[发明专利]一种Linux身份认证系统及方法

说明书

 

技术领域

本发明涉及一种信息安全技术领域，具体地说是一种Linux身份认证系统及方法。

背景技术

Linux操作系统具有多用户、多任务、图形用户界面、网络连接和多应用程序支持，同时具有性价比高和高可靠性等优点，因此越来越受到用户青睐，Linux操作系统下应用程序使用的安全问题成为用户关注的重点。Linux应用程序的访问和使用往往需要身份认证安全要求，传统的应用程序在编写时加入身份认证代码，使用用户名和密码的方式进行用户身份验证，用户名和密码通过软件形式的数据库存储，容易遭到破解，安全性低。

USBKey作为用户的身份认证硬件设备已经成为普遍采用的安全访问控制方式，通过USBKey的双因子认证由于要求访问者要拥有访问的认证硬件USBkey，同时还要知晓USBKey PIN码，因此提高了安全性，同时用户PIN码的验证在USBKey内部完成比传统密码验证更安全。

可信计算技术通过在计算机主板上接入可信密码模块（TCM，Trusted Cryptography Module ）来植入安全可信根，TCM具备密码学算法运算器和受保护的内部存储器，内嵌密码学算法，能够为用户提供密码服务来进行身份认证的应用。TCM内部存储器包括非易失性存储器可以保存用户私密信息，并具有完备的内部安全结构保护用户信息。

Linux PAM(Linux可插式认证模块)是一组共享库，通过Linux PAM，系统管理员可以自由选择应用程序使用的认证机制，通过Linux PAM提供的PAM API(应用编程接口)，应用程序可以调用PAM提供的认证服务模块，系统管理者可以根据需要给出不同的服务配置和不同的认证方式，基本上无需更改应用程序。

发明内容　　

　　本发明的技术任务是针对以上不足之处，提供一种安全性高、减小软件复杂度、有效防止了用户信息泄漏、杜绝了密码被破解的可能性、减少了应用程序开发工作量的一种Linux身份认证系统及方法。

本发明解决其技术问题所采用的技术方案是：

一种Linux身份认证系统结合TCM和USBKey设备，应用在计算机上，一种Linux身份认证系统包括：

用户信息获取模块：用于获取用户名和用户USBKey PIN码；

用户信息存储模块：用于调用TCM散列算法计算用户USBKey设备属性信息度量值，并将用户名信息和上述度量值进行绑定存储于TCM非易失性存储器中；

身份认证模块：用于将用户USBKey设备属性信息计算度量值并与TCM非易失性存储器中的度量值进行比对验证，同时传输用户PIN码给用户USBKey设备进行内部验证，最后返回上述两种验证成功或者失败的结果；

USBKey设备：用来作为用户身份认证设备验证访问者身份；

TCM：即可信密码模块，用来存储用户信息和USBKey设备属性信息，内置密码算法提供散列计算密码学服务；

一种Linux身份认证方法，通过TCM散列算法计算用户USBKey设备信息的度量值，TCM非易失性存储器存储用户信息及其用户USBKey设备属性信息度量值实现绑定，用户访问Linux应用程序时既要输入PIN码认证，又要通过TCM对用户USBkey设备属性信息进行度量验证，具体方法分为用户注册步骤和身份认证步骤。

所述TCM通过PCIE、LPC接口与计算机的主板相连。

所述用户USBKey设备通过USB接口与计算机的主板相连。

所述用户USBKey设备属性信息包括USBKey设备VID、PID及序列号。

所述TCM散列算法采用SHA1、SHA256、MD5算法以及符合国家相关标准的杂凑密码算法；所述度量值为TCM散列算法对USBKey设备属性信息计算的散列值。

所述系统的Linux应用程序为编译运行在计算机的Linux操作系统中的可执行程序；所述身份认证模块为编写的Linux PAM认证服务模块，所述系统的Linux应用程序通过调用计算机的Linux操作系统中的PAM API和配置PAM配置文件来调用身份认证模块。

用户注册步骤如下：

（1）、将用户USBKey设备与计算机相连，所述用户信息获取模块获取用户名和PIN码；

（2）、所述用户USBKey设备根据所述获取的PIN码验证用户合法身份，如果合法则执行步骤（3），否则提示错误信息并作异常处理；