技術領域

本發明涉及一種計算機安全控制方法，特別是一種基于BIOS的計算機安全控制系統和方法。

背景技術

隨著計算機的日益普及以及互聯網技術的飛速發展，計算機安全控制技術也在不斷進步。目前，單機環境下的計算機安全控制技術一般實現于操作系統層面，其實施手段通常有兩種，一種是身份認證機制增強，其實現途徑是替換操作系統基于口令的認證方式，改為基于硬件介質的雙因素認證方式，如智能卡、USBKey等；另一種是安全防護機制增強，其實現途徑是在操作系統層面增加防火墻來限制互聯網上非法用戶的攻擊，增加防水墻來防止合法用戶進行硬盤數據竊取等。

雖然在操作系統層面增加的安全控制措施能夠在一定程度上滿足人們的安全需求，但同時也暴露出一些問題。一方面，很多計算機并沒有在BIOS(BasicInput/Output?System)啟動階段設置身份認證過程，因此，非法用戶只需要通過簡單的技術，如光驅引導、U盤引導等方式，就能繞開操作系統的安全控制策略進入計算機，獲取硬盤中存儲的數據文件；另一方面，雖然很多計算機在BIOS系統中設置了基于口令的身份認證手段，但仍然存在一些缺陷，如：某些合法用戶仍然可以通過可引導設備繞開操作系統的安全控制策略進行硬盤數據竊取；非法用戶通過CMOS放電等簡單操作即可清除口令；很多計算機廠家對BIOS系統設置了超級口令，這種超級口令也是一種潛在的安全隱患。因此，如何采取安全控制手段來控制操作系統的安全加載成為計算機安全控制技術發展的一個迫切要求。

另外，如果操作系統啟動過程所依賴的系統軟件或硬件環境發生變化，也會對系統的安全構成直接威脅，造成信息泄露的可能。如用戶將系統的CD-ROM更換為CD-RW，這樣就可以把硬盤數據以數據光盤的形式導出，直接造成信息泄漏。因此，在操作系統啟動前，相關的安全控制手段也應該對系統的軟件環境、硬件設備進行一致性校驗以確保其安全可靠。

發明內容

本發明目的在于提供一種基于BIOS的計算機安全控制系統和方法，解決計算機在操作系統啟動之前缺乏有效的安全控制措施的問題。

一種基于BIOS的計算機安全控制系統，包括用戶身份認證模塊、系統硬件完整性度量模塊、系統軟件完整性度量模塊和操作系統安全加載模塊。其中，系統硬件完整性度量模塊包括硬盤完整性度量子模塊、光驅完整性度量子模塊和網卡完整性度量子模塊；操作系統安全加載模塊包括安全引導設置子模塊和安全加載子模塊。

用戶身份認證模塊分別和系統硬件完整性度量模塊、系統軟件完整性度量模塊和操作系統安全加載模塊相連，系統硬件完整性度量模塊中的硬盤完整性度量子模塊、光驅完整性度量子模塊和網卡完整性度量子模塊順次連接，操作系統安全加載模塊中的安全引導設置子模塊和安全加載子模塊順次連接。

一種基于BIOS的計算機安全控制方法的具體步驟為：

第一步：用戶身份認證

對應于BIOS安全控制系統的用戶身份認證模塊，對登錄主機的用戶進行強制的身份認證，以此來保證用戶身份的合法性；

第二步：系統硬件完整性度量

對應于BIOS安全控制系統的系統硬件完整性度量模塊，對主機的輸入/輸出設備進行完整性度量，以此來保證操作系統硬件引導環境的完整性；

第三步：系統軟件完整性度量

對應于BIOS安全控制系統的系統軟件完整性度量模塊，對操作系統啟動所涉及的軟件信息進行完整性度量，以此來保證操作系統軟件引導環境的完整性；

第四步：操作系統安全加載

對應于BIOS安全控制系統的操作系統安全加載模塊，對操作系統的加載方式進行控制，以此來防止用戶通過其他可引導設備加載其他操作系統。

至此，BIOS安全控制方法通過以上各項安全控制措施，有效的保證了計算機在操作系統啟動之前的安全性。

本發明具有以下優點：

1、本發明通用性強，既可應用于普通計算機，也可應用于服務器、嵌入式終端等具有BIOS系統的計算機；

2、本發明不但對用戶身份進行認證，而且對用戶身份對應的軟件環境和硬件環境進行校驗，這種交互式驗證能夠有效保證系統的安全性；

3、本發明實施于BIOS啟動階段，能夠保證計算機在操作系統啟動之前的安全性，同時不妨礙用戶在操作系統層面繼續實施其他的安全控制手段，進一步增強系統的安全性。

附圖說明

圖1為一種基于BIOS的計算機安全控制系統的組成結構圖；

1.用戶身份認證模塊???????????2.系統硬件完整性度量模塊