[发明专利]一种基于JCE框架实现的SM2密钥运算方法和装置

权利要求书

1.一种基于JCE框架实现的SM2密钥运算方法，应用于终端设备，其特征在于，所述方法包括：

应用程序模块发送包括密钥对象的第一SM2密钥运算请求给JCE实现模块；

所述JCE实现模块对接收到的所述SM2密钥运算请求对所述密钥对象进行解析，并根据解析结果发送第二SM2密钥运算请求给所述密钥运算模块；

所述密钥运算模块根据所述第二SM2密钥运算请求进行密钥运算，并将运算结果发送给所述JCE实现模块；

所述JCE实现模块发送所述运算结果给所述应用程序模块以完成对应用程序的密钥运算。

2.根据权利要求1所述的基于JCE框架实现的SM2密钥运算方法，其特征在于，在所述终端设备外接密码管理设备时，所述应用程序模块中的密钥对象通过以下步骤得到：

所述应用程序模块发送包括密钥标识的SM2密钥对导出请求给JCE实现模块；

所述JCE实现模块根据所述密钥对导出请求创建带有密钥标识的随机源，并将密钥标识转换成密钥号；

所述JCE实现模块发送包括密钥号的密钥获取请求给所述密钥运算模块；

所述密钥运算模块发送与所述密钥号对应的密钥数据给所述JCE实现模块；

所述JCE实现模块基于所述密钥数据、密钥号创建密钥对象并发送给所述应用程序模块。

3.根据权利要求1所述的基于JCE框架实现的SM2密钥运算方法，其特征在于，在所述JCE实现模块发送运算结果给所述应用程序模块的步骤之前，所述方法还包括：

所述JCE实现模块将包含安全提供者和引擎类的文件打包为属性文件；以及所述JCE实现模块调用JCE签名证书，并根据该JCE签名证书对所述属性文件进行签名。

4.根据权利要求1所述的基于JCE框架实现的SM2密钥运算方法，其特征在于，所述密钥运算为加密运算时，所述运算结果包括2个32byte的公钥、对明文的加密结果以及用于进行数据校验的杂凑值。

5.根据权利要求2所述的基于JCE框架实现的SM2密钥运算方法，其特征在于，所述方法还包括：

所述密钥运算模块根据所述JCE实现模块密钥获取请求触发密钥生成请求，并发送给外接于所述终端设备的密码管理设备；

所述密码管理设备生成SM2密钥对并发送给所述JCE实现模块；或者

所述密钥运算模块根据所述JCE实现模块发送的密钥获取请求生成SM2密钥对并发送给所述JCE实现模块。

6.根据权利要求5所述的基于JCE框架实现的SM2密钥运算方法，其特征在于，所述密码管理设备生成SM2密钥的步骤包括：

所述密码管理设备根据所述密钥生成请求中包含的密钥号完成SM2密钥对的生成和保存。

7.一种基于JCE框架实现的SM2密钥运算装置，应用于终端设备，其特征在于，所述装置包括应用程序模块、JCE实现模块、密钥运算模块，所述应用程序模块与所述JCE实现模块连接用于发送SM2密钥运算请求或SM2密钥对导出请求，所述JCE实现模块与所述密钥运算模块连接用于发送处理后的SM2密钥对导出请求或密钥运算请求。

8.根据权利要求7所述的基于JCE框架实现的SM2密钥运算装置，其特征在于，所述密钥运算模块还可与外接于所述终端设备的密码管理设备连接，用于发送将处理后的SM2密钥对导出请求或密钥运算请求发送给所述密码管理设备。

9.根据权利要求8所述的基于JCE框架实现的SM2密钥运算装置，其特征在于，所述密码管理设备通过PCI接口、PCI_E接口或usb接口插接到所述终端设备。

10.根据权利要求8所述的基于JCE框架实现的SM2密钥运算装置，其特征在于，所述密码管理设备可以是Ukey、加密机、加密卡中的一种或多种。