專利名稱:基于擴展bios技術(shù)的計算機安全信息卡及其操作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計算機信息安全領(lǐng)域,具體涉及一種基于擴展BT0S技術(shù)的計算機安全信息卡。
背景技術(shù):
傳統(tǒng)計算機信息安全的實現(xiàn)方案分為兩大類
一類是軟件技術(shù)方案。這是目前應(yīng)用最多的技術(shù),利用安全防護軟件實現(xiàn)計算機信息安全, 這種技術(shù)具有成本低、開發(fā)靈活、軟件易安裝等優(yōu)點,但也存在一些不足
1、 系統(tǒng)重裝,需要重新安裝安全防護軟件,使用上不方便;
2、 使用者可以使用"格式化"或"鏡像恢復(fù)"的辦法去掉安全防護軟件,使計算機脫離 安全管控,信息處于危險當(dāng)中;
3、 安全防護軟件存在漏洞,木馬、病毒會攻擊安全防護軟件,停掉保護進程,使安全防 護失效。
另一類是硬件技術(shù)方案。如帶加密芯片的硬盤、安全U盤,其具有安全性高、硬件加密破 解難等優(yōu)點;但存在一些不足
1、 硬件成本高,價格昂貴,普遍適用性差;
2、 操作不靈活,很難根據(jù)新情況添加新功能,二次開發(fā)難度大,硬件重復(fù)利用率不高。 通過分析軟、硬件技術(shù)方案的優(yōu)缺點后, 一種利用BIOS剩余空間的"固件"方案產(chǎn)生,
這種方案結(jié)合了軟硬件技術(shù)方案的優(yōu)點,將安全防護軟件放到計算機的BIOS中,節(jié)省了硬件 成本,同時使安全防護軟件與硬盤無關(guān),體現(xiàn)了硬件可靠性的優(yōu)點;往BIOS中可以寫入任意 代碼,體現(xiàn)了軟件靈活的優(yōu)點。但此種"固件"方案帶來的新問題在于-
1、各個計算機的BIOS版本差別很大,而且同一計算機的BIOS會有升級的問題,會造成 技術(shù)人員疲于奔命的問題;
42、 BIOS剩余空間大小有限,很難放入復(fù)雜的安全防護軟件。
發(fā)明內(nèi)容
本發(fā)明的目的正是針對現(xiàn)有技術(shù)所存在的技術(shù)缺陷,結(jié)合了軟硬件技術(shù)方案的優(yōu)點,利用 PC機體系中的"擴展BIOS"規(guī)范,通過一塊PCI插卡,在計算機加電時先于操作系統(tǒng)獲得計 算機的控制權(quán),然后將安全防護軟件從安全信息卡上植入操作系統(tǒng)中,操作系統(tǒng)引導(dǎo)時就會自 動執(zhí)行安全防護軟件,從而保證計算機信息安全所提出的一種基于擴展BIOS技術(shù)的計算機安 全信息卡及其操作方法。
為達到上述目的,本發(fā)明第一特征在于提供一種基于擴展BIOS技術(shù)的計算機安全信息卡, 包括一塊為PCI插卡的安全信息卡,安全信息卡上安裝有用以實現(xiàn)密碼認證、數(shù)據(jù)加密、系統(tǒng) 數(shù)據(jù)備份、計算機接口監(jiān)控和網(wǎng)絡(luò)傳輸加密功能的安全防護軟件,其安全防護軟件安裝有引導(dǎo) 植入程序、植入驅(qū)動程序和運行程序三部分。
第二特征在于提供一種基于擴展BIOS技術(shù)的計算機安全信息卡,實現(xiàn)計算機信息安全的操 作方法,其特征在于包括以下步驟-
a、 通過使用PCI橋接芯片CH362將安全信息卡上的64KB的Flash-Memory 29C512和計算機的 PCI插槽相連接,安全信息卡采用PCI規(guī)范的ExpansionROM機制,在Flash-Memory上存 在用于植入計算機的代碼,利用擴展BIOS技術(shù),計算機上的BIOS進行POST自檢時會掃描 具有擴展BIOS標(biāo)記的板卡,當(dāng)計算機的指令指針跳到安全信息卡的代碼映像空間時執(zhí)行該 空間的代碼,植入代碼并掃描硬盤,安全信息卡在操作系統(tǒng)引導(dǎo)之前會檢查是否有安全防 護軟件植入到計算機,若無,則會重新植入,并將植入的安全防護軟件驅(qū)動寫到系統(tǒng)區(qū)硬 盤上;
b、 采用INT13來讀取硬盤扇區(qū)以完成進一步的引導(dǎo),植入時將安全信息卡上的程序數(shù)據(jù)放在 分配的硬盤空間并通過INT13掃描相關(guān)編碼,然后分配內(nèi)存空間容納安裝程序,再按照堆棧、數(shù)據(jù)、代碼段映射程序空間,在內(nèi)存修改跳轉(zhuǎn),為保護模式初始化執(zhí)行環(huán)境,完成安 裝程序運行,當(dāng)操作系統(tǒng)進入保護模式后,會再一次執(zhí)行指令,同時掛入一個Driver到系 統(tǒng)的驅(qū)動鏈表里,實現(xiàn)將安全信息卡內(nèi)的軟件導(dǎo)入到操作系統(tǒng);
c、 植入后,操作系統(tǒng)引導(dǎo)時就會自動執(zhí)行安全防護軟件,計算機加電后在BIOS之前就會要求 進行密碼認證,通過密碼認證后方可進入,從最底層給計算機加了一把安全鎖,實現(xiàn)對進 入計算機的人員身份認證;
d、 操作系統(tǒng)啟動后,安全信息卡運行程序會利用植入驅(qū)動程序在操作系統(tǒng)中開一個進程并以 SYSTEM權(quán)限運行,用以實現(xiàn)安全信息卡的功能,安全信息卡程序會被定時的運行,以檢査 安全防護軟件運行是否正常,如果不正常就會重新安裝,當(dāng)程序運行進程被強制卸載,計 算機將會在卸載時出現(xiàn)重啟動或藍屏現(xiàn)象,卡上軟件運行后,實現(xiàn)密碼認證、數(shù)據(jù)加密、 系統(tǒng)數(shù)據(jù)備份、計算機接口監(jiān)控和網(wǎng)絡(luò)傳輸加密等功能;
e、 進入操作系統(tǒng)后,所有操作系統(tǒng)內(nèi)登記的軟件將以watchdog的機制定時向安全信息卡發(fā)送 加密認證計數(shù),若其中某一登記的軟件沒在指定時刻內(nèi)向安全信息卡發(fā)送加密認證計數(shù), 計算機則強制重啟,從而保護了計算機的安全和穩(wěn)定。
本發(fā)明并不直接針對計算機自身的BIOS,而是利用PC機體系中的"擴展BI0S"規(guī)范,通 過一塊PCI插卡,在計算機加電時先于操作系統(tǒng)獲得計算機的控制權(quán),然后將安全防護軟件從 安全信息卡上植入操作系統(tǒng)中,操作系統(tǒng)引導(dǎo)時就會自動執(zhí)行安全防護軟件,保證了計算機信 息安全。同時安全信息卡上留有大量的存儲空間且能擴充,從而達到開發(fā)安全防護功能,裝載 各種安全防護軟件,實現(xiàn)安全防護系統(tǒng)等目的。此外安全信息卡隔離了BIOS復(fù)雜難懂的規(guī)范, 降低了軟件開發(fā)的難度。安全信息卡具有功能強、信息安全度高、成本低、可靠性高、開發(fā)靈 活、使用方便和重復(fù)利用率高等優(yōu)點,針對不同用戶群,提供了可信賴服務(wù),加強了計算機的 安全,使計算機成為可信賴的安全設(shè)備。
圖l是本發(fā)明的基本原理圖2是本發(fā)明的軟件架構(gòu)圖3是安全信息卡的引導(dǎo)植入程序流程圖4是安全信息卡的植入驅(qū)動程序流程圖5是安全信息卡的電路原理圖6是安全信息卡的結(jié)構(gòu)示意圖。
具體實施例方式
根據(jù)圖1所示,本發(fā)明的安全信息卡通過使用PCI橋接芯片CH362將卡上的64KB的Flash-Memory 29C512和計算機的PCI插槽相連,采用PCI規(guī)范的ExpansionROM機制,在Flash-Memory上存在用于植入的代碼,PC機的BIOS進行POST自檢時會掃描具有擴展BIOS標(biāo)記的板卡,指令指針跳到板卡的代碼映像空間執(zhí)行該空間代碼,植入代碼掃描硬盤,將植入驅(qū)動寫到系統(tǒng)區(qū)硬盤上,然后在操作系統(tǒng)引導(dǎo)時啟動植入驅(qū)動,將安全信息卡內(nèi)的安全防護軟件植入操作系統(tǒng)中,并完成安全信息卡軟件功能。
圖中的U3 (24C01A)可以用于在計算機關(guān)閉期間繼續(xù)保存重要的數(shù)據(jù),如擴展ROM卡的啟動模式、擴展R0M卡的序列號、用戶的密碼信息等。
根據(jù)圖2至圖5所示,本發(fā)明的安全信息卡上安裝有包括引導(dǎo)植入程序、植入驅(qū)動程序和運行程序三部分的安全防護軟件,用于完成卡上程序的引導(dǎo)、卡上程序植入操作系統(tǒng)和實現(xiàn)安全信息卡功能。
安全信息卡的引導(dǎo)植入程序1是在實際操作模式下取得控制權(quán)的,即在操作系統(tǒng)引導(dǎo)時刻,掃描當(dāng)前計算機硬盤,采用INT13來讀取硬盤扇區(qū)以完成進一步的引導(dǎo),植入時將安全信息卡上程序數(shù)據(jù)放在分配的硬盤空間,并通過INT13掃描相關(guān)編碼,在內(nèi)存修改跳轉(zhuǎn),為保護模式初始化執(zhí)行環(huán)境,當(dāng)操作系統(tǒng)進入保護模式后,會再一次執(zhí)行指令,同時掛入一個Driver到系統(tǒng)的驅(qū)動鏈表里,實現(xiàn)將安全信息卡內(nèi)的軟件導(dǎo)入操作系統(tǒng)。
植入驅(qū)動程序2是一個標(biāo)準的與操作系統(tǒng)相關(guān)的驅(qū)動程序,它的作用是讓安全信息卡上要被安裝的軟件自動運行。操作系統(tǒng)運行安全信息卡的植入驅(qū)動后,植入驅(qū)動首先到特定的硬盤空間上取得要被安裝運行的程序,然后分配內(nèi)存空間容納安裝程序,最后按照堆棧、數(shù)據(jù)、代碼段映射程序空間,完成安裝程序運行。
安全信息卡的運行程序3啟動之后,主要完成五方面的功能
(1) 密碼認證計算機加電后在BIOS之前就會要求密碼認證,通過后方可進入,從最底層給計算機加了一把安全鎖;
(2) 數(shù)據(jù)加密即使硬盤、U盤等丟失,被第三方得到后無法讀出有用的內(nèi)容;
(3) 數(shù)據(jù)系統(tǒng)備份實現(xiàn)數(shù)據(jù)導(dǎo)出、系統(tǒng)容災(zāi)恢復(fù),保證系統(tǒng)崩潰時的數(shù)據(jù)信息安全;
(4) 接口監(jiān)控通過監(jiān)控網(wǎng)卡(有線、無線)、USB口、串口、紅外、藍牙等涉外接口,達到對進出計算機的數(shù)據(jù)信息的監(jiān)控、隔離保護,防止外部供給以及內(nèi)部資料外泄;
(5) 網(wǎng)絡(luò)傳輸加密對通過網(wǎng)卡(包括動態(tài)加入的USB網(wǎng)卡)的數(shù)據(jù)進行加密傳輸,并進行網(wǎng)絡(luò)通信驗證,從而達到以下三個目的
① 通信雙方都有安全信息卡才能通信。這樣即使計算機被接入Internet,如果對端計算機沒有安全信息卡,通信將失敗。
② 通信數(shù)據(jù)在傳輸時被加密,即使被第三方截收,也是亂碼(通信加密算法開發(fā)人員可以自己另外定制加入)。
③ 對于網(wǎng)絡(luò)實現(xiàn),沒有安裝安全信息卡的計算機將無法接入網(wǎng)絡(luò)。
所有關(guān)注的軟件將以watchdog的機制定時向安全信息卡發(fā)送加密認證計數(shù),如果某登記的軟件沒在指定時刻內(nèi)"報到",計算機將強制重啟,訪問密鑰是只能對卡讀寫,作為單位保證數(shù)據(jù)能在一個單位內(nèi)部自由流轉(zhuǎn);作為個人保證數(shù)據(jù)只能在個人手上。
根據(jù)圖6所示,由于本發(fā)明的安全信息卡是一塊PCI插卡,可用于帶PCI插槽的PC機中,無需軟件安裝,使用時只需將安全信息卡插入計算機上任意一個PCI插槽即可,事先儲存于安全信息卡的一系列功能通過硬件的方法植入計算機上的操作系統(tǒng),與操作系統(tǒng)內(nèi)核緊密結(jié)合在一起,發(fā)揮作用。
本發(fā)明的安全信息卡包括Demo版安全信息卡和正式版安全信息卡兩種,其中Demo版安全信息卡用于測試、調(diào)試,支持windows2000、 2003、 XP的操作系統(tǒng),不支持vista系統(tǒng),正式版安全信息卡作為產(chǎn)品應(yīng)用,支持windows2000、 2003、 XP和vista操作系統(tǒng)。
計算機通電啟動后,會要求進行密碼認證,其中Demo版安全信息卡會出現(xiàn)"0000psw:"的提示符,只要直接按回車鍵就可以繼續(xù),正式版安全信息卡則要求輸入密碼,安全信息卡的密碼設(shè)置代碼要求用戶設(shè)置的口令必須是強口令(強口令是指不容易被破解的,含有特殊字符,且擁有足夠的長度以及多種字符類型的混合),不允許簡單的使用字母、數(shù)字和單詞,提高密碼強度,以保證認證安全。
操作系統(tǒng)啟動后,安全信息卡運行程序會利用植入驅(qū)動在操作系統(tǒng)中開一個進程,以SYSTEM權(quán)限運行,以實現(xiàn)安全信息卡的功能;安全信息卡程序會被定時的運行,以檢査安全防護軟件運行是否正常,如果不正常就會重新安裝,當(dāng)程序運行進程被強制卸載,計算機將會在卸載時出現(xiàn)重啟動或藍屏。
目前Demo版安全信息卡只能完成網(wǎng)絡(luò)通信加密和不允許沒有安裝安全信息卡的計算^L間相互通信的功能,而正式版安全信息卡能夠完成,密碼認證、個人數(shù)據(jù)加密、數(shù)據(jù)(系統(tǒng))備份、計算機接口監(jiān)控以及網(wǎng)絡(luò)通信加密和不允許沒有安裝安全信息卡的計算機間相互通信的功能,對于Demo版安全信息卡,當(dāng)卡拔掉后,計算機仍能夠正常啟動,網(wǎng)絡(luò)通信加密仍然有效;而正式版安全信息卡拔掉后,計算機將不能正常啟動。
9本發(fā)明的安全信息卡還提供了一個固件平臺和簡單的開發(fā)接口,在該平臺上開發(fā)人員可以按照軟件的模式靈活的開發(fā)自己的安全防護軟件,用戶可以在此前安全防護軟件的基礎(chǔ)上進行少量修改,就可以將自己的軟件儲存進安全信息卡中,安全信息卡會自動運行儲存的軟件,達到硬件可靠性的目的。
如用戶將自己的安全防護軟件打包為一個安裝可執(zhí)行的程序set叩.exe,對該setup, exe的要求是(1)通過ZIP壓縮后(ZIP壓縮、解壓縮由安全信息卡完成)的體積能容納進安全信息卡的存儲器上;(2)安全信息卡會定時的運行一次setup.exe (setup.exe是位于安全信息卡內(nèi)部的,不會被用戶和病毒等剔除),因而setup.exe必須做到自己檢查自己的防護軟件運行是否正常,如果不正常就重新安裝。
利用開發(fā)的專用燒制軟件,將實現(xiàn)了數(shù)據(jù)加密、數(shù)據(jù)系統(tǒng)備份、接口監(jiān)控和數(shù)據(jù)加密傳輸?shù)裙δ艿膕etup.exe燒入安全信息卡內(nèi),從而實現(xiàn)各種功能,這些功能可單獨構(gòu)造一個setup, exe,也可合起來構(gòu)造一個set叫exe0
安全信息卡基礎(chǔ)版提供了一個setup, exe以及setup, exe的源代碼,開發(fā)人員按照提供的例子進行二次開發(fā),"燒入"安全信息卡的setup, exe將以SYSTEM權(quán)限運行而不管實際用戶是以什么身份登錄的。
通過這樣的設(shè)計,對于個人用戶通過數(shù)據(jù)加密,保護了個人隱私,通過系統(tǒng)數(shù)據(jù)備份,實現(xiàn)系統(tǒng)恢復(fù)功能;對于企業(yè)級用戶通過系統(tǒng)數(shù)據(jù)備份,保證系統(tǒng)崩潰時的數(shù)據(jù)導(dǎo)出,實現(xiàn)系統(tǒng)容災(zāi)恢復(fù),通過監(jiān)控計算機接口,使得企業(yè)內(nèi)部的資料不被拷貝外泄,通過網(wǎng)卡數(shù)據(jù)加密傳輸、網(wǎng)絡(luò)通信驗證的方式,實現(xiàn)安全網(wǎng)絡(luò);對于政府軍隊用戶通過三級認證,強化計算機安全,通過數(shù)據(jù)加密,計算機數(shù)據(jù)外泄無法恢復(fù),保證了數(shù)據(jù)信息的安全,通過監(jiān)控計算機接口,防止資料被竊,通過網(wǎng)絡(luò)傳輸加密,網(wǎng)絡(luò)通信認證,構(gòu)建可信賴網(wǎng)絡(luò),規(guī)避沒有安裝安全信息卡的計算機接入網(wǎng)絡(luò),適用范圍廣泛。上述實施例僅為說明本發(fā)明而列舉,并非用于限制本發(fā)明,任何基于本技術(shù)方案所變換的等同效果的結(jié)構(gòu),均屬于本發(fā)明的保護范圍。
權(quán)利要求
1、一種基于擴展BIOS技術(shù)的計算機安全信息卡,包括一塊為PCI插卡的安全信息卡,安全信息卡上安裝有用以實現(xiàn)密碼認證、數(shù)據(jù)加密、系統(tǒng)數(shù)據(jù)備份、計算機接口監(jiān)控和網(wǎng)絡(luò)傳輸加密功能的安全防護軟件,其安全防護軟件安裝有引導(dǎo)植入程序、植入驅(qū)動程序和運行程序三部分。
2、 一種基于擴展BIOS技術(shù)的計算機安全信息卡操作方法,其特征在于包括以下歩驟a、 通過使用PCI橋接芯片CH362將安全信息卡上的64KB的Flash-Memory 29C512和計算機的PCI插槽相連接,安全信息卡采用PCI規(guī)范的ExpansionROM機制,在Flash-Memory上存在用于植入計算機的代碼,利用擴展BIOS技術(shù),當(dāng)計算機BIOS進行POST自檢時會掃描具有擴展BIOS標(biāo)記的板卡,當(dāng)計算機的指令指針跳到安全信息卡的代碼映像空間時執(zhí)行該空間的代碼,植入代碼并掃描硬盤,安全信息卡在操作系統(tǒng)引導(dǎo)之前會檢査是否有安全防護軟件植入到計算機,若無,則會重新植入,并將植入的安全防護軟件驅(qū)動寫到系統(tǒng)區(qū)硬盤上;b、 采用INT13來讀取硬盤扇區(qū)以完成進一步的引導(dǎo),植入時將安全信息卡上的程序數(shù)據(jù)放在分配的硬盤空間并通過INT13掃描相關(guān)編碼,然后分配內(nèi)存空間容納安裝程序,再按照堆棧、數(shù)據(jù)、代碼段映射程序空間,在內(nèi)存修改跳轉(zhuǎn),為保護模式初始化執(zhí)行環(huán)境,完成安裝程序運行,當(dāng)操作系統(tǒng)進入保護模式后,會再一次執(zhí)行指令,同時掛入一個Driver到系統(tǒng)的驅(qū)動鏈表里,實現(xiàn)將安全信息卡內(nèi)的軟件導(dǎo)入到操作系統(tǒng);c、 植入后,操作系統(tǒng)引導(dǎo)時就會自動執(zhí)行安全防護軟件,計算機加電后在BIOS之前就會要求進行密碼認證,通過密碼認證后方可進入,從最底層給計算機加了一把安全鎖,實現(xiàn)對進入計算機的人員身份認證;d、 操作系統(tǒng)啟動后,安全信息卡運行程序會利用植入驅(qū)動程序在操作系統(tǒng)中開一個進程并以SYSTEM權(quán)限運行,用以實現(xiàn)安全信息卡的功能,安全信息卡程序會被定時的運行,以檢査安全防護軟件運行是否正常,如果不正常就會重新安裝,當(dāng)程序運行進程被強制卸載,機器將會在卸載時出現(xiàn)重啟動或藍屏現(xiàn)象,卡上軟件運行后,實現(xiàn)密碼認證、數(shù)據(jù)加密、系統(tǒng)數(shù)據(jù)備份、計算機接口監(jiān)控和網(wǎng)絡(luò)傳輸加密的功能;e、進入操作系統(tǒng)后,所有操作系統(tǒng)內(nèi)登記的軟件將以watchdog的機制定時向安全信息卡發(fā)送加密認證計數(shù),若其中某一登記的軟件沒在指定時刻內(nèi)向安全信息卡發(fā)送加密認證計數(shù),計算機則強制重啟,從而保護了計算機的安全和穩(wěn)定。
全文摘要
本發(fā)明涉及一種基于擴展BIOS技術(shù)的計算機安全信息卡及其操作方法,包括一塊為PCI插卡的安全信息卡,該卡利用擴展BIOS技術(shù)在計算機加電時先于操作系統(tǒng)獲得計算機的控制權(quán),將安全防護軟件植入操作系統(tǒng)中,操作系統(tǒng)引導(dǎo)時就會自動執(zhí)行安全防護軟件,從而實現(xiàn)密碼認證、數(shù)據(jù)加密、系統(tǒng)數(shù)據(jù)備份、計算機接口監(jiān)控和網(wǎng)絡(luò)傳輸加密的眾多功能,確保信息和計算機的安全,同時安全信息卡上留有大量的存儲空間且能擴充,易于開發(fā)安全防護功能,針對現(xiàn)有軟硬件技術(shù)包括BIOS剩余空間固件方法存在的技術(shù)缺陷,結(jié)合軟硬件技術(shù)的優(yōu)點,為實現(xiàn)信息安全、計算機可信提供了全新的解決方案。
文檔編號G06F21/00GK101477603SQ20091003656
公開日2009年7月8日 申請日期2009年1月12日 優(yōu)先權(quán)日2009年1月12日
發(fā)明者楊俊生 申請人:楊俊生