一种基于usb控制器的办公终端系统可重入方法
【技术领域】
[0001]本发明涉及计算机信息安全领域,尤其涉及一种办公系统基于数字证书的USB控制器登录控制方案。
【背景技术】
[0002]应用于办公系统工作区环境登录控制中USB控制器丢失后如何进入工作区环境部署新的数字证书场景。每个终端设备上的办公系统由两个操作系统组成,称为双操作系统,这两个操作系统是相互独立的,通过一个USB控制器(类似于UKEY,可以称之为身份识别器)在两个操作系统之间进行切换。其中第一个操作系统支持用户上网浏览、自行安装和卸载任何软件,属于用户自由区环境,第二个操作系统中用户的上网行为、软件安装和卸载严格受到后台服务端的控制,属于用户工作区环境,考虑到工作区环境数据安全性的要求,工作区环境对数据加密保护,同时工作区环境的用户登录由USB控制器管理软件控制,USB控制器管理软件只存在于工作区环境下。
[0003]数字证书是一个由使用数字证书的用户群所公认的和信任的权威机构(CA)签署了其数字签名的信息集合。在应用中用于证明和鉴别用户的身份。
[0004]USB控制器是带有UKEY功能和存储功能的移动设备。USB控制器分两种类型:管理员类型和普通用户类型。普通用户类型用于普通用户登陆工作区环境,管理员类型由管理员保管。在普通用户USB控制器丢失后无法进入工作区环境时,管理员使用管理员类型USB控制器进入工作区环境,部署安装新用户数字证书,绑定新的普通用户类型USB控制器。
[0005]在工作区环境下,实施了基于数字证书的USB控制器登录控制方案。终端设备开机启动后,USB控制器管理软件会监控移动设备的插拔状态,存在USB控制器时,通过USB控制器与存储于办公系统中的数字证书对用户身份进行验证,只有合法身份的用户才能使用办公系统的工作区环境。只有通过相应的USB控制器才能使用办公系统的工作区环境。在日常生活中,存在着USB控制器丢失或者损坏的常见场景,一旦USB控制器丢失或者损坏,用户无法进入工作区环境,如果工作区环境中存储有重要文件,则无法获取,可能会造成损失。
【发明内容】
[0006]本发明提供一种基于USB控制器的办公终端系统可重入方法,应用于在USB控制器丢失的场景,管理员持公共USB控制器进入办公终端安装部署新的用户数字证书。为实现这个目的,本发明的技术解决方案是在工作区环境安装两个数字证书:用户数字证书和公共数字证书,提供了每个用户唯一的USB控制器以及管理员保管的公共USB控制器,在用户唯一的USB控制器丢失后,管理员使用公共USB控制器进入用户的工作区环境,重新安装部署用户证书,配发新的用户USB控制器,避免因USB控制器丢失无法访问工作区环境造成损失。
[0007]本发明的优点是提供了两个数字证书:用户证书和公共证书。在用户USB控制器丢失后无法进入工作区环境时,由管理员拿公共USB控制器进入工作区环境,从后台WEB数字证书服务器中下载新生成的数字证书,在工作区环境下安装。
[0008]一种基于USB控制器的办公终端系统可重入方法,其特征在于包括如下步骤:
[0009]步骤1:系统监控移动存储设备插拔状态插入或者拔出,系统通过监听插入信息和拔出信息获取状态,信息为系统自带信息;有USB控制器插入时,需要对其进行PIN码验证和身份验证;
[0010]步骤2:当USB控制器插入时,输入PIN码;
[0011]步骤3:比对输入的PIN码与USB控制器中记录的PIN码是否相同,如果是,PIN码验证通过,否则返回继续监听;
[0012]步骤4:读取USB控制器中记录的用户名信息;
[0013]步骤5:被证书认证机构签名的用户数字证书中存储着公钥,解析数字证书获取公钥;
[0014]步骤6:通过身份认证获取身份认证结果,验证USB控制器的合法性,身份认证通过表示USB控制器合法;
[0015]步骤7:如果认证通过,解析数字证书获取USB控制器类型,系统管理员进入工作区环境,导入数字证书到硬盘中,安装部署新的数字证书;普通用户进入工作区环境,正常使用办公系统;
[0016]所述的身份认证步骤如下:
[0017]步骤6.1:生成随机信息,并发送给USB控制器,USB控制器使用加密随机信息R,得到密文S ;
[0018]步骤6.2:将密文S回传给USB控制器,USB控制器解密密文S,获取信息T ;
[0019]步骤6.3:比对信息T与随机信息R是否相同,相同则身份认证通过。
[0020]本发明与现有技术相比,具有以下明显的优势和有益效果:
[0021 ] 在用户USB控制器丢失的情况下,利用公共USB控制器能够进入工作区环境中,部署新的用户数字证书,以便绑定新的用户USB控制器,能够使用户再次正常在工作区环境中办公。
【附图说明】
[0022]图1登录控制的流程图;
[0023]图2USB控制器结构。
【具体实施方式】
[0024]下面将结合本发明实施例中的示意图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置不限制本发明的范围。
[0025]以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0026]对于相关领域普通技术人员已知的技术、方法和系统可能不作详细讨论,但在适当情况下,所述技术、方法和系统应当被视为授权说明书的一部分。
[0027]在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
[0028]将本发明应用于基于数字证书的USB控制器登录控制方案中的USB控制器丢失场景。在USB控制器丢失的情况下,通过本发明方法进入到用户的办公系统工作区环境中部署新的数字证书或者备份重要文件以避免造成损失。
[0029]以下将描述在应用场景下本发明方法的具体实施步骤:
[0030]步骤1:系统运行USB控制器管理软件,监控终端的移动存储设备状态;
[0031]步骤2:插入USB控制器;
[0032]步骤3:在PIN码输入框中输入PIN码,管理软件会提示PIN是否正确;
[0033]步骤4:若输入的PIN码正确,进入身份认证过程配置阶段;
[0034]步骤5:身份认证过程配置阶段包括从USB控制器中读取用户名,读取用户证书中公钥,生成随机信息等;
[0035]步骤6:完成配置阶段后,管理软件进入身份认证流程模块,该模块会生成身份认证结果;
[0036]步骤7:身份验证通过后,解析数字证书获取USB控制器类型,系统管理员安装部署新的用户数字证书以便绑定新的用户USB控制器。
【主权项】
1.一种基于USB控制器的办公终端系统可重入方法,其特征在于包括如下步骤: 步骤1:系统监控移动存储设备插拔状态,系统通过监听插入信息和拔出信息获取状态,信息为系统自带信息;有”8控制器插入时,需要对其进行PIN码验证和身份验证;步骤2:当USB控制器插入时,输入PIN码; 步骤3:比对输入的PIN码与USB控制器中记录的PIN码是否相同,如果是,PIN码验证通过,否则返回继续监听; 步骤4:读取USB控制器中记录的用户名信息; 步骤5:被证书认证机构签名的用户数字证书中存储着公钥,解析数字证书获取公钥;步骤6:通过身份认证获取身份认证结果,验证USB控制器的合法性,身份认证通过表示USB控制器合法; 步骤7:如果认证通过,解析数字证书获取USB控制器类型,系统管理员进入工作区环境,导入数字证书到硬盘中,安装部署新的数字证书;普通用户进入工作区环境,正常使用办公系统; 所述的身份认证步骤如下: 步骤6.1:生成随机信息,并发送给USB控制器,USB控制器使用加密随机信息R,得到密文S ; 步骤6.2:将密文S回传给USB控制器,USB控制器解密密文S,获取信息T ; 步骤6.3:比对信息T与随机信息R是否相同,相同则身份认证通过。
【专利摘要】本发明公开了一种基于USB控制器的办公终端系统可重入方法,本发明涉及计算机信息安全领域,尤其涉及一种办公系统基于数字证书的USB控制器登录控制方案。本发明提供一种基于USB控制器的办公终端系统可重入方法。在USB控制器丢失后,由管理员持公共USB控制器进入办公系统终端工作区环境,安装部署新的数字证书的方法。为实现这个目的,本发明的技术解决方案是在工作区环境安装两个数字证书:用户数字证书和公共数字证书,提供了每个用户唯一的USB控制器以及管理员保管的公共USB控制器,在用户唯一的USB控制器丢失后,管理员使用公共USB控制器进入用户的工作区环境,重新安装部署用户证书,配发新的用户USB控制器,避免因USB控制器丢失无法访问用户工作区环境造成损失。
【IPC分类】G06F21-33
【公开号】CN104573464
【申请号】CN201410843306
【发明人】张建标, 李军华, 阎林, 林莉, 刘燕辉
【申请人】北京工业大学
【公开日】2015年4月29日
【申请日】2014年12月30日