[发明专利]一种计算机防护的装置及方法

权利要求书

1.一种计算机防护的装置，其特征在于，包括：策略管理单元、硬件度量单元、软件度量单元及执行单元；

所述策略管理单元，用于接收外部发送的策略配置消息，根据所述策略配置消息，配置待度量硬件设备及待度量内核文件；

所述硬件度量单元，用于在计算机上电后对所述策略管理单元配置的待度量硬件设备进行度量，获取第一度量值；

所述软件度量单元，用于对所述策略管理单元配置的待度量内核文件进行度量，获取第二度量值；

所述执行单元，用于判断所述硬件度量单元获取的第一度量值是否与所述待度量硬件设备的标准度量值相同，如果是，允许所述待度量硬件设备启动，如果否，接收外部发送的第一启动特权码或向外部发送第一警示消息后，允许所述待度量硬件设备启动，并判断所述软件度量单元获取的第二度量值是否与所述待度量内核文件的标准度量值相同，如果是，允许引导操作系统启动，如果否，接收外部发送的第二启动特权码或向外部发送第二警示消息后，允许引导操作系统启动。

2.根据权利要求1所述的装置，其特征在于，

所述策略管理单元，进一步用于对所述待度量硬件设备及待度量内核文件的启动模式进行设置，其中所述启动模式包括特权启动模式及警示启动模式；

所述执行单元，用于在判断所述第一度量值与所述待度量硬件设备的标准度量值不同后，进一步判断所述待度量硬件设备的启动模式是否为特权启动模式，如果是，接收外部发送的第一启动特权码后，允许所述待度量硬件设备启动，否则，向外部发送警示所述待度量硬件设备出现异常的第一警示消息后，允许所述待度量设备启动，并在判断所述第二度量值与所述待度量内核文件的标准度量值不同后，进一步判断所述待度量内核文件的启动模式是否为特权启动模式，如果是，接收外部发送的第二启动特权码后，允许引导操作系统启动，否则，向外部发送警示所述待度量内核文件出现异常的第二警示消息后，允许引导操作系统启动。

3.根据权利要求2所述的装置，其特征在于，

所述策略管理单元，进一步用于接收外部发送的策略更新消息，根据所述策略更新消息，对所述待度量硬件设备及待度量内核文件进行相应的增加或删除，并对所述待度量硬件设备及待度量内核文件的启动模式进行修改。

4.根据权利要求3所述的装置，其特征在于，进一步包括：访问控制单元；

所述访问控制单元，用于根据预先设置的白名单，判断向所述策略管理单元发送策略配置消息及策略更新消息的信息发送端是否在所述白名单内，如果是，允许所述策略管理单元接收所述信息发送端发送的所述策略配置消息或策略更新消息，否则，阻止所述策略管理单元接收所述策略配置消息或策略更新消息。

5.根据权利要求3所述的装置，其特征在于，

所述硬件度量单元，用于在所述策略管理单元配置待度量硬件设备后，及所述策略管理单元对所述待度量硬件设备进行增加或删除后，对所述待度量硬件设备进行度量，形成所述待度量硬件设备的标准度量值，将所述待度量硬件设备的标准度量值存储在TPM芯片中；

所述软件度量单元，用于在所述策略管理单元配置待度量内核文件后，及所述策略管理单元对所述待度量内核文件进行增加或删除后，对所述待度量内核文件进行度量，形成所述待度量内核文件的标准度量值，将所述待度量内核文件的标准度量值存储在所述TPM芯片中；

所述执行单元，用于从所述TPM芯片中读取所述待度量硬件设备的标准度量值及所述待度量内核文件的标准度量值，分别判断所述第一度量值与所述待度量硬件设备的标准度量值及所述第二度量值与所述待度量内核文件的标准度量值是否相同。

6.一种计算机防护的方法，其特征在于，包括：

接收外部发送的策略配置消息，根据所述策略配置消息，配置待度量硬件设备及待度量内核文件；

计算机上电后对所述待度量硬件设备进行度量，获得第一度量值；

判断所述第一度量值是否与所述待度量硬件设备的标准度量值相同，如果是，允许所述待度量硬件设备启动，如果否，接收外部发送的第一启动特权码或向外部发送第一警示消息后，允许所述待度量硬件设备启动；

对所述待度量内核文件进行度量，获取第二度量值；

判断所述第二度量值是否与所述待度量内核文件的标准度量值相同，如果是，允许引导操作系统启动，如果否，接收外部发送的第二启动特权码或向外部发送第二警示消息后，允许引导操作系统启动。