一种Linux平台登录认证方法与流程

一种linux平台登录认证方法
技术领域
1.本发明涉及计算机技术领域，尤其涉及一种linux平台登录认证方法。


背景技术：

2.随着近几年产业信息化建设的高速发展，很多单位有大量的桌面型主机在使用，目前常见的认证方式有：
3.(1)基于系统自带的账号、口令的认证方式，这种认证方式的缺点是密码太短不安全，密码太长容易遗忘。
4.(2)使用第三方的安全登录软件实现的“usbkey pin码”双因子安全登录。这种安全登录软件的缺点是将系统账号同usbkey进行了绑定，而现在大量的企业内部已经有了”数字证书 pin码”做的应用系统的统一认证,数字证书的载体介质也是使用的usbkey。造成了员工要带2把key，平时不容易携带，使用的时候也容易把usbkey用错，两个usbkey同时插入电脑有时候又会冲突。
5.为此，本技术人经过有益的探索和研究，找到了解决上述问题的方法，下面将要介绍的技术方案便是在这种背景下产生的。


技术实现要素：

6.本发明所要解决的技术问题之一在于：针对现有技术的不足而提供一种linux平台登录认证方法，解决弱口令验证/单因子认证存在的安全性低、终端数据容易泄露的威胁、传统的安全登录软件在实际应用中的缺陷等问题。
7.本发明所要解决的技术问题可以采用如下技术方案来实现：
8.一种linux平台登录认证方法，包括以下步骤：
9.步骤s10，当应用程序在linux平台操作系统内进行部署后，用户通过使用app gui程序进行账号绑定，app gui程序枚举key中的证书，弹出证书选择页面，供用户进行选择绑定的证书；
10.步骤s20，linux平台桌面终端进行证书介质认证，认证通过后，对用户账号和密码以及主机唯一标识等信息使用证书中的密钥进行加密；
11.步骤s30，linux平台桌面终端将加密后的数据上报给linux平台服务端，linux平台服务端对加密后的数据进行数据持久化保存；
12.步骤s40，app gui程序进行系统pam配置文件修改，使得自定义pam模块生效，绑定账号完成，用户重启linux平台操作平台；
13.步骤s50，当用户需要登录linux平台操作系统时，用户插入key登录，提示用户输入pin码，自定义pam模块查询当前登录用户是否已经与数字证书绑定，若已经绑定，则向linux平台桌面终端返回加密数据，进入步骤s60，若没有绑定，返回步骤s10；
14.步骤s60，自定义pam模块进行证书介质认证，认证通过后，使用key中的数字证书中的密钥进行数据解密；
15.步骤s70，自定义pam模块将解密后的账号信息传递给linux平台操作系统，认证通过后，允许进入linux平台操作系统，否则，不允许登录linux平台操作系统。
16.在本发明的一个优选实施例中，在所述步骤s10中，所述app gui程序调用selectcert接口枚举key中的证书。
17.在本发明的一个优选实施例中，在所述步骤s20中，所述linux平台桌面终端通过调用verifypin程序进行证书介质认证。
18.在本发明的一个优选实施例中，在所述步骤s20中，所述主机唯一标识为可使用mac和硬盘id。
19.在本发明的一个优选实施例中，在所述步骤s30中，所述linux平台桌面终端将加密后的数据通过reportuserdata接口上报给linux平台服务端，linux平台服务端通过调用savedatadb接口对加密后的数据进行数据持久化保存。
20.在本发明的一个优选实施例中，在所述步骤s40中，所述app gui程序调用setpam接口进行系统pam配置文件修改。
21.在本发明的一个优选实施例中，在所述步骤s50中，所述自定义pam模块调用isbind接口查询当前登录用户是否已经与数字证书绑定。
22.在本发明的一个优选实施例中，在所述步骤s60中，所述自定义pam模块调用vrifypin程序进行证书介质认证。
23.在本发明的一个优选实施例中，在所述步骤s70中，所述自定义pam模块调用verifyaccount接口将解密后的账号信息传递给linux平台操作系统。
24.由于采用了如上技术方案，本发明的有益效果在于：本发明对终端用户数字证书和操作系统用户账号进行绑定，当用户登录时，对usbkey(数字证书载体)进行pin认证，服务端用来对数字证书进行有效性验证以及登录用户身份合法性进行验证，确保用户身份合法、有效，允许登录并访问系统，极大地提高了终端系统登录安全性能，有效地解决弱口令验证/单因子认证存在的安全性低、终端数据容易泄露的威胁、传统的安全登录软件在实际应用中的缺陷等问题。本发明的登录系统的证书可以复用企业内部应用系统统一认证使用的证书，能够避免企业内部用户使用多把usbkey带来的工作不便。
附图说明
25.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
26.图1是本发明的linux平台操作系统的结构示意图。
27.图2是本发明的linux平台登录认证方法的流程图。
具体实施方式
28.为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。
29.本发明的linux平台登录认证方法应用于linux平台操作系统上。参见图1，linux
平台操作系统具体包括以下模块：
30.app gui模块：应用部署后，用户使用该程序进行账号绑定以及修改系统pam配置文件，使得自定义pam模块生效。
31.自定义pam模块：操作系统登录时系统自动加载该模块，在该模块内部实现用户账户和数字证书进行绑定，并且控制登录认证流程。
32.linux平台服务端：一方面用来与客户端进行通信，鉴别linux平台桌面终端登录用户身份的合法性，另一方面用来校验证书的合法性和有效性。
33.参见图2，图中给出的是一种linux平台登录认证方法，包括以下步骤：
34.步骤s10，当应用程序在linux平台操作系统内进行部署后，用户通过使用app gui程序进行账号绑定，app gui程序枚举key中的证书，弹出证书选择页面，供用户进行选择绑定的证书。在本实施例中，app gui程序调用selectcert接口枚举key中的证书。
35.步骤s20，linux平台桌面终端进行证书介质认证，认证通过后，对用户账号和密码以及主机唯一标识等信息使用证书中的密钥进行加密。在本实施例中，linux平台桌面终端通过调用verifypin程序进行证书介质认证。其中，主机唯一标识为可使用mac和硬盘id。
36.步骤s30，linux平台桌面终端将加密后的数据上报给linux平台服务端，linux平台服务端对加密后的数据进行数据持久化保存。在本实施例中，linux平台桌面终端将加密后的数据通过reportuserdata接口上报给linux平台服务端；linux平台服务端通过调用savedatadb接口对加密后的数据进行数据持久化保存。
37.步骤s40，app gui程序进行系统pam配置文件修改，使得自定义pam模块生效，绑定账号完成，用户重启linux平台操作平台。在本实施例中，app gui程序调用setpam接口进行系统pam配置文件修改。
38.步骤s50，当用户需要登录linux平台操作系统时，用户插入key登录，提示用户输入pin码，自定义pam模块查询当前登录用户是否已经与数字证书绑定，若已经绑定，则向linux平台桌面终端返回加密数据，进入步骤s60，若没有绑定，返回步骤s10。在本实施例中，自定义pam模块调用isbind接口查询当前登录用户是否已经与数字证书绑定。
39.步骤s60，自定义pam模块进行证书介质认证，认证通过后，使用key中的数字证书中的密钥进行数据解密。在本实施例中，自定义pam模块调用vrifypin程序进行证书介质认证。
40.步骤s70，自定义pam模块将解密后的账号信息传递给linux平台操作系统，认证通过后，允许进入linux平台操作系统，否则，不允许登录linux平台操作系统。在本实施例中，自定义pam模块调用verifyaccount接口将解密后的账号信息传递给linux平台操作系统。
41.本发明对终端用户数字证书和操作系统用户账号进行绑定，当用户登录时，对usbkey(数字证书载体)进行pin认证，服务端用来对数字证书进行有效性验证以及登录用户身份合法性进行验证，确保用户身份合法、有效，允许登录并访问系统，极大地提高了终端系统登录安全性能，有效地解决弱口令验证/单因子认证存在的安全性低、终端数据容易泄露的威胁、传统的安全登录软件在实际应用中的缺陷等问题。
42.本发明的登录系统的证书可以复用企业内部应用系统统一认证使用的证书，能够避免企业内部用户使用多把usbkey带来的工作不便。
43.以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术
人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。