(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111553753.1 (22)申请日 2021.12.17 (71)申请人 中国—东盟信息 港股份有限公司 地址 530000 广西壮 族自治区南宁市平乐 大道18号 (72)发明人 陈智超　邓建财　方凯德　张珊珊　 蓝予　 (74)专利代理 机构 广州海心联合专利代理事务 所(普通合伙) 44295 代理人 张栩颜　莫秀波 (51)Int.Cl. H04L 67/06(2022.01) H04L 9/32(2006.01) H04L 9/30(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于国密算法的SFTP多端文件安全传 输的方法及系统 (57)摘要 本发明公开了一种基于国密算法的SFTP多 端文件安全传输的方法， 涉及信息技术领域， 解 决文件传输安全性不足的技术问题， 方法包括： 在SFTP服务端为各消费客户端构建对应的SFTP 文件目录； 设定消费客户端连接使用的ssh私钥 和公钥； 在消费客户端使用SM3算法对文件原内 容Y进行摘要； 对文件摘要Y'使用SM2的私钥d加 签； 使用SM4ECB模式对文件原内容Y加密； 组装 http报文并发送给SFTP服务端； 在SFTP服务端接 收数据， 依次进行验签、 校验后， 将文件原内容进 行再次加密得到密文文件； 将密文文件保存到 SFTP文件目录中， 以供消费客户端请求下载。 本 发明还公开了一种应用上述方法的系统。 本发明 能够防止文件传输过程中发生数据泄漏、 保障文 件传输的可靠性和准确性。 权利要求书2页 说明书4页 附图1页 CN 114338648 A 2022.04.12 CN 114338648 A 1.一种基于国密算法的SFTP多 端文件安全传输的方法， 其特 征在于， 包括： 在SFTP服务端为各消费客户端构建对应的SFTP文件目录， 以避免归属消费客户端的数 据文件被另外的消费客户端下 载或篡改； 设定消费客户端连接使用的s sh私钥和公钥； 在消费客户端 使用SM3算法对文件原内容Y进行摘要， 得到25 6位的文件摘要Y'＝h(Y)； 对文件摘要Y'使用SM2的私钥d加签， 得到加签结果C＝e(Y')； 使用SM4 ECB模式对文件原内容Y加密， 得到加密文件K'； 将加密文件K'、 文件摘要Y'和加签结果C组装http报文， 并通过https发送给SFTP服务 端； 在SFTP服务端接收消费客户端发送的数据， 对数据进行验签； 验签通过后， 对数据进行 解密， 并进行摘要对比校验； 校验通过后， 将文件原内容进行 再次加密得到密文 文件k； 按照SFTP服务端与消费客户端约定的文件存放目录和文件名称生成规则， 将密文文件 k保存到SFTP文件目录中， 以供消费客户端请求下 载。 2.根据权利要求1所述的一种基于国密算法的SFTP多端文件安全传输的方法， 其特征 在于， 所述SFTP服务端执行sftp.sh脚本， 利用ssh ‑keygen生成与各消费客户端对应的RSA 公钥id_rsa_Ui.pub和私钥id_rsa_Ui， Ui代表消费客户端。 3.根据权利要求1所述的一种基于国密算法的SFTP多端文件安全传输的方法， 其特征 在于， 对文件原内容Y进行摘要的流 程为： 将文本分组为512*N+448， N为任意整数； 若不足512位， 则用多个 “0”和末尾一个 “1”补 齐； 加上64位的文件长度信息构成512*(N+1)的分组， 将这N+1组内容进行迭代压缩， 得到 最终的25 6位的杂凑值。 4.根据权利要求1所述的一种基于国密算法的SFTP多端文件安全传输的方法， 其特征 在于， 选取合适的椭圆曲线参数生成SM2的私钥d和公钥p， G为椭圆曲线上的参考点， 满足P ＝d*G。 5.根据权利要求1所述的一种基于国密算法的SFTP多端文件安全传输的方法， 其特征 在于， 对文件原内容Y加密的流程为： 使用约定的偏移量a， 采用SM4/ECB/PKCS5Padding填充 模式， 得到加密结果K＝f(Y)， 对加密结果K进行Base64 转码， 得到加密文件K'。 6.根据权利要求1所述的一种基于国密算法的SFTP多端文件安全传输的方法， 其特征 在于， 验签流程为： 使用SM2的公钥P对报文中的Y'和C进行验签C'＝v(Y',C)， 函数v(Y',C) 是将Y'做一次加签过程得到结果C'， 若C＝C'， 则验签通过； 否则验签失败， 说明报文在传输 过程中被篡改。 7.根据权利要求1所述的一种基于国密算法的SFTP多端文件安全传输的方法， 其特征 在于， 解密和摘要对比校验的流程为： 通过对文件使用SM4的密钥解密， 得到文件原 内容Y， 接着对文件原内容Y做SM3摘要y'＝h(y)， 将得到的摘要结果与消费客户端生产的摘要对比 校验， 若Y'＝y'， 则说明摘要校验通过， 文件没有被篡改； 否则文件被篡改。 8.根据权利要求1所述的一种基于国密算法的SFTP多端文件安全传输的方法， 其特征 在于， 对文件原内容Y使用对应消费客户端的SM4密钥b进行加密得到所述密文文件k＝b (y)。权　利　要　求　书 1/2 页 2 CN 114338648 A 29.根据权利要求1 ‑8任一项所述的一种基于国密算法的SFTP多端文件安全传输的方 法， 其特征在于， 还 包括： 消费客户端使用颁发的ssh秘钥证书与SFTP服务端建立ssh安全加密隧道， 进入约 定的 SFTP文件目录； 消费客户端向SFTP服务端发送文件下载请求， SFTP服务端收到下载请求后， 基于SFTP 协议将文件传输给消费客户端； 消费客户端完成文件接收后， 使用对应的SM4秘钥 对文件进行解密， 得到所需的文件原 内容。 10.一种基于国密算法的SFTP多端文件安全传输的系统， 其特征在于， 包括SFTP服务 端、 多个消费客户端， 所述SFTP服务端设有核心系统模块， 各所述消费客户端均设有文件内 容生成模块； 所述文件内容生成模块在消费客户端根据权利要求1 ‑9任一项所述的方法对文件进行 加密， 并发送到所述SFTP服 务端； 所述核心系 统模块在SFTP服务端接收文件， 根据权利要求1 ‑9任一项所述的方法对接 收到的文件进行解密， 并保存到对应的SFTP文件目录中， 以供消费客户端请求下 载。权　利　要　求　书 2/2 页 3 CN 114338648 A 3