專利名稱:計算機系統(tǒng)保安措施的制作方法
技術領域:
本發(fā)明涉及具有多級保安措施的計算機系統(tǒng)�����,具體說��,是具有上電口令的那些計算機系統(tǒng)�。
1987年10月的IBM技術發(fā)明公報第30卷第5期的第57���、58頁發(fā)明了一種個人計算機保安系統(tǒng)���。諸如IBM個人系統(tǒng)/2(IBM和個人系統(tǒng)/2-PS/2都是國際商用機器公司的商標)之類的個人計算機都提供有上電口令措施,以防止未經批準的人員使用計算機;在此情況下����,未經批準的人員是指那些不知道上電口令的人員�。在IBM PS/2一類計算機中����,上電口令被保存在非揮發(fā)性(電池供電)的CMOS隨機存取存貯器(RAM)中。
IBM PS/2個人計算機提供的上電口令措施只限于單口令�����,并且一旦某人員取得該口令���,他就可以使用計算機的全部設施���。
人們期望讓計算機提供多個用戶使用并規(guī)定使用計算機的設施的不同級別。龍其希望有這樣一種計算機在上電或者系統(tǒng)復位之系統(tǒng)引導的方法是在系統(tǒng)建立和裝配階段由系統(tǒng)管理人員或其它類似操作人員予先決定好的����。詞“boot”(引導、彈出)就是首次把程序裝入計算機的存貯器���。在可以從多種裝置(比如軟盤�����、硬盤等)“引導”的計算機系統(tǒng)中���,系統(tǒng)一上電�,一引導(有時也稱“自舉”-“bootstrap”)程序就被啟動���,以便從介質的保留區(qū)(可以在軟盤��、硬盤或遠程設備上)裝入操作系統(tǒng)�,并在它的控制下�����,裝入操作系統(tǒng)�。該引導程序保存在系統(tǒng)的只讀存貯器(ROM)內,并且在系統(tǒng)上電后可自動進入該程序���,或者它可以被用戶鍵入的上電口令所激活。
先前的計算機系統(tǒng)中���,使用計算機設備的口令在操作系統(tǒng)被裝入后活化�。未經批準的使用有可能在操作系統(tǒng)被裝入之前用另一種引導程序來實現�����。一旦未批準的用戶已成功地引導系統(tǒng)裝入,所有的系統(tǒng)裝置就很容易被濫用����。
為了說明現有技術所存在的問題,不妨考慮一下計算機系統(tǒng)管理人員為防止被計算機病毒等的感染所采取的防范措施�����。一般計算機都是通過機械開關鎖或者上述上電/裝置口令使它只限于單個用戶使用�����。它不能限制已知道這種方法的任何用戶使用機器�����,并且它可以用合適的軟盤驅動器�。大多數常見的計算機病毒源是從已被病毒感染的軟盤引入的,這或者是故意的����,或者是由于對軟盤上用戶的程序和數據的不適當隔離造成的。先前技術的多存取計算機系統(tǒng)被配置成試圖從軟盤驅動器(把適當的軟盤插入)啟動���,或者����,若不能從軟盤的話,就嘗試從其它存貯介質如硬盤或遠程裝置啟動��。顯然��,這種允許未經批準的用戶存取已激活的軟盤驅動器的方法會使用戶把軟盤上的病毒引入計算機;現行的只防止未準許的操作員使用機器的系統(tǒng)一旦機器已被啟動���,在操作系統(tǒng)口令保安系統(tǒng)還沒工作之前就可能已被病毒感染��。
因此�,本發(fā)明提供了具有貯存在非揮發(fā)存貯器內的上電口令的計算機系統(tǒng)�����,這里����,系統(tǒng)管理人員鍵入上電口令可以使用全部計算機功能���,因而允許系統(tǒng)管理人員去配置該系統(tǒng)��,其特征是其非揮發(fā)存貯器內保存有至少一個附加口令�,用戶鍵入該附加口令就允許系統(tǒng)按系統(tǒng)管理人員予先選定的方式引導啟動。
計算機系統(tǒng)可以是獨立使用的個人計算機或工作站�,或者通過某種網連接的其它計算機或工作站以及/或者主機或者微機。
適合于使用多重附加口令�����,尤其是至少提供兩類附加口令�����,每一類附加口令提供一種不同的使用計算機系統(tǒng)的保密等級���。
最好用這些不同的使用等級的至少一種禁止任何輸入設備從軟盤���、磁帶和類似存貯介質上裝入或卸下程序或數據,從而防止用戶把數據復制到系統(tǒng)或者從系統(tǒng)中復制���。
在本發(fā)明的一優(yōu)選實施例中�����,上電口令和附加口令作為鍵盤掃描碼貯存在非揮發(fā)CMOS RAM�,比如電池供電的CMOS RAM中。這些口令最好是帶檢查和字符的長度為七個字符的串����。
特別適合采用本發(fā)明的計算機系統(tǒng)是個人計算機,比如帶一個軟盤驅動器和一個硬盤的IBM個人系統(tǒng)/2(PS/2)中的型號50�����、55����、70、或80��。
本發(fā)明的計算機系統(tǒng)的最佳安排是用附加口令來禁止軟盤驅動器或者其它裝置的引導能力���。用于這種系統(tǒng)的附加口令可以貯存在非揮發(fā)RAM或者硬盤的一個扇區(qū)內�����,所選的該扇區(qū)應是硬盤上用戶正常使用對不存放數據的扇區(qū)��。
作為對計算機系統(tǒng)的另一個特別有用的保密特性�����,若某用戶作了三次嘗試都未能鍵入正確的口令��,系統(tǒng)就把電源關閉����,只有用戶把電源再打開后���,才能再作鍵入口令的嘗試�。
本發(fā)明的另一個體現是它提供了一種配置計算機系統(tǒng)��、使之只能按知道上電口令的系統(tǒng)管理人員予先選定的方式啟動該系統(tǒng)的方法���,該上電口令可使系統(tǒng)管理人員使用所有的系統(tǒng)功能來對系統(tǒng)進行組態(tài)并安裝規(guī)定的適當的附加口令����。
執(zhí)行本發(fā)明的一種方法�����,將結合描述本發(fā)明優(yōu)選實施例的附圖在下面說明�����。
圖1是可使用本發(fā)明的一種數據處理系統(tǒng)的原理框圖。
圖2是具有單附加口令的本發(fā)明實施例中的處理操作的邏輯圖��。
圖3是用有二類附加口令����,每一類附加口令提供了一個對系統(tǒng)使用的不同等級的本發(fā)明實施例中,其系統(tǒng)邏輯操作的圖1是可用以實現本發(fā)明的比如IBM個人系統(tǒng)/2的典型硬件設置���。該數據處理系統(tǒng)包括微處理器1�����,它可以是比如Intel80386或類似的微處理器;它接到由一組數據線����、一組地址線和一組控制線組成的系統(tǒng)總線2�����。該總線還通過適配器10到16分別與多個I/O設備相接�,它們包括用戶輸入裝置(比如鍵盤3),顯示器��、打印機5�����、隨機存取存貯器6、只讀存貯器7���、存貯介質(比如軟盤驅動器8和硬盤9)。
操作系統(tǒng)��,比如IBM PC DOS或操作系統(tǒng)/2(操作系統(tǒng)/2是國際商用機器公司IBM商標)可以從存貯介質8���、9裝入存貯器6�����,它為微處理器1提供所執(zhí)行的指令����。操作系統(tǒng)的裝入操作由貯存在ROM中的引導程序來激活�����。操作系統(tǒng)可以從硬盤9或插入軟盤驅動器8的軟件裝入����。通常系統(tǒng)首先檢查軟盤驅動器內是否有適當的軟盤����,若有�,就從該軟盤裝入;若沒有,系統(tǒng)就嘗試從硬盤驅動器或遠程裝置中裝入����。
此后裝入系統(tǒng)的應用程序將會同操作系統(tǒng)運行,從而使數據處理系統(tǒng)完成應用程序的任務����。
在IBM個人系統(tǒng)/2等計算機中,上電口令貯存在非揮發(fā)的(電池供電的)CMOS RAM中�,它占用8個存貯位置以存放口令和檢查和字符。在上電自測(“post”)階段��,微處理器只能存取這八個字節(jié)�。一旦口令被安裝并且POST已完成。該口令字節(jié)就被一硬件鎖閂鎖存鎖住����,此后,微處理器就不可能存取該口令字節(jié)�����。安復位該硬件鎖閂,就必須切斷系統(tǒng)電源��,然后再加電�����。該上電口令只有系統(tǒng)管理人員或類似的控制人員知道��,此外����,這些人還可通過常見的能打開或關閉系統(tǒng)部件蓋的鍵鎖而能接觸系統(tǒng)的內部物理結構和內部元件���。
個人計算機一通電����,處理器就執(zhí)行正常的POST檢查�����,包括掃描可用的只讀存貯器和隨機存取存貯器�。
現參圖2的流圖,在POST 20的出口�����,系統(tǒng)在21處檢查保密跳線(硬布線開關或斷路器觸點)是否接通,并且如果它閉合�,系統(tǒng)就在22檢查非揮發(fā)CMOS RAM的功能是否正確。若該非揮發(fā)的CMOS RAM功能不正常��,比如由于對其供電的電池電力不足����,計算機就在23處顯示錯誤信息并阻止用戶再輸入。
若CMOS RAM功能正常��,微處理器就在24檢查是不是先前已在CMOS RAM中安裝了上電口令��。
在CMOS RAM中存在主上電口令引起在25處由系統(tǒng)讀存貯介質9(圖1)的一個扇區(qū)����,在此情況下,它是硬盤�,其中存貯在附加口令。作為附加保安特點���,所貯存的附加口令是以隱蔽形式由所安裝的主上電口令包含的值通過算法來產生的���。系統(tǒng)編程可保證與上電口令同樣的附加口令不能安裝�����。
此外�����,在步驟26��,計算機顯示一個提示����,讓用戶輸入(附加)口令;用戶可能想改變口令的當前的組合并輸入所要的口令���。對用戶鍵入系統(tǒng)的該附加口令,系統(tǒng)將在27對其檢查��,以確定字符序列是否可接受���?��?诹畹碾[蔽及不隱蔽步驟按傳統(tǒng)方式執(zhí)行。
假如沒有POST錯誤28(它應在用戶使用計算機之前被排除),處理器就在29嘗試從予先選定的系統(tǒng)存貯介質上引導啟動;這種存貯介質可以包括硬盤9(圖1)的全部或者部分����,或者是由用戶插入軟盤驅動器8(圖1)的軟盤。倘若在30處引導啟動成功�,則由系統(tǒng)管理人員予先選定的系統(tǒng)功能的控制權就在31移交給用戶。若由于某種原因引導沒有成功�����,就在29的操作處重復�。
附加的保安特性示于流程圖的32。若用戶在27處輸入了不正確的口令�����,系統(tǒng)允許作進一步的嘗試;但在32處只允許總共3次不正確的嘗試;若第三次嘗試鍵入的口令在32處發(fā)覺也不對�����,系統(tǒng)就在33處顯示出錯信息就阻止用戶再輸入��,直到系統(tǒng)被關掉并再打開為止����。
可以看出��,圖2的流程圖中����,若不用上電口令(保密跳線在21處是斷開的)��,或者在24處沒有安裝上電口令��,系統(tǒng)是不保密的���,則系統(tǒng)可以不鍵入口令的方式來引導啟動��。當然���,在系統(tǒng)管理人員重新設置系統(tǒng)并安裝上電口令前,系統(tǒng)將一直處于這種狀態(tài)��。
現參看圖3的流程圖�����,它描述了具有兩類附加口令的本發(fā)明實施例�����,每一類這種附加口令提供了不同的使用系統(tǒng)的等級����。
最初的步驟(20到24)與圖2的流程圖一致。
系統(tǒng)在35(圖2)讀硬盤的口令扇區(qū)����,并用主上電口令為關鍵字顯露出保密等級A和保密等級B的口令。在36顯示口令提示符并且口令(或者A級或者B級)由操作人員正確輸入的話并在37被接受����,則程序向滿意的引導方向進行。系統(tǒng)編程保證當安裝了多重口令時���,這些口令的字符序列不允許重復��。
步驟38和39鍵入口令的嘗試次數限定為3��。
POST錯誤在40及41處處理�。
系統(tǒng)在42處檢查用戶鍵入的是A級保密或B級保密口令�����。A級用戶保密口令引導系統(tǒng)在43處嘗試從插入軟盤驅動器的軟盤上進行初始引導裝入����,而B級用戶保密口令使系統(tǒng)在45處從硬盤進行初始引導裝入���。43或45處引導裝入的成功可使系統(tǒng)把系統(tǒng)管理人員所選擇的系統(tǒng)功能的控制權移交給用戶。顯然����,B級密碼口令的持有者比A級保密口令的持有者的范圍更小,比如�,B級保密口令應當給用戶可保證用戶不會把軟盤上的病毒傳染給系統(tǒng)。
若系統(tǒng)在44從軟盤上引導裝入沒成功��,就在45嘗試從硬盤引導裝入�,從而允許A級保密口令持有者可使用系統(tǒng)管理人員予先選定的某些而不是全部系統(tǒng)功能。若從硬盤的引導裝入不成功�����,系統(tǒng)就返回到42���。
我們已了解了上電后,該具體實施中系統(tǒng)操作的過程;系統(tǒng)復位后的系統(tǒng)操作可以與此類似����,或者最好是被阻塞以防止系統(tǒng)復位�����。(個人計算機的系統(tǒng)復位是由同時按下鍵盤上的Ctrl����,Alt和Del鍵來實現的)�����。
盡管已說明了本發(fā)明的特定例子��,但應明白在本發(fā)明的范圍內可能作些修改和添加�。
本發(fā)明的主要范圍是一種把上電口令貯存在非揮發(fā)存貯器中的計算機系統(tǒng),輸入該上電口令可使系統(tǒng)管理人員使用全部計算機功能�,其特征是其非揮發(fā)存貯器中至少保有一個附加口令,而鍵入該附加口令可使用戶以系統(tǒng)管理人員予先選定的方式引導系統(tǒng)的操作系統(tǒng)裝入�。
其特征是具有多個可用的附加口令。
其特征是至少提供有兩類附加口令�,這些附加口令的每一類提供了使用系統(tǒng)的不同級別。
其特征是這些不同的使用級別中至少有一種可以禁止所有輸入裝置的初始引導裝入功能�,而允許從可移動存貯介質,比例軟盤�����,裝入程序或數據。
其特征是其口令是貯存在非揮發(fā)RAM內�����。
其特征是其附加口令是以隱蔽的形式利用包括在其上電口令中的值來貯存的�����。
其特征是它具有軟盤驅動器的硬盤���。
其特征是其附加口令貯存在其硬盤的一個扇區(qū)內����。
其特征是用戶輸入該附加口令可以禁止軟盤驅動器的初始引導裝入功能�����。
其特征是用戶三次嘗試檢入正確口令的失敗����,使系統(tǒng)請求斷電并再加電后才允許用戶再做輸入口令的進一步嘗試。
權利要求
1.一種把上電口令貯存在非揮發(fā)存貯器中的計算機系統(tǒng)�����,輸入該上電口令可使系統(tǒng)管理人員使用全部計算機功能��,其特征是其非揮發(fā)存貯器中至少保有一個附加口令�,而鍵入該附加口令可使用戶以系統(tǒng)管理人員予先選定的方式引導系統(tǒng)的操作系統(tǒng)裝入。
2.權利要求1所述的計算機系統(tǒng)�,其特征是具有多個可用的附加口令。
3.權利要求2所述的計算機系統(tǒng)����,特征是至少提供有兩類附加口令,這些附加口令的每一類提供了使用系統(tǒng)的不同級別����。
4.權利要求3的計算機系統(tǒng),特征是這些不同的使用級別中至少有一種可以禁止所有輸入裝置的初始引導裝入功能�,而允許從可移動存貯介質,比如軟盤�,裝入程序或數據。
5.前述任何權利要求所申明的計算機系統(tǒng)�����,其特征是其口令是貯存在非揮發(fā)RAM內�����。
6.前述任何權利要求所述的計算機系統(tǒng),其特征是其附加口令是以隱蔽的形式利用包括在其上電口令中的值來貯存的���。
7.前面任何權利要求所述的計算機系統(tǒng)�,其特征是它具有軟盤驅動器的硬盤���。
8.權利要求7所述的計算機系統(tǒng)���,其特征是其附加口令貯存在其硬盤的一個扇區(qū)內。
9.權利要求7所述的計算機系統(tǒng)�����,特征是用戶輸入該附加口令可以禁止軟盤驅動器的初始引導裝入功能����。
10.前述任何權利要求所述的計算機系統(tǒng),其特征是用戶三次嘗試輸入正確口令的失敗��,使系統(tǒng)請求斷電并再加電后才允許用戶再做輸入口令的進一步嘗試���。
全文摘要
一種具有貯存在非揮發(fā)存貯器內的上電口令的計算機系統(tǒng)����,其中,系統(tǒng)管理人員輸入上電口令可使他使用全部的計算機功能�;該系統(tǒng)的非揮發(fā)存貯器內至少保存有一個附加口令,輸入該附加口令可使用戶以系統(tǒng)管理人員預定的方式引導系統(tǒng)的操作系統(tǒng)裝入�����。最好是具有多個附加口令��,以提供至少兩種安全使用系統(tǒng)的不同等級���。
文檔編號G06F9/06GK1052561SQ9010969
公開日1991年6月26日 申請日期1990年12月5日 優(yōu)先權日1990年12月5日
發(fā)明者維克托·杰拉爾德·戈爾丁, 格雷戈里·哈蒙德·斯佩爾思 申請人:國際商業(yè)機器公司