FR2675602A1 - Procede et dispositif de protection d'un systeme informatique. - Google Patents

Procede et dispositif de protection d'un systeme informatique. Download PDF

Info

Publication number
FR2675602A1
FR2675602A1 FR9104898A FR9104898A FR2675602A1 FR 2675602 A1 FR2675602 A1 FR 2675602A1 FR 9104898 A FR9104898 A FR 9104898A FR 9104898 A FR9104898 A FR 9104898A FR 2675602 A1 FR2675602 A1 FR 2675602A1
Authority
FR
France
Prior art keywords
memory
password
operator
access
circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR9104898A
Other languages
English (en)
Other versions
FR2675602B1 (fr
Inventor
Larvoire Jean-Francois
Ribollet Thierry
Hays Bertrand
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HP Inc
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Priority to FR9104898A priority Critical patent/FR2675602B1/fr
Priority to DE69230193T priority patent/DE69230193T2/de
Priority to EP92420121A priority patent/EP0514289B1/fr
Priority to JP09616492A priority patent/JP3204725B2/ja
Publication of FR2675602A1 publication Critical patent/FR2675602A1/fr
Priority to US08/264,840 priority patent/US5535409A/en
Application granted granted Critical
Publication of FR2675602B1 publication Critical patent/FR2675602B1/fr
Priority to US08/594,007 priority patent/US5781793A/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

La présente invention concerne un dispositif de protection d'un système informatique comprenant des périphériques (P1, P2), des mémoires et une unité centrale de traitement dans lequel sont prévus: des moyens pour comparer, à la mise sous tension, un mot de passe fourni par un opérateur à un mot de passe prédéterminé stocké dans une première mémoire non volatile reprogrammable (20) contenant aussi des données de configuration du système informatique; des moyens pour lire les données de configuration dans la première mémoire (20) et, à partir de celles-ci, régler la configuration du système; et des moyens de sélection permettant à l'opérateur, s'il le souhaite, de se servir de moyens pour écrire des nouvelles données de configuration dans la première mémoire (20); les données lues par les moyens pour lire étant écrites dans une deuxième mémoire volatile (16) à mode d'accès standardisé pour l'utilisation par un système d'exploitation, et la première mémoire (20) étant une mémoire à mode d'accès différent de celui de la deuxième mémoire.

Description

PROCEDE ET DISPOSITIF DE PROTECTION
D'UN SYSTÈME INFORMATIQUE
La présente invention conoerne la protection d'un système informatique et en particulier la protection de données
confidentielles stockées dans une mémoire. La figure 1 illustre schématiquement un système infor-
matique classique, tel qu'un micro ordinateur Il comprend une unité centrale de traitement 10 (CPU) reliée à un terminal 11
comprenant un écran et un clavier; à une mémoire centrale vola- tile (RAM) 12; à une mémoire non volatile 13 (ROM); à une mémoire de masse 14, tel qu'un disque dur non amovible ou une10 disquette amovible; à des ensembles de périphériques Pl et P 2, tels que des imprimantes, des lecteurs de disque supplémentai-
res, etc; et à une mémoire volatile (a MOS) sauvegardée par pile 16 o sont stockées des données de configuration définies par l'opérateur Les données de configuration contiennent des15 indications pour adapter et régler, ou "configurer", la machine en fonction d'options initiales souhaitées par l'opérateur et notamment pour que la machine puisse employer correctement les accessoires dont elle dispose, comme par exemple l'écran, le clavier, le disque dur, les périphériques, etc. Certains systèmes informatiques actuels sont invulné- rables à une personne qui ne connaît pas un mot de passe à la
mise sous tension de la machine En effet, dès la mise sous tension et avant que l'on puisse se servir de la machine, un mot 5 de passe est demandé Les problèmes que l'on tente de résoudre sont liés à la vulnérabilité de la machine sous tension.
Un système informatique évolué, comme par exemple les modèles de microordinateur 286 N et 386 N proposés par la société
Campaq, offrent des fonctions de sécurité Parmi les données de10 configuration figurent un mot de passe et des interdictions d'accès à un ensemble de périphériques ou accessoires, par exem-
ple Pl; les interdictions ne pouvant être levées, théorique- ment, que si on connaît le mot de passe On peut, par exemple, interdire l'accès à un lecteur de disque sur une machine qui15 reste allumée sans surveillance pour empêcher qu'une personne non autorisée accède à des données contenues sur le disque.
Pour améliorer la sécurité, pour des raisons qui seront évoquées plus loin, le mot de passe est stocké dans une zone de la mémoire CMOS 16, dont 1 'accès peut être coupé de façon irréversible tant que la machine est sous tension L'accès aux autres données de configuration ne doit pas être coupé car
elles doivent pouvoir être utilisées par le système d'exploita-
tion Le fonctionnement d'un tel système informatique est le suivant. A la mise sous tension du système (démarrage à froid), celui- ci doit réaliser un certain nombre d'opérations avant que
l'opérateur puisse s'en servir Ces opérations sont généralement les suivantes. a) Un programme d'initialisation et de test, couram-
ment appelé POST (du terme anglo-saxon "Power On Self Test"), qui est stocké en permanence dans la mémoire ROM 13, est exécuté
par l'unité centrale 10 Ce programme lit les données de confi- guration dans la mémoire CMOS 16, ces données comprenant le mot de passe et les interdictions d'accès, puis demande à l'opéra-
teur de fournir un mot de passe et continue son exécution si le mot de passe fourni est bon. b) Le programme POST configure la machine, règle les accessoires et coupe 1 ' accès aux accessoires non autorisés, par
exemple Pl.
c) Pendant l'exécution du programme POST, l'opérateur peut choisir de modifier la configuration Ce choix est généra-
lement effectué en frappant une touche avant 1 ' écoulement d'un délai prédéterminé Dans ce cas, le programme POST fait exécuter10 un programme de configuration, couramment désigné par le terme anglo- saxon "SETUP", stocké dans la mémoire ROM Lors du dérou-
lement du programme SETUP, l'opérateur peut visualiser la confi- guration actuelle qui est stockée dans la mémoire CMOS, et imposer des modifications La configuration modifiée est alors15 transférée dans la mémoire CMOS Pour valider la nouvelle confi- guration, il faut reprendre l'opération b), ce qui ne peut être effectué, en général, qu'en redémarrant la machine après la fin de l'exécution du programme POST. d) Avant de se terminer, le programme POST coupe 1 'accès au mot de passe stocké dans la mémoire CMOS et charge dans la mémoire centrale 12 un système d'exploitation stocké dans la mémoire de masse 14 Le système d'exploitation est un programme qui utilise les données de configuration stockées dans
la mémoire CMOS, gère le système informatique et permet à l'opé-
rateur de l'exploiter de manière simple.
Quand la mémoire de masse 14 est un disque dur conte-
nant de façon permanente le système d'exploitation, l'opérateur
a en pratique toujours aussi la possibilité d'utiliser un sys-
tème d'exploitation stocké sur une disquette Pour cela, il dispose d'un lecteur de disquette dans lequel il placera la disquette et, lors du redémarrage du système, le programme POST cherchera en priorité à charger le système d'exploitation à
partir de cette disquette Cette opération est couramment appe-
lée démarrage sur disquette On considèrera ci-après des systè-
mes dans lesquels la mémoire de masse 14 est un disque auquel peut se substituer une disquette, et o le chargement du système d'exploitation se fait par priorité à partir de la disquette quand celle-ci est utilisée. 5 Pour effectuer un démarrage du système on a aussi la possibilité d'effectuer un démarrage à chaud, c'est-à-dire une remise à zéro pendant laquelle la machine reste sous tension. Dans des systèmes informatiques non protégés, cela a le même effet qu'un démarrage à froid, sauf qu'il est plus rapide.10 Un inconvénient des systèmes informatiques connus réside dans la facilité d'accès à la mémoire CMOS 16 L'accès à
cette mémoire est standardisé pour être compatible avec la plu-
part des systèmes d'exploitation disponibles Ainsi, un pirate connaissant un peu la technique, saura modifier le contenu accessible de la mémoire CMOS en utilisant, par exemple, le clavier et un programme généralement disponible avec le système d'exploitation, qui permet d'écrire et de lire des données dans des zones de mémoire, notamment dans la mémoire CMOS Le pirate
pourra également démarrer sur une disquette contenant un pro-
gramme pirate qui s'exécutera automatiquement et modifiera le
contenu de la mémoire CMOS en un temps particulièrement bref.
Dans le système des modèles 286 N et 386 N susmentionnés de la société Compaq, lors d'un démarrage à chaud, l'accès au mot de passe dans la mémoire CMOS n' est pas libéré et ne peut être utilisé par le programme POST Lors d'un tel démarrage, le programme POST doit pourtant s'exécuter pour régler à nouveau la configuration Ainsi, comme le programme POST ne bloque alors pas l'utilisation de la machine par le mot de passe, un pirate peut effectuer un démarrage à chaud sur disquette dans un30 lecteur dont l'accès n'aura pas été interdit Bien qu'alors il n'ait pas accès au mot de passe, le pirate pourra lever les interdictions d'accès et modifier la configuration. Un démarrage sur disquette peut être interdit, mais cette interdiction ne peut être effectuée que par un programme
qu'un pirate compétent pourra court-circuiter.
En outre, des instructions erronées dans un programme
peuvent par accident modifier le contenu de la mémoire CMOS.
De plus, la mémoire CMOS 16 est généralement une mémoire volatile sauvegardée par pile pour diverses raisons techniques, notamment cette mémoire est associée à une horloge temps réel Ainsi, à la fin de la durée de vie de la pile (de
l'ordre de 5 ans) le contenu de la mémoire CMOS disparaîtra.
Un objet de la présente invention est de prévoir un système informatique dans lequel les données de configuration
sont stockées avec une durée de vie illimitée.
Un autre objet de la présente invention est de prévoir une protection de système informatique plus difficile à violer
par un pirate.
Un autre objet de la présente invention est de prévoir
une protection de système informatique inviolable par un pira-
te ne connaissant pas un mot de passe.
Ces objets sont atteints grâce à un dispositif de
protection d'un système informatique comprenant des périphéri-
ques, des mémoires et une unité centrale de traitement dans lequel sont prévus: des moyens pour comparer, à la mise sous tension, un mot de passe fourni par un opérateur à un mot de passe prédéterminé stocké dans une première mémoire non volatile reprogrammable contenant aussi des données de configuration du
système informatique; des moyens pour lire les données de con-
figuration dans la première mémoire et, à partir de celles-ci, régler la configuration du système; et des moyens de sélection permettant à l'opérateur, s'il le souhaite, de se servir de moyens pour écrire des nouvelles données de configuration dans la première mémoire; les données lues par les moyens pour lire étant écrites dans une deuxième mémoire volatile à mode d'accès standardisé pour l'utilisation par un système d'exploitation, et la première mémoire étant une mémoire à mode d'accès différent
de celui de la deuxième mémoire.
Selon un mode de réalisation de la présente invention, le dispositif comprend des interrupteurs commandés par l'unité
centrale, qui, quand les données ont été écrites dans la deu- xième mémoire, coupent les accès du système informatique à, 5 d'une part, la première mémoire, et à, d'autre part, des péri- phériques définis par l'opérateur dans les données de configura-
tion, les positions initiales des interrupteurs ne pouvant être rétablies par l'unité centrale qu'après une remise sous tension. Selon un mode de réalisation de la présente invention, le dispositif comprend: une troisième mémoire dans laquelle l'unité centrale écrit, à la mise sous tension, le mot de passe prédéterminé stocké dans la première mémoire, des moyens étant prévus pour rendre la troisième mémoire accessible une seule fois par l'unité centrale; et un circuit vérificateur de mot de passe capable de rétablir les positions initiales des inter- rupteurs et seul capable de lire le contenu de la troisième mémoire, ce circuit étant invoqué lors d'un démarrage à chaud du système informatique et lorsque l'opérateur le souhaite pour comparer le mot de passe fourni par l'opérateur au mot de passe20 prédéterminé stocké dans la troisième mémoire, signaler le résultat de la comparaison à l'unité centrale, et rétablir les positions initiales des interrupteurs. Selon un mode de réalisation de la présente invention, les interrupteurs sont commandés par une bascule qui peut être
mise à un premier état qui ferme les interrupteurs, par un cir-
cuit fournissant une impulsion à la mise sous tension à une pre-
mière entrée, et qui peut être mise à un deuxième état qui ouvre les interrupteurs par une impulsion fournie par l'unité centrale
à une deuxième entrée.
Selon un mode de réalisation de la présente invention, les interrupteurs sont commandés par une bascule qui peut être
mise à un premier état qui ferme les interrupteurs, par le cir-
cuit vérificateur qui fournit une impulsion à une première entrée, d'une part, à la mise sous tension et, d'autre part,
lors d'une bonne comparaison des mots de passe lorsque le cir-
cuit vérificateur est invoqué, et qui peut être mis à un deu-
xième état qui ouvre les interrupteurs par l'unité centrale
fournissant une impulsion à une deuxième entrée.
Selon un mode de réalisation de la présente invention, les moyens pour rendre la troisième mémoire accessible une seule fois comprennent un compteur de tentatives d'accès remis à zéro
à la mise sous tension.
La présente invention prévoit aussi un procédé de pro-
tection d'un système informatique comprenant les étapes suivan-
tes: a) à la mise sous tension, comparer un mot de passe fourni par un opérateur à un mot de passe prédéterminé stocké dans une première mémoire non volatile reprogrammable contenant aussi des données de configuration du système informatique, et poursuivre en cas d'égalité de ces mots de passe; b) lire les données de
configuration dans la première mémoire et, à partir de celles-
ci, régler la configuration du système; et c) si 1 ' opérateur
en a signalé le souhait, écrire des nouvelles données de confi-
guration fournies par celui-ci dans la première mémoire; les données lues dans l'étape c) étant écrites dans une deuxième mé- moire volatile à mode d'accès standardisé pour l'utilisation par un système d'exploitation, et la première mémoire étant une mé- moire à mode d' accès différent de celui de la deuxième mémoire. Selon un mode de réalisation de la présente invention,
le procédé comprend l'étape suivante: après l'étape c), décon- necter les accès du système informatique à, d'une part, la pre-
mière mémoire, et à, d'autre part, des périphériques définis par l'opérateur dans les données de configuration dans l'étape b), les connexions ne pouvant être rétablies qu'à la remise sous30 tension.
Selon un mode de réalisation de la présente invention, à la mise sous tension, le mot de passe prédéterminé stocké dans la première mémoire est écrit dans une troisième mémoire lisible seulement par un circuit vérificateur de mot de passe aussi capable de rétablir les connexions des accès, ce circuit étant invoqué lors d'un démarrage à chaud du système au niveau de l'étape a) et lorsque l'opérateur le souhaite pour: comparer le mot de passe donné par l'opérateur avec le mot de passe stocké dans la troisième mémoire; signaler le résultat de la comparai- son à l'unité centrale; et rétablir les connexions des accès si
la comparaison est bonne.
Ces objets, caractéristiques et avantages ainsi que d'autres de la présente invention seront exposés plus en détail
dans la description suivante d'un mode de réalisation parti-
culier faite en relation avec les figures jointes parmi les-
quelles: la figure 1, précédemment décrite, illustre un schéma bloc d'un système informatique classique; et les figures 2 à 4 représentent chacune un schéma bloc d'un système informatique selon un mode de réalisation de la
présente invention.
A la figure 2, on retrouve tous les éléments de la
figure 1, les mêmes références désignant les mêmes éléments.
Selon la présente invention, le système informatique comprend
une mémoire non volatile reprogrammable et effaçable électrique-
ment (EEPROM) 20 reliée à l'unité centrale 10, cette mémoire étant associée à un circuit d'effacement et de programmation 22 La mémoire CMOS 16 n'a plus besoin d'être sauvegardée par
pile.
Dans la mémoire EEPROM sont stockées les données de configuration comprenant un mot de passe et des interdictions d'accès à des accessoires Pl Les mémoires EEPROM 20 et CMOS 16
sont utilisées de la manière suivante.
Lors d'un démarrage, un programme POST adéquat est exécuté Celui-ci lit les données dans la mémoire EEPROM et les
recopie, à l'exception du mot de passe, dans la mémoire CMOS Il demande le mot de passe et poursuit son exécution de manière classique si le mot de passe fourni est bon.
L'opérateur peut invoquer un programme SETUP adéquat en mémoire ROM de manière connue Les modifications des données
de configuration proposées par 1 ' opérateur sont alors écrites dans la mémoire EEPROM 20 La suite du déroulement des opéra- 5 tions est classique.
Un deuxième programme SETUP adéquat sur disque pourra aussi être invoqué pour modifier la configuration Celui-ci demandera le mot de passe stocké dans la mémoire EEPROM et effectuera les modifications dans cette mémoire si le mot de
passe fourni est bon.
Ainsi, à chaque démarrage, les données de configura-
tion stockées dans la mémoire EEPROM seront écrites dans la mémoire CMOS dont le contenu a été effacé à la mise hors tension de la machine Cette mémoire CMOS 16 n'est en fait conservée que
pour des raisons de compatibilité car elle doit pouvoir être utilisée par les systèmes d'exploitation.
Comme on l'a mentionné précédemment, l'accès à la mémoire CMOS est standard Cet accès s'effectue généralement en écrivant une adresse dans un registre qui lui est attribué, les données, constituées de mots d'un certain nombre de bits, étant
lues ou écrites mot par mot dans un deuxième registre attribué.
Il est donc facile de lire ou écrire dans cette mémoire sans
passer par le programme SETUP.
La mémoire EEPROM n'est pas soumise à des exigences de compatibilité et son accès est rendu volontairement plus complexe Par exemple, on peut envisager d'y écrire et lire les données en série, c'est-à-dire que chacun des mots constituant les données seront lus ou écrits bit par bit dans la mémoire EEPROM.30 Ainsi, la probabilité pour qu'un programme écrive par accident des données dans la mémoire EEPROM est faible et un pirate est soumis aux deux difficultés suivantes: d'une part, il lui sera difficile de détecter la présenoe de la mémoire EEPROM car il pourra accéder, mais sans que cela ait des effets, à la mémoire CMOS qui lui apparaîtra comme contenant les données qui l'intéressent, et d'autre part, s'il détecte la présence de cette mémoire EEPROM, il lui sera très difficile de trouver
comment y accéder car l'accès à cette mémoire n'est pas standar-
disé et ne sera pas communiqué au public. Toutefois, comme la mémoire EEPROM est théoriquement accessible par l'opérateur et comme les fonctions de sécurité, qui sont généralement réalisées par des programmes, peuvent être court-circuitées par un pirate compétent, on prévoit d'empêcher cela dans un autre mode de réalisation de la présente invention
illustré à la figure 3.
A la figure 3, on retrouve les mêmes éléments que dans
la figure 2, des mêmes références désignant les mêmes éléments.
Les accès à la mémoire EEPROM 20 et aux périphériques Pl déter-
minés par l'opérateur, peuvent être coupés de façon irréversible par des interrupteurs 30 commandés, par exemple, par une bascule RS 31 reliée à l'unité centrale 10 Le fonctionnement de ce
système est le suivant Les interrupteurs 30 pourront être pla-
cés sur les lignes de sélection de puce (couramment désignées
lignes "Chip Select") de la mémoire EEPROM et des périphériques.
Lors d'un démarrage à froid, un circuit de remise à zéro, généralement compris dans l'unité centrale 10, fournit, à chaque mise sous tension, une impulsion destinée à remettre à
zéro divers circuits du système dont l'état inital est incer-
tain Cette impulsion est aussi fournie à l'entrée de remise à zéro R de la bascule 31 en entraînant la fermeture de tous les
interrupteurs 30.
Le programme POST est exécuté comme précédemment, à
savoir qu'il lit le contenu de la mémoire EEPROM 20 et le trans-
fère, à l'exception du mot de passe, dans la mémoire CMOS 16 Le mot de passe est vérifié et le programme se poursuit de manière classique si le mot de passe fourni est bon. L'opérateur peut invoquer le programme SETUP stocké
dans la mémoire ROM 13 pour modifier les données de configura-
il tion et les interdictions d'accès à des périphériques dans la
mémoire EEPROM.
Le programme POST se poursuit et avant de charger le système d'exploitation, il provoque l'envoi par l'unité centrale 10 d'une impulsion sur l'entrée de mise à un S de la bascule 31 qui ouvre les interrupteurs 30 en interdisant l'accès à la
mémoire EEPROM et aux périphériques Pl déterminés par les don-
nées contenues dans la mémoire EEPROM au démarrage.
Quoi que fasse un pirate, il lui est impossible d'accéder à la mémoire EEPROM et aux périphériques interdits En effet, les interrupteurs 30 interdisant cet accès, ne peuvent être refermés que par le circuit de mise à zéro susmentionné lors d'un démarrage à froid qui nécessite la connaissance du mot
de passe.
Lors d'un démarrage à chaud d'un tel système, les interrupteurs 30 restent ouverts, coupant toujours l'accès aux données de la mémoire EEPROM, notamment au mot de passe Ces données ne peuvent donc être utilisées par le programme POST qui, lors d'un tel démarrage, doit pourtant s'exécuter pour régler à nouveau la configuration réversible, c'est-à-dire non fixée par les interrupteurs 30 Sans demander de mot de passe, le programme POST réglera la configuration réversible à partir des données stockées dans la mémoire CMOS, le contenu de cette mémoire CMOS ayant pu être modifié par un pirate ou un programme défectueux Ainsi, comme le programme POST ne bloque alors pas l'utilisation de la machine par le mot de passe, un pirate peut effectuer un redémarrage à chaud sur disquette dans un lecteur
dont l'accès n'aura pas été interdit.
De plus, l'opérateur qui veut reconfigurer son systè-
me, doit obligatoirement rétablir l'accès à la mémoire EEPROM, c'est-àdire qu'il doit éteindre et remettre sous tension la machine, ce qui est fastidieux. La figure 4 illustre un mode de réalisation qui permet de supprimer ès inconvénients On y retrouve les mêmes éléments que dans la figure 3, les mêmes références désignant les mêmes
éléments L'entrée de remise à zéro R de la bascule 31 est ici pilotée par un circuit vérificateur de mot de passe 40 Le fonc-
tionnement de ce système est le suivant. 5 A la mise sous tension, le circuit vérificateur 40 envoie une impulsion sur l'entrée de remise à zéro de la bascule 31 qui ferme les interrupteurs 30 Un programme POST adéquat débute, lit le contenu de la mémoire EEPROM 20 et l'écrit, à l'exception du mot de passe, dans la mémoire CMOS 16.10 Le programme POST demande à l'opérateur de fournir un mot de passe et poursuit si le mot de passe est bon Le mot de passe contenu dans la mémoire EEPROM est recopié dans une mémoire 42 du circuit vérificateur 40 La mémoire 42 du circuit vérificateur ne peut être écrite qu'une seule fois à la mise15 sous tension Pour cela, on prévoit de préférence dans le circuit 40 un compteur (non représenté) de tentatives d'accès remis à zéro à la mise sous tension Le programme POST se
poursuit de manière classique.
L'opérateur peut invoquer le programme SETUP en mémoire ROM comme précédemment et mettre à jour la mémoire
EEPROM avec de nouvelles données de configuration.
Le programme POST se poursuit et, avant de charger le système d'exploitation, provoque l'envoi par l'unité centrale d'une impulsion sur l'entrée de mise à un S de la bascule 31 qui
ouvre les interrupteurs 30 de la mémoire EEPROM et des accessoi-
res sélectionnés Pl.
Lors d'un démarrage à chaud, le programme POST tente de lire la mémoire EEPROM et détecte que l'accès est bloqué Le programme POST demande quand même le mot de passe à l'opérateur et transmet celui-ci, par l'intermédiaire de l'unité centrale , au circuit vérificateur 40 qui le compare au mot de passe stocké dans sa mémoire 42 Le circuit vérificateur transmet le résultat de la comparaison à l'unité centrale Si la comparaison est bonne, le circuit vérificateur 40 envoie une impulsion sur l'entrée de remise à zéro R de la bascule 31 qui referme tous les interrupteurs 30, la poursuite du programme POST est autori- sée et 1 'opérateur peut invoquer le programme SETUP en mémoire ROM pour modifier le contenu de la mémoire EEPROM; le programme 5 POST provoquant à nouveau l'ouverture des interrupteurs 30 avant de charger le système d 'exploitation, comme dans le système précédent. L'opérateur pourra aussi, lorsque la machine est en marche, invoquer un deuxième programme SETUP adéquat sur disque,
qui demandera le mot de passe et le transmettra au circuit véri-
ficateur 40 par 1 'intermédiaire de 1 'unité oentrale 10 Dans ce cas aussi, si la comparaison est bonne, le circuit vérificateur refermera les interrupteurs 30 et permettra à 1 ' opérateur de
modifier les données dans la mémoire EEPROM.
Ainsi, un tel système est pratique pour 1 ' opérateur qui peut à tout instant changer la configuration mais invulnéra-
ble à un pirate qui ne connaît pas le mot de passe En effet, le pirate doit fournir le mot de passe à tout démarrage et, s'il trouve la machine en marche, il ne peut accéder ni à la mémoire20 EEPROM, ni aux périphériques qui lui sont interdits De plus, le fait que 1 ' on ne puisse écrire dans la mémoire 42 du circuit
vérificateur 40 qu' à la mise sous tension, supprime la possibi-
lité théorique qu'a le pirate de modifier le contenu de la mémoire du circuit vérificateur en y effaçant le mot de passe ou
en y écrivant un autre mot de passe.
La présente invention est susceptible de nombreuses variantes et modifications qui apparaîtront à l'homme du métier,
notamment en ce qui concerne la réalisation des interrupteurs irréversibles 30 et du circuit vérificateur 40.

Claims (8)

REVENDICATIONS
1 Dispositif de protection d'un système informatique comprenant des périphériques (Pi, P 2), des mémoires et une unité centrale de traitement ( 10) dans lequel sont prévus: des moyens pour comparer, à la mise sous tension, un mot de passe fourni par un opérateur à un mot de passe prédéter- miné stocké dans une première mémoire non volatile reprogrammable ( 20) contenant aussi des données de configuration du système informatique; des moyens pour lire les données de configuration dans la première mémoire ( 20) et, à partir de celles-ci, régler la configuration du système; et des moyens de sélection permettant à l'opérateur,
s'il le souhaite, de se servir de moyens pour écrire des nouvel-
les données de configuration dans la première mémoire ( 20); caractérisé en ce que les données lues par les moyens pour lire sont écrites dans une deuxième mémoire volatile ( 16) à
mode d'accès standardisé pour l'utilisation par un système d'exploitation, et en ce que la première mémoire ( 20) est une mémoire à mode d'accès différent de celui de la deuxième20 mémoire.
2 Dispositif selon la revendication 1, caractérisé en ce qu'il comprend des interrupteurs ( 30) commandés par l'unité centrale ( 10) qui, quand les données ont été écrites dans la deuxième mémoire ( 16), coupent les accès du système informatique25 à, d'une part, la première mémoire ( 20), et à, d'autre part, des périphériques (Pl) définis par l'opérateur dans les données de
configuration, les positions initiales des interrupteurs ne pouvant être rétablies par l'unité centrale qu'après une remise sous tension.
3 Dispositif selon la revendication 2, caractérisé en ce qu'il comprend: une troisième mémoire ( 42) dans laquelle 1 ' unité
centrale écrit, à la mise sous tension, le mot de passe prédé-
terminé stocké dans la première mémoire ( 20), des moyens étant prévus pour rendre la troisième mémoire ( 42) accessible une seule fois par l'unité centrale ( 18); et un circuit vérificateur de mot de passe ( 40) capable de rétablir les positions initiales des interrupteurs et seul capable de lire le contenu de la troisième mémoire, ce circuit
étant invoqué lors d'un démarrage à chaud du système informa-
tique et lorsque l'opérateur le souhaite pour: comparer le mot de passe fourni par l'opérateur au mot de passe prédéterminé stocké dans la troisième mémoire ( 42), signaler le résultat de la comparaison à l'unité centrale, et
rétablir les positions initiales des interrupteurs.
4 Dispositif selon la revendication 2, caractérisé en ce que les interrupteurs ( 30) sont commandés par une bascule
( 31) qui peut être mise à un premier état qui ferme les inter-
rupteurs ( 30), par un circuit fournissant une impulsion à la mise sous tension à une première entrée (R), et qui peut être mise à un deuxième état qui ouvre les interrupteurs ( 30) par une impulsion fournie par l'unité centrale à une deuxième entrée (S). Dispositif selon la revendication 3, caractérisé en ce que les interrupteurs ( 30) sont commandés par une bascule
( 31) qui peut être mise à un premier état qui ferme les inter-
rupteurs ( 30), par le circuit vérificateur ( 40) qui fournit une impulsion à une première entrée, d'une part, à la mise sous tension et, d'autre part, lors d'une bonne comparaison des mots
de passe lorsque le circuit vérificateur est invoqué, et qui peut être mis à un deuxième état qui ouvre les interrupteurs par l'unité centrale fournissant une impulsion à une deuxième entrée35 ( 5).
6 Dispositif selon la revendication 5, caractérisé en
ce que les moyens pour rendre la troisième mémoire ( 42) accessi-
ble une seule fois comprennent un compteur de tentatives d'accès
remis à zéro à la mise sous tension.
7 Procédé de protection d' un système informatique comprenant les étapes suivantes: a) à la mise sous tension, comparer un mot de passe fourni par un opérateur à un mot de passe prédéterminé stocké dans une première mémoire non volatile reprogrammable ( 20)
contenant aussi des données de configuration du système infor-
matique, et poursuivre en cas d'égalité de oes mots de passe; b) lire les données de configuration dans la première mémoire ( 20) et, à partir de celles-ci, régler la configuration du système; et c) si l'opérateur en a signalé le souhait, écrire des nouvelles données de configuration fournies par celui-ci dans la première mémoire ( 20); caractérisé en ce que les données lues dans l'étape c) sont écrites dans une deuxième mémoire volatile ( 16) à mode
d'accès standardisé pour l'utilisation par un système d'exploi-
tation, et en ce que la première mémoire ( 20) est une mémoire à
mode d'accès différent de celui de la deuxième mémoire.
8 Procédé de protection selon la revendication 7, caractérisé en ce qu'il comprend l'étape suivante: après l'étape c), déconnecter les accès du système informatique à, d'une part, la première mémoire ( 20), et à, d'autre part, des périphériques (Pl) définis par l'opérateur dans les données de configuration dans l'étape b), les connexions ne pouvant être rétablies qu'à la remise sous
tension.
9 Procédé de protection selon la revendication 8, caractérisé en ce qu' à la mise sous tension, le mot de passe prédéterminé stocké dans la première mémoire ( 20) est écrit dans une troisième mémoire ( 42) lisible seulement par un circuit vérificateur de mot de passe ( 40) aussi capable de rétablir les connexions des accès, ce circuit étant invoqué lors d'un démar- rage à chaud du système au niveau de 1 ' étape a) et lorsque l'opérateur le souhaite pour: 5 comparer le mot de passe donné par l'opérateur avec le mot de passe stocké dans la troisième mémoire ( 42); signaler le résultat de la comparaison à l'unité centrale; et rétablir les connexions des accès si la comparaison
est bonne.
FR9104898A 1991-04-16 1991-04-16 Procede et dispositif de protection d'un systeme informatique. Expired - Fee Related FR2675602B1 (fr)

Priority Applications (6)

Application Number Priority Date Filing Date Title
FR9104898A FR2675602B1 (fr) 1991-04-16 1991-04-16 Procede et dispositif de protection d'un systeme informatique.
DE69230193T DE69230193T2 (de) 1991-04-16 1992-04-14 Rechner-Schutzsystem
EP92420121A EP0514289B1 (fr) 1991-04-16 1992-04-14 Méthode de protection d'ordinateur
JP09616492A JP3204725B2 (ja) 1991-04-16 1992-04-16 コンピュータ
US08/264,840 US5535409A (en) 1991-04-16 1994-06-23 Apparatus for and method of preventing changes of computer configuration data by unauthorized users
US08/594,007 US5781793A (en) 1991-04-16 1996-01-30 Appratus for preventing changes of computer configuration data by unauthorized users

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR9104898A FR2675602B1 (fr) 1991-04-16 1991-04-16 Procede et dispositif de protection d'un systeme informatique.

Publications (2)

Publication Number Publication Date
FR2675602A1 true FR2675602A1 (fr) 1992-10-23
FR2675602B1 FR2675602B1 (fr) 1995-04-14

Family

ID=9412089

Family Applications (1)

Application Number Title Priority Date Filing Date
FR9104898A Expired - Fee Related FR2675602B1 (fr) 1991-04-16 1991-04-16 Procede et dispositif de protection d'un systeme informatique.

Country Status (5)

Country Link
US (2) US5535409A (fr)
EP (1) EP0514289B1 (fr)
JP (1) JP3204725B2 (fr)
DE (1) DE69230193T2 (fr)
FR (1) FR2675602B1 (fr)

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2675602B1 (fr) * 1991-04-16 1995-04-14 Hewlett Packard Co Procede et dispositif de protection d'un systeme informatique.
SE9300975L (sv) * 1993-03-24 1994-09-25 Icl Systems Ab Förfarande och arrangemang för att kontrollera lösenord för en arbetsdator
GB9323453D0 (en) * 1993-11-13 1994-01-05 Calluna Tech Ltd Security system for portable hard disk drive
KR100281869B1 (ko) * 1995-07-28 2001-02-15 윤종용 보안 기능을 갖는 개인용 컴퓨터, 그의 보안 방법 및 그 보안 장치의 설치 및 제거방법
JP3355879B2 (ja) * 1995-08-01 2002-12-09 株式会社デンソー 制御回路
KR100319838B1 (ko) * 1995-08-10 2002-04-22 윤종용 보안장치를 구비한 개인용 컴퓨터, 그의 보안방법 및 그 보안장치의 설치 및 제거방법
EP0770997A3 (fr) * 1995-10-27 1998-01-07 Ncr International Inc. Protection par mot de passe pour un disque dur amovible
US5815410A (en) * 1996-05-03 1998-09-29 Raytek Subsidiary, Inc. Ratio type infrared thermometer
US5815718A (en) * 1996-05-30 1998-09-29 Sun Microsystems, Inc. Method and system for loading classes in read-only memory
US5778070A (en) * 1996-06-28 1998-07-07 Intel Corporation Method and apparatus for protecting flash memory
US6138236A (en) * 1996-07-01 2000-10-24 Sun Microsystems, Inc. Method and apparatus for firmware authentication
US5892906A (en) * 1996-07-19 1999-04-06 Chou; Wayne W. Apparatus and method for preventing theft of computer devices
US6038320A (en) * 1996-10-11 2000-03-14 Intel Corporation Computer security key
US5911778A (en) * 1996-12-31 1999-06-15 Sun Microsystems, Inc. Processing system security
US7444394B2 (en) 1997-02-03 2008-10-28 Canon Kabushiki Kaisha Network data base control device and method thereof
US6182225B1 (en) * 1997-02-03 2001-01-30 Canon Kabushiki Kaisha Network data base control device and method thereof
US6101608A (en) * 1997-02-20 2000-08-08 Compaq Computer Corporation Method and apparatus for secure remote wake-up of a computer over a network
US5915086A (en) * 1997-04-03 1999-06-22 Oracle Corporation Hierarchical protection of seed data
JPH11107846A (ja) * 1997-10-07 1999-04-20 Jatco Corp 車両用制御装置
US6898700B2 (en) * 1998-03-31 2005-05-24 Intel Corporation Efficient saving and restoring state in task switching
US6470454B1 (en) * 1998-03-31 2002-10-22 International Business Machines Corporation Method and apparatus for establishing computer configuration protection passwords for protecting computer configurations
US6073206A (en) * 1998-04-30 2000-06-06 Compaq Computer Corporation Method for flashing ESCD and variables into a ROM
US6397337B1 (en) * 1998-04-30 2002-05-28 Compaq Computer Corporation Unified password prompt of a computer system
KR100310093B1 (ko) * 1998-07-15 2001-11-15 윤종용 패스워드를 이용한 개인용 컴퓨터의 보안방법
US6668323B1 (en) 1999-03-03 2003-12-23 International Business Machines Corporation Method and system for password protection of a data processing system that permit a user-selected password to be recovered
US6601175B1 (en) 1999-03-16 2003-07-29 International Business Machines Corporation Method and system for providing limited-life machine-specific passwords for data processing systems
US6292692B1 (en) 1999-04-30 2001-09-18 Medical Research Laboratories, Inc. Medical treatment device with functions, operated under passcode control
US6891955B1 (en) * 1999-07-29 2005-05-10 Micron Technology, Inc. Audio volume control for computer systems
JP3448244B2 (ja) * 1999-09-08 2003-09-22 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータの不正使用防止方法、及びコンピュータ
FR2800498A1 (fr) * 1999-10-27 2001-05-04 Henri Ladet Procede d'affichage d'annonces publicitaires
US6622243B1 (en) * 1999-11-19 2003-09-16 Intel Corporation Method for securing CMOS configuration information in non-volatile memory
US7082522B2 (en) * 2002-07-09 2006-07-25 Lsi Logic Corporation Method and/or apparatus for implementing enhanced device identification
US7024548B1 (en) * 2003-03-10 2006-04-04 Cisco Technology, Inc. Methods and apparatus for auditing and tracking changes to an existing configuration of a computerized device
KR100512742B1 (ko) * 2003-07-25 2005-09-07 삼성전자주식회사 휴대용 컴퓨터
JP4697541B2 (ja) * 2003-09-29 2011-06-08 ソニー株式会社 サービス利用装置
TWI261756B (en) * 2004-12-29 2006-09-11 Tatung Co A technology of access in common display data channel for the display monitor
JP4401305B2 (ja) 2005-02-09 2010-01-20 富士通株式会社 デイスクアレイ装置の構成定義設定方法及びデイスクアレイ装置
US7624279B2 (en) * 2005-06-29 2009-11-24 Lenovo Singapore Pte. Ltd. System and method for secure O.S. boot from password-protected HDD
US7917716B2 (en) * 2007-08-31 2011-03-29 Standard Microsystems Corporation Memory protection for embedded controllers
US7904839B2 (en) * 2007-12-12 2011-03-08 International Business Machines Corporation System and method for controlling access to addressable integrated circuits
US7831936B2 (en) * 2007-12-19 2010-11-09 International Business Machines Corporation Structure for a system for controlling access to addressable integrated circuits
DE102008048066B4 (de) * 2008-09-19 2018-02-01 Texas Instruments Deutschland Gmbh Zugriffssteuerschaltung zur Verwendung mit einer Überwachungs-Logikschaltungsanordnung in einem Verfahren zum Schutz von Software für eingebettete Anwendungen vor unerlaubtem Zugriff
US9037840B2 (en) 2012-06-29 2015-05-19 Intel Corporation Mechanism to provide workload and configuration-aware deterministic performance for microprocessors
US9494996B2 (en) 2013-03-15 2016-11-15 Intel Corporation Processor having frequency of operation information for guaranteed operation under high temperature events
US9696772B2 (en) 2014-02-21 2017-07-04 Arm Limited Controlling access to a memory
JP6520759B2 (ja) * 2016-02-26 2019-05-29 オムロン株式会社 プログラマブルコントローラ、プログラマブルコントローラの制御プログラム
CN107451494B (zh) * 2017-06-30 2020-05-22 杭州旗捷科技有限公司 一种芯片改写设备的数据保护方法、电子设备及存储介质
IT201700082176A1 (it) * 2017-07-19 2019-01-19 Stmicroelectronics Application Gmbh Sistema di elaborazione, relativo circuito integrato e procedimento
IT201800001633A1 (it) 2018-01-22 2019-07-22 Stmicroelectronics Application Gmbh Sistema di elaborazione, relativo circuito integrato, dispositivo e procedimento
IT201800002895A1 (it) 2018-02-21 2019-08-21 Stmicroelectronics Application Gmbh Sistema di elaborazione, relativo circuito integrato, dispositivo e procedimento

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2181281A (en) * 1985-10-03 1987-04-15 Isolation Systems Limited Device for controlling access to computer peripherals

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4800590A (en) * 1985-01-14 1989-01-24 Willis E. Higgins Computer key and computer lock system
JPH0734215B2 (ja) * 1985-02-27 1995-04-12 株式会社日立製作所 Icカ−ド
US4757533A (en) * 1985-09-11 1988-07-12 Computer Security Corporation Security system for microcomputers
US4888652A (en) * 1987-09-17 1989-12-19 Dictaphone Corporation Communications recorder having a unique identification code and secure method and apparatus for changing same
US5113518A (en) * 1988-06-03 1992-05-12 Durst Jr Robert T Method and system for preventing unauthorized use of software
US5014193A (en) * 1988-10-14 1991-05-07 Compaq Computer Corporation Dynamically configurable portable computer system
US4919545A (en) * 1988-12-22 1990-04-24 Gte Laboratories Incorporated Distributed security procedure for intelligent networks
US4959860A (en) * 1989-02-07 1990-09-25 Compaq Computer Corporation Power-on password functions for computer system
JP2682700B2 (ja) * 1989-05-09 1997-11-26 三菱電機株式会社 Icカード
US5023782A (en) * 1990-03-26 1991-06-11 Mastercard International Inc. Travelers cheque transaction terminal
EP0449242A3 (en) * 1990-03-28 1992-10-28 National Semiconductor Corporation Method and structure for providing computer security and virus prevention
US5251125A (en) * 1990-04-30 1993-10-05 Eaton Corporation User interface for a process control device
US5027396A (en) * 1990-05-07 1991-06-25 Xerox Corporation Execution protection for floppy disks
FR2671205B1 (fr) * 1990-12-27 1995-01-20 Telemecanique Procede de controle de l'utilisation d'un poste de travail informatique par mot de passe et poste de travail informatique mettant en óoeuvre ce procede.
FR2675602B1 (fr) * 1991-04-16 1995-04-14 Hewlett Packard Co Procede et dispositif de protection d'un systeme informatique.

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2181281A (en) * 1985-10-03 1987-04-15 Isolation Systems Limited Device for controlling access to computer peripherals

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
IBM TECHNICAL DISCLOSURE BULLETIN. vol. 30, no. 5, Octobre 1987, NEW YORK US pages 57 - 58; 'SECURITY SYSTEM FOR PERSONAL COMPUTERS ' *

Also Published As

Publication number Publication date
FR2675602B1 (fr) 1995-04-14
EP0514289B1 (fr) 1999-10-27
JP3204725B2 (ja) 2001-09-04
JPH05143319A (ja) 1993-06-11
US5535409A (en) 1996-07-09
US5781793A (en) 1998-07-14
DE69230193D1 (de) 1999-12-02
DE69230193T2 (de) 2000-02-10
EP0514289A1 (fr) 1992-11-19

Similar Documents

Publication Publication Date Title
FR2675602A1 (fr) Procede et dispositif de protection d'un systeme informatique.
EP0089876B1 (fr) Procédé et dispositif de protection d'un logiciel livré par un fournisseur à un utilisateur
US5954808A (en) Method for configuring a computer-based system with a configuration card
EP1605333B1 (fr) Contrôle de l'exécution d'un programme
EP0552079B1 (fr) Carte à mémoire de masse pour microordinateur
FR2691556A1 (fr) Procédé et dispositif de démarrage d'un ordinateur à un instant programmé.
EP0540095A1 (fr) Microcircuit pour carte à puce à mémoire programmable protégée
US5991875A (en) System configuration card
FR2606909A1 (fr) Systeme de traitement pour un appareil electronique portatif, tel qu'une carte a circuit integre
EP0552077B1 (fr) Carte à mémoire de masse pour microordinateur avec facilités d'exécution de programmes internes
JPH0833914B2 (ja) スマートカードのロック方法
EP0493232A1 (fr) Procédé de contrôle de l'utilisation d'un poste de travail informatique par mot de passe et poste de travail informatique mettant en oeuvre ce procédé
EP2024798B1 (fr) Procédé et dispositif de configuration sécurisée d'un terminal au moyen d'un dispositif de stockage de données de démarrage
EP0735489B1 (fr) Procédé de protection de zones de mémoires non volatiles
FR2808359A1 (fr) Carte a puce multi-applicatives
US6622243B1 (en) Method for securing CMOS configuration information in non-volatile memory
WO2009059763A1 (fr) Procede de deverrouillage d'un calculateur de controle moteur
WO1998029813A1 (fr) Procede de securisation d'un module de securite, et module de securite associe
EP1942417B1 (fr) Circuit de protection de zones mémoire
EP0393050B1 (fr) Dispositif de protection des zones memoire d'un systeme electronique a microprocesseur
WO2019175482A1 (fr) Traitement sécurisé de données
EP0838053B1 (fr) Procede et dispositif permettant a un programme fige de pouvoir evoluer
EP1202181A1 (fr) Contrôle d'accès à une mémoire intégrée avec un microprocesseur
FR2601480A1 (fr) Procede et dispositif de controle de l'utilisation d'un materiel tel qu'un ordinateur personnel
WO1999000774A1 (fr) Module de securite comportant des moyens de creation de liens entre des fichiers principaux et des fichiers auxiliaires

Legal Events

Date Code Title Description
ST Notification of lapse