一种改进的操作系统登录技术论文

SCI论文（www.lunwensci.com）:
 
　　摘要：计算机中的应用软件通常是安装并运行于操作系统之上,登录操作系统的认证与登录业务应用的认证是分别独立进行的。账号口令是目前操作系统广泛采用的认证方式,一般认为其安全性要低于数字证书、生物特征识别等认证方式。改进的操作系统登录技术一方面对数字证书和生物特征识别技术进行了应用；另一方面实现了操作系统登录与应用软件登录的统一,不仅提高了系统认证的安全性,也简化了认证操作的复杂性。

　　关键词：操作系统登录；统一身份认证；银河麒麟；指纹识别；数字证书；单点登录；Greeter

 

　　Improved Technology of Operating System Login

　　CAO Ganlin

　　(Beijing Qidi Chuangxiang Technology Co.,Ltd.,Beijing 100083)

　　【Abstract】：Application software in computers are usually installed and run on the operating system,and the authentication of logging in to the operating system and the authentication of logging in to the application software are usually carried out separately and independently.Currently,account&password is a widely used authentication method in the operating system,and its security is lower than that of digital certificate,biometric authentication generally.An improved operating system login technology applies the technologies such as digital certificate and biometric authentication,and it realizes the unity of operating system login and application software login.It not only improves the security of system authentication,but also simplifies the complexity of authentication operation.

　　【Key words】：operating system login;unified authentication;galaxy kylin;fingerprint identification;digital certification;single-sign on;Greeter

　　0引言

　　通常,在计算机上开展业务工作的第一步是输入账号口令等身份信息以进入操作系统,然后,根据业务的不同,在第二步很可能还需要再次输入身份信息才能进入相应的业务系统。由于现代计算机系统强大的处理能力,在操作系统之上安装的业务应用软件通常都会有多个,也因此操作者常常需要同时记住多个不同的账号口令。而计算机对这些信息的存储和处理一般都是分散独立进行的,无论在安全性还是操作友好性上都日益受到诟病。趋势上,人们更倾向于把不同业务应用软件的认证工作集中起来统一进行处理,同时,也希望对于那些账号互信的软件信息系统不必是每开启一个都需要重新再进行一遍登录操作。于是,基于单点登录[1]的统一身份认证[2]平台技术应运而生。

　　可是,由于操作系统本身的技术壁垒,要么源码不开放,要么改造难度大,绝大多数的统一身份认证平台都只限于对业务应用软件认证工作的统一[3-5],而几乎不涉及对操作系统软件的改造,也就是说第一步和第二步的登录认证工作还无法进行统一。近几年,随着国家对信息技术创新工作的推进,借助开源的操作系统技术以及数字证书[6]、生物特征识别[7]等安全性更高认证技术的出现,客观上使得实现一个业务应用软件与操作系统软件的登录功能互相融合,同时在安全性和可靠性都得到显著提升的信息系统平台成为可能。

　　本文基于主流Linux操作系统广泛支持的Greeter/DM登录框架,提出了一种改进的操作系统登录技术,不仅实现了对业务应用软件登录的融合,而且可以支持数字证书、生物特征等难以伪造或泄露的身份识别信息的认证,实现了比传统账号口令方式更为安全的登录认证功能。

　　1 Greeter/DM工作原理

　　Greeter/DM框架主要用于实现图形界面操作系统的登录,也包含了操作系统本身的窗口管理、终端管理、显示设备管理等多种功能。其与操作系统登录相关的程序主要包括Greeter登录界面模块、DM(Display Manager)显示管理模块、Xorg窗口显示模块和PAM(Pluggable Authentication Modules)后台验证模块四个部分。在具体的代码实现上,不同的操作系统发行版本存在较大差异,但基本原理和代码组成类似。这里以国产银河麒麟操作系统桌面版4.0为例,对各模块组成和工作原理进行介绍。具体如图1所示,其中虚线框分别对应上文所述的四个主要模块。

　　Greeter模块主要是为操作人员呈现可视化的图形界面,提供进行交互操作的输入输出接口,包括提示账号信息,选择或输入账号、口令,提供语言设置、会话管理和电源管理的相关操作接口等。GreeterWnd是该模块的主体,它通过GreeterWrapper与DM模块进行数据交互。User View/Model实现账号属性信息等数据管理功能。LoginWnd实现登录相关的具体操作接口,包括输入账号和口令,输出认证结果和提示登录进程的当前状态等。

　　DM模块是操作系统内部实现登录相关功能的核心部分,主要组成包括以下几个部分：DisplayServer/DisplayManager负责显示服务相关的管理；Account负责操作系统中与账号有关信息的管理；Xserver/Xserver Local负责实现对Xorg进行访问的接口；X-Authority提供与显示服务认证相关的接口；Seat是DM进行显示管理的逻辑实体,DM通过建立Seat这个逻辑概念来实现对登录会话Greeter Session、User Session的管理。登录会话通过建立相应的会话子进程Greeter Child Process、User Child Process来实现对其他模块的交互。Qt/gobject Libs是DM与Greeter的动态接口库,由Greeter界面程序动态调用。

　　PAM模块实现本地口令校验、权限检查相关的认证计算功能,不同的认证入口分别对应不同的配置文件Pam Config以及实现相应算法的接口库Pam Libs。Pam Unix是PAM与DM的接口。

　　Xorg模块实现窗口显示相关的功能,为DM提供显示服务,其内部实现较为复杂,但与登录过程本身关系不大。

　　DM随着操作系统的启动而启动,开机后作为守护进程常驻内存。Greeter由DM在运行过程中动态创建,登录完成后再由DM予以撤销。DM向上提供Greeter访问操作系统资源的调用接口,包括获取账号列表,权限和登录状态信息的接口以及提交账号口令、开始/终止身份认证等操作的命令接口等；DM向下实现对口令校验等后台认证模块的调用接口。

　　Greeter从界面接收到操作者输入的账号信息后,首先对账号的属性进行检查,然后提示操作者输入口令,并把账号口令等信息提交给DM,DM通过创建内部处理进程,调用PAM模块的功能接口,进行身份检查、密码检查、权限检查等相关认证操作。

　　如果认证通过,DM就从操作系统中搜集该账号的语言设置、桌面环境、路径信息、权限设置等相关属性,并为这个账号建立相应运行环境的上下文,然后发出命令,对Greeter予以撤消,进入到系统运行状态,完成全部登录过程。如果认证不通过,则DM将结果反馈给Greeter,并且在登录界面上反馈不通过的具体原因,并把显示界面复位,为再次登录作好准备。

　　2设计与实现

　　本文对操作系统登录程序的改进之处主要体现在两个方面：(1)实现对业务应用系统登录功能的融合；(2)增加对数字证书、生物特征等高安全性认证技术的应用。

　　为了实现对业务应用系统登录的融合,需要实现操作系统账号(简称系统账号)与业务应用系统账号(简称业务账号)的统一。直观上,最简单的方法是在业务应用系统中直接采用与操作系统相同的账号,即把业务账号设置为系统账号,从而减小账号管理的复杂性。可实际上却行不通,某些大型应用系统的业务账号可能多达数千万个,而普通的计算机操作系统至多也就注册几十个甚至只有一两个。所以,仅仅在数量上,此方法就不可取。而且,服务器上很多业务应用系统的设计本身要先于终端上操作系统的安装和账号创建。本文采用的是系统账号与业务账号分别建立然后按照权限属性进行绑定的方法。此方法不必关心二者在命名上是否统一以及数量上是否相等,仅仅按照使用上的需求来建立业务账号与系统账号的对应关系。绑定的具体方法是把业务账号与系统账号分别作为一个维度,以此建立一个二维的关系列表,并通过该列表维系着业务账号与系统账号的多对一或一对一的映射关系。即对于每一个业务账号,都可以从该二维列表中找到其对应的系统账号。这个系统账号所具有的权限和运行上下文就是该业务账号登录业务应用软件时在操作系统中的访问权限和运行上下文。

　　举例如下：某操作系统有Root、System1、System2、System3共4个系统账号,某业务应用软件有Account1、Account2、Account3、Account4、Account5共5个业务账号。其中,System3为只读账号,不需要写权限,Account5为业务应用软件的访客账号,仅有查询需求。于是,在建立账号绑定关系时,可以把Account1、Account2、Account3、Account4绑定到System2上,Account5绑定到System3上,而System1和Root不作绑定。这样,当业务账号Account1登录时,在操作系统中便具有System2的访问权限,而业务账号Account5登录则只有System3的访问权限。如果没有访问业务应用软件的需求,则以未绑定的系统账号,例如System1的身份直接登录操作系统即可。

　　Greeter/DM框架中,实现登录认证的关键算法代码主要集中在底层的PAM部分。为了增加对数字证书、生物特征等高安全性认证技术的应用,本方案对PAM部分进行了扩展。在账号口令认证方式中,PAM访问本地的口令文件,对口令进行加解密运算后再比对。当某些系统账号与业务账号进行了绑定时,这些系统账号采用的是更安全的认证方式,不再进行口令的正确性验证,也就是不再需要访问本地文件。本方案中的扩展PAM,不改变现有的PAM数据,仅仅对已绑定的系统账号扩展出新的认证功能。具体方法包括两个方面,一方面是增加外设驱动,通过相应外设实现对数字证书、生物特征等身份识别信息的读取,另一方面是增加外部认证服务,通过外部认证服务实现相应业务账号身份识别信息的认证,包括数字证书的签名、验签以及指纹等生物特征的提取、编码、加解密等。

　　继续按照上面的例子进行说明：业务账号Account1登录时,操作系统登录软件不再对与之绑定的系统账号System2通过操作系统原有的PAM进行口令认证,而是通过扩展PAM访问外设驱动读取Account1的数字证书和指纹信息,然后提交给外部认证服务。由外部认证服务在后台进行相应的签名、验签及指纹的特征提取、识别、比对工作,最后再把结果反馈给登录软件,完成业务账号的认证和操作系统的登录。

　　如果该计算机上还安装了其他的业务应用软件,并且它们也都给账号Account1、Account2、Account3、Account4、Account5赋予了操作权限,那么就可以用这种方法实现一个集操作系统登录和多种业务应用软件登录为一体的统一身份认证平台。

　　另一方面,由于实现上没有丢弃原系统的数据文件,当操作者以其他系统账号登录时,例如System1,输入相应的口令,仍然可以完成对原系统的登录。或者,如果相应的业务系统已经停用或者终端的用途发生变化时,通过解除对应业务账号与系统账号的绑定关系也可恢复对原操作系统的登录认证方式。

　　2.1 Greeter的改进

　　Greeter部分的图形界面直接与操作者进行交互。如图2所示,实线部分为登录软件原有的功能单元(不相关部分从略),虚线部分为新增加的功能单元。其中,LoginAuthWnd为新设计的窗口界面,该界面是对LoginWnd的增强,根据实际需求可以支持指纹、指静脉、虹膜、人脸、动态口令、身份令牌、USBKey等多种认证方式的操作提示和状态显示,操作者根据这些提示信息操作相应的数字证书和生物特征识读或采集设备,完成身份识别信息的输入工作。AccountBind实现对业务账号与系统账号二维绑定列表的维护,用以建立、更新或者解除这种绑定关系。

　　LoginAuthWnd接收到操作者输入的业务账号之后,通过AccountBind找到与之绑定的系统账号,从而UserView/Model把该系统账号通过GreeterWrapper提交给DM,于是DM可以据此开启此系统账号的登录流程。如果操作者以其他系统账号登录,则LoginWnd收到后直接提交给UserView/Model即可按照传统的账号口令方式继续后面的登录流程。

　　可见,Greeter部分在改进时最重要的变化在于增加了业务账号的登录入口,使得操作者可以在计算机操作系统启动之初,即可从系统登录界面直接以业务账号的身份开启业务应用软件的登录流程。

　　2.2 DM&PAM的改进

　　DM是管理模块,由于Greeter增加了对业务账号的支持以及与系统账号的绑定,所以,DM对于已经与业务账号建立了绑定关系的系统账号,就必须同时实现对已经绑定的业务账号的支持。本方案在设计上新增加了Auth Session、Auth Child Process、Ext Pam等三个新的功能单元,如图3虚线部分所示。这三个功能单元在工作逻辑上与原系统的User Session、User Child Process和Sys Pam Libs保持一致,但具体实现上增加业务账号作为模块入口参数,并动态维护其当前登录状态和所支持的认证方式。Ext Pam根据该业务账号参数完成身份信息的采集和后续对外部认证服务的交互流程。

　　首先,在DM对应的Seat中对已作绑定的系统账号另行创建一个独立的认证会话Auth Session,由Auth Session启动专用认证进程Auth Child Process。然后,由专用认证进程Auth Child Process动态调用扩展认证模块Ext Pam。Ext Pam对外提供两个访问接口,一是设备访问接口,用于访问设备驱动Driver,另一个是外部服务访问接口,用于实现对外部认证服务Auth Service的数据交互。

　　2.3设备驱动及外部认证服务

　　设备驱动Driver实现对业务账号身份识别信息的采集功能。通常包括,数字证书的读取[6]、生物特征信息指纹、虹膜的录入[8,9]以及身份标记卡牌的访问[10],并向操作系统提供相应的数据传输接口。在操作系统的启动过程中完成对外设的初始化,在软件认证过程中一方面把操作系统登录软件采集操作者身份识别信息的请求转换为对外设访问的读写指令；另一方面对设备返回的数据进行编码和特征提取,并按照认证服务器的存储和传输要求进行打包封装。

　　外部认证服务没有作为PAM的内部功能,而是独立于PAM之外另行设计的原因有三点：(1)对于多数的业务应用,设计者并不希望终端或者账号的登录策略做成固定不变的,而是更希望可以根据现场条件和实际需求通过后端服务器进行灵活配置,这在客观上使得用外部服务的方式向登录程序提供更为合适；(2)某些认证算法例如虹膜、人脸的特征识别等本身复杂度比较高,系统进行相关计算时消耗的资源比较多,部署在计算密集型的后端服务器上也使得负载更为均衡；(3)认证服务所用的算法和数据本身属于关键信息,集中存放在后端服务器上有利于增强其安全性。

　　因此,外部认证服务在概念上,是一个独立的存在,与PAM是并列存在的,二者共同配合完成认证服务。其不仅保存了业务账号的身份信息以及身份识别信息,还承担相应的生物特征提取、比对算法以及证书的签名、验签算法等计算任务；不仅仅向操作系统登录软件提供认证服务,也可以向其他业务应用软件提供认证服务。本方案中,外部服务以进程间通信的方式与操作系统登录软件进行数据交互,接受登录软件的认证请求并返回相应的账号认证结果。

　　3结论

　　本文介绍的操作系统登录技术在Linux类操作系统上具有较强的适应性,应用上容易推广,功能上容易扩充,对于国内信创产业的发展具有积极的推动作用。国内某政务平台计算机专网应用本文所介绍的操作系统登录方案,已经设计出融合生物特征识别、数字证书认证等技术的,支持动态口令、身份令牌以及指纹、指静脉和虹膜、人脸等多种认证因子的统一身份认证系统。该系统面向政府部门应用服务多、部署范围广、安全要求高的强身份认证需求,在技术层面领先开展了政务应用身份认证体系统一化尝试,依托既有的PKI密码证书机构和注册机构以及配套的证书申请、制发等密码服务基础设施,采用国产化操作终端、服务器和认证网关等安全设备,集成了公文传输、即时通信、重大决策监督、会议管理、资产管理、人事财务管理和档案管理等业务应用系统,为各应用系统提供了统一的用户身份管理和身份认证服务,为国家和地区政务系统的安全运行提供了有力可靠的支撑。

　　本文技术方案中的外部服务的实现主要基于该政务平台计算机专网项目的实际需求,对于其他特殊应用场合一般不具有普遍适用性,通常需要根据具体需求在实现方法上进行适当改造。相应的访问接口也还没有形成为行业内普遍认可的行业标准,未来在外部服务的设计方法和接口的标准化等方面还可以开展更多的研究工作。

　　参考文献

　　[1]YANG YJ.The Design of Unified Identity Authentication and Single Point Login System[J].Applied Mechanics and Materials,2012(155–156):391–395.

　　[2]GRUBB M F,CARTER R.Single Sign-on and the System Administrator[C]//Proceedings of 12th USENIX Conference on System Administration.Boston,1998:63–86.

　　[3]彭勇,黄剑华,王喆,等.分布式协同统一身份认证平台的设计与实现[J].软件工程,2020,23(10):52-54+41.

　　[4]王群,李馥娟.一种基于单点登录的实验室统一身份认证方案[J].实验技术与管理,2020,37(5):219-223.

　　[5]张富友,王琼霄,宋利.基于生物特征识别的统一身份认证系统研究[J].信息网络安全,2019(9):86-90.

　　[6]陈怡丹,李馥娟.数字证书安全性研究[J].信息安全研究,2021,7(9):836-843.

　　[7]BURIRO A.Behavioral Biometrics for Smartphone User Authentication[D].Trento:University ofTrento,2017.

　　[8]李中,龚俊,周加谊.基于麒麟系统下指纹识别系统设计研究[J].电子设计工程,2018,26(4):184-187+193.

　　[9]王超楠,郭慧杰,韩一梁,等.基于虹膜识别的智能信息管理平台设计[J].数字通信世界,2019(12):92-93.

　　[10]徐睿,游佳,刘坤,等.基于国密算法和PUF的企业用户身份认证系统[J].计算机与现代化,2018(3):102-107.
 
关注SCI论文创作发表，寻求SCI论文修改润色、SCI论文代发表等服务支撑，请锁定SCI论文网！

文章出自SCI论文网转载请注明出处：https://www.lunwensci.com/jisuanjilunwen/50005.html