用于登录认证的系统、方法和装置制造方法
【专利摘要】一种用于登录认证的系统、方法和装置,所述系统包括:多个计算设备;第一设备,用于存储帐户信息;第一终端,用于接收第一用户输入的用来登录所述多个计算设备中的至少一个计算设备的第一帐户信息,并把所述第一用户输入的第一帐户信息传送给所述第一设备进行存储;第二终端,用于接收第二用户输入的所述第一帐户信息,以及当所述第二用户需要登录所述至少一个计算设备时,向所述至少一个计算设备中的每一个发送包含第二用户输入的所述第一帐户信息的登录请求消息;以及服务器,用于当从所述至少一个计算设备中的任一计算设备接收到包含所述第一帐户信息的认证请求消息时,根据所述第一设备存储的帐户信息来认证所述认证请求消息包含的所述第一帐户信息,并向所述任一计算设备返回认证结果,其中,所述认证请求消息是所述任一计算设备接收到所述登录请求消息后向所述服务器发送的,其中,当所述认证结果表明认证成功时,所述任一计算设备允许所述第二用户登录。利用本发明的系统、方法和装置,能够减轻用户的人工劳动,提高工作效率。
【专利说明】用于登录认证的系统、方法和装置
【技术领域】
[0001]本发明涉及计算机领域,更具体地,涉及计算机领域中用于登录认证的技术。
【背景技术】
[0002]在计算机领域,很多情况下管理员需要使用帐户登录到计算机之后在该计算机上完成相应的工作,例如,对于安全配置有效性检验工作而言,基于配置收集方法的不同,可以将安全配置有效性检验工具大体分为三种类型,分别为:
[0003](I)人工输入配置的安全配置有效性检验工具,例如一些信息技术(IT)风险测量工具,其由管理员来输入各种配置;
[0004](2)本地地进行配置收集的安全配置有效性检验工具,例如由美国国家标准与技术研究院编写的安全内容自动化协议(SCAP)的支持工具。由于这些工具基于本地系统的应用程序接口(API)来收集安全配置,因此它们不能访问远程目标;以及
[0005](3)远程地进行配置收集的安全配置有效性检验工具。这种工具能够通过SSH、Telnet或其他协议来访问远程目标,并在成功登录后获取指定的配置。在登录过程中,通常需要管理员输入与各个远程目标对应的、包括用户名和密码的帐户信息。
[0006]无论采用哪种安全配置有效性检验工具,目前都需要由管理员手工地进行大量的工作来完成安全配置有效性检验。
[0007]对于远程地进行配置收集的安全配置有效性检验工具而言,通常,安全配置有效性检验工作可以被划分为四个主要步骤,分别如下:登录、配置收集、有效性检验和统计。在许多情况下,系统中会存在多个计算机。例如,如图1所示,在其中示出了一个工作站101和三个计算机102。取决于系统的规模,系统中也可能存在更多或更少的计算机102。当管理员要从工作站101对某一个待验证的计算机102进行安全配置有效性检验工作时,其必须首先使用一个具有相应权限的、与该计算机102对应的帐户来登录到该待验证的计算机102。该帐户通常包括用户名和密码。在待验证的计算机102较多的情况下,管理员需要针对每一个计算机102来输入与该计算机102对应的帐户以进行登录。另外,在许多情况下,需要预先在各个计算机102上分别配置所述具有相应权限的、与计算机102对应的帐户。由于需要在各个计算机102上分别配置相应的帐户,该帐户难以被管理员方便及时地设置、更新、删除(例如,在完成安全配置有效性检验工作后)等,从而不利于保证系统的安全。特别是,当计算机102是相对于工作站101的远程计算机,或者多个计算机102分散于各地时,更加难于在各个计算机102上设置、更新或删除相应的帐户。因此,这种操作方式是耗时、复杂并且易出错的。
【发明内容】
[0008]考虑到现有技术的以上问题,本发明实施例提供一种用于登录认证的系统、方法和装置等,其能够减轻用户的人工劳动,提高工作效率。
[0009]按照本发明实施例的一种用于登录认证的系统,包括:多个计算设备;第一设备,用于存储帐户信息;第一终端,用于接收第一用户输入的用来登录所述多个计算设备中的至少一个计算设备的第一帐户信息,并把所述第一用户输入的第一帐户信息传送给所述第一设备进行存储;第二终端,用于接收第二用户输入的所述第一帐户信息,以及当所述第二用户需要登录所述至少一个计算设备时,向所述至少一个计算设备中的每一个发送包含所述第二用户输入的所述第一帐户信息的登录请求消息;以及,服务器,用于当从所述至少一个计算设备中的任一计算设备接收到包含所述第一帐户信息的认证请求消息时,根据所述第一设备所存储的帐户信息来认证所述认证请求消息包含的所述第一帐户信息,并向所述任一计算设备返回认证结果,其中,所述认证请求消息是所述任一计算设备接收到所述登录请求消息后向所述服务器发送的,其中,当所述认证结果表明认证成功时,所述任一计算设备允许所述第二用户登录。
[0010]其中,所述第一终端和所述第二终端是同一终端,以及,所述第一用户和所述第二用户是同一用户。
[0011]其中,所述第二终端还用于当所述第二用户对所述至少一个计算设备的登录结束之后,向所述第一设备发送用于指示删除所述第一帐户信息的消息,以及,所述第一设备还用于当接收到用于指示删除所述第一帐户信息的消息时,删除所存储的所述第一帐户信
肩、O
[0012]其中,所述第一终端进一步用于把所述第一用户输入的第一帐户信息和所述第一用户的身份信息传送给所述第一设备,所述第一设备还用于当从所述第一终端接收到所述第一帐户信息和所述第一用户的身份信息时,根据所述第一用户的身份信息验证所述第一用户,并在所述第一用户成功验证之后,存储从所述第一终端接收的所述第一帐户信息。
[0013]其中,所述第一设备和所述服务器是同一设备。
[0014]其中,所述第二终端向所述多个计算设备中的每一个同时发送所述登录请求消息。这样可以同时访问一个系统中需要访问的所有计算设备。
[0015]其中,所述服务器包括远程认证拨号用户服务(RADIUS)服务器。
[0016]按照本发明实施例的一种用于登录认证的方法,包括:接收用户输入的用于登录多个计算设备的帐户信息;以及,当所述用户需要登录所述多个计算设备中的至少一个计算设备时,向所述至少一个计算设备中的每一个发送包含所述接收的帐户信息的登录请求消息。
[0017]其中,所述方法还包括:把所述接收的帐户信息传送给另一设备进行存储。
[0018]其中,所述方法还包括:当所述用户对所述至少一个计算设备的登录结束之后,向所述另一设备发送用于指示删除所述帐户信息的消息。
[0019]其中,所述发送步骤进一步包括:向所述多个计算设备的每一个同时发送所述登录请求消息。
[0020]其中,所述传送步骤进一步包括:把所述接收的帐户信息和所述用户的身份信息传送给所述另一设备。
[0021]按照本发明实施例的一种用于登录认证的装置,包括:接收模块,用于接收用户输入的用来登录多个计算设备的帐户信息;以及,发送模块,用于当所述用户需要登录所述至少一个计算设备时,向所述至少一个计算设备中的每一个发送包含所述接收的帐户信息的登录请求消息。[0022]其中,所述装置还包括:传送模块,用于把所述接收的帐户信息传送给另一设备进行存储。
[0023]其中,所述装置还包括:传输模块,用于当所述用户对所述至少一个计算设备的登录结束之后,向所述另一设备发送用于指示删除所述帐户信息的消息。
[0024]其中,所述发送模块进一步用于:向所述多个计算设备的每一个同时发送所述登录请求消息。
[0025]其中,所述传送模块进一步用于:把所述接收的帐户信息和所述用户的身份信息传送给所述另一设备。
[0026]从上面的描述可以看出,在本发明实施例中,用户只需输入一次登录所需的帐户信息,然后利用用户所输入的帐户信息向各个计算机进行登录,因此,与现有技术相比,用户并不需要针对各个计算机的登录分别输入帐户信息,从而减少了用户的人工操作,提供了工作效率。
【专利附图】
【附图说明】
[0027]参考附图详细描述了本发明,应当理解,附图以及相应的描述应当被理解为是说明性的而非限制性的,其中:
[0028]图1示出了现有技术中用于登录认证的系统;
[0029]图2示出了根据本发明一个实施例的用于登录认证的系统的示意图;
[0030]图3示出了根据本发明一个实施例的用于登录认证的装置的示意图;以及
[0031]图4示出了根据本发明一个实施例的用于登录认证的设备的示意图。
【具体实施方式】
[0032]下文将以明确易懂的方式通过对优选实施例的说明并结合附图来对本发明上述特性、技术特征、优点及其实现方式予以进一步说明。应当理解,这些优选实施例仅仅用于对本发明进行示例说明,其并非限制性的。
[0033]图2示出了根据本发明一个实施例的用于登录认证的系统。如图2所示,该用于登录认证的系统可以包括工作站201、多个计算机202、服务器203和数据源204。
[0034]其中,数据源204用于存储帐户信息。在这里,帐户信息可以包括用户名和密码。数据源204可以是但不限于LDAP服务器、文件服务器或数据库服务器等。
[0035]工作站201作为终端,可以是笔记本电脑、台式计算机、手机等,用于接收用户UE输入的用来登录该多个计算机202中的至少一个计算机ZS的帐户信息ZH,把所接收的帐户信息ZH传送给数据源204进行存储,以及当用户UE需要登录该至少一个计算机ZS时,向该至少一个计算机ZS中的每一个发送包含有所接收的帐户信息ZH的登录请求消息。其中,该至少一个计算机ZS中的每一个从工作站201在接收到登录请求消息之后,向服务器203发送包含有帐户信息ZH的认证请求消息。
[0036]服务器203,可以是普通的服务器或远程认证拨号用户服务(RADIUS)服务器,用于在从该至少一个计算机ZS中的任一计算机RY接收到包含有帐户信息ZH的认证请求消息之后,从数据源204获取其所存储的帐户信息,通过检查所获取的帐户信息中是否包含有帐户信息ZH来认证帐户信息ZH,并把认证结果发送给该任一计算机RY。这里,当检查发现所获取的帐户信息中包含有帐户信息ZH时,帐户信息ZH认证成功,否则帐户信息ZH认证失败。在从服务器203接收到认证结果之后,如果认证结果表明帐户信息ZH认证成功,则该任一计算机RY允许用户UE登录,否则拒绝用户UE登录。
[0037]在该任一计算机RY允许用户UE登录的情况下,用户UE可以通过工作站201登录到该任一计算机RY执行相应的操作,例如执行安全配置有效性检验工作。当用户UE在该任一计算机RY上执行完相应的操作之后,用户UE从该任一计算机RY退出,从而结束对该任一计算机RY的登录。
[0038]这里,在用户UE对该至少一个计算机ZS的登录结束之后,工作站201可以向数据源204发送用于指示删除帐户信息ZH的消息。在接收到工作站201发送的用于指示删除帐户信息ZH的消息之后,数据源204可以删除所存储的帐户信息ZH。
[0039]从上面的描述可以看出,用户UE只需向工作站201输入一次登录所需的帐户信息ZH,然后工作站201利用从用户UE接收到的帐户信息ZH向各个计算机进行登录,用户UE并不需要针对各个计算机的登录分别输入帐户信息,从而减少了用户UE的人工操作,提供了工作效率。
[0040]此外,从上面的描述还可以看出,在用户UE对各个计算机的登录结束之后,从数据源204中删除登录所用的帐户信息,这避免了恶意人员从数据源204中获取登录所用的帐户信息来登录各个计算机进行恶意操作的可能,从而提高了系统的安全性。
[0041]本领域技术人员应当理解,在上面的实施例中,当用户UE需要登录该至少一个计算机ZS时,工作站201向该至少一个计算机ZS中的每一个发送登录请求消息,这里,工作站201可以向该至少一个计算机ZS中的每一个同时发送登录请求消息,或者,工作站201可以按照如下方式来发送登录请求消息:首先向该至少一个计算机ZS中的第一个计算机发送登录请求消息,然后在对该第一个计算机的登录结束之后向该至少一个计算机ZS中的第二个计算机发送登录请求消息,接着在对该第二个计算机的登录结束之后向该至少一个计算机ZS中的第三个计算机发送登录请求消息,以此类推。
[0042]本领域技术人员应当理解,虽然在上面的实施例中,数据源204在从工作站201接收到用户UE输入的帐户信息ZH之后没有验证用户UE的身份就存储帐户信息ZH,然而,本发明并不局限于此。在本发明的其它一些实施例中,也可以如下操作:工作站201接收到用户UE输入的帐户信息ZH之后,把帐户信息ZH和用户UE的身份信息传送给数据源204 ;在接收到来自工作站201的帐户信息ZH和用户UE的身份信息之后,数据源204首先根据用户UE的身份信息验证用户UE,并在成功验证用户UE之后存储帐户信息ZH,否则不存储帐户信息ZH。
[0043]本领域技术人员应当理解,虽然在上面的实施例中,在用户UE对计算机的登录结束之后,工作站201需要向数据源204发送用于指示删除帐户信息ZH的消息,以从数据源204中删除所存储的帐户信息ZH,然而,本发明并不局限于此。在本发明的其它一些实施例中,也可以在存储帐户信息ZH时,数据源204给帐户信息ZH设置一个合适的有效期限,使得在该有效期限过去之后帐户信息ZH变得无效,从而在用户UE对计算机的登录结束之后,工作站201不需要向数据源204发送消息来删除数据源203所存储的帐户信息ZH。
[0044]本领域技术人员应当理解,虽然在上面的实施例中,接收用户输入的用来登录的帐户信息ZH并传送给数据源204的操作和当用户需要登录计算机时向计算机发送包含帐户信息ZH的登录请求消息的操作都是由工作站201来执行的,然而,本发明并不局限于此。在本发明的其它一些实施例中,以上两个操作也可以由不同的终端来执行。例如,一个终端SI接收第一用户输入的用来登录的帐户信息ZH并传送给数据源204,另一终端S2接收第二用户输入的该帐户信息ZH当该第二用户需要登录计算机时向计算机发送登录请求消息。这里,该第一用户和该第二用户可以是不同的用户或同一用户。
[0045]本领域技术人员应当理解,虽然在上面的实施例中,利用数据源204来存储帐户信息,然而,本发明并不局限于此。在本发明的其它一些实施例中,也可以利用除了数据源204之外的其它设备来存储帐户信息。
[0046]本领域技术人员应当理解,虽然在上面的实施例中,用于存储帐户信息的包括数据源204在内的设备和服务器203属于不同的设备,然而,本发明并不局限于此。在本发明的其它一些实施例中,用于存储帐户信息的包括数据源204在内的设备和服务器203也可以是同一设备。
[0047]现在参见图3,其示出了按照本发明一个实施例的用于登录认证的装置。图3的装置可以安装在工作站201,并且可以利用软件、硬件(例如集成电路、现场可编程门阵列(FPGA)等)或者软硬件结合的方式来实现。
[0048]如图3所示,用于登录认证的装置300包括接收模块310和发送模块320。其中,接收模块310用于接收用户UE输入的用来登录多个计算设备的帐户信息ZH。发送模块320用于当用户UE需要登录所述多个计算设备中的至少一个计算设备时,向所述至少一个计算设备发送包含所接收的用户UE输入的帐户信息ZH的登录请求消息。
[0049]此外,装置300还可以包括传送模块330,用于把所接收的用户UE输入的帐户信息ZH传送给另一设备进行存储。
[0050]此外,装置300还可以包括传输模块340,用于当用户UE对所述至少一个计算设备的登录结束之后,向所述另一设备发送用于指示删除帐户信息ZH的消息。
[0051]此外,发送模块320可以进一步用于:向所述多个计算设备的每一个同时发送所述登录请求消息。
[0052]此外,330传送模块进一步用于:把所接收的帐户信息ZH和用户UE的身份信息传送给所述另一设备。
[0053]现在参见图4,其示出了按照本发明一个实施例的用于登录认证的设备。如图4所示,用于登录认证的设备400包括用于存储可执行指令的存储器410和处理器420。
[0054]其中,处理器420可以用于根据存储器410所存储的指令,执行以下操作:接收用户UE输入的用来登录多个计算设备的帐户信息ZH ;以及,当用户UE需要登录所述多个计算设备中的至少一个计算设备时,向所述至少一个计算设备中的每一个发送包含所接收的用户UE输入的帐户信息ZH的登录请求消息。
[0055]此外,处理器420还可以用于根据存储器410所存储的指令,执行以下操作:把所接收的用户UE输入的帐户信息ZH传送给另一设备进行存储。
[0056]此外,处理器420还可以用于根据存储器410所存储的指令,执行以下操作:当用户UE对所述至少一个计算设备的登录结束之后,向所述另一设备发送用于指示删除帐户信息ZH的消息。
[0057]此外,在向所述至少一个计算设备发送所述登录请求消息的操作中,处理器420可以进一步用于根据存储器410所存储的指令,执行以下操作:向所述至少一个计算设备同时发送所述登录请求消息。
[0058]此外,在把所接收的用户UE输入的帐户信息ZH传送给另一设备进行存储的操作中,处理器420可以进一步用于根据存储器410所存储的指令,执行以下操作:把所接收的帐户信息ZH和用户UE的身份信息传送给所述另一设备。
[0059]本发明实施例还提供一种机器可读介质,其上存储可执行指令,当该可执行指令被执行时,使得机器执行处理器420所执行的操作。
[0060]上文通过附图和优选实施例对本发明进行了详细展示和说明,然而本发明不限于这些已揭示的实施例。本领域技术人员在本发明技术构思的启发下,在不脱离本发明设计思想的基础上,可以做出各种改进或变型。本发明的保护范围应当由所附的权利要求书的内容确定。
[0061]在本申请中,术语“包括”、“包含”等不排除存在其它部件或步骤。另外,尽管独立的特征可以包含在不同权利要求中,但是这些特征也可以有利地组合,并且不同权利要求中的包含不暗示着特征的组合是不可行的和/或不利的。
【权利要求】
1.一种用于登录认证的系统,包括: 多个计算设备; 第一设备,用于存储帐户信息; 第一终端,用于接收第一用户输入的用来登录所述多个计算设备中的至少一个计算设备的第一帐户信息,并把所述第一用户输入的第一帐户信息传送给所述第一设备进行存储; 第二终端,用于接收第二用户输入的所述第一帐户信息,以及当所述第二用户需要登录所述至少一个计算设备时,向所述至少一个计算设备中的每一个发送包含第二用户输入的所述第一帐户信息的登录请求消息;以及 服务器,用于当从所述至少一个计算设备中的任一计算设备接收到包含所述第一帐户信息的认证请求消息时,根据所述第一设备存储的帐户信息来认证所述认证请求消息包含的所述第一帐户信息,并向所述任一计算设备返回认证结果,其中,所述认证请求消息是所述任一计算设备接收到所述登录请求消息后向所述服务器发送的, 其中,当所述认证结果表明认证成功时,所述任一计算设备允许所述第二用户登录。
2.根据权利要求1所述的系统,其中, 所述第一终端和所述第二终端是同一终端,并且所述第一用户和所述第二用户是同一用户。
3.根据权利要求1所述的系统,其中, 所述第二终端还用于当所述第二用户对所述至少一个计算设备的登录结束之后,向所述第一设备发送用于指示删除所述第一帐户信息的消息,以及 所述第一设备还用于当接收到用于指示删除所述第一帐户信息的消息时,删除所存储的所述第一帐户信息。
4.根据权利要求1所述的系统,其中, 所述第一终端进一步用于把所述第一用户的身份信息传送给所述第一设备, 所述第一设备还用于当从所述第一终端接收到所述第一用户的身份信息时,根据所述第一用户的身份信息验证第一用户,并在第一用户成功验证之后,存储所述第一终端传送的所述第一帐户信息。
5.根据权利要求1所述的系统,其中, 所述第一设备和所述服务器是同一设备。
6.根据权利要求1所述的系统,其中, 所述第二终端向所述至少一个计算设备中的每一个同时发送所述登录请求消息。
7.根据权利要求1所述的系统,其中,所述服务器为远程认证拨号用户服务(RADIUS)服务器。
8.一种用于登录认证的方法,包括: 接收用来登录多个计算设备的帐户信息, 把所述接收的帐户信息传送给另一设备进行存储;以及 当用户需要登录所述多个计算设备中的至少一个计算设备时,向所述至少一个计算设备发送包含所述接收的帐户信息的登录请求消息。
9.根据权利要求8所述的方法,其中,还包括:当所述用户对所述至少一个计算设备的登录结束之后,向所述另一设备发送用于指示删除所述帐户信息的消息。
10.根据权利要求8所述的方法,其中,所述发送步骤进一步包括:向所述多个计算设备的每一个同时发送所述登录请求消息。
11.根据权利要求8所述的方法,其中,该方法进一步包括:把所述用户的身份信息传送给所述另一设备进行存储。
12.一种用于登录认证的装置,包括:接收模块,用于接收用来登录多个计算设备的帐户信息;传送模块,用于把所述接收的帐户信息传送给另一设备进行存储;和发送模块,用于当所述用户需要登录所述多个计算设备中的至少一个计算设备时,向所述至少一个计算设备发送包含所述接收的帐户信息的登录请求消息。
13.根据权利要求12所述的装置,其中,还包括:传输模块,用于当所述用户对所述至少一个计算设备的登录结束之后,向所述另一设备发送用于指示删除所述帐户信息的消息。
14.根据权利要求12所述的装置,其中,所述发送模块进一步用于:向所述多个计算设备的每一个同时发送所述登录请求消息。
15.根据权利要求12所述的装置,其中,所述传送模块进一步用于:把所述用户的身份信息传送给所述另一设备进行存储。
16.一种用于登录认证的设备,包括:存储器,用于存储指令;处理器,其与所述存储器耦合,该处理器被配置为执行存储在所述存储器中的指令以实现权利要求8-11中任意一项权利要求所包括的步骤。
17.一种机器可读介质,其上存储有指令集合,当该指令集合被执行时,使得该机器可实现权利要求8至11中任意一项权利要求所述的方法。
【文档编号】H04L29/06GK103701595SQ201210366070
【公开日】2014年4月2日 申请日期:2012年9月27日 优先权日:2012年9月27日
【发明者】姚铁, 冉鹏 申请人:西门子公司