專利名稱:一種bios級系統(tǒng)文件的度量方法
技術領域:
本發(fā)明涉及一種BIOS級系統(tǒng)文件度量方法,特別是一種面向Linux操作系統(tǒng)的 BIOS級文件度量方法���。
背景技術:
隨著計算機的日益普及以及互聯(lián)網技術的飛速發(fā)展�,計算機安全控制技術也在不斷進步�����。目前�����,單機環(huán)境下的計算機安全控制技術一般實現(xiàn)于操作系統(tǒng)層面�,其實施手段通常有兩種,一種是身份認證機制增強�����,其實現(xiàn)途徑是替換操作系統(tǒng)基于口令的認證方式�����,改為基于硬件介質的雙因素認證方式�����,如智能卡、USBKey等�����;另一種是安全防護機制增強���,其實現(xiàn)途徑是在操作系統(tǒng)層面增加防火墻來限制互聯(lián)網上非法用戶的攻擊��,增加防火墻來防止合法用戶進行硬盤數(shù)據(jù)竊取等�。雖然在操作系統(tǒng)層面增加的安全控制措施能夠在一定程度上滿足人們的安全需求�����,但同時也暴露出一些問題����。一方面,很多計算機并沒有在BI0S(Basic Input/Output System)啟動階段設置身份認證過程���,因此����,非法用戶只需要通過簡單的技術�,如光驅引導、 U盤引導等方式��,就能繞開操作系統(tǒng)的安全控制策略進入計算機���,獲取硬盤中存儲的數(shù)據(jù)文件��;另一方面���,雖然很多計算機在BIOS系統(tǒng)中設置了基于口令的身份認證手段,但仍然存在一些缺陷�,如某些合法用戶仍然可以通過可引導設備繞開操作系統(tǒng)的安全控制策略進行硬盤數(shù)據(jù)竊取��;非法用戶通過CMOS放電等簡單操作即可清除口令�����;很多計算機廠家對 BIOS系統(tǒng)設置了超級口令�,這種超級口令也是一種潛在的安全隱患。另外�����,如果操作系統(tǒng)的核心系統(tǒng)文件被篡改或刪除��,也會對系統(tǒng)的安全構成直接威脅,造成信息泄露的可能�。而在BIOS系統(tǒng)下無法完成對文件的直接讀取,因為文件系統(tǒng)驅動只存在于操作系統(tǒng)之上����,因此需要在BIOS中實現(xiàn)對文件的識別來完成對操作系統(tǒng)核心文件的完整性度量功能。
發(fā)明內容
本發(fā)明目的在于提供一種基于BIOS的系統(tǒng)文件度量方法��,通過對系統(tǒng)文件的二進制鏡像文件解析��、定位和度量�����,解決計算機在操作系統(tǒng)啟動之前缺乏有效的安全控制措施的問題��。本發(fā)明是采用以下技術手段實現(xiàn)的—種BIOS級系統(tǒng)文件度量方法�����,包括文件系統(tǒng)結構分析模塊��、文件數(shù)據(jù)存儲解析模塊��、待度量系統(tǒng)文件路徑解析模塊和系統(tǒng)文件定位索引模塊��。其中文件系統(tǒng)結構分析包括EXT2文件系統(tǒng)結構分析子模塊、EXT3文件系統(tǒng)結構分析子模塊和EXT4文件系統(tǒng)結構分析子模塊����。一種BIOS級系統(tǒng)文件度量方法的具體步驟為第一步讀取硬盤MBR (主引導記錄)���;對應于BIOS級系統(tǒng)文件度量方法的文件系統(tǒng)結構分析模塊���,調用系統(tǒng)中斷讀取硬盤第一個扇區(qū)的數(shù)據(jù),進行解析�,判定主分區(qū)的文件系統(tǒng);第二步定位讀取超級塊扇區(qū)數(shù)據(jù)�����;對應于BIOS級系統(tǒng)文件度量方法的文件系統(tǒng)結構分析模塊�,確認文件系統(tǒng)為 EXT2、EXT3和EXT4中的一種后���,調用系統(tǒng)中斷讀取硬盤超級塊的扇區(qū)數(shù)據(jù)����;第三步計算得到塊大小和塊組inode (i節(jié)點)節(jié)點數(shù)����;對應于BIOS級系統(tǒng)文件度量方法的文件數(shù)據(jù)存儲解析模塊�����,在超級塊特定偏移位置讀取數(shù)據(jù)����,計算得到塊的大小和每個塊組包含的inode節(jié)點數(shù)���;第四步計算得到組描述符表起始扇區(qū)和扇區(qū)數(shù)�;對應于BIOS級系統(tǒng)文件度量方法的文件數(shù)據(jù)存儲解析模塊�����,根據(jù)塊的大小��,計算得到組描述符表的起始扇區(qū)和扇區(qū)數(shù)�����,并調用系統(tǒng)中斷讀取組描述符表的扇區(qū)數(shù)據(jù)���。第五步剖析待度量系統(tǒng)文件的路徑�;對應于BIOS級系統(tǒng)文件度量方法的待度量系統(tǒng)文件路徑解析模塊,從根目錄開始一層一層解析�����,定位到待度量系統(tǒng)文件的父目錄�,直至定位到待度量系統(tǒng)文件為止��。第六步讀取待度量系統(tǒng)文件所在父目錄的扇區(qū)數(shù)據(jù)����;對應于BIOS級系統(tǒng)文件度量方法的文件系統(tǒng)結構分析模塊,讀取待度量系統(tǒng)文件所在父目錄的扇區(qū)數(shù)據(jù)��,與待度量文件名或目錄名進行匹配���,從而定位到相應的偏移位置����。第七步計算讀取待度量系統(tǒng)文件所在塊的扇區(qū)號����;對應于BIOS級系統(tǒng)文件度量方法的系統(tǒng)文件定位索引模塊,獲取待度量系統(tǒng)文件所對應的inode節(jié)點號�����,計算得到塊組號和塊組內的節(jié)點號,根據(jù)塊組描述符表�����,進行轉換計算�,得到系統(tǒng)文件所在塊的扇區(qū)號。第八步計算文件數(shù)據(jù)所在起始扇區(qū)號�;對應于BIOS級系統(tǒng)文件度量方法的系統(tǒng)文件定位索引模塊,根據(jù)所得的塊組內的節(jié)點號和每個inode占用1 字節(jié)的特性���,得到該文件所在塊���,進行轉換計算,得到文件數(shù)據(jù)所在起始扇區(qū)號��。第九步輸出文件的二進制鏡像數(shù)據(jù)���,進行完整性度量�;對應于BIOS級系統(tǒng)文件度量方法的系統(tǒng)文件定位索引模塊��,根據(jù)文件數(shù)據(jù)所在起始扇區(qū)號,按塊輸出文件的二進制鏡像數(shù)據(jù)��,調用可信密碼算法��,與基準值進行匹配�,實現(xiàn)系統(tǒng)文件完整性度量。至此����,通過以上各個步驟,有效保證了操作系統(tǒng)啟動之前核心系統(tǒng)文件的安全性����。本發(fā)明與現(xiàn)有技術相比���,具有以下明顯的優(yōu)勢和有益效果1�����、本發(fā)明通用性強����,既可應用于普通計算機���,也可應用于服務器�、嵌入式終端等具有BIOS系統(tǒng)的計算機;2�����、本發(fā)明采取可靠有效的算法實現(xiàn)二進制鏡像文件的解析與定位��,保證系統(tǒng)文件度量的穩(wěn)定性和高效性�����;3�、本發(fā)明實施于BIOS啟動階段,能夠保證操作系統(tǒng)啟動之前核心系統(tǒng)文件的安全性�,同時不妨礙用戶在操作系統(tǒng)層面繼續(xù)實施其他的安全控制手段,進一步增強系統(tǒng)的安全性����。
圖1為一種BIOS級系統(tǒng)文件度量方法的流程圖;其中��,1為文件系統(tǒng)結構分析模塊���,2為文件數(shù)據(jù)存儲解析模塊����,3.待度量系統(tǒng)文件路徑解析模塊,4為系統(tǒng)文件定位索引模塊����。
具體實施例方式以下結合說明書附圖對本發(fā)明的具體實施例加以說明請參閱圖1所示,一種BIOS級系統(tǒng)文件度量方法���,包括文件系統(tǒng)結構分析模塊1�、 文件數(shù)據(jù)存儲解析模塊2��、待度量系統(tǒng)文件路徑解析模塊3和系統(tǒng)文件定位索引模塊4����。其中文件系統(tǒng)結構分析模塊1包括EXT2文件系統(tǒng)結構分析子模塊�、EXT3文件系統(tǒng)結構分析子模塊和EXT4文件系統(tǒng)結構分析子模塊。一種基于BIOS的計算機安全控制方法的具體步驟為第一步讀取硬盤MBR對應于BIOS級系統(tǒng)文件度量方法的文件系統(tǒng)結構分析模塊1����,調用系統(tǒng)中斷讀取硬盤第一個扇區(qū)的數(shù)據(jù),進行解析��,判定主分區(qū)的文件系統(tǒng)��;第二步定位讀取超級塊扇區(qū)數(shù)據(jù)對應于BIOS級系統(tǒng)文件度量方法的文件系統(tǒng)結構分析模塊1,確認文件系統(tǒng)為 EXT2��、EXT3和EXT4中的一種后����,調用系統(tǒng)中斷讀取硬盤超級塊的扇區(qū)數(shù)據(jù);第三步計算得到塊大小和塊組inode節(jié)點數(shù)對應于BIOS級系統(tǒng)文件度量方法的文件數(shù)據(jù)存儲解析模塊2�����,在超級塊特定偏移位置讀取數(shù)據(jù)���,計算得到塊的大小和每個塊組包含的inode節(jié)點數(shù)��;第四步計算得到組描述符表起始扇區(qū)和扇區(qū)數(shù)對應于BIOS級系統(tǒng)文件度量方法的文件數(shù)據(jù)存儲解析模塊2�����,根據(jù)塊的大小�,計算得到組描述符表的起始扇區(qū)和扇區(qū)數(shù)�����,并調用系統(tǒng)中斷讀取組描述符表的扇區(qū)數(shù)據(jù)��。第五步剖析待度量系統(tǒng)文件的路徑對應于BIOS級系統(tǒng)文件度量方法的待度量系統(tǒng)文件路徑解析模塊3,從根目錄開始一層一層解析���,定位到待度量系統(tǒng)文件的父目錄��,直至定位到待度量系統(tǒng)文件為止��。第六步讀取待度量系統(tǒng)文件所在父目錄的扇區(qū)數(shù)據(jù)對應于BIOS級系統(tǒng)文件度量方法的文件系統(tǒng)結構分析模塊1���,讀取待度量系統(tǒng)文件所在父目錄的扇區(qū)數(shù)據(jù),與待度量文件名(或目錄名)進行匹配�,從而定位到相應的偏移位置。第七步計算讀取待度量系統(tǒng)文件所在塊的扇區(qū)號對應于BIOS級系統(tǒng)文件度量方法的系統(tǒng)文件定位索引模塊4��,獲取待度量系統(tǒng)文件所對應的inode節(jié)點號�,計算得到塊組號和塊組內的節(jié)點號,根據(jù)塊組描述符表��,進行轉換計算�,得到系統(tǒng)文件所在塊的扇區(qū)號。第八步計算文件數(shù)據(jù)所在起始扇區(qū)號對應于BIOS級系統(tǒng)文件度量方法的系統(tǒng)文件定位索引模塊4���,根據(jù)所得的塊組內的節(jié)點號和每個inode占用1 字節(jié)的特性,得到該文件所在塊�����,進行轉換計算,得到文件數(shù)據(jù)所在起始扇區(qū)號����。
第九步輸出文件的二進制鏡像數(shù)據(jù),進行完整性度量對應于BIOS級系統(tǒng)文件度量方法的系統(tǒng)文件定位索引模塊4����,根據(jù)文件數(shù)據(jù)所在起始扇區(qū)號,按塊輸出文件的二進制鏡像數(shù)據(jù)���,調用可信密碼算法�����,與基準值進行匹配���,實現(xiàn)系統(tǒng)文件完整性度量。至此����,通過以上各個步驟,有效保證了操作系統(tǒng)啟動之前核心系統(tǒng)文件的安全性�����。
權利要求
1. 一種BIOS級系統(tǒng)文件的度量方法,包括文件系統(tǒng)結構分析(1)��、文件數(shù)據(jù)存儲解析 O)���、待度量系統(tǒng)文件路徑解析C3)和系統(tǒng)文件定位索引(4)���;其特征在于包括以下步驟 步驟1 讀取硬盤MBR;對應于BIOS級系統(tǒng)文件度量方法的文件系統(tǒng)結構分析模塊(1),調用系統(tǒng)中斷讀取硬盤第一個扇區(qū)的數(shù)據(jù)�����,進行解析�����,判定主分區(qū)的文件系統(tǒng)����; 步驟2 定位讀取超級塊扇區(qū)數(shù)據(jù);對應于BIOS級系統(tǒng)文件度量方法的文件系統(tǒng)結構分析模塊(1)�,確認文件系統(tǒng)為 EXT2、EXT3和EXT4中的一種后��,調用系統(tǒng)中斷讀取硬盤超級塊的扇區(qū)數(shù)據(jù)�����; 步驟3 計算得到塊大小和塊組inode節(jié)點數(shù)�;對應于BIOS級系統(tǒng)文件度量方法的文件數(shù)據(jù)存儲解析模塊O),在超級塊特定偏移位置讀取數(shù)據(jù)��,計算得到塊的大小和每個塊組包含的inode節(jié)點數(shù)����; 步驟4 計算得到組描述符表起始扇區(qū)和扇區(qū)數(shù);對應于BIOS級系統(tǒng)文件度量方法的文件數(shù)據(jù)存儲解析模塊( ��,根據(jù)塊的大小����,計算得到組描述符表的起始扇區(qū)和扇區(qū)數(shù),并調用系統(tǒng)中斷讀取組描述符表的扇區(qū)數(shù)據(jù)�; 步驟5 剖析待度量系統(tǒng)文件的路徑;對應于BIOS級系統(tǒng)文件度量方法的待度量系統(tǒng)文件路徑解析模塊(3)����,從根目錄開始一層一層解析,定位到待度量系統(tǒng)文件的父目錄���,直至定位到待度量系統(tǒng)文件為止�; 步驟6 讀取待度量系統(tǒng)文件所在父目錄的扇區(qū)數(shù)據(jù);對應于BIOS級系統(tǒng)文件度量方法的文件系統(tǒng)結構分析模塊(1)��,讀取待度量系統(tǒng)文件所在父目錄的扇區(qū)數(shù)據(jù)��,與待度量文件名(或目錄名)進行匹配���,從而定位到相應的偏移位置�;步驟7 計算讀取待度量系統(tǒng)文件所在塊的扇區(qū)號�;對應于BIOS級系統(tǒng)文件度量方法的系統(tǒng)文件定位索引模塊(4),獲取待度量系統(tǒng)文件所對應的inode節(jié)點號�,計算得到塊組號和塊組內的節(jié)點號,根據(jù)塊組描述符表����,進行轉換計算,得到系統(tǒng)文件所在塊的扇區(qū)號���;步驟8 計算文件數(shù)據(jù)所在起始扇區(qū)號�����;對應于BIOS級系統(tǒng)文件度量方法的系統(tǒng)文件定位索引模塊�,根據(jù)所得的塊組內的節(jié)點號和每個inode占用1 字節(jié)的特性,得到該文件所在塊�,進行轉換計算�,得到文件數(shù)據(jù)所在起始扇區(qū)號;步驟9 輸出文件的二進制鏡像數(shù)據(jù)��,進行完整性度量����;對應于BIOS級系統(tǒng)文件度量方法的系統(tǒng)文件定位索引模塊,根據(jù)文件數(shù)據(jù)所在起始扇區(qū)號���,按塊輸出文件的二進制鏡像數(shù)據(jù)�����,調用可信密碼算法�����,與基準值進行匹配�,實現(xiàn)系統(tǒng)文件完整性度量����。
全文摘要
一種BIOS級系統(tǒng)文件度量方法�����,包括讀取硬盤MBR����;定位讀取超級塊扇區(qū)數(shù)據(jù)���;計算得到塊大小和塊組inode(i節(jié)點)節(jié)點數(shù)�;計算得到組描述符表起始扇區(qū)和扇區(qū)數(shù)�����;剖析待度量系統(tǒng)文件的路徑��;讀取待度量系統(tǒng)文件所在父目錄的扇區(qū)數(shù)據(jù)����;計算讀取待度量系統(tǒng)文件所在塊的扇區(qū)號;計算文件數(shù)據(jù)所在起始扇區(qū)號�;輸出文件的二進制鏡像數(shù)據(jù),進行完整性度量���;對應于BIOS級系統(tǒng)文件度量方法的系統(tǒng)文件定位索引模塊��,實現(xiàn)系統(tǒng)文件完整性度量�����。有效保證了操作系統(tǒng)啟動之前核心系統(tǒng)文件的安全性����。本發(fā)明通用性強���,采取可靠有效的算法實現(xiàn)二進制鏡像文件的解析與定位�,保證系統(tǒng)文件度量的穩(wěn)定性和高效性�。進一步增強了系統(tǒng)的安全性。
文檔編號G06F17/30GK102270229SQ20111019592
公開日2011年12月7日 申請日期2011年7月13日 優(yōu)先權日2011年7月13日
發(fā)明者傅子奇, 劉毅, 曾穎明, 杜中平, 沈昌祥, 王曉晨, 蔡誼, 鄭志蓉, 金剛, 陳志浩, 黃強 申請人:中國人民解放軍海軍計算技術研究所, 中國航天科工集團第二研究院七〇六所