CN101520830A - 具有硬盘数据保护功能的计算机开机身份认证方法 - Google Patents
具有硬盘数据保护功能的计算机开机身份认证方法 Download PDFInfo
- Publication number
- CN101520830A CN101520830A CN200910021914A CN200910021914A CN101520830A CN 101520830 A CN101520830 A CN 101520830A CN 200910021914 A CN200910021914 A CN 200910021914A CN 200910021914 A CN200910021914 A CN 200910021914A CN 101520830 A CN101520830 A CN 101520830A
- Authority
- CN
- China
- Prior art keywords
- disk
- sector
- usb flash
- hard disk
- boot
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种具有硬盘数据保护功能的计算机开机身份认证方法,将U盘格式化后插入到计算机上,将硬盘中的引导扇区、磁盘分区表信息和操作系统启动扇区复制到U盘,存储密码信息到U盘,将新引导程序写入引导扇区,使硬盘处于未知系统状态,退出U盘;插入U盘后启动计算机,执行硬盘中修改后的引导程序,提示输入密码,与预留密码比对,若相同,则将原硬盘磁盘分区表信息和操作系统引导扇区复制到硬盘上;执行原始引导程序,启动程序;在操作系统启动完成前,再次置于未知系统状态。本发明有效地保护了硬盘中所存储的数据文件,大大提高了硬盘数据的安全性。
Description
技术领域
本发明属于计算机系统安全领域,涉及一种计算机开机身份认证方法,用于控制对计算机的非授权使用和硬盘数据的保护。
背景技术
为了保障用户计算机系统的安全,避免他人未授权使用,通常采用计算机开机身份认证技术,在计算机开机启动过程中通过输入密码来鉴别用户身份。一般的计算机系统通常提供两种开机身份认证技术:一是基于基本输入输出系统(Basic Input OutputSystem,BIOS)级的开机身份认证,简称BIOS密码认证,即预先在计算机BIOS上设置密码,在开机启动BIOS时提示输入密码进行身份认证;二是基于操作系统级的开机身份认证,简称操作系统密码认证,即预先在操作系统中设置密码或者生物特征(如指纹等),在加载操作系统时提示输入密码或生物特征进行身份认证。
这两种开机身份认证技术都存在两个安全缺陷:
(1)不能有效地保护计算机硬盘数据。如果将设有密码的计算机上的硬盘取下,挂接在另一台计算机上,作为该计算机的第二块硬盘(一般的计算机都允许安装两块硬盘),便能够打开和读取该硬盘中所存储的任何文件,硬盘中所存储的敏感信息就可能被泄漏,无法保证硬盘中的数据安全。这个问题在计算机丢失或硬盘被盗的情况下非常突出。
(2)自主型开机身份认证。上述开机身份认证方法都属于自主型的,用户可以设置开机认证密码,也不可以设置,还可以随意取消。从系统安全等级来看,这种自主型开机身份认证的安全性较低,不适合在安全性要求较高的环境中使用。
发明内容
为了克服现有技术存在安全缺陷的不足,本发明提供一种计算机开机身份认证方法,能够增强计算机系统的安全性。该方法不仅具有开机身份认证功能,并且具有硬盘数据保护功能,即在未通过计算机开机身份认证的情况下,存储在硬盘中的文件不能通过其它任何途径(如作为另一台计算机的第二块硬盘)来读取,并且在计算机开机启动时实行强制性身份认证。
本发明解决其技术问题所采用的技术方案包括以下步骤:
(1)准备阶段:首先,每个被保护的计算机需要配备一个普通的USB盘(简称U盘),格式化后插入到被保护的计算机上。然后在该计算机上执行如下操作:
①以磁盘扇区读写方式将硬盘中的引导扇区、磁盘分区表信息和操作系统启动扇区复制在U盘的空闲扇区上;
②提示用户输入一个不少于6个字符的密码,将密码信息以磁盘扇区读写方式存储在U盘的空闲扇区上;
③以磁盘扇区读写方式将新引导程序写入引导扇区,新引导程序可执行U盘设备识别、身份认证和磁盘分区表信息恢复步骤;
所述的新引导程序包括以下步骤:
(a)U盘设备识别步骤:使引导程序能够识别出U盘,具有U盘读写能力。这是最为关键的步骤,可以采用两种方法来实现:一是使用具有U盘启动功能的计算机,即计算机的BIOS支持U盘启动功能,将这类计算机设置成U盘启动即可;二是用汇编程序编写U盘设备驱动程序,在U盘引导程序中加载,这种方法可以采用与U盘生产厂商合作,由厂商来提供U盘设备驱动程序开发软件。
(b)身份认证步骤:提示用户输入密码,与U盘中所预留的密码进行比较,对于用户输入的错误密码,给出错误提示信息;
(c)磁盘分区表信息和操作系统引导扇区恢复步骤:如果通过了身份认证,则从U盘上读出原始的磁盘分区表信息和操作系统引导扇区,并写入磁盘中相应的位置上,恢复原始磁盘分区表信息和操作系统引导扇区信息;
(d)将U盘中所记录的磁盘原始引导扇区读入内存中指定的位置,转入执行原始引导程序。
④用全“0”覆盖硬盘上磁盘分区表和操作系统启动扇区,使硬盘处于“未知系统”状态;
⑤退出U盘。
以后,这个U盘便是开启该计算机的“钥匙”,需要妥善保管。
(2)工作阶段:被保护的计算机每次加电启动前,首先插入作为“钥匙”的U盘,然后加电开机。系统的执行过程如下:
①当系统进入磁盘引导阶段后,自动执行硬盘引导扇区中修改后的引导程序,该引导程序首先提示用户输入一个密码,然后与存储在U盘上的预留密码相比对,如果两者相同,则继续执行后续操作;否则,给出错误提示信息,等待重新输入。
②当密码验证通过后,引导程序将存储在U盘上的原硬盘磁盘分区表信息和操作系统引导扇区复制到硬盘的原来位置上,即恢复原始硬盘磁盘分区表和操作系统引导扇区信息。
③执行原存储在U盘中的引导扇区的原始引导程序,加载磁盘分区表信息,并根据磁盘分区表信息加载操作系统启动程序。
④由于磁盘分区表信息在启动操作系统时被加载到计算机内存中,以后不会再从硬盘上读取。因此在操作系统启动完成前,需要重新用全“0”覆盖硬盘上磁盘分区表,再次置于“未知系统”状态。这样,在计算机关机后,硬盘上磁盘分区表仍处于“未知系统”状态。
可见,本方法是在原始引导程序执行前使系统提前执行新引导程序,在新引导程序中进行身份认证,身份认证通过后,再执行原始引导程序。
本发明的有益效果是:本发明将计算机开机身份认证和磁盘数据保护有机结合起来,由于计算机关机后硬盘上磁盘分区表处于“未知系统”状态,即使将该计算机的硬盘取下,挂接在另一台计算机上,也会因为缺乏有效的磁盘分区表信息而无法识别和打开该硬盘。因此不仅具有计算机开机身份认证功能,并且还提供了磁盘数据保护功能,有效地保护了硬盘中所存储的数据文件,避免了因计算机丢失或硬盘被盗而引起的敏感信息泄漏,大大提高了硬盘数据的安全性。
以本发明为基础开发的原型系统在多台计算机上进行了反复的功能测试、性能测试和可靠性测试。从测试结果来看,本方法达到如下效果:
(1)用户密码和原始硬盘磁盘分区表等重要信息存储在U盘上,U盘与被保护的计算机相分离,实现双因子认证,并且U盘可以随身携带,安全可靠。
(2)将计算机开机身份认证和磁盘数据保护有机结合起来,只有插入U盘并输入正确的密码后,才能正确地引导和启动操作系统,而不能通过其它途径打开和读取硬盘数据文件,硬盘数据保护能力强。
(3)使用普通的U盘作为“钥匙”,成本很低,便于大规模应用。
下面结合实施例对本发明进一步说明。
具体实施方式
本发明实现时的具体步骤实现如下:
(1)准备阶段:首先,配备一个朗科1G的普通USB盘(简称U盘),将该U盘格式化成FAT格式后插入到被保护的计算机上。然后在该计算机上执行如下操作:
①以磁盘扇区读写方式将硬盘中的引导扇区、磁盘分区表信息和操作系统启动扇区复制在U盘的空闲扇区上,此处的空闲扇区是002扇区和003扇区;
②提示用户输入一个不少于6个字符的密码,将密码信息以磁盘扇区读写方式存储在U盘的空闲扇区上,此处的空闲扇区是004扇区,输入的密码为12345678;
③以磁盘扇区读写方式将新引导程序写入引导扇区,新引导程序可执行U盘设备识别、身份认证和磁盘分区表信息恢复步骤;
通过以下步骤来实现新引导扇区的功能:
●U盘设备识别步骤:使用具有U盘启动功能的计算机,即计算机的BIOS支持U盘启动功能,将这类计算机设置成U盘启动即可;
●身份认证步骤:提示用户输入密码,与U盘中所预留的密码进行比较,对于用户输入的错误密码,给出错误提示信息。首先输入123456,系统提示以下信息:“用户密码输入错误,请重新输入!”,并等待用户的再次输入。再次输入12345678,密码验证通过,系统继续执行后续的操作。;
●磁盘分区表信息和操作系统引导扇区恢复步骤:如果通过了身份认证,则从U盘上读出原始的磁盘分区表信息和操作系统引导扇区,并写入磁盘中相应的位置上,恢复原始磁盘分区表信息和操作系统引导扇区信息;
●将U盘中所记录的磁盘原始引导扇区读入内存中指定的位置,转入执行原始引导程序。
④用全“0”覆盖硬盘上磁盘分区表和操作系统启动扇区,使硬盘处于“未知系统”状态;
⑤退出U盘。
(2)工作阶段:被保护的计算机每次加电启动前,首先插入作为“钥匙”的U盘,然后加电开机。系统的执行过程如下:
①当系统进入磁盘引导阶段后,自动执行硬盘引导扇区中修改后的引导程序,该引导程序首先提示用户输入一个密码,然后与存储在U盘上的预留密码相比对,如果两者相同,则继续执行后续操作;否则,给出错误提示信息,等待重新输入。
②当密码验证通过后,引导程序将存储在U盘上的原硬盘磁盘分区表信息和操作系统引导扇区复制到硬盘的原来位置上,即恢复原始硬盘磁盘分区表和操作系统引导扇区信息。
③执行原存储在U盘中的引导扇区的原始引导程序,加载磁盘分区表信息,并根据磁盘分区表信息加载操作系统启动程序。
④由于磁盘分区表信息在启动操作系统时被加载到计算机内存中,以后不会再从硬盘上读取。因此在操作系统启动完成前,需要重新用全“0”覆盖硬盘上磁盘分区表,再次置于“未知系统”状态。
Claims (2)
1、具有硬盘数据保护功能的计算机开机身份认证方法,其特征在于包括下述步骤:
(1)准备阶段:首先,每个被保护的计算机需要配备一个U盘,格式化后插入到被保护的计算机上;然后在该计算机上执行如下操作:
①以磁盘扇区读写方式将硬盘中的引导扇区、磁盘分区表信息和操作系统启动扇区复制在U盘的空闲扇区上;
②提示用户输入一个不少于6个字符的密码,将密码信息以磁盘扇区读写方式存储在U盘的空闲扇区上;
③以磁盘扇区读写方式将新引导程序写入引导扇区,新引导程序可执行U盘设备识别、身份认证和磁盘分区表信息恢复步骤;
④用全0覆盖硬盘上磁盘分区表和操作系统启动扇区,使硬盘处于未知系统状态;
⑤退出U盘;
(2)工作阶段:被保护的计算机每次加电启动前,首先插入U盘,然后加电开机,系统的执行过程如下:
①当系统进入磁盘引导阶段后,自动执行硬盘引导扇区中修改后的引导程序,该引导程序首先提示用户输入一个密码,然后与存储在U盘上的预留密码相比对,如果两者相同,则继续执行后续操作;否则,给出错误提示信息,等待重新输入;
②当密码验证通过后,引导程序将存储在U盘上的原硬盘磁盘分区表信息和操作系统引导扇区复制到硬盘的原来位置上;
③执行原存储在U盘中的引导扇区的原始引导程序,加载磁盘分区表信息,并根据磁盘分区表信息加载操作系统启动程序;
④在操作系统启动完成前,重新用全0覆盖硬盘上磁盘分区表,再次置于未知系统状态。
2、根据权利要求1所述的具有硬盘数据保护功能的计算机开机身份认证方法,其特征在于所述的新引导程序包括以下步骤:
(a)U盘设备识别步骤:使用具有U盘启动功能的计算机,将这类计算机设置成U盘启动即可;或者用汇编程序编写U盘设备驱动程序,在U盘引导程序中加载;
(b)身份认证步骤:提示用户输入密码,与U盘中所预留的密码进行比较,对于用户输入的错误密码,给出错误提示信息;
(c)磁盘分区表信息和操作系统引导扇区恢复步骤:从U盘上读出原始的磁盘分区表信息和操作系统引导扇区,并写入磁盘中相应的位置上,恢复原始磁盘分区表信息和操作系统引导扇区信息;
(d)将U盘中所记录的磁盘原始引导扇区读入内存中指定的位置,转入执行原始引导程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100219145A CN101520830B (zh) | 2009-04-08 | 2009-04-08 | 具有硬盘数据保护功能的计算机开机身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100219145A CN101520830B (zh) | 2009-04-08 | 2009-04-08 | 具有硬盘数据保护功能的计算机开机身份认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101520830A true CN101520830A (zh) | 2009-09-02 |
| CN101520830B CN101520830B (zh) | 2011-01-05 |
Family
ID=41081416
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100219145A Expired - Fee Related CN101520830B (zh) | 2009-04-08 | 2009-04-08 | 具有硬盘数据保护功能的计算机开机身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101520830B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101930384A (zh) * | 2010-09-10 | 2010-12-29 | 北京中科院软件中心有限公司 | 文件系统的容错方法及其装置 |
| CN103198029A (zh) * | 2012-01-05 | 2013-07-10 | 精品科技股份有限公司 | 具有防护机制的随身碟和数据储存系统 |
| CN103235761A (zh) * | 2013-04-19 | 2013-08-07 | 厦门市美亚柏科信息股份有限公司 | 利用隐藏扇区实现u盘多系统的方法 |
| CN103544069A (zh) * | 2012-07-18 | 2014-01-29 | 肖祥省 | 一区多用创建容错型多启系统盘 |
| CN103793643A (zh) * | 2012-10-30 | 2014-05-14 | 联想(北京)有限公司 | 一种启动方法及电子设备 |
| CN105528307A (zh) * | 2015-11-27 | 2016-04-27 | 联想(北京)有限公司 | 一种信息处理的方法及电子设备 |
| CN105787311A (zh) * | 2014-12-22 | 2016-07-20 | 联想(上海)信息技术有限公司 | 存储设备管理方法、装置及电子设备 |
| CN106971102A (zh) * | 2017-03-24 | 2017-07-21 | 山东超越数控电子有限公司 | 一种基于硬盘密码模块的开机认证方法和装置 |
| CN109697030A (zh) * | 2018-12-12 | 2019-04-30 | 江西电力职业技术学院 | U盘还原方法 |
| CN115080324A (zh) * | 2022-07-22 | 2022-09-20 | 苏州浪潮智能科技有限公司 | Hdd磁盘密码写保护功能测试方法、系统、装置及介质 |
-
2009
- 2009-04-08 CN CN2009100219145A patent/CN101520830B/zh not_active Expired - Fee Related
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101930384A (zh) * | 2010-09-10 | 2010-12-29 | 北京中科院软件中心有限公司 | 文件系统的容错方法及其装置 |
| WO2012031567A1 (zh) * | 2010-09-10 | 2012-03-15 | 北京中科院软件中心有限公司 | 文件系统的容错方法及其装置 |
| CN103198029A (zh) * | 2012-01-05 | 2013-07-10 | 精品科技股份有限公司 | 具有防护机制的随身碟和数据储存系统 |
| CN103198029B (zh) * | 2012-01-05 | 2016-06-29 | 精品科技股份有限公司 | 具有防护机制的随身碟和数据储存系统 |
| CN103544069A (zh) * | 2012-07-18 | 2014-01-29 | 肖祥省 | 一区多用创建容错型多启系统盘 |
| CN103544069B (zh) * | 2012-07-18 | 2017-03-29 | 肖祥省 | 一区多用创建容错型多启系统盘 |
| CN103793643A (zh) * | 2012-10-30 | 2014-05-14 | 联想(北京)有限公司 | 一种启动方法及电子设备 |
| CN103235761B (zh) * | 2013-04-19 | 2016-04-13 | 厦门市美亚柏科信息股份有限公司 | 利用隐藏扇区实现u盘多系统的方法 |
| CN103235761A (zh) * | 2013-04-19 | 2013-08-07 | 厦门市美亚柏科信息股份有限公司 | 利用隐藏扇区实现u盘多系统的方法 |
| CN105787311A (zh) * | 2014-12-22 | 2016-07-20 | 联想(上海)信息技术有限公司 | 存储设备管理方法、装置及电子设备 |
| CN105528307A (zh) * | 2015-11-27 | 2016-04-27 | 联想(北京)有限公司 | 一种信息处理的方法及电子设备 |
| CN105528307B (zh) * | 2015-11-27 | 2019-03-29 | 联想(北京)有限公司 | 一种信息处理的方法及电子设备 |
| CN106971102A (zh) * | 2017-03-24 | 2017-07-21 | 山东超越数控电子有限公司 | 一种基于硬盘密码模块的开机认证方法和装置 |
| CN109697030A (zh) * | 2018-12-12 | 2019-04-30 | 江西电力职业技术学院 | U盘还原方法 |
| CN115080324A (zh) * | 2022-07-22 | 2022-09-20 | 苏州浪潮智能科技有限公司 | Hdd磁盘密码写保护功能测试方法、系统、装置及介质 |
| CN115080324B (zh) * | 2022-07-22 | 2024-06-28 | 苏州浪潮智能科技有限公司 | Hdd磁盘密码写保护功能测试方法、系统、装置及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101520830B (zh) | 2011-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101520830B (zh) | 具有硬盘数据保护功能的计算机开机身份认证方法 | |
| CN100468434C (zh) | 一种实现计算机的开机保护方法及装置 | |
| US20120011354A1 (en) | Boot loading of secure operating system from external device | |
| CN104866768B (zh) | 自动柜员机操作系统启动控制方法及装置 | |
| US7818567B2 (en) | Method for protecting security accounts manager (SAM) files within windows operating systems | |
| US9262631B2 (en) | Embedded device and control method thereof | |
| US10817211B2 (en) | Method for completing a secure erase operation | |
| RU2353969C2 (ru) | Способ и устройство для привязки памяти компьютера к системной плате | |
| US20080263542A1 (en) | Software-Firmware Transfer System | |
| US20130227262A1 (en) | Authentication device and authentication method | |
| WO2011134207A1 (zh) | 软件保护方法 | |
| CN101334827A (zh) | 磁盘加密方法及实现该方法的磁盘加密系统 | |
| CN112783537A (zh) | 基于MTD存储设备的嵌入式linux操作系统升级方法及系统 | |
| CN101021793B (zh) | 利用扩展BIOS技术实现Pre-OS应用的方法及系统 | |
| CN114662164A (zh) | 基于加密硬盘的身份认证与访问控制系统、方法和设备 | |
| US20050193195A1 (en) | Method and system for protecting data of storage unit | |
| CN104657644A (zh) | 一种指纹采集认证方法及装置 | |
| CN102142066A (zh) | 一种计算设备及其备份恢复方法 | |
| JPH1139158A (ja) | 実行プログラムの保護方法およびその装置 | |
| CN218068848U (zh) | 一种基于cpld的嵌入式软件加密防护系统 | |
| RU2396594C2 (ru) | Способ защищенной загрузки операционной системы компьютера с проверкой целостности | |
| US7882353B2 (en) | Method for protecting data in a hard disk | |
| CN106228091A (zh) | 一种安全的固件验证更新方法 | |
| CN104751082B (zh) | 操作系统及数据安全控制方法及装置 | |
| CN103677875A (zh) | 一种电子设备启动的方法、权限控制方法和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110105 Termination date: 20130408 |