[发明专利]一种设备及其权限控制方法、计算机可读存储介质

说明书

本申请公开了一种设备及其权限控制方法、计算机可读存储介质，所述设备包括第一主控单元和第一安全芯片，所述方法包括：第一主控单元接收权限控制请求，所述权限控制请求包括第一权限公钥和用户权限信息，通过第一权限公钥对用户权限信息进行加密生成密文信息并发送至第一安全芯片；第一安全芯片接收密文信息，使用预存的多个不同用户权限类型的权限私钥逐个对密文信息进行解密，获得密文信息中与所述用户权限类型匹配的用户权限信息，根据用户权限信息打开相应的用户权限。本申请设计了一种带有安全芯片的设备权限控制方案，在整个权限控制过程中安全芯片不直接存储密钥信息且所有信息都是密文传输，满足了当前智能设备的安全需求。

技术领域

本申请涉及但不限于信息安全技术领域，尤其涉及一种设备及其权限控制方法、计算机可读存储介质。

背景技术

随着硬件性能的不断提升，越来越多的智能设备要求做到一机多用或一卡多用。与此同时，用户对智能设备的信息安全的要求也在不断提高。智能设备中的某些特定功能和/或固件升级功能要求只有特定软件或者特定权限才可进行访问或者使用，这就需要对智能设备的安全功能进行权限控制。

权限控制是软件系统中最常见的功能之一，所谓权限控制，一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源，不多不少。权限控制几乎出现在任何系统里面，只要该系统是有用户和密码的系统。

目前的权限控制主要是针对服务器，还没有一种针对带有安全芯片的嵌入式智能设备权限控制的技术方案，且现有的针对服务器的权限控制方案缺乏针对在线(Over TheAir，OTA)/本地升级的权限设计方案。此外，如图1所示，很多系统都是简单的以应用用户信息或者代表用户身份的生物识别信息作为认证信息，并没有对认证信息进行密文处理或实现不可抵赖功能，很容易被截获并且伪造认证信息，进而对嵌入式智能系统的安全性造成威胁。

发明内容

本申请提供了一种设备及其权限控制方法、计算机可读存储介质，能够满足当前嵌入式智能设备的应用安全需求。

本发明实施例提供了一种设备的权限控制方法，所述设备包括第一主控单元和第一安全芯片，所述方法包括：

第一主控单元接收权限控制请求，所述权限控制请求包括第一权限公钥和用户权限信息；

第一主控单元通过第一权限公钥对用户权限信息进行加密生成密文信息，将密文信息发送至第一安全芯片；

第一安全芯片接收第一主控单元发送的密文信息，使用预先存储的多个不同用户权限类型的权限私钥逐个对密文信息进行解密，获得密文信息中与所述用户权限类型匹配的用户权限信息；

第一安全芯片根据获得的用户权限信息打开相应的用户权限。

在一种示例性实施例中，当所述权限控制请求中的用户权限信息为管理员权限，所述权限控制请求为针对所述第一主控单元和/或所述第一安全芯片的固件升级请求时，所述方法还包括：

所述第一主控单元获取待升级的固件代码和第一固件代码摘要信息；

所述第一主控单元使用管理员权限公钥对固件代码进行加密生成第二固件代码摘要信息，根据所述第一固件代码摘要信息与所述第二固件代码摘要信息之间的差异判断固件代码的完整性，如果判断出固件代码完整，则启动所述第一主控单元和/或所述第一安全芯片的固件代码升级过程；

所述第一主控单元在所述固件代码升级过程完成后，删除所述第一权限公钥、所述用户权限信息、所述固件代码以及所述第一固件代码摘要信息。

在一种示例性实施例中，所述设备还包括应用单元，所述权限控制请求中的用户权限信息为普通用户权限，所述权限控制请求为所述应用单元调用所述第一安全芯片的功能请求或所述应用单元的内部功能调用请求。