基于BIOS實現(xiàn)第三方登錄認(rèn)證方案

1、 摘要本文介紹了傳統(tǒng)計算機登錄方式和基于操作系統(tǒng)實現(xiàn)的智能卡、指紋設(shè)備、等第三方登錄認(rèn)證方式的安全隱患以反釣結(jié)構(gòu)和運行流程結(jié)合的模塊化結(jié)構(gòu)特點提出了一種在中嵌入第三方登錄認(rèn)證方系統(tǒng)以及系統(tǒng)所采用的用戶名和口令的認(rèn)證方法只能提供最基本的身份識別，其安全性很難得到保證，為了保護計算機的安全，各種類型的第三方身份認(rèn)證設(shè)大多都是建立在操作系統(tǒng)之上的，如系統(tǒng)基于的實現(xiàn)方式，系統(tǒng)基機的安全性能。本文結(jié)合的特性，提出一種在中實現(xiàn)第三方登錄認(rèn)證的方法。無論是操作系統(tǒng)，還是操作系統(tǒng)，都采用傳統(tǒng)的用戶名口令登錄認(rèn)證方式。為了能更好的了解這種認(rèn)證方式并分析其中存在的脆弱性，下面以最常見的傳統(tǒng)計算機的登錄流程本地安全

2、認(rèn)證子系統(tǒng)包括以下幾個主要組成部分：登錄進(jìn)程（）、登錄過程是通過登錄進(jìn)程（）、一個或多個身份認(rèn)證包的相互作用發(fā)生的。系統(tǒng)啟動時，首先創(chuàng)建并打開三個桌面：應(yīng)用程序桌面、桌面和屏幕保護程序桌面。隨后建立與的連接用于在登錄、注銷和口令操作期間交換信息，當(dāng)從鍵盤接收到登錄請求時，就調(diào)用傳遞登錄 信息。調(diào)用基于這些信息的身份驗證包來傳送登錄信息。身份驗證包獲取用戶名和口首先，當(dāng)一個用戶的用戶名和口令被非法用戶所獲悉，則該非法用戶就獲得了該用戶的全部權(quán)限。而對用戶名和口令的管理很容易被人們所忽視，此外，對用戶名和口令的破此外，不管多么安全的操作系統(tǒng)在運行前也只是一堆數(shù)據(jù)，因此，只要能阻止它的正常運行或修改

3、它運行的方式，那么操作系統(tǒng)所提供的安全模型就不復(fù)存在了?；诓僮飨到y(tǒng)開發(fā)的第三方登錄認(rèn)證方式雖然在一定程度上增強了計算機的安全性，但如果入侵者僅僅是想獲得計算機硬盤上的某些有用數(shù)據(jù)，那么，它完全不用通過操作系統(tǒng)，只要用一套自己的啟動程序來訪問硬盤就可以了。而任何基于操作系統(tǒng)的安全措施在面對這種入侵方法時都無能為力。的構(gòu)成及啟動流程，開機自測試）開機系統(tǒng)將控制權(quán)交給時，它會針對（ 針對動態(tài)內(nèi)存（）、主板芯片組、顯卡以及相關(guān)外圍的寄存器（），像或記錄系統(tǒng)的設(shè)置值，并且存儲在非揮發(fā)性內(nèi)存（將常駐程序庫（）常駐于某一段內(nèi)存中，提供給操作系統(tǒng)或應(yīng)用程序 解壓縮常駐運行常駐開機簡易流程圖借助公司的工具，可

4、以看到存儲在中的形式，表列出了其中的一些重要模塊。設(shè)置服務(wù)器端功能曬甄常駐的程序代碼提供設(shè)置畫面的接口程序模塊壓縮解壓子程序模塊多重處理器起始模塊文字繪圖等顯示處理模塊記錄與相關(guān)信息的模塊軟盤硬盤光駱讀寫形式規(guī)范之控制表格區(qū)之旬柄存放區(qū)域系統(tǒng)組態(tài)顯示模塊，全屏幕圖形文件數(shù)據(jù)模塊趨勢（）模塊 表包括了中的一些重要模塊。事實上，每一個模塊都是由幾個甚至幾十個編譯過的。等文件所連結(jié)而成的。在這些模塊中不難發(fā)現(xiàn)，只有、以及這四個模塊是以非壓縮的程序代碼形式存儲于中的，當(dāng)計算機運行時，最初被執(zhí)行的就是這幾個模塊；而其他模塊在被調(diào)用執(zhí)行前，都要先被解壓縮到內(nèi)存指定的區(qū)域內(nèi)再執(zhí)行。構(gòu)，可以將粗略的劃分為兩部

5、分，第一部分是沒有被壓縮，直接存儲于由于采用模塊化結(jié)構(gòu)，可以向其中加入自己的身份認(rèn)證模塊，當(dāng)計算機啟動時自動運行，因為的空間有限，所以程序要盡量短小。事實上，一個中就包中的認(rèn)證模塊只負(fù)責(zé)與進(jìn)行通信以及密碼的驗證工作。在開機后，段程序?qū)τ嬎銠C進(jìn)行簡單的初始化工作，解壓縮并運行常駐函數(shù)、解壓縮并運行身份認(rèn)證模塊，提示用戶輸入密碼，當(dāng)用戶從鍵盤輸入密碼后，認(rèn)證程序讀取中保存的密碼并與用戶輸入進(jìn)行比較。若認(rèn)證成功，則進(jìn)行后續(xù)的初始化工作，直至引導(dǎo)系統(tǒng)開機。更進(jìn)一步，可以借助這種方法來保護硬盤數(shù)據(jù)，防止硬盤丟失造成的數(shù)據(jù)外泄。在硬盤啟動時，先要配置硬盤盤柱扇區(qū)的主引導(dǎo)信息，如果主引導(dǎo)信息被破壞，那么硬盤

6、就無法啟動。因此，可以將硬盤的主引導(dǎo)信息存入，在每次開機時，將引導(dǎo)信息拷貝到硬盤；關(guān)機時，再將引導(dǎo)信息寫回到，并破壞硬盤的主引導(dǎo)信息，這樣，即使硬盤丟失。由于主引導(dǎo)信息被破壞，也不會造成數(shù)據(jù)外泄。第一，在執(zhí)行過程中會將模塊解壓縮到內(nèi)存中，并且驗證模塊的合法性和正確 算機；其次，由于密碼經(jīng)加密后存于，即使獲得了，如果不知道加密算法也無法得到密碼；通過本文我們可以看出，傳統(tǒng)的用戶名口令登錄認(rèn)證方式存在諸多的安全隱患，如：密碼容易泄露、密碼驗證程序有可能被繞過等，采用基于操作系統(tǒng)實現(xiàn)的第三方登錄認(rèn)證方式后，可以很大程度上加強計算機的安全性，但由于這些認(rèn)證方法是建立在操作系統(tǒng)之上的，無法解決操作系統(tǒng)本身的漏洞所帶來的安全隱患。而在中嵌人第三方登錄認(rèn) 謝四江，初探用戶認(rèn)證機制及其可擴展性，北京電子科技學(xué)院學(xué)報，第卷，第期。王慶，應(yīng)用實現(xiàn)多用戶身份認(rèn)證，開放系統(tǒng)世界，第期。劉克龍，馮登