专利名称:一种计算机本地安全访问控制的方法
技术领域:
本发明涉及一种计算机应用技术,具体地说是一种计算机本地安全访问控制的方法。
2、背景技术传统计算机本地安全访问控制的方法是,在计算机的启动引导过程中,提示用户输入预先设置好的开机口令,以达到简单的身份认证的目的。但是该方法在应用过程中存在有许多不足,如1)预先设置的开机口令,必须依赖于安装在计算机主板的微型电池来实现长期保存。当用户取下该电池,或者通过主板跳线,短接该电池时,开机口令便被丢失。此时系统便失去了访问控制的功能;2)一个简单的开机口令无法表达不同的身份信息,因此,系统也无法根据此口令来动态调整系统配置,控制不同用户的操作权限;3)口令容易遗忘,使用不方便。
3、发明内容本发明提供一种内置有权限标记的电子钥匙(USB KEY),用来控制用户对计算机设备的访问权限。当用户在计算机USB接口上插入不同权限的钥匙(KEY)时,用户登录系统后,便自动被赋予不同的操作权限。例如,当采用低级别权限的KEY引导系统后,就被禁止访问网络,或者被禁止访问某一存储设备。
本发明的方法主要由增强身份认证部分和设备访问控制部分组成他们的功能作用是A、增强身份认证可以使用USB Key等认证设备,由于是先于操作系统进行的身份认证,因此可以起到在服务器先期启动过程中屏蔽操作系统的目的。当启动服务器时,用户需先提交其特征标识,通过身份认证,确认其权限属性后,方能允许启动服务器系统。
B、设备访问控制该部分是在用户身份认证后及操作系统启动前进行。根据不同用户的权限,设置不同的外设接口状态,并与操作系统无关。避免了非法用户通过操作系统的漏洞,绕过正常的管理监控程序,打开这些外设接口盗取系统数据。
该发明是基于计算机BIOS层的实现,与操作系统和应用软件无关,即任何操作系统或者应用软件都将无法绕过此硬件级的强制安全身份认证。该发明的核心功能是系统根据不同的身份认证信息(KEY),动态调整硬件配置,在计算机的固件层(firmware)上屏蔽,控制用户在被允许的权限范围内对系统某些设备进行访问,以控制用户对某些敏感设备或资源的访问。
附图为本发明方法的系统安全认证工作原理框图。
5、实施方式参照说明书附图对本发明的作以下详细地说明。
服务器上电后正常进行CPU、内存、BIOS的初始化,之后导入系统本地安全模块,驱动USB KEY读写器或其它身份认证设备,进行用户身份判别和权限认定。在确认为合法用户后,进而进行系统外设资源的权限分配,完成以上工作后重新将控制权交回系统BIOS,引导操作系统启动。
本发明的方法和现有技术相比,具有方法简单,易于实施,安全控制效果好等特点,因而,具有很好的推广使用价值。
权利要求
1.一种计算机本地安全访问控制的方法,其特征在于,采用一个内置有访问权限标记的电子钥匙来控制用户对计算机设备的访问权限,用户登录系统后,系统根据电子钥匙内记载的身份认证信息动态调整硬件配置,在被赋予的操作权限内访问系统内的相关设备,以实现对某些敏感设备的访问控制。
2.根据权利要求1所述的方法,其特征在于该方法是基于计算机BIOS层的实现,与操作系统和应用软件无关。
全文摘要
本发明提供一种计算机本地安全访问控制的方法,该方法是采用一个内置有访问权限标记的电子钥匙来控制用户对计算机设备的访问权限,用户登录系统后,系统根据电子钥匙内记载的身份认证信息动态调整硬件配置,在被赋予的操作权限内访问系统内的相关设备,以实现对某些敏感设备的访问控制。本发明的方法和现有技术相比,具有方法简单,易于实施,安全控制效果好等特点,因而具有很好的推广使用价值。
文档编号G06F1/00GK1743991SQ20051004487
公开日2006年3月8日 申请日期2005年9月29日 优先权日2005年9月29日
发明者黄家明, 王金川, 李金 , 郑子亮 申请人:浪潮电子信息产业股份有限公司