DE3779692T2 - Wahlweises rechnerzugriff-schutzsystem. - Google Patents

Wahlweises rechnerzugriff-schutzsystem.

Info

Publication number
DE3779692T2
DE3779692T2 DE19873779692 DE3779692T DE3779692T2 DE 3779692 T2 DE3779692 T2 DE 3779692T2 DE 19873779692 DE19873779692 DE 19873779692 DE 3779692 T DE3779692 T DE 3779692T DE 3779692 T2 DE3779692 T2 DE 3779692T2
Authority
DE
Germany
Prior art keywords
card
program
protection
value
disk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE19873779692
Other languages
English (en)
Other versions
DE3779692D1 (de
Inventor
Alain Ballaud
Alain Sarzotti
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bull SAS
Original Assignee
Bull SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bull SAS filed Critical Bull SAS
Application granted granted Critical
Publication of DE3779692D1 publication Critical patent/DE3779692D1/de
Publication of DE3779692T2 publication Critical patent/DE3779692T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Description

  • Die vorliegende Erfindung betrifft ein wahlfreies Schutzsystem gegen den Zugriff auf ein Informationsverarbeitungssystem mittels einer intelligenten Identifizierungskarte, das Verfahren zum Schutz gegen den Zugriff und die Verwendung des Schutzsystems in einem Prozeß des Zugriffs auf das Informationsverarbeitungssystem.
  • In der verteilten Bürokommunikationstechnik und der verteilten Informationstechnik kann es interessant sein, den Zugriff auf Mikrocomputer, elektronische Arbeitsplätze, Datenendgeräte oder Rechner schützen zu können.
  • Es gibt Einrichtungen für die Sicherheit der Signalübertragung zwischen zwei Informationsverarbeitungs-Arbeitsplätzen, diese Einrichtungen berücksichtigen jedoch nicht den Schutz des Datenendgerätes oder des Computers selbst. Andererseits gibt es auch Mittel zum Sperten der Rechner beispielsweise mit Hilfe von Schlüsseln, wobei diese Mittel dann, wenn der Schlüssel nicht in das Schloß eingeführt ist, die Übertragung der von der Tastatur ausgehenden Informationen sperren. Diese Art von Einrichtung ist zwar verfügbar, besitzt jedoch den Nachteil, daß sie leicht umgangen werden kann und eine illusorische Sicherheit bietet. Außerdem ist aus der Patentanmeldung PCT WO81/01063 bekannt, den Zugriff auf ein Datenendgerät mittels einer sendenden Karte zu schützen. Dieser Schutz wird jedoch schon am Anfang installiert, und es ist nicht möglich, den Schutz wahlfrei bzw. als Option auszulösen. Außerdem sieht die Einrichtung nicht die Überprüfung der Befugnis des Trägers der sendenden Karte für die Arbeit mit dem Datenendgerät vor, so daß ein Mißbrauch leicht möglich ist.
  • Aus dem französischen Patent 2.546.646 ist außerdem ein System bekannt, das den Benutzem von intelligenten Karten die Ausführung von Transaktionen erlaubt, wenn zwei Vergleiche, wovon ein erster in der Karte und ein zweiter im Datenendgerät ausgeführt wird, erfolgreich sind. Eine solche Einrichtung oder ein solches System entspricht jedoch ebenfalls einem schon am Anfang installierten Schutz, wobei die Auslösung des Schutzes auf wahlfreie Weise nicht möglich ist.
  • Das europäische Patent EP-A-O,089,876 lehrt ein Verfahren und eine Einrichtung, die eine Kontrolle der Programmverbreitung erlauben. Hierzu werden die Programme unausführbar geliefert und können nur in dem Fall ausgeführt werden, in dem sie mit einer intelligenten Karte verwendet werden. Dieses Dokument lehrt daher gleichermaßen die Möglichkeit der Verwendung eines Software-Betriebsmittels ausschließlich bei Vorhandensein einer Karte und die Möglichkeit der Wahl verschiedener Software- Betriebsmittel unter dem Vorbehalt, daß in der Karte ein Validierungsschlüssel vorhanden ist. Dieses Dokument lehrt daher die wahlfreie Verwendung eines Software- Betriebsmittels, sie lehrt jedoch nicht die wahlfreie Auslösung des Schutzes. Die Programme sind aufgrund ihres Aufbaus so beschaffen, daß sie unausführbar bleiben.
  • Eine erste Aufgabe der Erfindung besteht darin, ein Schutzsystem gegen den Zugriff auf einen Computer vorzuschlagen, das gleichzeitig zuverlässiger und schwierig zu umgehen ist und das die wahlfreie Ausführung des Schutzes erlaubt.
  • Diese erste Aufgabe wird dadurch gelöst, daß das wahlfreie Schutzsystem gegen den Zugriff auf ein Informationsverarbeitungssystem mittels einer intelligenten Identiflzierungskarte dadurch gekennzeichnet ist, daß es eine erste Einrichtung umfaßt, die dem Benutzer die wahlfreie Möglichkeit bietet, den Schutz gegen den Zugriff auf das Informationsverarbeitungssystem auszulösen, und die im Falle der Wahl dieser Option eine zweite Einrichtung betätigt, die die Arbeit mit wenigstens einem Hauptbetriebsmittel des Informationsverarbeitungssystems nur bei Vorhandensein der Karte erlaubt, daß die Arbeit mit wenigstens einem Hauptbetriebsmittel ohne Karte möglich ist, solange die Möglichkeit des Auslösens der von der ersten Einrichtung gebotenen Schutzoption nicht gewählt worden ist, und daR eine Rückkehr in den nicht gewählten Zustand ohne Zurücksetzen des Systems nicht möglich ist, sobald die Schutzfunktion einmal ausgelöst worden ist.
  • Gemäß einem weiteren Merkmal ist das Hauptbetriebsmittel die Tastatur, wobei die Eingabe von Daten über die Tastatur bei Abwesenheit der Karte gesperrt ist.
  • Gemäß einem weiteren Merkmal ist das Hauptbetriebsmittel eine Magnetplatte, wobei das Lesen des Leitsektors der Platte ohne einen von der Karte gelieferten Entschlüsselungs-Schlüssel unmöglich ist.
  • Gemäß einem weiteren Merkmal ist der Prozessor des Rechners verbunden:
  • mit ersten Speichermitteln, die zwei Basisprogramme des Eingabe-/Ausgabesystems (BIOS) enthalten,
  • wobei ein sogenanntes erstes Programm (BIOS 1) einen Prozeß für die Initialisierung und die Ausführung des Schutzes im Anschluß an die Wahl der Schutzoption umfaßt und
  • wobei ein sogenanntes zweites Programm (BIOS 2) wenigstens einen Prozeß für den Zugriff auf die geschützten Hauptbetriebsmittel umfaßt und zur Benutzung einer intelligenten Identifizierungskarte (CB) auffordert;
  • mit einem zweiten Speichermittel (M), das mit einer Sicherungs- und Schutz- Versorgungseinrichtung verbunden ist und eine Matrix von Wertepaaren enthält, die in einer Indextabelle geordnet sind und im Prozeß für den Maschinenzugriff des zweiten Programms (BIOS 2) verwendet werden; und
  • mit Mitteln für die ausschließliche Wahl der Benutzung des zweiten Programms (BIOS 2) nach der Wahl der Schutzoption.
  • Eine zweite Aufgabe der Erfindung besteht in einem wahlfreien Verfahren für den Schutz gegen den Zugriff auf eine Maschine, das wirtschaftlich, zuverlässig und unabhängig von den besonderen Eigenschaften der Maschine und der zugehörigen Betriebsmittel ist.
  • Diese Aufgabe wird dadurch gelöst, daß das Verfahren für den Schutz gegen den Zugriff auf das Informationsverarbeitungssystem mittels einer intelligenten Identifizierungskarte (CB), wobei das System einen Prozessor (1) umfaßt, der mit ersten Speichermitteln (22, 23) und einem zweiten Speichermittel (M) verbunden ist, die wenigstens ein erstes (BIOS 1) und ein zweites (BIOS 2) Programm enthalten, die die Ausführung eines Prozesses für die Initialisierung des Schutzes bzw. für den Zugriff auf die geschützten Hauptbetriebsmittel durch die Benutzung der genannten Karte (CB) erlauben, dadurch gekennzeichnet ist, daß es im Falle der Wahl der Schutzoption umfaßt:
  • - Auslösen des ersten Programms (BIOS 1) zum Ausführen der Initialisierung des Schutzes; und
  • - Erlauben des Zugriffs auf die Hauptbetriebsmittel nur durch die Freigabe des zweiten Programms (BIOS 2), wenn die Initialisierung im Verlauf der Ausführung des ersten Programms (BIOS 1) gewählt worden ist; und
  • - Verhindern jeglicher Rückkehr in den nicht gewählten Zustand ohne Zurücksetzen des Systems.
  • Gemäß einer weiteren Besonderheit umfaßt der Zugriffsprozeß die folgenden Schritte:
  • a) Überprüfen des Vorhandenseins der Karte (CB);
  • b) zufälliges Ziehen zweier Zahlen (dl/dm) aus vier möglichen Zahlen durch das zweite Programm (BIOS 2);
  • c) Bestimmen der Adressen eines im zweiten Speichermittel geordneten Wertepaares (Ei, Ki) anhand der zwei Zahlen (dl, dm) und der zugehörigen Indizes;
  • d) Senden eines ersten Wertes (Ei) des Paares (Ei, Ki) zur Karte (CB);
  • e) Berechnen eines Wertes K'i = f(Ei, Nj, S) durch die Karte (CB);
  • f) Senden des von der Karte (CB) berechneten Wertes (K'i) zum Rechner für den Vergleich mit dem zweiten Wert (Ki) des Paares;
  • g) Anhalten des Programms des Prozesses für den Maschinenzugriff und Sperren der Maschine im Falle der Nichtübereinstimmung der verglichenen Werte (Ki) und (K'i).
  • Gemäß einer weiteren Besonderheit wird der Prozeß für den Zugriff auf die Platte, der im zweiten Programm (BIOS 2) enthalten ist, nur in dem Fall ausgeführt, in dem die verglichenen Werte (Ki) und (K'i) übereinstimmen.
  • Gemäß einer weiteren Besonderheit umfaßt der Prozeß für den Zugriff auf die Platte insbesondere die Entschlüsselung des verschlüsselten Leitsektors (S) der Platte, wobei die Entschlüsselung nur nach der Lieferung eines Entschlüsselungs-Schlüssels (Ci) durch die Karte (CB) ausgeführt werden kann.
  • Eine dritte Aufgabe der Erfindung besteht darin, einen Prozeß für die Initialisierung des Schutzes vorzuschlagen.
  • Diese dritte Aufgabe wird dadurch gelöst, daß der Prozeß für die Initialisierung des Schutzes die folgenden Schritte umfaßt:
  • - Überprüfen des Vorhandenseins der materiellen Betriebsmittel, die die Identifizierungskarte (CB), eine elektronische Karte (EL) und ihre Steckverbindung (CO) und die Schnittstellenkarte (I) umfassen;
  • - Eingabe der Identifizierungsnummer (Nj) durch die Bedienungsperson über die Tastatur (10);
  • - zufälliges Ziehen, ausgeführt vom ersten Programm (BIOS 1), eines ersten Wertes (Ei) und Senden dieses Wertes (Ei) zur Identifizierungskarte (CB);
  • - Speichern des ersten Wertes (Ei) im zweiten Speichermittel M;
  • - Berechnen eines zweiten Wertes (Ki) gemäß Ki = f(Ei, Nj, S) durch die Identifizierungskarte (CB);
  • - Senden des zweiten Wertes (Ki) an das zweite Speichermittel (M) und Anordnen desselben in diesem zweiten Speichermittel;
  • - Ausführen des Prozesses der Verschlüsselung der Platte (PED);
  • - Bestätigen der Wahl der Schutzoption;
  • - Sperren der Mittel für die Wahl der ausschließlichen Benutzung des zweiten Programms (BIOS 2).
  • Gemäß einem weiteren Merkmal umfaßt der Prozeß der Verschlüsselung der Platte die folgenden Schritte:
  • - Berechnen eines Koeffizienten (Ci) gemäß Ci = f(C, Nj, S) durch die Identifizierungskarte (CB), wobei (C) eine in der Karte (CB) enthaltene Zahl ist;
  • - Senden des Koeffizienten (Ci) an das erste Programm (BIOS 1);
  • - Berechnen der verschlüsselten Werte (s') des Leitsektors der Platte mittels des die Verschlüsselungsfunktion (g) enthaltenden ersten Programms (BIOS 1) anhand der nicht verschlüsselten Werte (s) dieses Leitsektors durch die Formel s' = g(Ci, s).
  • Gemäß einer weiteren Besonderheit umfaßt der Zugriffsprozeß zwischen den Schritten a und b einen Schritt der Eingabe einer Identifizierungsnummer Nj in die Tastatur (10) durch den Träger der Identifizierungskarte (CB) und des Vergleichs mit der Nummer Nj der Karte (CB).
  • Weitere Merkmale und Vorteile der vorliegenden Erfindung werden beim Lesen der folgenden Beschreibung deutlicher, die mit Bezug auf die beigefügten Zeichnungen gegeben wird, von denen:
  • die Fig. 1 eine schematische Gesamtansicht des erfindungsgemäßen Schutzsystems darstellt;
  • die Fig. 2 eine detaillierte Ansicht von Abwandlungen darstellt, die an der Prozessorkarte des Schutzssystems vorgenommen werden;
  • die Fig. 3 ein Flußdiagramm des Initialisierungsprozesses für die Ausführung des Schutzes darstellt;
  • die Fig. 4 ein Flußdiagramm des Zugriffsprozesses auf die Maschine und des Zugriffsprozesses auf die Platte darstellt.
  • Die Prozessorkarte (P) eines Rechners oder eines Mikrocomputers oder eines Datenendgerätes oder eines Bürokommunikations-Arbeitsplatzes ist, wie in Fig. 1 gezeigt ist, mittels nicht gezeigter, geeigneter Verbindungseinrichtungen mit einer Schnittstellenkarte (I) verbunden. Diese Schnittstellenkarte (I) ist wiederum mittels nicht gezeigter, geeigneter Verbindungseinrichtungen mit einer elektronischen Karte (EL) verbunden, die eine Elektronik aufweist, die der Anpassung der Signale dient, die von einer intelligenten Identifizierungskarte (CB) an eine von der elektronischen Karte (EL) getragenen Verbindungseinrichtung (CO) ausgegeben werden. Diese elektronische Karte (EL) umfaßt außerdem eine Einrichtung zur Erfassung des Vorhandenseins einer Identifizierungskarte, wobei die Einrichtung eine von einer Spannungsquelle (+V) versorgte lichtemittierende Diode umfaßt. Ein Phototransistor (T), dessen Emitter mit Masse verbunden ist und dessen Kollektor über einen Widerstand (R) mit einer Spannungsquelle (+V) verbunden ist, gibt an seinem Kollektor das das Vorhandensein oder Nichtvorhandensein der Karte anzeigende Signal aus. Die Diode (D) und der Phototransistor (T) sind in bezug auf die Verbindungseinrichtung (CO) so angeordnet, daß der Lichtweg des von der Diode (D) in Richtung des Phototransistors (T) ausgehenden Strahls von der Karte unterbrochen wird, wenn diese in die Verbindungseinrichtung (CO) eingeführt ist. Die Verbindungseinrichtung (CO) und die Elektronik der Karte (EL) geben über die Reihenschaltung (6) und die Reihenschaltung (4) die von der Karte (CB) gelieferte serielle Information an den seriellen Eingangsanschluß (70) einer Seriell-/Parallel-Schnittstellenschaltung 7 aus, die mit ihren Paralleleingängen und -ausgängen (73) mit acht Datenbits mit geringer Wertigkeit (D0- D7) des Datenbusses der Prozessorkarte verbunden ist. Die Seriell-/Parallel- Schnittstellenschaltung 7 ist außerdem auf eine dem Fachmann bekannte Weise über Leitungen (71) mit für den Betrieb des Prozessors (1) notwendigen Steuerbusleitungen des Prozessors (1) und über Leitungen (72) mit Adressenleitungen des Adressenbuses (PA) des Prozessors (1) verbunden, die für die Wahl der internen Register der Schaltung (7) und für die Programmierung dieser Schaltung (7) notwendig sind. Die Tastatur (10) ist über eine bidirektionelle serielle Verbindung (100) mit einer Schaltung (9) zum Sperren der Tastatur verbunden. Diese Schaltung (9) umfaßt ein UND-Gatter (91) mit zwei Eingängen, wovon ein erster Eingang mit der bidirektionellen, seriellen Verbindung (100) mit der Tastatur verbunden ist und der zweite Eingang über eine nicht gezeigte Verbindungseinrichtung mit der Leitung (3) der Karte (EL) verbunden ist, die das Signal für die Anzeige des Vorhandenseins der Identifizierungskarte (CB) liefert. Wenn daher die Karte (CB) in der Verbindungseinrichtung (CO) vorhanden ist, ist das von der Leitung 3 ausgegebene Signal aktiv (auf logischem Pegel 1), wobei der Ausgang des UND-Gatters (91) ein Signal ausgibt, das das über die serielle Verbindung (100) übertragene Signal reproduziert. Dieses Signal wird an den seriellen Eingang (80) eines Seriell-/Parallel-Eingangs-Ports (8) geschickt, dessen parallele Ausgänge (81) mit acht Leitungen geringer Wertigkeit (D0 bis D7) des Datenbusses der Prozessorkarte (P) verbunden sind. Ein zweites, zwei Eingänge besitzendes UND-Gatter (90) der Tastatur- Sperrschaltung (9) empfangt an seinem ersten Eingang das von der bidirektionellen seriellen Verbindung (100) gelieferte Signal und an seinem zweiten Eingang das vom Ausgang eines Inverters (21) abgegebene Signal, wobei der Eingang des Inverters (21) von der Leitung 20 abgezweigt ist, die das Ausgangssignal einer Logikschaltung für die Auswahl der verschiedenen Basisprogramme des Eingabe-/Ausgabesystems (BIOS 1), (BIOS 2) überträgt. Diese Leitung 20 befindet sich auf logischem Pegel "1", wenn die Wahl eines zweiten Basisprogramms des Eingabe-/Ausgabesystems (BIOS 2) gewünscht ist. In diesem Fall ist der Ausgang des Inverters (21) auf logischem Pegel "0", so daß der Ausgang des UND-Gatters (90), der mit dem seriellen Eingang des Ports (8) verbunden ist, die aus der Tastatur (10) hervorgehenden Signale nicht überträgt. In dem Fall, in dem das über die Leitung 20 übertragene Signal den Pegel "0" besitzt, wobei dieses Signal anzeigt, daß das zweite Programm (BIOS 2) nicht gewählt worden ist, besitzt der Ausgang des Inverters (21) den Pegel "1", so daß der Ausgang des UND- Gatters (90) das von der Tastatur (10) ausgehende und über die Verbindung (100) übertragene Signal reproduziert. Der Prozessor (1) der Prozessorkarte (P) umfaßt in dem dargestellten Ausführungsbeispiel einen von der Firma INTEL unter der Bezeichnung 80 286 auf den Markt gebrachten Prozessor und den zugehörigen Baustein 82 288. Selbstverständlich kann dieser Prozessor durch jeden anderen äquivalenten Prozessor ersetzt werden. Auf der Prozessorkarte sind die für die Ausbildung eines Mikrocomputers notwendigen Elemente wie etwa die Verbindungsschnittstelle mit einer Leseeinheit für eine Magnetplatte oder für flexible Disketten, die Verbindungen mit den flüchtigen Speichern zum Speichern von Anwendungsprogrammen usw. nicht dargestellt. Lediglich die für das Verständnis der Erfindung unverzichtbaren Elemente, die Abwandlungen gegenüber einer herkömmlichen Prozessorkarte enthalten, sind dargestellt und werden beschrieben. Erste Speichermittel, die einen Speicher umfassen, der von zwei Gehäusen (22), (23) gebildet ist und eine ausreichende Kapazität besitzt, um zwei Basisprogramme des Eingabe-/Ausgabesystems aufzunehmen, sind einerseits mit dem Adressenbus (PA) des Prozessors (1) und andererseits mit dem Datenbus (BD0 bis BD15) der Prozessorkarte verbunden. Das erste Programm (BIOS 1) umfaßt ein Standard-Basisprogramm für das Eingabe-/Ausgabesystem, zu dem die Befehle hinzugefügt worden sind, die die Ausführung des Prozesses für die Initialisierung des Schutzes erlauben, wovon das Flußdiagramm in Fig. 3 dargestellt ist. Das zweite Programm (BIOS 2) umfaßt außerdem das Standard-Eingabe-/Ausgabeprogramm, wobei die Befehle die Ausführung des Prozesses für den Maschinenzugriff (P.A.M.) und des Prozesses für den Plattenzugriff (P.A.D.) erlauben. Diese Programme werden vom Prozessor 1 als Standardprogramm abgearbeitet. Die Auswahl zwischen dem ersten Programm (BIOS 1) und dem zweiten Programm (BIOS 2), das unbedingt die Verwendung der intelligenten Karte (CB) erfordert, wird mit Hilfe der Leitung 20 ausgeführt, die mit dem Eingang (A13) der Festwertspeicher-Bausteine ROM (22, 23) verbunden ist. Das am Eingang (A13) der Festwertspeicher-Bausteine (22, 23) ankommende Auswahlsignal macht diejenige Hälfte der Kapazität der ersten Speichermittel gültig, in der das Programm (BIOS 2) abgelegt ist. Das Schutzsystem umfaßt außerdem ein zweites, vertrauliches Speichermittel (M), das einerseits mit dem Adressenbus (PA) und andererseits mit den acht Bits geringer Wertigkeit (D0 bis D7) des Datenbusses (BD0 bis BD15) verbunden ist. Dieser flüchtige Speicher (M) besitzt seine eigene Versorgung (29), derart, daß der Informationsverlust infolge eines Stromausfalls und gleichermaßen das Lesen der in diesem Speicher enthaltenen Informationen verhindert wird. Im Fall eines Leseversuchs ist es nämlich notwendig, den Speicher von der Karte abzukoppeln und folglich die Verbindungen mit seiner Versorgung (29) zu unterbrechen. Dies hat automatisch den Verlust der in diesem flüchtigen Speicher (M) enthaltenen Information zur Folge. Dieser Speicher (M) enthält eine Gesamtheit von Wertepaaren (Ki, Ei), die für das zweite Programm (BIOS 2) benutzt werden. Diese Wertepaare sind in diesem Speicher an Adressen angeordnet, die durch eine ebenfalls in diesem Speicher (M) enthaltene Indextabelle definiert sind. Die Versorgungsquelle dieses Speichers (29) kann von einer Batterie oder von einem Kondensator mit sehr hoher Kapazität gebildet werden. Die Größenordnung der Kapazität dieses Speichers kann bei 128 Bytes liegen.
  • Die Fig. 2 zeigt im Detail die Auswahl zwischen den Programmen, die in ersten Speichermitteln abgelegt sind, welche von den Festwertspeicher-Bausteinen (22, 23) und von den Schaltungen gebildet werden, die den Zugriff auf den Speicher (M) nur durch einen Befehl von den Programmen (BIOS) gestatten. Die Festwertspeicher-Bausteine (22, 23) werden an ihren Eingängen (A0 bis A12) durch Adressenleitungen (PA1 bis PA13) des Adressenbusses des Prozessors adressiert. Die Auswahl zwischen dem Baustein (22) und dem Baustein (23) wird durch die Adressenleitung (PA0) ausgeführt, die mit einem zweiten Auswahleingang (CS2) des Bausteins (22) verbunden ist. Dieselbe Adressenleitung (PA0) ist außerdem über den Inverter (230) mit dem zweiten Eingang (CS2) des Bausteins (23) verbunden. Der erste Auswahleingang (CS1) des Bausteins (23) ist mit dem Ausgang einer Dekodierungsschaltung (24) verbunden, die mit ihren Eingängen mit den Adressenleitungen (PA14 bis PA19) des Adressenbusses des Prozessors verbunden ist. Dieser Baustein (24) aktiviert durch Dekodierung der Adressenleitungen (PA14 bis PA19) sein Ausgangssignal, wenn die Dekodierung eine Adressierung der Programme (BIOS) angibt. Der Ausgang des Bausteins 24 ist außerdem mit dem ersten Auswahleingang (CS1) des Festwertspeichers (22) verbunden. Der Baustein (23) dient dazu, die Datenbits mit geringer Wertigkeit (D0 bis D7) auszugeben, während der Baustein (22) dazu dient, die Datenbits mit hoher Wertigkeit (D8 bis D15) an den Datenbus der Prozessorkarte auszugeben. Folglich erlaubt der logische Wert des Signals (PA0) die Bestimmung des Bytes mit geringer Wertigkeit oder des Bytes mit hoher Wertigkeit. Der Adresseneingang (A13) für hohe Wertigkeit der Festwertspeicher- Bausteine (22, 23) ist mit der Leitung (20) verbunden, die das Auswahlsignal zwischen dem ersten Programm (BIOS 1) und dem zweiten Programm (BIOS 2) ausgibt. Folglich wird entsprechend dem logischen Pegel dieser Leitung (20) eine der zwei Seiten des Speichers gewählt, der von den zwei Bausteinen (22, 23) gebildet wird, deren Auswahl durch (A13) gesteuert wird und in denen die beiden Programme angeordnet sind. Wenn (A13) den Pegel "1" besitzt, wird die das Programm (BIOS 2) enthaltende Seite gewählt, wobei diese Seite des Speicherbereichs der Belegung eines Teils des Bausteins (22) und eines Teils des Bausteins (23) durch das Programm (BIOS 2) entspricht. Diese Leitung (20) ist über einen Widerstand (R2) mit einer Spannungsquelle von + 5 Volt und über eine Sicherung (F) mit Masse verbunden. Ein Widerstand (R1) verbindet den gemeinsamen Punkt zwischen dem Widerstand (R2) und der Sicherung (F) mit dem Emitter eines Transistors (T2), dessen Kollektor mit einer Spannungsquelle von + 5 Volt verbunden ist. Die Basis des Transistors ist einerseits über einen Kondensator (C) mit Masse und andererseits über einen Widerstand (R3) mit dem Ausgang (Q) eines D- Flipflops (28) verbunden. Dieses Flipflop (28) empfangt an seinem Takteingang das vom Prozessor (1) ausgehende Signal (ALE) und an seinem Eingang (D) ein vom Ausgang der Dekodierungsschaltung (25) ausgehendes Signal. Der Eingang zum Rücksetzen auf "0" dieses Flipflops (28) ist mit dem Signal (RESET/) des Prozessors (A) verbunden. Die Dekodierungseinrichtung (25) ist mit ihren Eingängen mit den Adressenleitungen (PA0 bis PA15) des Adressenbusses und mit dem vom Prozessor (1) ausgehenden Signal (IOW) verbunden. Wenn daher das Programm für die Initialisierung der Sperrung, das, wie weiter unten deutlich wird, im ersten Programm (BIOS 1) enthalten ist, mit einer bestimmten Kombination der Adressenleitungen (PA0 bis PA15) an den Prozessor (1) einen Eingabe-/Ausgabe-Schreibbefehl schickt, wird der Ausgang der Dekodierungsschaltung (25) aktiv. Folglich wird der Ausgang (Q) des Flipflops (28) aktiviert, wenn das Adressen-Validierungssignal (ALE) auftritt. Die Aktivierung des Ausgangs (Q) bewirkt, daß der Transistor (T2) in den leitenden Zustand geschaltet wird und die Sicherung (F) durchschlägt. Wenn diese Sicherung (F) durchgebrannt ist, wird die Leitung (20) auf den logischen Pegel "1" gesetzt, wodurch in den Speicherbausteinen (22,23) das Programm (BIOS 2) gewählt wird. Solange der Ausgang (Q) nicht validiert ist, ist der Transistor (T2) nicht leitend, wobei die Sicherung (F) die Leitung (20) auf den logischen Pegel "0" setzt. Dadurch wird in den Festwertspeicher-Bausteinen (22,23) das erste Programm (BIOS 1) gewählt. Bei einer erneuten Initialisierung des Systems hält das Signal (RESET/) das Flipflop auf "0", wodurch vermieden wird, daß versehentlich der Ausgang (Q) des Flipflops (28) auf "1" gesetzt wird und die Sicherung (F) ungewollt geschmolzen wird. Die Widerstände (R3) und der Kondensator (C) spielen die Rolle eines Tiefpaßfilters, das die Übertragung von Pegelwechselsignalen verhindert, die bei einer erneuten Initialisierung des Systems erzeugt werden könnten. Das Durchbrennen der Sicherung (F) findet daher nur dann statt, wenn das Signal (Q) richtig aufgebaut worden ist.
  • Die Wahl des Speichers (M) mit dem Ziel, diesen mit dem ersten Programm (BIOS 1) zu laden oder seine Informationen durch das zweite Programm (BIOS 2) zu verwenden, wird auf die weiter unten beschriebene Weise verwirklicht. Der erste Auswahleingang (CS1) des Speichers (M) ist mit der Adressenleitung (PA0) des Adressenbusses des Prozessors (1) verbunden. Die Eingänge (MA0 bis MA8) des Speichers (M) sind mit acht Adressenleitungen (PA0 bis PA12) des Adressenbusses des Prozessors (1) verbunden. Diese Wahl der Adressenleitungen (PA0 bis PA12) erlaubt somit die Ausführung einer Kodierung der Adressen und des Speichers (M). Der Eingang (W) des Speichers (M) empfangt das Ausgangssignal (W) des Prozessors (1), das einen Schreibvorgang in den Speicher angibt. Der zweite Auswahleingang (CS2) des Speichers (M) ist mit dem Ausgang (Q) eines D-Flipflops (26) verbunden, dessen Eingang zum Setzen auf "0" das Signal (RESET/) des Prozessors (1) empfängt. Dieses Flipflop (26) empfängt an seinem Eingang (D) die Ausgabe der Dekodierungsschaltung (24), die die Adressierung eines BIOS-Befehls angibt. Dieses Flipflop (26) empfängt an seinem Takteingang die Ausgabe eines UND-Gatters (27) mit fünf Eingängen, die entsprechend mit den Ausgängen (S1, S0/, COD-INTA/, M/1O/bzw. ALE) verbunden sind. Wenn die Gesamtheit dieser Ausgänge den Pegel "1" besitzen, zeigt dies an, daß der Prozessor das Lesen eines Befehlscodes ausführt. Selbstverständlich können im Fall eines anderen Prozessors diese Signale leicht durch die äquivalenten Signale ersetzt werden, die das Lesen eines Befehlscodes durch den Prozessor anzeigen. Immer dann, wenn sich im Festwertspeicher (BIOS) ein Befehl befindet, befindet sich daher der Eingang (D) des Flipflops (26) auf dem logischen Pegel "1", außerdem geht der Ausgang des UND- Gatters vom logischen Pegel "0" ebenfalls zum logischen Pegel "1" über, wenn der Prozessor (1) einen Befehlscode ausliest. Folglich geht der Ausgang (Q) des Flipflops (26) zum logischen Pegel "1" über und wählt den Speicher (M). Daher kann auf den Speicher (M) einmal zugegriffen werden, wenn ein Befehl gelesen wird, der in dem die Progamme (BIOS) enthaltenden Festwertspeicher angeordnet ist, und wenn die Adresse des Befehls den Adressen des Speichers (M) entspricht. Um den Zugriff auf den Speicher (M) zu sperren, besitzen die in den Festwertspeichern (22,23) angeordneten Programme nicht die Struktur von Unterprogrammen, d.h. sie enthalten nicht den Befehl "RETURN" und verwenden den (nicht gezeigten) flüchtigen Speicher des Prozessors nicht als Informationsspeicherelement. Dieser Speicher (M) enthält eine Gesamtheit von Wertepaaren (Ei, Kj), die an durch eine Indextabelle bestimmten Adressen angeordnet sind. Diese Indextabelle ist selbst im Speicher (M) an Adressen angeordnet, die durch die Paare (dl, dm) der Zeilennummern bestimmt sind.
  • Nun wird in Verbindung mit Fig. 3 das Verfahren zum Ausführen der Initialisierung der Sperrung beschrieben.
  • In dem Selbsttest-Teil des Standardprogramms (BIOS) befindet sich ein Schritt (31), in dem die Bedienungsperson gefragt wird, ob sie die Sperroption auslösen will oder nicht. In dem Fall, in dem die Bedienungsperson die Auslösung der Option nicht wünscht, geht das Programm weiter zum Schritt (32), der das Ende des normalen Selbsttests eines Standardprogramms (BIOS) darstellt. Wenn die Bedienungsperson die Sperroption wählt, geht das Programm weiter zum Schritt (33), der von einem Test zur Überprüfung des Vorhandenseins der für die Sperrung notwendigen materiellen Betriebsmittel, d.h. des Vorhandenseins der Schnittstellenkarte, der elektronischen Karte und der Verbindungseinrichtung (CO), und des Vorhandenseins einer mit einem Prozessor und einem Speicher versehenen intelligenten Karte (CB) gebildet wird. Wenn der Test negativ ist, wird das Programm durch eine Meldung fortgesetzt, außerdem wird die Sperr-Prozedur verlassen, wie im Schritt (34) des Flußdiagramms der Fig. 3 gezeigt ist. Im Fall des Vorhandenseins der materiellen Betriebsmittel wird das Programm durch die folgenden Dialogschritte fortgesetzt. Der Schritt (34) fragt die Bedienungsperson nach einem für die Maschine oder für den Benutzer spezifischen Code (Nj), und anschließend wählt das erste Programm (BIOS 1) eine zufällige Zahl (Ei) mit 16 Bits aus. Diese Zufallswahl ist durch den Schritt (36) gezeigt. Im Schritt (37) wird die Zahl (Ei) in einem Register des Prozessors (1) gespeichert und zur Karte (CB) geschickt, um den Schritt (38) auszuführen. Der Schritt (38) besteht in einer von der Karte (CB) ausgeführten Berechnung, wobei diese Berechnung die Bestimmung eines Koeffizienten (Ki) gemäß (Ki) = f(Ei, Nj, S) erlaubt. Die Zahl (S) ist eine in der Karte enthaltene Geheimzahl, auf die von außen nicht zugegriffen werden kann, (f) ist die durch die Verdrahtung der Karte verwirklichte Geheimfunktion und (Nj) ist der in der Karte bereits gespeicherte und für die Maschine spezifische Code. Der Schritt (39) besteht darin, den berechneten Koeffizienten (Ki) zum Prozessor (1) zu schicken. Im Schritt (40) werden der vom (BIOS) bestimmte Schlüssel (Ei) und der von der Karte berechnete Schlüssel (Ki) in einem vertraulichen Speicher (M) an einer Adresse angeordnet, die mittels der Indextabelle in Abhängigkeit von der Zufallswahl zweier Werte (di, dj) aus vier Werten bestimmt ist, wie im folgenden deutlich wird. Nach der Anordnung folgt ein Schritt (41), der in einer Prüfung des Wertes (i) besteht, um festzustellen, ob die Anzahl der berechneten Paare geringer als ein bestimmter Wert (N) ist. In dem gewählten Ausführungsbeispiel wird für den Wert (N = 10) gewählt. Solange (i) zwischen 1 und 10 liegt, werden die Schritte (35 bis 41) jeweils erneut iteriert, und sobald (i) den Wert 10 überschreitet, folgt der Prozeß der Verschlüsselung der Platte (PED). Dieser Prozeß beginnt mit einer von der Karte (CB) ausgeführten Berechnung, um einen Schlüssel (Ci) gemäß (Ci) = f(C, Nj, S) zu bestimmen. Hierbei ist (C) ein Kodierungswert, der in der Karte (CB) enthalten ist. Der folgende Schritt (43) besteht darin, den berechneten Wert (Ci) zum (BIOS 1) zu schicken. Dann geht das (BIOS 1) weiter zum Schritt (44), der darin besteht, die Daten (s) des Leitsektors der Platte zu verschlüsseln. Diese Daten werden durch eine im ersten Programm (BIOS 1) vorhandene Funktion (g) gemäß s' = g(Ci, s) verschlüsselt, wobei (s) die nicht verschlüsselten Daten des Leitsektors der Platte darstellt, (s') die verschlüsselten Daten des Leitsektors der Platte darstellt und (g) die Verschlüsselungsfunktion ist, die durch das Programm (BIOS 1) verwirklicht wird. Der Prozeß zum Ausführen der Sperrung geht weiter zu einem Schritt (45), der die Bestätigung der Sperroption abfragt, bevor der Schritt (46) ausgeführt wird, in dem das Durchbrennen der Sicherung (F) mittels eines Schreibbefehls am Eingang und am Ausgang verwirklicht wird, wobei der Befehl durch die für den Dekodierer (25) geeigneten Adressen definiert ist. Dieser Schritt (46) entfernt (BIOS 1) zugunsten von (BIOS 2), woraufhin im Schritt (47) im (BIOS 2) das Ende des Selbsttests folgt, der im (BIOS 1) begonnen worden ist. Anschließend wird bei jedem Starten des Systems das Programm (BIOS 2) ausgeführt. Ohne Zurücksetzen der Maschine ist keine Rückkehr zum BIOS 1 möglich.
  • Nun werden der Prozeß der Anordnung der Paare (Ki, Ei) im Speicher (M) sowie die in diesem Speicher enthaltene Indextabelle beschrieben.
  • Soweit die Übertragung von Informationen zwischen dem Prozessor, dem Speicher (M) und der Verbindungseinrichtung (CO) invariant wird, ist es stets möglich, den Wert der Schlüssel mit einem mit dem Bus oder mit der Serienkarte verbundenen Meßgerät festzustellen. Daher ist die Ausführung eines Algorithmus vorgesehen, dessen Prinzip folgendermaßen lautet: Sicherstellen von Berechnungen der verschiedenen Schlüssel anhand einer auf ein Wertefeld beschränkten Zufallswahl. Für eine gegebene Maschine (die durch den Zulassungscode Nj identifiziert ist) ist es möglich, mehrere Schlüssel anhand einer Zufallsfolge im voraus zu berechnen. Es seien zehn Paare Kij und Eij (i = 1 bis 10) gegeben. Die Anordnungen sind dann die folgenden:
  • 1. Die Kij werden im Speicher M zusammen mit den Eij angeordnet. Dann wird eine Chiffrier-Tabelle mit zehn Paaren gebildet.
  • 2. Die Art der vom ersten Programm (BIOS 1) verwirklichten Anordnung entspricht einer singulären sogenannten MIP-Matrix (Paritätsidentifikationsmatrix), deren Eigenschaft darin besteht, irgendwelche Elementpaare anhand der Nummern der diese Elemente enthaltenden Zeilen aufzufinden.
  • Ein Beispiel für das MIP-Modell, das als mnemotechnische Kennzeichnung bekannt ist, ist das folgende:
  • Die Bezeichnung zwischen den Paaren (dl, dm), 1 ≤ 1 ≤ 4, 1 ≤ m ≤ 4, der Zeilennummern und den Elementen ist eineindeutig. Aus dieser Matrix wird die folgende Indextabelle abgeleitet, der Wertepaare (dl, dm) von Zeilennummem zugeordnet sind. Die Tabelle kann auf zehn Elemente verringert werden. Zeilennummer ... MIP Index der Elemente
  • Dieses Merkmal macht es möglich, durch das erste Programm (BIOS 1) eine Anordnung der Schlüssel Kij und Eij, die im Speicher M (auf den der RAM nicht zugreifen kann) verbunden sind, vorzusehen, derart, daß das zweite Programm (BIOS 2) die Paare durch die einzelnen, zufällig gezogenen Zeilennummern der Matrix wiederherstellen kann, ohne die Anordnung der Elemente in der Matrix zu kennen.
  • Nun wird beispielhaft eine Matrix angegeben, die die Werte Ki und Ei enthält, die gemäß dem obigen Verfahren angeordnet sind.
  • Die Initialisierung wird daher vom BIOS auf die folgende Weise ausgeführt:
  • - Die Zeilennummem werden durch das BIOS zufällig gewählt (z.B. d2d3), um anhand der Schlüssel und des Indexes (d2 + 96, d3 + 32), die dem BIOS unbekannt sind, das entsprechende Paar Kij und Eij (z.B. K7, E7) in den Registern anzuordnen.
  • - Die folgende Anordnung wird durch eine weitere Ziehung eines Paares von Zeilennummern ausgeführt, usw.
  • Schließlich wird die Anordnung erzeugt:
  • - ohne explizite Identifikation der Adressen der Elemente (die Verschiebungswerte befinden sich in der Tabelle MIP von M),
  • - mit der Möglichkeit der Abwandlung der Tabelle MIP entweder hinsichtlich ihrer Struktur (das BIOS modifiziert sein System für den Zugriff auf die Tabelle nicht, es werden lediglich die Indizes von MIP überprüft) oder hinsichtlich ihres Inhalts (eine Initialisierung gewährleistet eine vollständige Aktualisierung des Inhalts der Tabelle mittels einer Bank-Karte mit Mikroprozessor). Das Flußdiagramm von Fig. 4 gestattet die Erläuterung des Prozesses des Maschinenzugriffs (PAM) und des Prozesses des Plattenzugriffs (PAD) im Fall einer gesperrten Maschine. In diesem Fall verwendet diese Maschine nur das Programm (BIOS 2), so daß während des Ablaufs des Selbsttest-Teils des Programms (BIOS 2) der Schritt (61) ausgeführt wird, der von einem Test hinsichtlich des Vorhandenseins einer Bank-Karte gebildet wird, die den Wert (C), einen Wert (Nj) und den Geheimwert (S) enthält. In dem Fall, in dem das Vorhandensein nicht festgestellt wird, ist der Schritt 62 der Sperrung der Tastatur abgeschlossen. Diese zwei Schritte 61 und 62 werden faktisch durch die die Diode (D) und den Transistor (T) umfassende Einrichtung und durch das Gatter (UND 91) der Fig. 1 verwirklicht. (In dem Fall des Vorhandenseins der Karte gibt die Bedienungsperson wahlfrei eine Identifikationsnummer (Nj) in die Tastatur ein, wobei diese Nummer mit dejenigen (Nj) verglichen wird, die in der Karte enthalten ist, wobei im Falle der Nichtübereinstimmung der Selbsttest angehalten wird. In diesem Fall wird die Maschine unbenutzbar.) Im Falle der Feststellung des Vorhandenseins der Karte oder der Übereinstimmung in dem Fall, in dem die obige Vergleichsoption gewählt ist, wird zum folgenden Schritt (64) weitergegangen, der durch eine Zufallswahl zweier Zahlen aus vier gebildet wird. Diese aus den Werten (d1 bis d4) gezogenen zwei Zahlen (dl, dm) bilden ein Paar von Zeilennummem, das mittels des Speichers (M) die Bestimmung der Indexwerte erlaubt, die entsprechend zu jeder dieser zwei Zahlen hinzugefügt werden, um die Adressen zu bestimmen, an denen die zwei Werte des Paars (Ki, Ej), die diesen zwei Zahlen (dl, dm) entsprechen, angeordnet sind. Nach dieser Bestimmung der Adresse führt das Programm (BIOS 2) den Lesevorgang für das in diesem Speicher (M) enthaltene Paar (Ei, Ki) aus und schickt den ersten Wert (Ei) zur Bank-Karte (CB). Dieser Vorgang wird während der Schritte (65 und 66) bewerkstelligt. Im Schritt (67) des Prozesses führt die Karte (CB) die Berechnung eines Wertes (K'i) gemäß K'i = f(Ei, Nj, S) aus. Dieser Wert (K'i) wird im Verlauf eines Schrittes (68) mit dem zweiten Wert des im Speicher (M) gelesenen Paars verglichen, wobei dieser zweite Wert der Wert Ki ist. Wenn keine Übereinstimmung vorliegt, wird ein neuer Versuch ausgeführt, wobei nach dem Ablauf einer bestimmten Anzahl von Versuchen der Selbsttest angehalten wird, was im Flußdiagramm durch den Schritt (69) dargestellt ist. Im Falle einer Übereinstimmung ist der weitere Fortgang entweder durch das Ende des Selbsttests (BIOS 2) und durch die folgenden Anwendungsprogramme oder in dem Fall, in dem ein Lesen/Schreiben von der bzw. auf die Platte oder Diskette gefordert ist, durch die Prozedur des Plattenzugriffs (PAD) gegeben. Einem Schritt (50) des Lesens/Schreibens von der bzw. auf die Platte folgt stets ein Schritt (51) der Berechnung des Wertes Ci = f(C, Nj, S) durch die Karte (CB) und des Sendens dieses Wertes (Ci) zum (BIOS 2). Diesem Schritt folgt das durch den Schritt (52) dargestellte Lesen des verschlüsselten Leitsektors der Platte. Die Werte (s') des verschlüsselten Sektors werden anschließend im Verlauf eines vom (BIOS 2) ausgeführten Schrittes (53) anhand der in diesem (BIOS 2) enthaltenen Funktion g&supmin;¹ gemaß der Formel s = g&supmin;¹(Ci, ) entschlüsselt. Anschließend werden das Ende des Selbsttests oder die Anwendungsprogramme normal ausgeführt, als ob die Maschine nicht geschützt wäre. Folglich ist es wegen der Verschlüsselung des Leitsektors der Platte unmöglich, entweder eine Festplatte oder eine Diskette an eine andere nicht gesperrte Maschine zu übertragen und die Daten zu lesen, wenn man den Entschlüsselungs-Schlüssel des Leitsektors der Platte nicht besitzt, wovon ein Teil von der Karte (CB) mit Mikroprozessor geliefert wird. Außerdem ist in dem Fall, in dem man eine Karte vom obigen Typ nicht mehr besitzt, die Tastatur gesperrt, so daß in die Maschine keinerlei Befehl eingegeben werden kann. Schließlich erlaubt die Verwendung von zwei unterschiedlichen Programmen, von denen auf eines nur nach einer nicht rückgängig zu machenden Wahl (mit Ausnahme einer Wartung) zugegriffen werden kann, die Sicherstellung eines sehr wirksamen Schutzes gegen den Zugriff auf Rechner.

Claims (12)

1. Wahlfreies Schutzsystem gegen den Zugriff auf ein Informationsverarbeitungssystem mittels einer intelligenten Identifizierungskarte (CB), dadurch gekennzeichnet, daß es eine erste Einrichtung umfaßt, die dem Benutzer die wahlfreie Möglichkeit bietet, den Schutz gegen den Zugriff auf das Informationsverarbeitungssystem auszulösen, und die im Falle der Wahl dieser Option eine zweite Einrichtung betätigt, die die Arbeit mit wenigstens einem Hauptbetriebsmittel des Informationsverarbeitungssystems nur bei Vorhandensein der Karte (CB) erlaubt, daß die Arbeit mit wenigstens einem Hauptbetriebsmittel des Informationsverarbeitungssystems (10) ohne Karte möglich ist, so lange die Möglichkeit des Auslösens der von der ersten Einrichtung gebotenen Schutzoption nicht gewählt worden ist, und daß eine Rückkehr in den nicht gewählten Zustand ohne Zurücksetzen des Systems nicht möglich ist, sobald die Schutzoption einmal ausgelöst worden ist.
2. System gemäß Anspruch 1, dadurch gekennzeichnet, daß das Hauptbetriebsmittel die Tastatur (10) ist und daß die Eingabe von von der Tastatur (10) ausgehenden Daten bei Abwesenheit der Karte (CB) gesperrt wird.
3. System gemäß Anspruch 1, dadurch gekennzeichnet, daß das Hauptbetriebsmittel eine Magnetplatten-Leseinrichtung ist und daß das Lesen des Leitsektors der Platte (S) ohne einen von der Karte (CB) gelieferten Entschlüsselungs-Schlüssel (Ci) unmöglich ist.
4. Schutzsystem gemäß einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß der Prozessor (1) des Rechners verbunden ist:
mit ersten Speichermitteln (22, 23), die zwei Basisprogramme des Eingabe-/Ausgabesystems (BIOS) enthalten,
wobei ein sogenanntes erstes Programm (BIOS1) einen Prozeß für die Initialisierung und die Ausführung des Schutzes im Anschluß an die Wahl der Schutzoption umfaßt und
wobei ein sogenanntes zweites Programm (BIOS2) wenigstens einen Prozeß für den Zugriff auf die geschützten Hauptbetriebsmittel umfaßt und zur Benutzung einer intelligenten Identifizierungskarte (CB) auffordert;
mit einem zweiten Speichermittel (M), das mit einer Sicherungs- und Schutz-Versorgungseinrichtung (29) verbunden ist und eine Matrix von Wertepaaren (Ei, Ki) enthält, die in einer Indextabelle geordnet sind und im Prozeß für den Maschinenzugriff des zweiten Programms (BIOS2) verwendet werden; und
mit Mitteln (2, 20, 9) für die eindeutige Auswahl der Benutzung des zweiten Programms (BIOS2) nach der Wahl der Schutzoption.
5. System gemäß Anspruch 4, dadurch gekennzeichnet, daß die Schnittstellenschaltung zwischen dem Bus des Prozessors (1) des Rechners und der Tastatur (10) Mittel (91) umfaßt, die im Falle der Wahl der Schutzoption die Übertragung der von der Tastatur (10) kommenden Daten sperrt, wenn ein das Vorhandensein der Karte (CB) anzeigendes Signal nicht aktiv ist.
6. Wahlfreies Verfahren für den Schutz gegen den Zugriff auf ein Informationsverarbeitungssystem mittels einer intelligenten Identifizierungskarte (CB), wobei das System einen Prozessor (1) umfaßt, der mit ersten Speichermitteln (22, 23) und einem zweiten Speichermittel (M) verbunden ist, die wenigstens ein erstes (BIOS1) und ein zweites (BIOS2) Programm enthalten, die die Ausführung eines Prozesses für die Initialisierung des Schutzes bzw. für den Zugriff auf die geschützten Hauptbetriebsmittel durch die Benutzung der genannten Karte (CB) erlauben, dadurch gekennzeichnet, daß es im Falle der Wahl der Schutzoption umfaßt:
- Auslösen des ersten Programms (BIOS1) zum Ausführen der Initialisierung des Schutzes; und
- Erlauben des Zugriffs auf die Hauptbetriebsmittel nur durch die Freigabe des zweiten Programms (BIOS2), wenn die Initialisierung im Verlauf der Ausführung des ersten Programms (BIOS1) gewählt worden ist; und
- Verhindern jeglicher Rückkehr in den nicht gewählten Zustand ohne Zurücksetzen des Systems.
7. Verfahren gemäß Anspruch 6, dadurch gekennzeichnet, daß der Zugriffsprozeß die folgenden Schritte umfaßt:
a) Überprüfung des Vorhandenseins der Karte (CB);
b) zufälliges Ziehen zweier Zahlen (dl, dm) aus vier möglichen Zahlen durch das zweite Programm (BIOS2);
c) Bestimmung der Adressen eines im zweiten Speichermittel geordneten Wertepaares (Ei, Ki) anhand der zwei Zahlen (dl, dm) und der zugehörigen Indizes;
d) Senden eines ersten Wertes (Ei) des Paares (Ei, Ki) zur Karte (CB);
e) Berechnen eines Wertes K'i = f(Ei, Nj, S) durch die Karte (CB);
f) Senden des von der Karte (CB) berechneten Wertes (K'i) zum Rechner für den Vergleich mit dem zweiten Wert (Ki) des Paares;
g) Anhalten des Programms des Prozesses für den Maschinenzugriff und Sperren der Maschine im Falle der Nichtübereinstimmung der verglichenen Werte (Ki, K'i).
8. Verfahren gemäß Anspruch 7, dadurch gekennzeichnet, daß es die Ausführung eines Prozesses für den Zugriff auf die Platte, der im zweiten Programm (BIOS2) enthalten ist, nur in dem Fall umfaßt, in dem die verglichenen Werte (Ki, K'i) übereinstimmen.
9. Verfahren gemäß Anspruch 8, dadurch gekennzeichnet, daß der Prozeß für den Zugriff auf die Platte insbesondere die Entschlüsselung des verschlüsselten Leitsektors (S) der Platte umfaßt, wobei die Entschlüsselung nur nach der Lieferung eines Entschlüsselungs-Schlüssels (Ci) durch die Karte (CB) ausgeführt werden kann.
10. Verfahren gemäß Anspruch 6, dadurch gekennzeichnet, daß der Prozeß für die Initialisierung des Schutzes die folgenden Schritte umfaßt:
- Verifizierung des Vorhandenseins der materiellen Betriebsmittel, die von der Identifizierungskarte (CB), einer elektronischen Karte (EL) und ihrer Steckverbindung (CO) und der Schnittstellenkarte (I) gebildet werden;
- Eingabe der Identifizierungsnummer (Nj) durch die Bedienungsperson über die Tastatur (10);
- zufälliges Ziehen, ausgeführt vom ersten Programm (BIOS1), eines ersten Wertes (Ei) und Senden dieses Wertes (Ei) zur Identifizierungskarte (CB);
- Speichern des ersten Wertes (Ei) im zweiten Speichermittel (M);
- Berechnen eines zweiten Wertes (Ki) gemäß Ki = f(Ei, Nj, S) durch die Identifizierungskarte (CB);
- Senden des Zweiten Wertes (Ki) an das zweite Speichermittel (M) und Anordnen desselben in diesem zweiten Speichermittel;
- Ausführen des Prozesses der Entschlüsselung der Platte (PED);
- Bestätigen der Wahl der Schutzoption;
- Sperren der Mittel für die Wahl der ausschließlichen Benutzung des zweiten Programms (BIOS2).
11. Verfahren gemäß Anspruch 10, dadurch gekennzeichnet, daß der Prozeß der Entschlüsselung der Platte (FED) die folgenden Schritte umfaßt:
- Berechnen eines Koeffizienten (Ci) gemäß Ci = f(C, Nj, S) durch die Identifizierungskarte (CB), wobei (C) eine in der Karte (CB) enthaltene Zahl ist;
- Senden des Koeffizienten (Ci) an das erste Programm (BIOS1);
- Berechnen der verschlüsselten Werte (s) des Leitsektors der Platte mittels des die Verschlüsselungsfunktion (g) enthaltenden ersten Programms (BIOS1) anhand der nicht verschlüsselten Werte (s) dieses Leitsektors durch die Formel s = g(Ci, s).
12. Verfahren gemäß Anspruch 7, dadurch gekennzeichnet, daß der Zugriffsprozeß zwischen den Schritten a und b einen Schritt der Eingabe einer Identifizierungsnummer Nj in die Tastatur (10) durch den Träger der Identifizierungskarte (CB) und des Vergleichs mit der Nummer (Nj) der Karte (CB) umfaßt.
DE19873779692 1986-03-20 1987-03-05 Wahlweises rechnerzugriff-schutzsystem. Expired - Lifetime DE3779692T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR8603978A FR2596173B1 (fr) 1986-03-20 1986-03-20 Systeme optionnel de protection de l'acces a un ordinateur, le procede d'initialisation et de mise en oeuvre de la protection et l'utilisation du systeme de protection dans un procede d'acces machine

Publications (2)

Publication Number Publication Date
DE3779692D1 DE3779692D1 (de) 1992-07-16
DE3779692T2 true DE3779692T2 (de) 1993-02-04

Family

ID=9333334

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19873779692 Expired - Lifetime DE3779692T2 (de) 1986-03-20 1987-03-05 Wahlweises rechnerzugriff-schutzsystem.

Country Status (5)

Country Link
EP (1) EP0246119B1 (de)
DE (1) DE3779692T2 (de)
ES (1) ES2033892T3 (de)
FR (1) FR2596173B1 (de)
HK (1) HK48995A (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2653914A1 (fr) * 1989-10-27 1991-05-03 Trt Telecom Radio Electr Systeme d'authentification d'une carte a microcircuit par un micro-ordinateur personnel, et procede pour sa mise en óoeuvre.
US5610981A (en) * 1992-06-04 1997-03-11 Integrated Technologies Of America, Inc. Preboot protection for a data security system with anti-intrusion capability
WO1995017709A2 (de) * 1993-12-23 1995-06-29 Amphenol Tuchel Elect Elektronisches sicherheitssystem mit chipkarten
KR0160685B1 (ko) * 1995-03-31 1998-12-15 김광호 칩인 카드에 의한 사용방지 기능을 가진 퍼스널 컴퓨터의 카드 리드/라이트 콘트롤러

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4471163A (en) * 1981-10-05 1984-09-11 Donald Thomas C Software protection system
US4453074A (en) * 1981-10-19 1984-06-05 American Express Company Protection system for intelligent cards
FR2523745B1 (fr) * 1982-03-18 1987-06-26 Bull Sa Procede et dispositif de protection d'un logiciel livre par un fournisseur a un utilisateur
JPH0833819B2 (ja) * 1982-09-28 1996-03-29 富士通株式会社 プログラム保護装置
US4590470A (en) * 1983-07-11 1986-05-20 At&T Bell Laboratories User authentication system employing encryption functions
DE3342651A1 (de) * 1983-11-25 1985-06-05 Karl-Hans 6233 Kelkheim Mau Verfahren zur absicherung des zugriffs an terminals
JPS60207957A (ja) * 1984-03-31 1985-10-19 Toshiba Corp デ−タ保護方式

Also Published As

Publication number Publication date
EP0246119B1 (de) 1992-06-10
HK48995A (en) 1995-04-07
DE3779692D1 (de) 1992-07-16
EP0246119A1 (de) 1987-11-19
FR2596173B1 (fr) 1990-02-02
ES2033892T3 (es) 1993-04-01
FR2596173A1 (fr) 1987-09-25

Similar Documents

Publication Publication Date Title
DE69021935T2 (de) Verfahren zum Überprüfen der Integrität eines Programms oder von Daten und Einrichtung zur Durchführung dieses Verfahrens.
DE69524031T2 (de) Verfahren und Einrichtung zur Prüfung der Gültigkeit des Betriebs eines Systems
DE69522998T2 (de) Gesicherte anwendungskarte zur aufteilung von anwendungsdaten und prozeduren zwischen mehreren mikroprozessoren
DE3700663C2 (de)
DE3689569T2 (de) Verfahren zur Systemdateiensicherung und Datenverarbeitungseinheit zu dessen Durchführung.
DE3048365C2 (de)
DE69507129T2 (de) Vorurladungsschutz für eine datensicherheitseinrichtung
DE69419450T2 (de) Vorrichtung und Verfahren zum Schutz der Schlüssel einer IC-Karte
DE3407642C2 (de)
DE69702135T2 (de) System zur sicheren speicherung von daten auf einer cd-rom
DE69531278T2 (de) Verfahren und Vorrichtung zum Laden einer geschützten Speicherzone in einem Datenverarbeitungsgerät
DE69724946T2 (de) Programmvermietungssystem und Verfahren zur Vermietung von Programmen
EP0520228B1 (de) Datenverarbeitungsanlage mit Zugriffsschutz
DE69012692T3 (de) Karte mit festverdrahteter Mikroschaltung und Verfahren zur Durchführung einer Transaktion zwischen einer solchen Karte und einem Endgerät.
DE69805155T2 (de) Integrierte Schaltung und Chipkarte mit einer solchen Schaltung
EP0011685B1 (de) Programmierbare Speicherschutzeinrichtung für Mikroprozessorsysteme und Schaltungsanordnung mit einer derartigen Einrichtung
EP0766211A2 (de) Multifunktionale Chipkarte
EP0155399A2 (de) Schutzanordnung zur Verhinderung der unerlaubten Ausführung eines Programms
DE3855294T2 (de) Mikrorechner mit Speicher
DE69621690T2 (de) Vorrichtung zur Steuerung einer Mehrfachprogramm-Ausführung
EP0965076A1 (de) Elektronische datenverarbeitungseinrichtung und -system
DE3318101A1 (de) Schaltungsanordung mit einem speicher und einer zugriffskontrolleinheit
EP0280035B1 (de) Verfahren zum Sichern von Programmen und zur Integritätskontrolle gesicherter Programme
DE69521399T2 (de) Einrichtung zur Sicherung von Informationssystemen, die auf der Basis von Mikroprozessoren organisiert sind
DE3732614A1 (de) Verarbeitungssystem fuer tragbare elektronische vorrichtung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition