本发明涉及信息安全技术领域,尤其涉及一种设备信息安全保护方法及装置。
背景技术:
目前,对于安全性要求较高的保密计算机,保护计算机上的信息非常重要。保密计算机的外观、基本硬件结构、常规技术参数等方面与普通计算机没有什么区别,所不同的是,其用于处理信息的硬件、线路和软件上安装有加密或解密的程序或部件。保密计算机的保密方式多种多样,譬如硬件保密、软件保密、网络保密、系统防范体系等等。
在现有技术中,保密计算机通常会对硬盘信息进行加密。但仅对硬盘信息加密的方法,则无法对网卡、显卡等也会携带用户信息的组件予以保护。对于有恶意入侵者的情形,可将原有网卡、显卡更换为携带flash闪存的网卡、显卡。当计算机的合法用户登录时,诸如网络访问记录、当前页面的显卡缓存等操作信息会被记录在flash闪存中,即可利用携带flash闪存的计算机组件获取用户的所有操作信息。
目前对这种将计算机的原装组件更换为欺骗组件并获取保密计算机信息的方法尚无良好的解决方法。因此,亟需一种能够有效防止计算机组件被替换为欺骗组件的信息安全方法。
技术实现要素:
本发明提供的设备信息安全保护方法及装置,能够有效防止因计算机组件被替换为欺骗组件而导致用户信息的泄露。
第一方面,本发明提供一种设备信息安全保护方法,其中包括:
获取设备组件的原始固件标识,并对所述设备组件的原始固件标识进行存储;
当每次启动设备时,获取设备组件的当前固件标识;
将所述设备组件的原始固件标识与所述设备组件的当前固件标识进行比较;
当所述设备组件的原始固件标识与所述设备组件的当前固件标识一致时,正常启动设备,当所述设备组件的原始固件标识与所述设备组件的当前固件标识不一致时,阻止设备启动。
可选地,上述获取设备组件的原始固件标识包括:利用bios获取设备组件的原始固件标识;
所述获取设备组件的当前固件标识包括:利用bios获取设备组件的当前固件标识。
可选地,所述设备组件具有pci端口;
所述利用bios获取设备组件的原始固件标识包括:通过所述设备组件的pci端口读取所述设备组件的pci配置,并根据所述设备组件的pci配置分析出所述设备组件的原始固件标识;
所述利用bios获取设备组件的当前固件标识包括:通过所述设备组件的pci端口读取所述设备组件的pci配置,并根据所述设备组件的pci配置分析出所述设备组件的当前固件标识。
可选地,所述对所述设备组件的原始固件标识进行存储包括:利用cmos对所述设备组件的原始固件标识进行存储。
可选地,所述设备组件包括显卡或网卡。
可选地,所述方法还包括:
当所述设备组件的原始固件标识与所述设备组件的当前固件标识不一致时,发出设备启动异常的提示。
另一方面,本发明还提供一种设备信息安全保护装置,包括处理器和存储器;其中,
所述处理器,用于获取设备组件的原始固件标识;
所述存储器,用于对所述设备组件的原始固件标识进行存储;
所述处理器,还用于当每次启动设备时,获取设备组件的当前固件标识,将所述设备组件的当前固件标识与所述存储器存储的设备组件的原始固件标识进行比较,当所述设备组件的原始固件标识与所述设备组件的当前固件标识一致时,正常启动设备,当所述设备组件的原始固件标识与所述设备组件的当前固件标识不一致时,阻止设备启动。
可选地,所述处理器,用于利用bios获取所述设备组件的原始固件标识,利用bios获取所述设备组件的当前固件标识。
可选地,所述设备组件具有pci端口;
所述处理器,用于通过所述设备组件的pci端口读取所述设备组件的pci配置,并根据所述设备组件的pci配置分析出所述设备组件的原始固件标识,以及通过所述设备组件的pci端口读取所述设备组件的pci配置,并根据所述设备组件的pci配置分析出所述设备组件的当前固件标识。
可选地,所述存储器,用于利用cmos对所述设备组件的原始固件标识进行存储。
本发明实施例提供的设备信息安全保护方法及装置,在设备出厂前,通过开机启动获取设备组件的原始固件标识,并对所述设备组件的原始固件标识进行存储,在设备出厂后,当每次开机时,获取设备组件的当前固件标识,当所存储的原始固件标识与每次开机所获取的当前固件标识一致时,正常启动设备,否则阻止设备启动。与现有技术相比,本发明能够仅通过bios现有存储机制,可实现防止部件被替换的问题;入侵者不仅不容易得知该计算机组件识别方法;而且由于从外部刷新cmos的方法较难破解,入侵者也无法替换cmosram芯片,从而无法再利用替换部件的方法获取合法用户信息。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明一实施例提供的设备信息安全保护方法的流程图;
图2为本发明另一实施例提供的设备信息安全保护方法的流程图;
图3为本发明实施例提供的设备信息安全保护装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在现有技术中,保密计算机的常用方法是使用硬盘加密方法对计算机中存储的信息进行保密。一般的,用户通过修改硬盘分区表信息、对硬盘启动添加口令、对硬盘进行用户加密管理、或者对逻辑盘写保护的方法进行硬盘加密。硬盘加密分区表信息对硬盘启动至关重要,如果找不到有效的分区表,将无法从硬盘启动或即使从软盘启动也找不到硬盘;在硬盘启动时,在可以在cmos中设置系统口令,使得非法用户无法启动计算机;而利用unix操作系统可以实现多用户管理,在dos系统下,将硬盘管理系统进行改进,也可实现多用户管理:“超级用户”管理c区,可以对c区进行读写和更新系统;“特别用户”可以通过口令使用自己的分区,以保护自己的文件和数据;“一般用户”任意使用划定的公用分区,后两种用户都不能对c盘进行写操作,这样保证了系统的安全性和稳定性,对硬盘实现用户加密管理的方法在系统启动时,需要使用软盘钥匙盘才能启动系统,否则硬盘被锁住,不能被使用;另外就是在硬盘进行逻辑分区,并使用软件进行写保护。
而在计算机科学技术中,显卡芯片也具有内存,显卡内存也被称为帧缓存,其能够用来存储显卡芯片处理过或者即将提取的渲染数据,如同计算机内存一样,显存是用来存储要处理的图形信息的重要组件。显存是显卡非常重要的组成部分,显示芯片处理完数据后会将数据保存到显存中,然后由数模转换器(ramdac)从显存中读取出数据并将数字信号转换为模拟信号,最后由屏幕显示出来。在高级的图形加速卡中,显存不仅用来存储图形数据,而且还被显示芯片用来进行3d函数运算。在nvidia、amd等高级显示芯片中,已发展出和cpu平行的图形处理单元(gpu),变形和照明(t&l)等高密度运算由gpu在显卡上完成,由此更加重了对显存的依赖。优选的,计算机显卡内存可以是fpmdram、edodram、sgram、ddrsdram、ddrsgram、ddr3、gddr5等类型。
同样的,在计算机科学中,计算机与外界局域网的连接是通过主机箱内插入一块网络接口板,又称通信适配器、网络适配器(networkadapter)或网络接口卡(networkinterfacecard,nic),简称网卡。网卡是工作在链路层的网络组件,是局域网中连接计算机和传输介质的接口,不仅能实现与局域网传输介质之间的物理连接和电信号匹配,还涉及帧的发送与接收、帧的封装与拆封、介质访问控制、数据的编码与解码以及数据缓存的功能等。网卡上面装有处理器和存储器(ram和rom)。因为网卡和局域网之间的通信是通过串行传输方式进行的,而网卡和计算机之间的通信则是通过计算机主板上的i/o总线以并行传输方式进行,因此,网卡的一个重要功能就是要进行串行和并行的转换。由于网络上的数据率和计算机总线上的数据率并不相同,因此在网卡中必须装有对数据进行缓存的存储芯片。优选的,网卡的类型可以是标准以太网卡,pcmcia网卡等。
由于显卡和网卡中都具有存储芯片并实现存储功能,因此在安全型计算机中,仅仅通过硬盘加密做安全防范措施仍然无法防护存储在显卡和网卡的存储芯片中的数据和信息。在现有技术中,显卡和网卡大多数采用ddr、sdram或者rdram等挥发性内存,即只要停止电流供应,内存中的数据便无法保持,因此每次计算机开机都会重新装入数据。
而在现有技术中,也存在带有flash闪存的显卡和网卡。flash闪存则是一种非易失性(non-volatile)内存,在没有电流供应的条件下也能够长久地保持数据,其存储特性相当于硬盘,这项特性正是闪存得以成为各类便携型数字设备的存储介质的基础。优选的,flash闪存技术包括nor和nand两种。其中,nand闪存的存储单元采用串行结构,存储单元的读写是以页和块为单位来进行,一页包含若干字节,若干页则组成储存块,nand的存储块大小为8到32kb,这种结构的优点在于容量可以做得很大,超过512mb容量的nand产品相当普遍,nand闪存的成本较低,因此得到了大规模的应用。
针对安全性计算机,当入侵者通过更换现有计算机的带有挥发性内存的组件,即将安全型计算机的原厂组件,诸如带有挥发性内存的网卡和显卡等,更换为带有flash闪存的欺骗组件时,在计算机再次开机,进行内部文件操作、账号登录、网络访问等用户行为时,带有flash闪存的计算机组件就可以记录网络访问记录、当前页面的显卡缓存等操作信息。入侵者即可利用该携带flash闪存的计算机组件获取用户的所有操作信息,对计算机的信息安全造成极大的破坏。
本发明实施例提供一种设备信息安全保护方法,如图1所示,所述方法包括:
s11、获取设备组件的原始固件标识,并对所述设备组件的原始固件标识进行存储。
具体地,可以利用bios获取设备组件的原始固件标识。
进一步地,当所述设备组件具有pci端口时,可以通过所述设备组件的pci端口读取所述设备组件的pci配置,并根据所述设备组件的pci配置分析出所述设备组件的原始固件标识。
具体地,可以利用cmos对所述设备组件的原始固件标识进行存储。
s12、当每次启动设备时,获取设备组件的当前固件标识。
具体地,可以利用bios获取设备组件的当前固件标识。
进一步地,当所述设备组件具有pci端口时,可以通过所述设备组件的pci端口读取所述设备组件的pci配置,并根据所述设备组件的pci配置分析出所述设备组件的当前固件标识。
其中,所述设备组件包括显卡或网卡。
s13、将所述设备组件的原始固件标识与所述设备组件的当前固件标识进行比较。
s14、当所述设备组件的原始固件标识与所述设备组件的当前固件标识一致时,正常启动设备,当所述设备组件的原始固件标识与所述设备组件的当前固件标识不一致时,阻止设备启动。
进一步地,当所述设备组件的原始固件标识与所述设备组件的当前固件标识不一致时,还可以发出设备启动异常的提示。
本发明实施例提供的设备信息安全保护方法,在设备出厂前,通过开机启动获取设备组件的原始固件标识,并对所述设备组件的原始固件标识进行存储,在设备出厂后,当每次开机时,获取设备组件的当前固件标识,当所存储的原始固件标识与每次开机所获取的当前固件标识一致时,正常启动设备,否则阻止设备启动。与现有技术相比,本发明能够仅通过bios现有存储机制,可实现防止部件被替换的问题;入侵者不仅不容易得知该计算机组件识别方法;而且由于从外部刷新cmos的方法较难破解,入侵者也无法替换cmosram芯片,从而无法再利用替换部件的方法获取合法用户信息。
本发明实施例提供另一种设备信息安全保护方法,具体流程如图2所示。
在安全型计算机出厂前,进行首次开机启动;随后,利用bios读取记录计算机组件的固件标识,例如pci设备如显卡、网卡等;随后,再利用计算机cmos将计算机组件的固件标识进行存储。在安全型计算机产品出厂后,每次开机时,获取当前开始时的设备组件的固件标识,将计算机设备组件的原始固件标识与计算机设备组件的当前固件标识进行比较;判断当前计算机设备组件的固件标识是否和cmos中存储的计算机设备组件的固件标识相一致,如果当前计算机设备组件的固件标识与cmos中存储的计算机设备组件固件标识匹配,则正常启动计算机设备;如果当前计算机设备组件的固件标识和cmos中存储的计算机设备组件固件标识不一致时,阻止设备启动,并发出设备启动异常的提示。
本发明提供的设备信息安全保护方法致力于在计算机出厂开机首次启动时,将显卡、网卡的固件标识记录在bios设置信息使用的cmos中。此后,每次开机时,匹配现有显卡、网卡的固件标识和记录值是否一致,如不一致,则认为部件可疑。由此,可利用cmos中存储信息,且仅被bios读取的特性来防止显卡、网卡被替换。
计算机组件如显卡、网卡为pci设备。pci指外设部件互连(peripheralcomponentinterconnect),是由pcisig(pcispecialinterestgroup)推出的一种局部并行总线标准,它是计算机中使用最为广泛的接口,几乎所有主板产品上都带有pci插槽。pci总线是一种树型结构,并且独立于cpu总线,可以和cpu总线并行操作。pci总线上可以挂接pci设备和pci桥片。pci接口能够实现即插即用,当显卡、网卡等计算机板卡插入系统时,系统会自动对板卡所需资源进行分配,如基地址、中断号等,并自动寻找相应的驱动程序。在bios程序运行时,可通过pci端口读取其配置,并从中分析出网卡、显卡的类型、描述、固件标识等信息。
cmos(complementarymetaloxidesemiconductor,互补金属氧化物半导体)是一种电压控制的放大器件,是组成cmos数字集成电路的基本单元。在计算机领域,cmos通常指电脑主板上表现为一块可读写的ram芯片,存储了计算机基本启动信息,如日期、时钟信息、启动设置、硬件配置信息等。cmos可以由主板的电池供电,及时系统掉电,存储在其中的信息也不会丢失。bios(basicinputoutputsystem,基本输入输出系统)是一组固化到计算机内主板上一个rom芯片上的程序,包括计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,其可以从计算机cmos中读写系统设置的具体信息。在机器加电时,bios程序会读取cmos信息中的参数设置,用来初始化机器各个部件的状态。
本发明实施例还提供一种设备信息安全保护装置,如图3所示,所述装置包括:
处理器11,用于获取设备组件的原始固件标识;
存储器12,用于对设备组件的原始固件标识进行存储;
处理器11,还用于当每次启动设备时,获取设备组件的当前固件标识,将设备组件的当前固件标识与存储器存储的设备组件的原始固件标识进行比较,当设备组件的原始固件标识与设备组件的当前固件标识一致时,正常启动设备,当设备组件的原始固件标识与设备组件的当前固件标识不一致时,阻止设备启动。
具体地,上述处理器11可以利用bios获取设备组件的原始固件标识,利用bios获取设备组件的当前固件标识。
具体地,上述设备组件具有pci端口;
具体地,上述处理器用于通过设备组件的pci端口读取设备组件的pci配置,并根据设备组件的pci配置分析出设备组件的原始固件标识,以及通过设备组件的pci端口读取设备组件的pci配置,并根据设备组件的pci配置分析出设备组件的当前固件标识。
具体地,上述存储器用于利用cmos对设备组件的原始固件标识进行存储。
可选地,所述设备组件可以包括显卡或网卡。
可选地,所述处理单元11还用于当设备组件的原始固件标识与设备组件的当前固件标识不一致时,发出设备启动异常的提示。
本发明实施例提供的设备信息安全保护装置,在设备出厂前,通过开机启动获取设备组件的原始固件标识,并对所述设备组件的原始固件标识进行存储,在设备出厂后,当每次开机时,获取设备组件的当前固件标识,当所存储的原始固件标识与每次开机所获取的当前固件标识一致时,正常启动设备,否则阻止设备启动。与现有技术相比,本发明能够仅通过bios现有存储机制,可实现防止部件被替换的问题;入侵者不仅不容易得知该计算机组件识别方法;而且由于从外部刷新cmos的方法较难破解,入侵者也无法替换cmosram芯片,从而无法再利用替换部件的方法获取合法用户信息。
本发明实施例还提供一种电子设备,该电子设备包括上述设备信息安全保护装置。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。