(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210186560.5 (22)申请日 2022.02.28 (71)申请人 中国人民解 放军空军预警学院 地址 430000 湖北省武汉市江岸区黄浦大 街288号 (72)发明人 陈新　张祥东　卢浩　唐晓　黄俊　 肖蕾　贺玲　郭乐江　席秋实　 何松　刘文俭　 (74)专利代理 机构 武汉智正诚专利代理事务所 (普通合伙) 42278 专利代理师 李卫 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/30(2006.01) H04L 9/32(2006.01)H04L 9/40(2022.01) (54)发明名称 一种用于单向传输的安全认证方法 (57)摘要 本发明公开了一种用于单向传输的安全认 证方法， 包括单向密钥协商， 单向身份认 证， 单向 单向数字签名。 单向密钥协商能够在第三方无法 得知的情况下， 安全的将数据加密密钥从发送端 单向的发送到接收端， 建立了单向传输的安全加 密体系， 防止非法人员对原文件进行劫持和篡 改， 保护了单向传输数据的信息安全。 通过单向 的身份认证解决了数据接收端对发送端身份真 实性的认证， 有效确保了单向数据来源的可靠 性。 单向数字签名是对所单向传输文件或数据的 哈希值进行签名， 并运用了二次加密， 若有恶意 的第三方篡改了文件， 会导致接收文件的哈希值 与签名值不匹配， 这有效防止了违规人员向高密 级的内网注入恶意程序或软件， 也有效验证了接 收文件完整性。 权利要求书2页 说明书5页 附图3页 CN 114567431 A 2022.05.31 CN 114567431 A 1.一种用于单向传输的安全认证方法， 其特征在于： 包括单向密钥协商、 单向身份认证 与单向数字签名； 所述单向密钥协商包括以下步骤： 接收端生成单向密钥协商非对称加密密钥对、 发送 端生成单向传输所需对称加密密钥、 发送端用单向密钥协商公钥加密单向传输所需对称加 密密钥、 接收端用单向密钥协商私钥解密即可完成密钥协商； 所述单向身份认证包括以下步骤： 发送端生成单向身份认证非对称加密密钥对B； 接收 端生成单向身份认证非对称加密密钥对C； 发送端依次用公钥RSAPublicKey ‑C和私钥 RSAPrivateKey ‑B， 加密身份身份信息、 将身份信息和其密文生成单向身份认证证书； 接收 端依次用公钥RSAPublicKey ‑B和私钥RSAPrivateKey ‑C解密身份信息密文、 将明文与 单向 身份认证 证书中的身份信息对比校验； 所述单向数字签名包括以下步骤： 发送端生成单向数字签名非对称密钥对； 获取单向 传输文件； 生成消息摘要； 用单向数字签名私钥加密消息摘要生成签名； 接收端 单向接收文 件和签名； 重新对单向接 收文件生成消息摘要； 用单向数字签名公钥解密签名并与新生成 的消息摘要 进行对比； 若一 致即完成验签。 2.根据权利要求1所述的一种用于单向传输的安全认证方法， 其特征在于， 单向密钥协 商方法具体为： ①首先由高密级 网络接收端的密钥协商非对称加密密钥对管理模块， 生成单向密钥协 商非对称加密 密钥对A， 私钥RSAPrivate Key‑A自己保存， 公钥RSAPubl icKey‑A对发送端公开； ②发送端传输密钥管理模块 根据DES算法正常进行密钥初始化； ③发送端公钥加密传输密钥模块查询高密级网络接收端公开的密钥协商公钥 RSAPublicKey‑A； ④发送端公钥加密传输密钥模块用查询到的公钥RSAPublicKey ‑A对传输加密DES密钥 进行加密形成密文； ⑤发送端将密文， 通过 单向传输方式单向发送至高密级网络 接收端； ⑥接收端接收密文， 并用自己保存的密钥协商私钥RSAPrivate Key‑A对明文进行解密； ⑦若成功解密， 则密钥协商成功； 否则密钥协商失败， 终止单向传输 。 3.根据权利要求1所述的一种用于单向传输的安全认证方法， 其特征在于， 单向身份认 证方法为： ①发送端的身份认证非对称加密密钥管理模块， 指定身份认证加密解密算法为RSA， 指 定密钥的长度1024， 生成单 向身份认证非对称加密密钥对B， 私钥RSAPrivateKey ‑B自己保 存， 公钥RSAPubl icKey‑B对接收端公开； ②高密级网络接收端的身份认证非对称加密密钥管理模块， 指定身份认证加密解密算 法为RSA， 指定密钥的长度1024， 生成单向身份认证非对称加密密钥对C， 私钥 RSAPrivate Key‑C自己保存， 公钥RSAPubl icKey‑C对发送端公开； ③发送端身份认证证书管理模块查询高密级网络接收端公开的M， 并用公钥 RSAPublicKey‑C进行第一次加密自己的身份信息生成密文M； ④发送端身份认证 证书管理模块， 用私钥RSAPrivate Key‑B进行第二次加密M得到 M’； ⑤发送端身份认证证书管理模块， 将自身身份信息的明文和公钥RSAPublicKey ‑C、 私权　利　要　求　书 1/2 页 2 CN 114567431 A 2钥RSAPubl icKey‑B二次加密后的身份信息密文M ’一起打包生成身份认证 证书； ⑥发送端将身份认证 证书， 通过 单向传输方式单向发送至高密级网络 接收端； ⑦接收端接收身份认证 证书， 并读取证书内容， 提取证书中的身份信息明文和密文； ⑧接收端查询发送端 公开的公钥RSAPublicKey ‑B， 用公钥RSAPublicKey ‑B对身份密文 信息M’进行第一次解密得到 M； ⑨接收端读取私钥RSAPrivateKey ‑C， 用私钥RSAPrivateKey ‑C对身份密文信息进行第 二次解密得到身份信息明文； ⑩身份认证非对称加密密钥管理模块将二 次解密后的明文发送至身份认证、 数字签名 校验模块， 校验模块对比证书中的明文和解密后的明文， 若一致则身份认证成功， 若不一致 则身份认证失败。 4.根据权利要求1所述的一种用于单向传输的安全认证方法， 其特征在于， 单向数字签 名具体方法为： ①外网发送端的数字签名非对称加密密钥管理模块， 指定身份认证加密解密算法为 RSA， 指定密钥的长度1024， 生成单向数字签名非对称加密密钥对D， 私钥RSAPriv ateKey‑D 自己保存， 公钥RSAPubl icKey‑D对接收端公开； ②发送端读取 所需单向传输的文件或数据； ③散列值生成模块对读取的问价或数据用约定的单向散列函数SHA –512生成消息摘 要； ④SHA–512具有两个方面的特性： 一是与我们单向传输所匹配的单向性， 给定散列值， 难以计算出消息； 二是抗碰撞性， 即给定文件或数据， 要找到另一文件或数据并满足两者的 散列值很难； 基于 两个特性， 可以实现单向的RSA数字签名； ⑤发送端数字签名管理模块， 用保存的身份认证私钥RSAPrivateKey ‑D加密单向散列 函数SHA–512生成的消息摘要形成密文 ⑥发送端将所需传输文件或数据和明文 进行合并， 一同单向传输 至接收端； ⑦接收端接收接收数据， 用发送端公开的单向数字签名公钥RSAPublicKey ‑D对密文进 行解密， 得到消息摘要明文； ⑧接收端还原文件， 散列值生成模块用约定的单向散列函数SHA –512对还原文件生成 消息摘要； ⑨身份认证、 数字签名校验模块， 将公钥RSAPublicKey ‑D解密得到的消息摘要明文和 队还原文件生成的消息摘要 进行比较； ⑩若一致， 则合法； 否则， 为违法数据， 终止单向传输， 删除文件数据。权　利　要　求　书 2/2 页 3 CN 114567431 A 3