KR20100080400A - 로크된 컴퓨터 시스템의 프리-부트 복구 - Google Patents

로크된 컴퓨터 시스템의 프리-부트 복구 Download PDF

Info

Publication number
KR20100080400A
KR20100080400A KR1020090130996A KR20090130996A KR20100080400A KR 20100080400 A KR20100080400 A KR 20100080400A KR 1020090130996 A KR1020090130996 A KR 1020090130996A KR 20090130996 A KR20090130996 A KR 20090130996A KR 20100080400 A KR20100080400 A KR 20100080400A
Authority
KR
South Korea
Prior art keywords
bios
state
removable storage
computer system
boot
Prior art date
Application number
KR1020090130996A
Other languages
English (en)
Other versions
KR101077717B1 (ko
Inventor
모즈타바 미라스라피
모우스미 하즈라
가이언 프라카스
사우라브 다두
Original Assignee
인텔 코오퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코오퍼레이션 filed Critical 인텔 코오퍼레이션
Publication of KR20100080400A publication Critical patent/KR20100080400A/ko
Application granted granted Critical
Publication of KR101077717B1 publication Critical patent/KR101077717B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

본원의 실시예는 로크된 컴퓨터 시스템의 프리-부트 복구를 위한 방법, 장치, 물품 및 착탈가능 저장장치를 제공한다. 또한 다른 실시예가 기술 및 청구될 수 있다.
BIOS, ME, 프리-부트, 착탈가능 저장장치, PBA 모듈

Description

로크된 컴퓨터 시스템의 프리-부트 복구{PRE-BOOT RECOVERY OF A LOCKED COMPUTER SYSTEM}
본원의 실시예는 컴퓨팅 시스템 분야에 관한 것으로, 특히 로크된(locked) 컴퓨터 시스템의 복구 또는 언로크(unlock)에 관한 것이다.
전자장치를 로크하거나 디스에이블(disable)하는 보안 구성이 컴퓨팅 자산의 분실 또는 도난으로부터 데이터 및 다른 자산의 분실을 보호하기 위한 해결 방안으로 부각되고 있다. 컴퓨터 시스템과 같은 전자장치는 예를 들면 컴퓨터 시스템이 분실 또는 도난된 것으로 확인될 때 컴퓨터 시스템을 로크하는 도난 방지 기술(anti-theft technology)을 구현할 수 있다.
이러한 도난 방지 기술에서의 한 과제는 로크 상태로부터의 복구를 제공하는 것이다. 하드웨어, 펌웨어 또는 소프트웨어의 손상은 예를 들면 국부적으로 저장된 복구 모듈이 로크된 컴퓨터 시스템을 복구하려는 동작을 막을 수도 있다.
본원의 실시예는 첨부 도면 및 첨부된 특허청구범위와 함께 다음의 상세한 설명에 의해 쉽게 이해될 것이다. 본원의 실시예는 예로서 도시되며, 첨부 도면에 의해 제한되지 않는다.
다음의 상세한 설명에서, 일부분을 형성하며 본원이 실행될 수 있는 실례인 실시예로서 도시되는 첨부도면을 참조한다. 다른 실시예가 이용될 수 있고, 본원의 범주를 벗어나지 않고서도 구조적 또는 논리적 변경을 행할 수 있다는 것을 알 것이다. 따라서 후속된 상세한 설명은 제한하려는 것이 아니며, 본원에 따른 실시예의 범주는 첨부된 특허청구범위 및 그의 등가물에 의해 정의된다.
용어 "결합된(coupled) 및 "접속된(connected)"과 그의 파생어가 사용될 수 있다. 이들 용어는 서로 동의어가 아니라는 것을 알아야 한다. 오히려, 특정 실시예에서 "접속된"은 둘 이상의 소자가 서로 직접 물리적 또는 전기적으로 접촉하고 있다는 것을 가리키는데 사용될 수 있다. "결합된"은 둘 이상의 소자가 직접 물리적 또는 전기적으로 접촉하고 있다는 것을 의미할 수 있다. 그러나 "결합된"은 또한 둘 이상의 소자가 서로 직접 접촉하지 않지만, 여전히 서로 협동하거나 상호작용한다는 것을 의미할 수 있다.
설명을 위하여 형태 "A/B" 또는 형태 "A 및/또는 B"인 구는 (A), (B) 또는 (A 및 B)를 의미한다. 설명을 위하여, 형태 "A, B, C 중 적어도 하나"인 구는 (A), (B), (C), (A 및 B), (A 및 C), (B 및 C) 또는 (A, B 및 C)를 의미한다. 설명을 위하여, 형태 "(A)B"인 구는 (B) 또는 (AB)를 의미하는데, 즉 A는 선택적 요소이다.
설명에서는 하나 이상의 동일 또는 상이한 실시예를 각각 언급할 수 있는, "실시예에서"라는 구를 사용할 수 있다. 또한 본원의 실시예와 관련하여 사용되는 "포함하는, 구비하는(comprising)", "포함하는, 구비하는(including)", "가지는, 구비하는(having)" 등의 용어는 의미가 동일하다.
본원의 다양한 실시예에서, 로크된 보안 시스템의 복구를 위한 방법, 장치, 물품 및 착탈가능 저장장치가 개시된다. 도 1은 다양한 실시예에 따라서 로크된 전자장치의 복구를 위한 시스템을 개략적으로 도시한다. 실시예에서, 시스템(100)은 도시된 바와 같이 결합된 매니지어빌리티 엔진(ME : manageability engine)(102), 중앙 처리 유닛(CPU : central processing unit)(103), 호스트 운영 환경(104), 호스트 모듈(105), 기본 입출력 시스템(BIOS : basic input/output system)(106), BIOS 모듈(107), 로컬 프리-부트 인증(PBA : pre-boot authentification) 환경(108), 로컬 PBA 모듈(109), ME 환경(110), ME 모듈(111) 및 주변 인터페이스(112)를 가진 전자장치(101)를 포함한다. 시스템(100)은 도시된 바와 같이 결합된 비휘발성 저장소(115), PBA 모듈(116) 및 주변 인터페이스(117)를 가지는 착탈가능 저장장치(114)를 착탈가능하게 더 포함할 수 있다. 시스템(100)은 또한 서버 모듈(119)을 가진 서버(118)를 더 포함할 수 있고, 서버는 네트워크(120)에 의해 전자장치(101)와 결합한다.
전자장치(101)는 다양한 실시예에 따라서 호스트 장치, 컴퓨터 시스템, 장치, 제조 물품 또는 디지털 장치, 또는 이들의 결합일 수 있다. 전자장치(101)의 다른 실시예는 도 2와 관련하여 더 기술될 수 있다.
실시예에서, 전술한 바와 같이 전자장치(101)는 ME(102) 및 CPU 환경(103)을 포함한다. ME(102)는 전자장치(101)의 도난 방지 또는 보안 기능과 관련된 동작을 특히 포함한 동작을 수행 또는 관리하기 위하여 ME 모듈(111)을 포함한, 다양한 기능성을 가진 다양한 모듈을 포함하는 환경(110)을 구비할 수 있다. ME(102)는 전자장치(101)의 프로세서에 의해 구현, 동작 또는 실행될 수 있다. ME(102)는 예를 들면 CPU 환경(103)을 구현, 동작 또는 실행하는 CPU에 독립적인 프로세서에 의해 수행되는 펌웨어 또는 소프트웨어로서 저장되는 명령어를 포함할 수 있다. 실시예에서, ME(102)는 CPU가 아닌 내장 프로세서에 의해 실행된다. 다른 실시예에서, ME(102)는 CPU에 의해 실행되도록 구성될 수 있다. ME(102)는 호스트 운영 환경(104)에 결합될 수 있지만, 점선에 의해 표시된 바와 같이 호스트 운영 환경(104)에 독립적으로 동작하도록 구성될 수 있다. 예를 들면 호스트 환경(104), BIOS(106) 및 PBA 환경(108)은 보안 인증을 수행하기 위해 CPU 환경(103) 및 ME 모듈(111)을 실행시키는 CPU에 의해 실행될 수 있고, 관련 기능은 ME(102)를 실행시키는 개별 프로세서에 의해 실행될 수 있다.
ME(102)는 조건 검출시에 전자장치(101)를 디스에이블하도록, 그리고 인증시에 전자장치(101)를 재-인에이블하도록 구성될 수 있다. 실시예에서 ME(102)는 인증시에 전자장치(101)를 로크 상태로부터 언로크 상태로 복원하도록 구성된다. 실시예에 따라서, ME(102)는 인증시에 전자장치(101)를 도난 상태로부터 정상 동작 상태로 복구 및 되돌리도록 구성된다. 다른 실시예에서, 전자장치(101)의 ME(102)는 인증시에 전자장치(101)를 보호 상태로부터 비보호 상태로 복원하도록 구성된 다.
용어 "디스에이블", "로크", "도난" 및 "보호"는 전자장치(101)의 보다 안전한 동작 모드를 언급하기 위해 상호교환가능하게 사용될 수 있다. 실시예에서, 디스에이블, 로크, 도난 또는 보호 상태는 상태를 언급하며, 여기서 도난 방지 기술은 프리-부트 단계(pre-boot phase)에서 전자장치(101)의 부팅을 홀딩하고 비인증 장치의 부팅을 허용하지 않는다. 전자장치(101)는 일반적으로 BIOS(106) 동작을 넘어서 의심되는 도난 전자장치(101)의 부팅을 막기 위한 기능성을 가진 칩셋 또는 다른 플랫폼에 의해 로크될 수 있다. 보고된 전자장치(101)의 분실 또는 도난과 같은 하나 이상의 사건이 보다 안전한 동작 모드를 유발할 수 있다. 예를 들면 사용자는 전자장치(101)를 로크 상태로 두기 위하여 네트워크(120)를 통해 ME(102)에 커맨드를 송신할 수 있는, 도난 방지 보고서를 관리하는 시스템 또는 관리자에게 분실 또는 도난을 보고할 수 있다. 전자장치(101)는 로컬 또는 원격 수단에 의해 분실 또는 도난으로 확인될 수 있다. 주제는 이로 제한되지 않으며, 다른 조건 또는 사건이 다른 실시예에서 보다 안전한 동작 모드를 유발할 수 있다.
ME(102)는 전자장치(101)를 디스에이블 상태로부터 재-인에이블 상태로 복원하기 위하여 로컬 PBA 모듈(109) 또는 착탈가능 PBA 모듈(116)을 통해 크리덴셜(credentials)을 인증하도록 구성될 수 있다. ME(102)는 ME(102)와 통신하는데 PBA 모듈(109)을 위한 공개키 또는 개인키와 같은 보안 크리덴셜을 요구할 수 있다. 보안 크리덴셜은 예를 들면 네트워크(120)를 통해 ME(102)와 통신하는 서버(118)에 의해 제공될 수 있다. 다양한 실시예에 따라서, ME(102)는 도난 방지 플랫폼에서 다양한 내장 프로세서 또는 다른 보안 실행 환경을 포함할 수 있다.
CPU 환경(103)은 전자장치(101)에 의해 구현되는 하나 이상의 환경(104, 106, 108)을 포함할 수 있다. CPU 환경(103)을 동작시키는 CPU는 실시예에서 호스트 운영 환경(104) 및 BIOS(106)를 실행시키도록 구성될 수 있다. CPU 환경(103)을 동작시키는 CPU와 ME(102)를 동작시키는 내장 프로세서는 도 2의 전자장치(200)와 관련하여 더 기술될 것이다.
호스트 운영 환경(104)은 전자장치(102)의 운영체제(OS)를 포함할 수 있다. 실시예에서, 호스트 운영 환경(104)은 도난 방지 또는 다른 보안 기능성을 관리하기 위해, 그리고 도난 방지 또는 다른 보안 기능성을 관리하기 위해 서버 모듈(119)을 가진 서버(118)과 네트워크(120)를 통해 상호작용하기 위해 호스트 모듈(105)을 포함한다. 실시예에서, 호스트 모듈(105)은 예를 들면 도난 탐지, 정책 시행, 서버 랑데부(server rendezvous) 및/또는 키 관리를 포함한 기능을 관리하기 위하여 서버 모듈(119)과 상호작용한다. 예를 들면 호스트 모듈(105)은 서버(118)로부터 ME(102)로 도난 탐지, 정책 시행, 서버 랑데부 및/또는 키 관리와 관련된 정보를 중계할 수 있다. 네트워크(120)는 무선, LAN(local area network) 또는 인터넷을 포함한 임의 적당한 네트워크를 포함할 수 있다. 주제는 이로 제한되지 않으며, 다른 실시예에서 다양한 다른 네트워크 유형을 포함할 수 있다.
전자장치(101)는 주변 인터페이스(112)를 포함할 수 있다. 실시예에서, 주변 인터페이스(112)는 착탈가능 저장장치(114)를 전자장치(101)에 부착할 수 있도록 구성될 수 있다. 주변 인터페이스(112)는 일 실시예에 따라서 예를 들면 범용 직렬 버스(USB : universal serial bus) 인터페이스를 포함할 수 있다. 주제는 이로 제한되지 않으며, 다른 유형의 주변 인터페이스(112)가 다른 실시예에서 사용될 수 있다.
CPU 환경(103)은 BIOS(106)를 더 포함할 수 있다. 실시예에서, BIOS(106)는 호스트 운영 환경(104), ME(102) 및 주변 인터페이스(112)로 동작가능하게 결합된다. BIOS(106)는 프리-부트 동작 및 아래의 운영체제 레벨 동작을 수행하기 위한 다양한 모듈을 포함할 수 있다. 실시예에서, 전자장치(101)가 디스에이블, 로크, 도난 또는 보호 상태에 있다면, BIOS(106)는 디스에이블 상태로부터 복구, 또는 전자장치(101)상에 저장된 데이터 복구, 또는 이의 조합을 돕기 위하여 관여하는 인증 모듈(107)을 포함할 수 있다.
BIOS(106)는 예를 들면 상태에 관해 ME(102)에 질의함으로써 전자장치(101)가 디스에이블, 로크, 도난 또는 보호 상태에 있는지를 판정하도록 구성될 수 있다. 전자장치가 디스에이블, 로크, 도난 또는 보호 상태에 있다면, BIOS(106)는 인증 및 복구를 제공하기 위해 로컬 PBA 모듈(109) 또는 착탈가능 PBA 모듈(116)에 제어를 전달하도록 구성될 수 있다. BIOS(106)는 하나 이상의 실시예에서 여기서 "프리-부트 펌웨어"로서 언급될 수 있다.
다양한 실시예에 따라서, BIOS(106)는, 프리-부트시에, 착탈가능 저장장치(114)가 전자장치(101)에 부착되어 있는지를 판정하도록 구성된다. BIOS(106)는 착탈가능 저장장치(114)의 탐지시에, 로컬 인증 모듈(107)과 상호작용하는 것과 반대로 전자장치(101)를 디스에이블 상태로부터 재-인에이블 상태로 복원하기 위하여 ME(102)와 상호작용하도록 착탈가능 저장장치(114)상에 저장된 PBA 모듈(116)에 제어를 전달하도록 더 구성될 수 있다.
실시예에서, 장치(101)의 부팅가능 환경으로부터의 부팅과 반대로, BIOS(106)는 프리-부트 동안에, 착탈가능 저장장치(114)가 전자장치(101)에 부착되어 있는지를 판정하고, 탐지된다면, 착탈가능 저장장치(114)의 부팅가능 환경으로부터 전자장치(101)를 부팅하도록 구성된다. BIOS(106)가 착탈가능 저장장치(114)를 탐지하지 못한다면, BIOS(106)는 프리-부트 인증 기능을 수행하기 위하여 로컬 PBA 모듈(109)을 관여시키도록 구성될 수 있다.
로컬 PBA 모듈(109) 또는 착탈가능 PBA 모듈(116)은 다양한 프리-부트 인증 기능을 수행하도록 구성될 수 있다. 실시예에서, PBA 모듈(109, 116)은 예를 들어 상태에 관해 ME(102)에 질의함으로써, 전자장치(101)가 디스에이블, 로크, 도난 또는 보호 상태에 있는지를 판정하도록 구성될 수 있다. 실시예에서, PBA 모듈(109, 116)은 ME(102)와 통신하기 위하여 공개키 또는 개인키와 같은 보안 크리덴셜을 구비한다. PBA 모듈(109, 116)은 전자장치(101)가 디스에이블, 로크, 도난 또는 보호 상태에 있다고 판정한 경우에 인증 크리덴셜을 ME(102)에 제공하도록 사용자에게 촉구하도록 구성될 수 있다. 인증 크리덴셜은 예를 들면 사용자 패스 프레이즈(user pass phrase) 또는 서버-생성 패스 프레이즈를 포함할 수 있다. 주제는 이로 제한되지 않으며, 다른 유형의 인증 크리덴셜이 다른 실시예에서 사용될 수 있다.
전자장치(101)가 디스에이블, 로크, 도난 또는 보호 상태에 있지 않다고 판 정한 경우에, PBA 모듈(109, 116)은 호스트 운영 환경(104)으로 로그온하도록 사용자에게 촉구하도록 구성될 수 있다. PBA 모듈(109, 116)의 프리-부트 인증 기능이 성공적으로 완료된다면, 호스트 운영 환경(104)은 부팅될 수 있다.
로컬 PBA 모듈(109)은 전자장치(101)를 디스에이블 상태로부터 재-인에이블 상태로 복원하기 위하여 ME(102)와 상호작용하도록, BIOS(106), 호스트 환경(104) 및 ME(102)와 동작가능하게 결합될 수 있다. 로컬 PBA 모듈(109)은 로컬 PBA 모듈(109)을 저장하는 저장장치의 손상을 포함한(이로 제한되지 않는) 다양한 조건으로 인하여 동작하지 않을 수 있다. 이러한 경우, 착탈가능 저장장치(114)의 PBA 모듈(116)은 디스에이블된 전자장치(101)를 복원, 복구 또는 재-인에이블하도록 구현될 수 있다.
BIOS(106)는 전자장치(101)가 ME(102)에 의해 디스에이블되어 있는지를 판정하도록 구성될 수 있다. 실시예에서, 전자장치(101)가 디스에이블 상태이고 BIOS(106)에 의해 탐지되는 PBA 모듈(109, 116)이 없는 경우에, BIOS(106)는 전자장치(101)를 셧다운(shut down)하도록 구성된다, 예를 들면 PBA 모듈(109)이 손상되고, PBA 모듈(116)을 가진 착탈가능 저장장치(114)가 전자장치(101)에 부착되지 않는 경우에, 탐지되는 PBA 모듈(109, 116)이 없을 수 있다. 전자장치(101)를 셧다운하는 것은 전자장치(101)로의 전원을 턴오프하는 것을 포함할 수 있지만, 이로 제한되지는 않는다. 실시예에서, 유효한 인증 크리덴셜이 할당된 시간 내에 제공되지 않았다면, BIOS(106)는 전자장치(101)를 셧다운하도록 구성된다.
시스템(100)은 비휘발성 저장소(115), PBA 모듈(116) 및 주변 인터페이 스(117)를 가진 착탈가능 저장장치(114)를 착탈가능하게 더 포함할 수 있다. 비휘발성 저장소(115)는 예를 들면 플래시 메모리를 포함한 다양한 비휘발성 저장장치를 구비할 수 있다. 다양한 실시예에 따라서, 착탈가능 저장장치(114)는 예를 들면 자기 저장 드라이브를 포함한 다른 유형의 비휘발성 저장소(115)를 구비할 수 있다. 주제는 이로 제한되지 않으며, 착탈가능 저장장치(114)는 다른 실시예에서 다양한 다른 유형의 비휘발성 저장소(115)를 포함할 수 있다.
착탈가능 저장장치(114)의 주변 인터페이스(117)는 다양한 유형의 인터페이스를 포함할 수 있다. 일 실시예에서, 주변 인터페이스(117)는 UBS 인터페이스를 포함하지만, 이로 제한되지는 않는다. 착탈가능 저장장치(114)의 주변 인터페이스(117)는 주변 인터페이스(117)의 옆에 화살표로 표시되는 바와 같이 전자장치(101)의 주변 인터페이스(112)에 결합하도록 구성될 수 있다.
PBA 모듈(116)은 비휘발성 저장소(115)에 저장될 수 있다. 실시예에서, 프리-부트 펌웨어(106)가 프리-부트시에 전자장치(101)에 부착된 착탈가능 저장장치(114)를 탐지할 때, PBA 모듈(116)은 전자장치(101)의 프리-부트 펌웨어(BIOA)(106)로부터 제어를 전달하도록 구성된다. PBA 모듈(116)은 전자장치를 보호 상태로부터 비보호 상태로 복원하기 위하여 전자장치(101)의 ME(102)와 상호작용하도록 더 구성될 수 있다.
착탈가능 저장장치(114)는 전자장치(101)가 착탈가능 저장장치(114)로부터 부팅할 수 있도록 부팅가능 환경을 포함할 수 있다. 착탈가능 저장장치(114)는 예를 들면 프리-부트 인증을 위한 실행시간 환경을 제공하는 소프트웨어 커널을 구비 할 수 있다. 실시예에서, 착탈가능 저장장치(114)는 예를 들면 썸 드라이브(thumb drive), 펜 드라이브 또는 다른 유사한 드라이브를 포함한 다수 유형의 플래시 드라이브 중 하나를 포함한다. 주제는 이로 제한되지 않으며, 착탈가능 저장장치(114)는 다른 실시예에서 예를 들면 자기저장 드라이브 또는 다른 장치를 포함한 다른 장치를 구비할 수 있다.
다양한 실시예에 따라서, 착탈가능 저장장치(114)는 휴대용 또는 모바일일 수 있다. 착탈가능 저장장치(114)는 보안성을 증가시키기 위하여 전자장치(101)를 소유 또는 사용하는 기업을 위한 유일한 장치일 수 있다. 착탈가능 저장장치(114)는 기업에 의해 설계된 보안 영역에서 전자장치(101)에 부착될 수 있다. 전자장치(101)를 디스에이블 상태로부터 재-인에이블 상태로 복원하기 위한 인증 크리덴셜은 정보기술 관리자에 의해 제공될 수 있고, 인증 크리덴셜을 제공하기에 앞서 사용자의 신원을 확인하는 것을 포함할 수 있다. 주제는 이로 제한되지 않으며, 전자장치(101)의 복원을 보호하도록 다른 전략이 구현될 수 있다.
도 2는 다양한 실시예에 따라서 전자장치를 개략적으로 도시한 것이다. 전자장치(200)는 전자장치(101)와 관련하여 이미 기술한 실시예와 일치할 수 있다. 전자장치(200)는 전자장치(101)를 더 기술할 수 있다. 실시예에서, 전자장치(200)는 전자장치의 범위(무선 또는 유선)를 나타내려한다. 실시예에서, 전자장치(200)는 예를 들면 데스크탑 컴퓨터 장치, 랩탑 컴퓨터 장치, PC, 무선 전화, 셀룰러 이네이블 PDA(personal digital assistants)를 포함한 PDA, 셋탑 박스, 포켓 PC, 테블릿 PC, DVD 플레이어, 또는 서버를 포함한 다양한 장치를 나타낼 수 있지만, 이 들 예로 제한되지 않으며 다른 전자장치를 포함할 수 있다. 대안적 전자장치는 보다 많거나, 보다 적거나, 및/또는 상이한 구성소자를 포함할 수 있다. 전자장치(200)는 다양한 실시예에 따라서 호스트 장치, 컴퓨터 시스템, 장치, 제조 물품, 또는 디지털 장치, 또는 이들의 결합일 수 있다.
일 실시예에서, 전자장치(200)는 도 1과 관련하여 기술 및 도시한 바와 같이 전자장치(100)의 특징을 포함한다. 전자장치(200)는 정보를 전달하기 위한 버스(205) 또는 다른 통신 장치 또는 인터페이스, 그리고 정보를 처리할 수 있는, 버스(205)에 결합된 프로세서(210)를 포함할 수 있다. 버스(205)는 단일 시스템 버스, 또는 함께 브릿지된 동일 또는 상이한 유형의 복수의 버스를 포함할 수 있다. 장치(200)는 하나 이상의 프로세서 및/또는 코프로세서를 포함할 수 있다. 실시예에서, 장치(200)는 호스트 운영 환경(104), BIOS(106) 또는 로컬 PBA 환경(108), 또는 이의 결합을 실행하도록 구성된 CPU(207)를 포함할 수 있다. 장치(200)는 ME(102)를 실행하도록 구성된 내장 프로세서(EP: embedded processor)(208)와 같은 또 다른 프로세서를 더 포함할 수 있다. 다양한 실시예에 따라서, CPU(207)는 CPU 환경(102)을 구현, 실행 또는 동작시키고, EP(208)는 ME(102)를 구현, 실행 또는 동작시킨다. 전자장치(200)는 도시된 것보다 많거나 또는 적은 프로세서를 포함할 수 있다.
또한 장치(200)는 프로세서(207, 208, 210)에 의해 처리 또는 실행될 수 있는 정보 및 명령어를 저장하도록 버스(205)에 결합된 다양한 유형의 저장소를 포함할 수 있는 저장 매체(215)를 포함할 수 있다. 저장 매체(215)는 다양한 실시예에 따라서 도시된 것보다 많거나 또는 적은 유형의 저장소를 포함할 수 있다. 실시예에서, (전술한 본원의 티칭과 병합되는) BIOS(206) 및 ME(102)를 구현하기 위한 명령어가 저장 매체(215)에 저장된다. 명령어는 다양한 실시예에 따라서 펌웨어 또는 소프트웨어의 형태일 수 있다.
실시예에서, 장치(200)는 버스(205)에 결합된 RAM(random access memory) 또는 ("메모리"로 언급될 수 있는) 다른 저장장치(220)를 포함한다. 또한 메모리(220)는 프로세서(207, 208, 210)에 의한 명령어 수행 동안에 임시 변수 또는 다른 중간 정보를 저장하는데 사용될 수 있다. 메모리(220)는 일 실시예에서 플래시 메모리 장치이다. 실시예에서, BIOS(206) 또는 ME(102), 또는 이의 결합을 구현하기 위한 명령어가 메모리(220)에 저장된다.
또한 장치(200)는 프로세서(207, 208, 210)를 위한 정적 정보 및 명령어를 저장할 수 있도록 버스(205)에 결합된 ROM(read only menory) 및/또는 다른 정적 저장장치(230)를 포함할 수 있다. 실시예에서, BIOS(206) 또는 ME(102), 또는 이들의 결합을 구현하기 위한 명령어가 정적 저장소(230)에 저장된다. 데이터 저장장치(240)는 정보 및 명령어를 저장하기 위해 버스(205)에 결합될 수 있다. 자기 디스크 또는 광학 디스크 및 대응 드라이브와 같은 데이터 저장장치(240)가 전자장치(200)와 결합될 수 있다. 실시예에서, 로컬 PBA 모듈(109)을 구현하기 위한 명령어가 데이터 저장장치(240)에 저장된다. 실시예에서, BIOS(206) 또는 ME(102), 또는 이들의 결합을 구현하기 위한 명령어는 데이터 저장장치(240)에 저장된다.
실시예에서, 전자장치(200)는 저장 매체(215), 그리고 호스트 운영 환 경(104)을 가진 전자장치(200)를 위한 BIOS(106), 그리고 호스트 운영 환경(104)에 독립적으로 동작하는 ME(102)를 구현하도록 구성된 저장 매체(215)에 저장된 복수의 명령어를 가진 제조 물품을 포함한다. 저장 매체(215)는 ME(102)를 구현하기 위해 구성된 저장 매체(215)에 저장된 또 다른 복수의 명령어를 더 구비할 수 있고, 여기서 ME(102)는 전자장치(200)를 도난 상태로부터 정상 동작 상태로 복구 및 되돌리기 위하여 크리덴셜을 인증하도록 구성된다.
또한 전자장치(200)는 사용자에게 정보를 디스플레이하기 위하여 CRT(cathode ray tube) 또는 LCD(liquid crystal display)와 같은 디스플레이 장치(250)로 버스(205)를 통해 결합될 수 있다. 영숫자 및 다른 키를 포함한 영숫자 입력 장치(260)는 프로세서(210)로 정보 및 커맨드 선택을 전달하기 위하여 버스(205)에 결합될 수 있다. 커서 제어부(270)는 또 다른 유형의 입력 장치일 수 있고, 그리고 프로세서(210)로 정보 및 커맨드 선택을 전달하기 위해, 그리고 디스플레이(250) 상의 커서 움직임을 제어하기 위하여 예를 들면 마우스, 트랙볼 또는 커서 방향 키를 포함할 수 있다.
전자장치(200)는 로컬 영역 네트워크와 같은 네트워크(120)에 대한 액세스를 제공하기 위하여 하나 이상의 네트워크 인터페이스(280)를 더 포함할 수 있지만, 이로 제한되지는 않는다. 네트워크 인터페이스(280)는 예를 들면 하나 이상의 안테나를 나타낼 수 있는 안테나(285)를 가진 무선 네트워크 인터페이스를 포함할 수 있다. 또한 네트워크 인터페이스(280)는 예를 들면 이더넷 케이블, 동축 케이블, 광섬유 케이블, 직렬 케이블, 또는 병렬 케이블일 수 있는 네트워크 케이블(287)을 통해 원격 장치와 통신하기 위하여 유선 네트워크 인터페이스를 포함할 수 있다.
일 실시예에서, 네트워크 인터페이스(280)는 예를 들면 IEEE(Institute of Electrical and Electronics Engineers) 802.11b 및/또는 IEEE 802.11g 표준과 같은 IEEE 표준에 따름으로써 로컬 영역 네트워크에 대한 액세스를 제공할 수 있고, 그리고/또는 무선 네트워크 인터페이스는 예를 들면 블루투스 표준을 따름으로써 퍼스널 영역 네트워크에 대한 액세스를 제공할 수 있다. 다른 무선 네트워크 인터페이스 및/또는 프로토콜이 또한 지원될 수 있다.
IEEE 802.11b는 관련 문서뿐만 아니라 1999년 9월 16일 승인된 "Local and Metropolitan Area Networks, Part 11: Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) Specifications: Higher-Speed Physical Layer Extension in the 2.4 GHz Band"라는 명칭의 IEEE 표준 802.11b-1999에 대응한다. IEEE 802.11g는 관련 문서뿐만 아니라 2003년 6월 27일에 승인된 "Local and Metropolitan Area Networks, Part 11: Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) Specifications, Amendment 4: Further Higher Rate Extension in the 2.4 GHz Band"라는 명칭의 IEEE 표준 802.11g-2003에 대응한다. 블루투스 프로토콜은 블루투스 스페셜 인터레스트 그룹사에 의해 2001년 2월 22일에 발행된 "Specification of the Bluetooth System,: Core, Version 1.1"에 기술된다. 또한 블루투스 표준의 이전 또는 후속 버전이 지원될 수 있다.
무선 LAN 표준을 통한 통신에 추가적으로 또는 이 대신에, 네트워크 인터페이스(들)(280)는 예를 들면 TDMA(Time Division, Multiple Access) 프로토콜, GSM(Global System for Mobile Communications) 프로토콜, CDMA(Code Division, Multiple Access) 프로토콜, 그리고/또는 다른 임의 유형의 무선 통신 프로토콜을 사용하여 무선 통신을 제공할 수 있다.
전자장치(200)는 주변 인터페이스(112)와 관련하여 기술한 실시예와 일치할 수 있는 주변 인터페이스(290)를 더 포함할 수 있다. 주변 인터페이스(290)는 착탈가능 저장장치(114)를 전자장치(200)에 부착할 수 있도록 구성될 수 있다. 실시예에서, 전자장치(200)는 저장 매체(215), 그리고 착탈가능 저장장치(114)가 주변 인터페이스(290)를 통해 전자장치(200)에 부착되어 있는지를 프리-부트시에 탐지하도록, 그리고 탐지시에, 전자장치(200)를 도난 상태로부터 정상 동작 상태로 복구하고 되돌리기 위해 ME(102)와 상호작용하도록 착탈가능 저장장치(114)상에 저장된 PBA 모듈(116)에 제어를 전달하기 위해 구성된 BIOS(106)를 구현하기 위하여 저장 매체(215) 상에 저장된 복수의 명령어를 포함한다.
도 3은 다양한 실시예에 따라서 로크된 전자장치의 복구를 위한 방법을 도시하는 흐름도이다. 실시예에서, 방법(300)은 프리-부트시에 착탈가능 저장장치가 컴퓨터 시스템에 부착되어 있는지를 판정하는 단계(302), 착탈가능 저장장치의 탐지시에, 컴퓨터 시스템의 BIOS로부터 착탈가능 저장장치상에 저장된 PBA 모듈에 제어를 전달하는 단계(304), PBA 모듈에 의해, 컴퓨터 시스템이 로크 상태에 있는지를 판정하는 단계(306), 그리고 컴퓨터 시스템이 로크 상태에 있다고 판정한 경우에, 컴퓨터 시스템을 로크 상태로부터 언로크 상태로 복원하는 단계(308)를 포함한다. 용어 "컴퓨터 시스템"이 방법(300)의 양상을 기술하는데 사용되었지만, 방 법(300)의 조치는 전자장치, 호스트 장치, 장치, 제조 물품, 또는 디지털 장치를 위해 동작할 수 있으며, 이로 제한되지 않을 수 있다. 방법(300)은 도 1 및 도 2와 관련하여 전술한 다양한 조치 또는 동작을 포함할 수 있다.
방법(300)는 컴퓨터 시스템의 BIOS에 의해, 프리-부트시에 착탈가능 저장장치가 컴퓨터 시스템(302)에 부착되어 있는지를 판정하는 것을 포함한다. 컴퓨터 시스템은 호스트 운영 환경, 그리고 호스트 운영 환경에 독립적으로 동작하는 ME를 포함할 수 있다. 방법(300)은 프리-부트시에 컴퓨터 시스템의 상태에 대해 ME에 질의하는 것을 포함할 수 있다.
방법(300)은 착탈가능 저장장치의 탐지시에, BIOS가 컴퓨터 시스템을 로크 상태로부터 언로크 상태로 복원하기 위해 ME와 상호작용하도록 착탈가능 저장장치상에 저장된 PBA 모듈에 제어를 전달하는 단계(304)를 더 포함한다. 실시예에서, PBA 모듈(304)에 제어를 전달하는 BIOS는 착탈가능 저장장치상에 저장된 부팅가능 환경으로부터 컴퓨터 시스템을 부팅하는 것을 포함한다.
실시예예서, 방법(300)은, 착탈가능 저장장치의 탐지시에 PBA 모듈에 의해 컴퓨터 시스템이 로크 상태에 있는지를 판정하는 단계(306)를 더 포함한다. PBA 모듈은 예를 들면 컴퓨터 시스템의 로크 또는 언로크 상태를 판정하기 위해 ME에 질의할 수 있다. ME는 ME와 통신하기 위한 공개키 또는 개인키와 같은 보안 크리덴셜을 요구할 수 있다. 실시예에서, PBA 모듈은 ME와 통신하기 위해 공개키 또는 개인키와 같은 보안 크리덴셜을 가진다.
방법(300)은 컴퓨터 시스템이 로크 상태에 있다고 판정한 경우에 컴퓨터 시 스템을 로크 상태로부터 언로크 상태로 복원하기 위한 단계(308)를 더 포함할 수 있다. 컴퓨터 시스템을 로크 상태로부터 언로크 상태로 복원하기 위한 단계(308)는 PBA 모듈을 통해 ME에 인증 크리덴셜을 제공하도록 사용자에게 촉구하는 단계를 포함할 수 있다. 인증 크리덴셜은 예를 들면 서버-생성 패스 프레이즈 또는 사용자 패스 프레이즈를 포함할 수 있는데, 이로 제한되지는 않는다.
다양한 실시예에서, 방법(300)은 프리-부트시에 BIOS에 의해 컴퓨터 시스템이 로크 상태에 있는지를 판정하는 단계를 더 포함할 수 있다. 예를 들면 BIOS는 컴퓨터 시스템의 로크 또는 언로크 상태를 판정하기 위해 ME에 질의할 수 있다. BIOS가 컴퓨터 시스템이 로크 상태에 있다고 판정하고, BIOS가 컴퓨터 시스템을 로크 상태로부터 언로크 상태로 복원하기 위한 PBA 모듈을 탐지하지 못한다면, BIOS는 컴퓨터 시스템을 셧다운할 수 있다. 예를 들어 로컬 PBA 모듈이 손상 또는 소정 다른 사건으로 인해 정확하게 동작하는데 실패하고 컴퓨터 시스템에 부착된 PBA 모듈을 가진 원격 저장장치가 없다면, PBA 모듈이 탐지되지 않을 수 있다. 실시예에서, BIOS는 유효 인증 크리덴셜이 할당 시간 내에 제공되지 않거나, 또는 BIOS가 컴퓨터 시스템이 할당 시간 내에 로크될 때에 PBA 모듈을 탐지하지 못하는 경우, 또는 이들의 조합인 경우에 컴퓨터 시스템을 셧다운할 수 있다.
다양한 동작은 청구된 주제를 이해시에 가장 도움이 되는 방식으로 차례로 복수의 개별 동작으로서 기술되었을 수 있다. 그러나 설명서의 순서가 이들 동작이 반드시 순서에 의존한다는 것을 의미하기 위해 구성되어서는 안된다. 특히 이들 동작은 제공 순서대로 수행되지 않을 수 있다. 기술된 동작은 기술된 실시예와 다른 순서로 수행될 수 있다. 다양한 추가 동작이 수행될 수 있고, 그리고/또는 기술된 동작은 부가적 실시예에서 생략될 수 있다.
소정 실시예가 여기에 기술 및 도시되었지만, 당업자는 동일 목적을 성취하기 위해 계산된 폭넓게 다양한 다른 및/또는 등가의 실시예 또는 구현이 본원의 범주로부터 벗어나지 않고서도 도시 및 기술된 실시예를 대체할 수 있다는 것을 알 것이다. 당업자는 본원에 따른 실시예가 폭넓게 다양한 방식으로 구현될 수 있다는 것을 쉽게 알 것이다. 이 애플리케이션은 여기에 거론된 실시예의 임의 적응 또는 변경을 포함하려 한다. 따라서 본원에 따른 실시예는 청구범위 및 그의 등가물에 의해서만 제한된다는 것은 명백하다.
도 1은 다양한 실시예에 따라서, 로크된 전자장치의 복구를 위한 시스템을 개략적으로 도시하는 도면.
도 2는 다양한 실시예에 따라서, 전자장치를 개략적으로 도시하는 도면.
도 3은 다양한 실시예에 따라서, 로크된 전자장치의 복구 방법을 도시하는 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
101 : 전자장치
102 : 매니지어빌리티 엔진(ME : manageability engine)
103 : 중앙 처리 유닛(CPU : central processing unit)
104 : 호스트 운영 환경
105 : 호스트 모듈
106 : 기본 입출력 시스템(BIOS : basic input/output system)
107 : BIOS 모듈
108 : 로컬 프리-부트 인증(PBA : pre-boot authentification) 환경
109 : 로컬 PBA 모듈
110 : ME 환경
111 : ME 모듈
112 : 주변 인터페이스
114 : 착탈가능 저장장치
115 : 비휘발성 저장소
116 : PBA 모듈
117 : 주변 인터페이스
118 : 서버
119 : 서버 모듈
120 : 네트워크

Claims (30)

  1. 프리-부트(pre-boot)시에 컴퓨터 시스템의 기본 입출력 시스템(BIOS : basic input/output system)에 의해서 착탈가능 저장장치가 상기 컴퓨터 시스템에 부착되어 있는지를 판정하는 단계 - 상기 컴퓨터 시스템은 호스트 운영 환경 및 상기 호스트 운영 환경에 독립적으로 동작하는 매니지어빌리티 엔진(ME : manageability engine)을 포함함 - ; 및
    상기 착탈가능 저장장치의 탐지시에, 상기 BIOS가 상기 컴퓨터 시스템을 로크(locked) 상태로부터 언로크(unlocked) 상태로 복원하기 위하여 상기 ME와 상호작용하도록 상기 착탈가능 저장장치상에 저장된 프리-부트 인증(PBA : pre-boot authentication) 모듈에 제어를 전달하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 착탈가능 저장장치의 탐지시에, 상기 PBA 모듈에 의해서, 상기 컴퓨터 시스템이 로크 상태에 있는지를 판정하는 단계를 더 포함하는 방법.
  3. 제2항에 있어서,
    상기 컴퓨터 시스템이 로크 상태에 있다고 판정한 경우에, 상기 컴퓨터 시스템을 로크 상태로부터 언로크 상태로 복원하는 단계를 더 포함하는 방법.
  4. 제3항에 있어서,
    상기 컴퓨터 시스템을 로크 상태로부터 언로크 상태로 복원하는 단계는,
    상기 PBA 모듈을 통해 상기 ME에 인증 크리덴셜(authentication credentials)을 제공하도록 사용자에게 촉구하는 단계를 포함하는 방법.
  5. 제4항에 있어서,
    상기 ME는 통신을 위한 공개키 또는 개인키를 요구하고, 상기 PBA 모듈은 상기 ME와 통신하기 위한 공개키 또는 개인키를 포함하는 방법.
  6. 제4항에 있어서,
    상기 인증 크리덴셜을 제공하도록 사용자에게 촉구하는 단계는,
    상기 컴퓨터 시스템을 로크 상태로부터 언로크 상태로 복원하기 위하여 서버-생성 패스 프레이즈(server-generated pass phrase)를 상기 사용자에게 촉구하는 단계를 포함하는 방법.
  7. 제1항에 있어서,
    상기 BIOS에 의해서, 상기 컴퓨터 시스템이 로크 상태에 있는지를 판정하는 단계를 더 포함하는 방법.
  8. 제7항에 있어서,
    상기 컴퓨터 시스템이 로크 상태에 있다고 상기 BIOS가 판정하고 상기 BIOS가 상기 컴퓨터 시스템을 로크 상태로부터 언로크 상태로 복원하기 위한 PBA 모듈을 탐지하지 못한 경우에, 상기 BIOS에 의해서 상기 컴퓨터 시스템을 셧다운(shut down)하는 단계를 더 포함하는 방법.
  9. 제1항에 있어서,
    상기 BIOS가 상기 착탈가능 저장장치상에 저장된 PBA 모듈에 제어를 전달하는 단계는,
    상기 BIOS가 상기 착탈가능 저장장치상에 저장된 부팅가능 환경으로부터 상기 컴퓨터 시스템을 부팅하는 단계를 더 포함하는 방법.
  10. 장치로서,
    호스트 운영 환경;
    상기 호스트 운영 환경에 결합되지만 상기 호스트 운영 환경에 독립적으로 동작하도록 구성되고, 조건 검출시에 상기 장치를 디스에이블하고, 인증시에 상기 장치를 재-인에이블하도록 구성된 매니지어빌리티 엔진(ME : manageability engine);
    착탈가능 저장장치를 상기 장치에 부착할 수 있도록 구성된 주변 인터페이스; 및
    상기 호스트 운영 환경, 상기 ME 및 상기 주변 인터페이스에 동작가능하게 결합되고, 프리-부트시에 착탈가능 저장장치가 상기 장치에 부착되어 있는지를 판정하고, 상기 착탈가능 저장장치의 탐지시에 상기 장치를 디스에이블 상태로부터 재-인에이블 상태로 복원하기 위하여 상기 ME와 상호작용하도록 상기 착탈가능 저장장치상에 저장된 프리-부트 인증(PBA : pre-boot authentication) 모듈에 제어를 전달하도록 구성되는 기본 입출력 시스템(BIOS : basic input/output system)
    을 포함하는 장치.
  11. 제10항에 있어서,
    상기 주변 인터페이스는 범용 직렬 버스(USB : universal serial bus)를 포함하는 장치.
  12. 제10항에 있어서,
    상기 호스트 운영 환경 및 상기 BIOS를 실행하도록 구성된 중앙 처리 유닛(CPU : central processing unit), 및
    상기 ME를 실행하도록 구성된 내장 프로세서
    를 더 포함하는 장치.
  13. 제10항에 있어서,
    상기 장치를 디스에이블 상태로부터 재-인에이블 상태로 복원하기 위하여 상 기 ME와 상호작용하도록 상기 BIOS, 상기 호스트 환경 및 상기 ME와 동작가능하게 결합된 로컬 PBA 모듈을 더 포함하는 장치.
  14. 제10항에 있어서,
    상기 BIOS는 상기 장치가 상기 ME에 의해 디스에이블되어 있는지를 판정하도록 더 구성되는 장치.
  15. 제10항에 있어서,
    상기 BIOS는 상기 장치가 상기 ME에 의해 디스에이블되어 있고 상기 BIOS에 의해 탐지되는 PBA 모듈이 없는 경우에 상기 장치를 셧다운하도록 더 구성되는 장치.
  16. 제10항에 있어서,
    상기 BIOS는 상기 착탈가능 저장장치의 부팅가능 환경으로부터 상기 장치를 부팅하도록 더 구성되는 장치.
  17. 제10항에 있어서,
    상기 ME는 상기 장치를 디스에이블 상태로부터 재-인에이블 상태로 복원하기 위하여 상기 PBA 모듈을 통해 크리덴셜을 인증하도록 구성되는 장치.
  18. 제10항에 있어서,
    상기 PBA 모듈은 상기 장치를 디스에이블 상태로부터 재-인에이블 상태로 복원하기 위하여 상기 ME에 인증 크리덴셜을 제공하도록 사용자에게 촉구하도록 구성되는 장치.
  19. 제10항에 있어서,
    상기 ME는 통신을 위한 공개키 또는 개인키를 요구하고, 상기 PBA 모듈은 상기 ME와 통신하기 위한 공개키 또는 개인키를 포함하는 장치.
  20. 저장 매체, 및
    상기 저장 매체에 저장되고, 호스트 운영 환경 및 상기 호스트 운영 환경에 독립적으로 동작하는 매니지어빌리티 엔진(ME : manageability engine)을 구비한 디지털 장치를 위한 기본 입출력 시스템(BIOS : basic input/output system)을 구현하도록 구성된 복수의 명령어 - 상기 BIOS는 프리-부트시에 착탈가능 저장장치가 상기 디지털 장치에 부착되어 있는지를 탐지하고, 탐지시에 상기 디지털 장치를 도난 상태로부터 정상 동작 상태로 복구 및 되돌리기 위하여 상기 ME와 상호작용하도록 상기 착탈가능 저장장치상에 저장된 프리-부트 인증(PBA : pre-boot authentication) 모듈에 제어를 전달하도록 구성됨 -
    를 포함하는 제조 물품.
  21. 제20항에 있어서,
    상기 저장 매체는 비휘발성 메모리를 포함하는 제조 물품.
  22. 제20항에 있어서,
    상기 저장 매체에 저장되고 상기 ME를 구현하도록 구성된 또 다른 복수의 명령어를 더 포함하고,
    상기 ME는 상기 디지털 장치를 도난 상태로부터 정상 동작 상태로 복구 및 되돌리기 위하여 상기 PBA 모듈을 통해 크리덴셜을 인증하도록 구성되는 제조 물품.
  23. 제20항에 있어서,
    상기 BIOS는 상기 ME에 질의함으로써 상기 디지털 장치가 도난 상태에 있는지를 판정하고, 상기 디지털 장치가 도난 상태에 있고 상기 BIOS에 의해 탐지되는 PBA 모듈이 없는 경우에 상기 디지털 장치를 셧다운하도록 더 구성되는 제조 물품.
  24. 제20항에 있어서,
    상기 BIOS는 상기 착탈가능 저장장치의 부팅가능 환경으로부터 상기 디지털 장치를 부팅시키도록 더 구성되는 제조 물품.
  25. 착탈가능 저장장치로서,
    상기 착탈가능 저장장치를 전자장치에 부착하기 위한 주변 인터페이스;
    상기 주변 인터페이스에 결합된 비휘발성 저장소; 및
    상기 비휘발성 저장소에 저장되고, 상기 전자장치의 프리-부트 펌웨어가 프리-부트시에 상기 착탈가능 저장장치가 상기 전자장치에 부착된 것을 탐지한 경우에 상기 프리-부트 펌웨어로부터 제어를 전달하고, 상기 전자장치를 보호 상태로부터 비보호 상태로 복원하기 위하여 상기 전자장치의 매니지어빌리티 엔진(ME : manageability engine)과 상호작용하도록 구성된 프리-부트 인증(PBA : pre-boot authentication) 모듈
    을 포함하는 착탈가능 저장장치.
  26. 제25항에 있어서,
    상기 주변 인터페이스는 USB를 포함하고, 상기 비휘발성 저장소는 플래시 메모리를 포함하는 착탈가능 저장장치.
  27. 제25항에 있어서,
    상기 PBA 모듈은 상기 전자장치를 보호 상태로부터 비보호 상태로 복원하기 위하여 상기 ME에 인증 크리덴셜을 제공하도록 사용자에게 촉구하도록 구성되는 착탈가능 저장장치.
  28. 제25항에 있어서,
    상기 ME는 통신을 위한 공개키 또는 개인키를 요구하고, 상기 PBA 모듈은 상기 ME와 통신하기 위한 공개키 또는 개인키를 포함하는 착탈가능 저장장치.
  29. 제25항에 있어서,
    상기 프리-부트 펌웨어는 상기 ME에 질의함으로써 상기 전자장치가 보호 상태에 있는지를 판정하고, 상기 전자장치가 보호 상태에 있고 상기 프리-부트 펌웨어에 의해 탐지되는 PBA 모듈이 없는 경우에 상기 전자장치를 셧다운하도록 구성되는 착탈가능 저장장치.
  30. 제25항에 있어서,
    상기 프리-부트 펌웨어는 상기 착탈가능 저장장치의 부팅가능 환경으로부터 상기 전자장치를 부팅하도록 구성되는 착탈가능 저장장치.
KR1020090130996A 2008-12-30 2009-12-24 로크된 컴퓨터 시스템의 프리-부트 복구 KR101077717B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/346,078 2008-12-30
US12/346,078 US8296554B2 (en) 2008-12-30 2008-12-30 Pre-boot recovery of a locked computer system

Publications (2)

Publication Number Publication Date
KR20100080400A true KR20100080400A (ko) 2010-07-08
KR101077717B1 KR101077717B1 (ko) 2011-10-27

Family

ID=42077907

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090130996A KR101077717B1 (ko) 2008-12-30 2009-12-24 로크된 컴퓨터 시스템의 프리-부트 복구

Country Status (5)

Country Link
US (1) US8296554B2 (ko)
EP (1) EP2204756B1 (ko)
JP (1) JP5117483B2 (ko)
KR (1) KR101077717B1 (ko)
CN (1) CN101789060B (ko)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9367327B2 (en) * 2010-09-24 2016-06-14 Intel Corporation Method to ensure platform silicon configuration integrity
WO2012111018A1 (en) * 2011-02-17 2012-08-23 Thozhuvanoor Vellat Lakshmi Secure tamper proof usb device and the computer implemented method of its operation
US9105009B2 (en) 2011-03-21 2015-08-11 Microsoft Technology Licensing, Llc Email-based automated recovery action in a hosted environment
US20130133024A1 (en) * 2011-11-22 2013-05-23 Microsoft Corporation Auto-Approval of Recovery Actions Based on an Extensible Set of Conditions and Policies
US9460303B2 (en) 2012-03-06 2016-10-04 Microsoft Technology Licensing, Llc Operating large scale systems and cloud services with zero-standing elevated permissions
US8892904B2 (en) * 2012-09-13 2014-11-18 Intel Corporation Hardware enforced security governing access to an operating system
US8881249B2 (en) 2012-12-12 2014-11-04 Microsoft Corporation Scalable and automated secret management
TWI574175B (zh) * 2013-06-18 2017-03-11 緯創資通股份有限公司 防盜方法及其電腦系統
US9762585B2 (en) 2015-03-19 2017-09-12 Microsoft Technology Licensing, Llc Tenant lockbox
US10931682B2 (en) 2015-06-30 2021-02-23 Microsoft Technology Licensing, Llc Privileged identity management
EP3891631A4 (en) 2019-02-11 2022-07-06 Hewlett-Packard Development Company, L.P. RESTORING FIRMWARE SUBSYSTEMS BASED ON PRODUCTION STATES
WO2021086315A1 (en) 2019-10-29 2021-05-06 Hewlett-Packard Development Company L.P. Tracking device state transitions

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892906A (en) * 1996-07-19 1999-04-06 Chou; Wayne W. Apparatus and method for preventing theft of computer devices
US5748084A (en) * 1996-11-18 1998-05-05 Isikoff; Jeremy M. Device security system
US6170055B1 (en) 1997-11-03 2001-01-02 Iomega Corporation System for computer recovery using removable high capacity media
US6654890B1 (en) 1999-10-01 2003-11-25 Intel Corporation Protection of laptop computers from theft in the stream of commerce
US7930531B2 (en) 2000-01-06 2011-04-19 Super Talent Electronics, Inc. Multi-partition USB device that re-boots a PC to an alternate operating system for virus recovery
US20030028765A1 (en) * 2001-07-31 2003-02-06 Cromer Daryl Carvis Protecting information on a computer readable medium
TW516000B (en) * 2001-09-12 2003-01-01 Winbond Electronics Corp Method for security protection of digital processing device and apparatus thereof
DE10217582A1 (de) * 2002-04-19 2003-11-06 Fujitsu Siemens Computers Gmbh Diebstahlschutz für mobile elektronische Geräte
US7337323B2 (en) 2002-09-20 2008-02-26 Safenet, Inc. Boot-up and hard drive protection using a USB-compliant token
TWI326427B (en) * 2005-06-22 2010-06-21 Egis Technology Inc Biometrics signal input device, computer system having the biometrics signal input device, and control method thereof
JP4793628B2 (ja) 2005-09-01 2011-10-12 横河電機株式会社 Os起動方法及びこれを用いた装置
US7739726B2 (en) * 2005-11-14 2010-06-15 Route1 Inc. Portable device for accessing host computer via remote computer
US20070223685A1 (en) 2006-02-06 2007-09-27 David Boubion Secure system and method of providing same
US20080022124A1 (en) * 2006-06-22 2008-01-24 Zimmer Vincent J Methods and apparatus to offload cryptographic processes
US7882365B2 (en) * 2006-12-22 2011-02-01 Spansion Llc Systems and methods for distinguishing between actual data and erased/blank memory with regard to encrypted data
WO2008147577A2 (en) * 2007-01-22 2008-12-04 Spyrus, Inc. Portable data encryption device with configurable security functionality and method for file encryption

Also Published As

Publication number Publication date
CN101789060B (zh) 2014-05-07
US8296554B2 (en) 2012-10-23
KR101077717B1 (ko) 2011-10-27
EP2204756B1 (en) 2013-05-08
JP2010157229A (ja) 2010-07-15
EP2204756A1 (en) 2010-07-07
JP5117483B2 (ja) 2013-01-16
CN101789060A (zh) 2010-07-28
US20100169630A1 (en) 2010-07-01

Similar Documents

Publication Publication Date Title
KR101077717B1 (ko) 로크된 컴퓨터 시스템의 프리-부트 복구
US8561138B2 (en) System and method to provide added security to a platform using locality-based data
US8028172B2 (en) Systems and methods for updating a secure boot process on a computer with a hardware security module
CN102955921B (zh) 电子装置与安全开机方法
EP3125149B1 (en) Systems and methods for securely booting a computer with a trusted processing module
US9251347B2 (en) Providing an immutable antivirus payload for internet ready compute nodes
US8898797B2 (en) Secure option ROM firmware updates
US9135435B2 (en) Binary translator driven program state relocation
US7506380B2 (en) Systems and methods for boot recovery in a secure boot process on a computer with a hardware security module
US9449157B2 (en) Mechanisms to secure data on hard reset of device
WO2014039363A1 (en) Measuring platform components with a single trusted platform module
US10523427B2 (en) Systems and methods for management controller management of key encryption key
US8132253B2 (en) Memory security override protection for manufacturability of information handling systems
US9245122B1 (en) Anti-malware support for firmware
US8838952B2 (en) Information processing apparatus with secure boot capability capable of verification of configuration change
US20190391817A1 (en) Boot authentication
EP3079057B1 (en) Method and device for realizing virtual machine introspection
US20180041344A1 (en) Systems and methods for storing administrator secrets in management controller-owned cryptoprocessor
CN116541891A (zh) 一种uefi映像文件完整性保护方法、装置、设备及介质
US20210216640A1 (en) Systems and methods for hardware root of trust with protected redundant memory for authentication failure scenarios
CN101539975B (zh) 使用广域网络连接保护资产的系统和方法
Regenscheid BIOS Protection Guidelines for Servers (Draft)

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140930

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151002

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160929

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee