一种计算机系统登录认证的方法

1、一种计算机系统登录认证的方法，包括：
a、预先在计算机主板上安装一个安全芯片；
b、使用安全芯片生成的密钥对登录认证信息加密；
c、在登录操作系统时，根据所述密钥对登录认证信息解密，继续正常登录 过程。
2、根据权利要求1所述的计算机系统登录认证方法，其特征在于，在计算 机操作系统上设置操作系统登录处理模块和身份验证模块，步骤b所述加密方 法进一步包括：
b1、操作系统登录处理模块收集用户登录认证信息并提供给身份验证模块；
b2、身份验证模块与安全芯片交互，通过安全芯片加密用户的登录认证信 息。
3、根据权利要求2所述的计算机系统登录认证方法，其特征在于，步骤 b2安全芯片加密用户的登录认证信息方法进一步包括：
安全芯片为该用户生成一对加解密用的公私钥对和访问该私钥的口令，并 用公钥加密用户登录认证信息。
4、根据权利要求3所述的计算机系统登录认证方法，其特征在于，登录操 作系统时，对登录认证信息解密的方法进一步包括：
c1、通过口令获得安全芯片提供的私钥；
c2、安全芯片使用私钥解密用户登录操作系统的认证信息。
5、根据权利要求4所述的计算机系统登录认证方法，其特征在于，所述取 得私钥方法进一步包括：安全芯片将用户名及访问私钥的口令进行验证：若用 户名与口令不一致，则不提供私钥，退出登录过程；若该用户名与口令正确， 则提供私钥。
6、根据权利要求5所述的计算机系统登录认证方法，其特征在于，设置用 户输入访问私钥口令错误次数的上限值，若输入错误次数达到所述上限值，身 份验证模块禁止该用户的登录过程。

技术领域\n本发明涉及计算机信息安全技术领域，特别是指一种计算机系统登录认证 的方法。\n背景技术\n登录认证是保证操作系统和用户数据安全的重要手段和方法，目前，计算 机常用的登录认证系统包括登录认证模块，登录认证的过程基本采用软件的形 式对用户的登录口令进行加密保存，登录时对密码进行解密，并提交给系统的 登录认证模块。对于软件加密，可以轻易获取保存这些密码的文件，对其进行 穷举攻击等方式非法解密获取用户的登录口令。由于目前操作系统安全方面的 局限，使登录认证存在密码被破解的缺陷，使用户的个人使用的资料信息容易 被盗。\n而基于硬件对登录认证信息进行加密保护，则解决了软件所存在的易破解 的问题。目前，通过硬件保护数据，可以采用IC卡或者UKEY等类似外设硬 件的方法加密保护登录认证信息，但使用外设硬件的保护方法就像是另外配了 一把钥匙，每次使用都需要“钥匙”来登录认证，在使用上不便。另一方面， 由于外设硬件无法和主机系统绑定，还存在着丢失和被盗的安全隐患，丢失“钥 匙”甚至会导致用户自己也无法使用其身份进行登录。\n在本申请人同时提交的另一篇专利申请，即申请号为03157436.X，发明名 称为“一种基于安全芯片的计算机终端安全系统”的中国专利申请中提出了安 全芯片技术。也就是将加解密的复杂过程集成一个安全芯片上，通过随机数生 成、散列运算、对称加密密码运算、HASH运算等算法实现密钥及公私钥对的 生成，加密后的密钥信息存储在安全芯片内部，实现向外提供密钥生成、信息 加密、唯一身份标识等服务。\n发明内容\n本发明的目的在于提供一种基于安全芯片的计算机系统登录认证方法，来 提高登录认证的安全性。\n实现本发明，需要以下步骤：\na、预先在计算机主板上安装一个安全芯片；\nb、使用安全芯片生成的密钥对登录认证信息加密；\nc、在登录操作系统时，根据所述密钥对登录认证信息解密，继续正常登录 过程。\n其中，该方法进一步包括：操作系统登录处理模块收集用户登录认证信息 并提供给身份验证模块；身份验证模块与安装在计算机主板上的安全芯片交互， 通过安全芯片加密用户的登录认证信息；安全芯片为该用户生成一对加解密用 的公私钥对和访问该私钥的口令，并用公钥加密用户登录认证信息。\n安全芯片将用户名及访问私钥的口令进行验证；通过口令获得安全芯片提 供的私钥，若用户名与口令不一致，则不提供私钥，退出登录过程；若该用户 名与口令正确，则提供私钥；安全芯片使用私钥解密用户登录操作系统的认证 信息。其中，设置用户输入访问私钥口令错误次数的上限值，若输入错误次数 达到所述上限值，身份验证模块禁止该用户的登录过程。\n由上述方法可以看出，本发明的登录认证方法，将具有密码学功能的安全 芯片与主机系统绑定，构造了基于安全芯片的用户登录认证方法。本发明中加 密的登录密钥保存在安全芯片内部，无法被导出，通过安全芯片所具有的具有 抗穷举攻击、抗篡改、具有唯一性的特点，增强了登录认证过程的安全性。同 时，由于安全芯片标识的唯一性，保证用户登录认证信息同主机系统绑定的唯 一性。实现所保护的登录认证信息与计算机系统的绑定，提高其安全性。\n附图说明\n图1为本发明登录认证过程的模块示意图。\n图2为本发明登录认证流程图。\n具体实施方式\n本发明将登录认证过程建立在与计算机主板绑定的安全芯片的基础上，使 用安全芯片加密用户登录认证过程中用户需提供的登录认证信息，如用户登录 操作系统的密码、个人身份号码(PIN)等，来增强登录认证过程的安全性。\n图1为本发明登录认证过程的模块示意图。本发明中，操作系统登录认证 模块与安全芯片进行交互，完成登录认证过程。操作系统登录认证模块进一步 包括操作系统登录处理模块和身份验证模块。其中，操作系统登录处理模块将 用户登录信息提供给身份验证模块，是进行身份认证时操作系统与用户的接口。 身份验证模块同主板上的安全芯片交互信息，接收安全芯片所提供的安全服务， 完成完整的登录认证过程。\n以下以登录认证过程为例并参照附图2，对本发明进一步详细说明。\n步骤201：预先在计算机上安装一个安全芯片，使安全芯片与计算机实现 硬件上的绑定。\n步骤202：使用安全芯片生成的密钥对登录过程要认证的信息加密。\n在新建合法用户时，操作系统登录处理模块将用户信息如用户名与所设置 的登录操作系统的口令通过身份验证模块传递给安全芯片。安全芯片为当前用 户新生成一对加解密用的公私钥对，然后生成并提供给此用户访问该私钥的口 令。不同的用户生成不同的公私钥对，每个用户均以安全芯片所提供的不同口 令对安全芯片内的属于该自己的公私钥对进行访问。同时，安全芯片利用生成 的公钥加密用户登录操作系统的口令，将加密后的登录口令存放在安全芯片内 部。\n步骤203：该用户登录操作系统时，用户输入正确的用户名后，输入访问 私钥的口令；操作系统登录处理模块取得该用户名以及访问私钥的口令，由身 份验证模块将该用户信息传递给芯片进行验证。\n如果用户名或口令有误，则安全芯片不提供私钥，身份验证模块可以采用 允许有限次数的输入方式，即在一次登录的过程中，若多次输入错误，达到所 限制的次数，则在一段时间内禁止该用户的登录过程，避免密码的穷举攻击； 如果该用户输入口令正确，则获得安全芯片提供的私钥，安全芯片解密用户登 录操作系统的密码，正常完成后续的登录过程。\n以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发 明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发 明的保护范围之内。