[发明专利]控制使用计算机的方法

说明书

本发明涉及控制使用计算机的方法，具体说，是具有通电口令的那些计算机系统。

1987年10月的IBM技术发明公报第30卷第5期的第57、58页发明了一种个人计算机保安系统。诸如IBM个人系统/2（IBM和个人系统/2-PS/2都是国际商用机器公司的商标）之类的个人计算机都提供有通电口令措施，以防止未经批准的人员使用计算机;在此情况下，未经批准的人员是指那些不知道通电口令的人员。在IBMPS/2一类计算机中，通电口令被保存在非易失性（电池供电）的CMOS随机存取存储器（RAM）中。

IBMPS/2个人计算机提供的通电口令措施只限于单口令，并且一旦某人员取得该口令，他就可以使用计算机的全部设施。

人们期望让计算机供多个用户使用并规定使用计算机的设施的不同级别。尤其希望有这样一种计算机：在通电或者系统复位之后系统引导的方法是在系统建立和装配阶段由系统管理人员或其它类似操作人员预先决定好的。词“引导”（boot）、就是指在计算机存贮器中首次装入程序。在可以从种装置（比如软盘、硬盘等）“引导”的计算机系统中，系统一通电，一引导（有时也称“自举”-“bootstrap”）程序就被启动，以便从媒体的保留区（可以在软盘、硬盘或远程设备上）装入操作系统，并在它的控制下，装入操作系统，该引导程序保存在系统的只读存贮器（ROM）内，并且在系统通电后可自动进入系统，或者它可以被用户键入的通电口令所启动。

先前的计算机系统中，使用计算机设备的口令在操作系统被装入后启动。未经她准的使用有可能在操作系统被装入之前用另一种引导程序来实现。一旦未批准的用户已成功地引导系统装入，所有的系统装置就很容易被滥用。

为了说明现有技术所存在的问题，不妨考虑一下计算机系统管理人员为防止被计算机病毒等的感染所采取的防范措施。一般计算机都是通过机械开关锁或者上述通电/装置口令使它只限于单个用户使用。它不能限制已知道这种方法的任何用户使用机器，并且它可以用合适的软盘驱动器。大多数常见的计算机病毒源是从已被病毒感染的软盘引入的，这或者是故意的，或者是由于对软盘上用户的程序和数据的不适当隔离造成的。先前技术的多存取计算机系统被配置成试图从软盘驱动器（把适当的软盘插入）启动，或者，若不能从软盘的话，就尝试从其它存贮媒体如硬盘或远程装置启动。显然，这种允许未经批准的用户存取已启动的软盘驱动器的方法会使用户把软盘上的病毒引入计算机;现行的只防止未准许的操作员使用机器的系统一旦机器已被启动，在操作系统口令保安系统还没工作之前就可能已被病毒感染。

因此，本发明提供了具有贮存在非易失性存贮器内的通电口令的计算机系统，这里，系统管理人员键入通电口令可以使用全部计算机功能，因而允许系统管理人员去配置该系统，其特征是其非易失性存贮器内保存有至少一个附加口令，用户键入该附加口令就允许系统按系统管理人员预先选定的方式引导启动。

本发明的目的是在具有贮存在非易失性存贮器内的电口令的计算机系统中，系统管理人员输入通电口令可使他使用全部的计算机功能;提供一种控制使用计算机的方法，它包括步骤：在非易失性存贮器内至少保存有一个附加口令，输入该附加口令可使用户以系统管理人员预定的方式引导系统的操作系统装入。最好是具有多个附加口令，以提供至少两种安全使用系统的不同等级。

计算机系统可以是独立使用的个人计算机或工作站，或者通过某种网连接的其它计算机或工作站以及/或者主机或者微机。

适合于使用多重附加口令，尤其是至少提供两类附加口令，每一类附加口令提供一种不同的使用计算机系统的保密等级。

最好用这些不同的使用等级的至少一种禁止任何输入设备从软盘、磁带和类似存贮媒体上装入或卸下程序或数据，从而防止用户把数据复制到系统或者从系统中复制。

在本发明的一优选实施例中，通电口令和附加口令作为键盘扫描码贮存在非易失性CMOSRAM，比如电池供电的CMOSRAM中。这些口令最好是带检查和字符的长度为七个字符的串。

特别适合采用本发明的计算机系统是个人计算机，比如带一个软盘驱动器和一个硬盘的IBM个人系统/2（PS/2）中的型号50、55、70、或80。

本发明的计算机系统的最佳安排是用附加口令来禁止软盘驱动器或者其它装置的引导能力。用于这种系统的附加口令可以贮存在非易失性RAM或者硬盘的一个扇区内，所选的该扇区应是硬盘上用户正常使用对不存放数据的扇区。

作为对计算机系统的另一个特别有用的保密特性，若某用户作了三次尝试都未能键入正确的口令，系统就把电源关闭，只有用户把电源再打开后，才能再作键入口令的尝试。