[发明专利]基于数字签名证书保护文件系统的方法和装置

说明书

                       发明领域

本发明涉及保护文件系统的方法和装置，更具体地说，涉及一种计算机系统中基于数字签名证书保护文件系统的方法和装置。

                       背景技术

在常规的计算机系统中，为了保护服务器计算机，使用访问控制方法或一次密码。

使用访问控制方法的计算机系统允许特定的用户仅访问预定的服务或网络地址。也就是说，计算机系统禁止没有访问权限的用户访问预定的服务或预定的网络地址之外的内容。

用来识别用户的通用密码注册以后就一直使用，直到注册另一个密码为止。为了防止恶意的用户蒙混使用该密码，所以使用一次密码。一次密码是指仅使用一次的密码。

但是，由于已经引入恶意的黑客仅通过访问预定的服务或网络地址就能够获取系统安全管理员或普通用户的授权的剽窃方法，对特定服务或网络的访问拦截实际上不可能保护文件系统免受恶意的黑客试图伪造或改变比如主页的文件系统。

各种剽窃技术使一次密码的部分安全功能变得无效。

访问控制方法和一次密码的问题由提供在用户或网络级的应用程序中实施的常规安全技术的计算机操作系统引起。

                       发明概述

因此，本发明的一个目的是提供一种保护文件系统的方法和装置。

本发明的另一个目的是提供一种安全稳定的计算机系统。

根据本发明的一个方面，提供一种保护计算机中的文件系统的方法，其中具有文件访问权限的用户可以访问计算机中的文件系统，该方法包括步骤：a)生成系统安全管理员的数字签名密钥和系统安全管理员的证书(certificate)；b)当在服务器计算机上安装操作系统时，将系统安全管理员的证书存储到安全内核中；c)生成第二数字签名密钥和用户的证书；d)设置文件系统的访问权限；e)当用户试图访问文件系统时，通过基于数字签名的身份验证识别用户；以及f)根据识别结果授予用户对文件的访问权限。

根据本发明的另一方面，提供一种保护计算机中的文件系统的装置，其中具有文件访问权限的用户可以访问计算机中的文件系统，该装置包括：生成系统安全管理员的数字签名密钥和系统安全管理员的证书的部件；当在服务器计算机上安装操作系统时，将系统安全管理员的证书存储到安全内核中的部件；生成用户数字签名密钥和用户的证书的部件；设置文件系统的访问权限的部件；当用户试图访问文件系统时，通过数字签名身份验证的方法识别用户的部件；以及根据识别结果授予用户对文件的访问权限的部件。

                       附图的简要描述

从下面结合附图对优选实施例的详细描述，本发明的上述和其他目的和特征将变得更加清楚，其中：

图1为应用本发明的计算机系统的框图；

图2为根据本发明的服务器计算机的详细框图；

图3为图2的安全内核的详细框图；

图4为图2的证书存储器的详细框图；

图5为图3的安全内核中处理安全信息存储器的详细框图；

图6为图3的安全内核中文件安全信息存储器的详细框图；

图7为说明根据本发明用于运行文件保护方法的方法的流程图；

图8为说明根据本发明用于在服务器计算机上安装文件保护方法的方法的流程图；

图9为说明根据本发明用于运行文件保护方法的方法的流程图；

图10为说明根据本发明的基于数字签名的身份验证的流程图；

图11为说明根据本发明的注册/删除用户的方法的流程图；

图12为说明根据本发明的设置文件访问权限的方法的流程图；和

图13为说明处理文件的方法的流程图。

                       本发明的优选实施例

下面将参照附图详细描述本发明的优选实施例。

图1为应用本发明的计算机系统的框图。

该计算机系统包括服务器计算机110、以及系统安全管理员、到服务器计算机110距离遥远的用户和距离较近的用户所用的计算机120、140和150。

每一台计算机120、140和150具有存储设备，比如软盘124、144和154以及智能卡126、146和156。服务器计算机110和计算机120、140和150直接或通过计算机网络130彼此互连。

在获得基于数字签名的身份验证之后，系统安全管理员管理服务器计算机110和服务器计算机110的用户。