CN1714358A - 启用智能卡的安全计算环境系统 - Google Patents
启用智能卡的安全计算环境系统 Download PDFInfo
- Publication number
- CN1714358A CN1714358A CNA028228960A CN02822896A CN1714358A CN 1714358 A CN1714358 A CN 1714358A CN A028228960 A CNA028228960 A CN A028228960A CN 02822896 A CN02822896 A CN 02822896A CN 1714358 A CN1714358 A CN 1714358A
- Authority
- CN
- China
- Prior art keywords
- user
- password
- smart card
- module
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims description 33
- 238000012545 processing Methods 0.000 claims description 26
- 230000008569 process Effects 0.000 claims description 21
- 238000009825 accumulation Methods 0.000 claims description 12
- 238000012360 testing method Methods 0.000 claims description 12
- 230000000737 periodic effect Effects 0.000 claims description 11
- 238000004321 preservation Methods 0.000 claims description 3
- 230000008878 coupling Effects 0.000 claims 4
- 238000010168 coupling process Methods 0.000 claims 4
- 238000005859 coupling reaction Methods 0.000 claims 4
- 238000001514 detection method Methods 0.000 claims 3
- 230000000295 complement effect Effects 0.000 claims 2
- 230000001186 cumulative effect Effects 0.000 abstract 4
- 238000010586 diagram Methods 0.000 description 21
- 230000008676 import Effects 0.000 description 12
- 230000000903 blocking effect Effects 0.000 description 9
- 230000008859 change Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 230000007613 environmental effect Effects 0.000 description 4
- 230000003203 everyday effect Effects 0.000 description 3
- 238000003780 insertion Methods 0.000 description 3
- 230000037431 insertion Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 239000000654 additive Substances 0.000 description 2
- 230000000996 additive effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000003442 weekly effect Effects 0.000 description 2
- PEDCQBHIVMGVHV-UHFFFAOYSA-N Glycerine Chemical compound OCC(O)CO PEDCQBHIVMGVHV-UHFFFAOYSA-N 0.000 description 1
- HCBIBCJNVBAKAB-UHFFFAOYSA-N Procaine hydrochloride Chemical compound Cl.CCN(CC)CCOC(=O)C1=CC=C(N)C=C1 HCBIBCJNVBAKAB-UHFFFAOYSA-N 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Development Economics (AREA)
- Finance (AREA)
- Databases & Information Systems (AREA)
- Strategic Management (AREA)
- General Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- General Business, Economics & Management (AREA)
- Marketing (AREA)
- Economics (AREA)
- Game Theory and Decision Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种启用智能卡的安全计算环境系统,该系统锁定主机系统,以免用户进行访问,并且所述系统等待将智能卡插入附着或共存的智能卡读取器。在将智能卡插入智能卡读取器时,本发明要求用户输入他的智能卡口令,所述口令与智能卡上的口令进行比较。如果这两个口令匹配,则本发明在一个有效用户访问文件中查找该用户的用户名并且在访问文件中找出其相关访问时间和/或累积时间限度。如果当前时间是在任何一个有效访问时间以内并且用户的累积使用时间是在规定的累积时间限度以内,则许可所述访问并且解锁该系统。在用户使用计算机的同时,本发明周期性地检查当前时间。如果进入一个封锁时间周期或者超出了累积时间限度,则用户注销设备并且计算机将被锁定,以免用户进行访问。如果在任何时间从智能卡读取器中取出了用户智能卡,则本发明将会关闭所有的用户程序并且锁定该系统。
Description
技术领域
本发明涉及个人计算机安全性。更为特别的是,本发明涉及使用私人智能卡来管理用户对计算机环境所进行的访问控制。
背景技术
当前的计算环境通常需要用户以物理方式来移动膝上或笔记本便携计算机,以便在从一个地方移动到另一个地方的时候保持功能完整并且真正私人的计算环境。尽管膝上和笔记本计算机在物理上是很小的,但是相对而言,它们的体积很大并且很重,因此移动计算机用户不断寻求那些提供和保持了私人计算环境的更小更轻的设备。
近来在商业上普及的这种更小更轻的设备的一个实例是个人数字助理(“PDA”)。然而,虽然PDA比膝上或笔记本计算机更小更轻并且提供了私人计算环境,但是它们目前并未提供桌面、膝上或笔记本便携式计算机的全部功能。
例如,在从一个计算机用户具有功能完整的计算环境的环境中移除PDA时,首先必须为PDA加载用于该环境的恰当部分的最新数据映像,例如地址薄、日历、电子邮件等等。同样,当PDA返回到功能完整的计算环境时,必须将PDA中那些从离开功能完整的计算环境以来发生了变化的数据从PDA回送到用户的常规计算机和/或与所述计算机保持同步,反之亦然。
在全世界的工业国家中,能够接入因特网的台式计算机是到处存在的。在旅行的时候,计算机用户通常可以获得对这种计算机的访问并且可以使用该计算机的因特网接入而在全世界进行通信。在具有足够数据并进行了恰当配置的情况下,这种计算机原则上可以为移动计算机用户提供功能完整的个人计算环境。然而,在机场电话亭或通宵旅馆这类远程或过渡位置建立一个移动计算机用户的功能完整的计算环境,这需要通过无误差的输入数量巨大并且高度详细的信息来配置本地计算机。
通过对本地计算机进行配置,使之为移动计算机用户提供功能完整的个人计算机环境,这其中需要的信息与得到的益处比较起来大到了不成比例的程度。因此,当前并没有任何便利的硬件或软件能使移动计算机用户在自身携带了私人的功能完整的计算环境的情况下,在世界上的任何地方从一台计算机移动到另一台计算机。
此外,在用户从台式计算机移动到台式计算机或是使用一台便携式膝上计算机的情况下,公司的IT团队(以及单独的计算机所有者)需要对公司(和个人)计算机的使用情况进行调整。当前,要访问这些计算机只限于输入用户名和口令。一旦正确输入了用户名和口令,则允许用户访问一台“安全”计算机。然而,用户名和口令是很容易获取的。
当前,智能卡主要用于简化金融事务。然而,由于智能卡中至少包含了少量非易失可读和可写存储器,并且可以包括一个可编程处理器,因此它们本身具有一种在金融事务之外的应用中使用的能力。将数据存入智能卡、访问该数据以及激活智能卡处理器来执行一个计算机程序,所有这些都需要将智能卡与某种类型的读取器/终端互连。这个智能卡特征限制了放宽将智能卡用在移动计算应用中的可能性,因为当前通常没有一种能够支持将智能卡用于金融事务之外的应用的架构。
因此较为有利的是提供一个启用智能卡的安全计算环境系统,所述系统允许用户或系统管理员对计算机进行配置,以便根据用户智能卡中包含的信息来调整相对于计算机所进行的使用和访问。此外较为有利的是提供一个启用了智能卡的安全计算环境系统,其中该系统允许用户或系统管理员以每个智能卡为基础并基于使用时间或持续时间来对计算机的使用进行灵活调整。
发明内容
本发明提供了一个启用智能卡的安全计算环境系统。所述系统允许用户或系统管理员对计算机进行配置,以便基于用户智能卡中包含的信息来对计算机的使用和访问进行调整。此外,本发明允许用户或系统管理员以每个智能卡为基础并基于使用时间或持续时间来对计算机的使用进行灵活调整。
本发明的优选实施例锁定了主机系统,以免用户进行访问,并且所述实施例等待将智能卡插入附着或共存的智能卡读取器/终端。在将智能卡插入智能卡读取器的时候,本发明要求用户输入其智能卡口令,其中所述口令将会与智能卡上的口令进行比较。
如果这两个口令匹配,那么本发明在一个有效用户访问文件中查找用户的用户名,如果没有发现所述用户名,则拒绝所述访问。否则,本发明在访问文件中找出用户的用户名及其相关访问时间和/或累积时间限度。如果当前时间是在任何一个有效访问时间以外,则拒绝所述访问。如果设定了一个可选的累积时间限度并且用户的累积使用时间超出了规定的累积时间限度,则拒绝所述访问。
如果当前时间处于有效访问时间内部并且(可选地)用户累积使用时间是在规定的累积时间以内,则许可所述访问并且解锁系统。
在用户使用计算机时,本发明将对当前时间进行周期性检查。如果达到一个封锁访问时间,则在预定间隔对用户发出警告。在进入封锁时间周期时,用户将会注销设备并且计算机将被锁定,以免用户对其进行访问。
如果规定了累积时间限度,那么在周期性检查当前时间的时候,本发明会把从上次检查以来的时间添加到用户累积使用时间之中并且会在访问列表中保存新的累积时间。如果用户累积使用时间即将超出任何一个规定的累积时间限度,则向用户发出警告。一旦进入了封锁时间周期,则用户注销设备并且计算机将被锁定,以免用户进行访问。
如果在任何时间从智能卡读取器/终端中移除用户智能卡,那么本发明将会关闭所有的用户程序并且锁定系统。
本发明允许用户仅仅将智能卡插入智能卡读取器/终端而自动登录到Windows XP主机。本发明需要用户对其智能卡口令进行一次验证并且记住用户已经验证了其智能卡口令。然后,用户可以从读取器取出智能卡并且本发明将会锁定系统。如果用户回到计算机并且重新将其智能卡插入读取器,那么本发明将会解锁计算机并且用户将会从其离开的地方开始继续工作。然而如果另一个用户将智能卡插入读取器,那么本发明会从Windows XP中注销先前用户并且终止该用户的进程。
附图说明
本发明的其他方面和优点将从以下结合了借助实例来描述本发明原理的附图的详细描述而变得非常清楚,其中:
图1是显示了依照本发明而在用户为个人计算环境规定所需要的索引时进行的客户机到服务器的交换执行流程的流程图;
图2是显示了根据本发明而在用户为个人计算环境规定所需要的索引时进行的客户机到服务器的交换执行流程的流程图;
图3是显示了依照本发明来对服务器数据库与智能卡之间的用户个人计算环境数据进行管理的模式的流程图;
图4是显示了依照本发明而可以在客户机和服务器上访问的用户索引的框图;
图5是显示了依照本发明而在客户机与服务器之间进行的用户索引交换的框图;
图6是显示了在依照本发明删除用户索引时在用户智能卡、客户机、服务器以及冗余服务器之间进行的数据交换的框图;
图7是一个对依照本发明而在特定用户重新定位时切换负责该用户的服务器的情况进行描述的框图;
图8是一个根据本发明并对基于服务器的数据管理系统的客户机与服务器任务进行描述的本发明优选实施例的面向任务的观点的框图;
图9是一个根据本发明并对基于客户机的数据管理系统的客户机与服务器任务进行描述的本发明优选实施例的面向任务的观点的框图;
图10是一个显示了根据本发明而与一个保存用户或系统管理员所定义的访问信息的计算机系统相连的智能卡读取器的示意图;
图11是一个显示了根据本发明的访问时间管理界面的屏幕快照的示意图;
图12是一个显示了根据本发明而在允许基本用户为其它用户设定访问时间之前进行的基本用户验证的流程图;
图13是一个显示了依照本发明进行的本发明的用户验证和访问时间周期调整的常规操作的流程图的框图;
图14是一个依照本发明的本发明优选实施例的面向任务的观点的框图,其中所述实施例描述了与设定访问时间周期、标识有效用户智能卡、并且经由时间周期来调整用户访问相关联的模块;
图15是一个依照本发明而使用低价存储卡自动登录到WindowsXP的本发明优选实施例的流程图的框图;以及
图16是一个显示了根据本发明而使用低价存储卡自动登录到Windows XP的本发明优选实施例的流程图的框图。
具体实施方式
本发明是在一个启用智能卡的安全计算环境系统中实现的。依照本发明的系统允许用户或系统管理员对计算机进行配置,以便根据用户智能卡中包含的信息来对计算机的使用和访问进行调整。此外,本发明允许用户或系统管理员以每个智能卡为基础并基于使用时间或持续时间来对计算机使用进行灵活的调整。
本发明是基于用户智能卡中包含的信息而为用户或系统管理员提供限制用户访问计算机的时间或使用计算机的持续时间的。本发明还提供了一种系统,所述系统基于用户的廉价存储卡中包含的信息而允许自动的Microsoft Windows XP的用户。
本发明的一个优选实施例在智能卡中保存了足够信息,以便允许表征移动计算机用户的私人的功能完整的计算环境。移动个人计算环境提供的信息可以随着系统的不同而改变。然而,智能卡中保存的信息量足以为用户创建一个一致的计算环境。而诸如操作系统性能、收藏网站、电子邮件地址、信用卡信息、ISP信息、程序首选项、程序环境等信息都保存在智能卡中。
参考图1,当用户开始使用客户计算机时,他是通过在启动101时自动加载本发明的客户计算机程序或是手动启动本发明的客户计算机程序来激活所述程序的。智能卡读取器/终端连接或是驻留在读取用户智能卡的用户计算机中。客户计算机程序从智能卡中检索索引103。用户则经由本发明的用户接口而为本发明规定了建立至少一部分移动个人环境所需要的数据104。
本发明对智能卡进行检查,以便确定是否在智能卡的本地存储器105中存在规定的数据。如果在智能卡存储器中存在规定数据,则本发明从智能卡中检索所述数据,以便供本发明106后续使用。如果在智能卡存储器中不存在规定的数据,则本发明经由因特网或其他方法来访问一个安全服务器108,其中该服务器保存的是更全面地表征了移动计算机用户私人的功能完整的计算环境的附加数据。然后,本发明从服务器中检索规定的数据,以便供本发明后续使用,并且本发明还会更新智能卡数据110。如果在服务器上没有数据108,则所述数据是来源于用户的那些访问因特网所必须记录和使用的全新数据。
对图2来说,在从智能卡、服务器或直接从用户检索了必要数据的情况下,客户计算机程序使用所述数据来构造一个统一资源定位符(URL)201,如果可能的话,所述程序收集那些间接或直接访问一个因特网站点所需要的用户名、口令和因特网站点书签数据202,其中所述因特网站点至少构成了移动计算机用户的移动个人环境的某个部分。
然后,通过使用以这种方式构造的数据,本发明构造了一个URL命令并且将其发送到因特网203。如果URL、用户名、口令和因特网站点书签数据完整的话,则允许移动计算机用户登录到规定的因特网站点204并且直接转入因特网站点上的一个规定页面205。如果某些信息是错误或不完整的,则通过与借助URL所访问的因特网站点进行交互,移动计算机用户可以根据需要来输入用户名、口令和因特网页面数据,以便访问预期的因特网页面207、208,此外也可以通过一个图形用户界面(GUI)来提供信息,其中所述GUI提供了拖放能力210、211。
参考图3,为了初始化或更新智能卡上保存的索引,用户将会激活本发明的客户计算机程序301、302,以便指示程序经由因特网或其他方法来访问保存了附加信息的服务器303,所述信息表征的是移动计算机用户私人的功能完整的计算环境。服务器允许用户改变表征其私有移动个人环境的数据304,例如向其环境中添加一个新的因特网站点。当用户规定在移动个人环境中做出改变的时候,服务器连接到规定的因特网站点并且确定已更新的索引,以便将其保存在智能卡上305。
在连接到规定的因特网站点并且更新了服务器保存的计算环境信息之后306,本发明尝试更新与用户计算机相连的用户智能卡上保存的索引307。如果智能卡存储器是满的309,则从智能卡保存的记录中删除一个记录,直到智能卡具有足够的自由存储空间来保存已更新的索引311,然后则将所述更新索引写入智能卡存储器310。否则,如果智能卡存储器未满309,则将已更新的索引立即保存在智能卡上310。除了在智能卡上保存更新索引之外,服务器还在数据库中保存了表征这个移动计算机用户的移动个人环境的已更新索引308。
如果服务器数据库中未使用的存储器数量足以保存更新索引312,则将信息保存在数据库中313。否则,服务器首先为用户提供一个为索引分配更多服务器存储器的机会314。如果用户拒绝提供附加存储器,则服务器从数据库中删除一个记录,直到服务器具有足够的自由存储空间来保存更新索引316。然后,服务器将更新的索引添加到数据库保存的索引中315。如果用户接受提供的辅助存储器314,则将新的索引添加到服务器的数据库中315。一开始,移动计算机用户能够根据需要来规定表征其移动个人环境的更新数据。
在将数量比用户智能卡上可用信息更大的信息保存在服务器上的时候,允许用户创建索引集合。然后,用户可以在将要下载到其智能卡的不同信息集合之间进行选择。例如,对用户的美国办公室、外国办公室乃至他的住宅来说,用户可以将其智能卡设定成它的个人移动计算机环境。这么做将会允许用户表征他所使用的每一个独立和不同的计算机系统。
本领域技术人员很容易了解,尽管上文对移动计算机用户的个人计算环境进行了具体描述,但是很容易使用其它类型的信息来将其取代,例如个人数据、金融数据、操作系统、计算机个性化数据、视频和/或音频数据等等。
对图4来说,本发明提供了一个允许将智能卡用于金融事务之外的应用的架构。智能卡404与一个可以经由因特网、外联网或内部网402进行通信的智能卡读取器/终端互连。通过使用这个设备401,计算机用户为某些计算功能规定了特性。假设读取器/终端与用户的个人计算机相连,则可以将一个用于规定的计算功能的索引存入计算机存储器403。同样,所述索引还被存入了智能卡404以及一个可以经由因特网、外联网或内部网402、405、406访问的服务器。
参考图5,由于智能卡只具有极少的存储器,因此智能卡通常只保存了计算机用户的全部索引中的一小部分。当这些索引完全填满了可用智能卡存储器504的时候,添加另一个索引将会导致从智能卡存储器504中删除那些最近最少使用的索引。然而与智能卡504相比,服务器原则上可以保存更多的索引505,因此可以在服务器502、506上继续保留那些已经从智能卡504中删除的索引并且可以对所述索引进行访问。这样一来,智能卡504传送的是那些表征单独计算机用户503、505规定的至少某部分计算功能,由此使得全世界的计算机用户能在任何适当编程的智能卡读取器/终端上访问这些功能506。
对图6来说,在访问预先规定的计算机功能的过程中,智能卡604放在了恰当编程的读取器/终端601中,其中智能卡604保存的索引从智能卡传送到读取器/终端或主机设备存储器603。如果所请求的索引在智能卡存储器604中并不存在,则设备601经由因特网、外联网或内部网607来访问服务器602,以便检索其中保存的索引606。由于从服务器602检索特定索引,从而使之成为了最近最常使用的索引,因此设备601将这个索引传送到设备的存储器603并且使用最近最常使用的索引来替换智能卡存储器604中最近最少使用的索引605。如果在数据库606全满时将一个新索引添加到服务器数据库606中,则系统丢弃最近最少使用的索引608,如果可能的话,系统会为用户给予选项,以便如上所述为用户记录分配更多的服务器存储器。
本发明的另一个优选实施例添加了一个备份服务器609,其中包含了主服务器602服务的整个用户数据库606的一个一致拷贝。如果主服务器602出现故障,则备份服务器609进行接管。而备份服务器的数据库610与外部接口611则等同于主服务器602的组件。
另外,在这里可以将多个服务器与负载均衡一起使用,以便处理大量客户机请求。举例来说,所述客户机可以通过使用来自每一个服务器的响应时间(RTT)来确定最佳选择,由此在服务器之间执行自己的负载均衡。如果服务于用户的主服务器出现故障或以别的方式而无法访问,则客户机自动切换到另一台服务器。
参考图7,为了高效使用分布在世界上不同位置的服务器资源,本发明记录了用户可以从中访问他的移动个人环境的世界上的不同位置。记录这种数据将使得服务器能够合理确定用户已经从一地移动到另一地,例如从美国移动到日本。举例来说,如果通常来自美国701、702、703并且先前访问了移动个人环境704的用户突然在例如一到两月的扩展时间间隔开始完全从日本706、707、708访问这些环境704、709,那么服务器704合理确定用户从美国移至日本。如果服务器704确定用户变换了住处并且如果存在另一台在物理上接近用户新住所的服务器709,那么操作这两台服务器704、709的系统会将用户移动个人环境索引705从较远的服务器704传送到较近的服务器709。
本发明允许移动计算机用户在单个智能卡上携带表征其移动个人环境以及在世界任何地方快速建立移动个人环境所需要的全部信息。
就图8而言,其中显示了本发明优选实施例的高层任务的观点。用户将智能卡805插入连接或是驻留在客户计算机之中的智能卡读取器。配置客户系统模块806通过读/写智能卡模块803来读取智能卡805。根据用户的首选项设定,配置客户系统模块806可以将客户计算机自动配置成用户个人计算环境,也可以通过用户接口802而从智能卡805中为用户查询所需要的信息,以便(如上所述)配置用户个人计算环境。
用户还可以管理那些保存在智能卡805和服务器数据库811上的索引。服务器接口模块801与包含了用户信息的安全服务器进行通信。而所述通信则经过了服务器上的管理用户信息模块807所提供的安全网站。管理用户信息模块807显示的是服务器数据库811保存的用户索引。用户则通过安全网站来请求他的索引。查找用户信息模块810从服务器数据库811中检索该用户的索引。并且所述查找用户信息模块810将索引信息中继到管理用户信息模块807。而驻留在用户智能卡805上的索引则是通过服务器接口801发送到管理用户信息模块807的。比较用户信息模块808对智能卡索引以及来自服务器数据库811的用户索引进行比较,其中所述模块关联并比较这两个来源之间的任何差别。而管理用户信息模块807则借助一个安全网页来将信息显示给用户。
用户可以通过与安全网页之间连接的用户接口模块802来创建(相对新用户)、添加、删除和更新他的索引。服务器数据库811的索引是由更新用户记录模块809来进行更新的。智能卡索引是由管理用户信息模块807通过服务器接口801来更新的。服务器接口801则将更新信息发送到更新智能卡模块804。所述更新智能卡模块804通过读/写智能卡模块803而将信息写入智能卡805。
在存在多个服务器的情况下,所述服务器数据库811冗余保存在其他服务器之间。服务器数据库811是用来自其他服务器的信息并由管理服务器数据库模块812来更新的。任何针对本地发起的服务器数据库811的新的更新都是由管理服务器数据库模块812发送到其他服务器的。
另外、任何将用户索引记录从一个服务器传送到更为本地的服务器(如果用户变换到另一个位置)都是由管理服务器数据库模块812来执行的。
参考图9,其中显示了本发明的另一个优选实施例,所述实施例执行的基本功能与图8描述的功能相同,只不过客户机具有一个实质可能是临时的服务器连接,例如拨号调制解调器连接。图8与9之间操作上的差别出现在当用户在其智能卡和服务器数据库上管理其索引的时候。客户机通过驻留在客户机上的管理用户信息模块901而与服务器上的客户机接口模块908相连。客户接口908为管理用户信息模块901收集用户索引。用户记录则是由查找用户信息模块910从服务器数据库911中检索的。
一旦管理用户信息模块901接收了用户索引,则客户机可以与服务器断连并且用户以与客户机脱机的方式来管理他的索引。比较用户信息模块907也是以如上方式来进行操作的。从服务器数据库911与智能卡905获取的信息经由用户接口902显示给用户。在用户更新其索引并且需要对服务器数据库911上的用户记录进行任何改变之后,客户机与服务器的客户接口908将会重新连接。服务器数据库911则是由更新用户记录模块909所进行的任何变化来更新的。
本发明的另一个优选实施例是对整个服务器数据库911进行加密。每一个用户记录都是单独加密的,这样一来,如果黑客访问并解密一个用户记录,那么无论如何都不会损害到其他用户记录。对用户记录所进行的实际加密是由客户机执行的。管理用户信息模块901从服务器上检索用户加密记录。如果这个操作失败,则用户必须创建一个新的记录,以便进行访问。服务器则使用智能卡905的ID来进行查找,并且通过查找用户信息模块910来检索用户记录。所述服务器并不知道所述记录的内容,只是知道所述记录归属于所述用户(非常类似保险箱)。而记录则是经由客户机接口模块908发送回客户机的。
管理用户信息模块901使用智能卡905中保存的智能卡加密密钥信息来对用户记录进行解密。每一个智能卡都是唯一的,并且加密密钥只存在于特定智能卡而不是服务器上。一旦用户完成了针对记录中的索引所进行的任何变换,则管理用户信息模块901使用智能卡905上的加密密钥来加密用户记录并将这个记录回送到服务器。客户机接口模块908向更新用户记录模块909发送加密记录,其中所述更新用户记录模块909使用新的加密用户记录来替换服务器数据库911中的用户记录。
这种方法确保了在用户记录与智能卡之间存在一一对应;服务器数据库911中的每一个用户记录只能由特定智能卡解密。此外还确保了服务器数据库911是安全和不易受到损害的。入侵者必须实际具有每个现有智能卡来破解整个数据库。
如果用户丢失了他的智能卡,则存在一个改变或是重新创建智能卡的过程。用户将一个新的智能卡905插入客户机系统。通过用户接口模块902,所述系统以一种与首次创建智能卡时相同的方式而使用户输入其个人信息。然后对新的智能卡905进行初始化并且重新创建加密密钥。新的智能卡ID从用户接口模块902经由管理用户信息模块901发送到客户机接口模块908。更新用户记录模块909则从服务器数据库911上的用户记录中删除初始智能卡ID并且使用新的智能卡ID来将其替换。一旦结束了所述处理,则用户接口模块902经由读/写智能卡模块903而把加密密钥放入新的智能卡905。现在则重建了用户的智能卡并且禁用初始智能卡。
服务器有能力同时执行图8和9中描述的服务器功能。由此允许服务器对安全万维网访问以及具有临时服务器连接的客户机进行处理。
本领域技术人员很容易了解,尽管上文分别描述了客户机和服务器功能,但是这二者也可以驻留在同一物理设备中。
本发明的一个优选实施例提供了一个计算机使用调整系统。本发明允许用户或系统管理员调节用户访问主机的时间周期或持续时间。目前存在多种希望对用户访问计算机进行限制的情况。例如,制造场所只希望为某次轮班所指定的工人在所述轮班过程中访问计算机。工人各自拥有自己的唯一智能卡,其中所述智能卡向计算机标识所述工人。
另外,即使用户将其移动个人环境驻留在智能卡上,系统管理员也很可能希望在某些时间周期限制所述用户对某些计算机所进行的访问。
另一个实例是这样一种情况,其中父母希望对孩子使用家庭计算机的状况进行管理。这里为孩子给予了一张将其标识给计算机的他自己的智能卡。父母可以指定允许孩子在一周中使用计算机的日子和次数。本发明还允许父母通过设定每天、每周或每月的累积时间来设定允许孩子使用计算机的总的时间量。
参考图10和11,智能卡读取器/终端1002与主机1001相连或是驻留在其中。一开始,管理员首先将其智能卡1003插入智能卡读取器/终端1002。然后,管理员开始执行本发明,以便设定用户访问时间和/或持续时间。
本发明允许管理员指定允许哪些用户访问计算机。管理员将其自身指定为基本用户,也就是允许改变访问设定的唯一用户。所述管理员还列举了允许访问计算机1001的用户名,然后则继续为每一个用户分配访问时间。
管理程序允许管理员将智能卡插入智能卡读取器/终端,以便为每个用户的智能卡(和管理员智能卡)设定用户名和口令。此外还通过使用上述移动个人环境数据来输入了智能卡相关消息。所述移动个人环境数据包含了本发明所访问的用户智能卡的用户名和口令。
管理员选择某个特定用户1102并且本发明显示了一个网格1102,在所述网格中显示了一周中的日子1103以及一天中的小时1104。管理员仅仅是点击一个时间框或是高亮显示他希望阻止用户访问计算机的时间1105,然后则点击“Disallow”按钮1106。如果管理员需要将锁定的时间改回成未锁定的,则他同样点击时间或者高亮显示时间,并且点击“Allow”按钮1107。作为默认情况,选定的用户可以允许进行一周时间的访问。
作为选择,管理员可以为用户设定累积时间限度。管理员可以设定每天、每周和/或每月的最大累积时间限度。
本发明将管理员名称和输入的用户名及其访问调度表和/或累积时间限度一起保存在计算机的本地存储设备1004上的一个隐藏文件中。当管理员注销计算机1001时,系统将会锁定计算机1001,以免进行任何使用。本发明将其自身设定为在启动计算机1001的时候自动运行。在启动时,本发明将会切断任何针对计算机1001所进行的使用。
当用户希望使用计算机1001时,用户将其智能卡1003放入智能卡读取器/终端1002。主机1001检测到已经将智能卡插入智能卡读取器/终端1002并且向本发明发出通知。本发明从智能卡1003中读取用户名和口令并且向用户询问所述口令。此外,本发明结合从智能卡1003中检索的口令来对输入口令进行核实。如果输入口令无效,则拒绝所述访问。
如果输入口令有效,那么本发明在计算机存储设备1004上的隐藏文件中查找用户的用户名。如果并未将所述用户的用户名列举为可以访问计算机1001的用户,则拒绝所述访问。
否则,本发明在隐藏文件中找出用户的用户名及其相关访问时间和/或累积时间限度。如果当前时间是在所有的有效访问时间之外,则拒绝所述访问。如果用户累积使用时间超出规定的累积时间限度(如果规定了所述限度的话),则拒绝所述访问。
如果当前时间是在任一有效访问时间以内并且用户累积使用时间是在规定的累积时间限度以内,则许可所述访问。
在用户使用计算机1001的同时,本发明周期性检查当前时间。如果达到封锁的访问时间,则本发明发出一个警告。系统会在预定间隔发出警告,例如在封锁时间周期开始之前30分钟发出警告,此后每隔10分钟发出警告,然后在一分钟之前发出警告。所述警告告知用户在系统从计算机1001中将其注销之前保存他的工作。一旦进入封锁的时间周期,则系统会从设备上注销用户(如果他还未注销)并且锁定计算机1001,以免进行任何使用。
如果规定了累积时间限度,那么在系统对其当前时间执行周期性检查时,它会将自从上次检查以来的时间添加到用户累积使用时间中。如果用户累积使用时间即将超出任何一个规定的累积时间限度,则对用户发出警告。如上所述,系统会在预定间隔发出警告,例如在封锁的时间周期开始之前30分钟发出警告,在这之后每隔十分钟发出警告,并且此前的一分钟发出警告。所述警告告知用户即将达到累积时间限度并且在系统从计算机1001上将其注销之前保存他的工作。一旦进入封锁的时间周期,则系统从设备上注销用户(如果他还未注销的话)并且锁定计算机1001,以免进行任何使用。作为选择,系统也可以在锁定阶段关闭所有的用户运行程序。
相对于图12而言,其中显示了一个用于本发明的管理模式的流程图。在首次启动的时候,系统由用户或系统管理员进行配置,其中系统管理员表示的是一个允许改变用于系统用户的系统访问控制规则的基本用户。然后只要进入系统管理模式,则本发明遵循所述流程图。系统等待将智能卡插入一个附着或共存的智能卡读取器/终端1201。在将智能卡插入智能卡读取器时,系统要求用户输入他的智能卡口令1202。用户输入他的口令并且所述口令会与智能卡上的口令进行比较,以便了解它们是否匹配1203。如果所述口令无效,则系统将会返回,以便要求用户输入其口令1202。
如果输入口令有效,则系统检查智能卡是否即为所指示的基本用户的卡1204。如果不是的话,则系统要求用户插入基本用户智能卡1205并且等待新卡插入1201。
否则,系统允许基本用户输入许可的用户名并且如上所述定义每一个用户的访问时间和/或可选累积时间限度1206。举例来说,基本用户设置保存在主机存储设备的隐藏文件、数据库、文件或Windows注册表中。在这里可以使用一个很难有意或无意从计算机上删除的隐藏文件。
参考图13,一旦基本用户初始化了系统,则在启动主机的时候自动运行所述系统。在启动1301之后,系统将会锁定计算机,以免用户进行访问。然后,系统等待将智能卡或存储卡插入附着或共存的智能卡读取器/终端1302。在将智能卡插入智能卡读取器的时候,如上所述,系统要求用户输入其智能卡口令。用户输入口令并且所述口令将会与智能卡上的口令进行比较,以便了解它们是否匹配。如果所述口令无效,则系统会要求用户输入口令。
如果输入口令有效,那么本发明在计算机存储设备1004上的隐藏文件中查找用户的用户名。如果并未将所述用户的用户名列举为可以访问计算机1303的用户,则拒绝所述访问,而用户则被告知没有得到授权并且系统保持在锁定状态1301。
否则,举例来说,本发明在主机存储设备上的隐藏文件、数据库、文件或Windows注册表中找出用户的用户名及其相关访问时间和/或累积时间限度。如果当前时间是在任何一个有效访问时间1303以外,则拒绝所述访问并且告知用户此时禁止其进行访问,而系统则保持锁定1301。同样,如果这时已经设定了可选累积时间限度,那么如果用户累积使用时间超出规定的累积时间限度1303,则拒绝所述访问,而用户则被告知他超出了限度并且系统将会保持锁定1301。
如果当前时间是在任何有效访问时间以内并且(可选地)用户累积使用时间是在规定的累积时间限度以内,则允许所述访问并且解锁系统1304。
在用户使用计算机1305、1306的同时,本发明周期性检查当前时间。如果将要达到封锁的访问时间1307、1308,则本发明向用户发出警告。系统会在预定间隔发出警告,例如在封锁时间周期开始之前的30分钟,之后每隔十分钟发出一次警告,然后在封锁时间周期前的一分钟发出警告。所述警告将会告知用户在系统从计算机1308上将其注销之前保存其工作。如果并未达到警告用户的时间,则系统将会返回到执行周期性检查1305。
一旦进入到封锁的时间周期1306,则系统从设备上注销用户(如果他还未注销的话)并且锁定计算机,以免进行任何使用1301。作为选择,系统也可以在锁定阶段关闭所有用户运行程序。
如果规定了累积时间限度,那么在系统执行当前时间的周期性检查的时候,它会将自从上次检查以来的时间添加到用户累积使用时间之中并将新的累积时间保存在隐藏文件中。如果用户累积使用时间即将超出任何一个规定的累积时间限度,则对用户发出警告1307、1308。如上所述,系统会在预定间隔发出警告,例如在封锁的时间周期开始之前的30分钟,在这之后是每隔十分钟,以及此前的一分钟。所述警告会告知用户即将达到累积时间限度并在系统从计算机上将其注销之前保存其工作1308。一旦进入封锁时间周期,则系统从设备上注销用户(如果他还未注销的话)并且锁定计算机,以免进行任何使用1301。作为选择,系统还可以在锁定阶段关闭所有的用户运行程序。
在累积时间限度终止的时候将会清除累积使用时间。例如,如果用户具有每天30分钟的累积时间限度,则在每一天结束的时候都会复位其累积使用时间。相同的情况也适合关于周和月的限度。
如果在任何时间从智能卡读取器/终端上移除用户智能卡,则系统将会关闭所有用户程序并锁定系统1301。
参考图14,其中显示了本发明的一个任务观点。读/写智能卡模块1401等待将智能卡1407插入一个附着或共存的智能卡读取器/终端。在将智能卡1407插入智能卡读取器时,用户接口模块1402要求用户输入其智能卡口令。用户输入其口令并且所述口令将会与智能卡上的口令进行比较,以便了解它们是否匹配。如果所述口令无效,则用户接口模块1402将会回到要求用户输入口令的状态。
如果输入口令有效,则用户接口模块1402向验证用户和访问时间模块1404发出通知。所述验证用户和访问时间模块1404检测所述智能卡1407是否是所指示的基本用户的卡。如果不是的话,则用户接口模块1402要求用户插入一个基本用户的智能卡,而等待处理则如上所述继续运行。
否则如上所述,用户接口模块1402和设定访问时间模块1403允许基本用户输入许可的用户名并且定义每一个用户的访问时间和/或可选累积时间限度。基本用户设置保存在访问信息存储器1406中,其中举例来说,所述存储器可以是一个隐藏文件、数据库、文件或是Windows注册表。
在正常操作中,系统监视器1405锁定系统,以免用户进行访问。当读/写智能卡模块1401检测到将智能卡1407插入读卡器时,用户接口模块1402将会执行如上所述的口令验证。
如果输入口令有效,则验证用户和访问时间模块1404对从访问信息存储器1406保存的智能卡1407中获取的用户的用户名进行查找。如果并未将用户的用户名作为可以访问计算机的用户之一列出,则拒绝所述访问,并且通过用户接口模块1402而向用户告知他并未得到许可,而所述系统监视器1405则将计算机保持在锁定状态。
否则,所述验证用户和访问时间模块1404在访问信息存储器1406中找出用户的用户名及其相关访问时间和/或累积时间限度。如果当前时间是在任何有效访问时间之外,则拒绝所述访问并通过用户接口模块1402告知用户此时禁止访问,而系统监视器1405则将计算机保持在锁定状态。同样,如果这时设定了可选累积时间,那么,如果用户累积使用时间超出规定的累积时间限度,则拒绝所述访问,并且通过用户接口模块1402告知用户其超出限度,而系统监视器1405则将计算机保持在锁定状态。
如果当前时间是在是在任何有效访问时间以内并且(可选地)用户累积使用时间是在规定的累积时间限度以内,则许可所述访问,并经由用户接口模块1402向用户发出通知,而系统监视器1405则解锁系统。
在用户使用计算机的同时,验证用户和访问时间模块1404周期性地检查当前时间。如果将要达到一个封锁访问时间,则用户接口模块1402向用户发出警告。如上所述,所述用户接口模块1402会在预定间隔发出警告。
一旦验证用户和访问时间模块1404确定进入了所述封锁时间周期,则系统监视器1405从设备上注销用户(如果他还未注销的话)并且锁定计算机,以免进行任何使用。作为选择,系统监视器1405可以在锁定阶段关闭所有用户运行程序。
如果规定了累积时间限度,那么在验证用户和访问时间模块1404执行当前时间的周期检查的时候,它会将自从上次检查以来的时间添加到用户累积使用时间之中并且将新的累积时间存入访问信息存储器1406。如果用户累积使用时间即将超出任何规定的累积时间限度,那么如上所述,通过用户接口模块1402来向用户发出警告。所述警告告知用户即将达到其累积时间限度并在系统将其从计算机上注销之前保存其工作。一旦进入封锁的时间周期,则系统监视器1405从设备上注销用户(如果他还未注销的话)并且锁定计算机,以免进行任何使用。作为选择,系统监视器1405还可以在锁定阶段关闭所有的用户运行程序。
如果在任何时间从智能卡读取器/终端去除用户智能卡1407,则系统监视器1405将会关闭所有用户程序并且锁定系统。
而本发明的另一个优选实施例则允许用户使用廉价存储卡,以便自动登录到运行Microsoft Windows XP操作系统的计算机上。Microsoft Windows 2000和XP都支持智能卡登录。然而,只有那些带有处理器的昂贵智能卡才是得到支持的。在这里需要用户使用低价智能卡(存储卡)进行登录,以便节省安全设备的总成本。
本发明允许用户只将智能卡插入附着或驻留在计算机内部的智能卡读取器/终端,以便进行自动注册,由此本发明是在Windows XP登录处理之上运行的。本发明需要用户对其智能卡口令进行一次验证并且记住用户已对其智能卡口令进行了验证。然后,用户可以从读取器中取出智能卡并且本发明将会锁定系统。如果用户返回到计算机并且重新将其智能卡插入读取器,则本发明将会解锁计算机并且用户将会从他离开的地方开始继续进行处理。
然而,如果另一个用户将其智能卡插入读取器,则本发明会从Windows XP中注销先前用户并且终止该用户的进程,新的用户则要求输入他的智能卡口令并且继续进行如上所述的处理。
参考图15和16,本发明提供了一个调解(intercede)到WindowsXP操作系统中的系统,以便进行低价存储卡的登录。所调用的Windows XP动态链接库(dll)文件gina.dll由一个定制文件替换。所述定制文件gina.dll对低价智能卡(存储卡)的格式进行识别。在将智能卡插入智能卡读取器时,Windows XP操作系统将会调用文件gina.dll。
在启动Windows XP的时候,该系统将会执行硬件初始化和硬件搜索。如果没有连接智能卡读取器和/或没有插入智能卡,则WindowsXP继续其常规执行路径并且通过要求得到用户的用户名和口令而开始其标准的手动登录处理1506。
如果连接了智能卡读取器并且插入了智能卡,则Windows XP调用gina.dll文件1502。gina.dll文件执行并检查智能卡的电信号,以便判定所述卡是一个低价存储智能卡1502。如果是的话,则本发明读取存储卡上的智能卡口令。而用户则要求输入其智能卡口令,然后依靠从存储卡中获取的口令来对其进行验证1503。如果所述口令无效,则系统通过调用Windows登录可执行文件而返回到标准的Windows XP登录进程1506。
如果智能卡口令正确,则系统记录所述口令,以便稍后加以使用,并且系统会从智能卡中检索Windows域名和口令1504。Windows XP域名和口令可处于使用了上述移动个人环境数据存储方法的存储卡上。所述Windows XP域名和口令是用户移动个人环境数据的一部分。然后,gina.dll文件调用Windows登录可执行文件,由此传递那些从存储卡中检索的域名和口令1505。此外还对Windows XP域名和口令进行记录,以便稍后加以使用。如果登录失败,则Windows XP自动返回到手动登录1506。
否则,用户成功登录到Windows XP1508。在正常使用过程中,用户通常在Windows中进行操作1602。如果从读取器中取出存储卡,则Windows XP操作系统将会调用gina.dll文件1601。一旦检测到删除了存储卡,则本发明运行Windows屏幕保护程序并且锁定系统,以免用户进行访问603。
在将智能卡插入读取器时,Windows再次调用gina.dll文件1604。本发明通过进行检查来了解是否新插入的存储卡与去除的存储卡是相同的卡。并且将会从存储卡中检索智能卡口令1605。如果所述口令与先前记录的口令相同,则从智能卡中检索Windows域名和口令1607。
如果来自智能卡的Windows域名和口令与所记录的Windows域名和口令匹配1607,则本发明解锁计算机并且用户返回到他的Windows XP会话1609、1602。
否则,要求用户输入其智能卡口令,然后依照从存储卡中获取的口令来对所述口令进行验证1609。如果口令无效,则系统通过调用Windows登录可执行文件来返回到标准的Windows XP登录进程1506。
如果智能卡口令正确,则系统记录所述口令,以便稍后加以使用,并且本发明将会从Windows中注销先前用户1609、1610。由此允许多个用户共享Windows XP系统。在这里允许多个用户使用同一设备,但是如Windows规定的那样,在这里不允许共享执行中的程序(快速用户切换)。本发明从智能卡中检索Windows域名和口令并且调用Windows登录可执行文件,由此将那些从存储卡中检索的域名和口令传递到可执行文件1611。此外还会记录Windows XP域名和口令,以便稍后加以使用。如果登录失败,则Windows XP将会自动返回到手动登录1506。
否则,用户将会登录到Windows XP并在Windows XP中进行正常工作1612、1602。
尽管在这里参考优选实施例而对本发明进行了描述,但是本领域技术人员很容易了解的是,在这里可以使用其他应用来替换这里阐述的应用,而不会脱离本发明的实质和范围。因此,本发明只应该由以下包含的权利要求来进行限定。
Claims (46)
1.一种用于对经由用户专用的智能卡所进行针对主机的访问进行控制的处理,包括如下步骤:
提供智能卡读取器;
锁定所述主机,以免用户访问;
在所述主机上提供访问时间限定装置,以便定义有效用户并为每一个用户定义访问时间间隔;
在所述主机上保存所述有效用户以及用于每一个用户的所述访问时间间隔;
检测将智能卡插入了所述智能卡读取器;
从所述智能卡检索智能卡口令和用户名;
接收用户输入的口令;
对所述输入口令与所述检索的口令进行比较;
如果所述输入口令匹配所述检索口令,则针对所述用户名来搜索所述保存的有效用户;
检索与所述用户名相关的所保存的访问时间间隔;以及
如果当前时间是在任何所保存的访问时间间隔以内,则通过解锁所述主机而许可该用户进行访问。
2.权利要求1的处理,其中只允许一个指定的基本用户定义所述有效用户并为每个用户定义所述访问时间间隔。
3.权利要求1的处理,还包括以下步骤:
如果当前时间是在相关的所保存的访问时间间隔以外,则拒绝访问该用户。
4.权利要求1的处理,还包括以下步骤:
在用户使用所述主机的同时,周期性检查当前时间。
5.权利要求4的处理,还包括以下步骤:
如果当前时间将要达到访问时间间隔末端,则向用户发出警告;
其中所述警告是在预定间隔发布给用户的。
6.权利要求4的处理,还包括以下步骤:
确定所述访问时间间隔已经结束;以及
其中所述确定步骤从所述计算机上注销用户并且锁定所述主机,以免用户进行访问。
7.权利要求6的处理,其中所述确定步骤关闭所有用户运行程序。
8.权利要求1的处理,还包括以下步骤:
如果从所述智能卡读取器中取出所述智能卡,则从所述主机上注销用户并且锁定所述主机,以免用户进行访问。
9.权利要求1的处理,其中所述访问时间限定装置为一个用户名定义了累积时间限度,并且其中所述累积时间限度跨越了一天、一周、一月中的任一个。
10.权利要求9的处理,其中如果该用户名的累积使用时间是在该用户名的相关累积时间限度以内,则所述许可步骤允许用户进行访问。
11.权利要求9的处理,还包括以下步骤:
如果该用户名的累积使用时间超出该用户名的相关累积时间限度,则拒绝所述用户进行访问。
12.权利要求9的处理,还包括以下步骤:
在用户使用所述主机的时候,周期性检查当前时间;以及
将自从最后一次周期性检查以来的时间值添加到该用户名的累积使用时间之中,以及将所述累积使用时间保存在所述主机上。
13.权利要求12的处理,还包括以下步骤:
如果所述累积使用时间将要超出任何用户名的相关累积时间限度,则向用户发出一个警告;
其中所述警告是在预定间隔发给用户的。
14.权利要求12的处理,还包括以下步骤:
确定超出了用户名的相关累积时间限度;以及
其中所述确定步骤从所述计算机上注销用户并且锁定所述主机,以免用户进行访问。
15.权利要求14的处理,其中所述确定步骤关闭所有的用户运行程序。
16.一种使用低价存储卡来登录到与智能卡读取器相连的Windows XP主机的处理,包括以下步骤:
检测到将低价存储卡插入了所述智能卡读取器;
从所述低价存储卡中检索智能卡口令;
接收用户输入的口令;
对所述输入口令与所述检索到的口令进行比较;以及
如果所述输入口令匹配所述检索到的口令,则从所述低价存储卡中检索Windows域名和口令。
17.权利要求16的处理,其中如果所述输入口令不匹配所述检索口令,则通过调用一个Window XP的登录可执行文件来还原到手动的Windows XP登录进程。
18.权利要求16的处理,还包括以下步骤:
调用一个Windows XP登录可执行文件并且将所述检索到的域名和所述检索的口令传递到所述Windows XP登录可执行文件。
19.权利要求17的处理,还包括以下步骤:
当从所述智能卡读取器中取出所述低价存储卡时,运行一个屏幕保护程序并且锁定所述主机,以免用户进行访问。
20.权利要求19的处理,其中如果所述检测步骤测得已经在所述取出存储卡之后将后续的低价存储卡插入了所述智能卡读取器,则从所述后续低价存储卡中检索一个后续的智能卡口令。
21.权利要求20的处理,其中如果所述后续口令与所述检索到的口令匹配,则从所述后续低价存储卡中检索一个后续的Windows域名和口令。
22.权利要求21的处理,还包括以下步骤:
如果所述后续Windows域名和口令匹配于所述检索到的Windows域名和口令,则解锁所述主机并且让用户返回到其会话。
23.权利要求20的处理,还包括以下步骤:
如果所述后续口令不与所述检索到的口令相匹配,则从所述主机上注销所述用户。
24.一种用于对经由用户专用的智能卡所进行的针对主机的访问加以控制的设备,包括:
智能卡读取器;
用于锁定所述主机,以免用户进行访问的模块;
位于所述主机上的访问时间限定装置,用于定义有效用户并为每一个用户定义访问时间间隔;
用于在所述主机上保存所述有效用户以及用于每一个用户的所述访问时间间隔的模块;
用于检测将智能卡插入了所述智能卡读取器的模块;
用于从所述智能卡检索智能卡口令和用户名的模块;
用于接收用户输入的口令的模块;
用于对所述输入口令与所述检索的口令进行比较的模块;
如果所述输入口令匹配所述检索口令,则针对所述用户名来搜索所述保存的有效用户的模块;
用于检索与所述用户名相关的所保存的访问时间间隔的模块;以及
如果当前时间是在任何一个所保存的访问时间间隔以内,则通过解锁所述主机而许可该用户进行访问的模块。
25.权利要求24的设备,其中只允许一个指定的基本用户定义所述有效用户并为每个用户定义所述访问时间间隔。
26.权利要求24的设备,还包括:
如果当前时间是在相关的所保存的访问时间间隔以外,则拒绝访问该用户的模块。
27.权利要求24的设备,还包括:
在用户使用所述主机的同时周期性检查当前时间的模块。
28.权利要求27的设备,还包括:
如果当前时间将要达到访问时间间隔末端,则向用户发出警告的模块;
其中所述警告是在预定间隔发布给用户的。
29.权利要求27的设备,还包括:
用于确定所述访问时间间隔已经结束的模块;以及
其中所述确定模块从所述计算机上注销用户并且锁定所述主机,以免用户进行访问。
30.权利要求29的设备,其中所述确定模块关闭所有用户运行程序。
31.权利要求24的设备,还包括:
如果从所述智能卡读取器中取出所述智能卡,则从所述主机上注销用户并且锁定所述主机以免用户进行访问的模块。
32.权利要求24的设备,其中所述访问时间限定装置为一个用户名定义了累积时间限度,并且其中所述累积时间限度跨越了一天、一周、一月中的任一个。
33.权利要求32的设备,其中如果该用户名的累积使用时间是在该用户名的相关累积时间限度以内,则所述许可模块允许用户进行访问。
34.权利要求32的设备,还包括:
如果该用户名的累积使用时间超出该用户名的相关累积时间限度,则拒绝所述用户进行访问的模块。
35.权利要求32的设备,还包括:
在用户使用所述主机的时候周期性检查当前时间的模块;以及
将自从最后一次周期性检查以来的时间值添加到该用户名的累积使用时间之中并将所述累积使用时间保存在所述主机上的模块。
36.权利要求35的设备,还包括:
如果所述累积使用时间将要超出任何一个用户名的相关累积时间限度,则向用户发出一个警告的模块;
其中所述警告是在预定间隔发给用户的。
37.权利要求35的设备,还包括:
确定超出了用户名的相关累积时间限度的模块;以及
其中所述确定模块从所述计算机上注销用户并且锁定所述主机,以免用户进行访问。
38.权利要求37的设备,其中所述确定模块关闭所有的用户运行程序。
39.一种使用低价存储卡来登录到与智能卡读取器相连的Windows XP主机的设备,包括:
用于检测到将一个低价存储卡插入了所述智能卡读取器的模块;
从所述低价存储卡中检索智能卡口令的模块;
用于接收用户输入的口令的模块;
对所述输入口令与所述检索到的口令进行比较的模块;以及
如果所述输入口令匹配所述检索到的口令,则从所述低价存储卡中检索一个Windows域名和口令的模块。
40.权利要求39的设备,其中如果所述输入口令不匹配所述检索口令,则通过调用一个Window XP的登录可执行文件来还原到手动的Windows XP登录进程。
41.权利要求39的设备,还包括:
调用一个Windows XP登录可执行文件并且将所述检索到的域名和所述检索的口令传递到所述Windows XP登录可执行文件的模块。
42.权利要求40的设备,还包括:
当从所述智能卡读取器中取出所述低价存储卡时,运行一个屏幕保护程序并且锁定所述主机,以免用户进行访问的模块。
43.权利要求42的设备,其中如果所述检测模块检测到已经在所述取出存储卡之后将后续低价存储卡插入了所述智能卡读取器,则从所述后续低价存储卡中检索一个后续的智能卡口令。
44.权利要求43的设备,其中如果所述后续口令与所述检索到的口令匹配,则从所述后续低价存储卡中检索一个后续的Windows域名和口令。
45.权利要求44的设备,还包括:
如果所述后续Windows域名和口令匹配于所述检索到的Windows域名和口令,则解锁所述主机并且让用户返回到其会话的模块。
46.权利要求43的设备,还包括:
如果所述后续口令不与所述检索到的口令相匹配,则从所述主机上注销所述用户的模块。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US34682401P | 2001-10-18 | 2001-10-18 | |
| US60/346,824 | 2001-10-18 | ||
| PCT/US2002/033088 WO2003044712A1 (en) | 2001-10-18 | 2002-10-17 | Smart card enabled secure computing environment system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1714358A true CN1714358A (zh) | 2005-12-28 |
| CN1714358B CN1714358B (zh) | 2012-03-21 |
Family
ID=23361191
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN028228960A Expired - Fee Related CN1714358B (zh) | 2001-10-18 | 2002-10-17 | 启用智能卡的安全计算环境系统 |
| CNB028228936A Expired - Fee Related CN100416546C (zh) | 2001-10-18 | 2002-10-17 | 多媒体智能商务卡系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB028228936A Expired - Fee Related CN100416546C (zh) | 2001-10-18 | 2002-10-17 | 多媒体智能商务卡系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7322513B2 (zh) |
| CN (2) | CN1714358B (zh) |
| AU (1) | AU2002348449A1 (zh) |
| HK (1) | HK1079589A1 (zh) |
| TW (2) | TWI306203B (zh) |
| WO (2) | WO2003034267A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102711089A (zh) * | 2012-06-13 | 2012-10-03 | 中兴通讯股份有限公司 | 对移动终端进行锁网锁卡的方法及装置 |
| CN103853947A (zh) * | 2012-11-29 | 2014-06-11 | 鸿富锦精密工业(武汉)有限公司 | 压力钥匙及计算机安全保护方法 |
| CN103853952A (zh) * | 2012-11-29 | 2014-06-11 | 鸿富锦精密工业(武汉)有限公司 | 声音钥匙及计算机安全保护方法 |
| CN101542435B (zh) * | 2006-08-17 | 2014-10-22 | 黑莓有限公司 | 管理非同时用户界面模块的增强型用户界面管理器及方法 |
| CN115278321A (zh) * | 2016-06-01 | 2022-11-01 | 麦克赛尔株式会社 | 信息处理装置 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7370268B2 (en) * | 2003-08-01 | 2008-05-06 | Migo Software, Inc. | Systems and methods for managing and presenting multimedia and content rich data on a removable memory apparatus |
| US7765128B2 (en) | 2004-07-21 | 2010-07-27 | Smart Destinations Inc. | Programmable ticketing system |
| SE528373C2 (sv) * | 2004-08-25 | 2006-10-31 | Smarttrust Ab | Förfarande och system för apparathantering |
| KR101147763B1 (ko) * | 2005-01-19 | 2012-05-25 | 엘지전자 주식회사 | 데이터 복호방법 및 복호장치, 기록매체 |
| US7814220B2 (en) * | 2005-09-14 | 2010-10-12 | Sony Ericsson Mobile Communications Ab | User interface for an electronic device |
| CN100418065C (zh) * | 2005-10-21 | 2008-09-10 | 万国电脑股份有限公司 | 具显示使用历程的储存装置及其显示使用历程的方法 |
| US20080235580A1 (en) * | 2007-03-20 | 2008-09-25 | Yahoo! Inc. | Browser interpretable document for controlling a plurality of media players and systems and methods related thereto |
| US8116678B2 (en) * | 2007-06-08 | 2012-02-14 | Vivotech, Inc. | Methods, systems and computer program products for interacting with ISO 14443-4 and MIFARE® applications on the same wireless smart device during a common transaction |
| CN102073634B (zh) * | 2009-11-20 | 2013-10-23 | 中国银联股份有限公司 | 一种智能卡文件系统及其文件选择方法 |
| EP2395427A1 (en) * | 2010-06-08 | 2011-12-14 | Gemalto SA | Method for connecting to a remote server from a browser enabled with a browser's extension on a host device |
| CN101986325A (zh) * | 2010-11-01 | 2011-03-16 | 山东超越数控电子有限公司 | 一种计算机安全访问控制系统及控制方法 |
| US9361620B2 (en) | 2011-10-14 | 2016-06-07 | Leisure Pass Group Limited | Electronic transaction system with entitlement and promotion engines |
| CN102594915B (zh) * | 2012-03-19 | 2014-12-03 | 烽火通信科技股份有限公司 | 基于浏览器的媒体播放系统及方法 |
| CN109583962A (zh) * | 2018-12-05 | 2019-04-05 | 湖南快乐阳光互动娱乐传媒有限公司 | 广告交互兼容多种行为的方法及系统 |
| CN111614832B (zh) * | 2020-04-24 | 2022-05-31 | 广州视源电子科技股份有限公司 | 操作模式切换方法、装置、存储介质和相关设备 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4800590A (en) * | 1985-01-14 | 1989-01-24 | Willis E. Higgins | Computer key and computer lock system |
| MY119618A (en) * | 1996-12-06 | 2005-06-30 | Nippon Telegraph & Telephone | Internet accessing system using card readers and dual cards with information pertaining to log on |
| US6400823B1 (en) * | 1996-12-13 | 2002-06-04 | Compaq Computer Corporation | Securely generating a computer system password by utilizing an external encryption algorithm |
| BR9907747A (pt) | 1998-01-27 | 2000-10-17 | Viztec Inc | Transmissão de anúncios para cartões inteligentes |
| WO1999050783A1 (en) * | 1998-03-31 | 1999-10-07 | Logic Controls, Inc. | Integrated keyboard input device |
| CA2240881C (en) | 1998-06-17 | 2007-12-04 | Axs Technologies Inc. | Shared intelligence automated access control system |
| US6971109B1 (en) * | 1998-07-24 | 2005-11-29 | Micron Technology, Inc. | Integrated application management system |
| DE19839847A1 (de) * | 1998-09-02 | 2000-03-09 | Ibm | Speichern von Datenobjekten im Speicher einer Chipkarte |
| US6446138B1 (en) * | 1998-10-23 | 2002-09-03 | International Business Machines Corporation | Remote operator interface for a network computer |
| US6370629B1 (en) | 1998-10-29 | 2002-04-09 | Datum, Inc. | Controlling access to stored information based on geographical location and date and time |
| US6643690B2 (en) * | 1998-12-29 | 2003-11-04 | Citrix Systems, Inc. | Apparatus and method for determining a program neighborhood for a client node in a client-server network |
| US6481621B1 (en) * | 1999-01-12 | 2002-11-19 | International Business Machines Corporation | System method and article of manufacture for accessing and processing smart card information |
| US6390374B1 (en) * | 1999-01-15 | 2002-05-21 | Todd Carper | System and method for installing/de-installing an application on a smart card |
| CN1196130C (zh) * | 1999-05-28 | 2005-04-06 | 松下电器产业株式会社 | 半导体存储器卡、重放装置、记录装置、重放方法、记录方法、和计算机可读存储介质 |
| US6587873B1 (en) * | 2000-01-26 | 2003-07-01 | Viaclix, Inc. | System server for channel-based internet network |
| US6974076B1 (en) * | 2000-02-14 | 2005-12-13 | Sony Corporation | Portable music player with pay per play usage and method for purchase of credits for usage |
| KR20010092569A (ko) * | 2000-03-22 | 2001-10-26 | 이은복 | 탈착 가능한 전자 기기를 포함하는 이동 전화기 |
| US7587368B2 (en) * | 2000-07-06 | 2009-09-08 | David Paul Felsher | Information record infrastructure, system and method |
| US7181626B1 (en) | 2001-06-29 | 2007-02-20 | Sun Microsystems, Inc. | Smart card security for computer system |
-
2002
- 2002-10-17 US US10/493,123 patent/US7322513B2/en not_active Expired - Fee Related
- 2002-10-17 WO PCT/US2002/033089 patent/WO2003034267A1/en not_active Application Discontinuation
- 2002-10-17 WO PCT/US2002/033088 patent/WO2003044712A1/en not_active Application Discontinuation
- 2002-10-17 CN CN028228960A patent/CN1714358B/zh not_active Expired - Fee Related
- 2002-10-17 AU AU2002348449A patent/AU2002348449A1/en not_active Abandoned
- 2002-10-17 CN CNB028228936A patent/CN100416546C/zh not_active Expired - Fee Related
- 2002-10-18 TW TW091124119A patent/TWI306203B/zh not_active IP Right Cessation
- 2002-10-18 TW TW091124123A patent/TW591465B/zh not_active IP Right Cessation
-
2005
- 2005-12-15 HK HK05111566.6A patent/HK1079589A1/xx not_active IP Right Cessation
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101542435B (zh) * | 2006-08-17 | 2014-10-22 | 黑莓有限公司 | 管理非同时用户界面模块的增强型用户界面管理器及方法 |
| CN102711089A (zh) * | 2012-06-13 | 2012-10-03 | 中兴通讯股份有限公司 | 对移动终端进行锁网锁卡的方法及装置 |
| CN103853947A (zh) * | 2012-11-29 | 2014-06-11 | 鸿富锦精密工业(武汉)有限公司 | 压力钥匙及计算机安全保护方法 |
| CN103853952A (zh) * | 2012-11-29 | 2014-06-11 | 鸿富锦精密工业(武汉)有限公司 | 声音钥匙及计算机安全保护方法 |
| CN115278321A (zh) * | 2016-06-01 | 2022-11-01 | 麦克赛尔株式会社 | 信息处理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW591465B (en) | 2004-06-11 |
| WO2003034267A1 (en) | 2003-04-24 |
| CN1628297A (zh) | 2005-06-15 |
| US7322513B2 (en) | 2008-01-29 |
| AU2002348449A1 (en) | 2003-06-10 |
| US20050035195A1 (en) | 2005-02-17 |
| HK1079589A1 (en) | 2006-04-07 |
| WO2003044712A1 (en) | 2003-05-30 |
| TWI306203B (en) | 2009-02-11 |
| CN100416546C (zh) | 2008-09-03 |
| CN1714358B (zh) | 2012-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1714358A (zh) | 启用智能卡的安全计算环境系统 | |
| CN1236592C (zh) | 智能卡安全信息结构和恢复系统 | |
| US8938781B1 (en) | Systems and methods for managing user permissions | |
| US7861091B2 (en) | Smart card enabled secure computing environment system | |
| US7546640B2 (en) | Fine-grained authorization by authorization table associated with a resource | |
| CN102460389B (zh) | 用于将应用启动到现有的隔离环境中的系统和方法 | |
| RU2326439C2 (ru) | Настройка средств ограничения доступа и уведомление о них | |
| JP4959282B2 (ja) | アプリケーション稼働制御システムおよびアプリケーション稼働制御方法 | |
| EP2234049B1 (en) | Background service process for local collection of data in an electronic discovery system | |
| US8019872B2 (en) | Systems, methods and computer program products for performing remote data storage for client devices | |
| CN103890726A (zh) | 应用程序安装系统 | |
| CN100350342C (zh) | 有选择性地允许和禁止网络上访问软件应用的系统及方法 | |
| CN101371490A (zh) | 用于实现上下文相关的文件安全的方法和装置 | |
| CN1773938A (zh) | 用于确定对it资源的访问权的方法 | |
| JP2010515158A (ja) | 時間を基準にした許可 | |
| JP2005275775A (ja) | データ保護方法及び認証方法並びにプログラム | |
| JP2003280990A (ja) | 文書処理装置及び文書を管理するためのコンピュータプログラム | |
| CN101061486A (zh) | 用于执行计算机程序的机制 | |
| US8850563B2 (en) | Portable computer accounts | |
| CN101378329B (zh) | 分布式业务运营支撑系统和分布式业务的实现方法 | |
| CN102693373A (zh) | 业务信息防护装置 | |
| JP7106078B2 (ja) | データ分散型統合管理システム | |
| KR20040106619A (ko) | 기업내 특허관리시스템 및 그 관리방법 | |
| Cisco | System Administration | |
| Cisco | System Administration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: AMERICA CONCAVE-CONVEX MICROSYSTEM INC. Free format text: FORMER OWNER: 360 DEGREE (USA) NETWORK CO., LTD. Effective date: 20080523 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20080523 Address after: American California Applicant after: O2 Micro Inc Address before: American California Applicant before: 360 Degree Web Inc. |
|
| ASS | Succession or assignment of patent right |
Owner name: O2 TECH. INTERNATIONAL LTD. Free format text: FORMER OWNER: O2 MICRO INC Effective date: 20101124 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: CALIFORNIA, USA TO: GRAND GAYMAN, (BRITISH) GAYMAN ISLANDS |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20101124 Address after: The Cayman Islands (British) Grand Cayman Applicant after: O2 Tech. International Ltd. Address before: American California Applicant before: O2 Micro Inc |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120321 Termination date: 20161017 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |