[发明专利]一种基于自主可控BIOS的安全保障方法、计算机及存储介质

说明书

本发明提出了一种基于自主可控BIOS的安全保障方法、计算机及存储介质；方法包括：在操作系统中预设虚拟设备驱动程序，虚拟设备驱动程序用于记录恶意程序的特征及对应的处理方式；响应于UEFI启动并加载虚拟设备驱动程序，基于虚拟设备驱动程序中记录的恶意程序的特征对操作系统的内核程序进行特征比对，并对识别出的存在安全隐患的操作系统的内核程序采用对应的处理方式进行处理；在操作系统运行的过程中，响应于相应的操作系统程序检测到恶意程序，对恶意程序的特征进行提取，并获得相应的操作系统程序对恶意程序的处理方式；将恶意程序的特征及对应的处理方式更新到虚拟设备驱动程序中。本发明能够在恶意程序运行之前，从根源上识别恶意程序并处理。

技术领域

本发明涉及计算机应用技术领域，尤其涉及一种基于自主可控BIOS的安全保障方法、计算机及存储介质。

背景技术

近些年来随着各类病毒攻击技术的不断成熟发展。仅仅凭借操作系统级别的安全保障体系进行防护已经不能满足信息安全技术发展的需要。计算机安全机制应该进一步拓展到系统固件层，甚至硬件层。在自主可控的技术要求下，固件作为计算机处理器最早执行的软件，其安全性直接影响上层操作系统和整个计算机安全体系。针对固件安全问题的研究已经成为信息安全领域研究和关注的新热点。

UEFI(Unified Extensible Firmware Interface)统一的可扩展固件接口是Intel为全新类型的固件体系架构、接口和服务提出的一种建议标准，可以提供一组在操作系统加载之前所有平台一致的、正确引导的启动服务。随着UEFI内核的开源，其自身的安全可控性和高可用性，非常符合现阶段我国自主可控软硬件发展的需求，得到了广大研发人员的认可。UEFI的普及和发展离不开行业支持的开源实现及行业制定的平台固件规范，也确保它可以获得来自整个行业的广泛支持和投资，并且推进了整个行业的技术变革。

随着UEFI固件逐渐替代传统的BIOS，针对其安全性问题的研究也越来越多。在自主可控的UEFI开发中融入了关于可信启动、数字签名和数字摘要等服务功能，这些定义符合可信计算组织制定的可信平台规范，可用于固件执行过程中的完整性检查和身份证。这些研究成果主要集中在可信计算领域，以数字认证技术为核心，通过禁止固件中未知代码的运行或部分限制其行为来避免对系统的启动造成危害。在实际应用中，UEFI固件虽然能够保证固件自身的安全，但由于管理复杂，整个系统的灵活性和扩展性较差，因此不能适应环境变化的需求，缺乏灵活的安全管理机制。其次，目前的自主可控UEFI的研究成果只着眼于保护UEFI固件本身的安全，而未考虑将UEFI纳入整个计算机系统的安全防范体系中，缺乏连贯性和联系。以往的恶意入侵的目的通常不仅仅是破坏系统固件或简单地阻止操作系统的启动，而是利用底层的漏洞从源头开始向系统中植入恶意病毒等，进而在操作系统加载之初获得整个计算机体系的控制权，实现对上层操作系统的入侵。因此，自主可控的UEFI固件需要更加完善的安全保障系统。

发明内容

为解决上述技术问题，在本发明的一个方面，提出了一种基于自主可控BIOS的安全保障方法，所述方法包括：在操作系统中预设虚拟设备驱动程序，所述虚拟设备驱动程序用于记录恶意程序的特征及对应的处理方式；响应于UEFI启动并加载所述虚拟设备驱动程序，基于所述虚拟设备驱动程序中记录的恶意程序的特征对操作系统的内核程序进行特征比对，并对识别出的存在安全隐患的操作系统的内核程序采用对应的处理方式进行处理；在操作系统运行的过程中，响应于相应的操作系统程序检测到恶意程序，对所述恶意程序的特征进行提取，并获得所述相应的操作系统程序对所述恶意程序的处理方式；将所述恶意程序的特征及对应的处理方式更新到所述虚拟设备驱动程序中。

在一个或多个实施例中，所述基于所述虚拟设备驱动程序中记录的恶意程序的特征对操作系统的内核程序进行特征比对，包括：基于所述虚拟设备驱动程序中记录的恶意程序的特征对操作系统的内核程序进行全功能的数据对比，以识别出存在安全隐患的内核程序。