[发明专利]一种基于区域划分的安全接入方法和系统

说明书

技术领域

本发明属于信息安全、信息技术应用领域，涉及一种基于区域划分的采用国密局加密算法进行加密的安全接入方法和系统。

背景技术

安全接入平台是一种采用SSL(Secure Sockets Layer安全套接层)协议（如附图3所示）来实现远程接入的一种新型VPN设备。它在公共IP网络设施上，通过数据包封装的隧道技术，并采用加密技术、认证技术和访问控制等综合安全机制，构建的安全虚拟专用网络。

随着国家电网公司安全接入平台的推广普及，越来越多的网省公司加入到了安全接入平台的部署之中。华北、华东、华中、西北等网省公司正以越来越快的速度部署该平台，紧跟而来的便是平台部署的地域范围越来越大以及终端数量的激增。而将这些终端的信息传输到其各自的网关上的复杂度也越来越大。

首先，因为管理和维持一个连接需要耗费大量的服务器资源，不同的网省公司的终端数量也大不相同。在经济较为发达的一些网省公司大量采用PDA移动作业，因此他们的终端数量有可能达到数十万个，而在一些经济欠发达地区的终端数量却又不是很多，大体在上千个左右，因此便造成了一些地区由于终端数量庞大导致服务器负载吃力甚至死机的现象，而在另一些地区却出现了服务器闲置浪费的现象。

其次，随着移动终端可能出现在全国各个位置，因此维护其终端与对应网关的路由表也需要花费极大的网络资源，对网络资源的消耗也是巨大的。

最后，原有的安全接入平台身份认证模块的核心采用的是RSA签名算法配合SHA1哈希算法验证证书安全性，RSA加密算法是一种非对称加密算法。在公钥加密标准和电子商业中RSA被广泛使用。分解极大整数的难度决定了RSA算法的可靠性。换言之，分解极大整数愈困难，RSA算法愈可靠。假如有人找到一种很快的分解因子的算法的话，那么用RSA加密的信息的可靠性就肯定会极度下降。但找到这样的算法的可能性是非常小的。今天只有短的RSA钥匙才可能被强力方式解破。到2008年为止，世界上还没有任何可靠的攻击RSA算法的方式。只要其钥匙的长度足够长，用RSA加密的信息实际上是不能被解破的。但在分布式计算技术和量子计算机理论日趋成熟的今天，RSA加密安全性受到了挑战。因此，在计算机技术快速发展的今天，如果继续使用老旧的RSA签名算法进行身份认证，必然会带来被黑客攻击导致内网信息泄密的危险。而安全接入平台作为一种安全设备，对身份认证算法的安全性要求更高，一旦安全接入平台经不住攻击，内网的所有资源将完全暴露在黑客的面前，造成无可挽回的损失。椭圆曲线公钥系统是代替RSA的强有力的竞争者。椭圆曲线加密方法与RSA方法相比，有以下的优点：（1）安全性能更高如160位ECC与1024位RSA、DSA有相同的安全强度。（2）计算量小，处理速度快在私钥的处理速度上（解密和签名），ECC远比RSA、DSA快得多。（3）存储空间占用小ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多，所以占用的存储空间小得多。（4）带宽要求低使得ECC具有广泛得应用前景。国密局的SM2签名算法就是基于椭圆算法实现的，具有更高的加密性和可靠性。

发明内容

为了克服上述现有技术的不足，本发明提供一种基于区域划分的安全接入方法和系统。

为了实现上述发明目的，本发明采取如下技术方案：

一种基于区域划分的安全接入方法，该方法应用于安全接入平台，其特征在于，所述方法包括：于终端和网关处分别布置传递器A和传递器B。

优选地，所述传递器A包括区域网关路由表，所述传递器B包括详细网关路由表。

优选地，所述方法包括如下步骤：

（1）终端将待发送的信息递至所述传递器A，传递器A确定该信息到达网关A的最优路径并递至网关A，调用SM3摘要算法预处理后进行SM2签名运算；

（2）网关A接收所述信息，识别其网关标识码，设于网关A的所述传递器B确定该消息到达网关B的最优路径，并将该消息转发至网关B；

（3）网关B接收所述信息并匹配网关标识码，若匹配成功，则执行步骤（4）；若匹配失败，则丢弃该消息；

（4）网关B分解信息包，调用SM3摘要算法预处理本地证书并对其进行散列，之后用SM2运算进行信息的验证，若验证通过，则将信息发送至身份认证服务器；若验证不通过，则中断连接；

（5）认证服务器接收所述信息，连接数据库，查询用户权限，并将结果返回终端。