本发明专利技术的操作系统的安全登录系统包括信息采集模块、信息处理模块、本地数据库、信息存储模块。其中,信息处理模块分别与信息采集模块、本地数据库、信息存储模块相连,本地数据库还与信息存储模块相连。信息处理模块和信息存储模块集成于可信计算芯片内。除此之外,还提供一种操作系统的安全登录方法。本发明专利技术利用可信计算芯片在密钥安全、抗重放攻击方面的优势,将其应用到操作系统登录验证过程中,实现操作系统的安全登录。同时,为了防止攻击者窃取登录信息及登录密码恶意登录操作系统,本发明专利技术技术方案中还在每次登录操作系统后,自动更新登录密码,进一步提高操作系统登录的安全性。
【技术实现步骤摘要】
本专利技术涉及。
技术介绍
为了保证登录计算机操作系统时 的安全性,传统的登录认证方式是采用用户名和口令的单向鉴别模型,但该模型存在诸如口令易被窃取和猜测等弊端,不能很好的达到验证登录操作系统人员身份的目的,不能保证操作系统的登录安全性。为了增强操作系统的登录安全性,一般采用以下技术方案智能卡登录、生物特征信息认证登录、或者是通过现有的几种登录认证方式的组合进行双(多)因子登录。但是,由于操作系统本身的构架所限,使得上述几种登录方案仍存在安全隐患。例如登录windows2000 / XP操作系统,不论使用何种登录认证方式,其根本思想都是在用户所持有的秘密(例如生物特征、智能卡、证书等)与Windows 口令间建立映射,登录过程最终仍将归结到使用认证包(authentication package)与 SAM数据库(security account manager,即安全帐号管理器,它通过存储在计算机注册表中的安全帐号来管理用户和用户组的信息)中存放的用户帐户口令进行比对。因此,存放在SAM数据库中的用户帐户口令仍是安全的根本。通常情况下,人们使用生物信息或智能卡进行登录时,攻击者可能利用用户的疏忽进入系统,获得生物特征模版数据库映射表内的用户帐户与口令信息,从而绕开生物特征识别系统的安全措施,并可利用获得的合法windows帐户密码从安全模式或者其他途径进入系统,窃取用户资源,导致重放攻击,同样不能保证操作系统的登录安全性。
技术实现思路
本专利技术所要解决的技术问题是提供一种能提高操作系统登录安全性的安全登录系统及安全登录方法。作为本专利技术技术方案的一方面,提供一种操作系统的安全登录系统,所述安全登录系统包括信息采集模块、信息处理模块、本地数据库、信息存储模块; 所述信息处理模块分别与所述信息采集模块、所述本地数据库、所述信息存储模块相连,其中,所述本地数据库与所述信息存储模块相连; 所述信息处理模块和所述信息存储模块集成于可信计算芯片内; 所述信息存储模块和所述本地数据库,均用于保存合法登录信息和合法登录密码;所述信息采集模块,用于获取外部输入的用户登录信息,并将所述用户登录信息发送至所述信息处理模块; 所述信息处理模块,根据所述信息采集模块发送的用户登录信息,自所述信息存储模块内读取合法登录密码,并与所述本地数据库内保存的合法登录密码进行比对,以成功登录操作系统; 所述信息处理模块,还用于生成新的合法登录密码,并发送至所述本地数据库;所述本地数据库,接收所述信息处理模块生成的新的合法登录密码,并发送至所述信息存储模块,更新所述信息存储模块内保存的合法登录密码。进一步地,所述信息存储模块为所述可信计算芯片内的非易失性存储器。进一步地,所述用户登录信息包括登录账号和可信计算芯片用户密码。作为本专利技术技术方案的另一方面,提供一种操作系统安全登录方法,具体步骤如下, 设置合法登录信息和合法登录密码,并保存至可信计算芯片和计算机的本地数据库; 获取外部输入的用户登录信息; 依据所述用户登录信息自所述可信计算芯片内获取合法登录密码,并与所述本地数据库内的合法登录密码进行比对,若二者相同,则成功登录操作系统;· 所述可信计算芯片生成一组新的合法登录密码,并更新所述可信计算芯片和所述本地数据库内保存的合法登录密码。进一步地,所述可信计算芯片按照以下步骤设置合法登录信息和合法登录密码, 接收用户输入的登录信息和登录密码; 判断该登录信息和登录密码是否可用; 生成一对加密密钥和一个新的登录密码; 利用所述加密密钥对所述登录信息和新的登录密码进行加密运算,并保存至所述可信计算芯片和所述本地数据库内作为合法登录信息和合法登录密码。进一步地,所述登录信息包括登录账号和可信计算芯片用户密码。进一步地,所述可信计算芯片按照以下步骤修改可信计算芯片用户密码, 接收用户输入的登录账号和可信计算芯片用户密码; 获取所述可信计算芯片生成的加密密钥,并对所述可信计算芯片用户密码进行加密计算; 比对所述可信计算芯片内保存的合法可信计算芯片用户密码,若二者相同,则所述可信计算芯片接收修改后的可信计算芯片用户密码; 生成一个新的登录密码; 对所述登录账号、所述修改后的可信计算芯片用户密码、所述新的登录密码进行加密运算,并保存至所述可信计算芯片和所述本地数据库内作为合法登录信息和合法登录密码。进一步地,所述合法登录信息和合法登录密码保存在所述可信计算芯片内的非易失性存储器内。进一步地,所述新的登录密码由所述可信计算芯片内的随机数发生器产生。本专利技术的有益效果是 本专利技术利用可信计算芯片在密钥安全、抗重放攻击方面的优势,将其应用到操作系统登录验证过程中,实现操作系统的安全登录。同时,为了防止攻击者窃取登录信息及登录密码恶意登录操作系统,本专利技术技术方案中还在每次登录操作系统后,自动更新登录密码,进一步提高操作系统登录的安全性。附图说明图I为本专利技术操作系统的安全登录系统的构成示意图;图2为本专利技术操作系统安全登录方法的流程示意 图3为本专利技术中的用户注册流程示意 图4为本专利技术中的用户登录验证流程示意 图5为本专利技术中的修改可信计算芯片用户密码流程示意图。 具体实施例方式以下结合附图对本专利技术的原理和特征进行描述,所举实例只用于解释本专利技术,并非用于限定本专利技术的范围。作为本专利技术技术方案的一方面,提供一种操作系统的安全登录系统,如图I所示,该系统包括信息采集模块、信息处理模块、本地数据库、信息存储模块。信息处理模块分别与信息采集模块、本地数据库、信息存储模块相连,本地数据库还与信息存储模块相连。信息处理模块和信息存储模块集成于可信计算芯片内。其中,信息存储模块和本地数据库,均用于保存合法登录信息和合法登录密码。信息采集模块,用于获取外部输入的用户登录信息,并发送至信息处理模块。信息处理模块,根据信息采集模块发送的用户登录信息,自信息存储模块内读取合法登录密码;并与本地数据库内保存的合法登录密码进行比对,若二者相同,则成功登录操作系统;信息处理模块,还用于生成新的合法登录密码,并发送至本地数据库。本地数据库,接收信息处理模块生成的新的合法登录密码,并发送至信息存储模块,更新信息存储模块内保存的合法登录密码。作为本专利技术技术方案的另一方面,提供一种操作系统安全登录方法,如图2所示,具体步骤如下。第一步,设置合法登录信息和合法登录密码,并保存至可信计算芯片和计算机的本地数据库。第二步,获取外部输入的用户登录信息。第三步,依据用户登录信息自可信计算芯片内获取合法登录密码,并与本地数据库内的合法登录密码进行比对,若二者相同,则成功登录操作系统。第四步,可信计算芯片生成一组新的合法登录密码,并更新可信计算芯片和本地数据库内保存的合法登录密码。在上述操作系统安全登录方法中,在可信计算芯片和本地数据库内保存相同的合法登录信息和合法登录密码,因为可信计算芯片的安全性很高,若本地数据库内的登录信息和登录密码被篡改,也就是本地数据库与可信计算芯片内的信息不相符,则不能成功登录操作系统,以此来保证登录操作系统的安全性。此外,为了防止登录信息和登录密码被窃取,在成功登录操作系统之后,本专利技术技术方案还会生成一组随机码作为新的合法登录密码。这样,即时攻击本文档来自技高网...
【技术保护点】
一种操作系统的安全登录系统,其特征在于,所述的安全登录系统包括信息采集模块、信息处理模块、本地数据库、信息存储模块;所述信息处理模块分别与所述信息采集模块、所述本地数据库、所述信息存储模块相连,其中,所述本地数据库与所述信息存储模块相连;所述信息处理模块和所述信息存储模块集成于可信计算芯片内;所述信息存储模块和所述本地数据库,均用于保存合法登录信息和合法登录密码;所述信息采集模块,用于获取外部输入的用户登录信息,并将所述的用户登录信息发送至所述信息处理模块;所述信息处理模块,根据所述信息采集模块发送的用户登录信息,自所述信息存储模块内读取合法登录密码,并与所述本地数据库内保存的合法登录密码进行比对,以成功登录操作系统;所述信息处理模块,还用于生成新的合法登录密码,并发送至所述本地数据库;所述本地数据库,接收所述信息处理模块生成的新的合法登录密码,并发送至所述信息存储模块,更新所述信息存储模块内保存的合法登录密码。
【技术特征摘要】
【专利技术属性】
技术研发人员:艾俊,付月朋,王正鹏,
申请(专利权)人:国民技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。