The invention discloses a computer security enhancement system and method based on the extension of BIOS, the system is used in modifying the BIOS source code under the condition of execution and implementation of the trust chain transfer and control of the operating system to start at the BIOS stage, belongs to the field of computer security. The computer system and the Internet, for before starting the computer's operating system to BIOS to enhance the security of the system, in particular: by extending the program loading module connected to the BIOS, a chain of trust, and before the operation of the operating system security enhancement system. BIOS interface module connected to the BIOS, and call the BIOS based service under control; algorithm support module provide algorithm support; identity authentication module to verify the user type; measure key hardware integrity of computer hardware connection authentication module; software authentication module of the operating system kernel key file guide control module is used to measure; according to the type of user control users with a boot device.
【技术实现步骤摘要】
一种基于BIOS扩展的计算机安全增强系统及其方法
本专利技术属于计算机安全
,具体涉及一种基于BIOS扩展的计算机安全增强系统及其工作方法。
技术介绍
一般的BIOS层安全增强技术的实现是通过在BIOS源代码中增加一些模块来完成,这种方式存在很大的局限性。首先,现在广泛使用的商用计算机大都是基于IntelX86平台,这些平台的BIOS几乎全是由国外几家BIOS厂商生产的,介于知识产权的限制,我们无法获得BIOS的源代码对系统进行安全性增强;另外,通过源代码的修改来升级已经大量使用的商用计算机的成本较高,可行性低。
技术实现思路
有鉴于此,本专利技术提供了一种基于BIOS扩展的计算机安全增强系统及其工作方法,通过由BIOS加载一个独立开发运行的安全增强系统块来实现可信链的传递以及操作系统启动的控制,实现了在不修改BIOS源码的情况下,在BIOS阶段执行并实现信任链的传递和控制操作系统启动的低成本的方法。为了达到上述目的,本专利技术的技术方案为:一种基于BIOS扩展的计算机安全增强系统,该系统与计算机互联,用于在计算机的操作系统启动之前对基本输入输出系统BIOS进行安全增强,其特征在于,该系统包括扩展程序加载模块、BIOS交互模块、身份认证模块、硬件认证模块、软件认证模块、算法支持模块和引导控制模块;扩展程序加载模块与基本输入输出系统BIOS互联,从BIOS中获取中断向量INT19H或者修改INT19H的第一条指令,并先于操作系统运行本安全增强系统,建立可信链;扩展程序加载模块保存了原INT19H中断向量以及修改前的INT19H的第一条指令,该安全增强系统执 ...
【技术保护点】
一种基于BIOS扩展的计算机安全增强系统,该系统与计算机互联,用于在计算机的操作系统启动之前对基本输入输出系统BIOS进行安全增强,其特征在于,该系统包括扩展程序加载模块、BIOS交互模块、身份认证模块、硬件认证模块、软件认证模块、算法支持模块和引导控制模块;所述扩展程序加载模块与基本输入输出系统BIOS互联,从BIOS中获取中断向量INT19H或者修改INT19H的第一条指令,并先于操作系统运行本安全增强系统,建立信任链;所述扩展程序加载模块,保存了原INT19H中断向量以及修改前的INT19H的第一条指令,该安全增强系统执行完成后,利用所保存的INT19H中断向量以及修改前的INT19H的第一条指令还原INT19H,从而正常启动操作系统;所述BIOS交互模块与BIOS互联,并在身份认证模块、硬件认证模块、软件认证模块以及引导控制模块的控制下调用BIOS基础服务;所述算法支持模块为身份认证模块、硬件认证模块以及软件认证模块提供算法支持;所述身份认证模块与所述扩展程序加载模块互联,身份认证模块在BIOS扩展程序启动时对用户类型进行验证:如果用户不进行任何操作,则该用户类型为普通用户;若 ...
【技术特征摘要】
1.一种基于BIOS扩展的计算机安全增强系统,该系统与计算机互联,用于在计算机的操作系统启动之前对基本输入输出系统BIOS进行安全增强,其特征在于,该系统包括扩展程序加载模块、BIOS交互模块、身份认证模块、硬件认证模块、软件认证模块、算法支持模块和引导控制模块;所述扩展程序加载模块与基本输入输出系统BIOS互联,从BIOS中获取中断向量INT19H或者修改INT19H的第一条指令,并先于操作系统运行本安全增强系统,建立信任链;所述扩展程序加载模块,保存了原INT19H中断向量以及修改前的INT19H的第一条指令,该安全增强系统执行完成后,利用所保存的INT19H中断向量以及修改前的INT19H的第一条指令还原INT19H,从而正常启动操作系统;所述BIOS交互模块与BIOS互联,并在身份认证模块、硬件认证模块、软件认证模块以及引导控制模块的控制下调用BIOS基础服务;所述算法支持模块为身份认证模块、硬件认证模块以及软件认证模块提供算法支持;所述身份认证模块与所述扩展程序加载模块互联,身份认证模块在BIOS扩展程序启动时对用户类型进行验证:如果用户不进行任何操作,则该用户类型为普通用户;若用户输入管理员口令并且通过验证,则该用户类型为管理员用户;所述硬件认证模块对计算机连接的关键硬件设备完整性进行度量,度量过程如下:硬件认证模块记录并存储关键硬件设备的特征值,并在开机时进行特征值对比,若有不同,即关键设备被替换或者卸载,则根据登录的用户类型进行相应的动作;所述软件认证模块用于对操作系统内核关键文件进行度量,该度量过程如下:软件认证模块读取文件列表中列出的文件,并将文件中数据传送给算法支持模块中进行哈希运算获得标准哈希值,将文件与标准哈希值对应存储,在开机时,软件认证模块计算对应文件的哈希值并与标准哈希值进行对比,若有不同,则根据用户类型进行相应动作;所谓的引导控制模块用于根据用户类型控制用户所用的启动设备:控制普通用户通过硬盘启动操作系统,而管理员用户则根据BIOS设置的启动顺序通过关...
【专利技术属性】
技术研发人员:陈小春,张超,朱立森,孙亮,赵丽娜,
申请(专利权)人:中电科技北京有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。