一种终端双因子安全登录防护方法
【技术领域】
[0001]本发明涉及计算机安全技术领域,具体是一种终端双因子安全登录防护方法。
【背景技术】
[0002]登录认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。
[0003]对用户的身份认证基本方法可以分为三种,即(I)基于信息秘密的身份认证;(2)基于信任物体的身份认证;(3)基于生物特征的身份认证。为了达到更高的身份认证安全性,某些场景会将上面3种挑选2种混合使用,即双因子认证。
[0004]普通的USBKEY只验证证书,当USBKEY被他人获得后依旧可以打开目标计算机,且服务器不会知道哪一台客户机被打开,因此这种方式非常不安全。
[0005]当前存在技术问题主要集中于PKI的部署,PKI太复杂庞大了,如果企业中没有部署PKI系统,那么为了这个认证方法而部署PKI有些复杂。因此,如果只有少数几台需要用到USBKEY进行登录计算机,则代价太大;当然如果应用于一些已经部署有PKI,且大量使用USBKEY登录计算机的单位来说,双因子认证技术是一个不错的选择。
【发明内容】
[0006]本发明的目的在于提供一种终端双因子安全登录防护方法,以解决上述【背景技术】中提出的问题。
[0007]为实现上述目的,本发明提供如下技术方案:
一种终端双因子安全登录防护方法,具体操作步骤如下:(1)在服务器端安装审计中心,在客户端安装主机传感器;(2)通过审计中心下发登录监管规则到客户端,并启用登录监管,客户端会自动开启USBKEY认证,USBKEY在量产时会写入用户信息和初始PIN码;(3)将USBKEY插入计算机,输入PIN码,等待验证通过即可。
[0008]与现有技术相比,本发明的有益效果是:
(1)本发明通过PIN码保证了非持有人无法使用,且一旦采取验证,就会向服务器端发送当前客户机的信息和USBKEY信息,从而个人计算机的安全登录;
(2)终端双因子安全登录防护技术在Linux终端登录上采用USBKey认证加口令作为开机登录凭证,使用了驱动级加密技术,有效防止非法访问计算机、机密文件的窃取、修改等非法操作,从而提高个人计算机的安全性;
(3)采用双因子认证技术可以有效地防止非授权用户登录计算机,客户端软件会通过USBKEY的接口去获取USBKEY中的证书以获取用户信息,在匹配成功后要求用户输入USBKEY的PIN码,以确定当前用户是该USBKEY的合法使用者,从而确保个人计算机的安全性。
【具体实施方式】
[0009]下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0010]一种终端双因子安全登录防护方法,(I)在服务器端安装审计中心,在客户端安装主机传感器;(2)通过审计中心下发登录监管规则到客户端,并启用登录监管,客户端会自动开启USBKEY认证,USBKEY在量产时会写入用户信息和初始PIN码;(3)将USBKEY插入计算机,输入PIN码,等待验证通过即可。
[0011 ] USBKEY拥有唯一序列号,绑定KEY时即绑定了唯一序列号,在认证用户信息的同时,还对KEY的合法性进行了检查,以此达到唯一的USBKEY开启指定的电脑。
[0012]本发明方法通过硬件(USB Key)和软件(Client)相结合的方式,基于PKI的安全登录机制,实现了物理身份与用户身份的双重认证,使用数字证书标识用户在终端计算机或域环境下的角色身份与操作系统权限绑定,结合硬件USB Key实现内网终端或域环境的安全登录。
[0013]采用双因子认证技术可以有效地防止非授权用户登录计算机,客户端软件会通过USBKEY的接口去获取USBKEY中的证书以获取用户信息,在匹配成功后要求用户输入USBKEY的PIN码,以确定当前用户是该USBKEY的合法使用者,从而确保个人计算机的安全性;PIN码无法通过软件方式获取,验证工作由USBKEY中的主控芯片完成,并通知客户端软件验证结果。
[0014]使用USB Key认证加口令作为身份认证的凭据,可以有效安全的解决身份确认和行为抵赖的基本问题;采用USBKEY方式登录计算机,安全性更加可靠,登录的同时不论成功与否,客户端都会向服务器发送当前尝试登录计算机的USBKEY中的证书信息(包括用户信息)和当前被尝试登录的计算机的系统信息以及硬件信息,通过这种方式服务器实时能够了解到哪一台电脑被登录以及登录是否成功,也可通过此来判断是否存在非法登录的情况。
[0015]同时,当使用者离开时无须关机以保证信息安全,当USBKEY拔出计算机时,客户端软件会自动将计算机进入锁屏状态,需要插上USBKEY重新认证后方可解锁。
[0016]整个双因子认证系统采用了 PKC#11技术,通过对证书的验证完成对KEY合法性的识别;同时通过主控芯片设置PIN码做到双重保护,做到唯一介质绑定;同时在验证开始后,客户端程序会主动收集计算机信息和USBKEY信息上报服务器,做到实时掌握客户机的使用情况。
[0017]PKC#11是一套完整的操作数字证书的规范,数字证书采取shal的数字签名方式,使证书具有唯一性,使USBKEY具有唯一性。
【主权项】
1.一种终端双因子安全登录防护方法,其特征在于,具体操作步骤如下:(1)在服务器端安装审计中心,在客户端安装主机传感器;(2)通过审计中心下发登录监管规则到客户端,并启用登录监管,客户端会自动开启USBKEY认证,USBKEY在量产时会写入用户信息和初始PIN码;(3)将USBKEY插入计算机,输入PIN码,等待验证通过即可。
【专利摘要】本发明公开了一种终端双因子安全登录防护方法,在服务器端安装审计中心,在客户端安装主机传感器,通过审计中心下发登录监管规则到客户端,并启用登录监管,客户端会自动开启USBKEY认证,USBKEY在量产时会写入用户信息和初始PIN码,将USBKEY插入计算机,输入PIN码,等待验证通过即可。本发明采用终端双因子安全登录防护,采用USB Key认证加口令作为开机登录凭证,使用了驱动级加密技术,有效防止非法访问计算机、机密文件的窃取以及修改等非法操作,从而提高个人计算机的安全性。
【IPC分类】H04L9-32, H04L29-06
【公开号】CN104735085
【申请号】CN201510176375
【发明人】高广涛, 徐彭城
【申请人】上海汉邦京泰数码技术有限公司
【公开日】2015年6月24日
【申请日】2015年4月15日