[发明专利]一种基于USB‑key的安全系统及其使用方法

说明书

技术领域

本发明涉及互联网技术领域，特别是涉及一种基于USB-key的安全系统及其使用方法。

背景技术

USB-key是一种具有USB接口的硬件设备，其形状与我们常见的U盘相同，与U盘不同的是，USB-key内置了CPU、存储器、芯片操作系统(COS)，可以存储用户的密钥或数字证书，利用USB-key内置的密码算法可以实现对用户身份的认证。每一个USB-key都具有硬件PIN码保护，PIN码和USB-key构成了用户使用USB-key的两个必要因素。用户只有同时取得了USB-key和用户PIN码，才可以通过PC等终端登录系统，从而使用USB-key 进行相应的操作。

目前在实际应用中，当户需要对嵌入式设备进行运维配置时，常用的方式是用户用网线将终端计算机和嵌入式设备连接起来，在终端计算机的浏览器中输入嵌入式设备对外的服务器IP地址即可访问到嵌入式设备提供的身份认证界面；用户输入用户名和密码进行身份认证，身份认证完成后，可以使用被授权的功能。

在上述应用中，嵌入式设备对用户采用用户名/密码的方式进行身份验证，但是这种验证方式的问题在于，系统并不能保证获得授权的用户是合法用户，因此，部分设备需要采用USB-key来进行辅助登陆，但如果用户的USB-key丢失，则用户身份的安全将完全依赖用户设定的PIN码，而非法用户可将该USB-key与其它任何一台PC或者移动终端连接使用，在合法用户发现并通过上层管理员锁定系统访问权限前，非法用户可以采用穷举法等方式来破解用户的PIN码，或采用病毒盗取用户PIN码，因此也不能完全保证登录安全；此外，系统在设备运行期间会一直开启运维相关的服务接口，等待用户访问设备对外的服务器IP地址，之后进行身份认证。系统长时间开放对外的接口，让系统长期暴露在不确定的环境里，为系统的安全埋下了隐患，同时也造成了系统资源的浪费。

发明内容

针对上述问题，本发明提供一种基于USB-key的安全系统及其使用方法，旨在解决由于系统一直开启运维相关服务接口的行为以及使用用户名/密码进行身份验证的方式所带来的系统资源浪费以及系统安全问题。

本发明解决技术问题所采用的技术方案为：一种基于USB-key的安全系统，包括嵌入式设备和插入嵌入式设备内的USB-key，所述嵌入式设备包括显示模块、接收模块、认证模块和服务模块；所述显示模块用于显示系统状态和提醒操作步骤及结果；所述接收模块内置映射端口，接受和处理验证USB-key插入嵌入式设备所触发的信号，验证通过后发送信号开启认证模块；所述认证模块内置加密证书，对接收模块发送的信号进行身份验证，验证通过后开启服务模块；所述服务模块用于开启运对外服务功能。

优选的，所述接收模块内置检测端口，检测接入USB口的硬件是否为对应USB-key类型，检测端口只对已设定的USB-key类型产生响应并发送信号至认证模块。

优选的，所述认证模块的加密证书实现的嵌入式设备和USB-key之间有4种映射模式：一对一、一对多、多对一或多对多。

优选的，所述认证模块在未接入USB-key时不开启，当接收模块检测到USB-key接入并验证后，发送信号至认证模块，认证模块开启，嵌入式设备读取USB-key所储存的用公钥加密的证书，认证模块用私钥对证书进行解密验证；验证完成后认证模块自动关闭。

优选的，认证模块验证USB-key成功后自行开启服务模块，使用对外服务功能；拔出USB-key后接收模块发送关闭指令，服务模块关闭。

优选的，所述USB-key内置外接接口，可安装外接指纹识别器、声纹识别器、虹膜识别器；USB-key内部留有相应空间，安装对应的分析模块。

一种基于上述USB-key的安全系统的方法，包括以下步骤：

（1）在嵌入式设备中录入USB-key的身份信息，形成一对一、一对多、多对一或多对多的捆绑关系，保存记录在认证模块后，关闭认证模块和服务模块；

（2）用户将USB-key接入嵌入式设备，触发接收模块检测端口，检测端口判断属于嵌入式设备对应USB-key类型后，接收模块发出信号；

（3）认证模块收到信号后，开启USB-key身份认证接口；

（4）USB-key身份认证接口对USB-key的身份信息进行认证，认证成功则系统开启对外服务功能，认证失败则提示用户USB-key无效；

（5）开启系统对外服务功能后，用户使用被授权的功能。