[发明专利]一种基于区域划分的安全接入方法和系统

权利要求书

1.一种基于区域划分的安全接入方法，该方法应用于安全接入平台，其特征在于，所述方法包括：于终端和网关处分别布置传递器A和传递器B。

2.如权利要求1所述的方法，其特征在于，所述传递器A包括区域网关路由表，所述传递器B包括详细网关路由表。

3.如权利要求2所述的方法，其特征在于，所述方法包括如下步骤：

（1）终端将待发送的信息递至所述传递器A，传递器A确定该信息到达网关A的最优路径并递至网关A，调用SM3摘要算法预处理后进行SM2签名运算；

（2）网关A接收所述信息，识别其网关标识码，设于网关A的所述传递器B确定该消息到达网关B的最优路径，并将该消息转发至网关B；

（3）网关B接收所述信息并匹配网关标识码，若匹配成功，则执行步骤（4）；若匹配失败，则丢弃该消息；

（4）网关B分解信息包，调用SM3摘要算法预处理本地证书并对其进行散列，之后用SM2运算进行信息的验证，若验证通过，则将信息发送至身份认证服务器；若验证不通过，则中断连接；

（5）认证服务器接收所述信息，连接数据库，查询用户权限，并将结果返回终端。

4.如权利要求3所述的方法，其特征在于，

所述调用SM3算法预处理包括：对用户标识和证书的公钥进行SM3哈希运算得到Z值，运算公式为：Z=SM3(ENTL||ID||a||b||xG||yG||xA||yA)；其中：ENTL为由2个字节表示的ID的比特长度；ID为用户标识；a,b为系统曲线参数；xG、yG为基点；xA、yA为用户的公钥；使用Z值和待签名消息M，通过SM3运算得到摘要值H；摘要值H用于SM2数字签名；运算公式为：H=SM3(Z||M)；

所述步骤（1）中SM2签名运算包括：使用终端的证书私钥，对经过SM3哈希预处理后的信息H进行SM2签名运算得到结果S，表达式为：S=SM2（H），并将S传递给所述认证服务器；

所述步骤（4）中SM2运算包括：使用网关服务器的公钥，对经过SM3算法预处理后的信息H和终端传来的签名值S进行SM2验签运算得到结果Q，表达式为：Q=SM2（H||S），并判断Q的值是否为真；若为真则说明终端的证书合法，验证通过；若不为真，则说明终端的证书非法，中断与终端的连接。

5.如权利要求3所述的方法，其特征在于：所述所述传递器A或传递器B通过查找路由表，并利用Dijkstra算法得到所述最优路径。

6.如权利要求2所述的方法，其特征在于，所述信息包括：其所属区域的网关标识码和网关服务器设备的唯一标识符（UID）。

7.一种基于区域划分的安全接入系统，所述系统包括：终端、基站、路由器、网关、认证服务器和后台数据库；其特征在于，所述终端和网关分别设有传递器A和传递器B。

8.如权利要求7所述的系统，其特征在于：所述传递器A包括区域网关路由表，所述传递器B包括详细网关路由表。

9.如权利要求7所述的系统，其特征在于：所述传递器A和B均用于计算终端发送的信息到达下一个网关的最优路径。