一種基于uefi的可執(zhí)行程序文件保護系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計算機安全領(lǐng)域����,具體涉及一種基于UEFI固件,在開機過程中,對計算機設(shè)備操作系統(tǒng)內(nèi)的文件�,特別是可執(zhí)行程序的文件進行保護的方法。
【背景技術(shù)】
[0002]目前�����,在計算機安全領(lǐng)域����,操作系統(tǒng)中的文件主要通過特定的軟件方法進行保護,如在本地硬盤建立文件保護分區(qū)�����,或操作系統(tǒng)層的文件加密等�����?����;?qū)⑽募浞莸酵獠看鎯υO(shè)備���,需要使用時進行恢復�。也有建立互補備份區(qū),相互檢查彼此分區(qū)文件是否完整��,如果不完整����,將會對文件進行同步。
[0003]在操作系統(tǒng)層對文件進行保護�,特別是對關(guān)鍵可執(zhí)行程序的文件進行保護,有著以下的不足�,主要包括:
[0004](I)在計算設(shè)備更換硬盤、Flash等存儲被保護程序的裝置后�,將不能自動地重新恢復被保護文件,特別是關(guān)鍵可執(zhí)行程序的文件���。
[0005](2)在對硬盤����、Flash等被保護程序的存儲空間進行重新分區(qū)后���,計算設(shè)備將不能自動地恢復被保護文件��,特別是關(guān)鍵可執(zhí)行程序的文件。
[0006](3)在對硬盤��、Flash等被保護程序的存儲空間進行格式化后,計算設(shè)備將不能自動地重新恢復被保護文件�����,特別是關(guān)鍵可執(zhí)行程序的文件��。
[0007](4)當被保護可執(zhí)行程序文件不屬于操作系統(tǒng)自帶軟件的情況下�,在計算設(shè)備重新安裝操作系統(tǒng)后,將不能自動地重新恢復被保護程序文件��。
[0008](5)不能阻止合法的終端使用用戶非法地刪除本地終端上的關(guān)鍵文件���。
[0009](6)當終端的操作系統(tǒng)中的特定軟件文件被病毒或木馬篡改和刪除后���,將不能自動地進行恢復。
[0010](7)不能在操作系統(tǒng)啟動前�,確定操作系統(tǒng)中特定的關(guān)鍵文件,特別是可執(zhí)行程序文件是否存在��。
【發(fā)明內(nèi)容】
[0011]本發(fā)明的目的是為了克服已有技術(shù)的缺陷���,提出一種基于UEFI的可執(zhí)行程序文件保護系統(tǒng)和方法��,能解決在更換硬盤��、Flash等存儲空間的情況下�����,在開機過程中�����,無法恢復被保護文件���、特別是關(guān)鍵程序文件的問題�。
[0012]一種基于UEFI的可執(zhí)行程序文件保護系統(tǒng)�,系統(tǒng)包括文件守護程序驅(qū)動模塊和文件守護服務(wù)端。
[0013]所述文件守護程序驅(qū)動模塊的作用是在開機過程中����,對操作系統(tǒng)中的特定文件進行完整性度量和恢復;文件守護驅(qū)動模塊是符合UEFI規(guī)范的固件模塊�,包括環(huán)境加載和安裝器子模塊、文件檢測器子模塊和被保護文件��。其中�,環(huán)境加載和安裝器子模塊是在開機過程中加載相應(yīng)的驅(qū)動,建立文件檢測器子模塊的運行環(huán)境�����;文件檢測器子模塊的作用是在操作系統(tǒng)啟動時���,對計算設(shè)備的硬盤或Flash等存儲空間中的特定文件進行檢測����,如果發(fā)現(xiàn)文件被篡改或刪除�,將釋放儲存在固件中的被保護文件到硬盤或Flash中。
[0014]所述文件守護服務(wù)端的作用是提供被保護文件的分發(fā)����,將被保護文件推送到客戶端,由客戶端進行文件保護�;文件保護系統(tǒng)還可以對被保護文件或文件保護程序驅(qū)動程序進行更新,更新的方式包括用網(wǎng)絡(luò)或外部存儲設(shè)備(如U盤���、CD-ROM)����。文件保護系統(tǒng)的服務(wù)端可以通過網(wǎng)絡(luò)�,將新的被保護文件發(fā)送到客戶端設(shè)備,更新被保護文件���。
[0015]一種基于UEFI的可執(zhí)行程序文件保護方法�,其實現(xiàn)步驟如下:
[0016]步驟一、計算設(shè)備開機上電后�����,開始進入UEFI的開機引導過程���;
[0017]步驟二�����、檢測是否進入更新模式����;如果未進入更新模式����,進入步驟三,反之�,將在固件層對被保護文件進行更新;
[0018]步驟三�����、在固件層加載硬件驅(qū)動,在固件層加載文件系統(tǒng)����,識別硬盤及相應(yīng)的分區(qū)及文件系統(tǒng);通過環(huán)境加載安裝子模塊加載文件度量檢測子模塊的運行環(huán)境��;
[0019]步驟四���、文件度量檢測子模塊檢測硬盤的特定文件是否完整;如果文件正常�����,則轉(zhuǎn)入步驟五���,反之��,恢復被保護文件��,將被保護文件釋放到硬盤的特定位置�;
[0020]步驟五����、文件保護過程結(jié)束��,固件層將繼續(xù)進行開機引導過程�����。
[0021]在所述步驟二中�����,將檢測是否要進行文件更新�;包括以下步驟�;
[0022]步驟1、進入固件層開機引導過程���;
[0023]步驟2���、檢測當前開機引導過程是否需要進入固件文件更新模式;如果需要進入更新模式則轉(zhuǎn)入步驟3���,如果不需要更新��,則繼續(xù)進行開機引導過程�����;
[0024]步驟3�����、檢測當前的更新方式是否是通過網(wǎng)絡(luò)進行更新���;如果需要網(wǎng)絡(luò)更新則進入步驟4 ;檢測是否有接入本地的存儲設(shè)備����,且存儲設(shè)備有需要更新的被保護文件��;如果有需要更新的被保護文件���,則從外部存儲設(shè)備中讀取需要更新的文件及配置文件,轉(zhuǎn)入步驟5 ���;
[0025]步驟4�、向文件保護系統(tǒng)服務(wù)端發(fā)送下載請求��,希望能夠下載相應(yīng)的被保護文件��,及配置文件;在配置文件中將包含了該文件的名稱�����、安裝路徑等配置信息��;
[0026]步驟5���、根據(jù)配置文件����,對存儲被保護文件的固件部分進行更新���;
[0027]步驟6����、重啟�,進入開機引導過程;固件更新過程結(jié)束�����。
[0028]在步驟四中���,將在固件層對操作系統(tǒng)中的文件進行完整性度量�����;當文件異常時�,將進行文件恢復,包括以下步驟:
[0029]步驟1���、檢測硬盤是否存在�����;若不存在�,則流程結(jié)束��;
[0030]步驟2��、在固件層加載讀取硬盤或Flash等存儲空間的驅(qū)動模塊����;
[0031]步驟3���、識別硬盤的相應(yīng)分區(qū)�;
[0032]步驟4、對每個分區(qū)進行檢測���,查看分區(qū)的文件系統(tǒng)�;
[0033]步驟5�、針對不同的文件系統(tǒng),加載相應(yīng)的驅(qū)動模塊�����;
[0034]步驟6�����、讀取被保護文件的配置文件���;
[0035]步驟7�、在識別分區(qū)的文件系統(tǒng)后�����,將會根據(jù)配置文件,檢測相應(yīng)路徑的文件是否存在;如果文件存在���,則轉(zhuǎn)入步驟8 ;若文件不存在����,則根據(jù)配置文件���,將固件中保存的被保護文件寫到硬盤的分區(qū)上��;
[0036]步驟8����、對文件進行完整性度量����;
[0037]步驟9、根據(jù)檢測結(jié)果判斷文件是否完整�,是否被篡改;如果未發(fā)現(xiàn)文件異常����,轉(zhuǎn)入步驟10 ;若文件不存在��,則根據(jù)配置文件���,將固件中保存的被保護文件寫到硬盤的分區(qū)上��;
[0038]步驟10����、繼續(xù)進行開機引導流程。
[0039]有益效果:
[0040](I)在計算設(shè)備更換硬盤�����、Flash等存儲被保護程序的裝置后���,能夠自動地重新恢復被保護文件��,特別是關(guān)鍵可執(zhí)行程序的文件�����。
[0041](2)在對硬盤�����、Flash等被保護程序的存儲空間進行重新分區(qū)后����,計算設(shè)備將能夠自動地恢復被保護文件���,特別是關(guān)鍵可執(zhí)行程序的文件��。
[0042](3)在對硬盤�、Flash等被保護程序的存儲空間進行格式化后,計算設(shè)備將能夠自動地重新恢復被保護文件���,特別是關(guān)鍵可執(zhí)行程序的文件���。
[0043](4)在計算設(shè)備重新安裝操作系統(tǒng)后,能夠自動地重新恢復被保護程序文件��。
[0044](5)終端用戶刪除本地終端上的被保護文件后�����,將會在開機過程中重新恢復被保護文件��。
[0045](6)當終端的操作系統(tǒng)中的特定軟件文件被病毒或木馬篡改和刪除后����,能夠自動地進行恢復。
[0046](7)在操作系統(tǒng)啟動前���,能夠確定操作系統(tǒng)中特定的關(guān)鍵文件�����,特別是可執(zhí)行程序文件存在���,且文件正常。
【附圖說明】
[0047]圖1為基于UEFI的文件保護總體框架圖����。
[0048]圖2為文件安全守護平臺驅(qū)動模塊框架圖。
[0049]圖3為固件層安裝和檢測文件流程圖��。
[0050]圖4為被保護文件更新流程圖���。
[0051 ] 圖5開機弓I導過程恢復文件流程圖
【具體實施方式】
[0052]下面結(jié)合附圖并舉實施例��,對本發(fā)明進行詳細描述��。
[0053]如附圖1所示����,本發(fā)明的一種基于UEFI的可執(zhí)行程序文件保護系統(tǒng)包括文件守護程序驅(qū)動模塊和文件守護服務(wù)端���。
[0054]所述文件守護程序驅(qū)動模塊的作用是在開機過程中����,對操作系統(tǒng)中的特定文件進行完整性度量和恢復;文件守護驅(qū)動模塊是符合UEFI規(guī)范的固件模塊���,包括環(huán)境加載和安裝器子模塊���、文件檢測器子模塊和被保護文件。其中���,環(huán)境加載和安裝器子模塊是在開機過程中加載相應(yīng)的驅(qū)動�����,建立文件檢測器子模塊的運行環(huán)境�;文件檢測器子模塊的作用是在操作系統(tǒng)啟動時��,對計算設(shè)備的硬盤或Flash等存儲空間中的特定文件進行檢測�����,如果發(fā)現(xiàn)文件被篡改或刪除���,將釋放儲存在固件中的被保護文件到硬盤或Flash中��,如圖2所示���。
[0055]所述文件守護服務(wù)端的作用是提供被保護文件的分發(fā),將被保護文件推送到客戶端���,由客戶端進行文件保護�;文件保護系統(tǒng)還可以對被保護文件或文件保護程序驅(qū)動程序進行更新�,更新的方式包括用網(wǎng)絡(luò)或外部存儲設(shè)備(如U盤、CD-ROM)�。文件保護系統(tǒng)的服務(wù)端可以通