[发明专利]一种基于国密算法的私有云平台数据加解密系统

权利要求书

1.一种基于国密算法的私有云平台数据加解密系统，包括；加密模块、云平台客户端模块、云平台服务器模块、数据库模块和应用服务模块；其特征在于：

加解密模块，用于客户端和服务端之间的通信加解密及数据库的存储加密；

云平台客户端模块，用于接收来自服务端通过国密算法加密的数据并完成解密，并通过国密算法加密访问请求并传送给服务端；

云平台服务端模块，建立在数据库模块和应用服务模块之上，提供客户端与私有云平台内部应用服务及数据库之间的交互接口；接收客户端通过国密算法加密的数据，解密后转发给私有云平台内部服务器；接收私有云平台内部服务器数据，并通过国密算法加密后转发给客户端；

数据库模块，包括为应用服务模块提供的结构化数据服务及备份服务，数据库模块将结构化数据通过国密算法加密后存储于私有云平台内部服务器上。

2.根据权利要求1所述的一种基于国密算法的私有云平台数据加解密系统，其特征在于：所述加解密模块包括：客户端不采用国密证书与服务端进行通信加解密的单向认证过程、客户端与服务端均采用国密证书进行通信加解密的双向认证过程。

3.根据权利要求2所述的一种基于国密算法的私有云平台数据加解密系统，其特征在于：所述单向认证过程包括：

客户端告知服务端：本地支持的国密加密套件列表、及客户端生成的一个随机数A；所述随机数A将和预主密钥结合通过国密算法SM3加密生成用于传输数据加解密的工作密钥；

服务端收到客户端的请求及工作密钥a之后，发送自己的国密证书给客户端；该国密证书同时会产生一个公钥和一个私钥；私钥由服务端保存，公钥附带在国密证书的信息中；同时服务端也需要产生一个随机数B，服务端将随机数A、随机数B及预主密钥结合并通过国密算法SM3加密生成用于传输数据加解密的工作密钥b发送给客户端；

客户端对服务端国密证书进行检查，若证书没有问题，客户端完成密钥协商并发送编码改变通知；同时，客户端产生第三个随机数C，该随机数C是客户端使用SM2产生的48个字节的预主密钥；

在收到客户端传来的预主密钥之后使用私钥对该加密数据进行解密，并对数据进行验证；服务端以客户端同样的方式生成工作密钥c，然后给客户端发送编码改变通知，告诉客户端已经切换到协商过的国密加密套件状态，准备使用国密加密套件加密数据；

客户端向服务端发起数据库/应用服务的加密访问请求，服务端解密后向私有云平台转发该访问请求。

4.根据权利要求3所述的一种基于国密算法的私有云平台数据加解密系统，其特征在于：所述第一步中的国密加密套件包括国密算法SM2、国密算法SM3、国密算法SM4。

5.根据权利要求3所述的一种基于国密算法的私有云平台数据加解密系统，其特征在于：所述第五步中，数据库是通过国密算法加密后存储于私有云平台内部服务器上；所述应用服务响应时可调用加密存储的数据库资源，以提供完整的企业数据应用、管理、监控的应用服务。

6.根据权利要求3所述的一种基于国密算法的私有云平台数据加解密系统，其特征在于：所述双向认证过程包括：

客户端告知服务端：本地支持的国密加密套件列表、及客户端生成的一个随机数A；所述随机数A将和预主密钥结合通过国密算法SM3加密生成用于传输数据加解密的工作密钥；

服务端收到客户端的请求及工作密钥a之后，发送自己的国密证书给客户端；该国密证书同时会产生一个公钥和一个私钥；私钥由服务端保存，公钥附带在国密证书的信息中；同时服务端也需要产生一个随机数B，服务端将随机数A、随机数B及预主密钥结合并通过国密算法SM3加密生成用于传输数据加解密的工作密钥b发送给客户端；同时，服务端还需要对客户端发出国密证书请求；

客户端向服务端发送本地国密证书，让服务端来验证客户端的合法性；同时，客户端对服务端国密证书进行检查，若证书没有问题，客户端完成密钥协商并发送编码改变通知；同时，客户端产生第三个随机数C，该随机数C是客户端使用SM2产生的48个字节的预主密钥；

服务端收到客户端的国密证书后对证书进行查验，若证书合格，服务端用私钥对对加密的预主密钥进行解密；服务端再以客户端同样的方式生成工作密钥c，然后给客户端发送编码改变通知，告诉客户端已经切换到协商过的国密加密套件状态，准备使用国密加密套件加密数据；

客户端向服务端发起数据库/应用服务的加密访问请求，服务端解密后向私有云平台转发该访问请求。