KR100538659B1 - 컴퓨터 장치의 저장 영역에 대한 애플리케이션 레벨 액세스 특권을 부여하는 방법 및 장치 - Google Patents

컴퓨터 장치의 저장 영역에 대한 애플리케이션 레벨 액세스 특권을 부여하는 방법 및 장치 Download PDF

Info

Publication number
KR100538659B1
KR100538659B1 KR10-2003-7002130A KR20037002130A KR100538659B1 KR 100538659 B1 KR100538659 B1 KR 100538659B1 KR 20037002130 A KR20037002130 A KR 20037002130A KR 100538659 B1 KR100538659 B1 KR 100538659B1
Authority
KR
South Korea
Prior art keywords
application
access
storage area
storage
applications
Prior art date
Application number
KR10-2003-7002130A
Other languages
English (en)
Other versions
KR20040015702A (ko
Inventor
스티븐 에이. 스프릭
로렌스 룬드블레이드
Original Assignee
콸콤 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 콸콤 인코포레이티드 filed Critical 콸콤 인코포레이티드
Publication of KR20040015702A publication Critical patent/KR20040015702A/ko
Application granted granted Critical
Publication of KR100538659B1 publication Critical patent/KR100538659B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • G06F21/805Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors using a security table for the storage sub-system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

저장 장치에 대한 애플리케이션의 액세스는 애플리케이션 기반단위로 제한된다. 애플리케이션은 상기 저장 장치의 부분에 액세스를 허가받는다. 애플리케이션은 상기 부분내에 개별 파일 구조를 형성하고, 거기에 포함된 파일을 수정, 판독 및 기록함으로써 상기 저장 장치의 부분을 조작할 수 있다. 애플리케이션은 허가된 부분 바깥의 저장 영역에 대한 액세스를 거부당한다. 유사하게, 저장 영역에 저장된 다른 애플리케이션은 유사한 범례를 수반한다. 일 실시예에서, 저장 영역은 계층적 파일 구조이며 애플리케이션은 상기 파일 구조의 자식으로 저장된다. 그러나, 애플리케이션은 상기 파일 구조의 다른 영역으로의 액세스를 금지하기 위해 상기 파일 구조의 루트에 각각 저장됨을 표시하도록 매핑된다. 또 다른 실시예에서, 상기 파일 구조는 다수 애플리케이션이 루트 디렉토리로서, 그러나 다른 드라이브로 매핑되는 공유 디렉토리를 지원한다.

Description

컴퓨터 장치의 저장 영역에 대한 애플리케이션 레벨 액세스 특권을 부여하는 방법 및 장치{APPLICATION LEVEL ACCESS PRIVILEGE TO A STORAGE AREA ON A COMPUTER DEVICE}
본 발명은 컴퓨터 장치에 이용되는 애플리케이션의 프로세싱에 관한 것이며, 더욱 구체적으로, 파일 구조에 애플리케이션을 저장하고 컴퓨터 장치의 저장 영역으로의 애플리케이션 액세스를 제한하는 방법 및 장치에 관한 것이다.
무선 통신은 최근 몇년간 눈부시게 성장해왔다. 소비자 및 사업자가 이동 전화 및 개인용 휴대 정보 단말기(PDA)와 같은 무선 장치에 더욱 의존함에 따라, 무선 서비스 제공자, 즉, 캐리어는 이러한 무선 장치에 부가의 기능성을 제공하려 노력한다. 이러한 부가 기능성은 무선 장치의 수요를 증가시킬 뿐 아니라 현재 사용자간의 이용도를 또한 증가시킨다.
무선 장치 환경은 무선 장치상에 애플리케이션의 실행을 고려할 때 고유한 요구를 발생시킨다. 애플리케이션을 다운로딩하고 제거하는 방법이 개발될 필요가 있다. 게다가, 무선 장치상의 보안의 필요성도 존재한다. 무선 장치상의 보안 고려는 애플리케이션이 무선 장치 또는 무선 장치가 통신하는 망상의 다른 파일을 고의로 또는 우연히 품질저하시키거나 훼손할 수 없도록 가능한 최상의 방법으로 환경을 제어하는 것을 포함한다.
실행중에 애플리케이션은 장치상에 저장되거나 장치에 액세스가능한 파일의 판독, 기록 및 수정과 같은 여러 동작을 수행할 수 있다. 이러한 파일은 장치 드라이버와 같은 장치에 의해 이용되는 시스템 파일, 다른 애플리케이션 파일 또는 데이터 파일일 수 있다.
애플리케이션이 장치상에, 또는 상기 장치에 연결된 다른 시스템상에 가질 수 있는 소정 데미지(damage)를 제한하기 위해 보안 조치와 같이, 그 장치로 액세스가능한 다른 파일로의 애플리케이션의 액세스를 제어하는 것이 바람직하다. 이러한 데미지는 애플리케이션상의 바이러스를 통해 의도적으로 이루어질 수 있으며, 또는 애플리케이션이 우연히 자원을 지배하며 다른 애플리케이션 또는 데이터를 손상시키는 장애있는 기록 코드로 실행할 경우 우연하게 이루어질 수 있다.
현재, 저장 영역에 대한 애플리케이션 액세스를 제어하는 유일한 방법은 사용자에 대한 특권 레벨을 정의하는 것이다. 사용자는 다양한 저장 영역에서 파일을 판독, 기록 및 수정하도록 하는 특권 레벨을 부여받을 수 있다. 이러한 메카니즘은 사용자 레벨에서의 액세스만을 제어한다.
그러나, 이러한 방법은 애플리케이션 실행에 기초한 저장 장치 액세스의 제한을 허용하지 않는다. 사용자 자신이 저장 장치로의 애플리케이션 액세스를 제한하려 시도할 수 있는 반면, 사용자에 의해 실행되는 애플리케이션은 모두 사용자에게 정의된 저장 장치로의 동일한 액세스를 제공받는다. 게다가, 사용자의 제어밖에서 저장 장치로의 애플리케이션의 액세스를 제한하는 메카니즘이 존재하지 않는다.
결과적으로, 기술 분야에는 저장 장치로의 애플리케이션의 액세스를 제한하는 시스템 및 방법이 요구된다. 게다가, 상기 제한은 장치 또는 장치의 사용자가 상기 애플리케이션에 부과된 액세스 제한을 변경할 수 없도록 확립되는 것이 바람직하다.
도 1은 본 발명의 예시적인 실시예가 수행될 수 있는 저장 장치를 갖는 컴퓨터 장치를 도시하는 블록선도이다.
도 2는 본 발명의 예시적인 실시예에서 저장 장치를 갖는 무선 장치와 애플리케이션 액세스 프로세스를 포함하는 무선 시스템 아키텍쳐를 도시하는 블록선도이다.
도 3은 본 발명의 예시적인 실시예의 실행에 이용되는 파일 구조를 도시하는 블록선도이다.
도 4는 본 발명의 예시적인 실시예에서 장치의 저장 영역으로의 애플리케이션의 액세스를 제한하는 애플리케이션을 저장하는 프로세스를 도시하는 흐름도이다.
도 5는 본 발명의 예시적인 실시예에서 저장 영역으로의 애플리케이션 액세스를 제한하는 프로세스를 도시하는 흐름도이다.
본 발명에 따른 시스템 및 방법은 애플리케이션 저장 장치에 대한 더욱 안전한 환경을 형성하고 다른 저장 영역에 대한 애플리케이션의 액세스를 제한함으로써 종래 시스템의 결점을 극복한다. 게다가, 본 발명에 따른 시스템 및 방법은 장치 및/또는 장치의 사용자가 상기 애플리케이션에 부과되는 액세스 제한을 변경할 수 없도록 하는 메카니즘을 제공한다.
일 실시예에서, 본 발명은 애플리케이션을 실행하기 위한 요청을 수신하는 단계, 상기 애플리케이션이 수정되었는지를 결정하는 단계, 상기 애플리케이션이 수정되지 않은 경우에, 상기 애플리케이션을 고유한 저장 위치로 매핑하는 단계, 상기 고유한 저장 위치로의 애플리케이션 액세스를 허가하는 단계 및 상기 고유한 저장 위치로의 제 2 애플리케이션 액세스를 거부하는 단계를 포함하는 장치상에 애플리케이션을 실행하는 방법을 제공한다.
다른 실시예에서, 본 발명은 파일 구조를 가지며, 상기 파일 구조내에 파일을 저장하기 위한 제어 프로그램을 포함하며, 상기 제어 프로그램은 상기 파일 구조내에 다수의 애플리케이션을 저장하도록 동작하며, 각 애플리케이션은 상기 파일 구조의 관련 부분을 가지며 상기 제어 프로그램은 관련된 부분으로의 각 애플리케이션 액세스를 허가하며 상기 저장 영역의 다른 관련 부분에의 각 애플리케이션에 대한 액세스를 거부하도록 동작하는 장치를 제공한다.
또 다른 실시예에서, 본 발명은 장치에서 애플리케이션을 수신하는 단계, 상기 장치의 저장 장치에 애플리케이션을 저장하는 단계 및 장치상의 사용자 액세스 특권과는 독립적으로, 상기 저장 장치상의 고유한 부분으로의 애플리케이션의 액세스를 제한하는 단계를 포함하는 장치상에 애플리케이션을 저장하는 방법을 제공한다. 본 발명의 부가 실시예는 또한 다음의 기술 및 첨부한 도면을 참조로 기술된다.
본 발명의 바람직한 실시예를 도시하며 명세서의 일부를 구성하며 통합되는 첨부한 도면은 본 발명의 원리를 설명하는데 이용된다.
참조 문자는 여러 도면을 통해 유사하거나 대응하는 부분을 지시하며, 첨부한 도면에 도시된 바와 같은 본 발명의 예시적이며 바람직한 실시예에 대한 상세한 기술이 이루어질 것이다. 본 발명의 본질, 목적 및 장점은 첨부한 도면을 참조로 하기의 상세한 기술로부터 당업자에게 더욱 명백해질 것이다.
도입
본 발명은 컴퓨터 장치상의 저장 영역에 대한 애플리케이션의 액세스를 제한한다. 장치상의 동일한 사용자는 다수의 애플리케이션을 설치할 수 있다. 사용자는 모든 애플리케이션과 각 애플리케이션의 저장 영역에 액세스할 수 있다. 그러나, 본 발명에 따른 시스템 및 방법은 특정 애플리케이션에 할당된 것 이외의 다른 저장 영역으로의 애플리케이션 액세스 각각을 제한한다. 사용자단위가 아닌 애플리케이션 단위로 이러한 액세스를 한정함으로써, 애플리케이션이 해서는 안되는 저장 영역을 오버라이팅하거나 부적절하게 액세스하는 애플리케이션에 의해 발생할 수 있는 바람직하지 않은 결과를 감소시키면서, 더욱 안전한 애플리케이션 실행이 달성될 수 있다. 이러한 안정성의 증가된 레벨은 애플리케이션을 실행하는 사용자가 상기 애플리케이션에 의한 액세스가 금지된 다른 저장 영역을 액세스할 권리를 가질 때에도 제공된다.
게다가, 본 발명에 따른 시스템 및 방법은 또한 다수의 애플리케이션이 사적이고 보안된 영역을 유지할 수 있지만, 또한 데이터 및 라이브러리와 같은 파일을 다른 애플리케이션과 공유할 수 있도록 저장의 공유 영역으로의 액세스를 제공한다.
전술한 것은 기술을 간략하게 하도록 분배되고 실행되는 애플리케이션 파일 유형을 기술하는 것임을 당업자는 이해할 것이다. "애플리케이션"은 또한 예를 들어, 객체 코드, 스크립트, 자바 파일, 북마크 파일(또는 PQA 파일)과 같은 실행가능한 내용을 갖는 파일을 포함할 수 있다. 게다가, 여기에 지칭된 "애플리케이션"은 또한 액세스될 필요가 있는 다른 데이터 파일 또는 개방될 필요가 있는 문서와 같이, 본래 실행할 수 없는 파일을 포함할 수 있다.
도 1은 본 발명의 예시적인 실시예가 실행될 수 있는 저장 장치를 갖는 컴퓨터 장치를 도시하는 블록선도이다. 예시적인 실시예에서, 컴퓨터 장치(105)는 저장 영역(110), CPU(115) 및 버스(130)를 통해 상호접속되는 입/출력(I/O) 인터페이스 (120)를 포함한다. 이러한 것들은 컴퓨터 장치에 포함될 수 있는 소자의 일부라는 것을 당업자는 이해할 것이다. 더욱이, 컴퓨터 장치의 상호접속하는 여러 소자의 많은 다른 예가 이용될 수 있다.
컴퓨터 장치(105)는 망(100)을 통해 외부 시스템과 인터페이싱할 수 있으며 또한 I/O 장치(125)(CD-ROM, 스마트 카드 또는 플로피 디스크)를 통해 I/O 인터페이스(120)로 애플리케이션 또는 다른 데이터를 수신할 수 있다. 컴퓨터 장치(105)의 저장 영역(110)은 컴퓨터 장치(105)로 수신된 데이터 및 애플리케이션을 저장하는데 이용된다. 저장 영역(110)은 하드 디스크 드라이브, 플래시 메모리 또는 다른 저장 방법(도시되지 않음)을 포함할 수 있다. 게다가, 컴퓨터 장치는 운영 시스템 파일, 자원 파일, 구성 파일 및 라이브러리와 같이 저장 영역(110)에 다른 정보를 저장할 수 있다. 그러나, ROM, EPROM 및 RAM과 같은 개별 저장 영역은 또한 이러한 또는 다른 파일을 저장하는데 이용될 수 있다.
컴퓨터 장치는 망(100)에 접속될 때 고정 위치를 갖는 개인용 컴퓨터일 수 있으며, 또는 망(100)과 통신할 때 지리적 위치를 변경할 수 있는 이동 무선 장치일 수 있다.
애플리케이션(135)은 망(100) 또는 I/O 장치(125)를 통해 컴퓨터 장치에 의해 수신될 수 있다. 상기에 기술된 바와 같이, 이러한 애플리케이션은 객체 코드, 스크립트, 자바 파일, 북마크 파일(또는 PQA 파일), WML 스크립트, 바이트 코드 및 펄 스크립트와 같은 실행가능한 내용을 갖는 파일을 포함하지만 이에 제한되지는 않는다.
망(100)은 인터넷과 같은 사설 및 공중 망을 통합하는 지상 망일 수 있으며 또는 무선 통신에 이용되는 것과 같은 RF 망을 통합할 수 있다.
본 발명의 일 실시예에서, 컴퓨팅 장치(105)는 또한 QUALCOMM INCORPORATED에 의해 개발된 BREW API와 같은 제어 프로그램을 포함할 수 있다. 제어 프로그램은 여기에 기술된 애플리케이션에 대한 액세스 제한을 제공하는 저장 장치 메카니즘을 통합하는데 이용될 수 있다.
도 2는 본 발명의 예시적인 실시예에서 저장 장치 및 애플리케이션 액세스 프로세스를 갖는 무선 장치를 포함하는 무선 시스템 아키텍쳐를 도시하는 블록선도이다. 중앙 서버(202)는 표준 또는 약정을 프로그래밍하는 규정 세트와 호환가능한 애플리케이션 프로그램을 스스로 또는 인증 서버와의 결합을 통해 인증하는 개체이다. 이전에 기술된 바와 같이, 이러한 프로그래밍 표준은 애플리케이션이 QUALCOMM INCORPORATED에 의해 개발된 BREWTM 소프트웨어 플랫폼상에 실행하도록 확립될 수 있다.
일 실시예에서, 중앙 서버 데이터베이스(204)는 망(200)의 각 무선 장치 (230)상에 언제든 다운로딩된 각 애플리케이션 프로그램에 대한 식별 레코드, 애플리케이션 프로그램을 다운로딩받은 개인에 대한 전자 서비스 번호("ESN") 및 상기 애플리케이션 프로그램을 전달하는 무선 장치(230)에 고유한 이동 식별 번호 ("MIN")로 구성된다. 대안적으로, 중앙 서버 데이터베이스(204)는 무선 장치 모델, 무선 망 캐리어, 무선 장치(230)가 이용되는 영역의 망(200)에서 각 무선 장치(230)에 대한 레코드 및 무선 장치(230)가 어느 애플리케이션 프로그램을 전달하는지를 식별하는데 유용한 소정의 다른 정보를 포함한다. 부가로, 중앙 서버 데이터베이스는 또한 애플리케이션과 관련된 정보를 식별하는 이러한 개발자를 저장할 수 있다.
중앙 서버(202)는 인터넷(바람직하게는 보안된)과 같은 망(208)을 통해 하나 이상의 컴퓨터 서버(206)와 통신한다. 서버(206)는 또한 망(208)을 통해 캐리어 망(210)과 통신한다. 캐리어 망(210)은 인터넷과 POTS(기존 전화 서비스)(도 2에서 211로 지칭) 양쪽에 의해 MSC(212)와 통신한다. 캐리어 망(210)과 MSC(212)간의 인터넷 접속(211) 및 POTS(211)는 음성정보를 전송한다. MSC(212)는, 차례로 다수 기지국("BTS")(214)에 접속된다. MSC(212)는 인터넷(211)(데이터 전송용) 및 POTS (211)(음성 정보용)에 의해 접속된다. BTS(214)는 단문 메시지 서비스("SMS") 또는 다른 무선 방법에 의해 무선으로 무선 장치(230)에 메시지를 전송한다.
상기 망은 무선 장치(230)와 같은 컴퓨터 장치에 애플리케이션을 전송하는데 이용될 수 있다. 일 실시예에서 상기 애플리케이션은 다른 애플리케이션 또는 파일로부터 구별하기 위해 고유한 식별자를 가지며 상기 애플리케이션에 대한 수정을 검출하기 위해 디지털 서명을 갖는다. 이러한 디지털 서명은 상기 애플리케이션에 한정될 수 있으며 경계 또는 분리로 상기 무선 장치에 저장되지만, 여전히 상기 애플리케이션과 관련된다. 애플리케이션은 무선 장치(230)에 대한 MSC 및 BTS를 통해 여러 서버(206) 중 하나에 대해 중앙 서버로부터 무선 장치에 전송된다.
도 3은 본 발명의 예시적인 실시예의 실행에 이용되는 파일 구조를 도시하는 블록선도이다. 저장 영역을 갖는 컴퓨터 장치상에, 본 발명의 일 실시예는 애플리케이션의 액세스를 저장 영역에 제한하는데 보조하기 위해 파일 구조를 형성한다. 도 3의 이러한 구조는 계층적 파일 구조를 도시하며, 그러나 여러 파일 구조가 여기에 기술된 저장 영역에 대한 애플리케이션이 액세스를 제한하는 시스템 및 방법을 실행하는데 이용될 수 있음을 당업자는 이해할 것이다.
이러한 실시예에서, 파일 구조의 루트는 저장 영역의 이러한 부분에 저장되는 파일을 정의하는 것이다. 파일 루트 디렉토리(300)에 대한 서브디렉토리는 애플리케이션(305) 및 공유(310)를 포함한다. 컴퓨터 장치가 애플리케이션을 수신할 때, 상기 애플리케이션은 애플리케이션 디렉토리(305) 아래의 서브디렉토리(예를 들어, App X(315) 및 App Y(320))에 저장된다. 당업자는 이러한 계층적 구조가 본 발명을 실행하면서 여러 서브디렉토리 방식을 이용하여 여러 방법으로 구조화될 수 있음을 이해할 것이다.
본 발명의 일 실시예에서, 애플리케이션 각각에 관련된 허가는 애플리케이션 디렉토리(305)에 저장된다. 이러한 허가는 API, 데이터 및 라이브러리와 같은 특정 파일에 대한 애플리케이션 권한을 허가하는데 이용될 수 있다.
각 애플리케이션이 관련된 고유한 식별자를 가지며 이러한 고유 식별자는 애플리케이션 서브디렉토리(305)아래의 개별 애플리케이션 서브디렉토리를 형성하는데 이용되는 것이 바람직하다. 일 실시예에서, 각 애플리케이션은 고유한 명칭을 가지며 서브디렉토리는 애플리케이션의 명칭을 이용하여 형성된다.
각 애플리케이션이 애플리케이션 서브디렉토리(305)아래 저장되면, 매핑이 각 애플리케이션과 관련하여 형성된다. 이러한 매핑은 애플리케이션이 파일 구조의 다른 영역을 액세스하는 것을 방지한다. 일 실시예에서, App X 서브디렉토리(315)는 저장 영역으로의 App X의 호출에 관해 루트 디렉토리로 매핑된다. 예를 들어, App X의 관점에서 보면, 실제로는 서브디렉토리이지만 파일 구조의 루트 디렉토리에 저장된다. 이 실시예에서, App X 서브디렉토리(315)를 루트 디렉토리로 매핑함으로써, App X로부터의 호출은 App X(315) 디렉토리의 바깥쪽 파일 중 어느것에도 액세스할 수 없다. 그러나, App X는 App X 서브디렉토리(315) 및 App X 서브디렉토리(315) 아래의 어떤 서브디렉토리(도시되지 않음)에도 액세스할 수 있다. 결과적으로, 이러한 실행하에서, App X는 파일 루트 디렉토리(300), 애플리케이션 서브디렉토리 (305) 또는 App Y 서브디렉토리(320)를 액세스할 수 없다.
유사하게, 동일한 사용자에 의해 액세스되는 동일한 장치내에서, 컴퓨터 장치가 App Y를 수신할 때, App Y는 App Y 서브디렉토리(320)의 애플리케이션 서브디렉토리(305) 아래에 저장된다. App X에서와 같이, 매핑은 루트 디렉토리에 저장되는 App Y에 나타나도록 App Y를 가지고 형성된다. 이것은 App Y 서브디렉토리(320) 및 그 아래의 소정 서브디렉토리(도시되지 않음)에 대한 App Y의 액세스를 제한한다. 이러한 파일 구조 및 매핑 방법은 App Y가 파일 구조의 다른 부분을 액세스하는 것을 방지하면서 App X에서와 같은 유사한 장점을 제공한다.
컴퓨터 장치상에 결과적으로, 애플리케이션은 컴퓨터 장치를 이용하는 사용자의 액세스 특권 레벨에만 기초하지 않고 특정 애플리케이션상에 기초하여 파일로의 액세스를 허용받을 수 있다.
애플리케이션 디렉토리를 파일 구조의 루트 디렉토리로 매핑하는 것은 본 발명의 일 실시예이며, 당업자는 세마포어(semaphore), 허가 리스트 및 저장 영역으로의 애플리케이션 액세스를 제한하는데 이용되는 다른 기술과 같은, 다른 범례가 존재함을 이해할 것이다.
본 발명의 또 다른 실시예에서, 애플리케이션사이에 데이터 또는 라이브러리와 같은 파일을 공유하는 것이 바람직할 수 있다. 따라서, 그러한 경우에, 공유 디렉토리(310)를 확립하고 데이터 공유를 원하는 각 애플리케이션에 공유 디렉토리의 매핑을 포함하는 것이 바람직하다. 또한, 이러한 공유 데이터는 예를 들어 개별 드라이브의 루트 디렉토리에 존재하도록 상기 애플리케이션에 매핑되는 것이 바람직하다. 공유 디렉토리(310)를 루트 디렉토리로 매핑하는 것은 공유 디렉토리의 부모 디렉토리 및 상기 공유 디렉토리의 부모 디렉토리의 소정 서브디렉토리로의 애플리케이션의 액세스 각각을 방지할 것이다.
부가로, 디지털 서명은 상기에 기술된 애플리케이션 명칭과 같은 고유한 식별자와 관련되는 것이 바람직하다. 디지털 서명 또는 소정의 다른 수정 검출 기술을 이용함으로써, 애플리케이션이 서브디렉토리가 형성되는 고유한 식별자를 수정하는지가 검출될 수 있다. 상기 수정 검출 및/또는 방지는 서브디렉토리에 액세스하기 위해 또 다른 애플리케이션의 명칭을 재명명하는 것과 같이, 애플리케이션이 부적절하게 동작하는 경우를 표시함으로써 더 안정한 시스템을 형성한다. 예를 들어, App X가 명칭을 App Y로 재명명해야 하고, 시스템이 상기 명칭에 기초한 재매핑, 즉 이 경우의 고유 식별자를 허용해야 하면, App X는 그후에 App Y의 파일에 액세스할 것이다.
도 4는 본 발명의 예시적인 실시예에서 장치의 저장 영역으로의 애플리케이션의 액세스를 제한하는 애플리케이션을 저장하는 프로세스를 도시하는 흐름도이다. 상기 프로세스는 고유한 식별자를 갖는 애플리케이션을 수신함으로써 시작한다(단계 400). 프로세스는 저장 장치상에 소정 명령을 제공하는 제어 프로그램 및 수신된 애플리케이션의 매핑에 의해 제어될 수 있다. 일 실시예에서, 제어 프로그램은 무선 장치에 실행하는, QUALCOMM INCORPORATED에 의해 개발된 BREWTM API이다.
일 실시예에서, 고유 식별자는 애플리케이션 명칭이다. 이 실시예에서, 컴퓨터 장치에 의해 전송되거나 수신된 애플리케이션은 동일한 애플리케이션 명칭이 컴퓨터 장치에 의해 전송되거나 수신되지 않도록 모니터링되어야 한다. 다른 식별자가 이용될 수 있으며, 당업자는 복제 식별자가 존재하는지를 결정하기 위해 들어오는 애플리케이션을 모니터링하는 방법을 이해할 것이다.
프로세스는 파일 구조의 서브디렉토리에 수신된 애플리케이션을 저장하도록 진행한다(단계 405). 이것은 애플리케이션과 함께 수신된 고유 식별자를 이용하여 서브디렉토리를 형성하는 것을 포함할 수 있다. 프로세스는 그후에 애플리케이션 서브디렉토리의 루트 디렉토리로의 매핑을 형성한다(단계 410). 결과적으로, 애플리케이션이 실행될 때, 애플리케이션은 루트 디렉토리에 위치하는 것으로 나타난다.
프로세스는 그후에 공유 디렉토리에 대한 또 다른 루트 디렉토리의 매핑을 형성함으로써 공유 디렉토리로의 애플리케이션 액세스를 제공하도록 진행한다(단계 415). 이러한 공유 디렉토리는 다수 애플리케이션이 데이터 및 라이브러리와 같은 파일의 공유를 위해 이러한 디렉토리로 액세스하도록 셋업될 수 있다.
컴퓨터 장치가 후속 애플리케이션을 수신하면(단계 420), 프로세스는 반복되지만 고유 식별자에 기초하여 후속 애플리케이션에 대한 개별 서브디렉토리를 형성한다. 결과적으로, 후속 애플리케이션은 루트 디렉토리에 위치하는 것으로 나타난다. 게다가, 이전 애플리케이션이 파일 공유를 위해 매핑될 때와 동일한 공유 디렉토리로 매핑될 수 있다.
부가 애플리케이션이 수신되지 않으면, 프로세스는 종료한다(단계 425).
도 5는 본 발명의 예시적인 실시예에서 저장 영역으로의 애플리케이션 액세스를 제한하는 프로세스를 도시하는 흐름도이다. 프로세스는 컴퓨터 장치상에 애플리케이션을 실행하기 위한 요청을 수신함으로써 시작한다(단계 500). 이러한 요청은 사용자 입력을 통해 사용자에 의해 이루어질 수 있거나 또는 컴퓨터 장치상에 또는 컴퓨터 장치에 접속된 망을 통해 또 다른 애플리케이션에 의해 이루어질 수 있다.
일 실시예에서, 애플리케이션은 수정을 검출하기 위해 애플리케이션과 관련된 디지털 서명을 갖는다. 이 실시예에서, 프로세스는 애플리케이션과 관련된 디지털 서명을 평가하도록 진행한다(단계 505). 디지털 서명이 결정됨에 따라 애플리케이션이 수정되었다면, 컴퓨터 장치는 애플리케이션의 실행 거부, 수정된 애플리케이션의 사용자로의 통보, 수정된 애플리케이션의 컴퓨터 장치 모니터링 시스템으로의 통보 또는 상기 수정된 애플리케이션의 서버 또는 다른 컴퓨터 시스템으로의 통보 중 하나 이상을 포함하는 동작의 여러 코스를 선택할 수 있다.
애플리케이션이 수정되지 않으면, 프로세스는 애플리케이션에 대한 액세스 특권을 형성한다(단계 508). 이러한 특권은 도 3 및 4에 관해 상기에 기술된 매핑 프로세스를 이용하여 형성될 수 있다. 그러나, 다른 특권 방식이 장치상의 저장 영역으로의 애플리케이션의 특권을 한정하는데 이용될 수 있다.
애플리케이션의 실행동안, 애플리케이션은 저장 영역으로의 액세스 요청을 수신할 수 있다(단계 510). 예를 들어, 애플리케이션은 저장 영역에 위치한 파일상에 판독, 기록 또는 수정 동작을 수행하도록 요청할 수 있다. 그러한 파일은 컴퓨터 장치의 자원을 제어하는 파일을 포함할 수 있다. 컴퓨터 장치는 애플리케이션이 파일 위치에 대해 특권을 허가받는지를 결정한다(단계 515). 매핑 예가 상기와 같이 이용되면, 컴퓨터 시스템은 애플리케이션이 매핑되는 루트 디렉토리 상위의 파일을 액세스할 수 없다는 사실에 의해 특권을 결정한다.
애플리케이션은 단계(515)에서 결정된 파일 위치에 대해 특권을 갖는다면, 애플리케이션은 파일에 대한 액세스를 허가받는다(단계520). 애플리케이션이 파일 위치로의 액세스를 허가받지 못하면, 액세스는 거부되고(단계 525) 프로세스는 종료한다(단계 530).
본 발명의 실행의 상기한 기술은 도시와 설명의 목적으로 제시되었다. 본 발명은 제시된 명확한 형태로 제한되지 않는다. 본 발명의 실시예로부터 변형 및 변조가 이루어질 수 있다. 예를 들어, 기술된 실행은 소프트웨어를 포함하지만 본 발명의 일 실시예는 하드웨어와 소프트웨어의 결합 또는 하드웨어 단독으로 실행될 수 있다. 본 발명은 객체-지향 또는 비객체-지향 프로그래밍 시스템으로 실행될 수 있다. 부가적으로, 본 발명의 측면은 메모리에 저장되는 것으로 기술되지만, 당업자는 이러한 측면이 하드 디스크, 플로피 디스크 또는 CD-ROM과 같은 2차 저장 장치, 인터넷 또는 다른 전파 매체로부터의 캐리어파 또는 RAM이나 ROM의 다른 형태와 같은 다른 유형의 컴퓨터-판독가능 매체에 저장될 수 있다. 본 발명의 범위는 청구범위 및 등가물에 의해 한정된다.

Claims (25)

  1. 애플리케이션에 대해 장치상의 저장 영역의 액세스를 제한하는 방법으로서,
    상기 저장 영역의 제 1 부분에 애플리케이션을 저장하는 단계;
    상기 애플리케이션에 상기 제 1 부분의 특권을 할당하는 단계;
    상기 애플리케이션에 상기 제 1 부분을 액세스하는 특권을 허가하는 단계; 및
    상기 저장 영역의 제 2 부분에 대해 상기 애플리케이션 액세스를 거부하는 단계를 포함하는 액세스 제한 방법.
  2. 제 1 항에 있어서, 상기 장치의 사용자에게 상기 저장 영역의 제 2 부분에 대한 액세스를 허가하는 단계를 더 포함하는 것을 특징으로 하는 액세스 제한 방법.
  3. 제 1 항에 있어서, 상기 저장 영역은 무선 장치상에 위치하는 것을 특징으로 하는 액세스 제한 방법.
  4. 제 1 항에 있어서, 상기 애플리케이션 저장 단계는 상기 무선 장치상의 애플리케이션 프로그래밍 인터페이스에 의해 수행되는 것을 특징으로 하는 액세스 제한 방법.
  5. 제 1 항에 있어서,
    상기 저장 영역에 제 2 애플리케이션을 저장하는 단계; 및
    상기 제 1 애플리케이션 및 상기 제 2 애플리케이션이 상기 저장 영역의 제 3 부분에 액세스하는 것을 허가하는 단계를 더 포함하는 것을 특징으로 하는 액세스 제한 방법.
  6. 장치상에 다수의 애플리케이션을 저장하는 방법으로서,
    상기 장치상의 저장 영역에 상기 다수의 애플리케이션을 저장하는 단계 - 상기 다수의 애플리케이션 각각은 상기 저장 영역의 개별 부분과 관련됨-;
    상기 다수의 애플리케이션 각각에 상기 저장 영역의 하나의 관련된 부분을 액세스하는 특권을 제공하는 단계; 및
    상기 저장 영역의 관련된 부분 중 하나에 대한 상기 다수의 애플리케이션 중 하나의 액세스를 거부하는 단계를 포함하는 방법.
  7. 제 6 항에 있어서, 상기 장치의 사용자가 상기 저장 영역의 하나의 관련 부분에 액세스하는 하나의 애플리케이션 및 상기 저장 영역의 하나의 관련 부분에 액세스 거부된 하나의 애플리케이션에 액세스하도록 허용하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  8. 제 6 항에 있어서, 상기 저장 영역의 공유 부분으로의 상기 다수의 애플리케이션의 액세스를 허가하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  9. 제 6 항에 있어서, 상기 장치는 무선 장치인 것을 특징으로 하는 방법.
  10. 저장 영역을 구비한 장치로서,
    상기 저장 영역에 관련된 파일 구조;
    상기 장치상에 애플리케이션의 저장을 명령하는 제어 프로그램; 및
    상기 저장 영역의 제 1 부분에 대한 액세스를 허용받으며 상기 저장 영역의 제 2 부분에 대한 액세스는 거부되는 제 1 애플리케이션을 갖는 저장 영역을 포함하는 장치.
  11. 제 10 항에 있어서, 상기 저장 영역의 제 2 부분에 대한 액세스를 허용받으며 상기 저장 영역의 제 1 부분에 대한 액세스는 거부되는 제 2 애플리케이션을 더 포함하는 것을 특징으로 하는 장치.
  12. 제 11 항에 있어서, 상기 제 1 애플리케이션 및 제 2 애플리케이션은 상기 저장 영역의 제 3 부분을 액세스할 수 있는 것을 특징으로 하는 장치.
  13. 장치상에 애플리케이션을 실행하는 방법으로서,
    상기 애플리케이션을 실행하기 위한 요청을 수신하는 단계;
    상기 애플리케이션이 수정되었는지를 결정하는 단계;
    상기 애플리케이션이 수정되지 않은 경우, 상기 애플리케이션을 고유한 저장 위치로 매핑하는 단계;
    상기 고유 저장 위치로의 애플리케이션 액세스를 허가하는 단계; 및
    상기 고유 저장 위치로의 제 2 애플리케이션 액세스를 거부하는 단계를 포함하는 애플리케이션 실행 방법.
  14. 제 13 항에 있어서, 상기 제 2 애플리케이션은 제 2 저장 위치로의 액세스를 가지며 사용자는 상기 고유한 저장 위치 및 상기 제 2 저장 위치로의 액세스를 갖는 것을 특징으로 하는 애플리케이션 실행 방법.
  15. 제 13 항에 있어서, 상기 애플리케이션 및 상기 제 2 애플리케이션에 공유 저장 위치로의 액세스를 허가하는 단계를 더 포함하는 것을 특징으로 하는 애플리케이션 실행 방법.
  16. 제 13 항에 있어서, 상기 장치는 무선 장치인 것을 특징으로 하는 애플리케이션 실행 방법.
  17. 파일 구조를 갖는 장치로서,
    상기 파일 구조내에 파일을 저장하기 위한 제어 프로그램을 포함하며, 상기 제어 프로그램은 상기 파일 구조내에 다수의 애플리케이션을 저장하도록 동작하며, 각 애플리케이션은 상기 파일 구조의 관련 부분을 가지며, 상기 제어 프로그램은 관련 부분에 대한 각 애플리케이션 액세스를 허가하며 상기 저장 영역의 다른 관련 부분에 대해 각 애플리케이션으로의 액세스를 거부하도록 동작하는 파일 구조를 갖는 장치.
  18. 제 17 항에 있어서, 상기 파일 구조는 계층적 구조이며 상기 제어 프로그램은 상기 애플리케이션이 루트 디렉토리에 저장됨을 표시하기 위해 각 애플리케이션을 매핑하도록 동작하는 것을 특징으로 하는 장치.
  19. 제 17 항에 있어서, 상기 제어 프로그램은 상기 다수의 애플리케이션을 상기 파일 구조의 공유 부분으로 매핑하는 것을 특징으로 하는 장치.
  20. 장치에서 애플리케이션을 수신하는 단계;
    상기 장치상의 저장 장치에 상기 애플리케이션을 저장하는 단계; 및
    상기 장치상의 사용자 액세스 특권과 독립적으로, 상기 저장 장치상의 고유한 부분으로의 상기 애플리케이션의 액세스를 제한하는 단계를 포함하는 장치상에 애플리케이션을 저장하는 방법.
  21. 제 20 항에 있어서, 상기 장치는 무선 장치인 것을 특징으로 하는 방법.
  22. 제 20 항에 있어서, 상기 애플리케이션에 대한 액세스를 제한하는 상기 단계는 상기 애플리케이션의 루트 디렉토리로서 상기 저장 장치상의 고유한 부분을 매핑함으로써 수행되는 것을 특징으로 하는 방법.
  23. 저장 영역으로의 애플리케이션의 액세스를 제한하는 시스템으로서,
    상기 장치에서 상기 애플리케이션을 수신하는 수단;
    상기 장치의 저장 장치에 상기 애플리케이션을 저장하는 수단; 및
    상기 장치상의 사용자 액세스 특권과는 독립적으로 상기 저장 장치상의 고유 부분에 대한 애플리케이션의 액세스를 제한하는 수단을 포함하는 액세스 제한 시스템.
  24. 장치에서 애플리케이션을 수신하는 단계;
    상기 장치상의 저장 장치에 상기 애플리케이션을 저장하는 단계; 및
    상기 장치상의 사용자 액세스 특권과는 독립적으로 상기 저장 장치상의 고유 부분에 대한 상기 애플리케이션의 액세스를 제한하는 단계를 포함하는 방법을 수행하도록 실행될 때 상기 저장 영역에 애플리케이션의 액세스를 제한하기 위한 컴퓨터 실행가능 명령을 포함하는 컴퓨터 판독가능 매체.
  25. 애플리케이션에 장치상의 저장 영역의 액세스를 제한하는 방법으로서,
    상기 저장 영역의 제 1 부분의 특권을 애플리케이션에 할당하는 단계;
    상기 애플리케이션에 상기 제 1 부분에 액세스하는 특권을 허가하는 단계; 및
    상기 저장 영역의 제 2 부분에 대한 상기 애플리케이션 액세스를 거부하는 단계를 포함하는 방법.
KR10-2003-7002130A 2001-08-13 2002-08-13 컴퓨터 장치의 저장 영역에 대한 애플리케이션 레벨 액세스 특권을 부여하는 방법 및 장치 KR100538659B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US31217701P 2001-08-13 2001-08-13
US60/312,177 2001-08-13
PCT/US2002/025750 WO2003017682A2 (en) 2001-08-13 2002-08-13 Application level access privilege to a storage area on a computer device

Publications (2)

Publication Number Publication Date
KR20040015702A KR20040015702A (ko) 2004-02-19
KR100538659B1 true KR100538659B1 (ko) 2005-12-26

Family

ID=23210217

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2003-7002130A KR100538659B1 (ko) 2001-08-13 2002-08-13 컴퓨터 장치의 저장 영역에 대한 애플리케이션 레벨 액세스 특권을 부여하는 방법 및 장치

Country Status (16)

Country Link
US (1) US7921287B2 (ko)
EP (1) EP1417602A4 (ko)
JP (2) JP2005500608A (ko)
KR (1) KR100538659B1 (ko)
CN (1) CN1307581C (ko)
AR (1) AR036214A1 (ko)
BR (1) BR0211917A (ko)
CA (1) CA2457617A1 (ko)
HK (1) HK1070442A1 (ko)
IL (1) IL160395A0 (ko)
MX (1) MXPA04002494A (ko)
NZ (1) NZ531200A (ko)
PE (1) PE20030375A1 (ko)
RU (1) RU2307388C2 (ko)
TW (1) TWI236298B (ko)
WO (1) WO2003017682A2 (ko)

Families Citing this family (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040123147A1 (en) * 2002-12-19 2004-06-24 Christopher White Control of security or ease-of-use sensitivity for a wireless communication device
CN101901605B (zh) * 2002-12-20 2013-02-27 皇家飞利浦电子股份有限公司 用于划分光盘的用户存储空间的方法,信息存储方法和装置
GB0311537D0 (en) * 2003-05-20 2003-06-25 Safa John Controlling write access of an application to a storage medium
WO2005003938A1 (en) 2003-07-04 2005-01-13 Nokia Corporation Key storage administration
CN1867883A (zh) * 2003-10-13 2006-11-22 皇家飞利浦电子股份有限公司 按应用程序进行存储分配
US7076637B2 (en) * 2003-10-29 2006-07-11 Qualcomm Inc. System for providing transitions between operating modes of a device
US7814554B1 (en) * 2003-11-06 2010-10-12 Gary Dean Ragner Dynamic associative storage security for long-term memory storage devices
US7257580B2 (en) * 2004-02-24 2007-08-14 International Business Machines Corporation Method, system, and program for restricting modifications to allocations of computational resources
JP2005352908A (ja) 2004-06-11 2005-12-22 Ntt Docomo Inc 移動通信端末及びデータアクセス制御方法
US20060107327A1 (en) * 2004-11-16 2006-05-18 Sprigg Stephen A Methods and apparatus for enforcing application level restrictions on local and remote content
EP1836640A2 (en) 2004-12-21 2007-09-26 SanDisk Corporation Memory system with versatile content control
US8504849B2 (en) * 2004-12-21 2013-08-06 Sandisk Technologies Inc. Method for versatile content control
US20070168292A1 (en) * 2004-12-21 2007-07-19 Fabrice Jogand-Coulomb Memory system with versatile content control
WO2006069311A2 (en) * 2004-12-21 2006-06-29 Sandisk Corporation Control structure for versatile content control and method using structure
US20060242151A1 (en) * 2004-12-21 2006-10-26 Fabrice Jogand-Coulomb Control structure for versatile content control
US20060242066A1 (en) * 2004-12-21 2006-10-26 Fabrice Jogand-Coulomb Versatile content control with partitioning
US8601283B2 (en) * 2004-12-21 2013-12-03 Sandisk Technologies Inc. Method for versatile content control with partitioning
US8051052B2 (en) * 2004-12-21 2011-11-01 Sandisk Technologies Inc. Method for creating control structure for versatile content control
CN102981980A (zh) * 2004-12-21 2013-03-20 桑迪士克股份有限公司 用于在存储装置控制存取的方法
US20060242067A1 (en) * 2004-12-21 2006-10-26 Fabrice Jogand-Coulomb System for creating control structure for versatile content control
US7797727B1 (en) 2005-01-31 2010-09-14 Hewlett-Packard Development Company, L.P. Launching an application in a restricted user account
US8423788B2 (en) * 2005-02-07 2013-04-16 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8321686B2 (en) * 2005-02-07 2012-11-27 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8108691B2 (en) * 2005-02-07 2012-01-31 Sandisk Technologies Inc. Methods used in a secure memory card with life cycle phases
US8627068B1 (en) * 2005-04-29 2014-01-07 Hewlett-Packard Development Company, L. P. Selecting access authorities
US8849968B2 (en) 2005-06-20 2014-09-30 Microsoft Corporation Secure and stable hosting of third-party extensions to web services
US7805470B2 (en) * 2005-06-23 2010-09-28 Emc Corporation Methods and apparatus for managing the storage of content in a file system
US7743409B2 (en) * 2005-07-08 2010-06-22 Sandisk Corporation Methods used in a mass storage device with automated credentials loading
US8074288B2 (en) * 2005-07-15 2011-12-06 Microsoft Corporation Isolation of application-specific data within a user account
US20070043667A1 (en) * 2005-09-08 2007-02-22 Bahman Qawami Method for secure storage and delivery of media content
US7536540B2 (en) * 2005-09-14 2009-05-19 Sandisk Corporation Method of hardware driver integrity check of memory card controller firmware
US20070061597A1 (en) * 2005-09-14 2007-03-15 Micky Holtzman Secure yet flexible system architecture for secure devices with flash mass storage memory
JP5112327B2 (ja) * 2005-11-17 2013-01-09 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 独自仕様のデータを管理するシステム
US7921303B2 (en) * 2005-11-18 2011-04-05 Qualcomm Incorporated Mobile security system and method
US7664924B2 (en) * 2005-12-01 2010-02-16 Drive Sentry, Inc. System and method to secure a computer system by selective control of write access to a data storage medium
US20100153671A1 (en) * 2005-12-01 2010-06-17 Drive Sentry Inc. System and method to secure a computer system by selective control of write access to a data storage medium
US9600661B2 (en) 2005-12-01 2017-03-21 Drive Sentry Limited System and method to secure a computer system by selective control of write access to a data storage medium
US10503418B2 (en) 2005-12-01 2019-12-10 Drive Sentry Limited System and method to secure a computer system by selective control of write access to a data storage medium
US7917715B2 (en) * 2006-01-28 2011-03-29 Tallman Jr Leon C Internet-safe computer
US20070234330A1 (en) * 2006-03-01 2007-10-04 Microsoft Corporation Prevention of executable code modification
KR100843075B1 (ko) 2006-05-29 2008-07-03 삼성전자주식회사 데이터를 관리하는 장치 및 방법
US8117441B2 (en) * 2006-06-20 2012-02-14 Microsoft Corporation Integrating security protection tools with computer device integrity and privacy policy
US20080022395A1 (en) * 2006-07-07 2008-01-24 Michael Holtzman System for Controlling Information Supplied From Memory Device
US20080010458A1 (en) * 2006-07-07 2008-01-10 Michael Holtzman Control System Using Identity Objects
US8140843B2 (en) * 2006-07-07 2012-03-20 Sandisk Technologies Inc. Content control method using certificate chains
US8613103B2 (en) * 2006-07-07 2013-12-17 Sandisk Technologies Inc. Content control method using versatile control structure
US8639939B2 (en) * 2006-07-07 2014-01-28 Sandisk Technologies Inc. Control method using identity objects
US8245031B2 (en) 2006-07-07 2012-08-14 Sandisk Technologies Inc. Content control method using certificate revocation lists
US20100138652A1 (en) * 2006-07-07 2010-06-03 Rotem Sela Content control method using certificate revocation lists
US8266711B2 (en) * 2006-07-07 2012-09-11 Sandisk Technologies Inc. Method for controlling information supplied from memory device
US20080072058A1 (en) * 2006-08-24 2008-03-20 Yoram Cedar Methods in a reader for one time password generating device
US20080052524A1 (en) * 2006-08-24 2008-02-28 Yoram Cedar Reader for one time password generating device
WO2008036833A2 (en) * 2006-09-20 2008-03-27 Drive Sentry, Inc. Selective control of write access to a data storage medium
US7921270B2 (en) 2006-10-05 2011-04-05 Sandisk Il Ltd. Methods and systems for controlling access to a storage device
US8423794B2 (en) * 2006-12-28 2013-04-16 Sandisk Technologies Inc. Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications
US8789063B2 (en) 2007-03-30 2014-07-22 Microsoft Corporation Master and subordinate operating system kernels for heterogeneous multiprocessor systems
US20100122054A1 (en) * 2008-11-12 2010-05-13 Sandisk Il Ltd. Copy safe storage
US9104618B2 (en) * 2008-12-18 2015-08-11 Sandisk Technologies Inc. Managing access to an address range in a storage device
US8220004B2 (en) * 2009-04-17 2012-07-10 Nokia Corporation Method, apparatus and computer program product for sharing resources via an interprocess communication
US8271544B2 (en) * 2009-05-01 2012-09-18 Creative Technology Ltd Data file having more than one mode of operation
US8433296B2 (en) 2009-05-01 2013-04-30 Ryan Hardin Exclusive delivery of content within geographic areas
US8037404B2 (en) * 2009-05-03 2011-10-11 International Business Machines Corporation Construction and analysis of markup language document representing computing architecture having computing elements
US8225061B2 (en) * 2009-07-02 2012-07-17 Apple Inc. Method and apparatus for protected content data processing
US9052919B2 (en) * 2010-01-15 2015-06-09 Apple Inc. Specialized network fileserver
US8931103B2 (en) * 2011-09-08 2015-01-06 International Business Machines Corporation Generating security permissions
CN103106042B (zh) * 2011-11-14 2016-07-06 联想(北京)有限公司 数据存取方法和电子设备
TWI461958B (zh) 2012-06-22 2014-11-21 Wistron Corp 應用程式的權限控管方法、電子裝置及電腦可讀取媒體
US10073987B2 (en) * 2013-04-02 2018-09-11 Western Digital Technologies, Inc. Methods and systems for privileged execution support for file system commands on a storage device
CN103324887B (zh) * 2013-07-05 2016-12-28 百度在线网络技术(北京)有限公司 移动终端的安全防御装置、方法和移动终端
US10275470B2 (en) * 2013-08-15 2019-04-30 Amazon Technologies, Inc. Network-backed file system
US9787685B2 (en) * 2014-06-24 2017-10-10 Xiaomi Inc. Methods, devices and systems for managing authority
US9672026B2 (en) 2014-07-21 2017-06-06 Xiaomi Inc. Light app offline updating method, device and terminal
CN104156233B (zh) * 2014-07-21 2016-05-18 小米科技有限责任公司 轻应用离线更新方法、装置及终端
US10366016B2 (en) 2016-07-29 2019-07-30 Hewlett-Packard Development Company, L.P. Access to persistent memory regions of computing devices
US10552600B2 (en) * 2016-11-02 2020-02-04 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Securing a media storage device using application authority assignment
TWI673667B (zh) * 2017-01-25 2019-10-01 楊建綱 內建智慧安全行動裝置
WO2018147827A1 (en) * 2017-02-07 2018-08-16 Hewlett-Packard Development Company, L.P. Determining cash drawer access
EP3407559A1 (en) * 2017-05-26 2018-11-28 Authentic Vision GmbH System and method to manage privileges based on the authentication of an uncloneable security device

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5146575A (en) * 1986-11-05 1992-09-08 International Business Machines Corp. Implementing privilege on microprocessor systems for use in software asset protection
CA1323448C (en) * 1989-02-24 1993-10-19 Terrence C. Miller Method and apparatus for translucent file system
US5136712A (en) * 1989-06-29 1992-08-04 Digital Equipment Corporation Temporary object handling system and method in an object based computer operating system
US5128995A (en) * 1990-07-23 1992-07-07 International Business Machines Corp. Apparatus and method for loading a system reference diskette image from a system partition in a personal computer system
FR2683357A1 (fr) * 1991-10-30 1993-05-07 Philips Composants Microcircuit pour carte a puce a memoire programmable protegee.
US5412717A (en) * 1992-05-15 1995-05-02 Fischer; Addison M. Computer system security method and apparatus having program authorization information data structures
US5497494A (en) * 1993-07-23 1996-03-05 International Business Machines Corporation Method for saving and restoring the state of a CPU executing code in protected mode
US5551051A (en) * 1994-09-20 1996-08-27 Motorola, Inc. Isolated multiprocessing system having tracking circuit for verifyng only that the processor is executing set of entry instructions upon initiation of the system controller program
JPH08272625A (ja) * 1995-03-29 1996-10-18 Toshiba Corp マルチプログラム実行制御装置及び方法
US5761669A (en) * 1995-06-06 1998-06-02 Microsoft Corporation Controlling access to objects on multiple operating systems
JP2000514584A (ja) * 1996-10-25 2000-10-31 シュルンベルジェ システーム 高級プログラミング言語を用いたマイクロコントローラ
JP2000076135A (ja) * 1998-08-27 2000-03-14 Nippon Telegr & Teleph Corp <Ntt> プロセッサのメモリ保護方法及びプロセッサのメモリを保護されたicカード
US6578078B1 (en) * 1999-04-02 2003-06-10 Microsoft Corporation Method for preserving referential integrity within web sites
US6757698B2 (en) * 1999-04-14 2004-06-29 Iomega Corporation Method and apparatus for automatically synchronizing data from a host computer to two or more backup data storage locations
US6347331B1 (en) * 1999-04-26 2002-02-12 International Business Machines Corporation Method and apparatus to update a windows registry from a hetrogeneous server
US6343324B1 (en) * 1999-09-13 2002-01-29 International Business Machines Corporation Method and system for controlling access share storage devices in a network environment by configuring host-to-volume mapping data structures in the controller memory for granting and denying access to the devices
US6430561B1 (en) * 1999-10-29 2002-08-06 International Business Machines Corporation Security policy for protection of files on a storage device
US6823458B1 (en) * 1999-11-18 2004-11-23 International Business Machines Corporation Apparatus and method for securing resources shared by multiple operating systems
US7035825B1 (en) * 2000-01-04 2006-04-25 E.Piphany, Inc. Managing relationships of parties interacting on a network
US7035850B2 (en) * 2000-03-22 2006-04-25 Hitachi, Ltd. Access control system
US7146635B2 (en) * 2000-12-27 2006-12-05 International Business Machines Corporation Apparatus and method for using a directory service for authentication and authorization to access resources outside of the directory service
US20020169854A1 (en) * 2001-01-22 2002-11-14 Tarnoff Harry L. Systems and methods for managing and promoting network content
US20020152262A1 (en) * 2001-04-17 2002-10-17 Jed Arkin Method and system for preventing the infringement of intellectual property rights
US7448077B2 (en) * 2002-05-23 2008-11-04 International Business Machines Corporation File level security for a metadata controller in a storage area network
JP2004029991A (ja) * 2002-06-24 2004-01-29 Fujitsu Ltd ファイル処理プログラムおよびファイル処理装置
JP4007873B2 (ja) * 2002-07-09 2007-11-14 富士通株式会社 データ保護プログラムおよびデータ保護方法
US6931530B2 (en) * 2002-07-22 2005-08-16 Vormetric, Inc. Secure network file access controller implementing access control and auditing
US7143288B2 (en) * 2002-10-16 2006-11-28 Vormetric, Inc. Secure file system server architecture and methods
US20040230753A1 (en) * 2003-05-16 2004-11-18 International Business Machines Corporation Methods and apparatus for providing service differentiation in a shared storage environment
US20050197859A1 (en) * 2004-01-16 2005-09-08 Wilson James C. Portable electronic data storage and retreival system for group data

Also Published As

Publication number Publication date
CN1564992A (zh) 2005-01-12
HK1070442A1 (en) 2005-06-17
AR036214A1 (es) 2004-08-18
NZ531200A (en) 2006-03-31
WO2003017682A3 (en) 2003-11-27
JP2005500608A (ja) 2005-01-06
CN1307581C (zh) 2007-03-28
BR0211917A (pt) 2004-09-28
TWI236298B (en) 2005-07-11
EP1417602A2 (en) 2004-05-12
MXPA04002494A (es) 2004-07-30
IL160395A0 (en) 2004-07-25
JP2010182319A (ja) 2010-08-19
CA2457617A1 (en) 2003-02-27
US7921287B2 (en) 2011-04-05
RU2004107492A (ru) 2005-09-27
RU2307388C2 (ru) 2007-09-27
WO2003017682A2 (en) 2003-02-27
US20030061504A1 (en) 2003-03-27
PE20030375A1 (es) 2003-04-12
EP1417602A4 (en) 2007-08-22
KR20040015702A (ko) 2004-02-19

Similar Documents

Publication Publication Date Title
KR100538659B1 (ko) 컴퓨터 장치의 저장 영역에 대한 애플리케이션 레벨 액세스 특권을 부여하는 방법 및 장치
KR100607423B1 (ko) 사용허가를 이용한 장치자원의 애플리케이션으로의 할당
KR100974851B1 (ko) 미들웨어의 보안 액세스 관리자
KR100634773B1 (ko) 무선 환경에서의 안전한 애플리케이션 분배 및 실행
JP5061908B2 (ja) プログラム実行制御方法および装置ならびに実行制御プログラム
RU2308753C2 (ru) Выполнение приложения с разрешенным тестированием
US7882352B2 (en) Secure mobile wireless device
US20080066187A1 (en) Mobile Wireless Device with Protected File System
EP1776799B1 (en) Enhanced security using service provider authentication
US8984529B2 (en) Computing device having a multiple process architecture for running plug-in code modules
KR100883699B1 (ko) 무선 장치 동작 환경에서 비검증된 프로그램들의 실행
CN115795493A (zh) 访问控制策略部署方法和相关装置、以及访问控制系统
KR100447064B1 (ko) 이동통신 단말기용 컨텐츠 프로그램의 응용 프로그래밍 인터페이스의 사용권한 제한방법
EP2581853A2 (en) Method and apparatus for secure web widget runtime system
AU2002326631A1 (en) Application level access privilege to a storage area on a computer device
JP4638505B2 (ja) 電子デバイス内の安全なプログラム解釈方法
CN116077929A (zh) 云游戏场景下的应用程序控制方法、装置、设备及介质
AU2002326629A1 (en) Using permissions to allocate device resources to an application

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121129

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20131129

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20141128

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20161125

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20170929

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20180928

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20190924

Year of fee payment: 15