一种Linux下基于自定义标签的登录认证方法转让专利
申请号 : CN202210465024.9
文献号 : CN115085968B
文献日 : 2023-08-04
发明人 : 陈憨 , 于珊珊 , 孟德慧 , 田冬冬 , 王震 , 杨诏钧 , 孔金珠
申请人 : 麒麟软件有限公司
摘要 :
本发明涉及IP技术领域,具体涉及一种Linux下基于自定义标签的登录认证方法,包括如下步骤:使Linux系统安装或启动时生成系统标签,并在所述Linux系统创建用户时生成用户标签,所述系统标签和所述用户标签均包括N条表征系统和用户的信息;用户登录时,获取该用户的用户标签,进入标签信息认证阶段:按照多种比对规则比对该用户的用户标签中表征系统的信息与所述系统标签中表征系统的信息,以及该用户的用户标签中表征用户的信息与所述系统标签中表征用户的信息,若上述两者均一致,则标签信息认证通过;若标签信息认证通过,则进入用户名和密码认证。该方法在用户名、静态密码认证的基础上增加了一种自定义标签认证的过程,提升认证的可靠性。
权利要求 :
1.一种Linux下基于自定义标签的登录认证方法,其特征在于,包括如下步骤:S1、使Linux系统安装或启动时生成系统标签,并在所述Linux系统创建用户时生成用户标签,所述系统标签和所述用户标签均包括多条表征系统和用户的信息;
S2、用户登录时,获取该用户的用户标签,进入标签信息认证阶段:按照多种比对规则比对该用户的用户标签中表征系统的信息与所述系统标签中表征系统的信息,以及该用户的用户标签中表征用户的信息与所述系统标签中表征用户的信息,若上述两者均一致,则标签信息认证通过,反之,不通过;
S3、若标签信息认证通过,则进入用户名和密码认证,若用户名和密码认证一致,则允许该用户登录;
所述系统标签和所述用户标签至少包括标签ID、出入站类型、IP地址、端口号、通信协议、应用类型、授权用户ID和分组ID。
2.根据权利要求1所述的Linux下基于自定义标签的登录认证方法,其特征在于,步骤S2具体包括:用户登录时,将包括待认证用户信息的认证请求发送到所述Linux系统的PAM认证模块,所述待认证用户信息包括用户名和环境变量;
所述PAM认证模块接收所述认证请求,根据用户名获取该用户的用户标签,进入标签信息认证阶段。
3.根据权利要求2所述的Linux下基于自定义标签的登录认证方法,其特征在于,根据该用户的用户名获取该用户的UID,再根据该用户的UID获取该用户的用户标签。
4.根据权利要求2所述的Linux下基于自定义标签的登录认证方法,其特征在于,所述PAM认证模块中设置有所述多种比对规则,且所述多种比对规则可人为调节。
5.一种电子设备,其特征在于,包括、处理器和存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现权利要求1至4中任一项所述的方法。
6.一种可读存储介质,其特征在于,所述可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1至4中任一项所述的方法。
说明书 :
一种Linux下基于自定义标签的登录认证方法
技术领域
[0001] 本发明涉及IP技术领域,具体涉及Linux下基于自定义标签的登录认证方法。
背景技术
[0002] Linux是在自由和开放的氛围中发展起来的一种操作系统,其源代码是开放的。因此,它受到了越来越多用户的欢迎。身份认证技术是访问操作系统的第一道关卡,它的作用主要用来证明登录系统的用户的身份。身份认证需要有一套可信和可靠的机制来保证其过程的安全性和有效性。Linux操作系统所采用的认证框架为插件式认证模块 (PAM),它是一套应用程序接口,它为操作系统提供了一连串的认证机制,只需要用户将身份验证阶段的需求告知PAM以后,它就能够为用户回报身份验证的结构(成功或者失败)。
[0003] 用户名、静态密码是目前采用最广的身份认证方式。如果采用简单的密码,很容易被猜到,但是,若采用复杂的密码又很容易被忘掉。若记录在某些设备上,又很容易被泄露。因此,又出现了指纹识别、虹膜识别和人脸识别等认证方式。这些认证机制利用人体唯一的、可测量的、终生不变的特征来进行身份认证,有非常高的安全性。而且具有不易伪造、不易盗用、不易遗忘等特点。与用户名、密码的认证方式相比,具有安全性、保密性、方便性等特点。但是,要想实现这种认证方法,一般需要在计算机中额外增加可以识别生物特征的设备,而且,这些设备一般价值不菲,这就增加了生产成本。
[0004] 因此,有必要提供一种在用户名、静态密码认证的基础上进一步提升认证的可靠性的方法,并且该方法并不显著提升成本。
发明内容
[0005] 解决的技术问题
[0006] 针对现有技术所存在的上述缺点,本发明提供了Linux下基于自定义标签的登录认证方法,该方法在用户名、静态密码认证的基础上增加了一种自定义标签认证的过程,提升认证的可靠性。
[0007] 技术方案
[0008] 为实现以上目的,本发明通过以下技术方案予以实现:
[0009] 本发明提供了一种Linux下基于自定义标签的登录认证方法,包括如下步骤:
[0010] S1、使Linux系统安装或启动时生成系统标签,并在所述Linux系统创建用户时生成用户标签,所述系统标签和所述用户标签均包括N条表征系统和用户的信息;
[0011] S2、用户登录时,获取该用户的用户标签,进入标签信息认证阶段:按照多种比对规则比对该用户的用户标签中表征系统的信息与所述系统标签中表征系统的信息,以及该用户的用户标签中表征用户的信息与所述系统标签中表征用户的信息,若上述两者均一致,则标签信息认证通过,反之,不通过;
[0012] S3、若标签信息认证通过,则进入用户名和密码认证,若用户名和密码认证一致,则允许该用户登录。
[0013] 进一步地,步骤S2具体包括:
[0014] 用户登录时,将包括待认证用户信息的认证请求发送到所述Linux系统的PAM认证模块,所述待认证用户信息包括用户名和环境变量;
[0015] 所述PAM认证模块接收所述认证请求,根据用户名获取该用户的用户标签,进入标签信息认证阶段。
[0016] 进一步地,根据该用户的用户名获取该用户的UID,再根据该用户的 UID获去该用户的用户标签。
[0017] 进一步地,所述PAM认证模块中设置有所述多种比对规则,且所述多种比对规则可人为调节。
[0018] 进一步地,所述系统标签和所述用户标签至少包括标签ID、出入站类型、IP地址、端口号、通信协议、应用类型、授权用户ID或者分组 ID。
[0019] 基于同一发明构想,本发明还提供了一种电子设备,包括处理器和存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现上述任一项所述的方法。
[0020] 基于同一发明构想,本发明还提供了一种可读存储介质,所述可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时,实现上述任任一项所述的方法。
[0021] 有益效果:
[0022] 本发明提供的方法在用户名、静态密码认证的基础上增加了一种自定义标签认证的过程,提升认证的可靠性;进一步地,本发明基于PAM模块的可插拔性和易用性,采用兼容的使用密码进行系统认证的方法,避免了生物特征认证需要的额外设备,降低了成本;最后,标签中的信息比对逻辑可自定义,增加了认证的灵活性。
附图说明
[0023] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0024] 图1为本发明一实施例提供的Linux下基于自定义标签的登录认证方法步骤示意图;
[0025] 图2为本发明一实施例提供的Linux下基于自定义标签的登录认证方法中PAM认证模块架构图;
[0026] 图3为本发明一实施例提供的Linux下基于自定义标签的登录认证方法认证流程示意图。
具体实施方式
[0027] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0028] 参阅图1,本发明一实施例提供了一种一种Linux下基于自定义标签的登录认证方法,包括如下步骤:
[0029] S1、使Linux系统安装或启动时生成系统标签,并在所述Linux系统创建用户时生成用户标签,所述系统标签和所述用户标签均包括N条表征系统和用户的信息;
[0030] S2、用户登录时,获取该用户的用户标签,进入标签信息认证阶段:按照多种比对规则比对该用户的用户标签中表征系统的信息与所述系统标签中表征系统的信息,以及该用户的用户标签中表征用户的信息与所述系统标签中表征用户的信息,若上述两者均一致,则标签信息认证通过,反之,不通过;
[0031] S3、若标签信息认证通过,则进入用户名和密码认证,若用户名和密码认证一致,则允许该用户登录。
[0032] 在具体认证的时候,参阅图3,按照规则一比对登录用户的用户标签和所述系统标签中的信息一,若失败,则返回失败;若成功,则进行下一步;按照规则二比对登录用户的用户标签和所述系统标签中的信息二,若失败,则返回失败;若成功,则进行下一步;按照规则三比对登录用户的用户标签和所述系统标签中的信息三,若失败,则返回失败;若成功,则返回成功......按照规则N比对登录用户的用户标签和所述系统标签中的信息N,若失败,则返回失败;若成功,则返回成功。当然,本发明技术领域内的人员应该明白,对比规则的数量和具体规则可以人为限定,此处仅为举例说明。若标签认证模块返回为失败的结果,则本次认证失败,无法登录;若标签认证模块返回为成功的结果,则进入下一认证阶段。下一认证阶段一般为用户名和静态密码的验证,该验证属于现有技术的常规内容,此处不再赘述。
[0033] 在本实施例中,步骤S2具体包括:用户登录时,将包括待认证用户信息的认证请求发送到所述Linux系统的PAM认证模块,所述待认证用户信息包括用户名和环境变量;所述PAM认证模块接收所述认证请求,根据用户名获取该用户的用户标签,进入标签信息认证阶段。
[0034] 具体而言,所述PAM认证模块的架构如图2所示,此架构主要分为四部分,PAM应用程序(也称为消费方)、PAM库、PAM配置文件、PAM服务模块(也称为提供者)。该架构可为与验证相关的操作提供统一的执行方式。采用该方式,应用程序开发者可使用PAM服务,而不必了解策略的语义,可以独立于各个应用程序对算法进行修改。应用程序通过PAM应用编程接口(PAM API)与PAM库进行通信。所述PAM认证模块通过PAM服务提供者接口(PAM SPI)与PAM库进行通信。通过这种方式,PAM库可使应用程序和模块相互进行通信。
[0035] 在本实施例中,所述PAM认证模块中设置有所述多种比对规则,且所述多种比对规则可人为调节。借助所述PAM认证模块,管理员可以通过修改配置文件来根据特定程序的需要调整验证过程,而不必更改任何应用程序。使得本发明一方面在系统和用户层面加入自定义的标签,另一方面,基于所述PAM认证模块,并利用这些自定义的标签,提供一种Linux下基于自定义标签的系统登录认证方法。
[0036] 在本实施例中,所述系统标签和所述用户标签一般至少包括标签 ID、出入站类型、IP地址、端口号、通信协议、应用类型、授权用户ID 或者分组ID。当然,本发明技术领域内的人员应该明白,所述系统标签和所述用户标签的内容并不局限,可以人为配置。
[0037] 在本实施例中,一般根据该用户的用户名获取该用户的UID,再根据该用户的UID获去该用户的用户标签。UID是用户身份证明(User Identification)的缩写,表示网络平台注册时系统自动生成的数值。
[0038] 基于同一发明构想,本发明还提供了一种电子设备,包括处理器和存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现所述Linux下基于自定义标签的登录认证方法。
[0039] 所述处理器在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器(例如GPU(Graphics Processing Unit‑图形处理器))、或其他数据处理芯片。该处理器通常用于控制所述电子设备的总体操作。本实施例中,所述处理器用于运行所述存储器中存储的程序代码或者处理数据,例如运行所述Linux下基于自定义标签的登录认证方法的程序代码。
[0040] 所述存储器至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器可以是所述电子设备的内部存储单元,例如该电子设备的硬盘或内存。在另一些实施例中,所述存储器也可以是所述电子设备的外部存储设备,例如该电子设备上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,所述存储器还可以既包括所述电子设备的内部存储单元也包括其外部存储设备。本实施例中,所述存储器通常用于存储安装于所述电子设备的操作方法和各类应用软件,例如所述Linux下基于自定义标签的登录认证方法的程序代码等。此外,所述存储器还可以用于暂时地存储已经输出或者将要输出的各类数据。
[0041] 基于同一发明构想,本发明还提供一种可读存储介质,所述可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时,实现所述Linux下基于自定义标签的登录认证方法。
[0042] 综上所述,本发明的优点在于提供的方法在用户名、静态密码认证的基础上增加了一种自定义标签认证的过程,提升认证的可靠性;进一步地,本发明基于PAM模块的可插拔性和易用性,采用兼容的使用密码进行系统认证的方法,避免了生物特征认证需要的额外设备,降低了成本;最后,标签中的信息比对逻辑可自定义,增加了认证的灵活性。
[0043] 以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不会使相应技术方案的本质脱离本发明各实施例技术方案的保护范围。