?

技術領域

本發明涉及一種信息安全技術領域，具體地說是一種Linux身份認證系統及方法。

背景技術

Linux操作系統具有多用戶、多任務、圖形用戶界面、網絡連接和多應用程序支持，同時具有性價比高和高可靠性等優點，因此越來越受到用戶青睞，Linux操作系統下應用程序使用的安全問題成為用戶關注的重點。Linux應用程序的訪問和使用往往需要身份認證安全要求，傳統的應用程序在編寫時加入身份認證代碼，使用用戶名和密碼的方式進行用戶身份驗證，用戶名和密碼通過軟件形式的數據庫存儲，容易遭到破解，安全性低。

USBKey作為用戶的身份認證硬件設備已經成為普遍采用的安全訪問控制方式，通過USBKey的雙因子認證由于要求訪問者要擁有訪問的認證硬件USBkey，同時還要知曉USBKey?PIN碼，因此提高了安全性，同時用戶PIN碼的驗證在USBKey內部完成比傳統密碼驗證更安全。

可信計算技術通過在計算機主板上接入可信密碼模塊（TCM，Trusted?Cryptography?Module?）來植入安全可信根，TCM具備密碼學算法運算器和受保護的內部存儲器，內嵌密碼學算法，能夠為用戶提供密碼服務來進行身份認證的應用。TCM內部存儲器包括非易失性存儲器可以保存用戶私密信息，并具有完備的內部安全結構保護用戶信息。

Linux?PAM(Linux可插式認證模塊)是一組共享庫，通過Linux?PAM，系統管理員可以自由選擇應用程序使用的認證機制，通過Linux?PAM提供的PAM?API(應用編程接口)，應用程序可以調用PAM提供的認證服務模塊，系統管理者可以根據需要給出不同的服務配置和不同的認證方式，基本上無需更改應用程序。

發明內容　　

　　本發明的技術任務是針對以上不足之處，提供一種安全性高、減小軟件復雜度、有效防止了用戶信息泄漏、杜絕了密碼被破解的可能性、減少了應用程序開發工作量的一種Linux身份認證系統及方法。

本發明解決其技術問題所采用的技術方案是：

一種Linux身份認證系統結合TCM和USBKey設備，應用在計算機上，一種Linux身份認證系統包括：

用戶信息獲取模塊：用于獲取用戶名和用戶USBKey?PIN碼；

用戶信息存儲模塊：用于調用TCM散列算法計算用戶USBKey設備屬性信息度量值，并將用戶名信息和上述度量值進行綁定存儲于TCM非易失性存儲器中；

身份認證模塊：用于將用戶USBKey設備屬性信息計算度量值并與TCM非易失性存儲器中的度量值進行比對驗證，同時傳輸用戶PIN碼給用戶USBKey設備進行內部驗證，最后返回上述兩種驗證成功或者失敗的結果；

USBKey設備：用來作為用戶身份認證設備驗證訪問者身份；

TCM：即可信密碼模塊，用來存儲用戶信息和USBKey設備屬性信息，內置密碼算法提供散列計算密碼學服務；

一種Linux身份認證方法，通過TCM散列算法計算用戶USBKey設備信息的度量值，TCM非易失性存儲器存儲用戶信息及其用戶USBKey設備屬性信息度量值實現綁定，用戶訪問Linux應用程序時既要輸入PIN碼認證，又要通過TCM對用戶USBkey設備屬性信息進行度量驗證，具體方法分為用戶注冊步驟和身份認證步驟。

所述TCM通過PCIE、LPC接口與計算機的主板相連。

所述用戶USBKey設備通過USB接口與計算機的主板相連。

所述用戶USBKey設備屬性信息包括USBKey設備VID、PID及序列號。

所述TCM散列算法采用SHA1、SHA256、MD5算法以及符合國家相關標準的雜湊密碼算法；所述度量值為TCM散列算法對USBKey設備屬性信息計算的散列值。

所述系統的Linux應用程序為編譯運行在計算機的Linux操作系統中的可執行程序；所述身份認證模塊為編寫的Linux?PAM認證服務模塊，所述系統的Linux應用程序通過調用計算機的Linux操作系統中的PAM?API和配置PAM配置文件來調用身份認證模塊。

用戶注冊步驟如下：

（1）、將用戶USBKey設備與計算機相連，所述用戶信息獲取模塊獲取用戶名和PIN碼；

（2）、所述用戶USBKey設備根據所述獲取的PIN碼驗證用戶合法身份，如果合法則執行步驟（3），否則提示錯誤信息并作異常處理；