CN108256302A - 数据安全访问方法及装置 - Google Patents
数据安全访问方法及装置 Download PDFInfo
- Publication number
- CN108256302A CN108256302A CN201810022190.5A CN201810022190A CN108256302A CN 108256302 A CN108256302 A CN 108256302A CN 201810022190 A CN201810022190 A CN 201810022190A CN 108256302 A CN108256302 A CN 108256302A
- Authority
- CN
- China
- Prior art keywords
- file
- terminal device
- verification information
- equipment
- decrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本发明实施例提供一种数据安全访问方法及装置,属于数据安全领域。该方法包括:在将移动认证设备连接至用户的终端设备后,从终端设备获得用户输入的设备启动验证信息,基于设备启动验证信息对终端设备进行启动认证,在启动成功后,从终端设备获得在对加密存储区域进行访问时用户输入的区域访问验证信息,基于区域访问验证信息对加密存储区域进行解密认证,在成功解密后,从终端设备获得在对加密存储区域中的文件访问时用户输入的文件安全验证信息,基于文件安全验证信息对文件进行解密认证,在成功解密后,对文件执行访问操作,从而通过移动认证设备的多重验证才能成功对文件进行访问,可防止非法用户对文件的非法访问,从而提高了文件的安全性。
Description
技术领域
本发明涉及数据安全领域,具体而言,涉及一种数据安全访问方法及装置。
背景技术
随着信息社会的到来和技术的不断发展,对于设备内信息安全保密的要求越来越高。现有技术中,常常通过加入登录用户名和口令字或对终端设备本身进行加密的方式来保护终端设备内信息的安全。
然而在通常情况下,例如终端设备持有者遗失终端设备后,获得该终端设备的人员对该终端设备运用专用技术进行专门的解密破解,还是可以将终端设备破解成功并获得终端设备内的信息。
发明内容
有鉴于此,本发明实施例的目的在于提供一种数据安全访问方法及装置,以解决现有技术中对终端设备的数据保护性不高的问题。
第一方面,本发明实施例提供了一种数据安全访问方法,应用于一包括存储单元的移动认证设备,所述方法包括:在将所述移动认证设备连接至用户的终端设备后,从所述终端设备获得所述用户在对所述终端设备进行启动时输入的设备启动验证信息;基于所述设备启动验证信息对所述终端设备进行启动认证;在所述终端设备启动成功后,从所述终端设备获得在对所述终端设备的存储单元的加密存储区域进行访问时所述用户输入的区域访问验证信息;基于所述区域访问验证信息对所述加密存储区域进行解密认证;在成功解密所述加密存储区域后,从所述终端设备获得在对所述加密存储区域中的文件进行访问时所述用户输入的文件安全验证信息;基于所述文件安全验证信息对所述文件进行解密认证,在成功解密所述文件后,对所述文件执行访问操作。
第二方面,本发明实施例提供了一种数据安全访问装置,运行于一包括存储单元的移动认证设备,所述装置包括:第一验证信息获取模块,用于在所述移动认证设备连接至用户的终端设备后,从所述终端设备获得所述用户在对所述终端设备进行启动时输入的设备启动验证信息;启动验证模块,用于基于所述设备启动验证信息对所述终端设备进行启动认证;第二验证信息获取模块,用于在所述终端设备启动成功后,从所述终端设备获得在对所述终端设备的存储单元的加密存储区域进行访问时所述用户输入的区域访问验证信息;区域解密认证模块,用于基于所述区域访问验证信息对所述加密存储区域进行解密认证;第三验证信息获取模块,用于在成功解密所述加密存储区域后,从所述终端设备获得在对所述加密存储区域中的文件进行访问时所述用户输入的文件安全验证信息;文件解密认证模块,用于基于所述文件安全验证信息对所述文件进行解密认证,在成功解密所述文件后,对所述文件执行访问操作。
本发明实施例的有益效果是:
本发明实施例提供一种数据安全访问方法及装置,首先通过在将所述移动认证设备连接至用户的终端设备后,从所述终端设备获得所述用户在对所述终端设备进行启动时输入的设备启动验证信息,然后基于所述设备启动验证信息对所述终端设备进行启动认证,在所述终端设备启动成功后,从所述终端设备获得在对所述终端设备的存储单元的加密存储区域进行访问时所述用户输入的区域访问验证信息,然后基于所述区域访问验证信息对所述加密存储区域进行解密认证,在成功解密所述加密存储区域后,从所述终端设备获得在对所述加密存储区域中的文件进行访问时所述用户输入的文件安全验证信息,基于所述文件安全验证信息对所述文件进行解密认证,在成功解密所述文件后,对所述文件执行访问操作,从而在用户对终端设备上的加密存储区域中存储的文件进行访问时,通过移动认证设备的多重验证才能成功对文件进行访问,由此可防止非法用户对文件的非法访问,从而提高了文件的安全性。
本发明的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的终端设备与移动认证设备的交互示意图;
图2为本发明实施例提供的一种移动认证设备或终端设备的结构示意图;
图3为本发明实施例提供的一种数据安全访问方法的流程图;
图4为本发明实施例提供的一种数据安全访问方法中步骤S120的流程图;
图5为本发明实施例提供的一种数据安全访问方法中步骤S140的流程图;
图6为本发明实施例提供的一种数据安全访问方法中步骤S160的流程图;
图7为本发明实施例提供的一种数据安全访问装置的结构框图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参照图1,图1为本发明实施例提供的终端设备10与移动认证设备20的交互示意图,本实施例中,终端设备10可以为电脑、手机等终端设备10,移动认证设备20为一个便于携带的具有存储功能的移动设备,移动认证设备20能够与终端设备10进行通信,例如接收终端设备10发送的相关验证信息,或者发送控制指令至终端设备10。移动认证设备20与终端设备10之间可以进行无线通信,也可以进行有线通信,通信的具体方式不应该理解为是对本发明实施例的限制。
请参照图2,图2为本发明实施例提供的一种移动认证设备20或终端设备10的结构示意图,该移动认证设备20或终端设备10可以包括:至少一个处理器110,例如CPU,至少一个通信接口120,至少一个存储单元130和至少一个通信总线140。其中,通信总线140用于实现这些组件直接的连接通信。其中,本发明实施例中设备的通信接口120用于与其他节点设备进行信令或数据的通信。存储单元130可以是高速RAM存储单元,也可以是不易失的存储单元(non-volatile memory),例如至少一个磁盘存储单元。存储单元130可选的还可以是至少一个位于远离前述处理器的存储装置。存储单元130中存储一组程序代码,且处理器110执行存储单元130中下述移动认证设备20或终端设备10所执行的程序,即数据安全访问方法过程。
可以理解,图2所示的结构仅为示意,所述移动认证设备20或终端设备10还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。图2中所示的各组件可以采用硬件、软件或其组合实现。
请参照图3,图3为本发明实施例提供的一种数据安全访问方法的流程图,该方法应用于一存储单元的移动认证设备20,所述方法包括:
步骤S110:在将所述移动认证设备20连接至用户的终端设备10后,从所述终端设备10获得所述用户在对所述终端设备10进行启动时输入的设备启动验证信息。
很多时候,用户会在终端设备10中存储一些保密信息,而为了保护终端设备10上的信息,在有非法用户想要盗取终端设备10中的保密信息时,需要对用户进行身份验证,以验证用户的合法性,在用户为合法用户时,则启动终端设备10。
具体地,若用户需要启动终端设备10时,需将终端设备10与移动认证设备20连接,在移动认证设备20与终端设备10连接时才能打开终端设备10,用户才能在终端设备10中输入设备启动验证信息,即终端设备10在检测到其与移动认证设备20连接时,在用户打开终端设备10上的电源按钮后,向移动认证设备20发送一个认证信号,表示终端设备10需要启动,当然该认证信号中携带有该终端设备10的身份标识信息,移动认证设备20在从获得的认证信号中获取终端设备10的身份标识信息,可以和预先存储的预设身份标识信息进行比对,在比对一致时,则移动认证设备20可向终端设备10返回一应答信号,表示信息比对通过,终端设备10可以根据该应答信号弹出一对话框,用于用户在该对话框输入设备启动验证信息。
步骤120:基于所述设备启动验证信息对所述终端设备10进行启动认证。
终端设备10在获得用户在弹出的对话框中输入的设备启动验证信息,将该设备启动验证信息发送至移动认证设备20,移动认证设备20在获取该设备启动验证信息后需对该设备启动验证信息进行判断其是否正确。
请参照图4,步骤S120包括:
步骤S121:将所述设备启动验证信息与所述移动认证设备20的所存储单元存储的预设设备启动验证信息进行匹配。
其中,所述设备启动验证信息包括第一用户身份验证信息,首先终端设备10将设备启动验证信息发送至移动认证设备20时,需将终端设备10的身份标识信息及用户输入的第一用户身份验证信息发送至移动认证设备20,终端设备10的身份标识信息可以为能够唯一标识该终端设备10的标识信息,如在终端设备10为电脑时,该终端设备10的身份标识信息为电脑主板中BIOS的MAC码。
用户输入的第一用户身份验证信息是能够表征该用户身份的验证信息,可以为用户自己设置的账号和密码,也可以为该用户的生物识别信息,例如指纹信息、人像信息等。该第一用户身份验证信息和终端设备10的身份标识信息预先存储在移动认证设备20的存储单元中用于作为预设设备启动验证信息,移动认证设备20在接收到上述设备启动验证信息后,首先移动认证设备20先对终端设备10的身份标识信息进行判断,判断该终端设备10的身份标识信息与移动认证设备20中存储的身份标识信息比对,该移动认证设备20可以存储多个终端设备10的身份标识信息,但是每个终端设备10的身份标识信息与该终端设备10的用户身份验证信息存在对应的映射关系,该映射关系可以存储在移动认证设备20中,移动认证设备20可以根据该映射关系来判断两者是否相匹配,比如,在接收到终端设备10发送的终端设备10的身份标识信息与存储的预设身份标识信息进行匹配,移动认证设备20存储的预设身份标识信息可以为UUID,与终端设备10主板中BIOS的MAC码相对应。
在终端设备10的身份标识信息与预设身份标识信息匹配成功后,移动认证设备20控制终端设备10弹出一对话框,以接收用户输入的第一用户身份验证信息。具体地,移动认证设备20将第一用户身份验证信息与其预先存储的预设身份验证信息进行比较,如将用户的账号信息与预设账号信息匹配,将密码信息与对应的预设密码信息进行匹配,在第一用户身份验证信息与所述第二用户身份验证信息匹配成功,即表示所述设备启动验证信息与所述预设设备启动验证信息匹配成功,则执行步骤S122。
步骤S122:若所述设备启动验证信息与所述预设设备启动验证信息匹配成功,则发送启动信号至所述终端设备10,以使所述终端设备10基于所述启动信号进行启动。
在所述设备启动验证信息与所述预设设备启动验证信息匹配成功后,移动认证设备20向终端设备10发送一启动信号,终端设备10在接收到该启动信号后进行安全启动。
其中,当分别完成了终端设备10的身份标识信息与第一用户身份验证信息的两次匹配后,才真正完成了安全验证,移动认证设备20可以发送启动信号至终端设备10,以使终端设备10安全启动。
设备启动验证信息存储在移动认证设备20中而不是存储在终端设备10中,可以较好的实现对终端设备10的保护,例如,若移动认证设备20或终端设备10两者遗失其一,就无法完成用户的身份验证过程,从而使得终端设备10进行正常启动,在非法用户想要非法启动终端设备10时,可以较好地实现对终端设备10的保护。
另外,作为一种方式,在对所述终端设备10进行启动认证过程中,若是非法用户,则无法完成对终端设备10的启动,但是为了避免合法用户在第一次输入时忘记账号或密码等信息导致输入错误带来的误判,则可以在所述终端设备10启动认证失败后,计算启动认证失败次数,判断所述启动认证失败次数是否与预设次数,在为是时,控制所述终端设备10进行关机。
具体地,如在移动认证设备20首次获取到设备启动验证信息,对该设备启动验证信息进行判断,在判断出设备启动验证信息与预设设备启动验证信息不匹配,则可发送一验证失败信号至终端设备10,终端设备10接收到该验证失败信号,则不予启动,同时,该移动认证设备20记启动认证失败次数为一,当该用户再次在终端设备10输入设备启动验证信息后,移动认证设备20再次对该设备启动验证信息进行验证,在验证再次失败时,将启动认证失败次数加一,记为2,当该启动认证次数为预设次数时,如3次,则判断该用户为非法用户,则移动认证设备20可以向终端设备10发送一关机信号,终端设备10在接收到该关机信号后自动关机,并且还可在未来预设一定时间段内无法开机,如在两个小时内,用户无法对终端设备10开机,这就使得非法用户无法继续对终端设备10进行操作,从而有效实现对终端设备10的保护。
步骤130:在所述终端设备10启动成功后,从所述终端设备10获得在对所述终端设备10的存储单元的加密存储区域进行访问时所述用户输入的区域访问验证信息。
在上述步骤中对成功对终端设备10进行启动后,若用户还需对终端设备10上存储的相关保密信息进行访问,该保密信息可以存储于终端设备10中的特定区域,如终端设备10上的存储区域可以分为普通存储区域和加密存储区域,具体地,对于电脑来说,可以将电脑或笔记本电脑中的任意一个硬盘分区进行加密,并且将需要保密的一些敏感文件或专用程序存入该被加密的分区中,即加密存储区域。
在用户需对加密存储区域中的保密文件或专用程序进行访问时,需向该加密存储区域发送一访问请求,当终端设备10未接收到该访问请求时,可以只呈现为加密的普通存储区域的文件,当接收到该访问请求时,将该访问请求发送给移动认证设备20。
其中,可以对加密存储区域采用AES256加密算法进行加密,也可以以其他的加密算法对加密存储区域进行加密,如RSA2048加密算法,加密算法的具体类型或密钥长度不应该理解为是对本发明的限制。
移动认证设备20在接收到上述访问请求后,向终端设备10返回一控制指令,控制终端设备10弹出一对话框,以接收用户输入的区域访问验证信息,该区域访问验证信息为第二用户身份验证信息,具体地,可以接收用户输入的密码信息,第二用户身份验证信息可以与第一用户身份验证信息相同,也可以不同。
步骤140:基于所述区域访问验证信息对所述加密存储区域进行解密认证。
用户在终端设备10输入区域访问验证信息后,终端设备10将该区域访问验证信息发送至移动认证设备20,即将第二用户身份验证信息发送至移动认证设备20。
请参照图5,步骤S140包括:
步骤S141:将所述区域访问验证信息与所述移动认证设备20的所述存储单元存储的预设区域访问验证信息进行匹配。
移动认证设备20在接收到区域访问验证信息后,将该区域访问验证信息与存储的预设区域访问验证信息进行匹配,即将第二用户身份验证信息与存储的第二用户身份验证信息进行匹配,如在移动认证设备20中保存有加密存储区域的标识信息,和与该标识信息存在映射关系的预设区域访问验证信息以及预设区域密钥,终端设备10在向移动认证设备20发送区域访问验证信息时还会发送加密存储区域的标识信息,以使移动认证设备20基于加密存储区域的标识信息找到对应的预设区域访问验证信息。
步骤S142:若所述区域访问验证信息与所述预设区域访问验证信息匹配成功,则利用所述移动认证设备20的所述存储单元存储的预设区域密钥对所述加密存储区域进行解密。
在所述区域访问验证信息与所述预设区域访问验证信息匹配成功后,移动认证设备20利用存储的预设区域密钥对所述加密存储区域进行解密。预设区域加密密钥为对加密存储区域进行加密时设置的解密密钥,预设区域加密密钥存储在移动认证设备20中,只有当区域访问验证信息与所述预设区域访问验证信息匹配成功后,才会对加密存储区域进行解密,由此用户可对加密存储区域进行访问,其加密存储区域可以对用户进行显现。
而预设区域密钥存储在移动认证设备20中而不是终端设备10中,通过移动认证设备20对其进行解密,使得其安全性更高,在移动认证设备20遗失的情况下,用户无法对加密存储区域进行访问,从而可以较好的提高文件的安全性。
另外,作为一种实施方式,在对加密存储区域进行解密认证过程中,若是非法用户,则无法完成对加密存储区域的访问,但是为了避免合法用户在第一次输入时忘记账号或密码等信息导致输入错误带来的误判,则可以在所述加密存储区域解密认证失败后,获取解密认证失败次数,在所述解密认证失败次数达到预设次数时,对所述加密存储区域进行隐藏。
具体地,如在移动认证设备20首次获取到区域访问验证信息,对该区域访问验证信息进行判断,在判断出区域访问验证信息与预设区域访问验证信息不匹配时,则可发送一验证失败信号至终端设备10,终端设备10接收到该验证失败信号后,则可以提示用户再次输入区域访问验证信息,同时,移动认证设备20将解密认证失败次数记为1,当该用户再次在终端设备10输入区域访问验证信息后,移动认证设备20再次对该区域访问验证信息进行验证,在验证再次失败时,将解密认证失败次数加1,记为2,当解密认证失败次数达到预设次数时,如3次,则判断该用户为非法用户,则移动认证设备20可以向终端设备10发送一控制区域隐藏信号,终端设备10在接收到该区域隐藏信号后控制加密存储区域进行隐藏,由此,用户无法再次访问该加密存储区域,从而有效实现对加密存储区域的保护。
或者,还可在未来预设一段时间内禁止用户再次对该加密存储区域发起访问请求,从而可阻止非法用户对加密存储区域的访问,保证了加密存储区域的安全。
作为一种实施方式,还可以在所述加密存储区域解密认证失败后,获取解密认证失败次数,在所述解密认证失败次数达到预设次数时,禁止用户输入新的区域访问验证信息。
其中,其获取解密认证失败次数的方式可参照上述相关描述,在解密认证失败次数达到预设次数时,移动认证设备20可向终端设备10返回一控制指令,控制终端设备10弹出一提示信息,提示该用户无法再次输入区域访问验证信息,或者控制终端设备10关闭用户输入区域访问验证信息界面,由此,用户无法再次输入新的区域访问验证信息,无法对加密存储区域进行访问。
作为一种方式,还可以在在所述加密存储区域解密认证失败后,获取解密认证失败次数,在所述解密认证失败次数达到预设次数时,采集所述用户的生物识别信息,将所述用户的生物识别信息保存至所述存储单元中。可以这样理解,在所述解密认证失败次数达到预设次数时,采集用户的生物识别信息保存至移动认证设备20的存储单元中,将该用户加入黑名单,即同时将获取的该用户输入的区域验证信息进行保存,在下一次再获取到相同的区域验证信息后首先采集用户的生物识别信息,与存储的生物识别信息进行比对,若比对是同一用户,则直接禁止该用户对加密存储区域进行访问操作,即禁止该用户再次输入任何验证信息。
其中,所述生物识别信息可以为用户的人脸图像、指纹信息等。
步骤150:在成功解密所述加密存储区域后,从所述终端设备10获得在对所述加密存储区域中的文件进行访问时所述用户输入的文件安全验证信息。
若用户需对加密存储区域中存储的相关文件进行访问,为了实现对某些绝密文件的再次保护,该加密存储区域中的文件预先被加密再保存,其对文件进行加密的算法可以为国密系列加密方法等,也可以以其他的加密算法对文件进行加密,加密算法的具体类型不应该理解为是对本发明的限制。
若用户对加密存储区域中的某个文件发起访问时,也可先发起一个访问请求发送至移动认证设备20,在移动认证设备20接收到该访问请求后控制终端设备10弹出一对话框,用于接收用户输入的文件安全验证信息,该文件安全验证信息可以为用户的账号信息和密码信息,或者为预先对该文件设置的验证信息等。
步骤S160:基于所述文件安全验证信息对所述文件进行解密认证,在成功解密所述文件后,对所述文件执行访问操作。
用户在终端设备10输入文件安全验证信息后,终端设备10将该文件安全验证信息发送至移动认证设备20进行验证。
请参照图6,步骤S160包括:
步骤S161:将所述文件安全验证信息与所述移动认证设备20的所述存储单元存储的预设文件安全验证信息进行匹配。
终端设备10在向移动认证设备20发送文件安全验证信息的同时也会将该文件的标识信息发送至移动认证设备20,在移动认证设备20中存储有文件的标识信息,和与该标识信息存在映射关系的预设文件安全验证信息以及预设文件密钥,从而移动认证设备20可以基于文件的标识信息找到对应的预设文件安全验证信息和预设文件密钥。
步骤S162:若所述文件安全验证信息与所述预设文件安全验证信息匹配成功,则利用所述移动认证设备20的所述存储单元存储的预设文件密钥对所述文件进行解密,在成功解密所述文件后,对所述文件执行访问操作。
在所述文件安全验证信息与所述预设文件安全验证信息匹配成功后,所述移动认证设备20利用存储的预设文件密钥对所述文件进行解密。预设文件密钥为对文件进行加密时相应设置的解密密钥,预设文件密钥存储在移动认证设备20中,只有当文件安全验证信息与所述预设文件安全验证信息匹配成功后,才会对文件进行解密,由此用户可对文件进行访问操作,所以,用户若需对终端设备10中的加密存储区域中存储的文件进行访问时,需经过三重认证成功后,才可成功对该文件进行访问,从而实现文件的多重保护,提高了重要文件的安全性,防止被非法用户盗取。
而预设文件密钥存储在移动认证设备20中而不是终端设备10中,通过移动认证设备20对其进行解密,使得其安全性更高,在移动认证设备20遗失的情况下,用户无法对加密存储区域中的文件进行访问,从而可以较好的提高文件的安全性。
另外,作为一种实施方式,在对文件进行解密认证过程中,若是非法用户,则无法完成对文件的访问,但是为了避免合法用户在第一次输入时忘记账号或密码等信息导致输入错误带来的误判,则可以在对所述文件解密认证失败后,所述移动认证设备20还可控制所述终端设备10关闭所述文件所在文件夹的界面,且在预设时间段内禁止所述用户对所述文件再次发起访问操作。
具体地,移动认证设备20在首次对文件安全验证信息认证失败后,直接控制终端设备10关闭所述文件所在文件夹,则用户无法对该文件再次发起访问,且可自动设置在未来预设时间段内禁止所述用户对该文件再次发起访问操作。
另外,需要说明的是,加密存储区域中的文件还可以保存在移动认证设备20的存储单元中,在用户对加密存储区域进行成功访问后,移动认证设备20可将存储的文件发送至终端设备10,显示在该加密存储区域内,用户在对该文件发起访问,则可在移动认证设备20或者终端设备10任一遗失的情况下,可以有效的保证文件的安全性。
请参照图7,图7为本发明实施例提供的一种数据安全访问装置200的结构框图,该装置运行于上述的移动认证设备20,所述装置包括:
第一验证信息获取模块210,用于在所述移动认证设备20连接至用户的终端设备10后,从所述终端设备10获得所述用户在对所述终端设备10进行启动时输入的设备启动验证信息。
启动验证模块220,用于基于所述设备启动验证信息对所述终端设备10进行启动认证。
第二验证信息获取模块230,用于在所述终端设备10启动成功后,从所述终端设备10获得在对所述终端设备10的存储单元的加密存储区域进行访问时所述用户输入的区域访问验证信息。
区域解密认证模块240,用于基于所述区域访问验证信息对所述加密存储区域进行解密认证。
第三验证信息获取模块250,用于在成功解密所述加密存储区域后,从所述终端设备10获得在对所述加密存储区域中的文件进行访问时所述用户输入的文件安全验证信息。
文件解密认证模块260,用于基于所述文件安全验证信息对所述文件进行解密认证,在成功解密所述文件后,对所述文件执行访问操作。
作为一种方式,所述装置还包括:
启动认证失败次数获取模块,用于在所述终端设备10启动认证失败后,获取启动认证失败次数。
控制关机模块,用于判断所述启动认证失败次数是否为预设次数,在为是时,控制所述终端设备10进行关机。
作为一种方式,所述装置还包括:
解密认证失败次数获取模块,用于在所述加密存储区域解密认证失败后,获取解密认证失败次数。
隐藏模块,用于在所述解密认证失败次数达到预设次数时,对所述加密存储区域进行隐藏。
作为一种方式,所述装置还包括:
解密失败模块,用于在所述加密存储区域解密认证失败后,获取解密认证失败次数。
禁止用户访问模块,用于在所述解密认证失败次数达到预设次数时,禁止用户输入新的区域访问验证信息。
作为一种方式,所述装置还包括:
失败次数获取模块,用于在所述加密存储区域解密认证失败后,获取解密认证失败次数。
图像保存模块,用于在所述解密认证失败次数达到预设次数时,采集所述用户的生物识别信息,将所述用户的生物识别信息保存至所述存储单元中。
作为一种方式,所述装置还包括:
控制关闭模块,用于在对所述文件解密认证失败后,控制所述终端设备10关闭所述文件所在文件夹的界面,且在预设时间段内禁止所述用户对所述文件再次发起访问操作。
作为一种方式,所述启动验证模块220,具体用于将所述设备启动验证信息与所述移动认证设备20的所存储单元存储的预设设备启动验证信息进行匹配;若所述设备启动验证信息与所述预设设备启动验证信息匹配成功,则发送启动信号至所述终端设备10,以使所述终端设备10基于所述启动信号进行启动。
作为一种方式,所述区域解密认证模块240,具体用于将所述区域访问验证信息与所述移动认证设备20的所述存储单元存储的预设区域访问验证信息进行匹配;若所述区域访问验证信息与所述预设区域访问验证信息匹配成功,则利用所述移动认证设备20的所述存储单元存储的预设区域密钥对所述加密存储区域进行解密。
作为一种方式,所述文件解密认证模块260,具体用于将所述文件安全验证信息与所述移动认证设备20的所述存储单元存储的预设文件安全验证信息进行匹配;若所述文件安全验证信息与所述预设文件安全验证信息匹配成功,则利用所述移动认证设备20的所述存储单元存储的预设文件密钥对所述文件进行解密,在成功解密所述文件后,对所述文件执行访问操作。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
综上所述,本发明实施例提供一种数据安全访问方法及装置,首先在将所述移动认证设备20连接至用户的终端设备10后,从所述终端设备10获得所述用户在对所述终端设备10进行启动时输入的设备启动验证信息,然后基于所述设备启动验证信息对所述终端设备10进行启动认证,在所述终端设备10启动成功后,从所述终端设备10获得在对所述终端设备10的存储单元的加密存储区域进行访问时所述用户输入的区域访问验证信息,然后基于所述区域访问验证信息对所述加密存储区域进行解密认证,在成功解密所述加密存储区域后,从所述终端设备10获得在对所述加密存储区域中的文件进行访问时所述用户输入的文件安全验证信息,基于所述文件安全验证信息对所述文件进行解密认证,在成功解密所述文件后,对所述文件执行访问操作,从而在用户对终端设备10上的加密存储区域中存储的文件进行访问时,通过移动认证设备20的多重验证才能成功对文件进行访问,由此可防止非法用户对文件的非法访问,从而提高了文件的安全性。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储单元(ROM,Read-Only Memory)、随机存取存储单元(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种数据安全访问方法,其特征在于,应用于一包括存储单元的移动认证设备,所述方法包括:
在将所述移动认证设备连接至用户的终端设备后,从所述终端设备获得所述用户在对所述终端设备进行启动时输入的设备启动验证信息;
基于所述设备启动验证信息对所述终端设备进行启动认证;
在所述终端设备启动成功后,从所述终端设备获得在对所述终端设备的存储单元的加密存储区域进行访问时所述用户输入的区域访问验证信息;
基于所述区域访问验证信息对所述加密存储区域进行解密认证;
在成功解密所述加密存储区域后,从所述终端设备获得在对所述加密存储区域中的文件进行访问时所述用户输入的文件安全验证信息;
基于所述文件安全验证信息对所述文件进行解密认证,在成功解密所述文件后,对所述文件执行访问操作。
2.根据权利要求1所述的方法,其特征在于,基于所述设备启动验证信息对所述终端设备进行启动认证之后,还包括:
在所述终端设备启动认证失败后,获取启动认证失败次数;
判断所述启动认证失败次数是否为预设次数,在为是时,控制所述终端设备进行关机。
3.根据权利要求2所述的方法,其特征在于,基于所述区域访问验证信息对所述加密存储区域进行解密认证之后,还包括:
在所述加密存储区域解密认证失败后,获取解密认证失败次数;
在所述解密认证失败次数达到预设次数时,对所述加密存储区域进行隐藏。
4.根据权利要求2所述的方法,其特征在于,在基于所述区域访问验证信息对所述加密存储区域进行解密认证之后,还包括:
在所述加密存储区域解密认证失败后,获取解密认证失败次数;
在所述解密认证失败次数达到预设次数时,禁止用户输入新的区域访问验证信息。
5.根据权利要求2所述的方法,其特征在于,在基于所述区域访问验证信息对所述加密存储区域进行解密认证之后,还包括:
在所述加密存储区域解密认证失败后,获取解密认证失败次数;
在所述解密认证失败次数达到预设次数时,采集所述用户的生物识别信息,将所述用户的生物识别信息保存至所述存储单元中。
6.根据权利要求1-5任一所述的方法,其特征在于,基于所述文件安全验证信息对所述文件进行解密认证之后,还包括:
在对所述文件解密认证失败后,控制所述终端设备关闭所述文件所在文件夹的界面,且在预设时间段内禁止所述用户对所述文件再次发起访问操作。
7.根据权利要求6所述的方法,其特征在于,基于所述设备启动验证信息对所述终端设备进行启动认证,包括:将所述设备启动验证信息与所述移动认证设备的所存储单元存储的预设设备启动验证信息进行匹配;若所述设备启动验证信息与所述预设设备启动验证信息匹配成功,则发送启动信号至所述终端设备,以使所述终端设备基于所述启动信号进行启动;和/或
基于所述区域访问验证信息对所述加密存储区域进行解密认证,包括:将所述区域访问验证信息与所述移动认证设备的所述存储单元存储的预设区域访问验证信息进行匹配;若所述区域访问验证信息与所述预设区域访问验证信息匹配成功,则利用所述移动认证设备的所述存储单元存储的预设区域密钥对所述加密存储区域进行解密;和/或
基于所述文件安全验证信息对所述文件进行解密认证,包括:将所述文件安全验证信息与所述移动认证设备的所述存储单元存储的预设文件安全验证信息进行匹配;若所述文件安全验证信息与所述预设文件安全验证信息匹配成功,则利用所述移动认证设备的所述存储单元存储的预设文件密钥对所述文件进行解密,在成功解密所述文件后,对所述文件执行访问操作。
8.一种数据安全访问装置,其特征在于,运行于一包括存储单元的移动认证设备,所述装置包括:
第一验证信息获取模块,用于在所述移动认证设备连接至用户的终端设备后,从所述终端设备获得所述用户在对所述终端设备进行启动时输入的设备启动验证信息;
启动验证模块,用于基于所述设备启动验证信息对所述终端设备进行启动认证;
第二验证信息获取模块,用于在所述终端设备启动成功后,从所述终端设备获得在对所述终端设备的存储单元的加密存储区域进行访问时所述用户输入的区域访问验证信息;
区域解密认证模块,用于基于所述区域访问验证信息对所述加密存储区域进行解密认证;
第三验证信息获取模块,用于在成功解密所述加密存储区域后,从所述终端设备获得在对所述加密存储区域中的文件进行访问时所述用户输入的文件安全验证信息;
文件解密认证模块,用于基于所述文件安全验证信息对所述文件进行解密认证,在成功解密所述文件后,对所述文件执行访问操作。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
启动认证失败次数获取模块,用于在所述终端设备启动认证失败后,获取启动认证失败次数;
控制关机模块,用于判断所述启动认证失败次数是否为预设次数,在为是时,控制所述终端设备进行关机。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
解密认证失败次数获取模块,用于在所述加密存储区域解密认证失败后,获取解密认证失败次数;
隐藏模块,用于在所述解密认证失败次数达到预设次数时,对所述加密存储区域进行隐藏。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810022190.5A CN108256302B (zh) | 2018-01-10 | 2018-01-10 | 数据安全访问方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810022190.5A CN108256302B (zh) | 2018-01-10 | 2018-01-10 | 数据安全访问方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108256302A true CN108256302A (zh) | 2018-07-06 |
| CN108256302B CN108256302B (zh) | 2020-05-29 |
Family
ID=62725928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810022190.5A Active CN108256302B (zh) | 2018-01-10 | 2018-01-10 | 数据安全访问方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108256302B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108710794A (zh) * | 2018-07-19 | 2018-10-26 | 合肥联宝信息技术有限公司 | 一种安全装置及安全电子设备 |
| CN111557003A (zh) * | 2018-12-10 | 2020-08-18 | 都市猫有限公司 | 利用安全终端的存储装置的数据安全管理系统及方法 |
| CN112084518A (zh) * | 2020-09-17 | 2020-12-15 | 何冰 | 基于通讯控制模块的安全辨识方法 |
| CN112487383A (zh) * | 2020-11-17 | 2021-03-12 | 重庆第二师范学院 | 一种保证信息安全的计算机系统及其控制方法 |
| CN113420283A (zh) * | 2021-06-11 | 2021-09-21 | 惠州Tcl移动通信有限公司 | 移动终端的开机启动方法、装置、存储介质及移动终端 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986325A (zh) * | 2010-11-01 | 2011-03-16 | 山东超越数控电子有限公司 | 一种计算机安全访问控制系统及控制方法 |
| CN102236607A (zh) * | 2010-04-23 | 2011-11-09 | 国民技术股份有限公司 | 一种数据安全保护方法和数据安全保护装置 |
| CN103558994A (zh) * | 2013-09-29 | 2014-02-05 | 记忆科技(深圳)有限公司 | 固态硬盘加密分区的方法及其固态硬盘 |
| CN103632080A (zh) * | 2013-11-06 | 2014-03-12 | 国家电网公司 | 一种基于USBKey的移动数据应用安全保护系统及其方法 |
| WO2014109409A1 (ja) * | 2013-01-11 | 2014-07-17 | 京セラ株式会社 | 通信端末及び記憶媒体 |
| CN105354507A (zh) * | 2015-10-23 | 2016-02-24 | 浙江远望软件有限公司 | 一种云环境下的数据安全保密方法 |
| JP6349712B2 (ja) * | 2013-12-13 | 2018-07-04 | 凸版印刷株式会社 | 携帯端末設定方法 |
-
2018
- 2018-01-10 CN CN201810022190.5A patent/CN108256302B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102236607A (zh) * | 2010-04-23 | 2011-11-09 | 国民技术股份有限公司 | 一种数据安全保护方法和数据安全保护装置 |
| CN101986325A (zh) * | 2010-11-01 | 2011-03-16 | 山东超越数控电子有限公司 | 一种计算机安全访问控制系统及控制方法 |
| WO2014109409A1 (ja) * | 2013-01-11 | 2014-07-17 | 京セラ株式会社 | 通信端末及び記憶媒体 |
| CN103558994A (zh) * | 2013-09-29 | 2014-02-05 | 记忆科技(深圳)有限公司 | 固态硬盘加密分区的方法及其固态硬盘 |
| CN103632080A (zh) * | 2013-11-06 | 2014-03-12 | 国家电网公司 | 一种基于USBKey的移动数据应用安全保护系统及其方法 |
| JP6349712B2 (ja) * | 2013-12-13 | 2018-07-04 | 凸版印刷株式会社 | 携帯端末設定方法 |
| CN105354507A (zh) * | 2015-10-23 | 2016-02-24 | 浙江远望软件有限公司 | 一种云环境下的数据安全保密方法 |
Non-Patent Citations (1)
| Title |
|---|
| 骆静等: "基于USBKEY的OA系统身份认证方案", 《南京工业职业技术学院学报》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108710794A (zh) * | 2018-07-19 | 2018-10-26 | 合肥联宝信息技术有限公司 | 一种安全装置及安全电子设备 |
| CN111557003A (zh) * | 2018-12-10 | 2020-08-18 | 都市猫有限公司 | 利用安全终端的存储装置的数据安全管理系统及方法 |
| CN112084518A (zh) * | 2020-09-17 | 2020-12-15 | 何冰 | 基于通讯控制模块的安全辨识方法 |
| CN112487383A (zh) * | 2020-11-17 | 2021-03-12 | 重庆第二师范学院 | 一种保证信息安全的计算机系统及其控制方法 |
| CN112487383B (zh) * | 2020-11-17 | 2023-08-08 | 重庆第二师范学院 | 一种保证信息安全的计算机系统及其控制方法 |
| CN113420283A (zh) * | 2021-06-11 | 2021-09-21 | 惠州Tcl移动通信有限公司 | 移动终端的开机启动方法、装置、存储介质及移动终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108256302B (zh) | 2020-05-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106537403B (zh) | 用于从多个装置访问数据的系统 | |
| CN108256302A (zh) | 数据安全访问方法及装置 | |
| US6732278B2 (en) | Apparatus and method for authenticating access to a network resource | |
| US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
| US8572392B2 (en) | Access authentication method, information processing unit, and computer product | |
| US8812860B1 (en) | Systems and methods for protecting data stored on removable storage devices by requiring external user authentication | |
| US8561174B2 (en) | Authorization method with hints to the authorization code | |
| US7941847B2 (en) | Method and apparatus for providing a secure single sign-on to a computer system | |
| US8695087B2 (en) | Access control for a memory device | |
| US20080010453A1 (en) | Method and apparatus for one time password access to portable credential entry and memory storage devices | |
| US20060075230A1 (en) | Apparatus and method for authenticating access to a network resource using multiple shared devices | |
| US11271745B2 (en) | Method and system for operating internet of things device | |
| CN108763917B (zh) | 一种数据加解密方法及装置 | |
| US20110314288A1 (en) | Circuit, system, device and method of authenticating a communication session and encrypting data thereof | |
| US10289826B2 (en) | Using hidden secrets and token devices to control access to secure systems | |
| US20190028488A1 (en) | Method and system for blocking phishing or ransomware attack | |
| US20180053018A1 (en) | Methods and systems for facilitating secured access to storage devices | |
| US20170201528A1 (en) | Method for providing trusted service based on secure area and apparatus using the same | |
| CN110807186B (zh) | 一种存储设备安全存储的方法、装置、设备和存储介质 | |
| US20180300464A1 (en) | Authenticating using a password entry pattern | |
| WO2016165537A1 (zh) | 一种控制智能终端的方法及控制智能终端的装置 | |
| JP2004206258A (ja) | 多重認証システム、コンピュータプログラムおよび多重認証方法 | |
| CN114357398A (zh) | 终端访问权限的处理方法、装置及电子设备 | |
| CN110110533B (zh) | 带身份自动识别的电子文件批量加密转存方法、系统及介质 | |
| JP2013522760A (ja) | コンピュータネットワーク上でデータにアクセスする人の識別の真正性を確認するシステムおよび方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |