RO116510B1 - Cartela de extensie isa si metoda pentru protectia calculatoarelor ibm-pc si compatibile impotriva folosirii de catre persoane neautorizate - Google Patents

Cartela de extensie isa si metoda pentru protectia calculatoarelor ibm-pc si compatibile impotriva folosirii de catre persoane neautorizate Download PDF

Info

Publication number
RO116510B1
RO116510B1 RO9900065A RO9900065A RO116510B1 RO 116510 B1 RO116510 B1 RO 116510B1 RO 9900065 A RO9900065 A RO 9900065A RO 9900065 A RO9900065 A RO 9900065A RO 116510 B1 RO116510 B1 RO 116510B1
Authority
RO
Romania
Prior art keywords
password
program
memory
data
page
Prior art date
Application number
RO9900065A
Other languages
English (en)
Inventor
Dan Tudor Vuza
Marian Vladescu
Original Assignee
Dan Tudor Vuza
Marian Vladescu
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dan Tudor Vuza, Marian Vladescu filed Critical Dan Tudor Vuza
Priority to RO9900065A priority Critical patent/RO116510B1/ro
Priority to PCT/RO2000/000002 priority patent/WO2000042489A2/en
Publication of RO116510B1 publication Critical patent/RO116510B1/ro

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/1097Boot, Start, Initialise, Power

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Inventia se refera la o cartela de extensie de tip ISA si o metoda ce asigura protectia calculatoarelor IBM-PC si compatibile impotriva utilizarii de catre persoane neautorizate. Inventia consta dintr-o cartela de tip ISA, alcatuita dintr-un bloc de memorie de tip EEPROM (1), un bloc decodor (2), un bloc comutator de pagini de memorie (3), un bloc de control (4) si un conector standard ISA (5) si este prevazuta cu un program de verificare a identitatii utilizatorului pe baza unei parole ce poate fi introdusa prin intermediul tastaturii calculatorului, printr-un disc flexibil sau prin combinarea ambelor modalitati si de gestiune a listei utilizatorilor cu drept de acces la calculator si circuite electronice care asigura secretul programului si al datelor asociate cu utilizatorii. Metoda de protectie asigura imposibilitatea accesului la codul programului si la datele asociate cu utilizatorii, oricare ar fi procedeul software de atac folosit. Cartela ocupa un interval de memorie minim in spatiul de adrese de memorie rezervat cartelelor ISA si nu face uz de spatiul de adrese de porturi I/O.

Description

Invenția se referă la o cartelă de extensie de tip ISA și la o metodă ce asigură protecția calculatoarelor IBM-PC și compatibile. împotriva utilizării de către persoane neautorizate.
Problema controlului accesului la calculatoarele de tip personal (care se pune cu importanță deosebită, în cazul când acestea sunt conectate în rețea) este, în prezent, abordată pe următoarele căi:
A) protecția oferită de sistemul BIOS (Basic Input Output System) al calculatorului, prin intermediul parolelor verificate la pornirea acestuia;
B) protecția oferită de sistemele de operare, prin intermediul conturilor de utilizatori cu parole.
în cazul A, sistemul folosit de majoritatea producătorilor de calculatoare personale constă dintr-o parolă pe care utilizatorul trebuie să o introducă în primele momente, după pornirea calculatorului; încărcarea oricărui sistem de operarea este posibilă numai după introducerea corectă a parolei. Parola este stabilită de utilizator prin intermediul programului BIOS, de configurare, și este păstrată, de obicei, sub formă criptată, în memoria nevolatilă, care conține datele de configurație ale calculatorului; decriptarea și verificarea corectitudinii introducerii parolei se face de către o subrutină a programului POST (Power-On Seif Test], conținut în BIOS. Unele calculatoare oferă o a doua parolă care protejează accesul la programul de configurare.
Sistemul de parole oferit de BIOS asigură un anumit grad de protecție, considerat acceptabil pentru utilizatorii ce nu gestionează date importante, dar are și un număr de neajunsuri dintre care cele pe care le considerăm mai importante sunt enumerate mai jos:
- posibilitatea aflării parolei de către persoanele neautorizate, după pornirea calculatorului. Acest lucru este realizabil prin executarea de către persoana neautorizată, în timpul când calculatorul nu este supravegheat, a unui program care să copieze conținutul memoriei nevolatile, în care se află parola și al memoriei ROM, în care se află programele BIOS. Odată aflată în posesia acestor date, persoana poate identifica algoritmul de decriptare a parolei precum și adresa din memoria nevolatilă, la care se găsește parola. Posibilitatea pe care o semnalăm a fost probată de către autorii invenției, pe un model de calculator de largă folosință.
- parola se poate introduce numai prin tastare, putând fi observată de către o persoană aflată în apropierea utilizatorului.
- limitarea la o singură parolă obligă utilizatorul care are acces la calculatoare diferite, să memoreze mai multe parole.
-în cazul în care utilizatorul a uitat parola, accesul în sistem se poate face numai prin intervenție în interiorul calculatorului. Pentru a evita aceasta, fabricanții programelor BIOS au prevăzut și posibilitatea accesului în sistem, pe baza unei parole alternative, valabilă pentru o anumită versiune de BIOS, ce poate fi introdusă în locul parolei utilizatorului. Divulgarea acestei parole compromite securitatea sistemului.
în cazul B, există avantajul parolelor multiple, pentru un anumit calculator, dar există totodată și dezavantajul posibilității ocolirii protecției, prin încărcarea unui sistem de operare alternativ, de pe unitatea de disc flexibil.
Invenția de față constă într-o metodă pentru protecția calculatoarelor precum și în implementarea acesteia, sub forma unei cartele de extensie, de tip ISA. Circuitele electronice aflate pe cartela de extensie ISA asigură secretul programului de verificare f
RO 116510 Bl a identității utilizatorului si al datelor asociate cu utilizatorii, aflate în memoria cartelei. Protecția oferită de cartelă devine activă, odată cu conectarea acesteia la calculator, prin intermediul unui conector ISA. La fiecare punere sub tensiune a calculatorului, programul aflat în memoria cartelei verifică identitatea utilizatorului și calitatea acestuia de 50 administrator cu dreptul de gestiune a listei utilizatorilor cu drept de acces la calculator. Verificarea presupune introducerea numelui și a parolei, prin intermediul tastaturii calculatorului, printr-un disc flexibil sau prin combinarea ambelor modalități, după care permite încărcarea sistemului de operare, numai dacă datele introduse sunt în concordanță cu cele aflate în membria cartelei. Combinarea celor două parole este 55 indicată în situația când se dorește un grad sporit de securitate, deoarece sistemul va solicita, în acest caz, introducerea ambelor parole. Parola tastată (care poate fi observată de o persoană aflată în apropiere) nu va putea fi utilizată fără parola de pe disc și reciproc, parola de pe disc nu va putea fi utilizată, fără parola tastată (asigurându-se astfel protecția calculatorului, în cazul pierderii discului). 60
Cartela de extensie ISA și metoda pentru protecția calculatoarelor IBM-PC și compatibile împotriva folosirii de către persoane neautorizate, conform invenției, asigură un grad ridicat de securitate, combinând avantajele abordărilor A și B și, totodată, eliminând o parte din dezavantajele acestor abordări.
Invenția prezintă următoarele caracteristici: 65
- posibilitatea aflării parolei este rezolvată prin protecția, cu mijloace electronice, a secretului programelor și a datelor asociate cu utilizatorii: după încheierea verificării identității, circuitele logice de pe cartelă împiedică accesul ulterior, la conținutul memoriei EEPROM, care devine, astfe.l practic invizibilă din punctul de vedere al oricărui procedeu software. 70
- introducerea parolei este rezolvată prin oferirea alternativei folosirii unității de disc flexibil, în locul tastaturii, pentru introducerea parolei. în vederea asigurării unei securități sporite, s-a prevăzut și posibilitatea mixtă de a introduce o parte a parolei prin tastatură, restul fiind citit de pe unitatea de disc flexibil.
- necesitatea memorării mai multor parole este rezolvată prin capacitatea de a 75 memora date asociate cu un număr sporit de utilizatori.
- prin folosirea paginării memoriei EEPROM, spațiul ocupat în intervalul de adrese rezervat cartelelor de extensie este redus la numai 2 Kbytes.
- controlul cartelei se face exclusiv prin fereastra de memorie, evitându-se complet folosirea spațiului de adrese de porturi l/O și, prin acesta, eventualele conflicte cu 8o hardware-ul existent în calculator.
întrucât protecția oferită de cartelă este activă numai atâta timp, cât cartela este conectată la calculator, utilizatorului îi revine sarcina asigurării împotriva accesului persoanelor neautorizate, în interiorul calculatorului. Unele calculatoare moderne (de exemplu seria Vectra VL produsă de Hewlett-Packard) permit accesul în interior, numai 85 dacă se acționează un mecanism de deblocare, prin intermediul unei chei; rezultă că pe un astfel de calculator, protecția oferită de invenție va avea o eficiență sporită. Autorii sugerează, de asemenea, posibilitatea integrării cartelei pe una din componentele esențiale ale calculatorului (de exemplu, placa de bază sau placa video), astfel încât acesta să nu poată funcționa fără cartela de protecție. 90
Se dă, în continuare, un exemplu de realizare a invenției, în legătură cu fig. 1 . . .6, care reprezintă:
RO 116510 Bl
-fig.1, schema bloc a cartelei de extensie ISA, pentru protecția calculatoarelor IBM-PC și compatibile, împotriva folosirii de către persoane neautorizate;
- fig.2, schema de principiu, a cartelei de extensie ISA pentru protecția calculatoarelor IBM-PC și compatibile, împotriva folosirii de către persoane neautorizate;
-fig.3, organigrama programului de încărcare;
- fig.4, organigrama programului de verificare a parolei;
- fig.5, organigrama programului de creare a parolei pe disc;
- fig.6, organigrama programului de citire a parolei de pe disc.
Schema bloc a cartelei de extensie ISA este prezentată în fig.1. Se pot distinge următoarele blocuri funcționale ale cartelei; memoria EEPROM 1, decodorul 2, comutatorul de pagini de memorie 3, circuitul de control 4 și conectorul standard ISA
5.
Schema de principiu a cartelei de extensie ISA este prezentată în fig.2. Se pot identifica blocurile funcționale ale cartelei după cum urmează:
- memoria EEPROM 1 este formată din circuitul U9;
- decodorul 2 este format din circuitele logice combinaționale U3A-B, U4A-F, U5A-C, U6A-C și U7A;
- comutatorul de pagini de memorie 3, format din bistabilii de tip D U1A-B și U2A-B;
- circuitul de control 4 al semnalului SET format din circuitele logice combinaționale U5D, U7B, porțile trigger Schmitt U8A-B și circuitul de întârziere R3C11
Interfața cartelă-calculator este realizată prin următoarele semnale de pe conectorul standard ISA 5 SDO - SD7, SA19, SMRDC, SMWTC și RESET.
Descriem, în continuare, funcționarea cartelei.
Memoria EEPROM 1, de capacitate - minimum 16 KBytes - este conectată la liniile de date, liniile de adrese ΑΟ-Α9 și semnalul de citire OE la semnalele ISA corespunzătoare, în timp ce adresele A1O-A13 sunt furnizate de comutatorul de pagini, iar semnalele de selectare CE și de scriere WE sunt furnizate de blocul decodor.
Blocul decodor 2 primește adresele SA1O și SA16- SA19 de pe conectorul ISA. Semnalele SA16-SA19 sunt decodificate pentru a genera semnalul de selectare CE al memoriei EEPROM, ori de câte ori calculatorul inițiază un ciclu de citire/scriere în intervalul de adrese CF8OOh-CFFFFh, de lungime 2Kbytes. întrucât memoria primește numai adresele ISA SAO-SA9, rezultă că mărimea paginii de memorie este de 1 Kbyte și că pagina apare dedublată în interiorul ferestrei de 2 Kbytes, odată la adresa CF800h și a doua oară la adresa CFCOOh. Prin aceasta, s-a urmărit ca semnalul ISA SA1O să fie controlat de către blocul decodor, cu următorul efect: orice ciclu ISA de scriere în intervalul de adrese CF800h-CFBFFh (SA1O=O) activează semnalul de scriere WE al memoriei EEPROM având ca rezultat scrierea în pagina de memorie activă în acel moment, în timp ce orice ciclu ISA de scriere în intervalul CFCOOh-CFFFFh (SA1O=1) activează semnalul CLOCK al bistabililor comutatorului de pagini, având ca rezultat comutarea unei noi pagini de memorie, identificată prin datele prezente pe liniile ISA SDOSD3.
La punerea sub tensiune a calculatorului, semnalul RESET de pe conectorul ISA acționează prin intermediul blocului de control 4 de pe cartelă semnalul SET de presetare
140
RO 116510 Bl a celor patru bistabili ai comutatorului de pagini 3, având ca rezultat activarea paginii O a memoriei EEPROM.
Conform standardului ISA, programul POST, activat la punerea sub tensiune și la reinițializarea calculatorului, examinează adresele multipli de 2 Kbytes din intervalul de adrese COOOOh-CFFFFh, probând existența unei structuri de date care să ateste prezența la acea adresă a unei cartele de extensie. întrucât memoria EEPROM de pe cartela descrisă este accesibilă în ultimii 2 Kbytes ai intervalului menționat, iar prima pagină a memoriei, activă după punerea sub tensiune, conține structura de date specifică cartelelor de extensie
ISA, urmează că POST ca detecta prezența cartelei și va preda controlul programului conținut în prima pagină a memoriei.
Spațiul celor 16 Kbytes ai memoriei EEPROM 1 este folosit după cum urmează:
- programul de încărcare (pagina O);
- programul de verificare a identității utilizatorilor cu drept de acces la calculator și de gestionare a listei acestor utilizatori;
- pagina datelor asociate cu utilizatorii cu drept de acces la calculator, conținând numele acestora, parolele, precum și semnalarea utilizatorilor care au dreptul de a modifica pagina;
- pagina de protecție a secretului programului și a datelor (pagina 15).
Programul de încărcare, a cărui execuție este declanșată de către POST, realizează încărcarea în memoria convențională a programului de verificare a parolei, după care predă controlul acestuia din urmă. încărcarea se realizează prin comutarea paginilor de memorie EEPROM, ceea ce, conform descrierii precedente, revine la scrierea valorii negate a numărului paginii la adresa CFCOOh (valoarea trebuie negată deoarece s-au folosit ieșirile QBAR ale bistabililor).
Programul de verificare a parolei solicită introducerea numelui utilizatorului și a parolei acestuia, verificarea realizându-se pe baza datelor existente în pagina de memorie EEPROM. în situația în care datele nu au fost introduse corect după trei încercări, calculatorul este blocat putând fi repornit numai prin reinițializare, ceea ce duce la reexecutarea programului de verificare a identității.
în situația în care datele au fost introduse corect, iar utilizatorul are dreptul de a modifica pagina datelor asociate cu utilizatorii cu drept de acces la calculator, se poate cere executarea programului de gestionare a acestor date. După cum s-a arătat mai sus, modificarea se face prin scrierea în intervalul de adrese CF800h-CFBFFh, ceea ce are ca efect reprogramarea paginii de memorie EEPROM.
La încheierea programului de verificare a parolei, controlul este redat programului de încărcare (aceasta are loc numai dacă utilizatorului i s-a acordat dreptul de acces). Programul de încărcare va comuta pagina 15 de protecție a secretului pogramului și a datelor, după care va reda controlul programului POST.
Comutarea paginii 15 are ca efect activarea semnalului INVALID de către poarta U3A. Acest semnal este preluat de către blocurile decodor și de control al semnalului SET, activarea sa având următoarele efecte;
- semnalul de CLOCK al bistabililor comutatorului de pagini este inhibat, implicând imposibilitatea comutării ulterioare a paginilor de memorie EEPROM;
- semnalul de scriere WE către memoria EEPROM este inhibat, implicând protejarea paginii 15 față de încercările de scriere;
145
150
155
160
165
170
175
180
RO 116510 Bl
- semnalul SET de presetare a comutatorului de pagini este inhibat de către blocul de control al semnalului SET.
Din cele de mai sus rezultă că pe toată perioada funcționării calculatorului, orice program va avea acces numai la pagina 15 a memoriei EEPROM, care va fi percepută ca memorie read-only, restul paginilor fiind protejate împotriva accesului din exterior, oricare ar fi procedeul software utilizat.
Pagina 15 conține structura de date care permite recunoașterea de către POST a prezenței unei cartele de extensie; rutina de pe această pagină care va fi executată de către POST se reduce la o instrucțiune RETURN. Prin aceasta s-a urmărit ca în eventualitatea în care utilizatorul dorește instalarea unei cartele ISA suplimentare, programul de instalare să poată observa că intervalul CF800h-CFFFFh este ocupat de către o altă cartelă.
Scopul inhibării semnalului SET de presetare a comutatorului de pagini este justificat prin faptul că, în calculatoarele înzestrate cu bus PCI, semnalul RESET de pe conectorul ISA este generat de circuitul de interfață PCI-ISA; acesta posedă de regulă regiștri de comandă, prin programarea cărora semnalul RESET poate fi activat chiar și după terminarea programului POST. O astfel de eventualitate ar putea permite accesarea tuturor paginilor memorie EEPROM după terminarea programului POST, dacă blocul de control nu ar bloca semnalul SET.
Deoarece blocarea semnalului SET este condiționată de stările bistabililor de comutare a paginilor, este necesar ca la punerea sub tensiune semnalul SET să poată acționa un timp suficient, fără a fi afectat de ieșirile bistabililor, care inițial pot avea valori nedeterminate. în acest scop s-au introdus poarta trigger Schmit U8A și circuitul de întârziere R3-C11. La punerea sub tensiune semnalul SET este activ cel puțin până în momentul când tensiunea pe C2 atinge pragul de comutare al trigger-ului. După acest moment semnalul SET va putea fi activat de către semnalul RESET de pe conectorul ISA până la blocarea sa în momentul comutării paginii 15. Prin aceasta s-a urmărit asigurarea reluării corecte a execuției programului de verificare a identității în cazul în care utilizatorul reinițializează calculatorul în timpul execuției acestui program.
Din principiul de funcționare al blocului de control al semnalului SET rezultă, de asemenea, că programul de verificare a identității este activat numai la punerea sub tensiune a calculatorului; reinițializarea acestuia fără deconectarea alimentării nu va duce la activarea programului.
Vom descrie în continuare algoritmii principali ai programului aflat în memoria cartelei de extensie ISA pentru protecția calculatoarelor IBM-PC și compabile împotriva folosirii de către persoane neautorizate:
Algoritmul programului de încărcare.
a] Programul POST apelează punctul de intrare a programelor, unde va găsi programul de încărcare a cărui organigramă este prezentată în fig.3.
b] Conținutul celor 24KB de memorie RAM aflate în vârful memoriei de bază este salvat într-o pagină invizibilă a memoriei video RAM. Acest lucru este necesar pentru a preveni situațiile în care anumite versiuni ale progranului POST ar putea utiliza întreaga memorie de bază ca spațiu de lucru.
c] Pagina O memoriei EEPROM este selectată atunci când ieșirile celor patru bistabili au valoarea 1 ca urmare a aplicării pe intrările SET ale acestora a semnalului ISA f
RO 116510 Bl
230
RESET. Conținutul acestei pagini de dimensiune 1KB este copiat din EEPROM în zona de 24KB din memoria RAM, ce a fost eliberată prin procedeul descris mai sus.
d) Din acest moment programul se execută din RAM.
e) Se invalidează întreruperile.
f) Restul paginilor memoriei EEPROM sunt selectate pe rând și încărcate succesiv în memoria de bază. Selectarea unei pagini a memoriei EEPROM se face prin scrierea complementului numărului paginii la adresa CFCOOh.
g) Se verifică integritatea paginilor de memorie cu ajutorul codului CRC.
h) După încărcarea tuturor paginilor se selectează din nou pagina O a memoriei EEPROM pentru a preveni situațiile în care utilizatorul apasă CTL-ALT-DEL în timpul execuției programului de verificare a parolei. Această comandă are ca efect un restart cald și semnalul ISA RESET nu este în mod necesar activat. De aceea este necesar ca pagina O să fie selectată, astfel încât după restart programul POST să apeleze corect punctul de intrare a programului. Deoarece întreruperile sunt dezactivate în timpul încărcării paginilor de cod, comanda CTL-ALT-DEL nu trebuie să aibă nici un efect în acest interval.
i) Se validează apoi întreruperile.
j) Deoarece programul de verificare a parolei este scris în C++ este necesar ca programul de încărcare să realizeze realocarea segmentelor, sarcină care revine în mod normal programului de încărcare DOS.
k) Programul de încărcare apelează punctul de intrare a programului de verificare a parolei.
l) După execuția acestuia se revine la programul de încărcare.
m) Se selectează pagina 15a memoriei EEPROM, care are ca efect și activarea semnalului INVALID prin validarea porții U3A. Din acest moment paginile memoriei EEPROM nu mai pot fi comutate.
n) Se pregătesc regiștrii în vederea restaurării conținutului inițial al celor 24KB ai memoriei RAM copiați în memoria video.
o) Se face un salt la pagina 15 a memoriei EEPROM și din acest moment se execută programul din memoria EEPROM.
p) Se execută copierea conținutului celor 24KB din memoria video în memoria de bază.
q) Se revine în programul POST.
Algoritmul programului de verificare a parolei.
a) Programul de verificare a parolei a cărui organigramă este prezentată în fig.4 este apelat de către programul de încărcare. Se selectează pagina din EEPROM care conține datele despre utilizatori și se copiază conținutul acesteia în memoria de bază, întreruperile sunt invalidate în timpul transferului. După încheierea transferului se selectează pagina O și se validează întreruperile.
b) Se verifică integritatea datelor cu ajutorul codului CRC.
c) Dacă nu există date ale utilizatorilor se lansează programul de administrare a parolelor.
d) Dacă există date ale utilizatorilor se efectuează verificarea solicitându-se introducerea numelui și identificarea ca utilizator (prin apăsarea ENTER) sau administrator (prin apăsarea SHIFT-ENTER).
235
240
245
250
255
260
265
270
RO 116510 Bl
e) Se solicită apoi introducerea parolei prin alegerea uneia din următoarele opțiuni:
- se introduce parola de la tastatură (și se apasă ENTER);
- se introduce discul cu parola salvată în unitatea A (și se apasă ENTER). în absența discului se poate introduce parola salvată pe disc de la tastatură (și se apasă ENTER);
- se introduce parola de la tastatură și discul cu parolă în unitatea A (și se apasă SHIFT-ENTER). în absența discului se poate introduce parola de la tastatură urmată de parola salvată pe disc (și se apasă ENTER);
f) Parola salvată pe disc se citește cu programul de citire a parolei de pe disc.
g) Parola mixtă este formată din parola introdusă de la tastatură și parola salvată pe disc.
h) Dacă numele și parola introduse sunt găsite în pagina de date ale utilizatorilor, se revine la programul de încărcare. în caz contrar, se solicită din nou introducerea datelor. La a treia încercare eronată computerul trece în starea HALT.
i) Programul de administrare a parolelor este lansat numai dacă utilizatorul care a cerut acest lucru este înregistrat ca administrator în pagina cu date ale utilizatorilor.
Algoritmul programului de administrare.
a) Verificarea parolei se face de către programul de verificare a parolei. Se execută una din următoarele operații:
- adaugă administrator;
- adaugă utilizator;
- elimină utilizator;
- modifică parola;
- anulează modificările (prin copierea paginii cu datele despre utilizatori din EEPROM în memoria de bază).
b) Parola pe discul flexibil poate fi adăugată la cerere cu programul de creare a parolei pe disc.
c) Dacă pagina cu date ale utilizatorilor s-a modificat, aceasta se salvează în EEPROM după primirea confirmării.
Algoritmul programului de creare a parolei pe disc.
a) Programul de creare a parolei pe disc a cărui organigramă este prezentată în fig.5 este apelat de către programul de încărcare. Se caută o intrare cu atributul Volume în structura de directoare a discului flexibil. Dacă nu se găsește, se creează o intrare cu eticheta blank (fără conținut).
b) Se caută următoarea intrare cu atributul Volume. Dacă se găsește, se lansează programul de citire a parolei de pe disc pentru a vedea dacă există deja o parolă. Se șterge parola anterioară dacă aceasta există. Dacă nu se gășește nici o intrare se creează una și se folosește eticheta acesteia pentru stocarea parolei codificate.
c) Dacă parola codificată nu încape în conținutul unei singure intrări cu atributul Volume, se creează o nouă intrare cu atributul Volume și se utilizează amândouă pentru stocarea parolei criptate. Intrările cu atributul Volume utilizate pentru stocarea parolei nu pot fi afișate prin comenzi DOS deoarece numai datele din prima intrare cu atributul Volume din structura de directoare este utilizată de DOS ca etichetă a discului.
Algoritmul programului de citire a parolei de pe disc.
r
RO 116510 Bl
a) Programul de citire a parolei de pe disc a cărui organigramă este prezentată în fig.6 este apelat de către programul de verificare a parolei. Se caută o intrare cu 320 atributul Volume în structura de directoare a discului flexibil. Dacă nu se găsește, atunci discul nu conține parolă.
b) Se sare peste prima intrare cu atributul Volume și se caută următoarea. Dacă nu se găsește, atunci discul nu conține parolă.
c) Se decodifică datele aflate în conținutul etichetei (11 caractere) intrării cu 325 atributul Volume. Dacă nu poate fi decodificată corect, atunci discul nu conține parolă.
d) Se caută următoarea intrare cu atributul Volume” dacă datele decodificate indică acest lucru. Dacă se găsește intrarea și se decodifică corect, se utilizează datele din ambele intrări pentru a reconstitui parola.
330 Revendicări

Claims (8)

1. Cartelă de extensie de tip ISA, ce asigură protecția calculatoarelor IBM-PC și compatibile, împotriva utilizării de către persoane neautorizate, caracterizată prin aceea că este prevăzută cu un bloc de memorie (1), constituit din memoria EEPROM 335 (U9) ce conține un program de verificare a identității utilizatorului și de gestiune a listei utilizatorilor cu drept de acces la calculator, conectat cu liniile de date l/OO,-l/O7, de adrese AO-A9 și cu semnalul de citire OE la semnalele ISA corespunzătoare, iar cu liniile de adrese A1O-A13 la un bloc comutator de pagini de memorie (3) și cu semnalele de selectare CE și de scriere WE la un bloc decodor (2), blocul decodor (2) fiind constituit 340 din niște circuite logice combinaționale (U3A-B, U4A-F, U5A-C, U6A-C, U7A) și conectat cu semnalele SA1O-SA19 și SMWTC, la semnalele ISA corespunzătoare și cu semnalele EA1O- EA13 și CLOCK la blocul comutator de pagini de memorie (3), acest bloc fiind constituit din niște bistabili de tip D (U1A-B, U2A-B) și conectat cu semnalele SDO-SD3 la semnalele ISA corespunzătoare și cu semnalul SET la un bloc de control (4), 345 blocul de control (4) al semnalului SET fiind constituit din niște circuite logice combinaționale (U5D, U7B), porți trigger Schmitt (U8A-B) și un circuit de întârziere (R3C11) cu semnalul INVALID conectat la blocul decodificator (2) și cu semnalul RESET la semnalul ISA corespunzător, memoria (1) fiind conectată la calculator printr-un conector standard ISA (5), asigurând imposibilitatea accesului la codul programului și la datele 350 asociate cu utilizatorii, oricare ar fi procedeul software de atac folosit.
2. Metodă pentru protecția calculatoarelor IBM-PC și compatibile, împotriva folosirii de către persoane neautorizate, caracterizată prin aceea că, într-o primă etapă, la punerea sub tensiune a calculatorului, programul POST detectează prezența cartelei de extensie și predă controlul programului de încărcare conținut 355 în prima pagină a memoriei EEPROM (1), activată după punerea sub tensiune, într-o a doua etapă programul de încărcare realizează încărcarea în memoria convențională a programului de verificare a parolei, prin comutarea paginilor de memorie EEPROM (1), după care predă controlul programului de verificare a parolei, într-o a treia etapă, programul de verificare a parolei solicită introducerea numelui utilizatorului și a parolei 360 acestuia, folosind datele existente în pagina de memorie EEPROM, urmată de o a patra etapă în care, dacă datele nu au fost introduse corect, după trei încercări calculatorul este blocat putând fi repornit numai prin reinițializare, ceea ce duce la reexecutarea
RO 116510 Bl programului de verificare a identității, iar dacă datele au fost introduse corect și utilizatorul are dreptul de a modifica pagina datelor asociate cu utilizatorii cu drept de acces la calculator poate cere executarea programului de gestionare a acestor date, într-o a cincea etapă, dacă utilizatorului i s-a acordat dreptul de acces, programul de verificare a parolei predă controlul programului de încărcare, iar acesta va comuta pagina cincisprezece a memoriei (1) care asigură protecția secretului programului și a datelor inhibând semnalul CLOCK al bistabililor comutatorului de pagini, semnalul de scriere WE către memoria (1) și semnalul SET de presetare a comutatorului de pagini, după care se revine la programul POST.
3. Metodă conform revendicării 2, caracterizată prin aceea că etapa programului de verificare a parolei cuprinde o fază de selectare a paginii din memoria EEPROM (1), care conține datele despre utilizatori și de copiere a conținutului acesteia în memoria de bază, într-o a doua fază se verifică integritatea datelor cu ajutorul codului ORC și dacă nu există date ale utilizatorilor se lansează programul de administrare a parolelor, iar dacă există date ale utilizatorilor se efectuează verificarea solicitându-se introducerea numelui și identificarea persoanei fie ca utilizator fie ca administrator și întro a treia fază se solicită introducerea parolei.
4. Metodă conform revendicării 3, caracterizată prin aceea că introducerea parolei se face de la tastatură.
5. Metodă conform revendicării 3, caracterizată prin aceea că introducerea parolei se face de pe o dischetă.
6. Metodă conform revendicării 3, caracterizată prin aceea că introducerea parolei se face atât de la tastatură, cât și de pe dischetă.
7. Metodă conform revendicării 3, caracterizată prin aceea că pentru crearea parolei pe discheta, din programul de încărcare, se caută o intrare cu atributul Volume în structura de directoare a discului flexibil, iar dacă aceasta nu se găsește se creează una fără conținut, apoi se caută următoarea intrare cu atributul Volume și dacă aceasta se găsește, se lansează programul de citire a parolei de pe dischetă pentru a vedea dacă există deja o parolă, iar dacă există o parolă, aceasta se șterge și, dacă nu se găsește nici o intrare, se creează una și se folosește eticheta acesteia, pentru stocarea parolei codificate, iar dacă parola codificată nu încape în conținutul unei singure intrări cu atributul Volume, se creează o nouă intrare cu acest atribut și se utilizează amândouă pentru stocarea parolei criptate.
8. Metodă conform revendicării 7, caracterizată prin aceea că etapa de citire a parolei de pe dischetă presupune căutarea unei intrări cu atributitul Volume în structura de directoare a discului flexibil și dacă o astfel de intrare nu este găsită, atunci discheta nu conține parolă, apoi se sare peste prima intrare cu atributul Volume și se caută următoarea și dacă aceasta nu se găsește,atunci discul nu conține parolă, iar în continuare se decodifică datele aflate în cele unsprezece caractere ce alcătuiesc eticheta intrării cu atributul Volume și dacă eticheta nu poate fi decodificată corect, atunci discul nu conține parolă și se caută următoarea intrare cu atributul Volume dacă datele decodificate indică acest lucru, iar dacă se găsește intrarea și se decodifică corect, se utilizează datele din ambele intrări pentru a reconstitui parola.
RO9900065A 1999-01-19 1999-01-19 Cartela de extensie isa si metoda pentru protectia calculatoarelor ibm-pc si compatibile impotriva folosirii de catre persoane neautorizate RO116510B1 (ro)

Priority Applications (2)

Application Number Priority Date Filing Date Title
RO9900065A RO116510B1 (ro) 1999-01-19 1999-01-19 Cartela de extensie isa si metoda pentru protectia calculatoarelor ibm-pc si compatibile impotriva folosirii de catre persoane neautorizate
PCT/RO2000/000002 WO2000042489A2 (en) 1999-01-19 2000-01-18 Isa extension card and method for protection of ibm-pc and compatible computers against unauthorized persons use

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RO9900065A RO116510B1 (ro) 1999-01-19 1999-01-19 Cartela de extensie isa si metoda pentru protectia calculatoarelor ibm-pc si compatibile impotriva folosirii de catre persoane neautorizate

Publications (1)

Publication Number Publication Date
RO116510B1 true RO116510B1 (ro) 2001-02-28

Family

ID=20107190

Family Applications (1)

Application Number Title Priority Date Filing Date
RO9900065A RO116510B1 (ro) 1999-01-19 1999-01-19 Cartela de extensie isa si metoda pentru protectia calculatoarelor ibm-pc si compatibile impotriva folosirii de catre persoane neautorizate

Country Status (2)

Country Link
RO (1) RO116510B1 (ro)
WO (1) WO2000042489A2 (ro)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180241743A1 (en) 2017-02-21 2018-08-23 Google Inc. Integrated Second Factor Authentication

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0449242A3 (en) * 1990-03-28 1992-10-28 National Semiconductor Corporation Method and structure for providing computer security and virus prevention
DE4123126C1 (ro) * 1991-07-12 1992-06-25 Man Roland Druckmaschinen Ag, 6050 Offenbach, De
CA2187855A1 (en) * 1995-12-12 1997-06-13 Albert Joseph Marcel Bissonnette Method and device for securing computers

Also Published As

Publication number Publication date
WO2000042489A2 (en) 2000-07-20
WO2000042489A3 (en) 2000-12-07
WO2000042489B1 (en) 2000-12-28

Similar Documents

Publication Publication Date Title
KR100906175B1 (ko) 프로세서에서 데이터 보안성을 갖는 메모리 장치
JP4322021B2 (ja) メモリカード
US5325430A (en) Encryption apparatus for computer device
US6681304B1 (en) Method and device for providing hidden storage in non-volatile memory
RU2067313C1 (ru) Устройство защиты от несанкционированного доступа к информации, хранимой в персональной эвм
JP2708349B2 (ja) セキュリティ機構を備えたコンピュータ・システム及び該機構の管理方法
CN111695163B (zh) 存储装置以及控制方法
US8275927B2 (en) Storage sub-system for a computer comprising write-once memory devices and write-many memory devices and related method
US8417902B2 (en) One-time-programmable memory emulation
KR20120104175A (ko) 일회기록 다회판독 메모리 장치의 인증 및 보안
JPH0350314B2 (ro)
JPH06266624A (ja) メモリの保護装置及びアドレスの発生方法
US20120110238A1 (en) Data security in solid state memory
KR20010032465A (ko) 위조 방지를 갖는 보안 메모리
GB2508252A (en) Providing write-protection to a memory device
JP7438924B2 (ja) 情報処理装置、方法及びプログラム
JP2003162452A (ja) 記憶媒体装置に格納されているデータを保護するためのシステム及び方法
CN103023647B (zh) 一种增强二次雷达fpga安全性的方法
US7054121B2 (en) Protection circuit for preventing unauthorized access to the memory device of a processor
JP2021060721A (ja) メモリシステム
US20040186947A1 (en) Access control system for nonvolatile memory
RU2263950C2 (ru) Устройство защиты от несанкционированного доступа к информации, хранимой в персональной эвм
CN112567349A (zh) 集成电路设备中文件的硬件保护
US20060221718A1 (en) Memory module and memory system having data protection function, and method for controlling the memory module
RU2212705C1 (ru) Устройство защиты от несанкционированного доступа к информации, хранимой в персональной эвм