[发明专利]一种身份验证与权限管理方法和设备

说明书

本发明是一种身份验证与权限管理方法和设备，涉及计算机软件、硬件及网络通信技术。该发明采用身份认证与需要进入的主机分离开的方法，可选IC卡、RFID射频卡、身份证、指纹识别器和密码器等身份识别手段，根据灵活的权限配置赋予合法用户键盘、鼠标操作权限，记录身份审核日志。该发明采用独立的身份认证和权限控制装置，可以更有效的保护电脑不被非法使用，满足重要核心企业如发电企业、国家电网公司和石油化工等工业领域对DCS生产控制系统运维人员安全管理和审计的需求。

技术领域

本发明涉及计算机软件、硬件及网络通信技术，是提供一种电脑系统操作维护人员身份认证和权限控制的方法和设备。

背景技术

大型核心企业如银行、发电站、石油化工和军工企业等，身份认证体系对保障企业内部的业务和生产系统的安全运营起着至关重要的作用。

身份认证是在计算机网络中确认操作者身份的过程。身份认证可分为用户与主机间的认证和主机与主机之间的认证。用户与主机之间的认证可以基于如下一个或几个因素：用户所知道的东西，例如口令、密码等；用户拥有的东西，例如印章、智能卡(如信用卡等)；用户所具有的生物特征，例如指纹、声音、视网膜、签字、笔迹等。

计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。

目前常见的认证形式有：静态密码、智能卡(IC卡)、RFID卡、短信密码、动态口令牌、USB KEY、生物识别技术如指纹、身份和脸型识别等。单独使用一种方法认证不充分，为防止欺诈，使身份认证更严密，目前也使用双因素身份认证：将两种认证方法结合起来，进一步加强认证的安全性，目前使用最为广泛的双因素有：动态口令牌+静态密码，USB KEY+静态密码，二层静态密码等等。

身份认证系统架构包含三项主要组成元件：

认证服务器(Authentication Server)：负责进行使用者身份认证的工作，服务器上存放使用者的私有密钥、认证方式及其他使用者认证的信息。

认证系统用户端软件(Authentication Client Software)：认证系统用户端通常都是需要进行登陆(login)的设备或系统，在这些设备及系统中必须具备可以与认证服务器协同运作的认证协定。

认证设备(Authenticator)：认证设备是使用者用来产生或计算密码的软硬件设备。

然而目前身份认证和权限管理的系统架构缺点在于：

1.用户与主机之间的身份认证，需要用户通过主机在主机上的用户端软件进行身份认证，对于能够通过键盘和鼠标操作主机的非法用户，这就如同小偷可以拿到别人的保险箱，总有办法把它打开；

2.非法用户可以通过伪装机器来接入企业内部计算机网络系统。

发明内容

有鉴于此，本发明的目的在于提供一种身份认证与主机分离开的方法，可选IC卡、RFID射频卡、身份证、指纹识别器和密码器等身份识别手段，根据身份认证的结果和用户的权限等级，赋予合法用户键盘、鼠标操作权限，记录身份审核日志。

本发明包括步骤：

1.启动身份验证装置；

2.身份认证装置向安全防护与安全审计服务器认证注册；

3.如认证未通过，安全防护与安全审计服务器断开与身份验证装置的连接；

4.认证通过，身份认证装置可以通过IC卡/RFID卡/二代身份证读卡器、指纹、密码器读取用户身份；

5.身份验证装置将用户身份信息上传到安全防护与安全审计服务器；