本發(fā)明專利技術(shù)的操作系統(tǒng)的安全登錄系統(tǒng)包括信息采集模塊、信息處理模塊、本地數(shù)據(jù)庫、信息存儲模塊。其中,信息處理模塊分別與信息采集模塊、本地數(shù)據(jù)庫、信息存儲模塊相連,本地數(shù)據(jù)庫還與信息存儲模塊相連。信息處理模塊和信息存儲模塊集成于可信計算芯片內(nèi)。除此之外,還提供一種操作系統(tǒng)的安全登錄方法。本發(fā)明專利技術(shù)利用可信計算芯片在密鑰安全、抗重放攻擊方面的優(yōu)勢,將其應(yīng)用到操作系統(tǒng)登錄驗證過程中,實現(xiàn)操作系統(tǒng)的安全登錄。同時,為了防止攻擊者竊取登錄信息及登錄密碼惡意登錄操作系統(tǒng),本發(fā)明專利技術(shù)技術(shù)方案中還在每次登錄操作系統(tǒng)后,自動更新登錄密碼,進(jìn)一步提高操作系統(tǒng)登錄的安全性。
【技術(shù)實現(xiàn)步驟摘要】
本專利技術(shù)涉及。
技術(shù)介紹
為了保證登錄計算機操作系統(tǒng)時 的安全性,傳統(tǒng)的登錄認(rèn)證方式是采用用戶名和口令的單向鑒別模型,但該模型存在諸如口令易被竊取和猜測等弊端,不能很好的達(dá)到驗證登錄操作系統(tǒng)人員身份的目的,不能保證操作系統(tǒng)的登錄安全性。為了增強操作系統(tǒng)的登錄安全性,一般采用以下技術(shù)方案智能卡登錄、生物特征信息認(rèn)證登錄、或者是通過現(xiàn)有的幾種登錄認(rèn)證方式的組合進(jìn)行雙(多)因子登錄。但是,由于操作系統(tǒng)本身的構(gòu)架所限,使得上述幾種登錄方案仍存在安全隱患。例如登錄windows2000 / XP操作系統(tǒng),不論使用何種登錄認(rèn)證方式,其根本思想都是在用戶所持有的秘密(例如生物特征、智能卡、證書等)與Windows 口令間建立映射,登錄過程最終仍將歸結(jié)到使用認(rèn)證包(authentication package)與 SAM數(shù)據(jù)庫(security account manager,即安全帳號管理器,它通過存儲在計算機注冊表中的安全帳號來管理用戶和用戶組的信息)中存放的用戶帳戶口令進(jìn)行比對。因此,存放在SAM數(shù)據(jù)庫中的用戶帳戶口令仍是安全的根本。通常情況下,人們使用生物信息或智能卡進(jìn)行登錄時,攻擊者可能利用用戶的疏忽進(jìn)入系統(tǒng),獲得生物特征模版數(shù)據(jù)庫映射表內(nèi)的用戶帳戶與口令信息,從而繞開生物特征識別系統(tǒng)的安全措施,并可利用獲得的合法windows帳戶密碼從安全模式或者其他途徑進(jìn)入系統(tǒng),竊取用戶資源,導(dǎo)致重放攻擊,同樣不能保證操作系統(tǒng)的登錄安全性。
技術(shù)實現(xiàn)思路
本專利技術(shù)所要解決的技術(shù)問題是提供一種能提高操作系統(tǒng)登錄安全性的安全登錄系統(tǒng)及安全登錄方法。作為本專利技術(shù)技術(shù)方案的一方面,提供一種操作系統(tǒng)的安全登錄系統(tǒng),所述安全登錄系統(tǒng)包括信息采集模塊、信息處理模塊、本地數(shù)據(jù)庫、信息存儲模塊; 所述信息處理模塊分別與所述信息采集模塊、所述本地數(shù)據(jù)庫、所述信息存儲模塊相連,其中,所述本地數(shù)據(jù)庫與所述信息存儲模塊相連; 所述信息處理模塊和所述信息存儲模塊集成于可信計算芯片內(nèi); 所述信息存儲模塊和所述本地數(shù)據(jù)庫,均用于保存合法登錄信息和合法登錄密碼;所述信息采集模塊,用于獲取外部輸入的用戶登錄信息,并將所述用戶登錄信息發(fā)送至所述信息處理模塊; 所述信息處理模塊,根據(jù)所述信息采集模塊發(fā)送的用戶登錄信息,自所述信息存儲模塊內(nèi)讀取合法登錄密碼,并與所述本地數(shù)據(jù)庫內(nèi)保存的合法登錄密碼進(jìn)行比對,以成功登錄操作系統(tǒng); 所述信息處理模塊,還用于生成新的合法登錄密碼,并發(fā)送至所述本地數(shù)據(jù)庫;所述本地數(shù)據(jù)庫,接收所述信息處理模塊生成的新的合法登錄密碼,并發(fā)送至所述信息存儲模塊,更新所述信息存儲模塊內(nèi)保存的合法登錄密碼。進(jìn)一步地,所述信息存儲模塊為所述可信計算芯片內(nèi)的非易失性存儲器。進(jìn)一步地,所述用戶登錄信息包括登錄賬號和可信計算芯片用戶密碼。作為本專利技術(shù)技術(shù)方案的另一方面,提供一種操作系統(tǒng)安全登錄方法,具體步驟如下, 設(shè)置合法登錄信息和合法登錄密碼,并保存至可信計算芯片和計算機的本地數(shù)據(jù)庫; 獲取外部輸入的用戶登錄信息; 依據(jù)所述用戶登錄信息自所述可信計算芯片內(nèi)獲取合法登錄密碼,并與所述本地數(shù)據(jù)庫內(nèi)的合法登錄密碼進(jìn)行比對,若二者相同,則成功登錄操作系統(tǒng);· 所述可信計算芯片生成一組新的合法登錄密碼,并更新所述可信計算芯片和所述本地數(shù)據(jù)庫內(nèi)保存的合法登錄密碼。進(jìn)一步地,所述可信計算芯片按照以下步驟設(shè)置合法登錄信息和合法登錄密碼, 接收用戶輸入的登錄信息和登錄密碼; 判斷該登錄信息和登錄密碼是否可用; 生成一對加密密鑰和一個新的登錄密碼; 利用所述加密密鑰對所述登錄信息和新的登錄密碼進(jìn)行加密運算,并保存至所述可信計算芯片和所述本地數(shù)據(jù)庫內(nèi)作為合法登錄信息和合法登錄密碼。進(jìn)一步地,所述登錄信息包括登錄賬號和可信計算芯片用戶密碼。進(jìn)一步地,所述可信計算芯片按照以下步驟修改可信計算芯片用戶密碼, 接收用戶輸入的登錄賬號和可信計算芯片用戶密碼; 獲取所述可信計算芯片生成的加密密鑰,并對所述可信計算芯片用戶密碼進(jìn)行加密計算; 比對所述可信計算芯片內(nèi)保存的合法可信計算芯片用戶密碼,若二者相同,則所述可信計算芯片接收修改后的可信計算芯片用戶密碼; 生成一個新的登錄密碼; 對所述登錄賬號、所述修改后的可信計算芯片用戶密碼、所述新的登錄密碼進(jìn)行加密運算,并保存至所述可信計算芯片和所述本地數(shù)據(jù)庫內(nèi)作為合法登錄信息和合法登錄密碼。進(jìn)一步地,所述合法登錄信息和合法登錄密碼保存在所述可信計算芯片內(nèi)的非易失性存儲器內(nèi)。進(jìn)一步地,所述新的登錄密碼由所述可信計算芯片內(nèi)的隨機數(shù)發(fā)生器產(chǎn)生。本專利技術(shù)的有益效果是 本專利技術(shù)利用可信計算芯片在密鑰安全、抗重放攻擊方面的優(yōu)勢,將其應(yīng)用到操作系統(tǒng)登錄驗證過程中,實現(xiàn)操作系統(tǒng)的安全登錄。同時,為了防止攻擊者竊取登錄信息及登錄密碼惡意登錄操作系統(tǒng),本專利技術(shù)技術(shù)方案中還在每次登錄操作系統(tǒng)后,自動更新登錄密碼,進(jìn)一步提高操作系統(tǒng)登錄的安全性。附圖說明圖I為本專利技術(shù)操作系統(tǒng)的安全登錄系統(tǒng)的構(gòu)成示意圖;圖2為本專利技術(shù)操作系統(tǒng)安全登錄方法的流程示意 圖3為本專利技術(shù)中的用戶注冊流程示意 圖4為本專利技術(shù)中的用戶登錄驗證流程示意 圖5為本專利技術(shù)中的修改可信計算芯片用戶密碼流程示意圖。 具體實施例方式以下結(jié)合附圖對本專利技術(shù)的原理和特征進(jìn)行描述,所舉實例只用于解釋本專利技術(shù),并非用于限定本專利技術(shù)的范圍。作為本專利技術(shù)技術(shù)方案的一方面,提供一種操作系統(tǒng)的安全登錄系統(tǒng),如圖I所示,該系統(tǒng)包括信息采集模塊、信息處理模塊、本地數(shù)據(jù)庫、信息存儲模塊。信息處理模塊分別與信息采集模塊、本地數(shù)據(jù)庫、信息存儲模塊相連,本地數(shù)據(jù)庫還與信息存儲模塊相連。信息處理模塊和信息存儲模塊集成于可信計算芯片內(nèi)。其中,信息存儲模塊和本地數(shù)據(jù)庫,均用于保存合法登錄信息和合法登錄密碼。信息采集模塊,用于獲取外部輸入的用戶登錄信息,并發(fā)送至信息處理模塊。信息處理模塊,根據(jù)信息采集模塊發(fā)送的用戶登錄信息,自信息存儲模塊內(nèi)讀取合法登錄密碼;并與本地數(shù)據(jù)庫內(nèi)保存的合法登錄密碼進(jìn)行比對,若二者相同,則成功登錄操作系統(tǒng);信息處理模塊,還用于生成新的合法登錄密碼,并發(fā)送至本地數(shù)據(jù)庫。本地數(shù)據(jù)庫,接收信息處理模塊生成的新的合法登錄密碼,并發(fā)送至信息存儲模塊,更新信息存儲模塊內(nèi)保存的合法登錄密碼。作為本專利技術(shù)技術(shù)方案的另一方面,提供一種操作系統(tǒng)安全登錄方法,如圖2所示,具體步驟如下。第一步,設(shè)置合法登錄信息和合法登錄密碼,并保存至可信計算芯片和計算機的本地數(shù)據(jù)庫。第二步,獲取外部輸入的用戶登錄信息。第三步,依據(jù)用戶登錄信息自可信計算芯片內(nèi)獲取合法登錄密碼,并與本地數(shù)據(jù)庫內(nèi)的合法登錄密碼進(jìn)行比對,若二者相同,則成功登錄操作系統(tǒng)。第四步,可信計算芯片生成一組新的合法登錄密碼,并更新可信計算芯片和本地數(shù)據(jù)庫內(nèi)保存的合法登錄密碼。在上述操作系統(tǒng)安全登錄方法中,在可信計算芯片和本地數(shù)據(jù)庫內(nèi)保存相同的合法登錄信息和合法登錄密碼,因為可信計算芯片的安全性很高,若本地數(shù)據(jù)庫內(nèi)的登錄信息和登錄密碼被篡改,也就是本地數(shù)據(jù)庫與可信計算芯片內(nèi)的信息不相符,則不能成功登錄操作系統(tǒng),以此來保證登錄操作系統(tǒng)的安全性。此外,為了防止登錄信息和登錄密碼被竊取,在成功登錄操作系統(tǒng)之后,本專利技術(shù)技術(shù)方案還會生成一組隨機碼作為新的合法登錄密碼。這樣,即時攻擊本文檔來自技高網(wǎng)...
【技術(shù)保護點】
一種操作系統(tǒng)的安全登錄系統(tǒng),其特征在于,所述的安全登錄系統(tǒng)包括信息采集模塊、信息處理模塊、本地數(shù)據(jù)庫、信息存儲模塊;所述信息處理模塊分別與所述信息采集模塊、所述本地數(shù)據(jù)庫、所述信息存儲模塊相連,其中,所述本地數(shù)據(jù)庫與所述信息存儲模塊相連;所述信息處理模塊和所述信息存儲模塊集成于可信計算芯片內(nèi);所述信息存儲模塊和所述本地數(shù)據(jù)庫,均用于保存合法登錄信息和合法登錄密碼;所述信息采集模塊,用于獲取外部輸入的用戶登錄信息,并將所述的用戶登錄信息發(fā)送至所述信息處理模塊;所述信息處理模塊,根據(jù)所述信息采集模塊發(fā)送的用戶登錄信息,自所述信息存儲模塊內(nèi)讀取合法登錄密碼,并與所述本地數(shù)據(jù)庫內(nèi)保存的合法登錄密碼進(jìn)行比對,以成功登錄操作系統(tǒng);所述信息處理模塊,還用于生成新的合法登錄密碼,并發(fā)送至所述本地數(shù)據(jù)庫;所述本地數(shù)據(jù)庫,接收所述信息處理模塊生成的新的合法登錄密碼,并發(fā)送至所述信息存儲模塊,更新所述信息存儲模塊內(nèi)保存的合法登錄密碼。
【技術(shù)特征摘要】
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:艾俊,付月朋,王正鵬,
申請(專利權(quán))人:國民技術(shù)股份有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。