使用usb控制器实现终端设备双操作系统启动的方法
【技术领域】
[0001]本发明涉及一种使用USB控制器实现引导终端设备双操作系统启动的方法,在终端设备上安装两个操作系统,是相互独立的,通过一个USB控制器(也可称之为身份识别器等)在两个操作系统之间进行切换,其中第一个操作系统支持用户上网浏览、自行安装和卸载任何软件,属于用户自由区操作系统环境,第二个操作系统中用户的上网行为、软件安装和卸载严格受到后台服务端的控制,属于用户工作区操作系统环境,考虑到工作区操作系统环境数据安全性的要求,工作区操作系统环境加密保护。
【背景技术】
[0002]目前用户终端设备应用广泛,如用户上网浏览,日常办公,一般都安装微软操作系统,这些操作系统支持用户自行安装和卸载任何软件,给系统的安全带来了很大的隐患,容易遭受隐藏在自行安装软件中的病毒或木马等攻击,办公系统属于单位的业务系统,涉及的数据是单位敏感数据,数据的泄露会带来安全威胁。怎样让用户在自己使用的终端设备上可以随意地安装软件,又可以确保用户在使用办公系统时的安全是一个亟待解决的问题。
【发明内容】
[0003]本发明的目的是提供一种USB控制器实现终端设备双操作系统启动的方法,通过一个USB控制器,即可引导进入工作区操作系统环境。在终端设备的硬盘分区中安装的第一个操作系统,将其定义为自由区环境,可以随意上网浏览、安装和卸载任何软件,这和目前终端设备的使用方式完全相同。但是在硬盘分区中安装的第二个操作系统中,用户登录需要进行身份认证,上网行为、安装和卸载软件要严格受到服务端的控制,该操作系统和数据分区受到加密保护,该终端设备即使被盗或丢失时也不会泄露办公数据,其安全性受到严格保护。
[0004]本发明特征在于:使用USB控制器实现的终端设备双操作系统启动的方法,其特征在于,是一种使用UKEY和光驱存储区合并的USB控制器实现用户终端设备中单硬盘内双操作系统启动的方法,依次包括以下步骤:
[0005]步骤I,初始化
[0006]步骤1.1,所述USB控制器设有:UKEY和存储区,其中:
[0007]至少IM字节的存储区并使用光驱格式,UKEY是设有识别用户在终端设备中身份的个人识别密码PIN的用户身份识别器,在所述存储区存储有可引导用户进入所述单硬盘上工作区操作系统的grub4dos的引导程序GRLDR和磁盘分区解密密钥文件;
[0008]步骤1.2,所述单硬盘初始化:
[0009]给所述单硬盘安装Windows NT类型的MBR,从头开始依次划分为:第一分区、第二分区、第三分区,其中:
[0010]所述第二分区为用户用于办公的工作区,包括工作区操作系统以及相应的办公数据两个部分,在所述工作区采用分区加密的方式来防止非法用户的数据访问,
[0011]所述第一分区为保留分区,其分区引导记录PBR被设置为工作区分区解密程序的入口代码,解密完成后引导进入所述工作区;
[0012]所述第三分区为供用户自由活动的自由区,是所述单硬盘的活动分区,包括自由区操作系统和相应的用户活动数据两个部分,
[0013]另外,为实现用户终端设备通过所述单硬盘控制所述自由区操作系统的启动,要在所述第三分区即自由区的根目录下放入Windows启动管理器文件B00TMGR文件,并在所述自由区的根目录下新建一个BOOT文件夹放入当前系统的启动配置数据BCD文件,同时删除所述BCD配置信息中除所述自由区以外的其他系统的配置信息,然后给所述自由区安装Windows启动管理器B00TMGR类型的分区引导记录PBR,PBR的结构依次为3B的跳转指令、8B的原始制造商编码OEM ID、25B的基本输入输出系统B1S参数块、45B的扩展参数块、426B的引导代码以及分区引导记录PBR的结束代码55AA,
[0014]为实现用所述USB控制器控制工作区的操作系统启动,首先往所述USB控制器的光驱引导块中写入修改的grub4doS的引导程序GRLDR,其次往所述保留分区的分区引导记录PBR中写入工作区分区解密程序的入口代码,再次要在所述工作区根目录下放入Windows启动管理器B00TMGR文件,并在所述工作区的根目录下新建BOOT文件夹放入当前系统的启动配置数据BCD文件,同时删除所述BCD配置信息中除所述工作区以外的其他系统的配置信息,最后给所述工作区安装Windows启动管理器B00TMGR类型的分区引导记录PBR,
[0015]步骤2,依次按以下步骤实现使用USB控制器进行双操作系统启动的方法:
[0016]步骤2.1,基本输入输出系统B1S在开机时对用户终端设备进行自检,
[0017]步骤2.2,自检完成后输入输出系统B1S根据设置判断是否有所述的USB控制器插入,若没有执行步骤2.3,若有执行步骤2.4,
[0018]步骤2.3,依次按以下步骤实现所述用户终端设备通过硬盘来控制所述自由区操作系统的启动:
[0019]步骤2.3.1,执行所述单硬盘中的主引导记录MBR,引导进入所述的自由区,
[0020]步骤2.3.2,引导进入所述自由区后会执行所述自由区分区引导记录PBR,然后启动Windows启动管理器B00TMGR,
[0021]步骤2.3.3,Windows启动管理器B00TMGR读取启动配置数据B⑶文件,加载Windows 7,启动所述自由区操作系统,
[0022]步骤2.4,依次按以下步骤实现所述用户终端设备通过所述USB控制器控制所述工作区操作系统的启动:
[0023]步骤2.4.1,启动优先级判断:
[0024]若硬盘的启动优先级高于光盘启动的优先级,则执行步骤2.3,否则执行步骤
2.4.2,
[0025]步骤2.4.2,所述USB控制器光驱启动,执行所述修改的grub4dos引导程序GRLDR,
[0026]步骤2.4.3,所述引导程序GRLDR会对用户进行用户身份密码PIN验证,若验证没有通过,则关机,否则执行步骤2.4.4,
[0027]步骤2.4.4,判断所述UKEY的存储区是否有密钥文件,若没有,则执行步骤2.3.2,否则执行步骤2.4.5,
[0028]步骤2.4.5,加载密钥文件到内存,引导进入所述保留分区,执行所述保留分区的所述分区引导记录PBR,从而执行解密程序,解密程序会对密钥进行验证:若验证失败则关机,否则利用密钥对工作区分区进行解密,执行步骤2.4.6,
[0029]步骤2.4.6,解密完成后,引导进入工作区,执行所述分区引导记录PBR,进一步执行Windows启动管理器B00TMGR,根据启动配置数据BCD文件加载Windows7,
[0030]步骤2.4.7,利用Wind0ws7的USB插拔事件监测所述USB控制器是否拔出:若拔出则关机,否则一直监测直到所述USB控制器拔出。
[0031]该过程如图4所示。
[0032]本发明有别于其他通过双硬盘实现双操作系统启动的方法,使用同一个硬盘多个分区实现双操作系统启动的方式,通过工作区操作系统分区的加密机制保证工作区操作系统安全的前提下,降低了成本,提高了效率。
【附图说明】
[0033]通过下面结合附图对实施例进行的描述,本发明的这些和/或其他方面和优点将会变得清楚和更易于理解,其中:
[0034]图1USB控制器结构。
[0035]UKEY:主要功能是身份验证。利用UKEY的PIN码验证USB控制器使用者身份的合法性,利用USB控制器里的密钥文件加解密硬盘工作区操作系统分区。
[0036]存储区:普通U盘格式(FAT32等)或光驱格式,本发明具体实施中使用的是光驱格式,主要功能是存储引导程序以及其他必要的相关文件。
[0037]图2Windows7的启动流程图
[0038]图3PBR结构图(其中阴影部分为需要修改部分)
[0039]图4引导双操作系统的主逻辑流程图(注:B10S优先启动光驱设备,且仅考虑启动时是否插入USB控制器)
[0040]图5没有保留分区的硬盘启动引导流程(其中阴影部分为需要加密部分)
[0041]图6有保留分区的硬盘启动引导流程(其中阴影部分为需要加密部分)
[0042]图7本发明实施操作流程图
【具体实施方式】
[0043]为使本发明的上述目的、特征和优点能更加明显易懂,下面将结合本发明的附图,对本发明实施例中的技术方案进行完整、详细的描述。以下描述的实施例只是本发明的部分实施例,并不是全部的实施例。基于本发明的实施例,本领域中的普通技术人员在没有做出创造性劳动的前提下获得的所有其他实施例,均在本发明的保护范围中。
[0044]本方法所述的使用USB控制器实施双系统启动的方法,如说明书图1的USB控制器结构所示,由UKEY模块和存储模块组成。
[0045]在一台终端设备上,以下操作是在微软windows 7操作系统环境中进行的。现假定第一个分区为保留分区,第二个分区为工作区,第三个分区为自由区。如说明书图6的有保留分区的硬盘启动引导流程中硬盘分区情况所示,所述方法的大致实施步骤如图7所示,具体实施步骤如下:
[0046](I)实现启动项隔离
[0047]步骤1:实现终端设备通过硬盘控制自由区操作系统的启动。
[0048]首先在所述自由区系统的根目录下放入Windows启动管理器文件B00TMGR文件,并在系统根目录下新建Boot文件夹,放入当前系统的启动配置数据文件BCD文件,同时删除启动配置数据文件BCD配置信息中除了所述自由区以外的其他系统的配置信息。
[0049]然后给所述自由区安装B00TMGR类型的分区引导记录PBR。该种PBR的作用是找到并执行当前分区根目录下的B00