KR101402542B1 - 지속형 보안 시스템 및 지속형 보안 방법 - Google Patents

지속형 보안 시스템 및 지속형 보안 방법 Download PDF

Info

Publication number
KR101402542B1
KR101402542B1 KR1020097008485A KR20097008485A KR101402542B1 KR 101402542 B1 KR101402542 B1 KR 101402542B1 KR 1020097008485 A KR1020097008485 A KR 1020097008485A KR 20097008485 A KR20097008485 A KR 20097008485A KR 101402542 B1 KR101402542 B1 KR 101402542B1
Authority
KR
South Korea
Prior art keywords
hdd
security
instance
bios
routine
Prior art date
Application number
KR1020097008485A
Other languages
English (en)
Other versions
KR20090073208A (ko
Inventor
란 왕
발리우딘 와이 알리
Original Assignee
휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. filed Critical 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피.
Publication of KR20090073208A publication Critical patent/KR20090073208A/ko
Application granted granted Critical
Publication of KR101402542B1 publication Critical patent/KR101402542B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/22Microcontrol or microprogram arrangements
    • G06F9/24Loading of the microprogram
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

지속형 보안 시스템(10)은 운영 체제(OS)(34), 기본 입/출력 시스템(BIOS)(24) 및 하드 디스크 드라이브(HDD)(44)를 포함하는 컴퓨팅 시스템(12)을 포함하되, OS(34)는 BIOS(24)가 보안 루틴(32)의 인스턴스를 HDD(44)에 기록하게 하도록 BIOS(24)로의 호출을 개시하도록 구성된다.

Description

지속형 보안 시스템 및 지속형 보안 방법{PERSISTENT SECURITY SYSTEM AND METHOD}
컴퓨팅 시스템은 흔히 데이터가 암호화 형태로 하드 디스크 드라이브(HDD)로 저장되고 이어서 사용자 또는 다른 애플리케이션에게 데이터를 제공하기 전에 해독되어야 하는 HDD에 대한 풀 볼륨/풀 디스크 암호화를 이용한다. 그러나, HDD의 암호화 상태 때문에, HDD로부터 데이터를 획득하거나 HDD에 데이터를 기록하는 것과 관련된 작동은 일반적으로 (예컨대, 인증 동작에 응답하여) 키 또는 다른 유형의 해독 요소가 획득되거나 생성될 때까지 미뤄져야 하며, 이로써 컴퓨팅 시스템의 부팅 동안에 특히 HDD 접근성이 제한된다.
본 발명의 보다 완전한 이해와 본 발명의 장점을 위해, 이제 첨부 도면과 관련하여 인용된 후속하는 설명을 참조한다.
도 1은 지속형 보안 시스템의 실시예를 도시하는 도면이다.
도 2는 지속형 보안 방법의 실시예를 도시하는 순서도이다.
본 발명의 바람직한 실시예 및 본 발명의 장점은 다양한 도면의 동일부 및 대응부에 동일한 번호가 사용되고 있는 도 1 및 도 2를 참조함으로써 최상으로 이해된다.
도 1은 지속형 보안 시스템(10)의 실시예를 도시하는 블록도이다. 간단히 말하면, 시스템(10)의 실시예는 기본 입/출력 시스템(BIOS)에 의해 암호화 하드 디스크 드라이브(HDD)로 자동으로 로딩되는 컴퓨팅 시스템의 지속형 보안 구성요소(및/또는 검증된 암호화 HDD 상의 프레즌스(presence))를 제공하며, 그 결과 HDD가 존재하는 컴퓨팅 시스템이 부팅될 때마다, 실행을 위해 HDD로부터 운영 체제까지 보안 구성요소를 이용할 수 있게 된다. 따라서, 보안 구성요소가 HDD로부터 부주의하게 또는 고의로 제거/삭제되더라도, 시스템(10)의 실시예는 컴퓨팅 시스템의 부팅 동안에 BIOS가 보안 구성요소를 HDD로 자동으로 재로딩되게 하며, 이로써 컴퓨팅 시스템의 사용자 세션마다 컴퓨팅 시스템 상의 프레즌스가 유지된다.
도 1에 도시된 실시예에서, 시스템(10)은 마더보드(20) 상에 배치된 내장형 펌웨어(16) 및 신뢰 플랫폼 모듈(TPM)(18)을 구비한 컴퓨팅 시스템(12)을 포함한다. 컴퓨팅 시스템(12)은 데스크탑 컴퓨터, 노트북 컴퓨터, PDA 및 태블릿 컴퓨터와 같은 임의의 유형의 컴퓨팅 장치를 포함할 수 있지만, 이것으로 제한되지 않는다. 도 1에 도시된 실시예에서, 내장형 펌웨어(16)는 내부에 부트 루틴(30) 및 자 산 보호 보안 루틴(32)이 저장된 BIOS(24)(예컨대, 플래시 메모리 부품에 저장됨)를 포함한다. 부트 루틴(30) 및 보안 루틴(32)은 중앙 처리 장치(CPU)에 의해 실행가능한 인스트럭션 세트를 포함한다. 몇몇 실시예에서, 부트 루틴(32)은 POST(power-on self test) 루틴과 같은 컴퓨팅 시스템(12)의 부트 작동 동안에 실행된 인스트럭션 세트(예컨대, 전원 공급 이벤트에 응답하거나 대기상태에서 깨어나는 이벤트에 응답하여, 하이버네이션(hibernation) 또는 다른 유형의 절전 작동 모드)를 포함하지만, 이것으로 제한되지 않는다.
도 1에 도시된 실시예에서, 자산 보호 보안 루틴(32)은 자산 추적 및/또는 보고 시스템의 일부로서 사용된 인스트럭션 세트를 포함한다. 예컨대, 몇몇 실시예에서, 자산 보호 보안 루틴(32)은 컴퓨팅 시스템(12)의 운영 체제(OS)(34)가 통신 네트워크(38)(예컨대, 인터넷 또는 다른 유형의 유선 또는 무선 통신 네트워크)를 통해 원격 보안 서비스(36)와 인터페이싱하게 하여, 보안 이벤트가 컴퓨팅 시스템(12)에 존재하는지 여부를 판정하고/하거나 컴퓨팅 시스템(12)의 복구 및/또는 추적을 용이하게 하도록 보안 서비스(36)에 정보를 제공한다. 예컨대, 컴퓨팅 시스템(12)이 분실되거나 도난당한 것으로 보안 서비스(36)에 보고되었다면, 컴퓨팅 시스템(12)의 보안 이벤트가 존재할 수 있다. 따라서, 작동시에, 통신 네트워크(38)에 접속되고 있는 컴퓨팅 시스템(12)에 응답하여, 자산 보호 보안 루틴(32)이 OS(34)에 의해 실행되고, OS(34)가 보안 서비스(36)와 통신 및/또는 인터페이싱하게 하도록 구성되며, 이로써 컴퓨팅 시스템(12)에 보안 사건이 존재하면(예컨대, 인터넷 프로토콜(IP) 어드레스의 로깅 및/또는 다른 동작) 컴퓨팅 시스템(12)의 복구 및/또는 추적을 용이하게 하도록 보안 서비스(36)가 컴퓨팅 시스템(12)에 대하여 특정 동작(들)을 취하게 된다. 도 1에 도시된 실시예에서, 지속형 보안 구성요소는 자산 추적 보안(예컨대, 물리적 컴퓨팅 시스템(12))용 구성요소를 포함한다. 그러나, 시스템(10)의 실시예가 다른 유형의 보안 구성요소(예컨대, 데이터 세이프가드(safeguard), 보안 크리덴셜(credential) 인증 등)에 사용될 수 있음을 알아야 한다.
일반적으로, TPM(18)은 시스템(12)의 플랫폼 상에 특정 소프트웨어 및 하드웨어의 측정 값(무결성 메트릭)을 저장하고 보고하는 데 사용된다. TPM(18)은 HDD(44) 및 내장형 펌웨어(16)의 무결성을 측정하고, 저장하며 보고하는 데 사용된다. 그러나, 다른 장치 및/또는 하드웨어의 무결성을 저장하고 보고하며, 플랫폼 정보 및 암호, 키 및 인증서와 같은 비밀을 안전하게 저장하는 데 TPM(18)이 사용될 수 있음을 알아야 한다. 도 1에 도시된 실시예에서, 시스템(12)은 OS(34)에 의해 호출 및/또는 실행될 수 있는 하나 이상의 실행가능한 애플리케이션(52)도 포함한다.
도 1에 도시된 실시예에서, HDD(44)는 프로세서(54) 및 디스크 메모리(56)를 포함한다. HDD(44)는 암호화 HDD(44)를 포함하며, 그 결과 디스크 메모리(56)로 저장된 데이터는 암호화 포맷으로 저장된다. 따라서, 도 1에 도시된 실시예에서, HDD(44)는 디스크 메모리(56)에 기록되어야 하는 데이터를 암호화하고 사용자 또는 특정 애플리케이션(52)에 제공되어야 하는 디스크 메모리(56)로부터 검색된 데이터를 해독하기 위해 디스크 메모리(56)의 마스터 부트 기록 섹터에 저장된 암호화/해 독 보안 루틴(60)을 포함한다. 예컨대, 암호화/해독 보안 루틴(60)은 디스크 메모리(56) 상에 저장될 데이터를 암호화하고 디스크 메모리(56)로부터 검색된 데이터를 해독하기 위해 프로세서(54)에 의해 실행가능한 인스트럭션 세트를 포함한다. 몇몇 실시예에서, 암호화/해독 보안 루틴(60)은 HDD(44)의 디스크 메모리(56)와 관련된 데이터를 암호화하고 해독하는 키를 획득 및/또는 생성하는 데 필요한 해독 인증을 제공하는 데에도 사용된다. 예컨대, 몇몇 실시예에서, 암호화/해독 보안 루틴(60)은 암호화/해독 키에 액세스 및/또는 생성하기 위해 사용자 또는 에이전트에 의해 제공된 보안 정보 및/또는 보안 크리덴셜을 인증 및/또는 검증하는 데 사용된다. 따라서, 몇몇 실시예에서, 보안 크리덴셜 인증/검증에 응답하여, 암호화/해독 보안 루틴(60)은 HDD(44)가 TPM(18)과 인터페이싱하게 하여, HDD(44) 상에 저장될 데이터를 암호화하고 HDD(44)로부터 검색된 데이터를 해독하는 데 사용된 암호화/해독 키(62)를 TPM(18)으로부터 검색하고/하거나 TPM(18)에 의해 생성한다. 그러나, 암호화/해독 키(62)는 다른 구성요소(예컨대, OS(34), 특정 애플리케이션(52) 등)에 의해 생성되고/되거나 이로부터 검색될 수 있음을 알아야 한다. 또한, 몇몇 실시예에서, 컴퓨팅 시스템(12)이 TPM(18) 없이 구성될 수 있음을 알아야 한다.
동작시에, BIOS(24)에 의해 HDD(44)의 디스크 메모리(56)로 자산 보호 보안 루틴(32)의 인스턴스가 기록되고/되거나 로딩된다(도 1에 자산 보호 보안 루틴(64)으로 나타냄). 자산 보호 루틴(64)은 OS(34)에 의해 자동으로(즉, 사용자 동작 또는 호출 없이) 실행되는 것이 바람직하되, 자산 보호 루틴(64)은 백그라운 드(background)(예컨대, 컴퓨팅 시스템(12)의 사용자에게 본래 보이지 않음) 내에서 컴퓨팅 시스템(12)으로 실행 및/또는 작동하고 있다. 몇몇 실시예에서, 디스크 메모리(56)로 로딩된 자산 보호 보안 루틴(32)의 인스턴스는 네트워크(38)와 컴퓨팅 시스템(12)의 접속시에 보안 서비스(36)로부터 디스크 메모리(56)로 다운로딩되고 있는 보다 완전한 루틴을 용이하게 하는 데 사용되는 정보의 작은 토큰 또는 커널을 포함한다. 그러나, 시스템(10)이 이와 다르게 구성될 수 있음을 알아야 한다. 예컨대, 몇몇 실시예에서, 보다 완전한 루틴 또는 프로그램은 다른 곳에 남아있을 수 있다(즉, 보다 완전한 루틴은 HDD(44) 이외의 다른 위치에 남아있을 수 있다). 또한, HDD(44)로 로딩된 자산 보호 루틴(64)의 인스턴스가 OS(34) 또는 컴퓨팅 시스템(12) 상에 존재하는 다른 애플리케이션에 의해 동작의 지시 또는 재지시가 후속 또는 처리되게 하는 플래그, 포인터 또는 다른 요소를 포함할 수 있음을 알아야 한다.
작동시에, BIOS(24)는, OS(34)가 컴퓨팅 시스템(12)의 부팅 후에 HDD(44)에 저장된 자산 보호 보안 루틴(64)의 인스턴스를 자동으로 호출 및/또는 실행하도록, 자산 보호 보안 루틴(32)의 인스턴스를 HDD(44)의 디스크 메모리(56)로 자동으로 로딩하도록 구성된다. 바람직하게는, 컴퓨팅 시스템(12)의 각 부트 작동 동안에, BIOS(24)는 자산 보호 보안 루틴(32)의 인스턴스가 HDD(44) 상에 저장되었는지 여부를 자동으로 판정하도록 구성된다. 예컨대, 컴퓨팅 시스템(12)이 처음으로 부팅되면 자산 보호 보안 루틴(32)의 인스턴스는 HDD(44) 상에 존재하지 않을 수도 있고 또는 HDD(44) 상에 이전에 저장된 자산 보호 보안 루틴(64)의 인스턴스는 HDD(44)로부터 부주의하게 또는 고의로 제거되거나 삭제될 수 있었다. 따라서, BIOS(24)는, 자산 보호 보안 루틴(32)의 인스턴스가 HDD(44)에 없는 경우에 컴퓨팅 시스템(12)을 부팅할 때마다 자산 보호 보안 루틴(32)의 인스턴스를 HDD(44)로 자동으로 로딩하도록 구성된다. 따라서, 작동시에, 컴퓨팅 시스템(12)의 부팅 동안, BIOS(24)는 HDD(44)와 인터페이싱하여, 자산 보호 보안 루틴(32)의 인스턴스가 디스크 메모리(56) 상에 존재하는지 여부를 판정한다. 만일 자산 보호 보안 루틴(32)의 인스턴스가 HDD(44) 상에 존재하지 않으면, BIOS(24)는 자산 보호 보안 루틴(32)의 인스턴스가 디스크 메모리(56)로 자동으로 로딩 및/또는 저장되게 하여 OS(34)에 의한 실행이 용이해지게 한다.
바람직하게는, BIOS(24)는 컴퓨팅 시스템(12)이 부팅될 때마다 프레즌스를 검증하고, 필요하다면 자산 보호 보안 루틴(32)의 인스턴스를 HDD(44) 상에 로딩한다. 그러나, HDD(44)가 암호화되므로, 부트 루틴(30)의 실행 동안에, HDD(44)는 아직 해독되지 않았다(즉, OS(34)는 암호화/해독 키(62)를 획득 및/또는 생성하는 보안 인증 동작을 아직 실행하지 않았으며 그 결과 HDD(44)는 BIOS(24)에 의해 액세스 가능하지 않다). 따라서, 시스템(10)의 실시예는 부트 루틴(30)이 완료되고 컴퓨팅 시스템(12)의 제어가 OS(34)로 전송된 후에 자산 보호 보안 루틴(32)의 인스턴스가 BIOS(24)에 의해 HDD(44)로 로딩 및/또는 저장되게 한다. 작동시에, BIOS(24)에 의한 부트 루틴(30)의 완료 이후, OS(34)로의 컴퓨팅 시스템(12)의 제어의 전송 이후, 및 OS(34)에 의한 HDD(44)의 해독 이후에, OS(34)는 BIOS(24)로의 호출을 개시하여, BIOS(24)가 프레즌스를 검증하게 하고, 필요하다면 자산 보호 보안 루틴(32)의 인스턴스를 HDD(44)로 로딩하게 한다. OS(34)는 HDD(44)로의 자산 보호 보안 루틴(32)의 인스턴스의 검증/로딩을 용이하게 하도록 BIOS(24)에게 윈도우 관리 도구(WMI) 인터페이스 신호 또는 다른 유형의 신호 호출을 개시 및/또는 발행하도록 구성되는 것이 바람직하다. 따라서, OS(34)로부터의 호출을 수신한 것에 응답하여, BIOS(24)는 HDD(44)와 인터페이싱하여 자산 보호 보안 루틴(32)의 인스턴스가 디스크 메모리(56)에 상주 및/또는 존재하는지 여부를 판정한다(예컨대, 도 1에서 자산 보호 보안 루틴(64)으로 나타냄). 만일 자산 보호 보안 루틴(32)의 인스턴스가 디스크 메모리(56) 상에 존재하면, BIOS(24)는 컴퓨팅 시스템(12)의 제어를 OS(34)로 리턴한다. 만일 자산 보호 보안 루틴(32)의 인스턴스가 HDD(44) 상에 존재하지 않으면, BIOS(24)는 자동으로 자산 보호 보안 루틴(32)의 인스턴스가 HDD(44)로 로딩되게 한다. 이어서 BIOS(24)는 컴퓨팅 시스템(12)의 제어를 OS(34)로 리턴하고, OS(34)는 HDD(44) 상에 상주하는 자산 보호 보안 루틴(32)(예컨대, 자산 보호 보안 루틴(64))의 인스턴스를 실행한다. 전술한 실시예에서, OS(34)는 BIOS(24)로의 호출을 개시하고 BIOS(24)는 HDD(44) 상의 자산 보호 보안 루틴(32)의 인스턴스의 프레즌스를 검증한다. 그러나, 몇몇 실시예에서, 이러한 검증이 OS(34)에 의해 수행되며, 이로써 HDD(44) 상의 자산 보호 보안 루틴(32)의 인스턴스가 현재 HDD(44) 상에 상주한다면 BIOS(24)로의 호출에 대한 필요성이 경감된다는 것을 알아야 한다.
도 2는 지속형 보안 방법의 실시예를 도시하는 순서도이다. 방법은 BIOS(24)가 부트 루틴(30)을 사용하여 컴퓨팅 시스템(12)의 부트 시퀀스를 개시하는 블록(200)에서 시작한다. 블록(202)에서, BIOS(24)는 부트 루틴(30)에 기초하여 컴퓨팅 시스템(12)의 부팅 프로세스의 공유를 완료하고, 컴퓨팅 시스템(12)의 제어를 OS(34)로 전송한다.
블록(204)에서, OS(34)는 암호화/해독 보안 루틴(60)을 개시 및/또는 실행하여, HDD(44)와 관련된 데이터의 암호화/해독을 용이하게 한다. 판정 블록(206)에서, 암호화/해독 키(62)를 획득 및/또는 생성하기 위해 보안 크리덴셜이 인증 및/또는 검증되었는지 여부가 판정된다. 만일 보안 크리덴셜이 인증 또는 검증되었다면, HDD(44) 상의 임의의 데이터에 대한 액세스(예컨대, OS(34))가 방지될 것이므로 방법은 종료된다. 만일 판정 블록(206)에서 보안 크리덴셜이 인증 또는 검증되었으면, 방법은 OS(34)가 암호화 HDD(44)와 관련된 암호화/해독 키(62)를 검색 및/또는 획득하는 블록(208)으로 진행한다. 블록(210)에서, OS(34)는 BIOS(24)로의 호출을 개시한다. 블록(211)에서, BIOS(24)는 자산 보호 보안 루틴(32)의 적어도 일부를 호출 및/또는 실행하여, 자산 보호 보안 루틴(32)의 인스턴스가 HDD(44) 상에 존재하는지 여부를 판정한다.
판정 블록(212)에서, 자산 보호 보안 루틴(32)의 인스턴스가 HDD(44) 상에 존재하는지 여부가 판정된다. 만일 자산 보호 보안 루틴(32)의 인스턴스가 HDD(44)의 디스크 메모리(56) 상에 존재하지 않으면, 방법은 BIOS(24)가 자산 보호 보안 루틴(32)의 인스턴스를 검색하여 HDD(44) 상에 로딩 및/또는 저장하는 블록(214)으로 진행한다. 블록(216)에서, BIOS(24)는 자산 보호 보안 루틴(32)의 인스턴스가 HDD(44) 상에 저장되게 한다. 예컨대, BIOS(24)는 OS(34)와 인터페이싱하여, 자산 보호 보안 루틴(32)의 인스턴스가 암호화/해독 보안 루틴(60)을 통해 암호화/해독 키(62)를 사용하여 암호화 포맷으로 HDD(44) 상에 저장되게 하는 것을 용이하게 한다. 블록(218)에서, BIOS(24)는 컴퓨팅 시스템(12)의 제어를 OS(34)로 리턴한다. 블록(220)에서, OS(34)는 HDD(44)에 저장된 자산 보호 보안 루틴(64)의 인스턴스를 실행 및/또는 호출한다(예컨대, 도 1에서 자산 보호 보안 루틴(64)으로 도시됨). 판정 블록(212)에서, 만일 자산 보호 보안 루틴(32)의 인스턴스가 HDD(44) 상에 존재한다고 판정되면, 방법은 컴퓨팅 시스템(12)의 제어가 OS(34)로 리턴되는 블록(218)으로 진행한다.
따라서, 시스템(10)의 실시예는 HDD가 완전히 암호화되는 것으로 구성되는 경우에도 지속형 보안 구성요소가 HDD 상에 설치되게 한다. 시스템(10)의 실시예는 HDD가 해독된 후에(즉, HDD에 대한 보안 크리덴셜의 검증 및 암호화/해독 키의 생성/획득 후에) 보안 구성요소를 내장형 펌웨어로부터 HDD로 로딩함으로써 운영 체제에 의해 자동으로 실행될 수 있도록 암호화 HDD 상의 보안 구성요소의 프레즌스를 유지한다.

Claims (10)

  1. 지속형(persistent) 보안 시스템(10)에 있어서,
    운영 체제(OS)(34), 기본 입/출력 시스템(BIOS)(24) 및 하드 디스크 드라이브(HDD)(44)를 포함하는 컴퓨팅 시스템(12)을 포함하되,
    상기 컴퓨팅 시스템의 매 번의 부팅시에, 상기 BIOS에 의한 부트 시퀀스(boot sequence) 이후 및 상기 OS로의 상기 컴퓨팅 시스템의 제어의 이전 이후에, 그리고 상기 OS에 의한 상기 HDD의 해독 이후에, 상기 HDD 상의 보안 루틴(32)의 인스턴스(instance)의 존재가 검증되는 것이 포함되고,
    상기 보안 루팅의 인스턴스가 상기 HDD에 존재하지 않는 경우에, 상기 OS(34)는 상기 BIOS(24)가 상기 보안 루틴(32)의 인스턴스를 상기 HDD(44)에 기록하도록 상기 BIOS(24)로의 호출을 개시하는
    지속형 보안 시스템.
  2. 제 1 항에 있어서,
    상기 부트 시퀀스는 상기 컴퓨팅 시스템의 파워온 이벤트(power-on event) 와 웨이크 이벤트(wake event) 중 하나에 응답하여 실행되는
    지속형 보안 시스템.
  3. 제 1 항에 있어서,
    상기 OS는 상기 보안 루틴의 인스턴스가 상기 HDD 상에 존재하는지 여부를 판정하도록 구성되는
    지속형 보안 시스템.
  4. 제 1 항에 있어서,
    상기 BIOS(24)는 상기 보안 루틴(32)의 인스턴스가 상기 HDD(44) 상에 존재하는지 여부를 판정하도록 구성되는
    지속형 보안 시스템.
  5. 제 1 항에 있어서,
    상기 보안 루틴(32)의 인스턴스는 상기 BIOS(24)에 존재하는
    지속형 보안 시스템.
  6. 지속형 보안 방법에 있어서,
    컴퓨팅 시스템(12)의 매 번의 부팅 동작 동안, 상기 컴퓨팅 시스템의 하드 디스크 드라이브(HDD)(44) 상에 보안 루틴(32)의 인스턴스가 존재하는지 여부를 판정하는 단계와,
    상기 보안 루틴의 인스턴스가 상기 HDD에 존재하지 않는 경우에, 기본 입/출력 시스템(BIOS)(24)이 상기 HDD에 상기 보안 루틴(32)의 인스턴스를 기록하도록 상기 컴퓨팅 시스템(12)의 운영 체제(OS)(34)로부터 상기 BIOS(24)로의 호출을 개시하는 단계를 포함하되,
    상기 BIOS로의 호출을 개시하는 것 및 상기 HDD에 상기 보안 루틴의 인스턴스를 기록하는 것은 상기 BIOS에 의한 부트 시퀀스 이후 및 상기 OS로의 상기 컴퓨팅 시스템의 제어의 이전 이후에, 그리고 상기 HDD의 해독 이후에 수행되는
    지속형 보안 방법.
  7. 제 6 항에 있어서,
    상기 OS에 의해 상기 보안 루틴의 인스턴스가 상기 HDD 상에 존재하는지 여부를 판정하는 단계를 더 포함하는
    지속형 보안 방법.
  8. 제 6 항에 있어서,
    상기 BIOS에 의해 상기 보안 루틴(32)의 인스턴스가 상기 HDD(44) 상에 존재하는지 여부를 판정하는 단계를 더 포함하는
    지속형 보안 방법.
  9. 제 6 항에 있어서,
    상기 HDD(44)에 기록하기 위해 상기 BIOS(24)로부터 상기 보안 루틴(32)의 인스턴스를 검색하는 단계를 더 포함하는
    지속형 보안 방법.
  10. 제 6 항에 있어서,
    상기 HDD(44) 상에 존재하는 데이터를 해독하는 키(62)를 획득하는 단계를 더 포함하는
    지속형 보안 방법.
KR1020097008485A 2006-09-26 2007-09-25 지속형 보안 시스템 및 지속형 보안 방법 KR101402542B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/527,272 US8065509B2 (en) 2006-09-26 2006-09-26 Persistent security system and method
US11/527,272 2006-09-26
PCT/US2007/021025 WO2008039536A2 (en) 2006-09-26 2007-09-25 Persistent security system and method

Publications (2)

Publication Number Publication Date
KR20090073208A KR20090073208A (ko) 2009-07-02
KR101402542B1 true KR101402542B1 (ko) 2014-05-30

Family

ID=39079397

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020097008485A KR101402542B1 (ko) 2006-09-26 2007-09-25 지속형 보안 시스템 및 지속형 보안 방법

Country Status (7)

Country Link
US (1) US8065509B2 (ko)
EP (1) EP2069994A2 (ko)
JP (1) JP4848458B2 (ko)
KR (1) KR101402542B1 (ko)
CN (1) CN101517587A (ko)
BR (1) BRPI0714997A2 (ko)
WO (1) WO2008039536A2 (ko)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7937449B1 (en) * 2007-10-08 2011-05-03 Empirix, Inc. System and method for enabling network stack processes in user mode and kernel mode to access kernel memory locations
US9069990B2 (en) 2007-11-28 2015-06-30 Nvidia Corporation Secure information storage system and method
US9613215B2 (en) * 2008-04-10 2017-04-04 Nvidia Corporation Method and system for implementing a secure chain of trust
US8132019B2 (en) * 2008-06-17 2012-03-06 Lenovo (Singapore) Pte. Ltd. Arrangements for interfacing with a user access manager
US8341430B2 (en) * 2008-10-03 2012-12-25 Microsoft Corporation External encryption and recovery management with hardware encrypted storage devices
US8266449B2 (en) * 2009-03-31 2012-09-11 Lenovo (Singapore) Pte. Ltd. Security for storage devices
US8321657B2 (en) 2009-10-16 2012-11-27 Dell Products L.P. System and method for BIOS and controller communication
US9129103B2 (en) * 2011-01-28 2015-09-08 Hewlett-Packard Development Company, L.P. Authenticate a hypervisor with encoded information
US20130247222A1 (en) * 2011-09-16 2013-09-19 Justin Maksim Systems and Methods for Preventing Access to Stored Electronic Data
KR101442539B1 (ko) * 2013-12-31 2014-09-26 권용구 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법
CN103870769B (zh) * 2014-02-20 2017-02-15 北京深思数盾科技股份有限公司 一种对磁盘进行保护的方法及系统
CN104572208A (zh) * 2015-01-21 2015-04-29 浪潮电子信息产业股份有限公司 一种保存tpm初始化log的方法
US10146943B2 (en) 2015-09-11 2018-12-04 Dell Products, Lp System and method to disable the erasure of an administrator password in an information handling system
US10545769B2 (en) 2015-09-30 2020-01-28 Dell Products, Lp System and method for constructive bifurcation of I/O unit ports in an information handling system
CN108898005B (zh) * 2018-07-09 2021-06-11 郑州云海信息技术有限公司 一种硬盘识别的方法、系统、设备及计算机可读存储介质
CN109255261A (zh) * 2018-08-30 2019-01-22 郑州云海信息技术有限公司 硬盘信息保护方法、装置、终端及计算机可读存储介质
US11663111B2 (en) * 2020-01-02 2023-05-30 Texas Instruments Incorporated Integrated circuit with state machine for pre-boot self-tests

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998043151A1 (en) * 1997-03-24 1998-10-01 Absolute Software Corporation Method and apparatus to monitor and locate an electronic device using a secured intelligent agent via a global network
US20050111664A1 (en) * 2003-11-20 2005-05-26 Ritz Andrew J. BIOS integrated encryption
US20050111486A1 (en) * 2003-11-26 2005-05-26 Samsung Electronics Co., Ltd. Device and method for controlling network devices located within private networks

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4937861A (en) * 1988-08-03 1990-06-26 Kelly Services, Inc. Computer software encryption apparatus
US5226168A (en) * 1989-04-25 1993-07-06 Seiko Epson Corporation Semiconductor memory configured to emulate floppy and hard disk magnetic storage based upon a determined storage capacity of the semiconductor memory
US5483649A (en) * 1994-07-01 1996-01-09 Ybm Technologies, Inc. Personal computer security system
US6148387A (en) * 1997-10-09 2000-11-14 Phoenix Technologies, Ltd. System and method for securely utilizing basic input and output system (BIOS) services
US6539480B1 (en) * 1998-12-31 2003-03-25 Intel Corporation Secure transfer of trust in a computing system
US6510512B1 (en) * 1999-01-20 2003-01-21 Dell Products L.P. Method and system for executing BIOS code in secure multitasking operating environment
JP2001051858A (ja) 1999-06-18 2001-02-23 Fiinikkusu Technologies Ltd 基本入出力システム(bios)サービスを安全に使用するためのシステムおよび方法
US6836859B2 (en) * 2001-08-15 2004-12-28 Sun Microsystems, Inc. Method and system for version control in a fault tolerant system
US7350081B1 (en) * 2002-04-29 2008-03-25 Best Robert M Secure execution of downloaded software
US7590837B2 (en) * 2003-08-23 2009-09-15 Softex Incorporated Electronic device security and tracking system and method
US20050114686A1 (en) * 2003-11-21 2005-05-26 International Business Machines Corporation System and method for multiple users to securely access encrypted data on computer system
US8868933B2 (en) 2004-03-26 2014-10-21 Absolute Software Corporation Persistent servicing agent
US7159044B2 (en) * 2004-04-16 2007-01-02 Eagle Broadband, Inc. Input/output device disable control for PC-based consumer electronics device
US7809950B2 (en) * 2005-03-02 2010-10-05 Dell Products L.P. System and method for access to a password protected information handling system
US20060203736A1 (en) * 2005-03-10 2006-09-14 Stsn General Holdings Inc. Real-time mobile user network operations center
US20060259819A1 (en) * 2005-05-12 2006-11-16 Connor Matthew A Automated Method for Self-Sustaining Computer Security

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998043151A1 (en) * 1997-03-24 1998-10-01 Absolute Software Corporation Method and apparatus to monitor and locate an electronic device using a secured intelligent agent via a global network
US20050111664A1 (en) * 2003-11-20 2005-05-26 Ritz Andrew J. BIOS integrated encryption
US20050111486A1 (en) * 2003-11-26 2005-05-26 Samsung Electronics Co., Ltd. Device and method for controlling network devices located within private networks

Also Published As

Publication number Publication date
BRPI0714997A2 (pt) 2013-08-06
WO2008039536A2 (en) 2008-04-03
US20080077800A1 (en) 2008-03-27
EP2069994A2 (en) 2009-06-17
WO2008039536A3 (en) 2008-06-12
JP2010505160A (ja) 2010-02-18
US8065509B2 (en) 2011-11-22
JP4848458B2 (ja) 2011-12-28
CN101517587A (zh) 2009-08-26
KR20090073208A (ko) 2009-07-02

Similar Documents

Publication Publication Date Title
KR101402542B1 (ko) 지속형 보안 시스템 및 지속형 보안 방법
US10931451B2 (en) Securely recovering a computing device
EP3265950B1 (en) Device attestation through security hardened management agent
US7565553B2 (en) Systems and methods for controlling access to data on a computer with a secure boot process
KR101066727B1 (ko) 컴퓨팅 장치의 보안 부팅
KR101662618B1 (ko) 단일 신뢰 플랫폼 모듈을 가진 플랫폼 컴포넌트의 측정
US8826405B2 (en) Trusting an unverified code image in a computing device
Garriss et al. Trustworthy and personalized computing on public kiosks
JP2006501581A (ja) サーバ管理コプロセッササブシステム内部のtcpaによる信頼性の高いプラットフォームモジュール機能のカプセル化
US20080168545A1 (en) Method for Performing Domain Logons to a Secure Computer Network
JP6391439B2 (ja) 情報処理装置、サーバ装置、情報処理システム、制御方法及びコンピュータプログラム
CN116049825A (zh) 管理基板管理控制器的存储器中的秘密的存储
US20210243030A1 (en) Systems And Methods To Cryptographically Verify An Identity Of An Information Handling System
US11960737B2 (en) Self-deploying encrypted hard disk, deployment method thereof, self-deploying encrypted hard disk system and boot method thereof
CN115935363A (zh) 计算设备的安全支配权
CN117556418A (zh) 一种确定内核状态的方法和相关设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190430

Year of fee payment: 6