具有軟件保護功能的信息安全設備及其認證方法
【技術領域】
[0001]本發(fā)明涉及信息安全設備,特別涉及一種具有軟件保護功能的信息安全設備及通過具有軟件保護功能的信息安全設備執(zhí)行的認證方法���。
【背景技術】
[0002]如今在很多生產管理���、研發(fā)、測試環(huán)節(jié)中都會涉及數據文件保護���,以防止重要文件泄密���。其中,使用硬件類型的加密設備如USBKey�����、加密鎖等成為常見的保護方法。
[0003]在硬件加密設備的使用過程中����,可能會涉及到不同層級的使用人員擁有不同級別的使用權限。使用權限越高�,加密文件瀏覽范圍越廣或者硬件設備可以使用的功能越多。例如��,使用硬件加密設備時���,低級別使用權限人員使用的設備功能是某些單一的功能或只能用來讀取保密等級較低的文件�,當他們在軟件����、系統(tǒng)或裝置的測試、開發(fā)��、管理和使用過程中需要短暫的使用更多的設備功能或者閱讀更高保密級別的加密文件時���,就需要高級別使用權限的管理人員輸入對應權限的密鑰或輸入解鎖密鑰來解開限制�。
[0004]這樣雖然可以使安全性提高��,但是同時造成一個問題:當某個操作過程中有多個權限較低的工作人員需要頻繁使用高級別權限時����,相應高級別人員就需要浪費大量的時間進行密鑰輸入和授權���,同時低級別工作人員也會浪費很多時間等待授權����。
【發(fā)明內容】
[0005]有鑒于此,本發(fā)明旨在提供一種能夠快捷地獲得授權的信息安全設備及其認證方法��,在實現(xiàn)信息安全設備的軟件保護功能的同時便于管理人員對使用人員操作權限的控制����。
[0006]本發(fā)明提供的具有軟件保護功能的信息安全設備包括:存儲單元,其存儲對應于預定權限等級的第一密鑰���;認證單元��,其配置為根據存儲單元中的第一密鑰�,對使用者要進行的操作進行認證�����;NFC通信單元���,其配置為當使用者要進行的操作所要求的權限等級高于所述預定權限等級時����,根據使用者的指令,從特定NFC設備接收對應于該較高權限等級的第二密鑰或向特定NFC設備發(fā)送權限請求����。其中,所述認證單元還配置為:根據所述第二密鑰�����,對使用者要進行的要求該較高權限等級的操作進行認證��;或者根據已由該特定NFC設備側響應于所述權限請求而調整了權限等級的所述第一密鑰�,對所述信息安全設備的使用者要進行的要求該較高權限等級的操作進行認證。
[0007]在本發(fā)明提供的通過具有軟件保護功能的信息安全設備執(zhí)行的認證方法中���,在所述信息安全設備中設置有NFC通信單元�,所述認證方法包括:通過所述信息安全設備對使用者要進行的操作進行認證���,所述信息安全設備中存儲有對應于預定權限等級的第一密鑰����;當使用者要進行的操作所要求的權限等級高于所述預定權限等級時,根據使用者的指令�����,通過所述NFC通信單元從特定NFC設備接收對應于該較高權限等級的第二密鑰或向特定NFC設備發(fā)送權限請求����;利用所述第二密鑰�����、通過所述信息安全設備對使用者要進行的要求該較高權限等級的操作進行認證�����,或者根據已由該特定NFC設備側響應于所述權限請求而調整了權限等級的所述第一密鑰����,通過所述信息安全設備對使用者要進行的要求該較高權限等級的操作進行認證。
[0008]本發(fā)明的信息安全設備及其認證方法����,能夠在實現(xiàn)信息安全設備對軟件的保護功能的同時,通過刷卡式的數據傳輸�,方便快捷地實現(xiàn)管理人員對使用人員使用信息安全設備的操作權限的管理控制�。
【附圖說明】
[0009]圖1為本發(fā)明的具有軟件保護功能的信息安全設備的一個實施例的結構示意圖����;
[0010]圖2為本發(fā)明的通過具有軟件保護功能的信息安全設備執(zhí)行的認證方法的一個實施例的流程圖。
【具體實施方式】
[0011]下面結合附圖對本發(fā)明的具體實施例進行詳細說明�����。
[0012]本發(fā)明的信息安全設備可以為例如USBKey的硬件加密設備�。使用者可用該信息安全設備來解密一些相應權限等級的加密文件以便進行瀏覽、對特定文件進行加密操作等�。使用者的權限決定了他能使用該信息安全設備的多少功能,權限較低時可能只能使用信息安全設備的單一功能��。
[0013]圖1為本發(fā)明的具有軟件保護功能的信息安全設備的一個實施例的結構示意圖���。
[0014]如圖1所示�,本實施例的信息安全設備具有存儲單元�、認證單元和NFC通信單元,其中��,存儲單元中預先存儲了對應于預定權限等級的第一密鑰��。
[0015]認證單元可根據存儲單元中存儲的該第一密鑰����,對使用者要進行的操作進行認證���。如果使用者進行的操作符合其自身的權限等級,則能夠順利通過認證���。
[0016]如果使用者要進行的操作所要求的權限等級高于其自身的預定權限等級�,則NFC通信單元可在使用者的指令下從特定NFC設備處接收對應于該較高權限等級的第二密鑰�����,以便認證單元能夠根據該第二密鑰對使用者要進行的要求該較高權限等級的操作進行認證��。
[0017]作為可選方案�����,當使用者要進行的操作所要求的權限等級高于其自身的預定權限等級時��,NFC通信單元還可以在使用者的指令下向上述特定NFC設備發(fā)送權限請求�。隨后該特定NFC設備側(可以是該NFC設備���,也可以是使用該NFC設備的管理人員)在收到權限請求后���,在密鑰管理系統(tǒng)中調整分配給使用者的第一密鑰的權限等級���,使得經調整的第一密鑰具有與使用者要進行的操作對應的權限等級。權限調整處理之后�,使用者的信息安全設備即可以根據該經過調整權限等級的第一密鑰,對使用者要進行的要求上述較高權限等級的操作進行認證����,以允許使用者進行該要求較高權限等級的操作。
[0018]通過本發(fā)明的信息安全設備�����,能夠在實現(xiàn)信息安全設備對軟件的保護功能的同時���,通過刷卡式的數據傳輸���,方便快捷地實現(xiàn)管理人員對使用人員使用信息安全設備的操作權限的管理控制。
[0019]例如���,在本發(fā)明的一個實施例中�,當該信息安全設備的使用者要瀏覽加密文件時,則認證單元可根據第一密鑰對使用者瀏覽該加密文件的操作進行認證�,具體為認證單元用第一密鑰來對該加密文件進行解密,如果使用者所要瀏覽的加密文件所要求的權限等級與使用者自身的權限等級相符��,則認證單元能夠對該加密文件順利解密���,從而使用者能夠瀏覽該加密文件�����;而如果該加密文件所要求的權限等級高于使用者自身的權限等級�,則認證單元無法用第一密鑰來解密該加密文件�����,從而使用者無法瀏覽該加密文件�。
[0020]當使用者要進行的瀏覽文件的操作所要求的權限等級高于使用者自身的權限等級時��,使用者可向擁有高級權限的管理人員提出瀏覽更高安全級別的加密文件的申請��,管理人員同意授權時���,使用者啟動信息安全設備的NFC通信單元��,該管理人員也啟動自己的NFC設備����,通過兩者之間的NFC通信,將對應于較高權限等級的第二密鑰從管理人員的NFC設備傳輸到使用者的信息安全設備中����。
[0021]獲得第二密鑰后,使用者可再次進行瀏覽上述要求高級權限的加密文件的操作���。認證單元可根據第二密鑰對使用者瀏覽該要求高級權限的加密文件的操作進行認證�,具體為認證單元用第二密鑰來對該加密文件進行解密��,從而使用者能夠瀏覽該加密文件��。
[0022]作為可選方案���,當使用者要瀏覽的加密文件所要求的權限等級高于使用者自身的權限等級時���,使用者還可以利用信息安全設備中的NFC通信單元向管理人員的上述特定NFC設備發(fā)送權限請求,權限請求中可包括信息安全設備的存儲單元中存儲的第一密鑰���。在該特定NFC設備收到權限請求后���,由該特定NFC設備或者使用該特定NFC設備的管理人員在密鑰管理系統(tǒng)中調整分配給使用者的第一密鑰的權限等級���,使得經調整的第一密鑰具有與使用者要瀏覽的加密文件對應的權限等級。之后���,使用者的信息安全設備中的認證單元即可以根據該經過調整權限等級的第一密鑰��,對使用者瀏覽上述要求較高權限等級的加密文件的操作進行認證�,具體為認證單元用第一密鑰來對該加密文件進行解密����,從而使用者能夠瀏覽該加密文件。
[0023]在本發(fā)明的另一個實施例中���,當該信息安全設備的使用者要使用信息安全設備的特定功能時���,認證單元可根據第一密鑰對使用者使用信息安全設備特定功能的操作進行認證,具體為認證單元確認第一密鑰對應的權限等級(也就是使用者自身的權限等級)是否允許使用信息安全設備的該特定功能�����。如果使用者所要使用的該特定功能所要求的權限等級與使用者自身的權限等級相符��,則認證單元使得該特定功能對使用者開放�����,從而使用者能夠使用信息安全設備的該特定功能��;而如果該特定功能所要求的權限等級高于使用者自身的權限等級���,則認證單元鎖定該特定功能���,從而使用者無法使用信息安全設備的該特定功能。
[0024]當使用者使用信息安全設備特定功能的操作所要求的權限等級高于使用者自身的權限等級時�,使用者可向擁有高級權限的管理人員提出使用該具有更高權限等級要求的特定功能的申請,管理人員同意授權時���,使用者啟動信息安全設備的NFC通信單元�����,該管理人員也啟動自己的NFC設備�����,通過兩者之間的NFC通信�,將對應于較高權限等級的第二密鑰從管理人員的NFC設備傳輸到使用者的信息安全設備中。
[0025]獲得第二密鑰后��,使用者可再次嘗試啟動信息安全設備的上述要求高級權限的特定功能���。認證單元可根據第二密鑰對使用者啟動該要求高級權限的特定功能的操作進行認證�,具體為認證單元確認第二密鑰對應的權限等級允許使用信息安全設備的該特定功能�����,因此認證單元使得該特定功能對使用者開放��,從而使用者能夠使用信息安全設備的該特定功能�����。
[0026]在本發(fā)明的一個實施例中�����,管理人員的該NFC設備可以是RFID卡��、NFC手環(huán)���、或手機之類具有NFC功能的便攜式移動通信設備���,以便于實現(xiàn)刷卡式的授權控制。
[0027]在本發(fā)明另一個實施例中�,管理者通過NFC設備傳輸給使用者的信息安全設備的第二密鑰可以是具有一定有效時限的臨時密鑰。該臨時密鑰可以存儲在信息安全設備的存儲單元中�����。該有效時限可以是例如I小時�����、3小時或I天等��。使用者在獲得第二密鑰后每次瀏覽高級別加密文件或啟動信息安全設備的要求高級別權限的特定功能時��,認證單元會根據第二密鑰對使用者的操作進行認證�,如果第二密鑰還在有效時限之內,則允許使用者瀏覽該加密文件或啟動信息安全設備的特定功能����;如果認證單元確認第二密鑰已失效,則禁止使用者瀏覽該加密文件或啟動信息安全設備的特定功能�����。通過本實施例,管理人員能夠對使用者的操作權限進行彈性管理�����,并且免去了使用者每次操作都需要尋求管理人員授權的繁