[发明专利]一种终端设备的安全管理方法

权利要求书

1.一种终端设备的安全管理方法，其特征在于，包括以下步骤：

（1）、读取信息：由安全模块读取外设存储设备的身份认证信息；

（2）、信息比对：将读取到的身份认证信息与固件中存储的认证信息进行比对，根据比对结果选择执行下一步或发送关闭计算机指令；

（3）、信息存储与修改：将硬盘的第一主引导记录所在扇区的信息内容存储到未使用的扇区，并将所在扇区的内容修改为第二主引导记录；

（4）、信息加载：加载第二主引导记录中的索引信息，安全模块开启加解密引擎，BIOS系统跳转到存储第一引导记录的地址扇区，并加载执行其中内容；

（5）、对数据加解密：将安全模块对主板向硬盘所读写的数据进行加解密操作；

（6）、发送告警信息：操作系统加载成功后，安全模块在对硬盘读写进行加解密的同时，记录硬盘读写和主板外设的接入日志，并发送到安全网关服务器，在异常发生时发出告警信息。

2.根据权利要求1所述的终端设备的安全管理方法，其特征在于，所述步骤（1）读取信息是：计算机开机前，将安全模块安装到主板的PCIE插槽中，同时在用户登录前，在主板的USB接口插入身份验证的UKEY，安全模块通过PCIE/SATA总线获取接入主板；所述安全模块为电路板卡，电路板卡包括MCU处理器、数据加解密芯片和数据接口转换芯片。

3.根据权利要求1所述的终端设备的安全管理方法，其特征在于，所述步骤（2）信息比对是：将读取到的身份认证信息与固件中存储的认证信息进行比对，当匹配则执行下一步；当不匹配，安全模块通过中断函数向BIOS发送关闭计算机指令，同时，安全模块中的无线模块向安全网关服务器发送告警信息。

4.根据权利要求1所述的终端设备的安全管理方法，其特征在于，所述步骤（4）信息加载是：加载第二主引导记录中的索引信息后，安全模块开启加解密引擎，加解密引擎开启后，BIOS系统跳转到存储第一引导记录的地址扇区，并加载执行其中内容，根据第一主引导记录信息加载操作系统后续操作；所述索引信息为地址信息、扇区或柱面编号中的一种或几种。

5.根据权利要求1所述的终端设备的安全管理方法，其特征在于，所述步骤（6）发送告警信息是：操作系统加载成功后，安全模块在对硬盘读写进行加解密的同时，记录硬盘读写和主板外设的接入日志，并将上述日志通过无线模块发送到安全网关服务器，在异常发生时发出告警信息。

6.根据权利要求1所述的终端设备的安全管理方法，其特征在于，所述安全模块可截断计算机主板与硬盘并在二者之间建立加密通道，；同时识别和记录硬盘读写和外设接入的日志，并经安全网关发送到管理服务器，在发现登录、硬盘读写或拷贝数据的行为异常时发出告警信息。

7.根据权利要求1或3所述的终端设备的安全管理方法，其特征在于，所述读取的身份认证信息为密钥或是数字证书；安全模块的固件中存储与之对应的密钥信息，以固件中所存储的密钥信息实现对所读取的身份认证信息进行解密或二者相同为判断是否匹配的条件；安全模块中设置包括电池及适配器的有电源模块，在安全模块所接入的计算机开机之前，由电源模块为安全模块供电，保证安全模块工作不间断。

8.根据权利要求1所述的终端设备的安全管理方法，其特征在于，所述步骤（5）中在加解密引擎开启后，将包含操作系统程序所在扇区的地址信息发送给安全模块，加密引擎对操作系统所在扇区的内容不执行加解密操作；对于操作系统所在扇区之外的存储空间进行数据加解密操作，加解密所用密钥，由身份验证所时所插入的外设存储设备提供。

9.根据权利要求1所述的终端设备的安全管理方法，其特征在于，所述步骤（3）中第一主引导记录是硬盘原来的主引导记录；未使用的扇区是隐藏扇区；第二主引导记录中包含调用开启加密引擎的程序及所隐藏的第一主引导记录所存储的地址信息；可通过BIOS修改，或程序加入。

10.根据权利要求5所述的终端设备的安全管理方法，其特征在于，所述在安全模块通过无线模块向安全网关服务器发送数据指令之前，在安全网关服务器的无线收发模块的白名单中加入所要管理的安全模块信息。