CN104079414A - 一种带有身份鉴别机制的加密机认证方法及装置 - Google Patents
一种带有身份鉴别机制的加密机认证方法及装置 Download PDFInfo
- Publication number
- CN104079414A CN104079414A CN201410343146.6A CN201410343146A CN104079414A CN 104079414 A CN104079414 A CN 104079414A CN 201410343146 A CN201410343146 A CN 201410343146A CN 104079414 A CN104079414 A CN 104079414A
- Authority
- CN
- China
- Prior art keywords
- encryption equipment
- user
- usb port
- pin code
- encryptor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及到信息技术领域中加密机的身份鉴别和验证,尤其是一种带有身份鉴别机制的加密机认证方法及装置。本发明针对现有技术存在的问题,提供一种加密机认证方法及装置,加密机从用户登录口令和检测终端密码模块是否与加密机相连两个方面,进行用户身份鉴别,排除非法用户,增强了加密机的安全性。本发明首先是用户进行加密机口令认证登录;当用户登录口令认证通过加密机认证登录后,进行加密机USB端口的PIN码验证;当用户通过加密机USB端口的PIN码验证后,则能进行加密机授权操作;若未通过PIN码验证,则加密机锁定;当终端密码模块未插入加密机USB端口,则加密机自动锁定。当用户登录口令认证失败超过N次,则加密机锁定。
Description
技术领域
本发明涉及到信息技术领域中加密机的身份鉴别和验证,具体地讲是一种带有身份鉴别机制的加密机认证方法及装置。
背景技术
加密机将密码技术、高性能并发处理技术、网络安全技术、设备自身安全防护技术、高可用性技术等多种先进技术有机融合在一起,构建出保障信息安全的软硬件支撑环境,为信息化基础设施和信息安全保障体系建设提供自主可控的数据安全保障服务。
随着加密机大规模的部署,如何实现加密机的授权使用,如何确保加密机自身的安全,这变成当今行业一个热门的研究课题。本加密机采用终端密码模块硬件USB KEY认证与传统用户登录口令认证相结合的方式,即使有非法窃听者获取用户登录口令,其也因为没有终端密码模块硬件USB KEY,而被加密机判断为非法用户,从而保障加密机自身的信息安全。
发明内容
本发明所要解决的技术问题是:针对上述存在的问题,提供一种带有身份鉴别机制的加密机认证方法及装置。加密机从用户登录口令和检测终端密码模块硬件USB KEY是否与加密机相连(通过该USB KEY的PIN码验证)两个方面进行识别,进行用户身份鉴别,排除非法用户,从而增强了系统的整体安全性。
本发明采用的技术方案如下:
一种带有身份鉴别机制的加密机认证方法包括:
步骤1:用户通过用户登录口令进行加密机认证登录;当用户登录口令认证通过加密机认证登录后,进行加密机USB端口的PIN码验证;当用户登录口令认证失败超过N次,则加密机锁定,需要系统管理员解锁;N为3到5。
步骤2:当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后,用户则能进行加密机授权操作;当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时,则加密机锁定,执行步骤1;当终端密码模块未插入加密机USB端口,则加密机自动锁定,执行步骤1;
进一步的,在步骤2中当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证,在用户能进行加密机授权操作之后,还包括:
步骤3:当加密机USB端口的终端密码模块从加密机USB端口中拔掉,则加密机自动锁定,并保存当前用户操作环境,执行步骤4;
步骤4:当原用户返回加密机进行操作时,原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证,执行步骤5;否则,当原用户返回之前有另外的用户进行操作时,加密机保存的当前用户环境就被注销;
步骤5:返回保存当前用户操作环节,用户能进行加密机授权操作。
进一步的,所述终端密码模块是USB KEY ,USB KEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USB KEY。
进一步的,所述用户只能对所述USB KEY进行读操作。
进一步的,当所述用户通过加密机USB端口的PIN码验证后,能修改用户登录口令。
一种带有身份鉴别机制的加密机认证装置包括:
终端密码模块,用于进行加密机USB端口的PIN码验证;
加密机,用于当用户登录口令认证通过加密机认证登录后,进行加密机USB端口的PIN码验证;然后,当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后,用户则能进行加密机授权操作;当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时,则加密机锁定,执行步骤1;当终端密码模块未插入加密机USB端口,则加密机自动锁定,执行步骤1;其中当用户登录口令认证失败超过N次,则加密机锁定,需要系统管理员解锁;N为3到5;
进一步的,当所述加密机USB端口的终端密码模块从加密机USB端口中拔掉,则加密机自动锁定,并保存当前用户操作环境;然后当原用户返回加密机进行操作时,原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证,能返回到保存的当前用户操作环节,原用户能进行加密机授权操作;否则,当原用户返回之前有另外的用户进行操作时,加密机保存的原用户环境就被注销。
进一步的,所述终端密码模块是USB KEY ,USB KEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USB KEY。
进一步的,所述用户只能对所述USB KEY进行读操作。
进一步的,当所述用户通过加密机USB端口的PIN码验证后,能修改用户登录口令。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
所述加密机需要有终端密码模块硬件(如USB KEY)插入到加密机的USB端口才能进行加密机操作系统的登录,除了原持有终端密码模块硬件USB KEY的操作者外,任何人都不能进入加密机操作系统环境。加密机操作者临时有事离开,拔掉终端密码模块硬件USB KEY,加密机自动锁定,并把用户的工作环境保留下来,其他非授权用户不能进行任何操作。只有等原用户回来后把原终端密码模块硬件USB KEY插入,并通过PIN码验证,系统才会解除锁定。本系统将传统口令登录的方式升级为需要硬件USB KEY的认证加上软件口令认证才能登录,从而完成对系统使用者的身份鉴别,大大提高加密机的安全性。
加密机用户身份鉴别机制是强制性的,任何需要操作加密机的操作者都需要进行身份鉴别,当操作者被判定为合法用户时,才能正常操作加密机,否则无法操作加密机。
用户需要申请终端密码模块硬件USB KEY,管理中心依据用户情况对用户进行某台或某几台加密机的使用进行授权。所有授权信息保存在终端密码模块硬件USB KEY中,并且以加密的形式进行存储。用户只对其中信息有读权限,无写权限。同时,此用户仅对被授权使用的加密机有使用权;对于未授权使用的加密机,此用户不能进行登陆和使用该类加密机。
用户在加密机USB端口的PIN码验证成功后,可以根据自己的偏好修改登用户登录口令。
在加密机大规模部署过程中,登录口令往往会被窃取者通过偷窥,木马程序等方式非法获得,这对加密机的重要数据带来极大的安全隐患。本加密机采用从软件(用户登录口令)和硬件(检测终端密码模块USB KEY是否与加密机相连)两个方面进行用户身份鉴别。非法用户如果没有终端密码模块硬件USB KEY,即使非法获得加密机登录口令也无法访问加密机,也从而增强了加密机的整体安全性。
另外,不少加密机使用者常常因为有急事需要临时离开加密机,但不少会忘记锁定加密机,这样就给犯罪分子带来机会。使用本发明所设计的一种带有身份鉴别机制的加密机及工作方法,用户只需从USB端口拔掉终端密码模块硬件USB KEY,加密机会强制自动锁定,再次登陆加密机时,需要强制进行用户身份鉴别,保证只有合法用户才能操作加密机,从而减小非法使用加密机的风险。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
1、管理中心需要提前安装相应的密码软件模块到相应的加密机。一旦有用户需要操作这些加密机时,需要向管理中心提出申请,通过审批后获得一个唯一的终端密码模块硬件USB KEY。USB KEY中包含相应的用户信息以及验证信息。
2、没有取得唯一的终端密码模块硬件USB KEY的用户即使取得加密机软件登录口令,也无法登录和访问相应的加密机。
4、加密机锁定指的是加密机不能工作。
5、加密机授权操作指的是允许用户对加密机进行授权读写操作。
6、加密机USB端口的PIN码验证是通过终端密码模块进行验证。
实施例一:
步骤1. 管理中心对申请人员进行审批,审批通过后,为每个用户分发一个唯一的终端密码模块硬件USB KEY,从而完成对用户的授权;
步骤2. 用户从管理中心取得唯一的终端密码模块硬件USB KEY,不能对USB KEY内部进行写操作,同时,终端密码模块硬件USB KEY内部的用户个人信息全部进行加密处理,从而防止个人信息泄密和伪造;
步骤3. 当用户需要操作加密机时,在开机时需要进行身份识别和认证,加密机使用软件口令登录与硬件USB KEY相捆绑的方式。用户首先进行软件口令登陆,成功后,用户必须插入登录加密机的终端密码模块硬件USB KEY,并通过该USB KEY的PIN码验证才能进行下一步操作。这比传统意义上仅需口令输入的系统登录方式要安全许多;
步骤4. 如果PIN码验证不成功或者没有插入终端密码模块硬件USB KEY,则不能登录系统;
步骤5. 如果插入终端密码模块硬件USB KEY进行PIN码验证成功,用户登录加密机成功,可以进行任何授权的操作;
步骤6.如果用户有事临时走开,从USB口拔掉终端密码模块硬件USB KEY,这样加密机就自动锁定,并把用户的工作环境保存下来。当用户返回时,插入USB KEY,再次通过USB KEY的PIN码验证即可返回原有工作环境。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (10)
1.一种带有身份鉴别机制的加密机认证方法,其特征在于包括:
步骤1:用户通过用户登录口令进行加密机认证登录;当用户登录口令认证通过加密机认证登录后,进行加密机USB端口的PIN码验证;当用户登录口令认证失败超过N次,则加密机锁定,需要系统管理员解锁;N为3到5;
步骤2:当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后,用户则能进行加密机授权操作;当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时,则加密机锁定,执行步骤1;当终端密码模块未插入加密机USB端口,则加密机自动锁定,执行步骤1。
2.根据权利要求1所述的一种带有身份鉴别机制的加密机认证方法,其特征在于在步骤2中当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证,在用户能进行加密机授权操作之后,还包括:
步骤3:当加密机USB端口的终端密码模块从加密机USB端口中拔掉,则加密机自动锁定,并保存当前用户操作环境,执行步骤4;
步骤4:当原用户返回加密机进行操作时,原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证,执行步骤5;否则,当原用户返回之前有另外的用户进行操作时,加密机保存的当前用户环境就被注销;
步骤5:返回保存当前用户操作环节,用户能进行加密机授权操作。
3.根据权利要求1或2所述的一种带有身份鉴别机制的加密机认证方法,其特征在于所述终端密码模块是USB KEY ,USB KEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USB KEY。
4.根据权利要求3所述的一种带有身份鉴别机制的加密机认证方法,其特征在于所述用户只能对所述USB KEY进行读操作。
5.根据权利要求4所述的一种带有身份鉴别机制的加密机认证方法,其特征在于当所述用户通过加密机USB端口的PIN码验证后,能修改用户登录口令。
6.根据权利要求1所述的一种带有身份鉴别机制的加密机认证装置,其特征在于包括:
终端密码模块,用于进行加密机USB端口的PIN码验证;
加密机,用于当用户登录口令认证通过加密机认证登录后,进行加密机USB端口的PIN码验证;然后,当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后,用户则能进行加密机授权操作;当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时,则加密机锁定,执行步骤1;当终端密码模块未插入加密机USB端口,则加密机自动锁定,执行步骤1;其中当用户登录口令认证失败超过N次,则加密机锁定,需要系统管理员解锁;N为3到5。
7.根据权利要求6所述的一种带有身份鉴别机制的加密机认证装置,其特征在于当所述加密机USB端口的终端密码模块从加密机USB端口中拔掉,则加密机自动锁定,并保存当前用户操作环境;然后当原用户返回加密机进行操作时,原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证,能返回到保存的当前用户操作环节,原用户能进行加密机授权操作;否则,当原用户返回之前有另外的用户进行操作时,加密机保存的原用户环境就被注销。
8.根据权利要求6或7所述的一种带有身份鉴别机制的加密机认证装置,其特征在于所述终端密码模块是USB KEY ,USB KEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USB KEY。
9.根据权利要求8所述的一种带有身份鉴别机制的加密机认证装置,其特征在于所述用户只能对所述USB KEY进行读操作。
10.根据权利要求9所述的一种带有身份鉴别机制的加密机认证装置,其特征在于当所述用户通过加密机USB端口的PIN码验证后,能修改用户登录口令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410343146.6A CN104079414A (zh) | 2014-07-18 | 2014-07-18 | 一种带有身份鉴别机制的加密机认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410343146.6A CN104079414A (zh) | 2014-07-18 | 2014-07-18 | 一种带有身份鉴别机制的加密机认证方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104079414A true CN104079414A (zh) | 2014-10-01 |
Family
ID=51600472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410343146.6A Pending CN104079414A (zh) | 2014-07-18 | 2014-07-18 | 一种带有身份鉴别机制的加密机认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104079414A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109286502A (zh) * | 2018-11-13 | 2019-01-29 | 北京深思数盾科技股份有限公司 | 恢复加密机管理员锁的方法以及加密机 |
| CN109508551A (zh) * | 2018-11-08 | 2019-03-22 | 成都卫士通信息产业股份有限公司 | 一种安全的系统切换方法、装置、电子设备及存储介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1776563A (zh) * | 2005-12-19 | 2006-05-24 | 清华紫光股份有限公司 | 一种基于通用串行总线接口的文件夹加密装置 |
| CN101308475A (zh) * | 2008-07-15 | 2008-11-19 | 中兴通讯股份有限公司 | 安全移动存储系统及其使用方法 |
| CN101340285A (zh) * | 2007-07-05 | 2009-01-07 | 杭州中正生物认证技术有限公司 | 利用指纹USBkey进行身份验证的方法及系统 |
| CN101499902A (zh) * | 2008-02-02 | 2009-08-05 | 中钞信用卡产业发展有限公司 | 身份认证设备及身份认证方法 |
| CN101561873A (zh) * | 2009-05-25 | 2009-10-21 | 孙敏霞 | 具备虹膜识别和USB Key功能的多模态身份认证设备 |
| CN101645775A (zh) * | 2008-08-05 | 2010-02-10 | 北京灵创科新科技有限公司 | 基于空中下载的动态口令身份认证系统 |
| CN101673330A (zh) * | 2008-09-10 | 2010-03-17 | 中国瑞达系统装备公司 | 一种基于bios的计算机安全防护方法及系统 |
| CN101867473A (zh) * | 2010-01-27 | 2010-10-20 | 南京大学 | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 |
| CN101986325A (zh) * | 2010-11-01 | 2011-03-16 | 山东超越数控电子有限公司 | 一种计算机安全访问控制系统及控制方法 |
| CN102291418A (zh) * | 2011-09-23 | 2011-12-21 | 胡祥义 | 一种云计算安全架构的实现方法 |
| CN103678973A (zh) * | 2013-12-13 | 2014-03-26 | 成都卫士通信息产业股份有限公司 | 一种同时实现主机和虚拟机访问控制的系统及其工作方法 |
| CN103916363A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 加密机的通讯安全管理方法和系统 |
-
2014
- 2014-07-18 CN CN201410343146.6A patent/CN104079414A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1776563A (zh) * | 2005-12-19 | 2006-05-24 | 清华紫光股份有限公司 | 一种基于通用串行总线接口的文件夹加密装置 |
| CN101340285A (zh) * | 2007-07-05 | 2009-01-07 | 杭州中正生物认证技术有限公司 | 利用指纹USBkey进行身份验证的方法及系统 |
| CN101499902A (zh) * | 2008-02-02 | 2009-08-05 | 中钞信用卡产业发展有限公司 | 身份认证设备及身份认证方法 |
| CN101308475A (zh) * | 2008-07-15 | 2008-11-19 | 中兴通讯股份有限公司 | 安全移动存储系统及其使用方法 |
| CN101645775A (zh) * | 2008-08-05 | 2010-02-10 | 北京灵创科新科技有限公司 | 基于空中下载的动态口令身份认证系统 |
| CN101673330A (zh) * | 2008-09-10 | 2010-03-17 | 中国瑞达系统装备公司 | 一种基于bios的计算机安全防护方法及系统 |
| CN101561873A (zh) * | 2009-05-25 | 2009-10-21 | 孙敏霞 | 具备虹膜识别和USB Key功能的多模态身份认证设备 |
| CN101867473A (zh) * | 2010-01-27 | 2010-10-20 | 南京大学 | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 |
| CN101986325A (zh) * | 2010-11-01 | 2011-03-16 | 山东超越数控电子有限公司 | 一种计算机安全访问控制系统及控制方法 |
| CN102291418A (zh) * | 2011-09-23 | 2011-12-21 | 胡祥义 | 一种云计算安全架构的实现方法 |
| CN103916363A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 加密机的通讯安全管理方法和系统 |
| CN103678973A (zh) * | 2013-12-13 | 2014-03-26 | 成都卫士通信息产业股份有限公司 | 一种同时实现主机和虚拟机访问控制的系统及其工作方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109508551A (zh) * | 2018-11-08 | 2019-03-22 | 成都卫士通信息产业股份有限公司 | 一种安全的系统切换方法、装置、电子设备及存储介质 |
| CN109286502A (zh) * | 2018-11-13 | 2019-01-29 | 北京深思数盾科技股份有限公司 | 恢复加密机管理员锁的方法以及加密机 |
| CN109286502B (zh) * | 2018-11-13 | 2021-06-11 | 北京深思数盾科技股份有限公司 | 恢复加密机管理员锁的方法以及加密机 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10680808B2 (en) | 1:N biometric authentication, encryption, signature system | |
| US9634999B1 (en) | Mobile device key management | |
| CN102006306B (zh) | 一种web服务的安全认证方法 | |
| JP6911122B2 (ja) | 端末の攻撃警告メッセージログを取得する権限付与方法およびシステム | |
| CN107771383A (zh) | 使用认证服务器将至少两个认证设备映射到用户账户的方法 | |
| CN102800141A (zh) | 一种基于双向认证的门禁控制方法及系统 | |
| CN102215221A (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 | |
| CN109035519B (zh) | 一种生物特征识别装置及方法 | |
| DE112006001151T5 (de) | Computersicherheitssystem und -Verfahren | |
| TWI569230B (zh) | 配合行動裝置的管制系統 | |
| CN105450419B (zh) | 提高生物识别安全性的方法、装置和系统 | |
| CN105635089B (zh) | 动态密码锁的鉴权方法、开锁方法和开锁系统 | |
| CN106357679B (zh) | 密码认证的方法、系统及客户端、服务器和智能设备 | |
| US8316437B2 (en) | Method for protecting the access to an electronic object connected to a computer | |
| CN104144411A (zh) | 加密、解密终端及应用于终端的加密和解密方法 | |
| CN104753886B (zh) | 一种对远程用户的加锁方法、解锁方法及装置 | |
| CN104735085A (zh) | 一种终端双因子安全登录防护方法 | |
| CN104079414A (zh) | 一种带有身份鉴别机制的加密机认证方法及装置 | |
| CN112530053B (zh) | 智能锁的控制方法、系统、锁设备、服务器及存储介质 | |
| CN109961542A (zh) | 一种门禁装置、验证装置、验证系统及其验证方法 | |
| CN103745143B (zh) | 一种计算机保护的方法 | |
| CN103678973A (zh) | 一种同时实现主机和虚拟机访问控制的系统及其工作方法 | |
| CN105897730A (zh) | 一种用户名及密码信息加密及验证方法 | |
| CN109584421A (zh) | 一种基于国产安全芯片的智能门锁认证管理系统 | |
| CN106330877B (zh) | 一种授权对终端状态进行转换的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141001 |
|
| RJ01 | Rejection of invention patent application after publication |