[发明专利]基于SM1/SM2算法的权限控制方法及装置

说明书

技术领域

本发明涉及安全控制领域，具体而言，涉及一种基于SM1/SM2算法的权 限控制方法及装置。

背景技术

国密SM1算法是由国家密码管理局编制的一种商用密码分组标准对称算 法。该算法是国家密码管理部门审批的SM1分组密码算法,分组长度和密钥 长度都为128比特，算法安全保密强度及相关软硬件实现性能与AES相当， SM2算法是国家密码管理局编制的商用密码标准的公钥算法标准，SM2算法 采用ECC椭圆曲线原理，算法密钥有192比特和256比特两种，SM2算法在 安全强度和运算速度上均优于RSA算法。SM2算法已经公开，但多以IP核 的形式存在于芯片中。采用SM1/SM2算法已经研制了系列芯片、智能IC卡、 智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商 务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。

当今社会很多企事业单位中，为不同的用户赋予不同的权限，访问不同 的资源，也即权限管理，小到门禁系统、考勤系统，大到政府、银行内部的 管理系统，都有着十分广泛的应用。

效率与安全性是权限管理关注的重点，如果门禁系统不能禁止非法用户 进入，如果银行内部的权限管理系统足够繁琐以至于无法及时将房贷发放到 按揭用户的手中，将会造成非常严重的后果并大大降低工作效率。

很多小区、大楼、智能大厦以及高档写字楼等都运用了或者需要运用一 种不仅安全而且具备权限管理和控制的门禁系统来达到确保安全和高效管理 的目标。但是现有的权限管理系统，或现在大量使用的M1卡等设备，都具 备容易破解或者其他安全性不高的缺点，另外如何有效的进行权限管理在各 个系统中也都不是一个容易解决的问题。

很多权限管理系统中，加密-鉴权算法往往采用DES-RSA模式，而DES、 RSA等加密算法的核心部分为国外所掌握，因此，采用国外加密算法的权限 管理系统，对我国政府部门尤其是一些国家核心保密部门的日常运行和决策 造成了很大的威胁。

发明内容

本发明提供一种基于SM1/SM2算法的权限控制方法及装置，用以进行有 效的安全控制以及权限管理，达到高效安全的权限控制要求。

为达到上述目的，本发明提供了一种基于SM1/SM2算法的权限控制方 法，其包括以下步骤：

通过用户身份设备向后台管理模块协商得到会话密钥；

当用户请求使用某种资源时，在用户身份设备端采用SM2私钥对用户私 人信息进行签名，得到签名字符串，并根据会话密钥对(ID，Sign，Resource) 进行SM1加密，将得到的加密结果SM1(ID，Sign，Resource)发送给数据 采集模块，其中ID代表用户私人信息，Sign代表签名字符串，Resource代表 该某种资源；

通过数据采集模块将加密结果SM1(ID，Sign，Resource)发送至后台 管理模块，并根据会话密钥对其进行解密得到(ID，Sign，Resource)字符串；

根据该ID在数据库中查询得到相应的第一用户私人信息和用户公钥，并 根据SM2公钥对签名字符串进行解密，得到用户私人信息；

验证用户私人信息与第一用户私人信息是否一致，若不一致则拒绝用户 请求，否则根据第一用户私人信息在数据库中查询该用户是否拥有访问该某 种资源的权限，若是则允许该用户访问该某种资源，否则拒绝其访问请求。

较佳的，上述权限控制方法还包括以下步骤：根据用户私人信息生成SM2 证书，将用户私人信息以及带SM2私钥的SM2证书写入用户身份设备；同 时将用户私人信息、SM2证书以及用户对应的权限信息位写入数据库。

较佳的，用户私人信息包括：姓名、年龄、ID和指纹。

为达到上述目的，本发明还提供了一种基于SM1/SM2算法的权限控制装 置，其包括：

密钥生成模块，用于通过用户身份设备向后台管理模块协商得到会话密 钥；

加密模块，用于采用SM2私钥对用户私人信息进行签名，得到签名字符 串，并根据会话密钥对(ID，Sign，Resource)进行SM1加密，将得到的加 密结果SM1(ID，Sign，Resource)发送给数据采集模块，其中ID代表用户 私人信息，Sign代表签名字符串，Resource代表该某种资源；