[发明专利]一种计算机安全访问控制系统及控制方法

摘要

本发明公开了一种计算机安全访问控制系统及控制方法，属于信息安全技术领域，包括UEFI芯片和TCM芯片，控制系统包括操作系统预启动访问控制子系统和操作系统运行时访问控制子系统；操作系统预启动访问控制子系统包括：USBKey设备、USBKey设备初始化模块、用户管理模块、操作系统预启动身份验证模块、加密存储模块；操作系统运行时访问控制子系统包括：USBKey设备、操作系统用户登录模块、操作系统用户运行时保护模块；控制方法包括初始化方法，操作系统预启动访问控制方法和操作系统运行时访问控制方法。本发明解决了操作系统下访问控制可靠性低、用户身份信息存储不安全、合法身份用户登录后缺乏运行时身份保护的问题。

主权项

一种计算机安全访问控制系统及控制方法，包括UEFI芯片和TCM芯片，其特征在于所述控制系统包括操作系统预启动访问控制子系统和操作系统运行时访问控制子系统；操作系统预启动访问控制子系统包括：USBKey设备：作为登陆用户身份验证钥匙，USBKey内存储PIN码数据和加密的用户身份信息；USBKey设备初始化模块：内嵌于UEFI芯片内，用来建立USBKey文件系统，设置初始PIN码，创建初始用户信息；用户管理模块：内嵌于UEFI芯片内，用来管理用户信息。包括两级用户管理权限，可以进行用户信息的增、删、改操作；操作系统预启动身份验证模块：内嵌于UEFI芯片内，用来验证用户身份，识别用户权限，控制非法身份登陆锁定；加密存储模块：内嵌于UEFI芯片中，用来与TCM芯片通信加密存储用户身份信息于USBKey非易失性存储区域内；操作系统运行时访问控制子系统包括：USBKey设备：用来登陆操作系统以及保证用户运行时离开安全，与所述操作系统预启动访问控制子系统USBKey设备为同一设备；操作系统用户登录模块：定制替换Windows身份认证登陆图形接口Gina，用来完成USBKey身份验证登陆；操作系统用户运行时保护模块：用户离开计算机移除USBKey设备后触发，屏幕、键盘鼠标和外设端口立即锁定，用户返回系统输入PIN码重新验证身份登陆，系统恢复至正常状态；所述控制方法包括初始化方法，操作系统预启动访问控制方法和操作系统运行时访问控制方法，所述方法包括以下步骤：所述初始化方法实现步骤如下：步骤I1、建立硬盘隐藏分区，复制UEFI用户界面图片至隐藏分区；步骤I2、建立USBKey设备文件系统，写入初始PIN码；步骤I3、初始化用户信息，创建初始管理员用户名、用户口令和用户权限级别信息，所述用户权限级别包括管理员权限和普通用户权限两级权限；步骤I4、将初始用户信息通过TCM芯片对称加密算法加密后存储于USBKey非易失性存储区域内；初始用户信息包括用户名、用户口令和用户权限信息；所述操作系统预启动访问控制方法实现步骤如下：步骤P1、用户开机加电立即预启动身份验证模块图形界面，预启动身份验证模块检测USBKey设备并接受来自用户输入的身份验证信息，包括用户名、口令和PIN码；步骤P2、身份验证模块通过TCM芯片解密所述非易失性存储区域中的身份信息与输入信息对比，同时在USBKey设备内运算验证PIN码；步骤P3、用户身份信息和PIN码同时验证正确后登陆操作系统或者进入用户管理模块，并根据识别的用户权限确定用户身份标识，将所述用户身份标识存储于内存指定地址，传递给上层系统使用；用户权限的权限级别包括管理员用户和普通用户两级；步骤P4、假设验证输入信息错误，错误次数累计加1，连续输入错误次数累计达到指定次数N登陆界面锁定一段时间T小时，此后T小时内无法进行输入操作，T小时后界面解锁，如此循环i次，连续输入错误累计达到上限L次后锁定USBKey设备，锁定的USBKey设备将无法使用，其过程中只要输入正确一次计数器清零；所述操作系统运行时访问控制方法实现步骤如下：步骤S1、操作系统登陆时处于锁定状态，同时弹出身份验证登陆界面，用户保持USBKey设备连接，输入PIN码，验证通过后登陆系统，验证不通过保持锁定状态，输入错误次数累计达到上限L次后USBKey锁定并无法使用；步骤S2、操作系统运行状态下，用户离开计算机拔掉USBKey，触发操作系统用户运行时保护模块锁定键盘、鼠标和外设端口；步骤S3、用户返回计算机，插入USBKey，激活身份验证登陆界面，验证过程与所述步骤S1所述验证控制过程相同。