CN109033812B - 一种通过uefi控制ukey登录多分区操作系统的装置和方法 - Google Patents
一种通过uefi控制ukey登录多分区操作系统的装置和方法 Download PDFInfo
- Publication number
- CN109033812B CN109033812B CN201810777586.0A CN201810777586A CN109033812B CN 109033812 B CN109033812 B CN 109033812B CN 201810777586 A CN201810777586 A CN 201810777586A CN 109033812 B CN109033812 B CN 109033812B
- Authority
- CN
- China
- Prior art keywords
- user
- ukey
- ssd
- uefi
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种通过UEFI控制UKEY登录多分区操作系统的装置和方法,SSD采用分区加密的形式,正常状态只显示一个装有UEFI应用程序的小分区,用户拥有的分区处于加密状态,不能被访问修改,登录用户加密区之后才能正常操作。UKey中存放了用户的信息和与SSD内用户相同的SM4密钥,当U盘插入电脑且所有的信息验证通过之后才能正常启动操作系统,实现了无输入密码登录,避免在输入密码的过程中造成密码泄露。UKey和SSD之间的数据传输除使用国密算法SM4进行加密,保证了数据传输过程中重要信息的安全性。UKey注册过程应当处于保密状态,避免SM4密钥泄露。
Description
技术领域
本发明涉及一种通过UEFI控制UKey登录多分区操作系统的装置和方法,属于信息安全技术领域。
背景技术
个人电脑或企业办公电脑的操作系统的登录权限关系到用户或企业的信息安全。操作系统系统通常采用登录密码验证的方式登录操作系统,这种方式密码容易泄露,对信息安全造成威胁;此外为了适应不同的工作和生活需求,一台电脑上可能会存在两个或多个不同的操作系统,这些操作系统之间共享同一个本地硬盘,不同的系统用户可能能够对其他用户使用的磁盘区域进行访问操作,如果不同系统之间存在保密需求,这样就会影响不同用户之间的信息安全,此外还可能因为误操作对其他操作系统的文件造成破坏。
发明内容
本发明要解决的技术问题是提供一种通过UEFI控制UKey登录多分区操作系统的装置和方法,能够实现无输入密码启动,多用户磁盘空间不能相互访问。
为了解决所述技术问题,本发明采用的技术方案是:一种通过UEFI控制Ukey登录多分区操作系统的装置,包括终端设备、UKey和SSD,所述终端设备支持UEFI主板,UKey与终端设备通过USB总线双向通信,SSD与终端设备通过SATA总线双向通信,SSD上的分区包括一个UEFI应用程序存储区和N个用户加密区,N为正整数,每个用户加密区存储有用户信息、用户密钥和操作系统,UEFI应用程序存储区存储有UEFI应用程序,UKey中存储有M个用户加密区中的用户信息和用户密钥,M为不大于N的正整数;默认状态下SSD只显示UEFI应用程序存储区,登录多分区操作系统时,如果M大于1,用户首先选择要登录系统,然后SSD通过UEFI应用程序对UKey的用户信息和用户密钥进行验证,验证成功,登录UKey用户密钥对应的用户加密区下的操作系统,SSD只显示登录用户加密区下的分区,验证失败,则登录失败,显示错误信息并关机;如果M等于1,SSD通过UEFI应用程序对UKey的用户信息和用户密钥进行验证,验证成功,登录UKey用户密钥对应的用户加密区下的操作系统。
本发明所述所述通过UEFI控制Ukey登录多分区操作系统的装置,终端设备为PC机。
本发明还公开了一种通过UEFI控制UKey登录多分区操作系统的方法,该方法包括以下步骤:S01)、对UKey和SSD进行关联注册,SSD包括一个UEFI应用程序存储区和N个用户加密区,UEFI应用程序存储在UEFI应用程序存储区,每个用户加密区均存储有用户信息、用户密钥和操作系统,关联注册后,UKey中存储有M个用户加密区中的用户信息和用户密钥,N为正整数,M为不大于N的正整数;S02)、登录多分区操作系统时,首先从SSD中加载UEFI应用程序,程序启动后,SSD对UKey进行用户密钥和用户信息验证,验证通过后SSD登录用户加密区,其他未登录的用户加密区和UEFI应用程序区被隐藏,主机热重启后登录用户加密区中的操作系统。
本发明所述通过UEFI控制UKey登录多分区操作系统的方法,对UKey和SSD进行关联注册的过程为:对UKey和SSD进行关联注册的过程为:在N个用户加密区分别安装操作系统,并对N个用户加密区进行加密,设置加密密码;在N个用户加密区分别注册每个区的用户信息,并生成与用户信息对应的用户密钥,将N个用户加密区中的一个或多个区的用户信息、用户密钥保存至UKey。
本发明所述通过UEFI控制UKey登录多分区操作系统的方法,对UKey和SSD进行关联注册的过程为:在第n个用户加密区安装操作系统,并对该分区进行加密,设置加密密码;在UKey和SSD中分别注册第n个用户的信息,并保存至UKey和SSD中;为用户n随机生成一组用户密钥,并保存到UKey和SSD中,n=1、2、···、N。
本发明所述通过UEFI控制UKey登录多分区操作系统的方法,登录多分区操作系统的具体步骤为:S21)、SSD对UKey使用一次一密的方式进行验证,如果验证通过则执行步骤S22),如果验证未通过,则提示错误信息并关机;S22)、SSD获取UKey中的用户信息,并验证用户信息的合法性,如果验证成功则执行下一步骤,如果验证失败则提示错误信息并关机;S23)、SSD登录UKey中用户密钥对应的用户加密区,隐藏UEFI应用程序存储区和其他未登录的用户加密区;S24)、UEFI对主板进行热重启,重启后SSD只显示步骤S23)登录的用户加密区的所有分区,主板从该用户加密区中引导系统,实现系统登录;S25)、系统关机后,主板断电,SSD回复默认状态,默认状态为只显示UEFI应用程序存储区,不显示用户加密区,再次开机可以重新进行用户的登录,根据UKey中存储的用户密钥和用户信息可以登录不同的用户加密区。
本发明所述通过UEFI控制UKey登录多分区操作系统的方法,SSD使用一次一密方式验证UKey的过程为:S211)、SSD生成一组随机数R0,并通过UEFI发送给UKey;S212)、UKey接收到数据之后使用其保存的用户密钥进行加密,生成密文C,然后转发给SSD;S213)、SSD收到密文C之后,使用每个用户加密区的用户密钥对C进行解密,生成R11、R12、···、R1n,n=1、2、···、N,然后与R0进行比较,如果有一组数据与R0相同,则表明UKey是可信的;S214)、SSD验证完成之后将结果返回给UEFI应用程序。
本发明所述通过UEFI控制UKey登录多分区操作系统的方法,所述用户密钥为SM4密钥,UKey和SSD的交互数据采用SM4算法加密传输。
本发明的有益效果:本发明通过UEFI应用程序实现了一种轻量级的控制UKey和SSD之间数据交互和信息验证的方式,该方式不需要启动任何操作系统或内核,直接工作在主板之上,具有速度快的特点。SSD采用分区加密的形式,正常状态只显示一个装有UEFI应用程序的小分区,用户拥有的分区处于加密状态,不能被访问修改,登录用户加密区之后才能正常操作。UKey中存放了用户的信息和与SSD内用户相同的SM4密钥,当U盘插入电脑且所有的信息验证通过之后才能正常启动操作系统,实现了无输入密码登录,避免在输入密码的过程中造成密码泄露。UKey和SSD之间的数据传输除使用国密算法SM4进行加密,保证了数据传输过程中重要信息的安全性。UKey注册过程应当处于保密状态,避免SM4密钥泄露。
附图说明
图1为实施例1所述装置的系统结构示意图;
图2为实施例3中UKey和SSD进行关联注册的流程图;
图3为登录多分区操作系统时的流程图;
图4为SSD对UKey使用一次一密的方式进行验证的流程图;
图5为SSD默认分区状态和SSD用户登陆后的分区状态示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步的说明。
实施例1
本实施例公开一种通过UEFI控制UKey登录多分区操作系统的装置,如图1所示,包括终端设备、UKey和SSD,所述终端设备支持UEFI主板,UKey与终端设备通过USB总线双向通信,SSD与终端设备通过SATA总线双向通信,SSD上的分区包括一个UEFI应用程序存储区和N个用户加密区,N为正整数,每个用户加密区存储有用户信息、用户密钥和操作系统,UEFI应用程序存储区存储有UEFI应用程序,UKey中存储有M个用户加密区中的用户信息和用户密钥,M为不大于N的正整数;默认状态下SSD只显示UEFI应用程序存储区,登录多分区操作系统时,如果M大于1,用户首先选择要登录系统,然后SSD通过UEFI应用程序对UKey的用户信息和用户密钥进行验证,验证成功,登录UKey用户密钥对应的用户加密区下的操作系统,SSD只显示登录用户加密区下的分区,验证失败,则登录失败,显示错误信息并关机;如果M等于1,SSD通过UEFI应用程序对UKey的用户信息和用户密钥进行验证,验证成功,登录UKey用户密钥对应的用户加密区下的操作系统。
本实施例中,所述终端设备为PC机。
SSD上每个用户加密区对应一个用户操作系统,每个用户加密区之间无法互访,只能通过UKey中的用户密钥进行访问。当UKey中只有一组用户信息和用户密钥时,只有一个用户加密区的访问权限,当有多组用户信息和用户密钥时,可以访问多个用户加密区。
本实施例中,用户信息包括用户名、用户所占分区编号、登录分区密码等。
实施例2
本实施例公开一种通过UEFI控制UKey登录多分区操作系统的方法,该方法包括以下步骤:
S01)、对UKey和SSD进行关联注册,SSD包括一个UEFI应用程序存储区和N个用户加密区,UEFI应用程序存储在UEFI应用程序存储区,每个用户加密区均存储有用户信息、用户密钥和操作系统,进行关联注册的过程为:在N个用户加密区分别安装操作系统,并对N个用户加密区进行加密,设置加密密码;在N个用户加密区分别注册每个区的用户信息,并生成与用户信息对应的用户密钥,将N个用户加密区中的一个或多个区的用户信息、用户密钥保存至UKey;本步骤设置的加密密码是登录用户加密分区的密码,存在用户信息中,与用户密钥不同,用户密钥是SSD对UKey进行验证时使用的。
S02)、登录多分区操作系统时,首先从SSD中加载UEFI应用程序,程序启动后,SSD对UKey进行用户密钥和用户信息验证,验证通过后SSD登录用户加密区下的操作系统,其他未登录的用户加密区和UEFI应用程序区被隐藏。
如图3所示,登录多分区操作系统的具体步骤为:
S21)、SSD对UKey使用一次一密的方式进行验证,如果验证通过则执行步骤S22),如果验证未通过,则提示错误信息并关机;S22)、SSD获取UKey中的用户信息,并验证用户信息的合法性,如果验证成功则执行下一步骤,如果验证失败则提示错误信息并关机;S23)、SSD登录UKey中用户密钥对应的用户加密区,隐藏UEFI应用程序存储区和其他未登录的用户加密区;S24)、UEFI对主板进行热重启,重启后SSD只显示步骤S23)登录的用户加密区的所有分区,主板从该用户加密区中引导系统,实现系统登录;S25)、系统关机后,主板端电,SSD回复默认状态,默认状态为只显示UEFI应用程序存储区,不显示用户加密区,再次开机可以重新进行用户的登录,根据UKey中存储的用户密钥和用户信息可以登录不同的用户加密区。
如图4所示,SSD使用一次一密方式验证UKey的过程为:S211)、SSD生成一组随机数R0,并通过UEFI发送给UKey;S212)、UKey接收到数据之后使用其保存的用户密钥进行加密,生成密文C,然后转发给SSD;S213)、SSD收到密文C之后,使用每个用户加密区的用户密钥对C进行解密,生成R11、R12、···、R1n,n=1、2、···、N,然后与R0进行比较,如果有一组数据与R0相同,则表明UKey是可信的;S214)、SSD验证完成之后将结果返回给UEFI应用程序。
本实施例中,所述用户密钥为SM4密钥,UKey和SSD的交互数据采用SM4算法加密传输。
本实施例中,关联注册后UKey中存储有M个用户加密区中的用户信息和用户密钥,M为不大于N的正整数,当M=1时,UKey中只有一组用户信息和用户密钥时,只有一个用户加密区的访问权限,当M>1时,UKey中有多组用户信息和用户密钥时,可以访问多个用户加密区。登录时,若M>1,首先选择要登录的系统,即要登录的用户加密区,然后SSD通过UEFI应用程序对UKey的用户信息和用户密钥进行验证,若M=1,直接SSD通过UEFI应用程序对UKey的用户信息和用户密钥进行验证。
实施例3
如图2所示,本实施例中,对UKey和SSD进行关联注册的过程为:在第n个用户加密区安装操作系统,并对该分区进行加密,设置加密密码;在UKey和SSD中分别注册第n个用户的信息,并保存至UKey和SSD中;为用户n随机生成一组用户密钥,并保存到UKey和SSD中,n=1、2、···、N。
本实施例中,关联注册针对SSD中新增一个用户系统之后,对SSD和UKey进行对称注册,通过用户管理工具进行的关联注册,使用者应当具有管理权限。
以上描述的仅是本发明的基本原理和优选实施例,本领域技术人员根据本发明做出的改进和替换,属于本发明的保护范围。
Claims (5)
1.一种通过UEFI控制Ukey登录多分区操作系统的方法,其特征在于:包括以下步骤:S01)、对UKey和SSD进行关联注册,SSD包括一个UEFI应用程序存储区和N个用户加密区,UEFI应用程序存储在UEFI应用程序存储区,每个用户加密区均存储有用户信息、用户密钥和操作系统,关联注册后,UKey中存储有M个用户加密区中的用户信息和用户密钥,N为正整数,M为不大于N的正整数;S02)、登录多分区操作系统时,首先从SSD中加载UEFI应用程序,程序启动后,SSD对UKey进行用户密钥和用户信息验证,验证通过后SSD登录用户加密区,其他未登录的用户加密区和UEFI应用程序区被隐藏,主机热重启后登录用户加密区中的操作系统;
步骤S02)的具体步骤为:S21)、SSD对UKey使用一次一密的方式进行验证,如果验证通过则执行步骤S22),如果验证未通过,则提示错误信息并关机;S22)、SSD获取UKey中的用户信息,并验证用户信息的合法性,如果验证成功则执行下一步骤,如果验证失败则提示错误信息并关机;S23)、SSD登录UKey中用户密钥对应的用户加密区,隐藏UEFI应用程序存储区和其他未登录的用户加密区;S24)、UEFI对主板进行热重启,重启后SSD只显示步骤S23)登录的用户加密区的所有分区,主板从该用户加密区中引导系统,实现系统登录;S25)、系统关机后,主板断电,SSD回复默认状态,默认状态为只显示UEFI应用程序存储区,不显示用户加密区,再次开机可以重新进行用户的登录,根据UKey中存储的用户密钥和用户信息可以登录不同的用户加密区。
2.根据权利要求1所述的通过UEFI控制UKey登录多分区操作系统的方法,其特征在于:对UKey和SSD进行关联注册的过程为:在N个用户加密区分别安装操作系统,并对N个用户加密区进行加密,设置加密密码;在N个用户加密区分别注册每个区的用户信息,并生成与用户信息对应的用户密钥,将N个用户加密区中的一个或多个区的用户信息、用户密钥保存至UKey。
3.根据权利要求1所述的通过UEFI控制UKey登录多分区操作系统的方法,其特征在于:对UKey和SSD进行关联注册的过程为:在第n个用户加密区安装操作系统,并对该分区进行加密,设置加密密码;在UKey和SSD中分别注册第n个用户的信息,并保存至UKey和SSD中;为用户n随机生成一组用户密钥,并保存到UKey和SSD中,n=1、2、···、N。
4.根据权利要求1所述的通过UEFI控制UKey登录多分区操作系统的方法,其特征在于:SSD使用一次一密方式验证UKey的过程为:S211)、SSD生成一组随机数R0,并通过UEFI发送给UKey;S212)、UKey接收到数据之后使用其保存的用户密钥进行加密,生成密文C,然后转发给SSD;S213)、SSD收到密文C之后,使用每个用户加密区的用户密钥对C进行解密,生成R11、R12、···、R1n,n=1、2、···、N,然后与R0进行比较,如果有一组数据与R0相同,则表明UKey是可信的;S214)、SSD验证完成之后将结果返回给UEFI应用程序。
5.根据权利要求1-4任一项所述的通过UEFI控制UKey登录多分区操作系统的方法,其特征在于:所述用户密钥为SM4密钥,UKey和SSD的交互数据采用SM4算法加密传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810777586.0A CN109033812B (zh) | 2018-07-16 | 2018-07-16 | 一种通过uefi控制ukey登录多分区操作系统的装置和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810777586.0A CN109033812B (zh) | 2018-07-16 | 2018-07-16 | 一种通过uefi控制ukey登录多分区操作系统的装置和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109033812A CN109033812A (zh) | 2018-12-18 |
| CN109033812B true CN109033812B (zh) | 2021-09-24 |
Family
ID=64642739
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810777586.0A Active CN109033812B (zh) | 2018-07-16 | 2018-07-16 | 一种通过uefi控制ukey登录多分区操作系统的装置和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109033812B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111079106A (zh) * | 2019-12-20 | 2020-04-28 | 山东方寸微电子科技有限公司 | 基于bios安全机制的ssd多分区登录方法及存储介质 |
| CN112560058B (zh) * | 2020-12-17 | 2022-12-30 | 山东华芯半导体有限公司 | 基于智能密码钥匙的ssd分区加密存储系统及其实现方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103377054A (zh) * | 2012-04-16 | 2013-10-30 | 联想(北京)有限公司 | 启动方法和启动装置 |
| CN103870762B (zh) * | 2012-12-18 | 2017-08-29 | 联想(北京)有限公司 | 分区访问方法和电子设备 |
| CN104572093A (zh) * | 2014-12-30 | 2015-04-29 | 北京工业大学 | 使用usb控制器实现终端设备双操作系统启动的方法 |
| US20170228228A1 (en) * | 2016-02-05 | 2017-08-10 | Quanta Computer Inc. | Remote launch of deploy utility |
| CN108170482B (zh) * | 2018-01-17 | 2021-01-15 | 联想(北京)有限公司 | 信息处理方法及计算机设备 |
-
2018
- 2018-07-16 CN CN201810777586.0A patent/CN109033812B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109033812A (zh) | 2018-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20090046858A1 (en) | System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key | |
| EP1953669A2 (en) | System and method of storage device data encryption and data access via a hardware key | |
| EP2495681B1 (en) | Remote pre-boot authentication | |
| US9336402B2 (en) | Secure data in removable storage devices via encryption token(s) | |
| CN102508791B (zh) | 一种对硬盘分区进行加密的方法及装置 | |
| US20080184035A1 (en) | System and Method of Storage Device Data Encryption and Data Access | |
| US8885833B2 (en) | One-time recovery credentials for encrypted data access | |
| US20110087888A1 (en) | Authentication using a weak hash of user credentials | |
| EP1953668A2 (en) | System and method of data encryption and data access of a set of storage devices via a hardware key | |
| CN107689943B (zh) | 一种数据加密的方法、用户终端、服务器及系统 | |
| CN109076054B (zh) | 用于管理单点登录应用程序的加密密钥的系统和方法 | |
| AU2014266011B2 (en) | Self-authentication device and method | |
| US11368291B2 (en) | Mutually authenticated adaptive management interfaces for interaction with sensitive infrastructure | |
| CN109033812B (zh) | 一种通过uefi控制ukey登录多分区操作系统的装置和方法 | |
| EP3794482B1 (en) | Method for securing an automated system | |
| TWI789291B (zh) | 用於認證在儲存裝置和主機裝置之間的資料傳輸之模組和方法 | |
| US11601285B2 (en) | Securely authorizing service level access to a backup system using a specialized access key | |
| US8555342B1 (en) | Providing secure access to a set of credentials within a data security mechanism of a data storage system | |
| Gen et al. | Hewlett-Packard Enterprise Development LP | |
| US9870481B1 (en) | Associating a data encryption keystore backup with a computer system | |
| US20230099755A1 (en) | Sql extension to key transfer system with authenticity, confidentiality, and integrity | |
| US11340801B2 (en) | Data protection method and electronic device implementing data protection method | |
| CN112580003B (zh) | 一种基于bs架构的权限控制方法及服务器 | |
| Corella et al. | An example of a derived credentials architecture | |
| KR20220133138A (ko) | 패스워드 백업 방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |