UKey认证方法与安全配置检查工具技术

本发明专利技术公开一种UKey认证方法及安全配置检查工具，无需网络，利用客户端与UKey的交互与数据传输，即可实现有效的身份认证；对用户与待检查设备进行认证，只有认证通过才能进行数据存储工作，能避免无效的数据读写；其次获取设备的配置信息后，调用预设规则进行相应配置项内容的检查，并输出检查结果表，有利于提高配置检查的效率和可靠性，提高现场支持人员的操作便利度。的操作便利度。

【技术实现步骤摘要】
UKey认证方法与安全配置检查工具


[0001]本专利技术属于信息安全
，尤其是涉及一种UKey认证方法以及应用该认证方法的安全配置检查工具。

技术介绍

[0002]随着网络服务与应用的广泛使用，承载这些服务和应用的数据服务器与网络设备的安全性逐渐引起重视。信息安全等级保护是对信息和信息载体按照重要性等级分别进行保护的一种工作。信息安全等级保护测评工作是等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检查评估的活动。等级保护测评工作涉及的信息系统范围广，敏感性强。
[0003]目前在进行等级保护测评技术部分测评时，大多数使用的方式都是特定类型的检测工具，比如主机配置检查工具、网络及安全设备配置检查工具、弱口令检查工具、数据库安全检查工具、网站安全检查工具、系统漏洞检查工具等。
[0004]实际中，网络设备的管理者对设备的安全配置的缺陷，给攻击者以可乘之机，使设备及数据暴露在威胁中，极易造成无法挽回的损失。因此，为了避免网络设备的配置缺陷，网络管理员通常会定期的对网络设备的配置进行检查，对不符合安全配置规范的网络设备进行安全加固。现有的网络及安全设备配置检查工具配置检查技术，缺乏对检查用户以及待检查设备进行认证，容易造成工具的过度使用，以及难以进行有效的信息安全管理。

技术实现思路

[0005]鉴于上述背景，本专利技术提出一种UKey认证方法及安全配置检查工具，实现高效的设备安全认证。
[0006]第一方面，本专利技术提供一种UKey认证方法，包括：输入用户名，发起认证请求；根据UKey名称，从当前已连接的USB设备列表，选定UKey开始认证；验证PIN码，若验证通过则进行下一步，否则结束；从UKey导出并解析证书文件，以获取用户信息与及其数字签名，调用本地根证书解密所述数字签名，若无法解密则认证失败；调用UKey内的私钥对所述用户信息中的用户名进行加密，得到第一签名；调用本地根证书对发起请求的用户名进行加密，得到第二签名；对比所述第一签名与第二签名，若一致则认证通过，否则结束。
[0007]该方法的认证之前，还包括：使用私钥对公钥与用户信息进行加密得到数字签名，将所述公钥、用户信息、私钥与数字签名合并生成p12证书文件，通过管理员工具将所述证书文件导入UKey；所述用户信息包括用户名。
[0008]所述证书文件还经过经Base64编码处理，证书文件导出后先进行转码处理。
[0009]所述根证书包括预装在本地的与所述私钥对应的公钥。
[0010]所述用户信息中还包括剩余可授权设备数与授权时长，设备激活时校验解析用户信息，若判断所述剩余可授权设备数大于1，则保存所述授权时长至本地文件内，并在激活成功后将所述剩余可授权设备数减1，最后调用私钥加密用户信息生成新的数字签名并更新至UKey中。
[0011]第二方面，本专利技术提供一种安全配置检查工具，包括：认证模块，用于保存认证信息并对待检查设备进行认证，若认证通过则将该设备加入任务队列并将其认证信息录入资产信息表，否则结束检查；检查模块，用于获取待检查设备的指定检查项，并根据预设的检查模板逐项匹配以判断当前设备的各配置信息是否合规；存储模块，用于保存所述数据解析模块生成的检查结果，以及获取的待检查设备的当前配置信息。
[0012]所述设备认证模块对待检查设备的认证过程，包括：根据UKey名称，从当前已连接的USB设备列表，选定UKey开始认证；验证PIN码，若验证通过则进行下一步，否则结束；从UKey导出并解析证书文件，以获取用户信息与及其数字签名，调用本地根证书解密所述数字签名，若无法解密则认证失败；调用UKey内的私钥对所述用户信息中的用户名进行加密，得到第一签名；调用本地根证书对发起请求的用户名进行加密，得到第二签名；对比所述第一签名与第二签名，若一致则认证通过，否则结束。
[0013]采用上述技术方案的本专利技术实施例，无需网络，利用客户端与UKey的交互与数据传输，即可实现有效的身份认证；对用户与待检查设备进行认证，只有认证通过才能进行数据存储工作，能避免无效的数据读写；其次获取设备的配置信息后，调用预设规则进行相应配置项内容的检查，并输出检查结果表，有利于提高配置检查的效率和可靠性，提高现场支持人员的操作便利度。
具体实施方式
[0014]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将对本专利技术实施例中的技术方案进行清楚、完整地描述。
[0015]UKey是一种通过USB (通用串行总线接口)直接与计算机相连、具有密码验证功能的USB接口设备，UKey通过USB端口提供的电源来工作，不需要额外的电源；UKey自身所具备的存贮可以用来存储一些个人信息或证书，UKey的内部密码算法可以为数据传输提供安全的管道，UKey是适用于单机或网络应用的身份认证安全防护产品，是一种高效的安全认证解决方案。
[0016]安全系统自身的安全性是首先要考虑的问题，采用uKey实现身份认证的具有较高的安全性：1）用户私钥的双重保护用户数字证书及个人密钥保存在uKey中。身份验证时，使用对称加密算法对用户私钥进行加密处理。由于私钥不通过网络传输，因此攻击者不可能从截获的数据中获得用户私钥。此外，uKey的访问密码只在客户端出现，也不通过网络传输。
[0017]2）认证过程的安全性由于对随机数进行签名在uKey内部完成，用于签名的私钥保存在卡内固定区域，并且在签名过程中私钥不会被读出到内存，任何人都无法获得uKey私钥，因此保证了认证过程的安全性。
[0018]3）能抵抗重放攻击由于每次身份验证时，服务器都要发送不同的随机数给客户端，因此，如果攻击者将以前截获的签名信息重放，则不可能认证成功；如果服务器发送的随机数被截获，由于攻击者不能得到用户私钥也不可能将随机数正确签名，因此也不可能认证成功。
[0019]4）能抵抗假冒攻击由于攻击者无法获取用户私钥以及用户uKey的PIN码，因此无法向服务器端发送验证请求，从而无法通过服务器的认证。
[0020]目前常见的Ukey主要是用来进行身份认证，功能尚比较单一，很多都无法适用于待认证设备或用户环境无法连接外网的场景；另一方面，在设备无法适用移动存储设备时，需要反复拷贝license授权激活码来实现设备的激活，不仅容易造成授权泄露而且会降低工作效率。
[0021]实施例一一种UKey认证方法，包括：输入用户名，发起认证请求；根据UKey名称，从当前已连接的USB设备列表，选定UKey开始认证；验证PIN码，若验证通过则进行下一步，否则结束；从UKey导出并解析证书文件，以获取用户信息与及其数字签名，调用本地根证书解密所述数字签名，若无法解密则认证失败；调用UKey内的私钥对所述用户信息中的用户名进行加密，得到第一签名；调用本地根证书对发起请求的用户名进行加密，得到第二签名；对比所述第一签名与第二签名，若一致则认证通过，否则结束。
[0022]该本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种UKey认证方法，其特征在于，包括：输入用户名，发起认证请求；根据UKey名称，从当前已连接的USB设备列表，选定UKey开始认证；验证PIN码，若验证通过则进行下一步，否则结束；从UKey导出并解析证书文件，以获取用户信息与及其数字签名，调用本地根证书解密所述数字签名，若无法解密则认证失败；调用UKey内的私钥对所述用户信息中的用户名进行加密，得到第一签名；调用本地根证书对发起请求的用户名进行加密，得到第二签名；对比所述第一签名与第二签名，若一致则认证通过，否则结束。2.根据权利要求1所述的认证方法，其特征在于，该方法的认证之前，还包括：使用私钥对公钥与用户信息进行加密得到数字签名，将所述公钥、用户信息、私钥与数字签名合并生成p12证书文件，通过管理员工具将所述证书文件导入UKey；所述用户信息包括用户名。3.根据权利要求2所述的认证方法，其特征在于，所述证书文件还经过经Base64编码处理，证书文件导出后先进行转码处理。4.根据权利要求1或2所述的认证方法，其特征在于，所述根证书包括预装在本地的与所述私钥对应的公钥。5.根据权利要求1所述的认证方法，其特征在于，所述用户信息中还包括剩余可授权设备数与授权时长，设备激活时校验解析用户信息，若判...

【专利技术属性】
技术研发人员：孙继奎，李昱辉，
申请(专利权)人：西安捷润数码科技有限公司，
类型：发明
国别省市：