CN115529126A - 一种用于网管的双因子认证系统 - Google Patents
一种用于网管的双因子认证系统 Download PDFInfo
- Publication number
- CN115529126A CN115529126A CN202211006408.0A CN202211006408A CN115529126A CN 115529126 A CN115529126 A CN 115529126A CN 202211006408 A CN202211006408 A CN 202211006408A CN 115529126 A CN115529126 A CN 115529126A
- Authority
- CN
- China
- Prior art keywords
- user
- ukey
- face
- information
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012795 verification Methods 0.000 claims abstract description 18
- 238000000034 method Methods 0.000 claims abstract description 15
- 238000012545 processing Methods 0.000 claims abstract description 4
- 238000013475 authorization Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明提供了一种用于网管的双因子认证系统,属于网络安全技术领域。步骤如下:用户注册完后录入人脸;录入UKEY信息:插入UKEY,系统会识别到硬件;网管客户端登录:将人脸信息和UKEY信息与用户之间实现绑定;人脸校验:客户端发起人脸校验流程,摄像头采集图像,认证客户端将采集图像转码处理与数据库信息进行比对,返回按相似度排序的用户列表;UKEY校验过程:根据获取的用户ID,传给认证客户端加密后和UKEY中的加密信息对比,结果一致,代表验证的信息对应同一用户,经过双因子验证后,用户正常登录;若结果不一致,代表两次验证的不为同一用户,不予登录;人脸和UKEY调用后会返回指定错误码。本发明具有认证效率高、安全性高等优点。
Description
技术领域
本发明属于网络安全技术领域,涉及一种用于网管的双因子认证系统。
背景技术
网管通过对网络设备进行监视、测试、配置、分析、和控制,来掌握其实时运行性能、服务质量等。当设备出现故障时能及时报告和处理,并协调、保持网络系统的高效运行等。网管作为用户与设备沟通的桥梁,其中涉及许多私有信息和敏感操作,因此网管的安全管理是网管功能的重要环节。对于访问控制,网管需要做登录认证和分权分域,对于一些操作需要进行二次授权认证和记录操作日志。传统网管的认证采用的是账户密码认证,这种方式显然不足以保证系统的安全。
一般来说,分三种不同类型的证据,来证明一个人的身份。
秘密信息:只有该用户知道、其他人不知道的某种信息,比如密码。
个人物品:该用户的私人物品,比如身份证、钥匙。
生理特征:该用户的遗传特征,比如指纹、相貌、虹膜等等。
双因子认证(2FA)是指采用两种要素对用户进行认证的方法。双因子认证系统能够代替基本的账户密码安全机制,通过双重保证提高了认证的可靠性。有效抵御非法破解入侵,避免网络资源被恶意访问和破坏,有效杜绝网络安全问题的发生。
发明内容
本发明的目的是针对现有的技术存在的上述问题,提供一种用于网管的双因子认证系统,本发明所要解决的技术问题是如何提高认证的效率和安全性。
本发明的目的可通过下列技术方案来实现:一种用于网管的双因子认证系统,其特征在于,包括如下步骤:
S1、用户注册完后录入人脸;
S2、录入UKEY信息:插入UKEY,系统会识别到硬件;
S3、网管客户端登录:步骤S1和步骤S2分别将人脸信息和UKEY信息与用户之间实现绑定;
S4、人脸校验:客户端发起人脸校验流程,摄像头采集图像,认证客户端将采集图像转码处理与数据库信息进行比对,返回按相似度排序的用户列表;
S5、UKEY校验过程:根据S4中获取的用户ID,查询用户名和密码,传给认证客户端加密后和UKEY中的加密信息对比,结果一致,代表步骤S4和步骤S5中验证的信息对应同一用户,经过双因子验证后,用户正常登录;若结果不一致,代表两次验证的不为同一用户,不予登录;
S6、人脸和UKEY调用后会返回指定错误码;
S7、用户登录后,对涉及需要二次授权的敏感操作的,用户下发网管操作时,网管应先行比对当前用户人脸和已登录账号,若比对结果不一致,网管应驳回操作指令;若比对结果一致,网管应要求管理员用户许可并进行第二用户的双因子鉴权,若鉴权通过,网管应正常下发操作指令;若鉴权失败,网管应驳回操作指令。
基于生理特征这个要素,使用人脸识别技术作为另外一个认证因子。该技术具有识别快、精度高、不易仿冒等优点。基于个人物品这个要素,使用UKEY这种即插即用的便携设备作为认证因子。该物理设备加密算法安全级别高,不易破解。本系统采用的人脸识别和UKEY双因子认证系统,代替和补充了基本的账户密码安全机制。用户只需插上UKEY和校验一下人脸,无需输入账户密码,也不存在忘记密码的情形,使用更加便捷,安全。
本发明的有益效果在于,在网管安全领域设计了一种可靠、易用的双因子认证方法。以摄像头和UKEY结合相应的软件算法,构建了一套高准确度,快速的认证系统,解决了单因子认证系统的安全问题。对于本发明中的人脸和UKEY双因子认证方法,系统相对独立、实现简单、易整合,具有很强的通用性。
附图说明
图1为本发明S1的人脸采集时序图;
图2为本发明S2的UKEY录入时序图;
图3为本发明S3的人脸校验时序图;
图4为本发明S4的UKEY校验时序图;
图5为本发明的登录流程图;
图6为本发明的架构原理图。
具体实施方式
以下是本发明的具体实施例并结合附图,对本发明的技术方案作进一步的描述,但本发明并不限于这些实施例。
S1、如图1所示,用户注册完后录入人脸:录入人脸需要摄像头采集图像,本系统采用高清摄像头和红外摄像头双摄像头对人脸进行采集,保证采集的图像清晰,并且可应对夜间光线不好的使用场景。摄像头采集的人脸图像数据会经过认证客户端处理转换成后存到数据库,其中人脸数据和用户ID是一一对应的。
S2、如图2所示,录入UKEY信息:插入UKEY,系统会识别到硬件。传入用户的用户名和密码,UEKY通过内部加密算法对其进行加密成密文。写入成功后,UEKY和该用户的信息进行了绑定。
S3、如图3所示,网管客户端登录:S1,S2中将人脸和UKEY信息绑定了用户,用户可以利用其进行登录。在人脸和UKEY正常的情况下,使用人脸和UEKY进行登录。
S4、如图4所示,人脸校验过程:客户端发起人脸校验流程,摄像头采集图像,认证客户端将采集图像转码处理与数据库信息进行比对,返回按相似度排序的用户列表。
S5、UKEY校验过程:根据S4中获取的用户ID,查询用户名和密码,传给认证客户端加密后和UKEY中的加密信息对比。结果一致,代表S4和S5中验证的为同一用户,经过双因子验证后,用户正常登录。若结果不一致,代表两次验证的不为同一用户,不予登录。
S6、人脸和UKEY调用后会返回指定错误码,错误码分为两类:一是正常调用返回错误结果,如调用摄像头失败、未录入该人脸信息、ukey打开失败,未插入u盾或用户名密码校验未通过;二是系统故障代表其不可用如服务端异常、ukey内部错误。正常调用返回错误,直接结束流程。当人脸和UKEY有一项系统故障的情况下,需要结合用户名和密码进行认证,且要保证人脸或UKEY和输入的账户密码验证的是同一用户。
S7、用户登录后,对涉及到敏感操作,需要二次授权的操作。用户下发网管操作时,网管应先行比对当前用户人脸和已登录账号,若比对结果不一致,网管应驳回操作指令;若比对结果一致,网管应要求管理员用户许可并进行第二用户双因子鉴权(人脸识别+ukey),若鉴权通过,网管应正常下发操作指令;若鉴权失败,网管应驳回操作指令。
如图5所示,可以简便的对登录过程进行了解,也便于体现本系统的本质。
本系使用的双因子认证系统是相对比较独立的系统。其框架如图6所示,为了方便网管客户端直接调用摄像头和UKEY校验,网管能够与认证服务端交互。需将认证客户端集成到网管中。统硬件上引入了USB接口的摄像头和UKEY,兼容性好,无需装驱动。在需要使用双因子认证的客户机上插入UEKY和安装摄像头,配置好摄像头需要调用的第三方库。网管客户端通过引用认证客户端的jar包来嵌入认证客户端。将人脸服务端和人脸相关配置选项配置在config\application.properties文件中,放入网管的类路径中,这样嵌入的jar可以直接读取到相关配置。除此之外,网管客户端通过嵌入的jar,调用摄像头和UKEY,并且调用人脸服务端的接口。
认证服务采用Restful风格的接口,供认证客户端调用。配置数据库的连接和人脸相关配置后启动服务,系统会记录客户端请求的日志。认证服务端独立于网管的服务,部署在单独的服务器上,并采用双机热备保证其高可用。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
Claims (2)
1.一种用于网管的双因子认证系统,其特征在于,包括如下步骤:
S1、用户注册完后录入人脸;
S2、录入UKEY信息:插入UKEY,系统会识别到硬件;
S3、网管客户端登录:步骤S1和步骤S2分别将人脸信息和UKEY信息与用户之间实现绑定;
S4、人脸校验:客户端发起人脸校验流程,摄像头采集图像,认证客户端将采集图像转码处理与数据库信息进行比对,返回按相似度排序的用户列表;
S5、UKEY校验过程:根据S4中获取的用户ID,查询用户名和密码,传给认证客户端加密后和UKEY中的加密信息对比,结果一致,代表步骤S4和步骤S5中验证的信息对应同一用户,经过双因子验证后,用户正常登录;若结果不一致,代表两次验证的不为同一用户,不予登录;
S6、人脸和UKEY调用后会返回指定错误码。
2.根据权利要求1所述一种用于网管的双因子认证系统,其特征在于,用户登录后,对涉及需要二次授权的敏感操作的,用户下发网管操作时,网管应先行比对当前用户人脸和已登录账号,若比对结果不一致,网管应驳回操作指令;若比对结果一致,网管应要求管理员用户许可并进行第二用户的双因子鉴权,若鉴权通过,网管应正常下发操作指令;若鉴权失败,网管应驳回操作指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211006408.0A CN115529126A (zh) | 2022-08-22 | 2022-08-22 | 一种用于网管的双因子认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211006408.0A CN115529126A (zh) | 2022-08-22 | 2022-08-22 | 一种用于网管的双因子认证系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115529126A true CN115529126A (zh) | 2022-12-27 |
Family
ID=84697675
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211006408.0A Pending CN115529126A (zh) | 2022-08-22 | 2022-08-22 | 一种用于网管的双因子认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115529126A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101561873A (zh) * | 2009-05-25 | 2009-10-21 | 孙敏霞 | 具备虹膜识别和USB Key功能的多模态身份认证设备 |
| CN102223233A (zh) * | 2011-06-15 | 2011-10-19 | 刘洪利 | 一种生物密码认证系统,以及一种生物密码认证方法 |
| CN110661800A (zh) * | 2019-09-25 | 2020-01-07 | 北京计算机技术及应用研究所 | 一种支持保证级别的多因子身份认证方法 |
| CN113794563A (zh) * | 2021-07-08 | 2021-12-14 | 中国南方电网有限责任公司 | 一种通信网络安全控制方法及系统 |
| CN114629655A (zh) * | 2022-03-12 | 2022-06-14 | 海南电网有限责任公司 | 一种保证光传输网管网络安全的方法 |
-
2022
- 2022-08-22 CN CN202211006408.0A patent/CN115529126A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101561873A (zh) * | 2009-05-25 | 2009-10-21 | 孙敏霞 | 具备虹膜识别和USB Key功能的多模态身份认证设备 |
| CN102223233A (zh) * | 2011-06-15 | 2011-10-19 | 刘洪利 | 一种生物密码认证系统,以及一种生物密码认证方法 |
| CN110661800A (zh) * | 2019-09-25 | 2020-01-07 | 北京计算机技术及应用研究所 | 一种支持保证级别的多因子身份认证方法 |
| CN113794563A (zh) * | 2021-07-08 | 2021-12-14 | 中国南方电网有限责任公司 | 一种通信网络安全控制方法及系统 |
| CN114629655A (zh) * | 2022-03-12 | 2022-06-14 | 海南电网有限责任公司 | 一种保证光传输网管网络安全的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7613929B2 (en) | Method and system for biometric identification and authentication having an exception mode | |
| US8782427B2 (en) | System and method for sequentially processing a biometric sample | |
| CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| CN111931144B (zh) | 一种操作系统与业务应用统一安全登录认证方法及装置 | |
| RU2320009C2 (ru) | Системы и способы для защищенной биометрической аутентификации | |
| CN109981561A (zh) | 单体架构系统迁移到微服务架构的用户认证方法 | |
| CN109587123A (zh) | 双因子验证方法及认证服务器、生物特征验证服务器 | |
| CN110995661B (zh) | 一种网证平台 | |
| CN112615828A (zh) | 一种基于云计算网络的知识产权运营系统及智能授权方法 | |
| CN105071993B (zh) | 加密状态检测方法和系统 | |
| CN115529126A (zh) | 一种用于网管的双因子认证系统 | |
| JPH10161979A (ja) | サーバへログイン時の指紋、及び変換したパスワードによるユーザ認証 | |
| CN102474498B (zh) | 用户识别设备认证方法 | |
| CN111814130B (zh) | 单点登录方法及系统 | |
| KR102187545B1 (ko) | 얼굴인식 기반의 사용자 인증을 통해 보안 문서를 제공하는 문서 관리 장치 및 그 동작 방법 | |
| CN112199651A (zh) | 一种登录身份信息验证系统及其验证方法 | |
| US20210397687A1 (en) | Method for authenticating a user on client equipment | |
| CN112437088B (zh) | 一种互联网终端登录双因子安全认证系统 | |
| CN116842490A (zh) | 一种统一用户账户密码的管理方法、装置及系统 | |
| CN116389145A (zh) | 基于多因素认证结合多维授权模型的动态访问控制方法 | |
| KR20060040155A (ko) | 지문인증기반의 데이터 보안 시스템 및 방법 | |
| CN117278260A (zh) | 一种usbkey设备丢失或锁定后的登录方法及系统 | |
| CN116720200A (zh) | 基于区块链的权限认证方法 | |
| CN117527199A (zh) | 设备登录方法、设备及计算机可读存储介质 | |
| CN115567295A (zh) | 一种访问大数据系统的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |