專利名稱:一種計(jì)算機(jī)安全啟動(dòng)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)啟動(dòng)��,具體來說�����,提供了一種通過加密卡設(shè)置啟動(dòng)以及啟動(dòng)權(quán)限的方法���。
背景技術(shù):
隨著信息安全的深入和泄密事件的時(shí)有發(fā)生,計(jì)算機(jī)安全越來越受到重視�。計(jì)算機(jī)啟動(dòng)是計(jì)算機(jī)的第一道保護(hù)屏障自然也受到了廣泛關(guān)注��,傳統(tǒng)的做法是在BIOS中設(shè)置開機(jī)密碼���,每次啟動(dòng)計(jì)算機(jī)輸入正確的開機(jī)密碼才能啟動(dòng)并使用計(jì)算機(jī)。這種做法雖然有一定的保護(hù)作用���,但由于密碼長度短�����、密碼復(fù)雜度低很容易被暴力破解��;同樣由于開機(jī)密碼保存在BIOS的RAM中���,可以通過重插主板電池來清除,某種意義上來說是形同虛設(shè)���。
發(fā)明內(nèi)容
為了加強(qiáng)計(jì)算機(jī)的啟動(dòng)安全����,有效的防止非授權(quán)用戶啟動(dòng)計(jì)算機(jī)���,同時(shí)根據(jù)功能部分的授權(quán)情況對(duì)計(jì)算機(jī)硬件訪問進(jìn)行控制�,對(duì)計(jì)算機(jī)硬件進(jìn)行細(xì)粒度的權(quán)限控制�����。本發(fā)明提供了一種計(jì)算機(jī)安全啟動(dòng)的方法��。一種計(jì)算機(jī)安全啟動(dòng)的方法��,將BIOS分為啟動(dòng)部分和功能部分����,功能部分寫入到智能卡中,啟動(dòng)時(shí)將智能卡插入主機(jī)完成啟動(dòng)��。優(yōu)選的�,所述BIOS的啟動(dòng)部分存儲(chǔ)在主機(jī)的CMOS中,每次啟動(dòng)時(shí)����,BIOS啟動(dòng)部分只負(fù)責(zé)引導(dǎo)和初始化與智能卡通信的硬件部分,從智能卡解密出BIOS功能部分和硬件訪問授權(quán)部分����,然后加載BIOS功能部分,BIOS功能部分首先驗(yàn)證BIOS的完整性����,之后根據(jù)硬件訪問授權(quán)部分加載授權(quán)的硬件��,最后弓I導(dǎo)操作系統(tǒng)啟動(dòng)�����。優(yōu)選的��,所述功能部分在加密卡中加密保存���。優(yōu)選的,所述智能卡插入主機(jī)后由用戶使用用戶名和密碼進(jìn)行解鎖�����。優(yōu)選的���,所述硬件訪問授權(quán)部分是根據(jù)用戶權(quán)限將主機(jī)的硬件信息和授權(quán)信息寫入到BIOS功能部分中�,根據(jù)加密卡的用戶名和密碼決定權(quán)限���。優(yōu)選的�����,所述與智能卡通信的硬件部分包括串口和USB 口���。優(yōu)選的,所述智能卡可以根據(jù)用戶數(shù)量每人分發(fā)一個(gè)��,為不同的用戶寫入不同的硬件訪問權(quán)限來啟動(dòng)計(jì)算機(jī)����。優(yōu)選的,所述智能卡可以存儲(chǔ)計(jì)算機(jī)的唯一標(biāo)識(shí)或唯一密鑰來達(dá)到只能該存儲(chǔ)卡啟動(dòng)主機(jī)���。本發(fā)明加強(qiáng)了計(jì)算機(jī)的啟動(dòng)的安全性�����,有效的防止非授權(quán)用戶啟動(dòng)計(jì)算機(jī)��,同時(shí)細(xì)粒度的對(duì)計(jì)算機(jī)硬件訪問進(jìn)行控制��。
圖1是本發(fā)明中BIOS示意圖
具體實(shí)施例方式本發(fā)明將傳統(tǒng)的BIOS劃分為啟動(dòng)部分和功能部分��,將啟動(dòng)部分燒寫到一次性的 RAM中��,只負(fù)責(zé)引導(dǎo)和初始化與智能卡通信的硬件設(shè)備��,且不能被其他軟件修改��,功能部分保存到智能卡中同時(shí)使用密碼算法保護(hù)�。計(jì)算機(jī)BIOS只存儲(chǔ)啟動(dòng)部分,無功能部分�,當(dāng)啟動(dòng)計(jì)算機(jī)時(shí)從BIOS啟動(dòng)部分啟動(dòng),初始化基本設(shè)備(USB和串口)��,通過基本設(shè)備將BIOS功能部分和硬件訪問授權(quán)部分從智能卡中解密出來��,加載到計(jì)算機(jī)中裝成完整的BIOS�����,同時(shí)完成BIOS完整性校驗(yàn)��。校驗(yàn)通過后方可啟動(dòng)計(jì)算機(jī)。可以根據(jù)用戶的權(quán)限不同將計(jì)算機(jī)硬件信息和授權(quán)信息寫入到智能卡保存的 BIOS功能部分中�,BIOS根據(jù)授權(quán)信息來控制哪些硬件可以加載使用�����,哪些硬件不能加載使用��。加強(qiáng)了計(jì)算機(jī)的啟動(dòng)安全性和使用受控性。也可以將計(jì)算機(jī)唯一標(biāo)識(shí)(或唯一密鑰)寫入信息BIOS啟動(dòng)和功能部分���,就可以實(shí)現(xiàn)一個(gè)主板只有一個(gè)智能卡才能啟動(dòng)(可以通過特殊工具和正確密鑰備份)�����。
權(quán)利要求
1.一種計(jì)算機(jī)安全啟動(dòng)的方法,其特征在于將BIOS分為啟動(dòng)部分和功能部分��,功能部分寫入到智能卡中�����,啟動(dòng)時(shí)將智能卡插入主機(jī)完成啟動(dòng)���。
2.如權(quán)利要求1所述的方法���,其特征在于所述BIOS的啟動(dòng)部分存儲(chǔ)在主機(jī)的CMOS 中,每次啟動(dòng)時(shí)�����,BIOS啟動(dòng)部分只負(fù)責(zé)引導(dǎo)和初始化與智能卡通信的硬件部分��,從智能卡解密出BIOS功能部分和硬件訪問授權(quán)部分,然后加載BIOS功能部分����,BIOS功能部分首先驗(yàn)證BIOS的完整性,之后根據(jù)硬件訪問授權(quán)部分加載授權(quán)的硬件�����,最后引導(dǎo)操作系統(tǒng)啟動(dòng)���。
3.如權(quán)利要求1所述的方法���,其特征在于所述功能部分在加密卡中加密保存。
4.如權(quán)利要求2所述的方法���,其特征在于所述智能卡插入主機(jī)后由用戶使用用戶名和密碼進(jìn)行解鎖����。
5.如權(quán)利要求2所述的方法����,其特征在于所述硬件訪問授權(quán)部分是根據(jù)用戶權(quán)限將主機(jī)的硬件信息和授權(quán)信息寫入到BIOS功能部分中,根據(jù)加密卡的用戶名和密碼決定權(quán)限�����。
6.如權(quán)利要求2所述的方法,其特征在于所述與智能卡通信的硬件部分包括串口和 USB □����。
7.如權(quán)利要求1所述的方法,其特征在于所述智能卡可以根據(jù)用戶數(shù)量每人分發(fā)一個(gè)���,為不同的用戶寫入不同的硬件訪問權(quán)限來啟動(dòng)計(jì)算機(jī)。
8.如權(quán)利要求1所述的方法����,其特征在于所述智能卡可以存儲(chǔ)計(jì)算機(jī)的唯一標(biāo)識(shí)或唯一密鑰來達(dá)到只能該存儲(chǔ)卡啟動(dòng)主機(jī)。
全文摘要
本發(fā)明提供了一種計(jì)算機(jī)安全啟動(dòng)的方法�����,將BIOS分為啟動(dòng)部分和功能部分����,功能部分寫入到智能卡中,啟動(dòng)時(shí)將智能卡插入主機(jī)完成啟動(dòng)����。本發(fā)明加強(qiáng)了計(jì)算機(jī)的啟動(dòng)的安全性����,有效的防止非授權(quán)用戶啟動(dòng)計(jì)算機(jī)��,同時(shí)細(xì)粒度的對(duì)計(jì)算機(jī)硬件訪問進(jìn)行控制��。
文檔編號(hào)G06F21/20GK102298680SQ20111023096
公開日2011年12月28日 申請(qǐng)日期2011年8月12日 優(yōu)先權(quán)日2011年8月12日
發(fā)明者石旭, 郭旭 申請(qǐng)人:曙光信息產(chǎn)業(yè)(北京)有限公司