TWI409664B - Personal computer boot authentication method and its boot authentication system - Google Patents
Personal computer boot authentication method and its boot authentication system Download PDFInfo
- Publication number
- TWI409664B TWI409664B TW098130450A TW98130450A TWI409664B TW I409664 B TWI409664 B TW I409664B TW 098130450 A TW098130450 A TW 098130450A TW 98130450 A TW98130450 A TW 98130450A TW I409664 B TWI409664 B TW I409664B
- Authority
- TW
- Taiwan
- Prior art keywords
- personal computer
- verification
- authentication device
- identification information
- information
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Description
一種認證方法與認證系統,特別有關於一種個人電腦的開機認證方法及其開機認證系統。
隨著個人電腦的快速發展,使得越來越多人會使用個人電腦來輔助工作。為能保障個人電腦中的資料之安全,個人電腦中提供了多種保密的方式。
最常用的一種就是個人電腦的基本輸入/輸出系統(Basic Input Output System,簡稱BIOS)中的驗證密碼功能。BIOS是個人電腦運行過程中的第一個被執行的程序。一旦BIOS的驗證密碼功能被開啟時,個人電腦會於BIOS運行時詢問使用者密碼為何。倘若使用者輸入錯誤的密碼,則BIOS則不會繼續運行下去,直到使用者輸入正確的密碼為止。
在習知的BIOS是被儲存於主機板中的快閃記憶體(Flash memory)裡。其中,BIOS的選項資料(係包含驗證密碼)被儲存於互補式金屬-氧化層-半導體(Complementary Metal-Oxide-Semiconductor,簡稱CMOS)記憶體中。由於CMOS記憶體是一種揮發式記憶體,因此需要由主機板的電池來提供CMOS記憶體運作的電力。一旦電力中斷後,CMOS記憶體中的資料也會隨即消失。換句話說,驗證密碼也會隨著不見。
亦或者,使用者在進行BIOS的更新過程中,出現不可抵抗的原因亦會使得快閃記憶體與CMOS記憶體毀損,進而導致驗證密碼消失。
中國專利公開號CN101105753A案揭露了一種「基於USB閃存盤的計算機安全控制方法」,在習知技術中提到在作業系統開機時利用通用序列匯流排(Universal Serial Bus,簡稱USB)閃存盤作為驗證使用者的一種方式。當作業系統跳現出使用者密碼驗證視窗時,使用者僅需將USB閃存盤安插至個人電腦。個人電腦會擷取USB閃存盤中的密碼資訊,並判斷該組密碼是否正確。由於使用者不須自行輸入密碼,所以降低了密碼被側錄的風險。舉例來說,惡意的使用者可以新增磁碟,並以新增的磁碟進行開機的動作。這樣一來,使用者即可繞過作業系統的檢查程序。
但是習知技術僅限定於作業系統運行時,對作業系統進行保護而已,卻無法保證BIOS是否有任何的變更,使得個人電腦的使用安全上出現的漏洞。
鑒於以上的問題,本發明提出一種應用於個人電腦的開機認證系統之認證方法,其係用以對不同的開機認證裝置進行相應的驗證程序。
本發明所揭露之一種應用於個人電腦的開機認證系統之認證方法包括下列步驟:將開機認證裝置連接至個人電腦;起始(booting)個人電腦;由個人電腦的驗證程序擷取開機認證裝置的辨識資訊,藉以判斷開機認證裝置是否符合;當開機認證裝置符合驗證資訊時,則個人電腦將繼續運行BIOS的其他程序。
本發明在於提供一種個人電腦的開機認證系統,於個人電腦開機時利用一開機認證裝置,藉以進行開機時的驗證程序。
本發明所揭露之個人電腦的開機認證系統包括:至少一開機認證裝置與個人電腦。開機認證裝置具有連接介面與辨識資訊;個人電腦包含連接埠、驗證程序、至少一驗證資訊與複數個周邊裝置;個人電腦透過連接埠電性連結於開機認證裝置;個人電腦於開機自我測試(Power On Self Test,簡稱POST)程序時運行驗證程序時,則驗證程序擷取辨識資訊,由驗證程序判斷辨識資訊與認證資訊是否一致;若辨識資訊與該認證資訊相異時,則個人電腦重新運行驗證程序。
本發明提出一種應用於個人電腦之開機認證系統的認證資訊設定方法。
本發明所揭露之一種應用於個人電腦的開機認證系統之驗證資訊設定方法包括下列步驟:將開機認證裝置連接至個人電腦;運行個人電腦的BIOS;將BIOS的驗證資訊生成程序致能;從開機認證裝置中擷取認證資訊,並將認證資訊儲存至BIOS中。
本發明提供一種個人電腦的開機認證方法及其開機認證系統,係將認證裝置連接至個人電腦,個人電腦於開機階段時係根據認證裝置之認證資訊,使用者除了可以不須自行輸入密碼,也可以確保BIOS的安全,更可以決定每一位使用者可以使用的周邊裝置。
有關本發明的特徵與實作,茲配合圖示作最佳實施例詳細說明如下。
請參考「第1圖」所示,其係為本發明之電路方塊示意圖。本發明的個人電腦的開機認證系統100包括:至少一開機認證裝置110與個人電腦120。開機認證裝置110電性連接於個人電腦120。開機認證裝置110中包含連接介面130、控制晶片150與辨識資訊160。在本實施態樣中的連接介面130是通用序列匯流排為例。除此之外,開機認證裝置110還可以是USB隨身碟、USB藍芽傳輸器、USB讀卡機、或具有USB控制晶片150的裝置。開機認證裝置110的控制晶片150於出廠時均會設置唯一的出廠編號,根據此一出廠編號產生相應的辨識資訊160(其產生方式產參考後文所述)。
個人電腦120包括處理單元131、至少一組相應於該連接介面130的連接埠132、BIOS133、驗證程序134、驗證資訊生成程序135、驗證資訊136與複數個周邊裝置140。連接埠132的種類係對應於開機認證裝置110的連接介面130。承接上文所述,因此個人電腦120的連接埠132係為通用序列匯流排。
在本發明係將BIOS133的設定資料與BIOS133的程式碼分別儲存在CMOS171中與另一快閃唯讀記憶體172中(Flash ROM)。個人電腦120在開始運行時,首先會運行快閃唯讀記憶體172中BIOS133之記憶體初始的相關程式碼,並開始初始化記憶體(未繪示)的配置。在完成記憶體的初始化後,再將快閃唯讀記憶體172中的其他BIOS133程式碼解壓縮至記憶體中儲存。個人電腦120開始運行記憶體中的BIOS133。
接著,BIOS133會將CMOS171中所儲存的設定資料讀取出來,並根據該些設定資料來初始化其他硬體裝置。例如:初始程式(bootstrap)、記憶體分配、南/北橋晶片組的輸入/輸出等。請參考「第2圖」所示,其係為本發明記憶體中BIOS的架構示意圖。一般而言,BIOS133的執行方式係由「第2圖」上向下逐一執行相應的程序(係由高位記憶體區段向低位記憶體區段開始執行)。
本發明係在初始化各項設備後才開始運行本發明之驗證資訊136的設定與認證過程。以下就各種的驗證資訊136的設定與認證過程進行說明。
在第一實施態樣中係以單一個開機認證裝置110與單一個連接埠132為例,並為能清楚解說本發明整體的運作流程,還請參考「第3A圖」所示,其係為本發明之驗證資訊設定流程示意圖。
本發明的驗證資訊136設定包括以下步驟:步驟S311:將開機認證裝置連接至個人電腦;步驟S312:運行個人電腦的BIOS;步驟S313:將BIOS的驗證資訊生成程序致能;以及步驟S314:從開機認證裝置中擷取辨識資訊,並將辨識資訊轉換成驗證資訊後,儲存至BIOS中。
首先,將開機認證裝置110於個人電腦120未運行BIOS133前連接於個人電腦120。開啟個人電腦120的電力供應,使得個人電腦120開始運行BIOS133(對應步驟311~步驟S312)。此時,使用者可以進入BIOS133中,並將驗證資訊生成程序135致能的選項致能(對應步驟313)。個人電腦120會偵測開機認證裝置110是否有無連接至個人電腦120。若個人電腦120偵測到開機認證裝置110已連接時,則個人電腦120會從開機認證裝置110中擷取一辨識資訊160,並將該辨識資訊160轉存為驗證資訊136(對應步驟314)。這裡所述的辨識資訊160係為前文中的”控制晶片150於出廠時所設置唯一的出廠編號”,當然也可以對該出廠編號進行加密或擬亂處理後再儲存為驗證資訊136。
在完成驗證資訊136的設定後,個人電腦120可於之後的開機時運行驗證程序134。請參考「第3B圖」所示,其係為本發明之認證運作流程示意圖,其係包括以下步驟:步驟S321:將開機認證裝置連接至個人電腦;步驟S322:起始個人電腦並運行BIOS;步驟S323:令BIOS透過驗證程序擷取開機認證裝置的辨識資訊,並判斷辨識資訊是否與驗證資訊一致;步驟S324:當辨識資訊與驗證資訊相異時,則個人電腦重新運行驗證程序;以及步驟S325:當辨識資訊與驗證資訊一致時,則個人電腦運行BIOS。
選擇任一開機認證裝置110,並將其連接於個人電腦120(對應步驟S321)。在個人電腦120未運作前將開機認證裝置110連接至個人電腦120上,再開啟個人電腦120的電力供應(對應步驟S322),使得個人電腦120開始運行BIOS133與驗證程序134。驗證程序134首先會偵測是否有開機認證裝置110被連接於個人電腦120。當確定有認證開機裝置連接於個人電腦120時,驗證程序134會從開機認證裝置110中擷取一待測認證資訊(對應步驟S323)。
當辨識資訊160與驗證資訊136相異時,則處理單元131會持續的運行驗證程序134,直至使用者將正確的開機認證裝置110連接於個人電腦120(對應步驟S324)。當辨識資訊160與驗證資訊136一致時,則處理單元131繼續運行BIOS133其餘的初始動作,並開始運行相應的作業系統(對應步驟S325)。
在第二實施態樣中係以單一個開機認證裝置110與多個連接埠132為例。請參考「第4A圖」所示,其係為本發明之驗證資訊設定流程示意圖。本發明的驗證資訊136設定包括以下步驟:步驟S411:選擇任一連接埠並將開機認證裝置連接至個人電腦;步驟S412:運行個人電腦的BIOS;步驟S413:將BIOS的驗證資訊生成程序致能;以及步驟S414:從開機認證裝置中擷取辨識資訊,並將辨識資訊轉換成驗證資訊後,儲存至BIOS中。
首先,從多個連接埠132中選取其中之一,並將開機認證裝置110電性連接至連接埠132(對應步驟S411)。再完成步驟S411後,隨即令個人電腦120開始運作。處理單元131於開機的初期會運行BIOS133(對應步驟S412)。進入BIOS133後將驗證資訊生成程序135開啟,處理單元131會從開機認證裝置110中擷取辨識資訊160,並將辨識資訊160儲存至BIOS133中(對應步驟S413~對應步驟S414)。
在完成驗證資訊136的設定後,個人電腦120可於之後的開機時運行驗證程序134。請參考「第4B圖」所示,其係為本發明之第二實施態樣的認證運作流程示意圖,其係包括以下步驟:步驟S421:選擇任一連接埠並將開機認證裝置連接至個人電腦;步驟S422:起始個人電腦並運行BIOS;步驟S423:掃瞄各連接埠;步驟S424:令BIOS透過驗證程序擷取開機認證裝置的辨識資訊,並判斷辨識資訊是否與驗證資訊一致;步驟S425:當辨識資訊與驗證資訊相異時,則個人電腦重新運行驗證程序;以及步驟S426:當辨識資訊與驗證資訊一致時,則個人電腦運行BIOS。
與第一實施態樣不同的是,在第二實施態樣中個人電腦120具有多連接埠132,並從該些連接埠132中選取其中之一(對應步驟S421)。當使用者將開機認證裝置110連接至個人電腦120後,將處理單元131開啟並運行BIOS133(對應步驟S422)。BIOS133運行時會呼叫驗證程序134,驗證程序134會先逐一掃瞄各連接埠132是否有連接開機認證裝置110。若連接埠132有連接開機認證裝置110時,驗證程序134會擷取開機認證裝置110的辨識資訊160,並判斷辨識資訊160是否與驗證資訊136一致(對應步驟S423)。當開機認證裝置110的辨識資訊160與BIOS133中的驗證資訊136是相異時,則處理單元131會重新運行驗證程序134,直至正確的開機認證裝置110被連結至個人電腦120中(對應步驟S424)。當開機認證裝置110的辨識資訊160與BIOS133中的驗證資訊136是一致時,則處理單元131會繼續運行BIOS133中其他的程序(對應步驟S425)。
相較於前述的實施態樣外,本發明還可以進一步的應用在具多個開機認證裝置110與多個連接埠132。並且假設開機認證裝置110的數量最多係等於連接埠132的數量。請參考「第5A圖」與「第5B圖」所示,其係分別為本發明的第三實施態樣的驗證資訊設定流程示意圖與驗證程序134流程示意圖。本發明的第三實施態樣的認證資訊設定包括以下步驟:步驟S511:將開機認證裝置連接至個人電腦;步驟S512:運行個人電腦的BIOS;步驟S513:將BIOS的認證資訊生成程序致能;並且步驟S514:從開機認證裝置中所擷取的辨識資訊與開機認證裝置所連接的連接埠之編號記錄為驗證資訊,再驗證資訊儲存至BIOS。
在第三實施態樣中步驟S511~步驟S513,係與第二實施態樣的步驟S411~步驟S413相同。本實施態樣中對於每一個開機認證裝置110會記錄其相應的連接埠132。
在個人電腦120開始運行時,處理單元131會偵測開機認證裝置110是否有無連接至個人電腦120。若處理單元131偵測到開機認證裝置110已連接時,則處理單元131會依序的讀取每一個連接埠132所連接的開機認證裝置110之編號與連接埠132所連接的開機認證裝置110之一認證資訊。
對於每一個連接埠132而言均具有相應的編號,BIOS133在初始時可以根據不同的連接埠132之編號來對連接的周邊裝置140進行識別。所以驗證程序134會依序的紀錄每一個有連接開機認證裝置110的連接埠132之編號,並儲存這些連接開機認證裝置110的連接埠132之編號與相應的認證資訊(對應步驟S513~步驟S514)。
在完成認證資訊的設定後,個人電腦120於爾後的開機時即可進入驗證程序134。請配合「第5B圖」所示,此一實施態樣的驗證程序134包括以下步驟:步驟S521:將開機認證裝置連接至個人電腦;步驟S522:起始個人電腦並運行BIOS;步驟S523:令BIOS透過驗證程序擷取具有開機認證裝置的連接埠之編號與開機認證裝置的辨識資訊,藉以判斷開機認證裝置所連接的連接埠之編號、辨識資訊是否與驗證資訊一致;步驟S524:當辨識資訊與連接埠編號的組合與驗證資訊相異時,則個人電腦重新運行驗證程序;以及步驟S525:當辨識資訊與連接埠編號的組合與驗證資訊一致時,則個人電腦運行BIOS中其他之程序。
步驟S521與步驟S522所述之動作與前述步驟S411與步驟S412相同,故不重複贅述。在步驟S513中,驗證程序134除了會擷取開機認證裝置110中的辨識資訊160外,驗證程序134另擷取開機認證裝置110所連接的連接埠132之編號。
驗證程序134係根據連接埠132之編號、辨識資訊160與驗證資訊136所儲存的連接埠132之編號、辨識資訊160是否一致。換句話說,驗證程序134會比對當前所連接的開機認證裝置110的連接埠132是否與最初設定時是同一個連接埠132。簡單的說,就是開機認證裝置110需要連接至相應的連接埠132時,才算是正確的連接。
當開機認證裝置110所連接的連接埠132與設定時不一致或辨識資訊160與認證資訊相異時,處理單元131會將重新的運行驗證程序134,直至開機認證裝置110與所設定的條件一致為止。反之,當開機認證裝置110符合所設定的條件時,個人電腦120隨會將BIOS133中的其他程序運行。
相較於第三實施態樣,本實施態樣係根據不同的開機認證裝置110用以設定個人電腦120開機時決定可以被致能的周邊裝置140。換言之,當使用者安裝不同的開機認證裝置110時,個人電腦120在通過驗證程序134後會將相應的周邊裝置140開啟。
如此一來,可以根據不同的開機認證裝置110來賦予不同使用者可以使用者周邊裝置140。請參考「第6A圖」與「第6B圖」所示,其係分別為第四實施態樣的認證資訊設定流程示意圖與驗證程序運作流程示意圖。
第四實施態樣的認證資訊設定包括以下步驟:步驟S611:將開機認證裝置與周邊裝置連接至個人電腦;步驟S612:運行個人電腦的BIOS;步驟S613:將BIOS的驗證資訊生成程序致能;步驟S614:記錄開機認證裝置所連接的連接埠之編號與認證資訊至該BIOS;步驟S615:從該些周邊裝置中選擇之任一;以及步驟S616:將選出的周邊裝置與開機認證裝置的設定一致能關係,並將開機認證裝置對於周邊裝置的致能關係與認證資訊儲存為驗證資訊至BIOS中。
在本實施態樣中在個人電腦120開機前,係將開機認證裝置110與周邊裝置140連接於個人電腦120。其中,開機認證裝置110的數量至少為一個,而周邊裝置140的數量亦至少為一個(對應步驟S611)。
本實施態樣因使用多個開機認證裝置110,因此對於每一個開機認證裝置110需要記錄其相應的連接埠132(對應步驟S612~步驟S613)。在運行驗證資訊136生成程序135時,驗證資訊生成程序135會接收開機認證裝置110的認證資訊,並且記錄開機認證裝置110所連接的連接埠132之編號。
接著,針對每一開機認證裝置110設定對應周邊裝置140的一致動關係。在本發明中所述的致動關係係為是否決定致能周邊裝置140。每一個開機認證裝置110可以設定在通過認證後可以啟動相應的周邊裝置140。開機認證裝置110可以設定對應至少一種以上的周邊裝置140的致動關係。
再完成上述的認證資訊設定後,以下對驗證程序134的運行作解說,並請配合「第6B圖」所示。第四實施態樣的驗證程序134包括以下步驟:步驟S621:將開機認證裝置連接至個人電腦;步驟S622:起始個人電腦並運行BIOS;步驟S623:令BIOS透過驗證程序擷取具有開機認證裝置的連接埠之編號與開機認證裝置的辨識資訊,藉以判斷開機認證裝置所連接的連接埠之編號、辨識資訊是否與驗證資訊一致;步驟S624:當辨識資訊或連接埠之編號之任一與驗證資訊相異時,則個人電腦重新運行驗證程序;以及步驟S625:當辨識資訊或連接埠之編號之任一與驗證資訊一致時,則根據開機認證裝置110的致動關係啟動相應的周邊裝置,並運行作業系統。
首先是將開機認證裝置110連接至個人電腦120,並運行個人電腦120(對應步驟S621~步驟S622)。接著,處理單元131會運行BIOS133。由於驗證程序134是內嵌於BIOS133,所以處理單元131亦會運行驗證程序134。驗證程序134用以擷取具有開機認證裝置110的連接埠132之編號與開機認證裝置110的辨識資訊160。驗證程序134會將上述所擷取到的資訊與驗證資訊136進行比對(對應步驟S6230)。
由於每一種開機認證裝置110係對應有不同的周邊裝置140,因此連接不同的開機認證裝置110時,可以啟動相應的周邊裝置140。因為BIOS133可以初始各項周邊裝置140的硬體資源。因此本發發明係藉由致動關係來決定是否初始周邊裝置140。一旦周邊裝置140在BIOS133運作時未被初始,則作業系統就無法正確的驅動此項周邊裝置140。如此一來,即可令使用者使用相應的硬體。本實施態樣更可以將其變化為利用多個開機認證裝置110的排列組合,藉以初始周邊裝置140的資源。
第三實施態樣的驗證程序除了上述方式外,亦可以做出以下變化,請參考「第6C圖」所示,其係包括以下步驟:步驟S631:將開機認證裝置連接至個人電腦;步驟S632:起始個人電腦;步驟S633:由個人電腦的驗證程序擷取具有開機認證裝置的連接埠之編號與開機認證裝置的辨識資訊,藉以判斷開機認證裝置所連接的連接埠之編號、辨識資訊是否與驗證資訊一致;步驟S634:當辨識資訊或連接埠之編號之任一與驗證資訊相異時,則個人電腦將周邊裝置禁能;以及步驟S635:當辨識資訊或連接埠之編號之任一與驗證資訊一致時,則根據開機認證裝置的致動關係啟動相應的周邊裝置,並運行作業系統。
此一變化態樣與前述實施態樣不同處在於,當辨識資訊160與驗證資訊136相異時,處理單元131雖然會繼續運行BIOS133與作業系統,但是會將各周邊裝置140禁能。
為能清楚說明本發明之運作精神,在此係以下例作為說明,但其中開機認證裝置110之數量與相關周邊裝置140並非僅侷限於此,在此僅先敘明。並請配合「第7A圖」~「第7C圖」所示,其係為本發明之開機認證裝置對應致能設備之示意圖。
假設,第一開機認證裝置111、第二開機認證裝置112與第三開機認證裝置113。第一開機認證裝置111係可致能個人電腦120所連接的儲存設備、顯示晶片組、網路晶片組、音效晶片組、與藍芽裝置。第二開機認證裝置112係可致能儲存設備與音效晶片組;第三開機認證裝置113可以致能儲存設備、顯示晶片組與網路晶片組。個人電腦120具有連接埠132-1、132-2、132-3、132-4、132-5。第一開機認證裝置111係對應於編號1的連接埠132-1;第二開機認證裝置112係對應於編號3的連接埠132-3;第三開機認證裝置113係對應於編號5的連接埠132-5。
當使用者將第一開機認證裝置111連接於編號5的連接埠132-5時(如「第7D圖」所示),驗證程序134運行時會透過編號5的連接埠132-5擷取第一開機認證裝置111的辨識資訊160。由於第一開機認證裝置111並非連接於編號1的連接埠132-1,所以將會產生驗證資訊136與辨識資訊160不一致的問題。因此個人電腦120會重新的運行驗證程序134直至使用者將第一開機認證裝置111重新連接於編號1的連接埠132-1為止。而且,個人電腦120開機後僅會驅動儲存設備、顯示晶片組、網路晶片組、音效晶片組、與藍芽裝置。如此一來,當個人電腦120進入作業系統後,作業系統僅能使用被驅動的周邊。由於作業系統並無法透過BIOS133取得其他未被驅動的周邊裝置140,因此可以達到將特定周邊禁能的功效。
本發明提供一種個人電腦120的開機認證方法及其開機認證系統100,係將認證裝置連接至個人電腦120,個人電腦120於開機階段時係根據認證裝置之認證資訊,使用者除了可以不須自行輸入密碼,也可以確保BIOS133的安全,更可以決定每一位使用者可以使用的周邊裝置140。由於本發明係以保護BIOS133為主,因此惡意的使用者無法任意的更動個人電腦120中的任一裝置。如此一來,即可杜絕習知技術僅保護作業系統的相關缺失。
雖然本發明以前述之較佳實施例揭露如上,然其並非用以限定本發明,任何熟習相像技藝者,在不脫離本發明之精神和範圍內,當可作些許之更動與潤飾,因此本發明之專利保護範圍須視本說明書所附之申請專利範圍所界定者為準。
100‧‧‧開機認證系統
110‧‧‧開機認證裝置
111‧‧‧第一開機認證裝置
112‧‧‧第二開機認證裝置
113‧‧‧第三開機認證裝置
120‧‧‧個人電腦
130‧‧‧連接介面
131‧‧‧處理單元
132、132-1、132-2、132-3、132-4、132-5‧‧‧連接埠
133‧‧‧基本輸入/輸出系統BIOS
134‧‧‧驗證程序
135‧‧‧驗證資訊生成程序
136‧‧‧驗證資訊
140‧‧‧周邊裝置
150‧‧‧控制晶片
160‧‧‧辨識資訊
171‧‧‧互補式金屬-氧化層-半導體CMOS
172‧‧‧快閃唯讀記憶體
第1圖係為本發明之電路方塊示意圖。
第2圖係為本發明記憶體中BIOS的架構示意圖。
第3A圖係為本發明之第一種實施態樣的驗證資訊設定流程示意圖。
第3B圖係為本發明之第一種實施態樣的認證運作流程示意圖。
第4A圖係為本發明的第二實施態樣的驗證資訊設定流程示意圖。
第4B圖係為本發明的第二實施態樣的認證資訊設定流程示意圖。
第5A圖係為本發明的第三實施態樣的驗證資訊設定流程示意圖。
第5B圖係為本發明的第三實施態樣的驗證程序流程示意圖。
第6A圖係為本發明第四實施態樣的認證資訊設定流程示意圖。
第6B圖係為本發明第四實施態樣的驗證程序運作流程示意圖。
第6C圖係為本發明第四實施態樣的另一種驗證程序運作流程示意圖。
第7A圖係為本發明第一開機認證裝置對應致能設備之示意圖。
第7B圖係為本發明第二開機認證裝置對應致能設備之示意圖。
第7C圖係為本發明第三開機認證裝置對應致能設備之示意圖。
第7D圖係為本發明第一開機認證裝置進行驗證之示意圖。
Claims (8)
- 一種個人電腦的開機認證方法,該認證方法包括以下步驟:將一開機認證裝置連接至一個人電腦;起始(booting)該個人電腦並運行一基本輸入/輸出系統;令該基本輸入/輸出系統透過一驗證程序擷取該開機認證裝置的一辨識資訊,並判斷該辨識資訊是否與該個人電腦所儲存的一驗證資訊一致;當該辨識資訊與該驗證資訊一致時,取得該開機認證裝置所連接的一連接埠之一編號;比對該基本輸入/輸出系統中所記錄的該開機認證裝置所連接的該連接埠之該編號是否一致;當該開機認證裝置所連接的該連接埠之該編號與該基本輸入/輸出系統中所記錄的該編號一致時,則該驗證程序係將複數個周邊裝置致能;以及當該開機認證裝置所連接的該連接埠之該編號與該基本輸入/輸出系統中所記錄的該編號相異時,則該驗證程序係將該些周邊裝置禁能;當該辨識資訊與該驗證資訊相異時,則該個人電腦重新運行該驗證程序;以及當該辨識資訊與該驗證資訊一致時,則該個人電腦繼續運行該基本輸入/輸出系統。
- 如請求項1所述之個人電腦的開機認證方法,其中在擷取該開機認證裝置的該辨識資訊之步驟後,另包括以下步驟:對該辨識資訊進行一單向處理程序,產生一已加密的辨識資訊。
- 一種個人電腦的開機認證系統,其係包括:至少一開機認證裝置,係具有一連接介面與一辨識資 訊;以及一個人電腦,其係包含一相應於該連接介面的連接埠、一驗證程序、至少一驗證資訊與複數個周邊裝置,該個人電腦透過該連接埠電性連結於該開機認證裝置,該個人電腦於運行一基本輸入/輸出系統時呼叫該驗證程序時,則該驗證程序擷取該辨識資訊,由該驗證程序判斷該辨識資訊與該驗證資訊是否一致;其中,當該辨識資訊與該驗證資訊一致時,該驗證程序取得該開機認證裝置所連接的一連接埠之一編號;比對該基本輸入/輸出系統中所記錄的該開機認證裝置所連接的該連接埠之該編號是否一致;當該開機認證裝置所連接的該連接埠之該編號與該基本輸入/輸出系統中所記錄的該編號一致時,則該驗證程序係將複數個周邊裝置致能;以及當該開機認證裝置所連接的該連接埠之該編號與該基本輸入/輸出系統中所記錄的該編號相異時,則該驗證程序係將該些周邊裝置禁能。
- 如請求項3所述之個人電腦的開機認證系統,其中每一該驗證資訊係各自對應該開機認證裝置。
- 如請求項3所述之個人電腦的開機認證系統,其中該基本輸入/輸出系統具有一單向處理(one way function)程序,其係將該辨識資訊通過該單向處理程序後產生一已加密的辨識資訊,將該已加密的辨識資訊與該驗證資訊進行比對是否一致。
- 如請求項3所述之個人電腦的開機認證系統,其中該連接介面係為通用序列匯流排(Universal Serial Bus)。
- 如請求項3所述之個人電腦的開機認證系統,其中該開機認證裝置另具有一控制晶片,該控制晶片係具有該辨識資訊。
- 如請求項3所述之個人電腦的開機認證系統,其中該些周邊裝置包括主機板、顯示晶片組、音效晶片組、網路晶片組、PCI匯流排、IDE匯流排、SATA匯流排、1394匯流排、USB匯流排、鍵盤控制器、RS-232通訊埠、或LTP通訊埠。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW098130450A TWI409664B (zh) | 2009-09-09 | 2009-09-09 | Personal computer boot authentication method and its boot authentication system |
| US12/702,958 US8387133B2 (en) | 2009-09-09 | 2010-02-09 | Power on certification method for personal computer and power on certification system thereof |
| DE102010000461A DE102010000461A1 (de) | 2009-09-09 | 2010-02-18 | Einschaltzertifizierungsverfahren für Arbeitsplatzrechner und Einschaltzertifizierungssystem |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW098130450A TWI409664B (zh) | 2009-09-09 | 2009-09-09 | Personal computer boot authentication method and its boot authentication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201109972A TW201109972A (en) | 2011-03-16 |
| TWI409664B true TWI409664B (zh) | 2013-09-21 |
Family
ID=43536259
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW098130450A TWI409664B (zh) | 2009-09-09 | 2009-09-09 | Personal computer boot authentication method and its boot authentication system |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8387133B2 (zh) |
| DE (1) | DE102010000461A1 (zh) |
| TW (1) | TWI409664B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9886282B2 (en) | 2010-10-25 | 2018-02-06 | Bally Gaming, Inc. | Computer BIOS protection and authentication |
| CN103106371B (zh) * | 2011-11-10 | 2016-12-28 | 联想(北京)有限公司 | 一种保护数据安全的方法和装置 |
| WO2014175866A1 (en) * | 2013-04-23 | 2014-10-30 | Hewlett-Packard Development Company, L.P. | Retrieving system boot code from a non-volatile memory |
| WO2014175867A1 (en) | 2013-04-23 | 2014-10-30 | Hewlett-Packard Development Company, L.P. | Verifying controller code and system boot code |
| CN103984901B (zh) * | 2014-06-11 | 2017-08-25 | 上海新储集成电路有限公司 | 一种可信计算机系统及其应用方法 |
| TWI616774B (zh) | 2016-12-08 | 2018-03-01 | 緯創資通股份有限公司 | 電子裝置及其安全起動方法 |
| CN109426736A (zh) * | 2017-08-22 | 2019-03-05 | 鸿富锦精密工业(武汉)有限公司 | 可信主板系统 |
| US11418335B2 (en) | 2019-02-01 | 2022-08-16 | Hewlett-Packard Development Company, L.P. | Security credential derivation |
| US11520662B2 (en) | 2019-02-11 | 2022-12-06 | Hewlett-Packard Development Company, L.P. | Recovery from corruption |
| TWI804301B (zh) * | 2022-05-05 | 2023-06-01 | 仁寶電腦工業股份有限公司 | 基本輸入輸出系統的驗證系統及其驗證方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5887131A (en) * | 1996-12-31 | 1999-03-23 | Compaq Computer Corporation | Method for controlling access to a computer system by utilizing an external device containing a hash value representation of a user password |
| US6735696B1 (en) * | 1998-08-14 | 2004-05-11 | Intel Corporation | Digital content protection using a secure booting method and apparatus |
| US20050154930A1 (en) * | 2003-12-12 | 2005-07-14 | Neil Morrow | ExpressCard power switch device with enhanced communications paths and security functions |
| TW200636515A (en) * | 2005-02-07 | 2006-10-16 | Transmeta Corp | System and method for providing a secure boot architecture |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6185678B1 (en) * | 1997-10-02 | 2001-02-06 | Trustees Of The University Of Pennsylvania | Secure and reliable bootstrap architecture |
| CN1853162A (zh) * | 2003-09-18 | 2006-10-25 | 贵族技术澳大利亚有限公司 | Bios保护装置 |
| CN100583036C (zh) | 2006-07-11 | 2010-01-20 | 联想(北京)有限公司 | 基于usb闪存盘的计算机安全控制方法 |
-
2009
- 2009-09-09 TW TW098130450A patent/TWI409664B/zh active
-
2010
- 2010-02-09 US US12/702,958 patent/US8387133B2/en active Active
- 2010-02-18 DE DE102010000461A patent/DE102010000461A1/de not_active Ceased
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5887131A (en) * | 1996-12-31 | 1999-03-23 | Compaq Computer Corporation | Method for controlling access to a computer system by utilizing an external device containing a hash value representation of a user password |
| US6735696B1 (en) * | 1998-08-14 | 2004-05-11 | Intel Corporation | Digital content protection using a secure booting method and apparatus |
| US20050154930A1 (en) * | 2003-12-12 | 2005-07-14 | Neil Morrow | ExpressCard power switch device with enhanced communications paths and security functions |
| TW200636515A (en) * | 2005-02-07 | 2006-10-16 | Transmeta Corp | System and method for providing a secure boot architecture |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110060899A1 (en) | 2011-03-10 |
| DE102010000461A1 (de) | 2011-03-10 |
| US8387133B2 (en) | 2013-02-26 |
| TW201109972A (en) | 2011-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI409664B (zh) | Personal computer boot authentication method and its boot authentication system | |
| JP5476363B2 (ja) | 生体認証装置を利用したコンピュータの起動方法およびコンピュータ | |
| JP2006092547A (ja) | 基本入出力システムを具えたコンピュータシステム及びその制御方法 | |
| US7669047B2 (en) | Biometrics signal input device and computer system having the biometrics signal input device | |
| TW569142B (en) | Data processing system and method for password protecting a boot device | |
| US7506208B2 (en) | Apparatus and method for crisis recovery | |
| JP6054908B2 (ja) | 変数セットを修復する方法、コンピュータ・プログラムおよびコンピュータ | |
| US20110154484A1 (en) | Information processing apparatus, method of controlling authentication process, and recording medium | |
| TW201506788A (zh) | 在配有適用統一可延伸韌體介面(uefi)之韌體之計算裝置中的安全啓動覆蓋技術 | |
| US20090089588A1 (en) | Method and apparatus for providing anti-theft solutions to a computing system | |
| US9436828B2 (en) | Systems and methods for command-based entry into basic input/output system setup from operating system | |
| US20130227262A1 (en) | Authentication device and authentication method | |
| US20120278598A1 (en) | Disabling communication ports | |
| US9348603B2 (en) | Electronic apparatus and booting method | |
| TW201117008A (en) | Electronic equipment and boot method, storage medium thereof | |
| JP2007066089A (ja) | 情報処理装置、および認証制御方法 | |
| US8892860B2 (en) | Clearing secure system resources in a computing device | |
| CN102024099B (zh) | 个人计算机的开机认证方法及其开机认证系统 | |
| CN101996289A (zh) | 具有密码开机功能的电脑及其开机方法 | |
| JP2011243073A (ja) | 認証プログラム、プログラムセット、認証方法及び認証装置並びにソフトウェア有効期限変更装置 | |
| JP2007122731A (ja) | バイオ認証センサー付きハードディスク装置とそのデータ保護方法 | |
| CN114297592A (zh) | 固件启动方法、装置、设备及可读存储介质 | |
| US20070143111A1 (en) | Voice controlled portable memory storage device | |
| TWI736088B (zh) | 電子裝置及其測試模式啟用方法 | |
| CN114385430A (zh) | 一种bios控制选项设置方法、装置和控制主板 |