8.2 權限管理

8.2 權限管理

8.2.1　權限分類

權限分為設備權限，用戶權限和管理員權限。
a) 設備權限：通過設備認證后獲得設備權限。
b) 用戶權限：用戶PIN碼驗證通過后，獲得用戶權限，用戶權限只作用于其所在的應用。

8.2.2　權限使用

權限的使用遵循以下要求：
a) 設備權限僅用于創建應用、刪除應用和修改設備認證密鑰；
b) 創建和刪除容器需要用戶權限；
c) 創建文件的權限在創建應用時指定；
d) 文件的讀寫權限在創建文件時指定；
e) 容器內私鑰的使用需要用戶權限；
f) 用戶PIN碼和管理員PIN碼均具有最大重試次數，在創建應用時設定。當驗證PIN碼錯誤次數達到最大重試次數后，PIN碼即鎖死；
g) 用戶PIN碼的解鎖需要管理員權限；

8.2.3　設備認證

必須通過設備認證后才能在設備內創建和刪除應用。
設備認證使用分組密碼算法和設備認證密鑰進行。認證的流程如下：
a) 被認證方調用SKF_GenRandom函數從設備獲取8字節隨機數RND，并用0x00將其填充至密碼算法的分塊長度，組成數據塊D0；
b) 被認證方對D0加密，得到加密結果D1，并調用SKF_DevAuth()，將D1發送至設備；

8.2.4　PIN碼安全要求

a) PIN碼長度不少于6個字節；
b) PIN碼在設備和本接口之間的傳輸過程中應采取保護措施，防止PIN碼泄露；