專利名稱：具有硬盤數(shù)據(jù)保護(hù)功能的計(jì)算機(jī)開機(jī)身份認(rèn)證方法
技術(shù)領(lǐng)域：
本發(fā)明屬于計(jì)算機(jī)系統(tǒng)安全領(lǐng)域，涉及一種計(jì)算機(jī)開機(jī)身份認(rèn)證方法，用于控制 對計(jì)算機(jī)的非授權(quán)使用和硬盤數(shù)據(jù)的保護(hù)。
背景技術(shù)：
為了保障用戶計(jì)算機(jī)系統(tǒng)的安全，避免他人未授權(quán)使用，通常采用計(jì)算機(jī)開機(jī)身 份認(rèn)證技術(shù)，在計(jì)算機(jī)開機(jī)啟動過程中通過輸入密碼來鑒別用戶身份。 一般的計(jì)算機(jī)
系統(tǒng)通常提供兩種開機(jī)身份認(rèn)證技術(shù) 一是基于基本輸入輸出系統(tǒng)(Basic I叩ut Output System, BIOS)級的開機(jī)身份認(rèn)證，簡稱BIOS密碼認(rèn)證，即預(yù)先在計(jì)算機(jī)BIOS上設(shè)置 密碼，在開機(jī)啟動BIOS時提示輸入密碼進(jìn)行身份認(rèn)證；二是基于操作系統(tǒng)級的開機(jī)身 份認(rèn)證，簡稱操作系統(tǒng)密碼認(rèn)證，即預(yù)先在操作系統(tǒng)中設(shè)置密碼或者生物特征(如指紋 等)，在加載操作系統(tǒng)時提示輸入密碼或生物特征進(jìn)行身份認(rèn)證。 這兩種開機(jī)身份認(rèn)證技術(shù)都存在兩個安全缺陷-
(1) 不能有效地保護(hù)計(jì)算機(jī)硬盤數(shù)據(jù)。如果將設(shè)有密碼的計(jì)算機(jī)上的硬盤取下， 掛接在另一臺計(jì)算機(jī)上，作為該計(jì)算機(jī)的第二塊硬盤(一般的計(jì)算機(jī)都允許安裝兩塊硬 盤)，便能夠打開和讀取該硬盤中所存儲的任何文件，硬盤中所存儲的敏感信息就可能 被泄漏，無法保證硬盤中的數(shù)據(jù)安全。這個問題在計(jì)算機(jī)丟失或硬盤被盜的情況下非 常突出。
(2) 自主型開機(jī)身份認(rèn)證。上述開機(jī)身份認(rèn)證方法都屬于自主型的，用戶可以設(shè) 置開機(jī)認(rèn)證密碼，也不可以設(shè)置，還可以隨意取消。從系統(tǒng)安全等級來看，這種自主 型開機(jī)身份認(rèn)證的安全性較低，不適合在安全性要求較高的環(huán)境中使用。

發(fā)明內(nèi)容
為了克服現(xiàn)有技術(shù)存在安全缺陷的不足，本發(fā)明提供一種計(jì)算機(jī)開機(jī)身份認(rèn)證方 法，能夠增強(qiáng)計(jì)算機(jī)系統(tǒng)的安全性。該方法不僅具有開機(jī)身份認(rèn)證功能，并且具有硬 盤數(shù)據(jù)保護(hù)功能，即在未通過計(jì)算機(jī)開機(jī)身份認(rèn)證的情況下，存儲在硬盤中的文件不 能通過其它任何途徑(如作為另一臺計(jì)算機(jī)的第二塊硬盤)來讀取，并且在計(jì)算機(jī)開機(jī) 啟動時實(shí)行強(qiáng)制性身份認(rèn)證。
本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案包括以下步驟(1) 準(zhǔn)備階段首先，每個被保護(hù)的計(jì)算機(jī)需要配備一個普通的USB盤(簡稱U 盤)，格式化后插入到被保護(hù)的計(jì)算機(jī)上。然后在該計(jì)算機(jī)上執(zhí)行如下操作
① 以磁盤扇區(qū)讀寫方式將硬盤中的引導(dǎo)扇區(qū)、磁盤分區(qū)表信息和操作系統(tǒng)啟動扇 區(qū)復(fù)制在U盤的空閑扇區(qū)上；
② 提示用戶輸入一個不少于6個字符的密碼，將密碼信息以磁盤扇區(qū)讀寫方式存 儲在U盤的空閑扇區(qū)上；
③ 以磁盤扇區(qū)讀寫方式將新引導(dǎo)程序?qū)懭胍龑?dǎo)扇區(qū)，新引導(dǎo)程序可執(zhí)行U盤設(shè)備 識別、身份認(rèn)證和磁盤分區(qū)表信息恢復(fù)步驟；
所述的新引導(dǎo)程序包括以下步驟-
(a) U盤設(shè)備識別步驟使引導(dǎo)程序能夠識別出U盤，具有U盤讀寫能力。這 是最為關(guān)鍵的步驟，可以采用兩種方法來實(shí)現(xiàn) 一是使用具有U盤啟動功能的計(jì) 算機(jī)，即計(jì)算機(jī)的BIOS支持U盤啟動功能，將這類計(jì)算機(jī)設(shè)置成U盤啟動即可； 二是用匯編程序編寫U盤設(shè)備驅(qū)動程序，在U盤引導(dǎo)程序中加載，這種方法可以
采用與u盤生產(chǎn)廠商合作，由廠商來提供u盤設(shè)備驅(qū)動程序開發(fā)軟件。
(b) 身份認(rèn)證步驟提示用戶輸入密碼，與U盤中所預(yù)留的密碼進(jìn)行比較，對 于用戶輸入的錯誤密碼，給出錯誤提示信息；
(C)磁盤分區(qū)表信息和操作系統(tǒng)引導(dǎo)扇區(qū)恢復(fù)步驟如果通過了身份認(rèn)證，則從 U盤上讀出原始的磁盤分區(qū)表信息和操作系統(tǒng)引導(dǎo)扇區(qū)，并寫入磁盤中相應(yīng)的位 置上，恢復(fù)原始磁盤分區(qū)表信息和操作系統(tǒng)引導(dǎo)扇區(qū)信息；
(d)將U盤中所記錄的磁盤原始引導(dǎo)扇區(qū)讀入內(nèi)存中指定的位置，轉(zhuǎn)入執(zhí)行原 始引導(dǎo)程序。
用全"O"覆蓋硬盤上磁盤分區(qū)表和操作系統(tǒng)啟動扇區(qū)，使硬盤處于"未知系統(tǒng)" 狀態(tài)；
退出U盤。
以后，這個U盤便是開啟該計(jì)算機(jī)的"鑰匙"，需要妥善保管。
(2) 工作階段被保護(hù)的il算機(jī)每次加電啟動前，首先插入作為"鑰匙"的U盤， 然后加電開機(jī)。系統(tǒng)的執(zhí)行過程如下 '
①當(dāng)系統(tǒng)進(jìn)入磁盤引導(dǎo)階段后，自動執(zhí)行硬盤引導(dǎo)扇區(qū)中修改后的引導(dǎo)程序，該引導(dǎo)程序首先提示用戶輸入一個密碼，然后與存儲在U盤上的預(yù)留密碼相比對，如果 兩者相同，則繼續(xù)執(zhí)行后續(xù)操作；否則，給出錯誤提示信息，等待重新輸入。
② 當(dāng)密碼驗(yàn)證通過后，引導(dǎo)程序?qū)⒋鎯υ赨盤上的原硬盤磁盤分區(qū)表信息和操作 系統(tǒng)引導(dǎo)扇區(qū)復(fù)制到硬盤的原來位置上，即恢復(fù)原始硬盤磁盤分區(qū)表和操作系統(tǒng)引導(dǎo) 扇區(qū)信息。
③ 執(zhí)行原存儲在U盤中的引導(dǎo)扇區(qū)的原始引導(dǎo)程序，加載磁盤分區(qū)表信息，并根 據(jù)磁盤分區(qū)表信息加載操作系統(tǒng)啟動程序。
④ 由于磁盤分區(qū)表信息在啟動操作系統(tǒng)時被加載到計(jì)算機(jī)內(nèi)存中，以后不會再從 硬盤上讀取。因此在操作系統(tǒng)啟動完成前，需要重新用全"O"覆蓋硬盤上磁盤分區(qū)表， 再次置于"未知系統(tǒng)"狀態(tài)。這樣，在計(jì)算機(jī)關(guān)機(jī)后，硬盤上磁盤分區(qū)表仍處于"未知系 統(tǒng)"狀態(tài)。
可見，本方法是在原始引導(dǎo)程序執(zhí)行前使系統(tǒng)提前執(zhí)行新引導(dǎo)程序，在新引導(dǎo)程 序中進(jìn)行身份認(rèn)證，身份認(rèn)證通過后，再執(zhí)行原始引導(dǎo)程序。
本發(fā)明的有益效果是本發(fā)朋將計(jì)算機(jī)開機(jī)身份認(rèn)證和磁盤數(shù)據(jù)保護(hù)有機(jī)結(jié)合起 來，由于計(jì)算機(jī)關(guān)機(jī)后硬盤上磁盤分區(qū)表處于"未知系統(tǒng)"狀態(tài)，即使將該計(jì)算機(jī)的硬 盤取下，掛接在另一臺計(jì)算機(jī)上，也會因?yàn)槿狈τ行У拇疟P分區(qū)表信息而無法識別和 打開該硬盤。因此不僅具有計(jì)算機(jī)開機(jī)身份認(rèn)證功能，并且還提供了磁盤數(shù)據(jù)保護(hù)功 能，有效地保護(hù)了硬盤中所存儲的數(shù)據(jù)文件，避免了因計(jì)算機(jī)丟失或硬盤被盜而引起 的敏感信息泄漏，大大提高了硬盤數(shù)據(jù)的安全性。
以本發(fā)明為基礎(chǔ)開發(fā)的原型系統(tǒng)在多臺計(jì)算機(jī)上進(jìn)行了反復(fù)的功能測試、性能測 試和可靠性測試。從測試結(jié)果來看，本方法達(dá)到如下效果-
(1) 用戶密碼和原始硬盤磁盤分區(qū)表等重要信息存儲在u盤上，u盤與被保護(hù) 的計(jì)算機(jī)相分離，實(shí)現(xiàn)雙因子認(rèn)證，并且u盤可以隨身攜帶，安全可靠。
(2) 將計(jì)算機(jī)開機(jī)身份認(rèn)證和磁盤數(shù)據(jù)保護(hù)有機(jī)結(jié)合起來，只有插入U盤并輸 入正確的密碼后，才能正確地引導(dǎo)和啟動操作系統(tǒng)，而不能通過其它途徑打開和讀取 硬盤數(shù)據(jù)文件，硬盤數(shù)據(jù)保護(hù)能力強(qiáng)。
(3) 使用普通的U盤作為"鑰匙"，成本很低，便于大規(guī)模應(yīng)用。 下面結(jié)合實(shí)施例對本發(fā)明進(jìn)一步說明。
具體實(shí)施例方式
本發(fā)明實(shí)現(xiàn)時的具體步驟實(shí)現(xiàn)如下
(1) 準(zhǔn)備階段首先，配備一個朗科1G的普通USB盤(簡稱U盤)，將該U盤格
式化成FAT格式后插入到被保護(hù)的計(jì)算機(jī)上。然后在該計(jì)算機(jī)上執(zhí)行如下操作
① 以磁盤扇區(qū)讀寫方式將硬盤中的引導(dǎo)扇區(qū)、磁盤分區(qū)表信息和操作系統(tǒng)啟動扇
區(qū)復(fù)制在U盤的空閑扇區(qū)上，此處的空閑扇區(qū)是002扇區(qū)和003扇區(qū)；
② 提示用戶輸入一個不少于6個字符的密碼，將密碼信息以磁盤扇區(qū)讀寫方式存 儲在U盤的空閑扇區(qū)上，此處的空閑扇區(qū)是004扇區(qū)，輸入的密碼為12345678;
③ 以磁盤扇區(qū)讀寫方式將新引導(dǎo)程序?qū)懭胍龑?dǎo)扇區(qū)，新引導(dǎo)程序可執(zhí)行U盤設(shè) 備識別、身份認(rèn)證和磁盤分區(qū)表信息恢復(fù)步驟；
通過以下步驟來實(shí)現(xiàn)新引導(dǎo)扇區(qū)的功能
*U盤設(shè)備識別步驟使用具有U盤啟動功能的計(jì)算機(jī)，即計(jì)算機(jī)的BIOS支
持U盤啟動功能，將這類計(jì)算機(jī)設(shè)置成U盤啟動即可； *身份認(rèn)證步驟提示用戶輸入密碼，與U盤中所預(yù)留的密碼進(jìn)行比較，對于
用戶輸入的錯誤密碼，給出錯誤提示信息。首先輸入123456，系統(tǒng)提示以下
信息"用戶密碼輸入錯誤，請重新輸入！"，并等待用戶的再次輸入。再次輸
入12345678，密碼驗(yàn)證通過，系統(tǒng)繼續(xù)執(zhí)行后續(xù)的操作。； *磁盤分區(qū)表信息和操作系統(tǒng)引導(dǎo)扇區(qū)恢復(fù)步驟如果通過了身份認(rèn)證，則從
u盤上讀出原始的磁盤分區(qū)表信息和操作系統(tǒng)引導(dǎo)扇區(qū)，并寫入磁盤中相應(yīng) 的位置上，恢復(fù)原始磁盤分區(qū)表信息和操作系統(tǒng)引導(dǎo)扇區(qū)信息；
*將u盤中所記錄的磁盤原始引導(dǎo)扇區(qū)讀入內(nèi)存中指定的位置，轉(zhuǎn)入執(zhí)行原始
引導(dǎo)程序。
用全"o"覆蓋硬盤上磁盤分區(qū)表和操作系統(tǒng)啟動扇區(qū)，使硬盤處于"未知系統(tǒng)"
狀態(tài)；
退出U盤。
(2) 工作階段被保護(hù)的計(jì)算機(jī)每次加電啟動前，首先插入作為"鑰匙"的U盤， 然后加電開機(jī)。系統(tǒng)的執(zhí)行過程如下
①當(dāng)系統(tǒng)進(jìn)入磁盤引導(dǎo)階段后，自動執(zhí)行硬盤引導(dǎo)扇區(qū)中修改后的引導(dǎo)程序，該引導(dǎo)程序首先提示用戶輸入一個密碼，然后與存儲在U盤上的預(yù)留密碼相比對，如 果兩者相同，則繼續(xù)執(zhí)行后續(xù)操作；否則，給出錯誤提示信息，等待重新輸入。
② 當(dāng)密碼驗(yàn)證通過后，引導(dǎo)程序?qū)⒋鎯υ赨盤上的原硬盤磁盤分區(qū)表信息和操 作系統(tǒng)引導(dǎo)扇區(qū)復(fù)制到硬盤的原來位置上，即恢復(fù)原始硬盤磁盤分區(qū)表和操作系統(tǒng)引 導(dǎo)扇區(qū)信息。
③ 執(zhí)行原存儲在U盤中的引導(dǎo)扇區(qū)的原始引導(dǎo)程序，加載磁盤分區(qū)表信息，并 根據(jù)磁盤分區(qū)表信息加載操作系統(tǒng)啟動程序。
由于磁盤分區(qū)表信息在啟動操作系統(tǒng)時被加載到計(jì)算機(jī)內(nèi)存中，以后不會再從 硬盤上讀取。因此在操作系統(tǒng)啟動完成前，需要重新用全"O"覆蓋硬盤上磁盤分區(qū)表， 再次置于"未知系統(tǒng)"狀態(tài)。
權(quán)利要求
1、具有硬盤數(shù)據(jù)保護(hù)功能的計(jì)算機(jī)開機(jī)身份認(rèn)證方法，其特征在于包括下述步驟(1)準(zhǔn)備階段首先，每個被保護(hù)的計(jì)算機(jī)需要配備一個U盤，格式化后插入到被保護(hù)的計(jì)算機(jī)上；然后在該計(jì)算機(jī)上執(zhí)行如下操作①以磁盤扇區(qū)讀寫方式將硬盤中的引導(dǎo)扇區(qū)、磁盤分區(qū)表信息和操作系統(tǒng)啟動扇區(qū)復(fù)制在U盤的空閑扇區(qū)上；②提示用戶輸入一個不少于6個字符的密碼，將密碼信息以磁盤扇區(qū)讀寫方式存儲在U盤的空閑扇區(qū)上；③以磁盤扇區(qū)讀寫方式將新引導(dǎo)程序?qū)懭胍龑?dǎo)扇區(qū)，新引導(dǎo)程序可執(zhí)行U盤設(shè)備識別、身份認(rèn)證和磁盤分區(qū)表信息恢復(fù)步驟；④用全0覆蓋硬盤上磁盤分區(qū)表和操作系統(tǒng)啟動扇區(qū)，使硬盤處于未知系統(tǒng)狀態(tài)；⑤退出U盤；(2)工作階段被保護(hù)的計(jì)算機(jī)每次加電啟動前，首先插入U盤，然后加電開機(jī)，系統(tǒng)的執(zhí)行過程如下①當(dāng)系統(tǒng)進(jìn)入磁盤引導(dǎo)階段后，自動執(zhí)行硬盤引導(dǎo)扇區(qū)中修改后的引導(dǎo)程序，該引導(dǎo)程序首先提示用戶輸入一個密碼，然后與存儲在U盤上的預(yù)留密碼相比對，如果兩者相同，則繼續(xù)執(zhí)行后續(xù)操作；否則，給出錯誤提示信息，等待重新輸入；②當(dāng)密碼驗(yàn)證通過后，引導(dǎo)程序?qū)⒋鎯υ赨盤上的原硬盤磁盤分區(qū)表信息和操作系統(tǒng)引導(dǎo)扇區(qū)復(fù)制到硬盤的原來位置上；③執(zhí)行原存儲在U盤中的引導(dǎo)扇區(qū)的原始引導(dǎo)程序，加載磁盤分區(qū)表信息，并根據(jù)磁盤分區(qū)表信息加載操作系統(tǒng)啟動程序；④在操作系統(tǒng)啟動完成前，重新用全0覆蓋硬盤上磁盤分區(qū)表，再次置于未知系統(tǒng)狀態(tài)。
2、 根據(jù)權(quán)利要求1所述的具有硬盤數(shù)據(jù)保護(hù)功能的計(jì)算機(jī)開機(jī)身份認(rèn)證方法， 其特征在于所述的新引導(dǎo)程序包括以下步驟 (a)U盤設(shè)備識別步驟使用具有U盤啟動功能的計(jì)算機(jī)，將這類計(jì)算機(jī)設(shè)置成U盤啟動即可；或者用匯編程序編寫U盤設(shè)備驅(qū)動程序，在U盤引導(dǎo)程序中 加載；(b)身份認(rèn)證步驟提示用戶輸入密碼，與U盤中所預(yù)留的密碼進(jìn)行比較，對 于用戶輸入的錯誤密碼，給出錯誤提示信息；(C)磁盤分區(qū)表信息和操作系統(tǒng)引導(dǎo)扇區(qū)恢復(fù)步驟從U盤上讀出原始的磁盤 分區(qū)表信息和操作系統(tǒng)引導(dǎo)扇區(qū)，并寫入磁盤中相應(yīng)的位置上，恢復(fù)原始磁盤分 區(qū)表信息和操作系統(tǒng)引導(dǎo)扇區(qū)信息；(d)將U盤中所記錄的磁盤原始引導(dǎo)扇區(qū)讀入內(nèi)存中指定的位置，轉(zhuǎn)入執(zhí)行原 始引導(dǎo)程序。
全文摘要
本發(fā)明公開了一種具有硬盤數(shù)據(jù)保護(hù)功能的計(jì)算機(jī)開機(jī)身份認(rèn)證方法，將U盤格式化后插入到計(jì)算機(jī)上，將硬盤中的引導(dǎo)扇區(qū)、磁盤分區(qū)表信息和操作系統(tǒng)啟動扇區(qū)復(fù)制到U盤，存儲密碼信息到U盤，將新引導(dǎo)程序?qū)懭胍龑?dǎo)扇區(qū)，使硬盤處于未知系統(tǒng)狀態(tài)，退出U盤；插入U盤后啟動計(jì)算機(jī)，執(zhí)行硬盤中修改后的引導(dǎo)程序，提示輸入密碼，與預(yù)留密碼比對，若相同，則將原硬盤磁盤分區(qū)表信息和操作系統(tǒng)引導(dǎo)扇區(qū)復(fù)制到硬盤上；執(zhí)行原始引導(dǎo)程序，啟動程序；在操作系統(tǒng)啟動完成前，再次置于未知系統(tǒng)狀態(tài)。本發(fā)明有效地保護(hù)了硬盤中所存儲的數(shù)據(jù)文件，大大提高了硬盤數(shù)據(jù)的安全性。
文檔編號G06F21/00GK101520830SQ20091002191
公開日2009年9月2日 申請日期2009年4月8日 優(yōu)先權(quán)日2009年4月8日
發(fā)明者丁軍平, 蔡皖東, 馬富達(dá) 申請人:西北工業(yè)大學(xué)