專利名稱:一種基于bios的計(jì)算機(jī)安全控制系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計(jì)算機(jī)安全控制方法�,特別是一種基于BIOS的計(jì)算機(jī)安全 控制系統(tǒng)和方法。
背景技術(shù):
隨著計(jì)算機(jī)的日益普及以及互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,計(jì)算機(jī)安全控制技術(shù)也 在不斷進(jìn)步�。目前,單機(jī)環(huán)境下的計(jì)算機(jī)安全控制技術(shù)一般實(shí)現(xiàn)于操作系統(tǒng)層面�, 其實(shí)施手段通常有兩種, 一種是身份認(rèn)證機(jī)制增強(qiáng)���,其實(shí)現(xiàn)途徑是替換搡作系統(tǒng) 基于口令的認(rèn)證方式���,改為基于硬件介質(zhì)的雙因素認(rèn)證方式,如智能卡�、USBKey 等;另一種是安全防護(hù)機(jī)制增強(qiáng)�,其實(shí)現(xiàn)途徑是在操作系統(tǒng)層面增加防火墻來(lái)限 制互聯(lián)網(wǎng)上非法用戶的攻擊,增加防水墻來(lái)防止合法用戶進(jìn)行硬盤數(shù)據(jù)竊取等�。
雖然在搡作系統(tǒng)層面增加的安全控制措施能夠在一定程度上滿足人們的安 全需求,但同時(shí)也暴露出一些問(wèn)題�����。 一方面���,很多計(jì)算機(jī)并沒(méi)有在BIOS (Basic Input/Output System)啟動(dòng)階段設(shè)置身份認(rèn)證過(guò)程�,因此�����,非法用戶只需要通過(guò) 簡(jiǎn)單的技術(shù),如光驅(qū)引導(dǎo)��、U盤引導(dǎo)等方式��,就能繞開操作系統(tǒng)的安全控制策略 進(jìn)入計(jì)算機(jī)��,獲取硬盤中存儲(chǔ)的數(shù)據(jù)文件����;另一方面�����,雖然很多計(jì)算機(jī)在BIOS 系統(tǒng)中設(shè)置了基于口令的身份認(rèn)證手段�����,但仍然存在一些缺陷��,如某些合法用 戶仍然可以通過(guò)可引導(dǎo)設(shè)備繞開操作系統(tǒng)的安全控制策略進(jìn)行硬盤數(shù)據(jù)竊?���。环?法用戶通過(guò)CMOS放電等簡(jiǎn)單操作即可清除口令;很多計(jì)算機(jī)廠家對(duì)BIOS系 統(tǒng)設(shè)置了超級(jí)口令�����,這種超級(jí)口令也是一種潛在的安全隱患���。因此�,如何釆取安 全控制手段來(lái)控制搡作系統(tǒng)的安全加載成為計(jì)算機(jī)安全控制技術(shù)發(fā)展的一個(gè)迫 切要求�����。
另外����,如果操作系統(tǒng)啟動(dòng)過(guò)程所依賴的系統(tǒng)軟件或硬件環(huán)境發(fā)生變化,也會(huì) 對(duì)系統(tǒng)的安全構(gòu)成直接威脅���,造成信息泄露的可能���。如用戶將系統(tǒng)的CD-ROM 更換為CD-RW,這樣就可以把硬盤數(shù)據(jù)以數(shù)據(jù)光盤的形式導(dǎo)出,直接造成信息 泄漏���。因此�,在操作系統(tǒng)啟動(dòng)前,相關(guān)的安全控制手段也應(yīng)該對(duì)系統(tǒng)的軟件環(huán)境���、 硬件設(shè)備進(jìn)行一致性校驗(yàn)以確保其安全可靠���。
發(fā)明內(nèi)容
本發(fā)明目的在于提供一種基于BIOS的計(jì)算機(jī)安全控制系統(tǒng)和方法,解決計(jì)
3算機(jī)在搡作系統(tǒng)啟動(dòng)之前缺乏有效的安全控制措施的問(wèn)題��。
一種基于BIOS的計(jì)算機(jī)安全控制系統(tǒng)�����,包括用戶身份認(rèn)證模塊����、系統(tǒng)硬件 完整性度量模塊�、系統(tǒng)軟件完整性度量模塊和操作系統(tǒng)安全加載模塊。其中�����,系 統(tǒng)硬件完整性度量模塊包括硬盤完整性度量子模塊����、光驅(qū)完整性度量子模塊和網(wǎng) 卡完整性度量子模塊��;操作系統(tǒng)安全加載模塊包括安全引導(dǎo)設(shè)置子模塊和安全加 載子模塊�。
用戶身份認(rèn)證模塊分別和系統(tǒng)硬件完整性度量模塊���、系統(tǒng)軟件完整性度量模 塊和操作系統(tǒng)安全加載模塊相連�����,系統(tǒng)硬件完整性度量模塊中的硬盤完整性度量 子模塊�、光驅(qū)完整性度量子模塊和網(wǎng)卡完整性度量子模塊順次連接���,操作系統(tǒng)安 全加載模塊中的安全引導(dǎo)設(shè)置子模塊和安全加載子模塊順次連接����。
一種基于BIOS的計(jì)算機(jī)安全控制方法的具體步驟為
第一步用戶身份認(rèn)證
對(duì)應(yīng)于BIOS安全控制系統(tǒng)的用戶身份認(rèn)證模塊����,對(duì)登錄主機(jī)的用戶進(jìn)行強(qiáng) 制的身份認(rèn)證,以此來(lái)保證用戶身份的合法性���; 第二步系統(tǒng)硬件完整性度量
對(duì)應(yīng)于BIOS安全控制系統(tǒng)的系統(tǒng)硬件完整性度量模塊�����,對(duì)主機(jī)的輸入/輸出 設(shè)備進(jìn)行完整性度量����,以此來(lái)保證操作系統(tǒng)硬件引導(dǎo)環(huán)境的完整性; 第三步系統(tǒng)軟件完整性度量
對(duì)應(yīng)于BIOS安全控制系統(tǒng)的系統(tǒng)軟件完整性度量模塊�����,對(duì)操作系統(tǒng)啟動(dòng)所 涉及的軟件信息進(jìn)行完整性度量���,以此來(lái)保證操作系統(tǒng)軟件引導(dǎo)環(huán)境的完整性����; 第四步搡作系統(tǒng)安全加載
對(duì)應(yīng)于BIOS安全控制系統(tǒng)的搡作系統(tǒng)安全加載模塊��,對(duì)搡作系統(tǒng)的加載方 式進(jìn)行控制����,以此來(lái)防止用戶通過(guò)其他可引導(dǎo)設(shè)備加載其他操作系統(tǒng)���。
至此���,BIOS安全控制方法通過(guò)以上各項(xiàng)安全控制措施�,有效的保證了計(jì)算 機(jī)在搡作系統(tǒng)啟動(dòng)之前的安全性�����。
本發(fā)明具有以下優(yōu)點(diǎn)
1����、 本發(fā)明通用性強(qiáng),既可應(yīng)用于普通計(jì)算機(jī)����,也可應(yīng)用于服務(wù)器、嵌入式 終端等具有BIOS系統(tǒng)的計(jì)算機(jī)�����;
2��、 本發(fā)明不但對(duì)用戶身份進(jìn)行認(rèn)證���,而且對(duì)用戶身份對(duì)應(yīng)的軟件環(huán)境和硬 件環(huán)境進(jìn)行校驗(yàn)�����,這種交互式驗(yàn)證能夠有效保證系統(tǒng)的安全性���;3���、本發(fā)明實(shí)施于BIOS啟動(dòng)階段,能夠保證計(jì)算機(jī)在操作系統(tǒng)啟動(dòng)之前的 安全性�����,同時(shí)不妨礙用戶在操作系統(tǒng)層面繼續(xù)實(shí)施其他的安全控制手段�����,進(jìn)一步 增強(qiáng)系統(tǒng)的安全性���。
圖1為一種基于BIOS的計(jì)算機(jī)安全控制系統(tǒng)的組成結(jié)構(gòu)圖����; 1.用戶身份認(rèn)證模塊 2.系統(tǒng)硬件完整性度量模塊
3.系統(tǒng)軟件完整性度量模塊 4.操作系統(tǒng)安全加載模塊
5.硬盤完整性度量模塊 6.光驅(qū)完整性度量模塊
7.網(wǎng)卡完整性度量模塊 8.安全引導(dǎo)設(shè)置模塊
9.安全加載模塊
具體實(shí)施例方式
一種基于BIOS的計(jì)算機(jī)安全控制系統(tǒng)��,包括用戶身份認(rèn)證模塊l�����、系統(tǒng)硬 件完整性度量模塊2�����、系統(tǒng)軟件完整性度量模塊3和操作系統(tǒng)安全加載模塊4���。 其中��,系統(tǒng)硬件完整性度量模塊2包括硬盤完整性度量子模塊5����、光驅(qū)完整性度 量子模塊6和網(wǎng)卡完整性度量子模塊7;操作系統(tǒng)安全加載模塊4包括安全引導(dǎo) 設(shè)置子模塊8和安全加載子模塊9����。
用戶身份認(rèn)證模塊1分別和系統(tǒng)硬件完整性度量模塊2、系統(tǒng)軟件完整性度 量模塊3和搡作系統(tǒng)安全加載模塊4相連����,系統(tǒng)硬件完整性度量模塊2中的硬盤 完整性度量子模塊5、光驅(qū)完整性度量子模塊6和網(wǎng)卡完整性度量子模塊7順次 連接�,操作系統(tǒng)安全加載模塊4中的安全引導(dǎo)設(shè)置子模塊8和安全加載子模塊9 順次連接。
一種基于BIOS的計(jì)算機(jī)安全控制方法的具體步驟為 第一步用戶身份認(rèn)證
對(duì)應(yīng)于BIOS安全控制系統(tǒng)的用戶身份認(rèn)證模塊1,對(duì)登錄主機(jī)的用戶進(jìn)行 強(qiáng)制的身份認(rèn)證���,以此來(lái)保證用戶身份的合法性�����; 第二步系統(tǒng)硬件完整性度量
對(duì)應(yīng)于BIOS安全控制系統(tǒng)的系統(tǒng)硬件完整性度量模塊2��,對(duì)主機(jī)的輸入/ 輸出設(shè)備進(jìn)行完整性度量��,以此來(lái)保證操作系統(tǒng)硬件引導(dǎo)環(huán)境的完整性�����; 第三步系統(tǒng)軟件完整性度量
對(duì)應(yīng)于BIOS安全控制系統(tǒng)的系統(tǒng)軟件完整性度量模塊3�����,對(duì)搡作系統(tǒng)啟動(dòng)所涉及的軟件信息進(jìn)行完整性度量���,以此來(lái)保證搡作系統(tǒng)軟件引導(dǎo)環(huán)境的完整
性��;
第四步操作系統(tǒng)安全加載
對(duì)應(yīng)于BIOS安全控制系統(tǒng)的操作系統(tǒng)安全加載模塊4��,對(duì)操作系統(tǒng)的加載 方式進(jìn)行控制�,以此來(lái)防止用戶通過(guò)其他可引導(dǎo)設(shè)備加載其他搡作系統(tǒng)�����。 搡作系統(tǒng)成功加載后,BIOS安全控制系統(tǒng)工作過(guò)程結(jié)東�。 至此,BIOS安全控制方法通過(guò)以上各項(xiàng)安全控制措施����,有效的保證了計(jì)算 機(jī)在操作系統(tǒng)啟動(dòng)之前的安全性����。
權(quán)利要求
1. 一種基于BIOS的計(jì)算機(jī)安全控制系統(tǒng),其特征在于包括用戶身份認(rèn)證模塊(1)���、系統(tǒng)硬件完整性度量模塊(2)��、系統(tǒng)軟件完整性度量模塊(3)和操作系統(tǒng)安全加載模塊(4)��;其中�����,系統(tǒng)硬件完整性度量模塊(2)包括硬盤完整性度量子模塊(5)�����、光驅(qū)完整性度量子模塊(6)和網(wǎng)卡完整性度量子模塊(7)�;操作系統(tǒng)安全加載模塊(4)包括安全引導(dǎo)設(shè)置子模塊(8)和安全加載子模塊(9);用戶身份認(rèn)證模塊(1)分別和系統(tǒng)硬件完整性度量模塊(2)����、系統(tǒng)軟件完整性度量模塊(3)和操作系統(tǒng)安全加載模塊(4)相連,系統(tǒng)硬件完整性度量模塊(2)中的硬盤完整性度量子模塊(5)�、光驅(qū)完整性度量子模塊(6)和網(wǎng)卡完整性度量子模塊(7)順次連接,操作系統(tǒng)安全加載模塊(4)中的安全引導(dǎo)設(shè)置子模塊(8)和安全加載子模塊(9)順次連接���。
2. —種基于BIOS的計(jì)算機(jī)安全控制方法���,其特征在于該方法的具體步驟為 第一步用戶身份認(rèn)證對(duì)應(yīng)于BIOS安全控制系統(tǒng)的用戶身份認(rèn)證模塊(1 ),對(duì)登錄主機(jī)的用戶進(jìn) 行強(qiáng)制的身份認(rèn)證,以此來(lái)保證用戶身份的合法性�����; 第二步系統(tǒng)硬件完整性度量對(duì)應(yīng)于BIOS安全控制系統(tǒng)的系統(tǒng)硬件完整性度量模塊(2 ),對(duì)主機(jī)的輸入 /輸出設(shè)備進(jìn)行完整性度量�����,以此來(lái)保證操作系統(tǒng)硬件引導(dǎo)環(huán)境的完整性���; 第三步系統(tǒng)軟件完整性度量對(duì)應(yīng)于BIOS安全控制系統(tǒng)的系統(tǒng)軟件完整性度量模塊(3 ),對(duì)操作系統(tǒng)啟 動(dòng)所涉及的軟件信息進(jìn)行完整性度量����,以此來(lái)保證操作系統(tǒng)軟件引導(dǎo)環(huán)境的完整 性;第四步搡作系統(tǒng)安全加載對(duì)應(yīng)于BIOS安全控制系統(tǒng)的操作系統(tǒng)安全加載模塊(4),對(duì)操作系統(tǒng)的加 載方式進(jìn)行控制�����,以此來(lái)防止用戶通過(guò)其他可引導(dǎo)設(shè)備加載其他操作系統(tǒng)�����;操作 系統(tǒng)成功加載后�����,BIOS安全控制系統(tǒng)工作過(guò)程結(jié)東�;至此��,BIOS安全控制方法通過(guò)以上各項(xiàng)安全控制措施��,有效的保證了計(jì)算 機(jī)在搡作系統(tǒng)啟動(dòng)之前的安全性�����。
全文摘要
本發(fā)明公開了一種基于BIOS的計(jì)算機(jī)安全控制系統(tǒng)和方法����,所述系統(tǒng)包括用戶身份認(rèn)證模塊(1)�、系統(tǒng)硬件完整性度量模塊(2)�����、系統(tǒng)軟件完整性度量模塊(3)和操作系統(tǒng)安全加載模塊(4)����,其中,用戶身份認(rèn)證模塊(1)與其他三個(gè)模塊分別連接��;所述方法主要通過(guò)用戶身份認(rèn)證模塊(1)�、系統(tǒng)硬件完整性度量模塊(2)、系統(tǒng)軟件完整性度量模塊(3)和操作系統(tǒng)安全加載模塊(4)���,實(shí)施用戶身份認(rèn)證�、系統(tǒng)硬件完整性度量�����、系統(tǒng)軟件完整性度量和操作系統(tǒng)安全加載四項(xiàng)安全控制措施����,保證計(jì)算機(jī)在操作系統(tǒng)啟動(dòng)之前的安全性。本方法通用性強(qiáng)���,控制手段全面�,既可單獨(dú)實(shí)施,也可結(jié)合操作系統(tǒng)層面實(shí)施的安全控制手段���,進(jìn)一步增強(qiáng)系統(tǒng)安全性���。
文檔編號(hào)G06F21/00GK101488177SQ20091011997
公開日2009年7月22日 申請(qǐng)日期2009年3月2日 優(yōu)先權(quán)日2009年3月2日
發(fā)明者于吉科, 曾潁明, 紅 李, 杜中平, 斌 王, 王曉程, 陳志浩 申請(qǐng)人:中國(guó)航天科工集團(tuán)第二研究院七○六所