CN110138737A - 权限控制方法、权限控制设备、用户设备及系统 - Google Patents

权限控制方法、权限控制设备、用户设备及系统 Download PDF

Info

Publication number
CN110138737A
CN110138737A CN201910297598.8A CN201910297598A CN110138737A CN 110138737 A CN110138737 A CN 110138737A CN 201910297598 A CN201910297598 A CN 201910297598A CN 110138737 A CN110138737 A CN 110138737A
Authority
CN
China
Prior art keywords
authority
permission
authorization
user equipment
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910297598.8A
Other languages
English (en)
Other versions
CN110138737B (zh
Inventor
周煜梁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Newtron Xin'an Technology Development Co Ltd
Original Assignee
Shenzhen Newtron Xin'an Technology Development Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Newtron Xin'an Technology Development Co Ltd filed Critical Shenzhen Newtron Xin'an Technology Development Co Ltd
Priority to CN201910297598.8A priority Critical patent/CN110138737B/zh
Publication of CN110138737A publication Critical patent/CN110138737A/zh
Application granted granted Critical
Publication of CN110138737B publication Critical patent/CN110138737B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明实施例涉及一种权限控制方法,权限控制设备、用户设备及系统。方法包括:权限控制设备接收存储用户设备的识别码;加密所述用户设备中的预设应用;基于用户设备的安全模块做身份认证,并建立基于所述安全模块的安全传输通道,以对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整。本发明实施例,基于用户设备安全模块建立远程权限控制系统,通过安全传输通道传输权限控制信息,安全性高,灵活性强。

Description

权限控制方法、权限控制设备、用户设备及系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种权限控制方法、权限控制设备、用户设备及系统。
背景技术
当前具有核心技术的厂商将自己的产品销往下游客户时,因其技术的独特性,希望能够对自己产品涉及的核心技术信息加以保护。现有技术中,常通过软件手段进行保护,例如通过输入包装盒上的授权码,来完成远程授权;又或是通过白盒密钥,或者其他的软件手段来进行保护。但此类做法由于其自身的局限性,易受到攻击,被逆向代码破解。如何增强保护强度,是本领域亟待解决的技术问题。
发明内容
本发明实施例提供一种权限控制方法、权限控制设备、用户设备及系统,安全性高,灵活性强。
一方面,本发明实施例提供一种权限控制方法,应用于权限控制设备,包括:接收并存储用户设备的识别码以及安全模块信息;以预设算法加密所述用户设备中的预设应用;建立基于所述安全模块的安全传输通道;生成并经所述安全传输通道发送权限控制信息给所述用户设备,以对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整。
第二方面,本发明实施例还提供一种权限控制设备,包括:接收存储模块,用于接收存储用户设备的识别码以及安全模块信息;加密模块,用于以预设算法加密所述用户设备中的预设应用;安全传输通道建立模块,用于建立基于所述安全模块的安全传输通道;权限控制模块,用于生成并经所述安全传输通道发送权限控制信息给所述用户设备;所述权限控制信息用于对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整。
第三方面,本发明实施例还一种权限控制方法,应用于用户设备,该用户设备包括存储有加密密钥的安全模块,方法包括:提取所述用户设备的识别码以及安全模块信息;发送所述识别码和安全模块信息给权限控制设备,以建立基于所述安全模块的安全传输通道;存储经所述权限控制设备加密后的预设应用;接收所述权限控制设备经所述安全传输通道发送来的权限控制信息;利用所述安全模块解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整。
第四方面,本发明实施例还提供一种用户设备,包括:安全模块,用于存储加密密钥;所述安全模块为所述用户设备芯片中集成的硬件安全模块,或专用的安全芯片;提取模块,用于提取所述用户设备的识别码以及安全模块信息;发送模块,用于发送所述识别码和安全模块信息给权限控制设备,以建立基于所述安全模块的安全传输通道;存储模块,用于存储经所述权限控制设备加密后的所述预设应用;接收模块,用于接收所述权限控制设备经所述安全传输通道发送来的权限控制信息,并将所述权限控制信息存放至预设位置;所述安全模块还用于解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整。
第五方面,本发明实施例还提供了一种权限控制系统,包括上述的权限控制设备和用户设备。
本发明实施例提供的权限控制方法、权限控制设备、用户设备和系统。权限控制设备通过加密技术将用户设备中的预设应用进行加密,建立基于所述安全模块的安全传输通道,安全的传递权限控制信息,且根据权限控制信息的不同,能够对用户设备的预设应用进行授权,取消收取或调整授权范围,安全性高,灵活性强。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的应用于权限控制设备的权限控制方法实施例的流程图;
图2为本发明实施例提供的权限控制设备的示意图;
图3为本发明实施例提供的应用于用户设备的权限控制方法实施例的流程图;
图4为本发明实施例提供的用户设备的示意图;
图5为本发明实施例提供的权限控制系统的交互示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中的安全模块为基于硬件的安全模块,实现方式可以为用户设备芯片内部集成的硬件安全模块,也可以是专用的安全芯片,存储有加密密钥。本发明实施例中的用户设备包括任何可以加入所述安全模块的产品。例如手机,门锁,存储控制器,硬盘,服务器,数据中心等设备,即只要有授权需求,且其上有安全模块的设备。
本发明实施例中的权限控制设备可以为服务器,控制中心等,即包括任何具备远程控制功能的设备。
为便于对本发明实施例的理解,下面将结合附图以具体实施例做进一步的解释说明,实施例并不构成对本发明的限定。
图1为本发明实施例提供的应用于权限控制设备的控制方法一种实施例的流程图;请参照图1,该实施例包括:
S101、接收并存储用户设备的识别码以及安全模块信息;
具体的,用户设备的识别码以及安全模块信息由用户设备提取,并发送给所述权限控制设备;安全模块信息可以为该安全模块的密钥信息,也可以是只有该安全模块存储的某个其他信息,可用于权限控制设备识别该安全模块对应用户设备的唯一身份。权限控制设备存储有可更新的记录表,用于记录用户设备的信息,当然,记录的信息中包括用户设备的安全模块信息。
S102、以预设算法加密所述用户设备中的预设应用;预设加密算法可以为任何加密算法。将加密后的预设应用存储于用户设备上。
S103、建立基于所述安全模块的安全传输通道;权限控制设备验证安全模块的身份,从而确定安全模块对应的用户设备的身份;安全模块预存有权限控制设备的验证证书,亦通过权限控制设备的验证证书验证权限控制设备的身份,即,权限控制设备与安全模块双向互验证身份,建立基于所述安全模块的安全传输通道。
S104、生成并经所述安全传输通道发送权限控制信息给所述用户设备,以对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整。具体的,控制信息的不同功能,取决于控制信息的内容。
通过本发明实施例,权限控制设备与用户设备之间建立基于安全模块的传输通道,通过加密技术将用户设备中的预设应用进行加密,再通过所述安全传输通道传递权限控制信息,安全性高。
具体实现中,权限控制设备存在一个记录表,用来记录用户设备的识别码和安全模块信息。可以理解的是,每一个用户设备的识别码和其安全模块信息是一一对应的,从而以此为基础,针对每一个用户设备建立唯一的基于其安全模块的安全传输通道。
可选的,在生成并经过所述安全传输通道发送权限控制信息之前,还包括接收用户设备发送来的授权请求的步骤,当然该过程主要针对用户设备请求授权的过程,也对应了S104中对用户设备预设应用进行授权的内容,本发明实施例并不排除,权限控制设备在未收到用户设备授权请求的情况下发送权限控制信息给所述用户设备的情况。
可选的,在生成并经过所述安全传输通道发送权限控制信息之后,还包括接收用户设备发来的反馈信息的步骤,反馈信息用来表明用户设备的当前状态,包括但不限于授权成功、授权成功范围、授权失败、授权取消、授权取消范围等,即任何用来表明所述用户设备状态的信息。
下面展开“对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整”这部分内容的详细阐述:
若对所述用户设备的预设应用进行授权,则所述权限控制信息为第一授权证书,第一授权证书中包括第一授权码和第一授权范围值;第一授权码用于支持所述用户设备产生第一授权密钥,第一授权范围值用于控制所述授权的第一授权范围,即可能授权并非是全部预设应用的授权,只是预设应用中的一部分,允许用户设备使用这一部分的应用功能。如此,用户设备可通第一授权证书解密预设应用,获取所述预设应用在所述第一授权范围下的授权。
若对所述用户设备已授权应用取消授权,则所述权限控制信息为授权证书删除指令,用于使所述用户设备删除已有的授权证书。
若对所述用户设备已授权应用进行授权范围的调整,则所述权限控制信息包括授权证书更新指令和第二授权证书,授权证书更新指令用于使所述用户设备将已有的授权证书替换为所述第二授权证书;第二授权证书中包括:第二授权码,用于支持所述用户设备产生第二授权密钥;以及,第二授权范围值,用于控制所述授权的第二授权范围。
通过本发明实施例,建立基于安全模块的传输通道,通过加密技术将用户设备中的预设应用进行加密,再通过所述安全传输通道传递权限控制信息,安全性高;而且根据权限控制信息的不同,可以对用户设备授权范围进行控制,灵活性强。
图2为本发明实施例提供的权限控制设备的示意图,权限控制设备20包括:
接收存储模块201,用于接收存储用户设备的识别码以及安全模块信息;
加密模块202,用于以预设算法加密所述用户设备中的预设应用;
安全传输通道建立模块203,用于建立基于所述安全模块的安全传输通道;
权限控制模块204,用于生成并经所述安全传输通道发送权限控制信息给所述用户设备;所述权限控制信息用于对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整。
可以理解的是,所述接收存储模块201,还用于接受所受用户设备的授权请求;以及,接收所述用户设备的反馈信息,以根据所述反馈信息更新所述用户设备的状态。
具体各模块的运作方式,对应于前述应用于权限控制设备的控制方法,实施例中已有描述,此处不再赘述。
通过本发明实施例的权限控制设备,建立基于安全模块的传输通道,通过加密技术将用户设备中的预设应用进行加密,再通过所述安全传输通道传递权限控制信息,安全性高;而且根据权限控制信息的不同,可以对用户设备授权范围进行控制,灵活性强。
图3为本发明实施例提供的应用于用户设备的权限控制方法流程图;本发明实施例中的用户设备设有安全模块,安全模块为基于硬件的安全模块,实现方式可以为用户设备芯片内部集成的硬件安全模块,也可以是专用的安全芯片,存储有加密密钥。本发明实施例包括步骤:
S301、提取用户设备的识别码以及安全模块信息;
每个用户设备均有自己相应的识别码,即设备ID,以及相应的安全模块信息,安全模块信息可以为该安全模块的密钥信息,也可以是只有该安全模块存储的某个其他信息,可用于权限控制设备识别该安全模块对应用户设备的唯一身份。用户设备识别码与安全模块信息具有严格对应的特性。
S302、发送所述识别码和安全模块信息给权限控制设备,以建立基于所述安全模块的安全传输通道;
权限控制设备在获取用户设备的识别码和安全模块信息后,可以存储二者的对应关系,并基于所述安全模块做双向身份认证,从而建立基于所述安全模块的安全传输通道,对应所述安全模块所属的用户设备。具体的,权限控制设备验证安全模块的身份,从而确定安全模块对应的用户设备的身份;安全模块预存有权限控制设备的验证证书,亦通过权限控制设备的验证证书验证权限控制设备的身份,即,权限控制设备与安全模块双向互验证身份,建立基于所述安全模块的安全传输通道。
S303、存储经所述权限控制设备加密后的预设应用;
权限控制设备对预设应用的加密可以为任何加密算法,经权限控制设备加密后,用户设备将加密后的预设应用存储。
S304、接收所述权限控制设备经所述安全传输通道发送来的权限控制信息;通过S303的描述可以知道,预设应用是以预设算法被加密存储在用户设备上的,用户设备在没有得到授权的情况下是无法使用预设应用的,权限控制信息的作用即对预设应用的权限做调整。在接收到权限控制信息之后,将权限控制信息存放至预设位置,权限控制信息可以存放于安全模块401中,也可以由安全模块401加密后存放在其他一般的存储位置,但是加密的密钥需存放在安全模块401中,以保证安全。
S305、利用所述安全模块解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整;
根据权限控制信息的不同,可执行不同的功能:
具体的,若权限控制信息为第一授权证书,第一授权证书中包括第一授权码和第一授权范围值;第一授权码用于支持所述用户设备产生第一授权密钥,第一授权范围值用于控制所述授权的第一授权范围,即可能授权并非是全部预设应用的授权,只是预设应用中的一部分,允许用户设备使用这一部分的应用功能。如此,用户设备可通第一授权证书解密预设应用,获取所述预设应用在所述第一授权范围下的授权。
若所述权限控制信息为授权证书删除指令,则用户设备根据授权证书删除指令删除所述安全模块中已有的授权证书。
若所述权限控制信息包括授权证书更新指令和第二授权证书,则用户设备根据授权证书更新指令用将所述安全模块中已有的授权证书替换为所述第二授权证书;第二授权证书中包括:第二授权码,用于支持所述用户设备产生第二授权密钥;以及,第二授权范围值,用于控制所述授权的第二授权范围,如此,用户设备可通过更新后的第二授权证书解密预设应用,获取所述预设应用在所述第二授权范围下的授权。
具体实现中,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整之前,还包括根据解析结果判断所述权限控制信息是否正确的步骤,如果正确,则执行根据权限控制信息获取预设应用授权、取消已授权应用授权或进行授权范围的调整,如果不正确,则发送反馈信息给权限控制设备。
判断权限控制信息是否正确,主要包括两个检查:其一为根据用户设备存储的权限控制设备的验证证书或公钥来验证所述权限控制信息是否合法,即确认是由正确的权限控制设备发来的权限控制信息;其二为验证权限控制信息本身的格式是否满足预设格式。
当然,可以理解的是,在顺利达成授权、取消授权、或授权范围调整之后,用户设备也会发送反馈信息给权限控制设备,以利权限控制设备更新用户设备的状态。
具体实现中,在接收所述权限控制设备经所述安全传输通道发送来的权限控制信息之前,所述方法还可包括发送授权请求给所述权限控制设备的步骤。
具体实现中,还通过所述安全模块存储的密钥对所述第一授权证书或所述第二授权证书加密存储,以在用户使用已授权的所述预设应用时利用所述安全模块存储的密钥解密所述第一授权证书或所述第二授权证书。
通过本发明实施例,在建立基于用户设备安全模块的传输通道的情况下,通过加密技术将用户设备中的预设应用进行加密,再通过所述安全传输通道传递权限控制信息,安全性高;用户设备通过安全模块对授权证书加密存储,进一步提高了安全性;而且根据权限控制信息的不同,授权范围也可进行控制,灵活性强。
图4为本发明实施例提供的一种用户设备的示意图;请参照图4,用户设备40包括:
安全模块401,用于存储加密密钥;安全模块401为基于硬件的安全模块,实现方式可以为用户设备芯片内部集成的硬件安全模块,也可以是专用的安全芯片。
提取模块402,用于提取所述用户设备的识别码以及安全模块信息。
发送模块403,用于发送所述识别码和安全模块信息给权限控制设备,以建立基于所述安全模块的安全传输通道;当然,发送模块403还用于发送授权请求给所述权限控制设备;以及在解析权限控制信息后发送反馈信息给所述权限控制设备,反馈信息用于表明用户设备状态,以利权限控制设备更新存储。
存储模块404,用于存储经所述权限控制设备加密后的所述预设应用。
接收模块405,用于接收所述权限控制设备经所述安全传输通道发送来的权限控制信息,并将所述权限控制信息存放至预设位置;权限控制信息可以存放于安全模块401中,也可以由安全模块401加密后存放在其他一般的存储位置,但是加密的密钥需存放在安全模块401中,以保证安全。
安全模块401,还用于解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整。
具体的,若权限控制信息为第一授权证书,第一授权证书中包括第一授权码和第一授权范围值;第一授权码用于支持所述用户设备产生第一授权密钥,第一授权范围值用于控制所述授权的第一授权范围,即可能授权并非是全部预设应用的授权,只是预设应用中的一部分,允许用户设备使用这一部分的应用功能。如此,用户设备可通第一授权证书解密预设应用,获取所述预设应用在所述第一授权范围下的授权。
若所述权限控制信息为授权证书删除指令,则用户设备根据授权证书删除指令删除已有的授权证书。
若所述权限控制信息包括授权证书更新指令和第二授权证书,则用户设备根据授权证书更新指令用将已有的授权证书替换为所述第二授权证书;第二授权证书中包括:第二授权码,用于支持所述用户设备产生第二授权密钥;以及,第二授权范围值,用于控制所述授权的第二授权范围,如此,用户设备可通过更新后的第二授权证书解密预设应用,获取所述预设应用在所述第二授权范围下的授权。
进一步的,还包括判断模块406,用于根据所述权限控制信息的解析结果判断所述权限控制信息是否正确;若正确,则所述解析模块406会根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整;若错误,则通过发送模块403发送权限控制失败的反馈信息给权限控制设备。
进一步的,用户设备40还包括加解密模块407,用于在根据所述权限控制信息获取预设应用的授权,或进行授权范围的调之后,通过所述安全模块401存储的密钥对所述第一授权证书或所述第二授权证书加密存储,以在用户使用已授权的所述预设应用时利用所述安全模块存储的密钥解密所述第一授权证书或所述第二授权证书。
通过本发明实施例,在建立基于用户设备安全模块的传输通道的情况下,通过加密技术将用户设备中的预设应用进行加密,再通过所述安全传输通道传递权限控制信息,安全性高;用户设备通过安全模块存储的密钥对授权证书加密存储,进一步提高了安全性;而且根据权限控制信息的不同,授权范围也可进行控制,灵活性强。
需要说明的是,前述本发明实施例中的第一、第二的表述,仅为在命名上做到区别,不应被理解为先后顺序的限定。可以理解的是,在实际应用中,可能存在第n授权证书、第n授权码、第n授权范围值的情况,n为大于0的整数。
请参阅图5,为本发明实施例提供的权限控制系统的交互示意图,以对本发明实施例中权限控制系统在具体的应用场景中,其工作方式做进一步阐述说明。
权限控制系统包括前述权限控制设备20和用户设备40。
出厂过程:在用户设备出厂时或出厂之前,提取其识别码和安全模块信息,并发送至权限控制设备;权限控制设备接收用户设备的识别码和安全模块信息,并存储于记录表上;以预设算法加密预设应用存储于用户设备上;之后,建立基于安全模块的安全传输通道。
以下的传输均经所述安全通道传输。
用户设备授权过程:提取用户设备的识别码,生成授权请求发送至权限控制设备;权限控制设备获取授权请求,根据出厂记录找到用户设备识别码对应的安全模块的相应信息;生成权限控制信息,包含授权证书,授权证书中有授权码和授权范围值,发送权限控制信息给用户设备;用户设备解析权限控制信息,得到包含授权码和授权范围值的授权证书,通过授权证书解密相应应用获取授权;并使用安全模块中的密钥加密授权证书,用户使用时通过安全模块解密;之后用户设备生成反馈信息,权限控制设备接收反馈信息,并更新保存用户设备的授权状态。
授权取消及范围调整过程:权限控制设备根据管理员的授权控制指令生成权限控制信息,若取消对用户设备已授权应用的授权,则权限控制信息为授权取消指令;若调整对用户设备已授权应用的授权范围,则权限控制信息包括授权证书更新指令以及新的授权证书;发送权限控制信息给用户设备,用户设备解析权限控制信息,根据权限控制信息控制预设应用的状态,包括已授权应用的取消授权,或根据新的授权证书进行授权范围的调整;用户设备生成反馈信息,权限控制设备接收反馈信息,并更新保存用户设备的授权状态。
本发明实施例提供的权限控制系统,在建立基于用户设备安全模块的传输通道的情况下,通过加密技术将用户设备中的预设应用进行加密,再通过所述安全传输通道传递权限控制信息,安全性高;用户设备通过安全模块存储的密钥对授权证书加密存储,进一步提高了安全性;而且根据权限控制信息的不同,授权范围也可进行控制,灵活性强。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于终端设备的计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
本发明实施例的方法的步骤顺序可以根据实际需要进行调整、合并或删减,且顺序不作为限制,对本发明方法实施例、系统实施例中步骤顺序的调整、步骤的合并或删减均应属于本发明的保护范围。
可以理解的是,本发明实施例的权限控制设备、用户设备实施例中的模块描述是为举例,但具体实现方式可以根据实际需要进行整合、进一步划分或删减,任何整合、划分或删减均应属于本发明保护范围。
以上对本发明实施例公开的权限控制方法、权限控制设备、用户设备及系统进行了详细的介绍,本文中应用了具体实例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想,而不是对本发明的范围的限制。同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均可能会有改变之处,亦应属本发明保护范围。

Claims (21)

1.一种权限控制方法,其特征在于,应用于权限控制设备,所述方法包括:
接收并存储用户设备的识别码以及安全模块信息;
以预设算法加密所述用户设备中的预设应用;
建立基于所述安全模块的安全传输通道;
生成并经所述安全传输通道发送权限控制信息给所述用户设备,以对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整。
2.根据权利要求1所述的权限控制方法,其特征在于,所述对所述用户设备中的预设应用进行授权中,所述权限控制信息为第一授权证书,所述第一授权证书中包括:
第一授权码,用于支持所述用户设备产生第一授权密钥;
第一授权范围值,用于控制所述授权的第一授权范围。
3.根据权利要求1所述的权限控制方法,其特征在于,对所述用户设备中的已授权应用取消授权中,所述权限控制信息为授权证书删除指令,用于使所述用户设备删除已有的授权证书。
4.根据权利要求1所述的权限控制方法,其特征在于,所述进行授权范围的调整中,所述权限控制信息包括授权证书更新指令和第二授权证书,
所述授权证书更新指令用于使所述用户设备将已有的授权证书替换为所述第二授权证书;
所述第二授权证书中包括:第二授权码,用于支持所述用户设备产生第二授权密钥;以及,第二授权范围值,用于控制所述授权的范围。
5.根据权利要求1所述的权限控制方法,其特征在于,所述方法还包括:
所述生成并发送权限控制信息给所述用户设备之前,接收所述用户设备的授权请求;
以及,所述生成并发送权限控制信息给所述用户设备之后,接收所述用户设备发送的反馈信息,并根据所述反馈信息更新所述用户设备的状态。
6.一种权限控制设备,其特征在于,包括:
接收存储模块,用于接收存储用户设备的识别码以及安全模块信息;
加密模块,用于以预设算法加密所述用户设备中的预设应用;
安全传输通道建立模块,用于建立基于所述安全模块的安全传输通道;
权限控制模块,用于生成并经所述安全传输通道发送权限控制信息给所述用户设备;所述权限控制信息用于对所述用户设备中的预设应用进行授权、对所述用户设备中的已授权应用取消授权或进行授权范围的调整。
7.根据权利要求6所述的权限控制设备,其特征在于,若对所述用户设备中的预设应用进行授权,所述权限控制信息为第一授权证书,所述第一授权证书中包括:
第一授权码,用于支持所述用户设备产生第一授权密钥;
第一授权范围值,用于控制所述授权的第一授权范围。
8.根据权利要求6所述的权限控制设备,其特征在于,若对所述用户设备中的已授权应用取消授权,所述权限控制信息为授权证书删除指令,用于使所述用户设备删除已有的授权证书。
9.根据权利要求6所述的权限控制设备,其特征在于,若进行授权范围的调整,所述权限控制信息包括授权证书更新指令和第二授权证书,
所述授权证书更新指令用于使所述用户设备将已有的授权证书替换为所述第二授权证书;
所述第二授权证书中包括:第二授权码,用于支持所述用户设备产生第二授权密钥;以及,第二授权范围值,用于控制所述授权的第二授权范围。
10.根据权利要求6所述的权限控制设备,其特征在于,
所述接收存储模块,还用于接收所述用户设备的授权请求;以及,接收所述用户设备的反馈信息,根据所述反馈信息更新所述用户设备的状态。
11.一种权限控制方法,其特征在于,应用于用户设备,所述用户设备包括存储有加密密钥的安全模块,所述方法包括:
提取所述用户设备的识别码以及安全模块信息;
发送所述识别码和安全模块信息给权限控制设备,以使所述权限控制设备建立基于所述安全模块的安全传输通道;
存储经所述权限控制设备加密后的预设应用;
接收所述权限控制设备经所述安全传输通道发送来的权限控制信息;
利用所述安全模块解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整。
12.根据权利要求11所述的权限控制方法,其特征在于,所述解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整,具体包括:
若解析所述权限控制信息得到包含第一授权码和第一授权范围值的第一授权证书,则根据所述第一授权码获取所述预设应用的第一授权密钥,根据所述第一授权范围值获取所述预设应用的第一授权范围,从而利用所述第一授权证书解密预设应用,获取所述预设应用在所述第一授权范围下的授权;
若解析所述权限控制信息得到授权证书删除指令,则删除已有的授权证书;
若解析所述权限控制信息得到授权证书更新指令和第二授权证书,所述第二授权证书包括第二授权码和第二授权范围值,则将已有的授权证书替换为所述第二授权证书,并根据所述第二授权码,产生第二授权密钥,根据所述第二授权范围值,获取所述预设应用的第二授权范围,从而利用所述第二授权证书解密预设应用,获取所述预设应用在所述第二授权范围下的授权。
13.根据权利要求11所述的权限控制方法,其特征在于,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整之前,所述方法还包括:
根据解析所述权限控制信息的结果判断所述权限控制信息是否正确;若正确,则根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整。
14.根据权利要求11所述的权限控制方法,其特征在于,所述方法还包括:
在所述根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整之后,发送反馈信息给所述权限控制设备;
在接收所述权限控制设备经所述安全传输通道发送来的权限控制信息之前,发送授权请求给所述权限控制设备。
15.根据权利要求12所述的权限控制方法,其特征在于,所述方法还包括:
通过所述安全模块存储的密钥对所述第一授权证书或所述第二授权证书加密存储,以在用户使用已授权的所述预设应用时利用所述安全模块存储的密钥解密所述第一授权证书或所述第二授权证书。
16.一种用户设备,其特征在于,包括:
安全模块,用于存储加密密钥;所述安全模块为所述用户设备芯片中集成的硬件安全模块,或专用的安全芯片;
提取模块,用于提取所述用户设备的识别码以及安全模块信息;
发送模块,用于发送所述识别码和安全模块信息给权限控制设备,以建立基于所述安全模块的安全传输通道;
存储模块,用于存储经所述权限控制设备加密后的所述预设应用;
接收模块,用于接收所述权限控制设备经所述安全传输通道发送来的权限控制信息,并将所述权限控制信息存放至预设位置;
所述安全模块还用于解析所述权限控制信息,根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整。
17.根据权利要求16所述的用户设备,其特征在于,所述安全模块解析所述权限控制信息,具体包括:
若解析所述权限控制信息得到包含第一授权码和第一授权范围值的第一授权证书,则根据所述第一授权码获取所述预设应用的第一授权密钥,根据所述第一授权范围值获取所述预设应用的第一授权范围;从而利用所述第一授权证书解密预设应用,获取所述预设应用在所述第一授权范围下的授权;
若解析所述权限控制信息得到授权证书删除指令,则删除所述安全模块中已有的授权证书;
若解析所述权限控制信息得到授权证书更新指令和第二授权证书,所述第二授权证书包括第二授权码和第二授权范围值,则将所述安全模块中已有的授权证书替换为所述第二授权证书,并根据所述第二授权码,产生第二授权密钥,根据所述第二授权范围值,获取所述预设应用的第二授权范围,从而利用所述第二授权证书解密预设应用,获取所述预设应用在所述第二授权范围下的授权。
18.根据权利要求16所述的用户设备,其特征在于,还包括判断模块,用于根据所述权限控制信息的解析结果判断所述权限控制信息是否正确;若正确,则所述解析模块根据所述权限控制信息获取预设应用的授权,或根据所述权限控制信息取消已授权应用的授权或进行授权范围的调整。
19.根据权利要求16所述的用户设备,其特征在于,所述发送模块,还用于发送授权请求给所述权限控制设备;以及,发送反馈信息给所述权限控制设备。
20.根据权利要求16所述的用户设备,其特征在于,还包括:
加解密模块,用于在根据所述权限控制信息获取预设应用的授权,或进行授权范围的调之后,通过所述安全模块存储的密钥对所述第一授权证书或所述第二授权证书加密存储,以在用户使用已授权的所述预设应用时利用所述安全模块存储的密钥解密所述第一授权证书或所述第二授权证书。
21.一种权限控制系统,其特征在于,包括如权利要求5-10任一项所述的权限控制设备和如权利要求16-20任一项所述的用户设备。
CN201910297598.8A 2019-04-15 2019-04-15 权限控制方法、权限控制设备、用户设备及系统 Active CN110138737B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910297598.8A CN110138737B (zh) 2019-04-15 2019-04-15 权限控制方法、权限控制设备、用户设备及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910297598.8A CN110138737B (zh) 2019-04-15 2019-04-15 权限控制方法、权限控制设备、用户设备及系统

Publications (2)

Publication Number Publication Date
CN110138737A true CN110138737A (zh) 2019-08-16
CN110138737B CN110138737B (zh) 2021-10-15

Family

ID=67569856

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910297598.8A Active CN110138737B (zh) 2019-04-15 2019-04-15 权限控制方法、权限控制设备、用户设备及系统

Country Status (1)

Country Link
CN (1) CN110138737B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110995429A (zh) * 2019-12-16 2020-04-10 京信通信系统(中国)有限公司 一种通信设备功能授权方法、装置、计算机设备和存储介质
CN114143100A (zh) * 2021-12-06 2022-03-04 粤港澳大湾区数字经济研究院(福田) 授权控制方法、系统、智能终端及计算机可读存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102479304A (zh) * 2010-11-26 2012-05-30 深圳市硅格半导体有限公司 软件权限控制方法、客户端及系统
CN102868996A (zh) * 2011-07-05 2013-01-09 中兴通讯股份有限公司 一种建立安全通道的方法及相应终端和系统
CN102971760A (zh) * 2010-06-29 2013-03-13 瑞典爱立信有限公司 用于建立通信的方法、服务器、商户设备、计算机程序和计算机程序产品
CN103152179A (zh) * 2013-02-07 2013-06-12 江苏意源科技有限公司 一种适用于多应用系统的统一身份认证方法
CN103490895A (zh) * 2013-09-12 2014-01-01 北京斯庄格科技有限公司 一种应用国密算法的工业控制身份认证方法及装置
CN103648090A (zh) * 2013-12-12 2014-03-19 北京利云技术开发公司 一种实现智能移动终端安全可信的方法和系统
US20140380429A1 (en) * 2013-06-21 2014-12-25 Canon Kabushiki Kaisha Authority delegate system, authorization server system, control method, and program
CN105187380A (zh) * 2015-08-05 2015-12-23 全球鹰(福建)网络科技有限公司 一种安全访问方法及系统
CN106778123A (zh) * 2016-11-24 2017-05-31 努比亚技术有限公司 移动终端及其硬件设备权限管理方法
CN109035515A (zh) * 2018-07-23 2018-12-18 上海永天科技股份有限公司 智能锁的控制方法及门锁系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102971760A (zh) * 2010-06-29 2013-03-13 瑞典爱立信有限公司 用于建立通信的方法、服务器、商户设备、计算机程序和计算机程序产品
CN102479304A (zh) * 2010-11-26 2012-05-30 深圳市硅格半导体有限公司 软件权限控制方法、客户端及系统
CN102868996A (zh) * 2011-07-05 2013-01-09 中兴通讯股份有限公司 一种建立安全通道的方法及相应终端和系统
CN103152179A (zh) * 2013-02-07 2013-06-12 江苏意源科技有限公司 一种适用于多应用系统的统一身份认证方法
US20140380429A1 (en) * 2013-06-21 2014-12-25 Canon Kabushiki Kaisha Authority delegate system, authorization server system, control method, and program
CN103490895A (zh) * 2013-09-12 2014-01-01 北京斯庄格科技有限公司 一种应用国密算法的工业控制身份认证方法及装置
CN103648090A (zh) * 2013-12-12 2014-03-19 北京利云技术开发公司 一种实现智能移动终端安全可信的方法和系统
CN105187380A (zh) * 2015-08-05 2015-12-23 全球鹰(福建)网络科技有限公司 一种安全访问方法及系统
CN106778123A (zh) * 2016-11-24 2017-05-31 努比亚技术有限公司 移动终端及其硬件设备权限管理方法
CN109035515A (zh) * 2018-07-23 2018-12-18 上海永天科技股份有限公司 智能锁的控制方法及门锁系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110995429A (zh) * 2019-12-16 2020-04-10 京信通信系统(中国)有限公司 一种通信设备功能授权方法、装置、计算机设备和存储介质
CN114143100A (zh) * 2021-12-06 2022-03-04 粤港澳大湾区数字经济研究院(福田) 授权控制方法、系统、智能终端及计算机可读存储介质

Also Published As

Publication number Publication date
CN110138737B (zh) 2021-10-15

Similar Documents

Publication Publication Date Title
US8171527B2 (en) Method and apparatus for securing unlock password generation and distribution
CN105635094A (zh) 安全验证方法、安全验证装置和安全验证系统
CN101465732B (zh) 保证数字证书安全的方法及保证数字证书安全的终端
CN104756458A (zh) 用于保护通信网络中的连接的方法和设备
CN109474909B (zh) 用于ctcs-3级列控系统车地安全通信协议的密钥管理方法
CN102546580A (zh) 一种用户口令的更新方法、系统及装置
CN112422500B (zh) 跨平台数据传输方法以及装置、存储介质、电子装置
CN110138737A (zh) 权限控制方法、权限控制设备、用户设备及系统
CN110519222B (zh) 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统
US8904173B2 (en) System and method for securely moving content
CN103152326A (zh) 一种分布式认证方法及认证系统
CN103078739B (zh) 动态口令认证方法、装置和网络系统
CN105187207A (zh) 权限认证的方法和装置
CN110309673A (zh) 一种自适应可定制的加密云数据库系统及加密方法
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
CN110445804A (zh) 一种关于外发文件的安全使用保护系统
CN106027477A (zh) 一种身份证读取响应方法
CN112906032B (zh) 基于cp-abe与区块链的文件安全传输方法、系统及介质
CN115801232A (zh) 一种私钥保护方法、装置、设备及存储介质
CN109902479B (zh) 权限控制方法、权限控制设备、用户设备及系统
CN112217797B (zh) 一种应用区块链技术的智能网关物联网控制系统及方法
CN114254352A (zh) 一种数据安全传输系统、方法和装置
KR20190098863A (ko) 스마트 폰과의 IoT 통신을 이용한 제조 설비 데이터 수집 및 제어 시스템과 그 방법
CN112767576A (zh) 锁具授权管理方法和锁具授权管理系统
CN107171784B (zh) 突发环境事件应急指挥调度方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant