TWI430131B

TWI430131B - 具有安全鎖之電腦系統與執行安全鎖之方法

Info

Publication number: TWI430131B
Application number: TW99112684A
Authority: TW
Inventors: Jui Jung Lu; Shao Hua Chen; Shiang Guang Pan
Original assignee: Advantech Co Ltd
Priority date: 2010-04-22
Filing date: 2010-04-22
Publication date: 2014-03-11
Also published as: TW201137656A

Description

具有安全鎖之電腦系統與執行安全鎖之方法

本發明係關於一種具有安全鎖之電腦系統與執行安全鎖之方法，特別是指一種藉由開機程序驗證密碼以暫時解除鎖定一記憶裝置執行系統運作之電腦系統及其執行方法。

現今軟體智慧財產權越來越受重視，使用者開發出的作業系統或是應用程式若儲存於一般的記憶裝置將相當容易遭到有心人士的盜取。舉例而言，若所欲保護之軟體儲存於電腦系統之記憶裝置，當該記憶裝置從電腦系統中移除後，任一其他電腦系統皆可讀取該記憶裝置。因此，軟體將會輕易的被複製及散佈。

目前一般的保護方式係將所欲保護的軟體加入一段驗證程序，當軟體啟動時會去檢查某個硬體或是記憶體中的字串，若是軟體內與硬體或記憶體的字串不符合，將無法執行軟體，而藉以達成保護作用。然而純軟體的保護機制在作業系統中相當容易被破解，使得軟體喪失保護。此外，若需藉由軟體的保護，必須於每一所欲保護的軟體皆須設定保護方式，若是有大量的軟體需要保護，將造成使用者不便及資源與時間的浪費。

有鑑於此，尚需要一種具有安全鎖之電腦系統與執行安全鎖之方法，可藉由同時寫入密碼以鎖定一記憶裝置，進而解決上述問題。

本發明之目的之一係提供一種具有安全鎖之電腦系統，用以將一密碼同時寫入一系統儲存單元及一記憶裝置，以鎖定該記憶裝置，並僅由開機程序方得驗證密碼來暫時解除鎖定該記憶裝置。本發明之目的之一係提供一種執行安全鎖之方法，其實施於一電腦系統，用以將一密碼同時寫入一系統儲存單元及一記憶裝置，以鎖定該記憶裝置，並僅由開機程序方得驗證密碼來暫時解除鎖定該記憶裝置。

本發明提供一種具有安全鎖之電腦系統，包括：一處理單元及一系統晶片模組，該系統晶片模組包含一系統儲存單元，其特徵在於：該系統晶片模組接收自該處理單元的一寫入指令，將一密碼同時寫入該系統儲存單元及一記憶裝置，以鎖定該記憶裝置，使該電腦系統在開機時，藉由該系統儲存單元所存放的密碼將該記憶裝置暫時解除鎖定，而便於該電腦系統存取該記憶裝置所儲存的內容。

另一方面，本發明提供一種執行安全鎖之方法，實施於一電腦系統，前述方法包含以下步驟：執行一應用程式以發送一寫入指令；根據該寫入指令，將一密碼同時寫入一系統儲存單元及一記憶裝置，以鎖定該記憶裝置；以及在該電腦系統在開機時，藉由該系統儲存單元所存放的密碼將該記憶裝置暫時解除鎖定，而便於該電腦系統存取該記憶裝置所儲存的內容。

根據本發明所實施的具有安全鎖之電腦系統與執行安全鎖之方法，使用者所開發的軟體或所欲儲存之資料須藉由硬體中的密碼解鎖，進而使得電腦系統更加安全。藉由以下實施方式之說明，可同時瞭解到本發明具有安全鎖之電腦系統的組織設計與執行安全鎖之方法的實施方式。

以下即配合圖式說明本發明之具體實施方式；然需瞭解的是，這些圖式中所標示之元件及步驟係為說明清晰之用，其並不代表實際的尺寸與比例，且為求圖面簡潔以利於瞭解，部分圖式中亦省略了習知元件之繪製。

第一圖為具有安全鎖之電腦系統的示意圖。如圖所示，本發明電腦系統100包含：一處理單元110及一系統晶片模組120。系統晶片模組120包含一儲存一系統開機程式122之系統儲存單元121。本發明一種實施態樣中，處理單元110為一中央處理器(Central Processing Unit,CPU)，系統晶片模組120係包含設置於電腦系統主機板的系統晶片組(Chipset)，而系統儲存單元121為非揮發性記憶體。舉例而言，系統儲存單元121為BIOS Flash ROM。

系統晶片模組120接收自處理單元110的一寫入指令，將一密碼同時寫入系統儲存單元121的保留區及一記憶裝置130的記憶體，其中記憶裝置130可插接於電腦系統以連接系統晶片模組120。一般而言，記憶裝置130為快閃記憶體或硬盤式磁碟機(Flash Memory or Hard Driver)。本發明的一種實施態樣中，記憶裝置130包含一控制器與一非揮發性記憶體，且該控制器接收系統晶片模組120所提供之密碼，以使該密碼被寫入記憶裝置130的非揮發性記憶體。

藉由該密碼，控制器得以鎖定記憶裝置130，且記憶裝置130在未解除鎖定或暫時解除鎖定之前，電腦系統將無法存取記憶裝置130所儲存的內容。電腦系統100於開機時，處理單元110執行系統開機程式122判斷系統儲存單元121的保留區是否被寫入該密碼，若系統儲存單元121的保留區存在該密碼，則開機程序中將驗證系統儲存單元121所儲存的該密碼是否相同於記憶裝置130所儲存的該密碼，以進一步決定是否將該記憶裝置130執行暫時解除鎖定或解除鎖定。若是系統儲存單元121所儲存的該密碼相同於記憶裝置130所儲存的該密碼，系統晶片模組120則藉由系統儲存單元121所存放的密碼將記憶裝置130執行暫時解除鎖定，而便於電腦系統100存取記憶裝置130。若是系統儲存單元121所儲存的該密碼不相同於記憶裝置130所儲存的該密碼，系統晶片模組120則不解除鎖定，以保護記憶裝置130所儲存的內容，甚至電腦系統停止開機程序。

在本發明的一種實施態樣中，處理單元110執行一應用程式以發送該寫入指令。舉例而言，使用者藉由電腦系統的作業系統發出一高技術配置(Advanced Technology Attachment,ATA)指令，處理單元110執行作業系統中對應於發出高技術配置指令的程式，而發送寫入指令。

請參閱第二圖，該圖顯示本發明具有安全鎖之電腦系統的具體實施例示意圖。在本發明的一種實施態樣中，電腦系統200包含：一中央處理器210及一系統晶片模組220，其中系統晶片模組220包含一北橋晶片225、一南橋晶片226與一系統儲存單元221。

系統晶片模組220的系統儲存單元221儲存一系統開機程式222並包含一保留區223。一般而言，系統儲存單元221為非揮發性記憶體，其可包含：快閃記憶體(Flash Memory)、唯讀記憶體(Read Only Memory,ROM)、可擦除唯讀記憶體(Erasable Read Only Memory,EROM)、電可擦除唯讀記憶體(Electrically Erasable Read Only Memory,EEROM)、可擦除可編程唯讀記憶體(Erasable Programmable Read Only Memory,EPROM)、或電可擦除可編程唯讀記憶體(Electrically Erasable Programmable Read Only Memory,EEPROM)。因為系統儲存單元221為非揮發性記憶體，系統開機程式222、以及其保留區223所儲存之資料不會因為關閉電腦系統200的電源而消失。在本發明的一種實施例中，系統開機程式222係儲存於系統儲存單元221的基本輸出輸入系統碼段(BIOS Code)。

系統晶片模組220包含一北橋晶片225與一南橋晶片226，其中，北橋晶片225連接中央處理器210且南橋晶片226連接北橋晶片225、一記憶裝置230與系統儲存單元221，且南橋晶片226包含一IDE控制器224，該IDE控制器224可介接一外部的記憶體裝置230。

中央處理器210執行一應用程式以發送一寫入指令。如上所述，使用者意欲鎖定記憶裝置230時，可藉由電腦系統的作業系統發出高技術配置指令，中央處理器210執行作業系統中對應於發出高技術配置指令的程式，而發送該寫入指令。南橋晶片226經由北橋晶片225接收自中央處理器210的該寫入指令後，將一密碼同時寫入系統儲存單元221及介接IDE控制器224的記憶裝置230。寫入系統儲存單元221之該密碼係儲存於系統儲存單元221中的保留區223。本實施態樣中，IDE控制器224連接記憶裝置230，將該密碼寫入記憶裝置230。同時，IDE控制器224所接收的寫入指令為一IDE指令。

一般而言，記憶裝置230為非揮發性記憶體，其可包含：快閃記憶體(Flash Memory)、唯讀記憶體(Read Only Memory,ROM)、可擦除唯讀記憶體(Erasable Read Only Memory,EROM)、電可擦除唯讀記憶體(Electrically Erasable Read Only Memory,EEROM)、可擦除可編程唯讀記憶體(Erasable Programmable Read Only Memory,EPROM)、或電可擦除可編程唯讀記憶體(Electrically Erasable Programmable Read Only Memory,EEPROM)。

本發明一種實施態樣中，記憶裝置230包含一控制器與一非揮發性記憶體，且以使該密碼被寫入記憶裝置230。如上所述，記憶裝置230的非揮發性記憶體為一NAND快閃記憶體，且該控制器可對NAND快閃記憶體執行讀取，清除，寫入動作。

藉由該密碼以鎖定記憶裝置230。當記憶裝置230從電腦系統200中移除後，記憶裝置230即未通電且被鎖定。因此，在未儲存有該密碼之電腦系統將無法解鎖以存取記憶裝置230。舉例而言，若記憶裝置230被有心人士自電腦系統200移除，且意欲在其他電腦系統中讀取記憶裝置230時，因為其他電腦系統並未儲存有該密碼，因此無法讀取將記憶裝置230解除鎖定。同時，當電腦系統200關機時，記憶裝置230即未通電且被鎖定。

電腦系統200在開機時，執行系統開機程式222判斷系統儲存單元221之保留區223是否存在該密碼，若保留區223有被寫入該密碼，則驗證保留區223儲存的該密碼是否相同於記憶裝置230儲存的該密碼，以決定是否將記憶裝置230暫時解除鎖定。若是相同，系統晶片模組220則藉由保留區223所存放的密碼將記憶裝置230暫時解除鎖定，而便於電腦系統200存取記憶裝置230。如上所述，雖然記憶裝置230處於暫時解除鎖定的狀態，但當記憶裝置230從電腦系統200中移除或電腦系統200關機時，記憶裝置230立即被鎖定。

必須注意到，習知本技術領域之人士將可瞭解到本發明具有系統救援之電腦系統中各元件間的連接可透過各種介面，例如：低接腳數量架構(Low-Pin-Count,LPC)、韌體路由(Firmware Hub,FWH)、序列週邊介面(Serial Peripheral Interface,SPI)等介面之其一或其組合。

第三圖為本發明執行安全鎖之方法實施於電腦系統的寫入密碼流程步驟圖，相關之系統架構請同時參照第二圖。如上所述，系統晶片模組220包含系統儲存單元221。系統儲存單元221儲存系統開機程式222及保留區223。步驟301中，中央處理器210執行應用程式以發送寫入指令。步驟302中，電腦系統200透過系統晶片模組220檢查記憶裝置230是否已經安裝成功。若是沒有安裝成功，則執行步驟303，檢查記憶裝置303是否錯誤，例如：記憶裝置230已經損壞。若是檢查記憶裝置303沒有錯誤則重新檢查記憶裝置230是否已經安裝成功。另一方面，若是記憶裝置230已經安裝成功，則執行步驟304及306。步驟304中，執行系統管理中斷(System Management Interrupt,SMI)，以暫停系統晶片模組220目前所執行的動作，並進一步寫入密碼至保留區223(步驟305)。同時，步驟306中，藉由IDE控制器224將密碼寫入至記憶裝置230，以鎖定記憶裝置230。

第四圖為本發明執行安全鎖之方法實施於電腦系統的解除鎖定流程步驟圖。步驟401中，電腦系統200在開機時，中央處理器210將執行系統開機程式222。步驟402中，開機程序將判斷系統儲存單元221之保留區223是否存在密碼。若保留區223有存在密碼，則執行步驟403。若保留區223不存在密碼，則執行步驟406。步驟403中，系統晶片模組220驗證保留區223儲存的密碼是否相同於記憶裝置230儲存的密碼。若密碼驗證成功，則執行步驟404；若密碼驗證不成功，則執行步驟405。步驟404中，藉由IDE控制器224將記憶裝置230暫時解除鎖定，而便於電腦系統200得以存取記憶裝置230，並執行步驟406。步驟406中，繼續執行開機程序以完成開機。若密碼驗證不成功，則在步驟405中，將不解除記憶裝置230的鎖定狀態，並停止執行開機程序以保護記憶裝置230的儲存資料。

由上述敘述可知，本發明實為一新穎、進步且具產業實用性之發明。雖然本發明已以較佳實施例揭露如上，然其並非用以限定本發明，任何熟悉此技藝者，在不脫離本發明之精神和範圍內，當可作各種之更動與潤飾。

100．．．電腦系統

110．．．處理單元

120．．．系統晶片模組

121．．．系統儲存單元

122．．．系統開機程式

130．．．記憶裝置

200．．．電腦系統

210．．．中央處理器

220．．．系統晶片模組

221．．．系統儲存單元

222．．．系統開機程式

223．．．保留區

224．．．IDE控制器

225．．．北橋晶片

226．．．南橋晶片

230．．．記憶裝置

301-306．．．步驟

401-406．．．步驟

第一圖為具有安全鎖之電腦系統的示意圖。

第二圖顯示本發明具有安全鎖之電腦系統的具體實施例示意圖。

第三圖為本發明執行安全鎖之方法實施於電腦系統的寫入密碼流程步驟圖。

第四圖為本發明執行安全鎖之方法實施於電腦系統的解除鎖定流程步驟圖。