本申请涉及计算机技术领域,尤其涉及一种权限管理方法及相关装置。
背景技术:
信息化时代的到来为我们的生活提供了许多便利,但与此同时,一些信息安全的问题却层出不穷,信息安全的重要性得到越来越多人的关注。信息化时代离不开用户终端,但目前的终端基本都是采用普通的多用户权限管理模式,即用户注册后将用户信息以缓存文件的方式存储在文件系统中,此种管理模式将用户的信息以明文的方式保存在终端本地,而黑客很容易将用户的信息盗用,一旦账户丢失,该终端将被不法分子利用,故存在较大的安全隐患。
技术实现要素:
本申请提出一种权限管理方法及相关装置,利用安全芯片高强度的物理防护和可靠的加密、签名机制,结合缓存容器对用户信息进行临时存储,最终通过用户输入的账号口令以及缓存容器与安全芯片文件系统的对应关系,确保在口令验证安全之后用户才可以读取、修改用户信息,因此大大提高了用户信息存储及使用的安全性,很好地解决了终端多用户权限管理存在的安全问题。
第一方面,本申请提出一种权限管理方法,应用于电子设备,所述方法包括:
将登录信息发送给安全芯片;
若所述登录信息通过所述安全芯片的验证,接收所述安全芯片发送的用户信息,所述用户信息存储在所述安全芯片的用户权限管理文件中;
将所述用户信息存储在缓存容器中,所述缓存容器用于在涉及用户身份的业务时向用户提供所述用户信息。
在一种可能的实现方式中,所述将登录信息发送给安全芯片之前,所述方法还包括:
将所述用户信息发送给所述安全芯片;
接收所述安全芯片发送的所述用户信息的第一密文和第一签名,将所述用户信息的第一密文和所述第一签名发送给服务器;
若所述第一密文和所述第一签名通过所述服务器的验证,接收所述服务器发送的所述用户信息的第二密文和第二签名,将所述用户信息的第二密文和所述第二签名发送给所述安全芯片,所述验证用于验证所述用户信息的真实性;
若所述第二密文和所述第二签名通过所述安全芯片的认证,接收所述安全芯片发送的注册成功信息。
在一种可能的实现方式中,所述方法还包括:
当检测到用户退出登录时,删除所述缓存容器。
第二方面,本申请提出一种权限管理方法,应用于服务器,所述方法包括:
接收登录信息,将所述登录信息与存储的登录信息进行比对;
若比对成功,将用户权限管理文件中所述登录信息对应的用户信息发送给终端的缓存容器,所述缓存容器用于在涉及用户身份的业务时向用户提供所述用户信息。
在一种可能的实现方式中,所述接收登录信息之前,所述方法还包括:
将接收到的所述用户信息存储在所述用户权限管理文件中;
将所述用户信息进行签名得到所述用户信息的第一签名,将所述用户信息进行加密得到所述用户信息的第一密文,发送所述用户信息的第一密文与第一签名;
若所述第一密文和所述第一签名通过服务器的验证,接收所述用户信息的第二密文与第二签名,所述验证用于验证所述用户信息的真实性;
若所述第二密文和所述第二签名通过认证,向所述终端发送注册成功信息。
在一种可能的实现方式中,所述方法还包括:
接收销户请求,所述销户请求包括所述登录信息;
将所述登录信息与所述存储的登录信息进行比对,若比对成功,删除所述登录信息对应的所述用户信息;
向所述终端发送提示信息,所述提示信息用于提示所述终端删除所述缓存容器。
第三方面,本申请提出一种权限管理装置,应用于电子设备,包括:
第一发送单元,用于将登录信息发送给安全芯片;
第一接收单元,用于若所述登录信息通过所述安全芯片的验证,接收所述安全芯片发送的用户信息,所述用户信息存储在所述安全芯片的用户权限管理文件中;
存储单元,用于将所述用户信息存储在缓存容器中,所述缓存容器用于在涉及用户身份的业务时向用户提供所述用户信息。
在一种可能的实现方式中,所述装置还包括:
第二发送单元,用于将所述用户信息发送给所述安全芯片;
第二接收单元,用于接收所述安全芯片发送的所述用户信息的第一密文和第一签名,将所述用户信息的第一密文和所述第一签名发送给服务器;
第三接收单元,用于若所述第一密文和所述第一签名通过所述服务器的验证,接收所述服务器发送的所述用户信息的第二密文和第二签名,将所述用户信息的第二密文和所述第二签名发送给所述安全芯片,所述验证用于验证所述用户信息的真实性;
第四接收单元,用于若所述第二密文和所述第二签名通过所述安全芯片的认证,接收所述安全芯片发送的注册成功信息。
在一种可能的实现方式中,所述装置还包括:
删除单元,用于当检测到用户退出登录时,删除所述缓存容器。
第四方面,本申请提出一种权限管理装置,应用于服务器,包括:
第一接收单元,用于接收登录信息,将所述登录信息与存储的登录信息进行比对;
第一发送单元,用于若比对成功,将用户权限管理文件中所述登录信息对应的用户信息发送给终端的缓存容器,所述缓存容器用于在涉及用户身份的业务时向用户提供所述用户信息。
在一种可能的实现方式中,所述装置还包括:
存储单元,用于将接收到的所述用户信息存储在所述用户权限管理文件中;
加密单元,用于将所述用户信息进行签名得到所述用户信息的第一签名,将所述用户信息进行加密得到所述用户信息的第一密文,发送所述用户信息的第一密文与第一签名;
第二接收单元,用于若所述第一密文和所述第一签名通过服务器的验证,接收所述用户信息的第二密文与第二签名,所述验证用于验证所述用户信息的真实性;
第二发送单元,用于若所述第二密文和所述第二签名通过认证,向所述终端发送注册成功信息。
在一种可能的实现方式中,所述装置还包括:
第三接收单元,用于接收销户请求,所述销户请求包括所述登录信息;
比对单元,用于将所述登录信息与所述存储的登录信息进行比对,若比对成功,删除所述登录信息对应的所述用户信息;
第三发送单元,用于向所述终端发送提示信息,所述提示信息用于提示所述终端删除所述缓存容器。
第五方面,本申请提出一种电子设备,包括:收发器、处理器和存储器;所述收发器、所述处理器和所述存储器通过总线相互连接;其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如第一方面所提出的方法。
第六方面,本申请提出一种服务器,包括:收发器、处理器和存储器;所述收发器、所述处理器和所述存储器通过总线相互连接;其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如第二方面所提出的方法。
第七方面,本申请提出一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时,使所述处理器执行所述各方面所提出的方法。
第八方面,本申请实施例提供了一种包含程序指令的计算机程序产品,当其在计算机上运行时,使得计算机执行所述各方面所提出的方法。
实施本申请,利用安全芯片高强度的物理防护和可靠的加密、签名机制,结合缓存容器对用户信息进行临时存储,最终通过用户输入的账号口令以及缓存容器与安全芯片文件系统的对应关系,确保在口令验证安全之后用户才可以读取、修改用户信息,因此大大提高了用户信息存储及使用的安全性,很好地解决了终端多用户权限管理存在的安全问题。
附图说明
为了更清楚地说明本申请实施例或背景技术中的技术方案,下面将对本申请实施例或背景技术中所需要使用的附图进行说明。
图1是本申请提出的一种权限管理方法的流程图;
图2是本申请提出的另一种权限管理方法的流程图;
图3是本申请提出的一种权限管理方法的具体应用场景的流程图;
图4是本申请提出的另一种权限管理方法的流程图;
图5是本申请提出的另一种权限管理方法的流程图;
图6是本申请提出的另一种权限管理方法的具体应用场景的流程图;
图7是本申请提出的一种权限管理装置的结构示意图;
图8是本申请提出的另一种权限管理装置的结构示意图;
图9是本申请提出的另一种电子设备的结构示意图;
图10是本申请提出的另一种服务器的结构示意图。
具体实施方式
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同的对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法或设备固有的其他步骤或单元。
目前的终端基本都是采用普通的多用户权限管理模式,即用户注册后将用户信息以缓存文件的方式存储在文件系统中,此种管理模式将用户的信息以明文的方式保存在终端本地,而黑客很容易将用户的信息盗用,一旦账户丢失,该终端将被不法分子利用,故存在较大的安全隐患。
图1是本申请提出的一种权限管理方法的流程图,应用于电子设备,上述方法包括以下内容:
101、将登录信息发送给安全芯片。
具体的,该登录信息可以是用户的账号和口令。该安全芯片已存储可信用户的登录信息。
102、若上述登录信息通过上述安全芯片的验证,接收上述安全芯片发送的用户信息。
具体的,该安全芯片接收上述登录信息,该安全芯片的用户权限管理文件存储了可信用户的登录信息,该安全芯片遍历上述用户权限管理文件,将接收到的上述登录信息与存储的可信用户的登录信息进行比对,若比对结果一致,则该接收到的登录信息通过该安全芯片的验证,终端接收该安全芯片发送的用户信息,该用户信息存储在该安全芯片的用户权限管理文件中。
103、将上述用户信息存储在缓存容器中。
具体的,终端调用软件开发工具包(softwaredevelopmentkit,sdk)创建缓存容器。终端将接收到的用户信息存储在该缓存容器中。后续涉及用户身份的业务时可直接使用该缓存容器中的用户信息,既可以提升速度,又可以保障信息安全。
当检测到该用户退出登录时,终端删除该缓存容器或者释放掉该缓存容器中的数据,以此保证用户信息的安全。
若用户登录后需注销账户,终端向服务器发送注销请求,该注销请求用于请求该服务器注销该用户的账户。该服务器确认该注销请求的真实后,向上述安全芯片发送注销指令。该注销指令通过该安全芯片的验证后,该安全芯片删除该用户对应的用户权限管理文件,向终端发送注销成功信息,该注销成功信息用于通知用户该安全芯片已经完成该用户账户的注销,并提示终端删除上述缓存容器。
实施本申请实施例,可以利用安全芯片高强度的物理防护和可靠的加密、签名机制,结合缓存容器对用户信息进行临时存储,最终通过用户输入的账号口令以及缓存容器与安全芯片文件系统的对应关系,确保在口令验证安全之后用户才可以读取、修改用户信息,因此大大提高了用户信息存储及使用的安全性,很好地解决了终端多用户权限管理存在的安全问题。
图2是本申请提出的另一种权限管理方法的流程图,上述方法包括以下内容:
201、将上述用户信息发送给上述安全芯片。
具体的,该用户信息可以是用户的账号、口令和个人信息。
202、接收上述安全芯片发送的上述用户信息的第一密文和第一签名,将上述用户信息的第一密文和上述第一签名发送给服务器。
具体的,安全芯片创建用户权限管理文件,将接收到的上述用户信息写入该用户权限管理文件中,将该用户信息进行签名得到该用户信息的第一签名,将该用户信息进行加密得到该用户信息的第一密文。终端接收该安全芯片发送的该用户信息的第一密文与该第一签名,终端将该用户信息的第一密文与该第一签名发送给服务器。
安全芯片根据接收到的用户信息的用户个数对应的创建数量相同的用户权限管理文件,每一个用户的用户信息对应不同的用户权限管理文件。
203、若上述第一密文和上述第一签名通过上述服务器的验证,接收上述服务器发送的上述用户信息的第二密文和第二签名,将上述用户信息的第二密文和上述第二签名发送给上述安全芯片。
具体的,该服务器将该用户信息的第一密文进行解密,得到该用户信息,对该用户信息进行验签操作,若验签通过,则记录该用户信息,将该用户信息进行签名得到该用户信息的第二签名,将该用户信息进行加密得到该用户信息的第二密文。终端接收该服务器发送的该用户信息的第二密文和该第二签名,终端将该用户信息的第二密文和该第二签名发送该上述安全芯片。
204、若上述第二密文和上述第二签名通过上述安全芯片的认证,接收上述安全芯片发送的注册成功信息。
具体的,安全芯片将接收到的该用户信息的第二密文进行解密,得到该用户信息的明文,将该明文对上述第二签名进行验签,若验签通过,则认证流程结束,用户信息成功写入。终端接收该安全芯片发送的注册成功信息,该注册成功信息用于提示用户该安全芯片已将该用户信息成功写入。
205、将登录信息发送给安全芯片。
具体的,该登录信息可以是用户的账号和口令。
206、若上述登录信息通过上述安全芯片的验证,接收上述安全芯片发送的用户信息。
具体的,该安全芯片接收上述登录信息,该安全芯片的用户权限管理文件存储了可信用户的登录信息,该安全芯片遍历上述用户权限管理文件,将接收到的上述登录信息与存储的可信用户的登录信息进行比对,若比对结果一致,则该接收到的登录信息通过该安全芯片的验证,终端接收该安全芯片发送的用户信息,该用户信息存储在该安全芯片的用户权限管理文件中。
207、将上述用户信息存储在缓存容器。
具体的,终端调用sdk创建缓存容器。终端将接收到的用户信息存储在该缓存容器中。后续涉及用户身份的业务时可直接使用该缓存容器中的用户信息,既可以提升速度,又可以保障信息安全。
208、当检测到用户退出登录时,删除上述缓存容器。
具体的,当检测到用户退出登录时,为了保证用户信息的安全性,终端删除上述缓存容器或者释放上述缓存容器中的数据。
实施本申请实施例,可以利用安全芯片高强度的物理防护和可靠的加密、签名机制,结合缓存容器对用户信息进行临时存储,最终通过用户输入的账号口令以及缓存容器与安全芯片文件系统的对应关系,确保在口令验证安全之后用户才可以读取、修改用户信息,因此大大提高了用户信息存储及使用的安全性,很好地解决了终端多用户权限管理存在的安全问题。
图3是本申请提出的一种权限管理方法的具体应用场景的流程图,上述方法包括以下内容:
301、将上述用户信息发送给上述安全芯片。
举例来说,终端将用户甲的用户信息发送给安全芯片,该用户甲的用户信息可以是用户甲的账号、口令和用户甲的个人信息。
302、接收上述安全芯片发送的上述用户信息的第一密文和第一签名,将上述用户信息的第一密文和上述第一签名发送给服务器。
举例来说,安全芯片创建用户甲权限管理文件,将接收到的上述用户甲的用户信息写入该用户甲权限管理文件中,将该用户信息进行签名得到该用户信息的第一签名,将该用户信息加密为第一密文。终端接收该安全芯片发送的该用户信息的第一密文与该第一签名,终端将该用户信息的第一密文与该第一签名发送给服务器。
303、若上述第一密文和上述第一签名通过上述服务器的验证,接收上述服务器发送的上述用户信息的第二密文和第二签名,将上述用户信息的第二密文和上述第二签名发送给上述安全芯片。
举例来说,该服务器将该用户信息的第一密文进行解密,得到该用户甲的用户信息,对该用户信息进行验签操作,若验签通过,记录该用户甲的用户信息,将该用户信息进行签名得到该用户信息的第二签名,将该用户信息进行加密得到该用户信息的第二密文。终端接收该服务器发送的该用户信息的第二密文和该第二签名,终端将该用户信息的第二密文和该第二签名发送该上述安全芯片。
304、若上述第二密文和上述第二签名通过上述安全芯片的认证,接收上述安全芯片发送的注册成功信息。
举例来说,安全芯片将接收到的该用户信息的第二密文进行解密,得到该用户信息的明文,将该明文对上述第二签名进行验签,若验签通过,认证流程结束,用户甲的用户信息成功写入。终端接收该安全芯片发送的注册成功信息,该注册成功信息用于提示用户甲该安全芯片已将用户甲的用户信息成功写入。
305、将登录信息发送给安全芯片。
举例来说,终端将用户甲的登录信息发送给安全芯片,该用户甲的登录信息可以是用户甲的账号和口令。
306、若上述登录信息通过上述安全芯片的验证,接收上述安全芯片发送的用户信息。
举例来说,该安全芯片接收上述用户甲的登录信息,该安全芯片遍历用户甲权限管理文件,将接收到的上述用户甲的登录信息与存储的登录信息进行比对,若比对结果一致,则该接收到的登录信息通过该安全芯片的验证,终端接收该安全芯片发送的用户甲的用户信息。
307、将上述用户信息存储在缓存容器。
举例来说,终端调用sdk创建缓存容器。终端将接收到的用户甲的用户信息存储在该缓存容器中。后续涉及用户甲身份的业务时可直接使用该缓存容器中的用户甲的用户信息,既可以提升速度,又可以保障信息安全。
308、当检测到用户退出登录时,删除上述缓存容器。
举例来说,当检测到用户甲退出登录时,为了保证用户信息的安全性,终端删除上述缓存容器或者释放上述缓存容器中的数据。
实施本申请实施例,可以利用安全芯片高强度的物理防护和可靠的加密、签名机制,结合缓存容器对用户信息进行临时存储,最终通过用户输入的账号口令以及缓存容器与安全芯片文件系统的对应关系,确保在口令验证安全之后用户才可以读取、修改用户信息,因此大大提高了用户信息存储及使用的安全性,很好地解决了终端多用户权限管理存在的安全问题。
图4是本申请提出的另一种权限管理方法的流程图,应用于服务器,上述方法包括以下内容:
401、接收登录信息,将上述登录信息与存储的登录信息进行比对。
具体的,安全芯片接收终端发送的登录信息,该登录信息可以是用户的账号和口令。安全芯片读取遍历文件系统中的用户权限管理文件,该用户权限管理文件存储可信用户的登录信息,安全芯片将接收到的上述登录信息与存储的可信用户的登录信息进行比对。
402、若比对成功,将用户权限管理文件中上述登录信息对应的用户信息发送给终端的缓存容器。
具体的,若比对成功,将用户权限管理文件中该登录信息对应的用户信息发送给终端的缓存容器,该缓存容器用于在涉及用户身份的业务时向用户提供该用户信息。若比对不成功,则接收的该登录信息错误,安全芯片拒绝向该终端发送用户信息。该安全芯片记录登录错误信息,该登录错误信息可以是错误登录信息接收的时间、发送该错误登录信息的设备号。
实施本申请实施例,可以利用安全芯片高强度的物理防护和可靠的加密、签名机制,结合缓存容器对用户信息进行临时存储,最终通过用户输入的账号口令以及缓存容器与安全芯片文件系统的对应关系,确保在口令验证安全之后用户才可以读取、修改用户信息,因此大大提高了用户信息存储及使用的安全性,很好地解决了终端多用户权限管理存在的安全问题。
图5是本申请提出的另一种权限管理方法的流程图,上述方法包括以下内容:
501、将接收到的上述用户信息存储在上述用户权限管理文件中。
具体的,将接收到的上述用户信息存储在上述用户权限管理文件中,该用户信息可以是用户的账号、口令和个人信息。
502、将上述用户信息进行签名得到上述用户信息的第一签名,将上述用户信息进行加密得到上述用户信息的第一密文,发送上述用户信息的第一密文与第一签名。
具体的,上述加密可以增强该用户信息在传输过程中的安全性,上述第一签名可以用于验证传输该用户信息的身份是否可信。
503、若上述第一密文和上述第一签名通过服务器的验证,接收上述用户信息的第二密文与第二签名。
具体的,该服务器将该用户信息的第一密文进行解密,得到该用户信息,对该用户信息进行验签操作,若验签通过,则记录该用户信息,将该用户信息进行签名得到该用户信息的第二签名,将该用户信息进行加密得到该用户信息的第二密文,将该用户信息的第二密文与第二签名通过终端发送给上述安全芯片。
504、若上述第二密文和上述第二签名通过认证,向上述终端发送注册成功信息。
具体的,安全芯片将接收到的该用户信息的第二密文进行解密,得到该用户信息的明文,将该明文对上述第二签名进行验签,若验签通过,该安全芯片向上述终端发送注册成功信息,该注册成功信息用于提示用户该安全芯片已成功创建该用户的用户权限管理文件并将上述用户信息成功存入。若该第二密文和该第二签名未通过上述安全芯片的认证,安全芯片向终端发送注册终止信息,该注册终止信息用于提示用户该服务器不是该安全芯片认可的可信服务器,安全芯片终止用户信息注册。
505、接收登录信息,将上述登录信息与存储的登录信息进行比对。
具体的,安全芯片接收终端发送的登录信息,该登录信息可以是用户的账号和口令。安全芯片读取遍历文件系统中的用户权限管理文件,该用户权限管理文件存储可信用户的登录信息,安全芯片将接收到的上述登录信息与存储的可信用户的登录信息进行比对。
506、若比对成功,将用户权限管理文件中上述登录信息对应的用户信息发送给终端的缓存容器。
具体的,若比对成功,将用户权限管理文件中该登录信息对应的用户信息发送给终端的缓存容器,该缓存容器用于在涉及用户身份的业务时向用户提供该用户信息。若比对不成功,则接收的该登录信息错误,安全芯片拒绝向该终端发送用户信息。该安全芯片记录登录错误信息,该登录错误信息可以是错误登录信息接收的时间、发送该错误登录信息的设备号。
507、接收销户请求。
具体的,安全芯片接收终端发送的销户请求,该销户请求可以是上述登录信息。
508、将上述登录信息与上述存储的登录信息进行比对,若比对成功,删除上述登录信息对应的上述用户信息。
具体的,解析上述销户请求,得到登录信息,将该登录信息与安全芯片存储的登录信息进行比对,若比对成功,则删除该登录信息对应的用户信息,若比对不成功,则发送该销户请求的用户不具备销户权限,安全芯片拒绝进行销户操作,记录销户错误信息,该销户错误信息可以是用户发送该错误销户信息的时间、发送该错误销户信息的终端的设备号。
509、向上述终端发送提示信息。
具体的,安全芯片向该终端发送提示信息,该提示信息用于提示该终端删除上述缓存容器。由于该缓存容器可以存储上述用户的用户信息,为了进一步提供用户信息的安全性,应提示该终端将该缓存容器删除。
实施本申请实施例,可以利用安全芯片高强度的物理防护和可靠的加密、签名机制,结合缓存容器对用户信息进行临时存储,最终通过用户输入的账号口令以及缓存容器与安全芯片文件系统的对应关系,确保在口令验证安全之后用户才可以读取、修改用户信息,因此大大提高了用户信息存储及使用的安全性,很好地解决了终端多用户权限管理存在的安全问题。
图6是本申请提出的另一种权限管理方法的具体应用场景的流程图,上述方法包括以下内容:
601、将接收到的上述用户信息存储在上述用户权限管理文件中。
举例来说,将接收到的用户甲的用户信息存储在用户甲权限管理文件中,该用户甲的用户信息可以是用户甲的账号、口令和个人信息。
602、将上述用户信息进行签名得到上述用户信息的第一签名,将上述用户信息进行加密得到上述用户信息的第一密文,发送上述用户信息的第一密文与第一签名。
举例来说,将上述用户甲的用户信息进行签名得到该用户信息的第一签名,将上述用户甲的用户信息进行加密得到该用户信息的第一密文,发送该用户信息的第一密文与第一签名。
603、若上述第一密文和上述第一签名通过服务器的验证,接收上述用户信息的第二密文与第二签名。
举例来说,该服务器将该用户甲的用户信息的第一密文进行解密,得到该用户甲的用户信息,对该用户信息进行验签操作,若验签通过,记录该用户甲的用户信息,将该用户甲的用户信息进行签名得到该用户信息的第二签名,将该用户甲的用户信息进行加密得到该用户信息的第二密文,将该用户信息的第二密文与第二签名通过终端发送给上述安全芯片。
604、若上述第二密文和上述第二签名通过认证,向上述终端发送注册成功信息。
举例来说,安全芯片将接收到的该用户信息的第二密文进行解密,得到该用户信息的明文,将该明文对上述第二签名进行验签,若验签通过,认证流程结束,该安全芯片向上述终端发送注册成功信息,该注册成功信息用于提示用户甲该安全芯片已成功创建用户甲权限管理文件并将上述用户甲的用户信息成功存入。
605、接收登录信息,将上述登录信息与存储的登录信息进行比对。
举例来说,安全芯片接收终端发送的登录信息,该登录信息可以是用户的账号和口令。安全芯片读取遍历文件系统中的用户甲权限管理文件,该用户甲权限管理文件存储用户甲的登录信息,安全芯片将接收到的上述登录信息与存储的用户甲的登录信息进行比对。
606、若比对成功,将用户权限管理文件中上述登录信息对应的用户信息发送给终端的缓存容器。
举例来说,若比对成功,则将用户甲权限管理文件中该登录信息对应的用户甲的用户信息发送给终端的缓存容器,该缓存容器用于在涉及用户甲身份的业务时向用户甲提供用户甲的用户信息。若比对不成功,则接受的登录信息错误,安全芯片拒绝向该终端发送用户信息。该安全芯片记录登录错误信息,该登录错误信息可以是错误登录信息接收的时间、发送该错误登录信息的设备号。
607、接收销户请求。
举例来说,安全芯片接收终端发送的销户请求,该销户请求可以是登录信息和销户信息。
608、将上述登录信息与上述存储的登录信息进行比对,若比对成功,删除上述登录信息对应的上述用户信息。
举例来说,解析上述销户请求,得到登录信息,将该登录信息与安全芯片存储的用户甲的登录信息进行比对,若比对成功,则删除该登录信息对应的用户信息,若比对不成功,则发送该销户请求的用户不具备销户权限,安全芯片拒绝进行销户操作,记录销户错误信息,该销户错误信息可以是用户发送该错误销户信息的时间、发送该错误销户信息的终端的设备号。
609、向上述终端发送提示信息。
举例来说,安全芯片向该终端发送提示信息,该提示信息用于提示该终端删除上述缓存容器。
实施本申请实施例,可以利用安全芯片高强度的物理防护和可靠的加密、签名机制,结合缓存容器对用户信息进行临时存储,最终通过用户输入的账号口令以及缓存容器与安全芯片文件系统的对应关系,确保在口令验证安全之后用户才可以读取、修改用户信息,因此大大提高了用户信息存储及使用的安全性,很好地解决了终端多用户权限管理存在的安全问题。
图7是本申请提出的一种权限管理装置的结构示意图,应用于电子设备,上述装置包括:
第一发送单元701,用于将登录信息发送给安全芯片;
第一接收单元702,用于若上述登录信息通过上述安全芯片的验证,接收上述安全芯片发送的用户信息,上述用户信息存储在上述安全芯片的用户权限管理文件中;
存储单元703,用于将上述用户信息存储在缓存容器中,上述缓存容器用于在涉及用户身份的业务时向用户提供上述用户信息。
如图7所示,上述装置还包括:
第二发送单元704,用于将上述用户信息发送给上述安全芯片;
第二接收单元705,用于接收上述安全芯片发送的上述用户信息的第一密文和第一签名,将上述用户信息的第一密文和上述第一签名发送给服务器;
第三接收单元706,用于若上述第一密文和上述第一签名通过上述服务器的验证,接收上述服务器发送的上述用户信息的第二密文和第二签名,将上述用户信息的第二密文和上述第二签名发送给上述安全芯片,上述验证用于验证上述安全芯片是否为可信芯片;
第四接收单元707,用于若上述第二密文和上述第二签名通过上述安全芯片的认证,接收上述安全芯片发送的注册成功信息。
进一步的,上述装置还包括:
删除单元708,用于当检测到用户退出登录时,删除上述缓存容器。
可理解,图7所示的权限管理装置的具体实现方式还可参考图1、图2和图3所示的方法,这里不再一一详述。
在本申请实施例中,第一发送单元701将登录信息发送给安全芯片;若上述登录信息通过上述安全芯片的验证,第一接收单元702接收上述安全芯片发送的用户信息,上述用户信息存储在上述安全芯片的用户权限管理文件中;存储单元703将上述用户信息存储在缓存容器中,上述缓存容器用于在涉及用户身份的业务时向用户提供上述用户信息。可见,本申请实施例可以利用安全芯片高强度的物理防护和可靠的加密、签名机制,结合缓存容器对用户信息进行临时存储,最终通过用户输入的账号口令以及缓存容器与安全芯片文件系统的对应关系,确保在口令验证安全之后用户才可以读取、修改用户信息,因此大大提高了用户信息存储及使用的安全性,很好地解决了终端多用户权限管理存在的安全问题。
图8是本申请提出的另一种权限管理装置的结构示意图,应用于服务器,上述装置包括:
第一接收单元801,用于接收登录信息,将上述登录信息与存储的登录信息进行比对;
第一发送单元802,用于若比对成功,将用户权限管理文件中上述登录信息对应的用户信息发送给终端的缓存容器,上述缓存容器用于在涉及用户身份的业务时向用户提供上述用户信息。
如图8所示,上述装置还包括:
存储单元803,用于将接收到的上述用户信息存储在上述用户权限管理文件中;
加密单元804,用于将上述用户信息进行签名得到上述用户信息的第一签名,将上述用户信息进行加密得到上述用户信息的第一密文,发送上述用户信息的第一密文与第一签名;
第二接收单元805,用于若上述第一密文和上述第一签名通过服务器的验证,接收上述用户信息的第二密文与第二签名,上述验证用于验证安全芯片是否为可信芯片;
第二发送单元806,用于若上述第二密文和上述第二签名通过认证,向上述终端发送注册成功信息。
进一步的,上述装置还包括:
第三接收单元807,用于接收销户请求,上述销户请求包括上述登录信息;
比对单元808,用于将上述登录信息与上述存储的登录信息进行比对,若比对成功,删除上述登录信息对应的上述用户信息;
第三发送单元809,用于向上述终端发送提示信息,上述提示信息用于提示上述终端删除上述缓存容器。
可理解,图8所示的权限管理装置的具体实现方式还可参考图4、图5和图6所示的方法,这里不再一一详述。
在本申请实施例中,第一接收单元801接收登录信息,将上述登录信息与存储的登录信息进行比对;若比对成功,第一发送单元802将用户权限管理文件中上述登录信息对应的用户信息发送给终端的缓存容器,上述缓存容器用于在涉及用户身份的业务时向用户提供上述用户信息。可见,本申请实施例可以利用安全芯片高强度的物理防护和可靠的加密、签名机制,结合缓存容器对用户信息进行临时存储,最终通过用户输入的账号口令以及缓存容器与安全芯片文件系统的对应关系,确保在口令验证安全之后用户才可以读取、修改用户信息,因此大大提高了用户信息存储及使用的安全性,很好地解决了终端多用户权限管理存在的安全问题。
请参阅图9,图9是本申请实施例提供的一种电子设备的结构示意图,包括:至少一个处理器901,例如中央处理器(centralprocessingunit,cpu),至少一个存储器902,至少一个收发器903和至少一个总线904。其中,上述总线904可以是一组并行的数据线,用于实现上述处理器901、上述存储器902和上述收发器903的相互连接;上述存储器902可以是高速随机存取存储器(randomaccessmemory,ram),也可以是非易失性存储器(non-volatilememory),例如至少一个只读存储器(readonlymemory,rom)。
具体的,上述收发器903将登录信息发送给安全芯片;若上述登录信息通过上述安全芯片的验证,上述收发器903接收上述安全芯片发送的用户信息,上述用户信息存储在上述安全芯片的用户权限管理文件中;上述存储器902将上述用户信息存储在缓存容器中,上述缓存容器用于在涉及用户身份的业务时向用户提供上述用户信息。
进一步的,上述收发器903将上述用户信息发送给上述安全芯片;上述收发器903接收上述安全芯片发送的上述用户信息的第一密文和第一签名,将上述用户信息的第一密文和上述第一签名发送给服务器;若上述第一密文和上述第一签名通过上述服务器的验证,上述收发器903接收上述服务器发送的上述用户信息的第二密文和第二签名,将上述用户信息的第二密文和上述第二签名发送给上述安全芯片,上述验证用于验证上述用户信息的真实性;若上述第二密文和上述第二签名通过上述安全芯片的认证,上述收发器903接收上述安全芯片发送的注册成功信息。
进一步的,上述处理器901当检测到用户退出登录时,删除上述缓存容器。
具体的,上述存储器902中可以存储程序指令,上述处理器901可用于调用程序指令执行图1、图2和图3所示的方法。
请参阅图10,图10是本申请实施例提供的一种服务器的结构示意图,包括:至少一个处理器1001,例如中央处理器(centralprocessingunit,cpu),至少一个存储器1002,至少一个收发器1003和至少一个总线1004。其中,上述总线1004可以是一组并行的数据线,用于实现上述处理器1001、上述存储器1002和上述收发器1003的相互连接;上述存储器1002可以是高速随机存取存储器(randomaccessmemory,ram),也可以是非易失性存储器(non-volatilememory),例如至少一个只读存储器(readonlymemory,rom)。
具体的,上述收发器1003接收登录信息,将上述登录信息与存储的登录信息进行比对;若比对成功,上述收发器1003将用户权限管理文件中上述登录信息对应的用户信息发送给终端的缓存容器,上述缓存容器用于在涉及用户身份的业务时向用户提供上述用户信息。
进一步的,上述存储器1002将接收到的上述用户信息存储在上述用户权限管理文件中;上述处理器1001将上述用户信息进行签名得到上述用户信息的第一签名,将上述用户信息进行加密得到上述用户信息的第一密文,发送上述用户信息的第一密文与第一签名;若上述第一密文和上述第一签名通过服务器的验证,上述收发器1003接收上述用户信息的第二密文与第二签名,上述验证用于验证上述用户信息的真实性;若上述第二密文和上述第二签名通过认证,上述收发器1003向上述终端发送注册成功信息。
进一步的,上述收发器1003接收销户请求,上述销户请求包括上述登录信息;上述处理器1001将上述登录信息与上述存储的登录信息进行比对,若比对成功,删除上述登录信息对应的上述用户信息;上述收发器1003向上述终端发送提示信息,上述提示信息用于提示上述终端删除上述缓存容器。
具体的,上述存储器1002中可以存储程序指令,上述处理器1001可用于调用程序指令执行图4、图5和图6所示的方法。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于计算机可读存储介质中,存储介质包括只读存储器(readonlymemory,rom)、随机存储器(randomaccessmemory,ram)、可编程只读存储器(programmablereadonlymemory,prom)、可擦除可编程只读存储器(erasableprogrammablereadonlymemory,eprom)、一次可编程只读存储器(one-timeprogrammableread-onlymemory,otprom)、电子抹除式可复写只读存储器(electrically-erasableprogrammableread-onlymemory,eeprom)、只读光盘(compactdiscread-onlymemory,cd-rom)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
以上对本申请实施例公开的一种权限管理方法及相关装置进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本申请的限制。