专利名称:一种基于USB key的BIOS认证方法
技术领域:
本发明涉及计算机安全启动及身份认证,具体来说,涉及一种基于USB key的 BIOS认证方法。
背景技术:
目前单机环境下常用的用户身份认证方法主要有两种,其一是基于操作系统的认证,另一种则是BIOS认证。基于操作系统的身份认证方式的根本缺陷在于不能阻止通过其它引导方式(光盘引导)进入系统,从而是身份认证形同虚设。一般来说来说,引导软件很容引导起系统从而获取计算机需要的信息。因此,基于操作系统的身份认证机制有很大的局限性和弊端。为解决这一问题,BIOS认证的方式成为现在很多厂商的首选。BIOS认证的传统的BIOS开机密码认证,密码强度低,容易被人恶意攻击而破解, 也容易开机放电清除密码,这样无法保护主机的安全。
发明内容
为结局上述问题,本发明通过与智能卡和认证中心结合加强计算机BIOS认证的安全性,同时为计算机启动集中管理提供可控性。一种基于USB key的BIOS认证方法,由BIOS与智能卡交互收集用户认证信息, 将认证信息交由认证中心认证,认证通过后方可启动计算机;如果未进入网络且智能卡内授权该主机可以离线认证,则离线认证通过后也可以启动计算机;其中,所述BIOS中集成了认证模块和安全模块;所述智能卡内存有用户证书和授权信息;所述认证中心数量至少为一个。优选的,所述安全模块负责收集认证信息和授权信息。优选的,所述安全模块将认证信息和授权信息传递给认证模块,若网络连通,则去认证中心认证,认证通过后启动计算机;若网络未连通且允许该计算机离线认证,则进行离线认证;否则不能启动计算机。优选的,所述认证中心为用户智能卡发放证书、授权用户可以启动的主机和认证用户是否有权限启动的计算机。优选的,所述离线认证为BIOS中的安全模块验证智能卡内的认证信息和授权信息,离线认证策略预先由认证中心加密保护写入智能卡。优选的,所述BIOS安全模块使用冲击响应模式收集智能卡证书认证信息和离线授权信息。本发明避免了 BIOS密码被破解带来的安全隐患,提高传统的BIOS认证等级,为计算机集中管理提供启动上的可控性。
图1是本发明结构图
具体实施例方式本发明将计算机在BIOS中集成认证模块和安全模块,安全模块负责与智能卡交互实现智能卡合法性认证、冲击响应用户认证和与认证中心交互实现用户身份认证。本发明包含一个或多个认证中心、集成认证模块和安全模块的BIOS主机以及保存用户证书和授权信息的智能卡。由BIOS与智能卡交互收集用户认证信息,将认证信息交由认证中心认证,认证通过后方可启动计算机;如果未接入网络且智能卡内授权该主机可以离线认证,则离线认证通过后也可启动计算机。认证流程如下1、建立认证中心(负责为用户智能卡发放证书、授权该用户可以启动哪些计算机和认证用户是否有权限启动哪些计算机)。2、认证中心注册启动计算机的用户并发放智能卡。3、认证中心为用户智能卡发放证书。4、认证中心为用户授权可以启动(包括离线的)哪些计算机。5、认证中心将离线认证策略加密保护写入智能卡。6、用户在要启动的计算机上插入智能卡启动计算机。7、计算机BIOS安全模块对智能卡合法性校验。8、BIOS安全模块使用冲击响应模式收集智能卡证书认证信息和离线授权信息。9、如果网络连通,BIOS认证模块与认证中心交互对用户是否可以启动该计算机进行认证,认证通过才能启动计算机。如果网络未连通且认证策略允许该计算机离线认证,则BIOS认证模块进行离线认证,认证通过才能启动计算机。计算机BIOS中的安全模块负责收集认证信息和授权信息。安全模块将认证信息和授权信息传递给认证模块,如果网络连通,则去认证中心进行认证,通过后方可启动计算机;如果网络未连通且允许在该计算机上离线认证,则认证模块进行离线认证。
权利要求
1.一种基于USB key的BIOS认证方法,其特征在于由BIOS与智能卡交互收集用户认证信息,将认证信息交由认证中心认证,认证通过后方可启动计算机;如果未进入网络且智能卡内授权该主机可以离线认证,则离线认证通过后也可以启动计算机;其中,所述BIOS中集成了认证模块和安全模块; 所述智能卡内存有用户证书和授权信息; 所述认证中心数量至少为一个。
2.如权利要求1所述的方法,其特征在于所述安全模块负责收集认证信息和授权信肩、ο
3.如权利要求1或2所述的方法,其特征在于所述安全模块将认证信息和授权信息传递给认证模块,若网络连通,则去认证中心认证,认证通过后启动计算机;若网络未连通且允许该计算机离线认证,则进行离线认证;否则不能启动计算机。
4.如权利要求1所述的方法,其特征在于所述认证中心为用户智能卡发放证书、授权用户可以启动的主机和认证用户是否有权限启动的计算机。
5.如权利要求1所述的方法,其特征在于所述离线认证为BIOS中的安全模块验证智能卡内的认证信息和授权信息,离线认证策略预先由认证中心加密保护写入智能卡。
6.如权利要求1所述的方法,其特征在于所述BIOS安全模块使用冲击响应模式收集智能卡证书认证信息和离线授权信息。
全文摘要
一种基于USB key的BIOS认证方法,由BIOS与智能卡交互收集用户认证信息,将认证信息交由认证中心认证,认证通过后方可启动计算机;如果未进入网络且智能卡内授权该主机可以离线认证,则离线认证通过后也可以启动计算机;其中,所述BIOS中集成了认证模块和安全模块;所述智能卡内存有用户证书和授权信息;所述认证中心数量至少为一个。本发明避免了BIOS密码被破解带来的安全隐患,提高传统的BIOS认证等级,为计算机集中管理提供启动上的可控性。
文档编号G06F21/20GK102298679SQ20111023086
公开日2011年12月28日 申请日期2011年8月12日 优先权日2011年8月12日
发明者石旭, 郭旭, 黄亮 申请人:无锡城市云计算中心有限公司