KR20080028986A

KR20080028986A - 운영체계들과 다른 소프트웨어의 인스톨을 제한하는 해킹방지 방법

Info

Publication number: KR20080028986A
Application number: KR20087002575A
Authority: KR
Inventors: 스테픈 폴; 스티븐 굿리치
Original assignee: 어드밴스드 마이크로 디바이시즈, 인코포레이티드
Priority date: 2005-06-30
Filing date: 2006-06-23
Publication date: 2008-04-02
Also published as: TWI420879B; US20070006320A1; WO2007005363A1; KR101280048B1; CN101213557A; JP5276438B2; DE112006001744T5; GB2442172B; TW200711432A; JP2009500728A; GB0800920D0; GB2442172A; CN101213557B; US8554686B2

Abstract

퍼스널 인터넷 통신 장치에 있어서, 보안 키는 마스터 부트 레코드에 저장된다. OS 파일들이나 소프트웨어 파일들을 기입하려는 시도를 하는 어떠한 부팅 가능한 장치들이라도 퍼스널인터넷 통신 장치 상에 파일들을 적절하게 인스톨하기 위해서는 인증된 서명 키를 가져야만 한다.

인증 키, 보안 키, 해킹, 인스톨

Description

운영체계들과 다른 소프트웨어의 인스톨을 제한하는 해킹 방지 방법{ANTI-HACK PROTECTION TO RESTRICT INSTALLATION OF OPERATING SYSTEMS AND OTHER SOFTWARE}

본 발명은 정보 프로세싱 시스템 분야에 관련된다. 일 측면에서, 본 발명은 인터넷 상에서 통신하는 데 사용되는 컴퓨터 시스템들에 대해 안정된 연산 환경을 확보하기 위한 방법 및 시스템과 관련된다.

컴퓨터 시스템은 현재 사회의 많은 부분에서 정보 관리 능력을 제공하기 위해 널리 보급되었다. 퍼스널 컴퓨터 시스템들은 일반적으로 시스템 프로세서와 관련 휘발성 및 비휘발성 메모리를 가지는 시스템 유닛, 디스플레이 모니터, 키보드, 고정 디스크 스토리지 장치, 선택적인 탈착식 스토리지 장치 및 선택적인 프린터로 이루어진 마이크로컴퓨터로 정의될 수 있다. 이러한 퍼스널 컴퓨터 시스템들은 기본적으로 단일 사용자(또는 컴퓨터 서버 시스템들로서 제공되는 퍼스널 컴퓨터의 경우에는 일 그룹의 사용자)에게 독립적인 연산 능력을 주기 위하여 설계된 정보 프로세싱 시스템들이다.

최근에는 인터넷 상에서 정보를 교환하기 위해 퍼스널 컴퓨터를 사용하는 것이 매우 증가하였다. 이러한 정보의 교환은 복수 개의 인터넷 서버들 상에 저장된 데이터에 엑세스하기 위해 클라이언트로서 동작하는 사용자의 퍼스널 컴퓨터를 이용하는 클라이언트/서버 모델에 기초를 두고 있다. 일부 인터넷 서비스 제공자들은 인터넷 서비스에 대한 계약 관계의 일부로서 사용자에게 컴퓨터를 제공한다. 상기 관계에 일부로서, 인터넷 서비스 제공자는 종종 소프트웨어 업그레이드들 및 추가 서비스들을 제공하는 소프트웨어에 관해 컴퓨터에 소프트웨어 패키지들을 제공한다. 또한, 사용자는 인터넷으로부터 컴퓨터 프로그램을 다운로드 받을 수도 있으며 안전하지 않을 수 있는 소스들로부터 로컬로(locally) 프로그램들을 인스톨할 수도 있다.

그 결과, 컴퓨터의 동작에 나쁜 영향을 미치고/미치거나 인터넷 서비스 제공자에 의해 제공된 인증된 소프트웨어를 방해할 수 있는 인증되지 않은 소프트웨어를 설치하는 것을 방지하는 보호 프로세스(safeguard process)가 필요하다. 또한, 컴퓨터 상에 저장된 운영 체계(OS; operating systme)와 어플리케이션들-인터넷 서비스 제공자들에 의해 제공된 커뮤니케이션 네트워크 상에서 퍼스널 인터넷 커뮤니케이터(PIC; personal Internet communicator)들로 이용되는 것들과 같은-을 온전하게 보전하기 위해 상당히 요구되고 있는 상태이다. 종래 시스템들의 그 이상의 제한과 불리한 점은 도면을 참조한 본 명세서의 부분 및 하기한 상세한 설명을 검토한 이후에 당업자에게 명확해질 것이다.

본 발명의 방법과 장치는 퍼스널 인터넷 커뮤니케이터에게 믿을 수 있고 안정적인 연산 환경을 제공한다. 일 실시예에서, 본 발명은 마스터 부트 레코드(master boot record)와 같은, 퍼스널 인터넷 커뮤니케이터의 비휘발성 스토리지에 키(key)를 저장하고, 운영체계(OS) 파일들이나 어플리케이션 파일들이 기입되는 데 적합하게 하기 위하여 사인이나 키를 일치시키도록 어떤 부팅가능한(bootable) 장치를 요구함으로써, 퍼스널 인터넷 커뮤니케이터 상에 오퍼레이팅 시스템 및/또는 소프트웨어 코드를 설치하는 것을 제한하는 데 사용될 수 있다.

본 발명의 목적들과 잇점들 및 다른 신규한 특징들은 부가된 청구항들 및 첨부된 도면들을 참조로한 하기의 상세한 설명을 통해 당업자에게 명백하게 될 것이다.

도 1은 하나 이상의 커뮤니케이션 네트워크들과 통신하는 복수 개의 컴퓨터 시스템들의 블럭 다이어그램.

도 2는 본 발명의 다양한 실시예에 따른, 퍼스널 인터넷 커뮤니케이터와 같은, 컴퓨터 시스템의 시스템 블럭 다이어그램.

도 3은 퍼스널 인터넷 커뮤니케이터에서 사용하기 위한 프로세서 시스템의 블럭 다이어그램.

도 4는 다목적 미디어 엑세스 장치에서 사용하기 위한 입출력(I/O) 시스템의 블럭 다이어그램.

도 5는 소프트웨어 인스톨을 제한하는 데 사용되는 소프트웨어 업데이트 모듈의 실시예를 도시한 것.

도 6은 컴퓨터 시스템 상의 오퍼레이팅 시스템 코드 및/또는 소프트웨어의 인증되지 않은 인스톨을 막기 위한 보호 시스템의 동작을 나타낸 순서도.

본 발명의 예시적인 실시예가 후술될 것이나, 본 발명이 특정한 세부 항목 없이도 실시될 수 있음이 인정되어야 할 것이며, 개발자의 특정 목적, 예를 들어 시스템에 관련되고 비즈니스에 관련된 제약이 있는 컴플라이언스(compliance)를 달성하기 위해 본 명세서에 기재된 발명에 대해서 많은 실시예로 특정된 결정이 이루어졌음이 인정되어야 할 것이다. 이러한 개발 노력은 복잡하고 시간 소모적일 수 있으나, 본 개시에서의 잇점을 얻는 당업자에게는 일상적인 일이 될 것이다. 예를 들어, 상세하기 보다는, 선택된 관점들이, 본 발명을 쓸데없이 제한하거나 흐리지 않게 하기 위해서, 블럭 다이어글램에 도시되었다. 이러한 설명들과 묘사들은 다른 당업자에게 그들의 작업의 본질을 묘사하고 전달할 수 있도록 당업자에 의해 사용된다. 본 발명은 이하 도면을 참조로 설명될 것이다.

도 1을 참조하면, 예시적인 네트워크(100)의 블럭 다이어그램이 도시되어 있으며, 복수 개(105)의 컴퓨터 시스템들(110, 111, 112)이 하나 이상의 커뮤니케이션 네트워크(140) 상에서 통신한다. 도시한 바와 같이, 각 컴퓨터 시스템(즉, 110)-멀티미디어 엑세스 장치들 또는 퍼스널 인터넷 커뮤니케이터들로도 지칭된다-은 하나 이상의 커뮤니케이션 링크들(122)을 경유하여 인터넷 서비스 제공자(Internet service provider; ISP, 120)에 작동가능하게 연결된다. 상기 인터넷 서비스 제공자(120)는 복수 개의 웹 호스트 서버(150, 151, 152)에 더 연결된 인터넷(140)에 연결된다. 인터넷 상의 정보에 엑세스하기 원하는 사용자는 웹 브라우저 로 알려진 PIC 상에 저장된 어플리케이션 프로그램을 실행시키기 위하여 PIC(즉, 110)를 이용한다.

상기 PIC(110)는 커뮤니케이션 하드웨어와, 상기 PIC가 인터넷 서비스 제공자(120)로/로부터 커뮤니케이션들을 보내거나 받게 하는 소프트웨어를 포함한다. 상기 커뮤니케이션 하드웨어와 소프트웨어는 PIC(110)가 인터넷 서비스 제공자(120)와 커뮤니케이션 링크를 만들게 한다. 상기 커뮤니케이션 링크는 유선 연결, DSL(digital subscriber line)과 같은 직접 링크, T1, ISDN(integrated services digital network) 또는 케이블 연결, 휴대 전화 또는 위성 망을 통한 무선 연결, 로컬 영역 네트워크 상의 이더넷(Ethernet) 또는 토큰 링과 같은, 전화 모뎀 다이얼 엑세스 또는 로컬 데이터 전송 시스템을 포함한 다양한 유형의 연결 중 하나일 수 있다.

사용자가 웹 브라우저에 명령을 입력함으로써 정보를 요청할 때, 상기 PIC(110)는 특정 토픽에 해당하는 문서들에 대한 검색과 같은, 정보 요청을 보내거나, 인터넷(140)을 통해 적절한 웹 호스트 서버(150)에 상기 요청을 전송(轉送)해 주는 인터넷 서비스 제공자(120)에게 특정 웹 페이지를 보낸다. 상기 인터넷 서비스 제공자(120)는 브라우저로부터 보내진 요청들을 수신하고 판독하기 위해 소프트웨어를 실행한다. 인터넷 서비스 제공자(120)는 요청들을 모니터하는 웹 서버 어플리케이션 프로그램을 실행하고, 그 특정 웹 서버 상에서 상기 정보에 대한 요청들을 서비스하며, 사용자의 PIC(110)으로 상기 정보를 전달한다.

각 웹 인터넷 상의 호스트 서버(150, 151, 152)는 사용자가 적절한 웹 호스 트 서버에 연결하기 위해 웹 브라우저에 공급하는 알려진 어드레스를 갖는다. 만약 상기 정보가 사용자의 웹 호스트 서버(150) 상에서 사용될 수 없으면, 상기 인터넷(140)은 요청받은 정보를 제공할 수 있도록 웹서버들(150, 151, 152)이 서로 통신하도록 하는 센트럴 링크(central link)로서 작동한다. 웹 서버들(150, 151, 152)은 하나 이상의 웹 페이지들을 포함할 수 있는데, 사용자는 보기를 원하는 특정 웹 페이지의 어드레스에 명기할 수 있다. URL(universal resource locater)라고도 알려진, 서버 상 홈 페이지의 어드레스는, 우체국 주소와 유사한, 서버와 서버상의 페이지의 위치를 나타내는 일련의 숫자들이다. 더 간단하게 나타내기 위해, 도메인 네임 시스템은 사용자들이 서버들과 문서들을 숫자들 대신에 이름을 사용하여 지정할 수 있도록 개발되어 왔다. URL은 도메인 네임의 끝에 추가 정보를 포함시킴으로써 콘텐츠 제공자에게 속하는 일 그룹의 페이지들에 특정 페이지를 더 명기할 수 있다.

PIC(110)의 블럭 다이어그램이 도시되어 있다. PIC는 프로세서(202), 입/출력(I/O) 제어 장치(204), 메모리(RAM(volatile random access memory) 메모리(206)와 비휘발성 메모리(207)를 포함), (모뎀과 같은) 통신 장치(211) 및 디스플레이(214)를 포함하여 구성된다. 프로세서(202), I/O 제어부(204), 메모리(206) 및 통신 장치(211)는 하나 이상의 버스(212)들을 경유하여 상호 연결된다. 일 선택된 실시예에 있어서, 프로세서(202)는 AMD Geode GX 32-bit x86 호환성 프로세서로 실시되고, 메모리(206)는 128 MB DDR 메모리로 실시되며, 디스플레이(214)는 CRT 모니터로 실시된다. 또한 비휘발성 메모리(207)는 최소한의 용량, 예를 들어 10GB를 갖는 접적 3.5인치 하드 디스크 드라이브로 실시되는 하드 디스크 드라이브(209)를 포함할 수 있다. 상기 메모리들(206, 207) 중 하나 또는 둘 다는 PIC에 집적되거나 외장될 수 있다. 통신 장치(211)에 대해서, 다른 모뎀들(예를 들어 소프트 모뎀)이 사용될 수 있지만, 외장 커넥터를 가지는 집적 56K ITU v. 92 모뎀은 전세계를 통한 서로 다른 전화 시스템들을 지원하는 데 이용될 수 있다. 물론, 프로세서(202), 메모리(206, 207), 디스플레이(214) 및 통신 장치(211)를 위해 다른 장치 설정들이 사용될 수 있음이 인정되어야 할 것이다. 이해하기 쉽게 하기 위해서, PIC(110)를 이루는 모든 구성요소들이 전부 상세하게 설명되지는 않는다. 이러한 상세한 설명은 당업자에게 잘 알려져 있으며, 특정 컴퓨터 판매자와 마이크로프로세서 유형을 기초로 하여 변할 수 있다.게다가, 상기 PIC(110)는 목적하는 실시예에 따라서 다른 버스들, 장치들 및/또는 하위시스템들을 포함하여 구성될 수 있다. 예를 들어, PIC는 캐쉬(cache)들, 모뎀들, 병렬이나 직렬 인터페이스들, SCSI 인터페이스들, 네트웍 인터페이스 카드들 등을 포함하여 이루어질 수 있다.

도 2에 도시한 바와 같이, I/O 제어 장치(204)는 하나 이상의 USB 포트들, 키보드, 마우스, 오디오 스피커 등과 같은, I/O 장치(205)들에 연결된다. I/O 제어 장치(204)는 플래시 메모리나 다른 ROM(208) 및/또는 하드 디스크 드라이브(209)와 같은, 비휘발성 스토리지(207)에도 연결될 수 있다.

PIC(110)는 모뎀과 같은 통신 장치(211)에 의해 통신 네트웍(122)과 인터넷(140)에 연결된 것으로 도시되나, 상기 연결은 당업자에게 알려진 원하는 다른 네트워크 통신 장치에 의해서 구축될 수 있다. 상기 프로세서(202)는 디스플레이 장치(214)에 직접적으로 연결된 것으로 보여지지만, 디스플레이나 I/O 제어 장치를 통해 디스플레이(214)에 간접적으로 연결될 수도 있다. 이와 유사하게, 상기 프로세서는 I/O 제어부(204)를 통해 비휘발성 메모리(207)에 연결된 것으로 보이지만, 직접적인 연결도 물론 가능하다.

PIC 메모리에는 다양한 프로그래밍 코드들과 소프트웨어가 저장된다. 예를 들어, 개시 단계에서 PIC(110)를 시작시키는 BIOS(basic input/output system) 코드는 비휘발성 스토리지(207)의 BIOS ROM 장치(210)에 저장될 수 있는 바, 상기 ㅂ비활성 스토리지는 EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable PROM), 플래시 RAM(Random Access Memory)나 BIOS를 저장하기 위한 다른 유형의 적절한 메모리와 같은 PROM(Programmable ROM)이나 ROM(Read Only Memory)과 같은 것을 말한다. BIOS/Bootloader(210)는 본질적으로 사용자에게 보이지 않으며, 윈도우즈 CE OS와 같은 닫혀진 OS에 PIC OS를 임베드되게 하기 위해서는 호환성 부트로더를 포함하나, 다른 OS(윈도우즈를 기초로 한 OS와 리눅스를 기초로한 OS들에 한정하지 않음)가 BIOS 코드에 의해 지원될 수 있다. 상기 BIOS/Bootloader(210)는 보질적으로 사용자에게 보여지지 않으며 OS를 부팅한다.

PIC 소프트웨어(230)와 사용자 데이터는 비휘발성 스토리지(207)의 하드 드라이브(209) 상에 저장될 수 있고, 프로세서(202)에 의해 실행 및/또는 프로세스될 수 있다. PIC 소프트웨어(230)는 MBR(master boot record, 231), OS(232), 어플리케이션 프로그램 파티션(233), 소프트웨어 업그레이드 모듈(234), 사용자 데이터(235), 및 숨겨진 이미지 복구 모듈(236)을 포함하여 이루어질 수 있다. 상기 MBR(231)은 PIC(110)가 부팅될 때 실행되는 작은 프로그램으로, 보통 하드 디스크(209)의 첫 번째 섹터에 상주한다. 또한, MBR(209)는 상기 디스크 상에 파티션 테이블을 포함할 수 있다. OS에 대해서는, 시스템의 성능에 영향을 미칠 수 있는 유니크한 설정가능한 운영 변수들이 상기 드라이브(209)에 최초로 인스톨될 때에 상기 소프트웨어(230)의 일부로서 선-구성된다(pre-configured). 소프트웨어(230)는 지정된 대로 작동하게 하기 위해 PIC(110)에 필요한 어플리케이션 프로그램(233)들도 포함한다. 예를 들어, 상기 어플리케이션(233)들은 웹 브라우저, 플래시 플레이어, 파워포인트용 프리젠테이션 뷰어, 채팅, 게임, 압축 유틸리티, 이메일, 워드 프로세서, 스프레드시트, PDF 뷰어, 미디어 플레이어 및/또는 그림편집 어플리케이션들을 포함할 수 있다. 또한, 사용자가 상기 사용자 데이터에 직접 엑세스할 수 있도록 사용자 데이터(235)가 모든 사용자의 데이터를 저장한다. 이러한 사용자 데이터는 바이러스나 다른 수단들에 의해 데이터가 오염되지 않도록 OS의 나머지 부분으로부터 보호된다.

선택된 실시예에 있어서, PIC(110)는 PIC 소프트웨어(230)를 설정함으로써 인증되지 않는 인스톨로부터 보호되기 때문에 선결정된 인증이나 보안 키를 가지는 부트 로더 장치들로부터만 어플리케니션들이 추가되거나 업데이트 된다. 이러한 부트 로더 장치의 일 실시예는 USB-연결 플래시 스토리지 장치이다. 일 실시예에 있어서, 인스톨 제한은 로컬로 저장된 인스톨 키와 일치하는 키-비휘발성 메모리(207)에 저장된 유니크한 보안 키(security key, 240)와 같은-를 가지는 부트 장치들로부터의 인스톨만 허락하는 소프트웨어 업 데이트 모듈(234)에 의해서만 제어 된다. 상기 유니크한 보안 키(240)는 각 PIC(110, 111, 112)에 유니크하거나, 이 대신에 하나의 소스(예를 들어 ISP(120))로부터 인스톨 엑세스를 집단적으로 제어하기 위하여 PIC들 사이에서 공유할 수 있다. 선택된 일 실시예에서 유니크한 보안 키(240)는 하드 드라이브(209)의 마스터 부트 레코드(231)에 저장되나, 플래시 메모리나 다른 ROM(208) 또는 하드웨어에 내장된(hardwired) 집적회로 상에 저장될 수 있다. 따라서, 어떤 OS 시스템 파일들이나 어플리케이션 파일들이 부팅가능한 장치들로부터 전송되기 전에, 업데이트 모듈(234)은 부팅 장치가 유니크한 보안 키(240)에 일치되는지, 그렇지 않으면 상기 보안키에 해당되는 서명(signature)나 키를 가지는지 확인하여야만 한다. 이러한 방식으로, 보안 키에일치하는 부팅 가능한 장치들에 OS 코드나 다른 소프트웨어를 인스톨하는 것을 제한함으로써 PIC(110) 상의 OS의 무결성(integrity)을 보호하는 데 유니크한 보안 키(240)가 사용될 수 있다.

도 3을 참조하면, 프로세서(202)의 블록 다이어그램이 도시되어 있다. 일 실시예에서 프로세서(202)는 Advanced Micro Devices사의 Geode GX2 프로세서를 사용할 수 있다. 프로세서(202)는 프로세서 코어(310), 버스 또는 인터페이스 유닛(312), 그래픽 프로세서(314), 디스플레이 제어부(316) 및 비디오 프로세서(318)을 포함하여 구성될 수 있다. 상기 프로세서는 또한 메모리 제어부(330), I/O 제어부 인터페이스(332) 및 디스플레이 장치 인터페이스(334)를 포함하여 구성될 수 있으나, 이러한 콘트롤러들과 인터페이스들은 프로세서(202)의 외부에 구비될 수 있음이 인식되어야 할 것이다. 도시된 실시예에 있어서, 프로세서(202)는 유니크 보 안 키(240)에 일치하거나 유니크 보안 키에 해당하는 인증된 서명을 포함하지 않은 부팅 장치로부터 OS나 다른 소프트웨어를 설치하는 것을 제한하기 위해 메모리(206, 207)에 저장된 소프트웨어를 실행한다.

도 4를 참조하면, I/O 제어 장치(204)의 블록 다이어그램이 도시되어 있다. 일 실시예에서, 상기 I/O 제어 장치는 Advanced Micro Devices사의 Geode CS5535 I/O Companion Device를 사용할 수 있다. I/O 제어 장치(204)는 프로세서 인터페이스 모듈(410), USB 제어부 모듈(412), IDE 제어부 모듈(414), 플래시 메모리 제어부 모듈(416), 오디오 제어부 모듈(418) 및 시스템 전원 관리 모듈(420)을 포함하여 구성된다. 본 발명의 다양한 실시예에 따르면, USB 제어부 모듈(412)이나 플래시 메모리 제어부 모듈(416)은, OS나 어플리케이션 소프트웨어와 같은 소프트웨어를 로드하기 위한 부팅 가능한 장치로 사용되는, USB가 연결된 플래시 스토리지 장치와 함께 인터페이스로 사용된다.

OS와 다른 어플리케이션들의 시스템 무결성을 보호하기 위해, PIC(110)는 추가적인 소프트웨어의 인스톨을 제한하도록 디자인된다. 예를 들어, PIC(110)는 어떤 플로피 디스크나 CD-ROM 드라이브가 포함되거나 제공되지 않도록 선택적으로 디자인될 수 있으며, 이는 소프트웨어와 장치 드라이버 패키지들을 인스톨하는 데 전형적인 방법일 수 있다. 시스템의 무결성은 OS가 로딩될 때까지 USB 키보드와 마우스를 디스에이블(disable)시킴으로써 더욱더 보호한다. 또한, 유니크 보안 키(24)와 일치하는 인증된 서명 키가 없는 어떤 USB 장치로부터의 소프트웨어의 로딩이나 부팅 동작을 디스에이블 시키는 소프트 업데이트 모듈(234)을 사용하는 것 이외에, 소프트웨어의 인스톨은 PIC 소프트웨어(230)의 일부로서 인스톨된 OS와 어플리케이션들 상에서 디스에이블될 수 있다.

도 5는 소프트웨어 인스톨을 제한하는 데 사용되는 소프트웨어 업데이트 모듈(500)의 실시예를 도시한 것이다. 도시된 실시예에 있어서, 소프트웨어 업데이트 모듈(500)의 윈도우 CE에서의 실시예는, OAL(OEM adaptation layer) 콤포넌트(502), 윈도우 CE 커널 콤포넌트 및 Win32 콤포넌트 레이어(506)를 포함하여, 함께 동작하는 몇몇의 다른 레이어(layer)들을 갖는다. OAL 콤포넌트(502)는 플랫폼-특정 인터페이스들(타이머들, 시계들 및 인터럽트들과 같은)을 포함하여 구성되며, 윈도우 CE 커널 콤포넌트(504)의 기본적인 OS 시작 메커니즘(505)에 연결된다. 윈도우 CE 커널 콤포넌트 레이어(504)는 OAL 레이어에 의해 하드웨어로부터 추출되며(abstracted), OAL 콤포넌트(502)와 Win32 레이어(506) 사이에 포괄적인 통신 메커니즘을 제공한다. Win32 콤포넌트 레이어(506)는 OAL과 커널 레이어들(502, 504) 위에 상주하며, 어플리케이션들(507)을 위한 기본 환경이다. 인정될 수 있는 바와 같이, OS 시작 메커니즘(505)은 어플리케이션들을 로딩하는 OS의 일부로서 실행될 수 있을 뿐 아니라, 메모리에 WinCE가 동작을 시작하도록 로딩하는 프로그램으로서도 실행할 수 있는데, 어느 경우에 있어서도 BIOS/BootLoader 내에 포함될 수 있다.

사용자나 OS가 외장 스토리지 장치(508)로부터 어플리케이션을 시작시키거나 라이브러리(DLL)를 로딩시키는 것을 원할 때마다, 커널 콤포넌트(504)는 어플리케이션이나 모듈이 시작되어야 한다는 것을 확인하기 위해 OAL 콤포넌트를 이용하여 점검한다. OAL 콤포넌트(502)에서의 키 점검 절차(key check routine, 501)는 어플리케이션이나 모듈과 관련한 인증 키가 로컬로 저장된 보안 키와 일치하면 시작(launch)을 확정한다. 키 점검 절차는 다양한 방법으로 실행될 수 있다. 예를 들어, 윈도우 CE는 모르는 모듈들을 로딩하는 것으로부터 OS를 보호하고, 시스템 어플리케이션 프로그래밍 인터페이스(API; application programming interface)들로의 엑세스를 제한하며 그리고/또는 시스템 레지스트리의 부분들에 엑세스를 기입하는 것을 방지하기 위해서, 보안 수단을 실행함으로써 PIC(110)를 보호할 수 있는 증명 메커니즘(certification mechanism)을 제공한다. 어플리키에션들을 증명하는 과정에서, 모듈은 신뢰되거나 신뢰되지 않도록 디자인될 수 있고, 커널 콤포넌트(504)는 인증되지 않은 어플리케이션들을 로딩하지 않도록 방지하거나 그것들의 시스템으로의 엑세스를 제한하기 위하여 이러한 정보들을 이용할 수 있다. 예를 들어, 커널 콤포넌트(504)가 어플리케이션을 로딩하기 전에, OAL 콤포넌트(502)에서의 증명 기능이, 어플리케이션 서명을 로컬로 저장된 보안 키와 비교하는 것과 같은 방법으로, 어플리케이션 서명을 입증한다. 이러한 접근법에 의하여, 윈도우즈 CE를 기초로한 런-타임(run-time) 이미지들은 어플리케이션이 유효한 디지털 서명을 가진 경우에만 그것을 로딩한다.

또한, OS의 무결성은 인증되지 않은 OS 시스템들의 인스톨을 제한하기 위해 한정된 세트의 BIOS 펌웨어 명령들을 포함함으로써 보호될 수도 있다. 시스템이 턴 온되었을 때, 한정된 BIOS 펌웨어는 하드 드라이브(209)나 어떤 다른 부팅 장치(예를 들어, USB-연결 플래시 스토리지 장치나 CD-ROM)에서 인스톨 키-유니크 보안 키(240)와 같은-를 찾는다. 만약 인스톨 키가 없으면, 시스템 턴 온은 무시(abort)되나, 만약 인스톨 키가 있으면, 시스템 턴 온이 진행된다. 이러한 방식으로, 하드 드라이브(209)는 어떠한 인증되지 않은 OS(예를 들어 리눅스)로 원래의 OS(예를 들어, 윈도우 CE)가 교체되는 것으로부터 보호된다.

이제 도 6으로 돌아가면, 컴퓨터 시스템 상에 OS 코드 및/또는 소프트웨어의 인증되지 않은 인스톨을 방지하기 위한 보호 시스템의 동작이 순서도로 도시되어 있다. 알 수 있는 바와 같이, 도시된 OS들은, 시스템이 시작하는 동안 또는 PIC(110)에 파일들이 로딩되거나 인스톨되는 또 다른 때든지, OS와 다른 소프트웨어의 인스톨을 제한하는데 사용될 수 있다. 그러나, 좀더 단순하게 나타내기 위해서 본 명세서에서는 시작 시의 OS 인스톨을 제한하는 데에 일차적으로 초점을 맞추었다.

사전 단계(602)로서, 보호되고자 하는 컴퓨터 시스템(예를 들어, PIC(100))의 비휘발성 메모리에 보안 키가 저장된다. 단계 604에서 인스톨 동작이 일어날 때(예를 들어, 부팅 가능한 장치가 하드 드라이브에 OS 파일들을 기입하려고 시도할 때 시스템이 시작하는 동안), 보안 키는 비휘발성 메모리로부터 검색(retrieve)된다(단계 606). 또한, 인증 키가 부팅 장치로부터 요청된다(단계 608). 상기 키 검색 단계(key retrieval step)들은 병렬로 일어나는 것처럼 도시되었지만, 그 대신에 순차적으로 일어날 수 있다.

일단 보안 키와 인증 키가 얻어지면, 그것들은 단계 610에서 비교된다. 만약 키가 일치하지 않으면(결정 610에 부정적인 결과값), 요청된 인스톨은 거부되고 시 스템은 다음 인스톨을 검출하기 위하여 단계 604로 되돌아간다. 이 점에서, 리스트에 있는 다음의 부팅 장치는 키에 대해 점검될 수 있고 프로세스는 다시 시작하는데, 만약 리스트에 있는 아무 부팅 장치 상에서도 키가 발견되지 않으면 시스템은 정지하고 사용자에게 따르도록 나타난다. 그러나, 만약 키가 일치하면(결정 610에 긍정적인 결과값), 요청된 인스톨은 승인되고(단계 614), 시스템은 다음 인스톨을 검출하기 위하여 단계 604로 되돌아간다. 인정될 수 있는 바와 같이, 전술한 단계는 소프트웨어 업데이트 모듈의 일부나 BIOS 코드의 일부로서 실시될 수 있다.

상기 기술된 특정 실시예들은 단지 예시적인 것으로서 본 발명에 있어서의 한정으로 받아들여서는 안되며, 본 발명은 다른 방식뿐만 아니라 본 명세서에 나와 있는 당업자에게 자명한 이득을 가지는 균등한 방식으로 변경되고 실행될 수 있다. 따라서, 전술한 기재는 개시된 특정한 형태로 본 발명을 제한하도록 의도된 것이 아니며, 반대로, 첨부한 청구항에 의해 정의된 본 발명의 정신과 범위 내에 포함된 것과 같은, 그러한 대안들, 변경들 및 균등물들을 포함하도록 의도된 것이며, 그 결과 당업자가 그것의 가장 넓은 범위로서 본 발명의 정신과 범위 내에서 벗어남이 없이 다양한 변화들, 치환들 및 대안들을 행할 수 있게 한다는 것이 이해되어야 할 것이다.

Claims

실행 가능한 명령들과 데이터가 저장된, 적어도 하나의 기록 가능한 매체(medium)를 포함하여 이루어지는 장치로서,

상기 명령들과 데이터는 적어도 하나의 프로세싱 장치에서 실행될 때, 적어도 하나의 프로세싱 장치로 하여금

부트 로더 장치로부터 인스톨 요청을 검출하고;

상기 인스톨 요청에 응답하여 상기 장치 상의 비휘발성 스토리지 유닛으로부터 보안 키를 검색(retrieve)하고;

상기 부트 로더 장치로부터 제1인증 키를 요청하고;

상기 보안 키를 상기 제1인증 키와 비교하고; 그리고

상기 보안 키가 제1인증 키와 일치하는 경우에만 인스톨 요청을 승인하도록 하는 것을 특징으로 하는 장치.
제1항에 있어서, 상기 비휘발성 스토리지 유닛은 마스터 부트 레코드를 포함하는 것을 특징으로 하는 장치.
제1항에 있어서, 상기 부트 로더 장치는 내장 BIOS 메모리 유닛을 포함하는 것을 특징으로 하는 장치.
제1항에 있어서, 상기 부트 로더 장치는 외장 부팅 가능 장치를 포함하는 것을 특징으로 하는 장치.
제1항에 있어서, 상기 기록 가능한 매체는 내장 BIOS 메모리 유닛을 포함하는 것을 특징으로 하는 장치.
제1항에 있어서, 실행 가능한 명령들과 데이터는 상기 BIOS에 저장되는 것을 특징으로 하는 장치.
제1항에 있어서, 실행 가능한 명령들과 데이터는 인스톨된 운영 체계(OS; operating system)에 포함된 소프트웨어 모듈 업데이트에 포함되는 것을 특징으로 하는 장치.
제1항에 있어서, 상기 실행 가능한 명령들과 데이터는 제1인증 키와 일치하지 않으면 추가로 적어도 하나의 프로세싱 장치가 보안 키가 인스톨 요청을 거부하게 하는 것을 특징으로 하는 장치.
제1항에 있어서, 상기 실행 가능한 명령들과 데이터는 추가로, 적어도 하나의 프로세싱 장치로 하여금 보안 키가 제1인증 키와 일치하지 않은 경우 인증 키와 일치하는 제2인증 키에 대해서 저장된 리스트 내에서 확인된 다음 부트 로더 장치 를 점검하게 하는 것을 특징으로 하는 장치.