本發明公開了一種基于可信芯片的固件層用戶管理方法，基于可信芯片的固件層用戶管理方法在對固件層用戶進行管理時引入可信芯片；此方法將傳統BIOS用戶管理功能進行拆分，即計算機系統固件層的用戶管理是由BIOS與可信芯片各自負責的功能模塊共同來完成的，其中BIOS負責用戶認證模塊，可信芯片負責用戶存儲模塊；BIOS不再存儲固件層用戶的相關數據，BIOS主要任務是完成對固件層用戶數據的管理；本發明基于可信芯片的固件層用戶管理方法實現了固件層用戶數據的安全管理，避免了固件層用戶數據被竊取利用，能夠有效的保護固件層的用戶數據，增強了整個計算機系統的安全性，為計算機系統固件層面的用戶管理提供更好的安全性。

技術領域

本發明屬于計算機技術領域，具體為一種基于可信芯片的固件層用戶管理方法。

背景技術

固件是硬件設備內部存儲的一套程序，一般固化在主板上的某個芯片中，可以驅動硬件設備以完成特定的功能；例如，光驅對放入在其中的磁盤類型（CD/DVD/CD-R(W)）的識別，就是通過光驅中的固件驅動完成的，計算機中最重要的固件被稱為BIOS(BasicInput/Output System，基本輸入輸出系統)，主要用于初始化計算機系統主板上的硬件、管理配置這些硬件資源、以及引導操作系統啟動。

在BIOS的應用初期，其對用戶相當于一個看不見的程序，用戶并不能對BIOS進行設置。但是，在后續的發展過程中，為了使用戶可以通過BIOS去管控某些硬件資源，BIOS便提供了UI(User Interface，用戶交互界面)界面供用戶對BIOS進行配置，從而達到管理某些硬件資源的目的。因為BIOS先于操作系統啟動，擁有極高權限，所以為了提升安全性，BIOS又增加了用戶管理功能，即在BIOS階段可以創建用戶，并對用戶身份進行驗證。如果用戶想通過BIOS管理相關的硬件資源以及啟動操作系統等，需要先經過BIOS層面的用戶驗證。BIOS創建用戶管理機制的目的是保護整個計算機系統的安全性，使計算機系統的固件配置不會被惡意更改，防止非授權登錄操作系統。

傳統BIOS的用戶管理是基于BIOS內部自身的管理，即BIOS層面的用戶數據存儲在BIOS內部，同時對BIOS用戶進行驗證也是BIOS自身完成的。如此便存在安全隱患，因為同一批次計算機的BIOS對用戶進行驗證的算法一樣，當攻擊者獲取到該批次中任意一臺計算機BIOS中的用戶數據時，便可以將此計算機中BIOS的用戶數據取出并移植到其它計算機的BIOS中。由于驗證用戶算法一樣，攻擊者就可以在其它計算機上用已知的用戶數據進行用戶驗證，且驗證可以通過，從而操作其它計算機。目前，雖然有固件層用戶管理方法，但是并未看到將可信芯片引入到固件層用戶管理的其它方案。

發明內容

本發明的目的是為了提供一種基于可信芯片的固件層用戶管理方法，基于可信芯片的固件層用戶管理方法實現了固件層用戶數據的安全管理，避免了固件層用戶數據被竊取利用，能夠有效的保護固件層的用戶數據，增強整個計算機系統的安全性的特點，為計算機系統固件層面的用戶管理提供更好的安全性，解決了現有技術的不足。

為實現上述目的，本發明提供如下技術方案：

一種基于可信芯片的固件層用戶管理方法，該方法將傳統BIOS用戶管理功能進行拆分，即計算機系統固件層的用戶管理是由BIOS與可信芯片各自負責的功能模塊共同來完成的，其中BIOS負責用戶認證模塊，可信芯片負責用戶存儲模塊；

所述方法具體步驟如下：

步驟一、啟動計算機；

步驟二、BIOS初始化可信芯片，并檢測可信芯片內是否已經為用戶數據創建了授權存儲區域；如果沒有創建進行步驟三，如果已經創建進行步驟四；

步驟三、在可信芯片內部創建授權的存儲區域；

步驟四、BIOS檢測可信芯片授權存儲區是否有用戶數據；如果授權存儲區中已經有用戶數據則進行步驟五，如果授權存儲區中沒有用戶數據則進行步驟七；