[发明专利]基于国密SM9的安全认证方法及系统

权利要求书

1.一种基于国密SM9的安全认证方法，应用于第一终端，其特征在于，该方法包括：

响应于接收到第二终端发起的第一数据请求，获取第一数据并生成签名私钥请求，所述签名私钥请求和所述第一数据至少携带所述第一终端的终端标识；

将所述签名私钥请求发送至秘钥生成中心KGC，接收所述KGC响应所述签名私钥请求而返回的签名主公钥和多个私钥片段数据；其中，所述多个私钥片段数据用于组合构成签名私钥，所述签名私钥由所述KGC基于所述第一终端的终端标识以及签名主私钥生成，所述签名主私钥由所述KGC生成的第一随机数确定，所述签名主公钥由所述KGC基于所述签名主私钥和系统参数生成；

基于所述多个私钥片段数据生成签名私钥，基于所述签名私钥和所述签名主公钥对所述第一数据进行签名处理得到签名数据；

将所述签名数据发送至所述第二终端，以使所述第二终端基于所述第一终端的终端标识进行签名验证从而认证所述第一数据的来源；

确定当前接收到的加密数据请求的数量大于预设数值时，生成第一指示消息，将所述第一指示消息发送至所述KGC，所述第一指示消息指示所述KGC生成指定秘钥；生成第二随机数以及第二指示消息，将所述第二随机数以及第二指示消息发送至所述第二终端，所述第二指示消息指示所述第二终端从所述KGC处获取所述指定秘钥，并基于所述指定秘钥对所述第二随机数加密得到第一加密随机数；从所述KGC处获取所述指定秘钥，在本地基于所述指定秘钥对所述第二随机数加密得到第二加密随机数；接收所述第二终端发送的所述第一加密随机数，比对所述第一加密随机数与所述第二加密随机数是否相同，若是则认证成功，直接返回加密请求数据至所述第二终端。

2.根据权利要求1所述的方法，其特征在于，所述多个私钥片段数据均携带指定数据标识且被存储于所述KGC的数据库中的不同存储位置，各所述指定数据标识与各所述存储位置一一对应关联，且与所述第一终端的终端标识唯一映射关联。

3.根据权利要求2所述的方法，其特征在于，该方法还包括：

重新发送所述签名私钥请求至所述KGC；

接收所述KGC响应重新发送的所述签名私钥请求而从所述KGC的数据库中的不同存储位置获取并返回的所述多个私钥片段数据。

4.根据权利要求1所述的方法，其特征在于，所述指定秘钥由所述KGC基于所述签名主公钥、所述第一终端的终端标识以及所述第二终端的终端标识生成。

5.根据权利要求4所述的方法，其特征在于，所述第一数据请求携带所述第二终端的终端标识以及发起所述第一数据请求的用户的人脸特征信息，该方法还包括：

基于SM9加密算法、所述第二终端的终端标识以及发起所述第一数据请求的用户的人脸特征信息对所述签名数据进行加密处理得到加密数据，将所述加密数据发送至所述第二终端，以使所述第二终端基于SM9解密算法、所述第二终端的终端标识以及发起所述第一数据请求的用户的人脸特征信息对所述加密数据进行解密处理得到所述签名数据，并基于所述第一终端的终端标识对所述签名数据进行签名验证。

6.根据权利要求5所述的方法，其特征在于，所述第一终端和所述第二终端为物联网终端。