本发明专利技术中的安全认证方法通过在BIOS中增加关于TPCM的配置项,从而实现了在BIOS启动阶段进行用户身份认证,通过本实施例中的安全认证方法,可避免所述计算机系统被盗用以及进行信息篡改,并且可通过为TPCM添加生物信息识别设备以利用操作人员的生物信息进行认证,从而提升所述计算机系统的安全性。
【技术实现步骤摘要】
一种安全启动方法
本专利技术涉及计算机安全领域,具体涉及一种安全启动方法。
技术介绍
可信计算技术发展已经进入3.0时代,可信计算技术已经从被动防御技术转变成主动免疫,相比被动防御的可信计算技术,可信3.0形成的双系统体系结构能够利用TPCM(TrustedPlatformControlModule)对系统进行主动度量和主动监控,避免了被动防御的TPM(TrustedPlatformModule)可信机制被系统旁路。主动监控可以通过在各类控制器中部署的访问控制策略而进行,而对访问控制策略进行的任何修改则需通过可信度量机制确认其可信性后,才可以部署到控制器中。这样,即使是CPU或者操作系统存在后门,攻击者也难以利用这些漏洞来篡改访问控制策略,从由被动防御转变为主动免疫,增强了系统的安全性。然而现有技术中的可信度量系统只能保证计算机系统的安全性,存在被其他人盗用的风险,现有技术中的计算机安全启动方法通常只是在开机时令用户输入用户名和密码,这种方法无法保证计算机系统的安全性。
技术实现思路
本专利技术提出了一种安全启动方法,适用于对计算机系统进行安全认证,和现有技术中的安全启动方法相比,可极大地提升计算机系统的安全性。本专利技术提出的一种安全启动方法,其特征在于,包括:步骤1:系统上电启动,利用TPCM对计算机系统进行主动安全度量,若度量通过则进入步骤2,否则进入步骤3。步骤2:更改BIOS中的TPCM配置项,实现BIOS启动阶段的用户身份认证,若认证通过,则计算机系统正常启动,否则进入步骤3;步骤3:上报异常信息,禁止所述计算机系统启动。优选的,所述更改BIOS中的TPCM配置项,实现BIOS启动阶段的用户身份认证包括:在BIOS中的TPCM配置项内增加“Administratorpassword”,从而管理人员可以通过配置该配置项实现BIOS启动阶段的用户身份认证。优选的,在所述步骤1之前还包括:通过生物识别设备对操作人员的身份进行识别,若识别通过则利用TPCM对计算机系统进行主动安全度量,否则上报异常信息并禁止操作人员操作所述TPCM。优选的,所述通过生物识别设备对操作人员的身份进行识别包括:通过外接生物识别装置与所述TPCM相连,在所述TPCM上电启动完成之后、正式开启主动安全度量功能之前,提示操作人员录入生物信息以进行安全验证。优选的,所述生物信息包括下列生物信息中一种或多种的组合:指纹信息、巩膜信息和人脸信息。本专利技术还提出了一种基于可信硬盘的可信控制方法,其特征在于,所述方法包括:步骤1.对可信硬盘上电,利用可信硬盘中的硬盘芯片上嵌入的TPCM模块对其所在系统中其他硬件进行度量,若所述其他硬件的度量结果为正常,则进入步骤2,若所述其他硬件的度量结果为异常,则报警;步骤2.对所述其他硬件上电,启动所述可信硬盘所在系统后,对所述可信硬盘所在系统中软件进行度量,若所述软件的度量结果为正常,则进入步骤3,若所述软件的度量结果为异常,则报警;步骤3.所述可信硬盘所在系统正常运行,当所述可信硬盘所在系统对所述可信硬盘进行读/写操作,利用所述可信硬盘中的硬盘芯片上嵌入的TPCM模块对缓存在所述可信硬盘所在系统中的所述可信硬盘需读/写的数据进行解/加密后将所述可信硬盘需读/写的数据读/写至所述可信硬盘。优选的,所述可信硬盘所在系统中其他硬件包括:BMC芯片和BIOS芯片;所述可信硬盘所在系统中软件包括:MBR、OSLOADER和OSKERNEL。优选的,所述利用所述可信硬盘中的硬盘芯片上嵌入的TPCM模块对缓存在所述可信硬盘所在系统中的所述可信硬盘需读/写的数据进行解/加密,包括:所述可信硬盘所在系统调用所述可信硬盘中的硬盘芯片上嵌入的TPCM模块的TCM模块解/加密缓存在所述可信硬盘所在系统中的所述可信硬盘需读/写的数据。优选的,所述可信硬盘为IDE硬盘、PIDE硬盘、SCSI硬盘、SATA硬盘、SAS硬盘或SSD硬盘。优选的,所述SSD硬盘支持M.2接口、SAS接口、SATA接口和/或M.P接口。优选的,所述报警包括:点亮指示灯、鸣叫报警器、打印接口提示打印错误信息或关机。本专利技术中的安全认证方法通过在BIOS中增加关于TPCM的配置项,从而实现了在BIOS启动阶段进行用户身份认证,通过本实施例中的安全认证方法,可避免所述计算机系统被盗用以及进行信息篡改,并且可通过为TPCM添加生物信息识别设备以利用操作人员的生物信息进行认证,从而提升所述计算机系统的安全性。附图说明下面将结合附图及实施例对本专利技术作进一步说明,附图中:图1为本专利技术实施例一中一种安全启动方法的流程图;图2为本专利技术实施例二中一种安全启动方法的流程图;图3为本专利技术实施例三中一种安全启动方法的流程图。具体实施方式现结合附图,对本专利技术的较佳实施例作详细说明。本专利技术所述的一种安全启动方法应用于计算机系统之中,所述计算机系统具有主动安全度量的功能,所述主动安全度量功能通过在所述计算机系统中增加TPCM安全芯片来实现。其中,所述TPCM用于在计算机系统上电启动的过程中对计算机系统的各主要固件以及组成部分进行主动安全度量,所述主要固件以及组成部分包括BIOS固件、BMC固件和指定硬盘分区等,若主动度量结果为正常,则允许计算机系统正常启动,否则禁止所述计算机系统正常启动。实施例一基于上述计算机系统,本实施例提出一种安全启动方法,其流程图如图1所示,所述方法包括下述步骤:步骤1:系统上电启动后,通过生物识别设备对操作人员的身份进行识别,若识别通过则进入步骤2,否则进入步骤3。具体的,为了实现计算机系统的主动安全度量,需要在启动计算机系统之前先令所述TPCM安全芯片上电启动。具体的,为了避免所述TPCM被人盗用和篡改,通过外接USBkey、指纹采集仪等生物识别装置与所述TPCM相连,在所述TPCM上电启动完成之后、正式开启主动安全度量功能之前,提示操作人员录入生物信息以进行安全验证。优选的,所述生物信息包括指纹信息、巩膜信息和人脸信息等。步骤2:所述TPCM正式进入工作状态,对所述计算机系统进行主动安全度量。具体的,所述主动安全度量的内容包括对BIOS固件、BMC固件和指定硬盘分区等进行完整性校验。步骤3:上报异常信息,禁止操作人员操作所述TPCM。具体的,若操作人员的身份认证失败,则证明所述计算机系统存在被盗用和信息篡改的风险,在这种情况下,计算机系统自动令所述TPCM进入锁定状态,并控制所述TPCM下电。本实施例中的安全启动方法在计算机系统启动时,利用操作人员的生物信息对TPCM安全芯片进行认证,若认证通过则利用所述TPCM对所述计算机系统进行主动安全度量,否则禁止操作人员操作所述TPCM安全芯片,通过本实施例中的安全启动方法可保证操作人员都为认证用户,从而避免了TPCM被盗用和信息篡改,提升了计算机系统的安全性。实施例二本实施例基于实施例一提出了另一种安全启动方法,其流程图如图2所示,所述方法包括:步骤1:系统上电启动,利用TPCM对计算机系统进行主动安全度量,若度量通过则进入步骤2,否则进入步骤3。具体的,所述主动安全度量的内容如前所述,在此不再赘述。步骤2:更改BIOS中的TPCM配置项,实现BIOS启动阶段的用户身份认证,若认证通过,则计算机系统正常启动,本文档来自技高网...
【技术保护点】
1.一种安全启动方法,其特征在于,包括:步骤1:系统上电启动,利用TPCM对计算机系统进行主动安全度量,若度量通过则进入步骤2,否则进入步骤3;步骤2:更改BIOS中的TPCM配置项,实现BIOS启动阶段的用户身份认证,若认证通过,则计算机系统正常启动,否则进入步骤3;步骤3:上报异常信息,禁止所述计算机系统启动。
【技术特征摘要】
1.一种安全启动方法,其特征在于,包括:步骤1:系统上电启动,利用TPCM对计算机系统进行主动安全度量,若度量通过则进入步骤2,否则进入步骤3;步骤2:更改BIOS中的TPCM配置项,实现BIOS启动阶段的用户身份认证,若认证通过,则计算机系统正常启动,否则进入步骤3;步骤3:上报异常信息,禁止所述计算机系统启动。2.如权利要求1中所述的一种安全启动方法,其特征在于,所述更改BIOS中的TPCM配置项,实现BIOS启动阶段的用户身份认证包括:在BIOS中的TPCM配置项内增加“Administratorpassword”,从而管理人员可以通过配置该配置项实现BIOS启动阶段的用户身份认证。3.如权利要求1中所述的一种安全启动方法,其特征在于,在所述步骤1之前还包括:通过生物识别设备对操作人员的身份进行识别,若识别通过则利用TPCM对计算机系统进行主动安全度量,否则上报异常信息并禁止操作人员操作所述TPCM。4.如权利要求3中所述的一种安全启动方法,其特征在于,所述通过生物识别设备对操作人员的身份进行识别包括:通过外接生物识别装置与所述TPCM相连,在所述TPCM上电启动完成之后、正式开启主动安全度量功能之前,提示操作人员录入生物信息以进行安全验证。5.如权利要求4中所述的一种安全启动方法,其特征在于,所述生物信息包括下列生物信息中一种或多种的组合:指纹信息、巩膜信息和人脸信息。6.一种基于可信硬盘的可信控制方法,其特征在于,所述方法包括:步骤1.对可信硬盘上电,利用可信硬盘中的硬盘芯片上嵌入的TPCM模块对其所在系统中其他硬件进行度量,若所...
【专利技术属性】
技术研发人员:孙瑜,杨秩,洪宇,王涛,王强,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。