一种双因子可溯源身份验证方法及系统与流程

1.本发明涉及身份验证技术领域，尤其是一种双因子可溯源身份验证方法及系统。


背景技术：

2.传统的身份验证方法，如密码和个人识别号码(pin)，往往容易受到安全漏洞和未授权访问的影响。此外，许多用户倾向于创建弱密码或在多个账号中重复使用相同的密码，加剧了安全风险。此外，由于用户通常访问多个设备和平台，管理多个密码和pin可能会很麻烦和不方便，这通常会导致用户写下密码，将它们存储在不安全的位置，或使用同样容易受到攻击的密码管理软件。这些做法进一步增加了未授权访问和安全漏洞的可能性。
3.目前身份验证方法多为单因子或多因子认证，单因子身份验证通常依赖于密码或pin码，由于其简单性，易于实现并被广泛使用。并且在一些没有全盘加密的设备上可以使用挂在磁盘，覆盖操作系统中的密码文件，这些方法可以绕过这些密码或pin码，从而使得这些单因子验证完全无效，如此一来给设备的信息安全问题带来了极大的隐患。另一方面，多因子认证要求用户提供多种形式的验证，从而增强了安全性，使攻击者更难获得未经授权的访问。多因子身份验证尽管增强了安全性，但对用户来说可能是麻烦和不方便的。许多现有的mfa(multi-factorauthentication多因子认证)方法需要专门的硬件，如物理令牌、专用服务器设备。这些硬件的携带和管理可能非常的困难，比如物理令牌是一个比较大的终端，这样携带不方便。此外，在持续认证的背景下，这两种方法对于持久身份验证都不太有效，因为它们不能在用户会话期间保持一致的验证。
4.总体而言，针对设备身份认证和设备信息安全问题，现有的身份认证方法主要存在以下不足：
5.1.单一密码或pin码验证容易被磁盘挂载绕过，易受网络钓鱼攻击和社会工程攻击的影响，导致重要信息丢失。
6.2.多因素身份验证方式过于复杂，导致持续依赖不太安全的方法。同时，增加了维护成本和携带不便的问题。
7.3.现有的身份认证方式无法在使用过程中实现持续的身份验证，且对恶意行为人无法做到明确责任的数字安全前景。


技术实现要素：

8.本发明是为了避免上述现有技术所存在的不足之处，提供一种双因子可溯源身份验证方法及系统，提供一种安全、便携、便捷的双因子身份认证解决方案，以解决单因子和多因子方法的局限性，通过将身份认证模块与轻量级便携式usbkey相结合，提高安全性，同时保持易用性和设备及平台的兼容性，有助于创建更安全的数字环境，保护用户身份免受未经授权的访问和安全破坏。
9.为了实现本发明目的，本发明采用的技术方案是：一种双因子可溯源身份验证方法，包括：
10.检测usbkey的插入状态的第一步骤；
11.和检测到所述第一步骤中的usbkey的插入状态时弹出请求输入程序的第二步骤；
12.其中，在未检测到usbkey的插入状态时，用户端进入锁定状态并无法弹出请求输入程序；
13.在请求输入的程序弹出时，允许执行对usbkey的用户名和pin码的输入，并对输入的用户名和pin码进行认证，在用户名和pin码的认证通过后进入用户端的系统。
14.优选的，还包括以下步骤：
15.在用户名和pin码的认证不通过时，所述用户端弹出提示程序；
16.其中，所述提示程序执行显示n次机会的显示命令，并在下次用户名和pin码的认证不通过时，执行显示n-1次机会的显示命令。
17.优选的，所述n为10。
18.优选的，一种双因子可溯源身份验证系统，包括用户端；
19.所述用户端包括pam模块、usbkey认证模块和usb密钥注册管理模块；
20.所述pam模块用于验证用户名和pin码；
21.所述usbkey认证模块用于检测usbkey的插入状态；
22.所述usb密钥注册管理模块用于注册和管理usb密钥。
23.优选的，所述pam模块包括初始化pam会话单元、验证用户单元、检查帐户有效性单元、用户凭证单元和关闭pam会话单元；
24.所述初始化pam会话单元用于建立pam会话；
25.所述验证用户单元用于验证用户的合法性；
26.所述检查帐户有效性单元用于检查已验证的用户帐户的有效性；
27.所述用户凭证单元用于建立、修改或删除用户凭证；
28.所述关闭pam会话单元用于关闭pam会话，并释放所有的pam资源。
29.优选的，所述usb密钥注册管理模块包括usb密钥注册单元、责任人管理单元和记录跟踪单元；
30.所述usb密钥注册单元用于注册usb密钥，并跟踪和管理密钥；
31.所述责任人管理单元用于将每个usb密钥绑定责任人和用户，所述责任人和用户可访问密钥；
32.所述记录跟踪单元用于记录所有责任人在usbkey上执行的操作。
33.本发明的有益效果是：(1)本发明使用usbkey和pam模块进行双层验证，保证安全登录，并可以对通信实体进行身份鉴别，保证通信实体身份的真实性，有助于建立更安全的数字环境，保护用户的身份免受未经授权的访问、安全漏洞和身份盗窃。
34.(2)本发明可对移动存储设备的访问权限进行控制，可以设定是否禁止外部存储器的读写等i/o操作，并对登录设备的用户进行身份鉴别，保证用户身份的真实性，可对登录用户进行身份鉴别，保证应用系统用户身份的真实性，并且可以对出现恶意行为的行为人进行责任人溯源。
附图说明
35.图1是本发明的流程示意图。
具体实施方式
36.现在结合附图和优选实施例对本发明作进一步详细的说明。这些附图均为简化的示意图，仅以示意方式说明本发明的基本结构，因此其仅显示与本发明有关的构成。
37.具体的，作为本实施例中的一种可选实施方式，如图1所示，一种双因子可溯源身份验证方法，使用带有usbkey的pam进行身份验证的过程。这个过程首先将usbkey设备接到设备中，之后在编写的客户端程序中进行注册，选择管理员类型并且绑定usbkey的责任人和使用人。基于pam模块的应用程序在后台一直运行，设备用usb密钥向pam发送身份验证请求，当发现没有设备回应的时候就锁定屏幕，直到有usbkey插入并且输入正确的pin码为止。
38.为了能利用usbkey进行验证，首先，在用户端对usbkey进行注册。具体的，将usbkey插入用户端，通过在用户端的usb密钥注册管理模块的usb密钥注册单元上注册usb密钥。usb密钥注册管理模块为usb密钥注册管理程序，该程序由c++和qt工具包开发，用于简化安全的usb密钥的注册和管理，并供了一个可靠的和用户友好的解决方案，增强组织内usb密钥使用的安全性和责任性。其中usb密钥注册单元内置在该程序内，该程序允许注册每个usb密钥，并且可以选择注册的角色类型，并可以跟踪和管理密钥的整个生命周期，确保每一个usbkey的帐户信息和授权信息在系统内。同时，该程序还具备责任人和用户注册单元、记录和跟踪单元。责任人和用户注册单元允许责任人和获得usbkey访问权限的用户进行注册，通过将每个usb密钥绑定到数据库中的责任人和用户，确保只有授权的个人可以访问密钥，提高安全性，防止未经授权的使用。记录和跟踪单元用于维护一个全面的日志，记录所有责任人在usbkey上执行的操作，其中日志包括usb密钥分配、修改和撤销等信息，为所有活动提供了清晰的审计跟踪，便于识别任何滥用或违规行为。系统会全面记录用户会话期间的文件读写操作和外围设备使用情况。使用监控目录跟踪用户活动，并保持清晰的审计追踪。管理员可以对日志数据进行审查和分析，以识别潜在的安全威胁或违规行为。
39.接着，为了能检测到usbkey的插入状态，在本实施例中，通过usbkey认证模块对usbkey进行检测，usbkey认证模块提供一个持续的认证，具体的，当用户将usbkey插入用户端时，usbkey认证模块对usbkey进行检测，检测到usbkey的插入后，并进行身份验证。当用户将usbkey从用户端取出时，用户端立即锁定，无法进行操作，用户需要重新插入usbkey并进行身份验证，才能重新访问桌面。通过提供一个持续的认证，保证系统时刻保持双因子认证状态，只要缺少一种，即刻将用户端锁定，增加安全性。当用户端未绑定usbkey时，则系统认证按正常的用户名和密码验证流程。
40.然后，为了提供第二种验证功能，在本实施例中，在检测到usbkey插入状态后，用户端弹出请求输入程序，用户在请求输入程序中输入用户名和pin码以便进行验证，请求输入程序包含于pam模块，具体的，pam模块中包含初始化pam会话单元，初始化pam会话单元会在检测到usbkey插入状态后弹出。其中，pam(pluggableauthentication modules)是基于linux操作系统的身份验证框架，用于提供一致的集中式身份验证机制，允许系统管理员在不修改单个应用程序的情况下实现各种身份验证方案。pam由一组库和配置文件组成，这些库和配置文件定义了linux系统上各种服务和应用程序的身份验证策略。这些策略规定了如何对用户进行身份验证、授予访问权限以及如何管理他们的会话。pam以模块化方式运行，使系统管理员能够根据其安全需求混合匹配不同的身份验证模块。
41.最后，为了能对用户身份进行认证，在本实施例中，在初始化pam单元弹出初始化pam会话后，在会话中提示输入用户名及pin码。具体的，pam模块中包含验证用户单元和检查帐户有效性单元，验证用户单元用来验证用户的合法性(即令牌认证)，该用户为初始化pam会话所传递的用户，在该单元下，用户被要求提供一个密码或者一个简单的数字输入，然后该单元会检测用户的输入并验证是否合法。检查合法后，检查账户有效性单元检查已验证的用户帐户的有效性。当用户名及pin码输入正确后，进入用户端系统；当用户名及pin码输入错误时，弹出提示，提示10次机会，当10次机会用完时，用户端会锁定。
42.其中，pam模块中还包含用户凭证单元和关闭pam会话单元，用户凭证单元用于建立、修改或删除用户凭证。关闭pam会话单元进行pam会话关闭，并释放所有的pam资源。
43.本发明提出了一种基于可插入身份验证模块的usbkey双因子可溯源身份验证方法，该方法主要应用于计算机设备的身份验证，为使用带有usbkey的pam进行身份验证的过程。这个过程首先将usbkey设备接到用户端中，之后在用户端程序中进行注册，选择管理员类型并且绑定usbkey的责任人和使用人。基于pam模块的程序在后台一直保持运行，用户端用usb密钥向pam发送身份验证请求，当发现没有设备回应的时候就锁定屏幕，直到有usbkey插入并且输入正确的pin码为止，该方法通过linuxpam模块提供的api以及便于携带的usb密钥进行验证，通过注册usbkey持续身份认证以及使用日志记录责任人操作达到可溯源目的，具有良好的安全性和可靠性。
44.本发明可在以下场景用应用：
45.企业环境下：对公司网络、敏感数据和内部应用程序的安全访问，确保只有经过授权的员工可以访问这些资源，以及公司在线交易期间对用户进行身份验证，提供额外的安全层来保护客户的个人和财务信息。对访问共享办公资源的用户进行身份验证，保护敏感数据，维护一个安全的工作空间，增强共享办公空间的安全性。
46.内部网络下：安全访问敏感数据和与工作有关的应用程序设备，确保只有授权用户可以访问公司资源。保护对数字学习平台、内部材料访问，确保只有经过授权的用户可以访问这些资源。保护对共享设备(如打印机、扫描仪或办公空间中的网络附属存储设备)的访问，确保只有经过授权的用户可以访问和利用这些资源。
47.以上说明书中描述的只是本发明的具体实施方式，各种举例说明不对本发明的实质内容构成限制，所属技术领域的普通技术人员在阅读了说明书后可以对以前所述的具体实施方式做修改或变形，而不背离发明的实质和范围。

技术特征：
1.一种双因子可溯源身份验证方法，其特征在于，包括：检测usbkey的插入状态的第一步骤；和检测到所述第一步骤中的usbkey的插入状态时弹出请求输入程序的第二步骤；其中，在未检测到usbkey的插入状态时，用户端进入锁定状态并无法弹出请求输入程序；在请求输入的程序弹出时，允许执行对usbkey的用户名和pin码的输入，并对输入的用户名和pin码进行认证，在用户名和pin码的认证通过后进入用户端的系统。2.根据权利要求1所述的双因子可溯源身份验证方法，其特征在于：还包括以下步骤：在用户名和pin码的认证不通过时，所述用户端弹出提示程序；其中，所述提示程序执行显示n次机会的显示命令，并在下次用户名和pin码的认证不通过时，执行显示n-1次机会的显示命令。3.根据权利要求1所述的双因子可溯源身份验证方法，其特征在于：所述n为10。4.一种双因子可溯源身份验证系统，其特征在于：包括用户端；所述用户端包括pam模块、usbkey认证模块和usb密钥注册管理模块；所述pam模块用于验证用户名和pin码；所述usbkey认证模块用于检测usbkey的插入状态；所述usb密钥注册管理模块用于注册和管理usb密钥。5.根据权利要求4所述的双因子可溯源身份验证系统，其特征在于：所述pam模块包括初始化pam会话单元、验证用户单元、检查帐户有效性单元、用户凭证单元和关闭pam会话单元；所述初始化pam会话单元用于建立pam会话；所述验证用户单元用于验证用户的合法性；所述检查帐户有效性单元用于检查已验证的用户帐户的有效性；所述用户凭证单元用于建立、修改或删除用户凭证；所述关闭pam会话单元用于关闭pam会话，并释放所有的pam资源。6.根据权利要求4所述的双因子可溯源身份验证系统，其特征在于：所述usb密钥注册管理模块包括usb密钥注册单元、责任人管理单元和记录跟踪单元；所述usb密钥注册单元用于注册usb密钥，并跟踪和管理密钥；所述责任人管理单元用于将每个usb密钥绑定责任人和用户，所述责任人和用户可访问密钥；所述记录跟踪单元用于记录所有责任人在usbkey上执行的操作。

技术总结
本发明涉及一种双因子可溯源身份验证方法及系统，该方法包括检测USB key的插入状态的第一步骤和检测到第一步骤中的USBkey的插入状态时弹出请求输入程序的第二步骤；其中在未检测到USBkey的插入状态时，用户端进入锁定状态并无法弹出请求输入程序；在请求输入的程序弹出时，允许执行对USBkey的用户名和PIN码的输入，并对输入的用户名和PIN码进行认证，在认证通过后进入用户端的系统。本发明提供一种安全、便携、便捷的双因子身份认证解决方案，以解决单因子和多因子方法的局限性，通过将身份认证模块与轻量级便携式USBKey相结合，提高安全性，同时保持易用性和设备及平台的兼容性，有助于创建更安全的数字环境，保护用户身份免受未经授权的访问和安全破坏。受未经授权的访问和安全破坏。受未经授权的访问和安全破坏。


技术研发人员：陈志军
受保护的技术使用者：北京国保晟达科技有限公司
技术研发日：2023.05.30
技术公布日：2023/8/4