CN118094511A - 登录二次验证方法 - Google Patents

Abstract

本发明公开了登录二次验证方法，包括如下步骤：集成Google Authenticator库；配置PAM模块；生成密钥并绑定用户账号；生成二维码；生成随机验证码；用户身份验证。该发明可以在CentOS系统上实现使用Google Authenticator进行二次登录验证的功能，可以提升系统的安全性，确保只有经过验证的用户才能成功登录系统。

Description

登录二次验证方法

技术领域

本发明涉及验证登录技术领域，具体为登录二次验证方法。

背景技术

现有验证登录技术：

(1)短信验证：用户在输入正确的用户名和密码后，系统会向其注册的手机号发送一条包含验证码的短信；用户需要输入正确的验证码才能完成登录；这种方法的原理是手机短信具有一定的安全性和实时性；

(2)软件令牌验证：用户在手机或电脑上安装相应的验证软件，每次登录时，软件会生成一个动态的验证码，用户需要将该验证码输入到登录界面才能完成登录；这种方法相对于短信验证更加安全，因为令牌是个人设备生成的，不容易被攻击者获取；

(3)硬件令牌验证：用户携带一个硬件令牌设备，每次登录时，硬件令牌会生成一个动态的验证码，用户需要将验证码输入到登录界面才能完成登录；硬件令牌通常采用单向认证和时间同步技术，具有更高的安全性；

(4)生物识别验证：利用用户的生物特征(如指纹、面部识别、虹膜扫描等)来验证身份；这种方法依赖于用户个体的生物特征，不易被攻击者伪造。

现有技术存在的缺点：

(1)短信验证：存在SIM卡劫持、短信被拦截等安全风险，安全性一般；

(2)软件令牌验证：容易受网络信号限制，信号不好难以接受验证码信息；

(3)硬件令牌验证：成本相对较高，单向认证安全性一般；

(4)生物识别验证：生物识别验证通常需要特殊的硬件设备支持，并可能受到生物特征数据被攻击者盗取的风险。

发明内容

本发明的目的在于提供登录二次验证方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：登录二次验证方法，包括如下步骤：

步骤S1、集成Google Authenticator库:在CentOS系统中，首先需要集成GoogleAuthenticator的库，通过下载最新的Google Authenticator库的源代码，并将其编译和安装到CentOS系统中；

步骤S2、配置PAM模块:对PAM进行配置，将Google Authenticator集成到系统的登录过程中，通过修改PAM配置文件，在用户登录时调用Google Authenticator模块来进行二次登录验证；

步骤S3、生成密钥并绑定用户账号:在用户账号注册过程中，生成一个密钥，并将其与用户账号进行绑定，密钥使用Google Authenticator库提供的API生成，并将其存储在系统的用户账号数据库中；

步骤S4、生成二维码:使用用户的密钥生成一个二维码，用户从系统中获取该二维码并将其输入到Google Authenticator手机应用程序中；

步骤S5、生成随机验证码:在用户登录系统时，系统生成一个随机的验证码，与用户手机应用程序中生成的验证码进行比对，系统通过调用Google Authenticator库的API来生成验证码，并将其返回给用户；

步骤S6、用户身份验证:用户在登录时，将系统生成的验证码输入到登录界面中，系统将使用用户账号绑定的密钥来生成一个验证码，并与用户输入的验证码进行比对，如果两者一致，则验证通过，允许用户登录系统。

优选的，所述步骤S3用户注册时，给用户生成一个密钥，前台给用户显示该密钥，后台将该密钥与用户绑定。

优选的，所述步骤S4使用用户的密钥生成一个二维码及密钥和账户名，用户下载谷歌身份验证器app扫描二维码绑定手机，或输入密钥和账号登录绑定，绑定后，即可查看实时验证码。

优选的，所述步骤S5用户登录网站时，输入正确用户名和密码后，打开app查看验证码，并输入登录。

优选的，所述步骤S6后台接收到用户输入的验证码，同时取出用户的密钥，进行谷歌身份验证，如果验证成功，则登录成功。

优选的，所述步骤S1用户将Google Authenticator集成到CentOS系统中进行身份验证，包括以下步骤：

安装CentOS环境；

服务端安装：在CentOS系统中安装Google Authenticator插件，确保系统具备使用Google Authenticator进行二次验证的功能；

服务端配置：用户在登录之前需要通过Google Authenticator进行身份验证，在CentOS系统中，通过用户配置文件进行设置，将用户与Google Authenticator绑定；

客户端：谷歌推出的手机端二次验证app，和服务器程序配合使用，服务器安装配置完毕后会显示一串密钥，手机上通过这串密钥创建一条身份记录，该条记录产生的6位数字动态密钥只能用作对应服务器的登录二次验证。

优选的，所述Google Authenticator模块来进行二次登录验证具体包括步骤如下：

客户端发起SSH连接请求：客户端向服务端发起SSH连接请求，并提供用户名和密码；

服务端验证用户名和密码：服务端接收到客户端的请求后，首先验证提供的用户名和密码是否正确；

服务端要求客户端进行一次性验证码认证：如果密码验证成功，服务端要求客户端进行Google Authenticator的一次性验证码认证；

客户端打开Google Authenticator应用并生成验证码：客户端使用已安装的Google Authenticator应用程序，在手机或设备上生成一次性验证码；

客户端将验证码发送给服务端：客户端将生成的一次性验证码发送回服务端；

服务端验证验证码的有效性：服务端使用事先与客户端绑定的密钥和当前的时间信息，验证接收到的验证码是否有效；

认证结果通知：服务端根据验证码验证的结果，向客户端发送认证结果信息；

如果验证码验证成功，服务端允许客户端访问系统资源。

与现有技术相比，本发明的有益效果是：

1)强大的安全性：Google Authenticator提供了基于时间的一次性密码(TOTP)算法，为用户提供了更高的安全性。Google Authenticator是基于时间的动态密钥，其产生原理可以大概描述如下，服务器端和客户端都通过一段相同的key，加上当前时间，经过某种相同的算法产生动态密钥，每30秒进行一次计算。当进行登录时，如果输入的客户端的密钥和服务端当前维护的密钥一致则通过验证。

所以想要成功访问服务器，必须要同时满足两个条件：

①服务端和手机端的key相同。

②服务端和手机端的时间要同步到分钟级别。

这意味着即使黑客获取了用户的账户密码，仍然需要物理访问用户的手机或设备上的谷歌验证器来获取有效的验证码。而且我们可以在配置Google Authenticator时进一步确定安全性，比如选择禁止同一密钥在30s内被多次使用；选择不允许前8次和后8次的动态密码也有效；选择限制30s内最多3次尝试，为了防止被恶意试错。；

2)高度可靠的认证方式和无需网络连接：谷歌验证器生成的一次性密码是基于时间同步算法的，与网络连接无关。这意味着即使在没有网络连接的情况下，用户仍然可以生成有效的验证码进行登录验证；

3)简化部署和使用：使用Google Authenticator插件，无需额外的硬件设备和复杂的配置，使得部署和管理更加简化。安装谷歌验证器应用程序后，用户进行一次性设置，就可以将其与账户进行绑定。用户在登录时只需打开谷歌验证器应用程序，输入生成的一次性验证码即可完成认证；

4)广泛的支持和兼容性：谷歌验证器应用程序可在多个平台和设备上运行，包括iOS、Android和其他支持TOTP算法的设备。这使得它成为适用于不同用户和设备的广泛认证解决方案；

5)低成本和易扩展性：CentOS是免费的开源软件，用户可以自由地使用、修改和分发它。而且谷歌验证器是一种基于软件的认证解决方案，不需要额外的硬件设备或复杂的基础架构。只需安装应用程序并进行设置即可使用。此外，它也可以轻松扩展到大量的用户和系统中，而无需过多的资源和管理开销。

总结起来，Google Authenticator在CentOS上安装进行二次验证登录具有强大的安全性、高度可靠的认证方式、简化部署和使用、广泛的支持和兼容性，以及低成本和易扩展性的特点。它为用户提供了一种简单、安全和可靠的二次验证方法，有助于提升系统和用户的安全性。

附图说明

图1为本发明执行流程图；

图2为本发明通信过程加密验证示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1-2，本发明提供一种技术方案：登录二次验证方法，包括如下步骤：

步骤S1、集成Google Authenticator库:在CentOS系统中，首先需要集成GoogleAuthenticator的库，通过下载最新的Google Authenticator库的源代码，并将其编译和安装到CentOS系统中；

步骤S2、配置PAM模块:对PAM进行配置，将Google Authenticator集成到系统的登录过程中，通过修改PAM配置文件，在用户登录时调用Google Authenticator模块来进行二次登录验证；

步骤S3、生成密钥并绑定用户账号:在用户账号注册过程中，生成一个密钥，并将其与用户账号进行绑定，密钥使用Google Authenticator库提供的API生成，并将其存储在系统的用户账号数据库中；

步骤S4、生成二维码:使用用户的密钥生成一个二维码，用户从系统中获取该二维码并将其输入到Google Authenticator手机应用程序中；

步骤S5、生成随机验证码:在用户登录系统时，系统生成一个随机的验证码，与用户手机应用程序中生成的验证码进行比对，系统通过调用Google Authenticator库的API来生成验证码，并将其返回给用户；

步骤S6、用户身份验证:用户在登录时，将系统生成的验证码输入到登录界面中，系统将使用用户账号绑定的密钥来生成一个验证码，并与用户输入的验证码进行比对，如果两者一致，则验证通过，允许用户登录系统。

本发明中，所述步骤S3用户注册时，给用户生成一个密钥，前台给用户显示该密钥，后台将该密钥与用户绑定。

本发明中，所述步骤S4使用用户的密钥生成一个二维码及密钥和账户名，用户下载谷歌身份验证器app扫描二维码绑定手机，或输入密钥和账号登录绑定，绑定后，即可查看实时验证码。

本发明中，所述步骤S5用户登录网站时，输入正确用户名和密码后，打开app查看验证码，并输入登录。

本发明中，所述步骤S6后台接收到用户输入的验证码，同时取出用户的密钥，进行谷歌身份验证，如果验证成功，则登录成功。

本发明中，所述步骤S1用户将Google Authenticator集成到CentOS系统中进行身份验证，包括以下步骤：

安装CentOS环境；

服务端安装：在CentOS系统中安装Google Authenticator插件，确保系统具备使用Google Authenticator进行二次验证的功能；

服务端配置：用户在登录之前需要通过Google Authenticator进行身份验证，在CentOS系统中，通过用户配置文件进行设置，将用户与Google Authenticator绑定；

客户端：谷歌推出的手机端二次验证app，和服务器程序配合使用，服务器安装配置完毕后会显示一串密钥，手机上通过这串密钥创建一条身份记录，该条记录产生的6位数字动态密钥只能用作对应服务器的登录二次验证。

本发明中，所述Google Authenticator模块来进行二次登录验证具体包括步骤如下：

客户端发起SSH连接请求：客户端向服务端发起SSH连接请求，并提供用户名和密码；

服务端验证用户名和密码：服务端接收到客户端的请求后，首先验证提供的用户名和密码是否正确；

服务端要求客户端进行一次性验证码认证：如果密码验证成功，服务端要求客户端进行Google Authenticator的一次性验证码认证；

客户端打开Google Authenticator应用并生成验证码：客户端使用已安装的Google Authenticator应用程序，在手机或设备上生成一次性验证码；

客户端将验证码发送给服务端：客户端将生成的一次性验证码发送回服务端；

服务端验证验证码的有效性：服务端使用事先与客户端绑定的密钥和当前的时间信息，验证接收到的验证码是否有效；

认证结果通知：服务端根据验证码验证的结果，向客户端发送认证结果信息；

如果验证码验证成功，服务端允许客户端访问系统资源。

本发明安全性：通过将CentOS系统与Google Authenticator集成实现二次验证登录；CentOS提供了丰富的安全特性和工具，如SELinux(Security-Enhanced Linux)和防火墙等，可以帮助保障系统的安全性；Google Authenticator是基于时间来产生动态密钥。服务器端和客户端都通过一段相同的密钥，加上当前时间，经过某种相同的算法产生动态密钥，每30秒进行一次计算；因此，当进行登录时，除了输入正确的用户名和密码之外，还要输入一个由时间限制的一次性令牌；如果输入的客户端的密钥和服务端当前维护的密钥一致则通过验证；

用户将Google Authenticator集成到CentOS系统中进行身份验证，包括以下步骤：安装CentOS环境；服务端安装：在CentOS系统中安装Google Authenticator插件，确保系统具备使用Google Authenticator进行二次验证的功能；服务端配置(配置GoogleAuthenticator)：用户在登录之前需要通过Google Authenticator进行身份验证。在CentOS系统中，通过用户配置文件进行设置，将用户与Google Authenticator绑定；客户端：谷歌推出的手机端二次验证app，和服务器程序配合使用。服务器安装配置完毕后会显示一串密钥(key)，手机上通过这串密钥(key)就可以创建一条身份记录，该条记录产生的6位数字动态密钥只能用作对应服务器的登录二次验证。

本发明可靠性：在CentOS操作系统环境下结合Google Authenticator(谷歌验证器)进行二次验证登录；

一方面CentOS是一个企业级的操作系统，具有企业级操作系统高度的稳定性，其实，CentOS是基于RHEL的一个克隆版，RHEL在业界被广泛认可为企业级操作系统，具有极高的稳定性和可靠性，CentOS也继承了这一特点，可以为企业级应用提供高度稳定的运行环境。所以在安装和配置Google Authenticator插件前，先安装CentOS操作系统，可为二次登录验证提供可靠的运行环境；另一方面验证码动态生成。Google Authenticator生成一次性验证码是基于时间的一次性密码算法(TOTP)。在CentOS上安装Google验证器，生成的验证码是动态的，基于当前时间和密钥，每隔一段时间就会生成一个新的有效验证码。攻击者无法通过捕获的验证码进行重放攻击，因为验证码的有效期很短；更重要的可靠性体现在加密通信，本发明借助SSH协议，CentOS与Google验证器之间的通信是受加密保护的，整个身份验证流程中涉及到的数据，包括密码、验证码等，都会通过SSH进行加密传输，确保通信的机密性。

本发明用户友好性：使用的Google Authenticator(谷歌验证器)来访问服务器的操作流程，既能在保证安全性的同时提供良好的用户体验。

对于Google身份验证(又称双重认证)；一方面平台提供给用户密钥绑定到谷歌身份验证器中，每个用户的密钥都是不相同的，这可以保障安全唯一性；用户的动态密码按照时间或使用次数不断动态变化，每个密码只能使用一次，目的是保护用户账户安全，防止被盗；另一方面在登录环节中，除了要输入账号和密码，还要求用户输入自己手机的一个动态密码，为帐户多增加了一层保护。也就是说，即使有人盗取了用户的密码，也会因不能使用用户的手机而无法登录帐户。

总的来说，Google身份验证器相当于银行的eToken(身份认证设备)：通过用户名与密码登录手机银行后，支付、转账时要用到动态口令，以加强安全级别。不过银行的动态口令载体通常是硬件，而Google身份验证器是个手机应用，相对更方便。

Google身份验证具有普适性：Google身份验证器应用适用于Android、iPhone或黑莓手机。即使在手机没有信号或数据连接，该应用也能正常工作。

本发明远程登录服务器时，SSH+Google Authenticator是一种很好的技术结合；SSH(Secure Shell，安全外壳)是一种网络安全协议，可以用于远程登录和文件传输，它可以让用户安全地登录远程服务器，并且可以提供安全的文件传输；默认情况下，SSH已经在远程机器之间使用安全的数据通信，可通过SSH输入密码连接服务器；而本发明为了实现双向认证，SSH密码结合Google Authenticator二次验证添加另外的安全层，能够有效防止暴力破解攻击和其他未经授权的访问。

Google身份验证器是一款基于时间与哈希的一次性密码算法的两步验证软件令牌，其TOTP算法(Time-based One-time Password algorithm)是一种从共享密钥和当前时间计算一次性密码的算法，TOTP是基于散列的消息认证码(HMAC)的示例。它使用加密哈希函数将密钥与当前时间戳组合在一起以生成一次性密码。仅使用SSH密码认证是将自己的用户名和密码发送给服务器进行认证，而添加Google Authenticator(谷歌验证器)进行二次验证登录的方法，除了输入用户名和密码之外，还要输入由TOTP算法生成的正确动态验证码。

SSH+Google Authenticator由服务器和客户端组成，在整个通信过程中，谷歌双因子验证与基于密码的SSH登录配套使用，会经历如下几个阶段：

客户端发起SSH连接请求：客户端向服务端发起SSH连接请求，并提供用户名和密码；服务端验证用户名和密码：服务端接收到客户端的请求后，首先验证提供的用户名和密码是否正确；服务端要求客户端进行一次性验证码认证：如果密码验证成功，服务端要求客户端进行Google Authenticator的一次性验证码认证；客户端打开Google Authenticator应用并生成验证码：客户端使用已安装的Google Authenticator应用程序，在手机或设备上生成一次性验证码；客户端将验证码发送给服务端：

客户端将生成的一次性验证码发送回服务端；服务端验证验证码的有效性：服务端使用事先与客户端绑定的密钥和当前的时间信息，验证接收到的验证码是否有效；认证结果通知：服务端根据验证码验证的结果，向客户端发送认证结果信息；如果验证码验证成功，服务端允许客户端访问系统资源。

本发明防攻击性：SSH通过使用会话标识符和数据包标识符等机制来防止重放攻击：

当SSH客户端连接到服务器时，会生成一个随机的会话标识符，称为“会话标识号(Session ID)”。然后，每个SSH数据包都会包含一个递增的序列号，以确保每个数据包都是唯一的。这个序列号被称为“数据包标识号(Packet ID)”。

在SSH协议中，每个数据包的包头中都包含了数据包的Packet ID，而SSH服务器会根据这个Packet ID来确定接收到的数据包是否是有效的。如果SSH服务器接收到一个具有相同Packet ID的数据包，它会将其视为重复数据包并将其丢弃，以避免重放攻击。

此外，SSH还使用时间戳来确保数据包的唯一性。每个数据包都包含一个时间戳，以确保服务器可以区分新数据包和已经被接收的旧数据包。这种机制可以在网络延迟或数据包重传时保证SSH会话的一致性和完整性。

防中间人攻击：

SSH通过使用公钥加密来防止中间人攻击，在这种方式下，客户端和服务端之间的公钥和私钥对应，并且在连接建立过程中进行互相验证，这样可以确保通信双方的身份，并防止中间人窃取敏感信息。

Google Authenticator的一次性验证码：

Google Authenticator使用基于时间的一次性密码算法(TOTP)，确保每次生成的验证码都是唯一且具有时间限制的。这使得攻击者无法使用捕获的验证码来进行重放攻击。

加密通信：

SSH通过使用加密算法来保护通信的机密性和完整性；所有通过SSH传输的数据都经过加密处理，包括密码、验证码和其他敏感信息。这使得中间人无法截取和解密通信内容。

双因素身份验证：

SSH+Google验证器方法结合了密码验证和Google Authenticator的一次性验证码验证，实现了双因素身份验证。即使攻击者获得了密码，仍然需要一个有效的一次性验证码来成功登录。

综合使用上述技术和措施可以大大增强安全性，有效防御中间人攻击、重放攻击以及其他安全威胁。

本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术，尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (7)

1.登录二次验证方法，其特征在于：包括如下步骤：

步骤S1、集成Google Authenticator库:在CentOS系统中，首先需要集成GoogleAuthenticator的库，通过下载最新的Google Authenticator库的源代码，并将其编译和安装到CentOS系统中；

步骤S2、配置PAM模块:对PAM进行配置，将Google Authenticator集成到系统的登录过程中，通过修改PAM配置文件，在用户登录时调用Google Authenticator模块来进行二次登录验证；

步骤S3、生成密钥并绑定用户账号:在用户账号注册过程中，生成一个密钥，并将其与用户账号进行绑定，密钥使用Google Authenticator库提供的API生成，并将其存储在系统的用户账号数据库中；

步骤S4、生成二维码:使用用户的密钥生成一个二维码，用户从系统中获取该二维码并将其输入到Google Authenticator手机应用程序中；

步骤S5、生成随机验证码:在用户登录系统时，系统生成一个随机的验证码，与用户手机应用程序中生成的验证码进行比对，系统通过调用Google Authenticator库的API来生成验证码，并将其返回给用户；

步骤S6、用户身份验证:用户在登录时，将系统生成的验证码输入到登录界面中，系统将使用用户账号绑定的密钥来生成一个验证码，并与用户输入的验证码进行比对，如果两者一致，则验证通过，允许用户登录系统。

2.根据权利要求1所述的登录二次验证方法，其特征在于：所述步骤S3用户注册时，给用户生成一个密钥，前台给用户显示该密钥，后台将该密钥与用户绑定。

3.根据权利要求1所述的登录二次验证方法，其特征在于：所述步骤S4使用用户的密钥生成一个二维码及密钥和账户名，用户下载谷歌身份验证器app扫描二维码绑定手机，或输入密钥和账号登录绑定，绑定后，即可查看实时验证码。

4.根据权利要求1所述的登录二次验证方法，其特征在于：所述步骤S5用户登录网站时，输入正确用户名和密码后，打开app查看验证码，并输入登录。

5.根据权利要求1所述的登录二次验证方法，其特征在于：所述步骤S6后台接收到用户输入的验证码，同时取出用户的密钥，进行谷歌身份验证，如果验证成功，则登录成功。

6.根据权利要求1所述的登录二次验证方法，其特征在于：所述步骤S1用户将GoogleAuthenticator集成到CentOS系统中进行身份验证，包括以下步骤：

安装CentOS环境；

服务端安装：在CentOS系统中安装Google Authenticator插件，确保系统具备使用Google Authenticator进行二次验证的功能；

服务端配置：用户在登录之前需要通过Google Authenticator进行身份验证，在CentOS系统中，通过用户配置文件进行设置，将用户与Google Authenticator绑定；

客户端：谷歌推出的手机端二次验证app，和服务器程序配合使用，服务器安装配置完毕后会显示一串密钥，手机上通过这串密钥创建一条身份记录，该条记录产生的6位数字动态密钥只能用作对应服务器的登录二次验证。

7.根据权利要求1所述的登录二次验证方法，其特征在于：所述Google Authenticator模块来进行二次登录验证具体包括步骤如下：

客户端发起SSH连接请求：客户端向服务端发起SSH连接请求，并提供用户名和密码；

服务端验证用户名和密码：服务端接收到客户端的请求后，首先验证提供的用户名和密码是否正确；

服务端要求客户端进行一次性验证码认证：如果密码验证成功，服务端要求客户端进行Google Authenticator的一次性验证码认证；

客户端打开Google Authenticator应用并生成验证码：客户端使用已安装的GoogleAuthenticator应用程序，在手机或设备上生成一次性验证码；

客户端将验证码发送给服务端：客户端将生成的一次性验证码发送回服务端；

服务端验证验证码的有效性：服务端使用事先与客户端绑定的密钥和当前的时间信息，验证接收到的验证码是否有效；

认证结果通知：服务端根据验证码验证的结果，向客户端发送认证结果信息；

如果验证码验证成功，服务端允许客户端访问系统资源。