CN115913532A - 基于pki的企业强密码管理方法、系统及电子设备 - Google Patents
基于pki的企业强密码管理方法、系统及电子设备 Download PDFInfo
- Publication number
- CN115913532A CN115913532A CN202211367191.6A CN202211367191A CN115913532A CN 115913532 A CN115913532 A CN 115913532A CN 202211367191 A CN202211367191 A CN 202211367191A CN 115913532 A CN115913532 A CN 115913532A
- Authority
- CN
- China
- Prior art keywords
- password
- login
- ukey
- equipment
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了基于PKI的企业强密码管理方法、系统与电子设备,包括获取登入请求数据;执行第一操作或执行第二操作;执行第一操作包括:将所述登入请求数据发送至密码保险箱服务器,所述密码保险箱服务器将第一密码数据包发送至预先绑定Ukey设备,所述预先绑定Ukey设备解密所述第一密码数据包,并显示所述第一登入密码数据;执行第二操作包括:登入设备的预设沙箱模块先生成动态密码,其次将所述动态密码加密得到第二密码数据包,再将所述第二密码数据包发送至预先绑定Ukey设备;所述预先绑定Ukey设备解密所述第二密码数据包,并显示所述第二登入密码数据。相比于现有技术而言,本发明涉及的技术方案能够提高密码保护的安全性,提高密码批量管理的效率。
Description
技术领域
本发明涉及系统加密技术领域,尤其涉及一种基于PKI的企业强密码管理方法,本发明还涉及一种用于运行所述基于PKI的企业强密码管理方法的系统与电子设备。
背景技术
信息安全是当前政府、医院等机构及中小企业亟待解决的问题,例如政府统计数据、报表,医院中患者的数据,统计显示,企业遇到的信息安全威胁有80%来自内部。
企业中有诸多重要系统,例如财务系统、进入系统最简单的方法是通过密码,也就是获取目标口令,一旦对方有了密码口令,就可以很轻松的入侵系统并获取数据。具体在企业内部,大量充斥着强度不够的简单密码,其安全隐患不容忽视。
但企业人员平时应用的密码较多,将密码设置的较为复杂则不便于记忆,而将记录了密码的文件随处存放又会造成更大的安全隐患。
因此,如何提供一种问题解决方案,其能够提高密码保护的安全性,提高密码批量管理的效率,已经成为本领域技术人员亟待完成的目标。
发明内容
为解决上述技术问题,本发明的主要目的在于提供一种基于PKI的企业强密码管理方法,能够提高密码保护的安全性,提高密码批量管理的效率,此外,本发明还提供一种基于PKI的企业强密码管理系统与电子设备,同样具有上述有益效果。
为实现上述目的,本发明提供一种基于PKI的企业强密码管理方法,该方法包括:获取登入请求数据;执行第一操作或执行第二操作;执行第一操作包括:将所述登入请求数据发送至密码保险箱服务器,所述密码保险箱服务器将第一密码数据包发送至预先绑定Ukey设备,所述预先绑定Ukey设备解密所述第一密码数据包,并显示所述第一登入密码数据;执行第二操作包括:登入设备的预设沙箱模块先生成动态密码,其次将所述动态密码加密得到第二密码数据包,再将所述第二密码数据包发送至预先绑定Ukey设备;所述预先绑定Ukey设备解密所述第二密码数据包,并显示所述第二登入密码数据。
进一步地,在本发明提供的基于PKI的企业强密码管理方法中,该方法还包括:对所述登入设备进行判断;a若登入设备为非动态密码登入设备,则执行第一操作;b若登入设备为动态密码登入设备,则执行第二操作。
进一步地,在本发明提供的基于PKI的企业强密码管理方法中,所述密码保险箱服务器用于存储以非对称密钥加密方式加密的机密文件,所述机密文件包括与用户信息、登入背景关联的非动态密码,所述非动态密码为预设的强密码;所述密码保险箱服务器存储有以密文形式加密的所述非对称密钥加密方式的公钥;所述非对称密钥加密方式的私钥存储于所述预先绑定Ukey设备中。
进一步地,在本发明提供的基于PKI的企业强密码管理方法中,所述登入设备通过所述密码保险箱服务器下载并安装沙箱模块,得到所述预设沙箱模块;所述预设沙箱模块存储有以密文形式加密的所述非对称密钥加密方式的公钥。
进一步地,在本发明提供的基于PKI的企业强密码管理方法中,该方法还包括:用户控制端通过所述密码保险箱服务器下载控制软件,所述控制软件包括:PC端控制软件或手机端控制软件;所述用户控制端为与用户信息关联的电脑或手持移动终端。
进一步地,在本发明提供的基于PKI的企业强密码管理方法中,所述预先绑定Ukey设备与手持移动终端预先绑定,所述预先绑定Ukey设备与手持移动终端通过无线连接方式连接,所述无线连接方式包括蓝牙连接、WiFi连接;所述“所述密码保险箱服务器将第一密码数据包发送至预先绑定Ukey设备”具体为:所述密码保险箱服务器通过手持移动终端将第一密码数据包发送至预先绑定Ukey设备。
进一步地,在本发明提供的基于PKI的企业强密码管理方法中,所述预先绑定Ukey设备预先绑定的方法包括:通过手持移动终端注册用户账号,采集所述用户账号关联的用户信息,所述用户信息包括用户的员工工号、所在部门、姓名以及所述手持移动终端的设备信息;将所述用户账号及所述用户信息上传至所述密码保险箱服务器,所述密码保险箱服务器将收到的所述用户账号及所述用户信息与预设的可注册信息进行匹配;匹配成功,则所述用户账号注册成功;通过所述用户账号登入PC端控制软件,所述PC端控制软件从所述密码保险箱服务器下载所述用户信息,所述PC端控制软件基于所述用户信息为Ukey设备写入数字证书,得到所述预先绑定Ukey设备。
进一步地,在本发明提供的基于PKI的企业强密码管理方法中,所述“登入设备的预设沙箱模块先生成动态密码,其次将所述动态密码加密得到第二密码数据包”具体为:获取登入请求数据;将所述登入请求数据与动态密码预设清单进行匹配;匹配成功后,登入设备的预设沙箱生成动态密码;使用所述用户登入账号关联的非对称密钥的公钥对所述动态密码进行加密得到第二密码数据包;通过所述密码保险箱服务器将所述第二密码数据包,发送至已登入所述用户登入账号的手持移动终端的所述预先绑定Ukey设备上;所述预先绑定Ukey设备通过非对称密钥的私钥对所述第二密码数据包进行解密得到所述登入设备的动态密码;并将所述动态密码在所述预先绑定Ukey设备上显示。
此外,本方案还提供一种用于运行所述基于PKI的企业强密码管理方法的系统,该系统包括:用于获取登入请求数据的第一获取模块;用于执行第一操作的第一操作模块,执行第一操作包括:将所述登入请求数据发送至密码保险箱服务器,所述密码保险箱服务器将第一密码数据包发送至预先绑定Ukey设备,所述预先绑定Ukey设备解密所述第一密码数据包,并显示所述第一登入密码数据;用于执行第二操作的第二操作模块,执行第二操作包括:登入设备的预设沙箱模块先生成动态密码,其次将所述动态密码加密得到第二密码数据包,再将所述第二密码数据包发送至预先绑定Ukey设备;所述预先绑定Ukey设备解密所述第二密码数据包,并显示所述第二登入密码数据。
此外,本方案还提供一种电子设备,包括:存储器,用于存储执行所述基于PKI的企业强密码管理方法的计算机应用程序;处理器,用于处理基于PKI的企业强密码管理方法的计算机应用程序。
本发明提供的一种基于PKI的企业强密码管理方法,具体包括如下技术内容:获取登入请求数据;执行第一操作或执行第二操作;执行第一操作包括:将所述登入请求数据发送至密码保险箱服务器,所述密码保险箱服务器将第一密码数据包发送至预先绑定Ukey设备,所述预先绑定Ukey设备解密所述第一密码数据包,并显示所述第一登入密码数据;执行第二操作包括:登入设备的预设沙箱模块先生成动态密码,其次将所述动态密码加密得到第二密码数据包,再将所述第二密码数据包发送至预先绑定Ukey设备;所述预先绑定Ukey设备解密所述第二密码数据包,并显示所述第二登入密码数据。相比于现有技术而言,本发明涉及的技术方案,在需登入设备上输入登入请求数据,在获取到登入请求数据后,将可进行两种操作;当执行第一操作时,密码保险箱服务器在收到登入请求数据后,将与登入请求数据关联的第一密码数据包发送至预先绑定Ukey设备上,由预先绑定Ukey设备对第一密码数据包进行解密得到存储在第一密码数据包中的非动态密码,并在该设备上将该非动态密码进行显示,操作者看到该非动态密码后,将非动态密码输入登入设备的登入框中,即可实现登入设备的登入。当执行第二操作时,此时操作者在需通过动态密码的登入设备上进行登入操作,获取到登入请求后,由登入设备内置的沙箱模块直接生成随机的动态密码,该动态密码直接在沙箱中由非对称密钥加密的方式进行加密得到第二密码数据包,登入设备的沙箱模块通过密码保险箱服务器将第二密码数据包发送至预先绑定Ukey设备中,由预先绑定Ukey设备采用非对称密钥解密的方式对第二数据包进行解密,得到动态密码后直接显示出来,操作者看到该非动态密码后,将非动态密码输入登入设备的登入框中,即可实现登入设备的登入;综上,在上述操作过程中,操作人员无需对所需登入设备的密码进行记忆,非动态密码预先存储于密码保险箱服务器中,而动态密码直接由登入设备的沙箱模块随机自动生成;在解决了操作人员无需记忆非动态密码的同时,也进一步通过沙箱模块增加了防止密码泄露的风险。本申请提供的技术方案,能够提高密码保护的安全性,提高密码批量管理的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图:
图1为本发明实施例涉及的基于PKI的企业强密码管理方法的流程图。
图2为本发明实施例中根据登入设备的不同密码登录类型的操作流程图;
图3为本发明实施例中基于PKI的企业强密码管理方法的系统结构图。
具体实施方式
为了便于理解本发明,下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的典型实施例。但是,本发明可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使对本发明的公开内容更加透彻全面。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
为了更好的理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本申请技术方案的详细的说明,而不是对本申请技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
具体参照图1至图3所示,本发明提供一种基于PKI的企业强密码管理方法,具体包括如下技术内容:获取登入请求数据;执行第一操作或执行第二操作;执行第一操作包括:将所述登入请求数据发送至密码保险箱服务器,所述密码保险箱服务器将第一密码数据包发送至预先绑定Ukey设备,所述预先绑定Ukey设备解密所述第一密码数据包,并显示所述第一登入密码数据;执行第二操作包括:登入设备的预设沙箱模块先生成动态密码,其次将所述动态密码加密得到第二密码数据包,再将所述第二密码数据包发送至预先绑定Ukey设备;所述预先绑定Ukey设备解密所述第二密码数据包,并显示所述第二登入密码数据。相比于现有技术而言,本发明涉及的技术方案,在需登入设备上输入登入请求数据,在获取到登入请求数据后,将可进行两种操作;当执行第一操作时,密码保险箱服务器在收到登入请求数据后,将与登入请求数据关联的第一密码数据包发送至预先绑定Ukey设备上,由预先绑定Ukey设备对第一密码数据包进行解密得到存储在第一密码数据包中的非动态密码,并在该设备上将该非动态密码进行显示,操作者看到该非动态密码后,将非动态密码输入登入设备的登入框中,即可实现登入设备的登入。当执行第二操作时,此时操作者在需通过动态密码的登入设备上进行登入操作,获取到登入请求后,由登入设备内置的沙箱模块直接生成随机的动态密码,该动态密码直接在沙箱中由非对称密钥加密的方式进行加密得到第二密码数据包,登入设备的沙箱模块通过密码保险箱服务器将第二密码数据包发送至预先绑定Ukey设备中,由预先绑定Ukey设备采用非对称密钥解密的方式对第二数据包进行解密,得到动态密码后直接显示出来,操作者看到该非动态密码后,将非动态密码输入登入设备的登入框中,即可实现登入设备的登入;综上,在上述操作过程中,操作人员无需对所需登入设备的密码进行记忆,非动态密码预先存储于密码保险箱服务器中,而动态密码直接由登入设备的沙箱模块随机自动生成;在解决了操作人员无需记忆非动态密码的同时,也进一步通过沙箱模块增加了防止密码泄露的风险。本申请提供的技术方案,能够提高密码保护的安全性,提高密码批量管理的效率。
需要说明的是,登入请求数据包括:操作员/用户在登入设备上输入的登入账号、登入设备物理地址/型号、当前登入了操作员/用户账户的手持控制终端(手持移动设备/手机);
需要补充说明的是,该方法还包括:预先绑定Ukey设备在对第一密码数据包或第二密码数据包进行解密前,对操作者是否为AI密码破解系统进行识别操作,若操作者非AI密码破解系统,则执行第一密码数据包或第二密码数据包解密动作。
再进一步的,预先绑定Ukey设备在显示动态密码或非动态密码前,由预先绑定Ukey设备本体对操作者的生理信息进行核对校验,判断当前操作者是否为该预先绑定Ukey设备的拥有者,若操作者为拥有者,则执行动态密码或非动态密码显示动作。生理信息为指纹、虹膜、声纹等数据信息中的一种或多种。
具体地,在本发明实施例中,该方法还包括:对所述登入设备进行判断;a若登入设备为非动态密码登入设备,则执行第一操作;b若登入设备为动态密码登入设备,则执行第二操作。
需要说明的是,通过判断指令,预先分辨是执行第一操作,还是第二操作;提高密码批量管理的效率。
具体地,在本发明实施例中,所述密码保险箱服务器用于存储以非对称密钥加密方式加密的机密文件,所述机密文件包括与用户信息、登入背景关联的非动态密码,所述非动态密码为预设的强密码;所述密码保险箱服务器存储有以密文形式加密的所述非对称密钥加密方式的公钥;所述非对称密钥加密方式的私钥存储于所述预先绑定Ukey设备中。
需要说明的是,密码保险箱服务器用于以非对称密钥加密的方式存储非动态密码;提高密码关联数据存储的安全性。
具体地,在本发明实施例中,所述登入设备通过所述密码保险箱服务器下载并安装沙箱模块,得到所述预设沙箱模块;所述预设沙箱模块存储有以密文形式加密的所述非对称密钥加密方式的公钥。
需要说明的是,所述预设沙箱模块与登入设备相关联,密码保险箱服务器仅能获取沙箱模块传输的已经加密的动态密码数据包,因此,即使密码保险箱服务器被破解,也无法泄露动态密码数据,提高了密码管理的安全性。
具体地,在本发明实施例中,该方法还包括:用户控制端通过所述密码保险箱服务器下载控制软件,所述控制软件包括:PC端控制软件或手机端控制软件;所述用户控制端为与用户信息关联的电脑或手持移动终端。
需要说明的是,密码保险箱服务器存储有用于PC端或手持移动终端的控制软件,当相关设备连接上密码保险箱服务器后,即可快捷下载相关数据,提高密码管理的便利性;同时,也避免相关设备通过其他渠道下载到非官方正版的控制软件,提高密码管理的安全性。
具体地,在本发明实施例中,所述预先绑定Ukey设备与手持移动终端预先绑定,所述预先绑定Ukey设备与手持移动终端通过无线连接方式连接,所述无线连接方式包括蓝牙连接、WiFi连接;所述“所述密码保险箱服务器将第一密码数据包发送至预先绑定Ukey设备”具体为:所述密码保险箱服务器通过手持移动终端将第一密码数据包发送至预先绑定Ukey设备。
需要说明的是,通过手持控制终端能够方便快捷的建立密码保险箱服务器和预先绑定Ukey设备的通讯渠道。
需要说明的是,手持控制终端为手机。
具体地,在本发明实施例中,所述预先绑定Ukey设备预先绑定的方法包括:通过手持移动终端注册用户账号,采集所述用户账号关联的用户信息,所述用户信息包括用户的员工工号、所在部门、姓名以及所述手持移动终端的设备信息;将所述用户账号及所述用户信息上传至所述密码保险箱服务器,所述密码保险箱服务器将收到的所述用户账号及所述用户信息与预设的可注册信息进行匹配;匹配成功,则所述用户账号注册成功;通过所述用户账号登入PC端控制软件,所述PC端控制软件从所述密码保险箱服务器下载所述用户信息,所述PC端控制软件基于所述用户信息为Ukey设备写入数字证书,得到所述预先绑定Ukey设备。
需要说明的是,在方法中,密码保险箱服务器可同时管理对接多个登入设备、多个手持控制终端、多个PC控制终端、多个预先绑定Ukey终端;多个登入设备、多个手持控制终端、多个PC控制终端、多个预先绑定Ukey终端均通过登入认证绑定数字证书的方式进行预先关联绑定,提高密码批量管理的效率。
具体地,在本发明实施例中,所述“登入设备的预设沙箱模块先生成动态密码,其次将所述动态密码加密得到第二密码数据包”具体为:获取登入请求数据;将所述登入请求数据与动态密码预设清单进行匹配;匹配成功后,登入设备的预设沙箱生成动态密码;使用所述用户登入账号关联的非对称密钥的公钥对所述动态密码进行加密得到第二密码数据包;通过所述密码保险箱服务器将所述第二密码数据包,发送至已登入所述用户登入账号的手持移动终端的所述预先绑定Ukey设备上;所述预先绑定Ukey设备通过非对称密钥的私钥对所述第二密码数据包进行解密得到所述登入设备的动态密码;并将所述动态密码在所述预先绑定Ukey设备上显示。
需要说明的是,由登入设备的预设沙箱模块生成动态密码,该动态密码加密之后得到第二密码数据包再通过密码保险箱服务器发送至预先绑定Ukey设备上,中间虽然经过了密码保险箱服务器,但由于密码保险箱服务器无关联用户的非对称加密的私钥,无法对第二密码数据包进行解密,及时密码保险箱服务器被入侵,也无法获知该动态密码,提高密码管理系统的安全性。
需要说明的是,进一步的,预设沙箱模块对动态密码进行的方法包括:
将登入请求数据与动态密码在预设规则下进行整合后,再通过非对称密钥进行加密,得到第二密码数据包。该实施例进一步提高第二密码数据包的加密强度,防止破译。
此外,本方案还提供一种用于运行所述基于PKI的企业强密码管理方法的系统,该系统包括:用于获取登入请求数据的第一获取模块;用于执行第一操作的第一操作模块,执行第一操作包括:将所述登入请求数据发送至密码保险箱服务器,所述密码保险箱服务器将第一密码数据包发送至预先绑定Ukey设备,所述预先绑定Ukey设备解密所述第一密码数据包,并显示所述第一登入密码数据;用于执行第二操作的第二操作模块,执行第二操作包括:登入设备的预设沙箱模块先生成动态密码,其次将所述动态密码加密得到第二密码数据包,再将所述第二密码数据包发送至预先绑定Ukey设备;所述预先绑定Ukey设备解密所述第二密码数据包,并显示所述第二登入密码数据。本申请提供的用于运行所述基于PKI的企业强密码管理方法的系统同样具有上述技术效果。
此外,本方案还提供一种电子设备,包括:存储器,用于存储执行所述基于PKI的企业强密码管理方法的计算机应用程序;处理器,用于处理基于PKI的企业强密码管理方法的计算机应用程序。本申请提供的电子设备同样具有上述技术效果。
以下从本发明实施例所面临的背景以及方案整体上更为具体地阐述:
本方法基于公钥基础设施(PKI),企业内部PC可以对员工设备颁发非对称加密的数字证书,在服务器端,采用密码保险箱服务器机制进行存储及信息验证,并可使用沙箱确保密码动态更新,极大的确保了企业信息的安全性。
如图3所示,整个系统包括:密码保险箱服务器、电脑控制端软件、手机控制端软件、Ukey设备、沙箱模块。
1.密码保险箱服务器:
(1)提供机密数据的存储及读取服务:
(a)存储时,将各类机密文件、密码以密文形式存储在保险箱中,
对各类文件采用非对称密钥(公钥)进行加密,
非对称密钥同样以密文的形式存储在保险箱中,非对称密钥密文的解密密钥掌握在员工个人Ukey中。
(b)读取时,保险箱中的数据内容密文,数据加密密钥密文通过SSL VPN等方式传输到数据显示移动终端(例如个人手机),由移动终端通过另一通道(例如通过蓝牙方式)发送到Ukey设备解密数据密文并显示给用户。
(2)可为用户提供个人PC端软件、App软件的下载:用户注册前可通过密码保险箱服务器下载PC端软件及手机端App,并在使用动态密码的设备下载安装沙箱。
(3)注册用户及设备信息管理:包含且不限于用户(用户工号,用户绑定设备编号)及设备(用户账户绑定的PC(MAC地址等)、手机(IMEI编码等)等信息)信息录入、查询、编辑和删除等操作。
(4)提供制证信息验证功能:提供用户注册(建立账户)的信息验证。
2.电脑控制端软件:
(1)制证及证书管理:PC端软件中包含CA功能,可为未申请证书的用户或设备进行证书申请操作(详情见后面流程),并可对已有的数字证书进行管理,包含并不限于新增、查询和修改等数字工作证书制作操作(例如支持根据设备或人员名称查询符合条件的数字证书,或者撤销已有的数字证书)
(2)密码信息维护及检查:用户可通过PC端软件录入强密码及相关信息(相关信息指强密码的使用场景,例如财务软件名称,其软件登录密码所在的电脑编号及使用页面网址等)。
密码分为动态密码与非动态密码,动态密码是对企业或员工较为重要的密码,需要定期更换,采用一次一密原则(公司某些重要电脑的开机密码等);非动态密码为无需实时更新的密码(例如员工个人ERP账号密码等)
(a)对于动态密码(例如公司某些重要电脑的开机密码),(使用说明及流程详见后述)。
(b)对于采用非动态密码保护机制的密码或密钥,在在用户注册并输入强密码或密钥时,软件自动检查密码强度及命名是否符合规则。
强密码或密钥的规则如下:
长度超过10个字符,越长越好;
包含至少一个特殊符号;
不包含任何拼音或英文字母为佳;
不包含手机号、QQ号、姓名等等;
与系统中其它密码不同
3.手机控制端软件:
(1)手机验证码登录:可通过手机短信验证码的形式登录软件。
(2)密码信息维护及检查:此功能与PC端软件相同
(3)Ukey管理:当手机端App接到来自密码保险箱服务器的密文状态的密码或秘密时,将其通过蓝牙下发到Ukey中。
4.Ukey设备:
(1)密码解密显示
(2)数字证书授权确认
5.使用动态密码的系统(沙箱模块)
(1)具备动态密码生成功能;
(2)具备动态密码加密功能。
一、准备使用实施例:
(1)使用场景为某个企业,企业已安装密码保险箱服务器,电脑控制端软件(该PC用于给Ukey设备下发安装电子数字证书)。
(2)员工使用手机通过SSL VPN方式从密码保险箱服务器下载并安装手机控制端软件;
(3)员工按以下流程完成设备注册及绑定:
a.员工准备好已安装App的手机,并将自己的Ukey设备通过USB接口与发证PC(电脑)连接;
b.员工在手机端新建账号,并通过短信验证的方式完成首次登录(后续可通过扫码,手动输入用户名等方式登录),
录入注册用的信息;(实施例:录入员工的工号,所在部门,姓名,等信息,同时系统收集手机的硬件信息用以绑定用户);
c.系统将员工录入的信息通过SSL VPN的方式上传密码保险箱服务器,在密码保险箱服务器获得通过后(密码保险箱服务器比较系统中公司已有的员工信息与员工申请信息,两者符合才能通过,否则不通过),员工账号建立,同时完成了账号与员工手机的绑定;
d.使用手机App注册的用户名及密码登录发证的PC端软件,登录后PC端软件从密码保险箱服务器下载已有的用户信息。
e.PC端软件为个人UKey制作数字证书,步骤如下所示:
员工输入相关证书信息(非对称私钥口令、有效期限等信息)其中私钥应符合强密码规则(PC端检查员工输入的私钥口令,如不符合强密码规则,需要提醒员工修订直至符合规定才能通过);
用户发出制证请求,由PC端软件将制证请求、员工信息、员工Ukey硬件信息(设备编号等)通过SSLVPN发往密码保险箱服务器,由保险箱确认员工信息(实施例:确认该员工已有手机绑定了用户,该账号是否已有Ukey绑定,如有则确认失败,如没有Ukey绑定,则保险箱向手机App发出制证通知(通知准备在Ukey上进行制证操作,并询问员工是否同意),密码保险箱服务器获得员工手机端App确认同意信息后,由密码保险箱服务器确认PC端的制证请求合法,予以通过),确认通过后可进行制证操作。
PC端软件给UKey颁发数字证书,证书内附用户身份、用户账号绑定的PC端信息(发证电脑网卡号、端口号等信息)、手机信息(员工个人手机硬件信息),非对称私钥等,并通过USB方式写入UKey中。
证书颁发完毕,Ukey显示数字证书授权确认信息,PC软件读取已连接的Ukey的硬件信息,将信息保存到该员工用户账号中,并上传密码保险箱服务器进行保存,从密码保险箱服务器发给手机端App进行保存。至此完成对Ukey的数字证书的颁发及设备绑定。
实施例:Ukey的密钥采用非对称加密算法,例如国密SM2算法、RSA算法等,私钥由员工给出,仅保存在Ukey中,公钥则通过上述非对称加密算法计算得到,并保存在手机App、PC端及密码保险箱服务器中。
二、非动态密码的录入实施例:
针对非动态密码,员工可使用PC端或手机App进行录入,在录入时需完善其使用背景信息已备查询(例如使用该密码的软件或系统名称及编号等),强密码录入之后,仅其背景信息可见,强密码本身将被非对称算法的公钥加密,无论在手机端还是PC端均不可见。
注:在录入强密码过程中,可选择其是否可见。
三、非动态密码查看实施例:
当用户打算查看某个非动态的强密码,需将经公钥加密的密文发送到Ukey端(通过蓝牙等方式),Ukey内部使用私钥对密文解密,可将解密后的信息显示给用户。
四、动态密码使用实施例:
企业设定某个设备使用动态密码后,其使用流程如下:
(1)在需要使用动态密码的设备(例如安装财务软件的电脑,后面简称为设备a)上安装沙箱,
(2)企业管理员将具备设备a使用权限的员工清单(清单中包括员工Ukey的非对称公钥)预存在设备a的沙箱内。
(3)用户登录设备a时,首先在登录界面录入本人ID(工号),并点击“动态密码申请”按钮
(4)设备a的沙箱检测到登录认证信息后,首先验证该用户ID是否具备使用权限,如果不具备,不做任何操作;
如该用户ID具备使用权限,沙箱立刻变更开机密码,并使用该员工的非对称公钥对变更后的密码进行加密
(5)设备a的沙箱通过SSL VPN的方式将密文状态的开机密码发给密码保险箱服务器,由密码保险箱服务器转发给员工手机App,手机端App将密文通过蓝牙方式发送到Ukey端,由Ukey端对密文通过私钥解密,将强密码显示给用户(获取动态密码)。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.基于PKI的企业强密码管理方法,其特征在于,该方法包括:
获取登入请求数据;
执行第一操作或执行第二操作;
执行第一操作包括:将所述登入请求数据发送至密码保险箱服务器,所述密码保险箱服务器将第一密码数据包发送至预先绑定Ukey设备,所述预先绑定Ukey设备解密所述第一密码数据包,并显示第一登入密码数据;
执行第二操作包括:登入设备的预设沙箱模块先生成动态密码,其次将所述动态密码加密得到第二密码数据包,再将所述第二密码数据包发送至预先绑定Ukey设备;所述预先绑定Ukey设备解密所述第二密码数据包,并显示第二登入密码数据。
2.根据权利要求1所述的基于PKI的企业强密码管理方法,其特征在于,该方法还包括:
对所述登入设备进行判断;
a若登入设备为非动态密码登入设备,则执行第一操作;
b若登入设备为动态密码登入设备,则执行第二操作。
3.根据权利要求2所述的基于PKI的企业强密码管理方法,其特征在于,
所述密码保险箱服务器用于存储以非对称密钥加密方式加密的机密文件,所述机密文件包括与用户信息、登入背景关联的非动态密码,所述非动态密码为预设的强密码;
所述密码保险箱服务器存储有以密文形式加密的所述非对称密钥加密方式的公钥;
所述非对称密钥加密方式的私钥存储于所述预先绑定Ukey设备中。
4.根据权利要求3所述的基于PKI的企业强密码管理方法,其特征在于,
所述登入设备通过所述密码保险箱服务器下载并安装沙箱模块,得到所述预设沙箱模块;
所述预设沙箱模块存储有以密文形式加密的所述非对称密钥加密方式的公钥。
5.根据权利要求2所述的基于PKI的企业强密码管理方法,其特征在于,该方法还包括:
用户控制端通过所述密码保险箱服务器下载控制软件,所述控制软件包括:PC端控制软件或手机端控制软件;所述用户控制端为与用户信息关联的电脑或手持移动终端。
6.根据权利要求5所述的基于PKI的企业强密码管理方法,其特征在于,
所述预先绑定Ukey设备与手持移动终端预先绑定,所述预先绑定Ukey设备与手持移动终端通过无线连接方式连接,所述无线连接方式包括蓝牙连接、WiFi连接;
步骤“所述密码保险箱服务器将第一密码数据包发送至预先绑定Ukey设备”具体为:
所述密码保险箱服务器通过手持移动终端将第一密码数据包发送至预先绑定Ukey设备。
7.根据权利要求6所述的基于PKI的企业强密码管理方法,其特征在于,所述预先绑定Ukey设备预先绑定的方法包括:
通过手持移动终端注册用户账号,采集所述用户账号关联的用户信息,所述用户信息包括用户的员工工号、所在部门、姓名以及所述手持移动终端的设备信息;
将所述用户账号及所述用户信息上传至所述密码保险箱服务器,所述密码保险箱服务器将收到的所述用户账号及所述用户信息与预设的可注册信息进行匹配;
匹配成功,则所述用户账号注册成功;
通过所述用户账号登入PC端控制软件,所述PC端控制软件从所述密码保险箱服务器下载所述用户信息,所述PC端控制软件基于所述用户信息为Ukey设备写入数字证书,得到所述预先绑定Ukey设备。
8.根据权利要求1所述的基于PKI的企业强密码管理方法,其特征在于,所述“登入设备的预设沙箱模块先生成动态密码,其次将所述动态密码加密得到第二密码数据包”具体为:
获取登入请求数据;
将所述登入请求数据与动态密码预设清单进行匹配;
匹配成功后,登入设备的预设沙箱生成动态密码;
使用所述用户登入账号关联的非对称密钥的公钥对所述动态密码进行加密得到第二密码数据包;
通过所述密码保险箱服务器将所述第二密码数据包,发送至已登入所述用户登入账号的手持移动终端的所述预先绑定Ukey设备上;
所述预先绑定Ukey设备通过非对称密钥的私钥对所述第二密码数据包进行解密得到所述登入设备的动态密码;
并将所述动态密码在所述预先绑定Ukey设备上显示。
9.一种用于运行所述基于PKI的企业强密码管理方法的系统,其特征在于,该系统包括:
用于获取登入请求数据的第一获取模块;
用于执行第一操作的第一操作模块,执行第一操作包括:将所述登入请求数据发送至密码保险箱服务器,所述密码保险箱服务器将第一密码数据包发送至预先绑定Ukey设备,所述预先绑定Ukey设备解密所述第一密码数据包,并显示第一登入密码数据;
用于执行第二操作的第二操作模块,执行第二操作包括:登入设备的预设沙箱模块先生成动态密码,其次将所述动态密码加密得到第二密码数据包,再将所述第二密码数据包发送至预先绑定Ukey设备;所述预先绑定Ukey设备解密所述第二密码数据包,并显示第二登入密码数据。
10.一种电子设备,其特征在于,包括:
计算机程序,所述计算机程序用于执行所述权利要求1~8中任意一项所述的基于PKI的企业强密码管理方法;
存储器,所述存储器用于存储所述计算机程序;
处理器,所述处理器用于执行所述计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211367191.6A CN115913532A (zh) | 2022-11-02 | 2022-11-02 | 基于pki的企业强密码管理方法、系统及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211367191.6A CN115913532A (zh) | 2022-11-02 | 2022-11-02 | 基于pki的企业强密码管理方法、系统及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115913532A true CN115913532A (zh) | 2023-04-04 |
Family
ID=86470269
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211367191.6A Pending CN115913532A (zh) | 2022-11-02 | 2022-11-02 | 基于pki的企业强密码管理方法、系统及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115913532A (zh) |
-
2022
- 2022-11-02 CN CN202211367191.6A patent/CN115913532A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10554420B2 (en) | Wireless connections to a wireless access point | |
| JP4252620B1 (ja) | サーバ証明書発行システム | |
| US9698992B2 (en) | Method for signing electronic documents with an analog-digital signature with additional verification | |
| US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
| US9185096B2 (en) | Identity verification | |
| KR100621420B1 (ko) | 네트워크 접속 시스템 | |
| US20130205360A1 (en) | Protecting user credentials from a computing device | |
| CN105306211B (zh) | 一种客户端软件的身份认证方法 | |
| CN104662870A (zh) | 数据安全管理系统 | |
| CN105284072A (zh) | 对加密数据的解密支持 | |
| WO2019226115A1 (en) | Method and apparatus for user authentication | |
| US20090249447A1 (en) | Information processing system and computer-readable recording medium | |
| CN104702580A (zh) | 多通讯渠道认证授权平台系统和方法 | |
| CN114531277A (zh) | 一种基于区块链技术的用户身份认证方法 | |
| CN111600900B (zh) | 基于区块链的单点登录方法、服务端及系统 | |
| JP5086839B2 (ja) | 認証デバイス、生体情報管理装置、認証システムおよび認証方法 | |
| CN110795765B (zh) | 一种基于u盾的个人移动区块链操作系统 | |
| CN110659471A (zh) | 一种云环境中的身份认证登录方法 | |
| JP5485452B1 (ja) | 鍵管理システム、鍵管理方法、ユーザ端末、鍵生成管理装置、及びプログラム | |
| CN113886793A (zh) | 设备登录方法、装置、电子设备、系统和存储介质 | |
| US20140237567A1 (en) | Authentication method | |
| JP7079528B2 (ja) | サービス提供システム及びサービス提供方法 | |
| CN115801345A (zh) | 基于pki的个人强密码管理方法、系统及电子设备 | |
| JP5665592B2 (ja) | サーバ装置並びにコンピュータシステムとそのログイン方法 | |
| CN115913532A (zh) | 基于pki的企业强密码管理方法、系统及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |