CN1182474C - 基于ic卡的多主域服务器自动登录方法 - Google Patents
基于ic卡的多主域服务器自动登录方法 Download PDFInfo
- Publication number
- CN1182474C CN1182474C CNB011323396A CN01132339A CN1182474C CN 1182474 C CN1182474 C CN 1182474C CN B011323396 A CNB011323396 A CN B011323396A CN 01132339 A CN01132339 A CN 01132339A CN 1182474 C CN1182474 C CN 1182474C
- Authority
- CN
- China
- Prior art keywords
- user
- card
- server
- integrated circuit
- circuit card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种基于IC卡的多主域服务器自动登录方法,登录用户通过IC卡和PIN密码的双重认证来登录多主域服务器。本发明提供的方法不改变网络物理结构,不加重网络负担,保证了与用户应用程序的无关性,大大降低程序的移植成本,登录安全、方便。
Description
技术领域
本发明涉及身份认证与加强网络安全的方法,尤其涉及基于IC(集成电路)卡的多主域服务器自动登录方法。
背景技术
认证技术是信息安全理论与技术的一个重要方面。身份认证是安全系统中的第一道关卡,用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为,同时入侵检测系统实时或非实时地是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统的提供的信息——用户的身份。可见身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统。因此身份认证是一个网络集成系统中非常重要的一个环节。
然而在现有的计算机网络环境下,用户身份认证技术主要是采用基于用户名+口令的方法。传统登录方法,在一个比较大的网络集成系统中,往往存在多种类型的机器和操作系统(例如,Windows 95/98、Windows NT、Windows 2000等),同时也会有多个主域服务器进行用户管理。如图1所示,从用户角度看,客户端主机a4或客户端主机b5可能在不同的主域服务器如主域服务器a1、主域服务器b2、主域服务器c3上有账号,用户一般很难记住自己所拥有的多个安全的用户口令;而方法本身也存在如下的诸多漏洞:
a.用户每次访问系统时都要以明文方式输入口令,很容易泄密。
b.口令在传输过程中可能被截获。
c.系统中所有用户的口令一般是经过加密后以文件形式存放在口令文件中。这种方式的身份识别被证明是强度很弱的,攻击者可以利用系统中存在的漏洞获取系统的口令文件。如果口令文件被窃取,那么就可以进行离线的字典攻击(攻击者通过尝试字典中所有的单词来确定合法用户的口令)。这也是黑客最常用的手段之一。
d.用户在访问多个不同安全级别的系统时,都要求用户提供口令,用户为了记忆的方便,往往采用相同的口令。更严重的是用户往往选择简单、容易被猜测的口令,如:与用户名相同的口令、生日、单词等。这个问题往往成为安全系统最薄弱的突破口。而低安全级别系统的口令更容易被攻击者获得,从而用来对高安全级别系统进行攻击。
e.只能进行单向认证,即系统可以认证用户,而用户无法对系统进行认证。攻击者可能伪装成系统骗取用户的口令。
由于这些漏洞的存在,黑客极有可能首先获取被系统授权的用户的口令,得到系统授权,然后对系统进行下一步的入侵,进而引发更多的问题,最终导致无法挽回的损失。因此,在一个系统中,用户迫切需要一种既安全又方便的登录方法。
发明内容
本发明的目的是在不改变网络物理结构,不加重网络负担,不加重邮件服务器负担的前提下提供一种安全、方便的登录多个主域服务器的方法。
本发明的目的是这样实现的,登录用户登录用户通过IC卡和PIN(个人识别)密码的双重认证来登录多主域服务器。
所述IC卡是由IC卡管理中心颁发用户的,颁发过程包括以下步骤:
a.用户管理中心输入用户信息创建新用户;
b.用户管理中心向安全信息数据库写入用户信息;
c.用户管理中心将该用户信息同步到相应的Windows主域服务器;
d.IC卡管理中心访问安全信息数据库,获得该用户基本信息,向IC卡中写入用户基本信息,并确定该普通用户卡的PIN。
e.颁发和该用户对应的用户IC卡。
所述认证由认证系统自动完成,所述认证系统包括用户管理中心、IC卡管理中心、安全信息数据库、安装有客户端登录软件的客户端主机、授权服务器、主域服务器,所述客户端主机与所述授权服务器和主域服务器连接,所述安全信息数据库与IC卡管理中心、用户管理中心、授权服务器连接。
所述用户管理中心是一个在Windows 95/98、Windows NT、Windows2000上运行的应用程序。
所述安全信息数据库存放用户数据、用户组数据、域数据及三者相互关系的关系数据。
所述授权服务器提供客户端用户身份认证的接口和客户端应用程序SSO(一次性登录)的接口。
所述主域服务器上安装有Windows域管理代理,所述Windows域管理代理和主域服务器相结合,实现全局的用户、用户组管理。
所述双重认证包括以下步骤::
a.IC卡与客户端主机之间认证:用户插入IC卡到IC卡读卡器中,客户端软件的登录程序对比用户IC卡中存储的用户认证信息与客户端主机中存储的相应信息是否相同,若相同则进入步骤b,不同则进入步骤e;
b.用户和IC卡之间认证:客户端软件的登录程序比较用户输入的PIN与存储在用户IC卡中的PIN是否相同,若相同则进入步骤c,不同则进入步骤e;
c.IC卡和授权服务器之间认证:授权服务器比较存储于安全信息数据库的用户信息与用户IC卡的用户信息是否相同,若相同则向客户端返回用户名、用户口令、用户权限等相关信息并进入步骤d,不同则进入步骤e;
d.IC卡和主域服务器之间认证:客户端软件的登录程序比较返回的用户名、用户口令、用户权限等相关信息与存储在用户IC卡中的相应信息是否相同,若相同则完成登录,不同则进入步骤e;
e.停止登录。
所述认证过程的步骤a中客户端主机上存储的相应信息存储在客户端主机硬盘上的隐蔽位置。
所述用户IC卡提供硬件保护措施和3DES(3倍数据加密标准)加密算法。
所述硬件保护措施中包括用户IC卡上具有的不可复制且防外部侵入的存储区。
由于采用了以上的方法,本发明提供的基于IC卡的多主域服务器自动登录方法具有如下的优点:
1、在不改变网络物理结构,不加重网络负担,不加重邮件服务器负担的情况下实现了用户身份认证及授权。
2、系统级安全认证解决方案,保证了与用户应用程序的无关性,大大降低程序的移植成本。
3、主域服务器和Windows域管理代理相结合,可以对多个主域服务器进行管理,改变了以往只能对单个主域服务器管理并且只能在本机上进行管理的局面。
4、只用一张普通用户IC卡就可以对多个主域服务器进行登录。
附图说明
图1是现有的登录方法示意图;
图2是本发明的颁发用户IC卡过程示意图;
图3是本发明的登录过程示意图。
具体实施方式
下面将结合附图,通过以下的实施例进一步对本发明进行说明。
所述基于IC卡的多主域服务器自动登录方法应用在一个身份认证系统中,网络环境是百兆以太网,硬件设备包括HP服务器或其它服务器、百兆以太网卡,运行平台是中文Windows NT Server4.0+Service Pack6。如图3所示,该认证系统包括用户管理中心7、IC卡管理中心6、安全信息数据库8、安装有客户端软件41的客户端主机4、授权服务器9、主域服务器a1、主域服务器b2、主域服务器c3,所述客户端主机4分别与主域服务器a1、主域服务器b2、主域服务器c3连接,所述安全信息数据库8分别与IC卡管理中心6、用户管理中心7、授权服务器9连接。
认证过程应用的用户IC卡是由IC卡管理中心颁发的。用户IC卡可对数据进行安全保护,设计者通过安全机制控制数据的保密性,从而完全对数据进行保密。用户IC卡本身具有硬件安全策略,从设计到生产采取了一系列严密的安全措施,设置了多级密码,逐级验证,具有独特的不可复制且防外部侵入的存储区防止复制,IC卡提供硬件保护措施和加密算法,加强了用户IC卡的安全性能。
如图2所示,IC卡的颁发过程是这样的:首先,用户管理中心7输入用户信息创建新用户。然后,用户管理中心7向安全信息数据库8中写入该用户信息,并且将该用户信息同步到相应的主域服务器a1、主域服务器b2、主域服务器c3上。接下来,IC卡管理中心6访问安全信息数据库8,获得该用户基本信息,将用户基本信息写入用户IC卡10中,并确定该用户IC卡10的PIN。最后,IC卡管理中心6向用户颁发和该用户对应的用户IC卡10。
登录用户将用户IC卡10插入读卡器中,输入PIN,等待认证系统认证。如图3所示,认证过程是这样进行的:首先,IC卡10与客户端主机之间进行认证,客户端主机4上客户端软件41的登录程序对比用户IC卡10中存储的用户认证信息与客户端主机硬盘隐蔽位置上存储的相应信息是否相同,若相同则进行用户和IC卡10之间的认证,不相同则停止认证。用户和IC卡10之间进行认证是这样进行的,客户端软件41的登录程序比较用户输入的PIN与存储在用户IC卡10中的PIN是否相同,若相同则进行IC卡10和授权服务器9之间的认证,不相同则停止认证。IC卡10和授权服务器9之间的认证是这样进行的,授权服务器9比较存储于安全信息数据库8的用户信息与用户IC卡10的用户信息是否相同,若相同则向客户端返回用户名、用户口令、用户权限等相关信息并进行用户IC卡10和主域服务器a1、主域服务器b2、主域服务器c3之间的认证,不相同则停止认证。用户IC卡10和主域服务器a1、主域服务器b2、主域服务器c3之间的认证是这样进行的,客户端软件41的登录程序比较返回的用户名、用户口令、用户权限等相关信息与存储在用户IC卡10中的相应信息是否相同,若相同则完成登录,不同则停止登录。
上述认证过程是由认证系统自动完成的,认证系统的组件功能如下:用户管理中心7是一个在Windows 95/98、Windows NT、Windows2000上运行的应用程序,其实现了集成的管理界面,管理员通过用户管理中心管理主域服务器a1、主域服务器b2、主域服务器c3多个,并通过这个管理界面,对用户、用户组、域、用户与用户组的同步及用户在各个主域服务器上的授权进行统一的管理。安全信息数据库8存放用户数据、用户组数据、域数据及三者相互关系的关系数据。授权服务器9提供客户端用户身份认证的接口和客户端应用程序SSO(一次性登录)的接口。主域服务器a1、主域服务器b2、主域服务器c3上安装有Windows域管理代理,Windows域管理代理和主域服务器a1、主域服务器b2、主域服务器c3相结合,实现全局的用户、用户组管理。
Claims (5)
1、一种基于集成电路卡的多主域服务器自动登录方法,其特征在于,登录用户通过用户集成电路卡和个人识别密码的双重认证来登录多主域服务器,所述用户集成电路卡是由集成电路卡管理中心颁发的,所述颁发过程包括以下步骤:
a.用户管理中心输入用户信息创建新用户;
b.用户管理中心向安全信息数据库写入用户信息;
c.用户管理中心将该用户信息同步到相应的Windows主域服务器;
d.集成电路卡管理中心访问安全信息数据库,获得该用户基本信息,向集成电路卡中写入用户基本信息,并确定该普通用户卡的个人识别密码;
e.颁发和该用户对应的用户集成电路卡;
所述双重认证由认证系统自动进行,所述认证系统包括用户管理中心、集成电路卡管理中心、安全信息数据库、安装有客户端登录软件的客户端主机、授权服务器、主域服务器,所述客户端主机分别与所述授权服务器、主域服务器连接,所述安全信息数据库分别与集成电路卡管理中心、用户管理中心、授权服务器连接;
所述双重认证包括以下步骤:
A.集成电路卡与主机之间认证:用户插入集成电路卡到集成电路卡读卡器中,客户端软件的登录程序对比用户集成电路卡中存储的用户认证信息与客户端主机中存储的相应信息是否相同,若相同则进入步骤B,不同则进入步骤C;
B.用户和集成电路卡之间认证:客户端软件的登录程序比较用户输入的个人识别密码与存储在用户集成电路卡中的个人识别密码是否相同,若相同则进入步骤C,不同则进入步骤E;
C.集成电路卡和授权服务器之间认证:授权服务器比较存储于安全信息数据库的用户信息与用户集成电路卡的用户信息是否相同,若相同则向客户端返回用户名、用户口令、用户权限等相关信息并进入步骤D,不同则进入步骤E;
D.集成电路卡和主域服务器之间认证:客户端软件的登录程序比较返回的用户名、用户口令、用户权限等相关信息与存储在用户集成电路卡中的相应信息是否相同,若相同则完成登录,不同则进入步骤E;
E.停止登录。
2、如权利要求1所述的方法,其进一步特征在于,所述用户管理中心是一个在Windows95/98、Windows NT、Windows2000上运行的应用程序。
3、如权利要求1所述的方法,其进一步特征在于,所述安全信息数据库存放用户数据、用户组数据、域数据及三者相互关系的关系数据。
4、如权利要求1所述的方法,其进一步特征在于,所述主域服务器上安装有Windows域管理代理,所述Windows域管理代理和主域服务器相结合,实现全局的用户、用户组管理。
5、如权利要求1所述的方法,其进一步特征在于,所述双重认证步骤A中客户端主机上存储的相应信息存储在客户端主机硬盘上的隐蔽位置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB011323396A CN1182474C (zh) | 2001-11-29 | 2001-11-29 | 基于ic卡的多主域服务器自动登录方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB011323396A CN1182474C (zh) | 2001-11-29 | 2001-11-29 | 基于ic卡的多主域服务器自动登录方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1373429A CN1373429A (zh) | 2002-10-09 |
| CN1182474C true CN1182474C (zh) | 2004-12-29 |
Family
ID=4671371
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB011323396A Expired - Fee Related CN1182474C (zh) | 2001-11-29 | 2001-11-29 | 基于ic卡的多主域服务器自动登录方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1182474C (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100524952B1 (ko) * | 2003-03-07 | 2005-11-01 | 삼성전자주식회사 | 기록 매체의 데이터 보호 방법 및 이를 이용한 디스크드라이브 |
| CN104751043A (zh) * | 2013-12-31 | 2015-07-01 | 中国科学院信息工程研究所 | 一种基于ic卡技术的主机登陆方法及装置 |
| CN108121905A (zh) * | 2018-01-10 | 2018-06-05 | 四川阵风科技有限公司 | 加密区域访问方法及装置 |
-
2001
- 2001-11-29 CN CNB011323396A patent/CN1182474C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1373429A (zh) | 2002-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2003262473B2 (en) | Methods and systems for authentication of a user for sub-locations of a network location | |
| EP0581421B1 (en) | Method and system for certificate based alias detection | |
| US8171287B2 (en) | Access control system for information services based on a hardware and software signature of a requesting device | |
| US9092614B2 (en) | Preventing impersonation of a computer system user | |
| CN101310286B (zh) | 改进的单点登录 | |
| US7490347B1 (en) | Hierarchical security domain model | |
| CN109257209A (zh) | 一种数据中心服务器集中管理系统及方法 | |
| CN105430000A (zh) | 云计算安全管理系统 | |
| WO2008109661A2 (en) | Method and system for securely caching authentication elements | |
| CN1770052A (zh) | 用于提供对用户接口的服务访问控制的方法和装置 | |
| CN108632241B (zh) | 一种多应用系统统一登录方法和装置 | |
| US7647402B2 (en) | Protecting contents of computer data files from suspected intruders by renaming and hiding data files subjected to intrusion | |
| US20050102291A1 (en) | Apparatus and method providing distributed access point authentication and access control with validation feedback | |
| CN102571874A (zh) | 一种分布式系统中的在线审计方法及装置 | |
| CN1194498C (zh) | 基于数字标签的内容安全监控系统及方法 | |
| US20050055556A1 (en) | Policy enforcement | |
| CN1182474C (zh) | 基于ic卡的多主域服务器自动登录方法 | |
| CN1805338A (zh) | 一种密码设备及其用户管理方法 | |
| CN117155649B (zh) | 一种第三方系统接入java网关安全防护系统及方法 | |
| US11533306B2 (en) | Processes and method for safe of use, monitoring and management of device accounts in terminal manner | |
| US20230179595A1 (en) | Systems and methods for biometric aided network access control | |
| CN1494253A (zh) | 一种信息提供端数据保护的方法 | |
| CN116800454A (zh) | 一种基于云平台进行数据处理的方法及系统 | |
| CN112260841A (zh) | 积分系统中基于token技术的可控认证方法和系统 | |
| Phadke | Enhanced security for SAP NetWeaver Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20041229 Termination date: 20131129 |