CN1349197A - 基于ic卡的windows系列主机保护系统 - Google Patents
基于ic卡的windows系列主机保护系统 Download PDFInfo
- Publication number
- CN1349197A CN1349197A CN 01139032 CN01139032A CN1349197A CN 1349197 A CN1349197 A CN 1349197A CN 01139032 CN01139032 CN 01139032 CN 01139032 A CN01139032 A CN 01139032A CN 1349197 A CN1349197 A CN 1349197A
- Authority
- CN
- China
- Prior art keywords
- card
- user
- module
- windows
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
一种基于IC卡的WINDOWS系列主机保护系统,采用IC卡来存放用户的密码,并以IC卡对用户进行身份认证,读卡器同被保护主机相连,主机上有读卡器驱动模块和主控模块,主控模块包括IC卡状态监测模块和主机保护模块,IC卡监测模块替换了windows的底层模块,通过接口与读卡器驱动模块相连,监视并读取IC卡信息。本发明可以在实现多人共用一台计算机的前提下,对主机提供有效的保护,不仅能够防止非授权用户对计算机系统的访问,还能保护正在使用计算机的用户不受其他授权用户的干扰。
Description
技术领域:
本发明涉及一种基于IC卡的WINDOWS系列主机保护系统,用于网络与计算机的安全运行,属于计算机技术领域。
背景技术:
IC(Intelligence Card)卡,是将一可进行加密处理的集成电路芯片(存储器)封装在和信用卡尺寸一样大小的塑料片基中做成的智能卡,又叫集成电路卡。IC卡因其保密性强,具有存储功能,并具有抗干扰能力强、存储数据可靠、携带方便等特点,在现实生活中有广泛的应用。除了用于计费外,还可以存储用户的一些个人信息,甚至如加密的密钥,这样IC卡不仅可用作“电子钱包”,更可用作“电子钥匙”,在计算机安全领域,IC卡同样有广阔的应用前景。
由于个人电脑的普及以及Windows系列操作系统的流行,目前很多个人电脑的厂家,尤其是生产笔记本电脑的厂家都提供类似用IC卡进行用户身份鉴别的功能。如Acer在最新推出的全功能笔记本电脑Acer TravelMate 350系列产品中增加了“保全卡(Smart Card)”系统。“保全卡”是一个与信用卡一样大小的IC卡,卡中记录着特定的数据。打开笔记本电脑之前,将“保全卡”插入相应的处理模块插槽,然后开机,电脑在开机自检的过程中同时读取卡中相应的数据,并核对该数据的合法性。如果正常,即该卡为该笔记本电脑所有,电脑将正常开机;否则开机无效,拒绝非授权用户使用该电脑。但该技术只能为笔记本电脑的主人自己提供访问电脑的权限,若该电脑由多人共用,则也同时要将IC卡传来传去,并不方便,而且一旦开机后,则不能更进一步的利用IC卡来提供对电脑使用的限制。
也可以利用系统软件完成IC卡验证的功能,如Windows 2000操作系统引入了智能卡验证,取代输入口令以实现可靠的网络验证。一个智能卡能以三种方式验证到一个Windows 2000域。第一种方式是一种涉及活动目录服务、Kerberos V5协议和公钥证书的交互式登录。第二种方式是使用带有可扩展的身份验证协议(EAP)和传输层安全(TLS)的公钥证书的远程登录,验证一个存储在活动目录中的远程用户帐号。第三种方式是一种客户端验证,用户使用一个活动目录中存储的帐号所对应的公钥证书进行身份验证。在Windows 2000中,Microsoft通过将公钥证书技术和智能卡集成在一起,帮助客户增强了他们的安全等级。这里所说的智能卡实质上就是一种IC卡,IC卡对于个人计算机和Windows 2000来说是最适用的,因为它能够执行许多复杂的操作,例如数字签名和密钥交换。智能卡是Microsoft集成在Windows 2000操作系统中的公钥体系(PKI)中的一个关键组件。智能卡增强了诸如交互式登录、客户端验证和远程登录等软件解决方案。
从上面对现有利用IC卡进行计算机安全保护的介绍中不难看出,现有的技术要么是从硬件上进行处理,如果没有正确的IC卡,就不能打开计算机;要么从软件上加以限制,在IC卡上存储用户诸如网络登录密码等信息,并在用户插入正确的IC卡后给予用户适当的访问权限。第一种方式是针对一台电脑一个用户的使用方式设计的,只有在持有主人的IC卡时才能使用计算机,这不适用于多人共用一台电脑的办公场合;第二种方式虽然可以供多个用户使用(每一时刻只能有一个用户使用),但并没有提供有效的方法在不同用户间提供保护。
发明内容:
本发明针对现有技术的不足,提供一种基于IC卡的WINDOWS系列主机保护系统,在多人共用一台电脑的前提下,每个人只有插入属于自己的正确的IC卡并输入相匹配的PIN码才能使用系统,并且在使用完毕并退出系统前,其他用户不能使用,实现多人共用和个人独享这两个功能。
为实现这样的目的,本发明的技术方案中,系统配备了IC卡读卡器和若干IC卡,读卡器同被保护的装有windows系列操作系统的个人计算机相连,在被保护主机上有读卡器驱动模块和主控模块,主控模块主要包括IC卡状态监测模块和主机保护模块。IC卡监测模块替换了windows的底层模块,通过接口与读卡器驱动模块相连,监视并读取IC卡信息。
在用户进入系统之前要求用户插入IC卡,主机上的读卡器驱动模块从读卡器读取IC卡的数据,并报告当前IC卡状态,即是插入还是拔出。主控模块中的IC卡监测模块通过与读卡器驱动模块相连的接口不断检测IC卡的状态。在检测到IC卡被插入并读到其中数据后,提示用户输入PIN码,只有在PIN码输入正确后,监测模块通知主机保护模块解除对系统的封锁,用户才能进入系统,监测模块记录下当前的用户状态并时刻监测IC卡的状态。
一旦监测模块发现IC卡被拔走,立即由主机保护模块封锁键盘、鼠标等一切输入设备,保存当前系统状态,终止网络连接和资源共享,并进入屏幕保护状态。之后若监测模块检测到有IC卡被插入读卡器,则比较插入的IC卡信息是否是当前保存的IC卡信息,只有在确认新插入的IC卡就是本次登录使用的IC卡后,该模块才会对键盘和鼠标解锁,并提示用户输入PIN码,若PIN码正确则恢复到拔卡前的系统状态,用户可以继续使用该计算机,直到退出系统。此时其他用户可以使用自己的IC卡和PIN码登录系统并使用计算机。IC卡上存放的信息如下:
1、用户帐号:唯一标识用户的号码,由系统管理员统一分配。
2、用户口令:由系统管理员写入的随机数,用于产生用户的密钥,用户
无法修改。
3、用户口令到期时间:用户可以读取到期时间。在到期之前用户应该到
系统管理员处进行刷新。
4、用户PIN:由用户设置的用于保护智能卡的口令。防止智能卡遗失和
被窃后被人盗用。在读取智能卡中的用户口令之前,首先要验证用户
的PIN。如果连续三次验证失败,则用户的口令被封锁。只有系统管
理员才能解锁。
5、智能卡管理密钥:在卡片个人化时设置。在对智能卡中的口令解锁或
更改用户口令之前,智能卡要使用该密钥验证操作者的合法性。
6、其它信息:包括发行单位标志等。
本发明采用IC卡来存放用户的密码,并以IC卡对用户进行身份认证,用户的口令由管理员统一生成后存放在智能卡中,使用户不再必要记忆口令,口令的长度可以设置得较长,而且可以是完全的随机序列,不易破解。要更改口令时,用户只需到系统管理员处重新设置一下即可,使用起来非常方便。
另外,智能卡中用户的口令受PIN保护。每次在读取用户口令之前,首先必须检验PIN。如果连续三次检验失败,则口令被封锁,只有管理员才能解锁。用户只有同时得到PIN和智能卡,才能访问系统,防止卡片遗失和被窃取后被盗用,进一步加强了身份认证的安全性。
本发明的设计方案考虑到,虽然IC卡本身具有较强的安全性和保密性,但对系统的访问权限完全依赖于系统中监测IC卡读卡器的模块的正常运行,若作为普通的windows应用程序来运行,可能会被恶意的用户将其杀掉,而使整个系统彻底失效。为了避免监测模块成为系统安全的瓶颈,需要将其实现为windows的底层模块,并替换相应的windows模块,使恶意用户不能卸载该模块,保证其正常运行。
本发明可以在实现多人共用一台计算机的前提下,对windows系列主机提供有效的保护,不仅能够防止非授权用户对计算机系统的访问,还能保护正在使用计算机的用户不受其他授权用户的干扰。
本发明简便易行,用户只要配置一台IC卡读卡器,并与待保护的计算机相连,再安装监测IC卡的监测模块,给授权用户发放IC卡以及PIN码即可使用。这对于那些条件有限,不得不多人共用一台计算机,而又想保护计算机内的数据不被其他用户任意访问的单位而言无疑是一种很好的选择。
附图说明和具体实施方式:
图1为本发明的系统结构示意图。
如图所示,本发明的系统配备了IC卡读卡器和若干IC卡,读卡器同被保护的WINDOWS系列主机相连,在被保护主机上有读卡器驱动模块和主控模块,主控模块主要包括IC卡状态监测模块和主机保护模块。IC卡监测模块通过接口与读卡器驱动模块相连,读卡器驱动模块与IC卡和读卡器配套,读取IC卡数据。主控模块监测IC卡状态并决定采取相应动作进行主机保护。
IC卡插入IC卡读卡器,读卡器驱动模块读取IC卡的数据并报告当前IC卡状态。IC卡监测模块不断检测IC卡的状态,当发现IC卡被插入时,它负责调用相应的接口函数读取IC卡的数据,以判断插入的IC卡是否是登录时使用的IC卡,若不是则提示用户应使用正确的IC卡,若是则弹出窗口要求用户输入相应的PIN码,用户正确输入PIN码后通知主机保护模块解除对系统的封锁,恢复到封锁前的状态。当IC卡监测模块检测到IC卡被拔出时,它同样要通知主机保护模块,由主机保护模块保存当前的系统状态并封锁所有输入,进入待机状态。
本发明实施时需要为每个使用该计算机的用户制作一张IC卡,并在卡中存储每个用户的相关信息,并将这些用户数据存储在计算机中。除了为每个用户提供IC卡外,还要为每个用户提供IC卡的PIN码,用来防止未授权的用户使用其他授权用户的IC卡。使用过程中,当某个用户已经登录被保护的计算机,则除非该用户退出登录,否则其他用户即使持有自己的合法IC卡仍然不能使用系统。每个用户在一次登录过程中独享这一台计算机,实现了多人共用一台计算机的前提下,对windows系列主机提供有效的保护。
Claims (2)
1、一种基于IC卡的WINDOWS系列主机保护系统,其特征在于系统配备了IC卡读卡器和若干IC卡,读卡器同被保护主机相连,主机上有读卡器驱动模块和主控模块,主控模块包括IC卡状态监测模块和主机保护模块,IC卡监测模块替换了windows的底层模块,通过接口与读卡器驱动模块相连。
2、如权利要求1所说的基于IC卡的WINDOWS系列主机保护系统,其特征在于IC卡上存放有用户帐号、用户口令、用户口令到期时间、用户PIN、管理密钥及发行单位标志等信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 01139032 CN1349197A (zh) | 2001-12-04 | 2001-12-04 | 基于ic卡的windows系列主机保护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 01139032 CN1349197A (zh) | 2001-12-04 | 2001-12-04 | 基于ic卡的windows系列主机保护系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1349197A true CN1349197A (zh) | 2002-05-15 |
Family
ID=4674963
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 01139032 Pending CN1349197A (zh) | 2001-12-04 | 2001-12-04 | 基于ic卡的windows系列主机保护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1349197A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100365534C (zh) * | 2005-01-17 | 2008-01-30 | 英华达(南京)科技有限公司 | 在移动电话的通用界面中加入锁定功能以保护电脑的方法 |
CN102831335A (zh) * | 2011-06-16 | 2012-12-19 | 中国科学院数据与通信保护研究教育中心 | 一种Windows操作系统的安全保护方法和系统 |
-
2001
- 2001-12-04 CN CN 01139032 patent/CN1349197A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100365534C (zh) * | 2005-01-17 | 2008-01-30 | 英华达(南京)科技有限公司 | 在移动电话的通用界面中加入锁定功能以保护电脑的方法 |
CN102831335A (zh) * | 2011-06-16 | 2012-12-19 | 中国科学院数据与通信保护研究教育中心 | 一种Windows操作系统的安全保护方法和系统 |
CN102831335B (zh) * | 2011-06-16 | 2015-08-05 | 中国科学院数据与通信保护研究教育中心 | 一种Windows操作系统的安全保护方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10146706B2 (en) | Data security system | |
Sandhu et al. | Authentication, access control, and audit | |
CN101018127B (zh) | 远程访问系统、网关、客户机、程序和存储媒体 | |
US5960084A (en) | Secure method for enabling/disabling power to a computer system following two-piece user verification | |
EP0848315B1 (en) | Securely generating a computer system password by utilizing an external encryption algorithm | |
US9053313B2 (en) | Method and system for providing continued access to authentication and encryption services | |
JP3614057B2 (ja) | アクセス資格認証方法および装置ならびに証明用補助情報作成方法および装置 | |
US7069439B1 (en) | Computing apparatus and methods using secure authentication arrangements | |
JP4812168B2 (ja) | 信用コンピューティング・プラットフォーム | |
US7430668B1 (en) | Protection of the configuration of modules in computing apparatus | |
JP2006040307A (ja) | スマートカード | |
US20050055318A1 (en) | Secure PIN management | |
WO2004109426A2 (en) | Secure pin management | |
CN112905965A (zh) | 一种基于区块链的金融大数据处理系统 | |
CN1195360C (zh) | 用智能卡实现的安全一卡通系统 | |
US20020078372A1 (en) | Systems and methods for protecting information on a computer by integrating building security and computer security functions | |
EP1228433A1 (en) | Security arrangement | |
CN101324913B (zh) | 计算机文件保护方法和装置 | |
CN1349197A (zh) | 基于ic卡的windows系列主机保护系统 | |
US20080120510A1 (en) | System and method for permitting end user to decide what algorithm should be used to archive secure applications | |
Khan et al. | Tamper-resistant security for cyber-physical systems with eTRON architecture | |
Sandhu et al. | Identification and authentication | |
Hurson et al. | Security issues and solutions in distributed heterogeneous mobile database systems. | |
CN117113369A (zh) | 数据读写方法、装置、计算机设备及存储介质 | |
CN117744097A (zh) | 一种用于系统安全访问的控制装置、方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C06 | Publication | ||
PB01 | Publication | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |