一种利用智能硬件实现的一次认证方法及其系统与流程

本发明属于信息技术领域，具体涉及一种利用智能硬件实现的一次认证方法及其系统。

背景技术：

现有的一次认证系统都是采用软件实现，这些软件本身并入网络运行，与需要认证的其它应用系统共同分享服务器端和网络通讯资源。其缺点在于，有些软件手段适用场景受限，比如说基于浏览器的各种一次认证系统只能适用于b/s方式的应用程序；有些软件手段存在兼容性问题，比如基于代理(agent)方式的一次认证，有时候代理程序和应用程序存在冲突；更有甚者，对于很多实时性要求很高，或者不能停机不允许安装其他软件的计算机，部署一次认证系统，就非常困难。

目前的企业应用环境中，往往有很多的应用系统，如办公自动化(OA)系统，财务管理系统，档案管理系统，信息查询系统等等。这些应用系统服务于企业的信息化建设，为企业带来了很好的效益。但是，用户在使用这些应用系统时，并不方便。用户每次使用系统，都必须输入用户名称和用户密码，进行身份验证；而且，应用系统不同，用户账号就不同，用户必须同时牢记多套用户名称和用户密码。特别是对于应用系统数目较多，用户数目也很多的企业，这个问题尤为突出。问题的原因并不是系统开发出现失误，而是缺少整体规划，缺乏统一的用户登录平台。

技术实现要素：

为解决上述现有技术中的不足，本发明的目的是提供一种利用智能硬件实现的一次认证方法及其系统，使用一次登录(SSO)技术，SSO技术是指访问同一网络中不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。

本发明的目的是采用下述技术方案实现的：

本发明提供一种利用智能硬件实现的一次认证方法，其改进之处在于，所述方法包括下述步骤：

第一，在一台或多台服务器端上建立起组织完整目录，并制定完整目录的安全策略；

第二，进行合法的嵌入式设备的登记注册；

第三，实现目录同步，使同步后的设备在组织内部的网络正常使用；

第四，为目标设备提供用户生物身份识别特征信息，进行身份认证。

进一步地，所述第一步中组织指的是任何一个政府部门、企事业单位、各种社会团体和非盈利机构、以及其他使用网络资源的机构组织；

所述安全策略包括：员工密码的长度和字符集，更换密码周期，每个员工允许的密码有效使用周期，身份验证到调用密码的有效时间间隔。

进一步地，所述第二步的嵌入式设备的登记注册包括下述步骤：

S101：嵌入式设备登记，记录和发放设备标识号；

S102：读取插入目标设备USB接口的嵌入式设备标识号；

S103：检查嵌入式设备标识号是否合法，若合法，则进行步骤S104；否则，结束嵌入式设备的登记注册流程；

S104：将嵌入式设备分配给一个员工用户，并登记注册嵌入式设备库。

进一步地，所述步骤S103中，检查嵌入式设备标识号是否合法包括两种校验，一、设备序列号合法校验，通过MD5校验算法对设备序列号的校验位进行校验；二、一个通过序列号校验的设备，在服务器上进行了注册登记才能成为合法使用的设备；

所述注册登记指的是在服务器的设备登记数据库里增加一条记录，其序列号为设备的序列号，设备的序列号作为设备标识号。

进一步地，所述第三步中目录同步指的是设备个人目录和认证服务器端完整目录的同步，所述目录同步包括下述步骤：

S201：读取插入目标设备USB接口的嵌入式设备标识号；

S202：检查嵌入式设备标识号是否合法，若合法，则进行步骤S203；否则，结束同步流程；

S203：检查嵌入式设备是否需要同步，若需要同步，判断是否合法，若合法，进行设备个人目录和认证服务器端完整目录的同步；否则，结束同步流程。

进一步地，所述第四步的身份认证包括用户密码口令和用户生物信息比对，包括下述步骤：

S301：嵌入式设备插入目标设备USB接口，加设客户端所有的设备管理和应用系统管理需要的登录信息，包括用户名和密码进行身份认证；

S302：输入登录框编号，验证用户身份；判断所有需要身份认证的登录用户名和密码是否需要用户生物信息，以及是否将生物信息内容存放到目录作为身份认证的依据；身份认证依据的目录作为完整目录；

S303：将所有需要身份认证的目录与某个员工相关的信息均存放在员工手持的设备中，加密存储；

S304：当他需要在使用某个网络中的应用管理系统或为设备，通过在嵌入式设备上选择要登录的认证系统，嵌入式设备通过生物信息以及使用手持设备的密码信息确认是本人在使用手持设备，并且手持设备处在使用状态，系统从目录中调出需要的用户名和密码，自动模拟人敲键盘的方式，通过目标设备的键盘输入用户名和密码，完成用户名和密码的身份认证；

S305：如果目标登录系统需要采样用户的生物信息，则嵌入式设备将需要的认证用户身份的生物信息一同发给目标客户，实现网络中目标设备或应用的一次完整的身份认证。

进一步地，所述步骤302中，用户的生物信息包括虹膜、指纹、人脸以及短信验证码作为第二认证因子。

进一步地，如果用短信验证码作为第二认证因子，则在目录存储中加上短信认证的需求标识，并且在用户登录时提醒用户看自己的手机，输入短信验证码。

进一步地，所述S304中，超过有效使用周期的用户名和密码，即不在使用状态范围内，须再次与服务器端同步并取得有效使用周期后，能够继续使用，在有效时间间隔外，即使是合法用户不能使用嵌入式设备中的用户名和密码登录系统。

本发明提供一种利用智能硬件实现的一次认证系统，其改进之处在于，所述认证系统包括：

服务器端：存放完整目录，并对完整目录的安全策略进行管理、实施和维护，同时实现完整目录与个人目录的同步；

客户端：存放个人目录，在完成与服务器端完整目录同步后的有效使用周期内，且在合法使用时间段，个人目录对应的用户使用存放个人目录的嵌入式设备进行身份认证，并提取用户密码，实现用户需要的登录过程；

嵌入式设备：存放个人目录，提供用户身份认证的目标设备，实现以键盘输入的方式把用户名和密码输入目标设备，为目标设备提供用户身份认证信息，进行身份认证。

为了对披露的实施例的一些方面有一个基本的理解，下面给出了简单的概括。该概括部分不是泛泛评述，也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念，以此作为后面的详细说明的序言。

与最接近的现有技术相比，本发明提供的技术方案具有的优异效果是：

本发明提供的认证系统采用智能嵌入式设备，以加密的安全方式保存所有需要记忆的用户名和密码，在需要输入某个系统的用户名和密码的时候，当使用者通过该嵌入式设备的多因子身份认证(如生物身份识别和密码口令认证)确认了使用者合法身份后，在指定的时间间隔内(如30秒)，通过嵌入式设备的选择键选择相应系统的用户名和密码，该嵌入系统自动模拟键盘输入方式向目标计算机输入选中的用户名和密码，从而实现用户登录。

该设备可以在任何需要的时候，和密码管理服务器进行用户名和密码的信息同步，也可以设置设备的用户名和密码有效使用周期和使用合法时间段，超过有效使用周期的用户名和密码，必须再次与服务器同步并取得有效使用周期后，方可继续使用，在合法使用时间段外，即使是合法用户也不能使用该设备中的该用户名和密码登录系统。

本发明使用一次登录(SSO)技术，SSO技术是指访问同一网络中不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。

为了上述以及相关的目的，一个或多个实施例包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明某些示例性方面，并且其指示的仅仅是各个实施例的原则可以利用的各种方式中的一些方式。其它的益处和新颖性特征将随着下面的详细说明结合附图考虑而变得明显，所公开的实施例是要包括所有这些方面以及它们的等同。

附图说明

图1是本发明提供的设备个人目录和认证服务器端完整目录的同步的结构图；

图2是本发明提供的设备登记注册的流程图；

图3是本发明提供的设备个人目录和认证服务器端完整目录的同步的流程图；

图4是本发明提供的身份认证的流程图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步的详细说明。

以下描述和附图充分地示出本发明的具体实施方案，以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求，否则单独的组件和功能是可选的，并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本发明的实施方案的范围包括权利要求书的整个范围，以及权利要求书的所有可获得的等同物。在本文中，本发明的这些实施方案可以被单独地或总地用术语“发明”来表示，这仅仅是为了方便，并且如果事实上公开了超过一个的发明，不是要自动地限制该应用的范围为任何单个发明或发明构思。

对以下技术术语进行解释：

组织：可以是任何一个政府部门、企事业单位、各种社会团体和非盈利机构、以及其他一切用友网络资源的机构组织。组织拥有的网络资产，决定了系统安全的网络边界。

目录：按照原意目录是一组具有类似属性、以一定逻辑和层次组合的信息。常见的例子是电话簿，由以字母顺序排列的名字、地址和电话号码组成。在这里我们特指组织中所有系统用于认证用户身份合法性的信息存放，它涉及组织中的合法使用网络资源的人员、网络、系统、设备、身份认证信息等等。

完整目录：组织中所有目录信息的总和。

子目录：完整目录的一个子集。

个人目录：组织中具体某个人的所有可用目录信息。

目录同步：存放在不同设备的全部或部分目录信息进行内容不相同信息复制使其内容完全一致的过程。

第一优选技术方案：

本发明提供一种利用智能硬件实现的一次认证方法，包括下述步骤：

第一，在一台或多台服务器端上建立起组织完整目录，并制定完整目录的安全策略；

具体的：安全策略，包括密码的长度和字符集，更换密码周期，每个员工允许使用某个系统密码的时间周期，身份验证到调用密码的有效时间间隔。

第二，进行合法的嵌入式设备的登记注册，记录和发放设备标识，并将设备分配给一个特定的员工。

第三，实现目录同步，使同步后的设备在组织内部的网络正常使用；

具体的，目录同步包括设备个人目录和完整目录的同步。

第四，为目标设备提供用户生物身份识别特征信息，进行身份认证；

具体的：在用户需要登录某个系统的时候，用户首先利用嵌入式设备提供的生物特征认证信息以及用户名和密码等多因子方式对自己的合法身份进行认证，然后把嵌入式设备以USB数据线连接目标设备，在认证后的有效间隔时间(比方说30秒)内选择要登入的系统，和系统的登录框(一个系统里面可能有多个登入匡)，嵌入式设备自动把用户名和密码以键盘方式输入目标设备。

第二优选技术方案：

在第一优选技术方案的基础上，包括具体的流程步骤：

如图2所示，为本发明提供的设备登记注册的流程图，包括下述步骤：

S101：嵌入式设备登记，记录和发放设备标识号；

S102：读取插入目标设备USB接口的嵌入式设备标识号；

S103：检查嵌入式设备标识号是否合法，若合法，则进行步骤S104；否则，结束嵌入式设备的登记注册流程；关于设备合法性，主要包括两种校验，一、设备序列号合法校验，主要是通过MD5校验算法对序列号的校验位进行校验；二、一个通过了序列号校验的设备，只有在服务器上进行了注册登记(在服务器的设备登记数据库里增加一条记录，其序列号为该设备的序列号)才能成为合法使用的设备。

S104：将嵌入式设备分配给一个员工用户，并登记注册嵌入式设备库。

如图3所示，为本发明提供的设备个人目录和认证服务器端完整目录的同步的流程图，包括下述步骤：

S201：读取插入目标设备USB接口的嵌入式设备标识号；

S202：检查嵌入式设备标识号是否合法，若合法，则进行步骤S203；否则，结束同步流程；

S203：检查嵌入式设备是否需要同步，若需要同步，判断是否合法，若合法，进行设备个人目录和认证服务器端完整目录的同步；否则，结束同步流程。

如图4所示，为本发明提供的身份认证的流程图，包括下述步骤：

S301：嵌入式设备插入目标设备USB接口；

S302：输入登录框编号，验证用户身份；

S303：若用户身份通过认证，则查找符合条件的密码；否则，结束身份认证流程；

S304：通过找到的符合条件的密码认证用户是否处于密码有效使用周期，身份认证到调用密码的有效时间间隔，即合法使用时间段；

S305：嵌入式设备自动把用户名和密码以键盘方式输入目标设备；

S306：目标设备接收到正确的用户密码口令和用户生物身份认证信息后，实现用户登录。

更具体的，在步骤S304中，超过有效使用周期的用户名和密码，须再次与服务器端同步并取得有效使用周期后，能够继续使用，在有效时间间隔外，即使是合法用户不能使用嵌入式设备中的用户名和密码登录系统。

第三优选技术方案

本发明提供的身份认证的流程包括：

S301：嵌入式设备插入目标设备USB接口，加设客户端所有的设备管理和应用系统管理需要的登录信息，包括用户名和密码进行身份认证；

S302：输入登录框编号，验证用户身份；判断所有需要身份认证的登录用户名和密码是否需要用户生物信息，以及是否将生物信息内容存放到目录作为身份认证的依据；身份认证依据的目录作为完整目录；

S303：将所有需要身份认证的目录与某个员工相关的信息均存放在员工手持的设备中，加密存储；

S304：当他需要在使用某个网络中的应用管理系统或为设备，通过在嵌入式设备上选择要登录的认证系统，嵌入式设备通过生物信息以及使用手持设备的密码信息确认是本人在使用手持设备，并且手持设备处在使用状态，系统从目录中调出需要的用户名和密码，自动模拟人敲键盘的方式，通过目标设备的键盘输入用户名和密码，完成用户名和密码的身份认证；

S305：如果目标登录系统需要采样用户的生物信息，则嵌入式设备将需要的认证用户身份的生物信息一同发给目标客户，实现网络中目标设备或应用的一次完整的身份认证。

步骤302中，用户的生物信息包括虹膜、指纹、人脸以及短信验证码作为第二认证因子。如果用短信验证码作为第二认证因子，则在目录存储中加上短信认证的需求标识，并且在用户登录时提醒用户看自己的手机，输入短信验证码。

步骤S304中，超过有效使用周期的用户名和密码，即不在使用状态范围内，须再次与服务器端同步并取得有效使用周期后，能够继续使用，在有效时间间隔外，即使是合法用户不能使用嵌入式设备中的用户名和密码登录系统。

第四优选技术方案：

本发明还提供一种利用智能硬件实现的一次认证系统，包括：

服务器端：存放完整目录，并对目录的安全策略进行管理、实施和维护，同时实现完整目录与个人目录的同步过程；

客户端：存放个人目录，在完成与服务器完整目录同步后的有效使用期内的合法使用时间段期间，个人目录对应的用户可以使用存放个人目录的设备进行人份认证和提取用户密码实现用户需要的登录过程；本发明提供的设备个人目录和认证服务器端完整目录的同步的结构图如图1所示。

嵌入式设备：存放个人目录，提供用户身份认证的物理设备(用户密码、用户生物身份信息比对等)，实现以键盘输入的方式把用户名和密码信息输入目标设备，为目标设备提供用户生物身份识别特征信息，进行身份认证。

本发明提供系统采用智能嵌入式设备，以加密的安全方式保存所有需要记忆的用户名和密码，在需要输入某个系统的用户名和密码的时候，当使用者通过该嵌入式设备的多因子身份认证(如生物身份识别和密码口令认证)确认了使用者合法身份后，在指定的时间间隔内(如30秒)，通过嵌入式设备的选择键选择相应系统的用户名和密码，该嵌入系统自动模拟键盘输入方式向目标计算机输入选中的用户名和密码，从而实现用户登录。

该设备可以在任何需要的时候，和密码管理服务器进行用户名和密码的信息同步，也可以设置设备的用户名和密码有效使用周期和使用合法时间段，超过有效使用周期的用户名和密码，必须再次与服务器同步并取得有效使用周期后，方可继续使用，在合法使用时间段外，即使是合法用户也不能使用该设备中的该用户名和密码登录系统。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员依然可以对本发明的具体实施方式进行修改或者等同替换，这些未脱离本发明精神和范围的任何修改或者等同替换，均在申请待批的本发明的权利要求保护范围之内。