[发明专利]一种面向自主可控环境下的应用虚拟化安全通信方法

摘要

本发明涉及一种面向自主可控环境下的应用虚拟化安全通信方法，涉及网络安全技术领域。本发明通过对原有RDP协议栈进行结构重建，在RDP协议的基础上扩展一种基于国产商用密码套件的安全套接层，将安全套接层添加至协议栈的网络连接层之上，可为客户端到服务器提供安全传输服务，实现了客户端和服务器间的双重身份认证，完成了客户端对服务器的身份信息验证。

主权项

1.一种面向自主可控环境下的应用虚拟化安全通信方法，其特征在于，包括以下步骤：步骤S1、由网络连接层对套接字进行创建，完成对服务器与客户端之间通信网络的连接，为通信双方的数据交互和网络通信提供基础，当网络连接建立完成，通过使用安全套接层来完成对通信双方的双向身份认证，客户端对网络连接层所生成的套接字发起连接，并向服务器发送请求报文，服务器收到请求后对客户端进行响应；步骤S2、服务器向客户端发送其证书报文及签名信息，证书中包括服务器生成的随机数、公钥这些用于进行密钥交换的信息，客户端接收到服务器发送的数据报文后，对服务器进行认证，若认证成功则生成客户端随机数与公钥，并将客户端证书与签名发送至服务器，否则结束，该过程中，安全套接层利用生成的国密加密套件对客户端和服务器端进行双向身份验证，若通信双方身份验证成功，则表示双方可进行收发有效信息，否则结束，通信双方身份验证成功时服务器对客户端所发送的证书与签名进行验证，若验证成功则利用客户端的随机数与服务器公钥生成共享密钥，从而对双方所生成的共享密钥进行配对，验证不成功则结束；当双方的共享密钥一致时，则安全套接层建立成功，可对通信数据进行基于SM4对称加密算法的加密解密；步骤S3、安全套接层成功连接建立后，传输数据层对通信会话进行初始化，客户端向服务器发送传输数据层的请求连接数据包，服务器收到后对其进行响应，从而返回一个连接确认数据包，则传输数据层建立连接，客户端生成多虚拟通道的初始化数据包，并与服务器进行交互，将初始化数据包发送至服务器，等待服务器发送响应数据包；服务器接收到初始化数据包后，发送连接响应数据包，当虚拟通道层建立连接后，完成对多虚拟通道的创建，将数据直接传送至加密解密层，加密解密层为数据传输提供安全传递服务，加密解密操作将在安全套接层建立连接后，利用密钥协商过程中所生成的共享密钥，对虚拟应用数据实现基于SM4分组密码算法的加密处理，当功能数据层之上的其他层均成功建立连接后，客户端向服务器发送报文，服务器返回一个协议数据单元作为响应，表示功能数据层建立连接，即可开始传输虚拟应数据及图像块信息，从而完成安全传输协议的最终交互。