计算机系统保安措施.pdf

本发明涉及具有多级保安措施的计算机系统，具体说，是具有上电口令的那些计算机系统。
    1987年10月的IBM技术发明公报第30卷第5期的第57、58页发明了一种个人计算机保安系统。诸如IBM个人系统/2（IBM和个人系统/2-PS/2都是国际商用机器公司的商标）之类的个人计算机都提供有上电口令措施，以防止未经批准的人员使用计算机;在此情况下，未经批准的人员是指那些不知道上电口令的人员。在IBM  PS/2一类计算机中，上电口令被保存在非挥发性（电池供电）的CMOS随机存取存贮器（RAM）中。

    IBM  PS/2个人计算机提供的上电口令措施只限于单口令，并且一旦某人员取得该口令，他就可以使用计算机的全部设施。

    人们期望让计算机提供多个用户使用并规定使用计算机的设施的不同级别。龙其希望有这样一种计算机：在上电或者系统复位之系统引导的方法是在系统建立和装配阶段由系统管理人员或其它类似操作人员予先决定好的。词“boot”（引导、弹出）就是首次把程序装入计算机的存贮器。在可以从多种装置（比如软盘、硬盘等）“引导”的计算机系统中，系统一上电，一引导（有时也称“自举”-“bootstrap”）程序就被启动，以便从介质的保留区（可以在软盘、硬盘或远程设备上）装入操作系统，并在它地控制下，装入操作系统。该引导程序保存在系统的只读存贮器（ROM）内，并且在系统上电后可自动进入该程序，或者它可以被用户键入的上电口令所激活。

    先前的计算机系统中，使用计算机设备的口令在操作系统被装入后活化。未经批准的使用有可能在操作系统被装入之前用另一种引导程序来实现。一旦未批准的用户已成功地引导系统装入，所有的系统装置就很容易被滥用。

    为了说明现有技术所存在的问题，不妨考虑一下计算机系统管理人员为防止被计算机病毒等的感染所采取的防范措施。一般计算机都是通过机械开关锁或者上述上电/装置口令使它只限于单个用户使用。它不能限制已知道这种方法的任何用户使用机器，并且它可以用合适的软盘驱动器。大多数常见的计算机病毒源是从已被病毒感染的软盘引入的，这或者是故意的，或者是由于对软盘上用户的程序和数据的不适当隔离造成的。先前技术的多存取计算机系统被配置成试图从软盘驱动器（把适当的软盘插入）启动，或者，若不能从软盘的话，就尝试从其它存贮介质如硬盘或远程装置启动。显然，这种允许未经批准的用户存取已激活的软盘驱动器的方法会使用户把软盘上的病毒引入计算机;现行的只防止未准许的操作员使用机器的系统一旦机器已被启动，在操作系统口令保安系统还没工作之前就可能已被病毒感染。

    因此，本发明提供了具有贮存在非挥发存贮器内的上电口令的计算机系统，这里，系统管理人员键入上电口令可以使用全部计算机功能，因而允许系统管理人员去配置该系统，其特征是其非挥发存贮器内保存有至少一个附加口令，用户键入该附加口令就允许系统按系统管理人员予先选定的方式引导启动。

    计算机系统可以是独立使用的个人计算机或工作站，或者通过某种网连接的其它计算机或工作站以及/或者主机或者微机。

    适合于使用多重附加口令，尤其是至少提供两类附加口令，每一类附加口令提供一种不同的使用计算机系统的保密等级。

    最好用这些不同的使用等级的至少一种禁止任何输入设备从软盘、磁带和类似存贮介质上装入或卸下程序或数据，从而防止用户把数据复制到系统或者从系统中复制。

    在本发明的一优选实施例中，上电口令和附加口令作为键盘扫描码贮存在非挥发CMOS  RAM，比如电池供电的CMOS  RAM中。这些口令最好是带检查和字符的长度为七个字符的串。

    特别适合采用本发明的计算机系统是个人计算机，比如带一个软盘驱动器和一个硬盘的IBM个人系统/2（PS/2）中的型号50、55、70、或80。

    本发明的计算机系统的最佳安排是用附加口令来禁止软盘驱动器或者其它装置的引导能力。用于这种系统的附加口令可以贮存在非挥发RAM或者硬盘的一个扇区内，所选的该扇区应是硬盘上用户正常使用对不存放数据的扇区。

    作为对计算机系统的另一个特别有用的保密特性，若某用户作了三次尝试都未能键入正确的口令，系统就把电源关闭，只有用户把电源再打开后，才能再作键入口令的尝试。

    本发明的另一个体现是它提供了一种配置计算机系统、使之只能按知道上电口令的系统管理人员予先选定的方式启动该系统的方法，该上电口令可使系统管理人员使用所有的系统功能来对系统进行组态并安装规定的适当的附加口令。

    执行本发明的一种方法，将结合描述本发明优选实施例的附图在下面说明。

    图1是可使用本发明的一种数据处理系统的原理框图。

    图2是具有单附加口令的本发明实施例中的处理操作的逻辑图。

    图3是用有二类附加口令，每一类附加口令提供了一个对系统使用的不同等级的本发明实施例中，其系统逻辑操作的

    图1是可用以实现本发明的比如IBM个人系统/2的典型硬件设置。该数据处理系统包括微处理器1，它可以是比如Intel80386或类似的微处理器;它接到由一组数据线、一组地址线和一组控制线组成的系统总线2。该总线还通过适配器10到16分别与多个I/O设备相接，它们包括用户输入装置（比如键盘3），显示器、打印机5、随机存取存贮器6、只读存贮器7、存贮介质（比如软盘驱动器8和硬盘9）。

    操作系统，比如IBM  PC  DOS或操作系统/2（操作系统/2是国际商用机器公司IBM商标）可以从存贮介质8、9装入存贮器6，它为微处理器1提供所执行的指令。操作系统的装入操作由贮存在ROM中的引导程序来激活。操作系统可以从硬盘9或插入软盘驱动器8的软件装入。通常系统首先检查软盘驱动器内是否有适当的软盘，若有，就从该软盘装入;若没有，系统就尝试从硬盘驱动器或远程装置中装入。

    此后装入系统的应用程序将会同操作系统运行，从而使数据处理系统完成应用程序的任务。

    在IBM个人系统/2等计算机中，上电口令贮存在非挥发的（电池供电的）CMOS  RAM中，它占用8个存贮位置以存放口令和检查和字符。在上电自测（“post”）阶段，微处理器只能存取这八个字节。一旦口令被安装并且POST已完成。该口令字节就被一硬件锁闩锁存锁住，此后，微处理器就不可能存取该口令字节。安复位该硬件锁闩，就必须切断系统电源，然后再加电。该上电口令只有系统管理人员或类似的控制人员知道，此外，这些人还可通过常见的能打开或关闭系统部件盖的键锁而能接触系统的内部物理结构和内部元件。

    个人计算机一通电，处理器就执行正常的POST检查，包括扫描可用的只读存贮器和随机存取存贮器。

    现参图2的流图，在POST  20的出口，系统在21处检查保密跳线（硬布线开关或断路器触点）是否接通，并且如果它闭合，系统就在22检查非挥发CMOS  RAM的功能是否正确。若该非挥发的CMOS  RAM功能不正常，比如由于对其供电的电池电力不足，计算机就在23处显示错误信息并阻止用户再输入。

    若CMOS  RAM功能正常，微处理器就在24检查是不是先前已在CMOS  RAM中安装了上电口令。

    在CMOS  RAM中存在主上电口令引起在25处由系统读存贮介质9（图1）的一个扇区，在此情况下，它是硬盘，其中存贮在附加口令。作为附加保安特点，所贮存的附加口令是以隐蔽形式由所安装的主上电口令包含的值通过算法来产生的。系统编程可保证与上电口令同样的附加口令不能安装。

    此外，在步骤26，计算机显示一个提示，让用户输入（附加）口令;用户可能想改变口令的当前的组合并输入所要的口令。对用户键入系统的该附加口令，系统将在27对其检查，以确定字符序列是否可接受。口令的隐蔽及不隐蔽步骤按传统方式执行。

    假如没有POST错误28（它应在用户使用计算机之前被排除），处理器就在29尝试从予先选定的系统存贮介质上引导启动;这种存贮介质可以包括硬盘9（图1）的全部或者部分，或者是由用户插入软盘驱动器8（图1）的软盘。倘若在30处引导启动成功，则由系统管理人员予先选定的系统功能的控制权就在31移交给用户。若由于某种原因引导没有成功，就在29的操作处重复。

    附加的保安特性示于流程图的32。若用户在27处输入了不正确的口令，系统允许作进一步的尝试;但在32处只允许总共3次不正确的尝试;若第三次尝试键入的口令在32处发觉也不对，系统就在33处显示出错信息就阻止用户再输入，直到系统被关掉并再打开为止。

    可以看出，图2的流程图中，若不用上电口令（保密跳线在21处是断开的），或者在24处没有安装上电口令，系统是不保密的，则系统可以不键入口令的方式来引导启动。当然，在系统管理人员重新设置系统并安装上电口令前，系统将一直处于这种状态。

    现参看图3的流程图，它描述了具有两类附加口令的本发明实施例，每一类这种附加口令提供了不同的使用系统的等级。

    最初的步骤（20到24）与图2的流程图一致。

    系统在35（图2）读硬盘的口令扇区，并用主上电口令为关键字显露出保密等级A和保密等级B的口令。在36显示口令提示符并且口令（或者A级或者B级）由操作人员正确输入的话并在37被接受，则程序向满意的引导方向进行。系统编程保证当安装了多重口令时，这些口令的字符序列不允许重复。

    步骤38和39键入口令的尝试次数限定为3。

    POST错误在40及41处处理。

    系统在42处检查用户键入的是A级保密或B级保密口令。A级用户保密口令引导系统在43处尝试从插入软盘驱动器的软盘上进行初始引导装入，而B级用户保密口令使系统在45处从硬盘进行初始引导装入。43或45处引导装入的成功可使系统把系统管理人员所选择的系统功能的控制权移交给用户。显然，B级密码口令的持有者比A级保密口令的持有者的范围更小，比如，B级保密口令应当给用户可保证用户不会把软盘上的病毒传染给系统。

    若系统在44从软盘上引导装入没成功，就在45尝试从硬盘引导装入，从而允许A级保密口令持有者可使用系统管理人员予先选定的某些而不是全部系统功能。若从硬盘的引导装入不成功，系统就返回到42。

    我们已了解了上电后，该具体实施中系统操作的过程;系统复位后的系统操作可以与此类似，或者最好是被阻塞以防止系统复位。（个人计算机的系统复位是由同时按下键盘上的Ctrl，Alt和Del键来实现的）。

    尽管已说明了本发明的特定例子，但应明白在本发明的范围内可能作些修改和添加。

    本发明的主要范围是：

    一种把上电口令贮存在非挥发存贮器中的计算机系统，输入该上电口令可使系统管理人员使用全部计算机功能，其特征是其非挥发存贮器中至少保有一个附加口令，而键入该附加口令可使用户以系统管理人员予先选定的方式引导系统的操作系统装入。

    其特征是具有多个可用的附加口令。

    其特征是至少提供有两类附加口令，这些附加口令的每一类提供了使用系统的不同级别。

    其特征是这些不同的使用级别中至少有一种可以禁止所有输入装置的初始引导装入功能，而允许从可移动存贮介质，比例软盘，装入程序或数据。

    其特征是其口令是贮存在非挥发RAM内。

    其特征是其附加口令是以隐蔽的形式利用包括在其上电口令中的值来贮存的。

    其特征是它具有软盘驱动器的硬盘。

    其特征是其附加口令贮存在其硬盘的一个扇区内。

    其特征是用户输入该附加口令可以禁止软盘驱动器的初始引导装入功能。

    其特征是用户三次尝试检入正确口令的失败，使系统请求断电并再加电后才允许用户再做输入口令的进一步尝试。