CN101488177A - 一种基于bios的计算机安全控制系统和方法 - Google Patents
一种基于bios的计算机安全控制系统和方法 Download PDFInfo
- Publication number
- CN101488177A CN101488177A CNA2009101199774A CN200910119977A CN101488177A CN 101488177 A CN101488177 A CN 101488177A CN A2009101199774 A CNA2009101199774 A CN A2009101199774A CN 200910119977 A CN200910119977 A CN 200910119977A CN 101488177 A CN101488177 A CN 101488177A
- Authority
- CN
- China
- Prior art keywords
- integrity measurement
- module
- security
- operating system
- submodule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于BIOS的计算机安全控制系统和方法,所述系统包括:用户身份认证模块(1)、系统硬件完整性度量模块(2)、系统软件完整性度量模块(3)和操作系统安全加载模块(4),其中,用户身份认证模块(1)与其他三个模块分别连接;所述方法主要通过用户身份认证模块(1)、系统硬件完整性度量模块(2)、系统软件完整性度量模块(3)和操作系统安全加载模块(4),实施用户身份认证、系统硬件完整性度量、系统软件完整性度量和操作系统安全加载四项安全控制措施,保证计算机在操作系统启动之前的安全性。本方法通用性强,控制手段全面,既可单独实施,也可结合操作系统层面实施的安全控制手段,进一步增强系统安全性。
Description
技术领域
本发明涉及一种计算机安全控制方法,特别是一种基于BIOS的计算机安全控制系统和方法。
背景技术
随着计算机的日益普及以及互联网技术的飞速发展,计算机安全控制技术也在不断进步。目前,单机环境下的计算机安全控制技术一般实现于操作系统层面,其实施手段通常有两种,一种是身份认证机制增强,其实现途径是替换操作系统基于口令的认证方式,改为基于硬件介质的双因素认证方式,如智能卡、USBKey等;另一种是安全防护机制增强,其实现途径是在操作系统层面增加防火墙来限制互联网上非法用户的攻击,增加防水墙来防止合法用户进行硬盘数据窃取等。
虽然在操作系统层面增加的安全控制措施能够在一定程度上满足人们的安全需求,但同时也暴露出一些问题。一方面,很多计算机并没有在BIOS(BasicInput/Output System)启动阶段设置身份认证过程,因此,非法用户只需要通过简单的技术,如光驱引导、U盘引导等方式,就能绕开操作系统的安全控制策略进入计算机,获取硬盘中存储的数据文件;另一方面,虽然很多计算机在BIOS系统中设置了基于口令的身份认证手段,但仍然存在一些缺陷,如:某些合法用户仍然可以通过可引导设备绕开操作系统的安全控制策略进行硬盘数据窃取;非法用户通过CMOS放电等简单操作即可清除口令;很多计算机厂家对BIOS系统设置了超级口令,这种超级口令也是一种潜在的安全隐患。因此,如何采取安全控制手段来控制操作系统的安全加载成为计算机安全控制技术发展的一个迫切要求。
另外,如果操作系统启动过程所依赖的系统软件或硬件环境发生变化,也会对系统的安全构成直接威胁,造成信息泄露的可能。如用户将系统的CD-ROM更换为CD-RW,这样就可以把硬盘数据以数据光盘的形式导出,直接造成信息泄漏。因此,在操作系统启动前,相关的安全控制手段也应该对系统的软件环境、硬件设备进行一致性校验以确保其安全可靠。
发明内容
本发明目的在于提供一种基于BIOS的计算机安全控制系统和方法,解决计算机在操作系统启动之前缺乏有效的安全控制措施的问题。
一种基于BIOS的计算机安全控制系统,包括用户身份认证模块、系统硬件完整性度量模块、系统软件完整性度量模块和操作系统安全加载模块。其中,系统硬件完整性度量模块包括硬盘完整性度量子模块、光驱完整性度量子模块和网卡完整性度量子模块;操作系统安全加载模块包括安全引导设置子模块和安全加载子模块。
用户身份认证模块分别和系统硬件完整性度量模块、系统软件完整性度量模块和操作系统安全加载模块相连,系统硬件完整性度量模块中的硬盘完整性度量子模块、光驱完整性度量子模块和网卡完整性度量子模块顺次连接,操作系统安全加载模块中的安全引导设置子模块和安全加载子模块顺次连接。
一种基于BIOS的计算机安全控制方法的具体步骤为:
第一步:用户身份认证
对应于BIOS安全控制系统的用户身份认证模块,对登录主机的用户进行强制的身份认证,以此来保证用户身份的合法性;
第二步:系统硬件完整性度量
对应于BIOS安全控制系统的系统硬件完整性度量模块,对主机的输入/输出设备进行完整性度量,以此来保证操作系统硬件引导环境的完整性;
第三步:系统软件完整性度量
对应于BIOS安全控制系统的系统软件完整性度量模块,对操作系统启动所涉及的软件信息进行完整性度量,以此来保证操作系统软件引导环境的完整性;
第四步:操作系统安全加载
对应于BIOS安全控制系统的操作系统安全加载模块,对操作系统的加载方式进行控制,以此来防止用户通过其他可引导设备加载其他操作系统。
至此,BIOS安全控制方法通过以上各项安全控制措施,有效的保证了计算机在操作系统启动之前的安全性。
本发明具有以下优点:
1、本发明通用性强,既可应用于普通计算机,也可应用于服务器、嵌入式终端等具有BIOS系统的计算机;
2、本发明不但对用户身份进行认证,而且对用户身份对应的软件环境和硬件环境进行校验,这种交互式验证能够有效保证系统的安全性;
3、本发明实施于BIOS启动阶段,能够保证计算机在操作系统启动之前的安全性,同时不妨碍用户在操作系统层面继续实施其他的安全控制手段,进一步增强系统的安全性。
附图说明
图1为一种基于BIOS的计算机安全控制系统的组成结构图;
1.用户身份认证模块 2.系统硬件完整性度量模块
3.系统软件完整性度量模块 4.操作系统安全加载模块
5.硬盘完整性度量模块 6.光驱完整性度量模块
7.网卡完整性度量模块 8.安全引导设置模块
9.安全加载模块
具体实施方式
一种基于BIOS的计算机安全控制系统,包括用户身份认证模块1、系统硬件完整性度量模块2、系统软件完整性度量模块3和操作系统安全加载模块4。其中,系统硬件完整性度量模块2包括硬盘完整性度量子模块5、光驱完整性度量子模块6和网卡完整性度量子模块7;操作系统安全加载模块4包括安全引导设置子模块8和安全加载子模块9。
用户身份认证模块1分别和系统硬件完整性度量模块2、系统软件完整性度量模块3和操作系统安全加载模块4相连,系统硬件完整性度量模块2中的硬盘完整性度量子模块5、光驱完整性度量子模块6和网卡完整性度量子模块7顺次连接,操作系统安全加载模块4中的安全引导设置子模块8和安全加载子模块9顺次连接。
一种基于BIOS的计算机安全控制方法的具体步骤为:
第一步:用户身份认证
对应于BIOS安全控制系统的用户身份认证模块1,对登录主机的用户进行强制的身份认证,以此来保证用户身份的合法性;
第二步:系统硬件完整性度量
对应于BIOS安全控制系统的系统硬件完整性度量模块2,对主机的输入/输出设备进行完整性度量,以此来保证操作系统硬件引导环境的完整性;
第三步:系统软件完整性度量
对应于BIOS安全控制系统的系统软件完整性度量模块3,对操作系统启动所涉及的软件信息进行完整性度量,以此来保证操作系统软件引导环境的完整性;
第四步:操作系统安全加载
对应于BIOS安全控制系统的操作系统安全加载模块4,对操作系统的加载方式进行控制,以此来防止用户通过其他可引导设备加载其他操作系统。
操作系统成功加载后,BIOS安全控制系统工作过程结束。
至此,BIOS安全控制方法通过以上各项安全控制措施,有效的保证了计算机在操作系统启动之前的安全性。
Claims (2)
1.一种基于BIOS的计算机安全控制系统,其特征在于:包括用户身份认证模块(1)、系统硬件完整性度量模块(2)、系统软件完整性度量模块(3)和操作系统安全加载模块(4);其中,系统硬件完整性度量模块(2)包括硬盘完整性度量子模块(5)、光驱完整性度量子模块(6)和网卡完整性度量子模块(7);操作系统安全加载模块(4)包括安全引导设置子模块(8)和安全加载子模块(9);用户身份认证模块(1)分别和系统硬件完整性度量模块(2)、系统软件完整性度量模块(3)和操作系统安全加载模块(4)相连,系统硬件完整性度量模块(2)中的硬盘完整性度量子模块(5)、光驱完整性度量子模块(6)和网卡完整性度量子模块(7)顺次连接,操作系统安全加载模块(4)中的安全引导设置子模块(8)和安全加载子模块(9)顺次连接。
2.一种基于BIOS的计算机安全控制方法,其特征在于该方法的具体步骤为:
第一步:用户身份认证
对应于BIOS安全控制系统的用户身份认证模块(1),对登录主机的用户进行强制的身份认证,以此来保证用户身份的合法性;
第二步:系统硬件完整性度量
对应于BIOS安全控制系统的系统硬件完整性度量模块(2),对主机的输入/输出设备进行完整性度量,以此来保证操作系统硬件引导环境的完整性;
第三步:系统软件完整性度量
对应于BIOS安全控制系统的系统软件完整性度量模块(3),对操作系统启动所涉及的软件信息进行完整性度量,以此来保证操作系统软件引导环境的完整性;
第四步:操作系统安全加载
对应于BIOS安全控制系统的操作系统安全加载模块(4),对操作系统的加载方式进行控制,以此来防止用户通过其他可引导设备加载其他操作系统;操作系统成功加载后,BIOS安全控制系统工作过程结束;
至此,BIOS安全控制方法通过以上各项安全控制措施,有效的保证了计算机在操作系统启动之前的安全性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2009101199774A CN101488177A (zh) | 2009-03-02 | 2009-03-02 | 一种基于bios的计算机安全控制系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2009101199774A CN101488177A (zh) | 2009-03-02 | 2009-03-02 | 一种基于bios的计算机安全控制系统和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101488177A true CN101488177A (zh) | 2009-07-22 |
Family
ID=40891063
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2009101199774A Pending CN101488177A (zh) | 2009-03-02 | 2009-03-02 | 一种基于bios的计算机安全控制系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101488177A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102819705A (zh) * | 2012-07-26 | 2012-12-12 | 郑州信大捷安信息技术股份有限公司 | 在主引导区实现系统文件完整性验证的系统及方法 |
CN105893833A (zh) * | 2016-03-31 | 2016-08-24 | 山东超越数控电子有限公司 | 一种用于固件安全管理的硬件接口 |
CN106909848A (zh) * | 2015-12-22 | 2017-06-30 | 中电科技(北京)有限公司 | 一种基于bios扩展的计算机安全增强系统及其方法 |
CN109214187A (zh) * | 2017-06-29 | 2019-01-15 | 龙芯中科技术有限公司 | 一种控制计算机启动的方法、装置和电子设备 |
WO2020187206A1 (zh) * | 2019-03-19 | 2020-09-24 | 联芸科技(杭州)有限公司 | 一种基于固态盘主控的可信计算系统实现方案 |
-
2009
- 2009-03-02 CN CNA2009101199774A patent/CN101488177A/zh active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102819705A (zh) * | 2012-07-26 | 2012-12-12 | 郑州信大捷安信息技术股份有限公司 | 在主引导区实现系统文件完整性验证的系统及方法 |
CN102819705B (zh) * | 2012-07-26 | 2014-11-19 | 郑州信大捷安信息技术股份有限公司 | 在主引导区实现系统文件完整性验证的系统及方法 |
CN106909848A (zh) * | 2015-12-22 | 2017-06-30 | 中电科技(北京)有限公司 | 一种基于bios扩展的计算机安全增强系统及其方法 |
CN105893833A (zh) * | 2016-03-31 | 2016-08-24 | 山东超越数控电子有限公司 | 一种用于固件安全管理的硬件接口 |
CN105893833B (zh) * | 2016-03-31 | 2019-07-05 | 山东超越数控电子有限公司 | 一种用于固件安全管理的硬件接口 |
CN109214187A (zh) * | 2017-06-29 | 2019-01-15 | 龙芯中科技术有限公司 | 一种控制计算机启动的方法、装置和电子设备 |
WO2020187206A1 (zh) * | 2019-03-19 | 2020-09-24 | 联芸科技(杭州)有限公司 | 一种基于固态盘主控的可信计算系统实现方案 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101980235B (zh) | 一种安全计算平台 | |
CN105205401B (zh) | 基于安全密码芯片的可信计算机系统及其可信引导方法 | |
CN101281577B (zh) | 一种对bios进行保护的可信计算系统及其应用方法 | |
CN105095768B (zh) | 一种基于虚拟化的可信服务器信任链的构建方法 | |
US20170024563A1 (en) | Methods and Apparatus for Remeasuring A Virtual Machine Monitor | |
CN107506663A (zh) | 基于可信bmc的服务器安全启动方法 | |
US11165572B2 (en) | Trusted measuring method, apparatus, system, storage medium, and computing device | |
CN107403098A (zh) | 可信工业控制计算机启动阶段的主动安全防护方法及可信工业控制计算机 | |
US20090288161A1 (en) | Method for establishing a trusted running environment in the computer | |
JP5373753B2 (ja) | 複数の認証済みコードモジュールを利用するプロセッサ、方法、及びシステム | |
CN100481107C (zh) | 一种基于可信平台模块和指纹识别的身份控制方法 | |
CN101281570B (zh) | 一种可信计算系统 | |
CN105373731A (zh) | 用于提供可信平台模块服务的设备和方法 | |
JP5981035B2 (ja) | ハードウェアによるアクセス保護 | |
JP7100201B2 (ja) | トラステッドコンピューティング方法およびサーバ | |
CN104794394B (zh) | 一种虚拟机启动校验的方法及装置 | |
CN101488177A (zh) | 一种基于bios的计算机安全控制系统和方法 | |
CN101432752A (zh) | 可信平台现场升级系统和方法 | |
CN103514411A (zh) | 启动电子设备的方法及电子设备安全系统 | |
CN102270229B (zh) | 一种bios级系统文件的度量方法 | |
CN102298679B (zh) | 一种基于USB key的BIOS认证方法 | |
CN104361280B (zh) | 一种通过smi中断实现对usb存储设备进行可信认证的方法 | |
CN101336411B (zh) | Os运行前阶段中计算系统的访问控制的方法和系统 | |
JP6354438B2 (ja) | 情報処理装置、情報処理システム及び処理プログラム | |
CN107707550B (zh) | 访问虚拟机的方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090722 |