專利名稱：計算機(jī)系統(tǒng)保安措施的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及具有多級保安措施的計算機(jī)系統(tǒng)，具體說，是具有上電口令的那些計算機(jī)系統(tǒng)。
1987年10月的IBM技術(shù)發(fā)明公報第30卷第5期的第57、58頁發(fā)明了一種個人計算機(jī)保安系統(tǒng)。諸如IBM個人系統(tǒng)/2(IBM和個人系統(tǒng)/2-PS/2都是國際商用機(jī)器公司的商標(biāo))之類的個人計算機(jī)都提供有上電口令措施，以防止未經(jīng)批準(zhǔn)的人員使用計算機(jī);在此情況下，未經(jīng)批準(zhǔn)的人員是指那些不知道上電口令的人員。在IBM PS/2一類計算機(jī)中，上電口令被保存在非揮發(fā)性(電池供電)的CMOS隨機(jī)存取存貯器(RAM)中。
IBM PS/2個人計算機(jī)提供的上電口令措施只限于單口令，并且一旦某人員取得該口令，他就可以使用計算機(jī)的全部設(shè)施。
人們期望讓計算機(jī)提供多個用戶使用并規(guī)定使用計算機(jī)的設(shè)施的不同級別。龍其希望有這樣一種計算機(jī)在上電或者系統(tǒng)復(fù)位之系統(tǒng)引導(dǎo)的方法是在系統(tǒng)建立和裝配階段由系統(tǒng)管理人員或其它類似操作人員予先決定好的。詞“boot”(引導(dǎo)、彈出)就是首次把程序裝入計算機(jī)的存貯器。在可以從多種裝置(比如軟盤、硬盤等)“引導(dǎo)”的計算機(jī)系統(tǒng)中，系統(tǒng)一上電，一引導(dǎo)(有時也稱“自舉”-“bootstrap”)程序就被啟動，以便從介質(zhì)的保留區(qū)(可以在軟盤、硬盤或遠(yuǎn)程設(shè)備上)裝入操作系統(tǒng)，并在它的控制下，裝入操作系統(tǒng)。該引導(dǎo)程序保存在系統(tǒng)的只讀存貯器(ROM)內(nèi)，并且在系統(tǒng)上電后可自動進(jìn)入該程序，或者它可以被用戶鍵入的上電口令所激活。
先前的計算機(jī)系統(tǒng)中，使用計算機(jī)設(shè)備的口令在操作系統(tǒng)被裝入后活化。未經(jīng)批準(zhǔn)的使用有可能在操作系統(tǒng)被裝入之前用另一種引導(dǎo)程序來實(shí)現(xiàn)。一旦未批準(zhǔn)的用戶已成功地引導(dǎo)系統(tǒng)裝入，所有的系統(tǒng)裝置就很容易被濫用。
為了說明現(xiàn)有技術(shù)所存在的問題，不妨考慮一下計算機(jī)系統(tǒng)管理人員為防止被計算機(jī)病毒等的感染所采取的防范措施。一般計算機(jī)都是通過機(jī)械開關(guān)鎖或者上述上電/裝置口令使它只限于單個用戶使用。它不能限制已知道這種方法的任何用戶使用機(jī)器，并且它可以用合適的軟盤驅(qū)動器。大多數(shù)常見的計算機(jī)病毒源是從已被病毒感染的軟盤引入的，這或者是故意的，或者是由于對軟盤上用戶的程序和數(shù)據(jù)的不適當(dāng)隔離造成的。先前技術(shù)的多存取計算機(jī)系統(tǒng)被配置成試圖從軟盤驅(qū)動器(把適當(dāng)?shù)能洷P插入)啟動，或者，若不能從軟盤的話，就嘗試從其它存貯介質(zhì)如硬盤或遠(yuǎn)程裝置啟動。顯然，這種允許未經(jīng)批準(zhǔn)的用戶存取已激活的軟盤驅(qū)動器的方法會使用戶把軟盤上的病毒引入計算機(jī);現(xiàn)行的只防止未準(zhǔn)許的操作員使用機(jī)器的系統(tǒng)一旦機(jī)器已被啟動，在操作系統(tǒng)口令保安系統(tǒng)還沒工作之前就可能已被病毒感染。
因此，本發(fā)明提供了具有貯存在非揮發(fā)存貯器內(nèi)的上電口令的計算機(jī)系統(tǒng)，這里，系統(tǒng)管理人員鍵入上電口令可以使用全部計算機(jī)功能，因而允許系統(tǒng)管理人員去配置該系統(tǒng)，其特征是其非揮發(fā)存貯器內(nèi)保存有至少一個附加口令，用戶鍵入該附加口令就允許系統(tǒng)按系統(tǒng)管理人員予先選定的方式引導(dǎo)啟動。
計算機(jī)系統(tǒng)可以是獨(dú)立使用的個人計算機(jī)或工作站，或者通過某種網(wǎng)連接的其它計算機(jī)或工作站以及/或者主機(jī)或者微機(jī)。
適合于使用多重附加口令，尤其是至少提供兩類附加口令，每一類附加口令提供一種不同的使用計算機(jī)系統(tǒng)的保密等級。
最好用這些不同的使用等級的至少一種禁止任何輸入設(shè)備從軟盤、磁帶和類似存貯介質(zhì)上裝入或卸下程序或數(shù)據(jù)，從而防止用戶把數(shù)據(jù)復(fù)制到系統(tǒng)或者從系統(tǒng)中復(fù)制。
在本發(fā)明的一優(yōu)選實(shí)施例中，上電口令和附加口令作為鍵盤掃描碼貯存在非揮發(fā)CMOS RAM，比如電池供電的CMOS RAM中。這些口令最好是帶檢查和字符的長度為七個字符的串。
特別適合采用本發(fā)明的計算機(jī)系統(tǒng)是個人計算機(jī)，比如帶一個軟盤驅(qū)動器和一個硬盤的IBM個人系統(tǒng)/2(PS/2)中的型號50、55、70、或80。
本發(fā)明的計算機(jī)系統(tǒng)的最佳安排是用附加口令來禁止軟盤驅(qū)動器或者其它裝置的引導(dǎo)能力。用于這種系統(tǒng)的附加口令可以貯存在非揮發(fā)RAM或者硬盤的一個扇區(qū)內(nèi)，所選的該扇區(qū)應(yīng)是硬盤上用戶正常使用對不存放數(shù)據(jù)的扇區(qū)。
作為對計算機(jī)系統(tǒng)的另一個特別有用的保密特性，若某用戶作了三次嘗試都未能鍵入正確的口令，系統(tǒng)就把電源關(guān)閉，只有用戶把電源再打開后，才能再作鍵入口令的嘗試。
本發(fā)明的另一個體現(xiàn)是它提供了一種配置計算機(jī)系統(tǒng)、使之只能按知道上電口令的系統(tǒng)管理人員予先選定的方式啟動該系統(tǒng)的方法，該上電口令可使系統(tǒng)管理人員使用所有的系統(tǒng)功能來對系統(tǒng)進(jìn)行組態(tài)并安裝規(guī)定的適當(dāng)?shù)母郊涌诹睢?br> 執(zhí)行本發(fā)明的一種方法，將結(jié)合描述本發(fā)明優(yōu)選實(shí)施例的附圖在下面說明。


圖1是可使用本發(fā)明的一種數(shù)據(jù)處理系統(tǒng)的原理框圖。
圖2是具有單附加口令的本發(fā)明實(shí)施例中的處理操作的邏輯圖。
圖3是用有二類附加口令，每一類附加口令提供了一個對系統(tǒng)使用的不同等級的本發(fā)明實(shí)施例中，其系統(tǒng)邏輯操作的圖1是可用以實(shí)現(xiàn)本發(fā)明的比如IBM個人系統(tǒng)/2的典型硬件設(shè)置。該數(shù)據(jù)處理系統(tǒng)包括微處理器1，它可以是比如Intel80386或類似的微處理器;它接到由一組數(shù)據(jù)線、一組地址線和一組控制線組成的系統(tǒng)總線2。該總線還通過適配器10到16分別與多個I/O設(shè)備相接，它們包括用戶輸入裝置(比如鍵盤3)，顯示器、打印機(jī)5、隨機(jī)存取存貯器6、只讀存貯器7、存貯介質(zhì)(比如軟盤驅(qū)動器8和硬盤9)。
操作系統(tǒng)，比如IBM PC DOS或操作系統(tǒng)/2(操作系統(tǒng)/2是國際商用機(jī)器公司IBM商標(biāo))可以從存貯介質(zhì)8、9裝入存貯器6，它為微處理器1提供所執(zhí)行的指令。操作系統(tǒng)的裝入操作由貯存在ROM中的引導(dǎo)程序來激活。操作系統(tǒng)可以從硬盤9或插入軟盤驅(qū)動器8的軟件裝入。通常系統(tǒng)首先檢查軟盤驅(qū)動器內(nèi)是否有適當(dāng)?shù)能洷P，若有，就從該軟盤裝入;若沒有，系統(tǒng)就嘗試從硬盤驅(qū)動器或遠(yuǎn)程裝置中裝入。
此后裝入系統(tǒng)的應(yīng)用程序?qū)僮飨到y(tǒng)運(yùn)行，從而使數(shù)據(jù)處理系統(tǒng)完成應(yīng)用程序的任務(wù)。
在IBM個人系統(tǒng)/2等計算機(jī)中，上電口令貯存在非揮發(fā)的(電池供電的)CMOS RAM中，它占用8個存貯位置以存放口令和檢查和字符。在上電自測(“post”)階段，微處理器只能存取這八個字節(jié)。一旦口令被安裝并且POST已完成。該口令字節(jié)就被一硬件鎖閂鎖存鎖住，此后，微處理器就不可能存取該口令字節(jié)。安復(fù)位該硬件鎖閂，就必須切斷系統(tǒng)電源，然后再加電。該上電口令只有系統(tǒng)管理人員或類似的控制人員知道，此外，這些人還可通過常見的能打開或關(guān)閉系統(tǒng)部件蓋的鍵鎖而能接觸系統(tǒng)的內(nèi)部物理結(jié)構(gòu)和內(nèi)部元件。
個人計算機(jī)一通電，處理器就執(zhí)行正常的POST檢查，包括掃描可用的只讀存貯器和隨機(jī)存取存貯器。
現(xiàn)參圖2的流圖，在POST 20的出口，系統(tǒng)在21處檢查保密跳線(硬布線開關(guān)或斷路器觸點(diǎn))是否接通，并且如果它閉合，系統(tǒng)就在22檢查非揮發(fā)CMOS RAM的功能是否正確。若該非揮發(fā)的CMOS RAM功能不正常，比如由于對其供電的電池電力不足，計算機(jī)就在23處顯示錯誤信息并阻止用戶再輸入。
若CMOS RAM功能正常，微處理器就在24檢查是不是先前已在CMOS RAM中安裝了上電口令。
在CMOS RAM中存在主上電口令引起在25處由系統(tǒng)讀存貯介質(zhì)9(圖1)的一個扇區(qū)，在此情況下，它是硬盤，其中存貯在附加口令。作為附加保安特點(diǎn)，所貯存的附加口令是以隱蔽形式由所安裝的主上電口令包含的值通過算法來產(chǎn)生的。系統(tǒng)編程可保證與上電口令同樣的附加口令不能安裝。
此外，在步驟26，計算機(jī)顯示一個提示，讓用戶輸入(附加)口令;用戶可能想改變口令的當(dāng)前的組合并輸入所要的口令。對用戶鍵入系統(tǒng)的該附加口令，系統(tǒng)將在27對其檢查，以確定字符序列是否可接受。口令的隱蔽及不隱蔽步驟按傳統(tǒng)方式執(zhí)行。
假如沒有POST錯誤28(它應(yīng)在用戶使用計算機(jī)之前被排除)，處理器就在29嘗試從予先選定的系統(tǒng)存貯介質(zhì)上引導(dǎo)啟動;這種存貯介質(zhì)可以包括硬盤9(圖1)的全部或者部分，或者是由用戶插入軟盤驅(qū)動器8(圖1)的軟盤。倘若在30處引導(dǎo)啟動成功，則由系統(tǒng)管理人員予先選定的系統(tǒng)功能的控制權(quán)就在31移交給用戶。若由于某種原因引導(dǎo)沒有成功，就在29的操作處重復(fù)。
附加的保安特性示于流程圖的32。若用戶在27處輸入了不正確的口令，系統(tǒng)允許作進(jìn)一步的嘗試;但在32處只允許總共3次不正確的嘗試;若第三次嘗試鍵入的口令在32處發(fā)覺也不對，系統(tǒng)就在33處顯示出錯信息就阻止用戶再輸入，直到系統(tǒng)被關(guān)掉并再打開為止。
可以看出，圖2的流程圖中，若不用上電口令(保密跳線在21處是斷開的)，或者在24處沒有安裝上電口令，系統(tǒng)是不保密的，則系統(tǒng)可以不鍵入口令的方式來引導(dǎo)啟動。當(dāng)然，在系統(tǒng)管理人員重新設(shè)置系統(tǒng)并安裝上電口令前，系統(tǒng)將一直處于這種狀態(tài)。
現(xiàn)參看圖3的流程圖，它描述了具有兩類附加口令的本發(fā)明實(shí)施例，每一類這種附加口令提供了不同的使用系統(tǒng)的等級。
最初的步驟(20到24)與圖2的流程圖一致。
系統(tǒng)在35(圖2)讀硬盤的口令扇區(qū)，并用主上電口令為關(guān)鍵字顯露出保密等級A和保密等級B的口令。在36顯示口令提示符并且口令(或者A級或者B級)由操作人員正確輸入的話并在37被接受，則程序向滿意的引導(dǎo)方向進(jìn)行。系統(tǒng)編程保證當(dāng)安裝了多重口令時，這些口令的字符序列不允許重復(fù)。
步驟38和39鍵入口令的嘗試次數(shù)限定為3。
POST錯誤在40及41處處理。
系統(tǒng)在42處檢查用戶鍵入的是A級保密或B級保密口令。A級用戶保密口令引導(dǎo)系統(tǒng)在43處嘗試從插入軟盤驅(qū)動器的軟盤上進(jìn)行初始引導(dǎo)裝入，而B級用戶保密口令使系統(tǒng)在45處從硬盤進(jìn)行初始引導(dǎo)裝入。43或45處引導(dǎo)裝入的成功可使系統(tǒng)把系統(tǒng)管理人員所選擇的系統(tǒng)功能的控制權(quán)移交給用戶。顯然，B級密碼口令的持有者比A級保密口令的持有者的范圍更小，比如，B級保密口令應(yīng)當(dāng)給用戶可保證用戶不會把軟盤上的病毒傳染給系統(tǒng)。
若系統(tǒng)在44從軟盤上引導(dǎo)裝入沒成功，就在45嘗試從硬盤引導(dǎo)裝入，從而允許A級保密口令持有者可使用系統(tǒng)管理人員予先選定的某些而不是全部系統(tǒng)功能。若從硬盤的引導(dǎo)裝入不成功，系統(tǒng)就返回到42。
我們已了解了上電后，該具體實(shí)施中系統(tǒng)操作的過程;系統(tǒng)復(fù)位后的系統(tǒng)操作可以與此類似，或者最好是被阻塞以防止系統(tǒng)復(fù)位。(個人計算機(jī)的系統(tǒng)復(fù)位是由同時按下鍵盤上的Ctrl，Alt和Del鍵來實(shí)現(xiàn)的)。
盡管已說明了本發(fā)明的特定例子，但應(yīng)明白在本發(fā)明的范圍內(nèi)可能作些修改和添加。
本發(fā)明的主要范圍是一種把上電口令貯存在非揮發(fā)存貯器中的計算機(jī)系統(tǒng)，輸入該上電口令可使系統(tǒng)管理人員使用全部計算機(jī)功能，其特征是其非揮發(fā)存貯器中至少保有一個附加口令，而鍵入該附加口令可使用戶以系統(tǒng)管理人員予先選定的方式引導(dǎo)系統(tǒng)的操作系統(tǒng)裝入。
其特征是具有多個可用的附加口令。
其特征是至少提供有兩類附加口令，這些附加口令的每一類提供了使用系統(tǒng)的不同級別。
其特征是這些不同的使用級別中至少有一種可以禁止所有輸入裝置的初始引導(dǎo)裝入功能，而允許從可移動存貯介質(zhì)，比例軟盤，裝入程序或數(shù)據(jù)。
其特征是其口令是貯存在非揮發(fā)RAM內(nèi)。
其特征是其附加口令是以隱蔽的形式利用包括在其上電口令中的值來貯存的。
其特征是它具有軟盤驅(qū)動器的硬盤。
其特征是其附加口令貯存在其硬盤的一個扇區(qū)內(nèi)。
其特征是用戶輸入該附加口令可以禁止軟盤驅(qū)動器的初始引導(dǎo)裝入功能。
其特征是用戶三次嘗試檢入正確口令的失敗，使系統(tǒng)請求斷電并再加電后才允許用戶再做輸入口令的進(jìn)一步嘗試。
權(quán)利要求
1.一種把上電口令貯存在非揮發(fā)存貯器中的計算機(jī)系統(tǒng)，輸入該上電口令可使系統(tǒng)管理人員使用全部計算機(jī)功能，其特征是其非揮發(fā)存貯器中至少保有一個附加口令，而鍵入該附加口令可使用戶以系統(tǒng)管理人員予先選定的方式引導(dǎo)系統(tǒng)的操作系統(tǒng)裝入。
2.權(quán)利要求1所述的計算機(jī)系統(tǒng)，其特征是具有多個可用的附加口令。
3.權(quán)利要求2所述的計算機(jī)系統(tǒng)，特征是至少提供有兩類附加口令，這些附加口令的每一類提供了使用系統(tǒng)的不同級別。
4.權(quán)利要求3的計算機(jī)系統(tǒng)，特征是這些不同的使用級別中至少有一種可以禁止所有輸入裝置的初始引導(dǎo)裝入功能，而允許從可移動存貯介質(zhì)，比如軟盤，裝入程序或數(shù)據(jù)。
5.前述任何權(quán)利要求所申明的計算機(jī)系統(tǒng)，其特征是其口令是貯存在非揮發(fā)RAM內(nèi)。
6.前述任何權(quán)利要求所述的計算機(jī)系統(tǒng)，其特征是其附加口令是以隱蔽的形式利用包括在其上電口令中的值來貯存的。
7.前面任何權(quán)利要求所述的計算機(jī)系統(tǒng)，其特征是它具有軟盤驅(qū)動器的硬盤。
8.權(quán)利要求7所述的計算機(jī)系統(tǒng)，其特征是其附加口令貯存在其硬盤的一個扇區(qū)內(nèi)。
9.權(quán)利要求7所述的計算機(jī)系統(tǒng)，特征是用戶輸入該附加口令可以禁止軟盤驅(qū)動器的初始引導(dǎo)裝入功能。
10.前述任何權(quán)利要求所述的計算機(jī)系統(tǒng)，其特征是用戶三次嘗試輸入正確口令的失敗，使系統(tǒng)請求斷電并再加電后才允許用戶再做輸入口令的進(jìn)一步嘗試。
全文摘要
一種具有貯存在非揮發(fā)存貯器內(nèi)的上電口令的計算機(jī)系統(tǒng)，其中，系統(tǒng)管理人員輸入上電口令可使他使用全部的計算機(jī)功能；該系統(tǒng)的非揮發(fā)存貯器內(nèi)至少保存有一個附加口令，輸入該附加口令可使用戶以系統(tǒng)管理人員預(yù)定的方式引導(dǎo)系統(tǒng)的操作系統(tǒng)裝入。最好是具有多個附加口令，以提供至少兩種安全使用系統(tǒng)的不同等級。
文檔編號G06F9/06GK1052561SQ9010969
公開日1991年6月26日 申請日期1990年12月5日 優(yōu)先權(quán)日1990年12月5日
發(fā)明者維克托·杰拉爾德·戈?duì)柖? 格雷戈里·哈蒙德·斯佩爾思 申請人:國際商業(yè)機(jī)器公司