1.1 引言/導讀

中國信息通信研究院作為工業(yè)和信息化部直屬科研事業(yè)單位，致力于工業(yè)互聯(lián)網(wǎng)領(lǐng)域技術(shù)研究工作，為我國工業(yè)互聯(lián)網(wǎng)發(fā)展提供技術(shù)保障。同時，我院于2020年正式成立密碼應用推進中心，推進我國商用密碼基礎(chǔ)科研能力建設(shè)。我國目前在加快構(gòu)建工業(yè)和信息化領(lǐng)域完備的商用密碼應用標準體系的同時，堅持創(chuàng)新驅(qū)動，圍繞制造強國、網(wǎng)絡強國戰(zhàn)略重點領(lǐng)域，積極推動新興技術(shù)與密碼技術(shù)深度融合和協(xié)同創(chuàng)新。

工業(yè)互聯(lián)網(wǎng)標識解析體系作為關(guān)鍵信息基礎(chǔ)設(shè)施，遵循我國《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》。隨著條例的正式發(fā)布，國家對密碼類安全產(chǎn)品的“安全可控”能力顯得尤為必要，國產(chǎn)密碼算法的驗證研究迫在眉睫。中國信息通信研究院將國產(chǎn)密碼算法融入到工業(yè)互聯(lián)網(wǎng)標識解析體系中，形成對應用、推廣、迭代的研究方案，并積極開展基礎(chǔ)理論、創(chuàng)新模式、關(guān)鍵技術(shù)與標準、應用試驗驗證等技術(shù)研究，提升標識解析體系整體安全防護能力，切實保護工業(yè)互聯(lián)網(wǎng)信息數(shù)據(jù)安全，為我國工業(yè)互聯(lián)網(wǎng)發(fā)展保駕護航。

1.2 關(guān)鍵詞

  商用/國產(chǎn)密碼算法、標識解析服務、遞歸解析服務

1.3 測試床項目承接主體

1.3.1 發(fā)起公司和主要聯(lián)系人聯(lián)系方式

發(fā)起公司：中國信息通信研究院

聯(lián)系人：劉紅炎，13810863339，liuhongyan@caict.ac.cn

1.3.2 合作公司

     北京泰爾英福科技有限公司

   北京市熱力集團有限公司

   江蘇中天科技集團

1.4 測試床項目目標

 國家高度重視工業(yè)互聯(lián)網(wǎng)安全工作，《國務院關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》（以下簡稱《指導意見》）中從設(shè)備安全、控制安全、網(wǎng)絡安全、平臺安全和數(shù)據(jù)安全五個維度開展安全體系建設(shè)，其中，“自主可控，安全可靠”成為工業(yè)互聯(lián)網(wǎng)發(fā)展的方向。目前，商用國產(chǎn)密碼算法行業(yè)仍處于起步階段，尚未形成密碼企業(yè)集群發(fā)展之勢，相對于國外商用密碼市場軟硬件產(chǎn)品分布較均衡，我國商用密碼市場較為分散。工業(yè)互聯(lián)網(wǎng)標識解析作為我國工業(yè)互聯(lián)網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施，將會面對越來越嚴峻的安全風險。因此，亟需通過探索研究并制定技術(shù)方案，來驗證國產(chǎn)密碼算法在工業(yè)互聯(lián)網(wǎng)標識解析體系中的可行性。

基于工業(yè)互聯(lián)網(wǎng)標識解析體系的密碼應用測試床目標是將國產(chǎn)密碼算法應用在標識解析體系中，驗證國產(chǎn)密碼算法在標識注冊、標識解析等應用場景中的方案是否可行。通過對國產(chǎn)密碼算法在工業(yè)互聯(lián)網(wǎng)標識解析體系中的驗證研究，保證了標識數(shù)據(jù)的安全可信和標識服務身份合法可信，從而促成我國工業(yè)互聯(lián)網(wǎng)的安全平穩(wěn)發(fā)展。

1.5 測試床方案架構(gòu)

1.5.1 測試床應用場景

本測試床基于國家工業(yè)互聯(lián)網(wǎng)標識解析體系，使用國產(chǎn)密碼在標識注冊、標識解析和標識數(shù)據(jù)同步的場景中進行驗證。國家工業(yè)互聯(lián)網(wǎng)標識解析體系由三層架構(gòu)組成，分別為國家頂級、二級和企業(yè)。另外，還提供公共遞歸服務，為用戶訪問提供統(tǒng)一入口。目前網(wǎng)絡標識數(shù)據(jù)傳輸中，由于數(shù)據(jù)敏感度較高，為保障數(shù)據(jù)隱私性，所有在數(shù)據(jù)傳輸中使用了密碼機制，但是目前使用的是國際上通用的密碼體系，如RSA、DSA等公開密碼算法，其在效率和安全性方面存在問題，而且是非自主獨立可控的算法體系，因此需要能既保證數(shù)據(jù)安全可靠，又保證自主可控的解決方案。基于國產(chǎn)密碼算法的應用能在保障數(shù)據(jù)可信使用的前提下，有效提高傳輸速率，提供用戶體驗，為保證我國工業(yè)互聯(lián)網(wǎng)標識解析體系自主可控，安全可靠的建設(shè)奠定基石。

1.5.2 測試床架構(gòu)

本測試床是為了驗證國產(chǎn)密碼算法與標識解析體系結(jié)合，以保證標識解析數(shù)據(jù)可信且可靠。在AII總體架構(gòu)中屬于安全功能視圖中的保密性、完整性、隱私和數(shù)據(jù)保護部分內(nèi)容，即標識數(shù)據(jù)在數(shù)據(jù)提供方安全自主可控制的范圍內(nèi)傳遞給使用方，并知曉數(shù)據(jù)安全情況，安全體系框架如下圖所示。

工業(yè)互聯(lián)網(wǎng)功能視圖安全體系框架

1.5.3 測試床方案

工業(yè)互聯(lián)網(wǎng)標識解析體系由三層架構(gòu)組成，分別為國家頂級、二級和企業(yè)，其中標識公共遞歸解析應用在標識解析體系的全流程中。國家頂級包括國家級標識的注冊和解析節(jié)點，數(shù)據(jù)同步節(jié)點，實現(xiàn)國家二級前綴的注冊、解析和數(shù)據(jù)同步功能。二級包括企業(yè)標識前綴的注冊和解析節(jié)點，為企業(yè)提供標識前綴的注冊和解析功能。企業(yè)包括企業(yè)節(jié)點的注冊和解析，為企業(yè)具體標識提供注冊和解析功能，以上三層架構(gòu)和功能通過公共標識遞歸節(jié)點提供公共查詢?nèi)肟冢瑢ν馓峁┕I(yè)互聯(lián)網(wǎng)標識解析功能。

（1）標識注冊解析系統(tǒng)

標識注冊解析系統(tǒng)包括注冊系統(tǒng)和解析系統(tǒng)，注冊系統(tǒng)負責標識數(shù)據(jù)寫入，解析系統(tǒng)輸出標識數(shù)據(jù)查詢結(jié)果，標識注冊系統(tǒng)主動向標識解析系統(tǒng)做數(shù)據(jù)同步。注冊系統(tǒng)和解析系統(tǒng)共同協(xié)作，實現(xiàn)對機器、物品等進行唯一性的定位和信息查詢，是實現(xiàn)全球供應鏈系統(tǒng)和企業(yè)生產(chǎn)系統(tǒng)精準對接、產(chǎn)品全生命周期管理和智能化服務的前提和基礎(chǔ)。

標識注冊解析系統(tǒng)

 如上圖所示，在標識注冊解析系統(tǒng)中，工業(yè)互聯(lián)網(wǎng)標識解析體系由國家頂級節(jié)點、二級節(jié)點和企業(yè)節(jié)點組成三層體系架構(gòu)組成。其中，國家頂級節(jié)點完成所有二級節(jié)點的標識前綴分配和注冊，二級節(jié)點完成其下的所有企業(yè)節(jié)點接入功能。企業(yè)節(jié)點可以實現(xiàn)企業(yè)內(nèi)部標識產(chǎn)品的注冊和解析，完成企業(yè)的實際需求。

國產(chǎn)密碼算法在標識注冊解析系統(tǒng)的測試驗證，具體描述如下：

? 標識國家頂級節(jié)點制作自簽名證書，在啟用可信解析的情況下，頂級節(jié)點給二級節(jié)點頒發(fā)證書，二級節(jié)點對企業(yè)節(jié)點進行簽名。在各級標識節(jié)點之間，使用國產(chǎn)密碼算法SM2、 SM3算法，采用數(shù)字證書可信驗證機制核驗節(jié)點身份，實現(xiàn)節(jié)點身份可信。

? 標識權(quán)威注冊系統(tǒng)和解析系統(tǒng)之間，使用全信道來同步數(shù)據(jù)，安全信道使用SM2、SM3、SM4國產(chǎn)密碼算法進行加密傳輸。

（2）遞歸標識解析系統(tǒng)

公共遞歸節(jié)點是標識解析體系中客戶端請求的第一環(huán)節(jié)，提供標識解析的統(tǒng)一入口，通過分別向國家頂級節(jié)點、二級節(jié)點、企業(yè)節(jié)點進行相應解析請求，最終獲取標識的詳細信息反饋給客戶端。

標識遞歸解析系統(tǒng)

如上圖標識遞歸解析系統(tǒng)所示：客戶端向遞歸發(fā)起請求，遞歸節(jié)點第一跳指向國家頂級節(jié)點，國家頂級節(jié)點接收到標識請求后，根據(jù)前綴信息返回遞歸節(jié)點二級節(jié)點HS_SITE信息，遞歸節(jié)點繼續(xù)向二級節(jié)點HS_SITE站點發(fā)起標識查詢，二級節(jié)點根據(jù)請求前綴返回企業(yè)節(jié)點的HS_SITE信息，遞歸節(jié)點繼續(xù)向企業(yè)節(jié)點HS_SITE站點發(fā)起標識查詢，獲取到標識解析最終結(jié)果，并將該結(jié)果返回至請求客戶端。在該環(huán)節(jié)中，為了保證數(shù)據(jù)可信，可靠的傳遞到客戶端。在整個解析過程中，驗證了國產(chǎn)密碼算法在全流程中實施的可行性，具體如下：

? 在遞歸節(jié)點向頂級、二級和企業(yè)查詢時，使用了SM2、SM3國產(chǎn)密碼算法來進行簽名和驗證簽名，保證了消息的來源可信和內(nèi)容可信。

? 在遞歸解析的過程中，為了保證國家頂級、二級和企業(yè)節(jié)點身份可信，需要對其身份進行驗證，并將驗證后的結(jié)果返回給客戶端。此環(huán)節(jié)使用了國產(chǎn)密碼SM2和SM3算法。

1.5.4 方案重點技術(shù)

目前，在工業(yè)互聯(lián)網(wǎng)標識數(shù)據(jù)交互中，為了保證數(shù)據(jù)在網(wǎng)絡上安全可靠的傳輸，廣泛采用了比較成熟的國際標準密碼體系進行安全防護，如DSA、RSA加解密算法。本測試床在現(xiàn)有的標識解析技術(shù)基礎(chǔ)之上，使用國產(chǎn)密碼算法在標識解析各個環(huán)節(jié)中進行安全加固。國產(chǎn)密碼算法在安全性、簽名速度和存貯資源占用上，都明顯優(yōu)于國際標準算法。

? 安全性：基于ECC的SM2證書普遍采用256位密鑰長度，加密強度等同于3072位RSA證書，安全性遠高于業(yè)界普遍采用的2048位RSA證書。

? 簽名速度：SM2在私鑰運算上，速度遠比RSA快得多。

? 存貯空間：SM2算法的密碼一般使用192-256位，RSA算法密碼一般需要使用2048-4096位。這意味著SM2算法的證書字節(jié)數(shù)更少，在高并發(fā)的情況下消耗資源更少，速度更快。

技術(shù)驗證如下表所示：

1.5.5 方案自主研發(fā)性、創(chuàng)新性及先進性

本測試床方案是中國信息通信研究院基于工業(yè)互聯(lián)網(wǎng)標識解析技術(shù)體系，將國產(chǎn)密碼算法應用到工業(yè)互聯(lián)網(wǎng)標識解析的研究驗證。測試床的實施方案經(jīng)過需求分析、關(guān)鍵技術(shù)驗證和可行性分析后得出。相關(guān)軟件系統(tǒng)由中國信息通信研究院自主研發(fā)，以上工作均體現(xiàn)了本測試床方案的自主研發(fā)性。

基于工業(yè)互聯(lián)網(wǎng)標識解析體系，采用國產(chǎn)密碼算法加固了該體系安全性。同時，拓展到標識解析應用環(huán)節(jié)，安全指標得到較大提升，完成了標識網(wǎng)絡技術(shù)探索實踐，因此本測試床方案具有創(chuàng)新性和技術(shù)運用的先進性。

1.5.6   方案安全風險控制

本測試床是基于國產(chǎn)密碼算法在工業(yè)互聯(lián)網(wǎng)標識解析體系中的一個測試驗證，在測試方案中使用了國產(chǎn)密碼算法來加固標識數(shù)據(jù)的安全性。這樣，雖然比起國際通用算法DSA、RSA性能有所提高，但是加固安全確實影響服務器解析性能。為了防止DDOS攻擊，在傳輸層開啟了最大連接數(shù)，超過該數(shù)值，則鏈接關(guān)閉。而且還應用LVS技術(shù)，實現(xiàn)負載均衡，提升高可靠，高可用性。在態(tài)勢網(wǎng)絡感知方面，使用了自主研發(fā)的標識監(jiān)測系統(tǒng)，通過主動探測、被動探測等技術(shù)，實時對工業(yè)互聯(lián)網(wǎng)標識解析體系的相關(guān)服務進行監(jiān)控。對異常服務情況做到了實時監(jiān)控，報警并推送負責人，以便及時處理。

1.6 測試床實施部署

1.6.1 測試床實施規(guī)劃

1.6.2 測試床實施的技術(shù)支撐及保障措施

本測試床實施所需要的支撐保障，主要是由目標主機提供適用于測試床部署的軟硬件環(huán)境及網(wǎng)絡通信環(huán)境，具體細節(jié)要求如下：

硬件環(huán)境：5臺服務器（ 32核 CPU， 128G 內(nèi)存，1T 硬盤）；

系統(tǒng)環(huán)境：CentOS 7.5及以上；

網(wǎng)卡：千兆網(wǎng)卡；

編譯環(huán)境：GCC4.8.5或以上，Eclipse 等。

1.6.3 測試床實施的自主可控性

基于國產(chǎn)密碼算法的工業(yè)互聯(lián)網(wǎng)標識解析體系，從整個技術(shù)架構(gòu)到代碼實現(xiàn)，核心系統(tǒng)使用C/C++編程，G++編譯，完成研發(fā)并上線運行。

綜上所述，基于工業(yè)互聯(lián)網(wǎng)標識解析體系的密碼應用測試床驗證方案從源碼、編譯、調(diào)試、測試，到實施部署試運行，再到調(diào)整上線正式運行的全生命周期都具備自主可控性。

1.7 測試床預期成果

1.7.1 測試床的預期可量化實施結(jié)果

輸出國產(chǎn)密碼算法在工業(yè)互聯(lián)網(wǎng)標識解析體系中的標識權(quán)威解析服務、標識注冊服務和標識遞歸解析查詢服務等相關(guān)系統(tǒng)及軟件著作權(quán)。

1.7.2 測試床的商業(yè)價值、經(jīng)濟效益

本測試床構(gòu)建完成后，既驗證了國產(chǎn)密碼算法在保障工業(yè)互聯(lián)網(wǎng)標識解析體系全流程安全方面的可行性，降低了工業(yè)互聯(lián)網(wǎng)標識產(chǎn)業(yè)經(jīng)濟損失風險，又帶動我國商業(yè)密碼產(chǎn)業(yè)規(guī)模發(fā)展，進一步促進國產(chǎn)密碼算法的推廣。

1.7.3 測試床的社會價值

密碼直接關(guān)系到國家政治安全、經(jīng)濟安全、國防安全和網(wǎng)絡安全，同時也關(guān)系到社會組織和公民個人的合法權(quán)益。將國產(chǎn)密碼算法應用到工業(yè)互聯(lián)網(wǎng)標識解析體系中進行測試驗證，對保障我國工業(yè)互聯(lián)網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施的自主可控、安全可靠具有里程碑的意義。

1.7.4 測試床初步推廣應用案例

本測試床項目在北京市熱力集團有限公司和江蘇中天科技股份有限公司兩家企業(yè)間進行探索應用。兩家企業(yè)在工業(yè)互聯(lián)網(wǎng)標識解析國產(chǎn)密碼應用方面有較強的需求，這也是測試床驗證的主要應用案例。

北京熱力集團嵌入式終端在標識注冊及終端發(fā)起的標識解析中使用國產(chǎn)加密算法；江蘇中天科技股份有限公司，在標識解析應該過程中使用國產(chǎn)加密算法，保障標識注冊和解析數(shù)據(jù)可以安全可靠的傳輸。

1.8 測試床成果驗證

1.8.1 測試床成果驗證計劃

擬根據(jù)測試床在工業(yè)互聯(lián)網(wǎng)標識解析體系適用的生產(chǎn)環(huán)境內(nèi)，基于國產(chǎn)密碼算法的技術(shù)要點，通過對安全信道、可信解析和消息憑據(jù)，三個維度來驗證本測試床實際使用效果。

1.8.2 測試床成果驗證方案

在開發(fā)滿足本測試床的相關(guān)需求后，搭建一套完整的OTE環(huán)境，并測試標識的注冊、解析流程，以便驗證國產(chǎn)密碼算法在該測試床中的應用。

在標識注冊系統(tǒng)中驗證國產(chǎn)密碼算法TLS、證書的頒發(fā)，用于評價數(shù)據(jù)的可信可靠傳輸，二級節(jié)點和企業(yè)節(jié)點的身份的授權(quán)認證。

在標識解析系統(tǒng)中來驗證基于國產(chǎn)密碼算法加固數(shù)據(jù)的完整性和不可篡改性，用于評價標識數(shù)據(jù)的傳輸安全效果。

在標識遞歸解析流程中，使用遞歸系統(tǒng)來驗證整改解析流程數(shù)據(jù)的真實可信，用于評價標識 數(shù)據(jù)內(nèi)容可信，身份可信。

通過以上的整個流程的驗證測試，可以完全實現(xiàn)標識注冊、標識解析、標識數(shù)據(jù)同步的各個環(huán)節(jié)自主可控，并驗證了工業(yè)互聯(lián)網(wǎng)標識解析體系全流程自主可控。

1.9 與已存在AII測試床的關(guān)系

本測試床屬于工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域，具有較高的研究、應用和推廣價值。

1.10 測試床成果交付

1.10.1 測試床成果交付件

本測試床最后提供的交付件為一套基于國產(chǎn)密碼算法的工業(yè)互聯(lián)網(wǎng)標識解析系統(tǒng)試驗證平臺，驗證的成功標準是可以把該平臺應用到工業(yè)互聯(lián)相關(guān)的產(chǎn)業(yè)中，如北京熱力集團嵌入式終端在標識注冊及終端發(fā)起的標識解析中應用，預計要完成30萬熱計量表、室內(nèi)溫控設(shè)備終端上線應用。可以實現(xiàn)對計量表、室內(nèi)溫控設(shè)備終端數(shù)據(jù)的全程監(jiān)控。

1.10.2 測試床可復制性

本測試床用可應用在工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施建設(shè)中，如船舶、集裝箱、石化、食品、醫(yī)療器械等多個領(lǐng)域，未來更多的行業(yè)會逐步加入。其主要測試應用場景為工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的安全加固，實現(xiàn)標識數(shù)據(jù)的可信可靠流轉(zhuǎn)。

1.10.3 測試床開放性

本測試床是對國產(chǎn)密碼算法在工業(yè)互聯(lián)網(wǎng)標識解析體系中的一種測試驗證。與現(xiàn)有的企業(yè)內(nèi)部系統(tǒng)，如ERP、MES等完全獨立，沒有耦合性。可以在各企業(yè)部署并完成測試驗證，因此具有很高的開放性。

1.11 其他信息

1.11.1 測試床使用者

中國信息通信研究院負責具體代碼編寫、解決方案部署、后續(xù)運營技術(shù)支持等工作。只有通過申請，且申請成功的二級節(jié)點和企業(yè)節(jié)點方可接入工業(yè)互聯(lián)網(wǎng)體系中，這些接入工業(yè)互聯(lián)網(wǎng)體系的企業(yè)方可進行多場景的可信測試。

1.11.2 測試床知識產(chǎn)權(quán)說明

中國信息通信研究院對測試床的建設(shè)、運營以及使用擁有軟件自主產(chǎn)權(quán)。

1.11.3 測試床運營及訪問使用

本測試床將部署于工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟，由中國信息通信研究院運營，并提供相關(guān)技術(shù)支持。對測試床的訪問使用需經(jīng)過申請同意，并通過付費、知識產(chǎn)權(quán)共享等方式有條件使用。

1.11.4 測試床資金

測試床建設(shè)資金來源于發(fā)起方中國信息通信研究院。

1.11.5 測試床時間軸

1.11.6 附加信息

 該測試床的建設(shè)面向?qū)ο蠊I(yè)互聯(lián)網(wǎng)的多個行業(yè)，可逐步應用到船舶、集裝箱、石化、食品、醫(yī)療器械等領(lǐng)域，為各行業(yè)數(shù)據(jù)流通共享提供全新的解決方案，充分促進數(shù)據(jù)價值釋放。

1.12 測試床進展

基于測試床的規(guī)劃，測試床項目分為前期調(diào)研，需求和可行性分析階段、產(chǎn)品設(shè)計和開發(fā)階段、聯(lián)調(diào)試運行階段、正式上線驗收階段和宣傳推廣階段。目前已經(jīng)完成了需求、調(diào)研和可行性分析，產(chǎn)出了相關(guān)文檔。組織了多次產(chǎn)品的設(shè)計和研討，最終方案通過評審。現(xiàn)在進入產(chǎn)品設(shè)計、開發(fā)和調(diào)試階段，2022年08月31日完成在標識權(quán)威系統(tǒng)中使用基于國密算法TLS通信，實現(xiàn)標識解析各環(huán)節(jié)在網(wǎng)絡中使用國產(chǎn)密碼進行數(shù)據(jù)加密傳輸，后續(xù)按計劃進行其他功能的開發(fā)。

1.12.1 需求調(diào)研和可行性分析

調(diào)研了國產(chǎn)密碼的發(fā)展歷程，對國際通用密碼算法與國產(chǎn)密碼算法進行了對比，總結(jié)并分析了它們之間的優(yōu)缺點。并對國產(chǎn)密碼算法進行了總結(jié)，結(jié)合工業(yè)互聯(lián)網(wǎng)標識解析體系，找到適合當前解析體系的算法，并分析其適合場景以及效率。

1.12.2 設(shè)計、開發(fā)和測試

由于密碼算法是一個基礎(chǔ)框架，需要依賴于某個具體的體系，才能發(fā)揮其作用。把國產(chǎn)密碼算法應用到工業(yè)互聯(lián)網(wǎng)標識解析體系中，是對該體系創(chuàng)新應用。國產(chǎn)密碼體系的在標識解析中的應用，具體如下：

（1）基于國產(chǎn)密碼算法的安全加密傳輸功能框架

使用SM2、SM3和SM4算法，完成底層的TLS通信，通信信道建立后，雙方可以進行加密通信，完成數(shù)據(jù)的加密傳輸，安全通道框圖如下：

安全通道功能框圖

如上圖所示，在標識客戶端與標識權(quán)威系統(tǒng)之間，進行數(shù)據(jù)安全加密傳輸，使用國密TLS協(xié)議。保證客戶端與服務器之間數(shù)據(jù)，在傳輸過程中，使用了國密算法進行加密，保證數(shù)據(jù)不被篡改。

目前基于國產(chǎn)密碼算法的TLS通信已經(jīng)在標識權(quán)威和注冊解析系統(tǒng)中設(shè)計完畢，功能已經(jīng)調(diào)試完畢，可以完成標識數(shù)據(jù)的安全加密通信傳輸。

（2）基于國產(chǎn)密碼算法的安全加密傳輸功能程序流程圖

基于國密算法TLS功能流程圖

如上圖所示，在基于國產(chǎn)密碼算法安全加密通信的標識權(quán)威系統(tǒng)中，通過開關(guān)來配置是否開啟國密算法，同時也支持國際通用標準的算法。在設(shè)計時，考慮到兼容國密算法和國際標準算法。另外，基于國密算法的TLS通信時，使用了簽名證書和加密證書，只有正確的配置了雙證書才能完成通信。 

（3）測試結(jié)果

基于國密算法TLS通信測試結(jié)果圖

如上圖所示，基于國密算法TLS在標識解析系統(tǒng)中的測試結(jié)果，從圖中可以看出，通信過程中使用了國密SM2證書，以完成底層通信協(xié)議的建立，之后通過協(xié)商的密碼進行加密通信。