一种建立计算机中可信任运行环境的方法

摘要

本发明公开了一种建立计算机中可信任运行环境的方法，关键是在操作系统内设置可信文件验证模块、可信进程内存代码验证模块，加载并运行安全的操作系统。可信文件验证模块截获所有文件操作行为，如是对可信任文件的操作行为，则根据该文件操作类型进行处理，如是对不可信文件的操作行为，则对该文件验证合格后再对文件进行操作；可信进程内存代码验证模块定时验证所有进程代码的运行状态和完整性是否正常，如不正常则发警告，保存该进程运行的现场数据后，关闭此进程并修复，否则正常运行。应用本发明，对文件及进程本身是否受到攻击进行检测，这样无论是否存在已知或未知病毒的攻击，都能确保计算机运行环境的安全，且方便用户应用，实现成本低。

主权项

1、一种建立计算机中可信任运行环境的方法，其特征在于，预先在操作系统内设置可信文件验证模块、可信进程内存代码验证模块，设置基本文件管理系统，包含用户预先指定的操作系统核心文件，涉及启动的文件，及用户需要保护的应用软件的文件名的可信文件列表，同时，在安全存储部件内设置所有需要确保安全的数据及其完整性值，在计算机的底层固件中设置可信操作系统基础软件完整性验证恢复模块，加载并运行操作系统，该方法还包括以下步骤：可信文件验证模块截获所有文件操作行为，检查当前待操作文件是否为可信任文件，如果是，则根据该文件操作类型进行处理，如果是不可信任文件，则对该文件验证合格后，再对文件进行操作处理；可信进程内存代码验证模块定时验证所有进程代码的运行状态和完整性是否正常，如果不正常，则发出警告，保存该进程运行的现场数据后，关闭此进程，否则继续正常运行；所述加载并运行操作系统的过程包括以下步骤：a、对计算机内的底层固件验证成功并启动后，由底层固件验证基本文件管理系统的完整性值与预先存储在安全存储部件中的完整性值是否一致，如果一致，则底层固件启动该基本文件管理系统，然后执行步骤b，否则停止系统启动；b、基本文件管理系统启动可信操作系统基础软件完整性验证恢复模块，由该可信操作系统基础软件完整性验证恢复模块从磁盘扇区中读取磁盘参数，验证该磁盘参数的完整性值与预先存储在安全存储部件中的完整性值是否一致，如果是，则执行步骤c，否则，可信操作系统基础软件完整性验证恢复模块从安全存储部件中取出预先存储的磁盘数据，将其写到当前的磁盘扇区中后，执行步骤c；c、可信操作系统基础软件完整性验证恢复模块验证可信文件列表的完整性值与预先存储在安全存储部件中的完整性值是否一致，如果是，则执行步骤d，否则，从安全存储部件中取出预先存储的可信文件列表，覆盖当前的可信文件列表，然后执行步骤d；d、可信操作系统基础软件完整性验证恢复模块读取可信文件列表中的操作系统内核文件，验证该操作系统内核文件的完整性值与预先存储在安全存储部件中的完整性值是否一致，如果是，则装载并运行操作系统，否则，从安全存储部件中取出预先存储的操作系统内核文件覆盖当前的操作系统内核文件后，装载并运行操作系统。