CN113591056A - 一种基于指纹设备登录Windows域的方法和系统 - Google Patents

一种基于指纹设备登录Windows域的方法和系统 Download PDF

Info

Publication number
CN113591056A
CN113591056A CN202110896725.3A CN202110896725A CN113591056A CN 113591056 A CN113591056 A CN 113591056A CN 202110896725 A CN202110896725 A CN 202110896725A CN 113591056 A CN113591056 A CN 113591056A
Authority
CN
China
Prior art keywords
certificate
fingerprint
user
windows
windows domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110896725.3A
Other languages
English (en)
Inventor
左勇勇
胡永亮
辛奕
李彦雷
王贵波
张超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guomin Authentication Technology Beijing Co ltd
Original Assignee
Guomin Authentication Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guomin Authentication Technology Beijing Co ltd filed Critical Guomin Authentication Technology Beijing Co ltd
Priority to CN202110896725.3A priority Critical patent/CN113591056A/zh
Publication of CN113591056A publication Critical patent/CN113591056A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于指纹设备登录Windows域的方法和系统,方法包括:S1:在服务端部署Windows域服务和证书服务;S2:为用户分配Windows域账号;S3:用户通过证书申请服务获取与Windows域账号绑定的证书,将证书私钥安全存储在指纹设备中;S4:用户登录Windows域时,使用指纹设备验证用户的指纹,验证通过后使用指纹设备中存储的证书私钥完成Windows域登录。相比较原有的用户名和口令的登录方式,指纹设备的认证方式需要用户身份的的双重认证,可抵御非法访问者,提高了Windows系统登录过程的安全性。

Description

一种基于指纹设备登录Windows域的方法和系统
技术领域
本发明涉及身份认证技术领域,特别是一种基于指纹设备登录Windows域的方法和系统。
背景技术
随着Windows系统的更新发展,Windows操作系统登录程序也在不断改进,在Windows vista和win7系统中,微软摒弃了原有的交互式登录GINA模型,使用了凭据提供程序(Windows Credential Provider),通过微软提供的这套接口可以实现丰富的身份认证,相对于原有的Windows登录系统的用户和口令的登录方式,通过指纹设备与windowsCredential Provider结合的方式,使用指纹代替用户的口令。
在此背景之下,本发明提供了一种基于指纹设备登录Windows域系统的实现方式。
发明内容
本发明的目的在于提供一种基于指纹设备登录Windows域的方法和系统,相比较原有的用户名和口令的登录方式,提高了Windows域登录过程的安全性。
为解决上述问题,本发明实施例提供一种基于指纹设备登录Windows域的方法,包括:
S1:在服务端部署Windows域服务和证书服务;
S2:为用户分配Windows域账号;
S3:用户通过证书申请服务获取与Windows域账号绑定的证书,将证书私钥安全存储在指纹设备中;
S4:用户登录Windows域时,使用指纹设备验证用户的指纹,验证通过后使用指纹设备中存储的证书私钥完成Windows域登录。
进一步地,步骤S1包括:
S101:在服务端安装证书服务;
S102:添加证书模板;
S103:安装域控制器证书,所述域控制器证书用于安全套接字层身份验证、远程过程调用签名和指纹设备登录过程。
进一步地,所述安装证书服务包括在服务端安装根证书颁发机构,将Windows域中的所有客户机添加到受信任的根证书颁发机构的证书存储区域。
进一步地,所述添加证书模板包括在添加证书模板对话框中选择指纹设备用户,为指纹设备用户设置证书的注册、读取权限。
进一步地,在步骤S3和步骤S4之间,所述方法还包括:
S3’:定制Windows Credential Provider Com库,包括自定义用户登录界面的接口以及处理和提交用户登录凭证的接口;
S3”:在客户端部署程序包,以使得重新启动客户机,插入指纹设备后登录界面提供用户输入指纹登录Windows域。
进一步地,步骤S3”中,根据步骤S3’生成的dll库文件,编写注册表注册脚本,在注册表目录下增加dll库的引用,并与指纹设备的驱动程序合成安装包,通过安装程序安装到客户机中。
进一步地,所述指纹设备为智能卡设备。
本发明实施例还提供一种基于指纹设备登录Windows域的系统,包括服务端、客户机和指纹设备,其中,
所述服务端部署Windows域服务和证书服务,为用户分配Windows域账号;
所述客户机的用户通过证书申请服务获取与Windows域账号绑定的证书,将证书私钥安全存储在指纹设备中;
客户机用户登录Windows域时,使用指纹设备验证用户的指纹,验证通过后使用指纹设备中存储的证书私钥完成Windows域登录。
与现有技术相比,本发明的具有如下有益效果:相比较原有的用户名和口令的登录方式,指纹设备的认证方式需要用户身份的的双重认证,可抵御非法访问者,提高了Windows系统登录过程的安全性。
附图说明
图1为实现本发明实施例提供的基于指纹设备登录Windows域的体系结构示意图;
图2为本发明实施例提供的基于指纹设备登录Windows域的方法流程图;
图3为在服务端部署Windows域服务和证书服务的子步骤流程图;
图4为定制Windows Credential Provider Com库和在客户端部署程序包的流程图。
具体实施方式
下面将参考附图中示出的若干示例性实施方式来描述本发明的原理和精神。应当理解,描述这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。
本发明实施例提供一种基于指纹设备登录Windows域的方法,包括如下步骤:
S1:在服务端部署Windows域服务和证书服务。
S101:在服务端安装证书服务,具体包括在服务端安装根证书颁发机构(CA),将Windows域中的所有客户机添加到受信任的根证书颁发机构的证书存储区域。
应当理解的是,服务端安装根CA需要活动目录服务(AD)域的支持,因此在步骤S101开始前默认已在服务端安装了活动目录服务,建立了Windows域。
S102:添加证书模板,具体包括在添加证书模板对话框中选择指纹设备用户,为指纹设备用户设置证书的注册、读取权限。
服务端安装完证书服务后,就可以为客户机提供证书下载服务。本实施例中,指纹设备为智能卡。
S103:安装域控制器证书,所述域控制器证书用于安全套接字层(SSL)身份验证、远程过程调用(RPC)签名和指纹设备登录过程。对指纹设备用户进行身份验证的每一个域控制器上必须有一个域控制器证书。
S2:为用户分配Windows域账号。
由于在步骤S1中已经完成了服务端部署Windows域服务,因此可以为Windows域中的所有客户机分配Windows域账号。
S3:用户通过证书申请服务获取与Windows域账号绑定的证书,将证书私钥安全存储在指纹设备中。
配置完以上服务后,域用户可以在客户端通过浏览器申请证书,并存储在指纹设备中的安全存储区域中。
S4:用户登录Windows域时,使用指纹设备验证用户的指纹,验证通过后使用指纹设备中存储的证书私钥完成Windows域登录。
进一步地,在步骤S3和步骤S4之间,方法还包括:
S3’:定制Windows Credential Provider Com库,包括自定义用户登录界面的接口以及处理和提交用户登录凭证的接口。
此接口库是登录模块的核心部分,包括了自定义用户登录界面的接口以及处理和提交用户登录凭证的接口,并通过COM库的方式增量注册到Windows从操作系统中。
在windows登录界面上,有两部分界面需要定义,一部分是标题,主要显示用户图片和用户名;另一部分是指纹对比界面,主要提供用户刷指纹进行指纹对比交互处理功能。
S3”:在客户端部署程序包,以使得重新启动客户机,插入指纹设备后登录界面提供用户输入指纹登录Windows域。
步骤S3”中,根据步骤S3’生成的dll库文件,编写注册表注册脚本,在注册表的预定目录下增加dll库的引用,并与指纹设备的驱动程序合成安装包,通过安装程序自动安装到客户机中。重新启动客户机,插入指纹设备后登录界面提供用户刷指纹登录。
本实施例中,注册表目录为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\CredentialProviders。
本发明实施例还提供了一种基于指纹设备登录Windows域的系统,该系统用于实现上述的基于指纹设备登录Windows域的方法。系统包括服务端、客户机和指纹设备,其中:
服务端部署Windows域服务和证书服务,为用户分配Windows域账号。
客户机的用户通过证书申请服务获取与Windows域账号绑定的证书,将证书私钥安全存储在指纹设备中。
客户机用户登录Windows域时,使用指纹设备验证用户的指纹,验证通过后使用指纹设备中存储的证书私钥完成Windows域登录。
服务端、客户机和指纹设备实现上述功能的具体过程可以参考上文中步骤S1-S4的描述。
上述系统具体可以采用如下的系统结构实现,请结合图1,该系统结构包括在服务端、客户机设置的若干模块,首先,对各个模块中涉及的术语进行解释如下:
Active Directory(AD):活动目录服务
活动目录是一种目录服务,它存储有关网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等信息,并使管理员和用户可以方便的查找和使用这些网络信息。通过活动目录,用户可以对用户与计算机、域、信任关系,以及站点与服务进行管理。活动目录具有可扩展性与可调整性。活动目录把一个域作为一个完整的目录,域之间能够通过一种基于Kerberos认证的可传递的信任关系建立起树状连接,从而使单一账户在该树状结构中的任何地方都有效。本实施例中,在服务端部署活动目录服务,具体可以参考上文步骤S1的描述。
KDC:密钥分发中心
Kerberos SSP:Kerberos身份验证程序包
Kerberos是一个协议名称,基于密钥认证,KDC是Kerberos一部分,是KeyDistribute Center,是负责分发密钥的中心。本实施例中,KDC和活动目录服务链接,从而可以实现证书和Windows域账号的绑定。
LSA(Local Security Authority):处理登录凭据
Winlogon:提供交互式登录的下层基础
Winlogon是用户登陆程序,用于管理用户登录和退出。
Logon UI:提供交互式UI的渲染。仅在登录时运行,用于显示开机时的欢迎、口令输入、关机等界面。
自定义Credential UI:用于自定义指纹比对界面,主要提供用户刷指纹进行指纹对比交互处理功能。
Credential Provider Interface:指纹比对交互界面
Credential Manager:凭据管理器。为用户、应用程序和安全服务包提供凭据的安全存储和检索。
Credential Provider:描述凭据信息和序列化凭据
Certificate:证书
FingerPrintDevice:指纹设备
Verify FingerPrint:指纹验证。
本文中应用了具体个例对发明构思进行了详细阐述,以上实施例的说明只是用于帮助理解本发明的核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离该发明构思的前提下,所做的任何显而易见的修改、等同替换或其他改进,均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于指纹设备登录Windows域的方法,其特征在于,包括:
S1:在服务端部署Windows域服务和证书服务;
S2:为用户分配Windows域账号;
S3:用户通过证书申请服务获取与Windows域账号绑定的证书,将证书私钥安全存储在指纹设备中;
S4:用户登录Windows域时,使用指纹设备验证用户的指纹,验证通过后使用指纹设备中存储的证书私钥完成Windows域登录。
2.根据权利要求1所述的方法,其特征在于,步骤S1包括:
S101:在服务端安装证书服务;
S102:添加证书模板;
S103:安装域控制器证书,所述域控制器证书用于安全套接字层身份验证、远程过程调用签名和指纹设备登录过程。
3.根据权利要求2所述的方法,其特征在于,所述安装证书服务包括在服务端安装根证书颁发机构,将Windows域中的所有客户机添加到受信任的根证书颁发机构的证书存储区域。
4.根据权利要求2所述的方法,其特征在于,所述添加证书模板包括在添加证书模板对话框中选择指纹设备用户,为指纹设备用户设置证书的注册、读取权限。
5.根据权利要求1所述的方法,其特征在于,在步骤S3和步骤S4之间,所述方法还包括:
S3’:定制Windows Credential Provider Com库,包括自定义用户登录界面的接口以及处理和提交用户登录凭证的接口;
S3”:在客户端部署程序包,以使得重新启动客户机,插入指纹设备后登录界面提供用户输入指纹登录Windows域。
6.根据权利要求5所述的方法,其特征在于,步骤S3”中,根据步骤S3’生成的dll库文件,编写注册表注册脚本,在注册表目录下增加dll库的引用,并与指纹设备的驱动程序合成安装包,通过安装程序安装到客户机中。
7.根据权利要求1所述的方法,其特征在于,所述指纹设备为智能卡设备。
8.一种基于指纹设备登录Windows域的系统,其特征在于,包括服务端、客户机和指纹设备,其中,
所述服务端部署Windows域服务和证书服务,为用户分配Windows域账号;
所述客户机的用户通过证书申请服务获取与Windows域账号绑定的证书,将证书私钥安全存储在指纹设备中;
客户机用户登录Windows域时,使用指纹设备验证用户的指纹,验证通过后使用指纹设备中存储的证书私钥完成Windows域登录。
CN202110896725.3A 2021-08-05 2021-08-05 一种基于指纹设备登录Windows域的方法和系统 Pending CN113591056A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110896725.3A CN113591056A (zh) 2021-08-05 2021-08-05 一种基于指纹设备登录Windows域的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110896725.3A CN113591056A (zh) 2021-08-05 2021-08-05 一种基于指纹设备登录Windows域的方法和系统

Publications (1)

Publication Number Publication Date
CN113591056A true CN113591056A (zh) 2021-11-02

Family

ID=78255453

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110896725.3A Pending CN113591056A (zh) 2021-08-05 2021-08-05 一种基于指纹设备登录Windows域的方法和系统

Country Status (1)

Country Link
CN (1) CN113591056A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115242435A (zh) * 2022-06-13 2022-10-25 中国电子科技集团公司第三十研究所 一种具有可验证属性的多因子认证系统及方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101340285A (zh) * 2007-07-05 2009-01-07 杭州中正生物认证技术有限公司 利用指纹USBkey进行身份验证的方法及系统
CN102244656A (zh) * 2010-05-11 2011-11-16 微软公司 域访问系统
CN105141580A (zh) * 2015-07-27 2015-12-09 天津灵创智恒软件技术有限公司 一种基于ad域的资源访问控制方法
US20170147801A1 (en) * 2015-11-25 2017-05-25 Dell Products L.P. Pre-boot authentication credential sharing system
CN107609362A (zh) * 2017-10-19 2018-01-19 飞天诚信科技股份有限公司 一种智能卡登录Windows系统的方法及私有凭据提供装置
CN109391615A (zh) * 2018-09-27 2019-02-26 深圳互联先锋科技有限公司 一种服务器免密登录方法及系统
CN112602079A (zh) * 2018-08-24 2021-04-02 三星电子株式会社 用于认证生物识别信息的方法和装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101340285A (zh) * 2007-07-05 2009-01-07 杭州中正生物认证技术有限公司 利用指纹USBkey进行身份验证的方法及系统
CN102244656A (zh) * 2010-05-11 2011-11-16 微软公司 域访问系统
CN105141580A (zh) * 2015-07-27 2015-12-09 天津灵创智恒软件技术有限公司 一种基于ad域的资源访问控制方法
US20170147801A1 (en) * 2015-11-25 2017-05-25 Dell Products L.P. Pre-boot authentication credential sharing system
CN107609362A (zh) * 2017-10-19 2018-01-19 飞天诚信科技股份有限公司 一种智能卡登录Windows系统的方法及私有凭据提供装置
CN112602079A (zh) * 2018-08-24 2021-04-02 三星电子株式会社 用于认证生物识别信息的方法和装置
CN109391615A (zh) * 2018-09-27 2019-02-26 深圳互联先锋科技有限公司 一种服务器免密登录方法及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
LIONZL: ""微软 Credential Providers 详解"", pages 2, Retrieved from the Internet <URL:"https://blog.csdn.net/lionzl/article/details/103279954"> *
潘晓恒: ""WINDOWS域智能卡认证实施方案设计"", 《中国优秀硕士学位论文全文数据库信息科技辑(月刊)》, no. 2009, 15 February 2009 (2009-02-15), pages 139 - 52 *
潘晓恒: "WINDOWS域智能卡认证实施方案设计", 中国优秀硕士学位论文全文数据库信息科技辑(月刊), no. 2009, 15 February 2009 (2009-02-15), pages 139 - 52 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115242435A (zh) * 2022-06-13 2022-10-25 中国电子科技集团公司第三十研究所 一种具有可验证属性的多因子认证系统及方法
CN115242435B (zh) * 2022-06-13 2023-05-26 中国电子科技集团公司第三十研究所 一种具有可验证属性的多因子认证系统及方法

Similar Documents

Publication Publication Date Title
US8381271B2 (en) Method and system for providing user access to a secure application
US10887298B2 (en) System and method for pool-based identity authentication for service access without use of stored credentials
US9172541B2 (en) System and method for pool-based identity generation and use for service access
US8505083B2 (en) Remote resources single sign on
JP5534520B2 (ja) スマートカードにブラウザベースでアクセスするシステムおよび方法
EP1491983B1 (en) Three Way Validation and Authentication of Boot Files Transmitted from Server to Client
US6973569B1 (en) Inexpensive secure on-line certification authority system and method
EP1998269A1 (en) Program execution control system, execution control method, execution control computer program
US20120174212A1 (en) Connected account provider for multiple personal computers
US8161154B2 (en) Establishing a thin client terminal services session
KR20150110652A (ko) 특권 동작을 발동하기 위한 보안 인터페이스
US11956232B2 (en) Integration packaging for a multi-tenant computing environment
KR102063033B1 (ko) 클라우드 서비스를 사용하는 사용자 단말기, 단말기의 보안 통합 관리 서버 및 단말기의 보안 통합 관리 방법
CN113591056A (zh) 一种基于指纹设备登录Windows域的方法和系统
JP5036500B2 (ja) 属性証明書管理方法及び装置
US9479492B1 (en) Authored injections of context that are resolved at authentication time
WO2023283499A1 (en) Computing session multi-factor authentication
AU2006201131B2 (en) Method and system for providing user access to a secure application
AU2006220381B2 (en) Method and system for providing user access to a secure application
US20230232226A1 (en) Computer network-based service for generation and installation of digital certificates of a public key infrastructure seamlessly integrating with multiple mobile device management systems
TWI645345B (zh) 透過交易信物執行憑證作業之系統、裝置及其方法
CN113987461A (zh) 身份认证方法、装置和电子设备
CN115801342A (zh) 基于OAuth2协议及私有设备的应用运行方法及系统
CN113468611A (zh) 安全认证方法、系统、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination