本发明涉及电子信息,具体而言,为一种多因素识别认证的数据安全访问控制系统。
背景技术:
1、目前,电子设备(简称为设备)通常包括一操作系统,数据在设备的存储设备中结构化存储,其形式通常包括数据库系统,文件系统等(数据库在存储设备中的存储也往往表现为一个或若干文件的形式)。管理数据的文件系统或数据库系统通常采用针对用户的访问权限控制机制,控制到访问、读、写、删除等操作的权限。而用户一旦拥有了这些权限,则可以不受限制地传播和复制数据,带来主动泄密的可能性。
2、重要数据包括对于个人、组织、社会甚至国家的隐私、财产、商业机密、电子资产、安全信息等数据。重要数据很容易通过各种访问方式泄密流失。如何防止重要数据泄密成为一个问题。如公开号为cn115758324a的专利公开了一种数据安全访问控制系统与方法,通过将数据储存空间分为受控访问单元、限制访问单元和非受控访问单元,将不同数据储存在不同单元,并且通过设置访问登录单元,用来区分访问用户,再结合数据访问展示模块控制区分对受控访问单元和限制访问单元的读、写访问,实现严格控制该进程对数据传播,从而达到管理重要数据的目的;通过访问单元将数据访问密钥与预设密钥进行对比,当一致时,用户才能通过受监控单元进程对受控访问单元内的数据进行读访问和写访问。然而,现有的对于数据进行数字密钥加密的方式过于单一,加密软件被破解的可能性较大,因此保密数据泄密的风险较高。
3、因此,推出一种多因素识别认证的数据安全访问控制系统。
技术实现思路
1、本发明的目的在于提供一种多因素识别认证的数据安全访问控制系统,旨在解决上述背景技术中,现有的对于数据进行数字密钥加密的方式过于单一,加密软件被破解的可能性较大,因此保密数据泄密的风险较高的问题。
2、为实现上述目的,本发明提供如下技术方案:一种多因素识别认证的数据安全访问控制系统,所述系统包括:
3、数据存储单元,用于通过加密存储的方式整合和打包收藏待访问的数据,同时具备对存储的数据进行读出或写入操作;
4、加密处理模块,用于通过数字秘钥加密和生物特征加密的处理方式对待存储的电子数据进行加密处理,加强数据的安全保护等级;
5、访问登录模块,用于提供给用户登录系统进行数据访问查询的操作窗口,服务用户进行账户验证登录操作;
6、访问认证单元,用于对用户登录系统时进行身份信息和账户权限的识别认证,通过密码识别结合生物特征验证的多因素识别方式,以确定用户是否具备登录系统来访问数据的允许权限;
7、令牌管控单元,用于通过匹配外置的硬件令牌连接访问接口对系统进行二次加密处理,并利用对硬件令牌的管控来进行数据安全访问的风险控制;
8、访问监控单元,用于对用户访问数据行为进行在线监控,并针对用户在访问时对数据的操作利用量化分析模型进行风险计算评估,以在用户行为超出安全阈值时进行报警。
9、进一步地,所述系统还包括,
10、访问记录模块,用于根据时间排序,自动在用户登录系统进行数据访问时生成访问日志,记录用户的访问记录索引;
11、时间管控单元,用于通过对存储数据访问时间的随机限制锁定,无规律的自动设置允许用户登录系统访问数据的安全时间,规划时间外访问时触发报警;
12、权限数据库,用于根据用户注册登录系统时的账户生成权限角色身份并存储,将用户身份信息和权限角色身份进行绑定后赋予其登录系统相应的访问权限;
13、无线通讯模块,用于与系统管理者的无线终端进行信号连接,通过无线信号传输的方式进行系统和系统管理者的信息交互传输。
14、进一步地,所述加密处理模块包括基础加密模块和生物加密模块,其分别用于通过数字加密和采集用户身体特征信息加密的方式对待存储的数据进行安全加密处理,生物加密模块采集的用户身体特征信息至少包括指纹信息、面部信息、虹膜信息和声纹信息中的两种。
15、进一步地,所述访问认证单元包括,
16、密码识别模块,通过检验识别用户登录系统时输入的数字指令核验其身份信息及角色权限,查看其是否具备访问数据的权限资格;
17、生物特征识别模块,用于实时采集用户登录时的身体特征信息来进行识别分析匹配,查看其是否具备访问数据的权限资格;
18、硬件令牌识别模块,用于对插入访问接口的硬件令牌进行信息交互,和其内部的预留信息匹配成功后开放系统登录窗口。
19、进一步地,所述访问认证单元验证用户权限的操作流程如下:
20、s1:将硬件令牌插入服务器的访问接口上,硬件令牌识别模块随即同步对硬件令牌内预置信息进行读取识别匹配;
21、s2:硬件令牌内预置信息读取识别并成功匹配后,输出检测信号,开放登录系统的认证操作窗口权限,使其自动弹出进行显示;
22、s3:用户根据系统提示,通过输入验证密码,以及实时采集自身包括指纹信息、面部信息、虹膜信息或声纹信息在内的生物特征识别信息进行验证输入;
23、s4:用户筒密码输入和生物特征识别信息的输入认证后则登录系统成功,系统允许用户根据自身权限访问数据,反之,连续认证识别失败两次后触发系统安全报警并通知管理者。
24、进一步地,所述令牌管控单元包括,
25、令牌定位模块,用于实时定位硬件令牌所处的地理位置信息,查看硬件令牌与其绑定的管理者之间的距离,硬件令牌超出远离管理者身边的有效距离后报警;
26、范围调设模块,用于管理者对硬件令牌的移动有效距离进行调设控制,把控硬件令牌距离管理者的距离远近;
27、范围核定模块,用于根据对硬件令牌的实时定位数据,与其设置的移动范围距离进行核定对比,检测硬件令牌是否超出管理者身边的有效距离。
28、进一步地,所述时间管控单元包括,
29、时间规划模块,用于系统针对储存数据的访问时间进行无规律的自动规划设置,并上传系统备份后开始执行,限定用户的具体访问数据的时间;
30、时间调设模块,用于在管理者授予其他用户登录系统访问数据的权限后主动调设更改访问数据的时间,保证授权用户在即时时间段内正常登录系统以访问数据;
31、时间核定模块,用于根据在用户登录访问数据时的实时时间,与系统无规律自动规划设置的访问时间进行核定对比,查看当前访问时间是否在系统的规划设置内;
32、时间限制模块,用于设定限制用户每次登录系统进行数据访问时的时间长短,权限等级越高的用户允许访问时间越长。
33、进一步地,所述时间管控单元针对访问数据时间管控流程如下:
34、步骤一:用户获得管理者的硬件令牌,通过硬件令牌的识别认证后开启系统登录窗口;
35、步骤二:管理者在给出硬件令牌前登录系统调设访问时间,允许用户进行即时的数据访问;
36、步骤三:用户在管理者调设好的访问时间内登录系统以完成身份认证,系统基于时间核定模块核定访问时间,访问时间匹配成功后用户进入访问,反之,在未获得管理者授权前提下得到硬件令牌登录系统进行访问时,系统随机设定的允许访问时间不是即时时间,访问时间匹配失败触发报警。
37、进一步地,所述访问监控单元包括,
38、访问追踪模块,用于在用户进行数据访问时实时追踪记录用户的操作步骤,记录用户针对数据内容进行的具体操作和行为;
39、对比分析模块,用于针对用户在访问数据时进行的操作行为,对其访问的数据内容前后变化进行对比分析,记录数据访问前后的异同;
40、风险评估模块,用于针对用户在访问数据时进行的操作行为进行风险评估,计算出的风险值超出设置预警阈值时触发报警,并开启紧急锁定模块对系统进行进行锁死,截停用户的操作行为。
41、进一步地,所述风险评估模块基于风险量化分析模型的计算方式如下:
42、r=r(s,w,v,t)=r(s,d(w,v),p(v,t))
43、式中,r为风险值;r为风险计算函数;s为安全措施有效性系数;v表示脆弱性严重程度;t表示威胁的程度;w为资产的价值;d(w,v)表示安全事件导致的损失;而p(v,t)则表示安全事件发生的概率。
44、与现有技术相比,本发明的有益效果如下:
45、本发明提出的一种多因素识别认证的数据安全访问控制系统,通过加密处理模块基于数字加密和采集用户的指纹信息、面部信息、虹膜信息和声纹信息等身体特征信息进行生物加密处理,并利用硬件令牌对系统的登录认证窗口进行弹出锁定处理,用户基于硬件令牌解锁登录认证窗口后,利用数字密码输入结合指纹识别、面部识别、虹膜识别和声纹识别等多因素同步识别方式进行认证登录系统,极大的提高了系统储存保密文件的安全性,避免单一加密储存数据易被破解的问题。
1.一种多因素识别认证的数据安全访问控制系统,其特征在于,所述系统包括:
2.如权利要求1所述的一种多因素识别认证的数据安全访问控制系统,其特征在于:所述系统还包括,
3.如权利要求1所述的一种多因素识别认证的数据安全访问控制系统,其特征在于:所述加密处理模块包括基础加密模块和生物加密模块,其分别用于通过数字加密和采集用户身体特征信息加密的方式对待存储的数据进行安全加密处理,生物加密模块采集的用户身体特征信息至少包括指纹信息、面部信息、虹膜信息和声纹信息中的两种。
4.如权利要求3所述的一种多因素识别认证的数据安全访问控制系统,其特征在于:所述访问认证单元包括,
5.如权利要求4所述的一种多因素识别认证的数据安全访问控制系统,其特征在于:所述访问认证单元验证用户权限的操作流程如下:
6.如权利要求1所述的一种多因素识别认证的数据安全访问控制系统,其特征在于:所述令牌管控单元包括,
7.如权利要求2所述的一种多因素识别认证的数据安全访问控制系统,其特征在于:所述时间管控单元包括,
8.如权利要求7所述的一种多因素识别认证的数据安全访问控制系统,其特征在于:所述时间管控单元针对访问数据时间管控流程如下:
9.如权利要求1所述的一种多因素识别认证的数据安全访问控制系统,其特征在于:所述访问监控单元包括,
10.如权利要求9所述的一种多因素识别认证的数据安全访问控制系统,其特征在于:所述风险评估模块基于风险量化分析模型的计算方式如下:
