发明内容
为了克服现有技术中计算机开机保护方法存在安全隐患,本发明的目的是提供一种实现计算机的开机保护方法及装置,该技术方案如下:
本发明提供了一种实现计算机的开机保护方法,所述方法包括以下步骤:
在硬盘上装入新MBR程序和精简操作系统,并执行以下步骤:
步骤A:用户启动计算机时,主板BIOS进行自举后,将系统控制权转移给所述新MBR程序;
步骤B:所述新MBR程序运行后,将系统控制权移交给所述精简操作系统;
步骤C:所述精简操作系统与信息安全设备相关连,所述信息安全设备验证用户身份,如果验证通过,完成开机保护;否则验证失败,计算机进入异常处理状态。
所述在硬盘上装入新MBR程序和精简操作系统具体包括以下步骤:
步骤A′:将计算机硬盘上原有的MBR程序剪切,并放到硬盘的指定区域;
步骤B′:将开发的新MBR程序装入所述硬盘的MBR区域;
步骤C′:将精简操作系统装入硬盘的另一指定区域。
所述验证用户身份具体包括以下步骤:
步骤C1:检查用户是否插入信息安全设备,如果已经插入所述信息安全设备,执行步骤C2,否则执行步骤C3;
步骤C2:利用所述信息安全设备验证用户身份是否合法,如果是,进行步骤C4;否则进行步骤C5;
步骤C3:提示用户插入所述信息安全设备,并转到步骤C1;
步骤C4:用户通过身份验证,计算机继续正常启动;
步骤C5:判断本次开机后用户失败的验证次数是否达到设定值,若达到该设定值,计算机进入异常处理状态;否则返回步骤C2。
所述信息安全设备为USB Key。
所述步骤C2中的验证用户身份是否合法的具体方法包括以下方法:
验证用户输入的PIN码是否合法;
验证用户的生物特征是否合法;
验证用户提供的信息安全设备中是否包含合法数据;
验证用户提供的信息安全设备是否具有合法的硬件序列号;
将一些数据发送给信息安全设备进行运算,检查运算结果是否合法。
所述步骤C4中的计算机继续正常启动是指精简操作系统把系统控制权转移给原MBR程序,或者跳过原MBR程序指令,直接将控制权转交给下一程序指令。
本发明同时提供了一种实现计算机的开机保护装置,所述装置包括初始化系统模块、验证程序模块和信息安全设备;
所述初始化系统模块用于将计算机硬盘上原有的MBR程序剪切,并放到硬盘的指定区域,将开发的新MBR程序装入所述硬盘的MBR区域和将精简操作系统装入硬盘的另一指定区域,同时还用于配置USB Key的相关信息,并与验证程序模块相关联;
所述验证程序模块与配置的USB Key相关联,用于控制权的转移、结合信息安全设备对用户身份进行验证以及数据的还原;
所述信息安全设备用于完成用户身份的验证。
所述验证程序模块中对用户身份的具体验证方法包括以下方法:
验证用户输入的PIN码是否合法;
验证用户的生物特征是否合法;
验证用户提供的信息安全设备中是否包含合法数据;
验证用户提供的信息安全设备是否具有合法的硬件序列号;
将一些数据发送给信息安全设备进行运算,检查运算结果是否合法。
该开机保护装置中所述信息安全设备为USB Key。
本发明技术方案带来的有益效果是:
利用USB Key验证用户身份信息,将用户的物理身份与数字身份进行绑定,实现了对计算机开机的保护,同时利用精简操作系统的兼容性好的特点克服了不同计算机使用不同的芯片组在访问USB时存在差异的困难。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。
本发明提供了一种实现计算机的开机保护方法及装置,该方法和装置是通过在硬盘中写入特定的MBR程序及精简操作系统,结合USB Key对用户身份进行验证,实现对计算机的开机保护,同时利用精简操作系统的兼容性好的特点克服了不同计算机使用不同的芯片组在访问USB时存在差异的困难。
为了更好的理解本方案,将本发明涉及到的名词具体解释如下:
BIOS(Basic Input/Output System,基本输入输出系统):全称是ROM-BIOS,是只读存储器基本输入/输出系统的简写。它实际是一组被固化到电脑中,为电脑提供最低级最直接的硬件控制的程序,是硬件与软件程序之间的一个“转换器”或者说是接口(虽然它本身也只是一个程序),负责解决硬件的即时要求,并按软件的具体要求对硬件进行操作。BIOS芯片是主板上一块长方型或正方型芯片,BIOS中设有系统自举装载程序,在自检成功后将磁盘相对0道0扇区上的引导程序装入内存,让其运行以装入DOS系统;由于BIOS直接和系统硬件资源打交道,因此总是针对某一类型的硬件系统,而各种硬件系统又各有不同,所以存在各种不同种类的BIOS。
MBR(Main Boot Record,主引导扇区):是硬盘的第一个扇区(就是0柱面0磁头1扇区),存放着主引导程序和主分区表(Main Partition Table)以及结束标志″55AA″,用于计算机从硬盘启动时将系统控制权转移给计算机上安装的某个操作系统。启动计算机时,BIOS首先对硬件设备进行测试,即BIOS自检,测试成功后进入自举程序,然后读取磁盘0柱面、0磁头、1扇区的主引导记录内容到内存指定单元,然后将控制权转移给MBR中的程序指令。所述自举是指当BIOS完成自检后读取硬盘中的MBR,并把它放到内存中去。MBR中的程序指令先于所有的操作系统而被调入内存,并发挥作用。一般来说,MBR程序指令的主要功能如下:检查硬盘分区表是否完好;在分区表中寻找标记为可引导的分区;将可引导的分区的第一逻辑扇区内容装入内存;将系统控制权转移给上一步骤装入的内存地址。
Linux:是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX(PortableOperating System Interface for UNIX,UNIX可移植操作)和UNIX的多用户、多任务、支持多线程和多CPU的实时性较好的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。它主要用于基于Intel x86系列CPU的计算机上。Linux开放源代码,可以根据需要进行裁减,经过裁减的Linux系统大小甚至可以小于1Mb。
FreeBSD:是一种运行在Intel平台上、可以自由使用的Unix系统,它可以从Internet上免费获得。它可靠性高,网络性能强,安全性高,兼容性强。在UNIX操作系统上编写的其它应用程序,源代码经过少量的修改或不修改就可在Freebsd平台上编译执行。FreeBSD与Linux一样都属于开源软件,但FreeBSD实行了一种比Linux协议更开放的版权协议。FreeBSD允许第三方商业公司在FreeBSD平台上开发属于自己版权的应用软件,或对FreeBSD系统本身修改,而不需公开源码。
基于USB Key的身份认证:USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码学算法实现对用户身份的认证。USB Key目前主要用途是两种:一是保护软件版权;二是作为网上安全的电子证书容器及身份识别标志使用。基于USB Key的身份认证是近几年发展起来的一种方便、安全、经济的身份认证技术,它采用软硬件相结合的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。每个USB Key硬件都具有用户PIN(Personal Indentity Number,个人识别码)保护,以实现双因子认证功能。
参见图1,本发明提供了一种实现计算机的开机保护方法,所述方法包括以下步骤:用户启动计算机,主板BIOS进行自举后,将控制权转交给新MBR,并由新MBR再将控制权转交给精简操作系统,精简操作系统启用一段程序,与信息安全设备相关连,并利用该信息安全设备验证用户身份,如果验证通过,完成开机保护;否则验证失败,计算机进入异常处理状态。本实施例信息安全设备以USB Key为例(也可以为软盘或光盘等)。
该方法具体步骤如下:
步骤101:利用安装工具程序将计算机硬盘上原有的MBR程序剪切到硬盘的指定区域,这里的指定区域可以是硬盘上除MBR区域的任一区域。
步骤102:将新开发的MBR程序装入所述硬盘的MBR区域,当这个新MBR程序运行时,能够自动读取精简操作系统。
步骤103:利用安装工具程序将精简操作系统装入硬盘的另一指定区域,这里的指定区域可以为硬盘中的与原有MBR剪切到的区域不同的任一区域。
其中精简操作系统是一个开放源代码的系统,利用源代码配置工具把原操作系统中不必要的模块去掉后重新编译,就可以得到所需的精简操作系统,这种精简操作系统可以弥补原有操作系统对USB不能很好兼容的问题,其具体功能可根据需要自行编译,本实施例的精简操作系统的主要功能是能识别任意USB,达到兼容所有USB的目的,且与USB key进行交互操作,达到验证用户身份。具体的精简操作系统可以是经过裁减的Linux系统或经过裁减的FreeBSD系统等,在这个精简操作系统中预先放入一段特定程序,系统运行时可以通过该特定程序访问USB设备。
步骤101至步骤103为系统初始化过程,系统初始化完成后,所述计算机的开机保护方法具体实现过程如下:
步骤104:用户启动计算机时,主板BIOS进行自举后,将控制权转移给新MBR程序。
步骤105:新MBR程序运行后,将系统控制权移交给精简操作系统。
步骤106:精简操作系统启用一段程序,与USB Key相关连,并利用该USB Key验证用户身份,如果验证通过,完成开机保护;否则验证失败,计算机进入异常处理状态。
参见图2,精简操作系统与USB Key交互操作,对用户身份的具体验证过程如下:
步骤201:精简操作系统运行,检查用户是否插入USB Key,如果已经插入了USB Key,执行步骤202,否则执行步骤203。
步骤202:利用USB Key验证用户是否合法,如果是,进行步骤204;否则进行步骤205;这里具体验证方法包括但以下方法:
1)验证用户输入的PIN码是否能够通过USB Key验证;
2)验证用户的生物特征是否能够通过USB Key验证,例如指纹、声音、视网膜等;
3)验证用户提供的USB Key中是否包含合法的数据,这个合法数据包括用户身份相关信息、数字证书等;
4)验证用户提供的USB Key是否具有指定的硬件序列号;
5)将一些数据发送给USB Key进行运算,检查运算结果是否是期望的。
步骤203:提示用户插入USB Key,并转到步骤201。
步骤204:用户通过身份验证,计算机继续正常启动,即由精简操作系统把系统控制权转移给原MBR程序,或者跳过原MBR程序指令,直接将控制权转交给下一程序指令,即原MBR即将转交控制权的对象(如:开机画面),在这一过程中也有可能需要对数据进行解密还原。
步骤205:判断本次开机后用户失败的验证次数是否达到设定值,若达到该设定值,进行步骤206,否则返回步骤202,重新进行身份验证。
步骤206:用户的验证次数已经超过该设定值,程序进入异常处理状态。
该过程的实现是由精简操作系统运行的一段程序指令,结合USB Key共同实现的。
参见图3,本发明同时提供了一种实现计算机的开机保护装置,所述装置包括初始化系统模块、验证程序模块和信息安全设备;
所述初始化系统模块用于将计算机硬盘上原有的MBR程序剪切,并放到硬盘的指定区域,将开发的新MBR程序装入所述硬盘的MBR区域和将精简操作系统装入所述硬盘的另一指定区域,同时还用于配置USB Key的相关信息,并与验证程序模块相关联;
所述验证程序模块与配置的USB Key相关联,用于控制权的转移、结合信息安全设备对用户身份进行验证以及数据的还原;
所述信息安全设备用于完成用户身份的验证。
所述验证程序模块中对用户身份的具体验证方法包括以下方法:
验证用户输入的PIN码是否合法;
验证用户的生物特征是否合法;
验证用户提供的信息安全设备中是否包含合法数据,这个合法数据包括用户身份相关信息、数字证书等;
验证用户提供的信息安全设备是否具有合法的硬件序列号;
将一些数据发送给信息安全设备进行运算,检查运算结果是否合法。
该装置中所述信息安全设备为USB Key。
利用本发明所述的技术方案,用户的身份信息存储在USB Key中,通过USB Key验证用户身份的合法性,将用户的物理身份与数字身份进行绑定,其他人不可能通过猜测得到合法用户的密码,实现了对计算机开机的保护。
同时利用精简操作系统的兼容性好的特点解决了不同计算机使用不同的芯片组在访问USB时存在差异的困难。
以上所述的实施例,只是本发明较优选的具体实施方式的一种,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换,都应包含在本发明的保护范围内。