[发明专利]一种基于RBAC的密码机及访问控制方法

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种基于RBAC的密码机及访问控制方法。

背景技术

密码机已经广泛应用于金融、军队、政务等重要的领域中，密码机对传输的数据提供加解密服务，以保证数据的安全性。但是，密码机面临机密性、完整性的威胁。

机密性的威胁是通过密码机直接获得用户存储的数据，可能是非法用户突破或者绕过身份认证机制获取数据的访问权限；也可能使合法用户通过某种手段访问或者获取不属于其的数据。

完整性的威胁是用户所有者授权对数据的篡改，所带来的后果是用户数据被非法执行创建、修改等改变数据内容的操作。

发明内容

为解决上述技术问题，本发明提出了一种基于RBCA(Role-Based Access Control，基于角色的访问控制)的访问控制机制。

第一方面，本发明提供一种基于RBAC的密码机，包括身份录入模块、身份认证模块、权限控制模块、密码模块、数据存储模块；身份录入模块完成用户基本信息的录入；身份认证模块用于对用户的登录进行验证；权限控制模块对不同用户进行授权管理；密码模块完成数据加解密处理；存储模块负责存储加密后的数据。

进一步的，在用户注册时，用户输入个人基本信息PI，并录入用户的身份认证信息，用户基本信息加密存储在密码机中，用户通过注册时录入的身份认证信息进行密码机登录。

进一步的，用户经过身份认证登录密码机后，权限控制模块读取用户的基本信息PI，并根据密码机的角色表、角色-权限映射表为其分配相应的角色，用户根据对应的角色获取对应权限的数据加密算法和工作密钥，对数据存储模块存储的数据进行访问和存储。

进一步的，安全管理人员对角色、角色-权限映射表进行设定；用户管理员对用户与角色之间的映射进行设定，并导入用户的基本信息PI。

进一步的，用户登录密码机后，用户注册时输入的个人基本信息与用户管理员导入的用户基本信息的核心数据进行比对，若比对成功，根据用户与角色的映射表为用户分配对应的角色，否则，为此用户分配最少权限的角色。

进一步的，工作密钥通过角色ID、随机数与密钥分量通过函数变换生成。

第二方面，本发明提供一种基于RBAC的密码机访问控制方法，包括以下步骤：

SS1：用户通过身份认证信息进行密码机登录；

SS2：用户登录后，用户注册时输入的个人基本信息与用户管理员导入的用户基本信息的核心数据进行比对，若比对成功，根据用户与角色的映射表为用户分配对应的角色，否则，为此用户分配最少权限的角色；

SS3：根据角色-权限关系表，为用户分配相应的角色；

SS4：用户根据对应的角色获取对应权限的数据加密算法和工作密钥，对数据存储模块存储的数据进行访问和存储。

进一步的，步骤SS1中的身份认证信息由用户注册时录入，同时注册时用户输入个人基本信息PI，用户基本信息加密存储在密码机中。

进一步的，安全管理人员对角色、角色-权限映射表进行设定。

进一步的，用户管理员对用户与角色之间的映射进行设定，并导入用户的基本信息PI。

通过本发明的技术方案可以保证密码机中存储数据的机密性与安全性，防止密码机中存储的数据被合法用户越权限操作，对密码机所保护的数据进行权限控制。

附图说明

图1示出本发明基于RBAC的密码机结构框图。

图2示出本发明权限管理模型图。

图3示出本发明基于RBAC的密码机访问控制方法流程图。

具体实施方式

以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明公开了一种基于RBCA(Role-Based Access Control，基于角色的访问控制)的访问控制机制，通过用户与权限的逻辑分离、权限与数据加密算法和工作密钥绑定的方式，使得合法用户根据密码机的角色配置对密码机所存储的数据进行数据访问和操作。

图1示出本发明基于RBAC的密码机结构框图。

如图1所示，基于RBAC的密码机包括身份录入模块、身份认证模块、权限控制模块、密码模块、数据存储模块；身份录入模块完成用户基本信息的录入；身份认证模块用于对用户的登录进行验证；权限控制模块对不同用户进行授权管理；密码模块完成数据加解密处理；存储模块负责存储加密后的数据。