[发明专利]具有硬盘数据保护功能的计算机开机身份认证方法

说明书

技术领域

本发明属于计算机系统安全领域，涉及一种计算机开机身份认证方法，用于控制对计算机的非授权使用和硬盘数据的保护。

背景技术

为了保障用户计算机系统的安全，避免他人未授权使用，通常采用计算机开机身份认证技术，在计算机开机启动过程中通过输入密码来鉴别用户身份。一般的计算机系统通常提供两种开机身份认证技术：一是基于基本输入输出系统(Basic Input OutputSystem，BIOS)级的开机身份认证，简称BIOS密码认证，即预先在计算机BIOS上设置密码，在开机启动BIOS时提示输入密码进行身份认证；二是基于操作系统级的开机身份认证，简称操作系统密码认证，即预先在操作系统中设置密码或者生物特征(如指纹等)，在加载操作系统时提示输入密码或生物特征进行身份认证。

这两种开机身份认证技术都存在两个安全缺陷：

(1)不能有效地保护计算机硬盘数据。如果将设有密码的计算机上的硬盘取下，挂接在另一台计算机上，作为该计算机的第二块硬盘(一般的计算机都允许安装两块硬盘)，便能够打开和读取该硬盘中所存储的任何文件，硬盘中所存储的敏感信息就可能被泄漏，无法保证硬盘中的数据安全。这个问题在计算机丢失或硬盘被盗的情况下非常突出。

(2)自主型开机身份认证。上述开机身份认证方法都属于自主型的，用户可以设置开机认证密码，也不可以设置，还可以随意取消。从系统安全等级来看，这种自主型开机身份认证的安全性较低，不适合在安全性要求较高的环境中使用。

发明内容

为了克服现有技术存在安全缺陷的不足，本发明提供一种计算机开机身份认证方法，能够增强计算机系统的安全性。该方法不仅具有开机身份认证功能，并且具有硬盘数据保护功能，即在未通过计算机开机身份认证的情况下，存储在硬盘中的文件不能通过其它任何途径(如作为另一台计算机的第二块硬盘)来读取，并且在计算机开机启动时实行强制性身份认证。

本发明解决其技术问题所采用的技术方案包括以下步骤：

(1)准备阶段：首先，每个被保护的计算机需要配备一个普通的USB盘(简称U盘)，格式化后插入到被保护的计算机上。然后在该计算机上执行如下操作：

①以磁盘扇区读写方式将硬盘中的引导扇区、磁盘分区表信息和操作系统启动扇区复制在U盘的空闲扇区上；

②提示用户输入一个不少于6个字符的密码，将密码信息以磁盘扇区读写方式存储在U盘的空闲扇区上；

③以磁盘扇区读写方式将新引导程序写入引导扇区，新引导程序可执行U盘设备识别、身份认证和磁盘分区表信息恢复步骤；

所述的新引导程序包括以下步骤：

(a)U盘设备识别步骤：使引导程序能够识别出U盘，具有U盘读写能力。这是最为关键的步骤，可以采用两种方法来实现：一是使用具有U盘启动功能的计算机，即计算机的BIOS支持U盘启动功能，将这类计算机设置成U盘启动即可；二是用汇编程序编写U盘设备驱动程序，在U盘引导程序中加载，这种方法可以采用与U盘生产厂商合作，由厂商来提供U盘设备驱动程序开发软件。

(b)身份认证步骤：提示用户输入密码，与U盘中所预留的密码进行比较，对于用户输入的错误密码，给出错误提示信息；

(c)磁盘分区表信息和操作系统引导扇区恢复步骤：如果通过了身份认证，则从U盘上读出原始的磁盘分区表信息和操作系统引导扇区，并写入磁盘中相应的位置上，恢复原始磁盘分区表信息和操作系统引导扇区信息；

(d)将U盘中所记录的磁盘原始引导扇区读入内存中指定的位置，转入执行原始引导程序。

④用全“0”覆盖硬盘上磁盘分区表和操作系统启动扇区，使硬盘处于“未知系统”状态；

⑤退出U盘。

以后，这个U盘便是开启该计算机的“钥匙”，需要妥善保管。

(2)工作阶段：被保护的计算机每次加电启动前，首先插入作为“钥匙”的U盘，然后加电开机。系统的执行过程如下：

①当系统进入磁盘引导阶段后，自动执行硬盘引导扇区中修改后的引导程序，该引导程序首先提示用户输入一个密码，然后与存储在U盘上的预留密码相比对，如果两者相同，则继续执行后续操作；否则，给出错误提示信息，等待重新输入。

②当密码验证通过后，引导程序将存储在U盘上的原硬盘磁盘分区表信息和操作系统引导扇区复制到硬盘的原来位置上，即恢复原始硬盘磁盘分区表和操作系统引导扇区信息。

③执行原存储在U盘中的引导扇区的原始引导程序，加载磁盘分区表信息，并根据磁盘分区表信息加载操作系统启动程序。