CN103823692B - 一种计算机操作系统启动方法 - Google Patents
一种计算机操作系统启动方法 Download PDFInfo
- Publication number
- CN103823692B CN103823692B CN201310751035.4A CN201310751035A CN103823692B CN 103823692 B CN103823692 B CN 103823692B CN 201310751035 A CN201310751035 A CN 201310751035A CN 103823692 B CN103823692 B CN 103823692B
- Authority
- CN
- China
- Prior art keywords
- computer
- hard disk
- computer motherboard
- control hardware
- operating system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供了一种计算机操作系统启动方法,包括:计算机上电;BIOS通过控制硬件向硬盘请求读取MBR引导程序;所述控制硬件从硬盘截获所述MBR引导程序,并将预定的控制程序传输到计算机主板;计算机主板执行所述预定的控制程序并对计算机的用户进行身份认证,当所述用户通过身份认证时,计算机主板向所述控制硬件发送验证通过指令;所述控制硬件在接收到所述验证通过指令时,将从硬盘截获的MBR引导程序发送到计算机;计算机主板读取所述MBR引导程序,引导所述硬盘上的操作系统进行启动。该方法由于控制硬件与具体的计算机主板和操作系统无关,所以不需要定制专门的主板,具有较好的兼容性,有效地控制了从盘启动,保证了计算机操作系统地安全启动。
Description
技术领域
本发明涉及一种计算机操作系统启动方法。
背景技术
硬盘作为计算机操作系统的数据载体,操作系统一般都安装在硬盘中。当计算机操作系统启动时,一般执行以下步骤:通过基本输入输出系统(BIOS)加载并启动保存在硬盘主引导扇区(MBR,通常位于硬盘的第一个扇区,可存放一小段程序及主分区表)中的引导程序;MBR引导程序扫描所有分区表,找出活动分区;MBR引导程序加载并启动保存在活动分区的分区引导区(PBR)中的引导程序;活动分区PBR中的引导程序加载并启动安装在其上的操作系统。如果计算机CPU通过计算机主板的电路接口将存储在硬盘中的操作系统引导到计算机内存来进行启动,这种启动方式称为主盘启动。而当计算机操作系统将存储在外部WINPE或U盘或其他硬盘等上的操作系统引导到计算机内从来进行启动,这种启动方式称为从盘启动。
在一些对数据安全有较高要求的场合,如保密单位,其计算机中的硬盘存储保密及秘密信息,这些信息的泄漏会造成不可估量的损失。而其中一种泄密方式就是攻击者通过对计算机实施从盘启动的方式,例如,通过挂载另一块带有操作系统的硬盘或U盘,将原涉密硬盘进行从盘启动。在新挂载的操作系统中,可以新的操作系统的环境下将涉密硬盘所有文件非法拷贝出来,从而造成涉密信息的泄漏。
为了防止信息泄密,有的计算机主板厂家定制专门的BIOS,与主板上加载的硬盘进行相互认证,控制主板上加载的启动介质类型,从而达到防控计算机从盘启动的目的。
另外,还有一种依靠软件加密来防止从盘启动的方法,即通过在操作系统中运行相应的软件,将系统中部分文件进行加密,该加密软件与系统进行绑定,从而达到控制从盘启动的目的。
然而,通过定制BIOS来控制从盘启动的方法,由于针对不同的主板需要定制不同的BIOS,所以这种方法不具有普遍适用性,同时存在 安全隐患,例如BIOS掉电等情况可能无法很好的保护,而且当攻击者将挂载硬盘实施物理摘除,在其他主板上进行加载,该方法无效。而采用软件加密控制从盘启动的方法,由于其加密密钥还是存储在硬盘中,其软件加密强度和安全性存在隐患。
发明内容
针对现有技术中存在的上述问题,本发明提供了一种计算机操作系统启动方法,用于安全启动计算机操作系统。
本发明提供的一种计算机操作系统启动方法,包括以下步骤:
计算机上电;
BIOS通过控制硬件向硬盘请求读取MBR引导程序;
所述控制硬件从硬盘截获所述MBR引导程序,并将预定的控制程序传输到计算机主板;
计算机主板执行所述预定的控制程序并对计算机的用户进行身份认证,当所述用户通过身份认证时,计算机主板向所述控制硬件发送验证通过指令;
所述控制硬件在接收到所述验证通过指令时,将从硬盘截获的MBR引导程序发送到计算机;
计算机主板读取所述MBR引导程序,引导所述硬盘上的操作系统进行启动。
根据本发明提供的计算机操作系统启动方法,通过在计算机主板与硬盘之间设置控制硬件,在计算机上电启动时,控制硬件截获硬盘的MBR引导程序,并用预定的控制程序代替MBR引导程序发送到计算机主板,可以对计算机的用户进行身份认证,在用户通过身份认证时,才允许计算机主板引导硬盘上的操作系统进行启动。利用该方法,由于控制硬件与具体的计算机主板和操作系统无关,所以不需要定制专门的主板,具有较好的兼容性,有效地控制了从盘启动,保证了计算机操作系统地安全启动。此外,在控制硬件加载密钥的情况下,由于从计算机主板传输到硬盘的数据会经过密钥加密,所以,即使攻击者将控制硬件与硬盘分离,将硬盘直接连接到计算机主板上来获得硬盘上存储的数据,由于硬盘上的数据全部被加密,所以攻击者仍然无法使用硬盘上的数据,保证了计算机主板与硬盘之间通信的安全性。
附图说明
图1是根据本发明的计算机操作系统启动方法的流程图。
图2是根据本发明的计算机主板、控制硬件以及计算机硬盘之间的连接示意图。
具体实施方式
下面,结合附图详细描述本发明的具体实施方式。
参考图1,本发明提供了一种计算机操作系统启动方法,其中,包括以下步骤:计算机上电;BIOS通过控制硬件向硬盘请求读取MBR引导程序;所述控制硬件从硬盘截获所述MBR引导程序,并将预定的控制程序传输到计算机主板;计算机主板执行所述预定的控制程序并对计算机的用户进行身份认证,当所述用户通过身份认证时,计算机主板向所述控制硬件发送验证通过指令;所述控制硬件在接收到所述验证通过指令时,将从硬盘截获的MBR引导程序发送到计算机;计算机主板读取所述MBR引导程序,引导所述硬盘上的操作系统进行启动。
图2示出了根据本发明的计算机主板、控制硬件以及计算机硬盘之间的连接示意图。
参考图1~2,当计算机上电时,计算机主板BIOS向计算机逻辑地址0发出读请求,计算机CPU想要加载该地址的数据(即,MBR引导程序)进行运行。此时,控制硬件截获硬盘发送的MBR引导程序,并用一段预定的控制程序代替MBR引导程序发送到计算机主板。计算机主板接收到该预定的控制程序之后,运行该控制程序,此时,该控制程序要求对计算机的用户进行身份认证。当用户通过身份认证后,计算机主板向控制硬件发送验证通过指令。控制硬件接收到验证通过指令后,才将硬盘的MBR引导程序发送到计算机主板上,计算机主板启动硬盘上的操作系统。当用户不能通过身份认证时,控制程序可以要求对计算机的用于再次进行身份认证,或者控制程序可以拒绝BIOS启动操作系统。
根据本发明的计算机操作系统启动方法,通过在计算机主板与硬盘之间设置控制硬件,只有在计算机的用户通过身份认证时,才允许计 算机主板引导硬盘上的操作系统进行启动。该方法由于控制硬件与具体的计算机主板和操作系统无关,所以不需要定制专门的主板,具有较好的兼容性,有效地控制了从盘启动,保证了计算机操作系统地安全启动。
通常,计算机主板执行所述预定的控制程序并对计算机的用户进行身份认证的步骤包括:计算机主板请求用户输入口令;计算机主板接收用户输入的口令,并从所述控制硬件读取预定口令,将用户输入的口令与预定口令进行比较,当用户输入的口令与预定口令匹配时,判断所述用户通过身份认证,当用户输入的口令与预定口令不匹配时,判断所述用户未通过身份认证。
为了能够防止攻击者将控制硬件与硬盘分离,将硬盘直接连接到计算机主板上来获得硬盘上存储的数据,以及防止攻击者通过其他任何方式直接获取硬盘上存储的数据,可以在所述控制硬件在接收到所述验证通过指令时,所述控制硬件加载密钥,在未接收到所述验证通过指令时,所述控制硬件不加载密钥,所述密钥用于对从所述计算机主板发送到所述硬盘的数据进行加密,以及对从所述硬盘发送到所述计算机主板的数据进行解密。这样,由于硬盘上存储的数据是经过控制硬件加密的数据,在控制硬件的加密密钥没有正确加载的情况下,无法有效读取硬盘的数据。因此,当攻击者通过从盘启动的方式进行攻击时,由于没有通过用户认证,所以控制硬件的密钥无法加载,所以无法读取硬盘的数据。而且,即使攻击者将控制硬件与硬盘分离,也无法读取硬盘的加密数据。
其中,所控制硬件可以采用北京华虹集成电路设计有限公司的BHD5-AS5芯片,也可以采用其他的硬件形式,诸如带有FPGA的硬件平台等。
在一个具体的实施例中,所述控制硬件采用BHD5-AS5芯片,计算机采用X86架构的主板,计算机硬盘采用西部数据500GB容量的5400转的硬盘。当攻击者采用WINPE操作系统装载在光盘中,促使系统从光驱中的光盘启动时,视图通过WINPE获取计算机硬盘中的文件。而根据本发明的计算机操作系统启动方法,由于从盘启动无法通过身份认证,所以控制硬件将不会加载密钥,从而攻击者在WINPE等系统 下看到的是硬盘中未解密的秘闻,无法对该硬盘内的文件进行任何操作,从而有效防止了攻击者的攻击。计算机的合法使用者在使用计算机时,当计算机启动时,只需要根据控制程序输入口令进行身份认证,通过身份认证后,就可以正常引导计算机操作系统,此时,控制硬件正确加载密钥,计算机用户通过控制硬件访问硬盘中的数据时,可以读取到解密的硬盘的数据。
利用本发明提供的计算机操作系统启动方法,不需要定制专门的主板,具有较好的兼容性,可以有效地控制从盘启动,保证了计算机操作系统地安全启动。此外,在控制硬件加载密钥的情况下,由于硬盘上的数据全部被加密,所以攻击者无法读取硬盘上的加密数据,更好地保证了计算机主板与硬盘之间通信的安全性。
Claims (3)
1.一种计算机操作系统启动方法,其特征在于,包括计算机主板、控制硬件以及硬盘,所述控制硬件设置于所述计算机主板和所述硬盘之间,分别与所述计算机主板和所述硬盘相连接;
所述启动方法包括以下步骤:
计算机上电;
所述计算机主板上的BIOS通过所述控制硬件向所述硬盘请求读取MBR引导程序;
所述控制硬件从所述硬盘截获所述MBR引导程序,并用一段预定的控制程序代替所述MBR引导程序发送到所述计算机主板;
所述计算机主板执行所述预定的控制程序并对计算机的用户进行身份认证,当所述用户通过身份认证时,所述计算机主板向所述控制硬件发送验证通过指令;
所述控制硬件在接收到所述验证通过指令时,将从所述硬盘截获的所述MBR引导程序发送到所述计算机主板;
所述计算机主板读取所述MBR引导程序,引导所述硬盘上的操作系统进行启动。
2.根据权利要求1所述的计算机操作系统启动方法,其特征在于,所述计算机主板执行所述预定的控制程序并对计算机的用户进行身份认证的步骤包括:
所述计算机主板请求用户输入口令;
所述计算机主板接收用户输入的口令,并从所述控制硬件读取预定口令,将用户输入的口令与所述预定口令进行比较,当用户输入的所述口令与所述预定口令匹配时,判断所述用户通过身份认证,当用户输入的所述口令与所述预定口令不匹配时,判断所述用户未通过身份认证。
3.根据权利要求1所述的计算机操作系统启动方法,其特征在于,在所述控制硬件在接收到所述验证通过指令时还包括:
所述控制硬件加载密钥,在未接收到所述验证通过指令时,所述控制硬件不加载密钥,所述密钥用于对从所述计算机主板发送到所述硬盘的数据进行加密,以及对从所述硬盘发送到所述计算机主板的数据进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310751035.4A CN103823692B (zh) | 2013-12-31 | 2013-12-31 | 一种计算机操作系统启动方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310751035.4A CN103823692B (zh) | 2013-12-31 | 2013-12-31 | 一种计算机操作系统启动方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103823692A CN103823692A (zh) | 2014-05-28 |
| CN103823692B true CN103823692B (zh) | 2019-05-10 |
Family
ID=50758777
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310751035.4A Active CN103823692B (zh) | 2013-12-31 | 2013-12-31 | 一种计算机操作系统启动方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103823692B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104598827B (zh) * | 2015-01-12 | 2017-05-17 | 中国人民解放军信息工程大学 | 硬件协助的操作系统重启计数器设计方法 |
| CN107430661B (zh) * | 2015-03-03 | 2020-07-03 | 爱维士软件有限责任公司 | 计算设备的离线扫描方法和系统 |
| CN109033869A (zh) * | 2018-07-04 | 2018-12-18 | 深圳虚觅者科技有限公司 | 加密文件系统挂载方法及装置 |
| CN109375875B (zh) * | 2018-10-11 | 2020-03-17 | 北京明朝万达科技股份有限公司 | 文件传输方法和装置 |
| CN110472421B (zh) * | 2019-07-22 | 2021-08-20 | 深圳中电长城信息安全系统有限公司 | 主板、固件安全检测方法及终端设备 |
| CN112818304A (zh) * | 2019-11-15 | 2021-05-18 | 鹤壁天海电子信息系统有限公司 | 一种解锁方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1286434A (zh) * | 2000-09-13 | 2001-03-07 | 张巨洪 | 密文卷—ide数据通道加密卡 |
| CN1641522A (zh) * | 2004-01-16 | 2005-07-20 | 西北工业大学 | 计算机硬盘数据加密方法及其装置 |
| CN101038568A (zh) * | 2007-04-16 | 2007-09-19 | 丁万年 | 外置式计算机硬盘数据加密方法及其装置 |
| CN101477603A (zh) * | 2009-01-12 | 2009-07-08 | 杨俊生 | 基于扩展bios技术的计算机安全信息卡及其操作方法 |
| CN101504708A (zh) * | 2009-03-17 | 2009-08-12 | 北京鼎普科技股份有限公司 | 计算机安全防护装置及其方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102005043043A1 (de) * | 2005-09-09 | 2007-03-22 | Fujitsu Siemens Computers Gmbh | Computer mit mindestens einer Anschlussmöglichkeit für ein Wechselspeichermedium und Verfahren zum Starten und Betreiben eines Computers mit einem Wechselspeichermedium |
| CN102650944A (zh) * | 2011-02-28 | 2012-08-29 | 国民技术股份有限公司 | 一种操作系统安全引导装置及引导方法 |
| CN102830990A (zh) * | 2012-07-20 | 2012-12-19 | 大唐移动通信设备有限公司 | 一种计算机系统启动方法及计算机终端 |
-
2013
- 2013-12-31 CN CN201310751035.4A patent/CN103823692B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1286434A (zh) * | 2000-09-13 | 2001-03-07 | 张巨洪 | 密文卷—ide数据通道加密卡 |
| CN1641522A (zh) * | 2004-01-16 | 2005-07-20 | 西北工业大学 | 计算机硬盘数据加密方法及其装置 |
| CN101038568A (zh) * | 2007-04-16 | 2007-09-19 | 丁万年 | 外置式计算机硬盘数据加密方法及其装置 |
| CN101477603A (zh) * | 2009-01-12 | 2009-07-08 | 杨俊生 | 基于扩展bios技术的计算机安全信息卡及其操作方法 |
| CN101504708A (zh) * | 2009-03-17 | 2009-08-12 | 北京鼎普科技股份有限公司 | 计算机安全防护装置及其方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103823692A (zh) | 2014-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103823692B (zh) | 一种计算机操作系统启动方法 | |
| US20070199058A1 (en) | Method of using a security token | |
| CN102624699B (zh) | 一种保护数据的方法和系统 | |
| CN102646077B (zh) | 一种基于可信密码模块的全盘加密的方法 | |
| KR101719381B1 (ko) | 저장 장치의 원격 액세스 제어 | |
| US8332604B2 (en) | Methods to securely bind an encryption key to a storage device | |
| US9507964B2 (en) | Regulating access using information regarding a host machine of a portable storage drive | |
| US20120102564A1 (en) | Creating distinct user spaces through mountable file systems | |
| US20200104528A1 (en) | Data processing method, device and system | |
| CN102508791A (zh) | 一种对硬盘分区进行加密的方法及装置 | |
| US7970133B2 (en) | System and method for secure and flexible key schedule generation | |
| JP2007226667A (ja) | データ処理装置、データ処理方法及びプログラム | |
| CN109086620B (zh) | 基于移动存储介质的物理隔离双系统构建方法 | |
| US20150113272A1 (en) | Method and apparatus for authenticating and managing application using trusted platform module | |
| CN101794362A (zh) | 计算机用可信计算信任根设备及计算机 | |
| CN109804598B (zh) | 信息处理的方法、系统及计算机可读介质 | |
| US8341389B2 (en) | Device, systems, and method for securely starting up a computer installation | |
| US11735319B2 (en) | Method and system for processing medical data | |
| CN110543775B (zh) | 一种基于超融合理念的数据安全防护方法及系统 | |
| CN110807186B (zh) | 一种存储设备安全存储的方法、装置、设备和存储介质 | |
| JP2008160325A (ja) | リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ | |
| CN103930894A (zh) | 具有保密功能的存储装置读取器以及利用该存储装置读取器的保密方法 | |
| CN106326782A (zh) | 一种信息处理方法及电子设备 | |
| CN111339578A (zh) | 一种密钥存取方法、装置、系统、设备和存储介质 | |
| WO2019209893A1 (en) | Operating system on a computing system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190711 Address after: 100015 Beijing city Chaoyang District Gaojiayuan No. Patentee after: Beijing Huada Zhibao Electronics System Co., Ltd. Address before: 100015 Floor 1,501-1510, Building No.1, 66 Zhongguancun East Road, Haidian District, Beijing Patentee before: Beijing Huahong Integrated Circuit Design Co., Ltd. |
|
| TR01 | Transfer of patent right |