专利名称:一种基于bios的计算机安全控制系统和方法
技术领域:
本发明涉及一种计算机安全控制方法,特别是一种基于BIOS的计算机安全 控制系统和方法。
背景技术:
随着计算机的日益普及以及互联网技术的飞速发展,计算机安全控制技术也 在不断进步。目前,单机环境下的计算机安全控制技术一般实现于操作系统层面, 其实施手段通常有两种, 一种是身份认证机制增强,其实现途径是替换搡作系统 基于口令的认证方式,改为基于硬件介质的双因素认证方式,如智能卡、USBKey 等;另一种是安全防护机制增强,其实现途径是在操作系统层面增加防火墙来限 制互联网上非法用户的攻击,增加防水墙来防止合法用户进行硬盘数据窃取等。
虽然在搡作系统层面增加的安全控制措施能够在一定程度上满足人们的安 全需求,但同时也暴露出一些问题。 一方面,很多计算机并没有在BIOS (Basic Input/Output System)启动阶段设置身份认证过程,因此,非法用户只需要通过 简单的技术,如光驱引导、U盘引导等方式,就能绕开操作系统的安全控制策略 进入计算机,获取硬盘中存储的数据文件;另一方面,虽然很多计算机在BIOS 系统中设置了基于口令的身份认证手段,但仍然存在一些缺陷,如某些合法用 户仍然可以通过可引导设备绕开操作系统的安全控制策略进行硬盘数据窃取;非 法用户通过CMOS放电等简单操作即可清除口令;很多计算机厂家对BIOS系 统设置了超级口令,这种超级口令也是一种潜在的安全隐患。因此,如何釆取安 全控制手段来控制搡作系统的安全加载成为计算机安全控制技术发展的一个迫 切要求。
另外,如果操作系统启动过程所依赖的系统软件或硬件环境发生变化,也会 对系统的安全构成直接威胁,造成信息泄露的可能。如用户将系统的CD-ROM 更换为CD-RW,这样就可以把硬盘数据以数据光盘的形式导出,直接造成信息 泄漏。因此,在操作系统启动前,相关的安全控制手段也应该对系统的软件环境、 硬件设备进行一致性校验以确保其安全可靠。
发明内容
本发明目的在于提供一种基于BIOS的计算机安全控制系统和方法,解决计
3算机在搡作系统启动之前缺乏有效的安全控制措施的问题。
一种基于BIOS的计算机安全控制系统,包括用户身份认证模块、系统硬件 完整性度量模块、系统软件完整性度量模块和操作系统安全加载模块。其中,系 统硬件完整性度量模块包括硬盘完整性度量子模块、光驱完整性度量子模块和网 卡完整性度量子模块;操作系统安全加载模块包括安全引导设置子模块和安全加 载子模块。
用户身份认证模块分别和系统硬件完整性度量模块、系统软件完整性度量模 块和操作系统安全加载模块相连,系统硬件完整性度量模块中的硬盘完整性度量 子模块、光驱完整性度量子模块和网卡完整性度量子模块顺次连接,操作系统安 全加载模块中的安全引导设置子模块和安全加载子模块顺次连接。
一种基于BIOS的计算机安全控制方法的具体步骤为
第一步用户身份认证
对应于BIOS安全控制系统的用户身份认证模块,对登录主机的用户进行强 制的身份认证,以此来保证用户身份的合法性; 第二步系统硬件完整性度量
对应于BIOS安全控制系统的系统硬件完整性度量模块,对主机的输入/输出 设备进行完整性度量,以此来保证操作系统硬件引导环境的完整性; 第三步系统软件完整性度量
对应于BIOS安全控制系统的系统软件完整性度量模块,对操作系统启动所 涉及的软件信息进行完整性度量,以此来保证操作系统软件引导环境的完整性; 第四步搡作系统安全加载
对应于BIOS安全控制系统的搡作系统安全加载模块,对搡作系统的加载方 式进行控制,以此来防止用户通过其他可引导设备加载其他操作系统。
至此,BIOS安全控制方法通过以上各项安全控制措施,有效的保证了计算 机在搡作系统启动之前的安全性。
本发明具有以下优点
1、 本发明通用性强,既可应用于普通计算机,也可应用于服务器、嵌入式 终端等具有BIOS系统的计算机;
2、 本发明不但对用户身份进行认证,而且对用户身份对应的软件环境和硬 件环境进行校验,这种交互式验证能够有效保证系统的安全性;3、本发明实施于BIOS启动阶段,能够保证计算机在操作系统启动之前的 安全性,同时不妨碍用户在操作系统层面继续实施其他的安全控制手段,进一步 增强系统的安全性。
图1为一种基于BIOS的计算机安全控制系统的组成结构图; 1.用户身份认证模块 2.系统硬件完整性度量模块
3.系统软件完整性度量模块 4.操作系统安全加载模块
5.硬盘完整性度量模块 6.光驱完整性度量模块
7.网卡完整性度量模块 8.安全引导设置模块
9.安全加载模块
具体实施例方式
一种基于BIOS的计算机安全控制系统,包括用户身份认证模块l、系统硬 件完整性度量模块2、系统软件完整性度量模块3和操作系统安全加载模块4。 其中,系统硬件完整性度量模块2包括硬盘完整性度量子模块5、光驱完整性度 量子模块6和网卡完整性度量子模块7;操作系统安全加载模块4包括安全引导 设置子模块8和安全加载子模块9。
用户身份认证模块1分别和系统硬件完整性度量模块2、系统软件完整性度 量模块3和搡作系统安全加载模块4相连,系统硬件完整性度量模块2中的硬盘 完整性度量子模块5、光驱完整性度量子模块6和网卡完整性度量子模块7顺次 连接,操作系统安全加载模块4中的安全引导设置子模块8和安全加载子模块9 顺次连接。
一种基于BIOS的计算机安全控制方法的具体步骤为 第一步用户身份认证
对应于BIOS安全控制系统的用户身份认证模块1,对登录主机的用户进行 强制的身份认证,以此来保证用户身份的合法性; 第二步系统硬件完整性度量
对应于BIOS安全控制系统的系统硬件完整性度量模块2,对主机的输入/ 输出设备进行完整性度量,以此来保证操作系统硬件引导环境的完整性; 第三步系统软件完整性度量
对应于BIOS安全控制系统的系统软件完整性度量模块3,对搡作系统启动所涉及的软件信息进行完整性度量,以此来保证搡作系统软件引导环境的完整
性;
第四步操作系统安全加载
对应于BIOS安全控制系统的操作系统安全加载模块4,对操作系统的加载 方式进行控制,以此来防止用户通过其他可引导设备加载其他搡作系统。 搡作系统成功加载后,BIOS安全控制系统工作过程结東。 至此,BIOS安全控制方法通过以上各项安全控制措施,有效的保证了计算 机在操作系统启动之前的安全性。
权利要求
1. 一种基于BIOS的计算机安全控制系统,其特征在于包括用户身份认证模块(1)、系统硬件完整性度量模块(2)、系统软件完整性度量模块(3)和操作系统安全加载模块(4);其中,系统硬件完整性度量模块(2)包括硬盘完整性度量子模块(5)、光驱完整性度量子模块(6)和网卡完整性度量子模块(7);操作系统安全加载模块(4)包括安全引导设置子模块(8)和安全加载子模块(9);用户身份认证模块(1)分别和系统硬件完整性度量模块(2)、系统软件完整性度量模块(3)和操作系统安全加载模块(4)相连,系统硬件完整性度量模块(2)中的硬盘完整性度量子模块(5)、光驱完整性度量子模块(6)和网卡完整性度量子模块(7)顺次连接,操作系统安全加载模块(4)中的安全引导设置子模块(8)和安全加载子模块(9)顺次连接。
2. —种基于BIOS的计算机安全控制方法,其特征在于该方法的具体步骤为 第一步用户身份认证对应于BIOS安全控制系统的用户身份认证模块(1 ),对登录主机的用户进 行强制的身份认证,以此来保证用户身份的合法性; 第二步系统硬件完整性度量对应于BIOS安全控制系统的系统硬件完整性度量模块(2 ),对主机的输入 /输出设备进行完整性度量,以此来保证操作系统硬件引导环境的完整性; 第三步系统软件完整性度量对应于BIOS安全控制系统的系统软件完整性度量模块(3 ),对操作系统启 动所涉及的软件信息进行完整性度量,以此来保证操作系统软件引导环境的完整 性;第四步搡作系统安全加载对应于BIOS安全控制系统的操作系统安全加载模块(4),对操作系统的加 载方式进行控制,以此来防止用户通过其他可引导设备加载其他操作系统;操作 系统成功加载后,BIOS安全控制系统工作过程结東;至此,BIOS安全控制方法通过以上各项安全控制措施,有效的保证了计算 机在搡作系统启动之前的安全性。
全文摘要
本发明公开了一种基于BIOS的计算机安全控制系统和方法,所述系统包括用户身份认证模块(1)、系统硬件完整性度量模块(2)、系统软件完整性度量模块(3)和操作系统安全加载模块(4),其中,用户身份认证模块(1)与其他三个模块分别连接;所述方法主要通过用户身份认证模块(1)、系统硬件完整性度量模块(2)、系统软件完整性度量模块(3)和操作系统安全加载模块(4),实施用户身份认证、系统硬件完整性度量、系统软件完整性度量和操作系统安全加载四项安全控制措施,保证计算机在操作系统启动之前的安全性。本方法通用性强,控制手段全面,既可单独实施,也可结合操作系统层面实施的安全控制手段,进一步增强系统安全性。
文档编号G06F21/00GK101488177SQ20091011997
公开日2009年7月22日 申请日期2009年3月2日 优先权日2009年3月2日
发明者于吉科, 曾颍明, 红 李, 杜中平, 斌 王, 王晓程, 陈志浩 申请人:中国航天科工集团第二研究院七○六所