[发明专利]一种计算机安全启动的方法

说明书

技术领域

本发明涉及计算机启动，具体来说，提供了一种通过加密卡设置启动以及启动权限的方法。

背景技术

随着信息安全的深入和泄密事件的时有发生，计算机安全越来越受到重视。计算机启动是计算机的第一道保护屏障自然也受到了广泛关注，传统的做法是在BIOS中设置开机密码，每次启动计算机输入正确的开机密码才能启动并使用计算机。这种做法虽然有一定的保护作用，但由于密码长度短、密码复杂度低很容易被暴力破解；同样由于开机密码保存在BIOS的RAM中，可以通过重插主板电池来清除，某种意义上来说是形同虚设。

发明内容

为了加强计算机的启动安全，有效的防止非授权用户启动计算机，同时根据功能部分的授权情况对计算机硬件访问进行控制，对计算机硬件进行细粒度的权限控制。本发明提供了一种计算机安全启动的方法。

一种计算机安全启动的方法，将BIOS分为启动部分和功能部分，功能部分写入到智能卡中，启动时将智能卡插入主机完成启动。

优选的，所述BIOS的启动部分存储在主机的CMOS中，每次启动时，BIOS启动部分只负责引导和初始化与智能卡通信的硬件部分，从智能卡解密出BIOS功能部分和硬件访问授权部分，然后加载BIOS功能部分，BIOS功能部分首先验证BIOS的完整性，之后根据硬件访问授权部分加载授权的硬件，最后引导操作系统启动。

优选的，所述功能部分在加密卡中加密保存。

优选的，所述智能卡插入主机后由用户使用用户名和密码进行解锁。

优选的，所述硬件访问授权部分是根据用户权限将主机的硬件信息和授权信息写入到BIOS功能部分中，根据加密卡的用户名和密码决定权限。

优选的，所述与智能卡通信的硬件部分包括串口和USB口。

优选的，所述智能卡可以根据用户数量每人分发一个，为不同的用户写入不同的硬件访问权限来启动计算机。

优选的，所述智能卡可以存储计算机的唯一标识或唯一密钥来达到只能该存储卡启动主机。

本发明加强了计算机的启动的安全性，有效的防止非授权用户启动计算机，同时细粒度的对计算机硬件访问进行控制。

附图说明

图1是本发明中BIOS示意图

具体实施方式

本发明将传统的BIOS划分为启动部分和功能部分，将启动部分烧写到一次性的RAM中，只负责引导和初始化与智能卡通信的硬件设备，且不能被其他软件修改，功能部分保存到智能卡中同时使用密码算法保护。计算机BIOS只存储启动部分，无功能部分，当启动计算机时从BIOS启动部分启动，初始化基本设备(USB和串口)，通过基本设备将BIOS功能部分和硬件访问授权部分从智能卡中解密出来，加载到计算机中装成完整的BIOS，同时完成BIOS完整性校验。校验通过后方可启动计算机。

可以根据用户的权限不同将计算机硬件信息和授权信息写入到智能卡保存的BIOS功能部分中，BIOS根据授权信息来控制哪些硬件可以加载使用，哪些硬件不能加载使用。加强了计算机的启动安全性和使用受控性。

也可以将计算机唯一标识(或唯一密钥)写入信息BIOS启动和功能部分，就可以实现一个主板只有一个智能卡才能启动(可以通过特殊工具和正确密钥备份)。