(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211084212.3 (22)申请日 2022.09.06 (71)申请人 安徽省极光智能科技有限公司 地址 230000 安徽省合肥市高新区望江西 路800号创新产业园A1栋701室 (72)发明人 王龙　黄峰　章鹏飞　周涛　 (74)专利代理 机构 合肥正则元起专利代理事务 所(普通合伙) 3416 0 专利代理师 朱明里 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于国密算法的数据安全传输系统及 方法 (57)摘要 本发明公开了一种基于国密算法的数据安 全传输系统及方法， 涉及数据加密技术领域。 CA 使用国密算法生成Alice的第一数字证书和Bob 的第二数字证书； 第一身份认证模块和第二身份 认证模块， 分别用于验证第二数字证书和第一数 字证书， 以分别对Bob和Alice进行认证； 第一量 子加密模块和第二量子加密模块， 进行量子密钥 分发确定Alice与Bob之间进行数据通信的量子 密钥； 第一量子安全网关和第二量子安全网关， 用于使用量子密钥进行数据加密通信。 通过可信 任的第三方CA使用国密算法先对接收者Bob和发 送者Alice进行身份认证， 双 向认证通过之后通 过量子密钥分发技术确定量子密钥， 保证了数据 传输的安全。 权利要求书2页 说明书6页 附图1页 CN 115442146 A 2022.12.06 CN 115442146 A 1.一种基于国密算法的数据安全传输系统， 其特征在于， 包括第 一量子安全 网关、 第二 量子安全网关和数字证书认证机构 CA； 所述第一量子安全网关与发送 者Alice连接， 所述第 二量子安全网关与接收者Bob连接； 所述第一量子安全网关包括第一身份认证模块和第一 量子加密模块； 所述第二 量子安全网关包括第二身份认证模块和第二 量子加密模块； 所述CA， 用于接收所述发送者Alice和所述接收者Bob的数字证书申请， 使用国密算法 生成所述发送者Al ice的第一数字证书和所述接收者Bob的第二数字证书； 所述第一身份认证模块和所述第 二身份认证模块， 分别用于验证所述第 二数字证书和 所述第一数字证书， 以分别对所述接收者Bob和所述发送者Al ice进行认证； 所述第一量子加密模块和所述第二量子加密模块， 用于当所述发送者Alice和所述接 收者Bob双向认证通过之后， 进行量子密钥分发确 定所述发送者Alice与所述接收者Bob之 间进行数据通信的量子密钥； 所述第一量子安全 网关和所述第 二量子安全 网关， 用于使用所述量子密钥进行数据加 密通信。 2.基于权利要求1所述的一种基于国密算法的数据安全传输系统， 其特征在于， 所述CA 包括国密算法模块、 签证模块、 审核模块； 数字证书申请包括 目标客户端的身份信息； 所述 目标客户端为所述发送者Al ice和所述接收者Bob中的任意 一个； 所述国密算法模块， 用于使用SM2国密算法生成SM2公私钥对； 所述审核模块， 用于根据所述身份信息对所述目标客户端 进行审核； 所述签证模块， 用于若审核通过， 使用所述SM2公私钥 对根据所述身份信息与所述CA的 签发信息生成目标数字证书； 所述签发信息包括签发机构CA的信息、 有效时间和证书序列 号。 3.基于权利要求2所述的一种基于国密算法的数据安全传输系统， 其特征在于， 所述签 证模块包括明文生成子模块、 第一摘要生成子模块、 签名生成子模块和证书生成子模块： 所述明文生成子模块， 用于若所述目标客户端审核通过， 根据所述身份信息与所述CA 的签发信息生成目标证书明文； 所述第一摘要生成子模块， 用于使用SM3国密算法生成所述目标证书明文的目标证书 摘要； 所述签名生成子模块， 用于使用所述SM2公私钥的私钥加密所述目标证书摘要得到目 标证书签名； 所述证书生成子模块， 用于将所述目标证书明文和所述目标证书签名组合成为所述目 标数字证书。 4.基于权利要求3所述的一种基于国密算法的数据安全传输系统， 其特征在于， 目标身 份认证模块包括解密模块、 第二摘要生成子模块和验证模块； 当所述 目标客户端为所述发 送者Alice， 则所述目标身份认证模块为所述第二身份认证模块， 或者当所述目标客户端为 所述接收者Bob， 则所述目标身份认证模块 为所述第一身份认证模块； 所述验证模块， 用于当接收到所述目标数字证书， 根据所述目标证书明文验证所述目 标数字证书的合法性； 所述解密模块， 用于若所述目标数字证书合法， 则使用所述SM2公私钥的公钥解密所述 目标证书签名得到所述目标证书摘要；权　利　要　求　书 1/2 页 2 CN 115442146 A 2所述第二摘要生成子模块， 用于使用SM3国密算法生成当前目标证书明文的对比证书 摘要； 所述验证模块， 还用于对比所述目标证书摘要和所述对比证书摘要对所述目标客户端 进行认证。 5.一种基于国密算法的数据安全传输方法， 其特征在于， 应用于第 一量子安全 网关； 所 述第一量子安全网关连接的第一目标终端为发送 者Alice或接收者Bob； 所述第一量子安全 网关包括第一身份认证模块和第一 量子加密模块； 所述方法包括： 向第二量子安全网关发送第 一数字证书； 以使所述第 二量子安全 网关的第 二身份认证 模块验证所述第一数字证书； 所述第一数字证书为CA使用国密算法生成的所述第一目标终 端的数字证书； 若 所述第一目标终端为 发送者Alice， 则所述第二量子安全网关连接的第二 目标终端为接收者Bob， 若所述第一目标终端为接收者Bob， 则所述第二目标终端为发送者 Alice； 接收所述第 二量子安全网关发送的第 二数字证书， 使用所述第 一身份认证模块验证所 述第二数字证书； 所述第二数字证书为所述CA使用国密算法生成的所述第二目标终端的数 字证书； 当所述第一目标终端和所述第 二目标终端双向认证通过之后， 使用所述第 一量子加密 模块与所述第二量子安全网关的第二量子加密 模块进行量子密钥分发， 确定所述第一目标 终端和所述第二目标终端之间进行 数据通信的量子密钥； 使用所述 量子密钥与所述第二 量子安全网关进行 数据加密通信。 6.基于权利要求5所述的一种基于国密算法的数据安全传输方法， 其特征在于， 在向第 二量子安全网关发送第一数字证书之前， 所述方法还 包括： 向所述CA发送包括所述第一目标客户端的身份信息的数字证书申请； 以使所述CA根据 所述身份信息对 所述目标客户端进 行审核， 若审核通过， 使用S M2公私钥对根据所述身份信 息与所述CA的签发信息生成所述第一数字证书； 所述签发信息包括签发机构CA的信息、 有 效时间和证书序列号； 接收所述CA下发的所述第一数字证书。 7.基于权利要求6所述的一种基于国密算法的数据安全传输方法， 其特征在于， 所述第 一数字证书包括目标证书明文和目标证书签名； 所述目标证书明文为所述CA 根据所述身份 信息与所述CA的签发信息生成的明文数据； 所述目标证书签名为所述CA使用所述SM2公私 钥的私钥加密目标证书摘要得到签名数据； 所述目标证书摘要为所述CA使用SM3国密算法 计算所述目标证书明文生成的摘要数据。 8.基于权利要求7所述的一种基于国密算法的数据安全传输方法， 其特征在于， 对所述 第二目标终端 进行认证的过程 为： 根据所述第二数字证书的明文验证所述第二数字证书的合法性； 若所述第二数字证书合法， 则使用所述SM2公私钥的公钥解密所述第二数字证书的证 书签名得到所述第二数字证书的证书摘要； 使用SM3国密算法生成所述第二数字证书的明文的对比证书摘要； 对比所述证书摘要和所述对比证书摘要对所述第二目标终端 进行认证。权　利　要　求　书 2/2 页 3 CN 115442146 A 3