一种计算机外设接口关断与恢复的多层次协同控制方法技术

本发明专利技术具体公开了一种计算机外设接口关断与恢复的多层次协同控制方法，所述方法首先在可信计算机主板上设置硬件控制通路装置，并将可信密码模块、主板BIOS固件和操作系统设置为外设接口关断与恢复的控制方，然后在可信引导阶段利用外设接口关断与恢复的控制方读取系统预设的外设接口配置信息并进行多层次协同访问操作通路执行外设接口的关断与恢复控制，在系统运行阶段利用系统管理员或授信方提供的外设接口访问控制策略并进行多层次协同访问操作通路执行外设接口的关断与恢复控制，从而实现了可信计算机在可信引导阶段和系统运行阶段中对外设接口的关断与恢复控制，大大增强了可信计算机外设接口的安全性。

【技术实现步骤摘要】
一种计算机外设接口关断与恢复的多层次协同控制方法
本专利技术涉及计算机的安全可信控制
，尤其涉及一种计算机外设接口关断与恢复的多层次协同控制方法。
技术介绍
可信计算是信息安全领域的核心关键技术，它基于密码技术和硬件芯片实现对计算机系统的核心软件进行保护。基于可信计算技术的可信计算机是一类通过在通用计算机中集成TCM(TrustedCryptographyModule，可信密码模块)、硬件控制电路、外设端口控制逻辑以及专用密钥载体等可信防护部件，利用密码机制建立从底层硬件到上层应用的信任链，建立可信赖的计算环境，从而能够被本地或远程实体所信任的计算机。TCM为可信计算机的可信度量根，在可信计算机加电后TCM首先运行，可信计算机的TCM、BIOS(BasicInputOutputSystem，基本输入输出系统)和OS(OperatingSystem，操作系统)等软硬件部件按照TCM→BIOS→OS的信任链传递关系依次启动运行。可信计算机包含多类外设部件，主要包括USB接口、网口、串口、VGA接口和光驱等外设接口。外设接口是外部实体访本文档来自技高网...

【技术保护点】
1.一种计算机外设接口关断与恢复的多层次协同控制方法，其特征在于，所述方法包括以下步骤：/nS1、预先在可信计算机主板上设置硬件控制通路装置；/nS2、将可信计算机中的可信密码模块、主板BIOS固件和操作系统设置为外设接口关断与恢复的控制方，并对可信计算机上电；/nS3、可信计算机上电后进入可信引导阶段，所述可信密码模块、主板BIOS固件和操作系统依次分别读取对应的外设接口配置信息并进行多层次协同访问操作通路生成外设接口控制动作，然后可信密码模块将所接收的外设接口控制动作转换为可信密码模块对硬件控制通路装置的操作信号，通过硬件控制通路装置对外设接口进行关断或恢复操作；/nS4、当可信引导阶段结...

【技术特征摘要】
1.一种计算机外设接口关断与恢复的多层次协同控制方法，其特征在于，所述方法包括以下步骤：
S1、预先在可信计算机主板上设置硬件控制通路装置；
S2、将可信计算机中的可信密码模块、主板BIOS固件和操作系统设置为外设接口关断与恢复的控制方，并对可信计算机上电；
S3、可信计算机上电后进入可信引导阶段，所述可信密码模块、主板BIOS固件和操作系统依次分别读取对应的外设接口配置信息并进行多层次协同访问操作通路生成外设接口控制动作，然后可信密码模块将所接收的外设接口控制动作转换为可信密码模块对硬件控制通路装置的操作信号，通过硬件控制通路装置对外设接口进行关断或恢复操作；
S4、当可信引导阶段结束后，可信计算机自动进入系统运行阶段，所述操作系统根据外设接口的访问控制策略发起外设接口的控制动作，并通过可信密码模块和硬件控制通路装置的多层次协同访问操作通路生成外设接口控制动作，可信密码模块将所接收的外设接口控制动作转换为可信密码模块对硬件控制通路装置的操作信号，然后通过硬件控制通路装置对外设接口进行关断或恢复操作。


2.如权利要求1所述的计算机外设接口关断与恢复的多层次协同控制方法，其特征在于，所述外设接口包括外设接口组成模块，外设接口组成模块包括供电单元、控制器单元和对外链路单元。


3.如权利要求2所述的计算机外设接口关断与恢复的多层次协同控制方法，其特征在于，所述步骤S1中的硬件控制通路装置包括供电控制开关、接口使能开关和链路选通开关中的一种或多种，其中：
供电控制开关设于供电单元上用于对外设接口进行独立加电和切电，为可信密码模块提供一个供电控制信号线；
接口使能开关与控制器单元连接用于对外设接口的访问进行控制，为可信密码模块提供一个使能控制信号线；
链路选通开关设于对外链路单元上用于控制外设接口与外部接入介质之间的连通，为可信密码模块提供一个选通控制信号线。


4.如权利要求3所述的计算机外设接口关断与恢复的多层次协同控制方法，其特征在于，所述硬件控制通路装置与可信密码模块、主板BIOS固件和操作系统之间的多层次协同访问操作通路的建立包括：
①建立硬件控制通路装置与可信密码模块之间的访问操作通路：利用硬件控制通路装置为每个外设接口均提供一个与供电控制开关对应的供电控制信号线，一个与接口使能开关对应的使能控制信号线，以及一个与链路选通开关对应的选通控制信号线；可信密码模块采用三个GPIO信号分别与每个外设接口的供电控制信号线、使能控制信号线和选通控制信号线连接，并在可信密码模块内部设置用于存储硬件控制通路装置的控制信号线状态配置值的GPIO信号外设接口配置寄存器；通过可信密码模块改变配置寄存器的GPIO信号值对硬件控制通路装置的供电控制开关、接口使能开关和链路选通开关进行打开或关闭控制；
②建立硬件控制通路装置与主板BIOS固件之间的访问操作通路：当所述主板BIOS固件被载入可信计算机的微处理器执行时，主板BIOS固件加载可信密码模块驱动程序，并通过微处理器与可信密码模块之间的接口来访问可信密码模块中的外设接口配置寄存器；然后通过主板BIOS固件读取外设接口配置信息并确定外设接口的配置方式，再将所确定的外设接口配置方式写入可信密码模块中的外设接口配置寄存器，可信密码模块根据外设接口配置寄存器的内容对硬件控制通路装置的供电控制开关、接口使能开关和链路选通开关进行打开或关闭控制；
③建立硬件控制通路装置与操作系统之间的访问操作通路：...

【专利技术属性】
技术研发人员：张晓明，田宝华，龚国辉，水超，孙岩，蒋杰，曹砷坚，
申请(专利权)人：湖南长城银河科技有限公司，
类型：发明
国别省市：湖南;43