公开了一种在包括中控设备、至少一个无线设备和至少一个被控设备的系统中的安全开机方法,以在人眼能观测到范围内进行安全开机,中控设备存储有无线设备的标识符,所述安全开机方法包括步骤:启动被控设备;在被控设备和中控设备之间建立连接;被控设备通过所述连接向中控设备发送认证请求;中控设备响应所述认证请求与被控设备相互认证;中控设备通过短距无线电通信搜索与存储的无线设备标识符所对应的无线设备;以及如果搜索到无线设备,中控设备向被控设备发送允许进行后续操作的信号,否则,设备自动停机。采用上述方法,能够确保与主机相关人员在机器的可视范围内人为地监视机器启动,同时又没有提高开机过程的操作复杂度。
【技术实现步骤摘要】
本专利技术涉及计算机的安全技术,具体涉及一种通过定制计算机启动过程与策略,在办公环境中人眼能观测到范围内进行安全开机的方法。
技术介绍
扩展固件接口(EFI)是下一代个人计算机、笔记本、服务器以及各种手持设备中广泛采用的固件标准。它具有结构化、标准化以及易于维护等性能,并且在未来会取代传统的基本输入输出系统(BIOS),成为计算机系统的主要固件。EFI的一个突出特点是可以定制计算机的启动过程,并具备比较强大的网络功能。另外,随着诸如手机之类的移动通信终端的普及,尤其是配有蓝牙等短距离无线功能的移动终端的普及,如手机之类的移动通信终端成为人们随身必备的个人工具。作为个人随身携带的工具的手机,可以用来提供个人的位置。本专利技术就是结合EFI这种固件技术以及移动通信终端的近距无线技术为基础,实现计算机在可视范围内的安全开机,保证开机过程处于合法的监视之下。开机的安全有很多举措,传统的技术有CMOS密码保护和操作系统密码保护。但是,这些保护措施都有漏洞,想侵入系统的人还是有方法可以进入系统。比如,将计算机主板上的CMOS放电,或者引导另外的操作系统等。最近的开机保护技术主要保护硬盘,在硬盘的固件(firmware)里增加硬盘启动密码功能,这种功能能有效地保护硬盘数据,使得即便硬盘失窃,也不会丢失数据。但是,这种开机保护技术最大的问题是用户忘记密码之后,硬盘数据将很难再得到。因此,这种开机保护方式同样有比较大的风险。如联想等系统厂商的笔记本中,广泛采用iKey技术,不过,这种开机保护也局限在操作系统之上,无法真正保护主机系统不被入侵。上述开机保护模式,基本上以密码保护为主,主要有三个问题1、操作复杂度增加,用户必须记住并键入密码才能正常操作;2、一旦密码丢失,则会给用户带来非常大的麻烦,有的时候是不可逆转的损失;3、只认密码不认人,逻辑上,人不是计算机的主宰。事实上,最安全的开机措施是开机的时候,应该有相关人员在计算机的可视范围内,这种开机方式可以很大程度上解决技术所带来的种种漏洞,确保与主机相关人员(主机的拥有者或者资产管理者)在机器的可视范围内人为地监视机器启动,同时又没有提高开机过程的操作复杂度,成为围绕人的开机保护模式。
技术实现思路
本专利技术通过无线技术手段确保系统开机过程中有合法用户能够监视整个开机过程,以保证主机的合法使用。通过合法用户在可视范围内监视的方式,提升密码保护的可靠程度,或者以这样的主机保护方法代替密码开机的方式。在本专利技术的一个方面,提供了一种在包括中控设备、至少一个无线设备和至少一个被控设备的系统中的初始设置方法,包括步骤启动所述被控设备,进入基本输入输出系统;在所述被控设备和所述中控设备之间建立连接;所述被控设备通过所述连接向所述中控设备发送资产登记请求;所述中控设备响应所述资产登记请求产生被控设备密钥,并将其发送给所述被控设备;所述被控设备把所述被控设备密钥保存在专用存储器中;以及所述中控设备通过短距无线电通信搜索无线设备,并将同一组的无线设备的标识符存储在存储器中。在本专利技术的另一方面,提供了一种在包括中控设备、至少一个无线设备和至少一个被控设备的系统中的安全开机方法,所述中控设备存储有所述无线设备的标识符,所述安全开机方法包括步骤启动所述被控设备;在所述被控设备和所述中控设备之间建立连接;所述被控设备通过所述连接向所述中控设备发送认证请求;所述中控设备响应所述认证请求与所述被控设备相互认证;所述中控设备通过短距无线电通信搜索与存储的无线设备标识符所对应的无线设备;以及如果搜索到所述无线设备,所述中控设备向所述被控设备发送允许进行后续操作的信号,否则,被控设备自动停机。在本专利技术中,因为能确保在开机的过程中有合法用户在可视的范围,从而避免了密码丢失所带来的不能正常进入系统的问题。此外,本专利技术通过集中管理和注册的方式,保证当手机丢失或其他无法近距离访问的情况下,同样能使用该主机。附图说明图1是本专利技术一个实施例的方法的系统使用场景,其中的圆圈表示中控设备的无线电覆盖范围;图2示出了被控设备向中控设备登记的过程;图3示出了无线设备向中控设备登记的过程;图4是根据本专利技术实施例的安全开机方法的流程图。具体实施例方式下面对照附图详细描述本专利技术的具体实施方式。图1是本专利技术一个实施例的方法的系统使用场景,其中的圆圈表示中控设备的无线电覆盖范围。如图1所示,在人眼可视的办公区域内的多个被控设备11和12通过网络40联系在一起,组成一个组,设置一中控设备(标准PC、服务器或者专有设备)20,该中控设备20具有短距无线(如蓝牙)以及网络连接(以太网或者WiFi)等能力,并具有一定的信息处理能力,下面的描述中,以一台标准PC作为该中控设备20的原型。在图1中,被控设备11和12,例如计算机通过局域网(LAN)40与中控设备20连接。被控设备11和12的固件支持扩展固件接口标准。被控设备12的合法拥有者30携带一具有短距无线通信能力的无线设备(未示出)。图2示出了根据本专利技术实施例的初始设置过程的流程图。对于一台诸如计算机之类的被控设备,首先要将其设置为本专利技术的工作模式。如图2所示,在启动被控设备之后,就进入PEI过程,也就是预EFI初始化过程。之后,用户例如通过按下DEL键之类的键盘操作使流程进入基本输入输出系统(BIOS),进行设置。接下来,调用网络驱动程序,以建立与中控设备之间的连接。如果能够在被控设备11和12与中控设备20之间建立连接,则还要进一步判断中控设备20是否受Key的保护,例如中控设备20上是否插有USB Key。如果不能建立连接,或者中控设备20没有受Key的保护,则认为被控设备的登记失败。如果此时中控设备20上插有USB Key,也就是中控设备20受密钥保护,则被控设备11和12通过建立的连接向中控设备20发送资产登记请求。中控设备20收到被控设备11和12的资产登记请求之后,产生针对该控设备11和12的密钥,并将密钥分别发回给被控设备11和12。然后,被控制设备11和12比较收到的密钥与预先存储的密钥,或者使用者判断该密钥是否合法,如果不合法,则认为登记失败,否则,将收到的密钥保存在诸如OptionROM或者HPA之类的专用存储器中,登记过程结束。在本专利技术的开机方法中,需要合法使用者处于可视范围之内,因此需要事先对合法的使用者进行认证,也就是事先认证属于同一组的无线设备的ID,图3示出了对无线设备进行认证的流程图。如图3所示,在认证过程的开始,同样要判断中控设备20是否受Key的保护,也就是判断在中控设备20中是否插有USB Key。如果中控设备20不受密钥保护,则退出认证过程。如果中控设备20受Key保护,则中控设备20通过短距无线通信搜索有效范围A(见图1)之内的无线设备,然后判断是否有无线设备加入本组,如果没有则认证失败。如果此时有无线设备要加入本组,则进一步判断该无线设备是否适合加入本组,如果认为不适合,则退出认证过程。如果要加入本组的无线设备是合适的,则中控设备20将该无线设备的ID保存在存储器中,结束认证过程。图4示出了本专利技术的安全开机方法的流程图。如图4所示,在重新启动被控设备11和12后,进入PEI过程,也就是预EFI初始化过程。然后,载入诸如TCP/IP协议之类本文档来自技高网...
【技术保护点】
一种在包括中控设备、至少一个无线设备和至少一个被控设备的系统中的初始设置方法,包括步骤:启动所述被控设备,进入基本输入输出系统;在所述被控设备和所述中控设备之间建立连接;所述被控设备通过所述连接向所述中控设备发送资产 登记请求;所述中控设备响应所述资产登记请求产生被控设备密钥,并将其发送给所述被控设备;所述被控设备把所述被控设备密钥保存在专用存储器中;以及所述中控设备通过短距无线电通信搜索无线设备,并将同一组的无线设备的标识符存储 在存储器中。
【技术特征摘要】
1.一种在包括中控设备、至少一个无线设备和至少一个被控设备的系统中的初始设置方法,包括步骤启动所述被控设备,进入基本输入输出系统;在所述被控设备和所述中控设备之间建立连接;所述被控设备通过所述连接向所述中控设备发送资产登记请求;所述中控设备响应所述资产登记请求产生被控设备密钥,并将其发送给所述被控设备;所述被控设备把所述被控设备密钥保存在专用存储器中;以及所述中控设备通过短距无线电通信搜索无线设备,并将同一组的无线设备的标识符存储在存储器中。2.如权利要求1所述的初始设置方法,其特征在于,还包括步骤在建立所述连接之前判断所述中控设备是否受密钥保护;以及如果所述中控设备受密钥保护,则建立连接,否则结束设置过程。3.如权利要求2所述的初始设置方法,其特征在于,所述密钥是USB密钥。4.如权利要求1或2所述的初始设置方法,其特征在于,还包括步骤判断接收的所述被控设备密钥是否合法;以及如果所述被控设备密钥合法,则将其存储在专用存储器中,否则结束设置过程。5.如权利要求4所述的初始设置方法,其特征在于,通过比较所述被控设备密钥与预先存储的密钥来判断所述被控设备密钥是否合法。6.如权利要求5所述的初始设置方法,其特征在于,所述专用存储器是OptionROM或者HPA。7.如权利要求1所述的初始设置方法,其特征在于,所述中控设备通过蓝牙通信搜索所述无线设备。8.如权利要求1所述的初始设置方法,其特征在于,所述被控设备调用网络驱动程序与所述中控设备之间建立网络连接。9.如权利要求1所述的初始设置方法,其特征在于,所述中控设备通过通用串行总线接口与所述中控设备直接连接。10.如权利要求1所述的初始设置方法,其特征在于,所述被控设备支持扩展固件接口标准。11.一种在包括中控设备、至少一个无线设备和至少一个被控设备的系统中的安全开机方法,所述中控设备存储有...
【专利技术属性】
技术研发人员:金峰,杜晓黎,
申请(专利权)人:联想北京有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。