[发明专利]一种基于动态安全环境的特权账号认证方法及系统

说明书

本发明公开了一种基于动态安全环境的特权账号认证方法，包括：S1，采集应用场景信息并确定应用场景的安全环境等级；S2，确定账号类别，账号类别包括特权账号、危险账号和普通账号；S3，对于账号类别为特权账号的账号类别，基于安全环境等级进行特权账号认证。还公开了一种基于动态安全环境的特权账号认证系统，包括：后台管理门户、资源管理模块和日志管理模块、集中身份鉴别模块、数据保险柜、加密机以及包括动态口令插件的客户端，还公开了对应的电子设备以及计算机可读存储介质。

技术领域

本发明属于计算机安全认证以及动态口令认证技术领域，尤其涉及一种基于动态安全环境的特权账号认证方法及系统。

背景技术

随着互联网的发展，动态口令认证系统项目应运营商、金融类企业等的身份安全认证需求而出现，主要集中在网银身份认证、网游身份认证、移动支付身份认证、企业内部登录认证、电信自营业务身份认证等方面。动态口令认证架构于Web应用之上，运用HTTP协议进行通信，Web服务器使用的是Tomcat，数据库服务器使用的是Oracle。动态口令认证系统基于J2EE架构，架构复杂，而OTP(全程One-time Password，也称动态口令)包括基于时间、基于计数器以及基于挑战应答三种方式的动态口令算法，而无论哪一种认证操作都需要首先从数据库中取得用户的相应信息，包括种子、集成电路卡号等数据信息，然后再进行哈希运算，因此对于大量并发请求，IPT系统就要大量操作数据库，进行数据信息的查询与更新。此外，目前OTP系统用户数还比较有限，更多关心的是口令认证操作的正确性、安全性，却没有过多的考虑过当用户数量很多，且存在账号的不同特权的情况下，并发请求操作频繁，且安全环境属于动态变化的情况下，系统是否能够依然保持高效运行，及目前没有针对不同安全等级需求的多种应用环境下的OTP系统，在保证用户认证高安全性的前提下，设计出高并发请求情况下系统在特权账号认证安全性、吞吐率、响应速度都优秀的高效解决方案。

发明内容

本发明的目的是提供一种基于动态安全环境的特权账号认证方法及系统，以操作系统特权账户和口令管理为设计目标、面向服务器管理员的服务器特权账号和口令管理工具，可以帮助服务器管理员在特权账号认证安全性、吞吐率、响应速度都优秀的情况下高效、安全地梳理全网特权账号及权限，区分出特权账号、危险账号、普通账号，掌握特权账号登录活动，利用动态口令技术解决特权账号口令日常运维效率和安全问题。

本发明一方面提供了一种基于动态安全环境的特权账号认证方法，包括：

S1，采集应用场景信息并确定应用场景的安全环境等级；

S2，确定账号类别，所述账号类别包括特权账号、危险账号和普通账号；

S3，基于所述安全环境等级对于所述账号类别为特权账号的账号类别进行特权账号认证。

优选的，所述S1所述安全环境等级包括：高安全等级环境的应用场景和中低安全等级环境的应用场景；所述高安全等级环境的应用场景包括网银登陆和移动支付认证；所述中低安全等级环境的应用场景包括网游登录认证、企业内部登录以及Wi-Fi接入登录认证。

优选的：所述S3中所述基于所述安全环境等级进行特权账号认证包括：

S31,加载一对多口令生成算法，所述一对多口令生成算法基于加密种子密钥设计，同一账号在不同服务器可拥有不同的动态口令；

S32，基于令牌生成动态口令；

S33，基于安全等级选择动态口令生成因子作为动态口令权重；

S34，建立多因素安全身份鉴别机制，包括用户记忆的静态口令和S32基于令牌生成的动态口令相结合，以实现对于特权账号的多重身份鉴别保险；

S35，认证接收后针对每个所述综合口令产生一个临时的会话密钥，并加盖时间戳后存储在灾备服务器中作为后期审计和验证使用。