一种基于IC卡的WINDOWS系列主机保护系统,采用IC卡来存放用户的密码,并以IC卡对用户进行身份认证,读卡器同被保护主机相连,主机上有读卡器驱动模块和主控模块,主控模块包括IC卡状态监测模块和主机保护模块,IC卡监测模块替换了windows的底层模块,通过接口与读卡器驱动模块相连,监视并读取IC卡信息。本发明专利技术可以在实现多人共用一台计算机的前提下,对主机提供有效的保护,不仅能够防止非授权用户对计算机系统的访问,还能保护正在使用计算机的用户不受其他授权用户的干扰。(*该技术在2021年保护过期,可自由使用*)
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种基于IC卡的WINDOWS系列主机保护系统,用于网络与计算机的安全运行,属于计算机
由于个人电脑的普及以及Windows系列操作系统的流行,目前很多个人电脑的厂家,尤其是生产笔记本电脑的厂家都提供类似用IC卡进行用户身份鉴别的功能。如Acer在最新推出的全功能笔记本电脑Acer TravelMate 350系列产品中增加了“保全卡(Smart Card)”系统。“保全卡”是一个与信用卡一样大小的IC卡,卡中记录着特定的数据。打开笔记本电脑之前,将“保全卡”插入相应的处理模块插槽,然后开机,电脑在开机自检的过程中同时读取卡中相应的数据,并核对该数据的合法性。如果正常,即该卡为该笔记本电脑所有,电脑将正常开机;否则开机无效,拒绝非授权用户使用该电脑。但该技术只能为笔记本电脑的主人自己提供访问电脑的权限,若该电脑由多人共用,则也同时要将IC卡传来传去,并不方便,而且一旦开机后,则不能更进一步的利用IC卡来提供对电脑使用的限制。也可以利用系统软件完成IC卡验证的功能,如Windows 2000操作系统引入了智能卡验证,取代输入口令以实现可靠的网络验证。一个智能卡能以三种方式验证到一个Windows 2000域。第一种方式是一种涉及活动目录服务、Kerberos V5协议和公钥证书的交互式登录。第二种方式是使用带有可扩展的身份验证协议(EAP)和传输层安全(TLS)的公钥证书的远程登录,验证一个存储在活动目录中的远程用户帐号。第三种方式是一种客户端验证,用户使用一个活动目录中存储的帐号所对应的公钥证书进行身份验证。在Windows 2000中,Microsoft通过将公钥证书技术和智能卡集成在一起,帮助客户增强了他们的安全等级。这里所说的智能卡实质上就是一种IC卡,IC卡对于个人计算机和Windows 2000来说是最适用的,因为它能够执行许多复杂的操作,例如数字签名和密钥交换。智能卡是Microsoft集成在Windows 2000操作系统中的公钥体系(PKI)中的一个关键组件。智能卡增强了诸如交互式登录、客户端验证和远程登录等软件解决方案。从上面对现有利用IC卡进行计算机安全保护的介绍中不难看出,现有的技术要么是从硬件上进行处理,如果没有正确的IC卡,就不能打开计算机;要么从软件上加以限制,在IC卡上存储用户诸如网络登录密码等信息,并在用户插入正确的IC卡后给予用户适当的访问权限。第一种方式是针对一台电脑一个用户的使用方式设计的,只有在持有主人的IC卡时才能使用计算机,这不适用于多人共用一台电脑的办公场合;第二种方式虽然可以供多个用户使用(每一时刻只能有一个用户使用),但并没有提供有效的方法在不同用户间提供保护。为实现这样的目的,本专利技术的技术方案中,系统配备了IC卡读卡器和若干IC卡,读卡器同被保护的装有windows系列操作系统的个人计算机相连,在被保护主机上有读卡器驱动模块和主控模块,主控模块主要包括IC卡状态监测模块和主机保护模块。IC卡监测模块替换了windows的底层模块,通过接口与读卡器驱动模块相连,监视并读取IC卡信息。在用户进入系统之前要求用户插入IC卡,主机上的读卡器驱动模块从读卡器读取IC卡的数据,并报告当前IC卡状态,即是插入还是拔出。主控模块中的IC卡监测模块通过与读卡器驱动模块相连的接口不断检测IC卡的状态。在检测到IC卡被插入并读到其中数据后,提示用户输入PIN码,只有在PIN码输入正确后,监测模块通知主机保护模块解除对系统的封锁,用户才能进入系统,监测模块记录下当前的用户状态并时刻监测IC卡的状态。一旦监测模块发现IC卡被拔走,立即由主机保护模块封锁键盘、鼠标等一切输入设备,保存当前系统状态,终止网络连接和资源共享,并进入屏幕保护状态。之后若监测模块检测到有IC卡被插入读卡器,则比较插入的IC卡信息是否是当前保存的IC卡信息,只有在确认新插入的IC卡就是本次登录使用的IC卡后,该模块才会对键盘和鼠标解锁,并提示用户输入PIN码,若PIN码正确则恢复到拔卡前的系统状态,用户可以继续使用该计算机,直到退出系统。此时其他用户可以使用自己的IC卡和PIN码登录系统并使用计算机。IC卡上存放的信息如下1、用户帐号唯一标识用户的号码,由系统管理员统一分配。2、用户口令由系统管理员写入的随机数,用于产生用户的密钥,用户无法修改。3、用户口令到期时间用户可以读取到期时间。在到期之前用户应该到系统管理员处进行刷新。4、用户PIN由用户设置的用于保护智能卡的口令。防止智能卡遗失和被窃后被人盗用。在读取智能卡中的用户口令之前,首先要验证用户的PIN。如果连续三次验证失败,则用户的口令被封锁。只有系统管理员才能解锁。5、智能卡管理密钥在卡片个人化时设置。在对智能卡中的口令解锁或更改用户口令之前,智能卡要使用该密钥验证操作者的合法性。6、其它信息包括发行单位标志等。本专利技术采用IC卡来存放用户的密码,并以IC卡对用户进行身份认证,用户的口令由管理员统一生成后存放在智能卡中,使用户不再必要记忆口令,口令的长度可以设置得较长,而且可以是完全的随机序列,不易破解。要更改口令时,用户只需到系统管理员处重新设置一下即可,使用起来非常方便。另外,智能卡中用户的口令受PIN保护。每次在读取用户口令之前,首先必须检验PIN。如果连续三次检验失败,则口令被封锁,只有管理员才能解锁。用户只有同时得到PIN和智能卡,才能访问系统,防止卡片遗失和被窃取后被盗用,进一步加强了身份认证的安全性。本专利技术的设计方案考虑到,虽然IC卡本身具有较强的安全性和保密性,但对系统的访问权限完全依赖于系统中监测IC卡读卡器的模块的正常运行,若作为普通的windows应用程序来运行,可能会被恶意的用户将其杀掉,而使整个系统彻底失效。为了避免监测模块成为系统安全的瓶颈,需要将其实现为windows的底层模块,并替换相应的windows模块,使恶意用户不能卸载该模块,保证其正常运行。本专利技术可以在实现多人共用一台计算机的前提下,对windows系列主机提供有效的保护,不仅能够防止非授权用户对计算机系统的访问,还能保护正在使用计算机的用户不受其他授权用户的干扰。本专利技术简便易行,用户只要配置一台IC卡读卡器,并与待保护的计算机相连,再安装监测IC卡的监测模块,给授权用户发放IC卡以及PIN码即可使用。这对于那些条件有限,不得不多人共用一台计算机,而又想保护计算机内的数据不被其他用户任意访问的单位而言无疑是一种很好的选择。附图说明和具体实施例方式图1为本专利技术的系统结构示意图。如图所示,本专利技术的系统配备了IC卡读卡器和若干IC卡,读卡器同被保护的WINDOWS系列主机相连,在被保护主机上有读卡器驱动模块和主控模块,主控模块主要包括IC卡状态监测模块和主机保护模块。IC卡监测模块通过接口与读卡器驱动模块相连,读卡器驱动模块与IC卡和读卡器配套,读取IC卡数据。主控模块监测IC卡状态并决定采取相应动作进行主机保护。IC卡插入IC卡读卡器,读卡器驱动模块读取IC卡的数据并报告当前IC卡状态。IC卡监测模块不断检测IC卡的状态,当发现IC卡被插入时,它负责调用相应的接口函数读取IC卡的数据,以判断插入的IC卡是否是登录时使用的本文档来自技高网...
【技术保护点】
一种基于IC卡的WINDOWS系列主机保护系统,其特征在于系统配备了IC卡读卡器和若干IC卡,读卡器同被保护主机相连,主机上有读卡器驱动模块和主控模块,主控模块包括IC卡状态监测模块和主机保护模块,IC卡监测模块替换了windows的底层模块,通过接口与读卡器驱动模块相连。
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:吴承荣,严明,朱斌,
申请(专利权)人:上海复旦光华信息科技股份有限公司,
类型:发明
国别省市:31[中国|上海]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。