基于USBKey的EFIBIOS安全增强设计方案

USB安全钥功能扩展与优化设计摘要:介绍USB安全钥的完整功能,加密算法的动态链接库DLL设计,在线修改存储在安全钥内的用户产品信息功能的方法。

为设计完整的USB设备提供借鉴。

关键词:通用串行总线USB 单片机动态链接库DLL 标准加密算法DES USB 固件 USB驱动程序人机接口设备HID1 USB安全钥的完整功能USB安全钥最早基于USB的热插拔、速度以及硬件等优势,结合加密算法,用于办公文件、软件等的存储和加密。

但USB安全钥的用武之地远不止这些,与网络技术结合,用于时下最时尚的电子商务中,才使其大显神通。

USB安全钥结合传统的电子商务核心技术和新兴的USB技术,用于实现电子商务中的关键技术——身份识别,在未来电子商务领域具有广阔的应用前景。

USB安全钥集数据加密和数据存储两大功能于一体,推动了电子商务的发展。

传统的电子商务或是网络email等的身份认证基本上是通过两种方式来实现的。

一种是密码机制,双方约定好规则。

这是目前最为普遍的方式,但是这种方式的严重缺点显而易见。

密码作为最重要的信息,在网络上传输,很容易被黑客攻击截获,经常发生密码被盗。

第二种方式是通过第三方的认证,双方共同信任第三方公司提供的信息,从而进行交易。

微软在.NET计划中推出的认证服务器就提供这种服务。

但是,信誉度建立在第三方上,便会受到第三方的制约,掏钱不说,还要担心第三方是否会倒闭。

USB安全钥解决了这两种方式无法解决的问题。

完整的USB安全钥系统由三部分组成:安全钥端,采用Motorola公司带USB接口的8位单片机MC68HC908JB8构成;PC端,由任何一台可接入网络的PC构成,并安装PC端的用户身份认证软件;Server端,任何一台网络服务器安装用于身份认证的Server端软件。

USB安全钥系统结构体系及功能流程,列出了九个步骤,描述了USB安全钥从插入PC 到完成一次身份识别的完整流程。

需要强调的是,在上述步骤中,PC仅仅起一个Media(媒介)的作用。

新一代主板EFI-BIOS技术解析新一代主板EFI BIOS技术解析作者：未知文章来源：网络BIOS最后的璀璨BIOS伴随了我们十几年，在这么长的日子里，硬件升了一代又一代，电脑换了一台又一台，唯一不变的，就是BIOS。

BIOS默默伴随着我们这帮从刚学会打ABCD的毛头孩子长大成人，当我们都变了，它却还是它最初的模样。

风华已去，佳人已老，BIOS在十几年的守护中，一步步逐渐落后于硬件的发展，趋于落寞，垂垂老暮。

BIOS在PC启动时，将PC初始化，然后控制权交给磁盘上的操作系统，在后面的阶段，用户的感觉是在通过操作系统直接和硬件对话，可实际上，操作系统想要与硬件进行沟通，仍然必须通过BIOS。

BIOS，几乎和PC有着同样的寿命，当年康柏第一台“克隆”PC诞生的时候，它为了简化启动的设置，引入了固化程序的概念，在启动时负责将PC初始化，然后再将控制权交给磁盘上的操作系统。

而今天，“康柏”这个品牌已经消失，而BIOS却作为无心插柳柳成荫之作，延续至今。

我们熟悉的BIOS操作界面BIOS的全称是Basic Input/Output System，中文名是基本输入输出系统。

BIOS即是操作系统和计算机硬件之间通讯的桥梁，更是充当翻译的角色，从DOS时代起，微软的操作系统一直都是建立在“中断”这个概念上的，程序的切换依靠中断，系统的开关依靠中断，甚至我们按下了机箱上“Reset”键强制重启电脑，也还是中断在后台的作用。

为了延续整套的16位中断系统，无论是CPU开发还是软件升级，都得考虑中断模式。

在x86系列处理器进入32位时代后，由于兼容性的原因，新的处理器保留了16位的运行方式，此后多次处理器的升级换代都保留了这种运行方式。

甚至在含64位扩展技术的至强系列处理器中，处理器加电启动时仍然会切换到16位的实模式下运行。

BIOS程序以16位汇编代码、寄存器参数调用方式、静态链接以及1MB以下内存固定编址的形式存在了十几年，虽然各大BIOS厂商近年来努力得对其进行改进，加入了许多新元素到产品中，如ACPI、USB支持等，但BIOS的根本性质没有得到任何改变，16位的运行工作环境是其最为致命的缺点。

epdon615打印ukey参数设定一、UEFI与Legacy BIOS的区别UEFI（Unified Extensible Firmware Interface）和Legacy BIOS（基本输入输出系统）是两种不同的主板启动方式。

UEFI是较新的技术，相较于Legacy BIOS，UEFI具有更强的兼容性和可扩展性，能够支持更大容量的硬盘和更高级的硬件设备。

在UEFI模式下，打印UKey参数设定更为简便。

二、EPdon615打印UKey参数设定步骤1.准备工作：确保电脑已进入UEFI启动模式，并准备好EPdon615 UKey。

2.打开设备管理器：在Windows操作系统中，按下“Win+”键，搜索“设备管理器”，打开对应界面。

3.插入UKey：将EPdon615 UKey插入电脑USB接口。

4.配置UKey：在设备管理器中，找到EPdon615 UKey，右键选择“属性”，在弹出的窗口中进行相关参数设定。

5.设定打印机驱动：根据需要，安装或更新EPdon615打印机驱动。

6.测试打印：在完成设定后，使用打印机测试功能测试打印效果。

三、常见问题及解决方案ey无法识别：检查UKey是否正确插入，并确保电脑已进入UEFI启动模式。

2.打印机无法连接：确保打印机驱动已正确安装，并检查电脑与打印机的连接是否正常。

3.打印效果不佳：调整打印机参数，如分辨率、颜色等，以达到理想的打印效果。

4.系统不兼容：若问题仍无法解决，可尝试将电脑切换至Legacy BIOS模式，重新进行设定。

通过以上步骤，相信您已经能够顺利完成EPdon615打印UKey的参数设定。

在实际操作过程中，遇到问题可根据本文提到的解决方案进行排查。

专利名称：可按需要动态调整的UEFI BIOS快速安全启动方法专利类型：发明专利
发明人：曾颖明,王斌,姚金利,赵政耀,马书磊,黄晨
申请号：CN201210418452.2
申请日：20121026
公开号：CN103034510A
公开日：
20130410
专利内容由知识产权出版社提供
摘要：可按需要动态调整的UEFI BIOS快速安全启动方法属于UEFI BIOS的快速启动技术领域，其特征在于，是一种适用于现有的包括便携式终端或嵌入式设备在内的系统平台的快速而安全的方法，包括：平台主控机初始化，用户签名认证和初始代码检测，环境初始化，加载设定的设备、总线和服务的驱动程序，加载操作系统引导程序或操作系统内核，运行操作系统应用程序和判断应用程序是否已运行完毕等各个阶段，本发明提高了系统平台的效率，也保证了CPU的执行程序的安全性。

申请人：中国航天科工集团第二研究院七〇六所
地址：100854 北京市海淀区永定路51号
国籍：CN
代理机构：北京思海天达知识产权代理有限公司
代理人：楼艮基
更多信息请下载全文后查看。

基于USB KEY和BIOS的TPM故障解决方案林基艳【摘要】目前的可信计算研究方案，比较多地强调应用TPM模块，但对TPM模块自身的可靠性和稳定性等考虑的较少，若TPM发生故障，则整个系统就无法正常工作，同时用户的一些重要信息也不能恢复。

文中提出了一种基于USBKEY和BIOS的安全解决方案，当TPM故障时，调用禁用TPM模块，使TPM进入功能禁用状态，不进行度量操作，计算机进入非可信工作模式；在启动过程中，利用USBKEY和访问控制模块，实现在BIOS层的身份认证；利用保存在USBKEY里的相关密钥，恢复用户的一些重要信息。

%At present, more and more attention has been given to trusted platform module in the trusted computing research projects while its security and stability are concerned less. If TPM is damaged, the whole system can not work normally and the users＇ important information can not be restored, too. In this paper, a secure solution based on USB KEY and BIOS is brought forward. Invoke forbidden TPM module to disable TPM so that the work of measurement will not be performed which can lead system into non-trusted mode. Besides, using USB KEY together with access control module to carry out access control. At the same time, use the related keys stored in TPM to recover the users＇ important information.【期刊名称】《电子设计工程》【年(卷),期】2011(019)021【总页数】4页(P179-182)【关键词】可信计算平台;USB;KEY;BIOS;禁用11PM模块;访问控制模块【作者】林基艳【作者单位】榆林学院信息工程学院,陕西榆林719000【正文语种】中文【中图分类】TP309目前对可信计算平台的研究，主要集中在可信计算平台的重要部件TPM上面。

基于USBKey的增强型登录认证系统的设计与实现张小莉【摘要】分析了Windows操作系统自登录方式的安全隐患,对Windows的身份认证机制进行深入研究,给出基于USBKey的增强型登录认证系统方案,最后通过C++编程实现.系统可以阻止非法用户登录Windows操作系统,增加了系统的安全性,提高了用户信息的保密性.【期刊名称】《太原师范学院学报（自然科学版）》【年(卷),期】2015(014)004【总页数】5页(P70-73,84)【关键词】USBKey;C++;登录认证系统;安全性【作者】张小莉【作者单位】山西轻工职业技术学院,山西太原030013【正文语种】中文【中图分类】TP302.1本文就目前使用的Windows桌面操作系统自登录方式存在安全隐患的问题，提出了基于USBKey的Windows操作系统增强型登录认证系统，并用C++程序实现了该系统.USBKey实际上是一种直接使用在个人电脑USB接口上的智能存储卡设备，由于其携带方便，安全性高，应用广泛，运算能力强等特点，使其成为现在电子商务以及电子政务领域广泛使用的加密设备.研究和设计一套基于USBKey的Windows 操作系统增强型登录认证系统有着极高的市场价值和应用前景.是一种使用Windows系统的安全用户及远程安全主体计算机通过一些诸如保存的口令字，登记的指纹等秘密信息来进行安全主体合法身份的认证机制.Windows系统支持本地身份认证和网络身份认证两种方式.其中用Winlogon进程，GINA图形化登录窗口与LSASS服务通过协作来完成本地身份认证过程.2.1 系统功能分析系统主要由三部分组成：控制端，客户端和DLL(动态库).本系统实现的登录Windows操作系统的方式也有三种，第一种是Windows自登录方式，第二种是使用硬件USB设备的登录方式，第三种是使用PIN码的登录方式.2.2 系统流程图控制端获取USBKey设备ID和验证码将其写入该USB设备进行注册，并将注册的信息传送到客户端，客户端把该信息人写入配置文件保存， Windows操作系统加载读取了配置文件信息的DLL模块，且提示用户需要注销客户端计算机使程序生效(注意：当第一次加载DLL模块时需要重新启动客户端计算机，以后只需要注销客户端计算机即可).Windows操作系统启动过程中加载SSRUsbkeygina.dll文件，该文件会替换系统安装目录文件下自带的Msgina.dll.Windows操作系统调用DLL模块中的所有接口，读取配置文件并判断动态链接库的运行模式.当返回值为“0”时，DLL模块不启用任何模式操作，Windows操作系统选择自己的默认登录方式；当返回值为“1”时，DLL模块启用Usbkey身份认证登录模式；当返回值为“2”时，DLL模块启用双重密码认证登录模式.即在弹出的SSR 密码登录框输入密码，如果验证通过，则弹出系统自带的密码登录框，如果SSR 验证信息失败，则一直停留在SSR密码登录框界面,(动态库)程序流程图如图1所示.3.1 系统运行环境系统对计算机的CPU及硬盘要求不高，使用的USBKey可以支持任何一款普通移动设备，该系统只支持本地登录方式，不支持远程登录.3.2 系统中使用的部分函数见表1.3.3 增强型登录认证系统的执行过程系统采用当今流行语言C++加以实现，由于客户端和DLL模块都是后台运行程序，所以没有实现界面.控制端实现界面如图2所示，具体实现步骤如下所述.1)选择第一项“windows默认登录方式”，此时只需输入系统“用户名+密码”即登录Windows操作系统.2)选择第二项“增强型USBKEY登录方式”，系统管理员登录时需要插入安全管理配发的USBKey.此时“配发USBKey”按钮和“删除选中”按钮成为可用状态.点击“配发USBKey”按钮进行配发USBKey(如果已经有配发的USBKey可以直接进行提交).然后在控制端界面中输入持有者姓名并选择已有USB设备，然后点击“配发”按钮完成操作.此时Windows操作系统打开自带的用户名+密码界面，用户正确输入即可进入Windows操作系统.3)选择第三项“增强型组合密码登录方式”，系统管理员登录Windows操作系统前需要先获取本系统配发的PIN码.此时“配发PIN码”按钮和“删除选中”按钮成为可用状态，点击“配发PIN码”按钮配发PIN码(如果已经有配发的PIN码可以直接进行提交)，然后在配发PIN界面输入持有者和PIN码点击配发按钮完成操作.Windows操作系统打开自带的用户名+密码界面，用户正确输入即可正常进入Windows操作系统.4)点击“提交”按钮实现将用户选中的登录方式、配发增强型硬件USB信息、增强型组合密码即PIN码发送到客户端并写入配置文件功能，且在提交配置信息时进行检测.如果用户选择了“增强型硬件USBKEY登陆方式”或者“增强型组合密码登陆方式”但是未配发USBKey或者PIN码，则出现提示返回界面.5)点击“初始状态”按钮自动修改为“windows默认登录方式”，所有配发的USBKey信息和配发的PIN码都将被清空.3.4 USBKey登录认证的实现代码由于篇幅的限制，我们仅列举其中登录认证的部分代码，大部分代码没有列出. int WINAPI aLoggedOutSAS(PVOID paContext,DWORD dwSasType,PLUID pAuthenticationId,PSID pLogonSid,PDWORD pdwOptions,PHANDLE phToken,PA_MPR_NOTIFY_INFO pNprNotifyInfo,PVOID* pProfile){int iMode=GetIniData();if(0==iMode){……}if ( 1 == iMode ){ …… }if ( 2 == iMode ){……}if ( NULL != p){return (p)( paContext, dwSasType, pAuthenticationId,pLogonSid, pdwOptions, phToken,pNprNotifyInfo, pProfile);}return FALSE;}本Windows增强型登录认证系统目前已应用于各大企业单位，安装该系统Windows启动时根据用户选择进入相应密级的Windows安全增强系统界面进行对Windows操作系统的登录控制管理.本系统具有以下特点：4.1 增强型双重身份认证机制系统管理员选择增强型硬件USBKEY登陆方式时，只插入USBKey设备而未输入持有者信息将不允许登录操作系统进行操作；当选择增强型组合密码即PIN码登录方式时，只有PIN码而未输入持有者信息也将不允许登录操作系统.只有是合法的USBKey设备持有者或者合法的PIN码持有者才可以登录Windows操作系统.即使丢失USBKey设备但不是合法的持有者，也将不能登录操作系统，保证了操作系统的安全性和隐私性.4.2 带有安全存储空间USBKey有较大的数据存储空间,可以存储大量用户密钥和数字证书等机密数据.只有登录系统才能对该存储空间进行读写操作，其中除了点击“配发”按钮能够得到合法的USBKey设备信息和PIN码外，其他途径均无效，杜绝了登录身份信息被复制的可能性.Windows操作系统的登录认证问题由来已久，其安全问题也层出不穷[10].本文提出的基于USBKey的Windows增强型身份认证机制能够有效弥补Windows操作系统“用户名+密码”的身份认证安全漏洞,提高了系统安全性能，有效阻止用户机密信息的外泄，保护了用户隐私.通过在众多网络安全信息系统中的实际应用证明了该系统能满足操作系统安全性的需要，有较高的市场应用价值.【相关文献】[1] 蒋毅娜.Windows登录安全增强系统的设计与实现.北京:北京邮电大学,2009:2-20[2] 曹喆，王以刚.基于USBKey的身份认证机制的研究与实现.计算机应用与软件,2011,28(2):284-286[3] 朱诚，左辉.利用KMDF驱动程序实现USB设备的功耗控制.计算机应用与软件,2012,29(12):252-254[4] 李伟为.基于2.0的在线考试系统的设计与实现.计算机应用与软件,2013,28(9):163-165,224[5] 徐照兴,刘武.基于B/S模式的高职毕业生就业数据管理系统的设计与实现.计算机应用与软件,2013,29(9):297-300[6] 杨佳丽,黎敬涛.基于PHP的一个家庭理财系统的设计与实现.计算机应用与软件,2014,30(2):259-262[7] 谭萌,王金磊,杨丽芬,等.基于World Wind Java的海底电缆管道业务管理信息系统设计与实现.海岸工程，2015,2:10-15[8] 卫琳,SQL Server 2012数据库应用与开发教程.3版.北京:清华大学出版社,2014:100-150[9] 邵冬华.Web数据库设计项目教程.北京:中国人民大学出版社,2015:62-64[10] 陈家骏，郑滔.程序设计教程:用C++语言编程.3版.北京:机械工业出版社,2015:50-100。

Mini-Usb en25t80 BIOS编程器说明书一.简介：由于串行 BIOS 芯片具有体积小,容量大的特点。

现在新型主板已经普遍使用如:W25X10(1MB) W25X20(2MB)MX25L8005(8MB)MX25L4005(4MB)W25X40(4MB)W25X80(8MB)MX25L1605(16MB) MX25L3205(32MB) 这些串行 BIOS 芯片,为系统设计人员提供了一个支持便携式电脑、台式机和服务器的先进性能和增强型功能的 BIOS 解决方案。

对于这些串行芯片，目前只有专业的编程器才可支持，但专业的编程器价格很贵，不是一般维修的用户可以拥有的.为此应广大家电维修朋友的要求，我发了半年时间特开发几款专为读写bios芯片的编程器(支持ATMEL,MICROCHIP，ST,WINBOND,AMIC,MXIC,SST,SPANSION,EON,PMC等厂家8脚串行芯片),体积小巧（一个U盘体积大小）,方便电脑主板及DVD等Bios升级,编程器详情点击如下查阅。

1．支持 24C系列，93C系 和C51，S52单片机等等 USB编程器2.mini-USB en25T80 bios编程器注：目前市场上的USB isp flash编程器电路及程序处理不够，有99%的编程器包括百元以上的都存在隐患(插上USB，有些电脑根本无法识别,使用不稳定),我已在这方面作了很大改进,解决了这个隐患使编程更稳定，更安全,运行效率更高。

二.各种Bios IC的封装引脚定义，注意１脚的定义三.实物(8脚串行芯片):图 1 8 脚串行 BIOS 芯片四.Mini-Usb en25t80 BIOS编程器使用说明：USB 通讯，小巧方便，可方便读写 1M 、2M、4M、8M、16M 及 32M，理论上最大支持128M容量的芯片。

其通过 USB 口与电脑联接，电源和数据通讯都由 USB 口完成。

1、编程器联接：编程器是 USB 取电及通讯的，因此，用 USB 数据线把编程器和电脑的 USB 口联接起来，在电脑的右下角 会提示：“发现新硬件”。

EFI BIOS安全增强方案设计与实现的开题报告1.研究背景和意义随着计算机技术和网络技术的不断发展，计算机系统的安全性问题备受关注。

尽管计算机厂商通过BIOS固件开启安全启动、设置密码、加密传输等多种方法增强了计算机系统的安全性，但由于BIOS固件自身的设计问题，仍有一定的安全隐患。

为了更好的保障计算机系统的安全性，需要对BIOS固件进行安全增强，提高其安全性能。

目前，传统的BIOS固件已经逐渐被UEFI BIOS固件所取代。

UEFI BIOS固件不仅具有传统BIOS固件的功能，而且提供更强的安全性和可靠性、更好的兼容性和扩展性。

本课题将针对UEFI BIOS固件进行安全性增强，以保证计算机系统的安全性。

2.研究内容和方法本课题拟采用以下方法进行研究：（1）分析UEFI BIOS固件安全性问题通过研究UEFI BIOS固件的安全性问题，找出其存在的安全隐患和漏洞，明确其安全增强的目标和需求。

（2）设计UEFI BIOS固件安全增强方案根据UEFI BIOS固件的安全性需求，设计适合的安全增强方案，包括安全启动、加密传输等措施，通过增强UEFI BIOS固件的安全性能，提高计算机系统的安全性。

（3）实现安全增强方案根据设计的安全增强方案，开发相应的软件功能模块，实现UEFI BIOS固件的安全增强，包括UEFI BIOS固件的代码修改、新模块的添加和修改、安全验证等。

（4）测试和评估实现安全增强方案后，进行测试和评估，验证其安全性和可靠性。

3.预期结果和创新之处本课题拟设计与实现UEFI BIOS固件的安全增强方案，通过加强UEFI BIOS固件的安全性能，提高计算机系统的安全性。

预期结果包括：（1）增强UEFI BIOS固件的安全性性能，提高计算机系统的安全性；（2）设计适合UEFI BIOS固件的安全增强方案，提供一种新的安全增强模式；（3）通过开发软件功能模块，实现UEFI BIOS固件的安全增强，提供一种新的软件实现方案。