專利名稱:具有一級驗證的計算機系統(tǒng)內(nèi)信息的訪問保護方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機系統(tǒng)安全����,更具體地說���,涉及一種提高計算機系統(tǒng)訪問保護的方法和系統(tǒng)����。
背景技術(shù):
信息竊取和非法傳送是一個挑戰(zhàn)性問題�����,大量的信息需要保護����,并且還要考慮高效進行信息共享的需求。
有一類信息竊取包括指定區(qū)域(例如校園或工作場所)外對計算機系統(tǒng)的竊取或非法傳送�����。由于這些計算機系統(tǒng)可能包含私人、保密和/或機密信息���,因此需要對計算機進行訪問保護��,防止信息被竊取或非法傳送�。
目前的技術(shù)沒有充分解決這一嚴重問題�����。事實上����,除了僅有的操作系統(tǒng)口令保護之外,許多計算機系統(tǒng)都缺乏對竊取或非法傳送的防護����。
因此,需要一種計算機系統(tǒng)保護方法��、系統(tǒng)或計算機程序產(chǎn)品�,用于保護計算機系統(tǒng)免于遭遇信息竊取或非法傳送。
發(fā)明內(nèi)容
本發(fā)明涉及計算機系統(tǒng)保護的方法���、系統(tǒng)和計算機程序�。
本發(fā)明的實施例保護竊取和/或非法傳送的計算機系統(tǒng)上的信息免受未授權(quán)訪問。
本發(fā)明的實施例包括檢測計算機系統(tǒng)何時轉(zhuǎn)移到指定區(qū)域外的方法�、系統(tǒng)和計算機程序。
本發(fā)明的實施例包括當計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外時���,觸發(fā)二級驗證的方法���、系統(tǒng)和計算機程序。
本發(fā)明的實施例包括當計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外時�����,鎖閉計算機系統(tǒng)的功能的方法��、系統(tǒng)和計算機程序��。
本發(fā)明的實施例包括阻止對計算機系統(tǒng)的操作系統(tǒng)���、硬盤驅(qū)動器和外部驅(qū)動器中的一個或多個的訪問。
本發(fā)明的實施例包括基于計算機系統(tǒng)所處的位置允許對計算機系統(tǒng)的功能進行限制性訪問的方法�����、系統(tǒng)和計算機程序���。這些功能可以包括打印文件�、網(wǎng)絡(luò)接入和訪問外部驅(qū)動器中的一個或多個。
本發(fā)明的實施例包括基于計算機系統(tǒng)所處的位置允許可變級別訪問保護的方法���、系統(tǒng)和計算機程序����。
本發(fā)明的實施例可使用射頻(RF)通信����、紅外(IF)通信和/或GPS通信來實施。
本發(fā)明實施例的功能在計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外時���,無論計算機系統(tǒng)的電源模式如何���,都起作用。
根據(jù)本發(fā)明的一方面�,提供一種具有一級驗證的計算機系統(tǒng)內(nèi)信息的訪問保護的方法,包括 檢測所述計算機系統(tǒng)何時轉(zhuǎn)移到指定區(qū)域外�����;及 當所述計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外后,向所述計算機系統(tǒng)發(fā)送令牌���; 其中�����,當所述計算機系統(tǒng)隨后在所述指定區(qū)域外啟動時所述令牌觸發(fā)二級驗證����,且當所述二級驗證失敗時將導致所述計算機系統(tǒng)的功能鎖閉���。
作為優(yōu)選�,所述發(fā)送令牌的步驟包括與集成在所述計算機系統(tǒng)內(nèi)的射頻(RF)通信部件進行通信���。
作為優(yōu)選��,所述RF通信部件集成在主板上LAN(LOM)網(wǎng)絡(luò)適配器中,所述適配器集成在所述計算機系統(tǒng)的主板上�。
作為優(yōu)選,所述發(fā)送令牌的步驟包括與RF通信部件進行通信�����,不管通信時所述計算機的電源模式如何�����。
作為優(yōu)選,所述通信部件包括全球定位系統(tǒng)(GPS)接收機����。
作為優(yōu)選,所述檢測步驟包括對所述計算機系統(tǒng)的全球定位坐標與所述指定區(qū)域的全球定位坐標范圍進行比較��。
作為優(yōu)選�����,所述發(fā)送令牌的步驟包括當所述計算機系統(tǒng)位于所述指定區(qū)域內(nèi)時向所述計算機系統(tǒng)發(fā)送令牌�����。
作為優(yōu)選�����,在所述指定區(qū)域內(nèi)發(fā)送的令牌當所述計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外時被激活�����。
作為優(yōu)選,所述RF通信部件包括無線電接收機�。
作為優(yōu)選,所述檢測步驟由中央監(jiān)視系統(tǒng)執(zhí)行�����。
作為優(yōu)選����,所述檢測步驟包括檢測與所述計算機系統(tǒng)相關(guān)聯(lián)的代碼。
作為優(yōu)選�����,所述發(fā)送令牌的步驟包括當所述計算機系統(tǒng)位于所述指定區(qū)域外時向所述計算機系統(tǒng)發(fā)送令牌�����。
作為優(yōu)選�,所述發(fā)送令牌的步驟包括在指定區(qū)域內(nèi)下載所述令牌到所述計算機系統(tǒng),并當所述計算機系統(tǒng)在指定區(qū)域外時在指定區(qū)域外激活令牌�。
作為優(yōu)選,所述方法還包括 在數(shù)據(jù)庫中記錄相應(yīng)于多個秘密問題的多個答案����,其中,所述答案由所述計算機系統(tǒng)的合法用戶選擇并與所述用戶相關(guān)聯(lián)��。
在所述數(shù)據(jù)庫中記錄多個由所述合法用戶選擇的用戶口令�,其中,每一個所述用戶口令與對應(yīng)的一組秘密問題及相應(yīng)的答案相關(guān)聯(lián)����。
作為優(yōu)選,所述方法還包括 基于與所述合法用戶相關(guān)聯(lián)的一個或多個當前口令及所述計算機系統(tǒng)退出指定區(qū)域的時間產(chǎn)生所述令牌����; 其中所述令牌包括所述多個秘密問題中的一個秘密問題、多個答案中相應(yīng)該秘密問題的答案��、以及與所述秘密問題和答案關(guān)聯(lián)的口令����。
作為優(yōu)選,所述方法還包括當所述計算機系統(tǒng)啟動后��, (a)提示用戶輸入與所述合法用戶相關(guān)聯(lián)的當前口令并接收用戶輸入���; (b)驗證用戶輸入與所述當前口令是否一致���; (c)如果在步驟(b)中口令驗證成功�����,則提示用戶輸入包含在所述令牌中的所述秘密問題����,并接收用戶輸入��; (d)使用包含在所述令牌中的相應(yīng)答案驗證用戶針對所述秘密問題的輸入����; (e)如果在步驟(d)中口令驗證成功,則提示用戶輸入與所述秘密問題和答案相關(guān)聯(lián)的口令���,并接收用戶輸入�����; (f)驗證用戶輸入與所述相關(guān)聯(lián)口令是否一致�; (g)如果在步驟(f)中口令驗證成功�,則允許用戶訪問所述計算機系統(tǒng)的功能。
作為優(yōu)選��,所述二級驗證包括步驟(c)至)(f)���。
作為優(yōu)選��,所述方法還包括 (h)如果任一所述驗證步驟連續(xù)失敗預定次數(shù)�����,則鎖閉所述計算機系統(tǒng)的功能���。
作為優(yōu)選,通過將所述計算機系統(tǒng)接入所述指定區(qū)域內(nèi)的關(guān)聯(lián)網(wǎng)絡(luò)系統(tǒng)����,可繞開所述二級驗證。
作為優(yōu)選����,所述鎖閉所述計算機系統(tǒng)的功能包括阻止對操作系統(tǒng)、硬盤驅(qū)動器和與所述計算機系統(tǒng)相關(guān)聯(lián)的外部驅(qū)動器中的一個或多個的訪問�。
作為優(yōu)選,當所述計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外時�,無論二級驗證的結(jié)果如何,所述令牌觸發(fā)對所述計算機系統(tǒng)的一些功能的限制性訪問�����。
作為優(yōu)選,所述一些功能包括以下一個或多個打印文件���、網(wǎng)絡(luò)接入和訪問外部驅(qū)動器����。
作為優(yōu)選��,在指定區(qū)域內(nèi)部和外部都要進行一級驗證���。
根據(jù)本發(fā)明的一方面���,提供一種用于對具有一級驗證的計算機系統(tǒng)內(nèi)信息的訪問進行保護的系統(tǒng),包括 用于檢測所述計算機系統(tǒng)何時轉(zhuǎn)移到指定區(qū)域外的中央監(jiān)視系統(tǒng)��; 用于存儲與所述計算機系統(tǒng)的合法用戶相關(guān)聯(lián)的驗證信息的數(shù)據(jù)庫�; 用于當所述計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外后向所述計算機系統(tǒng)發(fā)送令牌的射頻(RF)通信系統(tǒng); 其中���,所述令牌包含來自所述數(shù)據(jù)庫的驗證信息�����,其用于當所述計算機系統(tǒng)隨后在所述指定區(qū)域外啟動時觸發(fā)二級驗證���。
作為優(yōu)選����,所述系統(tǒng)還包括 集成在主板上LAN(LOM)網(wǎng)絡(luò)適配器中的RF收發(fā)器���,所述適配器集成在所述計算機系統(tǒng)的主板上。
作為優(yōu)選�,所述系統(tǒng)還包括 集成在所述計算機系統(tǒng)內(nèi)的全球定位系統(tǒng)(GPS)接收機,其中所述GPS接收機用于產(chǎn)生所述計算機系統(tǒng)的位置坐標����,且當所述計算機系統(tǒng)在指定區(qū)域外時下載所述令牌。
作為優(yōu)選�����,所述數(shù)據(jù)庫包含對應(yīng)于多個秘密問題的多個答案�,所述答案由所述計算機系統(tǒng)的合法用戶選擇并與所述用戶相關(guān)聯(lián)。
作為優(yōu)選����,所述數(shù)據(jù)庫還包括多個由所述合法用戶選擇的用戶口令,其中��,每一個所述用戶口令與對應(yīng)的一組秘密問題及相應(yīng)的答案相關(guān)聯(lián)。
作為優(yōu)選�,所述中央監(jiān)視系統(tǒng)包括 用于當所述計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外在時產(chǎn)生檢測信號的檢測器; 與所述檢測器相連并從所述檢測器接收檢測信號的控制器���。
作為優(yōu)選���,所述控制器還用于與所述數(shù)據(jù)庫通信,以獲取與所述計算機系統(tǒng)相關(guān)聯(lián)的驗證信息�。
作為優(yōu)選,所述控制器還用于控制所述RF通信系統(tǒng)與所述計算機系統(tǒng)通信�����。
本發(fā)明的各種優(yōu)點�、各個方面和創(chuàng)新特征,以及其中所示例的實施例的結(jié)構(gòu)和操作���,將在以下結(jié)合附圖進行詳細介紹��。
圖1是計算機訪問保護系統(tǒng)的操作示例方案的示意圖�����; 圖2是示例性中央監(jiān)視系統(tǒng)的示意圖���; 圖3是配置有圖1所示系統(tǒng)功能的示例性計算機系統(tǒng)的示意圖�; 圖4是配置有圖1所示系統(tǒng)功能的示例性計算機系統(tǒng)的示意圖�����; 圖5是配置有GPS計算機訪問保護系統(tǒng)的示例性計算機系統(tǒng)的示意圖����; 圖6是可用于圖1所示系統(tǒng)的示例性數(shù)據(jù)庫的示意圖����; 圖7是對計算機系統(tǒng)中的信息進行訪問保護的方法流程圖; 圖8是由計算機系統(tǒng)中的信息訪問保護系統(tǒng)觸發(fā)的附加或二級驗證過程的流程圖��; 圖9是用于實施本發(fā)明的示例性計算機的示意圖��。
以下將參照附圖結(jié)合實施例對本發(fā)明進行詳細描述��。通常附圖標記最左邊的數(shù)字表示該附圖標記首次出現(xiàn)時的那幅附圖的編號���。
具體實施例方式 從某一方面來說���,信息竊取包括在指定區(qū)域外對計算機系統(tǒng)的信息進行竊取或非法傳送�����。由于這些計算機系統(tǒng)可能包含個人�����、保密和/或機密信息���,因此需要對計算機進行訪問保護,防止信息被竊取或非法傳送�����。
本發(fā)明涉及計算機系統(tǒng)保護的方法��、系統(tǒng)和計算機程序�。
本發(fā)明的實施例保護計算機系統(tǒng),防止對竊取或非法傳送的計算機系統(tǒng)上的信息進行未授權(quán)訪問�。
本發(fā)明的實施例包括檢測計算機系統(tǒng)何時轉(zhuǎn)移到指定區(qū)域外的方法、系統(tǒng)和計算機程序��。
本發(fā)明的實施例包括當計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外時����,觸發(fā)二級驗證的方法���、系統(tǒng)和計算機程序。
本發(fā)明的實施例包括當計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外時���,鎖閉計算機系統(tǒng)的功能的方法��、系統(tǒng)和計算機程序���。
本發(fā)明的實施例包括阻止對計算機系統(tǒng)的操作系統(tǒng)、硬盤驅(qū)動器和外部驅(qū)動器中的一個或多個的訪問�����。
本發(fā)明的實施例包括基于計算機系統(tǒng)所處的位置允許對計算機系統(tǒng)的功能進行限制性訪問的方法�����、系統(tǒng)和計算機程序�����。這些功能可以包括打印文件���、網(wǎng)絡(luò)接入和訪問外部驅(qū)動器中的一個或多個���。
本發(fā)明的實施例包括基于計算機系統(tǒng)所處的位置允許可變級別訪問保護的方法、系統(tǒng)和計算機程序�����。
本發(fā)明的實施例可使用射頻(RF)通信�����、紅外(IF)通信和/或GPS通信來實施��。
本發(fā)明實施例的功能在計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外時����,無論計算機系統(tǒng)的電源模式如何,都起作用��。
以下將描述本發(fā)明的具體實施方式
�。
計算機系統(tǒng)保護 圖1是計算機訪問保護系統(tǒng)的操作示例方案100的示意圖。示例性方案100中示出了在指定區(qū)域116內(nèi)的計算機系統(tǒng)102和計算機訪問保護系統(tǒng)104�����。指定區(qū)域116可以是任何限定的區(qū)域,包括例如學校�、辦公樓、多建筑校園��、住宅���、醫(yī)院���、警察局、消防局��、中心辦公區(qū)����、電廠或研究機構(gòu)。
計算機系統(tǒng)102可以是能夠執(zhí)行本文所描述功能的��、市場有售和/或業(yè)內(nèi)熟知的任意計算機��。在一實施例中��,計算機系統(tǒng)102是膝上型計算機���。計算機系統(tǒng)102具有在指定區(qū)域116內(nèi)��、外均需進行的一級驗證����。例如��,這種一級驗證包括執(zhí)行操作系統(tǒng)驗證功能�。
計算機訪問保護系統(tǒng)104是通信和控制系統(tǒng),用于根據(jù)計算機系統(tǒng)102的位置控制對計算機系統(tǒng)102的訪問��。在圖1所示的示例性方案100中��,計算機訪問保護系統(tǒng)104處于指定區(qū)域116內(nèi)���。本發(fā)明不限于該實施例�����。本領(lǐng)域技術(shù)人員基于本文的教導能夠知悉�,計算機保護系統(tǒng)104可以完全或部分位于指定區(qū)域116之內(nèi)或之外���。
在示例性方案100中�����,計算機訪問保護系統(tǒng)104包括中央監(jiān)視系統(tǒng)110��、數(shù)據(jù)庫106和射頻(RF)通信系統(tǒng)108���。在其它實施例中����,計算機訪問保護系統(tǒng)104的一個或多個子系統(tǒng)可以集成在一起形成其它子系統(tǒng)�。
中央監(jiān)視系統(tǒng)110用于檢測何時計算機系統(tǒng)102轉(zhuǎn)移到指定區(qū)域外。在一實施例中�����,如圖2所示���,中央監(jiān)視系統(tǒng)110包括控制器202和檢測器204��。
控制器202控制計算機訪問保護系統(tǒng)104的一個或多個子系統(tǒng)的操作�。在一實施例中�,控制器202與檢測器204通信,以配置檢測器204使其對計算機系統(tǒng)進行檢測和/或從檢測器204接收檢測信號����。控制器202還與計算機訪問保護系統(tǒng)104的數(shù)據(jù)庫106和RF通信系統(tǒng)108通信����。
在一實施例中,計算機系統(tǒng)102向計算機訪問保護系統(tǒng)104進行登記�,從而產(chǎn)生與計算機系統(tǒng)102的合法用戶相關(guān)聯(lián)的驗證信息,并存儲到數(shù)據(jù)庫106中��。另外����,進行登記可以將一個檢測編碼與計算機系統(tǒng)102相關(guān)聯(lián)。
中央監(jiān)視系統(tǒng)110通過控制器202可以訪問數(shù)據(jù)庫106���,從而獲取與計算機系統(tǒng)102相關(guān)聯(lián)的檢測編碼����,并使用該檢測編碼配置檢測器204��,使其對計算機系統(tǒng)102進行檢測���。在一實施例中�����,對檢測器204進行配置�,使得當計算機系統(tǒng)102移動到指定區(qū)域116外時產(chǎn)生檢測信號并發(fā)送給控制器202。例如��,檢測器204可以放置在指定區(qū)域116的出口114處�,以便檢測計算機系統(tǒng)102何時退出指定區(qū)域116?��;诒疚闹械慕虒?����,也可以使用本領(lǐng)域技術(shù)人員所知悉的其它技術(shù)來檢測計算機系統(tǒng)102何時移動出指定區(qū)域116����。
在一實施例中�,根據(jù)從檢測器204接收到的指示計算機系統(tǒng)102正向指定區(qū)域116外轉(zhuǎn)移的檢測信號,控制器202與數(shù)據(jù)庫106通信�,以產(chǎn)生和/或獲取與計算機系統(tǒng)102相關(guān)聯(lián)的驗證信息。之后�����,控制器202與RF通信系統(tǒng)108通信,以將令牌112無線發(fā)送給計算機系統(tǒng)102���。令牌112包括與計算機系統(tǒng)102的合法用戶相關(guān)聯(lián)的驗證信息,用于當隨后在指定區(qū)域116外啟動計算機系統(tǒng)102時觸發(fā)二級驗證�。
在另一實施例中,中央監(jiān)視系統(tǒng)110當計算機系統(tǒng)102在指定區(qū)域116內(nèi)時將將令牌112發(fā)送給計算機系統(tǒng)102���,并當計算機系統(tǒng)102轉(zhuǎn)移到指定區(qū)域外時激活該令牌��。
計算機訪問保護系統(tǒng)104的數(shù)據(jù)庫106可以是能夠執(zhí)行本文所描述的數(shù)據(jù)庫功能的任意存儲系統(tǒng)�。數(shù)據(jù)庫106可以放置在靠近或遠離中央監(jiān)視系統(tǒng)110和/或RF通信系統(tǒng)108的位置處�。在一實施例中,數(shù)據(jù)庫106存儲與登記在計算機訪問保護系統(tǒng)104上的計算機系統(tǒng)(如計算機系統(tǒng)102)的合法用戶相關(guān)聯(lián)的驗證信息�����。有關(guān)數(shù)據(jù)庫106的其它實施例將在圖6中描述�����。
計算機訪問保護系統(tǒng)104的RF通信系統(tǒng)108可以是能夠執(zhí)行本文所描述的無線通信功能的任意RF通信系統(tǒng)��。例如�,在與計算機系統(tǒng)102進行雙向通信的實施例中,RF通信系統(tǒng)108可以是無線收發(fā)器。作為選擇�����,在與計算機系統(tǒng)102進行單向通信的實施例中���,RF通信系統(tǒng)108可以是無線發(fā)射器��。在另一實施例中(圖1中未示出)�,RF通信系統(tǒng)108可由紅外(IR)通信系統(tǒng)和/或RF/IR雙模通信系統(tǒng)替代���。根據(jù)本文的教導本領(lǐng)域技術(shù)人員知悉RF通信系統(tǒng)可以放置在指定區(qū)域內(nèi)或外�����,只要它能夠可靠地與計算機系統(tǒng)102進行通信�。
如上所述�,計算機系統(tǒng)102可以是能夠執(zhí)行本文所描述功能的、市場有售和/或業(yè)內(nèi)熟知的任意計算機����,包括膝上型計算機。在圖3所示的實施例300中���,計算機系統(tǒng)102包括RF通信部件302�,其用于與計算機訪問保護系統(tǒng)104的RF通信系統(tǒng)108通信。例如��,RF通信部件302可包括無線RF收發(fā)器或無線RF接收器�。在另一實施例中(圖3中未示出),RF通信部件302可以由紅外(IR)通信部件和/或RF/IR雙模通信部件替代���。
RF通信部件302與同樣設(shè)置在計算機系統(tǒng)102中的無線局域網(wǎng)(WLAN)部件304不同。RF通信部件302可以集成在計算機系統(tǒng)102的已有硬件中��,或者也可作為獨立部件����。在圖4所示的實施例400中,RF通信部件302集成在計算機系統(tǒng)102的主板上LAN(LOM)網(wǎng)絡(luò)適配器404中�。LOM網(wǎng)絡(luò)適配器404通常集成在計算機系統(tǒng)102的主板402上。
無論在轉(zhuǎn)移出指定區(qū)域116的時刻計算機系統(tǒng)102的電源模式如何����,當計算機系統(tǒng)102轉(zhuǎn)移到指定區(qū)域116外時,計算機系統(tǒng)102的訪問保護將被激活�。例如,當計算機系統(tǒng)102向指定區(qū)域116外轉(zhuǎn)移的時刻�,計算機系統(tǒng)102可能處于開機、關(guān)機、待機或睡眠模式��。這樣�,無論計算機系統(tǒng)102的電源模式如何,RF通信部件302將需要與計算機訪問保護系統(tǒng)104通信�����,因此�����,在所述時刻都需要供電電源�����。
實施例400的一個優(yōu)勢包括不需要額外的電源電路用于為RF通信部件302提供連續(xù)的供電�����。這是因為RF通信部件302集成在LOM網(wǎng)絡(luò)適配器404中�,得益于LOM網(wǎng)絡(luò)適配器404一般在任何時刻都從計算機系統(tǒng)102的電池接收供電這一事實。通常情況下�����,這是為了激活LOM網(wǎng)絡(luò)適配器404的LAN上喚醒(Wake On LAN)功能以遠程喚醒計算機系統(tǒng)102。
圖5所示為計算機系統(tǒng)102的另一實施例500�����,可用于GPS計算機訪問保護系統(tǒng)����。
根據(jù)本實施例,計算機訪問保護不限于根據(jù)計算機系統(tǒng)102相對于指定區(qū)域的位置對其進行安全保護�����,而是擴展到基于計算機系統(tǒng)102的全球定位信息來激活附加或二級驗證���。例如,當計算機系統(tǒng)102轉(zhuǎn)移到一個或多個指定區(qū)域內(nèi)和/或外時����,使用與圖1所示令牌112相似的令牌,計算機訪問保護系統(tǒng)能夠觸發(fā)附加或二級驗證����。這些指定區(qū)域可以由一個或多個全球定位坐標范圍來限定。
為使GPS計算機訪問保護得以實現(xiàn)�,計算機系統(tǒng)102可包括GPS接收器502�����。GPS接收器502從多個衛(wèi)星系統(tǒng)504接收信號����,并生成計算機系統(tǒng)102的全球定位坐標��。當計算機系統(tǒng)102啟動時�,生成的全球定位坐標將被與令牌中包含的一個或多個指定區(qū)域的坐標進行比較,從而激活相應(yīng)的保護等級���。如本領(lǐng)域技術(shù)人員根據(jù)本文的教導所知悉�����,根據(jù)計算機系統(tǒng)102位于一個或多個指定區(qū)域中的哪個區(qū)域����,可以采用一個或多個計算機訪問保護等級(具有不同的訪問和/或阻止功能)����。
在另一實施例中,當計算機系統(tǒng)102啟動時�,計算機系統(tǒng)102將生成的全球定位坐標與一個或多個指定區(qū)域進行比較����,以決定是否下載令牌�,其能夠激活附加的計算機保護。
圖6是圖1所示系統(tǒng)的數(shù)據(jù)庫106的實施例600的示意圖���。如上所述����,當計算機系統(tǒng)102向計算機訪問保護系統(tǒng)104登記時���,將產(chǎn)生與計算機系統(tǒng)102的合法用戶相關(guān)聯(lián)的驗證信息�,并存儲到數(shù)據(jù)庫106中���。在一實施例中,計算機系統(tǒng)102的合法用戶“A”在登記過程中輸入對應(yīng)于一個或多個秘密問題604的一個或多個答案606����。用戶“A”還將一個或多個口令608與每一組秘密問題/答案關(guān)聯(lián)起來,以生成驗證表602���。需要注意的是�����,在實施例600中所示的秘密問題604僅是示例性的�。其它類型和/或內(nèi)容的問題也可使用。
驗證表602隨后用于當計算機系統(tǒng)102轉(zhuǎn)移到指定區(qū)域116外時產(chǎn)生令牌�。在一實施例中,令牌包括來自驗證表602中的秘密問題�、對應(yīng)的答案和相關(guān)聯(lián)的口令。從驗證表602中選擇驗證信息可以是隨機的�,或者作為選擇,可以基于計算機系統(tǒng)102的當前已知口令和/或計算機系統(tǒng)102從指定區(qū)域退出的時間����。例如,如果計算機系統(tǒng)102的當前已知口令與表602中的關(guān)聯(lián)口令相同或相似�,對應(yīng)于關(guān)聯(lián)口令的秘密問題/答案將不包含在令牌中。
圖7是對計算機系統(tǒng)中的信息進行訪問保護的方法流程700的示意圖�。計算機系統(tǒng)具有一級驗證,該驗證是在計算機系統(tǒng)啟動時進行�。流程700開始于步驟702,包括檢測何時計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外����。在一實施例中,步驟702包括檢測何時計算機系統(tǒng)離開指定區(qū)域的出口�。例如�����,步驟702包括檢測計算機系統(tǒng)何時轉(zhuǎn)移出學校���、辦公樓、多建筑校園���、住宅��、醫(yī)院��、警察局�、消防局���、中心辦公區(qū)��、電廠或研究機構(gòu)�。步驟702可由中心監(jiān)視系統(tǒng)來執(zhí)行����。
步驟704包括當計算機系統(tǒng)向指定區(qū)域外轉(zhuǎn)移時�����,向計算機系統(tǒng)發(fā)送令牌。在一實施例中��,步驟704使用到計算機系統(tǒng)的單向通信來進行�����。作為另一選擇����,步驟704可以使用計算機訪問保護系統(tǒng)與計算機系統(tǒng)之間的雙向通信來進行。
與計算機系統(tǒng)的通信包括與集成在計算機系統(tǒng)中的RF通信部件進行通信��。在一實施例中�����,RF通信部件是集成在主板上LAN(LOM)網(wǎng)絡(luò)適配器中的���,而LOM網(wǎng)絡(luò)適配器是集成在計算機系統(tǒng)的主板上的���。這樣,無論計算機系統(tǒng)的電源模式(開機、關(guān)機����、待機或睡眠)如何,都可以與RF通信部件進行通信�����。RF通信部件可包括無線收發(fā)器��、無線接收器和/或全球定位系統(tǒng)(GPS)接收器���。
步驟706包括當隨后計算機系統(tǒng)在指定區(qū)域外啟動時觸發(fā)附加或二級驗證�����。在一實施例中��,附加或二級驗證是通過激活步驟704中與計算機系統(tǒng)傳送的令牌而觸發(fā)的��。
在步驟708���,由計算機系統(tǒng)的用戶執(zhí)行附加或二級驗證。
如果附加或二級驗證通過��,步驟710包括允許用戶訪問計算機系統(tǒng)的功能�����。這可以包括�����,例如�����,加載安裝在計算機系統(tǒng)上的操作系統(tǒng)�。
另一方面,如果用戶執(zhí)行附加或二級驗證失敗�,步驟712包括阻止對計算機系統(tǒng)的訪問。這可以包括�����,例如阻止訪問操作系統(tǒng)��、硬盤和與計算機系統(tǒng)相關(guān)聯(lián)的外部驅(qū)動器����。在某些訪問阻止機制下���,訪問阻止不能通過將計算機系統(tǒng)的硬盤轉(zhuǎn)移到另一個系統(tǒng)中來繞過。
對這些功能的解鎖可能需要將計算機系統(tǒng)帶回到指定區(qū)域內(nèi)�,將計算機系統(tǒng)接入(docking)到計算機訪問保護系統(tǒng)104和/或由信息技術(shù)(IT)人員執(zhí)行的其它復位步驟。
在另一實施例中�����,無論附加或二級驗證結(jié)果如何�����,令牌觸發(fā)對一些功能的限制性訪問���。當計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外時����,不管用戶執(zhí)行的附加或二級驗證是否通過���,都將阻止例如打印文件���、網(wǎng)絡(luò)接入或訪問外部驅(qū)動器功能。這樣可以防止當計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外時對計算機系統(tǒng)中包含的信息進行任何可能的分發(fā)���。
圖8是當計算機系統(tǒng)啟動后���,圖7所示方法激活的附加或二級驗證過程的流程800的示意圖��。附加或二級驗證是通過激活發(fā)送給計算機系統(tǒng)的令牌而觸發(fā)的。
過程800開始于步驟802��,包括提示用戶輸入與計算機系統(tǒng)的合法用戶相關(guān)聯(lián)的當前口令����,并接收用戶的輸入。
步驟804包括驗證用戶的輸入與當前口令是否一致�。
如果步驟804中的驗證失敗,過程800返回到步驟802允許用戶二次嘗試輸入當前口令�。
如果步驟804中的驗證通過,過程800進入步驟806���,其中包括提示用戶輸入對應(yīng)于包含在令牌中的秘密問題的答案����,并接收用戶的輸入��。
步驟808包括使用同樣包含在令牌中的相應(yīng)答案來驗證用戶輸入的針對該秘密問題的答案�。
如果步驟808中的驗證失敗���,過程800返回到步驟806,允許用戶二次嘗試輸入針對該秘密問題的答案���。
如果步驟808中的驗證通過���,過程800進入步驟810,其中包括提示用戶輸入與秘密問題及相應(yīng)答案相關(guān)聯(lián)的口令�����,并接收用戶的輸入����。
步驟812包括驗證用戶的輸入與關(guān)聯(lián)口令是否一致。
如果步驟812中的驗證失敗����,過程800返回到步驟810,允許用戶二次嘗試輸入該關(guān)聯(lián)口令����。
如果步驟812中的驗證通過,過程800進入步驟814���,其中包括允許用戶訪問計算機系統(tǒng)的功能��。
在過程800中����,如果步驟804、808和/或812中任一步驟中的驗證連續(xù)失敗一定的次數(shù)(例如三次)���,則附加或二級驗證過程失敗,并將發(fā)生功能鎖閉���。計算機系統(tǒng)的重啟將使過程800在步驟802開始重啟����。
實施本發(fā)明的示例性計算機 在本發(fā)明的一實施例中��,本文中描述的本發(fā)明的系統(tǒng)和部件可以使用已知的計算機來實現(xiàn)���,例如使用圖9中所示的計算機902來實現(xiàn)�。
計算機系統(tǒng)902可以是能夠執(zhí)行本文所描述功能的市場有售和/或業(yè)內(nèi)熟知的任意計算機����,例如IBM���、Apple、Sun��、HP���、Dell�����、Compaq�、Digital�、Cray等公司出品的計算機。計算機902可以是膝上型計算機����。
計算機902包括一個或多個處理器(亦稱為中央處理單元,或CPU)�����,如處理器906����。處理器906與通信總線904相連�����。
計算機902還包括一個主存儲器908�����,如隨機存取存儲器(RAM)�����。主存儲器908中存儲有控制邏輯928A(計算機軟件)和數(shù)據(jù)�。
計算機902還包括一個或多個輔存儲裝置910�。輔存儲裝置910包括例如硬盤驅(qū)動器912和/或移動存儲裝置或驅(qū)動器914����,以及其它類型的存儲裝置諸如存儲卡和存儲棒。移動存儲驅(qū)動器914代表軟盤驅(qū)動器��、磁帶驅(qū)動器�����、小型(compact)磁盤驅(qū)動器�����、光存儲裝置、磁帶備份等���。
移動存儲驅(qū)動器914與移動存儲單元916相互結(jié)合�。移動存儲單元916包括其上存儲有計算機軟件928B(控制邏輯)和/或數(shù)據(jù)的計算機可用或可讀存儲媒介924A�����。移動存儲單元916代表軟盤����、磁帶、小型磁盤���、DVD���、光盤或任意其它計算機數(shù)據(jù)存儲裝置。移動存儲驅(qū)動器914以已知方式從和/或向移動存儲單元916讀取和/或?qū)懭搿?br>
計算機902還包括輸入/輸出/顯示裝置922��,諸如監(jiān)視器��、鍵盤、指針設(shè)備(pointing device)等�����。
計算機902進一步包括通信或網(wǎng)絡(luò)接口918�。網(wǎng)絡(luò)接口918使計算機902能夠與遠程設(shè)備通信。例如網(wǎng)絡(luò)接口918允許計算機902通過通信網(wǎng)絡(luò)或媒介924B(代表計算機可用或可讀的媒介格式)諸如LAN����、WAN、互聯(lián)網(wǎng)等通信�。網(wǎng)絡(luò)接口918可通過有線或無線連接與遠程站點或網(wǎng)絡(luò)接口相連。
控制邏輯928C可通過通信媒介924B發(fā)送到計算機902或從計算機902發(fā)出�����。具體來說,計算機902通過通信媒介924B接收和發(fā)送由控制邏輯930調(diào)制的載波(電磁波信號)����。
包含計算機可用或可讀媒介(其上存儲有控制邏輯)的任何裝置或產(chǎn)品本文中將其稱為計算機程序產(chǎn)品或程序存儲裝置����。其包括,但不限于����,計算機902�、主存儲器908�、輔存儲器910、移動存儲單元916和由控制邏輯930調(diào)制的載波�。這樣的其上存儲有控制邏輯的計算機程序產(chǎn)品,當一個或多個數(shù)據(jù)處理裝置執(zhí)行其中的控制邏輯時�,將使該數(shù)據(jù)處理裝置按照所描述的本發(fā)明代表性實施例那樣操作。
除上述實施方式外�,本發(fā)明可采用軟件、硬件和/或操作系統(tǒng)工具來實施�。可以使用任何適于執(zhí)行本文中描述的功能的軟件��、軟件��、硬件和/或操作系統(tǒng)工具��。
結(jié)束語 本發(fā)明是通過一些實施例進行描述的�����,本領(lǐng)域技術(shù)人員知悉����,在不脫離本發(fā)明的精神和范圍的情況下�����,可以對這些特征和實施例進行各種改變或等效替換��。另外��,在本發(fā)明的教導下����,可以對這些特征和實施例進行修改以適應(yīng)具體的情況及材料而不會脫離本發(fā)明的精神和范圍��。因此�,本發(fā)明不受此處所公開的具體實施例的限制,所有落入本申請的權(quán)利要求范圍內(nèi)的實施例都屬于本發(fā)明的保護范圍����。
權(quán)利要求
1、一種具有一級驗證的計算機系統(tǒng)內(nèi)信息的訪問保護方法����,其特征在于,包括
檢測所述計算機系統(tǒng)何時轉(zhuǎn)移到指定區(qū)域外�����;及
當所述計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外后���,向所述計算機系統(tǒng)發(fā)送令牌�;
其中�,當所述計算機系統(tǒng)隨后在所述指定區(qū)域外啟動時,所述令牌觸發(fā)二級驗證�,且當所述二級驗證失敗時將導致所述計算機系統(tǒng)的功能鎖閉。
2���、根據(jù)權(quán)利要求1所述的方法��,其特征在于�,所述發(fā)送令牌的步驟包括與集成在所述計算機系統(tǒng)內(nèi)的射頻通信部件進行通信����。
3、根據(jù)權(quán)利要求2所述的方法��,其特征在于�����,所述RF通信部件集成在主板上LAN網(wǎng)絡(luò)適配器中�����,所述主板上LAN網(wǎng)絡(luò)適配器集成在所述計算機系統(tǒng)的主板上。
4���、根據(jù)權(quán)利要求2所述的方法����,其特征在于��,所述發(fā)送令牌的步驟包括與RF通信部件進行通信�����,不管通信時所述計算機的電源模式如何��。
5�����、根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述通信部件包括全球定位系統(tǒng)接收機�。
6、根據(jù)權(quán)利要求1所述的方法�����,其特征在于�,所述檢測步驟包括將所述計算機系統(tǒng)的全球定位坐標與所述指定區(qū)域的全球定位坐標范圍進行比較。
7��、一種用于對具有一級驗證的計算機系統(tǒng)內(nèi)信息的訪問進行保護的系統(tǒng)����,其特征在于,包括
用于檢測所述計算機系統(tǒng)何時轉(zhuǎn)移到指定區(qū)域外的中央監(jiān)視系統(tǒng)�;
用于存儲與所述計算機系統(tǒng)的合法用戶相關(guān)聯(lián)的驗證信息的數(shù)據(jù)庫;
用于當所述計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外后向所述計算機系統(tǒng)發(fā)送令牌的射頻通信系統(tǒng)�����;
其中���,所述令牌包含來自所述數(shù)據(jù)庫的驗證信息����,其用于當所述計算機系統(tǒng)隨后在所述指定區(qū)域外啟動時觸發(fā)二級驗證��。
8����、根據(jù)權(quán)利要求7所述的系統(tǒng)��,其特征在于�����,所述系統(tǒng)還包括
集成在主板上LAN網(wǎng)絡(luò)適配器中的射頻收發(fā)器����,所述主板上LAN網(wǎng)絡(luò)適配器集成在所述計算機系統(tǒng)的主板上�����。
9��、根據(jù)權(quán)利要求7所述的系統(tǒng)�����,其特征在于�����,所述系統(tǒng)還包括
集成在所述計算機系統(tǒng)內(nèi)的全球定位系統(tǒng)接收機,其中所述全球定位系統(tǒng)接收機用于產(chǎn)生所述計算機系統(tǒng)的位置坐標���,且當所述計算機系統(tǒng)在指定區(qū)域外時下載所述令牌���。
10、根據(jù)權(quán)利要求7所述的系統(tǒng)����,其特征在于�����,所述數(shù)據(jù)庫包含對應(yīng)于多個秘密問題的多個答案�,所述答案由所述計算機系統(tǒng)的合法用戶選擇并與所述用戶相關(guān)聯(lián)。
全文摘要
本發(fā)明涉及具有一級驗證的計算機系統(tǒng)內(nèi)信息的訪問保護方法和系統(tǒng)�����。本發(fā)明用于保護竊取和/或非法傳送的計算機系統(tǒng)上的信息免受未授權(quán)訪問�。本發(fā)明的技術(shù)方案包括當計算機系統(tǒng)轉(zhuǎn)移到指定區(qū)域外時,鎖閉計算機系統(tǒng)的功能�����。本發(fā)明的技術(shù)方案包括基于計算機系統(tǒng)所處的位置允許對計算機系統(tǒng)的功能進行限制性訪問。本發(fā)明的技術(shù)方案包括基于計算機系統(tǒng)所處的位置允許可變級別訪問保護����。
文檔編號H04L9/32GK101324911SQ200810099680
公開日2008年12月17日 申請日期2008年6月12日 優(yōu)先權(quán)日2007年6月12日
發(fā)明者阿什因·蒂阿加拉詹 申請人:美國博通公司