本发明专利技术提供一种单机多用户安全访问控制方法,本发明专利技术的目的在于提供一种基于TCM和USBKey的单机多用户安全访问控制方法,解决了在同一操作系统下多用户信息存储不安全,合法身份用户登录后缺乏运行时数据安全保密,多用户、多硬盘资源浪费等问题。本发明专利技术采用USBKey硬件设备结合TCM芯片在内核模式下实现用户对文件的安全访问控制,用户身份标识信息以密文形式存储在USBKey设备安全存储区域内,采用国密标准密码算法,加密过程在TCM芯片内完成,私钥受SMK安全保护,USBKey设备可以随身携带,实现了用户私人信息的安全存储。
【技术实现步骤摘要】
本专利技术属于计算机信息安全
,尤其涉及一种基于TCM芯片和USBKey设备的单机多用户安全访问控制方法。
技术介绍
由于在国家地方很多政府机关部门、保密市场和大型公司等,很多情况都是多人或多部门共用一台安全计算机,为了满足在同一台机器上,各使用者信息数据的独立、安全、保密,其他非授权用户无权访问的需求。在综合考虑各安全因素的基础上,开发出了一套基于内核级的单机多用户的安全访问控制方法。目前市场上对单机多用户的安全访问控制主要包括基于操作系统和软件的用户口令和密码方式对用户进行授权访问。这种方式使用设定的计算机程序建立不同的用户及用户身份授权,能够根据不同的用户权限实现用户访问的安全策略。基于硬件方式的单机多用户安全访问控制。这种方式主要是通过多硬盘和物理上单硬盘多分区实现的。单机多硬盘多用户安全访问控制,是通过不同的用户使用不同的物理硬盘,每块物理硬盘采用不同的身份认证钥匙,实现数据的独立,保密。单机单硬盘多分区,是通过物理上对硬盘进行分区,每个区相当于一个独立的硬盘,这样用户访问系统时通过合法的身份验证,访问特定的硬盘分区。随着信息技术和硬件技术的不断发展和成熟,以上几种单机多用户安全访问模式已经逐渐被普遍认可,然而目前的技术存在诸多问题—、基于操作系统的特定用户的单机多用户访问系统,大都采用单一的身份验证, 缺乏对登录用户的分级权限管理,其安全程度对操作系统的依赖性比较高,并且一旦系统密码外泄,则可能造成很严重的损失。二、基于硬件方式的单机多用户安全访问控制方式,用户使用起来不方便,并且不再同一个系统下,浪费了很多磁盘资源,增加了生产成本。可信计算(TrustedComputing, TC)是一项由可信计算组织(Trusted Computing Group,TCG)推动和开发的技术,旨在推行计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,我国政府非常重视可信计算在信息安全领域的应用,成立了中国可信计算工作组(TCMU),2007年12月四日,国家密码管理局颁布了《可信计算密码支撑平台功能与接口规范》,规定了一系列可信计算和密码规范,其中包括可信密码模块,可信密码模块定义了一个具有存储保护和执行保护的子系统,该子系统将为计算平台建立信任根基,并且其独立的计算资源将建立严格受限的安全保护机制。TCM芯片和USBKey的日趋成熟,为开发人员开发高可靠性和安全性的技术方案提供了技术支撑,为实现单机多用户安全方法提供了技术保障
技术实现思路
本专利技术的目的在于提供一种基于TCM和USBKey的单机多用户安全访问控制方法, 解决了在同一操作系统下多用户信息存储不安全,合法身份用户登录后缺乏运行时数据安全保密,多用户、多硬盘资源浪费等问题。本专利技术的目的是按以下方式实现的,所述方法包括用户的初始化操作、用户安全文件创建操作、用户文件安全访问操作和用户文件访问权限修改操作;初始化操作步骤如下步骤II.管理员用户登录文件安全管理系统;步骤12.管理员用户通过验证,拔下管理员用户USBKey,并插入新用户的 USBKey ;步骤13.文件安全控制管理系统利用新用户信息,生成新用户标识数据,并将该数据经TCM芯片加密后存储在USBKey中,完成新用户的注册过程;用户文件创建操作步骤如下步骤Pl.调用用户级进程来实现文件的创建;步骤P2.用户选择所创建文件的访问方式(通用或专用),然后请求系统调用;步骤P3.选择通用文件创建方式,则只实现对所创建文件的数据加密操作,本机所有用户对该文件都有操作权限,该文件在硬盘上以密文的形式存储;步骤P4.选择专用文件创建方式,则需要先检测用户的身份的合法性,若用户合法用户,则通过内核调用相应的操作,利用用户USBKey中存储的用户标识信息,生成该文件的安全控制标识符,然后调用TCM加密芯片完成对该文件的加密操作,默认方式只有该用户对该文件有操作权限,且该文件在磁盘上以密文形式存储。用户对文件访问操作步骤如下步骤Si.调用用户级进程实现对文件的操作;步骤S2.用户级进程根据所操作的不同文件类型,判断下一步具体操作;步骤S3.若所操作的是普通文件类型,则直接调调用内核文件驱动,然后通过TCM 加密芯片驱动程序对文件进行解密操作;步骤S4.若所操作的是专用文件类型,则需先检测合法用户USBKey是否存在,若检测到合法用户USBKey,确定该用户对该文件的合法操作权限,调用TCM加密芯片驱动程序实现对文件的解密操作。用户对文件访问权限的修改步骤如下步骤Hl.用户通过用户名、密码和USBKey登录文件安全管理系统步骤H2.用户选择其他用户对本用户所属文件的访问操作权限;步骤H3.调用内核文件控制驱动,完成用户文件访问权限设置;本专利技术的优点与有益效果是采用USBKey硬件设备进行身份验证,与生物识别设备相比更加稳定可靠,同时降低了成本;身份信息和文件安全控制信息存储在USBKey设备安全存储区域内,加密过程使用TCM芯片完成,整个加密过程对用户完全透明,TCM芯片采用国密算法,私钥不可获取, USBKey设备可以随身携带,实现了用户信息的安全存储保护。本系统最大的优势就是灵活、方便、采用对用户透明的方式,确保了用户私人信息的安全、保密,同时采用TCM透明加密技术,确保了用户数据的安全存储,并且使得本机的资源,对所有用户实现了最大可能的共享,避免了资源浪费,增加了用户的易用性和可理解性。附图说明图1是用户初始化方法实现流程图;图2是用户创建文件实现流程图;图3是用户对文件访问操作实现流程图;图4是用户修改文件访问权限实现流程。具体实施例方式为了使本专利技术的目的,技术方法及优点更加清晰、易理解,以下结合附图及实施例,对本专利技术进行进一步信息说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。作为本专利技术的一个实施例,在部署访问控制系统之前需要做初始化工作,如附图1 所示文件安全控制管理系统新用户初始化具体方法实现步骤如下步骤II.管理员用户登录文件安全管理系统,需输入用户名、密码和PIN码, USBKey内部计算用户信息验证次数,验证通过后登陆系统,验证不通过,则不能进入安全管理系统,输入错误次数累计达到上限L次后USBKey将自动锁定并无法使用;步骤12.管理员用户通过验证,拔下管理员用户USBKey,输入新用户的用户名和密码,并插入新用户的USBKey ;步骤13.系统将初始用户信息(包括用户名和用户口令)通过哈希算法计算,得出一个固定长度用户标示数据,在利用TCM芯片中的对称加密算法对其加密,加密后将该用户标识数据存储于该用户的USBKey非易失性存储区域内,完成文件安全控制系统新用户的注册过程。如图2所示,所述文件安全控制管理系统用户创建文件具体步骤如下步骤Pl.调用用户级进程实现文件的创建;步骤P2.用户选择所创建文件的访问方式(通用或专用),然后请求系统调用;步骤P3.选择通用文件创建方式,则调用系统内核文件驱动,在调用底层TCM加密芯片驱动实现对文件的加密,本机所有用户对该文件都有操作权限,且该文件数据在硬盘上以密文的形式存储;步骤P4.选择专用文件创建方式,需要先检测用户USBKey是否存在且可用,若 USBKey不可用或不存在,则提示请本文档来自技高网...
【技术保护点】
1.一种单机多用户安全访问控制方法,其特征在于,包括用户的初始化操作、用户安全文件创建操作、用户文件安全访问操作和用户文件访问权限修改操作,其中:初始化操作步骤如下:步骤I1.管理员用户登录文件安全管理系统;步骤I2.管理员用户通过验证,拔下管理员用户USBKey,并插入新用产的USBKey;步骤I3.文件安全控制管理系统利用新用户信息,生成新用户标识数据,并将该数据经TCM芯片加密后存储在USBKey中,完成新用户的注册过程;用户文件创建操作步骤如下:步骤P1.调用用户级进程来实现文件的创建;步骤P2.用户选择所创建文件的访问方式,通用或专用,然后请求系统调用;步骤P3.选择通用文件创建方式,则只实现对所创建文件的数据加密操作,本机所有用户对该文件都有操作权限,该文件在硬盘上以密文的形式存储;步骤P4.选择专用文件创建方式,则需要先检测用户的身份的合法性,若用户合法用户,则通过内核调用相应的操作,利用用户USBKey中存储的用户标识信息,生成该文件的安全控制标识符,然后调用TCM加密芯片完成对该文件的加密操作,默认方式只有该用户对该文件有操作权限,且该文件在磁盘上以密文形式存储;用户对文件访问操作步骤如下:步骤S1.调用用户级进程实现对文件的操作;步骤S2.用户级进程根据所操作的不同文件类型,判断下一步具体操作;步骤S3.若所操作的是普通文件类型,则直接调调用内核文件驱动,然后通过TCM加密芯片驱动程序对文件进行解密操作;步骤S4.若所操作的是专用文件类型,则需先检测合法用户USBKey是否存在,若检测到合法用户USBKey,确定该用户对该文件的合法操作权限,调用TCM加密芯片驱动程序实现对文件的解密操作;用户对文件访问权限的修改步骤如下:步骤H1.用户通过用户名、密码和USBKey登录文件安全管理系统步骤H2.用户选择其他用户对本用户所属文件的访问操作权限;步骤H3.调用内核文件控制驱动,完成用户文件访问权限设置。...
【技术特征摘要】
【专利技术属性】
技术研发人员:宋营军,赵斌,冯磊,
申请(专利权)人:山东超越数控电子有限公司,
类型:发明
国别省市:88
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。