[发明专利]一种计算机外设接口关断与恢复的多层次协同控制方法

权利要求书

1.一种计算机外设接口关断与恢复的多层次协同控制方法，其特征在于，所述方法包括以下步骤：

S1、预先在可信计算机主板上设置硬件控制通路装置；

S2、将可信计算机中的可信密码模块、主板BIOS固件和操作系统设置为外设接口关断与恢复的控制方，并对可信计算机上电；

S3、可信计算机上电后进入可信引导阶段，所述可信密码模块、主板BIOS固件和操作系统依次分别读取对应的外设接口配置信息并进行多层次协同访问操作通路生成外设接口控制动作，然后可信密码模块将所接收的外设接口控制动作转换为可信密码模块对硬件控制通路装置的操作信号，通过硬件控制通路装置对外设接口进行关断或恢复操作；

所述硬件控制通路装置与可信密码模块、主板BIOS固件和操作系统之间的多层次协同访问操作通路的建立包括：

①建立硬件控制通路装置与可信密码模块之间的访问操作通路：利用硬件控制通路装置为每个外设接口均提供一个与供电控制开关对应的供电控制信号线，一个与接口使能开关对应的使能控制信号线，以及一个与链路选通开关对应的选通控制信号线；可信密码模块采用三个GPIO信号分别与每个外设接口的供电控制信号线、使能控制信号线和选通控制信号线连接，并在可信密码模块内部设置用于存储硬件控制通路装置的控制信号线状态配置值的GPIO信号外设接口配置寄存器；通过可信密码模块改变配置寄存器的GPIO信号值对硬件控制通路装置的供电控制开关、接口使能开关和链路选通开关进行打开或关闭控制；

②建立硬件控制通路装置与主板BIOS固件之间的访问操作通路：当所述主板BIOS固件被载入可信计算机的微处理器执行时，主板BIOS固件加载可信密码模块驱动程序，并通过微处理器与可信密码模块之间的接口来访问可信密码模块中的外设接口配置寄存器；然后通过主板BIOS固件读取外设接口配置信息并确定外设接口的配置方式，再将所确定的外设接口配置方式写入可信密码模块中的外设接口配置寄存器，可信密码模块根据外设接口配置寄存器的内容对硬件控制通路装置的供电控制开关、接口使能开关和链路选通开关进行打开或关闭控制；

③建立硬件控制通路装置与操作系统之间的访问操作通路：当所述操作系统被载入到可信计算机的微处理器执行时，操作系统加载可信密码模块驱动程序，并通过微处理器与可信密码模块之间的接口来访问可信密码模块中的外设接口配置寄存器；然后通过操作系统读取外设接口配置信息或获取外设接口访问控制策略后确定外设接口配置方式或外设接口控制方式并写入可信密码模块的外设接口配置寄存器中，最后可信密码模块根据外设接口配置寄存器的内容对硬件控制通路装置的供电控制开关、接口使能开关和链路选通开关进行打开或关闭控制；

S4、当可信引导阶段结束后，可信计算机自动进入系统运行阶段，所述操作系统根据外设接口的访问控制策略发起外设接口的控制动作，并通过可信密码模块和硬件控制通路装置的多层次协同访问操作通路生成外设接口控制动作，可信密码模块将所接收的外设接口控制动作转换为可信密码模块对硬件控制通路装置的操作信号，然后通过硬件控制通路装置对外设接口进行关断或恢复操作；

所述外设接口的访问控制策略具体包括：

S41、所述操作系统实时读取并监测可信计算机内存储的安全策略文件，当安全策略文件中定义的外设接口控制规则发生变化时，可信计算机以系统调用消息的命令方式将外设接口控制请求发送给外设接口驱动程序；

S42、所述外设接口驱动程序接收到外设接口控制请求后发起外设接口控制动作，通过可信密码模块和硬件控制通路装置的多层次软硬件访问操作通路生成外设接口控制动作；

S43、所述可信密码模块接收操作系统的外设接口控制动作，并将所接收到的外设接口控制动作转换为对硬件控制通路装置的操作信号，通过硬件控制通路装置对外设接口进行关断或恢复操作。

2.如权利要求1所述的计算机外设接口关断与恢复的多层次协同控制方法，其特征在于，所述外设接口包括外设接口组成模块，外设接口组成模块包括供电单元、控制器单元和对外链路单元。