專利名稱:基于身份認(rèn)證的計(jì)算機(jī)安全及加密的實(shí)現(xiàn)方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)及信息技術(shù)領(lǐng)域�����,具體涉及基于身份認(rèn)證的計(jì)算機(jī)安全及加密的實(shí)現(xiàn)方法和裝置�。
背景技術(shù):
隨著計(jì)算機(jī)在各個(gè)領(lǐng)域的廣泛應(yīng)用和網(wǎng)絡(luò)的發(fā)展,信息安全問(wèn)題顯得越來(lái)越重要了�����。從通信安保密�、計(jì)算機(jī)安全保密�����,直到信息系統(tǒng)的安全保密,社會(huì)的發(fā)展對(duì)安全保密的研究提出了越來(lái)越高的要求�。對(duì)于個(gè)人、商用等計(jì)算機(jī)�,尤其便攜式計(jì)算機(jī),僅僅依靠操作系統(tǒng)的安全保護(hù)是遠(yuǎn)遠(yuǎn)不夠的�����,可靠的用戶身份識(shí)別才是系統(tǒng)安全的最好屏障��。
中國(guó)專利申請(qǐng)00132142“計(jì)算機(jī)安全系統(tǒng)及其啟動(dòng)方法”公開的安全系統(tǒng)包括一儲(chǔ)存識(shí)別數(shù)據(jù)的存儲(chǔ)器�;一儲(chǔ)存密碼的智能卡;一儲(chǔ)存?zhèn)浞菝艽a的備份媒體��;一用于處理識(shí)別數(shù)據(jù)���、密碼及備份密碼的處理裝置����;智能卡及備份媒體分別經(jīng)讀卡機(jī)及軟盤驅(qū)動(dòng)器連接計(jì)算機(jī)��。該發(fā)明根據(jù)智能卡判斷用戶合法性�����。中國(guó)專利申請(qǐng)00121544“計(jì)算機(jī)安全認(rèn)證智能密鑰”公開了對(duì)服務(wù)器端用戶的秘密值采用對(duì)稱加密算法進(jìn)行加密存貯,其加密密鑰和原始秘密值保存在該用戶的存儲(chǔ)介質(zhì)上�����;被加密的用戶秘密值和加密密鑰分開存貯���;又在認(rèn)證協(xié)議驗(yàn)證過(guò)程中��,引入非對(duì)稱加密技術(shù)���,產(chǎn)生臨時(shí)密鑰對(duì),來(lái)保證加密該用戶秘密值的密鑰傳遞安全性�。
這些發(fā)明均未公開利用主板BIOS實(shí)現(xiàn)系統(tǒng)安全和身份認(rèn)證,而需要增加其它硬件成本����。因此,希望有開機(jī)身份認(rèn)證����、系統(tǒng)安全檢查以及硬盤數(shù)據(jù)加密等模塊都是完全集成在BIOS中,它的具體操作獨(dú)立于主板的其它部件��,應(yīng)用靈活;和基于主板硬件級(jí)別的密鑰產(chǎn)生和管理��,唯一性好����,安全度高�����。密鑰的產(chǎn)生是有主板硬件的一些唯一標(biāo)識(shí)運(yùn)算產(chǎn)生��,并保存在BIOS中�,不易被破解的方法和裝置。
發(fā)明內(nèi)容
本發(fā)明的目的是克服現(xiàn)有技術(shù)中的缺點(diǎn)��,提供一種基于身份認(rèn)證的計(jì)算機(jī)安全及加密的實(shí)現(xiàn)方法����,可以非常可靠地根據(jù)用戶提供的密碼���、指紋或磁卡實(shí)現(xiàn)開機(jī)的身份認(rèn)證和硬盤數(shù)據(jù)加密���。
本發(fā)明提供一種基于身份認(rèn)證的計(jì)算機(jī)安全及加密的實(shí)現(xiàn)方法���,包括步驟認(rèn)證用戶身份;驗(yàn)證硬件安全��;產(chǎn)生一個(gè)隨機(jī)數(shù)作為動(dòng)態(tài)密鑰輸出��;從硬盤隱藏分區(qū)讀出加密內(nèi)容���;解密加密內(nèi)容并將其放于分區(qū)表和根目錄位置�����;BIOS程序跳至硬盤引導(dǎo)分區(qū)并把控制權(quán)交給操作系統(tǒng)���。
可選地,還包括步驟產(chǎn)生密鑰包括用戶密鑰和系統(tǒng)自身的密鑰�,用戶密鑰由用戶管理;系統(tǒng)根密鑰由主板上的硬件參數(shù)網(wǎng)卡MAC地址號(hào)�、主板序列號(hào)和主板信號(hào)產(chǎn)生。
優(yōu)選地���,還包括步驟產(chǎn)生硬盤加密密鑰��,包括靜態(tài)密鑰和動(dòng)態(tài)密鑰�,存放在硬盤上由系統(tǒng)BIOS記錄且不公開的位置。
可選地�����,還包括步驟在準(zhǔn)備退出操作系統(tǒng)時(shí)�����,BIOS取得控制權(quán)�,將當(dāng)前引導(dǎo)分區(qū)和根目錄內(nèi)容密后放置隱藏分區(qū)��,并刪除當(dāng)前的內(nèi)容��。
優(yōu)選地���,所述驗(yàn)證硬件安全的步驟包括出廠時(shí)記錄系統(tǒng)硬件配置初始值����,以獲得初始驗(yàn)證值�����;用戶根據(jù)需要修改驗(yàn)證值�����。
可選地,配置的初始值包括規(guī)格�、型號(hào)和序列號(hào)。
優(yōu)選地���,所述認(rèn)證用戶身份的步驟包括比較由系統(tǒng)BIOS中身份認(rèn)證模塊產(chǎn)生的隨機(jī)字符串和用戶字符串計(jì)算獲得的應(yīng)答字符串與認(rèn)證模塊產(chǎn)生的字符串�。
可選地��,所述由系統(tǒng)BIOS中身份認(rèn)證模塊產(chǎn)生的隨機(jī)字符串和用戶字符串計(jì)算獲得的應(yīng)答字符串的步驟包括存在用戶外部介質(zhì)中的應(yīng)答程序獲得所述隨機(jī)字符串后用預(yù)定的算法獲得應(yīng)答字符串��。
優(yōu)選地�,所述由系統(tǒng)BIOS中身份認(rèn)證模塊產(chǎn)生的隨機(jī)字符串和用戶字符串計(jì)算獲得的應(yīng)答字符串的步驟包括系統(tǒng)要求用戶輸入所述用戶字符串。
本發(fā)明還提供一種基于身份認(rèn)證的計(jì)算機(jī)安全及加密的裝置�,包括密鑰存儲(chǔ)裝置,所述密鑰存儲(chǔ)由用戶和系統(tǒng)BIOS共同實(shí)現(xiàn)��,所述密鑰包括系統(tǒng)的配置參數(shù)�;硬件安全檢測(cè)裝置,用于驗(yàn)證硬件的參數(shù)是否與存儲(chǔ)的密鑰一致��;身份認(rèn)證裝置�����,用于根據(jù)用戶輸入的信息,確定用戶是否為合法用戶�����;
加密引擎裝置�,用于利用所述密鑰對(duì)硬盤數(shù)據(jù)進(jìn)行加密。
可選地��,其中所述身份認(rèn)證裝置包括碼認(rèn)證裝置����,用于根據(jù)用戶輸入的信號(hào)碼����,確定用戶的合法性;或指紋識(shí)別裝置�,用于根據(jù)用戶輸入的指紋,確定用戶的合法性����;或存儲(chǔ)認(rèn)證裝置,用于根據(jù)用戶的便攜存儲(chǔ)器中存儲(chǔ)的信息����,確定用戶的合法性���。
利用本發(fā)明,實(shí)現(xiàn)了開機(jī)身份認(rèn)證��、系統(tǒng)安全檢查以及硬盤數(shù)據(jù)加密等模塊都是完全集成在BIOS中���,具體操作獨(dú)立于主板的其它部件����,應(yīng)用靈活�����。本發(fā)明的基于主板硬件級(jí)別的密鑰產(chǎn)生和管理��,唯一性好����,提高了安全度,不易被破解���。
圖1描繪了本發(fā)明的實(shí)施例中身份認(rèn)證的密鑰和硬盤數(shù)據(jù)的加密根密鑰產(chǎn)生的流程圖����;圖2示出了本發(fā)明的實(shí)施例的動(dòng)態(tài)口令進(jìn)行二次認(rèn)證的流程圖;圖3示出本發(fā)明實(shí)施例的硬盤加密密鑰的產(chǎn)生流程圖�����;圖4示出本發(fā)明實(shí)施例的身份認(rèn)證模塊的利用其它存儲(chǔ)介質(zhì)工作流程圖����;圖5描繪了本發(fā)明實(shí)施例的每次啟動(dòng)時(shí)系統(tǒng)要求輸入所設(shè)的口令并進(jìn)一步驗(yàn)證系統(tǒng)上次輸出的動(dòng)態(tài)密鑰的流程圖。
具體實(shí)施例方式
本發(fā)明的實(shí)施例的裝置中包含密鑰存儲(chǔ)��、硬件安全檢測(cè)���、身份認(rèn)證��、加密引擎和硬盤加密五個(gè)功能模塊,其中加密引擎采用DES(Data Encryption Standard��,數(shù)據(jù)加密標(biāo)準(zhǔn))和IDEA(IDEAInternational Data Encryption Algorithm���,國(guó)際數(shù)據(jù)加密算法)兩種算法�����,都是已有技術(shù)�,本文不詳細(xì)描述。密鑰存儲(chǔ)是由用戶和系統(tǒng)BIOS共同完成的�����,如果密鑰是指紋識(shí)別則不需要用其它介質(zhì)保存用戶密鑰���;身份認(rèn)證模塊根據(jù)用戶提供的密鑰(包括指紋�、密碼�、磁卡),通過(guò)加密算法判斷是否為合法用戶�;加密引擎的功能是實(shí)現(xiàn)對(duì)硬盤數(shù)據(jù)的加密解密本發(fā)明的實(shí)施例的實(shí)施方法與步驟(1)用戶擁有一個(gè)自己的密鑰,每次啟動(dòng)時(shí)使用這個(gè)密鑰�,BIOS中的安全模塊會(huì)用這個(gè)密碼用RSA(公共秘鑰算法,由Rivest/Shamir/Adleman所提出)算法對(duì)用戶進(jìn)行認(rèn)證���,如果是非法用戶�����,立即停止啟動(dòng)�����;(2)密鑰管理和身份認(rèn)證為提高安全性和反跟蹤性�����,采用密鑰動(dòng)態(tài)存儲(chǔ)方法�。每次合法開機(jī)后,由當(dāng)時(shí)的實(shí)時(shí)時(shí)鐘產(chǎn)生一個(gè)隨機(jī)數(shù)��,用戶保存此隨機(jī)數(shù)���,根據(jù)此隨機(jī)數(shù)計(jì)算得出一個(gè)可以的放置密鑰的位置并把密鑰放在BIOS FLASH ROM的該位置���,刪除原來(lái)位置的密鑰。下次開機(jī)認(rèn)證時(shí)用戶提供自己的認(rèn)證密鑰和已存的隨機(jī)數(shù)才可以開機(jī)�。
同樣,對(duì)于需要刷新的BIOS或需要更換系統(tǒng)硬件設(shè)備�����,也提供類似的認(rèn)證方法���。具體地說(shuō),用戶初次開機(jī)時(shí)必須提供出廠時(shí)提供的用戶名和靜態(tài)口令���,同時(shí)被要求立即修改認(rèn)證信息(包括用戶名和密鑰)��,此時(shí)用戶輸入的密鑰即為以后的開機(jī)身份認(rèn)證密鑰��。
刷新系統(tǒng)BIOS前要求用戶輸入密鑰��,刷新后輸出一個(gè)臨時(shí)口令給用戶���,隨即重新啟動(dòng)系統(tǒng)�����,在重起過(guò)程中只有輸入這個(gè)臨時(shí)口令才能繼續(xù)啟動(dòng)��,同時(shí)用戶將被要求立即更改認(rèn)證信息(包括用戶名和密鑰)���。
對(duì)于已經(jīng)更換硬件的系統(tǒng),BIOS中的安全模塊會(huì)提示用戶硬件已更換�,并列出更換的列表,詢問(wèn)用戶是否認(rèn)可設(shè)備更換�,如果認(rèn)可則需再次輸入密鑰,系統(tǒng)重新計(jì)算出針對(duì)新硬件設(shè)備的根密鑰和用戶認(rèn)證密鑰并輸出給用戶����,之后重新啟動(dòng)要求用戶更改開機(jī)認(rèn)證信息��。
(3)每次啟動(dòng)檢測(cè)系統(tǒng)關(guān)鍵設(shè)備(包括硬盤����、光驅(qū)���、網(wǎng)卡)�����,判斷是否最初所設(shè)定的安全系統(tǒng)是否有設(shè)備被非法更換等等��,如有問(wèn)題����,進(jìn)行記錄�����、警告并拒絕繼續(xù)啟動(dòng)�;(4)安全模塊每次退出系統(tǒng)時(shí)把當(dāng)時(shí)的分區(qū)表和目錄信息加密后放在硬盤的隱藏分區(qū)內(nèi),在前兩個(gè)步驟通過(guò)后��,即解密隱藏分區(qū)的內(nèi)容���,并把它放在在可引導(dǎo)操作系統(tǒng)的位置����,這樣就可以安全正確地啟動(dòng)到操作系統(tǒng)了���。
為了便于本領(lǐng)域一般技術(shù)人員實(shí)施和理解本發(fā)明��,現(xiàn)結(jié)合附圖通過(guò)實(shí)施例描繪本發(fā)明�,應(yīng)該知道�����,本發(fā)明并不限于這里描繪的實(shí)施例���。
本發(fā)明實(shí)施例的密鑰管理模塊包括用戶密鑰和系統(tǒng)自身的密鑰��,用戶密鑰由用戶管理�。系統(tǒng)根密鑰由主板上的硬件參數(shù)網(wǎng)卡MAC地址號(hào)��、主板序列號(hào)和主板信號(hào)產(chǎn)生的隨機(jī)參數(shù)通過(guò)算法得出�,密鑰位數(shù)為1024位,分成兩個(gè)子密鑰����,一個(gè)作為身份認(rèn)證的密鑰�,另一個(gè)作為硬盤數(shù)據(jù)的加密根密鑰�。
圖1描繪了本發(fā)明的實(shí)施例中身份認(rèn)證的密鑰和硬盤數(shù)據(jù)的加密根密鑰產(chǎn)生的流程圖。通常在計(jì)算機(jī)整機(jī)出廠前��,需要進(jìn)行密鑰計(jì)算��。Mac地址一般都采用6字節(jié)48bit�����,硬盤序列號(hào)60字節(jié)480bit����,主板序列號(hào)(不同廠家可能有不同,這里同一要求25字節(jié))25字節(jié)�,內(nèi)存出廠信息及序列號(hào)64字節(jié)(這里只取其中206bit),將這些字節(jié)依次排列后得一至少為1024位的系統(tǒng)標(biāo)識(shí)數(shù)�����,用一個(gè)隨機(jī)數(shù)(例如此時(shí)的CPU內(nèi)部的時(shí)鐘64bit)作為加密密鑰對(duì)以上標(biāo)識(shí)數(shù)進(jìn)行DES加密所得的即可作為根密鑰�。由這個(gè)根密鑰再產(chǎn)生用戶的身份認(rèn)證和硬盤加密的靜態(tài)密鑰。
在本發(fā)明的實(shí)施例中,用戶身份認(rèn)證密鑰分為靜態(tài)密鑰(即口令)和動(dòng)態(tài)口令��。用戶身份認(rèn)證的靜態(tài)密鑰是由產(chǎn)生的系統(tǒng)根密鑰進(jìn)一步產(chǎn)生的(見圖1)�。本例中為系統(tǒng)根密鑰利用密碼盒(即給定的矩陣)進(jìn)行線性變換產(chǎn)生的128位序列碼�����,該密鑰出廠時(shí)由用戶保管�,用于用戶第一次開機(jī)。也可以存在軟盤����、USB閃存或IC卡中直接交給用戶。用戶在第一次上電后可以自行修改該口令�����,系統(tǒng)BIOS中密鑰管理模塊負(fù)責(zé)記憶此口令����。為了確保系統(tǒng)安全開機(jī),本發(fā)明采用了動(dòng)態(tài)口令進(jìn)行二次認(rèn)證��,圖2示出了本發(fā)明的實(shí)施例的動(dòng)態(tài)口令進(jìn)行二次認(rèn)證的流程圖��。在本發(fā)明的實(shí)施例中�����,分別由以下兩種途徑實(shí)現(xiàn)第一種,利用其它存儲(chǔ)介質(zhì)(軟盤��、U盤或IC卡)�,實(shí)現(xiàn)挑戰(zhàn)/應(yīng)答式的身份認(rèn)證,用戶只需妥善保管此介質(zhì)��,詳細(xì)的實(shí)現(xiàn)步驟參見身份認(rèn)證模塊說(shuō)明;第二種,每次認(rèn)證通過(guò)準(zhǔn)備進(jìn)入操作系統(tǒng)前產(chǎn)生一個(gè)隨機(jī)數(shù)(例如當(dāng)時(shí)的系統(tǒng)時(shí)間)���,利用該隨機(jī)數(shù)對(duì)靜態(tài)密鑰進(jìn)行DES加密產(chǎn)生一動(dòng)態(tài)密鑰輸出給用戶,下次認(rèn)證時(shí)需提供該密鑰。
圖3示出本發(fā)明實(shí)施例的硬盤加密密鑰的產(chǎn)生流程圖����。為了提高安全性和防跟蹤性�����,也需要靜態(tài)密鑰和動(dòng)態(tài)密鑰�����,均放在硬盤的隱藏分區(qū)上,其在硬盤的位置由系統(tǒng)BIOS中(F000:0000-F000:FFFF段的可用位置)記錄����,這個(gè)位置不對(duì)外公開。硬盤加密的靜態(tài)密鑰類似用戶認(rèn)證的靜態(tài)密鑰����,由系統(tǒng)的根密鑰通過(guò)另外一個(gè)密碼盒(變換矩陣)變換得出��,用于系統(tǒng)出廠前的硬盤加密和用戶第一次使用時(shí)的解密�。動(dòng)態(tài)密鑰則是以后每次硬盤加密的密鑰。每一次硬盤解密成功后����,系統(tǒng)BIOS根據(jù)當(dāng)時(shí)的系統(tǒng)時(shí)間產(chǎn)生一個(gè)隨機(jī)數(shù)對(duì)當(dāng)前存在硬盤中的靜態(tài)密鑰進(jìn)行DES加密變換產(chǎn)生新的密鑰(同時(shí)也可以變換存儲(chǔ)位置)替換當(dāng)前密鑰,成為新的硬盤加密密鑰��。如果使用外部介質(zhì)則可以利用外部介質(zhì)存儲(chǔ)動(dòng)態(tài)加密密鑰�����。
在本發(fā)明中���,對(duì)硬盤加密模塊采取動(dòng)態(tài)密鑰加密有效防止通過(guò)跟蹤或反匯編破解�����,同時(shí)加密密鑰是根據(jù)本主板上的器件產(chǎn)生的��,硬盤放到其它主板上都無(wú)法正確讀取其內(nèi)容�����。
本發(fā)明的身份認(rèn)證模塊負(fù)責(zé)開機(jī)用戶的身份認(rèn)證����,所需密鑰為前面描述的用戶口令和動(dòng)態(tài)口令。在本發(fā)明的實(shí)施例中����,有兩種認(rèn)證方法,圖4示出本發(fā)明實(shí)施例的身份認(rèn)證模塊的利用其它存儲(chǔ)介質(zhì)工作流程圖�。在這個(gè)實(shí)施例中,利用其它存儲(chǔ)介質(zhì)(軟盤�����、U盤或IC卡)可以實(shí)現(xiàn)挑戰(zhàn)/應(yīng)答機(jī)制的身份認(rèn)證�����,由系統(tǒng)BIOS中的身份認(rèn)證模塊實(shí)時(shí)產(chǎn)生一個(gè)隨機(jī)字符串,存在外部介質(zhì)中的應(yīng)答程序獲得這個(gè)字符串后用特定的算法計(jì)算得出一個(gè)應(yīng)答字符串�����,認(rèn)證模塊也利用自己的相同算法得出一個(gè)字符串�,之后對(duì)比這兩個(gè)字符串,相同則認(rèn)證通過(guò)�����,否則不通過(guò)�。在這種方法中,認(rèn)證模塊應(yīng)把當(dāng)前的動(dòng)態(tài)密鑰D3同時(shí)存放在BIOS和外部介質(zhì)中����,這種認(rèn)證方法的安全程度很高���。
圖5描繪了本發(fā)明實(shí)施例的每次啟動(dòng)時(shí)系統(tǒng)要求輸入所設(shè)的口令并進(jìn)一步驗(yàn)證系統(tǒng)上次輸出的動(dòng)態(tài)密鑰的流程圖�����。每次啟動(dòng)時(shí)系統(tǒng)要求輸入步驟所設(shè)的口令并進(jìn)一步驗(yàn)證系統(tǒng)上次輸出的動(dòng)態(tài)密鑰����,嵌入在系統(tǒng)BIOS中的安全模塊會(huì)用這個(gè)密碼和自身的認(rèn)證子密鑰通過(guò)認(rèn)證算法對(duì)用戶進(jìn)行認(rèn)證,如果是非法用戶�����,立即停止啟動(dòng)���。
在本發(fā)明中�����,硬件安全檢測(cè)模塊出廠時(shí)記錄系統(tǒng)硬件配置初始值����,包括規(guī)格����、型號(hào)和序列號(hào)等,通過(guò)安全驗(yàn)證算法得出一驗(yàn)證值���,每次上電對(duì)當(dāng)前的硬件檢測(cè)并計(jì)算起驗(yàn)證值�����,如果與上一次的正確的驗(yàn)證值不符�����,認(rèn)為系統(tǒng)有硬件被非法更換����,立即停止系統(tǒng)啟動(dòng),以防系統(tǒng)信息丟失��。如果是合法用戶的系統(tǒng)變更���,進(jìn)一步認(rèn)證�,并在變更后重新計(jì)算并存儲(chǔ)驗(yàn)證值和根密鑰等���。具體的做法如下將第一次啟動(dòng)時(shí)系統(tǒng)設(shè)備及關(guān)鍵參數(shù)存入BIOS中���,以后每次啟動(dòng)與之比較���,即可知道系統(tǒng)是否被更換過(guò)����。
硬盤加密模塊每次退出系統(tǒng)之前把當(dāng)時(shí)的分區(qū)表和根目錄信息加密(本例中用IDEA加密算法)后放在硬盤的隱藏分區(qū)內(nèi)��,在前面幾個(gè)啟動(dòng)步驟通過(guò)后,即解密隱藏分區(qū)的內(nèi)容�,并把它放在原來(lái)的位置,這樣就可以安全正確地啟動(dòng)到操作系統(tǒng)了�����。
為保障系統(tǒng)的安全性�,要求BIOS寫保護(hù),在BIOS中加入寫保護(hù)程序�����,對(duì)除合法刷寫工具的其它程序禁止寫入��。
利用本發(fā)明��,其安全性體現(xiàn)在三個(gè)方面1����、密鑰的保存都是由系統(tǒng)BIOS實(shí)現(xiàn)的,密鑰的產(chǎn)生依賴于主板上硬件的參數(shù)��,許多參數(shù)是唯一的���,這樣就可以確保密鑰的唯一性和安全性���;第二����、硬件安全檢測(cè)模塊對(duì)于非法的硬件變更起到了保護(hù)作用�,這樣不但阻止非法進(jìn)入系統(tǒng),更有利于系統(tǒng)硬件的保護(hù)��;第三�、硬盤上的加密數(shù)據(jù)只有在本機(jī)才能取得正確的密鑰從而解密,放到其它系統(tǒng)均無(wú)法解密����,這樣即使希望暴力打開計(jì)算機(jī)取出硬盤讀出數(shù)據(jù)也是不可能的。
2��、對(duì)硬盤加密又不影響硬盤的正常使用�,不占用系統(tǒng)資源目前較安全的做法是直接對(duì)寫到IDE硬盤的數(shù)據(jù)實(shí)時(shí)加密,但這樣會(huì)降低系統(tǒng)速度�����,而且對(duì)加密芯片的要求非常高���,因?yàn)樗苯佑绊懙较到y(tǒng)性能�。本方案在啟動(dòng)進(jìn)入OS和退出OS時(shí)會(huì)引起一定的延時(shí)�����,主要是因?yàn)榘踩K會(huì)檢測(cè)系統(tǒng)安全性恢復(fù)或加密硬盤分區(qū)和目錄但時(shí)間很短�,用戶不易察覺(jué),在系統(tǒng)運(yùn)行當(dāng)中不會(huì)增加任何運(yùn)行負(fù)擔(dān)��。
3�、不需要附加復(fù)雜外設(shè)就可以完成安全功能目前基于硬件的安全措施都需要另外加技術(shù)要求較高的設(shè)備完成,增加了成本和使用難度���。本方案所設(shè)計(jì)的安全模塊都放在系統(tǒng)BIOS和硬盤的隱藏分區(qū)內(nèi)����,并且充分利用了BIOS對(duì)IDE的控制����,對(duì)硬盤進(jìn)行加密和恢復(fù);所有工作都可以不增加其它外設(shè)或只增加簡(jiǎn)單的外設(shè)完成����,既節(jié)約成本,又減少了對(duì)設(shè)備的兼容和管理。
可以完全利用主板BIOS實(shí)現(xiàn)系統(tǒng)安全和身份認(rèn)證����,不增加其它硬件成本。開機(jī)身份認(rèn)證���、系統(tǒng)安全檢查以及硬盤數(shù)據(jù)加密等模塊都是完全集成在BIOS中��,它的具體操作獨(dú)立于主板的其它部件���,應(yīng)用靈活。
基于主板硬件級(jí)別的密鑰產(chǎn)生和管理����,唯一性好,安全度高�。密鑰的產(chǎn)生是有主板硬件的一些唯一標(biāo)識(shí)運(yùn)算產(chǎn)生,并保存在BIOS中��,不易被破解�。而目前大多數(shù)的安全系統(tǒng)都采用智能卡或USB等存儲(chǔ)設(shè)備存儲(chǔ)密鑰,易丟失和破損��,同時(shí)增加了密鑰管理的風(fēng)險(xiǎn)����。
對(duì)硬盤的加密解密不占用系統(tǒng)資源,大部分軟件或硬件產(chǎn)品實(shí)現(xiàn)對(duì)數(shù)據(jù)加密都要占用CPU和內(nèi)存資源�,本發(fā)明所采用的方法對(duì)硬盤數(shù)據(jù)的加密在操作系統(tǒng)下不占用任何資源,不影響系統(tǒng)性能�����,在用戶在不知不覺(jué)中實(shí)現(xiàn)數(shù)據(jù)加密�。
為加強(qiáng)系統(tǒng)硬件安全,加入硬件安全檢查的功能�,檢查系統(tǒng)設(shè)備是否被非法更換,用戶可以在每次上電時(shí)都知曉自己的電腦硬件是否安全正常�����,并對(duì)非法侵犯有跡可尋��。
雖然通過(guò)實(shí)施例描繪了本發(fā)明���,本領(lǐng)域普通技術(shù)人員知道�,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神���,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神��。
權(quán)利要求
1.一種基于身份認(rèn)證的計(jì)算機(jī)安全及加密的實(shí)現(xiàn)方法���,包括步驟認(rèn)證用戶身份�����;驗(yàn)證硬件安全�����;產(chǎn)生一個(gè)隨機(jī)數(shù)作為動(dòng)態(tài)密鑰輸出���;從硬盤隱藏分區(qū)讀出加密內(nèi)容;解密加密內(nèi)容并將其放于分區(qū)表和根目錄位置�;BIOS程序跳至硬盤引導(dǎo)分區(qū)并把控制權(quán)交給操作系統(tǒng)。
2.如權(quán)利要求1所述的方法���,其中���,還包括步驟產(chǎn)生密鑰包括用戶密鑰和系統(tǒng)自身的密鑰,用戶密鑰由用戶管理��;系統(tǒng)根密鑰由主板上的硬件參數(shù)網(wǎng)卡MAC地址號(hào)�����、主板序列號(hào)和主板信號(hào)產(chǎn)生。
3.如權(quán)利要求1所述的方法��,還包括步驟產(chǎn)生硬盤加密密鑰����,包括靜態(tài)密鑰和動(dòng)態(tài)密鑰�����,存放在硬盤上由系統(tǒng)BIOS記錄且不公開的位置��。
4.如權(quán)利要求1所述的方法����,其中,還包括步驟在準(zhǔn)備退出操作系統(tǒng)時(shí)�����,BIOS取得控制權(quán)����,將當(dāng)前引導(dǎo)分區(qū)和根目錄內(nèi)容密后放置隱藏分區(qū)����,并刪除當(dāng)前的內(nèi)容�。
5.如權(quán)利要求1所述的方法,其中��,所述驗(yàn)證硬件安全的步驟包括出廠時(shí)記錄系統(tǒng)硬件配置初始值����,以獲得初始驗(yàn)證值;用戶根據(jù)需要修改驗(yàn)證值����。
6.如權(quán)利要求1所述的方法,其中所述認(rèn)證用戶身份的步驟包括比較由系統(tǒng)BIOS中身份認(rèn)證模塊產(chǎn)生的隨機(jī)字符串和用戶字符串計(jì)算獲得的應(yīng)答字符串與認(rèn)證模塊產(chǎn)生的字符串��。
7.如權(quán)利要求6所述的方法�,其中,所述由系統(tǒng)BIOS中身份認(rèn)證模塊產(chǎn)生的隨機(jī)字符串和用戶字符串計(jì)算獲得的應(yīng)答字符串的步驟包括存在用戶外部介質(zhì)中的應(yīng)答程序獲得所述隨機(jī)字符串后用預(yù)定的算法獲得應(yīng)答字符串�。
8.如權(quán)利要求6所述的方法,其中��,所述由系統(tǒng)BIOS中身份認(rèn)證模塊產(chǎn)生的隨機(jī)字符串和用戶字符串計(jì)算獲得的應(yīng)答字符串的步驟包括系統(tǒng)要求用戶輸入所述用戶字符串�。
9.一種基于身份認(rèn)證的計(jì)算機(jī)安全及加密的裝置,包括密鑰存儲(chǔ)裝置���,所述密鑰存儲(chǔ)由用戶和系統(tǒng)BIOS共同實(shí)現(xiàn)�����,所述密鑰包括系統(tǒng)的配置參數(shù)�;硬件安全檢測(cè)裝置,用于驗(yàn)證硬件的參數(shù)是否與存儲(chǔ)的密鑰一致��;身份認(rèn)證裝置�����,用于根據(jù)用戶輸入的信息����,確定用戶是否為合法用戶���;加密引擎裝置����,用于利用所述密鑰對(duì)硬盤數(shù)據(jù)進(jìn)行加密���。
10.如權(quán)利要求9所述的裝置�,其中所述身份認(rèn)證裝置包括碼認(rèn)證裝置,用于根據(jù)用戶輸入的信號(hào)碼����,確定用戶的合法性;或指紋識(shí)別裝置�����,用于根據(jù)用戶輸入的指紋���,確定用戶的合法性�����;或存儲(chǔ)認(rèn)證裝置��,用于根據(jù)用戶的便攜存儲(chǔ)器中存儲(chǔ)的信息�����,確定用戶的合法性����。
全文摘要
本發(fā)明提供了一種基于身份認(rèn)證的計(jì)算機(jī)安全及加密的實(shí)現(xiàn)方法和裝置�����。該方法包括認(rèn)證用戶身份;驗(yàn)證硬件安全��;產(chǎn)生一個(gè)隨機(jī)數(shù)作為動(dòng)態(tài)密鑰輸出�����;從硬盤隱藏分區(qū)讀出加密內(nèi)容����;解密加密內(nèi)容并將其放于分區(qū)表和根目錄位置;BIOS程序跳至硬盤引導(dǎo)分區(qū)并把控制權(quán)交給操作系統(tǒng)���。裝置包括密鑰存儲(chǔ)裝置,硬件安全檢測(cè)裝置����;身份認(rèn)證裝置,加密引擎裝置�����。本發(fā)明應(yīng)用靈活���,提高了系統(tǒng)安全性���。
文檔編號(hào)G06F12/14GK1527208SQ0313482
公開日2004年9月8日 申請(qǐng)日期2003年9月25日 優(yōu)先權(quán)日2003年9月25日
發(fā)明者徐順利 申請(qǐng)人:聯(lián)想(北京)有限公司