一種基于uefi的遠程身份驗證系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計算機安全技術(shù)領(lǐng)域,涉及一種基于UEFI的固件�,涉及一種基于UEFI固件,在開機引導(dǎo)過程中進行遠程身份驗證系統(tǒng)和方法�。
【背景技術(shù)】
[0002]目前,在計算機安全領(lǐng)域����,身份認證功能主要通過認證服務(wù)器與運行于操作系統(tǒng)中的客戶端進行交互來完成的。在這個認證過程中�,操作系統(tǒng)已經(jīng)啟動,如果存在系統(tǒng)漏洞或惡意軟件��,將存在惡意軟件已經(jīng)啟動并運行的可能性��。
[0003]在操作系統(tǒng)層進行遠程身份驗證有著以下的不足��,主要包括:
[0004](I)在計算設(shè)備更換硬盤���、Flash等存儲被保護程序的裝置后����,將不能自動地恢復(fù)遠程身份驗證程序。
[0005](2)在對硬盤����、Flash等被保護程序的存儲空間進行重新分區(qū)后,計算設(shè)備將不能自動地恢復(fù)遠程身份驗證程序���。
[0006](3)在對硬盤�、Flash等被保護程序的存儲空間進行格式化后�,計算設(shè)備將不能自動地恢復(fù)遠程身份驗證程序。
[0007](4)當(dāng)被保護可執(zhí)行程序文件不屬于操作系統(tǒng)自帶軟件的情況下���,在計算設(shè)備重新安裝操作系統(tǒng)后�,將不能自動地恢復(fù)遠程身份驗證程序��。
[0008](5)當(dāng)終端的操作系統(tǒng)中的遠程身份驗證程序被病毒或木馬篡改和刪除后���,將不能自動地進行恢復(fù)。
[0009](6)在操作系統(tǒng)啟動后進行遠程身份認證�,有可能在通過認證之前�,惡意軟件已經(jīng)開始執(zhí)行����。
【發(fā)明內(nèi)容】
[0010]本發(fā)明的目的是為了克服已有技術(shù)的缺陷,提出一種基于UEFI的遠程身份驗證系統(tǒng)和方法�����,實現(xiàn)在開機的引導(dǎo)過程中����,操作系統(tǒng)啟動前,能夠遠程進行身份驗證��。
[0011]一種基于UEFI的遠程身份驗證系統(tǒng)����,系統(tǒng)包括位于客戶端的固件層的身份認證驅(qū)動模塊和位于服務(wù)端的身份驗證服務(wù)器;
[0012]所述身份驗證驅(qū)動模塊是符合UEFI規(guī)范的固件模塊�����,主要包括設(shè)備標(biāo)識碼子模塊����、本地身份驗證接口子模塊��、網(wǎng)絡(luò)子模塊三個部分�;其中��,設(shè)備標(biāo)識碼子模塊用于采集設(shè)備的硬件信息�,并根據(jù)硬件信息生成唯一標(biāo)識碼;本地身份驗證接口子模塊用于接入外置的身份驗證設(shè)備(如U_key��、IC卡等)�����;網(wǎng)絡(luò)子模塊將本地的身份驗證信息發(fā)送到服務(wù)端進行驗證���,并接收身份驗證返回結(jié)果����;
[0013]所述身份驗證服務(wù)器包括身份認證模塊和用戶數(shù)據(jù)模塊���,服務(wù)器端將通過身份驗證模塊獲取用戶數(shù)據(jù)模塊存儲的用戶身份驗證信息�,進行身份比對���,并將結(jié)果返回給客戶端��。
[0014]一種基于UEFI的遠程身份驗證方法����,該方法實現(xiàn)步驟如下:
[0015]步驟一���、計算機開機上電�,進入開機引導(dǎo)過程���;
[0016]步驟二����、在固件層加載相應(yīng)的硬件驅(qū)動�����;
[0017]步驟三�、采集特定的硬件信息(如主板編號、CPU編號等)�����;
[0018]步驟四、根據(jù)硬件信息生成唯一的機器標(biāo)識碼��;
[0019]步驟五����、檢測是否有外接的身份識別設(shè)備;如果有外接設(shè)備則轉(zhuǎn)入步驟六�;如果沒有外接設(shè)備,則需要用戶輸入相應(yīng)的固件層用戶名和密碼�,與本地保存的用戶信息進行比對;
[0020]步驟六�����、加載相應(yīng)的驅(qū)動�,提取身份認證信息;
[0021]步驟七����、在固件層加載TCP/IP協(xié)議棧;
[0022]步驟八�����、檢測網(wǎng)絡(luò)是否可以接入���;如果可以接入�����,則轉(zhuǎn)入步驟九�����;如果未接入網(wǎng)絡(luò)���,則需要用戶輸入相應(yīng)的固件層用戶名和密碼,與本地保存的用戶信息進行比對�����;
[0023]步驟九���、加密身份認證信息和設(shè)備標(biāo)識碼���;
[0024]步驟十、客戶端通過網(wǎng)絡(luò)子模塊����,將加密信息發(fā)送到身份驗證服務(wù)器�����;
[0025]步驟十一����、身份認證服務(wù)器對用戶身份進行驗證�;
[0026]步驟十二、根據(jù)相應(yīng)的安全策略發(fā)送相應(yīng)的開機指令�;安全策略是開機所需要的流程,如是否需要再次輸入用戶密碼等�����;
[0027]步驟十三��、客戶端根據(jù)服務(wù)器的指令���,做出運行用戶進行系統(tǒng)登錄的判斷�;如果允許用戶登錄�����,則轉(zhuǎn)入步驟十四�,否則停止開機引導(dǎo)過程�;
[0028]步驟十四��、如果不需用戶輸入用戶名和密碼��,則繼續(xù)進行開機引導(dǎo)流程����;如果需要用戶輸入用戶名和密碼,則在本地與用戶保存的信息進行比對�����,如果通過��,則繼續(xù)開機引導(dǎo)流程�����;
[0029]步驟十五����、身份認證流程結(jié)束�。
[0030]有益效果:
[0031](I)在計算設(shè)備更換硬盤、Flash等存儲被保護程序的裝置后����,能夠自動地重新恢復(fù)被保護文件����,特別是關(guān)鍵可執(zhí)行程序的文件��。
[0032](2)在對硬盤�����、Flash等被保護程序的存儲空間進行重新分區(qū)后�����,計算設(shè)備將能夠自動地恢復(fù)被保護文件���,特別是關(guān)鍵可執(zhí)行程序的文件���。
[0033](3)在對硬盤、Flash等被保護程序的存儲空間進行格式化后�,計算設(shè)備將能夠自動地重新恢復(fù)被保護文件,特別是關(guān)鍵可執(zhí)行程序的文件���。
[0034](4)在計算設(shè)備重新安裝操作系統(tǒng)后�����,能夠自動地重新恢復(fù)被保護程序文件���。
[0035](5)終端用戶刪除本地終端上的被保護文件后����,將會在開機過程中重新恢復(fù)被保護文件��。
[0036](6)當(dāng)終端的操作系統(tǒng)中的特定軟件文件被病毒或木馬篡改和刪除后���,能夠自動地進行恢復(fù)�����。
[0037](7)在操作系統(tǒng)啟動前,能夠確定操作系統(tǒng)中特定的關(guān)鍵文件�����,特別是可執(zhí)行程序文件存在���,且文件正常����。
【附圖說明】
[0038]圖1是本發(fā)明的系統(tǒng)總體框架圖;
[0039]圖2是本發(fā)明遠程身份驗證的流程圖�。
【具體實施方式】
[0040]如附圖1所示,本發(fā)明提供了一種基于UEFI的遠程身份驗證系統(tǒng)����,系統(tǒng)包括位于客戶端的固件層的身份認證驅(qū)動模塊和位于服務(wù)端的身份驗證服務(wù)器;
[0041]所述身份驗證驅(qū)動模塊是符合UEFI規(guī)范的固件模塊����,主要包括設(shè)備標(biāo)識碼子模塊、本地身份驗證接口子模塊����、網(wǎng)絡(luò)子模塊三個部分;其中���,設(shè)備標(biāo)識碼子模塊用于采集設(shè)備的硬件信息�,并根據(jù)硬件信息生成唯一標(biāo)識碼����;本地身份驗證接口子模塊用于接入外置的身份驗證設(shè)備(如U_key、IC卡等);網(wǎng)絡(luò)子模塊將本地的身份驗證信息發(fā)送到服務(wù)端進行驗證���,并接收身份驗證返回結(jié)果����;
[0042]所述身份驗證服務(wù)器包括身份認證模塊和用戶數(shù)據(jù)模塊����,服