一种基于UKey认证的双重认证安全接入系统及方法技术方案

本发明专利技术提供一种基于UKey认证的双重认证安全接入系统，包括运维专机及与运维专机通信连接的身份权限验证系统，所述身份权限验证系统包括后台管理系统、身份权限验证模块以及Ukey；所述身份权限验证模块，用于检测操作人员的UKey插入状态，UKey插入检测通过后，读取UKey中存储的操作人员身份信息和以及运维专机传送的操作系统登陆信息，根据后台管理系统存储的对应关系对操作人员身份和权限进行验证，若验证通过则下发与操作人员身份信息对应的应用系统的操作权限给身份权限验证模块。本发明专利技术通过UKey权限验证与常规账号的双重认证，增强了可靠性和安全性，避免因非系统管理(业务)人员对应用系统造成的误操作及未知后果。

A Dual Authentication Security Access System and Method Based on UKey Authentication

The invention provides a dual authentication and secure access system based on UKey authentication, including an operation and maintenance special plane and an authentication system for communication connection with the operation and maintenance special plane. The authentication system includes a background management system, an authentication module and a Ukey; the authentication module is used to detect the UKey insertion status of the operator, and after the UKey insertion detection has passed, the authentication system includes a background management system, an authentication module and a Ukey. Read the operator's identity information stored in UKey and the landing information of the operation system transmitted by the operation and maintenance special plane, verify the operator's identity and authority according to the corresponding relationship stored in the background management system, and send the operation authority of the application system corresponding to the operator's identity information to the authentication module if the authentication is passed. The invention enhances reliability and security by double authentication of UKey authority verification and conventional account, and avoids misoperation and unknown consequences caused by non-system management (business) personnel on Application system.

【技术实现步骤摘要】
一种基于UKey认证的双重认证安全接入系统及方法
本专利技术涉及电力行业运维专机的权限监管，具体是一种基于UKey认证的双重认证安全接入系统及方法。
技术介绍
如图1所示，国家电网公司内配备专用的电脑终端用于日常信息系统的运维工作，操作人员通过个人专用的运维专机(B0)进行日常信息系统的相关操作，不同的操作人员(A1-A3)所担任的角色不同，所拥有的权限也不同。当前，不论哪种角色的操作人员，只要能登陆运维专机(B0)的操作系统，得到非本人负责应用系统(C1-CN)的管理账号，便可在无监管情况下进行任何操作，由此可能因非法操作而造成一些的未知的后果。目前，使用UKey的主要有各个银行的网银UKey和国网公司协同办公系统，但UKey只能针对单一的系统进行授权认证，无法完成单UKey对多应用系统的授权认证。
技术实现思路
针对现有技术存在的上述不足，本专利技术提供一种基于UKey认证的双重认证安全接入系统及方法，可以对操作人员访问应用系统时进行UKey加账号双重认证，使得权限范围以外的操作无法执行，实现单UKey对多应用系统的授权认证，保证应用系统的安全性。一种基于UKey认证的双重认证安全接入系统，包括运维专机及与运维专机通信连接的身份权限验证系统，所述身份权限验证系统包括后台管理系统、身份权限验证模块以及Ukey；所述运维专机，用于接收操作人员输入的运维专内操作系统的登录信息，登录验证通过后在启动应用系统之前启动身份权限验证系统；所述Ukey，与身份权限验证模块通信连接，用于存储操作人员的身份信息；所述后台管理系统，与所述身份权限验证模块连接，用于存储操作人员身份信息与操作系统登陆信息、应用系统的操作权限的对应关系；所述身份权限验证模块，用于检测操作人员的UKey插入状态，UKey插入检测通过后，读取UKey中存储的操作人员身份信息和以及运维专机传送的操作系统登陆信息，根据后台管理系统存储的对应关系对操作人员身份和权限进行验证，若验证通过则下发与操作人员身份信息对应的应用系统的操作权限给身份权限验证模块。进一步的，所述操作系统登陆信息包括操作人员输入的专用账号和密码。进一步的，所述运维专机为平板电脑或移动通信智能终端。进一步的，所述身份权限验证模块在未检测到操作人员UKey或检测到当前操作系统登陆信息和UKey使用人的身份信息不一致，操作系统将自动退出至登陆界面。一种基于UKey认证的双重认证安全接入方法，使用上述系统进行，所述方法包括如下步骤：步骤一、所述运维专机接收操作人员输入的运维专内操作系统的登录信息，登录验证通过后在启动应用系统之前启动身份权限验证系统；步骤二、所述身份权限验证模块检测操作人员的UKey插入状态，UKey插入检测通过后，读取UKey中存储的操作人员身份信息和以及运维专机传送的操作系统登陆信息，根据后台管理系统存储的对应关系对操作人员身份和权限进行验证，若验证通过则下发与操作人员身份信息对应的应用系统的操作权限给身份权限验证模块。进一步的，所述操作系统登陆信息包括操作人员输入的专用账号和密码。进一步的，所述运维专机为平板电脑或移动通信智能终端。进一步的，还包括步骤：所述身份权限验证模块在未检测到操作人员UKey或检测到当前操作系统登陆信息和UKey使用人的身份信息不一致，操作系统将自动退出至登陆界面。本专利技术通过UKey权限验证与常规账号的双重认证，增强了可靠性和安全性，避免因非系统管理(业务)人员对应用系统造成的误操作及未知后果。附图说明图1是现有运维专机权限验证系统的结构示意图；图2本专利技术基于UKey认证的双重认证安全接入系统其中一个实施例的结构示意图。具体实施方式下面将结合本专利技术中的附图，对本专利技术中的技术方案进行清楚、完整地描述。图2所示为本专利技术基于UKey认证的双重认证安全接入系统其中一个实施例的结构示意图，所述系统包括运维专机10及与运维专机10通信连接的身份权限验证系统20。所述运维专机10可设计为平板电脑或移动通信智能终端，具有数据采集、存储、信息处理、有线或无线通信等功能，其内部安装有操作各应用系统的操作系统。所述运维专机10用于接收操作人员(01-03)输入的运维专机(10)内操作系统的登录信息(例如账号和密码)，所述运维专机10内的操作系统首先启动必要的系统服务后，再启动其他用户服务前，启动身份权限验证系统20进行权限认证。所述身份权限验证系统20包括后台管理系统21、身份权限验证模块22以及Ukey23(USBKey，硬件数字证书载体)。UKey是一种通过USB(通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。Ukey是对现行的网络安全体系是一个极为有力的补充，通过中国信息安全测评认证中心认证的网络安全产品，基于可信计算机及智能卡技术把易用性，便携性和最高级别的安全性带给了使用MicrosoftIE或NetscapeNavigator进行Web访问，在线交易(例如购物或付款)，收发电子邮件，在线聊天交友及表单签名，文件数字签名等操作的用户，保证用户在Ukey下的操作不可篡改和抵赖。Ukey最大的特点就是安全性高，技术规范一致性强，操作系统兼容性好，携带使用灵活。USBKey作为个人身份认证和数字签名终端，已经被广泛应用于网银、电子政务等领域。所述Ukey23通过USB接口接入身份权限验证系统20，与身份权限验证模块22实现通信连接，所述后台管理系统21与所述身份权限验证模块22连接。所述后台管理系统21，用于管理和配置操作人员(01-03)的权限，并存储各操作人员所对应的应用系统的操作权限；所述UKey23用于存储操作人员(01-03)的身份信息，例如身份ID、联系方式、身份证号码等可以代表操作人员身份的各种信息；所述后台管理系统21，与所述身份权限验证模块22连接，用于存储操作人员身份信息与操作系统登陆信息(例如操作人员转用账号)、应用系统的操作权限的对应关系；所述身份权限验证模块22可为验证系统预装的系统软件，用于检测操作人员的UKey23插入状态，UKey23插入检测通过后，读取UKey23中存储的操作人员身份信息和以及运维专机10传送的操作系统登陆信息(操作人员输入的专用账号和密码)，若操作人员身份信息与操作系统登陆信息(例如操作人员输入的专用账号)一致，则验证通过，下发与操作人员身份信息对应的应用系统的操作权限给运维专机10，否则验证不通过，将验证结果信息下发给运维专机10。运维专机10根据下发的操作权限控制操作人员启动相应权限的应用系统。操作人员(01-03)无权对身份权限验证模块22进行任何操作。所述基于UKey认证的双重认证安全接入系统的工作过程及原理介绍如下：登陆运维专机(10)操作系统：操作人员(01-03)使用预先分配专用账号和密码登陆运维专机(10)的操作系统，登录验证通过后，运维专机(10)的操作系统首先启动必要的系统、网络服务和身份权限认证模块22。身份权限认证模块(22)检测操作人员(01-03)UKey(23)插入状态，操作人员(01-03)UKey(23)插入检测通过，身份权限认证模块(22)读取操作人员(01-03)UKey(23)中存储的操作人员(01-03)身份信息和操作系统登陆信息(即专本文档来自技高网...

【技术保护点】
1.一种基于UKey认证的双重认证安全接入系统，其特征在于：包括运维专机(10)及与运维专机(10)通信连接的身份权限验证系统(20)，所述身份权限验证系统(20)包括后台管理系统(21)、身份权限验证模块(22)以及Ukey(23)；所述运维专机(10)，用于接收操作人员输入的运维专(10)内操作系统的登录信息，登录验证通过后在启动应用系统之前启动身份权限验证系统(20)；所述Ukey(23)，与身份权限验证模块(22)通信连接，用于存储操作人员的身份信息；所述后台管理系统(21)，与所述身份权限验证模块(22)连接，用于存储操作人员身份信息与操作系统登陆信息、应用系统的操作权限的对应关系；所述身份权限验证模块(22)，用于检测操作人员的UKey(23)插入状态，UKey(23)插入检测通过后，读取UKey(23)中存储的操作人员身份信息和以及运维专机(10)传送的操作系统登陆信息，根据后台管理系统(21)存储的对应关系对操作人员身份和权限进行验证，若验证通过则下发与操作人员身份信息对应的应用系统的操作权限给身份权限验证模块(22)。

【技术特征摘要】
1.一种基于UKey认证的双重认证安全接入系统，其特征在于：包括运维专机(10)及与运维专机(10)通信连接的身份权限验证系统(20)，所述身份权限验证系统(20)包括后台管理系统(21)、身份权限验证模块(22)以及Ukey(23)；所述运维专机(10)，用于接收操作人员输入的运维专(10)内操作系统的登录信息，登录验证通过后在启动应用系统之前启动身份权限验证系统(20)；所述Ukey(23)，与身份权限验证模块(22)通信连接，用于存储操作人员的身份信息；所述后台管理系统(21)，与所述身份权限验证模块(22)连接，用于存储操作人员身份信息与操作系统登陆信息、应用系统的操作权限的对应关系；所述身份权限验证模块(22)，用于检测操作人员的UKey(23)插入状态，UKey(23)插入检测通过后，读取UKey(23)中存储的操作人员身份信息和以及运维专机(10)传送的操作系统登陆信息，根据后台管理系统(21)存储的对应关系对操作人员身份和权限进行验证，若验证通过则下发与操作人员身份信息对应的应用系统的操作权限给身份权限验证模块(22)。2.如权利要求1所述的基于UKey认证的双重认证安全接入系统，其特征在于：所述操作系统登陆信息包括操作人员输入的专用账号和密码。3.如权利要求1所述的基于UKey认证的双重认证安全接入系统，其特征在于：所述运维专机(10)为平板电脑或移动通信智能终端。4.如权利要求1所述的基于UKey认证的双重认证安全接入系统，其特征在于...

【专利技术属性】
技术研发人员：沈魁，庹宝林，刘勇昊，向灏帆，张烨，
申请(专利权)人：国家电网有限公司，湖北华中电力科技开发有限责任公司，
类型：发明
国别省市：北京,11