具有软件保护功能的信息安全设备及其认证方法
【技术领域】
[0001]本发明涉及信息安全设备,特别涉及一种具有软件保护功能的信息安全设备及通过具有软件保护功能的信息安全设备执行的认证方法。
【背景技术】
[0002]如今在很多生产管理、研发、测试环节中都会涉及数据文件保护,以防止重要文件泄密。其中,使用硬件类型的加密设备如USBKey、加密锁等成为常见的保护方法。
[0003]在硬件加密设备的使用过程中,可能会涉及到不同层级的使用人员拥有不同级别的使用权限。使用权限越高,加密文件浏览范围越广或者硬件设备可以使用的功能越多。例如,使用硬件加密设备时,低级别使用权限人员使用的设备功能是某些单一的功能或只能用来读取保密等级较低的文件,当他们在软件、系统或装置的测试、开发、管理和使用过程中需要短暂的使用更多的设备功能或者阅读更高保密级别的加密文件时,就需要高级别使用权限的管理人员输入对应权限的密钥或输入解锁密钥来解开限制。
[0004]这样虽然可以使安全性提高,但是同时造成一个问题:当某个操作过程中有多个权限较低的工作人员需要频繁使用高级别权限时,相应高级别人员就需要浪费大量的时间进行密钥输入和授权,同时低级别工作人员也会浪费很多时间等待授权。
【发明内容】
[0005]有鉴于此,本发明旨在提供一种能够快捷地获得授权的信息安全设备及其认证方法,在实现信息安全设备的软件保护功能的同时便于管理人员对使用人员操作权限的控制。
[0006]本发明提供的具有软件保护功能的信息安全设备包括:存储单元,其存储对应于预定权限等级的第一密钥;认证单元,其配置为根据存储单元中的第一密钥,对使用者要进行的操作进行认证;NFC通信单元,其配置为当使用者要进行的操作所要求的权限等级高于所述预定权限等级时,根据使用者的指令,从特定NFC设备接收对应于该较高权限等级的第二密钥或向特定NFC设备发送权限请求。其中,所述认证单元还配置为:根据所述第二密钥,对使用者要进行的要求该较高权限等级的操作进行认证;或者根据已由该特定NFC设备侧响应于所述权限请求而调整了权限等级的所述第一密钥,对所述信息安全设备的使用者要进行的要求该较高权限等级的操作进行认证。
[0007]在本发明提供的通过具有软件保护功能的信息安全设备执行的认证方法中,在所述信息安全设备中设置有NFC通信单元,所述认证方法包括:通过所述信息安全设备对使用者要进行的操作进行认证,所述信息安全设备中存储有对应于预定权限等级的第一密钥;当使用者要进行的操作所要求的权限等级高于所述预定权限等级时,根据使用者的指令,通过所述NFC通信单元从特定NFC设备接收对应于该较高权限等级的第二密钥或向特定NFC设备发送权限请求;利用所述第二密钥、通过所述信息安全设备对使用者要进行的要求该较高权限等级的操作进行认证,或者根据已由该特定NFC设备侧响应于所述权限请求而调整了权限等级的所述第一密钥,通过所述信息安全设备对使用者要进行的要求该较高权限等级的操作进行认证。
[0008]本发明的信息安全设备及其认证方法,能够在实现信息安全设备对软件的保护功能的同时,通过刷卡式的数据传输,方便快捷地实现管理人员对使用人员使用信息安全设备的操作权限的管理控制。
【附图说明】
[0009]图1为本发明的具有软件保护功能的信息安全设备的一个实施例的结构示意图;
[0010]图2为本发明的通过具有软件保护功能的信息安全设备执行的认证方法的一个实施例的流程图。
【具体实施方式】
[0011]下面结合附图对本发明的具体实施例进行详细说明。
[0012]本发明的信息安全设备可以为例如USBKey的硬件加密设备。使用者可用该信息安全设备来解密一些相应权限等级的加密文件以便进行浏览、对特定文件进行加密操作等。使用者的权限决定了他能使用该信息安全设备的多少功能,权限较低时可能只能使用信息安全设备的单一功能。
[0013]图1为本发明的具有软件保护功能的信息安全设备的一个实施例的结构示意图。
[0014]如图1所示,本实施例的信息安全设备具有存储单元、认证单元和NFC通信单元,其中,存储单元中预先存储了对应于预定权限等级的第一密钥。
[0015]认证单元可根据存储单元中存储的该第一密钥,对使用者要进行的操作进行认证。如果使用者进行的操作符合其自身的权限等级,则能够顺利通过认证。
[0016]如果使用者要进行的操作所要求的权限等级高于其自身的预定权限等级,则NFC通信单元可在使用者的指令下从特定NFC设备处接收对应于该较高权限等级的第二密钥,以便认证单元能够根据该第二密钥对使用者要进行的要求该较高权限等级的操作进行认证。
[0017]作为可选方案,当使用者要进行的操作所要求的权限等级高于其自身的预定权限等级时,NFC通信单元还可以在使用者的指令下向上述特定NFC设备发送权限请求。随后该特定NFC设备侧(可以是该NFC设备,也可以是使用该NFC设备的管理人员)在收到权限请求后,在密钥管理系统中调整分配给使用者的第一密钥的权限等级,使得经调整的第一密钥具有与使用者要进行的操作对应的权限等级。权限调整处理之后,使用者的信息安全设备即可以根据该经过调整权限等级的第一密钥,对使用者要进行的要求上述较高权限等级的操作进行认证,以允许使用者进行该要求较高权限等级的操作。
[0018]通过本发明的信息安全设备,能够在实现信息安全设备对软件的保护功能的同时,通过刷卡式的数据传输,方便快捷地实现管理人员对使用人员使用信息安全设备的操作权限的管理控制。
[0019]例如,在本发明的一个实施例中,当该信息安全设备的使用者要浏览加密文件时,则认证单元可根据第一密钥对使用者浏览该加密文件的操作进行认证,具体为认证单元用第一密钥来对该加密文件进行解密,如果使用者所要浏览的加密文件所要求的权限等级与使用者自身的权限等级相符,则认证单元能够对该加密文件顺利解密,从而使用者能够浏览该加密文件;而如果该加密文件所要求的权限等级高于使用者自身的权限等级,则认证单元无法用第一密钥来解密该加密文件,从而使用者无法浏览该加密文件。
[0020]当使用者要进行的浏览文件的操作所要求的权限等级高于使用者自身的权限等级时,使用者可向拥有高级权限的管理人员提出浏览更高安全级别的加密文件的申请,管理人员同意授权时,使用者启动信息安全设备的NFC通信单元,该管理人员也启动自己的NFC设备,通过两者之间的NFC通信,将对应于较高权限等级的第二密钥从管理人员的NFC设备传输到使用者的信息安全设备中。
[0021]获得第二密钥后,使用者可再次进行浏览上述要求高级权限的加密文件的操作。认证单元可根据第二密钥对使用者浏览该要求高级权限的加密文件的操作进行认证,具体为认证单元用第二密钥来对该加密文件进行解密,从而使用者能够浏览该加密文件。
[0022]作为可选方案,当使用者要浏览的加密文件所要求的权限等级高于使用者自身的权限等级时,使用者还可以利用信息安全设备中的NFC通信单元向管理人员的上述特定NFC设备发送权限请求,权限请求中可包括信息安全设备的存储单元中存储的第一密钥。在该特定NFC设备收到权限请求后,由该特定NFC设备或者使用该特定NFC设备的管理人员在密钥管理系统中调整分配给使用者的第一密钥的权限等级,使得经调整的第一密钥具有与使用者要浏览的加密文件对应的权限等级。之后,使用者的信息安全设备中的认证单元即可以根据该经过调整权限等级的第一密钥,对使用者浏览上述要求较高权限等级的加密文件的操作进行认证,具体为认证单元用第一密钥来对该加密文件进行解密,从而使用者能够浏览该加密文件。
[0023]在本发明的另一个实施例中,当该信息安全设备的使用者要使用信息安全设备的特定功能时,认证单元可根据第一密钥对使用者使用信息安全设备特定功能的操作进行认证,具体为认证单元确认第一密钥对应的权限等级(也就是使用者自身的权限等级)是否允许使用信息安全设备的该特定功能。如果使用者所要使用的该特定功能所要求的权限等级与使用者自身的权限等级相符,则认证单元使得该特定功能对使用者开放,从而使用者能够使用信息安全设备的该特定功能;而如果该特定功能所要求的权限等级高于使用者自身的权限等级,则认证单元锁定该特定功能,从而使用者无法使用信息安全设备的该特定功能。
[0024]当使用者使用信息安全设备特定功能的操作所要求的权限等级高于使用者自身的权限等级时,使用者可向拥有高级权限的管理人员提出使用该具有更高权限等级要求的特定功能的申请,管理人员同意授权时,使用者启动信息安全设备的NFC通信单元,该管理人员也启动自己的NFC设备,通过两者之间的NFC通信,将对应于较高权限等级的第二密钥从管理人员的NFC设备传输到使用者的信息安全设备中。
[0025]获得第二密钥后,使用者可再次尝试启动信息安全设备的上述要求高级权限的特定功能。认证单元可根据第二密钥对使用者启动该要求高级权限的特定功能的操作进行认证,具体为认证单元确认第二密钥对应的权限等级允许使用信息安全设备的该特定功能,因此认证单元使得该特定功能对使用者开放,从而使用者能够使用信息安全设备的该特定功能。
[0026]在本发明的一个实施例中,管理人员的该NFC设备可以是RFID卡、NFC手环、或手机之类具有NFC功能的便携式移动通信设备,以便于实现刷卡式的授权控制。
[0027]在本发明另一个实施例中,管理者通过NFC设备传输给使用者的信息安全设备的第二密钥可以是具有一定有效时限的临时密钥。该临时密钥可以存储在信息安全设备的存储单元中。该有效时限可以是例如I小时、3小时或I天等。使用者在获得第二密钥后每次浏览高级别加密文件或启动信息安全设备的要求高级别权限的特定功能时,认证单元会根据第二密钥对使用者的操作进行认证,如果第二密钥还在有效时限之内,则允许使用者浏览该加密文件或启动信息安全设备的特定功能;如果认证单元确认第二密钥已失效,则禁止使用者浏览该加密文件或启动信息安全设备的特定功能。通过本实施例,管理人员能够对使用者的操作权限进行弹性管理,并且免去了使用者每次操作都需要寻求管理人员授权的繁