(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210976179.9 (22)申请日 2022.08.15 (71)申请人 北京国领 科技有限公司 地址 100094 北京市海淀区丰慧中路7号 新 材料创业大厦A座313号 (72)发明人 张建国　付晓峰　高玉平　 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种在VPN中使用假私钥调用密码卡的方法 (57)摘要 本发明公开了一种在VPN中使用假私钥调用 密码卡的方法。 按照国家密码局等相关规范要 求， 在VPN加密设备中需要把非对称私密钥安全 的存储在硬件密码卡中， 且不允许将私钥导出密 码卡， 但是通用VPN软件一般要求直接访问磁盘 中的非对称私钥文件， 且会对私钥文件格式进行 检验并读入到复杂的内存结构中， 因此将通用 VPN软件与密码卡集成 并调用密码卡内的私钥的 改造工作非常困难。 本方法创造一个包含密钥索 引信息的、 符合标准私钥结构 的假私钥文件， 映 射到密码卡内部的对应私钥， 并且欺骗通用VPN 软件使之认做 正常私钥进行解析和导入， 并在后 续密码运算阶段根据密钥索引信息调用密码卡 执行私钥运算， 从而实现快速、 低难度的VPN与密 码卡集成改造 。 权利要求书1页 说明书4页 附图2页 CN 115514472 A 2022.12.23 CN 115514472 A 1.一种在VPN中使用假私钥调用密码卡的方法， 其特征在于： 所述方法包含VPN软件 (100)、 密码卡(200)、 密钥管理软件(300)、 假私钥文件(400)； 所述VPN软件(100)内部包含 密码功能模块(101)、 VPN协议模块(102)、 密钥文件读取与解析模块(10 3)； 所述密码卡(20 0)内生成并安全 存储非对称算法的卡内私钥(201)； 所述密钥管理软件(300)根据所述密码卡(200)内存储的所述卡 内私钥(201)生成一个 所述假私钥文件(400)； 所述假私钥文件(400)结构中的私有密钥数据使用所述卡内私钥 (201)存储位置的索引信息替代， 公有密钥数据和其他结构数据保持不变， 这使 得所述假私 钥文件(40 0)格式仍然符合私钥文件标准； 所述VPN软件(100)启动后， 其中的所述密钥文件读取与解析模块(103)读取所述假私 钥文件(40 0)， 作为普通私钥格式进行解析并处 理； 所述VPN协议模块(102)在处理VPN连接时， 会将假私钥数据传递到所述密码功能模块 (101)， 所述密码功能模块(101)可解析出假私钥中的索引信息， 然后根据索引信息去调用 所述密码卡(200)， 使用指定索引的所述卡内私钥(201)进行运算， 再将运算结果返回给VPN 软件， 完成VPN相关工作流 程； 如此， 即可实现将密码卡快速集成应用到通用VPN软件中并使用卡内私钥进行安全密 码运算的目的。 2.根据权利要求1所述的在VPN中使用假私钥调用密码卡的方法， 其特征在于私钥算法 和标准包含国际标准RSA算法、 ECC算法以及国家标准SM2等非对称算法以及对应的密钥格 式； 本方法支持多种VPN协议标准， 包括： IPSecVPN、 SSLVPN、 L2TPVPN、 PPTPVPN、 GRE  VPN、 MPLSVPN等。 3.根据权利要求1所述的在VPN中使用假私钥调用密码卡的方法， 其特征在于所述假私 钥文件(400)结构中的私有密钥数据可能使用所述卡内私钥(201)的其他特征进行替代， 如： 卡内私钥的id号、 名称、 哈希值、 对应的公钥值 等等。权　利　要　求　书 1/1 页 2 CN 115514472 A 2一种在VPN中使用假私钥调用密码卡的方 法 技术领域 [0001]本发明涉及一种VPN产品的实现技 术， 以及涉及非对称密钥或公钥技 术。 背景技术 [0002]VPN是一种应用极为广 泛的网络加密系统， 且VP N目前拥有国际标准规范和国家标 准规范， VPN产品开发者需要遵循VPN协议规范以及相关非对称密钥标准， 以便与其他厂商 的VPN产品兼容互通。 目前许多国内VPN开发者会选择基于开源/通用VPN软件， 对其中的算 法或功能进行改造， 同时需要集成调用硬件密码卡， 使之支持国产密码算法或提升算法速 度， 并增加 个性化产品功能。 在这个过程中， 开发者会发现， 开源/通用VPN软件都会要求直 接访问磁盘中的非对称私钥文件， 且会对私钥文件格式进 行检验并读入到复杂的内存结构 中， 如果随便选择一个文件作为私钥传入VPN软件， 软件无法正确解析私钥结构， 导致无法 正常工作。 如果要相应修改所有涉及私钥的流程和功能代码， 就需要全面掌握软件框架并 大量改动原有代码结构， 工作量很大同时会带来不稳定性影响。 另外， VPN经常需要根据不 同的连接对象而使用多个不同的私钥， 如何将磁盘上的多个文件与密码卡中存储的多个私 钥进行对应并体现到VPN软件代码中， 也是一个难题。 [0003]综上所述， 将通用VPN软件与密码卡集成并调用密码卡内的私钥的改造工作一般 都会面临很大的技 术挑战。 目前业界通常使用的方法是： （1） 创建一个磁盘文件作为假私钥， 文件内容为密码卡中对应私钥的索引号； 开发 人员深入掌握改造开源/通用VPN软件架构， 修改所有涉及私钥的流程和功能代码， 实现对 假私钥文件格式的识别； 在需要调用密码卡私钥运算时， 将假私钥中的索引号传 入密码卡， 要求其使用索引对应的私钥进行运算。 这需要开发人员综合研发经验很丰富， 且需要经过 大量调试开发才能完成； （2） 预先准备一个固定的私钥文件， 该私钥实际不参与运算， 且其内容与密码卡中 的私钥没有关联关系； 开源/通用VPN软件架构 针对私钥的导入和处理部 分代码无需进 行修 改； 在需要调用密码卡私钥运算时， 通过其他途径获取私钥索引号 （如读取某个配置文件） 并传入密码卡， 要求其使用索引对应的私钥进行运算。 这样改造的难度不太大， 但存在明显 缺点： 难以遵循用户的密钥使用习惯 （即使用不同私钥文件对应不同连接对 象） ， 必须额外 设计一套配置文件索引与连接对象的实时配对管理机制， 比较复杂， 局限性 也比较大。 发明内容 [0004]针对现有开源/通用VPN软件与密码卡集成并调用密码卡内的私钥的改造方案 的 不足， 本发明提供了一种新的方案： 创造一个包含密钥索引信息的、 符合标准私钥结构的假 私钥文件， 映射到密码卡内部的对应私钥， 并且欺骗通用VPN软件使之认做 正常私钥进 行解 析和导入， 并在后续密码运算阶段根据密钥索引信息调用密码卡执行私钥运算， 从而实现 快速、 低难度的VPN与密码卡 集成改造 。 [0005]为实现上述目的， 本发明提供如下技 术方案：说　明　书 1/4 页 3 CN 115514472 A 3