适用于龙芯台式计算机的软件安全保护系统及其保护方法技术方案

本发明专利技术公开了适用于龙芯台式计算机的软件安全保护系统及其保护方法，用于对龙芯台式计算机的操作系统中被保护软件进行保护，该系统包括客户端驱动、客户端主程序以及服务端；客户端驱动符合UEFI固件规范、置于操作系统的固件层；客户端驱动中采用环境加载安装模块保证操作系统中已经写入了下载器并能处于运行中；客户端主程序安装于操作系统中，与服务端进行安全通信；软件安全守护模块对被保护软件执行服务端的软件保护策略；被保护软件接口模块为与被保护软件进行数据交互的接口；服务端存储被保护软件并对被保护软件进行版本管理、提供被保护软件的保护策略，并与客户端主程序建立安全网络连接。

Software safety protection system suitable for Godson desktop computer and protection method thereof

Software security protection system and protection method thereof are disclosed for Godson desktop computer operating system, used to Godson desktop computers in the protected software protection, the system includes a client driver and client main program and client server; the drive firmware layer with UEFI firmware specification, in operating system; client driver the environmental loading installation module is to ensure that the operating system has been written into the download and run in the client; the main program installed on the operating system, secure communication with the server; software security guard software protection policy module of the protected software execution server; protected software interface module for data exchange with the protected software the storage server interface; protected software and version management, protection of software Protection policy for protected software and establish secure network connection with client main program.

【技术实现步骤摘要】
适用于龙芯台式计算机的软件安全保护系统及其保护方法
本专利技术属于计算机安全领域，是一种适用于龙芯台式计算机的软件全过程保护系统及其保护方法。
技术介绍
目前，在该领域中，对程序的保护方法主要是在操作系统层对软件进行保护，防止卸载和删除。一般的方法是，在操作系统中建立一个守护进程，通过配置，使守护进程能够定位到被保护进程，并对被保护进程进行检测，判断其是否处于合法运行状态。中国专利CN103678084A提出了一种灵活的应用进程守护方法。该方法的主要特征是在操作系统中，针对需要保护的进程建立和配置守护进程。守护进程能够根据守护进程的名称、启动文件位置、被守护进程内存阀值等配置信息，在被守护进程被非法停止或使用内存超过阀值时，自动重启被守护程序。中国专利CN102081722A提出了一种保护指定应用程序的方法及装置。该方法通过在操作系统中运行的守护软件进行设置，建立相应的允许程序运行的列表。当检测到一个应用程序启动时，需要对该程序进行识别和检测。如果该应用程序合法则放行或保持运行；如果该应用程序不合法时，将对该应用程序进行拦截。在计算机安全领域中，也有通过加入硬件的方法，对操作系统内的关键进程进行保护。一般的方法是，通过外接设备对操作系统中运行的进程进行检测，判断被保护的进程是否处于合法运行状态。中国专利CN103246844A提出了一种基于USB的进程保护卡。该方法通过USB接口单元，接收来自电脑的被保护进程数据，并将该数据通过总线接口单元，传输给中央处理器单元，由中央处理器单元通过对接收数据进行读取，判断该被保护进程是否处于运行状态。如果保护进程未能开启，则关闭电脑。目前，在计算机安全领域，对软件或进程的保护方法主要是通过操作系统中运行的守护进程，对被保护软件是否处于合法的运行状态进行检测。目前，也有通过外围设备，接收操作系统中被保护软件发送验证数据的方法，检测其是否处于合法的运行状态。在操作系统中，通过软件方法保护特定应用有着以下的不足，主要包括：在计算设备更换硬盘、Flash等存储被保护程序的装置后，将不能自动地重新安装和恢复被保护程序。在对硬盘、Flash等被保护程序的存储空间进行重新分区或者格式化后，计算设备将不能自动地重新安装和恢复被保护程序。当被保护软件不属于操作系统自带软件的情况下，在计算设备重新安装操作系统后，将不能自动地重新安装和恢复被保护程序。不能阻止合法的终端使用用户非法地卸载本终端上运行的特定应用软件。当终端的操作系统中的特定软件文件被病毒或木马篡改和删除后，将不能合法地启动和运行。不能在操作系统启动前，确定特定的软件文件是否存在。如该软件(如审计软件等)必须在操作系统启动后运行，则软件文件被删除后，将不能正常启动和运行。不能远程地、动态地绑定新的软件应用，并保证其在操作系统中的合法运行。
技术实现思路
有鉴于此，本专利技术提供了适用于龙芯台式计算机的软件安全保护系统及其被保护方法，目的是为了克服已有技术的缺陷，解决在更换硬盘、重装系统、Flash存储空间太小的情况下，无法恢复被保护程序的问题，无法动态绑定被保护软件的问题。为了达到上述目的，本专利技术的技术方案为：适用于龙芯台式计算机的软件安全保护系统，用于对龙芯台式计算机的操作系统中被保护软件进行保护。该系统包括客户端驱动、客户端主程序以及服务端。客户端驱动符合UEFI固件规范、置于操作系统的固件层；客户端驱动包括环境加载安装模块、下载器度量检测模块和下载器；环境加载安装模块用于在固件层判断操作系统中是否已经写入了下载器；如果没有写入，则将下载器写入到操作系统中并启动，当下载器启动之后，采用下载器度量检测模块持续检测下载器是否处于正常运行状态，若下载器出现运行异常，则重新将下载器写入操作系统中并启动下载器。客户端主程序包括通信接口模块、加解密模块、软件安全守护模块、被保护软件接口模块；客户端主程序安装于操作系统中，通信接口模块与服务端进行通信，加解密模块对通信接口模块与服务端之间的通信进行加密或解密；软件安全守护模块对被保护软件执行服务端的软件保护策略；被保护软件接口模块为与被保护软件进行数据交互的接口。服务端包括软件仓库、软件策略保护管理模块以及网络通信模块；软件仓库存储被保护软件并对被保护软件进行版本管理，软件保护策略管理模块提供被保护软件的保护策略，网络通信模块与客户端主程序的通信接口模块建立安全网络连接。进一步地，采用如上的软件安全保护系统进行软件安全保护的方法，包括如下步骤：步骤一、操作系统开机上电后，在统一可扩展固件接口UEFI引导阶段中，操作系统加载的硬盘驱动模块，识别硬盘及相应分区，同时加载文件系统驱动，识别每个分区的文件系统；环境加载安装模块用于在固件层判断操作系统中是否已经写入了下载器；如果没有写入，则将下载器写入到操作系统中并启动。步骤二、在操作系统启动过程中，操作系统内核启动后，下载器作为内核模块随之作为启动，下载器在操作系统完全启动前启动，采用下载器度量检测模块持续检测下载器是否处于正常运行状态，若下载器出现运行异常，则重新将下载器写入操作系统中并启动下载器。步骤三、在操作系统启动后，下载器启动，操作系统运行客户端主程序是否运行。步骤四、客户端主程序开始运行后，将与下载器进行绑定，操作系统控制该客户端主程序持续运行不被关闭。步骤五、客户端主程序中的软件安全守护模块根据服务端的软件保护策略管理模块提供的被保护软件的保护策略，检测被保护软件，若被保护软件被篡改或被删除，则通过客户端主程序进行下载，并进行安装。有益效果：1、本专利技术通过符合UEFI接口规范的固件模块(安全守护平台驱动模块)，能够在开机过程、操作系统运行过程中，保护被保护程序不会被篡改、关闭。通过安全守护平台驱动模块恢复客户端主程序，通过客户端主程序恢复被保护程序，能够逐级建立程序信任和保护。如果发现被保护程序被篡改，将能够通过网络和本地存储介质进行自动恢复和启动。2、通过将下载器作为操作系统内核模块加载，从而保证了下载器作为内核进程不会被关闭，即使客户端主程序被关闭，下载器也能保证能重新恢复客户端主程序的运行。3、在计算设备更换硬盘、Flash等存储被保护程序的装置后、存储空间重新分区或格式化后，能够自动地重新安装和恢复被保护程序。4、当被保护软件不属于操作系统自带软件的情况下，在计算设备重新安装操作系统后，仍能够自动地重新安装和恢复被保护程序。能够阻止合法的终端使用用户非法地卸载本终端上运行的特定应用软件。当终端使用用户希望卸载被保护应用时，如果与安全守护平台服务端安全保护策略相冲突，将无法卸载被保护应用。及时更换硬盘或采用重装系统等方式，也仍然会被重新恢复。当终端的操作系统中的特定软件文件被病毒或木马篡改和删除后，将通过安全守护平台自动地进行恢复、启动和运行。5、本专利技术能够在开机启动后，操作系统启动前，确定特定的软件文件是否存在。能够通过安全守护平台远程地、动态地绑定新的软件应用，并保证其在操作系统中的合法运行。附图说明图1为UEFI总体框架图；图2为软件安全守护平台总体框架图；图3为软件安全守护平台驱动模块框架图；图4为基于UEFI安全软件全过程保护方法流程图；图5为客户端主程序对第三方程序进行保护流程图。具体实施方式本文档来自技高网...

【技术保护点】
适用于龙芯台式计算机的软件安全保护系统，用于对龙芯台式计算机的操作系统中被保护软件进行保护，其特征在于，该系统包括客户端驱动、客户端主程序以及服务端；所述客户端驱动符合UEFI固件规范、置于操作系统的固件层；客户端驱动包括环境加载安装模块、下载器度量检测模块和下载器；所述环境加载安装模块用于在固件层判断操作系统中是否已经写入了下载器；如果没有写入，则将下载器写入到操作系统中并启动，当下载器启动之后，采用所述下载器度量检测模块持续检测下载器是否处于正常运行状态，若下载器出现运行异常，则重新将下载器写入操作系统中并启动下载器；所述客户端主程序包括通信接口模块、加解密模块、软件安全守护模块、被保护软件接口模块；客户端主程序安装于操作系统中，所述通信接口模块与服务端进行通信，所述加解密模块对通信接口模块与服务端之间的通信进行加密或解密；所述软件安全守护模块对被保护软件执行服务端的软件保护策略；所述被保护软件接口模块为与被保护软件进行数据交互的接口；所述服务端包括软件仓库、软件策略保护管理模块以及网络通信模块；所述软件仓库存储被保护软件并对被保护软件进行版本管理，所述软件保护策略管理模块提供被保护软件的保护策略，所述网络通信模块与客户端主程序的通信接口模块建立安全网络连接。...

【技术特征摘要】
1.适用于龙芯台式计算机的软件安全保护系统，用于对龙芯台式计算机的操作系统中被保护软件进行保护，其特征在于，该系统包括客户端驱动、客户端主程序以及服务端；所述客户端驱动符合UEFI固件规范、置于操作系统的固件层；客户端驱动包括环境加载安装模块、下载器度量检测模块和下载器；所述环境加载安装模块用于在固件层判断操作系统中是否已经写入了下载器；如果没有写入，则将下载器写入到操作系统中并启动，当下载器启动之后，采用所述下载器度量检测模块持续检测下载器是否处于正常运行状态，若下载器出现运行异常，则重新将下载器写入操作系统中并启动下载器；所述客户端主程序包括通信接口模块、加解密模块、软件安全守护模块、被保护软件接口模块；客户端主程序安装于操作系统中，所述通信接口模块与服务端进行通信，所述加解密模块对通信接口模块与服务端之间的通信进行加密或解密；所述软件安全守护模块对被保护软件执行服务端的软件保护策略；所述被保护软件接口模块为与被保护软件进行数据交互的接口；所述服务端包括软件仓库、软件策略保护管理模块以及网络通信模块；所述软件仓库存储被保护软件并对被保护软件进行版本管理，所述软件保护策略管理模块提供被保护软件的保护策略，所述网...

【专利技术属性】
技术研发人员：陈小春，张超，朱立森，孙亮，郑树剑，
申请(专利权)人：中电科技北京有限公司，
类型：发明
国别省市：北京,11