CN112118269A - 一种身份认证方法、系统、计算设备及可读存储介质 - Google Patents
一种身份认证方法、系统、计算设备及可读存储介质 Download PDFInfo
- Publication number
- CN112118269A CN112118269A CN202011109647.XA CN202011109647A CN112118269A CN 112118269 A CN112118269 A CN 112118269A CN 202011109647 A CN202011109647 A CN 202011109647A CN 112118269 A CN112118269 A CN 112118269A
- Authority
- CN
- China
- Prior art keywords
- information
- login
- user
- authentication
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 89
- 238000004891 communication Methods 0.000 claims abstract description 20
- 238000012795 verification Methods 0.000 claims abstract description 15
- 230000004083 survival effect Effects 0.000 claims description 15
- 230000006855 networking Effects 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000013523 data management Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000007723 transport mechanism Effects 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种身份认证方法,适于在终端设备中执行,终端设备与认证服务器通信连接,认证服务器与多个终端设备连接,每一个终端设备具有相应的缓存区域,方法包括:获取用户的登录信息,登录信息包括用户的账号和密码;根据登录信息和终端设备的唯一标识生成用户登录请求,并将用户登录请求发送给认证服务器,以便认证服务器对用户登录请求进行认证并返回认证结果;接收认证服务器对用户登录请求的认证结果;在接收到认证成功的验证结果时,将登录信息存储到当前终端设备中的缓存区域。本发明一并公开了相应的系统、计算设备及可读存储介质。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种身份认证方法、系统、计算设备及可读存储介质。
背景技术
随着网络技术的迅速发展,对企业来说,防止电子数据泄露已经成为各个企业首要关注的问题,要想登录企业内部数据服务器,必须经过身份认证才能登录数据服务器。也随之产生了很多身份认证方式,其中,应用较为广泛的是轻型目录访问协议(OpenLightweight Directory Access Protocol,OpenLDAP),通过OpenLDAP实现集中账号管理,它基于X.500标准协议。本质上相当于一个分布式数据库,可以存储公司员工信息、服务器信息等,提供搜索、查询等服务,但是大部分公司在使用OpenLDAP时,只是通过存储内部员工的企业账号进行身份验证,这将导致所有员工具有相同的设备登录权限,只要具有了企业账号,就可以访问任何加密级别的数据服务器,这给公司带来很大麻烦,数据服务器上的数据信息可以让任何员工进行修改,而这点又与公司设置身份认证的目的相违背,因此,需要设计一种能够对员工进行不同加密数据访问权限设置的方法。
发明内容
为此,本发明提供了一种身份认证方法、系统、计算设备及可读存储介质,以力图解决或者至少缓解上面存在的问题。
根据本发明的一个方面,提供一种身份认证方法,适于在终端设备中执行,终端设备与认证服务器通信连接,认证服务器与多个终端设备连接,每一个终端设备具有相应的缓存区域,方法包括:获取用户的登录信息,登录信息包括用户的账号和密码;根据登录信息和终端设备的唯一标识生成用户登录请求,并将用户登录请求发送给认证服务器,以便认证服务器对用户登录请求进行认证并返回认证结果;接收认证服务器对用户登录请求的认证结果;在接收到认证成功的验证结果时,将登录信息存储到当前终端设备中的缓存区域。
可选的,在根据本发明的身份认证方法中,终端设备中包含第一配置文件,第一配置文件中包含联网配置信息,联网配置信息为通过认证服务器对登录信息进行认证,方法还包括:查询第一配置文件中的联网配置信息,并根据联网配置信息对登录信息进行认证。
可选的,在根据本发明的身份认证方法中,唯一标识根据终端设备的硬件信息生成,具体包括:获取终端设备的主板序列号、磁盘序列号;根据主板序列号、磁盘序列号进行哈希运算,获得终端设备的唯一标识。
可选的,在根据本发明的身份认证方法中,缓存中的登录信息具有生存时间,在接收到认证成功的验证结果时,将登录信息存储到当前终端设备中的缓存区域中包括:当缓存区域中的登录信息的生存时间超时或者缓存区域中没有当前用户的登录信息时,将当前用户的登录信息存储到缓存区域中,并设定对应的生存时间。
可选的,在根据本发明的身份认证方法中,第一配置文件中还包含离线配置信息,离线配置信息为通过缓存对登录信息进行认证,方法还包括:当终端设备与认证服务器通信连接断开时,通过缓存中的数据对登录信息进行认证。
可选的,在根据本发明的身份认证方法中,通过缓存区域中的数据对登录信息进行认证包括:获取用户的登录信息,并通过缓存区域中的数据对用户的登录信息进行验证;如果登录信息验证通过,则获取登录信息对应的生存时间;如果生存时间没有过期,则允许用户登录终端设备;如果生存时间已过期,则拒绝用户登录终端设备。
可选的,在根据本发明的身份认证方法中,第一配置文件由PAM模块实现,将登录信息存储到当前终端设备中的缓存区域中通过NSCD实现。
可选的,在根据本发明的身份认证方法中,认证服务器由OpenLDAP实现,终端设备安装有NSLCD。
根据本发明的另一方面,提供一种身份认证方法,适于在认证服务器中执行,认证服务器连接多个用于执行如权利要求1-8中任意一项的方法的终端设备,认证服务器上存储有账号信息表,账号信息表包括用户的账号信息,每一条账号信息包含对应该账号信息的用户的可登录终端设备列表,方法包括:接收终端设备发送的登录请求,登录请求包括用户的登录信息和终端设备的唯一标识,登录信息包括用户的账号和密码;根据账号信息表中的数据对登录请求中的登录信息和唯一标识进行认证;将对登录请求的认证结果返回给对应的终端设备。
可选的,在根据本发明的身份认证方法中,每一条账号信息包括登录账号、登录密码和对应该账号的可登录终端设备列表,可登录终端设备列表由对应该用户的可登录的终端设备的唯一标识组成,根据认证服务器中存储的账号信息对登录请求中的登录信息和唯一标识进行认证包括:获取登录请求中的登录信息,根据账号信息进行认证;如果登录信息验证成功,则验证登录请求中的唯一标识是否在对应的可终端设备列表中。
可选的,在根据本发明的身份认证方法中,方法还包括账号信息表的创建,具体为:新用户加入时,在认证服务器中添加新加入用户的账号信息;设置该账号对应的可登录终端设备列表。
可选的,在根据本发明的身份认证方法中,认证服务器由OpenLDAP实现,终端设备安装有NSLCD。
根据本发明的另一个方面,提供一种身份认证系统,包括:终端设备,适于执行上述任意一项适于在终端设备中执行的方法;认证服务器,适于执行上述任意一项适于在认证服务器中执行的方法。
根据本发明的又一个方面,提供一种计算设备,包括:至少一个处理器;以及存储器,存储有程序指令,其中,程序指令被配置为适于由至少一个处理器执行,程序指令包括用于执行上述身份认证方法的指令。
根据本发明的又一个方面,提供一种存储有程序指令的可读存储介质,当程序指令被计算设备读取并执行时,使得计算设备执行上述身份认证方法。
根据本发明的身份认证方法,对用户的账号和密码信息以及所登录终端设备的唯一标识进行双认证,最终决定用户能否访问所登录的终端设备,即在用户登录设备过程中,对设备实现了认证,只有当用户具有当前登录终端设备的登录权限时才允许用户登录,实现了对用户账号的权限的一个划分,使用户只能访问或修改自己权限内的终端设备上的数据,这样也有利于公司内部的数据管理,如果所有员工都可以通过自己的企业账号登录任意服务器,对服务器上的任意数据进行读写,将导致数据管理混乱,根据本发明的身份认证方法,在用户登录终端设备时,除了对用户的账号进行验证,还需要通过设备认证才能允许用户登录,有效防止了上述数据管理混乱的情况的发生,同时真正起到了对公司内部数据的安全管理。
附图说明
为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明一个实施例的身份认证系统100的示意图;
图2示出了根据本发明一个实施例的计算设备200的框图;
图3示出了根据本发明一个实施例的身份认证方法300的流程图;
图4示出了根据本发明一个实施例的身份认证方法400的流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的身份认证系统100的示意图。如图1所示,身份认证系统100包括终端设备110和认证服务器120,终端设备110和认证服务器120通信连接。其中,终端设备110(包括终端设备110-1、终端设备110-2、终端设备110-3)为用户可以登录的终端设备,认证服务器120则完成对用户身份的验证。应当指出,图1中的身份认证系统仅为示例性的,在实际应用中,一个企业中的终端设备可以根据公司需求任意设置。
终端设备110可以通过计算设备实现,通常,在终端设备110中存储有公司内部数据,用户可以访问这些数据,或者对这些数据进行修改。公司内部可以部署多台终端设备,具有不同的功能划分,存储不同的数据,只有具有相应权限的用户才能登陆,一定程度上维护了数据的稳定性,避免任意员工都能对数据进行修改的弊端。用户在登陆终端设备时,需要输入用户的账号(公司会给员工分配相应的账号)和密码,终端设备110会根据用户的账号和密码并携带上当前终端设备的设备信息生成用户登录请求发送给认证服务器120。终端设备110的登录方式,可以是直接在该终端设备上登录,比如直接登录终端设备110-1,也可以从其他设备上远程登录,比如通过终端设备110-2登录终端设备110-1,这时,会通过终端设备110-2将账号和密码传给终端设备110-1,再结合终端设备110-1的设备信息生成用户登录请求,发送给认证服务器120。
用户在登陆终端设备110时需要经过认证服务器120的身份认证才能登陆,根据本发明的一个实施例,认证服务器120通过OpenLDAP实现,OpenLDAP是一款轻量级目录访问协议,提供并实现目录服务的信息服务,属于一种特殊的数据库系统,对于数据的读取、浏览、搜索有很好的效果。可以存储企业员工信息、证书、秘钥、设备信息等。
根据本发明的一个实施例,在认证服务器120上存储用户的账号和密码信息,并存储该用户可以登录的终端设备(例如终端设备110)列表,用户只能登录存储在对应的终端设备列表中的终端设备,其中终端设备是以唯一标识进行存储的,该唯一标识根据终端设备硬件信息生成。当认证服务器120收到客户端发送的用户登录请求时,根据存储的信息对用户登录请求中的用户的账号、密码进行认证,在账号和密码验证通过后,确认用户登录请求中携带的设备信息(即设备的唯一标识)是否包含在用户账号对应的设备列表中,如果所携带的登录终端的设备信息存在于设备列表中,则返回认证通过消息,否则返回认证失败消息。
根据本发明的一个实施例,用户第一次登录终端设备,在收到认证通过消息后会通过NSCD服务将用户的账号和密码信息存储在终端设备的缓存区域,并设置一个生存时间。用户如果不是第一次登录终端设备,终端设备在收到认证通过消息后,会检测本地缓存中对应的账号信息的生存时间是否已经过期,如果已经过期,则进行更新。
根据本发明的一个实施例,终端设备与认证服务器之间的网络连接断开时,用户在登录终端设备时,可以通过本地的缓存进行认证,如果缓存记录对应的有效时间没有超时,用户如果通过本地缓存验证通过,还是可以登录终端设备的,但是如果缓存数据过期,则无法进行验证。
根据本发明的一个实施例,当有新用户加入企业内部系统时,将新用户的账号信息和对应的终端设备列表添加到认证服务器中,这个可以通过公司内部管理员完成。
图1中认证系统中的各个设备都可以通过计算设备实现,图2示出了根据本发明一个实施例的计算设备200的示意图。需要说明的是,图2所示的计算设备200仅为一个示例,在实践中,用于实施本发明的身份认证方法300/400的计算设备可以是任意型号的设备,其硬件配置情况可以与图2所示的计算设备200相同,也可以与图2所示的计算设备200不同。实践中用于实施本发明的身份认证方法300/400的计算设备可以对图2所示的计算设备200的硬件组件进行增加或删减,本发明对计算设备的具体硬件配置情况不做限制。
如图2所示,在基本的配置202中,计算设备200典型地包括系统存储器206和一个或者多个处理器204。存储器总线208可以用于在处理器204和系统存储器206之间的通信。
取决于期望的配置,处理器204可以是任何类型的处理,包括但不限于:微处理器(μP)、微控制器(μC)、数字信息处理器(DSP)或者它们的任何组合。处理器204可以包括诸如一级高速缓存210和二级高速缓存212之类的一个或者多个级别的高速缓存、处理器核心214和寄存器216。示例的处理器核心214可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器218可以与处理器204一起使用,或者在一些实现中,存储器控制器218可以是处理器204的一个内部部分。
取决于期望的配置,系统存储器206可以是任意类型的存储器,包括但不限于:易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。计算设备中的物理内存通常指的是易失性存储器RAM,磁盘中的数据需要加载至物理内存中才能够被处理器204读取。系统存储器206可以包括操作系统220、一个或者多个应用222以及程序数据224。在一些实施方式中,应用222可以布置为在操作系统上由一个或多个处理器204利用程序数据224执行指令。操作系统220例如可以是Linux、Windows等,其包括用于处理基本系统服务以及执行依赖于硬件的任务的程序指令。应用222包括用于实现各种用户期望的功能的程序指令,应用222例如可以是浏览器、即时通讯软件、软件开发工具(例如集成开发环境IDE、编译器等)等,但不限于此。当应用222被安装到计算设备200中时,可以向操作系统220添加驱动模块。
在计算设备200启动运行时,处理器204会从存储器206中读取操作系统220的程序指令并执行。应用222运行在操作系统220之上,利用操作系统220以及底层硬件提供的接口来实现各种用户期望的功能。当用户启动应用222时,应用222会加载至存储器206中,处理器204从存储器206中读取并执行应用222的程序指令。
计算设备200还包括储存设备232,储存设备232包括可移除储存器236和不可移除储存器238,可移除储存器236和不可移除储存器238均与储存接口总线234连接。
计算设备200还可以包括有助于从各种接口设备(例如,输出设备242、外设接口244和通信设备246)到基本配置202经由总线/接口控制器230的通信的接口总线240。示例的输出设备242包括图形处理单元248和音频处理单元250。它们可以被配置为有助于经由一个或者多个A/V端口252与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口244可以包括串行接口控制器254和并行接口控制器256,它们可以被配置为有助于经由一个或者多个I/O端口258和诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备246可以包括网络控制器260,其可以被布置为便于经由一个或者多个通信端口264与一个或者多个其他计算设备262通过网络通信链路的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块,并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号,它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例,通信介质可以包括诸如有线网络或者专线网络之类的有线介质,以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
在根据本发明的计算设备200中,应用222包括用于执行本发明的身份认证方法的指令,该指令可以指示处理器204执行本发明的身份认证方法。
图3示出了根据本发明一个实施例的身份认证方法300的流程图,方法300适于在计算设备(例如图2所示的计算设备)中执行。如图2所示,该方法始于步骤S310,在步骤S310中,终端设备获取用户的登录信息,该登录信息可以是用户可以是通过要登录的终端设备直接输入,也可以是通过远程登录方式,通过远端设备传给要登录的终端设备上的,登录信息包括用户的账号和密码。
在进入步骤S320之前,还包括检测终端设备的网络连接情况以及与认证服务器之间的网络连接状况,根据终端设备中的第一配置文件中的配置信息确定认证方式的步骤。根据本发明的一个实施例,终端设备中都安装有NSLCD,第一配置文件由PAM模块实现,其中配置信息包括联网配置信息,具体为,当终端设备与认证服务器之间网络连接时,通过认证服务器对登录信息进行认证。
当终端设备与认证服务器端网络连接时,进入步骤S320,终端设备将获取到的登录信息并结合自己的唯一标识生成用户登录请求,将用户登录请求发送给认证服务端。
根据本发明的一个实施例,终端设备的唯一标识根据终端设备的硬件信息生成,包括主板序号、磁盘序号等信息,根据这些硬件信息进行哈希运算获得终端设备的唯一标识,也可以通过其他算法进行计算,本发明对此不作限制。
随后进入步骤S330,认证服务器接收到终端设备发来的用户登录请求,并对其进行认证。
根据本发明的一个实施例,认证服务器中包含所有用户的账号信息,每一个用户的账号信息存储格式如下:
#Entry 1:uid=fly200,dc=uniontech,dc=com
dn:uid=fly200,dc=uniontech,dc=com
cn:fly200
employeetype:enabled
gidnumber:100
homedirectory:/home/fly200
host:b7d722bc8803f6e61b8825fba4b63401
host:3dbf29cce14c4b0ab041c4d46e9e07cb
host:43731a42689046a1a59cb0a8641aaf1b
objectclass:posixAccount
objectclass:inetOrgPerson
objectclass:organizationalPerson
objectclass:person
objectclass:hostObject
sn:fly200
uid:fly200
uidnumber:10002
userpassword:{MD5}Su4+KN836hr2S9Y27KWdyw==
dn是用户LDAP账号目录节点,类似数据库唯一主键,cn为用户全名,employeetype标识了用户账号状态,是启用,还是冻结,gidnumber为用户组id,homedirectory中包含了用户在终端系统中的home目录,host标识了用户可登录的终端列表;objectclass为对象类,也就是属性的集合,sn是用户的姓氏,这里存的英文名,uid是用户的账号,uidnumber为在终端系统中的用户id,userpassword为用户账号密码。
根据本发明的一个实施例,当认证服务器接收到终端设备的用户登录请求时,解析出其中的账号、密码以及终端设备的唯一标识等信息,从认证服务器中的存储信息中搜索出相关信息,进行验证,包括账号和密码是否对应,账户状态是否启用,并检查终端设备的唯一标识是否存在于相应的设备列表中。比如用户A通过账号zhangsan和密码123456登录终端设备PC0,PC0的设备唯一标识为b7d722bc8803f6e61b8825fba4b63401,在认证服务器中关于用户A的存储信息中,账号为zhangsan,密码为123456,可登录设备列表中包含PC0的设备唯一标识b7d722bc8803f6e61b8825fba4b63401,则对于用户A的登录请求验证通过。
继续以用户A为例,用户A登录终端设备PC1,账号为zhangsan,密码为123456,此次携带的PC1的设备唯一标识3dbf29cce14c4b0ab041c4d46e9e07cb,但是认证服务器中关于用户A的可登录设备列表中不包含PC1的设备唯一标识,则对于A登录PC1的登录请求验证失败。
根据本发明的又一个实施例,用户A登录终端设备PC3,账号为zhangsan,密码为654321,而终端设备PC3中存储的用户A的密码为123456,则用户A登录PC3的登录请求也不能通过。
随后进入步骤S340中,根据步骤S330的认证结果,将认证结果返回终端设备。
随后在步骤S350,终端设备在接收到认证服务器返回的认证结果。当为认证成功消息时,则检测终端设备本地缓存中是否有当前登录用户的账号和密码信息,如果没有(一般用户首次登录该终端设备时是没有缓存信息的),则将用户的账号和密码信息通过NSCD存储到终端设备的缓存区域。如果缓存区域中已经有该用户的账号和密码的缓存信息,则检测该缓存信息的生存时间是否已经超时,如果已经超时,则对缓存信息进行更新,同时重设有效期,该有效期可以设置为5分钟。同时,根据验证成功信息,允许用户登录终端设备。
根据本发明的一个实施例,终端设备接收到认证失败消息,则拒绝用户的登录请求,阻止用户登录终端设备。
图4示出了根据本发明一个实施例的身份认证方法400的流程图,方法400适于在计算设备(如图2所示的计算设备)中执行。
如图4所示,方法400始于步骤S410,在步骤S410中,终端设备获取用户的登录信息,该登录信息可以是用户直接输入要登录的终端设备,也可以是通过远程登录方式,通过远端设备传给目标终端设备上,登录信息包括用户的账号和密码。
随后在步骤S420中,通过检测终端设备的网络连接状况检测到终端设备处于离线状态或者无法连接认证服务器时,从第一配置文件中获取离线配置信息,具体为,通过本地缓存区域中的数据对获取到的登录信息进行认证。
随后在步骤S430中,通过本地缓存信息对用户的登录信息进行验证。当缓存区域中存储有相应的用户的账号信息,且该存储信息没有过期,如果根据该缓存数据对登录信息验证通过,则用户可以正成登录终端设备,否则,登录失败。
根据本发明的一个实施例,用户B通过账号bcde和密码234登录终端设备PC3,终端设备PC3的缓存区域存储有用户B的账号和密码信息,且对应的生存时间没有过期,则用户B可以正常登录终端设备PC3。
根据本发明的一个实施例,用户C通过账号cdef密码345登录终端设备PC3,终端设备PC3的缓存区域存储有用户C的账号和密码信息,但是,对应的生存时间已经过期,则用户C不能登录终端设备PC3。
根据本发明的一个实施例,用户D通过账号defg密码456登录终端设备PC3,终端设备PC3的缓存区域没有用户D的账号和密码信息,则用户D不能登录终端设备PC3。
根据本发明的身份认证方法,对用户的账号和密码信息以及所登录终端设备的唯一标识进行双认证,最终决定用户能否访问所登录的终端设备,即在用户登录设备过程中,对设备实现了认证,只有当用户具有当前登录设备的登录权限时才允许用户登录,实现了对用户账号的权限的一个划分,使用户只能访问或修改自己权限内的终端设备上的数据,这样也有利于公司内部的数据管理,如果所有员工都可以通过自己的企业账号登录任意服务器,对服务器上的任意数据进行读写,将导致数据管理混乱,根据本发明的身份认证方法,在用户登录终端设备时,除了对用户的账号进行验证,还需要通过设备认证才能允许用户登录,有效防止了上述数据管理混乱的情况的发生,同时真正起到了对公司内部数据的安全管理。
这里描述的各种技术可结合硬件或软件,或者它们的组合一起实现。从而,本发明的方法和设备,或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介,例如可移动硬盘、U盘、软盘、CD-ROM或者其它任意机器可读的存储介质中的程序代码(即指令)的形式,其中当程序被载入诸如计算机之类的机器,并被所述机器执行时,所述机器变成实践本发明的设备。
在程序代码在可编程计算机上执行的情况下,计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件),至少一个输入装置,和至少一个输出装置。其中,存储器被配置用于存储程序代码;处理器被配置用于根据该存储器中存储的所述程序代码中的指令,执行本发明的身份认证方法。
以示例而非限制的方式,可读介质包括可读存储介质和通信介质。可读存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传递介质。以上的任一种的组合也包括在可读介质的范围之内。
在此处所提供的说明书中,算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与本发明的示例一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
本发明还包括:
A6、如A5所述的方法,其中,所述通过所述缓存区域中的数据对所述登录信息进行认证包括:
获取用户的登录信息,并通过所述缓存区域中的数据对所述用户的登录信息进行验证;
如果所述登录信息验证通过,则获取所述登录信息对应的生存时间;
如果所述生存时间没有过期,则允许用户登录终端设备;
如果所述生存时间已过期,则拒绝用户登录终端设备。
A7、如A1-A5中任意一项所述的方法,其中,所述第一配置文件由PAM模块实现,所述将所述登录信息存储到当前终端设备中的缓存区域中通过NSCD实现。
A8、如A1-A7中任意一项所述的方法,其中,所述认证服务器由OpenLDAP实现,所述终端设备安装有NSLCD。
B11、如B9或B10所述的方法,其中,所述方法还包括账号信息表的创建,具体为:
新用户加入时,在所述认证服务器中添加所述新加入用户的账号信息;
设置该账号对应的可登录终端设备列表。
B12、如B1-B11中任意一项所述的方法,其中,所述认证服务器由OpenLDAP实现,所述终端设备安装有NSLCD。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
Claims (10)
1.一种身份认证方法,适于在终端设备中执行,所述终端设备与认证服务器通信连接,所述认证服务器与多个终端设备连接,每一个终端设备具有相应的缓存区域,所述方法包括:
获取用户的登录信息,所述登录信息包括用户的账号和密码;
根据所述登录信息和所述终端设备的唯一标识生成用户登录请求,并将所述用户登录请求发送给所述认证服务器,以便所述认证服务器对所述用户登录请求进行认证并返回认证结果;
接收所述认证服务器对所述用户登录请求的认证结果;
在接收到认证成功的验证结果时,将所述登录信息存储到当前终端设备中的缓存区域。
2.如权利要求1所述的方法,其中,所述终端设备中包含第一配置文件,所述第一配置文件中包含联网配置信息,所述联网配置信息为通过所述认证服务器对所述登录信息进行认证,所述方法还包括:
查询所述第一配置文件中的联网配置信息,并根据所述联网配置信息对所述登录信息进行认证。
3.如权利要求1或2所述的方法,其中,所述唯一标识根据终端设备的硬件信息生成,具体包括:
获取终端设备的主板序列号、磁盘序列号;
根据所述主板序列号、磁盘序列号进行哈希运算,获得终端设备的唯一标识。
4.如权利要求1-3中任意一项所述的方法,其中,所述缓存中的登录信息具有生存时间,所述在接收到认证成功的验证结果时,将所述登录信息存储到当前终端设备中的缓存区域中包括:
当所述缓存区域中的登录信息的生存时间超时或者所述缓存区域中没有当前用户的登录信息时,将当前用户的登录信息存储到缓存区域中,并设定对应的生存时间。
5.如权利要求1-4中任意一项所述的方法,其中,所述第一配置文件中还包含离线配置信息,所述离线配置信息为通过缓存对所述登录信息进行认证,所述方法还包括:
当所述终端设备与认证服务器通信连接断开时,通过所述缓存中的数据对所述登录信息进行认证。
6.一种身份认证方法,适于在认证服务器中执行,所述认证服务器连接多个用于执行如权利要求1-5中任意一项所述的方法的终端设备,所述认证服务器上存储有账号信息表,所述账号信息表包括用户的账号信息,每一条账号信息包含对应该账号信息的用户的可登录终端设备列表,所述方法包括:
接收所述终端设备发送的登录请求,所述登录请求包括用户的登录信息和所述终端设备的唯一标识,所述登录信息包括用户的账号和密码;
根据所述账号信息表中的数据对所述登录请求中的登录信息和所述唯一标识进行认证;
将对所述登录请求的认证结果返回给对应的终端设备。
7.如权利要求6所述的方法,其中,每一条账号信息包括登录账号、登录密码和对应该账号的可登录终端设备列表,所述可登录终端设备列表由对应该用户的可登录的终端设备的唯一标识组成,所述根据所述认证服务器中存储的账号信息对所述登录请求中的登录信息和所述唯一标识进行认证包括:
获取登录请求中的登录信息,根据所述账号信息进行认证;
如果登录信息验证成功,则验证所述登录请求中的唯一标识是否在对应的可终端设备列表中。
8.一种身份认证系统,包括:
终端设备,适于执行权利要求1-5中任意一项所述的方法;
认证服务器,适于执行权利要求6-7中任意一项所述的方法。
9.一种计算设备,包括:
至少一个处理器;以及
存储器,存储有程序指令,其中,所述程序指令被配置为适于由所述至少一个处理器执行,所述程序指令包括用于执行如权利要求1-7中任一项所述方法的指令。
10.一种存储有程序指令的可读存储介质,当所述程序指令被计算设备读取并执行时,使得所述计算设备执行如权利要求1-7中任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011109647.XA CN112118269A (zh) | 2020-10-16 | 2020-10-16 | 一种身份认证方法、系统、计算设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011109647.XA CN112118269A (zh) | 2020-10-16 | 2020-10-16 | 一种身份认证方法、系统、计算设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112118269A true CN112118269A (zh) | 2020-12-22 |
Family
ID=73794782
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011109647.XA Pending CN112118269A (zh) | 2020-10-16 | 2020-10-16 | 一种身份认证方法、系统、计算设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112118269A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112804237A (zh) * | 2021-01-18 | 2021-05-14 | 统信软件技术有限公司 | 一种用户身份认证装置、计算设备及系统 |
| CN114840106A (zh) * | 2021-02-01 | 2022-08-02 | 湖南微步信息科技有限责任公司 | 基于不同设备的应用接续操作方法和系统 |
| CN115150105A (zh) * | 2022-09-01 | 2022-10-04 | 杭州悦数科技有限公司 | 一种分布式图数据库中的身份认证方法和系统 |
| CN115412347A (zh) * | 2022-08-31 | 2022-11-29 | 建信金融科技有限责任公司 | 设备登录方法、装置、设备及存储介质 |
| CN117294509A (zh) * | 2023-10-16 | 2023-12-26 | 广东省中山市质量技术监督标准与编码所 | 基于动态信息进行身份验证的方法、系统、设备及介质 |
| CN117453816A (zh) * | 2023-10-24 | 2024-01-26 | 上海宁盾信息科技有限公司 | 一种用户数据统一方法、系统、计算机及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104410622A (zh) * | 2014-11-25 | 2015-03-11 | 珠海格力电器股份有限公司 | 登陆Web系统的安全认证方法、客户端及系统 |
| CN109587162A (zh) * | 2018-12-26 | 2019-04-05 | 闻泰通讯股份有限公司 | 登录验证方法、装置、终端、密码服务器及存储介质 |
| US20190114403A1 (en) * | 2017-10-18 | 2019-04-18 | Fuji Xerox Co., Ltd. | Information processing apparatus, information processing system, and non-transitory computer readable medium |
-
2020
- 2020-10-16 CN CN202011109647.XA patent/CN112118269A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104410622A (zh) * | 2014-11-25 | 2015-03-11 | 珠海格力电器股份有限公司 | 登陆Web系统的安全认证方法、客户端及系统 |
| US20190114403A1 (en) * | 2017-10-18 | 2019-04-18 | Fuji Xerox Co., Ltd. | Information processing apparatus, information processing system, and non-transitory computer readable medium |
| CN109587162A (zh) * | 2018-12-26 | 2019-04-05 | 闻泰通讯股份有限公司 | 登录验证方法、装置、终端、密码服务器及存储介质 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112804237A (zh) * | 2021-01-18 | 2021-05-14 | 统信软件技术有限公司 | 一种用户身份认证装置、计算设备及系统 |
| CN114840106A (zh) * | 2021-02-01 | 2022-08-02 | 湖南微步信息科技有限责任公司 | 基于不同设备的应用接续操作方法和系统 |
| CN115412347A (zh) * | 2022-08-31 | 2022-11-29 | 建信金融科技有限责任公司 | 设备登录方法、装置、设备及存储介质 |
| CN115150105A (zh) * | 2022-09-01 | 2022-10-04 | 杭州悦数科技有限公司 | 一种分布式图数据库中的身份认证方法和系统 |
| CN117294509A (zh) * | 2023-10-16 | 2023-12-26 | 广东省中山市质量技术监督标准与编码所 | 基于动态信息进行身份验证的方法、系统、设备及介质 |
| CN117453816A (zh) * | 2023-10-24 | 2024-01-26 | 上海宁盾信息科技有限公司 | 一种用户数据统一方法、系统、计算机及存储介质 |
| CN117453816B (zh) * | 2023-10-24 | 2024-05-07 | 上海宁盾信息科技有限公司 | 一种用户数据统一方法、系统、计算机及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108810006B (zh) | 资源访问方法、装置、设备及存储介质 | |
| CN112118269A (zh) | 一种身份认证方法、系统、计算设备及可读存储介质 | |
| CN112597472B (zh) | 单点登录方法、装置及存储介质 | |
| US9491182B2 (en) | Methods and systems for secure internet access and services | |
| CN107395779B (zh) | 域事件的验证 | |
| US20070220009A1 (en) | Methods, systems, and computer program products for controlling access to application data | |
| KR102236341B1 (ko) | 블록체인-기반 데이터 관리를 위한 시스템 및 방법 | |
| KR20120024745A (ko) | 다중-요소 인증 공유 등록 시스템 | |
| JP2007264835A (ja) | 認証方法およびシステム | |
| CN107770192A (zh) | 在多系统中身份认证的方法和计算机可读存储介质 | |
| WO2019011187A1 (zh) | 电子账户的挂失、解挂、业务管理方法、装置及设备 | |
| US8656468B2 (en) | Method and system for validating authenticity of identity claims | |
| US11784994B2 (en) | Management device, management system, and non-transitory computer readable medium | |
| CN114422258A (zh) | 一种基于多认证协议的单点登录方法、介质及电子设备 | |
| US9621349B2 (en) | Apparatus, method and computer-readable medium for user authentication | |
| CN116415217A (zh) | 基于零信任架构的即时授权系统 | |
| US20060248578A1 (en) | Method, system, and program product for connecting a client to a network | |
| US11868476B2 (en) | Boot-specific key access in a virtual device platform | |
| CN106529216B (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 | |
| US11252143B2 (en) | Authentication system, authentication server and authentication method | |
| CN109063461B (zh) | 一种第三方免密登录方法及系统 | |
| JP6848275B2 (ja) | プログラム、認証システム及び認証連携システム | |
| CN111917736B (zh) | 一种网络安全管理方法、计算设备及可读存储介质 | |
| JP3974070B2 (ja) | ユーザ認証装置、端末装置、プログラム及びコンピュータ・システム | |
| CN112804237A (zh) | 一种用户身份认证装置、计算设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201222 |