CN103136485B - 一种实现计算机安全的方法和计算机 - Google Patents
一种实现计算机安全的方法和计算机 Download PDFInfo
- Publication number
- CN103136485B CN103136485B CN201110385277.7A CN201110385277A CN103136485B CN 103136485 B CN103136485 B CN 103136485B CN 201110385277 A CN201110385277 A CN 201110385277A CN 103136485 B CN103136485 B CN 103136485B
- Authority
- CN
- China
- Prior art keywords
- computer
- chip
- encryption chip
- certification
- bios
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本发明实施例提供一种实现计算机安全的方法和计算机,计算机上安装有一加密芯片;方法应用于所述计算机的BIOS,包括:根据所述计算机的至少一个硬件所对应的硬件标识计算出一认证密钥;将所述认证密钥发送给所述加密芯片,其中,所述加密芯片将所述认证密钥作为所述计算机的认证信息;以及,接收所述加密芯片的序列号,并将所述序列号作为所述加密芯片的认证信息。应用所提供的技术方案,在计算机中,BIOS与一加密芯片之间建立一种认证机制,BIOS唯一识别来自加密芯片的唯一认证信息,加密芯片唯一识别来自BIOS的认证密钥,BIOS与加密芯片之间通过这一认证机制保证彼此能够通过认证,并进行后续的工作。
Description
技术领域
本发明涉及计算机安全,特别是指一种实现计算机安全的方法和计算机。
背景技术
在计算机的加密应用中,加密芯片实际上是一个含有密码运算部件和存储部件的集成在小型片上的系统,包括CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件。
为了安全起见,加密芯片必须和主板绑定,尤其使用加密芯片插卡设计时,如果有人拔出加密芯片,加密芯片中的关键密匙有可能失窃。
发明人发现现有技术存在如下问题:由于加密芯片需要与计算机硬件,特别是主板进行绑定,导致组装计算机的过程过于繁琐,不利于生产和维修计算机。
发明内容
本发明要解决的技术问题是提供一种实现计算机安全的方法和计算机,用于解决现技术中,由于加密芯片需要与计算机硬件进行物理绑定,导致组装计算机的过程过于繁琐,不利于生产和维修计算机的缺陷。
为解决上述技术问题,本发明的实施例提供一种实现计算机安全的方法,所述计算机上安装有一加密芯片;所述方法应用于所述计算机的BIOS,包括:根据所述计算机的至少一个硬件所对应的硬件标识计算出一认证密钥;将所述认证密钥发送给所述加密芯片,其中,所述加密芯片将所述认证密钥作为所述计算机的认证信息;以及,接收所述加密芯片的序列号,并将所述序列号作为所述加密芯片的认证信息。
所述的方法中,根据所述计算机的至少一个硬件对应的硬件标识计算出一认证密钥,具体包括:根据所述计算机的CPU ID,主板序列号和/或硬盘序列号生成所述认证密钥。
所述的方法中,在所述计算机启动之后,当接收所述加密芯片的序列号并认证成功,以及,向所述加密芯片发送所述认证密钥,由所述加密芯片认证所述认证密钥并认证成功时;所述计算机与所述加密芯片之间互相认证成功。
所述的方法中,所述加密芯片是TPM芯片;在所述计算机启动之后,所述TPM芯片对应的第一功能驱动被调用,用以对所述计算机的BIOS中的BIOS代码信息进行加密。
所述的方法中,所述加密芯片是TPM芯片;在所述计算机启动之后,所述TPM芯片对应的第二功能驱动被调用,用以对所述计算机的BIOS中的一部分信息进行加密。
所述的方法中,所述加密芯片是TPM芯片;在所述计算机启动之后,所述TPM芯片对应的高级配置和电源管理接口或者系统接口被操作系统调用,对所述计算机中存储的数据进行加密或解密。
所述的方法中,所述加密芯片是TPM芯片;所述TPM芯片对应的系统接口被一应用业务调用,对所述应用业务指定的数据进行加密或解密。
一种计算机,所述计算机的BIOS单元中包括:认证密钥单元,用于根据所述计算机的至少一个硬件对应的硬件标识计算出一认证密钥;认证通信单元,用于将所述认证密钥发送给一加密芯片,其中,所述加密芯片,用于将所述认证密钥作为所述计算机的认证信息;安全认证单元,用于接收所述加密芯片的序列号,并将所述序列号作为所述加密芯片的认证信息。
所述的计算机中,还包括:认证密钥生成模块,用于根据所述计算机的CPU ID,主板序列号和/或硬盘序列号生成所述认证密钥。
所述的计算机中,所述加密芯片是TPM芯片;TPM芯片,用于在所述BIOS单元接收到所述加密芯片的序列号,并进行认证的过程中,接收来自所述BIOS单元的认证密钥,并进行认证。
本发明的上述技术方案的有益效果如下:在计算机中,BIOS与一加密芯片之间建立一种认证机制,BIOS唯一识别来自加密芯片的唯一认证信息,加密芯片唯一识别来自BIOS的认证密钥,BIOS与加密芯片之间通过这一认证机制保证彼此能够通过认证,并进行后续的工作。
附图说明
图1表示一种实现计算机安全的方法流程示意图;
图2表示实现计算机安全的过程示意图;
图3表示一种计算机结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明实施例提供一种实现计算机安全的方法,所述计算机上安装有一加密芯片;所述方法应用于所述计算机的BIOS,如图1所示,包括:
步骤101,根据所述计算机的至少一个硬件所对应的硬件标识计算出一认证密钥;
步骤102,将所述认证密钥发送给所述加密芯片,其中,所述加密芯片将所述认证密钥作为所述计算机的认证信息;
步骤103,以及,接收所述加密芯片的序列号,并将所述序列号作为所述加密芯片的认证信息。
应用所提供的技术方案,在计算机中,BIOS与一加密芯片之间建立一种认证机制,BIOS唯一识别来自加密芯片的唯一认证信息,加密芯片唯一识别来自BIOS的认证密钥,BIOS与加密芯片之间通过这一认证机制保证彼此能够通过认证,并进行后续的工作。
在计算机中,加密芯片通常是一种TPM(Trusted Platform Module,可信赖平台模块)芯片,是指符合TPM标准的芯片,能有效地保护PC,防止非法用户访问。TPM芯片实际上是一个含有密码运算部件和存储部件的集成在小型片上的系统,包括CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件。
在一个优选实施例中,根据所述计算机的至少一个硬件对应的硬件标识计算出一认证密钥,具体包括:根据计算机的CPU ID,主板序列号和/或硬盘序列号生成所述认证密钥。
在一个优选实施例中,在所述计算机启动之后,当接收所述加密芯片的序列号,并认证成功;以及,向所述加密芯片发送所述认证密钥,由所述加密芯片认证所述认证密钥并认证成功时;所述计算机与所述加密芯片之间互相认证成功,具体而言,是将加密芯片与主板之间建立了唯一互相承认对方的绑定关系。
TPM芯片用途十分广泛,配合专用软件可以实现以下用途:
1,存储、管理BIOS开机密码和硬盘密码。现有技术中,这些事务由BIOS完成,如果忘记了密码,只需通过给BIOS放电清除密码即可;在TPM芯片中,密钥固化在TPM芯片的存储单元中,即便掉电亦不会丢失。
2,TPM芯片可以进行范围较广的加密。TPM芯片除了能进行传统的开机加密以及对硬盘进行加密外,还能对系统登录、应用软件登录进行加密,如常用的MSN、QQ、网游以及网上银行的登录信息和密码,均可通过TPM芯片加密后再进行传输,不必再担心信息和密码被人窃取。
3,加密硬盘的任意分区。可以加密任意一个硬盘分区,将敏感的文件放入该分区以策安全。一些厂商采用的一键恢复功能,是该功能的使用方式之一,其将系统镜像放在一个TPM芯片加密的分区中。
在一个优选实施例中,所述加密芯片是TPM芯片;在所述计算机启动之后,所述TPM芯片对应的第一功能驱动被调用,用以对所述计算机的BIOS中的一部分信息进行加密。第一功能驱动具体是TPM芯片的TPMMA驱动。
在一个优选实施例中,所述加密芯片是TPM芯片;在所述计算机启动之后,所述TPM芯片对应的第二功能驱动被调用,用以对所述计算机的BIOS中的一部分信息进行加密。第二功能驱动具体是TPM芯片的TPMMP驱动,即加密芯片底层固件驱动。
在一个优选实施例中,所述加密芯片是TPM芯片;在所述计算机启动之后,所述TPM芯片对应的高级配置和电源管理接口和/或者系统接口被操作系统(OS)调用,对所述计算机中存储的数据进行加密或解密。
在一个优选实施例中,所述加密芯片是TPM芯片;所述TPM芯片对应的系统接口被一应用业务调用,对所述应用业务指定的数据进行加密或解密。
在一个应用场景中,如图2所示,实现计算机安全的过程包括:
步骤201,计算机上电,BIOS开始工作。
步骤202,BIOS对计算机的各个单元模块器件进行检测,以及,计算机中的各个单元模块器件开始初始化。
步骤203,BIOS根据计算机的CPU ID,主板序列号和/或硬盘序列号生成一认证密钥。
步骤204,加密芯片是TPM芯片;在计算机启动之后,BIOS初始化TPM芯片,包括:
BIOS发出可以锁住该TPM芯片的指令(Command),TPM芯片固件(Firmware)支持该指令。TPM芯片的各个功能被激活,且各个功能处于允许被调用的状态。
步骤205,BIOS初始化TPM芯片还包括:TPM芯片对应的第一功能驱动被调用,用以对计算机的BIOS中的一部分信息进行加密。第一功能驱动具体是TPM芯片的TPMMA驱动。
TPM芯片对应的第二功能驱动被调用,用以对计算机的BIOS中的一部分信息进行加密。第二功能驱动具体是TPM芯片的TPMMP驱动。
步骤206,BIOS初始化TPM芯片还包括:在计算机启动之后,TPM芯片对应的高级配置和电源管理接口和/或者操作系统接口允许被调用,对计算机中存储的数据进行加密或解密。
步骤207,此时,计算机由操作系统进行控制,计算机上运行一个或者几个应用业务;TPM芯片对应的系统接口被一个或者几个应用业务调用,对应用业务涉及的数据进行加密或解密,例如,可以对位于硬盘中的某些指定的数据进行加密解密。
其中,应用业务可以是用户开发的专用加密解密工具,或者一个应用业务中对于TPM芯片支持的功能函数的调用。
本发明实施例提供一种计算机,如图3所示,计算机的BIOS单元中包括:
认证密钥单元301,用于根据所述计算机的至少一个硬件对应的硬件标识计算出一认证密钥;
认证通信单元302,用于将所述认证密钥发送给一加密芯片,其中,所述加密芯片,用于将所述认证密钥作为所述计算机的认证信息;
安全认证单元303,用于接收所述加密芯片的序列号,并将所述序列号作为所述加密芯片的认证信息。
在一个优选实施例中,计算机还包括:认证密钥生成模块,用于根据所述计算机的CPU ID,主板序列号和/或硬盘序列号生成所述认证密钥。认证密钥生成模块可以位于认证密钥单元301中。
在一个优选实施例中,加密芯片是TPM芯片;TPM芯片,用于在BIOS单元接收到所述加密芯片的序列号,并进行认证的过程中,接收来自BIOS单元的认证密钥,并进行认证。
采用本方案之后的优势是:在计算机中,BIOS与一加密芯片之间建立一种认证机制,BIOS唯一识别来自加密芯片的唯一认证信息,加密芯片唯一识别来自BIOS的认证密钥,BIOS与加密芯片之间通过这一认证机制保证彼此能够通过认证;以加密芯片中的TPM芯片为例,BIOS采集硬件ID代码,TPM芯片固件支持来自BIOS的可以锁住芯片的指令,BIOS初始化TPM代码,并进行相应的加密工作,可以知道,加密芯片不再需要与计算机硬件进行物理绑定,组装计算机的过程无需增加任何额外的操作,有利于生产和维修计算机。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种实现计算机安全的方法,其特征在于,所述计算机上安装有一加密芯片;所述方法应用于所述计算机的BIOS,包括:
根据所述计算机的至少一个硬件所对应的硬件标识计算出一认证密钥;
将所述认证密钥发送给所述加密芯片,其中,所述加密芯片将所述认证密钥作为所述计算机的认证信息;
以及,接收所述加密芯片的序列号,并将所述序列号作为所述加密芯片的认证信息,实现BIOS与一加密芯片之间建立一种认证机制。
2.根据权利要求1所述的方法,其特征在于,根据所述计算机的至少一个硬件对应的硬件标识计算出一认证密钥,具体包括:
根据所述计算机的CPU ID,主板序列号和/或硬盘序列号生成所述认证密钥。
3.根据权利要求1所述的方法,其特征在于,在所述计算机启动之后,
当接收所述加密芯片的序列号并认证成功,以及,向所述加密芯片发送所述认证密钥,由所述加密芯片认证所述认证密钥并认证成功时;
所述计算机与所述加密芯片之间互相认证成功。
4.根据权利要求1所述的方法,其特征在于,所述加密芯片是TPM芯片;
在所述计算机启动之后,所述TPM芯片对应的第一功能驱动被调用,用以对所述计算机的BIOS中的BIOS代码信息进行加密。
5.根据权利要求1所述的方法,其特征在于,所述加密芯片是TPM芯片;
在所述计算机启动之后,所述TPM芯片对应的第二功能驱动被调用,用以对所述计算机的BIOS中的一部分信息进行加密。
6.根据权利要求1所述的方法,其特征在于,所述加密芯片是TPM芯片;
在所述计算机启动之后,所述TPM芯片对应的高级配置和电源管理接口或者系统接口被操作系统调用,对所述计算机中存储的数据进行加密或解密。
7.根据权利要求1所述的方法,其特征在于,所述加密芯片是TPM芯片;
所述TPM芯片对应的系统接口被一应用业务调用,对所述应用业务指定的数据进行加密或解密。
8.一种计算机,其特征在于,所述计算机的BIOS单元中包括:
认证密钥单元,用于根据所述计算机的至少一个硬件对应的硬件标识计算出一认证密钥;
认证通信单元,用于将所述认证密钥发送给一加密芯片,其中,所述加密芯片,用于将所述认证密钥作为所述计算机的认证信息;
安全认证单元,用于接收所述加密芯片的序列号,并将所述序列号作为所述加密芯片的认证信息,实现BIOS与一加密芯片之间建立一种认证机制。
9.根据权利要求8所述的计算机,其特征在于,还包括:
认证密钥生成模块,用于根据所述计算机的CPU ID,主板序列号和/或硬盘序列号生成所述认证密钥。
10.根据权利要求8所述的计算机,其特征在于,所述加密芯片是TPM芯片;
TPM芯片,用于在所述BIOS单元接收到所述加密芯片的序列号,并进行认证的过程中,接收来自所述BIOS单元的认证密钥,并进行认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110385277.7A CN103136485B (zh) | 2011-11-28 | 2011-11-28 | 一种实现计算机安全的方法和计算机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110385277.7A CN103136485B (zh) | 2011-11-28 | 2011-11-28 | 一种实现计算机安全的方法和计算机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103136485A CN103136485A (zh) | 2013-06-05 |
| CN103136485B true CN103136485B (zh) | 2016-08-17 |
Family
ID=48496300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110385277.7A Active CN103136485B (zh) | 2011-11-28 | 2011-11-28 | 一种实现计算机安全的方法和计算机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103136485B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9805200B2 (en) * | 2016-02-01 | 2017-10-31 | Quanta Computer, Inc. | System and method for firmware verification |
| CN105912936B (zh) * | 2016-04-11 | 2018-09-21 | 浪潮集团有限公司 | 一种提高sdn交换机性能及安全的方法 |
| CN106598564A (zh) * | 2016-10-24 | 2017-04-26 | 郑州云海信息技术有限公司 | 一种自适应不同主板的bios实现方法、bios及主板 |
| CN107508679B (zh) * | 2017-07-11 | 2020-07-14 | 深圳市中易通安全芯科技有限公司 | 一种智能终端主控芯片与加密芯片的绑定及认证方法 |
| CN108710803A (zh) * | 2018-04-09 | 2018-10-26 | 南京百敖软件有限公司 | 一种主板和bios绑定的方法 |
| CN108683492B (zh) * | 2018-04-28 | 2021-09-03 | 全球能源互联网研究院有限公司 | 一种可信无线传感器及控制方法 |
| CN112311718B (zh) * | 2019-07-24 | 2023-08-22 | 华为技术有限公司 | 检测硬件的方法、装置、设备及存储介质 |
| CN111046446A (zh) * | 2019-10-24 | 2020-04-21 | 深圳市国科亿道科技有限公司 | 一种具有硬盘数据自销毁功能的计算机 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101165696A (zh) * | 2006-10-16 | 2008-04-23 | 中国长城计算机深圳股份有限公司 | 一种基于安全计算机的安全认证方法 |
| CN102024115A (zh) * | 2010-11-19 | 2011-04-20 | 紫光股份有限公司 | 一种具有用户安全子系统的计算机 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100351731C (zh) * | 2004-04-30 | 2007-11-28 | 联想(北京)有限公司 | 一种安全计算机及其实现方法 |
| US7600134B2 (en) * | 2004-11-08 | 2009-10-06 | Lenovo Singapore Pte. Ltd. | Theft deterrence using trusted platform module authorization |
-
2011
- 2011-11-28 CN CN201110385277.7A patent/CN103136485B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101165696A (zh) * | 2006-10-16 | 2008-04-23 | 中国长城计算机深圳股份有限公司 | 一种基于安全计算机的安全认证方法 |
| CN102024115A (zh) * | 2010-11-19 | 2011-04-20 | 紫光股份有限公司 | 一种具有用户安全子系统的计算机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103136485A (zh) | 2013-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103136485B (zh) | 一种实现计算机安全的方法和计算机 | |
| CN102646077B (zh) | 一种基于可信密码模块的全盘加密的方法 | |
| CN101930508B (zh) | 安全处理系统 | |
| CN101159551B (zh) | 多功能信息安全设备及其使用方法 | |
| CN101470783B (zh) | 一种基于可信平台模块的身份识别方法及装置 | |
| US7861015B2 (en) | USB apparatus and control method therein | |
| CN203746071U (zh) | 一种基于加密硬盘的安全计算机 | |
| CN101447010A (zh) | 登录系统及登录方法 | |
| CN101788959A (zh) | 一种固态硬盘安全加密系统 | |
| US20120072735A1 (en) | Storage device, protection method, and electronic device | |
| EP2628133B1 (en) | Authenticate a fingerprint image | |
| CN105184179A (zh) | 嵌入式加密移动存储设备及其操作方法 | |
| CN102163267A (zh) | 固态硬盘安全访问控制方法、装置和固态硬盘 | |
| CN102136048A (zh) | 基于手机蓝牙的计算机环绕智能防护装置及方法 | |
| TWI614632B (zh) | 對儲存裝置之電纜調換安全性攻擊的預防技術 | |
| WO2012072001A1 (zh) | 一种安全发卡方法、发卡设备和系统 | |
| TW201608408A (zh) | Usb儲存裝置之無線認證系統及方法 | |
| CN109190389A (zh) | 一种基于u盘鉴权的固态硬盘数据保护方法 | |
| CN101334827A (zh) | 磁盘加密方法及实现该方法的磁盘加密系统 | |
| US20190042756A1 (en) | Technologies for pre-boot biometric authentication | |
| CN101770559A (zh) | 数据保护装置和方法 | |
| CN105975872A (zh) | 一种Windows下测试TPM模块的方法 | |
| CN101196968A (zh) | 一种单机信息的安全保护方法 | |
| CN105303093A (zh) | 智能密码钥匙密码验证方法 | |
| CN103596175A (zh) | 一种基于近场通讯技术的移动智能终端认证系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |