專利名稱:具有安全保護(hù)特性的個人計算機(jī)系統(tǒng)及其實現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及個人計算機(jī)系統(tǒng),更具體地說,涉及這樣一種系統(tǒng),它具有安全保護(hù)特性,能夠控制對這種系統(tǒng)中所存數(shù)據(jù)進(jìn)行的訪問。
一般的個人計算機(jī)系統(tǒng),特別是IBM個人計算機(jī)系統(tǒng),已廣泛應(yīng)用于向當(dāng)今現(xiàn)代社會的許多部分提供計算機(jī)能力。通常,個人計算機(jī)系統(tǒng)可以定義為由具有單個系統(tǒng)處理器及關(guān)聯(lián)的易失或非易失存儲器的系統(tǒng)單元、顯示監(jiān)視器、鍵盤、一個或多個軟盤驅(qū)動器、固定磁盤存儲器、以及可選用的打印機(jī)組成的桌面式、落地式、或便攜式微計算機(jī)。這些系統(tǒng)的顯著特征之一是使用一塊母板(motherboard)(也叫做系統(tǒng)板、系統(tǒng)平板或平板,而且在本文中偶而也使用這些叫法),用于將這些部件電連接在一起。這些系統(tǒng)的設(shè)計主要是向單個用戶提供獨立的計算能力,并且價格不貴,以供個人或小企業(yè)購買。這類個人用計算機(jī)的實例有IBM的個人計算機(jī)PERSONALCOMPUTERAT及IBM的個人系統(tǒng)(PERSONALSYSTEM)/2型25、30、40、L40SX、50、55、57、65、70、80、90及95。
這些系統(tǒng)可以分成兩大系列。第一系列通常稱作“系列Ⅰ型”,使用以IBM的PERSONALCOMPUTERAT及其他“IBM兼容機(jī)”為代表的總線體系結(jié)構(gòu)。第二系列通常稱作“系列Ⅱ型”,使用IBM的微通道總線體系結(jié)構(gòu),以IBM的PERSONALSYSTEM/2的50型至95型為代表。早期的系列Ⅰ型通常使用流行的INTEL8088或8086微處理器作為系統(tǒng)處理器。一些后來的系列Ⅰ型及系列Ⅱ型通常使用高速INTEL80286、80386及80486微處理器,對一些型號,它們能以實方式(realmode)操作來仿真速度較低的INTEL8086微處理器,或以保護(hù)方式(protectedmode)操作將尋址范圍從1兆字節(jié)擴(kuò)展到4千兆字節(jié)。實質(zhì)上,80286、80386及80486處理器的實模式特性提供了與為8086和8088微處理器所寫軟件的硬件兼容性。
隨著近年來世界上個人計算機(jī)的顯著增加和應(yīng)用,越來越多的數(shù)據(jù)或信息正在收集、保存或存儲于這類系統(tǒng)之中。許多這樣的數(shù)據(jù)其性質(zhì)是敏感的。在錯誤管理情況下,數(shù)據(jù)會給個人帶來麻煩,一個公司會失掉競爭優(yōu)勢,或者敏感的數(shù)據(jù)會被用于勒索或?qū)€人造成身體傷害。隨著越來越多的用戶認(rèn)識到數(shù)據(jù)的敏感性及數(shù)據(jù)的價值,便越發(fā)希望防止這種錯誤的使用。為了保護(hù)數(shù)據(jù)及與所存儲數(shù)據(jù)有關(guān)聯(lián)的個人,用戶要求在他們購買的個人用計算機(jī)中加入安全保護(hù)和完整性性能。
并非只有用戶認(rèn)識到所收集和存儲的數(shù)據(jù)的敏感性。政府也在制定強制保護(hù)敏感數(shù)據(jù)的法律。這樣的政府之一便是美利堅合眾國政府。它已認(rèn)識到這一情況的重要性并做出了反應(yīng)。美國聯(lián)幫政府已確定了安全等級以及為滿足這些等級要采取的相應(yīng)要求并為生產(chǎn)產(chǎn)品的個人計算機(jī)制造商提供了認(rèn)證機(jī)構(gòu),以便檢查這些產(chǎn)品是否滿足制造商宣稱的安全等級?!奥?lián)幫規(guī)定”的來源是國防部,可信任的(TRUSTED)計算機(jī)系統(tǒng)評價標(biāo)準(zhǔn),DOD5200.28STD,12/85,一般稱作“橙皮書(OrangeBook)”。美國政府已經(jīng)立法,到1992年1月1日,所有與政府有關(guān)的數(shù)據(jù)必須只由至少達(dá)到安全等級C-2的個人計算機(jī)進(jìn)行處理和存儲。對于計算機(jī)系統(tǒng)硬件,規(guī)定的實質(zhì)包含于“保證部分”的規(guī)定6“可信任機(jī)制必須連續(xù)地防止竄改和/或非受權(quán)改變…”從最早的系列Ⅰ型個人計算機(jī)系統(tǒng)(如IBM個人計算機(jī))開始,便認(rèn)識到軟件兼容性將是極端重要的。為了實現(xiàn)這一目標(biāo),在硬件和軟件之間建立了一個系統(tǒng)駐留代碼構(gòu)成的隔離層,稱作“固件(firmware)”。這個固件提供了用戶應(yīng)用程序/操作系統(tǒng)與設(shè)備之間的操作介面,從而使用戶不必去關(guān)心硬設(shè)備的特性。最后,這種代碼發(fā)展成基本輸入/輸出系統(tǒng)(BIOS)它允許新的設(shè)備加入系統(tǒng)又使應(yīng)用程序與硬件的特殊隔離。BIOS的重要性立即顯示出來,因為它使設(shè)備驅(qū)動程序不依賴于具體設(shè)備硬件特性,同時向設(shè)備驅(qū)動程序提供了與設(shè)備的中間介面。由于BIOS是系統(tǒng)的組成部分,并控制數(shù)據(jù)進(jìn)出系統(tǒng)處理器,所以它被駐留在系統(tǒng)板上,放在一個只讀存儲器(ROM)中提交給用戶。例如,在原始的IBM個人計算機(jī)中BIOS占有放在系統(tǒng)板上的8K(字節(jié))ROM。
隨著新型個人計算機(jī)系列的引入,BIOS必須得更新和擴(kuò)展以便能包括新的硬件和I/O(輸入/輸出)設(shè)備。如人們能夠預(yù)料的那樣,BIOS開始增加在存儲器中所占空間。例如,隨著IBMPER-SONALCOMPUTERAT的引入,BIOS增長到需要32K字節(jié)ROM。
今天,隨著新技術(shù)的發(fā)展,系列Ⅱ型個人用計算機(jī)甚至發(fā)展得更加復(fù)雜,并且更頻繁地提供給用戶。由于技術(shù)的飛速變化和新I/O設(shè)備不斷增加給個人用計算機(jī)系統(tǒng),在個人計算機(jī)系統(tǒng)的發(fā)展周期里,對BIOS的修改已成為重要的問題。
例如,隨著帶有微通道體系結(jié)構(gòu)的IBMPersonalSystem/2的引入,研制出了一個全新的BIOS,稱作高級BIOS,或ABIOS。然而為保持軟件的兼容性,在系列Ⅱ型中不得不包括來自系列Ⅰ型的BIOS。系列Ⅰ型BIOS已被稱作兼容BIOS,或CBIOS。然而,如前面對IBMPERSONALCOMPUTER(個人計算機(jī))AT所作的解釋,在系統(tǒng)板上只駐留32K字節(jié)ROM。幸好系統(tǒng)能被擴(kuò)展到96K字節(jié)ROM。不幸的是,由于系統(tǒng)限制,這個96K字節(jié)ROM成為BIOS能夠得到的最大容量。幸運的是,即使增加了ABIOS,ABIOS和CBIOS仍能擠進(jìn)96K字節(jié)的ROM中。然而,在這96K的ROM區(qū)中只剩下很小一部分可用于擴(kuò)展。已經(jīng)確信,隨著未來I/O設(shè)備的增加,CBIOS和ABIOS將最終超出ROM空間。這樣,新的I/O技術(shù)將不能夠容易地集中于CBIOS和ABIOS之中。
由于這些問題,加上希望在開發(fā)周期中盡可能遲地修改系列ⅡBIOS,于是必須從ROM中卸掉幾部分BIOS。實現(xiàn)這一點的辦法是將BIOS的若干部分存儲于一個大容量存儲設(shè)備中,例如存于一個固定盤,最好是存于這種磁盤的固定部分,稱作系統(tǒng)分區(qū)(systempartition)。該系統(tǒng)劃定區(qū)也存儲一個系統(tǒng)參照軟盤(systemrefer-encedistette)的映象,它包括了在建立系統(tǒng)配置和類似工作中使用的某些實用程序。由于磁盤提供了寫和讀的功能,因此可以實現(xiàn)對磁盤上BIOS實際代碼的修改。然而,雖然磁盤提供了存儲BIOS代碼的快速而有效的方式,卻極大地增加了使BIOS代碼受到損害的可能性。因為BIOS是操作系統(tǒng)的組成部分,受損害的BIOS會導(dǎo)致系統(tǒng)完全故障和不能操作。這樣,相當(dāng)明顯,極其需要一種措施來防止對固定磁盤上的BIOS代碼進(jìn)行非受權(quán)的修改。這是過去美國專利申請07/398,820號(1989年8月25日提交)及現(xiàn)在于是1991年6月4日發(fā)布的美國專利5,022,077號的主題。有興趣的讀者可參考那個專利以得到更多的信息,這可能有助于理解這里披露的發(fā)明。同時,這里將那個專利所披露的內(nèi)容作為參考盡可能地引入到本說明書中,以便充分地理解這里披露的發(fā)明。
由于引入了IBM的PS/2微通道系統(tǒng),從而去掉了I/O適配器卡及系統(tǒng)板上的可開關(guān)和跨接線。微通道體系結(jié)構(gòu)提供了可編程寄序器來代替它們。需要實用程序來組合這些可編程寄序器或可編程選擇項選擇(POS)寄存器。這些實用程序以及改進(jìn)系統(tǒng)可用性的其他實用程序與系統(tǒng)診斷程序一起放在系統(tǒng)參照軟盤上,與每個系統(tǒng)一道提交給用戶。
在初始使用之前,每個微道系統(tǒng)要求初始化它的POS。例如,如果在用新的I/O卡引導(dǎo)系統(tǒng)或某一I/O卡的插槽改變了的情況下,則產(chǎn)生一個“配置錯誤”并停止系統(tǒng)引導(dǎo)過程。然后用戶被提示加載系統(tǒng)參照軟盤并按F1鍵。然后可從該系統(tǒng)參照軟盤中引入“設(shè)定配置實用程序”來配置該系統(tǒng)。該設(shè)定配置實用程序?qū)⑻岢鲇脩暨M(jìn)行所需操作。如果在系統(tǒng)參照軟盤上載有適當(dāng)?shù)腎/O卡描述信息文件,則設(shè)定配置實用程序?qū)a(chǎn)生正確的POS或在非易失存儲器中產(chǎn)生配置數(shù)據(jù)。描述信息文件包含該卡與系統(tǒng)的接口信息。
考慮到上述情況,本發(fā)明試圖使所描述類型的個人計算機(jī)在其機(jī)器中及在其操作手段中只向那些具有適當(dāng)特權(quán)訪問某些關(guān)鍵性數(shù)據(jù)的用戶對這類數(shù)據(jù)的受限制的訪問。為實現(xiàn)本發(fā)明的這一目的,提供了一個專用的存儲器部件來接收和存儲“特權(quán)訪問口令(Privi-legedAccessPassword)”(下文中有時稱作“PAP”),并用于協(xié)調(diào)允許各種功能和數(shù)據(jù)對啟動和使用PAP的訪問。
本發(fā)明進(jìn)一步試圖使用戶可以選擇是否啟動能夠得到安全措施,從而使該系統(tǒng)能適應(yīng)于保護(hù)系統(tǒng)使用安全的各種需要或愿望。為實現(xiàn)本發(fā)明的這一目的,由本發(fā)明試圖配置的系統(tǒng)在需要時可以適應(yīng)于符合政府標(biāo)準(zhǔn)的安全要求,然而也可以在使用環(huán)境允許的情況下以基本上無安全保護(hù)的方式使用該系統(tǒng)。這樣,這類系統(tǒng)的用戶在應(yīng)用系統(tǒng)時得到了極大的靈活性。
前已敘述了本發(fā)明的一些目的,其他目的將出現(xiàn)于結(jié)合附圖所作的描述之中。這些圖件是
圖1是實施本發(fā)明的個人計算機(jī)透視圖;
圖2是圖1所示個人計算機(jī)某些部件(包括機(jī)架、機(jī)蓋及系統(tǒng)板)的分解透視圖,圖中顯示出這些部件之間的某些關(guān)系。
圖3是圖1和圖2所示個人計算機(jī)某些部件的示意圖。
圖4和圖5是圖1和圖2所示個人計算機(jī)中與本發(fā)明的安全特性有關(guān)的一些部件的示意性表示。
圖6是圖4和圖5所示一些部件的放大尺度透視圖;
圖7與圖6相似,顯示出圖1、2、4、5所示個人計算機(jī)中與本發(fā)明的安全特性有關(guān)的一些可選部件;以及圖8、9a及9b是涉及根據(jù)本發(fā)明可得到的可選安全措施的一些功能的示意流程圖。
下面將參考示出本發(fā)明的一個最佳實施例的附圖來更詳細(xì)地描述本發(fā)明。然而,在這一描述的開頭應(yīng)該理解,那些在適當(dāng)領(lǐng)域的技術(shù)人員可以修改這里描述的發(fā)明而仍得到本發(fā)明的良好結(jié)果。因此,下文所做的描述應(yīng)被理解成針對適當(dāng)領(lǐng)域的技術(shù)人員所作的廣泛的講授性公開而不是作為本發(fā)明的限定。
這里可能用到的某些被定義術(shù)語如下可信任的計算機(jī)基礎(chǔ)(TRUSTEDCOMPUTERBASE)(TCB)計算機(jī)系統(tǒng)內(nèi)保護(hù)機(jī)制的總和-包括硬件、固件及軟件-它們的組合對實施安全策略負(fù)責(zé)。TCB包括一個或多個組成部分,它們共同對產(chǎn)生或系統(tǒng)實施統(tǒng)一的安全策略。TCB正確實施安全策略的能力只取決于TCB內(nèi)部機(jī)制及系統(tǒng)管理人員正確輸入與該安全策略有關(guān)的參數(shù)(如用戶通行證)。
受托軟件(TRUSTEDSOFTWARE)受托計算基礎(chǔ)中的軟件部分。
受托程序(TRUSTEDPROGRAM)在受托軟件中包括的程序。
開型程序(OPENPROGRAM)在受托計算基礎(chǔ)上可運行的程序,并且它不是一個受托程序。
參考監(jiān)視器概念(REFERENCEMONITORCONCEPT)一個訪問控制概念,是指中介于所有主體對客體的訪問的一個抽象機(jī)器。
安全核(SECURITYKERNEL)在受托計算基礎(chǔ)中實現(xiàn)參考監(jiān)視器概念的硬件、固件和軟件元素。它必須中介所有訪問,而且必須被保護(hù)免于受到修改并可以被證明是正確的。
受托計算機(jī)系統(tǒng)(TRUSTEDCOMPUTERSYSTEM)利用足夠的硬件和軟件組合措施從而使其可用于同時處理一定范圍的敏感或保密信息的系統(tǒng)。
系統(tǒng)所有者(SYSTEMOWNER)系統(tǒng)所有者是指負(fù)責(zé)初始配置一系統(tǒng)并使其處于安全方式(securemode)的用戶。系統(tǒng)所有者將在初始時以及每當(dāng)需要更新時控制系統(tǒng)配置。這個人將控制“特權(quán)訪問口令”并負(fù)責(zé)保持其完整性。系統(tǒng)所有者還將保持“能表明竄改的(tamperevident)”機(jī)蓋鎖)的物理安全。系統(tǒng)所有者將負(fù)責(zé)保持全部系統(tǒng)上的安全日志。系統(tǒng)所有者還將記錄所有試圖破壞安全的行為。系統(tǒng)所有者可能擁有不只一個系統(tǒng)。系統(tǒng)所有者可被認(rèn)為是受權(quán)用戶,也可以是一個普通用戶。
安全方式(SECUREMODE)當(dāng)系統(tǒng)所有者已經(jīng)成功地在個人計算機(jī)系統(tǒng)上安裝了特權(quán)訪問口令從而調(diào)用了由安全與完整性部件提供的安全保護(hù)時,該系統(tǒng)即處于安全方式。
受權(quán)用戶(AUTHORIZEDUSER)任何被允許使用特權(quán)訪問口令的用戶。這個人可以是也可以不是系統(tǒng)所有者。這個人還可以有一個特定系統(tǒng)的或一組系統(tǒng)的鑰匙。如果這個人牽涉到從某一違反安全情況恢復(fù)一個系統(tǒng),他們有責(zé)任向系統(tǒng)所有者報告這一情況。受權(quán)用戶還可以是一般用戶。
一般用戶(NORMALUSER)被授權(quán)使用該系統(tǒng)設(shè)施的任何用戶。為了改變系統(tǒng)配置或解決出現(xiàn)的問題,這個用戶需要系統(tǒng)所有者或受權(quán)用戶的協(xié)助。除非該一般用戶屬于受權(quán)用戶或系統(tǒng)所有者范疇,否則便沒有特權(quán)訪問口令或“竄改顯示(tamperevident)”機(jī)蓋鎖。
未受權(quán)用戶(UNAUTHORIZEDUSER)未規(guī)定為系統(tǒng)所有者、受權(quán)用戶互一般用戶的任何人。任何未受權(quán)用戶使用一個受安全保護(hù)的個人計算機(jī)系統(tǒng)都被認(rèn)為是一次不同于成功的接通電源的違反安全事件,并且必定存在檢查跟蹤記錄以顯示這種違反安全事件。
EEPROM電可擦可編程只讀存儲器。這種存儲器技術(shù)提供了數(shù)據(jù)的非易失性存儲,而且這些數(shù)據(jù)可在硬件邏輯控制下進(jìn)行修改。當(dāng)沒有供電時存儲內(nèi)容不會丟失。只有當(dāng)按預(yù)先確定順序啟動模塊適當(dāng)?shù)目刂菩盘枙r,存儲內(nèi)容才可以被改變。
口令描述(PASSWORDDESCRIPTION)系統(tǒng)有潛在能力受兩個口令保護(hù)1.特權(quán)訪問口令(POP)。這些口令將被此獨立地使用。PAP是設(shè)計為通過對初始程序加載(IPL)設(shè)備引導(dǎo)清單、對口令實用程序的訪問以及對系統(tǒng)參照軟盤或系統(tǒng)分區(qū)的訪問進(jìn)行保護(hù)來為系統(tǒng)所有者提供保護(hù)的。如果沒有裝入PAP或者是在加電系列中初始輸入PAP,則只是響應(yīng)POST(通電自檢)錯誤(或在熱引導(dǎo)時)才引導(dǎo)系統(tǒng)分區(qū)。由軟磁盤進(jìn)行初始BIOS加載(IBL)的保護(hù)方式與系統(tǒng)參照軟盤引導(dǎo)的保護(hù)方式相同。對于使用POP的一般用戶而言,PAP的存在是透明的。PAP將被系統(tǒng)參照軟盤或系統(tǒng)分區(qū)中的實用程序來安裝、改變或刪除。當(dāng)正確設(shè)置和輸入PAP時,它將給予所有者以超越POP的對全部系統(tǒng)的訪問權(quán)。POP用于防止對DASD上的操作系統(tǒng)或系統(tǒng)實用程序的任何非受權(quán)訪問,如同它在當(dāng)前所有PS/2系統(tǒng)上的作用。
現(xiàn)在更具體地參考附圖,圖中給出實施本發(fā)明的一個微計算機(jī),總體用標(biāo)號10表示(圖1)。如前所述,計算機(jī)10可以有關(guān)聯(lián)的監(jiān)視器11、鍵盤12和打印機(jī)或繪圖儀14。如圖2所示,計算機(jī)10有機(jī)蓋15,它與機(jī)架19一起構(gòu)成一個封閉式的、受屏蔽保護(hù)的空間,用于容納電力驅(qū)動的數(shù)據(jù)處理與存儲部件以處理和存儲數(shù)字?jǐn)?shù)據(jù)。在圖2所示的結(jié)構(gòu)中,計算機(jī)10還有一可選I/O電纜連接蓋16,它延伸復(fù)蓋和保護(hù)I/O電纜與計算機(jī)系統(tǒng)的連接點。至少有一些系統(tǒng)部件安裝在多層平板20(這里也描述為母板或系統(tǒng)板)上,它裝在機(jī)架19上,為計算機(jī)10的各部件提供電連接手段。這些部件包括上文指出的部件以及其他相關(guān)部件,諸如軟盤驅(qū)動器、各種直接存取存儲設(shè)備、附件卡或板、以及其他類似部件。
機(jī)架19有一底座和一后面板(圖2,它可以從外部由電纜接頭蓋16蓋住),并固定有至少一個開口間距用于容納數(shù)據(jù)存儲設(shè)備。如磁盤或光盤的盤驅(qū)動器、磁帶備份驅(qū)動器、或其他類似設(shè)備。在圖示的構(gòu)造中,上間格22適用于容納第一尺寸(如3.5英寸驅(qū)動器之類)外部驅(qū)動器。在這上間格22中可以提供一個軟盤驅(qū)動器,它是能接受軟盤插入其中并利用該軟盤來接收、存儲和發(fā)放數(shù)據(jù)的一種可取出介質(zhì)直接存取存儲設(shè)備,這是一般都已知道的。
在將上述結(jié)構(gòu)與本發(fā)明聯(lián)系起來之前,值得簡要回顧一下個人計算機(jī)系統(tǒng)10的一般操作。參考圖3,那里給出一個個人計算機(jī)系統(tǒng)的方框圖,說明諸如根據(jù)本發(fā)明的系統(tǒng)10之類計算機(jī)系統(tǒng)的各種部件,包括安裝在系統(tǒng)板20上的部件及系統(tǒng)板與個人計算機(jī)系統(tǒng)的I/O槽和其他硬件的連接。系統(tǒng)處理器32是連到系統(tǒng)板上的。盡管任何適當(dāng)微處理理器都能用作為CPU32,一種適宜的微處理器是INTEL公司出售的80386。CPU通過高速CPU局部總線34連到總線接口控制單元35、連到易失性隨機(jī)存取存儲器(RAM36)(這里表示為單列直插式存儲模塊SIMM))、還連到BIOSROM38,在此BIOSROM38中存有與CPU32進(jìn)行基本輸入/輸出操作的指令。BIOSROM38包括用于將各I/O設(shè)備與微處理器32的操作系統(tǒng)之間進(jìn)行接口的BIOS。存儲于BIOSROM38中的指令能被拷貝到RAM36以減少BIOS執(zhí)行時間。該系統(tǒng)還象通常那樣有一個帶有由電池支持的非易失存儲器(通常上CMOSRAM)的電路部件用與接收和保存關(guān)于系統(tǒng)配置的數(shù)據(jù),及一個實時鐘(RTC)68(圖3和4)。
雖然下文中具體參考圖3中的系統(tǒng)框圖來描述本發(fā)明,但在下面的描述開始之前應(yīng)該理解,以系統(tǒng)板上的其他硬件配置也可以使用根據(jù)本發(fā)明構(gòu)成的設(shè)備和方法。例如,系統(tǒng)處理器可以是In-tel80286或80486微處理器。
現(xiàn)在回到圖3,CPU局部總線34(由數(shù)據(jù)線、地址線和控制線組成)也提供了微處理器32與數(shù)學(xué)協(xié)處理器39及小型計算機(jī)系統(tǒng)接口(SCSI)控制器40的連接。如精通計算機(jī)系統(tǒng)設(shè)計和操作的人們所知道的那樣,SCSI控制器40可以連接于(或能夠連接于)只讀存儲器(ROM)41、RAM42、以及由圖右側(cè)指出的I/O連線支持的各類適當(dāng)?shù)膬?nèi)部或外部設(shè)備。SCSI控制器40在控制存儲用存儲設(shè)備中作為存儲控制器的工作,這些設(shè)備如固定介質(zhì)或可更換介質(zhì)的電磁存儲設(shè)備(也稱作硬盤和軟盤驅(qū)動器)、電-光存儲設(shè)備、磁帶或其他存儲設(shè)備。
總線接口控制器(BIC)35將CPU局部總線34與I/O總線44耦合。利用總線44,BIC35與一可選特性總線例如微通道總線耦合,微通道總線44包括地址線,數(shù)據(jù)線和控制線。
與I/O總線44耦合的有多種I/O部件,例如視頻信號處理器46,它與用于存儲圖形信息(在標(biāo)號48處)和存儲圖象信息(在標(biāo)號49處)的視頻RAM(VRAM)相關(guān)聯(lián)。與處理器46交換的視頻信號可以通過數(shù)字-模式轉(zhuǎn)換器(DAC)50傳送到監(jiān)視器或其他顯示設(shè)備。還采取措施將VSP46與這里稱作自然圖象輸入/輸出的設(shè)備相連,它們可以是錄相/放相機(jī)、攝相機(jī)等。I/O總線44還與數(shù)字信號處理器(DSP)51相連,它具有關(guān)聯(lián)地指令RAM52和數(shù)據(jù)RAM54,可用于存儲由DSP51處理信號所需軟件指令以及這種處理所涉及的數(shù)據(jù)。借助聲音控制器55,DSP51提供聲音輸入和輸出的處理;并借助模擬接口控制器56,DSP51還可處理其他信號。最后,I/O總線與一個輸入/輸出控制器58相連,它具有一個相關(guān)聯(lián)的電可擦可編程只讀存儲器(EEPROM)59,利用它可以與通常的外部設(shè)備交換輸入和輸出,這些外部設(shè)備包括軟盤驅(qū)動器、打印機(jī)或繪圖儀14、鍵盤12、鼠標(biāo)器或指點設(shè)備(未畫出)、以及通過串行端口進(jìn)行這種交換。在下面描述的安全措施中EEPROM起作用。
為實現(xiàn)下文之中更完全描述的本發(fā)明的某些目標(biāo),個人計算機(jī)系統(tǒng)10有一個可擦存儲部件裝在系統(tǒng)機(jī)殼內(nèi),用與有選擇地設(shè)置成有效狀態(tài)(activestate)或無效狀態(tài),并在有效狀態(tài)時接收與存儲特權(quán)訪問口令(下文中將更充分地定義)。該可擦存儲部件最好是上面描述的可擦可編程只讀存儲器或者稱EEPROM59(圖3)。系統(tǒng)還有一個選擇開關(guān)或安全開關(guān)裝在機(jī)箱內(nèi)并在操作上與可擦存儲部件設(shè)置成有效狀態(tài)或無效狀態(tài)。選擇開關(guān)(在本說明中也稱作安全開關(guān))可以是例如裝在系統(tǒng)板20上設(shè)置這兩種不同狀態(tài)。在一種狀態(tài)(也稱作寫允許狀態(tài)),EEPROM59被置成有效狀態(tài)并存儲這里描述的一個PAP。在寫允許狀態(tài),PAP可以被寫入EEPROM,可以被改變或被消除。在另一種狀態(tài),或者說無狀態(tài),EEPROM的PAP存儲能力被置成無效的。
如上所述,系統(tǒng)10還有一個具有可擦存儲能力的第二個部件,即電池支持的非易失CMOSRAM及關(guān)聯(lián)的實時鐘(RTC),圖4中用標(biāo)號68指示。該CMOSRAM存儲指示系統(tǒng)配置的數(shù)據(jù),根據(jù)本發(fā)明,包括在系統(tǒng)10通電時成功地輸入PAP的有關(guān)數(shù)據(jù)。提供了至少一個竄改檢測開關(guān)(圖4、5、6),裝在機(jī)箱內(nèi)并在操作上與CMOSRAM相連,用于檢測打開機(jī)箱和響應(yīng)竄改檢側(cè)開關(guān)的任何切換來清除該存儲部件中存儲的某些數(shù)據(jù)。
根據(jù)本發(fā)明,系統(tǒng)處理器32在操作上與EEPROM59及CMOSRAM68相連,其部分功能是通過區(qū)分存儲部件的PAP存儲能力是否處于有效(active)狀態(tài)及區(qū)分是否輸入(entry)了任何有效的已存儲的特權(quán)訪問口令(PAP)來控制對存儲于系統(tǒng)內(nèi)的至少是某些級別數(shù)據(jù)的訪問。通過操縱選擇開關(guān),系統(tǒng)操作員(或更具體地說,是負(fù)責(zé)管理和維護(hù)安全的人)可以分別選擇EEPROM的有效或無效狀態(tài),從而在系統(tǒng)的有關(guān)安全保護(hù)操作和無安全保護(hù)操作之間作出選擇。如果希望有安全保護(hù)操作并需要生效,那么系統(tǒng)所有者也必需輸入PAP。
正如這里所披露的,根據(jù)本發(fā)明適于安全考慮的系統(tǒng)具有兩個分立的非易失可擦存儲部件-EEPROM和CMOSRAM。這樣做的部分原因是在本發(fā)明出現(xiàn)的時候EEPROM在擦寫周期次數(shù)方面的生命是有限的,而PAP狀態(tài)的指示和PAP的正確輸入,以及至少是潛在的任何非受權(quán)打開系統(tǒng)外殼的狀態(tài),都可能需要大量次數(shù)的擦和寫。這樣,為了適應(yīng)于當(dāng)前可得到的技術(shù),這里所描述的功能已分成第一和第二可擦存儲部件。然而,本發(fā)明設(shè)想,在技術(shù)允許或系統(tǒng)設(shè)計者愿意接受所造成的限制的情況下,這兩種形式的有關(guān)數(shù)據(jù)可以存儲于單一的可擦存儲部件中。
現(xiàn)在參考圖4至圖7的示意圖,現(xiàn)在將更具體地描述對本發(fā)明起作用的某些硬件特征。
圖4描繪出通常的電源控制開關(guān)(或稱“通/斷”開關(guān))61、通常的供電電源62、響應(yīng)機(jī)殼蓋(如主蓋15和電纜連接器蓋16)被打開或拿掉而改變其導(dǎo)電狀態(tài)的開關(guān)、以及鑰鎖開關(guān)64之間的某些關(guān)系。在本發(fā)明的圖示結(jié)構(gòu)中,有兩個在打開或拿掉機(jī)箱蓋時改變狀態(tài)的開關(guān),即響應(yīng)主蓋15被拿掉的開關(guān)65(圖4、5、6)和響應(yīng)電纜連接器蓋16被拿掉的開關(guān)66(圖4、5、7)。每個開關(guān)有兩個組件,一個是常開的(分別為65a和66a),一個是常閉的(分別為65b和66b)。第二個開關(guān)66是可選件,這如同電纜連接器蓋16是可選件一樣。然而,通過仔細(xì)考慮這里所披露的內(nèi)容,將會清楚,可選蓋板和開關(guān)保證了對系統(tǒng)的更完全的安全控制。
蓋板開關(guān)65和66的常開觸點組與主電源開關(guān)61串聯(lián),接到電源62上(圖4)。結(jié)果,如果在拿掉蓋板的情況下試圖讓系統(tǒng)10“通電”,觸點組65a和66a將處于打開狀態(tài)而防止系統(tǒng)操作。當(dāng)蓋板就位時,觸點組保持閉合。于是可以開始正常的系統(tǒng)操作。
蓋板開關(guān)65和66的常閉觸點組與鑰鎖開關(guān)64串聯(lián),連到RTC和CMOS存儲器68。在蓋板15和16存在時常閉觸點組65b和66b保持打開,而當(dāng)拿掉這些蓋板時將會閉合。鑰鎖開關(guān)64在機(jī)殼鎖鎖住時保持閉合,機(jī)殼鎖是在計算機(jī)系統(tǒng)10上通常提供的。這三個觸點組提供了另一條電流接地路徑,否則該電流將被用于為RTC與CMOS存儲器部分供電,其作用是如果在系統(tǒng)處于機(jī)殼鎖住狀態(tài)時非受權(quán)拿掉機(jī)蓋從而斷電時使那個存儲器的一段置成特殊狀態(tài)(例如都是成“1”)。當(dāng)那個存儲器被POST檢測時,將那一段設(shè)置成特殊狀態(tài)將導(dǎo)致產(chǎn)生一個“配置錯誤”,它將警告系統(tǒng)所有者已經(jīng)有人企圖(成功地或不成功地)損害系統(tǒng)安全,將存儲器的一段置成特殊狀態(tài)的這種設(shè)置使先前存儲的任何口令都變成無效,存儲這一口令的目的是從任何其他來源而不是從系統(tǒng)參照軟盤或系統(tǒng)分區(qū)中引導(dǎo)操作系統(tǒng)。就象本描述其它部分中所披露的那樣,需要輸入有效的PAP才能從剛才提到的后面兩個來源之一引導(dǎo)操作系統(tǒng)。
鑰鎖開關(guān)64和主機(jī)殼蓋開關(guān)65最好是裝在前卡定位部件69(圖2和圖6)上,從而使它們與主機(jī)殼蓋15中提供的鎖有適當(dāng)?shù)南鄬ξ恢?。該前卡定位部件安裝在計算機(jī)系統(tǒng)框架中,其位置使主機(jī)殼蓋開關(guān)65的啟動桿70穿過垂直框架部件中的一個開口,以便在蓋板15存在并放置在封閉系統(tǒng)機(jī)殼的位置上時由蓋板15來啟動蓋板開關(guān)65。
電纜蓋開關(guān)66最好安裝在系統(tǒng)機(jī)架的后面板上,位于能被一個鎖閂部件啟動的部位;該鎖閂部件位于電纜蓋16上,并可在類似于機(jī)殼蓋15上面的人工操作鑰鎖的控制下轉(zhuǎn)動。當(dāng)使用了選件電纜蓋16時(當(dāng)希望或需要對系統(tǒng)進(jìn)行完全保護(hù)時便是這種情況),將電纜蓋閂住或者說鎖到后面板上會使鎖閂部件將關(guān)聯(lián)的常開觸點組66a斷開。
上文和下文中描述的這種新的安全與整體性特性是獨立于先前提供的個人計算機(jī)安全特性即通電口令(POP)而起作用的。這些增加的安全與整體性特性為在諸如橙皮書之類可應(yīng)用規(guī)則下確認(rèn)操作系統(tǒng)提供了可靠的平臺。為將系統(tǒng)置于安全方式需要一個附加的口令。該新口令在這里稱作“特權(quán)訪問口令(PAP)”。為保持與以往個人計算機(jī)的兼容性,仍舊支持POP。本說明論及的新的安全與整體性與具有EEPROM、選擇開關(guān)及能表明竄改的蓋的個人計算機(jī)系統(tǒng)上所執(zhí)行的POST和口令實用程序有關(guān)。
口令安全是由系統(tǒng)硬件特性實現(xiàn)的,包括EEPROM、安全開關(guān)和能表明竄改的蓋開關(guān)、固件、POST及系統(tǒng)軟件口令實用程序。一旦已經(jīng)裝入了PAP,系統(tǒng)則處于安全方式。PAP存于EEPROM中。在EEPROM中還保存PAP的后備拷貝。這樣做是為了在安裝、改變、或取消PAP過程中發(fā)生斷電時防止意外丟失PAP。POP以及指出PAP(如果已裝入的話)有效性的至少某些位被存儲于CMOSRTC。對保存在CMOSRTC和EEPROM中的數(shù)據(jù)所作的改變是彼此獨立的。
在EEPROM中的兩位用作為“狀態(tài)機(jī)(statemachine)”,它讓POST確切知道在更新序列中的何處發(fā)生了供電中斷,并且,如果可能的話,從系統(tǒng)板更換狀況中恢復(fù)。口令實用程序維護(hù)更新指示字段,這是一個在訪問PAP時使用的二位狀態(tài)機(jī)。如果在修改口令過程中發(fā)生供電中斷,那么當(dāng)供電恢復(fù)時POST檢查狀態(tài)機(jī)。(實際上POST是在全部電源接通時進(jìn)行檢查。)如果PAP的更新成功(“00”狀態(tài)),則POST以正常方式繼續(xù)進(jìn)行。如果在掉電之前已開始了更新,(“01”狀態(tài)),則POST將檢查是否存在有效的后備PAP。如果有效,則POST將后備PAP復(fù)制到原始PAP的存儲器,如果原始PAP已經(jīng)更新成功(“10”狀態(tài)),POST將使用該原始PAP(新PAP)去檢驗使用系統(tǒng)參照軟盤或引導(dǎo)系統(tǒng)分區(qū)的任何企圖的有效性。POST將把原始PAP拷貝到后備PAP。如果選擇開關(guān)(或者說安全開關(guān))不處于未鎖或?qū)懺试S位置;則顯示出錯誤。系統(tǒng)所有者將不得不介入,解鎖機(jī)蓋并改變安全開關(guān)的位置。
如果后備PAP′已經(jīng)成功地更新(“11”狀態(tài)),則原始PAP和后備PAP都被認(rèn)為有效,POST將在確認(rèn)用戶打入的PAP之前先證實原始PAP的有效性。
如上所述,POP保存在CMOS存儲器中。有兩位將保存在CMOS存儲器中用作PAP的口令指示器。一個指示器用于表示系統(tǒng)處于安全方式(裝入了PAP)。第二指示器表示在初始通電冷引導(dǎo)過程中已輸入了PAP。將只在冷引導(dǎo)時對這兩個指示器進(jìn)行初始化和設(shè)置。在IPL之前,這兩個指示器將是寫保護(hù)的,除非引導(dǎo)系統(tǒng)參照軟盤或系統(tǒng)分區(qū),這需要成功地輸入已裝好的PAP。POP及指示器的改變獨立于EEPROM存儲的PAP的任何改變。然而,CMOS存儲器中的變化能指示出現(xiàn)了破壞安全的情況,這需要輸入有效的PAP才能恢復(fù)允許加載一個操作系統(tǒng)。
為避免對口令的任何非受權(quán)訪問,在初始程序加載(IPL)引導(dǎo)操作系統(tǒng)之前,IPL設(shè)備引導(dǎo)清單、EEPROMCRC、及所有指示器都將被封鎖。為封鎖這些區(qū)域,POST將設(shè)置特殊的硬件鎖存器,除非系統(tǒng)斷電,否則這些硬件鎖存器不能被復(fù)位。在POST第一階段(初始通電)的開始,POST將檢查EEPROM是否被封鎖。如果它是鎖住的,POST將顯示一個錯誤并停機(jī),因為此時硬件不能工作。將需要系統(tǒng)所有者進(jìn)行干預(yù)來補救這種情況,這可能需要系統(tǒng)板。在本發(fā)明的一種形式中,當(dāng)系統(tǒng)已被竄改時,與RTC和控制寄存器相關(guān)聯(lián)的CMOSRAM存儲器的頭14個字節(jié)不受影響。CMOS的其后50個字節(jié)都被置成1(二進(jìn)制值1),這在前面已簡要描述過。一旦檢測到這種狀況,POST顯示一個適當(dāng)?shù)腻e誤。在本發(fā)明的另一種形式里,可能少到只有一位被置成指示竄改狀態(tài)。不論在哪種情況下,都將需要系統(tǒng)所有者/受權(quán)用戶干預(yù),以補救這種狀態(tài),這可能需要在從系統(tǒng)參照軟盤或系統(tǒng)分區(qū)中引導(dǎo)口令提出時輸入PAP,或者需要重新配置系統(tǒng)板。
如果系統(tǒng)所有者忘記了PAP,則需要更新受影響的系統(tǒng)板。
如果忘記了POP,系統(tǒng)所有者可以撥動能表明竄改的開關(guān)來破壞前述CMOS的內(nèi)容,然后輸入PAP(如果已裝入的話)來引導(dǎo)系統(tǒng)參照軟盤或系統(tǒng)分區(qū),運行口令實用程序以重新安裝POP。
當(dāng)系統(tǒng)已經(jīng)通電而沒有安裝任何一個口令,則POST將不提示要求一個口令。然而,如果不存在系統(tǒng)參照軟盤,或者沒有要求引導(dǎo)系統(tǒng)分區(qū)或系統(tǒng)分區(qū)引導(dǎo)不存在,則POST將封鎖PAP、后備PAP、IPL設(shè)備引導(dǎo)清單、EEPROMCRC、以及所有指示器。這樣做是為了防止對這些區(qū)域的任何偶然的或惡意的訪問。如果存在系統(tǒng)參照軟盤或已要求引導(dǎo)系統(tǒng)分區(qū),則這些區(qū)域保持不封鎖以便允許系統(tǒng)所有者使系統(tǒng)進(jìn)入安全方式。
當(dāng)系統(tǒng)已經(jīng)通電并安裝了POP但沒有安裝PAP時,POST將檢查狀態(tài)機(jī),然后驗證POP口令檢查和。如果檢查和是壞的,POST將抹掉CMOS中的POP并且不提示要求輸入口令。否則,POST將提示要求口令。如果系統(tǒng)參照軟盤不存在,或者未請示引導(dǎo)分區(qū),那么PAP、后備PAP、IPK設(shè)備引導(dǎo)清單、EEPROMCRC、及所有指示器將被封鎖以防止任何訪問。
當(dāng)系統(tǒng)已經(jīng)通電并安裝了有效的PAP(安全方式)但沒有裝入POP時,POST將驗證PAP檢查和。如果檢查和是好的,那么在存在系統(tǒng)參考軟盤或請求引導(dǎo)系統(tǒng)分區(qū)的情況下,POST將提示用戶輸入PAP。否則,POST將不提示要求口令,并且PAP、后備PAP、IPL設(shè)備引導(dǎo)清單、EEPROMCRC、及所有指示器將被封鎖以防止任何訪問。如果PAP檢查和是壞的,則顯示一個錯誤而且系統(tǒng)停機(jī)。這是為了防止這樣一種情況POST會偶然地允許用戶無保護(hù)地訪問一個先前當(dāng)EEPROM失效時對于安全方式的系統(tǒng)。這將需要系統(tǒng)所有者干預(yù)來補救這種情況,這可能需要更換系統(tǒng)板。
當(dāng)系統(tǒng)已經(jīng)加電并且裝入了有效的PAP和有效的POP時,POST將提示用戶輸入口令。如果輸入了POP,POST將不從系統(tǒng)參照軟盤或系統(tǒng)分區(qū)中引導(dǎo)。系統(tǒng)只能用現(xiàn)存的IPL設(shè)備清單引導(dǎo)。如果在提示時打入了PAP而不是POP,則用戶能從系統(tǒng)參照軟盤、系統(tǒng)分區(qū)、IBL軟盤、或通常當(dāng)IPL設(shè)備清單引導(dǎo)。此時設(shè)置一指示器,用以表明在初始通電時管成功地輸入了PAP,因此,在本次通電對話的晚些時候可以發(fā)生系統(tǒng)參照軟盤或系統(tǒng)分區(qū)的引導(dǎo)。POST將在軟的重引導(dǎo)之后不提示要求用戶輸入口令,因此也不需要“PAP成功打入”指示器及其對該指示器的保護(hù)。
簡而言之,如果用戶能在冷啟動時從系統(tǒng)參照軟盤或系統(tǒng)分區(qū)引導(dǎo),POP、PAP、后備PAP、IPL常備引導(dǎo)清單、EEPROMCRC、及所有指示器將保持不封鎖。這一狀況給予可信任軟件(即系統(tǒng)參照軟盤)和受權(quán)用戶對系統(tǒng)安全參數(shù)的訪問,在POST確認(rèn)兩個口令都被正確輸入時,它將顯示一個確認(rèn)圖符比示承認(rèn)這一輸入。當(dāng)網(wǎng)絡(luò)服務(wù)器(無人值守的啟動)方式有效時,POST將如前所述跳過要求POP的提示。
圖8和圖9描繪了剛才描述的情況的流程邏輯,那里,為了簡化圖示,在圖9a和9b中所示特定步驟之間的連接由寫有單個字母標(biāo)志的過程塊來表示。
安裝了網(wǎng)絡(luò)服務(wù)器(無人啟動)方式的系統(tǒng)將以能達(dá)到目標(biāo)操作系統(tǒng)的任何方式完成引導(dǎo)過程,但鍵盤將被鎖住不能使用POP。然而,如果存在系統(tǒng)參照軟盤或請求了系統(tǒng)分區(qū)引導(dǎo),則將顯示口令提示,允許系統(tǒng)所有者輸入PAP并得到對系統(tǒng)的控制權(quán)。如果系統(tǒng)處于安全方式,而用戶想在鍵盤已被鎖住之后從系統(tǒng)參照軟盤或系統(tǒng)分區(qū)引導(dǎo),則用戶必須使系統(tǒng)斷電并在系統(tǒng)參照軟盤已插入軟盤驅(qū)動器情況下從斷電狀態(tài)啟動冷引導(dǎo)。
與POST的改變相聯(lián)系,口令實用程序必須包括對PAP的支持。該實用程序?qū)⒅С盅b入、改變和取消PAP,而且將根據(jù)選擇開關(guān)(或者說安全開關(guān))的位置而互鎖這三項功能。安全開關(guān)應(yīng)該保持在鎖定位置,直至受權(quán)用戶希望設(shè)置PAP時為止。在那時,用戶應(yīng)該打開系統(tǒng)蓋,并將安全開關(guān)移到不鎖定(改變)位置然后便可設(shè)置PAP。當(dāng)安全開關(guān)被置于不鎖定位置時,在EEPROM外部的硬件邏輯不允許對EEPROM中的PAP位置作任何改變。當(dāng)安全開關(guān)處于鎖定位置時,如果受權(quán)用戶試圖修改PAP,則將出現(xiàn)適當(dāng)?shù)男畔ⅰT儆?,?dāng)PAP被取消之后,將有信息提醒用戶使安全開關(guān)返回鎖定位置。在口令實用程序中還有一個附加安全特性,它禁止受權(quán)用戶將PAP設(shè)置成等于POP。當(dāng)設(shè)置成改變PAP時將進(jìn)行檢查,以保證新的PAP不等于系統(tǒng)地當(dāng)前POP。再有,當(dāng)改變或取消PAP時,必須知道當(dāng)前的PAP。
期望個人計算機(jī)系統(tǒng)在初始運交用戶時其安全開關(guān)處于鎖定位置,而且能表明竄改的蓋被鎖住。這樣做是為了防止系統(tǒng)所有者以外的任何人將系統(tǒng)置成安全方式。如果忘記了PAP或者非受權(quán)用戶將系統(tǒng)置成安全方式,則必須更換系統(tǒng)板。
在附圖和說明中已給出了本發(fā)明的最佳實施例。雖然使用了特定的術(shù)語,但這樣給出的描述僅在通用的和描述性的意義上使用術(shù)語,并不是為了限定的目的。
權(quán)利要求
1.一種接收和保存數(shù)據(jù)的個人計算機(jī)系統(tǒng),它能保證存于系統(tǒng)內(nèi)的數(shù)據(jù)安全,使之免受非受權(quán)訪問,該系統(tǒng)的特點在于一個通常封閉的機(jī)殼,裝在所述機(jī)殼內(nèi)的一個可擦存儲器部件,用于選擇性地啟動有效和無效狀態(tài),并用于在有效時接收與存儲特權(quán)訪問口令,裝在所述機(jī)殼內(nèi)的一個選擇開關(guān),它在操作上與所述可擦存儲器部件相連,用于將所述可擦存儲部件置成有效和無效狀態(tài),以及裝在所述機(jī)殼內(nèi)的系統(tǒng)處理器,它在操作上與所述可擦存儲器部件相連,該處理器通過區(qū)分所述存儲器部件的有效與無效狀態(tài)及區(qū)分是否輸入了有效的已存儲特權(quán)訪問口令,來控制對存儲于系統(tǒng)內(nèi)的至少是某些級別的數(shù)據(jù)進(jìn)行的訪問。
2.一種接收和保存數(shù)據(jù)的個人計算機(jī)系統(tǒng),它能保證存于系統(tǒng)內(nèi)的數(shù)據(jù)安全,使之免受非受權(quán)訪問,該系統(tǒng)的特點在于一個通常封閉的機(jī)殼,裝在所述機(jī)殼內(nèi)的第一可擦存儲器部件,用于選擇性地啟動有效和無效狀態(tài),并用于在有效狀態(tài)時接收與存儲特權(quán)訪問口令,裝在所述機(jī)殼內(nèi)的一個選擇開關(guān),它在操作上與所述第一可擦存儲器部件相連,用于將所述第一可擦存儲部件置成有效和無效狀態(tài),裝在所述機(jī)殼內(nèi)的第二可擦存儲器部件,用于接收和存儲指示所述第一可擦存儲部件狀態(tài)和指示所存儲的任何特權(quán)訪問口令正確輸入的數(shù)據(jù),裝在所述機(jī)殼內(nèi)的竄改檢測開關(guān),它在操作上與所述第二可擦存儲器相連,用于檢測未受權(quán)打開所述機(jī)殼和用于響應(yīng)所述竄改開關(guān)的任何切換使存儲于第一可擦存儲部件中的任何特權(quán)訪問口令失效,以及裝在所述機(jī)殼內(nèi)的系統(tǒng)處理器,它在操作上與所述可擦存儲器部件相連,該處理器通過區(qū)分所述第一存儲器部件的有效與無效狀態(tài)及區(qū)分是否輸入了有效的已存儲特權(quán)訪問口令,來控制對存儲于系統(tǒng)內(nèi)的至少是某些級別的數(shù)據(jù)進(jìn)行的訪問。
3.根據(jù)權(quán)利要求2的一種個人計算機(jī)系統(tǒng),其特點在于所述第一可擦存儲器部件是一個電可擦可編程只讀存儲器裝置。
4.根據(jù)權(quán)利要求2的一種個人計算機(jī)系統(tǒng),其特點在于所述選擇開關(guān)的作用是使操作員能夠通過對所述第一存儲器部件相應(yīng)的有效和無效狀態(tài)的選擇來選定系統(tǒng)處于安全操作還是不安全操作。
5.根據(jù)權(quán)利要求4的一種個人計算機(jī)系統(tǒng),其特點在于所述選擇開關(guān)是可以手動操作的,而且它位于所述機(jī)殼內(nèi)因而只有在打開所述機(jī)殼后才能人工接觸它。
6.根據(jù)權(quán)利要求2的一種個人計算機(jī)系統(tǒng),其特點在于所述第二可擦存儲器部件是由電池支持的CMOS RAM。
7.一種接收和保存數(shù)據(jù)的個人計算機(jī)系統(tǒng),它有高速系統(tǒng)處理器,該處理器與為在較低速度系統(tǒng)處理器上執(zhí)行而設(shè)計的應(yīng)用程序及操作系統(tǒng)軟件相容,所述個人計算機(jī)系統(tǒng)能保證存于系統(tǒng)內(nèi)的數(shù)據(jù)不受非受權(quán)用戶訪問,其特點是一個通常封閉的機(jī)殼,裝在所述機(jī)殼內(nèi)的一個可擦存儲器部件,用于選擇性地啟動有效和無效狀態(tài),并用于在有效狀態(tài)時存儲特權(quán)訪問口令,裝在所述機(jī)殼內(nèi)的一個選擇開關(guān),它在操作上與所述可擦存儲器部件相連,用于將所述可擦存儲部件置成有效和無效狀態(tài),裝在所述機(jī)殼內(nèi)的竄改檢測開關(guān),它在操作上與所述可擦存儲器相連,用于檢測未受權(quán)打開所述機(jī)殼和用于響應(yīng)所述竄改開關(guān)的任何切換使存儲于可擦存儲部件中的任何特權(quán)訪問口令失效,裝在所述機(jī)殼內(nèi)的一個高速微處理器,它在操作上與所述可擦存儲器部件相連,該處理器通過區(qū)分所述可擦存儲器部件的有效與無效狀態(tài)及區(qū)分是否輸入了有效的已存儲特權(quán)訪問口令來控制對存儲于系統(tǒng)內(nèi)的至少是某些級別的數(shù)據(jù)進(jìn)行的訪問。所述微處理器有一個實的被保護(hù)的操作方式,并與高速數(shù)據(jù)總線相連;與較低速數(shù)據(jù)總線相連的非易失存儲器;與該高速數(shù)據(jù)總線相連的易失存儲器;以及在高速數(shù)據(jù)總線和較低速數(shù)據(jù)總線之間提供通信的總線與存儲器控制器,所述總線與存儲器控制器與所述易失存儲器及非易失存儲器相連,并用于調(diào)節(jié)所述易失存儲器和所述高速微處理器之間的通信。
8.根據(jù)權(quán)利要求7的一種個人計算機(jī)系統(tǒng),其特點在于所述可擦存儲器部件。是一個可擦可編程序只讀存儲器裝置。
9.根據(jù)權(quán)利要求7的一種個人計算機(jī)系統(tǒng),其特點在于所述選擇開關(guān)的作用是使操作員能夠通過對所述存儲器部件有效和無效狀態(tài)的選擇來選定系統(tǒng)處于安全操作還是不安全操作。
10.根據(jù)權(quán)利要求9的一種個人計算機(jī)系統(tǒng),其特點在于所述選擇開關(guān)是可以手動操作的,而且它位于所述機(jī)殼內(nèi)因而只有在打開所述機(jī)殼后才能人工接觸它。
11.一種操作一個個人計算機(jī)系統(tǒng)的方法,該個人計算機(jī)系統(tǒng)有一個機(jī)殼、裝在機(jī)殼內(nèi)的系統(tǒng)處理器、裝在機(jī)殼內(nèi)的可通過選擇使之生效的可擦存儲器部件、裝在機(jī)殼內(nèi)的用于將存儲器部件設(shè)置成有效和無效狀態(tài)的選擇開關(guān)、以及裝在機(jī)殼內(nèi)用于檢測打開機(jī)殼的竄改檢測開關(guān),該方法的特點在于下述步驟有選擇性地將存儲器部件置于有效狀態(tài);將一特權(quán)訪問口令存于該有效存儲器部件中;通過區(qū)分該存儲器部件是處于有效還是無效狀態(tài)及區(qū)分是否輸入了特權(quán)訪問口令來控制對存儲于該系統(tǒng)中的至少是某些級別數(shù)據(jù)的訪問;以及響應(yīng)對竄改開關(guān)的任何切換,使存儲于存儲器部件中的特權(quán)訪問口令失效。
12.根據(jù)權(quán)利要求11的一種個人方法,其特點在于所述有選擇地將存儲器部件置于有效狀態(tài)的步驟包括打開系統(tǒng)機(jī)殼和手動改變選擇開關(guān)的設(shè)置。
13.操作一個具有系統(tǒng)處理器和存儲器部件的個人計算機(jī)的一種方法,該方法的特點在于下述步驟提供接收第一和第二口令并將其存儲于系統(tǒng),并提供將可信任的和開放程序裝入系統(tǒng);區(qū)分(a)無任何口令存儲、(b)第一口令存儲、(c)第二口令存儲;區(qū)分裝入和請求執(zhí)行(d)可信任的程序和(e)開放程序;區(qū)分由用戶(f)未輸入口令、(g)輸入第一口令、及(h)輸入第二口令;以及響應(yīng)由用戶輸入的第二口令(h)來控制對可信任的程序(d)的訪問。
14.根據(jù)權(quán)利要求13的一種方法,其特點在于所述區(qū)分所存儲口令的步驟包括區(qū)分通電口令作為第一口令的存儲與特權(quán)訪問口令作為第二口令的存儲。
15.根據(jù)權(quán)利要求13的一種方法,其特點在于控制訪問步驟包括識別無口令(a)的存儲和允許任何用戶訪問任何程序。
16.根據(jù)權(quán)利要求13的一種方法,其特點在于控制訪問步驟包括識別第一口令(b)的存儲和只允許輸入第一口令(b)的用戶訪問任何程序。
17.根據(jù)權(quán)利要求13的一種方法,其特點在于所述控制訪問步驟包括識別第二口令(c)的存儲和只允許輸入第二口令(c)的用戶訪問任何程序。
18.根據(jù)權(quán)利要求13的一種方法,其特點在于控制訪問步驟包括識別第一口令(b)和第二口令(c)的存儲、只允許輸入第一口令(b)的用戶訪問任何程序只允許輸入第二口令(c)的用戶訪問可信任程序。
19.根據(jù)權(quán)利要求18的一種方法,其特點在于所述控制訪問步驟還包括允許輸入第一口令(c)的用戶訪問任何程序而不需首先輸入第一口令(b)。
全文摘要
本發(fā)明系統(tǒng)有一個通常封閉的機(jī)殼,至少有一個可擦存儲器部件用于有選擇地啟動有效狀態(tài)和無效狀態(tài);一個選擇開關(guān)在操作上與可擦存儲器部件相連,用于將可擦存儲部件設(shè)置成有效狀態(tài)和無效狀態(tài);一個竄改檢測開關(guān)在操作上與可擦存儲器部件相連,用于檢測機(jī)殼打開,并響應(yīng)竄改開關(guān)的任何切換,使存儲與可擦存儲器部件中的任何特許訪問口令失效;還有一個系統(tǒng)處理器在操作上與可擦存儲器部件相連、用于控制對存儲在系統(tǒng)中的至少是某些級別的數(shù)據(jù)所進(jìn)行的訪問。
文檔編號G06F11/00GK1076534SQ9310070
公開日1993年9月22日 申請日期1993年1月26日 優(yōu)先權(quán)日1992年2月26日
發(fā)明者小約翰·W·布萊克利奇, 小格蘭特·L·克拉克, 理查德·A·戴安, 金塞恩·多·李, 帕特里克·E·麥考特, 馬修·T·米德茨塔爾特, 丹尼斯·L·莫勒, 帕爾默·E·紐曼, 戴夫·L·蘭德爾, 喬安娜·B·約德 申請人:國際商業(yè)機(jī)器公司