一種設備安全保護方法及系統與流程

本發明涉及設備安全技術領域，特別涉及一種設備安全保護方法及系統。

背景技術：

目前，作為一種操作系統的啟動程序，grub(即GRand Unified Bootloader)的應用非常廣泛。然而，在傳統的設備系統中，非授權用戶可以在grub引導Linux操作系統前，能夠通過重新編輯引導參數的方式，來強制Linux操作系統進行單用戶啟動或者直接進入Linux操作系統的/bin/sh，從而繞過了用戶登錄密碼認證過程，在這樣的情況下，非授權用戶便可對Linux操作系統的超級用戶密碼進行修改，進而可以盜取設備軟件系統中的文件，嚴重降低了軟件系統的數據安全性。

綜上所述可以看出，如何提升設備軟件系統的數據安全性是目前有待解決的問題。

技術實現要素：

有鑒于此，本發明的目的在于提供一種設備安全保護方法及系統，提升了設備軟件系統的數據安全性。其具體方案如下：

一種設備安全保護方法，包括：

預先創建用于打開參數編輯界面的合法賬號密碼；其中，所述參數編輯界面為用于對設備的Linux操作系統啟動時所使用的grub引導參數進行編輯的界面；

當獲取到用戶觸發的界面打開指令，則生成賬號密碼輸入框；

通過所述賬號密碼輸入框，獲取到用戶輸入的待驗證賬號密碼；

判斷所述待驗證賬號密碼是否與所述合法賬號密碼是否一致，如果是，則打開所述參數編輯界面，如果否，則禁止打開所述參數編輯界面。

優選的，所述預先創建用于打開參數編輯界面的合法賬號密碼的過程，包括：

預先通過在grub.cfg配置文件中設置用戶名和密碼的方式，創建用于打開所述參數編輯界面的合法賬號密碼。

優選的，所述設備安全保護方法，還包括：

在將軟件系統安裝到設備相應的磁盤分區之前，對所述磁盤分區進行加密處理，得到加密后的磁盤分區，然后將所述軟件系統安裝到所述加密后的磁盤分區。

優選的，所述對所述磁盤分區進行加密處理的過程，包括：

利用cryptsetup命令，對所述磁盤分區進行加密處理，得到所述加密后的磁盤分區。

優選的，所述設備安全保護方法，還包括：

在將initrd文件掛載到所述加密后的磁盤分區之前，先對利用cryptsetup命令，對所述加密后的磁盤分區進行解密，得到解密后的磁盤分區，然后將所述initrd文件掛載到所述解密后的磁盤分區。

本發明還相應公開了一種設備安全保護系統，包括：

賬號密碼創建模塊，用于預先創建用于打開參數編輯界面的合法賬號密碼；其中，所述參數編輯界面為用于對設備的Linux操作系統啟動時所使用的grub引導參數進行編輯的界面；

輸入框生成模塊，用于當獲取到用戶觸發的界面打開指令，則生成賬號密碼輸入框；

賬號密碼獲取模塊，用于通過所述賬號密碼輸入框，獲取到用戶輸入的待驗證賬號密碼；

賬號密碼判斷模塊，用于判斷所述待驗證賬號密碼是否與所述合法賬號密碼是否一致，如果是，則打開所述參數編輯界面，如果否，則禁止打開所述參數編輯界面。

優選的，所述賬號密碼創建模塊，具體用于預先通過在grub.cfg配置文件中設置用戶名和密碼的方式，創建用于打開所述參數編輯界面的合法賬號密碼。

優選的，所述設備安全保護系統，還包括：

分區加密模塊，用于在軟件安裝模塊將軟件系統安裝到設備相應的磁盤分區之前，對所述磁盤分區進行加密處理，得到加密后的磁盤分區，然后通過所述軟件安裝模塊將所述軟件系統安裝到所述加密后的磁盤分區。

優選的，所述分區加密模塊，具體用于利用cryptsetup命令，對所述磁盤分區進行加密處理，得到所述加密后的磁盤分區。

優選的，所述設備安全保護系統，還包括：

分區解密模塊，用于在文件掛載模塊將initrd文件掛載到所述加密后的磁盤分區之前，先對利用cryptsetup命令，對所述加密后的磁盤分區進行解密，得到解密后的磁盤分區，然后通過所述文件掛載模塊將所述initrd文件掛載到所述解密后的磁盤分區。

本發明中，設備安全保護方法，包括：預先創建用于打開參數編輯界面的合法賬號密碼；其中，參數編輯界面為用于對設備的Linux操作系統啟動時所使用的grub引導參數進行編輯的界面；當獲取到用戶觸發的界面打開指令，則生成賬號密碼輸入框；通過賬號密碼輸入框，獲取到用戶輸入的待驗證賬號密碼；判斷待驗證賬號密碼是否與合法賬號密碼是否一致，如果是，則打開參數編輯界面，如果否，則禁止打開參數編輯界面。可見，本發明預先創建了用于打開參數編輯界面的合法賬號密碼，在用戶企圖編輯grub引導參數時，將會要求用戶輸入賬號密碼，只有到該賬號密碼與預先創建的合法賬號密碼相一致，才允許打開參數編輯界面，否則，將禁止打開參數編輯界面，由此可以阻止非授權用戶通過重新編輯引導參數的方式來繞開用戶登錄密碼認證過程，從而提升了設備軟件系統的數據安全性。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據提供的附圖獲得其他的附圖。

圖1為本發明實施例公開的一種設備安全保護方法流程圖；

圖2為本發明實施例公開的一種設備安全保護系統結構示意圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

本發明實施例公開了一種設備安全保護方法，參見圖1所示，該方法包括：

步驟S11：預先創建用于打開參數編輯界面的合法賬號密碼；其中，參數編輯界面為用于對設備的Linux操作系統啟動時所使用的grub引導參數進行編輯的界面。

可以理解的是，上述合法賬號密碼包括了合法賬號以及相應的密碼信息。其中，本實施例中用于打開上述參數編輯界面的合法賬戶密碼的數量可以是一個，也可以是多個，可基于實際應用需要進行具體設定。

步驟S12：當獲取到用戶觸發的界面打開指令，則生成賬號密碼輸入框。

本實施例中，當用戶需要嘗試進入上述參數編輯界面，可以讓用戶通過點擊預設按鈕的方式來觸發上述界面打開指令，當后臺獲取到該界面打開指令后，則識別出用戶企圖進入上述參數編輯界面，此時本實施例并不會直接打開參數編輯界面，而是選擇生成上述賬號密碼輸入框，以通過該賬號密碼輸入框，來進一步獲取用戶輸入的賬號密碼，后續需要對該賬號密碼進行驗證處理，只有當驗證通過，方可打開上述參數編輯界面。

步驟S13：通過賬號密碼輸入框，獲取到用戶輸入的待驗證賬號密碼。

步驟S14：判斷待驗證賬號密碼是否與合法賬號密碼是否一致，如果是，則打開參數編輯界面，如果否，則禁止打開參數編輯界面。

本發明實施例中，設備安全保護方法，包括：預先創建用于打開參數編輯界面的合法賬號密碼；其中，參數編輯界面為用于對設備的Linux操作系統啟動時所使用的grub引導參數進行編輯的界面；當獲取到用戶觸發的界面打開指令，則生成賬號密碼輸入框；通過賬號密碼輸入框，獲取到用戶輸入的待驗證賬號密碼；判斷待驗證賬號密碼是否與合法賬號密碼是否一致，如果是，則打開參數編輯界面，如果否，則禁止打開參數編輯界面。可見，本發明實施例預先創建了用于打開參數編輯界面的合法賬號密碼，在用戶企圖編輯grub引導參數時，將會要求用戶輸入賬號密碼，只有到該賬號密碼與預先創建的合法賬號密碼相一致，才允許打開參數編輯界面，否則，將禁止打開參數編輯界面，由此可以阻止非授權用戶通過重新編輯引導參數的方式來繞開用戶登錄密碼認證過程，從而提升了設備軟件系統的數據安全性。

本發明實施例公開了一種具體的設備安全保護方法，相對于上一實施例，本實施例對技術方案作了進一步的說明和優化。具體的：

上一實施例步驟S11中，需要預先創建用于打開參數編輯界面的合法賬號密碼。其中，上述預先創建用于打開參數編輯界面的合法賬號密碼的過程，可以包括：

預先通過在grub.cfg配置文件中設置用戶名和密碼的方式，創建用于打開參數編輯界面的合法賬號密碼。具體的，是在grub.cfg配置文件設置superusers username和pbkdf2_password，由此可得到上述合法賬號密碼。其中，上述pbkdf2_password是用grub2-mkpasswd-pbkdf2命令生成的非明文密碼。

另外，為了確定設備中軟件系統的數據安全性，本實施例中的設備安全保護方法，還可以包括：

在將軟件系統安裝到設備相應的磁盤分區之前，對磁盤分區進行加密處理，得到加密后的磁盤分區，然后將軟件系統安裝到加密后的磁盤分區。

其中，對上述磁盤分區進行加密處理的過程，包括：利用cryptsetup命令，對磁盤分區進行加密處理，得到加密后的磁盤分區。具體的加密過程如下：

先采用cryptsetup luksFormat/dev/sda2命令格式化磁盤分區，其中，/dev/sda2是將要被加密的磁盤分區，需要根據實際情況修改此磁盤分區，然后采用cryptsetup luksAddKey/dev/sda2增加keyfile認證方式，從而得到加密后的磁盤分區。

在得到加密后的磁盤分區之后，可以使用cryptsetup luksOpen/dev/sda2newname打開上述經過加密的磁盤分區。為了將軟件系統安裝到上述加密后的磁盤分區，本實施例中，需要利用mkfs.ext4/dev/mapper/newname為磁盤分區創建文件系統，然后利用mount/dev/mapper/newname/mnt來掛載磁盤分區，此時就可以把設備軟件系統放入到這個磁盤分區了。

由于上述磁盤分區經過加密后，initrd文件將無法直接掛載到磁盤分區，此時需要先對上述加密后的磁盤分區進行解密處理。也即，本實施例中，上述設備安全保護方法，還可包括：

在將initrd文件掛載到加密后的磁盤分區之前，先對利用cryptsetup命令，對加密后的磁盤分區進行解密，得到解密后的磁盤分區，然后將initrd文件掛載到解密后的磁盤分區。

相應的，本發明實施例還公開了一種設備安全保護系統，參見圖2所示，該系統包括：

賬號密碼創建模塊21，用于預先創建用于打開參數編輯界面的合法賬號密碼；其中，參數編輯界面為用于對設備的Linux操作系統啟動時所使用的grub引導參數進行編輯的界面；

輸入框生成模塊22，用于當獲取到用戶觸發的界面打開指令，則生成賬號密碼輸入框；

賬號密碼獲取模塊23，用于通過賬號密碼輸入框，獲取到用戶輸入的待驗證賬號密碼；

賬號密碼判斷模塊24，用于判斷待驗證賬號密碼是否與合法賬號密碼是否一致，如果是，則打開參數編輯界面，如果否，則禁止打開參數編輯界面。

可見，本發明實施例預先創建了用于打開參數編輯界面的合法賬號密碼，在用戶企圖編輯grub引導參數時，將會要求用戶輸入賬號密碼，只有到該賬號密碼與預先創建的合法賬號密碼相一致，才允許打開參數編輯界面，否則，將禁止打開參數編輯界面，由此可以阻止非授權用戶通過重新編輯引導參數的方式來繞開用戶登錄密碼認證過程，從而提升了設備軟件系統的數據安全性。

具體的，上述賬號密碼創建模塊，可以用于預先通過在grub.cfg配置文件中設置用戶名和密碼的方式，創建用于打開參數編輯界面的合法賬號密碼。

另外，本實施例中的設備安全保護系統，還可以進一步包括：

分區加密模塊，用于在軟件安裝模塊將軟件系統安裝到設備相應的磁盤分區之前，對磁盤分區進行加密處理，得到加密后的磁盤分區，然后通過軟件安裝模塊將軟件系統安裝到加密后的磁盤分區。

其中，上述分區加密模塊，具體用于利用cryptsetup命令，對磁盤分區進行加密處理，得到加密后的磁盤分區。

進一步的，上述設備安全保護系統，還可以包括：

分區解密模塊，用于在文件掛載模塊將initrd文件掛載到加密后的磁盤分區之前，先對利用cryptsetup命令，對加密后的磁盤分區進行解密，得到解密后的磁盤分區，然后通過文件掛載模塊將initrd文件掛載到解密后的磁盤分區。

最后，還需要說明的是，在本文中，諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。

以上對本發明所提供的一種設備安全保護方法及系統進行了詳細介紹，本文中應用了具體個例對本發明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發明的方法及其核心思想；同時，對于本領域的一般技術人員，依據本發明的思想，在具體實施方式及應用范圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本發明的限制。