CN100419619C

CN100419619C - 计算机系统中总线系统周边装置的操作方法

Info

Publication number: CN100419619C
Application number: CNB2005100093219A
Authority: CN
Inventors: C·施内肯布格
Original assignee: Infineon Technologies AG
Current assignee: Infineon Technologies AG
Priority date: 2004-02-18
Filing date: 2005-02-18
Publication date: 2008-09-17
Anticipated expiration: 2025-02-18
Also published as: FR2866452A1; US20050182860A1; FR2866452B1; CN1658114A; DE102004007994A1; DE102004007994B4

Abstract

本发明关于一种计算机系统(1)中总线系统(2)的周边装置(3)的操作方法，在该方法中，所提供的该计算机系统(1)的一总线驱动器(9)已通过一认证功能(8)而延伸，而所提供的该周边装置(3)的一装置驱动器(7)则已通过一认证功能(11)而延伸；该周边装置(3)连接至该计算机系统(1)的该总线系统(2)，而该装置驱动器(7)安装于该计算机系统(1)上。该周边装置(3)被认证，且接着一使用者具有对于连接至该计算机系统(1)的该周边装置(3)的一访问权。火线总线系统为一个人计算机系统和数位影音系列总线界面标准，其提供高速沟通和同步实时数据服务。小型计算机系统用在小型计算机系统界面上且为一标准界面和在内部或外部计算机系统总线的装置间传送数据的命令集。

Description

计算机系统中总线系统周边装置的操作方法

技术领域

本发明是关于一种计算机系统中总线系统周边装置的操作方法。

背景技术

除了内部周边装置(例如适配卡或硬盘)之外，今日的计算机系统具有多种能够在外部操作的周边装置，例如移动式数据储存媒体，其能够连接至该计算机系统的一总线系统，而由于其应用性与多功能性，这些数据储存装置已逐渐取代了整合于该计算机系统中的储存媒体。

特别是，通用串行总线(USB)因其为一简单且具有高度尺寸规划性能的通用标准接口而渐渐变地重要，USB总线系统的优势之一在于其具有能够在操作中增加或移除周边装置的能力，可于该总线系统对所连接的装置加以初始化并加载该装置的驱动器。

若计算机系统于其硬盘中具有机密数据，则使用者将经常自该计算机系统移除储存媒体(例如软式磁盘驱动器)，以避免该机密数据的非预期传送；然以上述的简单方式来激活该计算机系统的外部周边装置仍可能导致数据的交换。然而，实际封锁其连接性能(例如封锁该计算机系统中的一实体连接器)可避免任何的数据交换，如此一来，即使是预期的动作，例如：安装软件更新，亦不再能够被执行。

发明内容

本发明的目的在于提出一种解决方式，以一特定应用及/或特定装置的方式来调节一计算机系统上的周边装置的操作。

该目的可通过提供一方法而达成，该方法包含下列步骤：

-提供该计算机系统的一总线驱动器，其已通过一认证功能而延伸；

-提供该周边装置的一装置驱动器，其已通过一认证功能而延伸；

-连接该周边装置至该计算机系统的该总线系统；

-安装该装置驱动器于该计算机系统上；

-认证该周边装置；以及

-对连接至该计算机系统的该周边装置指定一使用者访问权。

根据本发明，其以一与访问权的指定有关的方式来控制一使用者的存取，该计算机系统的该总线驱动器与该装置驱动器已由一认证功能延伸以执行认证，此一功能有助于该周边装置对于该计算机系统的识别，其可利用该识别来证实对该周边装置的读取及/或写入能否被执行。

为了执行认证，一旦该计算机系统识别出所连接的装置、且已安装供该装置操作所需的驱动器时，该计算机系统便传送一质疑(其以数据提供)至该周边装置；在该周边装置的一存储器的安全区域中储存了一金钥与一加密算法，该周边装置使用该算法与该金钥来计算来自该质疑数据的一响应，并传送该响应至该计算机系统以作为响应数据，该响应数据便接着由该计算机系统进行评估。

此一程序的优势在于能够将欲传送数据的操控排除至最大可能的范围，因而该计算机系统能够使用与该周边装置相同的金钥、或是其本身的算法来加密欲传送至该周边装置的数据，并且能够将此一结果与该周边装置所传送的响应数据进行比较、或是比较由不同的金钥(指定至该周边装置者)所产生的数据以及与该响应数据储存于一存储器中的数据，且能够根据比较结果来授予相关的访问权。

根据本发明的一较佳实施例，该等访问权被分为该周边装置的使用者的读取及/或写入权、以及存取拒绝；举例而言，当该周边装置本身因基于未执行该认证功能的标准驱动器的考量而无法被该计算机系统识别时，便无法对该周边装置进行存取。

举例而言，若仅授予读取权时，便能够将储存于该周边装置的软件加载该计算机系统；读取与写入权允许了该周边装置与该计算机系统之间的双向数据交换。

该周边装置的形式可为一储存媒体，例如：为棒状形式的一快闪存储器(flash memory)。而上述的方法可于能够与该计算机系统任何总线系统连接的任何周边装置中执行。

根据本发明，提供一种用以操作一计算机系统的一总线系统的一周边装置的方法，该方法具有下列步骤：提供该计算机系统的一总线驱动器，其已通过一认证功能而延伸；提供该周边装置的一装置驱动器，其已通过一认证功能而延伸；连接该周边装置至该计算机系统的该总线系统，该计算机系统具有一操作系统；所述总线驱动器的认证功能首先避免所述操作系统激活所连接的周边装置；通过该操作系统检查该周边装置的一装置识别码；若该装置识别码是该操作系统所知，则自动安装该装置驱动器于该计算机系统上；认证该周边装置，其包含以下步骤：质疑数据自该计算机装置传送至该周边装置；该周边装置使用一加密算法与金钥以计算认证参数；由该周边装置所计算出的该认证参数通过一响应数据而被传送至该计算机系统；以及该计算机系统处理该响应数据；以及对连接至该计算机系统的该周边装置指定一使用者访问权。

附图说明

本发明的其它较佳设计与发展于以下进行说明。

本发明将参考下列图式而加以详细说明，其中：

图1图标说明了执行本发明的方法所需的组件，以及

图2为本发明的方法的流程图。

具体实施方式

在一实施例中，图1说明了用以执行本发明方法所需的组件。一计算机系统1(例如一传统个人计算机)具有一总线系统2以连接一外部周边装置3；在此例中，可使用一串行总线系统或是一并行总线系统。该周边装置3是经由一连接4而连接至该计算机1的该总线系统2；所示的该计算机1使用一操作系统5，例如由微软(Microsoft)公司所提供的Windows系列的操作系统。

关于该周边装置3的连接，该计算机1的该操作系统5自动检查了储存于该周边装置3的一存储器6中的一识别码，并自动安装该操作系统5或该周边装置3中可用的一装置驱动器7；该计算机1更具有一认证功能8，其首先避免该操作系统5激活所连接的周边装置3，并独立确认该周边装置3是否由一使用者激活。为此，该认证功能8是连接为该总线系统2或一总线驱动器9与该操作系统5间的一逻辑接口。

同样地，该周边装置3具有一认证功能11，其经逻辑配置于该装置驱动器7与该周边装置3的一操作系统10之间，且使用储存于该存储器6的一安全存储区域12中的一加密算法与一金钥来加密该计算机1已传送的一数据记录，并将该数据记录传送至该计算机1。该计算机1评估所接收的数据记录并使用一评估结果来确定该周边装置3的使用者访问权。

图2说明了根据本发明的一方法序列。于一第一步骤13中，将该周边装置3连接至该计算机1，使得该操作系统5可检查该周边装置3的一装置识别码；若该装置识别码是该操作系统5所知，则安装一可用于该操作系统5的装置驱动器7；若该装置3尚未注册，则使用一手动设定盒来要求使用者安装该装置3本身的软件，在该装置被指定一地址之后便能够开始操作。

该认证功能8允许了对该周边装置3的存取，该认证功能8可为该总线驱动器9的一部份；为此，在一步骤14中，该总线驱动器9的该认证功能8传送一数据记录至该周边装置3，该周边装置3识别并处理该要求，而基于已执行的认证函数与该装置驱动器的部分，通过使用储存于该存储器6的该安全存储区域12中的金钥来加密该数据记录，且在步骤15中，传送一响应至该计算机1以作为响应数据。

在一步骤16中，该总线驱动器9的该认证功能8评估了该响应数据，并将其与储存于该计算机系统1的一存储器中与关于欲指定的存取认证的数据相互比较；该数据能够被配置以使得该计算机的一管理者能够随意决定能够授予该计算机的使用者哪一种以一定义金钥所提供的周边装置的访问权。关于指定访问权的步骤则由组件符号17表示。

根据本发明的方法可以一非常弹性且简单的方式来管理连接至计算机的周边装置的访问权，而对不同的周边装置指定不同的访问权。

组件代表符号说明

1计算机系统

2总线系统

3周边装置

4连接

5操作系统

6存储器

7装置驱动器

8认证功能

9总线驱动器

10操作系统

11认证功能

12存储区域

13方法步骤

14方法步骤

15方法步骤

16方法步骤

17方法步骤

Claims

1. 一种用以操作一计算机系统(1)的一总线系统(2)的一周边装置(3)的方法，该方法具有下列步骤：

-提供该计算机系统(1)的一总线驱动器(9)，其已通过一认证功能(8)而延伸；

-提供该周边装置(3)的一装置驱动器(7)，其已通过一认证功能(11)而延伸；

-连接该周边装置(3)至该计算机系统(1)的该总线系统(2)，该计算机系统(1)具有一操作系统(5)；

-所述总线驱动器(9)的认证功能(8)首先避免所述操作系统(5)激活所连接的周边装置(3)；

-通过该操作系统(5)检查该周边装置(3)的一装置识别码；

-若该装置识别码是该操作系统(5)所知，则自动安装该装置驱动器(7)于该计算机系统(1)上；

-认证该周边装置(3)，其包含以下步骤：

-质疑数据自该计算机系统(1)传送至该周边装置(3)；

-该周边装置(3)使用一加密算法与金钥以计算认证参数；

-由该周边装置(3)所计算出的该认证参数通过一响应数据而传送至该计算机系统(1)；以及

-该计算机系统(1)处理该响应数据；以及

-对连接至该计算机系统(1)的该周边装置(3)指定一使用者访问权。

2. 如权利要求1所述的方法，其中处理包含评估该响应数据以及比较所评估的结果与储存于该计算机系统(1)的一存储器中且与欲指定的访问权有关的数据。

3. 如权利要求1所述的方法，其中指定访问权的步骤包含了一读取及/或写入权、或无访问权的指定。

4. 如权利要求2所述的方法，其中认证是通过该总线驱动器(9)与装置驱动器(7)的认证功能(8，11)而执行。

5. 如权利要求3所述的方法，其中当指定一读取及/或写入权时，该总线驱动器(9)的该认证功能(8)使数据得以在该计算机系统(1)与该周边装置(3)间以一与该读取及/或写入权有关的方式来进行交换。

6. 如权利要求1所述的方法，其中该金钥是储存于该周边装置(3)的一存储器(6)的一安全存储区域(12)中。

7. 如权利要求1至4任一所述的方法，其中对于该周边装置(3)的该访问权是由该计算机系统(1)的管理者所配置。

8. 如权利要求1所述的方法，其中该周边装置(3)是于该计算机系统(1)一通用串行总线或小型计算机系统接口或火线总线系统(2)上操作。

9. 如权利要求1所述的方法，其中该周边装置(3)是一可移动的储存媒体。

10. 如权利要求9所述的方法，其中该可移动的储存媒体是一快闪存储器。