一种Windows平台登录认证方法与流程

一种windows平台登录认证方法
技术领域
1.本发明涉及计算机技术领域，尤其涉及一种windows平台登录认证方法。


背景技术：

2.随着近几年产业信息化建设的高速发展，很多单位有大量的桌面型主机在使用，目前常见的认证方式有：
3.(1)基于系统自带的账号、口令的认证方式，这种认证方式的缺点是密码太短不安全，密码太长容易遗忘。
4.(2)使用第三方的安全登录软件实现的“usbkey pin码”双因子安全登录。这种安全登录软件的缺点是将系统账号同usbkey进行了绑定，而现在大量的企业内部已经有了”数字证书 pin码”做的应用系统的统一认证,数字证书的载体介质也是使用的usbkey。造成了员工要带2把key，平时不容易携带，使用的时候也容易把usbkey用错，两个usbkey同时插入电脑有时候又会冲突。
5.为此，本技术人经过有益的探索和研究，找到了解决上述问题的方法，下面将要介绍的技术方案便是在这种背景下产生的。


技术实现要素：

6.本发明所要解决的技术问题之一在于：针对现有技术的不足而提供一种windows平台登录认证方法，解决弱口令验证/单因子认证存在的安全性低、终端数据容易泄露的威胁、传统的安全登录软件在实际应用中的缺陷等问题。
7.本发明所要解决的技术问题可以采用如下技术方案来实现：
8.一种windows平台登录认证方法，包括以下步骤：
9.步骤s10，当应用程序在windows平台操作系统内进行部署后，重启windows平台桌面终端，使得部署在windows平台操作系统内的过滤凭证模块和自定义认证模块自动生效；
10.步骤s20，过滤凭证模块查询当前登录用户是否已经与数字证书绑定，若已经绑定，则向windows平台桌面终端返回加密数据，并进入步骤s30，若没有绑定，则进入步骤s50；
11.步骤s30，windows平台桌面终端进行证书介质认证，认证通过后，使用key中的数字证书中的密钥进行数据解密；
12.步骤s40，windows平台桌面终端将解密后的账号和密码信息传递给windows平台操作系统，windows平台操作系统对解密后的账号和密码信息进行认证，认证通过后，允许进入windows平台操作系统，结束；
13.步骤s50，windows平台桌面终端调用selectcert接口枚举key中的证书，弹出证书选择页面，供用户进行选择绑定的证书；
14.步骤s60，windows平台桌面终端进行证书介质认证，认证通过后，调用encodeuserdata接口对用户账号和密码以及主机唯一标识等信息使用证书中的密钥进行
加密；
15.步骤s70，windows平台桌面终端将加密后的数据通过reportuserdata接口上报给windows平台服务端；
16.步骤s80，windows平台服务端调用savedatadb接口对加密后的数据进行数据持久化保存，并对加密后的数据进行验证处理，验证通过后，允许进入windows平台操作系统，结束。
17.在本发明的一个优选实施例中，在所述步骤s20中，所述过滤凭证模块通过调用isbind接口查询当前登录用户是否已经与数字证书绑定。
18.在本发明的一个优选实施例中，在所述步骤s20中，所述加密数据为数字信封。
19.在本发明的一个优选实施例中，在所述步骤s30中，所述windows平台桌面终端通过调用vrifypin程序进行证书介质认证；所述windows平台桌面终端通过调用uncodeuserdata接口使用key中的数字证书中的密钥进行数据解密。
20.在本发明的一个优选实施例中，在所述步骤s40中，windows平台桌面终端通过调用verifyaccount接口将解密后的账号和密码信息传递给windows平台操作系统。
21.在本发明的一个优选实施例中，在所述步骤s50中，所述windows平台桌面终端通过调用selectcert接口枚举key中的证书。
22.在本发明的一个优选实施例中，在所述步骤s60中，所述windows平台桌面终端通过调用vrifypin程序进行证书介质认证；所述windows平台桌面终端通过调用encodeuserdata接口对用户账号和密码以及主机唯一标识等信息使用证书中的密钥进行加密。
23.在本发明的一个优选实施例中，在所述步骤s60中，所述主机唯一标识为可使用mac和硬盘id。
24.在本发明的一个优选实施例中，在所述步骤s70中，所述windows平台桌面终端将加密后的数据通过reportuserdata接口上报给windows平台服务端。
25.在本发明的一个优选实施例中，在所述步骤s60中，所述windows平台服务端通过调用savedatadb接口对加密后的数据进行数据持久化保存。
26.由于采用了如上技术方案，本发明的有益效果在于：本发明对终端用户数字证书和操作系统用户账号进行绑定，当用户登录时，对usbkey(数字证书载体)进行pin认证，服务端用来对数字证书进行有效性验证以及登录用户身份合法性进行验证，确保用户身份合法、有效，允许登录并访问系统，有效地解决弱口令验证/单因子认证存在的安全性低、终端数据容易泄露的威胁、传统的安全登录软件在实际应用中的缺陷等问题。本发明的登录系统的证书可以复用企业内部应用系统统一认证使用的证书，能够避免企业内部用户使用多把usbkey带来的工作不便。
附图说明
27.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
28.图1是本发明的windows平台操作系统的结构示意图。
29.图2是本发明的windows平台登录认证方法的流程图。
具体实施方式
30.为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。
31.本发明的windows平台登录认证方法应用于windows平台操作系统上。参见图1，windows平台操作系统具体包括以下模块：
32.过滤凭证模块：当windows平台操作系统登录时，windows平台操作系统会自动加载该模块，在该模块内部实现过滤了系统默认账号密码凭证。
33.自定义认证模块：当windows平台操作系统登录时，windows平台操作系统自动加载该模块，在该模块内部实现用户账户和数字证书进行绑定，并且控制登录认证流程。
34.windows平台服务端：windows平台服务端一方面用来与windows平台桌面终端进行通信，鉴别windows平台桌面终端登录用户身份的合法性，另一方面用来来校验证书的合法性和有效性。
35.logonui.exe程序：改程序操作系统自带进程，作用是与凭据提供程序进行通信，完成系统账户有效性验证。
36.参见图2，图中给出的是一种windows平台登录认证方法，包括以下步骤：
37.步骤s10，当应用程序在windows平台操作系统内进行部署后，重启windows平台桌面终端，使得部署在windows平台操作系统内的过滤凭证模块和自定义认证模块自动生效，此步骤s10只保留自定义的凭证。
38.步骤s20，过滤凭证模块查询当前登录用户是否已经与数字证书绑定，若已经绑定，则向windows平台桌面终端返回加密数据，并进入步骤s30，若没有绑定，则进入步骤s50。在本实施例中，过滤凭证模块通过调用isbind接口查询当前登录用户是否已经与数字证书绑定。加密数据为数字信封。
39.步骤s30，windows平台桌面终端进行证书介质认证，认证通过后，使用key中的数字证书中的密钥进行数据解密。在本实施例中，windows平台桌面终端通过调用vrifypin程序进行证书介质认证；windows平台桌面终端通过调用uncodeuserdata接口使用key中的数字证书中的密钥进行数据解密。
40.步骤s40，windows平台桌面终端将解密后的账号和密码信息传递给windows平台操作系统，windows平台操作系统对解密后的账号和密码信息进行认证，认证通过后，允许进入windows平台操作系统，结束。在本实施例中，windows平台桌面终端通过调用verifyaccount接口将解密后的账号和密码信息传递给windows平台操作系统。
41.步骤s50，windows平台桌面终端调用selectcert接口枚举key中的证书，弹出证书选择页面，供用户进行选择绑定的证书。在本实施例中，windows平台桌面终端通过调用selectcert接口枚举key中的证书。
42.步骤s60，windows平台桌面终端进行证书介质认证，认证通过后，调用encodeuserdata接口对用户账号和密码以及主机唯一标识等信息使用证书中的密钥进行加密。在本实施例中，windows平台桌面终端通过调用vrifypin程序进行证书介质认证；
windows平台桌面终端通过调用encodeuserdata接口对用户账号和密码以及主机唯一标识等信息使用证书中的密钥进行加密。其中，主机唯一标识为可使用mac和硬盘id。
43.步骤s70，windows平台桌面终端将加密后的数据通过reportuserdata接口上报给windows平台服务端。在本实施例中，windows平台桌面终端将加密后的数据通过reportuserdata接口上报给windows平台服务端。
44.步骤s80，windows平台服务端调用savedatadb接口对加密后的数据进行数据持久化保存，并对加密后的数据进行验证处理，验证通过后，允许进入windows平台操作系统，结束。在本实施例中，windows平台服务端通过调用savedatadb接口对加密后的数据进行数据持久化保存。
45.本发明对终端用户数字证书和操作系统用户账号进行绑定，当用户登录时，对usbkey(数字证书载体)进行pin认证，服务端用来对数字证书进行有效性验证以及登录用户身份合法性进行验证，确保用户身份合法、有效，允许登录并访问系统，有效地解决弱口令验证/单因子认证存在的安全性低、终端数据容易泄露的威胁、传统的安全登录软件在实际应用中的缺陷等问题。本发明的登录系统的证书可以复用企业内部应用系统统一认证使用的证书，能够避免企业内部用户使用多把usbkey带来的工作不便。
46.以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。