CN101359354A - 一种实现开机保护的方法和系统 - Google Patents
一种实现开机保护的方法和系统 Download PDFInfo
- Publication number
- CN101359354A CN101359354A CNA2008102233871A CN200810223387A CN101359354A CN 101359354 A CN101359354 A CN 101359354A CN A2008102233871 A CNA2008102233871 A CN A2008102233871A CN 200810223387 A CN200810223387 A CN 200810223387A CN 101359354 A CN101359354 A CN 101359354A
- Authority
- CN
- China
- Prior art keywords
- dynamic password
- password
- defence program
- authenticate
- computing machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 43
- 238000012795 verification Methods 0.000 claims description 27
- 238000004590 computer program Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 11
- 238000005192 partition Methods 0.000 claims description 9
- 238000005516 engineering process Methods 0.000 abstract description 5
- 230000008569 process Effects 0.000 description 7
- 230000006698 induction Effects 0.000 description 4
- 238000012827 research and development Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000036760 body temperature Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000005693 optoelectronics Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种实现开机保护的方法和系统,属于信息安全领域。方法包括:计算机加载并执行动态口令保护程序;计算机将控制权转交给动态口令保护程序;动态口令保护程序接收用户输入的认证口令,其中,所述认证口令为用户通过动态口令生成装置获取,所述动态口令生成装置生成算法生成所述认证口令;动态口令保护程序判断认证口令有效后,加载计算机的开机程序。系统包括:计算机和动态口令生成装置。通过采用了动态密码技术,提高了系统的安全等级;并且安全令牌无需和主机相连接,节省了研发投资和系统的稳定性;降低了对用户计算机机器配置的需求;由于动态口令不需要用户去记忆口令,增加了系统的易用性。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种实现开机保护的方法和系统。
背景技术
在计算机应用领域,计算机的开机保护过程或客户端访问远程服务器的过程中,例如,在普通的开机模式下,当用户启动计算机时,常用的开机保护方法是通过要求用户输入密码来确认使用者的身份是否合法。只要用户能够正确输入密码,计算机(或远程服务器)就认为他是合法用户,允许其进行登录访问。通常,每个用户的密码是由该用户自己设定的,理论上只有自己本人才知道,因此只要能够正确输入该密码,计算机就认为他就是本机的合法用户。
并且,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权,而现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。
发明人在实现本发明的过程中,经过分析后发现现有技术至少存在以下缺点和不足:
一方面,上述提到的用户名/密码方式下,由于许多用户为了防止忘记密码,经常采用诸如自己或家人的生日、电话号码等作为密码,这些有意义的字符串容易被他人猜测到;或者采用把密码抄在一个自己认为安全的地方,这也存在着安全隐患,极易造成密码泄露;并且,当非法用户利用获取的密码实现登录后,将硬盘移植到没有密码的计算机中,便可以更换其中的内容,实现系统的正常启动。因此,上述用户名/密码方式是一种具有安全隐患的身份认证方式;
另一方面,上述用户名/密码方式属于静态密码的认证方式,但在具体应用过程中,静态密码认证方式存在着许多不安全因素,极易造成密码泄露而导致一系列非法登录。因此静态密码认证方式是一种极具安全隐患的身份认证方式;
综上所述,现有技术中计算机开机保护存在安全隐患,容易造成密码泄露;操作者的物理身份与数字身份的绑定没有保证。
发明内容
鉴于现有技术存在的缺点和不足,本发明提供了一种实现开机保护的方法和系统,能够提高开机过程中安全性和可靠性,并且具有使用方便、应用范围广等特点,所述技术方案如下:
一方面,提供了一种实现开机保护的方法,所述方法包括:
计算机加载并执行动态口令保护程序;
所述计算机将控制权转交给所述动态口令保护程序;
所述动态口令保护程序生成挑战数据,并输出,所述用户将所述挑战数据输入到所述动态口令生成装置中;
所述动态口令保护程序接收用户输入的认证口令,其中,所述认证口令为所述动态口令生成装置根据所述用户输入的挑战数据、所述动态口令生成装置内部的动态口令生成算法得到的;
所述动态口令保护程序判断所述认证口令是否有效,如果是,则加载所述计算机的开机程序,否则,所述动态口令保护程序不加载所述计算机的开机程序。
所述动态口令保护程序位于BIOS中或主引导记录中,
相应地,所述方法还包括:若所述动态口令保护程序位于BIOS中,则通过所述计算机的主板开发工具将所述动态口令保护程序写入所述BIOS的预设位置;
相应地,所述方法还包括:若所述动态口令保护程序位于主引导记录中,则通过所述计算机的开发工具将所述动态口令保护程序写入所述计算机开机硬盘的主引导记录的位置,并保留分区表信息。
所述计算机加载并执行动态口令保护程序的步骤,具体包括;
若所述动态口令保护程序位于所述BIOS中,则在所述BIOS自检成功后加载并执行所述动态口令保护程序,将控制权转交给所述动态口令保护程序;
若所述动态口令保护程序位于所述主引导记录中,则在所述BIOS自检成功后加载并执行所述主引导记录中的动态口令保护程序,将控制权转交给所述动态口令保护程序。
所述计算机开机硬盘的主引导记录的位置具体为:
计算机开机硬盘的0柱面0磁头1扇区及所述1扇区的后续扇区。
所述动态口令保护程序接收用户输入的认证口令的步骤,之前还包括:
所述动态口令保护程序提示输入认证口令,具体的提示方式包括显示对话框的方式,或,显示字符的方式。
所述动态口令保护程序判断所述认证口令是否有效的步骤,包括:
所述动态口令保护程序接收所述用户输入的认证口令后,获取在所述BIOS的预设位置或所述开机硬盘的预设位置中预存的与所述动态口令生成装置对应的验证口令生成算法;
所述动态口令保护程序根据所述获取的验证口生成算法、所述挑战数据,生成验证数据,根据所述验证数据,判断所述认证口令是否有效。
所述方法还包括:设置无效次数的阈值,相应地,
当所述认证口令无效时,判断所述用户的无效次数是否超过预设的无效次数的阈值,如果是,则自动关闭计算机;否则,提示用户再次输入认证口令。
一种实现开机保护的系统,包括:计算机和动态口令生成装置;所述计算机包括:
预处理模块,用于加载并执行动态口令保护程序,并将所述计算机的控制权转交给所述动态口令保护程序;
生成模块,用于生成挑战数据,并输出;
接收模块,用于在所述预处理模块处理后,利用所述动态口令保护程序接收用户输入的认证口令;
判断模块,用于当所述接收模块接收到认证口令后,所述动态口令保护程序判断所述认证口令是否有效;
加载模块,用于当所述判断模块判断的结果为所述认证口令有效后,动态口令保护程序加载所述计算机的开机程序;
处理模块,用于当所述判断模块判断的结果为所述认证口令无效后,动态口令保护程序不加载所述计算机的开机程序;
所述动态口令生成装置包括:
接收模块,用于接收所述用户的输入的所述挑战数据、认证口令生成命令;
生成模块,用于根据所述接收模块接收的所述挑战数据和所述动态口令生成装置内部的动态口令生成算法生成认证口令;
输出模块,用于将所述生成模块生成的认证口令输出。
所述计算机的预处理模块具体包括:
上电单元,用于给所述计算机上电;
第一装入单元,用于当所述上电单元给所述计算机上电后,若所述动态口令保护程序位于BIOS中,则通过所述计算机的主板开发工具将所述动态口令保护程序写入所述BIOS的预设位置;
第二装入单元,用于当所述上电单元给所述计算机上电后,若所述动态口令保护程序位于主引导记录中,通过所述计算机的开发工具将所述动态口令保护程序写入所述计算机开机硬盘的主引导记录的位置,并保留分区表信息;
第一加载执行单元,用于当所述第一装入单元将所述动态口令保护程序写入所述BIOS的预设位置后,在所述BIOS自检成功后加载并执行所述动态口令保护程序,将控制权转交给所述动态口令保护程序;
第二加载执行单元,用于当所述第二装入单元将所述动态口令保护程序写入所述计算机开机硬盘的主引导记录的位置,并保留分区表信息后,则在所述BIOS自检成功后加载并执行所述主引导记录中的动态口令保护程序,将控制权转交给所述动态口令保护程序。
所述计算机还包括提示模块,用于提示用户输入认证口令;
相应地,
所述计算机的判断模块具体包括:
获取单元,用于获取在BIOS的预设位置或所述开机硬盘的预设位置中预存的与所述动态口令生成装置内部的动态口令生成算法对应的验证口令生成算法;
验证数据生成单元,用于根据所述获取单元获取的验证口令生成算法,生成验证数据;
验证单元,用于根据所述验证数据生成单元生成的验证数据,判断所述认证口令是否有效。
所述计算机的判断模块还包括:设置单元,
所述设置单元,用于设置无效次数的阈值,相应地,所述计算机的判断模块还包括:
处理单元,用于当所述验证单元验证所述认证口令无效时,判断所述用户的无效次数是否超过预设的无效次数的阈值,如果是,则自动关闭计算机;否则,提示用户再次输入认证口令。
其特征在于,
所述动态口令生成装置的接收模块具体用于接收所述用户输入的挑战数据;
所述生成模块,用于根据所述接收模块接收的挑战数据、所述动态口令生成算法生成所述认证口令;
输出模块,用于将所述生成模块生成的认证口令输出;
相应地,
所述计算机还包括挑战数据处理模块,用于生成挑战数据,并输出所述生成的挑战数据;
所述输出模块具体包括以下任一单元或其中组合:
第一输出单元,用于以显示的方式将所述生成模块生成的认证口令输出;
第二输出单元,用于以发声的方式将所述所述生成模块生成的认证口令输出;
第三输出单元,用于以震动的方式将所述生成模块生成的认证口令输出;
第四输出单元,用于以适用于用户触摸的方式将所述生成模块生成的认证口令输出。
本发明提供的技术方案的有益效果是:
通过采用了动态密码技术,提高了系统的安全等级;并且安全令牌无需和主机相连接,节省了研发投资和系统的稳定性;降低了对用户计算机机器配置的需求;由于动态口令不需要用户去记忆口令,从而解决了用户需要强制记忆密码的烦琐性,增加了系统的易用性。
附图说明
图1是本发明实施例1提供的实现开机保护的方法的流程示意图;
图2是本发明实施例2提供的实现开机保护的系统示意图;
图3是本发明实施例2提供的实现开机保护的系统的详细示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
为了提高开机过程中安全性和可靠性,本发明提供了一种实现开机保护的方法,该方法基于安全令牌,利用安全令牌的动态密码认证实现,具体内容如下:计算机加载并执行动态口令保护程序;计算机将控制权转交给动态口令保护程序;动态口令保护程序接收用户输入的认证口令,其中,认证口令为用户通过动态口令生成装置获取,动态口令生成装置根据动态口令生成因子、动态口令生成算法生成认证口令;动态口令保护程序根据认证口令,判断认证口令是否有效,如果是,则加载计算机的开机程序,否则,动态口令保护程序不加载计算机的开机程序。
其中,动态口令生成因子为计算机的动态口令开机保护程序生成的挑战数据,该方法具有使用方便、应用范围广等特点,参见如下实施例对本发明实施例提供的方法进行详细说明。
实施例1
参见图1,本发明实施例提供了一种实现开机保护的方法,本发明实施例中以动态口令生成因子为该用户使用动态口令生成装置根据计算机生成的挑战数据得到的认证口令为例进行说明,具体内容如下:
步骤101:计算机上电,BIOS自检,将动态口令开机保护程序装入计算机内存地址;
在本实施例中,动态口令开机保护程序可以置于BIOS程序中,作为BIOS程序的一部分,也可以位于计算机开机硬盘的主引导记录中。其中,
若动态口令保护程序位于BIOS中,则通过计算机的主板开发工具将动态口令保护程序写入BIOS的预设位置;
若动态口令保护程序位于主引导记录中,则通过计算机的开发工具将动态口令保护程序写入计算机开机硬盘的主引导记录的位置,并保留分区表信息,例如,开机硬盘的0柱面0磁头1扇区及其后续若干扇区等。
步骤102、BIOS自检成功后加载并执行动态口令开机保护程序,将计算机系统的控制权转移给动态口令开机保护程序;
在本实施例中,BIOS程序包括自检查程序和动态口令开机保护程序,自检查程序首先检查CPU,在CPU正常的基础上之后,将检查Key Board控制芯片、第一个16KB的RAM、时/计数器8253和DMA控制器、中断控制器8259A和显示器、软盘和硬盘以及打印适配设备和异步通信设备,若一切检查无误,则加载动态口令开机保护程序。
其中,若动态口令保护程序位于BIOS中,则在BIOS自检成功后加载并执行动态口令保护程序,将控制权转交给动态口令保护程序;
若动态口令保护程序位于主引导记录中,则在BIOS自检成功后加载并执行主引导记录中的动态口令保护程序,将控制权转交给动态口令保护程序。
本发明实施例为了便于说明,以动态口令开机保护程序置于BIOS程序中为例进行说明。
本实施例为了便于说明计算机开机程序仍以BIOS程序为例。
步骤103、动态口令开机保护程序初始化,加载动态口令的程序配置;
步骤104、动态口令开机保护程序初始化后,显示对话框向用户提供挑战数据,并显示输入对话框,提示用户输入认证口令;
其中,该动态口令开机保护程序内部算法随机向用户生成挑战数据,作为动态口令生成因子。
步骤105、用户向动态口令生成装置输入获取到的挑战数据,并发送认证口令生成命令;
其中,该步骤中用户在向动态口令生成装置发送认证口令生成命令时,具体通过按钮触发的形式,或,指纹扫描的形式,或声控开关的形式,或人体体温感应的方式,或压力感应的方式,或光电感应的方式等,实现向动态口令生成装置发送动态口令生成命令的目的,本发明实施例不限制具体所采用的实现方式和方法。
步骤106、动态口令生成装置内部以该用户输入的挑战数据为计算因子,利用HMAC-SHA1算法生成认证口令,并输出给用户;
其中,动态口令生成装置收到用户发送的动态口令生成命令后,以该用户使用的动态口令生成装置的当前次数为计算因子,利用优选的HMAC-SHA1算法生成认证口令,并输出给用户;其中该HMAC-SHA1算法为优选算法,还可以采用其他任意一种可以生成认证口令的算法程序,如hmac_sha256算法,hma_sha512算法,hmac_md5算法等。
其中,本发明实施例所涉及的认证口令生成技术是指动态口令生成装置根据不同的挑战数据生成不同的认证口令,也称动态口令认证方式。相应地,动态口令认证方式一般采用一种称之为安全令牌的专用硬件(安全令牌也可以是软件形式的,如手机的java程序),它内置于运行专门密码算法的密码生成芯片,根据当前使用次数生成当前密码并输出。
其中,该动态口令生成装置将生成的认证口令输出给用户具体可以采用如下的任一方式,或其组合:
以显示的方式(如显示屏等)将认证口令输出;以发声的方式将认证口令输出;以震动的方式将认证口令输出;还可以以适用于用户触摸的方式(如凹凸触点)将认证口令输出,本发明实施例不限制具体的输出方式和方式。
步骤107、用户获取到动态口令生成装置生成的认证口令后,将该认证口令提供给计算机的动态口令开机保护程序;
步骤108、计算机的动态口令开机保护程序接收到用户提供的认证口令后,根据该认证口令和自身预存的HMAC-SHA1算法,生成验证数据,判断认证口令是否和验证数据匹配,如果是,则执行步骤109;否则,执行步骤110。
其中,为了示例说明,假设在步骤104中动态口令开机保护程序初始化后,显示对话框向用户提供挑战数据,该挑战数据为123456;
相应地,在步骤106中动态口令生成装置内部以该用户输入的挑战数据123456为计算因子,利用HMAC-SHA1算法生成认证口令654321,并输出给用户;
相应地,在步骤108中计算机的动态口令开机保护程序接收到用户提供的认证口令654321后,根据该认证口令和自身预存的HMAC-SHA1算法(该算法与动态口令生成装置中内置的算法一致),生成验证数据,若当该验证数据为123456时,则认为认证口令和验证数据匹配,认证口令有效;若该生成的验证数据为987654,则认为该认证口令和验证数据不匹配,认证口令无效。
步骤109、动态口令开机保护程序加载系统的后续开机程序,将系统控制权转交给系统开机程序,该计算机系统的开机程序将系统的控制权转交给转入了内存地址的操作系统或操作程序。
步骤110、用户输入的认证口令无效,动态口令开机保护程序判断无效次数是否超过预设值,若超过预设值,则执行步骤111,否则,返回执行步骤104;
其中,本步骤中通过设定判断无效次数是否超过预设值的处理动作,进一步地充分考虑到用户的实际使用情况,确保了本发明实施例提供的方案的灵活性。
步骤111:自动关闭计算机。
其中,本领域技术人员可以获知,本发明实施例提供的动态口令开机保护程序还可以自身存储多个验证口令生成算法,通过建立索引等形式,实现不同验证口令生成算法与不同的动态口令生成装置内的动态口令生成算法对应的关系,即通过提示不同的用户输入身份信息后,根据该用户身份信息索引到与该用户所持有的动态口令生成装置对应的验证口令生成算法,以实现用户的开机保护过程。
综上所述,本发明实施例提供了一种实现开机保护的方法,通过采用了动态密码技术,提高了系统的安全等级;并且安全令牌无需和主机相连接,节省了研发投资和系统的稳定性;降低了对用户计算机机器配置的需求;由于动态口令不需要用户去记忆口令,从而解决了用户需要强制记忆密码的烦琐性,增加了系统的易用性。
实施例2
参见图2,本发明实施例提供了一种实现开机保护的系统,该系统包括:计算机和动态口令生成装置;参见图3,计算机包括:预处理模块、接收模块、判断模块、加载模块和处理模块;动态口令生成装置包括接收模块和生成模块;其中,
在计算机中,
预处理模块,用于加载并执行动态口令保护程序;并将计算机的控制权转交给动态口令保护程序;
接收模块,用于在预处理模块处理后,利用动态口令保护程序接收用户输入的认证口令;
判断模块,用于当接收模块接收到认证口令后,动态口令保护程序判断认证口令是否有效;
加载模块,用于当判断模块判断的结果为认证口令有效后,动态口令保护程序加载计算机的开机程序;
处理模块,用于当判断模块判断的结果为认证口令无效后,动态口令保护程序不加载计算机的开机程序;
在动态口令生成装置中,
接收模块,用于接收用户的动态口令生成命令;
生成模块,用于根据所述接收模块接收的挑战数据和动态口令生成装置内部的动态口令生成算法生成认证口令;
输出模块,用于将上述生成模块生成的认证口令输出。
其中,上述接收模块在接收用户的动态口令生成命令时,具体可以通过按钮触发的形式,或,指纹扫描的形式,或声控开关的形式,或人体体温感应的方式,或压力感应的方式,或光电感应的方式等,实现用户向动态口令生成装置发送动态口令生成命令的目的,本发明实施例不限制具体所采用的实现方式和方法。
其中,上述输出模块在将上述生成模块生成的认证口令输出时,输出模块具体包括以下任一单元或其中组合:
第一输出单元,用于以显示的方式将生成模块生成的认证口令输出;
第二输出单元,用于以发声的方式将生成模块生成的认证口令输出;
第三输出单元,用于以震动的方式将生成模块生成的认证口令输出;
第四输出单元,用于以适用于用户触摸的方式将生成模块生成的认证口令输出。
其中,
其中,上述计算机的预处理模块具体包括:
上电单元,用于给计算机上电;
第一装入单元,用于当上电单元给计算机上电后,若动态口令保护程序位于BIOS中,则通过计算机的主板开发工具将动态口令保护程序写入BIOS的预设位置;
第二装入单元,用于当上电单元给计算机上电后,若动态口令保护程序位于主引导记录中,通过计算机的开发工具将动态口令保护程序写入计算机开机硬盘的主引导记录的位置,并保留分区表信息;
第一加载执行单元,用于当第一装入单元将动态口令保护程序写入BIOS的预设位置后,在BIOS自检成功后加载并执行动态口令保护程序,将控制权转交给动态口令保护程序;
第二加载执行单元,用于当第二装入单元将动态口令保护程序写入计算机开机硬盘的主引导记录的位置,并保留分区表信息后,则在BIOS自检成功后加载并执行主引导记录中的动态口令保护程序,将控制权转交给动态口令保护程序。
相应地,加载模块,具体用于当判断模块判断的结果为认证口令有效后,动态口令保护程序加载计算机的开机程序,开机程序将系统控制权转交给装入内存地址的操作程序或操作系统。
其中,上述计算机开机硬盘的预设位置具体可以为:计算机开机硬盘的0柱面0磁头1扇区及1扇区的后续扇区。
进一步地,计算机还包括提示模块,用于提示用户输入认证口令;其中,当动态口令开机保护程序初始化后,该提示模块具体可以采用以显示对话框的形式提示用户输入认证口令,或以发声的形式提示用户输入认证口令,本发明实施例不限制具体所采用的提示方式。
相应地,
计算机的判断模块具体包括:
获取单元,用于获取在BIOS的预设位置或开机硬盘的预设位置中预存的与动态口令生成装置内部的动态口令生成算法对应的验证口令生成算法;
验证数据生成单元,用于根据获取单元获取的验证口令生成算法,生成验证数据;
验证单元,用于根据验证数据生成单元生成的验证数据,判断认证口令是否有效。
进一步地,计算机的判断模块还包括:设置单元,
设置单元,用于设置无效次数的阈值,相应地,计算机的判断模块还包括:
处理单元,用于当验证单元验证认证口令无效时,判断用户的无效次数是否超过预设的无效次数的阈值,如果是,则自动关闭计算机;否则,提示用户再次输入认证口令。
动态口令生成装置的接收模块具体用于接收用户的输入的挑战数据;
生成模块,用于根据接收模块接收的挑战数据,动态口令生成装置内部的动态口令生成算法生成认证口令;
输出模块,用于将生成模块生成的认证口令输出;
相应地,
计算机还包括挑战数据处理模块,用于生成挑战数据,并输出生成的挑战数据;
接收模块具体用于在预处理模块处理后,利用动态口令保护程序接收用户输入的认证口令;
判断模块,用于当接收模块接收到认证口令后,动态口令保护程序根据认证口令、自身的验证口令生成算法生成验证数据,判断验证数据和认证口令是否匹配,如果是,则认证口令有效;否则,认证口令无效。
其中,本发明实施例提供的动态口令生成装置具体可以为安全令牌。
综上所述,本发明实施例提供了一种实现开机保护的系统,通过采用了动态密码技术,提高了系统的安全等级;并且安全令牌无需和主机相连接,节省了研发投资和系统的稳定性;降低了对用户计算机机器配置的需求;由于动态口令不需要用户去记忆口令,从而解决了用户需要强制记忆密码的烦琐性,增加了系统的易用性。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1、一种实现开机保护的方法,其特征在于,所述方法包括:
计算机加载并执行动态口令保护程序;
所述计算机将控制权转交给所述动态口令保护程序;
所述动态口令保护程序生成挑战数据,并输出,所述用户将所述挑战数据输入到所述动态口令生成装置中;
所述动态口令保护程序接收用户输入的认证口令,其中,所述认证口令为所述动态口令生成装置根据所述用户输入的挑战数据、所述动态口令生成装置内部的动态口令生成算法得到的;
所述动态口令保护程序判断所述认证口令是否有效,如果是,则加载所述计算机的开机程序,否则,所述动态口令保护程序不加载所述计算机的开机程序。
2、如权利要求1所述的方法,其特征在于,所述动态口令保护程序位于BIOS中或主引导记录中,
相应地,所述方法还包括:若所述动态口令保护程序位于BIOS中,则通过所述计算机的主板开发工具将所述动态口令保护程序写入所述BIOS的预设位置;
相应地,所述方法还包括:若所述动态口令保护程序位于主引导记录中,则通过所述计算机的开发工具将所述动态口令保护程序写入所述计算机开机硬盘的主引导记录的位置,并保留分区表信息。
3、如权利要求2所述的方法,其特征在于,所述计算机加载并执行动态口令保护程序的步骤,具体包括;
若所述动态口令保护程序位于所述BIOS中,则在所述BIOS自检成功后加载并执行所述动态口令保护程序,将控制权转交给所述动态口令保护程序;
若所述动态口令保护程序位于所述主引导记录中,则在所述BIOS自检成功后加载并执行所述主引导记录中的动态口令保护程序,将控制权转交给所述动态口令保护程序。
4、如权利要求2所述的方法,其特征在于,所述计算机开机硬盘的主引导记录的位置具体为:
计算机开机硬盘的0柱面0磁头1扇区及所述1扇区的后续扇区。
5、如权利要求1所述的方法,其特征在于,所述动态口令保护程序接收用户输入的认证口令的步骤,之前还包括:
所述动态口令保护程序提示输入认证口令,具体的提示方式包括显示对话框的方式,或,显示字符的方式。
6、如权利要求2所述的方法,其特征在于,所述动态口令保护程序判断所述认证口令是否有效的步骤,包括:
所述动态口令保护程序接收所述用户输入的认证口令后,获取在所述BIOS的预设位置或所述开机硬盘的预设位置中预存的与所述动态口令生成装置对应的验证口令生成算法;
所述动态口令保护程序根据所述获取的验证口生成算法、所述挑战数据,生成验证数据,根据所述验证数据,判断所述认证口令是否有效。
7、如权利要求6所述的方法,其特征在于,所述方法还包括:设置无效次数的阈值,相应地,
当所述认证口令无效时,判断所述用户的无效次数是否超过预设的无效次数的阈值,如果是,则自动关闭计算机;否则,提示用户再次输入认证口令。
8、一种实现开机保护的系统,其特征在于,所述系统包括:计算机和动态口令生成装置;所述计算机包括:
预处理模块,用于加载并执行动态口令保护程序,并将所述计算机的控制权转交给所述动态口令保护程序;
生成模块,用于生成挑战数据,并输出;
接收模块,用于在所述预处理模块处理后,利用所述动态口令保护程序接收用户输入的认证口令;
判断模块,用于当所述接收模块接收到认证口令后,所述动态口令保护程序判断所述认证口令是否有效;
加载模块,用于当所述判断模块判断的结果为所述认证口令有效后,所述动态口令保护程序加载所述计算机的开机程序;
处理模块,用于当所述判断模块判断的结果为所述认证口令无效后,所述动态口令保护程序不加载所述计算机的开机程序;
所述动态口令生成装置包括:
接收模块,用于接收所述用户的输入的所述挑战数据、认证口令生成命令;
生成模块,用于根据所述接收模块接收的所述挑战数据和所述动态口令生成装置内部的动态口令生成算法生成认证口令;
输出模块,用于将所述生成模块生成的认证口令输出。
9、如权利要求8所述的系统,其特征在于,
所述计算机的预处理模块具体包括:
上电单元,用于给所述计算机上电;
第一装入单元,用于当所述上电单元给所述计算机上电后,若所述动态口令保护程序位于BIOS中,则通过所述计算机的主板开发工具将所述动态口令保护程序写入所述BIOS的预设位置;
第二装入单元,用于当所述上电单元给所述计算机上电后,若所述动态口令保护程序位于主引导记录中,通过所述计算机的开发工具将所述动态口令保护程序写入所述计算机开机硬盘的主引导记录的位置,并保留分区表信息;
第一加载执行单元,用于当所述第一装入单元将所述动态口令保护程序写入所述BIOS的预设位置后,在所述BIOS自检成功后加载并执行所述动态口令保护程序,将控制权转交给所述动态口令保护程序;
第二加载执行单元,用于当所述第二装入单元将所述动态口令保护程序写入所述计算机开机硬盘的主引导记录的位置,并保留分区表信息后,则在所述BIOS自检成功后加载并执行所述主引导记录中的动态口令保护程序,将控制权转交给所述动态口令保护程序。
10、如权利要求8所述的系统,其特征在于,
所述计算机还包括提示模块,用于提示用户输入认证口令;
相应地,
所述计算机的判断模块具体包括:
获取单元,用于获取在BIOS的预设位置或所述开机硬盘的预设位置中预存的与所述动态口令生成装置内部的动态口令生成算法对应的验证口令生成算法;
验证数据生成单元,用于根据所述获取单元获取的验证口令生成算法,生成验证数据;
验证单元,用于根据所述验证数据生成单元生成的验证数据,判断所述认证口令是否有效。
11、如权利要求10所述的系统,其特征在于,所述计算机的判断模块还包括:设置单元,
所述设置单元,用于设置无效次数的阈值,相应地,所述计算机的判断模块还包括:
处理单元,用于当所述验证单元验证所述认证口令无效时,判断所述用户的无效次数是否超过预设的无效次数的阈值,如果是,则自动关闭计算机;否则,提示用户再次输入认证口令。
12、如权利要求8所述的系统,其特征在于,
所述动态口令生成装置的接收模块具体用于接收所述用户的输入的挑战数据;
所述生成模块,用于根据所述接收模块接收的挑战数据、所述动态口令生成算法生成所述认证口令;
输出模块,用于将所述生成模块生成的认证口令输出;
相应地,
所述计算机还包括挑战数据处理模块,用于生成挑战数据,并输出所述生成的挑战数据。
13、如权利要求8所述的系统,其特征在于,所述输出模块具体包括以下任一单元或其中组合:
第一输出单元,用于以显示的方式将所述生成模块生成的认证口令输出;
第二输出单元,用于以发声的方式将所述所述生成模块生成的认证口令输出;
第三输出单元,用于以震动的方式将所述生成模块生成的认证口令输出;
第四输出单元,用于以适用于用户触摸的方式将所述生成模块生成的认证口令输出。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102233871A CN101359354B (zh) | 2008-09-28 | 2008-09-28 | 一种实现开机保护的方法和系统 |
| US12/565,125 US9158905B2 (en) | 2008-09-28 | 2009-09-23 | Method for computer startup protection and system thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102233871A CN101359354B (zh) | 2008-09-28 | 2008-09-28 | 一种实现开机保护的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101359354A true CN101359354A (zh) | 2009-02-04 |
| CN101359354B CN101359354B (zh) | 2010-12-29 |
Family
ID=40331801
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102233871A Expired - Fee Related CN101359354B (zh) | 2008-09-28 | 2008-09-28 | 一种实现开机保护的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101359354B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103077358A (zh) * | 2011-09-20 | 2013-05-01 | 株式会社Pfu | 信息处理装置和事件控制方法 |
| CN103154958A (zh) * | 2010-09-30 | 2013-06-12 | 谷歌公司 | 基于图像的密钥交换 |
| CN103902880A (zh) * | 2014-03-31 | 2014-07-02 | 上海动联信息技术股份有限公司 | 基于挑战应答型动态口令的Windows系统双因素认证方法 |
| CN103971042A (zh) * | 2014-05-04 | 2014-08-06 | 上海众人网络安全技术有限公司 | 一种基于音频信号的动态密码开机方法 |
| CN104715189A (zh) * | 2012-06-29 | 2015-06-17 | 北京奇虎科技有限公司 | 一种填表组件密码安全性提示的方法和装置 |
| CN106529234A (zh) * | 2016-10-24 | 2017-03-22 | 青岛海信移动通信技术股份有限公司 | 调试模式下data分区密码验证方法、装置及终端设备 |
| CN108932431A (zh) * | 2018-07-10 | 2018-12-04 | 联想(北京)有限公司 | 一种处理方法及系统 |
| CN109583160A (zh) * | 2018-11-21 | 2019-04-05 | 安徽云融信息技术有限公司 | 计算机开机身份认证系统及其认证方法 |
-
2008
- 2008-09-28 CN CN2008102233871A patent/CN101359354B/zh not_active Expired - Fee Related
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103154958A (zh) * | 2010-09-30 | 2013-06-12 | 谷歌公司 | 基于图像的密钥交换 |
| CN103154958B (zh) * | 2010-09-30 | 2016-07-06 | 谷歌公司 | 基于图像的密钥交换 |
| CN103077358A (zh) * | 2011-09-20 | 2013-05-01 | 株式会社Pfu | 信息处理装置和事件控制方法 |
| CN104715189A (zh) * | 2012-06-29 | 2015-06-17 | 北京奇虎科技有限公司 | 一种填表组件密码安全性提示的方法和装置 |
| CN104715189B (zh) * | 2012-06-29 | 2018-10-12 | 北京奇虎科技有限公司 | 一种填表组件密码安全性提示的方法和装置 |
| CN103902880A (zh) * | 2014-03-31 | 2014-07-02 | 上海动联信息技术股份有限公司 | 基于挑战应答型动态口令的Windows系统双因素认证方法 |
| CN103971042A (zh) * | 2014-05-04 | 2014-08-06 | 上海众人网络安全技术有限公司 | 一种基于音频信号的动态密码开机方法 |
| CN106529234A (zh) * | 2016-10-24 | 2017-03-22 | 青岛海信移动通信技术股份有限公司 | 调试模式下data分区密码验证方法、装置及终端设备 |
| CN106529234B (zh) * | 2016-10-24 | 2019-09-17 | 青岛海信移动通信技术股份有限公司 | 调试模式下data分区密码验证方法、装置及终端设备 |
| CN108932431A (zh) * | 2018-07-10 | 2018-12-04 | 联想(北京)有限公司 | 一种处理方法及系统 |
| CN109583160A (zh) * | 2018-11-21 | 2019-04-05 | 安徽云融信息技术有限公司 | 计算机开机身份认证系统及其认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101359354B (zh) | 2010-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101359354B (zh) | 一种实现开机保护的方法和系统 | |
| CN101377803B (zh) | 一种实现开机保护的方法和系统 | |
| JP5519712B2 (ja) | コンピュータをブートする方法およびコンピュータ | |
| US10516533B2 (en) | Password triggered trusted encryption key deletion | |
| JP5745061B2 (ja) | 起動プロセスの際の対話型コンポーネントの使用の認証 | |
| US20120047503A1 (en) | Method for virtualizing a personal working environment and device for the same | |
| KR101654778B1 (ko) | 하드웨어 강제 액세스 보호 | |
| JP2010146048A (ja) | 生体認証装置を備えるコンピュータ | |
| CN110457894B (zh) | root权限的分配方法、装置、存储介质及终端设备 | |
| CN103164241A (zh) | 利用了生物认证装置的计算机的启动方法以及计算机 | |
| CN101770386A (zh) | 一种Linux嵌入式系统的安全启动方法 | |
| CN101916348A (zh) | 一种用户操作系统的安全引导方法及引导系统 | |
| KR20090078551A (ko) | 이동 저장 장치에서 호스트 인증 방법, 호스트 인증을 위한정보 제공 방법, 장치, 및 기록매체 | |
| US10783088B2 (en) | Systems and methods for providing connected anti-malware backup storage | |
| CN106909848A (zh) | 一种基于bios扩展的计算机安全增强系统及其方法 | |
| CN101377804B (zh) | 一种实现开机保护的方法和系统 | |
| CN105468964B (zh) | 计算机系统以及计算机系统操作方法 | |
| CN102594815A (zh) | 登陆操作系统前设置用户权限并执行相应操作的方法、装置 | |
| KR102248132B1 (ko) | 생체정보를 이용한 로그인방법, 장치 및 프로그램 | |
| CN110601846B (zh) | 一种校验虚拟可信根的系统及方法 | |
| TWI430133B (zh) | 生物感測啟動裝置、生物特徵感測控制之啟動管理系統及其方法 | |
| CN110688663A (zh) | 一种执行命令保护方法、装置及安卓设备和存储介质 | |
| Reineh et al. | Enabling secure and usable mobile application: revealing the nuts and bolts of software TPM in todays mobile devices | |
| JP2010211406A (ja) | リムーバブルメモリユニット | |
| CN105335659B (zh) | 计算机系统以及计算机系统操作方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: FEITIAN CHENGXIN TECHNOLOGY CO., LTD. Free format text: FORMER NAME: BEIJING FEITIAN CHENGXIN SCIENCE + TECHNOLOGY CO. LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 100085 Beijing city Haidian District Xueqing Road No. 9 Ebizal building B block 17 layer Patentee after: Feitian Technologies Co.,Ltd. Address before: 100085 Beijing city Haidian District Xueqing Road No. 9 Ebizal building B block 17 layer Patentee before: FEITIAN TECHNOLOGIES Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101229 |