专利名称::一种建立计算机中可信任运行环境的方法
技术领域:
:本发明涉及计算机安全
技术领域:
,特别是指一种建立计算机中可信任运行环境的方法。
背景技术:
:计算机操作系统由于自身的缺陷,在受到攻击,特别是新的未知攻击或病毒攻击后,非常容易造成系统的崩溃,从而使整个系统无法继续工作,即使能够工作,也会出现这样或那样的问题。这样,必将导致使用户对计算机的运行环境是否可信产生怀疑,而不敢在计算机上进行机密的信息处理和交互,如电子支付,电子公文等操作,这对于社会的发展是没有任何好处的。目前对上述问题的解决方式通常有以下几种方法一应用防病毒软件解决上述问题。具体方法为由防病毒软件采用特征匹配的方法对网络病毒的攻击进行检测,发现病毒后将中毒文件进行隔离或对中毒文件进行杀毒操作,从而保证计算机的安全。该方法的缺陷是无法检测未知病毒的攻击。在新的病毒库,规则库和漏洞补丁发布前,计算机系统无法抵御攻击行为。同时,该防病毒软件自身也容易受到攻击。方法二应用主机入侵检测软件解决上述问题。具体方法为由主机入侵检测软件利用供给特征规则库对攻击行为进行检测,并报警。该方法的缺陷与方法一的缺陷类似无法检测未知的攻击,在新的病毒库,规则库和漏洞补丁发布前,计算机系统将无法抵御攻击行为。同时,该主机入侵检测软件自身也容易受到攻击。方法三利用双网物理隔离,或双网物理隔离计算机,或双模式操作系统切换的方法解决上述问题。具体方法为通过双网或双模式的切换来保证计算机运行环境的安全。该方法的缺陷是增加了计算机本身的成本,同时,用户需要不断地切换计算机模式,使用极不方便。方法四应用进程隔离技术解决上述问题。具体方法为为进程设置身份鉴别标识,并鉴别进程的访问者,同时使不同进程之间实现隔离,监视进程池中的进程的物理内存使用情况,CPU利用情况,系统性能情况等,以防止进程间的内存溢出。该方法的缺陷是没有对进程本身是否已受到攻击进行检测,仍然存在安全隐患。上述所有方法均是对各种攻击的防护措施,并不能确保计算机中运行环境的安全与可信。
发明内容有鉴于此,本发明的目的在于提供一种建立计算机中可信任运行环境的方法,从根本上保证计算机中运行环境的安全与可信,且方便用户应用。为达到上述目的,本发明的技术方案是这样实现一种建立计算机中可信任运行环境的方法,预先在操作系统内设置可信文件验证模块、可信进程内存代码验证模块,加载并运行安全的操作系统,该方法还包括以下步骤可信文件验证模块截获所有文件操作行为,检查当前待操作文件是否为可信任文件,如果是,则根据该文件操作类型进行处理,如果是不可信任文件,则对该文件验证合格后,再对文件进行操作处理;可信进程内存代码验证模块定时验证所有进程代码的运行状态和完整性是否正常,如果不正常,则发出警告,保存该进程运行的现场数据后,关闭此进程,否则继续正常运行。较佳地,所述加载并运行安全的操作系统的过程包括预先设置基本文件管理系统,包含用户预先指定的操作系统核心文件,涉及启动的文件,及用户需要保护的应用软件的文件名的可信文件列表,同时,在安全存储部件内设置所有需要确保安全的数据及其完整性值,在计算机的底层固件中设置可信操作系统基础软件完整性验证恢复模块,具体加载并运行操作系统的过程包括以下步骤a、对计算机内的底层固件验证成功并启动后,由底层固件验证基本文件管理系统的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果一致,则底层固件启动该基本文件管理系统,然后执行步骤b,否则停止系统启动;b、基本文件管理系统启动可信操作系统基础软件完整性验证恢复模块,由该可信操作系统基础软件完整性验证恢复模块从磁盘扇区中读取磁盘参数,验证该磁盘参数的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则执行步骤c,否则,可信操作系统基础软件完整性验证恢复模块从安全存储部件中取出预先存储的磁盘数据,将其写到当前的磁盘扇区中后,执行步骤c;c、可信操作系统基础软件完整性验证恢复模块验证可信文件列表的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则执行步骤d,否则,从安全存储部件中取出预先存储的可信文件列表,覆盖当前的可信文件列表,然后执行步骤d;d、可信操作系统基础软件完整性验证恢复模块读取可信文件列表中的操作系统内核文件,验证该操作系统内核文件的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则装载并运行操作系统,否则,从安全存储部件中取出预先存储的操作系统内核文件覆盖当前的操作系统内核文件后,装载并运行操作系统。较佳地,所述基本文件管理系统位于安全存储部件中,或底层固件中,或操作系统中;所述可信文件列表位于安全存储部件中,或操作系统中。较佳地,所述安全存储部件内所有需要确保安全的数据是根据系统运行的需要以及用户的需要确定的;所述所有需要确保安全的数据包括但不限于底层固件,操作系统,各种应用软件和文件的数据以及磁盘参数。较佳地,所述磁盘参数包括但不限于主引导扇区参数、分区引导扇区参数以及文件分配表参数。较佳地,所述可信文件验证模块检查当前待操作文件是否为可信任文件的方法为检查当前待操作文件是否为可信文件列表中的文件,如果是,则当前待操作文件为可信任文件,否则当前待操作文件为不可信任文件。较佳地,对于可信任文件,根据当前文件操作类型进行处理的过程为检查当前文件操作行为的类型是读操作还是修改操作,如果是读操作,则验证该当前待操作文件的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则加载该当前待操作文件到内存中,允许访问者执行读操作,否则,从安全存储部件中取出预先存储的该可信任文件,覆盖当前文件后,再加载该当前待操作文件到内存中,允许访问者执行读操作;如果是修改操作,则检查计算机当前处于安全状态后,允许访问者修改可信文件列表,之后,重新计算可信文件列表和所修改文件的完整性值,并将该新的可信文件列表的完整性值和修改后该文件的完整性值存储在安全存储部件中。较佳地,所述修改操作包括但不限于写操作、和/或属性修改操作,和/或删除操作,和/或创建新文件操作;所述安全状态为计算机当前与网络没有物理连接,且可信文件列表当前处于修改操作有效的状态。较佳地,进一步包括,设置一使修改操作有效的物理开关,根据该物理开关的开或关的状态,确定可信文件列表当前是否处于修改操作有效的状态。较佳地,对于不可信任文件,对该文件验证合格后,再对文件进行操作处理的过程为对不可信任文件进行病毒检测完毕后,将该不可信任文件所对应的进程加载到虚拟机中,由虚拟机监视该进程的行为,如果发现该进程存在非法行为,则报警,并关闭该进程,否则,允许对该文件进行操作处理。较佳地,所述非法行为至少包括对操作系统文件的非法修改操作、和/或对磁盘的非法修改操作、和/或内存访问非法越界、和/或执行非法跳转操作。较佳地,所述可信进程内存代码验证模块定时验证所有进程代码的运行状态是否正常的过程为检查进程程序指针是否超越进程规定的物理内存地址,和/或进程代码是否跨越规定的物理内存地址;所述可信进程内存代码验证模块定时验证所有进程代码的完整性是否正常的方法为在文件首次加载到内存时,计算该文件所对应进程的进程代码在内存中的完整性值,并将该完整性值存储在安全存储部件中;可信进程内存代码验证模块定时验证当前所有进程代码的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则进程代码正常,否则不正常。较佳地,所述可信进程内存代码验证模块验证出进程代码的运行状态和/或完整性不正常后,该方法进一步包括由可信文件验证模块重新对不正常的进程所对应的文件进行验证后,再次加载该文件到内存中,并计算该文件所对应进程在内存中的完整性值,将计算出的完整性值存储到安全存储部件中,之后,根据上次保存的进程运行的现场数据,使该进程恢复到上次运行的状态。较佳地,所述文件操作行为包括但不限于读写文件操作,修改文件属性操作,删除文件操作,和创建文件操作。较佳地,所述安全存储部件为以上所述安全存储部件可以是具有强制访问控制授权的硬盘存储部件,也可以是具有强制访问授权控制的芯片存储部件,还可以是具有访问控制机制的内存部件。较佳地,所述安全存储部件为安全芯片,或具有安全保护功能的硬盘,或具有访问控制功能的flash存储器。本发明预先在操作系统内设置可信文件验证模块、可信进程内存代码验证模块,加载并运行安全的操作系统,由可信文件验证模块截获所有文件操作行为,如果是对可信任文件的操作行为,则根据该文件操作类型进行处理,如果是对不可信任文件的操作行为,则对该文件验证合格后,再对文件进行操作处理;可信进程内存代码验证模块定时验证所有进程代码的运行状态和完整性是否正常,如果不正常,则发出警告,保存该进程运行的现场数据后,关闭此进程,否则继续正常运行。应用本发明,基于可信计算机硬件平台,从操作系统启动开始,对操作系统内核、应用文件及进程本身是否受到攻击进行检测与恢复,而不是通过病毒库、规则库等信息检测是否存在病毒,这样,无论是否存在已知或未知病毒的攻击,都能够确保计算机中运行环境的安全与可信,从而为用户提供了可信任的运行环境,而用户只需确定需要确保安全的文件及数据即可,方便了应用,且实现成本低。图1所示为应用本发明一实施例的加载并运行操作系统的流程示意图;图2所示为可信文件验证模块对当前待操作文件进行验证的流程示意图;图3所示为可信进程内存代码验证模块验证对进程代码进行验证的流程示意图;图4所示为由物理开关控制修改操作有效的示意图。具体实施例方式下面结合附图对本发明进行详细说明。本发明的思路是基于可信的计算机硬件平台,通过对操作系统、应用软件和进程的全面验证,建立信任链,为用户提供已证明的可信任的运行环境。图1所示为应用本发明一实施例的加载并运行操作系统的流程示意图。在本实施例中,预先在计算机内的底层固件中设置具备磁盘管理功能和文件管理功能的基本文件管理系统,以及可信操作系统基础软件完整性验证恢复模块,该模块用于验证操作系统中涉及启动的核心文件。在计算机的安全存储部件内设置根据系统运行的需要以及用户的需要确定的所有需要确保安全的数据及其完整性值,该需要确保安全的数据包括底层固件,如BIOS,操作系统,各种应用软件和文件等数据,以及磁盘参数。设置可信文件列表,该可信文件列表内包含用户预先指定的操作系统核心文件,涉及启动的文件,及用户需要保护的应用软件的文件名。具体加载并运行操作系统的过程包括以下步骤步骤101,对计算机内的底层固件验证成功并启动后,由底层固件验证基本文件管理系统的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果一致,则执行步骤102,否则,停止系统启动。步骤102~步骤103,底层固件启动该基本文件管理系统,由基本文件管理系统启动可信操作系统基础软件完整性验证恢复模块。步骤104,由该可信操作系统基础软件完整性验证恢复模块从磁盘扇区中读取磁盘参数,验证该磁盘参数的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则执行步骤106,否则,执行步骤105。上述磁盘参数包括但不限于主引导扇区参数、分区引导扇区参数以及文件分配表(FATfileallocationtable)参数。步骤105,可信操作系统基础软件完整性验证恢复模块从安全存储部件中取出预先存储的磁盘数据,将其覆盖当前的磁盘扇区的参数后,执行步骤106。步骤106,可信操作系统基础软件完整性验证恢复模块验证可信文件列表的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则执行步骤108,否则,执行步骤107。步骤107,可信操作系统基础软件完整性验证恢复模块从安全存储部件中取出预先存储的可信文件列表,覆盖当前的可信文件列表,然后执行步骤108。步骤108,可信操作系统基础软件完整性验证恢复模块读取可信文件列表中的操作系统内核文件,验证该操作系统内核文件的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则执行步骤110,否则,执行步骤109。步骤109,可信操作系统基础软件完整性验证恢复模块从安全存储部件中取出预先存储的操作系统内核文件覆盖当前的操作系统内核文件后,执行步骤110。步骤110,装载并运行操作系统。至此,可确保已运行的操作系统是安全的。在上述实施例中基本文件管理系统设置在底层固件中,这样可以提高计算机启动引导的速度。当然,基本文件管理系统也可以设置在安全存储部件中,或操作系统中。可信文件列表可以设置在安全存储部件中,也可以设置在操作系统中。在操作系统正常运行后,启动可信文件验证模块对当前待操作文件进行验证,启动可信进程内存代码验证模块对所有进程代码的运行状态和完整性进行验证,以确保计算机运行环境的安全。下面分别说明可信文件验证模块和可信进程内存代码验证模块的验证方法。图2所示为可信文件验证模块对当前待操作文件进行验证的流程示意图。步骤201,可信文件验证模块截获所有文件操作行为,该文件操作行为包括读写文件,修改文件属性,删除文件,创建文件等。步骤202,检查当前要操作的文件是否为可信文件列表中的文件,是则执行步骤203,否则,执行步骤208。步骤203,检查所截获文件操作行为的操作类型,如果是读操作,则执行步骤204,如果是修改操作,则执行步骤207。步骤204,验证该当前待操作文件的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则执行步骤206,否则执行步骤205。步骤205,从安全存储部件中取出预先存储的该可信任文件,覆盖当前文件。步骤206,加载该当前待操作文件到内存中,允许访问者执行读操作,结束本流程。步骤207,检查计算机当前处于安全状态后,允许访问者修改可信文件列表,之后,重新计算可信文件列表和修改后文件的完整性值,并将该新的可信文件列表的完整性值和修改后该文件的完整性值存储在安全存储部件中,结束本流程。上述修改操作包括但不限于写操作、和/或属性修改操作,和/或删除操作,和/或创建新文件;检查计算机当前处于安全状态的过程为检测计算机当前是否与网络没有物理连接,且可信文件列表当前处于修改操作有效的状态。所谓修改操作有效的状态即使计算机上的安全物理开关处于有效状态。参见图4,图4所示为由物理开关控制修改操作有效的示意图。设置一使修改操作有效的物理开关,该物理开关一端接地,另一端联结在计算机主板的I/O控制模块上,该I/O控制模块可以在芯片组中实现,也可以在CPU中实现。物理开关与I/O控制模块之间的接口可以是GPIO,串口,并口或USB口,但并不限于此。在检查可信文件列表当前是否处于修改操作有效的状态时,从物理开关所在的I/O地址读取该物理开关的“开”或“关”的状态,如果该物理开关处于“关”的状态,则可信文件列表当前处于修改操作有效的状态,如果该物理开关处于“开”的状态,则可信文件列表当前处于修改操作无效的状态。步骤208,对不可信任文件进行病毒检测完毕后,将该不可信任文件所对应的进程加载到虚拟机中,由虚拟机监视该进程的行为,如果发现该进程存在非法行为,则报警,并关闭该进程,否则,允许访问者对该文件进行操作。上述虚拟机是运行在本计算机上的一个软件,该虚拟机软件模拟正常计算机的对该进程的行为进行监视。上述非法行为至少包括对操作系统文件进行非法修改操作、和/或对磁盘参数进行非法修改操作、和/或内存访问非法越界、和/或执行非法跳转操作。图3所示为可信进程内存代码验证模块验证对进程代码进行验证的流程示意图。步骤301,文件经验证确认为可信任文件后,在可信任文件首次加载到内存时,计算该文件所对应进程的进程代码在内存中的完整性值,并将该完整性值存储在安全存储部件中。步骤302,可信进程内存代码验证模块定时检查在内存中所有进程的运行状态和进程代码的完整性是否正常,如果不正常,则执行步骤303,否则,继续正常执行,并定时重复执行步骤302。上述验证所有进程代码的运行状态是否正常的过程为检查进程程序指针是否超越进程规定的物理内存地址,和/或进程代码是否跨越规定的物理内存地址;上述验证所有进程代码的完整性是否正常的方法为验证当前所有进程代码的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则进程代码正常,否则不正常。其中,检查进程程序指针是否超越进程规定的物理内存地址,和/或进程代码是否跨越规定的物理内存地址的操作,可以由软件模块实现,也可以由CPU和芯片组实现。步骤303,发出警告,保存进程运行的现场数据,关闭此进程。之后,可以将该进程所对应的文件再次经可信文件验证模块验证后,重新装载该文件到内存中,并重新计算该文件的进程代码在内存中的完整性值,然后存储该新的完整性值到安全存储部件中,同时,根据上次保存的进程运行的现场数据,使进程恢复到步上次运行的状态。以上所述安全存储部件可以是具有强制访问控制授权的硬盘存储部件,也可以是具有强制访问授权控制的芯片存储部件,还可以是具有访问控制机制的内存部件。上述硬盘存储部件的保护通过硬盘控制逻辑电路完成,与硬盘逻辑分区以及操作系统分区无关。其中,所谓强制访问控制授权是指安全存储部件能够基于口令字对访问者鉴别成功后,允许访问者访问自身;或者,安全存储部件与访问者利用预先共享的一对秘密信息,利用基于hash函数和随机数参与运算的认证协议,完成对访问者的身份认证,且认证成功后允许访问者访问自身。具体的以上所述安全存储部件可以是安全芯片(TPM,TrustedPlatformModule),也可以是具有安全保护功能的硬盘,如具有HPA(HostProtectedArea)的硬盘,还可以是具有访问控制功能的flash存储器。具体有关安全芯片的描述已在本申请人提出的发明名称为“一种安全芯片及基于该芯片的信息安全处理设备和方法”,申请号为“03138380.7”的中国专利中公开,在此不再详细描述,同时在该申请中也已经说明了对计算机内底层固件验证的方法,因此,在步骤101中,也不再详细说明验证底层固件的方法。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。权利要求1.一种建立计算机中可信任运行环境的方法,其特征在于,预先在操作系统内设置可信文件验证模块、可信进程内存代码验证模块,加载并运行安全的操作系统,该方法还包括以下步骤可信文件验证模块截获所有文件操作行为,检查当前待操作文件是否为可信任文件,如果是,则根据该文件操作类型进行处理,如果是不可信任文件,则对该文件验证合格后,再对文件进行操作处理;可信进程内存代码验证模块定时验证所有进程代码的运行状态和完整性是否正常,如果不正常,则发出警告,保存该进程运行的现场数据后,关闭此进程,否则继续正常运行。2.根据权利要求1所述的方法,其特征在于,所述加载并运行安全的操作系统的过程包括预先设置基本文件管理系统,包含用户预先指定的操作系统核心文件,涉及启动的文件,及用户需要保护的应用软件的文件名的可信文件列表,同时,在安全存储部件内设置所有需要确保安全的数据及其完整性值,在计算机的底层固件中设置可信操作系统基础软件完整性验证恢复模块,具体加载并运行操作系统的过程包括以下步骤a、对计算机内的底层固件验证成功并启动后,由底层固件验证基本文件管理系统的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果一致,则底层固件启动该基本文件管理系统,然后执行步骤b,否则停止系统启动;b、基本文件管理系统启动可信操作系统基础软件完整性验证恢复模块,由该可信操作系统基础软件完整性验证恢复模块从磁盘扇区中读取磁盘参数,验证该磁盘参数的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则执行步骤c,否则,可信操作系统基础软件完整性验证恢复模块从安全存储部件中取出预先存储的磁盘数据,将其写到当前的磁盘扇区中后,执行步骤c;c、可信操作系统基础软件完整性验证恢复模块验证可信文件列表的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则执行步骤d,否则,从安全存储部件中取出预先存储的可信文件列表,覆盖当前的可信文件列表,然后执行步骤d;d、可信操作系统基础软件完整性验证恢复模块读取可信文件列表中的操作系统内核文件,验证该操作系统内核文件的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则装载并运行操作系统,否则,从安全存储部件中取出预先存储的操作系统内核文件覆盖当前的操作系统内核文件后,装载并运行操作系统。3.根据权利要求2所述的方法,其特征在于,所述基本文件管理系统位于安全存储部件中,或底层固件中,或操作系统中;所述可信文件列表位于安全存储部件中,或操作系统中。4.根据权利要求2所述的方法,其特征在于,所述安全存储部件内所有需要确保安全的数据是根据系统运行的需要以及用户的需要确定的;所述所有需要确保安全的数据包括但不限于底层固件,操作系统,各种应用软件和文件的数据以及磁盘参数。5.根据权利要求2或4所述的方法,其特征在于,所述磁盘参数包括但不限于主引导扇区参数、分区引导扇区参数以及文件分配表参数。6.根据权利要求2所述的方法,其特征在于,所述可信文件验证模块检查当前待操作文件是否为可信任文件的方法为检查当前待操作文件是否为可信文件列表中的文件,如果是,则当前待操作文件为可信任文件,否则当前待操作文件为不可信任文件。7.根据权利要求6所述的方法,其特征在于,对于可信任文件,根据当前文件操作类型进行处理的过程为检查当前文件操作行为的类型是读操作还是修改操作,如果是读操作,则验证该当前待操作文件的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则加载该当前待操作文件到内存中,允许访问者执行读操作,否则,从安全存储部件中取出预先存储的该可信任文件,覆盖当前文件后,再加载该当前待操作文件到内存中,允许访问者执行读操作;如果是修改操作,则检查计算机当前处于安全状态后,允许访问者修改可信文件列表,之后,重新计算可信文件列表和所修改文件的完整性值,并将该新的可信文件列表的完整性值和修改后该文件的完整性值存储在安全存储部件中。8.根据权利要求7所述的方法,其特征在于,所述修改操作包括但不限于写操作、和/或属性修改操作,和/或删除操作,和/或创建新文件操作;所述安全状态为计算机当前与网络没有物理连接,且可信文件列表当前处于修改操作有效的状态。9.根据权利要求8所述的方法,其特征在于,进一步包括设置一使修改操作有效的物理开关,根据该物理开关的开或关的状态,确定可信文件列表当前是否处于修改操作有效的状态。10.根据权利要求6所述的方法,其特征在于,对于不可信任文件,对该文件验证合格后,再对文件进行操作处理的过程为对不可信任文件进行病毒检测完毕后,将该不可信任文件所对应的进程加载到虚拟机中,由虚拟机监视该进程的行为,如果发现该进程存在非法行为,则报警,并关闭该进程,否则,允许对该文件进行操作处理。11.根据权利要求10所述的方法,其特征在于,所述非法行为至少包括对操作系统文件的非法修改操作、和/或对磁盘的非法修改操作、和/或内存访问非法越界、和/或执行非法跳转操作。12.根据权利要求2所述的方法,其特征在于,所述可信进程内存代码验证模块定时验证所有进程代码的运行状态是否正常的过程为检查进程程序指针是否超越进程规定的物理内存地址,和/或进程代码是否跨越规定的物理内存地址;所述可信进程内存代码验证模块定时验证所有进程代码的完整性是否正常的方法为在文件首次加载到内存时,计算该文件所对应进程的进程代码在内存中的完整性值,并将该完整性值存储在安全存储部件中;可信进程内存代码验证模块定时验证当前所有进程代码的完整性值与预先存储在安全存储部件中的完整性值是否一致,如果是,则进程代码正常,否则不正常。13.根据权利要求12所述的方法,其特征在于,所述可信进程内存代码验证模块验证出进程代码的运行状态和/或完整性不正常后,该方法进一步包括由可信文件验证模块重新对不正常的进程所对应的文件进行验证后,再次加载该文件到内存中,并计算该文件所对应进程在内存中的完整性值,将计算出的完整性值存储到安全存储部件中,之后,根据上次保存的进程运行的现场数据,使该进程恢复到上次运行的状态。14.根据权利要求1所述的方法,其特征在于,所述文件操作行为包括但不限于读写文件操作,修改文件属性操作,删除文件操作,和创建文件操作。15.根据权利要求2、3、4、7、12所述的方法,其特征在于,所述安全存储部件为以上所述安全存储部件可以是具有强制访问控制授权的硬盘存储部件,也可以是具有强制访问授权控制的芯片存储部件,还可以是具有访问控制机制的内存部件。16.根据权利要求2、3、4、7、12所述的方法,其特征在于,所述安全存储部件为安全芯片,或具有安全保护功能的硬盘,或具有访问控制功能的flash存储器。全文摘要本发明公开了一种建立计算机中可信任运行环境的方法,关键是在操作系统内设置可信文件验证模块、可信进程内存代码验证模块,加载并运行安全的操作系统。可信文件验证模块截获所有文件操作行为,如是对可信任文件的操作行为,则根据该文件操作类型进行处理,如是对不可信文件的操作行为,则对该文件验证合格后再对文件进行操作;可信进程内存代码验证模块定时验证所有进程代码的运行状态和完整性是否正常,如不正常则发警告,保存该进程运行的现场数据后,关闭此进程并修复,否则正常运行。应用本发明,对文件及进程本身是否受到攻击进行检测,这样无论是否存在已知或未知病毒的攻击,都能确保计算机运行环境的安全,且方便用户应用,实现成本低。文档编号G06F1/00GK1702590SQ20041009557公开日2005年11月30日申请日期2004年12月2日优先权日2004年12月2日发明者韦卫,彭朝然,尹萍,刘永华申请人:联想(北京)有限公司