[发明专利]一种控制信息安全设备访问权限的方法和系统

权利要求书

1.一种控制信息安全设备访问权限的方法，其特征在于，所述方法包括：

信息安全设备与计算机建立连接后，所述信息安全设备启动自动运行程序；

所述自动运行程序提升所述信息安全设备的访问权限；

所述自动运行程序在所述计算机的注册表中的光盘设备类的Properties键下，创建安全Security项；并获取安全描述符的值；

所述自动运行程序将所述Security项的值设置为所述安全描述符的值；

所述计算机根据所述Security项的值，修改所述计算机的光盘设备类的访问权限；

所述计算机中的应用程序向所述信息安全设备发送操作指令，所述信息安全设备执行所述操作指令，完成所述计算机与所述信息安全设备的数据通讯；

其中，所述自动运行程序提升所述信息安全设备的访问权限的步骤具体包括：

所述自动运行程序通过调用函数GetNamedSecurityInfo，获取注册表中光盘设备类的Properties键的自由访问控制列表；

调用函数BuildExplicitAccessWithName创建一个任何用户都可控制的访问控制实体；

将所述访问控制实体添加到所述自由访问控制列表中后，调用SetNamedSecurityInfo函数更新所述光盘设备类的Properties键的自由访问列表。

2.如权利要求1所述的方法，其特征在于，所述自动运行程序提升所述信息安全设备的访问权限的步骤，之前还包括：

所述自动运行程序判断所述计算机的注册表的状态，如果所述注册表未被修改，则执行后续步骤；

相应地，如果所述注册表被修改为期望状态，则跳转到所述计算机中的应用程序向所述信息安全设备发送操作指令的步骤。

3.如权利要求2所述的方法，其特征在于，所述期望状态具体为所述计算机中的应用程序向所述信息安全设备发送操作指令之前，所述注册表的相应状态。

4.如权利要求1所述的方法，其特征在于，所述自动运行程序获取安全描述符的值的步骤，具体包括：

所述自动运行程序使用预先定义的安全描述符值，或，所述自动运行程序使用计算出的安全描述符的值。

5.如权利要求4所述的方法，其特征在于，所述计算安全描述符的值的步骤，具体包括：

所述自动运行程序构造一个安全描述符；

设置所述安全描述符中的访问对象的标识、权限，所述访问对象具体为用户和组；

获取所述安全描述符的二进制值。

6.如权利要求5所述的方法，其特征在于，所述构造安全描述符的方法如下：

所述自动运行程序创建一个新的安全描述符；

或，

所述自动运行程序获取系统服务进程的安全令牌的安全描述符；

或，

所述自动运行程序获取注册表中的光盘设备类的安全描述符。

7.如权利要求5所述的方法，其特征在于，所述设置所述安全描述符中的访问对象的标识、权限的步骤，具体包括：

设置所述安全描述符中的允许访问的访问对象的标识、权限，或，设置所述安全描述符中的拒绝访问的访问对象的标识、权限。

8.如权利要求5所述的方法，其特征在于，所述获取所述安全描述符的二进制值的步骤之前，还包括：

判断所述安全描述符的格式，如果所述安全描述符是绝对格式，则执行后续步骤；如果所述安全描述符是相对格式，则将所述相对格式转换为所述绝对格式后，执行后续步骤。

9.如权利要求5所述的方法，其特征在于，当所述计算机的操作系统的版本是Vista及Vista以上的操作系统，则设置所述安全描述符中的访问对象的标识、权限的步骤之后，还包括：

设置所述安全描述符的强制性标签mandatory label。

10.如权利要求1所述的方法，其特征在于，所述信息安全设备与计算机建立连接的步骤之后，还包括：

所述信息安全设备通过向所述计算机报告设备描述符为小型计算机系统接口光盘设备描述符，向所述计算机声明所述信息安全设备自身为光盘设备类型；

相应地，所述计算机中的应用程序向所述信息安全设备发送操作指令的步骤，具体包括：

所述计算机中的应用程序向所述信息安全设备发送光盘设备类型操作指令。