专利名称:一种计算机安全保护方法和系统的制作方法
技术领域:
本发明涉及一种计算机安全保护方法和系统,特别是涉及一种利用基本输入输出系统(Basic Input Output System,简称BIOS)和可携式存储设备的计算机安全保护方法和系统。
背景技术:
随着计算机技术在生活和工作中的广泛应用,计算机的安全保护问题也日益成为人们关注的焦点。传统计算机的安全保护方法主要采用的是设置BIOS密码、操作系统登录密码等。采用密码的安全措施是对计算机使用者的一种身份验证,但是,BIOS密码和操作系统登录密码的保密性及保护性并不强,破解的方法也很多,因此仅仅采用密码的身份验证措施并不安全。对计算机使用者进行身份验证的方法,还有利用可携式存储器来保护计算机及系统安全的方法,如基于操作系统的USB Key等。USB Key是一种集芯片和读写器于一体的通用串行总线(Universal Serial BUS,简称USB)接口设备。基于操作系统的USB Key通过身份认证的方法进入操作系统,其加密运算是在智能芯片内完成的,外部系统无法跟踪,因而相对于单纯的密码保护方法具有更强的保密性能。但是,USB Key在使用时还需要预先安装特定的驱动程序。除了对计算机使用者身份验证的安全保护方法,还有基于对计算机本身进行安全加密的技术,其中包括可信任平台模组芯片(Trusted Platform Module,简称TPM)技术。TPM技术通过在计算机主板硬件平台上集成TPM安全芯片,利用TPM安全芯片提供的安全特性来增强计算机的安全保护能力。包含了计算机信息的TPM安全芯片可实现对计算机系统安全保护的目的。但是,TPM技术仅是对计算机自身的保护,却没有对计算机使用者的身份进行验证。既能够配合使用者身份验证,又能保护计算机安全的方法有BIOS电磁锁。BIOS电磁锁连接于计算机主板,包括电磁锁和智能传感器,BIOS电磁锁通过BIOS控制计算机机箱,实现内部上锁,并可通过网络实现远程开锁,事先必须设置好BIOS开机密码,在BIOS中设置好电磁锁,才能控制电磁锁的使用状态。综上所述,现有的计算机安全保护方法中存在一些亟待解决的问题:1.仅基于密码进行计算机使用者的身份验证,安全性不足,易被破解;2.利用可携式存储器保护计算机及系统安全的方法,需要安装特定的驱动程序,操作比较复杂;3.计算机自身安全保护和使用者身份验证未能同时保证;4.计算机自身安全和使用者身份验证同时保证,需要借助额外的芯片或特定设备,增加了使用成本
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种计算机安全保护方法和系统,用于解决现有技术中仅基于密码的安全性不足;利用可携式存储器需要安装特定的驱动程序;计算机自身安全保护和使用者身份验证未能同时保证;需要借助额外的芯片或特定设备等问题。为实现上述目的及其他相关目的,本发明提供一种计算机安全保护方法,包括:1)计算机侦测到通过通信接口连接的可携式存储器时,指定以所述通信接口引导启动;2)将所述可携式存储器设置为开机钥匙;3)读取所述可携式存储器中的可携式存储器信息,将所述可携式存储器信息作为第一密钥存储至BIOS固件中;4)随机生成第二密钥,将所述第二密钥分别存储至所述可携式存储器和所述BIOS固件中;5)计算机启动进入到上电自检完成、待进入操作系统的状态时,发出需提供开机钥匙的提不;6)当侦测到通过所述通信接口连接的可携式存储器时,读取所述可携式存储器中的可携式存储器信息,将读取到的所述可携式存储器信息与存储在所述BIOS固件中的所述第一密钥进行匹配,若匹配一致,继续运行;若匹配不一致,返回至所述提示需提供开机钥匙的状态;7)在所述可携式存储器信息与存储在所述BIOS固件中的所述第一密钥匹配一致后,读取所述可携式存储器中的第二密钥,并将所述可携式存储器中的第二密钥与所述BIOS固件中的第二密钥进行匹配,匹配一致后即进入操作系统。优选地,所述可携式存储器信息包括可携式存储器的序列号和/或生产厂商信
肩、O优选地,所述步骤4)更包括:随机生成第二密钥,将所述第二密钥存储至所述BIOS固件中;通过加密算法对所述第二密钥进行加密处理生成第三密钥,并将所述第三密钥存储至所述可携式存储器中;所述步骤7)更包括:在所述可携式存储器信息与存储在所述BIOS固件中的所述第一密钥匹配一致后,读取所述可携式存储器中的第三密钥,通过解密算法将所述第三密钥进行解密处理生成第四密钥;将所述第四密钥与所述BIOS固件中的所述第二密钥进行匹配,若所述第四密钥与所述第二密钥匹配一致,进入操作系统;若所述第四密钥与所述第二密钥匹配不一致,提示错误信息,并返回至所述提示需提供开机钥匙的状态。优选地,所述加密算法和所述解密算法采用非对称式算法。本发明还提供一种计算机安全保护系统,包括:侦测模块,用于侦测通过通信接口连接的可携式存储器;读取模块,连接于所述侦测模块,用于在所述侦测模块侦测到所述可携式存储器后读取所述可携式存储器中的信息,还用于读取BIOS固件中的信息;密钥管理模块,连接于所述读取模块,用于将所述读取模块读取到的所述可携式存储器中的可携式存储器信息作为第一密钥存储至所述BIOS固件中,并随机生成第二密钥分别存储至所述可携式存储器和所述BIOS固件中;安全管理模块,连接于所述读取模块,用于在计算机启动进入到上电自检完成、待进入操作系统的状态时,将所述读取模块读取到的可携式存储器中的可携式存储器信息与所述BIOS固件中的所述第一密钥进行匹配,所述可携式存储器中的可携式存储器信息与所述BIOS固件中的所述第一密钥匹配一致后,将所述读取模块读取到的所述可携式存储器中的第二密钥与所述BIOS固件中的第二密钥进行匹配比较,所述可携式存储器中的第二密钥与所述BIOS固件中的第二密钥匹配一致后令计算机进入操作系统。优选地,所述密钥管理模块还包括:加密处理单元,用于将所述读取模块读取到的所述可携式存储器中的可携式存储器信息作为第一密钥存储至BIOS固件中,并将随机生成第二密钥也存储至所述BIOS固件中,通过加密算法对所述第二密钥进行加密处理生成第三密钥,将所述第三密钥存储至所述可携式存储器中;解密处理单元,用于通过解密算法对所述读取模块从所述可携式存储器中读取到的第三密钥进行解密处理生成第四密钥。优选地,所述安全管理模块连接于所述读取模块,用于将所述读取模块读取到的所述可携式存储器中的可携式存储器信息与所述BIOS固件中的所述第一密钥进行匹配,所述可携式存储器中的可携式存储器信息与所述BIOS固件中的所述第一密钥匹配一致后,将所述读取模块从所述解密处理单元中读取到的所述第四密钥与所述BIOS固件中的所述第二密钥进行匹配比较,所述第四密钥与所述BIOS固件中的所述第二密钥匹配一致后令计算机进入操作系统。优选地,所述的侦测模块、读取模块、密钥管理模块、安全管理模块都植入在所述BIOS固件中。优选地,所述可携式存储器是U盘、移动硬盘。如上所述,本发明的计算机安全保护方法和系统,具有以下有益效果:不依赖于密码,通过利用普通的可携式存储器同时实现计算机自身安全保护和使用者身份的验证,无需下载安装特殊的驱动程序,无需借助额外的芯片或特定设备,操作简单,不产生多余的使用成本,安全保护性能更强。
图1显示为本发明的计算机安全保护方法在一个实施例中的流程图。图2显示为本发明的计算机安全保护系统在一个实施例中的结构图。图3显示为本发明的计算机安全保护方法在另一个实施例中的流程图。图4显示为本发明的计算机安全保护系统在另一个实施例中的结构图。
具体实施例方式以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式
加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。请参阅图1至图4。需要说明的是,本实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。请参阅图1,显示为本发明的计算机安全保护方法在一个实施例中的流程图,如图I所示,在本实施例中计算机安全保护方法包括:SlOO:可携式存储器通过通信接口连接于计算机,计算机启动进入到BIOS设置界面,当侦测可携式存储器时,指定以该通信接口引导启动;SlOl:将可携式存储器设置为开机钥匙;S102:读取可携式存储器中的可携式存储器信息,将作为开机钥匙的可携式存储器信息作为第一密钥存储至BIOS固件中;S103:随机生成第二密钥,将第二密钥分别存储至作为开机钥匙的可携式存储器和BIOS固件中;S104:保存并退出BIOS设置界面,重新启动计算机;S105:计算机启动进入到上电自检完成、待进入操作系统的状态时,发出需提供开机钥匙的提不;S106:若没有插入可携式存储器,则停留在S105中提示需提供开机钥匙的状态;若插入可携式存储器,则执行步骤S107 ;S107:计算机侦测到通过通信接口连接的可携式存储器时,读取该可携式存储器中的可携式存储器信息,将读取到的可携式存储器信息与存储在BIOS固件中的第一密钥进行匹配,若匹配一致,执行步骤S108 ;若匹配不一致,则返回S105提示需提供开机钥匙的状态;S108:读取可携式存储器中的第二密钥,并将可携式存储器中的第二密钥与BIOS固件中的第二密钥进行匹配,若可携式存储器中的第二密钥与BIOS固件中的第二密钥匹配一致,执行步骤S109:进入操作系统;若匹配不一致,发出错误提示,重新返回S105提示需提供开机钥匙的状态。在本实施例中,作为开机钥匙的可携式存储器具有两个为保护计算机安全而需要验证的信息:一个是可携式存储器自带的可携式存储器信息,另一个是计算机随机生成的随机密钥,即第二密钥。被保护计算机的BIOS固件中也存储有与可携式存储器信息相应的第一密钥以及第二密钥。对计算机而言,BIOS固件固定于在成品计算机中,而且生成的密钥难以从外部破解;对可携式存储器而言,可携式存储器信息是可携式存储器序列号的情况下,每个可携式存储器的序列号都是唯一的,即使有同一生产厂家生产的相同型号的可携式存储器连接于被保护计算机,其序列号和保存在BIOS固件中的第一密钥还是无法匹配;在可携式存储器的序列号由于某些原因被重复使用,或可携式存储器信息是生产厂商信息等其他信息时,继续通过对可携式存储器中和BIOS固件中第二密钥的匹配验证对计算机安全进行保护,从而实现了对计算机安全的双重的保护。此外,可携式存储器在存储了密钥后,还可以作为普通存储器继续使用。这种计算机安全保护的方法不是基于密码保护的方法,不需要使用者牢记密码,使用过程中也不需要安装特定的驱动程序,或者借助额外的芯片或特定设备,通过对存储在可携式存储器中的密钥与BIOS固件中密钥进行匹配验证,同时实现了对计算机自身安全保护和使用者身份的验证。请参阅图2,显示为本发明的计算机安全保护系统在一个实施例中的结构图,该系统可以实现如图1所示的计算机安全保护方法。如图2所示,该系统包括:侦测模块1、读取模块2、密钥管理模块3和安全管理模块4,这些模块都植入在BIOS固件中。
其中,侦测模块I用于侦测通过通信接口连接的可携式存储器。读取模块2连接于侦测模块1,在侦测模块I侦测到可携式存储器后,读取模块2读取可携式存储器中的信息,还可读取存储在BIOS固件中的信息。密钥管理模块3连接于读取模块2,将读取模块2从可携式存储器中读取到的可携式存储器信息作为第一密钥存储至BIOS固件中,并随机生成第二密钥,将第二密钥分别存储至可携式存储器和BIOS固件中。于本实施例中,可携式存储器中的信息包括可携式存储器信息和第二密钥,其中,可携式存储器信息又包括可携式存储器的序列号和/或生产厂商信息。BIOS固件中的信息包括第一密钥和第二密钥。安全管理模块4连接于读取模块2,在计算机重新启动进入到上电自检完成、待进入操作系统的状态时,将读取模块2读取到的可携式存储器中的可携式存储器信息与BIOS固件中的第一密钥进行匹配,可携式存储器中的可携式存储器信息与BIOS固件中的第一密钥匹配一致后,将读取模块2读取到的可携式存储器中的第二密钥与BIOS固件中的第二密钥进行匹配,可携式存储器中的第二密钥与BIOS固件中的第二密钥匹配一致后令计算机进入操作系统。在图1所示计算机安全保护方法的基础上,还可以进一步加强密钥的保密程度,从而加强对计算机的安全保护。请参阅图3,显示为本发明的计算机安全保护方法在另一个实施例中的流程图,如图3所示,本实施例中计算机安全保护方法包括:S200:可携式存储器通过通信接口连接于计算机,计算机启动进入到BIOS设置界面,当侦测到可携式存储器时,指定以该通信接口引导启动;S201:将可携式存储器设置为开机钥匙;S202:读取可携式存储器中的可携式存储器信息,将作为开机钥匙的可携式存储器信息作为第一密钥存储至BIOS固件中;S203:随机生成第二密钥,将第二密钥存储至BIOS固件中;通过加密算法对第二密钥进行加密处理生成第三密钥,并将该第三密钥存储至作为开机钥匙的可携式存储器中;S204:保存并退出BIOS设置界面,重新启动计算机;S205:计算机启动进入到上电自检完成、待进入操作系统的状态时,发出需提供开机钥匙的提不;S206:若没有插入可携式存储器,则停留在S205中提示需提供开机钥匙的状态;若插入可携式存储器,则执行步骤S207 ;S207:计算机侦测到通过通信接口连接的可携式存储器时,读取该可携式存储器中的可携式存储器信息,将读取到的可携式存储器信息与存储在BIOS固件中的第一密钥进行匹配,若可携式存储器信息与存储在BIOS固件中的第一密钥匹配一致,执行步骤S208 ;若匹配不一致,则返回S205提示需提供开机钥匙的状态;S208:读取可携式存储器中的第三密钥,通过解密算法将该第三密钥进行解密处理生成第四密钥;S209:将第四密钥与BIOS固件中的第二密钥进行匹配,若第四密钥与BIOS固件中的第二密钥匹配一致,执行步骤S210:进入操作系统;若匹配不一致,发出错误提示,重新返回S205提示需提供开机钥匙的状态。于本实施例中,加密算法和解密算法采用非对称式算法,在实际应用中并不限于此种算法。通过对第二密钥加密生成第三密钥,并将第三密钥存储至作为开机钥匙的可携式存储器中,再将从可携式存储器中读取到的第三密钥解密生成第四密钥,与第二密钥进行匹配,进一步加强了密钥的保护强度。请参阅图4,显示为本发明的计算机安全保护系统在另一个实施例中的结构图,该系统可以实现如图3所示的计算机安全保护方法。如图4所示,该计算机安全保护系统也包括植入在BIOS固件中的侦测模块1、读取模块2、密钥管理模块3和安全管理模块4。但在本实施例中,密钥管理模块3中还包括分别与读取模块2连接的加密处理单元31和解密处理单元32。读取模块2连接于侦测模块I,在侦测模块I侦测到通过通信接口连接于计算机的可携式存储器后,读取模块2读取可携式存储器中的信息,以及存储在BIOS固件中的信息。加密处理单元31将读取模块2从作为开机钥匙的可携式存储器中读取到的可携式存储器信息作为第一密钥存储至BIOS固件中,并随机生成第二密钥存储至BIOS固件中,通过加密算法对第二密钥进行加密处理生成第三密钥,再将第三密钥存储至可携式存储器中。解密处理单元32通过解密算法对读取模块2从可携式存储器中读取到的第三密钥进行解密处理生成第四密钥。于本实施例中,读取模块2读取的可携式存储器中的信息包括可携式存储器信息、第三密钥,其中,可携式存储器信息又包括可携式存储器的序列号和/或生产厂商信息。BIOS固件中的信息包括第一密钥和第二密钥。安全管理模块4连接于读取模块2,在计算机重新启动进入到上电自检完成、待进入操作系统的状态时,将读取模块2读取到的可携式存储器中的可携式存储器信息与BIOS固件中的第一密钥进行匹配,可携式存储器中的可携式存储器信息与BIOS固件中的第一密钥匹配一致后,将读取模块2读取到第四密钥与BIOS固件中的第二密钥进行匹配,第四密钥与BIOS固件中的第二密钥匹配一致后计算机即进入操作系统。在以上计算机安全保护方法和系统的各个实施例中,可携式存储器可以是U盘或移动硬盘等,可携式存储器信息包括可携式存储器的序列号和/或生产厂商信息,且不限于此。综上所述,本发明提供的计算机安全保护方法和系统,将可携式存储器中的可携式存储器信息、储存在可携式存储器中密钥分别与储存在计算机BIOS固件中的第一密钥、第二密钥进行匹配比较,不依赖于密码,通过利用普通的可携式存储器同时实现计算机自身安全保护和使用者身份的验证,使用过程中无需下载安装特定的驱动程序,或者借助额外的芯片或特定设备,操作简单,不产生多余的使用成本,具有更强的安全保护性能。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
权利要求
1.一种计算机安全保护方法,其特征在于,包括: 1)计算机侦测到通过通信接口连接的可携式存储器时,指定以所述通信接口引导启动; 2)将所述可携式存储器设置为开机钥匙; 3)读取所述可携式存储器中的可携式存储器信息,将所述可携式存储器信息作为第一密钥存储至BIOS固件中; 4)随机生成第二密钥,将所述第二密钥分别存储至所述可携式存储器和所述BIOS固件中; 5)计算机启动进入到上电自检完成、待进入操作系统的状态时,发出需提供开机钥匙的提不; 6)当侦测到通过所述通信接口连接的可携式存储器时,读取所述可携式存储器中的可携式存储器信息,将读取到的所述可携式存储器信息与存储在所述BIOS固件中的所述第一密钥进行匹配,若匹配一致,继续运行;若匹配不一致,返回至所述提示需提供开机钥匙的状态; 7)在所述可携式存储器信息与存储在所述BIOS固件中的所述第一密钥匹配一致后,读取所述可携式存储器中的第 二密钥,并将所述可携式存储器中的第二密钥与所述BIOS固件中的第二密钥进行匹配,匹配一致后即进入操作系统。
2.根据权利要求1所述的计算机安全保护方法,其特征在于,所述可携式存储器信息包括可携式存储器的序列号和/或生产厂商信息。
3.根据权利要求1所述的计算机安全保护方法,其特征在于: 所述步骤4)更包括:随机生成第二密钥,将所述第二密钥存储至所述BIOS固件中;通过加密算法对所述第二密钥进行加密处理生成第三密钥,并将所述第三密钥存储至所述可携式存储器中; 所述步骤7)更包括:在所述可携式存储器信息与存储在所述BIOS固件中的所述第一密钥匹配一致后,读取所述可携式存储器中的第三密钥,通过解密算法将所述第三密钥进行解密处理生成第四密钥;将所述第四密钥与所述BIOS固件中的所述第二密钥进行匹配,若所述第四密钥与所述第二密钥匹配一致,进入操作系统;若所述第四密钥与所述第二密钥匹配不一致,提示错误信息,并返回至所述提示需提供开机钥匙的状态。
4.根据权利要求3所述的计算机安全保护方法,其特征在于:所述加密算法和所述解密算法采用非对称式算法。
5.一种计算机安全保护系统,其特征在于,包括: 侦测模块,用于侦测通过通信接口连接的可携式存储器; 读取模块,连接于所述侦测模块,用于在所述侦测模块侦测到所述可携式存储器后读取所述可携式存储器中的信息,还用于读取BIOS固件中的信息; 密钥管理模块,连接于所述读取模块,用于将所述读取模块读取到的所述可携式存储器中的可携式存储器信息作为第一密钥存储至所述BIOS固件中,并随机生成第二密钥分别存储至所述可携式存储器和所述BIOS固件中; 安全管理模块,连接于所述读取模块,用于在计算机启动进入到上电自检完成、待进入操作系统的状态时,将所述读取模块读取到的可携式存储器中的可携式存储器信息与所述BIOS固件中的所述第一密钥进行匹配,所述可携式存储器中的可携式存储器信息与所述BIOS固件中的所述第一密钥匹配一致后,将所述读取模块读取到的所述可携式存储器中的第二密钥与所述BIOS固件中的第二密钥进行匹配比较,所述可携式存储器中的第二密钥与所述BIOS固件中的第二密钥匹配一致后令计算机进入操作系统。
6.根据权利要求5所述的计算机安全保护系统,其特征在于,所述密钥管理模块还包括: 加密处理单元,用于将所述读取模块读取到的所述可携式存储器中的可携式存储器信息作为第一密钥存储至BIOS固件中,并将随机生成第二密钥也存储至所述BIOS固件中,通过加密算法对所述第二密钥进行加密处理生成第三密钥,将所述第三密钥存储至所述可携式存储器中; 解密处理单元,用于通过解密算法对所述读取模块从所述可携式存储器中读取到的第三密钥进行解密处理生成第四密钥。
7.根据权利要求6所述的计算机安全保护系统,其特征在于:所述安全管理模块连接于所述读取模块,用于将所述读取模块读取到的所述可携式存储器中的可携式存储器信息与所述BIOS固件中的所述第一密钥进行匹配,所述可携式存储器中的可携式存储器信息与所述BIOS固件中的所述第一密钥匹配一致后,将所述读取模块从所述解密处理单元中读取到的所述第四密钥与所述BIOS固件中的所述第二密钥进行匹配比较,所述第四密钥与所述BIOS固件中的所述第二密钥匹配一致后令计算机进入操作系统。
8.根据权利要求7所述的计算机安全保护系统,其特征在于:所述的侦测模块、读取模块、密钥管理模块、安全管理模块都植入在所述BIOS固件中。
9.根据权利要求5所 述的计算机安全保护系统,其特征在于,所述可携式存储器是U盘、移动硬盘。
全文摘要
本发明提供一种计算机安全保护方法和系统,所述计算机安全保护方法将可携式存储器中的可携式存储器信息、储存于可携式存储器中的密钥分别与储存在计算机BIOS固件中的第一密钥、第二密钥进行匹配比较,达到对计算机进行安全保护的目的。在对计算机安全进行保护的过程中,不依赖于密码,通过利用普通的可携式存储器同时可实现计算机自身的安全保护和使用者身份的验证,无需下载安装特定的驱动程序,或者借助额外的芯片或特定设备,操作简单,不产生多余的使用成本,安全保护性能更强。
文档编号G06F21/70GK103198247SQ20131013040
公开日2013年7月10日 申请日期2013年4月15日 优先权日2013年4月15日
发明者姜家平 申请人:加弘科技咨询(上海)有限公司