專利名稱:基于sm1/sm2算法的權(quán)限控制方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全控制領(lǐng)域��,具體而言�,涉及一種基于SM1/SM2算法的權(quán)限控制方法及裝置。
背景技術(shù):
國密SMl算法是由國家密碼管理局編制的一種商用密碼分組標準對稱算法�����。該算法是國家密碼管理部門審批的SMl分組密碼算法����,分組長度和密鑰長度都為128比特,算法安全保密強度及相關(guān)軟硬件實現(xiàn)性能與AES相當��,SM2算法是國家密碼管理局編制的商用密碼標準的公鑰算法標準�,SM2算法采用ECC橢圓曲線原理,算法密鑰有192比特和256比特兩種�,SM2算法在安全強度和運算速度上均優(yōu)于RSA算法。SM2算法已經(jīng)公開��,但多以IP核的形式存在于芯片中。采用SM1/SM2算法已經(jīng)研制了系列芯片�����、智能IC卡���、智能密碼鑰 匙、加密卡���、加密機等安全產(chǎn)品�����,廣泛應用于電子政務(wù)���、電子商務(wù)及國民經(jīng)濟的各個應用領(lǐng)域(包括國家政務(wù)通、警務(wù)通等重要領(lǐng)域)����。當今社會很多企事業(yè)單位中,為不同的用戶賦予不同的權(quán)限��,訪問不同的資源����,也即權(quán)限管理��,小到門禁系統(tǒng)�、考勤系統(tǒng)��,大到政府����、銀行內(nèi)部的管理系統(tǒng),都有著十分廣泛的應用�����。效率與安全性是權(quán)限管理關(guān)注的重點����,如果門禁系統(tǒng)不能禁止非法用戶進入,如果銀行內(nèi)部的權(quán)限管理系統(tǒng)足夠繁瑣以至于無法及時將房貸發(fā)放到按揭用戶的手中��,將會造成非常嚴重的后果并大大降低工作效率����。很多小區(qū)、大樓、智能大廈以及高檔寫字樓等都運用了或者需要運用一種不僅安全而且具備權(quán)限管理和控制的門禁系統(tǒng)來達到確保安全和高效管理的目標���。但是現(xiàn)有的權(quán)限管理系統(tǒng)��,或現(xiàn)在大量使用的Ml卡等設(shè)備��,都具備容易破解或者其他安全性不高的缺點�����,另外如何有效的進行權(quán)限管理在各個系統(tǒng)中也都不是一個容易解決的問題。很多權(quán)限管理系統(tǒng)中�����,加密-鑒權(quán)算法往往采用DES-RSA模式�,而DES、RSA等加密算法的核心部分為國外所掌握�����,因此�����,采用國外加密算法的權(quán)限管理系統(tǒng)�,對我國政府部門尤其是一些國家核心保密部門的日常運行和決策造成了很大的威脅�。
發(fā)明內(nèi)容
本發(fā)明提供一種基于SM1/SM2算法的權(quán)限控制方法及裝置�,用以進行有效的安全控制以及權(quán)限管理,達到高效安全的權(quán)限控制要求��。為達到上述目的���,本發(fā)明提供了一種基于SM1/SM2算法的權(quán)限控制方法��,其包括以下步驟通過用戶身份設(shè)備向后臺管理模塊協(xié)商得到會話密鑰���;當用戶請求使用某種資源時,在用戶身份設(shè)備端采用SM2私鑰對用戶私人信息進行簽名����,得到簽名字符串,并根據(jù)會話密鑰對(ID��,Sign, Resource)進行SMl加密���,將得到的加密結(jié)果SMl (ID, Sign, Resource)發(fā)送給數(shù)據(jù)采集模塊�����,其中ID代表用戶私人信息���,Sign代表簽名字符串���,Resource代表該某種資源;通過數(shù)據(jù)采集模塊將加密結(jié)果SMl (ID, Sign, Resource)發(fā)送至后臺管理模塊,并根據(jù)會話密鑰對其進行解密得到(ID�����,Sign, Resource)字符串�����;根據(jù)該ID在數(shù)據(jù)庫中查詢得到相應的第一用戶私人信息和用戶公鑰��,并根據(jù)SM2公鑰對簽名字符串進行解密���,得到用戶私人信息;驗證用戶私人信息與第二用戶私人信息是否一致����,若不一致則拒絕用戶請求,否則根據(jù)第二用戶私人信息在數(shù)據(jù)庫中查詢該用戶是否擁有訪問該某種資源的權(quán)限�,若是則允許該用戶訪問該某種資源,否則拒絕其訪問請求。較佳的�,上述權(quán)限控制方法還包括以下步驟根據(jù)用戶私人信息生成SM2證書,將 用戶私人信息以及帶SM2私鑰的SM2證書寫入用戶身份設(shè)備�;同時將用戶私人信息、SM2證書以及用戶對應的權(quán)限信息位寫入數(shù)據(jù)庫����。較佳的,用戶私人信息包括姓名�����、年齡��、ID和指紋���。為達到上述目的�,本發(fā)明還提供了一種基于SM1/SM2算法的權(quán)限控制裝置�,其包括密鑰生成模塊,用于通過用戶身份設(shè)備向后臺管理模塊協(xié)商得到會話密鑰�����;加密模塊�,用于采用SM2私鑰對用戶私人信息進行簽名���,得到簽名字符串,并根據(jù)會話密鑰對(ID��,Sign, Resource)進行SMl加密���,將得到的加密結(jié)果SMl (ID���,Sign,Resource)發(fā)送給數(shù)據(jù)采集模塊,其中ID代表用戶私人信息����,Sign代表簽名字符串,Resource代表該某種資源����;解密模塊,用于通過數(shù)據(jù)采集模塊將加密結(jié)果SMl (ID, Sign, Resource)發(fā)送至后臺管理模塊���,并根據(jù)會話密鑰對其進行解密得到(ID��,Sign�����,Resource)字符串�����;SM1/SM2密碼模塊�,用于根據(jù)該ID在數(shù)據(jù)庫中查詢得到相應的第一用戶私人信息和用戶公鑰,根據(jù)SM2公鑰對簽名字符串進行解密�����,得到用戶私人信息�����;驗證模塊���,用于驗證用戶私人信息與第二用戶私人信息是否一致��,若不一致則拒絕用戶請求�,否則根據(jù)第二用戶私人信息在數(shù)據(jù)庫中查詢該用戶是否擁有訪問該某種資源的權(quán)限��,若是則允許該用戶訪問該某種資源��,否則拒絕其訪問請求�����。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹���,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例�,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖��。圖I為根據(jù)本發(fā)明一個實施例的基于SM1/SM2算法的權(quán)限控制方法流程圖�����;圖2為根據(jù)本發(fā)明一個實施例的基于SM1/SM2算法的權(quán)限控制裝置模塊圖��。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖�,對本發(fā)明實施例中的技術(shù)方案進行清楚�、完整地描述,顯然�����,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例�����?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有付出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍��。所以��,發(fā)明一種具備良好的安全和權(quán)限控制功能的管理系統(tǒng)�����,就有了其非比尋常的意義�。而具有自主知識產(chǎn)權(quán)的SMI�����、SM2算法的安全管理系統(tǒng)�����,恰恰成為解決這一問題的核心。圖I為根據(jù)本發(fā)明一個實施例的基于SM1/SM2算法的權(quán)限控制方法流程圖�����。如圖I所示����,其包括以下步驟S101,通過用戶身份設(shè)備向后臺管理模塊協(xié)商得到會話密鑰�����;S102��,當用戶請求使用某種資源時�����,在用戶身份設(shè)備端采用SM2私鑰對用戶私人信息進行簽名�,得到簽名字符串,并根據(jù)會話密鑰對(ID��,Sign, Resource)進行SMl加密,將得到的加密結(jié)果SMl (ID����,Sign, Resource)發(fā)送給數(shù)據(jù)采集模塊��,其中ID代表用戶私人信息����,Sign代表簽名字符串,Resource代表該某種資源�����; S103,通過數(shù)據(jù)采集模塊將加密結(jié)果SMl (ID, Sign, Resource)發(fā)送至后臺管理模塊����,并根據(jù)會話密鑰對其進行解密得到(ID,Sign�����,Resource)字符串����;S104,根據(jù)該ID在數(shù)據(jù)庫中查詢得到相應的第一用戶私人信息和用戶公鑰,并根據(jù)SM2公鑰對簽名字符串進行解密�,得到用戶私人信息;S105�����,驗證用戶私人信息與第二用戶私人信息是否一致��,若不一致則拒絕用戶請求����,否則根據(jù)第二用戶私人信息在數(shù)據(jù)庫中查詢該用戶是否擁有訪問該某種資源的權(quán)限,若是則允許該用戶訪問該某種資源���,否則拒絕其訪問請求��。SM1/SM2算法為國家具有自主知識產(chǎn)權(quán)的國產(chǎn)算法����,SMl相較與DES��,AES具有加密速度更快�����、抵抗線性攻擊、差分攻擊更好的優(yōu)勢�����。SM2算法為國產(chǎn)ECC算法�,與RSA算法相t匕��,采用較短的密鑰就可以達到和RSA算法相同的加密強度�。160位SM2算法的安全性相當于1024位的RSA算法,而210位的SM2則相當于2048位的RSA��。本實施例通過使用具有自主知識產(chǎn)權(quán)的SM1/SM2算法����,實現(xiàn)了國產(chǎn)算法的保密通信、身份識別以及權(quán)限分級管理�����,大大提高了整個系統(tǒng)的安全性和易用性��,確保了國家核心秘密的安全���。例如��,上述權(quán)限控制方法還包括以下步驟根據(jù)用戶私人信息生成SM2證書�,將用戶私人信息以及帶SM2私鑰的SM2證書寫入用戶身份設(shè)備;同時將用戶私人信息��、SM2證書以及用戶對應的權(quán)限信息位寫入數(shù)據(jù)庫�。例如,用戶私人信息包括姓名����、年齡、ID和指紋�。在上述實施例中,用戶身份設(shè)備用于存儲能夠鑒別用戶身份和權(quán)限的信息����,它通常是一種可以被用戶隨身攜帶的硬件設(shè)備,用戶身份識別設(shè)備本身具備SMI���、SM2加解密的功能����。數(shù)據(jù)采集模塊負責將用戶身份設(shè)備中的待鑒別信息提取出來�,傳送給SM1/SM2密碼模塊,數(shù)據(jù)采集模塊可以是一種硬件設(shè)備���,也可以是一種基于PC平臺操作系統(tǒng)之上的軟件����。圖2為根據(jù)本發(fā)明一個實施例的基于SM1/SM2算法的權(quán)限控制裝置模塊圖。如圖2所示,其包括密鑰生成模塊10��,用于通過用戶身份設(shè)備向后臺管理模塊協(xié)商得到會話密鑰�����;加密模塊20���,用于采用SM2私鑰對用戶私人信息進行簽名,得到簽名字符串���,并根據(jù)會話密鑰對(ID���,Sign, Resource)進行SMl加密,將得到的加密結(jié)果SMl (ID��,Sign,Resource)發(fā)送給數(shù)據(jù)采集模塊��,其中ID代表用戶私人信息�����,Sign代表簽名字符串,Resource代表該某種資源���;解密模塊30,用于通過數(shù)據(jù)采集模塊將加密結(jié)果SMl (ID, Sign, Resource)發(fā)送至后臺管理模塊���,并根據(jù)會話密鑰對其進行解密得到(ID,Sign����,Resource)字符串;SM1/SM2密碼模塊40�����,用于根據(jù)該ID在數(shù)據(jù)庫中查詢得到相應的第一用戶私人信息和用戶公鑰��,根據(jù)SM2公鑰對簽名字符串進行解密�,得到用戶私人信息;驗證模塊50��,用于驗證用戶私人信息與第二用戶私人信息是否一致��,若不一致則拒絕用戶請求����,否則根據(jù)第二用戶私人信息在數(shù)據(jù)庫中查詢該用戶是否擁有訪問該某種資源的權(quán)限����,若是則允許該用戶訪問該某種資源��,否則拒絕其訪問請求�。SM1/SM2密碼模塊負責已經(jīng)SMl的加解密運算、SM2的加密��、解密�、簽名等運算;SM1/SM2密碼模塊由后臺管理模塊管理�����。后臺管理模塊負責綜合管理�����,包括初始化用戶身份設(shè)備�、管理用戶權(quán)限�,判定是否對用戶開放資源;后臺管理模塊通常包含一個用于存儲用戶信息以及用戶權(quán)限的數(shù)據(jù)庫��。資源模塊為不同權(quán)限管理系統(tǒng)下針對不同用戶的權(quán)限可以開 放的資源,不同的權(quán)限管理系統(tǒng)的資源不同��,并不針對某一種權(quán)限管理系統(tǒng)�����。以下為根據(jù)本發(fā)明一個優(yōu)選實施例的權(quán)限控制方法的工作過程首先����,系統(tǒng)完成初始化的過程,即管理員為用戶發(fā)放身份設(shè)備的過程��。管理員收集用戶的私人信息Prinfo����,如姓名、年齡����、ID、指紋等信息�����,并以用戶的私人信息為參數(shù)���,通過SM1/SM2密碼模塊生成SM2證書�,管理員將用戶私人信息以及帶私鑰的SM2證書寫入用戶身份設(shè)備。管理員根據(jù)用戶的實際權(quán)限�,為用戶生成權(quán)限標志位;管理員將用戶私人信息�、用戶SM2證書、用戶權(quán)限分配標志�,都寫入后臺數(shù)據(jù)庫中�����。管理員將用戶身份設(shè)備發(fā)放到相應的用戶手中。其次���,用戶使用身份設(shè)備請求使用某種資源Resource��。用戶身份設(shè)備通過數(shù)據(jù)傳輸模塊與后臺管理模塊協(xié)商密鑰Sessionkey作為保護通信安全的回話密鑰�����。用戶每次請求資源協(xié)商新的Sessionkey。用戶身份設(shè)備使用自身存取的SM2私鑰對用戶私人信息Prinfol進行簽名����,并將用戶ID和簽名信息Sign組成的字符串(ID�����,Sign)使用Sessionkey做SMl加密后���,記為SMl (ID, Sign, Resource),發(fā)送給數(shù)據(jù)采集模塊���,數(shù)據(jù)采集模塊將SMl (ID, Sign, Resource)傳送給后臺管理模塊���。后臺管理模塊通過SM1/SM2密碼模塊,使用Sessionkey解密得到(ID���,Sign��,Resource)字符串���。后臺管理模塊通過用戶ID查詢數(shù)據(jù)庫中相關(guān)的證書得到用戶SM2公鑰Pubkey以及私人信息Prinfo2。后臺管理模塊調(diào)用SM1/SM2密碼模塊���,使用用戶SM2公鑰Pubkey驗證用戶私人信息Prinfol與Proinfo2是否匹配����。如果不匹配,拒絕該用戶的請求�。若匹配,則繼續(xù)通過數(shù)據(jù)庫查詢該用戶相應的Resource資源權(quán)限分配標志位,如果該用戶具備訪問該資源Resource的權(quán)限,則將允許該用戶訪問資源模塊�,否則,拒絕該用戶的請求��。本領(lǐng)域普通技術(shù)人員可以理解附圖只是一個實施例的示意圖�����,附圖中的模塊或流程并不一定是實施本發(fā)明所必須的�。本領(lǐng)域普通技術(shù)人員可以理解實施例中的裝置中的模塊可以按照實施例描述分布于實施例的裝置中,也可以進行相應變化位于不同于本實施例的一個或多個裝置中��。上述實施例的模塊可以合并為一個模塊�����,也可以進一步拆分成多個子模塊����。上述本發(fā)明實施例序號僅僅為了描述,不代表實施例的優(yōu)劣��。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成���,前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中���,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟����;而前述的存儲介質(zhì)包括ROM、RAM�����、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)���。
最后應說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案����,而非對其限制����;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù)人員應當理解其依然可以對前述實施例所記載的技術(shù)方案進行修改��,或者對其中部分技術(shù)特征進行等同替換;而這些修改或者替換��,并不使相應技術(shù)方案的本質(zhì)脫離本發(fā)明實施例技術(shù)方案的精神和范圍���。
權(quán)利要求
1.一種基于SM1/SM2算法的權(quán)限控制方法�����,其特征在于�,包括以下步驟 通過所述用戶身份設(shè)備向后臺管理模塊協(xié)商得到會話密鑰�����; 當用戶請求使用某種資源時���,在所述用戶身份設(shè)備端采用SM2私鑰對用戶私人信息進行簽名�,得到簽名字符串�����,并根據(jù)所述會話密鑰對(ID���,Sign, Resource)進行SMl加密����,將得到的加密結(jié)果SMl (ID�,Sign,Resource)發(fā)送給數(shù)據(jù)采集模塊����,其中ID代表所述用戶私人信息,Sign代表所述簽名字符串�,Resource代表該某種資源; 通過所述數(shù)據(jù)采集模塊將所述加密結(jié)果SMl (ID, Sign, Resource)發(fā)送至所述后臺管理模塊�,并根據(jù)所述會話密鑰對其進行解密得到(ID,Sign���,Resource)字符串�����; 根據(jù)該ID在所述數(shù)據(jù)庫中查詢得到相應的第一用戶私人信息和用戶公鑰����,并根據(jù)所述SM2公鑰對所述簽名字符串進行解密��,得到所述用戶私人信息�����; 驗證所述用戶私人信息與所述第二用戶私人信息是否一致,若不一致則拒絕用戶請求�,否則根據(jù)所述第二用戶私人信息在所述數(shù)據(jù)庫中查詢該用戶是否擁有訪問該某種資源的權(quán)限,若是則允許該用戶訪問該某種資源��,否則拒絕其訪問請求�����。
2.根據(jù)權(quán)利要求I所述的權(quán)限控制方法���,其特征在于�����,還包括以下步驟 根據(jù)用戶私人信息生成SM2證書���,將用戶私人信息以及帶SM2私鑰的SM2證書寫入用戶身份設(shè)備; 同時將所述用戶私人信息�����、所述SM2證書以及用戶對應的權(quán)限信息位寫入數(shù)據(jù)庫�����。
3.根據(jù)權(quán)利要求I所述的權(quán)限控制方法,其特征在于�����,所述用戶私人信息包括 姓名����、年齡�����、ID和指紋����。
4.一種基于SM1/SM2算法的權(quán)限控制裝置,其特征在于�,包括 密鑰生成模塊,用于通過所述用戶身份設(shè)備向后臺管理模塊協(xié)商得到會話密鑰�; 加密模塊,用于采用SM2私鑰對用戶私人信息進行簽名�,得到簽名字符串,并根據(jù)所述會話密鑰對(ID�,Sign, Resource)進行SMl加密�����,將得到的加密結(jié)果SMl (ID�����,Sign,Resource)發(fā)送給數(shù)據(jù)采集模塊�����,其中ID代表所述用戶私人信息��,Sign代表所述簽名字符串�,Resource代表該某種資源���; 解密模塊���,用于通過所述數(shù)據(jù)采集模塊將所述加密結(jié)果SMl (ID, Sign, Resource)發(fā)送至所述后臺管理模塊,并根據(jù)所述會話密鑰對其進行解密得到(ID���,Sign, Resource)字符串; SM1/SM2密碼模塊����,用于根據(jù)該ID在所述數(shù)據(jù)庫中查詢得到相應的第一用戶私人信息和用戶公鑰,根據(jù)所述SM2公鑰對所述簽名字符串進行解密����,得到所述用戶私人信息; 驗證模塊��,用于驗證所述用戶私人信息與所述第二用戶私人信息是否一致��,若不一致則拒絕用戶請求��,否則根據(jù)所述第二用戶私人信息在所述數(shù)據(jù)庫中查詢該用戶是否擁有訪問該某種資源的權(quán)限�,若是則允許該用戶訪問該某種資源�����,否則拒絕其訪問請求�。
全文摘要
本發(fā)明公開了一種基于SM1/SM2算法的權(quán)限控制方法及裝置,其中方法包括通過用戶身份設(shè)備向后臺管理模塊協(xié)商得到會話密鑰���;采用SM2私鑰對用戶私人信息進行簽名�����,得到簽名字符串���,并進行SM1加密���,將得到的加密結(jié)果發(fā)送給數(shù)據(jù)采集模塊;通過數(shù)據(jù)采集模塊將加密結(jié)果發(fā)送至后臺管理模塊�,并根據(jù)會話密鑰對其進行解密得到字符串;根據(jù)該ID在數(shù)據(jù)庫中查詢得到相應的第一用戶私人信息和用戶公鑰�,并根據(jù)SM2公鑰對簽名字符串進行解密,得到用戶私人信息����;驗證用戶私人信息與第二用戶私人信息是否一致,若不一致則拒絕用戶請求�����,否則根據(jù)第二用戶私人信息在數(shù)據(jù)庫中查詢該用戶是否擁有訪問該某種資源的權(quán)限���,若是則允許該用戶訪問該某種資源��,否則拒絕其訪問請求�����。
文檔編號G06F21/00GK102752112SQ201110101369
公開日2012年10月24日 申請日期2011年4月22日 優(yōu)先權(quán)日2011年4月22日
發(fā)明者何麗, 尹剛, 徐樹民, 梁劍, 王磊 申請人:航天信息股份有限公司