一种身份验证与权限管理方法和设备
(19)中华人民共和国国家知识产权局
电脑密码忘记了
(12)发明专利说明书
(10)申请公布号 CN 103942478 A
(43)申请公布日 2014.07.23
(21)申请号 CN201310022231.8
(22)申请日 2013.01.22
(71)申请人 浙江安科网络技术有限公司
    地址 310012 浙江省杭州市西湖区教工路6号求是大厦16楼B座
(72)发明人 郁东明
(74)专利代理机构
    代理人
(51)Int.CI
      G06F21/32
      G06F21/34
      H04L9/32
                                                                  权利要求说明书 说明书 幅图
(54)发明名称
      一种身份验证与权限管理方法和设备
(57)摘要
      本发明是一种身份验证与权限管理方法和设备,涉及计算机软件、硬件及网络通信技术。该发明采用身份认证与需要进入的主机分离开的方法,可选IC卡、RFID射频卡、身份证、指纹识别器和密码器等身份识别手段,根据灵活的权限配置赋予合法用户键盘、鼠标操作权限,记录身份审核日志。该发明采用独立的身份认证和权限控制装置,可以更有效的保护电脑不被非法使用,满足重要核心企业如发电企业、国家电网公司和石油化工等工业领域对DCS生产控制系统运维人员安全管理和审计的需求。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种身份验证的方法,其特征在于至少包括如下步骤:           
(1)启动身份验证装置;           
(2)身份认证装置向安全防护与安全审计服务器认证注册;           
(3)如认证未通过,安全防护与安全审计服务器断开与身份验证装置的连接;           
(4)认证通过,身份认证装置可以通过IC卡/RFID卡/二代身份证读卡器、指纹、密码器读取用            户身份;           
(5)身份验证装置将用户身份信息上传到安全防护与安全审计服务器;           
(6)如果安全防护与安全审计服务器认证用户身份通过,则指示身份人证装置接通被控工作站的            键盘与鼠标连接;           
(7)用户可以通过鼠标和键盘操作DCS系统或其它被保护电脑;           
(8)用户在被控工作台上注销,安全防护与安全审计服务器指示身份人证装置断开DCS系统或其            它被保护电脑的键盘与鼠标连接。           
2.一种按照权利1所述的方法实现身份验证的装置,该装置至少包括:为一嵌入式设备,为一独立            系统,具有CPU、内存、单独供电;具有两个或以上的USB接口,IC卡/RFID卡/二代身份证读卡            器、指纹器、密码器通过USB与身份验证装置连接,安全数据交换装置具有两个或以上的以太网            口,身份验证装置有一个PS2或USB键盘输入接口,一个PS2或USB鼠标输入接口,用于与控            制DCS系统或其它被保护电脑的键盘和鼠标连接,身份验证装置有一个PS2或USB键盘输出接口,            通过PS2或USB连接线与DCS系统或其它被保护电脑的键盘和鼠标输入连接。身份验证装置有一            个键盘和鼠标控制模块,根据身份验证的结果来控制键盘和鼠标与DCS系统或其它被保护电脑的            接通与断开。其特征在于,该装置为一独立设备,与DCS系统或其它被保护电脑分离开,该装置   
        能够接入不同的身份阅读设备,能够上传身份阅读设备得到的用户身份信息到安全防护与安全审            计服务器,根据安全防护与安全审计服务器身份验证的结果接通和断开键盘和鼠标的连接。           
说  明  书
<p>技术领域       
本发明涉及计算机软件、硬件及网络通信技术,是提供一种电脑系统操作维护人员身份认证和权限控        制的方法和设备。       
背景技术       
大型核心企业如银行、发电站、石油化工和军工企业等,身份认证体系对保障企业内部的业务和生产        系统的安全运营起着至关重要的作用。       
身份认证是在计算机网络中确认操作者身份的过程。身份认证可分为用户与主机间的认证和主机与主        机之间的认证。用户与主机之间的认证可以基于如下一个或几个因素:用户所
知道的东西,例如口令、密        码等;用户拥有的东西,例如印章、智能卡(如信用卡等);用户所具有的生物特征,例如指纹、声音、视        网膜、签字、笔迹等。       
计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用        户的数字身份,所有对用户的授权也是针对用户数字身份的授权。       
目前常见的认证形式有:静态密码、智能卡(IC卡)、RFID卡、短信密码、动态口令牌、USB KEY、        生物识别技术如指纹、身份和脸型识别等。单独使用一种方法认证不充分,为防止欺诈,使身份认证更严        密,目前也使用双因素身份认证:将两种认证方法结合起来,进一步加强认证的安全性,目前使用最为广        泛的双因素有:动态口令牌+静态密码,USB KEY+静态密码,二层静态密码等等。       
身份认证系统架构包含三项主要组成元件:       
认证服务器(Authentication Server):负责进行使用者身份认证的工作,服务器上存放使用者的私        有密钥、认证方式及其他使用者认证的信息。       
认证系统用户端软件(Authentication Client Software):认证系统用户端通常都是需要进行登
陆        (login)的设备或系统,在这些设备及系统中必须具备可以与认证服务器协同运作的认证协定。       
认证设备(Authenticator):认证设备是使用者用来产生或计算密码的软硬件设备。       
然而目前身份认证和权限管理的系统架构缺点在于:       
1.用户与主机之间的身份认证,需要用户通过主机在主机上的用户端软件进行身份认证,对于能够通过        键盘和鼠标操作主机的非法用户,这就如同小偷可以拿到别人的保险箱,总有办法把它打开;       
2.非法用户可以通过伪装机器来接入企业内部计算机网络系统。       
发明内容       
有鉴于此,本发明的目的在于提供一种身份认证与主机分离开的方法,可选IC卡、RFID射频卡、身        份证、指纹识别器和密码器等身份识别手段,根据身份认证的结果和用户的权限等级,赋予合法用户键盘、                        鼠标操作权限,记录身份审核日志。       
本发明包括步骤:       
1.启动身份验证装置;       
2.身份认证装置向安全防护与安全审计服务器认证注册;       
3.如认证未通过,安全防护与安全审计服务器断开与身份验证装置的连接;       

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。