(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211131347.0 (22)申请日 2022.09.16 (71)申请人 国网信息通信产业 集团有限公司 地址 102211 北京市昌平区未来科技城北 区国网智能电网研究院内C座 4层 (72)发明人 张茜　段波伟　刘泽三　李晓珍　 孟雨　王子恒　 (74)专利代理 机构 济南舜源专利事务所有限公 司 37205 专利代理师 张营磊 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/06(2022.01) (54)发明名称 一种基于SSL协议的安全交 互方法及系统 (57)摘要 本申请公开了一种基于SSL协议的安全交互 方法、 系统及设备， 主要涉及安全交互技术领域， 用以解决现有的安全交互出现的省侧业务重复 开发工作量大等问题。 包括： 网关SDK将移动应用 的传输数据进行加密处理， 并上传至第一接入网 关； 进行移动应用的身份认证； 在身份认证合格 后， 建立国密通道； 通过第一接入网关对接收到 的加密数据进行解密处理； 通过预设省侧平台获 取预设总部平台下发的需求指令； 将需求指令对 应的解密数据加密传输至预设总部平台的第二 接入网关； 进行身份认证； 将身份认证合格的上 传数据发送至预设数据安全接入服务， 进而获得 二次解密数据； 将二次解密数据发送至需求移动 终端。 本申请通过上述方法降低省侧业务重复开 发工作量。 权利要求书2页 说明书5页 附图2页 CN 115514549 A 2022.12.23 CN 115514549 A 1.一种基于S SL协议的安全交 互方法， 其特 征在于， 所述方法包括： 根据国密算法， 网关SDK将移动 应用的传输数据进行加密处理， 并上传所述加密数据至 预设省侧平台的第一接入网关； 基于加密数据中的身份信息， 第一接入网关进行移动应用的身份认证； 在身份认证合 格后， 通过第一接入网关和网关SDK建立国密通道， 且所述国密通道采用基于国密算法的 HTTPS协议； 通过第一接入网关对接收到的加密数据进行解密处 理， 获得解密数据； 通过预设省侧平台部署的数据推送代理服务， 获取预设总部平台下发的需求指令； 基 于国密算法， 将需求指令对应的解密数据加密 传输至预设总部平台的第二接入网关； 基于上传数据中的省侧身份信息， 进行身份认证； 将身份认证合格的上传数据发送至 预设数据安全接入服务， 进而获得二次解密数据； 通过预设总部平台确定需求移动终端， 以 通过消息推送或数据拉取的方式， 将二次解密数据发送至需求移动终端。 2.根据权利要求1所述的基于SSL协议的安全交互方法， 其特征在于， 根据国密算法， 网 关SDK将移动应用的传输数据进行加密处 理， 具体包括： 生成随机sm4key， 使用sm4key对传输数据进行国密加密处理， 获得第一加密数据； 其 中， 所述第一加密数据包 含时间戳； 使用国密算法中的s m3校验第一加密数据和时间戳的加密完整性； 使用国密算法中的s m2和sm2公钥对随机s m4key进行加密， 获得s m4key加密数据； 使用国密算法中的sm2对时间戳+sm4key加密数据+加密传输数据进行加密， 获得加密 数据。 3.根据权利 要求1所述的基于SSL协议的安全交互方法， 其特征在于， 在网关SDK根据国 密算法， 将移动应用的传输数据进行加密处理， 并上传所述加密数据至预设省侧平台的第 一接入网关之前， 所述方法还 包括： 在移动应用初始化网关SDK时， 以参数形式提供配置信息； 其中， 所述配置信息至少包 括网关连接信息、 业 务服务信息、 代理端口信息； 通过网关SDK建立安全连接API， 以接入第一接入网关， 并向第一接入网关上传身份信 息， 完成身份认证、 密钥协商和建立加密 传输通道； 使网关依据身份信息设置访 问控制权限， 并生成本地代理端口； 以使移动应用通过本 地代理端口向网关S DK发送传输数据。 4.根据权利要求1所述的基于SSL协议的安全交互方法， 其特征在于， 通过第一接入网 关对接收到的加密数据进行解密处 理， 获得解密数据， 具体包括： 使用国密算法中sm2的私钥对加密数据进行解密， 获取加密传输数据和sm4key加密数 据； 使用国密算法中的s m3检验加密数据与预设消息摘要的一 致性； 若一致， 对sm4key加密数据进行解密， 获取sm4key； 进而使用sm4key对加密数据进行解 密， 获取解密数据。 5.根据权利要求1所述的基于S SL协议的安全交 互方法， 其特 征在于， 所述方法还 包括： 通过编辑界面触发指令， 进入网关S DK配置文件编辑界面； 通过配置文件编辑界面， 获取SSAGClient类的实例， 并对实例进行初始化， 以使网关 SDK支持实例对应的代理模式。权　利　要　求　书 1/2 页 2 CN 115514549 A 26.根据权利要求1所述的基于S SL协议的安全交 互方法， 其特 征在于， 所述方法还 包括： 对网关SDK对应代码中的cl ass文件进行混淆处理， 以将cl ass文件中的类名称、 变量名 称和方法名称替换为预设无意 义的短变量。 7.一种基于S SL协议的安全交 互系统， 其特 征在于， 所述系统包括： 上传模块， 用于根据国密算法， 网关SDK将移动应用的传输数据进行加密处理， 并上传 所述加密数据至预设省侧平台的第一接入网关； 获得模块， 用于基于加密数据中的身份信 息， 第一接入网关进行移动应用的身份认证； 在身份认证合格后， 通过第一接入网关和网关SDK建立国密通道， 且 所述国密通道采用基于 国密算法的HTTPS协 议； 通过第一接入网关对接收到的加密数据进 行解密处理， 获得解密数 据； 传输模块， 用于通过预设省侧平台部署的数据推送代理服务， 获取预设总部平台下发 的需求指令； 基于 国密算法， 将需求指令对应的解密数据加密传输至预设总部平台的第二 接入网关； 发送模块， 用于基于上传数据中的省侧身份信 息， 进行身份认证； 将身份认证合格的上 传数据发送至预设数据安全接入服务， 进而获得二次解密数据； 通过预设总部平台确定需 求移动终端， 以通过消息推送或数据拉取的方式， 将二次解密数据发送至需求移动终端。 8.一种基于S SL协议的安全交 互设备， 其特 征在于， 所述设备包括： 处理器； 以及存储器， 其上存储有可执行代码， 当所述可执行代码被执行时， 使得所述处理器执 行如权利要求1 ‑6任一项所述的一种基于S SL协议的安全交 互方法。权　利　要　求　书 2/2 页 3 CN 115514549 A 3