CN104580136A - 一种基于uefi的远程身份验证系统和方法 - Google Patents
一种基于uefi的远程身份验证系统和方法 Download PDFInfo
- Publication number
- CN104580136A CN104580136A CN201410457643.9A CN201410457643A CN104580136A CN 104580136 A CN104580136 A CN 104580136A CN 201410457643 A CN201410457643 A CN 201410457643A CN 104580136 A CN104580136 A CN 104580136A
- Authority
- CN
- China
- Prior art keywords
- authentication
- identity authentication
- module
- user
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
本发明涉及一种基于UEFI的远程身份验证系统和方法,属于计算机安全技术领域。系统包括身份认证驱动模块和身份验证服务器;身份验证驱动模块包括设备标识码子模块、本地身份验证接口子模块和网络子模块;设备标识码子模块用于采集设备的硬件信息并生成唯一标识码;本地身份验证接口子模块用于接入外置的身份验证设备;网络子模块将本地的身份验证信息发送到服务端进行验证,并接收身份验证返回结果;身份验证服务器包括身份认证模块和用户数据模块,服务器端将通过身份验证模块获取用户数据模块存储的用户身份验证信息,进行身份比对,并将结果返回给客户端。本发明实现在开机的引导过程中,操作系统启动前,远程进行身份验证。
Description
技术领域
本发明属于计算机安全技术领域,涉及一种基于UEFI的固件,涉及一种基于UEFI固件,在开机引导过程中进行远程身份验证系统和方法。
背景技术
目前,在计算机安全领域,身份认证功能主要通过认证服务器与运行于操作系统中的客户端进行交互来完成的。在这个认证过程中,操作系统已经启动,如果存在系统漏洞或恶意软件,将存在恶意软件已经启动并运行的可能性。
在操作系统层进行远程身份验证有着以下的不足,主要包括:
(1)在计算设备更换硬盘、Flash等存储被保护程序的装置后,将不能自动地恢复远程身份验证程序。
(2)在对硬盘、Flash等被保护程序的存储空间进行重新分区后,计算设备将不能自动地恢复远程身份验证程序。
(3)在对硬盘、Flash等被保护程序的存储空间进行格式化后,计算设备将不能自动地恢复远程身份验证程序。
(4)当被保护可执行程序文件不属于操作系统自带软件的情况下,在计算设备重新安装操作系统后,将不能自动地恢复远程身份验证程序。
(5)当终端的操作系统中的远程身份验证程序被病毒或木马篡改和删除后,将不能自动地进行恢复。
(6)在操作系统启动后进行远程身份认证,有可能在通过认证之前,恶意软件已经开始执行。
发明内容
本发明的目的是为了克服已有技术的缺陷,提出一种基于UEFI的远程身份验证系统和方法,实现在开机的引导过程中,操作系统启动前,能够远程进行身份验证。
一种基于UEFI的远程身份验证系统,系统包括位于客户端的固件层的身份认证驱动模块和位于服务端的身份验证服务器;
所述身份验证驱动模块是符合UEFI规范的固件模块,主要包括设备标识码子模块、本地身份验证接口子模块、网络子模块三个部分;其中,设备标识码子模块用于采集设备的硬件信息,并根据硬件信息生成唯一标识码;本地身份验证接口子模块用于接入外置的身份验证设备(如U-key、IC卡等);网络子模块将本地的身份验证信息发送到服务端进行验证,并接收身份验证返回结果;
所述身份验证服务器包括身份认证模块和用户数据模块,服务器端将通过身份验证模块获取用户数据模块存储的用户身份验证信息,进行身份比对,并将结果返回给客户端。
一种基于UEFI的远程身份验证方法,该方法实现步骤如下:
步骤一、计算机开机上电,进入开机引导过程;
步骤二、在固件层加载相应的硬件驱动;
步骤三、采集特定的硬件信息(如主板编号、CPU编号等);
步骤四、根据硬件信息生成唯一的机器标识码;
步骤五、检测是否有外接的身份识别设备;如果有外接设备则转入步骤六;如果没有外接设备,则需要用户输入相应的固件层用户名和密码,与本地保存的用户信息进行比对;
步骤六、加载相应的驱动,提取身份认证信息;
步骤七、在固件层加载TCP/IP协议栈;
步骤八、检测网络是否可以接入;如果可以接入,则转入步骤九;如果未接入网络,则需要用户输入相应的固件层用户名和密码,与本地保存的用户信息进行比对;
步骤九、加密身份认证信息和设备标识码;
步骤十、客户端通过网络子模块,将加密信息发送到身份验证服务器;
步骤十一、身份认证服务器对用户身份进行验证;
步骤十二、根据相应的安全策略发送相应的开机指令;安全策略是开机所需要的流程,如是否需要再次输入用户密码等;
步骤十三、客户端根据服务器的指令,做出运行用户进行系统登录的判断;如果允许用户登录,则转入步骤十四,否则停止开机引导过程;
步骤十四、如果不需用户输入用户名和密码,则继续进行开机引导流程;如果需要用户输入用户名和密码,则在本地与用户保存的信息进行比对,如果通过,则继续开机引导流程;
步骤十五、身份认证流程结束。
有益效果:
(1)在计算设备更换硬盘、Flash等存储被保护程序的装置后,能够自动地重新恢复被保护文件,特别是关键可执行程序的文件。
(2)在对硬盘、Flash等被保护程序的存储空间进行重新分区后,计算设备将能够自动地恢复被保护文件,特别是关键可执行程序的文件。
(3)在对硬盘、Flash等被保护程序的存储空间进行格式化后,计算设备将能够自动地重新恢复被保护文件,特别是关键可执行程序的文件。
(4)在计算设备重新安装操作系统后,能够自动地重新恢复被保护程序文件。
(5)终端用户删除本地终端上的被保护文件后,将会在开机过程中重新恢复被保护文件。
(6)当终端的操作系统中的特定软件文件被病毒或木马篡改和删除后,能够自动地进行恢复。
(7)在操作系统启动前,能够确定操作系统中特定的关键文件,特别是可执行程序文件存在,且文件正常。
附图说明
图1是本发明的系统总体框架图;
图2是本发明远程身份验证的流程图。
具体实施方式
如附图1所示,本发明提供了一种基于UEFI的远程身份验证系统,系统包括位于客户端的固件层的身份认证驱动模块和位于服务端的身份验证服务器;
所述身份验证驱动模块是符合UEFI规范的固件模块,主要包括设备标识码子模块、本地身份验证接口子模块、网络子模块三个部分;其中,设备标识码子模块用于采集设备的硬件信息,并根据硬件信息生成唯一标识码;本地身份验证接口子模块用于接入外置的身份验证设备(如U-key、IC卡等);网络子模块将本地的身份验证信息发送到服务端进行验证,并接收身份验证返回结果;
所述身份验证服务器包括身份认证模块和用户数据模块,服务器端将通过身份验证模块获取用户数据模块存储的用户身份验证信息,进行身份比对,并将结果返回给客户端。
本发明在应用前,需要在计算机终端先行部署,可以选用的方法包括:
(1)在UEFI核心镜像中添加驱动模块。
(2)在UEFI核心镜像中挂载Option ROM模块。
(3)在可信卡等其他外围设备中挂载驱动模块。
如附图2所示,本发明基于UEFI的软件全过程保护方法的具体实施方法主要步骤如下:
步骤一、计算机开机上电,进入开机引导过程。
步骤二、在UEFI引导过程中,固件层会加载相应的硬件驱动,如硬盘驱动、文件系统驱动等。
步骤三、身份验证驱动模块会采集特定的硬件信息(如主板编号、CPU编号等)。
步骤四、设备标识码子模块会根据硬件信息,通过杂凑算法,生成唯一的机器标识码。
步骤五、检测是否有外接的身份识别设备。如果有外接设备则转入步骤六。如果没有外接设备,则开机引导过程暂时中止,需要用户输入相应的固件层用户名和密码,与本地保存的用户信息进行比对,如果符合用户验证信息,则继续开机引导过程。
步骤六、在固件层加载外接身份验证设备相应的驱动,提取身份认证信息。
步骤七、在固件层加载TCP/IP协议栈,能够在操作系统启动前接入网络,与身份验证服务器建立连接。避免了操作系统启动后,执行恶意代码的风险。
步骤八、检测网络是否可以接入。如果可以接入,则转入步骤九。如果未接入网络,则需要用户输入相应的固件层用户名和密码,与本地保存的用户信息进行比对,进行本地身份验证。如果终端未能接入网络,将根据本地保存的信息进行身份认证。
步骤九、加密身份认证信息和设备标识码。
步骤十、客户端通过网络子模块,将加密信息发送到身份验证服务器。
步骤十一、身份认证服务器对用户身份进行验证。
步骤十二、根据相应的安全策略发送相应的开机指令。安全策略是开机所需要的流程,如是否需要再次输入用户密码等。
步骤十三、客户端根据服务器的指令,做出运行用户进行系统登录的判断。如果允许用户登录,则转入步骤十四,否则停止开机引导过程,如弹出提示框,锁定终端并通知管理员。
步骤十四、如果不需用户输入用户名和密码,则继续进行开机引导流程。如果需要用户输入用户名和密码,则在本地与用户保存的信息进行比对,如果通过,则继续开机引导流程。
步骤十五、身份认证流程结束。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种基于UEFI的远程身份验证系统,其特征在于,所述系统包括位于客户端的固件层的身份认证驱动模块和位于服务端的身份验证服务器;
所述身份验证驱动模块是符合UEFI规范的固件模块,主要包括设备标识码子模块、本地身份验证接口子模块、网络子模块三个部分;其中,设备标识码子模块用于采集设备的硬件信息,并根据硬件信息生成唯一标识码;本地身份验证接口子模块用于接入外置的身份验证设备;网络子模块将本地的身份验证信息发送到服务端进行验证,并接收身份验证返回结果;
所述身份验证服务器包括身份认证模块和用户数据模块,服务器端将通过身份验证模块获取用户数据模块存储的用户身份验证信息,进行身份比对,并将结果返回给客户端。
2.根据权利要求1所述的基于UEFI的远程身份验证系统,其特征在于,其实现步骤如下:
步骤一、计算机开机上电,进入开机引导过程;
步骤二、在固件层加载相应的硬件驱动;
步骤三、采集特定的硬件信息;
步骤四、根据硬件信息生成唯一的机器标识码;
步骤五、检测是否有外接的身份识别设备;如果有外接设备则转入步骤六;如果没有外接设备,则需要用户输入相应的固件层用户名和密码,与本地保存的用户信息进行比对;
步骤六、加载相应的驱动,提取身份认证信息;
步骤七、在固件层加载TCP/IP协议栈;
步骤八、检测网络是否可以接入;如果可以接入,则转入步骤九;如果未接入网络,则需要用户输入相应的固件层用户名和密码,与本地保存的用户信息进行比对;
步骤九、加密身份认证信息和设备标识码;
步骤十、客户端通过网络子模块,将加密信息发送到身份验证服务器;
步骤十一、身份认证服务器对用户身份进行验证;
步骤十二、根据相应的安全策略发送相应的开机指令;安全策略是开机所需要的流程,如是否需要再次输入用户密码等;
步骤十三、客户端根据服务器的指令,做出运行用户进行系统登录的判断;如果允许用户登录,则转入步骤十四,否则停止开机引导过程;
步骤十四、如果不需用户输入用户名和密码,则继续进行开机引导流程;如果需要用户输入用户名和密码,则在本地与用户保存的信息进行比对,如果通过,则继续开机引导流程;
步骤十五、身份认证流程结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410457643.9A CN104580136A (zh) | 2014-09-10 | 2014-09-10 | 一种基于uefi的远程身份验证系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410457643.9A CN104580136A (zh) | 2014-09-10 | 2014-09-10 | 一种基于uefi的远程身份验证系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104580136A true CN104580136A (zh) | 2015-04-29 |
Family
ID=53095323
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410457643.9A Pending CN104580136A (zh) | 2014-09-10 | 2014-09-10 | 一种基于uefi的远程身份验证系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104580136A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104869616A (zh) * | 2015-05-25 | 2015-08-26 | 成都西蒙电子技术有限公司 | 一种云共享无线路由器设备及连接方法 |
| CN105847280A (zh) * | 2016-05-06 | 2016-08-10 | 南京百敖软件有限公司 | 一种基于固件的安全管理方法 |
| CN105933347A (zh) * | 2016-06-29 | 2016-09-07 | 天脉聚源(北京)传媒科技有限公司 | 一种获取应用程序中的数据资源的方法及装置 |
| CN106909351A (zh) * | 2015-12-22 | 2017-06-30 | 中电科技(北京)有限公司 | 一种基于uefi固件的ext文件系统的实现方法 |
| CN109168167A (zh) * | 2018-11-27 | 2019-01-08 | Oppo(重庆)智能科技有限公司 | 验证终端真伪的方法、装置、终端及存储介质 |
| CN109683972A (zh) * | 2018-12-25 | 2019-04-26 | 联想(北京)有限公司 | 信息控制方法及装置 |
| CN110020562A (zh) * | 2019-04-03 | 2019-07-16 | 中电科技(北京)有限公司 | 基于uefi的硬盘全加密方法及装置 |
| WO2020000946A1 (zh) * | 2018-06-29 | 2020-01-02 | 郑州云海信息技术有限公司 | 一种bios和操作系统复用密码的方法、装置及设备 |
| CN111277592A (zh) * | 2018-06-27 | 2020-06-12 | 贵州白山云科技股份有限公司 | 一种鉴权方法、装置、存储介质及计算机设备 |
| CN112613011A (zh) * | 2020-12-29 | 2021-04-06 | 北京天融信网络安全技术有限公司 | U盘系统认证方法、装置、电子设备及存储介质 |
| CN112966276A (zh) * | 2021-04-02 | 2021-06-15 | 杭州华澜微电子股份有限公司 | 一种计算机的安全启动方法、装置及介质 |
| CN115099434A (zh) * | 2022-07-05 | 2022-09-23 | 中国长江三峡集团有限公司 | 一种水电站设备运维安全管理方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436247A (zh) * | 2007-11-12 | 2009-05-20 | 中国长城计算机深圳股份有限公司 | 一种基于uefi的生物身份识别方法及系统 |
| CN101916348A (zh) * | 2010-08-16 | 2010-12-15 | 武汉天喻信息产业股份有限公司 | 一种用户操作系统的安全引导方法及引导系统 |
| US20110302398A1 (en) * | 2010-06-03 | 2011-12-08 | Microsoft Corporation | Key protectors based on online keys |
-
2014
- 2014-09-10 CN CN201410457643.9A patent/CN104580136A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436247A (zh) * | 2007-11-12 | 2009-05-20 | 中国长城计算机深圳股份有限公司 | 一种基于uefi的生物身份识别方法及系统 |
| US20110302398A1 (en) * | 2010-06-03 | 2011-12-08 | Microsoft Corporation | Key protectors based on online keys |
| CN101916348A (zh) * | 2010-08-16 | 2010-12-15 | 武汉天喻信息产业股份有限公司 | 一种用户操作系统的安全引导方法及引导系统 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104869616A (zh) * | 2015-05-25 | 2015-08-26 | 成都西蒙电子技术有限公司 | 一种云共享无线路由器设备及连接方法 |
| CN106909351A (zh) * | 2015-12-22 | 2017-06-30 | 中电科技(北京)有限公司 | 一种基于uefi固件的ext文件系统的实现方法 |
| CN105847280A (zh) * | 2016-05-06 | 2016-08-10 | 南京百敖软件有限公司 | 一种基于固件的安全管理方法 |
| CN105933347B (zh) * | 2016-06-29 | 2019-03-19 | 天脉聚源(北京)传媒科技有限公司 | 一种获取应用程序中的数据资源的方法及装置 |
| CN105933347A (zh) * | 2016-06-29 | 2016-09-07 | 天脉聚源(北京)传媒科技有限公司 | 一种获取应用程序中的数据资源的方法及装置 |
| CN111277592A (zh) * | 2018-06-27 | 2020-06-12 | 贵州白山云科技股份有限公司 | 一种鉴权方法、装置、存储介质及计算机设备 |
| WO2020000946A1 (zh) * | 2018-06-29 | 2020-01-02 | 郑州云海信息技术有限公司 | 一种bios和操作系统复用密码的方法、装置及设备 |
| CN109168167A (zh) * | 2018-11-27 | 2019-01-08 | Oppo(重庆)智能科技有限公司 | 验证终端真伪的方法、装置、终端及存储介质 |
| CN109683972A (zh) * | 2018-12-25 | 2019-04-26 | 联想(北京)有限公司 | 信息控制方法及装置 |
| CN110020562A (zh) * | 2019-04-03 | 2019-07-16 | 中电科技(北京)有限公司 | 基于uefi的硬盘全加密方法及装置 |
| CN112613011A (zh) * | 2020-12-29 | 2021-04-06 | 北京天融信网络安全技术有限公司 | U盘系统认证方法、装置、电子设备及存储介质 |
| CN112613011B (zh) * | 2020-12-29 | 2024-01-23 | 北京天融信网络安全技术有限公司 | U盘系统认证方法、装置、电子设备及存储介质 |
| CN112966276A (zh) * | 2021-04-02 | 2021-06-15 | 杭州华澜微电子股份有限公司 | 一种计算机的安全启动方法、装置及介质 |
| CN115099434A (zh) * | 2022-07-05 | 2022-09-23 | 中国长江三峡集团有限公司 | 一种水电站设备运维安全管理方法及系统 |
| CN115099434B (zh) * | 2022-07-05 | 2023-10-24 | 中国长江三峡集团有限公司 | 一种水电站设备运维安全管理方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104580136A (zh) | 一种基于uefi的远程身份验证系统和方法 | |
| ES2818199T3 (es) | Método de verificación de seguridad con base en una característica biométrica, un terminal de cliente y un servidor | |
| US20190384934A1 (en) | Method and system for protecting personal information infringement using division of authentication process and biometric authentication | |
| US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
| CN101350723B (zh) | 一种USB Key设备及其实现验证的方法 | |
| US20170243203A1 (en) | Crm security core | |
| CN110737897B (zh) | 基于可信卡的启动度量的方法和系统 | |
| JP5613596B2 (ja) | 認証システム、端末装置、認証サーバ、およびプログラム | |
| CN110688660B (zh) | 一种终端安全启动的方法及装置、存储介质 | |
| CN104903904A (zh) | 用于资源请求的条形码认证 | |
| WO2018112482A1 (en) | Method and system for distributing attestation key and certificate in trusted computing | |
| Panos et al. | A security evaluation of FIDO’s UAF protocol in mobile and embedded devices | |
| CN115859267A (zh) | 一种应用程序安全启动的方法、存储控制芯片和电子设备 | |
| US20170201528A1 (en) | Method for providing trusted service based on secure area and apparatus using the same | |
| CN111901303A (zh) | 设备认证方法和装置、存储介质及电子装置 | |
| CN109246062B (zh) | 一种基于浏览器插件的认证方法及系统 | |
| EP2985712B1 (en) | Application encryption processing method, apparatus, and terminal | |
| EP3058498B1 (en) | Crm security core | |
| CN113746785B (zh) | 邮箱登录、处理方法、系统和装置 | |
| CN108574657B (zh) | 接入服务器的方法、装置、系统以及计算设备和服务器 | |
| CN101499902A (zh) | 身份认证设备及身份认证方法 | |
| CN114650175B (zh) | 一种验证方法及装置 | |
| US11184351B2 (en) | Security tool | |
| US20210067501A1 (en) | Security Tool | |
| WO2020087381A1 (zh) | 模型数据的载入方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150429 |