CN112966276A - 一种计算机的安全启动方法、装置及介质 - Google Patents
一种计算机的安全启动方法、装置及介质 Download PDFInfo
- Publication number
- CN112966276A CN112966276A CN202110361550.6A CN202110361550A CN112966276A CN 112966276 A CN112966276 A CN 112966276A CN 202110361550 A CN202110361550 A CN 202110361550A CN 112966276 A CN112966276 A CN 112966276A
- Authority
- CN
- China
- Prior art keywords
- identification code
- verification password
- disk
- target
- security verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种计算机的安全启动方法、装置及介质,其中方法包括,预先安装定制UEFI系统、预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系和参考安全验证密码,及预先设置安全盘数据区域读写保护,通过UEFI系统获取安全启动盘硬件的第一标识码、待启动目标主机的主机硬件的第二标识码以及目标安全验证密码,在根据对应关系确定第一标识码和第二标识码存在对应关系、且目标安全验证密码与参考安全验证密码匹配后,解锁安全盘数据区域并通过UEFI系统引导操作系统启动。由于UEFI系统中存在验证上述相关信息的资源,因此在在主机的启动过程中,不用进入操作系统后去解锁启动盘,提高了安全性,降低了启动的时间。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种计算机的安全启动方法、装置及介质。
背景技术
随着科技的发展,计算机渐渐称为人类生活和工作的重要工具,并且计算机中存储了越来越多的重要数据和文件,为了避免黑客通过攻击用户计算机的方式盗取用户重要资料,安全启动盘成为了电脑常用的安全防护措施。
目前,通过安全启动盘启动电脑的具体方式为:预先启动操作系统,在操作系统下验证安全密码以及主机与安全启动盘硬件的绑定关系,当验证成功后,重新引导操作系统启动。由于在验证相关信息时需要获得操作系统中部分资源的支持,因此在用户在能够正常使用操作系统前,需要先进入操作系统后进行验证,在验证成功后再重启操作系统,即在主机启动过程中需要启动两次操作系统,使得计算机安全启动的效率低、耗时长。
因此,如何提高计算机安全启动的效率、降低计算机安全启动的时间是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种计算机的安全启动方法,用以提高计算机安全启动的效率、降低计算机安全启动的时间。本申请的目的是还提供一种计算机的安全启动装置及介质。
为解决上述技术问题,本申请提供一种计算机的安全启动方法,应用于安全盘,包括:
预先安装定制UEFI系统;
预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系、参考安全验证密码;
预先设置安全盘数据区域读写保护;
接收由所述UEFI系统获取的所述安全启动盘硬件的第一标识码、待启动的目标主机的主机硬件的第二标识码以及目标安全验证密码;
在根据所述对应关系确定所述第一标识码和所述第二标识码存在对应关系、且所述目标安全验证密码与所述参考安全验证密码匹配的情况下,解锁所述安全盘数据区域读写保护,并通过所述UEFI系统引导操作系统启动。
优选的,获取所述目标安全验证密码前,还包括:
将所述对应关系、所述参考安全验证密码传输至所述目标主机,以便于所述目标主机获取所述第一标识码、所述第二标识码和所述目标安全验证密码后,在根据所述对应关系确定所述第一标识码和所述第二标识码存在对应关系、且所述目标安全验证密码与所述参考安全验证密码匹配的情况下,将所述目标安全验证密码发送至所述安全盘。
优选的,所述预先安装定制UEFI系统,具体为:
将所述UEFI系统安装于ESP区域。
优选的,所述预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系、参考安全验证密码具体包括:
通过所述UEFI系统建立所述对应关系;
获取所述参考安全验证密码;
将所述对应关系和所述参考安全验证密码写入安全盘保留数据区域;
优选的,所述预先设置安全盘数据区域读写保护,具体为:
设置所述ESP区域为只读状态、设置所述安全盘数据区域为读写命令保护状态。
优选的,所述将所述对应关系、所述参考安全验证密码传输至所述目标主机前,还包括:
对所述对应关系、所述参考安全验证密码进行加密处理。
优选的,所述目标主机将所述目标安全验证密码发送至所述安全盘前,还包括:
所述目标主机对所述目标安全验证密码进行加密处理。
为解决上述技术问题,本申请还提供一种计算机的安全启动装置,包括:
安装模块,用于预先安装定制UEFI系统;
存储模块,用于预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系、参考安全验证密码;
设置模块,用于预先设置安全盘数据区域读写保护;
接收模块,用于接收由所述UEFI系统获取的所述安全启动盘硬件的第一标识码、待启动的目标主机的主机硬件的第二标识码以及目标安全验证密码;
解锁模块,用于在根据所述对应关系确定所述第一标识码和所述第二标识码存在对应关系、且所述目标安全验证密码与所述参考安全验证密码匹配的情况下,解锁所述安全盘数据区域读写保护,并通过所述UEFI系统引导操作系统启动。
为解决上述技术问题,本申请还提供一种计算机的安全启动装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的计算机的安全启动方法的步骤。
为解决上述技术问题,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的计算机的安全启动方法的步骤。
本申请所提供的计算机的安全启动方法,预先安装UEFI系统、预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系和参考安全验证密码,以及预先设置安全盘数据区域读写保护,接收由UEFI系统获取的安全启动盘硬件的第一标识码、待启动的目标主机的主机硬件的第二标识码以及目标安全验证密码,在根据对应关系确定第一标识码和第二标识码存在对应关系、且目标安全验证密码与参考安全验证密码匹配后,解锁安全盘数据区域读写保护并通过UEFI系统引导操作系统启动。由于UEFI系统中存在验证安全启动盘硬件与主机硬件绑定关系、验证用户安全验证密码的资源,因此在安全盘验证相关数据时,无需额外启动操作系统,故应用于本技术方案,在计算机安全启动过程中,只需要启动一次操作系统用户即可正常使用,提高了计算机安全启动的效率、降低了计算机安全启动的时间。此外,在UEFI系统在引导操作系统启动时,能够将验证相关数据的资源加载至操作系统中,因此进一步降低了计算机安全启动的时间、进一步提高了计算机安全启动的效率。
此外,本申请提供的一种计算机的安全启动装置及介质,与上述计算机的安全启动方法对应,效果同上。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种计算机的安全启动方法的流程图;
图2为本申请实施例提供的一种预先安装UEFI系统以及预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系和参考安全验证密码,以及预先设置安全盘数据区域读写保护的流程图;
图3为本申请实施例提供的一种对应关系和参考安全验证密码加密方法的流程图;
图4为本申请实施例提供的一种目标安全验证密码加密的流程图;
图5为本申请实施例提供的一种计算机的安全启动装置的结构示意图;
图6为本申请实施例提供的另一种计算机的安全启动装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
本申请的核心是提供一种计算机的安全启动方法,用以提高计算机安全启动的效率、降低计算机安全启动的时间。本申请的核心是还提供一种计算机的安全启动装置及介质。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
图1为本申请实施例提供的一种计算机的安全启动方法的流程图。如图1所示,该方法包括:
S10:预先安装定制UEFI系统;
S11:预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系、参考安全验证密码。
S12:预先设置安全盘数据区域读写保护。
本申请实施例中,UEFI系统具体为基于统一可扩展固件接口(UnifiedExtensible Firmware Interface,UEFI)构建的启动系统。此外,安全启动盘硬件的标识码可以是硬盘序号、全球唯一名字(World Wide Name,WWN)中的任意组合,且不限于硬盘序号、WWN,例如还可以是硬盘厂商自定义的标识码;主机硬件的标识码可以是网卡的物理地址(Medium Access Control,MAC)、主板序列号中的任意组合,且不限于MAC、主板序列号,例如还可以是CPU的序列号。
S13:接收由UEFI系统获取的安全启动盘硬件的第一标识码、待启动的目标主机的主机硬件的第二标识码以及目标安全验证密码。
可以理解的是,第一标识码和第二标识码的类型与上述对应关系中存储的标识码类型相同,即对应关系中安全启动盘硬件的标识码是WWN,则通过UEFI系统获取的第一标识码是WWN;同理,对应关系中主机硬件的标识码是网卡MAC地址,则通过UEFI系统获取的第二标识码是网卡MAC地址。
为了进一步确保计算机启动的安全性,安全启动盘硬件的标识码与主机硬件的标识码的对应关系可以是:安全启动盘硬件的硬盘序号和WWN与主机硬件的网卡MAC地址和主板序列号的对应关系。对应的,获取的第一标识码包括:全启动盘硬件的硬盘序号和WWN,获取的第二标识码包括:目标主机硬件的网卡MAC地址和主板序列号。
此外,目标安全验证密码具体是通过键盘接收后,发送至UEFI系统。可以理解的是,目标安全验证密码为计算机安全启动过程中、用户通过键盘输入的,而参考安全验证密码是安全启动盘在初始化过程中、用户设置并存储与安全启动盘中。
S14:根据对应关系判断第一标识码和第二标识码是否存在对应关系、且目标安全验证密码与参考安全验证密码是否匹配,如果是,则进入S15,如果否,则结束。
S15:解锁安全盘数据区域读写保护,并通过UEFI系统引导操作系统启动。
本申请实施例中,判断第一标识码和第二标识码是否存在对应关系和判断目标安全验证密码与参考安全验证密码是否匹配之间无先后顺序,可以先判断目标安全验证密码与参考安全验证密码是否匹配,如果是,则再判断第一标识码和第二标识码是否存在对应关系。
可以理解的是,为了减少在第一标识码和第二标识码不存在对应关系的情况下用户输入密码的工作量,从而提高用户的使用感,在具体实施中,先获取第一标识码和第二标识码,并判断判断第一标识码和第二标识码是否存在对应关系,如果是,则再获取目标安全验证密码,并判断目标安全验证密码与参考安全验证密码是否匹配。
需要说明的是,在根据对应关系判断第一标识码和第二标识码不存在对应关系、且目标安全验证密码与参考安全验证密码不匹配的情况下,可以通过UEFI系统发送表征启动失败的告警信号。
进一步的,为了提高用户的使用体验感,作为优选的实施例,告警信号可以具体为表征安全启动盘硬件和主机硬件绑定错误的第一告警信号、或表征输入密码错误的第二告警信号,从而更加清晰的提醒用户操作系统启动失败的原因。
此外,为了防止用户输入密码时存在非主观因素导致的拼写错误的现象(例如:由于拼写过快导致按键出现偏差的现象),作为优选的实施例,在首次判断目标安全验证密码与参考安全验证密码不匹配时,还能够额外获取至少一个的新目标安全验证密码,判断新目标安全验证密码与参考安全验证密码是否匹配,并记录判断目标安全验证密码与参考安全验证密码不匹配的次数,当次数达到预设阈值的情况下,确定用户输入密码错误,即最终确定目标安全验证密码与参考安全验证密码不匹配。
其中,预设阈值不做具体限制,与用户需求匹配即可。
本申请实施例所提供的计算机的安全启动方法,预先安装UEFI系统、预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系和参考安全验证密码,以及预先设置安全盘数据区域读写保护,接收由UEFI系统获取的安全启动盘硬件的第一标识码、待启动的目标主机的主机硬件的第二标识码以及目标安全验证密码,在根据对应关系确定第一标识码和第二标识码存在对应关系、且目标安全验证密码与参考安全验证密码匹配后,解锁安全盘数据区域读写保护,并通过UEFI系统引导操作系统启动。由于UEFI系统中存在验证安全启动盘硬件与主机硬件绑定关系、验证用户安全验证密码的资源,因此在安全盘验证相关数据时,无需额外启动操作系统,故应用于本技术方案,在计算机安全启动过程中,只需要启动一次操作系统用户即可正常使用,提高了计算机安全启动的效率、降低了计算机安全启动的时间。此外,在UEFI系统在引导目标主机的操作系统启动时,能够将验证相关数据的资源加载至操作系统中,因此进一步降低了计算机安全启动的时间、进一步提高了计算机安全启动的效率。
在上述实施例的基础上,获取目标安全验证密码前,还包括:
将对应关系、参考安全验证密码传输至目标主机,以便于目标主机获取第一标识码、第二标识码和目标安全验证密码后,在根据对应关系确定第一标识码和第二标识码存在对应关系、且目标安全验证密码与参考安全验证密码匹配的情况下,将目标安全验证密码发送至安全盘。
需要说明的是,UEFI系统获取目标安全验证密码具体是:通过目标主机将用户从键盘输入的目标安全验证密码发送至安全盘。
还需说明的是,目标主机获取的第一标识码和第二标识码,可以是之前已经获取的,也可以是目标主机重新获取的。为了进一步提高计算机在启动过程中的安全性,在具体实施中,目标主机获取的第一标识码和第二标识码是由目标主机重新获取得到。
本申请实施例所提供的计算机的安全启动方法,在目标主机将目标安全验证密码发送至UEFI系统前,安全盘将对应关系、参考安全验证密码传输至目标主机,以便于目标主机对硬件对应关系及目标安全验证密码进行验证,即在安全启动盘侧判断安全性前,还在目标主机侧判断安全性,提高了计算机在启动过程中的安全性。
图2为本申请实施例提供的一种预先安装UEFI系统以及预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系和参考安全验证密码,以及预先设置安全盘数据区域读写保护的流程图。如图2所示,在上述实施例的基础上,S10具体包括:
S20:将UEFI系统安装于扩展栈指针寄存(Extended Stack Pointer,ESP)区域。
本申请实施例中,由于UEFI系统其本身协议定义使得UEFI系统不能够直接存储于安全启动盘中,只能存储于ESP中,因此安全启动盘将分为数据存储区域和ESP区域。
S21:通过UEFI系统建立对应关系。
可以理解的是,在存储UEFI系统后,执行初始化安全启动盘时,安全启动盘通过UEFI系统读取当前主机的主机硬盘的标识码和安全启动盘硬件的标识码,并进行绑定,从而建立安全启动盘硬件的标识码与主机硬件的标识码的对应关系。
S22:获取参考安全验证密码。
S23:将对应关系和参考安全验证密码写入安全盘保留数据区域。
为了防止安全启动盘硬件的标识码与主机硬件的标识码的对应关系被恶意盗取,作为优选的实施例,S23具体为:将加密后的对应关系和参考安全验证密码写入安全盘保留数据区域。
需要说明的是,安全盘保留数据区域还可以存有其它重要的数据,例如管理员密码等。
S24:设置ESP区域为只读状态、设置安全盘数据区域为读写命令保护状态。
还需说明的是,存有对应关系以及参考安全验证密码的安全盘保留数据区域是通过加密保护的,用户不能直接读写的,无需设置安全盘保留数据区域为读写命令保护状态。
本申请实施例所提供的计算机的安全启动方法,由于在存储UEFI系统、对应关系以及参考安全验证密码后,将存有UEFI系统的ESP区域设置为只读状态,将安全盘数据区域设置为读写命令保护状态(即加密状态),因此能够在安全启动硬盘初始化完成后的正常工作过程中,防止病毒或恶意程序更改ESP区域中的UEFI系统、安全盘保留数据区域中的对应关系和/或参考安全验证密码、以及安全盘数据区域,进一步提高了计算机在启动过程中的安全性。
图3为本申请实施例提供的一种对应关系和参考安全验证密码加密方法的流程图。如图3所示,在上述实施例的基础上,基于安全盘,将对应关系、参考安全验证密码传输至目标主机前,还包括:
S30:接收目标主机发送的第一鉴权命令,其中第一鉴权命令中包含有第一随机数。
需要说明的是,第一随机数是随机生成,其具体的数值和长度不做具体限制。
S31:生成第二随机数。
S32:根据第一随机数生成第一密文,其中第一密文中包含有第二随机数。
本申请实施例中,S32具体为:将第一随机数的一部分作为密钥,第一随机数的另一部分中加入第二随机数作为明文,用第一随机数的一部分对明文进行加密生成第一密文。
S33:发送第一密文至目标主机,以便于目标主机通过第一随机数校验第一密文,在第一密文校验成功的情况下,根据第二随机数生成第二密文发送至安全盘。
S33具体为:目标主机接收到第一密文后,根据预先记录的第一随机数解密第一密文,并通过预先记录的第一随机数与第一密文明文部分的部分第一随机数进行比较,相一致则表示第一密文校验成功,在第一密文校验成功的情况下,将第二随机数作为新密钥加密第二随机数生成第二密文,并发送至安全盘。
S34:获取第二密文并根据第二随机数校验第二密文。
S35:在第二密文校验成功的情况下,通过第一随机数和/或第二随机数将对应关系、参考安全验证密码加密后,发送至目标主机。
可以理解的是,将对应关系、参考安全验证密码加密的步骤,可以是通过第一随机数和/或第二随机数进行加密,也可以通过私有密钥进行加密。
本申请实施例所提供的计算机的安全启动方法,在目标主机与安全启动盘间数据交互前,先在目标主机与安全启动盘之间进行鉴权,因此能够保证目标主机与安全启动盘间数据交互过程中,数据不会被恶意截取破解,提高了数据交互的安全性,进一步提高了计算机在启动过程中的安全性。
图4为本申请实施例提供的一种目标安全验证密码加密方法的流程图。
如图4所示,在上述实施例的基础上,目标安全验证密码加密方法包括:
S40:接收目标主机发送的第二鉴权命令,其中第二鉴权命令中包含有第三随机数。
S41:生成第四随机数。
S42:根据第三随机数生成第三密文,其中第三密文中包含有第四随机数。
S43:发送第三密文至目标主机,以便于目标主机通过第三随机数校验第三密文,在第三密文校验成功的情况下,根据第四随机数生成第四密文发送至安全盘。
S44:获取第四密文并根据第四随机数校验第四密文。
S45:在第四密文校验成功的情况下,向目标主机发送表征鉴权成功的命令,以便于目标主机发送经过通过第三随机数和/或第四随机数加密后的目标安全验证密码。
由于本申请实施例与上文实施例相互对应,因此本申请实施例参见上文实施例的描述,这里暂不赘述。
此外,为了防止目标主机发送重启,复位等命令让固件重启时,安全启动盘回到加锁状态,作为优选的实施例,在解锁安全启动盘后,设置解锁标记。
本申请实施例所提供的计算机的安全启动方法,在目标主机与安全启动盘间数据交互前,先在目标主机与安全启动盘之间进行鉴权,因此能够保证目标主机与安全启动盘间数据交互过程中,数据不会被恶意截取破解,提高了数据交互的安全性,进一步提高了计算机在启动过程中的安全性。
在上述实施例中,对于计算机的安全启动方法进行了详细描述,本申请还提供计算机的安全启动装置对应的实施例。需要说明的是,本申请从两个角度对装置部分的实施例进行描述,一种是基于功能模块的角度,另一种是基于硬件的角度。
图5为本申请实施例提供的一种计算机的安全启动装置的结构示意图。
如图5所示,基于功能模块的角度,该装置包括:
安装模块10,用于预先安装定制UEFI系统。
存储模块11,用于预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系、参考安全验证密码;
设置模块12,用于预先设置安全盘数据区域读写保护。
接收模块13,用于接收由UEFI系统获取的安全启动盘硬件的第一标识码、待启动的目标主机的主机硬件的第二标识码以及目标安全验证密码。
解锁模块14,用于在根据对应关系确定第一标识码和第二标识码存在对应关系、且目标安全验证密码与参考安全验证密码匹配的情况下,解锁安全盘数据区域读写保护,并通过UEFI系统引导操作系统启动。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请实施例所提供的计算机的安全启动装置,预先安装UEFI系统、预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系和参考安全验证密码以及预先设置安全盘数据区域读写保护,获取由UEFI系统获取的安全启动盘硬件的第一标识码、待启动的目标主机的主机硬件的第二标识码以及目标安全验证密码,在根据对应关系确定第一标识码和第二标识码存在对应关系、且目标安全验证密码与参考安全验证密码匹配后,解锁安全盘数据区域读写保护并通过UEFI系统引导操作系统启动。由于UEFI系统中存在验证安全启动盘硬件与主机硬件绑定关系、验证用户安全验证密码的资源,因此在安全盘验证相关数据时,无需额外启动操作系统,故应用于本技术方案,在计算机安全启动过程中,只需要启动一次操作系统用户即可正常使用,提高了计算机安全启动的效率、降低了计算机安全启动的时间。此外,在UEFI系统在引导目标主机的操作系统启动时,能够将验证相关数据的资源加载至操作系统中,因此进一步降低了计算机安全启动的时间、进一步提高了计算机安全启动的效率。
图6为本申请实施例提供的另一种计算机的安全启动装置的结构示意图。如图6所示,基于硬件结构的角度,该装置包括:
存储器20,用于存储计算机程序;
处理器21,用于执行计算机程序时实现如上述实施例中计算机的安全启动方法的步骤。
其中,处理器21可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器21可以采用数字信号处理(Digital Signal Processing,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称中央处理器(CentralProcessing Unit,CPU);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以在集成有图像处理器(Graphics Processing Unit,GPU),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器21还可以包括人工智能(Artificial Intelligence,AI)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器20可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器20至少用于存储以下计算机程序201,其中,该计算机程序201被处理器21加载并执行之后,能够实现前述任一实施例公开的计算机的安全启动方法的相关步骤。另外,存储器20所存储的资源还可以包括操作系统202和数据203等,存储方式可以是短暂存储或者永久存储。其中,操作系统202可以包括Windows、Unix、Linux等。数据203可以包括但不限于计算机的安全启动方法中涉及的数据等。
在一些实施例中,计算机的安全启动装置还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
本领域技术人员可以理解,图6中示出的结构并不构成对计算机的安全启动装置的限定,可以包括比图示更多或更少的组件。
本申请实施例提供的计算机的安全启动装置,包括存储器和处理器,处理器在执行存储器存储的程序时,能够实现如下方法:预先安装UEFI系统、预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系和参考安全验证密码,以及预先设置安全盘数据区域读写保护,接收由UEFI系统获取的安全启动盘硬件的第一标识码、待启动的目标主机的主机硬件的第二标识码以及目标安全验证密码,在根据对应关系确定第一标识码和第二标识码存在对应关系、且目标安全验证密码与参考安全验证密码匹配后,解锁安全盘数据区域读写保护并通过UEFI系统引导操作系统启动。由于UEFI系统中存在验证安全启动盘硬件与主机硬件绑定关系、验证用户安全验证密码的资源,因此在安全盘验证相关数据时,无需额外启动操作系统,故应用于本技术方案,在计算机安全启动过程中,只需要启动一次操作系统用户即可正常使用,提高了计算机安全启动的效率、降低了计算机安全启动的时间。此外,在UEFI系统在引导目标主机的操作系统启动时,能够将验证相关数据的资源加载至操作系统中,因此进一步降低了计算机安全启动的时间、进一步提高了计算机安全启动的效率。
最后,本申请还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
可以理解的是,如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本申请所提供的一种计算机的安全启动方法、装置及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种计算机的安全启动方法,其特征在于,应用于安全盘,包括:
预先安装定制UEFI系统;
预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系、参考安全验证密码;
预先设置安全盘数据区域读写保护;
接收由所述UEFI系统获取的所述安全启动盘硬件的第一标识码、待启动的目标主机的主机硬件的第二标识码以及目标安全验证密码;
在根据所述对应关系确定所述第一标识码和所述第二标识码存在对应关系、且所述目标安全验证密码与所述参考安全验证密码匹配的情况下,解锁所述安全盘数据区域读写保护,并通过所述UEFI系统引导操作系统启动。
2.根据权利要求1所述的计算机的安全启动方法,其特征在于,获取所述目标安全验证密码前,还包括:
将所述对应关系、所述参考安全验证密码传输至所述目标主机,以便于所述目标主机获取所述第一标识码、所述第二标识码和所述目标安全验证密码后,在根据所述对应关系确定所述第一标识码和所述第二标识码存在对应关系、且所述目标安全验证密码与所述参考安全验证密码匹配的情况下,将所述目标安全验证密码发送至所述安全盘。
3.根据权利要求1或2所述的计算机的安全启动方法,其特征在于,所述预先安装定制UEFI系统,具体为:
将所述UEFI系统安装于ESP区域。
4.根据权利要求3所述的计算机的安全启动方法,其特征在于,所述预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系、参考安全验证密码具体包括:
通过所述UEFI系统建立所述对应关系;
获取所述参考安全验证密码;
将所述对应关系和所述参考安全验证密码写入安全盘保留数据区域。
5.根据权利要求4所述的计算机的安全启动方法,其特征在于,所述预先设置安全盘数据区域读写保护,具体为:
设置所述ESP区域为只读状态、设置所述安全盘数据区域为读写命令保护状态。
6.根据权利要求2所述的计算机的安全启动方法,其特征在于,所述将所述对应关系、所述参考安全验证密码传输至所述目标主机前,还包括:
对所述对应关系、所述参考安全验证密码进行加密处理。
7.根据权利要求2所述的计算机的安全启动方法,其特征在于,所述目标主机将所述目标安全验证密码发送至所述安全盘前,还包括:
所述目标主机对所述目标安全验证密码进行加密处理。
8.一种计算机的安全启动装置,其特征在于,包括:
安装模块,用于预先安装定制UEFI系统;
存储模块,用于预先存储安全启动盘硬件的标识码与主机硬件的标识码的对应关系、参考安全验证密码;
设置模块,用于预先设置安全盘数据区域读写保护;
接收模块,用于接收由所述UEFI系统获取的所述安全启动盘硬件的第一标识码、待启动的目标主机的主机硬件的第二标识码以及目标安全验证密码;
解锁模块,用于在根据所述对应关系确定所述第一标识码和所述第二标识码存在对应关系、且所述目标安全验证密码与所述参考安全验证密码匹配的情况下,解锁所述安全盘数据区域读写保护,并通过所述UEFI系统引导操作系统启动。
9.一种计算机的安全启动装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任意一项所述的计算机的安全启动方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任意一项所述的计算机的安全启动方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110361550.6A CN112966276B (zh) | 2021-04-02 | 2021-04-02 | 一种计算机的安全启动方法、装置及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110361550.6A CN112966276B (zh) | 2021-04-02 | 2021-04-02 | 一种计算机的安全启动方法、装置及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112966276A true CN112966276A (zh) | 2021-06-15 |
| CN112966276B CN112966276B (zh) | 2022-08-16 |
Family
ID=76280959
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110361550.6A Active CN112966276B (zh) | 2021-04-02 | 2021-04-02 | 一种计算机的安全启动方法、装置及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112966276B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113836601A (zh) * | 2021-08-26 | 2021-12-24 | 青岛中科英泰商用系统股份有限公司 | 一种专用usb键盘及其控制方法及系统、设备 |
Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436247A (zh) * | 2007-11-12 | 2009-05-20 | 中国长城计算机深圳股份有限公司 | 一种基于uefi的生物身份识别方法及系统 |
| CN101916348A (zh) * | 2010-08-16 | 2010-12-15 | 武汉天喻信息产业股份有限公司 | 一种用户操作系统的安全引导方法及引导系统 |
| CN102110195A (zh) * | 2009-12-25 | 2011-06-29 | 中国长城计算机深圳股份有限公司 | 一种计算机系统及其用户的身份识别方法和装置 |
| CN103377054A (zh) * | 2012-04-16 | 2013-10-30 | 联想(北京)有限公司 | 启动方法和启动装置 |
| CN104424140A (zh) * | 2013-08-29 | 2015-03-18 | 三星电子株式会社 | 统一可扩展固件接口驱动器 |
| CN104580136A (zh) * | 2014-09-10 | 2015-04-29 | 中电科技(北京)有限公司 | 一种基于uefi的远程身份验证系统和方法 |
| CN104573474A (zh) * | 2014-09-10 | 2015-04-29 | 中电科技(北京)有限公司 | 一种基于uefi的身份标识生成系统和方法 |
| US20150199517A1 (en) * | 2014-01-16 | 2015-07-16 | Robert Allen Rose | Universal extensible firmware interface module identification and analysis |
| CN104866784A (zh) * | 2015-06-03 | 2015-08-26 | 杭州华澜微科技有限公司 | 一种基于bios加密的安全硬盘、数据加密及解密方法 |
| CN105847280A (zh) * | 2016-05-06 | 2016-08-10 | 南京百敖软件有限公司 | 一种基于固件的安全管理方法 |
| CN106933583A (zh) * | 2017-03-06 | 2017-07-07 | 联想(北京)有限公司 | 操作系统中识别硬件设备的方法及计算机设备 |
| CN107688756A (zh) * | 2017-08-08 | 2018-02-13 | 深圳市海邻科信息技术有限公司 | 硬盘控制方法、设备及可读存储介质 |
| CN108064376A (zh) * | 2017-11-20 | 2018-05-22 | 深圳市汇顶科技股份有限公司 | 系统启动校验方法及系统、电子设备和计算机存储介质 |
| CN109478135A (zh) * | 2016-07-28 | 2019-03-15 | 微软技术许可有限责任公司 | 优化的uefi重新引导过程 |
| US20190163911A1 (en) * | 2017-11-30 | 2019-05-30 | Forcepoint Llc | Secure boot chain for live boot systems |
| CN109918887A (zh) * | 2019-04-03 | 2019-06-21 | 中电科技(北京)有限公司 | 基于uefi的固件层指纹识别方法及计算机系统 |
| US20190236280A1 (en) * | 2018-02-01 | 2019-08-01 | Quixant Plc | Method and system for security verification in a booting process with a multi-core processor |
| CN110795727A (zh) * | 2018-08-01 | 2020-02-14 | 胡建国 | 一种安全计算机启动控制方法 |
| CN112084538A (zh) * | 2020-09-10 | 2020-12-15 | 上海商米科技集团股份有限公司 | 一种用于终端设备的防固件被复制方法以及系统 |
| CN112270002A (zh) * | 2020-10-26 | 2021-01-26 | 北京指掌易科技有限公司 | 全盘加密方法、系统运行方法和电子设备 |
-
2021
- 2021-04-02 CN CN202110361550.6A patent/CN112966276B/zh active Active
Patent Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436247A (zh) * | 2007-11-12 | 2009-05-20 | 中国长城计算机深圳股份有限公司 | 一种基于uefi的生物身份识别方法及系统 |
| CN102110195A (zh) * | 2009-12-25 | 2011-06-29 | 中国长城计算机深圳股份有限公司 | 一种计算机系统及其用户的身份识别方法和装置 |
| CN101916348A (zh) * | 2010-08-16 | 2010-12-15 | 武汉天喻信息产业股份有限公司 | 一种用户操作系统的安全引导方法及引导系统 |
| CN103377054A (zh) * | 2012-04-16 | 2013-10-30 | 联想(北京)有限公司 | 启动方法和启动装置 |
| CN104424140A (zh) * | 2013-08-29 | 2015-03-18 | 三星电子株式会社 | 统一可扩展固件接口驱动器 |
| US20150199517A1 (en) * | 2014-01-16 | 2015-07-16 | Robert Allen Rose | Universal extensible firmware interface module identification and analysis |
| CN104580136A (zh) * | 2014-09-10 | 2015-04-29 | 中电科技(北京)有限公司 | 一种基于uefi的远程身份验证系统和方法 |
| CN104573474A (zh) * | 2014-09-10 | 2015-04-29 | 中电科技(北京)有限公司 | 一种基于uefi的身份标识生成系统和方法 |
| CN104866784A (zh) * | 2015-06-03 | 2015-08-26 | 杭州华澜微科技有限公司 | 一种基于bios加密的安全硬盘、数据加密及解密方法 |
| CN105847280A (zh) * | 2016-05-06 | 2016-08-10 | 南京百敖软件有限公司 | 一种基于固件的安全管理方法 |
| CN109478135A (zh) * | 2016-07-28 | 2019-03-15 | 微软技术许可有限责任公司 | 优化的uefi重新引导过程 |
| CN106933583A (zh) * | 2017-03-06 | 2017-07-07 | 联想(北京)有限公司 | 操作系统中识别硬件设备的方法及计算机设备 |
| CN107688756A (zh) * | 2017-08-08 | 2018-02-13 | 深圳市海邻科信息技术有限公司 | 硬盘控制方法、设备及可读存储介质 |
| CN108064376A (zh) * | 2017-11-20 | 2018-05-22 | 深圳市汇顶科技股份有限公司 | 系统启动校验方法及系统、电子设备和计算机存储介质 |
| US20190163911A1 (en) * | 2017-11-30 | 2019-05-30 | Forcepoint Llc | Secure boot chain for live boot systems |
| US20190236280A1 (en) * | 2018-02-01 | 2019-08-01 | Quixant Plc | Method and system for security verification in a booting process with a multi-core processor |
| CN110795727A (zh) * | 2018-08-01 | 2020-02-14 | 胡建国 | 一种安全计算机启动控制方法 |
| CN109918887A (zh) * | 2019-04-03 | 2019-06-21 | 中电科技(北京)有限公司 | 基于uefi的固件层指纹识别方法及计算机系统 |
| CN112084538A (zh) * | 2020-09-10 | 2020-12-15 | 上海商米科技集团股份有限公司 | 一种用于终端设备的防固件被复制方法以及系统 |
| CN112270002A (zh) * | 2020-10-26 | 2021-01-26 | 北京指掌易科技有限公司 | 全盘加密方法、系统运行方法和电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| TGHGFFDGD: "现在的安卓手机指纹识别是否涉及泄露指纹信息?", 《HTTPS://WWW.V2EX.COM/T/246712》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113836601A (zh) * | 2021-08-26 | 2021-12-24 | 青岛中科英泰商用系统股份有限公司 | 一种专用usb键盘及其控制方法及系统、设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112966276B (zh) | 2022-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5992457B2 (ja) | オペレーティングシステムのコンフィグレーション値の保護 | |
| CN108629207B (zh) | 基于外围设备的信息生成加密密钥的系统和方法 | |
| EP3575999A1 (en) | Secure booting a computing device | |
| US8533829B2 (en) | Method for monitoring managed device | |
| CN107679425B (zh) | 一种基于固件和USBkey的联合全盘加密的可信启动方法 | |
| JP6391439B2 (ja) | 情報処理装置、サーバ装置、情報処理システム、制御方法及びコンピュータプログラム | |
| US9262631B2 (en) | Embedded device and control method thereof | |
| CN110598384B (zh) | 信息保护方法、信息保护装置及移动终端 | |
| CN108256302B (zh) | 数据安全访问方法及装置 | |
| CN109977039B (zh) | 硬盘加密密钥存储方法、装置、设备及可读存储介质 | |
| US8181006B2 (en) | Method and device for securely configuring a terminal by means of a startup external data storage device | |
| CN112966276B (zh) | 一种计算机的安全启动方法、装置及介质 | |
| CN110807186B (zh) | 一种存储设备安全存储的方法、装置、设备和存储介质 | |
| JP2011150499A (ja) | シンクライアントシステム、シンクライアント端末およびシンクライアントプログラム | |
| JP2023542099A (ja) | 無線端末、及び無線端末のUbootモードにおけるインタフェースアクセス認証方法 | |
| CN111353150B (zh) | 一种可信启动方法、装置、电子设备及可读存储介质 | |
| CN112613011A (zh) | U盘系统认证方法、装置、电子设备及存储介质 | |
| CN110674525A (zh) | 一种电子设备及其文件处理方法 | |
| CN108319848B (zh) | 开机控制方法和装置 | |
| CN110909344B (zh) | 一种控制方法及装置 | |
| JP5049179B2 (ja) | 情報処理端末装置及びアプリケーションプログラムの起動認証方法 | |
| CN114995894A (zh) | 操作系统的启动控制方法、终端设备及可读存储介质 | |
| JP2006031575A (ja) | ハードディスクセキュリティ管理システムおよびその方法 | |
| CN108228219B (zh) | 一种带外刷新bios时验证bios合法性的方法及装置 | |
| CN110851881A (zh) | 终端设备的安全检测方法及装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |