一种计算机操作系统启动方法技术方案

本发明专利技术提供了一种计算机操作系统启动方法，包括：计算机上电；BIOS通过控制硬件向硬盘请求读取MBR引导程序；所述控制硬件从硬盘截获所述MBR引导程序，并将预定的控制程序传输到计算机主板；计算机主板执行所述预定的控制程序并对计算机的用户进行身份认证，当所述用户通过身份认证时，计算机主板向所述控制硬件发送验证通过指令；所述控制硬件在接收到所述验证通过指令时，将从硬盘截获的MBR引导程序发送到计算机；计算机主板读取所述MBR引导程序，引导所述硬盘上的操作系统进行启动。该方法由于控制硬件与具体的计算机主板和操作系统无关，所以不需要定制专门的主板，具有较好的兼容性，有效地控制了从盘启动，保证了计算机操作系统地安全启动。

A Method of Starting Computer Operating System

The invention provides a computer operating system startup method, which includes: the computer is powered on; the BIOS requests to read the MBR boot program from the hard disk through the control hardware; the control hardware intercepts the MBR boot program from the hard disk and transmits the predetermined control program to the computer motherboard; the computer motherboard executes the predetermined control program and authenticates the computer user. When the user passes the authentication, the computer motherboard sends the verification pass instruction to the control hardware; when the control hardware receives the verification pass instruction, the MBR boot program intercepted from the hard disk is sent to the computer; the computer motherboard reads the MBR boot program and guides the operating system on the hard disk to start. Because the control hardware has nothing to do with the specific computer motherboard and the operating system, this method does not need to customize the special motherboard. It has good compatibility, effectively controls the slave disk boot, and ensures the safe boot of the computer operating system.

【技术实现步骤摘要】
一种计算机操作系统启动方法
本专利技术涉及一种计算机操作系统启动方法。
技术介绍
硬盘作为计算机操作系统的数据载体，操作系统一般都安装在硬盘中。当计算机操作系统启动时，一般执行以下步骤：通过基本输入输出系统（BIOS）加载并启动保存在硬盘主引导扇区（MBR，通常位于硬盘的第一个扇区，可存放一小段程序及主分区表）中的引导程序；MBR引导程序扫描所有分区表，找出活动分区；MBR引导程序加载并启动保存在活动分区的分区引导区（PBR）中的引导程序；活动分区PBR中的引导程序加载并启动安装在其上的操作系统。如果计算机CPU通过计算机主板的电路接口将存储在硬盘中的操作系统引导到计算机内存来进行启动，这种启动方式称为主盘启动。而当计算机操作系统将存储在外部WINPE或U盘或其他硬盘等上的操作系统引导到计算机内从来进行启动，这种启动方式称为从盘启动。在一些对数据安全有较高要求的场合，如保密单位，其计算机中的硬盘存储保密及秘密信息，这些信息的泄漏会造成不可估量的损失。而其中一种泄密方式就是攻击者通过对计算机实施从盘启动的方式，例如，通过挂载另一块带有操作系统的硬盘或U盘，将原涉密硬盘进行从盘启动。在新挂载的操作系统中，可以新的操作系统的环境下将涉密硬盘所有文件非法拷贝出来，从而造成涉密信息的泄漏。为了防止信息泄密，有的计算机主板厂家定制专门的BIOS，与主板上加载的硬盘进行相互认证，控制主板上加载的启动介质类型，从而达到防控计算机从盘启动的目的。另外，还有一种依靠软件加密来防止从盘启动的方法，即通过在操作系统中运行相应的软件，将系统中部分文件进行加密，该加密软件与系统进行绑定，从而达到控制从盘启动的目的。然而，通过定制BIOS来控制从盘启动的方法，由于针对不同的主板需要定制不同的BIOS，所以这种方法不具有普遍适用性，同时存在安全隐患，例如BIOS掉电等情况可能无法很好的保护，而且当攻击者将挂载硬盘实施物理摘除，在其他主板上进行加载，该方法无效。而采用软件加密控制从盘启动的方法，由于其加密密钥还是存储在硬盘中，其软件加密强度和安全性存在隐患。
技术实现思路
针对现有技术中存在的上述问题，本专利技术提供了一种计算机操作系统启动方法，用于安全启动计算机操作系统。本专利技术提供的一种计算机操作系统启动方法，包括以下步骤：计算机上电；BIOS通过控制硬件向硬盘请求读取MBR引导程序；所述控制硬件从硬盘截获所述MBR引导程序，并将预定的控制程序传输到计算机主板；计算机主板执行所述预定的控制程序并对计算机的用户进行身份认证，当所述用户通过身份认证时，计算机主板向所述控制硬件发送验证通过指令；所述控制硬件在接收到所述验证通过指令时，将从硬盘截获的MBR引导程序发送到计算机；计算机主板读取所述MBR引导程序，引导所述硬盘上的操作系统进行启动。根据本专利技术提供的计算机操作系统启动方法，通过在计算机主板与硬盘之间设置控制硬件，在计算机上电启动时，控制硬件截获硬盘的MBR引导程序，并用预定的控制程序代替MBR引导程序发送到计算机主板，可以对计算机的用户进行身份认证，在用户通过身份认证时，才允许计算机主板引导硬盘上的操作系统进行启动。利用该方法，由于控制硬件与具体的计算机主板和操作系统无关，所以不需要定制专门的主板，具有较好的兼容性，有效地控制了从盘启动，保证了计算机操作系统地安全启动。此外，在控制硬件加载密钥的情况下，由于从计算机主板传输到硬盘的数据会经过密钥加密，所以，即使攻击者将控制硬件与硬盘分离，将硬盘直接连接到计算机主板上来获得硬盘上存储的数据，由于硬盘上的数据全部被加密，所以攻击者仍然无法使用硬盘上的数据，保证了计算机主板与硬盘之间通信的安全性。附图说明图1是根据本专利技术的计算机操作系统启动方法的流程图。图2是根据本专利技术的计算机主板、控制硬件以及计算机硬盘之间的连接示意图。具体实施方式下面，结合附图详细描述本专利技术的具体实施方式。参考图1，本专利技术提供了一种计算机操作系统启动方法，其中，包括以下步骤：计算机上电；BIOS通过控制硬件向硬盘请求读取MBR引导程序；所述控制硬件从硬盘截获所述MBR引导程序，并将预定的控制程序传输到计算机主板；计算机主板执行所述预定的控制程序并对计算机的用户进行身份认证，当所述用户通过身份认证时，计算机主板向所述控制硬件发送验证通过指令；所述控制硬件在接收到所述验证通过指令时，将从硬盘截获的MBR引导程序发送到计算机；计算机主板读取所述MBR引导程序，引导所述硬盘上的操作系统进行启动。图2示出了根据本专利技术的计算机主板、控制硬件以及计算机硬盘之间的连接示意图。参考图1～2，当计算机上电时，计算机主板BIOS向计算机逻辑地址0发出读请求，计算机CPU想要加载该地址的数据（即，MBR引导程序）进行运行。此时，控制硬件截获硬盘发送的MBR引导程序，并用一段预定的控制程序代替MBR引导程序发送到计算机主板。计算机主板接收到该预定的控制程序之后，运行该控制程序，此时，该控制程序要求对计算机的用户进行身份认证。当用户通过身份认证后，计算机主板向控制硬件发送验证通过指令。控制硬件接收到验证通过指令后，才将硬盘的MBR引导程序发送到计算机主板上，计算机主板启动硬盘上的操作系统。当用户不能通过身份认证时，控制程序可以要求对计算机的用于再次进行身份认证，或者控制程序可以拒绝BIOS启动操作系统。根据本专利技术的计算机操作系统启动方法，通过在计算机主板与硬盘之间设置控制硬件，只有在计算机的用户通过身份认证时，才允许计算机主板引导硬盘上的操作系统进行启动。该方法由于控制硬件与具体的计算机主板和操作系统无关，所以不需要定制专门的主板，具有较好的兼容性，有效地控制了从盘启动，保证了计算机操作系统地安全启动。通常，计算机主板执行所述预定的控制程序并对计算机的用户进行身份认证的步骤包括：计算机主板请求用户输入口令；计算机主板接收用户输入的口令，并从所述控制硬件读取预定口令，将用户输入的口令与预定口令进行比较，当用户输入的口令与预定口令匹配时，判断所述用户通过身份认证，当用户输入的口令与预定口令不匹配时，判断所述用户未通过身份认证。为了能够防止攻击者将控制硬件与硬盘分离，将硬盘直接连接到计算机主板上来获得硬盘上存储的数据，以及防止攻击者通过其他任何方式直接获取硬盘上存储的数据，可以在所述控制硬件在接收到所述验证通过指令时，所述控制硬件加载密钥，在未接收到所述验证通过指令时，所述控制硬件不加载密钥，所述密钥用于对从所述计算机主板发送到所述硬盘的数据进行加密，以及对从所述硬盘发送到所述计算机主板的数据进行解密。这样，由于硬盘上存储的数据是经过控制硬件加密的数据，在控制硬件的加密密钥没有正确加载的情况下，无法有效读取硬盘的数据。因此，当攻击者通过从盘启动的方式进行攻击时，由于没有通过用户认证，所以控制硬件的密钥无法加载，所以无法读取硬盘的数据。而且，即使攻击者将控制硬件与硬盘分离，也无法读取硬盘的加密数据。其中，所控制硬件可以采用北京华虹集成电路设计有限公司的BHD5-AS5芯片，也可以采用其他的硬件形式，诸如带有FPGA的硬件平台等。在一个具体的实施例中，所述控制硬件采用BHD5-AS5芯片，计算机采用X86架构的主板，计算机硬盘采用西部数据500GB容量本文档来自技高网...

【技术保护点】
1.一种计算机操作系统启动方法，其特征在于，包括计算机主板、控制硬件以及硬盘，所述控制硬件设置于所述计算机主板和所述硬盘之间，分别与所述计算机主板和所述硬盘相连接；所述启动方法包括以下步骤：计算机上电；所述计算机主板上的BIOS通过所述控制硬件向所述硬盘请求读取MBR引导程序；所述控制硬件从所述硬盘截获所述MBR引导程序，并用一段预定的控制程序代替所述MBR引导程序发送到所述计算机主板；所述计算机主板执行所述预定的控制程序并对计算机的用户进行身份认证，当所述用户通过身份认证时，所述计算机主板向所述控制硬件发送验证通过指令；所述控制硬件在接收到所述验证通过指令时，将从所述硬盘截获的所述MBR引导程序发送到所述计算机主板；所述计算机主板读取所述MBR引导程序，引导所述硬盘上的操作系统进行启动。

【技术特征摘要】
1.一种计算机操作系统启动方法，其特征在于，包括计算机主板、控制硬件以及硬盘，所述控制硬件设置于所述计算机主板和所述硬盘之间，分别与所述计算机主板和所述硬盘相连接；所述启动方法包括以下步骤：计算机上电；所述计算机主板上的BIOS通过所述控制硬件向所述硬盘请求读取MBR引导程序；所述控制硬件从所述硬盘截获所述MBR引导程序，并用一段预定的控制程序代替所述MBR引导程序发送到所述计算机主板；所述计算机主板执行所述预定的控制程序并对计算机的用户进行身份认证，当所述用户通过身份认证时，所述计算机主板向所述控制硬件发送验证通过指令；所述控制硬件在接收到所述验证通过指令时，将从所述硬盘截获的所述MBR引导程序发送到所述计算机主板；所述计算机主板读取所述MBR引导程序，引导所述硬盘上的操作系统进行启动。2....

【专利技术属性】
技术研发人员：刘航，李云岗，符力建，陈雪松，于永庆，
申请(专利权)人：北京华虹集成电路设计有限责任公司，
类型：发明
国别省市：北京,11