专利名称:用于计算机的总线桥安全系统与方法
技术领域:
本发明涉及一种用于保护计算机系统中数据和信息存储的安全系统及其方法。更具体地说,本发明涉及一种用于具有总线桥电路的计算机的安全系统。
在本说明书文中,把计算机系统定义为包括具有中央处理器(CPU)和存储设备的计算机,其中所述存储设备可以为硬盘、CD R/W或其它可读/可写的数据存储媒体或这些存储媒体的任何组合;以及网络,该网络并入了一个或多个这样的计算机,如在一个客户机服务器系统中那样。
在传统的计算机系统中,通常,CPU需要一个或多个支持芯片,以处理总线的接口和判优(arbitration),以及来自存储器的数据的高速缓存和缓冲。通常这些功能由执行“桥接”功能的芯片组加以管理。具体地讲,桥电路可以提供两条独立总线之间的接口。
在整个说明书中,除非上下文需要,否则单词“包括”或其变体“包括(单数)”或“正包括”应被理解为意味着对某一所述整体或整体组的含括,但不排除任何其它整体或整体组。
背景技术:
对背景技术进行讨论,仅仅是为了有助于对本发明的理解。应该认识到,这一讨论并不是对这样一个事实的认可与承认,即在本申请的优先权日期之前,所涉及的任何内容,为澳大利亚内的公知常识的一部分。
在计算机普遍使用的今天,存储在计算机系统中的数据越来越多的可为各类用户加以访问。可以由不同的用户通过对计算机系统的本地与/或远程使用,直接实时地进行这一访问,也可以由计算机系统的用户通过在预先确定的时刻自动或手动地加载和运行计算机程序来间接地进行这一访问。随着允许经由局域网和诸如互联网的广域网对计算机系统进行远程访问的计算机网络的出现,以及计算机系统之间的计算机程序和数据之间经由软盘和CDROM手动地或经由计算机网络自动地快速的传递,存储在计算机的读/写存储器中的数据和信息的安全性与完整性正变得越来越重要。
如今,计算机系统的共同之处在于,为了防止存储在其存储设备上的数据与信息遭到恶意计算机程序的攻击,都并入了“防病毒”软件,并且用户验证程序允许根据用户的状态,按预先确定的级别,对存储在其存储设备上的数据与信息进行访问。
目前,所使用的大多数类型的防病毒软件和用户验证协议的问题在于,它们均被嵌入在软件中,要求在计算机的操作系统的控制下被执行。因此,这样的防病毒软件或验证软件能正确运作的前提条件是,计算机系统必须能够“干净地”接通电源、引导以及调用操作系统,在这期间没有影响计算机的任何病毒或破坏安全的过程。
在防病毒软件的情况下,大多数这样的软件依赖于对病毒或病毒类型的认知程度,以试图保护系统的安全。因此,需要不断对防病毒软件加以更新,并且需要在某一具体病毒入侵计算机系统之前,将防病毒软件装入计算机系统。
由于某些病毒能严重攻击和破坏计算机系统,所以病毒的首次出现与防病毒软件的产生之间的时间迟延仍导致了一个间断期,在这一间断期内,常常会使某些受这种病毒感染的计算机系统遭受无法挽救的破坏。事实上,病毒和防病毒软件的产生已呈现出经久不衰之势。因此,尽管为了战胜病毒和确保数据与信息的安全,过去已提出过一些较好的方案,但当前的技术状态仍停留在采用软件方案处理这一问题的水平上。
虽然如此,在防病毒或防止对存储在计算机系统上的数据进行未经授权的访问方面,过去也提出过各种实质上更可靠和更具弹性的基于硬件的方案。然而,这些方案很难被应用,其在适用不同的和变化的格式标准方面受到限制,或者为了使它们有效运行或甚至是具有可操作性,远远不止要求用户加载可执行的程序,而且还要求用户在技术方面起作用。
通过参照而被合并于此的本申请人的WO 03/003242,公开了一种对引导期间以及在已加载了操作系统之后实时对所存储的数据的访问进行控制的安全设备。在03/003242中的这种安全设备使用了其自己分立的用于处理的专用电路、存储器、总线控制和接口。
无需分立的专用电路而提供数据访问的引导和实时控制是十分有利的。
发明内容
本发明的目的是使用计算机系统自身的电路,为存储在计算机系统中的数据与信息提供健壮的保护,使它们免遭未经授权的访问与/或滥用。
根据本发明的一个方面,提供了一种用于计算机的安全系统,所述计算机具有主机中央处理器(CPU);由主机CPU用来加载程序以操作计算机的存储器;用于存储要被计算机处理的数据的存储设备;以及插在与主机CPU连接的第一总线和与存储设备连接的第二总线之间的桥电路,该安全系统包括处理装置,独立于主机CPU,用于控制主机CPU和存储设备之间的访问;以及程序存储装置,独立于计算机的存储器,用于以控制所述访问的规定的方式,不可改变地存储和提供用于操作处理装置的计算机程序;其中,处理装置包括桥电路中的逻辑。
优选的是,该安全系统包括独立于计算机的存储装置的存储器存储装置,以存储与计算机的基本操作和访问存储设备相关的关键数据和控制成份。优选的是,把存储器存储装置连接于桥电路或包括在桥电路中。
优选的是,把所述关键数据和控制成份提供给主机CPU,并且由主机CPU加以使用,用于在计算机的启动序列期间,独立于存储设备而确认存储设备和操作计算机。
优选的是,该安全系统包括验证装置,以验证具有对存储设备进行访问的规定简档(profile)的计算机的用户。优选的是,验证装置包括桥电路中的逻辑。
优选的是,验证装置包括登录确认装置,以使计算机的用户能够输入登录标识和口令,并且使该登录标识和口令能够得以确认,以在允许计算机的启动序列进一步加以进行之前,验证所述用户为被授权的具有对存储设备进行访问的规定简档的计算机的用户。
优选的是,被授权的用户的所述登录标识和口令以及其进行访问的规定简档形成所述关键数据和控制成份的一部分,并且所述登录确认装置访问所述关键数据和控制成份,以实现对用户的验证。
优选的是,规定的访问简档包括允许计算机的被授权的用户对于存储设备的规定的分区或区进行所允许的访问的预先确定的级别的分配。
优选的是,该安全系统包括拦截装置,以在安全系统的初始化之前,封锁主机CPU对数据存储设备的所有数据访问,并且紧接在所述初始化之后,在所述处理装置的控制下,拦截所有所述数据访问。优选的是,拦截装置包括桥电路中的逻辑。
优选的是,所述关键数据和控制成份包括与存储设备相关的标识数据,用于使得计算机能够在所述启动序列期间完成其外围设备的检查。
优选的是,所述关键数据和控制成份包括定制的启动扇区,所述定制的启动扇区包括调用所述验证装置,以在所述启动序列期间设定计算机的操作。
优选的是,所述验证装置包括存储在程序存储装置、存储器存储装置、或者存储设备中的验证应用程序。
优选的是,验证应用程序包括用户编辑装置,以使具有访问权的具体规定级别的被授权的用户能够创建和编辑用于访问存储设备的被授权的用户。
优选的是,验证应用程序包括访问简档编辑装置,以使所述具有访问权的具体规定级别的被授权的用户能够对有权访问存储设备的所有被授权的用户分配和编辑对所述规定部分或区的关于访问的具体的预先确定的级别。
根据本发明的另一个方面,提供一种用于确保和保护用于存储要被计算机处理的数据的存储设备免遭未经授权的访问的方法,所述计算机具有主机中央处理器(CPU);由主机CPU用来加载程序以操作计算机的存储器和存储设备;以及插在与主机CPU连接的第一总线和与存储设备连接的第二总线之间的桥电路,该方法包括独立于主机CPU,使用桥电路中的逻辑,控制主机CPU和存储设备之间的访问;以及在与存储器分开,而且不可由主机CPU加以寻址的位置上,不可改变地存储用于实现所述控制访问的计算机程序。
优选的是,该方法包括在于存储器分开、而且不可由主机CPU加以寻址的位置上,存储与计算机的基本操作和访问存储设备相关的关键数据和控制成份。优选的是,该方法包括把关键数据和控制成份存储在与桥电路连接的存储器存储装置中。优选的是,该方法包括把关键数据和控制成份存储在桥电路中。
优选的是,该方法包括在计算机的启动序列期间,独立地向主机CPU供给所述关键数据和控制成份,用于独立于存储设备而确认存储设备,以及操作计算机。
优选的是,该方法包括对具有对存储设备进行访问的规定简档的计算机的用户进行验证。
优选的是,所述验证包括,使得计算机的用户能够输入登录标识和口令,并对其进行核实,以在允许计算机的启动序列进一步加以进行之前,确定用户是否是被授权的具有对存储设备的访问的规定简档的计算机的用户。
优选的是,被授权的用户的所述登录标识和及其规定的访问简档形成所述关键数据和控制成份的一部分,而且确认包括把所输入的登录标识和口令与所述关键数据和控制成份中的登录标识和口令进行比较,并且如果存在匹配,则验证了用户。
优选的是,规定的访问简档包括允许被授权的用户对于存储设备的规定的分区或区的访问的预先确定的级别的规定的分配。
优选的是,该方法包括在计算机的初始化期间,封锁主机CPU对数据存储设备的所有数据访问,并且所述初始化之后,在启动序列期间,拦截所述数据访问。
优选的是,所述关键数据和控制成份包括与存储设备相关的标识数据,用于使得计算机能够在所述启动序列期间完成其外部设备的检查。
优选的是,所述关键数据和控制成份包括用于计算机的定制的启动扇区,所述定制的启动扇区包括调用验证步骤;并且该方法包括在所述启动序列期间使用这一定制的启动扇区设定计算机的操作,并且在这样的时刻上验证计算机的用户。
优选的是,所述验证包括使得某一被授权的用户的具体规定级别能够在关键数据和控制成份中创建和编辑登录标识和口令,以指出有权访问存储设备的被授权的用户。
优选的是,所述验证包括使所述被授权的用户的具体规定级别能够在关键数据和控制成分内,为有权访问存储设备的所有被授权的用户分配和编辑对于所述规定部分或区的访问的具体的预先确定的级别。
优选的是,仅在桥电路中进行用户验证。
根据本发明的又一个方面,提供了一种用于计算机的安全系统,所述计算机具有主机中央处理器(CPU);由主机CPU用来加载程序以操作计算机的存储器;用于存储要被计算机处理的数据的存储设备;以及插在与主机CPU连接的第一总线和与存储设备连接的第二总线之间的桥电路,该安全系统包括处理装置,独立于主机CPU,用于控制主机CPU和存储设备之间的访问;以及拦截装置,在安全系统的初始化之前,封锁主机CPU对数据存储设备的所有数据访问,并且紧接在所述初始化之后,在所述处理装置的控制下,拦截所述数据访问;其中,在拦截装置紧接在所述初始化之后拦截所述数据访问时,所述处理装置独立于主机CPU进行控制,并且以下述方式配置计算机的配置防止对存储设备的未经授权的访问;以及其中,处理装置和拦截装置包括桥电路中的逻辑。
优选的是,安全系统包括独立于计算机的存储器的程序存储装置,用于以控制所述访问的规定的方式,为操作所述处理装置不可改变地存储和提供计算机程序。优选的是,把程序存储装置连接于桥电路或包括在桥电路中。优选的是,规定的访问简档包括允许计算机的被授权的用户对存储设备的规定的分区或区的访问的预先确定的级别的规定的分配。
优选的是,桥电路适合于仅根据主机CPU和存储设备之间的数据访问新道加以连接,并且脱离主数据和主机CPU的控制总线。
根据本发明的另一个方面,提供了一种确保和保护用于存储要被计算机处理的数据的存储设备,以使其免遭未经授权的访问的方法,所述计算机具有主机中央处理器(CPU);由主机CPU用来加载程序以操作计算机的存储设备和存储器;以及插在与主机CPU连接的第一总线和与存储设备连接的第二总线之间的桥电路,该方法包括独立于主机CPU,控制主机CPU和存储设备之间的所有数据的访问;在计算机的初始化期间,封锁主机CPU对数据存储设备的所有数据访问;以及在启动序列期间,在所述初始化之后,拦截所有所述数据访问,以独立于主机CPU进行控制,并以下述方式配置计算机防止此后对数据存储设备的未经授权的访问;其中,由桥电路中的逻辑控制、封锁和拦截所有数据访问。
优选的是,该方法包括不可改变地存储计算机程序,用于在于存储器分开、而且不可由主机CPU加以寻址的位置上,执行所述控制访问。优选的是,该方法包括不可改变地把用于实现所述控制访问的计算机程序存储在连接于桥电路的存储器存储装置中。优选的是,该方法包括不可改变地把用于实现所述控制访问的计算机程序存储在桥电路中。
优选的是,被授权的用户的所述登录标识和口令及其规定的访问简档形成所述关键数据和控制成份的一部分,而且确认包括把所输入的登录标识和口令与所述关键数据和控制成份中的登录标识和口令进行比较,并且如果存在匹配,则验证了用户。
优选的是,规定的访问简档包括允许被授权的用户对存储设备的规定的分区或区的访问的预先确定的级别的规定的分配。
优选的是,仅在桥电路中执行用户验证。
根据本发明的另一个方面,提供了一种用于计算机的安全系统,所述计算机具有主机中央处理器(CPU);由主机CPU使用的用于加载程序以操作计算机的存储器;用于存储计算机处理的数据的存储设备;以及插在与主机CPU连接的第一总线和与存储设备连接的第二总线之间的桥电路,该安全系统包括封锁装置,用于在主机CPU和存储设备之间有选择地封锁数据访问;以及验证装置,用于对具有对存储设备进行访问的规定的访问简档的计算机用户进行验证;其中,所述封锁装置维持所述封锁数据访问,直至所述验证装置完成了对计算机用户的正确的验证;以及其中,封锁装置包括桥电路中的逻辑。
优选的是,该安全系统包括独立于主机CPU的处理装置,用于响应于所述验证装置,控制用于封锁主机CPU和存储设备之间的访问的所述封锁装置的操作。优选的是,处理装置包括桥电路中的逻辑。
优选的是,验证装置包括桥电路中的逻辑。
优选的是,封锁装置在安全系统的初始化之前,封锁主机CPU对数据存储设备的所有数据访问,并且包括紧接在所述初始化之后,在所述处理装置的控制下拦截所有所述数据访问的拦截装置。
优选的是,在拦截装置紧接在所述初始化之后和在计算机的操作系统加载之前,在所述拦截装置上拦截所述数据访问时,所述处理装置独立于主机CPU进行控制,而且以下述方式配置计算机防止对数据存储设备的未经授权的访问。
优选的是,所述验证装置能够在对用户进行了正确验证之后,实现计算机的软件引导,而且所述处理装置允许在采用所述软件引导的计算机的启动序列期间,正常地加载操作系统。
优选的是,所述处理装置控制所述封锁装置,以在根据用户的规定的访问简档对用户进行了正确验证之后,执行对存储设备的访问的封锁。
优选的是,安全系统包括独立于计算机的存储器的程序存储装置,用于以一种控制所述访问的规定的方式,不可改变地存储和提供用于操作处理装置的计算机程序。优选的是,把程序存储装置连接于桥电路或包括在桥电路中。
优选的是,安全系统包括独立于计算机的存储装置的存储器存储装置,用于存储与计算机的基本操作和访问存储设备相关的关键数据和控制成份,优选的是,把存储器存储装置连接于桥电路或包含在桥电路中。
优选的是,把所述关键数据和控制成份提供给主机CPU,并且由主机CPU将它们用于对存储设备的确认以及在计算机的启动序列期间操作独立于存储设备的计算机。
优选的是,验证装置包括登录确认装置,以使计算机的用户能够输入登录标识和口令,并且对该登录标识和口令进行确认,以在允许计算机的启动序列继续进行之前,对所述用户进行验证,所述用户是具有对存储设备进行访问的规定的访问简档的计算机的被授权的用户。
优选的是,被授权的用户的所述登录标识和口令及其规定的访问简档形成所述关键数据和控制成份的一部分,而且所述登录确认装置访问所述关键数据和控制成份,以实现对用户的验证。
优选的是,规定的访问简档包括允许计算机的被授权的用户对存储设备的规定的分区或区的访问的预先确定的级别的规定的分配。
根据本发明的另一个方面,提供了一种确保和保护用于存储要被计算机所处理的数据的存储设备,以使其免遭未经授权的访问的方法,所述计算机具有主机中央处理器(CPU);由主机CPU用来加载程序以操作计算机的存储器和存储设备;以及插在与主机CPU连接的第一总线和与存储设备连接的第二总线之间的桥电路,该方法包括使用桥电路中的逻辑,在主机CPU和存储设备之间有选择地封锁所有数据访问;以及对具有对存储设备进行访问的规定的访问简档的计算机用户进行验证;其中,维持所述数据访问的封锁,直至完成了对计算机用户的正确的验证。
优选的是,所述有选择的封锁装置包括独立于主CPU而控制主CPU和存储设备之间的访问。
优选的是,所述有选择的封锁出现在计算机的初始化期间,并且包括紧接在所述初始化之后和在计算机的操作系统加载之前的启动序列期间,拦截所有所述数据访问,以能够实现独立于主机CPU的控制,并且使计算机的配置呈这样一种方式能够防止对数据存储设备的未经授权的访问。
优选的是,该方法包括在对用户进行了正确验证之后,执行计算机的软件引导,而且允许在此后的计算机的启动序列期间,正常地加载操作系统。
优选的是,该方法包括根据用户的规定的访问简档,在对用户进行了正确验证之后,控制对存储设备的访问的封锁。
优选的是,该方法包括在与存储器分开、而且不可由主机CPU加以寻址的位置上,不可改变地存储用于实现所述控制访问的计算机程序。优选的是,该方法包括把用于实现所述控制访问的计算机程序不可改变地存储在连接于桥电路的存储器存储装置中。优选的是,该方法包括把用于实现所述控制访问的计算机程序不可改变地存储在桥电路中。
优选的是,所述验证包括在允许计算机的启动序列继续进行之前,使计算机的用户能够输入登录标识和口令,并且对该登录标识和口令进行确认,以确定用户是否为具有对存储设备进行访问的规定的访问简档的计算机的被授权的用户。
优选的是,被授权的用户的所述登录标识和口令及其规定的访问简档形成所述关键数据和控制成份的一部分,而且所述确认包括把所输入的登录标识和口令与所述关键数据和控制成份中的登录标识和口令进行比较,并且如果存在匹配,则验证了用户。
优选的是,规定的访问简档包括允许被授权的用户对存储设备的规定的分区或区的访问的预先确定的级别的规定的分配。
优选的是,仅在桥电路中进行用户验证。
一种总线桥电路,用于桥接计算机的不同总线和接口间的数据访问,所述计算机具有主机CPU或计算机存储设备;以及用于防止通过所述计算机对所述计算机存储设备的未经授权的访问,该电路包括处理装置,用于控制该电路的操作;存储器,用于把应用程序加载于其中,以由所述处理装置加以运行;第一接口装置,用于把该电路与第一总线或设备结构相接,以与计算机的主机CPU进行通信;第二接口装置,用于把该电路与第二总线或设备结构相接,以与计算机存储设备进行通信;以及安全逻辑装置,用于根据由所述处理装置所运行的规定的应用程序来控制所述第一接口装置和所述第二接口装置之间的数据访问,以防止对所述计算机存储设备的未经授权的数据访问。
优选的是,最初,远离所述总线桥电路,把所述规定的应用程序存储在存储设备的隐藏的位置中,且在设置所述总线桥电路时,对所述安全逻辑装置进行配置,以把所述应用程序加载到所述存储装置中。
优选的是,所述安全逻辑装置被配置为,通过默认提供封锁装置,以封锁所述第一接口装置和所述第二接口装置之间的通信,并且在通过所述处理装置对其进行加载和运行之后,根据所述应用软件,有选择地允许所述第一接口装置和所述第二接口装置之间的受控的通信。
优选的是,所述安全逻辑装置形成拦截装置,以在总线桥电路的初始化之前封锁主机CPU对数据存储设备的所有数据访问,并且在所述处理装置的控制下,紧接在所述初始化之后,拦截所有数据访问。
优选的是,所述规定的软件应用提供验证装置,以对具有对存储设备进行访问的规定的访问简档的计算机用户进行验证,并且所述封锁装置维持对数据访问的所述封锁,直至所述验证装置完成了对计算机用户的正确的验证。
根据以下对本发明的一个具体实施例的描述,将可更好地理解本发明。将参照附图进行这一描述,其中图1是典型计算机系统的示意性的方框图,示出了在WO 03/003242中所公开的安全设备的物理位置,所述WO 03/003242涉及到主CPU、主总线、接口逻辑以及各种外部设备;图2是WO 03/003242中所公开的安全设备的示意性的方框图,示出了其总的功能构成;图3是典型计算机系统的示意性的方框图,所述计算机系统具有包括多条总线和多个总线桥电路的总线桥体系结构;图4是在图3中所示类型的计算机系统中,根据本发明的第一实施例的总线桥电路的示意性的方框图;图5是一个流程图,示出了未装备本发明的安全系统的常规计算机的启动序列;图6A和6B为流程图,示出了装备了本发明的安全系统的计算机系统的启动序列;图7是流程图,示出了从加电开始本发明的安全系统的操作的各种状态;图8是流程图,示出了由验证应用程序所执行的各种处理;图9A示出了通用注册图形用户界面(GUI)屏幕的图形说明格式;图9B示出了常规用户类型注册GUI屏幕的图形说明格式;图9C示出了管理员类型注册GUI屏幕的图形说明格式;图9D示出了管理员的用户编辑GUI屏幕的图形说明格式;图9E示出了管理员的访问编辑GUI屏幕的说明格式;以及图10是根据本发明的第二实施例的总线桥电路的示意性的方框图。
具体实施例方式
本发明的最佳方式直接面向结合安全系统的个人计算机(PC)系统,用于保护计算机系统的存储媒体,其中,PC是在这样一种情况之下,即其可能是呈硬盘驱动器(HDD)形式的一个或多个存储设备。可以按两种方式之一体现本发明的安全系统的最佳方式,以下将分别描述这两种方式。然而,在详细描述实施例之前,通过首先考察WO 03/003242中所公开的安全系统来解释本发明的安全系统的总的功能。
如图1中所示,计算机系统11通常包括中央处理器(CPU)13和多个外围设备,经由主CPU地址和数据总线15将它们加以连接。外围设备包括监视器17、键盘19以及一个或多个存储设备21。在当前本领域的技术状态下,存储设备21通常根据ATA(AT附属)标准进行通信,从而要求在它们和计算机系统11的其它部分之间提供ATA信道。
经由适当的接口逻辑23、27和31把这些外围设备与主CPU总线15连接,其中每一个均包括解码逻辑和设备I/O(输入/输出)。接口逻辑的特征在于允许CPU 13和具体外围设备之间的通信。
对于监视器17,把接口逻辑23与视频适配器相集成,并且经由标准的视频电缆25将其与监视器连接;对于键盘19,把接口逻辑27与键盘端口相集成,并且经由适当的键盘电缆29将其与键盘连接;以及对于存储设备21,把接口逻辑31与ATA适配器相集成,并且经由ATA电缆33将其与存储设备连接,以提供ATA信道。
沿着ATA电缆33,把图1中所示的WO 03/003242的安全设备35物理地插入在提供于设备接口逻辑31上的ATA适配器和存储设备21之间。ATA标准支持大多数类型的存储设备,包括硬盘驱动器、CD-ROM(其实际上采用ATA标准的增强版本ATA/ATAPI)、快闪存储器、软盘驱动器、Zip驱动器和磁带驱动器。
在ATA标准下,可以经由单一接口逻辑31和ATA电缆33控制两个分立的存储设备。因此,此后将提及“存储媒体”,所述存储媒体将包括一个或两个存储设备,并且存储媒体和“存储设备”可交换地加以使用。
对于PC,主要的存储设备类型为HDD。大多数HDD已被证明符合IDE(Integrated Drive Electronics,集成驱动电子设备)硬驱动器标准或EIDE(增强的IDE)硬驱动器标准,从而,与将磁盘驱动器的控制器直接连接于PC的母板相反,可以把其设于HDD本身。
尽管未在图中示出,但计算机系统11的其它实施例可以涉及经由SCSI(小型计算机系统接口)标准与主计算机系统连接的存储设备,所述SCSI具有与其自己相应的接口逻辑。因此,对于按这样的方式连接于PC的存储设备,将类似地把WO 03/003242的安全设备35插入SCSI驱动设备和其接口逻辑之间。
如图2中所示,在WO 03/003242中公开的安全设备35通常包括CPU 37、RAM(随机存取存储器)39、快闪存储器ROM(只读存储器)41以及总线控制和接口逻辑43,在本实施例中,安全设备35适合于用于保护ATA存储设备21的ATA标准。通常,以FPGA(现场可编程门阵列)与/或ASIC(专用集成电路)设备具体实现总线控制和接口逻辑,其中,所述FPGA和ASIC设备被连接,以使得在安全设备CPU 37的控制下拦截和允许主机CPU 13与磁盘存储设备21之间的所有通信的控制。
安全设备35还包括安全媒体接口45,所述安全媒体接口45允许经由定制的接口49把独立的安全存储媒体47连接于安全设备。
安全设备CPU 37根据规定的应用程序加以运作,所述规定的应用程序存储在快闪存储器ROM 41中,并且在启动时将其加载于RAM 39中,从而成为对于安全设备的操作系统。CPU 37与总线控制和接口逻辑43进行通信,在ATA电缆33上插设CPU 37,以拦截主机CPU 13与存储媒体21之间的通信。把安全媒体接口45插入在总线控制与接口逻辑43和定制的接口49之间,以便于在CPU 37的控制下的主机CPU 13与安全存储媒体47之间的通信。在WO 03/003242中所公开的安全系统的操作的这一方面,为一个独立发明的题目,将不在此进一步加以讨论。
现在,将参照图3至9描述根据本发明的安全系统的第一个实施例。图3示出了计算机系统11,其具有可替代图1中所示的计算机系统,但总体上等价于这一计算机系统的体系结构。图3中的体系结构包括包括含有CPU总线15、PCI总线302以及多条外围设备总线的多条总线。外围设备总线包括ISA、总线303和IDE总线(或ATA电缆)33。CPU总线15把主机CPU13与CPU/PCI桥电路或北桥304连接。北桥304是ASIC,提供了CPU总线15和PCI总线306之间的桥接。北桥304还集成了诸如控制主机CPU 13、系统存储器308以及AGP(加速图形端口)310之间的通信的系统功能。
与北桥304相类似,南桥312是ASIC,提供了PCI总线306、ISA总线303以及IDE总线33之间的桥接。南桥312还集成了各种系统功能,诸如,计数器和活动定时器、电源管理、以及处理PCI总线306、ISA总线303以及IDE总线33上的设备之间的通信的各种接口或控制器。连接于IDE总线33的是HDD存储设备21。也可以经由外围设备总线,把其它存储设备类似地与南桥312连接。
图4是一般化的方框图,示出了根据本发明的安全系统332的实施例。南桥312包括关于其传统总线桥接的逻辑和含有PCI接口314、IDE接口31、USB(通用串行总线)接口316、ISA接口318、电源管理逻辑320、键盘/鼠标控制器322以及定时器逻辑324的系统功能。南桥312也可以包括关于其它各种系统功能的逻辑。
南桥312也包括安全逻辑326和RAM 328。安全逻辑326在功能上等价于图1中所示的WO 03/003242的CPU 37和安全设备35的总线控制和接口逻辑43。如以下更详细加以描述的,安全逻辑326可选择地保证主机CPU 13和受保护的HDD 21之间的访问。
与WO 03/003242的安全设备35相类似,安全逻辑326根据规定的应用程序加以运作,所述规定的应用程序在启动时加载于RAM 328中,从而成为安全逻辑326的操作系统。把规定的应用程序存储在受保护的HDD 21本身的分区(partition)330中,所述分区330对于用户来说是不可见的,而且只能被指定的管理员所访问。或者也可以把应用程序存储在南桥312自身中,或者存储在与南桥312连接的独立的安全存储器(未示出)中。
现在,将参照其余的附图,描述存储在不可见的HDD分区330中的应用程序和安全系统332的操作。
通常,把存储在南桥312中关于安全逻辑的不可见的HDD中的应用程序设计为拦截和控制计算机系统的引导过程,并且在允许对受保护的存储媒体进行访问之前,通过登录ID和口令提供验证。因此,对主机CPU 13与存储媒体21之间的南桥312中的安全逻辑326的位置进行特殊设计,以使安全逻辑326能够有选择地过滤所有对于流向受保护的存储媒体21和从受保护的存储媒体21流出的信息与数据的请求。安全逻辑326基于由具有管理员简档(profile)的用户所建立的预先确定的用户简档,适当地把这些请求传送给存储媒体21,其中所述简档被存储在不可见的HDD分区330中。这些简档基于对受保护的存储媒体21中的不同分区与/或文件的访问。于是,所指定的管理员可以按以下将更详细地加以描述的方式逐分区与/或逐文件地建立数据保护。与应用程序相类似,可以选择把用户简档存储在南桥312自身中,或者存储在与南桥312连接的独立的安全存储器中。为了充分理解本发明的安全系统332的操作,需要理解标准计算机系统所采用的常规的引导过程。现在,将参照图5描述这一引导过程。
如图5中所示,PC所采用的常规的启动序列开始(由步骤51所指示)于53处所示的加电。这也称为“冷”引导,这将使留在主机CPU的内部存储器寄存器和RAM中的所有数据被清除,并且用开始地址设置CPU的程序计数器,以开始引导程序。该地址是被永久性地存储在ROM BIOS(基本输入输出系统)中的引导程序的开始。
下一个步骤55涉及CPU使用这一地址找到和调用ROM BIOS引导程序。ROM BIOS程序遍历初始化阶段,所述初始化阶段包括设置硬件和软件中断向量,并且调用由步骤57加以表示的一系列检查,这些检查被称为加电自测(POST)。
POST处理涉及一系列测试,以确保PC的RAM正确运作。然后,其进行另外一系列测试,所述这些测试指示主机CPU检查是否存在诸如视频卡和监视器17、键盘19以及存储媒体21的各种外围设备,以及它们是否正常运作。
当完成POST时,则在步骤59,BIOS寻找保持在外围设备中的ROM中的BIOS扩展的地址,以查看它们当中的任何一个是否具有将被运行的BIOS。
这些BIOS扩展中的第一个是与视频卡相关。这一BIOS扩展初始化视频卡,以操作监视器,如步骤61处所示。
当完成了视频卡的初始化时,则BIOS前进到步骤63,以运行对于那些拥有其它BIOS扩展的外围设备的其它BIOS扩展。
接下来,在进行到步骤67之前,BIOS进行到步骤65,以显示启动屏幕,所述步骤67在系统上引导进一步的测试,包括在步骤67的存储器测试,被显示在屏幕上。
然后,在步骤69,BIOS执行“系统存量(inventory)”或设备检查,以判断把何种类型的外围设备硬件连接于系统。至于HDD存储媒体,BIOS程序致使主机CPU询问HDD,请求以下细节,诸如驱动标准(ATA或SCSI)、何种水平的标准(例如,其为旧的ATA 1-3标准还是新的ATA 6标准)、柱面/磁头/扇区的号码、以及其是否能够按其它方式运行。把HDD的询问的这一阶段称为“驱动ID”。
接下来,BIOS进行到步骤71,配置诸如即插即用设备的“逻辑”设备,并且把其发现的每一条消息显示在屏幕上。
然后,在步骤73,显示指示计算机系统的配置的概要屏幕。接下来,在步骤75,BIOS检查指定的引导序列,在该步骤中,指定要对有效引导扇区的位置加以检查的存储媒体的优先级的顺序,可根据这一顺序加载计算机的操作系统。正常的顺序是检查软盘驱动器(A),然后是硬盘(C),或者反之亦然,或者CD ROM驱动器。
识别了优先级的顺序后,在步骤77,BIOS使CPU依次查找每个驱动器中的引导信息,直至定位了有效的引导扇区。
在步骤79,BIOS通过调用软件中断向量“int 19”执行该处理,所述处理把具体的外围设备的地址存储在软件中断向量表中,所述软件中断向量表是在BIOS的初始化阶段建立的。
例如,如果目标引导驱动器为HDD,则CPU在该表中所指出的设备地址中,寻找柱面0、磁头0、扇区1(磁盘上的第一个扇区)处的引导记录或引导扇区如果其正在搜寻软盘,则其从该表中获得软盘驱动器的地址,并且在软盘上的同一位置寻找卷引导扇区。
通过CPU检查“ID字节”的签名而确定有效的引导扇区,所述“ID字节”通常包括引导扇区的头两个字节。如果签名表明存在引导扇区,则CPU进行到步骤81,把引导扇区加载到RAM中,并且在步骤83执行或运行引导加载程序,以加载各个操作系统文件。
在DOS操作系统的情况下,加载并执行隐藏文件MS DOS.SYS、IO.SYS以及COMMAND.COM,然后加载并运行文件CONFIG.SYS和AUTOEXEC.BAT,以完成计算机系统的配置,并且允许对于计算机系统的后续的操作,允许启动适当的应用程序。
在安全系统332的情况下,对南桥312中的安全逻辑326编程,以在BIOS的操作期间,在较早的阶段,通过拦截引导处理而封锁主机CPU 13对受保护的存储媒体21的所有访问。另外,南桥312中的安全逻辑326提供了将加载到主机CPU 13的RAM 308中的定制的引导扇区,然后,在允许计算机系统继续进行其正常的引导扇区操作和操作该系统加载之前,所述南桥312中的安全逻辑326执行要求正确用户验证的验证应用程序。由于后面的操作要求对受保护的存储媒体21进行访问,所以这一方法确保了这样的访问仅在南桥312中的安全逻辑326的监督控制已经被逐个用户地建立了之后才进行。
结合图6A、6B以及图7,对南桥312中的安全逻辑326的操作方式进行最好的解释,图6A、6B以及图7概括了使用按先前所描述的方式安装的本发明的安全系统332的计算机系统启动序列的操作。
在该方案中,计算机系统332的冷引导处理以步骤51的开始步骤53的加电为开始,如在常规计算机启动序列的情况下。在加电时,在步骤103,存储在不可见HDD分区中的操作系统程序立即调用南桥312中的安全逻辑,以控制和拦截所有沿ATA信道从主机CPU 13到存储媒体的通信,以致在这一时期内,根本不允许主机和受保护的存储媒体21之间沿ATA电缆33的通信。在这一时刻之前,不对IDE接口逻辑31进行配置,因此,在安全系统的初始化阶段之前或者在期间,在任何情况下,不会有沿ATA信道的对存储媒体的访问。
然后,安全逻辑326把驱动忙信号放置在ATA信道上,以把存储媒体21的状态通知主CPU 13,并继续向存储媒体请求“驱动ID”,如在步骤104处所示。
在这段时间期间,南桥312中的安全逻辑326的操作很大程度上独立于BIOS,从而BIOS可根据其正常的操作,继续执行步骤55至69,直至其在步骤69执行了对“驱动ID”的检查。
在步骤55至69期间,南桥312中的安全逻辑326继续封锁来自主机CPU13,或者任何其它外围设备与存储媒体21的所有数据通信。在该“驱动忙”阶段,安全逻辑326处于等待来自存储设备的“驱动ID”信息的状态。一旦安全逻辑326从存储媒体21接收到“驱动器ID”信息,则安全逻辑326把该信息存储在其RAM 328中,并且在ATA信道上发出“驱动准备好”信号向主机CPU 13表示存储媒体21准备好要提供“驱动ID”。
如果主机CPU 13已经达到“驱动ID”阶段69,并且在“驱动忙”阶段期间在少于所需的时间期间一直在向IDE接口逻辑31轮询,或者更正常地,在安全逻辑326在ATA信道上用信号通知“驱动准备好”阶段之后,当BIOS在步骤69最终达到“驱动ID”阶段时,主机CPU 13向“驱动ID”的驱动器接口逻辑31发出一个请求。
一旦在步骤69进行了该请求,则在105中,南桥312中的安全逻辑326拦截该请求,继续封锁对存储媒体21的访问,并且在步骤106向主机CPU 13提供HDD或多个HDD的“驱动ID”。
BIOS为HDD提供了31秒的周期,以用所存储的用来描述它的“驱动ID”来进行响应。因此,在这一时间内,无论出于何种原因,如果安全逻辑326不能够提供“驱动ID”信息,所述时间从BIOS达到“驱动ID”设备检查阶段69时起,则BIOS将指示在该位置的存储媒体21不能运作,并绕过它。由于预期此时南桥312中的安全逻辑326已实际得以初始化并可工作,因此,这样的延迟通常表明受保护的HDD或多个HDD确实存在问题。
在向主机CPU 13提供了“驱动ID”之后,南桥312中的安全逻辑326前进到其下一个状态,依然封锁主机CPU 13与存储媒体21之间的数据通信,同时在步骤71至81,BIOS程序继续其常规的启动过程,直至其到达涉及一个有效引导扇区的加载的步骤81。
在这一状态期间,南桥312中的安全逻辑326等待从主机CPU 13到IDE接口逻辑31的引导扇区请求。当接收到BIOS请求时,取代加载存储在受保护的存储设备中的引导扇区,安全逻辑326把存储在不可见HDD分区330中的“定制”引导扇区提供给主机CPU 13,如步骤107所指示的。然后,CPU13根据定制引导扇区运行引导加载程序,使存储在不可见HDD分区330中的规定的验证应用程序在步骤109得以加载,并且在步骤111得以执行。类似于应用程序和用户简档,换句话说,可以把定制引导扇区和规定的验证应用程序存储在南桥312自身中,也可以把它们存储在与南桥312连接的独立的安全存储器中。
在本实施例中,有效引导扇区必须存储在受保护的存储媒体21中;否则南桥312中的安全逻辑326永远不会越过其封锁状态。这样的安排,除了在受保护的存储媒体21上提供的操作系统外,不允许其它任何外部操作系统为了与在受保护的存储媒体21上的数据进行通信的目的实施对主CPU 13的控制,确保了系统的完整性。
因此,在其中为了定位和加载引导扇区,BIOS瞄准受保护的存储媒体21的计算机系统的正常操作中,BIOS使主机CPU 13从受保护的存储媒体21请求引导扇区。
验证应用程序实际上包括规定的登录应用,该登录应用仅允许被验证的用户继续计算机系统11的操作。不能够由规定的登录应用加以验证的用户,不能够继续使用计算机系统。以下将更详细地,但旨在描述系统启动序列地,以一般化的术语描述登录应用的详细操作。
此外,登录应用要求用户输入对于计算机系统的有效的登录名和口令,以越过最初的登录阶段。把本实施例中的登录应用设计成仅允许尝试三次输入正确的登录名和口令。应该认识到,在其它实施例中,允许输入尝试的次数可以是不同的,在极端的安全应用中,可以将其限制为仅一次尝试。如果第三次尝试没有输入正确的登录名和口令,则该应用程序调用系统暂停(其中,系统无限地挂起或循环),这需要重复整个冷引导过程。
把对于与所有被允许访问存储媒体21的用户相关的有效的登录名和口令存储在不可见HDD分区330中。换句话说,可以把它们存储在南桥312自身中,或者把它们存储在与南桥312连接的独立的安全存储器中。因此,在该登录阶段期间,在验证应用程序的控制下,在主机CPU 13和南桥312中的安全逻辑326之间进行各种通信,如图中112所示。
如果登录成功,如步骤113所表示的,验证应用程序按以下将更详细加以描述的方式继续运行。关于南桥312中的安全逻辑326,一旦用户已得以验证,则在114对先前存储在不可见HDD分区330中所关于该具体用户的数据访问简档进行设置,以确定此后验证应用程序和安全逻辑326的操作系统之间的操作协议。在操作的这一阶段期间,安全逻辑326把该具体用户的数据访问简档的细节传送给主机CPU 13用来显示。根据该用户的访问级别,把有权访问存储媒体21的其它用户可能的登录和口令信息以及数据访问简档信息传送给主机CPU 13,以依据验证应用程序进行显示和可能的编辑。
操作的这一阶段继续,直至该用户在步骤115调用“允许引导”过程。在步骤117设置这一状态,致使南桥312中的安全逻辑326进入其操作的第二阶段。在这一阶段,由安全逻辑326所运行的操作系统在步骤119对被验证的用户的数据访问简档进行设置,从而,此后执行该简档以决定主机CPU13访问受保护的存储媒体21。
然后,在120处,安全逻辑326的操作系统以信号告知由主机CPU 13运行的验证应用程序安全逻辑326被配置为采用用户的数据访问简档,于是,在121,应用程序向调用“热引导”的主机CPU 13发布软件中断向量。然后加载相应的软引导向量,而且主机CPU 13在步骤85引发软系统重新启动,或热引导。
在软件重新设置期间,安全逻辑326接下来进入对于引导扇区请求的等待状态,如123处所指示的,同时执行对于主机CPU 13和受保护的存储媒体21之间的所有数据通信的数据访问简档,如125处所示。重要的是,在计算机系统11正在进行重新设置时,安全逻辑326仍保持活跃,并且在充分运作。
软件重新设置“热引导”调用BIOS程序的特定的执行简要启动序列的子程序。而且,实际上绕过了步骤51至63,而BIOS程序进行到步骤65的操作。
在调用涉及关于HDD的“驱动ID”的设备检查的步骤69,只要对存储媒体的HDD的访问符合在其操作的第一阶段期间已由安全逻辑326的操作加以设置的具体的用户数据访问简档,南桥312中的安全逻辑326的操作系统就不再拦截从主机CPU 13道受保护的存储媒体21的请求。在大多数情况下,将允许这样的访问,除非管理员已特别禁止了被验证用户对HDD的访问。
因此,南桥312中的安全逻辑326允许存储媒体21的HDD使用“驱动ID”直接响应该请求,于是,主机CPU 13根据BIOS的正常的引导序列,使BIOS程序前进到步骤71至81。
重要的是,数据访问简档执行过程的初始部分涉及封锁对受保护的存储媒体21的访问的安全逻辑326的操作系统,直到经由ATA电缆33从主机CPU 13检测到有效的BIOS引导扇区请求。重要的是,在步骤125期间,安全逻辑326拒绝所有对受保护的存储媒体21的其它命令。
当BIOS从受保护的存储媒体21请求引导扇区时,安全逻辑326允许该请求继续。
当BIOS从存储媒体接收到有效的签名时,则主机CPU 13在步骤81继续从存储媒体21加载所规定的引导扇区,并且根据计算机系统的正常的操作,在步骤83继续运行引导加载程序,以从存储媒体21中加载操作系统。
在接收到对于存储媒体21上的引导扇区的有效的BIOS请求之后,则南桥312中的安全逻辑326根据127处所示的所设置的被验证的用户的数据访问简档,沿ATA电缆33,采取所有媒体信道活动的监视状态。因此,安全逻辑326仅根据所设置的数据访问简档来允许或不允许访问相关的存储媒体21中的分区与文件,从而不允许用户访问的数据不能由用户或者由任何病毒、错误的应用程序或者未经授权的访问加以访问。
安全逻辑326维持这一监视或管理状态,直到计算机系统11被关闭或切断电源。一旦切断计算机系统11的电源,则擦除所有动态存储器,并禁止对存储媒体的访问,直到再次对设备加电和对其进行初始化。
至此,已经描述了南桥312中的安全逻辑326的所有操作,现在将参考图8中所示的流程图和图9A至9E中所示的GUI屏幕图形说明格式更详细地描述验证应用程序。
由引导加载程序在步骤109所加载的和由主机CPU在步骤111所运行的用户验证应用程序开始于130,并最初使在步骤131显示用户注册屏幕,即在图9A中所示的图形说明。把屏幕132划分成标题框133、登录框135以及消息/日志(log)框137。
标题框133在139处提供产品商标、在141处提供版本号、在143处提供屏幕名以及在145处提供合法警告通知的显示。
登录框135包括关于147处的文本“用户”和149处的文本“口令”的标志,具有用于分别输入151处的用户标识或“用户ID”和153处的用户口令的框。消息/日志框包括用于在157处显示的文本“消息”的标志和159处的消息框,所述消息框显示为可滚动列表,显示由安全逻辑向验证应用程序发布的状态消息。还提供注册按钮155,以使用户通过南桥312中的安全逻辑326来调用用于验证目的的用户和口令登录的处理。
当显示屏幕132时,应用程序等待将被输入的登录ID和口令,如步骤160处所示。激活注册按钮155涉及验证应用程序,所述验证应用程序在161处对一个处理进行调用,该处理导致主机CPU 13把在屏幕上输入的注册细节传送至南桥312中的安全逻辑326,于是安全逻辑326把所接收的登录信息与所存储的提供在不可见HDD分区330中的登录信息进行比较。根据经由注册屏幕输入的用户和口令信息与所存储的用户和口令信息之间是否存在有效的匹配,安全逻辑326向主机CPU 13返回有效或无效验证信号。
在存在有效的验证的情况下,如162处所示,安全逻辑326还根据所存储的具体用户的数据访问简档提供关于用户类型以及相关的设备信息的附加信息。
在存在无效的验证的情况下,递增/递减计数器324,以记录在验证时已经进行了第一次未成功的尝试,并且在消息/日志框137上向用户显示相应的消息,指示失败的验证尝试的情况,如163处所示。如前所述,当进行了三次不成功的验证尝试时,如164处所示,验证应用程序致使在165处关闭要被主机CPU 13调用的中断向量,导致计算机系统11的完全关闭,从而要求以冷引导方式重新启动该系统。
当为有效的验证时,则验证应用程序根据用户类型,在166处继续显示两种类型的注册屏幕之一。在本实施例中,存在两种用户类型,一种是正常的用户,对于这些用户,在步骤167,显示如图9B中的图形说明所示的屏幕;另一类用户是管理员,对于这类用户,在步骤168,显示如图9C中的图形说明所表示的屏幕。
通常,把关于正常用户GUI屏幕169的图形说明划分成标题框170、注册细节框171、设备细节框172以及消息/日志框173。该屏幕还包括启动系统按钮174,以下将对这一按钮进一步加以描述。
实际上,标题框170与关于总注册屏幕的标题框133一样,其中,相同的标号用于标识该框的相应的属性。然而,在该情况下,修改了屏幕题目,以表示它是用户类型注册屏幕,如图中的143处所示。
注册细节框171类似于先前屏幕的注册框147,并因此把相同的标号用于标识该框的相应的属性。但与先前屏幕中的登录框相反,注册细节框包括显示用户ID的用户ID显示框175。注册细节框还包括新口令接受按钮176,用来结合口令登录框153,以允许用户改变其口令。因此,激活新口令按钮176调用涉及主机CPU 13和南桥312中的安全逻辑326之间的通信的验证应用程序的处理,以使存储在不可见HDD分区330中的对于具体用户的口令得以改变,如177处所示。在完成口令的改变之前,采用涉及新口令的确认的标准的例程。
设备细节框172包括题目标志178,显示文本“设备信息”,以及两个另外的子标志,分别在179处显示文本“主”和在181处显示文本“从”。这些子标志指向用于显示关于所规定设备或受南桥312中的安全逻辑326保护的设备的信息的区域。在本实施例中,最多允许两个存储设备,依据ATA标准这是正常的,一个表示“主”设备,另一个表示“从”设备。细化设备信息的相应的区域包括用于在183处显示“设备”、在185处显示“访问”以及在187处显示“大小MB”的三个另外的子级标志。在该设备、访问以及大小标之下,分别提供了关于每一子标志的显示框189,用于列出允许用户在主与/或从设备上观察的设备细节,如管理员所设置的。
针对每一可观察的设备,该列表显示●设备号;●其对于用户的访问类型;以及●设备大小,以MB(兆字节)为单位。
访问类型列出了5种可能的指示中的一种●只读,以红色文本加以显示;●读/写,以绿色文本加以显示;
●不可见,以黄色文本加以显示;●读目录项,以灰色文本加以显示;以及●删除,以蓝色文本加以显示。
消息/日志框173包括题目标志157,用于显示文本“消息”;以及显示框159,其作为可滚动的列表,类似于先前的屏幕,显示安全逻辑所提供的状态消息。
对于用户而言,仅提供旨在显示的设备信息,并且不能加以改变。
现在,更详细地解释本实施例中包含在显示框189中的列表,以及因此而提供的行为,根据管理员的决定,把受保护的存储设备划分成具有不同访问级别允许的区或分区。可以按某种已知的方式创建这些分区,并且对于每一存储设备类型,被表示为独立设备。例如,这些部分可以包括C、D、E以及F。从而,每一用户可以拥有对这些分区进行访问的5种访问类型之一,即只读、读/写、不可见、读目录项以及删除。
只读访问意味着,用户能访问出现在所指定的分区中的所有文件,但是只能读取文件内容。不允许用户对该分区中的有关文件进行写和删除。
读/写访问意味着,用户能访问出现在所指定的分区中的所有文件,并且允许对相关文件内容执行写入和读取功能,但是不允许对那些相关的文件进行删除。
不可见访问意味着,对于用户来说,所指定的分区中的文件是不可以任何方式访问的,是隐藏的,甚至到了对于对用户来说的可见分区,根本不能以文件的任何目录列表列出或见到文件细节的程度。
读目录项登录访问意味着,用户可以在所指定的分区中的任何目录列表中,列出诸如姓名和属性的文件细节,但是用户不允许读取、写入和删除那个分区中相关的任何文件。
删除访问是在所指定的分区中对任意文件的最高级的访问,从而用户不仅被允许进行充分读取和写入,而且允许删除那分区中相关的所有文件。
当用户准备继续计算机系统11的操作时,激活启动(launch)系统按钮174,如190处所示,于是验证应用程序向南桥312中的安全逻辑326发送信号,以设置“允许引导”状态,如由步骤191加以设置。设置“允许引导”状态调用安全逻辑326的操作的第二阶段的开始,如步骤117处所示,从而允许系统启动序列继续发布“热引导”中断向量的验证应用,如先前所描述的方式中的步骤120。这暂停了用户验证应用程序的操作。
在用户类型为管理员的情况下,在步骤168处,经由验证应用程序,向监视器上的用户显示由图9C中所示的图形说明所表示的管理员屏幕。管理员类型屏幕192实质上与用户类型屏幕类似,从而把相同的标号用于标识两种屏幕之间相应的属性。因此,把管理员类型屏幕划分成类似的标题框193、注册框195、设备细节框197以及消息/日志框199。
对于标题框193的标志题目143,把文本改变为指示即屏幕是关于管理员类型注册的。
设备细节框197和消息/日志框199实质上与用户类型屏幕的相应的属性相同,因此将不再进一步加以描述。启动系统按钮174以与先前屏幕的启动系统按钮一样的方式运作,从而以与200处所示的激活相同的激活,调用南桥312中安全逻辑326的操作的第二阶段的开始,如前所述。
对于注册细节框195,提供了用于改变管理员的口令的相同的设施,如步骤201处所示,并且具有类似的登录框153和接收新口令按钮176,如在用户类型注册的情况下。然而,注册细节框还包括编辑用户按钮202,对这一按钮的激活,调用了验证应用程序中的编辑处理,如203处所示,允许管理员创建和编辑对于各用户的数据访问简档,以确定他们对于存储媒体21的所允许访问的数据访问简档。对按钮201的激活导致验证应用程序在204处向用户显示管理员编辑屏幕,图9D中示出了该管理员编辑屏幕的图形说明。
把管理员用户编辑屏幕205划分成标题框206、编辑用户细节框207、消息/日志框209以及返回管理注册按钮211。标题框被恰当表示为题目标志206,除了具有表示为管理员编辑用户屏幕的屏幕的143外,与先前的标题框相同。相类似,消息/日志框209实质上与具有前面屏幕的消息/日志框相同。因此,使用相同的参照数字标识这些屏幕中每一屏幕的相应的属性。
对于编辑用户细节框207,这包括描述文本“用户列表”的题目标志,如213处所示;以及在215描述文本“用户”、在217处描述“口令”以及在219处描述“访问”的子题目标志。在这些子标志之下,提供了可编辑框221,在该框中,显示了有权访问受保护的存储媒体21的所有用户的可滚动和可编辑的列表。这一列表是根据存储在不可见HDD分区330中的数据获得的,所述存储在不可见HDD分区330中的数据是在验证应用程序的控制下的主机CPU 13和在其操作系统的控制下的安全逻辑326之间的通信所产生的。
该列表中的每一用户项包括各自子标题标志215、217以及219下的●用户ID;●口令;以及●访问按钮。
当对于某一具体用户按下访问按钮时,将出现针对该用户的访问编辑屏幕。管理员编辑处理允许管理员通过编辑框221删除一个用户,即通过选择他们的表项,并按下键盘上的ALT-d键序列实现这一删除。
还把创建新用户按钮223包含于编辑用户细节框207中,以创建新的用户。按钮223的激活调用了验证应用程序中的规定的处理,如224处所示。这一过程导致在管理员编辑用户屏幕205上显示对话框,所述管理员编辑用户屏幕205提供了用于输入用户ID和口令的框;以及接受按钮,于是,该按钮的激活导致用户和口令显示在编辑框221中,如225处所示。每一个新的用户具有初始默认数据访问简档,所述初始默认数据访问简档将所有部分设备设置为隐藏,直至管理员使用访问编辑屏幕对关于该用户的数据访问简档进行编辑。对于要求在编辑框221中进行编辑的用户,管理员通过激活的相应的访问按钮来访问这一屏幕,如226处所示。
提供返回管理注册按钮211,旨在允许管理员从管理员编辑用户屏幕205返回到管理员类型注册屏幕191,如227处所示。
激活在子标题标志219之下的访问按钮,所述标题标志219在列在编辑用户细节框207的用户列表中的任何用户的旁边,致使验证应用程序在步骤228处显示管理员访问编辑屏幕,图9E中示出了该管理员访问编辑屏幕的图形说明。把管理员访问编辑屏幕229划分成标题框230、编辑访问细节框231、消息/日志框232以及返回管理用户文本编辑屏幕按钮233。
标题框230,除了标题标志配有标识屏幕为管理员访问编辑类型的适当的文本外,与先前的屏幕相同,如235处所示。消息/日志框232与先前的屏幕相同,因此,使用相同的标号来标识这些屏幕之间相应的属性。
编辑访问细节框231包括显示文本“访问细节”的标题标志235,包括文本“用户”的子标志237,以及与子标志237相邻的显示框239,所述显示框239用于显示从管理员编辑用户屏幕205中所选择的具体用户的用户ID。
然后,编辑访问细节框229向用户类型注册屏幕169和管理员类型注册屏幕192的设备框提供所建立的类似的框,从而对每个设备提供针对在179和181处所提供的由安全逻辑326所保护的“主”和“从”存储媒体的标志,以及详细描述“设备”、“访问”“大小(MB)”标题的子标题标志183、185和187。
分别类似于设备细节框172中的显示框189和用户注册和管理员注册屏幕的197,在这些子标题标志的每一个之下提供设备细节框239。然而,设备细节框239是可编辑的,而前两个框是不可编辑的。因此,每一个设备细节框在子标题标志183之下列出设备号、在子标题标志185之下列出关于该用户的访问类型,以及在大小(MB)子标题标志187之下以MB为单位列出设备大小。
把关于用户的访问类型划分成5种类型●只读,以红色文本加以描述;●读/写,以绿色文本加以描述;●不可见,以黄色文本加以描述;●读目录项,以灰色文本加以描述;以及●删除,以蓝色文本加以描述。
如在先前的情况中,设备号代表关于具体存储媒体设备所创建的各部分中的每一部分。仅与大小信息一起显示设备号,如由存储在不可见HDD部分330中的具体部分所规定的信息所确定的,但是,可通过点亮和点击所显示的项对访问类型加以编辑。在这一方面,通过点击围绕在所显示的文本周围的不可见框,所显示的项通过图形用户接口,在只读、读/写、不可见、读目录项以及删除之间循环。
以这种方式,可以分别设置对于每一部分的访问类型,并且可以对每一部分进行编辑,以针对所选择的用户创建具体的数据访问简档。由验证应用程序处理对于该用户所创建的具体的数据访问简档,并且当激活返回管理用户编辑屏幕按钮233时,将其提供给南桥312中的安全逻辑326,如241处所示。此时,主机CPU 13把由管理员所确定的显示数据访问简档传送给安全逻辑326,并且将其存储在不可见HDD分区330中。
与此同时,验证应用程序返回以显示管理员编辑用户屏幕205,管理员可以从这一屏幕中选择和编辑在编辑列表207中的其他用户的数据访问简档。
除了在提供在HDD上的总线桥集成电路(IC)上实现安全系统外,本发明的第二个实施例实质上类似于第一个实施例。这一实施例源于用于把HDD连接于计算机系统的串行ATA(SATA)标准的开发。
作为以高集成片上系统(SOC)设备的形式开发的SATA接口总线桥IC的设计的一个成果,最近,Infineon Technologies公司宣布了这一设计的实例。这一SOC设备集成了1.6Gbit/s的读信道内核、3Gbit/s的本地SATA接口、16比特的微控制器、硬盘控制器、嵌入式存储器以及质量监视系统。这样的设备被设计为与HDD的控制电路合并,使用用于与存储设备进行通信的SATA信道,理想地桥接计算机总线和存储设备的HDD之间的通信。
在本实施例中,把安全系统并入与以上所述的SOC设备的配置类似的总线桥电路中,而且具有操作与存储在HDD中的一样的应用软件,其中把总线桥电路连接于该HDD。
如图10中所示,总线桥电路351包括CPU 353、存储器RAM 355、SATA接口357、磁盘控制器接口359以及安全逻辑361。
如在先前的实施例中,总线桥电路351的安全逻辑361被配置为,把存储在HDD中的应用软件加载到RAM 355中,以结合磁盘控制器的正常操作,有选择地在主计算机和HDD之间进行安全的访问。
应用软件的功能与对于先前实施例所描述的基本相同,所不同的是把安全系统与SOC设备的硬件和固件设计接口和集成,以使用该设备自身的磁盘控制器功能,实施对磁盘访问的控制。
由于安全系统的功能与先前实施例中所描述的相同,所以不再对其加以描述。
至此,已经针对两个实施例描述了由计算机系统和安全系统所执行的功能和各种处理,可以看出,与已知的现有技术系统相比,这一主题发明具有多方面显著和优越的属性与特性。
特别应该认识到的是,具体实施例中所描述的安全逻辑326/361本身被物理地设置在总线桥电路312/351中,并且仅将其单独连接在计算机系统和与主CPU数据和地址总线15及存储媒体21通信的接口逻辑之间。这两个实施例本身的区别在于总线桥电路的相对位置;所使用的通信标准的相关类型;主板或I/O板上的南桥312中物理地集成安全系统的机会;或者HDD自身上的SOC磁盘驱动控制器351。重要的是,在两种情况中的每种情况中,均不直接把安全逻辑326/361连接于主总线15,因此,防止了任何把设备作为可寻址设备或由主机CPU 13的操作的支配的机会。
此外,由于被限制为在数据访问信道和两端中的一端上与存储媒体通信与计算机系统的主总线结构相比更为通用的这样的访问信道的标准,所以在与大量可能具有不同总线结构但利用了相同数据访问信道标准的不同类型的计算机系统一起使用时,提高了总线桥电路中安全逻辑的可利用性。在这一方面,仅存在少数通用类型的数据访问信道,ATA、SATA、SCSI、光纤、USB等,而总线结构的多样性和复杂性的范围更广。
本实施例的另一个属性在于,总线桥电路中的安全逻辑仍在计算机启动序列的最早的可能的阶段拦截与受保护的数据存储媒体的通信,而且是完全独立的,并将其作为计算机系统自身电路的一部分加以连接。
如WO 03/003242中所讨论的,其它类型的数据存储保护设备和防病毒系统不是完全独立的,要求通过插入独立的软盘、CD ROM或把软件安装在主机计算机上的其它方法加以设置,所述设置在充分进入BIOS程序之前,在“设备ID”的产生之后,不被访问,其中存储设备易于受到未经授权的访问,或者甚至在操作系统的安装好之后也是这样。特别是,当与软件保护系统相比时,所述软件保护系统倾向于当前作为主要类型促销的防病毒保护系统,在可以运行应用程序之前需要加载计算机的操作系统,这在防病毒应用程序可以提供任何类型的保护之前,为对存储系统的未经授权访问提供了巨大的机会,从以上的描述中可以看出这一点。
应该加以注意的是,总线桥电路中安全逻辑的具体配置提供了可扩展性,允许经由定制的接口49和安全媒体接口45把其它类型的存储媒体47与其连接。
应该加以注意的是,本发明的范围不局限于此处所描述的具体的实施例,在不背离本发明的范围与构思的情况下,也可以设想本发明的其它实施例。例如,可以把南桥和北桥的桥接与系统功能集成于单一的芯片。本发明不局限于南桥计算机体系结构,而可以施加于如第二实施列中所示的任何其它桥接体系结构。
权利要求
1.一种用于计算机的安全系统,所述计算机具有主机中央处理器(CPU)、由主机CPU用来加载程序以操作计算机的存储器;用于存储要被计算机处理的数据的存储设备;以及插在与主机CPU连接的第一总线和与存储设备连接的第二总线之间的桥电路,该安全系统包括处理装置,独立于主机CPU,用于控制主机CPU和存储设备之间的访问;以及程序存储装置,独立于所述计算机的存储器,用于以控制所述访问的规定的方式,不可改变地存储和提供用于操作所述处理装置的计算机程序;其中,处理装置包括桥电路中的逻辑。
2.根据权利要求1中所述的安全系统,包括独立于所述计算机的存储装置的存储器存储装置,以存储与计算机的基本操作和访问存储设备相关的关键数据和控制成份。
3.根据权利要求1或2中所述的安全系统,其中,把存储器存储装置连接于桥电路或包括在桥电路中。
4.根据先前权利要求中的任何一个权利要求中所述的安全系统,其中,把所述关键数据和控制成份提供给主机CPU,并且由主机CPU加以使用,用于在计算机的启动序列期间,独立于所述存储设备而确认存储设备和操作计算机。
5.根据先前权利要求中的任何一个权利要求中所述的安全系统,还包括验证装置,以验证具有对存储设备进行访问的规定简档的计算机的用户。
6.根据权利要求5中所述的安全系统,其中,验证装置包括桥电路中的逻辑。
7.根据权利要求5或6中所述的安全系统,其中,验证装置包括登录确认装置,以使计算机的用户能够输入登录标识和口令,并且使该登录标识和口令能够得以确认,以在允许计算机的启动序列进一步加以进行之前,验证所述用户为被授权的具有对存储设备进行访问的规定简档的计算机的用户。
8.根据权利要求7中所述的安全系统,其中,被授权的用户的所述登录标识和口令以及其进行访问的规定简档形成所述关键数据和控制成份的一部分,并且所述登录确认装置访问所述关键数据和控制成份,以实现对用户的验证。
9.根据权利要求7或8中所述的安全系统,其中,所述规定的访问简档包括允许计算机的被授权的用户对于存储设备的规定的分区或区进行所允许的访问的预先确定的级别的分配。
10.根据先前权利要求中的任何一个权利要求中所述的安全系统,包括拦截装置,以在安全系统的初始化之前,封锁主机CPU对数据存储设备的所有数据访问,并且紧接在所述初始化之后;在所述处理装置的控制下,拦截所有所述数据访问。
11.根据权利要求10中所述的安全系统,其中,拦截装置包括桥电路中的逻辑。
12.一种用于确保和保护用于存储要被计算机处理的数据的存储设备免遭未经授权的访问的方法,所述计算机具有主机中央处理器(CPU);由主机CPU用来加载程序以操作计算机的存储器和存储设备;以及插在与主机CPU连接的第一总线和与存储设备连接的第二总线之间的桥电路,该方法包括独立于主机CPU,使用桥电路中的逻辑,控制主机CPU和存储设备之间的访问;以及在与所述存储器分开,而且不可由主机CPU加以寻址的位置上,不可改变地存储用于实现所述控制访问的计算机程序。
13.根据权利要求12中所述的方法,包括在与所述存储器分开,而且不可由主机CPU加以寻址的位置上,存储与计算机的基本操作和访问存储设备相关的关键数据和控制成份。
14.根据权利要求13中所述的方法,包括把关键数据和控制成份存储在与桥电路连接的存储器存储装置中。
15.根据权利要求13中所述的方法,包括把关键数据和控制成份存储在桥电路中。
16.根据权利要求13至15中的任何一个中所述的方法,包括在计算机的启动序列期间,独立地向主机CPU供给所述关键数据和控制成份,用于独立于所述存储设备而确认所述存储设备,以及操作计算机。
17.根据权利要求12至16中的任何一个中所述的方法,包括对具有对存储设备进行访问的规定简档的计算机的用户进行验证。
18.根据权利要求17中所述的方法,其中,所述验证包括,使得计算机的用户能够输入登录标识和口令,并对其进行核实,以在允许计算机的启动序列进一步加以进行之前,确定用户是否是被授权的具有对存储设备的访问的规定简档的计算机的用户。
19.根据权利要求18中所述的方法,其中,被授权的用户的所述登录标识和及其规定的访问简档形成所述关键数据和控制成份的一部分,而且所述确认包括把所输入的登录标识和口令与所述关键数据和控制成份中的登录标识和口令进行比较,并且如果存在匹配,则验证了用户。
20.根据权利要求17至19中的任何一个中所述的方法,其中,规定的访问简档包括允许被授权的用户对于存储设备的规定的分区或区的访问的预先确定的级别的规定的分配。
21.根据权利要求12至20中的任何一个中所述的方法,包括在计算机的初始化期间,封锁主机CPU对数据存储设备的所有数据访问,并且所述初始化之后,在启动序列期间,拦截所述数据访问。
22.根据权利要求12至21中的任何一个中所述的、并且从属于权利要求13的方法,其中,所述关键数据和控制成份包括与存储设备相关的标识数据,用于使得计算机能够在所述启动序列期间完成其外部设备的检查。
23.根据权利要求12至22中的任何一个中所述的、并且从属于权利要求13的方法,其中,所述关键数据和控制成份包括用于计算机的定制的启动扇区,所述定制的启动扇区包括调用验证步骤;并且该方法包括在所述启动序列期间使用这一定制的启动扇区设定计算机的操作,并且在这样的时刻上验证计算机的用户。
24.根据权利要求12至23中的任何一个中所述的、并且从属于权利要求17的方法,其中,所述验证包括使得某一被授权的用户的具体规定级别能够在关键数据和控制成份中创建和编辑登录标识和口令,以指出有权访问存储设备的被授权的用户。
25.根据权利要求12至24中的任何一个中所述的、并且从属于权利要求17的方法,其中,所述验证包括使所述被授权的用户的具体规定级别能够在关键数据和控制成分内,为有权访问存储设备的所有被授权的用户分配和编辑对于所述规定部分或区的访问的具体的预先确定的级别。
26.根据权利要求12至25中的任何一个中所述的、并且从属于权利要求17的方法,其中,仅在桥电路中进行所述用户验证。
27.一种用于计算机的安全系统,所述计算机具有主机中央处理器(CPU);由主机CPU用来加载程序以操作计算机的存储器;用于存储要被计算机处理的数据的存储设备;以及插在与主机CPU连接的第一总线和与存储设备连接的第二总线之间的桥电路,该安全系统包括处理装置,独立于主机CPU,用于控制主机CPU和存储设备之间的访问;以及拦截装置,在安全系统的初始化之前,封锁主机CPU对数据存储设备的所有数据访问,并且紧接在所述初始化之后,在所述处理装置的控制下,拦截所有所述数据访问;其中,拦截装置紧接在所述初始化之后拦截所述数据访问时,所述处理装置独立于主机CPU进行控制,并且以下述方式配置计算机即,防止对存储设备的未经授权的访问;以及其中,处理装置和拦截装置包括桥电路中的逻辑。
28.根据权利要求27中所述的安全系统,包括独立于计算机的存储器的程序存储装置,用于以控制所述访问的规定的方式,为操作所述处理装置不可改变地存储和提供计算机程序。
29.根据权利要求28中所述的安全系统,其中,把程序存储装置连接于桥电路或包括在桥电路中。
30.根据权利要求27至29中所述的安全系统,还包括验证装置,以验证具有对存储设备进行访问的规定简档的计算机的用户。
31.根据权利要求30中所述的安全系统,其中,规定的访问简档包括允许计算机的被授权的用户对存储设备的规定的分区或区的访问的预先确定的级别的规定的分配。
32.根据权利要求27至31中所述的安全系统,其中,桥电路适用于仅沿着主机CPU和存储设备之间的数据访问信道,并且脱离主数据和主机CPU的控制总线加以连接。
33.一种确保和保护用于存储要被计算机所处理的数据的存储设备,以使其免遭未经授权的访问的方法,所述计算机具有主机中央处理器(CPU);由主机CPU用于加载程序以操作计算机的存储设备和存储器;以及插在与主机CPU连接的第一总线和与存储设备连接的第二总线之间的桥电路,该方法包括独立于主机CPU,控制主机CPU和存储设备之间的所有数据的访问;在计算机的初始化期间,封锁主机CPU对数据存储设备的所有数据访问;以及在启动序列期间,在所述初始化之后,拦截所有所述数据访问,以独立于主机CPU进行控制,并以下述方式配置计算机的配置即能够防止此后对数据存储设备的未经授权的访问;其中,由桥电路中的逻辑控制、封锁和拦截所有数据访问。
34.根据权利要求33中所述的方法,包括不可改变地存储计算机程序,用于在与所述存储器分开的,而且不可由主机CPU加以寻址的位置上,执行所述控制访问。
35.根据权利要求33或34中所述的方法,包括不可改变地把用于实现所述控制访问的计算机程序存储在连接于桥电路的存储器存储装置中。
36.根据权利要求33或36中所述的方法,包括不可改变地把用于实现所述控制访问的计算机程序存储在桥电路中。
37.根据权利要求33到36的任意一个中所述的方法,包括验证具有对存储设备进行访问的规定简档的计算机的用户。
38.根据权利要求37中所述的方法,其中,所述验证包括使计算机的用户能够输入登录标识和口令,并且使该登录标识和口令能够得以确认,以在允许计算机的启动序列进一步加以进行之前,确定所述用户是否为具有对存储设备进行访问的规定简档的被授权的计算机的用户。
39.根据权利要求38中所述的方法,其中,被授权的用户的所述登录标识和口令及其规定的访问简档形成所述关键数据和控制成份的一部分,而且所述确认包括把所输入的登录标识和口令与所述关键数据和控制成份中的登录标识和口令进行比较,并且如果存在匹配,则验证了用户。
40.根据权利要求37至39中的任何一个中所述的方法,其中,所述规定的访问简档包括允许被授权的用户对存储设备的规定的分区或区的访问的预先确定的级别的规定的分配。
41.根据权利要求37至40中的任何一个中所述的方法,其中,仅在桥电路中进行用户的所述验证。
42.一种用于计算机的安全系统,所述计算机具有主机中央处理器(CPU);由主机CPU使用的用于加载程序以操作计算机的存储器;用于存储要被计算机处理的数据的存储设备;以及插在与主机CPU连接的第一总线和与存储设备连接的第二总线之间的桥电路,该安全系统包括封锁装置,用于在主机CPU和存储设备之间有选择地封锁数据访问;以及验证装置,用于对具有对存储设备进行访问的规定的访问简档的计算机用户进行验证;其中,所述封锁装置维持所述封锁数据访问,直至所述验证装置完成了对计算机用户的正确的验证;以及其中,封锁装置包括桥电路中的逻辑。
43.根据权利要求42中所述的安全系统,包括独立于主机CPU的处理装置,用于响应于所述验证装置,控制用于封锁主机CPU和存储设备之间的访问的所述封锁装置的操作。
44.根据权利要求43中所述的安全系统,其中,所述处理装置包括桥电路中的逻辑。
45.根据权利要求43或44中所述的安全系统,其中,所述验证装置包括桥电路中的逻辑。
46.根据权利要求43至45中的任何一个中所述的安全系统,其中,所述封锁装置在安全系统的初始化之前,封锁主机CPU对数据存储设备的所有数据访问,并且包括紧接在所述初始化之后,在所述处理装置的控制下拦截所有所述数据访问的拦截装置。
47.根据权利要求43至46中的任何一个中所述的安全系统,其中,在拦截装置紧接在所述初始化之后和在计算机的操作系统加载之前,在所述拦截装置上拦截所述数据访问时,所述处理装置独立于主机CPU进行控制而,而且以下述方式配置计算机防止对数据存储设备的未经授权的访问。
48.根据权利要求43至47中的任何一个中所述的安全系统,其中,所述验证装置能够在对用户进行了正确验证之后,实现计算机的软件引导,而且所述处理装置允许在采用所述软件引导的计算机的启动序列期间,正常地加载操作系统。
49.根据权利要求43至48中的任何一个中所述的安全系统,其中,所述处理装置控制所述封锁装置,以在根据用户的规定的访问简档对用户进行了正确验证之后,执行对存储设备的访问的封锁。
50.根据权利要求43至49中的任何一个中所述的安全系统,包括独立于计算机的存储器的程序存储装置,用于以一种控制所述访问的规定的方式,不可改变地存储和提供用于操作处理装置的计算机程序。
51.根据权利要求50中所述的安全系统,其中,把所述程序存储装置连接于桥电路或包括在桥电路中。
52.根据权利要求43至51中的任何一个中所述的安全系统,包括独立于计算机的存储装置的存储器存储装置,用于存储与计算机的基本操作和访问存储设备相关的关键数据和控制成份。
53.根据权利要求52中所述的安全系统,其中,把所述存储器存储装置连接于桥电路或包含在桥电路中。
54.一种确保和保护用于存储要被计算机所处理的数据的存储设备,以使其免遭未经授权的访问的方法,所述计算机具有主机中央处理器(CPU);由主机CPU用来加载程序以操作计算机的存储器和存储设备;以及插在与主机CPU连接的第一总线和与存储设备连接的第二总线之间的桥电路,该方法包括使用桥电路中的逻辑,在主机CPU和存储设备之间有选择地封锁所有数据访问;以及对具有对存储设备进行访问的规定的访问简档的计算机用户进行验证;其中,维持所述数据访问的封锁,直至完成了对计算机用户的正确的验证。
55.根据权利要求54中所述的方法,其中,所述有选择的封锁包括独立于主CPU控制主CPU和存储设备之间的访问。
56.根据权利要求54或55中所述的方法,其中,所述有选择的封锁出现在计算机的初始化期间,并且包括紧接在所述初始化之后和在计算机的操作系统加载之前的启动序列期间,拦截所有所述数据访问,以实现独立于主机CPU的控制,并且使计算机的配置呈这样一种方式防止对数据存储设备的未经授权的访问。
57.根据权利要求54至56中的任何一个中所述的方法,包括在对用户进行了正确验证之后,执行计算机的软件引导,而且允许在此后的计算机的启动序列期间,正常地加载操作系统。
58.根据权利要求54至57中的任何一个中所述的方法,包括根据用户的规定的访问简档,在对用户进行了正确验证之后,控制对存储设备的访问的封锁。
59.根据权利要求54至58中的任何一个中所述的方法,包括在与所述存储器分开,而且不可由主机CPU加以寻址的位置上,不可改变地存储用于实现所述控制访问的计算机程序。
60.根据权利要求59中所述的方法,包括把用于实现所述控制访问的计算机程序不可改变地存储在连接于桥电路的存储器存储装置中,优选的是,该方法包括把用于实现所述控制访问的计算机程序不可改变地存储在桥电路中。
61.根据权利要求54至60中的任何一个中所述的方法,其中,所述验证包括在允许计算机的启动序列继续进行之前,使计算机的用户能够输入登录标识和口令,并且对该登录标识和口令进行确认,以确定用户是否为具有对存储设备进行访问的规定的访问简档的计算机的被授权的用户。
62.根据权利要求61中所述的方法,其中,被授权的用户的所述登录标识和口令及其规定的访问简档形成所述关键数据和控制成份的一部分,而且所述确认包括把所输入的登录标识和口令与所述关键数据和控制成份中的登录标识和口令进行比较,并且如果存在匹配,则验证了用户。
63.根据权利要求54至62中的任何一个中所述的方法,其中,所述规定的访问简档包括允许被授权的用户对存储设备的规定的分区或区的访问的预先确定的级别的规定的分配。
64.根据权利要求54至63中的任何一个中所述的方法,其中,仅在桥电路中进行用户的所述验证。
65.一种总线桥电路,用于桥接计算机的不同总线和接口间的数据访问,所述计算机具有主机CPU或计算机存储设备;以及用于防止通过所述计算机对所述计算机存储设备的未经授权的访问,该电路包括处理装置,用于控制该电路的操作;存储器,用于把应用程序加载于其中,以由所述处理装置加以运行;第一接口装置,用于把该电路与第一总线或设备结构相接,以与计算机的主机CPU进行通信;第二接口装置,用于把该电路与第二总线或设备结构相接,以与计算机存储设备进行通信;以及安全逻辑装置,用于根据由所述处理装置所运行的规定的应用程序来控制所述第一接口装置和所述第二接口装置之间的数据访问,以防止对所述计算机存储设备的未经授权的数据访问。
66.根据权利要求65所述的总线桥电路,其中,最初,远离所述总线桥电路,把所述规定的应用程序存储在存储设备的隐藏的位置中,且在设置所述总线桥电路时,对所述安全逻辑装置进行配置,以把所述应用程序加载到所述存储装置中。
67.根据权利要求65或66中所述的总线桥电路,其中,所述安全逻辑装置被配置为,通过默认提供封锁装置,以封锁所述第一接口装置和所述第二接口装置之间的通信,并且在通过所述处理装置对其进行加载和运行之后,根据所述应用软件,有选择地允许所述第一接口装置和所述第二接口装置之间的受控的通信。
68.根据权利要求65至67中的任何一个中所述的总线桥电路,其中,所述安全逻辑装置形成拦截装置,以在总线桥电路的初始化之前封锁主机CPU对数据存储设备的所有数据访问,并且在所述处理装置的控制下,紧接在所述初始化之后,拦截所有数据访问。
69.根据权利要求68中所述的总线桥电路,其中,所述规定的软件应用提供验证装置,以对具有对存储设备进行访问的规定的访问简档的计算机用户进行验证,并且所述封锁装置维持对数据访问的所述封锁,直至所述验证装置完成了对计算机用户的正确的验证。
70.一种实质上用于计算机的安全系统,如在此参照适当的附图所描述的。
71.一种实质上用于确保和保护存储设备的方法,如在此参照附图所描述的。
72.一种实质上用于桥接数据访问的总线桥电路,如在此参照附图所描述的。
全文摘要
一种计算机安全系统,包括独立于主机CPU(13)、用于控制在主机CPU(13)和存储设备(21)之间的访问的安全逻辑。独立于计算机存储器的程序存储器(41),以一种以便控制对存储设备(21)的访问的方式不可改变地存储和提供用于操作处理器(37)的计算机程序。该安全逻辑包括总线桥电路中的逻辑。可以把总线桥电路并入计算机系统(11)的南桥电路(326)中,也可以选择将其嵌入HDD的SOC电路(351)中。在安全系统的初始化之前,封锁主机CPU(13)对数据存储设备(21)的所有数据访问,并且紧跟在所述初始化之后,在安全逻辑的控制下,拦截所有所述数据的访问。安全逻辑独立于主机CPU(13)的控制和计算机(11)的构造而运作,以在拦截阶段防止对存储设备(21)的未经授权的访问。使用对存储设备(21)进行访问的所规定的简档对计算机(11)的所有用户进行验证,并且保持对存储设备的数据访问的封锁,直至对计算机(11)的一个用户正确地进行验证。
文档编号G06F12/14GK1774695SQ200480010211
公开日2006年5月17日 申请日期2004年2月20日 优先权日2003年2月20日
发明者理查德·卡布津斯基, 迈克尔·A·赫恩, 拉塞尔·E·鲍尔斯 申请人:安全系统有限公司