[发明专利]一种面向自主可控环境下的应用虚拟化安全通信方法

权利要求书

1.一种面向自主可控环境下的应用虚拟化安全通信方法，其特征在于，包括以下步骤：

步骤S1、由网络连接层对套接字进行创建，完成对服务器与客户端之间通信网络的连接，为通信双方的数据交互和网络通信提供基础，当网络连接建立完成，通过使用安全套接层来完成对通信双方的双向身份认证，客户端对网络连接层所生成的套接字发起连接，并向服务器发送请求报文，服务器收到请求后对客户端进行响应；

步骤S2、服务器向客户端发送其证书报文及签名信息，证书中包括服务器生成的随机数、公钥这些用于进行密钥交换的信息，客户端接收到服务器发送的数据报文后，对服务器进行认证，若认证成功则生成客户端随机数与公钥，并将客户端证书与签名发送至服务器，否则结束，认证过程中，安全套接层利用生成的国密加密套件对客户端和服务器端进行双向身份验证，若通信双方身份验证成功，则表示双方可进行收发有效信息，否则结束，通信双方身份验证成功时服务器对客户端所发送的证书与签名进行验证，若验证成功则利用客户端的随机数与服务器公钥生成共享密钥，从而对双方所生成的共享密钥进行配对，验证不成功则结束；当双方的共享密钥一致时，则安全套接层建立成功，可对通信数据进行基于SM4对称加密算法的加密解密；

步骤S3、安全套接层成功连接建立后，传输数据层对通信会话进行初始化，客户端向服务器发送传输数据层的请求连接数据包，服务器收到后对其进行响应，从而返回一个连接确认数据包，则传输数据层建立连接，客户端生成多虚拟通道的初始化数据包，并与服务器进行交互，将初始化数据包发送至服务器，等待服务器发送响应数据包；服务器接收到初始化数据包后，发送连接响应数据包，当虚拟通道层建立连接后，完成对多虚拟通道的创建，将数据直接传送至加密解密层，加密解密层为数据传输提供安全传递服务，加密解密操作将在安全套接层建立连接后，利用密钥协商过程中所生成的共享密钥，对虚拟应用数据实现基于SM4分组密码算法的加密处理，当功能数据层之上的其他层均成功建立连接后，客户端向服务器发送报文，服务器返回一个协议数据单元作为响应，表示功能数据层建立连接，即可开始传输虚拟应数据及图像块信息，从而完成安全传输协议的最终交互。

2.如权利要求1所述的方法，其特征在于，步骤S1中，由客户端向服务器发送所述请求报文Client hello，客户端请求报文包括由版本号Version、随机数Random、会话标识符Session、加密套件Cipher suite和压缩方法Compression method，其中版本号为客户端所支持协议的最高版本；随机数为通信双方的身份验证提供加密服务；会话标识符为客户端与服务器的通信连接进行标识，若会话标识符为0则通信双方需创建一个新的连接，若该值为非0值则表示通信双方连接已建立成功；加密套件提供客户端支持加密算法的列表，并根据各算法的优先级进行排序；压缩方法为服务器提供客户端可支持的压缩算法；

当客户端将hello请求报文发送至服务器后，等待服务器对其进行响应，服务器响应客户端的请求报文对其发送hello响应报文，此响应报文中包含的字段与客户端的请求报文字段相同，但服务器的响应报文可对客户端提供的加密算法、压缩算法及版本号进行比对与选择，服务器根据客户端所发送的请求报文中的字段与服务器自身所支持的协议版本号选择通信双方均可支持的版本，并根据客户端的会话标识符生成服务器响应报文中的会话标识符，由于服务器的响应报文与客户端的请求报文相同，故服务器依据请求报文中的随机数字段生成独立于客户端的随机大整数，以作为响应报文中的随机数字段发送至客户端，同时，服务器根据客户端请求报文中的加密套件与压缩算法，选取用于此通信过程中的加密套件及压缩算法，当服务器将所有字段生成完毕后，对其进行封装作为响应报文发送至客户端，以建立客户端与服务器间的通信连接；

当通信双方在建立通信连接的过程中，客户端的Client Hello请求报文中包含了客户端支持的所有通信加密套件，服务器需通过对客户端支持的加密套件进行选取，以实现客户端与服务器之间的双向身份认证及密钥协商，在建立连接时，服务器所选取的加密算法以标准的加密套件为依据，包括密钥交换算法、对称加密算法及杂凑算法，安全通信方法所使用的加密套件为国产商用密码算法SM2-SM3-SM4，该加密套件为双方的通信连接提供安全服务，从而实现通信双方的身份校验、密钥协商及加密传输，其中密钥交换算法及通信双方的认证算法采用国密SM2算法，杂凑算法采用国密SM3算法，并以国密SM4算法实现对远程虚拟应用的数据进行加密。