[发明专利]一种用户操作系统的安全引导方法及引导系统

说明书

技术领域

本发明属于信息安全领域，具体涉及一种用户操作系统的安全引导方法及引导系统，通过微内核进行登录认证，并通过此微内核安全引导实现进入用户操作系统。本发明保障了电脑的操作系统安全开机引导，提高电脑用户信息的安全性与机密性。

技术背景

随着计算机和笔记本的普及，电脑已经成了生活和工作不可缺少的一部分，除了存储个人隐私信息外，同时存有所在单位和机构的业务信息，在政府机关、军工计算机和笔记本中存储着重要的国家和部门机密信息，敏感数据一旦被不法分子窃取或者丢失、将造成无法估算的后果。对于用户电脑的保护的第一步，一般用开机密码来实现。

当前对于用户开机密码保护电脑的方法，目前有2种，一种是cmod密码开机，还有一种是用户操作系统账户密码登录开机。这两种开机已经被证明不够安全，很容易被破解，因而对用户而言是不够安全的。

发明内容

本发明的目的在于提供一种用户操作系统的安全引导方法，该方法能够保证操作系统在受权认证的情况下开机，启动到用户的操作系统，有效地防止了非法用户开机带来的安全隐患，并且具有安全性高的特点。

本发明提供的微内核预引导认证的方法，其特征在于：一个微内核操作系统去引导另一个操作系统；微内核首先通过了与网络服务器或usb key的双向身份认证，再通过用户密码与网络服务器或用户密码与usb key的安全认证后，才能去引导启动电脑上的操作系统，拦截所有针对非法用户开机的操作，保护电脑信息。

基于上述微内核预引导认证另一个操作系统的方法，其步骤包括：

①电脑开机，运行微内核；

②微内核启动网络与服务器连接进行双向身份认证，或者微内核启动usb与usb key连接进行双向身份认证，双向身份认证通过后，转入步骤③；若以上认证过程均没有通过，则仍转入步骤②，多次认证失败后，转入步骤⑤；

③微内核出现用户账户及密码输入框；等待用户输入；当用户输入用户账户与密码后，再将这些信息提交到服务器或usb key进行用户账户密码信息认证，认证通过后，转入步骤④；若以上认证过程没有通过则提示用户账户与密码输入错误，请重先输入，并转入步骤③；当用户三次认证失败后，转入步骤⑤；

④微内核引导用户的操作系统(windows或linux或mac或其它的操作系统)。电脑安全引导，用户进入自己要用的操作系统。

⑤微内核提示认证失败，3秒后自动关机。3秒后电脑关机；

⑥终止。

本发明还提出了一种实现上述方法的安全引导系统，包括认证服务器，及usb key移动存储装置及微内核；认证服务器与usb key分别在内部存放着用户电脑指纹信息和用户账户密码哈希信息，分别用来提供电脑身份认证及用户身份认证；微内核内放着认证服务器与usb key的指纹信息，分别用来提供认证服务器的认证与usb key的认证；认证服务器置于某信任域内，微内核通过网络与其保持通讯，微内核先获取认证服务器的身份指纹信息并比较，一致后再将自己的电脑身份认证信息及用户身份认证信息发给服务器，认证服务器将微内核通过网络传过来的电脑身份认证信息及用户身份认证的信息与之前保存的进行比较，将比较结果返回给微内核；usbkey由用户保管，并由用户保证其安全；微内核通过usb与usb key通讯，微内核先获取usb key身份指纹信息并比较，一致后再将自己的电脑身份认证信息及用户身份认证信息发给usb key，usb key将微内核传过来的电脑身份认证信息及用户身份认证信息与之前保存的进行比较，并返回比较结果给微内核。

所述微内核由如下的模块组成：认证界面模块，usb模块，网络模块，os-bootloader模块调度模块，其中，认证界面模块提供用户账户密码输入及当前提示信息的输出，usb模块提供usb host功能，并与usb key进行通信，网络模块提供一个网络环境，与网络认证服务器进行通信，os-bootloader模块提供引导用户操作系统的功能，调度模块则是处理上述模块之间调度的功能，从而实现微内核安全引导的功能。

本发明从三个方面保证了用户操作系统的安全引导，首先微内核运行并提供网络模块与usb模块，为系统提供一个安全认证的环境；其次是用户电脑指纹的信息，用户账户密码的信息与网络服务器或usb key本身指纹信息的双向身份认证与用户账户密码信息认证，保证合法的用户合法的电脑与合法网络服务器或usb key的才能有效地认证。最后是认证成功后微内核引导用户的的操作系统，保证了用户操作系统的安全引导。

附图说明