CN111901304B - 移动安全设备的注册方法和装置、存储介质、电子装置 - Google Patents

移动安全设备的注册方法和装置、存储介质、电子装置 Download PDF

Info

Publication number
CN111901304B
CN111901304B CN202010600264.6A CN202010600264A CN111901304B CN 111901304 B CN111901304 B CN 111901304B CN 202010600264 A CN202010600264 A CN 202010600264A CN 111901304 B CN111901304 B CN 111901304B
Authority
CN
China
Prior art keywords
security device
mobile security
management center
terminal
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010600264.6A
Other languages
English (en)
Other versions
CN111901304A (zh
Inventor
孙瑜
夏攀
陈旭
冯克
李琨
候永谦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING KEXIN HUATAI INFORMATION TECHNOLOGY CO LTD
Original Assignee
BEIJING KEXIN HUATAI INFORMATION TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING KEXIN HUATAI INFORMATION TECHNOLOGY CO LTD filed Critical BEIJING KEXIN HUATAI INFORMATION TECHNOLOGY CO LTD
Priority to CN202010600264.6A priority Critical patent/CN111901304B/zh
Publication of CN111901304A publication Critical patent/CN111901304A/zh
Application granted granted Critical
Publication of CN111901304B publication Critical patent/CN111901304B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0246Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/046Network management architectures or arrangements comprising network management agents or mobile agents therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • H04L67/145Termination or inactivation of sessions, e.g. event-controlled end of session avoiding end of session, e.g. keep-alive, heartbeats, resumption message or wake-up for inactive or interrupted session
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种移动安全设备的注册方法和装置、存储介质、电子装置。其中,该方法包括:在第一终端上接入有第一移动安全设备的情况下,在第一终端上启动管理终端程序,其中,管理终端程序用于在第一终端上接入有第一移动安全设备的情况下与管理中心进行通信,第一移动安全设备用于管理待注册的移动安全设备;在第一终端上检测到接入第二移动安全设备的情况下,通过管理终端程序获取第二移动安全设备的注册请求;通过管理终端程序在管理中心注册第二移动安全设备。本申请解决了相关技术中终端存在安全隐患的技术问题。

Description

移动安全设备的注册方法和装置、存储介质、电子装置
技术领域
本申请涉及可信计算领域,具体而言,涉及一种移动安全设备的注册方法和装置、存储介质、电子装置。
背景技术
可信计算是一个以硬件结构安全为基础、以提高计算机安全性为目的的信息安全新兴领域。可信是可信计算的核心概念,可信计算标准中对可信这一概念的定义是:如果一个实体的行为总是按照预期方式和目标进行,那么该实体就是可信的。在可信计算中,所有对实体是否可信的判断均依赖一个镶嵌在主板上的可信芯片--可信平台控制模块。
可信平台控制模块(TPCM,Trusted Platform Control Module)是可信计算平台的核心组成部分,是一块内嵌于主板上的芯片,利用总线与主板进行通信,具有单独的微处理器以及密码学操作引擎,主要组件包括输入输出、密码协处理器、秘钥生成、HMAC引擎、随机数产生器、SHA-1引擎、电源检测、开关、执行引擎、非易失性存储以及易失性存储等。可信计算的设计思想是以可信平台控制模块作为无条件的信任根。计算机从信任根开始启动,经过度量验证、信任传递、CPU控制权传递三个步骤,逐步将可信边界从信任根扩展到BIOS,再到操作***,最后扩展到应用程序。
针对可信设备,为了使用方便,经常需要在该设备与其它设备之间进行数据传输,虽然该设备自身是安全可信的,但是其它设备的安全性并得不到保障,从而可能计算机***与其他设备通讯连接后出现安全问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种移动安全设备的注册方法和装置、存储介质、电子装置,以至少解决相关技术中终端存在安全隐患的技术问题。
根据本申请实施例的一个方面,提供了一种移动安全设备的注册方法,包括:在第一终端上接入有第一移动安全设备的情况下,在第一终端上启动管理终端程序,其中,管理终端程序用于在第一终端上接入有第一移动安全设备的情况下与管理中心进行通信,第一移动安全设备用于管理待注册的移动安全设备;在第一终端上检测到接入第二移动安全设备的情况下,通过管理终端程序获取第二移动安全设备的注册请求;通过管理终端程序在管理中心注册第二移动安全设备。
根据本申请实施例的另一方面,还提供了一种移动安全设备的注册装置,包括:启动单元,用于在第一终端上接入有第一移动安全设备的情况下,在第一终端上启动管理终端程序,其中,管理终端程序用于在第一终端上接入有第一移动安全设备的情况下与管理中心进行通信,第一移动安全设备用于管理待注册的移动安全设备;获取单元,用于在第一终端上检测到接入第二移动安全设备的情况下,通过管理终端程序获取第二移动安全设备的注册请求;注册单元,用于通过管理终端程序在管理中心注册第二移动安全设备。
根据本申请实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的方法。
根据本申请实施例的另一方面,还提供了一种电子装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器通过计算机程序执行上述的方法。
在本申请实施例中,第一终端上***有可信的第一移动安全设备的情况下,启动管理终端程序,以便于在第一终端上检测到接入第二移动安全设备的情况下,通过管理终端程序对第二移动安全设备进行注册认证,可以解决相关技术中终端存在安全隐患的技术问题,进而达到提高终端的安全性的技术效果。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的移动安全设备的注册方法的硬件环境的示意图;
图2是根据本申请实施例的一种可选的移动安全设备的注册方法的流程图;
图3是根据本申请实施例的一种可选的移动安全设备的注册方法的示意图;
图4是根据本申请实施例的一种可选的移动安全设备的注册方法的流程图;
图5是根据本申请实施例的一种可选的移动安全设备的注册方法的流程图;
图6是根据本申请实施例的一种可选的移动安全设备的注册方法的流程图;
图7是根据本申请实施例的一种可选的移动安全设备的注册方法的流程图;
图8是根据本申请实施例的一种可选的移动安全设备的注册方法的流程图;
图9是根据本申请实施例的一种可选的移动安全设备的注册方法的流程图;
图10是根据本申请实施例的一种可选的移动安全设备的注册装置的示意图;以及,
图11是根据本申请实施例的一种终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本申请实施例的一方面,提供了一种移动安全设备的注册方法的方法实施例。可选地,在本实施例中,上述移动安全设备的注册方法可以应用于如图1所示的由可信终端集合101和可信管理中心103(可以有一个或者多个可信服务器组成)所构成的硬件环境中。如图1所示,可信管理中心103通过网络与可信终端集合101进行连接,可用于管理各个可信终端,上述网络包括但不限于:广域网、城域网或局域网,可信终端集合101并不限定于PC、手机、平板电脑等终端的集合。
上述管理中心需要进行初始化,由于在***初始化的时候,没有用户和管理员。这时候,可以通过将超级管理员的证书拷贝到安全管理中心的指定目录下,完成相关的配置后,超级管理员才可以通过WEB页面登录管理中心添加其他管理员。
本申请实施例的移动安全设备的注册方法可以由终端来执行,还可以是由服务器103和终端共同执行。其中,终端执行本申请实施例的移动安全设备的注册方法也可以是由安装在其上的客户端来执行。图2是根据本申请实施例的一种可选的移动安全设备的注册方法的流程图,如图2所示,该方法可以包括以下步骤:
步骤S202,在第一终端上接入有第一移动安全设备的情况下,在第一终端上启动管理终端程序,管理终端程序用于在第一终端上接入有第一移动安全设备的情况下与管理中心进行通信,第一移动安全设备用于管理待注册的移动安全设备。
终端(如第一终端、第二终端等)为可信终端集合中的终端,移动安全设备(如第一移动安全设备、第二移动安全设备等)为可以利用第一终端提供的扩展接口接入第一终端的设备,扩展接口可以为USB接口、Type C接口、PCIE接口、SATA接口、mSATA接口、串口等,后续以USB接口为例进行说明。
步骤S204,在第一终端上检测到接入第二移动安全设备的情况下,通过管理终端程序获取第二移动安全设备的注册请求。
上述第一移动安全设备为已经认证过的或者可信的安全设备,第二移动安全设备为未经过认证的安全设备,且第一移动安全设备和第二移动安全设备为优先级递减的设备,以移动设备为USB设备为例,如第一移动安全设备为超级ukey,则第二移动安全设备为管理员ukey,再如第一移动安全设备为管理员ukey,则第二移动安全设备为普通ukey。
步骤S206,通过管理终端程序在管理中心注册第二移动安全设备。
通过上述步骤,第一终端上***有可信的第一移动安全设备的情况下,启动管理终端程序,以便于在第一终端上检测到接入第二移动安全设备的情况下,通过管理终端程序对第二移动安全设备进行注册认证,可以解决相关技术中终端存在安全隐患的技术问题,进而达到提高终端的安全性的技术效果。
在一个可选的实施例中,通过管理终端程序在管理中心注册第二移动安全设备包括如下所示的远程注册:将第二移动安全设备的Ukey信息发送给管理中心,其中,注册请求携带有Ukey信息;在接收到管理中心返回的同意注册的消息的情况下,将为第二移动安全设备配置的角色信息写入第二移动安全设备,其中,为第二移动安全设备配置的角色信息用于表示第二移动安全设备在管理中心的角色,同意注册的消息是由第三移动安全设备触发的,第三移动安全设备接入在第二终端上。
在另一个可选的实施例中,通过管理终端程序在管理中心注册第二移动安全设备包括如下所示的本机注册:将第二移动安全设备的Ukey信息发送给管理中心,注册请求携带有Ukey信息;在接收到管理中心返回的同意注册的消息的情况下,将为第二移动安全设备配置的角色信息写入第二移动安全设备,其中,为第二移动安全设备配置的角色信息用于表示第二移动安全设备在管理中心的角色,同意注册的消息是由第三移动安全设备触发的,第三移动安全设备接入在第二终端上。
在上述方案中,Ukey信息的生成流程如图3所示,使用密码工具生成公私钥对;使用公司根CA完成对生成的公钥签名,生成证书;将生成的证书使用生成工具写入Key;对生成的公私钥、证书、Ukey Id等信息备案;然后导入根证书。在终端保存的信息有根证书(即公司的自签名证书),Ukey中存储的信息如表1所示,用户角色信息文件定义如表2所示。
表1
Figure BDA0002558369350000061
表2
Figure BDA0002558369350000062
Figure BDA0002558369350000071
超级管理员key的生成方式如下:写入超级管理员Key标识;使用公司秘钥生成工具,生成超级管理员公私钥对;使用公司签名工具,为超级管理员公钥签名;使用Key的配置工具,将超级管理员证书写入硬件Key;使用Key的配置工具,将根证书导入硬件Key;初始化PIN码;备份超级管理员证书。
管理员Key的生成方式如下:写入管理员Key标识;使用公司秘钥生成工具,生成管理员公私钥对;使用公司签名工具,为管理员公钥签名;使用Key的配置工具,将管理员证书导入硬件Key;初始化PIN码;备份管理员证书。
普通用户Key的生成方式与管理员Key的生成方式类似。
在Ukey(移动安全设备)注册流程中,管理员Ukey与普通用户Ukey注册流程相似,不同点是管理员Ukey的注册需要用超级管理员Ukey进行审批,普通用户的注册需要用***管理员Ukey进行审批。Ukey出厂时已经做了初始化,Ukey里已经存有私钥、Ukey证书(私钥对应公钥)、公司的根证书。超级Ukey一个公司有一个,除了存有私钥、Ukey证书、公司根证书外,还存有记录角色信息的文件。注册流程如图4所示:
步骤S401,***Ukey(即第一移动安全设备),可以为超级管理员Ukey或者***管理员Ukey。
步骤S402,打开管理终端。
步骤S403,***新Ukey(即第二移动安全设备),即需要注册的新Ukey。
步骤S404,选择“注册管理员Ukey”(也可是“普通Ukey”,流程与此类似)。
步骤S405,确定用户申请的是申请本机注册还是远程注册。
步骤S406,若是远程注册,则填写注册管理员Ukey信息,如包含的Ukey PIN码、管理员角色等。
步骤S407,通知管理中心,等待管理中心答复。此时超级管理员Ukey在另外一个终端登录管理中心,并进行批准。
步骤S408,注册完成。
步骤S409,将角色信息存入到Ukey中。
步骤S410,判断是否已经***超级管理员Ukey,若是则执行步骤S413,否则执行步骤S411。
步骤S411,若没有则提示***超级管理员Ukey。如果当前没有***超级管理员Ukey,进行提示。
步骤S412,输入超级管理员Ukey PIN码。
步骤S413,验证通过则填写注册管理员Ukey信息,如Ukey PIN码、管理员角色。
步骤S414,通知管理中心,超级管理员Ukey与管理中心进行相互认证后,管理中心将提交的信息进行审合。
步骤S415,注册完成,管理中心核验信息后(管理中心针对Ukey管理存在自己的策略),反馈终端,可以进行注册。
步骤S416,将角色信息存入到Ukey中,注册完毕后,通过配置界面进行后续配置。
在上述实施例中,在通过管理终端程序在管理中心注册第二移动安全设备之后,可以按照如下方式进行本地登录:向管理中心上报第二移动安全设备的认证状态,其中,认证状态用于表示第二移动安全设备未被认证;接收管理中心返回的认证方案;将第二移动安全设备的第一认证信息和第一终端的设备地址发送给管理中心;获取管理中心返回的第一认证结果,或者在未接收到管理中心返回的第一认证结果的情况下,利用认证方案确定第二认证结果;利用第一认证结果或者第二认证结果确定是否允许第一终端登录。具体实现流程如图5所示,可以在图形界面的Pam(linux中的可***认证模块)中弹出认证窗口,在字符界面提示输入PIN:
步骤S501,检测到接口插上Key(即Ukey)。
步骤S502,代理Agent上报Key状态(未认证状态)至管理中心。
步骤S503,代理请求与本机相关的策略(即认证方案)。
步骤S504,管理中心发送允许登录本机的Key策略。
步骤S505,代理与管理中心之间保持心跳。
步骤S506,用户输入账户、密码以及Pin。
步骤S507,PAM将Key的ID发送给代理Agent。
步骤S508,将Key ID(即第一认证信息)和本机IP(即设备地址)发送给管理中心验证。
步骤S509,代理与管理中心通信异常时使用本地策略。
步骤S510,代理与管理中心通信正常则返回结果,并刷新key状态。
步骤S511,代理将验证结果返回给PAM。
步骤S512,根据验证结果确定是否允许登录。
在上述实施例中,在通过管理终端程序在管理中心注册第二移动安全设备之后,可以按照如下方式进行远程主动登录:获取第二移动安全设备的第一认证信息和目标地址;在利用第二移动安全设备的第一认证信息确定第二移动安全设备通过管理中心的认证的情况下,向目标地址发送登录凭证;在向目标地址发送的登录凭证通过验证的情况下,目标地址的代理端将访问目标地址的设备的设备信息发送给管理中心;在管理中心验证出设备信息与第二移动安全设备匹配的情况下,允许第一终端在目标地址登录。
主动认证方式是在远程连接之前,可先手动弹出一个远程管理界面,输入要登录的IP、选择要认证的key。认证通过之后在使用xshell/mstsc等远程工具连接输入原有的账号密码即可。具体流程如图6所示:
步骤S601,发起端利用验证工具输入连接ip(即目标地址)和pin验证(即第一认证信息)。
步骤S602,本地验证key的合法性,将ip key信息发送到管理中心。
步骤S603,验证key是否允许登录该ip地址,并创建一条记录返回给代理Agent。
步骤S604,发起端利用Xshell连接对端输入账号、密码(即登录凭证)。
步骤S605,PAM通知目的端Agent远端IP(即设备信息)。
步骤S606,目的端Agent将远端IP发送给管理中心。
步骤S607,管理中心去验证该IP以及KeyID等的合法性(如IP是否为目的IP、KeyID是否为记录中的KeyID),将结果返回给目的端Agent。
步骤S608,目的端Agent将结果返回给目的端PAM。
步骤S609,PAM根据结果确定是否允许ssh连接成功。
在上述实施例中,在通过管理终端程序在管理中心注册第二移动安全设备之后,可以按照如下方式进行远程被动登录:在向目标地址发送的登录凭证通过验证的情况下,目标地址的代理端将访问目标地址的设备的设备信息发送给管理中心;在管理中心验证出设备信息与第二移动安全设备匹配的情况下,管理中心利用第二移动安全设备的第一认证信息对第二移动安全设备进行认证;管理中心将认证结果反馈给目标地址的代理端;目标地址的代理端根据收到的认证结果确定是否允许第一终端在目标地址登录。
被动认证是用户可不用先在远程管理界面认证,直接使用xshell或者mstsc等工具连接远程机器,在连接过程中本机会弹出远程管理界面进行认证。如图7所示:
步骤S701,在发起端利用Xshell输入账户、密码(即登录凭证),发送给目的端PAM。
步骤S702,PAM通知目的端Agent远端IP(即设备信息)。
步骤S703,目的端Agent将远端IP发送给管理中心。
步骤S704,管理中心建立一条记录,并通知源端Agent(即发起端Agent)验证本地key以及该记录的ID,要登录的IP。
步骤S705,发起端Agent弹出验证框验证本地Key的Pin。
步骤S706,Key验证通过后获取KeyID。
步骤S707,Key验证失败则返回错误。
步骤S708,将验证结果发送给管理中心,验证通过则记录ID、key序列号,验证失败则记录错误码。
步骤S709,验证key是否允许登录,该验证结果发送给目的端Agent。
步骤S710,返回结果发送给PAM。
步骤S711,根据验证结果判断ssh是否被允许登录。
在上述实施例中,在通过管理终端程序在管理中心注册第二移动安全设备之后,可采用主动认证模式在管理中心登录:向管理中心发送第二移动安全设备的第一认证信息;在接收到管理中心返回的允许登录的消息的情况下,通过管理中心的管理终端程序输入第一终端的第二认证信息;管理中心根据在管理终端程序接收到的第二认证信息和预存的身份认证信息确定是否允许第一终端登录。具体如图8所示:
步骤S801,点击管理终端程序的远程管理,选择登录管理中心,选用要认证的key,输入pin码(即第一认证信息)。
步骤S802,代理Agent验证Key,将Key信息发送到管理中心。
步骤S803,管理中心在其身份认证模块验证该key是否被允许登录管理中心,若允许则建立一条记录,包括ID、Key、IP等信息。
步骤S804,将验证结果返回给Agent。
步骤S805,在Web界面输入账户密码(即第二认证信息)。
步骤S806,管理中心Web接口获取账户密码、登录IP,并匹配步骤S803中是否建立有相应的记录。
步骤S807,管理中心返回登录结果。
在上述实施例中,在通过管理终端程序在管理中心注册第二移动安全设备之后,可采用被动认证模式在管理中心登录:在管理中心根据在管理终端程序接收到的第二认证信息和预存的身份认证信息确定不存在第二移动安全设备的验证记录的情况下,在管理终端程序获取第二移动安全设备的第一认证信息;管理中心根据在管理终端程序接收到的第一认证信息确定是否允许第一终端登录。Web登录管理中心被动认证方式的具体流程如图9所示:
步骤S901,在管理中心输入账户密码(即第二认证信息)。
步骤S902,管理中心检测未创建对应的验证记录。
步骤S903,通知Agent弹出验证界面。
步骤S904,Agent弹出Key登录管理界面。
步骤S905,在管理界面输入相关信息。
步骤S906,验证Key,将Key的相关信息(即第二认证信息)发送到管理中心。
步骤S907,验证获取的Key信息,以确定是否允许登录管理中心。
步骤S908,返回登录结果给Web管理中心。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
根据本申请实施例的另一个方面,还提供了一种用于实施上述移动安全设备的注册方法的移动安全设备的注册装置。图10是根据本申请实施例的一种可选的移动安全设备的注册装置的示意图,如图10所示,该装置可以包括:
启动单元1001,用于在第一终端上接入有第一移动安全设备的情况下,在所述第一终端上启动管理终端程序,其中,所述管理终端程序用于在所述第一终端上接入有所述第一移动安全设备的情况下与管理中心进行通信,所述第一移动安全设备用于管理待注册的移动安全设备;
获取单元1003,用于在所述第一终端上检测到接入第二移动安全设备的情况下,通过所述管理终端程序获取所述第二移动安全设备的注册请求;
注册单元1005,用于通过所述管理终端程序在所述管理中心注册所述第二移动安全设备。
需要说明的是,该实施例中的启动单元1001可以用于执行本申请实施例中的步骤S202,该实施例中的获取单元1003可以用于执行本申请实施例中的步骤S204,该实施例中的注册单元1005可以用于执行本申请实施例中的步骤S206。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现。
通过上述模块,第一终端上***有可信的第一移动安全设备的情况下,启动管理终端程序,以便于在所述第一终端上检测到接入第二移动安全设备的情况下,通过所述管理终端程序对所述第二移动安全设备进行注册认证,可以解决相关技术中终端存在安全隐患的技术问题,进而达到提高终端的安全性的技术效果。
可选地,上述注册单元还可用于:将所述第二移动安全设备的Ukey信息发送给所述管理中心,其中,所述注册请求携带有所述Ukey信息;在接收到所述管理中心返回的同意注册的消息的情况下,将为所述第二移动安全设备配置的角色信息写入所述第二移动安全设备,其中,为所述第二移动安全设备配置的角色信息用于表示所述第二移动安全设备在所述管理中心的角色,所述同意注册的消息是由第三移动安全设备触发的,所述第三移动安全设备接入在第二终端上。
可选地,上述注册单元还可用于:在接收到所述第一移动安全设备的同意注册的消息的情况下,获取所述第二移动安全设备的Ukey信息,其中,所述注册请求携带有所述Ukey信息;将所述第二移动安全设备的Ukey信息发送给所述管理中心;在接收到所述管理中心返回的完成注册的消息的情况下,将为所述第二移动安全设备配置的角色信息写入所述第二移动安全设备,其中,为所述第二移动安全设备配置的角色信息用于表示所述第二移动安全设备在所述管理中心的角色。
可选地,上述注册单元还可用于:在通过所述管理终端程序在所述管理中心注册所述第二移动安全设备之后,向所述管理中心上报所述第二移动安全设备的认证状态,其中,所述认证状态用于表示所述第二移动安全设备未被认证;接收所述管理中心返回的认证方案;将所述第二移动安全设备的第一认证信息和所述第一终端的设备地址发送给所述管理中心;获取所述管理中心返回的第一认证结果,或者在未接收到所述管理中心返回的第一认证结果的情况下,利用所述认证方案确定第二认证结果;利用所述第一认证结果或者所述第二认证结果确定是否允许所述第一终端登录。
可选地,上述注册单元还可用于:在通过所述管理终端程序在所述管理中心注册所述第二移动安全设备之后,获取所述第二移动安全设备的第一认证信息和目标地址;在利用所述第二移动安全设备的第一认证信息确定所述第二移动安全设备通过所述管理中心的认证的情况下,向所述目标地址发送登录凭证;在向所述目标地址发送的登录凭证通过验证的情况下,所述目标地址的代理端将访问所述目标地址的设备的设备信息发送给所述管理中心;在所述管理中心验证出所述设备信息与所述第二移动安全设备匹配的情况下,允许所述第一终端在所述目标地址登录。
可选地,上述注册单元还可用于:在通过所述管理终端程序在所述管理中心注册所述第二移动安全设备之后,在向目标地址发送的登录凭证通过验证的情况下,所述目标地址的代理端将访问所述目标地址的设备的设备信息发送给所述管理中心;在所述管理中心验证出所述设备信息与所述第二移动安全设备匹配的情况下,所述管理中心利用所述第二移动安全设备的第一认证信息对所述第二移动安全设备进行认证;所述管理中心将认证结果反馈给所述目标地址的代理端;所述目标地址的代理端根据收到的认证结果确定是否允许所述第一终端在所述目标地址登录。
可选地,上述注册单元还可用于:在通过所述管理终端程序在所述管理中心注册所述第二移动安全设备之后,向所述管理中心发送所述第二移动安全设备的第一认证信息;在接收到所述管理中心返回的允许登录的消息的情况下,通过所述管理中心的管理终端程序输入所述第一终端的第二认证信息;所述管理中心根据在所述管理终端程序接收到的第二认证信息和预存的身份认证信息确定是否允许所述第一终端登录;或者,在所述管理中心根据在所述管理终端程序接收到的第二认证信息和预存的身份认证信息确定不存在所述第二移动安全设备的验证记录的情况下,在所述管理终端程序获取所述第二移动安全设备的第一认证信息;所述管理中心根据在所述管理终端程序接收到的第一认证信息确定是否允许所述第一终端登录。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现,其中,硬件环境包括网络环境。
根据本申请实施例的另一个方面,还提供了一种用于实施上述移动安全设备的注册方法的服务器或终端。
图11是根据本申请实施例的一种终端的结构框图,如图11所示,该终端可以包括:一个或多个(图11中仅示出一个)处理器1101、存储器1103、以及传输装置1105,如图11所示,该终端还可以包括输入输出设备1107。
其中,存储器1103可用于存储软件程序以及模块,如本申请实施例中的移动安全设备的注册方法和装置对应的程序指令/模块,处理器1101通过运行存储在存储器1103内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的移动安全设备的注册方法。存储器1103可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1103可进一步包括相对于处理器1101远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的传输装置1105用于经由一个网络接收或者发送数据,还可以用于处理器与存储器之间的数据传输。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置1105包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置1105为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
其中,具体地,存储器1103用于存储应用程序。
处理器1101可以通过传输装置1105调用存储器1103存储的应用程序,以执行下述步骤:
在第一终端上接入有第一移动安全设备的情况下,在所述第一终端上启动管理终端程序,其中,所述管理终端程序用于在所述第一终端上接入有所述第一移动安全设备的情况下与管理中心进行通信,所述第一移动安全设备用于管理待注册的移动安全设备;
在所述第一终端上检测到接入第二移动安全设备的情况下,通过所述管理终端程序获取所述第二移动安全设备的注册请求;
通过所述管理终端程序在所述管理中心注册所述第二移动安全设备。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
本领域普通技术人员可以理解,图11所示的结构仅为示意,终端可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile InternetDevices,MID)、PAD等终端设备。图11其并不对上述电子装置的结构造成限定。例如,终端还可包括比图11中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图11所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于执行移动安全设备的注册方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于上述实施例所示的网络中的多个网络设备中的至少一个网络设备上。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
在第一终端上接入有第一移动安全设备的情况下,在所述第一终端上启动管理终端程序,其中,所述管理终端程序用于在所述第一终端上接入有所述第一移动安全设备的情况下与管理中心进行通信,所述第一移动安全设备用于管理待注册的移动安全设备;
在所述第一终端上检测到接入第二移动安全设备的情况下,通过所述管理终端程序获取所述第二移动安全设备的注册请求;
通过所述管理终端程序在所述管理中心注册所述第二移动安全设备。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (12)

1.一种移动安全设备的注册方法,其特征在于,包括:
在第一终端上接入有第一移动安全设备的情况下,在所述第一终端上启动管理终端程序,其中,所述管理终端程序用于在所述第一终端上接入有所述第一移动安全设备的情况下与管理中心进行通信,所述第一移动安全设备用于管理待注册的移动安全设备;
在所述第一终端上检测到接入第二移动安全设备的情况下,通过所述管理终端程序获取所述第二移动安全设备的注册请求;
通过所述管理终端程序在所述管理中心注册所述第二移动安全设备,包括:将所述第二移动安全设备的Ukey信息发送给所述管理中心,其中,所述注册请求携带有所述Ukey信息,在接收到所述管理中心返回的同意注册的消息的情况下,将为所述第二移动安全设备配置的角色信息写入所述第二移动安全设备,其中,为所述第二移动安全设备配置的角色信息用于表示所述第二移动安全设备在所述管理中心内的角色,所述同意注册的消息是由第三移动安全设备触发的,所述第三移动安全设备接入在第二终端上,所述第三移动安全设备用于管理待注册的移动安全设备;或,在接收到所述第一移动安全设备的同意注册的消息的情况下,获取所述第二移动安全设备的Ukey信息,其中,所述注册请求携带有所述Ukey信息,将所述第二移动安全设备的Ukey信息发送给所述管理中心,在接收到所述管理中心返回的完成注册的消息的情况下,将为所述第二移动安全设备配置的角色信息写入所述第二移动安全设备,其中,为所述第二移动安全设备配置的角色信息用于表示所述第二移动安全设备在所述管理中心内的角色。
2.根据权利要求1所述的方法,其特征在于,在通过所述管理终端程序在所述管理中心注册所述第二移动安全设备之后,所述方法还包括:
向所述管理中心上报所述第二移动安全设备的认证状态,其中,所述认证状态用于表示所述第二移动安全设备未被认证;
接收所述管理中心返回的认证方案;
将所述第二移动安全设备的第一认证信息和所述第一终端的设备地址发送给所述管理中心;
获取所述管理中心返回的第一认证结果,或者在未接收到所述管理中心返回的第一认证结果的情况下,利用所述认证方案确定第二认证结果;
利用所述第一认证结果或者所述第二认证结果确定是否允许所述第一终端登录。
3.根据权利要求1所述的方法,其特征在于,在通过所述管理终端程序在所述管理中心注册所述第二移动安全设备之后,所述方法还包括:
获取所述第二移动安全设备的第一认证信息和目标地址;
在利用所述第二移动安全设备的第一认证信息确定所述第二移动安全设备通过所述管理中心的认证的情况下,向所述目标地址发送登录凭证;
在向所述目标地址发送的登录凭证通过验证的情况下,所述目标地址的代理端将访问所述目标地址的设备的设备信息发送给所述管理中心;
在所述管理中心验证出所述设备信息与所述第二移动安全设备匹配的情况下,允许所述第一终端在所述目标地址登录。
4.根据权利要求1所述的方法,其特征在于,在通过所述管理终端程序在所述管理中心注册所述第二移动安全设备之后,所述方法还包括:
在向目标地址发送的登录凭证通过验证的情况下,所述目标地址的代理端将访问所述目标地址的设备的设备信息发送给所述管理中心;
在所述管理中心验证出所述设备信息与所述第二移动安全设备匹配的情况下,所述管理中心利用所述第二移动安全设备的第一认证信息对所述第二移动安全设备进行认证;
所述管理中心将认证结果反馈给所述目标地址的代理端;
所述目标地址的代理端根据收到的认证结果确定是否允许所述第一终端在所述目标地址登录。
5.根据权利要求1所述的方法,其特征在于,在通过所述管理终端程序在所述管理中心注册所述第二移动安全设备之后,所述方法还包括:
向所述管理中心发送所述第二移动安全设备的第一认证信息;在接收到所述管理中心返回的允许登录的消息的情况下,通过所述管理中心的管理终端程序输入所述第一终端的第二认证信息;所述管理中心根据在所述管理终端程序接收到的第二认证信息和预存的身份认证信息确定是否允许所述第一终端登录;或者,
在所述管理中心根据在所述管理终端程序接收到的第二认证信息和预存的身份认证信息确定不存在所述第二移动安全设备的验证记录的情况下,在所述管理终端程序获取所述第二移动安全设备的第一认证信息;所述管理中心根据在所述管理终端程序接收到的第一认证信息确定是否允许所述第一终端登录。
6.一种移动安全设备的注册方法,其特征在于,包括:
在第一终端上接入有第一移动安全设备的情况下,在所述第一终端上启动管理终端程序,其中,所述管理终端程序用于在所述第一终端上接入有所述第一移动安全设备的情况下与管理中心进行通信,所述第一移动安全设备用于管理待注册的移动安全设备;
在所述第一终端上检测到接入第二移动安全设备的情况下,通过所述管理终端程序获取所述第二移动安全设备的注册请求;
通过所述管理终端程序在所述管理中心注册所述第二移动安全设备;
在通过所述管理终端程序在所述管理中心注册所述第二移动安全设备之后,按照如下方案之一确定所述第一终端的登录权限:
向所述管理中心上报所述第二移动安全设备的认证状态,其中,所述认证状态用于表示所述第二移动安全设备未被认证,接收所述管理中心返回的认证方案,将所述第二移动安全设备的第一认证信息和所述第一终端的设备地址发送给所述管理中心,获取所述管理中心返回的第一认证结果,或者在未接收到所述管理中心返回的第一认证结果的情况下,利用所述认证方案确定第二认证结果,利用所述第一认证结果或者所述第二认证结果确定是否允许所述第一终端登录;
获取所述第二移动安全设备的第一认证信息和目标地址,在利用所述第二移动安全设备的第一认证信息确定所述第二移动安全设备通过所述管理中心的认证的情况下,向所述目标地址发送登录凭证,在向所述目标地址发送的登录凭证通过验证的情况下,所述目标地址的代理端将访问所述目标地址的设备的设备信息发送给所述管理中心,在所述管理中心验证出所述设备信息与所述第二移动安全设备匹配的情况下,允许所述第一终端在所述目标地址登录;
在向目标地址发送的登录凭证通过验证的情况下,所述目标地址的代理端将访问所述目标地址的设备的设备信息发送给所述管理中心,在所述管理中心验证出所述设备信息与所述第二移动安全设备匹配的情况下,所述管理中心利用所述第二移动安全设备的第一认证信息对所述第二移动安全设备进行认证,所述管理中心将认证结果反馈给所述目标地址的代理端,所述目标地址的代理端根据收到的认证结果确定是否允许所述第一终端在所述目标地址登录;
向所述管理中心发送所述第二移动安全设备的第一认证信息;在接收到所述管理中心返回的允许登录的消息的情况下,通过所述管理中心的管理终端程序输入所述第一终端的第二认证信息;所述管理中心根据在所述管理终端程序接收到的第二认证信息和预存的身份认证信息确定是否允许所述第一终端登录;
在所述管理中心根据在所述管理终端程序接收到的第二认证信息和预存的身份认证信息确定不存在所述第二移动安全设备的验证记录的情况下,在所述管理终端程序获取所述第二移动安全设备的第一认证信息;所述管理中心根据在所述管理终端程序接收到的第一认证信息确定是否允许所述第一终端登录。
7.根据权利要求6所述的方法,其特征在于,通过所述管理终端程序在所述管理中心注册所述第二移动安全设备包括:
将所述第二移动安全设备的Ukey信息发送给所述管理中心,其中,所述注册请求携带有所述Ukey信息;
在接收到所述管理中心返回的同意注册的消息的情况下,将为所述第二移动安全设备配置的角色信息写入所述第二移动安全设备,其中,为所述第二移动安全设备配置的角色信息用于表示所述第二移动安全设备在所述管理中心内的角色,所述同意注册的消息是由第三移动安全设备触发的,所述第三移动安全设备接入在第二终端上,所述第三移动安全设备用于管理待注册的移动安全设备。
8.根据权利要求6所述的方法,其特征在于,通过所述管理终端程序在所述管理中心注册所述第二移动安全设备包括:
在接收到所述第一移动安全设备的同意注册的消息的情况下,获取所述第二移动安全设备的Ukey信息,其中,所述注册请求携带有所述Ukey信息;
将所述第二移动安全设备的Ukey信息发送给所述管理中心;
在接收到所述管理中心返回的完成注册的消息的情况下,将为所述第二移动安全设备配置的角色信息写入所述第二移动安全设备,其中,为所述第二移动安全设备配置的角色信息用于表示所述第二移动安全设备在所述管理中心内的角色。
9.一种移动安全设备的注册装置,其特征在于,包括:
启动单元,用于在第一终端上接入有第一移动安全设备的情况下,在所述第一终端上启动管理终端程序,其中,所述管理终端程序用于在所述第一终端上接入有所述第一移动安全设备的情况下与管理中心进行通信,所述第一移动安全设备用于管理待注册的移动安全设备;
获取单元,用于在所述第一终端上检测到接入第二移动安全设备的情况下,通过所述管理终端程序获取所述第二移动安全设备的注册请求;
注册单元,用于通过所述管理终端程序在所述管理中心注册所述第二移动安全设备:将所述第二移动安全设备的Ukey信息发送给所述管理中心,其中,所述注册请求携带有所述Ukey信息,在接收到所述管理中心返回的同意注册的消息的情况下,将为所述第二移动安全设备配置的角色信息写入所述第二移动安全设备,其中,为所述第二移动安全设备配置的角色信息用于表示所述第二移动安全设备在所述管理中心内的角色,所述同意注册的消息是由第三移动安全设备触发的,所述第三移动安全设备接入在第二终端上,所述第三移动安全设备用于管理待注册的移动安全设备;或,在接收到所述第一移动安全设备的同意注册的消息的情况下,获取所述第二移动安全设备的Ukey信息,其中,所述注册请求携带有所述Ukey信息,将所述第二移动安全设备的Ukey信息发送给所述管理中心,在接收到所述管理中心返回的完成注册的消息的情况下,将为所述第二移动安全设备配置的角色信息写入所述第二移动安全设备,其中,为所述第二移动安全设备配置的角色信息用于表示所述第二移动安全设备在所述管理中心内的角色。
10.一种移动安全设备的注册装置,其特征在于,包括:
启动单元,用于在第一终端上接入有第一移动安全设备的情况下,在所述第一终端上启动管理终端程序,其中,所述管理终端程序用于在所述第一终端上接入有所述第一移动安全设备的情况下与管理中心进行通信,所述第一移动安全设备用于管理待注册的移动安全设备;
获取单元,用于在所述第一终端上检测到接入第二移动安全设备的情况下,通过所述管理终端程序获取所述第二移动安全设备的注册请求;
注册单元,用于通过所述管理终端程序在所述管理中心注册所述第二移动安全设备;
确定单元,用于在通过所述管理终端程序在所述管理中心注册所述第二移动安全设备之后,按照如下方案之一确定所述第一终端的登录权限:
向所述管理中心上报所述第二移动安全设备的认证状态,其中,所述认证状态用于表示所述第二移动安全设备未被认证,接收所述管理中心返回的认证方案,将所述第二移动安全设备的第一认证信息和所述第一终端的设备地址发送给所述管理中心,获取所述管理中心返回的第一认证结果,或者在未接收到所述管理中心返回的第一认证结果的情况下,利用所述认证方案确定第二认证结果,利用所述第一认证结果或者所述第二认证结果确定是否允许所述第一终端登录;
获取所述第二移动安全设备的第一认证信息和目标地址,在利用所述第二移动安全设备的第一认证信息确定所述第二移动安全设备通过所述管理中心的认证的情况下,向所述目标地址发送登录凭证,在向所述目标地址发送的登录凭证通过验证的情况下,所述目标地址的代理端将访问所述目标地址的设备的设备信息发送给所述管理中心,在所述管理中心验证出所述设备信息与所述第二移动安全设备匹配的情况下,允许所述第一终端在所述目标地址登录;
在向目标地址发送的登录凭证通过验证的情况下,所述目标地址的代理端将访问所述目标地址的设备的设备信息发送给所述管理中心,在所述管理中心验证出所述设备信息与所述第二移动安全设备匹配的情况下,所述管理中心利用所述第二移动安全设备的第一认证信息对所述第二移动安全设备进行认证,所述管理中心将认证结果反馈给所述目标地址的代理端,所述目标地址的代理端根据收到的认证结果确定是否允许所述第一终端在所述目标地址登录;
向所述管理中心发送所述第二移动安全设备的第一认证信息;在接收到所述管理中心返回的允许登录的消息的情况下,通过所述管理中心的管理终端程序输入所述第一终端的第二认证信息;所述管理中心根据在所述管理终端程序接收到的第二认证信息和预存的身份认证信息确定是否允许所述第一终端登录;
在所述管理中心根据在所述管理终端程序接收到的第二认证信息和预存的身份认证信息确定不存在所述第二移动安全设备的验证记录的情况下,在所述管理终端程序获取所述第二移动安全设备的第一认证信息;所述管理中心根据在所述管理终端程序接收到的第一认证信息确定是否允许所述第一终端登录。
11.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至5任一项中或上述权利要求6至8中任一项所述的方法。
12.一种电子装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器通过所述计算机程序执行上述权利要求1至5任一项中或上述权利要求6至8中任一项中所述的方法。
CN202010600264.6A 2020-06-28 2020-06-28 移动安全设备的注册方法和装置、存储介质、电子装置 Active CN111901304B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010600264.6A CN111901304B (zh) 2020-06-28 2020-06-28 移动安全设备的注册方法和装置、存储介质、电子装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010600264.6A CN111901304B (zh) 2020-06-28 2020-06-28 移动安全设备的注册方法和装置、存储介质、电子装置

Publications (2)

Publication Number Publication Date
CN111901304A CN111901304A (zh) 2020-11-06
CN111901304B true CN111901304B (zh) 2022-08-26

Family

ID=73207212

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010600264.6A Active CN111901304B (zh) 2020-06-28 2020-06-28 移动安全设备的注册方法和装置、存储介质、电子装置

Country Status (1)

Country Link
CN (1) CN111901304B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113014393B (zh) * 2021-02-20 2023-04-28 中易通科技股份有限公司 一种基于硬件加密的密码保险箱***及应用方法
CN114499989A (zh) * 2021-12-30 2022-05-13 奇安信科技集团股份有限公司 安全设备管理方法及装置
CN115174180B (zh) * 2022-06-28 2023-10-27 珠海奔图电子有限公司 认证方法、装置、服务器及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101312453A (zh) * 2007-05-21 2008-11-26 联想(北京)有限公司 用户终端、登录网络服务***的方法和绑定/解绑定方法
CN104573516A (zh) * 2014-12-25 2015-04-29 中国科学院软件研究所 一种基于安全芯片的工控***可信环境管控方法和平台
CN110299996A (zh) * 2018-03-22 2019-10-01 阿里巴巴集团控股有限公司 认证方法、设备及***

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4900891B2 (ja) * 2005-04-27 2012-03-21 キヤノン株式会社 通信装置及び通信方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101312453A (zh) * 2007-05-21 2008-11-26 联想(北京)有限公司 用户终端、登录网络服务***的方法和绑定/解绑定方法
CN104573516A (zh) * 2014-12-25 2015-04-29 中国科学院软件研究所 一种基于安全芯片的工控***可信环境管控方法和平台
CN110299996A (zh) * 2018-03-22 2019-10-01 阿里巴巴集团控股有限公司 认证方法、设备及***

Also Published As

Publication number Publication date
CN111901304A (zh) 2020-11-06

Similar Documents

Publication Publication Date Title
CN109951489B (zh) 一种数字身份认证方法、设备、装置、***及存储介质
US10437985B2 (en) Using a second device to enroll a secure application enclave
US9838205B2 (en) Network authentication method for secure electronic transactions
US7802092B1 (en) Method and system for automatic secure delivery of appliance updates
CN111901304B (zh) 移动安全设备的注册方法和装置、存储介质、电子装置
TW201918049A (zh) 可信遠端證明方法、裝置和系統
US10931464B2 (en) Communication system, hardware security module, terminal device, communication method, and program
CN110874478B (zh) 密钥处理方法及装置、存储介质和处理器
CN112425114A (zh) 受公钥-私钥对保护的密码管理器
EP3206329B1 (en) Security check method, device, terminal and server
US11809540B2 (en) System and method for facilitating authentication via a short-range wireless token
WO2019051839A1 (zh) 一种数据处理的方法及装置
CN111371726B (zh) 安全代码空间的认证方法、装置、存储介质及处理器
CN111901303A (zh) 设备认证方法和装置、存储介质及电子装置
Abraham et al. SSI Strong Authentication using a Mobile-phone based Identity Wallet Reaching a High Level of Assurance.
CN112966254B (zh) 用于主机与可信密码模块的安全通信方法及***
CN109257381A (zh) 一种密钥管理方法、***及电子设备
CN107204959B (zh) 验证码的验证方法、装置及***
CN110858246B (zh) 安全代码空间的认证方法和***、及其注册方法
CN111506915A (zh) 授权访问的控制方法、装置和***
CN111988146B (zh) 一种身份验证方法、装置、设备及机器可读存储介质
US20210192493A1 (en) Method and system for implementing a virtual smart card service
CN112000935A (zh) 远程认证方法、装置、***、存储介质及计算机设备
JP6404928B2 (ja) ユーザ情報管理システム、及びユーザ情報管理方法
CN113157207B (zh) 一种数据处理方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant