[发明专利]预启动认证模块的可扩展BIOS接口

说明书

背景技术

一些计算机允许计算机在启动期间执行这样一种过程，通过该过程 计算机在启动过程完成之前验证计算机的用户。在启动过程完成之前的 用户验证被称为“预启动验证”。预启动验证可以由计算机的基本输入 /输出系统(BIOS)代码执行。不幸的是，修改BIOS代码以增加新型 的验证机制(例如，视网膜扫描)是耗时的并且很昂贵。

附图说明

为了详细说明本发明的示范性实施例，现在将参考附图，其中：

图1示出了根据说明性实施例的系统；

图2示出了根据说明性实施例的软件体系架构；

图3示出了根据说明性实施例的图形用户接口；以及

图4示出了根据说明性实施例的方法。

记号和术语

特定术语被用在以下描述和权利要求书中来指代特定的系统部件。 本领域技术人员应当理解，计算机公司可以用不同的名称来指代部件。 该文献不打算区分名称不同而不是功能不同的部件。在下面的讨论和权 利要求书中，术语“包括”和“包含”以开放的方式使用，因而应该被 解释为意思是“包括但不限于”。此外，术语“耦合”意欲指间接、直 接、光或者无线电连接。因而，如果第一装置耦合到第二装置，则该连 接可以通过直接电连接、通过经由其他装置与连接的间接电连接、通过 光电连接或通过无线电连接。

具体实施方式

图1示出了系统10，其包括处理器12、系统只读存储器(ROM)14、 显示器18、网络连接19、存储器20和一个或多个用户验证装置30。系 统10可以包括实施用户验证的计算机(例如，笔记本型计算机、桌上 型计算机、服务器等等)或者其他类型的计算系统。

系统ROM 14包含基本输入/输出系统(BIOS)16。BIOS 16包括由 处理器12执行的指令，这些指令提供在这里根据各个实施例描述的至 少一些功能或者全部功能。在图1的实施例中，BIOS 16被存储在系统 ROM 14上，但是也可以被存储在其软件由处理器12执行的任何类型的 计算机可读介质上。BIOS 16使处理器12执行系统10的一个或多个低 级功能，诸如给外围装置提供软件接口。BIOS 16也包含被执行来启动、 测试以及以其他方式初始化系统10的代码。根据各个实施例，BIOS 16 也提供用户验证，以要求验证用户。

存储装置20包括易失性或者非易失性存储器，例如随机存取存储 器(RAM)、硬盘驱动器、紧凑盘只读存储器(CD ROM)驱动器、只读 存储器、闪速存储器等等。存储器20包含可由处理器12执行的操作系 统(OS)22。在至少一些实施例中，OS 22和/或OS级代码也能够执行 用户验证。

系统10也包括一个或多个用户验证装置30，每个用户验证装置可 用于验证系统10的用户。用户验证装置30的例子包括键盘(通过该键 盘输入密码)、指纹扫描仪、视网膜扫描仪、可信平台模块(TPM)、 通用串行总线(USB)令牌、“虚拟”令牌(即，硬件令牌的软件模拟) 等等。根据说明性实施例，系统10能够实施“多因素验证”(MFA)， 通过该多因素验证，执行多种验证来验证用户。例如，MFA策略可能需 要输入有效的密码和成功的指纹扫描。在说明性实施例中，在启动系统 10的过程期间由BIOS 16实施MFA。

如上所述，在一些实施例中，OS 22能够验证用户。然而，在其他 实施例中，BIOS 16与OS 22通信，以使得OS 22放弃(forego)为执 行用户验证而与用户单独交互。OS 22改为依赖于BIOS 16中实施的用 户验证。因而系统10可配置为允许用户验证在BIOS 16的控制下执行 或者在OS 22的控制下执行。BIOS级的用户验证和使用该验证过程在 OS级验证用户被称为“无缝”验证或“单点登陆(single sign-on)” 过程。