專利名稱：一種基于bios的計算機(jī)安全防護(hù)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明屬于計算機(jī)安全技術(shù)領(lǐng)域，尤其涉及一種基于BIOS (基本輸入輸出 系統(tǒng)，Basic Input /Output System)的計算機(jī)安全防護(hù)方法及系統(tǒng)。
背景技術(shù)：
目前隨著計算機(jī)的普及以及互聯(lián)網(wǎng)的日益完善，安全性是許多計算機(jī)及其 系統(tǒng)首先考慮的問題。現(xiàn)行的許多計算機(jī)系統(tǒng)中，包括許多非常機(jī)密的系統(tǒng)，
ID+密碼"的方法。實際上，這種方案隱含著一些問題， 一旦密碼忘記、被盜取 或被破解，則會給用戶帶來麻煩甚至重大損失。通常的解決方法如下
1) 系統(tǒng)通過要求用戶及時改變他們的口令來防止盜用口令行為，這種方法 的缺陷在于，增加了用戶的記憶負(fù)擔(dān)，也不能乂人才艮本上解決問題。
2) 利用操作系統(tǒng)的安全策略，如Windows下的密碼長度最小值，密碼最長 存留及密碼必須符合復(fù)雜性、安全性等特性。這在一定程度能保證系統(tǒng)的安全 性。這種方法的缺陷在于，這種保護(hù)是基于操作系統(tǒng)下的，如果非法用戶用其 它操作系統(tǒng)啟動系統(tǒng)，系統(tǒng)還是得不到保護(hù)。
3) 基于操作系統(tǒng)的USBKEY身份認(rèn)證登錄。在操作系統(tǒng)登錄過程中，不是 使用"用戶ID+密碼"的方法登錄，而是通過USBKEY身份認(rèn)證的方法登錄操作 系統(tǒng)。USBKEY是一種低成本、便攜的硬件計算機(jī)設(shè)備，它可以通過USB接口與 計算機(jī)連接。USBKEY不需要附加電源，是集智能芯片和讀寫器于一體的USB接 口設(shè)備，基于帶安全操作系統(tǒng)的智能卡技術(shù)，能用來存儲個人信息、PIN、密鑰、 證書等數(shù)據(jù)。其支持多種加密算法，加密運(yùn)算在智能芯片中完成，外部系統(tǒng)無 法跟蹤到密鑰。
USBKEY身傷4人i正過程大致包括如下步驟
41 、系統(tǒng)彈出USBKEY登陸對話框；
2、 插入USBKEY，通過USB接口與計算才幾通信；
3、 計算機(jī)獲取USBKEY信息(如密鑰、PIN碼、證書等)；
4、 用戶在登陸對話框輸入相應(yīng)PIN碼，以效驗；
5、 通過后即可完成身份認(rèn)證。 USBKEY具有如下優(yōu)點
1、 USBKEY身份認(rèn)證具有雙因素安全性，既保證了數(shù)據(jù)信息的加密，又加以 PIN碼效驗；
2、 USBKEY通過計算機(jī)USB通信，速率快、保密性好；
3、 每個USBKEY具有唯一的ID，保證了身份認(rèn)證的唯一性。
基于操作系統(tǒng)的USBKEY身份認(rèn)證登錄，能極大地保證操作系統(tǒng)的安全性。 然而該種計算機(jī)安全防護(hù)方法的缺陷在于，如果非法用戶用其它操作系統(tǒng)啟動 系統(tǒng)，則計算機(jī)系統(tǒng)還是得不到保護(hù)。
綜上所述，目前雖然有了多種系統(tǒng)身份認(rèn)證和訪問控制的方法，但它們有 的只是操作系統(tǒng)層面上的保護(hù)方法，有的則用頻繁改變口令來保護(hù)系統(tǒng)，很多 時候并不能起到真正有效的保護(hù)作用。

發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種有效的計算機(jī)安全防護(hù)方法及系統(tǒng)， 采用該方法/系統(tǒng)，即使非法用戶用其它操作系統(tǒng)來啟動計算機(jī)系統(tǒng)，也能使計 算機(jī)系統(tǒng)得到有效防護(hù)。
為解決上述技術(shù)問題，本發(fā)明方法包括如下步驟
步驟A、在計算機(jī)啟動完成自檢后、載入操作系統(tǒng)之前進(jìn)行BIOS級的USBKEY 身份認(rèn)證；
步驟B、若步驟A所述USBKEY身份認(rèn)證通過則執(zhí)行步驟C,若未通過則不 允許執(zhí)行后續(xù)操作；
步驟C、根據(jù)實際情況決定是否需要進(jìn)行BIOS級設(shè)備管理，如果需要，則進(jìn)行BIOS級設(shè)備管理操作，之后再載入操作系統(tǒng)；如果不需要則直接載入操作 系統(tǒng)。
在所述步驟A中，該BIOS級的USBKEY身份認(rèn)證具體可以為包括如下步驟 步驟A1、判斷是否為合法USBKEY設(shè)備，如果否，則重啟計算機(jī)，如果是， 則進(jìn)行步驟A2;
步驟A2、提示用戶輸入PIN碼；
步驟A3、校驗步驟A2中輸入的PIN碼是否正確，如果正確則身份認(rèn)證通過， 否則錯誤計數(shù)加1;
步驟A4、若錯誤計數(shù)等于某一個預(yù)設(shè)值，則計算機(jī)自動重啟；若錯誤計數(shù) 小于該預(yù)設(shè)值，則返回步驟A2。
在所述步驟C中，BIOS級設(shè)備管理操作具體可以為包括如下步驟
步驟C1、進(jìn)入BIOS級設(shè)備管理菜單，判斯是否進(jìn)行BIOS級設(shè)備管理，如 果否，則所有設(shè)備都默認(rèn)為啟用，載入操作系統(tǒng)；如果是，則執(zhí)行步驟C2;
步驟C2、進(jìn)入設(shè)備啟用選擇界面，用戶輸入本次啟用的設(shè)備編號；
步驟C3、判斷用戶輸入是否正確，如果是，則啟用相應(yīng)設(shè)備，載入操作系 統(tǒng)，如果否，則返回步驟C2。
為解決上述技術(shù)問題，本發(fā)明計算機(jī)安全防護(hù)系統(tǒng)包括
USBKEY身份認(rèn)證模塊和/或設(shè)備管理模塊；
其中，USBKEY身份認(rèn)證模塊用于在計算機(jī)啟動完成自檢后、載入操作系統(tǒng) 之前進(jìn)行USBKEY身份認(rèn)證；
如果該安全防護(hù)系統(tǒng)不包括USBKEY身份認(rèn)證模塊，則設(shè)備管理模塊用于在 計算機(jī)啟動完成自檢后、載入操作系統(tǒng)之前進(jìn)行設(shè)備管理；
如果該安全防護(hù)系統(tǒng)包括USBKEY身份認(rèn)證模塊，則設(shè)備管理模塊用于在所 述USBKEY身份認(rèn)證操作之后、載入操作系統(tǒng)之前進(jìn)行設(shè)備管理。
所述USBKEY身份認(rèn)證模塊和/或設(shè)備管理模塊被植入到基本輸入輸出系統(tǒng) 中，基本輸入輸出系統(tǒng)則增加了防燒寫的自我保護(hù)功能，使本發(fā)明系統(tǒng)更加安全可靠。
該安全防護(hù)系統(tǒng)還可以進(jìn)一步包括操作系統(tǒng)級的安全防護(hù)相關(guān)模塊。
本發(fā)明方法的有益效果為
現(xiàn)有USBKEY都是基于操作系統(tǒng)級的身份認(rèn)證， 一旦操作系統(tǒng)更新、重裝之 后，USBKEY便會失效；而BIOS級的USBKEY身份認(rèn)證技術(shù)，是將USBKEY功能模 塊植入到計算機(jī)原有BIOS程序中，固化到計算機(jī)BIOS芯片上，計算機(jī)重啟自 檢以后，USBKEY功能^t塊即生效。
其次，現(xiàn)有USBKEY身份認(rèn)證策略都是基于操作系統(tǒng)的， 一旦非法用戶利用 其它操作系統(tǒng)訪問，計算機(jī)還是得不到保護(hù)；而BIOS級的USBKEY身份認(rèn)證技 術(shù)，是在計算機(jī)BIOS啟動自檢時進(jìn)行USBKEY身份認(rèn)證，此環(huán)節(jié)無法跳過，保 證USBKEY功能的使用。
再次，現(xiàn)有USBKEY身份認(rèn)證都需要與操作系統(tǒng)下的認(rèn)證程序相配合， 一旦 操作系統(tǒng)受到非法入侵，認(rèn)證程序沒有啟動，則USBKEY將會失效；而BIOS級 的USBKEY身份認(rèn)證技術(shù)，是將USBKEY功能模塊固化到BIOS芯片上，結(jié)合BIOS 防燒寫技術(shù)，保護(hù)BIOS自身安全，使USBKEY功能更具可靠性。
最后，現(xiàn)有的設(shè)備管理方案主要分為兩類 一類是在CMOS中進(jìn)行設(shè)備開啟 或關(guān)閉，其缺陷是每次都必須進(jìn)入CMOS進(jìn)行配置，配置之后還需要重啟計算機(jī)， 這極不方便；另一類是在Windows中進(jìn)行設(shè)備管理，其缺陷是在操作系統(tǒng)啟動 前無法控制設(shè)備，從而為非法用戶訪問計算機(jī)提供可能。而BIOS級的設(shè)備管理 則克服了上述缺陷。


圖1是本發(fā)明方法一個具體實施例的流程圖； 圖2是BIOS級的USBKEY身份認(rèn)證流程示意圖； 圖3是BI0S級的設(shè)備管理流程示意圖。
具體實施例方式
下面結(jié)合附圖和具體實施方式
對本發(fā)明作進(jìn)一步詳細(xì)說明。圖1是本發(fā)明方法一個具體實施例的流程圖，如圖所示，本發(fā)明方法具體
實現(xiàn)過程如下
將遵守BIOS格式的USBKEY身份認(rèn)證功能模塊插入BIOS中；計算機(jī)啟動， 完成BIOS自檢；之后BIOS調(diào)用USBKEY身份認(rèn)證功能模塊，首先檢測USBKEY 是否插入到計算機(jī)的接口上，如果是則進(jìn)行USBKEY身份認(rèn)證，否則提示用戶插 入USBKEY。
USBKEY身份認(rèn)證成功后，進(jìn)入設(shè)備管理菜單，并在設(shè)備管理操作完成后載 入操作系統(tǒng)；USBKEY身份認(rèn)證失敗，則阻止進(jìn)入下一程序。
其中，USBKEY身份認(rèn)證功能模塊植入BIOS的具體實現(xiàn)方式可以為包括如下 步驟
第一步、讀取原始的BIOS鏡像；
第二步、分析BIOS鏡像的模塊結(jié)構(gòu)，搜索空白空間；
第三步、將USBKEY身份認(rèn)證功能模塊插入空白空間，形成新的BIOS鏡像； 第四步、將新的BIOS鏡像燒寫入BIOS芯片中。
圖2是BIOS級的USBKEY身份認(rèn)證流程示意圖，如圖所示，進(jìn)行BIOS級 USBKEY身份認(rèn)證需執(zhí)行如下步驟
步驟l、判斷是否為合法USBKEY設(shè)備，如果否，則重啟計算機(jī)，如果是， 則進(jìn)入步驟2;
步驟2、提示用戶輸入PIN碼；
步驟3、校驗步驟2中輸入的PIN碼是否正確，如果正確則身份認(rèn)證成功， 進(jìn)入BIOS級設(shè)備管理菜單，否則錯誤計數(shù)加1;
步驟4、如果錯誤計數(shù)等于3，計算機(jī)自動重啟；如果錯誤計數(shù)小于3，則 返回步驟2。
圖3是BIOS級的設(shè)備管理流程示意圖，如圖所示，USBKEY身份認(rèn)證通過后， 進(jìn)入BIOS級設(shè)備管理菜單，BIOS級設(shè)備管理步驟如下
步驟l、判斷是否進(jìn)行BIOS級設(shè)備管理，如果否，則所有設(shè)備都默認(rèn)為啟用，載入操作系統(tǒng)，如果是，則進(jìn)行步驟2;步驟2、進(jìn)入設(shè)備啟用選擇界面，用戶輸入本次啟用的設(shè)備編號；步驟3、判斷用戶輸入是否正確，如果是，則啟用相應(yīng)設(shè)備，載入操作系統(tǒng)，如果否，則返回步驟2。本發(fā)明是針對計算機(jī)開機(jī)身份認(rèn)證和設(shè)備管理做出的一種改進(jìn)、增強(qiáng)方法，將現(xiàn)有操作系統(tǒng)級的USBKEY身份認(rèn)證方法進(jìn)行革新，將USBKEY身份認(rèn)證功能模塊植入到BIOS程序中，使其固化到BIOS芯片上，并加以防燒寫的自我保護(hù)功能。增強(qiáng)了計算機(jī)開機(jī)身份認(rèn)證登陸的有效性，安全性。所述BI0S芯片防燒寫可采用以下兩種方案1、 硬件保護(hù)。主板上有硬跳線或開關(guān)，其開啟時能夠進(jìn)行BIOS燒寫操作，否則不能；2、 CM0S設(shè)置。開機(jī)進(jìn)入CMOS設(shè)置，選擇開啟或關(guān)閉BIOS防燒寫。同時，本發(fā)明增加了 BIOS級的設(shè)備管理功能，將設(shè)備管理功能模塊也植入 到計算機(jī)BIOS程序中，計算機(jī)啟動自檢之后，登陸操作系統(tǒng)之前便進(jìn)入設(shè)備管 理菜單，對計算機(jī)設(shè)備進(jìn)行有效管理。以上所述的具體實施例，對本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn) 一步詳細(xì)說明，所應(yīng)注意的是，以上所述僅為本發(fā)明的具體實施例而已，本領(lǐng) 域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求記載的技術(shù)方案 及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動和變型在內(nèi)。9
權(quán)利要求
1、一種基于BIOS即基本輸入輸出系統(tǒng)的計算機(jī)安全防護(hù)方法，其特征在于包括如下步驟步驟A、在計算機(jī)啟動完成自檢后、載入操作系統(tǒng)之前進(jìn)行BIOS級的USBKEY身份認(rèn)證；步驟B、若步驟A所述USBKEY身份認(rèn)證通過則執(zhí)行步驟C，若未通過則不允許執(zhí)行后續(xù)操作；步驟C、根據(jù)實際情況決定是否需要進(jìn)行BIOS級設(shè)備管理，如果需要，則進(jìn)行BIOS級設(shè)備管理操作，之后再載入操作系統(tǒng)；如果不需要則直接載入操作系統(tǒng)。
2、 根據(jù)權(quán)利要求1所述的基于BI0S的計算機(jī)安全防護(hù)方法，其特征在于， 在所述步驟A中，該BIOS級的USBKEY身份認(rèn)證具體可以為包括如下步驟步驟A1、判斷是否為合法USBKEY設(shè)備，如果否，則重啟計算機(jī)，如果是， 則進(jìn)行步驟A2;步驟A2、提示用戶輸入PIN碼；步驟A3、校驗步驟A2中輸入的PIN碼是否正確，如果正確則身份認(rèn)證通過， 否則錯誤計數(shù)加1;步驟A4、若錯誤計數(shù)等于某一個預(yù)設(shè)值，則計算機(jī)自動重啟；若錯誤計數(shù) 小于該預(yù)設(shè)值，則返回步驟A2。
3、 根據(jù)權(quán)利要求1或2所述的基于BIOS的計算機(jī)安全防護(hù)方法，其特征 在于，在所述步驟C中，BIOS級設(shè)備管理操作具體為包括如下步驟步驟C1、進(jìn)入BI0S級設(shè)備管理菜單，判斷是否進(jìn)行BIOS級設(shè)備管理，如 果否，則所有設(shè)備都默認(rèn)為啟用，載入操作系統(tǒng)；如果是，則執(zhí)行步驟C2; 步驟C2、進(jìn)入設(shè)備啟用選擇界面，用戶輸入本次啟用的設(shè)備編號； 步驟C3、判斷用戶輸入是否正確，如果是，則啟用相應(yīng)設(shè)備，載入操作系統(tǒng)，如果否，則返回步驟C2。
4、 一種基于BIOS的計算機(jī)安全防護(hù)系統(tǒng)，其特征在于 該系統(tǒng)包括USBKEY身份認(rèn)證模塊和/或設(shè)備管理模塊；其中，USBKEY身份認(rèn)證模塊用于在計算機(jī)啟動完成自檢后、載入操作系統(tǒng) 之前進(jìn)行USBKEY身份認(rèn)證；如果該安全防護(hù)系統(tǒng)不包括USBKEY身份認(rèn)證模塊，則設(shè)備管理模塊用于在 計算機(jī)啟動完成自檢后、載入操作系統(tǒng)之前進(jìn)行設(shè)備管理；如果該安全防護(hù)系統(tǒng)包括USBKEY身份認(rèn)證模塊，則設(shè)備管理模塊用于在所 述USBKEY身份認(rèn)證操作之后、載入操作系統(tǒng)之前進(jìn)行設(shè)備管理。
5、 根據(jù)權(quán)利要求4所述的基于BI0S的計算機(jī)安全防護(hù)系統(tǒng)，其特征在于 所述USBKEY身份認(rèn)證模塊和/或設(shè)備管理模塊被植入到基本輸入輸出系統(tǒng)中；基本輸入輸出系統(tǒng)具有防燒寫的自我保護(hù)功能。
6、 根據(jù)權(quán)利要求4或5所述的基于BIOS的計算機(jī)安全防護(hù)系統(tǒng)，其特征在于該系統(tǒng)還包括操作系統(tǒng)級的安全防護(hù)相關(guān)模塊。
全文摘要
本發(fā)明公開了一種BIOS級的計算機(jī)安全防護(hù)方法及系統(tǒng)，方法包括A、在計算機(jī)啟動完成自檢后、載入操作系統(tǒng)之前進(jìn)行USBKEY身份認(rèn)證；B、若身份認(rèn)證通過則執(zhí)行步驟C，若未通過則不允許執(zhí)行后續(xù)操作；C、判斷是否需要進(jìn)行BIOS級設(shè)備管理，是則執(zhí)行BIOS級設(shè)備管理操作，之后載入操作系統(tǒng)；否則直接載入操作系統(tǒng)。系統(tǒng)包括USBKEY身份認(rèn)證模塊和設(shè)備管理模塊；USBKEY身份認(rèn)證模塊用于在計算機(jī)啟動完成自檢后、載入操作系統(tǒng)前進(jìn)行USBKEY身份認(rèn)證；設(shè)備管理模塊用于在身份認(rèn)證之后、載入操作系統(tǒng)前進(jìn)行設(shè)備管理。USBKEY身份認(rèn)證模塊和設(shè)備管理模塊均被植入BIOS中，BIOS有防燒寫功能。
文檔編號G06F9/445GK101673330SQ200810119930
公開日2010年3月17日 申請日期2008年9月10日 優(yōu)先權(quán)日2008年9月10日
發(fā)明者肖繼烈 申請人:中國瑞達(dá)系統(tǒng)裝備公司