(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111524955.3 (22)申请日 2021.12.14 (71)申请人 成都国泰网信科技有限公司 地址 610000 四川省成 都市高新区孵化园1 号楼B座401 申请人 北京国泰网信科技有限公司 (72)发明人 李欣　李元正　程茂林　陈位仅　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 代理人 张杰 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于国密算法具备SSL和IPsec的加密方法 及装置 (57)摘要 本发明公开了一种基于国密算法具备SSL和 IPsec的加密方法及装置， 当业务系统采用终端 主动连接主站这种单向链接时， 使用SSL协议进 行安全处理： 当终端需要连接主站时， 基于国密 算法的密码技术首先对终端进行数字认证与后 续加密处理商定， 当认证通过并敲定通信过程中 的加密细节后， 便从此链接进行数据接收； 当业 务系统采用终端 ‑主站， 主站 ‑终端这种双向链接 时， 使用IPsec协议进行安全处理： IPsec协议簇 直接在ISO模型的三层对每一包数据进行认证加 密， 此时主站和终端设备之间的应用层通信都将 通过IPsec协议簇进行认证加密来保证安全性。 本发明极大程度避免或减少了因终端通过公网 直接接入而引发的安全 事故的风险。 权利要求书2页 说明书5页 附图2页 CN 114157509 A 2022.03.08 CN 114157509 A 1.一种基于国密算法具 备SSL和IPsec的加密方法， 其特 征在于， 包括： 当业务系统采用终端主动连接主站这种单向链接时， 使用SSL协议进行安全处理： 当终 端需要连接主站时， 基于国密算法的密码技术首先对终端进 行数字认证与后续加密处理商 定， 当认证通过并敲定通信过程中的加密细节后， 便从此链接进 行数据接收， 将接收到数据 剥离SSL/TCP/IP信息后， 再进行私有协议的身份认证， 认证通过的便根据其权限允许该链 接的终端访问内网对其 开放权限的部分， 对可访问的部分 建立链接并转发业 务数据； 当业务系统采用终端 ‑主站， 主站 ‑终端这种双向链接时， 使用IPsec协议进行安全处 理： IPsec协议簇直接在ISO模型的三层对每一包数据进行认证加密， 此时主站和终端设备 之间的应用层通信都将通过IPsec协议簇进行认证加密来保证安全性， 终端与主站之间相 互建立链接时在ISO 网络模型的第三层就进行双方的身份验证与基于国密算法的密码技术 加密， 验证不通过的就无法建立应用层的链接； 当终端身份认证通过后， 对收到的每一包网 络数据进行IPsec协议簇剥离并向主站 链接进行 数据转发。 2.根据权利 要求1所述的基于国密算法具备SSL和IP sec的加密方法， 其特征在于， 使用 SSL协议进行安全处理 时， 被动接受公网侧终端建立的安全性未知的网络链接， 再对建立了 网络链接的公网侧终端的身份进 行基于国密算法的验证及加密通信的细节商定， 确定可信 的SSL链接后再进行后续的通信。 3.根据权利 要求1所述的基于国密算法具备SSL和IP sec的加密方法， 其特征在于， 使用 SSL协议进行安全处 理时， 终端请求与主站通信时再主动与主站建立链接 。 4.根据权利 要求1所述的基于国密算法具备SSL和IP sec的加密方法， 其特征在于， 使用 SSL协议进行安全处理时， 收到网络数据后， 剥除掉SSL/TCP/IP协议， 只保留基础业务数据 部分。 5.根据权利 要求1所述的基于国密算法具备SSL和IP sec的加密方法， 其特征在于， 使用 IPsec协议进行安全处理时， IPsec协议部署 于ISO模型的第三层， 其对IP层以上的内容进行 认证加密。 6.一种基于国密算法具备SSL和IPsec的加密装置， 其特征在于， 所述加密装置设置于 内网终端与主站的链路 之间， 其中： 当业务系统采用终端主动连接主站这种单向链接时， 所述加密装置使用SSL协议进行 安全处理： 当终端需要连接主站 时， 所述加密装置基于 国密算法的密码技术首先对终端进 行数字认证与后续加密处理商定， 当认证通过并敲定通信过程中的加密细节后， 便从此链 接进行数据接收， 将 接收到数据剥离SSL/TCP/IP信息后， 再进行私有协议的身份认证， 认证 通过的便根据其权限允许该链接的终端访问内网对其开放权限的部 分， 对可访问的部 分建 立链接并转发业 务数据； 当业务系统采用终端 ‑主站， 主站 ‑终端这种双向链接时， 所述加密装置使用IPsec协议 进行安全处理： IPsec协议簇直接在ISO模型的三层对每一包数据进行认证加密， 此时主站 和终端设备之间的应用层通信都将通过IPsec协议簇进行认证加密来保证安全性， 终端与 主站之间相互建立链接时通过所述加密 装置在ISO 网络模型的第三层就进行双方的身份验 证与基于 国密算法的密码技术加密， 验证不通过的就无法建立应用层的链接； 当所述加密 装置对终端身份认证通过后， 对收到的每一包网络数据进行IPsec协议簇剥离并向主站链 接进行数据转发。权　利　要　求　书 1/2 页 2 CN 114157509 A 27.根据权利 要求6所述的基于国密算法具备SSL和IP sec的加密装置， 其特征在于， 使用 SSL协议进行安全处理时， 所述加密装置被动接受公网侧终端建立的安全性未知的网络链 接， 再对建立了网络链接的公网侧终端的身份进 行基于国密算法的验证及加密通信的细节 商定， 确定可信的S SL链接后再进行后续的通信。 8.根据权利 要求6所述的基于国密算法具备SSL和IP sec的加密装置， 其特征在于， 使用 SSL协议进行安全处 理时， 终端请求与主站通信时再主动与主站建立链接 。 9.根据权利 要求6所述的基于国密算法具备SSL和IP sec的加密装置， 其特征在于， 使用 SSL协议进行安全处理时， 收到网络数据后， 剥除掉SSL/TCP/IP协议， 只保留基础业务数据 部分。 10.根据权利要求6所述的基于国密算法具备SSL和IPsec的加密装置， 其特征在于， 使 用IPsec协议进行安全处理时， IPsec协议部署于ISO模 型的第三层， 其对IP层以上的内容进 行认证加密。权　利　要　求　书 2/2 页 3 CN 114157509 A 3