本發(fā)明專利技術(shù)公開一種UKey認(rèn)證方法及安全配置檢查工具,無需網(wǎng)絡(luò),利用客戶端與UKey的交互與數(shù)據(jù)傳輸,即可實現(xiàn)有效的身份認(rèn)證;對用戶與待檢查設(shè)備進(jìn)行認(rèn)證,只有認(rèn)證通過才能進(jìn)行數(shù)據(jù)存儲工作,能避免無效的數(shù)據(jù)讀寫;其次獲取設(shè)備的配置信息后,調(diào)用預(yù)設(shè)規(guī)則進(jìn)行相應(yīng)配置項內(nèi)容的檢查,并輸出檢查結(jié)果表,有利于提高配置檢查的效率和可靠性,提高現(xiàn)場支持人員的操作便利度。的操作便利度。
【技術(shù)實現(xiàn)步驟摘要】
UKey認(rèn)證方法與安全配置檢查工具
[0001]本專利技術(shù)屬于信息安全
,尤其是涉及一種UKey認(rèn)證方法以及應(yīng)用該認(rèn)證方法的安全配置檢查工具。
技術(shù)介紹
[0002]隨著網(wǎng)絡(luò)服務(wù)與應(yīng)用的廣泛使用,承載這些服務(wù)和應(yīng)用的數(shù)據(jù)服務(wù)器與網(wǎng)絡(luò)設(shè)備的安全性逐漸引起重視。信息安全等級保護(hù)是對信息和信息載體按照重要性等級分別進(jìn)行保護(hù)的一種工作。信息安全等級保護(hù)測評工作是等級測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對非涉及國家秘密信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢查評估的活動。等級保護(hù)測評工作涉及的信息系統(tǒng)范圍廣,敏感性強(qiáng)。
[0003]目前在進(jìn)行等級保護(hù)測評技術(shù)部分測評時,大多數(shù)使用的方式都是特定類型的檢測工具,比如主機(jī)配置檢查工具、網(wǎng)絡(luò)及安全設(shè)備配置檢查工具、弱口令檢查工具、數(shù)據(jù)庫安全檢查工具、網(wǎng)站安全檢查工具、系統(tǒng)漏洞檢查工具等。
[0004]實際中,網(wǎng)絡(luò)設(shè)備的管理者對設(shè)備的安全配置的缺陷,給攻擊者以可乘之機(jī),使設(shè)備及數(shù)據(jù)暴露在威脅中,極易造成無法挽回的損失。因此,為了避免網(wǎng)絡(luò)設(shè)備的配置缺陷,網(wǎng)絡(luò)管理員通常會定期的對網(wǎng)絡(luò)設(shè)備的配置進(jìn)行檢查,對不符合安全配置規(guī)范的網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固。現(xiàn)有的網(wǎng)絡(luò)及安全設(shè)備配置檢查工具配置檢查技術(shù),缺乏對檢查用戶以及待檢查設(shè)備進(jìn)行認(rèn)證,容易造成工具的過度使用,以及難以進(jìn)行有效的信息安全管理。
技術(shù)實現(xiàn)思路
[0005]鑒于上述背景,本專利技術(shù)提出一種UKey認(rèn)證方法及安全配置檢查工具,實現(xiàn)高效的設(shè)備安全認(rèn)證。
[0006]第一方面,本專利技術(shù)提供一種UKey認(rèn)證方法,包括:輸入用戶名,發(fā)起認(rèn)證請求;根據(jù)UKey名稱,從當(dāng)前已連接的USB設(shè)備列表,選定UKey開始認(rèn)證;驗證PIN碼,若驗證通過則進(jìn)行下一步,否則結(jié)束;從UKey導(dǎo)出并解析證書文件,以獲取用戶信息與及其數(shù)字簽名,調(diào)用本地根證書解密所述數(shù)字簽名,若無法解密則認(rèn)證失敗;調(diào)用UKey內(nèi)的私鑰對所述用戶信息中的用戶名進(jìn)行加密,得到第一簽名;調(diào)用本地根證書對發(fā)起請求的用戶名進(jìn)行加密,得到第二簽名;對比所述第一簽名與第二簽名,若一致則認(rèn)證通過,否則結(jié)束。
[0007]該方法的認(rèn)證之前,還包括:使用私鑰對公鑰與用戶信息進(jìn)行加密得到數(shù)字簽名,將所述公鑰、用戶信息、私鑰與數(shù)字簽名合并生成p12證書文件,通過管理員工具將所述證書文件導(dǎo)入UKey;所述用戶信息包括用戶名。
[0008]所述證書文件還經(jīng)過經(jīng)Base64編碼處理,證書文件導(dǎo)出后先進(jìn)行轉(zhuǎn)碼處理。
[0009]所述根證書包括預(yù)裝在本地的與所述私鑰對應(yīng)的公鑰。
[0010]所述用戶信息中還包括剩余可授權(quán)設(shè)備數(shù)與授權(quán)時長,設(shè)備激活時校驗解析用戶信息,若判斷所述剩余可授權(quán)設(shè)備數(shù)大于1,則保存所述授權(quán)時長至本地文件內(nèi),并在激活成功后將所述剩余可授權(quán)設(shè)備數(shù)減1,最后調(diào)用私鑰加密用戶信息生成新的數(shù)字簽名并更新至UKey中。
[0011]第二方面,本專利技術(shù)提供一種安全配置檢查工具,包括:認(rèn)證模塊,用于保存認(rèn)證信息并對待檢查設(shè)備進(jìn)行認(rèn)證,若認(rèn)證通過則將該設(shè)備加入任務(wù)隊列并將其認(rèn)證信息錄入資產(chǎn)信息表,否則結(jié)束檢查;檢查模塊,用于獲取待檢查設(shè)備的指定檢查項,并根據(jù)預(yù)設(shè)的檢查模板逐項匹配以判斷當(dāng)前設(shè)備的各配置信息是否合規(guī);存儲模塊,用于保存所述數(shù)據(jù)解析模塊生成的檢查結(jié)果,以及獲取的待檢查設(shè)備的當(dāng)前配置信息。
[0012]所述設(shè)備認(rèn)證模塊對待檢查設(shè)備的認(rèn)證過程,包括:根據(jù)UKey名稱,從當(dāng)前已連接的USB設(shè)備列表,選定UKey開始認(rèn)證;驗證PIN碼,若驗證通過則進(jìn)行下一步,否則結(jié)束;從UKey導(dǎo)出并解析證書文件,以獲取用戶信息與及其數(shù)字簽名,調(diào)用本地根證書解密所述數(shù)字簽名,若無法解密則認(rèn)證失敗;調(diào)用UKey內(nèi)的私鑰對所述用戶信息中的用戶名進(jìn)行加密,得到第一簽名;調(diào)用本地根證書對發(fā)起請求的用戶名進(jìn)行加密,得到第二簽名;對比所述第一簽名與第二簽名,若一致則認(rèn)證通過,否則結(jié)束。
[0013]采用上述技術(shù)方案的本專利技術(shù)實施例,無需網(wǎng)絡(luò),利用客戶端與UKey的交互與數(shù)據(jù)傳輸,即可實現(xiàn)有效的身份認(rèn)證;對用戶與待檢查設(shè)備進(jìn)行認(rèn)證,只有認(rèn)證通過才能進(jìn)行數(shù)據(jù)存儲工作,能避免無效的數(shù)據(jù)讀寫;其次獲取設(shè)備的配置信息后,調(diào)用預(yù)設(shè)規(guī)則進(jìn)行相應(yīng)配置項內(nèi)容的檢查,并輸出檢查結(jié)果表,有利于提高配置檢查的效率和可靠性,提高現(xiàn)場支持人員的操作便利度。
具體實施方式
[0014]為使本專利技術(shù)實施例的目的、技術(shù)方案和優(yōu)點更加清楚,下面將對本專利技術(shù)實施例中的技術(shù)方案進(jìn)行清楚、完整地描述。
[0015]UKey是一種通過USB (通用串行總線接口)直接與計算機(jī)相連、具有密碼驗證功能的USB接口設(shè)備,UKey通過USB端口提供的電源來工作,不需要額外的電源;UKey自身所具備的存貯可以用來存儲一些個人信息或證書,UKey的內(nèi)部密碼算法可以為數(shù)據(jù)傳輸提供安全的管道,UKey是適用于單機(jī)或網(wǎng)絡(luò)應(yīng)用的身份認(rèn)證安全防護(hù)產(chǎn)品,是一種高效的安全認(rèn)證解決方案。
[0016]安全系統(tǒng)自身的安全性是首先要考慮的問題,采用uKey實現(xiàn)身份認(rèn)證的具有較高的安全性:1)用戶私鑰的雙重保護(hù)用戶數(shù)字證書及個人密鑰保存在uKey中。身份驗證時,使用對稱加密算法對用戶私鑰進(jìn)行加密處理。由于私鑰不通過網(wǎng)絡(luò)傳輸,因此攻擊者不可能從截獲的數(shù)據(jù)中獲得用戶私鑰。此外,uKey的訪問密碼只在客戶端出現(xiàn),也不通過網(wǎng)絡(luò)傳輸。
[0017]2)認(rèn)證過程的安全性由于對隨機(jī)數(shù)進(jìn)行簽名在uKey內(nèi)部完成,用于簽名的私鑰保存在卡內(nèi)固定區(qū)域,并且在簽名過程中私鑰不會被讀出到內(nèi)存,任何人都無法獲得uKey私鑰,因此保證了認(rèn)證過程的安全性。
[0018]3)能抵抗重放攻擊由于每次身份驗證時,服務(wù)器都要發(fā)送不同的隨機(jī)數(shù)給客戶端,因此,如果攻擊者將以前截獲的簽名信息重放,則不可能認(rèn)證成功;如果服務(wù)器發(fā)送的隨機(jī)數(shù)被截獲,由于攻擊者不能得到用戶私鑰也不可能將隨機(jī)數(shù)正確簽名,因此也不可能認(rèn)證成功。
[0019]4)能抵抗假冒攻擊由于攻擊者無法獲取用戶私鑰以及用戶uKey的PIN碼,因此無法向服務(wù)器端發(fā)送驗證請求,從而無法通過服務(wù)器的認(rèn)證。
[0020]目前常見的Ukey主要是用來進(jìn)行身份認(rèn)證,功能尚比較單一,很多都無法適用于待認(rèn)證設(shè)備或用戶環(huán)境無法連接外網(wǎng)的場景;另一方面,在設(shè)備無法適用移動存儲設(shè)備時,需要反復(fù)拷貝license授權(quán)激活碼來實現(xiàn)設(shè)備的激活,不僅容易造成授權(quán)泄露而且會降低工作效率。
[0021]實施例一一種UKey認(rèn)證方法,包括:輸入用戶名,發(fā)起認(rèn)證請求;根據(jù)UKey名稱,從當(dāng)前已連接的USB設(shè)備列表,選定UKey開始認(rèn)證;驗證PIN碼,若驗證通過則進(jìn)行下一步,否則結(jié)束;從UKey導(dǎo)出并解析證書文件,以獲取用戶信息與及其數(shù)字簽名,調(diào)用本地根證書解密所述數(shù)字簽名,若無法解密則認(rèn)證失敗;調(diào)用UKey內(nèi)的私鑰對所述用戶信息中的用戶名進(jìn)行加密,得到第一簽名;調(diào)用本地根證書對發(fā)起請求的用戶名進(jìn)行加密,得到第二簽名;對比所述第一簽名與第二簽名,若一致則認(rèn)證通過,否則結(jié)束。
[0022]該本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點】
【技術(shù)特征摘要】
1.一種UKey認(rèn)證方法,其特征在于,包括:輸入用戶名,發(fā)起認(rèn)證請求;根據(jù)UKey名稱,從當(dāng)前已連接的USB設(shè)備列表,選定UKey開始認(rèn)證;驗證PIN碼,若驗證通過則進(jìn)行下一步,否則結(jié)束;從UKey導(dǎo)出并解析證書文件,以獲取用戶信息與及其數(shù)字簽名,調(diào)用本地根證書解密所述數(shù)字簽名,若無法解密則認(rèn)證失敗;調(diào)用UKey內(nèi)的私鑰對所述用戶信息中的用戶名進(jìn)行加密,得到第一簽名;調(diào)用本地根證書對發(fā)起請求的用戶名進(jìn)行加密,得到第二簽名;對比所述第一簽名與第二簽名,若一致則認(rèn)證通過,否則結(jié)束。2.根據(jù)權(quán)利要求1所述的認(rèn)證方法,其特征在于,該方法的認(rèn)證之前,還包括:使用私鑰對公鑰與用戶信息進(jìn)行加密得到數(shù)字簽名,將所述公鑰、用戶信息、私鑰與數(shù)字簽名合并生成p12證書文件,通過管理員工具將所述證書文件導(dǎo)入UKey;所述用戶信息包括用戶名。3.根據(jù)權(quán)利要求2所述的認(rèn)證方法,其特征在于,所述證書文件還經(jīng)過經(jīng)Base64編碼處理,證書文件導(dǎo)出后先進(jìn)行轉(zhuǎn)碼處理。4.根據(jù)權(quán)利要求1或2所述的認(rèn)證方法,其特征在于,所述根證書包括預(yù)裝在本地的與所述私鑰對應(yīng)的公鑰。5.根據(jù)權(quán)利要求1所述的認(rèn)證方法,其特征在于,所述用戶信息中還包括剩余可授權(quán)設(shè)備數(shù)與授權(quán)時長,設(shè)備激活時校驗解析用戶信息,若判...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:孫繼奎,李昱輝,
申請(專利權(quán))人:西安捷潤數(shù)碼科技有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。