[发明专利]一种基于BIOS扩展的计算机安全增强系统及其方法

说明书

技术领域

本发明属于计算机安全技术领域，具体涉及一种基于BIOS扩展的计算机安全增强系统及其工作方法。

背景技术

一般的BIOS层安全增强技术的实现是通过在BIOS源代码中增加一些模块来完成，这种方式存在很大的局限性。首先，现在广泛使用的商用计算机大都是基于Intel X86平台，这些平台的BIOS几乎全是由国外几家BIOS厂商生产的，介于知识产权的限制，我们无法获得BIOS的源代码对系统进行安全性增强；另外，通过源代码的修改来升级已经大量使用的商用计算机的成本较高，可行性低。

发明内容

有鉴于此，本发明提供了一种基于BIOS扩展的计算机安全增强系统及其工作方法，通过由BIOS加载一个独立开发运行的安全增强系统块来实现可信链的传递以及操作系统启动的控制，实现了在不修改BIOS源码的情况下，在BIOS阶段执行并实现信任链的传递和控制操作系统启动的低成本的方法。

为了达到上述目的，本发明的技术方案为：

一种基于BIOS扩展的计算机安全增强系统，该系统与计算机互联，用于在计算机的操作系统启动之前对基本输入输出系统BIOS进行安全增强，其特征在于，该系统包括扩展程序加载模块、BIOS交互模块、身份认证模块、硬件认证模块、软件认证模块、算法支持模块和引导控制模块；

扩展程序加载模块与基本输入输出系统BIOS互联，从BIOS中获取中断向 量INT19H或者修改INT19H的第一条指令，并先于操作系统运行本安全增强系统，建立可信链；扩展程序加载模块保存了原INT19H中断向量以及修改前的INT19H的第一条指令，该安全增强系统执行完成后，利用所保存的INT19H中断向量以及修改前的INT19H的第一条指令还原INT19H，从而正常启动操作系统；

BIOS交互模块与BIOS互联，并在身份认证模块、硬件认证模块、软件认证模块以及引导控制模块的控制下调用BIOS基础服务；

算法支持模块为身份认证模块、硬件认证模块以及软件认证模块提供算法支持；

身份认证模块与扩展程序加载模块互联，身份认证模块在BIOS扩展程序启动时对用户类型进行验证：如果用户不进行任何操作，则该用户类型为普通用户；若用户输入管理员口令并且通过验证，则该用户类型为管理员用户；

硬件认证模块对计算机系统连接的关键硬件设备完整性进行度量，度量过程如下：硬件认证模块记录并存储系统所连接的关键设备的特征值，并在系统开机时进行特征值对比，若有不同，即关键设备被替换或者卸载，则根据登录的用户类型进行相应的动作；

软件认证模块用于对操作系统内核关键文件进行度量，该度量过程如下：软件认证模块读取文件列表中列出的文件，并将文件中数据传送给算法支持模块中进行哈希运算获得标准哈希值，将文件与标准哈希值对应存储，在系统开机时，软件认证模块计算对应文件的哈希值并与标准哈希值进行对比，若有不同，则根据用户类型进行相应动作；

引导控制模块用于根据用户类型控制用户所用的启动设备：控制普通用户通过硬盘启动操作系统，而管理员用户则根据BIOS设置的启动顺序通过关键设备即可启动操作系统。

进一步地，关键设备包括显卡、网卡、硬盘、光驱以及BIOS。

进一步地，安全增强系统作为软件程序烧写在PCI-E板卡的非易失存储空间内，将该PCI-E板卡通过PCI总线接入到操作系统中。

进一步地，安全增强系统作为软件程序烧写到BIOS的FLASH芯片中。

进一步地，算法支持模块包括连接在PCI总线上的算法芯片及其驱动程序。

进一步地，采用连接了上述安全增强系统的计算机，执行如下步骤：

步骤一：启动计算机，在操作系统启动前，启动BIOS，在BIOS的上电自检POST阶段，扩展程序加载模块钩挂启动操作系统的中断向量INT19H，并保存原始的INT19H中断向量和INT19H第一条跳转指令，扩展程序加载模块退出，BIOS继续完成操作系统的初始化；

步骤二：在BIOS执行INT19H时，加载安全增强系统中的各模块；

步骤三：采用身份认证模块进对用户类型进行验证；

步骤四：采用硬件认证模块对操作系统连接的关键硬件设备完整性进行度量，并在计算机屏幕上显示硬件度量结果；

步骤五：采用软件认证模块用于对操作系统内核关键文件进行度量，并在计算机屏幕上显示文件度量结果；