基于USB-Key身份认证与访问控制系统的研究与实现

摘要

随着计算机的普及和相关技术的高速发展，大型企业和单位使用各种业务系统、服务系统管理不断增长的文档等文件。这些文件有很多都属于内部文件，是涉密的，而且这些文件被分散的存放在企事业骨干人员的计算机中。一方面由于部分员工的安全意思薄弱或防范意识较差，另一方面由于计算机本身存在的安全性问题，导致涉密文件直接面临恶意员工的安全威胁。员工的安全意识可以培养，但是计算机的安全问题就需要有针对性的解决了。涉及的安全问题主要来自两方面:计算机的登录和文件的保护问题。计算机系统中，Windows是主流，而它的登录机制是简单的密码认证，很容易导致密码被猜测破解等。而文件的存放问题，无防备的存储在计算机中，很容易就会被拷贝或使用网络传输。因此，需要针对这两个问题进行解决。
　　目前，在身份认证技术上，硬件加密设备(USB-Key)、生物识别技术被广泛采用，而数据保护方面主要是对文件进行加密，有硬件加密和软件加密之分。通过对目前各种技术的研究和对比，本文设计并实现了一款基于USB-Key的认证系统，将数字证书写入USB-Key中，基于USB-Key的硬加密达到保护私钥的目的，使用数字证书的身份鉴别代替系统的身份认证。然后使用微过滤驱动技术，在系统的内核层实现文件的加密以及对U盘设备的控制，达到保护私密文件的目的。
　　论文在最后给出了系统的测试和分析:使用数字证书技术对系统的登录保护有显著提高;而微过滤驱动则能够有效的加密文档等文件，并限制外部存储器的写入，杜绝外部设备的拷贝。系统登录安全性的提高，限制了非法人员登入系统的机会，微过滤驱动则有效的保护私密文件。通过这两方面的改进，加强了Windows操作系统使用者的账户数据的安全性。

目录

声明

摘要

第1章绪论

1．1课题背景及意义

1．2身份认证技术研究现状

1．3研究内容及主要工作

1．4论文组织结构

第2章关键技术

2．1 Windows登录机制

2．2 PKI相关技术

2．2．1 密码技术

2．2．2 PKI简介

2．2．3 PKI体系框架

2．2．4 X．509数字证书

2．3微过滤驱动

2．3．1文件系统驱动

2．3．2文件系统过滤驱动

2．3．3微过滤驱动

2．3．4驱动的编译、调试与安装

2．4本章小结

第3章系统设计

3．1 设计目标

3．2系统总体架构

3．3身份认证模块

3．3．2 USB-Key与CP的结合

3．3．3 USB-Key调用PKCS接口

3．4资源访问控制模块内核层的设计

3．4．1模块初始化

3．4．2实例的安装

3．4．3上下文管理

3．4．4 回调支持

3．5资源访问控制模块通信层的设计

3．5．1 微过滤器通信端口

3．5．2通信数据结构

3．5．3内核层通信接口

3．5．4应用层通信

3．6资源访问控制模块应用层的设计

3．6．1外设监控模块

3．6．2控制管理和日志记录模块

3．7本章小结

第4章系统实现

4．1 实现和开发环境

4．2身份认证模块的实现

4．2．1定制登录界面

4．2．2使用USB-Key结合数字证书作为身份认证

4．3资源访问控制模块的实现

4．3．1 微过滤驱动内核层的实现

4．3．2微过滤驱动通信层与应用层的实现

4．4本章小结

第5章系统测试与分析

5．1 测试环境

5．2系统测试与分析

5．2．1 功能测试与分析

5．2．2 性能测试与分析

5．2．3稳定性测试与分析

5．2．4安全性分析

5．3本章小结

结论

参考文献

攻读硕士学位期间发表的论文和取得的科研成果

致谢