技術領域

本發明涉及通信技術領域，尤其涉及信息安全，具體是指一種基于硬件芯片的用戶權限分發控制系統及方法。

背景技術

隨著電子信息技術的不斷發展，各種應用平臺的普及，對系統的安全有了更高的要求，特別是一些影響較大的關鍵應用。目前，很多系統采取的安全措施有：基于SSL的安全鏈接、采用復雜的密碼加密算法、基于證書的PKI身份認證等；這些安全措施都是在軟件層面對系統采取的防范行為，若攻擊者通過系統漏洞篡改了與身份驗證相關的程序或數據，則會給系統帶來信息泄漏，惡意操作等風險。本發明給出了一種基于硬件芯片的用戶權限分發控制技術，利用硬件芯片對訪問者的身份進行驗證，并加密存儲系統策略文件，可有效保證系統的安全。

發明內容

本發明的目的是克服了上述現有技術的缺點，提供了一種能夠實現的基于硬件芯片的用戶權限分發控制系統及方法。

為了實現上述目的，本發明的基于硬件芯片的用戶權限分發控制系統及方法具有如下構成：

該基于硬件芯片的用戶權限分發控制系統，其主要特點是，所述的系統包括：

應用平臺，用以獲取與Ukey設備相對應的用戶個人信息，并向可信計算密碼支撐平臺發送與用戶個人信息相對應的用戶權限信息，以及提供用戶修改用戶權限信息的平臺；

可信計算密碼支撐平臺，用以查詢、更新并存儲系統用戶權限策略文件；

Ukey設備，用以向所述的應用平臺提供用戶個人信息。

進一步地，所述的可信計算密碼支撐平臺包括：

可信服務模塊，用以加密、解密以及驗證與所述的用戶個人信息相對應的密碼是否正確；

可信密碼模塊，用以提供密碼算法引擎；

加密存儲芯片，用以存儲用戶權限策略文件以及可信服務模塊的加密、解密以及驗證與所述的用戶個人信息相對應的密碼的結果。

進一步地，所述的Ukey設備還存儲有用戶的認證信息以及使用期限信息。

本發明還涉及一種用戶權限分發控制的方法，其主要特點是，所述的方法包括：

(1)用戶將所述的Ukey設備插入所述的應用平臺；

(2)所述的應用平臺獲取與所述的Ukey設備相對應的用戶個人信息，并向所述的可信計算密碼支撐平臺發送與所述的用戶個人信息相對應的用戶權限信息；

(3)所述的可信計算密碼支撐平臺讀取系統用戶權限策略文件后，獲取所述的應用平臺請求的用戶權限信息；

(4)所述的應用平臺展現該用戶權限信息；

(5)所述的用戶主動修改該用戶權限信息；

(6)所述的可信計算密碼支撐平臺根據用戶修改后的用戶權限信息生成新的系統用戶權限策略文件并保存。

進一步地，所述的步驟(1)包括以下步驟：

(1.1)所述的應用平臺判斷是否有Ukey設備插入至所述的應用平臺；

(1.2)如果有Ukey設備插入至所述的應用平臺，則繼續步驟(2)；

(1.3)如果無Ukey設備插入至所述的應用平臺，則繼續步驟(1.1)。

進一步地，所述的可信計算密碼支撐平臺包括可信服務模塊，所述的向所述的可信計算密碼支撐平臺發送與所述的用戶個人信息相對應的用戶權限信息，包括以下步驟：

(2.1)所述的應用平臺顯示密碼輸入界面；

(2.2)所述的用戶向所述的應用平臺輸入密碼；

(2.3)所述的可信服務模塊解密并判斷所述的密碼是正確；

(2.4)如果所述的密碼正確，則所述的應用平臺顯示登錄成功后，向所述的可信計算密碼支撐平臺發送與所述的用戶個人信息相對應的用戶權限信息；

(2.5)如果所述的密碼錯誤，則所述的應用平臺顯示登錄失敗。

進一步地，所述的步驟(6)之后還包括以下步驟：

(7)所述的應用平臺顯示修改成功的信息。

采用了該發明中的基于硬件芯片的用戶權限分發控制系統及方法，與現有技術相比，具有以下有益效果：

本發明的基于硬件芯片的用戶權限分發控制系統及方法增強應用平臺的安全性，利用硬件芯片的加解密算法和硬件芯片的安全存儲增強了系統用戶操作的可信性：用戶對應用平臺的訪問通過硬件芯片進行權限驗證，系統用戶訪問權限策略也是以文件的方式存儲的硬件芯片中，且硬件芯片使用自帶的加密算法對存儲文件進行了加密，確保了策略文件的安全性。相比傳統的軟件加密，硬件加密具有更高的不可篡改性，在此基礎上構造的應用平臺也具有更高的安全性。

附圖說明