[发明专利]一种硬件访问控制系统和方法

说明书

技术领域

本发明涉及一种计算机信息保护技术，特别是涉及一种计算机硬件访问控制系统和方法、以及计算机硬件访问记录系统和方法。

背景技术

随着计算机的应用越来越广泛，用户，特别是企业雇员，将越来越多的重要数据存储在计算机中，但是企业无法限制和记录私自拷贝公司机密数据。

为了解决这个问题，现在通用的计算机(如图1所示)通常采取的解决方案是：

1.物理地破坏硬件，如破坏USB端口，或拆卸硬件，如软驱。但是此方法限制了用户的正常拷贝行为，并造成机器损坏；

2.在操作系统(例如Windows XP)中安装相应的限制拷贝软件来提供数据拷贝安全措施，例如：限制通过USB端口拷贝，或限制软驱拷贝。这类软件是通过在操作系统内拦截用户的拷贝行为来实现阻拦用户的非法拷贝的，用户只有在得到授权(本地口令授权或网络授权)后方能进行数据拷贝。

但是，上述解决方案存在以下的问题：

1.需要在操作系统安装应用软件，其缺点是：用户可以通过格式化硬盘，重新安装操作系统，并且不装限制拷贝软件，来避免对数据拷贝的限制；

2.只能限制特定端口，如USB端口，用户可以通过添加硬件或其他端口来避开；

3.这对于用户是不透明的，用户可以检测到对数据拷贝的限制；

4.没有相应的机制对拷贝进行记录。

并且，如图2所示，在现有的虚拟机系统中，并未涉及到对数据拷贝的限制，也就是没有考虑到数据安全问题。并且，如果在虚拟机系统中按照通用的计算机的方式，在操作系统中安装限制拷贝软件来实现对数据拷贝进行限制时，也存在和通用的计算机同样的问题。

另一方面，现有的虚拟机系统中并没有建立对数据拷贝的记录，使得在发生非法数据拷贝时，也没有相应的记录来分析非法数据拷贝发生的情况，从而不能建立相应的机制来更好的防止非法数据拷贝。

有鉴于此，需要提供一种更好计算机信息的保护方案，通过控制数据拷贝防止计算机泄密，并且可以进一步对数据拷贝进行记录。

发明内容

本发明的目的是，提供一种计算机硬件访问控制系统。

本发明的另一目的是，提供一种计算机硬件访问控制方法。

一种硬件访问控制系统，包括具有客户操作系统、虚拟机监视器以及硬件设备的虚拟机系统，该硬件访问控制系统进一步包括授权管理服务器和位于虚拟机监视器中的访问控制模块。

其中，访问控制模块，用于在截获来自客户操作系统的设备访问指令后，通过网络向授权管理服务器发出授权请求，并根据授权管理服务器的反馈确定是否允许客户操作系统对硬件设备的访问；授权管理服务器，用于接收来自访问控制模块的授权请求，判断授权请求是否满足预定的授权策略，并向访问控制模块反馈相应的授权请求响应。

上述授权请求中携带的信息包括虚拟机系统的名称、客户操作系统所访问的硬件设备的类型以及硬件访问指令的类型。

另外，授权管理服务器在授权请求携带的信息不满足预定授权策略时，向访问控制模块反馈拒绝访问的授权请求响应，访问控制模块拒绝客户操作系统对硬件设备的访问。访问控制模块拒绝客户操作系统设备的访问的同时，向客户操作系统反馈拒绝访问的响应。

另外，授权管理服务器在授权请求携带的信息满足预定授权策略时，向访问控制模块反馈允许访问的授权请求响应，访问控制模块允许客户操作系统对硬件设备的访问。

另外，授权管理服务器在对授权请求进行判断的同时记录授权请求。进一步，授权管理服务器可以记录授权请求响应。

一种硬件访问控制方法，包括以下步骤：

截获客户操作系统对硬件设备的访问请求，并产生相应的授权请求；

判断授权请求是否满足预定的授权策略并产生相应的授权请求响应；

根据授权请求响应，允许或者拒绝客户操作系统对硬件设备的访问。

在上述方法中，如果授权请求是否满足预定的授权策略，则授权请求响应表示允许客户操作系统对硬件设备的访问，否则授权请求响应表示拒绝客户操作系统对硬件设备的访问。

上述授权请求中携带的信息包括虚拟机系统的名称、客户操作系统所访问的硬件设备的类型以及硬件访问指令的类型。

在上述方法中，在判断授权请求是否满足预定的授权策略同时记录授权请求。进一步，在允许或者拒绝客户操作系统访问硬件设备同时，记录授权请求响应。

与现有技术相比，本发明的有益效果是：