本發明實施例提供一種可信Option ROM的訪問控制方法及裝置，所述方法包括：檢測到用戶的訪問請求時，對所述用戶的身份信息進行認證；當所述用戶的身份信息認證通過時，獲取與所述身份信息對應的Option ROM白名單；根據白名單中的地址信息確定對應Option ROM的所在位置，并通過預設的度量模塊度量所述Option ROM，得到度量值；將所述度量值與所述白名單中的基準值進行對比，當所述度量值與所述基準值匹配時，則授予所述用戶訪問所述Option ROM的權限。采用本方法能夠有效地避免了低安全等級和惡意用戶可能對系統造成的危害。

技術領域

本發明涉及計算機軟件系統技術領域，尤其涉及一種可信Option ROM的訪問控制方法及裝置。

背景技術

服務器中存在各種外設，特別是PCI設備，用于為服務器提供所需的功能擴展。PCIOption ROM是PCI設備上用于初始化PCI設備和系統啟動的程序，對PCI Option ROM加以保護對于具有PCI設備自主知識產權的服務器廠商具有重要意義。

目前在配置BIOS Option ROM的系統中，設置基準口令并保存于可信模塊的存儲區域中，進入BIOS Option ROM之前，進行身份認證，若身份認證一致則通過，可以進入BIOSOption ROM，對系統啟動項進行訪問與配置，若認證不通過，則無法對系統啟動項進行訪問與配置。

上述方法只是在加載Option ROM前對用戶身份進行驗證，若通過則可加載全部的Option ROM，不通過則系統啟動過程中斷。這種粗粒度的Option ROM管理方式不能對系統的PCI設備進行靈活有效的控制，存在低安全等級或惡意的用戶登錄系統后可能會通過PCI設備進行不安全的操作從而對系統造成無法預計的損失。

發明內容

針對現有技術中存在的問題，本發明實施例提供一種可信Option ROM的訪問控制方法及裝置。

本發明實施例提供一種可信Option ROM的訪問控制方法，包括：

檢測到用戶的訪問請求時，對所述用戶的身份信息進行認證；

當所述用戶的身份信息認證通過時，獲取與所述身份信息對應的Option ROM白名單；

根據白名單中的地址信息確定對應Option ROM的所在位置，并通過預設的度量模塊度量所述Option ROM，得到度量值；

將所述度量值與所述白名單中的基準值進行對比，當所述度量值與所述基準值匹配時，則授予所述用戶訪問所述Option ROM的權限。

在其中一個實施例中，所述方法還包括：

將所述Option ROM加入映射表，并將所述映射表中的Option ROM讀入內存，加載并啟動對應的PCI設備。

在其中一個實施例中，所述方法還包括：

獲取與所述身份信息對應的角色信息，不同的所述角色信息對應不同的訪問權限；

根據所述角色信息獲取對應的Option ROM白名單。

在其中一個實施例中，所述方法還包括：

生成與系統中每個所述角色信息對應的Option ROM白名單。

在其中一個實施例中，所述方法還包括：

當檢測到新PCI設備插入時，通過所述新PCI設備的寄存器判斷所述新PCI設備是否支持Option ROM；

當判斷結果為所述新PCI設備支持Option ROM時，通過所述新PCI設備的代碼檢測所述新PCI設備是否符合當前環境版本；