一种基于TCP的SM3数字签名认证方法、装置及设备与流程

本说明书涉及通信技术领域，尤其涉及一种基于tcp的sm3数字签名认证方法、装置及设备。

背景技术：

数字签名是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名，但是使用了密码加密领域的技术来实现的，用于鉴别数字信息的方法。

随着技术的不断更新，现有的数字签名认证方式被破解的可能性越来越高，所以，现在需要一种更安全的数字签名认证方式。

技术实现要素：

本说明书一个或多个实施例提供了一种基于tcp的sm3数字签名认证方法、装置及设备，用于解决如下技术问题：现在需要一种更安全的数字签名认证方式。

本说明书一个或多个实施例采用下述技术方案：

本说明书一个或多个实施例提供的一种基于tcp的sm3数字签名认证方法，包括：

第一通信端设置与第二通信端相同的第一密码；

所述第一通信端接收所述第二通信端发送的在tcp选项中携带第一sm3数字签名的同步报文，所述tcp选项包括所述第一sm3数字签名与tcp相关信息；

所述第一通信端根据所述第一密码与所述tcp相关信息确定第二sm3数字签名，在验证出所述第一sm3数字签名与所述第二sm3数字签名相同时，确定出所述第一sm3数字签名认证通过。

本说明书一个或多个实施例提供的一种基于tcp协议的sm3数字签名认证装置，包括：

配置单元，用于第一通信端设置与第二通信端相同的第一密码；

报文接收单元，用于所述第一通信端接收所述第二通信端发送的在tcp选项中携带第一sm3数字签名的同步报文，所述tcp选项包括所述第一sm3数字签名与tcp相关信息；

签名认证单元，用于所述第一通信端根据所述第一密码与所述tcp相关信息确定第二sm3数字签名，在验证出所述第一sm3数字签名与所述第二sm3数字签名相同时，确定出所述第一sm3数字签名认证通过。

本说明书一个或多个实施例提供的一种基于tcp协议的sm3数字签名认证设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

第一通信端设置与第二通信端相同的第一密码；

所述第一通信端接收所述第二通信端发送的在tcp选项中携带第一sm3数字签名的同步报文，所述tcp选项包括所述第一sm3数字签名与tcp相关信息；

所述第一通信端根据所述第一密码与所述tcp相关信息确定第二sm3数字签名，在验证出所述第一sm3数字签名与所述第二sm3数字签名相同时，确定出所述第一sm3数字签名认证通过。

本说明书一个或多个实施例提供的一种非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：

第一通信端设置与第二通信端相同的第一密码；

所述第一通信端接收所述第二通信端发送的在tcp选项中携带第一sm3数字签名的同步报文，所述tcp选项包括所述第一sm3数字签名与tcp相关信息；

所述第一通信端根据所述第一密码与所述tcp相关信息确定第二sm3数字签名，在验证出所述第一sm3数字签名与所述第二sm3数字签名相同时，确定出所述第一sm3数字签名认证通过。

本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果：本说明书实施例通过第一通信端与第二通信端设置相同的第一密码，在第一通信端接收到第二通信端发送的在tcp选项中携带第一sm3数字签名的同步报文时，通过第一密码对第一sm3数字签名进行认证，由于第一密码仅存储于第一通信端与第二通信端，在对第一sm3数字签名进行认证时可以极大保证安全性。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1为本说明书一个或多个实施例提供的一种基于tcp的sm3数字签名认证方法的流程示意图

图2为本说明书一个或多个实施例提供的当前通信端设置密码的流程示意图；

图3为本说明书一个或多个实施例提供的发送同步报文的流程示意图；

图4为本说明书一个或多个实施例提供的sm3数字签名认证的流程示意图；

图5为本说明书一个或多个实施例提供的一种基于tcp协议的sm3数字签名认证装置的结构示意图；

图6为本说明书一个或多个实施例提供的一种基于tcp协议的sm3数字签名认证设备的结构示意图。

具体实施方式

本说明书实施例提供一种基于tcp的sm3数字签名认证方法、装置及设备。

为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。

目前linux的tcp协议的安全认证算法大都采用md5消息摘要认证，tcpmd5选项主要是用在强化bgp协议的安全性，其基本原理是在tcppdu的选项中携带md5消息摘要。这个消息摘要的认证行为类似于对这个报文做数字签名，其中包含着只有通信双方互相认证的信息。bgp协议使用tcp作为其传输层协议，使用tcpmd5签名认证会有效减少安全隐患。

但在近些时候提出了md5算法的碰撞攻击方法，使得md5算法不再安全。

本说明书实施例采用sm3算法来实现数字签名的安全认证。

图1为本说明书一个或多个实施例提供的一种基于tcp的sm3数字签名认证方法的流程示意图，该流程可以由通信领域的计算设备执行，流程中的某些输入参数或者中间结果允许人工干预调节，以帮助提高准确性。

图1中的流程可以包括以下步骤：

s101：第一通信端设置与第二通信端相同的第一密码。

在本说明书一个或多个实施例中，本步骤可以具体包括：在存储于本地的密码池中，第一通信端根据第二通信端的网络地址(ipv4地址或者ipv6地址)和协议号(ipv4为2或者ipv6为10)，判断本地的密码池中是否存在关联的第二密码；第一通信端若判断出本地的密码池存在关联的第二密码，将第二密码替换为第一密码；第一通信端若判断出本地的密码池中不存在关联的第二密码，分配包含sm3算法的sm3数字签名池，将第一密码与第二通信端的网络地址及协议号进行关联。其中，第一密码与第二密码可以为明文密码。

需要说明的是，第二密码可以为上一次认证sm3数字签名时设置的密码，若存在第二密码，可以说明第一通信端存在sm3数字签名池。此外，密码池可以用来存储相关联的第一密码与第二通信端的网络地址及协议号，在需要第一密码时，可以通过第二通信端的网络地址及协议号进行查找。

进一步的，在本说明书一个或多个实施例中，第一通信端若判断出本地的密码池中不存在关联的第二密码，分配包含sm3算法的sm3数字签名池，具体可以包括：

第一通信端若判断出本地的密码池中不存在关联的第二密码，在判断出不存在sm3数字签名池时，分配sm3数字签名池；在判断出存在sm3数字签名池时，将第一密码与第二通信端的网络地址及协议号进行关联。

s102：第一通信端接收第二通信端发送的在tcp选项中携带第一sm3数字签名的同步报文，tcp选项包括第一sm3数字签名与tcp相关信息。

在本说明书一个或多个实施例中，本步骤可以具体包括：第二通信端在本地获取sm3数字签名池，在本地获取tcp相关信息，根据第一通信端的网络地址与协议号获取本地存储的第一密码，并根据sm3数字签名池中的sm3算法、tcp相关信息与第一密码确定出第一sm3数字签名，将在tcp选项中携带第一sm3数字签名的同步报文发送至第一通信端；第一通信端接收同步报文。其中，同步报文内包含tcp选项。

进一步的，在本说明书一个或多个实施例中，第二通信端在本地获取sm3数字签名池之前，方法还包括：第二通信端根据第一通信端的网络地址和协议号，判断本地的密码池中是否存在第一密码；第二通信端若判断出本地的密码池存在第一密码，执行第二通信端在本地获取sm3数字签名池的步骤；第二通信端若判断出本地的密码池中不存在第一密码，将同步报文发送至第一通信端(tcp选项中不携带第一sm3数字签名的同步报文)。

s103：第一通信端根据第一密码与tcp相关信息确定第二sm3数字签名，在验证出第一sm3数字签名与第二sm3数字签名相同时，确定出第一sm3数字签名认证通过。

在本说明书一个或多个实施例中，本步骤可以具体包括：第一通信端在tcp选项中获取第一sm3数字签名；第一通信端在tcp选项中获取tcp相关信息，并在本地获取第一密码；第一通信端根据tcp相关信息与本地的第一密码确定第二sm3数字签名。

进一步的，在本说明书一个或多个实施例中，第一通信端在tcp选项中获取第一sm3数字签名之前，方法还包括：第一通信端根据第二通信端的网络地址和协议号，判断本地的密码池中是否存第一密码；第一通信端若判断出本地的密码池中存在第一密码，执行第一通信端在tcp选项中获取第一sm3数字签名的步骤；第一通信端若判断出本地的密码池中不存在第一密码，确定出第一sm3数字签名认证不通过。

进一步的，tcp相关信息包括tcp伪首部信息与tcp协议头信息，tcp伪首部信息包括源网络地址、目的网络地址、协议号与报文长度。

进一步的，本说明书实施例还可以由下述内容实现，涉及第一端与第二端，参见图2，示出了当前通信端设置密码的流程示意图，该密码用于sm3数字签名认证，第一端为本端，第二端为对端，具体可以包括：

步骤11：在当本端与对端设置相同的密码；

步骤12：在本地存储的密码池中，根据对端的网络地址(ipv4地址或者ipv6地址)和协议号(ipv4为2或者ipv6为10)查找密码(该密码为上一次进行sm3数字签名认证所用到的密码)，如果找到密码，则将该密码更新为设置的密码，否则继续执行下面的步骤；

步骤13：检查是否分配sm3数字签名认证池，如果没有分配sm3数字签名池，则分配新的sm3数字签名池，同时在存储于本地的密码池中将对端网络地址及协议号与设置的密码进行关联。

进一步的，参见图3，示出了发送同步报文的流程示意图，第一端为对端，第二端为本端，具体可以包括：

步骤21：在本地存储的密码池中，根据对端的网络地址(ipv4地址或者ipv6地址)和协议号(ipv4为2或者ipv6为10)查找设置的密码，如果找不到到该密码，那就不用在syn报文(同步报文)中的tcp选项中携带sm3数字签名；

步骤22：如果找到对应的密码，那么执行下面sm3数字签名的计算：

a)获取sm3数字签名池；

b)获取tcp伪首部(包含源ip、目的ip、tcp协议号、报文长度)信息；

c)获取tcp协议头信息；

d)获取本地存储的密码；

e)根据b、c、d三步获取到的信息组成sm3认证所用的消息字，并使用sm3数字签名池中的sm3算法计算出sm3数字签名，在tcp选项中填入sm3数字签名；

步骤23：发送在tcp选项中携带sm3数字签名信息的syn报文。

进一步的，参见图4，示出了sm3数字签名认证的流程示意图，第一端为本端，第二端为对端，具体可以包括：

步骤31：在本地存储的密码池中，根据对端的网络地址(ipv4地址或者ipv6地址)和协议号(ipv4为2或者ipv6为10)查找设置的密码，如果找不到该密码，则表示此次认证失败，tcp连接建立失败，否则继续下面的步骤；

步骤32：如果找到该密码，则开始下面sm3数字签名的认证：

a)在tcp选项获取sm3数字签名；

b)获取tcp伪首部(包含源ip、目的ip、tcp协议号、报文长度)信息；

c)获取tcp协议头信息；

d)获取本地存储的密码；

e)根据b、c、d三步获取到的信息组成sm3认证所用的消息字，并使用sm3算法计算出sm3数字签名；

c)如果新计算出来sm3数字签名和tcp选项中获取sm3数字签名一致则认证通过。

需要说明的是，sm3算法是中国国家密码管理局公布的中国商用密码杂凑算法标准。sm3算法适用于商用密码应用中的数字签名和验证，是在sha-256基础上改进实现的一种算法。sm3算法采用merkle-damgard结构，消息分组长度为512位，摘要值长度为256位。到目前为止，sm3算法的安全性相对较高。

此外，本说明书实施例中的sm3数字签名认证的关键是采用非对称加密算法保证了不知道密码的情况下无法认证成功，而且比国际上使用的md5更安全，保证了网络通信中的数据安全。

图5为本说明书一个或多个实施例提供的一种基于tcp协议的sm3数字签名认证装置的结构示意图，包括：配置单元1、报文接收单元2与签名认证单元3。

配置单元1用于第一通信端设置与第二通信端相同的第一密码；

报文接收单元2用于第一通信端接收第二通信端发送的在tcp选项中携带第一sm3数字签名的同步报文，tcp选项包括第一sm3数字签名与tcp相关信息；

签名认证单元3用于第一通信端根据第一密码与tcp相关信息确定第二sm3数字签名，在验证出第一sm3数字签名与第二sm3数字签名相同时，确定出第一sm3数字签名认证通过。

图6为本说明书一个或多个实施例提供的一种基于tcp协议的sm3数字签名认证设备的结构示意图，包括：

至少一个处理器；以及，

与至少一个处理器通信连接的存储器；其中，

存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够：

第一通信端设置与第二通信端相同的第一密码；

第一通信端接收第二通信端发送的在tcp选项中携带第一sm3数字签名的同步报文，tcp选项包括第一sm3数字签名与tcp相关信息；

第一通信端根据第一密码与tcp相关信息确定第二sm3数字签名，在验证出第一sm3数字签名与第二sm3数字签名相同时，确定出第一sm3数字签名认证通过。

本说明书一个或多个实施例提供的一种非易失性计算机存储介质，存储有计算机可执行指令，计算机可执行指令设置为：

第一通信端设置与第二通信端相同的第一密码；

第一通信端接收第二通信端发送的在tcp选项中携带第一sm3数字签名的同步报文，tcp选项包括第一sm3数字签名与tcp相关信息；

第一通信端根据第一密码与tcp相关信息确定第二sm3数字签名，在验证出第一sm3数字签名与第二sm3数字签名相同时，确定出第一sm3数字签名认证通过。

在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进(例如，对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑器件(programmablelogicdevice,pld)(例如现场可编程门阵列(fieldprogrammablegatearray，fpga))就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片pld上，而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且，如今，取代手工地制作集成电路芯片，这种编程也多半改用“逻辑编译器(logiccompiler)”软件来实现，它与程序开发撰写时所用的软件编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描述语言(hardwaredescriptionlanguage，hdl)，而hdl也并非仅有一种，而是有许多种，如abel(advancedbooleanexpressionlanguage)、ahdl(alterahardwaredescriptionlanguage)、confluence、cupl(cornelluniversityprogramminglanguage)、hdcal、jhdl(javahardwaredescriptionlanguage)、lava、lola、myhdl、palasm、rhdl(rubyhardwaredescriptionlanguage)等，目前最普遍使用的是vhdl(very-high-speedintegratedcircuithardwaredescriptionlanguage)与verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。

控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(applicationspecificintegratedcircuit，asic)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：arc625d、atmelat91sam、microchippic18f26k20以及siliconelabsc8051f320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本说明书实施例可提供为方法、系统、或计算机程序产品。因此，本说明书实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本说明书实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、设备、非易失性计算机存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

以上所述仅为本说明书的一个或多个实施例而已，并不用于限制本说明书。对于本领域技术人员来说，本说明书的一个或多个实施例可以有各种更改和变化。凡在本说明书的一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书的权利要求范围之内。