專利名稱:一種控制信息安全設(shè)備訪問權(quán)限的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及控制設(shè)備訪問權(quán)限領(lǐng)域����,特別涉及一種控制信息安全設(shè)備訪問權(quán)限的方法和 系統(tǒng)。
背景技術(shù):
由于目前被廣泛應(yīng)用的Windows操作系統(tǒng)是一個支持多用戶�����、多任務(wù)的操作系統(tǒng)�,因此��, 用戶使用時的安全問題成為了非常關(guān)鍵的問題���,因此Window操作系統(tǒng)需要對用戶進行權(quán)限設(shè) 置���,所謂權(quán)限是指用戶對系統(tǒng)資源的訪問權(quán)利。權(quán)限的設(shè)置是基于用戶和進程而言的����,不同 的用戶訪問計算機具有不同的權(quán)限�。Windows的用戶被分成許多組��,常見的用戶組有以下幾 種
Administrator:管理員組���;System:擁有和Administrator—樣的���,甚至比其還高的 權(quán)限;Power User:高級用戶組��,在權(quán)限設(shè)置中����,這個組的權(quán)限是僅次于Administrator的; User:普通用戶組�����,這個組的用戶無法對計算機系統(tǒng)進行改動��;Guest:來賓組�,來賓帳戶的 限制要比普通User帳號更多。并且�,通常習(xí)慣稱Administrator, System和Power User為 超級用戶�����,User和Guest為非超級用戶���。
計算機中的注冊表是一個龐大的數(shù)據(jù)庫,用來存儲計算機軟硬件的各種配置數(shù)據(jù)��,它包 含Windows在運行期間不斷引用的信息��,例如�,每個用戶的配置文件、計算機上安裝的應(yīng)用 程序以及每個應(yīng)用程序可以創(chuàng)建的文檔類型�����、文件夾和應(yīng)用程序圖標(biāo)的屬性表設(shè)置���、系統(tǒng)上 存在哪些硬件以及正在使用哪些端口,并且注冊表取代了 Windows 3. x和MS-DOS配置文件 (例如��,Autoexec.bat和Config. sys)中使用的絕大多數(shù)基于文本的.ini文件���。雖然幾 個Windows操作系統(tǒng)都有注冊表�����,但這些操作系統(tǒng)的注冊表有一些區(qū)別��。
由于�,注冊表中記錄了用戶安裝在計算機上的軟件和每個程序的相關(guān)信息,用戶可以通 過注冊表調(diào)整軟件的運行性能����,檢測和恢復(fù)系統(tǒng)錯誤,定制桌面等����。用戶修改配置,只需要 通過注冊表編輯器���,單擊鼠標(biāo)����,即可輕松完成���。系統(tǒng)管理員還可以通過注冊表來完成系統(tǒng)遠 程管理���。因而用戶掌握了注冊表�����,即掌握了對計算機配置的控制權(quán)�����,用戶只需要通過注冊表 即可將自己計算機的工作狀態(tài)調(diào)整到最佳���。
信息安全設(shè)備(簡稱設(shè)備,如USB (Universal Serial BUS,通用串行總線)key等) 是一種帶有處理器和存儲器的小型硬件裝置�,它通過計算機的數(shù)據(jù)通訊接口與計算機連接。 現(xiàn)有信息安全設(shè)備的通訊可以通過SCSI (Small Computer System Interface-小型計算機系 統(tǒng)接口)命令的方式來實現(xiàn)�����,SCSI是計算機連接外接設(shè)備的一種接口標(biāo)準(zhǔn)�����,能夠提供更快的 數(shù)據(jù)傳輸率���。SCSI為方便開發(fā)者使用預(yù)留了擴展命令,為完成信息安全設(shè)備的SCSI通訊, 開發(fā)者將SCSI擴展命令設(shè)計成信息安全設(shè)備的命令�,以完成信息安全設(shè)備的功能,但是在 Windows 2000及以上操作系統(tǒng)下�����,普通用戶沒有權(quán)限使用SCSI擴展命令�,這就給SCSI設(shè)備 的使用帶來了很多的不便。按照SCSI協(xié)議標(biāo)準(zhǔn)����,符合USB-SCSI接口標(biāo)準(zhǔn)的設(shè)備其描述符的 特征是在接口描述符中,字節(jié)0是描述符的字節(jié)長度�,值為09h;字節(jié)l是描述符類型,
值為04h;字節(jié)4是支持的終端號�����;字節(jié)5是類代碼�,值為08h;字節(jié)6為子類代碼,值為
OOh;字節(jié)7是協(xié)議代碼��,值為50h�。在類型描述符中,字節(jié)0是描述符的字節(jié)長度��,字節(jié)2 是SCSI規(guī)范的版本號。符合SCSI接口標(biāo)準(zhǔn)的設(shè)備的其它描述符中的字節(jié)���,如設(shè)備描述符�����、 配置描述符中的字節(jié)以及上述接口描述符和類型描述符中的其它字節(jié)仍按照USB協(xié)議中的規(guī)
定設(shè)置�����。
其中��,自動運行功能(Autorun)是USB-SCSI類設(shè)備所自帶的一個功能����,它使得對光盤�����、 硬盤和海量存儲等設(shè)備進行的操作變得更容易����, 一般習(xí)慣稱此種能夠自動運行起來的程序為 自動運行程序。由于自動運行程序中包含了需要自動運行的命令����,如改變驅(qū)動器圖標(biāo)、運行 程序文件���、可選快捷菜單等內(nèi)容���,所以當(dāng)帶有自動運行程序的光盤或海量存儲等設(shè)備連接到 計算機上時,自動運行程序會裝載相應(yīng)文件�����,例如GIF����、 JPEG、 HTML文件��、PDF文件�,實現(xiàn) 自動運行功能,自動運行程序還可以顯示啟動界面等����。
發(fā)明人在實現(xiàn)本發(fā)明時,經(jīng)過分析后發(fā)現(xiàn)由于在Windows 2000及以上操作系統(tǒng)下�,普 通用戶沒有權(quán)限使用SCSI擴展命令��,這就給SCSI設(shè)備的使用帶來了很多的不便��,因此信息 安全設(shè)備在Windows操作系統(tǒng)下受用戶權(quán)限限制����。
發(fā)明內(nèi)容
為了使信息安全設(shè)備能夠在Windows操作系統(tǒng)下不受用戶權(quán)限限制�,并且解決如何修改 信息安全設(shè)備權(quán)限等各種問題,本發(fā)明提供了一種控制信息安全設(shè)備訪問權(quán)限的方法和系統(tǒng)��。 一方面�,提供了一種控制信息安全設(shè)備訪問權(quán)限的方法,所述方法包括 信息安全設(shè)備與計算機建立連接后����,所述信息安全設(shè)備啟動自動運行程序; 所述自動運行程序提升自身的權(quán)限�;所述自動運行程序在所述計算機的注冊表中的光盤設(shè)備類的Properties鍵下,創(chuàng)建安全
Security項�����;并獲取安全描述符的值��;
所述自動運行程序?qū)⑺鯯ecurity項的值設(shè)置為所述安全描述符號的值����; 所述計算機根據(jù)所述Security項的值修改所述計算機的光盤設(shè)備類的訪問權(quán)限����; 所述計算機中的應(yīng)用程序向所述信息安全設(shè)備發(fā)送操作指令��,所述信息安全設(shè)備執(zhí)行所
述操作指令�����,完成所述計算機與所述信息安全設(shè)備的數(shù)據(jù)通訊��。
其中��,所述自動運行程序提升所述信息安全設(shè)備的訪問權(quán)限的步驟�����,之前還包括 所述自動運行程序判斷所述計算機的注冊表的狀態(tài)�����,如果所述注冊表未被修改���,則執(zhí)行
后續(xù)步驟���;
相應(yīng)地,如果所述注冊表被修改為期望狀態(tài)�����,則執(zhí)行所述計算機中的應(yīng)用程序向所述信 息安全設(shè)備發(fā)送操作指令��;
其中��,所述期望狀態(tài)具體為所述計算機中的應(yīng)用程序向所述信息安全設(shè)備發(fā)送操作指令 之前�����,所述注冊表的相應(yīng)狀態(tài)��。��。
其中�����,所述自動運行程序提升所述信息安全設(shè)備的訪問權(quán)限的步驟�����,具體包括
所述自動運行程序啟動自定義的Windows服務(wù);
在所述Windows服務(wù)入口函數(shù)中打開所述注冊表中的光盤設(shè)備類的Properties鍵���; 或����,
所述自動運行程序獲取系統(tǒng)服務(wù)進程的安全令牌����; 獲取所述安全令牌的安全描述符��; 獲取所述安全令牌的安全描述符的自由訪問控制列表���; 在所述自由訪問控制列表中添加當(dāng)前登錄用戶的完全控制訪問權(quán)限����; 所述安全令牌具有所述當(dāng)前登錄用戶的所有權(quán)限后����,獲取當(dāng)前進程的安全令牌; 所述自動運行程序調(diào)用ImpersonateLoggedOnllser函數(shù)��,使所述當(dāng)前進程具有系統(tǒng)服務(wù) 進程的權(quán)限�����; 或,
所述自動運行程序通過調(diào)用函數(shù)GetNamedSecuritylnfo��,獲取注冊表中光盤設(shè)備類的
Properties鍵的自由訪問控制列表���;
調(diào)用函數(shù)BuildExplicitAccessWithName創(chuàng)建一個任何用戶都可控制的訪問控制實體�; 將所述訪問控制實體添加到所述自由訪問控制列表中后�,調(diào)用SetNamedSecuritylnfo函
數(shù)更新所述光盤設(shè)備類的Properties鍵的自由訪問列表。
其中����,所述自動運行程序啟動自定義的Windows服務(wù)的步驟還包括
所述自動運行程序判斷所述自定義的Windows服務(wù)是否存在,若存在����,則所述自動運行 程序打開所述服務(wù),若不存在�,則所述自動運行程序創(chuàng)建一個自定義的Windows服務(wù); 啟動所述服務(wù)��。
其中�����,所述自動運行程序獲取安全描述符的值的步驟,具體包括
所述自動運行程序使用預(yù)先定義的安全描述符值�,或,所述自動運行程序使用計算得出 的安全描述符的值���。
其中��,所述計算獲取的安全描述符的值的步驟�,具體包括 所述自動運行程序構(gòu)造一個安全描述符�����;
設(shè)置所述安全描述符中的訪問對象的標(biāo)識�、權(quán)限����,所述訪問對象具體為用戶和組; 獲取所述安全描述符的二進制值����。
其中,所述自動運行程序構(gòu)造安全描述符的方法如下
所述自動運行程序創(chuàng)建一個新的安全描述符�;
或,
所述自動運行程序獲取系統(tǒng)服務(wù)進程的安全令牌的安全描述符; 或����,
所述自動運行程序獲取注冊表中的光盤設(shè)備類的安全描述符。
其中�����,所述設(shè)置所述安全描述符中的訪問對象的標(biāo)識��、權(quán)限的步驟��,具體包括 設(shè)置所述安全描述符中的允許訪問的訪問對象的標(biāo)識����、權(quán)限,或��,設(shè)置所述安全描述符
中的拒絕訪問的訪問對象的標(biāo)識���、權(quán)限���。
進一步地,所述獲取所述安全描述符的二進制值的步驟之前���,還包括 判斷所述安全描述符的格式�����,如果所述安全描述符是絕對格式����,則執(zhí)行后續(xù)步驟;如果
所述安全描述符是相對格式�����,則將所述相對格式轉(zhuǎn)換為所述絕對格式后��,執(zhí)行后續(xù)步驟�。 當(dāng)所述計算機的操作系統(tǒng)的版本是Vista及Vista以上的操作系統(tǒng),則所述設(shè)置所述安
全描述符中的訪問對象的標(biāo)識��、權(quán)限的步驟之后�����,還包括 設(shè)置所述安全描述符的強制性標(biāo)簽mandatory label ��。 進一步地�����,所述信息安全設(shè)備與計算機建立連接的步驟之后��,還包括 所述信息安全設(shè)備通過向所述計算機報告設(shè)備描述符為小型計算機系統(tǒng)接口光盤設(shè)備描
述符�,向所述計算機聲明所述信息安全設(shè)備自身為光盤設(shè)備類型;
相應(yīng)地�,所述計算機中的應(yīng)用程序向所述信息安全設(shè)備發(fā)送操作指令的步驟,具體包括:
所述計算機中的應(yīng)用程序向所述信息安全設(shè)備發(fā)送光盤設(shè)備類型操作指令�����。 進一步地��,所述計算機中的應(yīng)用程序向所述信息安全設(shè)備發(fā)送操作指令的步驟�����,之前還 包括
計算機提示用戶輸入身份認證信息�;
所述信息安全設(shè)備驗證用戶輸入的身份認證信息是否合法,如果是��,則所述信息安全設(shè) 備允許所述用戶使用所述信息安全設(shè)備�,否則,信息安全設(shè)備拒絕所述用戶使用所述信息安 全設(shè)備���。
其中�����,所述應(yīng)用程序具體為
預(yù)先在所述計算機保存的應(yīng)用程序����,或,通過所述信息安全設(shè)備的自動運行程序安裝而 獲取的應(yīng)用程序���。
另一方面���,提供了一種控制信息安全設(shè)備訪問權(quán)限的系統(tǒng),所述系統(tǒng)包括信息安全設(shè) 備與計算機�,所述信息安全設(shè)備包括接口模塊、自動運行模塊和通信模塊���; 所述接口模塊��,用于與所述計算機建立連接��;
所述自動運行模塊,用于當(dāng)所述信息安全設(shè)備和計算機的連接后�����,將所述自動運行程序 發(fā)送給所述計算機,所述自動運行程序運行在所述計算機上�;
所述通信模塊,用于接收所述計算機發(fā)送的操作指令����,執(zhí)行所述操作指令,完成所述計 算機與所述信息安全設(shè)備的數(shù)據(jù)通訊�;
所述計算機包括接口模塊、修改模塊和通信模塊����;
所述接口模塊,用于與所述信息安全設(shè)備建立連接�����;
所述修改模塊����,用于當(dāng)所述計算機與所述信息安全設(shè)備建立連接后,根據(jù)所述自動運行
程序設(shè)置的Security項的值�,修改所述計算機的光盤設(shè)備類的訪問權(quán)限;
所述通信模塊�����,用于實現(xiàn)計算機中的應(yīng)用程序向所述信息安全設(shè)備發(fā)送操作指令。 所述自動運行程序提升自身的權(quán)限��,并在所述計算機的注冊表中的光盤設(shè)備類的
Properties鍵下創(chuàng)建安全Security項��,再獲取安全描述符的值��,所述自動運行程序?qū)⑺?br>
Security項的值設(shè)置為所述安全描述符的值��;
所述計算機根據(jù)所述Security項的值��,修改所述計算機的光盤設(shè)備類的訪問權(quán)限���; 所述計算機中的應(yīng)用程序向所述信息安全設(shè)備發(fā)送操作指令�����,所述信息安全設(shè)備執(zhí)行所
述操作指令��,完成所述計算機與所述信息安全設(shè)備的數(shù)據(jù)通訊�。
與現(xiàn)有技術(shù)相比�,本發(fā)明的有益效果在于 一方面,本發(fā)明提供的一種通過修改注冊表
來控制信息安全設(shè)備訪問權(quán)限的系統(tǒng)與方法,可以使所述信息安全設(shè)備的使用不會受到用戶 權(quán)限的限制�,解決了信息安全設(shè)備無法在普通用戶下使用的問題,另一方面��,本發(fā)明提供的 方法與系統(tǒng)解決了如何修改信息安全設(shè)備權(quán)限等各種問題�,并且所述信息安全設(shè)備為無需安 裝驅(qū)動程序和應(yīng)用程序的設(shè)備�,使產(chǎn)品更有競爭力,應(yīng)用更廣泛���。
圖1是本發(fā)明實施例1提供的控制信息安全設(shè)備訪問權(quán)限的方法流程圖��; 圖2是本發(fā)明實施例2提供的控制信息安全設(shè)備訪問權(quán)限的方法流程圖����; 圖3是本發(fā)明實施例3提供的控制信息安全設(shè)備訪問權(quán)限的方法流程圖�; 圖4是本發(fā)明實施例4提供的控制信息安全設(shè)備訪問權(quán)限的系統(tǒng)示意圖。
具體實施例方式
為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點更加清楚�,下面將結(jié)合附圖對本發(fā)明實施方式作進 一步地詳細描述�����。
為了使信息安全設(shè)備能夠在Windows操作系統(tǒng)下不受用戶權(quán)限限制,并提高信息安全設(shè) 備權(quán)限和指定用戶權(quán)限����,本發(fā)明提供了一種控制信息安全設(shè)備訪問權(quán)限的方法,該方法內(nèi)容 如下信息安全設(shè)備與計算機建立連接后�����,信息安全設(shè)備啟動自動運行程序��;自動運行程序 提升自身的訪問權(quán)限�;自動運行程序在計算機的注冊表中的光盤設(shè)備類的Properties鍵下, 創(chuàng)建安全Security項��,并獲取安全描述符的值��;自動運行程序?qū)ecurity項的值設(shè)置為安 全描述符號的值�����;計算機根據(jù)Security項的安全描述符號的值�����,修改計算機的光盤設(shè)備類的 訪問權(quán)限���;計算機中的應(yīng)用程序向信息安全設(shè)備發(fā)送操作指令��,信息安全設(shè)備執(zhí)行操作指令���, 完成計算機與信息安全設(shè)備的數(shù)據(jù)通訊���。
其中�����,在自動運行程序提升信息安全設(shè)備的訪問權(quán)限的步驟之前����,本發(fā)明實施例提供的 方法還包括
自動運行程序判斷計算機的注冊表的狀態(tài),如果注冊表未被修改�,則執(zhí)行后續(xù)步驟; 相應(yīng)地��,如果注冊表被修改為期望狀態(tài)��,則執(zhí)行計算機中的應(yīng)用程序向信息安全設(shè)備發(fā)
送操作指令����。其中,該期望狀態(tài)即為上述計算機中的應(yīng)用程序向信息安全設(shè)備發(fā)送操作指令
之前,注冊表的相應(yīng)狀態(tài)����。
參見如下各實施例,對上述控制信息安全設(shè)備訪問權(quán)限的方法進行詳細說明��,具體內(nèi)容
詳見如下
實施例1
參見圖1��,本發(fā)明實施例提供了一種控制信息安全設(shè)備訪問權(quán)限的方法����,本發(fā)明實施例 提供的方法適用于Windows2000及以上的操作系統(tǒng)平臺,為了便于說明本發(fā)明實施例以所述 的信息安全設(shè)備具體為USB Key為例����,具體內(nèi)容參見如下
步驟IOI、 USB Key與計算機建立連接��;
其中���,通過將USB Key通過USB接口插入計算機的形式�,建立起該USB Key與該計算機 的連接關(guān)系����。
步驟102��、計算機向USB Key發(fā)送獲取設(shè)備類型的請求��; 步驟103�����、 USB Key接收計算機的請求��,并聲明自身為光盤設(shè)備類型�; 其中���,在本實施例步驟103中,信息安全設(shè)備USB Key通過向計算機報告設(shè)備描述符為 光盤設(shè)備描述符�,從而實現(xiàn)聲明該USB Key自身為光盤設(shè)備類型。 步驟104��、 USB Key啟動自動運行程序�����;
其中�,在本實施例步驟104中,自動運行程序由USB Key生產(chǎn)商預(yù)先編寫����,并存儲在該 USB Key中�����;
步驟105�����、自動運行程序判斷計算機中的注冊表狀態(tài)���,如果計算機中的注冊表未被按照 期望狀態(tài)進行修改,則執(zhí)行步驟106;如果計算機中的注冊表已經(jīng)被按期望狀態(tài)進行了修改�����, 則執(zhí)行步驟114;
步驟106�、自動運行程序判斷自定義的Windows服務(wù)是否存在,若不存在���,則執(zhí)行步驟 107;存在���,則執(zhí)行步驟108;
步驟107、自動運行程序創(chuàng)建一個自定義的Windows服務(wù)���; 步驟108����、啟動上述自定義的Windows服務(wù);
步驟109�����、在該Windows服務(wù)的入口函數(shù)中打開計算機的光盤設(shè)備類的"Pr叩erties"
鍵�����;
步驟IIO���、自動運行程序在打開的"Properties"鍵下面創(chuàng)建一個"Security"項���; 步驟lll����、自動運行程序獲取安全描述符的值;
其中�,在本實施例步驟lll中,上述安全描述符是用于指定安全對象所有者��,以及用于 指定安全對象允許(或拒絕)哪些用戶和組進行訪問及其訪問權(quán)限;
在本實施例步驟111中����,獲取所述安全描述符的值的方法包括如下兩種直接使用預(yù)先 定義的安全描述符的值和計算所述安全描述符的值,下面分別進行說明
1����、直接使用預(yù)先定義的安全描述符的值
其中,在本實施中�����,預(yù)先定義的安全描述符的值可以有很多種���,如
當(dāng)static const. BYTE everyone一sd[]=
〃\x01\x00\x04\x90\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00〃 〃\xl4\x00\x00\x00\x02\x00\xlC\x00\x01\x00\x00\x00\x00\x00\xl4\x00" "\xFF\x01\xlF\xl0\x01\x01\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00〃��;
代表任何人都有完全控制的權(quán)限��,不包括guest用戶及針對vista系統(tǒng)下的IE7保護模式����;
當(dāng)static const BYTE everyone一sd[]=
〃\x01\xOO\x04\xOO\xOO\xOO\xOO\xOO\xOO\xOO\xOO\xOO\xOO\xOO\xOO\xOO〃 〃\x00\x00\x00\x00〃���;
代表任何人都有完全控制的權(quán)限�����,包括guest和針對vista系統(tǒng)下的IE7保護模式���。
2����、計算所述安全描述符的值�����;
在本實施例中�,還可以計算安全描述符的值,具體步驟如下 首先��、自動運行程序構(gòu)造一個安全描述符��;
然后�����、設(shè)置安全描述符中允許(或拒絕)訪問的用戶和組的標(biāo)識和權(quán)限�; 其中�,進一步地��,若計算機所運行操作的系統(tǒng)是Vista及之上的系統(tǒng)�,則設(shè)置安全描述 符的mandatory label,否則���,則不用設(shè)置安全描述符的mandatory label;其中�,當(dāng)需要設(shè) 置安全描述符的mandatory label時���,在本實施例所述的mandatory label可以設(shè)置為 "S: (ML;;麗�����;����;�;LW) 〃,該〃S: (ML; ;NW;; ;LW) 〃代表一個表示"對完整性級別為低low的對象設(shè) 置為NO一WRITE一UP機制的系統(tǒng)訪問控制列表"的強制性標(biāo)簽mandatory label����。
其次,判斷安全描述符是相對格式(self-relative)還是絕對格式(absolute),若是 相對格式���,則將相對格式轉(zhuǎn)化為絕對格式��;
再次����,獲取安全描述符的二進制值,則該獲取的二進制值即為安全描述符的值��; 其中�,在本實施例中的計算安全描述符的值的步驟中,自動運行程序構(gòu)造安全描述符的 方法如下
自動運行程序創(chuàng)建一個新的安全描述符�����; 或����,
自動運行程序獲取系統(tǒng)服務(wù)進程的安全令牌的安全描述符; 或�,
自動運行程序獲取注冊表中的光盤設(shè)備類的安全描述符。
步驟112�����、自動運行程序?qū)?Security"項的值設(shè)置為指定權(quán)限對應(yīng)的安全描述符的值; 其中��,根據(jù)上述步驟111獲取的安全描述符的值���,將上述步驟110創(chuàng)建的"Security" 項的值設(shè)置為該安全描述符的值���。
步驟113、計算機根據(jù)設(shè)置后的注冊表的"Security"項的值��,改變光盤設(shè)備類的所有
權(quán)限����;
其中,該步驟中計算機根據(jù)設(shè)置后的注冊表的"Security"項的值��,改變光盤設(shè)備類的 所有權(quán)限�,所謂光盤設(shè)備類是指系統(tǒng)中的所有光盤設(shè)備,系統(tǒng)在驅(qū)動安裝時���,每一種設(shè)備都 進行歸類���,每一類設(shè)備由相同的驅(qū)動安裝,并由相同的GUID(Globally Unique Ientifier, 全局唯一標(biāo)識符)來標(biāo)識�����。例如該計算機存在多個光盤設(shè)備,如USB Key����、軟盤、硬盤���、光
盤等等��。
步驟114��、計算機提示用戶輸入身份認證信息���;
步驟115、信息安全設(shè)備內(nèi)部驗證用戶輸入的身份認證信息是否合法���,若身份認證信息
不合法��,則執(zhí)行步驟116;若身份認證信息合法�����,則執(zhí)行步驟117;
步驟116��、信息安全設(shè)備通過計算機提示出錯信息或者要求用戶重新輸入身份認證信息�����; 步驟in�、信息安全設(shè)備允許用戶使用信息安全設(shè)備��;
步驟118�、計算機中的應(yīng)用程序向信息安全設(shè)備發(fā)送光盤設(shè)備類型操作指令,與信息安 全設(shè)備進行數(shù)據(jù)通信��,信息安全設(shè)備執(zhí)行該操作指令�����;
其中����,在本實施例步驟118中,計算機中的應(yīng)用程序可以是計算機中預(yù)先存在的��,也可 以是通過信息安全設(shè)備中的自動運行程序安裝上的�����。
綜上所述�,本發(fā)明實施例提供了一種控制信息安全設(shè)備訪問權(quán)限的方法��,本發(fā)明實施例 提供的方法適用于Windows2000及以上的操作系統(tǒng)平臺����,通過本發(fā)明實施例提供的方法實現(xiàn) 了信息安全設(shè)備能夠在Windows操作系統(tǒng)下不受用戶權(quán)限限制����,以及如何提高信息安全設(shè)備 權(quán)限和指定用戶權(quán)限等各種問題。
在實現(xiàn)本發(fā)明實施例提供的控制信息安全設(shè)備訪問權(quán)限的方法時�����,本發(fā)明實施例1是通 過創(chuàng)建Windows服務(wù)的方式實現(xiàn)提升訪問權(quán)限的��,其中���,還可以通過安全令牌的方式實現(xiàn)提 升訪問權(quán)限����,詳見下述實施例2��。
實施例2
參見圖2�,本發(fā)明實施例提供了一種控制信息安全設(shè)備訪問權(quán)限的方法,本發(fā)明實施例 在提升訪問權(quán)限時���,是通過安全令牌的方式實現(xiàn)����,本發(fā)明實施例提供的方法適用于 Windows2000/XP/2003操作系統(tǒng),仍以信息安全設(shè)備具體為USB Key為例進行說明����,具體內(nèi) 容如下
步驟201�、 USB Key與計算機建立連接;
步驟202��、計算機向USB Key發(fā)送獲取設(shè)備類型的請求�����; 步驟203�����、 USB Key接收計算機的請求���,并聲明自身為光盤設(shè)備類型����; 在本實施例步驟203中,信息安全設(shè)備USB Key通過向計算機報告設(shè)備描述符為光盤設(shè) 備描述符��,實現(xiàn)聲明自身為光盤設(shè)備類型��。 步驟204��、 USB Key啟動自動運行程序����;
在本實施例步驟204中,自動運行程序由USB Key生產(chǎn)商預(yù)先編寫���,并存儲在USB Key
中�;
步驟205�����、自動運行程序判斷計算機中的注冊表狀態(tài)����,如果計算機中的注冊表未被按照 期望狀態(tài)進行修改,則執(zhí)行步驟206;如果計算機中的注冊表已經(jīng)被按期望狀態(tài)進行了修改�, 則執(zhí)行步驟216;
步驟206、自動運行程序獲取系統(tǒng)服務(wù)進程的安全令牌;
其中�����,本步驟206中自動運行程序在獲取系統(tǒng)服務(wù)進程的安全令牌時����,可以通過指定某 個系統(tǒng)服務(wù)進程的安全令牌方式實現(xiàn),還可以通過選擇任意一個系統(tǒng)服務(wù)進程的安全令牌方 式實現(xiàn)����,本發(fā)明實施例不限制該步驟自動運行程序獲取系統(tǒng)服務(wù)進程的安全令牌的具體實現(xiàn) 方式和方法。
步驟207���、自動運行程序獲取上述安全令牌的安全描述符;
其中���,在本實施例步驟207中�����,安全描述符是用于指定安全對象所有者�����,以及用于指定 安全對象允許或拒絕哪些用戶和組進行訪問及其訪問權(quán)限��。
步驟208����、自動運行程序獲取上述安全描述符的自由訪問控制列表;
步驟209����、自動運行程序在該自由訪問控制列表中添加當(dāng)前登錄用戶的完全控制訪問權(quán) 限,使安全令牌具有當(dāng)前登錄用戶的所有權(quán)限�����;
步驟210�����、自動運行程序獲取當(dāng)前進程的安全令牌����;
步驟211、自動運行程序調(diào)用ImpersonateLoggedOnUser函數(shù)�����,使當(dāng)前進程具有系統(tǒng)服 務(wù)進程的權(quán)限;
步驟212����、自動運行程序打開計算機的注冊表的光盤設(shè)備類的"Properties"鍵,并在 "Properties"鍵下面?zhèn)}'J建一個"Security"項��; 步驟213�����、自動運行程序獲取安全描述符的值���;
其中���,在本實施例步驟213中,獲取所述安全描述符的值的方法包括如下兩種直接使 用預(yù)先定義的安全描述符的值和計算所述安全描述符的值��,具體內(nèi)容如下 1���、預(yù)先定義的安全描述符的值可以有很多種,如
當(dāng)static const BYTE everyone_sd[]=
〃\x01\x00\x04\x90\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00〃 〃\xl4\x00\x00\x00\x02\x00\xlC\x00\x01\x00\x00\x00\x00\x00\xl4\x00〃 〃\xFF\x01\xlF\xl0\x01\x01\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00";
代表任何人都有完全控制的權(quán)限�,不包括guest用戶;
當(dāng)static const BYTE everyone—sd[]=
〃\x01\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00〃 〃\x00\x00\x00\x00〃����;
代表任何人都有完全控制的權(quán)限��,包括guest用戶���;
2、計算安全描述符的值�,具體步驟如下-
首先、自動運行程序構(gòu)造一個安全描述符����;
然后、設(shè)置安全描述符中允許或拒絕訪問的用戶和組的標(biāo)識和權(quán)限����;
其次、判斷安全描述符是相對格式(self-relative)還是絕對格式(absolute),若是
相對格式����,則將相對格式轉(zhuǎn)化為絕對格式;
最后�、獲取安全描述符的二進制值,則該二進制值即為安全描述符的值���;
其中��,在本實施例中的計算安全描述符的值的步驟中��,自動運行程序構(gòu)造安全描述符的
方法如下
自動運行程序創(chuàng)建一個新的安全描述符����; 或,
自動運行程序獲取系統(tǒng)服務(wù)進程的安全令牌的安全描述符�; 或,
自動運行程序獲取注冊表中的光盤設(shè)備類的安全描述符���。
步驟214����、自動運行程序?qū)?Security"項的值設(shè)置為指定權(quán)限對應(yīng)的安全描述符的值; 步驟215�����、計算機根據(jù)設(shè)置后的注冊表的"Security"項的值�����,改變光盤設(shè)備類的所有 權(quán)限��;
步驟216�����、計算機提示用戶輸入身份認證信息����;
步驟217、信息安全設(shè)備內(nèi)部驗證用戶輸入的身份認證信息是否合法���,若身份認證信息 不合法�����,則執(zhí)行步驟218���,若身份認證信息合法,則執(zhí)行步驟219;
步驟218���、信息安全設(shè)備通過計算機提示出錯信息或者要求用戶重新輸入身份認證信息; 步驟219��、信息安全設(shè)備允許用戶使用信息安全設(shè)備��;
步驟220���、計算機中的應(yīng)用程序向信息安全設(shè)備發(fā)送光盤設(shè)備類型操作指令�,與信息安 全設(shè)備進行數(shù)據(jù)通信����,信息安全設(shè)備執(zhí)行該操作指令;
其中��,在本實施例步驟220中�����,計算機中的應(yīng)用程序可以是計算機中預(yù)先存在的��,也可 以是通過信息安全設(shè)備中的自動運行程序安裝上的����。
綜上所述,本發(fā)明實施例提供了一種控制信息安全設(shè)備訪問權(quán)限的方法����,本發(fā)明實施例 提供的方法適用于Windows2000/XP/2003操作系統(tǒng)平臺,通過本發(fā)明實施例提供的方法實現(xiàn) 了信息安全設(shè)備能夠在Windows操作系統(tǒng)下不受用戶權(quán)限限制��,以及如何提高信息安全設(shè)備 權(quán)限和指定用戶權(quán)限等各種問題����。
在實現(xiàn)本發(fā)明實施例提供的控制信息安全設(shè)備訪問權(quán)限的方法時�����,針對 Windows2000/XP/2003操作系統(tǒng)平臺而言,本發(fā)明實施例2是通過安全令牌的方式實現(xiàn)提升 訪問權(quán)限��,其中�����,還可以通過使用函數(shù)獲取光盤設(shè)備類的"Properties"鍵的自由訪問列表 的方式實現(xiàn)�,詳見下述實施例3。
實施例3
參見圖3����,本發(fā)明實施例提供了一種控制信息安全設(shè)備訪問權(quán)限的方法,本發(fā)明實施例 在提升訪問權(quán)限時���,是通過使用函數(shù)獲取光盤設(shè)備類的"Properties"鍵的自由訪問列表的 方式實現(xiàn)�,本發(fā)明實施例提供的方法適用于Windows2000/XP/2003操作系統(tǒng)�����,仍以信息安全 設(shè)備具體為USB Key為例進行說明����,具體內(nèi)容如下 步驟30K USB Key與計算機建立連接����; 步驟302���、計算機向USB Key發(fā)送獲取設(shè)備類型的請求���; 步驟303、 USB Key接收計算機的請求并聲明自身為光盤設(shè)備類型�; 在本實施例步驟303中,信息安全設(shè)備通過向計算機報告設(shè)備描述符為光盤設(shè)備描述符�, 實現(xiàn)聲明自身為光盤設(shè)備類型。
步驟304��、 USB Key啟動自動運行程序���;
在本實施例步驟304中���,自動運行程序由USB Key生產(chǎn)商預(yù)先編寫,并存儲在USB Key
中��;
步驟305、自動運行程序判斷計算機中的注冊表狀態(tài)��,如果計算機中的注冊表未被按照 期望狀態(tài)進行修改����,則執(zhí)行步驟306;如果計算機中的注冊表已經(jīng)被按期望狀態(tài)進行了修改, 則執(zhí)行步驟314;
步驟306 �、自動運行程序使用函數(shù)GetNamedSecuritylnfo獲取光盤設(shè)備類的
"Properties "鍵的自由訪問列表���;
步驟307�����、自動運行程序使用函數(shù)BuildExplicitAccessWithName創(chuàng)建一個任何人都可
以控制的訪問控制實體�����;
步驟308��、自動運行程序?qū)⒃撛L問控制實體加入到訪問控制列表中�;
步驟309����、自動運行程序使用SetNamedSecuritylnfo函數(shù),更新光盤設(shè)備類的 "Properties"鍵的自由訪問列表;
歩驟310�、自動運行程序打開光盤設(shè)備類的"Properties"鍵,并在"Properties"子 鍵下面創(chuàng)建一個"Security"項���;
步驟311����、自動運行程序獲取安全描述符的值�����;
其中�,在本實施例步驟310中,安全描述符是用于指定安全對象所有者��,以及用于指定 安全對象允許或拒絕哪些用戶和組進行訪問及其訪問權(quán)限���;
在本實施例步驟311中����,獲取所述安全描述符的值的方法包括如下兩種直接使用預(yù)先 定義的安全描述符的值和計算所述安全描述符的值����;具體內(nèi)容如下
1、 直接使用預(yù)先定義的安全描述符的值
在本實施中,預(yù)先定義的安全描述符的值可以有很多種�,如
當(dāng)static const BYTE everyone一sd[]=
"\x01\x00\x04\x90\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00" "\xl4\x00\x00\x00\x02\x00\xlC\x00\x01\x00\x00\x00\x00\x00\xl4\x00〃 〃\xFF\x01\xlF\xl0\x01\x01\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00〃;
代表任何人都有完全控制的權(quán)限�,不包括guest用戶;
當(dāng)static const BYTE everyone一sd[]=
"\x01\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00〃 〃\x00\x00\x00\x00〃�;
代表任何人都有完全控制的權(quán)限,包括guest用戶���;
2、 計算安全描述符的值����,具體步驟如下 首先����、自動運行程序構(gòu)造一個安全描述符;
然后��、設(shè)置安全描述符中允許或拒絕訪問的用戶和組的標(biāo)識和權(quán)限���; 其次����、判斷安全描述符是相對格式(self-relative)還是絕對格式(absolute),若是 相對格式,則將相對格式轉(zhuǎn)化為絕對格式�;
最后、獲取安全描述符的二進制值��,則該二進制值即為安全描述符的值�;
其中,在本實施例中的計算安全描述符的值的步驟中�,自動運行程序構(gòu)造安全描述符的 方法如下
自動運行程序創(chuàng)建一個新的安全描述符;
或����,
自動運行程序獲取系統(tǒng)服務(wù)進程的安全令牌的安全描述符; 或�����,
自動運行程序獲取注冊表中的光盤設(shè)備類的安全描述符�����。
步驟312����、自動運行程序?qū)?Security"項的值設(shè)置為指定權(quán)限對應(yīng)的安全描述符的值; 步驟313�、計算機根據(jù)設(shè)置后的注冊表的"Security"項的值來改變光盤設(shè)備類的所有 權(quán)限���;
步驟314、計算機提示用戶輸入身份認證信息�����;
步驟315�、信息安全設(shè)備內(nèi)部驗證用戶輸入的身份認證信息是否合法,若身份認證信息 不合法�,則執(zhí)行步驟316;若身份認證信息合法,則執(zhí)行步驟317;
歩驟316�、信息安全設(shè)備通過計算機提示出錯信息或者要求用戶重新輸入身份認證信息; 步驟317�����、信息安全設(shè)備允許用戶使用信息安全設(shè)備�����;
步驟318��、計算機中的應(yīng)用程序向信息安全設(shè)備發(fā)送光盤設(shè)備類型操作指令�,與信息安 全設(shè)備進行數(shù)據(jù)通信�,信息安全設(shè)備執(zhí)行這個操作指令;
在本實施例步驟318中�,計算機中的應(yīng)用程序可以是計算機中預(yù)先存在的,也可以是通 過信息安全設(shè)備中的自動運行程序安裝上的�����。
綜上所述��,本發(fā)明實施例提供了一種控制信息安全設(shè)備訪問權(quán)限的方法��,本發(fā)明實施例 提供的方法適用于Windows2000/XP/2003操作系統(tǒng)平臺�����,通過本發(fā)明實施例提供的方法實現(xiàn) 了信息安全設(shè)備能夠在Windows操作系統(tǒng)下不受用戶權(quán)限限制�,以及如何提高信息安全設(shè)備 權(quán)限和指定用戶權(quán)限等各種問題����。
實施例4
參見圖4,本發(fā)朋實施例提供了一種控制信息安全設(shè)備訪問權(quán)限的系統(tǒng)����,系統(tǒng)包括信 息安全設(shè)備400與計算機500,其中��,信息安全設(shè)備400包括接口模塊401���、自動運行模塊 402和通信模塊403;
接口模塊401����,用于與計算機500建立連接����;
自動運行模塊402,用于當(dāng)信息安全設(shè)備400和計算機500建立連接后�,將自動運行程 序發(fā)送給計算機500,自動運行程序運行在計算機500上�����;
通信模塊403��,用于接收計算機500發(fā)送的操作指令�,執(zhí)行該操作指令,完成計算機500 與信息安全設(shè)備400的數(shù)據(jù)通訊�;
其中計算機500包括接口模塊501、修改模塊502和通信模塊503;
接口模塊501�����,用于與信息安全設(shè)備400建立連接���;
修改模塊502��,用于當(dāng)計算機500與信息安全設(shè)備400建立連接后�����,根據(jù)自動運行程序
設(shè)置的Security項的值�,修改計算機500的光盤設(shè)備類的訪問權(quán)限��;
通信模塊503����,用于實現(xiàn)計算機500中的應(yīng)用程序向信息安全設(shè)備400發(fā)送操作指令。 自動運行程序提升自身的權(quán)限�����,并在計算機500的注冊表中的光盤設(shè)備類的Pr叩erties
鍵下創(chuàng)建安全Security項����,再獲取安全描述符的值�,自動運行程序?qū)ecurity項的值設(shè)置
為安全描述符的值����;
計算機500根據(jù)Security項的值,修改計算機500的光盤設(shè)備類的訪問權(quán)限���;
計算機500中的應(yīng)用程序向信息安全設(shè)備400發(fā)送操作指令�,信息安全設(shè)備400執(zhí)行操 作指令����,完成計算機500與信息安全設(shè)備400的數(shù)據(jù)通訊。
綜上所述�,本發(fā)明實施例提供了一種控制信息安全設(shè)備訪問權(quán)限的系統(tǒng),通過本發(fā)明實 施例提供的系統(tǒng)實現(xiàn)了信息安全設(shè)備能夠在Windows操作系統(tǒng)下不受用戶權(quán)限限制�,以及如 何修改信息安全設(shè)備權(quán)限等各種問題�。
以上所述僅為本發(fā)明的較佳實施例,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之 內(nèi),所作的任何修改����、等同替換���、改進等�,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種控制信息安全設(shè)備訪問權(quán)限的方法�,其特征在于,所述方法包括信息安全設(shè)備與計算機建立連接后��,所述信息安全設(shè)備啟動自動運行程序����;所述自動運行程序提升自身的權(quán)限;所述自動運行程序在所述計算機的注冊表中的光盤設(shè)備類的Properties鍵下�����,創(chuàng)建安全Security項����;并獲取安全描述符的值;所述自動運行程序?qū)⑺鯯ecurity項的值設(shè)置為所述安全描述符號的值���;所述計算機根據(jù)所述Security項的值�����,修改所述計算機的光盤設(shè)備類的訪問權(quán)限���;所述計算機中的應(yīng)用程序向所述信息安全設(shè)備發(fā)送操作指令��,所述信息安全設(shè)備執(zhí)行所述操作指令�,完成所述計算機與所述信息安全設(shè)備的數(shù)據(jù)通訊�。
2、 如權(quán)利要求l所述的方法����,其特征在于,所述自動運行程序提升所述信息安全設(shè)備的 訪問權(quán)限的步驟���,之前還包括所述自動運行程序判斷所述計算機的注冊表的狀態(tài)��,如果所述注冊表未被修改�,則執(zhí)行 后續(xù)步驟�����;相應(yīng)地����,如果所述注冊表被修改為期望狀態(tài)�,則執(zhí)行所述計算機中的應(yīng)用程序向所述信 息安全設(shè)備發(fā)送操作指令����。
3����、 如權(quán)利要求2所述的方法,其特征在于���,所述期望狀態(tài)具體為所述計算機中的應(yīng)用程 序向所述信息安全設(shè)備發(fā)送操作指令之前���,所述注冊表的相應(yīng)狀態(tài)。
4����、 如權(quán)利要求l所述的方法,其特征在于�,所述自動運行程序提升所述信息安全設(shè)備的 訪問權(quán)限的步驟,具體包括所述自動運行程序啟動自定義的Windows服務(wù)�;在所述Windows服務(wù)入口函數(shù)中打開所述注冊表中的光盤設(shè)備類的Properties鍵; 或��,所述自動運行程序獲取系統(tǒng)服務(wù)進程的安全令牌����; 獲取所述安全令牌的安全描述符���; 獲取所述安全令牌的安全描述符的自由訪問控制列表;在所述自由訪問控制列表中添加當(dāng)前登錄用戶的完全控制訪問權(quán)限�; 所述安全令牌具有所述當(dāng)前登錄用戶的所有權(quán)限后,獲取當(dāng)前進程的安全令牌��; 所述自動運行程序調(diào)用I即ersonateLoggedOnUser函數(shù)��,使所述當(dāng)前進程具有系統(tǒng)服務(wù) 進程的權(quán)限�; 或,所述自動運行程序通過調(diào)用函數(shù)GetNamedSecuritylnfo��,獲取注冊表中光盤設(shè)備類的Properties鍵的自由訪問控制列表��;調(diào)用函數(shù)BuildExplicitAccessWithName創(chuàng)建一個任何用戶都可控制的訪問控制實體�����; 將所述訪問控制實體添加到所述自由訪問控制列表中后����,調(diào)用SetNamedSecuritylnfo函數(shù)更新所述光盤設(shè)備類的Properties鍵的自由訪問列表。
5����、 如權(quán)利要求4所述的方法��,其特征在于�����,所述自動運行程序啟動自定義的Windows服 務(wù)的步驟還包括所述自動運行程序判斷所述自定義的Windows服務(wù)是否存在,若存在��,則所述自動運行 程序打開所述服務(wù)��,若不存在���,則所述自動運行程序創(chuàng)建一個自定義的Windows服務(wù)���; 啟動所述服務(wù)。
6����、 如權(quán)利要求l所述的方法,其特征在于�����,所述自動運行程序獲取安全描述符的值的步驟,具體包括所述自動運行程序使用預(yù)先定義的安全描述符值��,或����,所述自動運行程序使用計算出的 安全描述符的值。
7���、 如權(quán)利要求6所述的方法���,其特征在于,所述計算安全描述符的值的步驟�,具體包括: 所述自動運行程序構(gòu)造一個安全描述符;設(shè)置所述安全描述符中的訪問對象的標(biāo)識����、權(quán)限,所述訪問對象具體為用戶和組����; 獲取所述安全描述符的二進制值。
8�、 如權(quán)利要求7所述的方法,其特征在于����,所述構(gòu)造安全描述符的方法如下 所述自動運行程序創(chuàng)建一個新的安全描述符��;或�����,所述自動運行程序獲取系統(tǒng)服務(wù)進程的安全令牌的安全描述符�����;或,所述自動運行程序獲取注冊表中的光盤設(shè)備類的安全描述符��。
9�、 如權(quán)利要求7所述的方法,其特征在于����,所述設(shè)置所述安全描述符中的訪問對象的標(biāo)識、權(quán)限的歩驟��,具體包括設(shè)置所述安全描述符中的允許訪問的訪問對象的標(biāo)識�、權(quán)限,或��,設(shè)置所述安全描述符 中的拒絕訪問的訪問對象的標(biāo)識、權(quán)限�����。
10��、 如權(quán)利要求7所述的方法����,其特征在于,所述獲取所述安全描述符的二進制值的步驟之前�����,還包括-判斷所述安全描述符的格式����,如果所述安全描述符是絕對格式,則執(zhí)行后續(xù)步驟��;如果 所述安全描述符是相對格式�,則將所述相對格式轉(zhuǎn)換為所述絕對格式后,執(zhí)行后續(xù)步驟��。
11�����、 如權(quán)利要求7所述的方法,其特征在于��,當(dāng)所述計算機的操作系統(tǒng)的版本是Vista 及Vista以上的操作系統(tǒng)��,則設(shè)置所述安全描述符中的訪問對象的標(biāo)識�、權(quán)限的步驟之后,還包括設(shè)置所述安全描述符的強制性標(biāo)簽mandatory label ��。
12���、 如權(quán)利要求1所述的方法�,其特征在于��,所述信息安全設(shè)備與計算機建立連接的步 驟之后�����,還包括所述信息安全設(shè)備通過向所述計算機報告設(shè)備描述符為小型計算機系統(tǒng)接口光盤設(shè)備描 述符�,向所述計算機聲明所述信息安全設(shè)備自身為光盤設(shè)備類型��;相應(yīng)地�,所述計算機中的應(yīng)用程序向所述信息安全設(shè)備發(fā)送操作指令的步驟���,具體包括 所述計算機中的應(yīng)用程序向所述信息安全設(shè)備發(fā)送光盤設(shè)備類型操作指令。
13���、 如權(quán)利要求l所述的方法���,其特征在于,所述計算機中的應(yīng)用程序向所述信息安全 設(shè)備發(fā)送操作指令的步驟��,之前還包括所述計算機提示用戶輸入身份認證信息����;所述信息安全設(shè)備驗證用戶輸入的身份認證信息是否合法,如果是�,則所述信息安全設(shè) 備允許所述用戶使用所述信息安全設(shè)備,否則���,所述信息安全設(shè)備拒絕所述用戶使用所述信 息安全設(shè)備��。
14�����、 如權(quán)利要求l所述的方法���,其特征在于�����,所述應(yīng)用程序具體為預(yù)先在所述計算機中保存的應(yīng)用程序���,或,通過所述信息安全設(shè)備的自動運行程序安裝 到所述計算機中的應(yīng)用程序�。
15、 一種控制信息安全設(shè)備訪問權(quán)限的系統(tǒng)�����,其特征在于���,所述系統(tǒng)包括信息安全設(shè) 備與計算機��,所述信息安全設(shè)備包括接口模塊����、自動運行模塊和通信模塊����;所述接口模塊,用于與所述計算機建立連接�����;所述自動運行模塊����,用于當(dāng)所述信息安全設(shè)備與所述計算機建立連接后,將所述自動運 行程序發(fā)送給所述計算機���,所述自動運行程序運行在所述計算機中��;所述通信模塊���,用于接收所述計算機發(fā)送的操作指令,執(zhí)行所述操作指令����,完成所述計 算機與所述信息安全設(shè)備的數(shù)據(jù)通訊;所述計算機包括接口模塊��、修改模塊和通信模塊����;所述接口模塊���,用于與所述信息安全設(shè)備建立連接;所述修改模塊��,用于當(dāng)所述計算機與所述信息安全設(shè)備建立連接后��,根據(jù)所述自動運行程序設(shè)置的Security項的值�,修改所述計算機的光盤設(shè)備類的訪問權(quán)限;所述通信模塊���,用于實現(xiàn)所述計算機中的應(yīng)用程序向所述信息安全設(shè)備發(fā)送操作指令����; 所述自動運行程序提升自身的權(quán)限�����,并在所述計算機的注冊表中的光盤設(shè)備類的Properties鍵下創(chuàng)建安全Security項���,再獲取安全描述符的值���,所述自動運行程序把所述Security項的值設(shè)置為所述安全描述符的值;所述計算機根據(jù)所述Security項的值��,修改所述計算機的光盤設(shè)備類的訪問權(quán)限�����; 所述計算機中的應(yīng)用程序向所述信息安全設(shè)備發(fā)送操作指令�,所述信息安全設(shè)備執(zhí)行所述操作指令,完成所述計算機與所述信息安全設(shè)備的數(shù)據(jù)通訊�����。
全文摘要
本發(fā)明公開了一種控制信息安全設(shè)備訪問權(quán)限的方法和系統(tǒng)�,屬于控制設(shè)備訪問權(quán)限領(lǐng)域。方法包括信息安全設(shè)備啟動自動運行程序�����;提升自動運行程序的權(quán)限�����,在計算機的注冊表中的光盤設(shè)備類的Properties鍵下創(chuàng)建安全Security項�����;并獲取安全描述符的值;把安全描述符號的值設(shè)置為Security項的值�;計算機根據(jù)Security項的值修改計算機的光盤設(shè)備類的訪問權(quán)限;計算機中的應(yīng)用程序向信息安全設(shè)備發(fā)送操作指令�����,完成計算機與信息安全設(shè)備的數(shù)據(jù)通訊�。系統(tǒng)包括信息安全設(shè)備與計算機,通過本發(fā)明使得信息安全設(shè)備能夠在Windows操作系統(tǒng)下不受用戶權(quán)限限制��,并且解決了如何修改信息安全設(shè)備權(quán)限等各種問題����。
文檔編號G06F21/00GK101369302SQ200810222758
公開日2009年2月18日 申請日期2008年9月24日 優(yōu)先權(quán)日2008年9月24日
發(fā)明者于華章, 舟 陸 申請人:北京飛天誠信科技有限公司