技術領域

本發明涉及一種嵌入式平臺的加密技術，具體地說是一種基于嵌入式平臺SM2加密算法的優化方法。

背景技術

隨著低壓配電網快速發展，有些不具備光纖通信條件的低壓配電網采用了公網通信方式（GPRS/CDMA/TD-SCDMA/230Mhz等）傳輸控制指令，致使系統面臨來自公共網絡攻擊的風險，影響對用戶的安全可靠供電，同時存在通過子站終端入侵主站，造成更大范圍的安全風險。為了保障電網安全穩定運行，需要對現有的配電終端進行安全防護升級，引入網絡信息安全技術。

隨著PKI密碼技術的發展，目前常用的1024位RSA算法面臨嚴重的安全威脅，我們國家密碼管理部門經過研究，決定采用SM2(國際上稱之為ECC算法)橢圓曲線算法替換RSA算法。SM2算法在安全性、性能上都具有優勢，且應用越來越廣，效率較之前的算法更高，破解難度更大、更安全。

配電終端屬于小型電子裝置范疇，其運行環境大多屬于嵌入式平臺環境，根據不同的應用場合存在數十種甚至上百種的不同功能、型號的終端，就算是同樣型號和功能的終端，可能由不同的廠家生產，所使用的嵌入式平臺也大不一樣，存在部分功能相對單一的終端其嵌入式系統的應用程序可能沒有操作系統直接在芯片上運行。

現有嵌入式系統采用加密技術主要有兩種技術方案：采用外擴算法芯片的方案和采用內嵌算法庫的方案。

第一種，采用外擴算法芯片的方案。為了在嵌入式主板上實現SM2算法PKI技術，采用在嵌入式平臺的增加算法芯片的方式提供基于SM2算法的簽名驗證、數字信封和解封、數據加解密來實現身份認證，保證網絡信息安全交互。如下圖1所示，嵌入式平臺的核心CPU通過內部的接口與SM2算法芯片進行數據交互從而實現平臺CPU的SM2算法PKI技術。

采用算法芯片實現SM2算法，能夠很好解決嵌入式的運行速度以及資源受限等問題，但是對于配電終端而言存在以下幾方面的問題：1）對于已經安裝使用的定型終端無法增加芯片；2）需要對原嵌入式平臺進行硬件升級，改動較大，可能影響原有平臺的硬件穩定性；3）修改周期較長。

第二種，采用內嵌算法庫的方案。通過增加SM2的算法庫的方式為嵌入式平臺提供基于SM2算法的簽名驗證、數字信封和解封、數據加解密來實現身份認證，保證網絡信息安全交互。如下圖2所示，平臺通過內嵌SM2開源算法庫的方式，并且通過實時操作系統的任務調度來實現加密任務。

對于內嵌算法庫的方式實現嵌入式平臺的加密功能，能夠解決部分配電終端的加密需求，但是無法滿足所有配電終端的加密需求，主要原因有：1）SM2開源庫占用較大的存儲空間，很多終端無法提供足夠的空間；2）SM2開源庫的驅動層需要通過調用操作系統的動態庫來實現，對于沒有操作系統的終端是一個無法逾越的門檻；3）SM2開源庫是基于通用的C環境實現的，在很多終端上運行存在速度慢；4）SM2開源庫運行不能被打斷，可能影響原有終端的數據處理功能。

發明內容

為克服上述現有技術存在的不足，本發明提供了一種基于嵌入式平臺SM2加密算法的優化方法，其不僅能夠降低內存使用率，而且能夠實現嵌入式平臺的加密功能。

本發明解決其技術問題所采取的技術方案是：一種基于嵌入式平臺SM2加密算法的優化方法，其特征是，包括以下步驟：

1）獲取開源加密庫；

2）從開源加密庫提取SM2加密算法的API函數；

3）編寫開源加密庫算法的底層驅動函數；

4）對提取的API函數進行優化。

進一步地，所述提取API函數的步驟至少包括以下過程：

21）提取數據類型轉換函數；

22）提取密鑰對的生成函數；

23）提取數字簽名生成算法；

24）提取數字簽名驗證算法；

25）提取加密算法；

26）提取解密算法。

進一步地，所述提取的API函數包括提取與API函數所有相關的子程序。

進一步地，所述編寫底層驅動函數的步驟至少包括以下過程：

31）編寫API函數的調用接口函數；

32）編寫CPU數據方向定義函數。

進一步地，所述對提取的API函數進行優化的步驟包括以下過程：

41）對API函數的數據進行優化；

42）對API函數的算法進行優化；

43）提高并行度；

44）編譯方法的優化；

45）針對平臺定制優化。