技术领域
[0001] 本
发明属于信息安全和互联网通信技术领域,更具体地,涉及一种基于消息推送增强Linux操作系统登录安全性的方法和系统。
背景技术
[0002] Linux系统作为一套免费使用和自由传播的类Unix操作系统,已经在科学计算环境中得到越来越广的应用。
[0003] 现有Linux操作系统的登录方式主要是操作系统登录用户输入正确的静态密码,但该登录方式存在一些不可忽略的技术问题:第一,操作系统登录用户需要牢记该静态密码,一旦忘记,则操作系统登录用户完全无法登录Linux操作系统;第二、该静态密码是存储在Linux操作系统的一个文件中,该文件容易被窃取,从而导致静态密码容易被黑客破解。
发明内容
[0004] 针对
现有技术的以上
缺陷或改进需求,本发明提供了一种基于消息推送增强Linux操作系统登录安全性的方法和系统,其目的在于,能够有效解决现有Linux操作系统登录方式中存在的当操作系统登录用户忘记静态密码时无法登录Linux操作系统的技术问题,以及由于存储静态密码的文件容易被盗取所导致的静态密码容易被破解的技术问题。
[0005] 为实现上述目的,按照本发明的一个方面,提供了一种基于消息推送增强Linux操作系统登录安全性的方法,是应用在认证
服务器、客户端、以及移动端的环境中,其中认证服务器与客户端和移动端二者均通信连接,该方法包括以下步骤:
[0006] (1)客户端在接收到来自操作系统登录用户的登录
请求后通过认证服务器向移动端推送登录认证请求消息;
[0007] (2)移动端利用其身份标识信息和登录认证请求消息生成一次性登录验证信息,并将该一次性登录验证信息发送给认证服务器;
[0008] (3)认证服务器判断来自移动端的一次性登录验证信息是否有效,如果有效则转入步骤(4),否则转入步骤(6);
[0009] (4)认证服务器将验证成功结果发送到客户端;
[0010] (5)客户端根据验证成功结果使用操作系统登录用户名登录操作系统,过程结束;
[0011] (6)认证服务器通知客户端验证失败,过程结束。
[0012] 优选地,登录认证请求消息包括一次性随机数、客户端
硬件标识、以及客户端的Linux操作系统标识中的一种或多种。
[0013] 优选地,移动端的身份标识信息包括移动端的私钥、加密证书、
种子密钥、以及操作系统登录用户
生物识别信息中的一种或多种。
[0014] 优选地,当移动端的身份标识信息是移动端的私钥时,利用该移动端的身份标识信息和登录认证请求消息生成一次性登录验证信息这一过程,是使用移动端的私钥对登录认证请求消息进行数字签名运算,以生成签名信息作为一次性登录验证信息;
[0015] 当移动端的身份标识信息是移动端的加密证书时,利用该移动端的身份标识信息和登录认证请求消息生成一次性登录验证信息这一过程,是使用移动端的加密证书对登录认证请求消息进行加密运算,以生成加密信息作为一次性登录验证信息;
[0016] 当移动端的身份标识信息是移动端的种子密钥时,利用该移动端的身份标识信息和登录认证请求消息生成一次性登录验证信息这一过程,是使用移动端的种子密钥对登录认证请求消息进行动态口令运算,以生成一次性动态口令作为一次性登录验证信息;
[0017] 当移动端的身份标识信息是移动端的操作系统登录用户生物识别信息时,利用该移动端的身份标识信息和登录认证请求消息生成一次性登录验证信息这一过程,是使用移动端的操作系统登录用户生物识别信息对登录认证请求消息进行运算生成
鉴别认证信息作为一次性登录验证信息。
[0018] 优选地,当一次性登录验证信息是签名信息时,判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器对签名信息进行有效性认证,如果成功,则表示一次性登录验证信息有效,否则表示无效;
[0019] 当一次性登录验证信息是加密信息时,判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器查找其存储的、该移动端向该认证服务器注册时生成的私钥,然后利用该私钥解密该加密消息,如果解密成功,则表示一次性登录验证信息有效,否则表示无效;
[0020] 当一次性登录验证信息是动态口令信息时,判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器判断该动态口令是否有效,如果是,则表示一次性登录验证信息有效,否则表示无效;
[0021] 当一次性登录验证信息是鉴别认证信息时,判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器对一次性登录验证信息进行逆运算,解析出移动端的操作系统登录用户生物识别信息,并与其存储的该移动端的操作系统登录用户生物特征识别信息进行比对,如果比对通过,则表示一次性登录验证信息有效,否则表示无效。
[0022] 优选地,操作系统登录用户名是包括在步骤(1)中的登录认证请求消息中的,或者是步骤(2)中的移动端中内置的,或者是步骤(4)中的认证服务器在移动端向其注册时创建的。
[0023] 优选地,所述方法还包括在所述步骤(4)之后、步骤(5)之前,客户端根据操作系统登录用户名对应的认证方式执行二次认证过程,并根据二次认证结果决定是否允许该操作系统登录用户登录操作系统。
[0024] 优选地,客户端根据操作系统登录用户名对应的认证方式执行二次认证过程具体为,客户端启动Linux操作系统的PAM应用程序调用PAM库,PAM库在其目录中查找PAM应用程序的配置文件,以获得操作系统登录用户名的认证方式,如果认证方式为空,则不执行认证过程,直接允许该操作系统登录用户登录操作系统;如果认证方式是静态口令认证,则PAM库启动会话函数,以将请求输入静态口令的消息发送给客户端的登录界面,并验证操作系统登录用户所输入的静态口令是否正确,如果正确则允许操作系统登录用户登录操作系统,否则拒绝该操作系统登录用户登录操作系统;如果认证方式是动态口令认证,则PAM库启动会话函数,以将请求输入动态口令的消息发送给认证服务器,如果收到认证服务器验证通过的消息,则允许操作系统登录用户登录操作系统则允许操作系统登录用户登录操作系统用户名对应的登录用户登录操作系统,否则拒绝该操作系统登录用户登录操作系统;如果认证方式是短信口令认证,则PAM库启动会话函数,以将请求输入短信口令的消息发送给认证服务器,如果收到认证服务器验证通过的消息,则允许操作系统登录用户登录操作系统则允许操作系统登录用户登录操作系统用户名对应的登录用户登录操作系统,否则拒绝该操作系统登录用户登录操作系统。
[0025] 按照本发明的另一方面,提供了一种基于消息推送增强Linux操作系统登录安全性的系统,是应用在认证服务器、客户端、以及移动端的环境中,其中认证服务器与客户端和移动端二者均通信连接,该系统包括:
[0026] 第一模
块,其设置于客户端中,用于在接收到来自操作系统登录用户的登录请求后通过认证服务器向移动端推送登录认证请求消息;
[0027] 第二模块,其设置于移动端中,用于利用移动端的身份标识信息和登录认证请求消息生成一次性登录验证信息,并将该一次性登录验证信息发送给认证服务器利用其身份标识信息和登录认证请求消息生成一次性登录验证信息,并将该一次性登录验证信息发送给认证服务器
[0028] 第三模块,其设置于认证服务器中,用于判断来自移动端的一次性登录验证信息是否有效,如果有效则转入第四模块,否则转入第六模块;
[0029] 第四模块,其设置于认证服务器中,用于将验证成功结果发送到客户端;
[0030] 第五模块,其设置于客户端中,用于根据验证成功结果使用操作系统登录用户名登录操作系统,过程结束;
[0031] 第六模块,其设置于认证服务器中,用于通知客户端验证失败,过程结束。
[0032] 总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
[0033] (1)由于本发明提供了使用移动端登录Linux操作系统的方式,登录用户不再需要牢记静态密码,由此解决了现有静态密码登录Linux系统在登录用户遗忘静态密码时无法登录的技术问题;
[0034] (2)由于本发明生成一次性登录验证信息、以及认证一次性登录验证信息有效性的过程均使用了移动端身份标识信息,并采用了密码技术(即签名、加密、鉴别认证过程)生成动态的一次性登录验证信息,从而提高了操作系统登录安全级别,解决了现有登录方式中静态密码容易被黑客破解的技术问题;
[0035] (3)由于本发明是基于移动端实现Linux系统登录,从而提高了linux本地账户信息(即操作系统登录用户名和登录密码)的安全性,解决了现有登录方式中由于存储静态密码的文件容易被盗取导致的静态密码容易被破解的技术问题。
[0036] (4)由于本发明根据操作系统登录用户名对应的认证方式执行二次身份认证,该身份认证过程中使用的因子和认证一次性登录验证信息有效性过程中使用的因子不同,从而能够进一步提升认证的安全性;
[0037] (5)由于本发明是基于移动端实现,登录用户的操作简单,携带方便。
附图说明
[0038] 图1是根据本发明第一种实施方式的基于消息推送增强Linux操作系统登录安全性的方法的
流程图。
[0039] 图2是根据本发明第二种实施方式的基于消息推送增强Linux操作系统登录安全性的方法的流程图。
[0040] 图3是根据本发明第三种实施方式的基于消息推送增强Linux操作系统登录安全性的方法的流程图。
具体实施方式
[0041] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及
实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0042] 为了便于理解本发明起见,以下首先对本发明的技术术语进行解释和说明:
[0043] 二维码(Two-dimensional bar code):是用某种特定的几何图形按一定规律在平面(二维方向上)分布的黑白相间的图形记录数据符号信息,通过图象输入设备或光电扫描设备自动识读以实现信息自动处理。在代码编制上巧妙地利用构成计算机内部逻辑
基础的“0”、“1”比特流的概念,使用若干个与二进制相对应的几何形体来表示文字数值信息,通过图象输入设备或光电扫描设备自动识读以实现信息自动处理。它具有条码技术的一些共性:每种码制有其特定的字符集;每个字符占有一定的宽度;具有一定的校验功能等。同时还具有对不同行的信息自动识别功能、及处理图形旋转变化点。
[0044] 认证服务器(Authentication server):负责接收操作系统登录用户的连接请求,认证操作系统登录用户的合法性,然后将认证结果返回给操作系统登录用户,常见的认证方法包括RADIUS、自定义
接口等,认证服务器中可以配置证书认证的认证类型等。
[0045] 如图1所示,根据本发明的第一种实施方式,提供了一种基于消息推送增强Linux操作系统登录安全性的方法,是应用在认证服务器、客户端、以及移动端的环境中,其中认证服务器与客户端和移动端二者均通信连接,该方法包括以下步骤:
[0046] (1)客户端在接收到来自操作系统登录用户的登录请求后通过认证服务器向移动端推送登录认证请求消息;
[0047] 具体而言,本发明中的认证服务器具有消息推送功能,其可通过谷歌
云消息服务(Cloud to Device Messaging,简称C2DM)、消息队列遥测传输协议(Message Queuing Telemetry Transport,简称MQTT)、可扩展通讯和表示协议(Extensible Messaging and Presence Protocol,简称XMPP)、第三方推送服务等方式实现。
[0048] 本步骤具体为,客户端在接收到来自操作系统登录用户的登录请求后,客户端将登录认证请求消息发送到认证服务器,并通过认证服务器将登录请求认证消息推送到移动端。
[0049] 具体而言,客户端安装有Linux操作系统,其可以是个人电脑(Personal computer,简称PC)、笔记本(Laptop)、服务器(Server)等。
[0050] 移动端可以是具有身份标识信息的终端,包括但不局限于手机、IPad等。
[0051] 应该注意的是,上述Linux操作系统包括Linux国际操作系统和Linux国产操作系统,其中Linux国际操作系统包括但不局限于Ubuntu、LinuxMint、PCLinuxOS、SlackwareLinux、GentooLinux、FreeBSD、CentOS等;而Linux国产操作系统是以Linux为基础进行二次开发后的国产操作系统,其包括但不局限于中标麒麟(NeoKylin)、优麒麟(UbuntuKylin)、红旗Linux(Redflag Linux)等。
[0052] 登录认证请求消息包括一次性随机数、
客户端硬件标识、以及客户端的Linux操作系统标识中的一种或多种。
[0053] (2)移动端利用其身份标识信息和登录认证请求消息生成一次性登录验证信息,并将该一次性登录验证信息和移动端中内置的操作系统登录用户名发送给认证服务器;
[0054] 移动端的身份标识信息包括移动端的私钥、加密证书、种子密钥、以及操作系统登录用户生物识别信息(包括指纹、虹膜、人脸等)中的一种或多种。
[0055] 本步骤中利用该移动端的身份标识信息和登录认证请求消息生成一次性登录验证信息这一过程,可以是使用移动端的私钥对登录认证请求消息进行数字签名运算生成签名信息作为一次性登录验证信息,或者是使用移动端的加密证书对登录认证请求消息进行加密运算生成加密信息作为一次性登录验证信息,也可以是使用移动端的种子密钥对登录认证请求消息进行动态口令运算生成一次性动态口令作为一次性登录验证信息,也可以是使用移动端的操作系统登录用户生物识别信息对登录认证请求消息进行运算生成鉴别认证信息作为一次性登录验证信息。
[0056] (3)认证服务器判断来自移动端的一次性登录验证信息是否有效,如果有效则转入步骤(4),否则转入步骤(6);
[0057] 具体而言,当一次性登录验证信息是签名信息时,本步骤中判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器对签名信息进行有效性认证,如果成功,则表示一次性登录验证信息有效,否则表示无效。
[0058] 当一次性登录验证信息是加密信息时,本步骤中判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器查找其存储的、该移动端向该认证服务器注册时生成的私钥,然后利用该私钥解密该加密消息,如果解密成功,则表示一次性登录验证信息有效,否则表示无效。
[0059] 当一次性登录验证信息是动态口令信息时,本步骤中判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器判断该动态口令是否有效,如果是,则表示一次性登录验证信息有效,否则表示无效。
[0060] 当一次性登录验证信息是鉴别认证信息时,本步骤中判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器对一次性登录验证信息进行逆运算,解析出移动端的操作系统登录用户生物识别信息,并与其存储的该移动端的操作系统登录用户生物特征识别信息进行比对,如果比对通过,则表示一次性登录验证信息有效,否则表示无效。
[0061] (4)认证服务器将操作系统登录用户名和验证成功结果发送到客户端;
[0062] (5)客户端根据验证成功结果使用操作系统登录用户名登录操作系统,过程结束;
[0063] 可选择的,本发明的方法还可以包括在上述步骤(4)之后、步骤(5)之前,客户端根据操作系统登录用户名对应的认证方式执行二次认证,并根据二次认证结果决定是否允许该操作系统登录用户登录操作系统的步骤。
[0064] 应该注意的是,本步骤的二次认证过程中使用的因子和前述认证一次性登录验证信息有效性过程中使用的因子不同。
[0065] 具体而言,客户端根据操作系统登录用户名对应的认证方式执行二次认证过程具体为,客户端启动Linux操作系统的PAM应用程序调用PAM库,PAM库在其目录中查找PAM应用程序的配置文件,以获得操作系统登录用户名的认证方式,如果认证方式为空,则不执行认证过程,直接允许该操作系统登录用户登录操作系统;如果认证方式是静态口令认证,则PAM库启动会话函数,以将请求输入静态口令的消息发送给客户端的登录界面,并验证操作系统登录用户所输入的静态口令是否正确,如果正确则允许操作系统登录用户登录操作系统,否则拒绝该操作系统登录用户登录操作系统;如果认证方式是动态口令认证,则PAM库启动会话函数,以将请求输入动态口令的消息发送给认证服务器,如果收到认证服务器验证通过的消息,则允许操作系统登录用户登录操作系统则允许操作系统登录用户登录操作系统用户名对应的登录用户登录操作系统,否则拒绝该操作系统登录用户登录操作系统;如果认证方式是短信口令认证,则PAM库启动会话函数,以将请求输入短信口令的消息发送给认证服务器,如果收到认证服务器验证通过的消息,则允许操作系统登录用户登录操作系统则允许操作系统登录用户登录操作系统用户名对应的登录用户登录操作系统,否则拒绝该操作系统登录用户登录操作系统。
[0066] (6)认证服务器通知客户端验证失败,过程结束。
[0067] 如图2所示,根据本发明的第二种实施方式,提供了一种基于消息推送增强Linux操作系统登录安全性的方法,是应用在认证服务器、客户端、以及移动端的环境中,其中认证服务器与客户端和移动端二者均通信连接,该方法包括以下步骤:
[0068] (1)客户端在接收到来自操作系统登录用户的登录请求后通过认证服务器向移动端推送登录认证请求消息,该登录认证请求消息中包括操作系统登录用户名;
[0069] 具体而言,本发明中的认证服务器具有消息推送功能,其可通过谷歌云消息服务(Cloud to Device Messaging,简称C2DM)、消息队列遥测传输协议(Message Queuing Telemetry Transport,简称MQTT)、可扩展通讯和表示协议(Extensible Messaging and Presence Protocol,简称XMPP)、第三方推送服务等方式实现。
[0070] 本步骤具体为,客户端在接收到来自操作系统登录用户的登录请求后,客户端将登录认证请求消息发送到认证服务器,并通过认证服务器将登录请求认证消息推送到移动端。
[0071] 具体而言,客户端安装有Linux操作系统,其可以是个人电脑(Personal computer,简称PC)、笔记本(Laptop)、服务器(Server)等。
[0072] 移动端可以是具有身份标识信息的终端,包括但不局限于手机、IPad等。
[0073] 应该注意的是,上述Linux操作系统包括Linux国际操作系统和Linux国产操作系统,其中Linux国际操作系统包括但不局限于Ubuntu、LinuxMint、PCLinuxOS、SlackwareLinux、GentooLinux、FreeBSD、CentOS等;而Linux国产操作系统是以Linux为基础进行二次开发后的国产操作系统,其包括但不局限于中标麒麟(NeoKylin)、优麒麟(UbuntuKylin)、红旗Linux(Redflag Linux)等。
[0074] 登录认证请求消息还包括一次性随机数、客户端硬件标识、以及客户端的Linux操作系统标识中的一种或多种。
[0075] (2)移动端利用其身份标识信息和登录认证请求消息生成一次性登录验证信息,并将该一次性登录验证信息和操作系统登录用户名发送给认证服务器;
[0076] 移动端的身份标识信息包括移动端的私钥、加密证书、种子密钥、以及操作系统登录用户生物识别信息(包括指纹、虹膜、人脸等)中的一种或多种。
[0077] 本步骤中利用该移动端的身份标识信息和登录认证请求消息生成一次性登录验证信息这一过程,可以是使用移动端的私钥对登录认证请求消息进行数字签名运算生成签名信息作为一次性登录验证信息,或者是使用移动端的加密证书对登录认证请求消息进行加密运算生成加密信息作为一次性登录验证信息,也可以是使用移动端的种子密钥对登录认证请求消息进行动态口令运算生成一次性动态口令作为一次性登录验证信息,也可以是使用移动端的操作系统登录用户生物识别信息对登录认证请求消息进行运算生成鉴别认证信息作为一次性登录验证信息。
[0078] (3)认证服务器判断来自移动端的一次性登录验证信息是否有效,如果有效则转入步骤(4),否则转入步骤(6);
[0079] 具体而言,当一次性登录验证信息是签名信息时,本步骤中判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器对签名信息进行有效性认证,如果成功,则表示一次性登录验证信息有效,否则表示无效。
[0080] 当一次性登录验证信息是加密信息时,本步骤中判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器查找其存储的、该移动端向该认证服务器注册时生成的私钥,然后利用该私钥解密该加密消息,如果解密成功,则表示一次性登录验证信息有效,否则表示无效。
[0081] 当一次性登录验证信息是动态口令信息时,本步骤中判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器判断该动态口令是否有效,如果是,则表示一次性登录验证信息有效,否则表示无效。
[0082] 当一次性登录验证信息是鉴别认证信息时,本步骤中判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器对一次性登录验证信息进行逆运算,解析出移动端的操作系统登录用户生物识别信息,并与其存储的该移动端的操作系统登录用户生物特征识别信息进行比对,如果比对通过,则表示一次性登录验证信息有效,否则表示无效。
[0083] (4)认证服务器将操作系统登录用户名和验证成功结果发送到客户端;
[0084] (5)客户端根据验证成功结果使用操作系统登录用户名登录操作系统,过程结束;
[0085] 可选择的,本发明的方法还可以包括在上述步骤(4)之后、步骤(5)之前,客户端根据操作系统登录用户名对应的认证方式执行二次认证,并根据二次认证结果决定是否允许该操作系统登录用户登录操作系统的步骤。
[0086] 应该注意的是,本步骤的二次认证过程中使用的因子和前述认证一次性登录验证信息有效性过程中使用的因子不同。
[0087] 具体而言,客户端根据操作系统登录用户名对应的认证方式执行二次认证过程具体为,客户端启动Linux操作系统的PAM应用程序调用PAM库,PAM库在其目录中查找PAM应用程序的配置文件,以获得操作系统登录用户名的认证方式,如果认证方式为空,则不执行认证过程,直接允许该操作系统登录用户登录操作系统;如果认证方式是静态口令认证,则PAM库启动会话函数,以将请求输入静态口令的消息发送给客户端的登录界面,并验证操作系统登录用户所输入的静态口令是否正确,如果正确则允许操作系统登录用户登录操作系统,否则拒绝该操作系统登录用户登录操作系统;如果认证方式是动态口令认证,则PAM库启动会话函数,以将请求输入动态口令的消息发送给认证服务器,如果收到认证服务器验证通过的消息,则允许操作系统登录用户登录操作系统则允许操作系统登录用户登录操作系统用户名对应的登录用户登录操作系统,否则拒绝该操作系统登录用户登录操作系统;如果认证方式是短信口令认证,则PAM库启动会话函数,以将请求输入短信口令的消息发送给认证服务器,如果收到认证服务器验证通过的消息,则允许操作系统登录用户登录操作系统则允许操作系统登录用户登录操作系统用户名对应的登录用户登录操作系统,否则拒绝该操作系统登录用户登录操作系统。
[0088] (6)认证服务器通知客户端验证失败,过程结束。
[0089] 如图3所示,根据本发明的第三种实施方式,提供了一种基于消息推送增强Linux操作系统登录安全性的方法,是应用在认证服务器、客户端、以及移动端的环境中,其中认证服务器与客户端和移动端二者均通信连接,该方法包括以下步骤:
[0090] (1)客户端在接收到来自操作系统登录用户的登录请求后通过认证服务器向移动端推送登录认证请求消息;
[0091] 具体而言,本发明中的认证服务器具有消息推送功能,其可通过谷歌云消息服务(Cloud to Device Messaging,简称C2DM)、消息队列遥测传输协议(Message Queuing Telemetry Transport,简称MQTT)、可扩展通讯和表示协议(Extensible Messaging and Presence Protocol,简称XMPP)、第三方推送服务等方式实现。
[0092] 本步骤具体为,客户端在接收到来自操作系统登录用户的登录请求后,客户端将登录认证请求消息发送到认证服务器,并通过认证服务器将登录请求认证消息推送到移动端。
[0093] 具体而言,客户端安装有Linux操作系统,其可以是个人电脑(Personal computer,简称PC)、笔记本(Laptop)、服务器(Server)等。
[0094] 移动端可以是具有身份标识信息的终端,包括但不局限于手机、IPad等。
[0095] 应该注意的是,上述Linux操作系统包括Linux国际操作系统和Linux国产操作系统,其中Linux国际操作系统包括但不局限于Ubuntu、LinuxMint、PCLinuxOS、SlackwareLinux、GentooLinux、FreeBSD、CentOS等;而Linux国产操作系统是以Linux为基础进行二次开发后的国产操作系统,其包括但不局限于中标麒麟(NeoKylin)、优麒麟(UbuntuKylin)、红旗Linux(Redflag Linux)等。
[0096] 登录认证请求消息包括一次性随机数、客户端硬件标识、以及客户端的Linux操作系统标识中的一种或多种。
[0097] (2)移动端利用其身份标识信息和登录认证请求消息生成一次性登录验证信息,并将该一次性登录验证信息发送给认证服务器;
[0098] 移动端的身份标识信息包括移动端的私钥、加密证书、种子密钥、以及操作系统登录用户生物识别信息(包括指纹、虹膜、人脸等)中的一种或多种。
[0099] 本步骤中利用该移动端的身份标识信息和登录认证请求消息生成一次性登录验证信息这一过程,可以是使用移动端的私钥对登录认证请求消息进行数字签名运算生成签名信息作为一次性登录验证信息,或者是使用移动端的加密证书对登录认证请求消息进行加密运算生成加密信息作为一次性登录验证信息,也可以是使用移动端的种子密钥对登录认证请求消息进行动态口令运算生成一次性动态口令作为一次性登录验证信息,也可以是使用移动端的操作系统登录用户生物识别信息对登录认证请求消息进行运算生成鉴别认证信息作为一次性登录验证信息。
[0100] (3)认证服务器判断来自移动端的一次性登录验证信息是否有效,如果有效则转入步骤(4),否则转入步骤(6);
[0101] 具体而言,当一次性登录验证信息是签名信息时,本步骤中判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器对签名信息进行有效性认证,如果成功,则表示一次性登录验证信息有效,否则表示无效。
[0102] 当一次性登录验证信息是加密信息时,本步骤中判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器查找其存储的、该移动端向该认证服务器注册时生成的私钥,然后利用该私钥解密该加密消息,如果解密成功,则表示一次性登录验证信息有效,否则表示无效。
[0103] 当一次性登录验证信息是动态口令信息时,本步骤中判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器判断该动态口令是否有效,如果是,则表示一次性登录验证信息有效,否则表示无效。
[0104] 当一次性登录验证信息是鉴别认证信息时,本步骤中判断来自移动端的一次性登录验证信息是否有效这一过程具体为,认证服务器对一次性登录验证信息进行逆运算,解析出移动端的操作系统登录用户生物识别信息,并与其存储的该移动端的操作系统登录用户生物特征识别信息进行比对,如果比对通过,则表示一次性登录验证信息有效,否则表示无效。
[0105] (4)认证服务器将验证成功结果、以及移动端向其注册时创建的操作系统登录用户名发送到客户端;
[0106] (5)客户端根据验证成功结果使用操作系统登录用户名登录操作系统,过程结束;
[0107] 可选择的,本发明的方法还可以包括在上述步骤(4)之后、步骤(5)之前,客户端根据操作系统登录用户名对应的认证方式执行二次认证,并根据二次认证结果决定是否允许该操作系统登录用户登录操作系统的步骤。
[0108] 应该注意的是,本步骤的二次认证过程中使用的因子和前述认证一次性登录验证信息有效性过程中使用的因子不同。
[0109] 具体而言,客户端根据操作系统登录用户名对应的认证方式执行二次认证过程具体为,客户端启动Linux操作系统的PAM应用程序调用PAM库,PAM库在其目录中查找PAM应用程序的配置文件,以获得操作系统登录用户名的认证方式,如果认证方式为空,则不执行认证过程,直接允许该操作系统登录用户登录操作系统;如果认证方式是静态口令认证,则PAM库启动会话函数,以将请求输入静态口令的消息发送给客户端的登录界面,并验证操作系统登录用户所输入的静态口令是否正确,如果正确则允许操作系统登录用户登录操作系统,否则拒绝该操作系统登录用户登录操作系统;如果认证方式是动态口令认证,则PAM库启动会话函数,以将请求输入动态口令的消息发送给认证服务器,如果收到认证服务器验证通过的消息,则允许操作系统登录用户登录操作系统则允许操作系统登录用户登录操作系统用户名对应的登录用户登录操作系统,否则拒绝该操作系统登录用户登录操作系统;如果认证方式是短信口令认证,则PAM库启动会话函数,以将请求输入短信口令的消息发送给认证服务器,如果收到认证服务器验证通过的消息,则允许操作系统登录用户登录操作系统则允许操作系统登录用户登录操作系统用户名对应的登录用户登录操作系统,否则拒绝该操作系统登录用户登录操作系统。
[0110] (6)认证服务器通知客户端验证失败,过程结束。
[0111] 本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何
修改、等同替换和改进等,均应包含在本发明的保护范围之内。
