專利名稱:一種計算機安全啟動的方法
技術領域:
本發(fā)明涉及計算機啟動,具體來說,提供了一種通過加密卡設置啟動以及啟動權限的方法。
背景技術:
隨著信息安全的深入和泄密事件的時有發(fā)生,計算機安全越來越受到重視。計算機啟動是計算機的第一道保護屏障自然也受到了廣泛關注,傳統(tǒng)的做法是在BIOS中設置開機密碼,每次啟動計算機輸入正確的開機密碼才能啟動并使用計算機。這種做法雖然有一定的保護作用,但由于密碼長度短、密碼復雜度低很容易被暴力破解;同樣由于開機密碼保存在BIOS的RAM中,可以通過重插主板電池來清除,某種意義上來說是形同虛設。
發(fā)明內(nèi)容
為了加強計算機的啟動安全,有效的防止非授權用戶啟動計算機,同時根據(jù)功能部分的授權情況對計算機硬件訪問進行控制,對計算機硬件進行細粒度的權限控制。本發(fā)明提供了一種計算機安全啟動的方法。一種計算機安全啟動的方法,將BIOS分為啟動部分和功能部分,功能部分寫入到智能卡中,啟動時將智能卡插入主機完成啟動。優(yōu)選的,所述BIOS的啟動部分存儲在主機的CMOS中,每次啟動時,BIOS啟動部分只負責引導和初始化與智能卡通信的硬件部分,從智能卡解密出BIOS功能部分和硬件訪問授權部分,然后加載BIOS功能部分,BIOS功能部分首先驗證BIOS的完整性,之后根據(jù)硬件訪問授權部分加載授權的硬件,最后弓I導操作系統(tǒng)啟動。優(yōu)選的,所述功能部分在加密卡中加密保存。優(yōu)選的,所述智能卡插入主機后由用戶使用用戶名和密碼進行解鎖。優(yōu)選的,所述硬件訪問授權部分是根據(jù)用戶權限將主機的硬件信息和授權信息寫入到BIOS功能部分中,根據(jù)加密卡的用戶名和密碼決定權限。優(yōu)選的,所述與智能卡通信的硬件部分包括串口和USB 口。優(yōu)選的,所述智能卡可以根據(jù)用戶數(shù)量每人分發(fā)一個,為不同的用戶寫入不同的硬件訪問權限來啟動計算機。優(yōu)選的,所述智能卡可以存儲計算機的唯一標識或唯一密鑰來達到只能該存儲卡啟動主機。本發(fā)明加強了計算機的啟動的安全性,有效的防止非授權用戶啟動計算機,同時細粒度的對計算機硬件訪問進行控制。
圖1是本發(fā)明中BIOS示意圖
具體實施例方式本發(fā)明將傳統(tǒng)的BIOS劃分為啟動部分和功能部分,將啟動部分燒寫到一次性的 RAM中,只負責引導和初始化與智能卡通信的硬件設備,且不能被其他軟件修改,功能部分保存到智能卡中同時使用密碼算法保護。計算機BIOS只存儲啟動部分,無功能部分,當啟動計算機時從BIOS啟動部分啟動,初始化基本設備(USB和串口),通過基本設備將BIOS功能部分和硬件訪問授權部分從智能卡中解密出來,加載到計算機中裝成完整的BIOS,同時完成BIOS完整性校驗。校驗通過后方可啟動計算機??梢愿鶕?jù)用戶的權限不同將計算機硬件信息和授權信息寫入到智能卡保存的 BIOS功能部分中,BIOS根據(jù)授權信息來控制哪些硬件可以加載使用,哪些硬件不能加載使用。加強了計算機的啟動安全性和使用受控性。也可以將計算機唯一標識(或唯一密鑰)寫入信息BIOS啟動和功能部分,就可以實現(xiàn)一個主板只有一個智能卡才能啟動(可以通過特殊工具和正確密鑰備份)。
權利要求
1.一種計算機安全啟動的方法,其特征在于將BIOS分為啟動部分和功能部分,功能部分寫入到智能卡中,啟動時將智能卡插入主機完成啟動。
2.如權利要求1所述的方法,其特征在于所述BIOS的啟動部分存儲在主機的CMOS 中,每次啟動時,BIOS啟動部分只負責引導和初始化與智能卡通信的硬件部分,從智能卡解密出BIOS功能部分和硬件訪問授權部分,然后加載BIOS功能部分,BIOS功能部分首先驗證BIOS的完整性,之后根據(jù)硬件訪問授權部分加載授權的硬件,最后引導操作系統(tǒng)啟動。
3.如權利要求1所述的方法,其特征在于所述功能部分在加密卡中加密保存。
4.如權利要求2所述的方法,其特征在于所述智能卡插入主機后由用戶使用用戶名和密碼進行解鎖。
5.如權利要求2所述的方法,其特征在于所述硬件訪問授權部分是根據(jù)用戶權限將主機的硬件信息和授權信息寫入到BIOS功能部分中,根據(jù)加密卡的用戶名和密碼決定權限。
6.如權利要求2所述的方法,其特征在于所述與智能卡通信的硬件部分包括串口和 USB □。
7.如權利要求1所述的方法,其特征在于所述智能卡可以根據(jù)用戶數(shù)量每人分發(fā)一個,為不同的用戶寫入不同的硬件訪問權限來啟動計算機。
8.如權利要求1所述的方法,其特征在于所述智能卡可以存儲計算機的唯一標識或唯一密鑰來達到只能該存儲卡啟動主機。
全文摘要
本發(fā)明提供了一種計算機安全啟動的方法,將BIOS分為啟動部分和功能部分,功能部分寫入到智能卡中,啟動時將智能卡插入主機完成啟動。本發(fā)明加強了計算機的啟動的安全性,有效的防止非授權用戶啟動計算機,同時細粒度的對計算機硬件訪問進行控制。
文檔編號G06F21/20GK102298680SQ20111023096
公開日2011年12月28日 申請日期2011年8月12日 優(yōu)先權日2011年8月12日
發(fā)明者石旭, 郭旭 申請人:曙光信息產(chǎn)業(yè)(北京)有限公司