[发明专利]一种基于PAM的动态密码认证方法

说明书

一种基于PAM的动态密码认证方法，包括步骤：进入操作系统认证界面；认证窗口显示计算因子；输入所述计算因子至密码生成器并得到用户口令；输入用户名和所述用户口令至所述认证界面进行身份认证；动态密码认证模块获取所述用户名和所述用户口令；根据所述计算因子所述动态密码认证模块利用散列算法产生认证数据；比较所述认证数据与所述用户口令是否一致；若是，进入所述操作系统；若否，保持当前状态。本申请通过编写PAM服务模块，采用对变动的计算因子进行散列的方式生成字符串作为认证数据，再将其添加至PAM配置文件，实现动态密码认证。如果想要暂时关闭动态密码功能，可以使用超级用户权限更改PAM模块配置文件，具有安全可靠、易拔插的优点。

技术领域

本发明属于身份认证技术领域，具体涉及一种基于PAM的动态密码认证方法。

背景技术

用户口令通常是用户在注册阶段设置生成的一组字符串，为了记忆方便，用户常选择有规律或有意义的字符串，如生日、电话号码等。用户在使用期间往往不会更改口令，而长时间使用同一个口令导致口令泄露的概率大大增加，使用传统的UNIX口令方式鉴别用户所面临的最大威胁是口令泄露。如果要求用户设置繁琐的口令且定时修改，则会给用户带来很多麻烦。

当用户使用口令进行认证操作时，操作系统通常使用pam_unix.so服务模块即传统的UNIX口令方式鉴别用户。用户在首次安装操作系统时，需要设置登录系统的用户名和初始口令。一般情况下，用户的口令经过加密处理后存放于操作系统的/etc/passwd文件中。用户登录系统进行认证操作时，登录服务程序提示用户输入设置的用户名和初始口令，然后登录服务器程序将口令加密并与/etc/passwd文件中对应帐号的加密口令进行比较。如果口令相匹配，说明用户的身份属实并返回成功。如果pam_unix.so模块返回成功，则执行pam_permit.so模块通过认证，否则执行pam_deny.so以拒绝访问。

这意味着，如果想要身份认证成功，输入的口令加密后必须与/etc/passwd文件中对应账号的加密口令相一致。除非用户手动修改初始口令，否则/etc/passwd文件中对应账号的加密口令不会改变。这使得系统管理员在系统安全与用户使用体验之间进退两难。

发明内容

为解决上述问题，本发明提供了一种基于PAM的动态密码认证方法，所述方法包括步骤：

进入操作系统认证界面；

认证窗口显示计算因子；

输入所述计算因子至密码生成器并得到用户口令；

输入用户名和所述用户口令至所述认证界面进行身份认证；

动态密码认证模块获取所述用户名和所述用户口令；

根据所述计算因子所述动态密码认证模块利用散列算法产生认证数据；

比较所述认证数据与所述用户口令是否一致；

若是，进入所述操作系统；

若否，保持当前状态。

优选地，在所述进入操作系统认证界面之前还包括步骤：

将实时更新计算因子服务配置至操作系统服务中；

开启所述实时更新计算因子服务；

将所述动态密码认证模块配置至所述操作系统中；

将动态密码配置文件配置至所述操作系统中；

将所述操作系统的认证模式修改为动态密码认证模式；

按照所述动态密码配置文件设置密码长度和密码复杂度。

优选地，所述认证窗口显示计算因子包括步骤：