RJMU401國密算法應(yīng)用流程

一、國密芯片RJMU401數(shù)據(jù)加密傳輸、身份認(rèn)證及數(shù)據(jù)完整性保證

1、 傳輸信道中的數(shù)據(jù)都采用SM4分組加密算法，保證數(shù)據(jù)傳輸時數(shù)據(jù)的機(jī)密性；

2、 使用散列算法SM3保證數(shù)據(jù)的完整性，以防止數(shù)據(jù)在傳輸?shù)倪^程中被篡改；

3、 使用非對稱算法SM2的私鑰簽名來保證數(shù)據(jù)的不可抵賴性，確保數(shù)據(jù)是從某一個確定的車載用戶端發(fā)出；

4、 具體流程如下：

a、 用戶數(shù)據(jù)使用SM3進(jìn)行散列運(yùn)算得到數(shù)據(jù)摘要，再使用非對稱算法SM2進(jìn)行摘要簽名；

b、 同時使用對稱算法SM4的密鑰對數(shù)據(jù)摘要進(jìn)行加密并傳輸給安全模塊；

c、 使用同一個對稱算法SM4密鑰對用戶數(shù)據(jù)進(jìn)行加密，并將加密后的密文傳輸給監(jiān)控端；

d、 監(jiān)控端收到數(shù)據(jù)密文后，使用對應(yīng)的密鑰進(jìn)行對稱算法SM4解密，并使用散列算法對解密后的數(shù)據(jù)進(jìn)行運(yùn)算得到數(shù)據(jù)摘要1；

e、 監(jiān)控端對收到的摘要簽名進(jìn)行對稱算法SM4解密，再經(jīng)過非對稱算法解密得到初的數(shù)據(jù)摘要2；

f、 對比數(shù)據(jù)摘要1和數(shù)據(jù)摘要2，若兩者相等則認(rèn)為傳輸數(shù)據(jù)具備完整性；否則認(rèn)為數(shù)據(jù)出錯；       

補(bǔ)充說明：

1、 需要有一主機(jī)發(fā)起認(rèn)證指令，監(jiān)控端收到對應(yīng)指令后，會產(chǎn)生一個隨機(jī)數(shù)（會話密鑰），可用該隨機(jī)數(shù)作為對稱加密SM4的單次密鑰，用于加密傳輸?shù)臄?shù)據(jù)；

2、 此SM4的會話密鑰不會明文傳輸，監(jiān)控端查找對應(yīng)車載用戶端的公鑰進(jìn)行加密，傳給對應(yīng)的車載用戶端，車載用戶端收到數(shù)據(jù)后，用自己的SM2私鑰解密，即可得到此次會話密鑰。（會話密鑰采用非對稱密鑰機(jī)制進(jìn)行傳輸）

3、 每一個車載用戶端存放一個或者兩個SM2密鑰對，可采用CA證書形式。證書在車載用戶端生產(chǎn)時候預(yù)置進(jìn)安全芯片RJMU401，監(jiān)控端存儲所有的車載用戶端的SM2密鑰對（證書）。