CN100363857C - 系统bootrom安全访问方法 - Google Patents
系统bootrom安全访问方法 Download PDFInfo
- Publication number
- CN100363857C CN100363857C CNB200410091738XA CN200410091738A CN100363857C CN 100363857 C CN100363857 C CN 100363857C CN B200410091738X A CNB200410091738X A CN B200410091738XA CN 200410091738 A CN200410091738 A CN 200410091738A CN 100363857 C CN100363857 C CN 100363857C
- Authority
- CN
- China
- Prior art keywords
- bootrom
- access
- visit
- password
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种系统bootrom安全访问方法,所述方法包括:设定系统bootrom访问控制命令;当系统运行应用程序时通过访问控制命令控制系统bootrom的访问状态;当系统运行bootrom时,根据bootrom的访问状态控制用户对系统bootrom的访问。利用本发明,可以提高bootrom访问的安全性。
Description
技术领域
本发明涉及通信设备技术领域,具体涉及一种系统bootrom安全访问方法。
背景技术
bootrom(启动芯片)软件是使用实时操作系统的设备启动引导程序,例如,以太网交换机、路由器等设备,在CPU(中央处理单元)芯片内部,内嵌有小的boot(启动)程序,类似于PC机主板上的BIOS(基本输入/输出系统)的存储区域。当设备启动时,bootrom软件将设备的应用程序搬移到内存中的指定位置并开始运行,此外bootrom软件还具有设备上电自检、文件下载升级、flash(闪存)管理等功能。通常,bootrom芯片为flash(闪存)或E2PROM(电可擦除存储器)。为了方便设备维护管理,可以由管理人员通过console(配置接口)口访问设备,登录bootrom菜单,利用bootrom菜单中的命令对设备进行配置或操作。
目前,随着IP网络规模的不断扩大,城域网中的交换机数量正在以几何级数增长,交换机数量的快速增长带来的最棘手的问题就是设备的维护问题,尤其是对网络设备的安全管理问题。对于以bootrom软件作为启动引导程序的设备来说,对bootrom的访问安全也是关系到设备甚至整个网络安全的一个重要环节。
为了提高网络设备的安全性能,更好地满足用户的需求,一般对交换机的管理设置双重密码保护:第一道密码是bootrom启动密码,即在设备开始启动时,如果需要对交换机的存贮在flash中的引导程序文件进行操作,则必须要进行密码识别;第二道密码是交换机配置密码,即在设备运行时,如果需要对现有的配置进行修改或是读取,也要经过密码的识别。
使用bootrom密码方式来保护bootrom菜单,实现方式是在登录bootrom菜单之前先进行密码验证,若输入的密码正确,则允许访问bootrom菜单,若输入密码错误,则禁止访问bootrom菜单。该密码可以由系统管理员任意设定。通常,系统bootrom访问过程如图1所示:
启动交换机后通过命令进入到输入BOOTROM启动密码界面。由用户输入BOOTROM启动密码,如果输入的BOOTROM启动密码与管理员设置的密码相同,则进入引导程序文件系统,如果输入的BOOTROM启动密码错误,则拒绝进入引导程序文件系统,也就是说系统会停留在BOOTROM启动密码输入界面,而无法正常引导应用程序运行。
这种密码保护方式在使用过程中会遇到如下问题:
(1)bootrom密码会通过其他途径,如窃听、无意传播等,被非法者获得,一旦非法者获得bootrom密码,就可以登录bootrom菜单,利用bootrom菜单中的命令对交换机进行操作,如果对文件进行删除,则会造成不可挽回的损失。
(2)在bootrom启动过程中会出现密码登录界面,如果密码验证不通过,则交换机会停留在密码验证界面,导致交换机不能正常启动。
发明内容
本发明的目的是提供一种系统bootrom安全访问方法,以克服现有技术中只通过bootrom密码对bootrom访问进行保护安全性差、管理不便的缺点,提高设备的安全性。
为此,本发明提供如下技术方案:
一种系统bootrom安全访问方法,所述方法包括:
A、设定系统bootrom访问控制命令;
B、当所述系统运行应用程序时通过所述访问控制命令控制系统bootrom的访问状态;
C、当所述系统运行bootrom时,根据所述bootrom的访问状态控制用户对所述系统bootrom的访问。
所述访问控制命令包括:使能系统bootrom访问、禁止系统bootrom访问。
所述步骤B包括:
当执行所述使能系统bootrom访问命令时,向所述系统的掉电保持介质中写入系统bootrom访问使能标志;
当执行所述禁止系统bootrom访问命令时,向所述系统的掉电保持介质中写入系统bootrom访问禁止标志。
所述掉电保持介质为:电可改写存储器、或闪存。
所述步骤C包括:
C1、获取所述掉电保持介质中的系统bootrom的访问状态;
C2、当所述系统bootrom的访问状态为禁止时,直接引导所述系统的应用程序运行;
C3、当所述系统bootrom的访问状态为使能时,根据用户输入的bootrom密码控制对所述系统bootrom的访问。
所述步骤C3包括:
C31、立即进入用户bootrom密码验证界面、延迟预定时间后进入用户bootrom密码验证界面;
C32、当用户输入的bootrom密码正确时,则进行用户操作。
所述步骤C3还包括:
当用户输入的bootrom密码不正确时,直接引导所述系统的应用程序运行。
所述步骤C3还包括:
当用户输入的bootrom密码不正确时,重新引导所述系统运行。
由以上本发明提供的技术方案可以看出,本发明在设备软件中增加使能或者禁止对bootrom菜单访问的命令,利用该命令通过远程控制方式使bootrom密码有效或无效。这样,当系统管理员不需要对bootrom进行操作时,就可以在应用程序中利用该命令禁止bootrom访问,即任何bootrom密码均无效,使设备不再出现密码登陆界面而直接运行设备软件程序,提高了bootrom访问的安全性,保证了设备启动的安全性;本发明通过一条命令即可控制bootrom的访问权限,方便了网络设备的远程管理。
附图说明
图1是现有技术中系统bootrom访问的流程图;
图2是本发明方法的流程图;
图3是本发明方法在应用程序中的处理流程图;
图4是本发明方法在bootrom软件中的第一种处理方式的流程图;
图5是本发明方法在bootrom软件中的第二种处理方式的流程图。
具体实施方式
本发明的核心在于对以bootrom软件作为启动程序的网络设备,在其应用程序中增加使能或者禁止bootrom访问控制的命令,当执行该命令时向设备内部的掉电保持介质中写入相应的结果标识,当网络设备上电重启时,在bootrom密码登录判断之前根据所述结果标识进行相应的处理:如果禁止bootrom访问,则不再执行密码登录处理,而是直接引导设备应用程序启动;如查允许bootrom访问,则进入密码验证界面,根据用户输入的密码进行相应的操作。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和实施方式对本发明作进一步的详细说明。
参照图2,图2示出了本发明方法的流程,包括以下步骤:
步骤201:设定系统bootrom访问控制命令。所述访问控制命令包括:使能系统bootrom访问、禁止系统bootrom访问。
通常,可以在交换机等网络设备的命令行中,增加一条命令行,用户可以执行此命令来使能或者禁止bootrom访问功能。例如:
使能bootrom访问:bootrom-access enable
禁止bootrom访问:undo bootrom-access enable
步骤202:当系统运行应用程序时通过访问控制命令控制系统bootrom的访问状态。
当执行使能系统bootrom访问命令时,向系统的掉电保持介质中写入系统bootrom访问使能标志;当执行使能系统bootrom访问命令时,向系统的掉电保持介质中写入系统bootrom访问禁止标志。
也就是说,通过访问控制命令向系统的掉电保持介质中写入不同的标志,以表示使能或禁止系统bootrom访问。所述掉电保持介质可以是E2PROM(电可改写存储器)、flash(闪存)等存储器。
例如,当执行使能命令时,向flash的指定区域设置写1,表示允许bootrom访问;当执行禁止命令时,向此指定区域设置写0,表示禁止bootrom访问。通过该标识即可确定是否允许用户访问bootrom。如果对bootrom的访问被禁止,任何密码均会无效,即系统bootrom软件时,将不出现bootrom密码验证界面,而是直接将bootrom程序从flash等存储器中搬移到内存,然后运行bootrom程序,引导系统的应用程序运行。
步骤203:当系统运行bootrom时,根据bootrom的访问状态控制用户对系统bootrom的访问。
也就是说,获取掉电保持介质中的系统bootrom的访问状态;
如果为禁止状态,则跳过bootrom密码验证界面,直接引导系统的应用程序运行;
如果为使能状态,则与现有技术中相同,根据用户输入的bootrom密码控制对系统bootrom的访问。需要注意的是,在该过程中,如果用户输入的密码正确,则进入bootrom菜单,由用户对其进行操作;在现有技术中,如果用户输入的密码错误,有可能会使系统停留在bootrom密码验证界面,而不能使系统正常运行,为了克服该缺陷,本发明方法在用户输入bootrom密码错误超过指定次数时,直接复位设备,重新引导系统运行。
由上述描述可见,本发明主要是在系统的应用程序处理过程中,通过增加一条控制命令,通过该控制命令使能或禁止bootrom访问功能。
在应用程序中的处理流程如图3所示:
首先,在步骤301:应用程序开始运行;
然后,在步骤302:输入控制命令;
进到步骤303:判断该控制命令是使能还是禁止bootrom访问;
如果是使能bootrom访问,则进到步骤304:执行该命令,向掉电保持介质中写入bootrom访问使能标志;
如果是禁止bootrom访问,则进到步骤305:执行该命令,向掉电保持介质中写入bootrom访问禁止标志。
这样,通过应用程序的运行就可以由系统管理员对bootrom访问实现了控制,一旦禁止bootrom访问,则任何密码均无效,提高了bootrom访问的安全性。
为了实现本发明,除了在应用程序中增加控制命令外,还需要由bootrom软件来配合完成,使系统在禁止bootrom访问或bootrom访问密码输入错误的情况下,不再出现密码验证界面,而是直接引导系统的应用程序运行。
在bootrom软件中的处理可以有两种方式,下面将分别详细说明。
参照图4,图4是bootrom软件中的第一种处理方式的流程图:
首先,在步骤401:系统上电启动;
进到步骤402:读取掉电保持介质中的bootrom访问控制标志;
进到步骤403:判断获取的标志是否为bootrom访问使能标志;
如果不是,则不进行密码登陆处理,直接进到步骤409:引导系统的应用程序运行;
如果是,则进行正常的启动处理,即进到步骤404:提示用户是否需要对bootroom操作;
如果不需要,则直接进到步骤409:引导系统的应用程序运行;
否则,进到步骤405:按预定方式进入密码验证界面,比如,可以立即进入,也可以延时预定时间(如5秒)后进入,等待用户输入bootrom访问密码;
用户输入密码后,进到步骤406:系统判断用户输入的bootrom访问密码是否正确;
如果用户输入的bootrom访问密码正确,则进到步骤407:进行用户操作,即出现bootrom菜单,用户可对该菜单中的各项进行相应的修改,修改完毕后,保存该菜单;
然后,进到步骤409:引导系统的应用程序运行;
如果用户输入的bootrom访问密码不正确,则进到步骤408:判断密码验证的次数是否超过了指定的次数,比如最多允许验证三次。
如果密码验证次数还未超过指定次数,则进到步骤404,等待用户重新输入密码。
如果密码验证次数超过指定次数后,则返回步骤401,重新引导系统运行。
当系统重启后,通过步骤404提示用户是否需要对bootroom操作时,由用户输入不对bootroom进行操作的命令,即可跳过bootroom访问密码的验证过程,直接引导系统的应用程序运行。
再参照图5,图5是bootrom软件中的第二种处理方式的流程图:
首先,在步骤501:系统上电启动;
进到步骤502:读取掉电保持介质中的bootrom访问控制标志;
进到步骤503:判断获取的标志是否为bootrom访问使能标志;
如果不是,则不进行密码登陆处理,直接进到步骤509:引导系统的应用程序运行;
如果是,则进行正常的启动处理,即进到步骤504:提示用户是否需要对bootroom操作;
如果不需要,则直接进到步骤509:引导系统的应用程序运行;
否则,进到步骤505:按预定方式进入密码验证界面,比如,可以立即进入,也可以延时预定时间(如5秒)后进入,等待用户输入bootrom访问密码;
用户输入密码后,进到步骤506:系统判断用户输入的bootrom访问密码是否正确;
如果用户输入的bootrom访问密码正确,则进到步骤507:进行用户操作,即出现bootrom菜单,用户可对该菜单中的各项进行相应的修改,修改完毕后,保存该菜单;
然后,进到步骤509:引导系统的应用程序运行;
如果用户输入的bootrom访问密码不正确,则进到步骤508:判断密码验证的次数是否超过了指定的次数,比如最多允许验证三次。
如果密码验证次数还未超过指定次数,则进到步骤504,等待用户重新输入密码。
如果密码验证次数超过指定次数后,则直接进到步骤509:引导系统的应用程序运行。
这样,当bootrom访问密码验证不通过时,同样可以使系统正常启动。
可见,在本发明中,通过在应用程序中增加bootrom访问控制操作,并在bootrom处理过程中对bootrom访问控制操作的结果加以识别,无需记录过多的密码即可方便地实现对系统bootrom访问安全的控制,有效地提高了网络设备管理的灵活性和安全性。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (8)
1.一种系统bootrom安全访问方法,其特征在于,所述方法包括:
A、设定系统bootrom访问控制命令;
B、当所述系统运行应用程序时通过所述访问控制命令控制系统bootrom的访问状态;
C、当所述系统运行bootrom时,根据所述bootrom的访问状态控制用户对所述系统bootrom的访问。
2.根据权利要求1所述的系统bootrom安全访问方法,其特征在于,所述访问控制命令包括:使能系统bootrom访问、禁止系统bootrom访问。
3.根据权利要求2所述的系统bootrom安全访问方法,其特征在于,所述步骤B包括:
当执行所述使能系统bootrom访问命令时,向所述系统的掉电保持介质中写入系统bootrom访问使能标志;
当执行所述禁止系统bootrom访问命令时,向所述系统的掉电保持介质中写入系统bootrom访问禁止标志。
4.根据权利要求3所述的系统bootrom安全访问方法,其特征在于,所述掉电保持介质为:电可改写存储器、或闪存。
5.根据权利要求3所述的系统bootrom安全访问方法,其特征在于,所述步骤C包括:
C1、获取所述掉电保持介质中的系统bootrom的访问状态;
C2、当所述系统bootrom的访问状态为禁止时,直接引导所述系统的应用程序运行;
C3、当所述系统bootrom的访问状态为使能时,根据用户输入的bootrom密码控制对所述系统bootrom的访问。
6.根据权利要求5所述的系统bootrom安全访问方法,其特征在于,所述步骤C3包括:
C31、立即进入用户bootrom密码验证界面、或者延迟预定时间后进入用户bootrom密码验证界面;
C32、当用户输入的bootrom密码正确时,则进行用户操作。
7.根据权利要求6所述的系统bootrom安全访问方法,其特征在于,所述步骤C3还包括:
当用户输入的bootrom密码不正确时,直接引导所述系统的应用程序运行。
8.根据权利要求6所述的系统bootrom安全访问方法,其特征在于,所述步骤C3还包括:
当用户输入的bootrom密码不正确时,重新引导所述系统运行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200410091738XA CN100363857C (zh) | 2004-11-25 | 2004-11-25 | 系统bootrom安全访问方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200410091738XA CN100363857C (zh) | 2004-11-25 | 2004-11-25 | 系统bootrom安全访问方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1725141A CN1725141A (zh) | 2006-01-25 |
| CN100363857C true CN100363857C (zh) | 2008-01-23 |
Family
ID=35924642
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200410091738XA Active CN100363857C (zh) | 2004-11-25 | 2004-11-25 | 系统bootrom安全访问方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100363857C (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103731299A (zh) * | 2013-11-29 | 2014-04-16 | 上海斐讯数据通信技术有限公司 | 一种交换机安全管理方法 |
| CN105631259A (zh) * | 2015-04-28 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 开机验证方法、开机验证装置和终端 |
| CN107450935A (zh) * | 2016-05-30 | 2017-12-08 | 北京信威通信技术股份有限公司 | 一种芯片的bootrom启动配置方法及装置 |
| CN109784045B (zh) * | 2017-11-14 | 2023-08-22 | 厦门雅迅网络股份有限公司 | 双系统通信访问控制方法及计算机可读存储介质 |
| DE102018213617A1 (de) * | 2018-06-20 | 2019-12-24 | Robert Bosch Gmbh | Recheneinrichtung und Betriebsverfahren hierfür |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1076534A (zh) * | 1992-02-26 | 1993-09-22 | 国际商业机器公司 | 具有安全保护特性的个人计算机系统及其实现方法 |
| CN1285570A (zh) * | 1999-08-19 | 2001-02-28 | 日本电气株式会社 | 可禁止未授权访问的集成电路卡 |
| US6243809B1 (en) * | 1998-04-30 | 2001-06-05 | Compaq Computer Corporation | Method of flash programming or reading a ROM of a computer system independently of its operating system |
| CN1345450A (zh) * | 1999-03-25 | 2002-04-17 | 因芬尼昂技术股份公司 | 具有可写存储单元的集成存储器的工作方法和相应的集成存储器 |
| CN1346195A (zh) * | 2000-09-29 | 2002-04-24 | 索尼公司 | 存储器设备和存储器限制访问方法 |
| CN1437113A (zh) * | 2002-02-08 | 2003-08-20 | 华为技术有限公司 | 一种引导存储器的构建方法、引导存储器及使用方法 |
-
2004
- 2004-11-25 CN CNB200410091738XA patent/CN100363857C/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1076534A (zh) * | 1992-02-26 | 1993-09-22 | 国际商业机器公司 | 具有安全保护特性的个人计算机系统及其实现方法 |
| CN1223408A (zh) * | 1992-02-26 | 1999-07-21 | 国际商业机器公司 | 具有安全保护特性的个人计算机系统及其实现方法 |
| US6243809B1 (en) * | 1998-04-30 | 2001-06-05 | Compaq Computer Corporation | Method of flash programming or reading a ROM of a computer system independently of its operating system |
| CN1345450A (zh) * | 1999-03-25 | 2002-04-17 | 因芬尼昂技术股份公司 | 具有可写存储单元的集成存储器的工作方法和相应的集成存储器 |
| CN1285570A (zh) * | 1999-08-19 | 2001-02-28 | 日本电气株式会社 | 可禁止未授权访问的集成电路卡 |
| CN1346195A (zh) * | 2000-09-29 | 2002-04-24 | 索尼公司 | 存储器设备和存储器限制访问方法 |
| CN1437113A (zh) * | 2002-02-08 | 2003-08-20 | 华为技术有限公司 | 一种引导存储器的构建方法、引导存储器及使用方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1725141A (zh) | 2006-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8015417B2 (en) | Remote access system, gateway, client device, program, and storage medium | |
| CN101432750B (zh) | 用于选择性开启可信测量核心根的方法和计算机系统 | |
| US7953985B2 (en) | Memory card, application program holding method, and holding program | |
| US20060047954A1 (en) | Data access security implementation using the public key mechanism | |
| CN101436233B (zh) | 一种硬盘多用户分区切换控制方法、系统及计算机终端 | |
| US20120057701A1 (en) | Mobile terminal with encryption chip and related network locking/unlocking method | |
| US8489888B2 (en) | Processor apparatus having a security function | |
| US20210203498A1 (en) | Method for storing digital key and electronic device | |
| US8516565B2 (en) | IC chip, information processing apparatus, system, method, and program | |
| KR20100016657A (ko) | 전자 디바이스에서 simlock 정보를 보호하는 방법 및 장치 | |
| JP2001356963A (ja) | 半導体装置およびその制御装置 | |
| KR20070095231A (ko) | 메모리 카드의 이용을 제어하기 위한 장치 및 방법 | |
| US20120204268A1 (en) | Method and apparatus for protecting information based on data card | |
| CN109448190A (zh) | 一种脱机门禁管理系统及脱机门禁管理方法 | |
| CN110020561A (zh) | 半导体装置和操作半导体装置的方法 | |
| EP2063400A1 (en) | Virtual security access module | |
| CN111352862A (zh) | 一种密钥销毁方法、系统、密码卡及密码机 | |
| CN100363857C (zh) | 系统bootrom安全访问方法 | |
| US7797553B2 (en) | Memory device | |
| CN116756781B (zh) | 一种芯片的加密保护方法、装置、设备及存储介质 | |
| CN109657453A (zh) | 权限设置方法、装置、移动终端和计算机可读存储介质 | |
| US20180373603A1 (en) | Web Application System and Database Utilization Method Therefor | |
| CN101790724B (zh) | 防篡改控制的系统和方法 | |
| CN112422281B (zh) | 一种更改安全模块中密钥的方法及系统 | |
| KR102173051B1 (ko) | 시설물의 출입구 개폐시스템 및 개폐방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |