亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng)和方法

文檔序號(hào):7624408閱讀:199來源:國(guó)知局
專利名稱:一種底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng)和方法
技術(shù)領(lǐng)域
本發(fā)明涉及計(jì)算機(jī)應(yīng)用領(lǐng)域,特別是涉及一種底層身份認(rèn)證計(jì)算機(jī)系統(tǒng)和方法。
背景技術(shù)
目前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)廣泛影響到個(gè)人和企業(yè)的各個(gè)方面,對(duì)計(jì)算機(jī)安全性的需求也進(jìn)一步提高,其中用戶身份認(rèn)證是實(shí)現(xiàn)計(jì)算機(jī)安全的重要機(jī)制之一。用戶身份認(rèn)證,也稱為用戶鑒別,就是用戶向服務(wù)系統(tǒng)以一種安全的方式提交自己的身份證明,由服務(wù)系統(tǒng)確認(rèn)用戶的身份是否真實(shí),然后才允許該用戶對(duì)該計(jì)算機(jī)的合法訪問控制和記錄,身份認(rèn)證通常采用本地認(rèn)證和遠(yuǎn)程認(rèn)證的方式,遠(yuǎn)程認(rèn)證中保證合法認(rèn)證的數(shù)據(jù)庫(kù)信息是存儲(chǔ)在安全的遠(yuǎn)程服務(wù)器上,通過網(wǎng)絡(luò)認(rèn)證的“遠(yuǎn)程用戶安全認(rèn)證”,其相對(duì)于本地認(rèn)證具有更高的安全性。目前,用戶安全身份認(rèn)證方法大多是在操作系統(tǒng)(OperationSystem,OS)之上實(shí)現(xiàn)的,在操作系統(tǒng)啟動(dòng)之后才進(jìn)行遠(yuǎn)程安全認(rèn)證,但是實(shí)際上,從計(jì)算機(jī)啟動(dòng)到操作系統(tǒng)啟動(dòng)之前,計(jì)算機(jī)還是需要進(jìn)行一段運(yùn)行工作,這就是基本輸入輸出系統(tǒng)(Basic Input/Output System,BIOS)運(yùn)行階段,BIOS運(yùn)行階段計(jì)算機(jī)將執(zhí)行基礎(chǔ)系統(tǒng)自檢和初始化工作,其最后的執(zhí)行步驟是定位指定的操作系統(tǒng)裝載器(OS loader)并啟動(dòng)操作系統(tǒng)。由此可見,在操作系統(tǒng)啟動(dòng)之后才進(jìn)行用戶安全認(rèn)證不足以保證系統(tǒng)安全信任鏈的可靠性,例如非法用戶可以在BIOS啟動(dòng)之后,利用木馬程序等非法手段啟動(dòng)主機(jī),跳過操作系統(tǒng)的認(rèn)證階段,獲取主機(jī)數(shù)據(jù)及資源。因此,BIOS階段的安全認(rèn)證步驟顯得更加重要,用戶,特別是安全性要求更高的用戶,迫切需要一種從BIOS啟動(dòng)即保障安全的認(rèn)證機(jī)制,保證只有安全的合法用戶才可能通過BIOS認(rèn)證,啟動(dòng)合法的操作系統(tǒng),而且,我們希望能夠?qū)崿F(xiàn)和操作系統(tǒng)之上的用戶安全認(rèn)證同樣可靠的認(rèn)證機(jī)制。
目前的已有解決方案
BIOS的用戶安全認(rèn)證采用以下兩種本地認(rèn)證方式實(shí)現(xiàn)的。
方法1輸入BIOS密碼驗(yàn)證方式。即用戶在啟動(dòng)計(jì)算機(jī)時(shí),在自檢完成后,執(zhí)行SETUP密碼驗(yàn)證,如果密碼正確則繼續(xù)執(zhí)行下一步,否則,要求用戶重新輸入密碼,如果用戶N次輸入密碼錯(cuò)誤,則退出啟動(dòng)或者死鎖計(jì)算機(jī)。
方法2外接硬件設(shè)備,例如特殊USB Ikey硬件,當(dāng)打開PC機(jī)或其他設(shè)備時(shí),引導(dǎo)程序會(huì)要求用戶插入SafeNet公司的iKey USB Key并輸入PIN碼確認(rèn)用戶身份,而后讀取該硬件設(shè)備中存儲(chǔ)的用戶信息進(jìn)行驗(yàn)證。
以上方法的缺陷在于缺陷1不支持BIOS層的網(wǎng)絡(luò)遠(yuǎn)程認(rèn)證功能。
缺陷2在傳統(tǒng)BIOS上,增加硬件設(shè)備接口實(shí)現(xiàn)方法較復(fù)雜。
這是由BIOS的功能現(xiàn)狀決定的(1)在現(xiàn)有BIOS的基本功能不支持網(wǎng)絡(luò)。由于傳統(tǒng)BIOS的歷史原理,其設(shè)計(jì)之初沒有考慮對(duì)網(wǎng)絡(luò)支持的擴(kuò)充性,而BIOS的現(xiàn)有設(shè)計(jì)框架和機(jī)制導(dǎo)致在其上增加網(wǎng)絡(luò)單元實(shí)現(xiàn)非常復(fù)雜,因此,實(shí)現(xiàn)更為安全的遠(yuǎn)程安全認(rèn)證需要的網(wǎng)絡(luò)功能在現(xiàn)有BIOS上實(shí)現(xiàn)是比較困難的。(2)現(xiàn)有BIOS的不開放性特性,使得為其增加一個(gè)硬件設(shè)備接口也相對(duì)復(fù)雜,如果我們希望采用為安全的硬件支持的安全認(rèn)證方式時(shí),在BIOS上擴(kuò)展相應(yīng)的安全硬件設(shè)備接口的工作量也比較大,同時(shí),由于增加的安全硬件設(shè)備接口單元在不同BIOS廠商提供的BIOS固件上的移植性也較差,實(shí)際上限制了在傳統(tǒng)BIOS上實(shí)現(xiàn)更為安全可靠的硬件支持的身份認(rèn)證方法的發(fā)展。
基于以上原因,在通用BIOS上實(shí)現(xiàn)比較完善的的底層遠(yuǎn)程BIOS用戶認(rèn)證方法目前還沒有比較可行的設(shè)計(jì)方案。

發(fā)明內(nèi)容
本發(fā)明的目的在于,提供一種EFI BIOS上實(shí)現(xiàn)的計(jì)算機(jī)底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng)和方法,充分利用EFI BIOS的擴(kuò)展接口,有效突破BIOS上實(shí)現(xiàn)安全認(rèn)證,特別是遠(yuǎn)程身份認(rèn)證,其具備支持BIOS本地身份認(rèn)證,遠(yuǎn)程網(wǎng)絡(luò)認(rèn)證功能,實(shí)現(xiàn)方法簡(jiǎn)單而實(shí)用,靈活性特別強(qiáng),具有支持功能強(qiáng)大,適用性強(qiáng)等優(yōu)點(diǎn)。
為實(shí)現(xiàn)上述目的,本發(fā)明提供了一種底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng),包括硬件和軟件,EFI用戶身份認(rèn)證觸發(fā)單元,用于判斷計(jì)算機(jī)系統(tǒng)的安全等級(jí),并決定是否在進(jìn)入操作系統(tǒng)前執(zhí)行身份認(rèn)證;EFI用戶身份標(biāo)識(shí)單元,用于用戶輸入身份信息后,通過身份標(biāo)識(shí)列表生成身份標(biāo)識(shí);用戶身份驗(yàn)證單元,用于響應(yīng)收到的認(rèn)證請(qǐng)求,通過身份驗(yàn)證列表進(jìn)行認(rèn)證。
還可以包括EFI安全管理單元,用于設(shè)置EFI BIOS的安全等級(jí)。
所述硬件可以包括具有與所述計(jì)算機(jī)系統(tǒng)控制總線連接的具備安全受保護(hù)存儲(chǔ)區(qū)域用于支持用戶身份信息安全存儲(chǔ)的安全設(shè)備,可以是Ikey設(shè)備或者指紋識(shí)別儀;所述軟件還包括用于驅(qū)動(dòng)所述的安全設(shè)備的安全設(shè)備驅(qū)動(dòng)單元。
同時(shí),提供了一種底層身份認(rèn)證的方法,包括下列步驟步驟1)用戶啟動(dòng)計(jì)算機(jī)系統(tǒng),在完成EFI BIOS自檢(POST)過程,平臺(tái)初始化結(jié)束后,啟動(dòng)EFI用戶身份認(rèn)證觸發(fā)單元;步驟2)判斷計(jì)算機(jī)系統(tǒng)的安全等級(jí),根據(jù)設(shè)定安全等級(jí)直接進(jìn)入操作系統(tǒng)啟動(dòng)或者執(zhí)行下一步;步驟3)提示用戶執(zhí)行用戶身份認(rèn)證,用戶輸入信息;步驟4)啟動(dòng)EFI用戶身份標(biāo)識(shí)單元,獲得用戶信息標(biāo)識(shí);步驟5)激活用戶身份驗(yàn)證單元,驗(yàn)證用戶身份信息的合法性;步驟6)如果用戶是合法用戶,則啟動(dòng)操作系統(tǒng);否則,拒絕用戶操作,不啟動(dòng)操作系統(tǒng)。
所述步驟1)還包括如下步驟步驟11)啟動(dòng)EFI用戶身份認(rèn)證觸發(fā)單元后,系統(tǒng)等待時(shí)間T,并在系統(tǒng)界面上提示用戶可以按下特定功能鍵改變計(jì)算機(jī)系統(tǒng)安全等級(jí),當(dāng)用戶按下特定功能鍵時(shí),啟動(dòng)EFI安全管理單元;步驟12)在EFI安全管理單元啟動(dòng)后,顯示EFI安全管理器界面,用戶在界面上對(duì)安全級(jí)別進(jìn)行選擇,保存或者取消后退出安全管理器,系統(tǒng)重新啟動(dòng)。
所述步驟11)還包括如下步驟步驟111)提示用戶執(zhí)行用戶身份認(rèn)證,用戶輸入信息;步驟112)啟動(dòng)EFI用戶身份標(biāo)識(shí)單元,獲得用戶信息標(biāo)識(shí);
步驟113)激活用戶身份驗(yàn)證單元,驗(yàn)證用戶身份信息的合法性;步驟114)如果用戶是合法用戶,則啟動(dòng)EFI安全管理單元;否則,拒絕用戶操作,重新啟動(dòng)系統(tǒng)。
另外,本發(fā)明還提供另一種底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng),包括客戶端與服務(wù)器端,其特征在于,所述客戶端包括EFI用戶身份認(rèn)證觸發(fā)單元,用于判斷計(jì)算機(jī)系統(tǒng)的安全等級(jí),并決定是否在進(jìn)入操作系統(tǒng)前執(zhí)行身份認(rèn)證;EFI用戶身份標(biāo)識(shí)單元,用于用戶輸入身份信息后,通過身份標(biāo)識(shí)列表生成身份標(biāo)識(shí);客戶端用戶身份驗(yàn)證單元,用于將用戶身份標(biāo)識(shí)發(fā)送到服務(wù)器端,并接收服務(wù)器端驗(yàn)證結(jié)果;EFI網(wǎng)絡(luò)連接功能單元,用于連接到服務(wù)器端,對(duì)服務(wù)器端進(jìn)行訪問和控制;服務(wù)器端包括服務(wù)器端網(wǎng)絡(luò)連接功能單元,用于響應(yīng)客戶端連接要求,使客戶端能夠?qū)Ψ?wù)器端進(jìn)行訪問和控制;服務(wù)器端用戶身份驗(yàn)證單元,用于響應(yīng)收到的認(rèn)證請(qǐng)求,通過身份驗(yàn)證列表進(jìn)行認(rèn)證,并將結(jié)果反饋回客戶端用戶身份驗(yàn)證單元;所述客戶端還可以包括EFI安全管理單元,用于設(shè)置EFI BIOS的安全等級(jí);數(shù)據(jù)加解密單元,用于以及對(duì)在服務(wù)器端與客戶端之間傳輸?shù)臄?shù)據(jù)進(jìn)行加解密,所述數(shù)據(jù)加解密單元存儲(chǔ)在服務(wù)器端和客戶端。
所述硬件可以包括具有與所述計(jì)算機(jī)系統(tǒng)控制總線連接的具備安全受保護(hù)存儲(chǔ)區(qū)域用于支持用戶身份信息安全存儲(chǔ)的安全設(shè)備,可以是Ikey設(shè)備或者指紋識(shí)別儀;所述軟件還包括用于驅(qū)動(dòng)所述的安全設(shè)備的安全設(shè)備驅(qū)動(dòng)單元。
相應(yīng)地,本發(fā)明另外提供了一種底層身份認(rèn)證的方法,客戶端包括如下步驟步驟1)用戶啟動(dòng)計(jì)算機(jī)系統(tǒng),在完成EFI BIOS自檢過程,平臺(tái)初始化結(jié)束后,啟動(dòng)EFI用戶身份認(rèn)證觸發(fā)單元
步驟2)判斷計(jì)算機(jī)系統(tǒng)的安全等級(jí),根據(jù)設(shè)定安全等級(jí)直接進(jìn)入操作系統(tǒng)啟動(dòng)或者執(zhí)行下一步;步驟3)提示用戶執(zhí)行用戶身份認(rèn)證,用戶輸入信息;步驟4)啟動(dòng)EFI用戶身份標(biāo)識(shí)單元,獲得用戶信息標(biāo)識(shí);步驟5)激活EFI網(wǎng)絡(luò)連接功能單元,與服務(wù)器端網(wǎng)絡(luò)連接功能單元建立網(wǎng)絡(luò)連接;步驟6)啟動(dòng)數(shù)據(jù)加解密單元,對(duì)在服務(wù)器端與客戶端之間傳輸?shù)臄?shù)據(jù)進(jìn)行加解密;步驟7)將用戶身份信息加密后,通過客戶端用戶身份驗(yàn)證單元傳送到服務(wù)器端,服務(wù)器端利用數(shù)據(jù)加解密單元解密數(shù)據(jù),獲取用戶信息,并啟動(dòng)用戶身份驗(yàn)證單元,驗(yàn)證用戶身份信息的合法性;步驟8)如果用戶是合法用戶,反饋驗(yàn)證通過的信息給客戶端的客戶端用戶身份驗(yàn)證單元,啟動(dòng)操作系統(tǒng);否則,反饋驗(yàn)證未通過信息給客戶端的客戶端用戶身份驗(yàn)證單元,客戶端拒絕用戶操作,斷開網(wǎng)絡(luò)連接,不啟動(dòng)操作系統(tǒng)。
在服務(wù)器端包括下列步驟步驟1)啟動(dòng)用戶身份驗(yàn)證單元;步驟2)等待客戶端建立網(wǎng)絡(luò)連接請(qǐng)求;步驟3)如果有客戶端連接請(qǐng)求,則利用服務(wù)器端網(wǎng)絡(luò)連接功能單元與客戶端建立網(wǎng)絡(luò)連接;步驟4)通過用戶身份驗(yàn)證單元驗(yàn)證客戶端送來的用戶身份信息是否合法;步驟5)得出驗(yàn)證結(jié)論,并用數(shù)據(jù)加解密單元加密,反饋到客戶端,步驟6)關(guān)閉本次網(wǎng)絡(luò)連接。
所述客戶端步驟1)還包括如下步驟步驟11)啟動(dòng)EFI用戶身份認(rèn)證觸發(fā)單元后,系統(tǒng)等待時(shí)間T,并在系統(tǒng)界面上提示用戶可以按下特定功能鍵改變計(jì)算機(jī)系統(tǒng)安全等級(jí),當(dāng)用戶按下特定功能鍵時(shí),啟動(dòng)EFI安全管理單元;步驟12)在EFI安全管理單元啟動(dòng)后,顯示EFI安全管理器界面,用戶在界面上對(duì)安全級(jí)別進(jìn)行選擇,保存或者取消后退出安全管理器,系統(tǒng)重新啟動(dòng)。
所述客戶端步驟11)還包括如下步驟步驟111)提示用戶執(zhí)行用戶身份認(rèn)證,用戶輸入信息;步驟112)啟動(dòng)EFI用戶身份標(biāo)識(shí)單元,獲得用戶信息標(biāo)識(shí);步驟113)激活EFI網(wǎng)絡(luò)連接功能單元,與服務(wù)器端網(wǎng)絡(luò)連接功能單元建立網(wǎng)絡(luò)連接;步驟114)啟動(dòng)數(shù)據(jù)加解密單元,對(duì)在服務(wù)器端與客戶端之間傳輸?shù)臄?shù)據(jù)進(jìn)行加解密;步驟115)將用戶身份信息加密后,傳送到服務(wù)器端,服務(wù)器端利用數(shù)據(jù)加解密單元解密數(shù)據(jù),獲取用戶信息,并啟動(dòng)用戶驗(yàn)證單元,驗(yàn)證用戶身份信息的合法性;步驟116)如果用戶是合法用戶,反饋驗(yàn)證通過的信息給客戶端,則啟動(dòng)EFI安全管理單元;否則,反饋驗(yàn)證未通過信息給客戶端,客戶端拒絕用戶操作,斷開網(wǎng)絡(luò)連接,重新啟動(dòng)系統(tǒng)。
本發(fā)明的有益效果是其實(shí)現(xiàn)了一種適用性較強(qiáng)的底層身份安全認(rèn)證機(jī)制,安全有效的解決了操作系統(tǒng)啟動(dòng)之前的BIOS安全性問題,具有非常實(shí)用的實(shí)現(xiàn)價(jià)值,有效彌補(bǔ)了現(xiàn)有系統(tǒng)該階段的安全漏洞。其支持功能強(qiáng)大,比傳統(tǒng)BIOS安全身份認(rèn)證方法更為簡(jiǎn)單,效果更好,相比于傳統(tǒng)BIOS安全身份認(rèn)證具有更大的優(yōu)勢(shì)。


圖1為實(shí)施例一計(jì)算機(jī)系統(tǒng)軟件示意圖;圖2為實(shí)施例一用戶身份認(rèn)證流程圖;圖3為實(shí)施例二計(jì)算機(jī)系統(tǒng)軟件示意圖;圖4為實(shí)施例二用戶身份認(rèn)證流程圖;圖5為實(shí)施例二服務(wù)器端用戶身份驗(yàn)證流程圖;圖6為本發(fā)明用戶身份認(rèn)證安全管理界面圖。
具體實(shí)施例方式
下面結(jié)合附圖進(jìn)一步詳細(xì)說明本發(fā)明。
首先,為詳細(xì)說明本發(fā)明,下面先說明EFI技術(shù)本發(fā)明將涉及可擴(kuò)展固件接口(EFI)技術(shù),下面我們先對(duì)其進(jìn)行介紹可擴(kuò)展固件接口(Extensible Firmware Interface,EFI)是1999年出現(xiàn)的用以取代沿用多年的基本輸入輸出系統(tǒng)(BIOS)的新一代接口程序,關(guān)于可擴(kuò)展固件接口的介紹,詳見UEFI論壇關(guān)于EFI技術(shù)的介紹http://www.UEFI.org。EFI介于硬件設(shè)備以及操作系統(tǒng)(比如Windows或者Linux)之間。與傳統(tǒng)的BIOS不同,EFI使用全球最廣泛的高級(jí)語(yǔ)言C語(yǔ)言進(jìn)行編寫,其提供了既具有傳統(tǒng)BIOS的功能又有優(yōu)于傳統(tǒng)BIOS的擴(kuò)展功能,在設(shè)計(jì)機(jī)制和架構(gòu)上也有別于傳統(tǒng)BIOS的實(shí)現(xiàn),是下一代BIOS接口規(guī)范,這就意味著有更多的工程師可以參與EFI的開發(fā)工作,添加許多更有價(jià)值的功能。
EFI具備的基本功能為硬件平臺(tái)初始化;支持啟動(dòng)操作系統(tǒng);脫離操作系統(tǒng)的平臺(tái)管理工具。
EFI的工作模式可以簡(jiǎn)單歸納為啟動(dòng)系統(tǒng),標(biāo)準(zhǔn)固件平臺(tái)初始化,接著從加載EFI驅(qū)動(dòng)程序庫(kù)以及及執(zhí)行相關(guān)程序,在EFI系統(tǒng)啟動(dòng)菜單中選取所要進(jìn)入的系統(tǒng)并向EFI提交啟動(dòng)引導(dǎo)代碼,正常的話將進(jìn)入系統(tǒng),否則將中止啟動(dòng)服務(wù)并返回EFI系統(tǒng)啟動(dòng)菜單。工程師們可以按照不同的需要為EFI增加新的功能,諸如更加詳細(xì)實(shí)用的診斷功能、自我配置程序、列出系統(tǒng)可能發(fā)生的故障等等。
實(shí)施例一如圖1-2所示,本實(shí)施例的底層身份認(rèn)證計(jì)算機(jī)系統(tǒng)包括硬件和軟件,硬件中包括主板,中央處理器(CPU),內(nèi)存,硬盤及外設(shè)。
主板和CPU分別為支持EFI規(guī)范的主板和CPU,硬盤包括存儲(chǔ)有EFI規(guī)范的EFI存儲(chǔ)器。
所述硬件還包括安全設(shè)備,所述安全設(shè)備為本機(jī)控制總線連接的外圍設(shè)備,該設(shè)備具備安全的受保護(hù)的存儲(chǔ)區(qū)域,用于支持用戶身份信息的安全存儲(chǔ),該設(shè)備可以是USB連接的Ikey設(shè)備,如SafeNet公司的ikey USB key,指紋識(shí)別儀,如BIOSCRYPT(BII)公司的指紋識(shí)別系統(tǒng)產(chǎn)品等身份認(rèn)證硬件設(shè)備。
所述軟件包括EFI Firmware層3,EFI應(yīng)用層2和操作系統(tǒng)層1,所述的EFIFirmware層3包括EFI安全設(shè)備驅(qū)動(dòng)程序31.
所述軟件還包括EFI用戶身份認(rèn)證觸發(fā)單元21,EFI用戶身份標(biāo)識(shí)單元22,用戶身份驗(yàn)證單元23和EFI安全管理單元24。
EFI用戶身份認(rèn)證觸發(fā)單元21,判斷計(jì)算機(jī)系統(tǒng)的安全等級(jí),并決定是否在進(jìn)入操作系統(tǒng)前執(zhí)行身份認(rèn)證。
EFI用戶身份標(biāo)識(shí)單元22,當(dāng)用戶輸入身份信息后,通過身份標(biāo)識(shí)列表生成身份標(biāo)識(shí),并通過身份標(biāo)識(shí)提取用戶身份信息。
身份標(biāo)識(shí)列表可以如表1所示

其中,EFI用戶身份標(biāo)識(shí)單元該單元的輸入信息是Ikey PIN值A(chǔ)或指紋A,輸出是身份標(biāo)識(shí)。例如用戶A輸入自己的指紋,輸出是身份標(biāo)識(shí)信息A。
用戶身份驗(yàn)證單元23,響應(yīng)收到的認(rèn)證請(qǐng)求,通過身份驗(yàn)證列表進(jìn)行認(rèn)證。
所述身份驗(yàn)證列表如表2所示

其中,用戶身份驗(yàn)證單元的輸入是身份標(biāo)識(shí),輸入是合法與否的判斷及用戶身份信息,例如輸入為身份標(biāo)識(shí)A,輸出是用戶合法且為administrators用戶。
EFI安全管理程序24,其用于設(shè)置EFI BIOS的安全等級(jí),用戶可能設(shè)置目前EFI BIOS的安全等級(jí),如圖6所示,當(dāng)用戶選擇“高安全等級(jí)”時(shí),則在EFI BIOS啟動(dòng)過程中,用戶必須通過本發(fā)明所述的用戶身份驗(yàn)證,否則不能啟動(dòng)操作系統(tǒng);當(dāng)用戶選擇“低安全等級(jí)”,則不進(jìn)行用戶身份驗(yàn)證,直接進(jìn)入操作系統(tǒng)啟動(dòng)。
進(jìn)一步,所述軟件還可以包括安全設(shè)備驅(qū)動(dòng)單元31,用于驅(qū)動(dòng)所述的安全設(shè)備。
所述安全設(shè)備驅(qū)動(dòng)單元31包括標(biāo)準(zhǔn)硬件驅(qū)動(dòng),如USB連接的Ikey設(shè)備的USB 2.0標(biāo)準(zhǔn)驅(qū)動(dòng)程序,以及對(duì)安全設(shè)備受保護(hù)區(qū)域的讀寫訪問接口。當(dāng)安全設(shè)備驅(qū)動(dòng),用戶輸入認(rèn)證信息后,根據(jù)認(rèn)證標(biāo)識(shí),輸出存儲(chǔ)在保護(hù)區(qū)域中的用戶身份信息。該驅(qū)動(dòng)單元為EFI驅(qū)動(dòng)程序,其存儲(chǔ)位置可以位于EFIBIOS FLASH芯片、本地安全存儲(chǔ)部件或者外圍存儲(chǔ)設(shè)備中,如具有安全保護(hù)功能的硬盤,如具有HPA(Host Protected Area)的硬盤,具有訪問控制功能的閃存存儲(chǔ)器,通過USB接口連接的具有訪問控制功能的大容量USB安全存儲(chǔ)部件。
在本實(shí)施例中,所述安全設(shè)備驅(qū)動(dòng)程序存儲(chǔ)在EFI BIOS閃存芯片中,在EFI BIOS啟動(dòng)過程中,如果發(fā)現(xiàn)該安全設(shè)備,將主動(dòng)加載該設(shè)備的驅(qū)動(dòng)程序支持相關(guān)功能,如果將該驅(qū)動(dòng)程序從EFI BIOS閃存芯片中剔除,EFI不會(huì)加載驅(qū)動(dòng)程序,不影響其他單元的運(yùn)行。這種EFI驅(qū)動(dòng)程序?qū)崿F(xiàn)具有以下優(yōu)點(diǎn)實(shí)現(xiàn)簡(jiǎn)單,其以獨(dú)立驅(qū)動(dòng)單元的嵌入方法,不影響系統(tǒng)原有部分,無需直接修改BIOS主流程,獨(dú)立編碼調(diào)試更為簡(jiǎn)單;增加系統(tǒng)配置靈活性,系統(tǒng)具備該安全設(shè)備則驅(qū)動(dòng)程序自動(dòng)加載,加載后支持相應(yīng)功能,如果沒有則不加載,對(duì)系統(tǒng)無影響;其可以支持多種安全認(rèn)證硬件設(shè)備,并在其中存儲(chǔ)用戶安全認(rèn)證信息,有很好的實(shí)用性。
下面結(jié)合的底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng)進(jìn)一步說明其底層身份認(rèn)證方法
1)用戶啟動(dòng)計(jì)算機(jī)系統(tǒng),在完成EFI BIOS自檢(POST)過程,平臺(tái)初始化結(jié)束后,啟動(dòng)EFI用戶身份認(rèn)證觸發(fā)單元2111)系統(tǒng)等待時(shí)間T,并在系統(tǒng)界面上提示用戶可以按下特定功能鍵改變計(jì)算機(jī)系統(tǒng)安全等級(jí),當(dāng)用戶按下特定功能鍵(如F9)時(shí)111)提示用戶執(zhí)行用戶身份認(rèn)證,用戶輸入信息,用戶輸入Ikey PIN值和指紋信息;112)啟動(dòng)EFI用戶身份標(biāo)識(shí)單元22,獲得用戶信息標(biāo)識(shí);EFI用戶身份標(biāo)識(shí)單元22根據(jù)用戶信息獲取認(rèn)證標(biāo)識(shí),根據(jù)用戶標(biāo)識(shí)從安全設(shè)備的保護(hù)區(qū)域中獲取用戶身份信息;113)激活用戶驗(yàn)證單元23,驗(yàn)證用戶身份信息的合法性;114)如果用戶是合法用戶,則啟動(dòng)EFI安全管理單元24;否則,拒絕用戶操作,重新啟動(dòng)系統(tǒng)。
12)在EFI安全管理單元啟動(dòng)后,顯示如圖6所示的EFI安全管理器界面,用戶在界面上對(duì)安全級(jí)別進(jìn)行選擇,保存或者取消后退出安全管理器,系統(tǒng)重新啟動(dòng)。
2)判斷計(jì)算機(jī)系統(tǒng)的安全等級(jí),如果是“低安全低級(jí)”,則直接進(jìn)入操作系統(tǒng)啟動(dòng);如果是高安全等級(jí),進(jìn)入下一步;3)提示用戶執(zhí)行用戶身份認(rèn)證,用戶輸入信息,用戶輸入Ikey PIN值和指紋信息;4)啟動(dòng)EFI用戶身份標(biāo)識(shí)單元22,獲得用戶信息標(biāo)識(shí);EFI用戶身份標(biāo)識(shí)單元22根據(jù)用戶信息獲取認(rèn)證標(biāo)識(shí),根據(jù)用戶標(biāo)識(shí)從安全設(shè)備的保護(hù)區(qū)域中獲取用戶身份信息;5)激活用戶驗(yàn)證單元23,驗(yàn)證用戶身份信息的合法性;6)如果用戶是合法用戶,則啟動(dòng)操作系統(tǒng);否則,拒絕用戶操作,不啟動(dòng)操作系統(tǒng)。
實(shí)施例二下面結(jié)合附圖3-6詳細(xì)說明本實(shí)施例。
本實(shí)施例的底層身份認(rèn)證計(jì)算機(jī)系統(tǒng)客戶端4與服務(wù)器端5。
服務(wù)器端5,用于遠(yuǎn)程網(wǎng)絡(luò)驗(yàn)證用戶身份,其響應(yīng)客戶端4發(fā)送來的認(rèn)證請(qǐng)求,解密身份認(rèn)證信息,通過服務(wù)器端5的驗(yàn)證所述信息的合法性。服務(wù)器端包括三個(gè)單元服務(wù)器端網(wǎng)絡(luò)連接功能單元51,服務(wù)器端用戶身份驗(yàn)證單元52,數(shù)據(jù)加解密單元25。
服務(wù)器端網(wǎng)絡(luò)連接功能單元51,通過網(wǎng)絡(luò)協(xié)議TCP/IP單元,響應(yīng)客戶端4連接要求,使客戶端能夠?qū)Ψ?wù)器端5進(jìn)行訪問和控制。
用戶身份驗(yàn)證單元52,響應(yīng)收到的認(rèn)證請(qǐng)求,通過如表2所示的身份驗(yàn)證列表進(jìn)行認(rèn)證。
用戶身份驗(yàn)證單元52運(yùn)行在服務(wù)器端5上,可以為操作系統(tǒng)之上的應(yīng)用單元。其主要功能是提供網(wǎng)絡(luò)驗(yàn)證的服務(wù)器端,它將響應(yīng)收到的驗(yàn)證請(qǐng)求,解密身份驗(yàn)證信息,通過服務(wù)器端5的驗(yàn)證該信息的合法性,它保證網(wǎng)絡(luò)連接,解密接受客戶端4發(fā)送的驗(yàn)證請(qǐng)求,確認(rèn)用戶是否是合法的用戶,并將驗(yàn)證結(jié)果返回客戶端4。
數(shù)據(jù)加解密單元25,對(duì)在服務(wù)器端5與客戶端4之間傳輸?shù)臄?shù)據(jù)進(jìn)行加解密,以保證其安全性。
所示的加解密可以采用SSL(Secure Socket Layer)加密方法,或者采用其它加解密方法。
所述客戶端4包括硬件和軟件,硬件中包括主板,中央處理器(CPU),內(nèi)存,硬盤及外設(shè)。
主板和CPU分別為支持EFI規(guī)范的主板和CPU,硬盤包括存儲(chǔ)有EFI規(guī)范的EFI存儲(chǔ)器。
所述硬件還包括安全設(shè)備,所述安全設(shè)備為本機(jī)控制總線連接的外圍設(shè)備,該設(shè)備具備安全的受保護(hù)的存儲(chǔ)區(qū)域,用于支持用戶身份信息的安全存儲(chǔ),該設(shè)備可以是USB連接的Ikey設(shè)備,如SafeNet公司的ikey USB key,指紋識(shí)別儀等身份認(rèn)證硬件設(shè)備。
所述軟件包括EFI Firmware層3,EFI應(yīng)用層2和操作系統(tǒng)層1,所述的EFI Firmware層3包括EFI安全設(shè)備驅(qū)動(dòng)程序31所述軟件還包括在EFI應(yīng)用層2中的EFI用戶身份認(rèn)證觸發(fā)單元21,EFI用戶身份標(biāo)識(shí)單元22,客戶端用戶身份驗(yàn)證單元26,EFI安全管理單元24和數(shù)據(jù)加解密單元25;以及在EFI Firmware層3中的EFI網(wǎng)絡(luò)連接功能單元32EFI用戶身份認(rèn)證觸發(fā)單元21,判斷計(jì)算機(jī)系統(tǒng)的安全等級(jí),并決定是否在進(jìn)入操作系統(tǒng)前執(zhí)行身份認(rèn)證。
EFI用戶身份標(biāo)識(shí)單元22,當(dāng)用戶輸入身份信息后,通過身份標(biāo)識(shí)列表生成身份標(biāo)識(shí),并通過身份標(biāo)識(shí)提取用戶身份信息。
身份標(biāo)識(shí)列表可以如表1所示。
客戶端用戶身份驗(yàn)證單元26,是將用戶身份標(biāo)識(shí)發(fā)送到服務(wù)器端,并接收服務(wù)器端驗(yàn)證結(jié)果。
EFI安全管理程序24,其用于設(shè)置EFI BIOS的安全等級(jí),用戶可能設(shè)置目前EFI BIOS的安全等級(jí),如圖6所示,當(dāng)用戶選擇“高安全等級(jí)”時(shí),則在EFI BIOS啟動(dòng)過程中,用戶必須通過本發(fā)明所述的用戶身份驗(yàn)證,否則不能啟動(dòng)操作系統(tǒng);當(dāng)用戶選擇“低安全等級(jí)”,則不進(jìn)行用戶身份驗(yàn)證,直接進(jìn)入操作系統(tǒng)啟動(dòng)。
EFI網(wǎng)絡(luò)連接功能單元32,通過EFI FIRMWARE層3的網(wǎng)絡(luò)協(xié)議EFITCP/IP單元,連接到服務(wù)器端5,對(duì)服務(wù)器端5進(jìn)行訪問和控制。
數(shù)據(jù)加解密單元25,對(duì)在服務(wù)器端5與客戶端4之間傳輸?shù)臄?shù)據(jù)進(jìn)行加解密,以保證其安全性。
進(jìn)一步,所述軟件還可以包括安全設(shè)備驅(qū)動(dòng)單元31,用于驅(qū)動(dòng)所述的安全設(shè)備。
所述所述安全設(shè)備驅(qū)動(dòng)單元31包括標(biāo)準(zhǔn)硬件驅(qū)動(dòng),如USB連接的Ikey設(shè)備的USB 2.0標(biāo)準(zhǔn)驅(qū)動(dòng)程序,以及對(duì)安全設(shè)備受保護(hù)區(qū)域的讀寫訪問接口。當(dāng)安全設(shè)備驅(qū)動(dòng),用戶輸入認(rèn)證信息后,根據(jù)認(rèn)證標(biāo)識(shí),輸出存儲(chǔ)在保護(hù)區(qū)域中的用戶身份信息。該驅(qū)動(dòng)單元為EFI驅(qū)動(dòng)程序,其存儲(chǔ)位置可以位于EFI BIOS FLASH芯片、本地安全存儲(chǔ)部件或者外圍存儲(chǔ)設(shè)備中,如具有安全保護(hù)功能的硬盤,如具有HPA(Host Protected Area)的硬盤,具有訪問控制功能的閃存存儲(chǔ)器,通過USB接口連接的具有訪問控制功能的大容量USB安全存儲(chǔ)部件。
在本實(shí)施例中,所述安全設(shè)備驅(qū)動(dòng)程序存儲(chǔ)在EFI BIOS閃存芯片中,在EFI BIOS啟動(dòng)過程中,如果發(fā)現(xiàn)該安全設(shè)備,將主動(dòng)加載該設(shè)備的驅(qū)動(dòng)程序支持相關(guān)功能,如果將該驅(qū)動(dòng)程序從EFI BIOS閃存芯片中剔除,EFI不會(huì)加載驅(qū)動(dòng)程序,不影響其他單元的運(yùn)行。這種EFI驅(qū)動(dòng)程序?qū)崿F(xiàn)具有以下優(yōu)點(diǎn)實(shí)現(xiàn)簡(jiǎn)單,其以獨(dú)立驅(qū)動(dòng)單元的嵌入方法,不影響系統(tǒng)原有部分,無需直接修改BIOS主流程,獨(dú)立編碼調(diào)試更為簡(jiǎn)單;增加系統(tǒng)配置靈活性,系統(tǒng)具備該安全設(shè)備則驅(qū)動(dòng)程序自動(dòng)加載,加載后支持相應(yīng)功能,如果沒有則不加載,對(duì)系統(tǒng)無影響;其可以支持多種安全認(rèn)證硬件設(shè)備,并在其中存儲(chǔ)用戶安全認(rèn)證信息,有很好的實(shí)用性。
下面結(jié)合的底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng)進(jìn)一步說明其底層身份認(rèn)證方法,如圖4所示,在客戶端包括下列步驟1)用戶啟動(dòng)計(jì)算機(jī)系統(tǒng),在完成EFI BIOS自檢(POST)過程,平臺(tái)初始化結(jié)束后,啟動(dòng)EFI用戶身份認(rèn)證觸發(fā)單元2111)系統(tǒng)等待時(shí)間T,并在系統(tǒng)界面上提示用戶可以按下特定功能鍵改變計(jì)算機(jī)系統(tǒng)安全等級(jí),當(dāng)用戶按下特定功能鍵(如F9)時(shí)111)提示用戶執(zhí)行用戶身份認(rèn)證,用戶輸入信息,用戶輸入Ikey PIN值和指紋信息;112)啟動(dòng)EFI用戶身份標(biāo)識(shí)單元22,獲得用戶信息標(biāo)識(shí);EFI用戶身份標(biāo)識(shí)單元22根據(jù)用戶信息獲取認(rèn)證標(biāo)識(shí),根據(jù)用戶標(biāo)識(shí)從安全設(shè)備的保護(hù)區(qū)域中獲取用戶身份信息;113)激活EFI網(wǎng)絡(luò)連接功能單元32,EFI網(wǎng)絡(luò)連接功能單元32首先判斷EFI是否已經(jīng)加載網(wǎng)絡(luò)協(xié)議,如果沒有加載,就加載所需的網(wǎng)絡(luò)協(xié)議,如果發(fā)現(xiàn)EFI已經(jīng)加載網(wǎng)絡(luò)協(xié)議,則不需要加載網(wǎng)絡(luò)協(xié)議,與服務(wù)器端網(wǎng)絡(luò)連接功能單元51建立網(wǎng)絡(luò)連接;115)啟動(dòng)數(shù)據(jù)加解密單元25,對(duì)在服務(wù)器端5與客戶端4之間傳輸?shù)臄?shù)據(jù)進(jìn)行加解密;116)將用戶身份信息加密后,傳送到服務(wù)器端5,服務(wù)器端5利用數(shù)據(jù)加解密單元25解密數(shù)據(jù),獲取用戶信息,并啟動(dòng)用戶驗(yàn)證單元,驗(yàn)證用戶身份信息的合法性;117)如果用戶是合法用戶,反饋驗(yàn)證通過的信息給客戶端,客戶端啟動(dòng)EFI安全管理單元24;否則,反饋驗(yàn)證未通過信息給客戶端,客戶端拒絕用戶操作,斷開網(wǎng)絡(luò)連接,重新啟動(dòng)系統(tǒng)。
12)在EFI安全管理單元24啟動(dòng)后,顯示如圖6所示的EFI安全管理器界面,用戶在界面上對(duì)安全級(jí)別進(jìn)行選擇,保存或者取消后退出安全管理器,系統(tǒng)重新啟動(dòng)。
2)判斷計(jì)算機(jī)系統(tǒng)的安全等級(jí),如果是“低安全低級(jí)”,則直接進(jìn)入操作系統(tǒng)啟動(dòng);如果是高安全等級(jí),進(jìn)入下一步;3)提示用戶執(zhí)行用戶身份認(rèn)證,用戶輸入信息,用戶輸入Ikey PIN值和指紋信息;4)啟動(dòng)EFI用戶身份標(biāo)識(shí)單元22,獲得用戶信息標(biāo)識(shí);EFI用戶身份標(biāo)識(shí)單元22根據(jù)用戶信息獲取認(rèn)證標(biāo)識(shí),根據(jù)用戶標(biāo)識(shí)從安全設(shè)備的保護(hù)區(qū)域中獲取用戶身份信息;5)激活EFI網(wǎng)絡(luò)連接功能單元32,EFI網(wǎng)絡(luò)連接功能單元32首先判斷EFI是否已經(jīng)加載網(wǎng)絡(luò)協(xié)議,如果沒有加載,就加載所需的網(wǎng)絡(luò)協(xié)議,如果發(fā)現(xiàn)EFI已經(jīng)加載網(wǎng)絡(luò)協(xié)議,則不需要加載網(wǎng)絡(luò)協(xié)議,與服務(wù)器端網(wǎng)絡(luò)連接功能單元51建立網(wǎng)絡(luò)連接;6)啟動(dòng)數(shù)據(jù)加解密單元25,對(duì)在服務(wù)器端5與客戶端4之間傳輸?shù)臄?shù)據(jù)進(jìn)行加解密;步驟7)將用戶身份信息加密后,通過客戶端用戶身份驗(yàn)證單元26傳送到服務(wù)器端,服務(wù)器端利用數(shù)據(jù)加解密單元解密數(shù)據(jù),獲取用戶信息,并啟動(dòng)用戶身份驗(yàn)證單元52,驗(yàn)證用戶身份信息的合法性;步驟8)如果用戶是合法用戶,反饋驗(yàn)證通過的信息給客戶端的客戶端用戶身份驗(yàn)證單元26,啟動(dòng)操作系統(tǒng);否則,反饋驗(yàn)證未通過信息給客戶端的客戶端用戶身份驗(yàn)證單元26,客戶端拒絕用戶操作,斷開網(wǎng)絡(luò)連接,不啟動(dòng)操作系統(tǒng);如圖5所示,在服務(wù)器端5包括下列步驟步驟1)啟動(dòng)用戶身份驗(yàn)證單元52;步驟2)等待客戶端4建立網(wǎng)絡(luò)連接請(qǐng)求;步驟3)如果有客戶端4連接請(qǐng)求,則利用服務(wù)器端網(wǎng)絡(luò)連接功能單元51與客戶端4建立網(wǎng)絡(luò)連接;
步驟4)通過用戶身份驗(yàn)證單元52驗(yàn)證客戶端4送來的用戶身份信息是否合法;步驟5)得出驗(yàn)證結(jié)論,并用數(shù)據(jù)加解密單元25加密,反饋到客戶端4,步驟6)關(guān)閉本次網(wǎng)絡(luò)連接。
本發(fā)明利用EFI BIOS基礎(chǔ)特性,實(shí)現(xiàn)了一種適用性較強(qiáng)支持BIOS底層身份安全認(rèn)證機(jī)制。它安全有效的解決了操作系統(tǒng)啟動(dòng)之前的BIOS安全性問題,具有非常實(shí)用的實(shí)現(xiàn)價(jià)值,有效彌補(bǔ)了現(xiàn)有系統(tǒng)該階段的安全漏洞;同時(shí),在BIOS層面上實(shí)現(xiàn)的身份安全認(rèn)證機(jī)制,和操作系統(tǒng)無關(guān),可移植性能好,是一種全新模式的遠(yuǎn)程身份認(rèn)證機(jī)制;并可與操作系統(tǒng)之上的安全保護(hù)機(jī)制結(jié)合起來,形成完善的系統(tǒng)安全認(rèn)證方案,全面保護(hù)計(jì)算機(jī)安全。其比較傳統(tǒng)BIOS的實(shí)現(xiàn)方法更為簡(jiǎn)單,效果更好,可以支持網(wǎng)絡(luò)遠(yuǎn)程認(rèn)證,硬件支持機(jī)制,相比于傳統(tǒng)BIOS具有較大技術(shù)優(yōu)勢(shì);靈活運(yùn)用EFI驅(qū)動(dòng)程序,支持多種安全認(rèn)證硬件設(shè)備,易于實(shí)現(xiàn),靈活性較強(qiáng),且不會(huì)影響EFI BIOS的其它部分,這樣,硬件設(shè)備及驅(qū)動(dòng)可以由不同的IHV廠商提供,并可以方便的集成入計(jì)算機(jī)系統(tǒng);本發(fā)明還提供友好性更好的圖形用戶安全管理器界面,具有更好的安全性、易用性和靈活性,用戶使用統(tǒng)一的圖形界面完成BIOS用戶安全管理配置功能,使得該安全配置更加一致化,避免了不必要的誤操作。
上述具體實(shí)施方式
僅為詳細(xì)說明本發(fā)明的技術(shù)方案,并不是對(duì)本發(fā)明的限制,本領(lǐng)域的技術(shù)人員在不脫離本發(fā)明技術(shù)方案的主旨的情況下所作的變化者在本發(fā)明的保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng),包括硬件和軟件,其特征在于,所述軟件包括EFI用戶身份認(rèn)證觸發(fā)單元(21),用于判斷計(jì)算機(jī)系統(tǒng)的安全等級(jí),并決定是否在進(jìn)入操作系統(tǒng)前執(zhí)行身份認(rèn)證;EFI用戶身份標(biāo)識(shí)單元(22),用于用戶輸入身份信息后,通過身份標(biāo)識(shí)列表生成身份標(biāo)識(shí);用戶身份驗(yàn)證單元(23),用于響應(yīng)收到的認(rèn)證請(qǐng)求,通過身份驗(yàn)證列表進(jìn)行認(rèn)證。
2.根據(jù)權(quán)利要求1所述的底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng),其特征在于,還包括EFI安全管理單元(24),用于設(shè)置EFI BIOS的安全等級(jí)。
3.根據(jù)權(quán)利要求2所述的底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng),其特征在于,所述硬件包括與所述計(jì)算機(jī)系統(tǒng)控制總線連接的具備安全受保護(hù)存儲(chǔ)區(qū)域并用于支持用戶身份信息安全存儲(chǔ)的安全設(shè)備;所述軟件還包括用于驅(qū)動(dòng)所述的安全設(shè)備的安全設(shè)備驅(qū)動(dòng)單元(31)。
4.根據(jù)權(quán)利要求3所述的底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng),其特征在于,所述安全設(shè)備為Ikey設(shè)備或者指紋識(shí)別儀。
5.一種底層身份認(rèn)證的方法,其特征在于,包括下列步驟步驟1)用戶啟動(dòng)計(jì)算機(jī)系統(tǒng),在完成EFI BIOS自檢過程,平臺(tái)初始化結(jié)束后,啟動(dòng)EFI用戶身份認(rèn)證觸發(fā)單元(21);步驟2)判斷計(jì)算機(jī)系統(tǒng)的安全等級(jí),根據(jù)設(shè)定安全等級(jí)直接進(jìn)入操作系統(tǒng)啟動(dòng)或者執(zhí)行下一步;步驟3)提示用戶執(zhí)行用戶身份認(rèn)證,用戶輸入信息;步驟4)啟動(dòng)EFI用戶身份標(biāo)識(shí)單元(22),獲得用戶身份標(biāo)識(shí);步驟5)激活用戶身份驗(yàn)證單元(23),驗(yàn)證用戶身份信息的合法性;步驟6)如果用戶是合法用戶,則啟動(dòng)操作系統(tǒng);否則,拒絕用戶操作,不啟動(dòng)操作系統(tǒng)。
6.根據(jù)權(quán)利要求5所述底層身份認(rèn)證的方法,其特征在于,所述步驟1)還包括如下步驟步驟11)啟動(dòng)EFI用戶身份認(rèn)證觸發(fā)單元后,系統(tǒng)等待時(shí)間T,并在系統(tǒng)界而上提示用戶可以按下特定功能鍵改變計(jì)算機(jī)系統(tǒng)安全等級(jí),當(dāng)用戶按下特定功能鍵時(shí),啟動(dòng)EFI安全管理單元(24);步驟12)在EFI安全管理單元(24)啟動(dòng)后,顯示EFI安全管理器界面,用戶在界面上對(duì)安全級(jí)別進(jìn)行選擇,保存或者取消后退出安全管理器,系統(tǒng)重新啟動(dòng)。
7.根據(jù)權(quán)利要求6所述的底層身份認(rèn)證的方法,其特征在于,所述步驟11)還包括如下步驟步驟111)提示用戶執(zhí)行用戶身份認(rèn)證,用戶輸入信息;步驟112)啟動(dòng)EFI用戶身份標(biāo)識(shí)單元(22),獲得用戶身份標(biāo)識(shí);步驟113)激活用戶驗(yàn)證單元(23),驗(yàn)證用戶身份信息的合法性;步驟114)如果用戶是合法用戶,則啟動(dòng)EFI安全管理單元(24);否則,拒絕用戶操作,重新啟動(dòng)系統(tǒng)。
8.一種底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng),包括客戶端(4)與服務(wù)器端(5),其特征在于,所述客戶端包括EFI用戶身份認(rèn)證觸發(fā)單元(21),用于判斷計(jì)算機(jī)系統(tǒng)的安全等級(jí),并決定是否在進(jìn)入操作系統(tǒng)前執(zhí)行身份認(rèn)證;EFI用戶身份標(biāo)識(shí)單元(22),用于用戶輸入身份信息后,通過身份標(biāo)識(shí)列表生成身份標(biāo)識(shí);客戶端用戶身份驗(yàn)證單元(26),用于將用戶身份標(biāo)識(shí)發(fā)送到服務(wù)器端,并接收服務(wù)器端驗(yàn)證結(jié)果;EFI網(wǎng)絡(luò)連接功能單元(32),用于連接到服務(wù)器端,對(duì)服務(wù)器端進(jìn)行訪問和控制;服務(wù)器端包括服務(wù)器端網(wǎng)絡(luò)連接功能單元(51),用于響應(yīng)客戶端連接要求,使客戶端能夠?qū)Ψ?wù)器端進(jìn)行訪問和控制;服務(wù)器端用戶身份驗(yàn)證單元(52),用于響應(yīng)收到的認(rèn)證請(qǐng)求,通過身份驗(yàn)證列表進(jìn)行認(rèn)證,并將結(jié)果反饋回客戶端用戶身份驗(yàn)證單元。
9.根據(jù)權(quán)利要求8所述的底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng),其特征在于,所述客戶端還包括EFI安全管理單元(24),用于設(shè)置EFI BIOS的安全等級(jí);數(shù)據(jù)加解密單元(25),用于以及對(duì)在服務(wù)器端(5)與客戶端(4)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加解密;所述數(shù)據(jù)加解密單元(25)存儲(chǔ)在服務(wù)器端(5)和客戶端(4)。
10.根據(jù)權(quán)利要求9所述的底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng),其特征在于,所述硬件包括具有與所述計(jì)算機(jī)系統(tǒng)控制總線連接的具備安全受保護(hù)存儲(chǔ)區(qū)域用于支持用戶身份信息安全存儲(chǔ)的安全設(shè)備。所述軟件還包括用于驅(qū)動(dòng)所述的安全設(shè)備的安全設(shè)備驅(qū)動(dòng)單元(31)。
11.根據(jù)權(quán)利要求10所述的底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng),其特征在于,所述安全設(shè)備為Ikey設(shè)備或者指紋識(shí)別儀。
12.一種底層身份認(rèn)證的方法,其特征在于,在客戶端(4)包括如下步驟步驟1)用戶啟動(dòng)計(jì)算機(jī)系統(tǒng),在完成EFI BIOS自檢過程,平臺(tái)初始化結(jié)束后,啟動(dòng)EFI用戶身份認(rèn)證觸發(fā)單元(21);步驟2)判斷計(jì)算機(jī)系統(tǒng)的安全等級(jí),根據(jù)設(shè)定安全等級(jí)直接進(jìn)入操作系統(tǒng)啟動(dòng)或者執(zhí)行下一步;步驟3)提示用戶執(zhí)行用戶身份認(rèn)證,用戶輸入信息;步驟4)啟動(dòng)EFI用戶身份標(biāo)識(shí)單元(22),獲得用戶身份標(biāo)識(shí);步驟5)激活EFI網(wǎng)絡(luò)連接功能單元(31),與服務(wù)器端網(wǎng)絡(luò)連接功能單元(51)建立網(wǎng)絡(luò)連接;步驟6)啟動(dòng)數(shù)據(jù)加解密單元(25),對(duì)在服務(wù)器端(5)與客戶端(4)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加解密;步驟7)將用戶身份信息加密后,通過客戶端用戶身份驗(yàn)證單元(26)傳送到服務(wù)器端(5),服務(wù)器端(5)利用數(shù)據(jù)加解密單元(25)解密數(shù)據(jù),獲取用戶信息,并啟動(dòng)用戶身份驗(yàn)證單元(52),驗(yàn)證用戶身份信息的合法性;步驟8)如果用戶是合法用戶,反饋驗(yàn)證通過的信息給客戶端(4)的客戶端用戶身份驗(yàn)證單元(26),啟動(dòng)操作系統(tǒng);否則,反饋驗(yàn)證未通過信息給客戶端(4)的客戶端用戶身份驗(yàn)證單元(26),客戶端(4)拒絕用戶操作,斷開網(wǎng)絡(luò)連接,不啟動(dòng)操作系統(tǒng);在服務(wù)器端(5)包括下列步驟步驟1)啟動(dòng)用戶身份驗(yàn)證單元(52);步驟2)等待客戶端(4)建立網(wǎng)絡(luò)連接請(qǐng)求;步驟3)如果有客戶端(4)連接請(qǐng)求,則利用服務(wù)器端網(wǎng)絡(luò)連接功能單元(51)與客戶端(4)建立網(wǎng)絡(luò)連接;步驟4)通過用戶身份驗(yàn)證單元(52)驗(yàn)證客戶端(4)送來的用戶身份信息是否合法;步驟5)得出驗(yàn)證結(jié)論,并用數(shù)據(jù)加解密單元(25)加密,反饋到客戶端(4),步驟6)關(guān)閉本次網(wǎng)絡(luò)連接。
13.根據(jù)權(quán)利要求12所述底層身份認(rèn)證的方法,其特征在于,所述客戶端(4)步驟1)還包括如下步驟步驟11)啟動(dòng)EFI用戶身份認(rèn)證觸發(fā)單元(21)后,系統(tǒng)等待時(shí)間T,并在系統(tǒng)界面上提示用戶可以按下特定功能鍵改變計(jì)算機(jī)系統(tǒng)安全等級(jí),當(dāng)用戶按下特定功能鍵時(shí),啟動(dòng)EFI安全管理器單元(24);步驟12)在EFI安全管理器單元(24)啟動(dòng)后,顯示EFI安全管理器界面,用戶在界面上對(duì)安全級(jí)別進(jìn)行選擇,保存或者取消后退出安全管理器,系統(tǒng)重新啟動(dòng)。
14.根據(jù)權(quán)利要求13所述的底層身份認(rèn)證的方法,其特征在于,所述步驟11)還包括如下步驟步驟111)提示用戶執(zhí)行用戶身份認(rèn)證,用戶輸入信息;步驟112)啟動(dòng)EFI用戶身份標(biāo)識(shí)單元(22),獲得用戶身份標(biāo)識(shí);步驟113)激活EFI網(wǎng)絡(luò)連接功能單元(32),與服務(wù)器端網(wǎng)絡(luò)連接功能單元(51)建立網(wǎng)絡(luò)連接;步驟114)啟動(dòng)數(shù)據(jù)加解密單元(25),對(duì)在服務(wù)器端(5)與客戶端(4)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加解密;步驟115)將用戶身份信息加密后,傳送到服務(wù)器端(5),服務(wù)器端(5)利用數(shù)據(jù)加解密單元(25)解密數(shù)據(jù),獲取用戶信息,并啟動(dòng)用戶驗(yàn)證單元(52),驗(yàn)證用戶身份信息的合法性;步驟116)如果用戶是合法用戶,反饋驗(yàn)證通過的信息給客戶端(4),則啟動(dòng)EFI安全管理器單元(24);否則,反饋驗(yàn)證未通過信息給客戶端(4),客戶端(4)拒絕用戶操作,斷開網(wǎng)絡(luò)連接,重新啟動(dòng)系統(tǒng)。
全文摘要
一種底層身份認(rèn)證的計(jì)算機(jī)系統(tǒng)和方法,包括EFI用戶身份認(rèn)證觸發(fā)單元(21);EFI用戶身份標(biāo)識(shí)單元(22);用戶身份驗(yàn)證單元(23);EFI安全管理單元(24)。用戶啟動(dòng)計(jì)算機(jī)系統(tǒng),在平臺(tái)初始化結(jié)束后,啟動(dòng)EFI用戶身份認(rèn)證觸發(fā)單元(21);判斷計(jì)算機(jī)系統(tǒng)的安全等級(jí),根據(jù)設(shè)定安全等級(jí)直接進(jìn)入操作系統(tǒng)啟動(dòng)或者執(zhí)行下一步;提示用戶執(zhí)行用戶身份認(rèn)證,用戶輸入信息;啟動(dòng)EFI用戶身份標(biāo)識(shí)單元(22),獲得用戶信息標(biāo)識(shí);激活用戶身份驗(yàn)證單元(23),驗(yàn)證用戶身份信息的合法性;如果用戶是合法用戶,則啟動(dòng)操作系統(tǒng);否則,拒絕用戶操作,不啟動(dòng)操作系統(tǒng)。其實(shí)現(xiàn)方法簡(jiǎn)單而實(shí)用,具有支持功能強(qiáng)大,適用性強(qiáng)等優(yōu)點(diǎn)。
文檔編號(hào)H04L9/00GK1936761SQ20051010539
公開日2007年3月28日 申請(qǐng)日期2005年9月23日 優(yōu)先權(quán)日2005年9月23日
發(fā)明者張怡, 席振新, 周建, 田宏萍 申請(qǐng)人:聯(lián)想(北京)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1