一种计算机系统、访问控制方法及存储介质技术方案

本发明专利技术实施例公开一种计算机系统、访问控制方法及存储介质，涉及计算机技术领域，能够提高外围设备中数据的安全性。所述计算机系统包括：主机、可信度量模块以及外围设备；所述可信度量模块分别与所述主机以及所述外围设备连接；其中，所述可信度量模块，用于获取所述主机的可信度量值；所述外围设备，用于从所述可信度量模块获取所述主机的可信度量值，并将所述主机的可信度量值与度量基准值进行比较，并根据比较结果，确定是否允许所述主机访问。本发明专利技术适用于计算机安全技术中。发明专利技术适用于计算机安全技术中。发明专利技术适用于计算机安全技术中。

【技术实现步骤摘要】
一种计算机系统、访问控制方法及存储介质


[0001]本专利技术涉及计算机
，尤其涉及一种计算机系统、访问控制方法及存储介质。

技术介绍

[0002]现代计算机系统除了包括主机之外，通常具有包括许多与主机连接的外围设备，用于输入或者输出数据。当主机遭受网络攻击时，主机中的非法程序就有可能非法访问这些外围设备，并从中窃取或者篡改重要的数据，从而大大降低了外围设备中数据的安全性。
[0003]为了解决这一技术问题，目前采用的技术方案为，主机在访问外围设备时，需要先输入口令进行授权验证，只有主机通过验证，才可以对外围设备进行访问。但是该技术方案中的口令等授权信息容易被非法程序窃取或者破解，非法程序在获得了授权信息之后，就可以访问外围设备中的数据，因此现有技术方案中存在外围设备中的数据安全性较低的技术问题。

技术实现思路

[0004]有鉴于此，本专利技术实施例提供一种计算机系统、访问控制方法及存储介质，能够提高外围设备中数据的安全性。
[0005]第一方面，本专利技术实施例提供一种计算机系统，包括：主机、可信度量模块以及外围设备；所述可信度量模块分别与所述主机以及所述外围设备连接；其中，所述可信度量模块，用于获取所述主机的可信度量值；所述外围设备，用于从所述可信度量模块获取所述主机的可信度量值，并将所述主机的可信度量值与度量基准值进行比较，并根据比较结果，确定是否允许所述主机访问。
[0006]可选的，所述可信度量模块包括第一可信度量模块和/或第二可信度量模块；其中，所述第一可信度量模块，用于记录所述主机的操作系统启动过程的可信度量值；所述第二可信度量模块，用于记录所述操作系统启动后的运行中，对所述操作系统的预定部分进行动态度量所得到的可信度量值。
[0007]可选的，所述可信度量模块与所述外围设备之间通过物理线路连接或通过逻辑链路连接。
[0008]可选的，所述可信度量模块与所述外围设备处于同一模块内；或者，所述可信度量模块设在所述外围设备内；或者，所述可信度量模块设在所述主机内。
[0009]可选的，所述外围设备具体用于：在接收到所述主机的访问请求时，或者周期性地从所述可信度量模块获取所述主机的可信度量值，并将所述主机的可信度量值与度量基准值进行比较，并根据比较结果，确定是否拒绝所述主机的全部访问请求或者部分访问请求。
[0010]可选的，所述外围设备具有第一命令接口，所述第一命令接口用于接收所述主机的可信平台配置信息的导入，所述可信平台配置信息中包含所述主机的度量基准值。
[0011]可选的，所述外围设备具有第二命令接口，所述第二命令接口用于接收所述主机
的平台证书的导入；所述外围设备还用于根据所述平台证书中第一标志位的数值，确定是否接收所述可信平台配置信息的导入；其中，所述第一命令接口和所述第二命令接口为同一个命令接口，或者为两个不同的命令接口。
[0012]可选的，所述平台证书中包括利用第一私钥加密的第一数字签名，所述外围设备中设置有所述第一私钥对应的第一公钥；在通过所述第二命令接口接收所述平台证书的导入时，所述外围设备还用于采用所述第一公钥对所述第一数字签名进行验证，若通过验证，则根据所述平台证书中第一标志位的数值，确定是否接收所述可信平台配置信息的导入。
[0013]可选的，所述平台证书中包含有第二公钥，所述可信平台配置信息中包括利用所述第二公钥对应的第二私钥加密的第二数字签名；在通过所述第一命令接口接收所述可信平台配置信息的导入后，所述外围设备还用于根据所述第二公钥对所述第二数字签名进行验证，若通过验证，则从所述可信平台配置信息中获取所述度量基准值。
[0014]第二方面，本专利技术实施例提供一种访问控制方法，应用于计算机系统的外围设备，包括：获取计算机系统的主机的可信度量值；将所述主机的可信度量值与预先获得的所述主机的度量基准值进行比较；根据比较结果，确定是否允许所述主机访问所述外围设备。
[0015]可选的，所述可信度量值为所述主机的操作系统启动过程的可信度量值；和/或，所述可信度量值为在所述主机的操作系统启动后的运行中，对所述操作系统的预定部分进行动态度量所得到的可信度量值。
[0016]可选的，所述获取计算机系统的主机的可信度量值，包括：通过可信度量模块获取计算机系统的主机的可信度量值；其中，所述可信度量模块与所述外围设备处于同一模块内；或者，所述可信度量模块设在所述外围设备内；或者，所述可信度量模块设在所述主机内。
[0017]可选的，所述可信度量模块与所述外围设备之间通过物理线路连接或通过逻辑链路连接。
[0018]可选的，所述获取计算机系统的主机的可信度量值，包括：接收到所述主机的访问请求时，或者周期性地获取所述主机的可信度量值。
[0019]可选的，所述根据比较结果，确定是否允许所述主机访问所述外围设备，包括：根据比较结果，确定是否拒绝所述主机对所述外围设备的全部访问请求或者部分访问请求。
[0020]可选的，所述外围设备具有第一命令接口；在将所述主机的可信度量值与预先获得的所述主机的度量基准值进行比较之前，所述访问控制方法还包括：通过所述第一命令接口接收所述主机的可信平台配置信息的导入，所述可信平台配置信息中包含所述主机的度量基准值。
[0021]可选的，所述外围设备具有第二命令接口；所述通过所述第一命令接口接收所述主机的可信平台配置信息的导入包括：通过所述第二命令接口接收所述主机的平台证书的导入；根据所述平台证书中第一标志位的数值，确定是否接收所述可信平台配置信息的导入；若是，则通过所述第一命令接口接收所述主机的可信平台配置信息的导入；其中，所述第一命令接口和所述第二命令接口为同一个命令接口，或者为两个不同的命令接口。
[0022]可选的，所述平台证书中包括利用第一私钥加密的第一数字签名，所述外围设备中设置有所述第一私钥对应的第一公钥；在通过所述第二命令接口接收所述主机的平台证书的导入时，所述访问控制方法还包括：采用所述第一公钥对所述第一数字签名进行验证；
相应的，所述根据所述平台证书中第一标志位的数值，确定是否接收所述可信平台配置信息的导入，包括：若通过验证，则根据所述平台证书中第一标志位的数值，确定是否接收所述可信平台配置信息的导入。
[0023]可选的，所述平台证书中包含有第二公钥，所述可信平台配置信息中包括利用所述第二公钥对应的第二私钥加密的第二数字签名；在通过所述第一命令接口接收所述主机的可信平台配置信息的导入后，所述访问控制方法还包括：根据所述第二公钥对所述第二数字签名进行验证；若通过验证，则从所述可信平台配置信息中获取所述度量基准值。
[0024]第三方面，本专利技术的实施例还提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现本专利技术实施例提供的任一种访问控制方法。
[0025]本专利技术的实施例提供的计算机系统、访问控制方法及存储介质本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种计算机系统，其特征在于，包括：主机、可信度量模块以及外围设备；所述可信度量模块分别与所述主机以及所述外围设备连接；其中，所述可信度量模块，用于获取所述主机的可信度量值；所述外围设备，用于从所述可信度量模块获取所述主机的可信度量值，并将所述主机的可信度量值与度量基准值进行比较，并根据比较结果，确定是否允许所述主机访问。2.根据权利要求1所述的计算机系统，其特征在于，所述可信度量模块包括第一可信度量模块和/或第二可信度量模块；其中，所述第一可信度量模块，用于记录所述主机的操作系统启动过程的可信度量值；所述第二可信度量模块，用于记录所述操作系统启动后的运行中，对所述操作系统的预定部分进行动态度量所得到的可信度量值。3.根据权利要求1所述的计算机系统，其特征在于，所述可信度量模块与所述外围设备之间通过物理线路连接或通过逻辑链路连接。4.根据权利要求1所述的计算机系统，其特征在于，所述可信度量模块与所述外围设备处于同一模块内；或者，所述可信度量模块设在所述外围设备内；或者，所述可信度量模块设在所述主机内。5.根据权利要求1所述的计算机系统，其特征在于，所述外围设备具体用于：在接收到所述主机的访问请求时，或者周期性地从所述可信度量模块获取所述主机的可信度量值，并将所述主机的可信度量值与度量基准值进行比较，并根据比较结果，确定是否拒绝所述主机的全部访问请求或者部分访问请求。6.根据权利要求1所述的计算机系统，其特征在于，所述外围设备具有第一命令接口，所述第一命令接口用于接收所述主机的可信平台配置信息的导入，所述可信平台配置信息中包含所述主机的度量基准值。7.根据权利要求6所述的计算机系统，其特征在于，所述外围设备具有第二命令接口，所述第二命令接口用于接收所述主机的平台证书的导入；所述外围设备还用于根据所述平台证书中第一标志位的数值，确定是否接收所述可信平台配置信息的导入；其中，所述第一命令接口和所述第二命令接口为同一个命令接口，或者为两个不同的命令接口。8.根据权利要求7所述的计算机系统，其特征在于，所述平台证书中包括利用第一私钥加密的第一数字签名，所述外围设备中设置有所述第一私钥对应的第一公钥；在通过所述第二命令接口接收所述平台证书的导入时，所述外围设备还用于采用所述第一公钥对所述第一数字签名进行验证，若通过验证，则根据所述平台证书中第一标志位的数值，确定是否接收所述可信平台配置信息的导入。9.根据权利要求7或8所述的计算机系统，其特征在于，所述平台证书中包含有第二公钥，所述可信平台配置信息中包括利用所述第二公钥对应的第二私钥加密的第二数字签名；在通过所述第一命令接口接收所述可信平台配置信息的导入后，所述外围设备还用于根据所述第二公钥对所述第二数字签名进行验证，若通过验证，则从所述可信平台配置信
息中获取所述度量基准值。10.一种访问控制方法，应用于计算机系统的外围设备，其特征在于，所述访问控制方法包括：获取计算机系统的主机的可信度量值；将所述主机的可信度量值与预先获得的所述主机的度量基准值进行比较；根据比较结果，确定是否允许所述主机访问所述外围设备。11.根据权利要求10所述的访问控制方法，其特征在于...

【专利技术属性】
技术研发人员：陈善，
申请(专利权)人：海光信息技术股份有限公司，
类型：发明
国别省市：