一种用于计算机操作系统的安全系统包含处理器(37),其独立于主机CPU(13),用来控制主机CPU(13)与在存储设备(21)中所形成的用来存储操作系统的安全分区之间的访问。独立于计算机存储器与存储设备(21)的程序存储器(41)不可修改地存储并提供用来以如下方式操作处理器(37)的计算机程序,该方式控制对存储设备(21)中安全分区的访问。在安全系统初始化之前,阻塞主机CPU(13)对数据存储设备(21)的所有数据访问,并且紧接初始化之后,在处理器(37)的控制下截获这些访问。处理器(37)进行独立控制主机CPU(13)与配置计算机(11),以在截获阶段期间防止对存储设备(21)上安全分区的未授权访问。用对于存储设备(21)上安全分区的操作系统文件的指定访问权限简档认证计算机(11)的所有用户,并且保持阻塞对于存储设备的数据访问,直至正确认证了计算机(11)的用户。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种计算机系统中用于保证数据与信息存储安全的安全系统,以及保证该数据与信息存储安全的方法。更具体地讲,本专利技术涉及一种计算机系统中用于保证计算机操作系统安全的安全系统与方法。
技术介绍
在本说明书中,定义计算机系统包含具有中央处理单元(CPU)以及存储设备的计算机,该存储设备可以是硬盘、CD R/W或者其他可读/写数据存储介质或者以上的任意组合;以及如客户端服务器系统中那样包含一或多个此类计算的网络。此处,计算机的操作系统包含提供用户与该计算机硬件之间接口、并且控制在该计算机上运行的所有其他程序的软件以及数据。因此,操作系统可以处理至外围硬件的接口,调度任务,分配存储,以及当没有应用程序运行时向用户呈现缺省界面。用户界面可以包含命令语言、图形用户界面或者窗口系统。操作系统加载程序、BIOS、或者启动时或者安装操作系统时所需的其他固件一般不被认为是操作系统的一部分。术语“分区”此处用来指可读/写数据存储设备中通过格式化该存储设备而创建的部分、区域、或者数据块的连续组。在本说明书中,除非上下文有另外要求,术语“包含”及其变型应该理解为指包括所述完整体(integer)或者完整体的组,但是不排除其他任何完整体或完整体的组。在计算机广泛应用的当今,各种用户越来越可以访问存储在计算机系统上的数据。这种访问可以通过不同用户本地地和或远程地使用计算机系统而直接地实时发生,或者通过由计算机用户手动地或者自动地在预定时间加载并运行计算机程序而间接地发生。随着允许通过局域网或者广域网(例如因特网)远程访问计算机系统的计算机网络的出现、并且计算机系统之间计算机程序与数据的轻易传输(或者手动地通过软盘与CD ROM、或者自动地通过计算机网络),在计算机可读/写存储上存储的数据与信息的安全性与完整性正日益变得极端重要。现在计算机系统通常包含“防病毒”软件,用来保护在其存储设备上存储的数据与信息不受恶意计算机程序侵害;以及用户验证程序,其根据用户的状态允许对在计算机系统存储设备上所存储的数据与信息的预定级别的访问权限。现在使用的大部分类型的防病毒软件与用户验证协议的问题在于事实其以软件实现,该软件需要在计算机操作系统的控制下执行。因此,此类防病毒或用户验证软件正确发挥功能的先决条件在于计算机系统必须能够“干净地”加电、启动、并且调入操作系统,而此时不应该有影响计算机的任何病毒或者挫败安全性的进程。在防病毒软件的情况下,该软件的大部分依赖于具有该软件正试图保护该系统不受其影响的病毒或者病毒类型的某些知识。因此,防病毒软件需要经常更新,并且需要在特定病毒到达计算系统之前进入操作系统。因为某些病毒可以是对计算机系统非常恶意并且是破坏性的,所以病毒首次发作与抵抗该病毒的软件的产生之间的滞后时间仍然会形成一窗口,在该窗口内,常常会对感染此类病毒的某些计算系统造成不可修复的损害。实际上,病毒以及防病毒软件的制造具有使自身永久存在下去的趋势。因此,虽然可能在过去提出过更好的解决方案来抵抗病毒、确保程序与信息的安全,但是技术现状仍然停留在采用软件方法来处理该问题。尽管如此,人们还是在过去提出了各种基于硬件的解决方案,其在本质上在防范病毒或者防止对存储在计算机上的数据的未授权访问方面更可靠、更有弹性。然而这些解决方案不容易应用,在适应不同的、不断变化的格式化标准的方面有限制,或者为了使其有效甚或可运行,需要在技术方面远远超出单纯加载可执行程序的用户交互。计算机的操作系统一般存储在可读/写存储设备或者CD-ROM上。上述问题出现在操作系统存储在诸如硬盘驱动器(HDD)等可读/写存储设备上的情况下。相反,将操作系统存储在CD-ROM上提供了安全性,但是牺牲了灵活性,因为该操作系统不可修改,并且计算机只能以该CD-ROM自身运行。另外,只能通过更换CD ROM来更新操作系统。在可读/写存储设备中保护计算机的操作系统是有利的。
技术实现思路
根据本专利技术的一个方面,提供了一种用于计算机操作系统的安全系统,该计算机具有主机中央处理单元(CPU)、由该主机CPU用来加载程序以操作该计算机的存储器、以及用来存储该计算机要处理的数据的可读/写存储设备,该安全系统包含在存储设备中形成的安全分区,其中操作系统存储在安全分区中;建立简档部件,用来相对于存储设备为计算机的用户定义至少两个不同的数据访问权限简档,其中一个访问权限简档对存储在所述安全分区上的数据授予读/写访问权限,另一个访问权限简档对所述安全分区授予不允许写访问的、阻塞级别的访问权限;以及阻塞部件,用来根据为在任意特定时间点上对存储设备进行数据访问的用户定义的特定数据访问权限简档,选择性地阻塞主机CPU与安全分区之间的数据访问;其中所述阻塞部件独立于所述主机CPU、并且可与所述主机CPU分离地配置,以在不管主机CPU随后操作的情况下,根据进行所述数据访问的用户的特定数据访问权限简档,施加并且连续地维持对所述安全分区的、对于进行所述数据访问的用户的、必要级别的数据访问权限。优选地,该安全系统包含认证部件,用来认证具有指定数据访问权限简档的计算机用户,以及配置所述阻塞部件,以在该用户能够在不管该用户的特定访问权限简档为何的情况下访问所述安全分区之前,根据该用户的数据访问权限简档,控制至安全分区的随后的访问。优选地,该安全系统包含独立于主机CPU的处理部件,用来响应于所述认证部件地控制所述阻塞部件的操作,以阻塞主机CPU与存储设备之间的访问。优选地,在安全系统初始化之前,阻塞部件阻塞主机CPU对数据存储设备的所有数据访问,并且阻塞部件包含截获部件,用来在紧接所述初始化之后,在所述处理部件的控制下,截获所有所述数据访问。优选地,当紧接所述初始化之后、载入计算机的操作系统之前、所述截获部件截获所述数据访问时,所述处理部件以如下方式独立控制主机CPU以及配置计算机,该方式防止对存储设备的未授权访问。优选地,所述认证部件使得能够在正确验证用户之后、进行计算机的软件启动,并且所述处理部件允许在所述软件启动之后的计算机启动序列期间正常加载操作系统。优选地,所述安全系统包括程序存储器部件,其独立于计算机的存储器与存储设备,用来不可修改地存储并且提供用来以指定方式操作处理部件以控制所述访问的计算机程序。优选地,所述安全系统包括存储器存储部件,其独立于计算机的存储器部件与存储设备,用来存储与计算机的基本操作及对存储设备的访问相关联的关键数据以及控制元素。优选地,所述关键数据以及控制元素提供给主机CPU并由主机CPU使用,以验证存储设备,并且在计算机启动序列期间独立于存储设备地操作计算机。优选地,认证部件包含登录验证部件,用来使计算机用户能够输入登录标识与口令,并且验证该登录标识与口令,以在允许计算机启动序列进一步前进之前,认证所述用户为具有对于存储设备的预定访问权限简档的、计算机的授权用户。优选地,所述授权用户的登录标识与口令、及其指定访问权限简档形成部分所述关键数据以及控制元素,并且所述登录验证部件访问所述关键数据以及控制元素,以进行用户认证。优选地,指定访问权限简档包含对于允许计算机授权用户对存储设备指定分区的预定访问权限级别的指定分配。优选地,指定分区包含安全系统。优选地,独立处理部件与独立程序存储器部件本文档来自技高网...
【技术保护点】
一种用于计算机的操作系统的安全系统,该计算机具有主机中央处理单元(CPU)、由该主机CPU用来加载程序以操作该计算机的存储器、以及用来存储该计算机要处理的数据的可读/写存储设备,该安全系统包含: 在存储设备中所形成的安全分区,其中操作系统存储在安全分区中; 建立简档部件,用来相对于存储设备为计算机的用户定义至少两个不同的数据访问权限简档,其中一个访问权限简档对存储在所述安全分区上的数据授予读/写访问权限,另一个访问权限简档对所述安全分区授予不允许写访问的、阻塞级别的访问权限;以及 阻塞部件,用来根据为在任意特定时间点上对存储设备进行数据访问的用户定义的特定数据访问权限简档,选择性地阻塞主机CPU与安全分区之间的数据访问; 其中所述阻塞部件独立于所述主机CPU、并且可与所述主机CPU分离地配置,以在不管主机CPU随后操作的情况下,根据进行所述数据访问的用户的特定数据访问权限简档,为进行所述数据访问的用户施加并且连续地维持对所述安全分区的数据访问权限的必要级别。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:理查德卡布津斯基,迈克尔A赫恩,拉塞尔E鲍尔斯,
申请(专利权)人:安全系统有限公司,
类型:发明
国别省市:AU[澳大利亚]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。