JPH0651859A - セキュリティ機構を有するコンピュータ・システム - Google Patents
セキュリティ機構を有するコンピュータ・システムInfo
- Publication number
- JPH0651859A JPH0651859A JP5081631A JP8163193A JPH0651859A JP H0651859 A JPH0651859 A JP H0651859A JP 5081631 A JP5081631 A JP 5081631A JP 8163193 A JP8163193 A JP 8163193A JP H0651859 A JPH0651859 A JP H0651859A
- Authority
- JP
- Japan
- Prior art keywords
- storage element
- storage device
- rewritable
- computer system
- pap
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/16—Constructional details or arrangements
- G06F1/18—Packaging or power distribution
- G06F1/181—Enclosures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Power Engineering (AREA)
- Human Computer Interaction (AREA)
- Storage Device Security (AREA)
Abstract
(57)【要約】
【目的】 冷却風を流したり取り外し可能な媒体を挿入
するなどの正規の目的でパーソナル・コンピュータ・シ
ステムの格納装置に備えられている開口部の中へ、何ら
かの形のプローブ(probe:探査針)を挿入するこ
とによって、パーソナル・コンピュータ・システムのセ
キュリティ機構の素子を損なおうとする無許可ユーザの
試み(プローブによる攻撃)に対して、トラステッド・
パーソナル・コンピュータ・システムを保護すること。 【構成】 本発明によれば、複数のセキュリティ機構の
素子が、安全保護及び非安全保護の活動状態を選択でき
るように格納装置内に装着されており、しかもそれら
は、無許可ユーザが開口部にプローブを挿入することに
よってセキュリティ機構の素子のいずれかの動作を損な
おうと試みても、アクセスすることのできない位置に設
置されている。
するなどの正規の目的でパーソナル・コンピュータ・シ
ステムの格納装置に備えられている開口部の中へ、何ら
かの形のプローブ(probe:探査針)を挿入するこ
とによって、パーソナル・コンピュータ・システムのセ
キュリティ機構の素子を損なおうとする無許可ユーザの
試み(プローブによる攻撃)に対して、トラステッド・
パーソナル・コンピュータ・システムを保護すること。 【構成】 本発明によれば、複数のセキュリティ機構の
素子が、安全保護及び非安全保護の活動状態を選択でき
るように格納装置内に装着されており、しかもそれら
は、無許可ユーザが開口部にプローブを挿入することに
よってセキュリティ機構の素子のいずれかの動作を損な
おうと試みても、アクセスすることのできない位置に設
置されている。
Description
【0001】
【産業上の利用分野】本発明は、パーソナル・コンピュ
ータ・システムに関し、特にそのシステム内に保存され
ているデータへのアクセスにおける制御を可能にするセ
キュリティ機構を有するパーソナル・コンピュータ・シ
ステムに関するものである。
ータ・システムに関し、特にそのシステム内に保存され
ているデータへのアクセスにおける制御を可能にするセ
キュリティ機構を有するパーソナル・コンピュータ・シ
ステムに関するものである。
【0002】
【従来の技術】本発明は、米国特許出願第840,96
5号(1992年2月26日出願)に基づく同一出願人
による日本国特許出願平4−341805号に関連す
る。
5号(1992年2月26日出願)に基づく同一出願人
による日本国特許出願平4−341805号に関連す
る。
【0003】一般的なパーソナル・コンピュータ・シス
テム、特にIBMのパーソナル・コンピュータが、現代
社会における多くの分野においてその機能を発揮して広
く利用されてきている。パーソナル・コンピュータ・シ
ステムは、通常、デスク・トップ型、床置き型、あるい
は携帯用マイクロコンピュータとして定義することがで
き、一つのシステム・プロセッサと関連する揮発性及び
不揮発性の記憶素子、表示モニタ、鍵盤装置、一つ以上
のディスク駆動機構、固定ディスク記憶装置、及び選択
的な印刷装置から成るシステム・ユニットから構成され
る。これらのシステムの顕著な特徴の一つは、これらの
構成部品を互いに電気的に結合するためのマザーボード
(ここでいうのは、システム・ボード、システム・プレ
ーナ、あるいは、プレーナとして知られているもの)の
使用である。これらのシステムは、基本的には、ひとり
のユーザに独立した計算能力を提供し、個人及び小企業
においても安価に購入できる価格に設計されている。そ
のようなパーソナル・コンピュータ・システムの例とし
て、IBMのパーソナル・コンピュータATおよびパー
ソナル・システム/2(PS/2)モデル25、30、
35、40、L40SX,50、55、56、57、6
5、70、80、90、95がある。
テム、特にIBMのパーソナル・コンピュータが、現代
社会における多くの分野においてその機能を発揮して広
く利用されてきている。パーソナル・コンピュータ・シ
ステムは、通常、デスク・トップ型、床置き型、あるい
は携帯用マイクロコンピュータとして定義することがで
き、一つのシステム・プロセッサと関連する揮発性及び
不揮発性の記憶素子、表示モニタ、鍵盤装置、一つ以上
のディスク駆動機構、固定ディスク記憶装置、及び選択
的な印刷装置から成るシステム・ユニットから構成され
る。これらのシステムの顕著な特徴の一つは、これらの
構成部品を互いに電気的に結合するためのマザーボード
(ここでいうのは、システム・ボード、システム・プレ
ーナ、あるいは、プレーナとして知られているもの)の
使用である。これらのシステムは、基本的には、ひとり
のユーザに独立した計算能力を提供し、個人及び小企業
においても安価に購入できる価格に設計されている。そ
のようなパーソナル・コンピュータ・システムの例とし
て、IBMのパーソナル・コンピュータATおよびパー
ソナル・システム/2(PS/2)モデル25、30、
35、40、L40SX,50、55、56、57、6
5、70、80、90、95がある。
【0004】これらのシステムは、一般に二つの群に分
類される。一つは、ファミリI型と通常言われており、
IBMのパーソナル・コンピュータAT及び他の”IB
M互換”機に代表されるバス・アーキテクチャを使用し
ている。もう一つは、ファミリII型といわれており、
IBM社のパーソナル・システム/2モデル50〜95
に代表されるマイクロ・チャネル・バス・アーキテクチ
ャを使用している。初期のファミリI型は、通常、一般
的なINTELの8088か8086をシステム・プロ
セッサのマイクロプロセッサとして使用していた。後の
ファミリIおよびファミリII型のあるものは、高速の
INTELの80286、80386、80486のマ
イクロプロセッサが通常使用され、それによって、実モ
ードにおいては低速のINTEL8086マイクロプロ
セッサをエミュレートし、あるいは保護モードにおいて
は、アドレス範囲を1MBから4GBに拡張する操作
が、いくつかの型について可能である。つまり、802
86、80386、80486マイクロプロセッサの実
モードの機能は、8086及び8088用に書かれたソ
フトウェアについて、ハードウェアの互換性を提供する
ことである。
類される。一つは、ファミリI型と通常言われており、
IBMのパーソナル・コンピュータAT及び他の”IB
M互換”機に代表されるバス・アーキテクチャを使用し
ている。もう一つは、ファミリII型といわれており、
IBM社のパーソナル・システム/2モデル50〜95
に代表されるマイクロ・チャネル・バス・アーキテクチ
ャを使用している。初期のファミリI型は、通常、一般
的なINTELの8088か8086をシステム・プロ
セッサのマイクロプロセッサとして使用していた。後の
ファミリIおよびファミリII型のあるものは、高速の
INTELの80286、80386、80486のマ
イクロプロセッサが通常使用され、それによって、実モ
ードにおいては低速のINTEL8086マイクロプロ
セッサをエミュレートし、あるいは保護モードにおいて
は、アドレス範囲を1MBから4GBに拡張する操作
が、いくつかの型について可能である。つまり、802
86、80386、80486マイクロプロセッサの実
モードの機能は、8086及び8088用に書かれたソ
フトウェアについて、ハードウェアの互換性を提供する
ことである。
【0005】近年世界的にパーソナル・コンピュータが
発展し、利用されてくるとともに、膨大なデータや情報
が収集されて、そのようなシステム内に保有されまた記
憶されてきている。このデータの多くは、性質として機
密を要すものである。取り扱いを誤ると、データが個人
にとって困惑するものになったり、企業が競争力を失っ
たり、あるいは、個人に対する肉体的暴力を引き起こし
たりする。ユーザがデータの機密性及びその価値をさら
に認識するようになるにつれ、そのような誤った使用に
対する保護が一層要求されてくる。記憶されたデータ及
びそれに関連する人間を保護するために、ユーザは、自
分の購入するパーソナル・コンピュータの中に、セキュ
リティ機構と保全性機構を組み込むことを要求してい
る。
発展し、利用されてくるとともに、膨大なデータや情報
が収集されて、そのようなシステム内に保有されまた記
憶されてきている。このデータの多くは、性質として機
密を要すものである。取り扱いを誤ると、データが個人
にとって困惑するものになったり、企業が競争力を失っ
たり、あるいは、個人に対する肉体的暴力を引き起こし
たりする。ユーザがデータの機密性及びその価値をさら
に認識するようになるにつれ、そのような誤った使用に
対する保護が一層要求されてくる。記憶されたデータ及
びそれに関連する人間を保護するために、ユーザは、自
分の購入するパーソナル・コンピュータの中に、セキュ
リティ機構と保全性機構を組み込むことを要求してい
る。
【0006】収集され、記憶されるデータの機密性を重
要視するのは、ユーザのみではない。政府もまた、機密
データの保護を強化する法律を施行しつつある。それは
合衆国政府だけではない。その現状の重要性が認識され
それに対応するようになった。合衆国連邦政府は、セキ
ュリティ・レベルとこれらのレベルに適応させるための
関連する必須要件を定め、パーソナル・コンピュータ製
品を製造する業者に対して、その製品が、その業者の申
請したセキュリティ・レベルに合っているかどうかを検
査するための認可機関を設立している。Federal
Requirementsの基本は、国防省の、トラ
ステッド・コンピュータ・システム評価基準(Trus
ted Computer System Evalu
ation Criteria)、DOD 5200.
28 STD12/85であり、一般にオレンジブック
といわれているものである。政府は、1992年1月1
日より、政府に関するすべてのデータは、パーソナル・
コンピュータにおいてはセキュリティレベルC−2以上
でのみ処理され、記憶されなければならないという法律
を制定した。コンピュータシステムのハードウェアにお
いては、この必須要件は、本質的に保証セクション内に
含まれる。必須要件6には、”信頼できる機構は、不正
及びまたは不当な変更に対して、絶え間なく保護されな
ければならない。・・・”とある。
要視するのは、ユーザのみではない。政府もまた、機密
データの保護を強化する法律を施行しつつある。それは
合衆国政府だけではない。その現状の重要性が認識され
それに対応するようになった。合衆国連邦政府は、セキ
ュリティ・レベルとこれらのレベルに適応させるための
関連する必須要件を定め、パーソナル・コンピュータ製
品を製造する業者に対して、その製品が、その業者の申
請したセキュリティ・レベルに合っているかどうかを検
査するための認可機関を設立している。Federal
Requirementsの基本は、国防省の、トラ
ステッド・コンピュータ・システム評価基準(Trus
ted Computer System Evalu
ation Criteria)、DOD 5200.
28 STD12/85であり、一般にオレンジブック
といわれているものである。政府は、1992年1月1
日より、政府に関するすべてのデータは、パーソナル・
コンピュータにおいてはセキュリティレベルC−2以上
でのみ処理され、記憶されなければならないという法律
を制定した。コンピュータシステムのハードウェアにお
いては、この必須要件は、本質的に保証セクション内に
含まれる。必須要件6には、”信頼できる機構は、不正
及びまたは不当な変更に対して、絶え間なく保護されな
ければならない。・・・”とある。
【0007】最も初期の、IBMパーソナル・コンピュ
ータでいえばファミリI型のパーソナル・コンピュータ
・システムについてみると、ソフトウェアの互換性が最
も重要であると考えられていた。この目的を達成するた
め、”ファームウェア”とも言われている絶縁層のシス
テム常駐コードが、ハードウェアとソフトウェアの間に
確立されている。このファームウェアは、ユーザのアプ
リケーション・プログラムやオペレーション・システム
と入出力装置の間の操作インターフェースを提供し、ユ
ーザが、ハードウェア装置の特性について意識しなくて
もよいようにしている。最終的にこのコードは、システ
ムに新しい入出力装置を追加できるようにする一方、ア
プリケーション・プログラムをハードウェアの特異性か
ら絶縁する、基本入出力システム(BIOS)内として
開発されることとなった。BIOSの重要性は、即座に
明らかになった。なぜなら、それによって、入出力装置
駆動機構が、特定の入出力装置のハードウェアに依存し
なくても良く、また入出力装置駆動機構に入出力装置と
の中間的なインターフェースを付けなくても良いからで
ある。BIOSはシステムに統合された一部であり、シ
ステム・プロセッサのデータの入出力の移動を制御され
るので、システム・プレーナ上に設置され、読取専用記
憶素子(ROM)としてユーザに出荷される。例えば、
原型のIBMパーソナル・コンピュータ内のBIOS
は、プレーナ・ボード上に設置されたROMの8Kバイ
トを占めていた。
ータでいえばファミリI型のパーソナル・コンピュータ
・システムについてみると、ソフトウェアの互換性が最
も重要であると考えられていた。この目的を達成するた
め、”ファームウェア”とも言われている絶縁層のシス
テム常駐コードが、ハードウェアとソフトウェアの間に
確立されている。このファームウェアは、ユーザのアプ
リケーション・プログラムやオペレーション・システム
と入出力装置の間の操作インターフェースを提供し、ユ
ーザが、ハードウェア装置の特性について意識しなくて
もよいようにしている。最終的にこのコードは、システ
ムに新しい入出力装置を追加できるようにする一方、ア
プリケーション・プログラムをハードウェアの特異性か
ら絶縁する、基本入出力システム(BIOS)内として
開発されることとなった。BIOSの重要性は、即座に
明らかになった。なぜなら、それによって、入出力装置
駆動機構が、特定の入出力装置のハードウェアに依存し
なくても良く、また入出力装置駆動機構に入出力装置と
の中間的なインターフェースを付けなくても良いからで
ある。BIOSはシステムに統合された一部であり、シ
ステム・プロセッサのデータの入出力の移動を制御され
るので、システム・プレーナ上に設置され、読取専用記
憶素子(ROM)としてユーザに出荷される。例えば、
原型のIBMパーソナル・コンピュータ内のBIOS
は、プレーナ・ボード上に設置されたROMの8Kバイ
トを占めていた。
【0008】パーソナル・コンピュータ・ファミリの新
機種が登場すると、BIOSは、新しいハードウェア及
び入出力装置を搭載するために改良され、拡張されなけ
ればならなかった。予測されたとおり、BIOSは、記
憶素子の量を増加し始めた。例えば、IBMのパーソナ
ル・コンピュータATの導入によって、BIOSはRO
Mの32Kバイトを必要とするようになった。
機種が登場すると、BIOSは、新しいハードウェア及
び入出力装置を搭載するために改良され、拡張されなけ
ればならなかった。予測されたとおり、BIOSは、記
憶素子の量を増加し始めた。例えば、IBMのパーソナ
ル・コンピュータATの導入によって、BIOSはRO
Mの32Kバイトを必要とするようになった。
【0009】今日、新技術の開発により、ファミリII
型パーソナル・コンピュータ・システムは非常に精巧に
なって進歩し、消費者にも入手しやすくなっている。技
術が急速に変わり、新しい入出力装置がパーソナル・コ
ンピュータ・システムに加わっているため、BIOSの
変更が、パーソナル・コンピュータ・システムの開発サ
イクルの中で重要な問題になってきた。
型パーソナル・コンピュータ・システムは非常に精巧に
なって進歩し、消費者にも入手しやすくなっている。技
術が急速に変わり、新しい入出力装置がパーソナル・コ
ンピュータ・システムに加わっているため、BIOSの
変更が、パーソナル・コンピュータ・システムの開発サ
イクルの中で重要な問題になってきた。
【0010】例えば、マイクロ・チャネル・アーキテク
チャを持つIBMのパーソナル・システム/2において
は、拡張BIOSあるいはABIOSとして知られる非
常に新しいBIOSが開発された。しかしながら、ソフ
トウェアの互換性を維持するために、ファミリI型から
のBIOSを、ファミリII型にも組み込む必要があっ
た。ファミリI型のBIOSは、互換BIOS、あるい
はCBIOSとして知られている。しかし、先に述べた
ように、IBMのパーソナル・コンピュータATは、3
2KバイトのROMしか、プレーナ・ボード上に設置さ
れていない。幸いに、このシステムはROMを96Kバ
イトまで拡張できるが、不運な点は、システムの制限の
ため、この96Kバイトが、BIOSに与えることので
きる最大の容量であることがわかったことである。運良
く、ABIOS及びCBIOSは、まだ96Kバイトの
ROMの中に押し込むことができた。しかしながら、9
6KバイトのROM領域のうちわずかな部分しか拡張の
ために残らなかった。将来的な入出力装置の追加につい
ては、最終的にCBIOSおよびABIOSが、ROM
空間からあふれてしまうと確信されている。このよう
に、新しい入出力技術は、容易にはCBIOS及びAB
IOS内に統合することができないであろう。
チャを持つIBMのパーソナル・システム/2において
は、拡張BIOSあるいはABIOSとして知られる非
常に新しいBIOSが開発された。しかしながら、ソフ
トウェアの互換性を維持するために、ファミリI型から
のBIOSを、ファミリII型にも組み込む必要があっ
た。ファミリI型のBIOSは、互換BIOS、あるい
はCBIOSとして知られている。しかし、先に述べた
ように、IBMのパーソナル・コンピュータATは、3
2KバイトのROMしか、プレーナ・ボード上に設置さ
れていない。幸いに、このシステムはROMを96Kバ
イトまで拡張できるが、不運な点は、システムの制限の
ため、この96Kバイトが、BIOSに与えることので
きる最大の容量であることがわかったことである。運良
く、ABIOS及びCBIOSは、まだ96Kバイトの
ROMの中に押し込むことができた。しかしながら、9
6KバイトのROM領域のうちわずかな部分しか拡張の
ために残らなかった。将来的な入出力装置の追加につい
ては、最終的にCBIOSおよびABIOSが、ROM
空間からあふれてしまうと確信されている。このよう
に、新しい入出力技術は、容易にはCBIOS及びAB
IOS内に統合することができないであろう。
【0011】これらの問題、及び開発サイクル内ででき
るだけ最新のファミリII型BIOSにおいて変更を行
いたいという要望のために、ROMからBIOS部をオ
フロードすることが必要になった。このことは、BIO
S部を固定ディスクのような大容量記憶装置上に、好ま
しくはシステム区画として知られるそのようなディスク
の定義された部分に記憶することで達成された。このシ
ステム区画はまた、システム参照ディスケットのイメー
ジも記憶しており、それは、システム構成などを確立す
る際に用いられるある種のユーティリティ・プログラム
を含んでいる。ディスクは読取りと同様に書込みも可能
なので、ディスク上の実際のBIOSコードを変更する
ことは実現可能になった。ディスクは、高速で効率の良
い方法でBIOSコードを記憶できるが、それにもかか
わらず、BIOSコードが不良になる可能性が非常に大
きくなった。BIOSは、オペレーティング・システム
に統合された一部であるため、BIOSの不良によっ
て、破壊的な結果を生じ、多くの場合システムが完全に
故障及び操作不能になる。このように、固定ディスク上
のBIOSコードの不当な変更を防ぐための手段が、切
実に望まれていることが、明らかとなった。これは、8
9年8月25日出願の米国出願398,820号で19
91年6月4日に特許された米国特許5,022,07
7号の解決しようとする課題である。この特許を参照す
れば、本発明を理解するのに役立つ付加的情報が得られ
る。またこの特許の開示内容は、ここに開示された本発
明の完全な理解のためこの明細書中に必要な部分を参照
することとする。
るだけ最新のファミリII型BIOSにおいて変更を行
いたいという要望のために、ROMからBIOS部をオ
フロードすることが必要になった。このことは、BIO
S部を固定ディスクのような大容量記憶装置上に、好ま
しくはシステム区画として知られるそのようなディスク
の定義された部分に記憶することで達成された。このシ
ステム区画はまた、システム参照ディスケットのイメー
ジも記憶しており、それは、システム構成などを確立す
る際に用いられるある種のユーティリティ・プログラム
を含んでいる。ディスクは読取りと同様に書込みも可能
なので、ディスク上の実際のBIOSコードを変更する
ことは実現可能になった。ディスクは、高速で効率の良
い方法でBIOSコードを記憶できるが、それにもかか
わらず、BIOSコードが不良になる可能性が非常に大
きくなった。BIOSは、オペレーティング・システム
に統合された一部であるため、BIOSの不良によっ
て、破壊的な結果を生じ、多くの場合システムが完全に
故障及び操作不能になる。このように、固定ディスク上
のBIOSコードの不当な変更を防ぐための手段が、切
実に望まれていることが、明らかとなった。これは、8
9年8月25日出願の米国出願398,820号で19
91年6月4日に特許された米国特許5,022,07
7号の解決しようとする課題である。この特許を参照す
れば、本発明を理解するのに役立つ付加的情報が得られ
る。またこの特許の開示内容は、ここに開示された本発
明の完全な理解のためこの明細書中に必要な部分を参照
することとする。
【0012】IBMのPS/2の導入によって、マイク
ロ・チャネル・システムは、入出力カード及びプレーナ
からスイッチとジャンパを取り除いた。マイクロ・チャ
ネル・アーキテクチャは、それらに替わってプログラム
可能なレジスタを提供する。このため、これらのプログ
ラム可能なレジスタあるいはプログラマブル・オプショ
ン・セレクト(POS)レジスタを構成するためのユー
ティリティが、必要となった。これらのユーティリテ
ィ、及び他のユーティリティは、システムの診断に従っ
て、システムの使用性を向上させるためのものであり、
それぞれのシステムにおいて、システム参照ディスケッ
トの上に搭載される。
ロ・チャネル・システムは、入出力カード及びプレーナ
からスイッチとジャンパを取り除いた。マイクロ・チャ
ネル・アーキテクチャは、それらに替わってプログラム
可能なレジスタを提供する。このため、これらのプログ
ラム可能なレジスタあるいはプログラマブル・オプショ
ン・セレクト(POS)レジスタを構成するためのユー
ティリティが、必要となった。これらのユーティリテ
ィ、及び他のユーティリティは、システムの診断に従っ
て、システムの使用性を向上させるためのものであり、
それぞれのシステムにおいて、システム参照ディスケッ
トの上に搭載される。
【0013】最初の使用に先立って、それぞれのマイク
ロ・チャネル・システムは、そのPOSレジスタを初期
化する必要がある。例えば、システムに新しい入出力カ
ードを立ち上げた場合、あるいは入出力カード用のスロ
ットを変えた場合、構成エラーが発生し、そのシステム
立ち上げ手続きが停止する。ユーザは、それからシステ
ム参照ディスケットをロードし、F1キーを押すように
指示される。そうすると、”構成設定ユーティリティ”
をシステム参照ディスケットから立ち上げることがで
き、システムを構成する。構成設定ユーティリティは、
ユーザに対し必要な操作を指示する。もし適当な入出力
カードの記述ファイルが、システム参照ディスケット上
にロードされれば、構成設定ユーティリティは、正しい
POSあるいは不揮発性記憶素子内の構成データを作成
する。記述ファイルは、そのカードのシステムへのイン
ターフェースのための構成情報を含んでいる。
ロ・チャネル・システムは、そのPOSレジスタを初期
化する必要がある。例えば、システムに新しい入出力カ
ードを立ち上げた場合、あるいは入出力カード用のスロ
ットを変えた場合、構成エラーが発生し、そのシステム
立ち上げ手続きが停止する。ユーザは、それからシステ
ム参照ディスケットをロードし、F1キーを押すように
指示される。そうすると、”構成設定ユーティリティ”
をシステム参照ディスケットから立ち上げることがで
き、システムを構成する。構成設定ユーティリティは、
ユーザに対し必要な操作を指示する。もし適当な入出力
カードの記述ファイルが、システム参照ディスケット上
にロードされれば、構成設定ユーティリティは、正しい
POSあるいは不揮発性記憶素子内の構成データを作成
する。記述ファイルは、そのカードのシステムへのイン
ターフェースのための構成情報を含んでいる。
【0014】
【発明が解決しようとする課題】本発明の目的は、冷却
風を流したり取り外し可能な媒体を挿入するなどの正規
の目的でパーソナル・コンピュータ・システムの格納装
置に備えられている開口部の中へ、何らかの形のプロー
ブ(probe:探査針)を挿入することによって、パ
ーソナル・コンピュータ・システムのセキュリティ機構
の素子(element)を損なおうとする無許可ユー
ザの試み(プローブによる攻撃)に対して、トラステッ
ド・パーソナル・コンピュータ・システムを保護するこ
とにある。
風を流したり取り外し可能な媒体を挿入するなどの正規
の目的でパーソナル・コンピュータ・システムの格納装
置に備えられている開口部の中へ、何らかの形のプロー
ブ(probe:探査針)を挿入することによって、パ
ーソナル・コンピュータ・システムのセキュリティ機構
の素子(element)を損なおうとする無許可ユー
ザの試み(プローブによる攻撃)に対して、トラステッ
ド・パーソナル・コンピュータ・システムを保護するこ
とにある。
【0015】
【課題を解決するための手段】本発明によれば、複数の
セキュリティ機構の素子が、安全保護及び非安全保護の
活動状態を選択できるように格納装置内に装着されてお
り、しかもそれらは、無許可ユーザが開口部にプローブ
を挿入することによってセキュリティ機構の素子のいず
れかの動作を損なおうと試みても、アクセスすることの
できない位置に設置されている。
セキュリティ機構の素子が、安全保護及び非安全保護の
活動状態を選択できるように格納装置内に装着されてお
り、しかもそれらは、無許可ユーザが開口部にプローブ
を挿入することによってセキュリティ機構の素子のいず
れかの動作を損なおうと試みても、アクセスすることの
できない位置に設置されている。
【0016】
【実施例】以下に本発明を、好ましい実施例を示した図
を参照してより詳細に記述するが、説明を始めるにあた
って、適切な当業者であれば本発明の有用な効果を得よ
うとしてここに記述された発明を修正することもあると
考えられる。したがって、以下の記述は、一般的な技術
者に指示するための大まかな、説明のための開示であっ
て、本発明を限定するものではない。
を参照してより詳細に記述するが、説明を始めるにあた
って、適切な当業者であれば本発明の有用な効果を得よ
うとしてここに記述された発明を修正することもあると
考えられる。したがって、以下の記述は、一般的な技術
者に指示するための大まかな、説明のための開示であっ
て、本発明を限定するものではない。
【0017】以下の、いくつかの定義された用語がここ
で使用される。
で使用される。
【0018】トラステッド・コンピューティング・ベー
ス(TCB): コンピュータ・システム内の保護機構
全体であり、ハードウェア、ファームウェア、ソフトウ
ェアを含む。それらの組合せが、セキュリティ方策(se
curity policy)の強制に対して責任を追う。TCBは
一つ以上の構成部分からなり、それらがまとまって製品
あるいはシステム全体の統合されたセキュリティ方策を
強制する。セキュリティ方策を正確に強制するためのT
CBの能力は、TCB内の機構とシステム管理人による
セキュリティ方策に関するパラメータ(例えばユーザの
取り扱い許可)のみに依存する。
ス(TCB): コンピュータ・システム内の保護機構
全体であり、ハードウェア、ファームウェア、ソフトウ
ェアを含む。それらの組合せが、セキュリティ方策(se
curity policy)の強制に対して責任を追う。TCBは
一つ以上の構成部分からなり、それらがまとまって製品
あるいはシステム全体の統合されたセキュリティ方策を
強制する。セキュリティ方策を正確に強制するためのT
CBの能力は、TCB内の機構とシステム管理人による
セキュリティ方策に関するパラメータ(例えばユーザの
取り扱い許可)のみに依存する。
【0019】トラステッド・ソフトウェア: トラステ
ッド・コンピューティング・ベース(TCB)のソフト
ウェア部分。
ッド・コンピューティング・ベース(TCB)のソフト
ウェア部分。
【0020】トラステッド・プログラム: トラステッ
ド・ソフトウェアに含まれるプログラム。
ド・ソフトウェアに含まれるプログラム。
【0021】オープン・プログラム: トラステッド・
コンピューティング・ベース(TCB)上で操作できる
プログラムで、トラステッド・プログラム以外のもの。
コンピューティング・ベース(TCB)上で操作できる
プログラムで、トラステッド・プログラム以外のもの。
【0022】参照モニタ・コンセプト: サブジェクト
によるオブジェクトへのすべてのアクセスを調停する抽
象マシンを参照するアクセス制御構想。
によるオブジェクトへのすべてのアクセスを調停する抽
象マシンを参照するアクセス制御構想。
【0023】セキュリティ・カーネル: 参照モニタ・
コンセプトを実行するトラステッド・コンピューティン
グ・ベースのハードウェア、ファームウェア、ソフトウ
ェアの要素である。これは、すべてのアクセスを調停
し、変更から保護され、かつ、正確なものと確証可能で
なければならない。
コンセプトを実行するトラステッド・コンピューティン
グ・ベースのハードウェア、ファームウェア、ソフトウ
ェアの要素である。これは、すべてのアクセスを調停
し、変更から保護され、かつ、正確なものと確証可能で
なければならない。
【0024】トラステッド・コンピュータ・システム:
機密性のある、あるいは分類された情報の領域を同時
に処理するために使用できる、十分なハードウェアとソ
フトウェアの保全手段を備えたシステム。
機密性のある、あるいは分類された情報の領域を同時
に処理するために使用できる、十分なハードウェアとソ
フトウェアの保全手段を備えたシステム。
【0025】システム・オーナー: システム・オーナ
ーは、最初に、安全保護モードにシステムを構成し設置
する責任のあるユーザである。システム・オーナーは、
初期設定時及び必要なときはいつでも構成を制御する。
システム・オーナーは、特権アクセス・パスワードを制
御しまたその保全性を維持する責任がある。システムオ
ーナーはまた、不正検知カバー錠機構の鍵の物理的セキ
ュリティを図る責任を負う。システム・オーナーは、す
べてのシステム上の経過記録のセキュリティにも責任が
ある。システム・オーナーは、一つ以上のシステムを所
有することがある。システム・オーナーは、特権ユーザ
と考えられ、かつ一般ユーザであっても良い。
ーは、最初に、安全保護モードにシステムを構成し設置
する責任のあるユーザである。システム・オーナーは、
初期設定時及び必要なときはいつでも構成を制御する。
システム・オーナーは、特権アクセス・パスワードを制
御しまたその保全性を維持する責任がある。システムオ
ーナーはまた、不正検知カバー錠機構の鍵の物理的セキ
ュリティを図る責任を負う。システム・オーナーは、す
べてのシステム上の経過記録のセキュリティにも責任が
ある。システム・オーナーは、一つ以上のシステムを所
有することがある。システム・オーナーは、特権ユーザ
と考えられ、かつ一般ユーザであっても良い。
【0026】安全保護モード: セキュリティ要素及び
保全性要素によって提供されるセキュリティ保護を呼込
むために、システム・オーナーが、パーソナル・コンピ
ュータ上に、首尾よく特権アクセス・パスワードを導入
したときのモード。
保全性要素によって提供されるセキュリティ保護を呼込
むために、システム・オーナーが、パーソナル・コンピ
ュータ上に、首尾よく特権アクセス・パスワードを導入
したときのモード。
【0027】特権ユーザ: 特権アクセス・パスワード
の使用を許可されたすべてのユーザ。特権ユーザは、シ
ステム・オーナーであってもなくても良い。特権ユーザ
は、特定のあるいは一組のシステムの鍵を所有しても良
い。セキュリティの漏洩からシステムを回復する際に、
特権ユーザが関係する場合は、そのことをシステム・オ
ーナーに報告する責任がある。特権ユーザは、一般ユー
ザであっても良い。
の使用を許可されたすべてのユーザ。特権ユーザは、シ
ステム・オーナーであってもなくても良い。特権ユーザ
は、特定のあるいは一組のシステムの鍵を所有しても良
い。セキュリティの漏洩からシステムを回復する際に、
特権ユーザが関係する場合は、そのことをシステム・オ
ーナーに報告する責任がある。特権ユーザは、一般ユー
ザであっても良い。
【0028】一般ユーザ: システム機能を使用するこ
とを許可されたすべてのユーザ。システム構成を変更す
るため、あるいは問題を特定するために、一般ユーザ
は、システム・オーナーあるいは特権ユーザに援助を求
める。一般ユーザは、特権ユーザかシステム・オーナー
を兼ねていないかぎり、特権アクセス・パスワードある
いは不正検知カバー錠機構の鍵(tamper evident cover
keylock key)を所有していない。
とを許可されたすべてのユーザ。システム構成を変更す
るため、あるいは問題を特定するために、一般ユーザ
は、システム・オーナーあるいは特権ユーザに援助を求
める。一般ユーザは、特権ユーザかシステム・オーナー
を兼ねていないかぎり、特権アクセス・パスワードある
いは不正検知カバー錠機構の鍵(tamper evident cover
keylock key)を所有していない。
【0029】無許可ユーザ: システム・オーナー、特
権ユーザ、一般ユーザ以外のすべての者。安全保護され
たパーソナル・コンピュータ・システムにおける無許可
ユーザによるどのような使用も、電源が起動しなかった
場合を除いて、セキュリティの漏洩とみなされる。その
ような漏洩を明らかにするために追跡監査が行われなけ
ればならない。
権ユーザ、一般ユーザ以外のすべての者。安全保護され
たパーソナル・コンピュータ・システムにおける無許可
ユーザによるどのような使用も、電源が起動しなかった
場合を除いて、セキュリティの漏洩とみなされる。その
ような漏洩を明らかにするために追跡監査が行われなけ
ればならない。
【0030】EEPROM: 電気的に書換え可能な読
取専用記憶素子。この記憶素子技術によって、データの
不揮発性記憶が、ハードウェア論理の制御の下で変更可
能になる。記憶素子の内容は、電源を切っても失われな
い。その内容は、モジュールへの適切な制御信号が、あ
らかじめ決められた手順で与えられたときのみ、書換え
られる。
取専用記憶素子。この記憶素子技術によって、データの
不揮発性記憶が、ハードウェア論理の制御の下で変更可
能になる。記憶素子の内容は、電源を切っても失われな
い。その内容は、モジュールへの適切な制御信号が、あ
らかじめ決められた手順で与えられたときのみ、書換え
られる。
【0031】パスワード記述: システムは、二つのパ
スワードによって保護される機能を有している。即ち、
一つは、特権アクセス・パスワード(PAP)、もう一
つはは、電源起動パスワード(POP)である。これら
のパスワードは、互いに独立に使用されるようになって
いる。PAPは、初期プログラムロード(IPL)装置
立上げリスト、パスワード・ユーティリティへのアクセ
ス、及びシステム参照ディスケットあるいはシステム区
画へのアクセスを保護することによって、システムオー
ナーを保護できるように設計されている。システム区画
は、PAPが導入されていないかあるいは電源起動手順
の間にPAPが初期入力された場合に、POSTエラー
に応答して(あるいはウォーム立上げの際)のみ立ち上
げられる。ディスケットからの初期BIOSロード(I
BL)は、システム参照ディスケットを立ち上げるのと
同じ方法で安全保護を図られる。PAPの存在は、PO
Pを使用する一般ユーザには意識されない。PAPは、
システム参照ディスケットあるいはシステム区画内のユ
ーティリティによって導入、変更、あるいは削除され
る。PAPが正しくセットされて入力されたとき、PO
Pに優先して、オーナーは、システム全体にアクセスで
きる。POPは、現在のすべてのPS/2システム上で
有効であり、DASD上のオペレーティング・システム
あるいはシステム機能への無許可のアクセスを防ぐため
に使用される。
スワードによって保護される機能を有している。即ち、
一つは、特権アクセス・パスワード(PAP)、もう一
つはは、電源起動パスワード(POP)である。これら
のパスワードは、互いに独立に使用されるようになって
いる。PAPは、初期プログラムロード(IPL)装置
立上げリスト、パスワード・ユーティリティへのアクセ
ス、及びシステム参照ディスケットあるいはシステム区
画へのアクセスを保護することによって、システムオー
ナーを保護できるように設計されている。システム区画
は、PAPが導入されていないかあるいは電源起動手順
の間にPAPが初期入力された場合に、POSTエラー
に応答して(あるいはウォーム立上げの際)のみ立ち上
げられる。ディスケットからの初期BIOSロード(I
BL)は、システム参照ディスケットを立ち上げるのと
同じ方法で安全保護を図られる。PAPの存在は、PO
Pを使用する一般ユーザには意識されない。PAPは、
システム参照ディスケットあるいはシステム区画内のユ
ーティリティによって導入、変更、あるいは削除され
る。PAPが正しくセットされて入力されたとき、PO
Pに優先して、オーナーは、システム全体にアクセスで
きる。POPは、現在のすべてのPS/2システム上で
有効であり、DASD上のオペレーティング・システム
あるいはシステム機能への無許可のアクセスを防ぐため
に使用される。
【0032】添付の図面を参照すると、本発明を実施し
たマイクロコンピュータが、図1の10で示されてい
る。上記したように、コンピュータ10は、関連するモ
ニタ11、鍵盤装置12、及び印刷装置又はプロッタ1
4を備えている。図2に示すように、コンピュータ10
は、シャーシ19と組み合わされたカバー15を有し、
デジタル・データを処理及び記憶するための電気的に稼
働するデータの処理及び記憶部品を収納する、外装され
シールドされた本体を形成する。。図2に示された形態
では、コンピュータ10はまた、随意の入出力ケーブル
接続のカバー16を有し、コンピュータシステムの入出
力ケーブルの接続部を覆い、保護している。少なくとも
ある種のシステム部品は、多層プレーナ20(ここで
は、マザーボードあるいはシステム・ボードともいう)
上に装着されている。多層プレーナは、シャーシ19に
取り付けられ、先に明示したもの及びフロッピ・ディス
ク装置、種々の形の直接アクセス記憶装置、アクセサリ
ー・カードあるいはボード等の関連素子を含むコンピュ
ータ10の構成部品を電気的に内部接続するための手段
となっている。
たマイクロコンピュータが、図1の10で示されてい
る。上記したように、コンピュータ10は、関連するモ
ニタ11、鍵盤装置12、及び印刷装置又はプロッタ1
4を備えている。図2に示すように、コンピュータ10
は、シャーシ19と組み合わされたカバー15を有し、
デジタル・データを処理及び記憶するための電気的に稼
働するデータの処理及び記憶部品を収納する、外装され
シールドされた本体を形成する。。図2に示された形態
では、コンピュータ10はまた、随意の入出力ケーブル
接続のカバー16を有し、コンピュータシステムの入出
力ケーブルの接続部を覆い、保護している。少なくとも
ある種のシステム部品は、多層プレーナ20(ここで
は、マザーボードあるいはシステム・ボードともいう)
上に装着されている。多層プレーナは、シャーシ19に
取り付けられ、先に明示したもの及びフロッピ・ディス
ク装置、種々の形の直接アクセス記憶装置、アクセサリ
ー・カードあるいはボード等の関連素子を含むコンピュ
ータ10の構成部品を電気的に内部接続するための手段
となっている。
【0033】シャーシ19は、底面及び背面パネル(図
2のように、ケーブル接続カバー16で外部を覆われる
場合もある。)を有し、磁気あるいは光学ディスク、テ
ープ・バックアップ装置などのためのディスク装置のよ
うなデータ記憶装置を収納するために、少なくとも一つ
の空いた部分を設定している。図示された形態では、上
部の空間22は、ある大きさの周辺機器駆動機構(3.
5インチ駆動機構として知られている様なもの)を受容
するのに適合している。フロッピー・ディスク装置は、
この上部空間22に備え付けても良い。それは、一般に
知られているように取り外しできる媒体の直接アクセス
記憶装置で、その中にディスケットを挿入することがで
き、またデータを受信し、記憶し、送り出すためにディ
スケットを使用することができる。
2のように、ケーブル接続カバー16で外部を覆われる
場合もある。)を有し、磁気あるいは光学ディスク、テ
ープ・バックアップ装置などのためのディスク装置のよ
うなデータ記憶装置を収納するために、少なくとも一つ
の空いた部分を設定している。図示された形態では、上
部の空間22は、ある大きさの周辺機器駆動機構(3.
5インチ駆動機構として知られている様なもの)を受容
するのに適合している。フロッピー・ディスク装置は、
この上部空間22に備え付けても良い。それは、一般に
知られているように取り外しできる媒体の直接アクセス
記憶装置で、その中にディスケットを挿入することがで
き、またデータを受信し、記憶し、送り出すためにディ
スケットを使用することができる。
【0034】上記の構造を本発明と関連付ける前に、パ
ーソナル・コンピュータ・システム10の一般的な操作
の概要を、説明する。図3は、本発明に沿ったシステム
10のようなコンピュータ・システムの種々の構成部分
を図示したパーソナル・コンピュータ・システムのブロ
ック図である。その中には、プレーナ20に装着された
構成部分、プレーナの入出力スロットへの接続部、及び
他のパーソナル・コンピュータ・システムのハードウェ
アが含まれる。プレーナに接続されているのは、システ
ム・プロセッサ32である。CPU32としては、適当
なマイクロプロセッサを用いることができる。適当なマ
イクロプロセッサの一つは、INTEL社の80386
である。CPU32は、高速CPUローカル・バス34
によって、バス・インターフェース制御ユニット35、
ここではシングル・インライン記憶素子モジュール(S
IMM)として示されている揮発性ランダム・アクセス
記憶素子(RAM)36、及びCPU32への基本入出
力操作のための命令を記憶したBIOS ROM38に
接続される。BIOS ROM38は、入出力装置との
インターフェースに使用されるBIOSとマイクロプロ
セッサ32のオペレーティング・システムを含む。BI
OS ROM38に記憶された命令は、BIOSの実行
時間を短縮するためにRAM36内に複写することがで
きる。またシステムは、汎用性を持たせるためバッテリ
ー付きの不揮発性記憶素子(普通は、CMOS RA
M)を備えた回路部品を有しており、それによって、シ
ステム構成と実時間クロック(RTC)68(図3及び
図4)に関するデータを受信したり保存したりする。
ーソナル・コンピュータ・システム10の一般的な操作
の概要を、説明する。図3は、本発明に沿ったシステム
10のようなコンピュータ・システムの種々の構成部分
を図示したパーソナル・コンピュータ・システムのブロ
ック図である。その中には、プレーナ20に装着された
構成部分、プレーナの入出力スロットへの接続部、及び
他のパーソナル・コンピュータ・システムのハードウェ
アが含まれる。プレーナに接続されているのは、システ
ム・プロセッサ32である。CPU32としては、適当
なマイクロプロセッサを用いることができる。適当なマ
イクロプロセッサの一つは、INTEL社の80386
である。CPU32は、高速CPUローカル・バス34
によって、バス・インターフェース制御ユニット35、
ここではシングル・インライン記憶素子モジュール(S
IMM)として示されている揮発性ランダム・アクセス
記憶素子(RAM)36、及びCPU32への基本入出
力操作のための命令を記憶したBIOS ROM38に
接続される。BIOS ROM38は、入出力装置との
インターフェースに使用されるBIOSとマイクロプロ
セッサ32のオペレーティング・システムを含む。BI
OS ROM38に記憶された命令は、BIOSの実行
時間を短縮するためにRAM36内に複写することがで
きる。またシステムは、汎用性を持たせるためバッテリ
ー付きの不揮発性記憶素子(普通は、CMOS RA
M)を備えた回路部品を有しており、それによって、シ
ステム構成と実時間クロック(RTC)68(図3及び
図4)に関するデータを受信したり保存したりする。
【0035】本発明を、特に図3のシステムブロック図
を参照して説明する。以下に続く説明によって、本発明
による装置及び方法が、プレーナ・ボードの他のハード
ウェア構成にも使用できることが理解される。例えば、
システム・プロセッサは、INTELの80286ある
いは80486マイクロプロセッサでも良い。
を参照して説明する。以下に続く説明によって、本発明
による装置及び方法が、プレーナ・ボードの他のハード
ウェア構成にも使用できることが理解される。例えば、
システム・プロセッサは、INTELの80286ある
いは80486マイクロプロセッサでも良い。
【0036】図3に戻って、CPUローカルバス34
(データ、アドレス、制御部分から成る)によって、マ
イクロプロセッサ32を、数値演算コプロセッサ39及
び小型コンピュータ・システム・インターフェース(S
CSI)制御装置40とも接続できる。SCSI制御装
置40は、コンピュータ設計及び操作技術者には知られ
ているが、ROM41、RAM42、及び図3右側に示
された入出力接続部によって種々の型式の適当な内部あ
るいは外部装置へ容易に接続され、また接続可能であ
る。SCSI制御装置40は、固定及び着脱可能な媒体
の電気磁気的記憶装置(ハード及びフロッピーデイスク
駆動機構としても知られる)、電気光学的、テープ及び
他の記憶装置等の記憶装置を制御する場合の、記憶装置
制御装置として機能する。
(データ、アドレス、制御部分から成る)によって、マ
イクロプロセッサ32を、数値演算コプロセッサ39及
び小型コンピュータ・システム・インターフェース(S
CSI)制御装置40とも接続できる。SCSI制御装
置40は、コンピュータ設計及び操作技術者には知られ
ているが、ROM41、RAM42、及び図3右側に示
された入出力接続部によって種々の型式の適当な内部あ
るいは外部装置へ容易に接続され、また接続可能であ
る。SCSI制御装置40は、固定及び着脱可能な媒体
の電気磁気的記憶装置(ハード及びフロッピーデイスク
駆動機構としても知られる)、電気光学的、テープ及び
他の記憶装置等の記憶装置を制御する場合の、記憶装置
制御装置として機能する。
【0037】バス・インターフェース制御装置(BI
C)35は、CPUローカルバス34と入出力バス44
を結合する。バス44によって、BIC35は、マイク
ロ・チャネル・バスのような選択機構バスと結合され
る。マイクロ・チャネル・バスは、マイクロ・チャネル
・アダプタ・カード45を収納するための複数の入出力
スロットを有し、マイクロ・チャネル・アダプタ・カー
ド45はさらに、入出力装置あるいは記憶装置(図示せ
ず)に接続されることもある。入出力バス44は、アド
レス、データ、及び制御要素を含む。
C)35は、CPUローカルバス34と入出力バス44
を結合する。バス44によって、BIC35は、マイク
ロ・チャネル・バスのような選択機構バスと結合され
る。マイクロ・チャネル・バスは、マイクロ・チャネル
・アダプタ・カード45を収納するための複数の入出力
スロットを有し、マイクロ・チャネル・アダプタ・カー
ド45はさらに、入出力装置あるいは記憶装置(図示せ
ず)に接続されることもある。入出力バス44は、アド
レス、データ、及び制御要素を含む。
【0038】入出力バス44に沿って結合されているも
のは、画像信号処理装置(VSP)46のような種々の
入出力部品である。画像信号処理装置46は、グラフィ
ック情報を記憶し(48で示す)またイメージ情報を記
憶する(49で示す)ビデオRAM(VRAM)に関係
する。処理装置46によって交換された画像信号は、デ
ィジタル・アナログ変換器(DAC)50を通してモニ
タまたは他の表示装置へ送られる。VSP46を、カメ
ラなどの画像記録再生装置の形態を取る、いわゆる自然
な入出力と直接に接続することも可能である。入出力バ
ス44はまた、ソフトウェア命令を記憶できる命令RA
M52とデータRAM54に関連するディジタル信号処
理装置(DSP)と結合されている。ソフトウェア命令
は、DSP51による信号処理とその処理に含まれるデ
ータ処理のために使用される。DSP51によって、音
声制御装置55の設置による音声入力及び出力の処理が
できる。また、アナログ・インターフェース制御装置5
6に設置による他の信号も扱える。最後に、入出力バス
44は、入出力制御装置58に結合される。入出力制御
装置58は、関連する電気的に書換え可能な読取専用記
憶素子(EEPROM)59を持ち、それによって入力
及び出力を、汎用的な周辺機器と交換する。制御装置5
8は、通常の周辺機器と交換する入力及び出力を制御す
る。周辺機器には、フロッピー・ディスク駆動装置、印
刷装置あるいはプロッタ14、鍵盤装置12、マウスあ
るいはポインティング(図示せず)が含まれ、シリアル
・ポートによって行う。EEPROMは、後述するセキ
ュリティ機構の中で機能する。
のは、画像信号処理装置(VSP)46のような種々の
入出力部品である。画像信号処理装置46は、グラフィ
ック情報を記憶し(48で示す)またイメージ情報を記
憶する(49で示す)ビデオRAM(VRAM)に関係
する。処理装置46によって交換された画像信号は、デ
ィジタル・アナログ変換器(DAC)50を通してモニ
タまたは他の表示装置へ送られる。VSP46を、カメ
ラなどの画像記録再生装置の形態を取る、いわゆる自然
な入出力と直接に接続することも可能である。入出力バ
ス44はまた、ソフトウェア命令を記憶できる命令RA
M52とデータRAM54に関連するディジタル信号処
理装置(DSP)と結合されている。ソフトウェア命令
は、DSP51による信号処理とその処理に含まれるデ
ータ処理のために使用される。DSP51によって、音
声制御装置55の設置による音声入力及び出力の処理が
できる。また、アナログ・インターフェース制御装置5
6に設置による他の信号も扱える。最後に、入出力バス
44は、入出力制御装置58に結合される。入出力制御
装置58は、関連する電気的に書換え可能な読取専用記
憶素子(EEPROM)59を持ち、それによって入力
及び出力を、汎用的な周辺機器と交換する。制御装置5
8は、通常の周辺機器と交換する入力及び出力を制御す
る。周辺機器には、フロッピー・ディスク駆動装置、印
刷装置あるいはプロッタ14、鍵盤装置12、マウスあ
るいはポインティング(図示せず)が含まれ、シリアル
・ポートによって行う。EEPROMは、後述するセキ
ュリティ機構の中で機能する。
【0039】本明細書に記載されている、パーソナル・
コンピュータ・システムの安全保護を図る目的の達成に
おいて、パーソナル・コンピュータ・システム10は、
システム格納装置内に装着された書換え可能な記憶素子
を有する。この記憶素子は、活動状態と非活動状態を選
択的に操作し、活動状態にあるときに、特権アクセス・
パスワード(後により厳密に説明する)を受信し記憶す
るためのものである。書換え可能な記憶素子は、好まし
くは、上記の電気的に書換え可能な読取専用記憶素子あ
るいはEEPROM59(図3)の少なくとも一つの領
域あるいは一部である。システムはまた、格納装置内に
装着された選択スイッチあるいはセキュリティ・スイッ
チを有している。当該スイッチは操作により(operativ
ely)、書換え可能な記憶素子59と接続され、記憶素
子を活動状態及び非活動状態にセットする。選択スイッ
チ(本明細書の中ではセキュリティ・スイッチともい
う)は、例えば、システム・プレーナ20上に装着され
たジャンパであって、プレーナにアクセスする人間の手
動によって二つの状態にセットできるものがある。一つ
の状態(本明細書の中では、書込み可能状態あるいは非
ロック状態ともいわれる)において、EEPROM59
は活動状態にセットされ、ここで記述したPAPを記憶
する。書込み可能状態では、PAPをEEPROMに書
込み、変更、あるいは削除することができる。他の状態
または非活動状態(本明細書の中では、書込み不能状態
あるいはロック状態ともいわれる)では、EEPROM
のPAP記憶能力は、非活動状態にセットされる。
コンピュータ・システムの安全保護を図る目的の達成に
おいて、パーソナル・コンピュータ・システム10は、
システム格納装置内に装着された書換え可能な記憶素子
を有する。この記憶素子は、活動状態と非活動状態を選
択的に操作し、活動状態にあるときに、特権アクセス・
パスワード(後により厳密に説明する)を受信し記憶す
るためのものである。書換え可能な記憶素子は、好まし
くは、上記の電気的に書換え可能な読取専用記憶素子あ
るいはEEPROM59(図3)の少なくとも一つの領
域あるいは一部である。システムはまた、格納装置内に
装着された選択スイッチあるいはセキュリティ・スイッ
チを有している。当該スイッチは操作により(operativ
ely)、書換え可能な記憶素子59と接続され、記憶素
子を活動状態及び非活動状態にセットする。選択スイッ
チ(本明細書の中ではセキュリティ・スイッチともい
う)は、例えば、システム・プレーナ20上に装着され
たジャンパであって、プレーナにアクセスする人間の手
動によって二つの状態にセットできるものがある。一つ
の状態(本明細書の中では、書込み可能状態あるいは非
ロック状態ともいわれる)において、EEPROM59
は活動状態にセットされ、ここで記述したPAPを記憶
する。書込み可能状態では、PAPをEEPROMに書
込み、変更、あるいは削除することができる。他の状態
または非活動状態(本明細書の中では、書込み不能状態
あるいはロック状態ともいわれる)では、EEPROM
のPAP記憶能力は、非活動状態にセットされる。
【0040】上記したように、システム10はまた、書
換え可能な記憶能力を有する第2の構成要素を備えてい
る。いわゆるバッテリ付きの不揮発性CMOS RAM
及び関連する実時間クロック(RTC)であり、図4中
に68で示されている。CMOS RAMは、システム
構成を表すデータを記憶する。本発明においては、それ
は、システム10の電源起動時に、正しくPAPを入力
することに関するデータを含む。少なくとも一つの不正
検知スイッチ(図4、5、6)が格納装置内に装着され
て提供されており、操作によりCMOS RAMと接続
されて、格納装置が開けられたことを検知する。また不
正検知スイッチが入ることに応答してその記憶素子内に
記憶された特定のデータをクリアまたはセットする。
換え可能な記憶能力を有する第2の構成要素を備えてい
る。いわゆるバッテリ付きの不揮発性CMOS RAM
及び関連する実時間クロック(RTC)であり、図4中
に68で示されている。CMOS RAMは、システム
構成を表すデータを記憶する。本発明においては、それ
は、システム10の電源起動時に、正しくPAPを入力
することに関するデータを含む。少なくとも一つの不正
検知スイッチ(図4、5、6)が格納装置内に装着され
て提供されており、操作によりCMOS RAMと接続
されて、格納装置が開けられたことを検知する。また不
正検知スイッチが入ることに応答してその記憶素子内に
記憶された特定のデータをクリアまたはセットする。
【0041】本発明によるシステム・プロセッサ32
は、操作上EEPROM59及びCMOS RAM68
と接続されており、記憶素子のPAP記憶能力の活動及
び非活動状態を区別しまた、記憶された有効な特権アク
セス・パスワード(PAP)のユーザによる入力及び非
入力を区別することによって、システム内に記憶された
データの少なくとも特定のレベルまでのデータへのアク
セスを制御する機能を果たす。選択スイッチを操作する
ことによって、システムのオペレータ(あるいは、より
特別な場合は、セキュリティを監督し維持する責任のあ
る人間)は、EEPROMの活動及び非活動のそれぞれ
の状態を選択することによって、システムの安全保護モ
ードの操作と非安全保護モードの操作の選択をすること
ができる。もし、安全保護モードの操作が要求されて、
それが有効になると、システム・オーナーはPAPの入
力も行う必要がある。
は、操作上EEPROM59及びCMOS RAM68
と接続されており、記憶素子のPAP記憶能力の活動及
び非活動状態を区別しまた、記憶された有効な特権アク
セス・パスワード(PAP)のユーザによる入力及び非
入力を区別することによって、システム内に記憶された
データの少なくとも特定のレベルまでのデータへのアク
セスを制御する機能を果たす。選択スイッチを操作する
ことによって、システムのオペレータ(あるいは、より
特別な場合は、セキュリティを監督し維持する責任のあ
る人間)は、EEPROMの活動及び非活動のそれぞれ
の状態を選択することによって、システムの安全保護モ
ードの操作と非安全保護モードの操作の選択をすること
ができる。もし、安全保護モードの操作が要求されて、
それが有効になると、システム・オーナーはPAPの入
力も行う必要がある。
【0042】ここに開示したように、セキュリティの問
題に適応した本発明によるシステムは、二つの別々の不
揮発性で書換え可能な記憶素子、EEPROM及びCM
OSRAMを有している。なぜなら、本発明の時点で
は、EEPROMの消去書込サイクルの回数に関する寿
命が限られているからである。しかるに、PAPの状態
の表示及び正確なPAPの入力においては、少なくとも
何らかの不正によってシステム格納装置が開けられる場
合と潜在的に同程度に、膨大な消去及び書込回数を必要
とする。したがって、ここに記述された機能は、現在実
施可能な技術に合わせるために、第1と第2の書換え可
能な記憶装置に分けられた。しかしながら、本発明で
は、技術的に可能であるか、あるいはシステム設計者が
付随する制限を許容する意志があるなら、関連するデー
タの二つの形態を一つの書換え可能な記憶素子内に記憶
させることが可能であると考えている。
題に適応した本発明によるシステムは、二つの別々の不
揮発性で書換え可能な記憶素子、EEPROM及びCM
OSRAMを有している。なぜなら、本発明の時点で
は、EEPROMの消去書込サイクルの回数に関する寿
命が限られているからである。しかるに、PAPの状態
の表示及び正確なPAPの入力においては、少なくとも
何らかの不正によってシステム格納装置が開けられる場
合と潜在的に同程度に、膨大な消去及び書込回数を必要
とする。したがって、ここに記述された機能は、現在実
施可能な技術に合わせるために、第1と第2の書換え可
能な記憶装置に分けられた。しかしながら、本発明で
は、技術的に可能であるか、あるいはシステム設計者が
付随する制限を許容する意志があるなら、関連するデー
タの二つの形態を一つの書換え可能な記憶素子内に記憶
させることが可能であると考えている。
【0043】図4から7の概略図を参照して、本発明に
寄与するハードウエアの一例をここでより詳細に記述す
る。
寄与するハードウエアの一例をここでより詳細に記述す
る。
【0044】図4は、汎用的な電源制御あるいは”オン
/オフ”スイッチ61、汎用的な電源62、主カバー1
5及びケーブル接続カバー16などの格納装置カバーが
開けられたりあるいは取り外されたことに対して導通状
態を変更するスイッチ、及び錠スイッチ64の間の関係
を示している。格納装置カバーが開けられたりあるいは
取り外されたことに対して導通状態を変更するスイッチ
は、本発明で図示された形態においては、二個から成
る。つまり、主カバー15の取り外しに対応するスイッ
チ65(図4、5、6)と、ケーブル接続カバー16の
取り外しに対応するスイッチ66(図4、5、7)であ
る。それぞれのスイッチは、二つの要素を持ち、一つは
通常、開(それぞれ65a、66a)であり、もう一つ
は通常、閉(それぞれ65b、66b)である。第2の
スイッチ66は、選択的なものであり、ケーブル接続カ
バー16用である。しかしながら、この開示における十
分な検討から明らかにされるように、選択的なカバー及
びスイッチによって、システムのより完璧なセキュリテ
ィ制御が保証される。
/オフ”スイッチ61、汎用的な電源62、主カバー1
5及びケーブル接続カバー16などの格納装置カバーが
開けられたりあるいは取り外されたことに対して導通状
態を変更するスイッチ、及び錠スイッチ64の間の関係
を示している。格納装置カバーが開けられたりあるいは
取り外されたことに対して導通状態を変更するスイッチ
は、本発明で図示された形態においては、二個から成
る。つまり、主カバー15の取り外しに対応するスイッ
チ65(図4、5、6)と、ケーブル接続カバー16の
取り外しに対応するスイッチ66(図4、5、7)であ
る。それぞれのスイッチは、二つの要素を持ち、一つは
通常、開(それぞれ65a、66a)であり、もう一つ
は通常、閉(それぞれ65b、66b)である。第2の
スイッチ66は、選択的なものであり、ケーブル接続カ
バー16用である。しかしながら、この開示における十
分な検討から明らかにされるように、選択的なカバー及
びスイッチによって、システムのより完璧なセキュリテ
ィ制御が保証される。
【0045】通常開になるカバースイッチ65及び66
の接点の組は、主電源スイッチ61に連なっており、電
源62(図4)に接続されている。したがって、カバー
が外された状態でシステム10の電源を入れようとすれ
ば、接点の組65a及び66aは開となり、システムの
操作を妨げる。カバーが取り付けられた状態では、接点
の組は閉に保持され、通常のシステム操作を開始でき
る。
の接点の組は、主電源スイッチ61に連なっており、電
源62(図4)に接続されている。したがって、カバー
が外された状態でシステム10の電源を入れようとすれ
ば、接点の組65a及び66aは開となり、システムの
操作を妨げる。カバーが取り付けられた状態では、接点
の組は閉に保持され、通常のシステム操作を開始でき
る。
【0046】通常閉になるカバースイッチ65及び66
の接点の組は、錠スイッチ64に連なっており、RTC
及びCMOS記憶装置68に接続されている。通常閉に
なる65b及び66bの接点の組は、カバー15、16
の設置によって開に保持され、それらのカバーを取り外
すと閉になる。通常コンピュータ・システム10に設置
されている錠スイッチ64は、格納装置錠がロックされ
ている場合に通常閉に保持される。これら三個の接点の
組によって、RTC及びCMOS記憶装置部を起動する
ことができる以外に、接地点への電流の代替経路を提供
でき、格納装置がロックされた状態にシステムがあると
きにカバーが不当に取り外されたことに対応して電源が
断たれると、そのことを認識できる状態(例えばすべて
を”1”にするなど)に、その記憶装置のセグメントを
セットする効果がある。その記憶装置が、POST(po
wer-on self test: パワーオン自己検査)によって検査
されると、そのセグメントが上記の認識状態にセットさ
れる結果、構成エラー信号が発生し、システムオーナー
に対して、システムセキュリティの漏洩の試み(成功か
否かによらず)がなされたことを警告する。この記憶装
置セグメントの認識状態へのセットによって、オペレー
ティング・システム立ち上げを目的として事前に記憶さ
れたパスワードを要求する。即ち、本明細書の他の部分
で開示されているように、オペレーティング・システム
の立ち上げは、有効なPAPの入力を必要とする。
の接点の組は、錠スイッチ64に連なっており、RTC
及びCMOS記憶装置68に接続されている。通常閉に
なる65b及び66bの接点の組は、カバー15、16
の設置によって開に保持され、それらのカバーを取り外
すと閉になる。通常コンピュータ・システム10に設置
されている錠スイッチ64は、格納装置錠がロックされ
ている場合に通常閉に保持される。これら三個の接点の
組によって、RTC及びCMOS記憶装置部を起動する
ことができる以外に、接地点への電流の代替経路を提供
でき、格納装置がロックされた状態にシステムがあると
きにカバーが不当に取り外されたことに対応して電源が
断たれると、そのことを認識できる状態(例えばすべて
を”1”にするなど)に、その記憶装置のセグメントを
セットする効果がある。その記憶装置が、POST(po
wer-on self test: パワーオン自己検査)によって検査
されると、そのセグメントが上記の認識状態にセットさ
れる結果、構成エラー信号が発生し、システムオーナー
に対して、システムセキュリティの漏洩の試み(成功か
否かによらず)がなされたことを警告する。この記憶装
置セグメントの認識状態へのセットによって、オペレー
ティング・システム立ち上げを目的として事前に記憶さ
れたパスワードを要求する。即ち、本明細書の他の部分
で開示されているように、オペレーティング・システム
の立ち上げは、有効なPAPの入力を必要とする。
【0047】錠スイッチ64及び格納装置の主カバース
イッチ65は、前面カード・ガイド部品69(図2及び
6)上に装着されるのが好ましく、それによって、格納
装置の主カバー15内に備えられた錠に対応して適切な
位置に設置できる。コンピュータ・システムのフレーム
内に装着された前面カード・ガイド部品は、カバースイ
ッチ65用の操作レバー70が、垂直な前面のフレーム
部品の穴から突き出るような位置にあり、カバー15を
システム格納装置に取り付けた状態で操作される。
イッチ65は、前面カード・ガイド部品69(図2及び
6)上に装着されるのが好ましく、それによって、格納
装置の主カバー15内に備えられた錠に対応して適切な
位置に設置できる。コンピュータ・システムのフレーム
内に装着された前面カード・ガイド部品は、カバースイ
ッチ65用の操作レバー70が、垂直な前面のフレーム
部品の穴から突き出るような位置にあり、カバー15を
システム格納装置に取り付けた状態で操作される。
【0048】ケーブルカバースイッチ66は、システム
・フレームの背面パネルに装着され、ケーブルカバー1
6上に取り付けられた掛け金部品によって操作されるよ
うに設置され、格納装置カバー14上に備えられたもの
と同様の手動操作用の錠の制御によって回転できるよう
にするのが、好ましい。ケーブルカバー16の使用が選
択されるとき(システムの完全なセキュリティが要望さ
れるかあるいは必要とされる場合)は、背面パネルへカ
バーを掛けてロックすることによって、それに連携する
通常開の接点設定66aを閉にし、通常閉の接点設定6
6bを開にする。
・フレームの背面パネルに装着され、ケーブルカバー1
6上に取り付けられた掛け金部品によって操作されるよ
うに設置され、格納装置カバー14上に備えられたもの
と同様の手動操作用の錠の制御によって回転できるよう
にするのが、好ましい。ケーブルカバー16の使用が選
択されるとき(システムの完全なセキュリティが要望さ
れるかあるいは必要とされる場合)は、背面パネルへカ
バーを掛けてロックすることによって、それに連携する
通常開の接点設定66aを閉にし、通常閉の接点設定6
6bを開にする。
【0049】上記の、及び後述する新しいセキュリティ
機構及び保全機構は、先に提示されたパーソナル・コン
ピュータのセキュリティ機構である、電源起動パスワー
ド(POP)とは独立に働く。これらの付加的なセキュ
リティ機構および保全機構は、オレンジ・ブック等で適
用される規制の下でのオペレーティング・システム保証
に対する、安全保護の土台となる。安全保護モードにシ
ステムを設定するためには、さらにパスワードが必要で
ある。新しいパスワードは、ここでは特権アクセス・パ
スワード(PAP)といわれている。以前のパーソナル
・コンピュータ・システムとの互換性を維持するため
に、POPはなおサポートされる。
機構及び保全機構は、先に提示されたパーソナル・コン
ピュータのセキュリティ機構である、電源起動パスワー
ド(POP)とは独立に働く。これらの付加的なセキュ
リティ機構および保全機構は、オレンジ・ブック等で適
用される規制の下でのオペレーティング・システム保証
に対する、安全保護の土台となる。安全保護モードにシ
ステムを設定するためには、さらにパスワードが必要で
ある。新しいパスワードは、ここでは特権アクセス・パ
スワード(PAP)といわれている。以前のパーソナル
・コンピュータ・システムとの互換性を維持するため
に、POPはなおサポートされる。
【0050】パスワード・セキュリティはシステムのハ
ードウェア機構によって実行される。即ち、EEPRO
M、セキュリティ・スイッチ、不正検知カバー・スイッ
チ、ファームウェア、POST、及びシステム・ソフト
ウェア・パスワード・ユーティリティである。PAP
が、一旦導入されると、システムは安全保護モードにな
る。PAPはEEPROM内に保管される。PAPのバ
ックアップ・コピーもまたEEPROM内に保持され
る。これは、PAPの導入、変更、あるいは削除の際に
電源の故障が生じた場合、PAPが偶発的に失われるの
を防ぐためである。POPと、PAP(導入された場
合)の有効性を示す特定のビットは、CMOSRTCに
記憶される。CMOS RTC内及びEEPROM内に
保存されたデータの変更は、互いに独立している。
ードウェア機構によって実行される。即ち、EEPRO
M、セキュリティ・スイッチ、不正検知カバー・スイッ
チ、ファームウェア、POST、及びシステム・ソフト
ウェア・パスワード・ユーティリティである。PAP
が、一旦導入されると、システムは安全保護モードにな
る。PAPはEEPROM内に保管される。PAPのバ
ックアップ・コピーもまたEEPROM内に保持され
る。これは、PAPの導入、変更、あるいは削除の際に
電源の故障が生じた場合、PAPが偶発的に失われるの
を防ぐためである。POPと、PAP(導入された場
合)の有効性を示す特定のビットは、CMOSRTCに
記憶される。CMOS RTC内及びEEPROM内に
保存されたデータの変更は、互いに独立している。
【0051】EEPROM中の二つのビットは、POS
Tに対して、現在の手順中に停電が生じたことを確実に
知らせるための状態マシンとして用いられる。そして、
可能であれば、システム・ボードの補助状態から復帰す
る。パスワード・ユーティリティは、PAPへのあらゆ
るアクセスの間に使用される二ビットの状態マシンであ
る、更新標識フィールドを保持する。もし、パスワード
の変更中に停電が生じたら、電源が回復したとき、PO
STは状態マシンを検査する。(POSTは、実際に
は、電源起動時には常に検査を行う。)もしPAPが正
しく更新された(’00’状態)なら、POSTは通常
の方法で処理を続ける。もし、更新が停電の前に開始さ
れていた(’01’状態)なら、POSTは有効なバッ
クアップPAPの存在を検査する。もし有効であれば、
POSTは、バックアップPAPを前のPAPについて
記憶素子内に複写する。もし、選択スイッチあるいはセ
キュリティ・スイッチがロックされているか、書込み可
能状態でなければ、エラーが表示される。システム・オ
ーナーは、カバーの錠を外し、セキュリティ・スイッチ
の設定を変えることで対応しなければならない。もし前
のPAPが正しく更新された(’10’状態)なら、P
OSTは、当該前のPAP(新しいPAP)を用いて、
システム参照ディスケットの使用やシステム区画の立上
げを試みることを有効化する。POSTは、そのバック
アップPAPは無効であるとみなす。POSTは、この
場合、前のPAPをバックアップPAPに複写する。
Tに対して、現在の手順中に停電が生じたことを確実に
知らせるための状態マシンとして用いられる。そして、
可能であれば、システム・ボードの補助状態から復帰す
る。パスワード・ユーティリティは、PAPへのあらゆ
るアクセスの間に使用される二ビットの状態マシンであ
る、更新標識フィールドを保持する。もし、パスワード
の変更中に停電が生じたら、電源が回復したとき、PO
STは状態マシンを検査する。(POSTは、実際に
は、電源起動時には常に検査を行う。)もしPAPが正
しく更新された(’00’状態)なら、POSTは通常
の方法で処理を続ける。もし、更新が停電の前に開始さ
れていた(’01’状態)なら、POSTは有効なバッ
クアップPAPの存在を検査する。もし有効であれば、
POSTは、バックアップPAPを前のPAPについて
記憶素子内に複写する。もし、選択スイッチあるいはセ
キュリティ・スイッチがロックされているか、書込み可
能状態でなければ、エラーが表示される。システム・オ
ーナーは、カバーの錠を外し、セキュリティ・スイッチ
の設定を変えることで対応しなければならない。もし前
のPAPが正しく更新された(’10’状態)なら、P
OSTは、当該前のPAP(新しいPAP)を用いて、
システム参照ディスケットの使用やシステム区画の立上
げを試みることを有効化する。POSTは、そのバック
アップPAPは無効であるとみなす。POSTは、この
場合、前のPAPをバックアップPAPに複写する。
【0052】バックアップPAPが、正しく更新された
(’11’の状態)ならば、前のPAP及びバックアッ
プPAPは有効とみなされ、POSTは、ユーザによる
PAP入力を確認する前に、前のPAPの有効性を照合
する。
(’11’の状態)ならば、前のPAP及びバックアッ
プPAPは有効とみなされ、POSTは、ユーザによる
PAP入力を確認する前に、前のPAPの有効性を照合
する。
【0053】上記のように、POPは、CMOS記憶装
置内に保持される。二つのビットは、PAPのパスワー
ド標識として使用するためにCMOS記憶装置内に保持
される。一つの標識は、システムが安全保護モードにあ
る(PAPが導入されている)ことを意味する。もう一
つの標識は、PAPが、初期始動、つまりコールド立上
げの間に入力されたことを意味する。これら二つの標識
は、コールド立上げ時にのみ初期化されて、セットされ
る。IPLの前に、システム参照ディスケットかシステ
ム区画が立ち上げられなければ、この標識は、書込みが
禁止される。その場合、導入されたPAPの正しい入力
を要求する。POP及び標識の変更は、EEPROM内
に記憶されたPAPのいかなる変更に対しても独立であ
る。しかしながら、CMOS記憶装置内の変更は、セキ
ュリティへの侵入を表示する可能性があり、その場合、
オペレーティング・システムをロードできるよう復帰す
るために、有効なPAPの入力が必要となる。
置内に保持される。二つのビットは、PAPのパスワー
ド標識として使用するためにCMOS記憶装置内に保持
される。一つの標識は、システムが安全保護モードにあ
る(PAPが導入されている)ことを意味する。もう一
つの標識は、PAPが、初期始動、つまりコールド立上
げの間に入力されたことを意味する。これら二つの標識
は、コールド立上げ時にのみ初期化されて、セットされ
る。IPLの前に、システム参照ディスケットかシステ
ム区画が立ち上げられなければ、この標識は、書込みが
禁止される。その場合、導入されたPAPの正しい入力
を要求する。POP及び標識の変更は、EEPROM内
に記憶されたPAPのいかなる変更に対しても独立であ
る。しかしながら、CMOS記憶装置内の変更は、セキ
ュリティへの侵入を表示する可能性があり、その場合、
オペレーティング・システムをロードできるよう復帰す
るために、有効なPAPの入力が必要となる。
【0054】パスワードへの不正なアクセスを防ぐため
に、IPS装置立上げリスト、EEPROM CRC、
及びすべての標識は、オペレーション・システムを立ち
上げる初期プログラム・ロード(IPL)に先立って、
ロックされる。これらの領域のロックアウトするため
に、POSTは、システムの電源がオフにならないかぎ
り、リセットされない特殊なハードウェアラッチをセッ
トする。POSTの状態1の始め(初期の電源起動)に
おいて、POSTは、EEPROMがロックされている
かどうかを検査する。もしロックされていれば、ハード
ウェアが機能しないので、POSTはエラーを表示して
システムを停止する。システム・オーナーは、その状態
を修復するために介入する必要がある。そのためには、
システム・ボードの交換を必要とすることもある。本発
明の一つの形態として、システムに対して不正が行われ
たとき、RTC及び制御レジスタに関係するCMOS内
のRAM記憶装置の最初の14バイトが影響を受けない
ようにするものがある。先に簡単に述べたように、CM
OSの次の50バイトはすべて’1’(2進数の1)に
セットされる。この状態を検知することによって、PO
STは、適当なエラー表示をする。本発明の他の形態と
しては、少なくとも一つのビットを、不正を表示する状
態にセットするものがある。どちらの例においても、シ
ステム・オーナーあるいは特権ユーザは、システム参照
ディスケットかシステム区画から立ち上げるためにパス
ワード・プロンプトの位置にPAPを入力するか、ある
いはシステムボードを再構成することによって、その状
態を修復するために介入する必要がある。
に、IPS装置立上げリスト、EEPROM CRC、
及びすべての標識は、オペレーション・システムを立ち
上げる初期プログラム・ロード(IPL)に先立って、
ロックされる。これらの領域のロックアウトするため
に、POSTは、システムの電源がオフにならないかぎ
り、リセットされない特殊なハードウェアラッチをセッ
トする。POSTの状態1の始め(初期の電源起動)に
おいて、POSTは、EEPROMがロックされている
かどうかを検査する。もしロックされていれば、ハード
ウェアが機能しないので、POSTはエラーを表示して
システムを停止する。システム・オーナーは、その状態
を修復するために介入する必要がある。そのためには、
システム・ボードの交換を必要とすることもある。本発
明の一つの形態として、システムに対して不正が行われ
たとき、RTC及び制御レジスタに関係するCMOS内
のRAM記憶装置の最初の14バイトが影響を受けない
ようにするものがある。先に簡単に述べたように、CM
OSの次の50バイトはすべて’1’(2進数の1)に
セットされる。この状態を検知することによって、PO
STは、適当なエラー表示をする。本発明の他の形態と
しては、少なくとも一つのビットを、不正を表示する状
態にセットするものがある。どちらの例においても、シ
ステム・オーナーあるいは特権ユーザは、システム参照
ディスケットかシステム区画から立ち上げるためにパス
ワード・プロンプトの位置にPAPを入力するか、ある
いはシステムボードを再構成することによって、その状
態を修復するために介入する必要がある。
【0055】もし、システム・オーナーがPAPを忘れ
ている場合は、影響のあるシステムボードを交換する必
要がある。
ている場合は、影響のあるシステムボードを交換する必
要がある。
【0056】POPを忘れた場合、システム・オーナー
は、CMOSの内容を破壊し、その後PAP(もし導入
されていれば)を入力してシステム参照ディスケットか
システム区画を立ち上げて、パスワード・ユーティリテ
ィを実行し、POPを再導入することができる。
は、CMOSの内容を破壊し、その後PAP(もし導入
されていれば)を入力してシステム参照ディスケットか
システム区画を立ち上げて、パスワード・ユーティリテ
ィを実行し、POPを再導入することができる。
【0057】システムが、いずれのパスワードも導入し
ないで電源を起動させられたとき、POSTは、パスワ
ードのためのプロンプトを出さない。しかしながら、シ
ステム参照ディスケットが無い場合、あるいはシステム
区画の立ち上げが要求されないか、無い場合、POST
は、PAP、バックアップPAP、IPL装置立上げリ
スト、EEPROM CRC、及びすべての標識をロッ
クする。このことは、これらの領域への何らかの偶発的
なあるいは悪意のあるアクセスを防ぐために行われる。
もしシステム参照ディスケットが存在する場合、あるい
はシステム区画の立ち上げが要求された場合は、システ
ム・オーナーが安全保護モードを呼込むことができるよ
うに、これらの状態は、ロックされないままになる。
ないで電源を起動させられたとき、POSTは、パスワ
ードのためのプロンプトを出さない。しかしながら、シ
ステム参照ディスケットが無い場合、あるいはシステム
区画の立ち上げが要求されないか、無い場合、POST
は、PAP、バックアップPAP、IPL装置立上げリ
スト、EEPROM CRC、及びすべての標識をロッ
クする。このことは、これらの領域への何らかの偶発的
なあるいは悪意のあるアクセスを防ぐために行われる。
もしシステム参照ディスケットが存在する場合、あるい
はシステム区画の立ち上げが要求された場合は、システ
ム・オーナーが安全保護モードを呼込むことができるよ
うに、これらの状態は、ロックされないままになる。
【0058】システムが、POPは導入されているが、
PAPは導入されずに電源を起動させられたとき、PO
STは、状態マシンを検査し、そしてPOPパスワード
検査合計を確かめる。もし検査合計が間違っていれば、
POSTは、CMOS内のPOPを消去し、パスワード
のためのプロンプトを出さない。そうでなければ、PO
STは、パスワードのためのプロンプトを出す。もしシ
ステム参照ディスケットが無い場合、あるいはシステム
区画の立ち上げが要求されない場合は、どのようなアク
セスをも防ぐために、PAP、バックアップPAP、I
PL装置立上げリスト、EEPROM CRC、及びす
べての標識をロックする。
PAPは導入されずに電源を起動させられたとき、PO
STは、状態マシンを検査し、そしてPOPパスワード
検査合計を確かめる。もし検査合計が間違っていれば、
POSTは、CMOS内のPOPを消去し、パスワード
のためのプロンプトを出さない。そうでなければ、PO
STは、パスワードのためのプロンプトを出す。もしシ
ステム参照ディスケットが無い場合、あるいはシステム
区画の立ち上げが要求されない場合は、どのようなアク
セスをも防ぐために、PAP、バックアップPAP、I
PL装置立上げリスト、EEPROM CRC、及びす
べての標識をロックする。
【0059】システムが、有効なPAP(安全保護モー
ド)は導入されているが、POPは導入されずに電源を
起動させられたとき、POSTは、PAP検査合計を確
かめる。検査合計が正しければ、システム参照ディスケ
ットが存在する場合、あるいはシステム区画の立ち上げ
が要求された場合にPOSTは、ユーザにPAPを入力
するようプロンプトを出す。そうでない場合は、POS
Tは、パスワードのためのプロンプトを出さず、どのよ
うなアクセスをも防ぐために、POP、PAP、バック
アップPAP、IPL装置立上げリスト、EEPROM
CRC、及びすべての標識をロックする。もし検査合
計が間違っていれば、エラーが表示され、システムは停
止する。このことによって、EEPROMが故障した時
に、その前に安全保護モードにあったシステムに対しユ
ーザが、偶発的に保護されていないアクセスを行うこと
を防ぐ。システム・オーナーは、その状態を修復するた
めに介入する必要がある。そのためにシステム・ボード
の交換が必要な場合もある。
ド)は導入されているが、POPは導入されずに電源を
起動させられたとき、POSTは、PAP検査合計を確
かめる。検査合計が正しければ、システム参照ディスケ
ットが存在する場合、あるいはシステム区画の立ち上げ
が要求された場合にPOSTは、ユーザにPAPを入力
するようプロンプトを出す。そうでない場合は、POS
Tは、パスワードのためのプロンプトを出さず、どのよ
うなアクセスをも防ぐために、POP、PAP、バック
アップPAP、IPL装置立上げリスト、EEPROM
CRC、及びすべての標識をロックする。もし検査合
計が間違っていれば、エラーが表示され、システムは停
止する。このことによって、EEPROMが故障した時
に、その前に安全保護モードにあったシステムに対しユ
ーザが、偶発的に保護されていないアクセスを行うこと
を防ぐ。システム・オーナーは、その状態を修復するた
めに介入する必要がある。そのためにシステム・ボード
の交換が必要な場合もある。
【0060】システムが、PAP及びPOPが共に有効
に導入されて、電源を起動させられたとき、POSTは
ユーザに対して、パスワードを入力するようプロンプト
を出す。POPが入力されれば、POSTは、システム
参照ディスケットからもシステム区画からも立ち上げを
行わない。システムは、存在するIPL装置リストを使
用することによってのみ立ち上げることができる。PO
PではなくPAPがプロンプトの位置に入力されれば、
ユーザは、システム参照ディスケット、システム区画、
IPLディスケット、あるいは通常のIPL装置リスト
から立ち上げることができる。標識は、最初の電源起動
時にPAPが正しく入力されたことを意味するようにセ
ットされる。それによって、システム参照ディスケット
あるいはシステム区画の立ち上げが、この電源起動セッ
ションの後に行われる。POSTは、ソフト再立ち上げ
の後には、パスワードのためのプロンプトをユーザに出
さない。必要なPAPは、正しく標識に入力され保護さ
れている。
に導入されて、電源を起動させられたとき、POSTは
ユーザに対して、パスワードを入力するようプロンプト
を出す。POPが入力されれば、POSTは、システム
参照ディスケットからもシステム区画からも立ち上げを
行わない。システムは、存在するIPL装置リストを使
用することによってのみ立ち上げることができる。PO
PではなくPAPがプロンプトの位置に入力されれば、
ユーザは、システム参照ディスケット、システム区画、
IPLディスケット、あるいは通常のIPL装置リスト
から立ち上げることができる。標識は、最初の電源起動
時にPAPが正しく入力されたことを意味するようにセ
ットされる。それによって、システム参照ディスケット
あるいはシステム区画の立ち上げが、この電源起動セッ
ションの後に行われる。POSTは、ソフト再立ち上げ
の後には、パスワードのためのプロンプトをユーザに出
さない。必要なPAPは、正しく標識に入力され保護さ
れている。
【0061】簡単に述べると、コールド・スタートにお
いてユーザが、システム参照ディスケットかシステム区
画から立ち上げができる場合には、POP,PAP、バ
ックアップPAP、IPL装置立上げリスト、EEPR
OM CRC、及びすべての標識は、ロックされないま
まである。この条件によって、トラステッド・ソフトウ
ェア(つまり、システム参照ディスケット)および特権
ユーザによるシステムのセキュリティ・パラメータへの
アクセスが提供される。POSTは、いずれかのパスワ
ードが正しく入力されたことを確認したのち、確認アイ
コンを表示することによって入力を認知する。POST
は、ネットワーク・サーバ(無人スタート)・モードが
働いている場合は、上記のPOPのためのプロンプトを
出すことを省略する。
いてユーザが、システム参照ディスケットかシステム区
画から立ち上げができる場合には、POP,PAP、バ
ックアップPAP、IPL装置立上げリスト、EEPR
OM CRC、及びすべての標識は、ロックされないま
まである。この条件によって、トラステッド・ソフトウ
ェア(つまり、システム参照ディスケット)および特権
ユーザによるシステムのセキュリティ・パラメータへの
アクセスが提供される。POSTは、いずれかのパスワ
ードが正しく入力されたことを確認したのち、確認アイ
コンを表示することによって入力を認知する。POST
は、ネットワーク・サーバ(無人スタート)・モードが
働いている場合は、上記のPOPのためのプロンプトを
出すことを省略する。
【0062】ネットワーク・サーバ(無人スタート)・
モードを導入されているシステムは、目的とするオペレ
ーティング・システムを通じて全立上げ処理を完了する
が、鍵盤装置は、POPの使用をロックされる。しかし
ながら、システム参照ディスケットが存在するか、ある
いはシステム区画の立上げが要求されると、パスワード
プロンプトが出されて、オーナーはPAPを入力するこ
とができ、システムを制御することができる。鍵盤装置
が既にロックアウトされた後、システムが安全保護状態
にあり、かつユーザが、システム参照デイスケットかシ
ステム区画から立ち上げたい場合は、ユーザは、システ
ムの電源を落とし、システム参照デイスケットがディス
ケット駆動装置内に入っている状態からコールド立上げ
をしなければならない。
モードを導入されているシステムは、目的とするオペレ
ーティング・システムを通じて全立上げ処理を完了する
が、鍵盤装置は、POPの使用をロックされる。しかし
ながら、システム参照ディスケットが存在するか、ある
いはシステム区画の立上げが要求されると、パスワード
プロンプトが出されて、オーナーはPAPを入力するこ
とができ、システムを制御することができる。鍵盤装置
が既にロックアウトされた後、システムが安全保護状態
にあり、かつユーザが、システム参照デイスケットかシ
ステム区画から立ち上げたい場合は、ユーザは、システ
ムの電源を落とし、システム参照デイスケットがディス
ケット駆動装置内に入っている状態からコールド立上げ
をしなければならない。
【0063】POSTの変更と関連して、パスワード・
ユーティリティはPAPへのサポートを含まなければな
らない。このユーティリティは、PAPの導入、変更、
削除をサポートし、選択スイッチあるいはセキュリティ
・スイッチの状態と共にこれら三つの機能をインターロ
ックする。セキュリティ・スイッチは、特権ユーザがP
APをセットしようとするまでロックされた状態のまま
でなければならない。その時、ユーザはシステムのカバ
ーを取り外して、セキュリティ・スイッチをロック解除
(変更)状態の方へ動かさねばならない。その後で、P
APをセットすることができる。セキュリティ・スイッ
チが、ロック解除の位置にあるとき、EEPROMの外
部のハードウェア論理によって、PAPをEEPROM
の中に記憶することができる。セキュリティ・スイッチ
がロックされた位置にあるとき、外部ハードウェア論理
は、EEPROM内の、PAPの位置の変更を妨げる。
特権ユーザが、セキュリティ・スイッチがロックされた
位置の時に、PAPを変更しようとすると、適当なメッ
セージが表示される。また、メッセージは、PAPの削
除後、セキュリティ・スイッチをロック位置に戻すこと
をユーザに思い出させる。特権ユーザが、POPと同じ
PAPをセットするのを防ぐための付加的な安全機構
が、パスワード・ユーティリティの中に作られている。
新しいPAPが、システムの現在のPOPと同じもので
ないかを確認するための検査が、PAPのセット時また
は変更時に行われる。また、POPを変更または削除す
るときは、現在のPAPを知っていなければならない。
ユーティリティはPAPへのサポートを含まなければな
らない。このユーティリティは、PAPの導入、変更、
削除をサポートし、選択スイッチあるいはセキュリティ
・スイッチの状態と共にこれら三つの機能をインターロ
ックする。セキュリティ・スイッチは、特権ユーザがP
APをセットしようとするまでロックされた状態のまま
でなければならない。その時、ユーザはシステムのカバ
ーを取り外して、セキュリティ・スイッチをロック解除
(変更)状態の方へ動かさねばならない。その後で、P
APをセットすることができる。セキュリティ・スイッ
チが、ロック解除の位置にあるとき、EEPROMの外
部のハードウェア論理によって、PAPをEEPROM
の中に記憶することができる。セキュリティ・スイッチ
がロックされた位置にあるとき、外部ハードウェア論理
は、EEPROM内の、PAPの位置の変更を妨げる。
特権ユーザが、セキュリティ・スイッチがロックされた
位置の時に、PAPを変更しようとすると、適当なメッ
セージが表示される。また、メッセージは、PAPの削
除後、セキュリティ・スイッチをロック位置に戻すこと
をユーザに思い出させる。特権ユーザが、POPと同じ
PAPをセットするのを防ぐための付加的な安全機構
が、パスワード・ユーティリティの中に作られている。
新しいPAPが、システムの現在のPOPと同じもので
ないかを確認するための検査が、PAPのセット時また
は変更時に行われる。また、POPを変更または削除す
るときは、現在のPAPを知っていなければならない。
【0064】セキュリティ・スイッチをロック位置にし
かつ不正検知カバーをロックした状態で、パーソナル・
コンピュータ・システムを出荷することが考慮されてい
る。これは、システム・オーナー以外の人間がシステム
を安全保護モードにセットすることを防ぐために行われ
る。POPと違って、PAPは、ハードウェアの操作に
よって消去することができない。もしPAPを忘れてし
まうか、無許可ユーザがシステムを安全保護モードに設
定した場合は、システム・ボードを交換しなければなら
ない。
かつ不正検知カバーをロックした状態で、パーソナル・
コンピュータ・システムを出荷することが考慮されてい
る。これは、システム・オーナー以外の人間がシステム
を安全保護モードにセットすることを防ぐために行われ
る。POPと違って、PAPは、ハードウェアの操作に
よって消去することができない。もしPAPを忘れてし
まうか、無許可ユーザがシステムを安全保護モードに設
定した場合は、システム・ボードを交換しなければなら
ない。
【0065】上記の記憶素子、スイッチ、及びそれらの
相互接続部は、本明細書の中では「セキュリティ機構素
子」として記述されており、その構成部品が、記載され
ているセキュリティ機構を実現する特定のコンピュータ
・システムの素子であることを反映している。多数の特
別なセキュリティ機構素子について記述し、例を用いて
それらの相互作用を説明してきたが、本発明は、他の形
態のセキュリティ機構素子を、安全に保護されたパーソ
ナル・コンピュータ・システムに備え得ることを想定し
ている。さらに、以下に記載のプローブによる攻撃(pr
obe attack)を受ける全てのそのようなセキュリティ機
構素子について本発明を拡張することも考慮されてい
る。
相互接続部は、本明細書の中では「セキュリティ機構素
子」として記述されており、その構成部品が、記載され
ているセキュリティ機構を実現する特定のコンピュータ
・システムの素子であることを反映している。多数の特
別なセキュリティ機構素子について記述し、例を用いて
それらの相互作用を説明してきたが、本発明は、他の形
態のセキュリティ機構素子を、安全に保護されたパーソ
ナル・コンピュータ・システムに備え得ることを想定し
ている。さらに、以下に記載のプローブによる攻撃(pr
obe attack)を受ける全てのそのようなセキュリティ機
構素子について本発明を拡張することも考慮されてい
る。
【0066】上記のセキュリティ機能を備えたパーソナ
ル・コンピュータ・システムは、そのセキュリティ装備
の裏をかこうとする無許可ユーザによる攻撃を受けう
る。予測できる攻撃の形としては、カバー15とシャー
シ19からなる格納装置に設定されている開口部を通し
ての単純な物理的攻撃がある。そのような開口部は、例
えば、格納装置を通して冷却風が流れるためのもの、フ
ロッピー・ディスク及び他のデジタル信号記憶媒体の挿
入及び除去のためのもの、ケーブル類の装着のためのも
の、ボルトやビスで定位置に止められる固定用部品及び
付属品の装着(製造中あるいは製造後)のためのもので
ある。どのような開口部であれ、無許可ユーザが、記載
のセキュリティ機構を妨害しようとして、プローブを挿
入することが可能である。従って、知識のある攻撃者
(侵害者)であれば、データの記憶されている記憶素子
からPAPあるいはPOPを消去しようとしたり、ある
いは、上述のインターロック・スイッチの配置を壊すよ
うな方法で電源を入れようとすることもありうる。
ル・コンピュータ・システムは、そのセキュリティ装備
の裏をかこうとする無許可ユーザによる攻撃を受けう
る。予測できる攻撃の形としては、カバー15とシャー
シ19からなる格納装置に設定されている開口部を通し
ての単純な物理的攻撃がある。そのような開口部は、例
えば、格納装置を通して冷却風が流れるためのもの、フ
ロッピー・ディスク及び他のデジタル信号記憶媒体の挿
入及び除去のためのもの、ケーブル類の装着のためのも
の、ボルトやビスで定位置に止められる固定用部品及び
付属品の装着(製造中あるいは製造後)のためのもので
ある。どのような開口部であれ、無許可ユーザが、記載
のセキュリティ機構を妨害しようとして、プローブを挿
入することが可能である。従って、知識のある攻撃者
(侵害者)であれば、データの記憶されている記憶素子
からPAPあるいはPOPを消去しようとしたり、ある
いは、上述のインターロック・スイッチの配置を壊すよ
うな方法で電源を入れようとすることもありうる。
【0067】そのような攻撃に対抗して保護するための
解決法は、本発明においては、コンピュータ・システム
の格納装置内に設置されている記憶素子及びスイッチ
を、パーソナル・コンピュータ・システムの無許可ユー
ザが開口部を通してプローブを挿入することによって記
憶素子及びスイッチの内のどれかの動作を損なおうと試
みても、アクセスすることのできない位置に装着してお
くことである。探査される開口部は、冷却風を通すため
の通風口であるかも知れないし、あるいは攻撃者(侵害
者)の巧妙な方法によって、上記の他の様々な開口部に
対して行われるかも知れない。プローブは、曲がったペ
ーパー・クリップのような単純な機械的道具であるかも
知れないし、あるいは上述のセキュリティ機構素子に達
するような、または何らかのエネルギー(電気的、音響
的、放射)を放出するような特別な形状を持ったさらに
高度な道具も考えられる。それによって、セキュリティ
機構素子の正常な動作が損なわれ、無許可ユーザは、他
の保護されているデータへアクセスすることができるよ
うになる。
解決法は、本発明においては、コンピュータ・システム
の格納装置内に設置されている記憶素子及びスイッチ
を、パーソナル・コンピュータ・システムの無許可ユー
ザが開口部を通してプローブを挿入することによって記
憶素子及びスイッチの内のどれかの動作を損なおうと試
みても、アクセスすることのできない位置に装着してお
くことである。探査される開口部は、冷却風を通すため
の通風口であるかも知れないし、あるいは攻撃者(侵害
者)の巧妙な方法によって、上記の他の様々な開口部に
対して行われるかも知れない。プローブは、曲がったペ
ーパー・クリップのような単純な機械的道具であるかも
知れないし、あるいは上述のセキュリティ機構素子に達
するような、または何らかのエネルギー(電気的、音響
的、放射)を放出するような特別な形状を持ったさらに
高度な道具も考えられる。それによって、セキュリティ
機構素子の正常な動作が損なわれ、無許可ユーザは、他
の保護されているデータへアクセスすることができるよ
うになる。
【0068】上記のセキュリティ機構素子は、上述のプ
ローブによる攻撃に対して、機械的な攻撃を逃れるため
には格納装置の開口部から離れた位置に設置することに
よって、あるいはそれほど敏感でない特性を持つ他のコ
ンピュータ素子によって覆い隠されるような位置に設置
することによって、保護することができる。セキュリテ
ィ機構素子間を接続する信号の伝送路及び当該セキュリ
ティ機能に関する信号、おそらくは搬送デジタル信号
は、多層プリント回路基盤の内部に設置することによっ
て、攻撃から保護することができる。コンピュータ格納
装置に設定されている開口部は、例えば曲がった通路の
様な形状にすることによって、あるいはそれほど敏感で
ない素子で塞ぐことによって、攻撃しようとする行為を
制限するようにあるいは防ぐように形成することもでき
る。本発明は、このような全ての防御手段は、開口部を
通してプローブを挿入することによってセキュリティ機
構素子のどれかの動作を損なおうとする無許可ユーザ
が、アクセスできない位置に設置することを意図する範
囲内に含まれる、と考えている。
ローブによる攻撃に対して、機械的な攻撃を逃れるため
には格納装置の開口部から離れた位置に設置することに
よって、あるいはそれほど敏感でない特性を持つ他のコ
ンピュータ素子によって覆い隠されるような位置に設置
することによって、保護することができる。セキュリテ
ィ機構素子間を接続する信号の伝送路及び当該セキュリ
ティ機能に関する信号、おそらくは搬送デジタル信号
は、多層プリント回路基盤の内部に設置することによっ
て、攻撃から保護することができる。コンピュータ格納
装置に設定されている開口部は、例えば曲がった通路の
様な形状にすることによって、あるいはそれほど敏感で
ない素子で塞ぐことによって、攻撃しようとする行為を
制限するようにあるいは防ぐように形成することもでき
る。本発明は、このような全ての防御手段は、開口部を
通してプローブを挿入することによってセキュリティ機
構素子のどれかの動作を損なおうとする無許可ユーザ
が、アクセスできない位置に設置することを意図する範
囲内に含まれる、と考えている。
【0069】
【発明の効果】本発明によって、冷却風を流したり取り
外し可能な媒体を挿入するなどの正規の目的でパーソナ
ル・コンピュータ・システムの格納装置に備えられてい
る開口部の中へ、何らかの形のプローブ(探査針)を挿
入することによって、パーソナル・コンピュータ・シス
テムのセキュリティ機構の素子を損なおうとする無許可
ユーザの試み(プローブによる攻撃)に対して、トラス
テッド・パーソナル・コンピュータ・システムが保護さ
れる。
外し可能な媒体を挿入するなどの正規の目的でパーソナ
ル・コンピュータ・システムの格納装置に備えられてい
る開口部の中へ、何らかの形のプローブ(探査針)を挿
入することによって、パーソナル・コンピュータ・シス
テムのセキュリティ機構の素子を損なおうとする無許可
ユーザの試み(プローブによる攻撃)に対して、トラス
テッド・パーソナル・コンピュータ・システムが保護さ
れる。
【図1】本発明の実施例であるパーソナル・コンピュー
タの透視図である。
タの透視図である。
【図2】シャーシ、カバー、及びプレーナ・ボードを含
み、かつこれらの関係を示した図1のパーソナル・コン
ピュータの一部の展開透視図である。
み、かつこれらの関係を示した図1のパーソナル・コン
ピュータの一部の展開透視図である。
【図3】図1及び図2のパーソナル・コンピュータの特
定の部品の概略図である。
定の部品の概略図である。
【図4】本発明のセキュリティ機構に関係する図1及び
図2のパーソナル・コンピュータの特定の部品の概略表
示である。
図2のパーソナル・コンピュータの特定の部品の概略表
示である。
【図5】本発明のセキュリティ機構に関係する図1及び
図2のパーソナル・コンピュータの特定の部品の概略表
示である。
図2のパーソナル・コンピュータの特定の部品の概略表
示である。
【図6】図4及び図5の特定部品の拡大透視図である。
【図7】本発明のセキュリティ機構に関係する図1、図
2、図4及び図5のパーソナル・コンピュータの特定の
選択的部品の拡大透視図である。
2、図4及び図5のパーソナル・コンピュータの特定の
選択的部品の拡大透視図である。
10 パーソナル・コンピュータ・システム 15 主カバー 16 ケーブル接続カバー 19 シャーシ 20 多層プレーナ(マザー・ボード、またはシステム
・ボード) 38 BIOS ROM 58 入出力制御装置 59 EEPROM 61 システム電源のスイッチ 62 システム電源 64 錠スイッチ 65 カバースイッチ 66 選択的カバースイッチ 68 CMOS RAMおよび実時間クロック(RT
C)
・ボード) 38 BIOS ROM 58 入出力制御装置 59 EEPROM 61 システム電源のスイッチ 62 システム電源 64 錠スイッチ 65 カバースイッチ 66 選択的カバースイッチ 68 CMOS RAMおよび実時間クロック(RT
C)
───────────────────────────────────────────────────── フロントページの続き (72)発明者 リチャード・アラン・ダヤン アメリカ合衆国33487 フロリダ州ボカ・ レイトン、エヌイー・73番ストリート 830 (72)発明者 デニス・リー・モエラー アメリカ合衆国33487 フロリダ州ボカ・ レイトン、ローズウッド・サークル 7430 (72)発明者 パルマー・ユージーン・ニューマン アメリカ合衆国33433 フロリダ州ボカ・ レイトン、ダブリン・ドライブ 7488 (72)発明者 ケネス・ジョン・ピーター・ズベイ アメリカ合衆国33422 フロリダ州ボカ・ レイトン、アイアンウェッジ・ドライブ 22845
Claims (8)
- 【請求項1】データを受信・保存し、不当なアクセスに
対して、該データの安全保護を図るコンピュータ・シス
テムであって、 冷却風を流すこと、記憶媒体の挿入と除去、及びケーブ
ル接続を含む目的のために開口部を設けた、通常は閉じ
られている格納装置と、 安全保護状態及び非安全保護状態を選択的に活動状態に
でき、該安全保護状態の時には無許可ユーザによる前記
データへのアクセスに対抗して上記コンピュータ・シス
テムを保護するためのセキュリティ機構であって、前記
開口部を通してプローブを挿入することによって該セキ
ュリティ機構の動作を損なおうとする無許可ユーザが、
アクセスすることができない位置で前記格納装置内に設
置されている、セキュリティ機構と、 前記セキュリティ機構に接続され、該セキュリティ機構
の安全保護状態及び非安全保護状態を判別することによ
って、前記データへの少なくとも特定のレベルまでのア
クセスを制御する、前記格納装置内に装着されたシステ
ムプロセッサとを有する、 コンピュータ・システム。 - 【請求項2】前記セキュリティ機構が、 活動状態及び非活動状態を選択でき、該活動状態の時に
は特権アクセス・パスワードを受信して記憶する、前記
格納装置内に装着された書換え可能な記憶素子と、 前記書換え可能な記憶素子に接続され、該書換え可能な
記憶素子を活動状態及び非活動状態にセットする、前記
格納装置内に装着された選択スイッチとを有する、 請求項1に記載のコンピュータ・システム。 - 【請求項3】前記セキュリティ機構が、 記憶済特権アクセス・パスワードの正しい入力を示すデ
ータを受信し記憶する、前記格納装置内に装着された書
換え可能な記憶素子と、 前記書換え可能な記憶素子に接続された、不正検知スイ
ッチであって、前記格納装置が不当に開けられたことを
検知し、該不正検知スイッチが入ったことに応答して、
事前に記憶された特権アクセス・パスワードの入力を要
求する、前記格納装置内に装着された不正検知スイッチ
とを有する、 請求項1に記載のコンピュータ・システム。 - 【請求項4】データを受信・保存し、不当なアクセスに
対して、該データの安全保護を図るコンピュータ・シス
テムであって、 冷却風を流すこと、記憶媒体の挿入を除去、及びケーブ
ル接続を含む目的のために開口部を設けた、通常は閉じ
られている格納装置と、 活動状態と非活動状態を選択でき、活動状態の時には、
特権アクセス・パスワードを受信し記憶する、前記格納
装置内に装着された第1の書換え可能な記憶素子と、 前記第1の書換え可能な記憶素子に接続され該第1の書
換え可能な記憶素子を活動状態及び非活動状態にセット
する、前記格納装置内に装着された選択スイッチと、 前記第1の書換え可能な記憶素子の状態及び記憶済特権
アクセス・パスワードの正しい入力を示すデータを受信
し記憶する、前記格納装置内に装着された第2の書換え
可能な記憶素子と、 前記第2の書換え可能な記憶素子に接続された不正検知
スイッチであって、前記格納装置が不当に開けられたこ
とを検知し、該不正検知スイッチが入ったことに応答し
て、前記第1の書換え可能な記憶素子に記憶された特権
アクセス・パスワードの入力を要求する、前記格納装置
内に装着された不正検知スイッチと、 前記書換え可能な記憶素子に接続され、前記第1の記憶
素子の活動状態と非活動状態を判別し、あらゆる有効な
記憶済特権アクセス・パスワードの入力と非入力を判定
することによって、前記データへの少なくとも特定のレ
ベルまでのアクセスを制御する、前記格納装置内に装着
されたシステム・プロセッサとを有し、 前記記憶素子及び前記スイッチが、前記開口部を通して
プローブを挿入することによって該記憶素子及び該スイ
ッチの動作を損なおうと試みる無許可ユーザが、アクセ
スすることができない位置で、前記格納装置内に設置さ
れている、 コンピュータ・システム。 - 【請求項5】前記第1の書換え可能な記憶素子が、電気
的に書換え可能な読取専用記憶素子である、請求項4に
記載のコンピュータ・システム。 - 【請求項6】前記選択スイッチが、オペレータが前記第
1の記憶素子の活動状態及び非活動状態をそれぞれ選択
することによって、該システムの安全保護状態と非安全
保護状態との選択ができる請求項4に記載のコンピュー
タ・システム。 - 【請求項7】前記選択スイッチが、前記格納装置を開け
た後にのみ手動による操作が可能で、かつ手動によるア
クセスができるように、該格納装置内に設置されてい
る、請求項6に記載のコンピュータ・システム。 - 【請求項8】前記第2の書換え可能な記憶素子が、バッ
テリ付きのCMOS RAMである、請求項4に記載の
コンピュータ・システム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US889325 | 1992-05-27 | ||
| US07/889,325 US5918007A (en) | 1992-05-27 | 1992-05-27 | Trusted personal computer system with limited accessibility |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0651859A true JPH0651859A (ja) | 1994-02-25 |
| JP2509438B2 JP2509438B2 (ja) | 1996-06-19 |
Family
ID=25394912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5081631A Expired - Fee Related JP2509438B2 (ja) | 1992-05-27 | 1993-04-08 | セキュリティ機構を有するコンピュ―タ・システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US5918007A (ja) |
| JP (1) | JP2509438B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1329786C (zh) * | 2005-07-28 | 2007-08-01 | 深圳兆日技术有限公司 | 一种避免字典攻击的方法 |
| US10645785B2 (en) | 2018-04-26 | 2020-05-05 | Giga-Byte Technology Co., Ltd. | Illumination dummy module |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6775770B1 (en) * | 1999-12-30 | 2004-08-10 | Intel Corporation | Platform and method for securing data provided through a user input device |
| US6981028B1 (en) * | 2000-04-28 | 2005-12-27 | Obongo, Inc. | Method and system of implementing recorded data for automating internet interactions |
| US6757900B1 (en) | 2000-05-18 | 2004-06-29 | Microsoft Corporation | State management of server-side control objects |
| US7013340B1 (en) | 2000-05-18 | 2006-03-14 | Microsoft Corporation | Postback input handling by server-side control objects |
| US7330876B1 (en) | 2000-10-13 | 2008-02-12 | Aol Llc, A Delaware Limited Liability Company | Method and system of automating internet interactions |
| US7380250B2 (en) | 2001-03-16 | 2008-05-27 | Microsoft Corporation | Method and system for interacting with devices having different capabilities |
| US8095597B2 (en) | 2001-05-01 | 2012-01-10 | Aol Inc. | Method and system of automating data capture from electronic correspondence |
| US7493397B1 (en) | 2001-06-06 | 2009-02-17 | Microsoft Corporation | Providing remote processing services over a distributed communications network |
| US6944797B1 (en) | 2001-06-07 | 2005-09-13 | Microsoft Corporation | Method and system for tracing |
| US6915454B1 (en) | 2001-06-12 | 2005-07-05 | Microsoft Corporation | Web controls validation |
| US7162723B2 (en) * | 2001-06-29 | 2007-01-09 | Microsoft Corporation | ASP.NET HTTP runtime |
| US7594001B1 (en) | 2001-07-06 | 2009-09-22 | Microsoft Corporation | Partial page output caching |
| US7216294B2 (en) | 2001-09-04 | 2007-05-08 | Microsoft Corporation | Method and system for predicting optimal HTML structure without look-ahead |
| US7428725B2 (en) * | 2001-11-20 | 2008-09-23 | Microsoft Corporation | Inserting devices specific content |
| US6715085B2 (en) * | 2002-04-18 | 2004-03-30 | International Business Machines Corporation | Initializing, maintaining, updating and recovering secure operation within an integrated system employing a data access control function |
| US7266842B2 (en) * | 2002-04-18 | 2007-09-04 | International Business Machines Corporation | Control function implementing selective transparent data authentication within an integrated system |
| US6851056B2 (en) | 2002-04-18 | 2005-02-01 | International Business Machines Corporation | Control function employing a requesting master id and a data address to qualify data access within an integrated system |
| US7089419B2 (en) | 2002-04-18 | 2006-08-08 | International Business Machines Corporation | Control function with multiple security states for facilitating secure operation of an integrated system |
| US20030233477A1 (en) * | 2002-06-17 | 2003-12-18 | Microsoft Corporation | Extensible infrastructure for manipulating messages communicated over a distributed network |
| US7574653B2 (en) | 2002-10-11 | 2009-08-11 | Microsoft Corporation | Adaptive image formatting control |
| US7275032B2 (en) * | 2003-04-25 | 2007-09-25 | Bvoice Corporation | Telephone call handling center where operators utilize synthesized voices generated or modified to exhibit or omit prescribed speech characteristics |
| US7596782B2 (en) * | 2003-10-24 | 2009-09-29 | Microsoft Corporation | Software build extensibility |
| US7890604B2 (en) | 2004-05-07 | 2011-02-15 | Microsoft Corproation | Client-side callbacks to server events |
| US8065600B2 (en) | 2004-05-14 | 2011-11-22 | Microsoft Corporation | Systems and methods for defining web content navigation |
| US7464386B2 (en) * | 2004-05-17 | 2008-12-09 | Microsoft Corporation | Data controls architecture |
| US8156448B2 (en) * | 2004-05-28 | 2012-04-10 | Microsoft Corporation | Site navigation and site navigation data source |
| US20060020883A1 (en) * | 2004-05-28 | 2006-01-26 | Microsoft Corporation | Web page personalization |
| US7530058B2 (en) * | 2004-05-28 | 2009-05-05 | Microsoft Corporation | Non-compile pages |
| US7461268B2 (en) * | 2004-07-15 | 2008-12-02 | International Business Machines Corporation | E-fuses for storing security version data |
| US7774829B2 (en) * | 2006-06-20 | 2010-08-10 | Lenovo (Singapore) Pte. Ltd. | Computer access control using password reset |
| EP2544157A1 (en) * | 2011-07-04 | 2013-01-09 | ZF Friedrichshafen AG | Technique for intrusion detection |
| DE102016113844B4 (de) * | 2016-07-27 | 2018-02-08 | Fujitsu Technology Solutions Intellectual Property Gmbh | Schalteranordnung für ein elektronisches Gerät und Computersystem |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4757533A (en) * | 1985-09-11 | 1988-07-12 | Computer Security Corporation | Security system for microcomputers |
| US4959860A (en) * | 1989-02-07 | 1990-09-25 | Compaq Computer Corporation | Power-on password functions for computer system |
| US5144659A (en) * | 1989-04-19 | 1992-09-01 | Richard P. Jones | Computer file protection system |
-
1992
- 1992-05-27 US US07/889,325 patent/US5918007A/en not_active Expired - Fee Related
-
1993
- 1993-04-08 JP JP5081631A patent/JP2509438B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1329786C (zh) * | 2005-07-28 | 2007-08-01 | 深圳兆日技术有限公司 | 一种避免字典攻击的方法 |
| US10645785B2 (en) | 2018-04-26 | 2020-05-05 | Giga-Byte Technology Co., Ltd. | Illumination dummy module |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2509438B2 (ja) | 1996-06-19 |
| US5918007A (en) | 1999-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2509438B2 (ja) | セキュリティ機構を有するコンピュ―タ・システム | |
| JP2565629B2 (ja) | セキュリティ機構を備えたコンピュータ・システム及び該システムの操作方法 | |
| JP3074641B2 (ja) | パーソナル・コンピュータにおけるセキュリティ管理方法及び装置 | |
| US5555373A (en) | Inactivity monitor for trusted personal computer system | |
| US5712973A (en) | Wireless proximity containment security | |
| US5287519A (en) | LAN station personal computer system with controlled data access for normal and unauthorized users and method | |
| JP2708349B2 (ja) | セキュリティ機構を備えたコンピュータ・システム及び該機構の管理方法 | |
| KR970006392B1 (ko) | 보안 기능을 갖는 퍼스널 컴퓨터 시스템 | |
| US5970227A (en) | Wireless proximity detector security feature | |
| US6286102B1 (en) | Selective wireless disablement for computers passing through a security checkpoint | |
| US5542044A (en) | Security device for a computer, and methods of constructing and utilizing same | |
| US7107460B2 (en) | Method and system for securing enablement access to a data security device | |
| JP3539907B2 (ja) | ブート可能プログラムを備えたコンピュータ | |
| US5434562A (en) | Method for limiting computer access to peripheral devices | |
| US8869308B2 (en) | Computer motherboard having peripheral security functions | |
| US6098171A (en) | Personal computer ROM scan startup protection | |
| US20020095557A1 (en) | Virtual data storage (VDS) system | |
| US5742758A (en) | Password protecting ROM based utilities in an adapter ROM | |
| KR20010049886A (ko) | 시스템 바이오스를 플래쉬하는 항바이러스 및 하드웨어독립 방법 | |
| US7392398B1 (en) | Method and apparatus for protection of computer assets from unauthorized access | |
| US20040003265A1 (en) | Secure method for BIOS flash data update | |
| JPH0675713A (ja) | マイコンのハード・ディスクの読み書きを制御する方法及び装置 | |
| JPH10143443A (ja) | コンピュータシステムおよび同システムにおけるハードディスクパスワード制御方法 | |
| Du et al. | Trusted firmware services based on TPM | |
| HRP950417A2 (en) | A system for the protection of personal computers from an unauthorized use |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |