一種uefi中基于key的bios安全認(rèn)證方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開一種UEFI中基于KEY的BIOS安全認(rèn)證方法及系統(tǒng)�����,屬于BIOS管理技術(shù)領(lǐng)域��;利用UEFI���,在UEFI的DXE階段后之后��,BDS之前���,通過接口檢測連接到電腦的KEY設(shè)備,并將KEY初始化為啟動設(shè)備�,根據(jù)讀請求讀取KEY中相關(guān)信息,并將相關(guān)信息存儲到UEFI中�����,進(jìn)行初始化密碼信息加密解密設(shè)置����,利用讀取的KEY中相關(guān)信息設(shè)置KEY初始化密碼,同時生成隨機(jī)數(shù)驗證密碼�,均存儲到UEFI中;比較驗證從KEY中讀取的初始化密碼與UEFI中的相應(yīng)存儲的密碼信息����,如果相等則進(jìn)行下個階段操作,直至啟動系統(tǒng)�����,如果不等則繼續(xù)請求等待���,防止系統(tǒng)啟動����。
【專利說明】
一種UEFI中基于KEY的BI OS安全認(rèn)證方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001 ] 本發(fā)明公開一種UEFI中B1S安全認(rèn)證方法及系統(tǒng),屬于B1S管理技術(shù)領(lǐng)域�,具體地說是一種UEFI中基于KEY的B1S安全認(rèn)證方法及系統(tǒng)。
【背景技術(shù)】
[0002]隨著計算機(jī)的使用越來越普遍����,人們對計算機(jī)的安全性要求也不斷提高。傳統(tǒng)的方法是設(shè)置B1S密碼�,開機(jī)之后輸入密碼驗證進(jìn)入系統(tǒng),這種方法的單個密碼極易受到攻擊�����,不能滿足人們更高安全性要求�����。改進(jìn)的方法利用USB KEY除包括基本的flash存儲模塊���,也包含密碼芯片作為安全管理模塊����,包含可啟動操作系統(tǒng),保護(hù)計算機(jī)系統(tǒng)安全�����,但是需要提前安裝USBKEY的設(shè)備驅(qū)動�����,時常造成使用的不便��。本發(fā)明公開了一種UEFI中基于KEY的B1S安全認(rèn)證方法及系統(tǒng)�,利用UEFI的啟動過程����,將硬件加密認(rèn)證過程設(shè)置在UEFI啟動過程中DXE階段之后,BDS階段之前執(zhí)行���。利用UEFI���,在UEFI的DXE階段后之后,BDS之前���,通過接口檢測連接到電腦的KEY設(shè)備���,并將KEY初始化為啟動設(shè)備����,根據(jù)讀請求讀取KEY中相關(guān)信息����,并將相關(guān)信息存儲到UEFI中,進(jìn)行初始化密碼信息加密解密設(shè)置���,利用讀取的KEY中相關(guān)信息設(shè)置KEY初始化密碼����,同時生成隨機(jī)數(shù)驗證密碼�����,均存儲到UEFI中���;比較驗證從KEY中讀取的初始化密碼與UEFI中的相應(yīng)存儲的密碼信息�,如果相等則進(jìn)行下個階段操作�,直至啟動系統(tǒng),如果不等則繼續(xù)請求等待���,防止系統(tǒng)啟動����。
[0003 ] UEFI 的啟動包括 SEC、PE1����、DXE、BDS�、TSL�、RT幾個階段,其中 SEC S 卩 se cur i ty 設(shè)置 CPU的保護(hù)模式����,PEI即EFI前初始化PEI,DXE即執(zhí)行驅(qū)動�、安裝Device handle、安裝protocol����,BDS即開機(jī)設(shè)備選擇,TSL即暫時性系統(tǒng)載入�,RT即運行時間等幾個階段。在不同的階段增加密碼驗證�,使安全保護(hù)程度不同����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明針對現(xiàn)有技術(shù)的問題�,提供一種UEFI中基于KEY的B1S安全認(rèn)證方法及系統(tǒng),通過初始化KEY和UEFI固件�,用硬件加密認(rèn)證來達(dá)到保護(hù)計算機(jī)系統(tǒng)安全的目的。
[0005]本發(fā)明提出的具體方案是:
一種UEFI中基于KEY的B1S安全認(rèn)證方法����,利用UEFI,在UEFI的DXE階段后之后�����,BDS之前����,通過接口檢測連接到電腦的KEY設(shè)備,并將KEY初始化為啟動設(shè)備�,根據(jù)讀請求讀取KEY中相關(guān)信息,并將相關(guān)信息存儲到UEFI中�,進(jìn)行初始化密碼信息加密解密設(shè)置,利用讀取的KEY中相關(guān)信息設(shè)置KEY初始化密碼�,同時生成隨機(jī)數(shù)驗證密碼,均存儲到UEFI中��;比較驗證從KEY中讀取的初始化密碼與UEFI中的相應(yīng)存儲的密碼信息,如果相等則進(jìn)行下個階段操作����,直至啟動系統(tǒng),如果不等則繼續(xù)請求等待��,防止系統(tǒng)啟動���。
[0006]所述初始化密碼信息加密解密設(shè)置:利用讀取的KEY中相關(guān)信息設(shè)置KEY初始化密碼為密碼I�����,同時生成隨機(jī)數(shù)驗證密碼為密碼2����,將密碼2加密為密碼3���,密碼3解密為密碼4,分別存儲到KEY和UEFI中����。
[0007]比較驗證從KEY中讀取的密碼I與UEFI中的相應(yīng)存儲的密碼I信息是否相等,不相等則驗證不通過���,繼續(xù)發(fā)送請求讀取KEY內(nèi)的密碼I�����,如果相等則驗證通過�,繼續(xù)通過讀模塊讀取KEY內(nèi)密碼3。
[0008]讀取KEY內(nèi)密碼3與UEFI中存儲的密碼4驗證比較���,如果相等則加載后續(xù)操作系統(tǒng)��,運行BDS�����、TSL�、RT階段��,系統(tǒng)啟動��,如果不等則驗證未通過����,繼續(xù)發(fā)送請求讀取KEY內(nèi)的密碼I,系統(tǒng)不能啟動。
[0009]一種UEFI中基于KEY的B1S安全認(rèn)證系統(tǒng)���,包括檢測模塊�、讀模塊����、安全管理模塊、密碼管理模塊�����,均內(nèi)嵌于UEFI固件中�,且在UEFI的DXE階段后之后,BDS之前執(zhí)行各自功能���,
檢測模塊負(fù)責(zé)通過接口檢測連接到電腦的KEY設(shè)備�����,并將KEY初始化為啟動設(shè)備,
讀模塊與檢測模塊通信��,根據(jù)讀請求讀取KEY中相關(guān)信息�����,并將相關(guān)信息存儲到UEFI
中,
安全管理模塊與讀模塊通信�����,利用讀取的KEY中相關(guān)信息設(shè)置KEY初始化密碼�����,同時生成隨機(jī)數(shù)驗證密碼�,比較驗證從KEY中讀取的初始化密碼與UEFI中的相應(yīng)密碼信息,如果相等則進(jìn)行下個階段操作�,直至啟動系統(tǒng),如果不等則繼續(xù)請求等待�����,防止系統(tǒng)啟動�。
[0010]密碼管理模塊與讀模塊通信,負(fù)責(zé)配合安全管理模塊進(jìn)行初始化密碼信息加密解密設(shè)置�����。
[0011]本發(fā)明的有益之處是:
本發(fā)明提供一種UEFI中基于KEY的B1S安全認(rèn)證方法及系統(tǒng)�,利用UEFI���,在UEFI的DXE階段后之后,BDS之前��,通過接口檢測連接到電腦的KEY設(shè)備���,并將KEY初始化為啟動設(shè)備����,根據(jù)讀請求讀取KEY中相關(guān)信息���,并將相關(guān)信息存儲到UEFI中���,進(jìn)行初始化密碼信息加密解密設(shè)置,利用讀取的KEY中相關(guān)信息設(shè)置KEY初始化密碼��,同時生成隨機(jī)數(shù)驗證密碼�,均存儲到UEFI中;比較驗證從KEY中讀取的初始化密碼與UEFI中的相應(yīng)存儲的密碼信息��,如果相等則進(jìn)行下個階段操作���,直至啟動系統(tǒng),如果不等則繼續(xù)請求等待,防止系統(tǒng)啟動;利用本發(fā)明方法及系統(tǒng)通過初始化KEY和UEFI固件�,用硬件加密認(rèn)證來達(dá)到保護(hù)計算機(jī)系統(tǒng)安全的目的。
【附圖說明】
[0012]圖1是本發(fā)明系統(tǒng)框架示意圖�����;
圖2是本發(fā)明方法流程示意圖�。
【具體實施方式】
[0013]一種UEFI中基于KEY的B1S安全認(rèn)證方法,利用UEFI�����,在UEFI的DXE階段后之后���,BDS之前��,通過接口檢測連接到電腦的KEY設(shè)備����,并將KEY初始化為啟動設(shè)備��,根據(jù)讀請求讀取KEY中相關(guān)信息����,并將相關(guān)信息存儲到UEFI中����,進(jìn)行初始化密碼信息加密解密設(shè)置���,利用讀取的KEY中相關(guān)信息設(shè)置KEY初始化密碼�����,同時生成隨機(jī)數(shù)驗證密碼����,均存儲到UEFI中�����;比較驗證從KEY中讀取的初始化密碼與UEFI中的相應(yīng)存儲的密碼信息����,如果相等則進(jìn)行下個階段操作,直至啟動系統(tǒng)���,如果不等則繼續(xù)請求等待�,防止系統(tǒng)啟動��。
[0014]相應(yīng)的系統(tǒng)包括檢測模塊、讀模塊����、安全管理模塊���、密碼管理模塊�,均內(nèi)嵌于UEFI固件中�,且在UEFI的DXE階段后之后,BDS之前執(zhí)行各自功能�,
檢測模塊負(fù)責(zé)通過接口檢測連接到電腦的KEY設(shè)備,并將KEY初始化為啟動設(shè)備���,讀模塊與檢測模塊通信�,根據(jù)讀請求讀取KEY中相關(guān)信息��,并將相關(guān)信息存儲到UEFI
中���,
安全管理模塊與讀模塊通信�����,利用讀取的KEY中相關(guān)信息設(shè)置KEY初始化密碼����,同時生成隨機(jī)數(shù)驗證密碼,比較驗證從KEY中讀取的初始化密碼與UEFI中的相應(yīng)密碼信息�����,如果相等則進(jìn)行下個階段操作�,直至啟動系統(tǒng),如果不等則繼續(xù)請求等待����,防止系統(tǒng)啟動。
[0015]密碼管理模塊與讀模塊通信���,負(fù)責(zé)配合安全管理模塊進(jìn)行初始化密碼信息加密解密設(shè)置��。
[0016]利用上述方法及系統(tǒng)��,結(jié)合附圖對本發(fā)明做進(jìn)一步說明�����。
[0017]具體實施時���,檢測模塊檢測到通過接口連接到電腦的KEY設(shè)備����,檢測到KEY�����,并將KEY初始化為啟動設(shè)備�����,進(jìn)行初始化密碼信息加密解密設(shè)置��,利用讀取的KEY中相關(guān)信息設(shè)置KEY初始化密碼為密碼I���,同時生成隨機(jī)數(shù)驗證密碼為密碼2,將密碼2加密為密碼3��,密碼3解密為密碼4��,分別存儲到KEY和UEFI中����;
重新啟動計算機(jī),檢測到KEY之后����,當(dāng)UEFI執(zhí)行完SEC�、PE1��、DXE階段之后對KEY發(fā)送請求����,讀取模塊讀取KEY的密碼信息;
比較驗證從KEY中讀取的密碼I與UEFI中的相應(yīng)存儲的密碼I信息是否相等����,不相等則驗證不通過,繼續(xù)發(fā)送請求讀取KEY內(nèi)的密碼I����,如果相等則驗證通過,繼續(xù)通過讀模塊讀取KEY內(nèi)密碼3;
讀取KEY內(nèi)密碼3與UEFI中存儲的密碼4驗證比較���,如果相等則加載后續(xù)操作系統(tǒng)���,運行BDS、TSL���、RT階段�,系統(tǒng)啟動,如果不等則驗證未通過�,繼續(xù)發(fā)送請求讀取KEY內(nèi)的密碼I,系統(tǒng)不能啟動����,重復(fù)進(jìn)行驗證過程。直至驗證成功或手動進(jìn)行處理���。利用本發(fā)明方法及系統(tǒng)通過初始化KEY和UEFI固件�����,用硬件加密認(rèn)證來達(dá)到保護(hù)計算機(jī)系統(tǒng)安全的目的。
【主權(quán)項】
1.一種UEFI中基于KEY的B1S安全認(rèn)證方法�����,其特征是利用UEFI����,在UEFI的DXE階段后之后,BDS之前�,通過接口檢測連接到電腦的KEY設(shè)備,并將KEY初始化為啟動設(shè)備,根據(jù)讀請求讀取KEY中相關(guān)信息����,并將相關(guān)信息存儲到UEFI中,進(jìn)行初始化密碼信息加密解密設(shè)置�,利用讀取的KEY中相關(guān)信息設(shè)置KEY初始化密碼,同時生成隨機(jī)數(shù)驗證密碼�����,均存儲到UEFI中���;比較驗證從KEY中讀取的初始化密碼與UEFI中的相應(yīng)存儲的密碼信息�,如果相等則進(jìn)行下個階段操作�����,直至啟動系統(tǒng)���,如果不等則繼續(xù)請求等待�,防止系統(tǒng)啟動�。2.根據(jù)權(quán)利要求1所述的方法,其特征是所述初始化密碼信息加密解密設(shè)置:利用讀取的KEY中相關(guān)信息設(shè)置KEY初始化密碼為密碼I����,同時生成隨機(jī)數(shù)驗證密碼為密碼2��,將密碼2加密為密碼3���,密碼3解密為密碼4,分別存儲到KEY和UEFI中����。3.根據(jù)權(quán)利要求2所述的方法,其特征是比較驗證從KEY中讀取的密碼I與UEFI中的相應(yīng)存儲的密碼I信息是否相等�,不相等則驗證不通過,繼續(xù)發(fā)送請求讀取KEY內(nèi)的密碼I����,如果相等則驗證通過,繼續(xù)通過讀模塊讀取KEY內(nèi)密碼3�����。4.根據(jù)權(quán)利要求3所述的方法���,其特征是讀取KEY內(nèi)密碼3與UEFI中存儲的密碼4驗證比較,如果相等則加載后續(xù)操作系統(tǒng)�,運行BDS���、TSL、RT階段���,系統(tǒng)啟動�,如果不等則驗證未通過�����,繼續(xù)發(fā)送請求讀取KEY內(nèi)的密碼I�,系統(tǒng)不能啟動。5.—種UEFI中基于KEY的B1S安全認(rèn)證系統(tǒng)��,其特征是包括檢測模塊�����、讀模塊�、安全管理模塊、密碼管理模塊�,均內(nèi)嵌于UEFI固件中,且在UEFI的DXE階段后之后���,BDS之前執(zhí)行各自功能���, 檢測模塊負(fù)責(zé)通過接口檢測連接到電腦的KEY設(shè)備�,并將KEY初始化為啟動設(shè)備��, 讀模塊與檢測模塊通信���,根據(jù)讀請求讀取KEY中相關(guān)信息�����,并將相關(guān)信息存儲到UEFI中���, 安全管理模塊與讀模塊通信,利用讀取的KEY中相關(guān)信息設(shè)置KEY初始化密碼��,同時生成隨機(jī)數(shù)驗證密碼���,比較驗證從KEY中讀取的初始化密碼與UEFI中的相應(yīng)密碼信息����,如果相等則進(jìn)行下個階段操作���,直至啟動系統(tǒng)��,如果不等則繼續(xù)請求等待��,防止系統(tǒng)啟動���。6.密碼管理模塊與讀模塊通信,負(fù)責(zé)配合安全管理模塊進(jìn)行初始化密碼信息加密解密設(shè)置�。
【文檔編號】G06F21/44GK105975842SQ201610306991
【公開日】2016年9月28日
【申請日】2016年5月11日
【發(fā)明人】于曉艷, 于治樓, 梁智豪
【申請人】浪潮集團(tuán)有限公司