一种基于指纹设备登录Windows域的方法和系统与流程

一种基于指纹设备登录windows域的方法和系统
技术领域
1.本发明涉及身份认证技术领域，特别是一种基于指纹设备登录windows域的方法和系统。


背景技术：

2.随着windows系统的更新发展，windows操作系统登录程序也在不断改进，在windows vista和win7系统中，微软摒弃了原有的交互式登录gina模型，使用了凭据提供程序(windows credential provider),通过微软提供的这套接口可以实现丰富的身份认证，相对于原有的windows登录系统的用户和口令的登录方式，通过指纹设备与windows credential provider结合的方式，使用指纹代替用户的口令。
3.在此背景之下，本发明提供了一种基于指纹设备登录windows域系统的实现方式。


技术实现要素：

4.本发明的目的在于提供一种基于指纹设备登录windows域的方法和系统，相比较原有的用户名和口令的登录方式，提高了windows域登录过程的安全性。
5.为解决上述问题，本发明实施例提供一种基于指纹设备登录windows域的方法，包括：
6.s1：在服务端部署windows域服务和证书服务；
7.s2：为用户分配windows域账号；
8.s3：用户通过证书申请服务获取与windows域账号绑定的证书，将证书私钥安全存储在指纹设备中；
9.s4：用户登录windows域时，使用指纹设备验证用户的指纹，验证通过后使用指纹设备中存储的证书私钥完成windows域登录。
10.进一步地，步骤s1包括：
11.s101：在服务端安装证书服务；
12.s102：添加证书模板；
13.s103：安装域控制器证书，所述域控制器证书用于安全套接字层身份验证、远程过程调用签名和指纹设备登录过程。
14.进一步地，所述安装证书服务包括在服务端安装根证书颁发机构，将windows域中的所有客户机添加到受信任的根证书颁发机构的证书存储区域。
15.进一步地，所述添加证书模板包括在添加证书模板对话框中选择指纹设备用户，为指纹设备用户设置证书的注册、读取权限。
16.进一步地，在步骤s3和步骤s4之间，所述方法还包括：
17.s3’：定制windows credential provider com库，包括自定义用户登录界面的接口以及处理和提交用户登录凭证的接口；
18.s3”：在客户端部署程序包，以使得重新启动客户机，插入指纹设备后登录界面提
供用户输入指纹登录windows域。
19.进一步地，步骤s3”中，根据步骤s3’生成的dll库文件，编写注册表注册脚本，在注册表目录下增加dll库的引用，并与指纹设备的驱动程序合成安装包，通过安装程序安装到客户机中。
20.进一步地，所述指纹设备为智能卡设备。
21.本发明实施例还提供一种基于指纹设备登录windows域的系统，包括服务端、客户机和指纹设备，其中，
22.所述服务端部署windows域服务和证书服务，为用户分配windows域账号；
23.所述客户机的用户通过证书申请服务获取与windows域账号绑定的证书，将证书私钥安全存储在指纹设备中；
24.客户机用户登录windows域时，使用指纹设备验证用户的指纹，验证通过后使用指纹设备中存储的证书私钥完成windows域登录。
25.与现有技术相比，本发明的具有如下有益效果：相比较原有的用户名和口令的登录方式，指纹设备的认证方式需要用户身份的的双重认证，可抵御非法访问者，提高了windows系统登录过程的安全性。
附图说明
26.图1为实现本发明实施例提供的基于指纹设备登录windows域的体系结构示意图；
27.图2为本发明实施例提供的基于指纹设备登录windows域的方法流程图；
28.图3为在服务端部署windows域服务和证书服务的子步骤流程图；
29.图4为定制windows credential provider com库和在客户端部署程序包的流程图。
具体实施方式
30.下面将参考附图中示出的若干示例性实施方式来描述本发明的原理和精神。应当理解，描述这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明，而并非以任何方式限制本发明的范围。
31.本发明实施例提供一种基于指纹设备登录windows域的方法，包括如下步骤：
32.s1：在服务端部署windows域服务和证书服务。
33.s101：在服务端安装证书服务，具体包括在服务端安装根证书颁发机构(ca)，将windows域中的所有客户机添加到受信任的根证书颁发机构的证书存储区域。
34.应当理解的是，服务端安装根ca需要活动目录服务(ad)域的支持，因此在步骤s101开始前默认已在服务端安装了活动目录服务，建立了windows域。
35.s102：添加证书模板，具体包括在添加证书模板对话框中选择指纹设备用户，为指纹设备用户设置证书的注册、读取权限。
36.服务端安装完证书服务后，就可以为客户机提供证书下载服务。本实施例中，指纹设备为智能卡。
37.s103：安装域控制器证书，所述域控制器证书用于安全套接字层(ssl)身份验证、远程过程调用(rpc)签名和指纹设备登录过程。对指纹设备用户进行身份验证的每一个域
控制器上必须有一个域控制器证书。
38.s2：为用户分配windows域账号。
39.由于在步骤s1中已经完成了服务端部署windows域服务，因此可以为windows域中的所有客户机分配windows域账号。
40.s3：用户通过证书申请服务获取与windows域账号绑定的证书，将证书私钥安全存储在指纹设备中。
41.配置完以上服务后，域用户可以在客户端通过浏览器申请证书，并存储在指纹设备中的安全存储区域中。
42.s4：用户登录windows域时，使用指纹设备验证用户的指纹，验证通过后使用指纹设备中存储的证书私钥完成windows域登录。
43.进一步地，在步骤s3和步骤s4之间，方法还包括：
44.s3’：定制windows credential provider com库，包括自定义用户登录界面的接口以及处理和提交用户登录凭证的接口。
45.此接口库是登录模块的核心部分，包括了自定义用户登录界面的接口以及处理和提交用户登录凭证的接口，并通过com库的方式增量注册到windows从操作系统中。
46.在windows登录界面上，有两部分界面需要定义，一部分是标题，主要显示用户图片和用户名；另一部分是指纹对比界面，主要提供用户刷指纹进行指纹对比交互处理功能。
47.s3”：在客户端部署程序包，以使得重新启动客户机，插入指纹设备后登录界面提供用户输入指纹登录windows域。
48.步骤s3”中，根据步骤s3’生成的dll库文件，编写注册表注册脚本，在注册表的预定目录下增加dll库的引用，并与指纹设备的驱动程序合成安装包，通过安装程序自动安装到客户机中。重新启动客户机，插入指纹设备后登录界面提供用户刷指纹登录。
49.本实施例中，注册表目录为：
50.hkey_local_machine\software\microsoft\windows\currentversion\authentication\credentialproviders。
51.本发明实施例还提供了一种基于指纹设备登录windows域的系统，该系统用于实现上述的基于指纹设备登录windows域的方法。系统包括服务端、客户机和指纹设备，其中：
52.服务端部署windows域服务和证书服务，为用户分配windows域账号。
53.客户机的用户通过证书申请服务获取与windows域账号绑定的证书，将证书私钥安全存储在指纹设备中。
54.客户机用户登录windows域时，使用指纹设备验证用户的指纹，验证通过后使用指纹设备中存储的证书私钥完成windows域登录。
55.服务端、客户机和指纹设备实现上述功能的具体过程可以参考上文中步骤s1
‑
s4的描述。
56.上述系统具体可以采用如下的系统结构实现，请结合图1，该系统结构包括在服务端、客户机设置的若干模块，首先，对各个模块中涉及的术语进行解释如下：
57.active directory(ad)：活动目录服务
58.活动目录是一种目录服务，它存储有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等信息，并使管理员和用户可以方便的查找和使用这些网络信息。
通过活动目录，用户可以对用户与计算机、域、信任关系，以及站点与服务进行管理。活动目录具有可扩展性与可调整性。活动目录把一个域作为一个完整的目录，域之间能够通过一种基于kerberos认证的可传递的信任关系建立起树状连接，从而使单一账户在该树状结构中的任何地方都有效。本实施例中，在服务端部署活动目录服务，具体可以参考上文步骤s1的描述。
59.kdc：密钥分发中心
60.kerberos ssp:kerberos身份验证程序包
61.kerberos是一个协议名称，基于密钥认证，kdc是kerberos一部分，是key distribute center，是负责分发密钥的中心。本实施例中，kdc和活动目录服务链接，从而可以实现证书和windows域账号的绑定。
62.lsa(local security authority):处理登录凭据
63.winlogon：提供交互式登录的下层基础
64.winlogon是用户登陆程序，用于管理用户登录和退出。
65.logon ui：提供交互式ui的渲染。仅在登录时运行，用于显示开机时的欢迎、口令输入、关机等界面。
66.自定义credential ui：用于自定义指纹比对界面，主要提供用户刷指纹进行指纹对比交互处理功能。
67.credential provider interface：指纹比对交互界面
68.credential manager：凭据管理器。为用户、应用程序和安全服务包提供凭据的安全存储和检索。
69.credential provider：描述凭据信息和序列化凭据
70.certificate：证书
71.fingerprintdevice：指纹设备
72.verify fingerprint：指纹验证。
73.本文中应用了具体个例对发明构思进行了详细阐述，以上实施例的说明只是用于帮助理解本发明的核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离该发明构思的前提下，所做的任何显而易见的修改、等同替换或其他改进，均应包含在本发明的保护范围之内。