專(zhuān)利名稱(chēng):基于擴(kuò)展bios技術(shù)的計(jì)算機(jī)安全信息卡及其操作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計(jì)算機(jī)信息安全領(lǐng)域,具體涉及一種基于擴(kuò)展BT0S技術(shù)的計(jì)算機(jī)安全信息卡����。
背景技術(shù):
傳統(tǒng)計(jì)算機(jī)信息安全的實(shí)現(xiàn)方案分為兩大類(lèi)
一類(lèi)是軟件技術(shù)方案。這是目前應(yīng)用最多的技術(shù)���,利用安全防護(hù)軟件實(shí)現(xiàn)計(jì)算機(jī)信息安全���, 這種技術(shù)具有成本低、開(kāi)發(fā)靈活��、軟件易安裝等優(yōu)點(diǎn)���,但也存在一些不足
1、 系統(tǒng)重裝�,需要重新安裝安全防護(hù)軟件,使用上不方便�;
2、 使用者可以使用"格式化"或"鏡像恢復(fù)"的辦法去掉安全防護(hù)軟件����,使計(jì)算機(jī)脫離 安全管控,信息處于危險(xiǎn)當(dāng)中�;
3��、 安全防護(hù)軟件存在漏洞���,木馬、病毒會(huì)攻擊安全防護(hù)軟件��,停掉保護(hù)進(jìn)程��,使安全防 護(hù)失效�����。
另一類(lèi)是硬件技術(shù)方案��。如帶加密芯片的硬盤(pán)�����、安全U盤(pán)�����,其具有安全性高����、硬件加密破 解難等優(yōu)點(diǎn)��;但存在一些不足
1�、 硬件成本高����,價(jià)格昂貴,普遍適用性差��;
2�����、 操作不靈活����,很難根據(jù)新情況添加新功能,二次開(kāi)發(fā)難度大�,硬件重復(fù)利用率不高��。 通過(guò)分析軟�、硬件技術(shù)方案的優(yōu)缺點(diǎn)后, 一種利用BIOS剩余空間的"固件"方案產(chǎn)生��,
這種方案結(jié)合了軟硬件技術(shù)方案的優(yōu)點(diǎn)�����,將安全防護(hù)軟件放到計(jì)算機(jī)的BIOS中,節(jié)省了硬件 成本���,同時(shí)使安全防護(hù)軟件與硬盤(pán)無(wú)關(guān)�,體現(xiàn)了硬件可靠性的優(yōu)點(diǎn)��;往BIOS中可以寫(xiě)入任意 代碼�����,體現(xiàn)了軟件靈活的優(yōu)點(diǎn)�。但此種"固件"方案帶來(lái)的新問(wèn)題在于-
1、各個(gè)計(jì)算機(jī)的BIOS版本差別很大��,而且同一計(jì)算機(jī)的BIOS會(huì)有升級(jí)的問(wèn)題��,會(huì)造成 技術(shù)人員疲于奔命的問(wèn)題����;
42、 BIOS剩余空間大小有限�����,很難放入復(fù)雜的安全防護(hù)軟件。
發(fā)明內(nèi)容
本發(fā)明的目的正是針對(duì)現(xiàn)有技術(shù)所存在的技術(shù)缺陷��,結(jié)合了軟硬件技術(shù)方案的優(yōu)點(diǎn)��,利用 PC機(jī)體系中的"擴(kuò)展BIOS"規(guī)范�����,通過(guò)一塊PCI插卡�,在計(jì)算機(jī)加電時(shí)先于操作系統(tǒng)獲得計(jì) 算機(jī)的控制權(quán),然后將安全防護(hù)軟件從安全信息卡上植入操作系統(tǒng)中��,操作系統(tǒng)引導(dǎo)時(shí)就會(huì)自 動(dòng)執(zhí)行安全防護(hù)軟件�,從而保證計(jì)算機(jī)信息安全所提出的一種基于擴(kuò)展BIOS技術(shù)的計(jì)算機(jī)安 全信息卡及其操作方法。
為達(dá)到上述目的�����,本發(fā)明第一特征在于提供一種基于擴(kuò)展BIOS技術(shù)的計(jì)算機(jī)安全信息卡�, 包括一塊為PCI插卡的安全信息卡,安全信息卡上安裝有用以實(shí)現(xiàn)密碼認(rèn)證�����、數(shù)據(jù)加密���、系統(tǒng) 數(shù)據(jù)備份��、計(jì)算機(jī)接口監(jiān)控和網(wǎng)絡(luò)傳輸加密功能的安全防護(hù)軟件��,其安全防護(hù)軟件安裝有引導(dǎo) 植入程序�����、植入驅(qū)動(dòng)程序和運(yùn)行程序三部分��。
第二特征在于提供一種基于擴(kuò)展BIOS技術(shù)的計(jì)算機(jī)安全信息卡,實(shí)現(xiàn)計(jì)算機(jī)信息安全的操 作方法����,其特征在于包括以下步驟-
a��、 通過(guò)使用PCI橋接芯片CH362將安全信息卡上的64KB的Flash-Memory 29C512和計(jì)算機(jī)的 PCI插槽相連接����,安全信息卡采用PCI規(guī)范的ExpansionROM機(jī)制,在Flash-Memory上存 在用于植入計(jì)算機(jī)的代碼�,利用擴(kuò)展BIOS技術(shù),計(jì)算機(jī)上的BIOS進(jìn)行POST自檢時(shí)會(huì)掃描 具有擴(kuò)展BIOS標(biāo)記的板卡�����,當(dāng)計(jì)算機(jī)的指令指針跳到安全信息卡的代碼映像空間時(shí)執(zhí)行該 空間的代碼,植入代碼并掃描硬盤(pán)���,安全信息卡在操作系統(tǒng)引導(dǎo)之前會(huì)檢查是否有安全防 護(hù)軟件植入到計(jì)算機(jī)����,若無(wú)����,則會(huì)重新植入,并將植入的安全防護(hù)軟件驅(qū)動(dòng)寫(xiě)到系統(tǒng)區(qū)硬 盤(pán)上�;
b、 采用INT13來(lái)讀取硬盤(pán)扇區(qū)以完成進(jìn)一步的引導(dǎo)����,植入時(shí)將安全信息卡上的程序數(shù)據(jù)放在 分配的硬盤(pán)空間并通過(guò)INT13掃描相關(guān)編碼,然后分配內(nèi)存空間容納安裝程序��,再按照堆棧����、數(shù)據(jù)、代碼段映射程序空間�����,在內(nèi)存修改跳轉(zhuǎn)����,為保護(hù)模式初始化執(zhí)行環(huán)境,完成安 裝程序運(yùn)行��,當(dāng)操作系統(tǒng)進(jìn)入保護(hù)模式后�,會(huì)再一次執(zhí)行指令,同時(shí)掛入一個(gè)Driver到系 統(tǒng)的驅(qū)動(dòng)鏈表里�,實(shí)現(xiàn)將安全信息卡內(nèi)的軟件導(dǎo)入到操作系統(tǒng);
c�、 植入后,操作系統(tǒng)引導(dǎo)時(shí)就會(huì)自動(dòng)執(zhí)行安全防護(hù)軟件�,計(jì)算機(jī)加電后在BIOS之前就會(huì)要求 進(jìn)行密碼認(rèn)證,通過(guò)密碼認(rèn)證后方可進(jìn)入�����,從最底層給計(jì)算機(jī)加了一把安全鎖����,實(shí)現(xiàn)對(duì)進(jìn) 入計(jì)算機(jī)的人員身份認(rèn)證;
d���、 操作系統(tǒng)啟動(dòng)后����,安全信息卡運(yùn)行程序會(huì)利用植入驅(qū)動(dòng)程序在操作系統(tǒng)中開(kāi)一個(gè)進(jìn)程并以 SYSTEM權(quán)限運(yùn)行,用以實(shí)現(xiàn)安全信息卡的功能���,安全信息卡程序會(huì)被定時(shí)的運(yùn)行�����,以檢査 安全防護(hù)軟件運(yùn)行是否正常���,如果不正常就會(huì)重新安裝,當(dāng)程序運(yùn)行進(jìn)程被強(qiáng)制卸載�,計(jì) 算機(jī)將會(huì)在卸載時(shí)出現(xiàn)重啟動(dòng)或藍(lán)屏現(xiàn)象,卡上軟件運(yùn)行后�����,實(shí)現(xiàn)密碼認(rèn)證����、數(shù)據(jù)加密、 系統(tǒng)數(shù)據(jù)備份�、計(jì)算機(jī)接口監(jiān)控和網(wǎng)絡(luò)傳輸加密等功能�����;
e�、 進(jìn)入操作系統(tǒng)后�,所有操作系統(tǒng)內(nèi)登記的軟件將以watchdog的機(jī)制定時(shí)向安全信息卡發(fā)送 加密認(rèn)證計(jì)數(shù)�����,若其中某一登記的軟件沒(méi)在指定時(shí)刻內(nèi)向安全信息卡發(fā)送加密認(rèn)證計(jì)數(shù)��, 計(jì)算機(jī)則強(qiáng)制重啟��,從而保護(hù)了計(jì)算機(jī)的安全和穩(wěn)定�����。
本發(fā)明并不直接針對(duì)計(jì)算機(jī)自身的BIOS�,而是利用PC機(jī)體系中的"擴(kuò)展BI0S"規(guī)范,通 過(guò)一塊PCI插卡�����,在計(jì)算機(jī)加電時(shí)先于操作系統(tǒng)獲得計(jì)算機(jī)的控制權(quán)�,然后將安全防護(hù)軟件從 安全信息卡上植入操作系統(tǒng)中�����,操作系統(tǒng)引導(dǎo)時(shí)就會(huì)自動(dòng)執(zhí)行安全防護(hù)軟件�����,保證了計(jì)算機(jī)信 息安全��。同時(shí)安全信息卡上留有大量的存儲(chǔ)空間且能擴(kuò)充�,從而達(dá)到開(kāi)發(fā)安全防護(hù)功能����,裝載 各種安全防護(hù)軟件,實(shí)現(xiàn)安全防護(hù)系統(tǒng)等目的����。此外安全信息卡隔離了BIOS復(fù)雜難懂的規(guī)范, 降低了軟件開(kāi)發(fā)的難度����。安全信息卡具有功能強(qiáng)、信息安全度高�����、成本低、可靠性高�����、開(kāi)發(fā)靈 活����、使用方便和重復(fù)利用率高等優(yōu)點(diǎn),針對(duì)不同用戶(hù)群����,提供了可信賴(lài)服務(wù)�,加強(qiáng)了計(jì)算機(jī)的 安全,使計(jì)算機(jī)成為可信賴(lài)的安全設(shè)備�。
圖l是本發(fā)明的基本原理圖2是本發(fā)明的軟件架構(gòu)圖3是安全信息卡的引導(dǎo)植入程序流程圖4是安全信息卡的植入驅(qū)動(dòng)程序流程圖5是安全信息卡的電路原理圖6是安全信息卡的結(jié)構(gòu)示意圖。
具體實(shí)施例方式
根據(jù)圖1所示�����,本發(fā)明的安全信息卡通過(guò)使用PCI橋接芯片CH362將卡上的64KB的Flash-Memory 29C512和計(jì)算機(jī)的PCI插槽相連�����,采用PCI規(guī)范的ExpansionROM機(jī)制����,在Flash-Memory上存在用于植入的代碼���,PC機(jī)的BIOS進(jìn)行POST自檢時(shí)會(huì)掃描具有擴(kuò)展BIOS標(biāo)記的板卡,指令指針跳到板卡的代碼映像空間執(zhí)行該空間代碼�����,植入代碼掃描硬盤(pán)����,將植入驅(qū)動(dòng)寫(xiě)到系統(tǒng)區(qū)硬盤(pán)上,然后在操作系統(tǒng)引導(dǎo)時(shí)啟動(dòng)植入驅(qū)動(dòng)�,將安全信息卡內(nèi)的安全防護(hù)軟件植入操作系統(tǒng)中,并完成安全信息卡軟件功能�����。
圖中的U3 (24C01A)可以用于在計(jì)算機(jī)關(guān)閉期間繼續(xù)保存重要的數(shù)據(jù)���,如擴(kuò)展ROM卡的啟動(dòng)模式����、擴(kuò)展R0M卡的序列號(hào)��、用戶(hù)的密碼信息等。
根據(jù)圖2至圖5所示���,本發(fā)明的安全信息卡上安裝有包括引導(dǎo)植入程序���、植入驅(qū)動(dòng)程序和運(yùn)行程序三部分的安全防護(hù)軟件,用于完成卡上程序的引導(dǎo)��、卡上程序植入操作系統(tǒng)和實(shí)現(xiàn)安全信息卡功能��。
安全信息卡的引導(dǎo)植入程序1是在實(shí)際操作模式下取得控制權(quán)的�����,即在操作系統(tǒng)引導(dǎo)時(shí)刻�����,掃描當(dāng)前計(jì)算機(jī)硬盤(pán)�,采用INT13來(lái)讀取硬盤(pán)扇區(qū)以完成進(jìn)一步的引導(dǎo)����,植入時(shí)將安全信息卡上程序數(shù)據(jù)放在分配的硬盤(pán)空間,并通過(guò)INT13掃描相關(guān)編碼�����,在內(nèi)存修改跳轉(zhuǎn),為保護(hù)模式初始化執(zhí)行環(huán)境�,當(dāng)操作系統(tǒng)進(jìn)入保護(hù)模式后,會(huì)再一次執(zhí)行指令����,同時(shí)掛入一個(gè)Driver到系統(tǒng)的驅(qū)動(dòng)鏈表里,實(shí)現(xiàn)將安全信息卡內(nèi)的軟件導(dǎo)入操作系統(tǒng)�。
植入驅(qū)動(dòng)程序2是一個(gè)標(biāo)準(zhǔn)的與操作系統(tǒng)相關(guān)的驅(qū)動(dòng)程序,它的作用是讓安全信息卡上要被安裝的軟件自動(dòng)運(yùn)行�����。操作系統(tǒng)運(yùn)行安全信息卡的植入驅(qū)動(dòng)后�����,植入驅(qū)動(dòng)首先到特定的硬盤(pán)空間上取得要被安裝運(yùn)行的程序�,然后分配內(nèi)存空間容納安裝程序,最后按照堆棧�����、數(shù)據(jù)、代碼段映射程序空間���,完成安裝程序運(yùn)行���。
安全信息卡的運(yùn)行程序3啟動(dòng)之后,主要完成五方面的功能
(1) 密碼認(rèn)證計(jì)算機(jī)加電后在BIOS之前就會(huì)要求密碼認(rèn)證����,通過(guò)后方可進(jìn)入,從最底層給計(jì)算機(jī)加了一把安全鎖�����;
(2) 數(shù)據(jù)加密即使硬盤(pán)���、U盤(pán)等丟失�����,被第三方得到后無(wú)法讀出有用的內(nèi)容;
(3) 數(shù)據(jù)系統(tǒng)備份實(shí)現(xiàn)數(shù)據(jù)導(dǎo)出����、系統(tǒng)容災(zāi)恢復(fù),保證系統(tǒng)崩潰時(shí)的數(shù)據(jù)信息安全;
(4) 接口監(jiān)控通過(guò)監(jiān)控網(wǎng)卡(有線�����、無(wú)線)�����、USB口����、串口、紅外���、藍(lán)牙等涉外接口�,達(dá)到對(duì)進(jìn)出計(jì)算機(jī)的數(shù)據(jù)信息的監(jiān)控��、隔離保護(hù)�����,防止外部供給以及內(nèi)部資料外泄��;
(5) 網(wǎng)絡(luò)傳輸加密對(duì)通過(guò)網(wǎng)卡(包括動(dòng)態(tài)加入的USB網(wǎng)卡)的數(shù)據(jù)進(jìn)行加密傳輸����,并進(jìn)行網(wǎng)絡(luò)通信驗(yàn)證����,從而達(dá)到以下三個(gè)目的
① 通信雙方都有安全信息卡才能通信�。這樣即使計(jì)算機(jī)被接入Internet,如果對(duì)端計(jì)算機(jī)沒(méi)有安全信息卡,通信將失敗����。
② 通信數(shù)據(jù)在傳輸時(shí)被加密,即使被第三方截收��,也是亂碼(通信加密算法開(kāi)發(fā)人員可以自己另外定制加入)����。
③ 對(duì)于網(wǎng)絡(luò)實(shí)現(xiàn),沒(méi)有安裝安全信息卡的計(jì)算機(jī)將無(wú)法接入網(wǎng)絡(luò)��。
所有關(guān)注的軟件將以watchdog的機(jī)制定時(shí)向安全信息卡發(fā)送加密認(rèn)證計(jì)數(shù)���,如果某登記的軟件沒(méi)在指定時(shí)刻內(nèi)"報(bào)到"�����,計(jì)算機(jī)將強(qiáng)制重啟,訪問(wèn)密鑰是只能對(duì)卡讀寫(xiě),作為單位保證數(shù)據(jù)能在一個(gè)單位內(nèi)部自由流轉(zhuǎn)����;作為個(gè)人保證數(shù)據(jù)只能在個(gè)人手上。
根據(jù)圖6所示���,由于本發(fā)明的安全信息卡是一塊PCI插卡��,可用于帶PCI插槽的PC機(jī)中����,無(wú)需軟件安裝�,使用時(shí)只需將安全信息卡插入計(jì)算機(jī)上任意一個(gè)PCI插槽即可,事先儲(chǔ)存于安全信息卡的一系列功能通過(guò)硬件的方法植入計(jì)算機(jī)上的操作系統(tǒng)��,與操作系統(tǒng)內(nèi)核緊密結(jié)合在一起���,發(fā)揮作用���。
本發(fā)明的安全信息卡包括Demo版安全信息卡和正式版安全信息卡兩種,其中Demo版安全信息卡用于測(cè)試�����、調(diào)試,支持windows2000��、 2003��、 XP的操作系統(tǒng)��,不支持vista系統(tǒng)��,正式版安全信息卡作為產(chǎn)品應(yīng)用�,支持windows2000、 2003��、 XP和vista操作系統(tǒng)��。
計(jì)算機(jī)通電啟動(dòng)后�,會(huì)要求進(jìn)行密碼認(rèn)證,其中Demo版安全信息卡會(huì)出現(xiàn)"0000psw:"的提示符��,只要直接按回車(chē)鍵就可以繼續(xù)�,正式版安全信息卡則要求輸入密碼,安全信息卡的密碼設(shè)置代碼要求用戶(hù)設(shè)置的口令必須是強(qiáng)口令(強(qiáng)口令是指不容易被破解的��,含有特殊字符��,且擁有足夠的長(zhǎng)度以及多種字符類(lèi)型的混合)�����,不允許簡(jiǎn)單的使用字母��、數(shù)字和單詞��,提高密碼強(qiáng)度����,以保證認(rèn)證安全。
操作系統(tǒng)啟動(dòng)后��,安全信息卡運(yùn)行程序會(huì)利用植入驅(qū)動(dòng)在操作系統(tǒng)中開(kāi)一個(gè)進(jìn)程��,以SYSTEM權(quán)限運(yùn)行��,以實(shí)現(xiàn)安全信息卡的功能����;安全信息卡程序會(huì)被定時(shí)的運(yùn)行,以檢査安全防護(hù)軟件運(yùn)行是否正常����,如果不正常就會(huì)重新安裝,當(dāng)程序運(yùn)行進(jìn)程被強(qiáng)制卸載�����,計(jì)算機(jī)將會(huì)在卸載時(shí)出現(xiàn)重啟動(dòng)或藍(lán)屏。
目前Demo版安全信息卡只能完成網(wǎng)絡(luò)通信加密和不允許沒(méi)有安裝安全信息卡的計(jì)算^L間相互通信的功能��,而正式版安全信息卡能夠完成��,密碼認(rèn)證�����、個(gè)人數(shù)據(jù)加密��、數(shù)據(jù)(系統(tǒng))備份�、計(jì)算機(jī)接口監(jiān)控以及網(wǎng)絡(luò)通信加密和不允許沒(méi)有安裝安全信息卡的計(jì)算機(jī)間相互通信的功能,對(duì)于Demo版安全信息卡�����,當(dāng)卡拔掉后���,計(jì)算機(jī)仍能夠正常啟動(dòng)��,網(wǎng)絡(luò)通信加密仍然有效�;而正式版安全信息卡拔掉后�,計(jì)算機(jī)將不能正常啟動(dòng)�。
9本發(fā)明的安全信息卡還提供了一個(gè)固件平臺(tái)和簡(jiǎn)單的開(kāi)發(fā)接口�,在該平臺(tái)上開(kāi)發(fā)人員可以按照軟件的模式靈活的開(kāi)發(fā)自己的安全防護(hù)軟件,用戶(hù)可以在此前安全防護(hù)軟件的基礎(chǔ)上進(jìn)行少量修改���,就可以將自己的軟件儲(chǔ)存進(jìn)安全信息卡中����,安全信息卡會(huì)自動(dòng)運(yùn)行儲(chǔ)存的軟件��,達(dá)到硬件可靠性的目的�����。
如用戶(hù)將自己的安全防護(hù)軟件打包為一個(gè)安裝可執(zhí)行的程序set叩.exe��,對(duì)該setup, exe的要求是(1)通過(guò)ZIP壓縮后(ZIP壓縮���、解壓縮由安全信息卡完成)的體積能容納進(jìn)安全信息卡的存儲(chǔ)器上;(2)安全信息卡會(huì)定時(shí)的運(yùn)行一次setup.exe (setup.exe是位于安全信息卡內(nèi)部的��,不會(huì)被用戶(hù)和病毒等剔除)�����,因而setup.exe必須做到自己檢查自己的防護(hù)軟件運(yùn)行是否正常,如果不正常就重新安裝�����。
利用開(kāi)發(fā)的專(zhuān)用燒制軟件�,將實(shí)現(xiàn)了數(shù)據(jù)加密、數(shù)據(jù)系統(tǒng)備份�、接口監(jiān)控和數(shù)據(jù)加密傳輸?shù)裙δ艿膕etup.exe燒入安全信息卡內(nèi),從而實(shí)現(xiàn)各種功能�����,這些功能可單獨(dú)構(gòu)造一個(gè)setup, exe,也可合起來(lái)構(gòu)造一個(gè)set叫exe0
安全信息卡基礎(chǔ)版提供了一個(gè)setup, exe以及setup, exe的源代碼��,開(kāi)發(fā)人員按照提供的例子進(jìn)行二次開(kāi)發(fā)��,"燒入"安全信息卡的setup, exe將以SYSTEM權(quán)限運(yùn)行而不管實(shí)際用戶(hù)是以什么身份登錄的�。
通過(guò)這樣的設(shè)計(jì),對(duì)于個(gè)人用戶(hù)通過(guò)數(shù)據(jù)加密�����,保護(hù)了個(gè)人隱私����,通過(guò)系統(tǒng)數(shù)據(jù)備份����,實(shí)現(xiàn)系統(tǒng)恢復(fù)功能����;對(duì)于企業(yè)級(jí)用戶(hù)通過(guò)系統(tǒng)數(shù)據(jù)備份,保證系統(tǒng)崩潰時(shí)的數(shù)據(jù)導(dǎo)出�,實(shí)現(xiàn)系統(tǒng)容災(zāi)恢復(fù),通過(guò)監(jiān)控計(jì)算機(jī)接口�����,使得企業(yè)內(nèi)部的資料不被拷貝外泄�,通過(guò)網(wǎng)卡數(shù)據(jù)加密傳輸��、網(wǎng)絡(luò)通信驗(yàn)證的方式���,實(shí)現(xiàn)安全網(wǎng)絡(luò)�;對(duì)于政府軍隊(duì)用戶(hù)通過(guò)三級(jí)認(rèn)證��,強(qiáng)化計(jì)算機(jī)安全���,通過(guò)數(shù)據(jù)加密���,計(jì)算機(jī)數(shù)據(jù)外泄無(wú)法恢復(fù)�����,保證了數(shù)據(jù)信息的安全��,通過(guò)監(jiān)控計(jì)算機(jī)接口����,防止資料被竊�,通過(guò)網(wǎng)絡(luò)傳輸加密,網(wǎng)絡(luò)通信認(rèn)證��,構(gòu)建可信賴(lài)網(wǎng)絡(luò)����,規(guī)避沒(méi)有安裝安全信息卡的計(jì)算機(jī)接入網(wǎng)絡(luò),適用范圍廣泛����。上述實(shí)施例僅為說(shuō)明本發(fā)明而列舉,并非用于限制本發(fā)明����,任何基于本技術(shù)方案所變換的等同效果的結(jié)構(gòu)�,均屬于本發(fā)明的保護(hù)范圍���。
權(quán)利要求
1�、一種基于擴(kuò)展BIOS技術(shù)的計(jì)算機(jī)安全信息卡���,包括一塊為PCI插卡的安全信息卡�,安全信息卡上安裝有用以實(shí)現(xiàn)密碼認(rèn)證����、數(shù)據(jù)加密、系統(tǒng)數(shù)據(jù)備份�、計(jì)算機(jī)接口監(jiān)控和網(wǎng)絡(luò)傳輸加密功能的安全防護(hù)軟件����,其安全防護(hù)軟件安裝有引導(dǎo)植入程序、植入驅(qū)動(dòng)程序和運(yùn)行程序三部分��。
2����、 一種基于擴(kuò)展BIOS技術(shù)的計(jì)算機(jī)安全信息卡操作方法,其特征在于包括以下歩驟a、 通過(guò)使用PCI橋接芯片CH362將安全信息卡上的64KB的Flash-Memory 29C512和計(jì)算機(jī)的PCI插槽相連接�����,安全信息卡采用PCI規(guī)范的ExpansionROM機(jī)制��,在Flash-Memory上存在用于植入計(jì)算機(jī)的代碼��,利用擴(kuò)展BIOS技術(shù)����,當(dāng)計(jì)算機(jī)BIOS進(jìn)行POST自檢時(shí)會(huì)掃描具有擴(kuò)展BIOS標(biāo)記的板卡,當(dāng)計(jì)算機(jī)的指令指針跳到安全信息卡的代碼映像空間時(shí)執(zhí)行該空間的代碼�,植入代碼并掃描硬盤(pán),安全信息卡在操作系統(tǒng)引導(dǎo)之前會(huì)檢査是否有安全防護(hù)軟件植入到計(jì)算機(jī)��,若無(wú)�����,則會(huì)重新植入����,并將植入的安全防護(hù)軟件驅(qū)動(dòng)寫(xiě)到系統(tǒng)區(qū)硬盤(pán)上;b����、 采用INT13來(lái)讀取硬盤(pán)扇區(qū)以完成進(jìn)一步的引導(dǎo)�,植入時(shí)將安全信息卡上的程序數(shù)據(jù)放在分配的硬盤(pán)空間并通過(guò)INT13掃描相關(guān)編碼���,然后分配內(nèi)存空間容納安裝程序�,再按照堆棧�����、數(shù)據(jù)���、代碼段映射程序空間��,在內(nèi)存修改跳轉(zhuǎn)����,為保護(hù)模式初始化執(zhí)行環(huán)境�����,完成安裝程序運(yùn)行��,當(dāng)操作系統(tǒng)進(jìn)入保護(hù)模式后��,會(huì)再一次執(zhí)行指令���,同時(shí)掛入一個(gè)Driver到系統(tǒng)的驅(qū)動(dòng)鏈表里�����,實(shí)現(xiàn)將安全信息卡內(nèi)的軟件導(dǎo)入到操作系統(tǒng)�����;c�、 植入后����,操作系統(tǒng)引導(dǎo)時(shí)就會(huì)自動(dòng)執(zhí)行安全防護(hù)軟件,計(jì)算機(jī)加電后在BIOS之前就會(huì)要求進(jìn)行密碼認(rèn)證�,通過(guò)密碼認(rèn)證后方可進(jìn)入,從最底層給計(jì)算機(jī)加了一把安全鎖���,實(shí)現(xiàn)對(duì)進(jìn)入計(jì)算機(jī)的人員身份認(rèn)證�;d�、 操作系統(tǒng)啟動(dòng)后,安全信息卡運(yùn)行程序會(huì)利用植入驅(qū)動(dòng)程序在操作系統(tǒng)中開(kāi)一個(gè)進(jìn)程并以SYSTEM權(quán)限運(yùn)行���,用以實(shí)現(xiàn)安全信息卡的功能�����,安全信息卡程序會(huì)被定時(shí)的運(yùn)行�,以檢査安全防護(hù)軟件運(yùn)行是否正常,如果不正常就會(huì)重新安裝���,當(dāng)程序運(yùn)行進(jìn)程被強(qiáng)制卸載��,機(jī)器將會(huì)在卸載時(shí)出現(xiàn)重啟動(dòng)或藍(lán)屏現(xiàn)象����,卡上軟件運(yùn)行后�����,實(shí)現(xiàn)密碼認(rèn)證�����、數(shù)據(jù)加密�����、系統(tǒng)數(shù)據(jù)備份���、計(jì)算機(jī)接口監(jiān)控和網(wǎng)絡(luò)傳輸加密的功能���;e、進(jìn)入操作系統(tǒng)后���,所有操作系統(tǒng)內(nèi)登記的軟件將以watchdog的機(jī)制定時(shí)向安全信息卡發(fā)送加密認(rèn)證計(jì)數(shù)��,若其中某一登記的軟件沒(méi)在指定時(shí)刻內(nèi)向安全信息卡發(fā)送加密認(rèn)證計(jì)數(shù)���,計(jì)算機(jī)則強(qiáng)制重啟,從而保護(hù)了計(jì)算機(jī)的安全和穩(wěn)定�����。
全文摘要
本發(fā)明涉及一種基于擴(kuò)展BIOS技術(shù)的計(jì)算機(jī)安全信息卡及其操作方法��,包括一塊為PCI插卡的安全信息卡�����,該卡利用擴(kuò)展BIOS技術(shù)在計(jì)算機(jī)加電時(shí)先于操作系統(tǒng)獲得計(jì)算機(jī)的控制權(quán),將安全防護(hù)軟件植入操作系統(tǒng)中���,操作系統(tǒng)引導(dǎo)時(shí)就會(huì)自動(dòng)執(zhí)行安全防護(hù)軟件���,從而實(shí)現(xiàn)密碼認(rèn)證、數(shù)據(jù)加密���、系統(tǒng)數(shù)據(jù)備份����、計(jì)算機(jī)接口監(jiān)控和網(wǎng)絡(luò)傳輸加密的眾多功能��,確保信息和計(jì)算機(jī)的安全����,同時(shí)安全信息卡上留有大量的存儲(chǔ)空間且能擴(kuò)充,易于開(kāi)發(fā)安全防護(hù)功能�����,針對(duì)現(xiàn)有軟硬件技術(shù)包括BIOS剩余空間固件方法存在的技術(shù)缺陷���,結(jié)合軟硬件技術(shù)的優(yōu)點(diǎn)�����,為實(shí)現(xiàn)信息安全��、計(jì)算機(jī)可信提供了全新的解決方案�。
文檔編號(hào)G06F21/00GK101477603SQ20091003656
公開(kāi)日2009年7月8日 申請(qǐng)日期2009年1月12日 優(yōu)先權(quán)日2009年1月12日
發(fā)明者楊俊生 申請(qǐng)人:楊俊生