專利名稱:計算機系統(tǒng)防護的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于計算機系統(tǒng)防護的方法�,該計算機系統(tǒng)具有選擇性不同的使用者、具有不同的特許��、具有至少一個用于與至少一個內(nèi)部或外部的外圍設(shè)備交換數(shù)據(jù)的接口���。
現(xiàn)有技術(shù)計算機系統(tǒng)上的接口用來將外圍設(shè)備連接到計算機系統(tǒng)上���,以便用計算機系統(tǒng)運行這些外圍設(shè)備。例如這些是數(shù)據(jù)驅(qū)動器、掃描器�����、打印機�����、其它的計算機等等�。
實現(xiàn)了將極其不同的設(shè)備交替地,或甚至于平行地連接到一個和同一接口上的接口的越來越統(tǒng)一化��,使得通過或經(jīng)越這些統(tǒng)一接口來對計算機系統(tǒng)防護未特許的訪問越來越困難��。除此之外�����,現(xiàn)代的操作系統(tǒng)常常提供了使用接口的可能性����,即使這些接口未由所謂的BIOS(計算機的基本輸入/輸出系統(tǒng))所批準,該系統(tǒng)作為硬件和操作系統(tǒng)之間的接口來起作用��。這既適用于物理的接口���,也適用于邏輯的接口��。任何在計算機系統(tǒng)上的插頭或插座可以稱為物理的接口�,而例如將硬盤(Festplatte)分開成不同的分區(qū)(Partition)可以理解為邏輯的接口,其中��,每個分區(qū)作為操作系統(tǒng)之內(nèi)的自己的驅(qū)動器(Laufwerk)可以通過邏輯的接口來啟動����。由于這些驅(qū)動器物理上位于硬盤上�����,并且不是現(xiàn)實的驅(qū)動器���,它們因此稱為虛擬的驅(qū)動器����。這要求操作系統(tǒng)之內(nèi)的�����,例如軟件形式的邏輯電路�����,該邏輯電路將這兩種分區(qū)作為不同的驅(qū)動器來識別和運行。這是邏輯接口的一個實例�����。
如果多個在必要時以不同的特許作用于該計算機系統(tǒng)的使用者可以訪問計算機系統(tǒng)�,則可以通過特許發(fā)放來給每個單個的使用者提供計算機系統(tǒng)的不同的系統(tǒng)資源。不過在涉及上述接口的特許發(fā)放時卻是成問題的�。這里常常不能例如將USB的接口的使用分配給使用者。
發(fā)明內(nèi)容
因此本發(fā)明的任務(wù)是通過回避上述的缺點來對計算機系統(tǒng)防護未特許的訪問���。
通過一種用于計算機系統(tǒng)防護的方法來解決該任務(wù)�,該計算機系統(tǒng)具有選擇性擁有不同特許的不同使用者�、具有至少一個用于與至少一個內(nèi)部或外部的外圍設(shè)備交換數(shù)據(jù)的接口,其中����,如果外圍設(shè)備是授權(quán)的,或如果當(dāng)前使用者的特許允許激活接口��,則激活接口����。
在本發(fā)明方法上有利的是�����,在激活接口之前需要用于激活接口的特許��。這意味著���,如果當(dāng)前的使用者不具有使用接口的特許,則不激活該接口��。對于使用者因此不可能將設(shè)備連接到該接口上和運行它�。同樣適用的是,應(yīng)在接口上運行的設(shè)備對于計算機系統(tǒng)必須在某種程度上是已知的�,并且計算機系統(tǒng)對于該設(shè)備必須示出用于在接口上運行的特許���。這兩個變型按本發(fā)明是選擇性地可使用的和可組合的����。
本方法原則上不僅適用于物理的接口�����,諸如硬盤�、掃描器�、打印機�����、USB接頭或類似物用的接口�����,而且同樣適用于邏輯的接口���,諸如通向邏輯的硬盤分區(qū)的接口�����,這些硬盤分區(qū)可以作為自己的驅(qū)動器通過操作系統(tǒng)來啟動���。
為了傳送計算機系統(tǒng)的使用者用的特許,出現(xiàn)了不同的可能性�����。在一個有利的實施形式中本發(fā)明規(guī)定了����,在外部的設(shè)備上存儲特許或授權(quán)�,并在需要時將該設(shè)備與計算機相連接����。計算機系統(tǒng)從外部設(shè)備中提取關(guān)于當(dāng)前使用者的信息,該外部設(shè)備例如可以是芯片卡��,并因此給當(dāng)前的使用者分配計算機系統(tǒng)的不同系統(tǒng)資源的特許����。接口用的特許也屬于此。如果在外部設(shè)備中含有示出了用于由當(dāng)前使用者使用接口的特許的信息���,則激活接口�����。
除了芯片卡之外��,所有使用者個人隨身攜帶的,和可以與計算機系統(tǒng)連接的其它電子設(shè)備適合于作為外部設(shè)備�����。例如這是移動電話��、PDA和類似物。通過一般屬于現(xiàn)有技術(shù)的和不是本發(fā)明部分的不同途徑�,可以實現(xiàn)通向該設(shè)備的通信連接。因此可以通過無線線路���,或通過有線線路與該設(shè)備相連接���。
接口的激活或去激活的方式和方法取決于,是否涉及物理的還是邏輯的接口��。在物理接口的情況下本發(fā)明例如建議以下的內(nèi)容����。將控制電子裝置去激活或激活,該控制電子裝置控制著計算機系統(tǒng)與通過插接接點連接在接口上的外圍設(shè)備的數(shù)據(jù)交換���。此外本發(fā)明還建議�����,通過也可以電子的實施開關(guān)接點來將有線的接口去激活或激活�,使得不能實施與所連接設(shè)備的數(shù)據(jù)交換��。在邏輯接口的情況下��,激活或去激活基于軟件的邏輯的接口控制裝置,以便將該接口激活或去激活�。
以下借助實施例來詳述本發(fā)明。
圖1展示了具有不同使用者的方法的示意圖�����,圖2展示了具有授權(quán)的外圍設(shè)備的方法的示意圖����。
具體實施例方式
示出在圖1中央的計算機系統(tǒng)1具有接口2。第一使用者3或第二使用者4可以訪問計算機系統(tǒng)1��,并訪問通過接口2與計算機系統(tǒng)1相連接的外圍設(shè)備5a至5d����。兩個使用者3或4中的每一個具有不同的特許3a或4a,將隨身攜帶的外部設(shè)備6或7與計算機系統(tǒng)相連接��。使用者3或4因此將他的特許3a和4a傳送給計算機系統(tǒng)�����。
計算機系統(tǒng)1通過特許3a和4a獲得是否應(yīng)該激活當(dāng)前使用者的接口2的信息�。為了激活接口2���,計算機系統(tǒng)1激活控制電子裝置8���,該控制電子裝置8承擔(dān)接口和因而所連接外圍設(shè)備5的電子控制���。控制電子裝置8的激活或去激活因此具有激活或去激活外圍設(shè)備的結(jié)果���。
每個外圍設(shè)備5a至5d通過連接線路9與計算機系統(tǒng)相連接��。該連接線路9從計算機系統(tǒng)1引向接口2��。因此出現(xiàn)了接口和因而外圍設(shè)備5的激活或去激活的另一種可能性�。在本實例中該可能性通過簡單關(guān)斷連接線路9來實現(xiàn)����,其中,手動或自動的開關(guān)�,同樣像電子開關(guān)是適合的。但是優(yōu)選采用電子開關(guān)��。
為了激活或去激活邏輯的接口�����,正如例如這是硬盤的形成兩個邏輯驅(qū)動器的兩個不同的分區(qū)那樣,這兩個邏輯驅(qū)動器映射在一個物理的驅(qū)動器上�,人們需要邏輯的接口,這些邏輯的接口又實現(xiàn)了�,在一個物理的驅(qū)動器上的這兩個邏輯驅(qū)動器作為邏輯的驅(qū)動器來啟動。這通過邏輯控制裝置10來示出��,該邏輯控制裝置10執(zhí)行計算機系統(tǒng)1與接口2和邏輯的外圍設(shè)備5c和5d的數(shù)據(jù)交換���。
因此僅在相應(yīng)的特許3a或4a的情況下���,通過使用者3或4可以在計算機系統(tǒng)1上運行外圍設(shè)備5,該外圍設(shè)備5通過接口2連接在計算機系統(tǒng)1上�。
圖2展示了另一個實施例,具有計算機系統(tǒng)1和具有外圍設(shè)備5可以連接在其上的接口2��。其中����,在這里不通過使用者及其特許,而是更確切地說通過外圍設(shè)備5在計算機系統(tǒng)1上的登錄來實現(xiàn)接口的特許或激活����。如果外圍設(shè)備5a至5d連接到計算機系統(tǒng)1上�,外圍設(shè)備5a至5d則給計算機系統(tǒng)1傳送信息�����,外圍設(shè)備5a至5d以此面對計算機系統(tǒng)來鑒定自己��。如果該外圍設(shè)備5a至5d對于計算機系統(tǒng)1還是未知的����,或如果外圍設(shè)備不擁有在計算機系統(tǒng)上運行的特許����,則將與該外圍設(shè)備執(zhí)行數(shù)據(jù)交換的接口去激活。
參考符號清單1 計算機系統(tǒng)2 接口3 第一使用者3a 第一使用者的特許4 第二使用者4a 第二使用者的特許5(a-d) 外圍設(shè)備6 第一外部設(shè)備7 第二外部設(shè)備8 電子控制裝置9 連接線路10 邏輯控制裝置
權(quán)利要求
1.用于防護計算機系統(tǒng)(1)的方法��,該計算機系統(tǒng)(1)具有選擇性不同的使用者(3���,4)�、具有不同的特許(3a����,4a)、具有至少一個用于與至少一個內(nèi)部或外部的外圍設(shè)備(5)交換數(shù)據(jù)的接口(2)����,其特征在于����,如果所述的外圍設(shè)備(5)是授權(quán)的�����,或者如果所述當(dāng)前使用者(3���,4)的特許(3a�����,4a)允許激活所述的接口(2)���,則所述的接口(2)是激活的。
2.按權(quán)利要求1的方法����,其特征在于,所述的接口(2)是物理的或邏輯的接口���。
3.按權(quán)利要求1至2的方法��,其特征在于����,所述的授權(quán)存儲在外部設(shè)備(6,7)上���,該外部設(shè)備(6,7)可以與所述的計算機系統(tǒng)(1)相連接���。
4.按權(quán)利要求3的方法����,其特征在于����,所述的外部設(shè)備(6,7)是一種芯片卡�、藍牙設(shè)備、移動電話或PDA�����。
5.按權(quán)利要求1至4的方法�����,其特征在于,將所述的接口(2)如此被激活����,即將所述計算機系統(tǒng)(1)中的控制電子裝置(8)激活用于控制所述接口(2)的運行。
6.按權(quán)利要求1至4的方法����,其特征在于,將所述的接口(2)如此被激活��,即連接線路(9)被連接到接口(2)���。
7.按權(quán)利要求1至4的方法����,其特征在于�,將所述的接口(2)如此被激活,即將用于控制邏輯接口(2)運行的邏輯控制裝置(10)激活����。
全文摘要
本發(fā)明涉及一種用于防護計算機系統(tǒng)(1)的方法,該計算機系統(tǒng)(1)具有選擇性擁有不同特許(3a�,4a)的不同使用者(3���,4)、具有至少一個用于與至少一個內(nèi)部或外部的外圍設(shè)備(5)交換數(shù)據(jù)的接口(2)�,其中,如果外圍設(shè)備(5)是授權(quán)的�����,或如果當(dāng)前使用者(3�����,4)的特許(3a��,4a)激活接口(2)�,則該接口(2)是激活的���。
文檔編號G06F21/35GK1581012SQ20041005650
公開日2005年2月16日 申請日期2004年8月6日 優(yōu)先權(quán)日2003年8月7日
發(fā)明者G·阿恩, M·布勞恩 申請人:富士通西門子電腦股份有限公司