CN104580135A - 一种基于uefi的终端实时控制系统和方法 - Google Patents
一种基于uefi的终端实时控制系统和方法 Download PDFInfo
- Publication number
- CN104580135A CN104580135A CN201410457596.8A CN201410457596A CN104580135A CN 104580135 A CN104580135 A CN 104580135A CN 201410457596 A CN201410457596 A CN 201410457596A CN 104580135 A CN104580135 A CN 104580135A
- Authority
- CN
- China
- Prior art keywords
- terminal
- control
- real
- submodule
- main program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Information Transfer Between Computers (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种基于UEFI的终端实时控制系统和方法,属于计算机安全技术领域。系统包括终端实时控制驱动模块、终端控制主程序和终端实时控制系统服务端;终端实时控制驱动模块包括自我恢复子模块、控制指令解析子模块、控制指令执行子模块和操作系统及网络接口子模块;终端控制主程序包括运行状态交互接口子模块、终端控制策略执行子模块、通信接口子模块、定时子模块;终端实时控制系统服务端包括终端控制服务、策略管理服务和终端信息展示服务。本发明能解决在开机引导过程中和操作系统启动后,无法在固件层对终端进行实时控制的问题。
Description
技术领域
本发明属于计算机安全技术领域,涉及一种基UEFI固件,在开机引导过程中和操作系统启动后,对终端进行实时控制的系统和方法。
背景技术
目前,在计算机安全和通信领域,对计算机终端的控制主要通过服务器远程发布控制指令,由运行于客户端操作系统上的特定程序进行接收和执行,也有直接通过简单控制电路对终端进行控制。在操作系统层对应用程序进行实时保护,特别是对关键终端控制程序进行保护,有着以下的不足,主要包括:
在计算机终端更换硬盘、Flash等存储被保护程序的装置后,将不能自动地恢复终端控制程序,对终端进行监控。
在对硬盘、Flash等被保护程序的存储空间进行重新分区后,计算机终端将不能自动地恢复终端控制程序,对终端进行监控。
在对硬盘、Flash等被保护程序的存储空间进行格式化后,计算机终端将不能自动地恢复终端控制程序,对终端进行监控。
当被保护可执行程序文件不属于操作系统自带软件的情况下,在计算机终端重新安装操作系统后,将不能自动地恢复终端控制程序,对计算机终端进行监控。
当终端的操作系统中的特定终端控制软件被病毒或木马篡改和删除后,将不能自动地进行恢复,此外,在操作系统中运行的终端控制软件有可能被终端用户非授权地中止。
发明内容
有本发明的目的是为了克服已有技术的缺陷,为了解决在开机引导过程中和操作系统启动后,无法在固件层对终端进行实时控制的问题,提出一种基于UEFI的终端实时控制系统和方法。
一种基于UEFI的终端实时控制系统,包括终端实时控制驱动模块、终端控制主程序和终端实时控制系统服务端;
所述终端实时控制系统的终端实时控制驱动模块是在固件层控制终端的驱动模块,主要包括自我恢复子模块、控制指令解析子模块、控制指令执行子模块、操作系统及网络接口子模块四个部分;其中,自动恢复子模块用于对实时终端控制驱动模块和终端控制主程序进行恢复,控制策略解析用于对接收到的控制指令进行辨析,明确需要执行哪些终端控制指令;控制指令执行模块用于执行相应的控制指令;操作系统及网络接口子模块用于提供终端实时控制系统驱动模块与操作系统中终端控制主程序的数据交互接口,以及终端控制主程序与服务端的数据交互接口;终端实时控制驱动模块可以通过操作系统中的终端控制主程序进行控制,也可以通过系统中断自动调用;
所述终端实时控制系统的终端控制主程序,终端控制主程序运行于操作系统,接收和执行服务端指令;终端控制主程序包括运行状态交互接口子模块、终端控制策略执行子模块、通信接口子模块、定时子模块;运行状态交互接口子模块用于终端控制主程序与终端实时控制驱动模块进行状态交互;通信接口子模块用于终端控制主程序与服务器进行网络通信;终端控制策略执行子模块用于执行从服务器接收到的指令;定时子模块用于在指定的时间间隔内,调用终端实时控制系统驱动模块;
所述终端实时控制系统的终端实时控制系统服务端包括终端控制服务、策略管理服务和终端信息展示服务;其中,终端控制服务用于向客户端发送相应的控制指令;策略管理服务用于制定终端控制策略;终端信息展示用于展示当前接入终端的状态。
所述一种基于UEFI的终端实时控制系统的实现过程如下:
步骤一、计算机终端开机上电后,开始进入UEFI的开机引导过程,操作系统启动;
步骤二、在固件层加载所需的驱动;
步骤三、在固件层检测实时驱动模块是否正常;如果正常则进入步骤四;如果驱动模块出现异常,则自动进行恢复和重启;
步骤四、检测是否已有对终端进行控制的策略;如果已有既定控制策略,则转入步骤五;否则直接启动操作系统;
步骤五、执行既定的终端控制策略;
步骤六、启动操作系统;
步骤七、终端控制主程序自动运行;
步骤八、检测终端控制主程序运行状态是否正确;如果正常转入步骤九,否则自动恢复并重启;
步骤九、如果未检测到停止标识,则继续执行;如果检测到停止标识,则终端实时控制流程结束。
有益效果:
1、本发明在计算机终端更换硬盘、Flash等存储被保护程序的装置后,能够自动地重新恢复终端控制程序,对终端进行实时监控。
2、在对硬盘、Flash等被保护程序的存储空间进行重新分区后,计算机终端将能够自动地恢复终端控制程序,对终端进行实时监控。
3、在对硬盘、Flash等被保护程序的存储空间进行格式化后,计算机终端将能够自动地重新恢复终端控制程序,对终端进行实时监控。
4、在计算机终端重新安装操作系统后,能够自动地重新恢复终端控制程序,对终端进行实时监控。当终端控制软件被病毒或木马篡改和删除后,能够自动地进行恢复。在用户卸载终端控制软件后,将能够自动恢复终端控制软件,并对终端进行实时监控。
附图说明
图1为基于UEFI的终端实时控制总体框架图。
图2为终端实时控制系统框架图。
图3为终端实时控制流程图。
具体实施方式
下面结合附图并举实施例,对本发明进行详细描述。
如附图1所示,本发明的一种基于UEFI的终端实时控制系统,包括终端实时控制驱动模块、终端控制主程序和终端实时控制系统服务端;
如附图2所示,所述终端实时控制系统的终端实时控制驱动模块是在固件层控制终端的驱动模块,主要包括自我恢复子模块、控制指令解析子模块、控制指令执行子模块、操作系统及网络接口子模块四个部分;其中,自动恢复子模块用于对实时终端控制驱动模块和终端控制主程序进行恢复,控制策略解析用于对接收到的控制指令进行辨析,明确需要执行哪些终端控制指令;控制指令执行模块用于执行相应的控制指令;操作系统及网络接口子模块用于提供终端实时控制系统驱动模块与操作系统中终端控制主程序的数据交互接口,以及终端控制主程序与服务端的数据交互接口;终端实时控制驱动模块可以通过操作系统中的终端控制主程序进行控制,也可以通过系统中断自动调用;
所述终端实时控制系统的终端控制主程序,终端控制主程序运行于操作系统,接收和执行服务端指令;终端控制主程序包括运行状态交互接口子模块、终端控制策略执行子模块、通信接口子模块、定时子模块;运行状态交互接口子模块用于终端控制主程序与终端实时控制驱动模块进行状态交互;通信接口子模块用于终端控制主程序与服务器进行网络通信;终端控制策略执行子模块用于执行从服务器接收到的指令;定时子模块用于在指定的时间间隔内,调用终端实时控制系统驱动模块;
所述终端实时控制系统的终端实时控制系统服务端包括终端控制服务、策略管理服务和终端信息展示服务;其中,终端控制服务用于向客户端发送相应的控制指令;策略管理服务用于制定终端控制策略;终端信息展示用于展示当前接入终端的状态。
本发明在应用前,需要在计算机终端先行部署,可以选用的方法包括:
(1)在UEFI核心镜像中添加驱动模块。
(2)在UEFI核心镜像中挂载Option ROM模块。
(3)在可信卡等其他外围设备中挂载驱动模块。
如附图3所示,本发明的一种基于UEFI的终端实时控制系统的实现过程如下:
步骤一、计算机终端开机上电后,开始进入UEFI的开机引导过程,操作系统启动;
步骤二、在固件层加载所需的驱动;
步骤三、在固件层检测实时驱动模块是否正常;如果正常则进入步骤四;如果驱动模块出现异常,则自动进行恢复和重启;
步骤四、检测是否已有对终端进行控制的策略;如果已有既定控制策略,则转入步骤五;否则直接启动操作系统;
步骤五、执行既定的终端控制策略;
步骤六、启动操作系统;
步骤七、终端控制主程序自动运行;
步骤八、检测终端控制主程序运行状态是否正确;如果正常转入步骤九,否则自动恢复并重启;
步骤九、如果未检测到停止标识,则继续执行;如果检测到停止标识,则终端实时控制流程结束。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种基于UEFI的终端实时控制系统,其特征在于,所述系统包括终端实时控制驱动模块、终端控制主程序和终端实时控制系统服务端;
所述终端实时控制驱动模块是在固件层控制终端的驱动模块,包括自我恢复子模块、控制指令解析子模块、控制指令执行子模块、操作系统及网络接口子模块四个部分;其中,自动恢复子模块用于对实时终端控制驱动模块和终端控制主程序进行恢复,控制策略解析用于对接收到的控制指令进行辨析,明确需要执行哪些终端控制指令;控制指令执行模块用于执行相应的控制指令;操作系统及网络接口子模块用于提供终端实时控制系统驱动模块与操作系统中终端控制主程序的数据交互接口,以及终端控制主程序与服务端的数据交互接口;终端实时控制驱动模块可以通过操作系统中的终端控制主程序进行控制,也可以通过系统中断自动调用;
所述终端控制主程序运行于操作系统,接收和执行服务端指令;终端控制主程序包括运行状态交互接口子模块、终端控制策略执行子模块、通信接口子模块、定时子模块;运行状态交互接口子模块用于终端控制主程序与终端实时控制驱动模块进行状态交互;通信接口子模块用于终端控制主程序与服务器进行网络通信;终端控制策略执行子模块用于执行从服务器接收到的指令;定时子模块用于在指定的时间间隔内,调用终端实时控制系统驱动模块;
所述终端实时控制系统服务端包括终端控制服务、策略管理服务和终端信息展示服务;其中,终端控制服务用于向客户端发送相应的控制指令;策略管理服务用于制定终端控制策略;终端信息展示用于展示当前接入终端的状态。
2.如权利要求1所述的基于UEFI的终端实时控制系统,其特征在于,系统的实现过程如下:
步骤一、计算机终端开机上电后,开始进入UEFI的开机引导过程,操作系统启动;
步骤二、在固件层加载所需的驱动;
步骤三、在固件层检测实时驱动模块是否正常;如果正常则进入步骤四;如果驱动模块出现异常,则自动进行恢复和重启;
步骤四、检测是否已有对终端进行控制的策略;如果已有既定控制策略,则转入步骤五;否则直接启动操作系统;
步骤五、执行既定的终端控制策略;
步骤六、启动操作系统;
步骤七、终端控制主程序自动运行;
步骤八、检测终端控制主程序运行状态是否正确;如果正常转入步骤九,否则自动恢复并重启;
步骤九、如果未检测到停止标识,则继续执行;如果检测到停止标识,则终端实时控制流程结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410457596.8A CN104580135B (zh) | 2014-09-10 | 2014-09-10 | 一种基于uefi的终端实时控制系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410457596.8A CN104580135B (zh) | 2014-09-10 | 2014-09-10 | 一种基于uefi的终端实时控制系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104580135A true CN104580135A (zh) | 2015-04-29 |
| CN104580135B CN104580135B (zh) | 2018-04-17 |
Family
ID=53095322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410457596.8A Active CN104580135B (zh) | 2014-09-10 | 2014-09-10 | 一种基于uefi的终端实时控制系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104580135B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105847280A (zh) * | 2016-05-06 | 2016-08-10 | 南京百敖软件有限公司 | 一种基于固件的安全管理方法 |
| CN106909347A (zh) * | 2015-12-22 | 2017-06-30 | 中电科技(北京)有限公司 | 一种便携式计算机的uefi固件实现方法 |
| CN107735769A (zh) * | 2015-06-26 | 2018-02-23 | 英特尔公司 | 固件相关事件通知 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1639426A2 (en) * | 2003-06-27 | 2006-03-29 | Intel Corporation | Methods and apparatus to provide secure firmware storage and service access |
| CN1845077A (zh) * | 2005-04-08 | 2006-10-11 | 联想(北京)有限公司 | 一种对计算机进行远程检测及控制的方法 |
| CN101009515A (zh) * | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 通信终端设备管理方法及通信终端 |
| CN101771563A (zh) * | 2008-12-30 | 2010-07-07 | 北大方正集团有限公司 | 网络服务程序的监控方法 |
-
2014
- 2014-09-10 CN CN201410457596.8A patent/CN104580135B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1639426A2 (en) * | 2003-06-27 | 2006-03-29 | Intel Corporation | Methods and apparatus to provide secure firmware storage and service access |
| CN1845077A (zh) * | 2005-04-08 | 2006-10-11 | 联想(北京)有限公司 | 一种对计算机进行远程检测及控制的方法 |
| CN101009515A (zh) * | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 通信终端设备管理方法及通信终端 |
| CN101771563A (zh) * | 2008-12-30 | 2010-07-07 | 北大方正集团有限公司 | 网络服务程序的监控方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107735769A (zh) * | 2015-06-26 | 2018-02-23 | 英特尔公司 | 固件相关事件通知 |
| CN107735769B (zh) * | 2015-06-26 | 2022-04-19 | 英特尔公司 | 固件相关事件通知 |
| CN106909347A (zh) * | 2015-12-22 | 2017-06-30 | 中电科技(北京)有限公司 | 一种便携式计算机的uefi固件实现方法 |
| CN105847280A (zh) * | 2016-05-06 | 2016-08-10 | 南京百敖软件有限公司 | 一种基于固件的安全管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104580135B (zh) | 2018-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10353763B2 (en) | Fault processing method, related apparatus, and computer | |
| CN109831420B (zh) | 内核进程权限的确定方法及装置 | |
| CA2964343C (en) | Kvm having blue screen of death detection and warning functions | |
| US9853994B2 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
| US10409635B2 (en) | Switching method, switching system and terminal for system and/or application program | |
| CN104217137A (zh) | 一种识别智能终端系统是否被更改的方法及装置 | |
| CN104361076A (zh) | 浏览器的异常处理方法和装置 | |
| CN104461594A (zh) | 嵌入式操作系统的升级方法及装置 | |
| CN104580135A (zh) | 一种基于uefi的终端实时控制系统和方法 | |
| CN106789973B (zh) | 页面的安全性检测方法及终端设备 | |
| CN109241783B (zh) | 移动终端管控策略的实施方法及装置 | |
| CN106682493B (zh) | 一种防止进程被恶意结束的方法、装置及电子设备 | |
| CN112528296B (zh) | 漏洞检测方法、装置和存储介质及电子设备 | |
| CN102262573B (zh) | 操作系统启动保护方法和装置 | |
| CN104298924A (zh) | 确保系统安全的方法、确保系统安全的装置和终端 | |
| CN111783081A (zh) | 一种恶意进程处理方法、终端设备及存储介质 | |
| KR20210046979A (ko) | 클라우드 기반 앱 보안 서비스 방법 | |
| CN110069922B (zh) | 一种系统界面劫持检测方法、装置及终端 | |
| CN115600261A (zh) | 一种数据安全防护方法、装置、设备及介质 | |
| CN104573500A (zh) | 一种基于uefi的软件实时保护系统和方法 | |
| CN106856481B (zh) | 一种基于透明计算的网络隔离方法、系统、网卡及应用 | |
| US20220309171A1 (en) | Endpoint Security using an Action Prediction Model | |
| CN106713215B (zh) | 一种信息处理方法、终端及服务器 | |
| JP6324219B2 (ja) | 悪質なコードによる感染の有無を知らせる通知方法 | |
| CN105487847A (zh) | 一种功能发布方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100083 north side, 13th floor, Taiji building, No.6 working area (South), wohuqiao, Haidian District, Beijing Patentee after: CLP Technology (Beijing) Co.,Ltd. Address before: 100083 north side, 13th floor, Taiji building, No.6 working area (South), wohuqiao, Haidian District, Beijing Patentee before: CETC (BEIJING) Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100083 north side, 13th floor, Taiji building, No.6 working area (South), wohuqiao, Haidian District, Beijing Patentee after: Kunlun Taike (Beijing) Technology Co.,Ltd. Address before: 100083 north side, 13th floor, Taiji building, No.6 working area (South), wohuqiao, Haidian District, Beijing Patentee before: CLP Technology (Beijing) Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |