專利名稱:計(jì)算機(jī)系統(tǒng)的訪問(wèn)保護(hù)系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)系統(tǒng)的訪問(wèn)保護(hù)和防盜保護(hù)領(lǐng)域��。
背景技術(shù):
在多個(gè)不同用戶共享計(jì)算機(jī)系統(tǒng)環(huán)境時(shí)���,必須控制對(duì)計(jì)算機(jī)系統(tǒng)環(huán)境或者部分計(jì)算機(jī)系統(tǒng)環(huán)境的訪問(wèn)。依靠訪問(wèn)控制機(jī)制�����,只有授權(quán)用戶可使用計(jì)算機(jī)系統(tǒng)環(huán)境及其附屬軟件應(yīng)用程序�。因此訪問(wèn)控制機(jī)制的目的在于防止非授權(quán)人使用計(jì)算機(jī)系統(tǒng)。以此方式�,其代表一種防止濫用計(jì)算機(jī)系統(tǒng)或者部分計(jì)算機(jī)系統(tǒng)的有效手段。
最普通的訪問(wèn)控制機(jī)制基于對(duì)計(jì)算機(jī)系統(tǒng)的口令驅(qū)動(dòng)的訪問(wèn)�。存在計(jì)算機(jī)系統(tǒng)的不同級(jí)別的口令訪問(wèn)或者口令保護(hù)���。通常,口令訪問(wèn)是用戶相關(guān)的或者面向設(shè)備的�����。用戶相關(guān)的訪問(wèn)使用用戶標(biāo)識(shí)符�,其明確關(guān)聯(lián)于計(jì)算機(jī)系統(tǒng)的每個(gè)授權(quán)用戶����。在使用計(jì)算機(jī)系統(tǒng)前,每個(gè)用戶必須通過(guò)認(rèn)證或者登錄過(guò)程���,從而確認(rèn)其身份����。通常�����,用戶必須輸入用戶標(biāo)識(shí)符和口令的有效組合��。只有在用戶已經(jīng)成功通過(guò)登錄過(guò)程時(shí)���,才授權(quán)訪問(wèn)計(jì)算機(jī)系統(tǒng)�。通常,這種用戶相關(guān)認(rèn)證過(guò)程是純粹軟件實(shí)現(xiàn)的����,并且通常由多數(shù)常用多用戶操作系統(tǒng)如例如UNIX、LINUX或者WindowsTM使用����。
面向設(shè)備的認(rèn)證過(guò)程防止硬件或者計(jì)算機(jī)系統(tǒng)的硬件部件被非授權(quán)修改。例如����,BIOS口令保護(hù)或者硬盤(pán)驅(qū)動(dòng)器(HDD)口令保護(hù)是防止非授權(quán)人修改計(jì)算機(jī)系統(tǒng)的硬件配置的常用技術(shù)。
即使存在用于在計(jì)算機(jī)系統(tǒng)上存儲(chǔ)用戶標(biāo)識(shí)和相關(guān)口令的先進(jìn)的加密機(jī)制���,非授權(quán)用戶的濫用也從未完全排除����。占有用戶標(biāo)識(shí)和相應(yīng)口令的有效組合的任何非授權(quán)人得到對(duì)計(jì)算機(jī)系統(tǒng)的訪問(wèn)����。
對(duì)于移動(dòng)計(jì)算機(jī)系統(tǒng),在計(jì)算機(jī)系統(tǒng)遭到盜竊時(shí)���,訪問(wèn)保護(hù)是非常重要的�。在盜賊沒(méi)有對(duì)用戶標(biāo)識(shí)和口令的訪問(wèn)或者沒(méi)有繞過(guò)固有訪問(wèn)控制機(jī)制的手段時(shí),被盜計(jì)算機(jī)系統(tǒng)對(duì)盜賊變得無(wú)價(jià)值����。在個(gè)人計(jì)算機(jī)系統(tǒng)的框架內(nèi),非授權(quán)用戶主要可掌握計(jì)算機(jī)系統(tǒng)的控制����,即僅僅通過(guò)在被盜計(jì)算機(jī)系統(tǒng)上安裝另一個(gè)操作系統(tǒng)或者不同的軟件應(yīng)用程序來(lái)繞過(guò)保護(hù)機(jī)制�����。
如從現(xiàn)有技術(shù)所知���,上述訪問(wèn)保護(hù)方法不適于許多用戶共享一個(gè)移動(dòng)計(jì)算機(jī)系統(tǒng)的產(chǎn)業(yè)環(huán)境����。例如�,在用于汽車發(fā)動(dòng)機(jī)等的計(jì)算機(jī)支持的便攜診斷系統(tǒng)領(lǐng)域,使用口令驅(qū)動(dòng)訪問(wèn)計(jì)算機(jī)系統(tǒng)是相當(dāng)不方便的����。在這樣的產(chǎn)業(yè)環(huán)境中���,便攜計(jì)算機(jī)系統(tǒng)永久地由多個(gè)不同用戶共享。這里�,對(duì)每個(gè)用戶的認(rèn)證過(guò)程會(huì)很不實(shí)用。每次用戶改變就執(zhí)行認(rèn)證過(guò)程僅僅會(huì)是阻礙����。
發(fā)明內(nèi)容
因此,本發(fā)明的目的在于提供一種用于計(jì)算機(jī)系統(tǒng)的訪問(wèn)保護(hù)和防盜保護(hù)的改進(jìn)的方法和計(jì)算機(jī)程序產(chǎn)品�。
本發(fā)明提供一種具有鎖定和非鎖定模式的計(jì)算機(jī)系統(tǒng)的訪問(wèn)保護(hù)方法。處于鎖定模式��,計(jì)算機(jī)系統(tǒng)的功能限于中斷計(jì)算機(jī)系統(tǒng)的引導(dǎo)過(guò)程的口令對(duì)話框�����。計(jì)算機(jī)系統(tǒng)的中斷的引導(dǎo)過(guò)程僅僅響應(yīng)用戶在口令對(duì)話框中輸入正確的口令而繼續(xù)�。在口令對(duì)話框中輸入不正確的口令預(yù)定義的次數(shù),就去激活該計(jì)算機(jī)系統(tǒng)��。
在預(yù)定義的時(shí)間間隔已經(jīng)過(guò)去時(shí)����,該計(jì)算機(jī)系統(tǒng)從非鎖定模式切換到鎖定模式。在計(jì)算機(jī)系統(tǒng)去激活時(shí),它對(duì)未授權(quán)人或者盜賊變?yōu)橥耆珶o(wú)用�。在去激活時(shí),強(qiáng)制一時(shí)間延遲�,該時(shí)間延遲后鎖定模式的口令對(duì)話框再次出現(xiàn)后。
通常���,重新激活計(jì)算機(jī)系統(tǒng)或者將計(jì)算機(jī)系統(tǒng)從鎖定模式切換到非鎖定模式的口令不是對(duì)任何用戶已知的�。這樣的口令僅僅在例外情形才需要�����,如例如盜賊或者計(jì)算機(jī)系統(tǒng)的未授權(quán)處理���。在普通使用時(shí),訪問(wèn)保護(hù)機(jī)制使計(jì)算機(jī)系統(tǒng)保持在非鎖定模式���,即口令對(duì)使用計(jì)算機(jī)系統(tǒng)是不需要的�����。
根據(jù)本發(fā)明的進(jìn)一步優(yōu)選實(shí)施例����,在鎖定模式,在引導(dǎo)計(jì)算機(jī)系統(tǒng)的操作系統(tǒng)前����,計(jì)算機(jī)系統(tǒng)的引導(dǎo)過(guò)程被口令對(duì)話框中斷。因此�����,鎖定模式的口令對(duì)話框獨(dú)立于使用中的操作系統(tǒng)���。最好�����,口令對(duì)話框?qū)崿F(xiàn)在計(jì)算機(jī)系統(tǒng)的BIOS的引導(dǎo)過(guò)程中���。這樣,有效防止未授權(quán)人例如盜賊能通過(guò)安裝不同的操作系統(tǒng)或者試圖使訪問(wèn)控制機(jī)制無(wú)效的任何類型的軟件產(chǎn)品來(lái)繞過(guò)口令對(duì)話框��。
根據(jù)本發(fā)明的進(jìn)一步優(yōu)選實(shí)施例�,控制切換到鎖定模式的時(shí)間間隔由軟件應(yīng)用程序的更新過(guò)程或者由授權(quán)用戶定義。通過(guò)執(zhí)行軟件應(yīng)用程序的更新過(guò)程���,重新定義時(shí)間間隔�����,以便擴(kuò)展計(jì)算機(jī)系統(tǒng)運(yùn)行于非鎖定模式的時(shí)間范圍����。或者�,可由授權(quán)用戶任意定義時(shí)間間隔。然后該特定用戶必須通過(guò)常規(guī)的認(rèn)證過(guò)程��。
根據(jù)本發(fā)明的進(jìn)一步優(yōu)選實(shí)施例�,在軟件應(yīng)用程序的隨后更新變?yōu)榭捎玫娜掌诤螅绍浖?yīng)用程序的更新過(guò)程定義的時(shí)間間隔經(jīng)過(guò)���。假定無(wú)論何時(shí)軟件應(yīng)用程序更新變?yōu)榭捎?���,該更新也安裝在計(jì)算機(jī)系統(tǒng)上�,以如下方式重新定義時(shí)間間隔隨后的軟件應(yīng)用程序更新在重新定義的時(shí)間間隔經(jīng)過(guò)前可用�����。隨后安裝所有可用和提供的軟件應(yīng)用程序更新防止計(jì)算機(jī)系統(tǒng)切換到鎖定模式�����。在普通使用即有規(guī)律地安裝軟件應(yīng)用程序更新時(shí),用戶甚至沒(méi)有意識(shí)到存在計(jì)算機(jī)系統(tǒng)的訪問(wèn)保護(hù)�。僅僅在例外情況,在例如計(jì)算機(jī)系統(tǒng)遭受盜竊或者可用的軟件應(yīng)用程序更新沒(méi)有安裝在計(jì)算機(jī)系統(tǒng)上時(shí)�����,時(shí)間間隔過(guò)去而計(jì)算機(jī)系統(tǒng)切換到鎖定模式���。
根據(jù)本發(fā)明的進(jìn)一步優(yōu)選實(shí)施例����,時(shí)間間隔由具體日期或者由軟件應(yīng)用程序的最大可允許操作時(shí)間給定�。因此,時(shí)間間隔用作為軟件應(yīng)用程序和整個(gè)計(jì)算機(jī)系統(tǒng)的期滿日期���,或者用作為用于定義軟件應(yīng)用程序和/或計(jì)算機(jī)系統(tǒng)操作于非鎖定模式的時(shí)間間隔的時(shí)間計(jì)量器�����。
根據(jù)本發(fā)明的進(jìn)一步優(yōu)選實(shí)施例�����,口令對(duì)話框的口令根據(jù)計(jì)算機(jī)系統(tǒng)的硬件標(biāo)識(shí)符產(chǎn)生����。硬件標(biāo)識(shí)符,例如計(jì)算機(jī)系統(tǒng)的序列號(hào)����,存儲(chǔ)在計(jì)算機(jī)系統(tǒng)的非易失性存儲(chǔ)器中并且顯示在口令對(duì)話框中。依靠這樣的硬件標(biāo)識(shí)符��,每個(gè)計(jì)算機(jī)系統(tǒng)可被明確地識(shí)別��。通過(guò)在非易失性存儲(chǔ)器中存儲(chǔ)硬件標(biāo)識(shí)符��,其無(wú)論如何不能由計(jì)算機(jī)系統(tǒng)的操作系統(tǒng)來(lái)假造(manipulate)�,擦除或者假造硬件標(biāo)識(shí)符變得幾乎不可能。使用此明確的硬件標(biāo)識(shí)符����,易于確定便攜計(jì)算機(jī)系統(tǒng)是否已經(jīng)被盜或者已經(jīng)經(jīng)受未授權(quán)使用。
根據(jù)本發(fā)明的進(jìn)一步優(yōu)選實(shí)施例����,重新激活或者解鎖計(jì)算機(jī)系統(tǒng)包括以下步驟發(fā)送硬件標(biāo)識(shí)符和需要的用戶信息給中央數(shù)據(jù)庫(kù)系統(tǒng)����,由中央數(shù)據(jù)庫(kù)系統(tǒng)根據(jù)硬件標(biāo)識(shí)符和用戶信息����,檢查用戶的認(rèn)證����,在中央數(shù)據(jù)庫(kù)系統(tǒng)已經(jīng)表明用戶的認(rèn)證時(shí),從中央數(shù)據(jù)庫(kù)系統(tǒng)接收正確的口令���,最后在口令對(duì)話框中輸入接收的口令�,以便重新激活或者解鎖計(jì)算機(jī)系統(tǒng)���。
在計(jì)算機(jī)系統(tǒng)由用戶從供應(yīng)商購(gòu)買(mǎi)時(shí)���,用戶必須通過(guò)提供特定的用戶專用信息以及購(gòu)買(mǎi)的計(jì)算機(jī)系統(tǒng)的硬件標(biāo)識(shí)符而在中央數(shù)據(jù)庫(kù)系統(tǒng)中注冊(cè)。通過(guò)此注冊(cè)過(guò)程��,用戶變?yōu)楹戏ǖ?�,以接收軟件?yīng)用程序的更新��,以及接收用于其特定計(jì)算機(jī)系統(tǒng)的正確口令���。向未正確合法化的用戶交付正確口令或者軟件應(yīng)用程序更新�����,就被中央數(shù)據(jù)庫(kù)系統(tǒng)拒絕����。結(jié)果,聯(lián)系中央數(shù)據(jù)庫(kù)系統(tǒng)從而發(fā)送計(jì)算機(jī)系統(tǒng)的硬件標(biāo)識(shí)符的未授權(quán)人���,一方面不會(huì)接收到正確口令�,而另一方面會(huì)向中央數(shù)據(jù)庫(kù)系統(tǒng)提供被盜計(jì)算機(jī)系統(tǒng)的硬件標(biāo)識(shí)符��。
在另一方面��,本發(fā)明提供一種具有鎖定和非鎖定模式的計(jì)算機(jī)系統(tǒng)��,其中在鎖定模式��,計(jì)算機(jī)系統(tǒng)的功能限于中斷計(jì)算機(jī)系統(tǒng)的引導(dǎo)過(guò)程的口令對(duì)話框����。計(jì)算機(jī)系統(tǒng)的引導(dǎo)過(guò)程僅僅響應(yīng)用戶輸入正確的口令而繼續(xù)。在口令對(duì)話框中輸入不正確的口令預(yù)定義的次數(shù)��,就去激活該計(jì)算機(jī)系統(tǒng)�。在預(yù)定義的時(shí)間間隔已經(jīng)過(guò)去時(shí),該計(jì)算機(jī)系統(tǒng)從非鎖定模式切換到鎖定模式���。
根據(jù)本發(fā)明的進(jìn)一步優(yōu)選實(shí)施例�,該計(jì)算機(jī)系統(tǒng)包括產(chǎn)生口令對(duì)話框的口令的裝置�。該口令根據(jù)允許明確識(shí)別計(jì)算機(jī)系統(tǒng)的計(jì)算機(jī)系統(tǒng)的硬件標(biāo)識(shí)符產(chǎn)生。
根據(jù)本發(fā)明的進(jìn)一步優(yōu)選實(shí)施例��,該計(jì)算機(jī)系統(tǒng)包括非易失性存儲(chǔ)器��,用于存儲(chǔ)計(jì)算機(jī)系統(tǒng)的硬件標(biāo)識(shí)符�、時(shí)間間隔和模式標(biāo)識(shí)符��。而且,非易失性存儲(chǔ)器的各部分適于為只讀的���,防止例如擦除或者假造硬件標(biāo)識(shí)符�����。非易失性存儲(chǔ)器存儲(chǔ)的其它參數(shù)還是防修改的��。只有通過(guò)特定軟件應(yīng)用程序�,時(shí)間間隔才能被重新定義從而被操縱。類似的裝置適用于模式標(biāo)識(shí)符的修改��。特定軟件應(yīng)用程序或者甚至BIOS自身啟動(dòng)到鎖定模式的切換�����。相反���,解鎖過(guò)程由BIOS通過(guò)鎖定模式的口令對(duì)話框唯一控制��。
在另一方面�����,本發(fā)明提供一種計(jì)算機(jī)程序產(chǎn)品����,用于具有鎖定和非鎖定模式的計(jì)算機(jī)系統(tǒng)���。在鎖定模式�����,計(jì)算機(jī)系統(tǒng)的功能限于口令對(duì)話框�����。該計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)程序裝置�,適于在預(yù)定義的時(shí)間間隔已經(jīng)過(guò)去時(shí)���,將該計(jì)算機(jī)系統(tǒng)從非鎖定模式切換到鎖定模式����,去激活該計(jì)算機(jī)系統(tǒng)�,以響應(yīng)用戶在口令對(duì)話框中輸入不正確的口令預(yù)定義的次數(shù),在計(jì)算機(jī)系統(tǒng)處于鎖定模式時(shí)�����,由口令對(duì)話框中斷計(jì)算機(jī)系統(tǒng)的引導(dǎo)過(guò)程�,以及響應(yīng)用戶輸入正確的口令而繼續(xù)引導(dǎo)過(guò)程。
下面���,將參照附圖更詳細(xì)描述本發(fā)明的優(yōu)選實(shí)施例��,附圖中圖1說(shuō)明操作于非鎖定模式的計(jì)算機(jī)系統(tǒng)的流程圖�,圖2說(shuō)明操作于鎖定模式的計(jì)算機(jī)系統(tǒng)的流程圖,
圖3說(shuō)明計(jì)算機(jī)系統(tǒng)的框圖���,圖4說(shuō)明用于計(jì)算機(jī)系統(tǒng)的訪問(wèn)保護(hù)的環(huán)境�����。
具體實(shí)施例方式
圖1說(shuō)明操作于非鎖定模式的計(jì)算機(jī)系統(tǒng)的流程圖�����。在已經(jīng)打開(kāi)計(jì)算機(jī)系統(tǒng)后�����,執(zhí)行BIOS引導(dǎo)(boot)�,從而檢查系統(tǒng)運(yùn)行在鎖定還是非鎖定模式���。如果計(jì)算機(jī)系統(tǒng)操作于非鎖定模式�,那么在第一步驟100啟動(dòng)計(jì)算機(jī)系統(tǒng)的操作系統(tǒng)���,這意味著執(zhí)行操作系統(tǒng)的引導(dǎo)��。隨后在步驟102多個(gè)不同設(shè)備驅(qū)動(dòng)器啟動(dòng)�����,然后在相繼的步驟104啟動(dòng)特定軟件應(yīng)用程序�����。
該軟件應(yīng)用程序控制時(shí)間間隔�,其對(duì)本發(fā)明的計(jì)算機(jī)系統(tǒng)的訪問(wèn)保護(hù)機(jī)制是基本的。在步驟104已經(jīng)啟動(dòng)軟件應(yīng)用程序后�����,其在步驟106進(jìn)入其通常的操作模式���,即應(yīng)用程序正在運(yùn)行。在應(yīng)用程序在運(yùn)行時(shí)����,在步驟108讀取時(shí)間計(jì)量器,以便確定時(shí)間間隔����。步驟108或者指定計(jì)算機(jī)系統(tǒng)從非鎖定模式切換到鎖定模式的清楚的到期日,或者可替代地指定指示應(yīng)用程序和整個(gè)計(jì)算機(jī)系統(tǒng)可進(jìn)一步用在非鎖定模式多長(zhǎng)時(shí)間的時(shí)間范圍(time frame)�����。
相繼的步驟110檢查在步驟108確定的到期日或者時(shí)間范圍是否已經(jīng)過(guò)去。當(dāng)在步驟110該過(guò)程確定時(shí)間間隔已經(jīng)過(guò)去時(shí)����,該過(guò)程使用步驟114繼續(xù)并且將計(jì)算機(jī)系統(tǒng)切換到鎖定模式。否則���,在時(shí)間間隔還沒(méi)有過(guò)去時(shí)�,該過(guò)程使用步驟112繼續(xù)�����,在步驟112其檢查任何有關(guān)時(shí)間間隔的過(guò)程是否已經(jīng)處理���。當(dāng)在步驟112沒(méi)有檢測(cè)到有關(guān)時(shí)間間隔的過(guò)程的處理時(shí)����,該方法返回步驟106���,在步驟106軟件應(yīng)用程序在其通常的操作模式繼續(xù)�。
在相反的情形�,當(dāng)在步驟112已經(jīng)檢測(cè)到有關(guān)時(shí)間間隔的過(guò)程的處理時(shí)��,相應(yīng)過(guò)程在隨后的步驟116發(fā)生����。有關(guān)時(shí)間間隔的過(guò)程的例子如由授權(quán)用戶安裝軟件應(yīng)用程序更新或者時(shí)間間隔的手動(dòng)修改���。當(dāng)例如在步驟112已經(jīng)檢測(cè)到軟件應(yīng)用程序更新時(shí)�����,軟件應(yīng)用程序的時(shí)間計(jì)量器在步驟116以這樣的方式修改計(jì)算機(jī)系統(tǒng)操作于非鎖定模式至少到相繼的軟件應(yīng)用程序更新變得可用�。在步驟116執(zhí)行有關(guān)時(shí)間間隔的動(dòng)作涉及重置時(shí)間計(jì)量器或者重新定義指定計(jì)算機(jī)系統(tǒng)切換到鎖定模式后的時(shí)間點(diǎn)的時(shí)間間隔���。在執(zhí)行步驟116后,該方法返回步驟106����,在步驟106軟件應(yīng)用程序繼續(xù)操作于其通常模式。
在軟件應(yīng)用程序在運(yùn)行時(shí)����,執(zhí)行步驟108-116。最好���,這些步驟在預(yù)定義的時(shí)間間隔如每5或10分鐘過(guò)去后有規(guī)律地執(zhí)行���。而且�,表示檢查時(shí)間間隔的步驟108-116既不由操作系統(tǒng)也不由計(jì)算機(jī)系統(tǒng)的軟件應(yīng)用程序執(zhí)行���。最好��,檢查時(shí)間間隔通過(guò)計(jì)算機(jī)系統(tǒng)的BIOS執(zhí)行��。這樣��,訪問(wèn)保護(hù)機(jī)制變?yōu)楠?dú)立于計(jì)算機(jī)系統(tǒng)的軟件配置��。
圖2說(shuō)明操作于鎖定模式的計(jì)算機(jī)系統(tǒng)的流程圖����。打開(kāi)計(jì)算機(jī)系統(tǒng)后�,在第一步驟200執(zhí)行BIOS引導(dǎo)。緊接其后���,即在計(jì)算機(jī)系統(tǒng)的操作系統(tǒng)的引導(dǎo)過(guò)程前�,在步驟202它檢查系統(tǒng)是否處于非鎖定模式��。在系統(tǒng)在步驟202處于非鎖定模式時(shí),過(guò)程使用步驟204繼續(xù)����,在步驟204,啟動(dòng)操作系統(tǒng)�����。在此情形�,系統(tǒng)處于非鎖定模式并且發(fā)生圖1所述的過(guò)程。
當(dāng)相反在步驟202確定系統(tǒng)已經(jīng)在相繼的步驟206切換到鎖定模式時(shí)����,那么檢查系統(tǒng)是否甚至未激活。當(dāng)在步驟206檢測(cè)到未激活時(shí)�����,該方法繼續(xù)到步驟208��,在此施加時(shí)間延遲���。在施加此時(shí)間延遲期間,計(jì)算機(jī)系統(tǒng)一點(diǎn)也不能訪問(wèn)���,即屏幕什么也不顯示��,并且在通過(guò)某種輸入設(shè)備進(jìn)行輸入時(shí)��,系統(tǒng)不反應(yīng)�。可任意定義步驟208的時(shí)間延遲��。例如��,在施加幾次后����,它可能指定系統(tǒng)必須保持未激活的增加的時(shí)間范圍。在步驟208的時(shí)間延遲指定的時(shí)間范圍已經(jīng)過(guò)去時(shí)��,該過(guò)程進(jìn)行到步驟210�,在步驟210在計(jì)算機(jī)系統(tǒng)的屏幕上例示計(jì)算機(jī)系統(tǒng)的硬件標(biāo)識(shí)符。而且當(dāng)在步驟206系統(tǒng)原來(lái)不是未激活時(shí)�,該過(guò)程進(jìn)行到步驟210,而不施加任何類型的時(shí)間延遲����。
步驟210中的硬件標(biāo)識(shí)符的可視化是口令對(duì)話框的部分,在操作于鎖定模式時(shí)���,計(jì)算機(jī)系統(tǒng)的功能限制于該口令對(duì)話框��。需要硬件標(biāo)識(shí)符來(lái)明確識(shí)別計(jì)算機(jī)系統(tǒng)�。計(jì)算機(jī)系統(tǒng)的合法用戶可使用該硬件標(biāo)識(shí)符以便從中央數(shù)據(jù)庫(kù)系統(tǒng)接收用于口令對(duì)話框的口令。在合法用戶已經(jīng)從中央數(shù)據(jù)庫(kù)系統(tǒng)接收到正確的口令時(shí)����,該口令在步驟212被輸入口令對(duì)話框。相繼的步驟214檢查該口令是否正確��。
當(dāng)在步驟214口令原來(lái)是正確的時(shí)�,那么該過(guò)程進(jìn)行到步驟216,在此計(jì)算機(jī)系統(tǒng)從未激活或者鎖定模式切換到非鎖定模式����。在步驟216切換到非鎖定模式后,該過(guò)程進(jìn)行到步驟204�����,其啟動(dòng)或者引導(dǎo)計(jì)算機(jī)系統(tǒng)的操作系統(tǒng)�。
當(dāng)相反在步驟214已經(jīng)檢測(cè)到不正確的口令時(shí),該方法進(jìn)行到步驟218��。在步驟218�����,該方法僅僅檢查不正確的口令是否已經(jīng)輸入預(yù)定義的次數(shù)����。當(dāng)在步驟218發(fā)現(xiàn)不正確的口令已經(jīng)輸入多于預(yù)定義的次數(shù)時(shí),那么該方法進(jìn)行到步驟220�����,在此系統(tǒng)最終未激活�����。隨后�����,使用步驟208和210以便提供重新激活系統(tǒng)的手段���。當(dāng)在步驟218檢測(cè)到不正確的口令還沒(méi)有輸入預(yù)定義的次數(shù)時(shí)�����,發(fā)生不同的情景���。在此情形�����,該方法返回步驟212�,在此可重新輸入口令而不使系統(tǒng)未激活�����。指定系統(tǒng)未激活發(fā)生前可在口令對(duì)話框中輸入不正確的口令多少次的數(shù)量��,或者可由授權(quán)用戶或者可通過(guò)各種軟件應(yīng)用程序更新指定�����。
僅僅通過(guò)重新引導(dǎo)(re-booting)��,計(jì)算機(jī)系統(tǒng)不切換到非鎖定模式����。無(wú)論何時(shí)計(jì)算機(jī)系統(tǒng)運(yùn)行在鎖定或者未激活模式,它都保持在該特定模式�����,除非在口令對(duì)話框中輸入正確的口令��。一旦處于鎖定或者未激活模式����,就完全喪失計(jì)算機(jī)系統(tǒng)引導(dǎo)的能力。結(jié)果����,非授權(quán)用戶或者盜賊沒(méi)有可能操縱計(jì)算機(jī)系統(tǒng)的硬件或者軟件配置。因此�����,不僅特定軟件應(yīng)用程序而且整個(gè)計(jì)算機(jī)系統(tǒng)對(duì)這樣的非授權(quán)用戶變得無(wú)用����。
圖3說(shuō)明本發(fā)明計(jì)算機(jī)系統(tǒng)的框圖。計(jì)算機(jī)系統(tǒng)300具有輸入/輸出模塊302�、非易失性存儲(chǔ)器304、操作系統(tǒng)306���、以及軟件應(yīng)用程序308�。重要的是,計(jì)算機(jī)系統(tǒng)的BIOS以及硬件標(biāo)識(shí)符存儲(chǔ)在計(jì)算機(jī)系統(tǒng)的非易失性存儲(chǔ)器304中��。而且���,指定系統(tǒng)操作于鎖定模式還是非鎖定模式或者甚至是未激活模式的模式標(biāo)識(shí)符�����,以及指定時(shí)間間隔的時(shí)間計(jì)量器也必須存儲(chǔ)在非易失性存儲(chǔ)器304中�����。
當(dāng)在普通即非鎖定操作模式時(shí)��,計(jì)算機(jī)系統(tǒng)300操作為常規(guī)計(jì)算機(jī)系統(tǒng)�����。僅僅執(zhí)行為特定操作系統(tǒng)306構(gòu)建的軟件應(yīng)用程序308�。在運(yùn)行時(shí)期間��,用戶可與軟件應(yīng)用程序通過(guò)輸入/輸出模塊302交互�����。用戶因而輸入/輸出模塊302和軟件應(yīng)用程序308之間的交互由操作系統(tǒng)306提供。
隱藏于用戶��,計(jì)算機(jī)系統(tǒng)固有地使用一特定時(shí)間間隔�。該時(shí)間間隔以時(shí)間周期形式或者以特定的到期日期形式由時(shí)間計(jì)量器存儲(chǔ)在非易失性存儲(chǔ)器304中。在計(jì)算機(jī)系統(tǒng)300引導(dǎo)時(shí)���,檢查時(shí)間間隔是否已經(jīng)過(guò)去由BIOS進(jìn)行。如果時(shí)間間隔已經(jīng)過(guò)去�����,計(jì)算機(jī)系統(tǒng)就切換到鎖定模式�,并且對(duì)應(yīng)的口令對(duì)話框的執(zhí)行也由BIOS處理。在鎖定模式��,BIOS直接與輸入/輸出模塊302交互���,以便提供硬件標(biāo)識(shí)符給用戶并且接收由用戶響應(yīng)輸入的口令���。
因?yàn)橛布?biāo)識(shí)符、模式標(biāo)識(shí)符以及指定時(shí)間間隔的時(shí)間計(jì)量器是口令對(duì)話框的初始化和執(zhí)行的必要參數(shù)����,所以它們?cè)诓僮飨到y(tǒng)306的引導(dǎo)過(guò)程前是可訪問(wèn)的����。而且����,這些參數(shù)還必須以非易失方式存儲(chǔ),以確保這些參數(shù)在計(jì)算機(jī)系統(tǒng)從任何類型的電源脫離時(shí)不被擦除���。此外���,通過(guò)重新安裝軟件應(yīng)用程序或者重新安裝操作系統(tǒng),這些參數(shù)通常不改變�。時(shí)間間隔或時(shí)間計(jì)量器僅僅通過(guò)安裝后來(lái)的軟件應(yīng)用程序更新或者由必須通過(guò)常規(guī)認(rèn)證過(guò)程的授權(quán)用戶改變。該功能提供了不同的可能來(lái)分發(fā)計(jì)算機(jī)系統(tǒng)和軟件應(yīng)用程序�����。
在用戶從供應(yīng)商購(gòu)買(mǎi)計(jì)算機(jī)系統(tǒng)以及服務(wù)或者維護(hù)協(xié)議時(shí)�,用戶將在規(guī)則的時(shí)間間隔內(nèi)被提供軟件應(yīng)用程序更新。通過(guò)適當(dāng)?shù)匕惭b軟件應(yīng)用程序更新�,計(jì)算機(jī)系統(tǒng)從不會(huì)切換到鎖定模式。為了實(shí)際的原因�,在計(jì)算機(jī)系統(tǒng)切換到鎖定模式前,計(jì)算機(jī)系統(tǒng)可通知用戶安裝可用的更新���。在另一情形���,在用戶購(gòu)買(mǎi)沒(méi)有服務(wù)或者維護(hù)協(xié)議的計(jì)算機(jī)系統(tǒng)和軟件應(yīng)用程序時(shí)�,就提供給用戶允許手動(dòng)修改時(shí)間間隔的口令�。在任一情形,在預(yù)定義的時(shí)間間隔已經(jīng)過(guò)去后���,計(jì)算機(jī)系統(tǒng)的防盜保護(hù)或者訪問(wèn)保護(hù)變?yōu)榧せ睢?br>
圖4說(shuō)明用于計(jì)算機(jī)系統(tǒng)的訪問(wèn)保護(hù)的環(huán)境的框圖���。該環(huán)境的基本部件是計(jì)算機(jī)系統(tǒng)400��、軟件應(yīng)用程序更新402��、用戶404���、中央數(shù)據(jù)庫(kù)系統(tǒng)406和網(wǎng)絡(luò)408�����。使用計(jì)算機(jī)系統(tǒng)400的用戶404在計(jì)算機(jī)系統(tǒng)400上有規(guī)律地安裝軟件應(yīng)用程序更新402�。軟件應(yīng)用程序更新402由中央數(shù)據(jù)庫(kù)系統(tǒng)406或者由某種供應(yīng)者提供��。
在計(jì)算機(jī)系統(tǒng)400已經(jīng)變?yōu)樵馐鼙I竊時(shí)或者在要求的軟件應(yīng)用程序更新沒(méi)有安裝在計(jì)算機(jī)系統(tǒng)400上時(shí),計(jì)算機(jī)系統(tǒng)切換到鎖定模式���。在鎖定模式����,計(jì)算機(jī)系統(tǒng)400僅僅向用戶顯示其硬件標(biāo)識(shí)符���,該用戶使用有關(guān)其自己身份的進(jìn)一步要求的信息將該硬件標(biāo)識(shí)符提供給中央數(shù)據(jù)庫(kù)系統(tǒng)�����。根據(jù)提供的硬件標(biāo)識(shí)符����,中央數(shù)據(jù)庫(kù)系統(tǒng)406可確定計(jì)算機(jī)系統(tǒng)400是否已經(jīng)被正式宣告為被盜�。
此外,中央數(shù)據(jù)庫(kù)系統(tǒng)406能夠認(rèn)證用戶404作為計(jì)算機(jī)系統(tǒng)400的合法用戶����。僅僅在合法用戶已經(jīng)由中央數(shù)據(jù)庫(kù)系統(tǒng)識(shí)別時(shí),要求解鎖或者重新激活計(jì)算機(jī)系統(tǒng)400的口令被返回用戶404����。最好����,根據(jù)硬件標(biāo)識(shí)符和由中央數(shù)據(jù)庫(kù)系統(tǒng)并且由計(jì)算機(jī)系統(tǒng)400的BIOS執(zhí)行的��、一些特定的加密算法來(lái)產(chǎn)生口令��。
安裝新的軟件應(yīng)用程序更新還可將該加密算法的更新合并入計(jì)算機(jī)系統(tǒng)400的BIOS�����。這種過(guò)程具有兩個(gè)基本優(yōu)點(diǎn)����。第一,每個(gè)口令僅僅特定于一個(gè)計(jì)算機(jī)系統(tǒng)400����,并且不能普遍應(yīng)用于不同的計(jì)算機(jī)系統(tǒng)��。第二����,從中央數(shù)據(jù)庫(kù)系統(tǒng)406獲得的口令僅僅解鎖或者重新激活計(jì)算機(jī)系統(tǒng)400一次。因此���,在預(yù)定義的時(shí)間間隔第二次過(guò)去后計(jì)算機(jī)系統(tǒng)再次鎖定時(shí)��,它不能被重復(fù)使用����。
或者,計(jì)算機(jī)系統(tǒng)400和中央數(shù)據(jù)庫(kù)系統(tǒng)406之間的交互也可通過(guò)使用網(wǎng)絡(luò)408實(shí)現(xiàn)��。在此情形��,計(jì)算機(jī)系統(tǒng)400自動(dòng)建立到中央數(shù)據(jù)庫(kù)系統(tǒng)406的網(wǎng)絡(luò)連接�,并且將其硬件標(biāo)識(shí)符自動(dòng)發(fā)送到中央數(shù)據(jù)庫(kù)系統(tǒng)406。中央數(shù)據(jù)庫(kù)系統(tǒng)406為了確定用戶404是否計(jì)算機(jī)系統(tǒng)400的合法用戶而需要的用戶404的附加信息�,必須發(fā)送給中央數(shù)據(jù)庫(kù)系統(tǒng)406。
此發(fā)送的執(zhí)行可以是通過(guò)用戶直接發(fā)送需要的信息給中央數(shù)據(jù)庫(kù)系統(tǒng)406�,或者通過(guò)將需要的信息輸入計(jì)算機(jī)系統(tǒng)400的擴(kuò)展口令對(duì)話框。然后計(jì)算機(jī)系統(tǒng)400經(jīng)由建立的網(wǎng)絡(luò)連接發(fā)送此附加信息給中央數(shù)據(jù)庫(kù)系統(tǒng)406�。
權(quán)利要求
1.一種具有鎖定和非鎖定模式的計(jì)算機(jī)系統(tǒng)(300;400)的訪問(wèn)保護(hù)方法����,在鎖定模式計(jì)算機(jī)系統(tǒng)的功能限于口令對(duì)話框,該訪問(wèn)保護(hù)方法包括以下步驟-在預(yù)定義的時(shí)間間隔已經(jīng)過(guò)去時(shí)����,將該計(jì)算機(jī)系統(tǒng)從非鎖定模式切換到鎖定模式��,-去激活該計(jì)算機(jī)系統(tǒng)�����,以響應(yīng)用戶(404)在口令對(duì)話框中輸入不正確的口令預(yù)定義的次數(shù)�����,其中在鎖定模式����,計(jì)算機(jī)系統(tǒng)的引導(dǎo)過(guò)程被口令對(duì)話框中斷���,并且其中引導(dǎo)過(guò)程僅僅響應(yīng)用戶輸入正確的口令而繼續(xù)�����。
2.根據(jù)權(quán)利要求1所述的方法,其中在鎖定模式����,在引導(dǎo)計(jì)算機(jī)系統(tǒng)(300;400)的操作系統(tǒng)(306)前,計(jì)算機(jī)系統(tǒng)的引導(dǎo)過(guò)程被口令對(duì)話框中斷���。
3.根據(jù)權(quán)利要求1或2所述的方法�����,其中時(shí)間間隔由軟件應(yīng)用程序(308)的更新過(guò)程或者由授權(quán)用戶定義��。
4.根據(jù)權(quán)利要求3所述的方法���,其中在軟件應(yīng)用程序(308)的隨后更新(402)變?yōu)榭捎玫娜掌诤螅绍浖?yīng)用程序的更新過(guò)程定義的時(shí)間間隔經(jīng)過(guò)��。
5.根據(jù)權(quán)利要求1-4的任一所述的方法�����,其中時(shí)間間隔由日期或者由軟件應(yīng)用程序(308)的最大可允許操作時(shí)間給定����。
6.根據(jù)權(quán)利要求1-5的任一所述的方法,其中口令對(duì)話框的口令根據(jù)計(jì)算機(jī)系統(tǒng)(300����;400)的硬件標(biāo)識(shí)符產(chǎn)生����,硬件標(biāo)識(shí)符存儲(chǔ)在計(jì)算機(jī)系統(tǒng)的非易失性存儲(chǔ)器(304)中并且顯示在口令對(duì)話框中���。
7.根據(jù)權(quán)利要求1-6的任一所述的方法�,其中重新激活計(jì)算機(jī)系統(tǒng)(300�����;400)或者解鎖計(jì)算機(jī)系統(tǒng)包括以下步驟-發(fā)送硬件標(biāo)識(shí)符和需要的用戶信息給中央數(shù)據(jù)庫(kù)系統(tǒng)(406)�,-由中央數(shù)據(jù)庫(kù)系統(tǒng)根據(jù)硬件標(biāo)識(shí)符和用戶信息,檢查用戶(404)的認(rèn)證����,-在中央數(shù)據(jù)庫(kù)系統(tǒng)已經(jīng)表明用戶的認(rèn)證時(shí),從中央數(shù)據(jù)庫(kù)系統(tǒng)接收正確的口令����,-在口令對(duì)話框中輸入正確的口令,以便重新激活或者解鎖計(jì)算機(jī)系統(tǒng)�����。
8.一種具有鎖定和非鎖定模式的計(jì)算機(jī)系統(tǒng)(300��;400)���,其中在鎖定模式����,計(jì)算機(jī)系統(tǒng)的功能限于口令對(duì)話框�,該計(jì)算機(jī)系統(tǒng)包括-切換裝置,在預(yù)定義的時(shí)間間隔已經(jīng)過(guò)去時(shí)�����,將該計(jì)算機(jī)系統(tǒng)從非鎖定模式切換到鎖定模式�����,-去激活裝置�,用于去激活該計(jì)算機(jī)系統(tǒng),以響應(yīng)用戶在口令對(duì)話框中輸入不正確的口令預(yù)定義的次數(shù)�,其中在鎖定模式,計(jì)算機(jī)系統(tǒng)的引導(dǎo)過(guò)程被口令對(duì)話框中斷���,并且其中引導(dǎo)過(guò)程僅僅響應(yīng)用戶(404)輸入正確的口令而繼續(xù)���。
9.根據(jù)權(quán)利要求8所述的計(jì)算機(jī)系統(tǒng)(300�;400)���,還包括中斷裝置����,用于在計(jì)算機(jī)系統(tǒng)處于鎖定模式時(shí)�����,由口令對(duì)話框中斷計(jì)算機(jī)系統(tǒng)的引導(dǎo)過(guò)程�,該引導(dǎo)過(guò)程在引導(dǎo)計(jì)算機(jī)系統(tǒng)的操作系統(tǒng)(306)前被中斷。
10.根據(jù)權(quán)利要求8或9所述的計(jì)算機(jī)系統(tǒng)(300�����;400)����,還包括定義裝置,用于由軟件應(yīng)用程序(308)的更新過(guò)程或者由授權(quán)用戶定義時(shí)間間隔��。
11.根據(jù)權(quán)利要求10所述的計(jì)算機(jī)系統(tǒng)(300���;400)�����,其中在軟件應(yīng)用程序(308)的隨后更新(402)變?yōu)榭捎玫娜掌诤?���,由軟件?yīng)用程序的更新過(guò)程定義的時(shí)間間隔經(jīng)過(guò)�。
12.根據(jù)權(quán)利要求8-11的任一所述的計(jì)算機(jī)系統(tǒng)(300;400)��,還包括用于產(chǎn)生口令對(duì)話框的口令的裝置���,該口令根據(jù)計(jì)算機(jī)系統(tǒng)的硬件標(biāo)識(shí)符產(chǎn)生��。
13.根據(jù)權(quán)利要求8-12的任一所述的計(jì)算機(jī)系統(tǒng)(300���;400),還包括非易失性存儲(chǔ)器(304)�,用于存儲(chǔ)硬件標(biāo)識(shí)符、時(shí)間間隔和模式標(biāo)識(shí)符�。
14.根據(jù)權(quán)利要求8-13的任一所述的計(jì)算機(jī)系統(tǒng)(300;400)�,還包括在口令對(duì)話框中顯示硬件標(biāo)識(shí)符的裝置。
15.一種計(jì)算機(jī)程序產(chǎn)品���,用于具有鎖定和非鎖定模式的計(jì)算機(jī)系統(tǒng)(300���;400)��,其中在鎖定模式���,計(jì)算機(jī)系統(tǒng)的功能限于口令對(duì)話框,該計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)程序裝置����,適于-在預(yù)定義的時(shí)間間隔已經(jīng)過(guò)去時(shí),將該計(jì)算機(jī)系統(tǒng)從非鎖定模式切換到鎖定模式��,-去激活該計(jì)算機(jī)系統(tǒng)���,以響應(yīng)用戶(404)在口令對(duì)話框中輸入不正確的口令預(yù)定義的次數(shù)�,-在計(jì)算機(jī)系統(tǒng)處于鎖定模式時(shí)���,由口令對(duì)話框中斷計(jì)算機(jī)系統(tǒng)的引導(dǎo)過(guò)程���,-響應(yīng)用戶輸入正確的口令而繼續(xù)引導(dǎo)過(guò)程。
16.根據(jù)權(quán)利要求15所述的計(jì)算機(jī)程序產(chǎn)品,還包括計(jì)算機(jī)程序裝置�����,適于在引導(dǎo)計(jì)算機(jī)系統(tǒng)(300���;400)的操作系統(tǒng)前���,中斷計(jì)算機(jī)系統(tǒng)的引導(dǎo)過(guò)程��。
17.根據(jù)權(quán)利要求15或16所述的計(jì)算機(jī)程序產(chǎn)品�����,還包括計(jì)算機(jī)程序裝置��,適于由軟件應(yīng)用程序(308)的更新過(guò)程或者由授權(quán)用戶定義時(shí)間間隔���。
18.根據(jù)權(quán)利要求17所述的計(jì)算機(jī)程序產(chǎn)品�����,其中在軟件應(yīng)用程序(308)的隨后更新(402)變?yōu)榭捎玫娜掌诤?�,由軟件?yīng)用程序的更新過(guò)程定義的時(shí)間間隔經(jīng)過(guò)����。
19.根據(jù)權(quán)利要求15-18的任一所述的計(jì)算機(jī)程序產(chǎn)品,還包括計(jì)算機(jī)程序裝置���,適于根據(jù)計(jì)算機(jī)系統(tǒng)(300���;400)的硬件標(biāo)識(shí)符產(chǎn)生口令對(duì)話框的口令。
全文摘要
本發(fā)明涉及計(jì)算機(jī)系統(tǒng)的訪問(wèn)保護(hù)和防盜保護(hù)領(lǐng)域�����。本發(fā)明的訪問(wèn)保護(hù)機(jī)制明確使用計(jì)算機(jī)系統(tǒng)操作于普通模式的特定時(shí)間間隔��。在此時(shí)間間隔已經(jīng)過(guò)去后�,該計(jì)算機(jī)系統(tǒng)切換到防止計(jì)算機(jī)系統(tǒng)引導(dǎo)的鎖定模式。在鎖定模式�����,計(jì)算機(jī)系統(tǒng)的功能限于口令對(duì)話框��,而對(duì)應(yīng)的口令只能在用戶的身份已經(jīng)被檢查后從中央數(shù)據(jù)庫(kù)系統(tǒng)獲得�。通過(guò)有規(guī)律地安裝特定軟件應(yīng)用程序的隨后軟件應(yīng)用程序更新�,防止計(jì)算機(jī)系統(tǒng)切換到鎖定模式��。通過(guò)安裝軟件應(yīng)用程序更新�����,總是以如下方式操縱時(shí)間間隔���,即僅僅在隨后的軟件更新變?yōu)榭捎玫臅r(shí)間點(diǎn)后經(jīng)過(guò)�。
文檔編號(hào)G06F21/24GK1673923SQ200510059039
公開(kāi)日2005年9月28日 申請(qǐng)日期2005年3月23日 優(yōu)先權(quán)日2004年3月23日
發(fā)明者康拉德·吉倫斯, 埃里克·欣德邁耶, 托馬斯·G·莫格爾, 托馬斯·斯派德?tīng)?申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司