CN113987455A - 一种基于bs架构的工控系统多因素认证登录方法及系统 - Google Patents
一种基于bs架构的工控系统多因素认证登录方法及系统 Download PDFInfo
- Publication number
- CN113987455A CN113987455A CN202111241702.5A CN202111241702A CN113987455A CN 113987455 A CN113987455 A CN 113987455A CN 202111241702 A CN202111241702 A CN 202111241702A CN 113987455 A CN113987455 A CN 113987455A
- Authority
- CN
- China
- Prior art keywords
- authentication
- login
- authentication server
- acquisition
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉一种基于BS架构的工控系统多因素认证登录方法及系统,其中,方法包括:首先,获取用户在登录认证界面输入的请求信息;其次,向登录认证服务器发送请求信息,以使登录认证服务器返回依据请求信息产生的第一响应信息;接着,向用户身份特征采集模块发送第一响应信息,以使用户身份特征采集模块返回依据第一响应信息产生的第二响应信息;再者,将第二响应信息发送给登录认证服务器,以使认证服务器依据请求信息、第一响应信息和第二响应信息进行认证;最后,若认证成功则重定向到待登录子系统界面。本发明支持可编程的人物特征采集设备作为认证因素,基于B/S架构实现零预部署、升级简单,整个流程安全可靠,能实现多重等级保护的要求。
Description
技术领域
本发明涉及工业控制技术领域,尤其涉及一种基于BS架构的工控系统多因素认证登录方法及系统。
背景技术
现有的工控系统已经有基于B/S架构的系统登录,但是对接入信息采集设备的方式也未统一,导致新增一种认证因素会破坏原有的认证流程,必须新开发页面或者客户端,且需要将新的界面程序手动部署到所有的客户登陆主机,这其中的部署和升级的工作量十分繁重。
同时现有技术中在多因素认证登录过程中,不能保证每个环节中的设备或程序都是可靠的方案流程。
发明内容
(一)要解决的技术问题
鉴于现有技术的上述缺点、不足,本发明提供一种基于BS架构的工控系统多因素认证登录方法及系统,其解决了现有技术中改变认证因素的工作量十分繁重且不能保证每个环节中的设备或程序均是可靠的技术问题。
(二)技术方案
为了达到上述目的,本发明采用的主要技术方案包括:
一方面,本发明实施例提供一种基于BS架构的工控系统多因素认证登录方法,包括:
获取用户在登录认证界面输入的请求信息;
向登录认证服务器发送所述请求信息,以使所述登录认证服务器返回依据所述请求信息产生的第一响应信息;
向用户身份特征采集模块发送所述第一响应信息,以使所述用户身份特征采集模块返回依据所述第一响应信息产生的第二响应信息;
将所述第二响应信息发送给所述登录认证服务器,以使所述认证服务器依据所述请求信息、第一响应信息和第二响应信息进行认证;
若认证成功则重定向到待登录子系统界面。
可选地,
所述用户身份特征采集模块包括:采集程序和采集设备,所述采集设备中预先配置有私钥和证书;
所述采集设备包括:CPU卡及对应的读卡器、可编程的指纹采集设备以及可编程的人脸识别设备。
可选地,向登录认证服务器发送所述请求信息,以使所述登录认证服务器返回依据所述请求信息产生的第一响应信息包括:
基于HTTPS协议向登录认证服务器发送所述请求信息;
接收所述登录认证服务器依据所述请求信息并结合所述登录认证服务器中预设关系发送的认证所需因素;
其中,所述请求信息包括账户信息。
可选地,所述登录认证服务器中预先设有如下关系:用户账号与安全等级的对应关系、安全等级与认证所需因素的对应关系以及采集设备序列号与该设备对应的加密密钥的对应关系;
所述用户账号与安全等级的对应关系为:
依据预设的权限将用户账号划分为不同安全等级;
所述安全等级与认证所需因素的对应关系为:
第一安全等级账户对应的认证所需因素:0;
第二安全等级账户对应的认证所需因素包括:CPU卡、指纹采集以及人脸采集中的一种;
第三安全等级账户对应认证所需因素包括:CPU卡、指纹采集以及人脸采集。
可选地,接收所述登录认证服务器依据所述请求信息并结合所述登录认证服务器中预设关系发送的认证所需因素包括:
所述登录认证服务器基于所述用户账号与安全等级的对应关系确定该用户账号的安全等级;
依据获得的所述安全等级基于所述安全等级与认证所需因素的对应关系确定用户账号的认证所需因素。
可选地,向用户身份特征采集模块发送所述第一响应信息,以使所述用户身份特征采集模块返回依据所述第一响应信息产生的第二响应信息包括:
基于HTTPS协议向用户身份特征采集模块发送认证所需因素;
接收所述用户身份特征采集模块依据所述认证所需因素调用采集设备采集相应的用户特征信息、所述采集设备采集对所述用户特征信息的签名以及进行采集操作的采集设备ID。
可选地,将所述第二响应信息发送给所述登录认证服务器,以使所述认证服务器依据所述请求信息、第一响应信息和第二响应信息进行认证包括:
将所述账户信息、用户特征信息、签名以及采集设备ID打包发送给所述登录认证服务器进行校验;
接收所述登录认证服务器的校验结果。
可选地,所述登录认证服务器进行校验包括:
校验账户信息与从预设的认证信息数据库中调取的信息是否匹配;
用所述采集设备的证书校验设备的签名;
校验所述用户特征信息与预设的认证信息数据库中的特征值是否匹配。
可选地,在获取用户在登录认证界面输入的请求信息之前,还包括:
获取所述采集程序的版本号;
若获取失败,则从所述登录认证服务器处下载所述采集程序最新的安装包;
若获取成功,则向所述登录认证服务器确认该版本号是否为最新;
若不是最新,则从所述登录认证服务器处下载所述采集程序最新的安装包。
另一方面,本发明实施例提供一种基于BS架构的工控系统多因素认证登录系统,包括:
用户身份特征采集模块,用于调用采集设备来采集用户特性信息,并对所述用户特性信息进行签名;
登录认证服务器,用于基于用户输入的账户信息、用户特性信息、签名以及采集设备的ID对用户进行认证登录;
采集设备预部署模块,用于为所述采集设备配置私钥和证书,并将将私钥和基于私钥对数据签名的程序烧制到该设备;
登录认证服务器预部署模块,用于在登录认证服务器中预先设置如下关系:各采集设备序列号与所述证书的对应关系、用户账号与认证因素的对应关系、用户账号与安全等级的对应关系以及安全等级与认证所需因素的对应关系;
验证与升级模块,用于获取所述采集程序的版本号并判断版本号是否为最新,若不为最新则从所述登录认证服务器处下载所述采集程序最新的安装包;
待登录子系统,所述待登录系统包括:监控中心、OPC服务器及实时数据库。
其中,所述用户身份特征采集模块包括:采集程序和采集设备;所述采集设备包括:CPU卡及对应的读卡器、可编程的指纹采集设备以及可编程的人脸识别设备。
(三)有益效果
本发明公开了一种多因素认证系统的扩展方案,该方案能够灵活接入各种能运行程序的采集设备,而无需预部署程序,仅升级采集程序即可,这大大减轻了客户端的部署和升级工作量。同时,本发明在本地设备、本地程序以及远端服务端之间均经过多次安全验证,从而保证整个登录认证流程安全可靠,实现了多重等级保护的要求。
附图说明
图1为本发明提供的一种基于BS架构的工控系统多因素认证登录方法的流程示意图;
图2为本发明提供的一种基于BS架构的工控系统多因素认证登录方法的步骤S2的具体流程示意图;
图3为本发明提供的一种基于BS架构的工控系统多因素认证登录方法的步骤S3的具体流程示意图;
图4为本发明提供的一种基于BS架构的工控系统多因素认证登录方法的步骤S4的具体流程示意图;
图5为本发明提供的一种基于BS架构的工控系统多因素认证登录方法的版本验证流程示意图;
图6为本发明提供的一种基于BS架构的工控系统多因素认证登录系统的组成示意图;
图7为本发明提供的一种基于BS架构的工控系统多因素认证登录方法的登录认证流程示意图。
具体实施方式
为了更好地解释本发明,以便于理解,下面结合附图,通过具体实施方式,对本发明作详细描述。
图1为本发明提供的一种基于BS架构的工控系统多因素认证登录方法的流程示意图,如图1所示,本发明实施例提出的一种基于BS架构的工控系统多因素认证登录方法,包括:首先,获取用户在登录认证界面输入的请求信息;其次,向登录认证服务器发送请求信息,以使登录认证服务器返回依据请求信息产生的第一响应信息;接着,向用户身份特征采集模块发送第一响应信息,以使用户身份特征采集模块返回依据第一响应信息产生的第二响应信息;再者,将第二响应信息发送给登录认证服务器,以使认证服务器依据请求信息、第一响应信息和第二响应信息进行认证;最后,若认证成功则重定向到待登录子系统界面。
本发明公开了一种多因素认证系统的扩展方案,该方案能够灵活接入各种能运行程序的采集设备,而无需预部署程序,仅升级采集程序即可,这大大减轻了客户端的部署和升级工作量。同时,本发明在本地设备、本地程序以及远端服务端之间均经过多次安全验证,从而保证整个登录认证流程安全可靠,实现了多重等级保护的要求。
为了更好地理解上述技术方案,下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更清楚、透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
具体地,本发明公开的一种基于BS架构的工控系统多因素认证登录方法,包括:
S1、获取用户在登录认证界面输入的请求信息。
S2、向登录认证服务器发送所述请求信息,以使所述登录认证服务器返回依据所述请求信息产生的第一响应信息。
其中,所述用户身份特征采集模块包括:采集程序和采集设备,所述采集设备中预先配置有私钥和证书;所述采集设备包括:CPU卡及对应的读卡器、可编程的指纹采集设备以及可编程的人脸识别设备。
图2为本发明提供的一种基于BS架构的工控系统多因素认证登录方法的步骤S2的具体流程示意图,如图2所示,步骤S2包括:
S21、基于HTTPS协议向登录认证服务器发送所述请求信息。其中,所述请求信息包括账户名和密码。
S22、接收所述登录认证服务器依据所述请求信息并结合所述登录认证服务器中预设关系发送的认证所需因素。
在验证流程开始之前,登录认证服务器(LoginServer)维护采集设备序列号与该设备对应的加密密钥的对应关系,如表1所示:
表1
设备序号 | 设备类型 | 证书地址 |
asd-fgh-1234 | 指纹采集 | /usr/app/cer/asd-fgh-1234 |
bsd-xgh-5678 | CPU卡门禁卡 | /usr/app/cer/bsd-xgh-5678 |
每一个采集设备,都有一个唯一的序列号以及一对非对称秘钥。其中,私钥烧录到采集设备中,证书放置于登录认证服务器中。所以采集设备的序列号对应于它自己的证书,对应关系存储在登录认证服务器中。依据序列号,就能找到设备的证书。采集设备的私钥用于签名其采集的信息,在系统中的证书用于验证签名。
登录认证服务器(LoginServer)维护用户账号与认证因素的对应关系,如表2所示:
表2
账号 | 设备类型 | 特征值 |
david | 指纹采集 | david的指纹特征码 |
david | CPU卡门禁卡 | david的门禁卡设备序号 |
认证因素指用户身上的特征,这些特征用来认证用户的真实性,如指纹和虹膜等。每个用户均有一个用户账号;每个用户对应有多个认证因素。用户账号与认证因素有对应关系,对应关系存储于登录认证中心系统中,依据账户信息,就能找到对应的认证因素。
登录认证服务器(LoginServer)维护用户账号与安全等级的对应关系,如表3所示,依据预设的权限将用户账号划分为不同安全等级。
表3
账号 | 安全等级 |
david | 二级 |
zhuf | 三级 |
登录认证服务器(LoginServer)维护安全等级与认证所需因素的对应关系,如表4所示,
所述安全等级与认证所需因素的对应关系为:
第一安全等级账户对应的认证所需因素:0,即第一安全等级账户不需要认证所需因素就可以通过认证。
第二安全等级账户对应的认证所需因素包括:CPU卡门禁卡、指纹采集以及人脸采集中的一种;
第三安全等级账户对应认证所需因素包括:CPU卡门禁卡、指纹采集、人脸采集。
表4
安全等级 | 设备类型 |
二级 | CPU卡门禁卡 |
三级 | CPU卡门禁卡 |
三级 | 指纹采集 |
三级 | 人脸采集 |
进一步地,步骤S22包括:
S221、所述登录认证服务器基于所述用户账号与安全等级的对应关系确定该用户账号的安全等级。
S222、依据获得的所述安全等级基于所述安全等级与认证所需因素的对应关系确定用户账号的认证所需因素。
在具体实施例中,浏览器使用Https单向认证向登录认证服务器索要该账户对应的所有认证因素类别和临时对称加密秘钥,如登录认证服务器返回了“david账户”对应的“认证因素类别——门禁卡”。
S3、向用户身份特征采集模块发送所述第一响应信息,以使所述用户身份特征采集模块返回依据所述第一响应信息产生的第二响应信息。
图3为本发明提供的一种基于BS架构的工控系统多因素认证登录方法的步骤S3的具体流程示意图,如图3所示,步骤S3包括:
S31、基于HTTPS协议向用户身份特征采集模块发送认证所需因素;
S32、接收所述用户身份特征采集模块依据所述认证所需因素调用采集设备采集相应的用户特征信息、所述用户身份特征采集模块对所述用户特征信息的签名以及进行采集操作的采集设备ID。
S4、将所述第二响应信息发送给所述登录认证服务器,以使所述认证服务器依据所述请求信息、第一响应信息和第二响应信息进行认证。
图4为本发明提供的一种基于BS架构的工控系统多因素认证登录方法的步骤S4的具体流程示意图,如图4所示,步骤S4包括:
S41、将所述账户信息、用户特征信息、签名以及采集设备ID打包发送给所述登录认证服务器进行校验;
S42、接收所述登录认证服务器的校验结果。
S5、若认证成功则重定向到待登录子系统界面。
此外,在整个验证流程开始之前,还包括版本验证流程:
获取所述采集程序的版本号;
若获取失败,则从所述登录认证服务器处下载所述采集程序最新的安装包;
若获取成功,则向所述登录认证服务器确认该版本号是否为最新;
若不是最新,则从所述登录认证服务器处下载所述采集程序最新的安装包。
在具体实施例中,如图5所示,上述的版本验证流程包括:步骤一:用户向登录服务器下载证书,并安装证书;步骤二:用户打开浏览器,使用http访问LoginServer,页面打开时,会利用Http协议尝试访问本地运行的“用户身份特征采集程序”(LocalDeviceService,既能够用于采集用户身份特征信息,又能够提供本地的http服务),获取程序版本号(首次使用,并不存在该程序,即无法获取程序版本号);步骤三:如果步骤二,获取LocalDeviceService版本失败,则浏览器向LoginServer下载最新的LocalDeviceService安装包,执行“步骤五”;如果获取LocalDeviceService的版本成功,浏览器使用Https单向认证向LoginServer确认本地的LocalDeviceService的版本是否最新;步骤四:如果LocalDeviceService的版本不是最新,则浏览器向LoginServer下载最新的LocalDeviceService安装包,执行“步骤五”;版本是最新则完成本流程;步骤五:下载完安装包后,执行安装。安装完成后,程序以系统服务的形式存在用户的计算机中,只要开机就能提供服务。
本发明实施例还提出一种基于BS架构的工控系统多因素认证登录系统,如图6所示,包括:
用户身份特征采集模块,用于调用采集设备来采集用户特性信息,并对所述用户特性信息进行签名;
登录认证服务器,用于基于用户输入的账户信息、用户特性信息、签名以及设备的ID对用户进行认证登录;
采集设备预部署模块,用于为所述采集设备配置私钥和证书,并将将私钥和基于私钥对数据签名的程序烧制到该设备;
登录认证服务器预部署模块,用于在登录认证服务器中预先设置如下关系:各采集设备序列号与所述证书的对应关系、用户账号与认证因素的对应关系、用户账号与安全等级的对应关系以及安全等级与认证所需因素的对应关系
验证与升级模块,用于获取所述采集程序的版本号并判断版本号是否为最新,若不为最新则从所述登录认证服务器处下载所述采集程序最新的安装包;
待登录子系统,所述待登录系统包括:监控中心、OPC服务器及实时数据库。
其中,所述用户身份特征采集模块包括:采集程序和采集设备;所述采集设备包括:CPU卡及对应的读卡器、可编程的指纹采集设备以及可编程的人脸识别设备。
较佳地,在登录认证服务器和接入的互联网之间设置有第一防火墙,在登录认证服务器与所述待登录系统之间设置有第二防火墙。
在上述系统中,登录认证服务器LoginServer提供了账户识别、多因素认证的能力。用户通过浏览器登录到工控系统的各个子系统,首先需要被LoginServer认证;接着,采集设备采集用户信息;再者将账号、密码、签名、设备采集信息、采集设备ID传输给登录认证服务器LoginServer进行校验。
由于本发明上述实施例所描述的系统/装置,为实施本发明上述实施例的方法所采用的系统/装置,故而基于本发明上述实施例所描述的方法,本领域所属技术人员能够了解该系统/装置的具体结构及变形,因而在此不再赘述。凡是本发明上述实施例的方法所采用的系统/装置都属于本发明所欲保护的范围。
综上所述,本发明提供一种基于BS架构的工控系统多因素认证登录方法及系统,如图7所示,整个方案流程为:首先,用户在登录界面输入账户名和密码;其次,浏览器使用Https单向认证向登录认证服务器LoginServer索要“账户对应的所有认证因素类别”和“临时对称加密秘钥”,如登录认证服务器LoginServer返回了“david账户”对应的“认证因素类别——门禁卡”;接着,浏览器使用Http向本地的采集程序LocalDeviceService传输“账户对应的所有认证因素类别”;继而,采集程序LocalDeviceService向本地的智能信息采集设备索取采集后的信息、设备对上报信息的签名;然后,浏览器将账户、密码、特征信息采集、设备对采集信息签名以及设备ID5个内容传输给LoginServer;再者,登录认证服务器LoginServer读取数据库的信息,对输入数据进行校验;最后,校验成功则浏览器重定向到带登录的子系统登录界面。
基于上述步骤,本发明的方案较现有技术有如下优势:
(1)客户端主机程序部署、升级工作简单轻松,只需有一个浏览器即可;(2)多因素灵活搭配,支持不同安全等级的账户登录;
(3)整个登录流程安全性高,涉及的设备、程序、服务端都被认证。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例,或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。
应当注意的是,在权利要求中,不应将位于括号之间的任何附图标记理解成对权利要求的限制。词语“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的词语“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的权利要求中,这些装置中的若干个可以是通过同一个硬件来具体体现。词语第一、第二、第三等的使用,仅是为了表述方便,而不表示任何顺序。可将这些词语理解为部件名称的一部分。
此外,需要说明的是,在本说明书的描述中,术语“一个实施例”、“一些实施例”、“实施例”、“示例”、“具体示例”或“一些示例”等的描述,是指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管已描述了本发明的优选实施例,但本领域的技术人员在得知了基本创造性概念后,则可对这些实施例作出另外的变更和修改。所以,权利要求应该解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种修改和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也应该包含这些修改和变型在内。
Claims (10)
1.一种基于BS架构的工控系统多因素认证登录方法,其特征在于,包括:
获取用户在登录认证界面输入的请求信息;
向登录认证服务器发送所述请求信息,以使所述登录认证服务器返回依据所述请求信息产生的第一响应信息;
向用户身份特征采集模块发送所述第一响应信息,以使所述用户身份特征采集模块返回依据所述第一响应信息产生的第二响应信息;
将所述第二响应信息发送给所述登录认证服务器,以使所述认证服务器依据所述请求信息、第一响应信息和第二响应信息进行认证;
若认证成功则重定向到待登录子系统界面。
2.如权利要求1所述的一种基于BS架构的工控系统多因素认证登录方法,其特征在于,
所述用户身份特征采集模块包括:采集程序和采集设备,所述采集设备中预先配置有私钥和证书;
所述采集设备包括:CPU卡及对应的读卡器、可编程的指纹采集设备以及可编程的人脸识别设备。
3.如权利要求2所述的一种基于BS架构的工控系统多因素认证登录方法,其特征在于,向登录认证服务器发送所述请求信息,以使所述登录认证服务器返回依据所述请求信息产生的第一响应信息包括:
基于HTTPS协议向登录认证服务器发送所述请求信息;
接收所述登录认证服务器依据所述请求信息并结合所述登录认证服务器中预设关系发送的认证所需因素;
其中,所述请求信息包括账户信息。
4.如权利要求3所述的一种基于BS架构的工控系统多因素认证登录方法,其特征在于,所述登录认证服务器中预先设有如下关系:用户账号与安全等级的对应关系、安全等级与认证所需因素的对应关系以及采集设备序列号与该设备对应的加密密钥的对应关系;
所述用户账号与安全等级的对应关系为:
依据预设的权限将用户账号划分为不同安全等级;
所述安全等级与认证所需因素的对应关系为:
第一安全等级账户对应的认证所需因素:0;
第二安全等级账户对应的认证所需因素包括:CPU卡、指纹采集以及人脸采集中的一种;
第三安全等级账户对应认证所需因素包括:CPU卡、指纹采集以及人脸采集。
5.如权利要求4所述的一种基于BS架构的工控系统多因素认证登录方法,其特征在于,接收所述登录认证服务器依据所述请求信息并结合所述登录认证服务器中预设关系发送的认证所需因素包括:
所述登录认证服务器基于所述用户账号与安全等级的对应关系确定该用户账号的安全等级;
依据获得的所述安全等级基于所述安全等级与认证所需因素的对应关系确定用户账号的认证所需因素。
6.如权利要求2所述的一种基于BS架构的工控系统多因素认证登录方法,其特征在于,向用户身份特征采集模块发送所述第一响应信息,以使所述用户身份特征采集模块返回依据所述第一响应信息产生的第二响应信息包括:
基于HTTPS协议向用户身份特征采集模块发送认证所需因素;
接收所述用户身份特征采集模块依据所述认证所需因素调用采集设备采集相应的用户特征信息、所述采集设备采集对所述用户特征信息的签名以及进行采集操作的采集设备ID。
7.如权利要求6所述的一种基于BS架构的工控系统多因素认证登录方法,其特征在于,将所述第二响应信息发送给所述登录认证服务器,以使所述认证服务器依据所述请求信息、第一响应信息和第二响应信息进行认证包括:
将所述账户信息、用户特征信息、签名以及采集设备ID打包发送给所述登录认证服务器进行校验;
接收所述登录认证服务器的校验结果。
8.如权利要求7所述的一种基于BS架构的工控系统多因素认证登录方法,其特征在于,所述登录认证服务器进行校验包括:
校验账户信息与从预设的认证信息数据库中调取的信息是否匹配;
用所述采集设备的证书校验设备的签名;
校验所述用户特征信息与预设的认证信息数据库中的特征值是否匹配。
9.如权利要求2-8任一项所述的一种基于BS架构的工控系统多因素认证登录方法,其特征在于,在获取用户在登录认证界面输入的请求信息之前,还包括:
获取所述采集程序的版本号;
若获取失败,则从所述登录认证服务器处下载所述采集程序最新的安装包;
若获取成功,则向所述登录认证服务器确认该版本号是否为最新;
若不是最新,则从所述登录认证服务器处下载所述采集程序最新的安装包。
10.一种基于BS架构的工控系统多因素认证登录系统,其特征在于,包括:
用户身份特征采集模块,用于调用采集设备来采集用户特性信息,并对所述用户特性信息进行签名;
登录认证服务器,用于基于用户输入的账户信息、用户特性信息、签名以及采集设备的ID对用户进行认证登录;
采集设备预部署模块,用于为所述采集设备配置私钥和证书,并将将私钥和基于私钥对数据签名的程序烧制到该设备;
登录认证服务器预部署模块,用于在登录认证服务器中预先设置如下关系:各采集设备序列号与所述证书的对应关系、用户账号与认证因素的对应关系、用户账号与安全等级的对应关系以及安全等级与认证所需因素的对应关系;
验证与升级模块,用于获取所述采集程序的版本号并判断版本号是否为最新,若不为最新则从所述登录认证服务器处下载所述采集程序最新的安装包;
待登录子系统,所述待登录系统包括:监控中心、OPC服务器及实时数据库。
其中,所述用户身份特征采集模块包括:采集程序和采集设备;所述采集设备包括:CPU卡及对应的读卡器、可编程的指纹采集设备以及可编程的人脸识别设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111241702.5A CN113987455A (zh) | 2021-10-25 | 2021-10-25 | 一种基于bs架构的工控系统多因素认证登录方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111241702.5A CN113987455A (zh) | 2021-10-25 | 2021-10-25 | 一种基于bs架构的工控系统多因素认证登录方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113987455A true CN113987455A (zh) | 2022-01-28 |
Family
ID=79741067
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111241702.5A Pending CN113987455A (zh) | 2021-10-25 | 2021-10-25 | 一种基于bs架构的工控系统多因素认证登录方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113987455A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115019411A (zh) * | 2022-05-10 | 2022-09-06 | 浙江中控技术股份有限公司 | 基于语音交互的巡检系统和方法 |
-
2021
- 2021-10-25 CN CN202111241702.5A patent/CN113987455A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115019411A (zh) * | 2022-05-10 | 2022-09-06 | 浙江中控技术股份有限公司 | 基于语音交互的巡检系统和方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111181977B (zh) | 一种登录方法、装置、电子设备及介质 | |
CN110881051B (zh) | 安全风险事件处理方法、装置、设备及存储介质 | |
CN110855676A (zh) | 网络攻击的处理方法、装置及存储介质 | |
CN109257391A (zh) | 一种访问权限开放方法、装置、服务器及存储介质 | |
CN106453422B (zh) | 一种基于移动终端动态认证方法及系统 | |
CN105162775A (zh) | 虚拟机登陆方法及装置 | |
CN106549909B (zh) | 一种授权验证方法及设备 | |
CN111818088A (zh) | 授权模式管理方法、装置、计算机设备及可读存储介质 | |
CN111490981A (zh) | 访问管理方法、装置、堡垒机及可读存储介质 | |
CN109067785A (zh) | 集群认证方法、装置 | |
CN110740140A (zh) | 一种基于云平台的网络信息安全监管系统 | |
CN112838951B (zh) | 一种终端设备的运维方法、装置、系统及存储介质 | |
CN106656927A (zh) | 将Linux账号加入AD域的方法及装置 | |
CN111414612A (zh) | 操作系统镜像的安全保护方法、装置及电子设备 | |
CN110175439A (zh) | 用户管理方法、装置、设备及计算机可读存储介质 | |
RU2638779C1 (ru) | Способ и сервер для вьполнения авторизации приложения на электронном устройстве | |
CN113987455A (zh) | 一种基于bs架构的工控系统多因素认证登录方法及系统 | |
CN112929388B (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
CN107682321B (zh) | 一种sdn控制器集群单点登录的方法及装置 | |
CN103685259B (zh) | 账户登录的方法及其装置 | |
CN106529216B (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 | |
CN107172082B (zh) | 一种文件共享方法及系统 | |
CN113079023B (zh) | 一种文件分发管理方法、装置以及相关设备 | |
CN110572371B (zh) | 基于html5本地存储机制的身份唯一性校验控制方法 | |
JP3974070B2 (ja) | ユーザ認証装置、端末装置、プログラム及びコンピュータ・システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |