CN1487412A - 一种保护计算机网络安全的方法 - Google Patents

Abstract

一种保护计算机网络安全的方法，包括下列步骤：(1)在计算机主板上设置一个对可能连接网络通讯设备的接口信号进行控制的控制电路，以便使用特殊的命令序列屏蔽该接口，使连接到该接口的网络通讯设备不能正常工作；(2)在计算机上电自检过程中，BIOS确定当前计算机上连接的网络通讯设备是否要求实施安全保护策略，并检测和记录网络通讯设备；再检查当前用户对该计算机的使用权限，以决定该用户能否使用该网络通讯设备。本发明利用硬件与软件相结合的方法来检测网络通讯设备和当前用户的使用权限，以决定该用户能否接入和使用网络资源；其中的硬件器件简单、方法简便、实现容易、工作可靠，能够保护计算机网络安全。

Description

一种保护计算机网络安全的方法

技术领域

本发明涉及一种保护计算机网络安全的方法，属于网络安全控制技术领域。

背景技术

随着网络时代的到来，网络的应用已经日益深入到普通人的日常生活当中，但是，作为一项新生事物的网络，也是一把“双刃剑”，在为人们的工作、学习与生活都带来了很大的方便的同时，也给人们带来了很多的困扰，例如：网上的内容良莠不齐，一些不健康的内容，严重影响少年儿童身心的健康发展；尤其是日益猖獗的黑客更是肆无忌惮地盗窃政府和各个企事业单位的、包括政治、经济、贸易、金融等各个方面的信息，甚至重要的国家机密。所以，如何切实保护网络安全问题早已成为业界关注的一个焦点问题。

针对网络安全问题，人们已经提出了许多解决方案。但是，现有的这些方案大都是集中在传输控制协议/网际协议TCP/IP(Transport ControlProtocol/Internet Protocol)的软件实现层。虽然利用纯粹软件的方法，给网络的安全控制提供了最大的自由度和灵活性，但是，这样也会让系统难免存在漏洞，而这些漏洞又给网络黑客留下永远的后门。

发明内容

本发明的目的是提供一种保护计算机网络安全的方法，该方法利用硬件与软件互相结合的方法来检测网络通讯设备和当前用户的使用权限，以决定该计算机能否接入和使用网络通讯设备，以保护计算机网络安全，并弥补纯软件方法所带来的系统漏洞；同时，在一定程度上可以满足系统安全策略的灵活性。

本发明的目的是这样实现的：一种保护计算机网络安全的方法，其特征在于：包括下列步骤：

(1)在计算机主板上设置一个对可能连接网络通讯设备的接口信号进行控制的控制电路，以便使用特殊的命令序列屏蔽该接口，使连接到该接口的网络通讯设备不能正常工作；

(2)在计算机上电自检过程中，基本输入输出系统BIOS(Basic InputOutput System)确定当前计算机上连接的网络通讯设备是否要求实施安全保护策略，并检测和记录网络通讯设备；再检查当前用户对该计算机的使用权限，以决定该用户能否使用该网络通讯设备。

所述的步骤(1)中的控制电路是在所述的接口的所有信号或主要信号与该接口之间设置通路控制电路，通过编程来控制选通讯号，以控制上述接口信号是否可以连接到终端接口。

所述的步骤(1)中的控制电路是在可以编程的关键信号输出源通过编程来控制是否把该信号输出到终端接口。

所述的通路控制电路是三态门电路。

所述的接口的主要信号包括数据信号和/或控制信号。

所述的关键信号输出源是时钟信号发生器。

所述的步骤(2)中检查当前用户对该计算机的使用权限后的具体操作步骤有三种情况：

A、如果当前用户拥有网络的完全使用权限，则BIOS继续正常进行系统硬件的检测和资源分配，在操作系统启动后，该用户可以使用网络通讯设备；

B、如果当前用户没有网络使用权限，则屏蔽网络通讯设备连接的接口，使该计算机无法使用网络通讯设备；

C、如果是受限使用网络通讯设备，则BIOS也继续正常进行系统硬件的检测和资源分配，同时配置系统的高级配置和电源接口规范ACPI(Advanced Configuration and Power Interface Specification)时钟的系统管理中断SMI(System Manage Interrupt)能力，在操作系统启动后，该用户可以使用网络通讯设备，此时，ACPI时钟的SMI例程会定时检查网络的使用时间；一旦到达设定时间，SMI例程则屏蔽该网络通讯设备的连接接口，使该计算机无法继续使用网络通讯设备。

所述的步骤(2)中检测当前计算机上连接的网络通讯设备可以包括有以下几类：

A、BIOS记录的板载网卡信息；

B、在(系统)上电自检POST(Power On Self-Test)过程中的计算机周边组件接口PCI(Peripheral Component Interface)设备枚举过程中，通过读取PCI设备的类代码所记录的通讯设备的相关信息；

C、在POST过程中的即插即用PnP(Plug And Play)工业标准架构ISA设备枚举过程中，通过读取PnP ISA设备的类代码所记录的PnP ISA通讯设备的相关信息，以确定PnP ISA设备是否为通讯设备；

D、在PnP ROM的初始化过程中，记录实现PnP ROM的非即插即用ISA设备Legacy ISA(即传统ISA设备)通讯设备的相关信息。

本发明的特点是一种采用硬件与软件相结合的保护计算机网络安全的控制方法，尤其是其中采用的硬件手段中的器件简单、方法简便、实现容易、工作可靠。本发明作为传统的纯软件的保护网络安全控制方法的有益补充，不仅可以弥补已有系统网络安全问题的漏洞，更可以作为计算机制造商的一项新配置，具有很好的推广应用前景。

附图说明

图1是本发明方法中对可能连接网络通讯设备的接口信号进行控制的硬件控制电路的电原理示意图。

图2是本发明方法中通过BIOS检测当前计算机上连接的网络通讯设备以及实施系统安全保护策略的一实施例流程图，

图3是本发明方法中通过BIOS对当前计算机上连接的网络通讯设备实施时间控制的一实施例流程图。

具体实施方式

本发明是一种保护计算机网络安全的方法，该方法包括下列步骤：

(1)在计算机主板上设置一个对可能连接网络通讯设备的接口信号进行控制的控制电路，以便使用特殊的命令序列屏蔽该接口，使连接到该接口的网络通讯设备不能正常工作；

(2)在计算机上电自检过程中，BIOS确定当前计算机上连接的网络通讯设备是否要求实施安全保护策略，并检测和记录网络通讯设备；再检查当前用户对该计算机的使用权限，以决定该用户能否使用该网络通讯设备。

参见图1，本发明步骤(1)中的控制电路是在所述的接口的所有信号或主要信号与该接口之间设置通路控制电路，通过编程来控制选通讯号，以控制上述接口信号是否可以连接到终端接口；或者是在可以编程的关键信号输出源(例如时钟信号发生器)通过编程来控制是否把该信号输出到终端接口。所述的通路控制电路可以是如图1所示的三态门电路。所述的接口的主要信号包括数据信号和/或控制信号。

本发明步骤(2)中检查当前用户对该计算机的使用权限后的具体操作步骤有三种情况：

A、如果当前用户拥有网络的完全使用权限，则BIOS继续正常进行系统硬件的检测和资源分配，在操作系统启动后，该用户可以使用网络通讯设备；

B、如果当前用户没有网络使用权限，则屏蔽网络通讯设备连接的接口，使该计算机无法使用网络通讯设备；

C、如果是受限使用网络通讯设备，则BIOS也继续正常进行系统硬件的检测和资源分配，同时配置系统的ACPI时钟的SMI能力，在操作系统启动后，该用户可以使用网络通讯设备，此时，ACPI时钟的SMI例程会定时检查网络的使用时间；一旦到达设定时间，SMI例程则屏蔽该网络通讯设备的连接接口，使该计算机无法继续使用网络通讯设备。

下面结合两个实施例具体介绍本发明在软件上进行网络安全控制的方法。

参见图2，该实施例是在BIOS POST过程中提供系统通讯设备安全策略的方法，以控制用户对系统网络的使用权限。在BIOS加电自检(POST)过程中，首先检查系统是否设置通讯设备的安全保护策略？如果设置了安全保护策略，而且在POST过程中发现通讯设备，则将对当前用户的通讯设备使用权限进行安全验证。如果该用户通过使用权限的安全验证，那么继续POST系统；如果当前用户的使用权限身份验证失败，将通过对系统时钟芯片进行编程控制，关掉所有网络通讯设备的驱动时钟信号，并修改相关信息；然后由BIOS继续正常地进行POST和加载操作系统。这样，在操作系统引导之后，通讯设备没有驱动时钟，根本无法工作。这样，没有被授权使用的当前用户无论经过怎样的软件努力，也无法使用网络资源；同样，也无法通过网络访问本地的任何资源。因此该方法能够确实保证网络安全运行。

在上述步骤中统计检测当前计算机连接的网络通讯设备包括有以下几类：A、BIOS记录的板载网卡信息；

B、在POST过程中的PCI设备枚举过程中，通过读取PCI设备的类代码所记录的通讯设备的相关信息；

C、在POST过程中的PnP ISA设备枚举过程中，通过读取PnP ISA设备的类代码所记录的PnP ISA通讯设备的相关信息，以确定PnP ISA设备是否为通讯设备；

D、在PnP ROM的初始化过程中，记录实现PnP ROM的Legacy ISA通讯设备的相关信息。

参见图3，该实施例是在BIOS中实施通讯设备使用时间的控制方法，以控制用户对系统网络的使用权限。对于通讯设备使用时间的控制主要分为两个过程：BIOS POST过程和操作系统下ACPI时钟产生的SMI中断，执行系统管理模式的例行程序。

在系统上电以后，进行BIOS POST的过程中，首先检查系统是否设置通讯设备的安全保护策略？如果设置了安全保护策略，而且在POST过程中发现通讯设备，则查找和收集系统中的网络通讯设备，并记录相关信息。这一部分与图2所示的实施例基本相同。然后根据系统中是否存在通讯设备和用户是否实施安全策略来确定是否在操作系统下配置时间控制功能。如果这两个条件都得到了满足，那么配置系统的ACPI时钟，作为用户上网时间的计时，同时使其可以定时产生SMI中断，进入系统管理模式。在完成BIOS配置和操作系统正常加载以后，网络通讯设备就可以正常通讯了。如果ACPI时钟的计数器到时，将会产生SMI中断，进入系统管理模式；同时ACPI时钟将复位，开始下一轮的计时循环。

在系统管理模式下，程序将运行用户的通讯设备的使用时间控制代码，并定时检查和判断该通讯设备的使用时间是否完成其设定的使用时间；一旦用完其设定时间，则关掉系统中所有网络通讯设备的时钟输入，同时屏蔽ACPI时钟和产生SMI中断，使该计算机无法继续使用网络通讯设备。如果不是，那么退出系统管理模式；并将设定的该用户的使用时间减去ACPI时钟的循环时间，再继续进行下一轮的计时循环，用户则可以继续使用网络通讯设备。

需要说明的是：图2和图3所示的两种方案是彼此没有冲突的，也就是说，本发明可以同时实现图2和图3所示的两种功能。例如：可以同时在BIOS菜单中设置系统网络使用密码和控制通讯设备使用时间。然后，在POST过程中如果密码验证失败，那么就直接关掉所有的通讯设备。如果密码验证成功，那么就可以采用使能时间控制功能，配置ACPI计时时钟，允许其产生SMI.中断。在操作系统加载以后的系统运行方式是与图3所示的本发明第二种实施例的方案相同的。

Claims (8)

1、一种保护计算机网络安全的方法，其特征在于：包括下列步骤：

(1)在计算机主板上设置一个对可能连接网络通讯设备的接口信号进行控制的控制电路，以便使用特殊的命令序列屏蔽该接口，使连接到该接口的网络通讯设备不能正常工作；

(2)在计算机上电自检过程中，BIOS确定当前计算机上连接的网络通讯设备是否要求实施安全保护策略，并检测和记录网络通讯设备；再检查当前用户对该计算机的使用权限，以决定该用户能否使用该网络通讯设备。

2、根据权利要求1所述的保护计算机网络安全的方法，其特征在于：所述的步骤(1)中的控制电路是在所述的接口的所有信号或主要信号与该接口之间设置通路控制电路，通过编程来控制选通讯号，以控制上述接口信号是否可以连接到终端接口。

3、根据权利要求1所述的保护计算机网络安全的方法，其特征在于：所述的步骤(1)中的控制电路是在可以编程的关键信号输出源通过编程来控制是否把该信号输出到终端接口。

4、根据权利要求2所述的保护计算机网络安全的方法，其特征在于：所述的通路控制电路是三态门电路。

5、根据权利要求2所述的保护计算机网络安全的方法，其特征在于：所述的接口的主要信号包括数据信号和/或控制信号。

6、根据权利要求3所述的保护计算机网络安全的方法，其特征在于：所述的关键信号输出源是时钟信号发生器。

7、根据权利要求1所述的保护计算机网络安全的方法，其特征在于：所述的步骤(2)中检查当前用户对该计算机的使用权限后的具体操作步骤有三种情况：

A、如果当前用户拥有网络的完全使用权限，则BIOS继续正常进行系统硬件的检测和资源分配，在操作系统启动后，该用户可以使用网络通讯设备；

B、如果当前用户没有网络使用权限，则屏蔽网络通讯设备连接的接口，使该计算机无法使用网络通讯设备；

C、如果是受限使用网络通讯设备，则BIOS也继续正常进行系统硬件的检测和资源分配，同时配置系统的ACPI时钟的SMI能力，在操作系统启动后，该用户可以使用网络通讯设备，此时，ACPI时钟的SMI例程会定时检查网络的使用时间；一旦到达设定时间，SMI例程则屏蔽该网络通讯设备的连接接口，使该计算机无法继续使用网络通讯设备。

8、根据权利要求1所述的保护计算机网络安全的方法，其特征在于：所述的步骤(2)中检测当前计算机上连接的网络通讯设备可以包括有以下几类：

A、BIOS记录的板载网卡信息；

B、在POST过程中的PCI设备枚举过程中，通过读取PCI设备的类代码所记录的通讯设备的相关信息；

C、在POST过程中的PnP ISA设备枚举过程中，通过读取PnP ISA设备的类代码所记录的PnP ISA通讯设备的相关信息，以确定PnP ISA设备是否为通讯设备；

D、在PnP ROM的初始化过程中，记录实现PnP ROM的Legacy ISA通讯设备的相关信息。