[发明专利]一种基于UEFI的可执行程序文件保护系统和方法

说明书

本发明公开了一种基于UEFI的可执行程序文件保护系统和方法，属于计算机安全技术领域。系统包括文件守护程序驱动模块和文件守护服务端。文件守护程序驱动模块的作用是在开机过程中，对操作系统中的特定文件进行完整性度量和恢复；文件守护服务端的主要作用是提供被保护文件的分发，将被保护文件推送到客户端，由客户端进行文件保护；文件保护系统还可以对被保护文件或文件保护程序驱动程序进行更新，UEFI固件对操作系统中可执行程序文件进行可信度量、可信恢复为基础，能够在开机引导过程中，对操作系统中的文件进行完整性度量，并在发现文件异常时可以进行恢复。本发明可以应用于软件厂商、整机厂商或设备厂商对关键程序的文件进行保护。

技术领域

本发明属于计算机安全领域，具体涉及一种基于UEFI固件，在开机过程中，对计算机设备操作系统内的文件，特别是可执行程序的文件进行保护的方法。

背景技术

目前，在计算机安全领域，操作系统中的文件主要通过特定的软件方法进行保护，如在本地硬盘建立文件保护分区，或操作系统层的文件加密等。或将文件备份到外部存储设备，需要使用时进行恢复。也有建立互补备份区，相互检查彼此分区文件是否完整，如果不完整，将会对文件进行同步。

在操作系统层对文件进行保护，特别是对关键可执行程序的文件进行保护，有着以下的不足，主要包括：

(1)在计算设备更换硬盘、Flash等存储被保护程序的装置后，将不能自动地重新恢复被保护文件，特别是关键可执行程序的文件。

(2)在对硬盘、Flash等被保护程序的存储空间进行重新分区后，计算设备将不能自动地恢复被保护文件，特别是关键可执行程序的文件。

(3)在对硬盘、Flash等被保护程序的存储空间进行格式化后，计算设备将不能自动地重新恢复被保护文件，特别是关键可执行程序的文件。

(4)当被保护可执行程序文件不属于操作系统自带软件的情况下，在计算设备重新安装操作系统后，将不能自动地重新恢复被保护程序文件。

(5)不能阻止合法的终端使用用户非法地删除本地终端上的关键文件。

(6)当终端的操作系统中的特定软件文件被病毒或木马篡改和删除后，将不能自动地进行恢复。

(7)不能在操作系统启动前，确定操作系统中特定的关键文件，特别是可执行程序文件是否存在。

发明内容

本发明的目的是为了克服已有技术的缺陷，提出一种基于UEFI的可执行程序文件保护系统和方法，能解决在更换硬盘、Flash等存储空间的情况下，在开机过程中，无法恢复被保护文件、特别是关键程序文件的问题。

一种基于UEFI的可执行程序文件保护系统，系统包括文件守护程序驱动模块和文件守护服务端。

所述文件守护程序驱动模块的作用是在开机过程中，对操作系统中的特定文件进行完整性度量和恢复；文件守护驱动模块是符合UEFI规范的固件模块，包括环境加载和安装器子模块、文件检测器子模块和被保护文件。其中，环境加载和安装器子模块是在开机过程中加载相应的驱动，建立文件检测器子模块的运行环境；文件检测器子模块的作用是在操作系统启动时，对计算设备的硬盘或Flash等存储空间中的特定文件进行检测，如果发现文件被篡改或删除，将释放储存在固件中的被保护文件到硬盘或Flash中。

所述文件守护服务端的作用是提供被保护文件的分发，将被保护文件推送到客户端，由客户端进行文件保护；文件保护系统还可以对被保护文件或文件保护程序驱动程序进行更新，更新的方式包括用网络或外部存储设备(如U盘、CD-ROM)。文件保护系统的服务端可以通过网络，将新的被保护文件发送到客户端设备，更新被保护文件。

一种基于UEFI的可执行程序文件保护方法，其实现步骤如下：