本发明专利技术涉及到信息技术领域中加密机的身份鉴别和验证,尤其是一种带有身份鉴别机制的加密机认证方法及装置。本发明专利技术针对现有技术存在的问题,提供一种加密机认证方法及装置,加密机从用户登录口令和检测终端密码模块是否与加密机相连两个方面,进行用户身份鉴别,排除非法用户,增强了加密机的安全性。本发明专利技术首先是用户进行加密机口令认证登录;当用户登录口令认证通过加密机认证登录后,进行加密机USB端口的PIN码验证;当用户通过加密机USB端口的PIN码验证后,则能进行加密机授权操作;若未通过PIN码验证,则加密机锁定;当终端密码模块未插入加密机USB端口,则加密机自动锁定。当用户登录口令认证失败超过N次,则加密机锁定。
【技术实现步骤摘要】
一种带有身份鉴别机制的加密机认证方法及装置
本专利技术涉及到信息
中加密机的身份鉴别和验证,具体地讲是一种带有身份鉴别机制的加密机认证方法及装置。
技术介绍
加密机将密码技术、高性能并发处理技术、网络安全技术、设备自身安全防护技术、高可用性技术等多种先进技术有机融合在一起,构建出保障信息安全的软硬件支撑环境,为信息化基础设施和信息安全保障体系建设提供自主可控的数据安全保障服务。 随着加密机大规模的部署,如何实现加密机的授权使用,如何确保加密机自身的安全,这变成当今行业一个热门的研究课题。本加密机采用终端密码模块硬件USB KEY认证与传统用户登录口令认证相结合的方式,即使有非法窃听者获取用户登录口令,其也因为没有终端密码模块硬件USB KEY,而被加密机判断为非法用户,从而保障加密机自身的信息安全。
技术实现思路
本专利技术所要解决的技术问题是:针对上述存在的问题,提供一种带有身份鉴别机制的加密机认证方法及装置。加密机从用户登录口令和检测终端密码模块硬件USB KEY是否与加密机相连(通过该USB KEY的PIN码验证)两个方面进行识别,进行用户身份鉴别,排除非法用户,从而增强了系统的整体安全性。 本专利技术采用的技术方案如下:一种带有身份鉴别机制的加密机认证方法包括:步骤1:用户通过用户登录口令进行加密机认证登录;当用户登录口令认证通过加密机认证登录后,进行加密机USB端口的PIN码验证;当用户登录口令认证失败超过N次,则加密机锁定,需要系统管理员解锁;N为3到5。 步骤2:当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后,用户则能进行加密机授权操作;当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时,则加密机锁定,执行步骤I ;当终端密码模块未插入加密机USB端口,则加密机自动锁定,执行步骤I ;进一步的,在步骤2中当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证,在用户能进行加密机授权操作之后,还包括:步骤3:当加密机USB端口的终端密码模块从加密机USB端口中拔掉,则加密机自动锁定,并保存当前用户操作环境,执行步骤4 ;步骤4:当原用户返回加密机进行操作时,原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证,执行步骤5 ;否则,当原用户返回之前有另外的用户进行操作时,加密机保存的当前用户环境就被注销;步骤5:返回保存当前用户操作环节,用户能进行加密机授权操作。 进一步的,所述终端密码模块是USB KEY ,USB KEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USB KEY。 进一步的,所述用户只能对所述USB KEY进行读操作。 进一步的,当所述用户通过加密机USB端口的PIN码验证后,能修改用户登录口令。 一种带有身份鉴别机制的加密机认证装置包括:终端密码模块,用于进行加密机USB端口的PIN码验证;加密机,用于当用户登录口令认证通过加密机认证登录后,进行加密机USB端口的PIN码验证;然后,当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后,用户则能进行加密机授权操作;当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时,则加密机锁定,执行步骤I ;当终端密码模块未插入加密机USB端口,则加密机自动锁定,执行步骤I ;其中当用户登录口令认证失败超过N次,则加密机锁定,需要系统管理员解锁;N为3到5 ;进一步的,当所述加密机USB端口的终端密码模块从加密机USB端口中拔掉,则加密机自动锁定,并保存当前用户操作环境;然后当原用户返回加密机进行操作时,原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证,能返回到保存的当前用户操作环节,原用户能进行加密机授权操作;否则,当原用户返回之前有另外的用户进行操作时,力口密机保存的原用户环境就被注销。 进一步的,所述终端密码模块是USB KEY ,USB KEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USB KEY。 进一步的,所述用户只能对所述USB KEY进行读操作。 进一步的,当所述用户通过加密机USB端口的PIN码验证后,能修改用户登录口令。 综上所述,由于采用了上述技术方案,本专利技术的有益效果是:所述加密机需要有终端密码模块硬件(如USB KEY)插入到加密机的USB端口才能进行加密机操作系统的登录,除了原持有终端密码模块硬件USB KEY的操作者外,任何人都不能进入加密机操作系统环境。加密机操作者临时有事离开,拔掉终端密码模块硬件USB KEY,加密机自动锁定,并把用户的工作环境保留下来,其他非授权用户不能进行任何操作。只有等原用户回来后把原终端密码模块硬件USB KEY插入,并通过PIN码验证,系统才会解除锁定。本系统将传统口令登录的方式升级为需要硬件USB KEY的认证加上软件口令认证才能登录,从而完成对系统使用者的身份鉴别,大大提高加密机的安全性。 加密机用户身份鉴别机制是强制性的,任何需要操作加密机的操作者都需要进行身份鉴别,当操作者被判定为合法用户时,才能正常操作加密机,否则无法操作加密机。 用户需要申请终端密码模块硬件USB KEY,管理中心依据用户情况对用户进行某台或某几台加密机的使用进行授权。所有授权信息保存在终端密码模块硬件USB KEY中,并且以加密的形式进行存储。用户只对其中信息有读权限,无写权限。同时,此用户仅对被授权使用的加密机有使用权;对于未授权使用的加密机,此用户不能进行登陆和使用该类加密机。 用户在加密机USB端口的PIN码验证成功后,可以根据自己的偏好修改登用户登录口令。 在加密机大规模部署过程中,登录口令往往会被窃取者通过偷窥,木马程序等方式非法获得,这对加密机的重要数据带来极大的安全隐患。本加密机采用从软件(用户登录口令)和硬件(检测终端密码模块USB KEY是否与加密机相连)两个方面进行用户身份鉴别。非法用户如果没有终端密码模块硬件USB KEY,即使非法获得加密机登录口令也无法访问加密机,也从而增强了加密机的整体安全性。 另外,不少加密机使用者常常因为有急事需要临时离开加密机,但不少会忘记锁定加密机,这样就给犯罪分子带来机会。使用本专利技术所设计的一种带有身份鉴别机制的加密机及工作方法,用户只需从USB端口拔掉终端密码模块硬件USB KEY,加密机会强制自动锁定,再次登陆加密机时,需要强制进行用户身份鉴别,保证只有合法用户才能操作加密机,从而减小非法使用加密机的风险。 【具体实施方式】 本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。 本说明书(包括任何附加权利要求、摘要)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。 1、管理中心需要提前安装相应的密码软件模块到相应的加密机。一旦有用户需要操作这些加密机时,需要向管理中心提出申请,通过审批后获得一个唯一的终端密码模块本文档来自技高网...
【技术保护点】
一种带有身份鉴别机制的加密机认证方法,其特征在于包括:步骤1:用户通过用户登录口令进行加密机认证登录;当用户登录口令认证通过加密机认证登录后,进行加密机USB端口的PIN码验证;当用户登录口令认证失败超过N次,则加密机锁定,需要系统管理员解锁;N为3到5;步骤2:当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后,用户则能进行加密机授权操作;当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时,则加密机锁定,执行步骤1;当终端密码模块未插入加密机USB端口,则加密机自动锁定,执行步骤1。
【技术特征摘要】
1.一种带有身份鉴别机制的加密机认证方法,其特征在于包括: 步骤1:用户通过用户登录口令进行加密机认证登录;当用户登录口令认证通过加密机认证登录后,进行加密机USB端口的PIN码验证;当用户登录口令认证失败超过N次,则加密机锁定,需要系统管理员解锁;N为3到5 ; 步骤2:当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后,用户则能进行加密机授权操作;当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时,则加密机锁定,执行步骤I ;当终端密码模块未插入加密机USB端口,则加密机自动锁定,执行步骤I。2.根据权利要求1所述的一种带有身份鉴别机制的加密机认证方法,其特征在于在步骤2中当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证,在用户能进行加密机授权操作之后,还包括: 步骤3:当加密机USB端口的终端密码模块从加密机USB端口中拔掉,则加密机自动锁定,并保存当前用户操作环境,执行步骤4 ; 步骤4:当原用户返回加密机进行操作时,原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证,执行步骤5 ;否则,当原用户返回之前有另外的用户进行操作时,加密机保存的当前用户环境就被注销; 步骤5:返回保存 当前用户操作环节,用户能进行加密机授权操作。3.根据权利要求1或2所述的一种带有身份鉴别机制的加密机认证方法,其特征在于所述终端密码模块是USB KEY,USB KEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USB KEY。4.根据权利要求3所述的一种带有身份鉴别机制的加密机认证方法,其特征在于所述用户只能对所述USB KEY进行读操作。5.根据权利要求4所述的一种带有身份鉴别机制的加密机认证方法,其特征在于...
【专利技术属性】
技术研发人员:杨勇,袁健,
申请(专利权)人:成都卫士通信息产业股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。