DE10248465A1 - System und Verfahren zum Sichern eines Computers - Google Patents
System und Verfahren zum Sichern eines ComputersInfo
- Publication number
- DE10248465A1 DE10248465A1 DE10248465A DE10248465A DE10248465A1 DE 10248465 A1 DE10248465 A1 DE 10248465A1 DE 10248465 A DE10248465 A DE 10248465A DE 10248465 A DE10248465 A DE 10248465A DE 10248465 A1 DE10248465 A1 DE 10248465A1
- Authority
- DE
- Germany
- Prior art keywords
- identifier
- drive device
- stored
- memory
- bios
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
Ein Computersicherheitssystem weist eine Hauptplatine auf, die einen Prozessor und einen Speicher aufweist. Das System weist ferner eine Laufwerkvorrichtung auf, die einen zugewiesenen Identifizierer aufweist und mit der Hauptplatine gekoppelt ist. Das System weist ferner ein Grundeingabe-/Ausgabesystem (BIOS) auf, das durch den Prozessor ausführbar ist und angepaßt ist, um den zugewiesenen Identifizierer der Laufwerkvorrichtung mit einem Identifizierer zu vergleichen, der in dem Speicher gespeichert ist, und die Hauptplatine zu booten, wenn der zugewiesene Identifizierer dem gespeicherten Identifizierer entspricht.
Description
- Diese Patentanmeldung bezieht sich auf die anhängigen, auf die Anmelderin der vorliegenden Anmeldung übertragenen U.S.-Patentanmeldungen mit dem Titel "APPLIANCE SECURITY MODEL SYSTEM AND METHOD", eingereicht am 30. Oktober 2001, und mit dem Titel "SECURE BOOT DEVICE SELECTION METHOD AND SYSTEM", eingereicht am 30. Oktober 2001.
- Die vorliegende Erfindung bezieht sich allgemein auf den Bereich von Computerbearbeitungssystemen und insbesondere auf ein System und ein Verfahren zum Sichern eines Computers.
- Das Sichern der Konfiguration und der Daten von Computersystemen bleibt ein wichtiger Punkt sowohl für System- Benutzer als auch -Hersteller. Computersysteme weisen allgemein eine Hauptplatine auf, die einen Prozessor, einen Speicher und andere Funktionskomponenten aufweist. Das System weist ferner allgemein eine Festplatte zum Speichern von Daten auf, wie z. B. Textverarbeitungsdokumenten, Audiodateien, Videodateien und anderen Typen von Daten. Sicherheitssysteme schränken im allgemeinen den Zugriff zu den Daten ein, so daß nur autorisierte Benutzer geschützte Daten öffnen oder betrachten können. Paßwörter oder andere vom Benutzer bereitgestellte Sicherheitscodes können zum Beispiel verwendet werden, um die Daten vor unautorisiertem Zugriff zu schützen.
- Da Computersysteme immer höher entwickelt werden, wurden die Systeme mit BIOS- (Grundeingabe-/Ausgabesystem) basierten Paßwörtern ausgerüstet. Ein BIOS-basiertes Paßwortprogramm läuft, bevor die Steuerung des Computers an eine laufwerkbasierte Softwareanwendung gegeben wird. Der Zugriff auf Daten, die auf der Festplatte enthalten sind, erfordert üblicherweise BIOS-basierte Verschlüsselungsschlüssel und/oder Paßwörter. Somit wird durch Entfernen der Festplatte und Verbinden der Festplatte mit einem anderen Verarbeitungssystem der Zugriff auf die Festplatte im wesentlichen verhindert. Wenn jedoch die BIOS-basierten Verschlüsselungsschlüssel und/oder Paßwörter kopiert oder aus dem BIOS durch einen unautorisierten Benutzer wiedergewonnen werden, kann der Zugriff auf die Festplatte durch den unautorisierten Benutzer möglich sein. Zusätzlich dazu führen Benutzermodifikationen an dem System oft zu unvorhersehbaren Wartungs- und Fehlerfindungs-Fragen.
- Es ist die Aufgabe der vorliegende Erfindung, ein Computersicherheitssystem und ein Verfahren zum Sichern eines Computersystems zu schaffen, um einen unerlaubten Zugriff auf Laufwerke zu unterbinden.
- Diese Aufgabe wird durch ein Computersicherheitssystem gemäß Anspruch 1 und ein Verfahren zum Sichern eines Computersystems gemäß Anspruch 11 oder 18 gelöst.
- Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weist ein Computersicherheitssystem eine Hauptplatine auf, die einen Prozessor und einen Speicher aufweist. Das System weist ferner eine Laufwerkvorrichtung auf, die einen zugewiesenen Identifizierer aufweist und mit der Hauptplatine gekoppelt ist. Das System weist ferner ein Grundeingabe- /Ausgabesystem (BIOS = basic input/output system) auf, das durch den Prozessor ausführbar ist. Das BIOS ist angepaßt, um den zugewiesenen Identifizierer mit einem Identifizierer zu vergleichen, der in dem Speicher gespeichert ist, und die Laufwerkvorrichtung zu booten, wenn der zugewiesene Identifizierer dem gespeicherten Identifizierer entspricht.
- Gemäß einem anderen Ausführungsbeispiel der vorliegenden Erfindung weist ein Verfahren zum Sichern eines Computersystems das automatische Abfragen einer Laufwerkvorrichtung auf, um einen zugewiesenen Identifizierer zu bestimmen, der der Laufwerkvorrichtung zugeordnet ist. Das Verfahren weist ferner das Vergleichen des zugewiesenen Identifizierers mit einem Identifizierer auf, der in einem Speicher einer Hauptplatine gespeichert ist. Das Verfahren weist ferner das Booten der Laufwerkvorrichtung auf, wenn der zugewiesene Identifizierer dem gespeicherten Identifizierer entspricht.
- Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend, Bezug nehmend auf die beiliegenden Zeichnungen, näher erläutert. Es zeigen:
- Fig. 1 ein Diagramm, das ein Computersicherheitssystem gemäß einem Ausführungsbeispiel der vorliegenden Erfindung darstellt;
- Fig. 2 ein Flußdiagramm, das ein Verfahren zum Sichern eines Computersystems gemäß einem Ausführungsbeispiel der vorliegenden Erfindung darstellt.
- Die bevorzugten Ausführungsbeispiele der vorliegenden Erfindung und die Vorteile derselben werden am besten Bezug nehmend auf die Fig. 1 und 2 der Zeichnungen verständlich, worin gleiche Bezugszeichen für gleiche und entsprechende Teile der verschiedenen Zeichnungen verwendet werden.
- Fig. 1 ist ein Diagramm, das ein Computersicherheitssystem 10 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung darstellt. In Fig. 1 ist eine Konfiguration von verschiedenen computerverwandten Komponenten dargestellt, die in einer repräsentativen Computer-Typ-Vorrichtung angetroffen werden. Es können jedoch viele andere, repräsentative Konfigurationen existieren. Bei dem dargestellten Ausführungsbeispiel weist das System 10 eine Interneteinrichtung 12 auf, wie z. B. eine Handhalte- oder stationäre Vorrichtung zum Zugreifen auf das Internet; die vorliegende Erfindung kann jedoch ferner mit anderen Vorrichtungen verwendet werden, die ohne Einschränkung Desktop-PCs, Notebookcomputer, persönliche digitale Assistenten und jegliche andere Verarbeitungsvorrichtungen umfassen, die ein Grundeingabe- /Ausgabesystem (BIOS) oder ein äquivalentes System aufweisen.
- Die Vorrichtung 12, die in Fig. 1 dargestellt ist, weist eine Hauptplatine 14 auf, die mit einer Laufwerkvorrichtung 15 gekoppelt ist. Bei dem dargestellten Ausführungsbeispiel weist die Laufwerkvorrichtung 15 ein Festplattenlaufwerk 16 auf. Es sollte jedoch darauf hingewiesen werden, daß andere Typen von Laufwerkvorrichtungen 15 mit der Hauptplatine 14 gekoppelt sein können, einschließlich aber nicht beschränkt auf Diskettenlaufwerke, Magnetbandlaufwerke, Flash- Speicher-Laufwerke und Optisches-Medium-Laufwerke. Die Laufwerkvorrichtung 15 ist mit der Hauptplatine 14 in dem dargestellten Ausführungsbeispiel über einen IDE/ATAPI-Bus 16 (IDE/ATAPI = integrated device electronics/advanced technology attachment packet interface) zum Lesen oder Speichern von Daten gekoppelt, die der Laufwerkvorrichtung 15 entsprechen. Die Festplatte 16 kann z. B. ein Betriebssystem und verschiedene andere Anwendungs-Module oder -Routinen aufweisen.
- Bei dem dargestellten Ausführungsbeispiel weist die Hauptplatine 14 einen Prozessor 22, einen Direktzugriffsspeicher (RAM = random access memory) 24 und ein Grundeingabe- /Ausgabesystem (BIOS) 26 auf. Das BIOS 26 ist vorzugsweise in einem Flash-Speicher implementiert und weist ein Leistung-Ein-Selbsttestmodul 28 zum Durchführen von Systeminitialisierung und Tests auf. Die Hauptplatine 14 weist ferner eine Festplattensteuerung 30 zum schnittstellenmäßigen Verbinden mit der Festplatte 16 auf. Eingabe-/Ausgabe- Vorrichtungen, wie z. B. aber nicht ausschließlich eine Maus, Tastatur, Anzeigevorrichtung, Scanner oder Drucker (nicht ausdrücklich gezeigt), kommunizieren mit der Hauptplatine 14 über einen Schnittstellenchipsatz 32. Der Schnittstellenchipsatz 32 kann z. B. mit den verschiedenen Eingabe-/Ausgabe-Vorrichtungen über ein paralleles Tor 34, ein serielles Tor 36, ein Video-Tor 38 und einen universellen, seriellen Bus (USB) 40 kommunizieren. Die Hauptplatine 14, die in Fig. 1 dargestellt ist, weist ferner einen Sicherheitsspeicher 42 auf, der vorzugsweise als ein Flash- Speicher implementiert ist, der eine Vielzahl von Typen von Sicherheitsinformationen aufweist, die dem System 10 zugeordnet sind und über einen seriellen Bus 43 zugreifbar sind.
- Kurz ausgedrückt ist ein Identifizierer 44, wie z. B. eine Seriennummer, ein Paßwort oder ein anderer Typ von Identifikationsnummer und/oder Code, der der Festplatte 16 zugeordnet ist, in dem Speicher 42 als ein Identifizierer 46 gespeichert. Der Identifizierer 46 kann in den Speicher 42 vorprogrammiert werden, oder der Identifizierer 46 kann aus der Festplatte 16 wiedergewonnen und in den Speicher 42 während einer ersten Bootoperation des Systems 10 gespeichert werden. Während der Ausführung des Leistung-Ein- Selbsttestmoduls 28 vergleicht das BIOS 26 den Identifizierer 46 mit dem Identifizierer 44 der Festplatte 16, um die Konfiguration des Systems 10 zu verifizieren. Wenn die Identifizierer 44 und 46 übereinstimmen, springt das BIOS 26 weiter, um die Festplatte 16 zu booten und z. B. ein Betriebssystem oder eine andere Softwareanwendung zu laden. Wenn die Identifizierer 44 und 46 nicht übereinstimmen, bootet das BIOS 26 die Festplatte 16 nicht, wodurch die Hauptplatine 14 in einer "verriegelten" Konfiguration beibehalten wird. Dementsprechend ist die Hauptplatine 14, die den Identifizierer 46 speichert, an der Festplatte 16 "verriegelt", die den Identifizierer 44 aufweist, derart, daß die vorbestimmte Konfiguration der Hauptplatine 14 und der Festplatte 16 ein betriebssicheres System 10 beibehält. Im Betrieb beginnt die Aktivierung des Systems 10 vorzugsweise, wenn der Prozessor 42 die Rücksetzstufe verläßt und bei Adresse 0 mit dem Betrieb beginnt. Bei Adresse 0 greift der Prozessor 22 auf das BIOS 26 zu und schattenspeichert die Befehle des BIOS, wie z. B. das Leistung-Ein- Selbsttestmodul 28 in den RAM 24. Der Prozessor 22 führt dann das Leistung-Ein-Selbsttestmodul 28 aus dem RAM 24 aus. Während der Ausführung des Leistung-Ein- Selbsttestmoduls 28 beginnt der Prozessor 22 zu versuchen, die Laufwerkspeicherungsvorrichtungen zum Booten eines Betriebssystems zu booten. Während der Ausführung des Leistung-Ein-Selbsttestmoduls 28 kann z. B. eine Liste von verfügbaren Laufwerkvorrichtungen, die mit der Hauptplatine 14 gekoppelt sind, kompiliert werden. Obwohl jede Laufwerkvorrichtung ein unterschiedliches Betriebssystem aufweist, wobei jedes zum Booten in der Lage ist, können im allgemeinen nur die Laufwerkvorrichtungen in der Bootbares- Laufwerk-Liste, die durch das BIOS 26 beibehalten wird, die eine Standardeinstellung aufweisen und vom Benutzer konfigurierbar sind, zum Booten ausgewählt werden. Dementsprechend versucht das System 10 im allgemeinen, die Laufwerkvorrichtungen in der Reihenfolge zu booten, die auf der Liste erscheint; es können jedoch auch Parameter in dem 26 gespeichert sein, die anzeigen, welche Laufwerkvorrichtung zuerst gebootet werden soll.
- Während der Ausführung des Leistung-Ein-Selbsttestmoduls 28 wird ein Booten für die zweckgebundene Laufwerkvorrichtung versucht. Wenn das Booten der Laufwerkvorrichtung fehlschlägt, kann das BIOS 26 den Benutzer nach einem Paßwort auffordern, bevor es versucht, die verbleibenden Laufwerkvorrichtungen auf der Liste zu booten. Ein bestimmtes Paßwort, das z. B. der Laufwerkvorrichtung zugeordnet ist, kann in den Speicher 42 gespeichert und aus dem Speicher 42 wiedergewonnen werden, während versucht wird, die zweckgebundene Laufwerkvorrichtung zu booten. Ein Booten wird für jede Laufwerkvorrichtung auf der Liste versucht, bis ein Booten erfolgreich ist.
- Wie vorangehend kurz beschrieben wurde, weist die Festplatte 16 einen Identifizierer 44 auf, der entweder vorprogrammiert oder in den Speicher 42 als Identifizierer 46 vor der ersten Aktivierung des Systems 10 oder in den Speicher 42während der ersten Aktivierung des Systems 10 gespeichert werden kann. Das BIOS 26 kann z. B. derart konfiguriert sein, daß der Identifizierer 44, der der Festplatte 16 entspricht wiedergewonnen wird, wenn das System 10 zum ersten Mal aktiviert oder in den Speicher 42 als Identifizierer 46 gespeichert wird. Während der Ausführung des Leistung-Ein-Selbsttestmoduls 28 wird ein Booten der Festplatte 16 versucht. Während des versuchten Bootens der Festplatte 16 fragt der Prozessor 22 die Festplatte 16 ab und gewinnt den Identifizierer 44 aus der Festplatte 16 wieder und vergleicht den Identifizierer 44 mit dem Identifizierer 46, der in dem Speicher 42 gespeichert ist. Wenn die Identifizierer 44 und 46 übereinstimmen, wird die Festplatte 16 gebootet. Wenn die Identifizierer 44 und 46 nicht übereinstimmen, wird die Festplatte 16 nicht gebootet und das Verfahren des Bootens verbleibender Laufwerkvorrichtungen auf der erzeugten Liste verfügbarer Laufwerkvorrichtungen wird fortgesetzt, sobald ein Paßwort des BIOS 26 geliefert wird. Zusätzlich dazu kann der Prozessor 22 angepaßt sein, um eine Warnung auf einer Anzeige oder einem anderen Typ einer Ausgabevorrichtung (nicht ausdrücklich gezeigt) anzuzeigen, die angibt, daß die Identifizierer 44 und 46 einander nicht entsprechen.
- Somit schränken die Ausführungsbeispiele der vorliegenden Erfindung das Booten der Laufwerkvorrichtung 15 auf der bestimmten Hauptplatine 14 ein, die einen Identifizierer 46 aufweist, der mit dem Identifizierer 44 übereinstimmt, der der Laufwerkvorrichtung 15 entspricht, wodurch die Hauptplatine 14 an einer bestimmten Laufwerkvorrichtung 15 "verriegelt" wird. Dementsprechend bleibt die Konfiguration des Systems 10 sicher, da die Laufwerkvorrichtung 15 nicht entfernt und durch eine andere Laufwerkvorrichtung ersetzt werden kann - eine Seriennummer oder ein Identifizierer der Ersatzlaufwerkvorrichtung entspricht dem Identifizierer 46 nicht, der in dem Speicher 42 gespeichert ist. Zusätzlich dazu wird ein Zugriff auf den Speicher 42 bei einem Versuch des Wiedergewinnens des Identifizierer 46 im wesentlichen verhindert, da ein Booten einer Austauschlaufwerkvorrichtung nicht erfolgreich ist.
- Fig. 2 ist ein Flußdiagramm, das ein Verfahren zum Sichern eines Systems 10 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung darstellt. Das Verfahren beginnt bei Schritt 200, wo der Prozessor 22 ein Leistung-Ein- Selbsttestmodul 28 ausführt. Bei dem Entscheidungsschritt 202 wird eine Bestimmung durchgeführt, ob die Aktivierung des aktuellen Systems 10 eine erste Aktivierung oder erste Ausführung des Leistung-Ein-Selbsttestmoduls 28 ist. Wenn die aktuelle Aktivierung die erste Aktivierung ist, springt das Verfahren von Schritt 202 zu Schritt 204, wo der Identifizierer 44, der der Laufwerkvorrichtung 15 zugeordnet ist, aus der Laufwerkvorrichtung 15 wiedergewonnen wird. Bei Schritt 206 wird der Identifizierer 44, der aus der Laufwerkvorrichtung 15 wiedergewonnen wird, in dem Speicher 42 als Identifizierer 46 gespeichert. Wenn die aktuelle Aktivierung nicht die erste Aktivierung des Leistung-Ein- Selbsttestmoduls 28 ist, dann springt das Verfahren von Schritt 202 zu Schritt 208.
- Bei Schritt 208 bestimmt der Prozessor 22 eine Auflistung von verfügbaren Laufwerkvorrichtungen gemäß den Befehlen des Leistung-Ein-Selbsttestmoduls 28. Bei Schritt 210 bestimmt der Prozessor 22, welche der aufgelisteten Laufwerkvorrichtungen zuerst zum Booten ausgewählt werden sollten. Wie oben kurz beschrieben wurde, können die Befehle zum Booten der verschiedenen Laufwerkvorrichtungen z. B. eine bestimmte Reihenfolge aufweisen, oder können aufweisen, daß bestimmte Laufwerkvorrichtungen zuerst gebootet werden sollen. Bei dem Entscheidungsschritt 212 wird eine Bestimmung durchgeführt, ob die ausgewählte Laufwerkvorrichtung die erste Laufwerkvorrichtung für ein versuchtes Booten ist, wie z. B. die Laufwerkvorrichtung 15. Wenn die ausgewählte Laufwerkvorrichtung nicht die erste Laufwerkvorrichtung ist, springt das Verfahren von Schritt 212 zu Schritt 224, wo der Prozessor 22 versucht, die ausgewählte Laufwerkvorrichtung zu booten. Das Verfahren springt dann zu Schritt 226.
- Wenn die ausgewählte Laufwerkvorrichtung die erste Laufwerkvorrichtung ist, die für ein versuchtes Booten ausgewählt wird, springt das Verfahren von Schritt 212 zu Schritt 216, wo der Prozessor 22 die Laufwerkvorrichtung nach einem Identifizierer abfragt. Wenn die ausgewählte Laufwerkvorrichtung z. B. die Laufwerkvorrichtung 15 aufweist, gewinnt der Prozessor den Identifizierer 44 wieder, der der Laufwerkvorrichtung 15 entspricht. Bei Schritt 218 gewinnt der Prozessor 22 den Identifizierer 46 wieder, der in dem Speicher 42 gespeichert ist. Bei Schritt 220 vergleicht der Prozessor 22 den Identifizierer 44 mit dem Identifizierer 46.
- Bei dem Entscheidungsschritt 222 wird eine Bestimmung durchgeführt, ob der Identifizierer 44 mit dem Identifizierer 46 übereinstimmt oder demselben entspricht, der in dem Speicher 42 gespeichert ist. Wenn der Identifizierer 44 dem Identifizierer 46 entspricht, springt das Verfahren von Schritt 222 zu Schritt 224, wo der Prozessor 22 die Laufwerkvorrichtung bootet. Wenn der Identifizierer 44 dem Identifizierer 46 nicht entspricht, der in dem Speicher 42 gespeichert ist, dann springt das Verfahren von Schritt 222 zu Schritt 228. Bei Schritt 228 fordert der Prozessor 22 von dem Benutzer des Systems 10 ein Paßwort, das dem BIOS 26 zugeordnet ist, oder fragt dasselbe ab, zum Zugreifen auf Sicherheits- und Konfigurations-Einstellungen, die dem System 10 zugeordnet sind. Bei dem Entscheidungsschritt 230 wird eine Bestimmung durchgeführt, ob das Paßwort, das dem BIOS 26 zugeordnet ist, authentifiziert wurde. Wenn das Paßwort, das dem BIOS 26 zugeordnet ist, authentifiziert wurde, springt das Verfahren von Schritt 230 zu Schritt 226. Wenn das Paßwort, das dem BIOS 26 zugeordnet, ist nicht authentifiziert wurde, endet das Verfahren.
- Bei dem Entscheidungsschritt 226 wird eine Bestimmung durchgeführt, ob eine andere Laufwerkvorrichtung ein Booten erfordert. Wenn eine andere Laufwerkvorrichtung ein Booten erfordert, kehrt das Verfahren zu Schritt 210 zurück. Wenn keine andere Laufwerkvorrichtung ein Booten erfordert, endet das Verfahren, wodurch die Ausführung des Leistung- Ein-Selbsttestmoduls 28 abgeschlossen ist oder die fortgesetzte Ausführung des Leistung-Ein-Selbsttestmoduls 28 bereitgestellt wird.
- Somit liefert die vorliegende Erfindung eine höhere Sicherheit des Systems 10 als bekannte Sicherheitssysteme, im wesentlichen durch Verhindern des Bootens der Laufwerkvorrichtung 15, wenn die Laufwerkvorrichtung 15 keine ursprünglich konfigurierte Laufwerkvorrichtung 15 des Systems 10 ist. Zusätzlich dazu liefert die vorliegende Erfindung eine vorhersehbarere Wartung des Systems 10 oder eine diagnostische Bewertung, da der Benutzer des Systems 10 im wesentlichen daran gehindert wird, das System 10 zu ändern. Ferner liefert die vorliegende Erfindung eine erhöhte Steuerung von geschützten oder empfindlichen Informationen, die auf der Laufwerkvorrichtung 15 gespeichert sein können.
Claims (23)
1. Computersicherheitssystem (10), das folgende Merkmale
aufweist:
eine Hauptplatine (14), die einen Prozessor (22) und einen Speicher (42) aufweist;
eine Laufwerkvorrichtung (15), die einen zugewiesenen Identifizierer (44) aufweist und mit der Hauptplatine (14) gekoppelt ist; und
ein Grundeingabe-/Ausgabesystem (BIOS) (26), das durch den Prozessor (22) ausführbar ist und angepaßt ist, um den zugewiesenen Identifizierer (44) der Laufwerkvorrichtung (15) mit einem Identifizierer (46) zu vergleichen, der in dem Speicher (42) gespeichert ist, und die Laufwerkvorrichtung (15) zu booten, wenn der zugewiesene Identifizierer (44) dem gespeicherten Identifizierer (46) entspricht.
eine Hauptplatine (14), die einen Prozessor (22) und einen Speicher (42) aufweist;
eine Laufwerkvorrichtung (15), die einen zugewiesenen Identifizierer (44) aufweist und mit der Hauptplatine (14) gekoppelt ist; und
ein Grundeingabe-/Ausgabesystem (BIOS) (26), das durch den Prozessor (22) ausführbar ist und angepaßt ist, um den zugewiesenen Identifizierer (44) der Laufwerkvorrichtung (15) mit einem Identifizierer (46) zu vergleichen, der in dem Speicher (42) gespeichert ist, und die Laufwerkvorrichtung (15) zu booten, wenn der zugewiesene Identifizierer (44) dem gespeicherten Identifizierer (46) entspricht.
2. Sicherheitssystem (10) gemäß Anspruch 1, bei dem der
Speicher (42) einen seriellen Flash-Speicher aufweist.
3. Sicherheitssystem gemäß Anspruch 1 oder 2, bei dem der
zugewiesene Identifizierer (44) während der ersten
Operation eines Leistung-Ein-Selbsttestmoduls (28)in
dem Speicher (42) gespeichert wird.
4. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis
3, bei dem der Prozessor (22) eine Warnung erzeugt,
wenn der zugewiesene Identifizierer (44) sich von dem
gespeicherten Identifizierer (46) unterscheidet.
5. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis
4, bei dem das Computersicherheitssystem (10) auf
einer Interneteinrichtung angeordnet ist.
6. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis
5, bei dem das BIOS (26) angepaßt ist, um den
gespeicherten Identifizierer (46) während einer Leistung-
Ein-Selbsttestoperation mit dem zugewiesenen
Identifizierer (44) zu vergleichen.
7. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis
6, bei dem das BIOS (26) ferner angepaßt ist, um zu
bestimmen, ob eine aktuelle Aktivierung des Systems
(10) eine erste Aktivierung des Systems (10) ist, und
den zugewiesenen Identifizierer (44) in dem Speicher
(42) zu speichern, wenn die aktuelle Aktivierung die
erste Aktivierung ist.
8. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis
7, bei dem die Laufwerkvorrichtung (15) ein
Festplattenlaufwerk (16) aufweist.
9. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis
8, bei dem das Computersicherheitssystem (10) auf
einem Desktop-Computer angeordnet ist.
10. Sicherheitssystem (10) gemäß einem der Ansprüche 1 bis
9, bei dem der Prozessor ferner angepaßt ist, um den
Benutzer nach einem Paßwort aufzufordern, das dem BIOS
(26) zugeordnet ist, wenn der zugeordnete
Identifizierer (44) dem gespeicherten Identifizierer nicht
entspricht.
11. Verfahren zum Sichern eines Computersystems, das
folgende Schritte aufweist:
automatisches Aufrufen einer Laufwerkvorrichtung (15), um einen zugewiesenen Identifizierer (44), der der Laufwerkvorrichtung (15) zugeordnet ist, zu bestimmen;
Vergleichen des zugewiesenen Identifizierers (44) mit einem Identifizierer (46), der in einem Speicher (42) einer Hauptplatine (14) gespeichert ist;
Booten der Laufwerkvorrichtung (15), wenn der zugewiesene Identifizierer (44) dem gespeicherten Identifizierer (46) entspricht.
automatisches Aufrufen einer Laufwerkvorrichtung (15), um einen zugewiesenen Identifizierer (44), der der Laufwerkvorrichtung (15) zugeordnet ist, zu bestimmen;
Vergleichen des zugewiesenen Identifizierers (44) mit einem Identifizierer (46), der in einem Speicher (42) einer Hauptplatine (14) gespeichert ist;
Booten der Laufwerkvorrichtung (15), wenn der zugewiesene Identifizierer (44) dem gespeicherten Identifizierer (46) entspricht.
12. Verfahren gemäß Anspruch 11, bei dem das Vergleichen
das Vergleichen des zugewiesenen Identifizierers (44)
mit einem Identifizierer (46) aufweist, der in einem
seriellen Flash-Speicher gespeichert ist.
13. Verfahren gemäß Anspruch 11 oder 12, bei dem das
automatische Aufrufen einer Laufwerkvorrichtung (15)
das automatische Aufrufen eines Festplattenlaufwerks
(15) über ein Grundeingabe-/Ausgabe-System (BIOS)
aufweist, wobei das BIOS (26) angepaßt ist, um den
gespeicherten Identifizierer (46) aus dem Speicher (42)
wiederzugewinnen.
14. Verfahren gemäß einem der Ansprüche 11 bis 13, das
ferner das Erzeugen einer Warnung aufweist, wenn der
gespeicherte Identifizierer (46) sich von dem
zugewiesenen Identifizierer (44) unterscheidet.
15. Verfahren gemäß einem der Ansprüche 11 bis 14, das
ferner das Speichern des zugewiesenen Identifizierers
(44), der der Laufwerkvorrichtung (15) zugeordnet ist,
während einer ersten Leistung-Ein-Selbsttestoperation
in dem Speicher (42) aufweist.
16. Verfahren gemäß Anspruch 15, bei dem das automatische
Aufrufen das automatische Aufrufen der
Laufwerkvorrichtung (15) während jeder nachfolgenden Leistung-
Ein-Selbsttestoperation aufweist.
17. Verfahren gemäß einem der Ansprüche 11 bis 16, bei dem
das automatische Aufrufen das automatische Aufrufen
einer Laufwerkvorrichtung (15) während einer Leistung-
Ein-Selbsttestoperation aufweist.
18. Verfahren zum Sichern eines Computersystems, das
folgende Schritte aufweist:
Bereitstellen einer Laufwerkvorrichtung (15), die einen Identifizierer aufweist;
Bereitstellen einer Hauptplatine (14), die einen Prozessor (22) und einen Speicher (42) aufweist; Speichern des Identifizierers in dem Speicher (42);
Bereitstellen eines Grundeingabe-/Ausgabesystems (BIOS) (26), das angepaßt ist, um die Laufwerkvorrichtung (15) aufzurufen, um den Identifizierer wiederzugewinnen, und die Laufwerkvorrichtung (15) zu booten, wenn der wiedergewonnene Identifizierer mit dem Identifizierer übereinstimmt, der in dem Speicher (42) gespeichert ist.
Bereitstellen einer Laufwerkvorrichtung (15), die einen Identifizierer aufweist;
Bereitstellen einer Hauptplatine (14), die einen Prozessor (22) und einen Speicher (42) aufweist; Speichern des Identifizierers in dem Speicher (42);
Bereitstellen eines Grundeingabe-/Ausgabesystems (BIOS) (26), das angepaßt ist, um die Laufwerkvorrichtung (15) aufzurufen, um den Identifizierer wiederzugewinnen, und die Laufwerkvorrichtung (15) zu booten, wenn der wiedergewonnene Identifizierer mit dem Identifizierer übereinstimmt, der in dem Speicher (42) gespeichert ist.
19. Verfahren gemäß Anspruch 18, das ferner das Erzeugen
einer Warnung aufweist, wenn sich der wiedergewonnene
Identifizierer von dem gespeicherten Identifizierer
unterscheidet.
20. Verfahren gemäß Anspruch 18 oder 19, bei dem das
Bereitstellen einer Hauptplatine (14) das
Bereitstellen einer Hauptplatine (14) aufweist, die einen
seriellen Flash-Speicher aufweist, und bei dem das
Speichern das Speichern des Identifizierers in dem
seriellen Flash-Speicher aufweist.
21. Verfahren gemäß einem der Ansprüche 18 bis 20, bei dem
das Bereitstellen des BIOS (26) ferner das
Bereitstellen des BIOS (26) aufweist, das angepaßt ist, um die
Laufwerkvorrichtung (15) während einer Leistung-Ein-
Selbsttestoperation aufzurufen.
22. Verfahren gemäß einem der Ansprüche 18 bis 21, bei dem
das Speichern des Identifizierers das Speichern des
Identifizierers in dem Speicher (42) während einer
ersten Leistung-Ein-Selbsttestoperation aufweist.
23. Verfahren gemäß Anspruch 22, bei dem das Bereitstellen
des BIOS (26) ferner das Bereitstellen des BIOS (26)
aufweist, das angepaßt ist, um die Laufwerkvorrichtung
(15) während jeder nachfolgenden Leistung-Ein-
Selbsttestoperation aufzurufen.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/999,466 US7100036B2 (en) | 2001-10-30 | 2001-10-30 | System and method for securing a computer |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10248465A1 true DE10248465A1 (de) | 2003-05-15 |
Family
ID=25546362
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10248465A Ceased DE10248465A1 (de) | 2001-10-30 | 2002-10-17 | System und Verfahren zum Sichern eines Computers |
Country Status (4)
Country | Link |
---|---|
US (1) | US7100036B2 (de) |
JP (1) | JP2003196162A (de) |
DE (1) | DE10248465A1 (de) |
GB (1) | GB2384886B (de) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1762956A2 (de) * | 2005-09-09 | 2007-03-14 | Fujitsu Siemens Computers GmbH | Computer mit mindestens einer Anschlussmöglichkeit für ein Wechselspeichermedium und Verfahren zum Starten und Betreiben eines Computers mit einem Wechselspeichermedium |
WO2007070658A1 (en) * | 2005-12-13 | 2007-06-21 | Cisco Technology, Inc. | System and method for detecting unauthorized boots |
US8321040B2 (en) | 2008-04-17 | 2012-11-27 | Beckhoff Automation Gmbh | Method for operating a safety control and automation network having such a safety control |
Families Citing this family (45)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2003060679A1 (ja) * | 2001-12-27 | 2005-05-19 | 富士通株式会社 | 情報処理装置および記憶装置 |
US20030212911A1 (en) * | 2002-05-13 | 2003-11-13 | International Business Machines Corporation | Secure control of access to data stored on a storage device of a computer system |
DE10238094B4 (de) * | 2002-08-21 | 2007-07-19 | Audi Ag | Verfahren zum Schutz gegen Manipulationen in einem Steuergerät für mindestens eine Kfz-Komponente und Steuergerät |
DE10238093B4 (de) * | 2002-08-21 | 2007-10-18 | Audi Ag | Fahrzeug-Steuergerät |
US7743241B1 (en) | 2003-09-12 | 2010-06-22 | American Megatrends, Inc. | Securing the contents of data storage devices within a computer |
US7269725B2 (en) * | 2003-12-17 | 2007-09-11 | Lenovo (Singapore) Pte. Ltd. | Autonomic binding of subsystems to system to prevent theft |
US7502942B1 (en) * | 2003-12-19 | 2009-03-10 | Adaptec, Inc. | System and method for authentication of embedded raid on a motherboard having input/output processor |
US7600132B1 (en) * | 2003-12-19 | 2009-10-06 | Adaptec, Inc. | System and method for authentication of embedded RAID on a motherboard |
US8112618B2 (en) * | 2004-04-08 | 2012-02-07 | Texas Instruments Incorporated | Less-secure processors, integrated circuits, wireless communications apparatus, methods and processes of making |
JP2006053703A (ja) * | 2004-08-11 | 2006-02-23 | Hitachi Ltd | 記憶制御システム及び方法 |
JP4755990B2 (ja) | 2004-09-15 | 2011-08-24 | 富士通株式会社 | 情報処理装置およびプログラム |
US8667580B2 (en) * | 2004-11-15 | 2014-03-04 | Intel Corporation | Secure boot scheme from external memory using internal memory |
TWI267783B (en) * | 2004-12-24 | 2006-12-01 | Sunplus Technology Co Ltd | Apparatus and system having function of in-system-programming |
US7607002B2 (en) * | 2005-01-10 | 2009-10-20 | Dell Products L.P. | System and method for information handling system boot device branding of boot information |
US7370190B2 (en) * | 2005-03-03 | 2008-05-06 | Digimarc Corporation | Data processing systems and methods with enhanced bios functionality |
US20060288197A1 (en) * | 2005-06-16 | 2006-12-21 | Swanson Robert C | Identifying an operating system associated with a boot path |
US7350067B2 (en) * | 2005-06-22 | 2008-03-25 | Hewlett-Packard Development Company, L.P. | Bios security management |
US8554686B2 (en) * | 2005-06-30 | 2013-10-08 | Advanced Micro Devices, Inc. | Anti-hack protection to restrict installation of operating systems and other software |
US7619544B2 (en) * | 2005-10-27 | 2009-11-17 | Hewlett-Packard Development Company, L.P. | BIOS password security using modified scan codes |
US7577809B2 (en) * | 2005-11-02 | 2009-08-18 | Promethean Storage Llc | Content control systems and methods |
US20070118658A1 (en) * | 2005-11-23 | 2007-05-24 | Broyles Paul J | User selectable management alert format |
US7571368B1 (en) | 2006-01-26 | 2009-08-04 | Promethean Storage Llc | Digital content protection systems and methods |
US8243922B1 (en) | 2006-02-24 | 2012-08-14 | Hitachi Global Storage Technologies Netherlands B.V. | Digital content modification for content protection |
US7996899B1 (en) | 2006-02-24 | 2011-08-09 | Hitachi Global Storage Technologies Netherlands B.V. | Communication systems and methods for digital content modification and protection |
US20070234073A1 (en) * | 2006-03-31 | 2007-10-04 | Lenovo (Singapore) Pte. Ltd. | Random password automatically generated by bios for securing a data storage device |
US20070271609A1 (en) * | 2006-05-18 | 2007-11-22 | Phison Electronics Corp. | Security system of flash memory and method thereof |
US9177111B1 (en) | 2006-11-14 | 2015-11-03 | Hitachi Global Storage Technologies Netherlands B.V. | Systems and methods for protecting software |
JP2008269246A (ja) * | 2007-04-19 | 2008-11-06 | Oki Data Corp | 画像形成装置 |
TWI338852B (en) * | 2007-07-31 | 2011-03-11 | Wistron Corp | Harddisk security method |
US20090077390A1 (en) * | 2007-09-14 | 2009-03-19 | Particio Lucas Cobelo | Electronic file protection system having one or more removable memory devices |
US8266415B2 (en) * | 2008-02-26 | 2012-09-11 | Broadcom Corporation | Electronic device board level security |
KR101363414B1 (ko) * | 2008-07-03 | 2014-02-14 | 삼성전자 주식회사 | 컴퓨터 시스템 및 그 제어방법 |
US8954804B2 (en) * | 2008-07-15 | 2015-02-10 | Ati Technologies Ulc | Secure boot circuit and method |
US8127122B2 (en) * | 2008-09-16 | 2012-02-28 | Hewlett-Packard Development Company, L.P. | Selection of boot drive in a computer system |
US8132267B2 (en) | 2008-09-30 | 2012-03-06 | Intel Corporation | Apparatus and method to harden computer system |
US20100083365A1 (en) * | 2008-09-30 | 2010-04-01 | Naga Gurumoorthy | Apparatus and method to harden computer system |
JP4881452B2 (ja) * | 2010-03-12 | 2012-02-22 | 株式会社バッファロー | 記憶処理装置及びプログラム |
US11297045B2 (en) | 2010-03-26 | 2022-04-05 | Kioxia Corporation | Information recording apparatus with shadow boot program for authentication with a server |
JP5380604B2 (ja) * | 2010-03-26 | 2014-01-08 | 株式会社東芝 | 情報記録装置 |
WO2012147170A1 (ja) * | 2011-04-26 | 2012-11-01 | 富士通株式会社 | リモート起動装置、方法、およびプログラム |
US9330244B2 (en) * | 2011-12-15 | 2016-05-03 | Kabushiki Kaisha Toshiba | Controller and method of storage apparatus |
TWI447583B (zh) * | 2012-02-10 | 2014-08-01 | Phison Electronics Corp | 資料保護方法、記憶體控制器與記憶體儲存裝置 |
KR102068485B1 (ko) | 2012-11-30 | 2020-01-21 | 삼성전자주식회사 | 불 휘발성 메모리 모듈 및 그것의 동작 방법 |
JP6694145B2 (ja) * | 2017-01-17 | 2020-05-13 | 富士通クライアントコンピューティング株式会社 | 情報処理装置および管理プログラム |
JP2019197511A (ja) * | 2018-05-11 | 2019-11-14 | 富士通株式会社 | 情報処理装置及び版数管理プログラム |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5909592A (en) * | 1994-09-07 | 1999-06-01 | Intel Corporation | Method in a basic input-output system (BIOS) of detecting and configuring integrated device electronics (IDE) devices |
US6484308B1 (en) | 1995-01-05 | 2002-11-19 | Dell Products L.P. | System and method for ensuring data integrity on a removable hard drive |
US5745568A (en) * | 1995-09-15 | 1998-04-28 | Dell Usa, L.P. | Method of securing CD-ROM data for retrieval by one machine |
US5857021A (en) | 1995-11-07 | 1999-01-05 | Fujitsu Ltd. | Security system for protecting information stored in portable storage media |
US6003130A (en) | 1996-10-28 | 1999-12-14 | Micron Electronics, Inc. | Apparatus for selecting, detecting and/or reprogramming system bios in a computer system |
DE69830834T2 (de) | 1998-01-20 | 2006-01-26 | Fujitsu Ltd., Kawasaki | Datenspeicheranordnung und Steuerverfahren dafür |
US6934852B2 (en) | 2000-12-11 | 2005-08-23 | International Business Machines Corporation | Security keys for enhanced downstream access security for electronic file systems and drives |
-
2001
- 2001-10-30 US US09/999,466 patent/US7100036B2/en not_active Expired - Lifetime
-
2002
- 2002-10-16 GB GB0224107A patent/GB2384886B/en not_active Expired - Fee Related
- 2002-10-17 DE DE10248465A patent/DE10248465A1/de not_active Ceased
- 2002-10-30 JP JP2002315440A patent/JP2003196162A/ja active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1762956A2 (de) * | 2005-09-09 | 2007-03-14 | Fujitsu Siemens Computers GmbH | Computer mit mindestens einer Anschlussmöglichkeit für ein Wechselspeichermedium und Verfahren zum Starten und Betreiben eines Computers mit einem Wechselspeichermedium |
US8151115B2 (en) | 2005-09-09 | 2012-04-03 | Fujitsu Technology Solutions Intellectual Property Gmbh | Computer including at least one connector for a replaceable storage medium, and method for starting and operating a computer via a replaceable storage medium |
WO2007070658A1 (en) * | 2005-12-13 | 2007-06-21 | Cisco Technology, Inc. | System and method for detecting unauthorized boots |
US8321040B2 (en) | 2008-04-17 | 2012-11-27 | Beckhoff Automation Gmbh | Method for operating a safety control and automation network having such a safety control |
Also Published As
Publication number | Publication date |
---|---|
JP2003196162A (ja) | 2003-07-11 |
GB2384886B (en) | 2005-03-16 |
US7100036B2 (en) | 2006-08-29 |
GB0224107D0 (en) | 2002-11-27 |
GB2384886A (en) | 2003-08-06 |
US20030084316A1 (en) | 2003-05-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10248465A1 (de) | System und Verfahren zum Sichern eines Computers | |
DE69717063T2 (de) | Verfahren und System zur sicheren Datenverarbeitung | |
EP3274825B1 (de) | Verfahren und ausführungsumgebung zum gesicherten ausführen von programmbefehlen | |
DE60037606T2 (de) | Rechner mit urladungsfähigem sicherem Programm | |
DE112009000344B4 (de) | Zugriffsrechte auf eine Speicher-Map | |
DE60303753T2 (de) | Selektives Erkennen von böswilligem Rechnercode | |
DE102008021567B4 (de) | Computersystem mit sicherem Hochlaufmechanismus auf der Grundlage einer Verschlüsselung mit symmetrischem Schlüssel | |
DE102008011925B4 (de) | Sicheres Initialisieren von Computersystemen | |
DE10392470B4 (de) | System und Verfahren zum Ausführen von Initialisierungsbefehlen einer gesicherten Umgebung | |
EP0432333B1 (de) | Rechnersystemsicherheitsvorrichtung | |
DE10393662T5 (de) | Bereitstellen eines sicheren Ausführungsmodus in einer Preboot-Umgebung | |
DE112005002985T5 (de) | Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer | |
DE112006001744T5 (de) | Manipulationsschutz, um Installation von Betriebssystemen und anderer Software zu beschränken | |
DE112007000363T5 (de) | Verfahren zum Bereitstellen sicherer Firmware | |
DE19847677C2 (de) | Computer, Verfahren und Gerät zum Verhindern eines unautorisierten Zugriffs auf ein Computerprogramm | |
DE112009004762T5 (de) | System und verfahren zum durchführen einer verwaltunosoperation | |
DE112011105687T5 (de) | Verwendung eines Option-ROM-Speichers | |
EP1262856B1 (de) | Programmgesteuerte Einheit | |
DE102021127242A1 (de) | System und Verfahren zum Signieren und Verriegeln einer Boot-Informationsdatei für ein Host-Computersystem | |
EP1705592A2 (de) | Verfahren und Steuervorrichtung zur Steuerung eines Zugriffs eines Computers auf Nutzdaten | |
DE112019005417T5 (de) | Sichern von Datenprotokollen in Arbeitsspeichervorrichtungen | |
DE102022109208A1 (de) | Verwaltung der Verwendung von Geheimnissen der Verwaltungssteuerung basierend auf der Besitzgeschichte der Firmware | |
EP3811263A1 (de) | Kryptografiemodul und betriebsverfahren hierfür | |
DE112020007303T5 (de) | Sicheres hochfahren von rechenvorrichtungen | |
US20080155144A1 (en) | Control of a peripheral apparatus via a canopen interface |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8127 | New person/name/address of the applicant |
Owner name: HEWLETT-PACKARD DEVELOPMENT CO., L.P., HOUSTON, TE |
|
R003 | Refusal decision now final | ||
R010 | Appeal proceedings settled by withdrawal of appeal(s) or in some other way |