技術(shù)領(lǐng)域：

本發(fā)明涉及計算機和信息安全技術(shù)領(lǐng)域，特別涉及一種基于PKI技術(shù)實現(xiàn)使用數(shù)字證書作為遠程登錄Linux主機的用戶憑證的方法。

背景技術(shù)：

隨著計算機和網(wǎng)絡(luò)應(yīng)用的發(fā)展，大量的Linux服務(wù)器被部署。服務(wù)器的管理需要遠程登錄到服務(wù)器上對服務(wù)器進行日常的維護和管理。在傳統(tǒng)的方式中，管理員使用用戶名和口令作為登錄服務(wù)器的用戶憑證。該方法存在很多安全風(fēng)險，如：弱口令容易被攻擊，口令容易泄漏，口令不能真正確認用戶的身份，多個口令不易管理等。為了解決這些由口令引起的問題我們將數(shù)字證書技術(shù)應(yīng)用于該方面，本發(fā)明使用數(shù)字證書作為遠程登錄Linux主機的用戶憑證的方法。該方法克服了使用口令作為用戶遠程登錄憑證所存在的安全問題。

在SSH協(xié)議中定義了一種使用非對稱算法的認證方法-“publickey”。在該認證方法中，用戶提交使用其私鑰簽名的數(shù)據(jù)作為認證的憑據(jù)。服務(wù)器對用戶及其簽名進行驗證后決定是接受或拒絕該用戶的登錄請求。在實際的使用中，該方法存在如下問題：(1)公私鑰對的整個生命周期如何管理，(2)用戶如何保護其私鑰。

發(fā)明內(nèi)容：

本發(fā)明針對上述現(xiàn)有技術(shù)所存在的問題，而提供一種基于PKI技術(shù)來實現(xiàn)使用數(shù)字證書作為遠程登錄Linux主機的用戶憑證的方法，從而達到解決現(xiàn)有認證方法中所存在不足的目的。

為了達到上述目的，本發(fā)明所采用的技術(shù)方案是：一種Linux登陸保護方法，該方法主要包括以下步驟：

(1)用戶通過SSH協(xié)議訪問遠程服務(wù)器；

(2)服務(wù)器進行用戶確認，若是系統(tǒng)用戶，轉(zhuǎn)入步驟(3)，若不是轉(zhuǎn)入步驟(9)；

(3)服務(wù)器解析用戶提交證書內(nèi)容；

(4)服務(wù)器對證書與用戶進行匹配，若匹配，轉(zhuǎn)入步驟(5)，若不匹配，轉(zhuǎn)入步驟(9)；

(5)服務(wù)器檢測證書的CA簽發(fā)，若為信任CA簽發(fā)，轉(zhuǎn)入步驟(6)，若不是，轉(zhuǎn)入步驟(9)；

(6)服務(wù)器驗證證書是否在有效期限內(nèi)，若在，轉(zhuǎn)入步驟(7)，若不在，轉(zhuǎn)入步驟(9)；

(7)服務(wù)器驗證證書是否在CRL中，若在轉(zhuǎn)入步驟(9)，若不在，轉(zhuǎn)入步驟(8)；

(8)服務(wù)器驗證用戶簽名，若是，轉(zhuǎn)入步驟(10)，若不是，轉(zhuǎn)入步驟(9)；

(9)服務(wù)器拒絕該用戶登陸；

(10)服務(wù)器接收該用戶登陸。

所述SSH協(xié)議中修改加入用戶的公鑰證書。

所述證書為x509證書。

根據(jù)上述技術(shù)方案得到的本發(fā)明使用用戶通過SSH協(xié)議訪問遠程主機時，以有效的數(shù)字證書作為用戶憑證，從而達到在遠程登錄中實現(xiàn)強身份認證和使用數(shù)字簽名技術(shù)防止身份仿冒的目的，克服了使用口令作為用戶遠程登錄憑證所存在的安全問題。本發(fā)明中證書作為公鑰的載體，由CA提供證書的生命周期的管理，從而解決了公私鑰對的生命周期管理的問題；使用PKI體系，私鑰的生成及存放都可以的硬件介質(zhì)中完成，具有較高的安全性；服務(wù)器不需要維護大量的公鑰。

附圖說明：

以下結(jié)合附圖和具體實施方式來進一步說明本發(fā)明。

圖1為本發(fā)明的流程示意圖。

具體實施方式：

為了使本發(fā)明實現(xiàn)的技術(shù)手段、創(chuàng)作特征、達成目的與功效易于明白了解，下面結(jié)合具體圖示，進一步闡述本發(fā)明。

在原來的認證方法中，服務(wù)器收到客戶端認證請求后，先檢查用戶是否是系統(tǒng)用戶，并對比所提交的公鑰與系統(tǒng)中保存的公鑰是否一致。如果一致則用該公鑰驗證簽名。在這個方法中，管理員必須將用戶公鑰預(yù)先存放服務(wù)器中。

為解決上述問題和現(xiàn)有Linux服務(wù)器所存在用戶認證安全問題，本發(fā)明采用如圖1所示的技術(shù)方案。

該方案實施前首先對SSH協(xié)議進行一定的修改，利用用戶的公鑰證書取代其已存放的公鑰。該證書為x509證書，這樣由于證書作為公鑰的載體，由CA提供證書的生命周期的管理，從而解決了公私鑰對的生命周期管理的問題；使用PKI體系，私鑰的生成及存放都可以的硬件介質(zhì)中完成，同時私鑰有較高的安全性；服務(wù)器不需要維護大量的公鑰。

本發(fā)明在使用時，具體步驟如下：

(1)用戶通過SSH協(xié)議訪問遠程服務(wù)器，進行認證；

(2)服務(wù)器進行用戶確認，若是系統(tǒng)用戶，轉(zhuǎn)入步驟(3)，若不是轉(zhuǎn)入步驟(9)；

(3)服務(wù)器解析用戶提交證書內(nèi)容；

(4)服務(wù)器對證書與用戶進行匹配，若匹配，轉(zhuǎn)入步驟(5)，若不匹配，轉(zhuǎn)入步驟(9)；