專利名稱：一種基于USB key的BIOS認(rèn)證方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計算機(jī)安全啟動及身份認(rèn)證，具體來說，涉及一種基于USB key的 BIOS認(rèn)證方法。
背景技術(shù)：
目前單機(jī)環(huán)境下常用的用戶身份認(rèn)證方法主要有兩種，其一是基于操作系統(tǒng)的認(rèn)證，另一種則是BIOS認(rèn)證?；诓僮飨到y(tǒng)的身份認(rèn)證方式的根本缺陷在于不能阻止通過其它引導(dǎo)方式(光盤引導(dǎo))進(jìn)入系統(tǒng)，從而是身份認(rèn)證形同虛設(shè)。一般來說來說，引導(dǎo)軟件很容引導(dǎo)起系統(tǒng)從而獲取計算機(jī)需要的信息。因此，基于操作系統(tǒng)的身份認(rèn)證機(jī)制有很大的局限性和弊端。為解決這一問題，BIOS認(rèn)證的方式成為現(xiàn)在很多廠商的首選。BIOS認(rèn)證的傳統(tǒng)的BIOS開機(jī)密碼認(rèn)證，密碼強(qiáng)度低，容易被人惡意攻擊而破解， 也容易開機(jī)放電清除密碼，這樣無法保護(hù)主機(jī)的安全。

發(fā)明內(nèi)容
為結(jié)局上述問題，本發(fā)明通過與智能卡和認(rèn)證中心結(jié)合加強(qiáng)計算機(jī)BIOS認(rèn)證的安全性，同時為計算機(jī)啟動集中管理提供可控性。一種基于USB key的BIOS認(rèn)證方法，由BIOS與智能卡交互收集用戶認(rèn)證信息， 將認(rèn)證信息交由認(rèn)證中心認(rèn)證，認(rèn)證通過后方可啟動計算機(jī)；如果未進(jìn)入網(wǎng)絡(luò)且智能卡內(nèi)授權(quán)該主機(jī)可以離線認(rèn)證，則離線認(rèn)證通過后也可以啟動計算機(jī)；其中，所述BIOS中集成了認(rèn)證模塊和安全模塊；所述智能卡內(nèi)存有用戶證書和授權(quán)信息；所述認(rèn)證中心數(shù)量至少為一個。優(yōu)選的，所述安全模塊負(fù)責(zé)收集認(rèn)證信息和授權(quán)信息。優(yōu)選的，所述安全模塊將認(rèn)證信息和授權(quán)信息傳遞給認(rèn)證模塊，若網(wǎng)絡(luò)連通，則去認(rèn)證中心認(rèn)證，認(rèn)證通過后啟動計算機(jī)；若網(wǎng)絡(luò)未連通且允許該計算機(jī)離線認(rèn)證，則進(jìn)行離線認(rèn)證；否則不能啟動計算機(jī)。優(yōu)選的，所述認(rèn)證中心為用戶智能卡發(fā)放證書、授權(quán)用戶可以啟動的主機(jī)和認(rèn)證用戶是否有權(quán)限啟動的計算機(jī)。優(yōu)選的，所述離線認(rèn)證為BIOS中的安全模塊驗證智能卡內(nèi)的認(rèn)證信息和授權(quán)信息，離線認(rèn)證策略預(yù)先由認(rèn)證中心加密保護(hù)寫入智能卡。優(yōu)選的，所述BIOS安全模塊使用沖擊響應(yīng)模式收集智能卡證書認(rèn)證信息和離線授權(quán)信息。本發(fā)明避免了 BIOS密碼被破解帶來的安全隱患，提高傳統(tǒng)的BIOS認(rèn)證等級，為計算機(jī)集中管理提供啟動上的可控性。


圖1是本發(fā)明結(jié)構(gòu)圖
具體實施例方式本發(fā)明將計算機(jī)在BIOS中集成認(rèn)證模塊和安全模塊，安全模塊負(fù)責(zé)與智能卡交互實現(xiàn)智能卡合法性認(rèn)證、沖擊響應(yīng)用戶認(rèn)證和與認(rèn)證中心交互實現(xiàn)用戶身份認(rèn)證。本發(fā)明包含一個或多個認(rèn)證中心、集成認(rèn)證模塊和安全模塊的BIOS主機(jī)以及保存用戶證書和授權(quán)信息的智能卡。由BIOS與智能卡交互收集用戶認(rèn)證信息，將認(rèn)證信息交由認(rèn)證中心認(rèn)證，認(rèn)證通過后方可啟動計算機(jī)；如果未接入網(wǎng)絡(luò)且智能卡內(nèi)授權(quán)該主機(jī)可以離線認(rèn)證，則離線認(rèn)證通過后也可啟動計算機(jī)。認(rèn)證流程如下1、建立認(rèn)證中心(負(fù)責(zé)為用戶智能卡發(fā)放證書、授權(quán)該用戶可以啟動哪些計算機(jī)和認(rèn)證用戶是否有權(quán)限啟動哪些計算機(jī))。2、認(rèn)證中心注冊啟動計算機(jī)的用戶并發(fā)放智能卡。3、認(rèn)證中心為用戶智能卡發(fā)放證書。4、認(rèn)證中心為用戶授權(quán)可以啟動(包括離線的)哪些計算機(jī)。5、認(rèn)證中心將離線認(rèn)證策略加密保護(hù)寫入智能卡。6、用戶在要啟動的計算機(jī)上插入智能卡啟動計算機(jī)。7、計算機(jī)BIOS安全模塊對智能卡合法性校驗。8、BIOS安全模塊使用沖擊響應(yīng)模式收集智能卡證書認(rèn)證信息和離線授權(quán)信息。9、如果網(wǎng)絡(luò)連通，BIOS認(rèn)證模塊與認(rèn)證中心交互對用戶是否可以啟動該計算機(jī)進(jìn)行認(rèn)證，認(rèn)證通過才能啟動計算機(jī)。如果網(wǎng)絡(luò)未連通且認(rèn)證策略允許該計算機(jī)離線認(rèn)證，則BIOS認(rèn)證模塊進(jìn)行離線認(rèn)證，認(rèn)證通過才能啟動計算機(jī)。計算機(jī)BIOS中的安全模塊負(fù)責(zé)收集認(rèn)證信息和授權(quán)信息。安全模塊將認(rèn)證信息和授權(quán)信息傳遞給認(rèn)證模塊，如果網(wǎng)絡(luò)連通，則去認(rèn)證中心進(jìn)行認(rèn)證，通過后方可啟動計算機(jī)；如果網(wǎng)絡(luò)未連通且允許在該計算機(jī)上離線認(rèn)證，則認(rèn)證模塊進(jìn)行離線認(rèn)證。
權(quán)利要求
1.一種基于USB key的BIOS認(rèn)證方法，其特征在于由BIOS與智能卡交互收集用戶認(rèn)證信息，將認(rèn)證信息交由認(rèn)證中心認(rèn)證，認(rèn)證通過后方可啟動計算機(jī)；如果未進(jìn)入網(wǎng)絡(luò)且智能卡內(nèi)授權(quán)該主機(jī)可以離線認(rèn)證，則離線認(rèn)證通過后也可以啟動計算機(jī)；其中，所述BIOS中集成了認(rèn)證模塊和安全模塊； 所述智能卡內(nèi)存有用戶證書和授權(quán)信息； 所述認(rèn)證中心數(shù)量至少為一個。
2.如權(quán)利要求1所述的方法，其特征在于所述安全模塊負(fù)責(zé)收集認(rèn)證信息和授權(quán)信肩、ο
3.如權(quán)利要求1或2所述的方法，其特征在于所述安全模塊將認(rèn)證信息和授權(quán)信息傳遞給認(rèn)證模塊，若網(wǎng)絡(luò)連通，則去認(rèn)證中心認(rèn)證，認(rèn)證通過后啟動計算機(jī)；若網(wǎng)絡(luò)未連通且允許該計算機(jī)離線認(rèn)證，則進(jìn)行離線認(rèn)證；否則不能啟動計算機(jī)。
4.如權(quán)利要求1所述的方法，其特征在于所述認(rèn)證中心為用戶智能卡發(fā)放證書、授權(quán)用戶可以啟動的主機(jī)和認(rèn)證用戶是否有權(quán)限啟動的計算機(jī)。
5.如權(quán)利要求1所述的方法，其特征在于所述離線認(rèn)證為BIOS中的安全模塊驗證智能卡內(nèi)的認(rèn)證信息和授權(quán)信息，離線認(rèn)證策略預(yù)先由認(rèn)證中心加密保護(hù)寫入智能卡。
6.如權(quán)利要求1所述的方法，其特征在于所述BIOS安全模塊使用沖擊響應(yīng)模式收集智能卡證書認(rèn)證信息和離線授權(quán)信息。
全文摘要
一種基于USB key的BIOS認(rèn)證方法，由BIOS與智能卡交互收集用戶認(rèn)證信息，將認(rèn)證信息交由認(rèn)證中心認(rèn)證，認(rèn)證通過后方可啟動計算機(jī)；如果未進(jìn)入網(wǎng)絡(luò)且智能卡內(nèi)授權(quán)該主機(jī)可以離線認(rèn)證，則離線認(rèn)證通過后也可以啟動計算機(jī)；其中，所述BIOS中集成了認(rèn)證模塊和安全模塊；所述智能卡內(nèi)存有用戶證書和授權(quán)信息；所述認(rèn)證中心數(shù)量至少為一個。本發(fā)明避免了BIOS密碼被破解帶來的安全隱患，提高傳統(tǒng)的BIOS認(rèn)證等級，為計算機(jī)集中管理提供啟動上的可控性。
文檔編號G06F21/20GK102298679SQ20111023086
公開日2011年12月28日 申請日期2011年8月12日 優(yōu)先權(quán)日2011年8月12日
發(fā)明者石旭, 郭旭, 黃亮 申請人:無錫城市云計算中心有限公司