一种基于安全计算机的认证方法

技术领域

本发明涉及安全计算机认证领域，具体为一种基于安全计算机的认证方法。

背景技术

通过检验消息传送过程中的某些参数以防止伪造、篡改、冒名顶替等攻击的技术。通常以能为认证技术提供良好安全保证的密码技术为基础。目的有：验证消息来源的合法性，即发送者是真的而不是冒充的；验证消息的完整性，即验证数据在传输或存储过程中未被篡改、重放或延迟等。主要包括身份认证技术和消息认证技术。认证系统的安全性包括：理论安全性。与窜扰者的计算能力和时间无关，窜扰者破译认证系统所做的任何努力都不比随机选择攻击成功的概率大。实际安全性。根据窜扰者破译认证系统所需计算量来评价，如果在理论上可以破译一个认证系统，但现有的计算能力无法完成，则称为计算上安全的认证系统；如果能证明破译认证系统的困难性等价于解决某个数学难题，则称为可证明安全的认证系统。认证技术对开放环境中的各种信息系统的安全性有重要作用，广泛应用于各类计算机通信网、办公自动化及各类密码管理系统中，是认证各种密码管理活动及其行为的有效方法。

目前，家用台式电脑已经非常普遍，随着计算机应用的普及，计算机系统的安全问题越来越受到用户的关注，随着网络时代的发展，计算机技术的快速普及，计算机安全也受到很多人的重视，计算机储存着人们生活和工作需要的重要文件等，保护计算机安全， 一旦计算机的主机受到非法入侵，所有存储在计算机主机内的资料可能被窃取和篡改，从而给用户带来严重损失，现有技术中计算机安全控制的解决方案，通常保护自己的计算机是否安全已成为现代公司与家庭对自我信息保护的一个重要的方式，为此，我们提出一种基于安全计算机的安全认证方法。

发明内容

（一）解决的技术问题

针对现有技术的不足，本发明提供了一种基于安全计算机的认证方法，解决了安全计算机在使用过程中，由于缺少认证指令，使得计算机容易被盗取信息，通过TPM芯片和PCR值可以很好的保护计算机的安全，减少被盗取的可能性，可以有效解决背景技术中的问题。

（二）技术方案

为实现以上目的，本发明通过以下技术方案予以实现：一种基于安全计算机的认证方法，该安全计算机的认证方法，包括以下步骤：

S1、系统自检：所述基本输入输出系统BIOS和可信平台模块需要进行一次自我检测，检测系统是否有无维护等一些问题；

S2、身份验证：所述计算机终端上的电容极会将用户指纹录入到计算机终端内的安全硬盘中，之后使用计算机终端上的摄像头对用户面部信息进行录入，之后在和用户输入密钥数据录入，通过计算机内部的中央处理芯片进行数据的整理保存，通过互联网计算机终端和终端进先关联，将终端信息储存在中央处理芯片内部，并且设置解锁密钥，完成安全信息录入，所述当用户输入密钥数据时候，计算机终端读取用户登录时输入设备和输入的密钥数据；

S3、对比数据：所述从BIOS以及TRM芯片中读取用户登录前保存的密钥数据，在读取用户指纹和面部数据，之后将用户输入的数据与之前储存的数据进行对比，来确定是否输入正确；

S4、BIOS认证：所述BIOS判断主机是否是第一次初始硬件环境匹配行为，程序检测标志位置地址空间数据状态来判断，如果是初始开机，则BIOS调用第一号非标准ATA安全读取ID命令，程序将无条件地获取安全硬盘ID号，则认证通过，双方保存该ID号到标志位，如果是非初始开机，则BIOS代表主机平台向安全硬盘发出第二个非标准ATA命令的比较指令，即取出标志位置内容，；

S5、硬盘认证：所述判断是否为第一次使用，以嵌入系统程序为用户定义的检测标志地址位置状态来判断，如果是初次使用，无条件允许BIOS发送的读取自己ID号的操作，并回复BIOS，双方保存该ID号到标志位，如果不是初次使用，则有条件的区别处理BIOS发送来的两类非标准匹配操作指令并回复BIOS；

S6、相互认证：所述BIOS将产生的标示字符串保存并发送给安全硬盘，等待是否收到通过信息，是则回复安全硬盘认证通过，否则等待，安全硬盘将产生的标示字符串保存并发送给BIOS，等待是否收到通过信息，是则回复BIOS认证通过，否则等待；

S7、BIOS回复：所述有条件的区别处理BIOS发送的两类非标准匹配操作指令，安全硬盘允许BIOS读取内部的ID号进行对比，并回复BIOS，若收到第一号非标准ATA安全读取ID命令，则安全硬盘发出阻止信号，不允许BIOS读取用户ID，并提示错误，同时系统将记载一次错误操作，并挂起，当超出认证次数时候，认证仍然为通过，BIOS将视为用户认证为攻击性认证；

S8、锁定：所述当视为攻击认证时候，通过触发TPM芯片发送随机数给TPM芯片嵌入系统内部，强制改写TPM芯片中储存的PCR值，并将计算机锁定；

S9、审核：所述对操作系统OS加载前阶段的系统动作和用户操作进行日志记录和审计，BIOS在与安全硬盘相互认证通过前暂存日志数据，通过后BIOS将日志数据存放在安全硬盘的多引导区其中一个指定用户区，同时继续保留暂存的日志数据，所述判断用户身份，当用户为普通用户，则控制用户进入普通用户区，当用户为日志审计员时候，则控制用户进入日志审计员用户区；

S10、解锁：所述在用户录入数据通过BIOS与安全硬盘上存储数据一致时候，BIOS会发送解锁信息给TPM芯片，使TPM芯片解锁安全认证，方便用户进入系统操作。

优选的，所述安全计算机包括计算机主板、安全硬盘，以及计算机主板所承载的基本输入输出系统BIOS和可信平台模块TPM芯片，TPM芯片和安全硬盘分别与BIOS连接。

优选的，所述在BIOS完成系统自检和初始化后，与安全硬盘相互认证前，BIOS对开机用户进行强制身份认证，用户强制身份认证通过后，BIOS和安全硬盘之间进行相互认证，相互认证通过，则安全认证成功。

优选的，所述计算机终端的内部设置有输入录入模块、安全硬盘、中央处理芯片、计算机主板与信息对比机构，所述输入录入模块与中央处理芯片电性连接，所述输入录入模块与安全硬盘电性连接，所述输入录入模块与信息对比机构电性连接，所述中央处理芯片与计算机主板电性连接。

优选的，所述计算机主板所承载的基本输入输出系统BIOS和TPM芯片，TPM芯片和安全硬盘分别与BIOS连接，在BIOS完成系统自检和初始化后，与安全硬盘相互认证前，BIOS对开机用户进行身份认证，用户身份认证通过后，BIOS和安全硬盘之间进行相互认证,相互认证通过，则安全认证成功。

优选的，所述输入指纹或者密钥，当输入次数X≤3时，通过信息对比匹配正确，即可完成验证，当输入次数10＞X＞3时，通过信息对比匹配错误，指纹或者密钥输入错误，设置错误倒计时，初始时间t=1min，错三次，T=t*2,直至输入正确，当输入次数10≤X时，通过信息对比匹配错误、指纹或密钥数据错误，通过TPM芯片会强制改写PCR值，使得计算机终端锁死。

（三）有益效果

本发明提供了一种基于安全计算机的认证方法。具备以下有益效果：该认证方法主要通过输入录入模块、安全硬盘、TPM芯片、计算机BIOS开机控制等功能来进行相应的保护的，在使用过程中，用户通过指纹和面部数据或密钥数据输入录入模板中，之后通过BIOS与安全硬盘相对验证，实现了主机与安全硬盘的底层数据双向认证，在保障用户身份安全和硬盘数据安全的情况下，将BIOS与安全硬盘对用户访问控制两个功能合二为一，降低安全认证的复杂性，提供了统一性的界面，增加系统认证的安全可靠实用性，并且在认证基础上，增加日志管理系统，增加安全计算机认证过程中的安全性，提高一定的记录，减少不必要损失，其中由于用户的指纹和面部信息都是不同的，从而增加计算机安全认证的高效率性，减少计算机失误发生，通过指纹、面部信息和密钥数据，可以提供一个高效的操作步骤，减少操作过程中过于复杂的情况发生，提高用户使用的便捷性，也增加了系统安全认证的可用性，能够大大的保护计算机安全性能，更好的保护计算机内部的相关信息，维护良好的网络技术环境。

具体实施方式

所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

基于背景技术存在的技术问题，本发明提供一种技术方案：一种基于安全计算机的认证方法，包括如下步骤：

实施例一：

S1、系统自检：基本输入输出系统BIOS和可信平台模块需要进行一次自我检测，检测系统是否有无维护等一些问题；

S2、身份验证：计算机终端上的电容极会将用户指纹录入到计算机终端内的安全硬盘中，之后使用计算机终端上的摄像头对用户面部信息进行录入，之后在和用户输入密钥数据录入，通过计算机内部的中央处理芯片进行数据的整理保存，通过互联网计算机终端和终端进先关联，将终端信息储存在中央处理芯片内部，并且设置解锁密钥，完成安全信息录入，当用户输入密钥数据时候，计算机终端读取用户登录时输入设备和输入的密钥数据；

S3、对比数据：从BIOS以及TRM芯片中读取用户登录前保存的密钥数据，在读取用户指纹和面部数据，之后将用户输入的数据与之前储存的数据进行对比，来确定是否输入正确；

S4、BIOS认证：BIOS判断主机是否是第一次初始硬件环境匹配行为，程序检测标志位置地址空间数据状态来判断，如果是初始开机，则BIOS调用第一号非标准ATA安全读取ID命令，程序将无条件地获取安全硬盘ID号，则认证通过，双方保存该ID号到标志位，如果是非初始开机，则BIOS代表主机平台向安全硬盘发出第二个非标准ATA命令的比较指令，即取出标志位置内容，；

S5、硬盘认证：判断是否为第一次使用，以嵌入系统程序为用户定义的检测标志地址位置状态来判断，如果是初次使用，无条件允许BIOS发送的读取自己ID号的操作，并回复BIOS，双方保存该ID号到标志位，如果不是初次使用，则有条件的区别处理BIOS发送来的两类非标准匹配操作指令并回复BIOS；

S6、相互认证：BIOS将产生的标示字符串保存并发送给安全硬盘，等待是否收到通过信息，是则回复安全硬盘认证通过，否则等待，安全硬盘将产生的标示字符串保存并发送给BIOS，等待是否收到通过信息，是则回复BIOS认证通过，否则等待；

S7、BIOS回复：有条件的区别处理BIOS发送的两类非标准匹配操作指令，安全硬盘允许BIOS读取内部的ID号进行对比，并回复BIOS，若收到第一号非标准ATA安全读取ID命令，则安全硬盘发出阻止信号，不允许BIOS读取用户ID，并提示错误，同时系统将记载一次错误操作，并挂起，当超出认证次数时候，认证仍然为通过，BIOS将视为用户认证为攻击性认证；

S8、锁定：当视为攻击认证时候，通过触发TPM芯片发送随机数给TPM芯片嵌入系统内部，强制改写TPM芯片中储存的PCR值，并将计算机锁定；

S9、审核：对操作系统OS加载前阶段的系统动作和用户操作进行日志记录和审计，BIOS在与安全硬盘相互认证通过前暂存日志数据，通过后BIOS将日志数据存放在安全硬盘的多引导区其中一个指定用户区，同时继续保留暂存的日志数据，判断用户身份，当用户为普通用户，则控制用户进入普通用户区，当用户为日志审计员时候，则控制用户进入日志审计员用户区；

S10、解锁：在用户录入数据通过BIOS与安全硬盘上存储数据一致时候，BIOS会发送解锁信息给TPM芯片，使TPM芯片解锁安全认证，方便用户进入系统操作。

进一步的，安全计算机包括计算机主板、安全硬盘，以及计算机主板所承载的基本输入输出系统BIOS和可信平台模块TPM芯片，TPM芯片和安全硬盘分别与BIOS连接，便于提高安全性能。

进一步的，在BIOS完成系统自检和初始化后，与安全硬盘相互认证前，BIOS对开机用户进行强制身份认证，用户强制身份认证通过后，BIOS和安全硬盘之间进行相互认证，相互认证通过，则安全认证成功，增加认证能力。

进一步的，计算机终端的内部设置有输入录入模块、安全硬盘、中央处理芯片、计算机主板与信息对比机构，输入录入模块与中央处理芯片电性连接，输入录入模块与安全硬盘电性连接，输入录入模块与信息对比机构电性连接，中央处理芯片与计算机主板电性连接，便于发送信息。

进一步的，计算机主板所承载的基本输入输出系统BIOS和TPM芯片，TPM芯片和安全硬盘分别与BIOS连接，在BIOS完成系统自检和初始化后，与安全硬盘相互认证前，BIOS对开机用户进行身份认证，用户身份认证通过后，BIOS和安全硬盘之间进行相互认证,相互认证通过，则安全认证成功，便于对比信息。

进一步的，输入指纹或者密钥，当输入次数X≤3时，通过信息对比匹配正确，即可完成验证，当输入次数10＞X＞3时，通过信息对比匹配错误，指纹或者密钥输入错误，设置错误倒计时，初始时间t=1min，错三次，T=t*2,直至输入正确，当输入次数10≤X时，通过信息对比匹配错误、指纹或密钥数据错误，通过TPM芯片会强制改写PCR值，使得计算机终端锁死，增加认证效果。

综上，通过计算机中输入录入模块，可以通过用户指纹、面部信息和密钥数据方便计算机内部的BIOS与安全硬盘之间相互验证，通过BIOS发送数据到安全硬盘内部，在安全硬盘的对比作用下，可以方便BIOS发送信息到TPM芯片内部，根据BIOS发送的信息，TPM芯片对PCR值做出相应的调整，从而方便计算机的开启与锁定，其中通过指纹、面部数据和密钥数据可以方便用户的认证操作，一方面提高用户操作效率，另一方面提高安全计算机的认证安全性能，减少失误发生，同时通过安全硬盘，可以储存数据，减少被非法侵入的可能性，进一步保护计算机安全性，提高计算机认证的安全，减少信息泄露危害。

要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下。由语句“包括一个......限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素”。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。