基于国密（SM2，SM3，SM4）的数字信封加密加签实现

一、 数字信封的工作原理

1.1 数据加密
首先，发送方使用一种对称加密算法（如SM4，AES）对需要传输的数据进行加密。对称加密算法使用相同的密钥进行加密和解密，因此加密速度快，适合大量数据的加密。

1.2 密钥加密
接下来，发送方使用接收方的公钥和一种非对称加密算法（如SM2，RSA）对刚才生成的对称密钥进行加密。这样，即使有人截获了加密的数据和加密后的密钥，没有接收方的私钥也无法解密密钥，进而无法解密数据。

1.3 数据传输
加密后的数据和加密后的密钥（即数字信封）一起发送给接收方。

1.4 数据解密
接收方收到数字信封后，首先使用自己的私钥解密密钥，得到原始的对称密钥。然后，使用这个对称密钥解密数据，得到原始的明文信息。

二、国密简单介绍

这里只做简单介绍，详细内容自行百度。

2.1 SM2 为非对称加密：可以用 RSA作为对比理解。基于 ECC。该算法已公开。由于该算法基于 ECC，故其签名速度与秘钥生成速度都快于 RSA。ECC 256位（SM2 采用的就是 ECC 256 位的一种）安全强度比 RSA 2048 位高，但运算速度快于RSA。

2.2 SM3 消息摘要：可以用 MD5 作为对比理解。该算法已公开。校验结果为 256 位。

2.3 SM4 无线局域网标准的分组数据算法：对称加密，密钥长度和分组长度均为128位。可以用 AES作为对比理解。

二、 数据加工过程

如下图所示，这是请求方（客户端）对数据加密加签的过程，与接收方（服务端）对数据验签解密的过程。

一般情况，接收方（服务端）生成一对SM2的秘钥，自己保存私钥，公钥给到请求方（客户端）。同时请求方（客户端）也生成一对SM2的秘钥，自己保存私钥，公钥给到接收方（服务端）

三、 代码演示

3.1 添加依赖

        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-crypto</artifactId>
        </dependency>
        <dependency>
            <groupId>org.bouncycastle</groupId>
            <artifactId>bcpkix-jdk18on</artifactId>
            <version>1.78.1</version>
        </dependency>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
        </dependency>

3.2 请求数据 :SecretParam

import lombok.Data;
import java.io.Serializable;
@Data
public class SecretParam implements Serializable {
    private static final long serialVersionUID = -7945826159661698028L;
    /**
     * 应用id
     */
    private String appId;
    /**
     * 时间戳
     */
    private String timestamp;
    /**
     * 签名
     */
    private String sign;
    /**
     * 请求id
     */
    private String requestId;
    /**
     * 密文
     */
    private String ciphertext;
    /**
     * 临时密钥
     */
    private String tempKey;
}

3.3 加密工具类:SecretUtils

import cn.hutool.core.util.HexUtil;
import cn.hutool.crypto.SecureUtil;
import cn.hutool.crypto.SmUtil;
import cn.hutool.crypto.asymmetric.KeyType;
import cn.hutool.crypto.asymmetric.SM2;
import cn.hutool.crypto.symmetric.SM4;
import com.alibaba.fastjson2.JSON;
import com.ruoyi.common.core.domain.param.SecretParam;
import org.junit.Test;
import java.security.KeyPair;
public class SecretUtils {
    private static final String SM4_IV = "TB0Rd7ivgZuV5YlK";
    private static final String SM4_MODE = "GCM";
    private static final String SM4_PADDING = "NoPadding";
    private String privateKeyServer = "308193020100301306072a8648ce3d020106082a811ccf5501822d047930770201010420740e61da0a403ac783a9f07b1db6e64d43879653f12eb7963b24bf3b45f6946da00a06082a811ccf5501822da144034200047dc182b4ce3c2067b6ef2e625ef1dd80847e77de8cfae129c1c6d19b206224727950c20fcd55f2da0fc1a57d1db4ce3dba4ad541e0e8784d701799b4c7b46b22";
    private String publicKeyServer = "3059301306072a8648ce3d020106082a811ccf5501822d034200047dc182b4ce3c2067b6ef2e625ef1dd80847e77de8cfae129c1c6d19b206224727950c20fcd55f2da0fc1a57d1db4ce3dba4ad541e0e8784d701799b4c7b46b22";
    private String privateKeyClient = "308193020100301306072a8648ce3d020106082a811ccf5501822d047930770201010420adb28bf95e7b6789bd16cfad436827220cefbe979069e0cf3169f5ba7aae8585a00a06082a811ccf5501822da14403420004b0a92c23a94166797243276622059ab6970e1b6fc8b263d8e52f14518b3b700f2c188e80965a25ef2245e7d29e33569bbefc44abac442ab0608956be83673696";
    private String publicKeyClient = "3059301306072a8648ce3d020106082a811ccf5501822d03420004b0a92c23a94166797243276622059ab6970e1b6fc8b263d8e52f14518b3b700f2c188e80965a25ef2245e7d29e33569bbefc44abac442ab0608956be83673696";
    @Test
    public void generateKey() {
        KeyPair pair = SecureUtil.generateKeyPair("SM2");
        byte[] privateKeyS1 = pair.getPrivate().getEncoded();
        byte[] publicKeyC1 = pair.getPublic().getEncoded();
        String privateKeyS = HexUtil.encodeHexStr(privateKeyS1);
        String publicKeyC = HexUtil.encodeHexStr(publicKeyC1);
        System.out.println("服务端-私钥: " + privateKeyS);
        System.out.println("服务端-公钥: " + publicKeyC);
        KeyPair pair2 = SecureUtil.generateKeyPair("SM2");
        byte[] privateKeyC2 = pair2.getPrivate().getEncoded();
        byte[] publicKeyS2 = pair2.getPublic().getEncoded();
        String privateKeyC = HexUtil.encodeHexStr(privateKeyC2);
        String publicKeyS = HexUtil.encodeHexStr(publicKeyS2);
        System.out.println("客户端-私钥: " + privateKeyC);
        System.out.println("客户端-公钥: " + publicKeyS);
    }
    @Test
    public void sendDate() {
        String param = "今天的天气不错哦！";
        System.out.println("客户端-待加密数据: " + param);
        byte[] key = SmUtil.sm4().getSecretKey().getEncoded();
        String secret = HexUtil.encodeHexStr(key);
        System.out.println("随机生成sm4秘钥: " + secret);
        SM4 sm4 = getSm4(secret);
        byte[] encrypt = sm4.encrypt(param);
        String encryptStr = HexUtil.encodeHexStr(encrypt);
        System.out.println("客户端-对数据加密: " + encryptStr);
        String digest = SmUtil.sm3(encryptStr);
        System.out.println("客户端-对密文摘要: " + digest);
        SM2 sm2PrivateC = SmUtil.sm2(privateKeyClient, null);
        String sign = sm2PrivateC.signHex(digest);
        System.out.println("客户端-使用sm2对摘要签名: " + sign);
        SM2 sm2PublicC = SmUtil.sm2(null, publicKeyServer);
        String sm4BySm2 = sm2PublicC.encryptHex(secret, KeyType.PublicKey);
        System.out.println("客户端-使用sm2加密sm4秘钥: " + sm4BySm2);
        SecretParam secretParam = new SecretParam();
        secretParam.setCiphertext(encryptStr);
        secretParam.setTempKey(sm4BySm2);
        secretParam.setSign(sign);
        secretParam.setAppId("001");
        secretParam.setRequestId("002");
        secretParam.setTimestamp(String.valueOf(System.currentTimeMillis()));
        System.out.println("客户端-发送数据 = " + JSON.toJSONString(secretParam));
    }
    @Test
    public void receiveDate() {
        String json = "{\"appId\":\"001\",\"ciphertext\":\"9b9812773f83716023d22dc8336fe4bede33af2db21db9e6ef3002707a86d880c1e01e9e63d18159ed91d6\",\"requestId\":\"002\",\"sign\":\"3046022100bc7adc0ef8425be4a2e1a0793cc83fab7449cdf3811b3faae885ad358b2e9ff0022100a862520b82525475150fefdbaec0bbfb3b19782b6e2298096fbc000e50a25b78\",\"tempKey\":\"04c95074063f875347575e041fd95dca07cb3cc0064b2c58416ec0d7898f028b593446379783292c80e4d6dddf765f5b691a3db45f5b133a59f7df01c77b167f97dd06b1b569f19a4f35c330f4b2713b9a1a913be108df62f4005741b8ba9dd5d6fc82dde1d4234b37d06514f70f4db6ef1006d42d4393469b9ee47e08607c6464\",\"timestamp\":\"1721113417664\"}\n";
        SecretParam secretParam = JSON.parseObject(json, SecretParam.class);
        // 服务端处理
        System.out.println("服务端-省略appid, requestId, timestamp校验");
        String digestCheck = SmUtil.sm3(secretParam.getCiphertext());
        System.out.println("服务端-对密文生成摘要: " + digestCheck);
        SM2 sm2PublicS = SmUtil.sm2(null, publicKeyClient);
        boolean signFlag = sm2PublicS.verifyHex(digestCheck, secretParam.getSign());
        System.out.println("服务端-对摘要验签 = " + signFlag);
        SM2 sm2PrivateS = SmUtil.sm2(privateKeyServer, null);
        String tempKey = sm2PrivateS.decryptStr(secretParam.getTempKey(), KeyType.PrivateKey);
        System.out.println("服务端-使用sm2解密sm4秘钥: " + tempKey);
        SM4 sm4 = getSm4(tempKey);
        String decryptStr = sm4.decryptStr(secretParam.getCiphertext());
        System.out.println("服务端-对数据解密: " + decryptStr);
    }
    /**
     * 根据给定的密钥，获取一个SM4加密算法的实例
     *
     * @param key 密钥，需要是16进制字符串格式
     * @return SM4加密算法的实例
     */
    private static SM4 getSm4(String key) {
        return new SM4(SM4_MODE, SM4_PADDING, HexUtil.decodeHex(key), SM4_IV.getBytes());
    }
}

3.4 结果打印演示

3.4.1 生成SM2的公钥和私钥

3.4.2 请求方（客户端）发送数据

3.4.3 接收方（服务端）接收数据