CN115801376A - 基于pki的密码远程协助方法、系统及电子设备 - Google Patents
基于pki的密码远程协助方法、系统及电子设备 Download PDFInfo
- Publication number
- CN115801376A CN115801376A CN202211403972.6A CN202211403972A CN115801376A CN 115801376 A CN115801376 A CN 115801376A CN 202211403972 A CN202211403972 A CN 202211403972A CN 115801376 A CN115801376 A CN 115801376A
- Authority
- CN
- China
- Prior art keywords
- receiver
- password
- sender
- public key
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开的基于PKI的密码远程协助方法、系统及电子设备,与现有技术相比,包括步骤:获取接收方ID账号,为接收方ID账号设置读写权限及限制条件,将接收方ID账号记入可分享ID清单;获取接收方非对称公钥;通过接收方非对称公钥对待分享密码信息进行加密,得到第二加密包;将第二加密包、可分享ID清单、发送方非对称公钥发送至接收方;接收方执行第一操作步骤包括:判断接收方是否在可分享ID清单中,并且满足读写权限和限制条件;若有任一条件不符合,利用发送方非对称公钥对第二加密包进行加密,得到第三加密包。本申请涉及的技术方案,相较于现有技术而言,其能够提高密码远程协助的安全性,防止密码滥用,减少密码泄露造成的负面影响。
Description
技术领域
本申请涉及密码管理技术领域,更具体地说,尤其涉及一种基于PKI的密码远程协助方法;本申请还涉及一种基于PKI的密码远程协助系统;本申请还涉及一种电子设备。
背景技术
当某现场出现需要使用密码或某种秘密信息时,因用户(发送方)不在现场无法本人进行操作,需要其他人(接收方)进行远程协助操作时,用户需要将自己的密码或秘密信息分享给现场协助操作的人员,但将密码直接通过移动终端发给协助者,通信环节中存在泄密的隐患,且协助操作的人员也可能对密码滥用。
因此,如何提供一种基于PKI的密码远程协助方法,其应用于密码管理中,能够提高密码远程协助的安全性,减少密码泄露造成的负面影响,已经成为本领域技术人员亟待解决的技术问题。
发明内容
为解决上述技术问题,本申请提供一种基于PKI的密码远程协助方法,其能够提高密码远程协助的安全性,防止密码滥用,减少密码泄露造成的负面影响。
本发明提出一种基于PKI密码的远程协助方法,通过PC端的软件的CA功能为用户颁发数字证书。当用户事先已注册数字证书,需要关于密码的远程协助时,协助者可通过现场注册数字证书,需分享信息的用户为协助者对需要使用的密码或秘密信息进行授权,使得协助者可以远程查看相关密码或秘密信息。密码或秘密信息采用非对称加密方式,确保只有协助者才能完成解密并进行查看。在密码信息传输时采用SSL VPN方式,最大程度确保信息传输中的安全性。
本申请提供的技术方案如下:
本申请提供一种基于PKI的密码远程协助方法,该方法包括:获取接收方ID账号,为所述接收方ID账号设置读写权限及限制条件后,将所述接收方ID账号记入可分享ID清单;获取接收方非对称公钥;若发送方的待登入设备终端为固定密码登入则执行第一操作步骤;
所述发送方执行第一操作步骤包括:通过所述接收方非对称公钥对待分享密码信息进行加密,得到第二加密包;将所述第二加密包、所述可分享ID清单、发送方非对称公钥发送至接收方;
所述接收方执行第一操作步骤包括:判断所述接收方是否在可分享ID清单中,并且满足读写权限和限制条件;若都符合,则接收方通过接收方非对称私钥对第二加密包进行解密,得到待分享密码信息;若有任一条件不符合,利用发送方非对称公钥对第二加密包进行加密,得到第三加密包。
进一步地,在本发明一种优选的方式中,所述读写权限包括:可读写权限及只读权限。
进一步地,在本发明一种优选的方式中,所述限制条件包括:使用期限、使用设备、使用地理范围限制中的一种或多种;所述使用期限为接收方收到第二加密包后,可对第二加密包进行操作的时间期限;所述使用设备为接收方可用于接收处理第二加密包的许可设备;所述使用地理范围限制为接收方使用所述许可设备的许可地理位置。
进一步地,在本发明一种优选的方式中,该方法还包括:将所述可分享ID清单同步至服务器。
进一步地,在本发明一种优选的方式中,所述“获取接收方非对称公钥”具体为:发送方向所述接收方发送协助指令;所述接收方确认后,将接收方非对称公钥发送至发送方;所述发送方获取所述接收方非对称公钥。
进一步地,在本发明一种优选的方式中,所述“将所述第二加密包、所述可分享ID清单、发送方非对称公钥发送至接收方”具体为:所述发送方将所述第二加密包发送至所述服务器,所述服务器将将所述第二加密包、所述可分享ID清单及发送方非对称公钥发送至接收方。
进一步地,在本发明一种优选的方式中,该方法还包括:所述发送方的所述待分享密码信息由所述服务器结合发送方非对称公钥加密为第一加密包后,发送至所述发送方;所述发送方收到第一加密包后,通过发送方非对称私钥解密后得到待分享密码信息。
进一步地,在本发明一种优选的方式中,该方法还包括:若发送方的待登入设备终端为动态密码登入则执行第二操作步骤;
所述发送方执行第二操作步骤包括:所述待分享密码信息中的密码为动态密码;所述发送方的待登入设备识别到接收方账户信息登入后,生成动态密码;通过所述接收方非对称公钥对所述待分享密码信息进行加密,得到第四加密包;通过服务器将所述第四加密包发送至接收方;
所述接收方执行第二操作步骤包括:所述接收方通过接收方非对称私钥对第四加密包进行解密得到待分享密码信息。
本申请还提供一种基于PKI的密码远程协助系统,该系统用于执行上述的基于PKI的密码远程协助方法,该系统包括:设置在所述发送方移动终端上,用于获取接收方ID账号,为所述接收方ID账号设置读写权限及限制条件后,将所述接收方ID账号记入可分享ID清单的第一处理模块;设置在所述发送方移动终端上,用于获取接收方非对称公钥的第一获取模块;用于执行所述第一操作步骤的第一执行模块;用于执行所述第二操作步骤的第二执行模块。
本申请还提供一种基于PKI的密码远程协助系统,该系统用于执行上述的基于PKI的密码远程协助方法,该系统包括:服务器;与所述服务器数据连接的发送方待登入设备终端,发送方待登入设备终端需通过固定密码或动态密码登入;与所述服务器数据连接的发送方移动终端,所述发送方移动终端用于执行第一操作步骤或第二操作步骤;与所述服务器数据连接的接收方移动终端,所述接收方移动终端用于执行第一操作步骤或第二操作步骤。
本申请还提供一种电子设备,包括:计算机程序,所述计算机程序用于执行上述的基于PKI的密码远程协助方法;存储器,用于存储所述计算机程序;处理器,用于执行所述计算机程序。
与现有技术相比,在该技术方案中,接收方需要为密码管理系统的用户,具有ID账号。开始阶段发送方获取到接收方ID账号,并在为接收方ID账号设置读写权限及限制条件后,计入与发送方关联的ID清单中;在获取到接收方的非对称公钥后,根据发送方待登入设备终端的密码类型执行不同的操作步骤,若发送方待登入设备终端为固定密码登入模式,则执行第一操作步骤。在第一操作步骤中,发送方通过接收方非对称公钥对待分享密码信息进行加密处理,得到第二加密包。将第二加密包及可分享ID清单、发送方非对称公钥发送至接收方;由接收方的设备终端进行判断。接收方需要满足如下条件才可对第二加密包进行解密:接收方的ID账号需要在所述可分享ID清单中,且接收方满足读写权限和限制条件;若不满足上述任一条件,则接收方设备终端将通过发送方非对称公钥对第二加密包进行加密,得到第三加密包,由此使得接收方无法对第三加密包解密,确保发送方的密码安全。通过设置接收方对第二加密包处理的权限及限制条件,防止接收方对第二加密包的滥用;通过利用发送方非对称公钥将第二加密包加密为第三加密包,使得接收方即使泄露第三加密包,外部也无法对第三加密包进行解密得到密码,避免密码泄露对发送方造成负面影响。本申请提供的技术方案,能够提高密码远程协助的安全性,防止密码滥用,减少密码泄露造成的负面影响。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于PKI的密码远程协助方法的仅有第一操作步骤的流程图;
图2为本发明实施例提供的基于PKI的密码远程协助方法的具有第一操作步骤和第二操作步骤的流程图;
图3为本发明实施例提供的基于PKI的密码远程协助系统结构图。
具体实施方式
为了使本领域的技术人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,当元件被称为“固定于”或“设置于”另一个元件上,它可以直接在另一个元件上或者间接设置在另一个元件上;当一个元件被称为是“连接于”另一个元件,它可以是直接连接到另一个元件或间接连接至另一个元件上。
需要理解的是,术语“长度”、“宽度”、“上”、“下”、“前”、“后”、“第一”、“第二”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,“多个”、“若干个”的含义是两个或两个以上,除非另有明确具体的限定。
须知,本说明书附图所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本申请可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本申请所能产生的功效及所能达成的目的下,均应仍落在本申请所揭示的技术内容得能涵盖的范围内。
请如图1和图3所示,本申请实施例提供的一种基于PKI的密码远程协助方法,该方法包括:获取接收方ID账号,为所述接收方ID账号设置读写权限及限制条件后,将所述接收方ID账号记入可分享ID清单;获取接收方非对称公钥;若发送方的待登入设备终端为固定密码登入则执行第一操作步骤;所述发送方执行第一操作步骤包括:通过所述接收方非对称公钥对待分享密码信息进行加密,得到第二加密包;将所述第二加密包、所述可分享ID清单、发送方非对称公钥发送至接收方;所述接收方执行第一操作步骤包括:判断所述接收方是否在可分享ID清单中,并且满足读写权限和限制条件;若都符合,则接收方通过接收方非对称私钥对第二加密包进行解密,得到待分享密码信息;若有任一条件不符合,利用发送方非对称公钥对第二加密包进行加密,得到第三加密包。
本发明实施例提供一种基于PKI的密码远程协助方法的技术方案,用于解决因他人远程协助导致密码容易泄露或被滥用的问题。在该技术方案中,接收方需要为密码管理系统的用户,具有ID账号。开始阶段发送方获取到接收方ID账号,并在为接收方ID账号设置读写权限及限制条件后,计入与发送方关联的ID清单中;在获取到接收方的非对称公钥后,根据发送方待登入设备终端的密码类型执行不同的操作步骤,若发送方待登入设备终端为固定密码登入模式,则执行第一操作步骤。在第一操作步骤中,发送方通过接收方非对称公钥对待分享密码信息进行加密处理,得到第二加密包。将第二加密包及可分享ID清单、发送方非对称公钥发送至接收方;由接收方的设备终端进行判断。接收方需要满足如下条件才可对第二加密包进行解密:接收方的ID账号需要在所述可分享ID清单中,且接收方满足读写权限和限制条件;若不满足上述任一条件,则接收方设备终端将通过发送方非对称公钥对第二加密包进行加密,得到第三加密包,由此使得接收方无法对第三加密包解密,确保发送方的密码安全。通过设置接收方对第二加密包处理的权限及限制条件,防止接收方对第二加密包的滥用;通过利用发送方非对称公钥将第二加密包加密为第三加密包,使得接收方即使泄露第三加密包,外部也无法对第三加密包进行解密得到密码,避免密码泄露对发送方造成负面影响。本申请提供的技术方案,能够提高密码远程协助的安全性,防止密码滥用,减少密码泄露造成的负面影响。
需要说明的是,所述待分享密码信息包括密码及其他秘密信息。
具体地,在本发明实施例中,所述读写权限包括:可读写权限及只读权限。
需要说明的是,发送方在对接收方ID账号进行录入时,为接收方ID账号操控发送方密码数据设定读取权限。具体的,可读写权限为可对发送方密码进行读取和写入修改;只读权限为仅可对发送方的密码进行读取,获得密码信息。
具体地,在本发明实施例中,所述限制条件包括:使用期限、使用设备、使用地理范围限制中的一种或多种;所述使用期限为接收方收到第二加密包后,可对第二加密包进行操作的时间期限;所述使用设备为接收方可用于接收处理第二加密包的许可设备;所述使用地理范围限制为接收方使用所述许可设备的许可地理位置。
需要说明的是,进一步的,通过设置使用期限、使用设备、使用地理范围三种限制,防止接收方在非指定时间对第二加密包进行解密处理;防止接收方在非指定设备上对第二加密包进行解密处理;防止接收方在非指定区域对第二加密包进行解密处理;从而进一步确保第二加密包给到接收方之后,接收方处理第二加密包的时间、运行基础、环境的安全性,提高密码远程协助管理的安全性
具体地,在本发明实施例中,该方法还包括:将所述可分享ID清单同步至服务器。
需要说明的是,发送方在更新可分享ID清单后,将可分享ID清单同步值服务器,使得服务器能够协助识别和发送相关数据至接收方,降低发送方的数据存储压力,确保数据发送的便捷性和安全性。
具体地,在本发明实施例中,所述“获取接收方非对称公钥”具体为:发送方向所述接收方发送协助指令;所述接收方确认后,将接收方非对称公钥发送至发送方;所述发送方获取所述接收方非对称公钥。
需要说明的是,只有在发送方主动向接收方主动发出远程协助指令,且接收方确认后,发送方才可收到接收方的非对称公钥;以方便后续结合接后方非对称公钥对待分享密码信息进行加密,并且使得只有接收方利用接收方非对称私钥才能对第二加密包进行解密,进一步提高密码管理安全性。
具体地,在本发明实施例中,所述“将所述第二加密包、所述可分享ID清单、发送方非对称公钥发送至接收方”具体为:所述发送方将所述第二加密包发送至所述服务器,所述服务器将将所述第二加密包、所述可分享ID清单及发送方非对称公钥发送至接收方。
需要说明的是,有且仅是第二加密包有发送方发出,可分享ID清单和发送方非对称公钥由服务器直接发出,降低发送方发送数据的信息压力,提高安全性。
具体地,在本发明实施例中,该方法还包括:所述发送方的所述待分享密码信息由所述服务器结合发送方非对称公钥加密为第一加密包后,发送至所述发送方;所述发送方收到第一加密包后,通过发送方非对称私钥解密后得到待分享密码信息。
需要说明的是,在本实施例中,发送方的密码信息实质上也是存储于服务器中,发送方本身不存储密码,防止密码在发送方设备终端泄露。
具体地,在本发明实施例中,该方法还包括:若发送方的待登入设备终端为动态密码登入则执行第二操作步骤;
所述发送方执行第二操作步骤包括:所述待分享密码信息中的密码为动态密码;所述发送方的待登入设备识别到接收方账户信息登入后,生成动态密码;通过所述接收方非对称公钥对所述待分享密码信息进行加密,得到第四加密包;通过服务器将所述第四加密包发送至接收方;
所述接收方执行第二操作步骤包括:所述接收方通过接收方非对称私钥对第四加密包进行解密得到待分享密码信息。
需要说明的是,若发送方待登入设备为动态密码登入时,发送方待登入设备上安装有沙箱模块,所述沙箱模块用于生成动态密码和校验外部输入的密码。生成的动态密码直接由服务器直接通过接收方非对称公钥进行加密得到第四加密包后直接发送给到接收方设备终端,再由接收方进行解密获取。提高发送方待登入设备的安全性。
本申请还提供一种基于PKI的密码远程协助系统,该系统用于执行上述的基于PKI的密码远程协助方法,该系统包括:设置在所述发送方移动终端上,用于获取接收方ID账号,为所述接收方ID账号设置读写权限及限制条件后,将所述接收方ID账号记入可分享ID清单的第一处理模块;设置在所述发送方移动终端上,用于获取接收方非对称公钥的第一获取模块;用于执行所述第一操作步骤的第一执行模块;用于执行所述第二操作步骤的第二执行模块。本申请提供的一种基于PKI的密码远程协助系统的技术方案,同样具有上述技术效果。
本申请还提供一种基于PKI的密码远程协助系统,该系统用于执行上述的基于PKI的密码远程协助方法,该系统包括:服务器;与所述服务器数据连接的发送方待登入设备终端,发送方待登入设备终端需通过固定密码或动态密码登入;与所述服务器数据连接的发送方移动终端,所述发送方移动终端用于执行第一操作步骤或第二操作步骤;与所述服务器数据连接的接收方移动终端,所述接收方移动终端用于执行第一操作步骤或第二操作步骤。本申请提供的一种基于PKI的密码远程协助系统的技术方案,同样具有上述技术效果。
本申请还提供一种电子设备,包括:计算机程序,所述计算机程序用于执行上述的基于PKI的密码远程协助方法;存储器,用于存储所述计算机程序;处理器,用于执行所述计算机程序。本申请提供的一种电子设备的技术方案,同样具有上述技术效果。
需要着重补充的是,本发明的结构图如图3所示:
使用场景为企业,服务器中的CA系统已对A用户移动终端(用户使用的电脑)及A用户移动终端(手机或智能手表、智能眼镜等可穿戴设备)颁发了非对称加密的数字证书。非对称加密算法包括并不限于SM2国密算法、RSA、Elgamal、背包算法、Rabin、D-H等。其中数字证书的私钥分别保存在用户A的PC端及用户A移动终端中;服务器中已储存各客户端(电脑)信息,包括客户端网卡编号,该客户端数字证书的公钥;服务器中已储存用户信息,包括用户登录账号、登录密码、用户移动终端公钥等信息。
进一步的系统中各主要部分的功能介绍:
1.服务器:
(1)提供注册用户及设备信息管理服务:
注册用户及设备信息包括:注册用户(用户工号,例如yd0345)及其绑定的设备(用户账户绑定的PC(MAC地址等)、手机(IMEI编码等)等信息),用户的数字证书信息(证书内包含用户A工号ID、用户账号ID绑定的PC端信息(发证电脑网卡MAC号等)、手机信息(员工个人手机IMEI号等信息)、用户A的非对称公钥信息等)等。
服务器在进行信息中转分享时,需要校验信息发送接收方的对某密码或秘密的使用权限、使用限制条件是否符合要求,如符合要求才可发送,因此服务器中还需保存的信息包括:
a.用户建立的所有密码或秘密的编号(为用户每个密码或秘密命名一个编号,例如该用户的工号+类型编码+编号,举例:某个密码的编号为yd0345(员工工号)003(密码)0032(密码类中的顺序编号),也即yd03450030032)
b.用户建立的密码或秘密具有操作权限(权限包括读写或只读等类型)的ID清单(例如该密码或秘密有1名用户具有读写权限,另外1名用户具有只读权限)、使用期限(对该密码有操作权限的用户的使用期限:具备读写权限的用户需每隔一段时间(例如1天/1周/1月/永久等)修改密码,具备只读权限的用户使用期限(例如1次/3次/1天等))、使用设备及地理范围限制(该密码限在某地理范围(IP所属范围)内使用等))
(2)提供密文信息中转服务:
密码或秘密使用用户本人或协助人的非对称公钥加密,以加密后的密文形式保存在用户个人手机及电脑中,当用户A需要用户B进行远程密码支持或协助时,用户A将待分享的密码采用用户B的公钥加密后的密文(第二加密包)通过SSL VPN等方式上传到服务器,服务器将该密文(第二加密包)转发给用户B,由用户B在个人终端中使用个人的私钥解密并查看。
(3)可为用户提供个人PC端软件、移动终端软件的下载:用户注册前可通过服务器下载PC端软件及移动终端软件。
2.PC端软件:
(1)制证及证书管理:PC端软件中包含CA功能,可为未申请证书的用户或设备进行证书申请操作,并可对已有的数字证书进行管理,包含并不限于新增、查询和修改等数字工作证书制作操作,制证时PC端软件通过SSL VPN的方式与服务器进行通讯。
(2)密码及其信息维护和检查:用户可通过PC端软件录入密码及相关信息(相关信息指密码的使用场景,例如某软件名称,其软件登录密码所在的电脑编号及使用页面网址等)。密码分为动态密码与非动态密码,动态密码是对企业或员工较为重要的密码,需要定期更换,采用一次一密原则(公司某些重要电脑的开机密码等);非动态密码为无需实时更新的密码(例如员工个人ERP账号密码等),密码一经录入,即采用用户的非对称公钥进行加密并存储。
3.移动终端软件:
(1)手机验证码登录:可通过手机短信验证码的形式登录软件。
(2)密码及其信息维护及检查:此功能与PC端软件相同
(3)密码解密显示或分享:密码在移动终端中采用用户的非对称公钥加密的密文形式存储,同时非对称私钥也存储在移动终端软件中。
查看:用户需要查看时,使用移动终端中的非对称私钥解密。
远程协助:在远程协助时,用户A需要将该密码分享给用户B时,需要首先使用用户A的私钥进行解密,并使用用户B的公钥进行加密,形成密文(第二加密包)经服务器中转发给用户B,用户B需要使用自己的非对称私钥解密后使用该密码或秘密。
4.一次一密,也即使用动态密码的系统(需安装沙箱软件)
(1)具备动态密码功能(使用说明及流程详见后述)
实施例1
非一次一密的相关流程及方法
1.用户A与用户B均为某企业员工,用户A事先已安装PC端的软件及移动终端软件,并具有PC端软件颁发的数字证书(证书内包含用户A工号ID、用户账号ID绑定的PC端信息(发证电脑网卡MAC号等)、手机信息(员工个人手机IMEI号等信息)、用户A的非对称公钥信息等)。用户A创建若干密码,并完善了密码编号、相关权限、使用限制条件等信息。并在服务器中保存了用户A的各种信息(用户编号及绑定设备信息、密码编号、使用权限、使用限制条件等)
2.用户A在外地,需要在企业的用户B进行远程协助,在企业中A的PC端使用A的某个密码进行相关操作,为此需要将该密码分享给B。
3.如果当前用户B没有数字证书,需要在自己(B)的PC端及移动终端从服务器下载相关软件并安装,使用自己的PC端软件为自己颁发数字证书,并将自己的用户资料上传服务器(PC端与服务器间通过SSL VPN方式连接),完成准备工作。如果用户B已完成数字证书的注册等准备工作,可使用通讯工具(邮件、短信、微信等)将自己的用户ID告知用户A
4.用户A将待分享的密码或秘密信息分享给用户B
(1)将用户B的ID加入需要分享的密码的ID清单,并设置用户B具有只读权限,将修订信息同步到服务器。
(2)设置用户B使用该密码的限制条件,如设置B只能在授权时刻起的24小时内使用该密码,且使用时,使用者的位置必须在企业内部使用,将修订信息同步到服务器。
(3)用户A对密码的操作流程
a.用户A在移动终端软件中向服务器发起请求,要求获取用户B的非对称公钥信息。
b.服务器接到请求后向用户B要求请求确认,用户B在自己的移动终端中确认允许用户A获取自己的公钥信息(拒绝则A不能获得B的公钥,分享失败);服务器收到用户B已确认的反馈后,通过SSL VPN方式将用户B的非对称公钥信息发给用户A。
c.用户A获得用户B的非对称公钥信息后,使用自己移动终端中的非对称私钥对需要分享的密码的密文(密文1)进行解密,随后使用用户B的非对称公钥对解密后的密码进行加密,从而得到待分享的密码密文(第二加密包)。
d.用户A通过SSL VPN方式将密文2上传给服务器,并指定发送目标为用户B的移动终端。
(4)服务器接收到密文2后,将密文2、密文2所对应密码的使用ID清单及使用限制条件、用户A的公钥一同通过SSL VPN的方式发送给用户B的移动终端。
5.用户B的移动终端从服务器接收到密文2、用户A的公钥等相关信息后操作流程如下:
(1)用户B的移动终端软件检查密文2当前是否符合解密限制条件,所需检查的限制条件包括并不限于以下:用户B是否具备使用权限(用户B是否在该密码使用ID清单中,具备只读还是读写权限)、用户B对该密码的使用期限(例如1次/3次/1天等)、用户B的移动终端地理位置(检查用户B的移动终端当前定位信息,检查其当前是否在用户A设置的IP属地范围内)等
(2)检查结果:密文2不符合上述一条或多条解密限制条件,用户B的移动终端软件采用用户A的非对称公钥对密文2进行加密,获得密文3,用户B无法对密文3进行解密,从而防止了泄密及用户B对密码的滥用。
(3)检查结果:密文2符合解密限制条件,用户B的移动终端软件采用用户B的非对称私钥对密文2进行解密,获得密码或秘密信息,用户B可以正常使用该信息。
实施例2
一次一密的相关流程及方法
1.用户A与用户B均为某企业员工,用户A、用户B均已安装移动终端软件,并具有数字证书。用户A企业内电脑中某系统(后续简称系统c)使用1次1密的登录规则。
2.服务器中储存公司内登录系统c的用户属性列表,列表中包括下列属性:用户登录ID、该ID可登录的PC机MAC卡编码、该ID在各可登录PC机的操作权限(只读、读写等)、该ID在各可登录PC机的登录时间限制;(例如某ID可在24小时内/1周内/1月内登录公司内某台PC机的系统c,具备只读权限)。每个用户的移动终端软件中存储有该用户ID可登录的PC机MAC卡编码,该用户ID在各可登录PC机的操作权限,该ID在各可登录PC机的登录时间限制。
3.当用户A在外地,需要用户B在其公司内的电脑上登录系统c进行某种操作(用户A是该台电脑的管理员),用户A在移动终端软件中授予用户B的ID登录自己PC机系统c的权限,该修改信息通过SSL VPN的方式将同步到服务器中。
4.用户B在公司登录用户A电脑中的系统c时,在登录界面录入用户名(用户B的ID),并输入登录密码,点击确认;系统c监测到有用户登录后,通过SSL VPN方式将用户填写的的登录ID上传服务器,服务器在用户属性列表中检索该用户名,检查其是否具有该电脑(MAC编号)的使用权限。
5.用户A电脑的系统c监测到用户B的ID具备登录权限后,变更登录密码,从服务器下载该登录ID的非对称公钥(也即用户B的非对称公钥),并将变更后的新密码使用用户B的公钥加密,将密文通过SSL VPN的方式上传服务器
6.服务器接到发来的密文后,将其转发给用户B的移动终端软件,由用户B的移动终端软件采用B的非对称私钥进行解密,获得登录密码。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其他实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.基于PKI的密码远程协助方法,其特征在于,包括步骤:
获取接收方ID账号,为所述接收方ID账号设置读写权限及限制条件,将所述接收方ID账号记入可分享ID清单;
获取接收方非对称公钥;若发送方的待登入设备终端为固定密码登入则执行第一操作步骤;
所述发送方执行第一操作步骤包括:
通过所述接收方非对称公钥对待分享密码信息进行加密,得到第二加密包;将所述第二加密包、所述可分享ID清单、发送方非对称公钥发送至接收方;
所述接收方执行第一操作步骤包括:
判断所述接收方是否满足在可分享ID清单中、是否满足读写权限、是否满足限制条件这三个条件;
若三个条件均符合,则接收方通过接收方非对称私钥对第二加密包进行解密,得到待分享密码信息;
若三个条件有任一条件不符合,则利用发送方非对称公钥对第二加密包进行加密得到第三加密包。
2.根据权利要求1所述的基于PKI的密码远程协助方法,其特征在于,所述读写权限包括:可读写权限及只读权限。
3.根据权利要求1所述的基于PKI的密码远程协助方法,其特征在于,所述限制条件包括:使用期限、使用设备、使用地理范围限制中的一种或多种;
所述使用期限为接收方收到第二加密包后,可对第二加密包进行操作的时间期限;
所述使用设备为接收方可用于接收处理第二加密包的许可设备;
所述使用地理范围限制为接收方使用所述许可设备的许可地理位置。
4.根据权利要求1所述的基于PKI的密码远程协助方法,其特征在于,该方法还包括:将所述可分享ID清单同步至服务器;和/或
所述“获取接收方非对称公钥”具体为:发送方向所述接收方发送协助指令;所述接收方确认后,将接收方非对称公钥发送至发送方;所述发送方获取所述接收方非对称公钥。
5.根据权利要求1所述的基于PKI的密码远程协助方法,其特征在于,所述“将所述第二加密包、所述可分享ID清单、发送方非对称公钥发送至接收方”具体为:
所述发送方将所述第二加密包发送至服务器,所述服务器将所述第二加密包、所述可分享ID清单及发送方非对称公钥发送至接收方。
6.根据权利要求1至5中任意一项所述的基于PKI的密码远程协助方法,其特征在于,该方法还包括:
所述发送方的所述待分享密码信息由服务器结合发送方非对称公钥加密为第一加密包后,发送至所述发送方;
所述发送方收到第一加密包后,通过发送方非对称私钥解密后得到待分享密码信息。
7.根据权利要求1至5中任意一项所述的基于PKI的密码远程协助方法,其特征在于,该方法还包括:
若发送方的待登入设备终端为动态密码登入则执行第二操作步骤;
所述发送方执行第二操作步骤包括:
所述待分享密码信息中的密码为动态密码;
所述发送方的待登入设备识别到接收方账户信息登入后,生成所述动态密码;
通过所述接收方非对称公钥对所述待分享密码信息进行加密,得到第四加密包;
通过服务器将所述第四加密包发送至接收方;
所述接收方执行第二操作步骤包括:
所述接收方通过接收方非对称私钥对第四加密包进行解密得到待分享密码信息。
8.基于PKI的密码远程协助系统,其特征在于,该系统用于执行权利要求1至7中任意一项所述基于PKI的密码远程协助方法,包括:
第一处理模块,用于获取接收方ID账号,为所述接收方ID账号设置读写权限及限制条件后,将所述接收方ID账号记入可分享ID清单;
设置在所述发送方移动终端上,用于获取接收方非对称公钥的第一获取模块;
用于执行所述第一操作步骤的第一执行模块;
用于执行所述第二操作步骤的第二执行模块。
9.基于PKI的密码远程协助系统,其特征在于,该系统用于执行权利要求1至7中任意一项所述基于PKI的密码远程协助方法,该系统包括:
服务器;
与所述服务器数据连接的发送方待登入设备终端,发送方待登入设备终端需通过固定密码或动态密码登入;
与所述服务器数据连接的发送方移动终端,所述发送方移动终端用于执行第一操作步骤或第二操作步骤;
与所述服务器数据连接的接收方移动终端,所述接收方移动终端用于执行第一操作步骤或第二操作步骤。
10.电子设备,其特征在于,包括:
计算机程序,所述计算机程序用于执行权利要求1至7中任意一项所述基于PKI的密码远程协助方法;
存储器,用于存储所述计算机程序;
处理器,用于执行所述计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211403972.6A CN115801376A (zh) | 2022-11-10 | 2022-11-10 | 基于pki的密码远程协助方法、系统及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211403972.6A CN115801376A (zh) | 2022-11-10 | 2022-11-10 | 基于pki的密码远程协助方法、系统及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115801376A true CN115801376A (zh) | 2023-03-14 |
Family
ID=85436602
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211403972.6A Pending CN115801376A (zh) | 2022-11-10 | 2022-11-10 | 基于pki的密码远程协助方法、系统及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115801376A (zh) |
-
2022
- 2022-11-10 CN CN202211403972.6A patent/CN115801376A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11470054B2 (en) | Key rotation techniques | |
| US10644886B2 (en) | Providing low risk exceptional access | |
| US8059818B2 (en) | Accessing protected data on network storage from multiple devices | |
| US11363454B2 (en) | Providing low risk exceptional access with verification of device possession | |
| US20170279807A1 (en) | Safe method to share data and control the access to these in the cloud | |
| US20140129836A1 (en) | Information distribution system and program for the same | |
| US9300639B1 (en) | Device coordination | |
| CN104662870A (zh) | 数据安全管理系统 | |
| US20160321459A1 (en) | Method for accessing a data memory of a cloud computer system | |
| US10050944B2 (en) | Process to access a data storage device of a cloud computer system with the help of a modified Domain Name System (DNS) | |
| EP3341849A1 (en) | Email attachment security system and method using out-of-band authentication | |
| KR100850506B1 (ko) | 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스시스템 및 방법 | |
| JP5485452B1 (ja) | 鍵管理システム、鍵管理方法、ユーザ端末、鍵生成管理装置、及びプログラム | |
| US20190305940A1 (en) | Group shareable credentials | |
| CN111698203A (zh) | 一种云数据加密方法 | |
| CN115801376A (zh) | 基于pki的密码远程协助方法、系统及电子设备 | |
| JP6167598B2 (ja) | 情報処理装置、情報処理方法、および、コンピュータ・プログラム | |
| Sain et al. | A communication security protocol for ubiquitous sensor networks | |
| CN104683977A (zh) | 业务数据的管理方法及管理装置 | |
| JP2004112571A (ja) | 移動通信装置、暗号システム、移動通信方法、および暗号方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |