CN109446813A - 一种主板bios防篡改及自动恢复方法 - Google Patents
一种主板bios防篡改及自动恢复方法 Download PDFInfo
- Publication number
- CN109446813A CN109446813A CN201810947259.5A CN201810947259A CN109446813A CN 109446813 A CN109446813 A CN 109446813A CN 201810947259 A CN201810947259 A CN 201810947259A CN 109446813 A CN109446813 A CN 109446813A
- Authority
- CN
- China
- Prior art keywords
- bios
- mainboard
- processor module
- computer
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种主板BIOS防篡改及自动恢复方法,其技术特点在于:包括以下步骤:步骤1、计算机上电后协处理模块首先启动,并通过主板启动控制电路,使计算机主板BIOS暂不启动;步骤2、使协处理模块获取BIOS访问权限;步骤3、协处理模块对主板BIOS进行度量,并根据度量结果判定主板BIOS是否被篡改;步骤4、通过设置总线开关,使主板CPU获取BIOS访问权限;步骤5、计算机完成正常启动;步骤6、BIOS正常启动工作。本发明在计算机BIOS被非法用户篡改后,能够通过防止BIOS程序被恶意植入非法代码,把住攻击发起的源头关,保证了计算机的源头安全性。
Description
技术领域
本发明属于计算机信息安全技术领域,尤其是一种主板BIOS防篡改及自动恢复方法。
背景技术
随着国家信息化建设的持续深化,信息安全问题已经逐渐成为制约国家信息化发展的主要障碍之一。
其中,BIOS(Basic Input/Output System)在计算机中起到了最基础的而又最重要的作用,它为计算机提供最底层、最直接的硬件控制,计算机的原始操作都是依照固化在BIOS里的内容来实现的。它是硬件与软件程序之间的一个接口,负责解决硬件的即时需求,并按照软件对硬件的操作要求具体执行,但是BIOS被非法入侵者篡改后,攻击者会依靠计算机的其他途径或环境来携带恶意代码进行破坏计算机或者窃取计算机中的关键数据,而传统计算机架构和信息安全产品无法满足需求。
发明内容
本发明的目的在于克服现有技术中的缺陷,提供一种设计合理、安全可靠的主板BIOS防篡改及自动恢复方法。
本发明解决其现实问题是采取以下技术方案实现的:
一种主板BIOS防篡改及自动恢复方法,包括以下步骤:
步骤1、计算机上电后协处理模块首先启动,并通过主板启动控制电路,使计算机主板BIOS暂不启动;
步骤2、通过设置总线开关,使协处理模块获取BIOS访问权限;
步骤3、协处理模块对主板BIOS进行度量,并根据度量结果判定主板BIOS是否被篡改;如果发现主板BIOS数据被非法篡改,则对计算机主板BIOS进行恢复;
步骤4、通过设置总线开关,使主板CPU获取BIOS访问权限;
步骤5、协处理模块通过主板启动控制电路,使计算机完成正常启动;
步骤6、主板CPU读取BIOS代码,使得BIOS正常启动工作。
而且,所述步骤2的具体方法为:BIOS总线开关置于1-2连通位置,使协处理模块CPU对主板BIOS芯片进行数据读取/写入操作;
而且,所述步骤3的具体步骤包括:
(1)协处理模块将读取的BIOS FLASH数据送入HASH杂凑算法核,并读取计算后的BIOS杂凑运算结果;
(2)协处理模块从预期值存放区读取BIOS的杂凑预期值,并与步骤3第(1)步计算的BIOS杂凑运算结果进行比较,完成对计算机主板BIOS数据进行完整性验证,获知BIOS是否被篡改;
(3)协处理模块如果发现主板BIOS数据被非法篡改,则从BIOS备份芯片读取BIOS正确数据,对计算机主板BIOS进行写入恢复;如果数据对比正常,则跳过此步骤;
而且,所述步骤4的具体方法为:总线开关置于1-3连通位置,使主板CPU能够对主板BIOS芯片进行数据读取/写入操作,BIOS控制权交给主板BIOS。
本发明的优点和有益效果:
1、本发明增设协处理模块,作为计算机系统启动信任根,先于计算机cpu启动,采用HASH算法对计算机的BIOS进行完整性度量,并与预期值进行比较,预期值正常,将控制权交给计算机cpu,计算机复位启动;预期值不正常,从备份芯片恢复被篡改BIOS数据,且每次开机都进行度量和预期值比较,确保BIOS控制权交接过程的安全可靠。在计算机BIOS被非法用户篡改,出现安全隐患或导致工作瘫痪后,能够通过防止BIOS程序被恶意植入非法代码,把住攻击发起的源头关,进行强制访问控制,保证了计算机的源头安全性。
2、本发明有效提高了计算机系统的安全性,实现“防失窃密”、“防系统破坏”、“确保系统可用”的安全目标,为从根本上解决当前计算机信息系统存在的安全问题奠定了基础。
附图说明
图1是本发明的计算机启动处理流程图;
图2是本发明的计算机启动工作原理图。
具体实施方式
以下结合附图对本发明实施例作进一步详述:
一种主板BIOS防篡改及自动恢复方法,如图1和图2所示,包括以下步骤:
步骤1、计算机上电后协处理模块首先启动,并通过主板启动控制电路,使计算机主板BIOS暂不启动;
步骤2、通过设置总线开关,使协处理模块获取BIOS访问权限;
在本实施例中,所述步骤2的具体方法为:BIOS总线开关置于1-2连通位置,使协处理模块CPU对主板BIOS芯片进行数据读取/写入操作;
步骤3、协处理模块对主板BIOS进行度量,并根据度量结果判定主板BIOS是否被篡改;如果发现主板BIOS数据被非法篡改,则对计算机主板BIOS进行恢复;
所述步骤3的具体步骤包括:
(1)协处理模块将读取的BIOS FLASH数据送入HASH杂凑算法核,并读取计算后的BIOS杂凑运算结果(摘要值);
(2)协处理模块从预期值存放区读取BIOS的杂凑预期值,并与步骤3第(1)步计算的BIOS杂凑运算结果进行比较,完成对计算机主板BIOS数据进行完整性验证,获知BIOS是否被篡改;
(3)协处理模块如果发现主板BIOS数据被非法篡改,则从BIOS备份芯片读取BIOS正确数据,对计算机主板BIOS进行写入恢复;如果数据对比正常,则跳过此步骤;
步骤4、通过设置总线开关,使主板CPU获取BIOS访问权限;
在本实施例中,所述步骤4的具体方法为:总线开关置于1-3连通位置,使主板CPU能够对主板BIOS芯片进行数据读取/写入操作,BIOS控制权交给主板BIOS;
步骤5、协处理模块通过主板启动控制电路,使计算机完成正常启动;
步骤6、主板CPU读取BIOS代码,使得BIOS正常启动工作。
在本实施例中,BIOS完整性度量设计实施方法为:
系统初装采集BIOS预期值;
采用HASH算法对BIOS常量区数据计算摘要值;
与协处理模块预期值比较判断是否被篡改。
在本实施例中,BIOS恢复机制实施方法:
协处理模块配置同等空间大小存储芯片;
备份BIOS芯片二进制初装数值;
预期值比较失败,从备份BIOS芯片读取初装数值,回写到主板BIOS芯片实现恢复功能。
本发明的工作原理为:
本发明的系统开机启动流程区别于普通计算机系统,协处理模块作为整个系统的可信根,包括BIOS总线开关、协处理器模块CPU、BIOS备份(存储主板BIOS数值的备份)、HASH杂凑算法核和预期值存放区。
计算机上电后,协处理模块首先工作,BIOS总线开关置协处理器CPU与主板BIOS连接,协处理模块对BIOS进行完整性验证,验证成功后才将BIOS控制权交接给计算机主板。通过以上流程控制,确保计算机BIOS的安全可靠。
需要强调的是,本发明所述实施例是说明性的,而不是限定性的,因此本发明包括并不限于具体实施方式中所述实施例,凡是由本领域技术人员根据本发明的技术方案得出的其他实施方式,同样属于本发明保护的范围。
Claims (4)
1.一种主板BIOS防篡改及自动恢复方法,其特征在于:包括以下步骤:
步骤1、计算机上电后协处理模块首先启动,并通过主板启动控制电路,使计算机主板BIOS暂不启动;
步骤2、通过设置总线开关,使协处理模块获取BIOS访问权限;
步骤3、协处理模块对主板BIOS进行度量,并根据度量结果判定主板BIOS是否被篡改;如果发现主板BIOS数据被非法篡改,则对计算机主板BIOS进行恢复;
步骤4、通过设置总线开关,使主板CPU获取BIOS访问权限;
步骤5、协处理模块通过主板启动控制电路,使计算机完成正常启动;
步骤6、主板CPU读取BIOS代码,使得BIOS正常启动工作。
2.根据权利要求1所述的一种主板BIOS防篡改及自动恢复方法,其特征在于:所述步骤2的具体方法为:BIOS总线开关置于1-2连通位置,使协处理模块CPU对主板BIOS芯片进行数据读取/写入操作。
3.根据权利要求1所述的一种主板BIOS防篡改及自动恢复方法,其特征在于:所述步骤3的具体步骤包括:
(1)协处理模块将读取的BIOSFLASH数据送入HASH杂凑算法核,并读取计算后的BIOS杂凑运算结果;
(2)协处理模块从预期值存放区读取BIOS的杂凑预期值,并与步骤3第(1)步计算的BIOS杂凑运算结果进行比较,完成对计算机主板BIOS数据进行完整性验证,获知BIOS是否被篡改;
(3)协处理模块如果发现主板BIOS数据被非法篡改,则从BIOS备份芯片读取BIOS正确数据,对计算机主板BIOS进行写入恢复;如果数据对比正常,则跳过此步骤。
4.根据权利要求1所述的一种主板BIOS防篡改及自动恢复方法,其特征在于:所述步骤4的具体方法为:总线开关置于1-3连通位置,使主板CPU能够对主板BIOS芯片进行数据读取/写入操作,BIOS控制权交给主板BIOS。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810947259.5A CN109446813A (zh) | 2018-08-20 | 2018-08-20 | 一种主板bios防篡改及自动恢复方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810947259.5A CN109446813A (zh) | 2018-08-20 | 2018-08-20 | 一种主板bios防篡改及自动恢复方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109446813A true CN109446813A (zh) | 2019-03-08 |
Family
ID=65533172
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810947259.5A Pending CN109446813A (zh) | 2018-08-20 | 2018-08-20 | 一种主板bios防篡改及自动恢复方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109446813A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110750794A (zh) * | 2019-10-24 | 2020-02-04 | 湖南长城信息金融设备有限责任公司 | 一种bios安全启动方法及系统 |
CN110929268A (zh) * | 2020-02-03 | 2020-03-27 | 中软信息系统工程有限公司 | 一种安全运行方法、装置及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101295340A (zh) * | 2008-06-20 | 2008-10-29 | 北京工业大学 | 一种可信平台模块及其主动度量方法 |
CN102332070A (zh) * | 2011-09-30 | 2012-01-25 | 中国人民解放军海军计算技术研究所 | 一种可信计算平台的信任链传递方法 |
CN103186434A (zh) * | 2011-12-31 | 2013-07-03 | 国民技术股份有限公司 | 恢复基本输入输出系统的方法及系统 |
CN104318142A (zh) * | 2014-10-31 | 2015-01-28 | 山东超越数控电子有限公司 | 一种计算机可信启动方式 |
CN105160255A (zh) * | 2015-08-06 | 2015-12-16 | 浪潮电子信息产业股份有限公司 | 一种可信度量装置及方法 |
CN105892611A (zh) * | 2016-04-01 | 2016-08-24 | 浪潮电子信息产业股份有限公司 | 一种cpu上电时序控制方法、装置及系统 |
CN106127056A (zh) * | 2016-06-20 | 2016-11-16 | 浪潮电子信息产业股份有限公司 | 一种国产bmc芯片可信固件的设计方法 |
CN108363918A (zh) * | 2017-04-28 | 2018-08-03 | 清华大学 | 处理器操作系统的引导启动方法、装置及处理器系统 |
-
2018
- 2018-08-20 CN CN201810947259.5A patent/CN109446813A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101295340A (zh) * | 2008-06-20 | 2008-10-29 | 北京工业大学 | 一种可信平台模块及其主动度量方法 |
CN102332070A (zh) * | 2011-09-30 | 2012-01-25 | 中国人民解放军海军计算技术研究所 | 一种可信计算平台的信任链传递方法 |
CN103186434A (zh) * | 2011-12-31 | 2013-07-03 | 国民技术股份有限公司 | 恢复基本输入输出系统的方法及系统 |
CN104318142A (zh) * | 2014-10-31 | 2015-01-28 | 山东超越数控电子有限公司 | 一种计算机可信启动方式 |
CN105160255A (zh) * | 2015-08-06 | 2015-12-16 | 浪潮电子信息产业股份有限公司 | 一种可信度量装置及方法 |
CN105892611A (zh) * | 2016-04-01 | 2016-08-24 | 浪潮电子信息产业股份有限公司 | 一种cpu上电时序控制方法、装置及系统 |
CN106127056A (zh) * | 2016-06-20 | 2016-11-16 | 浪潮电子信息产业股份有限公司 | 一种国产bmc芯片可信固件的设计方法 |
CN108363918A (zh) * | 2017-04-28 | 2018-08-03 | 清华大学 | 处理器操作系统的引导启动方法、装置及处理器系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110750794A (zh) * | 2019-10-24 | 2020-02-04 | 湖南长城信息金融设备有限责任公司 | 一种bios安全启动方法及系统 |
CN110750794B (zh) * | 2019-10-24 | 2022-03-22 | 长城信息股份有限公司 | 一种bios安全启动方法及系统 |
CN110929268A (zh) * | 2020-02-03 | 2020-03-27 | 中软信息系统工程有限公司 | 一种安全运行方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN203773424U (zh) | 一种基于龙芯处理器的安全可信计算机 | |
CN105205401B (zh) | 基于安全密码芯片的可信计算机系统及其可信引导方法 | |
CN103038745B (zh) | 扩展完整性测量 | |
CN104572168B (zh) | 一种bios自更新保护系统及方法 | |
JP6053786B2 (ja) | Arm(登録商標)トラストゾーン実施のためのファームウェア基盤トラステッドプラットフォームモジュール(tpm) | |
CN103207975B (zh) | 保护密码的方法以及计算机 | |
CN102509046B (zh) | 带有休眠支持的全局有效的测量的操作系统发动 | |
US7392404B2 (en) | Enhancing data integrity and security in a processor-based system | |
CN102279914A (zh) | 一种uefi可信支撑系统及其控制方法 | |
CN105718806A (zh) | 一种基于国产bmc和tpm2.0实现可信主动度量的方法 | |
CN103186434A (zh) | 恢复基本输入输出系统的方法及系统 | |
CN102063591A (zh) | 基于可信平台的平台配置寄存器参考值的更新方法 | |
CN109523261B (zh) | 区块链终端的交易验证方法、相关装置及可读存储介质 | |
CN106295319B (zh) | 操作系统安全防护方法 | |
CN103530548A (zh) | 基于移动可信计算模块的嵌入式终端可信启动方法 | |
CN103827812A (zh) | 选项只读存储器的使用 | |
CN111125707A (zh) | 一种基于可信密码模块的bmc安全启动方法、系统及设备 | |
CN109446813A (zh) | 一种主板bios防篡改及自动恢复方法 | |
CN102024115A (zh) | 一种具有用户安全子系统的计算机 | |
CN101799852A (zh) | 用于银行柜面敏感数据保护的硬件密码模块及方法 | |
US20220092189A1 (en) | Implementation of Trusted Computing System Based on Master Controller of Solid-State Drive | |
CN104361280A (zh) | 一种通过smi中断实现对usb存储设备进行可信认证的方法 | |
CN202110552U (zh) | 一种基于多体交叉存储技术的软件保护装置 | |
CN109190407B (zh) | 一种高性能加解密运算能力扩展方法及系统 | |
CN109740349A (zh) | 基于龙芯处理器的自主安全便携计算设备及其启动方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190308 |