[发明专利]防篡改控制的系统和方法

说明书

背景技术

当计算机的拥有者允许其他人使用该计算机(例如雇主提供计算机 以供雇员使用)时，该计算机的拥有者可能希望限制某些端口和/或设备 的使用。例如，雇主可能希望限制雇员从计算机设备拷贝数据的能力。 某些操作系统提供禁用端口和/或设备的方法；然而，有经验的用户会使 软件操作系统安全协议失效并且启用所述端口和外围设备。

附图说明

图1是包括电子设备的防篡改(tamper-resistant)控制的电子设备 的框图；以及

图2是图示防篡改控制方法的实施例的流程图。

具体实施方式

图1是包括防篡改控制系统12的电子设备10的框图。电子设备10 可以包括任何类型的电子设备，例如但不限于桌上型计算机、便携式笔 记本计算机、可变换的(convertible)便携式计算机、平板计算机、工 作站或服务器。

在图1所图示的实施例中，电子设备10包括中央处理单元(CPU) 14、固件16、存储器18和部件设备20。在图1中，固件16耦合到CPU 14、存储器18和(一个或多个)部件设备20。固件16被配置成为电子 设备10提供引导(boot-up)功能性。例如，在一些实施例中，固件16 执行初始通电指令，例如配置CPU14以及使得CPU14在预定的时间开 始执行指令。固件16可以包括基本输入/输出系统(BIOS)22；然而， 应该理解，固件16可以包括用于提供引导功能性的其它系统或设备。 在图1所图示的实施例中，BIOS16包括安全模块24，以将对BIOS22 的访问限制到仅具有密码的用户。安全模块24可以包括硬件、软件或 硬件和软件的组合，并且被用来验证或认证尝试访问BIOS22的用户的 身份。存储器18可以包括易失性存储器、非易失性存储器和永久存储 装置。在图1中，存储器18包括可以被CPU14加载和/或以其它方式 执行的操作系统(OS)26。系统12的实施例使得能够经由固件16为(一 个或多个)部件设备20应用或设定设置，以将(一个或多个)部件设 备20指示为被启用(例如能够由OS26使用和/或为了其的使用而以其 它方式访问)或被禁用(例如对OS26禁用和/或以其它方式对OS26 不可用，以使得OS26不能容易地访问(一个或多个)部件设备20和/ 或与(一个或多个)部件设备20交互)。在操作中，防篡改配置控制 系统12被配置成在加载OS26之前经由从BIOS22发布的命令来禁用 和锁定(一个或多个)部件设备20上的一个或多个端口28。

在图1所图示的实施例中，(一个或多个)部件设备20包括任何 类型的设备，例如但不限于多外围部件互连(PCI)设备、通用串行总 线(USB)设备、调制解调器、麦克风、数字视频盘(DVD)驱动器或 任何其它类型的设备。在图1所图示的实施例中，(一个或多个)部件 设备20包括微处理器32、一个或多个存储器寄存器(memoryregister) 34、以及用于促进与特定部件设备20外部的设备的通信接合的(一个 或多个)设备端口28。存储器寄存器34包括由微处理器32存储的信息， 该信息与(一个或多个)部件设备20的各种预置和/或操作参数相关联。 在图1所图示的实施例中，存储器寄存器34至少包括启用/禁用寄存器 36和锁定状态寄存器38。在图1中，启用/禁用寄存器36包括存储在其 非易失性存储器中的启用/禁用标志40。启用/禁用标志40被用来指示 (一个或多个)部件设备20的设置或者是被启用以供使用或者是被禁 用而不能使用。例如，启用/禁用标志40被用来指示在特定部件设备20 上的端口28是被启用以供使用还是被禁用而不能使用。因此，在一些 实施例中，如果启用/禁用标志40被设置为“是”，则设备20的设置包 括启用设置，以启用对设备20的使用。相应地，如果启用/禁用标志40 被设置为“否”，则设备20的设置包括禁用设置以另外禁用设备20， 从而防止对其的使用。应该理解，标志40可以以其它方式设置，以指 示设备20的启用或禁用状态。

在图1中，锁定状态寄存器38包括存储在其非易失性存储器中的 锁定/未锁定标志42。该锁定/未锁定标志42被用来指示启用/禁用寄存 器36是锁定的还是未锁定的。因此，在一些实施例中，如果锁定/未锁 定标志42被设置为“是”，则启用/禁用寄存器36的设置被锁定(以对 寄存器36和38进行写保护和/或以其它方式防止对其的改变)。