(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210099201.6 (22)申请日 2022.01.27 (71)申请人 华南师范大学 地址 510631 广东省广州市天河区中山大 道西55号华南师范大学计算机学院 (72)发明人 龚征　郝金福　邓伟杰　谢南江　 邓童夏　王磊　陈锦海　汤宇锋　 刘恒星　 (74)专利代理 机构 广州市华学知识产权代理有 限公司 4 4245 专利代理师 李斌 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 基于白盒密码服务的透明化物联网安全传 输方法及装置 (57)摘要 本发明公开了一种基于白盒密码服务的透 明化物联网安全传输方法及装置， 方法包括： 身 份认证过程， 网关客户端发送身份序列号至白盒 密服系统， 白盒密服系统进行身份验证并返回通 行证； 网关客户端使用获取的白盒密钥表对约定 数据进行加密， 并将加密后数据发至网关服务 端； 白盒密服系统对数据进行解密， 并返回解密 后的明文数据， 网关服务端验证明文数据是否为 约定数据， 是则验证通过； 安全数据传输过程， 物 联网设备发送明文数据至网关客户端； 网关客户 端和网关网服务端按设定的数据安全传输服务 进行安全数据传输； 网关服务端将数据发送至应 用服务。 本发 明不仅解决了兼容不安全的物联网 系统的问题， 还解决了物联网设备在非受信环境 下密钥泄 露问题。 权利要求书3页 说明书11页 附图4页 CN 114448624 A 2022.05.06 CN 114448624 A 1.基于白盒密码服务的透明化物联网安全传输方法， 其特征在于， 包括下身份认证过 程和安全数据传输过程； 所述身份认证过程具体为： 网关客户端发送身份序列号至白盒密服系统， 白盒密服系统进行身份验证并返回通行 证， 网关客户端通过通行证获取白盒密钥表； 网关客户端使用获取的白盒密钥表对约定数据进行加密， 并将加密后数据发至网关服 务端； 网关服务端收到密文数据后， 将数据发送给白盒密服系统， 白盒密服系统对数据进行 解密， 并返回解密后的明文数据， 网关服务端验证明文数据是否为约定数据， 是则验证通 过， 不是则验证失败； 所述安全数据传输过程具体为： 物联网设备发送明文数据至网关客户端； 网关客户端将数据发送至网关网服务端前会使用上述获取白盒密钥表通过白盒密码 算法对数据进行加密； 网关服务端接 收到数据后， 调用白盒密码服务的解密接口对接 收的 数据进行解密； 网关服务端将解密后数据发送至应用服 务。 2.根据权利要求1所述基于白盒密码服务的透 明化物联网安全传输方法， 其特征在于， 在网关客户端和网关服务端建立安全传输隧道， 所述安全传输隧道基于安全透传协议实 现， 所述安全透传协 议通过对TCP/IP协议族增加白盒加解密安全层实现； 在 主机A的应用层 数据发送至传输层时， 使用白盒密码算法对数据进行加密， 主机B收到数据后， 数据经传输 层发送至应用层前， 使用白盒密码算法对数据进行解密； 所述安全透传协议一方面用于身 份认证， 认证网关客户端的合法性， 另一方面进 行数据传输， 实现 网关客户端和网关服务端 数据的透明传输 。 3.根据权利要求1所述基于白盒密码服务的透 明化物联网安全传输方法， 其特征在于， 所述白盒密服系统具体为： 密钥分发， 利用白盒密钥库中封装接口， 生成白盒加/解密密钥表文件， 并分发白盒密 钥表至网关客户端； 身份验证， 验证接入的网关客户端身份， 验证身份是否有效， 有效方方可进行白盒密钥 表获取操作； 密钥管理功能， 对接入的白盒国密网关身份进行管理， 对所有由白盒密服系统生成的 密钥表进行 管理； 白盒SM4加解密， 对接入的网关服务端传输的加密数据和身份序列， 查询云安全存储的 相关白盒密钥表， 对消息进行解密操作， 并将解密数据返还至网关服 务端。 4.根据权利要求1所述基于白盒密码服务的透 明化物联网安全传输方法， 其特征在于， 所述设定的数据安全传输服 务具体为： 应用A创建数据包， 并将数据包由主机A的用户态发送至内核态网络协议栈A； 网络协议栈A对数据包添加传输层头 部、 IP头部操作， 并将数据转发至虚拟网卡A； VPN应用A监控虚拟网卡A， 使用白盒SM4算法CBC模式或GCM模式对监控的数据包进行加 密， 使用CBC MAC或GCMMAC生成数据包认证码；权　利　要　求　书 1/3 页 2 CN 114448624 A 2VPN应用A将加密后的数据再写回到虚拟网卡A； 虚拟网卡A将写入的数据发送至网络协议栈A； 网络协议栈A对数据包再次进行封包处 理， 之后将数据发送到物理网卡A； 物理网卡A通过互联网将数据包发送至物理网卡B； 物理网卡B收到数据后， 将数据交由网络协议栈B处 理； 网络协议栈B对数据包拆包， 去掉 IP头部和传输层头 部后将数据发送给虚拟网卡B； VPN应用B监控虚拟网卡B， 使用相对应的白盒SM4算法CBC模式或GCM模式对监控的数据 包进行解密； 并通过CBC  MAC或GCM  MAC方式对数据包认证码进行验证， 来验证数据包完整 性； VPN应用B将解密后的数据再写回到虚拟网卡B； 虚拟网卡B将数据转发至网络协议栈B； 网络协议栈B对数据包进行 再次拆包处 理， 并将拆包后数据发送到用户态应用B。 5.根据权利要求4所述基于白盒密码服务的透 明化物联网安全传输方法， 其特征在于， 所述使用白盒SM4 算法CBC模式的加密过程如下： 将数据按照8个字节一组进行分组得到D1， D2， ......， Dn， 若数据 不是8的整数倍， 使用 PKCS#7对数据进行填充； 第一组数据D1与初始化向量 IV异或后的结果进行白盒SM4加密得到第一组密文C1； 第二组数据D2与第一组的加密结果C1异或以后的结果进行 白盒SM4加密， 得到第二组 密文C2； 之后的数据以此类 推， 得到Cn； 按顺序连为C1， C2， C 3， ......， Cn即为加密结果。 6.根据权利要求5所述基于白盒密码服务的透 明化物联网安全传输方法， 其特征在于， 白盒SM4算法CBC模式解密过程如下： 将数据按照8个字节一组进行分组得到 C1， C2， ......， Cn； 将第一组数据进行解密后与初始化向量 I进行异或得到第一组明文D1； 将第二组数据C2进行解密后与第一组密文数据进行异或得到第二组数据D2； 之后依此类 推， 得到Dn； 按顺序连为D1， D2， ......， Dn即为解密结果， 如果加密前对数据进行P KCS#7填充， 则需 要去除填充数据。 7.根据权利要求5所述基于白盒密码服务的透 明化物联网安全传输方法， 其特征在于， 使用CBC MAC和GCMMAC保护传输数据的完整性， 具体为： CBCMAC生成消息认证码过程： 首先将明文数据按照8个字节一组进行分组得到D1， D2， ......， Dn， 若数据不是8的整 数倍， 使用PKCS#7对数据进行填充； 第一组数据D1与初始化向量 IV异或后的结果进行白盒SM4加密得到第一组密文H1； 第二组数据D2与第一组的加密结果H1异或以后的结果进行 白盒SM4加密， 得到第二组 密文H2； 之后的数据以此类 推， 最后得到 Hn即为消息认证码； CBCMAC验证过程：权　利　要　求　书 2/3 页 3 CN 114448624 A 3