[发明专利]一种基于BIOS扩展的计算机安全增强系统及其方法

权利要求书

1.一种基于BIOS扩展的计算机安全增强系统，该系统与计算机互联，用于在计算机的操作系统启动之前对基本输入输出系统BIOS进行安全增强，其特征在于，该系统包括扩展程序加载模块、BIOS交互模块、身份认证模块、硬件认证模块、软件认证模块、算法支持模块和引导控制模块；

所述扩展程序加载模块与基本输入输出系统BIOS互联，从BIOS中获取中断向量INT19H或者修改INT19H的第一条指令，并先于操作系统运行本安全增强系统，建立信任链；所述扩展程序加载模块，保存了原INT19H中断向量以及修改前的INT19H的第一条指令，该安全增强系统执行完成后，利用所保存的INT19H中断向量以及修改前的INT19H的第一条指令还原INT19H，从而正常启动操作系统；

所述BIOS交互模块与BIOS互联，并在身份认证模块、硬件认证模块、软件认证模块以及引导控制模块的控制下调用BIOS基础服务；

所述算法支持模块为身份认证模块、硬件认证模块以及软件认证模块提供算法支持；

所述身份认证模块与所述扩展程序加载模块互联，身份认证模块在BIOS扩展程序启动时对用户类型进行验证：如果用户不进行任何操作，则该用户类型为普通用户；若用户输入管理员口令并且通过验证，则该用户类型为管理员用户；

所述硬件认证模块对计算机连接的关键硬件设备完整性进行度量，度量过程如下：硬件认证模块记录并存储关键硬件设备的特征值，并在开机时进行特征值对比，若有不同，即关键设备被替换或者卸载，则根据登录的用户类型进行相应的动作；

所述软件认证模块用于对操作系统内核关键文件进行度量，该度量过程如 下：软件认证模块读取文件列表中列出的文件，并将文件中数据传送给算法支持模块中进行哈希运算获得标准哈希值，将文件与标准哈希值对应存储，在开机时，软件认证模块计算对应文件的哈希值并与标准哈希值进行对比，若有不同，则根据用户类型进行相应动作；

所谓的引导控制模块用于根据用户类型控制用户所用的启动设备：控制普通用户通过硬盘启动操作系统，而管理员用户则根据BIOS设置的启动顺序通过关键设备即可启动操作系统。

2.如权利要求1所述的一种基于BIOS扩展的计算机安全增强系统，其特征在于，所述关键设备包括显卡、网卡、硬盘、光驱、U盘以及BIOS。

3.如权利要求1所述的一种基于BIOS扩展的计算机安全增强系统，其特征在于，所述安全增强系统作为软件程序烧写在PCI-E板卡的非易失存储空间内，将该PCI-E板卡通过PCI总线接入到所述计算机系统中。

4.如权利要求1所述的一种基于BIOS扩展的计算机安全增强系统，其特征在于，所述安全增强系统作为软件程序烧写到BIOS的FLASH芯片中。

5.如权利要求3所述的一种基于BIOS扩展的计算机安全增强系统，其特征在于，所述算法支持模块包括连接在PCI总线上的算法芯片及其驱动程序。

6.一种基于BIOS扩展的计算机安全增强方法，其特征在于，采用连接了如权利要求1所述的安全增强系统的计算机，执行如下步骤：

步骤一：启动计算机，在操作系统启动前，启动BIOS，在BIOS的上电自检POST阶段，所述扩展程序加载模块钩挂启动操作系统的中断向量INT19H，并保存原始的INT19H中断向量和INT19H第一条跳转指令，所述扩展程序加载模块退出，BIOS继续完成计算机系统的初始化；

步骤二：在BIOS执行INT19H时，加载所述安全增强系统中的各模块；

步骤三：采用所述身份认证模块进对用户类型进行验证；

步骤四：采用所述硬件认证模块对计算机系统连接的关键硬件设备完整性进行度量，并在计算机屏幕上显示硬件度量结果；

步骤五：采用所述软件认证模块用于对操作系统内核关键文件进行度量，并在计算机屏幕上显示文件度量结果；

步骤六：执行启动控制模块，根据当前用户类型，选择直接从硬盘启动操作系统或者将启动操作系统的权限交还给BIOS的INT19H。

7.如权利要求6所述的一种基于BIOS扩展的计算机安全增强方法，其特征在于，所述安全增强系统作为软件程序烧写在PCI-E板卡的非易失存储空间内，将该PCI-E板卡接入到所述计算机系统中；所述算法支持模块包括连接在PCI总线上的算法芯片及其驱动程序。