[发明专利]交换设备的身份认证方法、系统及计算机可读存储介质

说明书

本发明属于信息处理技术领域，公开了一种交换设备的身份认证方法、系统及计算机可读存储介质，生成基于时间的认证令牌或者基于序列的令牌；生成对应的设备二维码、安全密码、验证码及紧急码；将扫描输出的二维码将其添加到OATH‑TOTP应用当中，出现一个新的条目并每30秒刷新一次6位数令牌。交换设备的身份认证方法使用Google或Microsoft的Authenticator应用扫描输出的二维码将其添加到OATH‑TOTP应用当中。本发明解决了登录弱密码，所有设备单一口令的安全隐患问题。满足了等保、护网行动对供应商的考核需求。本发明不再使用弱密码，降低了频繁更改增加的成本。

技术领域

本发明属于信息处理技术领域，尤其涉及一种交换设备的身份认证方法、系统及计算机可读存储介质。

背景技术

目前，最接近的现有技术：身份验证对于交换设备管理来说是非常重要的步骤，通过验证可以获取你的角色和权限，一般情况下采用账户和密码的方式来登录，例如TelnetSSH SNMP等，要求较高的企业会禁止密码登录，采用公私钥密钥对的方式来验证登录。往往单一因素的身份验证方式，一旦或者密码密钥泄漏，同样还是会危及到交换设备安全。

目前等保企业规定90天修改一次密码，但周期性修改密码无法从根本上实现对用户登录认证的保护，周期性更改后依旧是弱密码，所有设备依旧单一口令，依旧有安全隐患。因此交换设备有必要对重要节点或者全网实施多因子(MFA)认证解决方案。

综上所述，现有技术存在的问题是：目前周期性修改密码无法从根本上实现对用户登录认证的保护，周期性更改后依旧是弱密码，所有设备依旧单一口令，依旧有安全隐患。

发明内容

针对现有技术存在的问题，本发明提供了一种交换设备的身份认证方法、系统及计算机可读存储介质。

本发明是这样实现的，一种交换设备的身份认证方法，包括以下步骤：

步骤一，交换设备加载认证程序，并调出后台数据库认证接口，获取基础身份信息数据。

步骤二，启动认证程序采用公私钥密码对基础身份信息进行验证；如果验证失败退出会话；如果验证成功执行下一步。

步骤三，输入MFA验证码，通过验证程序调度后台数据与验证码进行匹配进行验证；如果MFA验证匹配失败则退出会话；如果验证匹配成功执行下一步。

步骤四，MFA验证成功后获取权限，对交换设备进行管理。

进一步，执行所述步骤一之前，进一步包括：

配置交换设备工作参数，加载OATH-TOTP(基于时间的一次性开放密码)开放协议，并接通网络。

进一步，所述步骤二和步骤三的验证方法具体包括：

步骤1，通过交换设备生成基于时间的认证令牌或者基于序列的令牌；利用令牌会生成对应的交换设备的二维码、安全密码、验证码及紧急码。

步骤2，使用OATH-TOTP应用(或其它实现OATH-TOTP协议的应用,以下简称为OATH-TOTP应用)扫描输出二维码，并将所述二维码添加到OATH-TOTP应用中，一旦添加成功，则出现一个新的条目并每30秒刷新一次6位数令牌。

进一步，对于已经实现OATH-TOTP应用中，采用手动输入账户和安全密码。

进一步，交换设备通过自动化管理工具连接、手动输入、传统的硬件TOTP电子口令或者管理软件实现OATH-TOTP应用对所述交换设备进行认证管理，实现虚拟MFA或者能接收一次性密码的输入，实现从USBKEY中读取一次性密码。

本发明的另一目的在于提供一种实施所述交换设备的身份认证方法的交换设备的身份认证系统，所述交换设备的身份认证系统包括：