专利名称:主板与板载设备之间的通信控制系统和方法
技术领域:
本发明涉及计算机信息处理技术,尤其涉及一种主板与板载设备之间的通信控制
系统和方法。
背景技术:
现有技术中,通常是采用以下两种方法对主操作系统进行安全信息验证,包括加/ 解密配置、加/解密等 1、在主操作系统启动时进行的安全信息验证,这种情况下,攻击者很容易破解其 安全验证信息,侵入系统; 2、作为对上述安全验证方法的一个补充方案是,在主操作系统启动前,主板的基 本输入输出系统(Basic Input/Output System, BIOS)对用户或接入设备执行安全信息验 证。但是,由于通常BIOS的安全验证信息是统一的,因此,攻击者只要知道BIOS的验证信 息,也很容易破解BIOS的安全验证,甚至目前还出现了一些刷BIOS的软件,即使在不知道 验证信息的情况下,使用该软件对BIOS进行刷新,亦可破解其安全验证功能。
综上所述,不论是主操作系统还是BIOS的安全验证功能,其可靠性都非常低。
发明内容
本发明所要解决的技术问题是提供一种主板和板载设备之间的通信控制系统, 该系统可提供可靠的安全验证功能,在主BIOS验证失效的情况下仍可对系统进行有效的 安全认证。 本发明进一步所要解决的问题是提供一种主板和板载设备之间的通信控制方 法,该方法可提供可靠的安全验证方案,在主BIOS验证失效的情况下仍可对系统进行有效 的安全认证。 为解决上述技术问题,本发明采用如下技术方案
—种主板与板载设备之间的通信控制系统,包括
在主板启动时,拥有系统引导控制权的主BIOS单元;以及 扩展BIOS单元,与所述主BIOS单元相连,用于与所述主BIOS单元通信、以及从所 述主BIOS单元获得引导控制权; 板载操作系统,与所述扩展BIOS单元相连,用于从所述扩展BIOS单元获得来自主
BIOS单元的引导控制权,在拥有所述引导控制权的状态下通过所述扩展BIOS单元与所述
主BIOS单元进行通信数据交互,并根据通信结果决定是否将引导控制权交还主BIOS单元。 相应地,本发明还公开了一种主板和板载设备之间的通信控制方法,包括弓I导权转移步骤,在主板启动时,扩展BIOS单元从主BIOS单元获得系统弓I导控制
权; 通信控制步骤,板载操作系统从所述扩展BIOS单元获得所述系统引导控制权,并 在拥有所述弓I导控制权的状态下通过所述扩展BIOS单元与所述主BIOS单元进行通信数据
4交互,并根据通信结果决定是否将引导控制权交还主BIOS单元。
本发明的有益效果是 本发明的实施例通过利用板载设备的操作系统与主板进行通信数据交互,对主板 进行安全验证,提供了一种新的可靠的安全验证方案,在主BIOS验证失效的情况下仍可对 系统进行有效的安全认证。 下面结合附图对本发明作进一步的详细描述。
图1是本发明提供的主板和板载设备之间的通信控制系统一个实施例的组成结 构图。 图2是本发明提供的主板和板载设备之间的通信控制方法一个实施例的方法流 图3是本发明提供的主板和板载设备之间的通信控制方法一个实施例中在硬盘 加密模式下开机时执行一次解密处理的方法流程图。 图4是本发明提供的主板和板载设备之间的通信控制方法一个实施例中在硬盘 加密模式下开机时执行一次解密处理的方法流程图。 图5是本发明提供的主板和板载设备之间的通信控制方法一个实施例中硬盘加/ 解密配置处理的方法流程图。
具体实施例方式
参考图l,该图是本发明提供的主板和板载设备之间的通信控制系统一个实施例 的组成结构图;如图所示,本实施例主要包括有 在主板启动时,拥有系统引导控制权的主BIOS单元1 ;以及 扩展BIOS单元2,与所述主BIOS单元1相连,用于从所述主BIOS单元获得引导控 制权,并判断系统是否满足预设的控制条件,若是,则将引导控制权交还主BIOS单元,具体 实现时,所述预设的控制条件可以是开机解密成功、配置成功等; 板载操作系统3,与所述扩展BIOS单元相连,用于在扩展BIOS单元拥有所述引导 控制权的状态下与所述扩展BIOS单元进行通信数据交互。
另外,本实施例还包括有 与所述主BIOS单元1相连,通过所述主BI0S单元引导启动的主操作系统4 ;以及
接口驱动单元5,与所述主操作系统l和板载操作系统相连,用于实现所述主操作 系统和板载操作系统之间的通信数据交互(安全信息交换),具体实现时,所述接口驱动单 元5可包括依附于主操作系统的PCI驱动单元和依附于板载操作系统的PCI驱动单元两个 部分。 具体实现时,所述板载操作系统3可进一步包括有 配置响应模块31 ,与所述扩展BIOS单元相连,用于在接收到来自扩展BIOS单元的 携带有被加密设备信息的配置请求后,对所述被加密设备信息进行加/解密处理,并向所 述扩展BIOS单元回配置回应信息; 加解密响应模块32,与所述配置响应模块31相连,用于根据配置响应模块31下发的携带有被加密设备信息的加解密指令,实施相应的加解密处理,并将向配置响应模块31返回处理结果。 将所述被加密设备的加密信息通过所述接口驱动单元返回给所述主操作系统,具
体实现时,所述加密指令一般可携带在主操作系统给板载操作系统的关机指令中; 控制权检测模块33,与所述扩展BIOS单元相连,用于检测扩展BIOS单元是否拥有
所述弓I导控制权,若是,则控制所述板载操作系统与所述扩展BIOS单元通信,否则,控制所
述板载操作系统通过接口驱动单元与所述主操作系统通信。 对应地,所述扩展BIOS单元2可进一步包括有 配置执行单元21,与所述配置响应模块31相连,用于向所述配置响应模块发送配置请求,并根据配置响应模块返回的配置回应消息实施加/解密配置,并将所述配置过程和结果信息返回给所述配置响应模块; 加解密执行单元22,与所述配置执行单元21相连,,用于根据配置执行模块下发的实施加/解密配置命令,执行相应的加/解密处理,并将加/解密配置实施结果返回给所述配置执行单元21 ; 控制权转移单元23,用于在主板启动时,从所述主BI0S单元1获得引导控制权,并根据板载操作系统与扩展BIOS单元的通信结果决定是否将引导控制权交还给主BIOS单元;具体实现时,所述预设的控制条件可以是开机解密成功、配置成功等;
所述主操作系统4可包括有 加密执行单元41,通过所述接口驱动单元5与所述配置响应模块31相连,用于将携带有被加密设备信息的加密请求通过接口驱动单元5发送到配置响应模块31,根据配置响应模块返回的加密信息对被加密设备执行加密,并将加密结果返回给所述配置响应模块。
具体实现时,本实施例还可包括有 板载10驱动单元6,连接在所述扩展BIOS单元和板载操作系统之间,用于执行所述扩展BIOS系统与所述板载操作系统之间的通信数据转发。 网络控制模块7,设置在板载设备中,与所述板载操作系统和外界服务器相连,用于将所述配置信息、加密信息或解密信息发送到外界服务器上保存,并从外界服务器获得其保存的配置信息、加密信息或解密信息。 具体实现时,所述板载操作系统可采用Li皿x操作系统。 另外,为了保证本实施例的扩展性考虑,还可在所述板载操作系统内设置一升级模块,用于对板载操作系统和扩展BIOS单元进行固件升级。 下面参考图2详细描述本发明提供的主板和板载设备之间的通信控制方法的一个实施例。如图2所示,本实施例执行一次主板和板载设备之间的通信控制主要包括以下流程 获得引导权步骤S1,在主板启动时,主BI0S单元检测到板载设备带有扩展BI0S单元,则将引导控制权交给所述扩展BIOS单元; 通信控制步骤S2,板载操作系统检测到扩展BIOS单元拥有引导控制权,则与所述扩展BIOS单元进行通信数据交互; 引导权交还步骤S3,根据板载操作系统与扩展BI0S单元的通信结果判断系统是否满足预设的控制条件,若是,则将引导控制权交还主BIOS单元,具体实现时,所述预设的控制条件可以是开机解密成功、配置成功等。 具体实现时,所述扩展BIOS单元与板载操作系统之间通过板载IO驱动模块进行通信数据转发。 具体实现时,主BIOS单元获得引导控制权后,即可引导控制启动主操作系统,主操作系统启动后,板载操作系统检测到主操作系统拥有控制权,即可通过接口驱动单元与主操作系统进行通信数据交互。 下面假设接入设备为硬盘,分别以硬盘加密或解密配置、硬盘加密模式下开机时
解密、硬盘加密模式下关机时加密为例,详细描述本实施例的通信控制过程。 参考图3,一方面,本实施例在硬盘加密模式下开机时执行一次解密处理具体包括
以下步骤 S10、主BIOS单元启动时,检测到扩展BIOS单元,则将引导控制权交给扩展BIOS单元; Sll、板载操作系统检测到扩展BIOS单元拥有引导控制权,则与扩展BIOS单元通信,而扩展BIOS单元的加解密执行单元通过配置执行单元向板载操作系统的配置响应模块发送请求获得被加密设备解密信息的解密请求; S12、加解密响应模块接收到配置响应模块下发的解密请求之后,将所述被加密设备的解密信息通过配置响应模块返回给配置执行单元; S13、加解密执行单元根据配置执行单元下发的解密指令对被加密设备执行解密
操作,并在步骤S14中,将解密结果返回给所述配置执行模块; S15、上述过程结束后,配置响应模块可将解密结果信息保存。 S16、解密过程结束后,扩展BI0S单元的控制权处理模块从所述配置执行模块获取解密结果,并判断是否解密成功,若是,则将引导控制权交还主BIOS单元,否则,继续持有引导控制权,并在必要时,提示用户做出处理。 另一方面,本实施例在硬盘加密模式下关机时执行一次加密处理具体包括以下步骤 S20、主操作系统向板载操作系统发送关机指令时,其加密执行单元在关机指令中添加携带有硬盘信息的加密指令,通过接口驱动单元发送给板载操作系统的配置响应模块; S21、配置响应模块向加解密执行模块下发加密指令,并将加解密执行模块返回的加密信息通过所述接口驱动单元返回给所述加密执行单元; S23、加密执行单元跟据所述加密信息对硬盘执行加密,并在步骤S24中,将加密结果返回给所述配置响应模块。 S25、上述过程结束后,配置响应模块可将所述加密结果保存。 参考图5,另一方面,本实施例执行一次硬盘加/解密配置处理具体包括以下步骤 S30、首先,在主BI0S启动时,用户可按提示输入验证口令,验证通过后即进入扩展BIOS单元的配置界面,该界面提供两种配置模式硬盘加密模式或解密模式,用户可根据需要任选一种,具体实现时,在用户选择加密模式的情况下,扩展BI0S单元在步骤S31中,获取需要的硬盘信息; 扩展BI0S单元接受用户选择的配置模式后,配置处理过程正式开始,具体如下
S32、扩展BI0S单元的配置执行单元向板载操作系统的配置响应模块发送配置请求,具体实现时,如果为加密模式,该请求中携带有硬盘信息; S33、配置响应模块接收到所述配置请求后,对硬盘信息实施加密/解密处理,并在步骤S34中,向所述配置执行单元返回配置回应消息; S35、配置执行单元根据配置回应消息包中携带的硬盘信息实施加/解密处理,并
将配置过程和结果信息返回给所述配置响应模块; S36、配置响应模块收到配置结果信息后,可将其保存。 上述步骤完成后,在步骤S37中,扩展BIOS单元可向主BIOS单元发送一个重新启动请求,系统重新启动后,配置生效。 具体实现时,在所述加密步骤、解密步骤或配置步骤中,配置响应模块通过网络控制模块将加/解密配置信息发送到外界服务器上保存,并从外界服务器获得其保存的加/解密配置信息。由于上述各种安全信息被存储在外界的服务器中,从而使安全验证信息不受本地硬件影响,更加可靠。 另外,本实施例还提供了在具体实施过程中可能出现的异常情况的处理方法。其异常可归纳为如下所述 1、开机时配置发生异常,分如下几种情况, A、从硬盘加密模式配置为硬盘解密模式时发生的异常,包括
Al、配置请求已发时发生的异常; A2、硬盘解密信息已下发,扩展BIOS单元已经收到该信息但是实施硬盘加密时异常; A3、硬盘解密信息已下发,而扩展BI0S单元没有收到该信息的异常; A4、实施硬盘解密已经完成,但是扩展BIOS单元的FLASH和板载设备上存储的状
态值不一致; B、从硬盘解密模式配置为硬盘加密模式时发生的异常,包括
Bl、配置请求已发时发生的异常; B2、硬盘加密信息已下发,扩展BI0S单元已经收到但是实施硬盘加密时异常;
B3、硬盘加密信息已下发,扩展BI0S单元没有收到该信息的异常;
B4、实施硬盘加密已经完成,但是扩展BIOS单元的FLASH和板载设备上存储的状态值不一致; C、初始配置硬盘加密模式时发生异常。 2、加密模式下开机解密的异常情况,与上述相似。 3、加密模式下关机加密的异常情况,与上述相似。 具体实现时,可通过将主板和板载设备双方的状态值进行比对、以及对双方拥有的硬盘信息进行比对来消除异常,使其恢复正常。 本发明通过利用板载设备的操作系统与主板进行通信数据交互,对主板进行安全验证,提供了一种新的可靠的安全验证方案,在主BIOS验证失效的情况下仍可对系统进行有效的安全认证。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
权利要求
一种主板与板载设备之间的通信控制系统,其特征在于,该系统包括有在主板启动时,拥有系统引导控制权的主BIOS单元;以及扩展BIOS单元,与所述主BIOS单元相连,用于从所述主BIOS单元获得引导控制权,并判断系统是否满足预设的控制条件,若是,则将引导控制权交还主BIOS单元;板载操作系统,与所述扩展BIOS单元相连,用于在所述扩展BIOS单元拥有引导控制权的状态下,与所述扩展BIOS单元进行通信数据交互。
2. 如权利要求1所述的主板与板载设备之间的通信控制系统,其特征在于,该系统还 包括有与所述主BIOS单元相连,通过所述主BIOS单元引导启动的主操作系统;以及 接口驱动单元,与所述主操作系统和板载操作系统相连,用于实现所述主操作系统和 板载操作系统之间的通信数据交互。
3. 如权利要求1或2所述的主板与板载设备之间的通信控制系统,其特征在于,所述板载操作系统进一步包括有控制权检测模块,与所述扩展BIOS单元相连,用于检测扩展BIOS单元是否拥有所述弓I 导控制权,若是,则控制所述板载操作系统与所述扩展BIOS单元通信,否则,控制所述板载 操作系统通过接口驱动单元与所述主操作系统通信;配置响应模块,与所述扩展BIOS单元及接口驱动单元相连,用于在接收到来自扩展 BIOS单元或接口驱动单元的携带有被加密设备信息的配置请求后,对所述被加密设备进行 加/解密处理,并向所述扩展BIOS单元或接口驱动单元返回配置回应消息;加解密响应模块,与所述配置响应模块相连,用于接收配置响应模块的下发的加/解 密指令,执行相应的加/解密处理,并向所述配置响应模块返回处理信息。
4. 如权利要求3所述的主板与板载设备之间的通信控制系统,其特征在于,所述扩展 BIOS单元进一步包括有配置执行单元,与所述配置响应模块相连,用于向所述配置响应模块发送配置请求,并 根据配置响应模块返回的配置回应信息实施加/解密配置,并将配置结果信息返回给所述 配置响应模块;加解密执行单元,与所述配置执行单元相连,用于根据配置执行模块下发的实施加/ 解密配置命令,执行相应的加/解密处理,并将加/解密配置实施结果返回给所述配置执行 单元;控制权转移单元,用于在主板启动时,从所述主BIOS单元获得引导控制权,并根据板 载操作系统与扩展BIOS单元的通信结果判断系统是否满足预设的控制条件,若是,则将引 导控制权交还给主BIOS单元;而所述主操作系统包括有加密执行单元,通过所述接口驱动单元与所述配置响应模块相连,用于将携带有被加 密设备信息的加密请求通过所述接口驱动单元发送到所述配置响应模块,根据配置响应模 块返回的加密信息对被加密设备执行加密,并将加密结果返回给所述配置响应模块。
5. 如权利要求1或2所述的主板与板载设备之间的通信控制系统,其特征在于,该系统 还包括有板载IO驱动单元,连接在所述扩展BIOS单元和板载操作系统之间,用于执行所述扩展BIOS系统与所述板载操作系统之间的数据信息转发。网络控制模块,设置在板载设备内,与所述板载操作系统和外界服务器相连,用于将所述配置信息、加密信息或解密信息发送到外界服务器上保存,并从外界服务器获得其保存的配置信息、加密信息或解密信息。
6. —种主板和板载设备之间的通信控制方法,其特征在于,该方法包括有获得引导权步骤,在主板启动时,扩展BIOS单元从主BI0S单元获得系统引导控制权;通信控制步骤,在扩展BIOS单元拥有引导控制权的状态下,板载操作系统与所述扩展BIOS单元进行通信数据交互;引导权交还步骤,根据板载操作系统与扩展BIOS单元的通信结果判断系统是否满足预设的控制条件,若是,则将引导控制权交还主BIOS单元。
7. 如权利要求6所述的主板和板载设备之间的通信控制方法,其特征在于,所述通信控制步骤具体包括有扩展BI0S单元内的加解密执行单元通过配置执行单元向板载操作系统的配置响应模块发送请求获得被加密设备解密信息的解密请求;加解密响应模块接收到配置响应模块下发的解密请求之后,将所述被加密设备的解密信息通过配置响应模块返回给配置执行单元;加解密执行单元根据配置执行单元下发的解密指令对被加密设备执行解密操作,并将解密结果返回给所述配置执行模块;扩展BIOS单元的控制权转移模块从所述配置执行模块获取解密结果,并判断是否解密成功,若是,则将引导控制权交还主BIOS单元,否则,继续持有引导控制权。
8. 如权利要求6或7所述的主板与板载设备之间的通信控制方法,其特征在于,所述通信控制步骤还包括有主操作系统的加密执行单元通过接口驱动单元向板载操作系统的配置响应模块发送携带有被加密设备信息的加密指令;配置响应模块向加解密执行模块下发加密指令,并将加解密执行模块返回的加密信息通过所述接口驱动单元返回给所述加密执行单元;加密执行单元根据所述加密信息对被加密设备执行加密,并将加密结果返回给所述配置响应模块。
9. 如权利要求8所述的主板与板载设备之间的通信控制方法,其特征在于,所述通信控制步骤还包括有扩展BIOS单元的配置执行单元向板载操作系统的配置响应模块发送配置请求;配置响应模块接收到所述配置请求后,为所述被加密设备配置加/解密信息,并向所述配置执行单元返回配置回应消息;配置执行单元根据所述配置回应消息实施加/解密处理,并将所述配置过程和结果信息返回给所述配置响应模块。
10. 如权利要求9所述的主板与板载设备之间的通信控制方法,其特征在于,所述扩展BIOS单元和板载操作系统之间通过板载10驱动单元转发数据信息;在所述加密步骤、解密步骤或配置步骤中,板载操作系统通过网络控制模块将加/解密配置信息发送到外界服务器上保存,并从外界服务器获得其保存的加/解密配置信息。
全文摘要
本发明公开一种主板与板载设备之间的通信控制系统,包括在主板启动时,拥有系统引导控制权的主BIOS单元;扩展BIOS单元,与所述主BIOS单元相连,用于从所述主BIOS单元获得引导控制权,并判断系统是否满足预设的控制条件,若是,则将引导控制权交还主BIOS单元;板载操作系统,与所述扩展BIOS单元相连,用于在所述扩展BIOS单元拥有引导控制权的状态下,与所述扩展BIOS单元进行通信数据交互。本发明还公开了相应的主板和板载设备之间的通信控制方法。本发明提供了一种新的高保密性、高可扩展性的安全加密与验证方案。
文档编号G06F21/00GK101782950SQ200910105120
公开日2010年7月21日 申请日期2009年1月16日 优先权日2009年1月16日
发明者蓝晓敏 申请人:深圳市维信联合科技有限公司