CN101673330A - 一种基于bios的计算机安全防护方法及系统 - Google Patents
一种基于bios的计算机安全防护方法及系统 Download PDFInfo
- Publication number
- CN101673330A CN101673330A CN200810119930A CN200810119930A CN101673330A CN 101673330 A CN101673330 A CN 101673330A CN 200810119930 A CN200810119930 A CN 200810119930A CN 200810119930 A CN200810119930 A CN 200810119930A CN 101673330 A CN101673330 A CN 101673330A
- Authority
- CN
- China
- Prior art keywords
- bios
- usbkey
- steps
- operating system
- security protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种BIOS级的计算机安全防护方法及系统,方法包括:A、在计算机启动完成自检后、载入操作系统之前进行USBKEY身份认证;B、若身份认证通过则执行步骤C,若未通过则不允许执行后续操作;C、判断是否需要进行BIOS级设备管理,是则执行BIOS级设备管理操作,之后载入操作系统;否则直接载入操作系统。系统包括:USBKEY身份认证模块和设备管理模块;USBKEY身份认证模块用于在计算机启动完成自检后、载入操作系统前进行USBKEY身份认证;设备管理模块用于在身份认证之后、载入操作系统前进行设备管理。USBKEY身份认证模块和设备管理模块均被植入BIOS中,BIOS有防烧写功能。
Description
技术领域
本发明属于计算机安全技术领域,尤其涉及一种基于BIOS(基本输入输出系统,Basic Input/Output System)的计算机安全防护方法及系统。
背景技术
目前随着计算机的普及以及互联网的日益完善,安全性是许多计算机及其系统首先考虑的问题。现行的许多计算机系统中,包括许多非常机密的系统,都使用传统的身份认证方法来进行用户的身份认证和访问控制,即使用“用户ID+密码”的方法。实际上,这种方案隐含着一些问题,一旦密码忘记、被盗取或被破解,则会给用户带来麻烦甚至重大损失。通常的解决方法如下:
1)系统通过要求用户及时改变他们的口令来防止盗用口令行为,这种方法的缺陷在于,增加了用户的记忆负担,也不能从根本上解决问题。
2)利用操作系统的安全策略,如Windows下的密码长度最小值,密码最长存留及密码必须符合复杂性、安全性等特性。这在一定程度能保证系统的安全性。这种方法的缺陷在于,这种保护是基于操作系统下的,如果非法用户用其它操作系统启动系统,系统还是得不到保护。
3)基于操作系统的USBKEY身份认证登录。在操作系统登录过程中,不是使用“用户ID+密码”的方法登录,而是通过USBKEY身份认证的方法登录操作系统。USBKEY是一种低成本、便携的硬件计算机设备,它可以通过USB接口与计算机连接。USBKEY不需要附加电源,是集智能芯片和读写器于一体的USB接口设备,基于带安全操作系统的智能卡技术,能用来存储个人信息、PIN、密钥、证书等数据。其支持多种加密算法,加密运算在智能芯片中完成,外部系统无法跟踪到密钥。
USBKEY身份认证过程大致包括如下步骤:
1、系统弹出USBKEY登陆对话框;
2、插入USBKEY,通过USB接口与计算机通信;
3、计算机获取USBKEY信息(如密钥、PIN码、证书等);
4、用户在登陆对话框输入相应PIN码,以效验;
5、通过后即可完成身份认证。
USBKEY具有如下优点:
1、USBKEY身份认证具有双因素安全性,既保证了数据信息的加密,又加以PIN码效验;
2、USBKEY通过计算机USB通信,速率快、保密性好;
3、每个USBKEY具有唯一的ID,保证了身份认证的唯一性。
基于操作系统的USBKEY身份认证登录,能极大地保证操作系统的安全性。然而该种计算机安全防护方法的缺陷在于,如果非法用户用其它操作系统启动系统,则计算机系统还是得不到保护。
综上所述,目前虽然有了多种系统身份认证和访问控制的方法,但它们有的只是操作系统层面上的保护方法,有的则用频繁改变口令来保护系统,很多时候并不能起到真正有效的保护作用。
发明内容
本发明要解决的技术问题是提供一种有效的计算机安全防护方法及系统,采用该方法/系统,即使非法用户用其它操作系统来启动计算机系统,也能使计算机系统得到有效防护。
为解决上述技术问题,本发明方法包括如下步骤:
步骤A、在计算机启动完成自检后、载入操作系统之前进行BIOS级的USBKEY身份认证;
步骤B、若步骤A所述USBKEY身份认证通过则执行步骤C,若未通过则不允许执行后续操作;
步骤C、根据实际情况决定是否需要进行BIOS级设备管理,如果需要,则进行BIOS级设备管理操作,之后再载入操作系统;如果不需要则直接载入操作系统。
在所述步骤A中,该BIOS级的USBKEY身份认证具体可以为包括如下步骤:
步骤A1、判断是否为合法USBKEY设备,如果否,则重启计算机,如果是,则进行步骤A2;
步骤A2、提示用户输入PIN码;
步骤A3、校验步骤A2中输入的PIN码是否正确,如果正确则身份认证通过,否则错误计数加1;
步骤A4、若错误计数等于某一个预设值,则计算机自动重启;若错误计数小于该预设值,则返回步骤A2。
在所述步骤C中,BIOS级设备管理操作具体可以为包括如下步骤:
步骤C1、进入BIOS级设备管理菜单,判断是否进行BIOS级设备管理,如果否,则所有设备都默认为启用,载入操作系统;如果是,则执行步骤C2;
步骤C2、进入设备启用选择界面,用户输入本次启用的设备编号;
步骤C3、判断用户输入是否正确,如果是,则启用相应设备,载入操作系统,如果否,则返回步骤C2。
为解决上述技术问题,本发明计算机安全防护系统包括:
USBKEY身份认证模块和/或设备管理模块;
其中,USBKEY身份认证模块用于在计算机启动完成自检后、载入操作系统之前进行USBKEY身份认证;
如果该安全防护系统不包括USBKEY身份认证模块,则设备管理模块用于在计算机启动完成自检后、载入操作系统之前进行设备管理;
如果该安全防护系统包括USBKEY身份认证模块,则设备管理模块用于在所述USBKEY身份认证操作之后、载入操作系统之前进行设备管理。
所述USBKEY身份认证模块和/或设备管理模块被植入到基本输入输出系统中,基本输入输出系统则增加了防烧写的自我保护功能,使本发明系统更加安全可靠。
该安全防护系统还可以进一步包括操作系统级的安全防护相关模块。
本发明方法的有益效果为:
现有USBKEY都是基于操作系统级的身份认证,一旦操作系统更新、重装之后,USBKEY便会失效;而BIOS级的USBKEY身份认证技术,是将USBKEY功能模块植入到计算机原有BIOS程序中,固化到计算机BIOS芯片上,计算机重启自检以后,USBKEY功能模块即生效。
其次,现有USBKEY身份认证策略都是基于操作系统的,一旦非法用户利用其它操作系统访问,计算机还是得不到保护;而BIOS级的USBKEY身份认证技术,是在计算机BIOS启动自检时进行USBKEY身份认证,此环节无法跳过,保证USBKEY功能的使用。
再次,现有USBKEY身份认证都需要与操作系统下的认证程序相配合,一旦操作系统受到非法入侵,认证程序没有启动,则USBKEY将会失效;而BIOS级的USBKEY身份认证技术,是将USBKEY功能模块固化到BIOS芯片上,结合BIOS防烧写技术,保护BIOS自身安全,使USBKEY功能更具可靠性。
最后,现有的设备管理方案主要分为两类:一类是在CMOS中进行设备开启或关闭,其缺陷是每次都必须进入CMOS进行配置,配置之后还需要重启计算机,这极不方便;另一类是在Windows中进行设备管理,其缺陷是在操作系统启动前无法控制设备,从而为非法用户访问计算机提供可能。而BIOS级的设备管理则克服了上述缺陷。
附图说明
图1是本发明方法一个具体实施例的流程图;
图2是BIOS级的USBKEY身份认证流程示意图;
图3是BIOS级的设备管理流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细说明。
图1是本发明方法一个具体实施例的流程图,如图所示,本发明方法具体实现过程如下:
将遵守BIOS格式的USBKEY身份认证功能模块插入BIOS中;计算机启动,完成BIOS自检;之后BIOS调用USBKEY身份认证功能模块,首先检测USBKEY是否插入到计算机的接口上,如果是则进行USBKEY身份认证,否则提示用户插入USBKEY。
USBKEY身份认证成功后,进入设备管理菜单,并在设备管理操作完成后载入操作系统;USBKEY身份认证失败,则阻止进入下一程序。
其中,USBKEY身份认证功能模块植入BIOS的具体实现方式可以为包括如下步骤:
第一步、读取原始的BIOS镜像;
第二步、分析BIOS镜像的模块结构,搜索空白空间;
第三步、将USBKEY身份认证功能模块插入空白空间,形成新的BIOS镜像;第四步、将新的BIOS镜像烧写入BIOS芯片中。
图2是BIOS级的USBKEY身份认证流程示意图,如图所示,进行BIOS级USBKEY身份认证需执行如下步骤:
步骤1、判断是否为合法USBKEY设备,如果否,则重启计算机,如果是,则进入步骤2;
步骤2、提示用户输入PIN码;
步骤3、校验步骤2中输入的PIN码是否正确,如果正确则身份认证成功,进入BIOS级设备管理菜单,否则错误计数加1;
步骤4、如果错误计数等于3,计算机自动重启;如果错误计数小于3,则返回步骤2。
图3是BIOS级的设备管理流程示意图,如图所示,USBKEY身份认证通过后,进入BIOS级设备管理菜单,BIOS级设备管理步骤如下:
步骤1、判断是否进行BIOS级设备管理,如果否,则所有设备都默认为启用,载入操作系统,如果是,则进行步骤2;
步骤2、进入设备启用选择界面,用户输入本次启用的设备编号;
步骤3、判断用户输入是否正确,如果是,则启用相应设备,载入操作系统,如果否,则返回步骤2。
本发明是针对计算机开机身份认证和设备管理做出的一种改进、增强方法,将现有操作系统级的USBKEY身份认证方法进行革新,将USBKEY身份认证功能模块植入到BIOS程序中,使其固化到BIOS芯片上,并加以防烧写的自我保护功能。增强了计算机开机身份认证登陆的有效性,安全性。
所述BIOS芯片防烧写可采用以下两种方案:
1、硬件保护。主板上有硬跳线或开关,其开启时能够进行BIOS烧写操作,否则不能;
2、CMOS设置。开机进入CMOS设置,选择开启或关闭BIOS防烧写。
同时,本发明增加了BIOS级的设备管理功能,将设备管理功能模块也植入到计算机BIOS程序中,计算机启动自检之后,登陆操作系统之前便进入设备管理菜单,对计算机设备进行有效管理。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应注意的是,以上所述仅为本发明的具体实施例而已,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求记载的技术方案及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (6)
1、一种基于BIOS即基本输入输出系统的计算机安全防护方法,其特征在于包括如下步骤:
步骤A、在计算机启动完成自检后、载入操作系统之前进行BIOS级的USBKEY身份认证;
步骤B、若步骤A所述USBKEY身份认证通过则执行步骤C,若未通过则不允许执行后续操作;
步骤C、根据实际情况决定是否需要进行BIOS级设备管理,如果需要,则进行BIOS级设备管理操作,之后再载入操作系统;如果不需要则直接载入操作系统。
2、根据权利要求1所述的基于BIOS的计算机安全防护方法,其特征在于,在所述步骤A中,该BIOS级的USBKEY身份认证具体可以为包括如下步骤:
步骤A1、判断是否为合法USBKEY设备,如果否,则重启计算机,如果是,则进行步骤A2;
步骤A2、提示用户输入PIN码;
步骤A3、校验步骤A2中输入的PIN码是否正确,如果正确则身份认证通过,否则错误计数加1;
步骤A4、若错误计数等于某一个预设值,则计算机自动重启;若错误计数小于该预设值,则返回步骤A2。
3、根据权利要求1或2所述的基于BIOS的计算机安全防护方法,其特征在于,在所述步骤C中,BIOS级设备管理操作具体为包括如下步骤:
步骤C1、进入BIOS级设备管理菜单,判断是否进行BIOS级设备管理,如果否,则所有设备都默认为启用,载入操作系统;如果是,则执行步骤C2;
步骤C2、进入设备启用选择界面,用户输入本次启用的设备编号;
步骤C3、判断用户输入是否正确,如果是,则启用相应设备,载入操作系统,如果否,则返回步骤C2。
4、一种基于BIOS的计算机安全防护系统,其特征在于:
该系统包括USBKEY身份认证模块和/或设备管理模块;
其中,USBKEY身份认证模块用于在计算机启动完成自检后、载入操作系统之前进行USBKEY身份认证;
如果该安全防护系统不包括USBKEY身份认证模块,则设备管理模块用于在计算机启动完成自检后、载入操作系统之前进行设备管理;
如果该安全防护系统包括USBKEY身份认证模块,则设备管理模块用于在所述USBKEY身份认证操作之后、载入操作系统之前进行设备管理。
5、根据权利要求4所述的基于BIOS的计算机安全防护系统,其特征在于:
所述USBKEY身份认证模块和/或设备管理模块被植入到基本输入输出系统中;基本输入输出系统具有防烧写的自我保护功能。
6、根据权利要求4或5所述的基于BIOS的计算机安全防护系统,其特征在于:
该系统还包括操作系统级的安全防护相关模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810119930A CN101673330A (zh) | 2008-09-10 | 2008-09-10 | 一种基于bios的计算机安全防护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810119930A CN101673330A (zh) | 2008-09-10 | 2008-09-10 | 一种基于bios的计算机安全防护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101673330A true CN101673330A (zh) | 2010-03-17 |
Family
ID=42020552
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810119930A Pending CN101673330A (zh) | 2008-09-10 | 2008-09-10 | 一种基于bios的计算机安全防护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101673330A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102298680A (zh) * | 2011-08-12 | 2011-12-28 | 曙光信息产业(北京)有限公司 | 一种计算机安全启动的方法 |
| CN102915415A (zh) * | 2011-08-04 | 2013-02-06 | 中国长城计算机深圳股份有限公司 | 一种移动终端的安全控制方法及系统 |
| CN103020509A (zh) * | 2011-09-26 | 2013-04-03 | 深圳市顶星数码网络技术有限公司 | 一种终端设备加密与解密方法、装置及终端设备 |
| CN103902876A (zh) * | 2012-12-24 | 2014-07-02 | 上海格尔软件股份有限公司 | 一种识别并使用加密介质的通用方法 |
| CN104079414A (zh) * | 2014-07-18 | 2014-10-01 | 成都卫士通信息产业股份有限公司 | 一种带有身份鉴别机制的加密机认证方法及装置 |
| CN104572093A (zh) * | 2014-12-30 | 2015-04-29 | 北京工业大学 | 使用usb控制器实现终端设备双操作系统启动的方法 |
| CN104951701A (zh) * | 2015-06-10 | 2015-09-30 | 北京工业大学 | 一种基于usb控制器的终端设备操作系统引导的方法 |
| CN105631259A (zh) * | 2015-04-28 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 开机验证方法、开机验证装置和终端 |
| CN106339616A (zh) * | 2016-09-12 | 2017-01-18 | 合肥联宝信息技术有限公司 | 计算机的启动方法及装置 |
| CN112597504A (zh) * | 2020-12-22 | 2021-04-02 | 中国兵器装备集团自动化研究所 | 一种国产化计算机两级安全启动系统及方法 |
| CN113157323A (zh) * | 2021-02-24 | 2021-07-23 | 联想(北京)有限公司 | 一种控制方法、装置及电子设备 |
| CN112597504B (zh) * | 2020-12-22 | 2024-04-30 | 中国兵器装备集团自动化研究所有限公司 | 一种国产化计算机两级安全启动系统及方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075281A (zh) * | 2007-04-13 | 2007-11-21 | 中国瑞达系统装备公司 | 一种基于指纹认证的bios登录方法 |
-
2008
- 2008-09-10 CN CN200810119930A patent/CN101673330A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075281A (zh) * | 2007-04-13 | 2007-11-21 | 中国瑞达系统装备公司 | 一种基于指纹认证的bios登录方法 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102915415A (zh) * | 2011-08-04 | 2013-02-06 | 中国长城计算机深圳股份有限公司 | 一种移动终端的安全控制方法及系统 |
| CN102915415B (zh) * | 2011-08-04 | 2015-06-24 | 中国长城计算机深圳股份有限公司 | 一种移动终端的安全控制方法及系统 |
| CN102298680A (zh) * | 2011-08-12 | 2011-12-28 | 曙光信息产业(北京)有限公司 | 一种计算机安全启动的方法 |
| CN102298680B (zh) * | 2011-08-12 | 2015-01-07 | 曙光信息产业(北京)有限公司 | 一种计算机安全启动的方法 |
| CN103020509A (zh) * | 2011-09-26 | 2013-04-03 | 深圳市顶星数码网络技术有限公司 | 一种终端设备加密与解密方法、装置及终端设备 |
| CN103020509B (zh) * | 2011-09-26 | 2017-06-13 | 深圳市顶星科技有限公司 | 一种终端设备加密与解密方法、装置及终端设备 |
| CN103902876B (zh) * | 2012-12-24 | 2016-10-05 | 上海格尔软件股份有限公司 | 一种识别并使用加密介质的通用方法 |
| CN103902876A (zh) * | 2012-12-24 | 2014-07-02 | 上海格尔软件股份有限公司 | 一种识别并使用加密介质的通用方法 |
| CN104079414A (zh) * | 2014-07-18 | 2014-10-01 | 成都卫士通信息产业股份有限公司 | 一种带有身份鉴别机制的加密机认证方法及装置 |
| CN104572093A (zh) * | 2014-12-30 | 2015-04-29 | 北京工业大学 | 使用usb控制器实现终端设备双操作系统启动的方法 |
| CN105631259A (zh) * | 2015-04-28 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 开机验证方法、开机验证装置和终端 |
| CN104951701A (zh) * | 2015-06-10 | 2015-09-30 | 北京工业大学 | 一种基于usb控制器的终端设备操作系统引导的方法 |
| CN104951701B (zh) * | 2015-06-10 | 2018-03-09 | 北京工业大学 | 一种基于usb控制器的终端设备操作系统引导的方法 |
| CN106339616A (zh) * | 2016-09-12 | 2017-01-18 | 合肥联宝信息技术有限公司 | 计算机的启动方法及装置 |
| CN112597504A (zh) * | 2020-12-22 | 2021-04-02 | 中国兵器装备集团自动化研究所 | 一种国产化计算机两级安全启动系统及方法 |
| CN112597504B (zh) * | 2020-12-22 | 2024-04-30 | 中国兵器装备集团自动化研究所有限公司 | 一种国产化计算机两级安全启动系统及方法 |
| CN113157323A (zh) * | 2021-02-24 | 2021-07-23 | 联想(北京)有限公司 | 一种控制方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101673330A (zh) | 一种基于bios的计算机安全防护方法及系统 | |
| CN100468434C (zh) | 一种实现计算机的开机保护方法及装置 | |
| US20080120726A1 (en) | External storage device | |
| CN101794362A (zh) | 计算机用可信计算信任根设备及计算机 | |
| CN101986325A (zh) | 一种计算机安全访问控制系统及控制方法 | |
| CN102279914A (zh) | 一种uefi可信支撑系统及其控制方法 | |
| CN103366103B (zh) | 读卡器的应用程序加密保护方法 | |
| CN101950342B (zh) | 一种集成电路卡访问控制权限的管理装置及方法 | |
| US7246375B1 (en) | Method for managing a secure terminal | |
| US20080086645A1 (en) | Authentication system and method thereof | |
| CN106161442A (zh) | 一种系统控制用户登录方法 | |
| CN201820230U (zh) | 计算机用可信计算信任根设备及计算机 | |
| US20130124845A1 (en) | Embedded device and control method thereof | |
| CN102456102A (zh) | 用Usb key技术对信息系统特殊操作进行身份再认证的方法 | |
| CN102567682A (zh) | 基本输入输出系统(bios)设置的用户访问方法 | |
| CN101639877B (zh) | 电子装置及其更新基本输入输出系统方法 | |
| CN201047944Y (zh) | 可对存储空间进行访问控制的个人电脑 | |
| CN106657551A (zh) | 一种防止移动终端解锁的方法及系统 | |
| CN108416217A (zh) | 一种基于单片机的计算机主板bios验证系统及方法 | |
| RU2468428C2 (ru) | Способ защиты исполнения программы | |
| CN104361280B (zh) | 一种通过smi中断实现对usb存储设备进行可信认证的方法 | |
| CN108171041A (zh) | 用于对访问存储器的应用程序进行身份验证的方法和装置 | |
| CN108959912A (zh) | 一种bios和操作系统复用密码的方法、装置及设备 | |
| CN101025769B (zh) | 多用户安全芯片资源配置的方法和多用户安全系统 | |
| CN105138378A (zh) | 一种bios刷写方法及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100317 |