(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111340386.7 (22)申请日 2021.11.12 (71)申请人 贵州电网有限责任公司 地址 550002 贵州省贵阳市南明区滨河路 17号 申请人 南方电网数字电网研究院有限公司 (72)发明人 吴才远　邓建锋　张丽娟　李慧娟　 母天石　赖宇阳　吴昊　王依云　 欧家祥　胡厚鹏　高正浩　邓玥丹　 董天强　余云昊　李航峰　吴欣　 何沛林　陈泽瑞　肖艳红　徐宏伟　 (74)专利代理 机构 北京集智东方知识产权代理 有限公司 1 1578 代理人 孙文彬(51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 43/08(2022.01) H04L 67/303(2022.01) (54)发明名称 一种软件实现 设计的密钥协商方法 (57)摘要 本发明涉及互联网数据传输技术领域， 具体 涉及一种软件实现设计的密钥协商方法， 包括以 下步骤： S1： 接收解析密钥协商包、 构造并发送密 钥协商； 针对ISAKMP 包的结构以及 协商过程中各 个载荷进行解析和构造； S2： 实时接收和发送本 地协商模块及系统监控模块等其它模块的通信 或以及其它外部事件， 采用消息队列结合实现内 存共享； S3： 分析接收到的配置文件所需通信目 标主机， 以及通信的方式； S4： 记 录和监测各个通 道在协商过程中的运行状态， 本发 明在现有技术 上提出改进， 具有更佳的安全性， 以秘钥协商为 基础， 对于用户端的数据文件传输能够进行点式 的传输， 缩短了数据传输过程的跨域， 从而以此 中方式保证 了数据传输过程的私密性。 权利要求书2页 说明书5页 附图2页 CN 114285594 A 2022.04.05 CN 114285594 A 1.一种软件实现设计的密钥协商方法， 其特 征在于， 包括以下步骤： S1： 接收解析密钥协商包、 构造 并发送密钥协商； 针对ISAKMP包的结构以及协商过程中 各个载荷进行解析和构造； S2： 实时接收和发送本地协商模块及系统监控模块等其它模块的通信或以及其它外部 事件， 采用消息队列结合实现内存 共享； S3： 分析接收到的配置文件所需通信目标主机， 以及通信的方式； S4： 记录和监测各个通道在协商过程中的运行状态， 当协商完成时保存获取的SA； 在第 一阶段的协商完成时， 保存ISAKMP的SA； 第二阶段的协商完成时， 保存IP Sec的SA； S5： 对处于第一阶段和第二阶段协商过程的状态机的进行维护、 IPSec模块以及算法接 口进行三方通讯， 达成数据交 互。 2.根据权利要求1所述的一种软件实现设计的密钥协商方法， 其特征在于， 所述步骤S4 中第一阶段， 对应主模式， 实现通信 双方的身份鉴别和密钥协商， 最 终通信双方建立了一个 ISAKMP SA， 得到工作密钥， 用于保护第二阶段的协商过程； 第二阶段， 对应快速模式， 实现 通信双方IPSec  SA的协商， 建立两个IPSec  SA， 确认通信双方的IPSec安全策略及会话密 钥。 3.根据权利要求1所述的一种软件实现设计的密钥协商方法， 其特征在于， 密钥协商应 用于终端公网安全通信系统， 密钥协商的过程分为主模式、 快速模式， 主模式设有 六组交互 报文， 快速模式设有三组交互报文； 主模式协商过程中， 终端公网安全通信系统对IP地址、 端口等内容进 行校验， 判断中间网络是否存在NAT转换， 若检测到中间网络有NAT转换， 则协 商、 封装用的目的端口切换成45 00， 封装格式为ES P_UDP。 4.根据权利要求1所述的一种软件实现设计的密钥协商方法， 其特征在于， 所述步骤S3 中数据传输通道设置有管理通道表， 管理通道表与 协商模块内核空间的安全策略数据库相 对应。 5.根据权利要求1所述的一种软件实现设计的密钥协商方法， 其特征在于， 所述步骤S4 中客户端和服 务器之间通道为多对一的关系， 且通道涧 程≤1。 6.根据权利要求1所述的一种软件实现设计的密钥协商方法， 其特征在于， 秘钥协商过 程中应用Ipsec接口， Ipsec接口搭载通信传输隧道支持UDP_隧道、 常规隧道、 传输、 UDP传输 四种封装 模式， 隧道加密过程支持国密SM1、 SM 3、 SM4算法。 7.根据权利要求1所述的一种软件实现设计的密钥协商方法， 其特征在于， 外出的需要 加密的数据文件调用终端公网安全通信系统进 行加密封装后发送出去； 进入的需要解密的 数据文件调用终端公网安全通信系统进行解密解封后发送到被保护主机 。 8.根据权利要求1所述的一种软件实现设计的密钥协商方法部署有软件实现设计的密 钥协商使用方法， 其特 征在于， 包括以下步骤： Stp1： 获取目标 软件功能属性要求及性能属性， 选择基础秘钥原型； Stp2： 根据基础秘钥原型设计适配型秘钥运行方案， 待运行方案向上汇报通过开始部 署； Stp3： 根据基础秘钥原型设计适配型秘钥运行方案， 待运行方案向上汇报通过开始部 署； Stp4： 秘钥生命周期选择与设定；权　利　要　求　书 1/2 页 2 CN 114285594 A 2Stp5： 将单项通信端设置为接收站点， 禁止数据以中转传递的方式进行传输； Stp6： 对单项通行端 进行始发站、 终点站编号， 编号后缀保持一 致； Stp7： 对秘钥相应数据进行加密后开始传输 。 9.根据权利要求8所述的一种软件实现设计的密钥协商方法， 其特征在于， 所述步骤 Stp4秘钥的使用生命周期由用户根据实际使用需求进 行设定， 其秘钥生命周期 选择项由用 户设定后供用户快捷选择。 10.根据权利要求8所述的一种软件实现设计的密钥协商方法， 其特征在于， 服务器所 用本地存储保护密钥分拆成两个分量存储在NVRAM中， 除毁钥、 初始 化本地存储密钥和自测 试API外， NVRAM不 提供其他直接会导 致对主密钥进行访问、 使用、 修改的功能。权　利　要　求　书 2/2 页 3 CN 114285594 A 3