一种基于数字证书的安全NAS认证方法技术

本发明专利技术属于一种NAS电子文件安全管理和NAS安全增强技术领域，具体涉及一种基于数字证书的安全NAS认证方法。该方法增强了NAS系统访问的安全性，用户只有插入USBKEY并输入正确的pin码时才能登录NAS，有效的保护了用户NAS系统电子文件的访问，防止传统访问方式中用户口令的不安全因素。其优点是，它提供的认证方法采用USBKEY数字证书进行安全增强NAS系统的用户身份鉴别及文件访问控制，将该方法用于NAS电子文件安全管理系统的认证过程中，使得NAS系统在无须安装客户端的情况下支持USBKEY数字证书认证，增强NAS系统的安全性，消除用户名、口令方式下口令泄漏或被破解的风险。

A secure NAS authentication method based on digital certificate

The invention belongs to the technical field of NAS electronic document security management and NAS security enhancement, in particular to a secure NAS authentication method based on a digital certificate. This method enhances the security of the NAS system access, users only insert the USBKEY and enter the correct pin code to login to NAS, effective protection of the user NAS system of electronic file access, prevent the unsafe factors in the way of traditional user password access. The advantage is that it provides the authentication method using USBKEY digital certificate to enhance the security of the NAS system user authentication and access control, the methods used for the authentication process of NAS security management system of electronic documents, the NAS system can support USBKEY digital certificate authentication in the case without having to install the client, to enhance the security of NAS system eliminate the risk, the user name and password mode password leak or break.

【技术实现步骤摘要】
一种基于数字证书的安全NAS认证方法
本专利技术属于一种NAS(网络附加存储，NetworkAttachedStorage)电子文件安全管理和NAS安全增强
，具体涉及一种基于数字证书的安全NAS认证方法。
技术介绍
NAS是一种网络文件共享服务器，使用标准CIFS协议进行文件传输，可以为用户提供文件上传，下载，分享等功能，广泛应用于各个行业和企业，为用户进行文件的备份及共享提供了方便。NAS服务器的认证方式一般是通过用户名和口令方式进行，甚至可以匿名登录，但不能直接支持USBKEY数字证书进行认证与登陆，这为文件共享的安全性埋下了隐患。涉密信息系统以及对文件安全保护要求较高的网络信息系统，不同的文件根据保护程度划分为不同的保护等级，如：非密、内部、秘密、机密等。涉密信息系统中需要大量的文件共享，但只能通过NAS服务器来解决，而NAS服务器本身的认证方式并不安全，容易被窃取密码或被非法的用户冒名访问，因此，需要设计一种NAS服务器的认证方法，提供基于数字证书的安全增强认证方式。activeX是IE支持的一种控件，网页开发人员可以通过编写activeX控件并嵌入到网页中，完成对客户端的一些需要授权的操作。USBKEY认证是目前主流的身份认证方式，因为采用硬件和软件结合，较传统的用户名+口令认证方式有更高的安全性。
技术实现思路
本专利技术的目的是提供一种基于数字证书的安全NAS认证方法，该方法增强了NAS系统访问的安全性，用户只有插入USBKEY并输入正确的pin码时才能登录NAS，有效的保护了用户NAS系统电子文件的访问，防止传统访问方式中用户口令的不安全因素。本专利技术是这样实现的，一种基于基于数字证书的安全NAS认证方法，它包括以下步骤：步骤1：用户访问NAS服务器时，用户将USBKEY插入客户端电脑，并登录NAS服务器的web登录界面，输入正确的pin码，浏览器调用取得用户的USBKEY中的数字证书，并发往CA进行认证，当认证通过后，可页面跳转到用于连接NAS的web页面；步骤2：用于连接NAS的web页面中包含一个ActiveX控件，NAS服务器随机生成动态口令，并通过加密信道发送给ActiveX控件，ActiveX控件缓存该动态口令，ActiveX提供一个功能按钮，用于连接NAS；步骤3：用户点击ActiveX的打开NAS功能按钮，ActiveX使用已缓存的动态口令连接NAS，并使用windows资源管理器展示NAS上的文件；步骤4：web页面设有超时值，当web页面空闲时间达到设定的超时值后，页面将自动失效，此时使用ActiveX控件将NAS服务器的随机生成动态口令清空。采用数字证书方式来登录web，并利用页面中嵌入ActiveX来与NAS服务器交互获取动态口令。使用动态口令的方式来与NAS服务器建立连接。当页面被关闭时，ActiveX能够清空动态口令，并使到NAS服务器的连接失效。本专利技术的优点是，它提供的认证方法采用USBKEY数字证书进行安全增强NAS系统的用户身份鉴别及文件访问控制，将该方法用于NAS电子文件安全管理系统的认证过程中，使得NAS系统在无须安装客户端的情况下支持USBKEY数字证书认证，增强NAS系统的安全性，消除用户名、口令方式下口令泄漏或被破解的风险。具体实施方式下面结合实施例对本专利技术进行详细介绍：硬件组成包括：NAS服务器、PC机、NAS电子文件安全管理系统。NAS电子文件安全管理系统采用B/S模式，采用数字证书认证的方式。NAS电子文件安全管理系统或NAS安全增强系统以中间件的形式部署在NAS存储和用户PC之间，将用户所有的认证请求都通过该系统进行，用户通过浏览器以WEB方式认证登陆后再进行NAS文件的访问。一种基于数字证书的安全NAS认证方法，包括以下步骤：步骤1：用户访问NAS服务器时，用户先将USBKEY插入客户端电脑，并在WEB登录界面输入正确的pin码，基于数字证书的NAS认证系统将通过浏览器调用取得用户的USBKEY中的数字证书，并发往CA(认证中心，为负责验证证书有效性的服务器)进行认证，当认证通过后，本系统针对该用户生成一次性动态的NAS登录密码；步骤2：页面中包含用于用户打开NAS服务器的ActiveX，该控件的作用是利用NAS服务器随机生成的随机生成动态口令发起NAS是将该密码缓存到本地，这样登录NAS服务器的用户打开NAS服务器时就不再需要输入密码。一次性动态口令为具有较强复杂度的安全口令，密码位数及复杂度均满足保密要求，由NAS认证系统服务器通过密文发送ActiveX，用户不能获取和直接使用该密码，保证了认证过程的安全性。步骤3：将页面跳转到登录NAS服务器的页面，该页面包含一个用于打开NAS服务器的链接，用户点此链接可以访问NAS服务器。亦可通过windows的资源管理器中输入NAS服务器的地址来访问NAS服务器。步骤4：web页面设有超时值，当web页面空闲时间达到设定的超时值后，页面将自动失效，此时使用ActiveX控件将NAS服务器的随机生成动态口令清空。这样即使非法获得了NAS服务器的登录口令，由于该口令是一次性的，用户不能再用此口令登录NAS服务器，而只能通过USBKEY和PIN码先登录web，认证通过后才能获得使用NAS的权限。在没有获得USBKEY及PIN码的情况下，无法登陆NAS服务器，因此保证了NAS服务器的安全性，避免了口令泄露带来的损失。本文档来自技高网...

【技术保护点】
一种基于数字证书的安全NAS认证方法，其特征在于：它包括以下步骤：步骤1：用户访问NAS服务器时，用户将USBKEY插入客户端电脑，并登录NAS服务器的web登录界面，输入正确的pin码，浏览器调用取得用户的USBKEY中的数字证书，并发往CA进行认证，当认证通过后，可页面跳转到用于连接NAS的web页面；步骤2：用于连接NAS的web页面中包含一个ActiveX控件，NAS服务器随机生成动态口令，并通过加密信道发送给ActiveX控件，ActiveX控件缓存该动态口令，ActiveX提供一个功能按钮，用于连接NAS；步骤3：用户点击ActiveX的打开NAS功能按钮，ActiveX使用已缓存的动态口令连接NAS，并使用windows资源管理器展示NAS上的文件；步骤4：web页面设有超时值，当web页面空闲时间达到设定的超时值后，页面将自动失效，此时使用ActiveX控件将NAS服务器的随机生成动态口令清空。

【技术特征摘要】
1.一种基于数字证书的安全NAS认证方法，其特征在于：它包括以下步骤：步骤1：用户访问NAS服务器时，用户将USBKEY插入客户端电脑，并登录NAS服务器的web登录界面，输入正确的pin码，浏览器调用取得用户的USBKEY中的数字证书，并发往CA进行认证，当认证通过后，可页面跳转到用于连接NAS的web页面；步骤2：用于连接NAS的web页面中包含一个ActiveX控件，NAS服务器随机生成动态口令，并通过加密信道发送给ActiveX控件，ActiveX控件缓存该动态口令，ActiveX提供一个功能按钮，用于连接NAS；步骤3：用户点击ActiveX的打开NAS功能按钮，ActiveX使用已缓存的动态口令连接NAS，...

【专利技术属性】
技术研发人员：姚传奇，石春刚，张海涛，李静，张永静，张军锋，李世成，
申请(专利权)人：北京京航计算通讯研究所，
类型：发明
国别省市：北京,11