本發明公開一種建立連接的方法、裝置、終端及存儲介質，方法包括：通過SSH客戶端獲取登錄數據；將登錄數據發送給TEE設備；若TEE設備獲取用戶的生物身份特征，使用與生物身份特征對應的私鑰對登錄數據進行簽名，得到簽名數據并反饋給SSH客戶端；將簽名數據發送給SSH服務器；在公鑰庫中查找公鑰對簽名數據進行驗簽，并對驗簽成功的公鑰所對應的用戶進行記錄，及對登錄數據進行認證，若認證通過，則允許SSH客戶端建立連接。本方案通過TEE設備對用戶密碼信息利用私鑰進行簽名，之后SSH服務器對該簽名數據使用對應的公鑰進行簽名驗證，提供雙因子認證，同時通過生物身份特征，能夠對所執行連接操作的人員進行識別審計。

技術領域

本發明涉及計算機安全技術領域，尤其涉及一種建立連接的方法、裝置、終端及存儲介質。

背景技術

SSH(Secure Shell，安全外殼協議)是一組用于安全地訪問遠程計算機的連接工具，它對所有的傳輸數據進行加密，有效地阻止了竊聽、連接劫持，以及其他網絡級的攻擊。但是，SSH是基于用戶名密碼方式進行身份認證的，一旦造成密碼泄漏，攻擊者就可以入侵系統。同時，使用單一用戶名密碼認證，系統只能識別到是系統內的用戶；對于不同的人員登錄系統時，系統都無法識別到具體是什么人員登錄了系統。

由此，目前需要有一種方案來解決現有技術中的問題。

發明內容

有鑒于此，本發明提出來一種建立連接的方法、裝置、終端及存儲介質，用于解決現有技術中的問題。

具體的，本發明提出了以下具體的實施例：

本發明實施例提出了一種建立連接的方法，包括：

通過SSH客戶端獲取登錄數據；

通過所述SSH客戶端將所述登錄數據發送給TEE設備；

若所述TEE設備獲取用戶的生物身份特征，使用與所述生物身份特征對應的私鑰對所述登錄數據進行簽名，得到簽名數據并反饋給所述SSH客戶端；

通過所述SSH客戶端將所述簽名數據發送給SSH服務器；

通過所述SSH服務器在公鑰庫中查找公鑰對所述簽名數據進行驗簽，并對驗簽成功的公鑰所對應的用戶進行記錄，以及對驗簽成功后得到的登錄數據進行認證，若認證通過，則允許所述SSH客戶端建立連接。

在一個具體的實施例中，還包括：

獲取用戶的生物身份特征；

基于用戶的生物身份特征生成包括私鑰與公鑰的密鑰對；

將所述私鑰存儲在所述TEE設備中，將所述公鑰存儲在所述SSH服務器的公鑰庫中。

在一個具體的實施例中，所述生物身份特征包括：指紋、虹膜及人臉圖像中的至少一種；

所述登錄數據包括用戶名與密碼。

在一個具體的實施例中，在通過所述SSH客戶端將所述登錄數據發送給TEE設備之后，還包括：

提示用戶在所述TEE設備上輸入生物身份特征。

在一個具體的實施例中，若所述TEE設備獲取用戶的生物身份特征，使用與所述生物身份特征對應的私鑰對所述登錄數據進行簽名，包括：

若所述TEE設備獲取用戶的生物身份特征，通過所述TEE設備對所述生物身份特征進行身份驗證，并在身份驗證通過后，使用與所述生物身份特征對應的私鑰對所述登錄數據進行簽名。

在一個具體的實施例中，所述通過所述SSH客戶端將所述簽名數據發送給SSH服務器，包括：

通過所述SSH客戶端將所述簽名數據加密后得到加密數據發送給SSH服務器；