一种底层身份认证的计算机系统和方法

专利名称：一种底层身份认证的计算机系统和方法
技术领域：
本发明涉及计算机应用领域，特别是涉及一种底层身份认证计算机系统和方法。
背景技术：
目前计算机网络技术已经广泛影响到个人和企业的各个方面，对计算机安全性的需求也进一步提高，其中用户身份认证是实现计算机安全的重要机制之一。用户身份认证，也称为用户鉴别，就是用户向服务系统以一种安全的方式提交自己的身份证明，由服务系统确认用户的身份是否真实，然后才允许该用户对该计算机的合法访问控制和记录，身份认证通常采用本地认证和远程认证的方式，远程认证中保证合法认证的数据库信息是存储在安全的远程服务器上，通过网络认证的“远程用户安全认证”，其相对于本地认证具有更高的安全性。目前，用户安全身份认证方法大多是在操作系统(OperationSystem，OS)之上实现的，在操作系统启动之后才进行远程安全认证，但是实际上，从计算机启动到操作系统启动之前，计算机还是需要进行一段运行工作，这就是基本输入输出系统(Basic Input/Output System，BIOS)运行阶段，BIOS运行阶段计算机将执行基础系统自检和初始化工作，其最后的执行步骤是定位指定的操作系统装载器(OS loader)并启动操作系统。由此可见，在操作系统启动之后才进行用户安全认证不足以保证系统安全信任链的可靠性，例如非法用户可以在BIOS启动之后，利用木马程序等非法手段启动主机，跳过操作系统的认证阶段，获取主机数据及资源。因此，BIOS阶段的安全认证步骤显得更加重要，用户，特别是安全性要求更高的用户，迫切需要一种从BIOS启动即保障安全的认证机制，保证只有安全的合法用户才可能通过BIOS认证，启动合法的操作系统，而且，我们希望能够实现和操作系统之上的用户安全认证同样可靠的认证机制。
目前的已有解决方案
BIOS的用户安全认证采用以下两种本地认证方式实现的。
方法1输入BIOS密码验证方式。即用户在启动计算机时，在自检完成后，执行SETUP密码验证，如果密码正确则继续执行下一步，否则，要求用户重新输入密码，如果用户N次输入密码错误，则退出启动或者死锁计算机。
方法2外接硬件设备，例如特殊USB Ikey硬件，当打开PC机或其他设备时，引导程序会要求用户插入SafeNet公司的iKey USB Key并输入PIN码确认用户身份，而后读取该硬件设备中存储的用户信息进行验证。
以上方法的缺陷在于缺陷1不支持BIOS层的网络远程认证功能。
缺陷2在传统BIOS上，增加硬件设备接口实现方法较复杂。
这是由BIOS的功能现状决定的(1)在现有BIOS的基本功能不支持网络。由于传统BIOS的历史原理，其设计之初没有考虑对网络支持的扩充性，而BIOS的现有设计框架和机制导致在其上增加网络单元实现非常复杂，因此，实现更为安全的远程安全认证需要的网络功能在现有BIOS上实现是比较困难的。(2)现有BIOS的不开放性特性，使得为其增加一个硬件设备接口也相对复杂，如果我们希望采用为安全的硬件支持的安全认证方式时，在BIOS上扩展相应的安全硬件设备接口的工作量也比较大，同时，由于增加的安全硬件设备接口单元在不同BIOS厂商提供的BIOS固件上的移植性也较差，实际上限制了在传统BIOS上实现更为安全可靠的硬件支持的身份认证方法的发展。
基于以上原因，在通用BIOS上实现比较完善的的底层远程BIOS用户认证方法目前还没有比较可行的设计方案。

发明内容
本发明的目的在于，提供一种EFI BIOS上实现的计算机底层身份认证的计算机系统和方法，充分利用EFI BIOS的扩展接口，有效突破BIOS上实现安全认证，特别是远程身份认证，其具备支持BIOS本地身份认证，远程网络认证功能，实现方法简单而实用，灵活性特别强，具有支持功能强大，适用性强等优点。
为实现上述目的，本发明提供了一种底层身份认证的计算机系统，包括硬件和软件，EFI用户身份认证触发单元，用于判断计算机系统的安全等级，并决定是否在进入操作系统前执行身份认证；EFI用户身份标识单元，用于用户输入身份信息后，通过身份标识列表生成身份标识；用户身份验证单元，用于响应收到的认证请求，通过身份验证列表进行认证。
还可以包括EFI安全管理单元，用于设置EFI BIOS的安全等级。
所述硬件可以包括具有与所述计算机系统控制总线连接的具备安全受保护存储区域用于支持用户身份信息安全存储的安全设备，可以是Ikey设备或者指纹识别仪；所述软件还包括用于驱动所述的安全设备的安全设备驱动单元。
同时，提供了一种底层身份认证的方法，包括下列步骤步骤1)用户启动计算机系统，在完成EFI BIOS自检(POST)过程，平台初始化结束后，启动EFI用户身份认证触发单元；步骤2)判断计算机系统的安全等级，根据设定安全等级直接进入操作系统启动或者执行下一步；步骤3)提示用户执行用户身份认证，用户输入信息；步骤4)启动EFI用户身份标识单元，获得用户信息标识；步骤5)激活用户身份验证单元，验证用户身份信息的合法性；步骤6)如果用户是合法用户，则启动操作系统；否则，拒绝用户操作，不启动操作系统。
所述步骤1)还包括如下步骤步骤11)启动EFI用户身份认证触发单元后，系统等待时间T，并在系统界面上提示用户可以按下特定功能键改变计算机系统安全等级，当用户按下特定功能键时，启动EFI安全管理单元；步骤12)在EFI安全管理单元启动后，显示EFI安全管理器界面，用户在界面上对安全级别进行选择，保存或者取消后退出安全管理器，系统重新启动。
所述步骤11)还包括如下步骤步骤111)提示用户执行用户身份认证，用户输入信息；步骤112)启动EFI用户身份标识单元，获得用户信息标识；
步骤113)激活用户身份验证单元，验证用户身份信息的合法性；步骤114)如果用户是合法用户，则启动EFI安全管理单元；否则，拒绝用户操作，重新启动系统。
另外，本发明还提供另一种底层身份认证的计算机系统，包括客户端与服务器端，其特征在于，所述客户端包括EFI用户身份认证触发单元，用于判断计算机系统的安全等级，并决定是否在进入操作系统前执行身份认证；EFI用户身份标识单元，用于用户输入身份信息后，通过身份标识列表生成身份标识；客户端用户身份验证单元，用于将用户身份标识发送到服务器端，并接收服务器端验证结果；EFI网络连接功能单元，用于连接到服务器端，对服务器端进行访问和控制；服务器端包括服务器端网络连接功能单元，用于响应客户端连接要求，使客户端能够对服务器端进行访问和控制；服务器端用户身份验证单元，用于响应收到的认证请求，通过身份验证列表进行认证，并将结果反馈回客户端用户身份验证单元；所述客户端还可以包括EFI安全管理单元，用于设置EFI BIOS的安全等级；数据加解密单元，用于以及对在服务器端与客户端之间传输的数据进行加解密，所述数据加解密单元存储在服务器端和客户端。
所述硬件可以包括具有与所述计算机系统控制总线连接的具备安全受保护存储区域用于支持用户身份信息安全存储的安全设备，可以是Ikey设备或者指纹识别仪；所述软件还包括用于驱动所述的安全设备的安全设备驱动单元。
相应地，本发明另外提供了一种底层身份认证的方法，客户端包括如下步骤步骤1)用户启动计算机系统，在完成EFI BIOS自检过程，平台初始化结束后，启动EFI用户身份认证触发单元
步骤2)判断计算机系统的安全等级，根据设定安全等级直接进入操作系统启动或者执行下一步；步骤3)提示用户执行用户身份认证，用户输入信息；步骤4)启动EFI用户身份标识单元，获得用户信息标识；步骤5)激活EFI网络连接功能单元，与服务器端网络连接功能单元建立网络连接；步骤6)启动数据加解密单元，对在服务器端与客户端之间传输的数据进行加解密；步骤7)将用户身份信息加密后，通过客户端用户身份验证单元传送到服务器端，服务器端利用数据加解密单元解密数据，获取用户信息，并启动用户身份验证单元，验证用户身份信息的合法性；步骤8)如果用户是合法用户，反馈验证通过的信息给客户端的客户端用户身份验证单元，启动操作系统；否则，反馈验证未通过信息给客户端的客户端用户身份验证单元，客户端拒绝用户操作，断开网络连接，不启动操作系统。
在服务器端包括下列步骤步骤1)启动用户身份验证单元；步骤2)等待客户端建立网络连接请求；步骤3)如果有客户端连接请求，则利用服务器端网络连接功能单元与客户端建立网络连接；步骤4)通过用户身份验证单元验证客户端送来的用户身份信息是否合法；步骤5)得出验证结论，并用数据加解密单元加密，反馈到客户端，步骤6)关闭本次网络连接。
所述客户端步骤1)还包括如下步骤步骤11)启动EFI用户身份认证触发单元后，系统等待时间T，并在系统界面上提示用户可以按下特定功能键改变计算机系统安全等级，当用户按下特定功能键时，启动EFI安全管理单元；步骤12)在EFI安全管理单元启动后，显示EFI安全管理器界面，用户在界面上对安全级别进行选择，保存或者取消后退出安全管理器，系统重新启动。
所述客户端步骤11)还包括如下步骤步骤111)提示用户执行用户身份认证，用户输入信息；步骤112)启动EFI用户身份标识单元，获得用户信息标识；步骤113)激活EFI网络连接功能单元，与服务器端网络连接功能单元建立网络连接；步骤114)启动数据加解密单元，对在服务器端与客户端之间传输的数据进行加解密；步骤115)将用户身份信息加密后，传送到服务器端，服务器端利用数据加解密单元解密数据，获取用户信息，并启动用户验证单元，验证用户身份信息的合法性；步骤116)如果用户是合法用户，反馈验证通过的信息给客户端，则启动EFI安全管理单元；否则，反馈验证未通过信息给客户端，客户端拒绝用户操作，断开网络连接，重新启动系统。
本发明的有益效果是其实现了一种适用性较强的底层身份安全认证机制，安全有效的解决了操作系统启动之前的BIOS安全性问题，具有非常实用的实现价值，有效弥补了现有系统该阶段的安全漏洞。其支持功能强大，比传统BIOS安全身份认证方法更为简单，效果更好，相比于传统BIOS安全身份认证具有更大的优势。


图1为实施例一计算机系统软件示意图；图2为实施例一用户身份认证流程图；图3为实施例二计算机系统软件示意图；图4为实施例二用户身份认证流程图；图5为实施例二服务器端用户身份验证流程图；图6为本发明用户身份认证安全管理界面图。
具体实施例方式
下面结合附图进一步详细说明本发明。
首先，为详细说明本发明，下面先说明EFI技术本发明将涉及可扩展固件接口(EFI)技术，下面我们先对其进行介绍可扩展固件接口(Extensible Firmware Interface，EFI)是1999年出现的用以取代沿用多年的基本输入输出系统(BIOS)的新一代接口程序，关于可扩展固件接口的介绍，详见UEFI论坛关于EFI技术的介绍http://www.UEFI.org。EFI介于硬件设备以及操作系统(比如Windows或者Linux)之间。与传统的BIOS不同，EFI使用全球最广泛的高级语言C语言进行编写，其提供了既具有传统BIOS的功能又有优于传统BIOS的扩展功能，在设计机制和架构上也有别于传统BIOS的实现，是下一代BIOS接口规范，这就意味着有更多的工程师可以参与EFI的开发工作，添加许多更有价值的功能。
EFI具备的基本功能为硬件平台初始化；支持启动操作系统；脱离操作系统的平台管理工具。
EFI的工作模式可以简单归纳为启动系统，标准固件平台初始化，接着从加载EFI驱动程序库以及及执行相关程序，在EFI系统启动菜单中选取所要进入的系统并向EFI提交启动引导代码，正常的话将进入系统，否则将中止启动服务并返回EFI系统启动菜单。工程师们可以按照不同的需要为EFI增加新的功能，诸如更加详细实用的诊断功能、自我配置程序、列出系统可能发生的故障等等。
实施例一如图1-2所示，本实施例的底层身份认证计算机系统包括硬件和软件，硬件中包括主板，中央处理器(CPU)，内存，硬盘及外设。
主板和CPU分别为支持EFI规范的主板和CPU，硬盘包括存储有EFI规范的EFI存储器。
所述硬件还包括安全设备，所述安全设备为本机控制总线连接的外围设备，该设备具备安全的受保护的存储区域，用于支持用户身份信息的安全存储，该设备可以是USB连接的Ikey设备，如SafeNet公司的ikey USB key，指纹识别仪，如BIOSCRYPT(BII)公司的指纹识别系统产品等身份认证硬件设备。
所述软件包括EFI Firmware层3，EFI应用层2和操作系统层1，所述的EFIFirmware层3包括EFI安全设备驱动程序31.
所述软件还包括EFI用户身份认证触发单元21，EFI用户身份标识单元22，用户身份验证单元23和EFI安全管理单元24。
EFI用户身份认证触发单元21，判断计算机系统的安全等级，并决定是否在进入操作系统前执行身份认证。
EFI用户身份标识单元22，当用户输入身份信息后，通过身份标识列表生成身份标识，并通过身份标识提取用户身份信息。
身份标识列表可以如表1所示

其中，EFI用户身份标识单元该单元的输入信息是Ikey PIN值A或指纹A，输出是身份标识。例如用户A输入自己的指纹，输出是身份标识信息A。
用户身份验证单元23，响应收到的认证请求，通过身份验证列表进行认证。
所述身份验证列表如表2所示

其中，用户身份验证单元的输入是身份标识，输入是合法与否的判断及用户身份信息，例如输入为身份标识A，输出是用户合法且为administrators用户。
EFI安全管理程序24，其用于设置EFI BIOS的安全等级，用户可能设置目前EFI BIOS的安全等级，如图6所示，当用户选择“高安全等级”时，则在EFI BIOS启动过程中，用户必须通过本发明所述的用户身份验证，否则不能启动操作系统；当用户选择“低安全等级”，则不进行用户身份验证，直接进入操作系统启动。
进一步，所述软件还可以包括安全设备驱动单元31，用于驱动所述的安全设备。
所述安全设备驱动单元31包括标准硬件驱动，如USB连接的Ikey设备的USB 2.0标准驱动程序，以及对安全设备受保护区域的读写访问接口。当安全设备驱动，用户输入认证信息后，根据认证标识，输出存储在保护区域中的用户身份信息。该驱动单元为EFI驱动程序，其存储位置可以位于EFIBIOS FLASH芯片、本地安全存储部件或者外围存储设备中，如具有安全保护功能的硬盘，如具有HPA(Host Protected Area)的硬盘，具有访问控制功能的闪存存储器，通过USB接口连接的具有访问控制功能的大容量USB安全存储部件。
在本实施例中，所述安全设备驱动程序存储在EFI BIOS闪存芯片中，在EFI BIOS启动过程中，如果发现该安全设备，将主动加载该设备的驱动程序支持相关功能，如果将该驱动程序从EFI BIOS闪存芯片中剔除，EFI不会加载驱动程序，不影响其他单元的运行。这种EFI驱动程序实现具有以下优点实现简单，其以独立驱动单元的嵌入方法，不影响系统原有部分，无需直接修改BIOS主流程，独立编码调试更为简单；增加系统配置灵活性，系统具备该安全设备则驱动程序自动加载，加载后支持相应功能，如果没有则不加载，对系统无影响；其可以支持多种安全认证硬件设备，并在其中存储用户安全认证信息，有很好的实用性。
下面结合的底层身份认证的计算机系统进一步说明其底层身份认证方法
1)用户启动计算机系统，在完成EFI BIOS自检(POST)过程，平台初始化结束后，启动EFI用户身份认证触发单元2111)系统等待时间T，并在系统界面上提示用户可以按下特定功能键改变计算机系统安全等级，当用户按下特定功能键(如F9)时111)提示用户执行用户身份认证，用户输入信息，用户输入Ikey PIN值和指纹信息；112)启动EFI用户身份标识单元22，获得用户信息标识；EFI用户身份标识单元22根据用户信息获取认证标识，根据用户标识从安全设备的保护区域中获取用户身份信息；113)激活用户验证单元23，验证用户身份信息的合法性；114)如果用户是合法用户，则启动EFI安全管理单元24；否则，拒绝用户操作，重新启动系统。
12)在EFI安全管理单元启动后，显示如图6所示的EFI安全管理器界面，用户在界面上对安全级别进行选择，保存或者取消后退出安全管理器，系统重新启动。
2)判断计算机系统的安全等级，如果是“低安全低级”，则直接进入操作系统启动；如果是高安全等级，进入下一步；3)提示用户执行用户身份认证，用户输入信息，用户输入Ikey PIN值和指纹信息；4)启动EFI用户身份标识单元22，获得用户信息标识；EFI用户身份标识单元22根据用户信息获取认证标识，根据用户标识从安全设备的保护区域中获取用户身份信息；5)激活用户验证单元23，验证用户身份信息的合法性；6)如果用户是合法用户，则启动操作系统；否则，拒绝用户操作，不启动操作系统。
实施例二下面结合附图3-6详细说明本实施例。
本实施例的底层身份认证计算机系统客户端4与服务器端5。
服务器端5，用于远程网络验证用户身份，其响应客户端4发送来的认证请求，解密身份认证信息，通过服务器端5的验证所述信息的合法性。服务器端包括三个单元服务器端网络连接功能单元51，服务器端用户身份验证单元52，数据加解密单元25。
服务器端网络连接功能单元51，通过网络协议TCP/IP单元，响应客户端4连接要求，使客户端能够对服务器端5进行访问和控制。
用户身份验证单元52，响应收到的认证请求，通过如表2所示的身份验证列表进行认证。
用户身份验证单元52运行在服务器端5上，可以为操作系统之上的应用单元。其主要功能是提供网络验证的服务器端，它将响应收到的验证请求，解密身份验证信息，通过服务器端5的验证该信息的合法性，它保证网络连接，解密接受客户端4发送的验证请求，确认用户是否是合法的用户，并将验证结果返回客户端4。
数据加解密单元25，对在服务器端5与客户端4之间传输的数据进行加解密，以保证其安全性。
所示的加解密可以采用SSL(Secure Socket Layer)加密方法，或者采用其它加解密方法。
所述客户端4包括硬件和软件，硬件中包括主板，中央处理器(CPU)，内存，硬盘及外设。
主板和CPU分别为支持EFI规范的主板和CPU，硬盘包括存储有EFI规范的EFI存储器。
所述硬件还包括安全设备，所述安全设备为本机控制总线连接的外围设备，该设备具备安全的受保护的存储区域，用于支持用户身份信息的安全存储，该设备可以是USB连接的Ikey设备，如SafeNet公司的ikey USB key，指纹识别仪等身份认证硬件设备。
所述软件包括EFI Firmware层3，EFI应用层2和操作系统层1，所述的EFI Firmware层3包括EFI安全设备驱动程序31所述软件还包括在EFI应用层2中的EFI用户身份认证触发单元21，EFI用户身份标识单元22，客户端用户身份验证单元26，EFI安全管理单元24和数据加解密单元25；以及在EFI Firmware层3中的EFI网络连接功能单元32EFI用户身份认证触发单元21，判断计算机系统的安全等级，并决定是否在进入操作系统前执行身份认证。
EFI用户身份标识单元22，当用户输入身份信息后，通过身份标识列表生成身份标识，并通过身份标识提取用户身份信息。
身份标识列表可以如表1所示。
客户端用户身份验证单元26，是将用户身份标识发送到服务器端，并接收服务器端验证结果。
EFI安全管理程序24，其用于设置EFI BIOS的安全等级，用户可能设置目前EFI BIOS的安全等级，如图6所示，当用户选择“高安全等级”时，则在EFI BIOS启动过程中，用户必须通过本发明所述的用户身份验证，否则不能启动操作系统；当用户选择“低安全等级”，则不进行用户身份验证，直接进入操作系统启动。
EFI网络连接功能单元32，通过EFI FIRMWARE层3的网络协议EFITCP/IP单元，连接到服务器端5，对服务器端5进行访问和控制。
数据加解密单元25，对在服务器端5与客户端4之间传输的数据进行加解密，以保证其安全性。
进一步，所述软件还可以包括安全设备驱动单元31，用于驱动所述的安全设备。
所述所述安全设备驱动单元31包括标准硬件驱动，如USB连接的Ikey设备的USB 2.0标准驱动程序，以及对安全设备受保护区域的读写访问接口。当安全设备驱动，用户输入认证信息后，根据认证标识，输出存储在保护区域中的用户身份信息。该驱动单元为EFI驱动程序，其存储位置可以位于EFI BIOS FLASH芯片、本地安全存储部件或者外围存储设备中，如具有安全保护功能的硬盘，如具有HPA(Host Protected Area)的硬盘，具有访问控制功能的闪存存储器，通过USB接口连接的具有访问控制功能的大容量USB安全存储部件。
在本实施例中，所述安全设备驱动程序存储在EFI BIOS闪存芯片中，在EFI BIOS启动过程中，如果发现该安全设备，将主动加载该设备的驱动程序支持相关功能，如果将该驱动程序从EFI BIOS闪存芯片中剔除，EFI不会加载驱动程序，不影响其他单元的运行。这种EFI驱动程序实现具有以下优点实现简单，其以独立驱动单元的嵌入方法，不影响系统原有部分，无需直接修改BIOS主流程，独立编码调试更为简单；增加系统配置灵活性，系统具备该安全设备则驱动程序自动加载，加载后支持相应功能，如果没有则不加载，对系统无影响；其可以支持多种安全认证硬件设备，并在其中存储用户安全认证信息，有很好的实用性。
下面结合的底层身份认证的计算机系统进一步说明其底层身份认证方法，如图4所示，在客户端包括下列步骤1)用户启动计算机系统，在完成EFI BIOS自检(POST)过程，平台初始化结束后，启动EFI用户身份认证触发单元2111)系统等待时间T，并在系统界面上提示用户可以按下特定功能键改变计算机系统安全等级，当用户按下特定功能键(如F9)时111)提示用户执行用户身份认证，用户输入信息，用户输入Ikey PIN值和指纹信息；112)启动EFI用户身份标识单元22，获得用户信息标识；EFI用户身份标识单元22根据用户信息获取认证标识，根据用户标识从安全设备的保护区域中获取用户身份信息；113)激活EFI网络连接功能单元32，EFI网络连接功能单元32首先判断EFI是否已经加载网络协议，如果没有加载，就加载所需的网络协议，如果发现EFI已经加载网络协议，则不需要加载网络协议，与服务器端网络连接功能单元51建立网络连接；115)启动数据加解密单元25，对在服务器端5与客户端4之间传输的数据进行加解密；116)将用户身份信息加密后，传送到服务器端5，服务器端5利用数据加解密单元25解密数据，获取用户信息，并启动用户验证单元，验证用户身份信息的合法性；117)如果用户是合法用户，反馈验证通过的信息给客户端，客户端启动EFI安全管理单元24；否则，反馈验证未通过信息给客户端，客户端拒绝用户操作，断开网络连接，重新启动系统。
12)在EFI安全管理单元24启动后，显示如图6所示的EFI安全管理器界面，用户在界面上对安全级别进行选择，保存或者取消后退出安全管理器，系统重新启动。
2)判断计算机系统的安全等级，如果是“低安全低级”，则直接进入操作系统启动；如果是高安全等级，进入下一步；3)提示用户执行用户身份认证，用户输入信息，用户输入Ikey PIN值和指纹信息；4)启动EFI用户身份标识单元22，获得用户信息标识；EFI用户身份标识单元22根据用户信息获取认证标识，根据用户标识从安全设备的保护区域中获取用户身份信息；5)激活EFI网络连接功能单元32，EFI网络连接功能单元32首先判断EFI是否已经加载网络协议，如果没有加载，就加载所需的网络协议，如果发现EFI已经加载网络协议，则不需要加载网络协议，与服务器端网络连接功能单元51建立网络连接；6)启动数据加解密单元25，对在服务器端5与客户端4之间传输的数据进行加解密；步骤7)将用户身份信息加密后，通过客户端用户身份验证单元26传送到服务器端，服务器端利用数据加解密单元解密数据，获取用户信息，并启动用户身份验证单元52，验证用户身份信息的合法性；步骤8)如果用户是合法用户，反馈验证通过的信息给客户端的客户端用户身份验证单元26，启动操作系统；否则，反馈验证未通过信息给客户端的客户端用户身份验证单元26，客户端拒绝用户操作，断开网络连接，不启动操作系统；如图5所示，在服务器端5包括下列步骤步骤1)启动用户身份验证单元52；步骤2)等待客户端4建立网络连接请求；步骤3)如果有客户端4连接请求，则利用服务器端网络连接功能单元51与客户端4建立网络连接；
步骤4)通过用户身份验证单元52验证客户端4送来的用户身份信息是否合法；步骤5)得出验证结论，并用数据加解密单元25加密，反馈到客户端4，步骤6)关闭本次网络连接。
本发明利用EFI BIOS基础特性，实现了一种适用性较强支持BIOS底层身份安全认证机制。它安全有效的解决了操作系统启动之前的BIOS安全性问题，具有非常实用的实现价值，有效弥补了现有系统该阶段的安全漏洞；同时，在BIOS层面上实现的身份安全认证机制，和操作系统无关，可移植性能好，是一种全新模式的远程身份认证机制；并可与操作系统之上的安全保护机制结合起来，形成完善的系统安全认证方案，全面保护计算机安全。其比较传统BIOS的实现方法更为简单，效果更好，可以支持网络远程认证，硬件支持机制，相比于传统BIOS具有较大技术优势；灵活运用EFI驱动程序，支持多种安全认证硬件设备，易于实现，灵活性较强，且不会影响EFI BIOS的其它部分，这样，硬件设备及驱动可以由不同的IHV厂商提供，并可以方便的集成入计算机系统；本发明还提供友好性更好的图形用户安全管理器界面，具有更好的安全性、易用性和灵活性，用户使用统一的图形界面完成BIOS用户安全管理配置功能，使得该安全配置更加一致化，避免了不必要的误操作。
上述具体实施方式
仅为详细说明本发明的技术方案，并不是对本发明的限制，本领域的技术人员在不脱离本发明技术方案的主旨的情况下所作的变化者在本发明的保护范围内。
权利要求
1.一种底层身份认证的计算机系统，包括硬件和软件，其特征在于，所述软件包括EFI用户身份认证触发单元(21)，用于判断计算机系统的安全等级，并决定是否在进入操作系统前执行身份认证；EFI用户身份标识单元(22)，用于用户输入身份信息后，通过身份标识列表生成身份标识；用户身份验证单元(23)，用于响应收到的认证请求，通过身份验证列表进行认证。
2.根据权利要求1所述的底层身份认证的计算机系统，其特征在于，还包括EFI安全管理单元(24)，用于设置EFI BIOS的安全等级。
3.根据权利要求2所述的底层身份认证的计算机系统，其特征在于，所述硬件包括与所述计算机系统控制总线连接的具备安全受保护存储区域并用于支持用户身份信息安全存储的安全设备；所述软件还包括用于驱动所述的安全设备的安全设备驱动单元(31)。
4.根据权利要求3所述的底层身份认证的计算机系统，其特征在于，所述安全设备为Ikey设备或者指纹识别仪。
5.一种底层身份认证的方法，其特征在于，包括下列步骤步骤1)用户启动计算机系统，在完成EFI BIOS自检过程，平台初始化结束后，启动EFI用户身份认证触发单元(21)；步骤2)判断计算机系统的安全等级，根据设定安全等级直接进入操作系统启动或者执行下一步；步骤3)提示用户执行用户身份认证，用户输入信息；步骤4)启动EFI用户身份标识单元(22)，获得用户身份标识；步骤5)激活用户身份验证单元(23)，验证用户身份信息的合法性；步骤6)如果用户是合法用户，则启动操作系统；否则，拒绝用户操作，不启动操作系统。
6.根据权利要求5所述底层身份认证的方法，其特征在于，所述步骤1)还包括如下步骤步骤11)启动EFI用户身份认证触发单元后，系统等待时间T，并在系统界而上提示用户可以按下特定功能键改变计算机系统安全等级，当用户按下特定功能键时，启动EFI安全管理单元(24)；步骤12)在EFI安全管理单元(24)启动后，显示EFI安全管理器界面，用户在界面上对安全级别进行选择，保存或者取消后退出安全管理器，系统重新启动。
7.根据权利要求6所述的底层身份认证的方法，其特征在于，所述步骤11)还包括如下步骤步骤111)提示用户执行用户身份认证，用户输入信息；步骤112)启动EFI用户身份标识单元(22)，获得用户身份标识；步骤113)激活用户验证单元(23)，验证用户身份信息的合法性；步骤114)如果用户是合法用户，则启动EFI安全管理单元(24)；否则，拒绝用户操作，重新启动系统。
8.一种底层身份认证的计算机系统，包括客户端(4)与服务器端(5)，其特征在于，所述客户端包括EFI用户身份认证触发单元(21)，用于判断计算机系统的安全等级，并决定是否在进入操作系统前执行身份认证；EFI用户身份标识单元(22)，用于用户输入身份信息后，通过身份标识列表生成身份标识；客户端用户身份验证单元(26)，用于将用户身份标识发送到服务器端，并接收服务器端验证结果；EFI网络连接功能单元(32)，用于连接到服务器端，对服务器端进行访问和控制；服务器端包括服务器端网络连接功能单元(51)，用于响应客户端连接要求，使客户端能够对服务器端进行访问和控制；服务器端用户身份验证单元(52)，用于响应收到的认证请求，通过身份验证列表进行认证，并将结果反馈回客户端用户身份验证单元。
9.根据权利要求8所述的底层身份认证的计算机系统，其特征在于，所述客户端还包括EFI安全管理单元(24)，用于设置EFI BIOS的安全等级；数据加解密单元(25)，用于以及对在服务器端(5)与客户端(4)之间传输的数据进行加解密；所述数据加解密单元(25)存储在服务器端(5)和客户端(4)。
10.根据权利要求9所述的底层身份认证的计算机系统，其特征在于，所述硬件包括具有与所述计算机系统控制总线连接的具备安全受保护存储区域用于支持用户身份信息安全存储的安全设备。所述软件还包括用于驱动所述的安全设备的安全设备驱动单元(31)。
11.根据权利要求10所述的底层身份认证的计算机系统，其特征在于，所述安全设备为Ikey设备或者指纹识别仪。
12.一种底层身份认证的方法，其特征在于，在客户端(4)包括如下步骤步骤1)用户启动计算机系统，在完成EFI BIOS自检过程，平台初始化结束后，启动EFI用户身份认证触发单元(21)；步骤2)判断计算机系统的安全等级，根据设定安全等级直接进入操作系统启动或者执行下一步；步骤3)提示用户执行用户身份认证，用户输入信息；步骤4)启动EFI用户身份标识单元(22)，获得用户身份标识；步骤5)激活EFI网络连接功能单元(31)，与服务器端网络连接功能单元(51)建立网络连接；步骤6)启动数据加解密单元(25)，对在服务器端(5)与客户端(4)之间传输的数据进行加解密；步骤7)将用户身份信息加密后，通过客户端用户身份验证单元(26)传送到服务器端(5)，服务器端(5)利用数据加解密单元(25)解密数据，获取用户信息，并启动用户身份验证单元(52)，验证用户身份信息的合法性；步骤8)如果用户是合法用户，反馈验证通过的信息给客户端(4)的客户端用户身份验证单元(26)，启动操作系统；否则，反馈验证未通过信息给客户端(4)的客户端用户身份验证单元(26)，客户端(4)拒绝用户操作，断开网络连接，不启动操作系统；在服务器端(5)包括下列步骤步骤1)启动用户身份验证单元(52)；步骤2)等待客户端(4)建立网络连接请求；步骤3)如果有客户端(4)连接请求，则利用服务器端网络连接功能单元(51)与客户端(4)建立网络连接；步骤4)通过用户身份验证单元(52)验证客户端(4)送来的用户身份信息是否合法；步骤5)得出验证结论，并用数据加解密单元(25)加密，反馈到客户端(4)，步骤6)关闭本次网络连接。
13.根据权利要求12所述底层身份认证的方法，其特征在于，所述客户端(4)步骤1)还包括如下步骤步骤11)启动EFI用户身份认证触发单元(21)后，系统等待时间T，并在系统界面上提示用户可以按下特定功能键改变计算机系统安全等级，当用户按下特定功能键时，启动EFI安全管理器单元(24)；步骤12)在EFI安全管理器单元(24)启动后，显示EFI安全管理器界面，用户在界面上对安全级别进行选择，保存或者取消后退出安全管理器，系统重新启动。
14.根据权利要求13所述的底层身份认证的方法，其特征在于，所述步骤11)还包括如下步骤步骤111)提示用户执行用户身份认证，用户输入信息；步骤112)启动EFI用户身份标识单元(22)，获得用户身份标识；步骤113)激活EFI网络连接功能单元(32)，与服务器端网络连接功能单元(51)建立网络连接；步骤114)启动数据加解密单元(25)，对在服务器端(5)与客户端(4)之间传输的数据进行加解密；步骤115)将用户身份信息加密后，传送到服务器端(5)，服务器端(5)利用数据加解密单元(25)解密数据，获取用户信息，并启动用户验证单元(52)，验证用户身份信息的合法性；步骤116)如果用户是合法用户，反馈验证通过的信息给客户端(4)，则启动EFI安全管理器单元(24)；否则，反馈验证未通过信息给客户端(4)，客户端(4)拒绝用户操作，断开网络连接，重新启动系统。
全文摘要
一种底层身份认证的计算机系统和方法，包括EFI用户身份认证触发单元(21)；EFI用户身份标识单元(22)；用户身份验证单元(23)；EFI安全管理单元(24)。用户启动计算机系统，在平台初始化结束后，启动EFI用户身份认证触发单元(21)；判断计算机系统的安全等级，根据设定安全等级直接进入操作系统启动或者执行下一步；提示用户执行用户身份认证，用户输入信息；启动EFI用户身份标识单元(22)，获得用户信息标识；激活用户身份验证单元(23)，验证用户身份信息的合法性；如果用户是合法用户，则启动操作系统；否则，拒绝用户操作，不启动操作系统。其实现方法简单而实用，具有支持功能强大，适用性强等优点。
文档编号H04L9/00GK1936761SQ20051010539
公开日2007年3月28日 申请日期2005年9月23日 优先权日2005年9月23日
发明者张怡, 席振新, 周建, 田宏萍 申请人:联想(北京)有限公司