CN111382401A - 嵌入式系统登录动态口令实现方法 - Google Patents
嵌入式系统登录动态口令实现方法 Download PDFInfo
- Publication number
- CN111382401A CN111382401A CN201811616303.0A CN201811616303A CN111382401A CN 111382401 A CN111382401 A CN 111382401A CN 201811616303 A CN201811616303 A CN 201811616303A CN 111382401 A CN111382401 A CN 111382401A
- Authority
- CN
- China
- Prior art keywords
- shell
- encrypted
- executing
- magic
- menu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000012795 verification Methods 0.000 claims abstract description 19
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 13
- 238000012546 transfer Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 7
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/305—Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种嵌入式系统登录动态口令实现方法,以随机密码、非对称加密算法,以及超时与超次检测,来对于shell的访问增加非对称加密验证而加强进入shell的权限控制,并提高系统安全性;所述方法包括执行一启动sample‑shell步骤S1,登录至一管理选单并进入一主选单;执行一随机密码加密步骤S2,输入“shell”,显示以一非对称加密算法加密的一加密魔术字符串(Magic String);执行一离线解密步骤S3,将所述加密魔术字符串解密,取得一解密魔术字符串;执行一登录final‑shell步骤S4,验证所述解密魔术字符串进入shell;以及,执行一显示子选单步骤S5,在所述主选单中键入一数值来显示所述主选单的一子选单。
Description
技术领域
本发明涉及一种嵌入式系统登录动态口令实现方法,尤其涉及一种对于shell的访问增加非对称加密验证而加强进入shell的权限控制的系统登录动态口令实现方法。
背景技术
在UNIX系统中,shell可视为一种软件,是操作系统的指令直译器(CommandInterpreter),并作为系统端和用户端之间沟通的接口。
可通过应用层协议如Telnet/Console来远程控制一服务器(Server)或一主机(Host Computer),以供用户在本地主机执行远程主机上的工作。
一般而言,用户登录Telnet/Console后,直接以最高权限的管理者账号(root)权限进入shell,即可在shell环境下执行程序,例如,在用户端输入一指令,进而在shell环境下运行脚本(Script)文件中的一陈述(Statement)口令。
常用的操作口令包含例如,对于配置文件的修改或删除。然而,在非安全控管下的登录用户,若任意地修改或删除配置文件,会危及系统的运行安全,严重会造成网络失效。
又例如,修改或擦写快闪存储器(Flash Memory)的数据,会造成系统的核心文件遗失,而无法开机。
在无安全管制的防护下,容易成为不良意图的用户所入侵的目标,进而将系统作为傀儡机(Zombie Computer),展开阻断服务攻击(Denial of Service,DoS)或发送垃圾信息,来破坏用户的个人电脑(Personal Computer,PC)或其他网络节点。
再者,在shell下可执行查看的操作口令,来查看系统内部的关键信息,例如,系统的版本信息,包括中央处理单元(Central Processing Unit,CPU)、内存(Memory)、或其他软硬件的信息;系统的进程、模块、或网络接口信息,若不加以管理,将造成重要数据外泄;甚至通过枚举(Enumerate)配置测试,找到产品的瓶颈配置(Bottleneck Configuration),而遭到竞争对手利用。
另外,一般而言,经常将shell作为调试(Debug)的接口使用,而提供用户相关的功能,但会使得shell的登录安全无法得到保证。
因此,有必要解决管制用户登录与访问shell权限的技术问题,对于核心系统或关键的内部运行程序等相关命令,执行进行严格管控,同时仍然能够提供shell用户基本的功能操作。
发明内容
有鉴于此,为了解决上述技术问题,本发明提供一种嵌入式系统登录动态口令实现方法,尤其是一种对于shell的访问增加非对称加密验证,进而加强进入shell的权限控制的系统登录动态口令实现方法,并提高系统安全性。
根据本发明的一种实施例,所述嵌入式系统登录动态口令实现方法包括:
执行一启动sample-shell步骤S1,登录至一管理选单并进入一主选单;
执行一随机密码加密步骤S2,输入“shell”,显示以一非对称加密算法加密的一加密魔术字符串(Magic String);
执行一离线解密步骤S3,将所述加密魔术字符串解密,取得一解密魔术字符串;
执行一登录final-shell步骤S4,验证所述解密魔术字符串,以进入shell;以及
执行一显示子选单步骤S5,在所述主选单键入一数值来显示所述主选单的一子选单。
优选地,所述步骤S2还将所述加密魔术字符串保存至一加密结果文件,或者,通过文件传输协议(FTP)存储或读取所述加密结果文件。
优选地,所述步骤S3还包括:
执行一生成密钥对步骤S31,在所述加密结果文件的当前目录下生成一非对称加密密钥对,其包括一私有密钥与一公开密钥,其中,所述公开密钥为步骤S2中对所述加密魔术字符串的加密所使用;以及
执行一解密步骤S32,在当前目录下,使用所述私钥文件来解密所述加密结果文件,以取得一密文,并打印其结果。
优选地,所述步骤S4以所述密文作为验证依据,并允许至多三次的验证失败;在验证失败三次后,生成新的一魔术字符串并重启验证流程,回到步骤S2。
优选地,所述步骤S4的验证时间为1分钟,超时后将重新执行所述步骤S3来生成密钥。
优选地,本发明所使用的所述非对称加密算法是一RSA加密算法。
优选地,所述步骤S5中所键入的所述数值为1至N之间的某一整数数值,且N为一自然数。
优选地,所述子选单是设计为简化版功能的shell,支持部分查看信息的命令。
附图说明
图1显示本发明的一种实施例的嵌入式系统登录动态口令实现方法的流程图。
【符号说明】
S1 sample-shell步骤
S2 随机密码加密步骤
S3 离线解密步骤
S31 生成密钥对步骤
S32 解密步骤
S4 登录final-shell步骤
S5 显示子选单步骤
具体实施方式
以下提供本发明的实施例,是用于说明本发明的技术内容,而非用于限制本发明的权利范围。可将本发明的特征进行修饰、变化、组合、分离、置换、或转用,而实现其他实施例。
参照图1,为本发明的实施例的嵌入式系统登录动态口令实现方法的流程图。
如图1所示,所述嵌入式系统登录动态口令实现方法包括:执行一启动sample-shell步骤S1、执行一随机密码加密步骤S2、执行一离线解密步骤S3、执行一登录final-shell步骤S4,以及执行一显示子选单步骤S5。
首先,启动sample-shell步骤S1是登录至一管理选单并进入一主选单。
在本实施例中,是经由两个shell运行端,即sample-shell及final-shell,来控制用户登录与访问shell的权限。选择性地与优选地,sample-shell可设计为提供用户基本的口令操作,例如查看基本信息等;而final-shell可设计为提供用户更高权限的功能,例如查看系统更为核心的信息、对于文件的修改或删除等。
其中,在final-shell中所执行的命令需要进行严格管控,针对欲获得更高权限的操作口令用户,是以步骤S2至S4来进行加密与验证流程。
随机密码加密步骤S2是以一非对称加密算法加密信息而得到一加密魔术字符串(Magic String),并将所述加密魔术字符串保存至一加密结果文件,例如命名为result-enc.txt的文件,或者,通过文件传输协议(FTP)在例如../tmp/result-enc.txt的目录中存储或读取所述加密结果文件。所谓的“魔术字符串”是指虽可供系统运作,但外部他人难以解读,以便提升通信安全的信息。
离线解密步骤S3,是将所述加密魔术字符串解密并取得一解密魔术字符串,此执行步骤S3时,非必需与系统连机,也就是说,可在离线时执行步骤S3。
选择性地与优选地,步骤S3还区分为执行一生成密钥对步骤S31,以及执行一解密步骤S32。
步骤S31是在当前目录下生成一非对称加密密钥对,为一私有密钥与一公开密钥,其中,所述公开密钥为步骤S2中对所述加密魔术字符串的加密所使用,例如命名为rsa_priv.txt与rsa_pub.txt的文件。
可理解的是,步骤S31所生成的一对密钥,公开密钥是用于S2步骤中对随机魔术字符串加密,生成一加密魔术字符串;私有密钥用于对所述加密魔术字符串解密,而生成加密前的随机魔术字符串;并且,此对密钥是成对出现的,由同一次步骤S31生成。
步骤S32是在当前目录下,使用所述私钥文件来解密所述加密结果文件,以取得一密文,并打印其结果。
在本实施例中,加密的密码是使用随机生成的密码,优选而言,是不具规则性或不具预测性的密码组合。
在本实施例中,所使用的非对称加密算法,以及以此算法生成的非对称加密密钥,是使用RSA(Rivest-Shamir-Adleman)加密算法。其中,所述私有密钥文件是作为解密用途,而所述公开密钥文件是作为加密用途,特别而言,所述私有密钥不对外公开,必须妥善严格保存。
步骤S4将所述密文作为验证依据,并允许至多三次的验证失败,在验证失败三次后,生成新的一加密魔术字符串并重启验证流程,也就是回到步骤S2。
另外,步骤S4的验证时间为1分钟,一旦超时,将重新执行所述步骤S3来生成密钥。
若验证成功,则用户可进入final-shell来操作更高权限的口令。
另一方面而言,对于一般权限的用户,则可执行步骤S5,在主选单功能画面键入数值为1至N之间的某一整数数值,其中N为一自然数,来进入所述子选单功能画面。
其中,所述子选单功能画面可计为简化版功能的shell,例如可支持部分查看信息的命令等。
综上所述,本发明以随机密码、非对称加密算法,以及超时与超次检测,来对于shell的访问增加非对称加密验证而加强进入shell的权限控制,并提高系统安全性。
尽管本发明已通过上述实施例加以说明,可理解的是,在不悖离本发明精神及权利要求书所主张的范围下,可进行许多其他修饰及变化,而实现其他实施例。
Claims (8)
1.一种嵌入式系统登录动态口令实现方法,其特征在于,包括:
执行一启动sample-shell步骤S1,登录至一管理选单并进入一主选单;
执行一随机密码加密步骤S2,输入“shell”,显示以一非对称加密算法加密的一加密魔术字符串(Magic String);
执行一离线解密步骤S3,将所述加密魔术字符串解密,取得一解密魔术字符串;
执行一登录final-shell步骤S4,验证所述解密魔术字符串,以进入shell;以及,
执行一显示子选单步骤S5,在所述主选单中键入一数值来显示所述主选单的一子选单。
2.如权利要求1所述的嵌入式系统登录动态口令实现方法,其特征在于,所述步骤S2还将所述加密魔术字符串保存至一加密结果文件,或者,通过文件传输协议(FTP)存储或读取所述加密结果文件。
3.如权利要求2所述的嵌入式系统登录动态口令实现方法,其特征在于,所述步骤S3还包括:
执行一生成密钥对步骤S31,在所述加密结果文件的当前目录下生成一非对称加密密钥对,其包括一私有密钥与一公开密钥,其中,所述公开密钥为步骤S2中对所述加密魔术字符串的加密所使用;以及
执行一解密步骤S32,在当前目录下,使用所述私钥文件来解密所述加密结果文件,以取得一密文,并打印其结果。
4.如权利要求3所述的嵌入式系统登录动态口令实现方法,其特征在于,所述步骤S4以所述密文作为验证依据,并允许至多三次的验证失败,在验证失败三次后,生成新的一加密魔术字符串并重启验证流程,回到步骤S2。
5.如权利要求4所述的嵌入式系统登录动态口令实现方法,其特征在于,所述步骤S4的验证时间为1分钟,超时后将重新执行所述步骤S3来生成密钥。
6.如权利要求1~5任一项所述的嵌入式系统登录动态口令实现方法,其特征在于,所述非对称加密算法是使用一RSA加密算法。
7.如权利要求1所述的嵌入式系统登录动态口令实现方法,其特征在于,所述步骤S5中所键入的所述数值为1至N之间的某一整数数值,且N为一自然数。
8.如权利要求6所述的嵌入式系统登录动态口令实现方法,其特征在于,所述子选单是设计为简化版功能的shell,支持部分查看信息的命令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811616303.0A CN111382401A (zh) | 2018-12-27 | 2018-12-27 | 嵌入式系统登录动态口令实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811616303.0A CN111382401A (zh) | 2018-12-27 | 2018-12-27 | 嵌入式系统登录动态口令实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111382401A true CN111382401A (zh) | 2020-07-07 |
Family
ID=71216242
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811616303.0A Pending CN111382401A (zh) | 2018-12-27 | 2018-12-27 | 嵌入式系统登录动态口令实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111382401A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1533084A (zh) * | 2003-03-18 | 2004-09-29 | 华为技术有限公司 | 基于安全命令解释协议的用户认证方法 |
CN101110702A (zh) * | 2007-08-14 | 2008-01-23 | 中兴通讯股份有限公司 | 一种命令行接口权限分级的方法及其系统 |
CN201181472Y (zh) * | 2008-02-29 | 2009-01-14 | 北京华大恒泰科技有限责任公司 | 硬件密钥装置和移动存储系统 |
CN105635147A (zh) * | 2015-12-30 | 2016-06-01 | 深圳市图雅丽特种技术有限公司 | 基于车载特种装备系统的数据安全传输方法及系统 |
-
2018
- 2018-12-27 CN CN201811616303.0A patent/CN111382401A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1533084A (zh) * | 2003-03-18 | 2004-09-29 | 华为技术有限公司 | 基于安全命令解释协议的用户认证方法 |
CN101110702A (zh) * | 2007-08-14 | 2008-01-23 | 中兴通讯股份有限公司 | 一种命令行接口权限分级的方法及其系统 |
CN201181472Y (zh) * | 2008-02-29 | 2009-01-14 | 北京华大恒泰科技有限责任公司 | 硬件密钥装置和移动存储系统 |
CN105635147A (zh) * | 2015-12-30 | 2016-06-01 | 深圳市图雅丽特种技术有限公司 | 基于车载特种装备系统的数据安全传输方法及系统 |
Non-Patent Citations (1)
Title |
---|
杨静,张天长著: "《数据加密解密技术》", 武汉大学出版社, pages: 24 - 27 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20190349341A1 (en) | Password Encryption for Hybrid Cloud Services | |
US9807086B2 (en) | Authentication of a client device based on entropy from a server or other device | |
US8396214B2 (en) | Method and apparatus for centrally managed encrypted partition | |
CN101051904B (zh) | 一种保护网络应用程序使用账号密码进行登录的方法 | |
US8156331B2 (en) | Information transfer | |
CN117040840A (zh) | 防盗和防篡改的数据保护 | |
EP2251810B1 (en) | Authentication information generation system, authentication information generation method, and authentication information generation program utilizing a client device and said method | |
Scarfone et al. | Guide to enterprise password management (draft) | |
CN102404314A (zh) | 远程资源单点登录 | |
CN106790045B (zh) | 一种基于云环境分布式虚拟机代理装置及数据完整性保障方法 | |
CN104618096A (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
JP2019057167A (ja) | コンピュータプログラム、デバイス及び判定方法 | |
CN107368737A (zh) | 一种防止拷贝攻击的处理方法、服务器及客户端 | |
EP2130159A1 (en) | Secure data storage and retrieval incorporating human participation | |
US20160085973A1 (en) | Method and apparatus for providing provably secure user input/output | |
WO2019120038A1 (zh) | 数据加密存储 | |
CN112559991A (zh) | 系统安全登录方法、装置、设备及存储介质 | |
CN109474431A (zh) | 客户端认证方法及计算机可读存储介质 | |
Loftus et al. | Android 7 file based encryption and the attacks against it | |
CN115600215A (zh) | 系统启动方法、系统信息处理方法、装置、设备及其介质 | |
CN114651251A (zh) | 恢复密钥 | |
CN111382401A (zh) | 嵌入式系统登录动态口令实现方法 | |
CN114117404A (zh) | 一种用户认证方法、装置、设备、系统及存储介质 | |
Stahnke | Pro OpenSSH | |
JP6162611B2 (ja) | 通信制御サーバ、通信制御方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 215021 unit d304-1, international science and Technology Park, 1355 Jinjihu Avenue, Suzhou Industrial Park, Suzhou City, Jiangsu Province Applicant after: Dafa Technology (Suzhou) Co.,Ltd. Address before: 215021 unit d304-1, international science and Technology Park, 1355 Jinjihu Avenue, Suzhou Industrial Park, Suzhou City, Jiangsu Province Applicant before: Chuangfa information technology (Suzhou) Co.,Ltd. |
|
CB02 | Change of applicant information | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200707 |
|
WD01 | Invention patent application deemed withdrawn after publication |