本發明專利技術公開了一種SSH安全登錄的雙重認證方法,包括:客戶端發送用戶名和密碼或證書,用戶使用用戶名和密碼或證書登錄被管理的SSH認證服務器;如果用戶名和密碼或證書有效,SSH認證服務器返回一個二維碼顯示在客戶端;用戶用智能終端掃描客戶端上顯示的二維碼;智能終端通過二維碼和內置證書及其硬件令牌生成針對本次登錄會話的簽名信息發送到二維碼驗證服務器或SSH認證服務器;SSH認證服務器驗證簽名信息是否正確,如果簽名信息正確,SSH認證服務器登錄成功。本發明專利技術的有益效果:增加基于二維碼的二次認證過程,二維碼信息不會泄露,且唯一不可重復,大大提高了SSH認證服務器登錄驗證的安全性,防止用戶密碼丟失造成的身份盜用等問題。
【技術實現步驟摘要】
本專利技術涉及信息安全
,具體而言,涉及一種SSH安全登錄的雙重認證方法、系統和裝置。
技術介紹
最早的時候,互聯網通信都是明文通信,一旦被截獲,內容就暴露無疑。1995年,芬蘭學者Tatu Honen設計了 SSH協議,將登錄信息全部加密,成為互聯網安全的一個基本解決方案,迅速在全世界獲得推廣,目前已經成為Linux系統的標準配置。SSH是一種網絡協議,用于計算機之間的加密登錄。如果一個用戶從本地計算機,使用SSH協議登錄另一臺遠程計算機,就可以認為這種登錄是安全的,即使被中途截獲,密碼也不會泄露。隨著Linux設備從電腦逐漸擴展到手機、外設和家用電器,SSH的使用范圍也越來越廣。不僅程序員離不開它,很多普通用戶也每天使用。SSH之所以能夠保證安全,原因在于它采用了公鑰加密。SSH使用公鑰加密的整個過程是這樣的:(I)遠程主機收到用戶的登錄請求,把自己的公鑰發給用戶;(2)用戶使用這個公鑰,將登錄密碼加密后,發送回來;(3)遠程主機用自己的私鑰,解密登錄密碼,如果密碼正確,就同意用戶登錄。這個過程本身是安全的,但是存在一個風險:如果有人盜取了用戶的登錄密碼,然后冒充該用戶,那么服務器就難辨別真偽。隨著目前用戶密碼泄露事件不斷增多,用戶的密碼泄露的風險很高,已經無法保證安全性。用戶名和密碼在通過鍵盤輸入時,容易被終端設備中的惡意代碼竊取,從而降低了身份驗證的安全性。因此,用戶端的用戶名/密碼的模式成為整個SSH認證安全的薄弱環節。由此可見,如何提高SSH認證中對用戶端身份驗證的安全性和通用性成為現有技術中亟待解決的技術問題之一。【專利技術內容】為解決上述問題,本專利技術的目的在于提供一種用以提高SSH登錄的安全性和通用性的SSH安全登錄的雙重認證方法、系統和裝置。本專利技術提供了一種SSH安全登錄的雙重認證方法,包括: 步驟1,客戶端發送用戶名和密碼或證書,用戶使用所述用戶名和所述密碼或所述證書登錄被管理的SSH認證服務器; 步驟2,如果所述用戶名和所述密碼或所述證書有效,所述SSH認證服務器返回一個二維碼顯示在所述客戶端; 步驟3,所述用戶用智能終端掃描所述客戶端上顯示的二維碼; 步驟4,所述智能終端通過二維碼和內置證書及其硬件令牌生成針對本次登錄會話的簽名信息發送到二維碼驗證服務器或所述SSH認證服務器; 步驟5,所述SSH認證服務器驗證所述簽名信息是否正確,如果所述簽名信息正確,所述SSH認證服務器登錄成功。作為本專利技術進一步的改進,在所述步驟4之前,所述的雙重認證方法進一步包括: 用所述智能終端掃描二維碼硬件設備,所述二維碼硬件設備生成基于自身私鑰加密的認證信息,并以二維碼顯示在所述客戶端的液晶屏上,所述SSH認證服務器通過保存的所述二維碼硬件設備的公鑰進行解密,驗證所述用戶的身份。作為本專利技術進一步的改進,所述步驟5具體包括: 如果所述簽名信息發送到所述二維碼驗證服務器,所述SSH認證服務器輪詢驗證所述SSH認證服務器和所述二維碼驗證服務器,如果所述簽名信息正確,驗證服務通過所述SSH認證服務器和所述二維碼驗證服務器輪詢到成功信息,所述SSH認證服務器登錄成功; 或, 如果所述簽名信息發送到所述SSH認證服務器,所述SSH認證服務器監聽所述SSH認證服務器的端口,驗證所述簽名信息,如果所述簽名信息正確,所述SSH認證服務器登錄成功。本專利技術還提供了一種SSH安全登錄的雙重認證系統,包括: 用戶登陸模塊,客戶端發送用戶名和密碼或證書,用戶使用所述用戶名和所述密碼或所述證書登錄被管理的SSH認證服務器; 信息返回模塊,如果所述用戶名和所述密碼或所述證書有效,所述SSH認證服務器返回一個二維碼顯示在所述客戶端; 第一掃描模塊,所述用戶用智能終端掃描所述客戶端上顯示的二維碼; 信息發送模塊,所述智能終端通過二維碼和內置證書及其硬件令牌生成針對本次登錄會話的簽名信息發送到二維碼驗證服務器或所述SSH認證服務器; 信息驗證模塊,所述SSH認證服務器驗證所述簽名信息是否正確,如果所述簽名信息正確,所述SSH認證服務器登錄成功。作為本專利技術進一步的改進,進一步包括: 第二掃描模塊,用所述智能終端掃描二維碼硬件設備,所述二維碼硬件設備生成基于自身私鑰加密的認證信息,并以二維碼顯示在所述客戶端的液晶屏上,所述SSH認證服務器通過保存的所述二維碼硬件設備的公鑰進行解密,驗證所述用戶的身份。作為本專利技術進一步的改進, 如果所述簽名信息發送到所述二維碼驗證服務器,所述信息驗證模塊為: 所述SSH認證服務器輪詢驗證所述SSH認證服務器和所述二維碼驗證服務器,如果所述簽名信息正確,驗證服務通過所述SSH認證服務器和所述二維碼驗證服務器輪詢到成功信息,所述SSH認證服務器登錄成功; 如果所述簽名信息發送到所述SSH認證服務器,所述信息驗證模塊為: 所述SSH認證服務器監聽所述SSH認證服務器的端口,驗證所述簽名信息,如果所述簽名信息正確,所述SSH認證服務器登錄成功。本專利技術還提供了一種SSH安全登錄的雙重認證裝置,包括客戶端、SSH認證服務器和智能終端; 其中, 所述客戶端用于發送用戶名和密碼或證書,并顯示所述SSH認證服務器返回的二維碼; 所述SSH認證服務器對用戶輸入的所述用戶名和所述密碼或所述證書進行對用戶的第一次身份認證,如果驗證通過,則生成對用戶進行二次認證所需的二維碼; 所述智能終端內置加密密鑰,用于在需要進行認證時對所需認證的二維碼進行掃描,通過所述智能終端內部的加密密鑰進行加密,并將加密后的二維碼返回所述SSH認證服務器。作為本專利技術進一步的改進,進一步包括二維碼認證服務器,所述二維碼認證服務器對所述智能終端返回的二維碼進行處理,并識別用戶對二維碼的加密密鑰,完成對用戶的二次認證,所述二維碼認證服務器與所述SSH認證服務器進行通信,將二次認證的結果返回所述SSH認證服務器。作為本專利技術進一步的改進,進一步包括二維碼硬件設備,所述二維碼硬件設備內置加密密鑰,用戶生成特有的身份認證二維碼,通過所述二維碼硬件設備內部的加密密鑰進行加密,并通過所述客戶端的液晶屏幕顯示,顯示后的二維碼通過所述智能終端傳輸給所述SSH認證服務器; 作為本專利技術進一步的改進,所述SSH認證服務器和所述二維碼認證服務器采用輪詢的方式進行通訊,查詢用戶是否通過所述二維碼認證服務器的認證,只有在兩次認證都通過的情形下,所述SSH認證服務器才能夠完成對用戶的認證,登錄所述SSH認證服務器。本專利技術的有益效果為: 用戶使用用戶名和密碼進行SSH認證服務器的一次認證,并不影響原有身份認證的安全性,在通過了一次認證之后,增加基于二維碼的二次認證過程,由于密碼信息可能泄露,而二維碼信息不會泄露,且其是唯一的且不可重復的,即使中途被監聽也無法再次使用和偽造,從而大大提高了 SSH認證服務器登錄驗證的安全性,可以很方便的實現SSH認證服務器對用戶的遠程登錄認證,防止用戶密碼丟失造成的身份盜用等問題。【附圖說明】圖1為本專利技術第一實施例所述的一種SSH安全登錄的雙重認證裝置的結構示意圖; 圖2為圖1的雙重認證裝置的雙重認證方法的流程示意圖; 圖3為圖2的雙重認證方法的雙重認證系統的結構框圖; 圖4為本發本文檔來自技高網...
【技術保護點】
一種SSH安全登錄的雙重認證方法,其特征在于,包括:步驟1,客戶端發送用戶名和密碼或證書,用戶使用所述用戶名和所述密碼或所述證書登錄被管理的SSH認證服務器;步驟2,如果所述用戶名和所述密碼或所述證書有效,所述SSH認證服務器返回一個二維碼顯示在所述客戶端;步驟3,所述用戶用智能終端掃描所述客戶端上顯示的二維碼;步驟4,所述智能終端通過二維碼和內置證書及其硬件令牌生成針對本次登錄會話的簽名信息發送到二維碼驗證服務器或所述SSH認證服務器;步驟5,所述SSH認證服務器驗證所述簽名信息是否正確,如果所述簽名信息正確,所述SSH認證服務器登錄成功。
【技術特征摘要】
【專利技術屬性】
技術研發人員:韓晟,王盈,徐菲,張健,李勇,楊宏偉,
申請(專利權)人:北京石盾科技有限公司,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。