專利名稱:一種計算機及提升其操作系統(tǒng)安全性能的方法�、裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機技術(shù)領(lǐng)域,尤其涉及一種計算機及提升其操作系統(tǒng)安全性能的
方法�����、裝置���。
背景技術(shù):
計算機在出廠時會帶有一管理模塊�,該管理模塊用于判斷一內(nèi)置或外置于計算機 中的設(shè)備是否為合法設(shè)備或用于判斷用戶對一內(nèi)置或外置于計算機中的設(shè)備的操作是否 合法����。 發(fā)明人在研究過程中,發(fā)現(xiàn)計算機的操作系統(tǒng)至少存在以下缺點操作系統(tǒng)的安 全性存在威脅��。 具體地����,該管理模塊的安全層級過低,隨時有可能被非法關(guān)閉或者被替代���。而用戶 并不知道該管理模塊已經(jīng)被非法關(guān)閉或者被替代了��,若繼續(xù)使用計算機�����,將會對操作系統(tǒng) 的安全性構(gòu)成威脅�����。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明提供了一種計算機及提升其操作系統(tǒng)安全性能的方法��、裝置�����,以 最大程度保證操作系統(tǒng)的安全性�����。 —種提升計算機中操作系統(tǒng)安全性能的方法���,所述方法應(yīng)用于包括一嵌入式控制
器EC和一管理模塊的計算機設(shè)備中��,所述管理模塊用于判斷一內(nèi)置或外置于所述計算機
中的設(shè)備是否為合法設(shè)備或用于判斷用戶對一內(nèi)置或外置于所述計算機中的設(shè)備的操作
是否合法�����,所述管理模塊和所述EC間存在用于驗證所述管理模塊是否正常工作的驗證條
件��,所述方法包括 獲得所述管理模塊的信息; 根據(jù)所述驗證條件及所述信息��,判斷所述管理模塊是否正常工作���;
在所述管理模塊沒有正常工作時�,產(chǎn)生一報警信息����。 優(yōu)選地,所述根據(jù)所述驗證條件及所述信息��,判斷所述管理模塊是否正常工作包 括 在接收到所述信息之后��,根據(jù)所述驗證條件查看所述管理模塊是否設(shè)置了標志 位�; 根據(jù)所述管理模塊是否設(shè)置了所述標志位,判斷所述管理模塊是否正常工作����。
可選地��,在根據(jù)所述標志位判斷所述管理模塊是否正常工作之后��,所述方法還包 括 清除所述標志位����,且啟動計時器�,并通知所述管理模塊再次發(fā)送所述信息; 在所述計時器設(shè)定的時間內(nèi)�����,再次根據(jù)所述標志位判斷所述管理模塊是否正常工作�����。
優(yōu)選地��,所述產(chǎn)生一報警信息包括
4
通知所述操作系統(tǒng)進入預(yù)警狀態(tài)����,所述預(yù)警狀態(tài)用于保證所述操作系統(tǒng)的安全 性。 —種提升計算機中操作系統(tǒng)安全性能的嵌入式控制器,所述嵌入式控制器包括
獲取單元�,用于獲得所述管理模塊的信息; 判斷單元����,用于根據(jù)與管理模塊之間的驗證條件以及從所述獲取單元獲得的所述 信息,判斷所述管理模塊是否正常工作�; 報警單元,用于在所述判斷單元判斷出所述管理模塊沒有正常工作時�,產(chǎn)生一報
警信息。 優(yōu)選地���,所述判斷單元包括 查看單元,用于在接收到所述信息之后��,根據(jù)所述驗證條件查看所述管理模塊是 否設(shè)置了標志位���; 判斷子單元��,用于根據(jù)所述查看單元查看的是否有所述標志位����,判斷所述管理模 塊是否正常工作�。 可選地,所述嵌入式控制器還包括 清除單元,用于清除所述標志位�����; 啟動單元���,用于啟動計時器�,以進入定時檢測狀態(tài)����; 通知單元,用于在所述啟動單元啟動計時器的過程中�����,通知所述管理模塊再次發(fā) 送所述信息����; 所述判斷子單元還包括 第一判斷子單元,用于在所述計時器設(shè)定的時間內(nèi)���,再次根據(jù)所述標志位判斷所 述管理模塊是否處于正常工作模式��。 —種計算機����,所述計算機包括嵌入式控制器以及主板,所述嵌入式控制器位于所
述主板上��,所述嵌入式控制器包括 獲取單元��,用于獲得所述管理模塊的信息�; 判斷單元,用于根據(jù)與管理模塊之間的驗證條件以及所述獲取單元獲得的所述信 息����,判斷所述管理模塊是否正常工作; 報警單元��,用于在所述判斷單元判斷出所述管理模塊沒有正常工作時�����,產(chǎn)生一報
警信息��。 可以看出��,本發(fā)明中管理模塊與嵌入式控制器(EC��,Embeded Controller)進行交互�����, EC根據(jù)與管理模塊之間的驗證條件以及接收到的信息進行判斷���,從而判斷出管理模塊是否 正常工作����,并在沒有正常工作時��,產(chǎn)生報警信息���。從而��,最大程度地保證了操作系統(tǒng)的安全性�����。
圖1為本發(fā)明方法流程圖��;
圖2為本發(fā)明方法實施例流程圖���;
圖3為本發(fā)明嵌入式控制器結(jié)構(gòu)圖。
具體實施例方式
為了使本發(fā)明的上述特征���、優(yōu)點更加明顯易懂���,下面結(jié)合具體實施方式
對本發(fā)明進行詳細說明����。 請參考圖1����,為本發(fā)明方法流程圖,所述方法應(yīng)用于包括一嵌入式控制器EC和一 管理模塊的計算機設(shè)備中���,所述管理模塊用于判斷一內(nèi)置或外置于所述計算機中的設(shè)備是 否為合法設(shè)備或用于判斷用戶對一內(nèi)置或外置于所述計算機中的設(shè)備的操作是否合法�,可 以包括以下步驟 步驟101 :獲得管理模塊的信息��; 步驟102 :根據(jù)所述驗證條件及所述信息��,判斷所述管理模塊是否正常工作�����;
步驟103 :在所述管理模塊沒有正常工作時�,產(chǎn)生一報警信息���。 下面以一個實施例對圖1所示步驟進行詳細說明���。請參考圖2����,為本發(fā)明方法實施 例流程圖�,可以包括以下步驟 步驟201 :管理模塊被正確初始化,進入正常工作狀態(tài)���;
管理模塊被正確初始化表明管理模塊已經(jīng)正確安裝�。 步驟202 :管理模塊向EC發(fā)送安全信息���,在此過程中����,根據(jù)與EC之間的驗證條件 設(shè)置標志位��; 管理模塊發(fā)送的安全信息用來通知EC管理模塊已經(jīng)正確安裝����,進入了正常工作 狀態(tài)。此時���,管理模塊設(shè)置標志位表示管理模塊處于正常工作狀態(tài)���。若管理模塊沒有向EC 發(fā)送安全信息�����,則管理模塊不設(shè)置標志位��。 驗證條件是管理模塊與EC進行協(xié)商���,只為其二者所掌握的協(xié)議。管理模塊設(shè)置的 標志位用來表示管理模塊是否處于正常工作狀態(tài)���。 步驟203 :EC收到來自管理模塊的安全信息后�,根據(jù)與管理模塊之間的驗證條件 查看管理模塊是否設(shè)置了標志位�; 本實施例中,EC根據(jù)標志位得知管理模塊處于正常工作模式���。 管理模塊出現(xiàn)異常的時(即管理模塊被惡意替換或者管理模塊被損壞)由于不知 道與EC的驗證條件����,所以出現(xiàn)異常的管理模塊不會設(shè)置標志位��。即使出現(xiàn)異常的管理模塊 能夠向EC發(fā)送安全信息����,EC能夠接收到來自出現(xiàn)異常的管理模塊發(fā)送的安全信息,EC根據(jù) 與管理模塊之間的驗證條件查看管理模塊是否設(shè)置了標志位時�����,查看不到標志位�����,則確定 當前需要產(chǎn)生報警信息���。 步驟204 :EC還可以清除標志位��,啟動內(nèi)部的計時器����,進入定時檢測狀態(tài)�,并通知 管理模塊再次發(fā)送安全信息; EC可以向管理模塊發(fā)送SCI��,以通知管理模塊再次發(fā)送安全信息。 步驟205:EC在計時器設(shè)定的時間內(nèi)�����,再次根據(jù)與管理模塊之間的驗證條件查看
管理模塊是否設(shè)置了標志位���; 步驟206 :EC根據(jù)管理模塊是否設(shè)置了標志位執(zhí)行相應(yīng)的操作��。 具體為�����,若設(shè)置了標志位����,表示管理模塊處于正常工作模式�,EC繼續(xù)通知管理模塊
發(fā)送安全信息并返回步驟205,若沒有設(shè)置標志位���,表示管理模塊沒有處于正常工作模式��,
EC產(chǎn)生報警信息��。 在判斷出管理模塊沒有正常工作時�,EC可以向操作系統(tǒng)發(fā)送系統(tǒng)控制中斷(SCI, System Control Interrupt)����,以通知操作系統(tǒng)進入預(yù)警狀態(tài)���,預(yù)警狀態(tài)用于保證所述操作 系統(tǒng)的安全性���。操作系統(tǒng)進入預(yù)警狀態(tài)的表現(xiàn)形式可以包括重新啟動、鳴音��、彈出對話框等����。EC還可以直接掉電,來保證操作系統(tǒng)的安全性或者穩(wěn)定性�����。
下面以具體實例對本發(fā)明的有益效果進行詳細說明�。 例如,在計算機出廠的時候�����,基于安全的考慮通過BIOS將所有的接口給屏蔽掉,
而且安裝了管理模塊�,以USB接口為例,由該管理模塊統(tǒng)一管理USB接口的開和關(guān)���。當該管
理模塊檢測到插入到USB接口中的是鼠標時�����,就打開對應(yīng)的USB接口 ��,使鼠標可以正常使
用����。當插入U盤的時候�����,基于安全的考慮會將對應(yīng)的USB接口繼續(xù)屏蔽掉�,從而保護了計算
機中的數(shù)據(jù)。如果該管理模塊被替換掉或者被破壞的時候����,該管理模塊就不能夠管理USB
接口 了 ,而用戶也不知道����,此時用戶就不能有效的保護計算機上的數(shù)據(jù)���。 再比如,基于安全的考慮將硬盤劃分為兩個區(qū)域(一部區(qū)域為公共區(qū)域�,該公共
區(qū)域可以被任何級別的用戶訪問操作,一部分區(qū)域為隱私區(qū)域���,該隱私區(qū)域僅僅為管理員
級別的用戶才能夠進行訪問),在計算機出廠的時候?qū)蓚€區(qū)域的訪問權(quán)限都給屏蔽掉�����。安
裝了該管理模塊��,由該管理模塊統(tǒng)一管理對硬盤兩個區(qū)域訪問操作的開和關(guān)����,當檢測到訪
問硬盤的用戶為管理員用戶時,將兩個區(qū)域的訪問權(quán)限進行開放����。當檢測到訪問硬盤的用
戶為一般用戶時,將對公共區(qū)域的訪問權(quán)限開放�,對隱私區(qū)域的訪問權(quán)限進行屏蔽�,從而保
護了計算機中隱私區(qū)域的數(shù)據(jù)�����。如果該管理模塊被替換掉或者被破壞的時候�,該管理模塊
就不能夠管理用戶的訪問權(quán)限了,那么一般用戶也能夠訪問到隱私區(qū)域的數(shù)據(jù)了�,而用戶
也不知道,此時用戶就不能有效的保護計算機上的數(shù)據(jù)�����。 通過本發(fā)明提供的方法�����,當該管理模塊被替換或被破壞的后��,由于替換的新的應(yīng) 用程序不知道與EC之間的驗證條件���,所以就算EC接收到替換后的管理程序發(fā)送的信息����,EC 查看管理模塊并沒有設(shè)置標志位����,發(fā)現(xiàn)該管理模塊出現(xiàn)異常����,所以EC就判斷被替換的管理 程序是非法的��,從而產(chǎn)生報警信息以提示用戶�,最大程度的保證了操作系統(tǒng)的安全性。
請參考圖3�����,為本發(fā)明嵌入式控制器結(jié)構(gòu)圖��,可以包括
獲取單元301���,用于獲得所述管理模塊的信息; 判斷單元302��,用于根據(jù)與管理模塊之間的驗證條件以及所述獲取單元301獲得 的所述信息���,判斷所述管理模塊是否正常工作�����; 報警單元303���,用于在所述判斷單元302判斷出所述管理模塊沒有正常工作時�����,產(chǎn) 生一報警信息���。 所述判斷單元302包括 查看單元,用于在接收到所述信息之后�����,根據(jù)所述驗證條件查看所述管理模塊是 否設(shè)置了標志位����; 判斷子單元,用于根據(jù)所述查看單元查看的是否有所述標志位�,判斷所述管理模
塊是否處于正常工作模式。 所述嵌入式控制器還包括 清除單元���,用于清除所述標志位�����; 啟動單元�����,用于啟動計時器�,以進入定時檢測狀態(tài); 通知單元�����,用于在所述啟動單元啟動計時器的過程中�,通知所述管理模塊再次發(fā) 送所述信息; 所述判斷子單元還包括 第一判斷子單元�����,所述第一判斷子單元用于在所述計時器設(shè)定的時間內(nèi)��,再次根據(jù)所述標志位判斷所述管理模塊是否處于正常工作模式��。
結(jié)合方法實施例�,圖3各單元執(zhí)行的操作具體為 管理模塊被正確初始化���,進入正常工作狀態(tài)���,并向EC發(fā)送安全信息��,在此過程中����, 根據(jù)與EC之間的驗證條件設(shè)置標志位�。 EC的獲取單元301獲得來自管理模塊的安全信息后,查看單元根據(jù)與管理模塊之 間的驗證條件查看管理模塊是否設(shè)置了標志位�。管理模塊設(shè)置了標志位,判斷子單元判斷 出管理模塊處于正常工作模式��。 清除單元清除標志位�,啟動單元啟動計時器,在此過程中��,通知單元通知管理模塊 在此發(fā)送安全信息�。第一判斷子單元在計時器設(shè)定的時間內(nèi),繼續(xù)根據(jù)驗證條件查看管理 模塊是否設(shè)置的標志位����,根據(jù)管理模塊是否設(shè)置了標志位判斷管理模塊是否處于正常工作 模式。若管理模塊出現(xiàn)異常��,不向EC發(fā)送安全信息,則管理模塊也不設(shè)置標志位����。 一旦EC 判斷出管理模塊沒有設(shè)置標志位,則報警單元303產(chǎn)生一報警信息�。 可以看出,就算EC接收到替換后的管理程序發(fā)送的信息����,EC也不能識別,所以EC 就判斷被替換的管理程序是非法的��,從而產(chǎn)生報警信息以提示用戶�����,最大程度的保證了操 作系統(tǒng)的安全性�����。 本發(fā)明還提供了一種計算機�����,所述計算機包括上述嵌入式控制器以及主板��,所述 嵌入式控制器位于所述主板上��,所述嵌入式控制器包括
獲取單元����,用于獲得所述管理模塊的信息; 判斷單元���,用于根據(jù)與管理模塊之間的驗證條件以及所述獲取單元獲得的所述信 息�,判斷所述管理模塊是否正常工作���; 報警單元��,用于在所述判斷單元判斷出所述管理模塊沒有正常工作時����,產(chǎn)生一報
警信息����。 其中,該電子設(shè)備的嵌入式控制器各單元執(zhí)行的操作與圖3所示的各單元執(zhí)行的 操作相同�,具體請參見對圖3的描述。 最后�,還需要說明的是,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將 一個實體或者操作與另一個實體或操作區(qū)分開來�����,而不一定要求或者暗示這些實體或操作 之間存在任何這種實際的關(guān)系或者順序��。而且���,術(shù)語"包括"��、"包含"或者其任何其他變體 意在涵蓋非排他性的包含�����,從而使得包括一系列要素的過程����、方法����、物品或者設(shè)備不僅包括 那些要素,而且還包括沒有明確列出的其他要素���,或者是還包括為這種過程����、方法����、物品或
者設(shè)備所固有的要素。在沒有更多限制的情況下����,由語句"包括一個......"限定的要素,
并不排除在包括所述要素的過程����、方法、物品或者設(shè)備中還存在另外的相同要素��。 通過以上的實施方式的描述�,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借
助軟件加必需的硬件平臺的方式來實現(xiàn),當然也可以全部通過硬件來實施��,但很多情況下
前者是更佳的實施方式��?���;谶@樣的理解����,本發(fā)明的技術(shù)方案對背景技術(shù)做出貢獻的全部
或者部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�����,該計算機軟件產(chǎn)品可以存儲在存儲介質(zhì)中�����,如
R0M/RAM��、磁碟�、光盤等,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機�����,服務(wù)
器�,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法。 以上對本發(fā)明所提供的一種計算機及提升其操作系統(tǒng)安全性能的方法����、裝置進行
了詳細介紹,本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述�,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想����;同時���,對于本領(lǐng)域的一般技術(shù)人員, 依據(jù)本發(fā)明的思想����,在具體實施方式
及應(yīng)用范圍上均會有改變之處,綜上所述���,本說明書內(nèi) 容不應(yīng)理解為對本發(fā)明的限制����。
權(quán)利要求
一種提升計算機中操作系統(tǒng)安全性能的方法��,所述方法應(yīng)用于包括一嵌入式控制器EC和一管理模塊的計算機設(shè)備中����,所述管理模塊用于判斷一內(nèi)置或外置于所述計算機中的設(shè)備是否為合法設(shè)備或用于判斷用戶對一內(nèi)置或外置于所述計算機中的設(shè)備的操作是否合法,其特征在于����,所述管理模塊和所述EC間存在用于驗證所述管理模塊是否正常工作的驗證條件�,所述方法包括獲得所述管理模塊的信息�;根據(jù)所述驗證條件及所述信息,判斷所述管理模塊是否正常工作�����;在所述管理模塊沒有正常工作時����,產(chǎn)生一報警信息。
2. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述根據(jù)所述驗證條件及所述信息�����,判斷 所述管理模塊是否正常工作包括在接收到所述信息之后���,根據(jù)所述驗證條件查看所述管理模塊是否設(shè)置了標志位��; 根據(jù)所述管理模塊是否設(shè)置了所述標志位���,判斷所述管理模塊是否正常工作���。
3. 根據(jù)權(quán)利要求2所述的方法,其特征在于���,在根據(jù)所述標志位判斷所述管理模塊是 否正常工作之后�,所述方法還包括清除所述標志位�,且啟動計時器,并通知所述管理模塊再次發(fā)送所述信息�; 在所述計時器設(shè)定的時間內(nèi)��,再次根據(jù)所述標志位判斷所述管理模塊是否正常工作�。
4. 根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述產(chǎn)生一報警信息包括 通知所述操作系統(tǒng)進入預(yù)警狀態(tài),所述預(yù)警狀態(tài)用于保證所述操作系統(tǒng)的安全性�。
5. —種提升計算機中操作系統(tǒng)安全性能的嵌入式控制器,其特征在于���,所述嵌入式控 制器包括獲取單元�����,用于獲得所述管理模塊的信息��;判斷單元�����,用于根據(jù)與管理模塊之間的驗證條件以及從所述獲取單元獲得的所述信 息��,判斷所述管理模塊是否正常工作���;報警單元����,用于在所述判斷單元判斷出所述管理模塊沒有正常工作時�,產(chǎn)生一報警信息。
6. 根據(jù)權(quán)利要求5所述的嵌入式控制器���,其特征在于���,所述判斷單元包括 查看單元,用于在接收到所述信息之后����,根據(jù)所述驗證條件查看所述管理模塊是否設(shè)置了標志位����;判斷子單元���,用于根據(jù)所述查看單元查看的是否有所述標志位���,判斷所述管理模塊是 否正常工作。
7. 根據(jù)權(quán)利要求6所述的嵌入式控制器�����,其特征在于�����,所述嵌入式控制器還包括 清除單元����,用于清除所述標志位�����;啟動單元,用于啟動計時器�����,以進入定時檢測狀態(tài)�;通知單元,用于在所述啟動單元啟動計時器的過程中�����,通知所述管理模塊再次發(fā)送所 述信息�����;所述判斷子單元還包括第一判斷子單元�,用于在所述計時器設(shè)定的時間內(nèi),再次根據(jù)所述標志位判斷所述管 理模塊是否處于正常工作模式�����。
8. —種計算機��,其特征在于���,所述計算機包括嵌入式控制器以及主板���,所述嵌入式控制器位于所述主板上���,所述嵌入式控制器包括獲取單元,用于獲得所述管理模塊的信息���;判斷單元�,用于根據(jù)與管理模塊之間的驗證條件以及所述獲取單元獲得的所述信息�,判斷所述管理模塊是否正常工作;報警單元����,用于在所述判斷單元判斷出所述管理模塊沒有正常工作時,產(chǎn)生一報警信息�。
全文摘要
本發(fā)明公開了一種計算機及提升其操作系統(tǒng)安全性能的方法、裝置��。本發(fā)明公開的方法應(yīng)用于包括一嵌入式控制器EC和一管理模塊的計算機設(shè)備中�,所述管理模塊用于判斷一內(nèi)置或外置于所述計算機中的設(shè)備是否為合法設(shè)備或用于判斷用戶對一內(nèi)置或外置于所述計算機中的設(shè)備的操作是否合法��,所述管理模塊和所述EC間存在用于驗證所述管理模塊是否正常工作的驗證條件��,所述方法包括獲得所述管理模塊的信息���;根據(jù)所述驗證條件及所述信息�,判斷所述管理模塊是否正常工作;在所述管理模塊沒有正常工作時��,產(chǎn)生一報警信息��。通過本發(fā)明��,最大程度地保證了操作系統(tǒng)的安全性�����。
文檔編號G06F21/22GK101770558SQ20081024704
公開日2010年7月7日 申請日期2008年12月31日 優(yōu)先權(quán)日2008年12月31日
發(fā)明者馮曉毅 申請人:北京聯(lián)想軟件有限公司