[发明专利]一种单机多用户安全访问控制方法

摘要

本发明提供一种单机多用户安全访问控制方法，本发明的目的在于提供一种基于TCM和USBKey的单机多用户安全访问控制方法，解决了在同一操作系统下多用户信息存储不安全，合法身份用户登录后缺乏运行时数据安全保密，多用户、多硬盘资源浪费等问题。本发明采用USBKey硬件设备结合TCM芯片在内核模式下实现用户对文件的安全访问控制，用户身份标识信息以密文形式存储在USBKey设备安全存储区域内，采用国密标准密码算法，加密过程在TCM芯片内完成，私钥受SMK安全保护，USBKey设备可以随身携带，实现了用户私人信息的安全存储。

主权项

一种单机多用户安全访问控制方法，其特征在于，包括用户的初始化操作、用户安全文件创建操作、用户文件安全访问操作和用户文件访问权限修改操作，其中：初始化操作步骤如下：步骤I1.管理员用户登录文件安全管理系统；步骤I2.管理员用户通过验证，拔下管理员用户USBKey，并插入新用产的USBKey；步骤I3.文件安全控制管理系统利用新用户信息，生成新用户标识数据，并将该数据经TCM芯片加密后存储在USBKey中，完成新用户的注册过程；用户文件创建操作步骤如下：步骤P1.调用用户级进程来实现文件的创建；步骤P2.用户选择所创建文件的访问方式，通用或专用，然后请求系统调用；步骤P3.选择通用文件创建方式，则只实现对所创建文件的数据加密操作，本机所有用户对该文件都有操作权限，该文件在硬盘上以密文的形式存储；步骤P4.选择专用文件创建方式，则需要先检测用户的身份的合法性，若用户合法用户，则通过内核调用相应的操作，利用用户USBKey中存储的用户标识信息，生成该文件的安全控制标识符，然后调用TCM加密芯片完成对该文件的加密操作，默认方式只有该用户对该文件有操作权限，且该文件在磁盘上以密文形式存储；用户对文件访问操作步骤如下：步骤S1.调用用户级进程实现对文件的操作；步骤S2.用户级进程根据所操作的不同文件类型，判断下一步具体操作；步骤S3.若所操作的是普通文件类型，则直接调调用内核文件驱动，然后通过TCM加密芯片驱动程序对文件进行解密操作；步骤S4.若所操作的是专用文件类型，则需先检测合法用户USBKey是否存在，若检测到合法用户USBKey，确定该用户对该文件的合法操作权限，调用TCM加密芯片驱动程序实现对文件的解密操作；用户对文件访问权限的修改步骤如下：步骤H1.用户通过用户名、密码和USBKey登录文件安全管理系统步骤H2.用户选择其他用户对本用户所属文件的访问操作权限；步骤H3.调用内核文件控制驱动，完成用户文件访问权限设置。