CN105975842A - 一种uefi中基于key的bios安全认证方法及系统 - Google Patents
一种uefi中基于key的bios安全认证方法及系统 Download PDFInfo
- Publication number
- CN105975842A CN105975842A CN201610306991.5A CN201610306991A CN105975842A CN 105975842 A CN105975842 A CN 105975842A CN 201610306991 A CN201610306991 A CN 201610306991A CN 105975842 A CN105975842 A CN 105975842A
- Authority
- CN
- China
- Prior art keywords
- key
- uefi
- read
- password
- initialized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种UEFI中基于KEY的BIOS安全认证方法及系统,属于BIOS管理技术领域;利用UEFI,在UEFI的DXE阶段后之后,BDS之前,通过接口检测连接到电脑的KEY设备,并将KEY初始化为启动设备,根据读请求读取KEY中相关信息,并将相关信息存储到UEFI中,进行初始化密码信息加密解密设置,利用读取的KEY中相关信息设置KEY初始化密码,同时生成随机数验证密码,均存储到UEFI中;比较验证从KEY中读取的初始化密码与UEFI中的相应存储的密码信息,如果相等则进行下个阶段操作,直至启动系统,如果不等则继续请求等待,防止系统启动。
Description
技术领域
本发明公开一种UEFI中BIOS安全认证方法及系统,属于BIOS管理技术领域,具体地说是一种UEFI中基于KEY的BIOS安全认证方法及系统。
背景技术
随着计算机的使用越来越普遍,人们对计算机的安全性要求也不断提高。传统的方法是设置BIOS密码,开机之后输入密码验证进入系统,这种方法的单个密码极易受到攻击,不能满足人们更高安全性要求。改进的方法利用USB KEY除包括基本的flash存储模块,也包含密码芯片作为安全管理模块,包含可启动操作系统,保护计算机系统安全,但是需要提前安装USBKEY 的设备驱动,时常造成使用的不便。本发明公开了一种UEFI中基于KEY的BIOS安全认证方法及系统,利用UEFI的启动过程,将硬件加密认证过程设置在UEFI启动过程中DXE阶段之后,BDS阶段之前执行。利用UEFI,在UEFI的DXE阶段后之后,BDS之前,通过接口检测连接到电脑的KEY设备,并将KEY初始化为启动设备,根据读请求读取KEY中相关信息,并将相关信息存储到UEFI中,进行初始化密码信息加密解密设置,利用读取的KEY中相关信息设置KEY初始化密码,同时生成随机数验证密码,均存储到UEFI中;比较验证从KEY中读取的初始化密码与UEFI中的相应存储的密码信息,如果相等则进行下个阶段操作,直至启动系统,如果不等则继续请求等待,防止系统启动。
UEFI的启动包括SEC、PEI、DXE、BDS、TSL、RT几个阶段,其中SEC即security设置CPU的保护模式,PEI即EFI前初始化PEI,DXE即执行驱动、安装Device handle、安装protocol,BDS 即开机设备选择,TSL即暂时性系统载入,RT即运行时间等几个阶段。在不同的阶段增加密码验证,使安全保护程度不同。
发明内容
本发明针对现有技术的问题,提供一种UEFI中基于KEY的BIOS安全认证方法及系统,通过初始化KEY和UEFI 固件,用硬件加密认证来达到保护计算机系统安全的目的。
本发明提出的具体方案是:
一种UEFI中基于KEY的BIOS安全认证方法,利用UEFI,在UEFI的DXE阶段后之后,BDS之前,通过接口检测连接到电脑的KEY设备,并将KEY初始化为启动设备,根据读请求读取KEY中相关信息,并将相关信息存储到UEFI中,进行初始化密码信息加密解密设置,利用读取的KEY中相关信息设置KEY初始化密码,同时生成随机数验证密码,均存储到UEFI中;比较验证从KEY中读取的初始化密码与UEFI中的相应存储的密码信息,如果相等则进行下个阶段操作,直至启动系统,如果不等则继续请求等待,防止系统启动。
所述初始化密码信息加密解密设置:利用读取的KEY中相关信息设置KEY初始化密码为密码1,同时生成随机数验证密码为密码2,将密码2加密为密码3,密码3解密为密码4,分别存储到KEY和UEFI中。
比较验证从KEY中读取的密码1与UEFI中的相应存储的密码1信息是否相等,不相等则验证不通过,继续发送请求读取KEY内的密码1,如果相等则验证通过,继续通过读模块读取KEY内密码3。
读取KEY内密码3与UEFI中存储的密码4验证比较,如果相等则加载后续操作系统,运行BDS、TSL、RT阶段,系统启动,如果不等则验证未通过,继续发送请求读取KEY内的密码1,系统不能启动。
一种UEFI中基于KEY的BIOS安全认证系统,包括检测模块、读模块、安全管理模块、密码管理模块,均内嵌于UEFI固件中,且在UEFI的DXE阶段后之后,BDS之前执行各自功能,
检测模块负责通过接口检测连接到电脑的KEY设备,并将KEY初始化为启动设备,
读模块与检测模块通信,根据读请求读取KEY中相关信息,并将相关信息存储到UEFI中,
安全管理模块与读模块通信,利用读取的KEY中相关信息设置KEY初始化密码,同时生成随机数验证密码,比较验证从KEY中读取的初始化密码与UEFI中的相应密码信息,如果相等则进行下个阶段操作,直至启动系统,如果不等则继续请求等待,防止系统启动。
密码管理模块与读模块通信,负责配合安全管理模块进行初始化密码信息加密解密设置。
本发明的有益之处是:
本发明提供一种UEFI中基于KEY的BIOS安全认证方法及系统,利用UEFI,在UEFI的DXE阶段后之后,BDS之前,通过接口检测连接到电脑的KEY设备,并将KEY初始化为启动设备,根据读请求读取KEY中相关信息,并将相关信息存储到UEFI中,进行初始化密码信息加密解密设置,利用读取的KEY中相关信息设置KEY初始化密码,同时生成随机数验证密码,均存储到UEFI中;比较验证从KEY中读取的初始化密码与UEFI中的相应存储的密码信息,如果相等则进行下个阶段操作,直至启动系统,如果不等则继续请求等待,防止系统启动;利用本发明方法及系统通过初始化KEY和UEFI 固件,用硬件加密认证来达到保护计算机系统安全的目的。
附图说明
图1是本发明系统框架示意图;
图2是本发明方法流程示意图。
具体实施方式
一种UEFI中基于KEY的BIOS安全认证方法,利用UEFI,在UEFI的DXE阶段后之后,BDS之前,通过接口检测连接到电脑的KEY设备,并将KEY初始化为启动设备,根据读请求读取KEY中相关信息,并将相关信息存储到UEFI中,进行初始化密码信息加密解密设置,利用读取的KEY中相关信息设置KEY初始化密码,同时生成随机数验证密码,均存储到UEFI中;比较验证从KEY中读取的初始化密码与UEFI中的相应存储的密码信息,如果相等则进行下个阶段操作,直至启动系统,如果不等则继续请求等待,防止系统启动。
相应的系统包括检测模块、读模块、安全管理模块、密码管理模块,均内嵌于UEFI固件中,且在UEFI的DXE阶段后之后,BDS之前执行各自功能,
检测模块负责通过接口检测连接到电脑的KEY设备,并将KEY初始化为启动设备,
读模块与检测模块通信,根据读请求读取KEY中相关信息,并将相关信息存储到UEFI中,
安全管理模块与读模块通信,利用读取的KEY中相关信息设置KEY初始化密码,同时生成随机数验证密码,比较验证从KEY中读取的初始化密码与UEFI中的相应密码信息,如果相等则进行下个阶段操作,直至启动系统,如果不等则继续请求等待,防止系统启动。
密码管理模块与读模块通信,负责配合安全管理模块进行初始化密码信息加密解密设置。
利用上述方法及系统,结合附图对本发明做进一步说明。
具体实施时,检测模块检测到通过接口连接到电脑的KEY设备,检测到KEY,并将KEY初始化为启动设备,进行初始化密码信息加密解密设置,利用读取的KEY中相关信息设置KEY初始化密码为密码1,同时生成随机数验证密码为密码2,将密码2加密为密码3,密码3解密为密码4,分别存储到KEY和UEFI中;
重新启动计算机,检测到KEY之后,当UEFI执行完SEC、PEI、DXE阶段之后对KEY发送请求,读取模块读取KEY的密码信息;
比较验证从KEY中读取的密码1与UEFI中的相应存储的密码1信息是否相等,不相等则验证不通过,继续发送请求读取KEY内的密码1,如果相等则验证通过,继续通过读模块读取KEY内密码3;
读取KEY内密码3与UEFI中存储的密码4验证比较,如果相等则加载后续操作系统,运行BDS、TSL、RT阶段,系统启动,如果不等则验证未通过,继续发送请求读取KEY内的密码1,系统不能启动,重复进行验证过程。直至验证成功或手动进行处理。利用本发明方法及系统通过初始化KEY和UEFI 固件,用硬件加密认证来达到保护计算机系统安全的目的。
Claims (6)
1.一种UEFI中基于KEY的BIOS安全认证方法,其特征是利用UEFI,在UEFI的DXE阶段后之后,BDS之前,通过接口检测连接到电脑的KEY设备,并将KEY初始化为启动设备,根据读请求读取KEY中相关信息,并将相关信息存储到UEFI中,进行初始化密码信息加密解密设置,利用读取的KEY中相关信息设置KEY初始化密码,同时生成随机数验证密码,均存储到UEFI中;比较验证从KEY中读取的初始化密码与UEFI中的相应存储的密码信息,如果相等则进行下个阶段操作,直至启动系统,如果不等则继续请求等待,防止系统启动。
2.根据权利要求1所述的方法,其特征是所述初始化密码信息加密解密设置:利用读取的KEY中相关信息设置KEY初始化密码为密码1,同时生成随机数验证密码为密码2,将密码2加密为密码3,密码3解密为密码4,分别存储到KEY和UEFI中。
3.根据权利要求2所述的方法,其特征是比较验证从KEY中读取的密码1与UEFI中的相应存储的密码1信息是否相等,不相等则验证不通过,继续发送请求读取KEY内的密码1,如果相等则验证通过,继续通过读模块读取KEY内密码3。
4.根据权利要求3所述的方法,其特征是读取KEY内密码3与UEFI中存储的密码4验证比较,如果相等则加载后续操作系统,运行BDS、TSL、RT阶段,系统启动,如果不等则验证未通过,继续发送请求读取KEY内的密码1,系统不能启动。
5.一种UEFI中基于KEY的BIOS安全认证系统,其特征是包括检测模块、读模块、安全管理模块、密码管理模块,均内嵌于UEFI固件中,且在UEFI的DXE阶段后之后,BDS之前执行各自功能,
检测模块负责通过接口检测连接到电脑的KEY设备,并将KEY初始化为启动设备,
读模块与检测模块通信,根据读请求读取KEY中相关信息,并将相关信息存储到UEFI中,
安全管理模块与读模块通信,利用读取的KEY中相关信息设置KEY初始化密码,同时生成随机数验证密码,比较验证从KEY中读取的初始化密码与UEFI中的相应密码信息,如果相等则进行下个阶段操作,直至启动系统,如果不等则继续请求等待,防止系统启动。
6.密码管理模块与读模块通信,负责配合安全管理模块进行初始化密码信息加密解密设置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610306991.5A CN105975842A (zh) | 2016-05-11 | 2016-05-11 | 一种uefi中基于key的bios安全认证方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610306991.5A CN105975842A (zh) | 2016-05-11 | 2016-05-11 | 一种uefi中基于key的bios安全认证方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105975842A true CN105975842A (zh) | 2016-09-28 |
Family
ID=56992307
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610306991.5A Pending CN105975842A (zh) | 2016-05-11 | 2016-05-11 | 一种uefi中基于key的bios安全认证方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105975842A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107103212A (zh) * | 2017-06-15 | 2017-08-29 | 济南浪潮高新科技投资发展有限公司 | 一种bios固件保护方法和系统 |
CN107194264A (zh) * | 2017-05-24 | 2017-09-22 | 济南浪潮高新科技投资发展有限公司 | 一种基于uefi的带有安全认证功能的网卡 |
CN107622204A (zh) * | 2017-09-26 | 2018-01-23 | 北京计算机技术及应用研究所 | 一种基于国产操作系统的国产平板双系统存储与启动方法 |
CN109032636A (zh) * | 2018-07-17 | 2018-12-18 | 济南浪潮高新科技投资发展有限公司 | 一种基于加密认证bmc更新uefi固件的方法 |
CN109740340A (zh) * | 2018-12-28 | 2019-05-10 | 联想(北京)有限公司 | 信息处理方法和电子设备 |
-
2016
- 2016-05-11 CN CN201610306991.5A patent/CN105975842A/zh active Pending
Non-Patent Citations (3)
Title |
---|
李振华: "基于USBKEY的EFI可信引导的设计与实现", 《中国优秀硕士学位沦为全文数据库(电子期刊)(信息科技辑)》 * |
杨少谦: "EFI BIOS安全增强方案设计与实现", 《中国优秀硕士论文全文数据库(电子期刊)(信息科技辑)》 * |
潘林 等: "基于EFI BIOS的Ukey设备驱动的设计与实现", 《计算机工程与应用》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107194264A (zh) * | 2017-05-24 | 2017-09-22 | 济南浪潮高新科技投资发展有限公司 | 一种基于uefi的带有安全认证功能的网卡 |
CN107103212A (zh) * | 2017-06-15 | 2017-08-29 | 济南浪潮高新科技投资发展有限公司 | 一种bios固件保护方法和系统 |
CN107622204A (zh) * | 2017-09-26 | 2018-01-23 | 北京计算机技术及应用研究所 | 一种基于国产操作系统的国产平板双系统存储与启动方法 |
CN109032636A (zh) * | 2018-07-17 | 2018-12-18 | 济南浪潮高新科技投资发展有限公司 | 一种基于加密认证bmc更新uefi固件的方法 |
CN109740340A (zh) * | 2018-12-28 | 2019-05-10 | 联想(北京)有限公司 | 信息处理方法和电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105975842A (zh) | 一种uefi中基于key的bios安全认证方法及系统 | |
JP5703391B2 (ja) | 耐タンパー性ブート処理のためのシステム及び方法 | |
US7243240B2 (en) | System and method for firmware authentication | |
CN110688660B (zh) | 一种终端安全启动的方法及装置、存储介质 | |
TW201802719A (zh) | 具安全碼驗證之信息認證 | |
EP3398289B1 (en) | A method, system and apparatus using forward-secure cryptography for passcode verification | |
CN106156635A (zh) | 终端启动方法和装置 | |
CN109388961B (zh) | 存储设备的安全控制方法及存储设备 | |
JP2009544073A (ja) | コンピュータシステムの部品認証 | |
CN102184352A (zh) | 基于蓝牙设备认证的计算机系统自动防护方法 | |
JP5613596B2 (ja) | 認証システム、端末装置、認証サーバ、およびプログラム | |
CN111651748B (zh) | 一种车内ecu的安全访问处理系统及其方法 | |
CN111162911B (zh) | 一种plc固件升级系统及方法 | |
CN101520832A (zh) | 一种文件代码签名验证系统及其方法 | |
CN104580136A (zh) | 一种基于uefi的远程身份验证系统和方法 | |
US11809540B2 (en) | System and method for facilitating authentication via a short-range wireless token | |
CN103269271A (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
JP2012009938A (ja) | 情報処理装置及びプログラム | |
CN111314322B (zh) | 一种账号加密方法和账号认证方法 | |
CN103281188A (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
CN116561734A (zh) | 一种验证方法、装置、计算机及计算机配置系统 | |
JP5049179B2 (ja) | 情報処理端末装置及びアプリケーションプログラムの起動認証方法 | |
CN208143232U (zh) | 一种uefi中基于量子加密设备的bios安全认证系统 | |
CN103248490A (zh) | 一种备份电子签名令牌中信息的方法和系统 | |
CN109840409B (zh) | 核心板和核心板启动方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160928 |