一种基于UEFI的远程身份验证系统和方法.pdf

本发明涉及一种基于UEFI的远程身份验证系统和方法，属于计算机安全技术领域。系统包括身份认证驱动模块和身份验证服务器；身份验证驱动模块包括设备标识码子模块、本地身份验证接口子模块和网络子模块；设备标识码子模块用于采集设备的硬件信息并生成唯一标识码；本地身份验证接口子模块用于接入外置的身份验证设备；网络子模块将本地的身份验证信息发送到服务端进行验证，并接收身份验证返回结果；身份验证服务器包括身份认证模块和用户数据模块，服务器端将通过身份验证模块获取用户数据模块存储的用户身份验证信息，进行身份比对，并将结果返回给客户端。本发明实现在开机的引导过程中，操作系统启动前，远程进行身份验证。

权利要求书1.  一种基于UEFI的远程身份验证系统，其特征在于，所述系统包括位于客户端的固件层的身份认证驱动模块和位于服务端的身份验证服务器；所述身份验证驱动模块是符合UEFI规范的固件模块，主要包括设备标识码子模块、本地身份验证接口子模块、网络子模块三个部分；其中，设备标识码子模块用于采集设备的硬件信息，并根据硬件信息生成唯一标识码；本地身份验证接口子模块用于接入外置的身份验证设备；网络子模块将本地的身份验证信息发送到服务端进行验证，并接收身份验证返回结果；所述身份验证服务器包括身份认证模块和用户数据模块，服务器端将通过身份验证模块获取用户数据模块存储的用户身份验证信息，进行身份比对，并将结果返回给客户端。2.  根据权利要求1所述的基于UEFI的远程身份验证系统，其特征在于，其实现步骤如下：步骤一、计算机开机上电，进入开机引导过程；步骤二、在固件层加载相应的硬件驱动；步骤三、采集特定的硬件信息；步骤四、根据硬件信息生成唯一的机器标识码；步骤五、检测是否有外接的身份识别设备；如果有外接设备则转入步骤六；如果没有外接设备，则需要用户输入相应的固件层用户名和密码，与本地保存的用户信息进行比对；步骤六、加载相应的驱动，提取身份认证信息；步骤七、在固件层加载TCP/IP协议栈；步骤八、检测网络是否可以接入；如果可以接入，则转入步骤九；如果未接入网络，则需要用户输入相应的固件层用户名和密码，与本地保存的用户信息进行比对；步骤九、加密身份认证信息和设备标识码；步骤十、客户端通过网络子模块，将加密信息发送到身份验证服务器；步骤十一、身份认证服务器对用户身份进行验证；步骤十二、根据相应的安全策略发送相应的开机指令；安全策略是开机所需要的流程，如是否需要再次输入用户密码等；步骤十三、客户端根据服务器的指令，做出运行用户进行系统登录的判断；如果允许用户登录，则转入步骤十四，否则停止开机引导过程；步骤十四、如果不需用户输入用户名和密码，则继续进行开机引导流程；如果需要用户输入用户名和密码，则在本地与用户保存的信息进行比对，如果通过，则继续开机引导流程；步骤十五、身份认证流程结束。

说明书一种基于UEFI的远程身份验证系统和方法
技术领域
本发明属于计算机安全技术领域，涉及一种基于UEFI的固件，涉及一种基于UEFI固件，在开机引导过程中进行远程身份验证系统和方法。
背景技术
目前，在计算机安全领域，身份认证功能主要通过认证服务器与运行于操作系统中的客户端进行交互来完成的。在这个认证过程中，操作系统已经启动，如果存在系统漏洞或恶意软件，将存在恶意软件已经启动并运行的可能性。
在操作系统层进行远程身份验证有着以下的不足，主要包括：
(1)在计算设备更换硬盘、Flash等存储被保护程序的装置后，将不能自动地恢复远程身份验证程序。
(2)在对硬盘、Flash等被保护程序的存储空间进行重新分区后，计算设备将不能自动地恢复远程身份验证程序。
(3)在对硬盘、Flash等被保护程序的存储空间进行格式化后，计算设备将不能自动地恢复远程身份验证程序。
(4)当被保护可执行程序文件不属于操作系统自带软件的情况下，在计算设备重新安装操作系统后，将不能自动地恢复远程身份验证程序。
(5)当终端的操作系统中的远程身份验证程序被病毒或木马篡改和删除后，将不能自动地进行恢复。
(6)在操作系统启动后进行远程身份认证，有可能在通过认证之前，恶意软件已经开始执行。
发明内容
本发明的目的是为了克服已有技术的缺陷，提出一种基于UEFI的远程身份验证系统和方法，实现在开机的引导过程中，操作系统启动前，能够远程进行身份验证。
一种基于UEFI的远程身份验证系统，系统包括位于客户端的固件层的身份认证驱动模块和位于服务端的身份验证服务器；
所述身份验证驱动模块是符合UEFI规范的固件模块，主要包括设备标识码子模块、本地身份验证接口子模块、网络子模块三个部分；其中，设备标识码子模块用于采集设备的硬件 信息，并根据硬件信息生成唯一标识码；本地身份验证接口子模块用于接入外置的身份验证设备(如U-key、IC卡等)；网络子模块将本地的身份验证信息发送到服务端进行验证，并接收身份验证返回结果；
所述身份验证服务器包括身份认证模块和用户数据模块，服务器端将通过身份验证模块获取用户数据模块存储的用户身份验证信息，进行身份比对，并将结果返回给客户端。
一种基于UEFI的远程身份验证方法，该方法实现步骤如下：
步骤一、计算机开机上电，进入开机引导过程；
步骤二、在固件层加载相应的硬件驱动；
步骤三、采集特定的硬件信息(如主板编号、CPU编号等)；
步骤四、根据硬件信息生成唯一的机器标识码；
步骤五、检测是否有外接的身份识别设备；如果有外接设备则转入步骤六；如果没有外接设备，则需要用户输入相应的固件层用户名和密码，与本地保存的用户信息进行比对；
步骤六、加载相应的驱动，提取身份认证信息；
步骤七、在固件层加载TCP/IP协议栈；
步骤八、检测网络是否可以接入；如果可以接入，则转入步骤九；如果未接入网络，则需要用户输入相应的固件层用户名和密码，与本地保存的用户信息进行比对；
步骤九、加密身份认证信息和设备标识码；
步骤十、客户端通过网络子模块，将加密信息发送到身份验证服务器；
步骤十一、身份认证服务器对用户身份进行验证；
步骤十二、根据相应的安全策略发送相应的开机指令；安全策略是开机所需要的流程，如是否需要再次输入用户密码等；
步骤十三、客户端根据服务器的指令，做出运行用户进行系统登录的判断；如果允许用户登录，则转入步骤十四，否则停止开机引导过程；
步骤十四、如果不需用户输入用户名和密码，则继续进行开机引导流程；如果需要用户输入用户名和密码，则在本地与用户保存的信息进行比对，如果通过，则继续开机引导流程；
步骤十五、身份认证流程结束。
有益效果：
(1)在计算设备更换硬盘、Flash等存储被保护程序的装置后，能够自动地重新恢复被保护文件，特别是关键可执行程序的文件。
(2)在对硬盘、Flash等被保护程序的存储空间进行重新分区后，计算设备将能够自动地恢复被保护文件，特别是关键可执行程序的文件。
(3)在对硬盘、Flash等被保护程序的存储空间进行格式化后，计算设备将能够自动地重新恢复被保护文件，特别是关键可执行程序的文件。
(4)在计算设备重新安装操作系统后，能够自动地重新恢复被保护程序文件。
(5)终端用户删除本地终端上的被保护文件后，将会在开机过程中重新恢复被保护文件。
(6)当终端的操作系统中的特定软件文件被病毒或木马篡改和删除后，能够自动地进行恢复。
(7)在操作系统启动前，能够确定操作系统中特定的关键文件，特别是可执行程序文件存在，且文件正常。
附图说明
图1是本发明的系统总体框架图；
图2是本发明远程身份验证的流程图。
具体实施方式
如附图1所示，本发明提供了一种基于UEFI的远程身份验证系统，系统包括位于客户端的固件层的身份认证驱动模块和位于服务端的身份验证服务器；
所述身份验证驱动模块是符合UEFI规范的固件模块，主要包括设备标识码子模块、本地身份验证接口子模块、网络子模块三个部分；其中，设备标识码子模块用于采集设备的硬件信息，并根据硬件信息生成唯一标识码；本地身份验证接口子模块用于接入外置的身份验证设备(如U-key、IC卡等)；网络子模块将本地的身份验证信息发送到服务端进行验证，并接收身份验证返回结果；
所述身份验证服务器包括身份认证模块和用户数据模块，服务器端将通过身份验证模块获取用户数据模块存储的用户身份验证信息，进行身份比对，并将结果返回给客户端。
本发明在应用前，需要在计算机终端先行部署，可以选用的方法包括：
(1)在UEFI核心镜像中添加驱动模块。
(2)在UEFI核心镜像中挂载Option ROM模块。
(3)在可信卡等其他外围设备中挂载驱动模块。
如附图2所示，本发明基于UEFI的软件全过程保护方法的具体实施方法主要步骤如下：
步骤一、计算机开机上电，进入开机引导过程。
步骤二、在UEFI引导过程中，固件层会加载相应的硬件驱动，如硬盘驱动、文件系统驱动等。
步骤三、身份验证驱动模块会采集特定的硬件信息(如主板编号、CPU编号等)。
步骤四、设备标识码子模块会根据硬件信息，通过杂凑算法，生成唯一的机器标识码。
步骤五、检测是否有外接的身份识别设备。如果有外接设备则转入步骤六。如果没有外接设备，则开机引导过程暂时中止，需要用户输入相应的固件层用户名和密码，与本地保存的用户信息进行比对，如果符合用户验证信息，则继续开机引导过程。
步骤六、在固件层加载外接身份验证设备相应的驱动，提取身份认证信息。
步骤七、在固件层加载TCP/IP协议栈，能够在操作系统启动前接入网络，与身份验证服务器建立连接。避免了操作系统启动后，执行恶意代码的风险。
步骤八、检测网络是否可以接入。如果可以接入，则转入步骤九。如果未接入网络，则需要用户输入相应的固件层用户名和密码，与本地保存的用户信息进行比对，进行本地身份验证。如果终端未能接入网络，将根据本地保存的信息进行身份认证。
步骤九、加密身份认证信息和设备标识码。
步骤十、客户端通过网络子模块，将加密信息发送到身份验证服务器。
步骤十一、身份认证服务器对用户身份进行验证。
步骤十二、根据相应的安全策略发送相应的开机指令。安全策略是开机所需要的流程，如是否需要再次输入用户密码等。
步骤十三、客户端根据服务器的指令，做出运行用户进行系统登录的判断。如果允许用户登录，则转入步骤十四，否则停止开机引导过程，如弹出提示框，锁定终端并通知管理员。
步骤十四、如果不需用户输入用户名和密码，则继续进行开机引导流程。如果需要用户输入用户名和密码，则在本地与用户保存的信息进行比对，如果通过，则继续开机引导流程。
步骤十五、身份认证流程结束。
综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。