基于Windows7下的安全登录设置方法及其安全登录方法
【技术领域】
[0001]本发明涉及一种基于Wind0WS7下的安全登录设置方法及其安全登录方法。
【背景技术】
[0002]随着计算机的普及和网络技术的迅猛发展,为日常办公和移动办公提供了更多便利。然而,信息技术的便捷与安全总是一对孪生的矛盾,使用者常常会陷入取舍的困惑中。无论是内部非法用户的危害还是互联网信息窃取的危害都可能造成难以估量的国家秘密和商业秘密的损失。
[0003]在Windows 7中,会话O不再用于交互式登录,这有利于提高安全性。
[0004]Windows7以后Winlogon进程是动态的,有用户登录就会创建一个Winlogon进程,因此系统中完全可能存在多个登录进程,注销后Winlogon进程也会随之结束,Windows 7启动流程如下:
开机自启动服务进程Lsass.exeLsm.exesmss.exeCsrss.exeWinlogon.exeLogonU1.exe
LogonU1.exe负责用户认证界面,Windows7以后完成用户认证过程,大致过程为1、Winlogon启动LogonUI等待用户输入凭证2、Winlogon通过ALPC通知Lsass用户登录3、Lsass依次查询认证模块【本地认证MSV1_0.dll】4、Lsass返回认证结果。
【发明内容】
[0005]本发明要解决的技术问题是提供一种基于Windows7下提高Windows7登录安全的安全登录设置方法及其安全登录方法。
[0006]本发明采用的技术方案如下:一种基于Wind0ws7下安全登录设置方法,具体方法步骤为:
步骤一、安装安全登录软件模块后修改注册表进行设置开机登录认证方式,该注册表设置路径为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ffindows\CurrentVers1n\Authenticat1n\Credential
Providers'{FF032558-38DA-4472-B969-31A636B75C7}中的数值为O=’,WstCredentialProvider” ;
步骤二、安全登录模式设置完成后,修改注册表删除微软的默认登录认证方式,该注册表设置路径为: HKEY_LOCAL-MACHINE\SOFTWARE\Microsoft\ffindows\CurrentVers1n\Authenticat1n\Credential Providers\{6f45dcle-5384-457a-bcl3-2cd81b0d28ed}中的数值为 0=” PasswordProvider”
HKEY_LOCAL-MACHINE\SOFTWARE\Microsoft\ffindows\CurrentVers1n\Authenticat1n\Credential Providers\{6f45dcle-5384-457a-bcl3-2cd81b0d28ed} \LogonPasswordReset 中的数值为 0=” {8841d728-la76-4682_bb6f-a9ea53b4b3ba} ”。
[0007]一种基于上述Wind0ws7下安全登录设置方法的安全登录方法,具体方法为:验证在插入Key的情况下,Key的pin码同安全登录时输入的pin码是否匹配。
[0008]作为优选,所述方法还包括,验证Key的签名证书所包含的信息同终端的信息是否匹配。
[0009]作为优选,所述方法还包括,登录认证时对插入USBKEY中证书的责任人进行匹配认证,同时对USBKEY进行硬件的序号HASH效验。
[0010]作为优选,所述方法还包括,登录认证时对插入USBKEY中证书的责任人进行判断,如果是本单位本部门的管理员,就允许登录,不是则不允许登录。
[0011]作为优选,所述方法还包括,登录认证时对插入USBKEY中证书与本地system32目录或syswow64目录中的rootca.pem或者WstSecLogonRoot.pem根证书链进行双向验证,如为同一根证书颁发则可允许登录。
[0012]与现有技术相比,本发明的有益效果是:提高了 Wind0ws7系统的登录安全;将私钥安全存储在专用密码模块中,只允许PIN认证通过后才可访问,确保了私钥的安全性?’专用密码模块的认证通过PIN码进行识别,防止了枚举攻击用户口令。
【附图说明】
[0013]图1为本发明其中一实施例的安全登录流程示意图。
【具体实施方式】
[0014]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0015]本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
[0016]—种基于Windows7下安全登录设置方法,具体方法步骤为:
步骤一、安装安全登录软件模块后修改注册表进行设置开机登录认证方式,该注册表设置路径为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ffindows\CurrentVers1n\Authenticat1n\Credential
Providers\ {FF032558-38DA-4472-B969-31A636B75C7}中的数值为@=’’WstCredentialProvider” ;
步骤二、安全登录模式设置完成后,修改注册表删除微软的默认登录认证方式,该注册表设置路径为:
HKEY_LOCAL-MACHINE\SOFTWARE\Microsoft\ffindows\CurrentVers1n\Authenticat1n\Credential Providers\{6f45dcle-5384-457a-bcl3-2cd81b0d28ed}中的数值为 0=” PasswordProvider”
HKEY_LOCAL-MACHINE\SOFTWARE\Microsoft\ffindows\CurrentVers1n\Authenticat1n\Credential Providers\{6f45dcle-5384-457a-bcl3-2cd81b0d28ed} \LogonPasswordReset 中的数值为 0=” {8841d728-la76-4682_bb6f-a9ea53b4b3ba} ”。
[0017]两个路径设置完成后,系统登录则会自动采用新设置的开机登录方式替代系统原默认的登录方式进行登录。负责用户认证界面的LogonU1.exe将调用管理员提供的混合凭证提供接口来替代系统自带的认证接口,根据需要实现接口的功能,同时它将调用提供的安全登录界面。提高了 Wind0ws7系统的登录安全。
[0018]若需卸载安全软件模块,则通过反向操作以上注册表,则能够恢复微软默认开机登录认证方式。
[0019]如图1所示,一种基于上述Windows7下安全登录设置方法的安全登录方法,具体方法为:采用Key 口令认证方式,验证在插入Key的情况下,Key的pin码同安全登录时输入的pin码是否匹配。
[0020]所述方法还包括,采用Key身份认证方式,验证Key的签名证书所包含的信息(单位、部门和责任人信息)同终端的信息(单位、部门和责任人信息)是否匹配。
[0021]所述方法还包括,漫游用户认证方式,登录认证时对插入USBKEY中证书的责任人进行匹配认证,同时对USBKEY进行硬件的序号HASH效验,因此通常普通终端只能使用同一个USBKEY的同一个用户进行登录。
[0022]所述方法还包括,管理员认证方式,登录认证时对插入USBKEY中证书的责任人进行判断,如果是本单位本部门的管理员,就允许登录,不是则不允许登录。
[0023]所述方法还包括,根证书认证方式,登录认证时对插入USBKEY中证书与本地system32 目录或 syswow64 目录中的 rootca.pem(xp、2003)或者 WstSecLogonRoot.pem(win7及以上系统)根证书链进行双向验证,如为同一根证书颁发则可允许登录,因此如中间机可使用同一 CA颁发的证书进行登录。
[0024]安全性方面,系统灵活运用PKI技术,可以避免用户名+口令认证的脆弱性。将私钥安全存储在专用密码模块中,只允许PIN认证通过后才可访问,确保了私钥的安全性。专用密码模块的认证通过PIN码进行识别,防止了枚举攻击用户口令。
[0025]功能全、控制细,系统实现了登录身份认证、安全加固等一系列安全技术。可用于构筑一个综合的、高强度的安全系统。
[0026]兼容性方面,多种文件分区格式:FAT、FAT32、NTFS、IS09600等。兼容流行的防病毒软件及个人防火墙。如江民、瑞星、趋势、卡巴斯基、天网、诺顿等。
【主权项】
1.一种基于Wind0WS7下安全登录设置方法,具体方法步骤为: 步骤一、安装安全登录软件模块后修改注册表进行设置开机登录认证方式,该注册表设置路径为: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ffindows\CurrentVers1n\Authenticat1n\Credential Providers'{FF032558-38DA-4472-B969-31A636B75C7}中的数值为O=’,WstCredentialProvider” ; 步骤二、安全登录模式设置完成后,修改注册表删除微软的默认登录认证方式,该注册表设置路径为: HKEY_LOCAL-MACHINE\SOFTWARE\Microsoft\ffindows\CurrentVers1n\Authenticat1n\Credential Providers\{6f45dcle-5384-457a-bcl3-2cd81b0d28ed}中的数值为 0=” PasswordProvider” HKEY_LOCAL-MACHINE\SOFTWARE\Microsoft\ffindows\CurrentVers1n\Authenticat1n\Credential Providers\{6f45dcle-5384-457a-bcl3-2cd81b0d28ed} \LogonPasswordReset 中的数值为 0=” {8841d728-la76-4682_bb6f-a9ea53b4b3ba} ”。
2.一种基于权利要求1所述的Windows下安全登录设置方法的安全登录方法,具体方法为:验证在插入Key的情况下,Key的pin码同安全登录时输入的pin码是否匹配。
3.根据权利要求2所述的安全登录方法,所述方法还包括,验证Key的签名证书所包含的信息同终端的信息是否匹配。
4.根据权利要求2所述的安全登录方法,所述方法还包括,登录认证时对插入USBKEY中证书的责任人进行匹配认证,同时对USBKEY进行硬件的序号HASH效验。
5.根据权利要求2所述的安全登录方法,所述方法还包括,登录认证时对插入USBKEY中证书的责任人进行判断,如果是本单位本部门的管理员,就允许登录,不是则不允许登录。
6.根据权利要求2所述的安全登录方法,所述方法还包括,登录认证时对插入USBKEY中证书与本地system32目录或syswow64目录中的rootca.pem或者WstSecLogonRoot.pem根证书链进行双向验证,如为同一根证书颁发则可允许登录。
【专利摘要】本发明提供了一种基于Windows7下的安全登录设置方法及其安全登录方法。安装安全登录软件模块后修改注册表进行设置开机登录认证方式,安全登录模式设置完成后,修改注册表删除微软的默认登录认证方式。验证在插入Key的情况下,Key的pin码同安全登录时输入的pin码是否匹配。提高了Windows7系统的登录安全;将私钥安全存储在专用密码模块中,只允许PIN认证通过后才可访问,确保了私钥的安全性;专用密码模块的认证通过PIN码进行识别,防止了枚举攻击用户口令。
【IPC分类】H04L29-06, H04L9-32
【公开号】CN104539635
【申请号】CN201510030858
【发明人】杨波, 刘新宇, 彭磊
【申请人】成都卫士通信息安全技术有限公司
【公开日】2015年4月22日
【申请日】2015年1月22日