一种实现计算机的开机保护方法及装置的制作方法

专利名称：：一种实现计算机的开机保护方法及装置的制作方法
技术领域：
：本发明涉及信息安全领域，特别涉及一种利用USBKey来实现计算机开机保护的方法及装置。
背景技术：
：目前，在普通的开机模式下，当用户启动计算机时，常用的开机保护方法是通过要求用户输入密码来确认使用者的身份是否合法。每个用户的密码是由这个用户自己设定的，只有自己本人才知道，因此只要能够正确输入密码，计算机就认为他就是本机的用户。然而，由于许多用户为了防止忘记密码，经常采用诸如自己或家人的生日、电话号码等作为密码，这些有意义的字符串容易被他人猜测到；或者采用把密码抄在一个自己认为安全的地方，这也存在着安全隐患，极易造成密码泄露并且若硬盘被移植到没有密码保护的计算机中，便可实现系统的正常启动。因此用户名/密码方式是一种具有安全隐患的身份认证方式。一般来说，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份的合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，就成为一个很重要的问题。另外，不同计算机使用不同的芯片组访问USB的方式会出现差异，即兼容性存在缺陷。这就需要用利用一种技术来屏蔽该差异。综上所述，现有技术的缺点是1.存在安全隐患，造成密码泄露；2.操作者的物理身份与数字身份的绑定没有保证；3.兼容性存在缺陷。
发明内容为了克服现有技术中计算机开机保护方法存在安全隐患，本发明的目的是提供一种实现计算机的开机保护方法及装置，该技术方案如下本发明提供了一种实现计算机的开机保护方法，所述方法包括以下步骤在硬盘上装入新MBR程序和精简操作系统，并执行以下步骤步骤A用户启动计算机时，主板BIOS进行自举后，将系统控制权转移给所述新MBR程序；步骤B所述新MBR程序运行后，将系统控制权移交给所述精简操作系统；步骤C所述精简操作系统与信息安全设备相关连，所述信息安全设备验证用户身份，如果验证通过，完成开机保护；否则验证失败，计算机进入异常处理状态。所述在硬盘上装入新MBR程序和精简操作系统具体包括以下步骤步骤A′将计算机硬盘上原有的MBR程序剪切，并放到硬盘的指定区域；步骤B′将开发的新MBR程序装入所述硬盘的MBR区域；步骤C′将精简操作系统装入硬盘的另一指定区域。所述验证用户身份具体包括以下步骤步骤C1检查用户是否插入信息安全设备，如果已经插入所述信息安全设备，执行步骤C2，否则执行步骤C3；步骤C2利用所述信息安全设备验证用户身份是否合法，如果是，进行步骤C4；否则进行步骤C5；步骤C3提示用户插入所述信息安全设备，并转到步骤C1；步骤C4用户通过身份验证，计算机继续正常启动；步骤C5判断本次开机后用户失败的验证次数是否达到设定值，若达到该设定值，计算机进入异常处理状态；否则返回步骤C2。所述信息安全设备为USBKey。所述步骤C2中的验证用户身份是否合法的具体方法包括以下方法验证用户输入的PIN码是否合法；验证用户的生物特征是否合法；验证用户提供的信息安全设备中是否包含合法数据；验证用户提供的信息安全设备是否具有合法的硬件序列号；将一些数据发送给信息安全设备进行运算，检查运算结果是否合法。所述步骤C4中的计算机继续正常启动是指精简操作系统把系统控制权转移给原MBR程序，或者跳过原MBR程序指令，直接将控制权转交给下一程序指令。本发明同时提供了一种实现计算机的开机保护装置，所述装置包括初始化系统模块、验证程序模块和信息安全设备；所述初始化系统模块用于将计算机硬盘上原有的MBR程序剪切，并放到硬盘的指定区域，将开发的新MBR程序装入所述硬盘的MBR区域和将精简操作系统装入硬盘的另一指定区域，同时还用于配置USBKey的相关信息，并与验证程序模块相关联；所述验证程序模块与配置的USBKey相关联，用于控制权的转移、结合信息安全设备对用户身份进行验证以及数据的还原；所述信息安全设备用于完成用户身份的验证。所述验证程序模块中对用户身份的具体验证方法包括以下方法验证用户输入的PIN码是否合法；验证用户的生物特征是否合法；验证用户提供的信息安全设备中是否包含合法数据；验证用户提供的信息安全设备是否具有合法的硬件序列号；将一些数据发送给信息安全设备进行运算，检查运算结果是否合法。该开机保护装置中所述信息安全设备为USBKey。本发明技术方案带来的有益效果是利用USBKey验证用户身份信息，将用户的物理身份与数字身份进行绑定，实现了对计算机开机的保护，同时利用精简操作系统的兼容性好的特点克服了不同计算机使用不同的芯片组在访问USB时存在差异的困难。图1是本发明提供的一种实现计算机的开机保护方法流程图；图2是本发明提供的利用USBKey验证用户身份的方法流程图；图3是本发明提供的一种实现计算机的开机保护装置示意图。具体实施例方式下面结合附图和具体实施例对本发明作进一步说明，但不作为对本发明的限定。本发明提供了一种实现计算机的开机保护方法及装置，该方法和装置是通过在硬盘中写入特定的MBR程序及精简操作系统，结合USBKey对用户身份进行验证，实现对计算机的开机保护，同时利用精简操作系统的兼容性好的特点克服了不同计算机使用不同的芯片组在访问USB时存在差异的困难。为了更好的理解本方案，将本发明涉及到的名词具体解释如下BIOS(BasicInput/OutputSystem，基本输入输出系统)全称是ROM-BIOS，是只读存储器基本输入/输出系统的简写。它实际是一组被固化到电脑中，为电脑提供最低级最直接的硬件控制的程序，是硬件与软件程序之间的一个“转换器”或者说是接口(虽然它本身也只是一个程序)，负责解决硬件的即时要求，并按软件的具体要求对硬件进行操作。BIOS芯片是主板上一块长方型或正方型芯片，BIOS中设有系统自举装载程序，在自检成功后将磁盘相对0道0扇区上的引导程序装入内存，让其运行以装入DOS系统；由于BIOS直接和系统硬件资源打交道，因此总是针对某一类型的硬件系统，而各种硬件系统又各有不同，所以存在各种不同种类的BIOS。MBR(MainBootRecord，主引导扇区)是硬盘的第一个扇区(就是0柱面0磁头1扇区)，存放着主引导程序和主分区表(MainPartitionTable)以及结束标志″55AA″，用于计算机从硬盘启动时将系统控制权转移给计算机上安装的某个操作系统。启动计算机时，BIOS首先对硬件设备进行测试，即BIOS自检，测试成功后进入自举程序，然后读取磁盘0柱面、0磁头、1扇区的主引导记录内容到内存指定单元，然后将控制权转移给MBR中的程序指令。所述自举是指当BIOS完成自检后读取硬盘中的MBR，并把它放到内存中去。MBR中的程序指令先于所有的操作系统而被调入内存，并发挥作用。一般来说，MBR程序指令的主要功能如下检查硬盘分区表是否完好；在分区表中寻找标记为可引导的分区；将可引导的分区的第一逻辑扇区内容装入内存；将系统控制权转移给上一步骤装入的内存地址。Linux是一套免费使用和自由传播的类Unix操作系统，是一个基于POSIX(PortableOperatingSystemInterfaceforUNIX，UNIX可移植操作)和UNIX的多用户、多任务、支持多线程和多CPU的实时性较好的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想，是一个性能稳定的多用户网络操作系统。它主要用于基于Intelx86系列CPU的计算机上。Linux开放源代码，可以根据需要进行裁减，经过裁减的Linux系统大小甚至可以小于1Mb。FreeBSD是一种运行在Intel平台上、可以自由使用的Unix系统，它可以从Internet上免费获得。它可靠性高，网络性能强，安全性高，兼容性强。在UNIX操作系统上编写的其它应用程序，源代码经过少量的修改或不修改就可在Freebsd平台上编译执行。FreeBSD与Linux一样都属于开源软件，但FreeBSD实行了一种比Linux协议更开放的版权协议。FreeBSD允许第三方商业公司在FreeBSD平台上开发属于自己版权的应用软件，或对FreeBSD系统本身修改，而不需公开源码。基于USBKey的身份认证USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码学算法实现对用户身份的认证。USBKey目前主要用途是两种一是保护软件版权；二是作为网上安全的电子证书容器及身份识别标志使用。基于USBKey的身份认证是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。每个USBKey硬件都具有用户PIN(PersonalIndentityNumber，个人识别码)保护，以实现双因子认证功能。参见图1，本发明提供了一种实现计算机的开机保护方法，所述方法包括以下步骤用户启动计算机，主板BIOS进行自举后，将控制权转交给新MBR，并由新MBR再将控制权转交给精简操作系统，精简操作系统启用一段程序，与信息安全设备相关连，并利用该信息安全设备验证用户身份，如果验证通过，完成开机保护；否则验证失败，计算机进入异常处理状态。本实施例信息安全设备以USBKey为例(也可以为软盘或光盘等)。该方法具体步骤如下步骤101利用安装工具程序将计算机硬盘上原有的MBR程序剪切到硬盘的指定区域，这里的指定区域可以是硬盘上除MBR区域的任一区域。步骤102将新开发的MBR程序装入所述硬盘的MBR区域，当这个新MBR程序运行时，能够自动读取精简操作系统。步骤103利用安装工具程序将精简操作系统装入硬盘的另一指定区域，这里的指定区域可以为硬盘中的与原有MBR剪切到的区域不同的任一区域。其中精简操作系统是一个开放源代码的系统，利用源代码配置工具把原操作系统中不必要的模块去掉后重新编译，就可以得到所需的精简操作系统，这种精简操作系统可以弥补原有操作系统对USB不能很好兼容的问题，其具体功能可根据需要自行编译，本实施例的精简操作系统的主要功能是能识别任意USB，达到兼容所有USB的目的，且与USBkey进行交互操作，达到验证用户身份。具体的精简操作系统可以是经过裁减的Linux系统或经过裁减的FreeBSD系统等，在这个精简操作系统中预先放入一段特定程序，系统运行时可以通过该特定程序访问USB设备。步骤101至步骤103为系统初始化过程，系统初始化完成后，所述计算机的开机保护方法具体实现过程如下步骤104用户启动计算机时，主板BIOS进行自举后，将控制权转移给新MBR程序。步骤105新MBR程序运行后，将系统控制权移交给精简操作系统。步骤106精简操作系统启用一段程序，与USBKey相关连，并利用该USBKey验证用户身份，如果验证通过，完成开机保护；否则验证失败，计算机进入异常处理状态。参见图2，精简操作系统与USBKey交互操作，对用户身份的具体验证过程如下步骤201精简操作系统运行，检查用户是否插入USBKey，如果已经插入了USBKey，执行步骤202，否则执行步骤203。步骤202利用USBKey验证用户是否合法，如果是，进行步骤204；否则进行步骤205；这里具体验证方法包括但以下方法1)验证用户输入的PIN码是否能够通过USBKey验证；2)验证用户的生物特征是否能够通过USBKey验证，例如指纹、声音、视网膜等；3)验证用户提供的USBKey中是否包含合法的数据，这个合法数据包括用户身份相关信息、数字证书等；4)验证用户提供的USBKey是否具有指定的硬件序列号；5)将一些数据发送给USBKey进行运算，检查运算结果是否是期望的。步骤203提示用户插入USBKey，并转到步骤201。步骤204用户通过身份验证，计算机继续正常启动，即由精简操作系统把系统控制权转移给原MBR程序，或者跳过原MBR程序指令，直接将控制权转交给下一程序指令，即原MBR即将转交控制权的对象(如开机画面)，在这一过程中也有可能需要对数据进行解密还原。步骤205判断本次开机后用户失败的验证次数是否达到设定值，若达到该设定值，进行步骤206，否则返回步骤202，重新进行身份验证。步骤206用户的验证次数已经超过该设定值，程序进入异常处理状态。该过程的实现是由精简操作系统运行的一段程序指令，结合USBKey共同实现的。参见图3，本发明同时提供了一种实现计算机的开机保护装置，所述装置包括初始化系统模块、验证程序模块和信息安全设备；所述初始化系统模块用于将计算机硬盘上原有的MBR程序剪切，并放到硬盘的指定区域，将开发的新MBR程序装入所述硬盘的MBR区域和将精简操作系统装入所述硬盘的另一指定区域，同时还用于配置USBKey的相关信息，并与验证程序模块相关联；所述验证程序模块与配置的USBKey相关联，用于控制权的转移、结合信息安全设备对用户身份进行验证以及数据的还原；所述信息安全设备用于完成用户身份的验证。所述验证程序模块中对用户身份的具体验证方法包括以下方法验证用户输入的PIN码是否合法；验证用户的生物特征是否合法；验证用户提供的信息安全设备中是否包含合法数据，这个合法数据包括用户身份相关信息、数字证书等；验证用户提供的信息安全设备是否具有合法的硬件序列号；将一些数据发送给信息安全设备进行运算，检查运算结果是否合法。该装置中所述信息安全设备为USBKey。利用本发明所述的技术方案，用户的身份信息存储在USBKey中，通过USBKey验证用户身份的合法性，将用户的物理身份与数字身份进行绑定，其他人不可能通过猜测得到合法用户的密码，实现了对计算机开机的保护。同时利用精简操作系统的兼容性好的特点解决了不同计算机使用不同的芯片组在访问USB时存在差异的困难。以上所述的实施例，只是本发明较优选的具体实施方式的一种，本领域的技术人员在本发明技术方案范围内进行的通常变化和替换，都应包含在本发明的保护范围内。权利要求1.一种实现计算机的开机保护方法，其特征在于，所述方法具体包括在硬盘上装入新MBR程序和精简操作系统，并执行以下步骤步骤A用户启动计算机时，主板BIOS进行自举后，将控制权转移给新MBR程序；步骤B所述新MBR程序运行后，将系统控制权移交给精简操作系统；步骤C所述精简操作系统与信息安全设备相关连，所述信息安全设备验证用户身份，如果验证通过，完成开机保护；否则验证失败，计算机进入异常处理状态。2.如权利要求1所述的一种实现计算机的开机保护方法，其特征在于，所述在硬盘上装入新MBR程序和精简操作系统具体包括以下步骤步骤A′将计算机硬盘上原有的MBR程序剪切，并放到硬盘的指定区域；步骤B′将开发的新MBR程序装入所述硬盘的MBR区域；步骤C′将精简操作系统装入硬盘的另一指定区域。3.如权利要求1或2所述的一种实现计算机的开机保护方法，其特征在于，所述验证用户身份具体包括以下步骤步骤C1检查用户是否插入信息安全设备，如果已经插入所述信息安全设备，执行步骤C2，否则执行步骤C3；步骤C2利用所述信息安全设备验证用户身份是否合法，如果是，进行步骤C4；否则进行步骤C5；步骤C3提示用户插入所述信息安全设备，并转到步骤C1；步骤C4用户通过身份验证，计算机继续正常启动；步骤C5判断本次开机后用户失败的验证次数是否达到设定值，若达到该设定值，计算机进入异常处理状态；否则返回步骤C2。4.如权利要求3所述的一种实现计算机的开机保护方法，其特征在于，所述信息安全设备为USBKey。5.如权利要求3所述的一种实现计算机的开机保护方法，其特征在于，所述步骤C2中的验证用户身份是否合法的具体方法包括以下方法验证用户输入的PIN码是否合法；验证用户的生物特征是否合法；验证用户提供的信息安全设备中是否包含合法数据；验证用户提供的信息安全设备是否具有合法的硬件序列号；验证将一些数据发送给信息安全设备进行运算，检查运算结果是否合法。6.如权利要求3所述的一种实现计算机的开机保护方法，其特征在于，所述步骤C4中的计算机继续正常启动是指精简操作系统把系统控制权转移给原MBR程序，或者跳过原MBR程序指令，直接将控制权转交给下一程序指令。7.一种实现计算机的开机保护装置，其特征在于，所述装置包括初始化系统模块、验证程序模块和信息安全设备；所述初始化系统模块用于将计算机硬盘上原有的MBR程序剪切，并放到硬盘的指定区域，将开发的新MBR程序装入所述硬盘的MBR区域和将精简操作系统装入硬盘的另一指定区域，同时还用于配置USBKey的相关信息，并与验证程序模块相关联；所述验证程序模块与配置的USBKey相关联，用于控制权的转移、结合信息安全设备对用户身份进行验证以及数据的还原；所述信息安全设备用于完成用户身份的验证。8.如权利要求7所述的一种实现计算机的开机保护装置，其特征在于，所述验证程序模块中对用户身份的具体验证方法包括以下方法验证用户输入的PIN码是否合法；验证用户的生物特征是否合法；验证用户提供的信息安全设备中是否包含合法数据；验证用户提供的信息安全设备是否具有合法的硬件序列号；验证将一些数据发送给信息安全设备进行运算，检查运算结果是否合法。9.如权利要求7或8所述的一种实现计算机的开机保护装置，其特征在于，所述信息安全设备为USBKey。全文摘要本发明提供了一种实现计算机的开机保护方法及装置，涉及信息安全领域。为了解决现有技术计算机开机保护方法存在安全隐患的缺点，本发明提供一种实现计算机的开机保护方法，所述方法包括用户启动计算机后，由自行编写的程序结合信息安全设备验证用户身份的步骤。本发明同时提供了一种实现计算机的开机保护装置，所述装置包括初始化系统模块、验证程序模块和信息安全设备。本发明在开机时利用USBKey对用户身份进行验证，达到了用户的物理身份与数字身份的绑定，并对计算机的开机进行了安全、可靠的保护，同时利用精简操作系统的兼容性好的特点克服了不同计算机使用不同的芯片组在访问USB时存在差异的困难。文档编号G06F9/445GK1869999SQ20061009052公开日2006年11月29日申请日期2006年6月28日优先权日2006年6月28日发明者陆舟,于华章申请人:北京飞天诚信科技有限公司