CN101626292A - 一种Linux登陆保护方法 - Google Patents
一种Linux登陆保护方法 Download PDFInfo
- Publication number
- CN101626292A CN101626292A CN200810043621A CN200810043621A CN101626292A CN 101626292 A CN101626292 A CN 101626292A CN 200810043621 A CN200810043621 A CN 200810043621A CN 200810043621 A CN200810043621 A CN 200810043621A CN 101626292 A CN101626292 A CN 101626292A
- Authority
- CN
- China
- Prior art keywords
- user
- server
- certificate
- over
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种Linux登陆保护方法,该方法主要包括以下步骤:(1)用户通过SSH协议访问远程服务器;(2)服务器进行用户确认;(3)服务器解析用户提交证书内容;(4)服务器对证书与用户进行匹配;(5)服务器检测证书的CA签发;(6)服务器验证证书是否在有效期限内;(7)服务器验证证书是否在CRL中;(8)服务器验证用户签名;(9)服务器拒绝该用户登陆;(10)服务器接收登陆。本发明使用户通过SSH协议访问远程主机时,以有效的数字证书作为用户凭证,从而克服了使用口令作为用户远程登录凭证所存在的安全问题。
Description
技术领域:
本发明涉及计算机和信息安全技术领域,特别涉及一种基于PKI技术实现使用数字证书作为远程登录Linux主机的用户凭证的方法。
背景技术:
随着计算机和网络应用的发展,大量的Linux服务器被部署。服务器的管理需要远程登录到服务器上对服务器进行日常的维护和管理。在传统的方式中,管理员使用用户名和口令作为登录服务器的用户凭证。该方法存在很多安全风险,如:弱口令容易被攻击,口令容易泄漏,口令不能真正确认用户的身份,多个口令不易管理等。为了解决这些由口令引起的问题我们将数字证书技术应用于该方面,本发明使用数字证书作为远程登录Linux主机的用户凭证的方法。该方法克服了使用口令作为用户远程登录凭证所存在的安全问题。
在SSH协议中定义了一种使用非对称算法的认证方法-“publickey”。在该认证方法中,用户提交使用其私钥签名的数据作为认证的凭据。服务器对用户及其签名进行验证后决定是接受或拒绝该用户的登录请求。在实际的使用中,该方法存在如下问题:(1)公私钥对的整个生命周期如何管理,(2)用户如何保护其私钥。
发明内容:
本发明针对上述现有技术所存在的问题,而提供一种基于PKI技术来实现使用数字证书作为远程登录Linux主机的用户凭证的方法,从而达到解决现有认证方法中所存在不足的目的。
为了达到上述目的,本发明所采用的技术方案是:一种Linux登陆保护方法,该方法主要包括以下步骤:
(1)用户通过SSH协议访问远程服务器;
(2)服务器进行用户确认,若是系统用户,转入步骤(3),若不是转入步骤(9);
(3)服务器解析用户提交证书内容;
(4)服务器对证书与用户进行匹配,若匹配,转入步骤(5),若不匹配,转入步骤(9);
(5)服务器检测证书的CA签发,若为信任CA签发,转入步骤(6),若不是,转入步骤(9);
(6)服务器验证证书是否在有效期限内,若在,转入步骤(7),若不在,转入步骤(9);
(7)服务器验证证书是否在CRL中,若在转入步骤(9),若不在,转入步骤(8);
(8)服务器验证用户签名,若是,转入步骤(10),若不是,转入步骤(9);
(9)服务器拒绝该用户登陆;
(10)服务器接收该用户登陆。
所述SSH协议中修改加入用户的公钥证书。
所述证书为x509证书。
根据上述技术方案得到的本发明使用用户通过SSH协议访问远程主机时,以有效的数字证书作为用户凭证,从而达到在远程登录中实现强身份认证和使用数字签名技术防止身份仿冒的目的,克服了使用口令作为用户远程登录凭证所存在的安全问题。本发明中证书作为公钥的载体,由CA提供证书的生命周期的管理,从而解决了公私钥对的生命周期管理的问题;使用PKI体系,私钥的生成及存放都可以的硬件介质中完成,具有较高的安全性;服务器不需要维护大量的公钥。
附图说明:
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明的流程示意图。
具体实施方式:
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
在原来的认证方法中,服务器收到客户端认证请求后,先检查用户是否是系统用户,并对比所提交的公钥与系统中保存的公钥是否一致。如果一致则用该公钥验证签名。在这个方法中,管理员必须将用户公钥预先存放服务器中。
为解决上述问题和现有Linux服务器所存在用户认证安全问题,本发明采用如图1所示的技术方案。
该方案实施前首先对SSH协议进行一定的修改,利用用户的公钥证书取代其已存放的公钥。该证书为x509证书,这样由于证书作为公钥的载体,由CA提供证书的生命周期的管理,从而解决了公私钥对的生命周期管理的问题;使用PKI体系,私钥的生成及存放都可以的硬件介质中完成,同时私钥有较高的安全性;服务器不需要维护大量的公钥。
本发明在使用时,具体步骤如下:
(1)用户通过SSH协议访问远程服务器,进行认证;
(2)服务器进行用户确认,若是系统用户,转入步骤(3),若不是转入步骤(9);
(3)服务器解析用户提交证书内容;
(4)服务器对证书与用户进行匹配,若匹配,转入步骤(5),若不匹配,转入步骤(9);
(5)服务器检测证书的CA签发,若为信任CA签发,转入步骤(6),若不是,转入步骤(9);
(6)服务器验证证书是否在有效期限内,若在,转入步骤(7),若不在,转入步骤(9);
(7)服务器验证证书是否在CRL中,若在转入步骤(9),若不在,转入步骤(8);
(8)服务器验证用户签名,若是,转入步骤(10),若不是,转入步骤(9);
(9)服务器拒绝该用户登陆;
(10)服务器接收该用户登陆。
根据上述的认证方法,其使用数字证书作为远程登录Linux主机的用户凭证的方法。该方法克服了使用口令作为用户远程登录凭证所存在的安全问题。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1、一种Linux登陆保护方法,其特征在于,所述方法主要包括以下步骤:
(1)用户通过SSH协议访问远程服务器;
(2)服务器进行用户确认,若是系统用户,转入步骤(3),若不是转入步骤(9);
(3)服务器解析用户提交证书内容;
(4)服务器对证书与用户进行匹配,若匹配,转入步骤(5),若不匹配,转入步骤(9);
(5)服务器检测证书的CA签发,若为信任CA签发,转入步骤(6),若不是,转入步骤(9);
(6)服务器验证证书是否在有效期限内,若在,转入步骤(7),若不在,转入步骤(9);
(7)服务器验证证书是否在CRL中,若在转入步骤(9),若不在,转入步骤(8);
(8)服务器验证用户签名,若是,转入步骤(10),若不是,转入步骤(9);
(9)服务器拒绝该用户登陆;
(10)服务器接收该用户登陆。
2、根据权利要求1所述的一种Linux登陆保护方法,其特征在于,所述SSH协议中修改加入用户的公钥证书。
3、根据权利要求1或2所述的一种Linux登陆保护方法,其特征在于,所述证书为x509证书。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810043621A CN101626292A (zh) | 2008-07-09 | 2008-07-09 | 一种Linux登陆保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810043621A CN101626292A (zh) | 2008-07-09 | 2008-07-09 | 一种Linux登陆保护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101626292A true CN101626292A (zh) | 2010-01-13 |
Family
ID=41521990
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810043621A Pending CN101626292A (zh) | 2008-07-09 | 2008-07-09 | 一种Linux登陆保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101626292A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103179104A (zh) * | 2011-12-23 | 2013-06-26 | 中国移动通信集团公司 | 一种远程服务的访问方法、系统及其设备 |
CN103914745A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 电子签章系统印章撤销列表的管理方法和管理系统 |
CN105959286A (zh) * | 2016-05-13 | 2016-09-21 | 浪潮集团有限公司 | 基于证书密钥缓存的快速身份认证方法 |
CN108600156A (zh) * | 2018-03-07 | 2018-09-28 | 华为技术有限公司 | 一种服务器及安全认证方法 |
CN109120644A (zh) * | 2018-10-23 | 2019-01-01 | 山东浪潮云信息技术有限公司 | 一种基于数字证书和账号口令的双重身份认证方法 |
CN114338633A (zh) * | 2021-12-27 | 2022-04-12 | 济南超级计算技术研究院 | 一种远程连接Linux服务器的方法及系统 |
CN115412323A (zh) * | 2022-08-23 | 2022-11-29 | 江苏云涌电子科技股份有限公司 | 一种基于tcm的单次登录访问多个应用的方法 |
-
2008
- 2008-07-09 CN CN200810043621A patent/CN101626292A/zh active Pending
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103179104A (zh) * | 2011-12-23 | 2013-06-26 | 中国移动通信集团公司 | 一种远程服务的访问方法、系统及其设备 |
CN103179104B (zh) * | 2011-12-23 | 2016-04-27 | 中国移动通信集团公司 | 一种远程服务的访问方法、系统及其设备 |
CN103914745A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 电子签章系统印章撤销列表的管理方法和管理系统 |
CN103914745B (zh) * | 2012-12-30 | 2018-06-15 | 航天信息股份有限公司 | 电子签章系统印章撤销列表的管理方法和管理系统 |
CN105959286A (zh) * | 2016-05-13 | 2016-09-21 | 浪潮集团有限公司 | 基于证书密钥缓存的快速身份认证方法 |
CN108600156A (zh) * | 2018-03-07 | 2018-09-28 | 华为技术有限公司 | 一种服务器及安全认证方法 |
CN108600156B (zh) * | 2018-03-07 | 2021-05-07 | 华为技术有限公司 | 一种服务器及安全认证方法 |
CN109120644A (zh) * | 2018-10-23 | 2019-01-01 | 山东浪潮云信息技术有限公司 | 一种基于数字证书和账号口令的双重身份认证方法 |
CN114338633A (zh) * | 2021-12-27 | 2022-04-12 | 济南超级计算技术研究院 | 一种远程连接Linux服务器的方法及系统 |
CN114338633B (zh) * | 2021-12-27 | 2023-11-10 | 济南超级计算技术研究院 | 一种远程连接Linux服务器的方法及系统 |
CN115412323A (zh) * | 2022-08-23 | 2022-11-29 | 江苏云涌电子科技股份有限公司 | 一种基于tcm的单次登录访问多个应用的方法 |
CN115412323B (zh) * | 2022-08-23 | 2023-07-18 | 江苏云涌电子科技股份有限公司 | 一种基于tcm的单次登录访问多个应用的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104753881B (zh) | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 | |
CN101741860B (zh) | 一种计算机远程安全控制方法 | |
CN101626292A (zh) | 一种Linux登陆保护方法 | |
CN100566254C (zh) | 提高智能密钥设备安全性的方法和系统 | |
CN109687965B (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
CN108270571A (zh) | 基于区块链的物联网身份认证系统及其方法 | |
CN109040067A (zh) | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 | |
US20070143832A1 (en) | Adaptive authentication methods, systems, devices, and computer program products | |
CN110069918A (zh) | 一种基于区块链技术的高效双因子跨域认证方法 | |
CN109150535A (zh) | 一种身份认证方法、设备、计算机可读存储介质及装置 | |
CN1731723A (zh) | 电子/手机令牌动态口令认证系统 | |
CN107277079A (zh) | 一种面向混合云的跨云用户认证系统 | |
CN103167491A (zh) | 一种基于软件数字证书的移动终端唯一性认证方法 | |
CN107835176A (zh) | 一种基于eID的网络身份认证方法及平台 | |
CN101938473A (zh) | 单点登录系统及单点登录方法 | |
CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
CN103312691A (zh) | 一种云平台的认证与接入方法及系统 | |
CN106713279A (zh) | 一种视频终端身份认证系统 | |
CN104079413A (zh) | 增强型一次性动态口令的认证方法及系统 | |
CN101908964B (zh) | 远程虚拟密码设备认证方法 | |
CN102377573A (zh) | 一种口令可安全更新的双因子身份认证方法 | |
CN101958913A (zh) | 基于动态口令和数字证书的双向身份认证方法 | |
CN1588853A (zh) | 一种基于网络的统一认证方法及系统 | |
CN108400962A (zh) | 一种多服务器架构下的认证和密钥协商方法 | |
CN109347831A (zh) | 一种基于UKey认证的双重认证安全接入系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20100113 |