CN104735085A - 一种终端双因子安全登录防护方法 - Google Patents

一种终端双因子安全登录防护方法 Download PDF

Info

Publication number
CN104735085A
CN104735085A CN201510176375.8A CN201510176375A CN104735085A CN 104735085 A CN104735085 A CN 104735085A CN 201510176375 A CN201510176375 A CN 201510176375A CN 104735085 A CN104735085 A CN 104735085A
Authority
CN
China
Prior art keywords
client
computer
usbkey
login
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510176375.8A
Other languages
English (en)
Inventor
高广涛
徐彭城
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SHANGHAI HANBANGJINGTAI DIGITAL CODE TECHNOLOGY Co Ltd
Original Assignee
SHANGHAI HANBANGJINGTAI DIGITAL CODE TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHANGHAI HANBANGJINGTAI DIGITAL CODE TECHNOLOGY Co Ltd filed Critical SHANGHAI HANBANGJINGTAI DIGITAL CODE TECHNOLOGY Co Ltd
Priority to CN201510176375.8A priority Critical patent/CN104735085A/zh
Publication of CN104735085A publication Critical patent/CN104735085A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种终端双因子安全登录防护方法,在服务器端安装审计中心,在客户端安装主机传感器,通过审计中心下发登录监管规则到客户端,并启用登录监管,客户端会自动开启USBKEY认证,USBKEY在量产时会写入用户信息和初始PIN码,将USBKEY***计算机,输入PIN码,等待验证通过即可。本发明采用终端双因子安全登录防护,采用USB Key认证加口令作为开机登录凭证,使用了驱动级加密技术,有效防止非法访问计算机、机密文件的窃取以及修改等非法操作,从而提高个人计算机的安全性。

Description

一种终端双因子安全登录防护方法
技术领域
本发明涉及计算机安全技术领域,具体是一种终端双因子安全登录防护方法。
背景技术
登录认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。
    对用户的身份认证基本方法可以分为三种,即(1)基于信息秘密的身份认证;(2)基于信任物体的身份认证;(3)基于生物特征的身份认证。为了达到更高的身份认证安全性,某些场景会将上面3种挑选2种混合使用,即双因子认证。
普通的USBKEY只验证证书,当USBKEY被他人获得后依旧可以打开目标计算机,且服务器不会知道哪一台客户机被打开,因此这种方式非常不安全。
当前存在技术问题主要集中于PKI的部署,PKI太复杂庞大了,如果企业中没有部署PKI***,那么为了这个认证方法而部署PKI有些复杂。因此,如果只有少数几台需要用到USBKEY进行登录计算机,则代价太大;当然如果应用于一些已经部署有PKI,且大量使用USBKEY登录计算机的单位来说,双因子认证技术是一个不错的选择。
发明内容
本发明的目的在于提供一种终端双因子安全登录防护方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种终端双因子安全登录防护方法,具体操作步骤如下:(1)在服务器端安装审计中心,在客户端安装主机传感器;(2)通过审计中心下发登录监管规则到客户端,并启用登录监管,客户端会自动开启USBKEY认证,USBKEY在量产时会写入用户信息和初始PIN码;(3)将USBKEY***计算机,输入PIN码,等待验证通过即可。
与现有技术相比,本发明的有益效果是:
(1)本发明通过PIN码保证了非持有人无法使用,且一旦采取验证,就会向服务器端发送当前客户机的信息和USBKEY信息,从而个人计算机的安全登录;
    (2)终端双因子安全登录防护技术在Linux终端登录上采用USB Key认证加口令作为开机登录凭证,使用了驱动级加密技术,有效防止非法访问计算机、机密文件的窃取、修改等非法操作,从而提高个人计算机的安全性;
(3)采用双因子认证技术可以有效地防止非授权用户登录计算机,客户端软件会通过USBKEY的接口去获取USBKEY中的证书以获取用户信息,在匹配成功后要求用户输入USBKEY的PIN码,以确定当前用户是该USBKEY的合法使用者,从而确保个人计算机的安全性。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种终端双因子安全登录防护方法,(1)在服务器端安装审计中心,在客户端安装主机传感器;(2)通过审计中心下发登录监管规则到客户端,并启用登录监管,客户端会自动开启USBKEY认证,USBKEY在量产时会写入用户信息和初始PIN码;(3)将USBKEY***计算机,输入PIN码,等待验证通过即可。
USBKEY拥有唯一序列号,绑定KEY时即绑定了唯一序列号,在认证用户信息的同时,还对KEY的合法性进行了检查,以此达到唯一的USBKEY开启指定的电脑。
本发明方法通过硬件(USB Key)和软件(Client)相结合的方式,基于PKI的安全登录机制,实现了物理身份与用户身份的双重认证,使用数字证书标识用户在终端计算机或域环境下的角色身份与操作***权限绑定,结合硬件USB Key实现内网终端或域环境的安全登录。
采用双因子认证技术可以有效地防止非授权用户登录计算机,客户端软件会通过USBKEY的接口去获取USBKEY中的证书以获取用户信息,在匹配成功后要求用户输入USBKEY的PIN码,以确定当前用户是该USBKEY的合法使用者,从而确保个人计算机的安全性;PIN码无法通过软件方式获取 ,验证工作由USBKEY中的主控芯片完成,并通知客户端软件验证结果。
使用USB Key认证加口令作为身份认证的凭据,可以有效安全的解决身份确认和行为抵赖的基本问题;采用USBKEY方式登录计算机,安全性更加可靠,登录的同时不论成功与否,客户端都会向服务器发送当前尝试登录计算机的USBKEY中的证书信息(包括用户信息)和当前被尝试登录的计算机的***信息以及硬件信息,通过这种方式服务器实时能够了解到哪一台电脑被登录以及登录是否成功,也可通过此来判断是否存在非法登录的情况。
同时,当使用者离开时无须关机以保证信息安全,当USBKEY拔出计算机时,客户端软件会自动将计算机进入锁屏状态,需要插上USBKEY重新认证后方可解锁。
整个双因子认证***采用了PKC#11技术,通过对证书的验证完成对KEY合法性的识别;同时通过主控芯片设置PIN码做到双重保护,做到唯一介质绑定;同时在验证开始后,客户端程序会主动收集计算机信息和USBKEY信息上报服务器,做到实时掌握客户机的使用情况。
PKC#11是一套完整的操作数字证书的规范,数字证书采取sha1的数字签名方式,使证书具有唯一性,使USBKEY具有唯一性。

Claims (1)

1.一种终端双因子安全登录防护方法,其特征在于,具体操作步骤如下:(1)在服务器端安装审计中心,在客户端安装主机传感器;(2)通过审计中心下发登录监管规则到客户端,并启用登录监管,客户端会自动开启USBKEY认证,USBKEY在量产时会写入用户信息和初始PIN码;(3)将USBKEY***计算机,输入PIN码,等待验证通过即可。
CN201510176375.8A 2015-04-15 2015-04-15 一种终端双因子安全登录防护方法 Pending CN104735085A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510176375.8A CN104735085A (zh) 2015-04-15 2015-04-15 一种终端双因子安全登录防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510176375.8A CN104735085A (zh) 2015-04-15 2015-04-15 一种终端双因子安全登录防护方法

Publications (1)

Publication Number Publication Date
CN104735085A true CN104735085A (zh) 2015-06-24

Family

ID=53458520

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510176375.8A Pending CN104735085A (zh) 2015-04-15 2015-04-15 一种终端双因子安全登录防护方法

Country Status (1)

Country Link
CN (1) CN104735085A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107704749A (zh) * 2017-10-25 2018-02-16 深圳竹云科技有限公司 基于U盾验证算法的Windows***安全登录方法
CN108269091A (zh) * 2018-01-25 2018-07-10 北京明华联盟科技有限公司 待机处理方法、装置、***及计算机可读存储介质
CN108880822A (zh) * 2018-06-29 2018-11-23 郑州云海信息技术有限公司 一种身份认证方法、装置、***及一种智能无线设备
CN111428213A (zh) * 2020-03-27 2020-07-17 深圳融安网络科技有限公司 双因子的认证设备及其方法和计算机可读存储介质
CN112187729A (zh) * 2020-09-08 2021-01-05 南京南瑞继保电气有限公司 一种操作许可安全管控***及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030012387A1 (en) * 2000-01-31 2003-01-16 Henri Gilbert Communication method with encryption key escrow and recovery
CN101256608A (zh) * 2008-03-25 2008-09-03 北京飞天诚信科技有限公司 安全操作方法和***
CN101986325A (zh) * 2010-11-01 2011-03-16 山东超越数控电子有限公司 一种计算机安全访问控制***及控制方法
CN202058159U (zh) * 2010-11-30 2011-11-30 方正国际软件有限公司 一种USB Key
CN102413143A (zh) * 2011-12-01 2012-04-11 江苏华丽网络工程有限公司 基于云计算的安全审计***及方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030012387A1 (en) * 2000-01-31 2003-01-16 Henri Gilbert Communication method with encryption key escrow and recovery
CN101256608A (zh) * 2008-03-25 2008-09-03 北京飞天诚信科技有限公司 安全操作方法和***
CN101986325A (zh) * 2010-11-01 2011-03-16 山东超越数控电子有限公司 一种计算机安全访问控制***及控制方法
CN202058159U (zh) * 2010-11-30 2011-11-30 方正国际软件有限公司 一种USB Key
CN102413143A (zh) * 2011-12-01 2012-04-11 江苏华丽网络工程有限公司 基于云计算的安全审计***及方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107704749A (zh) * 2017-10-25 2018-02-16 深圳竹云科技有限公司 基于U盾验证算法的Windows***安全登录方法
CN108269091A (zh) * 2018-01-25 2018-07-10 北京明华联盟科技有限公司 待机处理方法、装置、***及计算机可读存储介质
CN108880822A (zh) * 2018-06-29 2018-11-23 郑州云海信息技术有限公司 一种身份认证方法、装置、***及一种智能无线设备
CN108880822B (zh) * 2018-06-29 2021-06-29 郑州云海信息技术有限公司 一种身份认证方法、装置、***及一种智能无线设备
CN111428213A (zh) * 2020-03-27 2020-07-17 深圳融安网络科技有限公司 双因子的认证设备及其方法和计算机可读存储介质
CN111428213B (zh) * 2020-03-27 2024-02-02 深圳融安网络科技有限公司 双因子的认证设备及其方法和计算机可读存储介质
CN112187729A (zh) * 2020-09-08 2021-01-05 南京南瑞继保电气有限公司 一种操作许可安全管控***及方法

Similar Documents

Publication Publication Date Title
CN105491062B (zh) 一种客户端软件保护方法、装置及客户端
KR100437225B1 (ko) 전자서명 인증기반 파일시스템 보안 장치 및 그 방법
CN111931144B (zh) 一种操作***与业务应用统一安全登录认证方法及装置
CN107563213B (zh) 一种防存储设备数据提取的安全保密控制装置
CN109257209A (zh) 一种数据中心服务器集中管理***及方法
US10771441B2 (en) Method of securing authentication in electronic communication
CN104735085A (zh) 一种终端双因子安全登录防护方法
CN109257391A (zh) 一种访问权限开放方法、装置、服务器及存储介质
CN105243314B (zh) 一种基于USB‑key的安全***及其使用方法
CN112084472B (zh) 一种多用户安全存储的实时动态认证方法
JP5013931B2 (ja) コンピューターログインをコントロールする装置およびその方法
CN101420302A (zh) 安全认证方法和设备
CN106161348A (zh) 一种单点登录的方法、***以及终端
CN106161442A (zh) 一种***控制用户登录方法
CN106446613A (zh) 一种终端预装应用程序的保护方法
CN101859373A (zh) 一种移动可信终端安全接入方法
CN112434270B (zh) 一种增强计算机***数据安全的方法及***
CN107273725A (zh) 一种针对涉密信息的数据备份方法及***
CN103455358A (zh) 电能表程序升级方法
US20150121504A1 (en) Identification process of application of data storage and identification hardware with ic card
CN109584421A (zh) 一种基于国产安全芯片的智能门锁认证管理***
CN100527692C (zh) 一种虚拟专用网用户认证的***和方法
CN108574657B (zh) 接入服务器的方法、装置、***以及计算设备和服务器
CN112905961A (zh) 一种用于计算机软件保护的网络通讯方法
US11533306B2 (en) Processes and method for safe of use, monitoring and management of device accounts in terminal manner

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20150624