CN104364791A - 通过bios/(u)efi扩展的pc保护 - Google Patents
通过bios/(u)efi扩展的pc保护 Download PDFInfo
- Publication number
- CN104364791A CN104364791A CN201380012513.8A CN201380012513A CN104364791A CN 104364791 A CN104364791 A CN 104364791A CN 201380012513 A CN201380012513 A CN 201380012513A CN 104364791 A CN104364791 A CN 104364791A
- Authority
- CN
- China
- Prior art keywords
- password
- bios
- automat
- aforementioned
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
Abstract
用于控制对BIOS/(U)EFI的访问或SB自动机的BIOS的子功能的方法,其中BIOS的密码经由确定性算法加以计算,随着时间改变的代码产生信息进入到所述确定性算法中,该方法包括步骤:-在访问SB自动机的BIOS时在SB自动机的显示屏上显示随着时间改变的代码产生信息,-将代码产生信息输入到第二计算机上的程序中,所述第二计算机同样具有用于为BIOS计算所述密码的所述确定性算法,并且在第二计算机上计算和显示所述密码;-在SB自动机上输入所述密码,并且通过所述确定性算法检验所述密码,以便在密码正确时允许访问BIOS。
Description
技术领域
本发明涉及用于借助于移动终端设备检验SB自动机的系统完整性的方法和系统。
背景技术
根据现有技术借助于市场上常见的PC进行现代自动取款机或SB自动机(无人售货机)的控制,在所述PC上运行标准操作系统,例如Microsoft Windows XP。当然可考虑其他操作系统,例如Linux/Unix或其他Windows版本。这些标准部件主要为工作场所设置并且基本上不满足自动出钞机领域中的安全性要求。尤其是,可以经由已知的安全漏洞将有害软件安装到控制计算机上,用于以未经许可的方式求取客户数据。由于持续地揭露在这种操作系统中的新安全漏洞,所以必须检验控制计算机上的软件的未损坏性。
对于用于防御对SB自动机/ATM(自动取款机)的攻击的整体构思来说,对于不同场景需要保护PC。对PC的这种攻击场景可以粗略地被划分成三个类别:
类别I:在不直接访问PC接口的情况下从外部攻击,例如经由互联网。
类别II:其中攻击者例如通过拆开仪表板访问PC的接口(USB、网络、流)的攻击。
类别III:其中攻击者获得对PC的完全控制,也即也可以执行PC外壳之内的任意操纵的攻击。
在下面描述的方法方式主要用于保护免遭类别II的攻击,但是如果例如应该为其他类别做准备则不局限于此。
对于这种攻击的示例是:
-连接USB数据载体并且启动该USB数据载体的独立操作系统,用以得出系统安装的信息。
-连接USB数据载体并且启动该USB数据载体的独立操作系统,用以从该PC出发操纵外围设备,例如用以从分离装置未经授权地支付货币。
-连接USB数据载体并且启动该USB数据载体的独立操作系统,用以操纵系统PC上的安装,例如用以引入记录PIN的自己的代码。
使用现有的联锁装置在实践中是不实用的。例如,当今的PC已经拥有以下能力:经由BIOS设定来禁止可以由外部媒介启动(在此情况下将外部媒介理解为每种以下媒介:可以由该媒介启动,而不必打开PC的外壳,所装入的CD-ROM驱动器中的CD也属于此)。该设定可以借助于BIOS密码加以保护,以便防止未授权的改变。但是这种实践仅在单独的密码情况下才有意义,因为如果在银行情况下所有PC利用相同的密码加以保护——于是必须让较大的人员骨干(维护技术员、管理员)知晓所述密码,则假定该密码在最短时间内一般而言是已知的。
在对于每个PC都具有单独的(但是静态的)密码情况下,必须有组织地澄清,应当如何将密码保持为秘密的。这里存在以下危险:维护技术员例如将密码立即存储在系统处(利用艾迪(Edding)写到外壳上),以便该密码在下次访问时被立即已知。如果单独的密码以列表方式被管理,则又非常快速地存在以下危险:这些列表经由实际需要的分发名单群而变为已知。此外,这些列表必须得到规则的维护。
不允许完全切断对BIOS的访问,因为否则例如在板缺陷之后不再能够重新配置PC。
BIOS(英文为“basic input/output system(基本输入/输出系统)”)在x86-PC情况下是固件。该BIOS在非易失性存储器中存放在PC的主电路板上并且直接在该PC接通之后被实施。BIOS的任务尤其是使PC首先能工作并且接着开始起动操作系统。要注意的是,可以给出BIOS的替换形式,例如BIOS/(U)EFI,其同样属于本申请。
在粗浅性语言应用中,术语“BIOS”目前有时也在“BIOS设定”含义下被使用。
发明内容
BIOS/(U)EFI软件、即在SB自动机/ATM中所使用的PC被扩展,使得连同静态密码的迄今功能在内一起也存在通过一次性密码(OTP)保护的可能性。借助于该机制,可以保护例如控制启动顺序的BIOS设定,使得只有当OTP被正确地输入时这些设定才可供使用。
详细地,涉及用于控制对BIOS的访问或SB自动机的BIOS的子功能的方法,其中BIOS的密码经由确定性算法加以计算,其中随着时间改变的代码产生信息进入到所述确定性算法中。该算法例如是确定性/密码随机数发生器。
该随机数发生器在输入所谓的“seeds”/“种子”情况下产生伪随机数并且因此一般被称为伪随机数发生器(英文为pseudo random number generator(伪随机数发生器),PRNG)。该随机数发生器产生数列,所述数列虽然看起来是随机的,但是并不是随机的,因为所述数列是通过确定性算法计算的。这样的伪随机数可以由计算机比真随机数显著更简单地产生并且目前在多样性特性方面可用(这里作为输入值可以选择当前时间)。
在以相同初始值、即所谓的种子(英文seed)每次开始随机数计算时,产生相同的伪随机数列,因此这些确定性产生的伪随机数在充分知道种子的情况下可以稍后被复制。
例如随着时间改变的系统时间或计数器进入到这些种子中。也可以涉及经历不断变化的存储区域。在此情况下重要的是,种子充分足够复杂或者包含防止蛮力攻击的熵。
该方法包括步骤:
-在访问SB自动机的BIOS时在SB自动机的显示屏上显示随着时间改变的代码产生信息。在用户在启动时通过按压功能键将进入BIOS的情况下,显示代码产生信息,所述代码产生信息进入算法中用于产生密码。关于如上面所述的确定性算法,代码产生信息是用于随机数功能的输入参数。
代码产生信息被输入到同样具有用于为BIOS计算密码的确定性算法的第二计算机上的程序中,以便从而在第二计算机上计算密码。
当在SB自动机上输入密码之后,通过确定性算法检验该密码,以便在密码正确时允许访问BIOS。
优选地,代码产生信息是数字组合/数组合,其由以下组分中的一个或多个组成:SB自动机的序列号ID、时间、日期、SB自动机的硬件特征。
用于创建密码的程序在第二计算机上存放在也称为CrypTA棒的密码棒(Crypto-Stick)上,所述密码棒以加密的方式存储程序。这样的密码棒一般具有密码处理器,所述密码处理器对数据进行加密并且如果必要的话存放在存储区域中。为了得到这些数据,需要鉴权。在鉴权之后,在存储区域上存在的数据或程序被解密并且对数据的访问变得可能。因此例如也可以在加载之后在存储器中按区域地对程序进行加密,并且在实施期间该程序自己借助于存在于密码棒上的密码处理器解密。因此在实施期间读取存储区域以便对算法进行解密变得困难。也可以考虑:利用调试器停止检验并且如果使用使得读取存储区域变得容易的虚拟化则识别到这一点。如果应该识别虚拟化,则例如可以禁止程序起动。
术语“密码棒”应理解为非限制性的。同样加密狗可以属于该术语,所述加密狗丝毫不具有可被写的存储器,而是仅允许逻辑运行。
因此确保仅当密码棒与第二计算机连接时才能够在第二计算机上实施程序,以便程序自己可以解密。程序的分开的使用因此变得困难。
在一种优选的实施方式中,附加地可以在产生密码时采用非对称加密方法或签名方法,其中SB自动机拥有公开密钥,利用所述公开密钥可以对密码进行验证,其中秘密密钥位于程序所访问的被保护的密码棒上。因此可以检验签名,并且可以确保存在滥用。
访问控制装置原则上可以控制整个BIOS或者对BIOS功能的访问或者还控制其子功能。因此例如可以要求密码用于改变对BIOS/(U)EFI设定的密码接入的类型。
或者在改变启动顺序或者一般实现外部存储介质的启动时,同样可以要求密码。也可考虑:在更换硬盘时必须进行BIOS数据的检验和适配,然后通过密码控制所述BIOS数据。
其中密码包含关于程序或其用户的身份的信息。因此,例如用户身份和程序的身份可以根据密码棒加以确定并且通过对应的签名加以表示,使得这些附加信息被附到密码上,以便于是使SB自动机能够单独地存储这些数据。由此可以考虑提供对应的访问协议。
该协议可以包括时间/日期和密码,其中这些信息可以在问题情况下被回顾,以便优选地也能够经由在SB自动机的所安装的操作系统上运行的其他程序被询问。在SB自动机的操作系统上运行的该程序一般可以远程地由中央服务器询问,使得不需要将维护工程师派遣给机器。
可以理解,不一定需要本地地在空间上处于ATM之前的计算机上实施该程序。因此在将对于密码产生所需要的信息传送给中央站点之后可以通过该中央站点产生该密码。可考虑的解决方案是,维护工程师登录到远处的服务器,所述服务器提供对程序和密码棒的访问。该登录因此是个性化的,由此可以确定身份。替换地,当然也可以在中央站点处调用,以便将对于密码产生所需要的数据传送给人员。该人员然后将密码通知给维护工程师,该维护工程师可以利用该密码登录。
在另一实施方式中,在成功改变BIOS设定和用新BIOS设定起动计算机之后,BIOS设定自动地在下一启动过程时或者在定义的最小时间区间t(时间段)之后被复位到标准值。这些标准值例如确定启动顺序。通过该方案可以避免在改变BIOS设定之后持久地存放这些BIOS设定和在将来实现滥用,因为维护工程师忘记了将这些BIOS设定复位到其最初的状态。
在另一实施方式中,BIOS可以在每次启动时将启动设定或PW保护复位到标准设定。
也可以考虑:密码仅对于定义的时间段是有效的或者对于特定数目的启动过程是有效的,例如对于几个小时或一天和/或一次启动过程有效。
本发明的另一部分是具有实施上述方法的BIOS的SB自动机。
SB自动机配备有BIOS,该BIOS配备有密码保护,以便能够控制对BIOS的访问或控制BIOS的子功能,其中BISO的密码经由确定性算法加以计算,随着时间改变的代码产生信息进入到该确定性算法中。
SB自动机具有显示器,在访问BIOS时在所述显示器上显示随着时间改变的代码产生信息,所述代码产生信息进入到密码的计算中。维护工程师从而可能读出这些信息。在特殊的实施方案中,序列号和时间段进入到计算中也可以是足够的。例如序列号xyz和日期2011年12月24日。如果SB自动机的时间和日期同步化,则可以进行对应的计算,而不需要显示信息。于是在该情况下,该密码对于一天是允许的。
此外,SB自动机包括输入装置,所述输入装置允许输入密码,其中在第二计算机上借助于代码产生信息计算的密码被检验,其方式是所显示的代码产生信息进入到确定性算法中,使得随着时间改变的密码是允许的。
附图说明
图1示出SB自动机(ATM)的示意结构;
图2示出BIOS的子功能和访问;
图3a示出远离SB自动机地创建密码;
图3b示出在SB自动机附近创建密码;
图4示出在所述方法在SB自动机和计算机上的流程。
具体实施方式
图1示出SB自动机(在该情况下是自动取款机(ATM))的基本结构。该自动机包括计算机,该计算机又具有BIOS。BIOS包括配置信息和BIOS设置程序。在该计算机上运行包括操作系统的软件并且在该计算机上运行专用的SB自动机控制程序,该SB自动机控制程序提供自动机的功能。自动机配备有诸如键盘和读卡器的输入设备并且具有显示器和打印机。此外,存在事务功能设备,诸如出币口和货币容纳单元。此外,SB自动机包括硬盘、软盘驱动器、CD-ROM驱动器、DVD驱动器、USB端子等。此外,SB自动机一般经由网络与主机银行系统连接,所述主机银行系统控制和监控自动机。
图2示出BIOS设置程序的显示屏表达,所述BIOS设置程序控制启动配置。在此情况下,确定启动设备的顺序。首先启动软盘驱动器,然后启动CD-ROM驱动器最后经由硬盘启动。该区域在本实施方式中通过密码保卫。
在此情况下,是否通过OTP(一次性密码)保护BIOS/(U)EFI的以下设定中的一个或多个取决于单独的保护要求:
-接入到BIOS/(U)EFI设定中
-改变对BIOS/(U)EFI设定的密码接入的方式
-改变启动顺序或者一般能够启动外部存储介质。
如果现在维护技术员想要改变BIOS设定,例如以便重新安装操作系统,则该维护技术员在PC起动时按压对应的键组合,以便进入BIOS设定。然后,该维护技术员被要求输入OTP。为此,在显示屏上对该维护技术员显示数字/数组合,所述数字/数组合由序列号/UID、时间/日期和必要时PC的其他HW特征组成。
该维护技术员将该数字/数组合录入到另一/第二程序中(下面称为OTP发生器),该另一/第二程序例如在该维护技术员的笔记本/PDA/手机上运行。
图3b示出情况星座,其中膝上型电脑2配备有密码棒,其中ATM 1在其显示单元上显示数据。图3a示出远程/远距离的星座。
OTP发生器根据数字/数组合按照如在上面在前提中所述的秘密算法计算当前有效的OTP。技术员将OTP传输到被锁闭的计算机上。因此,PC被解锁并且技术员可以执行其修改。
保护OTP发生器/算法/程序免遭反向工程,在所述反向工程中程序被加密,并且仅部分地在执行期间被解密。
优选的实现因此由CrypTA(密码棒)保护程序组成,因为由此可以控制OTP发生器的可用性和扩展。一种实施仅在有密码棒的情况下是可能的。该棒此外被配置为使得其有效性被限制到3个月。此后,该有效性必须经由中央站点延长。这可以通过对应的证书或密码处理器内的定时器调节。密钥处于密码棒上。
优选地,为了实现而应该采用非对称方法。ATM拥有公开密钥,利用所述公开密钥可以验证OTP。秘密密钥因此仅位于特定于CrypTA的被保护的程序中并且不在可能受攻击的ATM中。
为了预防进一步滥用,OTP包含关于OTP发生器副本或其用户的身份的信息。例如,这可以是CrypTA棒的ID。OTP或包含在其中的信息的选择随着输入OTP的时间/日期由BIOS持续地作为最后n个解锁的列表存储(n是自然数)。由此在问题情况下可以回顾,谁操纵了PC。优选地,这些信息也可以经由在所安装的操作系统上运行的程序询问。
以上描述也不与该原理的远程应用相矛盾,即人员原地经由电话或互联网从呼叫中心或其他中央基础设施查询OTP。但是在该情况下应当进行询问方的鉴权。对应的图示在图3b中可以看出。
数字/数组合中的时间/日期说明被用于:OTP分别仅对于定义的时间段有效,例如几个小时或一天。由此避免以后可能例如通过看见OTP的其他人员再次使用该OTP来绕过启动保护。
在安全技术上改善的实施中,BIOS/(U)EFI自动地针对下一启动过程或在定义的最小时间区间之后复位经改变的启动设定。因此预防以下情况:技术员忘记在其维护情况之后将设定重新复位到正常值。
对此的替换方案是:一般在每次启动时通过安装在PC中的硬盘上的软件执行启动设定和/或PW保护的复位。这尤其是当技术员在输入OTP之后一般关断密码的必要性时是令人感兴趣的。
图4示出如在SB自动机和计算机上执行的方法。在SB自动机上进行BIOS调用。该BIOS调用显示代码产生信息。这些代码产生信息在计算机上被输入,该计算机借助于密码棒和算法计算密码。该密码然后被输入到SB自动机中。在SB自动机上进行检验。如果密码是允许的,则准许访问,否则拒绝访问。
Claims (23)
1.用于控制对BIOS/(U)EFI的访问或SB自动机的BIOS的子功能的方法,其中BIOS的密码经由确定性算法加以计算,其中随着时间改变的代码产生信息进入到所述确定性算法中,该方法包括步骤:
-在访问SB自动机的BIOS时在SB自动机的显示屏上显示随着时间改变的代码产生信息;
-将代码产生信息输入到同样具有用于为BIOS计算所述密码的确定性算法的第二计算机上的程序中,并且在第二计算机上计算和显示所述密码;
-在SB自动机上输入所述密码,并且通过确定性算法检验所述密码,以便在密码正确时允许访问BIOS。
2.根据前一权利要求所述的方法,其中代码产生信息是数字组合/数组合,该数字组合/数组合由以下组分中的一个或多个组成:SB自动机的序列号ID、时间、日期、SB自动机的硬件特征。
3.根据前述权利要求中的一个或多个所述的方法,其中所述程序在第二计算机上存放在密码棒或硬件加密狗上,所述密码棒或硬件加密狗以加密的方式存储所述程序。
4.根据权利要求3所述的方法,其中仅当密码棒或硬件加密狗与第二计算机连接时才能够在第二计算机上实施所述程序,以便所述程序自己能够解密。
5.根据权利要求3和4中的一个或多个所述的方法,其中附加地在产生密码时采用非对称加密方法或签名方法,其中SB自动机拥有公开密钥,利用所述公开密钥能够对所述密码进行验证,其中秘密密钥位于所述程序所访问的被保护的密码棒或硬件加密狗上。
6.根据权利要求4和5中的一个或多个所述的方法,其中所述程序被加密并且如果该程序访问密码棒或硬件加密狗,则在实施时该程序自己部分地或完全地解密。
7.根据前述权利要求中的一个或多个所述的方法,其中通过所述密码释放以下功能:
-接入到BIOS/(U)EFI设定中
-改变对BIOS/(U)EFI设定的密码接入的方式
-改变启动顺序或者一般能够启动外部存储介质。
8.根据前述权利要求中的一个或多个所述的方法,其中所述密码包含关于所述程序或其用户的身份的信息。
9.根据权利要求8所述的方法,其中协议通过在SB自动机上输入所述密码而被存储,所述协议包括时间/日期和所述密码,其中这些信息能够在问题情况下被回顾,以便优选地也能够经由在SB自动机的所安装的操作系统上运行的其他程序被询问。
10.根据前述权利要求中的一个或多个所述的方法,其中经由电话或互联网从呼叫中心或其他中央基础设施询问所述密码。
11.根据前述权利要求中的一个或多个所述的方法,其中BIOS/(U)EFI将经改变的启动设定自动地针对下一启动过程或者在定义的最小时间区间之后复位。
12.根据前述权利要求中的一个或多个所述的方法,其中BIOS一般在每次启动时将启动设定和/或PW保护复位到标准设定。
13.根据前述权利要求中的一个或多个所述的方法,其中密码仅对于定义的时间段是有效的和/或对于特定数目的启动过程是有效的,例如对于几个小时或一天和/或一次启动过程有效。
14.SB自动机,
-具有BIOS,该BIOS配备有密码保护,以便能够控制对BIOS的访问或控制BIOS的子功能,其中BISO的密码经由确定性算法加以计算,随着时间改变的代码产生信息进入到该确定性算法中;
-具有显示器,在访问BIOS时在所述显示器上显示随着时间改变的代码产生信息,所述代码产生信息进入到所述密码的计算中;
-输入装置,所述输入装置允许输入所述密码,其中在第二计算机上借助于代码产生信息计算的所述密码被检验,其中所显示的代码产生信息进入到所述确定性算法中,使得随着时间改变的密码是允许的。
15.根据权利要求14所述的SB自动机,其中代码产生信息是数字组合/数组合,该数字组合/数组合由以下组分中的一个或多个组成:SB自动机的序列号ID、时间、日期、SB自动机的硬件特征。
16.根据前述SB自动机权利要求中的一个或多个所述的SB自动机,其中附加地通过私人密钥对所述密码进行签名,其中SB自动机拥有公开密钥,利用所述公开密钥能够验证所述密码。
17.根据前述权利要求中的一个或多个所述的SB自动机,其中通过所述密码释放以下功能:
-接入到BIOS/(U)EFI设定中
-改变对BIOS/(U)EFI设定的密码接入的方式
-改变启动顺序或者一般能够启动外部存储介质。
18.根据前述SB自动机权利要求中的一个或多个所述的SB自动机,其中所述密码包含关于计算所述密码的程序和/或其用户的身份的信息。
19.根据权利要求18所述的SB自动机,其中存在装置,尤其是存在存储区域,在该装置中通过在SB自动机上输入所述密码而存储协议,所述协议包括时间/日期和所述密码,其中这些信息能够在问题情况下被回顾,以便优选地也能够经由在SB自动机的所安装的操作系统上运行的其他程序被询问。
20.根据前述SB自动机权利要求中的一个或多个所述的SB自动机,其中所述密码能够经由电话或互联网从呼叫中心或其他中央基础设施被询问,或者能够通过其他计算机上的程序加以计算。
21.根据前述SB自动机权利要求中的一个或多个所述的SB自动机,其中BIOS/(U)EFI将经改变的启动设定自动地针对下一启动过程或者在定义的最小时间区间之后复位。
22.根据前述SB自动机权利要求中的一个或多个所述的SB自动机,其中存在装置,通过所述装置,BIOS一般在每次启动时将启动设定和/或PW保护复位到标准设定。
23.根据前述SB自动机权利要求中的一个或多个所述的SB自动机,其中存在装置,通过所述装置,所述密码仅对于定义的时间段是有效的和/或对于特定数目的启动过程是有效的,例如对于几个小时或一天和/或一次启动过程有效。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910360824.2A CN110084026A (zh) | 2012-03-06 | 2013-02-14 | 通过bios/(u)efi扩展的pc保护 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102012101876.6 | 2012-03-06 | ||
| DE102012101876A DE102012101876A1 (de) | 2012-03-06 | 2012-03-06 | PC Absicherung durch BIOS/(U) EFI Erweiterungen |
| PCT/EP2013/052965 WO2013131728A2 (de) | 2012-03-06 | 2013-02-14 | Pc absicherung durch bios/(u) efi erweiterungen |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910360824.2A Division CN110084026A (zh) | 2012-03-06 | 2013-02-14 | 通过bios/(u)efi扩展的pc保护 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104364791A true CN104364791A (zh) | 2015-02-18 |
Family
ID=47790157
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380012513.8A Pending CN104364791A (zh) | 2012-03-06 | 2013-02-14 | 通过bios/(u)efi扩展的pc保护 |
| CN201910360824.2A Pending CN110084026A (zh) | 2012-03-06 | 2013-02-14 | 通过bios/(u)efi扩展的pc保护 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910360824.2A Pending CN110084026A (zh) | 2012-03-06 | 2013-02-14 | 通过bios/(u)efi扩展的pc保护 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10146941B2 (zh) |
| EP (1) | EP2823429B1 (zh) |
| CN (2) | CN104364791A (zh) |
| DE (1) | DE102012101876A1 (zh) |
| WO (1) | WO2013131728A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109614156A (zh) * | 2018-12-26 | 2019-04-12 | 贵州华芯通半导体技术有限公司 | 支持启动类外部设备的驱动的方法、装置和系统 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9563773B2 (en) * | 2014-02-26 | 2017-02-07 | Dell Products L.P. | Systems and methods for securing BIOS variables |
| US10296730B2 (en) * | 2014-08-18 | 2019-05-21 | Dell Products L.P. | Systems and methods for automatic generation and retrieval of an information handling system password |
| US9875113B2 (en) * | 2015-12-09 | 2018-01-23 | Quanta Computer Inc. | System and method for managing BIOS setting configurations |
| GB2566107B (en) * | 2017-09-05 | 2019-11-27 | Istorage Ltd | Methods and systems of securely transferring data |
| EP3573030B1 (en) * | 2018-05-23 | 2023-10-11 | Diebold Nixdorf Systems GmbH | System and method to control the access on information of a peripheral storage device |
| US11423138B2 (en) | 2018-11-14 | 2022-08-23 | Hewlett-Packard Development Company, L.P. | Firmware access based on temporary passwords |
| WO2020176110A1 (en) | 2019-02-28 | 2020-09-03 | Hewlett-Packard Development Company, L.P. | Access to firmware settings with asymmetric cryptography |
| US11507667B2 (en) | 2020-06-24 | 2022-11-22 | Vmware, Inc. | Firmware password management |
| CN114764345B (zh) * | 2021-01-11 | 2024-02-06 | 昆达电脑科技(昆山)有限公司 | 基本输入输出系统设定选单产生方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1378667A (zh) * | 1999-09-17 | 2002-11-06 | 芬格罗克股份公司 | 安全设备 |
| US20040111633A1 (en) * | 2002-12-04 | 2004-06-10 | Jeom-Jin Chang | Method for BIOS security of computer system |
| WO2008107008A1 (en) * | 2007-03-07 | 2008-09-12 | C-Sigma S.R.L. | Authentication method and token using screen light for both communication and powering |
| CN101377803A (zh) * | 2008-09-28 | 2009-03-04 | 北京飞天诚信科技有限公司 | 一种实现开机保护的方法和系统 |
| CN102194065A (zh) * | 2010-03-16 | 2011-09-21 | 研祥智能科技股份有限公司 | 一种bios锁和bios设置权限控制方法 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4819267A (en) * | 1984-02-22 | 1989-04-04 | Thumbscan, Inc. | Solid state key for controlling access to computer systems and to computer software and/or for secure communications |
| US5060263A (en) * | 1988-03-09 | 1991-10-22 | Enigma Logic, Inc. | Computer access control system and method |
| US6374352B1 (en) * | 1998-08-26 | 2002-04-16 | Intel Corporation | Temporary configuration with fall-back |
| US6633981B1 (en) | 1999-06-18 | 2003-10-14 | Intel Corporation | Electronic system and method for controlling access through user authentication |
| US7134016B1 (en) * | 2000-11-14 | 2006-11-07 | Harris Scott C | Software system with a biometric dongle function |
| CN1256678C (zh) * | 2003-10-14 | 2006-05-17 | 联想(北京)有限公司 | 计算机信息的保护方法和装置 |
| US7210166B2 (en) * | 2004-10-16 | 2007-04-24 | Lenovo (Singapore) Pte. Ltd. | Method and system for secure, one-time password override during password-protected system boot |
| US20070022243A1 (en) | 2005-07-22 | 2007-01-25 | John Rudelic | Method and apparatus capable of disabling authenticated operations and guaranteed secure boot in a wireless platform |
| US20070135092A1 (en) | 2005-12-08 | 2007-06-14 | Pieronek James V | Method and apparatus for authenticating a mobile phone accessory |
| CN101037803A (zh) | 2006-03-17 | 2007-09-19 | 中国科学院福建物质结构研究所 | 掺镱钒酸镧激光晶体及其制备方法和用途 |
| US7577829B2 (en) | 2006-04-28 | 2009-08-18 | Dell Products L.P. | System and method for maintaining multiple information handling system configuration images |
| US20080010453A1 (en) * | 2006-07-06 | 2008-01-10 | Laurence Hamid | Method and apparatus for one time password access to portable credential entry and memory storage devices |
| US20080034216A1 (en) * | 2006-08-03 | 2008-02-07 | Eric Chun Wah Law | Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords |
| JP2009003498A (ja) * | 2007-06-19 | 2009-01-08 | Dainippon Printing Co Ltd | ワンタイムパスワード認証システム |
| US7853804B2 (en) * | 2007-09-10 | 2010-12-14 | Lenovo (Singapore) Pte. Ltd. | System and method for secure data disposal |
| US9627081B2 (en) * | 2007-10-05 | 2017-04-18 | Kinglite Holdings Inc. | Manufacturing mode for secure firmware using lock byte |
| US20090193215A1 (en) | 2008-01-25 | 2009-07-30 | Rogers Keith A | Erasing and restoring factory settings in computer systems |
| US8335931B2 (en) * | 2008-06-20 | 2012-12-18 | Imation Corp. | Interconnectable personal computer architectures that provide secure, portable, and persistent computing environments |
| TW201108735A (en) | 2009-08-18 | 2011-03-01 | Wistron Corp | Method and apparatus and digital TV capable of preventing erroneous start of firmware update |
| CN102262719A (zh) * | 2011-08-30 | 2011-11-30 | 青岛海信智能商用设备有限公司 | 基于bios密码保护计算机安全的方法及计算机 |
| CN103827811A (zh) * | 2011-09-30 | 2014-05-28 | 惠普发展公司,有限责任合伙企业 | 管理基本输入/输出系统(bios)的访问 |
-
2012
- 2012-03-06 DE DE102012101876A patent/DE102012101876A1/de not_active Withdrawn
-
2013
- 2013-02-14 WO PCT/EP2013/052965 patent/WO2013131728A2/de active Application Filing
- 2013-02-14 CN CN201380012513.8A patent/CN104364791A/zh active Pending
- 2013-02-14 CN CN201910360824.2A patent/CN110084026A/zh active Pending
- 2013-02-14 EP EP13707304.5A patent/EP2823429B1/de active Active
- 2013-02-14 US US14/382,931 patent/US10146941B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1378667A (zh) * | 1999-09-17 | 2002-11-06 | 芬格罗克股份公司 | 安全设备 |
| US20040111633A1 (en) * | 2002-12-04 | 2004-06-10 | Jeom-Jin Chang | Method for BIOS security of computer system |
| WO2008107008A1 (en) * | 2007-03-07 | 2008-09-12 | C-Sigma S.R.L. | Authentication method and token using screen light for both communication and powering |
| CN101377803A (zh) * | 2008-09-28 | 2009-03-04 | 北京飞天诚信科技有限公司 | 一种实现开机保护的方法和系统 |
| CN102194065A (zh) * | 2010-03-16 | 2011-09-21 | 研祥智能科技股份有限公司 | 一种bios锁和bios设置权限控制方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109614156A (zh) * | 2018-12-26 | 2019-04-12 | 贵州华芯通半导体技术有限公司 | 支持启动类外部设备的驱动的方法、装置和系统 |
| CN109614156B (zh) * | 2018-12-26 | 2021-10-15 | 贵州华芯通半导体技术有限公司 | 支持启动类外部设备的驱动的方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2823429B1 (de) | 2019-05-29 |
| WO2013131728A2 (de) | 2013-09-12 |
| US10146941B2 (en) | 2018-12-04 |
| CN110084026A (zh) | 2019-08-02 |
| DE102012101876A1 (de) | 2013-09-12 |
| US20150047022A1 (en) | 2015-02-12 |
| EP2823429A2 (de) | 2015-01-14 |
| WO2013131728A3 (de) | 2013-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104364791A (zh) | 通过bios/(u)efi扩展的pc保护 | |
| CN1801091B (zh) | 用可信处理模块安全地引导计算机的系统和方法 | |
| JP3918827B2 (ja) | セキュアリモートアクセスシステム | |
| CN100568212C (zh) | 隔离系统及隔离方法 | |
| CN100470467C (zh) | 对隔离计算环境编程的系统和方法 | |
| CA3058240C (en) | Cryptographic key management based on identity information | |
| CN102449631B (zh) | 用于执行管理操作的系统和方法 | |
| CN107003866A (zh) | 来自加密模板的加密虚拟机的安全创建 | |
| CN106716957A (zh) | 高效且可靠的认证 | |
| CN101529366A (zh) | 可信用户界面对象的标识和可视化 | |
| US9292681B2 (en) | Password audit system | |
| CN102027480A (zh) | 用于提供系统管理命令的系统和方法 | |
| TW201530444A (zh) | 威脅事件監控系統及相關方法 | |
| CN102792308B (zh) | 用于自动提款机中的一致性软件堆栈中的个人识别号输入的方法和处理 | |
| CN101174289A (zh) | 有选择地启动加电口令的设备、系统和方法 | |
| CN107133512A (zh) | Pos终端控制方法和装置 | |
| JP2010182070A (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| KR20190062797A (ko) | 클라우드 서비스를 사용하는 사용자 단말기, 단말기의 보안 통합 관리 서버 및 단말기의 보안 통합 관리 방법 | |
| CN102833296A (zh) | 用于构建安全的计算环境的方法和设备 | |
| CN115643081A (zh) | 工业控制系统认证方法、装置和计算机设备 | |
| CN112541168A (zh) | 一种数据的防窃取方法、系统及存储介质 | |
| US8914901B2 (en) | Trusted storage and display | |
| Pedersen et al. | Designing a secure point-of-sale system | |
| CN104933811A (zh) | 自动柜员机出钞设备控制方法及装置 | |
| CN110532754A (zh) | 控制对外围存储设备的信息的访问的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150218 |
|
| RJ01 | Rejection of invention patent application after publication |