基于可信芯片的固件层用户管理方法技术

本发明专利技术公开了一种基于可信芯片的固件层用户管理方法，基于可信芯片的固件层用户管理方法在对固件层用户进行管理时引入可信芯片；此方法将传统BIOS用户管理功能进行拆分，即计算机系统固件层的用户管理是由BIOS与可信芯片各自负责的功能模块共同来完成的，其中BIOS负责用户认证模块，可信芯片负责用户存储模块；BIOS不再存储固件层用户的相关数据，BIOS主要任务是完成对固件层用户数据的管理；本发明专利技术基于可信芯片的固件层用户管理方法实现了固件层用户数据的安全管理，避免了固件层用户数据被窃取利用，能够有效的保护固件层的用户数据，增强了整个计算机系统的安全性，为计算机系统固件层面的用户管理提供更好的安全性。

Firmware layer user management method based on trusted chip

【技术实现步骤摘要】
基于可信芯片的固件层用户管理方法
本专利技术属于计算机
，具体为一种基于可信芯片的固件层用户管理方法。
技术介绍
固件是硬件设备内部存储的一套程序，一般固化在主板上的某个芯片中，可以驱动硬件设备以完成特定的功能；例如，光驱对放入在其中的磁盘类型（CD/DVD/CD-R(W)）的识别，就是通过光驱中的固件驱动完成的，计算机中最重要的固件被称为BIOS(BasicInput/OutputSystem，基本输入输出系统)，主要用于初始化计算机系统主板上的硬件、管理配置这些硬件资源、以及引导操作系统启动。在BIOS的应用初期，其对用户相当于一个看不见的程序，用户并不能对BIOS进行设置。但是，在后续的发展过程中，为了使用户可以通过BIOS去管控某些硬件资源，BIOS便提供了UI(UserInterface，用户交互界面)界面供用户对BIOS进行配置，从而达到管理某些硬件资源的目的。因为BIOS先于操作系统启动，拥有极高权限，所以为了提升安全性，BIOS又增加了用户管理功能，即在BIOS阶段可以创建用户，并对用户身份进行验证。如果用户想通过BIOS管理相关的硬件资源以及启动操作系统等，需要先经过BIOS层面的用户验证。BIOS创建用户管理机制的目的是保护整个计算机系统的安全性，使计算机系统的固件配置不会被恶意更改，防止非授权登录操作系统。传统BIOS的用户管理是基于BIOS内部自身的管理，即BIOS层面的用户数据存储在BIOS内部，同时对BIOS用户进行验证也是BIOS自身完成的。如此便存在安全隐患，因为同一批次计算机的BIOS对用户进行验证的算法一样，当攻击者获取到该批次中任意一台计算机BIOS中的用户数据时，便可以将此计算机中BIOS的用户数据取出并移植到其它计算机的BIOS中。由于验证用户算法一样，攻击者就可以在其它计算机上用已知的用户数据进行用户验证，且验证可以通过，从而操作其它计算机。目前，虽然有固件层用户管理方法，但是并未看到将可信芯片引入到固件层用户管理的其它方案。
技术实现思路
本专利技术的目的是为了提供一种基于可信芯片的固件层用户管理方法，基于可信芯片的固件层用户管理方法实现了固件层用户数据的安全管理，避免了固件层用户数据被窃取利用，能够有效的保护固件层的用户数据，增强整个计算机系统的安全性的特点，为计算机系统固件层面的用户管理提供更好的安全性，解决了现有技术的不足。为实现上述目的，本专利技术提供如下技术方案：一种基于可信芯片的固件层用户管理方法，该方法将传统BIOS用户管理功能进行拆分，即计算机系统固件层的用户管理是由BIOS与可信芯片各自负责的功能模块共同来完成的，其中BIOS负责用户认证模块，可信芯片负责用户存储模块；所述方法具体步骤如下：步骤一、启动计算机；步骤二、BIOS初始化可信芯片，并检测可信芯片内是否已经为用户数据创建了授权存储区域；如果没有创建进行步骤三，如果已经创建进行步骤四；步骤三、在可信芯片内部创建授权的存储区域；步骤四、BIOS检测可信芯片授权存储区是否有用户数据；如果授权存储区中已经有用户数据则进行步骤五，如果授权存储区中没有用户数据则进行步骤七；步骤五、BIOS将可信芯片中的用户数据读出；步骤六、BIOS提示用户输入用户数据，并且校验输入的用户数据与步骤五读出的用户数据；如果校验通过进行步骤八，如果校验不通过则提示用户校验失败跳回步骤一；步骤七、BIOS将用户数据写入可信芯片，重启计算机，进入步骤一；步骤八、BIOS继续启动，引导计算机进入操作系统。优选地，所述BIOS不再存储固件层用户的相关数据，BIOS任务是完成对固件层用户数据的管理。优选地，所述BIOS对固件层用户数据的管理包括：（a）读取输入的用户数据；（b）将用户数据写入可信芯片；（c）将用户数据从可信芯片读出；（d）校验输入的与从可信芯片读取的用户数据。优选地，所述可信芯片的用户存储模块是一个安全存储介质，新建立的用户的相关数据需要存储到这个“介质”中。优选地，所述可信芯片需满足以下三点需求：（a）在BIOS运行过程中可信芯片是可以被读写访问的；（b）对可信芯片的访问是需要经过认证授权的；（c）通常情况下可信芯片中的数据是可以永久保存的。与现有技术相比，本专利技术的有益效果如下：本专利技术提供的一种基于可信芯片的固件层用户管理方法，基于可信芯片的固件层用户管理方法在对固件层用户进行管理的时引入可信芯片；此方法将传统BIOS用户管理功能进行拆分，即计算机系统固件层的用户管理是由BIOS与可信芯片各自负责的功能模块共同来完成的，其中BIOS主要负责用户认证模块，可信芯片负责用户存储模块；BIOS不再存储固件层用户的相关数据，BIOS任务是完成对固件层用户数据的管理；可信芯片能够在计算机系统固件层面的用户管理机制中提供安全保障，实现本专利技术的固件层用户管理方法；本专利技术基于可信芯片的固件层用户管理方法实现了固件层用户数据的安全管理，避免了固件层用户数据被窃取利用，能够有效的保护固件层的用户数据，增强了整个计算机系统的安全性，为计算机系统固件层面的用户管理提供更好的安全性。附图说明通过阅读参照以下附图对非限制性实施例所作的详细描述，本专利技术的其它特征、目的和优点将会变得更明显。图1是一种基于可信芯片的固件层用户管理方法的系统架构图。图2是一种基于可信芯片的固件层用户管理方法的流程图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例，基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。在本专利技术的描述中，需要理解的是，术语“上”、“下”、“前”、“后”、“左”、“右”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本专利技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本专利技术的限制。针对传统的BIOS用户管理数据易于复制和破解，本专利技术提出一种基于可信芯片的固件层用户管理方法，所述方法可以为计算机系统固件层面的用户管理提供更好的安全性。相比较传统的BIOS用户管理方法，基于可信芯片的固件层用户管理方法在对固件层用户进行管理的时引入可信芯片，其整体框架如图1所示；此方法将传统BIOS用户管理功能进行拆分，即计算机系统固件层的用户管理是由BIOS与可信芯片各自负责的功能模块共同来完成的，其中BIOS负责用户认证模块，可信芯片负责用户存储模块。（1）BIOS-用户认证模块。本专利技术中，BIOS不再存储固件层用户的相关数据，BIOS任务是完成对固件层用户数据的管理。BIOS对固件层用户数据的管理主要包括如下几个方面：（a）读取输入的用户数据；（b）将用户数据写入可信芯片；（c）将用户数据从可信芯片读出；（d）校验输入的与从可信芯片读取的用户数据。（2）可信芯片-用户存储模块。可信芯片的用户存储模块，通俗的讲可以认为是一个安全存储介质，新建立的用户的相关数据需要存储到这个“介质”中。选择可信芯片作为“存储介质”是因为其满足如下三点需求：（a）在BIOS运行过程中可本文档来自技高网...

【技术保护点】
1.一种基于可信芯片的固件层用户管理方法，其特征在于：该方法将传统BIOS用户管理功能进行拆分，即计算机系统固件层的用户管理是由BIOS与可信芯片各自负责的功能模块共同来完成的，其中BIOS负责用户认证模块，可信芯片负责用户存储模块；所述方法具体步骤如下：步骤一、启动计算机；步骤二、BIOS初始化可信芯片，并检测可信芯片内是否已经为用户数据创建了授权存储区域；如果没有创建进行步骤三，如果已经创建进行步骤四；步骤三、在可信芯片内部创建授权的存储区域；步骤四、BIOS检测可信芯片授权存储区是否有用户数据；如果授权存储区中已经有用户数据则进行步骤五，如果授权存储区中没有用户数据则进行步骤七；步骤五、BIOS将可信芯片中的用户数据读出；步骤六、BIOS提示用户输入用户数据，并且校验输入的用户数据与步骤五读出的用户数据；如果校验通过进行步骤八，如果校验不通过则提示用户校验失败跳回步骤一；步骤七、BIOS将用户数据写入可信芯片，重启计算机，进入步骤一；步骤八、BIOS继续启动，引导计算机进入操作系统。

【技术特征摘要】
1.一种基于可信芯片的固件层用户管理方法，其特征在于：该方法将传统BIOS用户管理功能进行拆分，即计算机系统固件层的用户管理是由BIOS与可信芯片各自负责的功能模块共同来完成的，其中BIOS负责用户认证模块，可信芯片负责用户存储模块；所述方法具体步骤如下：步骤一、启动计算机；步骤二、BIOS初始化可信芯片，并检测可信芯片内是否已经为用户数据创建了授权存储区域；如果没有创建进行步骤三，如果已经创建进行步骤四；步骤三、在可信芯片内部创建授权的存储区域；步骤四、BIOS检测可信芯片授权存储区是否有用户数据；如果授权存储区中已经有用户数据则进行步骤五，如果授权存储区中没有用户数据则进行步骤七；步骤五、BIOS将可信芯片中的用户数据读出；步骤六、BIOS提示用户输入用户数据，并且校验输入的用户数据与步骤五读出的用户数据；如果校验通过进行步骤八，如果校验不通过则提示用户校验失败跳回步骤一；步骤七、BIOS将用户数据写入可信芯片，重启计算机，进入步骤一；步骤...

【专利技术属性】
技术研发人员：陈小春，梁刚，张超，朱立森，
申请(专利权)人：中电科技北京有限公司，
类型：发明
国别省市：北京,11