[go: up one dir, main page]

DE69326089T2 - Personalcomputersystem mit Sicherheitseigenschaften und -verfahren - Google Patents

Personalcomputersystem mit Sicherheitseigenschaften und -verfahren

Info

Publication number
DE69326089T2
DE69326089T2 DE69326089T DE69326089T DE69326089T2 DE 69326089 T2 DE69326089 T2 DE 69326089T2 DE 69326089 T DE69326089 T DE 69326089T DE 69326089 T DE69326089 T DE 69326089T DE 69326089 T2 DE69326089 T2 DE 69326089T2
Authority
DE
Germany
Prior art keywords
password
access
personal computer
erasable
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69326089T
Other languages
English (en)
Other versions
DE69326089D1 (de
Inventor
Palmer Eugene Newman
Dave Lee Randall
Joanna Berger Yoder
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=25283688&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE69326089(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE69326089D1 publication Critical patent/DE69326089D1/de
Application granted granted Critical
Publication of DE69326089T2 publication Critical patent/DE69326089T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/009Trust
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Description

    Technisches Gebiet
  • Die vorliegende Erfindung betrifft Personalcomputersysteme und genauer gesagt, ein solches System mit Sicherheitseigenschaften, die die Steuerung des Zugriffs auf in einem solchen System gespeicherte Daten freigeben.
    • Hintergrund der Erfindung
  • Personalcomputersysteme im allgemeinen und IBM-Personalcomputer in besonderen haben weitverbreitete Anwendung gefunden, um viele Segmente der heutigen modernen Gesellschaft mit Rechnerleistung zu versehen. Personalcomputersysteme können üblicherweise als Desktop, Bodenstandgeräte oder tragbare Mikrocomputer definiert werden, die aus einer Systemeinheit mit einem einzigen Systemprozessor und einem zugeordneten flüchtigen und nichtflüchtigen Speicher, einem Anzeigemonitor, einer Tastatur, einem oder mehreren Diskettenlaufwerken, einem Festplattenspeicher und wahlweise einem Drucker bestehen. Eines der unterschiedlichen Merkmale dieser Systeme ist die Anwendung einer Hauptplatine (Motherboard.) oder einer Systemplatine, um diese elektrischen Komponenten zusammenzuschalten. Diese Systeme sind in erster Linie konstruiert, um einem Einzelanwender unabhängige Rechnerleistung zu verschaffen, und sind preislich nicht aufwendig, damit Einzelkäufer oder Kleinbetriebe sich solche Geräte leisten können. Bei spiele für solche Personalcomputersysteme sind der PERSONAL COMPUTER AT und das PERSONAL SYSTEM/2, Modelle 25, 30, 35, 40, L40SX, 50, 55, 57, 65, 70, 80, 90 und 95, von IBM.
  • Diese Systeme lassen sich allgemein in zwei Familien einordnen. Die erste Familie, üblicherweise bezeichnet als Family I Modelle, benutzt eine Busarchitektur, z. B. die IBM PERSONAL COMPUTER AT und weitere "IBM-kompatible" Maschinen. Die zweite Familie, genannt Family II Modelle, benutzt die MICRO CHANNEL Bus Architektur von IBM, beispielsweise die PERSONAL SYSTEM/2 Modelle 50 bis 95 von IBM. Frühe Family I Modelle benutzten in der Regel den weitverbreiteten INTEL Mikroprozessor 8088 oder 8086 als Systemprozessor. Bestimmte spätere Family I Modelle und die Family II Modelle benutzen die Hochgeschwindigkeits-INTEL-Mikroprozessoren 80286, 80386 und 80486, die im Echtzeit-Modus arbeiten können, um den langsameren INTEL-Mikroprozessor 8086 zu emulgieren, oder einen Geschützt-Modus, der für einige Modelle den Adressierbereich von 1 Megabyte auf 4 Gigabyte erhöht. Im wesentlichen sieht das Echtzeitmerkmal der Prozessoren 80286, 80386 und 80486 die Hardwarekompatibilität mit Software vor, die für die Mikroprozessoren 8086 und 8088 geschrieben wurde.
  • Mit dem phänomenalen Anstieg und Einsatz von Personalcomputern auf der ganzen Welt in den letzten Jahren werden immer mehr Daten oder Informationen gesammelt und in solchen Systemen aufbewahrt oder gespeichert. Eine Menge solcher Daten sind von Natur aus empfindlich. In falschen Händen könnten Daten Einzelpersonen in Verlegenheit bringen, eine Firma könnte ihre Konkurrenzfähigkeit verlieren oder sensible Daten könnten benutzt werden, um Schweigegeld zu erpressen, oder zu physischer Gewalt gegen Personen führen. Mit der immer mehr steigenden Erkenntnis der empfindlichen Natur der Daten und deren Wert durch die Anwender steigt auch das Bedürfnis, sich gegen solchen Mißbrauch zu schützen. Um sich selbst und die von den gespeicherten Daten betroffenen Personen zu schützen, benötigen die Anwender den Einbau von Sicherheits- und Integritätsmerkmalen in die Personalcomputer, die sie kaufen. Anwender sind nicht die einzigen, die die Empfindlichkeit der gesammelten und gespeicherten Daten erkennen. Regierungen erlassen Gesetze, um den Schutz empfindlicher Daten zu erzwingen. Eine dieser Regierungen ist die der Vereinigten Staaten. Sie hat die Bedeutung der Situation erkannt und darauf reagiert. Die Bundesregierung der Vereinigten Staaten hat Sicherheitsstufen und die zu deren Erreichung einzuhaltenden Voraussetzungen definiert, und stellt eine Zertifikationsstelle für die Hersteller von Personalcomputern vor, der die Hersteller ihre Personalcomputer vorlegen müssen, um zu sehen, ob die Systeme der vom Hersteller behaupteten Sicherheitsstufe entsprechen. Die Quelle für die Forderungen der Bundesregierung ist das Trusted Computer System Evaluation Criteria, DOD 5200.28 STD, 12/85 des Verteidigungsministeriums, im allgemeinen als Orangebuch bezeichnet. Die Regierung hat ein Gesetz erlassen, daß ab 1. Januar 1992 alle die Regierung betreffenden Daten nur in Personalcomputern bearbeitet und gespeichert werden dürfen, die einer Mindestsicherheitsstufe C-2 genügen. Bezüglich der Computersystemhardware ist das Wesentliche dieser Forderungen im Versicherungsabschnitt Stufe 6 festgelegt: "vertrauenswürdige Mechanismen müssen kontinuierlich gegen unerlaubte Eingriffe und/oder nicht genehmigte Änderungen geschützt werden..."
  • Angefangen bei den frühesten Personalcomputersystemen der Family I Modelle, wie dem IBM Personalcomputer, wurde erkannt, daß Softwarekompatibilität von höchster Bedeutung war. Um dieses Ziel zu erreichen, wurde eine Isolierschicht aus im System residenten Codes, auch als "Firmware" bekannt, zwischen die Hardware und die Software gelegt. Die Firmware wirkte als Betriebsschnittstelle zwischen dem Anwendungsprogramm/Betriebssystem eines Anwenders und der Vorrichtung, um dem Anwender die Sorge um die Charakteristiken der Hardwarevorrichtungen zu nehmen. Schließlich entwickelte sich der Code zu einem Basic-Input/Output-System (BIOS), damit es möglich wurde, neue Vorrichtungen an das System anzukoppeln und dabei das Anwendungsprogramm gegen die Eigenheiten der Hardware zu isolieren. Die Bedeutung des BIOS war sofort ersichtlich, weil es den Vorrichtungstreiber davon befreite, von bestimmten Hardwaremerkmalen abhängig zu werden, während der Vorrichtungstreiber mit einer direkten Schnittstelle zur Vorrichtung ausgerüstet wurde. Da das BIOS ein integrierender Teil des Systems war und die Datenbewegung in und aus dem Systemprozessor steuerte, war es in der Systemplatine selbst resident und wurde dem Anwender in einem Festwertspeicher (ROM) geliefert. Zum Beispiel besetzte das BIOS im ursprünglichen IBM Personalcomputer 8K ROM resident in der Planarleiterplatte.
  • Mit der Einführung neuer Modelle der Personalcomputerfamilie mußte das BIOS laufend aktualisiert werden und vergrößerte sich ständig, um neue Hardware und E/A-Vorrichtungen aufzunehmen. Wie zu erwarten war, wurde der benötigte Speicherplatz immer größer. Zum Beispiel wuchs mit der Einführung der IBM PERSONAL COMPUTER AT das BIOS schließlich auf 32 KBytes ROM an.
  • Heute, mit der Entwicklung einer neuen Technologie, werden die Personalcomputersysteme der Family II Modelle immer komplizierter und stehen den Anwendern immer häufiger zur Verfügung. Da sich die Technologie laufend ändert und den Personalcomputersystemen neue E/A-Vorrichtungen zugefügt werden, wurde die Modifizierung des BIOS ein signifikantes Problem im Entwicklungszyklus des Personalcomputersystems.
  • So wurde z. B. mit der Einführung des IBM Personalcomputer- Systems/2 mit Micro-Channel-Architektur ein signifikantes neues BIOS, bekannt als Advanced BIOS, d. i. ABIOS, entwickelt, jedoch, um die Softwarekompatibilität zu wahren, mußte das BIOS der Family I Modelle in die Family II Modelle aufgenommen werden. Das Family I BIOS wurde bekannt als Kompatibilitäts-BIOS, d. i. CBIOS. Wie aber schon oben im Hinblick auf den IBM PERSONAL COMPUTER AT erklärt, waren auf der Planarleiterplatte nur 32 KBytes ROM resident. Glücklicherweise konnte das System auf 96 KBytes ROM erweitert werden. Leider stellte sich heraus, daß aufgrund von Systemzwängen das die maximale Kapazität war, die für das BIOS verfügbar war. Glücklicherweise konnte auch mit Zusatz des ABIOS, das ABIOS und das CBIOS in die 96 K ROM gequetscht werden. Jedoch blieb nur mehr ein kleiner Prozentsatz des 96K-ROM frei für Erweiterung. Es wird angenommen, daß mit weiterem Zusatz künftiger E/A-Vorrichtungen das CBIOS und ABIOS schließlich keinen ROM-Platz mehr finden würden. So wird es nicht mehr leicht sein, eine neue E/A-Technologie in das CBIOS und ABIOS aufzunehmen.
  • Wegen dieser Probleme plus dem Wunsch, Modifikationen im BIOS der Family II möglichst spät im Entwicklungszyklus anzubringen, wurde es erforderlich, Teile des BIOS aus der ROM herunterzuladen. Das wurde erreicht durch Speichern von Teilen des BIOS auf einer Massenspeichervorrichtung, wie z. B. einer Festplatte, vorzugsweise in einem definierten Teil dieser Platte, der als Systempartition bekannt ist. Da eine Platte sowohl Schreib- als auch Lesefähigkeiten aufweist, wurde es praktisch, den aktuellen BIOS-Code auf der Platte zu verändern. Zwar lieferte die Platte eine schnelle und wirksame Weise zum Abspeichern des BIOS-Code, jedoch führte das auch zu einer stark erhöhten Wahrscheinlichkeit, den BIOS- Code zu verfälschen. Da nun das BIOS ein integraler Teil des Betriebssystems ist, könnte ein verfälschtes BIOS zu verheerenden Folgen führen und in vielen Fällen sogar zum Totalabsturz und zur Betriebsunfähigkeit des Systems. Somit wurde es offenbar, daß ein Mittel zum Verhindern ungenehmigter Veränderungen des BIOS-Code auf der Festplatte hocherwünscht war. Das war der Gegenstand der US-Patentanmeldung Nr. 07/398,820, eingereicht am 25.08.1989 und jetzt US-Patent 5,024077, erteilt am 4. Juni 1991. Der interessierte Leser wird zwecks zusätzlicher Informationen, die vielleicht hilfreich für das Verständnis der hier geoffenbarten Erfindung sind, auf dieses Patent verwiesen, und die Offenbarung dieses Patents wird hier durch Querverweis in die Beschreibung mit aufgenommen, soweit diese Kenntnisse zum vollen Verständnis der hier geoffenbarten Erfindungsaspekte erforderlich sind.
  • Mit der Einführung des PS/2 Micro Channel Systems der IBM kam das Abbauen der Schalter und Überbrückungsdrähte (Jumper) von den E/A-Adapterkarten und der Systemplatine. Als Ersatz sah die Micro Channel Architektur programmierbare Register vor. Jetzt waren Dienstprogramme zum Konfigurieren dieser programmierbaren Register d. i. Programmable Option Select (POS) Register gefordert. Diese und weitere Dienstprogramme zur Verbesserung der System-Einsatzfähigkeitsmerkmale zusammen mit Systemdiagnose wurden mit jedem System auf einer Systemreferenzdiskette geliefert.
  • Vor der ersten Anwendung fordert jedes Micro Channel System, daß seine POS-Register initialisiert werden. Wenn z. B. das System mit einer neuen E/A-Karte oder einer Schlitzänderung für eine E/A-Karte gebootet wird, tritt ein Konfigurationsfehler auf und das System-Bootverfahren bleibt hängen. Dann wird der Anwender aufgefordert, die Systemreferenzdiskette zu laden und die Taste F1 zu drücken. Dann kann ein "Set Configuration Utility" (Konfigurations-Einstell-Dienstprogramm) von der Systemreferenzdiskette geladen werden, um das System zu konfigurieren. Das Set Configuration Utility führt den Anwender zur gewünschten Aktion. Wenn die richtigen E/A-Karten- Deskriptordateien von der Systemreferenzdiskette geladen sind, generiert das Set Configuration Utility das richtige POS d. i. die richtigen Konfigurationsdaten in einem nichtflüchtigen Speicher. Die Deskriptor-Datei enthält die Konfigurationsinformationen, um die Karte über Schnittstelle an das System anzuschließen.
  • EP-432333-A beschreibt ein Rechnersystem mit einem in einem nichtflüchtigen Speicher gespeicherten Einschalt-Paßwort, in dem die Eingabe des Einschalt-Paßworts durch einen Systemmanager den Zugriff auf alle Rechnerfunktionen freigibt; das System hat auch eine Möglichkeit für mindestens ein zusätzliches Paßwort, das ebenfalls in einem nichtflüchtigen Speicher gespeichert ist, wobei es die Eingabe des zusätzlichen Paßworts durch einen Anwender dem System ermöglicht, das System in der vom Systemmanager vorgewählten Weise zu booten.
    • Kurze Beschreibung der Erfindung
  • Unter Berücksichtigung der obigen Ausführungen sieht die vorliegende Erfindung ein System und ein Verfahren gemäß Beschreibung in den beiliegenden Ansprüchen vor. So kann ein Personalcomputer Mittel zur Einschränkung des Zugriffs auf bestimmte kritische Daten auf nur diejenigen Anwender beinhalten, die eine besondere Berechtigung zum Zugriff auf solche Daten haben, durch Vorsehen eines spezialisierten Speicherelements zum Aufnehmen und Speichern eines 'Privileged Access Password' (nachstehend verschiedentlich PAP genannt) und zum Koordinieren des Zugriffs auf verschiedene Funktionen und Daten zur Aktivierung und Benutzung des PAP.
  • In Anwender kann die Wahl haben, die zur Verfügung gestellten Sicherheitsvorkehrungen zu aktivieren oder zu deaktivieren, so daß das System unterschiedlichen Bedürfnissen oder Wünschen zum Sichern der Anwendung des Systems angepaßt werden kann. Ein solches System kann an die Sicherheitsanforderungen regierungsamtlicher Standards angepaßt werden, falls gewünscht, und kann doch in einer im wesentlichen ungesicherten Weise eingesetzt werden, falls die Umstände das zulassen. Die Anwender solcher Systeme haben somit eine große Flexibilität bei der Anwendung dieser Systeme.
    • Kurze Beschreibung der Zeichnungen
  • Einige der Aufgaben der Erfindung wurden bereits angegeben, andere Aufgaben werden im Laufe der weiteren Beschreibung anhand der begleitenden Zeichnungen ersichtlich; in diesen:
  • Fig. 1 ist eine perspektivische Ansicht eines Personalcomputers als Ausführungsform der vorliegenden Erfindung;
  • Fig. 2 ist eine auseinandergezogene perspektivische Ansicht bestimmter Elemente des Personalcomputers in Fig. 1 einschließlich eines Chassis, einer Abdeckung und einer Systemplatine, und der Illustration bestimmter Beziehungen zwischen diesen Elementen;
  • Fig. 3 ist eine Schemazeichnung bestimmter Komponenten des Personalcomputers in den Fig. 1 und 2;
  • Fig. 4 und 5 sind Blockschaltbilder verschiedener Komponenten des Personalcomputers der Fig. 1 und 2, die mit den Sicherheitsmerkmalen der vorliegenden Erfindung im Zusammenhang stehen;
  • Fig. 6 ist eine vergrößerte perspektivische Ansicht bestimmter Komponenten, die in den Fig. 4 und 5 illustriert sind;
  • Fig. 7 ist eine Ansicht, ähnlich der Fig. 6, bestimmter optionaler Komponenten des Personalcomputers der Fig. 1, 2, 4 und 5, die mit den Sicherheitsaspekten der vorliegenden Erfindung im Zusammenhang stehen; und
  • Fig. 8, 9a und 9b sind schematische Flußdiagramme bestimmter Funktionen, die mit den gemäß der vorliegenden Erfindung zur Verfügung stehenden Sicherheitsoptionen zu tun haben.
    • Detaillierte Beschreibung der Erfindung
  • Die vorliegende Erfindung wird nachstehend eingehender beschrieben unter Bezugnahme auf die begleitenden Zeichnungen, in denen eine bevorzugte Ausführungsform der vorliegenden Erfindung gezeigt wird, es ist jedoch zu Beginn der nachstehenden Beschreibung darauf hinzuweisen, daß der Fachmann die hier beschriebene Erfindung modifizieren kann, ohne vom Umfang und Wesensart der vorliegenden Erfindung abzuweichen. Dementsprechend muß die nachstehende Erklärung als breite, lehrende Offenbarung, gerichtet an die entsprechenden Fachleute, verstanden werden und gilt keinesfalls als Einschränkung der vorliegenden Erfindung.
  • Hier nachstehend können bestimmte definierte Termini verwendet werden wie folgt:
  • TRUSTED COMPUTING BASE (TCB): Die Gesamtheit der Schutzmechanismen in einem Rechnersystem - einschließlich Hardware, Firmware und Software - deren Kombination verantwortlich für die Durchsetzung einer Sicherheitspolitik ist. Eine TCB besteht aus einer oder mehreren Komponenten, die zusammen eine vereinheitlichte Sicherheitspolitik über ein Produkt oder ein System durchsetzen können. Die Fähigkeit eines TCB zur richtigen Durchsetzung einer Sicherheitspolitik hängt allein von dem Mechanismus innerhalb der TCB und von der korrekten Eingabe der Parameter (z. B. der Ermächtigung eines Anwenders) in Bezug auf die Sicherheitspolitik ab.
  • TRUSTED SOFTWARE: Der Softwareteil einer Trusted Computing Base.
  • REFERENCE MONITOR CONCEPT: Ein Zugriffssteuerungskonzept, das sich auf eine abstrakte Maschine bezieht, die alle Zugriffe auf Objekte nach Themen vermittelt.
  • SECURITY KERNEL: Die Hardware-, Firmware- und Softwareelemente einer Trusted Computing Base, die das Referenzüberwachungskonzept implementiert. Er muß alle Zugriffe vermitteln, muß änderungsgeschützt und auf Korrektheit überprüfbar sein.
  • TRUSTED COMPUTER SYSTEM: Ein System, das genügend Hardware- und Software-Integritätsmaßnahmen aufweist, um seine Anwendung zur gleichzeitigen Verarbeitung einer Reihe empfindlicher oder geheimer Informationen zuzulassen.
  • SYSTEM OWNER: Der System Owner (System-Eigner) ist der Anwender, der verantwortlich dafür ist, daß ein System so konfiguriert wird, daß es von Anfang an in den Sicherheitsmodus gesetzt wird. Der System-Eigner steuert die Konfiguration sowohl von Anfang an als auch wenn immer ein Update gemacht werden muß. Diese Person kontrolliert das Privileged Access Password und ist verantwortlich dafür, daß seine Integrität gewahrt bleibt. Der System-Eigner muß auch für die physikalische Sicherheit des eingriffssicheren Abdeckungssperrschlüssels sorgen. Der System-Eigner muß ferner alle versuchten Sicherheitsverletzungen aufzeichnen. Der System-Eigner kann mehr als ein System besitzen. Der System-Eigner gilt als berechtigter Nutzer und kann auch als normaler Nutzer auftreten.
  • SECURE MODE: Wenn ein System-Eigner das Privileged Access Password erfolgreich auf einem Personalcomputersystem installiert hat, um den von den Sicherheits- und Integritätselementen vorgesehenen Sicherheitsschutz aufzurufen.
  • AUTHORIZED USER: Jeder Anwender, der die Ermächtigung hat, das Privileged Access Password zu benutzen. Diese Person kann der System-Eigner sein oder auch nicht. Diese Person kann auch einen Schlüssel für ein bestimmtes System oder einen Systemsatz haben. Wenn diese Personen mit der Wiederherstellung nach einer Sicherheitsverletzung befaßt sind, müssen sie eine Meldung an den System-Eigner machen. Ein berechtigter Anwender kann auch ein normaler Anwender sein.
  • NORMAL USER: Jeder Anwender des Systems, der zum Benutzen der Systemanlagen berechtigt ist. Um eine Systemkonfiguration zu ändern oder ein auftretendes Problem zu lösen fordert dieser Anwender die Hilfe des System-Eigners oder eines berechtigten Anwenders an. Der normale Anwender hat kein Privileged Access Password oder den Abdeckungsschlüssel, wenn er nicht zur Kategorie der berechtigten Anwender oder der System-Eigner gehört.
  • UNAUTHORIZED USER: Jeder, der nicht als System-Eigner, berechtigter Anwender oder normaler Anwender definiert ist. Jede Benutzung eines gesicherten Personalcomputersystems durch einen unberechtigten Anwender gilt als Sicherheitsverletzung, sofern es sich nicht nur um ein erfolgloses Einschalten handelt, und es muß einen Rückverfolgungspfad geben, der solche Sicherheitsverletzungen aufzeichnet.
  • EEPROM: Electrically Erasable Programmable Read Only Memory (elektrisch löschbarer Festwertspeicher). Diese Speichertechnik sieht eine nichtflüchtige Datenspeicherung vor, die unter der Steuerung der Hardwarelogik verändert werden kann. Der Speicherinhalt geht nicht verloren, wenn der Strom abgeschaltet wird. Der Inhalt läßt sich nur dann verändern, wenn geeignete Steuersignale im Modul in der vordefinierten Reihenfolge aktiviert werden.
  • PASSWORD DESCRIPTION: Das System ist so eingerichtet, daß es durch zwei Paßwörter geschützt wird: 1. Privileged Access Password (PAP) und 2. Power-on Password (POP). Diese Paßwörter werden unabhängig voneinander benutzt. Das PAP ist so aufgebaut, daß es den System-Eigner schützt, indem es die Vorrichtungs-Boot-Liste für das Initial Program Load (IPL - Erstmaliges Programmladen), den Zugriff auf das Paßwort- Dienstprogramm, und den Zugriff auf die Systemreferenzdiskette oder die System-Partition schützt. Die System-Partition wird nur dann als Reaktion auf einen POST-Fehler geladen, wenn kein PAP installiert ist oder das PAP anfänglich während der Einschaltsequenz eingegeben wird. Das Initial BIOS Load (IBL - BIOS-Urladen) von einer Diskette wird auf die gleicher Weise gesichert wie das Booten der Systemreferenzdiskette. Die Existenz des PAP ist für einen normalen Anwender, der das POP benutzt, durchsichtig. Das PAP wird installiert, verändert oder gelöscht durch ein Dienstprogramm auf der Systemreferenzdiskette oder in der System- Partition. Das PAP, wenn es richtig gesetzt und eingegeben wird, gibt dem Eigner den Zugriff zum ganzen System frei, und überschreibt das POP. Das POP, das wie bei allen derzeitigen PS/2-Systemen arbeitet, wird benutzt, um einen unberechtigten Zugriff auf das Betriebsystem, auf den DASD oder auf die Systemvorrichtungen zu verhindern.
  • Nehmen wir jetzt genauer auf die begleitenden Zeichnungen Bezug; dort wird ein Mikrocomputer gezeigt, der die vorliegende Erfindung implementiert hat, und der allgemein mit 10 (in Fig. 1) bezeichnet wird. Wie schon oben erwähnt, kann der Rechner 10 einen zugeordneten Monitor 11, eine Tastatur 12 und einen Drucker oder Plotter 14 haben. Der Rechner 10 hat eine Abdeckung 15, die mit einem Chassis 19 zusammenwirkt, um ein geschlossenes, abgeschirmtes Volumen zu definieren zur Aufnahme von elektrisch betriebenen Datenverarbeitungs- und -speicherkomponenten zur Verarbeitung und Speicherung digitaler Daten, wie in Fig. 2 gezeigt wird. In der in Fig. 2 illustrierten Form hat der Rechner 10 ferner eine optionale E/A-Kabelverbindungsabdeckung 16, die sich über die Kontakte zum Anschluß von E/A-Kabeln an das Rechnersystem erstreckt und diese schützt. Einige bestimmte Systemkomponenten sitzen auf einer Mehrschichten-Systemplatine 20 d. i. einem Motherboard, die auf dem Chassis 19 mon tiert ist und ein Mittel bildet, um die Komponenten des Rechners 10 einschließlich der oben definierten sowie auch sonstige zugeordnete Elemente, wie Floppydisk-Laufwerke, verschiedene Formen von Direktzugriffsspeicher-Vorrichtungen, Zusatzkarten oder -leiterplatten und dergleichen elektrisch zu verschalten.
  • Das Chassis 19 hat einen Sockel und eine Rückwand (Fig. 2, die außen auch von der Kabelanschlußabdeckung 16 überdeckt sein kann) und definiert mindestens einen offenen Einbaurahmen zur Aufnahme einer Datenspeichervorrichtung, wie z. B. eines Diskettenlaufwerks für magnetische oder optische Disketten, eines Sicherungsbandlaufwerks oder dergl. In der illustrierten Form ist ein oberer Einbaurahmen 22 so eingerichtet, daß er periphere Laufwerke einer ersten Größe (wie z. B. solche, die als 3.5 Zolldiskettenlaufwerke bekannt sind), aufnimmt. Ein Floppydisklaufwerk, eine ausbaubare Medien- Direktzugriffsspeichervorrichtung, die in der Lage ist, eine eingeschobene Diskette aufzunehmen und die Diskette zum Aufnehmen, Speichern und Ausgeben von Daten zu benutzen, wie allgemein bekannt ist, können in dem oberen Einbaurahmen 22 vorgesehen sein.
  • Bevor die obige Struktur in Beziehung zur vorliegenden Erfindung gesetzt wird, sollte vielleicht eine Übersicht über den allgemeinen Betrieb des Personalcomputersystems 10 gegeben werden. Nehmen wir jetzt Bezug auf Fig. 3. Hier wird ein Blockschaltbild eines Personalcomputersystems gezeigt, das die verschiedenen Komponenten des Rechnersystems, wie das erfindungsgemäße System 10 illustriert, einschließlich der auf die Systemplatine 20 montierten Komponenten, sowie der Anschluß der Systemplatine an die E/A-Schlitze und sonstige Hardware des Personalcomputersystems. Angeschlossen an die Systemplatine ist der Systemprozessor 32. Zwar kann jeder geeignete Mikroprozessor als CPU 32 verwendet werden, jedoch ist ein geeigneter Mikroprozessor z. B. der 80386, der bei INTEL erhältlich ist. Die CPU 32 ist über einen Hochgeschwindigkeits-CPU-Lokalbus 34 mit einer Busschnittstellen-Steuereinheit 35, einem flüchtigen Direktzugriffsspeicher (RAM) 36, hier gezeigt als Einreihige Speichermodule (Single Inline Memory Modules - SIMMs) und mit dem BIOS-ROM 38, in dem Anweisungen für die grundlegenden Eingangs/Ausgangs-Operationen an die CPU 32 enthalten sind, verbunden. Der BIOS-ROM 38 beinhaltet das BIOS, das als Schnittstelle zwischen den E/A- Vorrichtungen und dem Betriebssystem des Mikroprozessors benutzt wird. Im ROM 38 gespeicherte Anweisungen können in den RAM 36 kopiert werden, um die Ausführungszeit des BIOS zu verringern. Das System ist auch, wie herkömmlich, mit einer Schaltkomponente, die einen CMOS ROM aufweist, zum Aufnehmen und Speichern von die Systemkonfiguration betreffenden Daten sowie mit einem Echtzeitgeber (RTC - Real Time Clock) ausgerüstet.
  • Die vorliegende Erfindung wird zwar nachstehend unter besonderer Bezugnahme auf das Blockschaltbild in Fig. 3 beschrieben, jedoch muß von Anfang der nachstehenden Beschreibung an berücksichtigt werden, daß das erfindungsgemäße Gerät und die Verfahren auch mit anderen Konfigurationen der Systemplatine eingesetzt werden können. Z. B. könnte der Systemprozessor ein Intel 80286 oder 80486 Mikroprozessor sein.
  • Kehren wir jetzt wieder zurück zu Fig. 3; der CPU-Lokalbus 34 (enthaltend Daten-, Adreß- und Steuerkomponenten) besorgt auch die Verbindung des Mikroprozessors 32 mit einem Mathematik-Coprozessor 39 und einem Small Computer Systems Interface-Controller 40 (SCSI - Kleincomputersystem-Schnittstelle). Der SCSI-Controller 40 kann, wie dem Fachmann für Computerkonstruktion und -betrieb bewußt ist, an Festwertspeicher (ROM) 41, RAM 42 und geeignete externe Vorrichtungen verschiedener Typen angeschlossen oder anschließfähig sein, wie durch den E/A-Anschluß rechts in der Zeichnung dargestellt wird. Der SCSI-Controller 40 arbeitet als Speicher- Controller beim Steuern von Speichervorrichtungen wie feste oder ausbaubare Datenträger als elektromagnetische Speichervorrichtungen (bekannt auch als Festplatten- und Floppydisk- Laufwerke), elektro-optische, Band- und sonstige Speichervorrichtungen.
  • Der Bus-Schnittstellen-Controller (BIC) 35 koppelt den CPU- Lokalbus 34 mit einem E/A-Bus 44. Über den Bus 44 ist der BIC 35 mit einem Bus für wahlweise Vorrichtungen, wie z. B. einem MIKROKANAL-Bus mit einer Vielzahl von I/O Schlitzen zur Aufnahme von MICRO CHANNEL Adapterkarten 45 gekoppelt, die weiter mit einer E/A-Vorrichtung oder einem Speicher (nicht dargestellt) zusammengeschlossen sein können. Der E/A-Bus 44 beinhaltet Adressen-, Daten- und Steuerkomponenten.
  • Entlang dem E/A-Bus 44 gekoppelt liegen eine Reihe unterschiedlicher E/A-Komponenten, wie ein Videosignalprozessor 46, der einem Video-RAM (VRAM) zum Abspeichern grafischer Informationen (angezeigt unter 48) und zum Abspeichern der Bildinformationen (angezeigt unter 49) zugeordnet ist. Videosignale, die mit dem Prozessor 46 ausgetauscht werden, können durch einen Digital/Analog-Wandler (DAC) 50 zu einem Monitor oder einer anderen Anzeigevorrichtung geführt werden. Vorrichtungen sind auch zum Anschluß des VSP 46 an eine hier als Naturbild-Eingang/Ausgang bezeichnetes Gerät getroffen, das die Form eines Videorekorders/spielers, einer Kamera usw. haben kann. Der E/A-Bus 44 wird weiter gekoppelt mit dem Digitalsignalprozessor (DSP) 51, dem ein Anweisungs-RAM 52 und ein Daten-RAM 54 zugeordnet sind, die zum Speichern von Softwareanweisungen zum Verarbeiten von Signalen durch den DSP 51, und der Daten, die von dieser Verarbeitung betroffen sind, zur Verfügung stehen. Der DSP 51 sieht ferner die Ver arbeitung von Audioeingaben und -ausgaben durch die Anordnung eines Audio-Controllers 55, und zur Behandlung weiterer Signale durch Einsatz eines Analogschnittstellen-Controllers 56 vor. Schließlich ist der E/A-Bus 44 mit einem Eingang/Ausgang-Controller 58, mit einem zugeordneten elektrisch löschbaren programmierbaren Festwertspeicher (EEPROM) 59, durch den Eingänge und Ausgänge mit herkömmlichen Peripheriegeräten einschließlich Floppydisk-Laufwerken ausgetauscht werden, einem Drucker oder Plotter 14, einer Tastatur 12, einer Maus oder einer Anzeigevorrichtung (nicht dargestellt), und über einen seriellen Port gekoppelt. Der EEPROM spielt eine Rolle in den Sicherheitsvorkehrungen wie nachstehend beschrieben wird.
  • Zum Lösen bestimmter Aufgaben der vorliegenden Erfindung, wie nachstehend eingehender beschrieben, weist das Personalcomputersystem 10 ein innerhalb des Systemgehäuses montiertes löschbares Speicherelement zur wahlweisen Aktivierung in einen aktiven und inaktiven Zustand und zum Empfangen und Speichern eines Privileged Access Password (nachstehend genauer definiert) im aktiven Zustand auf. Das löschbare Speicherelement ist vorzugsweise der elektrisch löschbare programmierbare Festwertspeicher EEPROM 59 (Fig. 3). Das System hat ferner einen Options- oder Sicherheitsschalter, der innerhalb des Gehäuses montiert und operativ mit dem löschbaren Speicherelement 59 verbunden ist, um dieses Speicherelement auf den aktiven und inaktiven Zustand zu setzen, und wenigstens einen Gehäusekontaktmelderschalter 60 (Fig. 4, 5 und 6), der innerhalb des Gehäuses montiert und operativ mit dem löschbaren Speicherelement zum Erfassen des Öffnens des Gehäuses und zum Freischalten eines Privileged Access Password von diesem Speicherelement als Reaktion auf das Schalten des Gehäusekontaktmelders verbunden ist. Der Optionsschalter (in der Offenbarung auch Sicherheitsschalter genannt) kann z. B. durch eine auf die Systemplatine 20 ge setzte und manuell einstellbare Brücke von einer Person, die Zugriff auf die Systemplatine hat, in zwei unterschiedliche Zustände gesetzt werden. In dem einen Zustand wird der EEPROM 59 auf aktiv und zum Speichern eines PAP gesetzt, wie hier beschrieben. Im anderen wird die PAP-Speicherfähigkeit des EEPROM auf inaktiv gesetzt.
  • Der erfindungsgemäße Systemprozessor 32 ist operativ verbunden mit dem EEPROM 59 und funktioniert teilweise zum Steuern des Zugriffs auf wenigstens bestimmte im System gespeicherte Datenkomponenten durch Unterscheiden zwischen dem aktiven und dem inaktiven Zustand der PAP-Speicherfähigkeit des Speicherelements und zwischen der Eingabe und Nichteingabe eines gespeicherten Privileged Access Password (PAP). Durch Betätigen des Optionsschalters wird ein Operator (besser gesagt, die Person, die mit der Überwachung und Pflege der Sicherheit beauftragt ist) des Systems zwischen der gesicherten Operation des Systems und der ungesicherten Operation des Systems wählen durch Anwählen des entsprechenden aktiven bzw. inaktiven Zustands des EEPROM.
  • Unter Bezugnahme auf die Schemadarstellungen der Fig. 4 bis 7 werden jetzt bestimmte Hardwaremerkmale, die zur Erfindung beitragen, in Einzelheiten beschrieben.
  • Fig. 4 illustriert gewisse Beziehungen zwischen dem herkömmlichen "Ein-/Aus"-Schalter (Hauptschalter) 61 der herkömmlichen Stromversorgung 62, Schaltern, die ihren Leitungszustand als Reaktion auf das Öffnen bzw. Abnehmen der Gehäuseabdeckung, wie die Hauptabdeckung 15 und die Kabelanschlußabdeckung 16 ändern, und einem Sperrschloßschalter 64. Die Schalter, die ihren Zustand beim Öffnen oder Abnehmen der Gehäuseabdeckungen ändern, sind in der Bilddarstellung der vorliegenden Erfindung zwei an der Zahl; nämlich ein Schalter 65 (Fig. 4, 5 und 6), der auf den Ausbau der Hauptabdeckung 15 anspricht, und ein Schalter 66 (Fig. 4, 5 und 7, der auf den Ausbau der Kabelanschlußabdeckung 16 anspricht. Jeder Schalter hat zwei Komponenten, einen Schließer (65a und 66a) und einen Öffner (65b und 66b). Der zweite Schalter 66 ist optional wie auch die Kabelanschlußabdeckung 16. Jedoch, wie aus einer sorgfältigen Überlegung der hier gemachten Offenbarung klar wird, sichert das Vorkommen einer optionalen Abdeckung mit Schalter die stärkere Sicherheitskontrolle über das System.
  • Die Schließerkontaktsätze der Abdeckschalter 65 und 66 sind mit dem Hauptschalter 61 und zur Stromversorgung 62 (Fig. 4) in Reihe geschaltet. Als Konsequenz ergibt sich, wenn ein Versuch zum Einschalten des Systems 10 mit abgenommenen Abdeckungen versucht wird, werden die Kontaktsätze 65a und 66a geöffnet und verhindern den Betrieb des Systems. Mit den Abdeckungen an Ort und Stelle werden die Kontaktsätze geschlossen gehalten und die Normaloperation kann eingeleitet werden.
  • Die Öffnerkontaktsätze der Abdeckschalter 65 und 66 sind in Reihe mit dem Sperrschloßschalter 64 und dem RTC und dem CMOS-Speicher 68 geschaltet. Der Ruhekontaktsätze 65b und 66b werden von den Abdeckungen 15, 16 offen gehalten und schließen, sobald diese Abdeckungen abgenommen werden. Der Betriebsschloßschalter 64 wird durch das Sperren des Gehäuseschlosses normalerweise geschlossen gehalten, das herkömmlicherweise im Rechnersystem 10 geliefert wird. Diese drei Kontaktsätze setzen einen alternativen Pfad zur Erde für Ströme, die sonst Teile des RTC und des CMOS-Speichers unter Strom setzen, und haben die Wirkung, daß sie einen Abschnitt dieses Speichers löschen, sobald die Stromversorgung als Ergebnis der unberechtigten Abnahme einer Abdeckung während das System im Zustand des verschlossenen Gehäuses steht, verloren geht. Da der Speicher durch den POST geprüft wird, führt das Löschen dieses Speichersegments dazu, daß ein Konfigurationsfehlersignal generiert wird, das einen System-Eigner alarmiert, daß ein Versuch (erfolgreich oder nicht) gemacht wurde, die Systemsicherheit zu brechen.
  • Der Sperrschloßschalter 64 und der Hauptgehäuse-Abdeckungsschalter 65 sind vorzugsweise auf einem Frontplatinenführungsglied 69 (Fig. 2 und 6) montiert, so daß sie auf geeignete Weise in Bezug auf das in der Hauptgehäuseabdeckung 15 vorgesehene Schloß positioniert ist. Das Frontplatinenführungsglied ist im Rechnersystemrahmen in einer Position montiert, daß ein Betätigungshebel 70 für den Abdeckungsschalter 65 durch eine Öffnung im aufrecht stehenden Frontrahmenglied vorsteht, der von der Abdeckung 15 betätigt wird, wenn diese vorhanden und so positioniert ist, daß das Systemgehäuse geschlossen ist.
  • Der Kabelabdeckungsschalter 66 ist vorzugsweise auf der Rückwand des Systemrahmens so positioniert, daß er durch ein auf der Kabelabdeckung 18 montiertes Einrastglied betätigt wird, das unter der Steuerung eines manuell betätigbaren Sperrschlosses drehbar ist, ähnlich dem, das auf der Gehäuseabdeckung 15 vorgesehen ist. Wenn die optionale Kabelabdeckung 16 benutzt wird (wie es der Fall ist, wenn volle Sicherheit des Systems erwünscht oder vorausgesetzt ist), bewirkt das Verriegeln oder Sperren der Abdeckung an der Rückwand, daß das Einrastglied den zugehörigen Schließerkontaktsatz 66a schließt und den Öffnerkontaktsatz 66b öffnet.
  • Die neuen, oben und nachstehend beschriebenen Sicherheits- und Integritätsmerkmale wirken unabhängig von einer oben ausgeführten Personalcomputer-Sicherheitsvorrichtung, dem Power-on-Password (POP). Diese zusätzlichen Sicherheits- und Integritätsvorrichtungen sehen eine sichere Plattform für die Betriebssystemzulassung unter den anwendbaren Regulierungen, wie das Orangebuch, vor. Ein zusätzliches Paßwort ist erforderlich, um das System in einen Sicherheitsmodus zu setzen. Das neue Paßwort wird hier als Privileged Access Password (PAP) bezeichnet. Um die Kompatibilität mit früheren Personalcomputersystemen zu wahren, wird das POP immer unterstützt. Die vorliegende Offenbarung behandelt die neuen Sicherheits- und Integritätsvorrichtungen, die sich auf den POST und die Paßwort-Dienstprogramme beziehen, die auf einem Personalcomputersystem mit einem EEPROM, Optionsschalter, und Abdeckungen mit Mißbrauchsanzeige laufen.
  • Die Paßwort-Sicherheit wird implementiert durch Systemhardwarevorrichtungen: ein EEPROM, ein Sicherheitsschalter und ein Mißbrauchsanzeige-Abdeckungsschalter, Firmware, POST und das Systemsoftware-Paßwortdienstprogramm. Sobald das PAP installiert ist, ist das System im Sicherheitsmodus. Das PAP wird im EEPROM gespeichert. Auch eine Sicherungskopie des PAP wird im EEPROM gespeichert. Das geschieht, um einen Zufallsverlust des PAP zu vermeiden, wenn ein Stromausfall während der Installierung, Änderung oder Löschung des PAP vorkommt.
  • Zwei Bits im EEPROM werden als Zustandsmaschine benutzt, damit der POST genau weiß, an welcher Stelle die Stromunterbrechung in der Aktualisierungssequenz aufgetreten ist und sich möglichst aus einer Systemplatinenaustauschsituation wiederherstellt. Das Paßwort-Dienstprogramm pflegt das Aktualisierungs-Indikatorfeld, eine Zwei-Bit-Zustandsmaschine, die beim Zugriff auf das PAP angesprochen wird. Wenn eine Stromunterbrechung während der Paßwortänderung eintritt, prüft der POST bei Wiedereinschalten des Stroms die Statusmaschine (in Wirklichkeit überprüft der POST die Statusmaschine bei jedem Einschaltvorgang.) Wenn das PAP erfolgreich aktualisiert wird (Zustand '00'), fährt des POST auf normale Weise fort. Wenn die Aktualisierung bereits vor dem Stromausfall begonnen hatte (Zustand '01'), prüft der POST das Vorhandensein eines gültigen Sicherungs-PAP. Wenn dieses gültig ist, muß der Anwender das Sicherungs-PAP oder das alte PAP zum Booten von der Systemreferenzdiskette oder von der Systempartition eingeben. Wenn es nicht gültig ist, bleibt der POST hängen und der System-Eigner muß eingreifen, um die Situation zu ändern, die erfordern kann, daß die Systemplatine ausgetauscht wird. Wenn das primäre PAP erfolgreich aktualisiert ist (Zustand '10'), benutzt der POST das primäre PAP (das neue PAP), um jeden Versuch zur Verwendung der Systemreferenzdiskette zu validieren oder von der Systempartition zu booten. Der POST nimmt an, das aktualisierte PAP ist ungültig. Der POST kopiert in diesem Fall das primäre PAP auf das Sicherungs-PAP.
  • Wenn der Options- oder Sicherheitsschalter nicht in der ungesperrten Position steht, wird ein Fehler angezeigt. Der System-Eigner muß eingreifen durch Entsperren der Abdeckungen und Ändern der Stellung des Sicherheitsschalters. Wenn die Sicherungskopie des PAP erfolgreich aktualisiert ist (Zustand '11') gelten sowohl das Primär- als auch das Sicherungs-PAP als gültig und der POST überprüft die Gültigkeit des Primär- PAP vor der Bestätigung des Eintrags des PAP durch den Anwender.
  • Das POP wird im CMOS gepflegt. Zwei Bits werden im CMOS für die Anwendung als Paßwort-Indikator für das PAP gepflegt. Ein Indikator wird benutzt, um anzuzeigen, daß das System im Sicherheitsmodus steht (PAP installiert). Der zweite Indikator zeigt an, daß das PAP beim Anfangseinschaltvorgang kalt gebootet wurde. Diese zwei Indikatoren werden nur beim Kaltladen initialisiert und gesetzt. Vor dem IPL werden die Indikatoren schreibgeschützt, falls nicht die Systemreferenzdiskette oder die Systempartition gebootet wird.
  • Um jeden unberechtigten Zugriff auf die Paßwörter zu verhindern, werden die IPL-Vorrichtungs-Bootliste, die EEPROM CRC (Cyclic Redundancy Check - zyklische Blocksicherung) und alle Indikatoren vor dem Initial Program Load (IPL - erstmaliges Programmladen) eines Betriebssystems gesperrt. Um diese Bereiche auszusperren, setzt der POST besondere Hardwaresperren, die nicht rückgestellt werden können, falls das System nicht ausgeschaltet wird. Zu Beginn der POST-Stufe I, erstes Einschalten, überprüft der POST, ob der EEPROM gesperrt ist. Falls er gesperrt ist, zeigt der POST einen Fehler an und hält das System an, weil die Hardware nicht betriebsbereit ist. Jetzt muß der System-Eigner eingreifen, um die Situation zu ändern, was möglicherweise einen Austausch der Systemplatine erforderlich macht. Falls am System ein unzulässiger Eingriff vorgenommen wurde, bleiben die ersten 14 Bytes des RAM-Speichers im CMOS, die dem RTC und den Steuerregistern zugeordnet sind, unbetroffen. Die nächsten 50 Bytes des CMOS werden alle auf "Eins" gesetzt (Binärwert 1), wie oben kurz beschrieben ist. Beim Erfassen dieses Zustands hält der POST an und meldet einen entsprechenden Fehler. Jetzt muß der System-Eigner/berechtigte Anwender eingreifen, um die Situation zu lösen, was möglicherweise eine Umkonfigurierung der Systemplatine erforderlich macht.
  • Wenn der System-Eigner das PAP vergißt, muß/müssen die betroffene(n) Systemplatinen) ausgetauscht werden.
  • Wenn das POP vergessen wird, kann der System-Eigner den einen unberechtigten Eingriff anzeigenden Abdeckungsschalter umschalten, um den Inhalt des CMOS zu zerstören, wie oben beschrieben, und dann das PAP (falls installiert) eingeben, um die Systemreferenzdiskette oder die Systempartition zu booten, das Paßwort-Betriebsprogramm zu fahren und das POP neu zu installieren.
  • Wenn ein System eingeschaltet wird, und keines der beiden Paßwörter installiert ist, fragt der POST nicht nach dem Paßwort. Wenn aber die Systemreferenzdiskette nicht eingelegt ist oder der System-Partitions-Boot nicht verlangt wird oder vorhanden ist, sperrt der POST das POP, das PAP, das Backup- PAP, die IPL-Vorrichtungs-Boot-Liste, die EEPROM CRC und alle Indikatoren. Das geschieht, um einen zufälligen oder böswilligen Zugriff auf diese Bereiche zu verhindern. Wenn die Systemreferenzdiskette eingelegt ist oder der System- Partitions-Boot verlangt wird, bleiben diese Bereiche ungesperrt, um es dem System-Eigner zu ermöglichen, den Sicherheitsmodus aufzurufen.
  • Wenn ein System mit installiertem POP eingeschaltet wird, bei dem jedoch kein PAP installiert ist, überprüft der POST die PAP-Paßwort-Prüfsumme. Wenn die Prüfsumme falsch ist, löscht der POST das POP im CMOS und verlangt kein Paßwort. Ansonsten verlangt der POST ein Paßwort. Wenn die Systemreferenzdiskette nicht eingelegt ist oder der System-Partitions-Boot nicht verlangt ist, werden das POP, das PAP, das Backup-PAP die IPL-Vorrichtungs-Boot-Liste, die EEPROM CRC und alle Indikatoren gesperrt, um jeden Zugriff zu verhindern.
  • Wenn ein System eingeschaltet wird, bei dem ein gültiges PAP (Sicherheitsmodus) aber kein POP installiert ist, überprüft der POST die PAP-Prüfsumme. Wenn die Prüfsumme richtig ist, verlangt der POST die Eingabe des PAP wenn die Systemreferenzdiskette eingelegt ist oder der System-Partitions- Boot verlangt wird. Ansonsten verlangt der POST kein Paßwort und das POP, das PAP, das Backup-PAP, die IPL Vorrichtungsbootliste, die EEPROM CRC und alle Indikatoren werden gesperrt, um jeden Zugriff zu verhindern. Wenn die PAP- Prüfsumme falsch ist, wird ein Fehler gemeldet und das System wird angehalten. Das geschieht deswegen, damit ein Zutand verhindert wird, in dem der POST zufällig einem Anwender einen ungeschützten Zugriff auf ein System geben könnte, das vorher im Sicherheitsmodus gelaufen war, als der EEPROM ausfiel. Der System-Eigner muß eingreifen, um einen Zustand zu beheben, der den Austausch der Systemplatine fordern könnte.
  • Wenn das System sowohl mit installiertem gültigem PAP als auch mit installiertem gültigem POP eingeschaltet wird, fordert der POST den Anwender zur Eingabe eines Paßworts auf. Wenn das POP eingegeben wird, bootet der POST nicht von der Systemreferenzdiskette oder von der Systempartition. Das System kann nur booten unter Benutzung der vorhandenen IPL- Vorrichtungsliste. Wenn bei der Aufforderung das PAP eingegeben wird anstatt des POP, kann der Anwender von der Systemreferenzdiskette oder von der normalen IPL-Vorrichtungsliste booten. Ein Indikator wird gesetzt, der anzeigt, daß das PAP beim anfänglichen Hochfahren erfolgreich eingegeben wurde, so daß später in dieser Einschaltsitzung ein Systemreferenzdisketten- oder ein Systempartitions-Boot erfolgen kann. Der berechtigte Anwender muß sich darüber im klaren sein, daß nach der erfolgreichen Eingabe des PAP das System frei ist, nach einem Warmstart (Ctrl-Alt-Del - Strg- Alt-Entf) von der Systemreferenzdiskette oder von der Systempartition zu booten, solange nicht ausgeschaltet wird. Der POST fordert den Anwender nach einem Warmstart nicht auf, ein Paßwort einzugeben, daher die Notwendigkeit eines Indikators für ein erfolgreich eingegebenes PAP und seinen Schutz. Nachdem der berechtigte Anwender mit dem System fertig ist, muß er das System ausschalten, damit diese Situation nicht eintreten kann.
  • Kurz gesagt, wenn ein Anwender bei einem Kaltstart von der Systemreferenzdiskette oder von der Systempartition booten kann, bleiben das POP, das PAP, das Backup-PAP, die IPL- Vorrichtungsbootliste und alle Indikatoren ungesperrt. Dieser Zustand gibt der trusted Software (d. i. der Systemreferenzdiskette) und einem berechtigten Anwender Zugriff auf die Sicherheitsparameter für das System. Nachdem der POST überprüft hat, daß jedes Paßwort richtig eingegeben ist, quittiert er die Eingabe durch Anzeige eines Bestätigungs-Ikon. Der POST überspringt die Aufforderung zur Eingabe des POP, wie oben beschrieben, wenn der Netzwerk-Server-(unbedienter Start)-Modus aktiv ist.
  • Die Flußdiagramm-Logik für die oben beschriebenen Szenarien sind in den Fig. 8 und 9 dargestellt, in denen die Verbindungen zwischen den in den Fig. 9a und 9b spezifisch dargestellten Schritten durch Prozeßblöcke angezeigt werden, die jeweils mit einem einzigen Buchstaben besetzt sind, um das Zeichnen des Diagramms zu vereinfachen.
  • Ein System, das den Netzwerk-Server-(unbedienter Start)-Modus installiert hat, verfolgt den Boot-Prozeß ganz durch bis zum Betriebssystem-Booten, aber die Tastatur wird durch das POP gesperrt. Wenn aber eine Systemreferenzdiskette eingelegt ist oder der Systempartitions-Boot angefordert wird, wird die Paßworteingabeaufforderung gezeigt, um es dem Eigener zu ermöglichen, das PAP einzugeben und die Kontrolle über das System zu erhalten. Wenn ein System im Sicherheitszustand steht und der Anwender von der Systemreferenzdiskette oder der Systempartition booten will, nachdem die Tastatur bereits gesperrt ist, muß der Anwender das System abschalten und vom ausgeschalteten Zustand aus mit einem Kaltstart mit der in das Diskettenlaufwerk eingelegten Systemreferenzdiskette neu beginnen.
  • Zusammen mit den POST-Änderungen muß das Paßwort-Dienstprogramm das PAP unterstützen. Das Dienstprogramm unterstützt das Installieren, Ändern und Löschen eines PAP und verriegelt diese drei Funktionen mit der Stellung des Options- oder Sicherheitsschalters. Der Sicherheitsschalter muß in der Gesperrtposition verbleiben, bis ein berechtigter Anwender das PAP setzen, ändern oder löschen will. Dazu muß der Anwender die Systemabdeckung abnehmen und den Sicherheitsschalter in die Nichtgesperrt-(Änderungs)-Position einstellen; dann kann das PAP verändert (gesetzt, verändert oder gelöscht) werden. Nach der Veränderung des PAP muß der Sicherheitsschalter wieder in die Gesperrt-Stellung gebracht werden und muß in dieser Stellung bleiben, bis eine weitere Veränderung erforderlich ist. Das sichert eine maximale Systemsicherheit zwischen einzelnen PAP-Änderungen. Wenn der Sicherheitsschalter in die Ungesperrt-Stellung gebracht wird, erlaubt eine Hardware-Logik außerhalb des EEPROM das Speichern des PAP im EEPROM. Wenn der Sicherheitsschalter in die Gesperrt-Stellung gebracht wird, verhindert externe Hardware-Logik jede Veränderung des PAP-Bereichs im EEPROM. Geeignete Meldungen erscheinen, wenn der berechtigte Anwender versucht, das PAP zu ändern, wenn der Sicherheitsschalter in der Gesperrt-Stellung steht. Meldungen erinnern den Anwender auch, den Sicherheitsschalter nach Abschluß der Veränderung wieder in die Gesperrt-Stellung zu bringen. Ein zusätzliches Sicherheitsmerkmal ist in das Paßwort-Dienstprogramm eingebaut, das verhindert, daß der berechtigte Anwender das PAP gleich dem POP setzt. Überprüfungen werden durchgeführt beim Setzen oder Ändern des PAP, um sicherzustellen, daß das neue PAP nicht gleich dem augenblicklichen POP des Systems ist. Auch muß beim Ändern oder Löschen des PAP das augenblickliche PAP bekannt sein.
  • Berücksichtigt wird dabei, daß ein Personalcomputersystem zunächst mit dem Sicherheitsschalter in Gesperrt-Stellung und mit versperrter Abdeckung mit Eingriffsanzeige zum Versand kommt. Das geschieht, damit verhindert wird, daß eine andere Person als der System-Eigner das DSA-System in den Sicherheitsmodus setzen kann. Anders als das POP kann das PAP nicht durch Hardwaremanipulation gelöscht werden. Wenn das PAP vergessen wird oder eine unberechtigte Person das System in den Sicherheitsmodus setzt, muß die Systemplatine ausgetauscht werden. Die in der obigen Beschreibung angezogene Logik wird in Fig. 8 dargestellt.
  • In den Zeichnungen und Spezifikationen wurde eine bevorzugte Ausführungsform der Erfindung gezeigt und, obwohl bestimmte Ausdrücke benutzt wurden, setzt die oben gegebene Beschreibung die Terminologie nur in einem allgemeinen und beschreibenden Sinn und nicht für die Zwecke der Einschränkung ein.

Claims (16)

1. Ein Personalcomputersystem (10) zum Aufnehmen und Speichern von Daten, das in der Lage ist, die im System gespeicherten Daten gegen einen unberechtigten Zugriff zu sichern, wobei das System umfaßt:
ein im Normalfall geschlossenes Gehäuse (15, 16);
einen Systemprozessor (1), der in dem Gehäuse montiert ist, um den Zugriff auf wenigstens bestimmte Datenkomponenten zu steuern, die im System gespeichert sind;
und gekennzeichnet durch
ein löschbares Speicherelement (59), das innerhalb des Gehäuses montiert ist, zur selektiven Aktivierung von aktiven und inaktiven Zuständen und zum Empfangen und Speichern eines privilegierten Zugriffs-Paßworts im aktiven Zustand, in dem der Systemprozessor mit dem löschbaren Speicherelement operativ verbunden ist;
und einen Optionsschalter, der innerhalb des Gehäuses montiert ist und mit dem löschbaren Speicherelement operativ verbunden ist, um das löschbare Speicherelement in den aktiven und inaktiven Zustand zu versetzen,
wobei der Systemprozessor den Zugriff zu den mindestens bestimmten Datenkomponenten steuert, die im System gespeichert sind, durch Unterscheiden zwischen dem aktiven und dem inaktiven Zustand des Speicherelements, sowie zwischen dem Eintrag und dem Nichteintrag eines beliebigen privilegierten Zugriffs-Paßworts.
2. Ein Personalcomputersystem gemäß Anspruch 1, das ferner umfaßt:
ein zweites löschbares Speicherelement, das innerhalb des Gehäuses montiert ist, zum Aufnehmen und Speichern von Daten, die hinweisend auf den Zustand des ersten löschbaren Speicherelements und auf den korrekten Eintrag eines gespeicherten privilegierten Zugriffs-Paßworts sind, und
ein Schalter zur Erfassung eines unberechtigten Eingriffs, der innerhalb des Gehäuses montiert ist und operativ mit dem zweiten löschbaren Speicherelement verbunden ist zum Erfassen eines unberechtigten Öffnens des Gehäuses und zum Ungültigmachen eines privilegierten Zugriffs-Paßworts im ersten löschbaren Speicherelement als Reaktion auf ein Schalten des Schalters zum Erfassen des unberechtigten Zugriffs.
3. Ein Personalcomputersystem gemäß Anspruch 1 oder 2, in dem das erste löschbare Speicherelement eine elektrisch löschbare programmierbare Festwertspeichervorrichtung ist.
4. Ein Personalcomputersystem gemäß Anspruch 1, 2 oder 3, in dem der Optionsschalter funktioniert, um einen Operator in die Lage zu versetzen, zwischen einer gesicherten Operation des Systems und einer ungesicherten Operation des Systems zu wählen durch Anwählen des aktiven bzw. des inaktiven Zustands des ersten Speicherelements.
5. Ein Personalcomputersystem gemäß Anspruch 4, in dem der Optionsschalter von Hand schaltbar ist und innerhalb des Gehäuses zum Zugriff von Hand erst nach dem Öffnen des Gehäuses zugänglich wird.
6. Ein Personalcomputersystem gemäß Anspruch 2, in dem das löschbare Speicherelement ein batteriegestützter CMOS RAM (68) ist.
7. Ein Verfahren zum Aufnehmen und Speichern von Daten in einem Personalcomputersystem (10), enthaltend ein im Normalfall geschlossenes Gehäuse (15, 16) und einen Systemprozessor (1), ein löschbares Speicherelement (59) und einen Optionsschalter, der innerhalb des Gehäuses montiert ist, wobei der Systemprozessor und der Optionsschalter operativ mit dem löschbaren Speicherelement, das einen aktiven und einen inaktiven Zustand aufweist, verbunden sind, wobei dieses Verfahren die folgenden Schritte umfaßt:
Betätigen des Optionsschalters, um selektiv das löschbare Speicherelement in den aktiven Zustand zu setzen, um im System gespeicherte Daten gegen einen unberechtigten Zugriff zu schützen;
Aufnehmen und Speichern eines privilegierten Zugriffspaßworts im löschbaren Speicherelement im aktiven Zustand; und
Steuern des Zugriffs auf mindestens bestimmte im System gespeicherte Datenkomponenten, durch Unterscheiden zwischen dem aktiven und dem inaktiven Zustand des löschbaren Speicherelements sowie zwischen dem Eintrag und dem Nichteintrag des privilegierten Zugriffspaßworts.
8. Ein Verfahren gemäß Anspruch 7, in dem der Schritt des selektiven Einstellens des Speicherelements in den aktiven Zustand das Öffnen des Systemgehäuses und Ändern der Einstellung des Optionsschalters von Hand beinhaltet.
9. Ein Verfahren gemäß Anspruch 7 oder 8, in dem das privilegierte Zugriffspaßwort ein zweites Paßwort darstellt, und das Verfahren ferner die folgenden Schritte beinhaltet:
Vorsehen zum Aufnehmen und Speichern eines ersten und eines zweites Paßworts im System und zum Laden von vertraulichen und offenen Programmen in das System;
Unterscheiden zwischen der Speicherung (a) keines Paßworts, (b) eines ersten Paßworts, und (c) eines zweiten Paßworts;
Unterscheiden zwischen dem Laden und der angeforderten Ausführung (d) vertraulicher und (e) offener Programme;
Unterscheiden zwischen der Eingabe (f) keines Paßworts, (g) des ersten Paßworts, und (h) des zweiten Paßworts durch einen Anwender; und
Steuern des Zugriffs auf vertrauliche Programme (d) als Reaktion auf die Eingabe des zweiten Paßworts (h) durch einen Anwender.
10. Ein Verfahren gemäß Anspruch 9, in dem der Schritt des Unterscheidens bei der Speicherung von Paßwörtern das Unterscheiden zwischen der Speicherung eines Einschalt- Paßworts als das erste Paßwort und des privilegierten Zugriffspaßworts als das zweite Paßwort umfaßt.
11. Ein Verfahren gemäß Anspruch 9, in dem der Schritt des Steuerns des Zugriffs das Erkennen der Speicherung keines Paßworts (a) und das Erteilen des Zugriffs für jedes beliebige Programm durch einen beliebigen Anwender umfaßt.
12. Ein Verfahren gemäß Anspruch 9, in dem der Schritt des Steuerns des Zugriffs das Erkennen der Speicherung eines ersten Paßworts (b) und erteilen des Zugriffs auf ein beliebiges Programm nur an einen Anwender, der das erste Paßwort (b) eingibt, umfaßt.
13. Ein Verfahren gemäß Anspruch 9, in dem der Schritt des Steuerns des Zugriffs das Erkennen der Speicherung eines zweiten Paßworts (b) und erteilen des Zugriffs auf ein beliebiges Programms nur an einen Anwender, der das zweite Paßwort eingibt (c), erfaßt.
14. Ein Verfahren gemäß Anspruch 9, in dem der Schritt des Steuerns des Zugriffs das Erkennen der Speicherung eines ersten Paßworts (b) und eines zweiten Paßworts (c), Erteilen des Zugriffs auf ein beliebiges Programm nur an einen Anwender, der das erste Paßwort (b) eingibt, und Erteilen des Zugriffs auf ein vertrauliches Programm nur an einen Anwender, der das zweite Paßwort (c) eingibt, umfaßt.
15. Ein Verfahren gemäß Anspruch 14, in dem der Schritt des Steuerns des Zugriffs ferner das Erteilen des Zugriffs auf jedes beliebige Programm für einen Anwender umfaßt, der das zweite Paßwort (c) eingibt, ohne die Notwendigkeit, zuerst das erste Paßwort (b) eingeben zu müssen.
16. Ein Verfahren gemäß Anspruch 7 oder 8, das ferner den Schritt der Ungültigmachung des privilegierten Zugriffspaßworts enthält, das im Speicherelement gespeichert ist, als Reaktion auf ein Umschalten des Schalters für unberechtigten Eingriff.
DE69326089T 1992-02-26 1993-02-16 Personalcomputersystem mit Sicherheitseigenschaften und -verfahren Expired - Fee Related DE69326089T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US07/840,965 US5388156A (en) 1992-02-26 1992-02-26 Personal computer system with security features and method

Publications (2)

Publication Number Publication Date
DE69326089D1 DE69326089D1 (de) 1999-09-30
DE69326089T2 true DE69326089T2 (de) 2000-03-30

Family

ID=25283688

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69326089T Expired - Fee Related DE69326089T2 (de) 1992-02-26 1993-02-16 Personalcomputersystem mit Sicherheitseigenschaften und -verfahren

Country Status (13)

Country Link
US (1) US5388156A (de)
EP (1) EP0558222B1 (de)
JP (1) JP2565629B2 (de)
KR (1) KR960003058B1 (de)
CN (2) CN1044160C (de)
AU (1) AU663551B2 (de)
BR (1) BR9300396A (de)
CA (1) CA2082916C (de)
DE (1) DE69326089T2 (de)
MY (1) MY109086A (de)
NZ (1) NZ245756A (de)
SG (1) SG43708A1 (de)
TW (1) TW239197B (de)

Families Citing this family (111)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2091501C (en) * 1993-03-11 2001-04-24 Thomas E. Elliott Hardware protection control for computer storage devices
NL9301880A (nl) * 1993-11-02 1995-06-01 Robert Eric Hertzberger Werkwijze en inrichting voor de opslag van gegevens in het bijzonder pincodes.
FR2713377B1 (fr) * 1993-12-03 1995-12-29 Thomson Csf Dispositif de sécurisation de systèmes d'informations, notamment d'un système d'informations utilisé en micro-informatique.
US5651139A (en) * 1993-12-23 1997-07-22 International Business Machines Corporation Protected system partition read/write access on a SCSI controlled DASD
US5694583A (en) * 1994-09-27 1997-12-02 International Business Machines Corporation BIOS emulation parameter preservation across computer bootstrapping
US5652868A (en) * 1994-09-27 1997-07-29 International Business Machines Corporation Data processor having BIOS decryption of emulated media images
US6032256A (en) * 1995-01-09 2000-02-29 Bernard; Peter Andrew Power controlled computer security system and method
US5555373A (en) * 1995-02-06 1996-09-10 International Business Machines Corporation Inactivity monitor for trusted personal computer system
US5963142A (en) * 1995-03-03 1999-10-05 Compaq Computer Corporation Security control for personal computer
US5644444A (en) * 1995-03-10 1997-07-01 Iomega Corporation Read/write protect scheme for a disk cartridge and drive
US6724554B1 (en) 1995-03-10 2004-04-20 Iomega Corporation Read/write protect scheme for a disk cartridge and drive
US5724260A (en) * 1995-09-06 1998-03-03 Micron Electronics, Inc. Circuit for monitoring the usage of components within a computer system
JP2977476B2 (ja) 1995-11-29 1999-11-15 株式会社日立製作所 機密保護方法
AU1690597A (en) * 1996-01-11 1997-08-01 Mitre Corporation, The System for controlling access and distribution of digital property
US5925128A (en) * 1996-03-22 1999-07-20 Leonard Bloom A Part Interest Access control module for a personal computer
US5778199A (en) * 1996-04-26 1998-07-07 Compaq Computer Corporation Blocking address enable signal from a device on a bus
US6286102B1 (en) * 1996-04-30 2001-09-04 International Business Machines Corporation Selective wireless disablement for computers passing through a security checkpoint
US5970227A (en) * 1996-04-30 1999-10-19 International Business Machines Corp. Wireless proximity detector security feature
US5712973A (en) * 1996-05-20 1998-01-27 International Business Machines Corp. Wireless proximity containment security
SE9602186D0 (sv) 1996-05-31 1996-05-31 Christer Johansson ID-krets för elektronisk apparatur
JPH1079000A (ja) * 1996-09-03 1998-03-24 Hitachi Ltd プログラム書き込み可能なicカード
US6038320A (en) * 1996-10-11 2000-03-14 Intel Corporation Computer security key
US5901285A (en) * 1996-12-18 1999-05-04 Intel Corporation Hierarchical erasure key protection for computer system data
US5912621A (en) * 1997-07-14 1999-06-15 Digital Equipment Corporation Cabinet security state detection
US7325077B1 (en) * 1997-08-21 2008-01-29 Beryl Technical Assays Llc Miniclient for internet appliance
US6418533B2 (en) * 1997-08-29 2002-07-09 Compaq Information Technologies Group, L.P. “J” system for securing a portable computer which optionally requires an entry of an invalid power on password (POP), by forcing an entry of a valid POP
US6021493A (en) * 1997-11-06 2000-02-01 International Business Machines Corporation System and method for detecting when a computer system is removed from a network
US5945915A (en) * 1997-11-06 1999-08-31 International Business Machines Corporation Computer system for sending an alert signal over a network when a cover of said system has been opened
US6125457A (en) * 1997-12-29 2000-09-26 Compaq Computer Corporation Networked computer security system
US6292898B1 (en) 1998-02-04 2001-09-18 Spyrus, Inc. Active erasure of electronically stored data upon tamper detection
US6105136A (en) * 1998-02-13 2000-08-15 International Business Machines Corporation Computer system which is disabled when it is disconnected from a network
US6199167B1 (en) 1998-03-25 2001-03-06 Compaq Computer Corporation Computer architecture with password-checking bus bridge
US6098171A (en) * 1998-03-31 2000-08-01 International Business Machines Corporation Personal computer ROM scan startup protection
US6065081A (en) * 1998-04-29 2000-05-16 Compact Computer Corp. Administrator controlled architecture for disabling add-in card slots
US6397337B1 (en) 1998-04-30 2002-05-28 Compaq Computer Corporation Unified password prompt of a computer system
US6301665B1 (en) 1998-04-30 2001-10-09 Compaq Computer Corporation Security methodology for devices having plug and play capabilities
US6138240A (en) * 1998-06-19 2000-10-24 Compaq Computer Corporation Secure general purpose input/output pins for protecting computer system resources
US6357007B1 (en) * 1998-07-01 2002-03-12 International Business Machines Corporation System for detecting tamper events and capturing the time of their occurrence
US6301670B1 (en) 1998-10-06 2001-10-09 Ricoh Corporation Method and apparatus for erasing data when a problem is identified
US7325052B1 (en) * 1998-10-06 2008-01-29 Ricoh Company, Ltd. Method and system to erase data after expiration or other condition
US6658570B1 (en) 1998-10-08 2003-12-02 International Business Machines Corporation Method and system in a data processing system for activating a password requirement utilizing a wireless signal
US6237100B1 (en) * 1998-12-02 2001-05-22 International Business Machines Corporation Power passwords within a data processing system for controlling a supply of system power
KR20010011667A (ko) * 1999-07-29 2001-02-15 이종우 보안 기능을 갖는 키보드 및 이를 이용한 시스템
US6487465B1 (en) * 1999-11-01 2002-11-26 International Business Machines Corporation Method and system for improved computer security during ROM Scan
US7013340B1 (en) 2000-05-18 2006-03-14 Microsoft Corporation Postback input handling by server-side control objects
US6757900B1 (en) 2000-05-18 2004-06-29 Microsoft Corporation State management of server-side control objects
US7330876B1 (en) 2000-10-13 2008-02-12 Aol Llc, A Delaware Limited Liability Company Method and system of automating internet interactions
US7493391B2 (en) * 2001-02-12 2009-02-17 International Business Machines Corporation System for automated session resource clean-up by determining whether server resources have been held by client longer than preset thresholds
US7380250B2 (en) 2001-03-16 2008-05-27 Microsoft Corporation Method and system for interacting with devices having different capabilities
US7111083B2 (en) * 2001-03-30 2006-09-19 Intel Corporation Method and apparatus for use of power switch to control software
US8095597B2 (en) 2001-05-01 2012-01-10 Aol Inc. Method and system of automating data capture from electronic correspondence
US7493397B1 (en) 2001-06-06 2009-02-17 Microsoft Corporation Providing remote processing services over a distributed communications network
US6944797B1 (en) 2001-06-07 2005-09-13 Microsoft Corporation Method and system for tracing
US6915454B1 (en) 2001-06-12 2005-07-05 Microsoft Corporation Web controls validation
US7162723B2 (en) * 2001-06-29 2007-01-09 Microsoft Corporation ASP.NET HTTP runtime
US7594001B1 (en) 2001-07-06 2009-09-22 Microsoft Corporation Partial page output caching
US7216294B2 (en) 2001-09-04 2007-05-08 Microsoft Corporation Method and system for predicting optimal HTML structure without look-ahead
US7490250B2 (en) * 2001-10-26 2009-02-10 Lenovo (Singapore) Pte Ltd. Method and system for detecting a tamper event in a trusted computing environment
US7428725B2 (en) * 2001-11-20 2008-09-23 Microsoft Corporation Inserting devices specific content
KR100443203B1 (ko) * 2001-11-22 2004-08-04 주식회사 알엔디소프트 메시지 가로채기를 이용한 응용 프로그램에 대한 보안 방법
US7587613B2 (en) * 2001-12-21 2009-09-08 Creative Mines Llc Method and apparatus for selectively enabling a microprocessor-based system
US20030204754A1 (en) * 2002-04-26 2003-10-30 International Business Machines Corporation Controlling access to data stored on a storage device of a computer system
US20030212911A1 (en) * 2002-05-13 2003-11-13 International Business Machines Corporation Secure control of access to data stored on a storage device of a computer system
US20030233477A1 (en) * 2002-06-17 2003-12-18 Microsoft Corporation Extensible infrastructure for manipulating messages communicated over a distributed network
US20040059926A1 (en) * 2002-09-20 2004-03-25 Compaq Information Technology Group, L.P. Network interface controller with firmware enabled licensing features
US7574653B2 (en) * 2002-10-11 2009-08-11 Microsoft Corporation Adaptive image formatting control
KR20040054493A (ko) * 2002-12-18 2004-06-25 텍사스 인스트루먼츠 인코포레이티드 스마트 폰 또는 pda용 보안 모드 지시기
US8881270B2 (en) 2002-12-20 2014-11-04 Creative Mines Llc Method and apparatus for selectively enabling a microprocessor-based system
US8041933B2 (en) * 2002-12-20 2011-10-18 The Invention Science Fund I Method and apparatus for selectively enabling a microprocessor-based system
JP2006513481A (ja) * 2003-01-10 2006-04-20 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 不正操作から電子構成部品を保護する回路構成および方法
US7275032B2 (en) 2003-04-25 2007-09-25 Bvoice Corporation Telephone call handling center where operators utilize synthesized voices generated or modified to exhibit or omit prescribed speech characteristics
US7596782B2 (en) * 2003-10-24 2009-09-29 Microsoft Corporation Software build extensibility
EP1722555A4 (de) * 2004-02-05 2008-11-19 Fernsehempfänger und elektronische einrichtung
US20070210945A1 (en) * 2004-03-30 2007-09-13 Koninklijke Philips Electronics, N.V. Personal multiple-identification device
US7890604B2 (en) * 2004-05-07 2011-02-15 Microsoft Corproation Client-side callbacks to server events
US20050251380A1 (en) * 2004-05-10 2005-11-10 Simon Calvert Designer regions and Interactive control designers
US8065600B2 (en) 2004-05-14 2011-11-22 Microsoft Corporation Systems and methods for defining web content navigation
US9026578B2 (en) * 2004-05-14 2015-05-05 Microsoft Corporation Systems and methods for persisting data between web pages
US7464386B2 (en) * 2004-05-17 2008-12-09 Microsoft Corporation Data controls architecture
US8156448B2 (en) * 2004-05-28 2012-04-10 Microsoft Corporation Site navigation and site navigation data source
US7530058B2 (en) * 2004-05-28 2009-05-05 Microsoft Corporation Non-compile pages
US20060020883A1 (en) * 2004-05-28 2006-01-26 Microsoft Corporation Web page personalization
CN100363857C (zh) * 2004-11-25 2008-01-23 杭州华三通信技术有限公司 系统bootrom安全访问方法
US20060156381A1 (en) 2005-01-12 2006-07-13 Tetsuro Motoyama Approach for deleting electronic documents on network devices using document retention policies
US7577809B2 (en) * 2005-11-02 2009-08-18 Promethean Storage Llc Content control systems and methods
US7571368B1 (en) 2006-01-26 2009-08-04 Promethean Storage Llc Digital content protection systems and methods
US8243922B1 (en) 2006-02-24 2012-08-14 Hitachi Global Storage Technologies Netherlands B.V. Digital content modification for content protection
US7996899B1 (en) 2006-02-24 2011-08-09 Hitachi Global Storage Technologies Netherlands B.V. Communication systems and methods for digital content modification and protection
CN101410784B (zh) * 2006-04-10 2011-01-12 国际商业机器公司 从多个带记录装置选择数据保存目的地的装置、方法
US7696857B2 (en) * 2006-06-14 2010-04-13 International Business Machines Corporation Method and system for disabling an electronic device upon theft
US9177111B1 (en) 2006-11-14 2015-11-03 Hitachi Global Storage Technologies Netherlands B.V. Systems and methods for protecting software
JP4561759B2 (ja) * 2007-02-21 2010-10-13 ソニー株式会社 情報処理装置、情報記録媒体、および情報処理方法、並びにコンピュータ・プログラム
EP1986123A1 (de) * 2007-04-27 2008-10-29 Italdata Ingegneria Dell'Idea S.p.A. Datenerhebungsgerät mit einem integrierten Anti-manipulations-system
EP2171635B1 (de) * 2007-05-29 2020-11-18 Absolute Software Corporation Offline-datenlöschung mit falschauslösungsschutz
DE102007057477B4 (de) 2007-11-29 2010-01-28 Hypercom Gmbh Vorrichtung zum Überwachen eines Raumes durch seriell verschaltete Schließkontakte, insbesondere Deckelschalter in einem Sicherungsgehäuse
US7530106B1 (en) 2008-07-02 2009-05-05 Kaspersky Lab, Zao System and method for security rating of computer processes
US8272028B2 (en) 2008-10-15 2012-09-18 Ricoh Company, Ltd. Approach for managing access to electronic documents on network devices using document retention policies and document security policies
US8844023B2 (en) * 2008-12-02 2014-09-23 Micron Technology, Inc. Password protected built-in test mode for memories
US8549314B2 (en) 2010-04-29 2013-10-01 King Saud University Password generation methods and systems
CN101954796A (zh) * 2010-10-16 2011-01-26 珠海天威技术开发有限公司 耗材芯片及其数据清除方法、耗材容器
US8621235B2 (en) 2011-01-06 2013-12-31 Verifone, Inc. Secure pin entry device
US8884757B2 (en) 2011-07-11 2014-11-11 Verifone, Inc. Anti-tampering protection assembly
DE102012106512B3 (de) * 2012-07-18 2013-10-24 Fujitsu Technology Solutions Intellectual Property Gmbh Computersystem und Gehäuse für ein Computersystem
DE102013201937A1 (de) * 2013-02-06 2014-08-07 Areva Gmbh Vorrichtung und Verfahren zur Erkennung von unbefugten Manipulationen des Systemzustandes einer Steuer- und Regeleinheit einer kerntechnischen Anlage
CN105095799A (zh) * 2014-04-30 2015-11-25 鸿富锦精密工业(武汉)有限公司 电子装置
US11144634B2 (en) * 2016-09-28 2021-10-12 Nanolock Security Inc. Access control for integrated circuit devices
CN110704359A (zh) * 2019-08-14 2020-01-17 北京中电华大电子设计有限责任公司 一种双核芯片的高安全低功耗的通信方法
US11449783B2 (en) * 2019-10-23 2022-09-20 International Business Machines Corporation Trivalent lattice scheme to identify flag qubit outcomes
US11494524B2 (en) * 2020-12-22 2022-11-08 Lenovo (Singapore) Pte. Ltd. Chassis security switch
EP4191941A1 (de) * 2021-12-03 2023-06-07 Hewlett-Packard Development Company, L.P. Richtlinien für hardware-änderungen oder abdeckungsöffnungen bei computergeräten
CN114526760A (zh) * 2022-01-10 2022-05-24 北京密码云芯科技有限公司 一种外壳打开监测方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BE900069A (nl) * 1984-07-03 1985-01-03 Michiels Willy & Co Nv Inrichting voor inbraakdetectie van een speelautomaat.
US4685312A (en) * 1985-01-24 1987-08-11 Lama Tool Company Disk drive locking device
US4882752A (en) * 1986-06-25 1989-11-21 Lindman Richard S Computer security system
JPH0697443B2 (ja) * 1986-12-25 1994-11-30 東京電気株式会社 デ−タ処理装置
JP2519240B2 (ja) * 1987-04-27 1996-07-31 日本電信電話株式会社 電子機器のプログラム保護装置
WO1990005340A1 (en) * 1988-11-04 1990-05-17 Lama Systems Inc. Personal computer access control system
US4959860A (en) * 1989-02-07 1990-09-25 Compaq Computer Corporation Power-on password functions for computer system
DE68925695D1 (de) * 1989-12-13 1996-03-28 Ibm Rechnersystemsicherheitsvorrichtung
FR2671205B1 (fr) * 1990-12-27 1995-01-20 Telemecanique Procede de controle de l'utilisation d'un poste de travail informatique par mot de passe et poste de travail informatique mettant en óoeuvre ce procede.

Also Published As

Publication number Publication date
JP2565629B2 (ja) 1996-12-18
AU3201993A (en) 1993-09-02
AU663551B2 (en) 1995-10-12
CN1120431C (zh) 2003-09-03
US5388156A (en) 1995-02-07
SG43708A1 (en) 1997-11-14
HK1018826A1 (en) 2000-01-07
DE69326089D1 (de) 1999-09-30
CA2082916C (en) 1996-04-16
MY109086A (en) 1996-11-30
JPH06243047A (ja) 1994-09-02
CN1076534A (zh) 1993-09-22
BR9300396A (pt) 1993-08-31
TW239197B (de) 1995-01-21
KR930018349A (ko) 1993-09-21
EP0558222B1 (de) 1999-08-25
EP0558222A1 (de) 1993-09-01
CA2082916A1 (en) 1993-08-27
KR960003058B1 (ko) 1996-03-04
CN1044160C (zh) 1999-07-14
NZ245756A (en) 1995-12-21
CN1223408A (zh) 1999-07-21

Similar Documents

Publication Publication Date Title
DE69326089T2 (de) Personalcomputersystem mit Sicherheitseigenschaften und -verfahren
DE69130042T2 (de) Personalrechnersystem mit geschütztem Speicher für die Schnittstelle und System-Utility-Programme
DE69027165T2 (de) Verfahren und Gerät zum Schutz eines Rechnersystems
US5712973A (en) Wireless proximity containment security
US5555373A (en) Inactivity monitor for trusted personal computer system
DE3901457C2 (de)
US5287519A (en) LAN station personal computer system with controlled data access for normal and unauthorized users and method
DE19781829C2 (de) Verfahren und Vorrichtung zum Schützen eines Flash-Speichers
US5918007A (en) Trusted personal computer system with limited accessibility
US5265163A (en) Computer system security device
DE3750249T2 (de) Privilegausführung in Mikroprozessoranordnungen zur Verwendung in der Software-Gütersicherung.
DE69132809T2 (de) Verfahren und Anordnung zur Ausführung von Sicherheitswegbefehlen
DE69401428T2 (de) Hardwaregesteuerter schutz für rechnerspeichervorrichtungen
DE69724862T2 (de) Verfahren und Anordnung für die Zugangs- und Informationsverfälschungskontrolle in Rechnersystemen
DE3851049T2 (de) Ein Sicherheitswegmechanismus für ein Betriebssystem.
DE69325072T2 (de) Gesicherte Speicherkarte
DE112005002985B4 (de) Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer
KR970006392B1 (ko) 보안 기능을 갖는 퍼스널 컴퓨터 시스템
DE112004001605T5 (de) Computersystem, in welchem eine abgesicherte Ausführungsumgebung angewendet wird und in dem eine Speichersteuerung enthalten ist, die zum Löschen des Speichers ausgebildet ist
DE69032346T2 (de) Verfahren und System zur Sicherung von Datenendgeräten
DE10196440T5 (de) Steuern des Zugriffs auf mehrere isolierte Speicher in einer isolierten Ausführungsumgebung
EP0080244B1 (de) Verfahren zum Identifizieren eines systemverwandten, physikalisch trennbaren Programmspeichers und ein dieses Verfahren verwendendes Datenverarbeitungssystem
DE4210163C1 (en) Hardware protector for external mass data memory or disc used by personal computer - comprises plug-in card and raised data control card, with connector strip along one edge
WO1993019413A2 (de) Schaltungsanordnung zum hardwareschreibschutz für externe massenspeicher von personalcomputern (pc)
WO1993019412A2 (de) Schaltungsanordnung zum schreibschutz für externe massenspeicher

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee