TWI396993B - 具有一級驗證的電腦系統內資訊的訪問保護方法和系統 - Google Patents

具有一級驗證的電腦系統內資訊的訪問保護方法和系統 Download PDF

Info

Publication number
TWI396993B
TWI396993B TW097121901A TW97121901A TWI396993B TW I396993 B TWI396993 B TW I396993B TW 097121901 A TW097121901 A TW 097121901A TW 97121901 A TW97121901 A TW 97121901A TW I396993 B TWI396993 B TW I396993B
Authority
TW
Taiwan
Prior art keywords
computer system
computer
designated area
token
verification
Prior art date
Application number
TW097121901A
Other languages
English (en)
Other versions
TW200917082A (en
Inventor
Thiagarajan Ashwin
Original Assignee
Broadcom Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Broadcom Corp filed Critical Broadcom Corp
Publication of TW200917082A publication Critical patent/TW200917082A/zh
Application granted granted Critical
Publication of TWI396993B publication Critical patent/TWI396993B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Burglar Alarm Systems (AREA)
  • Alarm Systems (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)

Description

具有一級驗證的電腦系統內資訊的訪問保護方法和系統
本發明涉及電腦系統安全,更具體地說,涉及一種提高電腦系統訪問保護的方法和系統。
資訊竊取和非法傳送是一個挑戰性問題,大量的資訊需要保護,並且還要考慮高效進行資訊共用的需求。
有一類資訊竊取包括指定區域(例如校園或工作場所)外對電腦系統的竊取或非法傳送。由於這些電腦系統可能包含私人、保密和/或機密資訊,因此需要對電腦進行訪問保護,防止資訊被竊取或非法傳送。
目前的技術沒有充分解決這一嚴重問題。事實上,除了僅有的作業系統口令保護之外,許多電腦系統都缺乏對竊取或非法傳送的防護。
因此,需要一種電腦系統保護方法、系統或電腦程式產品,用於保護電腦系統免於遭遇資訊竊取或非法傳送。
本發明涉及電腦系統保護的方法、系統和電腦程式。
本發明的實施例保護竊取和/或非法傳送的電腦系統上的資訊免受未授權訪問。
本發明的實施例包括檢測電腦系統何時轉移到指定區域外的方法、系統和電腦程式。
本發明的實施例包括當電腦系統轉移到指定區域外時,觸發二級驗證的方法、系統和電腦程式。
本發明的實施例包括當電腦系統轉移到指定區域外時,鎖閉電腦系統的功能的方法、系統和電腦程式。
本發明的實施例包括阻止對電腦系統的作業系統、硬碟驅動器和外部驅動器中的一個或多個的訪問。
本發明的實施例包括基於電腦系統所處的位置允許對電腦系統的功能進行限制性訪問的方法、系統和電腦程式。這些功能可以包括列印文件、網路接入和訪問外部驅動器中的一個或多個。
本發明的實施例包括基於電腦系統所處的位置允許可變級別訪問保護的方法、系統和電腦程式。
本發明的實施例可使用射頻(RF)通信、紅外(IF)通信和/或GPS通信來實施。
本發明實施例的功能在電腦系統轉移到指定區域外時,無論電腦系統的電源模式如何,都起作用。
根據本發明的一方面,提供一種具有一級驗證的電腦系統內資訊的訪問保護的方法,包括:檢測所述電腦系統何時轉移到指定區域外;及當所述電腦系統轉移到指定區域外後,向所述電腦系統發送權杖;其中,當所述電腦系統隨後在所述指定區域外啟動時所述權杖觸發二級驗證,且當所述二級驗證失敗時將導致所述電腦系統的功能鎖閉。
作為優選,所述發送權杖的步驟包括與集成在所述電腦系統內的射頻(RF)通信部件進行通信。
作為優選,所述RF通信部件集成在主板上LAN(LOM)網路適配器中,所述適配器集成在所述電腦系統的主板上。
作為優選,所述發送權杖的步驟包括與RF通信部件進行通信,不管通信時所述電腦的電源模式如何。
作為優選,所述通信部件包括全球定位系統(GPS)接收機。
作為優選,所述檢測步驟包括對所述電腦系統的全球定位座標與所述指定區域的全球定位座標範圍進行比較。
作為優選,所述發送權杖的步驟包括當所述電腦系統位於所述指定區域內時向所述電腦系統發送權杖。
作為優選,在所述指定區域內發送的權杖當所述電腦系統轉移到指定區域外時被啟動。
作為優選,所述RF通信部件包括無線電接收機。
作為優選,所述檢測步驟由中央監視系統執行。
作為優選,所述檢測步驟包括檢測與所述電腦系統相關聯的代碼。
作為優選,所述發送權杖的步驟包括當所述電腦系統位於所述指定區域外時向所述電腦系統發送權杖。
作為優選,所述發送權杖的步驟包括在指定區域內下載所述權杖到所述電腦系統,並當所述電腦系統在指定區域外時在指定區域外啟動權杖。
作為優選,所述方法還包括:在資料庫中記錄相應於多個秘密問題的多個答案,其中,所述答案由所述電腦系統的合法用戶選擇並與所述用戶相關聯。
在所述資料庫中記錄多個由所述合法用戶選擇的用戶口令,其中,每一個所述用戶口令與對應的一組秘密問題及相應的答案相關聯。
作為優選,所述方法還包括:基於與所述合法用戶相關聯的一個或多個當前口令及所述電腦系統退出指定區域的時間產生所述權杖;其中所述權杖包括所述多個秘密問題中的一個秘密問題、多個答案中相應該秘密問題的答案、以及與所述秘密問題和答案關聯的口令。
作為優選,所述方法還包括當所述電腦系統啟動後, (a)提示用戶輸入與所述合法用戶相關聯的當前口令並接收用戶輸入;(b)驗證用戶輸入與所述當前口令是否一致;(c)如果在步驟(b)中口令驗證成功,則提示用戶輸入包含在所述權杖中的所述秘密問題,並接收用戶輸入;(d)使用包含在所述權杖中的相應答案驗證用戶針對所述秘密問題的輸入;(e)如果在步驟(d)中口令驗證成功,則提示用戶輸入與所述秘密問題和答案相關聯的口令,並接收用戶輸入;(f)驗證用戶輸入與所述相關聯口令是否一致;(g)如果在步驟(f)中口令驗證成功,則允許用戶訪問所述電腦系統的功能。
作為優選,所述二級驗證包括步驟(c)至)(f)。
作為優選,所述方法還包括:(h)如果任一所述驗證步驟連續失敗預定次數,則鎖閉所述電腦系統的功能。
作為優選,通過將所述電腦系統接入所述指定區域內的關聯網路系統,可繞開所述二級驗證。
作為優選,所述鎖閉所述電腦系統的功能包括阻止對作業系統、硬碟驅動器和與所述電腦系統相關聯的外部驅動器中的一個或多個的訪問。
作為優選,當所述電腦系統轉移到指定區域外時,無論二級驗證的結果如何,所述權杖觸發對所述電腦系統的一些功能的限制性訪問。
作為優選,所述一些功能包括以下一個或多個:列印文件、網路接入和訪問外部驅動器。
作為優選,在指定區域內部和外部都要進行一級驗證。
根據本發明的一方面,提供一種用於對具有一級驗證的電腦 系統內資訊的訪問進行保護的系統,包括:用於檢測所述電腦系統何時轉移到指定區域外的中央監視系統;用於存儲與所述電腦統的合法用戶相關聯的驗證資訊的資料庫;用於當所述電腦系統轉移到指定區域外後向所述電腦系統發送權杖的射頻(RF)通信系統;其中,所述權杖包含來自所述資料庫的驗證資訊,其用於當所述電腦系統隨後在所述指定區域外啟動時觸發二級驗證。
作為優選,所述系統還包括:集成在主板上LAN(LOM)網路適配器中的RF收發器,所述適配器集成在所述電腦系統的主板上。
作為優選,所述系統還包括:集成在所述電腦系統內的全球定位系統(GPS)接收機,其中所述GPS接收機用於產生所述電腦系統的位置座標,且當所述電腦系統在指定區域外時下載所述權杖。
作為優選,所述資料庫包含對應於多個秘密問題的多個答案,所述答案由所述電腦系統的合法用戶選擇並與所述用戶相關聯。
作為優選,所述資料庫還包括多個由所述合法用戶選擇的用戶口令,其中,每一個所述用戶口令與對應的一組秘密問題及相應的答案相關聯。
作為優選,所述中央監視系統包括:用於當所述電腦系統轉移到指定區域外在時產生檢測信號的檢測器;與所述檢測器相連並從所述檢測器接收檢測信號的控制器。
作為優選,所述控制器還用於與所述資料庫通信,以獲取與所述電腦系統相關聯的驗證資訊。
作為優選,所述控制器還用於控制所述RF通信系統與所述 電腦系統通信。
本發明的各種優點、各個方面和創新特徵,以及其中所示例的實施例的結構和操作,將在以下結合附圖進行詳細介紹。
100‧‧‧示例性方案
102‧‧‧電腦系統
104‧‧‧電腦訪問保護系統
106‧‧‧資料庫
108‧‧‧射頻(RF)通信系統
110‧‧‧中央監視系統
112‧‧‧權杖
114‧‧‧出口
116‧‧‧指定區域
202‧‧‧控制器
300‧‧‧實施例
204‧‧‧檢測器
302‧‧‧RF通信部件
304‧‧‧無線局域網(WLAN)部件
400‧‧‧實施例
402‧‧‧主板
404‧‧‧LAN(LOM)網路適配器
500‧‧‧實施例
502‧‧‧GPS接收器
504‧‧‧衛星系統
600‧‧‧實施例
602‧‧‧驗證表
604‧‧‧秘密問題
606‧‧‧答案
608‧‧‧口令
902‧‧‧電腦
904‧‧‧通信匯流排
906‧‧‧處理器
908‧‧‧主記憶體
910‧‧‧輔存儲裝置
912‧‧‧硬碟驅動器
914‧‧‧移動存儲裝置或驅動器
916‧‧‧移動存儲單元
918‧‧‧網路介面
922‧‧‧輸入/輸出/顯示裝置
924A‧‧‧電腦可用或可讀存儲媒介
924B‧‧‧通信網路或媒介
928A‧‧‧控制邏輯
928B‧‧‧電腦軟體
928C‧‧‧控制邏輯
930‧‧‧控制邏輯
圖1是電腦訪問保護系統的操作示例方案的示意圖;圖2是示例性中央監視系統的示意圖;圖3是配置有圖1所示系統功能的示例性電腦系統的示意圖;圖4是配置有圖1所示系統功能的示例性電腦系統的示意圖;圖5是配置有GPS電腦訪問保護系統的示例性電腦系統的示意圖;圖6是可用於圖1所示系統的示例性資料庫的示意圖;圖7是對電腦系統中的資訊進行訪問保護的方法流程圖;圖8是由電腦系統中的資訊訪問保護系統觸發的附加或二級驗證過程的流程圖;圖9是用於實施本發明的示例性電腦的示意圖。
從某一方面來說,資訊竊取包括在指定區域外對電腦系統的資訊進行竊取或非法傳送。由於這些電腦系統可能包含個人、保密和/或機密資訊,因此需要對電腦進行訪問保護,防止資訊被竊取或非法傳送。
本發明涉及電腦系統保護的方法、系統和電腦程式。
本發明的實施例保護電腦系統,防止對竊取或非法傳送的電腦系統上的資訊進行未授權訪問。
本發明的實施例包括檢測電腦系統何時轉移到指定區域外的方法、系統和電腦程式。
本發明的實施例包括當電腦系統轉移到指定區域外時,觸發 二級驗證的方法、系統和電腦程式。
本發明的實施例包括當電腦系統轉移到指定區域外時,鎖閉電腦系統的功能的方法、系統和電腦程式。
本發明的實施例包括阻止對電腦系統的作業系統、硬碟驅動器和外部驅動器中的一個或多個的訪問。
本發明的實施例包括基於電腦系統所處的位置允許對電腦系統的功能進行限制性訪問的方法、系統和電腦程式。這些功能可以包括列印文件、網路接入和訪問外部驅動器中的一個或多個。
本發明的實施例包括基於電腦系統所處的位置允許可變級別訪問保護的方法、系統和電腦程式。
本發明的實施例可使用射頻(RF)通信、紅外(IF)通信和/或GPS通信來實施。
本發明實施例的功能在電腦系統轉移到指定區域外時,無論電腦系統的電源模式如何,都起作用。
以下將描述本發明的具體實施方式。
電腦系統保護
圖1是電腦訪問保護系統的操作示例方案100的示意圖。示例性方案100中示出了在指定區域116內的電腦系統102和電腦訪問保護系統104。指定區域116可以是任何限定的區域,包括例如學校、辦公樓、多建築校園、住宅、醫院、警察局、消防局、中心辦公區、電廠或研究機構。
電腦系統102可以是能夠執行本文所描述功能的、市場有售和/或業內熟知的任意電腦。在一實施例中,電腦系統102是膝上型電腦。電腦系統102具有在指定區域116內、外均需進行的一級驗證。例如,這種一級驗證包括執行作業系統驗證功能。
電腦訪問保護系統104是通信和控制系統,用於根據電腦系統102的位置控制對電腦系統102的訪問。在圖1所示的示例性方案100中,電腦訪問保護系統104處於指定區域116內。本發明不限於該實施例。本領域技術人員基於本文的教導能夠知悉,電腦保護系統104可以完全或部分位於指定區域116之內或之外。
在示例性方案100中,電腦訪問保護系統104包括中央監視系統110、資料庫106和射頻(RF)通信系統108。在其他實施例中,電腦訪問保護系統104的一個或多個子系統可以集成在一起形成其他子系統。
中央監視系統110用於檢測何時電腦系統102轉移到指定區域外。在一實施例中,如圖2所示,中央監視系統110包括控制器202和檢測器204。
控制器202控制電腦訪問保護系統104的一個或多個子系統的操作。在一實施例中,控制器202與檢測器204通信,以配置檢測器204使其對電腦系統進行檢測和/或從檢測器204接收檢測信號。控制器202還與電腦訪問保護系統104的資料庫106和RF通信系統108通信。
在一實施例中,電腦系統102向電腦訪問保護系統104進行登記,從而產生與電腦系統102的合法用戶相關聯的驗證資訊,並存儲到資料庫106中。另外,進行登記可以將一個檢測編碼與電腦系統102相關聯。
中央監視系統110通過控制器202可以訪問資料庫106,從而獲取與電腦系統102相關聯的檢測編碼,並使用該檢測編碼配置檢測器204,使其對電腦系統102進行檢測。在一實施例中,對檢測器204進行配置,使得當電腦系統102移動到指定區域116外時產生檢測信號並發送給控制器202。例如,檢測器204可以放置在指定區域116的出口114處,以便檢測電腦系統102何時退出指定區域116。基於本文中的教導,也可以使用本領域技術人員所知悉的其他技術來檢測電腦系統102何時移動出指定區域116。
在一實施例中,根據從檢測器204接收到的指示電腦系統102正向指定區域116外轉移的檢測信號,控制器202與資料庫106通信,以產生和/或獲取與電腦系統102相關聯的驗證資訊。之後,控制器202與RF通信系統108通信,以將權杖112無線發送給電腦系統102。權杖112包括與電腦系統102的合法用戶相關聯的驗證資訊,用於當隨後在指定區域116外啟動電腦系統102時觸發 二級驗證。
在另一實施例中,中央監視系統110當電腦系統102在指定區域116內時將將權杖112發送給電腦系統102,並當電腦系統102轉移到指定區域外時啟動該權杖。
電腦訪問保護系統104的資料庫106可以是能夠執行本文所描述的資料庫功能的任意存儲系統。資料庫106可以放置在靠近或遠離中央監視系統110和/或RF通信系統108的位置處。在一實施例中,資料庫106存儲與登記在電腦訪問保護系統104上的電腦系統(如電腦系統102)的合法用戶相關聯的驗證資訊。有關資料庫106的其他實施例將在圖6中描述。
電腦訪問保護系統104的RF通信系統108可以是能夠執行本文所描述的無線通信功能的任意RF通信系統。例如,在與電腦系統102進行雙向通信的實施例中,RF通信系統108可以是無線收發器。作為選擇,在與電腦系統102進行單向通信的實施例中,RF通信系統108可以是無線發射器。在另一實施例中(圖1中未示出),RF通信系統108可由紅外(IR)通信系統和/或RF/IR雙模通信系統替代。根據本文的教導本領域技術人員知悉RF通信系統可以放置在指定區域內或外,只要它能夠可靠地與電腦系統102進行通信。
如上所述,電腦系統102可以是能夠執行本文所描述功能的、市場有售和/或業內熟知的任意電腦,包括膝上型電腦。在圖3所示的實施例300中,電腦系統102包括RF通信部件302,其用於與電腦訪問保護系統104的RF通信系統108通信。例如,RF通信部件302可包括無線RF收發器或無線RF接收器。在另一實施例中(圖3中未示出),RF通信部件302可以由紅外(IR)通信部件和/或RF/IR雙模通信部件替代。
RF通信部件302與同樣設置在電腦系統102中的無線局域網(WLAN)部件304不同。RF通信部件302可以集成在電腦系統102的已有硬體中,或者也可作為獨立部件。在圖4所示的實施例400中,RF通信部件302集成在電腦系統102的主板上LAN(LOM)網 路適配器404中。LOM網路適配器404通常集成在電腦系統102的主板402上。
無論在轉移出指定區域116的時刻電腦系統102的電源模式如何,當電腦系統102轉移到指定區域116外時,電腦系統102的訪問保護將被啟動。例如,當電腦系統102向指定區域116外轉移的時刻,電腦系統102可能處於開機、關機、待機或睡眠模式。這樣,無論電腦系統102的電源模式如何,RF通信部件302將需要與電腦訪問保護系統104通信,因此,在所述時刻都需要供電電源。
實施例400的一個優勢包括不需要額外的電源電路用於為RF通信部件302提供連續的供電。這是因為RF通信部件302集成在LOM網路適配器404中,得益於LOM網路適配器404一般在任何時刻都從電腦系統102的電池接收供電這一事實。通常情況下,這是為了啟動LOM網路適配器404的LAN上喚醒(Wake On LAN)功能以遠端喚醒電腦系統102。
圖5所示為電腦系統102的另一實施例500,可用於GPS電腦訪問保護系統。
根據本實施例,電腦訪問保護不限於根據電腦系統102相對於指定區域的位置對其進行安全保護,而是擴展到基於電腦系統102的全球定位資訊來啟動附加或二級驗證。例如,當電腦系統102轉移到一個或多個指定區域內和/或外時,使用與圖1所示權杖112相似的權杖,電腦訪問保護系統能夠觸發附加或二級驗證。這些指定區域可以由一個或多個全球定位座標範圍來限定。
為使GPS電腦訪問保護得以實現,電腦系統102可包括GPS接收器502。GPS接收器502從多個衛星系統504接收信號,並生成電腦系統102的全球定位座標。當電腦系統102啟動時,生成的全球定位座標將被與權杖中包含的一個或多個指定區域的座標進行比較,從而啟動相應的保護等級。如本領域技術人員根據本文的教導所知悉,根據電腦系統102位於一個或多個指定區域中的哪個區域,可以採用一個或多個電腦訪問保護等級(具有不同的 訪問和/或阻止功能)。
在另一實施例中,當電腦系統102啟動時,電腦系統102將生成的全球定位座標與一個或多個指定區域進行比較,以決定是否下載權杖,其能夠啟動附加的電腦保護。
圖6是圖1所示系統的資料庫106的實施例600的示意圖。如上所述,當電腦系統102向電腦訪問保護系統104登記時,將產生與電腦系統102的合法用戶相關聯的驗證資訊,並存儲到資料庫106中。在一實施例中,電腦系統102的合法用戶“A”在登記過程中輸入對應於一個或多個秘密問題604的一個或多個答案606。用戶“A”還將一個或多個口令608與每一組秘密問題/答案關聯起來,以生成驗證表602。需要注意的是,在實施例600中所示的秘密問題604僅是示例性的。其他類型和/或內容的問題也可使用。
驗證表602隨後用於當電腦系統102轉移到指定區域116外時產生權杖。在一實施例中,權杖包括來自驗證表602中的秘密問題、對應的答案和相關聯的口令。從驗證表602中選擇驗證資訊可以是隨機的,或者作為選擇,可以基於電腦系統102的當前已知口令和/或電腦系統102從指定區域退出的時間。例如,如果電腦系統102的當前已知口令與表602中的關聯口令相同或相似,對應于關聯口令的秘密問題/答案將不包含在權杖中。
圖7是對電腦系統中的資訊進行訪問保護的方法流程700的示意圖。電腦系統具有一級驗證,該驗證是在電腦系統啟動時進行。流程700開始於步驟702,包括檢測何時電腦系統轉移到指定區域外。在一實施例中,步驟702包括檢測何時電腦系統離開指定區域的出口。例如,步驟702包括檢測電腦系統何時轉移出學校、辦公樓、多建築校園、住宅、醫院、警察局、消防局、中心辦公區、電廠或研究機構。步驟702可由中心監視系統來執行。
步驟704包括當電腦系統向指定區域外轉移時,向電腦系統發送權杖。在一實施例中,步驟704使用到電腦系統的單向通信來進行。作為另一選擇,步驟704可以使用電腦訪問保護系統與 電腦系統之間的雙向通信來進行。
與電腦系統的通信包括與集成在電腦系統中的RF通信部件進行通信。在一實施例中,RF通信部件是集成在主板上LAN(LOM)網路適配器中的,而LOM網路適配器是集成在電腦系統的主板上的。這樣,無論電腦系統的電源模式(開機、關機、待機或睡眠)如何,都可以與RF通信部件進行通信。RF通信部件可包括無線收發器、無線接收器和/或全球定位系統(GPS)接收器。
步驟706包括當隨後電腦系統在指定區域外啟動時觸發附加或二級驗證。在一實施例中,附加或二級驗證是通過啟動步驟704中與電腦系統傳送的權杖而觸發的。
在步驟708,由電腦系統的用戶執行附加或二級驗證。
如果附加或二級驗證通過,步驟710包括允許用戶訪問電腦系統的功能。這可以包括,例如,載入安裝在電腦系統上的作業系統。
另一方面,如果用戶執行附加或二級驗證失敗,步驟712包括阻止對電腦系統的訪問。這可以包括,例如阻止訪問作業系統、硬碟和與電腦系統相關聯的外部驅動器。在某些訪問阻止機制下,訪問阻止不能通過將電腦系統的硬碟轉移到另一個系統中來繞過。
對這些功能的解鎖可能需要將電腦系統帶回到指定區域內,將電腦系統接入(docking)到電腦訪問保護系統104和/或由資訊技術(IT)人員執行的其他重定步驟。
在另一實施例中,無論附加或二級驗證結果如何,權杖觸發對一些功能的限制性訪問。當電腦系統轉移到指定區域外時,不管用戶執行的附加或二級驗證是否通過,都將阻止例如列印文件、網路接入或訪問外部驅動器功能。這樣可以防止當電腦系統轉移到指定區域外時對電腦系統中包含的資訊進行任何可能的分發。
圖8是當電腦系統啟動後,圖7所示方法啟動的附加或二級驗證過程的流程800的示意圖。附加或二級驗證是通過啟動發送 給電腦系統的權杖而觸發的。
過程800開始於步驟802,包括提示用戶輸入與電腦系統的合法用戶相關聯的當前口令,並接收用戶的輸入。
步驟804包括驗證用戶的輸入與當前口令是否一致。
如果步驟804中的驗證失敗,過程800返回到步驟802允許用戶二次嘗試輸入當前口令。
如果步驟804中的驗證通過,過程800進入步驟806,其中包括提示用戶輸入對應於包含在權杖中的秘密問題的答案,並接收用戶的輸入。
步驟808包括使用同樣包含在權杖中的相應答案來驗證用戶輸入的針對該秘密問題的答案。
如果步驟808中的驗證失敗,過程800返回到步驟806,允許用戶二次嘗試輸入針對該秘密問題的答案。
如果步驟808中的驗證通過,過程800進入步驟810,其中包括提示用戶輸入與秘密問題及相應答案相關聯的口令,並接收用戶的輸入。
步驟812包括驗證用戶的輸入與關聯口令是否一致。
如果步驟812中的驗證失敗,過程800返回到步驟810,允許用戶二次嘗試輸入該關聯口令。
如果步驟812中的驗證通過,過程800進入步驟814,其中包括允許用戶訪問電腦系統的功能。
在過程800中,如果步驟804、808和/或812中任一步驟中的驗證連續失敗一定的次數(例如三次),則附加或二級驗證過程失敗,並將發生功能鎖閉。電腦系統的重啟將使過程800在步驟802開始重啟。
實施本發明的示例性電腦
在本發明的一實施例中,本文中描述的本發明的系統和部件可以使用已知的電腦來實現,例如使用圖9中所示的電腦902來實現。
電腦系統902可以是能夠執行本文所描述功能的市場有售和/ 或業內熟知的任意電腦,例如IBM、Apple、Sun、HP、Dell、Compaq、Digital、Cray等公司出品的電腦。電腦902可以是膝上型電腦。
電腦902包括一個或多個處理器(亦稱為中央處理單元,或CPU),如處理器906。處理器906與通信匯流排904相連。
電腦902還包括一個主記憶體908,如隨機存取記憶體(RAM)。主記憶體908中存儲有控制邏輯928A(電腦軟體)和資料。
電腦902還包括一個或多個輔存儲裝置910。輔存儲裝置910包括例如硬碟驅動器912和/或移動存儲裝置或驅動器914,以及其他類型的存儲裝置諸如存儲卡和存儲棒。移動存儲驅動器914代表軟碟驅動器、磁帶驅動器、小型(compact)磁碟機、光存儲裝置、磁帶備份等。
移動存儲驅動器914與移動存儲單元916相互結合。移動存儲單元916包括其上存儲有電腦軟體928B(控制邏輯)和/或資料的電腦可用或可讀存儲媒介924A。移動存儲單元916代表軟碟、磁帶、小型磁片、DVD、光碟或任意其他電腦資料存儲裝置。移動存儲驅動器914以已知方式從和/或向移動存儲單元916讀取和/或寫入。
電腦902還包括輸入/輸出/顯示裝置922,諸如監視器、鍵盤、指標設備(pointing device)等。
電腦902進一步包括通信或網路介面918。網路介面918使電腦902能夠與遠端設備通信。例如網路介面918允許電腦902通過通信網路或媒介924B(代表電腦可用或可讀的媒介格式)諸如LAN、WAN、互聯網等通信。網路介面918可通過有線或無線連接與遠端站點或網路介面相連。
控制邏輯928C可通過通信媒介924B發送到電腦902或從電腦902發出。具體來說,電腦902通過通信媒介924B接收和發送由控制邏輯930調製的載波(電磁波信號)。
包含電腦可用或可讀媒介(其上存儲有控制邏輯)的任何裝置或產品本文中將其稱為電腦程式產品或程式存儲裝置。其包括,但不限於,電腦902、主記憶體908、輔存儲裝置910、移動存儲 單元916和由控制邏輯930調製的載波。這樣的其上存儲有控制邏輯的電腦程式產品,當一個或多個資料處理裝置執行其中的控制邏輯時,將使該資料處理裝置按照所描述的本發明代表性實施例那樣操作。
除上述實施方式外,本發明可採用軟體、硬體和/或作業系統工具來實施。可以使用任何適於執行本文中描述的功能的軟體、軟體、硬體和/或作業系統工具。
結束語
本發明是通過一些實施例進行描述的,本領域技術人員知悉,在不脫離本發明的精神和範圍的情況下,可以對這些特徵和實施例進行各種改變或等效替換。另外,在本發明的教導下,可以對這些特徵和實施例進行修改以適應具體的情況及材料而不會脫離本發明的精神和範圍。因此,本發明不受此處所公開的具體實施例的限制,所有落入本申請的權利要求範圍內的實施例都屬於本發明的保護範圍。
100‧‧‧示例性方案
102‧‧‧電腦系統
104‧‧‧電腦訪問保護系統
106‧‧‧資料庫
108‧‧‧射頻(RF)通信系統
110‧‧‧中央監視系統
112‧‧‧權杖
114‧‧‧出口
116‧‧‧指定區域

Claims (10)

  1. 一種具有一級驗證的電腦系統內資訊的訪問保護方法,其特徵在於,包括:在電腦訪問保護系統的資料庫中記錄相應於多個秘密問題的多個答案,其中,所述答案由所述電腦系統的合法用戶選擇並與所述用戶相關聯;由所述電腦訪問保護系統檢測所述電腦系統何時轉移到指定區域外;及當所述電腦系統轉移到指定區域外後,由所述電腦訪問保護系統向所述電腦系統發送權杖;其中,所述權杖包含來自所述資料庫與所述合法用戶相關聯的驗證資訊,當所述電腦系統隨後在所述指定區域外啟動時,所述權杖觸發二級驗證,且當所述二級驗證失敗時將導致所述電腦系統的功能鎖閉。
  2. 如申請專利範圍第1項所述的方法,其中,所述發送權杖的步驟包括與集成在所述電腦系統內的射頻通信部件進行通信。
  3. 如申請專利範圍第2項所述的方法,其中,所述RF通信部件集成在主板上LAN網路適配器中,所述主板上LAN網路適配器集成在所述電腦系統的主板上。
  4. 如申請專利範圍第2項所述的方法,其中,所述發送權杖的步驟包括與RF通信部件進行通信,不管通信時所述電腦的電源模式如何。
  5. 如申請專利範圍第2項所述的方法,其中,所述通信部件包括全球定位系統接收機。
  6. 如申請專利範圍第1項所述的方法,其中,所述檢測步驟包括將所述電腦系統的全球定位座標與所述指定區域的全球定位座標範圍進行比較。
  7. 一種用於對具有一級驗證的電腦系統內資訊的訪問進行保護的系統,其特徵在於,包括: 用於檢測所述電腦系統何時轉移到指定區域外的中央監視系統;用於存儲與所述電腦系統的合法用戶相關聯的驗證資訊的資料庫,其中,所述資料庫包含對應於多個秘密問題的多個答案,所述答案由所述電腦系統的合法用戶選擇並與所述用戶相關聯;用於當所述電腦系統轉移到指定區域外後向所述電腦系統發送權杖的射頻通信系統;其中,所述權杖包含來自所述資料庫的驗證資訊,其用於當所述電腦系統隨後在所述指定區域外啟動時觸發二級驗證。
  8. 如申請專利範圍第7項所述的系統,其中,所述系統還包括:集成在主板上LAN網路適配器中的射頻收發器,所述主板上LAN網路適配器集成在所述電腦系統的主板上。
  9. 如申請專利範圍第7項所述的系統,其中,所述系統還包括:集成在所述電腦系統內的全球定位系統接收機,其中所述全球定位系統接收機用於產生所述電腦系統的位置座標,且當所述電腦系統在指定區域外時下載所述權杖。
  10. 如申請專利範圍第7項所述的系統,其中,所述資料庫包含對應於多個秘密問題的多個答案,所述答案由所述電腦系統的合法用戶選擇並與所述用戶相關聯。
TW097121901A 2007-06-12 2008-06-12 具有一級驗證的電腦系統內資訊的訪問保護方法和系統 TWI396993B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US11/808,698 US8578469B2 (en) 2007-06-12 2007-06-12 Computer system protection

Publications (2)

Publication Number Publication Date
TW200917082A TW200917082A (en) 2009-04-16
TWI396993B true TWI396993B (zh) 2013-05-21

Family

ID=39691109

Family Applications (1)

Application Number Title Priority Date Filing Date
TW097121901A TWI396993B (zh) 2007-06-12 2008-06-12 具有一級驗證的電腦系統內資訊的訪問保護方法和系統

Country Status (6)

Country Link
US (1) US8578469B2 (zh)
EP (1) EP2003583B1 (zh)
KR (1) KR20080109654A (zh)
CN (1) CN101324911B (zh)
HK (1) HK1125199A1 (zh)
TW (1) TWI396993B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102664738A (zh) * 2012-04-24 2012-09-12 东方钢铁电子商务有限公司 多级数据验证系统及验证方法
US20150040198A1 (en) * 2013-07-31 2015-02-05 Wipro Limited Systems and methods for accessing a device using a paired device in its proximity
US9942761B1 (en) * 2016-10-10 2018-04-10 International Business Machines Corporation User access verification
US10389731B2 (en) * 2016-11-22 2019-08-20 Microsoft Technology Licensing, Llc Multi-factor authentication using positioning data
US11238148B2 (en) * 2019-02-12 2022-02-01 Cisco Technology, Inc. Location-based, context-aware challenge-response authentication
US10943448B1 (en) 2019-11-22 2021-03-09 Honeywell International Inc. Geo-locked field device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6166688A (en) * 1999-03-31 2000-12-26 International Business Machines Corporation Data processing system and method for disabling a portable computer outside an authorized area
TW473664B (en) * 1999-09-30 2002-01-21 Systsems Inc M Device, system and method for data access control
US6614349B1 (en) * 1999-12-03 2003-09-02 Airbiquity Inc. Facility and method for tracking physical assets
TW200521871A (en) * 2003-12-30 2005-07-01 Inventec Multimedia & Telecom Portable electronic storage device with identification information

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6954147B1 (en) * 1999-03-31 2005-10-11 Lenovo Pte. Ltd. Method and system for providing protection against theft and loss of a portable computer system
US7657490B1 (en) * 1999-08-02 2010-02-02 Softbankbb Corporation Electronic settlement system, settlement device, and terminal
US20050091552A1 (en) * 2003-04-11 2005-04-28 Piccionelli Gregory A. Secure portable computer and security method
US20030115142A1 (en) * 2001-12-12 2003-06-19 Intel Corporation Identity authentication portfolio system
US7847675B1 (en) * 2002-02-28 2010-12-07 Kimball International, Inc. Security system
US20040059914A1 (en) * 2002-09-12 2004-03-25 Broadcom Corporation Using signal-generated location information to identify and authenticate available devices
US7200754B2 (en) * 2003-03-03 2007-04-03 International Business Machines Corporation Variable expiration of passwords
US20050071168A1 (en) * 2003-09-29 2005-03-31 Biing-Hwang Juang Method and apparatus for authenticating a user using verbal information verification
US7461399B2 (en) * 2004-07-30 2008-12-02 Rsa Security Inc. PIN recovery in a smart card
US7467401B2 (en) * 2004-08-12 2008-12-16 Avatier Corporation User authentication without prior user enrollment
US7860778B2 (en) * 2004-11-08 2010-12-28 Cfph, Llc System and method for implementing push technology in a wireless financial transaction
US7694331B2 (en) * 2005-04-01 2010-04-06 Nokia Corporation Phone with secure element and critical data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6166688A (en) * 1999-03-31 2000-12-26 International Business Machines Corporation Data processing system and method for disabling a portable computer outside an authorized area
TW473664B (en) * 1999-09-30 2002-01-21 Systsems Inc M Device, system and method for data access control
US6614349B1 (en) * 1999-12-03 2003-09-02 Airbiquity Inc. Facility and method for tracking physical assets
TW200521871A (en) * 2003-12-30 2005-07-01 Inventec Multimedia & Telecom Portable electronic storage device with identification information

Also Published As

Publication number Publication date
CN101324911A (zh) 2008-12-17
US8578469B2 (en) 2013-11-05
US20080313725A1 (en) 2008-12-18
KR20080109654A (ko) 2008-12-17
TW200917082A (en) 2009-04-16
CN101324911B (zh) 2011-11-23
HK1125199A1 (en) 2009-07-31
EP2003583B1 (en) 2016-04-27
EP2003583A1 (en) 2008-12-17

Similar Documents

Publication Publication Date Title
US8176323B2 (en) Radio frequency identification (RFID) based authentication methodology using standard and private frequency RFID tags
JP5154436B2 (ja) 無線認証
CN102104597B (zh) 用于防盗平台的复原的方法和装置
JP5350528B2 (ja) 場所に基づくデータにより更なる安全性をプラットフォームに提供するシステム及び方法
TWI396993B (zh) 具有一級驗證的電腦系統內資訊的訪問保護方法和系統
US7971241B2 (en) Techniques for providing verifiable security in storage devices
US6628198B2 (en) Security system for preventing a personal computer from being stolen or used by unauthorized people
US20020049881A1 (en) Information processing apparatus, information processing apparatus control method and storage medium
US20160048465A1 (en) Wireless authentication system and method for universal serial bus storage device
TWI753286B (zh) 自我加密裝置、管理伺服器、用於資料安全性之方法、及其非暫態機器可讀取儲存媒體
US11218458B2 (en) Modular data center that transfers workload to mitigate a detected physical threat
US9471808B2 (en) File management system and method
JP2000155876A (ja) 盗難防止装置
US20210112054A1 (en) Edge data center security system that autonomously disables physical communication ports on detection of potential security threat
KR20100039376A (ko) 지문 판독기 리세팅 방법 및 시스템
US11799649B2 (en) Tamper-proof data processing device
US20130326591A1 (en) Wireless communication device and wireless communication method
JP2003519413A (ja) 電子セキュリティ装置における改良及びこれに関連する改良
WO2016193176A1 (en) A remotely protected electronic device
US20200184116A1 (en) Computer lock system
US20170343310A1 (en) Method and apparatus for firearm access prevention, notification and tracking
US10229290B2 (en) Keyless method to secure physical access to information handling systems in a datacenter
CN107850973B (zh) 触摸设备解锁方法和装置
JPH05176374A (ja) パソコン監視システム
JP2008225638A (ja) ファイル管理システム及びファイル管理方法、並びにファイル管理プログラム

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees