基於擴展bios技術的計算機安全信息卡及其操作方法
2023-07-13 04:01:36
專利名稱:基於擴展bios技術的計算機安全信息卡及其操作方法
技術領域:
本發明屬於計算機信息安全領域,具體涉及一種基於擴展BT0S技術的計算機安全信息卡。
背景技術:
傳統計算機信息安全的實現方案分為兩大類
一類是軟體技術方案。這是目前應用最多的技術,利用安全防護軟體實現計算機信息安全, 這種技術具有成本低、開發靈活、軟體易安裝等優點,但也存在一些不足
1、 系統重裝,需要重新安裝安全防護軟體,使用上不方便;
2、 使用者可以使用"格式化"或"鏡像恢復"的辦法去掉安全防護軟體,使計算機脫離 安全管控,信息處於危險當中;
3、 安全防護軟體存在漏洞,木馬、病毒會攻擊安全防護軟體,停掉保護進程,使安全防 護失效。
另一類是硬體技術方案。如帶加密晶片的硬碟、安全U盤,其具有安全性高、硬體加密破 解難等優點;但存在一些不足
1、 硬體成本高,價格昂貴,普遍適用性差;
2、 操作不靈活,很難根據新情況添加新功能,二次開發難度大,硬體重複利用率不高。 通過分析軟、硬體技術方案的優缺點後, 一種利用BIOS剩餘空間的"固件"方案產生,
這種方案結合了軟硬體技術方案的優點,將安全防護軟體放到計算機的BIOS中,節省了硬體 成本,同時使安全防護軟體與硬碟無關,體現了硬體可靠性的優點;往BIOS中可以寫入任意 代碼,體現了軟體靈活的優點。但此種"固件"方案帶來的新問題在於-
1、各個計算機的BIOS版本差別很大,而且同一計算機的BIOS會有升級的問題,會造成 技術人員疲於奔命的問題;
42、 BIOS剩餘空間大小有限,很難放入複雜的安全防護軟體。
發明內容
本發明的目的正是針對現有技術所存在的技術缺陷,結合了軟硬體技術方案的優點,利用 PC機體系中的"擴展BIOS"規範,通過一塊PCI插卡,在計算機加電時先於作業系統獲得計 算機的控制權,然後將安全防護軟體從安全信息卡上植入作業系統中,作業系統引導時就會自 動執行安全防護軟體,從而保證計算機信息安全所提出的一種基於擴展BIOS技術的計算機安 全信息卡及其操作方法。
為達到上述目的,本發明第一特徵在於提供一種基於擴展BIOS技術的計算機安全信息卡, 包括一塊為PCI插卡的安全信息卡,安全信息卡上安裝有用以實現密碼認證、數據加密、系統 數據備份、計算機接口監控和網絡傳輸加密功能的安全防護軟體,其安全防護軟體安裝有引導 植入程序、植入驅動程序和運行程序三部分。
第二特徵在於提供一種基於擴展BIOS技術的計算機安全信息卡,實現計算機信息安全的操 作方法,其特徵在於包括以下步驟-
a、 通過使用PCI橋接晶片CH362將安全信息卡上的64KB的Flash-Memory 29C512和計算機的 PCI插槽相連接,安全信息卡採用PCI規範的ExpansionROM機制,在Flash-Memory上存 在用於植入計算機的代碼,利用擴展BIOS技術,計算機上的BIOS進行POST自檢時會掃描 具有擴展BIOS標記的板卡,當計算機的指令指針跳到安全信息卡的代碼映像空間時執行該 空間的代碼,植入代碼並掃描硬碟,安全信息卡在作業系統引導之前會檢查是否有安全防 護軟體植入到計算機,若無,則會重新植入,並將植入的安全防護軟體驅動寫到系統區硬 盤上;
b、 採用INT13來讀取硬碟扇區以完成進一步的引導,植入時將安全信息卡上的程序數據放在 分配的硬碟空間並通過INT13掃描相關編碼,然後分配內存空間容納安裝程序,再按照堆棧、數據、代碼段映射程序空間,在內存修改跳轉,為保護模式初始化執行環境,完成安 裝程序運行,當作業系統進入保護模式後,會再一次執行指令,同時掛入一個Driver到系 統的驅動鍊表裡,實現將安全信息卡內的軟體導入到作業系統;
c、 植入後,作業系統引導時就會自動執行安全防護軟體,計算機加電後在BIOS之前就會要求 進行密碼認證,通過密碼認證後方可進入,從最底層給計算機加了一把安全鎖,實現對進 入計算機的人員身份認證;
d、 作業系統啟動後,安全信息卡運行程序會利用植入驅動程序在作業系統中開一個進程並以 SYSTEM權限運行,用以實現安全信息卡的功能,安全信息卡程序會被定時的運行,以檢査 安全防護軟體運行是否正常,如果不正常就會重新安裝,當程序運行進程被強制卸載,計 算機將會在卸載時出現重啟動或藍屏現象,卡上軟體運行後,實現密碼認證、數據加密、 系統數據備份、計算機接口監控和網絡傳輸加密等功能;
e、 進入作業系統後,所有作業系統內登記的軟體將以watchdog的機制定時向安全信息卡發送 加密認證計數,若其中某一登記的軟體沒在指定時刻內向安全信息卡發送加密認證計數, 計算機則強制重啟,從而保護了計算機的安全和穩定。
本發明並不直接針對計算機自身的BIOS,而是利用PC機體系中的"擴展BI0S"規範,通 過一塊PCI插卡,在計算機加電時先於作業系統獲得計算機的控制權,然後將安全防護軟體從 安全信息卡上植入作業系統中,作業系統引導時就會自動執行安全防護軟體,保證了計算機信 息安全。同時安全信息卡上留有大量的存儲空間且能擴充,從而達到開發安全防護功能,裝載 各種安全防護軟體,實現安全防護系統等目的。此外安全信息卡隔離了BIOS複雜難懂的規範, 降低了軟體開發的難度。安全信息卡具有功能強、信息安全度高、成本低、可靠性高、開發靈 活、使用方便和重複利用率高等優點,針對不同用戶群,提供了可信賴服務,加強了計算機的 安全,使計算機成為可信賴的安全設備。
圖l是本發明的基本原理圖2是本發明的軟體架構圖3是安全信息卡的引導植入程序流程圖4是安全信息卡的植入驅動程序流程圖5是安全信息卡的電路原理圖6是安全信息卡的結構示意圖。
具體實施例方式
根據圖1所示,本發明的安全信息卡通過使用PCI橋接晶片CH362將卡上的64KB的Flash-Memory 29C512和計算機的PCI插槽相連,採用PCI規範的ExpansionROM機制,在Flash-Memory上存在用於植入的代碼,PC機的BIOS進行POST自檢時會掃描具有擴展BIOS標記的板卡,指令指針跳到板卡的代碼映像空間執行該空間代碼,植入代碼掃描硬碟,將植入驅動寫到系統區硬碟上,然後在作業系統引導時啟動植入驅動,將安全信息卡內的安全防護軟體植入作業系統中,並完成安全信息卡軟體功能。
圖中的U3 (24C01A)可以用於在計算機關閉期間繼續保存重要的數據,如擴展ROM卡的啟動模式、擴展R0M卡的序列號、用戶的密碼信息等。
根據圖2至圖5所示,本發明的安全信息卡上安裝有包括引導植入程序、植入驅動程序和運行程序三部分的安全防護軟體,用於完成卡上程序的引導、卡上程序植入作業系統和實現安全信息卡功能。
安全信息卡的引導植入程序1是在實際操作模式下取得控制權的,即在作業系統引導時刻,掃描當前計算機硬碟,採用INT13來讀取硬碟扇區以完成進一步的引導,植入時將安全信息卡上程序數據放在分配的硬碟空間,並通過INT13掃描相關編碼,在內存修改跳轉,為保護模式初始化執行環境,當作業系統進入保護模式後,會再一次執行指令,同時掛入一個Driver到系統的驅動鍊表裡,實現將安全信息卡內的軟體導入作業系統。
植入驅動程序2是一個標準的與作業系統相關的驅動程序,它的作用是讓安全信息卡上要被安裝的軟體自動運行。作業系統運行安全信息卡的植入驅動後,植入驅動首先到特定的硬碟空間上取得要被安裝運行的程序,然後分配內存空間容納安裝程序,最後按照堆棧、數據、代碼段映射程序空間,完成安裝程序運行。
安全信息卡的運行程序3啟動之後,主要完成五方面的功能
(1) 密碼認證計算機加電後在BIOS之前就會要求密碼認證,通過後方可進入,從最底層給計算機加了一把安全鎖;
(2) 數據加密即使硬碟、U盤等丟失,被第三方得到後無法讀出有用的內容;
(3) 數據系統備份實現數據導出、系統容災恢復,保證系統崩潰時的數據信息安全;
(4) 接口監控通過監控網卡(有線、無線)、USB口、串口、紅外、藍牙等涉外接口,達到對進出計算機的數據信息的監控、隔離保護,防止外部供給以及內部資料外洩;
(5) 網絡傳輸加密對通過網卡(包括動態加入的USB網卡)的數據進行加密傳輸,並進行網絡通信驗證,從而達到以下三個目的
① 通信雙方都有安全信息卡才能通信。這樣即使計算機被接入Internet,如果對端計算機沒有安全信息卡,通信將失敗。
② 通信數據在傳輸時被加密,即使被第三方截收,也是亂碼(通信加密算法開發人員可以自己另外定製加入)。
③ 對於網絡實現,沒有安裝安全信息卡的計算機將無法接入網絡。
所有關注的軟體將以watchdog的機制定時向安全信息卡發送加密認證計數,如果某登記的軟體沒在指定時刻內"報到",計算機將強制重啟,訪問密鑰是只能對卡讀寫,作為單位保證數據能在一個單位內部自由流轉;作為個人保證數據只能在個人手上。
根據圖6所示,由於本發明的安全信息卡是一塊PCI插卡,可用於帶PCI插槽的PC機中,無需軟體安裝,使用時只需將安全信息卡插入計算機上任意一個PCI插槽即可,事先儲存於安全信息卡的一系列功能通過硬體的方法植入計算機上的作業系統,與作業系統內核緊密結合在一起,發揮作用。
本發明的安全信息卡包括Demo版安全信息卡和正式版安全信息卡兩種,其中Demo版安全信息卡用於測試、調試,支持windows2000、 2003、 XP的作業系統,不支持vista系統,正式版安全信息卡作為產品應用,支持windows2000、 2003、 XP和vista作業系統。
計算機通電啟動後,會要求進行密碼認證,其中Demo版安全信息卡會出現"0000psw:"的提示符,只要直接按回車鍵就可以繼續,正式版安全信息卡則要求輸入密碼,安全信息卡的密碼設置代碼要求用戶設置的口令必須是強口令(強口令是指不容易被破解的,含有特殊字符,且擁有足夠的長度以及多種字符類型的混合),不允許簡單的使用字母、數字和單詞,提高密碼強度,以保證認證安全。
作業系統啟動後,安全信息卡運行程序會利用植入驅動在作業系統中開一個進程,以SYSTEM權限運行,以實現安全信息卡的功能;安全信息卡程序會被定時的運行,以檢査安全防護軟體運行是否正常,如果不正常就會重新安裝,當程序運行進程被強制卸載,計算機將會在卸載時出現重啟動或藍屏。
目前Demo版安全信息卡只能完成網絡通信加密和不允許沒有安裝安全信息卡的計算^L間相互通信的功能,而正式版安全信息卡能夠完成,密碼認證、個人數據加密、數據(系統)備份、計算機接口監控以及網絡通信加密和不允許沒有安裝安全信息卡的計算機間相互通信的功能,對於Demo版安全信息卡,當卡拔掉後,計算機仍能夠正常啟動,網絡通信加密仍然有效;而正式版安全信息卡拔掉後,計算機將不能正常啟動。
9本發明的安全信息卡還提供了一個固件平臺和簡單的開發接口,在該平臺上開發人員可以按照軟體的模式靈活的開發自己的安全防護軟體,用戶可以在此前安全防護軟體的基礎上進行少量修改,就可以將自己的軟體儲存進安全信息卡中,安全信息卡會自動運行儲存的軟體,達到硬體可靠性的目的。
如用戶將自己的安全防護軟體打包為一個安裝可執行的程序set叩.exe,對該setup, exe的要求是(1)通過ZIP壓縮後(ZIP壓縮、解壓縮由安全信息卡完成)的體積能容納進安全信息卡的存儲器上;(2)安全信息卡會定時的運行一次setup.exe (setup.exe是位於安全信息卡內部的,不會被用戶和病毒等剔除),因而setup.exe必須做到自己檢查自己的防護軟體運行是否正常,如果不正常就重新安裝。
利用開發的專用燒制軟體,將實現了數據加密、數據系統備份、接口監控和數據加密傳輸等功能的setup.exe燒入安全信息卡內,從而實現各種功能,這些功能可單獨構造一個setup, exe,也可合起來構造一個set叫exe0
安全信息卡基礎版提供了一個setup, exe以及setup, exe的原始碼,開發人員按照提供的例子進行二次開發,"燒入"安全信息卡的setup, exe將以SYSTEM權限運行而不管實際用戶是以什麼身份登錄的。
通過這樣的設計,對於個人用戶通過數據加密,保護了個人隱私,通過系統數據備份,實現系統恢復功能;對於企業級用戶通過系統數據備份,保證系統崩潰時的數據導出,實現系統容災恢復,通過監控計算機接口,使得企業內部的資料不被拷貝外洩,通過網卡數據加密傳輸、網絡通信驗證的方式,實現安全網絡;對於政府軍隊用戶通過三級認證,強化計算機安全,通過數據加密,計算機數據外洩無法恢復,保證了數據信息的安全,通過監控計算機接口,防止資料被竊,通過網絡傳輸加密,網絡通信認證,構建可信賴網絡,規避沒有安裝安全信息卡的計算機接入網絡,適用範圍廣泛。上述實施例僅為說明本發明而列舉,並非用於限制本發明,任何基於本技術方案所變換的等同效果的結構,均屬於本發明的保護範圍。
權利要求
1、一種基於擴展BIOS技術的計算機安全信息卡,包括一塊為PCI插卡的安全信息卡,安全信息卡上安裝有用以實現密碼認證、數據加密、系統數據備份、計算機接口監控和網絡傳輸加密功能的安全防護軟體,其安全防護軟體安裝有引導植入程序、植入驅動程序和運行程序三部分。
2、 一種基於擴展BIOS技術的計算機安全信息卡操作方法,其特徵在於包括以下歩驟a、 通過使用PCI橋接晶片CH362將安全信息卡上的64KB的Flash-Memory 29C512和計算機的PCI插槽相連接,安全信息卡採用PCI規範的ExpansionROM機制,在Flash-Memory上存在用於植入計算機的代碼,利用擴展BIOS技術,當計算機BIOS進行POST自檢時會掃描具有擴展BIOS標記的板卡,當計算機的指令指針跳到安全信息卡的代碼映像空間時執行該空間的代碼,植入代碼並掃描硬碟,安全信息卡在作業系統引導之前會檢査是否有安全防護軟體植入到計算機,若無,則會重新植入,並將植入的安全防護軟體驅動寫到系統區硬碟上;b、 採用INT13來讀取硬碟扇區以完成進一步的引導,植入時將安全信息卡上的程序數據放在分配的硬碟空間並通過INT13掃描相關編碼,然後分配內存空間容納安裝程序,再按照堆棧、數據、代碼段映射程序空間,在內存修改跳轉,為保護模式初始化執行環境,完成安裝程序運行,當作業系統進入保護模式後,會再一次執行指令,同時掛入一個Driver到系統的驅動鍊表裡,實現將安全信息卡內的軟體導入到作業系統;c、 植入後,作業系統引導時就會自動執行安全防護軟體,計算機加電後在BIOS之前就會要求進行密碼認證,通過密碼認證後方可進入,從最底層給計算機加了一把安全鎖,實現對進入計算機的人員身份認證;d、 作業系統啟動後,安全信息卡運行程序會利用植入驅動程序在作業系統中開一個進程並以SYSTEM權限運行,用以實現安全信息卡的功能,安全信息卡程序會被定時的運行,以檢査安全防護軟體運行是否正常,如果不正常就會重新安裝,當程序運行進程被強制卸載,機器將會在卸載時出現重啟動或藍屏現象,卡上軟體運行後,實現密碼認證、數據加密、系統數據備份、計算機接口監控和網絡傳輸加密的功能;e、進入作業系統後,所有作業系統內登記的軟體將以watchdog的機制定時向安全信息卡發送加密認證計數,若其中某一登記的軟體沒在指定時刻內向安全信息卡發送加密認證計數,計算機則強制重啟,從而保護了計算機的安全和穩定。
全文摘要
本發明涉及一種基於擴展BIOS技術的計算機安全信息卡及其操作方法,包括一塊為PCI插卡的安全信息卡,該卡利用擴展BIOS技術在計算機加電時先於作業系統獲得計算機的控制權,將安全防護軟體植入作業系統中,作業系統引導時就會自動執行安全防護軟體,從而實現密碼認證、數據加密、系統數據備份、計算機接口監控和網絡傳輸加密的眾多功能,確保信息和計算機的安全,同時安全信息卡上留有大量的存儲空間且能擴充,易於開發安全防護功能,針對現有軟硬體技術包括BIOS剩餘空間固件方法存在的技術缺陷,結合軟硬體技術的優點,為實現信息安全、計算機可信提供了全新的解決方案。
文檔編號G06F21/00GK101477603SQ20091003656
公開日2009年7月8日 申請日期2009年1月12日 優先權日2009年1月12日
發明者楊俊生 申請人:楊俊生