固件层的驱动程序,该驱动模块能够提供对动态绑定保护系统客户端主程序的实时保护;
[0042]第三方动态绑定保护系统客户端主程序运行于操作系统中,通过固件层与操作系统层的接口实现软件的实时守护,能够保证客户端主程序的文件不会被篡改和删除,并且能够保证客户端主程序的正确运行;第三方动态绑定保护系统客户端包括第三方软件接口子模块、软件安全守护子模块、通信接口子模块、加/解密子模块、状态接口子模块、定时子模块;客户端主程序通过第三方软件接口子模块,与第三方软件形成保护绑定功能,能够为第三方保护程序提供防止文件篡改、文件删除,保证第三方程序不会被异常中止并正确运行;软件安全守护子模块将通过第三方软件接口子模块监控第三方软件的运行状态,并保护第三方软件不会被中止或关闭;通信接口子模块用于客户端主程序与服务端进行数据交互;加/解密子模块用于对数据进行加密和解密;安全策略子模块用于存储对第三方软件的保护策略;定时子模块用于在既定周期内调用软件动态保护驱动模块;
[0043]所述软件动态绑定保护系统服务端包括软件及特征值仓库服务、软件保护策略管理服务和网络通信服务;软件及特征值仓库服务用于向客户端软件分发、特征值管理,能够在第三方保护程序被篡改和删除时,通过网络对第三方保护程序进行恢复;软件保护策略管理用于设定终端的安全保护策略;网络通信服务用于提供通信支持。
[0044]本发明在应用前,需要在计算机终端先行部署,可以选用的方法包括:
[0045](I)在UEFI核心镜像中添加驱动模块。
[0046](2)在UEFI核心镜像中挂载Opt1n ROM模块。
[0047](3)在可信卡等其他外围设备中挂载驱动模块。
[0048]如附图2所示,本发明实现的步骤如下,
[0049]步骤一、开机上电后,在UEFI引导阶段中,加载相应的驱动;
[0050]步骤二、动态绑定保护驱动模块在固件层对硬盘中的客户端主程序文件进行检测,查看是否被篡改和删除,如果文件异常则进行恢复;如果文件正确,转入下一步;
[0051]步骤三、操作系统启动;
[0052]步骤四、客户端主程序随操作系统自启动;
[0053]步骤五、客户端主程序与服务端进行通信,检测是否需要对被保护第三方软件进行更新;如果需要更新则从服务器下载;如果不需要更新则转入下一步;
[0054]步骤六、客户端主程序检测第三方软件是否安装并且被绑定和守护;如果已经被绑定保护则转入下一步;否则从服务端下载或从本地恢复软件;
[0055]步骤七、客户端主程序根据配置文件对第三方软件文件进行完整性度量;
[0056]步骤八、如果被保护文件完整,则转入下一步;如果文件不完整则通过服务端或本地进行恢复;
[0057]步骤九、检测被保护软件是否运行;如果已经运行则转入步骤十,否则根据配置文件重启被保护程序;
[0058]步骤十、检测被保护软件运行状态是否正确;如果运行状态正确,转入下一步;如果运行状态不正确,则通过服务端或本地对被保护软件进行恢复和重启;
[0059]步骤十一、检测是否收到停止指令,如果未收到停止指令,则转入步骤七;如果收到停止指令,则保护流程结束。
[0060]综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种基于UEFI的安全软件保护接口装置,其特征在于,所述接口装置包括符合UEFI固件规范的动态绑定保护驱动模块、运行于操作系统的第三方动态绑定保护系统客户端主程序、软件动态绑定保护系统服务端三个部分; 所述动态绑定保护驱动模块是符合UEFI规范的,驻守在固件层的驱动程序,该驱动模块能够提供对动态绑定保护系统客户端王程序的实时保护; 所述第三方动态绑定保护系统客户端主程序运行于操作系统中,通过固件层与操作系统层的接口实现软件的实时守护,能够保证客户端主程序的文件不会被篡改和删除,并且能够保证客户端主程序的正确运行;第三方动态绑定保护系统客户端包括第三方软件接口子模块、软件安全守护子模块、通信接口子模块、加/解密子模块、状态接口子模块、定时子模块;客户端主程序通过第三方软件接口子模块,与第三方软件形成保护绑定功能,能够为第三方保护程序提供防止文件篡改、文件删除,保证第三方程序不会被异常中止并正确运行;软件安全守护子模块将通过第三方软件接口子模块监控第三方软件的运行状态,并保护第三方软件不会被中止或关闭;通信接口子模块用于客户端主程序与服务端进行数据交互;加/解密子模块用于对数据进行加密和解密;安全策略子模块用于存储对第三方软件的保护策略;定时子模块用于在既定周期内调用软件动态保护驱动模块; 所述软件动态绑定保护系统服务端包括软件及特征值仓库服务、软件保护策略管理服务和网络通信服务;软件及特征值仓库服务用于向客户端软件分发、特征值管理,能够在第三方保护程序被篡改和删除时,通过网络对第三方保护程序进行恢复;软件保护策略管理用于设定终端的安全保护策略;网络通信服务用于提供通信支持。
2.如权利要求1所述的基于UEFI的安全软件保护接口装置,其特征在于,实现步骤如下: 步骤一、开机上电后,在UEFI引导阶段中,加载相应的驱动; 步骤二、动态绑定保护驱动模块在固件层对硬盘中的客户端主程序文件进行检测,查看是否被篡改和删除,如果文件异常则进行恢复;如果文件正确,转入下一步; 步骤三、操作系统启动; 步骤四、客户端主程序随操作系统自启动; 步骤五、客户端主程序与服务端进行通信,检测是否需要对被保护第三方软件进行更新;如果需要更新则从服务器下载;如果不需要更新则转入下一步; 步骤六、客户端主程序检测第三方软件是否安装并且被绑定和守护;如果已经被绑定保护则转入下一步;否则从服务端下载或从本地恢复软件; 步骤七、客户端主程序根据配置文件对第三方软件文件进行完整性度量; 步骤八、如果被保护文件完整,则转入下一步;如果文件不完整则通过服务端或本地进行恢复; 步骤九、检测被保护软件是否运行;如果已经运行则转入步骤十,否则根据配置文件重启被保护程序; 步骤十、检测被保护软件运行状态是否正确;如果运行状态正确,转入下一步;如果运行状态不正确,则通过服务端或本地对被保护软件进行恢复和重启; 步骤十一、检测是否收到停止指令,如果未收到停止指令,则转入步骤七;如果收到停止指令,则保护流程结束。
【专利摘要】本发明公开了一种基于UEFI的安全软件保护接口装置和方法,属于计算机安全技术领域。接口装置包括符合UEFI固件规范的动态绑定保护驱动模块、运行于操作系统的第三方动态绑定保护系统客户端主程序和软件动态绑定保护系统服务端;动态绑定保护驱动模块提供对动态绑定保护系统客户端主程序的实时保护;第三方动态绑定保护系统客户端主程序通过固件层与操作系统层的接口实现软件的实时守护,能够保证客户端主程序的文件不会被篡改和删除,且能保证客户端主程序的正确运行;软件动态绑定保护系统服务端包括软件及特征值仓库服务、软件保护策略管理服务和网络通信服务;本发明能够解决在更换硬盘、重新分区无法保护第三方软件的问题。
【IPC分类】G06F21-12, G06F21-52
【公开号】CN104573501
【申请号】CN201410457647
【发明人】陈小春, 孙亮, 张超, 朱立森
【申请人】中电科技(北京)有限公司
【公开日】2015年4月29日
【申请日】2014年9月10日