KR20040022439A - 컴퓨터용 보안 시스템 및 그 방법 - Google Patents

컴퓨터용 보안 시스템 및 그 방법 Download PDF

Info

Publication number
KR20040022439A
KR20040022439A KR10-2003-7017166A KR20037017166A KR20040022439A KR 20040022439 A KR20040022439 A KR 20040022439A KR 20037017166 A KR20037017166 A KR 20037017166A KR 20040022439 A KR20040022439 A KR 20040022439A
Authority
KR
South Korea
Prior art keywords
computer
user
data
storage
host cpu
Prior art date
Application number
KR10-2003-7017166A
Other languages
English (en)
Other versions
KR100880185B1 (ko
Inventor
마이클 알프레드 헌
리챠드 캐브진스키
Original Assignee
시큐어 시스템스 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from AUPR6028A external-priority patent/AUPR602801A0/en
Priority claimed from AUPR6026A external-priority patent/AUPR602601A0/en
Priority claimed from AUPR6027A external-priority patent/AUPR602701A0/en
Application filed by 시큐어 시스템스 리미티드 filed Critical 시큐어 시스템스 리미티드
Publication of KR20040022439A publication Critical patent/KR20040022439A/ko
Application granted granted Critical
Publication of KR100880185B1 publication Critical patent/KR100880185B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 호스트 CPU(13)와 저장장치(21) 간의 접속(access)을 제어하기 위한, 호스트 CPU(13)에 독립적인 프로세서(37)를 포함하는 컴퓨터 보안장치(35)에 관한 것이다. 컴퓨터 메모리와 저장장치(21)에 독립적인 하나의 프로그램 메모리(41)는 저장장치(21)에 대한 액세스를 제어하도록 하는 방식으로 상기 프로세서(37)를 작동하기 위한 컴퓨터 프로그램들을 영구적으로 저장하고 제공한다. 상기한 보안장치(35)는 단지 호스트 CPU(13)와 저장장치(21) 간의 데이터 액세스 채널(33)과 일치하도록 그리고 상기 호스트 CPU(13)의 제어 버스(15)와 메인 데이터를 벗어나도록 접속된다. 데이터 저장장치(21)에 대한 호스트 CPU(13)에 의한 모든 데이터 액세스는 보안장치(35)의 초기화 이전에는 봉쇄되고 상기 프로세서(37)의 제어 하에서의 초기화(initialization) 동작 후에 즉시 인터셉트(intercept)된다. 프로세서(35)는 호스트 CPU(13)의 독립적인 제어와 컴퓨터(11)의 구성에 영향을 미쳐서 차단동작 중 저장장치(21)에 대한 비인가 액세스를 방지하도록 한다. 모든 컴퓨터 사용자들은 저장장치(21)에 대한 소정의 액세스 프로필로써 본인임이 확인되는데 그 컴퓨터(11)의 사용자가 본인임이 올바르게 증명될 때까지 상기 저장장치에 대한 데이터의 액세스는 봉쇄된 상태로 유지된다.

Description

컴퓨터용 보안 시스템 및 그 방법{SECURITY SYSTEM AND METHOD FOR COMPUTERS}
컴퓨터가 광범위하게 사용되고 있는 오늘날 컴퓨터 시스템에 저장된 데이터는 다양한 사용자들에게 더욱 접근가능하게 되고 있는 것이 현실이다. 이것은 직접적으로는 상이한 사용자들에 의한 컴퓨터 시스템의 로컬 및/또는 원격(remote) 사용을 통해 실시간으로 또는, 간접적으로는 소정의 시간대에서 컴퓨터 프로그램의 로딩 및 작동을 통해 컴퓨터 시스템의 사용자에 의해 자동 또는 수동으로 발생된다. 근거리 통신망(LAN) 및 인터넷과 같은 광역 통신망(Wide Area Networks)을 통해 컴퓨터 시스템에 대한 원격 접속을 가능하게 하는 컴퓨터 네트워크 시대의 도래와 함께, 그리고 플로피 디스크 및 CD 롬(ROM) 등을 통한 수동적인 또는 컴퓨터 네트워크들을 통한 자동적인 컴퓨터 시스템 간의 컴퓨터 프로그램 및 데이터들의 편리한 전송기능의 도래와 함께 컴퓨터의 리드/라이트 저장매체에 저장되는 데이터 및 정보의 보안성 내지는 보전성이 점점 더 중요한 문제가 되고 있는 실정이다.
근래에는 적대적인 컴퓨터 소프트웨어로부터 저장장치에 저장된 데이터 및 정보를 보호하기 위해서 "바이러스 치료용(anti-virus)" 소프트웨어를 통합하거나 사용자의 상태에 따라서 컴퓨터 시스템의 저장장치에 저장된 데이터 및 정보에 대한 지정된 접속(access) 레벨을 부여하는 사용자 신분확인 절차를 수반하는 것이 컴퓨터 시스템에 있어서 통상적이다.
근자에 사용되고 있는 대부분의 바이러스 치료 소프트웨어 및 사용자 신분확인 프로토콜들에 있어서의 문제는 이들이 소프트웨어에 내장되어 있어서 컴퓨터의 오퍼레이팅 시스템의 제어하에 수행되는 것이 요구된다는 사실이다. 그러므로 그러한 바이러스 치료용 소프트웨어 및 사용자 신분확인 소프트웨어가 정확하게 작동하도록 하기 위한 사전조건은 컴퓨터 시스템이 전원이 "온(on)" 되어 초기시동(boot-up) 되는 동안에 컴퓨터 시스템에 영향을 주는 어떠한 바이러스나 보안에 문제를야기함이 없이 그의 오퍼레이팅 시스템이 "완전하게" 구동될 수 있어야만 한다는 점이다.
바이러스 치료 소프트웨어의 경우에는 그들의 대부분은 그로부터 컴퓨터 시스템을 안전하게 보호하고자 하는 바이러스에 관한 지식 또는 그의 종류 등에 대한 정보를 갖는 것에 의존한다. 그러므로 전술한 바이러스 치료용 소프트웨어는 특정한 어느 바이러스가 컴퓨터 시스템에 침투하기 전에 해당 컴퓨터 시스템에 대하여 계속적으로 업데이트 되어 그에 입력될 필요가 있다.
어떠한 바이러스는 컴퓨터 시스템에 극도로 적대적이거나 파괴적일 수가 있기 때문에 어느 바이러스의 최초의 발생으로부터 그것에 대항하기 위한 소프트웨어의 생산 시기까지에는 일종의 지연기간이 있게 되어 하나의 과도기(window)를 만들게 되고 그 기간 내에서는 상기한 바이러스가 감염된 어떠한 컴퓨터 시스템에는 종종 치유가 불가능한 손상이 발생할 수도 있다. 이에 따라서 바이러스와 바이러스 치료 소프트웨어의 제조는 숙명적으로 영속적인 문제로 되는 경향이 있다. 그리하여 그러한 바이러스에 대항하여 정보와 데이터의 보안성을 보장하는 더 양호한 해결수단들이 종래에 많이 제안되어 왔지만 현재까지의 통상적인 기술은 상기한 문제를 해결하기 위해 소프트웨어적 접근방법을 채택하는 수준에 머물러 왔던 것이다.
그럼에도 불구하고 컴퓨터 시스템에 저장된 데이터에 대한 비인가 접속 또는 바이러스를 예방함에 있어서 본질적으로 더 신뢰성이 있고 탄력적인 다양한 하드웨어적인(hardware-based) 해결수단이 과거에 제안되기도 하였다. 그러나 이들은 적용하기에 불편하거나, 그들의 적응성에 있어서 상이한 그리고 변경된 형식상 표준에는 부적합한 제약이 존재하거나 또는 그들이 효과적으로 또는 정상적으로 동작되게 하기 위해서는 실행가능한 프로그램들의 단순한 로딩차원을 상당히 넘어선 기술적인 성격의 사용자에 의한 상호작용을 필요로 하였다.
본 발명은 컴퓨터 시스템에서 데이터 및 정보를 안전하게 저장하기 위한 보안 시스템 및 그 보안 방법에 관한 것이다.
본 명세서에 관련하여 컴퓨터 시스템이라는 용어는 중앙처리장치(CPU) 및 저장장치를 구비하는 컴퓨터와, 클라이언트-서버 시스템에서와 마찬가지로 하나 또는 다수의 그러한 컴퓨터들을 통합하기 위한 네트워크를 포함하는 것으로 정의되며, 여기서 상기한 저장장치는 하드 디스크, CD R/W 또는 독출/기록 가능한 데이터 저장매체 또는 그러한 것들의 소정의 조합일 수도 있다.
또한 명세서 전체에 걸쳐서, 문장 전후관계에 있어 특히 다르게 요구되지 않는다면, "포함(comprise)"이라는 용어 또는 "포함하는(comprising), 포함하여"등과 같은 변형된 용어들은 거기에 기술된 구성요소 또는 일군의 구성요소들을 포함함을 의미하지만 다른 어떠한 구성요소 또는 일군의 구성요소들을 배제하는 것은 아니라는 것으로 이해되어야 할 것이다.
도 1은 호스트 CPU, 메인 버스, 인터페이스 논리부 및 여러 가지의 주변장치들에 대한 보안장치의 물리적인 위치를 도시하는 전형적인 컴퓨터 시스템의 개략적인 블록 다이어그램;
도 2는 보안장치의 일반적인 기능적 구성을 나타내는 개략적인 블록도;
도 3은 보안장치가 장착되지 않은 정상적인 컴퓨터의 시동(start-up) 시퀀스를 도시하는 흐름도;
도 4a 및 4b는 본 발명의 보안장치가 장착된 컴퓨터 시스템의 시동 시퀀스를 도시하는 흐름도;
도 5는 전원을 켠 시점에서부터의 보안장치의 여러 가지의 동작상태를 나타내는 흐름도;
도 6은 신분확인(authentication) 응용 프로그램에 의해 수행된 여러 과정들을 도시하는 흐름도;
도 7a는 일반적인 형태의 로그인(login) 그래픽 유저 인터페이스(GUI) 스크린의 그래픽 상의 세부 포맷을 도시하는 도면;
도 7b는 정상 사용자 형태의 로그인 그래픽 유저 인터페이스(GUI) 스크린의 그래픽 상의 세부 포맷을 도시하는 도면;
도 7c는 관리자 형태의 로그인 그래픽 유저 인터페이스(GUI) 스크린의 그래픽 상의 세부 포맷을 도시하는 도면;
도 7d는 관리자의 사용자 편집 형태의 그래픽 유저 인터페이스(GUI) 스크린의 그래픽 상의 세부 포맷을 도시하는 도면; 그리고
도 7e는 관리자의 접속 편집 형태의 그래픽 유저 인터페이스(GUI) 스크린의 그래픽 상의 세부 포맷을 도시하는 도면이다.
따라서 본 발명의 목적은 컴퓨터 시스템에 저장된 데이터 및 정보에 대한 인가되지 않은 접속 및/또는 오용을 더 강력하게 방지하기 위한 보안 시스템을 제공함에 있다.
본 발명의 제1측면에 따르면, 호스트 중앙처리장치(CPU)와, 컴퓨터를 작동하기 위하여 프로그램을 로딩하는 상기 호스트 CPU에 의해 사용되는 메모리와, 컴퓨터에 의해 취급되는 데이터를 저장하기 위한 저장장치를 구비한 컴퓨터를 위한 보안장치가 제공되는 바, 상기 보안장치는:
호스트 CPU와 저장장치 간의 접속을 제어하기 위한 상기 호스트 CPU와는 독립적으로 구성된 처리수단; 그리고
컴퓨터 프로그램들을 영구적으로 저장하고 제공하는 저장장치와 컴퓨터의 메모리와는 독립적으로 구성되어 상기한 접속을 제어하기 위한 소정의 방식으로 상기 처리수단을 동작시키기 위한 프로그램 메모리 수단을 포함하여 이루어지고;
상기 보안장치는 호스트 CPU와 저장장치 간의 데이터 접속 채널과 단지 정합되도록 연결됨과 아울러 상기 호스트 CPU의 메인 데이터와 제어 버스와 분리되게 연결구성함을 특징으로 한다.
바람직하게는, 상기 보안장치는 저장장치에 대한 접속과 컴퓨터의 기본적인동작과 관련되는 제어요소들과 결정 데이터(critical data)를 저장하는 컴퓨터의 저장장치 및 메모리 수단과는 독립적인 메모리 저장 수단을 포함한다.
바람직하게는, 상기 결정 데이터 및 제어요소들은 호스트 CPU에 공급되어 컴퓨터의 시동(start-up) 시퀀스 동안 저장장치와는 별개로 저장장치의 검증과 해당 컴퓨터의 작동을 위해 상기 호스트 CPU에 의해 사용된다.
바람직하게는, 상기 보안장치는 저장장치에 대한 미리 규정된 소정의 접속프로필을 갖는 해당 컴퓨터 사용자의 신분을 확인하기 위한 확인(authentication)수단을 포함한다.
바람직하게는, 상기 확인수단은 컴퓨터의 시동 시퀀스가 더 진행되기 이전에 컴퓨터의 사용자가 로그인(login) 사용자 ID와 패스워드(password)를 입력하여 그 사용자 ID와 패스워드가 해당 저장장치에 대한 규정된 접속 프로필을 갖는 인가된 컴퓨터 사용자에 해당하는지의 여부를 확인하도록 검증되게 해주는 로그인 검증수단을 포함한다.
바람직하게는, 인가된 사용자의 상기 로그인 사용자 ID와 패스워드 및 규정된 접속 프로필은 상기한 결정 데이터 및 제어요소들의 일부를 구성하고 또한 상기 로그인 검증수단은 사용자의 신분확인을 수행하기 위하여 상기 결정 데이터 및 제어요소들을 접속하도록 구성된다.
바람직하게는, 상기한 규정된 접속 프로필은 저장장치의 소정의 구획 또는 영역들에 대하여 그 컴퓨터의 인가된 사용자에게 허용된 소정의 접속 수준에 대한 미리 정의된 할당정보를 포함한다.
바람직하게는, 상기 보안장치는 그 장치의 초기화 이전에 데이터 저장장치에 대한 호스트 CPU에 의한 모든 데이터 접속을 차단함과 아울러 상기 처리수단의 제어 하에 상기 초기화 바로 후에는 상기한 모든 데이터 접속을 인터셉트하기 위한 인터셉팅 수단을 포함한다.
바람직하게는, 상기 결정 데이터 및 제어요소들은 컴퓨터가 상기한 시동 시퀀스 동안 주변장치들에 대한 점검을 완료함을 가능하게 해주는 상기 저장장치에 관하여 식별(ID) 데이터를 포함한다.
바람직하게는, 상기 결정 데이터 및 제어요소들은 상기한 시동 시퀀스 동안 컴퓨터의 동작을 진행하기 위하여 상기 확인수단을 구동하는 것을 수반하는 커스텀 부트(custom boot) 섹터를 포함한다.
바람직하게는, 상기 확인수단은 프로그램 메모리 수단, 메모리 저장 수단 또는 저장장치에 저장된 확인 응용 프로그램을 포함한다.
바람직하게는, 상기 확인 응용 프로그램은 특정한 규정된 접속 레벨을 갖는 인가된 사용자가 저장장치에 접속하기 위한 인가된 사용자들을 생성하고 편집하는 것을 가능하게 하기 위한 사용자 편집 수단을 포함한다.
바람직하게는, 상기 확인 응용 프로그램은 특정한 규정된 접속 레벨을 갖는 상기 인가된 사용자가 저장장치에 대한 접속이 허용된 모든 인가된 사용자들에 대하여 상기 규정된 구획(partition) 또는 영역(zone)들에 대한 특정한 규정된 접속 수준을 할당하고 편집하는 것을 가능하게 하는 접속 프로필 편집수단을 포함한다.
본 발명의 또 다른 측면에 따르면, 호스트 중앙처리장치(CPU)와, 컴퓨터 및저장장치를 작동하기 위하여 프로그램을 로딩하기 위한 상기 호스트 CPU에 의해 사용되는 메모리를 구비한 컴퓨터에 의해서 처리되는 데이터를 저장하기 위한 저장장치에 대한 인가되지 않은 사용자의 사용으로부터 안전하게 보호 및 보안하기 위한 방법에 있어서, 상기 방법은:
상기 호스트 CPU와 그 호스트 CPU로부터 독립적인 저장장치 간의 접속을 제어하는 과정; 그리고
상기 메모리로부터 분리되어 상기 호스트 CPU에 의한 어드레스가 불가능한 위치에서 상기 접속 제어를 수행하기 위한 영구적 저장이 가능한 컴퓨터 프로그램들을 포함하여 이루어진다.
바람직하게는, 상기 방법은 상기 메모리와 상기 저장장치로부터 분리되어 상기 호스트 CPU에 의한 어드레스가 불가능한 위치에서 상기 저장장치에 대한 접속과 컴퓨터의 기본적인 동작과 관련되는 제어요소들과 결정 데이터를 저장하는 과정을 포함한다.
바람직하게는, 상기 방법은 상기 호스트 CPU에 공급되어 컴퓨터의 시동(start-up) 시퀀스 동안 저장장치와는 독립적으로 저장장치의 검증과 해당 컴퓨터의 작동을 위하여 상기 결정 데이터 및 제어요소들을 상기 호스트 CPU에 독립적으로 제공하는 과정을 포함한다.
바람직하게는, 상기 방법은 상기 저장장치에 대한 규정된 소정의 접속프로필을 갖는 컴퓨터 사용자의 신분을 확인하기 위한 확인 과정을 포함한다.
바람직하게는, 상기 확인 과정은 해당 컴퓨터의 시동 시퀀스가 더 진행되기이전에 컴퓨터의 사용자가 로그인(login) 사용자 ID와 패스워드(password)를 입력하여 상기한 사용자 ID와 패스워드가 해당 저장장치에 대한 규정된 접속 프로필을 갖는 인가된 컴퓨터 사용자에 해당하는지의 여부를 확인하도록 검증이 가능하도록 해주는 과정을 포함한다.
바람직하게는, 인가된 사용자의 상기 로그인 사용자 ID와 패스워드 및 그것의 규정된 접속 프로필은 상기한 결정 데이터 및 제어요소들의 일부를 구성하고 또한 상기한 검증 과정은 입력된 로그인 ID와 패스워드를 상기 결정 데이터 및 제어요소들 내의 로그인 ID 및 패스워드와 비교하여 서로 일치되면 사용자의 신분을 확인해 주는 과정을 포함한다.
바람직하게는, 상기한 규정된 접속 프로필은 저장장치의 소정의 구획 또는 영역들에 대한 인가된 사용자에게만 허용된 소정의 접속 수준에 대한 규정된 할당정보를 포함한다.
바람직하게는, 상기 방법은 컴퓨터의 초기화 도중의 데이터 저장장치에 대한 호스트 CPU에 의한 모든 데이터 접속을 차단함과 아울러 상기 초기화 과정 후의 시동 시퀀스 중에는 상기한 모든 데이터 접속을 인터셉트하는 과정을 포함한다.
바람직하게는, 상기 결정 데이터 및 제어요소들은 컴퓨터가 상기한 시동 시퀀스 동안 주변장치에 대한 점검을 완료하는 것을 가능하게 해주기 위한 상기 저장장치에 관하여 식별(ID) 데이터를 포함한다.
바람직하게는, 상기 결정 데이터 및 제어요소들은 상기 확인 과정을 구동하는 것을 수반하는 컴퓨터를 위한 커스텀 부트(custom boot) 섹터를 포함하고, 상기방법은 커스텀 부트 섹터로써 상기한 시동 시퀀스 동안 컴퓨터의 동작을 진행하는 과정과 그러한 시간에 컴퓨터 사용자의 신분을 확인하는 과정을 포함한다.
바람직하게는, 상기 확인 과정은 특정한 규정된 접속 레벨의 인가된 사용자가 상기 저장장치에 대한 접속이 허용된 인가된 사용자들을 지정하기 위해 상기 결정 데이터 및 제어요소들 내의 로그인 ID들과 패스워드들을 생성하고 편집하는 것을 가능하게 하는 과정을 포함한다.
바람직하게는, 상기 확인 과정은 특정한 규정된 접속 레벨의 상기 인가된 사용자가 상기 결정 데이터 및 저장요소들 내에서 저장장치에 대한 접속이 허용된 모든 인가된 사용자들에 대하여 상기 규정된 구획(partition) 또는 영역(zone)들에 대한 특정한 규정된 접속 수준들을 할당하고 편집하는 것을 가능하게 하는 과정을 포함한다.
본 발명의 또 다른 측면에 따르면, 호스트 중앙처리장치(CPU)와, 컴퓨터를 작동하기 위하여 프로그램을 로딩하는 상기 호스트 CPU에 의해 사용되는 메모리와, 컴퓨터에 의해 취급되는 데이터를 저장하기 위한 저장장치를 구비한 컴퓨터를 위한 보안장치가 제공되는 바, 상기 보안장치는:
호스트 CPU와 저장장치 간의 접속을 제어하기 위한 상기 호스트 CPU와는 독립적으로 구성된 처리수단과;
상기 보안장치의 초기화 이전에 데이터 저장장치에 대한 호스트 CPU에 의한 모든 데이터 접속을 차단함과 아울러 상기 처리수단의 제어 하에 상기 초기화 바로 후에 상기한 모든 데이터 접속을 인터셉트하기 위한 인터셉팅 수단을 포함하고;
상기 처리수단은 상기 초기화 바로 후에 상기 데이터 접속을 인터셉트하는 상기 인터셉팅 수단 상에서 저장장치에 대한 인가되지 않은 접속을 방지하도록 하는 방식으로 컴퓨터의 구성과 상기 호스트 CPU의 독립적인 제어를 수행함을 특징으로 한다.
바람직하게는, 상기 보안장치는 상기한 접속을 제어하기 위한 규정된 방식으로 상기 처리수단을 동작하기 위한 컴퓨터 프로그램들을 영구적으로 저장하고 제공하기 위한 저장장치와 컴퓨터 메모리와는 독립적인 프로그램 메모리 수단을 포함한다.
바람직하게는, 상기한 규정된 접속 프로필은 상기 저장장치의 규정된 구획(partition) 또는 영역(zone)들에 대하여 컴퓨터의 인가된 사용자에 대해 허용된 소정의 접속 레벨들에 관한 규정된 할당정보를 포함한다.
바람직하게는, 상기 보안장치는 상기 호스트 중앙처리장치(CPU)와 상기 저장장치간의 데이터 억세스 채널에만 정합되고 상기 호스트 중앙처리장치(CPU)의 주 데이터 및 제어버스와 분리된다.
본 발명의 또 다른 측면에 따르면, 호스트 중앙처리장치(CPU)와, 컴퓨터 및 저장장치를 작동하기 위하여 프로그램들을 로딩하기 위한 상기 호스트 CPU에 의해 사용되는 메모리를 구비한 컴퓨터에 의해서 처리되는 데이터를 저장하기 위한 저장장치를 인가되지 않은 사용자의 접속으로부터 안전하게 보호 및 보안하기 위한 방법에 있어서, 상기 방법은:
상기 호스트 CPU와 그 호스트 CPU로부터 독립적인 저장장치 간의 접속을 제어하는 과정;
상기 컴퓨터의 초기화 중에 저장장치에 대한 호스트 CPU에 의한 모든 데이터 접속을 차단하는 과정; 그리고
상기 초기화 후에 시동 시퀀스 중의 모든 데이터 접속을 인터셉트하여 상기 저장장치에 대한 인가되지 않은 접속을 방지하도록 하는 방식으로 상기 컴퓨터의 구성과 상기 호스트 CPU의 독립적인 제어를 수행하는 과정을 포함하여 이루어진다.
바람직하게는, 상기 방법은 메모리로부터 분리되어 호스트 CPU에 의한 어드레스가 불가능한 위치에서 상기한 접속 제어를 수행하기 위한 컴퓨터 프로그램을 영구적으로 저장하는 과정을 포함한다.
바람직하게는, 인가된 사용자들의 상기 로그인 사용자 ID와 패스워드들 및 그들의 규정된 접속 프로필은 상기한 결정 데이터 및 제어요소들의 일부를 구성하고, 또한 상기한 검증 과정은 입력된 로그인 ID와 패스워드를 상기 결정 데이터 및 제어요소들 내의 로그인 ID 및 패스워드와 비교하여 서로 일치되면 사용자의 신분을 확인해 주는 과정을 포함한다.
바람직하게는, 상기한 규정된 접속 프로필은 저장장치의 규정된 구획 또는 영역들에 대해 인가된 사용자에게만 허용된 소정의 접속 수준에 관련한 규정된 할당정보를 포함한다.
본 발명의 또 다른 측면에 따르면, 호스트 중앙처리장치(CPU)와, 컴퓨터를 작동하기 위하여 프로그램을 로딩하는 상기 호스트 CPU에 의해 사용되는 메모리와, 컴퓨터에 의해 취급되는 데이터를 저장하기 위한 저장장치를 구비한 컴퓨터를 위한보안장치가 제공되는 바, 상기 보안장치는:
상기 호스트 CPU와 저장장치 간의 접속을 선택적으로 차단하기 위한 차단수단; 및
상기 저장장치에 대한 규정된 접속 프로필을 갖는 컴퓨터의 사용자에 대한 신분을 확인하기 위한 신분확인 수단을 포함하고;
상기 차단수단은 상기 신분확인 수단이 컴퓨터의 사용자에 대한 정확한 신분확인 절차를 완료할 때까지 데이터 접속을 차단하기를 유지하는 것을 특징으로 한다.
바람직하게는, 상기 보안장치는 상기한 신분확인 수단에 응답하여 호스트 CPU와 저장장치 간의 접속을 차단하기 위한 상기 차단 수단의 동작을 제어하기 위한 상기 호스트 CPU와는 독립적으로 구성된 처리수단을 포함한다.
바람직하게는, 상기 차단수단은 보안장치의 초기화 이전에 데이터 저장장치에 대한 호스트 CPU에 의한 모든 데이터 접속을 차단하는 한편 상기 처리수단의 제어 하에 상기 초기화 바로 후에는 상기한 모든 데이터 접속을 인터셉트하기 위한 인터셉팅 수단을 포함한다.
상기 처리수단은 상기 초기화 바로 후에 그리고 컴퓨터의 오퍼레이팅 시스템의 로딩 이전에 상기 데이터 접속을 인터셉트하는 상기 인터셉팅 수단에 상에서 저장장치에 대한 인가되지 않은 접속을 방지하도록 하는 방식으로 컴퓨터의 구성과 상기 호스트 CPU의 독립적인 제어를 수행하도록 구성된다.
바람직하게는, 상기 신분확인 수단은 사용자의 정확한 신분의 확인 후에 컴퓨터의 소프트웨어 부팅이 수행되도록 해주며, 상기 처리수단은 상기한 소프트웨어 부팅에 후속하는 컴퓨터의 시동 시퀀스 동안 오퍼레이팅 시스템의 정상적인 로딩이 이루어지게 한다.
바람직하게는, 상기 처리수단은 사용자의 규정된 접속 프로필에 따른 해당 사용자의 정확한 신분의 확인 후에 상기 저장장치에 대한 접속차단을 수행하는 상기 차단수단을 제어하도록 구성된다.
바람직하게는, 컴퓨터 프로그램들을 영구적으로 저장하고 제공하는 저장장치와 컴퓨터의 메모리와는 독립적으로 구성되어 상기한 접속을 제어하기 위한 소정의 방식으로 상기 처리수단을 동작시키기 위한 프로그램 메모리 수단을 포함한다.
바람직하게는, 상기 보안장치는 저장장치에 대한 접속과 컴퓨터의 기본적인 동작과 관련되는 제어요소들과 결정 데이터를 저장하며, 컴퓨터의 저장장치 및 메모리 수단과는 독립적인 메모리 저장 수단을 포함한다.
바람직하게는, 상기 결정 데이터 및 제어요소들은 호스트 CPU에 공급되어 컴퓨터의 시동(start-up) 시퀀스 동안 저장장치와는 별개로 저장장치의 검증과 해당 컴퓨터의 작동을 위해 상기 호스트 CPU에 의해 사용된다.
바람직하게는, 상기 확인수단은 컴퓨터의 시동 시퀀스가 더 진행되기 이전에 컴퓨터의 사용자가 로그인 사용자 ID와 패스워드를 입력하여 그 사용자 ID와 패스워드가 해당 저장장치에 대한 규정된 접속 프로필을 갖는 인가된 컴퓨터 사용자에 해당하는지의 여부를 확인하도록 검증하게 해주는 로그인 검증수단을 포함한다. 바람직하게는, 인가된 사용자의 상기 로그인 사용자 ID와 패스워드 및 규정된 접속프로필은 상기한 결정 데이터 및 제어요소들의 일부를 구성하고 또한 상기 로그인 검증수단은 사용자의 신분확인을 수행하기 위하여 상기 결정 데이터 및 제어요소들을 접속하도록 구성된다.
바람직하게는, 상기한 규정된 접속 프로필은 저장장치의 규정된 구획 또는 영역들에 대하여 그 컴퓨터의 인가된 사용자에게 허용된 소정의 접속 수준에 대한 규정된 할당정보를 포함한다.
바람직하게는, 상기 보안장치는 호스트 CPU와 저장장치 간의 데이터 접속 채널에만 정합되도록 연결되는 한편 상기 호스트 CPU의 메인 데이터와 제어 버스와 분리되도록 구성된다.
본 발명의 또 다른 측면에 따르면, 호스트 중앙처리장치(CPU)와, 컴퓨터 및 저장장치를 작동하기 위하여 프로그램을 로딩하기 위한 상기 호스트 CPU에 의해 사용되는 메모리를 구비한 컴퓨터에 의해서 처리되는 데이터를 저장하기 위한 저장장치에 대한 인가되지 않은 사용자의 접속으로부터 안전하게 보호 및 보안하기 위한 방법에 있어서, 상기 방법은:
상기 호스트 CPU와 저장장치 간의 모든 데이터 접속을 선택적으로 차단하는 과정; 및
상기 저장장치에 대한 규정된 접속 프로필을 갖는 해당 컴퓨터 사용자의 신분을 확인하는 과정을 포함하며;
상기 컴퓨터의 사용자가 정확하게 신분이 확인될 때까지 상기한 데이터 접속을 차단하는 과정을 유지함을 특징으로 한다.
바람직하게는, 상기한 선택적으로 차단하는 과정은 상기 호스트 CPU와 그로부터 독립적인 저장장치 간의 데이터 제어하는 과정을 포함한다.
바람직하게는, 상기 선택적으로 차단하는 과정은, 컴퓨터의 초기화 도중에 발생하게 되고, 저장장치에 대한 인가되지 않은 접속을 방지하도록 하는 방식으로 컴퓨터의 구성과 호스트 CPU의 독립적인 제어를 가능하게 하도록 상기 초기화 과정 직후의 시동 시퀀스 중의 그리고 컴퓨터의 오퍼레이팅 시스템의 로딩 전의 상기한 모든 데이터 접속을 인터셉트하는 과정을 포함한다.
바람직하게는, 상기 방법은 사용자의 정확한 신분확인 후에 컴퓨터의 소프트웨어 부팅(boot)을 수행하고 그 후 컴퓨터의 시동(start-up) 시퀀스 동안에 오퍼레이팅 시스템의 정상적인 로딩을 실행가능하게 하는 과정을 포함한다.
바람직하게는, 상기 방법은 해당 사용자의 규정된 접속 프로필에 따른 정확한 사용자 신분의 확인 후에 저장장치에 대한 접속을 차단하도록 제어하는 과정을 포함한다.
바람직하게는, 상기 방법은 메모리로부터 분리되어 호스트 CPU에 의한 어드레스가 불가능한 위치에서 상기한 접속 제어를 수행하기 위한 컴퓨터 프로그램을 영구적으로 저장하는 과정을 포함한다.
바람직하게는, 상기 신분확인 과정은 해당 컴퓨터의 시동 시퀀스가 더 진행되기 이전에 컴퓨터의 사용자가 로그인 사용자 ID와 패스워드를 입력하여 해당 사용자가, 상기 사용자 ID와 패스워드가 해당 저장장치에 대한 규정된 접속 프로필을 갖는 인가된 컴퓨터 사용자에 해당하는지의 여부를 확인하도록 사용자에 대한 검증이 가능하도록 해주는 과정을 포함한다.
바람직하게는, 인가된 사용자의 상기 로그인 사용자 ID와 패스워드 및 그것의 규정된 접속 프로필은 상기한 결정 데이터 및 제어요소들의 일부를 구성하고, 그리고 상기한 검증 과정은 입력된 로그인 ID와 패스워드를 상기 결정 데이터 및 제어요소들 내의 로그인 ID 및 패스워드와 비교하여 서로 일치되면 사용자의 신분을 확인해 주는 과정을 포함한다.
바람직하게는, 상기한 규정된 접속 프로필은 저장장치의 규정된 구획 또는 영역들에 대한 인가된 사용자에게만 허용된 소정의 접속 수준에 대한 소정의 할당정보를 포함한다.
이하 본 발명은 후술하는 특정한 실시예의 관점에서 첨부한 도면을 참조하여 단지 예시적인 관점에서 더 상세하게 기술될 것이다.
본 발명에 따른 실시예는 컴퓨터 시스템의 저장매체를 보호하기 위한 저장장치를 통합하여 구성된 개인용 컴퓨터(PC) 시스템에 대해 기술되는데, 상기 저장 매체는 PC의 경우에는 일반적으로 하드 디스크 드라이브(HDD)의 형태로 하나 또는 다수의 저장장치들에 해당될 것이다.
도 1에 도시된 바와 같이, 컴퓨터 시스템 11은 일반적으로 하나의 중앙처리장치(CPU)와, 메인 CPU 어드레스 및 데이터 버스 15를 통해 연결된 다수의 주변장치들을 포함한다. 상기 주변장치들은 모니터 17, 키보드 19 및 하나 또는 다수의 저장장치들 21을 포함한다. 본 실시예에 있어서 저장장치들 21은 ATA (AT Attachment) 표준에 따라서 통신하고 이에 따라서 저장장치들과 컴퓨터 시스템 11의 나머지 구성요소들 간에 제공되는 ATA 채널을 필요로 한다.
이들 주변장치들은 적절한 인터페이스 로직부 23, 27 및 31을 통해 메인 CPU 버스 15에 연결되며, 그 각각은 디코드 로직부 및 입출력 장치(I/O)를 포함한다. 상기 인터페이스 로직부는 상기 CPU 13 및 특정한 주변장치 간의 통신을 가능하게 하도록 함을 특징으로 한다.
모니터 17의 경우에는 그의 인터페이스 로직 23은 비디오 어댑터와 함께 통합(집적)되며 포준 비디오 케이블 25를 통해 모니터에 연결된다. 키보드 19의 경우에는 그것의 인터페이스 로직 27은 키보드 포트와 함께 통합되어 적절한 키보드 케이블 29를 통해 키보드에 연결된다. 그리고 저장장치 21의 경우에는 그의 인터페이스 로직 31은 상기 ATA 어댑터와 통합되어 ATA 케이블 33을 통해 저장장치(들)에 연결되어 ATA 채널을 제공한다.
본 실시예에 따른 보안장치 35는 장치 인터페이스 로직 31에 제공된 ATA 어댑터와 저장장치들 21 사이에서 상기 ATA 케이블 33과 일치되게끔 물리적으로 사이에 삽입된다. 상기 ATA 표준은 하드 디스크 드라이브(HDD), CD-ROM(ATA 표준으로는 ATA/ATAPI 인핸스먼트형을 실제적으로 채택함), 플래시 메모리, 플로피 디스크 드라이브, 집(zip) 드라이브 및 테이프 드라이브 등을 포함하는 대부분의 형태의 저장장치들을 지원한다.
상기한 ATA 표준 하에서는 두 개의 분리형 저장장치들이 단일 인터페이스 로직 31 및 ATA 케이블 33을 통해 제어될 수도 있다. 그러므로 이하에서는 "저장 매체(storage medium)"로 언급될 것이며, 이것은 하나 또는 두 개의 저장장치들을 포함하고 "저장장치(storage device)"와 상호 교환이 가능하게 사용될 것이다.
PC들의 경우에는 저장장치의 대표적인 형태는 HDD 장치이다. 대부분의 HDD는 IDE(Integrated Drive Electronics) 하드 디스크 드라이브 표준규격 또는 EIDI(Enhanced IDE) 하드 디스크 드라이브 표준규격에 의거하는데, 그에 의하면 디스크 드라이브를 위한 컨트롤러는 PC의 주기판(mother board)에 직접적으로 연결된 것과는 반대로 HDD 그 자체에 배치된다.
도면에 도시되지는 않았지만, 컴퓨터 시스템의 다른 실시예는 그 자신의 상응하는 인터페이스 로직을 갖는 SCSI(Small Computer Systems Interface) 표준규격을 통해 메인 컴퓨터 시스템에 연결된 저장장치들을 포함할 수도 있다. 따라서 이러한 방법으로 PC에 연결된 저장장치의 경우에는 상기 보안장치 35는 SCSI 타입의 드라이브 장치와 그의 인터페이스 로직 사이에 유사하게 삽입될 것이다.
도 2에 도시된 바와 같이, 보안장치 35는 일반적으로 CPU 37, 램(RAM) 39, 플래시 롬(ROM) 41 그리고 버스 제어 및 인터페이스 로직 43을 포함하는데, 이것은 본 실시예에 있어서는 ATA 저장장치 21을 보호하기 위한 목적으로 전술한 ATA 표준규격에 맞춰진다. 상기 버스 제어 및 인터페이스 로직 회로부는 보안장치 CPU 37의 제어 하에 디스크 저장장치들 21과 호스트 CPU 13과의 사이의 모든 통신의 제어를가능케 하고 그를 인터셉트하도록 연결된 FPGA(Field Programmable Gate Array) 및/또는 ASIC(Application Specific Integrated Circuit) 장치들에 전형적으로 구성된다.
상기 보안장치 35는 또한 개별적인 보안성 저장매체 47이 커스텀 인터페이스 49를 통해 보안장치에 연결되도록 해주는 보안 매체 인터페이스 45를 포함한다.
보안장치 CPU 37은 플래시 롬 41에 저장되고 시동시 램 39에 로드되어 보안장치의 오퍼레이팅 시스템이 되는 소정의 응용 프로그램에 따라서 동작한다. 상기 CPU 37은 호스트 CPU 13과 저장매체 21과의 사이의 통신을 인터셉트 하도록 ATA 케이블 33과 맞춰 그 사이에 삽입된 버스 제어 및 인터페이스 로직부 43과 통신을 한다. 보안성 매체 인터페이스 45는 상기한 버스 제어 및 인터페이스 로직부 43과 커스텀 인터페이스 49 사이에 삽입되어, CPU 37의 제어하에 상기 보안성 저장 매체 47과 호스트 CPU 13 간의 통신을 도모하도록 한다. 보안장치의 이러한 측면의 동작은 개별적인 본 발명의 주제에 해당되고 여기서는 더 이상 기술되지는 않을 것이다.
플래시 롬 41에 저장된 응용(application) 프로그램의 기능 및 상기한 보안장치 35의 동작은 나머지 도면들을 참조하여 이하에서 기술될 것이다.
보안장치 35에 대한 플래시 롬 41에 저장된 응용 프로그램은 컴퓨터 시스템의 부팅 과정을 인터셉트하고 제어하도록 일반적으로 설계되어, 보호되는 저장매체에 대한 접속이 허용되기 이전에 로그인 ID와 패스워드를 사용하는 신분확인(authentication) 절차를 제공하게 된다. 따라서 저장매체 21과 호스트CPU 13과의 사이의 보안장치 35의 위치는, 상기 보안장치가 저장매체로 그리고 그로부터 입출력하는 모든 정보 및 데이터에 대한 모든 요구사항(requests)들을 여과할 수 있도록 특별히 설계된다. 상기한 보안장치 35는 관리자 프로필을 갖는 사용자에 의해 설정되는 소정의 사용자 프로필들에 기초하여 이러한 요구사항들을 적절한 저장매체에 전달하는데, 여기서 상기 프로필들은 보안장치 그 자체에 저장된다. 이러한 프로필들은 저장매체 내의 다른 파티션(partition)들 및/또는 파일들에 대한 접속관계에 기초하게 된다. 그리하여 지정된 관리자는 나중에 더 상세하게 기술될 방식으로 파티션 별로 및/또는 파일별로 데이터에 대한 보호를 설정할 수가 있다.
보안장치의 동작을 완전히 이해하기 위해서는 표준형 컴퓨터 시스템에 의해 수행되는 정상적인 부팅 프로세스에 대한 이해가 요구된다. 이러한 부팅 프로세스를 첨부된 도 3을 참조하여 지금부터 설명할 것이다.
도 3에 도시된 바와 같이 PC에 의해 수행되는 정상적인 시동 시퀀스는 단계 51에서 지시된 바와 같이 53에 도시된 전원 ON 절차로써 시작된다. 이것은 일명 "콜드(cold)" 부팅이라고 알려져 있는데, 이것에 의하면 호스트 CPU의 내부 메모리 레지스터들 및 램으로부터의 모든 남겨진 데이터들이 클리어(clear)되고 상기 CPU의 프로그램 카운터는 시작 어드레스로써 설정되어 부팅 프로세스를 다시 시작하게 된다. 이러한 어드레스는 롬 바이오스(ROM BIOS: ROM Input/Output System)에 영구적으로 저장된 부팅 프로그램의 시작에 해당한다.
다음 단계 55는 상기 어드레스를 사용하여 CPU를 불러들임으로써 상기한 롬바이오스 부팅 프로그램을 찾아 그것을 가져오게 한다. 롬 바이오스 프로그램은 하드웨어 및 소프트웨어 인터럽트 벡터들을 설정하고 단계 57에 의해 표시된 것과 같은 파워-온 자기-테스트(POST)로 알려진 일련의 시스템 점검절차를 불러일으키는 과정을 포함하는 초기화 단계를 수행하게 된다.
상기한 POST 프로세스는 PC의 램이 적절하게 기능을 하도록 보장하기 위한 일련의 테스트들을 수반한다. 그 다음 그것은 비디오 카드와 모니터 17, 키보드 19 및 저장매체 21과 같은 여러 가지의 주변장치들이 존재하고 적절히 동작하는지를 점검하도록 상기 호스트 CPU에 지시하는 또 다른 일련의 테스트 과정을 수행한다.
POST 과정을 완료하고나면, 전술한 바이오스는 그 다음으로 단계 59에서 주변장치들의 롬에 들어가 있는 바이오스 확장자(BIOS Extensions)들의 어드레스들을 찾아서 그들 중의 어떤 것이 작동시킬 확장된 바이오스를 보유하고 있는지를 알아본다.
이러한 바이오스 확장자들의 첫 번째는 비디오 카드와 연관된다. 이 바이오스 확장자는 단계 61에서 도시된 바와 같이 모니터를 동작시키도록 비디오 카드를 초기화하게 된다.
비디오 카드의 초기화를 완료하고나면, 상기 바이오스는 그 다음 단계 63으로 진행하여 그들을 보유하고 있는 주변장치들에 대한 다른 바이오스 확장자들을 작동하게 된다.
그 다음 바이오스는, 단계 67에서의 메모리 테스트를 포함하여 단계 67에서 시스템에 대한 더 이상의 테스트들을 수행하도록 진행하기 전에, 단계 65에서시동(start-up)용 스크린을 표시하도록 진행한다.
다음 상기 바이오스는 단계 69에서 어떤 종류의 주변장치 하드웨어가 시스템에 연결되어 있는가를 결정하기 위해 "시스템 품목조사(system inventory)" 또는 장비점검을 수행한다. HDD 저장매체에 관해서는 상기한 바이오스 프로그램은 드라이브 표준(ATA 또는 SCSI), 표준의 레벨(예를 들면, 구형 표준 ATA 1-3형이지 아니면 신형 표준 ATA 6형인지), 실린더/헤드/섹터의 숫자, 그리고 그것이 다른 모드에서 동작가능한지의 여부 등과 같은 세부 HDD 요구사항들을 호스트 CPU가 질문하도록 해준다. HDD의 이러한 질문 단계는 일반적으로 "드라이브 ID"로서 알려져 있다.
다음으로 바이오스는 단계 71에서 "Plug and Play" 장치들과 같은 "논리적(logical)" 장치들을 구성하도록 진행하여 그것이 발견하는 각각의 장치에 대한 스크린 상의 메시지들을 표시한다.
그 다음에는 컴퓨터 시스템의 구성을 지시하는 개요적인 스크린이 단계 73에서 표시된다. 상기 바이오스는 그 다음 단계 75에서 지정된 부트 시퀀스에 대해 점검하고, 거기서 컴퓨터 시스템의 오퍼레이팅 시스템이 로드될 유효한 부트 섹터의 위치를 위해 점검될 저장매체의 우선순위가 지정된다. 정상적인 순서는 플로피 디스크 드라이브(A:)를 점검하고 그 다음 하드 디스크 드라이브(C:)를 하는 것인데, 그와 반대로 하거나, 아니면 CD ROM 드라이브를 먼저 할 수도 있다.
우선순위를 확인한 연후에 상기 바이오스는 단계 77에서 상기 CPU가 유효한 부트 섹터의 위치를 찾을 때까지 각 드라이브에 있는 부트 정보를 순서대로 찾도록 해준다.
상기한 바이오스(BIOS)는 단계 79에서 소프트웨어 인터럽트 벡터 "int 19를 불러일으킴에 의해 이 프로세스를 시작하는데, 이 프로세스는 바이오스의 초기화 단계 중에 설정되는 소프트웨어 인터럽트 벡터 테이블에 특정한 주변장치의 어드레스를 저장하게 된다.
예를 들면, 만일 목표 부팅 드라이브가 HDD라면, CPU는 상기 테이블에 지정된 장치의 어드레스에서 실린더 0, 헤드 0, 섹터 1(디스크 상의 첫 번째 섹터에 해당)에서 마스터 부트 레코드 또는 부트 섹터를 찾게 된다. 반면에 만일 그것이 플로피 디스크이면 CPU는 상기 테이블로부터 플로피 디스크의 어드레스를 획득하여 플로피 디스크 상의 같은 위치에서 볼륨 부트 섹터를 찾게 된다.
유효 부트 섹터는 "ID 바이트"의 서명을 검사하는 CPU에 의해 결정되는데, 이것은 부트 섹터의 첫 번째 두 바이트를 통상적으로 포함한다. 만일 상기한 서명이 부트 섹터가 현재 존재한다는 것을 나타내면, CPU는 단계 81에서 그 부트 섹터를 램에 로딩하도록 진행하고 여러 가지의 오퍼레이팅 시스템 파일들을 로딩하기 위해 단계 83에서 부트 로더(boot loader)를 작동한다.
DOS 오퍼레이팅 시스템의 경우에는 숨겨진 파일들 MS DOS.SYS, IO.SYS 및 COMMAND.COM은 로딩이 되어 실행되고 그 다음 파일들 CONFIG.SYS 및 AUTOEXEC.BAT는 로딩이 되어 컴퓨터 시스템의 구성을 완료하도록 작동되며, 이로써 컴퓨터 시스템의 후속 동작을 위해 적절한 응용 프로그램들이 초기화되도록 하는 것이다.
보안장치 35를 통합하고 있는 본 발명의 경우에는, 상기 보안장치는 바이오스의 동작중 초기 단계에서 부팅 프로세스를 인터셉트함으로써 보호된 저장매체 21에 대한 호스트 CPU 13의 모든 접속을 차단하도록 프로그램 된다. 게다가 보안장치는 호스트 CPU 13의 램에 로딩될 커스텀 부트 섹터를 제공하는데, 그 다음 이것은 컴퓨터 시스템이 그의 정상적인 부트 섹터 동작과 오퍼레이팅 시스템 로딩을 진행하도록 허용하기 이전에, 올바른 사용자 신분확인 절차를 요구하는 신분확인용 응용 프로그램을 수행하게 된다. 후자의 작동들은 보호된 저장매체 21에 대한 접속을 필요로 하기 때문에 이러한 방법론은 보안장치 35의 관리적 제어가 각 사용자별로 설정된 다음에만 그러한 접속이 착수된다는 것을 보장하게 된다.
상기한 보안장치 35의 이러한 동작방식은 도 4a, 4b 및 도 5와 결부하여 잘 설명되며, 이것은 전술한 방식으로 설치된 보안장치로써의 컴퓨터 시스템의 시동 시퀀스의 동작을 요약적으로 설명한다.
이러한 구성에서는 컴퓨터 시스템 11의 콜드 부팅 프로세스는 정상적인 컴퓨터 시동 시퀀스의 경우와 같이 단계 51 및 53에서 시작과정 및 파워-온 과정으로써 시작된다. 그러나 파워-온 과정에서 개별적으로 전원이 공급되는 상기한 보안장치 35는 시작 단계 100으로써 착수되는 자신의 초기화 과정을 실시하며, 거기서 모든 그의 탑재된 자원(resource)은 단계 101에서 초기화 되어 그의 오퍼레이팅 시스템 프로그램이 로드되고, 단계 102에서 도시된 바와 같이 그의 첫 번째 동작단계로 진입하도록 동작하게 된다. 보안장치 35의 초기화 절차는 컴퓨터 시스템 11의 그것들과 비교하여 보안장치의 감소된 오버헤드로 인하여 컴퓨터 시스템 11의 바이오스를 초기화하는 것보다 훨씬 더 신속하게 진행되어야만 한다. 따라서 플래시 롬 41에 저장된 오퍼레이팅 시스템 프로그램은 즉시 단계 103에서 보안장치 CPU 37을 불러일으켜 버스 제어 인터페이스 로직부 43을 제어하고 ATA 채널을 따라 호스트 CPU 13으로부터 저장매체로의 모든 통신을 인터셉트하도록 하여, 이러한 기간동안 호스트와 상기 보호된 저장매체 21 간에 ATA 케이블을 따라서 어떠한 통신도 허용되지 않도록 한다. 이러한 기간 전에는 상기 버스 제어 및 인터페이스 로직부 43은 구성되지 않아서 어떤 경우에도 ATA 케이블을 따른 보안장치의 초기화 이전에 또는 도중에 저장매체에 대한 어떠한 접속도 가능하지 않다.
그 다음 보안장치 CPU 33은 저장매체 21의 상태에 대해 호스트 CPU 13에게 알려주기 위해서 ATA 채널 상에 드라이브 "비지"신호를 제공하고, 단계 104에 도시된 바와 같이 저장장치 21로부터"드라이브 ID"의 요구를 진행한다.
이 시간동안 보안장치 35의 동작은 바이오스와는 독립적으로 발생되는데, 여기서 상기한 바이오스는 상기한 "드라이브 ID" 점검이 단계 69에서 그에 의해 수행될 때까지 그의 정상적인 동작에 따라서 단계들 55 내지 69를 수행하도록 진행한다.
단계들 55 내지 69의 수행 중에 보안장치 35는 저장매체 21과의 호스트 CPU 13 또는 다른 외부장치로부터의 모든 데이터 통신을 차단하기를 계속한다. 이러한 "드라이브 비지" 단계중, 상기한 보안장치 35의 CPU 37은 보안장치로부터의 "드라이브 ID"정보를 대기하는 상태에 있다. 일단 상기 보안장치 CPU 37이 저장매체 21로부터 상기한 "드라이브 ID" 정보를 수신하면, 상기 CPU 37은 그것의 램 39에 그 정보를 저장하고 호스트 CPU 13에 상기 저장매체 21이 "드라이브 ID"를 제공할 준비가 되어 있다는 것을 표시하기 위해 ATA 채널 상에 "드라이브 ready" 신호를 단언한다.
만일 호스트 CPU 13이 상기 "드라이브 ID" 단계 69에 이미 도달하여 필요한 시간기간보다 더 짧은 상기한 "드라이브 busy" 단계 동안, 또는 더 정상적으로는 상기 보안장치 CPU 37이 ATA 채널 상에서 "드라이브 ready" 단계에 대하여 신호를 보낸 후 단계 69에서 상기한 바이오스가 "드라이브 ID" 단계에 마침내 도달한 시점에 드라이브 인터페이스 로직부 31에 폴링(polling)을 하였다면, 상기한 호스트 CPU 13은 "드라이브 ID"에 대하여 드라이브 인터페이스 로직 31에 요구(request)를 수행하게 된다.
일단 이러한 요구가 단계 69에서 이루어지면, 보안장치 CPU 37은 단계 105에서 그 요구를 인터셉트하고 저장매체 21에 대한 접속을 차단하기를 계속하며, 단계 106에서 HDD의 "드라이브 ID"를 호스트 CPU에 제공하게 된다.
상기한 바이오스는 약 31초의 기간 동안 HDD가 그것을 기술하도록 저장된 "드라이브 ID" 정보에 대응하도록 제공된다. 따라서 만일 보안장치 CPU 37이 어떤 이유로 인해 상기 바이오스가 "드라이브 ID" 장비 점검(equipment check) 단계 69에 도달한 시점부터 그러한 시간 내에 "드라이브 ID" 정보를 제공할 수가 없다면, 상기한 바이오스는 그 위치에서의 저장매체 21이 동작하지 않고 그것을 우회한다는 것을 나타낼 것이다. 상기 보안장치 35는 이 시간까지는 양호하게 초기화되어 정확하게 동작될 것으로 예상되기 때문에 그러한 지연은 보호된 HDD와 관련된 어떠한 문제가 존재한다는 것을 일반적으로 나타낼 것이다.
호스트 CPU 13에 "드라이브 ID"를 제공한 연후에 상기 보안장치 35는 그 다음 상태로 진행하여 보호된 저장매체 21과 호스트 CPU 13 간의 데이터 통신을 여전히 차단하게 된다. 반면에 상기한 바이오스 프로그램은 그것이 유효한 부트 섹터의 로딩을 수반하는 단계 81에 도달할 때까지 단계들 71 내지 81에서 정상적인 부팅 절차를 진행한다.
이러한 상태에서 보안장치 35의 CPU 37은 호스트 CPU 13으로부터 드라이버 인터페이스 로직부 31로의 부트 섹터 요청(request)을 대기한다. 보호된 저장장치에 저장된 부트 섹터를 로딩하는 대신에 그러한 바이오스 요청(request)을 수신하면, 보안장치는 단계 107에 도시된 바와 같이 호스트 CPU에 그 자신의 플래시 롬 41 상에 저장된 하나의 "커스텀" 부트 섹터를 제공한다. 그 다음 CPU 13은 상기한 커스텀 부트 섹터에 따른 부트 로더(boot loader)를 작동시키는데, 그것은 상기한 플래시 롬 41 내에 저장된 소정의 신분확인 응용 프로그램이 단계 109에서 로딩이 되어 단계 111에서 실행되도록 한다.
본 실시예에 있어서, 유효한 부트 섹터는 보호된 저장매체 21 상에 저장된 것이어야만 하는데, 그렇지 않으면 상기 보안장치 35는 결코 그의 차단 상태를 넘어서는 진행하지 않을 것이다. 그러한 배열은, 보호된 저장매체 21 상에 저장된 데이터와 통신하는 목적으로 호스트 CPU 13의 제어를 실행하기 위하여, 상기한 보호된 저장매체 21 상에 제공된 것이 아닌 다른 어떠한 외부 오퍼레이팅 시스템을 허용하지 않음으로써 시스템 보안의 완전무결함을 보장하게 된다.
따라서 상기한 바이오스(BIOS)가 부트 섹터에 위치하고 로딩하는 목적을 위해 보호된 저장매체 21을 목표로 하는 컴퓨터 시스템의 정상적인 동작에 있어서,상기 바이오스는 보호된 저장매체 21로부터 부트 섹터를 상기 호스트 CPU 13이 요구하는 것을 가능하게 한다.
신분확인 응용 프로그램은 신분이 확인된 사용자가 컴퓨터 시스템 11의 동작을 계속하도록 해주는 미리 정해진 로그인 응용 프로그램을 필수적으로 포함한다. 상기 정해진 로그인 응용 프로그램에 의해 신분이 확인되는 것이 불가능한 사용자는 컴퓨터 시스템을 계속해서 사용할 수가 없다. 상기 로그인 응용 프로그램의 상세한 동작은 나중에 더 상세히 설명될 것이지만 여기서 상기한 시스템 시동 시퀀스를 설명할 목적으로 일반적인 용어로 기술될 것이다.
더욱이, 로그인 응용 프로그램은 초기의 로그인 상태를 넘어서 컴퓨터 시스템이 진행하도록 하기 위한 유효한 로그인 이름과 패스워드를 사용자가 입력하는 것을 요구한다. 본 실시예에 있어서 로그인 응용 프로그램은 올바른 로그인 이름과 패스워드를 입력함에 있어서 단지 세 번의 시도만을 허용하도록 설계된다. 다른 실시예에 있어서는 허용될 수 있는 로그인 시도의 횟수는 상이하게 될 수도 있으며 극도로 보안이 요구되는 응용예에서는 단지 한번의 시도만 허용될 수도 있다는 것을 인식하여야 할 것이다. 올바른 로그인 이름과 패스워드가 세 번째 시도에 의해서도 입력도지 않으면, 상기 응용 프로그램은 시스템 정지(시스템이 정체해 있거나 무기한으로 루핑하게 됨)를 일으키게 되는데, 이것은 전체적인 콜드 부팅 프로세스가 반복되게 할 것이다.
저장매체 21에 대한 접속이 허용된 모든 사용자들에 대한 유효한 로그인 이름과 그와 관련된 패스워드들이 보안장치 35의 플래시 롬 41에 저장된다. 따라서신분확인 응용 프로그램의 제어하에 호스트 CPU 13과 112에 도시된 보안장치 CPU 37 간의 다양한 통신행위가 이러한 로그인 과정 중에 진행된다.
만일 단계 113에 의해 표시되는 바와 같이 상기 로그인이 성공적이라면, 신분확인 응용 프로그램은 나중에 더 상세히 기술되는 방식으로 진행한다. 상기 보안장치 35에 관하여 일단 사용자가의 신분확인이 되고나면 플래시 롬 41에서 그 특정한 사용자에 대해 이전에 저장된 데이터 접속 프로필이 단계 114에서 설정되어 상기 신분확인 응용 프로그램과 보안장치의 오퍼레이팅 시스템 간의 동작 프로토콜을 정하도록 한다. 이러한 동작 단계의 중간에 보안장치 CPU 37은 특정한 사용자의 데이터 접속 프로필의 세부사항을 표시할 호스트 CPU 13에 전달한다. 사용자의 접속 레벨에 따라서 상기 저장매체 21에 대한 접속이 이루어지는 다른 사용자들의 데이터 접속 프로필 정보뿐만 아니라 가능한 로그인 및 패스워드 정보가 디스플레이와 신분확인 응용 프로그램 하에서 가능한 편집을 위해 호스트 CPU에 전달된다.
사용자가 단계 115에서 "부팅 허용(allow boot)" 프로세스를 불러일으킬 때까지 이러한 동작 단계는 계속된다. 이러한 상태를 설정함으로써 단계 117에서 그의 동작의 제2단계에 상기 보안장치 35가 들어가도록 한다. 이 단계에서 상기 보안장치 CPU 37에 의해 작동되고 있는 오퍼레이팅 시스템은 단계 119에서 신분이 확인된 사용자의 데이터 접속 프로필을 설정하도록 보안장치 35를 구성하는데, 이 프로필은 그 후에 상기한 보호된 데이터 저장매체 21에 대한 호스트 CPU 13의 접속을 결정하기 위해 적용된다.
그 다음으로 보안장치 37의 오퍼레이팅 시스템은 단계 120에서 호스트 CPU13에 의해 작동된 신분확인 응용 프로그램에 신호를 보냄으로써 보안장치 버스 제어 및 인터페이스 로직 43이 사용자의 데이터 접속 프로필을 채택하도록 구성되는데, 여기에서 단계 121에서 응용 프로그램은 "웜-부팅(warm boot)"을 야기하는 호스트 CPU 13에 대해 소프트웨어 인터럽트 벡터를 보내 주게 된다. 적절한 소프트 부트 벡터가 그 다음에 로딩되어 상기 호스트 CPU 13은 단계 85에서 소프트 시스템 리-스타트(re-start) 또는 웜-부팅을 실행시킨다.
소프트웨어 리셋 중에, 상기 보안장치 35는 그 다음에 단계 125에 도시된 바와 같은 보호된 저장매체 21과 호스트 CPU 13과의 사이의 모든 데이터 통신을 위한 데이터 접속 프로필을 실행하는 동안에, 단계 123에 지시된 바와 같은 부트 섹터 요구(request)를 위한 대기상태를 입력한다. 중요한 점은 컴퓨터 시스템 11이 시스템 리셋을 진행하고 있는 중에 그의 보안장치 35는 아직도 이 시간동안 액티브 상태로 완전히 동작가능하게 유지된다는 것이다.
소프트웨어 리셋 "웜-부팅"은 단축된 시동 시퀀스를 수행하는 바이오스 프로그램의 특별한 서브루틴의 동작을 일으킨다. 더욱이, 단계들 51 내지 63은 필수적으로 바이패스 되며, 상기한 바이오스 프로그램은 단계 65에서의 동작으로 진행된다.
HDD에 관하여 "드라이브 ID"를 수반하는 장비 점검 과정을 작동시키는 단계 69에서 보안장치 35의 오퍼레이팅 시스템은, 저장매체 HDD에 대한 접속이 그의 동작의 제1단계 중에 보안장치 35의 동작에 의해 설정된 특정한 사용자 데이터 프로필과 합치되는 한, 더 이상 호스트 CPU 13으로부터 보호된 저장매체 21로의요구(request)를 인터셉트하지는 않는다. 그러한 접속은 관리자가 HDD 접속으로부터 특별하게 신분이 확인된 사용자를 금지시키지 않았다면 대부분의 경우에 허용될 것이다.
따라서 보안장치 35는 저장매체 21의 HDD가 "드라이브 ID"과의 요구(request)에 직접적으로 응답하도록 허용하는데, 여기서 호스트 CPU 13은 바이오스의 정상적인 부팅 시퀀스에 따라 단계 71 내지 81을 통해 바이오스 프로그램으로 진행된다.
중요한 점은, 유효한 바이오스 부트 섹터 요구(request)가 ATA 케이블 33을 통해 호스트 CPU 13으로부터 발견될 때까지 상기한 데이터 접속 프로필 실행 프로세스의 초기 부분은 보호된 저장매체 21에 대한 접속을 차단하는 보안장치 35의 오퍼레이팅 시스템을 수반한다는 것이다. 또한, 보안장치 CPU 37은 단계 125 중에 보호된 저장매체에 대한 모든 다른 명령들을 거절한다는 것이다.
상기한 보호된 저장매체 21의 특정한 HDD로부터의 하나의 부트 섹터에 요구(request)를 요구하는 바이오스(BIOS) 상에서 보안장치의 버스제어 및 인터페이스 로직부 43은 그 요구(request)가 진행되는 것을 허용한다.
저장매체로부터의 유효한 서명을 수신하는 바이오스 상에서 상기 호스트 CPU 13은 그 다음 단계 81에서 저장매체 21로부터 규정된 부트 섹터를 로딩하는 것을 진행하고 컴퓨터 시스템의 정상 동작에 따라서 단계 83에서 저장매체 21로부터 오퍼레이팅 시스템을 로딩하기 위해 부트 로더를 작동하도록 진행한다.
상기한 저장매체 21 상에 부트 섹터를 위한 유효한 바이오스 요구(request)의 입력에 후속하여 상기 보안장치 35는 ATA 케이블 33을 따른 모든 매체 채널 행위의 모니터링 상태를 채택하고, 단계 127에서 지시된 바와 같이 신분이 확인된 사용자의 설정된 데이터 접속 프로필에 따른 보안장치의 버스 제어 및 인터페이스 로직부 43을 구성하게 된다. 따라서 보안장치 35는 단지 설정된 사용자 데이터 접속 프로필과 일치하여 저장매체 21 내의 관련된 파티션들 그리고 파일들에 대한 접속을 허용하거나 불허하게 되는 바, 그에 의해서 접속이 허용되지 않는 사용자의 데이터는 해당 사용자에 의해 또는 어떠한 바이러스에 의해, 또는 잘못된 응용 프로그램 또는 비인가된 접속에 의해서는 접속이 이루어질 수가 없다.
상기한 보안장치 35는 컴퓨터 시스템 11이 작동이 중단되거나 또는 전원이 내려질 때까지 이러한 모니터링 또는 감독 상태를 유지한다. 일단 보안장치에 대한 전원이 내려지면 모든 다이내믹 메모리가 소거되고 상기 장치가 다시 전원이 인가되어 초기화 될 때까지 저장매체에 대한 접속이 금지된다.
이제 상기한 보안장치 35의 전반적인 동작관계를 다 기술하였으니 신분확인 응용 프로그램은 도 6에 도시된 흐름도와, 도 7a 내지 7e에 도시된 GUI 스크린 그래픽 사양의 포맷들에 관하여 더 상세히 설명될 것이다.
단계 111에서 호스트 CPU에 의해 동작되고 단계 109에서 부트 로더에 의해 로딩되어 있는 상기한 사용자 신분확인 응용 프로그램은 단계 130에서 시작하여 단계 131에서 사용자 로그인 스크린이 초기에 디스플레이 되도록 하는데, 그것을 위한 그래픽 사양들은 도 7a에서 도시된다. 스크린 132는 헤딩 프레임 133, 로그인 프레임 135 및 메시지/로그 프레임 137로 분배된다.
헤딩 프레임 133은 139에서 제품의 상표(trademark)에 대한 규정을, 141에서는 버전번호를, 143에서는 스크린 이름을, 그리고 145에서는 법률적인 경고문의 디스플레이를 위한 규정을 갖는다.
로그인 프레임 135는 147에서 텍스트 "user:"를 위한 배너(banner)를 149에서는 텍스트 "password:"를 위한 배너를 구비하고, 프레임들은 사용자 ID를 각각 입력하거나 또는 151에서 "사용자 ID", 그리고 153에서 "사용자 패스워드"를 위한 배너를 구비한다. 메시지/로그 프레임은 157에서 텍스트 "메시지들"을 표시하기 위한 배너를 포함하고 159에서는 메시지를 위한 배너를 갖는데, 이것은 스크롤이 가능한 리스트로서 신분확인 응용 프로그램에 대해 보안장치에 의해 발행된 상태 메시지를 디스플레이 한다. 로그인 버튼 155는 또한 사용자가 보안장치에 의한 신분확인의 목적을 위해 사용자 및 패스워드 입력의 처리를 실행하도록 하기 위해 제공된다.
스크린 132가 디스플레이 되는 동안 상기 응용 프로그램은 단계 160에서 도시된 바와 같이 로그인 ID와 패스워드가 입력되기를 기다린다. 로그인 버튼 155를 활성화하는 것은 호스트 CPU 13이 스크린 상에서 입력된 로그인 세부사항을 보안장치 35에 전달하도록 하는 단계 161에서의 하나의 프로세스를 불러일으키는 신분확인용 응용 프로그램을 수반하며, 여기서 보안장치의 오퍼레이팅 시스템은 보안장치 CPU 37이 플래시 롬 41에 제공된 저장된 로그인 정보와 입력된 로그인 정보를 비교하도록 한다. 저장된 사용자 및 패스워드 정보와 로그인 스크린을 통해 입력된 사용자 및 패스워드 정보 간에 유효한 짝(match)이 있는지에 따라서 상기한 보안장치CPU 37은 호스트 CPU 13에 유효한 또는 효력이 없는 신분확인 신호를 되돌려 준다.
단계 162에 도시된 유효한 신분확인에 해당하는 경우에는 CPU 37은 또한 특정 사용자에 대해 저장된 데이터 접속 프로필에 의거하여 사용자 타입 및 그와 관련된 장치 정보에 관한 부가적인 정보를 제공한다.
유효하지 않은 신분확인에 해당하는 경우에는 첫 번째의 신분확인 시도가 성공적으로 수행되지 못하였다는 것을 기록하기 위하여 카운터가 증가/감소되며, 메시지/로그 프레임 137 상의 사용자에게 적절한 메시지가 디스플레이 되는 바, 단계 163에서 도시된 바와 같이 신분확인 시도의 실패한 상태를 나타낸다. 전술한 바와 같이, 164에 도시된 것과 같은 신분확인 시도의 세 번의 실패시기에는 상기한 신분확인 응용 프로그램은 정지(shutdown) 인터럽트 벡터가 165에서 호스트 CPU 13에 의해 동작이 시작되도록 함으로써 시스템을 다시 시작하기 위하여 콜드(cold) 부팅을 필요로 하는 컴퓨터 시스템 11의 완전한 정지를 초래한다.
유효한 신분확인 시에는 상기 신분확인 응용 프로그램은 사용자의 타입에 따라서 로그인 스크린의 주 종류 중의 하나를 디스플레이 하는 과정으로 단계 166에서 진행한다. 본 실시예에서는 두 가지의 사용자 타입이 있는데, 그 중 하나는 도 7b에서의 그래픽 사양(specification)에 의해 도시된 바와 같은 스크린이 단계 167에서 디스플레이 되는 정상적인 사용자이고, 다른 하나는 7c에서의 그래픽 사양에 의해 표현된 바와 같은 스크린이 단계 168에서 디스플레이 되는 관리자인 경우이다.
정상적인 사용자 GUI 스크린 169에 대한 그래픽 사양은 일반적으로 헤딩 프레임 170, 로그인 세부사항 프레임 171, 장치 세부사항 프레임 172 및 메시지/로그 프레임 173으로 나뉘어 진다. 스크린은 또한 나중에 기술될 시스템 개시(launch) 버튼 174를 포함한다.
상기한 헤딩 프레임 170은 일반적인 로그인 스크린을 위한 헤딩 프레임 133과 필연적으로 동일한데, 여기서 동일한 참조기호는 프레임의 해당하는 속성(attributes)들을 확인하기 위해 사용된다. 그러나 이 경우에 도면 중의 143에 도시된 바와 같이 스크린 타이틀은 그것이 사용자 타입의 로그인 스크린이라는 것을 나타내도록 변경된다.
상기한 로그인 세부사항 프레임 171은 이전의 스크린의 로그인 프레임 147과 유사한데, 따라서 프레임의 해당하는 속성들을 식별하기 위해 동일한 참조기호가 사용되었다. 그러나 로그인 세부사항 프레임은 이전의 스크린에 있는 엔트리 프레임과는 반대로 사용자 ID를 디스플레이하기 위한 사용자 ID 디스플레이 프레임을 포함한다. 상기 로그인 세부사항 프레임은 또한 새로운 패스워드 입력 버튼 176을 포함하는데, 이것은 패스워드 입력 프레임 153과 결합하여 사용자가 그의 패스워드를 변경하도록 허용하기 위해 사용된다. 따라서 상기한 새로운 패스워드 버튼 176을 활성화하는 것은 177에 도시된 특정한 사용자를 위한 보안장치의 플래시 롬 41 내에 저장된 패스워드에 대한 변화를 야기하도록 상기 호스트 CPU 13과 보안장치 CPU 37 간의 통신행위를 수반하면서 상기 신분확인 응용 프로그램 내에서 하나의 프로세스를 불러일으킨다. 새로운 패스워드의 확인과정을 수반하는 표준 작업루틴이 패스워드에 대한 변경이 완료되기 전에 채택된다.
상기한 장치 세부사항 프레임 172는 단계 179에서 "마스터(master)"라는 문구를 그리고 181에서 "슬레이브(slave)"를 디스플레이 하는 두개의 추가적인 서브-배너(sub-banner)들 뿐만 아니라 "장치 정보"라는 문구를 디스플레이 하는 타이틀 배너 178을 포함한다. 이러한 서브-배너들은 보안장치 35에 의해 보호되는 소정의 장치 또는 장치들에 대한 정보를 디스플레이 하기 위한 영역들에 앞장선다. 본 실시예에 있어서 ATA 표준 하에서 통상적인 두 개까지의 저장장치가 허용되는데, 그 중 하나는 "마스터" 장치로 명명되고 반면에 다른 하나는 "슬레이브" 장치로 명명된다. 상기한 장치 정보의 세부사항을 정의하는 각각의 영역은 183에서 "장치(devie)"라는 문구를, 185에서 "접속(access)"이라는 문구를, 그리고 187에서는 "MB 사이즈"라는 문구를 디스플레이 하기 위한 세 개의 부가적인 서브-레벨 배너들을 포함한다. 각각의 서브-배너를 위한 디스플레이 프레임들 189는, 관리자에 의해 설정되는 바와 같이, 사용자가 마스터 및/또는 슬레이브 장치 상에서 진술하도록 허용되는 장치의 세부사항(device details)을 열거하기 위한 장치, 접속 및 사이즈 배너(banner)들 아래에 각각 제공된다.
각각의 진술 가능한 장치에 대하여 디스플레이 되는 리스트는 다음과 같다:
- 장치의 번호;
- 사용자에 대한 접속 종류(타입); 및
- 장치의 MB 사이즈 (Mega-Byte 단위로).
그리고 상기한 접속 종류는 다음의 다섯 개의 가능한 표시들 중의 하나를 열거한다.
- 읽기 전용(read only), 적색 텍스트로 표시됨;
- 읽기/쓰기, 녹색 텍스트로 표시됨;
- 숨겨짐(invisible), 노랑색 텍스트로 표시됨;
- 디렉토리 입력 읽기, 회색 텍스트로 표시됨; 그리고
- 삭제(delete), 청색 텍스트로 표시됨.
상기한 메시지/로그 프레임 173은 "메시지"라는 문구와 디스플레이 프레임 159를 표시하기 위한 타이틀 배너(title banner) 157을 포함하는데, 이것은 이전의 스크린과 마찬가지로 스크롤이 가능한 리스트로서 보안장치에 의해 제공된 상태 메시지들을 디스플레이 한다.
사용자의 경우에는 장치 정보는 디스플레이 목적으로만 단지 제공되며 변경될 수는 없다.
이제 본 실시예에 있어서 디스플레이 프레임들 189에 포함된 리스트들 이면의 방법론과 그에 의해 제공되는 작용을 더 상세히 설명하면, 보호된 저장장치는 관리자의 결정에 의거하여 상이한 접속 허용 레벨들을 갖는 영역(zone)들 또는 분할된 구획(partition)들로 분할된다. 이러한 파티션들은 공지의 방법으로 생성될 수 있으며 각각의 저장장치의 종류에 대하여 개별적인 장치들로 표현된다. 예를 들면, 이러한 파티션들은C:, D:, E:F:를 포함할 수도 있다. 그리하여 각 사용자는 이러한 다섯 종류의 파티션들, 즉 읽기전용, 읽기/쓰기, 숨겨짐, 읽기 디렉토리 입력 및 삭제 중의 하나는 가질 수 있다.
"읽기전용" 접속은 사용자가 지정된 파티션에 존재하는 파일들 모두에 접속할 수는 있지만 그 파일 내용들을 단지 읽기만 하는 것을 의미한다. 사용자는 그러한 파티션에 있는 파일들에 관해서는 어떠한 쓰기나 삭제를 할 권한을 갖지 않는다.
"읽기/쓰기" 접속은 사용자가 지정된 파티션에 존재하는 파일들 모두에 접속할 수 있고 또한 그 파일 내용들에 관하여 읽기 및 쓰기 기능을 수행할 수는 있지만, 해당 파일들에 관해서는 삭제를 할 어떠한 권한을 갖지는 않는다.
"숨겨짐" 접속은 지정된 파티션 내에 있는 파일들 중의 어느 것도 사용자에게 어떠한 형태로든 접속이 불가능하고 또한 사용자에게 이용 가능한 해당 파티션에 대한 파일들의 디렉토리 리스트에 있어서 어떠한 파일의 세부사항도 열거되지 않거나 볼 수 없을 정도로 숨겨져 있음을 의미한다.
"읽기 디렉토리 입력" 접속은 사용자가 지정된 파티션의 파일들의 어떠한 디렉토리 리스트에 있는 명칭과 속성 등과 같은 파일 세부사항들을 열거할 수도 있지만, 사용자는 해당 파티션에 있는 파일들 중의 어떤 것에 관하여도 읽기, 쓰기 또는 삭제와 같은 권한을 갖지 않는다는 것을 의미한다.
"삭제" 접속은 지정된 파티션 내에서의 어떠한 파일들에 대해서도 가장 높은 레벨의 접속에 해당하는데, 그에 의해서 사용자는 읽기 및 쓰기 권한을 완벽하게 가질 뿐만 아니라 해당 파티션에 있는 모든 파일들에 관하여 삭제하는 권한도 또한 갖는다.
상기 사용자가 컴퓨터 시스템 11의 동작과 함께 계속할 준비가 되어 있을 때 시작 시스템 버튼 174가 190에 도시된 바와 같이 활성화되어, 상기한 신분확인 응용 프로그램은 보안장치 35에 신호를 보내어 단계 191에 의한 것과 같이 거기에 "부팅 가능(allow boot)" 상태를 설정한다. 상기한 바와 같이 "부팅 가능(allow boot)" 상태를 설정하는 과정은 단계 117에서 도시된 바와 같이 보안장치 35의 제2단계 동작의 개시를 유발함으로써 시스템 시동 시퀀스가 전술한 바와 같은 방식으로 단계 120과 같이 "웜 부팅(warm boot)" 인터럽트 벡터를 제공하는 신분확인 응용 프로그램 과정을 계속하도록 해준다. 이것은 사용자의 신분확인 응용 프로그램의 동작을 중지하게 한다.
사용자의 타입이 관리자인 경우에는 도 7c에 도시된 그래픽 사양에 의해 표현된 바와 같은 관리자용 스크린이 단계 168에서 전술한 사용자 신분확인 응용 프로그램을 통해 모니터 상에 사용자에게 디스플레이 된다. 관리자 타입 스크린 192는 실질적으로 사용자 타입의 스크린에 유사하고 이에 따라 두 개의 스크린들 사이에서 해당 속성들을 식별하기 위해 동일한 참조기호들이 사용되었다. 따라서 관리자용 타입의 스크린은 유사한 헤딩 프레임 193, 로그인 세부사항 195, 장치 세부사항 프레임 197 및 메시지/로그 프레임 199로 나뉘어 진다.
헤딩 프레임 193의 배너 타이틀 143에 관하여 텍스트는 스크린이 관리자용 타입의 로그인을 위한 것임을 지시하기 위해 변경된다.
상기한 장치 세부사항 프레임 197 및 메시지/로그 프레임 199는 실질적으로 사용자 타입의 스크린의 해당하는 속성들에 동일하고 나중에 더 기술될 것이다. 시작 시스템 버튼 174는 이전의 스크린의 시작 시스템 버튼과 동일한 방식으로 작동하는데, 그에 의해 200에 도시된 바와 같은 활성화 과정은 전술한 보안장치 135의제2단계 동작의 시작을 유발하게 된다.
상기한 로그인 세부사항 프레임 195와 함께 관리자의 패스워드를 변경하기 위한 동일한 시스템이 유사한 입력 프레임 153으로써 단계 201에 도시된 바와 같이 제공되며 사용자 타입의 로그인의 경우에서와 같이 새로운 패스워드 버튼 176을 접수한다. 그러나 상기 로그인 세부사항 프레임은 또한 편집 사용자 버튼 202를 포함하는데, 그것의 활성화는 단계 203에서 도시된 바와 같은 신분확인 응용 프로그램 내에서 편집과정을 유발하게 되어 관리자가 각각의 사용자들에 대한 데이터 접속 프로필들을 생성하고 편집하는 것을 가능케 해줌으로써 저장매체 21에 대해 허가된 접속을 위한 그들의 데이터 접속 프로필을 결정하도록 한다. 상기한 버튼 201의 활성화는 신분확인 응용 프로그램이 단계 204에서 관리자 편집 스크린을 사용자에게 디스플레이 하는 것을 가능케 하는데, 그것의 그래픽 사양은 도면 제7d도에 도시된다.
관리자용 사용자 편집 스크린 205는 헤딩 프레임 206, 편집용 사용자 세부사항 프레임 207, 메시지/로그 프레임 209 및 리턴-투-어드민(return to admin) 로그인 버튼 211로 나뉘어져 있다. 상기 스크린을 관리자 편집용 사용자 스크린으로서 나타내는 적절하게 표현된 타이틀 배너 143을 별도로 하고 상기한 헤딩 프레임 206은 이전의 헤딩 프레임과 동일하다. 마찬가지로, 메시지/로그 프레임 209는 이전의 스크린들로써의 메시지/로그 프레임과 실질적으로 동일하다. 이리하여 동일한 참조기호들이 이러한 스크린들 각각의 해당하는 속성들을 식별하기 위해 사용되었다.
편집용 사용자 세부사항 프레임 207에 관하여 이것은 단계 213에서 도시된 바와 같이 "사용자 리스트"라는 문구를 나타내는 타이틀 배너를, 그리고 단계 215에서 "사용자", 단계 217에서 "패스워드", 그리고 단계 219에서 "접속"이라는 문구들을 나타내는 서브-타이틀(sub-title)을 포함한다. 보호된 저장매체 21에 대해 접속이 가능한 모든 사용자들의 리스트가 스크롤 가능하게 그리고 편집이 또한 가능하게 디스플레이 되어 있는 서브-배너의 하부에는 편집 가능한 프레임 221이 제공된다. 이 리스트는 상기한 신분확인 응용 프로그램의 제어 하의 호스트 CPU 13과 그의 오퍼레이팅 시스템의 제어 하의 보안장치 CPU 37과의 사이의 통신작용으로부터 일어나는 저장장치의 플래시 롬 41 내에서 저장된 데이터로부터 도출된다.
리스트에서 각각의 사용자 입력항목은 다음 사항을 포함하는데, 각각의 서브-타이틀 배너 215, 217 및 219 하에서:
- 사용자 ID;
- 패스워드; 및
- 접속 버튼.
특정한 사용자를 위한 접속 버튼을 누를 때 그 사용자에 대한 접속 편집용 스크린이 나타날 것이다. 관리자 편집용 프로세스는 그것의 입력을 선택하여 키보드 상에서 ALT-d 키를 누름으로써 편집 프레임 221을 통해 관리자에 의해 사용자가 삭제되는 것을 가능케 한다.
새로운 사용자 생성용 버튼 223이 또한 새로운 사용자를 생성하기 위한 편집모드 사용자 세부사항 프레임 207 내에 포함된다. 상기 버튼 223의 활성화는 단계224에서 도시된 바와 같은 신분확인 응용 프로그램 내에서 소정의 프로세스를 일으킨다. 이것은 사용자 ID 및 패스워드 그리고 접수 버튼을 입력하기 위한 프레임들을 제공하는 관리자 편집용 사용자 스크린 205 상으로 대화 상자가 디스플레이 되도록 하는데, 여기서 그의 활성화 과정은 단계 225에서 도시된 바와 같은 편집 프레임 221에서 사용자 및 패스워드가 디스플레이 되도록 한다. 각각의 새로운 사용자는 초기에 정의된 디폴트(default) 데이터 접속 프로필을 갖는데, 그것은 관리자가 접속 편집 스크린을 사용하는 사용자에 대한 데이터 접속 프로필을 편집하는 것과 같은 시간까지 모든 파티션 장치들을 숨겨진 장치로 설정하게끔 한다. 상기 관리자는 편집모드 프레임 221에서의 편집을 필요로 하는 사용자에 대하여 226에서 도시된 해당하는 접속 버튼을 활성화함으로써 이 스크린을 평가하게 된다.
상기한 리턴-투-어드민(관리자 복귀용) 로그인 버튼 211은 227에 도시된 바와 같이 관리자 편집모드 사용자 스크린 205로부터 관리자 타입 로그인 스크린 191로 관리자가 복귀하는 것을 가능하게 하기 위해 제공된다.
편집모드 사용자 세부사항 프레임 207의 사용자 리스트에 열거된 어떤 사용자와 함께 서브-타이틀 배너 219 하부의 접속 버튼을 활성화하는 것은 도면 제7e도에 도시된 그래픽 사양을 구비한 관리자 접속 편집용 스크린을 상기한 신분확인 응용 프로그램이 단계 228에서 디스플레이 하도록 해준다. 관리자 접속 편집용 스크린 229는 헤딩 프레임 230과 편집모드 접속 세부항목 프레임 231, 메시지/로그 프레임 232 및 리턴-투-어드민 사용자 텍스트 편집용 스크린 버튼 233으로 나뉘어 진다.
상기 헤딩 프레임 230은 해당 스크린이 235에서 도시된 바와 같은 관리자 접속 편집모드 타입이라는 것을 식별하기 위해 적절한 텍스트가 타이틀 배너에 제공된다는 점을 제외하고는 이전의 스크린들에 있는 것과 동일하다. 상기한 메시지/로그 프레임 232는 이전의 스크린들에 있는 것과 동일하고 이에 따라서 스크린들 간의 해당하는 속성들을 확인하기 위해 동일한 참조기호가 사용되었다.
편집용 접속 세부사항 프레임 231은 "접속 세부사항(access details)"이라는 문구를 디스플레이하는 헤드 배너 235와, "사용자"라는 문구를 가지는 서브-배너 237과, 그리고 상기한 관리자 편집용 사용자 스크린 205로부터 선택된 특정한 사용자의 사용자 ID를 표시하기 위한 그에 인접한 디스플레이 프레임 239를 포함한다.
그 다음 상기한 편집용 접속 세부사항 프레임 229는 사용자 타입 로그인 스크린 169와 관리자 타입 로그인 스크린 192의 장치 프레임들에 대해 설정된 유사한 프레임을 제공하며, 그럼으로써 179와 181에 제공된 상기 보안장치 35에 의해 보호된 "마스터" 및 "슬레이브" 저장매체를 위한 배너들과 그리고 "장치", "접속" 및 "사이즈(MB)" 타이틀의 세부사항들을 정의하는 각각의 서브-타이틀 배너들 183, 185 및 187이 각 장치에 대해 제공된다.
사용자 로그인 및 관리자 로그인 스크린들의 장치 세부사항 프레임들 172 및 197의 디스플레이 프레임들 189에 유사한 이들 서브-타이틀 배너들 각각의 아래에 장치 세부사항 프레임들 239가 제공된다. 그러나 상기 장치 세부사항 프레임들 239는 편집이 가능하지만, 반면에 이전의 두 프레임들은 그렇지 않았다. 따라서 각각의 장치 세부사항 프레임들은 서브-타이틀 배너 183 하에 장치번호를, 서브-타이틀배너 185 하에 사용자를 위한 접속 타입을, 그리고 사이즈 (MB) 서브-타이틀 배너 187 하에는 장치 사이즈(MB 단위로)를 열거하게 된다.
사용자를 위한 접속 타입은 다음과 같이 다섯 종류로 나뉘어 진다.
- 읽기 전용(read only), 적색 텍스트로 표시됨;
- 읽기/쓰기, 녹색 텍스트로 표시됨;
- 숨겨짐(invisible), 노랑색 텍스트로 표시됨;
- 읽기 디렉토리 입력, 회색 텍스트로 표시됨; 그리고
- 삭제(delete), 청색 텍스트로 표시됨.
전술한 경우와 마찬가지로 장치번호는 특정한 저장매체 장치에 대해 생성되는 각각의 파티션들을 나타낸다. 이것은 사이즈 정보와 함께 단지 디스플레이용이며, 보안장치의 플래시 롬 41 내에 저장된 특정한 파티션에 대해 규정된 정보에 의해 결정되는 바, 반면에 접속 타입은 디스플레이 된 입력을 하이라이트 형태로 강조하여 선택(click)하게 함으로써 편집이 가능하게 된다. 이러한 관점에서 디스플레이 된 입력들은 읽기 전용, 읽기/쓰기, 숨겨짐, 읽기 디렉토리 입력 및 삭제 사이에서 표시된 텍스트 주위의 눈에 보이지 않는 프레임을 선택(click)함에 의해 그래픽 상의 사용자 인터페이스를 통해 반복된다.
이러한 방법으로 각 파티션에 대한 접속 타입은 선택된 사용자에 대한 특정한 데이터 접속 프로필을 생성하도록 개별적으로 설정되고 편집될 수 있다. 사용자에 대해 생성된 특정한 데이터 접속 프로필은 신분확인 응용 프로그램에 의해 처리되어 단계 241에 도시된 바와 같이 상기한 리턴-투-어드민 사용자 편집용 스크린버튼 233을 활성화할 때 보안장치 35에 제공된다. 이 때 관리자에 의해 결정되는 상기한 디스플레이 데이터 접속 프로필은 호스트 CPU 13에 의해 보안장치 CPU 35로 전달되어 보안장치 플래시 롬 41 내에 저장된다.
이와 동시에 상기한 신분확인 응용 프로그램은 관리자가 그로부터 편집 리스트 207에 있는 다른 사용자들의 데이터 접속 프로필을 선택하고 편집할 수 있는 관리자 편집용 사용자 스크린 205를 디스플레이 하는 과정으로 복귀한다.
지금까지 특정한 실시예에 따른 컴퓨터 시스템 및 보안장치에 의해 수행되는 기능과 여러 가지 프로세스들을 기술하였는바, 본 발명은 종래기술에 따른 시스템들과 비교하여 여러 가지의 현저하게 구별되고 바람직한 속성들을 갖는다는 것을 이해할 수 있을 것이다.
특히 본 실시예에 있어서 기술된 보안장치 그 자체는 메인 CPU 데이터 및 어드레스 버스 15와 저장매체 21과 서로 통신하는 인터페이스 로직부 및 컴퓨터 시스템 사이의 데이터 접속 채널에만 단지 연결되도록 물리적으로 구성된다. 중요한 것은, 상기 보안장치는 메인 버스 15에 직접 연결되지 않게 구성함으로써 그 장치가 어드레스가 가능한 장치로서 작용하여 호스트 CPU 13의 작동에 의해 서로 연관될(over-ridden) 기회를 방지한다는 것이다.
더욱이 데이터 접속 채널을 따라 저장매체와 통신하는 것에 국한된다는 점과 컴퓨터 시스템의 메인 버스 구조와 비교하여 그러한 접속 채널들의 더 일반적인 표준화가 구성된다는 점 덕분에, 변동형의 버스 구조를 갖지만 동일한 데이터 접속 채널 표준을 활용할 수 있는 다수의 상이한 종류들의 컴퓨터 시스템들에 대해 사용하기 위한 보안장치의 활용도를 더욱 증가하게 된다. 이러한 관점에서는 몇 가지의 공통적인 유형의 데이터 접속 채널, ATA, SCSI, 파이버(fiber), USB (Universal Serial Bus) 등이 있지만, 반면에 버스 구조의 다양성 및 복잡성은 훨씬 더 널리 받아들여지고 있다.
본 발명의 또 다른 속성 중의 하나는 보안장치가 컴퓨터의 시동 시퀀스에 있어서 가능한 가장 초기의 단계에서 보호된 데이터 저장매체와 통신하는 것을 인터셉트하고 전적으로 독립적으로 구성되어 컴퓨터 시스템의 일부로서 연결된다는 것이다. 다른 종류의 데이터 저장 보호 장치들 및 바이러스 대항(anti-virus) 시스템들은 완전히 독립적으로 구성되지는 않는바, 이것은 개별적인 플로피 디스크, CD ROM 또는 다른 방식의 설치용 소프트웨어를 호스트 컴퓨터에 삽입하는 환경을 필요로 하게 되며, 그러한 컴퓨터는 "장치 ID"의 수행 후에 BIOS 프로그램에 들어갈 때까지는 접속되지 않는데, 여기서 상기 보안장치는 인가되지 않은 접속에 대해서는 취약하거나 특히 오퍼레이팅 파일들의 설치 후에는 보안상 더 취약하게 된다. 특히 최근에 널리 장려되고 있는 바이러스-대항용 보호 시스템의 주류에 속하는 추세인 소프트웨어적인 보호 시스템과 비교하여, 컴퓨터의 오퍼레이팅 시스템이 응용 프로그램이 작동 가능하게 되기 이전에 로딩 될 필요가 있는데, 이것은 어떤 종류의 보호 장치가 바이러스-대항 응용 프로그램에 의해 제공되기 전에 전술한 설명으로부터 이해되는 것과 같은 저장장치에 대한 인가되지 않은 접속을 위한 큰 기회를 제공하게 되는 것이다.
상술한 실시예에 따른 또 다른 속성은 컴퓨터 시스템의 시동 시퀀스 중에 두단계의 프로세스가 실행된다는 것인데, 그것에 의해 전술한 BIOS가 장치 ID 체크 단계에서 인터럽트 되고 보호된 상기 저장장치와 그의 오퍼레이팅 시스템으로부터 부트 섹터를 로딩하기 이전에 신분확인 과정이 수행된다. 따라서 저장장치에 대한 접속이 허용되는 것은 처음으로 장비를 시동하는 사용자에 대한 신분확인 과정이 유효하게 실행된 후이고, 이 때 특정한 사용자의 미리 규정된 데이터 접속 프로필에 따라 상기한 보호된 저장매체로의 접속이 허용되는 것이다.
전술한 보안장치 35의 특정한 구성은 확장성을 제공하며, 커스텀 인터페이스 49와 보안성 매체 인터페이스 45를 경유해 다른 종류의 저장매체 47이 그에 연결됨을 가능하게 해준다.
본 발명은 컴퓨터 시스템에서 데이터 및 정보를 안전하게 저장하기 위한 보안 시스템 및 그 보안 방법에 이용된다.
이상 본 발명은 예시적인 특정 실시예들을 참조하여 설명되었지만, 당해 기술 분야의 전문가라면 본 발명의 정신과 교시를 이탈함이 없이도 여러 가지의 변형 및 기능적으로 대등한 구성 요소들에 의해 그의 일부가 대체될 수도 있다는 점을 이해하여야 할 것이다.
예를 들면, 상기한 보안장치의 물리적인 위치는 저장장치 또는 그 매체를 인터페이스 로직에 케이블로 중간에 연결하는 것에 한정되지는 않는데, 여기서 상기한 보안장치는 컴퓨터 측의 물리적 케이블 커넥터 이전에 인터페이스 로직 부근에서 시스템 카드 상에 직접 놓여지거나 또는 HDD 측의 물리적 케이블 커넥터 다음에디스크 컨트롤러에 인접하여 저장매체 HDD 상에 직접 놓여지도록 구성될 수도 있다.

Claims (86)

  1. 호스트 중앙처리장치(CPU)와, 컴퓨터를 작동하기 위하여 프로그램을 로딩하는 상기 호스트 CPU에 의해 사용되는 메모리와, 컴퓨터에 의해 취급되는 데이터를 저장하기 위한 저장장치를 구비한 컴퓨터를 위한 보안장치에 있어서,
    상기 보안장치는:
    상기 호스트 CPU와 저장장치 간의 접속을 제어하기 위한 상기 호스트 CPU와는 독립적으로 구성된 처리수단과; 그리고
    컴퓨터 프로그램들을 영구적으로 저장하고 제공하는 저장장치와 컴퓨터의 메모리로부터 독립적으로 구성되어, 상기한 접속을 제어하기 위한 소정의 방식으로 상기 처리수단을 동작시키기 위한 프로그램 메모리 수단을 포함하며;
    상기 보안장치는 호스트 CPU와 저장장치 간의 데이터 접속 채널과 일치하도록 단지 연결됨과 아울러 상기 호스트 CPU의 메인 데이터와 제어 버스와 분리되게 구성함을 특징으로 하는 보안장치.
  2. 제1항에 있어서, 상기 보안장치는 저장장치에 대한 접속과 컴퓨터의 기본적인 동작과 관련되는 제어요소들과 결정 데이터를 저장하는 컴퓨터의 저장장치 및 메모리 수단과는 독립적인 메모리 저장 수단을 포함함을 특징으로 하는 보안장치.
  3. 제2항에 있어서, 상기 결정 데이터 및 제어요소들은 호스트 CPU에 공급되어컴퓨터의 시동(start-up) 시퀀스 동안 저장장치와는 별개로 저장장치의 검증과 해당 컴퓨터의 작동을 위해 상기 호스트 CPU에 의해 사용됨을 특징으로 하는 보안장치.
  4. 제1 항내지 제3항 중 어느 한 항에 있어서, 상기 보안장치는 저장장치에 대한 미리 규정된 소정의 접속 프로필을 갖는 해당 컴퓨터 사용자의 신분을 확인하기 위한 확인수단을 포함함을 특징으로 하는 보안장치.
  5. 제 4항에 있어서, 상기 확인수단은 컴퓨터의 시동 시퀀스가 더 진행되기 이전에 컴퓨터의 사용자가 로그인 사용자 ID와 패스워드를 입력하여 그 사용자 ID와 패스워드가 해당 저장장치에 대한 규정된 접속 프로필을 갖는 인가된 컴퓨터 사용자에 해당하는지의 여부를 확인하도록 검증하는 로그인 검증수단을 포함하여 구성됨을 특징으로 하는 보안장치.
  6. 제 5항에 있어서, 인가된 사용자의 상기 로그인 사용자 ID와 패스워드 및 상기 규정된 접속 프로필은 상기한 결정 데이터 및 제어요소들의 일부를 구성하고 또한 상기 로그인 검증수단은 사용자의 신분확인을 수행하기 위하여 상기 결정 데이터 및 제어요소들에 접속함을 특징으로 하는 보안장치.
  7. 제 5항 또는 제6항에 있어서, 상기한 규정된 접속 프로필은 저장장치의 소정의 구획 또는 영역들에 대하여 그 컴퓨터의 인가된 사용자에게 허용된 소정의 접속 레벨에 대한 미리 정의된 할당정보를 포함함을 특징으로 하는 보안장치.
  8. 제1항 내지 제7항 중의 어느 한 항에 있어서, 상기 보안장치는 그 장치의 초기화 이전에 호스트 CPU에 의한 데이터 저장장치에 대한 모든 데이터 접속을 차단함과 아울러 상기 처리수단의 제어 하에 상기 초기화 바로 후에는 상기한 모든 데이터 접속을 인터셉트하기 위한 인터셉팅 수단을 포함함을 특징으로 하는 보안장치.
  9. 제3항 내지 제8항 중의 어느 한 항에 있어서, 상기 결정 데이터 및 제어요소들은 컴퓨터가 상기한 시동 시퀀스 동안 주변장치들에 대한 점검을 완료함을 가능하게 해주는 상기 저장장치에 관하여 일종의 식별(ID) 데이터를 포함함을 특징으로 하는 보안장치.
  10. 제4항 내지 제9항 중의 어느 한 항에 있어서, 상기 결정 데이터 및 제어요소들은 호스트 CPU에 공급되어 컴퓨터의 시동(start-up) 시퀀스 동안 저장장치와는 별개로 저장장치의 검증과 해당 컴퓨터의 작동을 위해 상기 호스트 CPU에 의해 사용되도록 하는 한편, 상기 결정 데이터 및 제어요소들은 상기한 시동 시퀀스 동안 컴퓨터의 동작을 진행하기 위하여 상기 확인수단이 구동되게 하는 것을 수반하는 커스텀 부팅(custom boot) 섹터를 포함함을 특징으로 하는 보안장치.
  11. 제4항 내지 제10항 중의 어느 한 항에 있어서, 상기 확인수단은 프로그램 메모리 수단, 메모리 저장 수단 또는 저장장치에 저장된 신분확인 응용 프로그램을 포함함을 특징으로 하는 보안장치.
  12. 제11항에 있어서, 상기 신분확인 응용 프로그램은 특정한 미리 규정된 접속 레벨을 갖는 인가된 사용자가 저장장치에 접속하기 위한 인가된 사용자들을 생성하고 편집하는 것을 가능하게 하기 위한 사용자 편집 수단을 포함함을 특징으로 하는 보안장치.
  13. 제11항 또는 제12항에 있어서, 상기 신분확인 응용 프로그램은 특정한 미리 규정된 접속 레벨을 갖는 상기 인가된 사용자가 저장장치에 대한 접속이 허용된 모든 인가된 사용자들에 대하여 상기 규정된 구획(파티션) 또는 영역(존)들에 대한 특정한 미리 규정된 접속 수준을 할당하고 편집하는 것을 가능하게 하는 접속 프로필 편집수단을 포함함을 특징으로 하는 보안장치.
  14. 호스트 중앙처리장치(CPU)와, 컴퓨터 및 저장장치를 작동하기 위하여 프로그램을 로딩하기 위한 상기 호스트 CPU에 의해 사용되는 메모리를 구비한 컴퓨터에 의해서 처리되는 데이터를 저장하기 위한 저장장치에 대한 인가되지 않은 사용자의 사용으로부터 안전하게 보호 및 보안하기 위한 방법에 있어서:
    상기 호스트 CPU와 그 호스트 CPU로부터 독립적인 저장장치 간의 접속을 제어하는 과정; 그리고
    상기 메모리로부터 분리되어 상기 호스트 CPU에 의한 어드레스가 불가능한 위치에서 상기 접속 제어를 수행하기 위하여 영구적으로 컴퓨터 프로그램들을 저장하는 과정을 포함함을 특징으로 하는 방법.
  15. 제14항에 있어서, 상기 메모리로부터 분리되어 상기 호스트 CPU에 의한 어드레스가 불가능한 위치에서 상기 저장장치에 대한 접속과 컴퓨터의 기본적인 동작과 관련되는 제어요소들과 결정 데이터를 저장하는 과정을 더 포함함을 특징으로 하는 방법.
  16. 제15항에 있어서, 상기 호스트 CPU에 공급되어 컴퓨터의 시동 시퀀스 동안 저장장치와는 독립적으로 저장장치의 검증과 해당 컴퓨터의 작동을 위하여 상기 결정 데이터 및 제어요소들을 상기 호스트 CPU에 제공하는 과정을 더 포함함을 특징으로 하는 방법.
  17. 제14항 내지 제16항 중의 어느 하나에 있어서, 상기 방법은 상기 저장장치에 대한 미리 규정된 소정의 접속 프로필을 갖는 컴퓨터 사용자의 신분을 확인하기 위한 확인과정을 더 포함함을 특징으로 하는 방법.
  18. 제17항에 있어서, 상기 확인 과정은 해당 컴퓨터의 시동 시퀀스가 더 진행되기 이전에 컴퓨터의 사용자가 로그인 사용자 ID와 패스워드를 입력하여 상기한 사용자 ID와 패스워드가 해당 저장장치에 대한 규정된 접속 프로필을 갖는 인가된 컴퓨터 사용자에 해당하는지의 여부를 확인하기 위한 검증이 가능하도록 해주는 과정을 더 포함함을 특징으로 하는 방법.
  19. 제18항에 있어서, 인가된 사용자의 상기 로그인 사용자 ID와 패스워드 및 그것의 규정된 접속 프로필은 상기한 결정 데이터 및 제어요소들의 일부를 구성하는 한편, 또한 상기한 검증 과정은 입력된 로그인 ID와 패스워드를 상기 결정 데이터 및 제어요소들 내의 로그인 ID 및 패스워드와 비교하여 서로 일치되면 사용자의 신분을 확인해 주는 과정을 더 포함함을 특징으로 하는 방법.
  20. 제18항 또는 제19항에 있어서, 상기한 미리 규정된 접속 프로필은 저장장치의 소정의 구획 또는 영역들에 대한 인가된 사용자에게만 허용된 소정의 접속 수준에 대한 소정의 할당정보를 포함함을 특징으로 하는 방법.
  21. 제14항 내지 제20항 중의 어느 하나에 있어서, 상기 방법은 컴퓨터의 초기화 도중의 데이터 저장장치에 대한 호스트 CPU에 의한 모든 데이터 접속을 차단함과 아울러 상기 초기화 과정 후의 시동 시퀀스 중에는 상기한 모든 데이터 접속을 인터셉트하는 과정을 포함함을 특징으로 하는 방법.
  22. 제15항 내지 제21항 중의 어느 한 항에 있어서, 상기 결정 데이터 및 제어요소들은 컴퓨터가 상기한 시동 시퀀스 동안 주변장치에 대한 점검을 완료가능하도록 상기 저장장치에 관하여 식별(ID) 데이터를 포함함을 특징으로 하는 방법.
  23. 제17항 내지 제22항 중 어느 한 항에 있어서, 상기 결정 데이터 및 제어요소들은 상기 확인 과정을 구동하는 것을 수반하는 컴퓨터를 위한 커스텀 부트 섹터를 포함하고,
    상기 방법은 커스텀 부트 섹터로써 상기한 시동 시퀀스 동안 컴퓨터의 동작을 진행하는 과정과 그러한 시간에 컴퓨터 사용자의 신분을 확인하는 과정을 포함함을 특징으로 하는 방법.
  24. 제17항 내지 제23항 중의 어느 한 항에 있어서, 상기 신분 확인 과정은 특정한 미리 규정된 접속 레벨의 인가된 사용자가 상기 저장장치에 대한 접속이 허용된 인가된 사용자들을 지정하기 위해 상기 결정 데이터 및 제어요소들 내의 로그인 ID들과 패스워드들을 생성하고 편집하는 것을 가능하게 하는 과정을 포함함을 특징으로 하는 방법.
  25. 제24항에 있어서, 상기 확인 과정은 특정한 미리 규정된 접속 레벨의 상기 인가된 사용자가 상기 결정 데이터 및 저장요소들 내에서 저장장치에 대한 접속이허용된 모든 인가된 사용자들에 대하여 상기 규정된 구획 또는 영역들에 대한 특정한 미리 규정된 접속 수준들을 할당하고 편집하는 것을 가능하게 하는 과정을 포함함을 특징으로 하는 방법.
  26. 호스트 중앙처리장치(CPU)와, 컴퓨터를 작동하기 위하여 프로그램을 로딩하는 상기 호스트 CPU에 의해 사용되는 메모리와, 컴퓨터에 의해 취급되는 데이터를 저장하기 위한 저장장치를 구비한 컴퓨터를 위한 보안장치에 있어서:
    상기 호스트 CPU와 저장장치 간의 접속을 제어하기 위한 상기 호스트 CPU와는 독립적으로 구성된 처리수단과;
    상기 보안장치의 초기화 이전에 데이터 저장장치에 대한 호스트 CPU에 의한 모든 데이터 접속을 차단함과 아울러 상기 처리수단의 제어 하에 상기 초기화 바로 후에 상기한 모든 데이터 접속을 인터셉트하기 위한 인터셉팅 수단을 포함하고;
    상기 처리수단은 상기 초기화 바로 후에 상기 데이터 접속을 인터셉트하는 상기 인터셉팅 수단 상에서 저장장치에 대한 인가되지 않은 접속을 방지하도록 하는 방식으로 상기 컴퓨터의 구성과 상기 호스트 CPU의 독립적인 제어를 수행함을 특징으로 하는 보안장치.
  27. 제26항에 있어서, 상기 보안장치는 상기한 접속을 제어하기 위한 규정된 방식으로 상기 처리수단을 동작하기 위한 컴퓨터 프로그램들을 영구적으로 저장하고 제공하기 위한 저장장치와 컴퓨터 메모리와는 독립적인 프로그램 메모리 수단을 포함함을 특징으로 하는 보안장치.
  28. 제26항 또는 제27항에 있어서, 상기 보안장치는 저장장치에 대한 접속과 컴퓨터의 기본적인 동작과 관련되는 제어요소들과 결정 데이터를 저장하는 컴퓨터의 저장장치 및 메모리 수단과는 독립적인 메모리 저장 수단을 포함하여 구성함을 특징으로 하는 보안장치.
  29. 제28항에 있어서, 상기 결정 데이터 및 제어요소들은 호스트 CPU에 공급되어 컴퓨터의 시동 시퀀스 동안 저장장치와는 별개로 저장장치의 검증과 해당 컴퓨터의 작동을 위해 상기 호스트 CPU에 의해 사용되도록 구성함을 특징으로 하는 보안장치.
  30. 제29항에 있어서, 상기 결정 데이터 및 제어요소들은 컴퓨터의 시동 시퀀스 동안 컴퓨터가 그의 주변장치들에 대한 점검을 완료하도록 하기 위한 저장장치에 관한 식별 데이터를 포함함을 특징으로 하는 보안장치.
  31. 제26항 내지 제30항 중 어느 한 항에 있어서, 상기 보안장치는 저장장치에 대한 미리 규정된 소정의 접속 프로필을 갖는 해당 컴퓨터 사용자의 신분을 확인하기 위한 확인수단을 포함함을 특징으로 하는 보안장치.
  32. 제29항을 인용한 제31항에 있어서, 상기 결정 데이터 및 제어요소들은 상기한 시동 시퀀스 동안 컴퓨터의 동작을 진행하기 위하여 상기 확인수단이 구동되게 하는 것을 수반하는 하나의 커스텀 부트 섹터를 포함함을 특징으로 하는 보안장치.
  33. 제29항을 인용한 제31항에 있어서, 상기 확인수단은 컴퓨터의 시동 시퀀스가 더 진행되기 이전에 컴퓨터의 사용자가 로그인 사용자 ID와 패스워드를 입력하여 그 사용자 ID와 패스워드가 해당 저장장치에 대한 규정된 접속 프로필을 갖는 인가된 컴퓨터 사용자에 해당하는지의 여부를 확인하기 위해 검증이 되게끔 해주기 위한 로그인 검증수단을 포함함을 특징으로 하는 보안장치.
  34. 제33항에 있어서, 인가된 사용자의 상기 로그인 사용자 ID와 패스워드 및 규정된 접속 프로필은 상기한 결정 데이터 및 제어요소들의 일부를 구성하고 또한 상기 로그인 검증수단은 사용자의 신분확인을 수행하기 위하여 상기 결정 데이터 및 제어요소들을 접속하도록 구성함을 특징으로 하는 보안장치.
  35. 제33항 또는 제34항에 있어서, 상기한 규정된 접속 프로필은 저장장치의 소정의 구획 또는 영역들에 대하여 그 컴퓨터의 인가된 사용자에게 허용된 소정의 접속 수준에 대한 미리 규정된 소정의 할당정보를 포함함을 특징으로 하는 보안장치.
  36. 제31항 내지 제35항 중의 어느 한 항에 있어서, 상기 확인수단은 프로그램메모리 수단, 메모리 저장 수단 또는 저장장치에 저장된 신분확인용 응용 프로그램을 포함함을 특징으로 하는 보안장치.
  37. 제36항에 있어서, 상기 신분확인용 응용 프로그램은 특정한 미리 규정된 접속 레벨을 갖는 인가된 사용자가 저장장치에 접속하기 위한 인가된 사용자들을 생성하고 편집하는 것을 가능하게 하기 위한 사용자 편집 수단을 포함함을 특징으로 하는 보안장치.
  38. 제36항 또는 제37항에 있어서, 상기 신분확인 응용 프로그램은 특정한 미리 규정된 접속 레벨을 갖는 상기 인가된 사용자가 저장장치에 대한 접속이 허용된 모든 인가된 사용자들에 대하여 상기 규정된 구획 또는 영역들에 대한 특정한 미리 규정된 접속 수준을 할당하고 편집하는 것을 가능하게 하는 접속 프로필 편집수단을 포함함을 특징으로 하는 보안장치.
  39. 제26항 내지 제38항 중의 어느 한 항에 있어서, 상기 보안장치는 호스트 CPU와 저장장치 간의 데이터 접속 채널과 단지 정합되도록 연결되는 한편 상기 호스트 CPU의 메인 데이터와 제어 버스를 벗어나게 연결되도록 구성됨을 특징으로 하는 보안장치.
  40. 호스트 중앙처리장치(CPU)와, 컴퓨터 및 저장장치를 작동하기 위하여 프로그램들을 로딩하기 위한 상기 호스트 CPU에 의해 사용되는 메모리를 구비한 컴퓨터에 의해서 처리되는 데이터를 저장하기 위한 저장장치를 인가되지 않은 사용자의 접속으로부터 안전하게 보호 및 보안하기 위한 방법에 있어서:
    상기 호스트 CPU와 그 호스트 CPU로부터 독립적인 저장장치 간의 접속을 제어하는 과정;
    상기 컴퓨터의 초기화 중에 저장장치에 대한 호스트 CPU에 의한 모든 데이터 접속을 차단하는 과정; 그리고
    상기 초기화 후에 시동 시퀀스 중의 모든 데이터 접속을 인터셉트하여 상기 저장장치에 대한 인가되지 않은 접속을 방지하도록 하는 방식으로 상기 컴퓨터의 구성과 상기 호스트 CPU의 독립적인 제어를 수행하는 과정을 포함함을 특징으로 하는 방법.
  41. 제40항에 있어서, 상기 방법은 메모리로부터 분리되어 호스트 CPU에 의한 어드레스가 불가능한 위치에서 상기한 접속 제어를 수행하기 위한 컴퓨터 프로그램을 영구적으로 저장하는 과정을 포함함을 특징으로 하는 방법.
  42. 제40항 또는 제41항에 있어서, 상기 메모리로부터 분리되어 상기 호스트 CPU에 의한 어드레스가 불가능한 위치에서 상기 저장장치에 대한 접속과 컴퓨터의 기본적인 동작과 관련되는 제어요소들과 결정 데이터를 저장하는 과정을 더 포함함을 특징으로 하는 방법.
  43. 제42항에 있어서, 상기 컴퓨터의 시동 시퀀스 동안 저장장치와는 독립적으로 상기 저장장치의 검증과 해당 컴퓨터의 작동을 위하여 상기 결정 데이터 및 제어요소들을 상기 호스트 CPU에 독립적으로 제공하는 과정을 더 포함함을 특징으로 하는 방법.
  44. 제43항에 있어서, 상기 결정 데이터 및 제어요소들은 컴퓨터가 상기한 시동 시퀀스 동안 주변장치에 대한 점검을 완료하는 것을 가능하게 해주기 위한 상기 저장장치에 관하여 식별(ID) 데이터를 포함함을 특징으로 하는 방법.
  45. 제40항 내지 제44항 중의 어느 한 항에 있어서, 상기 방법은 상기 저장장치에 대한 미리 규정된 소정의 접속 프로필을 갖는 컴퓨터 사용자의 신분을 확인하기 위한 확인과정을 더 포함함을 특징으로 하는 방법.
  46. 제45항에 있어서, 상기 결정 데이터 및 제어요소들은 상기 신분 확인 과정을 구동하는 것을 수반하는 컴퓨터를 위한 커스텀 부트 섹터를 포함하고, 상기 방법은 커스텀 부트 섹터에 의해서 상기한 시동 시퀀스 동안 컴퓨터의 동작을 진행하는 과정과 그러한 시간대에 컴퓨터 사용자의 신분을 확인하는 과정을 포함함을 특징으로 하는 방법.
  47. 제45항 또는 제46항에 있어서, 상기 신분 확인 과정은 해당 컴퓨터의 시동 시퀀스가 더 진행되기 이전에 컴퓨터의 사용자가 로그인 사용자 ID와 패스워드를 입력하는 과정과 그리고 상기한 사용자 ID와 패스워드가 해당 저장장치에 대한 규정된 접속 프로필을 갖는 인가된 컴퓨터 사용자에 해당하는지의 여부를 확인하기 위한 그러한 검증이 가능하도록 해주는 과정을 더 포함함을 특징으로 하는 방법.
  48. 제47항에 있어서, 인가된 사용자의 상기 로그인 사용자 ID와 패스워드 및 그것의 규정된 접속 프로필은 상기한 결정 데이터 및 제어요소들의 일부를 구성하는 한편, 또한 상기한 검증 과정은 입력된 로그인 ID와 패스워드를 상기 결정 데이터 및 제어요소들 내의 로그인 ID 및 패스워드와 비교하여 서로 일치되면 사용자의 신분을 확인해 주는 과정을 더 포함함을 특징으로 하는 방법.
  49. 제48항에 있어서, 상기한 미리 규정된 접속 프로필은 저장장치의 소정의 구획 또는 영역들에 대한 인가된 사용자에게만 허용된 소정의 접속 수준에 대한 소정의 할당정보를 포함함을 특징으로 하는 방법.
  50. 제49항에 있어서, 상기 신분 확인 과정은 특정한 소정의 접속 레벨의 인가된 사용자가 상기 저장장치에 대한 접속이 허용된 인가된 사용자들을 지정하기 위해 상기 결정 데이터 및 제어요소들 내의 로그인 ID들과 패스워드들을 생성하고 편집하는 것을 가능하게 하는 과정을 포함함을 특징으로 하는 방법.
  51. 제50항에 있어서, 상기 확인 과정은 특정한 미리 규정된 접속 레벨의 상기 인가된 사용자가 상기 결정 데이터 및 저장요소들 내에서 저장장치에 대한 접속이 허용된 모든 인가된 사용자들에 대하여 상기 규정된 구획 또는 영역들에 대한 특정한 소정의 접속 레벨들을 할당하고 편집하는 것을 가능하게 하는 과정을 포함함을 특징으로 하는 방법.
  52. 호스트 중앙처리장치(CPU)와, 컴퓨터를 작동하기 위하여 프로그램을 로딩하는 상기 호스트 CPU에 의해 사용되는 메모리와, 컴퓨터에 의해 취급되는 데이터를 저장하기 위한 저장장치를 구비한 컴퓨터를 위한 보안장치에 있어서:
    상기 호스트 CPU와 저장장치 간의 접속을 선택적으로 차단하기 위한 차단수단; 및
    상기 저장장치에 대한 규정된 접속 프로필을 갖는 컴퓨터의 사용자에 대한 신분을 확인하기 위한 신분확인 수단을 포함하고;
    상기 차단수단은 상기 신분확인 수단이 컴퓨터의 사용자에 대한 정확한 신분확인 절차를 완료할 때까지 데이터 접속을 차단하기를 유지하는 것을 특징으로 하는 보안장치.
  53. 제52항에 있어서, 상기 보안장치는 상기한 신분확인 수단에 응답하여 호스트 CPU와 저장장치 간의 접속을 차단하기 위한 상기 차단 수단의 동작을 제어하기 위한 상기 호스트 CPU와는 독립적으로 구성된 처리수단을 포함함을 특징으로 하는 보안장치.
  54. 제53항에 있어서, 상기 차단수단은 보안장치의 초기화 이전에 데이터 저장장치에 대한 호스트 CPU에 의한 모든 데이터 접속을 차단하는 한편 상기 처리수단의 제어 하에 상기 초기화 바로 후에는 상기한 모든 데이터 접속을 인터셉트하기 위한 인터셉팅 수단을 포함함을 특징으로 하는 보안장치.
  55. 제54항에 있어서, 상기 처리수단은 상기 초기화 바로 후에 그리고 컴퓨터의 오퍼레이팅 시스템의 로딩 이전에 상기 데이터 접속을 인터셉트하는 상기 인터셉팅 수단에 상에서 저장장치에 대한 인가되지 않은 접속을 방지하도록 하는 방식으로 컴퓨터의 구성과 상기 호스트 CPU의 독립적인 제어를 수행함을 특징으로 하는 보안장치.
  56. 제53항 내지 제55항 중의 어느 한 항에 있어서, 상기 신분확인 수단은 사용자의 정확한 신분의 확인 후에 컴퓨터의 소프트웨어 부팅이 수행되도록 해주며, 상기 처리수단은 상기한 소프트웨어 부팅에 후속하는 컴퓨터의 시동 시퀀스 동안 오퍼레이팅 시스템의 정상적인 로딩이 이루어지도록 허용하는 것을 특징으로 하는 보안장치.
  57. 제53항 내지 제56항 중의 어느 한 항에 있어서, 상기 처리수단은 사용자의 규정된 접속 프로필에 따른 해당 사용자의 정확한 신분의 확인 후에 상기 저장장치에 대한 접속차단을 수행하는 상기 차단수단을 제어하는 것을 특징으로 하는 보안장치.
  58. 제53항 내지 제57항 중의 어느 한 항에 있어서, 컴퓨터 프로그램들을 영구적으로 저장하고 제공하는 저장장치와 컴퓨터의 메모리와는 독립적으로 구성되어 상기한 접속을 제어하기 위한 소정의 방식으로 상기 처리수단을 동작시키기 위한 프로그램 메모리 수단을 포함함을 특징으로 하는 보안장치.
  59. 제52항 내지 제58항 중의 어느 한 항에 있어서, 상기 보안장치는 저장장치에 대한 접속과 컴퓨터의 기본적인 동작과 관련되는 제어요소들과 결정 데이터를 저장하는 컴퓨터의 저장장치 및 메모리 수단과는 독립적인 메모리 저장 수단을 포함함을 특징으로 하는 보안장치.
  60. 제59항에 있어서, 상기 결정 데이터 및 제어요소들은 호스트 CPU에 공급되어 컴퓨터의 시동 시퀀스 동안 저장장치와는 별개로 저장장치의 검증과 해당 컴퓨터의 작동을 위해 상기 호스트 CPU에 의해 사용되도록 구성함을 특징으로 하는 보안장치.
  61. 제60항에 있어서, 상기 결정 데이터 및 제어요소들은 컴퓨터의 시동 시퀀스 동안 컴퓨터가 그의 주변장치들에 대한 점검을 완료하도록 하기 위한 저장장치에 관한 식별 데이터를 포함함을 특징으로 하는 보안장치.
  62. 제61항에 있어서, 상기 결정 데이터 및 제어요소들이 상기한 시동 시퀀스 동안 컴퓨터의 동작을 진행하기 위하여 상기 확인수단이 구동되게 하는 것을 수반하는 하나의 커스텀 부트 섹터를 포함함을 특징으로 하는 보안장치.
  63. 제60항 내지 제62항에 있어서, 상기 확인수단은 컴퓨터의 시동 시퀀스가 더 진행되기 이전에 컴퓨터의 사용자가 로그인 사용자 ID와 패스워드를 입력하여 그 사용자 ID와 패스워드가 해당 저장장치에 대한 규정된 접속 프로필을 갖는 인가된 컴퓨터 사용자에 해당하는지의 여부를 확인하도록 검증하게 해주는 로그인 검증수단을 포함함을 특징으로 하는 보안장치.
  64. 제63항에 있어서, 인가된 사용자의 상기 로그인 사용자 ID와 패스워드 및 규정된 접속 프로필은 상기한 결정 데이터 및 제어요소들의 일부를 구성하고 또한 상기 로그인 검증수단은 사용자의 신분확인을 수행하기 위하여 상기 결정 데이터 및 제어요소들을 접속함을 특징으로 하는 보안장치.
  65. 제52항 내지 제64항 중의 어느 하나에 있어서, 상기한 규정된 접속 프로필은저장장치의 소정의 구획 또는 영역들에 대하여 그 컴퓨터의 인가된 사용자에게 허용된 소정의 접속 수준에 대한 미리 정의된 할당정보를 포함함을 특징으로 하는 보안장치.
  66. 제52항 내지 제65항 중의 어느 한 항에 있어서, 상기 확인수단은 프로그램 메모리 수단, 메모리 저장 수단 또는 저장장치에 저장된 신분확인용 응용 프로그램을 포함함을 특징으로 하는 보안장치.
  67. 제66항에 있어서, 상기 신분확인용 응용 프로그램은 특정한 미리 규정된 접속 레벨을 갖는 인가된 사용자가 저장장치에 접속하기 위한 인가된 사용자들을 생성하고 편집하는 것을 가능하게 하기 위한 사용자 편집 수단을 포함함을 특징으로 하는 보안장치.
  68. 제67항에 있어서, 상기 신분확인 응용 프로그램은 특정한 미리 규정된 접속 레벨을 갖는 상기 인가된 사용자가 저장장치에 대한 접속이 허용된 모든 인가된 사용자들에 대하여 상기 규정된 구획 또는 영역들에 대한 특정한 미리 규정된 접속 수준을 할당하고 편집하는 것을 가능하게 하는 접속 프로필 편집수단을 포함함을 특징으로 하는 보안장치.
  69. 제52항 내지 제68항 중의 어느 한 항에 있어서, 상기 보안장치는 호스트 CPU와 저장장치 간의 데이터 접속 채널과 단지 정합되도록 연결되는 한편 상기 호스트 CPU의 메인 데이터와 제어 버스와 분리됨을 특징으로 하는 보안장치.
  70. 호스트 중앙처리장치(CPU)와, 컴퓨터 및 저장장치를 작동하기 위하여 프로그램을 로딩하기 위한 상기 호스트 CPU에 의해 사용되는 메모리를 구비한 컴퓨터에 의해서 처리되는 데이터를 저장하기 위한 저장장치에 대한 인가되지 않은 사용자의 접속으로부터 안전하게 보호 및 보안하기 위한 방법에 있어서, 상기 방법은:
    상기 호스트 CPU와 저장장치 간의 모든 데이터 접속을 선택적으로 차단하는 과정; 및
    상기 저장장치에 대한 규정된 접속 프로필을 갖는 해당 컴퓨터 사용자의 신분을 확인하는 과정을 포함하여 이루어지고;
    상기 컴퓨터의 사용자가 정확하게 신분이 확인될 때까지 상기한 데이터 접속을 차단하는 과정을 유지함을 특징으로 하는 방법.
  71. 제70항에 있어서, 상기한 선택적으로 차단하는 과정은 상기 호스트 CPU와 그로부터 독립적인 저장장치 간의 데이터 제어하는 과정을 포함함을 특징으로 하는 방법.
  72. 제71항에 있어서, 상기 선택적으로 차단하는 과정은 컴퓨터의 초기화 도중에 발생하게 되고, 저장장치에 대한 인가되지 않은 접속을 방지하도록 하는 방식으로컴퓨터의 구성과 호스트 CPU의 독립적인 제어를 가능하게 하도록 상기 초기화 과정 직후의 시동 시퀀스 중의 그리고 컴퓨터의 오퍼레이팅 시스템의 로딩 전의 상기한 모든 데이터 접속을 인터셉트하는 과정을 포함함을 특징으로 하는 방법.
  73. 제70항 내지 제72항 중의 어느 한 항에 있어서, 상기 방법은 사용자의 정확한 신분확인 후에 컴퓨터의 부팅을 수행하고 그 후 컴퓨터의 시동 시퀀스 동안에 오퍼레이팅 시스템의 정상적인 로딩을 실행가능하게 하는 과정을 포함함을 특징으로 하는 방법.
  74. 제70항 내지 제73항에 있어서, 상기 방법은 해당 사용자의 규정된 접속 프로필에 따른 정확한 사용자 신분의 확인 후에 저장장치에 대한 접속을 차단하도록 제어하는 과정을 포함함을 특징으로 하는 방법.
  75. 제70항 내지 제74항 중 어느 한 항에 있어서, 상기 방법은 메모리로부터 분리되어 호스트 CPU에 의한 어드레스가 불가능한 위치에서 상기한 접속 제어를 수행하기 위한 컴퓨터 프로그램을 영구적으로 저장하는 과정을 포함함을 특징으로 하는 방법.
  76. 제70항 내지 제75항 중의 어느 한 항에 있어서, 상기 메모리로부터 분리되어 상기 호스트 CPU에 의한 어드레스가 불가능한 위치에서 상기 저장장치에 대한 접속과 컴퓨터의 기본적인 동작과 관련되는 제어요소들과 결정 데이터를 저장하는 과정을 더 포함함을 특징으로 하는 방법.
  77. 제76항에 있어서, 컴퓨터의 시동 시퀀스 동안 저장장치와는 독립적으로 저장장치의 검증과 해당 컴퓨터의 작동을 위하여 상기 결정 데이터 및 제어요소들을 상기 호스트 CPU에 제공하는 과정을 더 포함함을 특징으로 하는 방법.
  78. 제77항에 있어서, 상기 결정 데이터 및 제어요소들은 컴퓨터가 상기한 시동 시퀀스 동안 주변장치에 대한 점검을 완료하는 것을 가능하게 해주기 위한 상기 저장장치에 관하여 식별 데이터를 포함함을 특징으로 하는 방법.
  79. 제77항 또는 제78항에 있어서, 상기 결정 데이터 및 제어요소들은 상기 신분 확인 과정을 구동하는 것을 수반하는 컴퓨터를 위한 커스텀 부트 섹터를 포함하고, 상기 방법은 커스텀 부트 섹터에 의해서 상기한 시동 시퀀스 동안 컴퓨터의 동작을 진행하는 과정과 그러한 시간대에 컴퓨터 사용자의 신분을 확인하는 과정을 포함함을 특징으로 하는 방법.
  80. 제70항 내지 제79항 중의 어느 한 항에 있어서, 상기 신분 확인 과정은 해당 컴퓨터의 시동 시퀀스가 더 진행되기 이전에 컴퓨터의 사용자가 로그인 사용자 ID와 패스워드를 입력하는 과정과 그리고 상기한 사용자 ID와 패스워드가 해당 저장장치에 대한 규정된 접속 프로필을 갖는 인가된 컴퓨터 사용자에 해당하는지의 여부를 확인하기 위한 그러한 검증이 가능하도록 해주는 과정을 더 포함함을 특징으로 하는 방법.
  81. 제80항에 있어서, 인가된 사용자의 상기 로그인 사용자 ID와 패스워드 및 그것의 규정된 접속 프로필은 상기한 결정 데이터 및 제어요소들의 일부를 구성하는 한편, 또한 상기한 검증 과정은 입력된 로그인 ID와 패스워드를 상기 결정 데이터 및 제어요소들 내의 로그인 ID 및 패스워드와 비교하여 서로 일치되면 사용자의 신분을 확인해 주는 과정을 더 포함함을 특징으로 하는 방법.
  82. 제70항 내지 제81항 중의 어느 한 항에 있어서, 상기한 미리 규정된 접속 프로필은 저장장치의 소정의 구획 또는 영역들에 대한 인가된 사용자에게만 허용된 소정의 접속 수준에 대한 소정의 할당정보를 포함함을 특징으로 하는 방법.
  83. 제76항을 인용한 제82항에 있어서, 상기 신분 확인 과정은 특정한 소정의 접속 레벨의 인가된 사용자가 상기 저장장치에 대한 접속이 허용된 인가된 사용자들을 지정하기 위해 상기 결정 데이터 및 제어요소들 내의 로그인 ID들과 패스워드들을 생성하고 편집하는 것을 가능하게 하는 과정을 포함함을 특징으로 하는 방법.
  84. 제83항에 있어서, 상기 확인 과정은 특정한 미리 규정된 접속 레벨의 상기인가된 사용자가 상기 결정 데이터 및 저장요소들 내에서 저장장치에 대한 접속이 허용된 모든 인가된 사용자들에 대하여 상기 규정된 구획 또는 영역들에 대한 특정한 소정의 접속 수준들을 할당하고 편집하는 것을 가능하게 하는 과정을 포함함을 특징으로 하는 방법.
  85. 첨부된 도면들을 적절하게 참조하여 이상 기술된 바와 같은 실질적으로 컴퓨터들을 위한 보안장치.
  86. 첨부된 도면들을 참조하여 적절하게 기술된 바와 같은 실질적으로 인가되지 않은 접속으로부터 컴퓨터에 의해 처리될 데이터를 저장하기 위한 저장장치를 안전하게 보호하기 위한 보안 방법.
KR1020037017166A 2001-06-29 2002-06-28 컴퓨터용 보안 시스템 및 그 방법 KR100880185B1 (ko)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
AUPR6028A AUPR602801A0 (en) 2001-06-29 2001-06-29 Security system and method for computers
AUPR6027 2001-06-29
AUPR6026A AUPR602601A0 (en) 2001-06-29 2001-06-29 Security system for computers - Case C
AUPR6027A AUPR602701A0 (en) 2001-06-29 2001-06-29 Security system for computers - Case B
AUPR6026 2001-06-29
AUPR6028 2001-06-29
PCT/AU2002/000847 WO2003003242A1 (en) 2001-06-29 2002-06-28 Security system and method for computers

Publications (2)

Publication Number Publication Date
KR20040022439A true KR20040022439A (ko) 2004-03-12
KR100880185B1 KR100880185B1 (ko) 2009-01-28

Family

ID=27158301

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020037017166A KR100880185B1 (ko) 2001-06-29 2002-06-28 컴퓨터용 보안 시스템 및 그 방법

Country Status (11)

Country Link
US (1) US8474021B2 (ko)
EP (1) EP1412879B1 (ko)
JP (1) JP4676696B2 (ko)
KR (1) KR100880185B1 (ko)
CN (1) CN1296854C (ko)
AU (1) AU2002315565B2 (ko)
CA (1) CA2490695C (ko)
MY (1) MY134887A (ko)
TW (1) TWI231896B (ko)
WO (1) WO2003003242A1 (ko)
ZA (1) ZA200400245B (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100866951B1 (ko) * 2005-10-28 2008-11-05 삼성전자주식회사 메모리에 저장된 데이터를 보호할 수 있는 프로그래머블프로세서 및 방법
CN105446656A (zh) * 2014-09-22 2016-03-30 株式会社东芝 信息处理装置
WO2018208032A1 (ko) * 2017-05-10 2018-11-15 김덕우 고립된 사용자컴퓨팅부를 갖는 컴퓨터

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3513147B2 (ja) 2002-05-29 2004-03-31 株式会社ハギワラシスコム Usbストレージデバイス及びその制御装置
US20040093582A1 (en) * 2002-11-01 2004-05-13 Segura Tim E. Method for allowing a computer to be used as an information kiosk while locked
JP2004157892A (ja) * 2002-11-08 2004-06-03 Hitachi Ltd 計算機システム、記憶装置、アクセス管理方法及びプログラム
GB0229759D0 (en) * 2002-12-20 2003-01-29 Becrypt Ltd Security device
AU2003900764A0 (en) * 2003-02-20 2003-03-06 Secure Systems Limited Bus bridge security system and method for computers
AU2003901454A0 (en) * 2003-03-28 2003-04-10 Secure Systems Limited Security system and method for computer operating systems
TWI261757B (en) * 2003-04-30 2006-09-11 Hagiwara Sys Com Co Ltd USB storage device
US7581111B2 (en) 2004-02-17 2009-08-25 Hewlett-Packard Development Company, L.P. System, method and apparatus for transparently granting access to a selected device using an automatically generated credential
AU2005218070B2 (en) * 2004-03-05 2013-01-17 Secure Systems Limited Partition access control system and method for controlling partition access
WO2005086005A1 (en) 2004-03-05 2005-09-15 Secure Systems Limited Partition access control system and method for controlling partition access
WO2005088461A1 (en) * 2004-03-17 2005-09-22 Digisafe Pte Ltd Method and device for protecting data stored in a computing device
KR101172844B1 (ko) * 2004-06-04 2012-08-10 코닌클리케 필립스 일렉트로닉스 엔.브이. 제 1 당사자를 제 2 당사자에게 인증하는 인증방법
DE102005014837B4 (de) * 2004-08-02 2007-08-30 Mahltig, Holger Sicherheitsmodul und Verfahren zum Steuern und Kontrollieren eines Datenverkehrs eines Personalcomputers
WO2006090091A1 (en) * 2005-02-23 2006-08-31 Stonewood Electronics Ltd User authentication for a computer system
DE102005019970B4 (de) * 2005-04-27 2007-04-26 Phoenix Contact Gmbh & Co. Kg Adressvergabe für sichere Busteilnehmer
US8869270B2 (en) 2008-03-26 2014-10-21 Cupp Computing As System and method for implementing content and network security inside a chip
US8381297B2 (en) 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
US20080276302A1 (en) 2005-12-13 2008-11-06 Yoggie Security Systems Ltd. System and Method for Providing Data and Device Security Between External and Host Devices
US7636838B2 (en) * 2006-01-05 2009-12-22 Broadcom Corporation Method and system for handling operation of multiple devices within a single system-on-chip (SoC) integrated circuit (IC)
US7908665B2 (en) * 2006-01-23 2011-03-15 Autodesk, Inc Cloaked data objects in an electronic content management security system
US20080046997A1 (en) * 2006-08-21 2008-02-21 Guardtec Industries, Llc Data safe box enforced by a storage device controller on a per-region basis for improved computer security
US8365272B2 (en) 2007-05-30 2013-01-29 Yoggie Security Systems Ltd. System and method for providing network and computer firewall protection with dynamic address isolation to a device
US20090172378A1 (en) * 2007-12-28 2009-07-02 Kazmierczak Gregory J Method and system for using a trusted disk drive and alternate master boot record for integrity services during the boot of a computing platform
TWI406151B (zh) * 2008-02-27 2013-08-21 Asustek Comp Inc 防毒保護方法以及具有防毒保護的電子裝置
CN101403993B (zh) * 2008-07-28 2012-10-17 清华大学深圳研究生院 数据安全保管设备和数据安全保管方法
US8631488B2 (en) 2008-08-04 2014-01-14 Cupp Computing As Systems and methods for providing security services during power management mode
WO2010059864A1 (en) 2008-11-19 2010-05-27 Yoggie Security Systems Ltd. Systems and methods for providing real time access monitoring of a removable media device
CN102223359B (zh) * 2010-07-29 2014-06-11 上海华御信息技术有限公司 基于虚拟磁盘的网络硬盘备份文件数据安全系统及方法
TWI546690B (zh) * 2011-04-21 2016-08-21 hong-jian Zhou Antivirus system
US8918862B2 (en) * 2011-08-31 2014-12-23 International Business Machines Corporation Managing access to storage media
US9973501B2 (en) 2012-10-09 2018-05-15 Cupp Computing As Transaction security systems and methods
CN103793643A (zh) * 2012-10-30 2014-05-14 联想(北京)有限公司 一种启动方法及电子设备
CA2794132C (en) * 2012-11-01 2020-12-08 Ibm Canada Limited - Ibm Canada Limitee Configuring configuration settings using a user context
US9881161B2 (en) * 2012-12-06 2018-01-30 S-Printing Solution Co., Ltd. System on chip to perform a secure boot, an image forming apparatus using the same, and method thereof
WO2014134516A1 (en) * 2013-02-28 2014-09-04 Elwha Llc Managing data and/or services for devices
US9075995B2 (en) * 2013-03-11 2015-07-07 Microsoft Technology Licensing, Llc Dynamically loaded measured environment for secure code launch
NL2010437C2 (en) * 2013-03-12 2014-09-15 Uksi B V Data storage device and computer system comprising such data storage device.
US11157976B2 (en) 2013-07-08 2021-10-26 Cupp Computing As Systems and methods for providing digital content marketplace security
WO2015123611A2 (en) 2014-02-13 2015-08-20 Cupp Computing As Systems and methods for providing network security using a secure digital device
KR102186609B1 (ko) 2014-03-07 2020-12-03 삼성전자주식회사 무결성 검증 장치를 포함하는 전자 시스템
CN104573498A (zh) * 2015-01-16 2015-04-29 梁庆生 一种可防止操作系统被木马及病毒攻击的方法及设备
WO2017142559A1 (en) 2016-02-19 2017-08-24 Hewlett-Packard Development Company, L.P. Securely writing data to a secure data storage device during runtime
JP7125299B2 (ja) * 2018-07-30 2022-08-24 日本特殊陶業株式会社 電極埋設部材及びその製造方法
CN109409123B (zh) * 2018-09-30 2022-10-25 联想(北京)有限公司 一种电子设备、控制方法及处理装置
FR3110005B1 (fr) * 2020-05-05 2022-05-27 Thales Sa Contrôleur de démarrage sécurisé pour un système embarqué, système embarqué et procédé de démarrage sécurisé associés
CN113704144A (zh) * 2020-05-22 2021-11-26 澜起科技股份有限公司 存储器控制器以及用于控制对存储模块的访问的方法
US11829493B2 (en) * 2020-10-27 2023-11-28 Dell Products L.P. Device access control system
US11537705B2 (en) * 2020-10-27 2022-12-27 Dell Products L.P. Device access control system

Family Cites Families (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4672572A (en) * 1984-05-21 1987-06-09 Gould Inc. Protector system for computer access and use
GB2181281B (en) 1985-10-03 1989-09-13 Isolation Systems Limited Device for controlling access to computer peripherals
US4882752A (en) * 1986-06-25 1989-11-21 Lindman Richard S Computer security system
EP0647907B1 (en) * 1987-08-28 2000-04-26 Honda Giken Kogyo Kabushiki Kaisha Data processing system
JPH0216669A (ja) * 1988-07-05 1990-01-19 Toshiba Corp セキュリティ方式
GB2222899B (en) 1988-08-31 1993-04-14 Anthony Morris Rose Securing a computer against undesired write operations or from a mass storage device
US4975950A (en) 1988-11-03 1990-12-04 Lentz Stephen A System and method of protecting integrity of computer data and software
US4984272A (en) * 1988-11-30 1991-01-08 At&T Bell Laboratories Secure file handling in a computer operating system
US5144659A (en) 1989-04-19 1992-09-01 Richard P. Jones Computer file protection system
US5022077A (en) 1989-08-25 1991-06-04 International Business Machines Corp. Apparatus and method for preventing unauthorized access to BIOS in a personal computer system
US5048085A (en) * 1989-10-06 1991-09-10 International Business Machines Corporation Transaction system security method and apparatus
JPH03141446A (ja) 1989-10-27 1991-06-17 Hitachi Ltd メモリ保護回路
EP0432333B1 (en) 1989-12-13 1996-02-14 International Business Machines Corporation Computer system security device
GB9003890D0 (en) 1990-02-21 1990-04-18 Rodime Plc Method and apparatus for controlling access to and corruption of information in computer systems
EP0449242A3 (en) 1990-03-28 1992-10-28 National Semiconductor Corporation Method and structure for providing computer security and virus prevention
GB2248324B (en) 1990-09-25 1994-04-06 Uken Security in a computer apparatus
DE4034444A1 (de) 1990-10-30 1992-05-14 Ant Nachrichtentech Datenschuetzender arbeitsplatzrechner
US5263147A (en) * 1991-03-01 1993-11-16 Hughes Training, Inc. System for providing high security for personal computers and workstations
US5598531A (en) 1991-05-13 1997-01-28 William Stanley Hill Method and apparatus for preventing "disease" damage in computer systems
WO1993002419A1 (en) * 1991-07-16 1993-02-04 J.A.S. Technology (Australia) Pty. Ltd. Protection system for computers
NL9101594A (nl) 1991-09-20 1993-04-16 Tres Automatisering B V Computer-systeem met beveiliging.
WO1993009498A1 (en) 1991-10-28 1993-05-13 Sung Moo Yang Method and system protecting data in storage device against computer viruses
CA2123001A1 (en) 1991-11-05 1993-05-13 Thomas Joseph Rogers Computer memory protection
AU3777593A (en) 1992-02-26 1993-09-13 Paul C. Clark System for protecting computers via intelligent tokens or smart cards
US5610981A (en) 1992-06-04 1997-03-11 Integrated Technologies Of America, Inc. Preboot protection for a data security system with anti-intrusion capability
EP0602867A1 (en) 1992-12-17 1994-06-22 NCR International, Inc. An apparatus for securing a system platform
US5379342A (en) 1993-01-07 1995-01-03 International Business Machines Corp. Method and apparatus for providing enhanced data verification in a computer system
CA2091501C (en) 1993-03-11 2001-04-24 Thomas E. Elliott Hardware protection control for computer storage devices
GB2279163A (en) 1993-06-15 1994-12-21 Boxware Limited Computer security device which disables a disc drive
US5402492A (en) * 1993-06-18 1995-03-28 Ast Research, Inc. Security system for a stand-alone computer
AU1265195A (en) 1993-12-06 1995-06-27 Telequip Corporation Secure computer memory card
US6115819A (en) 1994-05-26 2000-09-05 The Commonwealth Of Australia Secure computer architecture
US5483649A (en) 1994-07-01 1996-01-09 Ybm Technologies, Inc. Personal computer security system
US5586301A (en) 1994-11-09 1996-12-17 Ybm Technologies, Inc. Personal computer hard disk protection system
US5657470A (en) 1994-11-09 1997-08-12 Ybm Technologies, Inc. Personal computer hard disk protection system
AU6502896A (en) 1995-07-20 1997-02-18 Dallas Semiconductor Corporation Single chip microprocessor, math co-processor, random number generator, real-time clock and ram having a one-wire interface
KR100281869B1 (ko) * 1995-07-28 2001-02-15 윤종용 보안 기능을 갖는 개인용 컴퓨터, 그의 보안 방법 및 그 보안 장치의 설치 및 제거방법
KR100269104B1 (ko) * 1995-08-10 2000-10-16 윤종용 보안장치를구비한개인용컴퓨터,그의보안방법및그보안장치의설치및제거방법
US5859966A (en) 1995-10-10 1999-01-12 Data General Corporation Security system for computer systems
CN1124377A (zh) 1995-12-21 1996-06-12 沈阳工业高等专科学校工矿备件公司 微型计算机硬盘信息保护技术及装置
US5657445A (en) 1996-01-26 1997-08-12 Dell Usa, L.P. Apparatus and method for limiting access to mass storage devices in a computer system
US6330648B1 (en) 1996-05-28 2001-12-11 Mark L. Wambach Computer memory with anti-virus and anti-overwrite protection apparatus
JP2901541B2 (ja) 1996-05-29 1999-06-07 日本電気オフィスシステム株式会社 情報処理装置
JP3781212B2 (ja) * 1996-06-04 2006-05-31 株式会社日立製作所 サブシステム
US5937063A (en) 1996-09-30 1999-08-10 Intel Corporation Secure boot
US5911778A (en) 1996-12-31 1999-06-15 Sun Microsystems, Inc. Processing system security
US5951687A (en) * 1997-01-31 1999-09-14 Seagate Technology, Inc. Storage disc with self diagnostics and configuration
US5953502A (en) 1997-02-13 1999-09-14 Helbig, Sr.; Walter A Method and apparatus for enhancing computer system security
DE69832082D1 (de) * 1997-02-13 2005-12-01 Helbig Sr Sicherheitskoprozessor zur verbesserung der computersystemsicherheit
US6052781A (en) * 1997-02-21 2000-04-18 Savvy Frontiers Property Trust Multiple user computer including anti-concurrent user-class based disjunctive separation of plural hard drive operation
US6088802A (en) * 1997-06-04 2000-07-11 Spyrus, Inc. Peripheral device with integrated security functionality
US6212635B1 (en) 1997-07-18 2001-04-03 David C. Reardon Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place
US6237137B1 (en) 1997-10-15 2001-05-22 Dell Usa, L.P. Method and system for preventing unauthorized access to a computer program
BR9911409A (pt) 1998-06-22 2001-09-04 Colin Constable Sistema virtual para armazenamento de dados (vds)
DE69919299T2 (de) * 1998-11-11 2004-12-30 02 Micro International Ltd. Vorurladungssicherheitssteuerungseinheit
CN1223406A (zh) 1998-12-12 1999-07-21 林光荣 计算机硬件控制分区存储保护技术
US6272533B1 (en) 1999-02-16 2001-08-07 Hendrik A. Browne Secure computer system and method of providing secure access to a computer system including a stand alone switch operable to inhibit data corruption on a storage device
JP2001051904A (ja) 1999-08-11 2001-02-23 Hitachi Ltd 不揮発性半導体メモリを用いた外部記憶装置
US7353209B1 (en) * 2000-01-14 2008-04-01 Microsoft Corporation Releasing decrypted digital content to an authenticated path
US7181542B2 (en) * 2000-04-12 2007-02-20 Corente, Inc. Method and system for managing and configuring virtual private networks
US7028334B2 (en) * 2000-04-12 2006-04-11 Corente, Inc. Methods and systems for using names in virtual networks

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100866951B1 (ko) * 2005-10-28 2008-11-05 삼성전자주식회사 메모리에 저장된 데이터를 보호할 수 있는 프로그래머블프로세서 및 방법
CN105446656A (zh) * 2014-09-22 2016-03-30 株式会社东芝 信息处理装置
WO2018208032A1 (ko) * 2017-05-10 2018-11-15 김덕우 고립된 사용자컴퓨팅부를 갖는 컴퓨터
US11386200B2 (en) 2017-05-10 2022-07-12 Deok Woo KIM Computer having isolated user computing unit

Also Published As

Publication number Publication date
CN1296854C (zh) 2007-01-24
JP2004531004A (ja) 2004-10-07
WO2003003242A1 (en) 2003-01-09
AU2002315565B2 (en) 2007-05-24
TWI231896B (en) 2005-05-01
CN1543616A (zh) 2004-11-03
EP1412879B1 (en) 2012-05-30
CA2490695C (en) 2014-08-12
KR100880185B1 (ko) 2009-01-28
EP1412879A4 (en) 2005-10-05
CA2490695A1 (en) 2003-01-09
US8474021B2 (en) 2013-06-25
MY134887A (en) 2007-12-31
US20050091522A1 (en) 2005-04-28
EP1412879A1 (en) 2004-04-28
JP4676696B2 (ja) 2011-04-27
ZA200400245B (en) 2005-03-30

Similar Documents

Publication Publication Date Title
KR100880185B1 (ko) 컴퓨터용 보안 시스템 및 그 방법
KR101146153B1 (ko) 컴퓨터 오퍼레이팅 시스템용 보안 시스템 및 그 방법
AU2002315565A1 (en) Security system and method for computers
US20070028292A1 (en) Bus bridge security system and method for computers
US7107460B2 (en) Method and system for securing enablement access to a data security device
US8201239B2 (en) Extensible pre-boot authentication
US8533845B2 (en) Method and apparatus for controlling operating system access to configuration settings
US8909940B2 (en) Extensible pre-boot authentication
EP2926239A1 (en) Bootability with multiple logical unit numbers
MXPA06002447A (es) Sistema de seguridad en internet para computadora personal.
US20080168545A1 (en) Method for Performing Domain Logons to a Secure Computer Network
EP4006758A1 (en) Data storage apparatus with variable computer file system
EP3663947B1 (en) Protected peripheral ports
KR20070116397A (ko) 컴퓨터 보안 시스템
JP2007317053A (ja) コマンド実行方法、usbストレージデバイスのコントローラ及び該コントローラを搭載してなるusbストレージデバイス。

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130408

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20131223

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20141231

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee