[发明专利]基于SM1/SM2算法的权限控制方法及装置

权利要求书

1.一种基于SM1/SM2算法的权限控制方法，其特征在于，包括以下步 骤：

通过用户身份设备向后台管理模块协商得到会话密钥；

当用户请求使用某种资源时，在所述用户身份设备端采用SM2私钥对用 户私人信息进行签名，得到签名字符串，并根据所述会话密钥对ID、Sign、 Resource进行SM1加密，将得到的ID、Sign、ResourceSM1加密结果发送 给数据采集模块，其中ID代表所述用户私人信息，Sign代表所述签名字符串， Resource代表该某种资源；

通过所述数据采集模块将所述ID、Sign、ResourceSM1加密结果发送至 所述后台管理模块，并根据所述会话密钥对其进行解密得到ID、Sign、 Resource字符串；

根据该ID在数据库中查询得到相应的第一用户私人信息和用户公钥，并 根据所述SM2公钥对所述签名字符串进行解密，得到所述用户私人信息；

验证所述用户私人信息与所述第一用户私人信息是否一致，若不一致则 拒绝用户请求，否则根据所述第一用户私人信息在所述数据库中查询该用户 是否拥有访问该某种资源的权限，若是则允许该用户访问该某种资源，否则 拒绝其访问请求。

2.根据权利要求1所述的权限控制方法，其特征在于，还包括以下步骤：

根据用户私人信息生成SM2证书，将用户私人信息以及带SM2私钥的 SM2证书写入用户身份设备；

同时将所述用户私人信息、所述SM2证书以及用户对应的权限信息位写 入数据库。

3.根据权利要求1所述的权限控制方法，其特征在于，所述用户私人信 息包括：

姓名、年龄、ID和指纹。

4.一种基于SM1/SM2算法的权限控制装置，其特征在于，包括：

密钥生成模块，用于通过用户身份设备向后台管理模块协商得到会话密 钥；

加密模块，用于采用SM2私钥对用户私人信息进行签名，得到签名字符 串，并根据所述会话密钥对ID、Sign、Resource进行SM1加密，将得到的ID， Sign，ResourceSM1加密结果发送给数据采集模块，其中ID代表所述用户私 人信息，Sign代表所述签名字符串，Resource代表某种资源；

解密模块，用于通过所述数据采集模块将所述ID，Sign，ResourceSM1 加密结果发送至所述后台管理模块，并根据所述会话密钥对其进行解密得到 ID、Sign、Resource字符串；

SM1/SM2密码模块，用于根据该ID在所述数据库中查询得到相应的第 一用户私人信息和用户公钥，根据所述SM2公钥对所述签名字符串进行解密， 得到所述用户私人信息；

验证模块，用于验证所述用户私人信息与所述第一用户私人信息是否一 致，若不一致则拒绝用户请求，否则根据所述第一用户私人信息在所述数据 库中查询该用户是否拥有访问该某种资源的权限，若是则允许该用户访问该 某种资源，否则拒绝其访问请求。