专利名称:基于扩展bios技术的计算机安全信息卡及其操作方法
技术领域:
本发明属于计算机信息安全领域,具体涉及一种基于扩展BT0S技术的计算机安全信息卡。
背景技术:
传统计算机信息安全的实现方案分为两大类
一类是软件技术方案。这是目前应用最多的技术,利用安全防护软件实现计算机信息安全, 这种技术具有成本低、开发灵活、软件易安装等优点,但也存在一些不足
1、 系统重装,需要重新安装安全防护软件,使用上不方便;
2、 使用者可以使用"格式化"或"镜像恢复"的办法去掉安全防护软件,使计算机脱离 安全管控,信息处于危险当中;
3、 安全防护软件存在漏洞,木马、病毒会攻击安全防护软件,停掉保护进程,使安全防 护失效。
另一类是硬件技术方案。如带加密芯片的硬盘、安全U盘,其具有安全性高、硬件加密破 解难等优点;但存在一些不足
1、 硬件成本高,价格昂贵,普遍适用性差;
2、 操作不灵活,很难根据新情况添加新功能,二次开发难度大,硬件重复利用率不高。 通过分析软、硬件技术方案的优缺点后, 一种利用BIOS剩余空间的"固件"方案产生,
这种方案结合了软硬件技术方案的优点,将安全防护软件放到计算机的BIOS中,节省了硬件 成本,同时使安全防护软件与硬盘无关,体现了硬件可靠性的优点;往BIOS中可以写入任意 代码,体现了软件灵活的优点。但此种"固件"方案带来的新问题在于-
1、各个计算机的BIOS版本差别很大,而且同一计算机的BIOS会有升级的问题,会造成 技术人员疲于奔命的问题;
42、 BIOS剩余空间大小有限,很难放入复杂的安全防护软件。
发明内容
本发明的目的正是针对现有技术所存在的技术缺陷,结合了软硬件技术方案的优点,利用 PC机体系中的"扩展BIOS"规范,通过一块PCI插卡,在计算机加电时先于操作系统获得计 算机的控制权,然后将安全防护软件从安全信息卡上植入操作系统中,操作系统引导时就会自 动执行安全防护软件,从而保证计算机信息安全所提出的一种基于扩展BIOS技术的计算机安 全信息卡及其操作方法。
为达到上述目的,本发明第一特征在于提供一种基于扩展BIOS技术的计算机安全信息卡, 包括一块为PCI插卡的安全信息卡,安全信息卡上安装有用以实现密码认证、数据加密、系统 数据备份、计算机接口监控和网络传输加密功能的安全防护软件,其安全防护软件安装有引导 植入程序、植入驱动程序和运行程序三部分。
第二特征在于提供一种基于扩展BIOS技术的计算机安全信息卡,实现计算机信息安全的操 作方法,其特征在于包括以下步骤-
a、 通过使用PCI桥接芯片CH362将安全信息卡上的64KB的Flash-Memory 29C512和计算机的 PCI插槽相连接,安全信息卡采用PCI规范的ExpansionROM机制,在Flash-Memory上存 在用于植入计算机的代码,利用扩展BIOS技术,计算机上的BIOS进行POST自检时会扫描 具有扩展BIOS标记的板卡,当计算机的指令指针跳到安全信息卡的代码映像空间时执行该 空间的代码,植入代码并扫描硬盘,安全信息卡在操作系统引导之前会检查是否有安全防 护软件植入到计算机,若无,则会重新植入,并将植入的安全防护软件驱动写到系统区硬 盘上;
b、 采用INT13来读取硬盘扇区以完成进一步的引导,植入时将安全信息卡上的程序数据放在 分配的硬盘空间并通过INT13扫描相关编码,然后分配内存空间容纳安装程序,再按照堆栈、数据、代码段映射程序空间,在内存修改跳转,为保护模式初始化执行环境,完成安 装程序运行,当操作系统进入保护模式后,会再一次执行指令,同时挂入一个Driver到系 统的驱动链表里,实现将安全信息卡内的软件导入到操作系统;
c、 植入后,操作系统引导时就会自动执行安全防护软件,计算机加电后在BIOS之前就会要求 进行密码认证,通过密码认证后方可进入,从最底层给计算机加了一把安全锁,实现对进 入计算机的人员身份认证;
d、 操作系统启动后,安全信息卡运行程序会利用植入驱动程序在操作系统中开一个进程并以 SYSTEM权限运行,用以实现安全信息卡的功能,安全信息卡程序会被定时的运行,以检査 安全防护软件运行是否正常,如果不正常就会重新安装,当程序运行进程被强制卸载,计 算机将会在卸载时出现重启动或蓝屏现象,卡上软件运行后,实现密码认证、数据加密、 系统数据备份、计算机接口监控和网络传输加密等功能;
e、 进入操作系统后,所有操作系统内登记的软件将以watchdog的机制定时向安全信息卡发送 加密认证计数,若其中某一登记的软件没在指定时刻内向安全信息卡发送加密认证计数, 计算机则强制重启,从而保护了计算机的安全和稳定。
本发明并不直接针对计算机自身的BIOS,而是利用PC机体系中的"扩展BI0S"规范,通 过一块PCI插卡,在计算机加电时先于操作系统获得计算机的控制权,然后将安全防护软件从 安全信息卡上植入操作系统中,操作系统引导时就会自动执行安全防护软件,保证了计算机信 息安全。同时安全信息卡上留有大量的存储空间且能扩充,从而达到开发安全防护功能,装载 各种安全防护软件,实现安全防护系统等目的。此外安全信息卡隔离了BIOS复杂难懂的规范, 降低了软件开发的难度。安全信息卡具有功能强、信息安全度高、成本低、可靠性高、开发灵 活、使用方便和重复利用率高等优点,针对不同用户群,提供了可信赖服务,加强了计算机的 安全,使计算机成为可信赖的安全设备。
图l是本发明的基本原理图2是本发明的软件架构图3是安全信息卡的引导植入程序流程图4是安全信息卡的植入驱动程序流程图5是安全信息卡的电路原理图6是安全信息卡的结构示意图。
具体实施例方式
根据图1所示,本发明的安全信息卡通过使用PCI桥接芯片CH362将卡上的64KB的Flash-Memory 29C512和计算机的PCI插槽相连,采用PCI规范的ExpansionROM机制,在Flash-Memory上存在用于植入的代码,PC机的BIOS进行POST自检时会扫描具有扩展BIOS标记的板卡,指令指针跳到板卡的代码映像空间执行该空间代码,植入代码扫描硬盘,将植入驱动写到系统区硬盘上,然后在操作系统引导时启动植入驱动,将安全信息卡内的安全防护软件植入操作系统中,并完成安全信息卡软件功能。
图中的U3 (24C01A)可以用于在计算机关闭期间继续保存重要的数据,如扩展ROM卡的启动模式、扩展R0M卡的序列号、用户的密码信息等。
根据图2至图5所示,本发明的安全信息卡上安装有包括引导植入程序、植入驱动程序和运行程序三部分的安全防护软件,用于完成卡上程序的引导、卡上程序植入操作系统和实现安全信息卡功能。
安全信息卡的引导植入程序1是在实际操作模式下取得控制权的,即在操作系统引导时刻,扫描当前计算机硬盘,采用INT13来读取硬盘扇区以完成进一步的引导,植入时将安全信息卡上程序数据放在分配的硬盘空间,并通过INT13扫描相关编码,在内存修改跳转,为保护模式初始化执行环境,当操作系统进入保护模式后,会再一次执行指令,同时挂入一个Driver到系统的驱动链表里,实现将安全信息卡内的软件导入操作系统。
植入驱动程序2是一个标准的与操作系统相关的驱动程序,它的作用是让安全信息卡上要被安装的软件自动运行。操作系统运行安全信息卡的植入驱动后,植入驱动首先到特定的硬盘空间上取得要被安装运行的程序,然后分配内存空间容纳安装程序,最后按照堆栈、数据、代码段映射程序空间,完成安装程序运行。
安全信息卡的运行程序3启动之后,主要完成五方面的功能
(1) 密码认证计算机加电后在BIOS之前就会要求密码认证,通过后方可进入,从最底层给计算机加了一把安全锁;
(2) 数据加密即使硬盘、U盘等丢失,被第三方得到后无法读出有用的内容;
(3) 数据系统备份实现数据导出、系统容灾恢复,保证系统崩溃时的数据信息安全;
(4) 接口监控通过监控网卡(有线、无线)、USB口、串口、红外、蓝牙等涉外接口,达到对进出计算机的数据信息的监控、隔离保护,防止外部供给以及内部资料外泄;
(5) 网络传输加密对通过网卡(包括动态加入的USB网卡)的数据进行加密传输,并进行网络通信验证,从而达到以下三个目的
① 通信双方都有安全信息卡才能通信。这样即使计算机被接入Internet,如果对端计算机没有安全信息卡,通信将失败。
② 通信数据在传输时被加密,即使被第三方截收,也是乱码(通信加密算法开发人员可以自己另外定制加入)。
③ 对于网络实现,没有安装安全信息卡的计算机将无法接入网络。
所有关注的软件将以watchdog的机制定时向安全信息卡发送加密认证计数,如果某登记的软件没在指定时刻内"报到",计算机将强制重启,访问密钥是只能对卡读写,作为单位保证数据能在一个单位内部自由流转;作为个人保证数据只能在个人手上。
根据图6所示,由于本发明的安全信息卡是一块PCI插卡,可用于带PCI插槽的PC机中,无需软件安装,使用时只需将安全信息卡插入计算机上任意一个PCI插槽即可,事先储存于安全信息卡的一系列功能通过硬件的方法植入计算机上的操作系统,与操作系统内核紧密结合在一起,发挥作用。
本发明的安全信息卡包括Demo版安全信息卡和正式版安全信息卡两种,其中Demo版安全信息卡用于测试、调试,支持windows2000、 2003、 XP的操作系统,不支持vista系统,正式版安全信息卡作为产品应用,支持windows2000、 2003、 XP和vista操作系统。
计算机通电启动后,会要求进行密码认证,其中Demo版安全信息卡会出现"0000psw:"的提示符,只要直接按回车键就可以继续,正式版安全信息卡则要求输入密码,安全信息卡的密码设置代码要求用户设置的口令必须是强口令(强口令是指不容易被破解的,含有特殊字符,且拥有足够的长度以及多种字符类型的混合),不允许简单的使用字母、数字和单词,提高密码强度,以保证认证安全。
操作系统启动后,安全信息卡运行程序会利用植入驱动在操作系统中开一个进程,以SYSTEM权限运行,以实现安全信息卡的功能;安全信息卡程序会被定时的运行,以检査安全防护软件运行是否正常,如果不正常就会重新安装,当程序运行进程被强制卸载,计算机将会在卸载时出现重启动或蓝屏。
目前Demo版安全信息卡只能完成网络通信加密和不允许没有安装安全信息卡的计算^L间相互通信的功能,而正式版安全信息卡能够完成,密码认证、个人数据加密、数据(系统)备份、计算机接口监控以及网络通信加密和不允许没有安装安全信息卡的计算机间相互通信的功能,对于Demo版安全信息卡,当卡拔掉后,计算机仍能够正常启动,网络通信加密仍然有效;而正式版安全信息卡拔掉后,计算机将不能正常启动。
9本发明的安全信息卡还提供了一个固件平台和简单的开发接口,在该平台上开发人员可以按照软件的模式灵活的开发自己的安全防护软件,用户可以在此前安全防护软件的基础上进行少量修改,就可以将自己的软件储存进安全信息卡中,安全信息卡会自动运行储存的软件,达到硬件可靠性的目的。
如用户将自己的安全防护软件打包为一个安装可执行的程序set叩.exe,对该setup, exe的要求是(1)通过ZIP压缩后(ZIP压缩、解压缩由安全信息卡完成)的体积能容纳进安全信息卡的存储器上;(2)安全信息卡会定时的运行一次setup.exe (setup.exe是位于安全信息卡内部的,不会被用户和病毒等剔除),因而setup.exe必须做到自己检查自己的防护软件运行是否正常,如果不正常就重新安装。
利用开发的专用烧制软件,将实现了数据加密、数据系统备份、接口监控和数据加密传输等功能的setup.exe烧入安全信息卡内,从而实现各种功能,这些功能可单独构造一个setup, exe,也可合起来构造一个set叫exe0
安全信息卡基础版提供了一个setup, exe以及setup, exe的源代码,开发人员按照提供的例子进行二次开发,"烧入"安全信息卡的setup, exe将以SYSTEM权限运行而不管实际用户是以什么身份登录的。
通过这样的设计,对于个人用户通过数据加密,保护了个人隐私,通过系统数据备份,实现系统恢复功能;对于企业级用户通过系统数据备份,保证系统崩溃时的数据导出,实现系统容灾恢复,通过监控计算机接口,使得企业内部的资料不被拷贝外泄,通过网卡数据加密传输、网络通信验证的方式,实现安全网络;对于政府军队用户通过三级认证,强化计算机安全,通过数据加密,计算机数据外泄无法恢复,保证了数据信息的安全,通过监控计算机接口,防止资料被窃,通过网络传输加密,网络通信认证,构建可信赖网络,规避没有安装安全信息卡的计算机接入网络,适用范围广泛。上述实施例仅为说明本发明而列举,并非用于限制本发明,任何基于本技术方案所变换的等同效果的结构,均属于本发明的保护范围。
权利要求
1、一种基于扩展BIOS技术的计算机安全信息卡,包括一块为PCI插卡的安全信息卡,安全信息卡上安装有用以实现密码认证、数据加密、系统数据备份、计算机接口监控和网络传输加密功能的安全防护软件,其安全防护软件安装有引导植入程序、植入驱动程序和运行程序三部分。
2、 一种基于扩展BIOS技术的计算机安全信息卡操作方法,其特征在于包括以下歩骤a、 通过使用PCI桥接芯片CH362将安全信息卡上的64KB的Flash-Memory 29C512和计算机的PCI插槽相连接,安全信息卡采用PCI规范的ExpansionROM机制,在Flash-Memory上存在用于植入计算机的代码,利用扩展BIOS技术,当计算机BIOS进行POST自检时会扫描具有扩展BIOS标记的板卡,当计算机的指令指针跳到安全信息卡的代码映像空间时执行该空间的代码,植入代码并扫描硬盘,安全信息卡在操作系统引导之前会检査是否有安全防护软件植入到计算机,若无,则会重新植入,并将植入的安全防护软件驱动写到系统区硬盘上;b、 采用INT13来读取硬盘扇区以完成进一步的引导,植入时将安全信息卡上的程序数据放在分配的硬盘空间并通过INT13扫描相关编码,然后分配内存空间容纳安装程序,再按照堆栈、数据、代码段映射程序空间,在内存修改跳转,为保护模式初始化执行环境,完成安装程序运行,当操作系统进入保护模式后,会再一次执行指令,同时挂入一个Driver到系统的驱动链表里,实现将安全信息卡内的软件导入到操作系统;c、 植入后,操作系统引导时就会自动执行安全防护软件,计算机加电后在BIOS之前就会要求进行密码认证,通过密码认证后方可进入,从最底层给计算机加了一把安全锁,实现对进入计算机的人员身份认证;d、 操作系统启动后,安全信息卡运行程序会利用植入驱动程序在操作系统中开一个进程并以SYSTEM权限运行,用以实现安全信息卡的功能,安全信息卡程序会被定时的运行,以检査安全防护软件运行是否正常,如果不正常就会重新安装,当程序运行进程被强制卸载,机器将会在卸载时出现重启动或蓝屏现象,卡上软件运行后,实现密码认证、数据加密、系统数据备份、计算机接口监控和网络传输加密的功能;e、进入操作系统后,所有操作系统内登记的软件将以watchdog的机制定时向安全信息卡发送加密认证计数,若其中某一登记的软件没在指定时刻内向安全信息卡发送加密认证计数,计算机则强制重启,从而保护了计算机的安全和稳定。
全文摘要
本发明涉及一种基于扩展BIOS技术的计算机安全信息卡及其操作方法,包括一块为PCI插卡的安全信息卡,该卡利用扩展BIOS技术在计算机加电时先于操作系统获得计算机的控制权,将安全防护软件植入操作系统中,操作系统引导时就会自动执行安全防护软件,从而实现密码认证、数据加密、系统数据备份、计算机接口监控和网络传输加密的众多功能,确保信息和计算机的安全,同时安全信息卡上留有大量的存储空间且能扩充,易于开发安全防护功能,针对现有软硬件技术包括BIOS剩余空间固件方法存在的技术缺陷,结合软硬件技术的优点,为实现信息安全、计算机可信提供了全新的解决方案。
文档编号G06F21/00GK101477603SQ20091003656
公开日2009年7月8日 申请日期2009年1月12日 优先权日2009年1月12日
发明者杨俊生 申请人:杨俊生