[发明专利]一种基于国密算法双向认证方法、装置、设备及可读介质

说明书

本发明公开了一种基于国密算法双向认证方法，包括：在浏览器内核的通信模块目录下增加对国密算法证书的适配，并基于修改后的浏览器内核生成浏览器；在若干客户端基于国密算法生成若干客户端证书，在服务端基于国密算法生成服务端证书，并将若干客户端证书和服务端证书上传至代理服务器；在客户端基于浏览器访问服务器，并将客户端证书发送至服务端；在服务端基于代理服务器对客户端证书进行验证，若是验证通过，将服务端证书和公钥返回客户端；以及在客户端基于公钥对服务端证书进行验证，若是验证通过，确认客户端与服务端双向认证通过，客户端与服务端进行通信。本发明实现国密双向认证，填补目前市上没有支持国密双向证书浏览器的空缺。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于国密算法双向认证方法、装置、设备及可读介质。

背景技术

数字证书在当前网络通信安全中具有重大的意义，能够实现身份鉴别、数据完整性鉴别、数据的保密性等功能，可以说是不可或缺的重要环节。单一的服务器证书只能保证服务器网站的真实性，单一的用户名密码口令仅能用于初步识别访客身份。而真正安全可靠的网络环境要求网站、用户及信息传输必须同时安全可信。目前，大部分双向认证采用的是RSA算法生成的，暂不支持使用SM2国密算法生成的证书进行双向认证。

目前采用的双向认证技术，一般生成的证书均为RSA、DSA等算法的，不支持SM2、SM4国密算法，不能确保其安全性，如果国内的一些机密信息采用这些算法进行传输，可能会被窃取。

目前市面上常见的浏览器只有少量支持国密算法，且为单向认证，不支持浏览器客户端证书的双向认证。

发明内容

有鉴于此，本发明实施例的目的在于提出一种基于国密算法双向认证方法、装置、设备及可读介质，通过对浏览器内核引擎的配置修改，增加对国密算法的支持，使其支持国密算法证书的导入及数据传输，实现国密双向认证，填补了目前市上没有支持国密双向证书浏览器的空缺。

基于上述目的，本发明实施例的一方面提供了一种基于国密算法双向认证方法，包括以下步骤：在浏览器内核的通信模块目录下增加对国密算法证书的适配，并基于修改后的浏览器内核生成浏览器；在若干客户端基于国密算法生成若干客户端证书，在服务端基于国密算法生成服务端证书，并将若干客户端证书和服务端证书上传至代理服务器；在客户端基于浏览器访问服务器，并将客户端证书发送至服务端；在服务端基于代理服务器对客户端证书进行验证，若是验证通过，将服务端证书和公钥返回客户端；以及在客户端基于公钥对服务端证书进行验证，若是验证通过，确认客户端与服务端双向认证通过，客户端与服务端进行通信。

在一些实施方式中，在浏览器内核的通信模块目录下增加对国密算法证书的适配，并基于修改后的浏览器内核生成浏览器包括：修改浏览器内核源码，在SSL通信模块增加对国密算法证书的适配，并基于修改后的浏览器内核生成浏览器，其中，浏览器内核为chromium，浏览器包括360极速浏览器和/或QQ浏览器和/或搜狗高速浏览器。

在一些实施方式中，将若干客户端证书和服务端证书上传至代理服务器包括：将若干客户端证书的根证书和服务端证书的根证书上传至代理服务器的配置文件中，代理服务器为nginx代理服务器。

在一些实施方式中，将客户端证书发送至服务端包括：将客户端证书中国密SSL协议版本号、加密算法种类和随机数信息发送给服务端。

在一些实施方式中，在客户端基于公钥对服务端证书进行验证包括：验证服务端证书是否过期；验证发行服务端证书的签发机构是否可靠；验证公钥是否可以正确解开服务端证书的数字签名。

在一些实施方式中，客户端与服务端进行通信包括：在服务端获取客户端支持的加密方案，在客户端支持的加密方案中选择服务端支持的加密程度最高的加密方案作为第一加密方案，并基于服务端的公钥对第一加密方案进行加密，将加密后的密文发送给客户端；在客户端接收密文，并基于客户端的私钥对密文进行解密，得到第一加密方案；客户端与服务端基于第一加密方案进行通信。