一种基于UEFI的生物身份识别方法及系统转让专利
申请号 : CN200710124517.1
文献号 : CN101436247B
文献日 : 2012-04-11
发明人 : 贾兵 , 林诗达 , 石明 , 张拥军 , 姚文泽 , 宋靖
申请人 : 中国长城计算机深圳股份有限公司
摘要 :
本发明适用于计算机安全领域,提供了一种基于UEFI的生物身份识别方法及系统,包括:预存用户的生物特征识别码;调用图形库用户身份认证界面;显示用户登录图形界面,提示用户输入生物身份识别数据信息;采集用户的生物身份识别数据信息;提取特征值,获得生物特征识别码;调用生物特征识别码与预存的生物特征识别码相比对;判断是否相匹配;如果相匹配,则用户认证成功。本发明通过在计算机的底层UEFI下采用生物身份识别技术,在UEFI芯片内集成生物特征信息特征值提取算法,支持图形化界面操作,进一步提高了计算机系统的安全性,使用户采用生物身份认证更易操作、可靠性更高。
权利要求 :
1.一种基于UEFI的生物身份识别方法,其特征在于,所述方法包括下述步骤:预存用户的生物特征识别码,其中所述生物特征识别码由可信计算芯片的加密存储单元进行加密,生成密钥对,密钥对中的私钥存储在可信计算芯片内,公钥及加密后的数据存储在硬盘保护分区中;
在用户接口图形库中选择用户身份认证界面;
UEFI调用图形库,显示用户登录图形界面,
显示图形化的用户登录图形界面,提示用户输入生物身份识别数据信息;
采集用户的生物身份识别数据信息;
UEFI内嵌微内核和安全加密算法将采集到的生物身份识别数据信息读入;
利用加解密算法提取所述生物身份识别数据信息的特征值,获得生物特征识别码;
调用所述生物特征识别码与预存的生物特征识别码相比对;
判断是否与预存的生物特征识别码相匹配;
如果用户输入的生物身份识别数据信息与预存的生物身份识别数据信息相匹配,则用户认证成功,否则显示用户认证失败,并提示用户还有多少次输入机会。
2.如权利要求1所述的方法,其特征在于,所述生物特征识别码的预存方法包括如下步骤:通过生物特征信息传感器采集用户的生物特征信息;
调用UEFI芯片内嵌入的特征值提取算法程序提取所采集到的用户生物特征信息的特征值,获得生物特征识别码;
由底层硬件可信计算芯片对所述生物特征识别码进行加密;及生成密钥对,将私钥存储在可信计算芯片内,公钥以及加密后的数据存储在硬盘的保护分区内。
3.如权利要求1所述的方法,其特征在于,当用户输入的生物身份识别数据信息与预存的生物身份识别数据信息不相匹配,显示用户认证失败,提示用户还有几次输入机会,当超过设置的认证次数用户认证仍未通过时,UEFI判断所述用户认证为攻击行为。
4.如权利要求3所述的方法,其特征在于,当UEFI判断所述用户认证为攻击行为时,触发可信计算芯片发送一随机数给可信计算芯片嵌入系统处理器,强制改写可信计算芯片中的程序控制寄存器PCR值,将计算机挂起锁定。
5.如权利要求1-4任一所述的方法,其特征在于,所述生物特征信息包括指纹、手型、脸型、视网膜以及其他所有能够被用于生物身份识别的信息。
6.一种基于UEFI的生物身份识别系统,其特征在于,所述系统包括:UEFI芯片,包括:
生物身份识别数据信息采集单元,用于采集用户的生物身份识别数据信息;
读入单元,用于通过UEFI内嵌微内核和安全加密算法将采集到的生物身份识别数据信息读入;
生物身份识别数据信息特征值提取单元,用于利用加解密算法提取生物身份识别数据信息采集单元采集的用户的生物身份识别数据信息的特征值,获得生物特征识别码;
生物特征识别码预存单元,用于预先储存用户的生物特征识别码;
生物特征识别码比对单元,用于把生物身份识别数据信息特征值提取单元提取到的用户生物特征识别码与预存的生物特征识别码进行比对;及UEFI图形支持单元,用于调用存储在外部设备中的嵌入式系统图形界面、硬盘的管理系统图形操作界面;
可信计算芯片,包括:
加密存储单元,用于对所述生物身份识别数据信息特征值提取单元提取到的用户生物特征识别码进行加密,生成密钥对,将私钥存储在可信计算芯片内,公钥以及加密后的数据存储在硬盘的保护分区内;及通过感应获取生物特征数据信息的生物特征信息传感器。
7.如权利要求6所述的系统,其特征在于,所述生物特征信息传感器嵌装于计算机的主板、键盘、鼠标或者机壳表面,或者作为独立装置通过数据通讯连接线与UEFI芯片相连接。
8.一种包括如权利要求6所述的基于UEFI的生物身份识别系统的计算机设备。
9.如权利要求8所述的计算机设备,所述设备是拥有底层UEFI的台式机、笔记本电脑、服务器、手持设备、触摸屏计算机或智能电话。
说明书 :
一种基于UEFI的生物身份识别方法及系统
技术领域
[0001] 本发明属于计算机安全领域,尤其涉及一种基于UEFI的生物身份识别方法及系统。
背景技术
[0002] 随着计算机技术的不断发展,信息安全成为人们关注的焦点,特别是在机场、银行、监狱、各政府部门、军事机构、企业计算机信息系统等领域,安全方便的身份认证技术显得非常重要。
[0003] 目前,计算机系统大多采用“用户ID+密码”的方法进行用户的身份认证和授权访问控制,但是密码存在着易遗忘、可窃取、易破解的安全隐患,密码一旦遭窃或者被破解,损失会非常严重,而忘记密码会造成一些重要的数据不能读取。
[0004] 为了解决上述问题,人们利用身体特征的不可复制性特点,导入了生物识别身份验证技术。人体特征这一生物密钥无法复制,失窃或被遗忘,利用生物识别技术进行身份认定,安全、可靠、准确。采用生物″钥匙″,您可以不必携带大串的钥匙,也不用费心去记或更换密码。而系统管理员更不必因忘记密码而束手无策。生物识别技术产品均借助于现代计算机技术实现,很容易配合电脑和安全、监控、管理系统整合,实现自动化管理。
[0005] 该生物识别身份验证技术是利用人体进行身份验证的一种技术,通过对生物特征取样,由生物识别系统提取唯一的特征并且转化成数字代码,并进一步将这些代码组成模板,当人的实体与生物识别系统进行交互认证时,识别系统获取其特征并与数据库中的特征模板进行比对,以确定是否匹配,从而决定是接受或拒绝。用户识别的生物特征主要有手型、指纹、脸型、虹膜、视网膜、声音、按键力度等等,其中,指纹是这些生物特征中的佼佼者,具有固定且唯一的特点。指纹识别避免了密码、智能卡发生的遗失,盗用等风险。
[0006] 现有的指纹身份识别技术大都在操作系统(Operating System,OS)下实现,即在登录操作系统时采用用户指纹认证。指纹身份识别技术给人们带来很大方便,而且安全性从某种程度上得到了很大的提高,但指纹数据的存储以及存储的方式还存在着安全隐患,指纹在采集转换成模板后,是以数据的形式存储的,因此用户指纹模板的存储区域和指纹信息的存储方式要通过合理的安全机制来实现。在上层OS下实现指纹身份识别,安全级别不高,很容易遭到黑客袭击。
[0007] 基本的输入输出系统(Basic Input and Output System,BIOS)作为底层核心软件,是计算机系统硬件与上层软件之间的桥梁。随着计算机硬件和集成电路技术的飞速发展,却没有发生很大的变化,所以很大程度上制约了计算机技术的发展。传统的BIOS没有统一的标准或者规范,品牌多,与硬件的兼容性不好;运行于16位实模式,主机启动速度慢,启动后的硬件初始化和自检时间比较长;汇编语言代码,开发和维护代价高;BIOS向OS提供的服务要通过有限16位软中断来实现,二者耦合性高,开发代价高。
[0008] 为了解决传统BIOS面临的问题,新的BIOS标准和框架UEFI被提出。UEFI全称是Unified Extensible Firmware Interface,统一可扩展固件接口,是一种开放的用于定义平台固件与操作系统之间的接口规范,所谓开放就是不依赖于特定的BIOS和平台实现;UEFI是为操作系统以及启动前的运行状态提供一个标准环境,系统地规定了计算机系统的控制权如何从启动前的环境传递给操作系统,它是一种高安全的BIOS,支持安全启动、驱动签名和散列(Hash)技术。UEFI兼容性好,运行于32位或64位模式下,计算机的启动速度明显加快,模块化架构、C语言开发使得软件的可扩展性和可重用性都很强,而且克服了传统BIOS存储资源的缺陷,支持图形化界面。
发明内容
[0009] 本发明实施例的目的在于提供一种基于UEFI的生物身份识别方法及系统,旨在解决在上层OS下采用指纹识别技术导致系统的安全级别低、用户操作不方便的问题。
[0010] 本发明实施例是这样实现的,一种基于UEFI的生物身份识别方法,所述方法包括下述步骤:
[0011] 预存用户的生物特征识别码,其中所述生物特征识别码由可信计算芯片的加密存储单元进行加密,生成密钥对,密钥对中的私钥存储在可信计算芯片内,公钥及加密后的数据存储在硬盘保护分区中;
[0012] 在用户接口图形库中选择用户身份认证界面;
[0013] UEFI调用图形库,显示用户登录图形界面,
[0014] 显示图形化的用户登录图形界面,提示用户输入生物身份识别数据信息;
[0015] 采集用户的生物身份识别数据信息;
[0016] 提取所述生物身份识别数据信息的特征值,获得生物特征识别码;
[0017] 调用所述生物特征识别码与预存的生物特征识别码相比对;
[0018] 判断是否与预存的生物特征识别码相匹配;
[0019] 如果用户输入的生物身份识别数据信息与预存的生物身份识别数据信息相匹配,则用户认证成功,否则显示用户认证失败,并提示用户还有多少次输入机会。
[0020] 本发明实施例的另一目的在于提供一种基于UEFI的生物身份识别系统,所述系统包括:
[0021] UEFI芯片,包括:
[0022] 生物身份识别数据信息采集单元,用于采集用户的生物身份识别数据信息;
[0023] 生物身份识别数据信息特征值提取单元,用于提取生物身份识别数据信[0024] 息采集单元采集的用户的生物身份识别数据信息的特征值,获得生物特征识别码;
[0025] 生物特征识别码预存单元,用于预先储存用户的生物特征识别码;
[0026] 生物特征识别码比对单元,用于把生物身份识别数据信息特征值提取单元提取到的用户生物特征识别码与预存的生物特征识别码进行比对;及UEFI图形支持单元,用于调用存储在外部设备中的嵌入式系统图形界面、硬盘的管理系统图形操作界面;
[0027] 可信计算芯片,包括:
[0028] 加密存储单元,用于对所述生物身份识别数据信息特征值提取单元提取到的用户生物特征识别码进行加密,生成密钥对,将私钥存储在可信计算芯片内,公钥以及加密后的数据存储在硬盘的保护分区内;及
[0029] 通过感应获取生物特征数据信息的生物特征信息传感器。
[0030] 本发明实施例的另一目的在于提供一种计算机设备,所述设备包括上述基于UEFI的生物身份识别系统。
[0031] 本发明实施例通过在计算机的底层UEFI下采用生物身份识别技术,在UEFI芯片内集成生物特征信息特征值提取算法,支持图形化界面操作,进一步提高了计算机系统的安全性,使用户采用生物身份认证更易操作、可靠性更高。
附图说明
[0032] 图1是计算机安全体系的逻辑结构图;
[0033] 图2是本发明实施例提供的一种基于UEFI的指纹信息采集存储方法的实现流程图;
[0034] 图3是本发明实施例提供的一种基于UEFI的生物身份识别方法的实现流程图;
[0035] 图4是本发明实施例提供的一种基于UEFI的生物身份识别系统的架构图。
具体实施方式
[0036] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0037] 本发明实施例在安全硬盘和可信计算芯片两个关键子系统的基础上,应用UEFI实现计算机的底层安全认证,在保证用户身份和硬盘数据安全性的前提下,支持用户图形化界面操作。
[0038] 图1示出了计算机安全体系的逻辑结构图,为了便于说明,仅示出了与本发明相关的部分。该体系包括计算机主板、安全硬盘,以及计算机主板所承载的UEFI芯片和可信计算芯片,安全硬盘中运行有嵌入式微系统(uOS)和保护隐藏分区。生物特征信息采集器、键盘等外部设备通过通用串行总线(Universal Serial Bus,USB)接口连接至主板,实现用户的生物特征信息的采集和用户信息的输入。
[0039] 可信计算芯片是国家可信计算体系中的可信密码模块,它是以密码运算为核心的计算模块,是可信计算平台的核心安全控制和运算部件,独立于OS和BIOS或UEFI,不使用计算机的内、外存资源,内部通过定义公开的安全密码算法来实现与其他部件接口的标准化,并提供内部执行的安全操作中的密码运算。可信计算芯片在安全硬盘和UEFI相互身份认证过程中,可信计算芯片生成并提供虚拟用户的随机数密钥。
[0040] 安全硬盘用来和主机UEFI、OS进行加密命令通信,执行数据进出的加解密操作;并且根据UEFI的加密指令调出存储在安全数据区中可信计算芯片为虚拟用户产生的随机数密钥。
[0041] UEFI通过内嵌微内核执行文件系统管理和硬件资源管理,执行对可信计算芯片和安全硬盘的系统资源管理操作,管理可信计算芯片资源(激活功能并适时调用),实现对附属安全软件模块的管理,如对采集的原始生物特征(比如指纹)信息的特征值提取算法和安全硬盘加解密算法一致的算法的管理,根据用户身份指纹特征值用于初始密钥的数据执行对可信计算芯片的存储管理,根据安全硬盘和UEFI认证过程的标识字符串对可信计算芯片的存储与管理,以及在安全硬盘和UEFI相互身份认证过程调用随机函数发生器生成随机数。
[0042] 在本发明中,密钥数据包括用于校验的用户信息、从用户生物特征信息提取的特征值以及用户登录密码。用于校验的用户信息,以及如从用户指纹图像提取的指纹特征值保存在UEFI Flash(闪存)中,用户登录密码数据保存在可信计算芯片的非易失性存储器中,以确保数据安全。
[0043] 作为本发明的一个实施例,用户的生物特征信息包括指纹、手型、脸型、视网膜等等。
[0044] 本发明实施例以指纹为例,在用户登录时,指纹采集器采集用户指纹图像,UEFI内嵌微内核和安全加密算法将采集到的指纹图像读入,再利用加解密算法提取指纹图像中的指纹特征值,将提取的并用可信计算芯片密钥加密的指纹特征值和输入的用户信息存储在UEFI Flash(闪存)中,用户密码信息直接存入可信计算芯片,基于UEFI的初始密码设置中,指纹信息采集存储方法的实现流程如图2所示,详述如下:
[0045] 在步骤S201中,用户选择USB指纹采集设备,通过手指触摸指纹设备来采集用户指纹数据信息;
[0046] 本发明中,采集用户指纹数据信息时,不区分所选择的手指,可以是十个手指之中的任意一个,也可以是不同用户的手指,但最多只能存储十个指纹数据,每个手指指纹数据信息成功采集三次的指纹数据才被记录。
[0047] 在步骤S202中,调用UEFI芯片内嵌入的人体生物学指纹图像数据特征值提取算法程序提取所记录的有效的用户指纹数据信息,获取指纹特征值;
[0048] 在步骤S203中,由底层硬件可信计算芯片对所提取的指纹特征值信息进行加密;
[0049] 在步骤S204中,保存密钥,生成密钥对,将私钥存储在可信计算芯片内,公钥以及加密后的数据存储在硬盘的保护分区内;
[0050] 在步骤S205中,对单个指纹数据采集完毕后,可以继续采集用户的其他指纹数据信息,进入步骤S206;也可以退出指纹数据信息采集系统,进入步骤S207;
[0051] 在步骤S206中,继续采集用户的其他手指指纹数据信息,回到步骤S202中;
[0052] 在步骤S207中,退出指纹数据信息采集系统,调出用户身份认证界面,并选择用户生物身份认证登录;
[0053] 在步骤S208中,用户输入指纹数据信息,与指纹数据库中预存的指纹数据信息相比对,进行用户认证。
[0054] 在对用户进行身份认证时,通过指纹采集器采集用户的指纹数据信息图像,由UEFI内嵌微内核和安全加密算法将采集到的指纹信息图像读入,提取指纹信息图像中的指纹信息特征值,然后将提取的指纹信息特征值与应用密码算法解密存储在UEFI Flash(闪存)中的指纹信息特征值和可信计算芯片中的用户信息进行比较,实现用户的身份认证。
[0055] 本发明实施例提供的一种基于UEFI的生物身份识别方法实现流程如图3所示,详述如下:
[0056] 在步骤S301中,计算机开机启动;
[0057] 在步骤S302中,UEFI自检,进行硬件初始化,检测用户接口(UI)图形库,调出用户身份认证界面;
[0058] 在步骤S303中,用户在图形库中选择用户身份认证界面;
[0059] 在步骤S304中,UEFI调用图片库,显示用户登录图形界面,提示用户输入生物身份识别数据信息(比如指纹)进行登录;
[0060] 本发明实施例中,UEFI调用图片库,提供给用户一个图形化的操作界面,使用户操作更方便。
[0061] 在步骤S305中,用户输入生物身份识别数据信息;
[0062] 在步骤S306中,UEFI调用采集到的用户生物身份识别数据信息,发校验指令,让生物身份识别系统对质问进行校验并与预存的生物身份识别数据信息相比对;
[0063] 在步骤S307中,进行判断,比对是否成功,是,则进入步骤S308;否,则进入步骤S309;
[0064] 在步骤S308中,用户身份认证成功;
[0065] 在步骤S309中,UEFI调用图形库,显示用户输入失败,并提示用户还有多少次机会;
[0066] 在步骤S310中,判断比对次数是否达到限制的次数,是,则进入步骤S311;否,则进入步骤S305;
[0067] 在步骤S311中,提示用户认证失败,机器锁死,请联系管理员解锁。
[0068] 作为本发明的一个实施例,当用户输入的生物身份识别数据信息与预存的生物身份识别数据信息不相匹配,用户认证失败后,提示用户还有几次输入机会,当超过设置的认证次数用户认证仍未通过时,UEFI判断所述用户认证为攻击行为,此时,触发可信计算芯片发送一随机数给可信计算芯片嵌入系统处理器,强制改写可信计算芯片中的程序控制寄存器PCR值,将计算机挂起锁定。
[0069] 图4示出了本发明实施例提供的一种基于UEFI的生物身份识别系统的架构图,现详述如下:
[0070] 该生物身份识别系统包括计算机主板,主板上所承载的UEFI芯片、可信计算芯片,以及与可信计算芯片连接的生物特征信息传感器。
[0071] 其中,UEFI芯片包括生物身份识别信息采集单元,用于采集用户的生物身份识别数据信息;生物身份识别信息特征值提取单元,用于提取生物身份识别数据信息采集单元采集的用户的生物身份识别数据信息的特征值,获得生物特征识别码;生物特征识别码预存单元,用于预先储存用户的生物特征识别码;生物特征识别码比对单元,用于把生物身份识别信息特征值提取单元提取到的用户生物特征识别码与预存的生物特征识别码进行比对。
[0072] 本发明实施例中,UEFI芯片内置了UEFI图形支持单元,用于调用存储在外部设备中的嵌入式系统图形界面、硬盘的管理系统图形操作界面。
[0073] 可信计算芯片包括加密存储单元,用于对所述生物身份识别信息特征值提取单元提取到的用户生物特征识别码进行加密,生成密钥对,将私钥存储在可信计算芯片内,公钥以及加密后的数据存储在硬盘的保护分区内。
[0074] 本发明实施例中,生物特征信息传感器可以是嵌装于计算机的主板、键盘、鼠标或者机壳表面,也可以作为独立装置通过数据通讯连接线与UEFI芯片相连接。生物特征信息传感器可以为光学生物特征信息传感器、半导体生物特征信息传感器、超声波生物特征信息传感器,还包括所有能够通过感应获取生物特征数据信息的传感器。
[0075] 本发明实施例不仅可以用于计算机中,还可以用于所有拥有底层UEFI的任何计算机设备上,比如台式机、笔记本电脑、服务器、手持设备、触摸屏计算机和智能电话等。
[0076] 本发明实施例通过在计算机的底层UEFI下采用生物身份识别技术,在UEFI芯片内集成指纹特征值提取算法,支持图形化界面操作,进一步提高了计算机系统的安全性,使用户采用生物身份认证更易操作、可靠性更高。
[0077] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。