本发明专利技术实施例提供一种可信Option ROM的访问控制方法及装置,所述方法包括:检测到用户的访问请求时,对所述用户的身份信息进行认证;当所述用户的身份信息认证通过时,获取与所述身份信息对应的Option ROM白名单;根据白名单中的地址信息确定对应Option ROM的所在位置,并通过预设的度量模块度量所述Option ROM,得到度量值;将所述度量值与所述白名单中的基准值进行对比,当所述度量值与所述基准值匹配时,则授予所述用户访问所述Option ROM的权限。采用本方法能够有效地避免了低安全等级和恶意用户可能对系统造成的危害。
Access control method and device of trusted option ROM
【技术实现步骤摘要】
可信OptionROM的访问控制方法及装置
本专利技术涉及计算机软件系统
,尤其涉及一种可信OptionROM的访问控制方法及装置。
技术介绍
服务器中存在各种外设,特别是PCI设备,用于为服务器提供所需的功能扩展。PCIOptionROM是PCI设备上用于初始化PCI设备和系统启动的程序,对PCIOptionROM加以保护对于具有PCI设备自主知识产权的服务器厂商具有重要意义。目前在配置BIOSOptionROM的系统中,设置基准口令并保存于可信模块的存储区域中,进入BIOSOptionROM之前,进行身份认证,若身份认证一致则通过,可以进入BIOSOptionROM,对系统启动项进行访问与配置,若认证不通过,则无法对系统启动项进行访问与配置。上述方法只是在加载OptionROM前对用户身份进行验证,若通过则可加载全部的OptionROM,不通过则系统启动过程中断。这种粗粒度的OptionROM管理方式不能对系统的PCI设备进行灵活有效的控制,存在低安全等级或恶意的用户登录系统后可能会通过PCI设备进行不安全的操作从而对系统造成无法预计的损失。
技术实现思路
针对现有技术中存在的问题,本专利技术实施例提供一种可信OptionROM的访问控制方法及装置。本专利技术实施例提供一种可信OptionROM的访问控制方法,包括:检测到用户的访问请求时,对所述用户的身份信息进行认证;当所述用户的身份信息认证通过时,获取与所述身份信息对应的OptionROM白名单;根据白名单中的地址信息确定对应OptionROM的所在位置,并通过预设的度量模块度量所述OptionROM,得到度量值;将所述度量值与所述白名单中的基准值进行对比,当所述度量值与所述基准值匹配时,则授予所述用户访问所述OptionROM的权限。在其中一个实施例中,所述方法还包括:将所述OptionROM加入映射表,并将所述映射表中的OptionROM读入内存,加载并启动对应的PCI设备。在其中一个实施例中,所述方法还包括:获取与所述身份信息对应的角色信息,不同的所述角色信息对应不同的访问权限;根据所述角色信息获取对应的OptionROM白名单。在其中一个实施例中,所述方法还包括:生成与系统中每个所述角色信息对应的OptionROM白名单。在其中一个实施例中,所述方法还包括:当检测到新PCI设备插入时,通过所述新PCI设备的寄存器判断所述新PCI设备是否支持OptionROM;当判断结果为所述新PCI设备支持OptionROM时,通过所述新PCI设备的代码检测所述新PCI设备是否符合当前环境版本;当所述新PCI设备符合当前环境版本时,生成所述新PCI设备对应的OptionROM白名单,并将生成的OptionROM白名单加入所述与所述角色信息对应的OptionROM白名单中。在其中一个实施例中,所述方法还包括:当检测到新用户身份信息创建请求时,根据所述创建请求中新用户申请的PCI设备审核新用户的安全性;当所述新用户的安全性审核通过时,查询已有的所述角色信息是否满足所述新用户的请求;当已有的所述角色信息满足所述新用户的请求时,将所述新用户加入满足的对应角色信息中;当已有的所述角色信息不满足所述新用户的请求时,创建新的角色信息,并根据新用户申请的PCI设备创建所述角色信息对应的OptionROM白名单。在其中一个实施例中,所述白名单,包括:所述接收点的道间距、所述激发点的激发频率、所述激发点的激发类型以及偏移距。在其中一个实施例中,所述观测参数,包括:地址信息:ID,Name,Version,ROMAddress;基准值:Hashvalue。本专利技术实施例提供一种可信OptionROM的访问控制装置,包括:检测模块,用于检测到用户的访问请求时,对所述用户的身份信息进行认证;获取模块,用于当所述用户的身份信息认证通过时,获取与所述身份信息对应的OptionROM白名单;确定模块,用于根据白名单中的地址信息确定对应OptionROM的所在位置,并通过预设的度量模块度量所述OptionROM,得到度量值;对比模块,用于将所述度量值与所述白名单中的基准值进行对比,当所述度量值与所述基准值匹配时,则授予所述用户访问所述OptionROM的权限。本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述可信OptionROM的访问控制方法的步骤。本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述可信OptionROM的访问控制方法的步骤。本专利技术实施例提供的可信OptionROM的访问控制方法及装置,通过用户不同的身份信息获取对应的OptionROM白名单,并针对性的为用户提供对应的OptionROM的权限,有效地避免了低安全等级和恶意用户可能对系统造成的危害。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例中可信OptionROM的访问控制方法的流程图;图2为本专利技术实施例中三种管理员的权利分配的示意图;图3为本专利技术另一实施例中可信OptionROM的访问控制方法的流程图;图4为本专利技术实施例中系统插入新的PCI设备的流程图;图5为本专利技术实施例中新用户注册及角色分配过程的流程图;图6为本专利技术实施例中可信OptionROM的访问控制装置的结构图;图7为本专利技术实施例中电子设备结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1为本专利技术实施例提供的可信OptionROM的访问控制方法的流程示意图,如图1所示,本专利技术实施例提供了一种可信OptionROM的访问控制方法,包括:步骤S101,检测到用户的访问请求时,对所述用户的身份信息进行认证。具体地,当BIOSOptionROM系统启动后,检测到用户对于OptionROM的访问请求时,对用户的访问请求对应的身份信息进行认证,认证请求用户是否为已经注册的用户。步骤S102,当所述用户的身份信息认证通过时,获取与所述身份信息对应的Opt本文档来自技高网...
【技术保护点】
1.一种可信Option ROM的访问控制方法,其特征在于,所述方法包括:/n检测到用户的访问请求时,对所述用户的身份信息进行认证;/n当所述用户的身份信息认证通过时,获取与所述身份信息对应的Option ROM白名单;/n根据白名单中的地址信息确定对应Option ROM的所在位置,并通过预设的度量模块度量所述Option ROM,得到度量值;/n将所述度量值与所述白名单中的基准值进行对比,当所述度量值与所述基准值匹配时,则授予所述用户访问所述Option ROM的权限。/n
【技术特征摘要】
1.一种可信OptionROM的访问控制方法,其特征在于,所述方法包括:
检测到用户的访问请求时,对所述用户的身份信息进行认证;
当所述用户的身份信息认证通过时,获取与所述身份信息对应的OptionROM白名单;
根据白名单中的地址信息确定对应OptionROM的所在位置,并通过预设的度量模块度量所述OptionROM,得到度量值;
将所述度量值与所述白名单中的基准值进行对比,当所述度量值与所述基准值匹配时,则授予所述用户访问所述OptionROM的权限。
2.根据权利要求1所述的可信OptionROM访问控制方法,其特征在于,所述授予所述用户访问所述OptionROM的权限之后,还包括:
将所述OptionROM加入映射表,并将所述映射表中的OptionROM读入内存,加载并启动对应的PCI设备。
3.根据权利要求1所述的可信OptionROM访问控制方法,其特征在于,所述获取与所述身份信息对应的OptionROM白名单,包括:
获取与所述身份信息对应的角色信息,不同的所述角色信息对应不同的访问权限;
根据所述角色信息获取对应的OptionROM白名单。
4.根据权利要求3所述的可信OptionROM的访问控制方法,其特征在于,所述检测到用户的访问请求之前,还包括:
生成与系统中每个所述角色信息对应的OptionROM白名单。
5.根据权利要求3所述的可信OptionROM的访问控制方法,其特征在于,所述方法还包括:
当检测到新PCI设备插入时,通过所述新PCI设备的寄存器判断所述新PCI设备是否支持OptionROM;
当判断结果为所述新PCI设备支持OptionROM时,通过所述新PCI设备的代码检测所述新PCI设备是否符合当前环境版本;
当所述新PCI设备符合当前环境版本时,生成所述新PCI设备对应的OptionROM白名单,并将生成的OptionROM白名单加入所述与所述角色信息对应...
【专利技术属性】
技术研发人员:张建标,郭雪松,王凯,刘国杰,
申请(专利权)人:北京工业大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。