CN109902479B - 权限控制方法、权限控制设备、用户设备及系统 - Google Patents
权限控制方法、权限控制设备、用户设备及系统 Download PDFInfo
- Publication number
- CN109902479B CN109902479B CN201910077714.5A CN201910077714A CN109902479B CN 109902479 B CN109902479 B CN 109902479B CN 201910077714 A CN201910077714 A CN 201910077714A CN 109902479 B CN109902479 B CN 109902479B
- Authority
- CN
- China
- Prior art keywords
- authorization
- user equipment
- authority control
- function value
- unclonable function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例涉及一种权限控制方法,权限控制设备、用户设备及系统。方法包括:提取用户设备物理不可克隆函数值;设定用户设备物理不可克隆函数值作为信任根;加密所述用户设备中的预设应用;生成并发送权限控制信息给所述用户设备,以对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整。本发明实施例,以用户设备物理不可克隆函数值为信任根建立远程权限控制系统,安全性高,灵活性强。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种权限控制方法、权限控制设备、用户设备及系统。
背景技术
当前具有核心技术的厂商将自己的产品销往下游客户时,因其技术的独特性,希望能够对自己产品涉及的核心技术信息加以保护。现有技术中,常通过软件手段进行保护,例如通过输入包装盒上的授权码,来完成远程授权;又或是通过白盒密钥,或者其他的软件手段来进行保护。但此类做法由于其自身的局限性,易受到攻击,被逆向代码破解。如何增强保护强度,是本领域亟待解决的技术问题。
发明内容
本发明实施例提供一种权限控制方法、权限控制设备、用户设备及系统,安全性高,灵活性强。
一方面,本发明实施例提供了一种权限控制方法,应用于权限控制设备,包括:
接收并存储用户设备的第一物理不可克隆函数值作为当前的物理不可克隆函数值;
设定所述当前的物理不可克隆函数值为用户设备信任根;
以预设算法加密所述用户设备中的预设应用;
生成并发送权限控制信息给所述用户设备,以对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整。
第二方面,本发明实施例还公开了一种权限控制设备,包括:
接收存储模块,用于接收存储用户设备的第一物理不可克隆函数值作为当前的物理不可克隆函数值;
设定模块,用于设定所述当前的物理不可克隆函数值为所述用户设备的信任根;
加密模块,以预设算法加密所述用户设备中的预设应用;
权限控制模块,用于生成并发送权限控制信息给所述用户设备;所述权限控制信息用于对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整。
第三方面,本发明实施例还公开了一种权限控制方法,应用于用户设备,包括:
提取所述用户设备当前的物理不可克隆函数值;
发送所述当前的物理不可克隆函数值给权限控制设备;
存储经所述权限控制设备加密后的所述预设应用;
接收所述权限控制设备发送来的权限控制信息;
解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整。
第四方面,本发明实施例还公开了一种用户设备,包括:
提取模块,用于提取所述用户设备的第一物理不可克隆函数值;
发送模块,用于发送所述当前的物理不可克隆函数值给权限控制设备;存储模块,用于存储经所述权限控制设备加密后的所述预设应用;
接收模块,用于接收所述权限控制设备发送来的权限控制信息;
解析模块,用于解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整。
第五方面,本发明实施例还公开了一种权限控制系统,包括上述的权限控制设备和用户设备。
本发明实施例提供的权限控制方法、权限控制设备、用户设备和系统。权限控制设备通过利用用户设备的物理不可克隆函数值作为信任根,通过加密技术将用户设备中的预设应用进行加密,通过物理不可克隆函数值与用户设备建立可信联系,安全的传递权限控制信息,且根据权限控制信息的不同,能够对用户设备的预设应用进行授权,取消收取或调整授权范围,安全性高,灵活性强。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的应用于权限控制设备的权限控制方法一种实施例的流程图;
图2为本发明实施例提供的应用于权限控制设备的权限控制方法的对预设应用进行授权的实施例的流程图;
图3为本发明实施例提供的应用于权限控制设备的权限控制方法的对已授权应用进行取消授权或进行授权范围调整的实施例的流程图;
图4为本发明实施例提供的权限控制设备的示意图;
图5为本发明实施例提供的应用于用户设备的权限控制方法一种实施例的流程图;
图6为本发明实施例提供的用户设备的示意图;
图7为本发明实施例提供的权限控制系统的示意图;
图8为本发明实施例提供的权限控制系统交互流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中的用户设备包括任何可以加入数字芯片的产品。例如手机,门锁,存储控制器,硬盘,服务器,数据中心等设备,即只要有授权需求,且其上有硬件模块可以生成物理不可克隆函数的设备。
本发明实施例中的权限控制设备可以为服务器,控制中心等,即包括任何具备远程控制功能的设备。
为便于对本发明实施例的理解,下面将结合附图以具体实施例做进一步的解释说明,实施例并不构成对本发明的限定。
图1为本发明实施例提供的应用于权限控制设备的控制方法一种实施例的流程图;请参照图1,该实施例包括:
S101、接收并存储用户设备的第一物理不可克隆函数值作为当前的物理不可克隆函数值;具体的,用户设备的第一物理不可克隆函数值由用户设备提取,并发送给所述权限控制设备;权限控制设备存储有可更新的记录表,用于记录用户设备的信息,当然,记录的信息中包括用户设备的物理不可克隆函数值。
S102、设定所述第一物理不可克隆函数值为所述用户设备的信任根;
S103、以预设算法加密所述用户设备中的预设应用;其中,预设加密算法可以为任何加密算法。具体实现中,将加密后的预设应用存储于用户设备上。
S104、生成并发送权限控制信息给所述用户设备,以对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整。具体的,控制信息的不同功能,取决于控制信息的内容,这部分描述在下面实施例中予以展开。
通过本发明实施例,权限控制设备通过利用用户设备的物理不可克隆函数值作为信任根,通过加密技术将用户设备中的预设应用进行加密,通过物理不可克隆函数值与用户设备建立可信联系,安全的传递权限控制信息。
图2为本发明实施例提供的应用于权限控制设备的控制方法的对预设应用进行授权的实施例的流程图。请参照图2,该实施例包括:
S201、获取用户设备对应的识别码并根据所述识别码确定所述用户设备的第一物理不可克隆函数值;
具体实现中,权限控制设备存在一个记录表,用来记录并更新用户设备的物理不可克隆函数值。可以理解的是,为了将每一个物理不可克隆函数值和其所属的用户设备相对应,权限控制设备还会记录用户设备的识别码,即设备ID。
S202、根据所述第一物理不可克隆函数值与所述用户设备发来的辅助数据,获取所述用户设备的第二物理不可克隆函数值并存储所述第二物理不可克隆函数值作为当前的不可克隆函数值;
具体实现中,用户设备中对应的物理不可克隆函数值在用户设备使用中会发生变化,因此,权限控制设备会结合用户设备发送来的辅助数据和之前已经存储的第一物理不可克隆函数值来获取用户设备当前的不可克隆函数值,此处称之为第二物理不可克隆函数值。可以理解的是,因为物理不可克隆函数值的变化性,在多次授权,取消授权,或授权范围调整被执行过程中,还会有第三物理不可克隆函数值,第四物理不可克隆函数值等被获取并存储,每当一个最新的物理不可克隆函数值被获取,权限控制设备就会在记录表中以此最新的物理不可克隆函数值替代上次的物理不可克隆函数值作为当前的物理不可克隆函数值。
本发明实施例中,用户设备会发出授权请求,将用户设备的识别码,和辅助数据结合授权请求发送至权限控制设备;在一些其他实现场景中,也会存在权限控制设备通过指令控制用户设备发送识别码和辅助数据的实现方式。辅助数据,为通过一些错误纠正方法比如BCH、ECC等方式产生的数据,用来支持权限控制设备更新所述用户设备的物理不可克隆函数值。
S203、根据预设的密钥产生函数,结合所述第二物理不可克隆函数值生成权限控制信息;权限控制信息包括授权码和授权范围值;
权限控制设备通过密钥产生函数,结合当前用户设备的物理不可克隆函数值生成解密密钥,本实施例中第二物理不可克隆函数值为当前物理不可克隆函数值,可以理解的是,在一些其他实施例中,也会存在第三、第四、第五物理不可克隆函数值作为当前物理不可克隆函数值的情况,此处不再赘述;而预设的密钥产生函数可以是基于HASH的,也可以是基于对称算法的,也可以是自己私有设计的等,本发明实施例不做限定。
S204、发送所述权限控制信息至所述用户设备,以使所述用户设备根据所述权限控制信息解密所述预设应用;
本发明实施例中权限控制信息中的授权码用于支持所述用户设备产生授权密钥,而授权范围值用于控制所述授权的范围。用户设备中预设应用是否得到授权,以及授权的范围都可以由权限控制设备决定。
可选的,在发送权限控制信息之后,权限控制设备还会接收用户设备发送来的反馈信息,反馈信息用来表明用户设备的授权状态,权限控制设备根据此反馈信息更新记录所述用户设备的当前状态是否为授权成功。
通过本发明实施例,权限控制设备通过利用用户设备的物理不可克隆函数值作为信任根,通过加密技术将用户设备中的预设应用进行加密,通过物理不可克隆函数值与用户设备建立可信联系,安全的传递权限控制信息,而且可以对授权的范围进行设定,安全性高,灵活性强。
请参阅图3,图3为本发明实施例提供的应用于权限控制设备的控制方法的对已授权应用进行取消授权或进行授权范围调整的实施例的流程图。
该实施例包括:
S301、根据预设的密钥产生函数,结合所述用户设备当前的物理不可克隆函数值生成所述权限控制信息;
具体的,权限控制信息包括:辅助数据清除指令,用于清除所述用户设备中的辅助数据;授权密钥清除指令,用于清除所述用户设备中的授权密钥;取消授权范围值,用于控制所述授权的取消范围。
S302、发送所述权限控制信息给所述用户设备,以取消对所述用户设备已授权应用的授权;或,进行授权范围的调整;
具体实现中,权限控制信息为权限控制设备根据记录表中所述用户设备当前的物理不可克隆函数值作为信任根,并采用预设加密算法加密后发送至所述用户设备,以使用户设备在收到权限控制信息后进行解析,从而控制所述用户设备已授权应用的权限取消或权限范围的调整。
可选的,在发送权限控制信息之后,权限控制设备还会接收用户设备发送来的反馈信息,反馈信息用来表明用户设备的授权状态,权限控制设备根据此反馈信息更新记录所述用户设备的当前状态是否为取消授权成功,或已成功进行授权范围的调整。
通过本发明实施例,权限控制设备通过利用用户设备的物理不可克隆函数值作为信任根,通过加密技术将权限控制信息加密,通过物理不可克隆函数值与用户设备建立可信联系,安全的传递权限控制信息,而且可以对已授权的应用进行取消授权,或进行授权范围的调整,安全性高,灵活性强。
图4为本发明实施例公开的权限控制设备的示意图;
本实施例中,权限控制设备40包括:
接收存储模块401,用于接收存储用户设备的第一物理不可克隆函数值作为当前的不可克隆函数值;
设定模块402,用于设定所述当前的物理不可克隆函数值作为所述用户设备的信任根;
加密模块403,用于以预设算法加密所述用户设备中的预设应用;
权限控制模块404,用于生成并发送权限控制信息给所述用户设备;所述权限控制信息用于对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整。
可选的,接收存储模块401还用于获取所述用户设备对应的识别码并根据所述识别码确定所述用户设备的第一物理不可克隆函数值;
在授权过程中,所述权限控制模块403,具体用于根据所述第一物理不可克隆函数值与所述用户设备发来的辅助数据,获取所述用户设备当前的第二物理不可克隆函数值;并根据预设的密钥产生函数,结合所述第二物理不可克隆函数值生成权限控制信息发送给所述用户设备。
在取消授权或调整授权范围过程中,所述权限控制模块403具体用于根据预设的加密算法,结合存储的所述用户设备当前的物理不可克隆函数值生成权限控制信息;发送所述权限控制信息给所述用户设备,以取消对所述用户设备已授权应用的授权,或调整授权范围。
在授权、取消授权或调整授权范围的过程中,根据目的的不同,所述权限控制信息可以包括:授权码、授权范围值、辅助数据清除指令、授权密钥清除指令、取消授权范围值等信息。
可选的,权限控制设备40还可以进一步的包括反馈信息接收模块,用于接收从用户设备反馈的所述授权、取消授权或授权范围值调整成功或失败的反馈信息,更新记录的所述用户设备状态。当然,可选的,这部分功能亦可由接收存储模块401执行。
权限控制设备40的工作方式和流程在前述实施例中已有描述,此处不再赘述。
本发明实施例公开的权限控制设备,通过利用用户设备的物理不可克隆函数值作为信任根,通过加密技术将权限控制信息加密,通过物理不可克隆函数值与用户设备建立可信联系,安全的传递权限控制信息,可以对用户设备中的预设应用进行授权,而且可以对已授权的应用进行取消授权,或进行授权范围的调整,安全性高,灵活性强。
图5为本发明实施例提供的应用于用户设备的权限控制方法一种实施例的流程图;请参照图5,该实施例包括:
S501,提取所述用户设备当前的物理不可克隆函数值;
S502,发送所述当前的物理不可克隆函数值给权限控制设备;
具体实现中,通过发送当前的物理不可克隆函数值给权限控制设备,以使所述权限控制设备设定所述当前的物理不可克隆函数值为信任根,来建立用户设备与权限控制设备之间的可信连接。
S503,存储经所述权限控制设备加密后的所述预设应用;
S504,接收所述权限控制设备发送来的权限控制信息;
S505,解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整。
本发明实施例公开的用户设备,通过利用自身的物理不可克隆函数值提供给权限控制设备,以此为信任根,权限控制设备通过加密技术将权限控制信息加密,通过物理不可克隆函数值与用户设备建立可信联系,安全的传递权限控制信息,安全性高。
具体的,在授权过程中,S504之前还包括用户设备提取自身对应的识别码,生成辅助数据;将所述用户设备自身对应的识别码和辅助数据,结合授权请求发送至所述权限控制设备以使权限控制设备生成权限控制信息的步骤。当然,也可以是权限控制设备通过控制指令控制用户设备发送识别码和辅助数据。辅助数据为通过一些错误纠正方法,比如BCH、ECC等方式产生的数据,用来支持权限控制设备更新所述用户设备的物理不可克隆函数值。
可选的,在授权过程中,所述权限控制信息包括:授权码,用于支持所述用户设备产生授权密钥;授权范围值,用于控制所述授权的范围。
可选的,在取消授权或调整授权范围的过程中,所述权限控制信息包括:
辅助数据清除指令,用于清除所述用户设备中的辅助数据;授权密钥清除指令,用于清除所述用户设备中的授权密钥;取消授权范围值,用于控制所述授权的取消范围。
可以理解的是,权限控制信息均是由所述权限控制设备根据预设的密钥产生函数,结合所述用户设备当前的物理不可克隆函数值来产生的。
实现中,S505具体执行方式包括:结合所述用户设备当前的物理不可克隆函数值解析所述权限控制信息,若得到授权码和授权范围值,则根据所述授权码获取所述预设应用的授权密钥,根据所述授权范围值获取所述预设应用的授权范围;此后,用户设备还会以当前的物理不可克隆函数值将已获得授权的预设应用加密存储,在用户使用时自动解密以利使用。
结合所述用户设备当前的物理不可克隆函数值解析所述权限控制信息,若得到辅助数据清除指令、授权密钥清除指令和取消授权范围值,则根据所述辅助数据清除指令清除所述辅助数据、根据所述密钥清除指令清除所述授权密钥、根据所述取消授权范围值确定授权取消的范围。
可选的,解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整之后,所述方法还包括:发送反馈信息给所述权限控制设备,以使权限控制设备更记录所述用户设备的状态。
通过本发明实施例,用户设备通过自身的物理不可克隆函数值与权限控制设备建立可信联系,通过加密技术将权限控制信息加密,使得用户设备与权限控制设备之间安全的传递权限控制信息,而且可以对已授权的应用进行取消授权,或进行授权范围的调整,安全性高,灵活性强。
图6为本发明实施例提供的一种用户设备的示意图;请参照图6,用户设备60包括:
提取模块601,用于提取所述用户设备的第一物理不可克隆函数值;
发送模块602,用于发送所述当前的物理不可克隆函数值给权限控制设备;
存储模块603,用于存储经所述权限控制设备加密后的所述预设应用;
接收模块604,用于接收所述权限控制设备发送来的权限控制信息;
解析模块605,用于解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整。
具体实现中,提取模块601,还用于提取所述用户设备对应的识别码、生成辅助数据。发送模块602,还用于将所述用户设备对应的识别码和辅助数据,结合授权请求发送至所述权限控制设备,用于所述权限控制设备生成权限控制信息。解析模块603,具体用于:结合所述用户设备当前的物理不可克隆函数值解析所述权限控制信息,若得到授权码和授权范围值,则根据所述授权码获取所述预设应用的授权密钥,根据所述授权范围值获取所述预设应用的授权范围;若得到辅助数据清除指令、授权密钥清除指令和取消授权范围值,则根据所述辅助数据清除指令清除所述辅助数据、根据所述密钥清除指令清除所述授权密钥、根据所述取消授权范围值确定授权取消的范围。
进一步的,用户设备60还包括加解密模块606,用于以所述当前的物理不可克隆函数值将已经获得授权的预设应用加密存储,在用户使用时自动解密以利使用。当然,在一些实施例,这部分功能也可以由解析模块605执行。
通过本发明实施例,用户设备通过自身的物理不可克隆函数值与权限控制设备建立可信联系,通过加密技术将权限控制信息加密,使得用户设备与权限控制设备之间安全的传递权限控制信息,而且可以对已授权的应用进行取消授权,或进行授权范围的调整,安全性高,灵活性强。
请参阅图7,为本发明实施例提供的权限控制系统的示意图,权限控制系统70包括前述权限控制设备40和用户设备60。
本发明实施例中的用户设备包括任何可以加入数字芯片的产品。例如手机,门锁,存储控制器,硬盘,服务器,数据中心等设备,即只要有授权需求,且其上有硬件模块可以生成物理不可克隆函数的设备。
权限控制设备40可以为服务器,控制中心等,即包括任何具备远程控制功能的设备。
在图7的基础上,请结合图8,为本发明实施例提供的权限控制系统交互流程示意图,以对本发明实施例中权限控制系统在具体的应用场景中,对其工作方式做进一步阐述说明。
出厂过程:在用户设备出厂时或出厂之前,提取其当前的物理不可克隆函数值,并发送至权限控制设备;权限控制设备接收用户设备当前的物理不可克隆函数值,并存储于记录表上;设定当前用户设备物理不可克隆函数值为信任根;之后,以预设加密算法加密预设应用;用户设备存储加密后的预设应用。
用户设备授权过程:提取用户设备的识别码,生成辅助数据,结合授权请求发送至权限控制设备;权限控制设备获取识别码,根据出厂记录找到用户设备出场过程中得到的物理不可克隆函数值,结合辅助数据,得出用户设备当前新的物理不可克隆函数值,更新记录在记录表上;权限控制设备根据预设的密钥产生函数,生成权限控制信息,包括授权码和授权范围值加密发送至用户设备;用户设备解析权限控制信息,得到授权码和授权范围值;根据当前物理不可克隆函数值将预设应用加密存储,使用时自动对应用解密使用;之后用户设备生成反馈信息,权限控制设备接收反馈信息,并跟新保存用户设备的授权状态。
授权取消及范围调整过程:权限控制设备根据管理员的授权取消指令利用记录表中存储的用户设备当前物理不可克隆函数值生成权限控制信息,加密权限控制信息发送给用户设备;包括辅助数据清除指令、授权密钥清除指令和取消授权范围值;用户设备接收并结合当前物理不可克隆函数值解析权限控制设备发来的权限控制信息,根据权限控制信息,控制预设应用状态,包括已授权应用的取消授权,授权范围的调整;之后用户设备生成反馈信息,权限控制设备接收反馈信息,并跟新保存用户设备的授权状态。
本发明实施例提供的权限控制系统中,权限控制设备通过利用用户设备的物理不可克隆函数值作为信任根,通过加密技术将用户设备中的预设应用进行加密,通过物理不可克隆函数值与用户设备建立可信联系,安全的传递权限控制信息,且根据权限控制信息的不同,能够对用户设备的预设应用进行授权,取消收取或调整授权范围,安全性高,灵活性强。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于终端设备的计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory ,ROM)、随机存取器(Random Access Memory,RAM)、磁盘或光盘等。
本发明实施例的方法的步骤顺序可以根据实际需要进行调整、合并或删减,且顺序不作为限制,对本发明方法实施例、系统实施例中步骤顺序的调整、步骤的合并或删减均应属于本发明的保护范围。
可以理解的是,本发明实施例的权限控制设备、用户设备实施例中的模块描述是为举例,但具体实现方式可以根据实际需要进行整合、进一步划分或删减,任何整合、划分或删减均应属于本发明保护范围。
以上对本发明实施例公开的权限控制方法、权限控制设备、用户设备及系统进行了详细的介绍,本文中应用了具体实例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想,而不是对本发明的范围的限制。同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均可能会有改变之处,亦应属本发明保护范围。
Claims (21)
1.一种权限控制方法,其特征在于,应用于权限控制设备,所述方法包括:
接收并存储用户设备的第一物理不可克隆函数值作为当前的物理不可克隆函数值;
设定所述当前的物理不可克隆函数值为用户设备信任根;
以预设算法加密所述用户设备中的预设应用;
生成并发送权限控制信息给所述用户设备,以对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整;
其中,生成并发送权限控制信息给所述用户设备,以对所述用户设备中的预设应用进行授权,包括:
获取所述用户设备对应的识别码并根据所述识别码确定所述用户设备的第一物理不可克隆函数值;
根据所述第一物理不可克隆函数值与所述用户设备发来的辅助数据,获取所述用户设备的第二物理不可克隆函数值并存储所述第二物理不可克隆函数值作为当前的物理不可克隆函数值;所述辅助数据为通过错误纠正方法产生的数据,用来支持权限控制设备更新所述用户设备的物理不可克隆函数值;
根据预设的密钥产生函数,结合所述第二物理不可克隆函数值生成权限控制信息;
发送所述权限控制信息至所述用户设备,以使所述用户设备根据所述权限控制信息解密所述预设应用。
2.根据权利要求1所述的权限控制方法,其特征在于,所述权限控制信息包括:
授权码,用于支持所述用户设备产生授权密钥;
授权范围值,用于控制所述授权的范围。
3.根据权利要求1所述的权限控制方法,其特征在于,生成并发送权限控制信息给所述用户设备,以对所述用户设备中的已授权应用取消授权或进行授权范围的调整,包括:
根据预设的密钥产生函数,结合所述用户设备当前的物理不可克隆函数值生成所述权限控制信息;
发送所述权限控制信息给所述用户设备,以取消对所述用户设备已授权应用的授权;或,进行授权范围的调整。
4.根据权利要求3所述的权限控制方法,其特征在于,所述权限控制信息包括:
辅助数据清除指令,用于清除所述用户设备中的辅助数据;
授权密钥清除指令,用于清除所述用户设备中的授权密钥;
取消授权范围值,用于控制所述授权的取消范围。
5.根据权利要求1所述的权限控制方法,其特征在于,所述生成并发送权限控制信息给所述用户设备之后,还包括,接收所述用户设备发送的反馈信息。
6.一种权限控制设备,其特征在于,包括:
接收存储模块,用于接收存储用户设备的第一物理不可克隆函数值作为当前的物理不可克隆函数值,还用于获取所述用户设备对应的识别码并根据所述识别码确定所述用户设备的第一物理不可克隆函数值;
设定模块,用于设定所述当前的物理不可克隆函数值为所述用户设备的信任根;
加密模块,以预设算法加密所述用户设备中的预设应用;
权限控制模块,用于生成并发送权限控制信息给所述用户设备,具体用于根据所述第一物理不可克隆函数值与所述用户设备发来的辅助数据,获取所述用户设备当前的第二物理不可克隆函数值;并根据预设的密钥产生函数,结合所述第二物理不可克隆函数值生成权限控制信息发送给所述用户设备;所述权限控制信息用于对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整;所述辅助数据为通过错误纠正方法产生的数据,用来支持权限控制设备更新所述用户设备的物理不可克隆函数值。
7.根据权利要求6所述的权限控制设备,其特征在于,
所述接收存储模块,还用于存储所述第二物理不可克隆函数值作为当前的物理不可克隆函数值。
8.根据权利要求6所述的权限控制设备,其特征在于,所述权限控制信息包括:
授权码,用于支持所述用户设备产生授权密钥;
授权范围值,用于控制所述授权的范围。
9.根据权利要求6所述的权限控制设备,其特征在于,所述权限控制模块具体用于:
根据预设的密钥产生函数,结合存储的所述用户设备当前的物理不可克隆函数值生成权限控制信息;
发送所述权限控制信息给所述用户设备,以取消对所述用户设备已授权应用的授权,或调整授权范围。
10.根据权利要求9所述的权限控制设备,其特征在于,所述权限控制信息包括:
辅助数据清除指令,用于清除所述用户设备中的辅助数据;
授权密钥清除指令,用于清除所述用户设备中的授权密钥;
取消授权范围值,用于控制所述授权的取消范围。
11.根据权利要求6所述的权限控制设备,其特征在于,还包括:
反馈信息接收模块,用于接受所述用户设备的反馈信息。
12.一种权限控制方法,其特征在于,应用于用户设备,所述方法包括:
提取所述用户设备当前的物理不可克隆函数值;
发送所述当前的物理不可克隆函数值给权限控制设备;
存储经所述权限控制设备加密后的预设应用;
接收所述权限控制设备发送来的权限控制信息;
解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整,具体包括:
结合所述用户设备当前的物理不可克隆函数值解析所述权限控制信息,若得到授权码和授权范围值,则根据所述授权码获取所述预设应用的授权密钥,根据所述授权范围值获取所述预设应用的授权范围;
结合所述用户设备当前的物理不可克隆函数值解析所述权限控制信息,若得到辅助数据清除指令、授权密钥清除指令和取消授权范围值,则根据所述辅助数据清除指令清除所述辅助数据、根据所述密钥清除指令清除所述授权密钥、根据所述取消授权范围值确定授权取消的范围。
13.根据权利要求12所述的权限控制方法,其特征在于,所述接收所述权限控制设备发来的权限控制信息之前,所述方法还包括:
提取所述用户设备对应的识别码、生成辅助数据,所述辅助数据为通过错误纠正方法产生的数据,用来支持权限控制设备更新所述用户设备的物理不可克隆函数值;
将所述用户设备对应的识别码和辅助数据,结合授权请求发送至所述权限控制设备,用于所述权限控制设备生成权限控制信息。
14.根据权利要求12所述的权限控制方法,其特征在于,所述解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权之后,所述方法还包括:
以所述当前的物理不可克隆函数值将已获得授权的预设应用加密存储,在用户使用时自动解密以利使用。
15.根据权利要求12所述的权限控制方法,其特征在于,所述解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整之后,所述方法还包括:
发送反馈信息给所述权限控制设备。
16.一种用户设备,其特征在于,包括:
提取模块,用于提取所述用户设备的第一物理不可克隆函数值;
发送模块,用于发送当前的物理不可克隆函数值给权限控制设备;存储模块,用于存储经所述权限控制设备加密后的预设应用;
接收模块,用于接收所述权限控制设备发送来的权限控制信息;
解析模块,用于解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整;
所述解析模块,具体用于:
结合所述用户设备当前的物理不可克隆函数值解析所述权限控制信息,若得到授权码和授权范围值,则根据所述授权码获取所述预设应用的授权密钥,根据所述授权范围值获取所述预设应用的授权范围;
结合所述用户设备当前的物理不可克隆函数值解析所述权限控制信息,若得到辅助数据清除指令、授权密钥清除指令和取消授权范围值,则根据所述辅助数据清除指令清除所述辅助数据、根据所述密钥清除指令清除所述授权密钥、根据所述取消授权范围值确定授权取消的范围。
17.根据权利要求16所述的用户设备,其特征在于,所述提取模块,还用于提取所述用户设备对应的识别码、生成辅助数据,所述辅助数据为通过错误纠正方法产生的数据,用来支持权限控制设备更新所述用户设备的物理不可克隆函数值。
18.根据权利要求16所述的用户设备,其特征在于,所述发送模块,还用于将所述用户设备对应的识别码和辅助数据,结合授权请求发送至所述权限控制设备,用于所述权限控制设备生成权限控制信息,所述辅助数据为通过错误纠正方法产生的数据,用来支持权限控制设备更新所述用户设备的物理不可克隆函数值。
19.根据权利要求16所述的用户设备,其特征在于,还包括:
加解密模块,用于以所述当前的物理不可克隆函数值将已获得授权的预设应用加密存储,在用户使用时自动解密以利使用。
20.根据权利要求16所述的用户设备,其特征在于,所述发送模块,还用于发送反馈信息给所述权限控制设备。
21.一种权限控制系统,其特征在于,包括如权利要求6-11任一项所述的权限控制设备和如权利要求16-20任一项所述的用户设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910077714.5A CN109902479B (zh) | 2019-01-28 | 2019-01-28 | 权限控制方法、权限控制设备、用户设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910077714.5A CN109902479B (zh) | 2019-01-28 | 2019-01-28 | 权限控制方法、权限控制设备、用户设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109902479A CN109902479A (zh) | 2019-06-18 |
| CN109902479B true CN109902479B (zh) | 2023-04-07 |
Family
ID=66944279
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910077714.5A Active CN109902479B (zh) | 2019-01-28 | 2019-01-28 | 权限控制方法、权限控制设备、用户设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109902479B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110601854B (zh) * | 2019-09-19 | 2023-07-14 | 许继集团有限公司 | 一种授权客户端、配电终端设备及其授权方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4817140A (en) * | 1986-11-05 | 1989-03-28 | International Business Machines Corp. | Software protection system using a single-key cryptosystem, a hardware-based authorization system and a secure coprocessor |
| WO2014131557A1 (de) * | 2013-02-28 | 2014-09-04 | Siemens Aktiengesellschaft | Generieren eines schlüssels unter verwendung von biometrischen daten und ein puf |
| EP3046095A1 (en) * | 2015-01-15 | 2016-07-20 | Siemens S.R.L. | A method of protecting diverse applications stored on an integrated circuit using pufs |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6871192B2 (en) * | 2001-12-20 | 2005-03-22 | Pace Anti-Piracy | System and method for preventing unauthorized use of protected software utilizing a portable security device |
| DE602008005443D1 (de) * | 2007-04-12 | 2011-04-21 | Intrinsic Id Bv | Gesteuerte aktivierung einer funktion |
| TWI420339B (zh) * | 2010-11-10 | 2013-12-21 | Ind Tech Res Inst | 軟體授權系統及方法 |
| US10079678B2 (en) * | 2012-07-24 | 2018-09-18 | Intel Corporation | Providing access to encrypted data |
| TWI620087B (zh) * | 2017-02-15 | 2018-04-01 | 財團法人資訊工業策進會 | 驗證伺服器、驗證方法及其電腦程式產品 |
-
2019
- 2019-01-28 CN CN201910077714.5A patent/CN109902479B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4817140A (en) * | 1986-11-05 | 1989-03-28 | International Business Machines Corp. | Software protection system using a single-key cryptosystem, a hardware-based authorization system and a secure coprocessor |
| WO2014131557A1 (de) * | 2013-02-28 | 2014-09-04 | Siemens Aktiengesellschaft | Generieren eines schlüssels unter verwendung von biometrischen daten und ein puf |
| EP3046095A1 (en) * | 2015-01-15 | 2016-07-20 | Siemens S.R.L. | A method of protecting diverse applications stored on an integrated circuit using pufs |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109902479A (zh) | 2019-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7596812B2 (en) | System and method for protected data transfer | |
| US9491174B2 (en) | System and method for authenticating a user | |
| US20080025503A1 (en) | Security method using self-generated encryption key, and security apparatus using the same | |
| EP4322464A1 (en) | Information transmission method, storage medium and electronic device | |
| CN107124279B (zh) | 擦除终端数据的方法及装置 | |
| CN102546580A (zh) | 一种用户口令的更新方法、系统及装置 | |
| EP3787219A1 (en) | Key processing method and device | |
| CN112257121A (zh) | 加密方法、解密方法、电子设备和存储介质 | |
| CN104079539A (zh) | 一种数据保密存储方法及客户端 | |
| CN110138737B (zh) | 权限控制方法、权限控制设备、用户设备及系统 | |
| CN109902479B (zh) | 权限控制方法、权限控制设备、用户设备及系统 | |
| US8798261B2 (en) | Data protection using distributed security key | |
| CN110830436B (zh) | 用户登录方法与跳板机 | |
| CN110287725B (zh) | 一种设备及其权限控制方法、计算机可读存储介质 | |
| EP3664362B1 (en) | Key generation method, acquisition method, private key update method, chip and server | |
| JP2020515104A (ja) | セキュア・バックアップおよび復元を実行する方法および装置 | |
| CN114239000A (zh) | 密码处理方法、装置、计算机设备和存储介质 | |
| JP5841954B2 (ja) | セキュア認証方法 | |
| KR101443309B1 (ko) | 접속 인증정보를 보호하는 장치 및 방법 | |
| CN111783069A (zh) | 一种租赁设备的操作方法、装置及设备 | |
| KR100952300B1 (ko) | 저장매체의 안전한 데이터 관리를 위한 단말 장치, 메모리및 그 방법 | |
| JP2021048518A (ja) | 情報処理装置、情報処理システム及び情報処理装置の制御方法 | |
| KR101534792B1 (ko) | 인증키 전송 관련하여 보안성을 높이기 위한 방법, 서버 및 컴퓨터 판독 가능한 기록 매체 | |
| CN110855434A (zh) | 一种密钥处理方法、装置、终端设备及存储介质 | |
| CN109981678B (zh) | 一种信息同步方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |