一种用户访问安全管理方法、终端设备及存储介质与流程

1.本发明涉及用户访问管理领域，尤其涉及一种用户访问安全管理方法、终端设备及存储介质。


背景技术：

2.随着信息科技的快速发展，数据信息的安全显得越来越重要。用户身份认证是安全的第一道大门，是各种安全措施可以发挥作用的前提。随着互联网的不断发展，国内外网络诈骗事件层出不穷，给一些保密级别较高的机构的安全性带来了极大的挑战，同时也引起了人们对网络身份的信任危机，如何防范身份冒用等问题也成了各机构最为关注的问题。由此，身份验证、动态授权，数据加密等技术应运而生，尤其是多用户访问各自存储以及数据等方面更需要安全与独立的访问系统。
3.身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界，在这个数字世界中，一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。
4.目前在很多系统中的登录基本上都只是采用单一形式，如账号密码登录或者短信验证登录等，安全性问题容易被忽视，而且多用户访问同一套存储或者同一份数据，造成相互泄密的风险问题，有也只是逻辑上数据隔离，对保密级别较高机构带来安全隐患。


技术实现要素：

5.为了解决上述问题，本发明提出了一种用户访问安全管理方法、终端设备及存储介质。
6.具体方案如下：
7.一种用户访问安全管理方法，包括以下步骤：
8.s1：接收到用户登陆成功信息后，获取登陆用户的用户名和用户的创建时间，并将用户名和创建时间组合生成该用户对应的校验码；
9.s2：对校验码进行加密运算得到对应的加密校验码；
10.s3：根据校验码和加密校验码生成对应的密码和密钥文件；
11.s4：根据密码和校验码对密钥文件进行解密后，如果解密成功，进入s5；如果解密失败，则结束；
12.s5：根据密码和密钥文件通过存储系统加密软件对用户文件目录进行加载，如果加载成功，进入s7；如果加载失败，进入s6；
13.s6：根据密码和密钥文件对用户文件目录进行初始化；
14.s7：通过存储系统加密软件将用户的存储文件和用户登陆后的生成的操作文件均加载至用户文件目录下。
15.进一步的，在步骤s1接收到用户登陆成功信息之前，还包括在用户登陆过程中通过用户基本信息和用户人体物理体征信息进行双重验证。
16.进一步的，用户人体物理体征信息为人脸或指纹。
17.进一步的，将用户名和创建时间组合生成校验码的方法为：设定校验码为用户名、创建时间和用户名倒序三者的顺序拼接，且相连的两者之间通过间隔符进行连接。
18.进一步的，间隔符为由至少两个字符组成的数组。
19.进一步的，步骤s2中加密运算采用md5算法进行。
20.进一步的，密码通过截取加密校验码的前、后数据位组合得到。
21.进一步的，密码通过截取加密校验码的前四位和后四位组合得到。
22.进一步的，密钥文件包括密钥文件名、密钥文件内容原文和密钥文件内容密文三部分。
23.进一步的，密钥文件名通过截取加密校验码中除密码截取之外的前、后数据位组合得到。
24.进一步的，密钥文件名通过截取加密校验码的前5-8位和后5-8位组合得到。
25.进一步的，密钥文件内容原文采用与校验码相同的值。
26.进一步的，密钥文件内容密文通过在密钥文件内容原文的基础上进行可逆的加密运算得到。
27.进一步的，密钥文件内容密文具体获取过程包括以下步骤：
28.s301：将密钥文件内容原文与校验码的长度进行异或运算；
29.s302：采用密码对异或运算结果进行des加密；
30.s303：将des加密后的结果作为密钥文件内容密文。
31.一种用户访问安全管理终端设备，包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本发明实施例上述的方法的步骤。
32.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例上述的方法的步骤。
33.本发明采用如上技术方案，通过密码和密钥文件双因子验证加载用户文件目录，并将根据用户信息动态加载用户目录以及数据文件，真正做到了一用户一数据一存储的物理隔绝。
附图说明
34.图1所示为本发明实施例一的流程图。
具体实施方式
35.为进一步说明各实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。
36.现结合附图和具体实施方式对本发明进一步说明。
37.实施例一：
38.本发明实施例提供了一种用户访问安全管理方法，如图1所示，所述方法包括以下步骤：
39.s1：接收到用户登陆成功信息后，获取登陆用户的用户名和用户的创建时间，并将用户名和创建时间组合生成该用户对应的校验码。
40.该实施例中在步骤s1接收到用户登陆成功信息之前，还包括在用户登陆过程中通过用户基本信息(账号、密码等)和用户人体物理体征信息(人脸或者指纹，优选人脸)进行双重验证。通过账号密码和人体物理特征相结合的登录方式，达到了双因子认证效果，任何人拿到他人账号密码而没有账号本人的人体物理特征值则无法登录。
41.该实施例中用户的用户名为username，创建时间为createtime，则组合生成的校验码password_source(长度l位)为：
42.password_source＝(username decollator createtime de collator username_reverse)
43.其中，间隔符decollator采用数组形式，具体为：
44.decollator＝new byte[]{0x01,0x02}
[0045]
sername_reverse为用户名倒序。
[0046]
通过本实施例方式设定的间隔符是比较特殊且难计算出来，再通过三者之间组合第三方根本无法攻破，极大的提高了安全性。在其他实施例中间隔符也可以采用其他形式，在此不做限定。
[0047]
s2：对校验码进行加密运算得到对应的加密校验码。
[0048]
该实施例中加密校验码为password_source_md5(长度32位)＝getmd5hash(password_source(长度l位)。
[0049]
该实施例中加密运算采用常用的md5算法进行，在其他实施例中也可以采用其他加密算法，如国密4等，在此不做限定。
[0050]
s3：根据校验码和加密校验码生成对应的密码和密钥文件。
[0051]
该实施例中密码通过加密校验码得到，具体为截取加密校验码password_source_md5(长度32位)中的前四位和后四位组合得到，具体截取如表1所示。在其他实施例中也可以截取其他位数的数字进行组合，在此不做限定。
[0052]
表1
[0053]
位置0123
……
28293031假设值x0x1x2x3
……
y0y1y2y3
[0054]
从表1中可以得出密码为：password＝x0x1x2x3y0y1y2y3。其中的x和y是未知值代字母，但不限于x和y。
[0055]
密钥文件的内容主要包括三部分：密钥文件名、密钥文件内容原文和密钥文件内容密文。
[0056]
(1)密钥文件名：类似密码的获取方式，通过截取加密校验码password_source_md5(长度32位)中的前5-8位和后5-8位组合得到，具体截取如表2所示。在其他实施例中也可以截取其他位数的数字进行组合，在此不做限定。
[0057]
表2
[0058]
位置
…
4567
……
24252627
…
假设值
…
a0a1a2a3
……
b0b1b2b3 [0059]
从表2中可以得出密钥文件名为：password_file_name＝a0a1a2a3b0b1b2b3.my。其中后缀名该实施例中自定义为my，没有特殊意义，在其他实施例中本领域技术人员可以自定义其他后缀名，在此不做定。
[0060]
(2)密钥文件内容原文：为了区分每个用户，密钥文件内容原文采用与校验码password_source相同的值，即密钥文件内容原文为：用户名 间隔符 创建时间 间隔符 用户名倒序。
[0061]
(3)密钥文件内容密文通过在密钥文件内容原文的基础上进行可逆的加密运算得到，具体获取过程包括以下步骤：
[0062]
s301：将密钥文件内容原文与校验码的长度l进行异或运算；
[0063]
s302：采用密码password对异或运算结果进行des加密；
[0064]
s303：将des加密后的结果作为密钥文件内容密文。
[0065]
上述加密过程具有可逆性，解密算法可按照上述加密流程逆向解密，具体流程不再累赘。
[0066]
密钥文件内容加密是为防止人为手动直接引用密钥源文件加载用户文件目录，密钥文件只是在解密瞬间解密为原文，其余任何时候密钥文件均以密文形式存在。
[0067]
密钥文件是在登录成功后由系统判断密钥文件是否存在，不存在则创建并归档，所有用户对应的密钥文件均可归档到同一目录下。
[0068]
s4：根据密码和校验码对密钥文件进行解密后，如果解密成功，进入s5；如果解密失败，则结束。
[0069]
s5：根据密码和密钥文件通过存储系统加密软件对用户文件目录进行加载，如果加载成功，进入s7；如果加载失败，进入s6。
[0070]
加载失败则说明用户文件目录未初始化或者对应存储文件损坏，因此需要先进行步骤s6的初始化。
[0071]
s6：根据密码和密钥文件对用户文件目录进行初始化。
[0072]
用户文件目录主要通过存储文件来进行加载，每个用户初始化的存储文件设置为50g，该加载过程可以通过存储系统加密软件来完成。
[0073]
s7：通过存储系统加密软件将用户的存储文件和用户登陆后的生成的操作文件均加载至用户文件目录下。
[0074]
对于终端应用系统来说，一次只允许一个用户登录，故不同的用户文件目录可加载为同一目录(每个用户登录后看到目录一致，但里面数据不同)。
[0075]
将用户的操作文件写入用户文件目录下，可以实现一用户一数据一存储的目的，对安全方面做到物理隔绝。
[0076]
本发明实施例使得设备允许多人使用而又互不干扰，数据互相隔绝，信息互相透明，满足安全、方便以及自动化，而且整个方案具备了自主发明技术，防止设备丢失导致数据泄密或访问不同用户数据等风险。
[0077]
本发明实施例目前已实现并在单机版的移动电脑设备相关产品中广泛使用，特别针对政府机关内部的产品应用场景，更加符合了安全、可控等特性。同时该产品通用性极强，在其他网络中对移动性较高且安全性要求比较高的均可部署使用。
[0078]
实施例二：
[0079]
本发明还提供一种用户访问安全管理终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本发明实施例一的上述方法实施例中的步骤。
[0080]
进一步地，作为一个可执行方案，所述用户访问安全管理终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述用户访问安全管理终端设备可包括，但不仅限于，处理器、存储器。本领域技术人员可以理解，上述用户访问安全管理终端设备的组成结构仅仅是用户访问安全管理终端设备的示例，并不构成对用户访问安全管理终端设备的限定，可以包括比上述更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述用户访问安全管理终端设备还可以包括输入输出设备、网络接入设备、总线等，本发明实施例对此不做限定。
[0081]
进一步地，作为一个可执行方案，所称处理器可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述用户访问安全管理终端设备的控制中心，利用各种接口和线路连接整个用户访问安全管理终端设备的各个部分。
[0082]
所述存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现所述用户访问安全管理终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据手机的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
[0083]
本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。
[0084]
所述用户访问安全管理终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)以及软件分发介质等。
[0085]
尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对
本发明做出各种变化，均为本发明的保护范围。