一种BIOS级系统文件度量方法,包括读取硬盘MBR;定位读取超级块扇区数据;计算得到块大小和块组inode(i节点)节点数;计算得到组描述符表起始扇区和扇区数;剖析待度量系统文件的路径;读取待度量系统文件所在父目录的扇区数据;计算读取待度量系统文件所在块的扇区号;计算文件数据所在起始扇区号;输出文件的二进制镜像数据,进行完整性度量;对应于BIOS级系统文件度量方法的系统文件定位索引模块,实现系统文件完整性度量。有效保证了操作系统启动之前核心系统文件的安全性。本发明专利技术通用性强,采取可靠有效的算法实现二进制镜像文件的解析与定位,保证系统文件度量的稳定性和高效性。进一步增强了系统的安全性。
【技术实现步骤摘要】
本专利技术涉及一种BIOS级系统文件度量方法,特别是一种面向Linux操作系统的 BIOS级文件度量方法。
技术介绍
随着计算机的日益普及以及互联网技术的飞速发展,计算机安全控制技术也在不断进步。目前,单机环境下的计算机安全控制技术一般实现于操作系统层面,其实施手段通常有两种,一种是身份认证机制增强,其实现途径是替换操作系统基于口令的认证方式,改为基于硬件介质的双因素认证方式,如智能卡、USBKey等;另一种是安全防护机制增强,其实现途径是在操作系统层面增加防火墙来限制互联网上非法用户的攻击,增加防火墙来防止合法用户进行硬盘数据窃取等。虽然在操作系统层面增加的安全控制措施能够在一定程度上满足人们的安全需求,但同时也暴露出一些问题。一方面,很多计算机并没有在BI0S(Basic Input/Output System)启动阶段设置身份认证过程,因此,非法用户只需要通过简单的技术,如光驱引导、 U盘引导等方式,就能绕开操作系统的安全控制策略进入计算机,获取硬盘中存储的数据文件;另一方面,虽然很多计算机在BIOS系统中设置了基于口令的身份认证手段,但仍然存在一些缺陷,如某些合法用户仍然可以通过可引导设备绕开操作系统的安全控制策略进行硬盘数据窃取;非法用户通过CMOS放电等简单操作即可清除口令;很多计算机厂家对 BIOS系统设置了超级口令,这种超级口令也是一种潜在的安全隐患。另外,如果操作系统的核心系统文件被篡改或删除,也会对系统的安全构成直接威胁,造成信息泄露的可能。而在BIOS系统下无法完成对文件的直接读取,因为文件系统驱动只存在于操作系统之上,因此需要在BIOS中实现对文件的识别来完成对操作系统核心文件的完整性度量功能。
技术实现思路
本专利技术目的在于提供一种基于BIOS的系统文件度量方法,通过对系统文件的二进制镜像文件解析、定位和度量,解决计算机在操作系统启动之前缺乏有效的安全控制措施的问题。本专利技术是采用以下技术手段实现的—种BIOS级系统文件度量方法,包括文件系统结构分析模块、文件数据存储解析模块、待度量系统文件路径解析模块和系统文件定位索引模块。其中文件系统结构分析包括EXT2文件系统结构分析子模块、EXT3文件系统结构分析子模块和EXT4文件系统结构分析子模块。一种BIOS级系统文件度量方法的具体步骤为第一步读取硬盘MBR (主引导记录);对应于BIOS级系统文件度量方法的文件系统结构分析模块,调用系统中断读取硬盘第一个扇区的数据,进行解析,判定主分区的文件系统;第二步定位读取超级块扇区数据;对应于BIOS级系统文件度量方法的文件系统结构分析模块,确认文件系统为 EXT2、EXT3和EXT4中的一种后,调用系统中断读取硬盘超级块的扇区数据;第三步计算得到块大小和块组inode (i节点)节点数;对应于BIOS级系统文件度量方法的文件数据存储解析模块,在超级块特定偏移位置读取数据,计算得到块的大小和每个块组包含的inode节点数;第四步计算得到组描述符表起始扇区和扇区数;对应于BIOS级系统文件度量方法的文件数据存储解析模块,根据块的大小,计算得到组描述符表的起始扇区和扇区数,并调用系统中断读取组描述符表的扇区数据。第五步剖析待度量系统文件的路径;对应于BIOS级系统文件度量方法的待度量系统文件路径解析模块,从根目录开始一层一层解析,定位到待度量系统文件的父目录,直至定位到待度量系统文件为止。第六步读取待度量系统文件所在父目录的扇区数据;对应于BIOS级系统文件度量方法的文件系统结构分析模块,读取待度量系统文件所在父目录的扇区数据,与待度量文件名或目录名进行匹配,从而定位到相应的偏移位置。第七步计算读取待度量系统文件所在块的扇区号;对应于BIOS级系统文件度量方法的系统文件定位索引模块,获取待度量系统文件所对应的inode节点号,计算得到块组号和块组内的节点号,根据块组描述符表,进行转换计算,得到系统文件所在块的扇区号。第八步计算文件数据所在起始扇区号;对应于BIOS级系统文件度量方法的系统文件定位索引模块,根据所得的块组内的节点号和每个inode占用1 字节的特性,得到该文件所在块,进行转换计算,得到文件数据所在起始扇区号。第九步输出文件的二进制镜像数据,进行完整性度量;对应于BIOS级系统文件度量方法的系统文件定位索引模块,根据文件数据所在起始扇区号,按块输出文件的二进制镜像数据,调用可信密码算法,与基准值进行匹配,实现系统文件完整性度量。至此,通过以上各个步骤,有效保证了操作系统启动之前核心系统文件的安全性。本专利技术与现有技术相比,具有以下明显的优势和有益效果1、本专利技术通用性强,既可应用于普通计算机,也可应用于服务器、嵌入式终端等具有BIOS系统的计算机;2、本专利技术采取可靠有效的算法实现二进制镜像文件的解析与定位,保证系统文件度量的稳定性和高效性;3、本专利技术实施于BIOS启动阶段,能够保证操作系统启动之前核心系统文件的安全性,同时不妨碍用户在操作系统层面继续实施其他的安全控制手段,进一步增强系统的安全性。附图说明图1为一种BIOS级系统文件度量方法的流程图;其中,1为文件系统结构分析模块,2为文件数据存储解析模块,3.待度量系统文件路径解析模块,4为系统文件定位索引模块。具体实施例方式以下结合说明书附图对本专利技术的具体实施例加以说明请参阅图1所示,一种BIOS级系统文件度量方法,包括文件系统结构分析模块1、 文件数据存储解析模块2、待度量系统文件路径解析模块3和系统文件定位索引模块4。其中文件系统结构分析模块1包括EXT2文件系统结构分析子模块、EXT3文件系统结构分析子模块和EXT4文件系统结构分析子模块。一种基于BIOS的计算机安全控制方法的具体步骤为第一步读取硬盘MBR对应于BIOS级系统文件度量方法的文件系统结构分析模块1,调用系统中断读取硬盘第一个扇区的数据,进行解析,判定主分区的文件系统;第二步定位读取超级块扇区数据对应于BIOS级系统文件度量方法的文件系统结构分析模块1,确认文件系统为 EXT2、EXT3和EXT4中的一种后,调用系统中断读取硬盘超级块的扇区数据;第三步计算得到块大小和块组inode节点数对应于BIOS级系统文件度量方法的文件数据存储解析模块2,在超级块特定偏移位置读取数据,计算得到块的大小和每个块组包含的inode节点数;第四步计算得到组描述符表起始扇区和扇区数对应于BIOS级系统文件度量方法的文件数据存储解析模块2,根据块的大小,计算得到组描述符表的起始扇区和扇区数,并调用系统中断读取组描述符表的扇区数据。第五步剖析待度量系统文件的路径对应于BIOS级系统文件度量方法的待度量系统文件路径解析模块3,从根目录开始一层一层解析,定位到待度量系统文件的父目录,直至定位到待度量系统文件为止。第六步读取待度量系统文件所在父目录的扇区数据对应于BIOS级系统文件度量方法的文件系统结构分析模块1,读取待度量系统文件所在父目录的扇区数据,与待度量文件名(或目录名)进行匹配,从而定位到相应的偏移位置。第七步计算读取待度量系统文件所在块的扇区号对应于BIOS级系统文件度量方法的系统文件定位索引模块4,获取待度量系统文件所对应的inode节点号,计算得到块组号和块组内的节点号,本文档来自技高网...
【技术保护点】
1.一种BIOS级系统文件的度量方法,包括文件系统结构分析(1)、文件数据存储解析(2)、待度量系统文件路径解析(3)和系统文件定位索引(4);其特征在于包括以下步骤:步骤1:读取硬盘MBR;对应于BIOS级系统文件度量方法的文件系统结构分析模块(1),调用系统中断读取硬盘第一个扇区的数据,进行解析,判定主分区的文件系统;步骤2:定位读取超级块扇区数据;对应于BIOS级系统文件度量方法的文件系统结构分析模块(1),确认文件系统为EXT2、EXT3和EXT4中的一种后,调用系统中断读取硬盘超级块的扇区数据;步骤3:计算得到块大小和块组inode节点数;对应于BIOS级系统文件度量方法的文件数据存储解析模块(2),在超级块特定偏移位置读取数据,计算得到块的大小和每个块组包含的inode节点数;步骤4:计算得到组描述符表起始扇区和扇区数;对应于BIOS级系统文件度量方法的文件数据存储解析模块(2),根据块的大小,计算得到组描述符表的起始扇区和扇区数,并调用系统中断读取组描述符表的扇区数据;步骤5:剖析待度量系统文件的路径;对应于BIOS级系统文件度量方法的待度量系统文件路径解析模块(3),从根目录开始一层一层解析,定位到待度量系统文件的父目录,直至定位到待度量系统文件为止;步骤6:读取待度量系统文件所在父目录的扇区数据;对应于BIOS级系统文件度量方法的文件系统结构分析模块(1),读取待度量系统文件所在父目录的扇区数据,与待度量文件名(或目录名)进行匹配,从而定位到相应的偏移位置;步骤7:计算读取待度量系统文件所在块的扇区号;对应于BIOS级系统文件度量方法的系统文件定位索引模块(4),获取待度量系统文件所对应的inode节点号,计算得到块组号和块组内的节点号,根据块组描述符表,进行转换计算,得到系统文件所在块的扇区号;步骤8:计算文件数据所在起始扇区号;对应于BIOS级系统文件度量方法的系统文件定位索引模块(4),根据所得的块组内的节点号和每个inode占用128字节的特性,得到该文件所在块,进行转换计算,得到文件数据所在起始扇区号;步骤9:输出文件的二进制镜像数据,进行完整性度量;对应于BIOS级系统文件度量方法的系统文件定位索引模块(4),根据文件数据所在起始扇区号,按块输出文件的二进制镜像数据,调用可信密码算法,与基准值进行匹配,实现系统文件完整性度量。...
【技术特征摘要】
1. 一种BIOS级系统文件的度量方法,包括文件系统结构分析(1)、文件数据存储解析 O)、待度量系统文件路径解析C3)和系统文件定位索引(4);其特征在于包括以下步骤 步骤1 读取硬盘MBR;对应于BIOS级系统文件度量方法的文件系统结构分析模块(1),调用系统中断读取硬盘第一个扇区的数据,进行解析,判定主分区的文件系统; 步骤2 定位读取超级块扇区数据;对应于BIOS级系统文件度量方法的文件系统结构分析模块(1),确认文件系统为 EXT2、EXT3和EXT4中的一种后,调用系统中断读取硬盘超级块的扇区数据; 步骤3 计算得到块大小和块组inode节点数;对应于BIOS级系统文件度量方法的文件数据存储解析模块O),在超级块特定偏移位置读取数据,计算得到块的大小和每个块组包含的inode节点数; 步骤4 计算得到组描述符表起始扇区和扇区数;对应于BIOS级系统文件度量方法的文件数据存储解析模块( ,根据块的大小,计算得到组描述符表的起始扇区和扇区数,并调用系统中断读取组描述符表的扇区数据; 步骤5 剖析待度量系统文件的路径;对应于BIOS级系统文件度量方法的待度量系统文件路径解...
【专利技术属性】
技术研发人员:沈昌祥,王晓晨,金刚,杜中平,郑志蓉,曾颖明,蔡谊,陈志浩,傅子奇,黄强,刘毅,
申请(专利权)人:中国人民解放军海军计算技术研究所,中国航天科工集团第二研究院七〇六所,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。