专利名称:对企业硬盘进行密码集中管理的方法和系统的制作方法
技术领域:
本发明涉及企业信息安全领域,更具体地,本发明涉及一种对企业硬盘进行密码集中管理的方法和系统,能够防止企业硬盘信息的泄露。
背景技术:
目前,越来越多的企业资料(信息,档案等)被以电子形式保存起来,那么如何防止这些企业机密的泄露则成为企业安全防护的重点。其中对作为电子信息存储的主要载体的硬盘信息的防护也就显得格外重要,目前有许多针对硬盘信息进行保护的方法,比如IBM加密硬盘就在硬盘内部实现数据加密存储的方法,保护了硬盘丢失后的信息安全,只要硬盘密码不被获知就无法读取存储其中的企业信息。
但是,如果盗窃者同时知道硬盘密码,则上述防护方式就不能起到应有的效果。例如,1)来自企业内部员工的盗窃;2)一些网络游戏公司在各地搭建游戏服务器的过程中,经常会出现游戏硬盘被安装工人盗窃,而直接搭建私服的时间。
而针对来自内部员工的信息泄露,一些公司往往会采用一些强制性的措施来限制企业电子信息的的扩散范围,例如,破坏PC的USB接口,甚至设置出入检查。
由于存在上述现有技术的缺陷,因此,需要对企业硬盘进行密码集中管理的改进方法和系统,能够防止企业硬盘信息的泄露。
发明内容
本发明的目的是提出一种对企业硬盘进行密码集中管理的方法和系统,能够防止企业硬盘信息的泄露。通过本发明的方法和系统,可以让普通的密码保护的硬盘的使用范围被限制在企业网络的覆盖范围内,没有企业网络支持的硬盘信息是无法读取的,这种方法和系统在很大程度上增强了企业对来自内部信息窃取的防护能力。
根据本发明,提出了一种对企业硬盘进行密码集中管理的方法,所述方法包括将与企业硬盘相对应的硬盘密码预先存储在硬盘密码集中管理服务器中;当启动作为客户端的计算机时,客户端向硬盘密码集中管理服务器发送硬盘密码获取请求;硬盘密码集中管理服务器根据接收到的硬盘密码获取请求,对客户端进行认证,并且在客户端认证成功的情况下,提取相应的硬盘密码并将其返回客户端;以及客户端利用返回的硬盘密码解锁硬盘并进而启动计算机。
优选地,所述硬盘密码获取请求包括客户端身份标识和硬盘标识。
优选地,对客户端进行认证的步骤包括利用客户端身份标识对客户端进行认证。
优选地,提取相应的硬盘密码步骤包括提取与硬盘标识相对应的硬盘密码。
优选地,将硬盘密码返回客户端的步骤还包括在对所提取的硬盘密码加密之后,将其返回客户端。
优选地,客户端利用返回的硬盘密码解锁硬盘的步骤包括客户端对返回的已加密硬盘密码进行解密,并利用解密后的密码来解锁硬盘。
优选地,在客户端向硬盘密码集中管理服务器发送硬盘密码获取请求之前,还包括步骤客户端通过判断是否输入了正确的用户密码来确定是否建立与硬盘密码集中管理服务器的连接;以及在连接建立之后,发送硬盘密码获取请求。
根据本发明,提出了一种对企业硬盘进行密码集中管理的系统,所述系统包括硬盘密码集中管理服务器,存储与企业硬盘相对应的硬盘密码;并且在硬盘密码集中管理服务器对发起硬盘密码获取请求的客户端认证成功的情况下,提取相应的硬盘密码并将其返回客户端;多个客户端,当启动作为客户端之一的计算机时,所述客户端向硬盘密码集中管理服务器发送硬盘密码获取请求,并且在接收到从硬盘密码集中管理服务器返回的作为响应的硬盘密码时,利用所述硬盘密码解锁硬盘并进而启动计算机;以及网络,用于连接硬盘密码集中管理服务器和多个客户端以进行通信。
优选地,所述客户端包括密码获取模块,用于向硬盘密码集中管理服务器发送硬盘密码获取请求;配置信息存储区,存储硬盘密码集中管理服务器的地址信息、硬盘标识、客户端身份标识、以及从硬盘密码集中管理服务器返回的硬盘密码;网络模块,用于通过网络与硬盘密码集中管理服务器连接以进行通信。
优选地,所述客户端还包括安全模块,用于对从硬盘密码集中管理服务器返回的已加密的硬盘密码进行解密。
优选地,所述配置信息存储区还存储了对已加密硬盘密码解密所需的密钥。
优选地,所述硬盘密码集中管理服务器包括客户认证及密码分发模块,用于在客户端进行硬盘密码获取请求的情况下,验证客户端,并在客户端验证成功的情况下,提取相应的硬盘密码并将其返回客户端;硬盘密码数据库,用于存储与企业硬盘相对应的硬盘密码;以及网络模块,用于通过网络与客户端连接以进行通信。
优选地,所述客户端还包括安全模块,用于对从硬盘密码集中管理服务器返回到客户端的硬盘密码进行加密。
优选地,所述配置信息存储区还存储了对硬盘密码进行加密所需的密钥。
通过参考以下结合附图对所采用的优选实施例的详细描述,本发明的上述目的、优点和特征将变得显而易见,其中图1是示出了根据本发明实施例的对企业硬盘进行密码集中管理的系统的示意图;图2是示出了根据本发明实施例的图1所示的系统中的客户端和硬盘密码集中管理服务器的详细方框图;
图3是示出了根据本发明实施例的对企业硬盘进行密码集中管理的方法的总体流程图;以及图4是示出了根据本发明实施例的对企业硬盘进行密码集中管理的方法的详细流程图。
具体实施例方式
本发明通过对普通BIOS进行扩展并配合设立企业硬盘密码集中保护机制,给出了一种对企业硬盘进行密码集中管理的方法,能够将企业硬盘的使用范围限制在企业内部。
下面将参考附图来详细描述本发明的优选实施例。
图1是示出了根据本发明实施例的对企业硬盘进行密码集中管理的系统的示意图。
如图1所示,根据本发明实施例的对企业硬盘进行密码集中管理的系统包括硬盘密码集中管理服务器(SAS)10、多个企业电脑(客户端)20和企业内部网30,其中硬盘密码集中管理服务器10和企业电脑20通过企业内部网30进行通信。
企业电脑20中用于实现本发明的组件包括OS(操作系统)、网络连接、扩展BIOS(基本输入输出系统)和硬盘,在以下描述中,将忽略对企业电脑20中与本发明无关的组件的详细描述。
在本发明中,OS(操作系统)执行对整个操作的管理,其集中控制企业电脑的操作,特别是企业电脑根据本发明所实现的操作,网络连接用于实现通过企业内部网与硬盘密码集中管理服务器10的连接和通信。企业电脑的扩展BIOS(EB)在原有BIOS功能的基础上进行了相应的扩展,以便在OS的控制下,实现根据本发明的对企业硬盘进行集中管理的过程。企业硬盘为当前所通常采用的硬盘,但是该企业硬盘是受到密码加锁控制的硬盘,也就是该企业硬盘受到自身密码的锁定,因此仅在获取或知道自身密码的情况下才能启用。也就是,如果用户不知道密码,即使将硬盘从一个电脑上移动到另一电脑上,也将无法启用该硬盘。
图2是示出了根据本发明实施例的图1所示的系统中的客户端和硬盘密码集中管理服务器的详细方框图。
为了实现本发明,根据本发明的图1所示的系统中企业电脑(客户端)20可以构造为包括以下功能组件配置模块101、密码获取模块103、配置信息存储区105、安全模块107和网络模块109。配置信息存储区105为受到管理员级用户保护的存储区,管理员可以在该存储区可以被预先配置一些初始数据,包括SAS的地址信息(IP地址)、对应硬盘ID、客户端身份标识、安全模块进行加解密所需要的各种密钥,并且所述配置信息存储区105还可以存储从SAS获取的硬盘密码。配置模块101利用配置信息存储区105中所存储的初始数据,来配置密码获取模块103、安全模块107和网络模块109。密码获取模块103发起从SAS获取硬盘密码的请求(包括认证所需的信息,例如,企业电脑的硬盘标识和客户端身份标识),并且将从SAS获取的硬盘密码存储在配置信息存储区105中。安全模块107利用配置信息存储区105中所存储的加解密所需的密钥,对要传送的消息进行加密而对接收到的消息进行解密,以确保数据的传送和接收的安全性。网络模块109利用配置信息存储区105中所存储的硬盘密码集中管理服务器10的地址信息(例如IP地址),通过企业内部网30与硬盘密码集中管理服务器10相连以进行通信。
类似地,硬盘密码集中管理服务器10可以构造为包括以下功能组件密码配置模块201、客户认证及密码分发模块203、企业硬盘密码数据库205、安全模块207和网络模块209。企业硬盘密码数据库205为集中存储各个企业硬盘的硬盘密码的数据库,该数据库存储了与各个企业硬盘相对应的各自的硬盘密码。密码配置模块201根据所接收到的企业硬盘标识,从企业硬盘密码数据库205向客户认证及密码分发模块203传递硬盘密码。客户认证及密码分发模块203根据从企业电脑接收到的获取硬盘密码的请求,利用客户端身份标识来验证该请求的有效性;如果有效,则获取与发送该请求的客户端对应的硬盘的密码,并将硬盘密码返回企业电脑20。安全模块207利用加解密所需的密钥,对要传送的消息进行加密而对接收到的消息进行解密,以确保数据的传送和接收的安全性。例如,安全模块207可以对从硬盘密码集中管理服务器10返回到企业电脑20的密码进行加密,以及对从企业电脑20发送的密码获取请求进行解密。网络模块209通过企业内部网30与企业电脑20相连以进行通信。需要说明的是,在硬盘密码集中管理服务器10中,对客户端身份标识进行认证所需的认证管理信息、安全模块进行加解密所需要的各种密钥、以及网络模块与企业电脑20连接所需的附加配置信息可以存储在企业硬盘密码数据库205中,也可以存储在另外的存储器中。
明显地,上述所有功能组件均能够以软件、硬件及其任意组合的形式来实现,并且配置信息存储区和企业硬盘密码数据库能够以任意非易失性存储器或易失性存储器的形式来实现。
由此,通过在企业内部网络中设立一个硬盘密码集中管理服务器10,在硬盘密码集中管理服务器10中所有企业硬盘的密码进行集中管理而不将其告知用户。在企业电脑启动时,该电脑通过企业内部网和SAS进行通讯。也就是,当企业电脑启动时,用户只需要诸如通过输入BIOS的启动密码,企业电脑就会自动建立和SAS之间的网络连接,然后从SAS上获取本机硬盘的密码,最后使用该密码为硬盘开锁,电脑进入正常启动流程。
通过本方法,即使硬盘被员工带出,即使该员工将硬盘安装在另一电脑上,由于用户不知道企业硬盘的密码,他将无法启用企业硬盘而无法读取其中的数据。
图3是示出了根据本发明实施例的对企业硬盘进行密码集中管理的方法的总体流程图。
当企业购买一台拥有增强BIOS的新电脑后,需要由企业系统管理员进行预先设置以启动硬盘密码集中管理机制。首先,需要为BIOS设置管理员密码和用户密码,并且硬盘密码集中管理服务器10中配置与企业硬盘标识相对应的解锁密码(硬盘密码)。在EB(配置信息存储区105)中设置各种初始数据,包括SAS的IP,对应硬盘ID、安全模块进行加解密所需要的各种密钥。然后,仅将BIOS的用户密码告知最终用户。
于是,如图3所示,当计算机开机时(步骤301),在用户输入BIOS用户密码之后,EB向SAS发送硬盘密码请求(包括硬盘标识和客户端身份标识)(步骤303)。然后,SAS在经过认证之后,返回与硬盘标识相对应的硬盘密码(步骤305)。EB利用接收到的硬盘密码为硬盘解锁(步骤307),并由此启动计算机(步骤309)。
图4是示出了根据本发明实施例的对企业硬盘进行密码集中管理的方法的详细流程图。
如图4所示,当计算机开机时(步骤401),EB判断是否建立网络连接(步骤403)。当用户输入正确的BIOS用户密码时,EB建立网络连接(步骤403中的是),然后,EB向SAS发送获取本地硬盘密码的请求(包括硬盘标识和客户端身份标识)(步骤405)。在SAS处,SAS接收来自EB(客户端)的获取本地硬盘密码的请求(步骤407),通过客户认证及密码分发模块203,利用客户端身份标识来验证客户端的有效性(步骤409),也就是,验证客户端是否为向硬盘密码集中管理服务器10登记了硬盘密码集中管理服务的客户端。在验证客户端有效的情况下(步骤409中的是),SAS从企业硬盘密码数据库205获取与硬盘标识相对应的硬盘密码,并在通过安全模块207加密之后,将所述硬盘密码返回EB(步骤411)。相反,在验证客户端无效的情况下(步骤409中的否),则SAS向EB返回错误信息(步骤413)。
然后,EB判断SAS是否返回了有效的硬盘密码(步骤415)。在返回了有效的硬盘密码的情况下(步骤415的是),则客户端通过安全模块107对接收到的已加密的硬盘密码进行解密,并利用解密后的硬盘密码对本地硬盘进行解锁(步骤417)。于是,计算机可以进入正常启动进程(步骤419)。
在以上步骤403中,如果EB建立网络连接失败(步骤403中的否),则计算机启动失败(步骤421)。另外,在以上步骤415中,如果SAS返回错误信息,则计算机启动也会失败(步骤421)。
由此,通过本发明的方法和系统,可以让普通的密码保护的硬盘的使用范围被限制在企业网络的覆盖范围内,没有企业网络支持的硬盘信息是无法读取的,这种方法在很大程度上增强了企业对来自内部信息窃取的防护能力。
尽管以上已经结合本发明的优选实施例示出了本发明,但是本领域的技术人员将会理解,在不脱离本发明的精神和范围的情况下,可以对本发明进行各种修改、替换和改变。因此,本发明不应由上述实施例来限定,而应由所附权利要求及其等价物来限定。
权利要求
1.一种对企业硬盘进行密码集中管理的方法,所述方法包括将与企业硬盘相对应的硬盘密码预先存储在硬盘密码集中管理服务器中;当启动作为客户端的计算机时,客户端向硬盘密码集中管理服务器发送硬盘密码获取请求;硬盘密码集中管理服务器根据接收到的硬盘密码获取请求,对客户端进行认证,并且在客户端认证成功的情况下,提取相应的硬盘密码并将其返回客户端;以及客户端利用返回的硬盘密码解锁硬盘并进而启动计算机。
2.根据权利要求1所述的方法,其特征在于所述硬盘密码获取请求包括客户端身份标识和硬盘标识。
3.根据权利要求2所述的方法,其特征在于对客户端进行认证的步骤包括利用客户端身份标识对客户端进行认证。
4.根据权利要求2所述的方法,其特征在于提取相应的硬盘密码步骤包括提取与硬盘标识相对应的硬盘密码。
5.根据权利要求1到4任一个所述的方法,其特征在于将硬盘密码返回客户端的步骤还包括在对所提取的硬盘密码加密之后,将其返回客户端。
6.根据权利要求5所述的方法,其特征在于客户端利用返回的硬盘密码解锁硬盘的步骤包括客户端对返回的已加密硬盘密码进行解密,并利用解密后的密码来解锁硬盘。
7.根据权利要求1到4任一个所述的方法,其特征在于在客户端向硬盘密码集中管理服务器发送硬盘密码获取请求之前,还包括步骤客户端通过判断是否输入了正确的用户密码来确定是否建立与硬盘密码集中管理服务器的连接;以及在连接建立之后,发送硬盘密码获取请求。
8.一种对企业硬盘进行密码集中管理的系统,所述系统包括硬盘密码集中管理服务器,存储与企业硬盘相对应的硬盘密码;并且在硬盘密码集中管理服务器对发起硬盘密码获取请求的客户端认证成功的情况下,提取相应的硬盘密码并将其返回客户端;多个客户端,当启动作为客户端之一的计算机时,所述客户端向硬盘密码集中管理服务器发送硬盘密码获取请求,并且在接收到从硬盘密码集中管理服务器返回的作为响应的硬盘密码时,利用所述硬盘密码解锁硬盘并进而启动计算机;以及网络,用于连接硬盘密码集中管理服务器和多个客户端以进行通信。
9.根据权利要求8所述的系统,其特征在于所述客户端包括密码获取模块,用于向硬盘密码集中管理服务器发送硬盘密码获取请求;配置信息存储区,存储硬盘密码集中管理服务器的地址信息、硬盘标识、客户端身份标识、以及从硬盘密码集中管理服务器返回的硬盘密码;网络模块,用于通过网络与硬盘密码集中管理服务器连接以进行通信。
10.根据权利要求9所述的系统,其特征在于所述客户端还包括安全模块,用于对从硬盘密码集中管理服务器返回的已加密的硬盘密码进行解密。
11.根据权利要求10所述的系统,其特征在于所述配置信息存储区还存储了对已加密硬盘密码解密所需的密钥。
12.根据权利要求8所述的系统,其特征在于所述硬盘密码集中管理服务器包括客户认证及密码分发模块,用于在客户端进行硬盘密码获取请求的情况下,验证客户端,并在客户端验证成功的情况下,提取相应的硬盘密码并将其返回客户端;硬盘密码数据库,用于存储与企业硬盘相对应的硬盘密码;以及网络模块,用于通过网络与客户端连接以进行通信。
13.根据权利要求12所述的系统,其特征在于所述客户端还包括安全模块,用于对从硬盘密码集中管理服务器返回到客户端的硬盘密码进行加密。
14.根据权利要求13所述的系统,其特征在于所述配置信息存储区还存储了对硬盘密码进行加密所需的密钥。
全文摘要
根据本发明,提出了一种对企业硬盘进行密码集中管理的方法,所述方法包括将与企业硬盘相对应的硬盘密码预先存储在硬盘密码集中管理服务器中;当启动作为客户端的计算机时,客户端向硬盘密码集中管理服务器发送硬盘密码获取请求;硬盘密码集中管理服务器根据接收到的硬盘密码获取请求,对客户端进行认证,并且在客户端认证成功的情况下,提取相应的硬盘密码并将其返回客户端;以及客户端利用返回的硬盘密码解锁硬盘并进而启动计算机。
文档编号G06F1/00GK1983291SQ20051013215
公开日2007年6月20日 申请日期2005年12月16日 优先权日2005年12月16日
发明者张晓平, 柴海新 申请人:联想(北京)有限公司