一種基于uefi的終端管理系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)安全技術(shù)領(lǐng)域,涉及一種基于UEFI固件�,在開(kāi)機(jī)引導(dǎo)過(guò)程和操作系統(tǒng)運(yùn)行的過(guò)程中,通過(guò)固件層對(duì)計(jì)算機(jī)終端進(jìn)行管理的方法���。
【背景技術(shù)】
[0002]目前�����,在計(jì)算機(jī)安全領(lǐng)域���,對(duì)計(jì)算機(jī)終端進(jìn)行管理的方法主要是通過(guò)在操作系統(tǒng)中運(yùn)行的終端管理程序執(zhí)行既定策略實(shí)現(xiàn)對(duì)終端的管理。終端可以執(zhí)行存儲(chǔ)在本地的策略��,可以執(zhí)行通過(guò)網(wǎng)絡(luò)傳輸?shù)墓芾聿呗浴?br>[0003]通過(guò)在操作系統(tǒng)中運(yùn)行的終端管理程序執(zhí)行對(duì)終端的管理有著以下的不足����,主要包括:
[0004](I)在計(jì)算設(shè)備更換硬盤(pán)、Flash等存儲(chǔ)被保護(hù)程序的裝置后,將不能自動(dòng)地重新安裝和恢復(fù)終端管理程序����。
[0005](2)在對(duì)硬盤(pán)、Flash等被保護(hù)程序的存儲(chǔ)空間進(jìn)行重新分區(qū)后����,計(jì)算設(shè)備將不能自動(dòng)地重新安裝和恢復(fù)終端管理程序。
[0006](3)在對(duì)硬盤(pán)����、Flash等被保護(hù)程序的存儲(chǔ)空間進(jìn)行格式化后,計(jì)算設(shè)備將不能自動(dòng)地重新安裝和恢復(fù)終端管理程序�。
[0007](4)當(dāng)被保護(hù)軟件不屬于操作系統(tǒng)自帶軟件的情況下,在計(jì)算設(shè)備重新安裝操作系統(tǒng)后���,將不能自動(dòng)地重新安裝和恢復(fù)終端管理程序��。
[0008](5)不能阻止合法的終端使用用戶(hù)非法地卸載本終端上運(yùn)行的終端管理程序���。
[0009](6)當(dāng)終端的操作系統(tǒng)中的終端管理程序被病毒或木馬篡改和刪除后,將不能合法地啟動(dòng)和運(yùn)行��。
[0010](7)不能在操作系統(tǒng)啟動(dòng)前��,確定終端管理程序文件是否存在。如果該程序文件不存在���,則終端將無(wú)法通過(guò)終端管理程序進(jìn)行管理和保護(hù)���。
[0011](8)不能夠在操作系統(tǒng)啟動(dòng)前�,對(duì)終端進(jìn)行身份驗(yàn)證。
【發(fā)明內(nèi)容】
[0012]本發(fā)明的目的是為了克服已有技術(shù)的缺陷�,為了解決在更換硬盤(pán)、重新分區(qū)時(shí)�,無(wú)法自動(dòng)恢復(fù)終端管理客戶(hù)端的問(wèn)題,提出一種基于固件的終端管理系統(tǒng)和方法�����。
[0013]一種基于UEFI的終端管理系統(tǒng)���,所述系統(tǒng)包括終端管理驅(qū)動(dòng)模塊�����、終端管理客戶(hù)端主程序和終端管理服務(wù)端���;
[0014]所述終端管理驅(qū)動(dòng)模塊是符合UEFI規(guī)范的,駐守在固件層的驅(qū)動(dòng)程序;該驅(qū)動(dòng)模塊能夠在開(kāi)機(jī)過(guò)程中生成終端標(biāo)識(shí)��,并將終端發(fā)送到服務(wù)端進(jìn)行身份驗(yàn)證���,能夠執(zhí)行在本地終端或通過(guò)網(wǎng)絡(luò)接收的終端安全保護(hù)策略����;同時(shí)��,終端管理驅(qū)動(dòng)模塊可以執(zhí)行對(duì)終端管理客戶(hù)端主程序的實(shí)時(shí)守護(hù)���,包括在開(kāi)機(jī)階段和操作系統(tǒng)運(yùn)行階段�����;當(dāng)終端管理客戶(hù)端主程序的程序文件被篡改或刪除時(shí)�����,終端管理驅(qū)動(dòng)模塊可以執(zhí)行對(duì)終端管理客戶(hù)端主程序的自動(dòng)恢復(fù)��;
[0015]所述終端管理客戶(hù)端主程序運(yùn)行于操作系統(tǒng)中����,通過(guò)接口與終端管理驅(qū)動(dòng)模塊實(shí)現(xiàn)實(shí)時(shí)的守護(hù),能夠保證客戶(hù)端主程序的正確運(yùn)行��;終端管理客戶(hù)端主程序包括指令解析子模塊����、指令執(zhí)行子模塊、通信接口子模塊��、加/解密子模塊����;其中���,通信接口子模塊用于完成終端管理指令的交互功能����;加/解密子模塊用于完成對(duì)傳輸信息加/解密�;指令解析子模塊用于識(shí)別服務(wù)器傳輸指令或本地保存的策略;指令執(zhí)行子模塊用于執(zhí)行指令解析子模塊識(shí)別的終端管理指令���;
[0016]終端管理系統(tǒng)服務(wù)端提供終端信息管理服務(wù)�、終端策略管理服務(wù)和網(wǎng)絡(luò)通信服務(wù)�����,能夠?qū)νㄟ^(guò)網(wǎng)絡(luò)發(fā)送終端管理指令和軟件更新。
[0017]一種基于UEFI的終端管理系統(tǒng)的實(shí)現(xiàn)方法���,其實(shí)現(xiàn)步驟如下:
[0018]步驟一�、開(kāi)機(jī)上電后�����,在UEFI引導(dǎo)階段中�,加載相應(yīng)的驅(qū)動(dòng);
[0019]步驟二�、加載終端管理驅(qū)動(dòng)模塊;
[0020]步驟三�����、終端管理驅(qū)動(dòng)模塊檢測(cè)是否有需要執(zhí)行的本地策略����;如果有則執(zhí)行本地終端安全管理策略,該流程結(jié)束����;否則��,轉(zhuǎn)入步驟四�;
[0021]步驟四�����、終端管理驅(qū)動(dòng)模塊生成終端標(biāo)識(shí)��,并發(fā)送到服務(wù)端�;
[0022]步驟五、檢測(cè)是否該終端通過(guò)了身份驗(yàn)證���;如果未通過(guò)身份認(rèn)證��,則執(zhí)行本地終端安全管理策略,該流程結(jié)束���;如果通過(guò)身份認(rèn)證���,則轉(zhuǎn)入步驟六;
[0023]步驟六����、終端管理驅(qū)動(dòng)模塊對(duì)硬盤(pán)中的終端管理客戶(hù)端主程序文件進(jìn)行檢測(cè)�,查看是否被篡改和刪除��,如果文件異常則進(jìn)行恢復(fù)��;
[0024]步驟七��、操作系統(tǒng)啟動(dòng)后��,終端管理客戶(hù)端主程序隨操作系統(tǒng)自啟動(dòng)�;
[0025]步驟八、終端管理客戶(hù)端主程序檢測(cè)是否需要執(zhí)行本地策略�����;如果需要����,則執(zhí)行本地安全管理策略;否則�,轉(zhuǎn)入步驟九;
[0026]步驟九����、終端管理主程序?qū)⒔K端狀態(tài)發(fā)送到服務(wù)端;
[0027]步驟十��、終端管理客戶(hù)端主程序與終端管理服務(wù)端進(jìn)行通信,檢測(cè)是否需要對(duì)終端進(jìn)行控制�;如果需要?jiǎng)t轉(zhuǎn)入步驟十一,否則轉(zhuǎn)入步驟十四���;
[0028]步驟十一���、終端管理客戶(hù)端主程序從服務(wù)器端下載相應(yīng)的終端管理控制指令并進(jìn)行解析;
[0029]步驟十二���、終端管理客戶(hù)端主程序執(zhí)行終端管理控制指令����;
[0030]步驟十三����、終端管理客戶(hù)端主程序?qū)?zhí)行結(jié)果回傳到服務(wù)端���;
[0031]步驟十四���、檢測(cè)是否收到終端管理客戶(hù)端主程序停止運(yùn)行指令,如果收到�����,則終端管理流程結(jié)束,否則���,轉(zhuǎn)入步驟九�����。
[0032]有益效果:
[0033]1�����、在計(jì)算設(shè)備更換硬盤(pán)�����、Flash等存儲(chǔ)被保護(hù)程序的裝置后��,能夠自動(dòng)地重新安裝和恢復(fù)終端管理程序�。
[0034]2���、在對(duì)硬盤(pán)�����、Flash等被保護(hù)程序的存儲(chǔ)空間進(jìn)行重新分區(qū)后����,計(jì)算設(shè)備能夠自動(dòng)地重新安裝和恢復(fù)終端管理程序。
[0035]3�、在對(duì)硬盤(pán)、Flash等被保護(hù)程序的存儲(chǔ)空間進(jìn)行格式化后���,計(jì)算設(shè)備能夠自動(dòng)地重新安裝和恢復(fù)終端管理程序�。
[0036]4���、當(dāng)被保護(hù)軟件不屬于操作系統(tǒng)自帶軟件的情況下�,在計(jì)算設(shè)備重新安裝操作系統(tǒng)后�����,能夠自動(dòng)地重新安裝和恢復(fù)終端管理程序�����。
[0037]5���、能夠阻止合法的終端使用用戶(hù)非法地卸載本終端上運(yùn)行的終端管理程序����。
[0038]6��、當(dāng)終端的操作系統(tǒng)中的終端管理程序被病毒或木馬篡改和刪除后�,能夠合法地啟動(dòng)和運(yùn)行。
[0039]7�、能夠在操作系統(tǒng)啟動(dòng)前,確定終端管理程序文件是否存在���。如果該程序文件不存在����,則終端將無(wú)法通過(guò)終端管理程序進(jìn)行管理和保護(hù)�����。
[0040]8����、能夠在操作系統(tǒng)啟動(dòng)前,對(duì)終端進(jìn)行身份驗(yàn)證。
【附圖說(shuō)明】
[0041]圖1為本發(fā)明的總體框架結(jié)構(gòu)示意圖��;
[0042]圖2為本發(fā)明終端管理驅(qū)動(dòng)模塊和客戶(hù)端主程序流程圖。
【具體實(shí)施方式】
[0043]下面結(jié)合附圖并舉實(shí)施例�����,對(duì)本發(fā)明進(jìn)行詳細(xì)描述�����。
[0044]如附圖1所示���,本發(fā)明提供了一種基于固件的終端管理系統(tǒng)�,所述系統(tǒng)包括終端管理驅(qū)動(dòng)模塊���、終端管理客戶(hù)端主程序和終端管理服務(wù)端��;
[0045]所述終端管理驅(qū)動(dòng)模塊是符合UEFI規(guī)范的�����,駐守在固件層的驅(qū)動(dòng)程序����;該驅(qū)動(dòng)模塊能夠在開(kāi)機(jī)過(guò)程中生成終端標(biāo)識(shí)�����,并將終端發(fā)送到服務(wù)端進(jìn)行身份驗(yàn)證�����,能夠執(zhí)行在本地終端或通過(guò)網(wǎng)絡(luò)接收的終端安全保護(hù)策略���;同時(shí)�,終端管理驅(qū)動(dòng)模塊可以執(zhí)行對(duì)終端管理客戶(hù)端主程序的實(shí)時(shí)守護(hù)��,包括在開(kāi)機(jī)階段和操作系統(tǒng)運(yùn)行階段��;當(dāng)終端管理客戶(hù)端主程序的程序文件被篡改或刪除時(shí)����,終端管理驅(qū)動(dòng)模塊可以執(zhí)行對(duì)終端管理客戶(hù)端主程序的自動(dòng)恢復(fù);