CN105243314A - 一种基于USB-key的安全***及其使用方法 - Google Patents
一种基于USB-key的安全***及其使用方法 Download PDFInfo
- Publication number
- CN105243314A CN105243314A CN201510580705.XA CN201510580705A CN105243314A CN 105243314 A CN105243314 A CN 105243314A CN 201510580705 A CN201510580705 A CN 201510580705A CN 105243314 A CN105243314 A CN 105243314A
- Authority
- CN
- China
- Prior art keywords
- usb
- key
- module
- authentication
- embedded device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于USB-key的安全***及其使用方法,包括嵌入式设备和与嵌入式设备配套使用的USB-key,所述嵌入式设备包括显示模块、接收模块、认证模块和服务模块;所述显示模块用于显示***状态和提醒操作步骤及结果;所述接收模块内置映射端口,接受和处理验证USB-key***嵌入式设备所触发的信号,验证通过后发送信号开启认证模块;所述认证模块内置加密证书,对接收模块发送的信号进行身份验证,验证通过后开启服务模块;所述服务模块用于开启对外服务功能。本发明能增加嵌入式设备使用的安全性,节约安全***后台资源,提高使用便捷度。
Description
技术领域
本发明涉及互联网技术领域,特别是涉及一种基于USB-key的安全***及其使用方法。
背景技术
USB-key是一种具有USB接口的硬件设备,其形状与我们常见的U盘相同,与U盘不同的是,USB-key内置了CPU、存储器、芯片操作***(COS),可以存储用户的密钥或数字证书,利用USB-key内置的密码算法可以实现对用户身份的认证。每一个USB-key都具有硬件PIN码保护,PIN码和USB-key构成了用户使用USB-key的两个必要因素。用户只有同时取得了USB-key和用户PIN码,才可以通过PC等终端登录***,从而使用USB-key进行相应的操作。
目前在实际应用中,当户需要对嵌入式设备进行运维配置时,常用的方式是用户用网线将终端计算机和嵌入式设备连接起来,在终端计算机的浏览器中输入嵌入式设备对外的服务器IP地址即可访问到嵌入式设备提供的身份认证界面;用户输入用户名和密码进行身份认证,身份认证完成后,可以使用被授权的功能。
在上述应用中,嵌入式设备对用户采用用户名/密码的方式进行身份验证,但是这种验证方式的问题在于,***并不能保证获得授权的用户是合法用户,因此,部分设备需要采用USB-key来进行辅助登陆,但如果用户的USB-key丢失,则用户身份的安全将完全依赖用户设定的PIN码,而非法用户可将该USB-key与其它任何一台PC或者移动终端连接使用,在合法用户发现并通过上层管理员锁定***访问权限前,非法用户可以采用穷举法等方式来破解用户的PIN码,或采用病毒盗取用户PIN码,因此也不能完全保证登录安全;此外,***在设备运行期间会一直开启运维相关的服务接口,等待用户访问设备对外的服务器IP地址,之后进行身份认证。***长时间开放对外的接口,让***长期暴露在不确定的环境里,为***的安全埋下了隐患,同时也造成了***资源的浪费。
发明内容
针对上述问题,本发明提供一种基于USB-key的安全***及其使用方法,旨在解决由于***一直开启运维相关服务接口的行为以及使用用户名/密码进行身份验证的方式所带来的***资源浪费以及***安全问题。
本发明解决技术问题所采用的技术方案为:一种基于USB-key的安全***,包括嵌入式设备和***嵌入式设备内的USB-key,所述嵌入式设备包括显示模块、接收模块、认证模块和服务模块;所述显示模块用于显示***状态和提醒操作步骤及结果;所述接收模块内置映射端口,接受和处理验证USB-key***嵌入式设备所触发的信号,验证通过后发送信号开启认证模块;所述认证模块内置加密证书,对接收模块发送的信号进行身份验证,验证通过后开启服务模块;所述服务模块用于开启运对外服务功能。
优选的,所述接收模块内置检测端口,检测接入USB口的硬件是否为对应USB-key类型,检测端口只对已设定的USB-key类型产生响应并发送信号至认证模块。
优选的,所述认证模块的加密证书实现的嵌入式设备和USB-key之间有4种映射模式:一对一、一对多、多对一或多对多。
优选的,所述认证模块在未接入USB-key时不开启,当接收模块检测到USB-key接入并验证后,发送信号至认证模块,认证模块开启,嵌入式设备读取USB-key所储存的用公钥加密的证书,认证模块用私钥对证书进行解密验证;验证完成后认证模块自动关闭。
优选的,认证模块验证USB-key成功后自行开启服务模块,使用对外服务功能;拔出USB-key后接收模块发送关闭指令,服务模块关闭。
优选的,所述USB-key内置外接接口,可安装外接指纹识别器、声纹识别器、虹膜识别器;USB-key内部留有相应空间,安装对应的分析模块。
一种基于上述USB-key的安全***的方法,包括以下步骤:
(1)在嵌入式设备中录入USB-key的身份信息,形成一对一、一对多、多对一或多对多的捆绑关系,保存记录在认证模块后,关闭认证模块和服务模块;
(2)用户将USB-key接入嵌入式设备,触发接收模块检测端口,检测端口判断属于嵌入式设备对应USB-key类型后,接收模块发出信号;
(3)认证模块收到信号后,开启USB-key身份认证接口;
(4)USB-key身份认证接口对USB-key的身份信息进行认证,认证成功则***开启对外服务功能,认证失败则提示用户USB-key无效;
(5)开启***对外服务功能后,用户使用被授权的功能。
本发明的一种基于USB-key的安全***及其使用方法和现有技术相比,有如下优点:
1.***对用户接入的USB-key先进行身份认证,认证完成则开启对外服务功能,在***未完成对USB-key认证的情况下,用户无法访问对外服务功能,增强***安全性;
2.固定的嵌入式设备外人难以接触,***登录时无需输入密码,简化登录步骤,防止遗忘密码带来的麻烦;
3.***在未接入USB-key时,认证模块和服务模块不会后台运行,提高***资源利用率;
4.对于部分特别重要的嵌入式设备,***可外接其他安全辅助验证设备,进一步增加***安全性。
附图说明
图1为本发明一种实施例的工作流程图。
具体实施方式
下面通过具体实施方式结合附图对本发明作进一步详细说明。
所述一种基于USB-key的安全***及其使用方法,包括嵌入式设备和***嵌入式设备内的USB-key,所述嵌入式设备包括显示模块、接收模块、认证模块和服务模块;所述接收模块内置映射端口,接受和处理验证USB-key***嵌入式设备所触发的信号,检测接入USB口的硬件是否为对应USB-key类型,只对所需USB-key类型产生响应,当检测到接入USB端口的硬件不是USB-key(如U盘或其他USB端口的硬件),或者不是本***所使用的USB-key类型(如其他类型USB-key)后,显示模块发出未识别提醒,当接入硬件为本***所使用的USB-key后,显示模块提示开始认证,同时发送信号到认证模块;认证模块在未接入USB-key时不开启,当接收模块检测验证所使用USB-key接入并发出指令后,认证模块自行开启,嵌入式设备读取USB-key中用公钥加密的证书,读取完成后,嵌入式设备使用自身保存的私钥解密读取的证书,验证证书是否合法,确保该USB-key为本台嵌入式设备所配套的USB-key;验证完成后认证模块自动关闭,对比验证认定所接入USB-key属于本套嵌入式设备的USB-key类型后,显示模块提醒认证成功,验证不通过显示模块则提醒验证失败,在验证成功后开启服务模块,服务模块用于开启对外服务功能,用户可对嵌入式设备进行修改等操作,如开启web配置界面、控制键盘等外接设备、修改设备参数等。
认证模块工作过程中,嵌入式设备的认证模块与USB-key的私钥进行映射识别,在映射过程中,本套***采用在嵌入式设备内预先存储所需USB-key的一个硬件序列号UID,每个USB-key上的UID都具有唯一性;USB-key存储有用公钥加密的证书,证书里设有能标识USB-key的硬件序列号UID,嵌入式设备读取USB-key的公钥加密证书后,认证模块用私钥解密证书,验证存储在证书内的UID;本套***采用4种映射模式:一台嵌入式设备存储一个USB-key的硬件序列号UID实现一对一映射,一台嵌入式设备存储多个USB-key的硬件序列号UID实现一对多映射,多台嵌入式设备存储一个USB-key的硬件序列号UID实现多对一映射,多台嵌入式设备存储多个USB-key的硬件序列号UID实现多对多映射;在使用对外服务功能的配置功能过程中,可调整添加或删除嵌入式设备和USB-key之间的映射关系,如当USB-key丢失以后,为避免出现安全问题,可用其他USB-key登陆***,并操作***对已丢失的USB-key和嵌入式设备之间的映射关系进行管理,暂时冻结或删除已丢失USB-key的使用权限。
在安全***的实际使用过程中,所述嵌入式设备一般体积较大,不易丢失,其配套的USB-key即便丢失,如果不在经过配套认证的嵌入式设备上使用也无法访问***,而外部人员若通过其他方式得到USB-key,也难以进入存放嵌入式设备的工作室,使用USB-key操作对应的嵌入式设备,因此USB-key的使用环境相对较安全,无需再额外使用PIN码登录,省去因遗忘密码或因其他原因多次输入密码错误造成当时无法进入***的问题;认证模块验证USB-key成功后自行开启服务模块,使用对外服务功能;因对外服务功能在后台持续运行会占用部分后台资源,为节约后台资源,且保证只有USB-key使用者才能使用对外服务功能,在拔出USB-key后接收模块发送关闭指令,服务模块关闭。
在部分特别重要的嵌入式设备中,因保密需求更高,为避免非法用户使用,所述USB-key上设置外接接口,可安装更多生物识别设备,如外接指纹识别器、声纹识别器、虹膜识别器;同时USB-key内部留有相应空间,用于安装与其对应的分析模块;分析模块在初始设置的时候,将使用者的指纹、声纹或虹膜储存;当嵌入式设备***USB-key,验证过程中需要使用识别器的时候,分析模块分析检测到的指纹、声纹和虹膜的生物数据,与之前所储存的生物数据进行比对,若比对成功,则显示模块提示成功,开启服务模块,若比对失败,则提示识别不成功,连续识别3次不成功以后,判断为USB-key可能被非法用户使用,嵌入式设备发送信息至USB-key管理员,方便管理员进行处理。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种基于USB-key的安全***,其特征在于,包括嵌入式设备和***嵌入式设备内的USB-key,所述嵌入式设备包括显示模块、接收模块、认证模块和服务模块;所述显示模块用于显示***状态和提醒操作步骤及结果;所述接收模块内置映射端口,接受和处理验证USB-key***终端所触发的信号,验证通过后发送信号开启认证模块;所述认证模块内置加密证书,对接收模块发送的信号进行身份验证,验证通过后开启服务模块;所述服务模块用于开启对外服务功能。
2.如权利要求1所述的基于USB-key的安全***,其特征在于,所述接收模块内置检测端口,检测接入USB口的硬件是否为对应USB-key类型,检测端口只对已设定的USB-key类型产生响应并发送信号至认证模块。
3.如权利要求1或2所述的基于USB-key的安全***,其特征在于,所述认证模块的加密证书实现的嵌入式设备和USB-key之间有4种映射模式:一对一、一对多、多对一或多对多。
4.如权利要求1或2所述的基于USB-key的安全***,其特征在于,所述认证模块在未接入USB-key时不开启,当接收模块检测到USB-key接入并验证后,发送信号至认证模块,认证模块开启,嵌入式设备读取USB-key所储存的用公钥加密的证书,认证模块用私钥对证书进行解密验证;验证完成后认证模块自动关闭。
5.如权利要求1-4所述的基于USB-key的安全***,其特征在于,认证模块验证USB-key成功后自行开启服务模块,使用对外服务功能;拔出USB-key后接收模块发送关闭指令,服务模块关闭。
6.如权利要求1-5所述的基于USB-key的安全***,其特征在于,所述USB-key内置外接接口,安装外接指纹识别器、声纹识别器、虹膜识别器;USB-key内部留有相应空间,安装对应的分析模块。
7.一种基于USB-key的基于USB-key的安全***的方法,包括以下步骤:
(1)在嵌入式设备中录入USB-key的身份信息,形成一对一、一对多、多对一或多对多的捆绑关系,保存记录在认证模块后,关闭认证模块和服务模块;
(2)用户将USB-key接入嵌入式设备,触发接收模块检测端口,检测端口判断属于嵌入式设备对应USB-key类型后,接收模块发出信号;
(3)认证模块收到信号后,开启USB-key身份认证接口;
(4)USB-key身份认证接口对USB-key的身份信息进行认证,认证成功则***开启对外服务功能,认证失败则提示用户USB-key无效;
(5)开启***对外服务功能后,用户使用被授权的功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510580705.XA CN105243314B (zh) | 2015-09-14 | 2015-09-14 | 一种基于USB‑key的安全***及其使用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510580705.XA CN105243314B (zh) | 2015-09-14 | 2015-09-14 | 一种基于USB‑key的安全***及其使用方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105243314A true CN105243314A (zh) | 2016-01-13 |
| CN105243314B CN105243314B (zh) | 2018-01-02 |
Family
ID=55040958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510580705.XA Expired - Fee Related CN105243314B (zh) | 2015-09-14 | 2015-09-14 | 一种基于USB‑key的安全***及其使用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105243314B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106100836A (zh) * | 2016-08-09 | 2016-11-09 | 中京天裕科技(北京)有限公司 | 一种工业用户身份认证和加密的方法及*** |
| CN106209849A (zh) * | 2016-07-13 | 2016-12-07 | 浪潮电子信息产业股份有限公司 | 一种可以自由开启和关闭的双因子登录方式的实现方案 |
| CN106713275A (zh) * | 2016-11-25 | 2017-05-24 | 北京无线电计量测试研究所 | 一种集成虹膜识别功能的USBKey身份认证***与方法 |
| CN107871268A (zh) * | 2017-10-27 | 2018-04-03 | 天津津航计算技术研究所 | 一种基于u‑key的共享汽车控制方法 |
| CN108154593A (zh) * | 2018-02-05 | 2018-06-12 | 宁波铁克机电有限公司 | 用于解锁保险箱的手持设备及其解锁方法 |
| CN109214221A (zh) * | 2018-08-23 | 2019-01-15 | 武汉普利商用机器有限公司 | 一种身份证阅读器验证方法、上位机和身份证阅读器 |
| CN109347831A (zh) * | 2018-10-24 | 2019-02-15 | 国家电网有限公司 | 一种基于UKey认证的双重认证安全接入***及方法 |
| CN109388940A (zh) * | 2018-09-20 | 2019-02-26 | 斑马网络技术有限公司 | 车机***访问方法、装置、服务器及工程u盘 |
| CN109617918A (zh) * | 2019-01-21 | 2019-04-12 | 深圳锚丁科技工程有限公司 | 一种安全运维网关及其运维方法 |
| CN111191214A (zh) * | 2018-11-14 | 2020-05-22 | 珠海格力电器股份有限公司 | 一种嵌入式处理器及数据保护方法 |
-
2015
- 2015-09-14 CN CN201510580705.XA patent/CN105243314B/zh not_active Expired - Fee Related
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209849A (zh) * | 2016-07-13 | 2016-12-07 | 浪潮电子信息产业股份有限公司 | 一种可以自由开启和关闭的双因子登录方式的实现方案 |
| CN106100836A (zh) * | 2016-08-09 | 2016-11-09 | 中京天裕科技(北京)有限公司 | 一种工业用户身份认证和加密的方法及*** |
| CN106713275A (zh) * | 2016-11-25 | 2017-05-24 | 北京无线电计量测试研究所 | 一种集成虹膜识别功能的USBKey身份认证***与方法 |
| CN107871268A (zh) * | 2017-10-27 | 2018-04-03 | 天津津航计算技术研究所 | 一种基于u‑key的共享汽车控制方法 |
| CN108154593A (zh) * | 2018-02-05 | 2018-06-12 | 宁波铁克机电有限公司 | 用于解锁保险箱的手持设备及其解锁方法 |
| CN109214221A (zh) * | 2018-08-23 | 2019-01-15 | 武汉普利商用机器有限公司 | 一种身份证阅读器验证方法、上位机和身份证阅读器 |
| CN109388940A (zh) * | 2018-09-20 | 2019-02-26 | 斑马网络技术有限公司 | 车机***访问方法、装置、服务器及工程u盘 |
| CN109347831A (zh) * | 2018-10-24 | 2019-02-15 | 国家电网有限公司 | 一种基于UKey认证的双重认证安全接入***及方法 |
| CN111191214A (zh) * | 2018-11-14 | 2020-05-22 | 珠海格力电器股份有限公司 | 一种嵌入式处理器及数据保护方法 |
| CN111191214B (zh) * | 2018-11-14 | 2022-03-22 | 珠海格力电器股份有限公司 | 一种嵌入式处理器及数据保护方法 |
| CN109617918A (zh) * | 2019-01-21 | 2019-04-12 | 深圳锚丁科技工程有限公司 | 一种安全运维网关及其运维方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105243314B (zh) | 2018-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105243314A (zh) | 一种基于USB-key的安全***及其使用方法 | |
| AU2016273888B2 (en) | Controlling physical access to secure areas via client devices in a networked environment | |
| US8332637B2 (en) | Methods and systems for nonce generation in a token | |
| JP5538313B2 (ja) | バイオメトリック鍵 | |
| US20090158033A1 (en) | Method and apparatus for performing secure communication using one time password | |
| CN110502886B (zh) | 多重身份验证方法、装置、终端及计算机存储介质 | |
| CN109067881B (zh) | 远程授权方法及其装置、设备和存储介质 | |
| CN108965222A (zh) | 身份认证方法、***及计算机可读存储介质 | |
| CN106372487A (zh) | 一种服务器操作***可信增强方法及*** | |
| CN111131202A (zh) | 基于多重信息认证的身份认证方法及*** | |
| CN102456102A (zh) | 用Usb key技术对信息***特殊操作进行身份再认证的方法 | |
| JP2007280393A (ja) | コンピューターログインをコントロールする装置およびその方法 | |
| CN101859373A (zh) | 一种移动可信终端安全接入方法 | |
| CN111898101A (zh) | 一种应用的安全设备验证方法及装置 | |
| CN105071993B (zh) | 加密状态检测方法和*** | |
| CN106856471A (zh) | 802.1x下ad域登录认证方法 | |
| KR102248132B1 (ko) | 생체정보를 이용한 로그인방법, 장치 및 프로그램 | |
| US20180060558A1 (en) | Method of authenticating a user at a security device | |
| CN102457484A (zh) | 用户名密码认证加校验码两者集合来验证用户信息的方法 | |
| CN110851881A (zh) | 终端设备的安全检测方法及装置、电子设备及存储介质 | |
| CN104767728A (zh) | 一种基于居家养老的身份认证的方法及*** | |
| KR101613664B1 (ko) | 인증서를 이용한 전자거래에서의 본인확인기능을 강화한 보안 시스템 | |
| CN113554783B (zh) | 一种认证数据的存储方法、装置和计算机可读存储介质 | |
| CN107332989B (zh) | 移动终端的数据保护***和数据保护方法 | |
| KR101592475B1 (ko) | 회원제 인터넷 사이트 불법 이용 방지 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180102 Termination date: 20190914 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |