CN101588352B - 一种确保操作环境安全的方法及系统 - Google Patents
一种确保操作环境安全的方法及系统 Download PDFInfo
- Publication number
- CN101588352B CN101588352B CN2008101121756A CN200810112175A CN101588352B CN 101588352 B CN101588352 B CN 101588352B CN 2008101121756 A CN2008101121756 A CN 2008101121756A CN 200810112175 A CN200810112175 A CN 200810112175A CN 101588352 B CN101588352 B CN 101588352B
- Authority
- CN
- China
- Prior art keywords
- limited users
- intelligent key
- key apparatus
- server
- server end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种确保操作环境安全的方法及系统,确保计算机的安全登录和使用,属于信息安全领域。所述方法包括:在受限用户在本地机端使用智能密钥装置安全访问远端服务器,同时非受限用户使用智能密钥装置安全实现开机登录和使用服务器。所述系统包括:服务器端、客户端、服务器端智能密钥装置、客户端智能密钥装置。使用本发明提供的方法及系统可以在服务器及客户端同均实现开机保护,可以防止非法用户利用其他智能密钥装置进行登录,确保计算机操作过程及访问服务器过程中的安全性,极大地提高了智能密钥装置的使用灵活性和易用性。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种利用智能密钥装置确保操作环境安全的方法及系统。
背景技术
随着计算机科学的高速发展,计算机技术已逐渐渗入到人们生活的各个领域,并发挥着重要的作用。然而计算机系统本身的不安全性,如网络缺乏安全保障、软件设计的不周全性、硬件的脆弱性、系统的开放性与安全性的矛盾和人为的攻击破坏,如病毒的侵扰、黑客、计算机犯罪等以及安全管理制度的不完善都潜伏很多安全隐患,严重时可导致系统瘫痪,影响人们的日常工作,给个人或社会造成巨大的经济损失和不良的社会影响。
智能密钥装置是一种带有处理器和存储器的小型硬件装置,它可通过计算机的数据通讯接口与计算机连接。智能密钥装置采用PIN码验证用户身份的合法性,在进行身份认证时将智能密钥装置与计算机相连,用户在计算机上输入PIN码,智能密钥装置会自动校验该PIN码的正确性,只有当用户输入的PIN码正确时,才允许用户操作智能密钥装置。智能密钥装置还具有密钥生成功能,并可安全存储密钥和预置加密算法。智能密钥装置与密钥相关的运算完全在装置内部运行,且智能密钥装置具有物理抗攻击的特性,安全性极高,由于智能密钥装置具有高安全的特性,所以很多要求安全性较高的领域都采用智能密钥装置进行身份认证,以保证计算机操作过程及网络通信过程中的安全性。
现有技术中,防止计算机使用过程中不安全性的方法通常有密码验证方法和信息安全设备的双因子验证方法,如智能卡、智能密码锁、Token等。然而,在计算机的使用过程中,这两种方法也存在着一定的缺点:首先,非法分子容易通过不正当渠道盗取合法用户的静态密码,并非法登录计算机系统或访问服务器下载所需的文件信息;其次,由于用户在合法登录计算机后,可以通过注册硬件来登录当前计算机或访问服务器,这就将导致服务器端不受限用户无法有效地管理每一台计算机;另外,服务器端的不受限用户在登录服务器时通常是不经过信息安全设备实现身份认证的,这也将在一定程度上给计算机网络系统的安全性带来某些安全隐患;最后,在现有技术中,智能密钥装置或一次性密码生成装置主要通过串口或USB接口与计算机建立连接,以实现数据的通信,目前尚未有一种既具有动态密码生成功能,同时又能够应用于无线系统环境中的信息安全设备,这就导致确保计算机安全登录及远程访问的硬件设备在应用领域方面存在着一定的局限性。
发明内容
鉴于现有技术的不足,本发明提供了一种实现安全登录和访问的方法及系统,确保计算机的安全登录和使用,以及在使用过程中安全访问服务器,同时服务器端也可通过本发明安全方便地实现开机登录和使用,本发明还将无线通信技术融入系统中,扩大了智能密钥装置的应用范围。为此,本发明采用如下技术方案:
一种确保操作环境安全的方法,其特征在于,包括如下步骤:
步骤A:初始化智能密钥装置,分别向其中存入服务器端初始化信息、用户初始化信息;
步骤B:在所述服务器端安装安全程序,并注册所述智能密钥装置的信息;
步骤C:将所述智能密钥装置分别发给不受限用户和受限用户;
步骤D:所述不受限用户使用存有不受限用户凭证的智能密钥装置登录服务器;
步骤E:所述受限用户使用存有受限用户凭证的智能密钥装置在本地机端远程登录所述服务器,完成访问请求。
在本发明中,所述智能密钥装置包括提供给所述不受限用户的智能密钥装置和提供给所述受限用户的智能密钥装置,在初始化过程中,向提供给服务器端的智能密钥装置中写入不受限用户凭证,向提供给受限用户的智能密钥装置中写入受限用户凭证。
在本发明中,所述不受限用户为使用所述服务器端智能密钥装置的用户,所述受限用户为使用所述本地机端智能密钥装置的用户。
在本发明中,所述凭证包括:数字证书、智能密钥装置硬件序列号、用户生物特征、用户自定义标识、一次性密码,以及上述凭证中任意一种或多种的组合。
所述用户生物特征包括指纹、虹膜、视网膜、语音,所述用户自定义标识包括静态密码、用户ID号。
在本发明步骤B中,所述安全程序为预先编写并存储在所述智能密钥装置中的程序。
在本发明中,所述安全程序用于实现所述不受限用户安全登录所述服务器端、所述受限用户安全登录所述本地机端。
在本发明中,注册所述智能密钥装置的信息具体包括:将提供给所述受限用户的智能密钥装置中的信息存入所述服务器。
在本发明中,登录所述服务器的过程具体包括:所述不受限用户利用所述用于服务器端的智能密钥装置提供的开机保护系统软件登录本地机。
在本发明中,远程登录所述服务器的方法包括:所述受限用户利用所述智能密钥装置通过所述本地机实现对所述服务器端的远程登录访问,具体步骤为:
受限用户通过所述智能密钥装置在所述本地机端完成身份认证过程,确认为所述智能密钥装置的合法使用者;
所述受限用户利用所述本地机将所述端智能密钥装置与所述远程服务器端建立连接,将所述受限用户的身份认证信息及应用请求数据包发送到所述服务器端;
服务器端根据收到的所述受限用户发送的数据信息随即生成第一安全数据,并将所述第一安全数据及所述受限用户的发送的数据信息发送给所述受限用户;
所述受限用户在所述本地机端利用所述智能密钥装置验证服务器端返回的所述数据信息是否正确,若正确,则所述受限用户在所述本地机上利用所述智能密钥装置根据接收到的所述第一安全数据,结合所述受限用户的身份认证信息及访问请求信息生成第二安全数据,并发送到服务器端;
所述服务器端根据所述第一安全数据,结合所述受限用户的身份认证信息及访问请求信息,利用相同的认证算法生成第三安全数据,并将所述第二安全数据与所述第三安全数据进行比较,若相同,则将所述用户端接入服务链接,否则拒绝所述用户端提示出错信息。
在本发明中,对所述服务器端的远程登录访问环境包括无线系统环境或有线系统环境,所述无线系统环境包括无线局域网,手机的CDMA网络或GSM网络或3G网络。
一种确保操作环境安全的系统,包括:服务器端、客户端、服务器端智能密钥装置、客户端智能密钥装置;
所述服务器端,用于存储和管理客户端及智能密钥装置内部信息;
所述客户端,用于同智能密钥装置及服务器之间实现数据通信;
所述服务器端智能密钥装置,用于验证不受限用户身份,确保合法使用者安全登录及使服务器;
所述客户端智能密钥装置,用于验证用户身份,确保合法用户安全登录及使用客户端和/或安全访问服务器,获取所需数据。
在本发明中,所述客户端包括计算机、手机、PDA设备。
在本发明中,所述服务器端智能密钥装置包括数据存储模块、身份验证模块、一次性密码生成模块。
在本发明中,所述客户端智能密钥装置包括数据存储模块、身份验证模块和/或一次性密码生成模块;
在本发明中,在本发明中,所述智能密钥装置可以芯片形式集成在无线终端内部或通过有线接口与无线终端进行数据通信。
与现有技术相比,本发明的有益效果在于:
1.使用本发明提供的方法及系统可以在服务器及客户端同均实现开机保护,即服务器端的不受限用户在开机的时候可利用智能密钥装置实现服务器的开机保护,客户端亦可首先利用智能密钥装置实现开机保护,然后再利用智能密钥装置安全访问服务器,获取所需数据;
2.通过使用本发明提供的方法及装置,增强了系统的安全性,由于本发明将智能密钥装置的注册管理和注册信息存储全部交由服务器来完成,非法用户无法在客户端注册智能密钥装置,因此可以防止非法用户利用其他智能密钥装置进行登录;
3.本发明将一次性密码技术应用于安全认证过程中,这在很大程度上提高了智能密钥装置的功能,确保计算机操作过程及访问服务器过程中的安全性;
4.本发明通过使用无线通信技术,极大地提高了智能密钥装置的使用灵活性和易用性。
附图说明
图1是本发明实施例1中,一种确保操作环境安全的方法流程图;
图2是本发明实施例2中,一种确保操作环境安全的系统示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。在下述实施例中,智能密钥装置为USB Key,这是一种USB接口的小型硬件装置,内带处理器和存储器,通过计算机的数据通讯接口与计算机连接,可安全存储密钥、预置加密算法功能,USB Key与密钥相关的运算完全在其内部运行,且具有抗攻击的特性。在本实施例中的USB Key还集成了一次性密码生成功能,安全性极高。
在本实施例中,不受限用户登录本地机的身份凭证为不受限用户身份标识;受限用户登录服务器端的身份凭证由USB Key内部生成的一次性密码和USB Key的硬件标识号组成。将受限用户使用的USB Key内部凭证注册到服务器中过程具体为将一次性密码的种子及硬件序列号存入服务器中。
动态密码是用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。在本实施例中,动态密码在受限用户使用的USB Key内部生成,它内置用于运行专门密码算法的密码生成芯片,根据当前时间或使用次数生成当前密码并输出。受限用户端欲访问的服务器端采用相同的算法计算当前的有效密码。用户通过将自定义的静态密码、时间/事件等因素输入USB Key,由USB Key结合内置共享密钥来生成动态密码,生成动态密码后,用户在客户端通过网络将用户个人信息和当前动态密码传输至服务系统,如果服务系统密码验证通过,则用户即可登录。只要密码验证通过,则服务器端认为该用户的身份合法。由于用户每次使用的密码都不相同,所以即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
实施例1
步骤101、初始化USB Key,分别向USB Key中存入不受限用户证和受限用户凭证;
步骤102、将存有不受限用户凭证USB Key发放给服务器端不受限用户,不受限用户利用USB Key自带的程序,在服务器中安装计算机开机保护系统,并将存有不受限用户凭证的USB Key中的信息注册到服务器中;
步骤103、不受限用户将存有受限用户凭证的USB Key中的信息注册到服务器中;
步骤104、将存有受限用户凭证的USB Key分发给受限用户;
步骤105、不受限用户使用USB Key登录本地机;
步骤106、USB Key验证不受限用户身份是否合法,若合法则执行步骤108,否则执行步骤107;
步骤107、USB Key内部验证不受限用户身份不合法,系统提示错误信息;
步骤108、USB Key内部验证不受限用户身份合法,不受限用户安全登录本地机;
步骤109、受限用户利用USB Key生成一次性密码,并发送到远程服务器等待身份验证;
步骤110、服务器端将其内部注册过的存有受限用户凭证的USB Key中的信息与客户端使用的USB Key中的信息进行比较,判断受限用户身份是否合法,若合法则执行步骤113,否则执行步骤112
步骤111、服务器端验证受限用户身份不合法,系统提示错误信息;
步骤112、服务器端验证受限用户身份合法,受限用户访问服务器,获取所需要信息。
实施例2
实施例2为发明提供的一种确保操作环境安全的系统示意图,具体包括:
服务器1、客户端2、不受限用户使用的USB Key 3、受限用户使用的USB Key 4。
其中,服务器1包括网络通信模块101、远程访问模块102、注册信息管理模块103、本地登录模块104;客户端2包括网络通信模块201、远程访问模块202。
服务器1与客户端2通过有线网络系统实现数据通信。
不受限用户使用的USB Key 3通过USB接口与服务器1中的本地登录模块104进行数据通信。
受限用户使用的USB Key 4通过USB接口与客户端2中的远程访问模块202进行数据通信。
以上对本发明所提供的一种确保操作环境安全的方法及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (2)
1.一种确保操作环境安全的方法,其特征在于,包括如下步骤:
步骤A:初始化智能密钥装置,分别向其中存入服务器端初始化信息、用户初始化信息;
步骤B:在所述服务器端安装安全程序,并注册所述智能密钥装置的信息;
步骤C:将所述智能密钥装置分别发给不受限用户和受限用户;
步骤D:所述不受限用户使用存有不受限用户凭证的智能密钥装置登录服务器;
步骤E:所述受限用户使用存有受限用户凭证的智能密钥装置在本地机端远程登录所述服务器,完成访问请求;
步骤E所述远程登录所述服务器的方法包括:所述受限用户利用所述智能密钥装置通过所述本地机实现对所述服务器端的远程登录访问,具体步骤为:
受限用户通过所述智能密钥装置在所述本地机端完成身份认证过程,确认为所述智能密钥装置的合法使用者;
所述受限用户利用所述本地机将所述智能密钥装置与所述远程服务器端建立连接,将所述受限用户的身份认证信息及应用请求数据包发送到所述服务器端;
服务器端根据收到的所述受限用户发送的数据信息生成第一安全数据,并将所述第一安全数据及所述受限用户的发送的数据信息发送给所述受限用户;
所述受限用户在所述本地机端利用所述智能密钥装置验证服务器端返回的所述数据信息是否正确,若正确,则所述受限用户在所述本地机上利用所述智能密钥装置根据接收到的所述第一安全数据,结合所述受限用户的身份认证信息及访问请求信息生成第二安全数据,并发送到服务器端;
所述服务器端根据所述第一安全数据,结合所述受限用户的身份认证信息及访问请求信息,利用相同的认证算法生成第三安全数据,并将所述第二安全数据与所述第三安全数据进行比较,若相同,则将所述用户端接入服务链接,否则拒绝所述用户端提示出错信息。
2.如权利要求1所述的一种确保操作环境安全的方法,其特征在于,对所述服务器端的远程登录访问环境包括无线系统环境或有线系统环境,所述无线系统环境包括无线局域网,手机的CDMA网络或GSM网络或3G网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101121756A CN101588352B (zh) | 2008-05-22 | 2008-05-22 | 一种确保操作环境安全的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101121756A CN101588352B (zh) | 2008-05-22 | 2008-05-22 | 一种确保操作环境安全的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101588352A CN101588352A (zh) | 2009-11-25 |
CN101588352B true CN101588352B (zh) | 2012-08-08 |
Family
ID=41372415
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101121756A Active CN101588352B (zh) | 2008-05-22 | 2008-05-22 | 一种确保操作环境安全的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101588352B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101794522A (zh) * | 2010-03-15 | 2010-08-04 | 珠海符号软件科技有限公司 | 一种基于网络的娱乐式远程教学方法及装置 |
CN103326857B (zh) * | 2013-05-22 | 2016-06-29 | 天地融科技股份有限公司 | 动态口令牌的序列号写入方法以及动态口令牌 |
US9363264B2 (en) | 2013-11-25 | 2016-06-07 | At&T Intellectual Property I, L.P. | Networked device access control |
CN104539635A (zh) * | 2015-01-22 | 2015-04-22 | 成都卫士通信息安全技术有限公司 | 基于Windows7下的安全登录设置方法及其安全登录方法 |
CN105141415B (zh) * | 2015-09-15 | 2018-01-16 | 北京三未信安科技发展有限公司 | 一种密码设备的远程管理方法及系统 |
CN105162808B (zh) * | 2015-10-19 | 2019-09-06 | 成都卫士通信息产业股份有限公司 | 一种基于国密算法的安全登录方法 |
CN106713052A (zh) * | 2017-02-16 | 2017-05-24 | 郑州云海信息技术有限公司 | 一种服务器运维管理方法及装置 |
CN107180172A (zh) * | 2017-04-19 | 2017-09-19 | 上海海加网络科技有限公司 | 一种基于USBKey数字证书认证的IPSAN访问控制方法及装置 |
CN108011876A (zh) * | 2017-11-29 | 2018-05-08 | 中国银行股份有限公司 | 一种实名认证方法、装置及系统 |
CN109889548A (zh) * | 2019-04-01 | 2019-06-14 | 中国工商银行股份有限公司 | 基于U盾装置的Web网站的认证方法、装置及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1354936A (zh) * | 2000-04-14 | 2002-06-19 | 韩国稀客股份有限公司 | 基于数字签名证书保护文件系统的方法和装置 |
CN101047504A (zh) * | 2006-03-29 | 2007-10-03 | 腾讯科技(深圳)有限公司 | 一种网站登录认证方法及认证系统 |
-
2008
- 2008-05-22 CN CN2008101121756A patent/CN101588352B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1354936A (zh) * | 2000-04-14 | 2002-06-19 | 韩国稀客股份有限公司 | 基于数字签名证书保护文件系统的方法和装置 |
CN101047504A (zh) * | 2006-03-29 | 2007-10-03 | 腾讯科技(深圳)有限公司 | 一种网站登录认证方法及认证系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101588352A (zh) | 2009-11-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101588352B (zh) | 一种确保操作环境安全的方法及系统 | |
US11937081B2 (en) | Quorum-based secure authentication | |
CN110915183B (zh) | 经由硬/软令牌验证的区块链认证 | |
US20210314312A1 (en) | System and method for transferring device identifying information | |
CN101051908B (zh) | 动态密码认证系统及方法 | |
CN110149328B (zh) | 接口鉴权方法、装置、设备及计算机可读存储介质 | |
CA2744971C (en) | Secure transaction authentication | |
US20080120698A1 (en) | Systems and methods for authenticating a device | |
CN104320389B (zh) | 一种基于云计算的融合身份保护系统及方法 | |
CN101257489A (zh) | 一种保护账号安全的方法 | |
CN102469075A (zh) | 一种基于web单点登录的集成认证方法 | |
CN109962890A (zh) | 一种区块链的认证服务装置及节点准入、用户认证方法 | |
CN109151820A (zh) | 一种基于“一人一机一卡一号”的安全认证方法和装置 | |
CN101051905A (zh) | 一种代理式身份认证方法 | |
US8700909B2 (en) | Revocation of a biometric reference template | |
CN105243314A (zh) | 一种基于USB-key的安全系统及其使用方法 | |
CN104424676A (zh) | 身份信息发送方法、装置和门禁读卡器及门禁系统 | |
CN109756446A (zh) | 一种车载设备的访问方法和系统 | |
CN1588853A (zh) | 一种基于网络的统一认证方法及系统 | |
CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
CN102456102A (zh) | 用Usb key技术对信息系统特殊操作进行身份再认证的方法 | |
CN111954211A (zh) | 一种移动终端新型认证密钥协商系统 | |
CN103986734A (zh) | 一种适用于高安全性业务系统的鉴权管理方法和系统 | |
Cetin | Design, testing and implementation of a new authentication method using multiple devices | |
US20070204167A1 (en) | Method for serving a plurality of applications by a security token |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |