KR101802800B1 - 다중 운영 시스템 환경을 위한 미디어 보호 정책 시행 - Google Patents

다중 운영 시스템 환경을 위한 미디어 보호 정책 시행 Download PDF

Info

Publication number
KR101802800B1
KR101802800B1 KR1020167018032A KR20167018032A KR101802800B1 KR 101802800 B1 KR101802800 B1 KR 101802800B1 KR 1020167018032 A KR1020167018032 A KR 1020167018032A KR 20167018032 A KR20167018032 A KR 20167018032A KR 101802800 B1 KR101802800 B1 KR 101802800B1
Authority
KR
South Korea
Prior art keywords
media access
computing device
operating system
access request
data storage
Prior art date
Application number
KR1020167018032A
Other languages
English (en)
Other versions
KR20160094440A (ko
Inventor
마이클 에이 로스먼
빈센트 제이 짐머
마크 에스 도란
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20160094440A publication Critical patent/KR20160094440A/ko
Application granted granted Critical
Publication of KR101802800B1 publication Critical patent/KR101802800B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system
    • G06F9/441Multiboot arrangements, i.e. selecting an operating system to be loaded

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

미디어 보호 정책 시행을 위한 기술은 다중 운영 시스템과 다수의 영역으로 파티셔닝되는 데이터 스토리지 장치를 갖는 컴퓨팅 장치를 포함한다. 각각의 운영 시스템을 실행하는 동안, 정책 시행 모듈은 미디어 액세스 요청을 가로채고, 플랫폼 미디어 액세스 정책에 기초하여 미디어 액세스 요청을 허용할 것인지 결정할 수 있다. 미디어 액세스 정책은 실행중인 운영 시스템의 신원, 데이터 스토리지 장치의 영역 또는 요청된 스토리지 동작에 기초하여 요청을 허용할 수 있다. 선택된 운영 시스템을 로딩하기 전에, 펌웨어 정책 시행 모듈은 이 선택된 운영 시스템으로부터 보호될 디스크 스토리지 장치의 영역을 결정할 수 있다. 펌웨어 정책 시행 모듈은 이 영역으로의 액세스를 차단하도록 데이터 스토리지 장치를 구성할 수 있다. 미디어 액세스 정책은 하나 이상의 펌웨어 변수에 저장될 수 있다. 다른 실시예들이 설명되고 청구된다.

Description

다중 운영 시스템 환경을 위한 미디어 보호 정책 시행{MEDIA PROTECTION POLICY ENFORCEMENT FOR MULTIPLE-OPERATING-SYSTEM ENVIRONMENTS}
관련 미국 특허 출원의 상호 참조
본 출원은 2014년 2월 6일에 출원된 발명이 명칭이 "PARTITION PROTECTION SCHEME FOR A DUAL OS ENVIRONMENT"인 미국 특허 가출원 번호 제61/936,614호와, 2014년 6월 6일에 출원된 발명이 명칭이 "MEDIA PROTECTION POLICY ENFORCEMENT FOR MULTIPLE-OPERATING-SYSTEM ENVIRONMENTS"인 미국 실용 특허 출원 번호 제14/298,312호를 우선권으로 주장한다.
일부 컴퓨팅 장치는 제조자에 의해 설치되는 다중 운영 시스템과 함께 출하된다. 예를 들어, 컴퓨팅 장치는 예컨대 Microsoft®WindowsTM 같은 범용 운영 시스템과 더불어 예컨대 AndroidTM 같은 모바일 지향성 운영 시스템도 포함할 수 있다. 이 다중 운영 시스템 환경에서, 이러한 구성으로 출하되는 제품은 사용자가 부주의로 '불필요한' 파티션(partitions)을 삭제하거나 또는 현재 활성인 운영 시스템에 의해 소유되지 않은 데이터를 교란할 위험이 있다.
많은 컴퓨팅 장치가 하드웨어 초기화, 저 수준 하드웨어 관리 및 부트 프로세스 관리를 책임지는 펌웨어를 포함한다. 특히, 다중 운영 시스템을 갖는 장치에서 프리-부팅(pre-boot) 동안에 플랫폼 펌웨어는 설치된 운영 시스템 중 하나에 대응하는 부트 목표를 선택 및 로드(load)할 수 있다. 컴퓨팅 장치의 부팅을 책임지는 주요 플랫폼 펌웨어는 통합 확장 펌웨어 인터페이스(UEFT, Unified Extensible Firmware Interface) 규격에 따라 구현될 수 있는데, 이것은 통합 EFI 포럼에 의해 발생된 몇 가지 버전을 갖는다. UEFI 규격은 컴퓨팅 장치의 펌웨어와 이 컴퓨팅 장치에 설치된 운영 시스템 사이의 인터페이스를 명시한다.
본원에 설명된 개념은 첨부도면에 제한적 의미가 아닌 예시적 의미로서 예시된다. 예시의 간결함과 명확성을 위해, 도면에 예시된 요소들이 반드시 일정한 비율로 그려진 것은 아니다. 적절하다고 여겨지는 부분에서 참조부호는 대응하거나 유사한 요소들을 나타내기 위해 도면에서 반복된다.
도 1은 미디어 보호 정책 시행을 위한 적어도 하나의 실시예의 컴퓨팅 장치의 간략화된 블록도이다.
도 2는 도 1의 시스템의 컴퓨팅 장치와 관련된 적어도 하나의 실시예의 환경의 간략화된 블록도이다.
도 3은 도 1 및 도 2의 컴퓨팅 장치의 데이터 스토리지 장치의 예시적인 파티셔닝 체계(an illustrative partitioning scheme)의 개략도이다.
도 4는 도 1 및 도 2의 컴퓨팅 장치에 의해 실행될 수 있는 미디어 보호 정책 시행을 위한 적어도 하나의 실시예의 방법의 간략화된 흐름도이다.
도 5는 도 1 및 도 2의 컴퓨팅 장치에 의해 설립될 수 있는 스토리지 드라이버 스택(a storage driver stack)의 개략도이다.
도 6은 도 1 및 도 2의 컴퓨팅 장치에 의해 실행될 수 있는 미디어 보호 정책 시행을 위한 적어도 하나의 실시예의 펌웨어 방법의 간략화된 흐름도이다.
본원의 개념이 다양한 수정 및 대안 형태에 민감하지만, 그것의 특정 실시예가 도면에 예시로서 도시되며, 본 명세서에 상세히 설명될 것이다. 그러나 본원의 개념을 개시된 특정 형태로 제한하려는 의도는 없으며, 그 반대로, 본 개시물 및 첨부된 특허청구범위와 일치하는 모든 수정안, 등가안 및 대체안을 포함하는 것을 의도함을 이해해야 한다.
명세서에서 "하나의 실시예", "일 실시예", "예시의 실시예" 등으로 언급하는 것은 설명된 실시예가 특정의 특징, 구조 또는 특성을 포함할 수도 있지만 모든 실시예가 이러한 특정의 특징, 구조 또는 특성을 포함할 수도 또는 반드시 포함하지 않을 수도 있음을 나타낸다. 더욱이, 이러한 표현이 반드시 동일한 실시예를 지칭하는 것은 아니다. 또한, 특정의 특징, 구조 또는 특성이 실시예와 관련하여 설명될 때, 명시적으로 설명되었든지 또는 설명되지 않았든지 간에, 본 기술분야에서 숙련된 사람의 지식의 범위 내에서 다른 실시예와 관련하여 이러한 특징, 구조 또는 특성을 달성함을 진술한다. 추가로, "적어도 하나의 A, B 및 C"라는 형태의 기재에 포함되는 항목은 (A),(B),(C)와, (A 및 B),(B 및 C) 또는 (A, B 및 C)를 의미할 수 있음을 인지해야 한다. 마찬가지로, "A, B 또는 C 중 적어도 하나"라는 형태로 기재된 항목은 (A),(B),(C)와, (A 및 B),(B 및 C) 또는 (A, B 및 C)를 의미할 수 있다.
개시된 실시예들은 일부 경우에 하드웨어, 펌웨어, 소프트웨어 또는 이들의 임의의 조합으로 구현될 수 있다. 또한, 개시된 실시예들은 비일시성 머신 판독 가능(예를 들면, 컴퓨터 판독 가능) 스토리지 매체에 저장된 명령어로서 구현될 수도 있으며, 이러한 명령어는 하나 이상의 프로세서에 의해 판독 및 실행될 수 있다. 머신 판독 가능 스토리지 매체는 임의의 스토리지 장치, 메커니즘, 또는 머신(예를 들면, 휘발성 또는 비휘발성 메모리, 미디어 디스크 또는 다른 미디어 장치)에 의해 판독 가능한 형태로 정보를 저장하는 다른 물리적 구조로서 구현될 수도 있다.
도면에서, 일부 구조적 특징 또는 방법 특징은 특정 배열 및/또는 순서로 도시될 수 있다. 그러나 이러한 특정 배열 및/또는 순서가 요구되지 않을 수도 있음을 인지해야 한다. 오히려 일부 실시예에서 이러한 특징은 예시된 도면에 보여진 것과는 다른 방식 및/또는 순서로 배열될 수도 있다. 추가로, 특정 도면에서 구조적 또는 방법적 특징의 포함이 이런 특징이 모든 실시예에 요구됨을 암시하는 것을 뜻하는 것은 아니며, 일부 실시예에서는 이런 특징이 포함되지 않을 수도 있거나 또는 다른 특징과 조합될 수도 있다.
이제, 도 1을 참조하면, 일 실시예에서, 컴퓨팅 장치(100)는 다중 운영 시스템을 부팅하거나 그사이를 왔다 갔다 하거나 그렇지 않으면 다중 운영 시스템을 실행할 수 있다. 컴퓨팅 장치(100)는 파티셔닝되거나 또는 운영 시스템의 각각에 할당될 수 있는 부분으로 분할되는 데이터 스토리지를 포함할 수 있다. 컴퓨팅 장치(100)는 플랫폼 제조자에 의해 설립될 수 있거나 일부 실시예로 최종 사용자에 의해 구성될 수 있는 하나 이상의 플랫폼 미디어 액세스 정책에 따라 데이터 스토리지 파티션에 대한 액세스를 제어한다. 일부 실시예에서, 실행 동안에 컴퓨팅 장치(100)는 미디어 액세스 요청을 가로채어 이 요청을 미디어 액세스 정책에 기초하여 허용할 것인지 거부할 것인지를 결정할 수 있다. 추가로 또는 선택적으로, 일부 실시예에서 컴퓨팅 장치(100)는 운영 시스템을 부팅하기 전에 미디어 액세스 정책에 기초하여 데이터 스토리지 콘트롤러를 구성함으로써 다양한 데이터 스토리지 파티션을 보호할 수 있다. 미디어 액세스 정책을 시행하는 것은 현재 실행중인 운영 시스템에 의해 제어되지 않는 데이터 파티션의 사용자의 수정에 의해 초래되는 고의성이 없는(또는 악의적인) 손상으로부터 컴퓨팅 장치(100)를 보호할 수 있다. 따라서, 미디어 액세스 정책을 시행하는 것은 사용자 경험을 향상시키고/시키거나 제조자가 다중 운영 시스템을 갖는 장치를 출하할 수 있게 하면서 제조자 지원 비용을 줄여줄 수 있다.
컴퓨팅 장치(100)는 본원에 설명된 기능을 수행하는 임의의 유형의 장치로서 구현될 수 있다. 예를 들면, 컴퓨팅 장치(100)는 제한 없이 스마트폰, 태블릿 컴퓨터, 랩탑 컴퓨터, 노트북 컴퓨터, 모바일 컴퓨팅 장치, 셀룰러폰, 핸드셋, 메시징 장치, 웨어러블 컴퓨팅 장치, 차량 텔레매틱스 장치(vehicle telematics device), 데스크탑 컴퓨터, 서버 컴퓨터, 워크스테이션, 분산형 컴퓨팅 시스템, 멀티프로세서 시스템, 소비자 전자제품 및/또는 본원에 설명된 기능을 수행하도록 구성된 임의의 다른 컴퓨팅 장치로서 구현될 수 있다. 도 1에 도시된 것처럼, 예시의 컴퓨팅 장치(100)는 프로세서(120), 입력/출력 서브시스템(122), 메모리(124) 및 데이터 스토리지 장치(126)를 포함한다. 물론, 컴퓨팅 장치(100)는 예를 들면 다른 실시예에서 모바일 및/또는 고정형 컴퓨터(예컨대, 다양한 입력/출력 장치)에서 흔히 발견되는 다른 구성성분 또는 추가의 구성성분을 포함할 수 있다. 추가로, 일부 실시예에서, 하나 이상의 예시적인 구성성분은 또 다른 구성성분에 병합될 수 있거나 또는 또 다른 구성성분의 일부를 형성할 수도 있다. 예를 들어, 메모리(124) 또는 그 일부분들이 일부 실시예로 프로세서(120)에 포함될 수도 있다.
프로세서(120)는 본원에 설명된 기능을 수행할 수 있는 임의의 유형의 프로세서로서 구현될 수 있다. 예를 들어, 프로세서(120)는 단일 또는 다중 코어 프로세서, 디지털 신호 처리기, 마이크로콘트롤러 또는 다른 프로세서나 프로세싱/콘트롤링 회로로서 구현될 수 있다. 마찬가지로, 메모리(124)는 본원에 설명된 기능을 수행할 수 있는 임의의 유형의 비휘발성 메모리 또는 데이터 스토리지로서 구현될 수 있다. 동작시, 메모리(124)는 예컨대 운영 시스템, 애플리케이션, 프로그램, 라이브러리 및 드라이버처럼 컴퓨팅 장치(100)의 동작 동안 이용되는 다양한 데이터 및 소프트웨어를 저장할 수 있다. 메모리(124)는 I/O 서브시스템(122)을 통해 프로세서(120)에 통신 가능하게 접속되는데, 이 I/O 서브시스템(122)은 프로세서(120), 메모리(124) 및 컴퓨팅 장치(100)의 다른 구성성분과 함께 입력/출력 동작을 가능하게 하는 회로 및/또는 구성성분으로서 구현될 수 있다. 예를 들어, I/O 서브시스템(122)은 메모리 콘트롤러 허브, 입력/출력 제어 허브, 펌웨어 장치, 통신 링크(즉, 포인트-투-포인트 링크, 버스 링크, 배선, 케이블, 광 도체, 인쇄 회로 기판 트레이스 등) 및/또는 입력/출력 동작을 가능하게 하는 다른 구성성분과 서브시스템으로서 구현될 수 있다. 일부 실시예에서, I/O 서브시스템(122)은 시스템-온-칩(SoC)의 일부를 형성하며, 프로세서(120), 메모리(124) 및 컴퓨팅 장치(100)의 다른 구성성분과 함께 단일 직접 회로 칩에 포함될 수도 있다.
데이터 스토리지 장치(126)는 예를 들면 메모리 장치와 회로, 메모리 카드, 하드 디스크 드라이버, 고체 드라이버 또는 다른 데이터 스토리지 장치처럼 데이터의 단기 또는 장기 저장소로서 구성된 임의의 유형의 장치(들)로서 구현될 수 있다. 데이터 스토리지 장치(126)는 다수의 파티션으로 국소적으로 분할될 수 있다. 예를 들어, 데이터 스토리지 장치(126)는 컴퓨팅 장치(100)를 위한 데이터와 펌웨어 코드를 저장하는 시스템 파티션을 포함할 수 있다. 데이터 스토리지 장치(126)는 컴퓨팅 장치(100)의 각각의 운영 시스템을 위해 실행 가능하며 데이터 파일을 저장하는 다수의 운영 시스템 파티션도 포함할 수 있다. 추가로, 데이터 스토리지 장치(126)는 콘트롤러(128)를 포함한다. 콘트롤러(128)는 마이크로콘트롤러, 마이크로프로세서 또는 컴퓨팅 장치(100)의 나머지에 의해 데이터 스토리지 장치(126)를 제어하거나 액세스를 가능하게 할 수 있는 임의의 다른 제어 로직으로서 구현될 수 있다. 일부 실시예에서, 콘트롤러(128)는 데이터 스토리지 장치(126) 내부의 특정 논리 블록 어드레스, 섹터, 트랙 또는 다른 어드레스 범위로의 액세스를 거부하는 것이 가능할 수도 있다. 비록 예시의 컴퓨팅 장치(100)가 다중의 논리 파티션으로 분할된 단일 데이터 스토리지 장치(126)를 포함하더라도 본원의 내용이 다중의 데이터 스토리지 장치(126)를 포함하는 컴퓨팅 장치(100)에 적용 가능함을 유의해야 한다.
컴퓨팅 장치(100)는 통신 회로(130)를 더 포함하는데, 이 통신 회로는 컴퓨팅 장치(100)와 다른 원격 장치 사이에 통신을 가능하게 할 수 있는 임의의 통신 회로 장치 또는 그 집단으로서 구현될 수 있다. 통신 회로(130)는 통신을 실행하는 임의의 하나 이상의 통신 기술(예를 들면, 무선 또는 유선 통신)과 그 연관 프로토콜(예를 들면, Ethernet, Bluetooth®, Wi-Fi®, WiMAX 등)을 이용하도록 구성될 수 있다. 통신 회로(130)는 무선 네트워크 어댑터를 포함한 네트워크 어댑터로서 구현될 수 있다.
컴퓨팅 장치(100)는 비휘발성(NV) 저장 장치(132)를 포함한다. NV 저장 장치(132)는 컴퓨팅 장치(100)가 전력이 차단되거나 전력원으로부터 단절될 때 데이터의 영구 저장을 위해 구성된 임의의 장치로서 구현될 수 있다. 예시의 실시예에서, NV 저장 장치(132)는 플래시 메모리 칩이다. 다른 실시예에서, NV 저장 장치(132)는 배터리 백업 또는 다른 비휘발성 메모리와 함께 접속되거나 소량의 상보형 금속 산화물 반도체(CMOS) 메모리로서 구현될 수 있다. NV 저장 장치(132)는 컴퓨팅 장치(100)를 위한 플랫폼 펌웨어와 더불어 펌웨어 구성 변수를 저장하는데 이용될 수 있는데, 예컨대 구성 세팅, 부트 목표, 그리고 리부팅 동안 지속해야 하는 다른 정보를 저장하는데 이용될 수 있다. NV 저장 장치(132)는 데이터 스토리지 장치(126)와 비교하여 전형적으로 비교적 작은 용량을 갖지만, 프리-부트 펌웨어 실행 환경 동안에 초기 부팅에 의해 컴퓨팅 장치(100)에 이용 가능하다. 일부 실시예에서, NV 저장 장치(132)는 컴퓨팅 장치(100)의 하나 이상의 다른 구성성분에 포함될 수 있는데, 예를 들면 I/O 서브시스템(122)에 포함될 수 있다.
일부 실시예에서, 컴퓨팅 장치(100)는 보안 프로세서(134)를 포함할 수 있다. 보안 프로세서(134)는 컴퓨팅 장치(100)의 보안 및/또는 신뢰성을 증강하도록 구성된 임의의 하드웨어와 그 연관 펌웨어 또는 소프트웨어로서 구현될 수 있다. 예를 들어, 보안 프로세서(134)는 신뢰성 있는 플랫폼 모듈(TPM,trusted platform module)으로서 구현될 수 있다. 일부 실시예에서, 보안 프로세서(134)는 I/O 서브시스템(122)의 일부를 형성할 수 있다. 보안 프로세서(134)는 보안 인증을 하고/하거나 플랫폼 펌웨어 변수 또는 컴퓨팅 장치(100)의 다른 구성 데이터를 검증하는데 이용될 수 있다.
도 2를 참조하여, 일부 실시예에서 컴퓨팅 장치(100)는 동작 동안 환경(200)을 설립한다. 예시의 환경(200)은 플랫폼 펌웨어(202)와 다수의 운영 시스템(210)을 포함한다. 예시의 환경(200)은 두 개의 운영 시스템(210a, 210b)을 포함하지만, 다른 실시예에서 추가적인 운영 시스템(210)이 포함될 수 있다.
플랫폼 펌웨어(202)는 부트 옵션 모듈(204), 정책 관리 모듈(206), 정책 시행 모듈(208)을 포함한다. 플랫폼 펌웨어(202)의 다양한 모듈은 하드웨어, 펌웨어, 소프트웨어, 또는 이들의 조합으로 구현될 수 있다. 부트 옵션 모듈(204)은 프리 부트 펌웨어 환경에서 실행되도록 구성된다. 부트 옵션 모듈(204)은 설치된 운영 시스템(210) 중에서 하나의 운영 시스템(210)을 선택하고 선택된 운영 시스템(210)을 로딩한다. 부트 옵션 모듈(204)은 예컨대 UEFI 규격에 의해 지정된 부트 목표를 선택 및 로딩한다.
정책 관리 모듈(206)은 하나 이상의 미디어 액세스 정책(214)을 저장 및 관리하고 그에 대한 액세스를 제어하도록 구성된다. 미디어 액세스 정책(214)은 미디어 액세스 보호를 인에이블할 것인지 여부, 해당 파티션을 소유하지 않는 운영 시스템(210)에 의한 파티션으로의 액세스를 거부할 것인지 여부, 해당 파티션을 소유하지 않는 운영 시스템(210)에 의한 파티션으로의 액세스를 선택적으로 허용할 것인지 여부, 공유 파티션에 대한 액세스를 허용할 것인지 여부, 그리고 그 밖의 액세스 규칙을 포함한 데이터 스토리지 장치(126)의 파티션에 대한 액세스를 위한 플랫폼 특정 규칙을 정의할 수 있다. 미디어 액세스 정책(214)은 컴퓨팅 장치(100)의 임의의 비휘발성 스토리지를 사용하여 구현될 수 있다. 예를 들면, 일부 실시예에서 미디어 액세스 정책(214)은 NV 저장장치(132)에 저장된 하나 이상의 펌웨어 변수로 구현된다. 정책 관리 모듈(206)은 예를 들면 UEFI 규격에 의해 특정된 펌웨어 변수 인터페이스를 설립함으로써 현재 실행 중인 운영 시스템(210)에 의해 미디어 액세스 정책(214)에 대한 액세스를 허용하도록 구성될 수 있다. 일부 실시예에서 정책 관리 모듈(206)은 미디어 액세스 정책(214)에 대한 액세스를 검증, 인증, 또는 보안유지하도록 구성될 수 있다. 예를 들면, 정책 관리 모듈(206)은 미디어 액세스 정책(214)을 UEFI 포럼에 의해 발행된 UEFI 규격에 설명되어 있는 하나 이상의 UEFI 인증 변수, 또는 TCG(Trusted Computing Group)에 의해 발행된 TPM 규격에 설명되어 있는 TPM NVData 같은 다른 보안 스토리지를 저장할 수 있다.
플랫폼 펌웨어(201)의 정책 시행 모듈(208)은 선택된 운영 시스템(210)으로부터 보호될 데이터 스토리지 장치(126)의 하나 이상의 영역을 식별하도록 구성된다. 예를 들면, 정책 시행 모듈(208)은 다른 운영 시스템(210)에 의해 소유된 파티션이 선택된 운영 시스템(210)으로부터 보호될 것을 결정할 수 있다. 정책 시행 모듈(208)은 운영 시스템(210)이 부팅되기 전에 보호된 영역으로의 액세스를 차단하도록 데이터 스토리지 장치(126)를 포함한다. 예를 들면, 정책 실행 모듈(208)은 특정 스토리지 어드레스 또는 스토리지 어드레스 범위로의 액세스를 차단하도록 데이터 스토리지 장치(126)의 콘트롤러(128)를 프로그램, 구성 또는 지시할 수 있다.
각각의 운영 시스템(210)은 정책 시행 모듈(212)을 포함한다. 각각의 정책 시행 모듈(212)은 하드웨어, 펌웨어, 소프트웨어, 또는 이들의 조합으로 구현될 수 있다. 각 정책 시행 모듈(212)은 운영 시스템(210)의 실행 동안 발행된 미디어 액세스 요청을 가로채고, 미디어 액세스 정책(214)에 기초하여 미디어 액세스 요청을 허용할지 그 여부를 결정하고, 그 이후에 미디어 액세스 요청을 적절하게 허용 또는 거부하도록 구성된다. 각각의 미디어 액세스 요청은 스토리지 동작(예컨대 판독, 기입, 생성, 삭제, 상태 표시 등)과, 스토리지 어드레스 또는 스토리지 범위를 특정할 수 있다. 정책 시행 모듈(212)은 현재 실행 중인 운영 시스템(210)의 신원이나, 데이터 스토리지 장치(126)에서 영향을 받은 영역의 신원, 포맷 또는 소유권이나, 특정된 스토리지 동작 또는 미디어 액세스 정책(214)에 의해 특정된 임의의 다른 기준의 임의의 조합에 기초하여 미디어 액세스 요청을 허용할 것인지 거부할 것인지 결정할 수 있다. 일부 실시예에서, 정책 시행 모듈(212)은 도 4와 도 5와 관련하여 아래에 추가로 설명된 것처럼 운영 시스템(210)의 스토리지 드라이버 스택에 내장된 필터 드라이버로 구현될 수 있다.
도 3을 참조하면, 개략도(300)는 컴퓨팅 장치(100)에 사용될 수 있는 데이터 스토리지 장치(126)의 파티셔닝 체계의 일 실시예를 예시한다. 물론, 많은 실시예에서 데이터 스토리지 장치(126)는 상이한 개수 및 유형의 파티션 및/또는 상이한 파티셔닝 체계를 포함할 수 있다. 예시적인 실시예에서, 데이터 스토리지 장치(126)는 LBA(logical block address)에 의해 각각 개별적으로 어드레스 지정 가능한 다수의 블록을 포함할 수 있다. 각각의 LBA는 0부터 데이터 스토리지 장치(126)의 최대 블록 수에 이르는 범위를 갖는 간단한 정수로 구현될 수 있다. 각각의 블록은 512바이트의 데이터나 4096바이트의 데이터와 같이 사전 결정된 데이터 분량을 포함할 수 있다. 예시적인 데이터 스토리지 장치(126)는 파티션 테이블(302)과 세 개의 데이터 파티션(314, 316, 318)으로 나누어진다.
파티션 테이블(302)은 데이터 스토리지 장치(126)의 제1 블록, 즉 0인 LBA를 갖는 블록에서 시작한다. 예시의 파티션 테이블(302)은 PMBR(protective master boot record)(304), 파티션 테이블 헤더(306) 및 다수의 파티션 테이블 엔트리(308)를 포함한다. PMBR(304)은 호환성 목적으로 데이터 스토리지 장치(126)의 제1 블록(즉, 0인 LBA)에 포함된 레거시 마스터 부트 레코드로서 구현될 수 있다. 데이터 스토리지 장치(126)(예컨대 1인 LBA)의 제2 블록에서 시작하는 파티션 테이블 헤더(306)는 파티션 테이블(302)의 크기, 유형 및 다른 속성을 정의할 수 있다. 각각의 파티션 테이블 엔트리(308)는 파티션(314, 316, 318)의 위치, 크기, 유형 및 다른 속성을 정의할 수 있다. 예를 들면, 각각의 파티션 테이블 엔트리(308)는 각각의 데이터 파티션(314, 316, 318)의 시작과 끝에 대응하는 LBA를 포함하는 포인터를 포함할 수 있다. 예시의 포인터(310, 312)는 각각 파티션(314)의 시작 어드레스와 끝 어드레스에 대응하는 LBA 값을 포함한다. 파티션 테이블 엔트리(308)는 파티션(316, 318)에 대응하는 포인터를 추가로 포함할 수 있는데, 이것들은 명료성을 위해 도면(300)으로부터 생략된다. 또 다른 예시로, 각각의 파티션 테이블 엔트리(308)는 연관된 데이터 파티션(314, 316, 318)의 유형에 대응하는 전역적으로 고유한 식별자를 포함할 수 있다. 데이터 파티션 유형은 어떤 운영 시스템(210a, 210b)이 데이터 파티션(314, 316, 318)을 소유하는지 지시한다.
각각의 데이터 파티션은 특정 운영 시스템(210)에 의해 소유되거나 다중 운영 시스템(210)에 의해 공유될 수 있다. 예시적인 예에서, 파티션(314)은 운영 시스템(210a)에 의해 소유되고, 파티션(316)은 운영 시스템(210b)에 의해 소유되고, 파티션(318)은 운영 시스템(210a, 210b) 모두에 의해 공유된다. 예를 들면, 운영 시스템(210a)이 Microsoft®WindowsTM 이고, 운영 시스템(210b)이 AndroidTM 인 것으로 간주한다. 이 예시에서, 파티션(314)은 Windows 데이터 파티션으로 구현될 수 있고, 파티션(316)은 Android 시스템 파티션으로 구현될 수 있고, 파티션(318)은 WindowsTM와 AndroidTM에 의해 공유된 데이터 파티션으로 구현될 수 있다.
아래에 추가적으로 설명된 것처럼, 컴퓨팅 장치(100)는 미디어 액세스 정책(214)에 기초하여 파티션 테이블(302) 및/또는 파티션(314, 316, 318)에 대한 액세스를 제어할 수 있다. 예를 들면, 미디어 액세스 정책(214)은 미디어 액세스 보호가 인에이블되어야 하는지를 나타낼 수 있다. 만약 인에이블하다면, 일부 실시예에서 미디어 액세스 정책(214)은 운영 시스템(210)이 운영 시스템(210)에 의해 소유되거나 운영 시스템(210)과 공유된 파티션만 액세스할 수 있음을 특정할 수 있다. 예시적인 예에서, 운영 시스템(210a)은 파티션(316)이 아닌 파티션(314, 318)을 액세스하도록 허용될 수 있고, 운영 시스템(210b)은 파티션(314)이 아닌 파티션(316, 318)을 액세스하도록 허용될 수 있다. 또 다른 예시에서, 운영 시스템(210a, 210b) 모두는 파티션 테이블(302)에 대한 액세스를 거부당할 수 있다. 추가로 또는 선택적으로, 일부 실시예에서 미디어 액세스 정책(214)은 운영 시스템(210)에 의해 소유되지 않은 파티션에 대해 운영 시스템(210)에 의한 선택적 또는 판독 전용 액세스를 허용할 수 있다. 예시적인 예에서, 운영 시스템(210a)은 파티션(316)에 대해 판독 전용 액세스가 허용될 수 있고, 운영 시스템(210b)은 파티션(318)에 대해 판독 전용 액세스가 허용될 수 있다. 물론, 이 미디어 액세스 정책(214)은 단순히 예시적인 것이며 다른 정책이 다른 실시예에서 이용될 수도 있다.
도 4를 참조하면, 이용 시에 컴퓨팅 장치(100)는 미디어 보호 정책 시행을 위해 방법(400)을 실행할 수 있다. 방법(400)은 블록(402)에서 시작하는데, 이때 컴퓨팅 장치(100)는 운영 시스템(210)을 부팅한다. 도 6과 관련해 아래에 추가로 설명된 것처럼, 컴퓨팅 장치(100)는 프리-부트 펌웨어 실행 환경 내에서 부팅될 운영 시스템(210)을 선택할 수 있다. 펌웨어 실행 환경은 예를 들면, UEFI 함수 ExitBootServices()을 호출함으로써 종료될 수 있다. 운영 시스템(210)을 부팅한 이후에, 컴퓨팅 장치(100)는 운영 시스템(210)의 제어하에 있다. 일부 실시예에서, 플랫폼 펌웨어(202)는 운영 시스템(210)을 부팅한 이후에 제한된 서비스를 여전히 제공할 수 있다. 예를 들면, 플랫폼 펌웨어(202)는 NV 저장 장치(132)에 보유되는 펌웨어 변수에 대해 판독 전용 액세스를 제공할 수 있다.
블록(404)에서, 컴퓨팅 장치(100)는 정책 시행 모듈(212)을 로딩할 수 있다. 전술된 것과 같이, 각각의 운영 시스템(210)은 특정 정책 시행 모듈(212)을 로딩하도록 구성될 수 있다. 컴퓨팅 장치(100)는 예컨대 커넬 드라이버 모듈(kernel driver module)을 로딩하거나 실행 가능한 사용자 모드를 로딩하는 것처럼 미디어 액세스 요청을 감시 및/또는 가로채기 위해 정책 시행 모듈(212)을 준비하는 임의의 기술을 이용할 수 있다. 일부 실시예에서, 블록(406)에서 컴퓨팅 장치(100)는 운영 시스템(210)의 스토리지 드라이버 스택 내의 필터 드라이버로써 정책 시행 모듈(212)을 로딩할 수 있다. 다중 필터 드라이버를 포함하는 예시적인 스토리지 드라이버 스택(500)은 도 5에 도시된다.
많은 운영 시스템(210)은 계층형 스토리지 스택을 통해 데이터 스토리지 장치(126)에 액세스하는데, 이때 각각의 계층은 데이터 스토리지 장치(126)의 추상화의 특정 레벨을 담당한다. 예시의 스토리지 드라이버 스택(500)은 최고 레벨에서 최저 레벨까지 애플리케이션(502), 상위 레벨 필터 드라이버(504), 스토리지 클래스 드라이버(506), 하위 레벨 필터 드라이버(508) 및 스토리지 포트 드라이버(510)를 포함한다. 애플리케이션(502)은 사용자 레벨 애플리케이션, 커넬 프로세스, 상위 레벨 드라이버 또는 데이터 스토리지 장치(126)의 데이터에 액세스할 수 있는 다른 프로세스로 구현될 수 있다. 애플리케이션(502)은 스토리지 스택의 하위 레벨 구성원에 대한 미디어 액세스 요청을 발행한다. 예를 들면, 애플리케이션(502)은 파일 액세스 API, 블록 액세스 API 또는 운영 시스템(210)에 의해 설립된 임의의 다른 스토리지 인터페이스를 사용하여 요청을 발행할 수 있다.
스토리지 클래스 드라이버(506)는 애플리케이션(502)에서 발생한 미디어 액세스 요청을 수신할 수 있고, 미디어 액세스 요청을 하위 레벨 요청으로 변환하는데, 예를 들면 논리 블록 어드레스와 관련하여 스토리지 어드레스를 특정하는 요청으로 변환한다. 운영 시스템(210)은 컴퓨팅 장치(100)에 의해 사용 가능한 데이터 스토리지 장치(126)의 각각의 유형에 대해 스토리지 클래스 드라이버(506)를 설립할 수 있는데, 예를 들면 디스크, 제거 가능한 광학 디스크, 테이프 드라이버 또는 다른 장치 유형의 각각에 대해 스토리지 클래스 드라이버(506)를 설립할 수 있다. 스토리지 포트 드라이버(510)는 스토리지 클래스 드라이버(506)에서 발생한 하위 레벨 미디어 액세스 요청을 수신할 수 있고, 미디어 액세스 요청을 적절한 상호 연결 버스를 통해 데이터 스토리지 장치(126)에 전송될 수 있는 하위 레벨 미디어 액세스 요청으로 변환 수 있다. 예를 들면, 스토리지 포트 드라이버(510)는 데이터 스토리지 장치(126)에 의해 구현된 특정 버스 프로토콜에 적절한 미디어 액세스 요청을 발생시킬 수 있다. 운영 시스템(210)은 데이터 스토리지 장치(126)를 컴퓨팅 장치(100)에 부착할 수 있는 상호 연결 버스에 대해 스토리지 포트 드라이버(510)를 설립할 수 있는데, 예를 들면 ATA, SCSI 또는 USB 버스에 대해 설립할 수 있다.
필터 드라이버(504, 508)는 스토리지 드라이버 스택의 상위 레벨 구성원으로부터 발행된 미디어 액세스 요청을 가로챌 수 있다. 가로채기 이후에, 필터 드라이버(504, 508)는 가로채기 당한 미디어 액세스 요청을 스토리지 드라이버 스택의 하위 레벨 구성원을 통해 전달하거나, 스토리지 스택의 하위 레벨 구성원으로 통과시키기 전에 미디어 액세스 요청을 수정하거나 또는 스토리지 드라이버 스택의 상위 레벨 구성원으로 에러를 돌려보냄으로써 미디어 액세스 요청을 거절하게 할 수 있다. 일반적으로, 각각의 필터 드라이버(504, 508)는 스토리지 드라이버 스택의 또 다른 구성원으로서 동일한 인터페이스를 구현하여 스토리지 드라이버 스택에 투명하게 기능이 추가되는 것을 허용할 수 있다. 예시의 실시예에서, 정책 시행 모듈(212)은 하위 레벨 필터 드라이버(508)로서 구현된다. 따라서, 정책 시행 모듈(212)은 각각의 요청에 대한 논리 블록 어드레스를 포함하는 하위 레벨 미디어 액세스 요청을 가로챌 수 있다. 추가적 또는 선택적으로, 다른 실시예에서 정책 시행 모듈(212)은 애플리케이션(502) 아래의 스토리지 드라이버 스택의 임의의 레벨에 구현될 수 있는데, 즉 상위 레벨 필터 드라이버(504), 스토리지 클래스 드라이버(506), 하위 레벨 필터 드라이버(508) 및/또는 스토리지 포트 드라이버(510)로서 구현되거나 또는 그 일부로서 구현될 수 있다.
다시 도 4를 참조하면, 정책 시행 모듈(212)을 로딩한 후, 블록(408)에서 컴퓨팅 장치(100)는 선택된 운영 시스템(210)과 임의의 연관된 애플리케이션(502)을 실행한다. 블록(410)에서, 컴퓨팅 장치(100)는 미디어 액세스 요청을 감시한다. 미디어 액세스 요청은 스토리지 동작(예컨대 판독, 기입, 파일 또는 블록 생성, 파일 또는 블록 삭제, 요청 정보 등)과 스토리지 동작에 연관된 특정 스토리지 어드레스 또는 스토리지 어드레스의 범위(예컨대 하나 이상의 논리 블록 어드레스)를 특정할 수 있다. 미디어 액세스 요청은 임의의 애플리케이션, 프로세스, 스레드, 상위 레벨 드라이버 또는 컴퓨팅 장치(100)에서 실행 중인 다른 엔티티에 의해 생성될 수 있다. 미디어 액세스 요청은 사용자 요청에 응답하여, 예를 들면 상호 작용적인 애플리케이션에 의해 발생하거나 사용자 상호작용 없이 발생할 수 있다. 전술된 것처럼, 미디어 액세스 요청은 예컨대 필터 드라이버(504, 508)에 의해 스토리지 드라이버 스택을 통해 진행할 때 가로채기 당할 수 있다. 블록(412)에서, 컴퓨팅 장치(100)는 임의의 미디어 액세스 요청이 이미 수신되었는지 결정한다. 만약 아니라면, 방법(400)은 미디어 액세스 요청을 감시하는 것을 계속하기 위해 블록(410)으로 되돌아간다. 만약 하나 이상의 미디어 액세스 요청이 이미 수신되었다면, 방법(400)은 블록(414)으로 진행한다.
블록(414)에서, 컴퓨팅 장치(100)는 미디어 액세스 요청이 미디어 액세스 정책(214)에 의해 허용될지를 결정한다. 일부 실시예에서, 블록(416)에서 컴퓨팅 장치(100)는 플랫폼 펌웨어(202)를 사용하여 하나 이상의 미디어 액세스 정책(214)을 검색할 수 있다. 예를 들면, 미디어 액세스 정책(214)은 NV 저장 장치(132)를 사용하여 하나 이상의 펌웨어 변수로 저장될 수 있다. 컴퓨팅 장치(100)는 플랫폼 펌웨어(202)에 의해 제공되는 런타임 펌웨어 변수 인터페이스를 사용하여 이 펌웨어 변수를 액세스할 수 있다. 일부 실시예에서, 미디어 액세스 정책(214)은 암호화되거나 신호 표시되거나 또는 보안 유지되는 펌웨어 변수로서 구현될 수 있다. 예를 들면, 미디어 액세스 정책(214)은 UEFI 규격에 의해 특정되는 하나 이상의 변수로서 구현될 수 있다.
미디어 액세스 정책(214)으로의 액세스를 보안 처리하거나 인증하는 것은 장치 판매자가 컴퓨팅 장치(100)가 최종 사용자에게 제공된 이후에 이 컴퓨팅 장치(100)에 대한 모든 구성 변경에 대해 제어를 유지하게 할 수 있다. 예를 들면, 미디어 액세스 정책(214)이 NV 저장 장치(132)에 펌웨어 변수로서 저장되는 실시예를 고려한다. 이 예시에서, 미디어 액세스 정책(214)은 그래픽 BIOS 시스템처럼 플랫폼 펌웨어(202)에 의해 제공되는 물리적으로 제공된 로컬 사용자 인터페이스(UI)를 통해서만 수정될 수 있다. 따라서, 플랫폼 펌웨어(202)는 미디어 액세스 정책(214)의 존재 증명 검증된 구성(proof-of-presence-qualified configuration)을 제공할 수 있다. 이 실시예에서, 플랫폼 펌웨어(202)는 신뢰성이 없는 펌웨어 드라이버, 펌웨어 애플리케이션, 옵션 ROM 또는 운영 시스템 로더의 실행 이전에 미디어 액세스 정책(214)은 잠글 수 있다. 그러므로 이 실시예에서 미디어 액세스 정책(214)은 신뢰성이 없는 프리-부트 펌웨어 실행 환경의 신뢰성이 없는 부분 동안(예컨대 UEFI Driver eXecution Environment("DXE")이 끝난 이후)과, 신뢰성이 없는 운영 시스템(210)의 런타임 동안에 판독 전용일 수 있다.
또 다른 예로서, 미디어 액세스 정책(214)이 인증된 펌웨어 변수로서 NV 저장 장치(132)에 저장되는 실시예를 고려하는데, 예를 들면 Authenticated Write 속성 비트와 함께 UEFI 변수로서 저장되는 실시예를 고려한다. 이 예에서, 미디어 액세스 정책(214)은 신뢰할 수 없는 운영 시스템(210)의 실행 동안의 런타임에 액세스 및 업데이트될 수 있다. 그러나 미디어 액세스 정책(214)에 대한 업데이트는 오로지 인증된 사용자 또는 다른 엔티티에 의해서만 허용될 수 있다. 이 실시예에서, 미디어 액세스 정책(214)에 대한 액세스는 공용 키 암호 기법을 이용하여 인증, 검증 또는 보안 유지될 수 있는데, 예를 들면 생성기의 공용/개인 키 쌍을 이용하여 인증된 펌웨어 변수를 신호함으로써 인증, 검증 또는 보안유지될 수 있다.
세 번째 예로서, 일부 실시예에서, 미디어 액세스 정책(214)은 컴퓨팅 장치(100)의 보안 프로세서(134)를 이용하여 보안 유지될 수 있다. 예를 들어, 미디어 액세스 정책(214)은 TPM에 의해 제어되는 컴퓨팅 장치(100)의 보안 스토리지 영역에 저장될 수 있다.
계속해서 도 4를 참조하면, 블록(418)에서 컴퓨팅 장치(100)는 미디어 액세스 보호가 인에이블인지 결정할 수 있다. 미디어 액세스 요청은 미디어 액세스 보호가 인에이블 상태가 아닐 경우에는 추가의 분석 없이 허용될 수 있다. 일부 실시예에서, 하나 이상의 미디어 액세스 정책(214)은 미디어 액세스 보호가 인에이블인지 여부를 지정할 수 있다. 블록(420)에서, 컴퓨팅 장치(100)는 현재 실행중인 운영 시스템(210)의 신원을 결정할 수 있다. 미디어 액세스 요청을 허용할 것인지 허용하지 않을 것인지의 결정은 현재 실행중인 운영 시스템(210)의 신원에 따를 것이다. 일부 실시예에서, 현재 실행중인 운영 시스템(210)의 신원은 정책 시행 모듈(212)에게 암시적으로 알려질 것이다. 예를 들어, 많은 실시예에서, 각각의 운영 시스템(210)은 특정 필터 드라이버(504, 508)처럼 전용의 정책 시행 모듈(212)을 포함할 수 있다. 이러한 실시예에서, 운영 시스템(210)의 신원은 하드-코딩되는 것으로 가정할 수 있거나 또는 이용중인 특정 정책 시행 모듈(212)에 암시적일 수 있다.
블록(422)에서, 컴퓨팅 장치(100)는 특정 미디어 액세스 요청과 연관된 스토리지 파티션을 결정할 수 있다. 예를 들어, 컴퓨팅 장치(100)는 미디어 액세스 요청에 포함된 스토리지 어드레스를 포함하는 스토리지 파티션의 신원을 결정할 수 있다. 전술한 것처럼, 각각의 스토리지 파티션은 하나 이상의 운영 시스템(210)에 의해 소유되거나 배정될 수 있다. 설명을 위해, 도 3으로 돌아가서 살펴보면, 컴퓨팅 장치(100)는 미디어 액세스 요청이 운영 시스템 210a 파티션(314), 운영 시스템 210b 파티션(316), 공유 파티션(318) 또는 일부 실시예에서는 파티션 테이블(302)을 참조하는지를 결정할 수 있다. 블록(424)에서, 컴퓨팅 장치(100)는 미디어 액세스 요청과 연관된 스토리지 동작을 결정할 수 있다. 예를 들어, 컴퓨팅 장치(100)는 스토리지 요청이 판독 요청, 기입 요청, 생성 요청, 삭제 요청, 정보 요청 또는 다른 요청인지를 결정할 수 있다. 일부 실시예에서, 미디어 액세스 요청을 허용할 것인지의 결정은 특정된 스초리지 동작에 따를 수 있다.
블록(426)에서, 컴퓨팅 장치(100)는 미디어 액세스 정책(214)에 기초하여 액세스 요청을 허용할 것인지 결정한다. 미디어 액세스 요청을 허용할 것인지에 대한 결정은 현재 실행중인 운영 시스템(210)의 신원, 이 요청과 연관된 스토리지 파티션, 이 요청과 연관된 스토리지 동작 및/또는 미디어 액세스 정책(214)에 의해 특정된 다른 기준들의 임의의 조합에 기초할 수 있다. 예를 들어, 컴퓨팅 장치(100)는 현재 실행중인 운영 시스템(210)에 의해 소유된 스토리지 파티션에 대한 모든 액세스를 허용할 수 있다. 또 다른 예로서, 컴퓨팅 장치(100)는 현재 실행중인 운영 시스템(210)에 의해 소유되지 않은 스토리지 파티션에 대한 모든 액세스를 거부할 수도 있다. 세 번째 예로서, 컴퓨팅 장치(100)는 현재 실행중인 운영 시스템(210)과 하나 이상의 다른 운영 시스템(210) 사이에 공유된 스토리지 파티션에 대한 모든 액세스를 허용할 수도 있다. 네 번째 예로서, 컴퓨팅 장치(100)는 데이터 스토리지 장치(126)의 파티션 테이블에 대한 판독 전용 액세스를 허용할 수 있다. 일부 실시예에서, 현재 실행중인 운영 시스템(210)에 의해 소유되지 않은 스토리지 파티션에 대한 액세스를 허용할 것인지에 대한 결정은 미디어 액세스 정책(214)에 의존할 수 있는데, 이것은 플랫폼 제조자, 최종 사용자 또는 다른 대상자에 의해 정의될 수 있다. 예를 들면, 미디어 액세스 정책(214)의 콘텐츠에 기초하여, 컴퓨팅 장치(100)는 현재 실행중인 운영 시스템(210)에 의해 소유되지 않은 스토리지 파티션에 대한 판독 액세스를 허용할 수 있지만, 현재 실행중인 운영 시스템(210)에 의해 소유되지 않은 스토리지 파티션에 대한 기입 액세스는 거부할 수 있다. 만약 미디어 액세스 요청이 허용된다면, 방법(400)은 블록(428)으로 분기한다. 만약 미디어 액세스 요청이 허용되지 않는다면, 방법(400)은 아래에 설명된 것처럼 블록(432)으로 분기한다.
블록(428)에서, 컴퓨팅 장치(100)는 미디어 액세스 요청이 진행되도록 허용한다. 일부 실시예로, 블록(430)에서, 컴퓨팅 장치(100)는 미디어 액세스 요청을 스토리지 드라이버 스택의 하위 레벨 구성원(lower-level member)을 통해 전달할 수 있다. 예를 들어, 만약 정책 시행 모듈(212)이 하위 레벨 필터 드라이버(509)로 구현된다면, 미디어 액세스 요청은 스토리지 포트 드라이버(510)로 하향 전달될 수 있어서 미디어 액세스 요청이 정상적으로 진행되도록 한다. 요청이 허용된 이후에, 데이터 스토리지 장치(126)는 요청된 스토리지 동작을 수행하고, 데이터 또는 상태 정보 백업을 스토리지 드라이버 스택으로 되돌려 보내어 궁극적으로는 애플리케이션(520)으로 복귀시킬 수 있다. 미디어 액세스 요청을 허용한 이후에, 방법(400)은 블록(410)으로 되돌아가서 미디어 액세스 요청을 계속 감시한다.
블록(426)으로 돌아가서, 만약 미디어 액세스 요청이 허용되지 않는다면, 방법(400)은 블록(432)으로 분기한다. 블록(432)에서, 컴퓨팅 장치(100)는 미디어 액세스 요청을 거절한다. 컴퓨팅 장치(100)는 예컨대 미디어 액세스 요청이 스토리지 드라이버 스택의 하위 레벨 구성원으로 하향 전달되는 것을 차단할 수 있다. 일부 실시예로, 블록(434)에서, 컴퓨팅 장치(100)는 예컨대 애플리케이션(502) 같은 스토리지 드라이버 스택의 상위 레벨 구성원으로 정보를 담은 에러 메시지를 복귀시킬 수 있다. 예를 들어, 컴퓨팅 장치(100)는 "거부된 액세스", "보호된 기입", "무효 동작" 또는 다른 적절한 에러 메시지를 복귀시킬 수 있다. 일부 실시예에서, 에러 메시지는 사용자에게 디스플레이될 수 있으며, 이로써 사용자가 미디어 액세스 요청이 왜 실패했는지를 확인하게 할 수 있다. 미디어 액세스 요청을 거절한 이후에, 방법(400)은 블록(410)으로 되돌아가서 미디어 액세스 요청을 계속 감시한다.
이제, 도 6을 참조하면, 컴퓨팅 장치(100)는 미디어 보호 정책 시행을 위해 방법(600)을 실행할 수 있다. 방법(600)은 블록(602)으로 시작하는데, 여기서 컴퓨팅 장치(100)가 부팅하게 된다. 컴퓨팅 장치(100)는 저전력 수면 또는 동면 상태로부터 재개시키는 것에 응답하여, 또는 컴퓨팅 장치(100)가 초기화될 때에는 다른 상황에서, 사용자가 이 컴퓨팅 장치(100)에 전력을 공급하거나 또는 리부팅하는 것에 응답하여 부팅할 수 있다. 일부 실시예에서, 컴퓨팅 장치(100)는 사용자가 예컨대 소프트웨어 또는 하드웨어 토글을 선택함으로써 운영 시스템(210)을 스위칭하도록 컴퓨팅 시스템(100)에 지시하는 것에 응답하여 부팅 또는 리부팅할 수 있다.
블록(604)에서, 컴퓨팅 장치(100)는 사전 운영 시스템 펌웨어 실행 환경을 로딩한다. 펌웨어 실행 환경은 예를 들면 UEIF 규격에 특정된 드라이버 실행 환경으로서 구현될 수 있다. 펌웨어 실행 환경에서, 플랫폼 펌웨어(202)는 컴퓨팅 장치(100)의 완전한 제어하에 있다. 펌웨어 실행 환경에서, 컴퓨팅 장치(100)는 플랫폼 하드웨어를 초기화하고, 그렇지 않으면 컴퓨팅 장치(100)를 이용하기 위해 준비한다. 컴퓨팅 장치(100)는 하나 이상의 펌웨어 드라이버 또는 펌웨어 애플리케이션을 위한 이미지를 로딩하여 시작할 수 있다. 펌웨어 드라이버와 애플리케이션은 프리-부트 초기화 및 다른 서비스를 제공할 수 있는 이진 이미지(binary image)로 구현될 수 있다. 추가로, 일부 실시예에서, 펌웨어 드라이버 및 애플리케이션은 운영 시스템(210)의 실행 동안에 컴퓨팅 장치(100)에 상주하면서 서비스를 제공하는 펌웨어 프로토콜 인터페이스 및 다른 서비스를 설치할 수 있다. 예를 들어, 펌웨어 프로토콜 인터페이스는 NV 저장 장치(132)에 저장된 하나 이상의 펌웨어 변수로의 액세스를 허용하도록 설치될 수 있다.
블록(606)에서, 컴퓨팅 장치(100)는 이 컴퓨팅 장치(100)에 설치되어 있는 운영 시스템(210)으로부터 로딩할 운영 시스템(210)을 선택한다. 선택된 특정 운영 시스템(210)은 사용자 선택, 디폴트 부팅 순서 또는 선택과 관련한 임의의 다른 기준에 따를 것이다. 일부 실시예에서, 컴퓨팅 장치(100)는 선택된 운영 시스템(210)과 연관된 부트 목표를 선택할 수 있다. 부트 목표는 예컨대 운영 시스템 로더(loader)나 또는 진단, 유지보수 또는 관리 애플리케이션처럼 컴퓨팅 장치(100)에 의해 로딩 및 시작될 펌웨어 애플리케이션으로서 구현될 수 있다.
블록(608)에서, 컴퓨팅 장치(100)는 미디어 액세스 정책(214)에 기초하여, 선택된 운영 시스템(210)으로부터 보호할 하나 이상의 미디어 어드레스 범위를 결정할 수 있다. 특히, 컴퓨팅 장치(100)는 운영 시스템(210)이 이 운영 시스템(210)에 의해 소유되지 않고/않거나 운영 시스템(210)과 공유되지 않은 스토리지 파티션과 연관된 논리 블록 어드레스 범위를 액세스하지 않을 수도 있음을 결정할 수 있다. 예를 들어, 컴퓨팅 장치(100)는 다른 운영 시스템(210)에 의해 소유된 스토리지 파티션과 연관된 논리 블록 어드레스 범위가 선택된 운영 시스템(210)으로부터 보호되어야 함을 결정할 수도 있다. 물론, 일부 실시예에서, 컴퓨팅 장치(100)는 운영 시스템(210)에 액세스 가능할 미디어 어드레스 범위를 추가로 또는 선택적으로 결정할 수 있다. 예를 들어, 컴퓨팅 장치(100)는 운영 시스템(210)에 의해 소유된 데이터 파티션이 이 운영 시스템(210)에 의해 액세스될 수 있음을 결정할 수도 있다. 일부 실시예에서, 블록(610)에서, 컴퓨팅 장치(100)는 하나 이상의 펌웨어 변수로부터 미디어 액세스 정책(214)을 검색할 수도 있다. 전술한 것처럼, 펌웨어 변수는 NV 저장 장치(132)에 저장될 수 있다. 펌웨어 변수는 예를 들면 미디어 액세스 보호가 인에이블인지, 선택된 운영 시스템(210)에 의해 소유되지 않은 파티션에 대한 액세스를 허용할 것인지, 또는 임의의 다른 액세스 정책을 결정할 수도 있다.
예시된 것처럼, 도 3을 다시 참조하면, 컴퓨팅 장치(100)는 블록(606)과 연계하여 전술한 운영 시스템(210a)을 선택하는 것으로 가정한다. 컴퓨팅 장치(100)는 운영 시스템(210a)이 운영 시스템(210b)에 의해 소유된 파티션(316) 내부의 데이터 어드레스를 액세스하지 않을 수 있음을 결정할 수 있다. 일부 실시예에서, 컴퓨팅 장치(100)는 운영 시스템(210a)이 파티션(314)의 내부의 데이터 어드레스에 대해 액세스가 허용되었음을 결정할 수 있다.
블록(612)에서, 컴퓨팅 장치(100)는 블록(608)에서 전술한 것처럼 결정된 보호된 미디어 어드레스 범위에 기초하여 데이터 스토리지 장치(126)의 데이터 액세스 제어를 설정한다. 일부 실시예에서, 컴퓨팅 장치(100)는 보호된 미디어 어드레스 범위 내에 있는 액세스를 거절하도록 데이터 스토리지 장치(126)의 콘트롤러(128)에게 프로그램, 명령 또는 지시할 수 있다. 예를 들어, 컴퓨팅 장치(100)는 보호된 미디어 어드레스 범위로의 액세스를 차단하도록 콘트롤러(128)의 섹터 범위 보호 특징을 프로그램할 수도 있다. 물론, 일부 실시예에서, 컴퓨팅 장치(100)는 데이터 스토리지 장치(126)의 콘트롤러(128)에게 특정된 미디어 어드레스 범위 내에 있는 액세스를 허용하도록 프로그램, 명령 또는 지시할 수도 있다. 컴퓨팅 장치(100)는 콘트롤러(128)의 성능에 기초하여, 보호된 미디어 어드레스 범위를 특정할 것인지 또는 허용된 미디어 어드레스 범위를 특정할 것인지 결정할 수 있다. 데이터 액세스 제어를 설정한 이후에, 임의의 운영 시스템(210)을 포함한 컴퓨팅 장치(100)상에서 실행중인 임의의 프로세스는 보호된 미디어 어드레스 범위 내부의 미디어 어드레스를 액세스할 수 없을 수도 있다. 데이터 스토리지 장치(126)의 데이터 액세스 제어는 컴퓨팅 장치(100)가 리부팅되거나 전력 순환되거나 또는 리셋될 때 리셋될 수도 있다.
블록(614)에서, 컴퓨팅 장치(100)는 선택된 운영 시스템(210)을 부팅한다. 전술한 것처럼, 펌웨어 실행 환경은 선택된 운영 시스템(210)과 연관된 부트 목표를 로딩 및 실행할 수 있다. 실행 동안, 선택된 운영 시스템(210)은 보호된 미디어 어드레스 범위 내의 미디어 어드레스를 액세스할 수 없을 수도 있다. 그러므로 사용시에, 운영 시스템(210)은 다른 운영 시스템(210)에 의해 소유된 스토리지 파티션을 완벽하게 인지하지 못할 수도 있다.
운영 시스템(210)을 부팅한 이후에, 컴퓨팅 장치(100)는 예를 들면 도 4와 관련하여 전술한 방법(400)을 실행함으로써 운영 시스템(210)과 연관된 정책 시행 모듈(212)을 이용하여 미디어 액세스 요청을 감시할 수 있다. 그러므로 방법(400, 600)은 상보적이다. 컴퓨팅 장치(100)는 각각의 방법(400, 600)을 독립적으로 실행하거나 또는 이 두 방법(400, 600)을 조합적으로 실행할 수 있다. 예를 들어, 컴퓨팅 장치(100)는 섹터 범위 보호를 지원하는 하드웨어 콘트롤러(128)와 함께 프리 부트 펌웨어 환경 동안 방법(600)을 실행하고 운영 시스템(210)을 부팅한 이후에 방법(400)을 실행할 수 있다. 추가로 또는 선택적으로, 이러한 섹터 범위 보호를 지원하는 하드웨어 콘트롤러(128)를 갖는 컴퓨팅 장치(100)는 예컨대 정책 시행 모듈(212) 없이 운영 시스템(210)을 실행할 때 방법(400)이 아닌 오로지 방법(600)만을 실행할 수 있다. 추가로 또는 선택적으로, 섹터 범위 보호를 지원하는 하드웨어 콘트롤러(128)를 갖지 않는 컴퓨팅 장치(100)는 운영 시스템(210)의 실행 동안에 방법(400)을 실행하며 방법(600)은 실행하지 않는다.
추가로 또는 선택적으로, 동일한 컴퓨팅 장치(100)상에서 실행될 때, 방법(400, 600)의 각각은 상이한 미디어 액세스 정책(214)을 시행할 수도 있다. 예를 들어, 방법(600)은 선택된 운영 시스템(210)에 의해 소유되지 않은 파티션으로의 액세스를 하드웨어 콘트롤러(128)를 이용하여 완벽하게 거부하도록 미디어 액세스 정책(214)을 시행할 수 있다. 이 예에 계속해서 방법(400)은 데이터 스토리지 장치(126)의 공유 파티션에 대한 선택적 액세스 또는 판독 전용 액세스를 허용하는 미디어 액세스 정책(214)을 시행할 수 있다.
예시들
본원에 개시된 기술들의 예시적인 예들이 아래에 제공된다. 이러한 기술들의 실시예는 아래에 설명된 예시들 중 임의의 하나 이상의 예시와, 이 예시들의 임의의 조합을 포함할 수 있다.
예시 1은 다중 운영 시스템 환경에서 미디어 보호 정책 시행을 위한 컴퓨팅 장치를 포함하는데, 상기 컴퓨팅 장치는 복수의 영역을 포함하는 데이터 스토리지 장치와, 상기 컴퓨팅 장치의 운영 시스템의 실행 동안에, 스토리지 동작 및 스토리지 어드레스를 특정하는 미디어 액세스 요청을 가로채고, 상기 컴퓨팅 장치의 운영 시스템의 신원을 결정하고, 상기 미디어 액세스 요청의 상기 스토리지 어드레스를 포함하는 상기 데이터 스토리지 장치의 영역을 식별하며, (ⅰ) 상기 데이터 스토리지 장치의 상기 식별된 영역, (ⅱ) 상기 운영 시스템의 상기 신원, (ⅲ) 상기 미디어 액세스 요청의 상기 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 정책 시행 모듈을 포함한다.
예시 2는 예시 1의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 것은 상기 데이터 스토리지 장치의 영역이 상기 운영 시스템에 의해 소유되는지 결정하는 것과, 상기 영역이 상기 운영 시스템에 의해 소유됨을 결정하는 것에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 것을 포함한다.
예시 3은 예시 1 및 예시 2 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 것은 상기 영역이 상기 운영 시스템에 의해 소유되지 않음을 결정하는 것에 응답하여 상기 미디어 액세스 요청을 허용하지 않도록 결정하는 것을 더 포함한다.
예시 4는 예시 1 내지 예시 3 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 것은 상기 영역이 상기 운영 시스템에 의해 소유되지 않음을 결정하는 것에 응답하여 상기 컴퓨팅 장치의 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 것을 더 포함한다.
예시 5는 예시 1 내지 예시 4 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 것은 상기 컴퓨팅 장치의 펌웨어 환경을 이용하여 상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 상기 미디어 액세스 정책을 판독하는 것을 포함한다.
예시 6은 예시 1 내지 예시 5 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 것은 상기 데이터 스토리지 장치의 영역이 상기 운영 시스템 및 제2 운영 시스템에 의해 공유되는지 결정하는 것―상기 제2 운영 시스템은 상기 결정 동안 실행되지 않음―과, 상기 영역이 공유된다는 결정에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 것을 포함한다.
예시 7은 예시 1 내지 예시 6 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 것은 상기 미디어 액세스 요청의 상기 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 것을 포함한다.
예시 8은 예시 1 내지 예시 7 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청의 상기 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 것은 판독 동작을 포함하는 상기 미디어 액세스 요청에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 것과, 기입 동작을 포함하는 상기 미디어 액세스 요청에 응답하여 상기 미디어 액세스 요청을 허용하지 않도록 결정하는 것을 포함한다.
예시 9는 예시 1 내지 예시 8 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 것은 상기 컴퓨팅 장치의 펌웨어 환경을 이용하여 상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 미디어 액세스 정책을 판독하는 것을 포함한다.
예시 10은 예시 1 내지 예시 9 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 것은 미디어 액세스 보호가 상기 미디어 액세스 정책의 함수로서 인에이블되는지 결정하는 것과, 미디어 액세스 보호가 인에이블된다는 결정에 응답하여 상기 미디어 액세스를 허용할 것인지 결정하는 것을 포함한다.
예시 11은 예시 1 내지 예시 10 중 임의의 한 예시의 주제를 포함하되, 상기 컴퓨팅 장치의 제2 운영 시스템의 실행 동안에, 제2 스토리지 동작 및 제2 스토리지 어드레스를 특정하는 제2 미디어 액세스 요청을 가로채고, 상기 제2 운영 시스템의 신원을 결정하고, 상기 미디어 액세스 요청의 상기 제2 스토리지 어드레스를 포함하는 상기 데이터 스토리지 장치의 제2 영역을 식별하며, 상기 데이터 스토리지 장치의 상기 제2 영역, 상기 제2 운영 시스템의 상기 신원 및 상기 제2 미디어 액세스 요청의 상기 제2 스토리지 동작의 함수로서 상기 제2 미디어 액세스 요청을 허용할 것인지 결정하는 제2 정책 시행 모듈을 더 포함한다.
예시 12는 예시 1 내지 예시 11 중 임의의 한 예시의 주제를 포함하되, 상기 정책 시행 모듈은 상기 컴퓨팅 장치의 필터 드라이버를 포함한다.
예시 13은 예시 1 내지 예시 12 중 임의의 한 예시의 주제를 포함하되, 상기 정책 시행 모듈은 상기 미디어 액세스 요청을 허용하는 결정에 응답하여 상기 컴퓨팅 장치의 하위 레벨 드라이버로 상기 미디어 액세스 요청을 전달한다.
예시 14는 예시 1 내지 예시 13 중 임의의 한 예시의 주제를 포함하되, 상기 정책 시행 모듈은 상기 미디어 액세스 요청을 허용하지 않는 결정에 응답하여 상기 미디어 액세스 요청을 거절한다.
예시 15는 예시 1 내지 예시 14 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역은 상기 데이터 스토리지 장치의 파티션(partition)을 포함한다.
예시 16은 예시 1 내지 예시 15 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역은 상기 데이터 스토리지 장치의 파티션 테이블(partition table)을 포함한다.
예시 17은 예시 1 내지 예시 16 중 임의의 한 예시의 주제를 포함하되, 상기 컴퓨팅 장치의 펌웨어 환경에 의해 설립된 부트 옵션 모듈(boot option module)과, 상기 펌웨어 환경에 의해 설립된 제2 정책 시행 모듈을 더 포함하고, 여기서 상기 부트 옵션 모듈은 상기 컴퓨팅 장치에 설치된 복수의 운영 시스템으로부터 상기 운영 시스템을 선택하고, 상기 제2 정책 시행 모듈은 (ⅰ) 상기 선택된 운영 시스템에 기초하여 보호될 상기 데이터 스토리지 장치의 제2 영역을 결정하고, (ⅱ) 상기 데이터 스토리지 장치의 제2 영역으로의 액세스를 차단하도록 상기 데이터 스토리지 장치를 구성하며, 이때 상기 부트 옵션 모듈은 상기 데이터 스토리지 장치의 구성에 응답하여 상기 선택된 운영 시스템을 로딩한다.
예시 18은 다중 운영 시스템 환경에서 미디어 보호 정책 시행을 위한 컴퓨팅 장치를 포함하는데, 상기 컴퓨팅 장치는 복수의 영역을 포함하는 데이터 스토리지 장치와, 상기 컴퓨팅 장치의 펌웨어 환경에 의해 설립된 부트 옵션 모듈과, 상기 펌웨어 환경에 의해 설립된 정책 시행 모듈을 더 포함하되, 상기 부트 옵션 모듈은 상기 컴퓨팅 장치에 설치된 복수의 운영 시스템으로부터 운영 시스템을 선택하고, 상기 정책 시행 모듈은 (ⅰ) 상기 선택된 운영 시스템에 기초하여 보호될 데이터 스토리지 장치의 영역을 결정하고, (ⅱ) 상기 데이터 스토리지 장치의 영역으로의 액세스를 차단하도록 상기 데이터 스토리지 장치를 구성하며, 이때 상기 부트 옵션 모듈은 상기 데이터 스토리지 장치의 구성에 응답하여 상기 선택된 운영 시스템을 로딩한다.
예시 19는 예시 18의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역은 상기 데이터 스토리지 장치의 파티션을 포함한다.
예시 20은 예시 18 또는 예시 19의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역은 상기 데이터 스토리지 장치의 파티션 테이블을 포함한다.
예시 21은 예시 18 내지 예시 20 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 결정하는 것은 상기 선택된 운영 시스템에 의해 소유되지 않은 상기 데이터 스토리지 장치의 영역을 식별하는 것을 포함한다.
예시 22는 예시 18 내지 예시 21 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 결정하는 것은 상기 컴퓨팅 장치의 미디어 액세스 정책의 함수로서 상기 영역을 결정하는 것을 포함한다.
예시 23은 예시 18 내지 예시 22 중 임의의 한 예시의 주제를 포함하되, 상기 컴퓨팅 장치의 미디어 액세스 정책의 함수로서 상기 영역을 결정하는 것은 상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 미디어 액세스 정책을 판독하는 것을 포함한다.
예시 24는 예시 18 내지 예시 23 중 임의의 한 예시의 주제를 포함하되, 상기 선택된 운영 시스템의 실행 동안에, 스토리지 동작 및 스토리지 어드레스를 특정하는 미디어 액세스 요청을 가로채고, 상기 선택된 운영 시스템의 신원을 결정하고, 상기 미디어 액세스 요청의 상기 스토리지 어드레스를 포함하는 상기 데이터 스토리지 장치의 제2 영역을 식별하며, 상기 데이터 스토리지 장치의 상기 제2 영역, 상기 선택된 운영 시스템의 상기 신원 및 상기 미디어 액세스 요청의 상기 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 제2 정책 시행 모듈을 더 포함한다.
예시 25는 다중 운영 시스템 환경에서 미디어 보호 정책 시행을 위한 방법을 포함하는데, 상기 방법은 컴퓨팅 장치에 의해, 상기 컴퓨팅 장치의 운영 시스템의 실행 동안에, 스토리지 동작 및 스토리지 어드레스를 특정하는 미디어 액세스 요청을 가로채는 단계와, 상기 컴퓨팅 장치에 의해, 상기 컴퓨팅 장치의 운영 시스템의 신원을 결정하는 단계와, 상기 컴퓨팅 장치에 의해, 상기 미디어 액세스 요청을 포함한 상기 컴퓨팅 장치의 데이터 스토리지 장치의 영역을 식별하는 단계와, 상기 컴퓨팅 장치에 의해, (ⅰ) 상기 데이터 스토리지 장치의 상기 식별된 영역, (ⅱ) 상기 운영 시스템의 상기 신원, (ⅲ) 상기 미디어 액세스 요청의 상기 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 단계를 포함한다.
예시 26은 예시 25의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 단계는 상기 데이터 스토리지 장치의 영역이 상기 운영 시스템에 의해 소유되는지 결정하는 단계와, 상기 영역이 상기 운영 시스템에 의해 소유됨을 결정하는 것에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 단계를 포함한다.
예시 27은 예시 25 및 예시 26 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 단계는 상기 영역이 상기 운영 시스템에 의해 소유되지 않음을 결정하는 것에 응답하여 상기 미디어 액세스 요청을 허용하지 않도록 결정하는 단계를 더 포함한다.
예시 28은 예시 25 내지 예시 27 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 단계는 상기 영역이 상기 운영 시스템에 의해 소유되지 않음을 결정하는 것에 응답하여 상기 컴퓨팅 장치의 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 단계를 더 포함한다.
예시 29는 예시 25 내지 예시 28 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 단계는 상기 컴퓨팅 장치의 펌웨어 환경을 이용하여 상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 상기 미디어 액세스 정책을 판독하는 단계를 포함한다.
예시 30은 예시 25 내지 예시 29 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 단계는 상기 데이터 스토리지 장치의 영역이 상기 운영 시스템 및 제2 운영 시스템에 의해 공유되는지 결정하는 단계―상기 제2 운영 시스템은 현재 실행중이지 않음―와, 상기 영역이 공유된다는 결정에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 단계를 포함한다.
예시 31은 예시 25 내지 예시 30 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 단계는 상기 미디어 액세스 요청의 상기 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 단계를 포함한다.
예시 32는 예시 25 내지 예시 31 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청의 상기 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 단계는 판독 동작을 포함하는 상기 미디어 액세스 요청에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 단계와, 기입 동작을 포함하는 상기 미디어 액세스 요청에 응답하여 상기 미디어 액세스 요청을 허용하지 않도록 결정하는 단계를 포함한다.
예시 33은 예시 25 내지 예시 32 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 단계는 상기 컴퓨팅 장치의 펌웨어 환경을 이용하여 상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 미디어 액세스 정책을 판독하는 단계를 포함한다.
예시 34는 예시 25 내지 예시 33 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 단계는 미디어 액세스 보호가 상기 미디어 액세스 정책의 함수로서 인에이블되는지 결정하는 단계와, 미디어 액세스 보호가 인에이블된다는 결정에 응답하여 상기 미디어 액세스를 허용할 것인지 결정하는 단계를 포함한다.
예시 35는 예시 25 내지 예시 34 중 임의의 한 예시의 주제를 포함하되, 상기 컴퓨팅 장치에 의해, 상기 컴퓨팅 장치의 제2 운영 시스템의 실행 동안에, 제2 스토리지 동작 및 제2 스토리지 어드레스를 특정하는 제2 미디어 액세스 요청을 가로채는 단계와, 상기 컴퓨팅 장치에 의해, 상기 제2 운영 시스템의 신원을 결정하는 단계와, 상기 컴퓨팅 장치에 의해, 상기 제2 미디어 액세스 요청의 상기 제2 스토리지 어드레스를 포함하는 상기 데이터 스토리지 장치의 제2 영역을 식별하는 단계와, 상기 데이터 스토리지 장치의 상기 제2 영역, 상기 제2 운영 시스템의 상기 신원 및 상기 제2 미디어 액세스 요청의 상기 제2 스토리지 동작의 함수로서 상기 제2 미디어 액세스 요청을 허용할 것인지 결정하는 단계를 더 포함한다.
예시 36은 예시 25 내지 예시 35 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 가로채는 단계는 상기 컴퓨팅 장치의 필터 드라이버를 이용하여 상기 미디어 액세스 요청을 가로채는 단계를 포함한다.
예시 37은 예시 25 내지 예시 36 중 임의의 한 예시의 주제를 포함하되, 상기 컴퓨팅 장치에 의해, 상기 미디어 액세스 요청을 허용하는 결정에 응답하여 상기 컴퓨팅 장치의 하위 레벨 드라이버로 상기 미디어 액세스 요청을 전달하는 단계를 포함한다.
예시 38은 예시 25 내지 예시 37 중 임의의 한 예시의 주제를 포함하되, 상기 컴퓨팅 장치에 의해, 상기 미디어 액세스 요청을 허용하지 않는 결정에 응답하여 상기 미디어 액세스 요청을 거절하는 단계를 더 포함한다.
예시 39는 예시 25 내지 예시 38 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 식별하는 단계는 상기 데이터 스토리지 장치의 파티션을 식별하는 단계를 포함한다.
예시 40은 예시 25 내지 예시 39 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 식별하는 단계는 상기 데이터 스토리지 장치의 파티션 테이블을 식별하는 단계를 포함한다.
예시 41은 예시 25 내지 예시 40 중 임의의 한 예시의 주제를 포함하되, 상기 방법은 상기 컴퓨팅 장치에 의해 상기 컴퓨팅 장치의 운영 시스템의 실행 이전에 펌웨어 실행 환경을 로딩하는 단계와, 상기 펌웨어 실행 환경을 갖는 상기 컴퓨팅 장치에 의해, 상기 컴퓨팅 장치에 설치된 복수의 운영 시스템으로부터 상기 운영 시스템을 선택하는 단계와, 상기 펌웨어 실행 환경을 갖는 상기 컴퓨팅 장치에 의해, 상기 선택된 운영 시스템에 기초하여, 보호될 상기 데이터 스토리지 장치의 제2 영역을 결정하는 단계와, 상기 펌웨어 실행 환경을 갖는 상기 컴퓨팅 장치에 의해, 상기 데이터 스토리지 장치의 제2 영역으로의 액세스를 차단하도록 상기 대이터 스토리지 장치를 구성하는 단계와, 상기 펌웨어 실행 환경을 갖는 상기 컴퓨팅 장치에 의해, 상기 데이터 스토리지 장치를 구성하는 것에 응답하여 상기 선택된 운영 시스템을 로딩하는 단계를 더 포함한다.
예시 42는 다중 운영 시스템 환경에서 미디어 보호 정책 시행을 위한 방법을 포함하는데, 상기 방법은 컴퓨팅 장치에 의해, 프리-운영-시스템 펌웨어 실행 환경(pre-operation-system firmware execution environment)을 로딩하는 단계와, 상기 펌웨어 실행 환경을 갖는 상기 컴퓨팅 장치에 의해, 상기 컴퓨팅 장치에 설치된 복수의 운영 시스템으로부터 운영 시스템을 선택하는 단계와, 상기 펌웨어 실행 환경을 갖는 상기 컴퓨팅 장치에 의해, 상기 선택된 운영 시스템에 기초하여, 보호될 데이터 스토리지 장치의 영역을 결정하는 단계와, 상기 펌웨어 실행 환경을 갖는 상기 컴퓨팅 장치에 의해, 상기 데이터 스토리지 장치의 영역으로의 액세스를 차단하도록 상기 데이터 스토리지 장치를 구성하는 단계와, 상기 펌웨어 실행 환경을 갖는 상기 컴퓨팅 장치에 의해, 상기 데이터 스토리지 장치를 구성하는 것에 응답하여 상기 선택된 운영 시스템을 로딩하는 단계를 포함한다.
예시 43은 예시 42의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 결정하는 단계는 상기 데이터 스토리지 장치의 파티션을 결정하는 단계를 포함한다.
예시 44는 예시 42 내지 예시 43 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 결정하는 단계는 상기 데이터 스토리지 장치의 파티션 테이블을 결정하는 단계를 포함한다.
예시 45는 예시 42 내지 예시 44 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 결정하는 단계는 상기 선택된 운영 시스템에 의해 소유되지 않은 상기 데이터 스토리지의 영역을 식별하는 단계를 포함한다.
예시 46은 예시 42 내지 예시 45 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 결정하는 단계는 상기 컴퓨팅 장치의 미디어 액세스 정책의 함수로서 상기 영역을 결정하는 단계를 포함한다.
예시 47은 예시 42 내지 예시 46 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 정책의 함수로서 상기 영역을 결정하는 단계는 상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 상기 미디어 액세스 정책을 판독하는 단계를 포함한다.
예시 48은 예시 42 내지 예시 47 중 임의의 한 예시의 주제를 포함하되, 상기 방법은 상기 컴퓨팅 장치에 의해, 상기 선택된 운영 시스템의 실행 동안에, 스토리지 동작 및 스토리지 어드레스를 특정하는 미디어 액세스 요청을 가로채는 단계와, 상기 컴퓨팅 장치에 의해, 상기 선택된 운영 시스템의 신원을 결정하는 단계와, 상기 컴퓨팅 장치에 의해, 상기 미디어 액세스 요청의 상기 스토리지 어드레스를 포함하는 상기 데이터 스토리지 장치의 제2 영역을 식별하는 단계와, 상기 컴퓨팅 장치에 의해, 상기 데이터 스토리지 장치의 상기 제2 영역, 상기 선택된 운영 시스템의 상기 신원 및 상기 미디어 액세스 요청의 상기 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 단계를 더 포함한다.
예시 49는 프로세서와, 상기 프로세서에 의해 실행될 때 컴퓨팅 장치로 하여금 예시 25 내지 예시 48 중 임의의 한 예시의 방법을 수행하게 하는 복수의 명령어가 저장되어 있는 메모리를 포함하는 컴퓨팅 장치를 포함한다.
예시 50은 컴퓨팅 장치에서 실행된 결과에 응답하여 예시 25 내지 예시 48 중 임의의 한 예시의 방법을 수행하는 복수의 명령어를 포함하는 하나 이상의 머신 판독 가능 저장 매체를 포함한다.
예시 51은 예시 25 내지 예시 48 중 임의의 한 예시의 방법을 수행하는 수단을 포함하는 컴퓨팅 장치를 포함한다.
예시 52는 다중 운영 시스템 환경에서 미디어 보호 정책 시행을 위한 컴퓨팅 장치를 포함하는데, 상기 컴퓨팅 장치는 상기 컴퓨팅 장치의 운영 시스템의 실행 동안에, 스토리지 동작 및 스토리지 어드레스를 특정하는 미디어 액세스 요청을 가로채는 수단과, 상기 컴퓨팅 장치의 운영 시스템의 신원을 결정하는 수단과, 상기 미디어 액세스 요청의 상기 스토리지 어드레스를 포함하는 상기 컴퓨팅 장치의 상기 데이터 스토리지 장치의 영역을 식별하는 수단과, (ⅰ) 상기 데이터 스토리지 장치의 상기 식별된 영역, (ⅱ) 상기 운영 시스템의 상기 신원, (ⅲ) 상기 미디어 액세스 요청의 상기 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 수단을 포함한다.
예시 53은 예시 52의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 수단은 상기 데이터 스토리지 장치의 영역이 상기 운영 시스템에 의해 소유되는지 결정하는 수단과, 상기 영역이 상기 운영 시스템에 의해 소유됨을 결정하는 것에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 수단을 포함한다.
예시 54는 예시 52 및 예시 53 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 수단은 상기 영역이 상기 운영 시스템에 의해 소유되지 않음을 결정하는 것에 응답하여 상기 미디어 액세스 요청을 허용하지 않도록 결정하는 수단을 더 포함한다.
예시 55는 예시 52 내지 예시 54 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 수단은 상기 영역이 상기 운영 시스템에 의해 소유되지 않음을 결정하는 것에 응답하여 상기 컴퓨팅 장치의 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 수단을 더 포함한다.
예시 56은 예시 52 내지 예시 55 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 수단은 상기 컴퓨팅 장치의 펌웨어 환경을 이용하여 상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 상기 미디어 액세스 정책을 판독하는 수단을 포함한다.
예시 57은 예시 52 내지 예시 56 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 수단은 상기 데이터 스토리지 장치의 영역이 상기 운영 시스템 및 제2 운영 시스템에 의해 공유되는지 결정하는 수단―상기 제2 운영 시스템은 현재 실행되지 않음―과, 상기 영역이 공유된다는 결정에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 수단을 포함한다.
예시 58은 예시 52 내지 예시 57 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 수단은 상기 미디어 액세스 요청의 상기 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 수단을 포함한다.
예시 59는 예시 52 내지 예시 58 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청의 상기 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 수단은 판독 동작을 포함하는 상기 미디어 액세스 요청에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 수단과, 기입 동작을 포함하는 상기 미디어 액세스 요청에 응답하여 상기 미디어 액세스 요청을 허용하지 않도록 결정하는 수단을 포함한다.
예시 60은 예시 52 내지 예시 59 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 수단은 상기 컴퓨팅 장치의 펌웨어 환경을 이용하여 상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 미디어 액세스 정책을 판독하는 수단을 포함한다.
예시 61은 예시 52 내지 예시 60 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용할 것인지 결정하는 수단은 미디어 액세스 보호가 상기 미디어 액세스 정책의 함수로서 인에이블되는지 결정하는 수단과, 미디어 액세스 보호가 인에이블된다는 결정에 응답하여 상기 미디어 액세스를 허용할 것인지 결정하는 수단을 포함한다.
예시 62는 예시 52 내지 예시 61 중 임의의 한 예시의 주제를 포함하되, 상기 컴퓨팅 장치의 제2 운영 시스템의 실행 동안에, 제2 스토리지 동작 및 제2 스토리지 어드레스를 특정하는 제2 미디어 액세스 요청을 가로채는 수단과, 상기 제2 운영 시스템의 신원을 결정하는 수단과, 상기 제2 미디어 액세스 요청의 상기 제2 스토리지 어드레스를 포함하는 상기 데이터 스토리지 장치의 제2 영역을 식별하는 수단과, 상기 데이터 스토리지 장치의 상기 제2 영역, 상기 제2 운영 시스템의 상기 신원 및 상기 제2 미디어 액세스 요청의 상기 제2 스토리지 동작의 함수로서 상기 제2 미디어 액세스 요청을 허용할 것인지 결정하는 수단을 더 포함한다.
예시 63은 예시 52 내지 예시 62 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 가로채는 수단은 상기 컴퓨팅 장치의 필터 드라이버를 이용하여 상기 미디어 액세스 요청을 가로채는 수단을 포함한다.
예시 64는 예시 52 내지 예시 63 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용하는 결정에 응답하여 상기 컴퓨팅 장치의 하위 레벨 드라이버로 상기 미디어 액세스 요청을 전달하는 수단을 더 포함한다.
예시 65는 예시 52 내지 예시 64 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 요청을 허용하지 않는 결정에 응답하여 상기 미디어 액세스 요청을 거절하는 수단을 더 포함한다.
예시 66은 예시 52 내지 예시 65 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 식별하는 수단은 상기 데이터 스토리지 장치의 파티션을 식별하는 수단을 포함한다.
예시 67은 예시 52 내지 예시 66 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 식별하는 수단은 상기 데이터 스토리지 장치의 파티션 테이블을 식별하는 수단을 포함한다.
예시 68은 예시 52 내지 예시 67 중 임의의 한 예시의 주제를 포함하되, 상기 컴퓨팅 장치의 운영 시스템의 실행 이전에 펌웨어 실행 환경을 로딩하는 수단과, 상기 펌웨어 실행 환경과 함께, 상기 컴퓨팅 장치에 설치된 복수의 운영 시스템으로부터 상기 운영 시스템을 선택하는 수단과, 상기 펌웨어 실행 환경과 함께, 상기 선택된 운영 시스템에 기초하여, 보호될 상기 데이터 스토리지 장치의 제2 영역을 결정하는 수단과, 상기 펌웨어 실행 환경과 함께, 상기 데이터 스토리지 장치의 제2 영역으로의 액세스를 차단하도록 상기 데이터 스토리지 장치를 구성하는 수단과, 상기 펌웨어 실행 환경과 함께, 상기 데이터 스토리지 장치를 구성하는 것에 응답하여 상기 선택된 운영 시스템을 로딩하는 수단을 더 포함한다.
예시 69는 다중 운영 시스템 환경에서 미디어 보호 정책 시행을 위한 컴퓨팅 장치를 포함하는데, 상기 컴퓨팅 장치는 프리-운영-시스템 펌웨어 실행 환경을 로딩하는 수단과, 상기 펌웨어 실행 환경과 함께, 상기 컴퓨팅 장치에 설치된 복수의 운영 시스템으로부터 운영 시스템을 선택하는 수단과, 상기 펌웨어 실행 환경과 함께, 상기 선택된 운영 시스템에 기초하여, 보호될 데이터 스토리지 장치의 영역을 결정하는 수단과, 상기 펌웨어 실행 환경과 함께, 상기 데이터 스토리지 장치의 영역으로의 액세스를 차단하도록 상기 데이터 스토리지 장치를 구성하는 수단과, 상기 펌웨어 실행 환경과 함께, 상기 데이터 스토리지 장치를 구성하는 것에 응답하여 상기 선택된 운영 시스템을 로딩하는 수단을 포함한다.
예시 70은 예시 69의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 결정하는 수단은 상기 데이터 스토리지 장치의 파티션을 결정하는 수단을 포함한다.
예시 71은 예시 69 내지 예시 70 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 결정하는 수단은 상기 데이터 스토리지 장치의 파티션 테이블을 결정하는 수단을 포함한다.
예시 72는 예시 69 내지 예시 71 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 결정하는 수단은 상기 선택된 운영 시스템에 의해 소유되지 않은 상기 데이터 스토리지의 영역을 식별하는 수단을 포함한다.
예시 73은 예시 69 내지 예시 72 중 임의의 한 예시의 주제를 포함하되, 상기 데이터 스토리지 장치의 영역을 결정하는 수단은 상기 컴퓨팅 장치의 미디어 액세스 정책의 함수로서 상기 영역을 결정하는 수단을 포함한다.
예시 74는 예시 69 내지 예시 73 중 임의의 한 예시의 주제를 포함하되, 상기 미디어 액세스 정책의 함수로서 상기 영역을 결정하는 수단은 상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 상기 미디어 액세스 정책을 판독하는 수단을 포함한다.
예시 75는 예시 69 내지 예시 74 중 임의의 한 예시의 주제를 포함하되, 상기 선택된 운영 시스템의 실행 동안에, 스토리지 동작 및 스토리지 어드레스를 특정하는 미디어 액세스 요청을 가로채는 수단과, 상기 선택된 운영 시스템의 신원을 결정하는 수단과, 상기 미디어 액세스 요청의 상기 스토리지 어드레스를 포함하는 상기 데이터 스토리지 장치의 제2 영역을 식별하는 수단과, 상기 데이터 스토리지 장치의 상기 제2 영역, 상기 선택된 운영 시스템의 상기 신원 및 상기 미디어 액세스 요청의 상기 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 결정하는 수단을 더 포함한다.

Claims (25)

  1. 다중-운영-시스템 환경(multiple-operating-system environment)에서 미디어 보호 정책 시행(media protection policy enforcement)을 위한 컴퓨팅 장치로서,
    복수의 영역을 포함하는 데이터 스토리지 장치(data storage device)와,
    정책 시행 모듈(policy enforcement module)을 포함하되,
    상기 정책 시행 모듈은
    상기 컴퓨팅 장치의 운영 시스템의 실행 동안에, 상기 데이터 스토리지 장치와 연관된 스토리지 어드레스 및 스토리지 동작을 특정하는 미디어 액세스 요청을 가로채고(intercept)―상기 스토리지 어드레스는 상기 데이터 스토리지 장치 내의 데이터 위치를 식별하고, 상기 운영 시스템은 상기 컴퓨팅 장치의 프로세서에 의해 실행됨―,
    상기 컴퓨팅 장치의 상기 운영 시스템의 신원(identity)을 결정하고,
    상기 미디어 액세스 요청의 상기 스토리지 어드레스에 의해 식별되는 상기 데이터 위치를 포함하는 상기 데이터 스토리지 장치의 영역을 식별하며,
    상기 컴퓨팅 장치의 상기 프로세서에 의해 실행되는 상기 운영 시스템에 의해, 상기 컴퓨팅 장치의 런타임 펌웨어 변수 인터페이스를 액세스하여 상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 미디어 액세스 정책(media access policy)을 판독―상기 런타임 펌웨어 변수 인터페이스는 상기 컴퓨팅 장치의 프리-부트 펌웨어 환경에 의해 설치되고, 상기 미디어 액세스 정책은 펌웨어 변수를 포함함―하고,
    상기 컴퓨팅 장치의 상기 프로세서에 의해 실행되는 상기 운영 시스템에 의해, 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정―상기 미디어 액세스 정책은, (ⅰ) 상기 데이터 스토리지 장치의 식별된 영역, (ⅱ) 상기 운영 시스템의 신원, 및 (ⅲ) 상기 미디어 액세스 요청의 스토리지 동작에 기초하여 액세스에 대한 규칙을 정의함―하는
    컴퓨팅 장치.
  2. 제1항에 있어서,
    상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것은
    상기 데이터 스토리지 장치의 영역이 상기 운영 시스템에 의해 소유되는지 여부를 결정하는 것과,
    상기 영역이 상기 운영 시스템에 의해 소유된다는 결정에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 것을 포함하는
    컴퓨팅 장치.
  3. 제2항에 있어서,
    상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것은
    상기 영역이 상기 운영 시스템에 의해 소유되지 않는다는 결정에 응답하여 상기 미디어 액세스 요청을 허용하지 않음을 결정하는 것을 더 포함하는
    컴퓨팅 장치.
  4. 제2항에 있어서,
    상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것은
    상기 영역이 상기 운영 시스템에 의해 소유되지 않는다는 결정에 응답하여 상기 컴퓨팅 장치의 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것을 더 포함하는
    컴퓨팅 장치.
  5. 제4항에 있어서,
    상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것은
    상기 데이터 스토리지 장치의 영역이 상기 운영 시스템 및 제2 운영 시스템에 의해 공유되는지 여부를 결정하는 것―상기 제2 운영 시스템은 상기 결정 동안 실행되지 않음―과,
    상기 영역이 공유된다는 결정에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 것을 포함하는
    컴퓨팅 장치.
  6. 제4항에 있어서,
    상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것은
    상기 미디어 액세스 요청의 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것을 포함하는
    컴퓨팅 장치.
  7. 제6항에 있어서,
    상기 미디어 액세스 요청의 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것은
    판독 동작을 포함하는 상기 미디어 액세스 요청에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 것과,
    기입 동작을 포함하는 상기 미디어 액세스 요청에 응답하여 상기 미디어 액세스 요청을 허용하지 않도록 결정하는 것을 포함하는
    컴퓨팅 장치.
  8. 제1항에 있어서,
    상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 상기 미디어 액세스 정책을 판독하는 것은
    상기 미디어 액세스 정책을 인증하는 것을 포함하는
    컴퓨팅 장치.
  9. 제1항에 있어서,
    제2 정책 시행 모듈을 더 포함하되, 상기 제2 정책 시행 모듈은
    상기 컴퓨팅 장치의 제2 운영 시스템의 실행 동안에, 제2 스토리지 동작 및 제2 스토리지 어드레스를 특정하는 제2 미디어 액세스 요청을 가로채고,
    상기 제2 운영 시스템의 신원을 결정하고,
    상기 제2 미디어 액세스 요청의 상기 제2 스토리지 어드레스를 포함하는 상기 데이터 스토리지 장치의 제2 영역을 식별하며,
    상기 데이터 스토리지 장치의 제2 영역, 상기 제2 운영 시스템의 신원 및 상기 제2 미디어 액세스 요청의 제2 스토리지 동작의 함수로서 상기 제2 미디어 액세스 요청을 허용할 것인지 여부를 결정하는
    컴퓨팅 장치.
  10. 제1항에 있어서,
    상기 컴퓨팅 장치의 상기 펌웨어 환경에 의해 설립된 부트 옵션 모듈(boot option module)―상기 부트 옵션 모듈은 상기 컴퓨팅 장치에 설치된 복수의 운영 시스템으로부터 상기 운영 시스템을 선택함―과,
    상기 펌웨어 환경에 의해 설립된 제2 정책 시행 모듈―상기 제2 정책 시행 모듈은 (ⅰ) 상기 선택된 운영 시스템에 기초하여, 보호될 상기 데이터 스토리지 장치의 제2 영역을 결정하고, (ⅱ) 상기 데이터 스토리지 장치의 제2 영역으로의 액세스를 차단하도록 상기 데이터 스토리지 장치를 구성함―을 더 포함하되,
    상기 부트 옵션 모듈은 또한 상기 데이터 스토리지 장치의 구성에 응답하여 상기 선택된 운영 시스템을 로딩하는
    컴퓨팅 장치.
  11. 복수의 명령어를 포함하는 하나 이상의 컴퓨터 판독 가능 저장 매체로서,
    상기 복수의 명령어는 실행되는 것에 응답하여 컴퓨팅 장치로 하여금,
    상기 컴퓨팅 장치의 운영 시스템의 실행 동안에, 상기 컴퓨팅 장치의 데이터 스토리지 장치와 연관된 스토리지 어드레스 및 스토리지 동작을 특정하는 미디어 액세스 요청을 가로채게 하고―상기 스토리지 어드레스는 상기 데이터 스토리지 장치 내의 데이터 위치를 식별하고, 상기 운영 시스템은 상기 컴퓨팅 장치의 프로세서에 의해 실행됨―,
    상기 컴퓨팅 장치의 상기 운영 시스템의 신원을 결정하게 하고,
    상기 미디어 액세스 요청의 스토리지 어드레스에 의해 식별되는 상기 데이터 위치를 포함하는 상기 컴퓨팅 장치의 데이터 스토리지 장치의 영역을 식별하게 하며,
    상기 컴퓨팅 장치의 상기 프로세서에 의해 실행되는 상기 운영 시스템에 의해, 상기 컴퓨팅 장치의 런타임 펌웨어 변수 인터페이스를 액세스하여 상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 미디어 액세스 정책(media access policy)을 판독―상기 런타임 펌웨어 변수 인터페이스는 상기 컴퓨팅 장치의 프리-부트 펌웨어 환경에 의해 설치되고, 상기 미디어 액세스 정책은 펌웨어 변수를 포함함―하게 하고,
    상기 컴퓨팅 장치의 상기 프로세서에 의해 실행되는 상기 운영 시스템에 의해, 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정―상기 미디어 액세스 정책은, (ⅰ) 상기 데이터 스토리지 장치의 식별된 영역, (ⅱ) 상기 운영 시스템의 신원, 및 (ⅲ) 상기 미디어 액세스 요청의 스토리지 동작에 기초하여 액세스에 대한 규칙을 정의함―하게 하는
    하나 이상의 컴퓨터 판독 가능 저장 매체.
  12. 제11항에 있어서,
    상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것은
    상기 데이터 스토리지 장치의 영역이 상기 운영 시스템에 의해 소유되는지 여부를 결정하는 것과,
    상기 영역이 상기 운영 시스템에 의해 소유된다는 결정에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 것과,
    상기 영역이 상기 운영 시스템에 의해 소유되지 않는다는 결정에 응답하여 상기 컴퓨팅 장치의 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것을 포함하는
    하나 이상의 컴퓨터 판독 가능 저장 매체.
  13. 제12항에 있어서,
    상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것은
    상기 미디어 액세스 요청의 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것을 포함하는
    하나 이상의 컴퓨터 판독 가능 저장 매체.
  14. 제11항에 있어서,
    상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 상기 미디어 액세스 정책을 판독하는 것은
    상기 미디어 액세스 정책을 인증하는 것을 포함하는
    하나 이상의 컴퓨터 판독 가능 저장 매체.
  15. 제11항에 있어서,
    실행되는 것에 응답하여 상기 컴퓨팅 장치로 하여금,
    상기 컴퓨팅 장치의 제2 운영 시스템의 실행 동안에, 제2 스토리지 동작 및 제2 스토리지 어드레스를 특정하는 제2 미디어 액세스 요청을 가로채게 하고,
    상기 제2 운영 시스템의 신원을 결정하게 하고,
    상기 제2 미디어 액세스 요청의 상기 제2 스토리지 어드레스를 포함하는 상기 데이터 스토리지 장치의 제2 영역을 식별하게 하며,
    상기 데이터 스토리지 장치의 제2 영역, 상기 제2 운영 시스템의 신원 및 상기 제2 미디어 액세스 요청의 제2 스토리지 동작의 함수로서 상기 제2 미디어 액세스 요청을 허용할 것인지 여부를 결정하게 하는
    복수의 명령어를 더 포함하는
    하나 이상의 컴퓨터 판독 가능 저장 매체.
  16. 제11항에 있어서,
    실행되는 것에 응답하여 상기 컴퓨팅 장치로 하여금,
    상기 컴퓨팅 장치의 상기 운영 시스템의 실행 이전에 펌웨어 실행 환경을 로딩하게 하고,
    상기 펌웨어 실행 환경을 통해, 상기 컴퓨팅 장치에 설치된 복수의 운영 시스템으로부터 운영 시스템을 선택하게 하고,
    상기 펌웨어 실행 환경을 통해, 상기 선택된 운영 시스템에 기초하여, 보호될 상기 데이터 스토리지 장치의 제2 영역을 결정하게 하고,
    상기 펌웨어 실행 환경을 통해, 상기 데이터 스토리지 장치의 제2 영역으로의 액세스를 차단하도록 상기 데이터 스토리지 장치를 구성하게 하며,
    상기 펌웨어 실행 환경을 통해, 상기 데이터 스토리지 장치를 구성하는 것에 응답하여 상기 선택된 운영 시스템을 로딩하게 하는
    복수의 명령어를 더 포함하는
    하나 이상의 컴퓨터 판독 가능 저장 매체.
  17. 다중-운영-시스템 환경에서 미디어 보호 정책 시행을 위한 방법으로서,
    컴퓨팅 장치의 운영 시스템의 실행 동안에 상기 컴퓨팅 장치에 의해, 상기 컴퓨팅 장치의 데이터 스토리지 장치와 연관된 스토리지 어드레스 및 스토리지 동작을 특정하는 미디어 액세스 요청을 가로채는 단계―상기 스토리지 어드레스는 상기 데이터 스토리지 장치 내의 데이터 위치를 식별하고, 상기 운영 시스템은 상기 컴퓨팅 장치의 프로세서에 의해 실행됨―와,
    상기 컴퓨팅 장치에 의해, 상기 컴퓨팅 장치의 상기 운영 시스템의 신원을 결정하는 단계와,
    상기 컴퓨팅 장치에 의해, 상기 미디어 액세스 요청의 스토리지 어드레스에 의해 식별되는 상기 데이터 위치를 포함하는 상기 컴퓨팅 장치의 데이터 스토리지 장치의 영역을 식별하는 단계와,
    상기 컴퓨팅 장치의 상기 프로세서에 의해 실행되는 상기 운영 시스템에 의해, 상기 컴퓨팅 장치의 런타임 펌웨어 변수 인터페이스를 액세스하여 상기 컴퓨팅 장치의 비휘발성 저장 장치로부터 미디어 액세스 정책(media access policy)을 판독하는 단계―상기 런타임 펌웨어 변수 인터페이스는 상기 컴퓨팅 장치의 프리-부트 펌웨어 환경에 의해 설치되고, 상기 미디어 액세스 정책은 펌웨어 변수를 포함함―와,
    상기 컴퓨팅 장치의 상기 프로세서에 의해 실행되는 상기 운영 시스템에 의해, 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 단계―상기 미디어 액세스 정책은, (ⅰ) 상기 데이터 스토리지 장치의 식별된 영역, (ⅱ) 상기 운영 시스템의 신원, 및 (ⅲ) 상기 미디어 액세스 요청의 스토리지 동작에 기초하여 액세스에 대한 규칙을 정의함―를 포함하는
    방법.
  18. 제17항에 있어서,
    상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 단계는
    상기 데이터 스토리지 장치의 영역이 상기 운영 시스템에 의해 소유되는지 여부를 결정하는 것과,
    상기 영역이 상기 운영 시스템에 의해 소유된다는 결정에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 것을 포함하는
    방법.
  19. 제18항에 있어서,
    상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 단계는
    상기 영역이 상기 운영 시스템에 의해 소유되지 않는다는 결정에 응답하여 상기 미디어 액세스 요청을 허용하지 않음을 결정하는 것을 더 포함하는
    방법.
  20. 제18항에 있어서,
    상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 단계는
    상기 영역이 상기 운영 시스템에 의해 소유되지 않는다는 결정에 응답하여 상기 컴퓨팅 장치의 상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것을 더 포함하는
    방법.
  21. 제20항에 있어서,
    상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것은
    상기 데이터 스토리지 장치의 영역이 상기 운영 시스템 및 제2 운영 시스템에 의해 공유되는지 여부를 결정하는 것―상기 제2 운영 시스템은 현재 실행되고 있지 않음―과,
    상기 영역이 공유된다는 결정에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 것을 포함하는
    방법.
  22. 제20항에 있어서,
    상기 미디어 액세스 정책의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것은
    상기 미디어 액세스 요청의 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것을 포함하는
    방법.
  23. 제22항에 있어서,
    상기 미디어 액세스 요청의 스토리지 동작의 함수로서 상기 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 것은
    판독 동작을 포함하는 상기 미디어 액세스 요청에 응답하여 상기 미디어 액세스 요청을 허용하도록 결정하는 것과,
    기입 동작을 포함하는 상기 미디어 액세스 요청에 응답하여 상기 미디어 액세스 요청을 허용하지 않도록 결정하는 것을 포함하는
    방법.
  24. 제17항에 있어서,
    상기 컴퓨팅 장치의 제2 운영 시스템의 실행 동안에 상기 컴퓨팅 장치에 의해, 제2 스토리지 동작 및 제2 스토리지 어드레스를 특정하는 제2 미디어 액세스 요청을 가로채는 단계와,
    상기 컴퓨팅 장치에 의해, 상기 제2 운영 시스템의 신원을 결정하는 단계와,
    상기 컴퓨팅 장치에 의해, 상기 제2 미디어 액세스 요청의 상기 제2 스토리지 어드레스를 포함하는 상기 데이터 스토리지 장치의 제2 영역을 식별하는 단계와,
    상기 컴퓨팅 장치에 의해, 상기 데이터 스토리지 장치의 제2 영역, 상기 제2 운영 시스템의 신원 및 상기 제2 미디어 액세스 요청의 제2 스토리지 동작의 함수로서 상기 제2 미디어 액세스 요청을 허용할 것인지 여부를 결정하는 단계를 더 포함하는
    방법.
  25. 제17항에 있어서,
    상기 컴퓨팅 장치에 의해, 상기 컴퓨팅 장치의 상기 운영 시스템의 실행 이전에 펌웨어 실행 환경을 로딩하는 단계와,
    상기 펌웨어 실행 환경을 통해 상기 컴퓨팅 장치에 의해, 상기 컴퓨팅 장치에 설치된 복수의 운영 시스템으로부터 운영 시스템을 선택하는 단계와,
    상기 펌웨어 실행 환경을 통해 상기 컴퓨팅 장치에 의해, 상기 선택된 운영 시스템에 기초하여, 보호될 상기 데이터 스토리지 장치의 제2 영역을 결정하는 단계와,
    상기 펌웨어 실행 환경을 통해 상기 컴퓨팅 장치에 의해, 상기 데이터 스토리지 장치의 제2 영역으로의 액세스를 차단하도록 상기 데이터 스토리지 장치를 구성하는 단계와,
    상기 펌웨어 실행 환경을 통해 상기 컴퓨팅 장치에 의해, 상기 데이터 스토리지 장치를 구성하는 것에 응답하여 상기 선택된 운영 시스템을 로딩하는 단계를 더 포함하는
    방법.
KR1020167018032A 2014-02-06 2015-01-30 다중 운영 시스템 환경을 위한 미디어 보호 정책 시행 KR101802800B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201461936614P 2014-02-06 2014-02-06
US61/936,614 2014-02-06
US14/298,312 2014-06-06
US14/298,312 US10049216B2 (en) 2014-02-06 2014-06-06 Media protection policy enforcement for multiple-operating-system environments
PCT/US2015/013786 WO2015119855A1 (en) 2014-02-06 2015-01-30 Media protection policy enforcement for multiple-operating-system environments

Publications (2)

Publication Number Publication Date
KR20160094440A KR20160094440A (ko) 2016-08-09
KR101802800B1 true KR101802800B1 (ko) 2017-11-29

Family

ID=53755077

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167018032A KR101802800B1 (ko) 2014-02-06 2015-01-30 다중 운영 시스템 환경을 위한 미디어 보호 정책 시행

Country Status (6)

Country Link
US (2) US10049216B2 (ko)
EP (1) EP3103053A4 (ko)
KR (1) KR101802800B1 (ko)
CN (2) CN105900105B (ko)
TW (1) TWI601070B (ko)
WO (1) WO2015119855A1 (ko)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10956585B2 (en) * 2018-05-28 2021-03-23 Royal Bank Of Canada System and method for secure electronic transaction platform
KR101532873B1 (ko) * 2014-04-11 2015-06-30 플러스기술주식회사 스마트 폰의 듀얼 운영체제를 실행하는 방법
US9582393B2 (en) * 2014-06-20 2017-02-28 Dell Products, Lp Method to facilitate rapid deployment and rapid redeployment of an information handling system
US10530576B2 (en) * 2015-02-13 2020-01-07 Insyde Software Corp. System and method for computing device with improved firmware service security using credential-derived encryption key
US20160283338A1 (en) * 2015-03-27 2016-09-29 Intel Corporation Boot operations in memory devices
US9953191B2 (en) * 2015-07-30 2018-04-24 Dell Products L.P. Event-based display information protection system
US9930051B1 (en) * 2015-11-06 2018-03-27 Amazon Technologies, Inc. Remote management of hardware hosts in cloud infrastructure
US9971532B2 (en) * 2016-02-24 2018-05-15 Dell Products L.P. GUID partition table based hidden data store system
KR102494241B1 (ko) * 2016-08-18 2023-02-03 에스케이하이닉스 주식회사 메모리 시스템 및 그의 동작 방법
CN106778193B (zh) * 2016-11-14 2023-02-03 北京握奇智能科技有限公司 一种客户端和ui交互方法
US10515226B2 (en) * 2016-11-21 2019-12-24 Dell Products, L.P. Systems and methods for protected local backup
US10657245B2 (en) * 2017-03-14 2020-05-19 Wyse Technology L.L.C. Dynamically controlling access to devices
US11068614B2 (en) * 2018-08-30 2021-07-20 Dell Products, L.P. System-level data security based on environmental properties
TWI688861B (zh) * 2018-09-18 2020-03-21 新唐科技股份有限公司 資料處理裝置及其資料保護方法
US11151255B2 (en) * 2018-10-26 2021-10-19 Dell Products L.P. Method to securely allow a customer to install and boot their own firmware, without compromising secure boot
CN112825098A (zh) * 2019-11-21 2021-05-21 杭州海康威视数字技术股份有限公司 数据保护方法、装置、计算设备及存储介质
CN112799878A (zh) * 2021-01-15 2021-05-14 西安广和通无线软件有限公司 通信数据配置方法、装置、计算机设备和存储介质
CN115587348B (zh) * 2022-11-24 2023-04-07 中国人民解放军国防科技大学 Pcie设备访存的可配置安全控制方法、装置及介质
US11983541B1 (en) * 2023-05-19 2024-05-14 Lowe's Companies, Inc. Operation-specific device configuration

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120191960A1 (en) * 2011-01-20 2012-07-26 Mark Piwonka Booting computing devices
US20120198193A1 (en) * 2003-12-24 2012-08-02 Mark Doran Method to qualify access to a block storage device via augmentation of the device's controller and firmware flow

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6314501B1 (en) 1998-07-23 2001-11-06 Unisys Corporation Computer system and method for operating multiple operating systems in different partitions of the computer system and for allowing the different partitions to communicate with one another through shared memory
US6401183B1 (en) 1999-04-01 2002-06-04 Flash Vos, Inc. System and method for operating system independent storage management
WO2000070466A1 (fr) * 1999-05-17 2000-11-23 Technowave, Ltd. Procede d'acces a un dispositif e/s et une memoire utilisant une adresse virtuelle et support enregistre comportant un programme destine a executer le procede d'acces a un dispositif e/o et une memoire utilisant une adresse virtuelle
US6725317B1 (en) * 2000-04-29 2004-04-20 Hewlett-Packard Development Company, L.P. System and method for managing a computer system having a plurality of partitions
US6751679B1 (en) 2000-11-16 2004-06-15 International Business Machines Corporation Means of control bit protection in a logical partition environment
US20020129274A1 (en) 2001-03-08 2002-09-12 International Business Machines Corporation Inter-partition message passing method, system and program product for a security server in a partitioned processing environment
US7024555B2 (en) * 2001-11-01 2006-04-04 Intel Corporation Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment
JP2003271429A (ja) * 2002-03-15 2003-09-26 Hitachi Ltd 記憶装置資源管理方法、記憶資源管理プログラム、該プログラムを記録した記録媒体、及び記憶資源管理装置
JP3866597B2 (ja) * 2002-03-20 2007-01-10 株式会社東芝 内部メモリ型耐タンパプロセッサおよび秘密保護方法
GB0226875D0 (en) * 2002-11-18 2002-12-24 Advanced Risc Mach Ltd Control of access to a memory by a device
AU2003901454A0 (en) * 2003-03-28 2003-04-10 Secure Systems Limited Security system and method for computer operating systems
US7478141B2 (en) * 2003-06-26 2009-01-13 Intel Corporation Accessing firmware of a remote computer system using a remote firmware interface
US7693838B2 (en) * 2005-11-12 2010-04-06 Intel Corporation Method and apparatus for securely accessing data
US7610464B2 (en) * 2006-02-22 2009-10-27 Sony Computer Entertainment Inc. Methods and apparatus for providing independent logical address space and access management
US20080140946A1 (en) * 2006-12-11 2008-06-12 Mark Charles Davis Apparatus, system, and method for protecting hard disk data in multiple operating system environments
CN100524241C (zh) * 2006-12-14 2009-08-05 英业达股份有限公司 多操作系统平台整合测试方法
KR101489158B1 (ko) 2008-05-21 2015-02-06 삼성전자 주식회사 마스터 부트 레코드가 저장되어 있는 저장매체, 이를포함하는 컴퓨터 시스템 및 그 부팅방법
CN101615123A (zh) * 2008-06-26 2009-12-30 比亚迪股份有限公司 一种移动终端操作系统的引导方法及移动终端
US20090327741A1 (en) * 2008-06-30 2009-12-31 Zimmer Vincent J System and method to secure boot uefi firmware and uefi-aware operating systems on a mobile internet device (mid)
US8726364B2 (en) 2008-06-30 2014-05-13 Intel Corporation Authentication and access protection of computer boot modules in run-time environments
CN101667144B (zh) * 2009-09-29 2013-02-13 北京航空航天大学 一种基于共享内存的虚拟机通信方法
US8689349B2 (en) * 2010-05-05 2014-04-01 Intel Corporation Information flow tracking and protection
US20120185911A1 (en) * 2010-09-30 2012-07-19 Khandys Polite Mlweb: a multilevel web application framework
US8607054B2 (en) * 2010-10-15 2013-12-10 Microsoft Corporation Remote access to hosted virtual machines by enterprise users
US9256745B2 (en) * 2011-03-01 2016-02-09 Microsoft Technology Licensing, Llc Protecting operating system configuration values using a policy identifying operating system configuration settings
US9256552B2 (en) * 2011-11-21 2016-02-09 Cisco Technology, Inc. Selective access to executable memory
US8826391B2 (en) * 2012-07-02 2014-09-02 Freescale Semiconductor, Inc. Virtualized trusted descriptors
CN103268438B (zh) * 2013-02-04 2016-01-06 华为技术有限公司 基于调用链的Android权限管理方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120198193A1 (en) * 2003-12-24 2012-08-02 Mark Doran Method to qualify access to a block storage device via augmentation of the device's controller and firmware flow
US20120191960A1 (en) * 2011-01-20 2012-07-26 Mark Piwonka Booting computing devices

Also Published As

Publication number Publication date
CN105900105A (zh) 2016-08-24
US10049216B2 (en) 2018-08-14
US10025934B2 (en) 2018-07-17
US20170329970A1 (en) 2017-11-16
TW201535258A (zh) 2015-09-16
KR20160094440A (ko) 2016-08-09
CN111367574A (zh) 2020-07-03
CN105900105B (zh) 2020-04-21
US20150220737A1 (en) 2015-08-06
CN111367574B (zh) 2023-09-12
TWI601070B (zh) 2017-10-01
EP3103053A4 (en) 2017-07-05
WO2015119855A1 (en) 2015-08-13
EP3103053A1 (en) 2016-12-14

Similar Documents

Publication Publication Date Title
KR101802800B1 (ko) 다중 운영 시스템 환경을 위한 미디어 보호 정책 시행
US8533845B2 (en) Method and apparatus for controlling operating system access to configuration settings
US9430250B2 (en) Bootability with multiple logical unit numbers
US8949565B2 (en) Virtual and hidden service partition and dynamic enhanced third party data store
US8909940B2 (en) Extensible pre-boot authentication
JP2004531004A (ja) コンピュータのためのセキュリティシステムおよび方法
US10210326B2 (en) USB stack isolation for enhanced security
CN107567629B (zh) 在可信执行环境容器中的动态固件模块加载器
US9830457B2 (en) Unified extensible firmware interface (UEFI) credential-based access of hardware resources
US9417886B2 (en) System and method for dynamically changing system behavior by modifying boot configuration data and registry entries
US20130346738A1 (en) Information processing apparatus and control method for information processing apparatus
US11900128B2 (en) Modularized basic input output system (BIOS) firmware activation
US11861011B2 (en) Secure boot process
US20230342472A1 (en) Computer System, Trusted Function Component, and Running Method
US11989305B2 (en) Automated update of a customized secure boot policy
US20210365561A1 (en) Overriding sub-system identifiers with protected variable values
US20240078129A1 (en) Execution of bios components with virtual machines
US12001827B2 (en) System and method for system-wide firmware downgrade control
US20240028734A1 (en) Automated update of a customized secure boot policy
US20220027138A1 (en) System and method for system-wide firmware downgrade control
JP2013178697A (ja) 計算機、計算機システムおよび計算機システムの起動方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant