(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210977977.3 (22)申请日 2022.08.16 (71)申请人 北京国领 科技有限公司 地址 100094 北京市海淀区丰慧中路7号 新 材料创业大厦A座313号 (72)发明人 张建国　付晓峰　崔宏菲　 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种在VPN中使用密文私钥调用密码模块的 方法 (57)摘要 本发明公开了一种在VPN中使用密文私钥调 用密码模块的方法。 按照国家密码局等相关规范 要求， 在VPN加密设备中需要把非对称私密钥安 全的存储在硬件密码模块中， 且不允许将私钥明 文导出密码模块， 但是通用VPN软件一般要求直 接访问磁盘中的非对称私钥文件， 且会对私钥文 件格式进行检验并读入到复杂的内存 结构中， 因 此将通用VPN软件与密码模块集成 并调用密码模 块内的私钥的改造工作非常困难。 本方法使用加 密卡内主密钥对私钥要素进行加密， 然后组装成 符合标准私钥结构的密文私钥文件， 并且欺骗通 用VPN软件使之认做正常私钥进行解析和导入， 并在后续密码运算阶段将密文私钥传入密码模 块解密后再执行私钥运算， 从而快速实现VPN与 密码模块 集成改造 。 权利要求书1页 说明书4页 附图2页 CN 115378584 A 2022.11.22 CN 115378584 A 1.一种在VPN中使用密文私钥调用密码模块的方法， 其特征在于： 所述方法包含VPN软 件(100)、 密码模块(200)、 密钥管理软件(300)、 密文私钥文件(400)； 所述VPN软件(100)内 部包含密码调用单 元(101)、 VPN协议模块(102)、 密钥文件读取与解析模块(10 3)； 所述密码模块(20 0)内生成一个主密钥(201)， 用于对其 他私钥进行加密保护； 所述密钥管理软件(300)调用所述密码模块(200)生成私钥并使用所述主密钥(201)加 密其中的私有密钥数据后导出为所述密 文私钥文件(400)； 相比标准私钥文件结构， 所述密 文私钥文件(400)结构中的私有密钥数据是使用所述主密钥(201)加密的， 但公有密钥数据 和其他结构数据保持不变， 这使得 所述密文私钥文件(40 0)格式仍然符合私钥文件标准； 所述VPN软件(100)启动后， 其中的所述密钥文件读取与解析模块(103)读取所述密文 私钥文件(40 0)， 作为普通私钥格式进行解析并处 理； 所述VPN协议模块(102)在处理VPN连接时， 会将密文私钥数据传递到所述密码调用单 元(101)， 所述密码调用单元(101)将密文私钥传入 所述密码模块(200)， 在内部使用所述主 密钥(201)将其解密成明文私钥后再进行私钥运算， 再将运算结果返回给VPN软件， 完成VPN 相关工作流 程； 如此， 即可实现将密码模块快速集成应用到通用VPN软件中并使用 密文私钥进行安全 密码运算的目的。 2.根据权利要求1所述的在VPN中使用密文私钥调用密码模块的方法， 其特征在于私钥 算法和标准包含国际标准RSA算法、 ECC算法以及国家标准SM2等非对称算法以及对应的密 钥格式； 本方法支持多种VPN协议标准， 包括： IPSecVPN、 SSLVPN、 L2TPVPN、 PPTPVPN、 GRE   VPN、 MPLSVPN 等。 3.根据权利要求1所述的在VPN中使用密文私钥调用密码模块的方法， 其特征在于所述 主密钥(201)也可能是存 储于密码模块内的其 他密钥， 包括各种对称密钥或公钥。权　利　要　求　书 1/1 页 2 CN 115378584 A 2一种在VPN中使用密文私钥调用密码模块的方 法 技术领域 [0001]本发明涉及一种VPN产品的实现技 术， 以及涉及非对称密钥或公钥技 术。 背景技术 [0002]VPN是一种应用极为广 泛的网络加密系统， 且VP N目前拥有国际标准规范和国家标 准规范， VPN产品开发者需要遵循VPN协议规范以及相关非对称密钥标准， 以便与其他厂商 的VPN产品兼容互通。 目前许多国内VPN开发者会选择基于开源/通用VPN软件， 对其中的算 法或功能进行改造， 同时需要集成调用硬件密码模块， 使之支持国产密码算法或提升算法 速度， 并增加 个性化产品功能。 在这个过程中， 开发者会发现， 开源/通用VPN软件都会要求 直接访问磁盘中的非对称私钥文件， 且会对私钥文件格式进 行检验并读入到复杂的内存结 构中， 如果按照普通方法对一个私钥进行加密保护， 并传入VPN软件， 软件无法正确解析私 钥结构， 导致无法正常工作。 如果要相应修改所有 涉及私钥的流程和功能代码， 就需要全面 掌握软件框架并大量改动原有代码结构， 工作量很大同时会带来不稳定性影响。 另外， VPN 经常需要根据不同的连接对象而使用多个不同的私钥， 如何将磁盘上的多个文件与密码模 块中存储的多个私钥进行对应并体现到VPN软件代码中， 也是一个难题。 [0003]综上所述， 将通用VPN软件与密码模块集成并调用密码模块内的私钥的改造工作 一般都会面临很大的技 术挑战。 目前业界通常使用的方法是： （1） 创建一个磁盘文件作为密文私钥， 文件内容为密码模块中对应私钥的索引号； 开发人员深入掌握改造开源/通用VPN软件架构， 修改所有涉及私钥的流程和功能代码， 实 现对密文私钥文件格式的识别； 在需要调用密码模块私钥运算时， 将密文私钥中的索引号 传入密码模块， 要求其使用索引对应的私钥进行运算。 这需要开发人员综合研发经验很丰 富， 且需要经 过大量调试开发才能完成； （2） 预先准备一个固定的私钥文件， 该私钥实际不参与运算， 且其内容与密码模块 中的私钥没有关联关系； 开源/通用VPN软件架构 针对私钥的导入和处理部 分代码无需进 行 修改； 在需要调用密码模块私钥运算时， 通过其他途径获取私钥 索引号 （如读取某个配置文 件） 并传入密码模块， 要求其使用索引对应的私钥进行运算。 这样改造的难度不太大， 但存 在明显缺点： 难以遵循用户的密钥使用习惯 （即使用不同私钥文件对应不同连接对象） ， 必 须额外设计一套配置文件索引与连接对 象的实时配对管理机制， 比较复杂， 局限性也比较 大。 发明内容 [0004]针对现有开源/通用VPN软件与密码模块集成并调用密码模块内的私钥的改造方 案的不足， 本发明提供了一种新的方法： 使用加密卡内主密钥对私钥要 素进行加密， 然后组 装成符合标准私钥结构的密文私钥文件， 并且欺骗通用VPN软件使之认做正常私钥进行解 析和导入， 并在后续密码运算阶段将密文私钥传入密码卡解密后再执行私钥运算， 从而快 速实现VPN与密码卡 集成改造 。说　明　书 1/4 页 3 CN 115378584 A 3