一种基于数字证书的安全nas认证方法
【专利摘要】本发明属于一种NAS电子文件安全管理和NAS安全增强【技术领域】,具体涉及一种基于数字证书的安全NAS认证方法。该方法增强了NAS系统访问的安全性,用户只有插入USBKEY并输入正确的pin码时才能登录NAS,有效的保护了用户NAS系统电子文件的访问,防止传统访问方式中用户口令的不安全因素。其优点是,它提供的认证方法采用USBKEY数字证书进行安全增强NAS系统的用户身份鉴别及文件访问控制,将该方法用于NAS电子文件安全管理系统的认证过程中,使得NAS系统在无须安装客户端的情况下支持USBKEY数字证书认证,增强NAS系统的安全性,消除用户名、口令方式下口令泄漏或被破解的风险。
【专利说明】—种基于数字证书的安全NAS认证方法
【技术领域】
[0001]本发明属于一种NAS(网络附加存储,Network Attached Storage)电子文件安全管理和NAS安全增强【技术领域】,具体涉及一种基于数字证书的安全NAS认证方法。
【背景技术】
[0002]NAS是一种网络文件共享服务器,使用标准CIFS协议进行文件传输,可以为用户提供文件上传,下载,分享等功能,广泛应用于各个行业和企业,为用户进行文件的备份及共享提供了方便。NAS服务器的认证方式一般是通过用户名和口令方式进行,甚至可以匿名登录,但不能直接支持USBKEY数字证书进行认证与登陆,这为文件共享的安全性埋下了隐患。
[0003]涉密信息系统以及对文件安全保护要求较高的网络信息系统,不同的文件根据保护程度划分为不同的保护等级,如:非密、内部、秘密、机密等。涉密信息系统中需要大量的文件共享,但只能通过NAS服务器来解决,而NAS服务器本身的认证方式并不安全,容易被窃取密码或被非法的用户冒名访问,因此,需要设计一种NAS服务器的认证方法,提供基于数字证书的安全增强认证方式。
[0004]activeX是IE支持的一种控件,网页开发人员可以通过编写activeX控件并嵌入到网页中,完成对客户端的一些需要授权的操作。
[0005]USBKEY认证是目前主流的身份认证方式,因为采用硬件和软件结合,较传统的用户名+ 口令认证方式有更高的安全性。
【发明内容】
[0006]本发明的目的是提供一种基于数字证书的安全NAS认证方法,该方法增强了 NAS系统访问的安全性,用户只有插入USBKEY并输入正确的pin码时才能登录NAS,有效的保护了用户NAS系统电子文件的访问,防止传统访问方式中用户口令的不安全因素。
[0007]本发明是这样实现的,一种基于基于数字证书的安全NAS认证方法,它包括以下步骤:
[0008]步骤1:用户访问NAS服务器时,用户将USBKEY插入客户端电脑,并登录NAS服务器的web登录界面,输入正确的pin码,浏览器调用取得用户的USBKEY中的数字证书,并发往CA进行认证,当认证通过后,可页面跳转到用于连接NAS的web页面;
[0009]步骤2:用于连接NAS的web页面中包含一个ActiveX控件,NAS服务器随机生成动态口令,并通过加密信道发送给ActiveX控件,ActiveX控件缓存该动态口令,ActiveX提供一个功能按钮,用于连接NAS ;
[0010]步骤3:用户点击ActiveX的打开NAS功能按钮,ActiveX使用已缓存的动态口令连接NAS,并使用windows资源管理器展示NAS上的文件;
[0011]步骤4:web页面设有超时值,当web页面空闲时间达到设定的超时值后,页面将自动失效,此时使用ActiveX控件将NAS服务器的一次性动态密码清空。[0012]采用数字证书方式来登录web,并利用页面中嵌入ActiveX来与NAS服务器交互获取动态口令。
[0013]使用动态密码的方式来与NAS服务器建立连接。
[0014]当页面被关闭时,ActiveX能够清空动态密码,并使到NAS服务器的连接失效。
[0015]本发明的优点是,它提供的认证方法采用USBKEY数字证书进行安全增强NAS系统的用户身份鉴别及文件访问控制,将该方法用于NAS电子文件安全管理系统的认证过程中,使得NAS系统在无须安装客户端的情况下支持USBKEY数字证书认证,增强NAS系统的安全性,消除用户名、口令方式下口令泄漏或被破解的风险。
【具体实施方式】
[0016]下面结合实施例对本发明进行详细介绍:
[0017]硬件组成包括:NAS服务器、PC机、NAS电子文件安全管理系统。
[0018]NAS电子文件安全管理系统采用B / S模式,采用数字证书认证的方式。
[0019]NAS电子文件安全管理系统或NAS安全增强系统以中间件的形式部署在NAS存储和用户PC之间,将用户所有的认证请求都通过该系统进行,用户通过浏览器以WEB方式认证登陆后再进行NAS文件的访问。
[0020]一种基于数字证书的安全NAS认证方法,包括以下步骤:
[0021]步骤1:用户访问NAS服务器时,用户先将USBKEY插入客户端电脑,并在WEB登录界面输入正确的Pin码,基于数字证书的NAS认证系统将通过浏览器调用取得用户的USBKEY中的数字证书,并发往CA(认证中心,为负责验证证书有效性的服务器)进行认证,当认证通过后,本系统针对该用户生成一次性动态的NAS登录密码;
[0022]步骤2:页面中包含用于用户打开NAS服务器的ActiveX,该控件的作用是利用NAS服务器随机生成的一次性动态密码发起NAS是将该密码缓存到本地,这样登录NAS服务器的用户打开NAS服务器时就不再需要输入密码。一次性动态口令为具有较强复杂度的安全口令,密码位数及复杂度均满足保密要求,由NAS认证系统服务器通过密文发送ActiveX,用户不能获取和直接使用该密码,保证了认证过程的安全性。
[0023]步骤3:将页面跳转到登录NAS服务器的页面,该页面包含一个用于打开NAS服务器的链接,用户点此链接可以访问NAS服务器。亦可通过windows的资源管理器中输入NAS服务器的地址来访问NAS服务器。
[0024]步骤4:web页面设有超时值,当web页面空闲时间达到设定的超时值。
【权利要求】
1.一种基于基于数字证书的安全NAS认证方法,其特征在于:它包括以下步骤: 步骤1:用户访问NAS服务器时,用户将USBKEY插入客户端电脑,并登录NAS服务器的web登录界面,输入正确的pin码,浏览器调用取得用户的USBKEY中的数字证书,并发往CA进行认证,当认证通过后,可页面跳转到用于连接NAS的web页面: 步骤2:用于连接NAS的web页面中包含一个ActiveX控件,NAS服务器随机生成动态口令,并通过加密信道发送给ActiveX控件,ActiveX控件缓存该动态口令,ActiveX提供一个功能按钮,用于连接NAS ; 步骤3:用户点击ActiveX的打开NAS功能按钮,ActiveX使用已缓存的动态口令连接NAS,并使用windows资源管理器展示NAS上的文件; 步骤4:web页面设有超时值,当web页面空闲时间达到设定的超时值后,页面将自动失效,此时使用ActiveX控件将NAS服务器的一次性动态密码清空。
2.根据权利要求1所述一种基于数字证书的安全NAS认证方法,其特征为:采用数字证书方式来登录web,并利用页面中嵌入ActiveX来与NAS服务器交互获取动态口令。
3.根据权利要求2所述一种基于数字证书的安全NAS认证方法,其特征为:使用动态密码的方式来与NAS服务器建立连接。
4.根据权利要求3所述一种基于数字证书的安全NAS认证方法,其特征为:当页面被关闭时,ActiveX能够清空动态密码,并使到NAS服务器的连接失效。
【文档编号】H04L9/32GK103841097SQ201310529355
【公开日】2014年6月4日 申请日期:2013年11月1日 优先权日:2013年11月1日
【发明者】姚传奇, 石春刚, 张海涛, 李静, 张永静, 张军锋, 李世成 申请人:北京京航计算通讯研究所