[发明专利]一种基于BIOS扩展的计算机安全增强系统及其方法

摘要

本发明公开了一种基于BIOS扩展的计算机安全增强系统及其方法，该系统用于在不修改BIOS源码的情况下，在BIOS阶段执行并实现信任链的传递和控制操作系统启动，属于计算机安全领域。该系统与计算机互联，用于在计算机的操作系统启动之前对BIOS进行安全增强，该系统具体为通过扩展程序加载模块与BIOS互联，建立可信链，并先于操作系统运行本安全增强系统。BIOS交互模块与BIOS互联，并在控制下调用BIOS基础服务；算法支持模块提供算法支持；身份认证模块对用户类型进行验证；硬件认证模块对计算机连接的关键硬件设备完整性进行度量；软件认证模块对操作系统内核关键文件进行度量；引导控制模块用于根据用户类型控制用户所用的启动设备。

主权项

一种基于BIOS扩展的计算机安全增强系统，该系统与计算机互联，用于在计算机的操作系统启动之前对基本输入输出系统BIOS进行安全增强，其特征在于，该系统包括扩展程序加载模块、BIOS交互模块、身份认证模块、硬件认证模块、软件认证模块、算法支持模块和引导控制模块；所述扩展程序加载模块与基本输入输出系统BIOS互联，从BIOS中获取中断向量INT19H或者修改INT19H的第一条指令，并先于操作系统运行本安全增强系统，建立信任链；所述扩展程序加载模块，保存了原INT19H中断向量以及修改前的INT19H的第一条指令，该安全增强系统执行完成后，利用所保存的INT19H中断向量以及修改前的INT19H的第一条指令还原INT19H，从而正常启动操作系统；所述BIOS交互模块与BIOS互联，并在身份认证模块、硬件认证模块、软件认证模块以及引导控制模块的控制下调用BIOS基础服务；所述算法支持模块为身份认证模块、硬件认证模块以及软件认证模块提供算法支持；所述身份认证模块与所述扩展程序加载模块互联，身份认证模块在BIOS扩展程序启动时对用户类型进行验证：如果用户不进行任何操作，则该用户类型为普通用户；若用户输入管理员口令并且通过验证，则该用户类型为管理员用户；所述硬件认证模块对计算机连接的关键硬件设备完整性进行度量，度量过程如下：硬件认证模块记录并存储关键硬件设备的特征值，并在开机时进行特征值对比，若有不同，即关键设备被替换或者卸载，则根据登录的用户类型进行相应的动作；所述软件认证模块用于对操作系统内核关键文件进行度量，该度量过程如下：软件认证模块读取文件列表中列出的文件，并将文件中数据传送给算法支持模块中进行哈希运算获得标准哈希值，将文件与标准哈希值对应存储，在开机时，软件认证模块计算对应文件的哈希值并与标准哈希值进行对比，若有不同，则根据用户类型进行相应动作；所谓的引导控制模块用于根据用户类型控制用户所用的启动设备：控制普通用户通过硬盘启动操作系统，而管理员用户则根据BIOS设置的启动顺序通过关键设备即可启动操作系统。