一种利用安全设备执行安全操作的方法及系统与流程
本发明涉及一种电子技术领域,尤其涉及一种利用安全设备执行安全操作的方法及系统。
背景技术:
人们已经意识到,计算机虚拟化的好处在于大大增加了计算硬件平台的计算效率和灵活性。例如,计算机虚拟化允许多个虚拟计算装置(computing machine)运行在一个通用计算硬件平台上。
基于服务器的计算允许联网客户端系统(相对于服务器远程设置)访问该服务器上的计算资源。例如,客户端可以使用远程桌面协议(比如RDP或VNC)远程访问桌面并将用户输入(比如键盘或鼠标输入)传送到该远程系统。而且,用户必须与该网络保持连接以能够访问该服务器上存储的用户桌面。作为基于服务器的计算的替代方案,客户端计算允许用户远离企业网络并处于脱机方式,即,不连接到网络或因特网。
企业员工可以通过客户端登录到企业服务器。当企业员工登录服务器后,如何监控员工的工作情况,例如是否在登录状态下有一段时间离开工位等等,如果不及时退出系统一些业务信息会被泄露,导致企业的信息安全受到攻击等等问题都是本领域技术人员亟待解决的问题。
此外,目前一般都是通过键盘连接PC,通过PC上的客户端登录远程服务器,但都需要借助PC,如果没有PC则无法操作,而通过PC登录的弊端是由于PC固定在工位上,不能随员工移动,且一般一个PC都是固定分配给一个员工使用,在对工作环境移动性要求较高时,不能提供更好的用户体验,不利于提高工作效率。
技术实现要素:
本发明旨在解决上述问题/之一。
本发明的主要目的在于提供一种利用安全设备执行安全操作的方法。
本发明的另一目的在于提供一种利用安全设备执行安全操作的系统。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明一方面提供了一种利用安全设备执行安全操作的方法,包括:所述安全设备的安全芯片通过所述安全设备的通讯接口向登录端输入登录信息,所述登录信息包括:用户帐号和密码;所述登录端接收所述登录信息,生成登录请求,所述登录请求包括所述登录信息,向登录处理端发送所述登录请求;所述登录处理端接收所述登录请求,根据所述登录请求获取所述登录信息,并生成校验因子,向所述登录端发送所述校验因子;所述登录端通过所述通讯接口向所述安全芯片发送所述校验因子;所述安全芯片通过所述通讯接口接收所述校验因子,控制所述读卡器向所述智能卡发送所述校验因子;所述智能卡接收所述校验因子,并至少对所述校验因子进行校验运算得到校验值;所述智能卡向所述读卡器发送校验信息,所述校验信息至少包括:所述校验值;所述安全芯片在所述读卡器接收所述校验信息后调用所述通讯接口将所述读卡器接收到的所述校验信息发送至所述登录端;所述登录端接收到所述校验信息,并发送至所述登录处理端;所述登录处理端接收所述校验信息,根据所述登录信息获取所述用户帐号和所述密码,并对所述用户帐号和所述密码进行验证,根据所述校验信息获取所述校验值,对所述校验值进行验证,在对所述用户账号和所述密码验证通过且对所述校验值验证通过后,执行登录操作,并向所述登录端返回登录成功的响应;所述登录端向所述安全设备返回所述登录成功的响应;所述安全设备的安全芯片通过所述通讯接口接收到所述登录成功的响应,每隔预定的时间间隔向所述摄像装置发送所述采集图像指令;所述摄像装置接收到所述采集图像指令,将采集到的第一采集信息发送至所述安全芯片;所述安全芯片接收所述摄像装置返回的所述第一采集信息;
所述安全芯片判断所述第一采集信息是否包含人脸信息,在包含人脸信息的情况下,获取与所述用户账号关联的用户人脸图片,并判断所述人脸信息与所述用户人脸图片是否一致,如果不一致,则调用所述通讯接口向所述登录端发送安全操作请求或者执行安全操作;在不包含人脸信息的情况下,判断是否至少满足禁用条件之一,如果满足,则调用所述通讯接口向所述登录端发送安全操作请求或者执行所述安全操作;其中,所述禁用条件包括:所述安全芯片连续接收到的不包含人脸信息的第一采集信息的次数达到预设次数,或者,所述安全芯片在第一预设时长内接收到的不包含人脸信息的第一采集信息的累计持续时长超过第二预设时长,其中,所述第二预设时长小于或等于所述第一预设时长;
或者,所述安全芯片调用所述通讯接口向所述登录端发送所述第一采集信息,所述登录端接收到所述第一采集信息后,判断所述第一采集信息是否包含人脸信息,在包含人脸信息的情况下,获取与所述用户账号关联的用户人脸图片,并判断所述人脸信息与所述用户人脸图片是否一致,如果不一致,则执行所述安全操作或者向所述登录处理端发送所述安全操作请求;在不包含人脸信息的情况下,判断是否至少满足禁用条件之一,如果满足,则执行所述安全操作或者向所述登录处理端发送所述安全操作请求;其中,所述禁用条件包括:所述登录端连续接收到的不包含人脸信息的第一采集信息的次数达到预设次数,或者,所述登录端在第一预设时长内接收到的不包含人脸信息的第一采集信息的累计持续时长超过第二预设时长,其中,所述第二预设时长小于或等于所述第一预设时长。
可选的,所述获取与所述用户账号关联的用户人脸图片,包括:
从所述校验信息或所述登录信息中获取所述用户人脸图片,或者,根据所述用户账号从所述服务器的数据库中查询关联的所述用户人脸图片。
可选的,在所述登录处理端执行登录操作后,所述方法还包括:所述安全芯片控制所述读卡器发送轮询信号;所述智能卡接收所述轮询信号并返回轮询响应;所述安全芯片监测到所述读卡器在预设时间内未接收到所述轮询响应时,调用所述通讯接口通过所述登录端向所述登录处理端发送安全操作请求或者执行所述安全操作。
可选的,所述智能卡包括身份证。
本发明另一方面提供了一种利用安全设备执行安全操作的系统,所述系统包括:智能卡、安全设备、登录端和登录处理端,所述安全设备包括:安全芯片、读卡器、通讯接口和摄像装置;所述安全芯片,用于通过所述通讯接口向所述登录端输入登录信息,所述登录信息包括:用户帐号和密码;还用于通过所述通讯接口接收校验因子,控制所述读卡器向所述智能卡发送所述校验因子;在所述读卡器接收校验信息后调用所述通讯接口向所述登录处理端发送所述校验信息;还用于通过所述通讯接口接收登录成功的响应后,每隔预定的时间间隔向所述摄像装置发送所述采集图像指令;还用于接收所述摄像装置返回的所述第一采集信息;还用于判断所述第一采集信息是否包含人脸信息,在包含人脸信息的情况下,获取与所述用户账号关联的用户人脸图片,并判断所述人脸信息与所述用户人脸图片是否一致,如果不一致,则调用所述通讯接口向所述登录端发送安全操作请求或者执行安全操作;在不包含人脸信息的情况下,判断是否至少满足禁用条件之一,如果满足,则调用所述通讯接口向所述登录端发送安全操作请求或者执行所述安全操作;其中,所述禁用条件包括:所述安全芯片连续接收到的不包含人脸信息的第一采集信息的次数达到预设次数,或者,所述安全芯片在第一预设时长内接收到的不包含人脸信息的第一采集信息的累计持续时长超过第二预设时长,其中,所述第二预设时长小于或等于所述第一预设时长;读卡器,用于向所述智能卡发送所述校验因子;接收所述校验信息,并传输至所述安全芯片;所述摄像装置,用于接收到所述采集图像指令,将采集到的第一采集信息发送至所述安全芯片;所述智能卡,用于接收所述校验因子,并至少对所述校验因子进行校验运算得到校验值;向所述读卡器发送校验信息,所述校验信息包括:所述校验值;所述登录端,用于接收所述登录信息,生成登录请求,所述登录请求包括所述登录信息,向登录处理端发送所述登录请求;在接收所述校验因子后通过所述通讯接口向所述安全芯片发送所述校验因子,并在接收到所述校验信息后向所述登录处理端发送所述校验信息;还用于接收所述登录处理端返回的所述登陆成功的响应,并向所述安全设备返回所述登录成功的响应;还用于接收所述安全操作请求,向所述登录处理端发送所述安全操作请求或者执行所述安全操作;所述登录处理端,用于接收所述登录请求,根据所述登录请求获取所述登录信息,并生成校验因子,向所述登录端发送所述校验因子;接收所述校验信息,根据所述登录信息获取所述用户帐号和所述密码,并对所述用户帐号和所述密码进行验证,根据所述校验信息获取所述校验值,对所述校验值进行验证,在对所述用户账号和所述密码验证通过且对所述校验值验证通过后,执行登录操作,并向所述登录端返回登录成功的响应。
本发明另一方面提供了一种利用安全设备执行安全操作的系统,所述系统包括:智能卡、安全设备、登录端和登录处理端,所述安全设备包括:安全芯片、读卡器、通讯接口和摄像装置;
所述安全芯片,用于通过所述通讯接口向所述登录端输入登录信息,所述登录信息包括:用户帐号和密码;还用于通过所述通讯接口接收校验因子,控制所述读卡器向所述智能卡发送所述校验因子;在所述读卡器接收校验信息后调用所述通讯接口向所述登录处理端发送所述校验信息;还用于通过所述通讯接口接收登录成功的响应后,每隔预定的时间间隔向所述摄像装置发送所述采集图像指令;还用于接收所述摄像装置返回的所述第一采集信息,并向所述登录端发送所述第一采集信息;
读卡器,用于向所述智能卡发送所述校验因子;接收所述校验信息,并传输至所述安全芯片;
所述摄像装置,用于接收到所述采集图像指令,将采集到的第一采集信息发送至所述安全芯片;
所述智能卡,用于接收所述校验因子,并至少对所述校验因子进行校验运算得到校验值;向所述读卡器发送校验信息,所述校验信息包括:所述校验值;
所述登录端,用于接收所述登录信息,生成登录请求,所述登录请求包括所述登录信息,向登录处理端发送所述登录请求;在接收所述校验因子后通过所述通讯接口向所述安全芯片发送所述校验因子,并在接收到所述校验信息后向所述登录处理端发送所述校验信息;还用于接收所述登录处理端返回的所述登陆成功的响应,并向所述安全设备返回所述登录成功的响应;还用于接收所述第一采集信息,判断所述第一采集信息是否包含人脸信息,在包含人脸信息的情况下,获取与所述用户账号关联的用户人脸图片,并判断所述人脸信息与所述用户人脸图片是否一致,如果不一致,则执行所述安全操作或者向所述登录处理端发送所述安全操作请求;在不包含人脸信息的情况下,判断是否至少满足禁用条件之一,如果满足,则执行所述安全操作或者向所述登录处理端发送所述安全操作请求;其中,所述禁用条件包括:所述登录端连续接收到的不包含人脸信息的第一采集信息的次数达到预设次数,或者,所述登录端在第一预设时长内接收到的不包含人脸信息的第一采集信息的累计持续时长超过第二预设时长,其中,所述第二预设时长小于或等于所述第一预设时长;
所述登录处理端,用于接收所述登录请求,根据所述登录请求获取所述登录信息,并生成校验因子,向所述登录端发送所述校验因子;接收所述校验信息,根据所述登录信息获取所述用户帐号和所述密码,并对所述用户帐号和所述密码进行验证,根据所述校验信息获取所述校验值,对所述校验值进行验证,在对所述用户账号和所述密码验证通过且对所述校验值验证通过后,执行登录操作,并向所述登录端返回登录成功的响应;还用于在接收到所述安全操作请求后,执行所述安全操作。
可选的,所述安全设备还包括:显示屏;所述登录处理端,还用于向所述登录端发送安全操作响应;所述登录端,还用于向所述安全设备发送所述安全操作响应;所述安全设备的安全芯片,还用于通过所述通讯接口接收所述安全操作响应,并调用所述安全设备的显示屏显示安全操作的提示信息;或者,所述登录处理端,还用于向所述登录端发送安全操作响应;所述登录端,还用于接收所述安全操作响应,并调用所述登录端的显示屏显示安全操作的提示信息。
可选的,所述安全芯片,还用于通过所述通讯接口接收登录成功的响应后,控制所述读卡器发送轮询信号;所述读卡器,还用于向所述智能卡发送所述轮询信号;所述智能卡,还用于接收所述轮询信号并返回轮询响应;所述安全芯片,还用于监测到读卡器在预设时间内未接收到所述轮询响应时,调用所述通讯接口向所述登录端发送安全操作请求;所述登录端,还用于向所述登录处理端发送安全操作请求或者执行所述安全操作。
可选的,所述智能卡包括身份证。
由上述本发明提供的技术方案可以看出,本发明提供了一种利用利用安全设备执行安全操作的方法及系统,首先,可以使得持有智能卡的用户可以通过刷卡的方式、利用安全设备安全地登录到登录处理端,不仅可以快速地登录系统,还保证了用户账户的安全性;其次,可以通过安全设备的摄像装置采集图像信息,通过图像信息中的人脸信息来确定使用当前安全设备的员工是否为原始登录的那个员工或者当前的工作状态是否非正常,从而达到在监测到其他员工使用或者一段时间内该员工没有使用该安全设备,则执行安全操作,从而保护使用该安全设备登录的员工的业务机密,避免无关人员使用该安全设备执行相应操作的效果。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明提供的利用安全设备执行安全操作的系统的结构示意图;
图2为本发明提供的安全设备的结构示意图;
图3为本发明实施例1提供的利用安全设备登录的流程图;
图4为本发明实施例1提供的一种登录后利用安全设备控制执行安全操作的流程图;
图5为本发明实施例2提供的另一种登录后利用安全设备控制执行安全操作的流程图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面将结合附图对本发明实施例作进一步地详细描述。
本发明基于一种利用安全设备执行安全操作的系统,如图1所示,该系统包括安全设备10、智能卡20、登录端30和登录处理端40。安全设备10可以与智能卡20进行通信,与智能卡20进行数据交互,安全设备10还可以与登录端30进行通讯,安全设备10可以与登录端30进行数据交互。一个员工的智能卡以及登录信息只能用于该员工使用以及登录,一旦某一员工使用某台安全设备登录所述登录处理端,则在登录期间该员工与这台安全设备绑定,即在该员工的登录期间,这台安全设备不能由其他员工使用,一旦监测到其他员工使用或者一段时间内该员工没有使用该安全设备,则进入安全保护程序,执行安全操作,例如请求登录处理端执行登出操作或者登录端执行锁屏操作或者安全设备执行锁屏操作等等,从而保证该登录员工的业务机密,避免无关人员在这台安全设备执行相应操作。
其中,如图2所示,安全设备10是一种多功能设备,该安全设备10包括:安全芯片101、读卡器102、通讯接口103和摄像装置104。其中,安全芯片101可以设置在安全设备10的内部,也可以与安全设备10通过接口(有线接口或无线接口)连接。将该安全芯片101作为安全设备的主控芯片,控制安全设备10中其他模块的运行。安全设备10上集成的读卡器102可以是接触式读卡器,也可以是非接触式读卡器(如RF、NFC、蓝牙等),可以与智能卡20通过RF、NFC、蓝牙等方式进行通信,与智能卡20进行数据交互。当读卡器102为非接触式读卡器时,智能卡20一旦进入到安全设备的读卡器102的通信范围内,即可与安全设备的读卡器102连接并通信。该安全设备10还可以集成现有的键盘功能,即该安全设备10还可以为一个安全键盘,可以作为输入设备与PC或其他设备连接以输入数据,用户可以使用该安全设备进行按键输入操作。该安全设备10还可以控制摄像装置104采集图像,进而对采集的信息进行处理判断采集的信息是否包含人脸信息以及是否满足执行安全操作条件,从而达到在监测到其他员工使用该安全设备或者一段时间内该员工没有使用该安全设备时,进入安全保护程序,执行安全操作,例如请求登录处理端执行登出操作或者安全设备执行锁屏操作或者登录端执行锁屏操作等等的效果。
其中,智能卡20是带有芯片的能够进行密钥运算(加密、签名)的卡,智能卡20中存储有个人身份信息,例如身份ID、照片、指纹等等,还存储有与用户身份对应的私钥,因此,通过该智能卡存储的信息可以标识用户的身份,即与用户帐号关联,使得用户借助于智能卡获取用户的个人身份信息登录到登录处理端的系统。作为一种可选的方式,该智能卡可以为身份证。读卡器可以为具有SAM模块的读卡器,以读取身份证内的信息。此外,该智能卡20可以是仅支持一种通信功能,也可以是带有多种通信功能的智能卡,例如,该智能卡可以既通过NFC与安全设备的读卡器连接,也可以通过蓝牙与安全设备的读卡器连接,在不同的通信场合使用不同的通信方式,以分别实现不同通信方式的优缺点。该智能卡20可以做成传统的卡片形状,也可以做成U盘等小型便携的设备形状,还可以是一个卡片形状的电子签名设备,方便携带。
本发明提供了多种系统架构的设置方式,例如,本发明的安全登录系统中的登录端30与登录处理端40可以分体设置,也可以合体设置。当登录端与登录处理端分体设置时,登录端可以设置在安全设备侧,例如设置在与安全设备连接的个人计算机(Personal Computer,PC)设备上,登录处理端可以设置在后台服务器侧,即登录端为本地客户端,登录处理端为远程服务器。当登录端与登录处理端合体设置时,登录端与登录处理端可以均设置在安全设备侧,例如,设置在与安全设备连接的PC或其他终端上,也可以均设置在后台服务器侧。前者为离线登录的情况,后者为虚拟云登录的情况,前者不需要借助后台服务器就可以完成登录,后者相当于在后台服务器登录,安全设备侧可以仅为一个键盘,安全设备侧不需要设置登录端,实现了远程虚拟登录,且简化了安全设备侧的架构。
针对以上几种架构,举例说明如下:例如,登录端可以是设置在PC或其他终端上的客户端软件,该PC或其他终端通过有线连接或无线连接(USB、wifi、蓝牙、NFC等)与安全设备连接,该登录端与登录处理端不设置在同一设备上,通过局域网、互联网或其他网络连接到远程的登录处理端。再如,登录端也可以是一个登录页面,该登录页面可以设置在互联网的任意服务器(只要能与登录处理端进行通信即可)上,而登录处理端设置在后台服务器上,该登录端通过局域网、互联网或其他网络连接到登录处理端。再如,登录端作为一个登录软件或登录页面与登录处理端一同设置在后台,登录端和登录处理端作为后台服务器,安全设备要与登录端进行通信时需要与后台服务器进行通信。可见,本发明并不限定登录端和登录处理端的设置形态,只要是能够进行通信均可。
实施例1
本实施例提供一种利用利用安全设备执行安全操作的方法,采用上文中提到的系统架构。该方法具体包括利用安全设备读卡登录的步骤(S101-110)以及,在登录后利用安全设备控制执行安全操作的步骤(S111-S120)。
具体的,如图3所示,本实施例提供的利用安全设备读卡登录的步骤如下(步骤S101-S110):
步骤S101,安全设备的安全芯片通过通讯接口向登录端输入登录信息,登录信息包括:用户帐号和密码。
该安全芯片(如国民技术股份有限公司的Z8D64U(国密批号SSX43)、Z32(国密批号SSX20))内部拥有独立的处理器和存储单元,可存储PKI数字证书和密钥,以及其他特征数据,对数据进行密钥运算(加密、解密或签名等运算),为用户提供数据加密和身份安全认证服务,保护商业隐私和数据安全。
安全设备上设置的与登录端连接的通讯接口可以是有线通讯接口,如USB接口、串口、有线网络接口等,也可以是有无线通讯接口,如wifi、蓝牙、NFC、无线网络接口等,以使得安全设备可以通过有线通讯接口或无线通讯接口连接到登录端。例如,安全设备可以通过USB或蓝牙等接口连接到PC,直接与设置在PC上的登录端进行通讯。又例如,安全设备可以通过无线网络接口向远程的登录端发送登录信息。
具体的,用户可以根据打开的登录端的提示,通过安全设备进行登录信息的输入,安全设备可以通过以下方式获取到用户的登录信息:接收用户通过安全设备的键盘按键输入的信息,或者,接收用户通过安全设备的读卡器读取到的用户的登录信息,或者,接收用户通过安全设备的摄像装置采集到的用户的登录信息(如扫描二维码);通过上述多种登录信息的获取方式,大大简化的用户操作。安全设备在获取到用户的登录信息后,将登录信息转化成相应的用户帐号和密码信息,将用户帐号和密码通过通讯接口发送至登录端。在通过安全设备的键盘向登录端输入登录信息时,键盘可以在每接收一个字符即输出至登录端,或者,键盘在接收到全部字符后再输出至登录端,由登录端对最终接收的字符进行处理得到用户帐号和密码信息。由于安全设备中具有安全芯片,安全设备也可以对按键输入进行加密处理,因此,向登录端输出的登录信息可以是明文也可以是安全设备加密后的密文。
步骤S102,登录端接收登录信息,生成登录请求,登录请求包括登录信息,向登录处理端发送登录请求。
具体的,登录端接收到包含用户帐号和密码的登录信息后,需要向登录处理端发送用户帐号和密码去进行验证,故此,登录端利用登录信息生成登录请求,并将该登录请求发送至登录处理端。登录请求中除了包含安全设备发送来的登录信息,还可以包括其他标识登录端或安全设备的信息,例如可以标识登录端所处设备的ID信息或标识登录端所连接的安全设备的ID信息等。登录请求中还可以包含指示登录处理端执行下一步处理的指示信息,例如,指示登录处理端根据登录信息生成校验因子。与安全芯片类似的,登录端也可以对登录请求进行加密处理,所以,登录请求可以为明文也可以为登录端对登录请求进行加密处理后得到的密文,通过密文发送,可以保证数据传输安全。
步骤S103,登录处理端接收登录请求,根据登录请求获取登录信息,并生成校验因子,向登录端发送校验因子。
具体的,登录处理端在接收到登录请求后,从登录请求中获取所包含的登录信息。当然,如果登录请求是加密后的信息,则还需要先对其进行解密后获取登录信息明文。登录处理端在接收到登录请求后,根据登录请求的指示,执行生成校验因子的步骤。校验因子可以是根据随机数或者其他字符串生成,也可以是根据登录信息中的部分信息生成,以便登录处理端可以根据其他设备返回的校验值进行验证,以校验其他设备的真实性。校验因子也可以进行加密处理后再发送,以保证数据传输安全。
步骤S104,登录端通过安全设备的通讯接口向安全芯片发送校验因子。
具体的,登录端在接收到校验因子后,如果是加密的校验因子,则利用与登录处理端匹配的密钥先解密得到校验因子的明文,然后发送给安全设备。如果登录端与安全设备之间的数据传输需要加密传输,登录端也可以利用与安全设备匹配的密钥对校验因子再次加密后发送给安全设备。
步骤S105,安全芯片通过通讯接口接收校验因子,控制读卡器向智能卡发送校验因子。
安全设备通过通讯接口接收校验因子,则安全设备的安全芯片获取校验因子。在接收到校验因子后,安全芯片需要控制读卡器向一个智能卡发送校验因子。此时读卡器需要判断此时是否有智能卡与其保持连接,如果读卡器连接有智能卡,则读卡器直接将该校验因子发送给所连接的智能卡。如果读卡器此时并未连接到某个智能卡,则读卡器需要先与某个智能卡建立连接。例如,如果智能卡是利用NFC通信的智能卡,读卡器先执行寻卡操作,向外发送寻卡指令,当接收到某个智能卡发送的寻卡响应后建立连接。又例如,如果该智能卡是利用蓝牙通信的智能卡,在建立连接之前读卡器先进行蓝牙匹配,与智能卡建立蓝牙连接。关于读卡器寻卡以及与卡片建立连接、蓝牙匹配与卡片建立蓝牙连接的过程属于现有技术,在此不再赘述。
此外,本发明的读卡器可以包含多个读卡模块,例如,可以既有NFC读卡模块又有蓝牙读卡模块,当安全芯片控制读卡器向智能卡发送校验因子时,可以选择通过NFC或者蓝牙的方式发送校验因子。
步骤S106,智能卡接收校验因子,并至少对校验因子进行校验运算得到校验值。
具体地,作为一种可选的实施方式,智能卡至少对校验因子进行校验运算得到校验值的方式至少可以包括以下几种:
方式一、智能卡获取自身存储的私钥,至少对校验因子进行哈希运算后获得第一摘要信息,利用智能卡的私钥对摘要信息进行加密得到签名信息作为校验值。当然,智能卡中还可以存储有用户帐号、密码、用户的照片和指纹等个人信息,智能卡在签名的时候,不仅可以对校验因子进行签名,还可以对校验因子以及上述个人信息至少之一进行签名获得上述校验值。
方式二、智能卡可以获取一对称密钥,至少对校验因子进行MAC运算获得MAC值作为校验值。
方式三、智能卡可以至少对校验因子采用奇偶校验算法进行运算得到校验值。
方式四、智能卡可以至少对校验因子采用CRC校验算法进行运算得到校验值。
上述四种方式只是本实施例提供的几种得到校验值的方式,但并不限于上述4种方式,只要可以计算得到用于验证设备的真实性的校验值即可。
步骤S107,智能卡向安全设备发送校验信息,校验信息包括:校验值。
具体的,根据安全设备发送校验因子所用的读卡模块,智能卡采用与所用读卡模块相应的通讯方式向安全设备发送校验信息。智能卡在发送校验信息时,为了保证传输的安全性,可以将校验信息进行加密传输。
此外,智能卡在发送校验信息时,还可以包含智能卡私钥对应的证书或公钥,智能卡可以直接将公钥发送至登录处理端,保证登录处理端在接收到校验值后能够利用该公钥来验证校验值;也可以将包含有公钥的证书发送,既保证登录处理端在接收到校验值后能够利用公钥来验证校验值,又保证登录处理端能够对公钥自身的真实性进行验证。此外,校验信息还可以包括用于计算校验值的对称密钥,或者对称密钥的标识,以及采用的算法的标识,以便登录处理端可以采用相同的对称密钥和算法对校验值进行验证。
此外,校验信息还可以包括用户的个人信息,如用户人脸图片,以便于后续与采集到的人脸信息进行比对,以识别当前使用安全设备的人与智能卡的持有人(即使用安全设备登录的人)是否为同一人。
步骤S108,读卡器接收校验信息,安全芯片调用通讯接口,将读卡器接收到的校验信息发送至登录端。
具体的,读卡器接收到智能卡发送的校验信息后,安全芯片根据安全设备与登录端之间数据传输方式,调用相应的通讯接口向登录端发送校验信息。例如,当安全设备与登录端处于短距离通信范围内,其两者可以通过有线接口连接(USB接口等)或无线接口连接(wifi、蓝牙、NFC等),则安全芯片调用相应的通讯接口发送数据;当安全设备和登录端异地设置,则安全设备调用有线网络接口或无线网络接口通过互联网、局域网等网络向登录端发送校验信息。
步骤S109,登录端接收到校验信息,并发送至登录处理端。
具体的,登录端在接收到校验信息后,根据登录端和登录处理端之间的数据传输方式,选择合适的传输方式向登录处理端发送校验信息。如果登录端与登录处理端合体设置,例如登录端与登录处理端均设置在后台服务器侧,例如,当登录端与登录处理端处于短距离通信范围内,其两者可以通过有线接口连接(USB接口等)或无线接口连接(wifi、蓝牙、NFC等),则登录端利用相应的通讯接口发送数据;当登录端和登录处理端处于统一设备上,登录端调用相应的设备端口向登录处理端发送数据;如果登录端与登录处理端分体设置,例如登录端设置在安全设备侧,登录处理端设置在后台服务器侧,则登录端调用有线网络接口或无线网络接口通过互联网、局域网等网络向登录端发送校验信息。
步骤S110,登录处理端接收校验信息,根据登录信息获取用户帐号和密码,并对用户帐号和密码进行验证,根据校验信息获取校验值,对校验值进行验证,在对用户账号和密码验证通过且对校验值验证通过后,执行登录操作,并向登录端返回登录成功的响应。
其中,登录处理端在接收到校验信息后,需要对登录信息的正确性进行验证,即根据之前接收到的登录信息获取到其中的用户帐号和密码信息,对用户帐号和密码进行长度和正确性校验,并存储用户帐号和密码校验的结果。
此外,对应于智能卡至少对校验因子进行校验运算得到校验值的4种方式,登录处理端也可以采用相应的方式对校验值进行校验。例如,登录处理端对校验值进行验证包括:登录处理端获取与用户帐号对应的智能卡的证书,根据智能卡的证书获取智能卡的公钥,利用智能卡的公钥对校验值进行解密获得第一摘要信息,并至少对校验因子进行哈希运算后获得第二摘要信息,将第一摘要信息和第二摘要信息进行比对,如果比对一致,则验证通过。在验证用户帐号和密码通过且验证签名通过时,登录处理端开始执行登录操作。又例如,登录处理端对校验值进行验证包括:登录处理端对校验因子采用MAC算法计算校验比对值,比较校验值与校验比对值,如果一致,则校验通过,登录处理端开始执行登录操作。对应于其他校验值也可以采用相应的方式和算法进行计算,得到校验比对值与收到的校验值进行比较,此处不再赘述。
需要注意的是,登录处理端可以先验证用户帐号和密码再验证签名,也可以先验证签名再验证用户帐号和密码,也可以同时对两者进行验证,总之,无论是先验证用户帐号和密码还是先验证签名,均是本发明保护方式的替换,均应属于本发明的保护范围。
至此,利用安全设备读卡登录的步骤结束。在利用安全设备读卡登录后,本实施例还提供了登录后利用安全设备控制执行安全操作的步骤。具体的,如图4所示,本实施例提供的登录后利用安全设备控制执行安全操作的步骤如下(S111-S117):
步骤S111,登录端向安全设备返回登录成功的响应。
在步骤S110中,当登录处理端执行登录操作后,向登录端返回登录成功的响应,登录端对接收到的信息进行解析确定接收到的信息为登录成功的响应,则向安全设备返回登录成功的响应,以便安全芯片在收到登录成功的响应后,开启人脸监测以便及时执行安全操作,保护登录者的安全。具体登录端与登录处理端之间的通信方式,以及登录端与安全设备之间的通信方式可以参见上文中的描述。
步骤S112,安全设备的安全芯片通过通讯接口接收到登录成功的响应,每隔预定的时间间隔向摄像装置发送采集图像指令。
安全芯片在收到登录成功的响应后,开启人脸监测,每隔预定的时间间隔通过摄像装置采集图像信息。其中,预定的时间间隔为技术人员根据经验设置的,例如,每3分钟或者每20秒采集一次。从而能够通过设置有摄像装置的安全设备监测到已经没有登录员工在使用安全设备了,及时执行安全操作,例如,登录处理端执行登出操作,拒绝安全设备访问办公系统,又例如登录端执行如锁屏等安全操作,禁止用户使用该登录端执行相应操作,以保护该登录的员工的业务机密,避免无关人员使用该安全设备执行相应操作。
步骤S113,摄像装置接收到采集图像指令,将采集到的第一采集信息发送至安全芯片。
摄像装置在接收到采集图像指令后就开始本次的图像采集,采集到的第一采集信息是指摄像装置采集到的本次图像信息。摄像装置采集到的本次图像信息可以是在预定时间内采集到的图像信息,例如10秒内持续采集到的图像信息;也可以是摄像装置的摄像头从初始位置转动到180度的位置采集到的图像信息。摄像装置采集本次图像信息的方式有很多,本实施例仅举例示意说明,此处不再赘述。其中,图像信息(即第一采集信息)可以为多幅图片也可以是视频流等。此外,第一采集信息可以是明文也可以是密文方式,采用密文方式以保证数据传输安全。
步骤S114,安全芯片接收摄像装置返回的第一采集信息。
可选的,安全芯片可以将摄像装置返回的第一采集信息按照采集的先后顺序保存在安全设备的缓存内。
步骤S115,安全芯片判断第一采集信息是否包含人脸信息,在包含人脸信息的情况下,执行步骤S116;在不包含人脸信息的情况下,执行步骤S117。
首先判断第一采集信息中是否包含人脸信息,可以根据人脸的生物特征进行识别,此外现有技术,本实施例中不再详细描述。如果包含人脸信息,至少说明有员工在使用当前安全设备,则需要进一步确定使用当前安全设备的员工是否与原来使用当前安全设备完成登录的员工是同一个人,即执行步骤S116。但如果第一采集信息中不包含人脸,则需要根据步骤S117中的策略来判断是否满足安全操作条件。
步骤S116,获取与用户账号关联的用户人脸图片,并判断人脸信息与用户人脸图片是否一致,如果不一致,则执行安全操作或者调用通讯接口向登录端发送安全操作请求;
其中,安全设备可以自己执行安全操作,例如,安全芯片控制其显示屏锁屏,以禁止用户使用该安全设备执行相应操作。安全设备也可以向登录端发送安全操作请求,登录端接收到该安全操作请求后,可以执行安全操作,例如,登录端控制其显示屏锁屏,以禁止用户使用该登录端执行相应操作;登录端也可以向登录处理端发送该安全操作请求,登录处理端收到安全操作请求后执行安全操作,例如,登录端向登录处理端发送登出请求,登录处理端执行登出操作,拒绝用户访问办公系统。通过以上方式,都可以达到在监测到其他员工使用或者一段时间内该员工没有使用该安全设备时,禁止用户使用该安全设备执行相应操作,以保护该登录的员工的业务机密,避免无关人员使用该安全设备执行相应操作。
作为一种可选的实施方式,获取与用户账号关联的用户人脸图片,包括:从校验信息中获取用户人脸图片,或者,根据用户账号从登录处理端的数据库中查询关联的用户人脸图片。本实施例中,登录处理端可以从其数据库中查询预先存储的与用户账户关联的用户人脸图片,或者,如果数据库中没有存储该用户账户关联的用户人脸图片,也可以获取智能卡中存储的用户人脸图片,智能卡中存储的用户人脸图片也是与用户账户关联的。获取智能卡中存储的用户人脸图片可以是通过智能卡发送的校验信息携带用户人脸图片,也可以由登录处理端发起获取请求,通过登录端、安全设备的读卡器从智能卡获取登录用户的用户人脸图片。
具体的图像信息比对以及图像分析为现有技术,本实施例中不再赘述。通过比对第一采集信息中包含的人脸信息与用户人脸图片是否一致,如果一致,则说明在使用当前安全设备的员工为使用该安全设备登录的那个员工;如果不一致,则说明在使用当前安全设备的员工不是使用该安全设备登录的那个员工。因此,在包含人脸信息的情况下,登录处理端先根据该人脸信息判断是否为使用该安全设备登录的员工在工作,如果不是该员工在工作则执行安全操作,以保护该员工的业务机密,避免无关人员使用该安全设备执行相应操作。
步骤S117,判断是否至少满足执行安全操作条件之一,如果满足,则执行安全操作或者向登录端发送安全操作请求。
其中,安全设备执行安全操作或者向登录端发送安全操作请求的具体方式可以参见步骤S116中的描述。
其中,执行安全操作条件包括:安全芯片连续接收到的不包含人脸信息的第一采集信息的次数达到预设次数,或者,安全芯片在第一预设时长内接收到的不包含人脸信息的第一采集信息的累计持续时长超过第二预设时长,其中,第二预设时长小于或等于第一预设时长。
例如,连续5次接收到的第一采集信息均不包含人脸信息,至少说明该员工已经有一段时间没有在使用该安全设备了。例如,在安全芯片在第一预设时长(如10分钟内)接收到的图像视频中超过第二预设时长(如7分钟)都不包含人脸信息,则也认为该员工的工作状态非正常,满足执行安全操作条件。
通过本发明的利用利用安全设备执行安全操作的方法,首先,可以使得持有智能卡的用户可以通过刷卡的方式、利用安全设备安全地登录到登录处理端,不仅可以快速地登录系统,还保证了用户账户的安全性;其次,可以通过安全设备的摄像装置采集图像信息,通过图像信息中的人脸信息来确定使用当前安全设备的员工是否为原始登录的那个员工或者当前的工作状态是否非正常,从而达到在监测到其他员工使用或者一段时间内该员工没有使用该安全设备,则执行安全操作,从而保护使用该安全设备登录的员工的业务机密,避免无关人员使用该安全设备执行相应操作的效果。
在本实施例中,在步骤S117中在安全芯片执行安全操作或者调用通讯接口向登录端发送安全操作请求之后,本实施例提供的方法还包括:通过安全设备或登录端向用户提示安全操作信息的步骤。如果安全设备集成有显示屏,在安全芯片执行安全操作(如锁屏操作)后,安全设备的显示屏会显示锁屏状态,在向登录端发送安全操作请求之后,登录端可以将安全操作请求发送至登录处理端,登录处理端在执行安全操作后,由登录处理端向登录端发送安全操作响应;登录端可以控制其显示屏显示安全操作,或者登录端也可以向安全设备发送安全操作响应;安全设备的安全芯片通过通讯接口接收安全操作响应,并调用安全设备的显示屏显示安全操作的提示信息。由此,可以及时通知员工安全操作的状态,一旦员工看到该安全操作的提示信息,就可以知晓已执行该安全操作,如已登出,进而如果需要继续使用该安全设备时可以重新执行登录操作。
在本实施例中,作为一种可选的实施方式,也可以通过安全设备的读卡器与智能卡之间的轮询响应来监测该员工是否还在使用该安全设备。一般来说,员工使用安全设备时会将自己的智能卡放在安全设备的读卡器上,如果智能卡收到读卡器发出的轮询信号,会给读卡器返回轮询响应。如果不使用该安全设备的话,就会在执行安全操作后拿走他的智能卡,读卡器发出轮询信号后,不会再收到该智能卡返回的轮询信号。由此,在监测到其他员工使用或者一段时间内该员工没有使用该安全设备,则由安全芯片控制进入安全保护程序,执行安全操作,例如请求登录处理端执行登出操作或者安全设备执行锁屏或者登录端执行锁屏操作等等,从而保护使用该安全设备登录的员工的业务机密,避免无关人员使用该安全设备执行相应操作。具体地,在步骤S110登录处理端执行登录操作后,本实施例提供的方法还包括以下步骤(SC1-SC7):
步骤SC1,安全设备的安全芯片控制读卡器发送轮询信号;
步骤SC2,智能卡接收轮询信号并返回轮询响应;
步骤SC3,安全芯片监测到读卡器在预设时间内未接收到轮询响应时,调用通讯接口向登录端发送安全操作请求或者执行所述安全操作;
如果在预设时间内没有收到轮询响应,则说明智能卡离开读卡器的通信覆盖范围,则默认为员工离开该安全设备,但忘记执行安全操作,如登出操作。因此,安全芯片可以控制进入安全保护程序,执行安全操作,例如请求登录处理端执行登出操作或者安全设备执行锁屏操作或者请求登录端执行锁屏操作等等,从而保护使用该安全设备登录的员工的业务机密,避免无关人员使用该安全设备执行相应操作。并且,还可以通过安全设备或登录端向用户提示安全操作信息,具体可以参见步骤S117中的描述。
通过本可选实施方式,可以通过安全设备的读卡器与智能卡之间的轮询响应来监测该员工是否还在使用该安全设备,在监测到该员工离开该安全设备后,由安全设备控制进入安全保护程序,执行安全操作,例如,请求登录处理端执行登出操作或者安全设备执行锁屏操作或者请求登录端执行锁屏操作等等,以保护使用安全设备登录的员工的业务机密,避免无关人员使用该安全设备执行相应操作。
实施例2
本实施例也提供一种利用安全设备执行安全操作的方法,采用上文中提到的系统架构。该方法与实施例1中提供的方法的区别在于:安全芯片在接收到第一采集信息后,并没有进行判断,而是调用通讯接口向登录端发送第一采集信息,由登录端进行判断,并根据判断结果执行安全操作或者向登录处理端发送安全操作请求。
其中,利用安全设备读卡登录的步骤与实施例1中的相同,此处不再赘述,可参见附图3。如图5所示,在登录后利用安全设备控制执行安全操作的步骤包括(S211-S218):
步骤S211至步骤S214与实施例1中的步骤S111至步骤S114相同,此处不再赘述。
步骤S215,安全芯片调用通讯接口向登录端发送第一采集信息,登录端接收该第一采集信息;
步骤S216至步骤S218与步骤S115至步骤S117的区别仅在于执行主体不同,本实施例中执行主体是登录端,而实施例1中的执行主体是安全芯片。其中,步骤S217(对应实施例1步骤S116)中,由登录端获取与用户账号关联的用户人脸图片,并判断人脸信息与用户人脸图片是否一致,如果不一致,则登录端执行安全操作或者向登录处理端发送安全操作请求。步骤S218(对应实施例1步骤S116)中,由登录端判断是否至少满足执行安全操作条件之一,如果满足,则登录端执行安全操作或者向登录处理端发送安全操作请求。
其中,登录端可以自己执行安全操作,例如,登录端控制其显示屏锁屏,以禁止用户使用该登录端执行相应操作。登录端也可以向登录处理端发送安全操作请求,登录处理端收到安全操作请求后执行安全操作,例如,登录端向登录处理端发送登出请求,登录处理端执行登出操作,拒绝用户访问办公系统。通过以上方式,都可以达到在监测到其他员工使用或者一段时间内该员工没有使用该安全设备时,禁止用户使用该登录端执行相应操作,以保护该登录的员工的业务机密,避免无关人员使用该安全设备执行相应操作。
其他相关内容可以参见实施例1中步骤S111至步骤S117的具体描述,此处不再赘述。
实施例3
本实施例还提供了一种利用安全设备执行安全操作的系统。采用实施例1的利用安全设备执行安全操作的方法,其具体结构如图1和图2所示。具体设备的功能可以参见实施例1中的具体描述。本实施例仅做简略描述。
如图1和图2所示,该利用安全设备执行安全操作的该系统包括:安全设备10、智能卡20、登录端30和登录处理端40。其中,安全设备10包括:安全芯片101、读卡器102、通讯接口103和摄像装置104;
安全芯片101,用于通过通讯接口103向登录端30输入登录信息,登录信息包括:用户帐号和密码;还用于通过通讯接口103接收校验因子,控制读卡器102向智能卡20发送校验因子;在读卡器102接收校验信息后调用通讯接口103向登录处理端40发送校验信息;还用于通过通讯接口103接收登录成功的响应后,每隔预定的时间间隔向摄像装置104发送采集图像指令;还用于接收摄像装置104返回的第一采集信息;还用于判断第一采集信息是否包含人脸信息,在包含人脸信息的情况下,获取与用户账号关联的用户人脸图片,并判断人脸信息与用户人脸图片是否一致,如果不一致,则调用通讯接口103向登录端30发送安全操作请求或者执行安全操作;在不包含人脸信息的情况下,判断是否至少满足禁用条件之一,如果满足,则调用通讯接口103向登录端发送安全操作请求或者执行安全操作;其中,禁用条件包括:安全芯片101连续接收到的不包含人脸信息的第一采集信息的次数达到预设次数,或者,安全芯片101在第一预设时长内接收到的不包含人脸信息的第一采集信息的累计持续时长超过第二预设时长,其中,第二预设时长小于或等于第一预设时长;
读卡器102,用于向智能卡20发送校验因子;接收校验信息,并传输至安全芯片101;
摄像装置104,用于接收到采集图像指令,将采集到的第一采集信息发送至安全芯片101;
智能卡20,用于接收校验因子,并至少对校验因子进行校验运算得到校验值;向读卡器102发送校验信息,校验信息包括:校验值;
登录端30,用于接收登录信息,生成登录请求,登录请求包括登录信息,向登录处理端40发送登录请求;在接收校验因子后通过通讯接口103向安全芯片101发送校验因子,并在接收到校验信息后向登录处理端40发送校验信息;还用于接收登录处理端40返回的登陆成功的响应,并向安全设备10返回登录成功的响应;还用于接安全操作请求,向登录处理端40发送安全操作请求或者执行安全操作;
登录处理端40,用于接收登录请求,根据登录请求获取登录信息,并生成校验因子,向登录端30发送校验因子;接收校验信息,根据登录信息获取用户帐号和密码,并对用户帐号和密码进行验证,根据校验信息获取校验值,对校验值进行验证,在对用户账号和密码验证通过且对校验值验证通过后,执行登录操作,并向登录端30返回登录成功的响应;还用于在接收到安全操作请求后,执行安全操作。
在本实施例中,安全设备10可以自己执行安全操作,例如,安全芯片101控制其显示屏105锁屏,以禁止用户使用该安全设备执行相应操作。安全设备10也可以向登录端30发送安全操作请求,登录端30接收到该安全操作请求后,可以执行安全操作,例如,登录端30控制其显示屏锁屏,以禁止用户使用该登录端30执行相应操作;登录端30也可以向登录处理端40发送该安全操作请求,登录处理端40收到安全操作请求后执行安全操作,例如,登录端30向登录处理端40发送登出请求,登录处理端40执行登出操作,拒绝用户访问办公系统。通过以上方式,都可以达到在监测到其他员工使用或者一段时间内该员工没有使用该安全设备时,禁止用户使用该安全设备执行相应操作,以保护该登录的员工的业务机密,避免无关人员使用该安全设备执行相应操作。
作为本实施例的一种可选实施方式,安全芯片101,还用于通过通讯接口103接收登录成功的响应后,控制读卡器102发送轮询信号;读卡器102,还用于向智能卡20发送轮询信号;智能卡20,还用于接收轮询信号并返回轮询响应;安全芯片101,还用于监测到读卡器102在预设时间内未接收到轮询响应时,调用通讯接口103向登录端30发送安全操作请求;登录端30,还用于向登录处理端40发送安全操作请求。从而通过安全设备的读卡器与智能卡之间的轮询响应来监测该员工是否还在使用该安全设备,在监测到该员工离开该安全设备后,由安全设备控制进入安全保护程序,执行安全操作,以保护使用安全设备登录的员工的业务机密,避免无关人员使用该安全设备执行相应操作。
作为一种可选的实施方式,本实施例中的安全设备10还包括:显示屏105;登录处理端40,还用于接收到安全操作请求后,执行安全操作,并向登录端30发送安全操作响应;登录端30,还用于向安全设备10发送安全操作响应;安全设备10的安全芯片101,还用于通过通讯接口103接收安全操作响应,并调用安全设备10的显示屏105显示安全操作的提示信息;或者,登录处理端40,还用于向登录端30发送安全操作响应;登录端30,还用于接收安全操作响应,并调用登录端30的显示屏显示安全操作的提示信息。由此,可以及时通知员工安全操作的状态,一旦员工看到该安全操作的提示信息,就可以知晓已执行该安全操作,如已登出,进而如果需要继续使用该安全设备时可以重新执行登录操作。
通过本发明的利用利用安全设备执行安全操作的系统,首先,可以使得持有智能卡的用户可以通过刷卡的方式、利用安全设备安全地登录到登录处理端,不仅可以快速地登录系统,还保证了用户账户的安全性;其次,可以通过安全设备的摄像装置采集图像信息,通过图像信息中的人脸信息来确定使用当前安全设备的员工是否为原始登录的那个员工或者当前的工作状态是否非正常,从而达到在监测到其他员工使用或者一段时间内该员工没有使用该安全设备,则执行安全操作,从而保护使用该安全设备登录的员工的业务机密,避免无关人员使用该安全设备执行相应操作的效果。
实施例4
本实施例也提供一种利用安全设备执行安全操作的系统,采用实施例2的利用安全设备执行安全操作的方法,其具体结构与实施例3提供的系统的结构相同,具体如图1和图2所示。该系统与实施例3中提供的系统的区别在于:安全芯片101在接收到第一采集信息后,并没有进行判断,而是调用通讯接口103向登录端30发送第一采集信息,由登录端30进行判断,并根据判断结果执行安全操作或者向登录处理端40发送安全操作请求。
具体的,安全芯片101,用于通过通讯接口103向登录端30输入登录信息,登录信息包括:用户帐号和密码;还用于通过通讯接口103接收校验因子,控制读卡器102向智能卡20发送校验因子;在读卡器102接收校验信息后调用通讯接口103向登录处理端40发送校验信息;还用于通过通讯接口103接收登录成功的响应后,每隔预定的时间间隔向摄像装置104发送采集图像指令;还用于接收摄像装置104返回的第一采集信息,并向登录端30发送第一采集信息;
登录端30,用于接收登录信息,生成登录请求,登录请求包括登录信息,向登录处理端40发送登录请求;在接收校验因子后通过通讯接口103向安全芯片101发送校验因子,并在接收到校验信息后向登录处理端40发送校验信息;还用于接收登录处理端40返回的登陆成功的响应,并向安全设备10返回登录成功的响应;还用于接收第一采集信息,判断第一采集信息是否包含人脸信息,在包含人脸信息的情况下,获取与用户账号关联的用户人脸图片,并判断人脸信息与用户人脸图片是否一致,如果不一致,则执行安全操作或者向登录处理端40发送安全操作请求;在不包含人脸信息的情况下,判断是否至少满足禁用条件之一,如果满足,则执行安全操作或者向登录处理端40发送安全操作请求;其中,禁用条件包括:登录端30连续接收到的不包含人脸信息的第一采集信息的次数达到预设次数,或者,登录端30在第一预设时长内接收到的不包含人脸信息的第一采集信息的累计持续时长超过第二预设时长,其中,第二预设时长小于或等于第一预设时长。
该系统的装置的具体功能与实施例3中提供的系统的装置的均相同,具体可以参见实施例3中的具体描述。本实施例不再赘述。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
- 还没有人留言评论。精彩留言会获得点赞!