与外网口进行密钥协商形成会话密钥，若会话密钥合法、执行步骤（5）；（5）根据会话密钥分组加密的长度对数据报文的长度进行分组检查；（6）采用会话密钥对数据报文进行分组加密，生成加密载荷；（7）将ip报文和加密载荷发送至外网口。2.根据权利要求1所述的基于国密技术的数据传输加密方法，其特征在于：所述步骤（1）中还包括查询acl端口配置信息及acl的处理方式，处理方式为：透传、加解密、丢弃。3.根据权利要求1所述的基于国密技术的数据传输加密方法，其特征在于：所述步骤（4）中采用ike算法进行密钥协商，包括：就绪状态：发送方启用协商传送安全参数的提议值；协商启动：若响应方不接受所有提议值就返回就绪状态，否则响应方选定可接受的安全参数，进行选定协议；保护套件选定：若选定协议不在发起的协议中返回就绪状态，否则发送方发送密钥素材和必须的辅助数据；开始交换密钥素材：若密钥格式错误返回就绪状态，否则响应方发送密钥素材和必须的辅助数据，dh交换完成，计算出skeyid相关素材；结束交换密钥素材：若密钥格式错误返回就绪状态，否则，结束交换，发送方发送身份信息；身份验证：若发送方身份不对则返回就绪状态，否则响应方发送身份信息；isakmp sa建立：若响应方身份不对则返回就绪状态，否则isakmp sa建立成功。4.根据权利要求1所述的基于国密技术的数据传输加密方法，其特征在于：假定数据报文的长度为n m，会话密钥分组加密的长度是k，最终加密载荷为m；所述步骤（5）中检查数据报文的长度是否为分组加密的整数倍：若为整数倍，则数据报文均为合法数据，执行（6.1）；若数据报文的长度不是分组加密的整数倍，执行（6.2）；若数据报文的长度过短，执行（6.3）；（6.1）数据报文的合法数据为n，m=0，n为分组加密k的整数倍，采用会话密钥分组加密n得到合法加密载荷m，m的长度与n相同，无需修改ip头域；（6.2）数据报文的合法数据为n，n/k>=1、n%k=m，0<m<k；第一步，取合法数据n末尾的n1长度数据进行加密，m n1 =k；第二步，用会话密钥分组加密长度n的数据得到最终加密的有效载荷m，m的长度与n相同，无需修改ip头域；（6.3）数据报文的合法数据为n，n<k，填充m 1字节到n后面，填充后n m 1 = 2k，对填充后的数据加密得到有效加密载荷m，m > n且 m = k，修改ip头域的长度，重新计算ip头域和checksum校验。5.基于国密技术的数据传输解密方法，其特征在于，包括如下步骤：
=k；第二步，用会话密钥分组加密长度n的数据得到最终加密的有效载荷m，m的长度与n相同，无需修改ip头域；数据报文的合法数据为n，n<k，填充m 1字节到n后面，填充后n m 1 = 2k，对填充后的数据加密得到有效加密载荷m，m > n且 m = k，修改ip头域的长度，重新计算ip头域和checksum校验；所示解密单元的解密过程如下：载荷数据为n，n%k=m，0<m<k，用会话密钥解密n得到合法载荷m1，从m1中取最后n1字节，n1 m = k，用会话密钥解密得到最终明文载荷m；载荷数据为n，n=2k；第一步，用会话密钥解密n得合法载荷m1；第二步，取m1最后一字节n1，如果n1>k并且n1前面k
‑
1个字节为零，则m1前2k
‑
n1为明文载荷m，修改ip头域的长度，重新计算ip头域和checksum校验；如果上述条件不满足，m1即为明文有效载荷m，无需修改ip头域；载荷数据为n，n能够整除k，用会话密钥解密n得到明文载荷m。10.根据权利要求8所述的基于国密技术的数据传输加解密系统，其特征在于：所述ike密钥协商单元包括策略协商模块、dh交换模块、dh交换及验证模块；所述策略协商模块用于发送方发送本地ike策略至接收方，接收方查找匹配的策略并确认策略；所述dh交换模块用于发起方接收确认的策略并发送密钥生成信息，接收方用于生成密钥；所述dh交换及验证模块用于发起方接收密钥信息并发起身份验证数据，接收方进行身份验证并交换身份验证，发起方对接收方进行身份验证。

技术总结
本发明公开的基于国密技术的数据传输加密、解密方法及加解密系统，加密过程包括：获取来自内网口的数据；通过数据报文获取IP的五元组；根据五元组查询所属对话；检查会话密钥合法性，若会话密钥不合法、内网口与外网口进行密钥协商形成会话密钥，若会话密钥合法，根据会话密钥分组加密的长度对数据报文的长度进行分组检查；采用会话密钥对数据报文进行分组加密，生成加密载荷；将IP报文和加密载荷发送至外网口；解密过程包括：获取来自外网口的数据并进行与加密过程相同处理，在分组检查后进行解密，获得明文载荷。本发明在不改变原有网络与通信的质量的同时，保证企业网络边界数据的传输安全，同时密码算法自主可控。同时密码算法自主可控。同时密码算法自主可控。


技术研发人员：涂健健
受保护的技术使用者：南京首传信安科技有限公司
技术研发日：2021.09.13
技术公布日：2021/12/2