发明内容
本发明的主要目的在于提供一种安全启动防护方法,旨在解决移动终端办公的安全应用及安全防护的技术问题。
为实现上述目的,本发明提供一种安全启动防护方法,包括:
在终端安全系统登录成功后,通过预设采集方式采集所述终端的特征参数;
接收基于登录成功后触发的网络拨号指令,将已保存的所述特征参数发送至预设数据库,以进行所述特征参数的匹配;
在确认所述预设数据库存储有与所述特征参数匹配成功的终端特征信息后,返回拨号成功提示信息。
优选地,所述返回拨号成功提示信息的步骤之后,还包括:
根据接收到的拨号成功提示信息,向所述后台服务器发送安全监视请求,以使所述后台服务器基于所述安全监视请求对所述终端执行安全监控机制。
优选地,所述将已保存的所述特征参数发送至预设数据库,以进行所述特征参数的匹配的步骤之后,还包括:
若所述预设数据库中的特征信息与所述特征参数匹配失败,选取与所述特征参数匹配度最高的一组特征信息作为所述特征参数的对应特征信息;
以所述对应特征信息为基准,确认所述特征参数与所述对应特征信息的存在差异的参数属性,基于所述参数属性为所述终端执行异常参数解决机制。
优选地,以所述对应特征信息为基准,确认所述特征参数与所述对应特征信息的存在差异的参数属性,基于所述参数属性为所述终端执行异常参数解决机制的步骤之后,还包括:
若所述参数属性为第一属性,返回终端安全配件更换提示,并为所述终端分配与所述第一属性对应的终端权限;
若所述参数属性为第二属性,基于所述参数属性执行终端异常解决方案。
优选地,若所述参数属性为第二属性,基于所述参数属性执行终端异常解决方案的步骤之后,还包括:
在确认所述第二属性为用户登录指纹时,锁定所述终端,并提取已存储所述终端上次登录的用户信息,向所述用户发送警告提醒;
在确认所述第二属性为内嵌式数据安全边界时,获取所述终端的当前位置,生成设备警报信息上传至终端异常管理区域,以使对应技术人员在接收到所述警报信息后锁定所述终端,对所述终端进行追回处理。
优选地,所述接收基于登录成功后触发的网络拨号指令,将已保存的所述特征参数发送至预设数据库,以进行所述特征参数的匹配的步骤之前,还包括:
基于已完成安全硬件配置并注册的终端,提取所述终端的特征参数信息存储至后台服务器的数据库中,作为所述终端的匹配特征信息。
此外,为实现上述目的,本发明还提供一种安全启动防护装置,其特征在于,所述安全启动防护装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的安全启动防护方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有安全启动防护程序,所述安全启动防护程序被处理器执行时实现如上所述的安全启动防护方法的步骤。
本发明实施例提出的一种安全启动防护方法,通过在终端安全系统登录成功后,通过预设采集方式采集所述终端的特征参数;接收基于登录成功后触发的网络拨号指令,将已保存的所述特征参数发送至预设数据库,以进行所述特征参数的匹配;在确认所述预设数据库存储有与所述特征参数匹配成功的终端特征信息后,返回拨号成功提示信息,以使所述终端进行终端安全应用。通过将提取到的终端特征参数保存自BIOS的固定区域,使其不易被发现和删除、篡改,作为终端系统应用的第一道安全屏障,并讲所述特征参数信息与数据库中已存储的特征信息对比确认所述终端的合法性,并以此实现了终端的安全应用。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:在终端安全系统登录成功后,通过预设采集方式采集所述终端的特征参数;接收基于登录成功后触发的网络拨号指令,将已保存的所述特征参数发送至预设数据库,以进行所述特征参数的匹配;在确认所述预设数据库存储有与所述特征参数匹配成功的终端特征信息后,返回拨号成功提示信息,以使所述终端进行终端安全应用。
由于现有技术移动警务办公的终端,并未有注册安全机制以及配置相关的终端安全机制,因警务办公时需连接网络,容易遭到网络攻击及外人使用,造成安全信息泄露等问题。
本发明提供一种解决方案,使移动终端在进行警务办公时,通过对终端进行安全注册以及内置安全配件的方式,加强终端的安全性能,且将终端的特征信息保存至对应的终端BIOS区域隐藏后,不易受到篡改和删除,为终端的警务应用提供了安全屏障。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。
本发明实施例终端可以是PC,也可以是智能手机、平板电脑、电子书阅读器、便携计算机等具有显示功能的可移动式终端设备。
如图1所示,该终端可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及安全启动防护程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的安全启动防护程序,并执行以下操作:
在终端安全系统登录成功后,通过预设采集方式采集所述终端的特征参数;
接收基于登录成功后触发的网络拨号指令,将已保存的所述特征参数发送至预设数据库,以进行所述特征参数的匹配;
在确认所述预设数据库存储有与所述特征参数匹配成功的终端特征信息后,返回拨号成功提示信息,以使所述终端进行终端安全应用。
进一步地,处理器1001可以调用存储器1005中存储的安全启动防护程序,还执行以下操作:
根据接收到的拨号成功提示信息,向所述后台服务器发送安全监视请求,以使所述后台服务器基于所述安全监视请求对所述终端执行安全监控机制。
进一步地,处理器1001可以调用存储器1005中存储的安全启动防护程序,还执行以下操作:
若所述预设数据库中的特征信息与所述特征参数匹配失败,选取与所述特征参数匹配度最高的一组特征信息作为所述特征参数的对应特征信息;
以所述对应特征信息为基准,确认所述特征参数与所述对应特征信息的存在差异的参数属性,基于所述参数属性为所述终端执行异常参数解决机制。
进一步地,处理器1001可以调用存储器1005中存储的安全启动防护程序,还执行以下操作:
若所述参数属性为第一属性,返回终端安全配件更换提示,并为所述终端分配与所述第一属性对应的终端权限;
若所述参数属性为第二属性,基于所述参数属性执行终端异常解决方案。
进一步地,处理器1001可以调用存储器1005中存储的安全启动防护程序,还执行以下操作:
在确认所述第二属性为用户登录指纹时,锁定所述终端,并提取已存储所述终端上次登录的用户信息,向所述用户发送警告提醒;
在确认所述第二属性为内嵌式数据安全边界时,获取所述终端的当前位置,生成设备警报信息上传至终端异常管理区域,以使对应技术人员在接收到所述警报信息后锁定所述终端,对所述终端进行追回处理。
进一步地,处理器1001可以调用存储器1005中存储的安全启动防护程序,还执行以下操作:
基于已完成安全硬件配置并注册的终端,提取所述终端的特征参数信息存储至后台服务器的数据库中,作为所述终端的匹配特征信息。
参照图2,图2为本发明安全启动防护方法的第一实施例的流程示意图,包括:
步骤S10,在终端安全系统登录成功后,通过预设采集方式采集所述终端的特征参数;
基于安全终端中已配置的安全系统,通过所述安全系统已定义的登录方式登录,默认所述登录方式为指纹登录,并在所述安全系统登录成功后,通过预设采集方式采集所述安全终端的终端特征参数,所述预设采集方式在本方法的应用中具体表现为,运行所述系统特征采集软件以采集所述安全终端的特征参数。并基于已采集到的所述安全终端的特征参数,将所述特征参数保存至BIOS的预设存储区域中,所述BIOS的应用,现有技术解释为一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,它可从CMOS中读写系统设置的具体信息。其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。在本发明中的BIOS应用时,在所述安全终端的BIOS中开辟一个固定区域作为所述安全终端的特征参数存储区,以使所述特征参数不易被发现,及删除和篡改。其具体实现所述特征参数在所述BIOS固定区域的保存,为现有技术的内容,在此不多赘述。其中所述安全终端的特征参数,为所述安全终端在注册和配置时已定义的配件和软件的特征信息,具有唯一性。具体包括终端标识、终端应用硬盘标识、内嵌式数据安全边界、用户登录指纹及终端SIM卡标识。
步骤S20,接收基于登录成功后触发的网络拨号指令,将已保存的所述特征参数发送至预设数据库,以进行所述特征参数的匹配;
在所述安全系统登录成功后,应用所述安全终端进行业务操作之前,触发网络拨号指令,以使所述安全终端连接网络,实现对应的业务功能。在接收到网络拨号指令时,基于所述网络拨号指令,连接至后台服务器的数据库中,以存储在BIOS中预设存储区域的所述安全终端的特征参数为条件,确认所述数据库中是否已存储与所述安全终端特征参数对应的特征信息。其比对过程为,将所述特征参数中的所有唯一性终端标识信息与数据库中的特征信息一一比对。以实现所述特征参数的完全匹配。
步骤S30,在确认所述预设数据库存储有与所述特征参数匹配成功的终端特征信息后,返回拨号成功提示信息,以使所述终端进行终端安全应用。
在经过所述特征参数的比对操作后,确认所述数据库中存储有与所述安全终端特征参数完全一致的终端特征信息时,将所述网络拨号指令发送至与所述网络拨号指令对应的网络连接区域,以实现所述安全终端的网络连接。在所述网络拨号指令执行成功即拨号成功后,返回拨号成功的提示信息,以使所述安全终端的用户在接收到所述提示信息后,进行所述终端的业务操作内容。
其中,所述返回拨号成功提示信息的步骤之后,还包括:
根据接收到的拨号成功提示信息,向所述后台服务器发送安全监视请求,以使所述后台服务器基于所述安全监视请求对所述终端执行安全监控机制。
根据接收到的拨号成功的信息,将存储在所述BIOS的预设存储区域中的所述安全终端的特征参数上传至后台服务器的数据库中,用以替换与所述特征参数完全匹配的特征信息。此种方式为避免有多个唯一的特征信息例如用户登录指纹时,及时更新所述数据库中的特征信息,以提高所述安全终端的安全屏障。并向所述后台服务器发送安全监视请求,以触发所述后台服务器基于所述安全监视请求执行终端安全监视机制,以预设监视机制监视所述终端的设备安全应用的情况,所述预设监视机制,为所述安全启动防护方法中基于正常安全应用范围内的终端监视方式,所述监视方式为实时的,即在已设定时间周期内执行对所述终端的特征参数获取并将所述特征参数与上次获取到的特征参数信息匹配,在匹配成功时保持安全监视状态;在匹配失败时,锁定所述终端的应用操作,并向所述终端传输警示信息。
在本实施例中,通过将提取到的所述安全终端的特征参数存储至BIOS中的预设存储区域,并以所述特征参数为条件在数据库中查找与所述特征参数完成一致的特征信息,以此实现所述终端的网络连接,进而实现所述终端的业务操作,通过此种方式,增强了所述安全中的应用安全性。
参照图3,图3为本发明安全启动防护方法的第二实施例的流程示意图,基于上述图2所示的本发明第一实施例,所述将已保存的所述特征参数与数据库中已存储的特征信息比对的步骤之后,还包括:
步骤S40,若所述预设数据库中的特征信息与所述特征参数匹配失败,选取与所述特征参数匹配度最高的一组特征信息作为所述特征参数的对应特征信息;
步骤S50,以所述对应特征信息为基准,确认所述特征参数与所述对应特征信息的存在差异的参数属性,基于所述参数属性为所述终端执行异常参数解决机制。
在将已存储的所述特征参数与所述数据库中已存储的终端特征信息比对的步骤中,若所述数据库中存储的特征信息与所述特征参数匹配失败,则在所述数据库中选取与所述特征参数匹配度最高的一组特征信息,作为所述特征参数的对应比对特征信息,用以确认所述特征参数的具体差异情况,继而判断所述特征参数对应终端的安全应用情况,所述与所述终端特征参数匹配度最高的数据库特征信息组,为在匹配过程中,基于所述匹配参数中的参数情况,选取参数匹配正确的数量最多的一组特征信息为所述终端特征参数的对应特征信息。基于已选取的与所述特征参数对应的特征信息,以所述特征信息中的参数属性为准,确认所述特征参数中与所述特征信息中的异常参数,并读取所述异常参数属性,基于所述异常参数属性执行所述终端的异常参数解决机制,即根据不同的异常参数对应有不同的终端解决机制。
步骤S50,若所述参数属性为第一属性,返回终端安全配件更换提示,并为所述终端分配与所述第一属性对应的终端权限;
根据读取到的所述异常参数属性,在确认所述异常参数属性为第一属性时,确认所述终端存在安全配件更换问题,基于所述终端的安全应用,向所述终端返回硬件已更换的提示信息,以使所述终端提交已更换的硬件标识信息存储至数据中。并基于所述终端的安全硬件更换情况,为所述终端分配与所述第一属性对应的应用权限。以限制所述终端的安全应用范围,防止所述终端遭到攻击进而造成安全数据泄露的问题。所述权限内容,为对应管理人员进行设置,并基于不同的安全硬件更换情况,分别分配不同权限,所述终端的安全硬件更换情况,具体的,若终端标识异常,确认所述终端的主板遭到更换,提示终端提交主板替换流程;若终端应用硬盘标识异常,则确认所述终端的安全硬盘遭到替换,提示终端提交硬盘更改流程;若终端SIM卡标识异常,则确认所述终端的SIM卡已经更换,提示终端提交SIM卡更改流程。
步骤S60,若所述参数属性为第二属性,基于所述参数属性执行终端异常解决方案。
根据读取到的所述异常参数属性,在确认所述异常参数属性为第二属性时,确认所述终端的安全应用已遭到破坏,有不明人士在对所述终端进行不明应用,根据所述第二属性的参数属性对应向所述终端执行终端异常解决方案。
其中,所述若所述参数属性为第二属性,基于所述参数属性执行终端异常解决方案的步骤之后,还包括:
在确认所述第二属性为用户登录指纹时,锁定所述终端,并提取已存储所述终端上次登录的用户信息,向所述用户发送警告提醒;
在确认为第二属性的异常参数为用户登录指纹时,确认所述终端的用户登录指纹已被更换,向所述终端返回终端警示信息,并基于所述终端的正常参数,以所述正常参数为条件,在预设终端登录列表中查找所述终端的上次登录用户信息,并基于所述用户信息向所述用户发送终端异常使用的信息,以使所述用户解决所述终端的异常使用情况,基于在确认所述终端的用户登录指纹异常时,锁定所述终端应用,以免造成终端安全问题。
在确认所述第二属性为内嵌式数据安全边界时,获取所述终端的当前位置,生成设备警报信息上传至终端异常管理区域,以使对应技术人员在接收到所述警报信息后锁定所述终端,对所述终端进行追回处理。
在确认为第二属性的异常参数为内嵌式数据安全边界时,确认所述终端当前配置的内嵌式数据安全边界已被更换,表示所述终端已被不明人士攻击,基于所述危险状态,调用所述终端的GPS定位机制,获取所述安全终端的当前位置信息,根据所述位置信息生成所述安全终端的设备警报信息,所述警报信息中包含所述安全终端的终端信息及位置信息,将所述警报信息上传至终端异常管理区域,以使所述终端异常管理区域的监视人员在接收到所述警报信息后,后台设置锁定所述终端的位置及信息渠道。并及时调用警力,对所述终端进行追回处理,继而终止所述安全终端的被窃取操作。
本实施例中,在所述终端的特征参数与所述数据库中的特征信息不匹配时,确认与所述特征参数匹配度最高的对应的数据库特征信息,并以此特征信息为基准,在确认所述特征参数中的属性参数与对应的所述特征信息的属性参数不一致时,基于所述异常参数对应执行不同的终端异常解决方案,通过所述方式,最大限度保证了所述终端的安全应用,并在所述终端出现属性异常时进行对应的解决方案,以此既保证了终端的安全应用,又为终端用户提供了安全使用基础,提高了用户的体验度。
参照图4,图4为本发明安全启动防护方法的第三实施例的流程示意图,基于上述图2、3所示的本发明第一、二实施例,所述接收基于登录成功后触发的网络拨号指令,将已保存的所述特征参数发送至预设数据库,以进行所述特征参数的匹配的步骤之前,还包括:
步骤S70,基于已完成安全硬件配置并注册的终端,提取所述终端的特征参数信息存储至后台服务器的数据库中,作为所述终端的匹配特征信息。
安全终端在应用之前,基于所述安全终端进行安全配置,所述安全配置包括集成加密硬盘模块、安装WINDOWS系统,并应用对应身份指纹模块、配置4G网络模块、内置SIM卡等操作内容。在此安全配置前提下,所述安全终端必须为Intel驱动的终端内容。其中,所述安全配置的终端的安全配置内容,都是基于所述安全中的特征参数所设定的。在所述安全终端配置完成后,提取所述安全终端已配置的特征参数,打包生成所述安全终端的特征信息后保存至数据库中,以使所述安全终端在应用时,以所述特征信息为原始数据进行特征参数匹配。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有安全启动防护程序,所述安全启动防护程序被处理器执行时实现如下操作:
在终端安全系统登录成功后,通过预设采集方式采集所述终端的特征参数;
接收基于登录成功后触发的网络拨号指令,将已保存的所述特征参数发送至预设数据库,以进行所述特征参数的匹配;
在确认所述预设数据库存储有与所述特征参数匹配成功的终端特征信息后,返回拨号成功提示信息,以使所述终端进行终端安全应用。
进一步地,所述安全启动防护程序被处理器执行时还实现如下操作:
根据接收到的拨号成功提示信息,向所述后台服务器发送安全监视请求,以使所述后台服务器基于所述安全监视请求对所述终端执行安全监控机制。
进一步地,所述安全启动防护程序被处理器执行时还实现如下操作:
若所述预设数据库中的特征信息与所述特征参数匹配失败,选取与所述特征参数匹配度最高的一组特征信息作为所述特征参数的对应特征信息;
以所述对应特征信息为基准,确认所述特征参数与所述对应特征信息的存在差异的参数属性,基于所述参数属性为所述终端执行异常参数解决机制。
进一步地,所述安全启动防护程序被处理器执行时还实现如下操作:
若所述参数属性为第一属性,返回终端安全配件更换提示,并为所述终端分配与所述第一属性对应的终端权限;
若所述参数属性为第二属性,基于所述参数属性执行终端异常解决方案。
进一步地,所述安全启动防护程序被处理器执行时还实现如下操作:
在确认所述第二属性为用户登录指纹时,锁定所述终端,并提取已存储所述终端上次登录的用户信息,向所述用户发送警告提醒;
在确认所述第二属性为内嵌式数据安全边界时,获取所述终端的当前位置,生成设备警报信息上传至终端异常管理区域,以使对应技术人员在接收到所述警报信息后锁定所述终端,对所述终端进行追回处理。
进一步地,所述安全启动防护程序被处理器执行时还实现如下操作:
基于已完成安全硬件配置并注册的终端,提取所述终端的特征参数信息存储至后台服务器的数据库中,作为所述终端的匹配特征信息。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。