一种大屏设备文件/应用加密访问的方法和系统与流程

1.本发明涉及大屏设备信息安全领域技术领域，具体涉及一种大屏设备文件/应用加密访问的方法和系统。


背景技术：

2.电子白板、大屏等大屏设备通常都是在公共环境中使用，由此产生了其文件存储和访问的安全性问题。
3.例如，在会议室中对大屏设备上显示的资料讨论到一半需要休息时，由于该资料保留在大屏设备上，非参会的其他人员进入到会议室内也可以打开看到，做不到信息的保密性和安全性。
4.再有，大屏设备中自带的系统应用对所有操作用户都是可见的，但是对于wifi连接设置和存储设置等这些重要的设置，暴露给所有操作用户，容易导致一些设置错误，从而影响大屏设备的正常使用。
5.针对上述安全性问题，中国发明专利cn108804903a公开了一种文件查看方法和装置及计算机可读存储介质，包括：获取用户的脸部标识；根据所述脸部标识，确定当前用户是否为权限用户；在确定所述当前用户为权限用户的情况下，正常显示文件；在确定所述当前用户不是权限用户的情况下，随机显示非保密文件。该方案，主要应用于手机等私人设备，对于非权限用户(机主本人)，均无法显示保密文件，因此，无法适用于类似大屏等在公共环境中使用的大屏设备。
6.有鉴于此，需要对现有大屏设备文件/应用加密访问的方法进行改进，在保证安全性的同时，提高使用的方便性。


技术实现要素：

7.针对上述缺陷，本发明所要解决的技术问题在于提供一种大屏设备文件/应用加密访问的方法，以解决现有技术文件安全性差和使用不方便的问题。
8.为此，本发明提供的一种大屏设备文件/应用加密访问的方法，包括以下步骤：
9.在云端建立可信用户数据库，所述可信用户数据库包括用户id、用户名、访问权限和验证信息；
10.对大屏设备上的文件或应用设置可以访问的可信用户；
11.发出打开大屏设备上的文件或应用的指令时，触发信息获取装置，通过所述信息获取装置获取用户的身份信息；
12.根据所述身份信息与所述验证信息的匹配结果，获得该用户对所述文件或应用的访问权限，并根据所述访问权限响应所述指令。
13.在上述方法中，优选地，所述信息获取装置为设置在大屏设备上的第一摄像头，
14.所述身份信息为用户的人脸图像，所述验证信息包括用户的人脸特征，通过所述摄像头获取用户的人脸图像；
15.根据所述人脸图像与所述验证信息的匹配结果，获得用户对所述文件或应用的访问权限。
16.在上述方法中，优选地，所述信息获取装置包括：
17.二维码生成器，用于在所述大屏设备上生成一个二维码，所述二维码包含所述文件或应用的属性信息；
18.提取装置，用于根据移动终端对所述二维码的扫码，获得用户扫一扫app的唯一id和所述文件或应用的属性信息；
19.所述验证信息包括用户扫一扫app的唯一id，根据所述app的唯一id与所述验证信息的匹配结果，获得用户对所述文件或应用的访问权限，并根据所述文件或应用的属性信息响应所述指令。
20.在上述方法中，优选地，所述信息获取装置还包括：
21.密码输入装置，用于用户输入密码，根据所述二维码的扫码结果激活；
22.密码接收装置，用于接收用户输入的密码，且与所述验证信息进行匹配；所述验证信息还包括密码。
23.在上述方法中，优选地，所述信息获取装置根据移动终端对所述二维码的扫码与大屏设备建立连接，激活所述移动终端上的第二摄像头，获取用户的人脸图像，所述验证信息还包括用户的人脸特征，根据所述人脸特征与所述验证信息的匹配结果，获得用户对所述文件或应用的属性信息的访问权限。
24.在上述方法中，优选地，通过用户管理模块管理可信用户，并更新所述可信用户数据库。
25.在上述方法中，优选地，通过用户管理模块对可信用户进行分组。
26.在上述方法中，文件退出时，触发可信用户设置，用于设置该文件的可信用户及访问权限；或者，通过右击文件或应用图标，触发可信用户设置，用于设置该文件的可信用户及访问权限。
27.在上述方法中，在云端建立相应文件或应用的访问权限与大屏设备id的关联关系。
28.本发明还提供了一种大屏设备文件/应用加密访问的系统，包括：
29.可信用户数据库，设置在云端，包括用户id、用户名、访问权限和验证信息；
30.信息获取装置，用于在发出打开大屏设备上的文件或应用的指令时，获取用户的身份信息；
31.验证管理模块，设置在云端，用于根据用户的身份信息与验证信息的匹配结果，获得该用户对所述文件或应用的访问权限，并根据所述访问权限响应所述指令。
32.由上述技术方案可知，本发明提供的一种大屏设备文件/应用加密访问的方法和系统，解决了现有技术中大屏设备上的文件和应用使用安全性的问题。与现有技术相比，本发明具有以下有益效果：
33.通过对大屏设备上的文件或应用设定可信用户访问权限，使得只有可信用户才能打开，提高了安全性。并且，可信用户数据库设置在云端而不是设置在每一台大屏设备上，任何一台大屏设备都可以进行可信验证，简化了多台设备的管理。另外，大屏设备上的文件或应用可以针对多个不同的用户设定不同的权限，解决了现有技术除机主本人之外，其他
用户均不具有对特加密文件的访问权限的问题。
附图说明
34.为了更清楚地说明本发明的实施例或现有技术中的技术方案，下面将对本发明实施例或现有技术描述中所需要使用的附图做出简单地介绍和说明。显而易见地，下面描述中的附图仅仅是本发明的部分实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
35.图1为本发明具体实施例1提供的一种大屏设备文件/应用加密访问的方法流程图；
36.图2为本发明中大屏设备文件/应用加密访问的系统示意图。
具体实施方式
37.下面将结合本发明实施例附图，对本发明实施例的技术方案进行清楚、完整地描述，显然，以下所描述的实施例，仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动的前提下，所获得的所有其他实施例，都属于本发明保护的范围。
38.本发明的实现原理是：
39.在云端建立可信用户数据库，所述可信用户数据库包括用户id、用户名、对应的权限和验证信息；
40.对大屏设备上的文件或应用设置可以访问的可信用户；
41.打开大屏设备上的文件或应用时，触发信息获取装置，通过所述信息获取装置获取用户的身份信息；
42.根据所述身份信息与所述验证信息的匹配结果，获得该用户对所述文件或应用的访问权限。
43.本发明提供的方案，能够实现对现有大屏设备文件/应用加密访问，在保证安全性的同时，实现了多文件、多用户、多设备管理，提高了使用的方便性。
44.为了对本发明的技术方案和实现方式做出更清楚地解释和说明，以下介绍实现本发明技术方案的几个优选的具体实施例。
45.需要说明的是，本文中“内、外”、“前、后”及“左、右”等方位词是以产品使用状态为基准对象进行的表述，显然，相应方位词的使用对本方案的保护范围并非构成限制。
46.具体实施例1。
47.本具体实施例1提供的方案，利用大屏设备上的摄像头识别用户的人脸特征，并与在云端建立的可信用户数据库进行匹配，以实现对大屏设备上的文件或应用的加密访问。
48.请参见图1，图1为本发明具体实施例1提供的一种大屏设备文件/应用加密访问的方法流程图，该方法包括以下步骤：
49.步骤110，在云端建立可信用户数据库，可信用户数据库包括用户id、用户名、文件或应用的访问权限和验证信息。其中，验证信息为用户的人脸特征。
50.步骤120，通过用户管理模块设置和管理可信用户，并更新可信用户数据库，对大屏设备上的文件或应用设置可以访问的可信用户。
51.可以在文件退出时，触发可信用户设置，设置该文件的可信用户及访问权限；或者，通过右击文件或应用图标，触发可信用户设置，用于设置该文件的可信用户及访问权限。
52.步骤130，用户发出打开大屏设备上的文件或应用的指令时，触发信息获取装置，通过信息获取装置获取用户的身份信息。
53.具体地说，当用户通过指令打开大屏设备上的文件或应用时，触发信息获取装置，信息获取装置启动后，会自动打开大屏设备上的第一摄像头，通过第一摄像头获取当前用户的人脸图像，该人脸图像即为用户的身份信息。
54.步骤140，根据用户的身份信息与可信用户数据库中的验证信息的匹配结果，获得该用户对相应文件或应用的访问权限，并根据访问权限响应用户的指令，打开或拒绝打开相应的文件或应用。
55.在该步骤中，如果在一定时间未检测到人脸或者在可信用户数据库中没有匹配到该用户，则说明该用户不具有访问当前文件或应用的权限，大屏设备会根据此结果发出控制指令，使得该文件或应用禁止打开。
56.如果在可信用户数据库中匹配到该用户，则根据该用户的用户id，查询得到该用户的权限，大屏设备根据相应的权限发送控制指令，赋予该文件或应用相应的权限。例如：如果用户的权限是完全权限，则完全可以对该文件或应用进行任意操作；如果用户的权限是读取权限，则只能阅读文件；而如果用户的权限是写入权限，则可以修改文件或对应用进行设置。
57.本具体实施例提供的方案，通过大屏设备上的第一摄像头识别人脸图像，方便、快捷，并且安全性高。
58.另外，本具体实施例提供的方案，还可以绑定大屏设备id，使得相应的文件只能在该特定的大屏设备上打开，以进一步提高安全性。具体作法是，在对文件或应用设置可信用户时，同时将文件或应用的属性信息与大屏设备相关联，并保存在可信用户数据库中。
59.具体实施例2。
60.本发明具体实施例2是在具体实施例1的基础上所做出的进一步改进，用于大屏设备上没有摄像头时的应用场景，或者实现双重验证。具体步骤如下：
61.步骤210，在云端建立可信用户数据库，可信用户数据库包括用户id、用户名、文件或应用的访问权限和验证信息。其中，验证信息为用户名，可以使用用户手机等移动终端上的扫一扫app的唯一id，例如使用微信扫一扫，则用户名为用户微信的openid。
62.步骤220，通过用户管理模块设置和管理可信用户，并更新可信用户数据库，对大屏设备上的文件或应用设置可以访问的可信用户。
63.步骤230，用户发出打开大屏设备上的文件或应用的指令时，触发信息获取装置，通过信息获取装置获取用户的身份信息。
64.具体地说，当用户发出打开大屏设备上的文件或应用的指令时，触发信息获取装置，信息获取装置启动后，会启动大屏设备上的二维码生成器，生成一个二维码，显示在大屏设备的屏幕上。该二维码包含有文件或应用的属性信息，例如文件名、存储路径等，因此，不同的文件或应用会生成不同的二维码，由此方便地实现了对大屏设备上多个文件的管理。
65.二维码中还可以包含当前时间和访问有效期(在设定可信用户时设定)，进一步提高了文件或应用访问的安全性和灵活性。
66.用户利用手机等移动终端的扫一扫app功能，扫描该二维码并授权，同时获得该文件或应用的属性信息。
67.于是大屏设备就获取到了该用户扫一扫app的唯一id，例如使用微信扫一扫，则获得用户的微信openid。
68.步骤240，大屏设备将用户的微信openid发送到云端，与可信用户数据库进行匹配，获得该用户对该文件或应用的访问权限以及属性信息，并根据访问权限响应用户的指令和文件或应用的属性信息，打开或拒绝打开相应的文件或应用。
69.在该步骤中，如果在一定时间未检测到人脸或者在可信用户数据库中没有匹配到该用户，则说明该用户不具有访问当前文件或应用的权限，大屏设备会根据此结果发出控制指令，使得该文件或应用禁止打开。
70.如果在可信用户数据库中匹配到该用户，则根据该用户的用户id，查询得到该用户的权限，大屏设备根据相应的权限发送控制指令，赋予该文件或应用相应的权限。例如：如果用户的权限是完全权限，则完全可以对该文件或应用进行任意操作；如果用户的权限是读取权限，则只能阅读文件；而如果用户的权限是写入权限，则可以修改文件或对应用进行设置。
71.本具体实施例2可以与具体实施例1结合使用，以进一步提高全安性，例如：先进行扫一扫验证，然后再进行人脸验证；或者，先进行人脸验证，然后再进行扫一扫验证。
72.在上述方法中，还可以包括密码验证的步骤。
73.具体地，如果在可信用户数据库中匹配到该用户，则在大屏设备上弹出输入密码窗口，用户利用遥控器或触摸输入等方式输入密码(密码为用户预先设定，并保存在云端的可信用户数据库中)。
74.验证管理模块验证用户输入的密码是否正确，如果不正确，则大屏设备会根据此结果发出控制指令，使得该文件或应用禁止打开。
75.如果密码正确，则根据该用户的用户id，查询得到该用户的权限，查询得到该用户的权限，大屏设备根据相应的权限发送控制指令，赋予该文件或应用相应的访问权限。
76.具体实施例3。
77.本发明具体实施例3是在具体实施例2的基础上所做出的进一步改进，用于在大屏设备上没有摄像头时，使用用户的移动终端上的第二摄像头进行人脸验证的应用场景。具体步骤如下：
78.步骤310，在云端建立可信用户数据库，可信用户数据库包括用户id、用户名、文件或应用的访问权限和验证信息。其中，验证信息为用户的人脸特征。
79.步骤320，通过用户管理模块设置和管理可信用户，并更新可信用户数据库，对大屏设备上的文件或应用设置可以访问的可信用户。
80.步骤330，用户打开大屏设备上的文件或应用时，触发信息获取装置，通过信息获取装置获取用户的身份信息。
81.具体地说，当用户发出打开大屏设备上的文件或应用的指令时，触发信息获取装置，信息获取装置启动后，会启动大屏设备上的二维码生成器，生成一个二维码，显示在大
屏设备的屏幕上。
82.用户利用手机等移动终端的扫一扫app功能，扫描该二维码，从而与大屏设备建立无线连接。
83.然后，大屏设备上的信息获取装置向用户手机等移动终端发送控制信号，打开移动终端的第二摄像头，通过第二摄像头获取当前用户的人脸图像。由于，微信、钉钉等多种app都具有打开摄像头的功能，因此，本技术中可以使用类似camera v2的api实现移动终端打开摄像头。
84.步骤340，根据用户的身份信息与可信用户数据库中的验证信息的匹配结果，获得该用户获对文件或应用的访问权限，并根据访问权限响应用户的指令。
85.在该步骤中，如果在一定时间未检测到人脸或者在可信用户数据库中没有匹配到该用户，则说明该用户不具有访问当前文件或应用的权限，大屏设备会根据此结果发出控制指令，使得该文件或应用禁止打开。
86.如果在可信用户数据库中匹配到该用户，则根据该用户的用户id，查询得到该用户的权限，大屏设备根据相应的权限发送控制指令，赋予该文件或应用相应的权限。例如：如果用户的权限是完全权限，则完全可以对该文件或应用进行任意操作；如果用户的权限是读取权限，则只能阅读文件；而如果用户的权限是写入权限，则可以修改文件或对应用进行设置。
87.具体实施例4。
88.大屏设备上的文件大多是存储在网络中，传统的作法，在一台大屏设备上设置了权限后，相当于是对网络上的文件进行了权限设置，这样一来，该文件在其他的大屏设备上同样需要相应的权限才能打开，灵活性较差。
89.本具体实施例4是在上述具体实施例的基础上所做出的进一步改进，设置文件或应用的访问权限时，在云端建立相应文件或应用的访问权限与当前大屏设备id的关联关系。因此，只有在该大屏设备上访问该文件时，才会触发可信用户验证，不影响该文件在其他设备上正常访问(例如文件存储在网络设备上或u盘上)。
90.具体地，文件与当前大屏设备id的关联关系包括：大屏设备id、该文件的文件名和完整路径以及可信用户及其权限。
91.在上述方法中，可以通过用户管理模块对可信用户进行分组，以实现对用户权限的批量管理，方便管理用户。
92.以上具体实施例中，可信数据库中的验证信息可以包括上述所有的验证信息，例如：人脸特征、微信号、密码和指纹等，在使用时根据情况进行单一匹配，或者多重匹配。
93.本发明方案中，通过用户管理系统进行用户管理，用户可以通过扫码加入，通过管理员管理可信用户，对可信用户的权限进行管理，例如需要密码、微信可信账号认证、可信人脸认证等，增加权限或者更改权限，并更新可信用户数据库。
94.在上述方法的基础上，本发明还提供了一种大屏设备文件/应用加密访问的系统，如图2所示，本发明提供的大屏设备文件/应用加密访问的系统，包括可信用户数据库10、信息获取装置20和验证管理模块30。
95.可信用户数据库10设置在云端，包括用户id、用户名、文件或应用的访问权限和验证信息，其中验证信息可以包括人脸特征、微信号以及密码和指纹等。另外，可信用户数据
库10还可以包括大屏设备id号与文件或应用的对应关系。
96.信息获取装置20，用于获取用户的身份信息。
97.信息获取装置20可以包括设置在大屏设备40上的第一摄像头，用于获取用户的人脸图像。
98.信息获取装置20也可以包括设置在大屏设备40上的二维码生成器和提取装置，二维码生成器用于生成一个二维码，提取装置用于根据对二维码的扫码，获得用户扫一扫app的唯一id。该二维码包含有文件或应用的属性信息。
99.信息获取装置20还可以包括密码输入装置和密码接收装置，密码输入装置用于用户输入密码，并根据扫码成功结果激活，密码接收装置用于接收用户输入的密码，并发送给验证管理模块30。
100.信息获取装置20还可以根据二维码的扫码与大屏设备建立连接，激活用户移动终端上的第二摄像头，通过用户移动终端上的第二摄像头获取用户的人脸图像，并发送给大屏设备，大屏设备再发送给云端验证模块进行验证。
101.验证管理模块30设置在云端，用于根据用户的身份信息与验证信息的匹配结果，获得用户对该文件或应用的访问权限，并根据访问权限响应用户的指令。
102.上述装置和模块的功能在前述方法中已有详细的介绍，在此不再赘述。
103.综合以上具体实施例的描述，本发明提供的一种大屏设备文件/应用加密访问的方法和系统，与现有技术相比，具有如下优点：
104.首先，可信用户数据库设置在云端而不是设置在每一台大屏设备上，任何一台大屏设备都可以进行可信验证，在安全方面得到加强，加强了大屏设备上的文件保护，防止意外的泄露；在管理方面，简化了多台设备的管理。
105.第二、通过触发信息获取装置，获取用户的身份信息，可以是人脸识别，可以是扫描二维码，可以是密码，也可以调用用户手机等移动终端上的摄像头进行获取，使用方式灵活。
106.第三、可以绑定大屏设备id，使得相应的文件只能在该特定的大屏设备上打开，以进一步提高安全性。
107.第四，设置文件或应用的访问权限时，在云端建立相应文件或应用的访问权限与当前大屏设备id的关联关系。只有在该大屏设备上访问该文件时，才会触发可信用户验证，不影响该文件在其他设备上正常访问，灵活性高。
108.第五，设置文件或应用的访问权限时，在云端建立相应文件或应用的访问权限与文件名和保存路径的关联关系。这样，该文件加密一次，就可以在任何一台大屏设备上应用，也就是说，例如文件存储在u盘内，在一台大屏设置上对该u盘内的某个文件设定可信用户访问权限之后，即使将该u盘插入到其他的大屏设备上，该文件仍然只有可信用户才能访问，方便了对加密文件的管理。
109.最后，还需要说明的是，在本文中使用的术语"包括"、"包含"或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句"包括一个
…
"限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
110.本发明并不局限于上述最佳实施方式，任何人应该得知在本发明的启示下做出的结构变化，凡是与本发明具有相同或相近的技术方案，均落入本发明的保护范围之内。