一种带有身份鉴别机制的加密机认证方法及装置.pdf

摘要
申请专利号：	CN201410343146.6	申请日：	2014.07.18
公开号：	CN104079414A	公开日：	2014.10.01
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 9/32申请日:20140718\|\|\|公开
IPC分类号：	H04L9/32	主分类号：	H04L9/32
申请人：	成都卫士通信息产业股份有限公司
发明人：	杨勇; 袁健
地址：	610041 四川省成都市高新区云华路333号
优先权：
专利代理机构：	成都九鼎天元知识产权代理有限公司 51214	代理人：	徐宏
PDF下载：	PDF下载

内容摘要

本发明涉及到信息技术领域中加密机的身份鉴别和验证，尤其是一种带有身份鉴别机制的加密机认证方法及装置。本发明针对现有技术存在的问题，提供一种加密机认证方法及装置，加密机从用户登录口令和检测终端密码模块是否与加密机相连两个方面，进行用户身份鉴别，排除非法用户，增强了加密机的安全性。本发明首先是用户进行加密机口令认证登录；当用户登录口令认证通过加密机认证登录后，进行加密机USB端口的PIN码验证；当用户通过加密机USB端口的PIN码验证后，则能进行加密机授权操作；若未通过PIN码验证，则加密机锁定；当终端密码模块未插入加密机USB端口，则加密机自动锁定。当用户登录口令认证失败超过N次，则加密机锁定。

权利要求书

1.  一种带有身份鉴别机制的加密机认证方法，其特征在于包括：
步骤1：用户通过用户登录口令进行加密机认证登录；当用户登录口令认证通过加密机认证登录后，进行加密机USB端口的PIN码验证；当用户登录口令认证失败超过N次，则加密机锁定，需要系统管理员解锁；N为3到5；
步骤2：当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后，用户则能进行加密机授权操作；当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时，则加密机锁定，执行步骤1；当终端密码模块未插入加密机USB端口，则加密机自动锁定，执行步骤1。

2.  根据权利要求1所述的一种带有身份鉴别机制的加密机认证方法，其特征在于在步骤2中当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证，在用户能进行加密机授权操作之后，还包括：
步骤3：当加密机USB端口的终端密码模块从加密机USB端口中拔掉，则加密机自动锁定，并保存当前用户操作环境，执行步骤4；
步骤4:当原用户返回加密机进行操作时，原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证，执行步骤5；否则，当原用户返回之前有另外的用户进行操作时，加密机保存的当前用户环境就被注销；
步骤5：返回保存当前用户操作环节，用户能进行加密机授权操作。

3.  根据权利要求1或2所述的一种带有身份鉴别机制的加密机认证方法，其特征在于所述终端密码模块是USB KEY ，USB KEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USB KEY。

4.  根据权利要求3所述的一种带有身份鉴别机制的加密机认证方法，其特征在于所述用户只能对所述USB KEY进行读操作。

5.  根据权利要求4所述的一种带有身份鉴别机制的加密机认证方法，其特征在于当所述用户通过加密机USB端口的PIN码验证后，能修改用户登录口令。

6.  根据权利要求1所述的一种带有身份鉴别机制的加密机认证装置，其特征在于包括：
终端密码模块，用于进行加密机USB端口的PIN码验证；
加密机，用于当用户登录口令认证通过加密机认证登录后，进行加密机USB端口的PIN码验证；然后，当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后，用户则能进行加密机授权操作；当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时，则加密机锁定，执行步骤1；当终端密码模块未插入加密机USB端口，则加密机自动锁定，执行步骤1；其中当用户登录口令认证失败超过N次，则加密机锁定，需要系统管理员解锁；N为3到5。

7.  根据权利要求6所述的一种带有身份鉴别机制的加密机认证装置，其特征在于当所述加密机USB端口的终端密码模块从加密机USB端口中拔掉，则加密机自动锁定，并保存当前用户操作环境；然后当原用户返回加密机进行操作时，原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证，能返回到保存的当前用户操作环节，原用户能进行加密机授权操作；否则，当原用户返回之前有另外的用户进行操作时，加密机保存的原用户环境就被注销。

8.  根据权利要求6或7所述的一种带有身份鉴别机制的加密机认证装置，其特征在于所述终端密码模块是USB KEY ，USB KEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USB KEY。

9.  根据权利要求8所述的一种带有身份鉴别机制的加密机认证装置，其特征在于所述用户只能对所述USB KEY进行读操作。

10.  根据权利要求9所述的一种带有身份鉴别机制的加密机认证装置，其特征在于当所述用户通过加密机USB端口的PIN码验证后，能修改用户登录口令。

说明书

一种带有身份鉴别机制的加密机认证方法及装置
技术领域
本发明涉及到信息技术领域中加密机的身份鉴别和验证，具体地讲是一种带有身份鉴别机制的加密机认证方法及装置。
背景技术
加密机将密码技术、高性能并发处理技术、网络安全技术、设备自身安全防护技术、高可用性技术等多种先进技术有机融合在一起，构建出保障信息安全的软硬件支撑环境，为信息化基础设施和信息安全保障体系建设提供自主可控的数据安全保障服务。
随着加密机大规模的部署，如何实现加密机的授权使用，如何确保加密机自身的安全，这变成当今行业一个热门的研究课题。本加密机采用终端密码模块硬件USB KEY认证与传统用户登录口令认证相结合的方式，即使有非法窃听者获取用户登录口令，其也因为没有终端密码模块硬件USB KEY，而被加密机判断为非法用户，从而保障加密机自身的信息安全。
发明内容
本发明所要解决的技术问题是：针对上述存在的问题，提供一种带有身份鉴别机制的加密机认证方法及装置。加密机从用户登录口令和检测终端密码模块硬件USB KEY是否与加密机相连（通过该USB KEY的PIN码验证）两个方面进行识别，进行用户身份鉴别，排除非法用户，从而增强了系统的整体安全性。
本发明采用的技术方案如下：
一种带有身份鉴别机制的加密机认证方法包括：
步骤1：用户通过用户登录口令进行加密机认证登录；当用户登录口令认证通过加密机认证登录后，进行加密机USB端口的PIN码验证；当用户登录口令认证失败超过N次，则加密机锁定，需要系统管理员解锁；N为3到5。
步骤2：当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后，用户则能进行加密机授权操作；当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时，则加密机锁定，执行步骤1；当终端密码模块未插入加密机USB端口，则加密机自动锁定，执行步骤1；
进一步的，在步骤2中当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证，在用户能进行加密机授权操作之后，还包括：
步骤3：当加密机USB端口的终端密码模块从加密机USB端口中拔掉，则加密机自动锁定，并保存当前用户操作环境，执行步骤4；
步骤4:当原用户返回加密机进行操作时，原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证，执行步骤5；否则，当原用户返回之前有另外的用户进行操作时，加密机保存的当前用户环境就被注销；
步骤5：返回保存当前用户操作环节，用户能进行加密机授权操作。
进一步的，所述终端密码模块是USB KEY ，USB KEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USB KEY。
进一步的，所述用户只能对所述USB KEY进行读操作。
进一步的，当所述用户通过加密机USB端口的PIN码验证后，能修改用户登录口令。
一种带有身份鉴别机制的加密机认证装置包括：
终端密码模块，用于进行加密机USB端口的PIN码验证；
加密机，用于当用户登录口令认证通过加密机认证登录后，进行加密机USB端口的PIN码验证；然后，当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后，用户则能进行加密机授权操作；当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时，则加密机锁定，执行步骤1；当终端密码模块未插入加密机USB端口，则加密机自动锁定，执行步骤1；其中当用户登录口令认证失败超过N次，则加密机锁定，需要系统管理员解锁；N为3到5；
进一步的，当所述加密机USB端口的终端密码模块从加密机USB端口中拔掉，则加密机自动锁定，并保存当前用户操作环境；然后当原用户返回加密机进行操作时，原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证，能返回到保存的当前用户操作环节，原用户能进行加密机授权操作；否则，当原用户返回之前有另外的用户进行操作时，加密机保存的原用户环境就被注销。
进一步的，所述终端密码模块是USB KEY ，USB KEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USB KEY。
进一步的，所述用户只能对所述USB KEY进行读操作。
进一步的，当所述用户通过加密机USB端口的PIN码验证后，能修改用户登录口令。
综上所述，由于采用了上述技术方案，本发明的有益效果是：
所述加密机需要有终端密码模块硬件（如USB KEY）插入到加密机的USB端口才能进行加密机操作系统的登录，除了原持有终端密码模块硬件USB KEY的操作者外，任何人都不能进入加密机操作系统环境。加密机操作者临时有事离开，拔掉终端密码模块硬件USB KEY，加密机自动锁定，并把用户的工作环境保留下来，其他非授权用户不能进行任何操作。只有等原用户回来后把原终端密码模块硬件USB KEY插入，并通过PIN码验证，系统才会解除锁定。本系统将传统口令登录的方式升级为需要硬件USB KEY的认证加上软件口令认证才能登录，从而完成对系统使用者的身份鉴别，大大提高加密机的安全性。
加密机用户身份鉴别机制是强制性的，任何需要操作加密机的操作者都需要进行身份鉴别，当操作者被判定为合法用户时，才能正常操作加密机，否则无法操作加密机。
用户需要申请终端密码模块硬件USB KEY，管理中心依据用户情况对用户进行某台或某几台加密机的使用进行授权。所有授权信息保存在终端密码模块硬件USB KEY中，并且以加密的形式进行存储。用户只对其中信息有读权限，无写权限。同时，此用户仅对被授权使用的加密机有使用权；对于未授权使用的加密机，此用户不能进行登陆和使用该类加密机。
用户在加密机USB端口的PIN码验证成功后，可以根据自己的偏好修改登用户登录口令。
在加密机大规模部署过程中，登录口令往往会被窃取者通过偷窥，木马程序等方式非法获得，这对加密机的重要数据带来极大的安全隐患。本加密机采用从软件（用户登录口令）和硬件（检测终端密码模块USB KEY是否与加密机相连）两个方面进行用户身份鉴别。非法用户如果没有终端密码模块硬件USB KEY，即使非法获得加密机登录口令也无法访问加密机，也从而增强了加密机的整体安全性。
另外，不少加密机使用者常常因为有急事需要临时离开加密机，但不少会忘记锁定加密机，这样就给犯罪分子带来机会。使用本发明所设计的一种带有身份鉴别机制的加密机及工作方法，用户只需从USB端口拔掉终端密码模块硬件USB KEY，加密机会强制自动锁定，再次登陆加密机时，需要强制进行用户身份鉴别，保证只有合法用户才能操作加密机，从而减小非法使用加密机的风险。
具体实施方式
本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。
本说明书（包括任何附加权利要求、摘要）中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。
1、管理中心需要提前安装相应的密码软件模块到相应的加密机。一旦有用户需要操作这些加密机时，需要向管理中心提出申请，通过审批后获得一个唯一的终端密码模块硬件USB KEY。USB KEY中包含相应的用户信息以及验证信息。
2、没有取得唯一的终端密码模块硬件USB KEY的用户即使取得加密机软件登录口令，也无法登录和访问相应的加密机。
4、加密机锁定指的是加密机不能工作。
5、加密机授权操作指的是允许用户对加密机进行授权读写操作。
6、加密机USB端口的PIN码验证是通过终端密码模块进行验证。
实施例一：
步骤1. 管理中心对申请人员进行审批，审批通过后，为每个用户分发一个唯一的终端密码模块硬件USB KEY，从而完成对用户的授权；
步骤2. 用户从管理中心取得唯一的终端密码模块硬件USB KEY，不能对USB KEY内部进行写操作，同时，终端密码模块硬件USB KEY内部的用户个人信息全部进行加密处理，从而防止个人信息泄密和伪造；
步骤3. 当用户需要操作加密机时，在开机时需要进行身份识别和认证，加密机使用软件口令登录与硬件USB KEY相捆绑的方式。用户首先进行软件口令登陆，成功后，用户必须插入登录加密机的终端密码模块硬件USB KEY，并通过该USB KEY的PIN码验证才能进行下一步操作。这比传统意义上仅需口令输入的系统登录方式要安全许多；
步骤4. 如果PIN码验证不成功或者没有插入终端密码模块硬件USB KEY，则不能登录系统；
步骤5. 如果插入终端密码模块硬件USB KEY进行PIN码验证成功，用户登录加密机成功，可以进行任何授权的操作；
步骤6.如果用户有事临时走开，从USB口拔掉终端密码模块硬件USB KEY，这样加密机就自动锁定，并把用户的工作环境保存下来。当用户返回时，插入USB KEY，再次通过USB KEY的PIN码验证即可返回原有工作环境。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。

资源描述

《一种带有身份鉴别机制的加密机认证方法及装置.pdf》由会员分享，可在线阅读，更多相关《一种带有身份鉴别机制的加密机认证方法及装置.pdf（7页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104079414A43申请公布日20141001CN104079414A21申请号201410343146622申请日20140718H04L9/3220060171申请人成都卫士通信息产业股份有限公司地址610041四川省成都市高新区云华路333号72发明人杨勇袁健74专利代理机构成都九鼎天元知识产权代理有限公司51214代理人徐宏54发明名称一种带有身份鉴别机制的加密机认证方法及装置57摘要本发明涉及到信息技术领域中加密机的身份鉴别和验证，尤其是一种带有身份鉴别机制的加密机认证方法及装置。本发明针对现有技术存在的问题，提供一种加密机认证方法及装置，加密机从用户登录口令和。

2、检测终端密码模块是否与加密机相连两个方面，进行用户身份鉴别，排除非法用户，增强了加密机的安全性。本发明首先是用户进行加密机口令认证登录；当用户登录口令认证通过加密机认证登录后，进行加密机USB端口的PIN码验证；当用户通过加密机USB端口的PIN码验证后，则能进行加密机授权操作；若未通过PIN码验证，则加密机锁定；当终端密码模块未插入加密机USB端口，则加密机自动锁定。当用户登录口令认证失败超过N次，则加密机锁定。51INTCL权利要求书2页说明书4页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书4页10申请公布号CN104079414ACN104079414A1/2页2。

3、1一种带有身份鉴别机制的加密机认证方法，其特征在于包括步骤1用户通过用户登录口令进行加密机认证登录；当用户登录口令认证通过加密机认证登录后，进行加密机USB端口的PIN码验证；当用户登录口令认证失败超过N次，则加密机锁定，需要系统管理员解锁；N为3到5；步骤2当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后，用户则能进行加密机授权操作；当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时，则加密机锁定，执行步骤1；当终端密码模块未插入加密机USB端口，则加密机自动锁定，执行步骤1。2根据权利要求1所述的一种带有身份鉴别机制的加密机认证方法，其。

4、特征在于在步骤2中当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证，在用户能进行加密机授权操作之后，还包括步骤3当加密机USB端口的终端密码模块从加密机USB端口中拔掉，则加密机自动锁定，并保存当前用户操作环境，执行步骤4；步骤4当原用户返回加密机进行操作时，原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证，执行步骤5；否则，当原用户返回之前有另外的用户进行操作时，加密机保存的当前用户环境就被注销；步骤5返回保存当前用户操作环节，用户能进行加密机授权操作。3根据权利要求1或2所述的一种带有身份鉴别机制的加密机认证方法，其特征在于所述终端密码模块是US。

5、BKEY，USBKEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USBKEY。4根据权利要求3所述的一种带有身份鉴别机制的加密机认证方法，其特征在于所述用户只能对所述USBKEY进行读操作。5根据权利要求4所述的一种带有身份鉴别机制的加密机认证方法，其特征在于当所述用户通过加密机USB端口的PIN码验证后，能修改用户登录口令。6根据权利要求1所述的一种带有身份鉴别机制的加密机认证装置，其特征在于包括终端密码模块，用于进行加密机USB端口的PIN码验证；加密机，用于当用户登录口令认证通过加密机认证登录后，进行加密机USB端口的PIN码验证；然后，当用户将终端密码模块插入加密机US。

6、B端口并通过加密机USB端口的PIN码验证后，用户则能进行加密机授权操作；当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时，则加密机锁定，执行步骤1；当终端密码模块未插入加密机USB端口，则加密机自动锁定，执行步骤1；其中当用户登录口令认证失败超过N次，则加密机锁定，需要系统管理员解锁；N为3到5。7根据权利要求6所述的一种带有身份鉴别机制的加密机认证装置，其特征在于当所述加密机USB端口的终端密码模块从加密机USB端口中拔掉，则加密机自动锁定，并保存当前用户操作环境；然后当原用户返回加密机进行操作时，原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证，。

7、能返回到保存的当前用户操作环节，原用户能进行加密机授权操作；否则，当原用户返回之前有另外的用户进行操作时，加密机保存的原用户环境就被注销。权利要求书CN104079414A2/2页38根据权利要求6或7所述的一种带有身份鉴别机制的加密机认证装置，其特征在于所述终端密码模块是USBKEY，USBKEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USBKEY。9根据权利要求8所述的一种带有身份鉴别机制的加密机认证装置，其特征在于所述用户只能对所述USBKEY进行读操作。10根据权利要求9所述的一种带有身份鉴别机制的加密机认证装置，其特征在于当所述用户通过加密机USB端口的PIN码验证。

8、后，能修改用户登录口令。权利要求书CN104079414A1/4页4一种带有身份鉴别机制的加密机认证方法及装置技术领域0001本发明涉及到信息技术领域中加密机的身份鉴别和验证，具体地讲是一种带有身份鉴别机制的加密机认证方法及装置。背景技术0002加密机将密码技术、高性能并发处理技术、网络安全技术、设备自身安全防护技术、高可用性技术等多种先进技术有机融合在一起，构建出保障信息安全的软硬件支撑环境，为信息化基础设施和信息安全保障体系建设提供自主可控的数据安全保障服务。0003随着加密机大规模的部署，如何实现加密机的授权使用，如何确保加密机自身的安全，这变成当今行业一个热门的研究课题。本加密机采用终。

9、端密码模块硬件USBKEY认证与传统用户登录口令认证相结合的方式，即使有非法窃听者获取用户登录口令，其也因为没有终端密码模块硬件USBKEY，而被加密机判断为非法用户，从而保障加密机自身的信息安全。发明内容0004本发明所要解决的技术问题是针对上述存在的问题，提供一种带有身份鉴别机制的加密机认证方法及装置。加密机从用户登录口令和检测终端密码模块硬件USBKEY是否与加密机相连（通过该USBKEY的PIN码验证）两个方面进行识别，进行用户身份鉴别，排除非法用户，从而增强了系统的整体安全性。0005本发明采用的技术方案如下一种带有身份鉴别机制的加密机认证方法包括步骤1用户通过用户登录口令进行加密机。

10、认证登录；当用户登录口令认证通过加密机认证登录后，进行加密机USB端口的PIN码验证；当用户登录口令认证失败超过N次，则加密机锁定，需要系统管理员解锁；N为3到5。0006步骤2当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后，用户则能进行加密机授权操作；当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时，则加密机锁定，执行步骤1；当终端密码模块未插入加密机USB端口，则加密机自动锁定，执行步骤1；进一步的，在步骤2中当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证，在用户能进行加密机授权操作之后，还包括步骤3当。

11、加密机USB端口的终端密码模块从加密机USB端口中拔掉，则加密机自动锁定，并保存当前用户操作环境，执行步骤4；步骤4当原用户返回加密机进行操作时，原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证，执行步骤5；否则，当原用户返回之前有另外的用户进行操作时，加密机保存的当前用户环境就被注销；步骤5返回保存当前用户操作环节，用户能进行加密机授权操作。说明书CN104079414A2/4页50007进一步的，所述终端密码模块是USBKEY，USBKEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USBKEY。0008进一步的，所述用户只能对所述USBKEY进行读操作。00。

12、09进一步的，当所述用户通过加密机USB端口的PIN码验证后，能修改用户登录口令。0010一种带有身份鉴别机制的加密机认证装置包括终端密码模块，用于进行加密机USB端口的PIN码验证；加密机，用于当用户登录口令认证通过加密机认证登录后，进行加密机USB端口的PIN码验证；然后，当用户将终端密码模块插入加密机USB端口并通过加密机USB端口的PIN码验证后，用户则能进行加密机授权操作；当终端密码模块插入加密机USB端口后未通过加密机USB端口的PIN码验证时，则加密机锁定，执行步骤1；当终端密码模块未插入加密机USB端口，则加密机自动锁定，执行步骤1；其中当用户登录口令认证失败超过N次，则加密机。

13、锁定，需要系统管理员解锁；N为3到5；进一步的，当所述加密机USB端口的终端密码模块从加密机USB端口中拔掉，则加密机自动锁定，并保存当前用户操作环境；然后当原用户返回加密机进行操作时，原用户需同时通过用户登陆口令登录及加密机USB端口的PIN码验证，能返回到保存的当前用户操作环节，原用户能进行加密机授权操作；否则，当原用户返回之前有另外的用户进行操作时，加密机保存的原用户环境就被注销。0011进一步的，所述终端密码模块是USBKEY，USBKEY是通过加密机管理中心进行安全认证后统一配发的带有用户信息的USBKEY。0012进一步的，所述用户只能对所述USBKEY进行读操作。0013进一步的。

14、，当所述用户通过加密机USB端口的PIN码验证后，能修改用户登录口令。0014综上所述，由于采用了上述技术方案，本发明的有益效果是所述加密机需要有终端密码模块硬件（如USBKEY）插入到加密机的USB端口才能进行加密机操作系统的登录，除了原持有终端密码模块硬件USBKEY的操作者外，任何人都不能进入加密机操作系统环境。加密机操作者临时有事离开，拔掉终端密码模块硬件USBKEY，加密机自动锁定，并把用户的工作环境保留下来，其他非授权用户不能进行任何操作。只有等原用户回来后把原终端密码模块硬件USBKEY插入，并通过PIN码验证，系统才会解除锁定。本系统将传统口令登录的方式升级为需要硬件USBKE。

15、Y的认证加上软件口令认证才能登录，从而完成对系统使用者的身份鉴别，大大提高加密机的安全性。0015加密机用户身份鉴别机制是强制性的，任何需要操作加密机的操作者都需要进行身份鉴别，当操作者被判定为合法用户时，才能正常操作加密机，否则无法操作加密机。0016用户需要申请终端密码模块硬件USBKEY，管理中心依据用户情况对用户进行某台或某几台加密机的使用进行授权。所有授权信息保存在终端密码模块硬件USBKEY中，并且以加密的形式进行存储。用户只对其中信息有读权限，无写权限。同时，此用户仅对被授权使用的加密机有使用权；对于未授权使用的加密机，此用户不能进行登陆和使用该类加密机。0017用户在加密机US。

16、B端口的PIN码验证成功后，可以根据自己的偏好修改登用户登说明书CN104079414A3/4页6录口令。0018在加密机大规模部署过程中，登录口令往往会被窃取者通过偷窥，木马程序等方式非法获得，这对加密机的重要数据带来极大的安全隐患。本加密机采用从软件（用户登录口令）和硬件（检测终端密码模块USBKEY是否与加密机相连）两个方面进行用户身份鉴别。非法用户如果没有终端密码模块硬件USBKEY，即使非法获得加密机登录口令也无法访问加密机，也从而增强了加密机的整体安全性。0019另外，不少加密机使用者常常因为有急事需要临时离开加密机，但不少会忘记锁定加密机，这样就给犯罪分子带来机会。使用本发明所设。

17、计的一种带有身份鉴别机制的加密机及工作方法，用户只需从USB端口拔掉终端密码模块硬件USBKEY，加密机会强制自动锁定，再次登陆加密机时，需要强制进行用户身份鉴别，保证只有合法用户才能操作加密机，从而减小非法使用加密机的风险。具体实施方式0020本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。0021本说明书（包括任何附加权利要求、摘要）中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。00221、管理中心需要提前安装相应的密码软件。

18、模块到相应的加密机。一旦有用户需要操作这些加密机时，需要向管理中心提出申请，通过审批后获得一个唯一的终端密码模块硬件USBKEY。USBKEY中包含相应的用户信息以及验证信息。00232、没有取得唯一的终端密码模块硬件USBKEY的用户即使取得加密机软件登录口令，也无法登录和访问相应的加密机。00244、加密机锁定指的是加密机不能工作。00255、加密机授权操作指的是允许用户对加密机进行授权读写操作。00266、加密机USB端口的PIN码验证是通过终端密码模块进行验证。0027实施例一步骤1管理中心对申请人员进行审批，审批通过后，为每个用户分发一个唯一的终端密码模块硬件USBKEY，从而完成对。

19、用户的授权；步骤2用户从管理中心取得唯一的终端密码模块硬件USBKEY，不能对USBKEY内部进行写操作，同时，终端密码模块硬件USBKEY内部的用户个人信息全部进行加密处理，从而防止个人信息泄密和伪造；步骤3当用户需要操作加密机时，在开机时需要进行身份识别和认证，加密机使用软件口令登录与硬件USBKEY相捆绑的方式。用户首先进行软件口令登陆，成功后，用户必须插入登录加密机的终端密码模块硬件USBKEY，并通过该USBKEY的PIN码验证才能进行下一步操作。这比传统意义上仅需口令输入的系统登录方式要安全许多；步骤4如果PIN码验证不成功或者没有插入终端密码模块硬件USBKEY，则不能登录系统；步骤5如果插入终端密码模块硬件USBKEY进行PIN码验证成功，用户登录加密机成说明书CN104079414A4/4页7功，可以进行任何授权的操作；步骤6如果用户有事临时走开，从USB口拔掉终端密码模块硬件USBKEY，这样加密机就自动锁定，并把用户的工作环境保存下来。当用户返回时，插入USBKEY，再次通过USBKEY的PIN码验证即可返回原有工作环境。0028本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。说明书CN104079414A。

展开阅读全文