[发明专利]一种基于SM2算法可自定义的网络身份认证方法

权利要求书

1.一种基于SM2算法可自定义的网络身份认证方法，包括以下步骤：

S1  实体A向实体B发送数据包1，其内容为：

；

S2  实体B对数据包1进行处理；

S3  实体B向实体A发送数据包2，其内容为：

；

S4  实体A对数据包2进行处理；

S5  实体A向实体B发送数据包3，其内容为：

；

S6  实体B对数据包3进行处理；

所述的各数据包中：X是保留关键字，通过自定义保留关键字X实现自定义身份认证；||代表数据连接运算；ID_A是指实体A的用户标识；ID_B是指实体B的用户标识；SN是实体随机产生的会话序列号；H(*)代表对数据*进行hash运算；E_N(M)代表使用密钥N对数据M进行加密，其中N为集合｛CertA, SkeyA, CertB, SkeyB｝中的元素、数据M为需要加密的数据。

2.根据权利要求1所述的基于SM2算法可自定义的网络身份认证方法，其特征是：所述的S2包括以下步骤：

S2-1对数据包1进行基于IP地址、端口号和网络协议的数据过滤；

S2-2对数据包1进行数据提取，得到：ID_A, E_CertB(IP_A||SN||X) 和E_SkeyA(H(IP_A||ID_A||SN||X))；

S2-3使用私钥SkeyB对数据E_CertB(IP_A||SN||X)解密，得到数据IP_A||SN||X；

S2-4 将用户标识ID_A和数据IP_A||SN||X进行合成，并做hash运算，得到H(IP_A||ID_A||SN||X)；

S2-5 根据用户标识ID_A查找实体A的公钥CertA，根据CertA对发送数据签名进行验签，并根据验签的对比结果查看数据是否是伪造，从而确认发送者的合法身份。

3.根据权利要求2所述的基于SM2算法可自定义的网络身份认证方法，其特征是：所述的S2-5用户通过ID_A查找实体A的公钥CertA的方式可以通过本地查询的方式亦可采用向公钥发布服务器发送查找信息的方式，具体包括以下步骤：

S2-5-1 实体B查找本地服务器看是否有ID_A对应的公钥CertA，若有，则使用该公钥；若无，则采用向公钥发布服务器查询的方式，向公钥服务器发送公钥查找服务请求，数据包中包含信息ID_A；

S2-5-2 公钥服务器向实体B返回ID_A对应的公钥CertA，若返回的结果表明无此公钥，则实体B丢弃数据包1。

4.根据权利要求3所述的基于SM2算法可自定义的网络身份认证方法，其特征是：所述的S4包括以下步骤：

S4-1 实体A对数据包2进行基于IP地址、端口号和网络协议的数据过滤；

S4-2对数据包2进行数据提取，得到：ID_B, ,E_CertA(IP_B||SN+1||X) 和E_SkeyB(IP_B||ID_B||SN+1||X)；

S4-3使用私钥SkeyA对数据E_CertA(IP_B||SN+1||X)解密，得到数据IP_B||SN+1||X；

S4-4 将用户标识ID_B和数据IP_B||SN+1||X进行合成，并做hash运算，得到H(IP_B||ID_B||SN+1||X)；

S4-5 根据用户标识ID_B查找实体B的公钥CertB，根据CertB对发送数据签名进行验签，并根据验签的对比结果查看数据是否是伪造，从而确认发送者的合法身份。

5.根据权利要求4所述的基于SM2算法可自定义的网络身份认证方法，其特征是：所述的S4-5用户通过ID_B查找实体B的公钥CertB的方式可以通过本地查询的方式亦可采用向公钥发布服务器发送查找信息的方式，具体包括以下步骤：

S4-5-1 实体A查找本地服务器看是否有ID_B对应的公钥CertB，若有，则使用该公钥；若无，则采用向公钥发布服务器查询的方式，向公钥服务器发送公钥查找服务请求，数据包中包含信息ID_B；

S4-5-2 公钥服务器向实体A返回ID_B对应的公钥CertB，若返回的结果表明无此公钥，则实体A丢弃数据包2；

所述的步骤S6与步骤S2类似。

6.根据权利要求1-5所述的任意一项基于SM2算法可自定义的网络身份认证方法，其特征是：所述的通信实体定期向公钥发布服务器更新通信实体公钥数据库；公钥发布服务器集中部署，对需要通信的实体进行登记，保存通信实体的公钥，并对不再进行通信的实体采取撤销公钥的措施。