CN106127016B - 一种操作系统用户登录可信认证的系统及实现方法 - Google Patents
一种操作系统用户登录可信认证的系统及实现方法 Download PDFInfo
- Publication number
- CN106127016B CN106127016B CN201610563676.0A CN201610563676A CN106127016B CN 106127016 B CN106127016 B CN 106127016B CN 201610563676 A CN201610563676 A CN 201610563676A CN 106127016 B CN106127016 B CN 106127016B
- Authority
- CN
- China
- Prior art keywords
- user
- operating system
- usbkey
- reliable hardware
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000012795 verification Methods 0.000 claims description 10
- 230000006870 function Effects 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 2
- 238000011217 control strategy Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005336 cracking Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种操作系统用户登录可信认证的系统及实现方法,属于计算机安全领域,本发明要解决的技术问题为在操作系统下,传统主流的操作系统采用简单的口令来确认用户的身份存在众多不安全的因素,采用的技术方案为:其结构包括USBkey和可信硬件,USBkey通过USB接口连接可信硬件,USBkey用于通过USB接口连接服务器,完成操作系统和用户的双向认证;可信硬件用于存储用户身份信息和相关密钥的私密信息。本发明还包括操作系统和双向认证的实现方法。
Description
技术领域
本发明涉及计算机安全领域,具体地说是一种操作系统用户登录可信认证的系统及实现方法。
背景技术
(1)用户登录身份认证
对于操作系统中的访问控制模型来说,用户登录身份认证仍然是最为重要的第一道关卡。用户在使用操作系统之前,首先要经过身份认证系统识别身份,监视器才能根据用户的身份和授权数据库决定用户是否能够访问某个资源。其中,用户登录身份认证在操作系统中的地位极其重要,一旦身份被攻破,那么操作系统的所有安全措施将形同虚设。目前,用户登录方式主要有,一是本地登录;另一种是远程登录。而不论是哪一种,用户登录身份认证的主要目的是对抗假冒攻击和确保合法身份。
(2)主流操作系统用户登录认证方式的缺陷
主流操作系统主要就是Uinx/Linux和Windows操作系统,两者采用的用户登录认证方式并不相同。其中Uinx/Linux的用户登录身份认证采用账号/口令的方案,用户提供正确的账号和口令后,系统才能确定他的合法身份。而Windows的本地登录主要采用交互式身份认证过程。而不管是哪个系统的哪种登录方式,都存在确认用户身份的口令简单,单向鉴别的不安全因素。同时用户的一些信息和密码,尽管都经过了某种加密算法加密,但仍然存放在本地的文件中。而用户名和口令均存储在本地口令文件中,黑客便可以通过多种方式进入系统并获取口令文件,通过破解,就可以获得用户的口令,即很容易使黑客获取并破译用户口令。
专利号为CN 102063593 B的专利文献公开了主动控制功能的可信设备及其认证方法,在主动控制功能的可信设备的可信平台上连接有主动控制功能的可信平台控制模块和硬件设备,可信平台控制模块通过主动控制功能将硬件设备隔离成可信硬件设备和非可信硬件设备。在可信平台控制模块内部设置主动度量引擎、控制裁决引擎、工作模式定制引擎、可信控制策略配置引擎等硬件单元,实现对硬件设备工作状态配置信息、控制策略配置信息、固件代码和电路工作状态的主动检查。可信平台控制模块结合可信管道技术,实现对可信平台与可信硬件之间的相互绑定。可信平台控制模块与可信硬件的绑定过程对操作系统和应用程序都是完全透明的。操作系统无法旁路或干预可信平台绑定可信硬件的过程。但是该技术方案不能解决在操作系统下,传统的主流的操作系统采用的简单的口令来确认用户的身份等存在众多不安全的因素的问题。
发明内容
本发明的技术任务是针对以上不足,提供一种操作系统用户登录可信认证的系统及实现方法,来解决在操作系统下,传统主流的操作系统采用简单的口令来确认用户的身份存在众多不安全的因素的问题。
本发明的技术任务是按以下方式实现的,一种操作系统用户登录的可信认证系统,包括USBkey和可信硬件,USBkey通过USB接口连接可信硬件,USBkey用于通过USB接口连接服务器,完成操作系统和用户的双向认证;可信硬件用于存储用户身份信息和相关密钥的私密信息。
作为优选,所述可信硬件包括可信模块,可信模块包括对称密码算法引擎、非对称密码算法引擎、随机数发生器、度量算法引擎、执行部件、非易失性存储单元、易失性存储单元和可信接口单元。
一种操作系统用户登录可信认证的实现方法,该实现方法是将用户的身份信息和相关密钥信息存储到可信硬件中,可信硬件通过USB接口连接USBkey,USBkey通过USB接口插接到服务器上,利用动态口令技术实现用户与操作系统的双向认证。
作为优选,所述用户与操作系统的双向认证的过程包括如下步骤:
(1)、用户登录服务器操作系统时,将USBkey通过USB接口插接到服务器上;
(2)、用户输入PIN码,启动可信硬件与USBkey之间的双向认证过程;
(3)、操作系统获得用户输入的PIN码,通过用户信息表得到用户名Ui;USBkey通过USB接口向可信硬件发送用户名Ui和验证请求Rq;
(4)、可信硬件根据用户名Ui, 从用户信息表中取出随机数ri,并计算:Ti =H(DTH)+ri,Oi=E(K),同时,可信硬件将Ti 和Qi通过USB接口发送给USBkey;
其中,ri 表示随机数,H表示Hash算法,DTH表示可信硬件自身固件的关键函数的代码,H(DTH)表示对DTH进行Hash运算,得到Hash值并将Hash值保存在可信硬件和USBkey中,K表示“加密密钥”,E(K)表示用可信硬件的私钥“加密密钥”;
(5)、被验证用户利用事先存储在USBkey中的可信硬件的公钥还原出加密密钥K,并解密得到存储在USBkey中的随机数ri;再用事先存储在USBkey中的H(DTH)还原出随机数ri ’,比较随机数ri和随机数ri ’的值是否相等,进而判断用户是否成功验证操作系统的身份:
①、若随机数ri和随机数ri ’的值相等,则用户成功验证操作系统的身份;
②、若随机数ri和随机数ri ’的值不相等,则用户验证操作系统的身份失败;
(6)、USBkey产生另一个随机数R,并计算V=H(ri// Pi),V’=H(R//Pi)和K=H(ri)R,USBkey通过USB接口向可信硬件发送V+R,V’+K ;
其中,H表示Hash算法,Pi表示PIN码;
(7)、可信硬件根据用户名Ui从用户信息表中取出V还原R,计算K=H(ri)+R并以此获取V’,检验V’=H(R//Pi)是否成立:
①、若成立,则操作系统验证用户身份成功,执行步骤(8);
②、若不成立,则操作系统验证用户身份失败;
其中,V表示校验因子;
(8)、可信硬件更新用户信息表。
本发明的操作系统用户登录可信认证的系统及实现方法具有以下优点:本发明是基于可信硬件的用户登录可信认证,该方法将用户的身份信息、相关密钥信息存储在可信的硬件中,并利用动态的口令技术来确保用户身份的真实可信,从而克服了操作系统传统的用户登录认证方式的缺陷,支持双向认证,更好的保障了用户的身份信息,更加安全的实现了双向认证,为进一步建立可信计算机环境提供了基础。
故本发明具有设计合理、使用方便、一物多用等特点,因而,具有很好的推广使用价值。
附图说明
下面结合附图对本发明进一步说明。
附图1为操作系统用户登录可信认证的系统的结构框图;
附图2为用户信息表;
附图3为操作系统用户登录可信认证的实现方法的流程示意图。
具体实施方式
参照说明书附图和具体实施例对本发明的一种操作系统用户登录可信认证的系统及实现方法作以下详细地说明。
实施例1:
如附图1所示,本发明的操作系统用户登录可信认证的系统, 其结构包括USBkey和可信硬件,USBkey通过USB接口连接可信硬件,USBkey用于通过USB接口连接服务器,完成操作系统和用户的双向认证;可信硬件用于存储用户身份信息和相关密钥的私密信息。可信硬件包括可信模块,可信模块包括对称密码算法引擎、非对称密码算法引擎、随机数发生器、度量算法引擎、执行部件、非易失性存储单元、易失性存储单元和可信接口单元。
实施例2:
如附图2和3所示,本发明的操作系统用户登录可信认证的实现方法,该实现方法是将用户的身份信息和相关密钥信息存储到可信硬件中,可信硬件通过USB接口连接USBkey,USBkey通过USB接口插接到服务器上,利用动态口令技术实现用户与操作系统的双向认证。
用户与操作系统的双向认证的过程包括如下步骤:
(1)、用户登录服务器操作系统时,将USBkey通过USB接口插接到服务器上;
(2)、用户输入PIN码,启动可信硬件与USBkey之间的双向认证过程;
(3)、操作系统获得用户输入的PIN码,通过用户信息表得到用户名Ui;USBkey通过USB接口向可信硬件发送用户名Ui和验证请求Rq;
(4)、可信硬件根据用户名Ui, 从用户信息表中取出随机数ri,并计算:Ti =H(DTH)+ri,Oi=E(K),同时,可信硬件将Ti 和Qi通过USB接口发送给USBkey;
其中,ri 表示随机数,H表示Hash算法,DTH表示可信硬件自身固件的关键函数的代码,H(DTH)表示对DTH进行Hash运算,得到Hash值并将Hash值保存在可信硬件和USBkey中,K表示“加密密钥”,E(K)表示用可信硬件的私钥“加密密钥”;
(5)、被验证用户利用事先存储在USBkey中的可信硬件的公钥还原出加密密钥K,并解密得到存储在USBkey中的随机数ri;再用事先存储在USBkey中的H(DTH)还原出随机数ri ’,比较随机数ri和随机数ri ’的值是否相等,进而判断用户是否成功验证操作系统的身份:
①、若随机数ri和随机数ri ’的值相等,则用户成功验证操作系统的身份;
②、若随机数ri和随机数ri ’的值不相等,则用户验证操作系统的身份失败;
(6)、USBkey产生另一个随机数R,并计算V=H(ri// Pi),V’=H(R//Pi)和K=H(ri)R,USBkey通过USB接口向可信硬件发送V+R,V’+K ;
其中,H表示Hash算法,Pi表示PIN码;
(7)、可信硬件根据用户名Ui从用户信息表中取出V还原R,计算K=H(ri)+R并以此获取V’,检验V’=H(R//Pi)是否成立:
①、若成立,则操作系统验证用户身份成功,执行步骤(8);
②、若不成立,则操作系统验证用户身份失败;
其中,V表示校验因子;
(8)、可信硬件更新用户信息表。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的两种具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。
Claims (3)
1.一种操作系统用户登录可信认证的实现方法,其特征在于:该实现方法是将用户的身份信息和相关密钥信息存储到可信硬件中,可信硬件通过USB接口连接USBkey,USBkey通过USB接口插接到服务器上,利用动态口令技术实现用户与操作系统的双向认证;
用户与操作系统的双向认证的过程包括如下步骤:
(1)、用户登录服务器操作系统时,将USBkey通过USB接口插接到服务器上;
(2)、用户输入PIN码,启动可信硬件与USBkey之间的双向认证过程;
(3)、操作系统获得用户输入的PIN码,通过用户信息表得到用户名Ui;USBkey通过USB接口向可信硬件发送用户名Ui和验证请求Rq;
(4)、可信硬件根据用户名Ui,从用户信息表中取出随机数ri,并计算:Ti=H(DTH)+ri,Oi=E(K),同时,可信硬件将Ti和Qi通过USB接口发送给USBkey;
其中,ri表示随机数,H表示Hash算法,DTH表示可信硬件自身固件的关键函数的代码,H(DTH)表示对DTH进行Hash运算,得到Hash值并将Hash值保存在可信硬件和USBkey中,K表示“加密密钥”,E(K)表示用可信硬件的私钥“加密密钥”;
(5)、被验证用户利用事先存储在USBkey中的可信硬件的公钥还原出加密密钥K,并解密得到存储在USBkey中的随机数ri;再用事先存储在USBkey中的H(DTH)还原出随机数ri’,比较随机数ri和随机数ri’的值是否相等,进而判断用户是否成功验证操作系统的身份:
①、若随机数ri和随机数ri’的值相等,则用户成功验证操作系统的身份;
②、若随机数ri和随机数ri’的值不相等,则用户验证操作系统的身份失败;
(6)、USBkey产生另一个随机数R,并计算V=H(ri//Pi),V’=H(R//Pi)和K=H(ri)R,USBkey通过USB接口向可信硬件发送V+R,V’+K;
其中,H表示Hash算法,Pi表示PIN码;
(7)、可信硬件根据用户名Ui从用户信息表中取出V还原R,计算K=H(ri)+R并以此获取V’,检验V’=H(R//Pi)是否成立:
①、若成立,则操作系统验证用户身份成功,执行步骤(8);
②、若不成立,则操作系统验证用户身份失败;
其中,V表示校验因子;
(8)、可信硬件更新用户信息表。
2.一种操作系统用户登录可信认证的系统,其特征在于:用于实现如权利要求1所述的一种操作系统用户登录可信认证的实现方法,包括USBkey和可信硬件,USBkey通过USB接口连接可信硬件,USBkey用于通过USB接口连接服务器,完成操作系统和用户的双向认证;可信硬件用于存储用户身份信息和相关密钥的私密信息。
3.根据权利要求2所述的操作系统用户登录可信认证的系统,其特征在于:所述可信硬件包括可信模块,可信模块包括对称密码算法引擎、非对称密码算法引擎、随机数发生器、度量算法引擎、执行部件、非易失性存储单元、易失性存储单元和可信接口单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610563676.0A CN106127016B (zh) | 2016-07-18 | 2016-07-18 | 一种操作系统用户登录可信认证的系统及实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610563676.0A CN106127016B (zh) | 2016-07-18 | 2016-07-18 | 一种操作系统用户登录可信认证的系统及实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106127016A CN106127016A (zh) | 2016-11-16 |
| CN106127016B true CN106127016B (zh) | 2018-08-17 |
Family
ID=57283563
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610563676.0A Active CN106127016B (zh) | 2016-07-18 | 2016-07-18 | 一种操作系统用户登录可信认证的系统及实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106127016B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106973054B (zh) * | 2017-03-29 | 2021-03-30 | 山东超越数控电子有限公司 | 一种基于可信平台的操作系统登录认证方法和系统 |
| CN107566407B (zh) * | 2017-10-20 | 2020-07-28 | 哈尔滨工程大学 | 一种基于USBkey的双向认证数据安全传输与存储方法 |
| CN108200078B (zh) * | 2018-01-18 | 2021-01-05 | 中国建设银行股份有限公司 | 签名认证工具的下载安装方法及终端设备 |
| CN108509787B (zh) * | 2018-03-14 | 2022-06-10 | 深圳市中易通安全芯科技有限公司 | 一种程序认证方法 |
| CN109409046B (zh) * | 2018-09-26 | 2021-03-02 | 北京天地和兴科技有限公司 | 一种工业安全系统的安全登录认证方法 |
| CN110460609B (zh) * | 2019-08-16 | 2021-12-14 | 江苏恒宝智能系统技术有限公司 | 终端应用与安全认证平台的双向认证方法及系统 |
| CN112597504B (zh) * | 2020-12-22 | 2024-04-30 | 中国兵器装备集团自动化研究所有限公司 | 一种国产化计算机两级安全启动系统及方法 |
| CN112966242A (zh) * | 2021-03-29 | 2021-06-15 | 成都卫士通信息产业股份有限公司 | 一种用户名口令认证方法、装置、设备及可读存储介质 |
| CN114139131A (zh) * | 2021-12-03 | 2022-03-04 | 深圳竹云科技有限公司 | 操作系统登录方法、装置及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101980235A (zh) * | 2010-10-27 | 2011-02-23 | 中国航天科工集团第二研究院七○六所 | 一种安全计算平台 |
| CN101986325A (zh) * | 2010-11-01 | 2011-03-16 | 山东超越数控电子有限公司 | 一种计算机安全访问控制系统及控制方法 |
| CN102063593A (zh) * | 2011-01-07 | 2011-05-18 | 北京工业大学 | 主动控制功能的可信设备及其认证方法 |
| WO2012111018A1 (en) * | 2011-02-17 | 2012-08-23 | Thozhuvanoor Vellat Lakshmi | Secure tamper proof usb device and the computer implemented method of its operation |
| CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的系统和方法 |
| CN104618108A (zh) * | 2014-12-30 | 2015-05-13 | 北京奇虎科技有限公司 | 安全通信系统 |
-
2016
- 2016-07-18 CN CN201610563676.0A patent/CN106127016B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101980235A (zh) * | 2010-10-27 | 2011-02-23 | 中国航天科工集团第二研究院七○六所 | 一种安全计算平台 |
| CN101986325A (zh) * | 2010-11-01 | 2011-03-16 | 山东超越数控电子有限公司 | 一种计算机安全访问控制系统及控制方法 |
| CN102063593A (zh) * | 2011-01-07 | 2011-05-18 | 北京工业大学 | 主动控制功能的可信设备及其认证方法 |
| WO2012111018A1 (en) * | 2011-02-17 | 2012-08-23 | Thozhuvanoor Vellat Lakshmi | Secure tamper proof usb device and the computer implemented method of its operation |
| CN104618108A (zh) * | 2014-12-30 | 2015-05-13 | 北京奇虎科技有限公司 | 安全通信系统 |
| CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106127016A (zh) | 2016-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106127016B (zh) | 一种操作系统用户登录可信认证的系统及实现方法 | |
| CN104811455B (zh) | 一种云计算身份认证方法 | |
| CN106534175B (zh) | 基于OAuth协议的开放平台授权认证系统及方法 | |
| CN104519066B (zh) | 一种激活移动终端令牌的方法 | |
| CN108880822B (zh) | 一种身份认证方法、装置、系统及一种智能无线设备 | |
| CN101183932A (zh) | 一种无线应用服务的安全认证系统及其注册和登录方法 | |
| CN106789059B (zh) | 一种基于可信计算的远程双向访问控制系统及方法 | |
| CN108965275B (zh) | 一种体验游戏的方法及系统 | |
| CN101291223A (zh) | 由第三方提供身份认证服务的系统和方法 | |
| US20110078784A1 (en) | Vpn system and method of controlling operation of same | |
| CN108881309A (zh) | 大数据平台的访问方法、装置、电子设备及可读存储介质 | |
| WO2020020008A1 (zh) | 一种鉴权方法及鉴权系统 | |
| CN109922027A (zh) | 一种可信身份认证方法、终端及存储介质 | |
| CN106161348A (zh) | 一种单点登录的方法、系统以及终端 | |
| CN106209811A (zh) | 蓝牙设备安全登录身份验证方法及装置 | |
| CN103684793A (zh) | 一种基于可信计算增强配电网络通信安全的方法 | |
| CN105553667A (zh) | 一种动态口令的生成方法 | |
| CN106453321A (zh) | 一种认证服务器、系统和方法及待认证终端 | |
| CN105337967A (zh) | 实现用户登录目标服务器的方法、系统和中心服务器 | |
| CN102404112A (zh) | 一种可信终端接入认证方法 | |
| CN102571874A (zh) | 一种分布式系统中的在线审计方法及装置 | |
| CN107682321B (zh) | 一种sdn控制器集群单点登录的方法及装置 | |
| CN206878870U (zh) | 一种安全的单点登录访问系统 | |
| CN106302425A (zh) | 一种虚拟化系统节点间通信方法及其虚拟化系统 | |
| CN103384249A (zh) | 网络接入认证方法、装置及系统、认证服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230418 Address after: 250000 building S02, No. 1036, Langchao Road, high tech Zone, Jinan City, Shandong Province Patentee after: Shandong Inspur Scientific Research Institute Co.,Ltd. Address before: No. 1036, Shandong high tech Zone wave road, Ji'nan, Shandong Patentee before: INSPUR GROUP Co.,Ltd. |