专利名称:一种只读存储器、数据安全保护系统、方法及计算机的制作方法
技术领域:
本发明主要涉及计算机安全技术领域,特别是指一种只读存储器、数据安全保护系统、方法及计算机。
背景技术:
随着科学技术的发展,数据安全问题越来越受到广大用户的关注,数据安全保护已经成为计算机领域一项重要的研究领域,存储单元中的数据安全尤为重要,以 SPKSerial Peripheral hterface,串行外围设备接口)ROM (Read-onIymemory,只读存储器)为例,SPI ROM是很多病毒的攻击目标,因此,必须对SPI ROM进行有效的保护。但是, 目前保护SPI ROM安全的方式非常少,SPI的读写命令是由SPI设备固定的,不能更改,所以目前SPI ROM的读写没有秘密可言。在现有技术中,一种保护存储单元数据安全的方法是设计一种额外电路,通过所述额外电路控制所述存储单元的读写操作,如通过设计额外电路控制SPI-WP#,从而达到保护SPI ROM安全的目的,但这种方法需要对代码(如BIOS (Basic Input Output System基本输入输出系统)层的代码)进行复杂设计,并且在硬件上需要设计额外的电路,因此实现比较复杂,并且提高了成本。
发明内容
本发明实施例提出一种只读存储器、数据安全保护系统、方法及计算机。只读存储器ROM接受访问单元基于安全操作代码的访问请求,而拒绝接受其它的访问请求,从而保护了只读存储器ROM的安全。本发明实施例的技术方案是这样实现的一种只读存储器,包括代码生成模块,用于在启动后生成对所述只读存储器执行操作的安全操作代码;第一发送模块,用于将所述安全操作代码发送至访问单元;第一接收模块,用于接收所述访问单元发送的基于所述安全操作代码的访问请求,并根据所述安全操作代码执行相应的操作。优选的,还包括第二接收模块,用于接收所述访问单元发送的启动命令,所述启动命令用于启动所述代码生成模块。优选的,所述只读存储器为存储基本输入输出系统代码的串行外围设备接口只读存取器。优选的,所述访问单元为被中央处理器执行的基本输入输出系统。一种数据安全保护系统,包括访问单元和只读存储器,其特征在于,所述只读存储器包括代码生成模块,用于在启动后生成对所述只读存储器执行操作的安全操作代码;
4
第一发送模块,用于将所述安全操作代码发送至所述访问单元;第一接收模块,用于接收所述访问单元发送的基于所述安全操作代码的访问请求,并根据所述安全操作代码执行相应的操作。优选的,所述只读存储器还包括第二接收模块,用于接收所述访问单元发送的启动命令,所述启动命令用于启动所述代码生成模块。优选的,所述访问单元包括第二发送模块,用于发送所述启动命令至所述只读存储器;第三接收模块,用于接收所述只读存储器发送的所述安全操作代码;第三发送模块,用于发送基于所述安全操作代码的访问请求至所述只读存储器。优选的,所述只读存储器为存储基本输入输出系统代码的串行外围设备接口只读存取器。优选的,所述访问单元为被中央处理器执行的基本输入输出系统。一种数据安全保护方法,应用于由访问单元和只读存储器组成的数据安全保护系统中,包括根据启动命令生成对所述只读存储器执行操作的安全操作代码;将所述安全操作代码发送至访问单元;接收所述访问单元发送的基于所述安全操作代码的访问请求,并根据所述安全操作代码执行相应的操作。优选的,所述只读存储器为存储基本输入输出系统代码的串行外围设备接口只读存取器。优选的,所述访问单元为被中央处理器执行的基本输入输出系统。一种计算机,包括中央处理器;北桥芯片,所述北桥芯片与所述中央处理器连接;系统存储器,所述系统存储器与所述北桥芯片连接;南桥芯片,所述南桥芯片与所述北桥芯片连接;只读存储器,所述只读存储器与所述南桥芯片连接;所述只读存储器包括代码生成模块,用于在启动后生成对所述只读存储器执行操作的安全操作代码;第一发送模块,用于将所述安全操作代码发送至访问单元,所述访问单元为被所述中央处理器执行的基本输入输出系统;第一接收模块,用于接收所述访问单元发送的基于所述安全操作代码的访问请求,并根据所述安全操作代码执行相应的操作。优选的,所述只读存储器为存储基本输入输出系统代码的串行外围设备接口只读存取器。本发明所述技术方案通过代码生成模块生成安全操作代码,访问单元基于所述安全操作代码发送访问请求至只读存储器,而只读存储器拒绝接受其它访问请求,从而有效的保护了只读存储器的安全,并且不需要设计额外电路,实现简单,减少了成本。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本发明一种只读存储器优选实施例的组成结构图;图2为本发明一种数据安全保护系统优选实施例的组成结构图;图3为本发明一种计算机优选实施例的组成结构图;图4为本发明一种数据安全保护方法优选实施例的流程示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。参照图1,示出了本发明一种只读存储器优选实施例的组成结构图。
所述只读存储器R0M100,包括代码生成模块110,用于在启动后生成对所述只读存储器R0M100执行操作的安全操作代码。所述安全操作代码为能对所述只读存储器R0M100执行读、写或其它操作的命令。第一发迭模块120,用于将所述安全操作代码发送至访问单元。第一接收模块130,用于接收所述访问单元发送的基于所述安全操作代码的访问请求,并根据所述安全操作代码执行相应的操作。根据所述安全操作代码执行相应的操作包括读操作、写操作以及其它的操作。在本发明的另一实施例中,所述只读存储器R0M100还包括第二接收模块140,用于接收所述访问单元发送的启动命令,所述启动命令用于启动所述代码生成模块110。其中,所述只读存储器R0M100可以为存储BIOS代码的串行外围设备接口只读存取器 SPI ROM, LPC (Low Pin Count,少针脚型接口)ROM、PCI (Peripheral Component Interconnect,周边元件扩展接口)ROM或其它类型的只读存储器ROM,本发明实施例优选为 SPI ROM。所述访问单元为被中央处理器CPU执行的基本输入输出系统BIOS。存储于R0M100中的BIOS代码在开机上电时通过硬件映射到系统存储器中,并被 CPU执行相应的BIOS命令,执行于CPU中的BIOS通过相应命令访问只读存储器R0M100,因此本发明中的所述访问单元为被中央处理器CPU执行的基本输入输出系统BIOS。所述代码生成模块110是以FW(firmware,固件)的形式存在于所ROM中。在计算机中,所述代码生成模块110在每次开机时只能生成唯一的安全操作代码。本发明所述技术方案通过代码生成模块生成安全操作代码,访问单元基于所述安全操作代码发送访问请求至只读存储器ROM,而只读存储器ROM拒绝接受其它访问请求, 从而有效的保护了只读存储器ROM的安全,并且不需要设计额外电路,实现简单,减少了成本。参照图2,示出了本发明一种数据安全保护系统优选实施例的组成结构图。所述数据安全保护系统,包括访问单元200和只读存储器R0M100。所述只读存储器R0M100,包括代码生成模块110,用于在启动后生成对所述只读存储器R0M100执行操作的安全操作代码。所述安全操作代码为能对所述只读存储器R0M100执行读、写或其它操作的命令。第一发送模块120,用于将所述安全操作代码发送至访问单元200。第一接收模块130,用于接收所述访问单元200发送的基于所述安全操作代码的访问请求,并根据所述安全操作代码执行相应的操作。根据所述安全操作代码执行相应的操作包括读操作、写操作以及其它的操作。在本发明的另一实施例中,所述只读存储器R0M100还包括第二接收模块140,用于接收所述访问单元200发送的启动命令,所述启动命令用于启动所述代码生成模块110。所述访问单元200包括第二发送模块210,用于发送所述启动命令至所述只读存储器R0M100。第三接收模块220,用于接收所述只读存储器R0M100发送的所述安全操作代码。第三发送模块230,用于发送基于所述安全操作代码的访问请求至所述只读存储器 R0M100。其中,所述只读存储器R0M100可以为存储BIOS代码的串行外围设备接口只读存取器 SPI ROM, LPC (Low Pin Count,少针脚型接口)ROM、PCI (Peripheral Component Interconnect,周边元件扩展接口)ROM或其它类型的只读存储器ROM,本发明实施例优选为 SPI ROM。所述访问单元200为被中央处理器CPU执行的基本输入输出系统BIOS。存储于R0M100中的BIOS代码在开机上电时通过硬件映射到系统存储器中,并被 CPU执行相应的BIOS命令,执行于CPU中的BIOS通过相应命令访问只读存储器R0M100,因此本发明中的所述访问单元200为被中央处理器CPU执行的基本输入输出系统BIOS。本发明所述技术方案通过代码生成模块生成安全操作代码,访问单元基于所述安全操作代码发送访问请求至只读存储器R0M,而只读存储器ROM拒绝接受其它访问请求, 从而有效的保护了只读存储器ROM的安全,并且不需要设计额外电路,实现简单,减少了成本。参照图3,示出了本发明一种计算机优选实施例的组成结构图。所述计算机300 包括中央处理器310,北桥芯片320,所述北桥芯片320与所述中央处理器310连接,系统存储器330,所述系统存储器330与所述北桥芯片320连接,南桥芯片340,所述南桥芯片 340与所述北桥芯片320连接,只读存储器R0M100,所述只读存储器R0M100与所述南桥芯片340连接。所述只读存储器R0M100,包括
7
代码生成模块110,用于在启动后生成对所述只读存储器R0M100执行操作的安全操作代码。所述安全操作代码为能对所述只读存储器R0M100执行读、写或其它操作的命令。第一发送模块120,用于将所述安全操作代码发送至访问单元200。第一接收模块130,用于接收所述访问单元200发送的基于所述安全操作代码的访问请求,并根据所述安全操作代码执行相应的操作。根据所述安全操作代码执行相应的操作包括读操作、写操作以及其它的操作。在本发明的另一实施例中,所述只读存储器R0M100还包括第二接收模块140,用于接收所述访问单元200发送的启动命令,所述启动命令用于启动所述代码生成模块110。所述访问单元200包括第二发送模块210,用于发送所述启动命令至所述只读存储器R0M100。第三接收模块220,用于接收所述只读存储器R0M100发送的所述安全操作代码。第三发送模块230,用于发送基于所述安全操作代码的访问请求至所述只读存储器 R0M100。其中,所述只读存储器R0M100可以为存储BIOS代码的串行外围设备接口只读存取器 SPI ROM, LPC (Low Pin Count,少针脚型接口)ROM、PCI (Peripheral Component Interconnect,周边元件扩展接口)ROM或其它类型的只读存储器ROM,本发明实施例优选为 SPI ROM。所述访问单元200为被中央处理器CPU执行的基本输入输出系统BIOS,因此所述访问单元200并不是一个物理存在的组成部分,而是被中央处理器CPU执行的BIOS命令。存储于R0M100中的BIOS代码在开机上电时通过硬件映射到系统存储器330 中,并被CPU执行相应的BIOS命令,执行于CPU中的BIOS通过相应命令访问只读存储器 R0M100,因此本发明中的所述访问单元200为被中央处理器CPU执行的基本输入输出系统 BIOS。所述代码生成模块110是以FW(firmware,固件)的形式存在于所述R0M100中。 在计算机300中,所述代码生成模块110在每次开机时只能生成唯一的安全操作代码。本发明所述技术方案通过代码生成模块生成安全操作代码,访问单元基于所述安全操作代码发送访问请求至只读存储器R0M,而只读存储器ROM拒绝接受其它访问请求, 从而有效的保护了只读存储器ROM的安全,并且不需要设计额外电路,实现简单,减少了成本。参照图4,示出了本发明一种数据安全保护方法优选实施例的流程示意图,所述数据安全保护方法应用于由访问单元200和只读存储器R0M100组成的数据安全保护系统中。所述数据安全保护方法包括步骤S410、根据启动命令生成对所述只读存储器ROM执行操作的安全操作代码。步骤S420、将所述安全操作代码发送至访问单元。步骤S430、接收所述访问单元发送的基于所述安全操作代码的访问请求,并根据所述安全操作代码执行相应的操作。在本发明的另一实施例中,所述步骤S410前还可以包括
8
步骤S400、接收所述访问单元发送的启动命令。其中,所述只读存储器ROM可以为存储BIOS代码的串行外围设备接口只读存取器 SPI ROM、LPC (Low Pin Count,少针脚型接口)R0M、PCI (Peripheral Component Interconnect,周边元件扩展接口)ROM或其它类型的只读存储器ROM,本发明实施例优选为 SPI ROM。所述访问单元为被中央处理器CPU执行的基本输入输出系统BIOS,因此所述访问单元并不是一个物理存在的组成部分,而是被中央处理器CPU执行的BIOS命令。存储于ROM中的BIOS代码在开机上电时通过硬件映射到系统存储器330中,并被 CPU执行相应的BIOS命令,执行于CPU中的BIOS通过相应命令访问只读存储器R0M,因此本发明中的所述访问单元为被中央处理器CPU执行的基本输入输出系统BIOS。本发明所述技术方案通过代码生成模块生成安全操作代码,访问单元基于所述安全操作代码发送访问请求至只读存储器R0M,而只读存储器ROM拒绝接受其它访问请求, 从而有效的保护了只读存储器ROM的安全,并且不需要设计额外电路,实现简单,减少了成本。本领域普通技术人员可以理解,在本发明各方法实施例中,所述各步骤的序号并不能用于限定各步骤的先后顺序,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,对各步骤的先后变化也在本发明的保护范围之内。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种只读存储器,其特征在于,包括代码生成模块,用于在启动后生成对所述只读存储器执行操作的安全操作代码; 第一发送模块,用于将所述安全操作代码发送至访问单元;第一接收模块,用于接收所述访问单元发送的基于所述安全操作代码的访问请求,并根据所述安全操作代码执行相应的操作。
2.根据权利要求1所述的只读存储器,其特征在于,还包括第二接收模块,用于接收所述访问单元发送的启动命令,所述启动命令用于启动所述代码生成模块。
3.根据权利要求1或2所述的只读存储器,其特征在于,所述只读存储器为存储基本输入输出系统代码的串行外围设备接口只读存取器。
4.根据权利要求3所述的只读存储器,其特征在于,所述访问单元为被中央处理器执行的基本输入输出系统。
5.一种数据安全保护系统,其特征在于,包括访问单元和只读存储器,其特征在于,所述只读存储器包括代码生成模块,用于在启动后生成对所述只读存储器执行操作的安全操作代码; 第一发送模块,用于将所述安全操作代码发送至所述访问单元; 第一接收模块,用于接收所述访问单元发送的基于所述安全操作代码的访问请求,并根据所述安全操作代码执行相应的操作。
6.根据权利要求5所述的数据安全保护系统,其特征在于,所述只读存储器还包括 第二接收模块,用于接收所述访问单元发送的启动命令,所述启动命令用于启动所述代码生成模块。
7.根据权利要求6所述的数据安全保护系统,其特征在于,所述访问单元包括 第二发送模块,用于发送所述启动命令至所述只读存储器;第三接收模块,用于接收所述只读存储器发送的所述安全操作代码; 第三发送模块,用于发送基于所述安全操作代码的访问请求至所述只读存储器。
8.根据权利要求5至7任一项所述的数据安全保护系统,其特征在于,所述只读存储器为存储基本输入输出系统代码的串行外围设备接口只读存取器。
9.根据权利要求8所述的数据安全保护系统,其特征在于,所述访问单元为被中央处理器执行的基本输入输出系统。
10.一种数据安全保护方法,应用于由访问单元和只读存储器组成的数据安全保护系统中,其特征在于,包括根据启动命令生成对所述只读存储器执行操作的安全操作代码; 将所述安全操作代码发送至访问单元;接收所述访问单元发送的基于所述安全操作代码的访问请求,并根据所述安全操作代码执行相应的操作。
11.根据权利要求10所述的数据安全保护方法,其特征在于,所述只读存储器为存储基本输入输出系统代码的串行外围设备接口只读存取器。
12.根据权利要求11所述的数据安全保护方法,其特征在于,所述访问单元为被中央处理器执行的基本输入输出系统。
13.一种计算机,其特征在于,包括 中央处理器;北桥芯片,所述北桥芯片与所述中央处理器连接; 系统存储器,所述系统存储器与所述北桥芯片连接; 南桥芯片,所述南桥芯片与所述北桥芯片连接; 只读存储器,所述只读存储器与所述南桥芯片连接; 所述只读存储器包括代码生成模块,用于在启动后生成对所述只读存储器执行操作的安全操作代码; 第一发送模块,用于将所述安全操作代码发送至访问单元,所述访问单元为被所述中央处理器执行的基本输入输出系统;第一接收模块,用于接收所述访问单元发送的基于所述安全操作代码的访问请求,并根据所述安全操作代码执行相应的操作。
14.根据权利要求13所述的计算机,其特征在于,所述只读存储器为存储基本输入输出系统代码的串行外围设备接口只读存取器。
全文摘要
本发明实施例公开了一种只读存储器、数据安全保护系统、方法及计算机。所述只读存储器包括代码生成模块,用于在启动后生成对所述只读存储器执行操作的安全操作代码;第一发送模块,用于将所述安全操作代码发送至访问单元;第一接收模块,用于接收所述访问单元发送的基于所述安全操作代码的访问请求,并根据所述安全操作代码执行相应的操作。本发明技术方案中只读存储器接受访问单元基于安全操作代码的访问请求,而拒绝接受其它的访问请求,从而保护了只读存储器的安全。
文档编号G06F12/14GK102207910SQ201010136598
公开日2011年10月5日 申请日期2010年3月29日 优先权日2010年3月29日
发明者李鑫, 高晔 申请人:联想(北京)有限公司