RJMU401国密算法应用流程

擎峰

    1、需要有一主机发起认证指令，监控端收到对应指令后，会产生一个随机数（会2、此SM4的会话密钥不会明文传输，监控端查找对应车载用户端的公钥进行加3、每一个车载用户端存放一个或者两个SM2密钥对，可采用CA证书形式。证




一、国密芯片RJMU401数據加密传输、身份认证及数据完整性保证
1、 传输信道中的数據都采用SM4分組加密算法，保證数据传輸时数據的機密性；
2、 使用散列算法SM3保证数据的完整性，以防止数据在傳輸的过程中被篡改；
3、 使用非对称算法SM2的私钥签名來保证数据的不可抵赖性，確保数据是从某一个確定的车载用户端發出；
4、 具體流程如下：
a、 用户数据使用SM3进行散列運算得到數据摘要，再使用非对称算法SM2進行摘要签名；
b、 同时使用对称算法SM4的密钥对数据摘要进行加密并传输给安全模块；
c、 使用同一个对稱算法SM4密钥对用户数據進行加密，并將加密后的密文传输给监控端；
d、 监控端收到数據密文后，使用对应的密钥进行对称算法SM4解密，并使用散列算法对解密后的数据進行運算得到數據摘要1；
e、 監控端对收到的摘要签名进行對称算法SM4解密，再经过非對称算法解密得到最初的数据摘要2；
f、 对比数据摘要1和數据摘要2，若两者相等则认为傳輸数据具備完整性；否则认為数据出错；

   
图
1
、数据加密传输、數据完整性及签名认证流程
補充说明：
1、 需要有一主机发起認证指令，监控端收到对应指令后，会产生一個随機数（会话密钥），可用該随机數作為對称加密SM4的单次密鑰，用于加密传输的数据；
2、 此SM4的会话密钥不会明文傳输，監控端查找对应车载用户端的公钥进行加密，传给对應的車载用戶端，車载用户端收到数據后，用自己的SM2私钥解密，即可得到此次会话密鑰。（會话密钥采用非对称密钥机制进行傳输）
3、 每一个車载用戶端存放一个或者两个SM2密钥对，可采用CA证書形式。证书在車载用户端生产时候預置进安全芯片RJMU401，监控端存储所有的车载用戶端的SM2密鑰对（证書）。