一种国产化计算机两级安全启动系统及方法

摘要

本发明公布了一种国产化计算机两级安全启动系统及方法，本发明包括PMON固件、USBKey，第一级安全启动通过在PMON中存放计算机的MAC地址以及登录密码，和USBKey中存放计算机的MAC地址、用户名、密码，将PMON中的MAC地址和USBKey中的MAC地址进行比对，看是否匹配，再输入用户名和密码。第二级安全启动通过输入麒麟操作系统密码完成启动。本发明通过两级安全保护从而使国产化计算机系统的安全性提高，并为高级别安全需求的用户提供更强有力的支持。

说明书

技术领域

本发明涉及计算机安全领域，具体涉及一种国产化计算机两级安全启动系统及方法。

背景技术

USBKey在计算机操作系统启动时进行系统安全增强，实现操作系统可靠运行，已广泛应用。传统的操作系统中存在安全漏洞，用户不能确定基于USBKey的当前系统是否遭到病毒程序的入侵，从而突破安全屏蔽和防护层，进行非法访问以及恶意操作。传统的安全防护是以密钥和软件为基础的，该保护不可靠而且性能不稳定，非法用户可通过BIOS底层硬件突破防护层，获取计算机的数据信息。

发明内容

为解决上述背景技术中操作系统存在安全漏动，以及非法用户可以通过BIOS底层硬件突破防护层并获取计算机的数据信息的问题，本发明提供一种国产化计算机两级安全启动系统及方法。

为实现上述目的，本发明采用以下技术方案：

一种国产化计算机两级安全启动系统，包括USBKey、PMON固件；所述USBKey与所述PMON固件构成国产化计算机的两级安全启动；

第一级安全启动为：

所述USBKey通过USB接口与计算机连接，并被计算机识别；

所述USBKey与计算机连接之后，USBKey与计算机之间进行通信，进行第一级身份验证；

所述PMON固件读取并解析USBKey中存储的内容,PMON固件中的MAC地址与USBKey中的MAC地址进行比对，若匹配，则提示输入用户名，用户名输入正确，则提示输入密码；

第二级安全启动为：

所述第一级身份验证完成，加载PMON固件，启动麒麟操作系统；

所述麒麟操作系统进行第二级身份验证，用户接口层提示输入麒麟操作系统密码，使用者输入操作系统密码后,操作系统的公钥和USBKey的私钥分别对密码进行解密，再匹配，若匹配，则判断验证成功,完成启动、登录引导。

其中：操作系统和USBKey采用的是加密通讯，即：厂家为操作系统设置公钥，为USBKey设置私钥。

工作原理是：通过USBKey、PMON固件，将USBKey插入计算机中，进行第一级安全启动，PMON固件侦测USBKey，将PMON中的MAC地址与USBKey中的MAC地址进行匹配，若匹配，则提示输入用户名，若用户名输入正确，则提示输入密码，密码输入正确，则完成第一级安全启动，加载PMON固件并启动操作系统；进行第二级安全启动，输入麒麟操作系统密码，若密码输入成功，则完成第二级安全启动。

进一步的，所述PMON存放计算机的MAC地址及登录密码。

进一步的，所述USBKey中存放计算机的MAC地址、用户名和密码。

进一步的，所述USBKey通过驱动层被计算机识别，所述驱动层为满足USB协议的USBKey驱动；所述USBKey通过功能实现层与计算机进行通信，所述功能实现层为USBKey操作接口，为计算机与USBKey之间通信的协议；所述第一级身份验证和第二级身份认证中，通过用户接口层显示提示信息，所述用户接口层包括开机认证接口和可信引导接口，即开机认证时的输入用户名和密码界面，和进入麒麟操作系统后的输入密码界面。

一种国产化计算机两级安全启动方法，包括以下步骤：

S1、将USBKey通过USB接口与计算机连接；

S2、进行第一级身份验证，PMON固件读取并解析USBKey中存储的内容,PMON固件中的MAC地址与USBKey中的MAC地址进行比对，若匹配，则提示输入用户名，用户名输入正确，则提示输入密码；

S3、若输入密码正确，则加载PMON固件，并启动麒麟操作系统；

S4、进行第二级身份验证，输入麒麟操作系统密码；

S5、若密码输入正确，则完成启动。

进一步的，所述PMON与USBKey无法匹配，则提示没有对应的USBKey,等到用户插入USBKey,此过程支持热插拔，用户插入USBKey后按回车进行重新识别。

进一步的，所述用户名与密码错误输入次数为5次，若输入5次均错误，则提示错误消息，等待用户按下回车之后，计算机进行掉电关闭；若再使用USBKey登录计算机，则需要安全管理员使用厂家的专用工具重置USBKey的计算机MAC地址、用户名和密码。

本发明与现有技术相比，具有如下的优点和有益效果：本发明可以从两级来保证系统启动过程的安全，第一级是验证USBKey设备的安全性，第二级是操作系统的安全验证。使用本发明的两级安全启动管控系统与技术后，国产化计算机系统的安全性得到提高，并为有高级别安全需求的用户提供更强有力的支持。

附图说明

此处所说明的附图用来提供对本发明实施例的进一步理解，构成本申请的一部分，并不构成对本发明实施例的限定。

图1为本发明的组成原理框图；

图2为本发明的启动流程图。

具体实施方式

下面结合附图对本发明的实施例进行阐述，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。

实施例1

根据图1、图2所示，一种国产化计算机两级安全启动系统，包括USBKey、PMON固件；所述USBKey与所述PMON固件构成国产化计算机的两级安全启动；

第一级安全启动为：

所述USBKey通过USB接口与计算机连接，并被计算机识别；

所述USBKey与计算机连接之后，USBKey与计算机之间进行通信，进行第一级身份验证；

所述PMON固件读取并解析USBKey中存储的内容,PMON固件中的MAC地址与USBKey中的MAC地址进行比对，若匹配，则提示输入用户名，用户名输入正确，则提示输入密码；

第二级安全启动为：

所述第一级身份验证完成，加载PMON固件，启动麒麟操作系统；

所述麒麟操作系统进行第二级身份验证，用户接口层提示输入麒麟操作系统密码，使用者输入操作系统密码后,操作系统的公钥和USBKey的私钥分别对密码进行解密，再匹配，若匹配，则判断验证成功,完成启动、登录引导。

其中：操作系统和USBKey采用的是加密通讯，即：厂家为操作系统设置公钥，为USBKey设置私钥。

本实施例中，所述PMON存放计算机的MAC地址及登录密码。

本实施例中，所述USBKey中存放计算机的MAC地址、用户名和密码。

本实施例中，所述USBKey通过驱动层被计算机识别，所述驱动层为满足USB协议的USBKey驱动；所述USBKey通过功能实现层与计算机进行通信，所述功能实现层为USBKey操作接口，为计算机与USBKey之间通信的协议；所述第一级身份验证和第二级身份认证中，通过用户接口层显示提示信息，所述用户接口层包括开机认证接口和可信引导接口，即开机认证时的输入用户名和密码界面，和进入麒麟操作系统后的输入密码界面。

一种国产化计算机两级安全启动方法，包括以下步骤：

S1、将USBKey通过USB接口与计算机连接；

S2、进行第一级身份验证，PMON固件读取并解析USBKey中存储的内容,PMON固件中的MAC地址与USBKey中的MAC地址进行比对，若匹配，则提示输入用户名，用户名输入正确，则提示输入密码；

S3、若输入密码正确，则加载PMON固件，并启动麒麟操作系统；

S4、进行第二级身份验证，输入麒麟操作系统密码；

S5、若密码输入正确，则完成启动。

本实施例中，所述PMON与USBKey无法匹配，则提示没有对应的USBKey,等到用户插入USBKey,此过程支持热插拔，用户插入USBKey后按回车进行重新识别。

本实施例中，所述用户名与密码错误输入次数为5次，若输入5次均错误，则提示错误消息，等待用户按下回车之后，计算机进行掉电关闭；若再使用USBKey登录计算机，则需要安全管理员使用厂家的专用工具重置USBKey的计算机MAC地址、用户名和密码。

本发明实施例进行第一级安全启动，在系统固件PMON引导启动前，用户首先将USBKey设备和计算机通过USB接口连接，开机过程中，PMON会去寻找USBKey,然后读取并且解析其存储内容，将USBKey设备中存放的计算机MAC地址与PMON中存放的计算机MAC地址进行对比，看是否能匹配。若无法匹配，则提示没有对应的USBKey,等待用户插入正确的USBKey,此过程支持热插拔，用户插入USBKey后按回车进行重新识别。若匹配，则提示用户输入用户名，用户名输入正确后，则提示用户输入密码，此过程中的用户名和密码只能错误输入5次，若输入5次均错误，则会提示错误消息，USBKey会被锁定，等待用户按下回车之后，计算机进行掉电关闭，之后再使用USBKey登录计算机，需要安全管理员使用厂家的专用系统工具重置USBKey中的计算机的MAC地址、用户名和密码。若用户名和密码输入正确，则加载PMON固件，启动操作系统；

进行第二级安全启动，操作系统启动之后，提示输入麒麟操作系统的密码，若密码输入错误，则会有出错提示，计算机会进行掉电关闭；若密码输入正确，则完成启动，登录引导。

在计算机启动过程中，通过两级安全启动，使国产化计算机系统的安全性提高，在用户要启动操作系统时，首先完成第一级安全启动，开始启动麒麟操作系统，还需要输入麒麟操作系统的密码，密码输入正确之后，才能完成启动和登录引导。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。