(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210611039.1 (22)申请日 2022.06.01 (65)同一申请的已公布的文献号 申请公布号 CN 114697046 A (43)申请公布日 2022.07.01 (73)专利权人 湖南三湘银行股份有限公司 地址 410000 湖南省长 沙市岳麓区滨江路 53号湖南湘江新区滨江金融中心楷林 国际D座 (72)发明人 路博　杨良　刘凯雄　 (74)专利代理 机构 北京中誉至诚知识产权代理 事务所(普通 合伙) 11858 专利代理师 张平力 (51)Int.Cl. H04L 9/32(2006.01)H04L 9/08(2006.01) 审查员 王樱 (54)发明名称 基于国密SM9的安全认证方法及系统 (57)摘要 本公开涉及一种基于国密SM9的安全认证方 法及系统， 其中方法包括： 响应于接收到第二终 端发起的第一数据请求获取第一数据并生成签 名私钥请求； 将签名私钥请求发送至秘钥生成中 心KGC， 接收KGC响应签名私钥请求而返回的签名 主公钥和多个私钥片段数据， 多个私钥片段数据 组合构成签名私钥， 签名私钥由KGC基于第一终 端的终端标识以及签名主私钥生成， 签名主私钥 由KGC生成的第一随机 数确定， 签名主公钥由KGC 基于签名主私钥和系统参数生 成； 基于多个私钥 片段数据生成签名私钥， 基于签名私钥和签名主 公钥对第一数据进行签名处理得到签名数据发 送至第二终端， 以使第二终端基于第一终端的终 端标识进行签名验证以认证第一数据的来源。 权利要求书2页 说明书10页 附图3页 CN 114697046 B 2022.09.30 CN 114697046 B 1.一种基于国密SM9的安全认证方法， 应用于第一终端， 其特 征在于， 该 方法包括： 响应于接收到第二终端发起的第一数据请求， 获取第一数据并生成签名私钥请求， 所 述签名私钥请求和所述第一数据至少携带 所述第一终端的终端标识； 将所述签名私钥请求发送至秘钥生成中心KGC， 接收所述KGC响应所述签名私钥请求而 返回的签名主公钥和多个私钥片段数据； 其中， 所述多个私钥片段数据用于组合构成签名 私钥， 所述签名私钥由所述KGC基于所述第一 终端的终端标识以及签名主私钥生成， 所述签 名主私钥由所述KGC生 成的第一随机数确定， 所述签名主公钥由所述KGC基于所述签名主私 钥和系统参数生成； 基于所述多个私钥片段数据生成签名私钥， 基于所述签名私钥和所述签名主公钥对所 述第一数据进行签名处 理得到签名数据； 将所述签名数据发送至所述第 二终端， 以使所述第 二终端基于所述第 一终端的终端标 识进行签名验证从而认证所述第一数据的来源； 确定当前接收到的加密数据请求的数量大于预设数值时， 生成第一指示消息， 将所述 第一指示消息发送至所述KGC， 所述第一指示消 息指示所述KGC生成指定秘钥； 生成第二随 机数以及第二指示消息， 将所述第二 随机数以及第二指示消息发送至所述第二终端， 所述 第二指示消息指示所述第二终端从所述KGC处获取所述指定秘钥， 并基于所述指定秘钥对 所述第二随机数加密得到第一加密随机数； 从所述KGC处获取所述指 定秘钥， 在本地基于所 述指定秘钥对所述第二随机数加密得到第二加密随机数； 接收所述第二 终端发送的所述第 一加密随机数， 比对所述第一加密随机数与所述第二加密随机数是否相同， 若是则认证成 功， 直接返回加密请求数据至所述第二终端。 2.根据权利要求1所述的方法， 其特征在于， 所述多个私钥片段数据均携带指定数据标 识且被存储于所述KGC的数据库中的不同存储位置， 各所述指定数据标识与各所述存储位 置一一对应关联， 且与所述第一终端的终端标识唯一映射关联。 3.根据权利要求2所述的方法， 其特 征在于， 该 方法还包括： 重新发送所述签名私钥请求至所述KGC； 接收所述KGC响应重新发送的所述签名私钥请求而从所述KGC的数据库中的不同存储 位置获取并返回的所述多个私钥片段 数据。 4.根据权利要求1所述的方法， 其特征在于， 所述指定秘钥由所述KGC基于所述签名主 公钥、 所述第一终端的终端标识以及所述第二终端的终端标识生成。 5.根据权利要求4所述的方法， 其特征在于， 所述第 一数据请求携带所述第 二终端的终 端标识以及发起所述第一数据请求的用户的人脸特 征信息， 该 方法还包括： 基于SM9加密算法、 所述第二终端的终端标识以及发起所述第一数据请求的用户的人 脸特征信息对所述签名数据进 行加密处理得到加密数据， 将所述加密数据发送至所述第二 终端， 以使 所述第二 终端基于S M9解密算法、 所述第二 终端的终端标识以及发起所述第一数 据请求的用户的人脸特征信息对所述加密数据进 行解密处理得到所述签名数据， 并基于所 述第一终端的终端标识对所述签名数据进行签名验证。 6.根据权利要求5所述的方法， 其特征在于， 所述第 一终端和所述第 二终端为物联网终 端。 7.一种基于国密SM9的安全认证系统， 应用于第一终端， 其特 征在于， 该系统包括：权　利　要　求　书 1/2 页 2 CN 114697046 B 2请求响应模块， 用于响应于接收到第二终端发起的第一数据请求， 获取第一数据并生 成签名私钥请求， 所述签名私钥请求和所述第一数据至少携带 所述第一终端的终端标识； 数据收发模块， 用于将所述签名私钥请求发送至秘钥生成中心KGC， 接收所述KGC响应 所述签名私钥请求而返回的签名主公钥和多个私钥片段数据； 其中， 所述多个私钥片段数 据用于组合构成签名私钥， 所述签名私钥由所述KGC基于所述第一终端的终端标识以及签 名主私钥生成， 所述签名主私钥由所述KGC生成的第一随机数确定， 所述签名主公钥由所述 KGC基于所述签名主私钥和系统参数生成； 数据签名模块， 用于基于所述多个私钥片段数据生成签名私钥， 基于所述签名私钥和 所述签名主公钥对所述第一数据进行签名处 理得到签名数据； 数据发送模块， 用于将所述签名数据发送至所述第二终端， 以使所述第二终端基于所 述第一终端的终端标识进行签名验证从而认证所述第一数据的来源； 数据认证模块， 用于确定当前接收到的加密数据请求的数量大于预设数值时， 生成第 一指示消 息， 将所述第一指示消息发送至所述KGC， 所述第一指示消息指示所述KGC生成指 定秘钥； 生成第二 随机数以及第二指示消息， 将所述第二 随机数以及第二指示消息发送至 所述第二 终端， 所述第二指示消息指示所述第二 终端从所述KGC处获取所述指 定秘钥， 并基 于所述指定秘钥对所述第二随机数加密得到第一加密随机数； 从所述KGC处获取所述指定 秘钥， 在本地基于所述指定秘钥对所述第二 随机数加密得到第二加密随机数； 接 收所述第 二终端发送的所述第一加密随机数， 比对所述第一加密随机数与所述第二加密随机数是否 相同， 若是则认证成功， 使所述数据发送模块 直接返回加密请求数据至所述第二终端。 8.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被 处理器执行时实现权利要求1~6任一项所述基于国密SM9的安全认证方法。 9.一种电子设备， 其特 征在于， 包括： 处理器； 以及 存储器， 用于存 储计算机程序； 其中， 所述处理器配置为经由执行所述计算机程序来执行权利要求1~6任一项所述基 于国密SM9的安全认证方法。权　利　要　求　书 2/2 页 3 CN 114697046 B 3