专利名称:一种计算机系统登录认证的方法
技术领域:
本发明涉及计算机信息安全技术领域:
,特别是指一种计算机系统登录认证的方法。
背景技术:
登录认证是保证操作系统和用户数据安全的重要手段和方法,目前,计算机常用的登录认证系统包括登录认证模块,登录认证的过程基本采用软件的形式对用户的登录口令进行加密保存,登录时对密码进行解密,并提交给系统的登录认证模块。对于软件加密,可以轻易获取保存这些密码的文件,对其进行穷举攻击等方式非法解密获取用户的登录口令。由于目前操作系统安全方面的局限,使登录认证存在密码被破解的缺陷,使用户的个人使用的资料信息容易被盗。
而基于硬件对登录认证信息进行加密保护,则解决了软件所存在的易破解的问题。目前,通过硬件保护数据,可以采用IC卡或者UKEY等类似外设硬件的方法加密保护登录认证信息,但使用外设硬件的保护方法就像是另外配了一把钥匙,每次使用都需要“钥匙”来登录认证,在使用上不便。另一方面,由于外设硬件无法和主机系统绑定,还存在着丢失和被盗的安全隐患,丢失“钥匙”甚至会导致用户自己也无法使用其身份进行登录。
在本申请人同时提交的另一篇专利申请,即申请号为03157436.X,发明名称为“一种基于安全芯片的计算机终端安全系统”的中国专利申请中提出了安全芯片技术。也就是将加解密的复杂过程集成一个安全芯片上,通过随机数生成、散列运算、对称加密密码运算、HASH运算等算法实现密钥及公私钥对的生成,加密后的密钥信息存储在安全芯片内部,实现向外提供密钥生成、信息加密、唯一身份标识等服务。
发明内容
本发明的目的在于提供一种基于安全芯片的计算机系统登录认证方法,来提高登录认证的安全性。
实现本发明,需要以下步骤a、预先在计算机主板上安装一个安全芯片;b、使用安全芯片生成的密钥对登录认证信息加密;c、在登录操作系统时,根据所述密钥对登录认证信息解密,继续正常登录过程。
其中,该方法进一步包括操作系统登录处理模块收集用户登录认证信息并提供给身份验证模块;身份验证模块与安装在计算机主板上的安全芯片交互,通过安全芯片加密用户的登录认证信息;安全芯片为该用户生成一对加解密用的公私钥对和访问该私钥的口令,并用公钥加密用户登录认证信息。
安全芯片将用户名及访问私钥的口令进行验证;通过口令获得安全芯片提供的私钥,若用户名与口令不一致,则不提供私钥,退出登录过程;若该用户名与口令正确,则提供私钥;安全芯片使用私钥解密用户登录操作系统的认证信息。其中,设置用户输入访问私钥口令错误次数的上限值,若输入错误次数达到所述上限值,身份验证模块禁止该用户的登录过程。
由上述方法可以看出,本发明的登录认证方法,将具有密码学功能的安全芯片与主机系统绑定,构造了基于安全芯片的用户登录认证方法。本发明中加密的登录密钥保存在安全芯片内部,无法被导出,通过安全芯片所具有的具有抗穷举攻击、抗篡改、具有唯一性的特点,增强了登录认证过程的安全性。同时,由于安全芯片标识的唯一性,保证用户登录认证信息同主机系统绑定的唯一性。实现所保护的登录认证信息与计算机系统的绑定,提高其安全性。
图1为本发明登录认证过程的模块示意图。
图2为本发明登录认证流程图。
具体实施方式
本发明将登录认证过程建立在与计算机主板绑定的安全芯片的基础上,使用安全芯片加密用户登录认证过程中用户需提供的登录认证信息,如用户登录操作系统的密码、个人身份号码(PIN)等,来增强登录认证过程的安全性。
图1为本发明登录认证过程的模块示意图。本发明中,操作系统登录认证模块与安全芯片进行交互,完成登录认证过程。操作系统登录认证模块进一步包括操作系统登录处理模块和身份验证模块。其中,操作系统登录处理模块将用户登录信息提供给身份验证模块,是进行身份认证时操作系统与用户的接口。身份验证模块同主板上的安全芯片交互信息,接收安全芯片所提供的安全服务,完成完整的登录认证过程。
以下以登录认证过程为例并参照附图2,对本发明进一步详细说明。
步骤201预先在计算机上安装一个安全芯片,使安全芯片与计算机实现硬件上的绑定。
步骤202使用安全芯片生成的密钥对登录过程要认证的信息加密。
在新建合法用户时,操作系统登录处理模块将用户信息如用户名与所设置的登录操作系统的口令通过身份验证模块传递给安全芯片。安全芯片为当前用户新生成一对加解密用的公私钥对,然后生成并提供给此用户访问该私钥的口令。不同的用户生成不同的公私钥对,每个用户均以安全芯片所提供的不同口令对安全芯片内的属于该自己的公私钥对进行访问。同时,安全芯片利用生成的公钥加密用户登录操作系统的口令,将加密后的登录口令存放在安全芯片内部。
步骤203该用户登录操作系统时,用户输入正确的用户名后,输入访问私钥的口令;操作系统登录处理模块取得该用户名以及访问私钥的口令,由身份验证模块将该用户信息传递给芯片进行验证。
如果用户名或口令有误,则安全芯片不提供私钥,身份验证模块可以采用允许有限次数的输入方式,即在一次登录的过程中,若多次输入错误,达到所限制的次数,则在一段时间内禁止该用户的登录过程,避免密码的穷举攻击;如果该用户输入口令正确,则获得安全芯片提供的私钥,安全芯片解密用户登录操作系统的密码,正常完成后续的登录过程。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种计算机系统登录认证的方法,包括a、预先在计算机主板上安装一个安全芯片;b、使用安全芯片生成的密钥对登录认证信息加密;c、在登录操作系统时,根据所述密钥对登录认证信息解密,继续正常登录过程。
2.根据权利要求
1所述的计算机系统登录认证方法,其特征在于,在计算机操作系统上设置操作系统登录处理模块和身份验证模块,步骤b所述加密方法进一步包括b1、操作系统登录处理模块收集用户登录认证信息并提供给身份验证模块;b2、身份验证模块与安全芯片交互,通过安全芯片加密用户的登录认证信息。
3.根据权利要求
2所述的计算机系统登录认证方法,其特征在于,步骤b2安全芯片加密用户的登录认证信息方法进一步包括安全芯片为该用户生成一对加解密用的公私钥对和访问该私钥的口令,并用公钥加密用户登录认证信息。
4.根据权利要求
3所述的计算机系统登录认证方法,其特征在于,登录操作系统时,对登录认证信息解密的方法进一步包括c1、通过口令获得安全芯片提供的私钥;c2、安全芯片使用私钥解密用户登录操作系统的认证信息。
5.根据权利要求
4所述的计算机系统登录认证方法,其特征在于,所述取得私钥方法进一步包括安全芯片将用户名及访问私钥的口令进行验证若用户名与口令不一致,则不提供私钥,退出登录过程;若该用户名与口令正确,则提供私钥。
6.根据权利要求
5所述的计算机系统登录认证方法,其特征在于,设置用户输入访问私钥口令错误次数的上限值,若输入错误次数达到所述上限值,身份验证模块禁止该用户的登录过程。
专利摘要
本发明公开了一种计算机系统登录认证的方法,包括以下步骤a.预先在计算机上安装一个安全芯片;b.使用安全芯片生成的密钥对登录过程要认证的信息加密;c.在登录操作系统时,安全芯片根据所述密钥对登录认证信息解密,继续正常登录过程。应用本发明的方法,可增强登录认证的安全性。
文档编号G06F12/14GKCN1271525SQ03136321
公开日2006年8月23日 申请日期2003年5月28日
发明者李明柱, 武靖, 吴秋新, 王一平, 王晚丁, 刘冰 申请人:联想(北京)有限公司导出引文BiBTeX, EndNote, RefMan