一种基于加密设备的网络协议安全提升方法与流程

技术特征：
1.一种基于加密设备的网络协议安全提升方法，其特征在于，包括如下步骤：步骤s110、在网络服务协议中增加密钥生成函数，调用加密设备，获取密钥及私钥索引，其中，密钥对包括公钥及私钥，网络服务协议为ssh、nvc或rdp协议；步骤s120、将私钥索引和公钥信息返回给密钥管理模块；步骤s130、密钥管理模块将私钥索引、公钥信息与客户端信息进行组合后生成公钥文件，发送到服务端；步骤s140、对客户端进行身份认证，存储公钥文件；步骤s150、客户端发起登陆请求；步骤s160、建立加密隧道；步骤s170、对公钥文件及客户端信息进行签名；步骤s180、客户端通过加密隧道发送经签名的公钥文件及客户端信息给服务端；步骤s190、建立网络协议连接。2.根据权利要求1所述的一种基于加密设备的网络协议安全提升方法，其特征在于，当网络服务协议为ssh协议时，所述步骤s110的方法，具体操作包括：在openssh源码中sshkey.c密码算法文件中增加密钥生成函数sm2_generate_private_key，修改rsa_generate_private_key函数，把密钥生成的过程修改为调用设备兼容层api；其中，设备兼容层api为设备兼容层的调用接口；设备兼容层调用加密设备，加密设备生成sm2/rsa密钥对及私钥索引；加密设备将私钥索引和公钥信息返回给设备兼容层，设备兼容层获取加密设备生成的sm2/rsa密钥对及私钥索引；其中，公钥信息为加密设备生成密钥对中的公钥信息。3.根据权利要求1或2所述的一种基于加密设备的网络协议安全提升方法，其特征在于，当网络服务协议为ssh协议时，所述步骤s160的方法，包括以下步骤：步骤s161-1a、修改openssh源码ssh-keyscan.c、sshconnect2.c文件，增加sm2标识符；步骤s162-1a、修改openssh源码中的cipher.c、digest-openssl.c文件，增加sm4算法；步骤s161a、服务端与客户端进行会话，服务端发送服务端支持的算法给客户端，客户端将客户端支持的算法与服务端支持的算法进行比对，客户端与服务端确定协商需要的算法；步骤s162a、服务端利用dh算法与客户端通过会话方式协商出使用sm4算法的会话密钥，实现建立加密隧道的操作。4.根据权利要求1或2所述的一种基于加密设备的网络协议安全提升方法，其特征在于，当网络服务协议为ssh协议时，所述步骤s170的方法，具体操作包括：步骤s171a、设备兼容层根据私钥索引，通过调用加密设备对公钥文件及客户端信息进行签名；步骤s172a、客户端通过设备兼容层api获取设备兼容层返回的公钥文件及客户端信息的签名。5.根据权利要求1所述的一种基于加密设备的网络协议安全提升方法，其特征在于，当网络服务协议为vnc协议时，所述步骤s110的方法，具体操作包括：在vnc源码所依赖的加密模块的源码com/jcraft/jsch/keypairxxx.java文件中增加国密sm2密钥生成算法，在vnc源码所依赖的加密模块的源码/com/jcraft/jsch/
keyexchange.java文件中增加sm2签名验签算法、sm4对称加解密算法，把密钥生成的过程修改为调用jni封装；jni封装为设备兼容层的调用接口；设备兼容层调用加密设备，加密设备生成sm2密钥对及私钥索引；加密设备将私钥索引和公钥信息返回给设备兼容层，设备兼容层获取加密设备生成的sm2密钥对及私钥索引；其中，公钥信息为加密设备生成密钥对中的公钥信息。6.根据权利要求1或5所述的一种基于加密设备的网络协议安全提升方法，其特征在于，当网络服务协议为vnc协议时，所述步骤s160的方法，包括以下步骤：步骤s161-1b、修改vnc源码common/rfb/ssecuritytls.cxx文件，增加sm2标识符；步骤s162-1b、修改vnc源码所依赖的加密模块的源码/com/jcraft/jsch/keyexchange.java文件，增加sm4算法；步骤s161b、服务端与客户端进行会话，服务端发送服务端支持的算法给客户端，客户端将客户端支持的算法与服务端支持的算法进行比对，客户端与服务端确定协商需要的算法；步骤s162b、服务端利用dh算法与客户端通过会话方式协商出使用sm4算法的会话密钥，实现建立加密隧道的操作。7.根据权利要求1或5所述的一种基于加密设备的网络协议安全提升方法，其特征在于，当网络服务协议为vnc协议时，所述步骤s170的方法，具体操作包括：步骤s171b、设备兼容层根据私钥索引，通过调用加密设备对公钥文件及客户端信息进行签名；步骤s172b、客户端通过jni封装从java调用c 库获取设备兼容层返回的公钥文件及客户端信息的签名。8.根据权利要求1所述的一种基于加密设备的网络协议安全提升方法，其特征在于，当网络服务协议为rdp协议时，所述步骤s110的方法，具体操作包括：在rdp源码所依赖的加密模块的源码crypto/crypto.c文件中增加国密sm2密钥生成算法，把密钥生成的过程修改为调用设备兼容层api；其中，设备兼容层api为设备兼容层的调用接口；设备兼容层调用加密设备，加密设备生成sm2密钥对及私钥索引；加密设备将私钥索引和公钥信息返回给设备兼容层，设备兼容层获取加密设备生成的sm2/rsa密钥对及私钥索引；其中，公钥信息为加密设备生成密钥对中的公钥信息。9.根据权利要求1或8所述的一种基于加密设备的网络协议安全提升方法，其特征在于，当网络服务协议为rdp协议时，所述步骤s160的方法，包括以下步骤：步骤s161-1c、修改rdp源码sspi/schannel/schannel.c文件，增加sm2标识符；步骤s162-1c、修改rdp源码中的crypto/crypto.c文件，增加sm4算法；步骤s161c、服务端与客户端进行会话，服务端发送服务端支持的算法给客户端，客户端将客户端支持的算法与服务端支持的算法进行比对，客户端与服务端确定协商需要的算法；步骤s162c、服务端利用dh算法与客户端通过会话方式协商出使用sm4算法的会话密钥，实现建立加密隧道的操作。10.根据权利要求1或8所述的一种基于加密设备的网络协议安全提升方法，其特征在
于，当网络服务协议为rdp协议时，所述步骤s170的方法，具体操作包括：步骤s171c、设备兼容层根据私钥索引，通过调用加密设备对公钥文件及客户端信息进行签名；步骤s172c、客户端通过设备兼容层api获取设备兼容层返回的公钥文件及客户端信息的签名。

技术总结
本发明公开了一种基于加密设备的网络协议安全提升方法，其包括在网络服务协议中增加密钥生成函数，调用加密设备，获取密钥及私钥索引；将私钥索引和公钥信息返回给密钥管理模块；密钥管理模块将私钥索引、公钥信息与客户端信息进行组合后生成公钥文件，发送到服务端；存储公钥文件；客户端发起登陆请求；建立加密隧道；对公钥文件及客户端信息进行签名；客户端通过加密隧道发送经签名的公钥文件及客户端信息给服务端；建立网络协议连接。本发明通过关联客户端及客户端获取的私钥索引，在客户端向服务端发起登陆请求时，客户端通过私钥对应的私钥索引，调用加密设备进行签名，整个过程做到私钥不出加密设备，保证了私钥的安全性。性。性。


技术研发人员：马兴旺 唐卓
受保护的技术使用者：深圳市证通云计算有限公司 长沙证通云计算有限公司
技术研发日：2022.05.25
技术公布日：2022/9/2