一種身份驗證與權(quán)限管理方法和設(shè)備的制作方法
【專利摘要】本發(fā)明是一種身份驗證與權(quán)限管理方法和設(shè)備����,涉及計算機軟件���、硬件及網(wǎng)絡(luò)通信技術(shù)。該發(fā)明采用身份認證與需要進入的主機分離開的方法��,可選IC卡���、RFID射頻卡����、身份證�����、指紋識別器和密碼器等身份識別手段�,根據(jù)靈活的權(quán)限配置賦予合法用戶鍵盤、鼠標操作權(quán)限����,記錄身份審核日志。該發(fā)明采用獨立的身份認證和權(quán)限控制裝置���,可以更有效的保護電腦不被非法使用����,滿足重要核心企業(yè)如發(fā)電企業(yè)、國家電網(wǎng)公司和石油化工等工業(yè)領(lǐng)域?qū)CS生產(chǎn)控制系統(tǒng)運維人員安全管理和審計的需求�����。
【專利說明】一種身份驗證與權(quán)限管理方法和設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機軟件�、硬件及網(wǎng)絡(luò)通信技術(shù),是提供一種電腦系統(tǒng)操作維護人員身份認證和權(quán)限控制的方法和設(shè)備�。
【背景技術(shù)】
[0002]大型核心企業(yè)如銀行、發(fā)電站�����、石油化工和軍工企業(yè)等�,身份認證體系對保障企業(yè)內(nèi)部的業(yè)務(wù)和生產(chǎn)系統(tǒng)的安全運營起著至關(guān)重要的作用。
[0003]身份認證是在計算機網(wǎng)絡(luò)中確認操作者身份的過程�����。身份認證可分為用戶與主機間的認證和主機與主機之間的認證��。用戶與主機之間的認證可以基于如下一個或幾個因素:用戶所知道的東西����,例如口令��、密碼等;用戶擁有的東西���,例如印章����、智能卡(如信用卡等)����;用戶所具有的生物特征,例如指紋���、聲音���、視網(wǎng)膜、簽字���、筆跡等����。
[0004]計算機網(wǎng)絡(luò)世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的,計算機只能識別用戶的數(shù)字身份�,所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)。
[0005]目前常見的認證形式有:靜態(tài)密碼���、智能卡(IC卡)����、RFID卡��、短信密碼��、動態(tài)口令牌���、USB KEY��、生物識別技術(shù)如指紋�、身份和臉型識別等�。單獨使用一種方法認證不充分,為防止欺詐����,使身份認證更嚴密,目前也使用雙因素身份認證:將兩種認證方法結(jié)合起來����,進一步加強認證的安全性�,目前使用最為廣泛的雙因素有:動態(tài)口令牌+靜態(tài)密碼����,USB KEY+靜態(tài)密碼,二層靜態(tài)密碼等等�。
[0006]身份認證系統(tǒng)架構(gòu)包含三項主要組成元件:
[0007]認證服務(wù)器(Authentication Server):負責進行使用者身份認證的工作,服務(wù)器上存放使用者的私有密鑰����、認證方式及其他使用者認證的信息。
[0008]認證系統(tǒng)用戶端軟件(Authentication Client Software):認證系統(tǒng)用戶端通常都是需要進行登陸(login)的設(shè)備或系統(tǒng)��,在這些設(shè)備及系統(tǒng)中必須具備可以與認證服務(wù)器協(xié)同運作的認證協(xié)定��。
[0009]認證設(shè)備(Authenticator):認證設(shè)備是使用者用來產(chǎn)生或計算密碼的軟硬件設(shè)備��。
[0010]然而目前身份認證和權(quán)限管理的系統(tǒng)架構(gòu)缺點在于:
[0011]1.用戶與主機之間的身份認證�����,需要用戶通過主機在主機上的用戶端軟件進行身份認證��,對于能夠通過鍵盤和鼠標操作主機的非法用戶����,這就如同小偷可以拿到別人的保險箱�����,總有辦法把它打開��;
[0012]2.非法用戶可以通過偽裝機器來接入企業(yè)內(nèi)部計算機網(wǎng)絡(luò)系統(tǒng)�。
【發(fā)明內(nèi)容】
[0013]有鑒于此����,本發(fā)明的目的在于提供一種身份認證與主機分離開的方法,可選IC卡����、RFID射頻卡、身份證�����、指紋識別器和密碼器等身份識別手段���,根據(jù)身份認證的結(jié)果和用戶的權(quán)限等級����,賦予合法用戶鍵盤、鼠標操作權(quán)限��,記錄身份審核日志�。[0014]本發(fā)明包括步驟:
[0015]1.啟動身份驗證裝置;
[0016]2.身份認證裝置向安全防護與安全審計服務(wù)器認證注冊���;
[0017]3.如認證未通過����,安全防護與安全審計服務(wù)器斷開與身份驗證裝置的連接����;
[0018]4.認證通過��,身份認證裝置可以通過IC卡/RFID卡/ 二代身份證讀卡器�、指紋、密碼器讀取用戶身份����;
[0019]5.身份驗證裝置將用戶身份信息上傳到安全防護與安全審計服務(wù)器;
[0020]6.如果安全防護與安全審計服務(wù)器認證用戶身份通過�����,則指示身份驗證裝置接通DCS系統(tǒng)或其它被保護電腦主機的鍵盤與鼠標連接;
[0021]7.用戶可以通過鼠標和鍵盤操作被控工作臺�;
[0022]8.用戶在被控工作臺上注銷,安全防護與安全審計服務(wù)器指示身份驗證裝置斷開被控工作站的鍵盤與鼠標連接���。
[0023]本發(fā)明包括一種身份驗證裝置:
[0024]安全防護與安全審計服務(wù)器���,通過網(wǎng)絡(luò)與身份驗證裝置連接;
[0025]身份驗證裝置為一嵌入式設(shè)備�,為一獨立系統(tǒng),具有CPU����、內(nèi)存,單獨供電��;具有兩個或以上的USB接口����,IC卡/RFID卡/ 二代身份證讀卡器、指紋器��、密碼器通過USB與身份驗證裝置連接�,安全數(shù)據(jù)交換裝置具有兩個或以上的以太網(wǎng)口,身份驗證裝置有一個PS/2或USB鍵盤輸入接口�,用于與控制DCS系統(tǒng)或其它被保護電腦的鍵盤和鼠標連接���,身份驗證裝置有一個PS/2或USB鍵盤輸出接口,通過PS/2或USB連接線與DCS系統(tǒng)或其它被保護電腦的鍵盤和鼠標輸入連接�����。身份驗證裝置有一個鍵盤和鼠標控制模塊����,根據(jù)身份驗證的結(jié)果來控制鍵盤和鼠標與DCS系統(tǒng)或其它被保護電腦的接通與斷開。其特征在于�,該裝置為一獨立設(shè)備,與DCS系統(tǒng)或其它被保護電腦分離開�,該裝置能夠接入不同的身份閱讀設(shè)備,能夠上傳身份閱讀設(shè)備得到的用戶身份信息到安全防護與安全審計服務(wù)器�,根據(jù)安全防護與安全審計服務(wù)器身份驗證的結(jié)果��,接通和斷開鍵盤和鼠標的連接���。
[0026]與現(xiàn)有技術(shù)相比�����,本發(fā)明具有如下優(yōu)點:
[0027]1.身份驗證與主機脫離開���;
[0028]2.只有身份驗證通過����,才能有權(quán)通過鍵盤和鼠標操作主機�����。
[0029]該發(fā)明就如同你的保險箱存在銀行�,只有銀行職員核對了你的身份之后,你才可以進入放保險箱的地方�����,去操作保險箱的密碼鎖打開保險箱��,從而達到更安全的保護目的��。
【專利附圖】
【附圖說明】
[0030]圖1是本發(fā)明中的身份驗證裝置連接示意圖�。
[0031]圖2是本發(fā)明中的身份驗證裝置結(jié)構(gòu)圖。
[0032]圖3是本發(fā)明中的身份認證流程圖�����。
【具體實施方式】
[0033]下面結(jié)合附圖對本發(fā)明的【具體實施方式】作進一步的詳細闡述�。
[0034]首先�,在該發(fā)明中安全防護與安全審計服務(wù)器上的采集及控制裝置管理軟件模塊上����,注冊該發(fā)明中的身份驗證裝置,可以使用身份驗證裝置的MAC地址進行注冊�����;[0035]用戶將該發(fā)明中的身份驗證裝置按附圖1連接方式連接后����,開啟裝置,該裝置通過網(wǎng)絡(luò)向安全防護與安全審計服務(wù)器進行認證�,認證通過后,該設(shè)備進入身份信息采集及控制工作狀態(tài)�����;
[0036]通過該發(fā)明中安全防護與安全審計服務(wù)器上的用戶管理軟件模塊對用戶進行注冊�,注冊包括分發(fā)ID卡�����、采集用戶身份識別信息如身份證號或指紋等��、設(shè)定用戶分組和班次、配置用戶權(quán)限等�。
[0037]用戶在身份認證通過之前,身份驗證裝置將鍵盤和鼠標同主機的連接關(guān)斷���,用戶無法用鍵盤和鼠標操作主機���。用戶用身份驗證裝置提供的身份信息采集設(shè)備輸入身份信息,身份驗證裝置將采集到的身份信息通過網(wǎng)絡(luò)上傳到安全防護與安全審計服務(wù)器���。安全防護與安全審計服務(wù)器的認證服務(wù)器軟件模塊根據(jù)已注冊的用戶身份信息對傳來的用戶身份信息進行驗證���,驗證通過后,安全防護與安全審計服務(wù)器的認證服務(wù)器軟件模塊通知身份驗證裝置接通鍵盤和鼠標同主機的連接���,身份驗證裝置通過鍵盤和鼠標控制模塊接通鍵盤和鼠標����,用戶便可以通過鍵盤和鼠標操作主機�����。當用戶使用完主機并退出主機后,身份驗證裝置將關(guān)斷鍵盤和鼠標同主機的連接�。
[0038]該發(fā)明中的安全防護與安全審計服務(wù)器記錄各種身份驗證詳細審計信息,例如:身份驗證裝置工作狀態(tài)�����、用戶認證信息�����,用戶上���、下機信息�����,從而實現(xiàn)對用戶上下機行為的準確跟蹤�����,從審計的角度提供安全保障�。
[0039]通過以上實施方式的描述����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加硬件的方式來實現(xiàn)對移動存儲介質(zhì)的管理?��;谶@樣的理解�,本發(fā)明的技術(shù)方案對現(xiàn)有技術(shù)做出的貢獻部分可以以軟件加硬件產(chǎn)品的形式體現(xiàn)出來����。
[0040]以上所述的本發(fā)明實施方式,并不構(gòu)成對本發(fā)明保護范圍的限定���。任何在本發(fā)明的精神和原則之內(nèi)所作的修改�����、等同替換和改進等�,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)�。
【權(quán)利要求】
1.一種身份驗證的方法,其特征在于至少包括如下步驟: (1)啟動身份驗證裝置��; (2)身份認證裝置向安全防護與安全審計服務(wù)器認證注冊��; (3)如認證未通過�,安全防護與安全審計服務(wù)器斷開與身份驗證裝置的連接; (4)認證通過�,身份認證裝置可以通過IC卡/RFID卡/二代身份證讀卡器、指紋、密碼器讀取用戶身份����; (5)身份驗證裝置將用戶身份信息上傳到安全防護與安全審計服務(wù)器; (6)如果安全防護與安全審計服務(wù)器認證用戶身份通過����,則指示身份人證裝置接通被控工作站的鍵盤與鼠標連接; (7)用戶可以通過鼠標和鍵盤操作DCS系統(tǒng)或其它被保護電腦����; (8)用戶在被控工作臺上注銷,安全防護與安全審計服務(wù)器指示身份人證裝置斷開DCS系統(tǒng)或其它被保護電腦的鍵盤與鼠標連接�。
2.一種按照權(quán)利I所述的方法實現(xiàn)身份驗證的裝置,該裝置至少包括:為一嵌入式設(shè)備����,為一獨立系統(tǒng),具有CPU��、內(nèi)存�、單獨供電;具有兩個或以上的USB接口����,IC卡/RFID卡/二代身份證讀卡器�、指紋器��、密碼器通過USB與身份驗證裝置連接���,安全數(shù)據(jù)交換裝置具有兩個或以上的以太網(wǎng)口,身份驗證裝置有一個PS2或USB鍵盤輸入接口�����,一個PS2或USB鼠標輸入接口�����,用于與控制DCS系統(tǒng)或其它被保護電腦的鍵盤和鼠標連接����,身份驗證裝置有一個PS2或USB鍵盤輸出接口,通過PS2或USB連接線與DCS系統(tǒng)或其它被保護電腦的鍵盤和鼠標輸入連接���。身份驗證裝置有一個鍵盤和鼠標控制模塊�,根據(jù)身份驗證的結(jié)果來控制鍵盤和鼠標與DCS系統(tǒng)或其它被保護電腦的接通與斷開�。其特征在于,該裝置為一獨立設(shè)備��,與DCS系統(tǒng)或其它被保護電腦分離開,該裝置能夠接入不同的身份閱讀設(shè)備����,能夠上傳身份閱讀設(shè)備得到的用戶身份信息到安全防護與安全審計服務(wù)器,根據(jù)安全防護與安全審計服務(wù)器身份驗證的結(jié)果接通和斷開鍵盤和鼠標的連接��。
【文檔編號】G06F21/34GK103942478SQ201310022231
【公開日】2014年7月23日 申請日期:2013年1月22日 優(yōu)先權(quán)日:2013年1月22日
【發(fā)明者】郁東明 申請人:浙江安科網(wǎng)絡(luò)技術(shù)有限公司