CN103514411A - 启动电子设备的方法及电子设备安全系统 - Google Patents
启动电子设备的方法及电子设备安全系统 Download PDFInfo
- Publication number
- CN103514411A CN103514411A CN201210213378.0A CN201210213378A CN103514411A CN 103514411 A CN103514411 A CN 103514411A CN 201210213378 A CN201210213378 A CN 201210213378A CN 103514411 A CN103514411 A CN 103514411A
- Authority
- CN
- China
- Prior art keywords
- application program
- operating system
- driving
- content information
- electronic equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种启动电子设备的方法,在所述电子设备上电后,以使所述电子设备进入所述操作系统的启动进程,在所述启动进程进行中,第一个启动与所述操作系统的内核连接的安全启动模组,并通过所述安全启动模组对所述电子设备中启动的驱动和应用程序进行鉴权,加载通过所述安全启动模组鉴权的驱动和应用程序。本发明还提供了一种电子设备安全系统,包括启动单元、驱动启动单元、鉴权单元和加载单元,在所述电子设备进行启动之后,用于通过第一个启动的安全启动模组对其他加载的驱动和应用程序进行鉴权,并加载通过所述安全启动模组鉴权的驱动和应用程序。
Description
技术领域
本发明涉及操作系统安全领域,尤其涉及一种启动电子设备的方法及一种电子设备安全系统。
背景技术
现有的安装有操作系统(Operating System,简称OS)的电子设备,在启动所述电子设备时,通常受操作系统(OS)控制或由操作系统(OS)执行。操作系统需要引导进程将OS装入电子设备存储器中。所述引导进程通常包括:定位基本输入/输出系统(Basic Input Output System,简称BIOS)或统一的可扩展固件接口(Unified Extensible Firmware Interface,简称UEFI),装入BIOS/UEFI固件用于执行,并且将电子设备系统的控制交给BIOS/UEFI固件。此后,通过BIOS/UEFI固件装入OS。
但本申请发明人在实现本申请实施例中发明技术方案的过程中,发现上述技术至少存在如下技术问题:
其一:在使用所述电子设备进行网上购物或查看敏感信息等私密操作时,需要非常安全的电子设备环境,而现有技术是仅仅只依靠杀毒软件和防火墙来对所述电子设备进行保护,导致所述电子设备的安全性不高。
其二、由于所述电子设备的安全性不高,在用户使用所述电子设备进行网上购物或查看敏感信息时,会有较大的概率泄露用户的个人数据,给用户带来损失或者困扰。
发明内容
本申请实施例通过提供一种启动电子设备的方法和电子设备安全系统,在使用所述电子设备进行网上购物或查看敏感信息等私密操作时,提高所述电子设备的安全性,以减少泄露用户的个人数据的概率,为用户提供方便。
本申请实施例提供了一种启动电子设备的方法,所述电子设备中包括有一操作系统,所述方法包括:
在所述电子设备上电后,以使所述电子设备进入所述操作系统的启动进程;
在所述启动进程进行中,启动与所述操作系统的内核连接的安全启动模组,所述安全启动模组为在所述启动进程中第一个启动的模组;
通过所述安全启动模组对所述电子设备中的M个驱动和K个应用程序进行鉴权,确定出个N个合法驱动和J个合法应用程序,其中,M和K为大于等于1的整数,N为小于等于M的整数,J为小于等于K的整数;
加载所述N个合法驱动和所述J个合法应用程序,以实现对所述电子设备的启动。
可选的,所述在所述启动进程进行中,启动与所述操作系统的内核连接的安全启动模组之前,所述方法还包括:对所述操作系统的内核进行验证,在所述操作系统的内核通过验证时,启动所述操作系统的内核。
可选的,在所述启动所述操作系统的内核之前,所述方法还包括:对操作系统加载器进行验证,在所述操作系统加载器通过验证时,启动所述操作系统加载器,在所述操作系统加载器启动完成之后,启动所述操作系统的内核。
可选的,在所述启动所述操作系统加载器之前,所述方法还包括:
对BIOS/UEFI固件进行验证,在所述BIOS/UEFI固件通过验证时,启动所述BIOS/UEFI固件并加载,在所述BIOS/UEFI固件启动完成之后,启动所述操作系统加载器。
可选的,所述通过所述安全启动模组对所述电子设备中的M个驱动和K个应用程序进行鉴权,确定出N个合法驱动和J个合法应用程序,具体包括:获取所述M个驱动中每个驱动的第一内容信息;基于所述每个驱动的第一内容信息,按一预设规则,从所述M个驱动中确定出N个合法驱动。
可选的,所述基于所述每个驱动的第一内容信息,按一预设规则,从所述M个驱动中确定出N个合法驱动,具体包括:获取所述安全启动模组的授权内容信息;判断所述授权内容信息是否包含所述每个驱动的第一内容信息;在所述授权内容信息包含有所述第一内容信息时,将所述第一内容信息对应的驱动确定为合法驱动。
可选的,所述通过所述安全启动模组对所述电子设备中的M个驱动和K个应用程序进行鉴权,确定出N个合法驱动和J个合法应用程序,具体包括:获取所述K个应用程序中每个应用程序的第一内容信息;基于所述每个应用程序的第一内容信息,按一预设规则,从所述K个应用程序中确定出J个合法应用程序。
可选的,所述基于所述每个应用程序的第一内容信息,按一预设规则,从所述K个应用程序中确定出J个合法应用程序,具体包括:获取所述安全启动模组的授权内容信息;将所述每个应用程序的第一内容信息与所述授权内容信息进行比较;基于比较结果,从所述K个应用程序确定出J个合法应用程序。
可选的,所述加载所述N个合法驱动和所述J个合法应用程序,具体包括:从所述N个合法驱动和所述J个合法应用程序获取被预设程序模组允许的C个合法驱动和D个合法应用程序,其中,C为小于等于N的整数,D为小于等于J的整数;加载所述C个合法驱动和D个合法应用程序。
在上述方法的基础上,本发明实施例还提供了一种电子设备安全系统,所述系统包括:
启动单元,给所述电子设备上电,用于使所述电子设备进入所述电子设备的操作系统的启动进程;
驱动启动单元,在所述启动进程进行中,用于启动与所述操作系统的内核连接的安全启动模组,所述安全启动模组为在所述启动进程中第一个启动的驱动;
鉴权单元,用于通过所述安全启动模组对所述电子设备中的M个驱动和K个应用程序进行鉴权,确定出个N个合法驱动和J个合法应用程序,其中,M和K为大于等于1的整数,N为小于等于M的整数,J为小于等于K的整数;
加载单元,用于加载启动所述N个合法驱动和所述J个合法应用程序,以实现对所述电子设备的启动。
可选的,所述启动单元还设置有内核验证模块,所述在所述启动进程进行中,启动与所述操作系统的内核连接的安全启动模组之前,用于对所述操作系统的内核进行验证,在所述操作系统的内核通过验证时,启动所述操作系统的内核。
可选的,所述启动单元还设置有操作系统加载器验证模块,在所述启动所述操作系统的内核之前,用于对操作系统加载器进行验证,在所述操作系统加载器通过验证时,启动所述操作系统加载器,在所述操作系统加载器启动完成之后,启动所述操作系统的内核。
可选的,所述启动单元设置有BIOS/UEFI固件验证模块,在所述启动所述操作系统加载器之前,用于对BIOS/UEFI固件进行验证,在所述BIOS/UEFI固件通过验证时,启动所述BIOS/UEFI固件并加载,在所述BIOS/UEFI固件启动完成之后,启动所述操作系统加载器。
可选的,所述鉴权单元设置有第一处理模块,用于获取所述M个驱动中每个驱动的第一内容信息,再基于所述每个驱动的第一内容信息,按一预设规则,从所述M个驱动中确定出N个合法驱动。
可选的,所述第一处理模块设置有第二处理模块,用于获取所述安全启动模组的授权内容信息,并将所述每个驱动的第一内容信息与所述授权内容信息进行比较,再基于比较结果,从所述M个驱动确定出N个合法驱动。
可选的,所述鉴权单元设置有第三处理模块,用于获取所述K个应用程序中每个应用程序的第一内容信息,再基于所述每个应用程序的第一内容信息,并按一预设规则,从所述K个应用程序中确定出J个合法应用程序。
可选的,所述第三处理模块设置有第四处理模块,用于获取所述安全启动模组的授权内容信息,并将所述每个应用程序的第一内容信息与所述授权内容信息进行比较,再基于比较结果,从所述K个应用程序确定出J个合法应用程序。
可选的,所述加载单元设置有预设程序模组单元,用于从所述N个合法驱动和所述J个合法应用程序获取被预设程序模组允许的C个合法驱动和D个合法应用程序,其中,C为小于等于N的整数,D为小于等于J的整数,并加载所述C个合法驱动和D个合法应用程序。
本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
其一、由于本申请实施例在启动所述电子设备时,在启动进程时需要第一启动所述安全启动模组,通过所述安全启动模组为在启动所述安全启动模组之后启动的驱动和应用程序授权,只有通过授权的驱动和应用程序才能进行加载,如此,可以提高所述电子设备的安全性能,减少泄露用户信息的问题。
其二、由于本申请实施例在启动所述安全启动模组之前,依次对所述BIOS/UEFI固件、操作系统和操作系统进行验证,可以进一步提高所述电子设备的安全性能,减少泄露用户信息的问题。
其三、由于本申请实施例在所述驱动和应用程序通过授权之后,还需获取通过授权的所述驱动和应用程序的第一级别,若所述第一级别为最小级别时,才加载所述最小级别的驱动和应用程序,如此,可以进一步提高所述电子设备的安全性能,减少泄露用户信息的问题。
附图说明
图1为本申请实施例中启动电子设备的方法流程图;
图2为本申请实施例中保护所述安全启动模组安全的方法流程图;
图3为本申请实施例中对所述BIOS/UEFI固件验证的结构图;
图4为本申请实施例中安全启动系统的结构示意图。
具体实施例
本申请实施例通过提供一种启动电子设备的方法和电子设备安全系统,解决了现有技术中在使用所述电子设备进行网上购物或查看敏感信息时,所述电子设备的安全性不高,会导致泄漏用户信息的问题,实现了提高了所述电子设备的安全性能,减少泄漏用户信息的问题。
本申请实施例的技术方案为解决上述区分存储问题,总体思路如下:
在所述启动进程进行中,第一个启动与所述操作系统的内核连接的安全启动模组,通过所述安全启动模组对后面加载的驱动和应用程序进行授权,在所述驱动和应用程序通过所述安全启动模组授权之后,才对授权的驱动和应用程序进行加载。
上述启动所述安全启动模组之后,后面需要加载的驱动和应用程序只有通过所述安全启动模组授权之后才能进行加载,如此,可以保证加载的驱动和应用程序时可信和安全的,从而可以提高所述电子设备的安全性能,在使用所述电子设备进行网上购物或查看敏感信息等私密操作时,减少泄露用户信息的概率。
为了更好的理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
本发明提供了一种启动电子设备的方法,所述电子设备中包括有一操作系统,如图1所示,所述方法包括:
S101、在所述电子设备上电后,以使所述电子设备进入所述操作系统的启动进程:
具体来讲,在对所述电子设备通电之后,通过所述电子设备的启动键来启动所述电子设备,通过进入所述操作系统的启动进程,来启动所述电子设备。所述操作系统的启动进程最先启动的是BIOS/UEFI固件,启动所述BIOS/UEFI固件之后,在加载所述操作系统,在加载了所述操作系统之后,加载所述操作系统的内核,在加载所述操作系统内核之后加载其他的组件、驱动和应用程序,所以加载完成之后,所述电子设备启动已经完成。
S102、在所述启动进程进行中,启动与所述操作系统的内核连接的安全启动模组,所述安全启动模组为在所述启动进程中第一个启动的模组:
具体来讲,在启动所述操作系统的内核之后,第一个启动与所述操作系统内核连接的安全启动模组,若在启动所述操作系统的内核之后,第一个启动的不是所述安全启动模组,则提醒使用者所述电子设备处于不安全状态。
在具体实现过程中,为确保所述安全启动模块的安全,需要对所述BIOS/UEFI固件、操作系统和操作系统的内核进行验证,在所述BIOS/UEFI固件、操作系统和操作系统的内核通过验证之后,才启动所述安全启动模块,否则,则提醒使用者所述电子设备处于不安全状态,如图2所示,具体如下所述:
S201、对所述操作系统的内核进行验证,在所述操作系统的内核通过验证时,启动所述操作系统的内核:
具体来讲,在所述启动进程进行中,启动与所述操作系统的内核连接的安全启动模组之前,会先启动所述操作系统的内核,而所述操作系统的内核是所述操作系统的核心,由所述操作系统的内核负责管理系统的进程、内存、设备驱动程序、文件和网络,并决定着系统的性能和稳定性。一旦所述操作系统的内核不安全,那么,不仅会导致所述安全启动模块不安全,还会使所述电子设备也处于不安全状态,因此,需要对所述操作系统的内核进行验证,在所操作系统的内核通过验证之后,才会启动所述操作系统的内核,否则,则发送报警信号给使用者,以提醒使用者所述电子设备不安全。
在具体实现过程中,在启动所述操作系统的内核之前,会先启动所述操作系统加载器(OS Loader),通过所述OS Loader的认证和签名来验证所述操作系统的内核是否是安全的,在所述操作系统的内核通过验证之后,启动所述操作系统的内核。
S202、对操作系统加载器进行验证,在所述操作系统加载器通过验证时,启动所述操作系统加载器,在所述操作系统加载器启动完成之后,启动所述操作系统的内核:
具体来讲,在所述启动所述操作系统的内核之前,会先启动所述操作系统加载器(OS Loader),通过对所述OS Loader进行验证,在所述OS Loader通过验证时,启动所述OS Loader,并加载所述操作系统的内核。
在具体实现过程中,通过对所述OS Loader进行签名,在验证所述OSLoader的签名之后,再对输入的密码进行验证,只有通过上述两次验证之后,才会启动所述OS Loader引导操作系统的启动。
S203、对BIOS/UEFI固件进行验证,在所述BIOS/UEFI固件通过验证时,启动所述BIOS/UEFI固件,在所述BIOS/UEFI固件启动完成之后,启动所述操作系统加载器:
具体来讲,在启动所述OS Loader之前,会先启动所述BIOS/UEFI固件,所述BIOS/UEFI固件会对所述电子设备的硬件进行检测,在所述BIOS/UEFI固件确认所述硬件正常之后,会加载所述OS Loader,所述BIOS/UEFI固件会将控制权转移给所述OS Loader,为确保所述BIOS/UEFI固件的安全,在启动所述BIOS/UEFI固件时,对对BIOS/UEFI固件进行验证,在所述BIOS/UEFI固件通过验证时,启动所述BIOS/UEFI固件,在所述对BIOS/UEFI固件加载完成之后,加载所述OS Loader。
在具体实现过程中,如图3所示,BIOS/UEFI固件30包含有存储器31,其中,存储器31中存储有认证数据32,通过认证数据32来验证BIOS/UEFI固件30的安全。所述认证数据32包括操作系统用户提供的口令和/或其他数据,还可以对提供的口令或/和其他数据进行签名,进一步保证所述BIOS/UEFI固件30的安全。
S103、通过所述安全启动模组对所述电子设备中的M个驱动和K个应用程序进行鉴权,确定出个N个合法驱动和J个合法应用程序:
具体来讲,在启动所述操作系统的内核之后,所述安全启动模组是第一个启动的进程,在所述电子设备中加载M个驱动和K个应用程序时,需要通过所述安全启动模组对所述电子设备中的M个驱动和K个应用程序进行鉴权,确定出个N个合法驱动和J个合法应用程序,其中,M和K为大于等于1的整数,N为小于等于M的整数,J为小于等于K的整数。
在具体实现过程中,由于所述安全启动模组无法保证自己的安全,因此需要通过所述步骤S102来确保所述安全启动模组的安全,在启动所述安全启动模组之后,在所述电子设备会需要加载M个驱动时,获取所述M个驱动中每个驱动的第一内容信息,基于所述每个驱动的第一内容信息,按一预设规则,从所述M个驱动中确定出N个合法驱动。所述基于所述每个驱动的第一内容信息,按一预设规则,从所述M个驱动中确定出N个合法驱动,具体包括:获取所述安全启动模组的授权内容信息;判断所述授权内容信息是否包含所述每个驱动的第一内容信息;在所述授权内容信息包含有所述第一内容信息时,将所述第一内容信息对应的驱动确定为合法驱动。比如:所述安全启动模组的授权内容信息只允许启动显卡驱动和声卡驱动,但所述电子设备需要启动的M个驱动包括显卡驱动、声卡驱动、打印机驱动和扫描仪驱动,由于所述安全启动模组的授权内容信息只允许启动显卡驱动和声卡驱动,因此,所述M个驱动中只有显卡驱动和声卡驱动可以被授权,即所述M个驱动中确定的N个合法驱动为显卡驱动和声卡驱动,所述打印机驱动和扫描仪驱动没有被所述授权内容信息所包含,因此,所述打印机驱动和扫描仪驱动不能被授权。另外,在启动所述安全启动模组之后,所述电子设备还需要加载K个应用程序,获取所述K个应用程序中每个应用程序的第一内容信息,基于所述每个应用程序的第一内容信息,按一预设规则,从所述K个应用程序中确定出J个合法应用程序。所述基于所述每个应用程序的第一内容信息,按一预设规则,从所述K个应用程序中确定出J个应用程序,具体包括:获取所述安全启动模组的授权内容信息;判断所述授权内容信息是否包含所述每个应用程序的第一内容信息;在所述授权内容信息包含有所述第一内容信息时,将所述第一内容信息对应的应用程序确定为合法应用程序。比如:所述安全启动模组的授权内容信息包含有宽带连接和IE连接以及杀毒软件,但所述电子设备需要启动的K个应用程序包括Office、视频、qq、杀毒软件、宽带连接、迅雷和IE连接应用程序,由于所述安全启动模组的授权内容信息只允许启动宽带连接和IE连接以及杀毒软件,因此,所述K个应用程序中只有宽带连接和IE连接以及杀毒软件可以被授权,即所述K个应用程序中确定的J个合法应用程序为宽带连接和IE连接以及杀毒软件,所述Office、视频、qq、杀毒软件和迅雷应用程序没有被所述授权内容信息所包含,因此,所述J个合法应用程序中没有包括Office、视频、qq、杀毒软件和迅雷应用程序。
S104、加载所述N个合法驱动和所述J个合法应用程序,以实现对所述电子设备的启动:
具体来讲,在确定所述N个合法驱动和所述J个合法应用程序之后,加载所述N个合法驱动和所述J个合法应用程序,以实现对所述电子设备的启动。
在具体实现过程中,所述加载所述N个合法驱动和所述J个合法应用程序,具体包括:从所述N个合法驱动和所述J个合法应用程序获取被预设程序模组允许的C个合法驱动和D个合法应用程序,其中,C为小于等于N的整数,D为小于等于J的整数;并加载所述C个合法驱动和D个合法应用程序。在使用所述电子设备做不同的工作时,所述预设程序模组的内容是会发生变化的。比如:在使用所述电子设备进行网上购物时,所述预设程序模组只会允许显卡驱动程序、宽度连接应用程序和IE连接应用程序等必须使用的程序进行加载;在使用所述电子设备进行Office办公时,所述预设程序模组只会允许显卡驱动程序、Office应用程序等必须使用的程序进行加载,不会允许宽度连接应用程序和IE连接应用程序等其他非必须使用的程序进行加载,同理在使用所述电子设备进行Office办公时,假设所述N个合法驱动包括声卡驱动和显卡驱动,所述J个合法应用程序包括Office应用程序、宽度连接应用程序和IE连接应用程序,所述预设程序模组只会允许显卡驱动程序和Office应用程序进行加载,如此,获取的所述C个合法驱动为显卡驱动程序,获取的所述D个合法应用程序为Office应用程序,将所述显卡驱动程序和Office应用程序进行加载,从而实现对所述电子设备的启动。
在上述方法的基础之上,本申请实施例还提供了一种电子设备安全系统,如图4所示,所述系统包括:
启动单元,给所述电子设备上电,用于使所述电子设备进入所述电子设备的操作系统的启动进程;
驱动启动单元,在所述启动进程进行中,用于启动与所述操作系统的内核连接的安全启动模组,所述安全启动模组为在所述启动进程中第一个启动的驱动;
鉴权单元,用于通过所述安全启动模组对所述电子设备中的M个驱动和K个应用程序进行鉴权,确定出个N个合法驱动和J个合法应用程序,其中,M和K为大于等于1的整数,N为小于等于M的整数,J为小于等于K的整数;
加载单元,用于加载启动所述N个合法驱动和所述J个合法应用程序,以实现对所述电子设备的启动。
其中,所述启动单元可以通过按键或红外线或指纹等方式来控制所述电子设备开启,使使所述电子设备进入所述电子设备的操作系统的启动进程,在所述启动进程启动后,所述启动单元还设置有内核验证模块,所述在所述启动进程进行中,启动与所述操作系统的内核连接的安全启动模组之前,用于对所述操作系统的内核进行验证,在所述操作系统的内核通过验证时,启动所述操作系统的内核。
此外,所述启动单元还设置有操作系统加载器验证模块,在所述启动所述操作系统的内核之前,用于对操作系统加载器进行验证,在所述操作系统加载器通过验证时,启动所述操作系统加载器,在所述操作系统加载器启动完成之后,启动所述操作系统的内核。
再者,所述启动单元设置有BIOS/UEFI固件验证模块,在所述启动所述操作系统加载器之前,用于对BIOS/UEFI固件进行验证,在所述BIOS/UEFI固件通过验证时,启动所述BIOS/UEFI固件并加载,在所述BIOS/UEFI固件启动完成之后,启动所述操作系统加载器。
所述鉴权单元设置有第一处理模块,用于获取所述M个驱动中每个驱动的第一内容信息,再基于所述每个驱动的第一内容信息,按一预设规则,从所述M个驱动中确定出N个合法驱动,所述第一处理模块设置有第二处理模块,用于获取所述安全启动模组的授权内容信息,并将所述每个驱动的第一内容信息与所述授权内容信息进行比较,再基于比较结果,从所述M个驱动确定出N个合法驱动。
所述鉴权单元设置有第三处理模块,用于获取所述K个应用程序中每个应用程序的第一内容信息,再基于所述每个应用程序的第一内容信息,并按一预设规则,从所述K个应用程序中确定出J个合法应用程序。所述第三处理模块设置有第四处理模块,用于获取所述安全启动模组的授权内容信息,并将所述每个应用程序的第一内容信息与所述授权内容信息进行比较,再基于比较结果,从所述K个应用程序确定出J个合法应用程序。
所述加载单元设置有预设程序模组单元,用于从所述N个合法驱动和所述J个合法应用程序获取被预设程序模组允许的C个合法驱动和D个合法应用程序,其中,C为小于等于N的整数,D为小于等于J的整数,并加载所述C个合法驱动和D个合法应用程序。
上述本申请实施例中的技术方案,至少具有如下的技术效果或优点:
其一、由于本申请实施例在启动所述电子设备时,在启动进程时需要第一启动所述安全启动模组,通过所述安全启动模组为在启动所述安全启动模组之后启动的驱动和应用程序授权,只有通过授权的驱动和应用程序才能进行加载,如此,可以提高所述电子设备的安全性能,减少泄露用户信息的问题。
其二、由于本申请实施例在启动所述安全启动模组之前,依次对所述BIOS/UEFI固件、操作系统和操作系统进行验证,可以进一步提高所述电子设备的安全性能,减少泄露用户信息的问题。
其三、由于本申请实施例在所述驱动和应用程序通过授权之后,还需获取通过授权的所述驱动和应用程序的第一级别,若所述第一级别为最小级别时,才加载所述最小级别的驱动和应用程序,如此,可以进一步提高所述电子设备的安全性能,减少泄露用户信息的问题。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (18)
1.一种启动电子设备的方法,所述电子设备中包括有一操作系统,其特征在于,所述方法包括:
在所述电子设备上电后,以使所述电子设备进入所述操作系统的启动进程;
在所述启动进程进行中,启动与所述操作系统的内核连接的安全启动模组,所述安全启动模组为在所述启动进程中第一个启动的模组;
通过所述安全启动模组对所述电子设备中的M个驱动和K个应用程序进行鉴权,确定出个N个合法驱动和J个合法应用程序,其中,M和K为大于等于1的整数,N为小于等于M的整数,J为小于等于K的整数;
加载所述N个合法驱动和所述J个合法应用程序,以实现对所述电子设备的启动。
2.如权利要求1所述的方法,其特征在于,所述在所述启动进程进行中,启动与所述操作系统的内核连接的安全启动模组之前,所述方法还包括:
对所述操作系统的内核进行验证,在所述操作系统的内核通过验证时,启动所述操作系统的内核。
3.如权利要求2所述的方法,其特征在于,在所述启动所述操作系统的内核之前,所述方法还包括:
对操作系统加载器进行验证,在所述操作系统加载器通过验证时,启动所述操作系统加载器,在所述操作系统加载器启动完成之后,启动所述操作系统的内核。
4.如权利要求3所述的方法,其特征在于,在所述启动所述操作系统加载器之前,所述方法还包括:
对BIOS/UEFI固件进行验证,在所述BIOS/UEFI固件通过验证时,启动所述BIOS/UEFI固件并加载,在所述BIOS/UEFI固件启动完成之后,启动所述操作系统加载器。
5.如权利要求1所述的方法,其特征在于,所述通过所述安全启动模组对所述电子设备中的M个驱动和K个应用程序进行鉴权,确定出N个合法驱动和J个合法应用程序,具体包括:
获取所述M个驱动中每个驱动的第一内容信息;
基于所述每个驱动的第一内容信息,按一预设规则,从所述M个驱动中确定出N个合法驱动。
6.如权利要求5所述的方法,其特征在于,所述基于所述每个驱动的第一内容信息,按一预设规则,从所述M个驱动中确定出N个合法驱动,具体包括:
获取所述安全启动模组的授权内容信息;
判断所述授权内容信息是否包含所述每个驱动的第一内容信息;
在所述授权内容信息包含有所述第一内容信息时,将所述第一内容信息对应的驱动确定为合法驱动。
7.如权利要求1所述的方法,其特征在于,所述通过所述安全启动模组对所述电子设备中的M个驱动和K个应用程序进行鉴权,确定出N个合法驱动和J个合法应用程序,具体包括:
获取所述K个应用程序中每个应用程序的第一内容信息;
基于所述每个应用程序的第一内容信息,按一预设规则,从所述K个应用程序中确定出J个合法应用程序。
8.如权利要求7所述的方法,其特征在于,所述基于所述每个应用程序的第一内容信息,按一预设规则,从所述K个应用程序中确定出J个合法应用程序,具体包括:
获取所述安全启动模组的授权内容信息;
将所述每个应用程序的第一内容信息与所述授权内容信息进行比较;
基于比较结果,从所述K个应用程序确定出J个合法应用程序。
9.如权利要求1所述的方法,其特征在于,所述加载所述N个合法驱动和所述J个合法应用程序,具体包括:
从所述N个合法驱动和所述J个合法应用程序获取被预设程序模组允许的C个合法驱动和D个合法应用程序,其中,C为小于等于N的整数,D为小于等于J的整数;
加载所述C个合法驱动和D个合法应用程序。
10.一种电子设备安全系统,其特征在于,所述系统包括:
启动单元,给所述电子设备上电,用于使所述电子设备进入所述电子设备的操作系统的启动进程;
驱动启动单元,在所述启动进程进行中,用于启动与所述操作系统的内核连接的安全启动模组,所述安全启动模组为在所述启动进程中第一个启动的模组;
鉴权单元,用于通过所述安全启动模组对所述电子设备中的M个驱动和K个应用程序进行鉴权,确定出个N个合法驱动和J个合法应用程序,其中,M和K为大于等于1的整数,N为小于等于M的整数,J为小于等于K的整数;
加载单元,用于加载启动所述N个合法驱动和所述J个合法应用程序,以实现对所述电子设备的启动。
11.如权利要求10所述的系统,其特征在于,所述启动单元还设置有内核验证模块,所述在所述启动进程进行中,启动与所述操作系统的内核连接的安全启动模组之前,用于对所述操作系统的内核进行验证,在所述操作系统的内核通过验证时,启动所述操作系统的内核。
12.如权利要求10所述的系统,其特征在于,所述启动单元还设置有操作系统加载器验证模块,在所述启动所述操作系统的内核之前,用于对操作系统加载器进行验证,在所述操作系统加载器通过验证时,启动所述操作系统加载器,在所述操作系统加载器启动完成之后,启动所述操作系统的内核。
13.如权利要求10所述的系统,其特征在于,所述启动单元设置有BIOS/UEFI固件验证模块,在所述启动所述操作系统加载器之前,用于对BIOS/UEFI固件进行验证,在所述BIOS/UEFI固件通过验证时,启动所述BIOS/UEFI固件并加载,在所述BIOS/UEFI固件启动完成之后,启动所述操作系统加载器。
14.如权利要求10所述的系统,其特征在于,所述鉴权单元设置有第一处理模块,用于获取所述M个驱动中每个驱动的第一内容信息,再基于所述每个驱动的第一内容信息,按一预设规则,从所述M个驱动中确定出N个合法驱动。
15.如权利要求14所述的系统,其特征在于,所述第一处理模块设置有第二处理模块,用于获取所述安全启动模组的授权内容信息,并将所述每个驱动的第一内容信息与所述授权内容信息进行比较,再基于比较结果,从所述M个驱动确定出N个合法驱动。
16.如权利要求10所述的系统,其特征在于,所述鉴权单元设置有第三处理模块,用于获取所述K个应用程序中每个应用程序的第一内容信息,再基于所述每个应用程序的第一内容信息,并按一预设规则,从所述K个应用程序中确定出J个合法应用程序。
17.如权利要求16所述的系统,其特征在于,所述第三处理模块设置有第四处理模块,用于获取所述安全启动模组的授权内容信息,并将所述每个应用程序的第一内容信息与所述授权内容信息进行比较,再基于比较结果,从所述K个应用程序确定出J个合法应用程序。
18.如权利要求10所述的系统,其特征在于,所述加载单元设置有预设程序模组单元,用于从所述N个合法驱动和所述J个合法应用程序获取被预设程序模组允许的C个合法驱动和D个合法应用程序,其中,C为小于等于N的整数,D为小于等于J的整数,并加载所述C个合法驱动和D个合法应用程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210213378.0A CN103514411A (zh) | 2012-06-25 | 2012-06-25 | 启动电子设备的方法及电子设备安全系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210213378.0A CN103514411A (zh) | 2012-06-25 | 2012-06-25 | 启动电子设备的方法及电子设备安全系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103514411A true CN103514411A (zh) | 2014-01-15 |
Family
ID=49897116
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210213378.0A Pending CN103514411A (zh) | 2012-06-25 | 2012-06-25 | 启动电子设备的方法及电子设备安全系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103514411A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106406895A (zh) * | 2016-09-27 | 2017-02-15 | 北京小米移动软件有限公司 | 操作系统启动方法及装置 |
| CN106529301A (zh) * | 2016-09-28 | 2017-03-22 | 东软集团股份有限公司 | 车机系统的控制方法、装置以及车机系统 |
| CN106681813A (zh) * | 2016-12-15 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种系统管理方法及装置 |
| CN107220071A (zh) * | 2016-03-22 | 2017-09-29 | 北京蓝光引力网络股份有限公司 | 一种引导电子设备启动系统的方法 |
| CN107451463A (zh) * | 2017-08-18 | 2017-12-08 | 郑州云海信息技术有限公司 | 一种验证secure boot功能的方法 |
| CN109711161A (zh) * | 2018-12-03 | 2019-05-03 | 联想(北京)有限公司 | 一种监控方法及电子设备 |
| CN109858236A (zh) * | 2018-12-29 | 2019-06-07 | 北京奇安信科技有限公司 | 一种驱动加载监管方法及客户端 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1591362A (zh) * | 2003-08-25 | 2005-03-09 | 联想(北京)有限公司 | 一种安全芯片及基于该芯片的信息处理设备和启动方法 |
| CN1900940A (zh) * | 2006-07-19 | 2007-01-24 | 谢朝霞 | 计算机安全启动的方法 |
| CN101578609A (zh) * | 2007-01-07 | 2009-11-11 | 苹果公司 | 安全启动计算设备 |
| CN102217226A (zh) * | 2008-11-14 | 2011-10-12 | 微软公司 | 合并移动设备和计算机以创建安全的个性化环境 |
| EP1835468B1 (en) * | 2006-03-15 | 2011-12-07 | Omron Corporation | User equipment, authentication system, authentication method, authentication program and recording medium |
-
2012
- 2012-06-25 CN CN201210213378.0A patent/CN103514411A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1591362A (zh) * | 2003-08-25 | 2005-03-09 | 联想(北京)有限公司 | 一种安全芯片及基于该芯片的信息处理设备和启动方法 |
| EP1835468B1 (en) * | 2006-03-15 | 2011-12-07 | Omron Corporation | User equipment, authentication system, authentication method, authentication program and recording medium |
| CN1900940A (zh) * | 2006-07-19 | 2007-01-24 | 谢朝霞 | 计算机安全启动的方法 |
| CN101578609A (zh) * | 2007-01-07 | 2009-11-11 | 苹果公司 | 安全启动计算设备 |
| CN102217226A (zh) * | 2008-11-14 | 2011-10-12 | 微软公司 | 合并移动设备和计算机以创建安全的个性化环境 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107220071A (zh) * | 2016-03-22 | 2017-09-29 | 北京蓝光引力网络股份有限公司 | 一种引导电子设备启动系统的方法 |
| CN106406895A (zh) * | 2016-09-27 | 2017-02-15 | 北京小米移动软件有限公司 | 操作系统启动方法及装置 |
| CN106529301A (zh) * | 2016-09-28 | 2017-03-22 | 东软集团股份有限公司 | 车机系统的控制方法、装置以及车机系统 |
| CN106529301B (zh) * | 2016-09-28 | 2020-02-21 | 东软集团股份有限公司 | 车机系统的控制方法、装置以及车机系统 |
| CN106681813A (zh) * | 2016-12-15 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种系统管理方法及装置 |
| CN106681813B (zh) * | 2016-12-15 | 2020-06-12 | 腾讯科技(深圳)有限公司 | 一种系统管理方法及装置 |
| CN107451463A (zh) * | 2017-08-18 | 2017-12-08 | 郑州云海信息技术有限公司 | 一种验证secure boot功能的方法 |
| CN107451463B (zh) * | 2017-08-18 | 2020-06-16 | 苏州浪潮智能科技有限公司 | 一种验证secure boot功能的方法 |
| CN109711161A (zh) * | 2018-12-03 | 2019-05-03 | 联想(北京)有限公司 | 一种监控方法及电子设备 |
| CN109858236A (zh) * | 2018-12-29 | 2019-06-07 | 北京奇安信科技有限公司 | 一种驱动加载监管方法及客户端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103514411A (zh) | 启动电子设备的方法及电子设备安全系统 | |
| EP2962241B1 (en) | Continuation of trust for platform boot firmware | |
| US8464047B2 (en) | Method and apparatus for authorizing host to access portable storage device | |
| US9164925B2 (en) | Method and apparatus for authorizing host to access portable storage device | |
| US20130031631A1 (en) | Detection of unauthorized device access or modifications | |
| EP3168770B1 (en) | Executing process monitoring | |
| US10924277B2 (en) | Certifying authenticity of stored code and code updates | |
| EP3374911A2 (en) | Unlock and recovery for encrypted devices | |
| CN109657448B (zh) | 一种获取Root权限的方法、装置、电子设备及存储介质 | |
| US9038179B2 (en) | Secure code verification enforcement in a trusted computing device | |
| CN110875819B (zh) | 密码运算处理方法、装置及系统 | |
| EP3251044B1 (en) | Portable security device | |
| US11416604B2 (en) | Enclave handling on an execution platform | |
| CN105138904A (zh) | 一种访问控制方法和装置 | |
| CN110598384B (zh) | 信息保护方法、信息保护装置及移动终端 | |
| EP3228045A1 (en) | System for establishing ownership of a secure workspace | |
| CN113419905A (zh) | 一种实现可信验证的方法及装置和安全模块 | |
| CN113190853A (zh) | 一种计算机可信认证系统、方法、设备及可读存储介质 | |
| CN101488177A (zh) | 一种基于bios的计算机安全控制系统和方法 | |
| CN108170482B (zh) | 信息处理方法及计算机设备 | |
| US20230041769A1 (en) | Management system for disk encryption | |
| CN116032484A (zh) | 一种通信设备安全启动的方法、装置和电子设备 | |
| CN106778297B (zh) | 应用程序的运行方法、装置及移动终端 | |
| CN110362983B (zh) | 一种保证双域系统一致性的方法、装置及电子设备 | |
| US20140325639A1 (en) | Electronic device and authentication method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140115 |