专利名称:带有标识码的可信赖个人计算机系统的制作方法
技术领域:
本发明与1992年5月27日递交的由本发明的拥有者拥有的第889,324和第889,325号美国未决专利申请中描述的发明者相关。
本发明涉及个人计算机系统,更具体地说,涉及具有能够控制对系统中保存的数据进行访问的安全特性的系统。
个人计算机系统(具体地来说是IBM个人计算机)由于能给当今的现代社会的许多方面提供计算能力,因而具有广泛的用途。个人计算机系统通常分为桌上型、落地型或便携式等,一般由具有一个单独的系统处理器和相关的易失性和非易失性存贮器的系统单元、显示监视器、键盘、一个或多个磁盘驱动器、硬盘存贮器和可选购的打印机组成。这些系统的一个突出特征是使用一个母板(也称为系统板)将这些部件电连接在一起。这些系统最初的设计思想是给单个的用户提供计算能力,价格低廉,使个人或小企业能够购买。这类个人计算机的例子如IBM个人计算机AT及IBM个人系统/225、30、35、40、L40SX、50、55、56、57、65、70、80、90及95型。
这些系统可以被划分成二大类第一类通常称为I类型号,采用如同IBM个人计算机AT以及其它“IBM兼容”机中那样的总线结构。第二类通常称为Ⅱ类型号,采用的是如同IBM个人系统/2(型号为57至95)中那样的IBM微通道总线结构。早期的Ⅰ类型号机中一般都使用流行的INTEL(英特尔)8088或8086微处理器作为系统处理器。稍后一些的Ⅰ类型号以及Ⅱ类型号一般都使用高速INTEL(英特尔)80286、80386和80486微处理器,这些处理器能工作在实址方式下模拟较低速的INTEL8086微处理器,也能工作在保护方式下,使某些型号的寻址范围以1兆字节扩展到4吉字节。实质上,80286、80386和80486处理器这种实址方式特征给为8086和8088微处理器编写的软件提供了硬件兼容性。
从Ⅰ类型号中最早的个人计算机系统(如IBM个人计算机)开始,人们就意识到,软件兼容是极其重要的。为了实现这一目标,在硬件和软件之间建立了一个系统驻留码的绝缘层,也称作“固件”。这一固件在用户的应用程序/操作系统和放置之间提供了一个操作接口,从而减少用户对硬件设备特征的考虑。这种码最后被开发成一个基本输入/输出系统(BIOS),能允许新设备加入系统中,同时又使应用程序和硬件特征隔离开来。BIOS的重要性马上就体现了出来,原因是它使设备驱动程序与具体设备的硬件特征相脱离,同时又给设备驱动程序提供了一个至设备的中间接口。由于BIOS与系统是一个整体,控制着进出系统处理器的数据的运动,因此,它驻留在系统板上的只读存贮器(ROM)中提供给用户。举个实例来说,最早的IBM个人计算机中的BIOS占据放在主板上的8KROM。
当引入个人计算机系统中的新型号机器时,BIOS也必须被更新和扩展,以包括新的硬件和I/O设备。可预料的是,IBOS所需的存贮容量也开始增加。举个实例来看,随着IBM个人计算机AT的引入,BIOS需要32K字节的ROM。
今天,随着新技术的发展,Ⅱ类型号的个人计算机系统变得越来越先进,用户使用的频度也越来越高。由于技术在迅速变化,新的I/O设备不断地加入个人计算机系统中。因此,在个人计算机系统的开发周期内,BIOS的修改已经变成了一个重大的问题。
比方说,在引入具有微通道结构的IBM个人系统/2时,开发出了一种非常新的BIOS,称为高级BIOS或ABIOS。但是,为了保持软件兼容性,在Ⅱ类型号机中不得不包括取自Ⅰ类型号机中的BIOS。Ⅰ类BIOS已称作兼容BIOS或CBIOS。然而,如前面关于IBM个人计算机AT所解释的那样,在主板上只放有32K字节ROM。所幸的是系统可以扩展成96K字节ROM。但不幸的是,由于系统的限制,这96K字节成了BIOS能得到的最大容量。幸运的是即使加上ABIOS,ABIOS和CBIOS一起仍可以挤在96KROM中。然而,这96KROM中只有一小部分剩余供扩展之用。随着未来I/O设备的增加,CBIOS和ABIOS相信最终将超过ROM空间。这样,新的I/O技术将不能容易地集中于CBIOS和ABIOS之中。
由于这些问题,再加上希望对Ⅱ类BIOS的修改放在发展周期的尽可能晚的时候,于是有必要从ROM中卸掉一部分BIOS。这一点是这样完成的将BIOS的一部分放到海量存贮器(如固定盘)中,最好是放在这种盘上的固定部分,这部分称作系统分区。系统分区中也存贮系统参考软盘的映象,它含有在建立系统配置时所使用的某些实用程序及其他类似程序。由于磁盘提供了读和写的能力,因此在磁盘上修改实际BIOS代码是现实可行的。尽管磁盘提供了快速和有效的方式存贮BIOS,然而都大大增加了使BIOS代码受到损坏的可能性。由于BIOS是操作系统的组成部分,所以受损坏的BIOS会导致灾难性后果,在很多情况下会导致系统完全失效和不再运行。这样,显然特别需要一种手段来防止未受权修改固定盘上的BIOS代码。这是89年8月25日提交的美国专利申请流水号07/398,820及1991年6月4日发布的美国专利5,022,077号的主题。有兴趣的读者参考那个专利以得到更多信息可能会有助于理解这里披露的发明,这里把那个专利的披露内容根据需要尽量引入到本说明中作为参考,以便更充分地理解这里披露的发明。
IBMPS/2微通道系统的引入使得从I/O适配器卡和主板上去掉了开关和跳线器。微通道结构提供了可编程寄存器来代替它们。需要有实用程序来配置这些可编程寄存器或可编程配置选择(POS)寄存器。这些实用程序以及改善系统可用性特性的实用程序与系统诊断程序一起放在系统参考软盘上与系统一起发售。
在启动使用之前,微通道系统要求它的POS寄存器被初始化。例如,如果系统使用一个新的I/O卡来引导,或一个槽口改成供新的I/O卡使用,则产生配置错误并使系统引导过程中止。然后则揭示用户装载系统参考软盘并按F1键。于是可从系统参考软盘中引导装入“设置配置实用程序”来重新配置系统。设置配置实用程序将揭示用户采取所需要的行动。如果装载了系统参考软盘上的适当的I/O卡描述文件,则设置配置实用程序将在非易失性存贮器中产生正确的POS或配置数据。I/O卡描述文件包含I/O卡与系统接口的配置信息。
随着近年来世界上个人计算机的显著增加和广泛使用,越来越多的数据或信息正在被收集、保留或存贮在这种系统中。这些数据中有许多是具有敏感性的。在错误的手中,数据会使个人感到失望,使公司失去竟争优势,或者敏感数据会用于迫使为沉默付出代价,或导致针对个人的暴力行为。随着更多用户理解了数据的敏感性及其价值,越加希望防止发生这种使用错误。为保护用户本身及与所存贮数据有关的人们,用户要求在他们购买的个人计算机中加入安全性和完整性特性。
用户并非认识到所收集和存贮的数据的敏感性的唯一人群。政府也在实施法律来迫使保护敏感的数据。美国政府即是这类政府之一。它已认识到情况的严重性并对此做出反应。美国联邦政府已规定了安全等级以及为满足这些等级的相应要求,并为提供产品的个人计算机制造商提供了核查机构,以便确认这些产品是否满足由制造商宣称的安全级别。联邦要求的来源是国防部,DOD5200.28STD,12/85,通常称作橙皮书(OrangeBook)。政府已规定在1992年1月1日之前所有的与政府有关的数据必须只能在具有最低安全级别为C-2的个人计算机上处理和存贮。对于计算机系统硬件,要求的实质部分包含在“保证部分”的要求6“可信赖机器必须连续地防止损害性和/或未受权的改变…”。
考虑到上述计论的内容,本发明预期目标是保护一个有能力成为安全系统的个人计算机,防止它落入由于攻击一个不安全机器所造成的那种状态。当系统处于希望的不安全状态时,这种攻击如果成功的话,将使系统用户不能访问适当存贮于该系统的数据。
某些保证个人计算机系统安全的措施可能会涉及到使用附加部件使系统成为安全系统。本发明预期提供这种附加安全部件以及它们对前述BIOS结构的适应性。
网络是希望会有在个人计算机系统中所采取的安全措施的一种使用环境,在网络中多个这样的系统彼此相连,而且可能还连到一个中央文件服务器系统上。在这样的网络中,重要的是要保持网络的安全性,任何给定要入网的具体系统需要受到识别,防止以任何不安全的另一个系统来取代该系统,这会使网络通过一个不安全系统受到攻击。本发明预期提供这种识别措施。
前已陈述了本发明的一些目标,在结合附图进行的描述中将说明其他目标。这些附图是
图1是体现这一发明的个人计算机透视图;
图2是图1所示个人计算机某些部件的放大图,包括底座、上盖、主板,并给出这些部件之间的某些关系;
图3是图1的图2所示个人计算机某些部件的示意图;
图4和图5是图1和图2中的个人计算机与本发明的安全性特性有关的一些部件的示意性表示;
图6是图4和图5所示某些部件的放大尺度透视图;以及图7与图6相似,给出图1、2、4、5所示个人计算机中与本发明的安全性特性有关的某些可选部件的放大尺度透视图;
下文中将结合附图更充分地描述本发明,其中将给出本发明的最佳实施例。但在描述开始之前应该理解,本技术领域内的熟练人员可以修改这里描述的发明而仍然达到本发明所希望的结果。因此,下面的描述应理解为向那些精通适当技艺的人们提供的概括的指导性介绍,而不是对本发明的限制。
这里会用到某些已定义的术语,它们是受托计算基础(TRUSTEDCOMPUTINGBASE)(TCB)在一个计算机系统内保护机制的总体-包括硬件、固件和软件-它们的组合负责实现安全政策。TCB由一个或多个部件组成,它们共同对产品或系统实施统一的安全政策。TCB正确实现安全政策的能力只依赖于TCB内部机制及系统管理员正确输入与安全政策有关的参数(例如用户的清除)。
受托软件(TRUSTEDSOFTWARE)受托计算基础的软件部分。
受托程序(TRUSTEDPROGRAM)受托软件中包含的程序。
开放程序(OPENPROGRAM)在受托计算基础中可以运行的程序,但它不是受托程序。
参考监视器概念(REFERENCEMONITORCONCEPT)一种存取控制概念,它是指能调解主体对目标的所有访问的一种抽象机器。
安全核(SECURITYKERNEL)受托计算基础的实现参考监视器概念的所有硬件、固件和软件部件。它必须调节所有的访问、必须受到保护防止修改,而且必须可以证明为正确的。
受托计算机系统(TRUSTEDCOMPUTERSYSTEM)能利用足够的允许它使用的硬件和软件集成措施来同时处理大量敏感的或被定有保密级别的信息。
系统所有者(SYSTEMOWNER)系统所有者是负责对系统进行初始配置和置于安全方式的用户。系统用户将在初始时和每当需要更新时控制系统的配置。这个人将控制特权访问口令和保持它的完好。系统所有者还将保持防止显然损坏(tanperevident)的外罩锁钥的安全存放。系统所有者将负责维持全部系统的安全日志。系统所有者还将记录所有试图违反安全性的行为。系统所有者可以拥有不只一个系统。系统所有者被认为是一个受权用户,但也能是一个普通用户。
安全方式(SECUREMOOE)当系统所有者在个人计算机系统上成功地装入特权访问口令并启动由安全性和完整性部件提供的安全保护时,即为进入了安全方式。
受权用户(AUTHORIZEDUSER)任何得到允许使用特权访问口令的用户。这个人可以是也可以不是系统所有者。这个人也可以有一个特定系统或一组系统的钥匙。如果此人涉及到从一安全犯规中恢复一个系统,他有责任将这件事报告给系统所有者。一个受权用户也可以是一个普通用户。
普通用户(NORMALUSER)受权使用系统设施的所有系统用户。为了改变系统配置或修复问题,这个用户需要系统所有者或一受权用户的协助。普通用户没有特权访问口令或防止明显损坏的上盖锁钥,除非他们同时属于受权用户或系统所有者一类。
未受权用户(UNAUTHORLZEDUSER)任何未确定为系统所有者、受权用户或普通用户的人。任何未受权用户使用已作安全保护的个人计算机系统都被认为是违反安全保护(未成功打开电源除外),而且必定存在表明这种违反安全保护的检查跟踪。
EEPROM电可擦可编程只读存贮器。这种存贮器技术提供了能在硬件逻辑控制下改变的非易失性数据存贮器。当断电时存贮器内容不会失掉。只有当以预定顺序启动对模块的适当控制信号时才会改变内容。
口令描述(PASSWORDDESCRIPTION)系统有能力受两个口令的保护1.特权访问口令(PAP)和通电口令(POP)。这些口令可彼此独立使用。PAP设计成通过保护初始程序加载(IPL)设备引导清单、对口令设备的访问及对系统参考软盘或系统分区的保护来实现对系统所有者的保护。如果没有装入PAP或在通电序列过程中正确地初始打入PAP,则只在响应POST错误时才引导系统分区。来自软盘的初始BIOS加载(IBL)也以引导系统参考软盘的同样方式加以安全保护。对于使用POP的普通用户,PAP的存在是透明的。PAP由系统参考软盘或系统分区内的实用程序来装入、改变和删除。当正确设置和打入PAP时,PAP将给予所有者访问整个系统的权力,而不考虑POP。POP象在所有的当前的PS/2系统中那样用于防止任何未受权用户访问DASD上的操作系统或系统设施。
现在更具体地参考附图,这里给出体现本发明的微计算机。并总体上由数码10表示(图1)。如前文所提到的,计算机10可以有一个伴随的监视器11、键盘12和打印机或绘图仪14。计算机有一个上盖15,它和底座19一起构成闭合的屏蔽空间用于容纳电驱动数据处理与存贮部件,用以处理和存贮数字数据,如图2所示。在图2所示结构中,计算机10还有一个可选用的I/O电缆连接盖16,它延伸出来保护I/O电缆与计算机系统的连接点。至少有一些系统部件装在一个多层板20上(这里也把它称作母板或系统板),该母板装在底座19上,提供了计算机10各部件之间的电连接手段。这些部件包括上文中指出的那些,以及其他伴随部件,如软盘驱动器、各种形式的直接存取存贮设备、辅助卡或板、以及其他类似部件。
底座19有一个基底和一个后面板(图2,它可以在外部由电缆连接罩16罩住),底座19确定了至少一个开口槽用于容纳数据存贮设备,如磁盘或光盘的盘驱动器、后备磁带驱动器、或其他类似设备。在图示的结构中,上方槽22适于接受一个第一尺寸的外部设备(如3.5英寸驱动器)。在上方槽22中可以提供一个软盘驱动器,这是一个可装卸介质直接存取存贮设备,它能够接收一个软盘插入其中,用软盘接收、存贮和分发数据,这是大家都知道的。
在把上述结构和本发明连系起来之前,概括介绍个人计算机系统的一般运行是值得的。参考图3,这是个人计算机系统的框图,给出如根据本发明的系统10那样的计算机系统的各种部件,包括装在母板20上的部件及主板与I/O槽口的连接以及该个人计算机系统的其他硬件。系统处理器32是与主板相连的。尽管任何适当的微处理器都能用作为CPU32,一种适当的微处理器是INTEL公司出售的80386。CPU32通过高速CPU局部总线34连接到总线接口控制单元35,连至易失性随机存取存贮器(RAM36)(这里显示的是单列直插存贮器模块(SIMM),以及连到BIOSROM38,在BIOSROM38中存有基本输入/输出操作所需要的对CPU32的指令。BIOSRAM38含有的BIOS用作I/O设备和微处理器32的操作系统之间的介面。存贮于BIOSROM38中的指令可以拷贝到RAM36以减少BIOS执行时间。系统还有一个电路部件(现已成为常规部件)带有电池后援的非易失性存贮器(通常的CMOSRAM)用于接收保存关于系统配置的数据和实时钟(RTC)68(图3)。
尽管本发明的描述是具体参考图3所示系统框图,但在下面的描述开始之前应该考虑到,根据本发明的设备和方法可以用于母板的其他硬件配置。例如,系统处理器可以是Intel80286或80386微处理器。
现在回到图3,CPU局部总线34(由数据、地址、及控制三部分组成)也提供了微处理器32与算术协处理器39(MCPU)及小型计算机系统接口(SCSI)控制器40之间的连接。如精通计算机设计与操作的人们所熟知的那样,SCSI控制器40可以与只读存贮器(ROM)41、RAM42及适当的各种类型的内部或外部设备如图中指向右侧的那些由I/O连接所利用的设备进行连接。SCSI控制器40的功能是作为存贮控制器去控制存贮器设备,如固定或可装卸介质电磁存贮设备(也称作硬盘和软盘驱动器)、光电型存贮器、磁带以及其他存贮设备。
总线接口控制器(BIC)35将CPU局部总线34与I/O总线44耦合。利用总线44,BIC35与一可选的特征总线(如微通道MICROCHANNEL)相连,该可选的特征总线有一组I/O槽口用于容纳微通道适配器卡45,这些适配器卡45又进一步与I/O设备或存贮器(图中未画出)相连。I/O总线44包括地址、数据及控制三个组成部分。
有多种I/O部件与I/O总线44耦合,如视频信号处理器46,它伴有视频RAM(VRAM)存贮图形信息(图中表示为48)和存贮图象信息(图中表示为49)。与处理器46交换的视频信号可以经过数模转换器(DAC)50送到监视器或其他显示设备。还采取措施使VSP46直接与这里所称的自然图象输入/输出(可以是录相和/放相机、摄象机等)相连。I/O总线44还与数字信号处理器51相连,它伴有指令RAM52和数据RAM54可用于存贮由DSP51处理信号的软件指令及处理中涉及的数据。DSP51通过提供声音控制器55来处理声音的输入和输出,通过提供模拟接口控制器56来处理其他信号。最后,I/O总线44与输入/输出控制器58相连,该控制器58伴有电可擦可编程只读存贮器(EEPROM)59,借以与通常的外部设备(包括软盘驱动器、打印机或绘图仪14、键盘12、鼠标器或指示设备(pointingdevice)(图中未画出)以及使用串行口的设备交换输入和输出。EEPROM在下文描述的安全措施中发挥作用。
将会理解,到此为止所描述的系统10可以被用于不必要和的确也不想要采取安全措施的应用之中,也可以用于不仅仅想要而且需要安全措施的应用之中。系统制造商如果知道任何一个给定系统可能会应用于这两种环境中的任何一个或者这两种环境,那么他必须准备一个为这两种环境中的任何一个都能使用的系统。这里所描述的发明的焦点就在于使一个系统适应于这两种应用环境。
一个具体实例是未做安全保护的系统必须防止不希望地变成一个安全保护系统。如果这种转换发生了,那么一个结果就会是存贮在未做安全保护系统中的数据可能会变成不能使用的了,犹如该系统被秘密地转换成一个安全保护系统,就象是系统有安全保护措施但系统所有者可以选择不使其生效的时候会发生的情况。
在实现安全保护一个如这里描述的个人计算机系统的某些目标时,个人计算机系统10有一个可擦存贮单元装在系统机箱内,用于有选择地处于有效状态或无效状态,并在处于有效状态时接收和存贮特权访问口令(可称PAP)。这个可擦存贮单元最好是至少为前述电可擦可编程只读存贮装置(或称EEPROM)59(图3)的一个段(field)或一部分。系统还有一个可选择开关或安全开关。装在机箱内并在运行上与可擦存贮单元59相连,用于将该存贮单元的使用段或部分设置成有效或无效状态。选择开关(也称作安全开关)可以是例如一个在系统板20上装的跳线开关,并可由能接触主板的人手动设置这两种状态。在一种状态(这里也称作使能写状态或未锁住状态),EEPROM59被设置成有效状态并存贮PAP。在使能写状态,PAP可被写入EEPROM,或被修改或删除。在另一状态,即无效状态(也称作不能写状态或锁住状态),EEPROM的存贮PAP能力被设置成无效。
根据这里描述的本发明的某些特点,EEPROM也包含一个由制造商装入的系统唯一标识码,并在系统10连入一个安全保护网络并使这里描述的安全特性有效时使其可以访问网络服务器。
如上所述,系统10还有第二个具有可擦存贮能力的部件,即电池支持的非易失性CMOSRAM及伴随的实时钟(RTC),图中标为68。CMOSRAM存贮的数据指出系统的配置,根据本发明它包括系统10加电之后能成功打入PAP的有关数据。至少提供了一个损坏测开关,它装在机箱内并在运行上与CMOSRAM相连用于检测打开机箱和用于响应在非受权打开机箱时损坏检测开关的任何开关动作,从而清除或设置存贮在该存贮部件中的某些数据。
上面描述的及下文中要描述的那些安全与完整性特性不依赖于以往提供的个人计算机安全特性,即通电口令(POP)。这些增加的安全与完整性特性为在可应用规则(如橙皮书)下的操作系统核查提供了一个安全平台(platform)。需要一个附加口令使系统置于安全保护方式。这个新的口令在这里称作特权访问口令(PAP)。为了与以往的个人计算机保持兼容,仍然支持POP。
口令安全保护是由系统硬件特性来实现的EEPROM、安全保护开关及明显损坏机盖开关、固件、POST以及系统软件口令实用程序。一旦已经装入了PAP,系统便进入了安全保护方式。PAP保存于EEPROM。PAP的后备拷贝也存于EEPROM中。这是为了防止在装入修改或删除PAP的过程中因断电造成PAP的意外丢失。POP以及至少有几位指示PAP有效性(如果装入PAP的话)的数据存贮于CMOSRTC中。保存于CMOSRTC中的数据及保存于EEPROM中的数据是彼此独立改变的。
图4给出传统的电源控制或“通/断”开关61、传统的电源62、响应机箱盖(如主机箱盖15和电缆接头盖16)的打开或移动而改变导通状态的开关、以及钥锁开关64之间的某些关系。当打开或移动机箱盖时改变状态的开关在本发明的图示形式中有二个响应主机箱盖15的移动的开关66(图4、5、7)。每个开关有两个部件,一个是常开的(分别为65及和66),一个是常闭的(分别为65b和66b)。第二个开关是可选件,这如同电缆接头盖16也是可选件一样。然而,仔细考虑这里所披露的内容就会清楚,具有可选件电缆接头盖和开关会保证对系统的更完全的安全控制。
盖开关65和66的常开触点组与主电源开关61及主电源62串联在一起(图4)。结果,如果在拿掉上盖的情况下试图使系统10“通电”则触点组65a和66a将断开从而阻止系统运行。如果机箱盖归位,则该触点组保持闭合,于是可以启动系统正常操作。
盖开关65和66的常闭触点组与钥锁开关64及RTC和CMOS存贮器68串联。当盖15和16存在时常暑闭点组56b和66b保持打开,而当移开这两个机箱时它们将会闭合。当计算机系统10上传统提供的机箱锁锁住时钥锁开关64通常保持闭合。在系统处于机箱锁住状态而发生非受权移动机箱盖时,这三个触点组提供了另一条路径使本应给RTC和CMOS存贮器供电的电流接地,而且若失去供电则使那个存贮器的一段置成一个独特状态(例如全为“1”)。当由POST检验那个存贮器时,将那一段置成独特状态将会造成“配置错”信号的产生,这个信号将告知系统所有者有人试图(成功或不成功)破坏系统安全性。将存贮器一段设置成独特状态要求先前存贮的口令,以便引导装入操作系统;就是说,引导一个操作系统需要打入有效的PAP,如本描述中其他地方所说明的那样。
钥锁开关64和主机箱盖开关65最好装在前卡导引部件69(图2和图6)上,以便相对于主机箱盖15中提供的锁有适当的位置。前卡导引部件装在计算机系统框架上这样的位置使盖开关65的启动杆70穿过一个直立前框架部件,当盖15存在且其位置使系统机箱关闭时,盖15便推动了启动杆70。
电缆盖开关66最好装在系统框架的后面板,其位置使它可由电缆盖16上安装的插销部件启动,而且可以在手工操作的钥锁控制下转动,这与机箱盖15提供的那个类似。当使用了可选件电缆盖16时(这是希望或要求有完全的系统安全保护时的情况),将电缆盖梢住或锁住在后面板上会使插梢部件将伴随的常开触点组66a闭合,使常闭触点组66b打开。
根据本发明,系统10在制造出来时的约定设置状态是在通电时使系统处于无安全保护状态。为了使系统成为安全保护系统,系统所有者必须锁住的机箱盖并有意地改变系统板20上提供的安全性开关,从而启动系统安全口令,使系统成为一个安全保护系统。这样,到此为止所描述的安全保护特性的存在使得在不知道系统所有者或其他受权用户的情况下防止一个初始时为未加安全保护的系统变成为一个安全保护系统。
如前文中简要提到的那样,本发明考虑到使用附加安全保护部件需要提供的条件。更具体地说,不同的制造商提供可以作为卡45之一的选件卡通过I/O选件总线44与系统相连。某些市场可买到的选件卡提供了与密码“钥匙”的连接,这种密码钥匙可以有不同形式,如签字识别等、磁条卡、或含有ROM的标记(token)。当这种选件卡加到一个处于安全保护状态时的系统(如系统10)中时,便可以提供了附加的保护水平。再有,当这样增加是加系统所有者成为能访问选件卡和系统DASD中的系统分所保持的参考软盘映象中存贮的设置配置实用程序的人。
本发明还考虑到可以在EEPROM59中存贮系统唯一标识码。EEPROM中存放的标识码可由系统10连接的网络服务器(或类似设备)中运行的软件来访问。这样,网络能够确认在网络中某一特定位置的系统是且将继续是安全保护系统,对于它允许进行受控制的访问。存于EEPROM中的标识码受到这样一个事实的保护EEPROM是一个只读设备,需要特殊的硬件使存于存贮器内的标识码发生改变。
在图件和说明中已经给出了本发明的一个最佳实施例。虽然使用了具体的术语,但这样给出的描述所使用的术语只是一般意义的和描述性的,并不是为了给出限制。
权利要求
1.一个接收机和保存数据并能保护系统中保存的数据防止未受权访问的个人计算机系统,该系统的特点是一个常闭的机箱;一个机箱锁,用于正常保持所述机箱处于安全锁住状态,阻止进入机箱内部,除非具有所述机箱锁的钥匙;一个放在所述机箱内的可擦存贮部件,用于有选择地启动有效状态和无效状态;装在所述机箱内且只能从机箱内接触的选件开关,它与所述可擦存贮部件相连,用于设置所述可擦存贮部件于有效或无效状态;以及装在机箱内的系统处理器,它在运行上与所述可擦存贮部件相连,用于通过区分所述存贮部件的有效或无效状态来控制至少是对某些级别数据的访问。
2.根据权利要求1的个人计算机系统,其特点在于所述选择开关的作用是使操作员能够通过选择所述存贮部件的有效无效状态来选择系统处于安全保护操作状态还是处于未加安全保护操作状态。
3.根据权利要求2的个个计算机系统,其特点在于所述选择开关是由人工操作的,并被置于所述机箱内,从而只有在打开所述机箱后才能由人接触这一开关。
4.根据权利要求1的个人计算机系统,其特点在于所述可擦存贮部件是电可擦可编程只读存贮器装置,以及所述电可擦可编程只读存贮装置中含有唯一标识码,使该系统所连入的网络服务器上运行的软件能确认位于网络上特定位置的该系统是且将继续是允许受控制访问的安全保护系统。
5.根据权利要求1的个人计算机系统,其特点在于所述个人计算机系统具有至少一个I/O插槽用于接钠一个选件卡并在运行上与所述系统处理器相连,而且所述槽口位于所述机箱内,只有在打开所述机箱后才能由人接触它。
6.根据权利要求5的个人计算机系统,其特点在于所述个人计算机系统有一个装在所述机箱内的海量存贮设备而且是不能人工拿开的;所述海量存贮设备有一个系统分区而且在运行上与所述系统处理器相连,以便向所述海量存贮器存贮程序和数据以及从中取出程序和数据;在所述海量存贮设备的所述系统分区中存贮的系统配置设备实用程序对于该个人计算机系统的普通用户和非受权用户而是不可以使用的,它用于使系统所有者和受权用户之一能有选择地使该系统能接受任何装在所述插槽内的选件卡。
全文摘要
本发明涉及计算机系统,更具体地说,是涉及具有能控制对系统中所存数据进行访问的安全特性的系统。本发明考虑到防止能成为安全保护系统的个人计算机系统由于受到未加安全保护的机器的攻击而进入安全保护状态。再有,在网络环境中,使任何给定的具体系统对于网络都是可被唯一识别的。通过这种唯一识别可以防止由未加安全保护的“另一个”代替物使网络通过一个未加安全保护的系统受到攻击。
文档编号G06F21/02GK1091843SQ93117699
公开日1994年9月7日 申请日期1993年9月14日 优先权日1992年9月17日
发明者小约汉·W·布拉克莱奇, 理查德·A·戴安, 丹尼斯·李·穆勒, 帕尔莫·E·纽曼, 肯尼斯·J·P·祖贝 申请人:国际商业机器公司