本发明专利技术涉及基于通信网络的存储系统访问授权方法,利用通信设备、被授权计算机和授权服务器作为现有授权技术的替代或补充;发送授权请求码和接收授权码的设备经过授权系统认证且与被授权的计算机设备隔离,授权请求码和授权码通过密文和独立于被授权计算机系统的通信技术传递;访问授权过程需要通过多重身份验证;授权请求码和授权码仅在有限的时间内有效。与现有的密码授权机制相比,被授权计算机无需接入任何通信网络,授权码在授权时生成且具有有限的生命周期,可避免授权码泄露所带来的风险;与现有的文件密钥授权机制相比,又可避免授权设备丢失损坏或者没有随身携带的不便,既具备足够安全性,又具有方便、灵活的特点。
【技术实现步骤摘要】
一种基于通信网络的存储系统访问授权方法
本专利技术涉及信息安全领域,特别涉及一种授权方法,具体地说是一种基于通信网络的存储系统访问授权方法。
技术介绍
现代企业的信息系统除了需要利用防火墙和防病毒产品抵御外部威胁外,数据加密也已经成为保护企业信息资产的主要工具。利用数据加密解决方案可保护笔记本电脑、工作站和服务器等设备的存储系统数据的安全。在没有经过授权的情况下,存储系统会处于加密保护状态,即使将其连接至网络或其它设备也无法存取该存储系统数据。采用存储系统数据加密技术的计算机设备,其存储系统上的所有数据将被保护起来,机密数据泄露的风险大大降低。每个存储系统加密产品都需要一个密钥来加密存储系统中的数据,常见的存储系统数据加密技术采用的访问授权方法通常有两种:基于文件的授权方法和基于密码的授权方法。基于文件的授权方法在对存储系统进行加密时,将某个文件作为加密存储系统的密钥文件的种子,若没有此文件或存储有此文件的媒介(如USB存储设备或智能卡),将无法解除文件系统加密;基于密码的授权方法,在输入正确的授权密码后,可以解除文件系统的加密。在现有的两种授权方法中,独立于授权终端系统的授权设备(如存储有密钥文件的智能卡或USB存储设备),在授权设备丢失损坏或者没有随身携带的情况下,将导致授权失败,可能影响正常企业业务的进行或外出办公人员远程办公;采用密码的授权方法,虽然在使用过程中不会受到解密授权设备的限制,但密码需要定期更换和规范管理,亦可能因密码泄露造成企业信息资产安全受到威胁。由此可知,现有授权方法对文件密钥/密码的管理和使用一直是信息安全保护方法中的薄弱环节。因此,数据加密技术在保护企业信息资产的同时,还需要为使用者提供安全且方便的授权方式,以此来降低因为用户网上冲浪、社会交际导致的密码泄露所带来的风险。
技术实现思路
针对上述问题,申请人进行了改进研究,提供一种基于通信网络的存储系统访问授权方法,利用通信设备、被授权计算机、授权服务器作为替代密码、授权设备或作为现有授权设备的补充,在确保授权机制安全性的同时将使用的便利性最大化。本专利技术的技术方案如下:按照权利要求修改一种基于通信网络的存储系统访问授权方法,将被授权计算机与授权服务器之间的互联网络隔离,并在两者之间设置第三方设备,所述第三方设备作为发送授权请求码和接收授权码的中间设备,其通过独立于互联网络的通信网络与被授权计算机及授权服务器进行授权过程以及接收授权过程的信息交互。其进一步的技术方案为:包括请求授权过程以及接收授权过程,具体步骤如下:请求授权过程依次执行以下步骤:1)在被授权用户端设备上运行授权请求码生成程序;2)授权请求码生成程序根据用户输入的身份识别密码验证用户身份的合法性;若身份识别密码验证结果表明该用户不符合请求授权的用户身份,则授权过程终止;3)授权请求码生成程序生成授权请求码;4)授权请求码通过近距离传输技术或用户输入至通信设备;5)被授权用户端通信设备将授权请求码通过通信网络发送至授权服务器;6)授权服务器端设备接收到通信设备发送的授权请求码;7)授权服务器端设备验证发送授权请求码的通信设备的合法性;若验证检测结果表明该通信设备不合法,则授权过程终止;8)授权服务器验证授权请求码的合法性;若验证检测结果表明该授权请求码不合法,则授权过程终止;9)授权请求码通过验证后,授权服务器根据授权请求码生成授权码;10)授权服务器端设备将授权码发送至发送相应请求的被授权用户端通信设备;接收授权过程依次执行以下步骤:11)被授权用户端通信设备接收到授权服务器发送的授权码;12)授权码通过近距离传输技术或者用户输入至被授权用户端;13)被授权用户端验证授权码的合法性;14)若授权码验证成功,用户获得与被授权用户端设备连接的存储系统的访问许可;15)若验证检测结果表明该授权码不合法,则授权失败。其进一步的技术方案为:所述步骤之后还包括如下步骤:’)授权服务器记录此次访问请求。其进一步的技术方案为:所述步骤3和步骤9生成授权请求码和授权码的过程中,被授权终端的硬件设备特征、用户身份信息以及当前时间都将作为生成算法的输入变量。其进一步的技术方案为:所述步骤3和步骤9生成的授权请求码和授权码是一一对应的,都具有一的有效周期,仅在有效周期时间内有效;当授权请求码生成后在有效周期时间内还没有收到授权码,则该授权请求码将因超时自动作废;当授权码生成后在有效周期时间内未被输入至被授权终端,则该授权码也将因超时自动作废。其进一步的技术方案为:所述步骤8和步骤13验证授权请求码和授权码的过程中,采用多重身份验证过程,对于使用者的用户身份、对被授权设备的硬件特征、发送授权请求码并接收授权码的通信设备的硬件特征都要通过验证。其进一步的技术方案为:所述步骤8和步骤13验证授权请求码和授权码的过程中,需要对授权请求码和授权码是否超时进行验证。其进一步的技术方案为:所述发送授权请求码并接收授权码的通信设备独立于所述被授权终端,用于发送和接收授权请求码和授权码的通信网络也独立于被授权终端。其进一步的技术方案为:所述发送授权请求码并接收授权码的通信设备是已在授权服务器系统中注册的设备;所述步骤7中授权服务器验证所述通信设备和授权服务器系统中注册设备信息的一致性,若收到的授权请求来自于未在授权服务器系统中注册的设备,则授权过程终止。其进一步的技术方案为:所述授权请求码和授权码在传送过程中以加密的密文方式传送,授权请求码的加密过程以及授权码的解密过程由被授权用户端设备完成,授权请求码的解密过程以及授权码的加密过程由授权服务器端设备完成。本专利技术的有益技术效果是:本专利技术授权方法利用通信设备、被授权计算机和授权服务器作为现有授权技术的替代或补充。发送授权请求码和接收授权码的设备经过授权系统认证且与被授权的计算机设备隔离,授权请求码和授权码通过密文和独立的通信技术传递;访问授权过程需要通过多重身份验证;授权请求码和授权码仅在有限的时间内有效。与现有的密码授权机制相比,被授权计算机无需接入互联网,授权码在授权时生成且具有有限的生命周期,可避免密码泄露所带来的风险;与现有的文件密钥授权机制相比,又可避免授权设备丢失损坏或者没有随身携带的不便。因此本专利技术既具备足够安全性,又具有方便、灵活的特点。具体实施方式下面对本专利技术的具体实施方式做进一步说明。本专利技术的访问授权系统由以下几个部分协同组成,各部分的功能如下:1、等待访问存储系统的被授权终端(如个人电脑或笔记本电脑)以及运行其中的授权请求码生成程序和授权码验证程序。在请求授权时,根据所运行终端的硬件特征码和系统日期时间(也可包含用户密码)等参数生成授权请求码2,并通过近距离传输技术(或通过通信设备的键盘等输入设备)将授权请求码输入通信设备;在接受授权时,验证用户输入的或通过近距离传输技术(如蓝牙传输技术)从通信设备接收到的授权码。2、用于发送授权请求码和接收授权码的在授权系统中注册过的通信设备。在请求授权时,通信设备(通常为移动电话,也可以是在授权系统中注册过的普通固定电话)通过近距离传输技术(或通过通信设备的键盘等输入设备)接收被授权终端生成的未加密的授权请求码,再由运行在该通信设备上的加密软件生成已加密的授权请求码(若采用在授权系统中注册本文档来自技高网...
【技术保护点】
1.一种基于通信网络的存储系统访问授权方法,其特征在于:将被授权计算机与授权服务器之间的互联网络隔离,并在两者之间设置第三方设备,所述第三方设备作为发送授权请求码和接收授权码的中间设备,其通过独立于互联网络的通信网络与被授权计算机及授权服务器进行授权过程以及接收授权过程的信息交互。
【技术特征摘要】
1.一种基于通信网络的存储系统访问授权方法,其特征在于:将被授权计算机与授权服务器之间的互联网络隔离,并在两者之间设置第三方设备,所述第三方设备作为发送授权请求码和接收授权码的中间设备,其通过独立于互联网络的通信网络与被授权计算机及授权服务器进行授权过程以及接收授权过程的信息交互。2.根据权利要求1所述基于通信网络的存储系统访问授权方法,其特征在于包括请求授权过程以及接收授权过程,具体步骤如下:请求授权过程依次执行以下步骤:1)在被授权用户端设备上运行授权请求码生成程序;2)授权请求码生成程序根据用户输入的身份识别密码验证用户身份的合法性;若身份识别密码验证结果表明该用户不符合请求授权的用户身份,则授权过程终止;3)授权请求码生成程序生成授权请求码;4)授权请求码通过近距离传输技术或用户输入至通信设备;5)被授权用户端通信设备将授权请求码通过通信网络发送至授权服务器;6)授权服务器端设备接收到通信设备发送的授权请求码;7)授权服务器端设备验证发送授权请求码的通信设备的合法性;若验证检测结果表明该通信设备不合法,则授权过程终止;8)授权服务器验证授权请求码的合法性;若验证检测结果表明该授权请求码不合法,则授权过程终止;9)授权请求码通过验证后,授权服务器根据授权请求码生成授权码;10)授权服务器端设备将授权码发送至发送相应请求的被授权用户端通信设备;接收授权过程依次执行以下步骤:11)被授权用户端通信设备接收到授权服务器发送的授权码;12)授权码通过近距离传输技术或者用户输入至被授权用户端;13)被授权用户端验证授权码的合法性;14)若授权码验证成功,用户获得与被授权用户端设备连接的存储系统的访问许可;15)若验证检测结果表明该授权码不合法,则授权失败。3.根据权利要求2所述基于通信网络的存储系统访问授权方法,其特征在于所述步骤10之后还包括如下步骤:10’)授权服务器记录此次访问请求。4.根据权利要求2或3所述基于通信网络的存储系...
【专利技术属性】
技术研发人员:高璐,
申请(专利权)人:青岛璐琪信息科技有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。