本发明专利技术提供一种计算机防护的装置及方法,该装置包括:策略管理单元、硬件度量单元、软件度量单元及执行单元;所述策略管理单元,用于根据接收到的策略配置消息,配置待度量硬件设备及待度量内核文件;所述硬件度量单元,用于在计算机上电后对所述待度量硬件设备进行度量,获取第一度量值;所述软件度量单元,用于对所述待度量内核文件进行度量,获取第二度量值;所述执行单元,用于判断所述第一度量值及第二度量值是否与对应的标准度量值相同,如果是,允许所述待度量硬件设备或引导操作系统启动,如果否,接收外部发送的启动特权码或向外部发送警示消息后,允许所述待度量硬件设备或引导操作系统启动。本方案能够提高计算机的安全性。
【技术实现步骤摘要】
本专利技术涉及计算机
,特别涉及。
技术介绍
随着计算机技术的不断发展,计算机在生活及生产中扮演着越来越重要的角色,广泛应用于医院、事业单位以及企业等部门。计算机中存储着用户的各种数据,特别是在服务器中存储着大量的数据,这些数据可能是用户个人隐私、企业商业机密或政府部门机密文件,如果这些数据被非法用户获取,将导致个人隐私泄露,企业商业机密被竞争对手获取,国家重要决策被公开,从而给个人用户带来困扰,给企业造成巨大的经济损失,对国家安全及社会稳定造成影响。为了保护这些重要数据,需要对计算机进行防护,避免非法用户通过对计算机破坏而非法获取数据。目前,对计算机进行防护的方法主要是通过在计算机上安装防病毒或防恶意攻击的软件,防止病毒或恶意软件对计算机进行攻击,从而防止用户数据被窃取。针对于现有技术通过防病毒或防恶意攻击的软件对计算机进行防护的方法,仅在操作系统层面对计算机进行防护,无法对操作系统底层存在的安全隐患进行防护,因而计算机的安全性较低。
技术实现思路
本专利技术提供,能够提高计算机的安全性。本专利技术实施例提供了一种计算机防护的装置,包括:策略管理单元、硬件度量单元、软件度量单元及执行单元;所述策略管理单元,用于接收外部发送的策略配置消息,根据所述策略配置消息,配置待度量硬件设备及待度量内核文件;所述硬件度量单元,用于在计算机上电后对所述策略管理单元配置的待度量硬件设备进行度量,获取第一度量值;所述软件度量单元,用于对所述策略管理单元配置的待度量内核文件进行度量,获取第二度量值;所述执行单元,用于判断所述硬件度量单元获取的第一度量值是否与所述待度量硬件设备的标准度量值相同,如果是,允许所述待度量硬件设备启动,如果否,接收外部发送的第一启动特权码或向外部发送第一警示消息后,允许所述待度量硬件设备启动,并判断所述软件度量单元获取的第二度量值是否与所述待度量内核文件的标准度量值相同,如果是,允许引导操作系统启动,如果否,接收外部发送的第二启动特权码或向外部发送第二警示消息后,允许引导操作系统启动。优选地,所述策略管理单元,进一步用于对所述待度量硬件设备及待度量内核文件的启动模式进行设置,其中所述启动模式包括特权启动模式及警示启动模式;所述执行单元,用于在判断所述第一度量值与所述待度量硬件设备的标准度量值不同后,进一步判断所述待度量硬件设备的启动模式是否为特权启动模式,如果是,接收外部发送的第一启动特权码后,允许所述待度量硬件设备启动,否则,向外部发送警示所述待度量硬件设备出现异常的第一警示消息后,允许所述待度量设备启动,并在判断所述第二度量值与所述待度量内核文件的标准度量值不同后,进一步判断所述待度量内核文件的启动模式是否为特权启动模式,如果是,接收外部发送的第二启动特权码后,允许引导操作系统启动,否则,向外部发送警示所述待度量内核文件出现异常的第二警示消息后,允许引导操作系统启动。优选地,所述策略管理单元,进一步用于接收外部发送的策略更新消息,根据所述策略更新消息,对所述待度量硬件设备及待度量内核文件进行相应的增加或删除,并对所述待度量硬件设备及待度量内核文件的启动模式进行修改。优选地,该装置进一步包括:访问控制单元;所述访问控制单元,用于根据预先设置的白名单,判断向所述策略管理单元发送策略配置消息及策略更新消息的信息发送端是否在所述白名单内,如果是,允许所述策略管理单元接收所述信息发送端发送的所述策略配置消息或策略更新消息,否则,阻止所述策略管理单元接收所述策略配置消息或策略更新消息。优选地,所述硬件度量单元,用于在所述策略管理单元配置待度量硬件设备后,及所述策略管理单元对所述待度量硬件设备进行增加或删除后,对所述待度量硬件设备进行度量,形成所述待度量硬件设备的标准度量值,将所述待度量硬件设备的标准度量值存储在TPM芯片中;所述软件度量单元,用于在所述策略管理单元配置待度量内核文件后,及所述策略管理单元对所述待度量内核文件进行增加或删除后,对所述待度量内核文件进行度量,形成所述待度量内核文件的标准度量值,将所述待度量内核文件的标准度量值存储在所述TPM芯片中;所述执行单元,用于从所述TPM芯片中读取所述待度量硬件设备的标准度量值及所述待度量内核文件的标准度量值,分别判断所述第一度量值与所述待度量硬件设备的标准度量值及所述第二度量值与所述待度量内核文件的标准度量值是否相同。本专利技术实施例还提供了一种计算机防护的方法,包括:接收外部发送的策略配置消息,根据所述策略配置消息,配置待度量硬件设备及待度量内核文件;计算机上电后对所述待度量硬件设备进行度量,获得第一度量值;判断所述第一度量值是否与所述待度量硬件设备的标准度量值相同,如果是,允许所述待度量硬件设备启动,如果否,接收外部发送的第一启动特权码或向外部发送第一警示消息后,允许所述待度量硬件设备启动;对所述待度量内核文件进行度量,获取第二度量值;判断所述第二度量值是否与所述待度量内核文件的标准度量值相同,如果是,允许引导操作系统启动,如果否,接收外部发送的第二启动特权码或向外部发送第二警示消息后,允许引导操作系统启动。优选地,该方法进一步包括:对所述待度量硬件设备及待度量内核文件的启动模式进行设置,其中所述启动模式包括特权启动模式及警示启动模式;所述接收外部发送的第一启动特权码或向外部发送第一警示消息后,允许所述待度量硬件设备启动包括:判断所述待度量硬件设备的启动模式是否为特权启动模式,如果是,接收外部发送的第一启动特权码后,允许所述待度量硬件设备启动,否则,向外部发送警示所述待度量硬件设备出现异常的第一警示消息后,允许所述待度量设备启动;所述接收外部发送的第二启动特权码或向外部发送第二警示消息后,允许引导操作系统启动包括:判断所述待度量内核文件的启动模式是否为特权启动模式,如果是,接收外部发送的第二启动特权码后,允许引导操作系统启动,否则,向外部发送警示所述待度量内核文件出现异常的第二警示消息后,允许引导操作系统启动。优选地,该方法进一步包括:接收外部发送的策略更新消息,根据所述策略更新消息,对所述待度量硬件设备及待度量内核文件进行相应的增加或删除,并对所述待度量硬件设备及待度量内核文件的启动模式进行修改。优选地,在所述接收外部发送的策略配置消息之前进一步包括:根据预先设置的白名单,判断所述策略配置消息的发送端是否在所述白名单内,如果是,允许接收所述策略配置消息,否则,阻止对所述策略配置消息的接收。优选地,在所述接收外部发送的的策略更新消息之前进一步包括:根据所述白名单,判断所述策略更新消息的发送端是否在所述白名单内,如果是,允许接收所述策略更新消息,否则,阻止对所述策略更新消息的接收。优选地,在所述配置待度量硬件设备及待度量内核文件之后进一步包括:分别对所述待度量硬件设备及待度量内核文件进行度量,形成所述待度量硬件设备的标准度量值及待度量内核文当前第1页1 2 3 4 5 本文档来自技高网...
【技术保护点】
一种计算机防护的装置,其特征在于,包括:策略管理单元、硬件度量单元、软件度量单元及执行单元;所述策略管理单元,用于接收外部发送的策略配置消息,根据所述策略配置消息,配置待度量硬件设备及待度量内核文件;所述硬件度量单元,用于在计算机上电后对所述策略管理单元配置的待度量硬件设备进行度量,获取第一度量值;所述软件度量单元,用于对所述策略管理单元配置的待度量内核文件进行度量,获取第二度量值;所述执行单元,用于判断所述硬件度量单元获取的第一度量值是否与所述待度量硬件设备的标准度量值相同,如果是,允许所述待度量硬件设备启动,如果否,接收外部发送的第一启动特权码或向外部发送第一警示消息后,允许所述待度量硬件设备启动,并判断所述软件度量单元获取的第二度量值是否与所述待度量内核文件的标准度量值相同,如果是,允许引导操作系统启动,如果否,接收外部发送的第二启动特权码或向外部发送第二警示消息后,允许引导操作系统启动。
【技术特征摘要】
【专利技术属性】
技术研发人员:杨博中,
申请(专利权)人:浪潮电子信息产业股份有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。