本發明公開了一種基于動態安全環境的特權賬號認證方法，包括：S1，采集應用場景信息并確定應用場景的安全環境等級；S2，確定賬號類別，賬號類別包括特權賬號、危險賬號和普通賬號；S3，對于賬號類別為特權賬號的賬號類別，基于安全環境等級進行特權賬號認證。還公開了一種基于動態安全環境的特權賬號認證系統，包括：后臺管理門戶、資源管理模塊和日志管理模塊、集中身份鑒別模塊、數據保險柜、加密機以及包括動態口令插件的客戶端，還公開了對應的電子設備以及計算機可讀存儲介質。

技術領域

本發明屬于計算機安全認證以及動態口令認證技術領域，尤其涉及一種基于動態安全環境的特權賬號認證方法及系統。

背景技術

隨著互聯網的發展，動態口令認證系統項目應運營商、金融類企業等的身份安全認證需求而出現，主要集中在網銀身份認證、網游身份認證、移動支付身份認證、企業內部登錄認證、電信自營業務身份認證等方面。動態口令認證架構于Web應用之上，運用HTTP協議進行通信，Web服務器使用的是Tomcat，數據庫服務器使用的是Oracle。動態口令認證系統基于J2EE架構，架構復雜，而OTP(全程One-time Password，也稱動態口令)包括基于時間、基于計數器以及基于挑戰應答三種方式的動態口令算法，而無論哪一種認證操作都需要首先從數據庫中取得用戶的相應信息，包括種子、集成電路卡號等數據信息，然后再進行哈希運算，因此對于大量并發請求，IPT系統就要大量操作數據庫，進行數據信息的查詢與更新。此外，目前OTP系統用戶數還比較有限，更多關心的是口令認證操作的正確性、安全性，卻沒有過多的考慮過當用戶數量很多，且存在賬號的不同特權的情況下，并發請求操作頻繁，且安全環境屬于動態變化的情況下，系統是否能夠依然保持高效運行，及目前沒有針對不同安全等級需求的多種應用環境下的OTP系統，在保證用戶認證高安全性的前提下，設計出高并發請求情況下系統在特權賬號認證安全性、吞吐率、響應速度都優秀的高效解決方案。

發明內容

本發明的目的是提供一種基于動態安全環境的特權賬號認證方法及系統，以操作系統特權賬戶和口令管理為設計目標、面向服務器管理員的服務器特權賬號和口令管理工具，可以幫助服務器管理員在特權賬號認證安全性、吞吐率、響應速度都優秀的情況下高效、安全地梳理全網特權賬號及權限，區分出特權賬號、危險賬號、普通賬號，掌握特權賬號登錄活動，利用動態口令技術解決特權賬號口令日常運維效率和安全問題。

本發明一方面提供了一種基于動態安全環境的特權賬號認證方法，包括：

S1，采集應用場景信息并確定應用場景的安全環境等級；

S2，確定賬號類別，所述賬號類別包括特權賬號、危險賬號和普通賬號；

S3，基于所述安全環境等級對于所述賬號類別為特權賬號的賬號類別進行特權賬號認證。

優選的，所述S1所述安全環境等級包括：高安全等級環境的應用場景和中低安全等級環境的應用場景；所述高安全等級環境的應用場景包括網銀登陸和移動支付認證；所述中低安全等級環境的應用場景包括網游登錄認證、企業內部登錄以及Wi-Fi接入登錄認證。

優選的：所述S3中所述基于所述安全環境等級進行特權賬號認證包括：

S31,加載一對多口令生成算法，所述一對多口令生成算法基于加密種子密鑰設計，同一賬號在不同服務器可擁有不同的動態口令；

S32，基于令牌生成動態口令；

S33，基于安全等級選擇動態口令生成因子作為動態口令權重；

S34，建立多因素安全身份鑒別機制，包括用戶記憶的靜態口令和S32基于令牌生成的動態口令相結合，以實現對于特權賬號的多重身份鑒別保險；

S35，認證接收后針對每個所述綜合口令產生一個臨時的會話密鑰，并加蓋時間戳后存儲在災備服務器中作為后期審計和驗證使用。