TW201415280A - 用於確保連網至雲端運算環境的系統免於惡意程式碼攻擊之方法及服務 - Google Patents
用於確保連網至雲端運算環境的系統免於惡意程式碼攻擊之方法及服務 Download PDFInfo
- Publication number
- TW201415280A TW201415280A TW102129988A TW102129988A TW201415280A TW 201415280 A TW201415280 A TW 201415280A TW 102129988 A TW102129988 A TW 102129988A TW 102129988 A TW102129988 A TW 102129988A TW 201415280 A TW201415280 A TW 201415280A
- Authority
- TW
- Taiwan
- Prior art keywords
- protected
- cloud server
- computer network
- administrator
- password
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Abstract
一種避免駭客在連網電子系統、電腦及諸如此類上植入惡意軟體之系統及方法,其藉由移除讀取、寫入與執行系統的作業系統的管理者許可檔案,並將其放置在雲端上的分離的受保護伺服器而為之。該受保護雲端伺服器記錄系統的特有ID。在重新配置合法授權管理者的許可檔案之後,從該合法授權管理者請求穩固的密碼。之後,通往受防護雲端伺服器檔案的網路途徑被加密並被記錄在受保護系統上。此路徑變更取代了電腦系統到那些檔案的先前本地路徑。這些對受保護系統上的OS變更的結果摒除了駭客從網路來存取系統而非法地變成受駭系統的管理者。
Description
本發明一般關於保護包括電腦(伺服器、桌上型電腦、筆記型電腦、平板電腦、電子閱讀器或其它電腦實施例)、大型主機電腦、網路儲存裝置、路由器、智慧型手機、行動電話、具IP位址的電話系統、遊戲機、伺服器、電信集線器/裝置、藍芽裝置以及使用經常或不常連網且可能進行軟體更新與升級的作業系統的其他電子裝置的連網電子系統。所欲保護的系統為於其操作期間經常或不常連接至網路者。保護被設計以防止在其連接至一或多個雲端網路(包括內部網路、網際網路、寬頻無線網路、防護網路、VOIP網路、區域網路、藍芽或其它網路連結)時,惡意軟體(例如病毒、蠕蟲、木馬程式)植入到系統中。在此揭露書所使用的用語“系統”係指電腦(伺服器、桌上型電腦、筆記型電腦、平板電腦、電子閱讀器或其它電腦實施例)、大型主機電腦、路由器、電信集線器/裝置、伺服器、網路儲存裝置、智慧型手機、行動電話、遊戲機、藍芽裝置或任何其它電子裝置,該任何其它電子裝置使用連接至網路(包括內部網路、網際網路、寬頻無線網路、防護網路、VOIP網路、區域網路、藍芽或任何其它網路實施例)的作業系統。
駭客必須取得電腦化裝置的管理者許可檔案的存取權限,以植入病毒、木馬程式、蠕蟲或其它惡意軟體。他們利用非常多的方式來這樣做,以取得存取權限。關閉很多系統的存取弱點避免遠端駭客是很多安裝並經常地更新系統上防毒軟體的網際網路防護服務的基礎。不幸的是,目前為止沒有防毒軟體是百分之百成功的避免系統受駭。駭客正不斷地找尋新方法來駭入系統。在每一例子中,他們最終取得系統的管理者許可檔案的控制,並成功地植入他們的惡意軟體。
本發明藉由移除讀取、寫入以及執行系統的作業系統(OS)的管理者許可檔案,並將它們放置在雲端(內部網路、網際網路或受保護的私人網路)中的分離、受保護的伺服器,來提供改良的防護。當此完成後,受防護的雲端伺服器必須記錄該系統的特有ID。這些ID可為系統的IP位址、MAC數目、或任何其它特有的硬體ID與一或多個像該系統的作業系統(OS)的特有授權的軟體ID 的組合。其可包括一或多個先前安裝軟體的應用授權。重要的是,系統的ID其中之一必須是特有的硬體ID以及先前已安裝、可另外使用做合法授權軟體(即,特別授權予欲保護系統的軟體)的任何其它ID。隨選地,這些檔案亦可被加密並儲存於伺服器中,其密鑰只有負責將檔案存在受防護雲端伺服器中的機構才知道。在合法授權管理者的許可檔案的再定位已被完成後,從合法授權管理者請求一組穩固的密碼。亦可依據欲防護的系統型式收集其它資訊,包括被設計以復原遺失或忘記密碼的資訊。將此資訊保留在雲端伺服器中,並應備份在一或多個異地防護伺服器中,以符合災害復原需求。一旦移除步驟已被完成,通往儲存受保護系統的資料的受防護雲端伺服器的網路途徑被加密,並被記錄在受保護系統上。此途徑變更取代在個別電腦或系統中進入那些管理者許可檔案的先前本地路徑。在所保護系統上對OS的這些變更的結果使得無法從網路虛擬地駭入系統。這表示其現在無法在受保護系統上植入病毒、木馬程式、蠕蟲或其他惡意軟體。其也表示不再需要防毒軟體。
電腦、伺服器、平板電腦、電子閱讀器、行動電話、智慧型手機、具IP位址的電話系統、電信集線器/裝置、網路儲存裝置、大型主機電腦、連網遊戲機以及其它連網電子裝置,即使只是很短的時間,現在都在連接到雲端網路環境時受駭(例如進行軟體更新或升級)。駭客可以取得讀取、寫入以及執行管理者許可檔案的存取權限,並且藉由使用各種方法變成受駭系統的新管理者。一旦系統的OS的控制已被完成,駭客便可植入病毒、木馬程式(偽裝成為合法檔案或有用程式,目的在於授權未被合法授權的駭客存取電腦的惡意軟體)、蠕蟲(自行複製以散播至其他電腦的獨立運行惡意軟體電腦程式)或其它可進行未授權動作(包括複製、變更及/或傳送資料檔案、安裝金鑰登入/監控軟體、刪除檔案以及在其它系統上發動阻斷服務(DOS)攻擊)的惡意軟體。
當需要新軟體、軟體更新或變更為關鍵性保護檔案時,合法授權管理者首先必須取得欲更新系統的存取權限。該合法授權管理者輸入正確的密碼,以從欲更新系統建立到包含該系統的關鍵性管理者許可檔案與系統ID的雲端上的防護伺服器的網路連線。在正確密碼已被輸入並已決定連接到伺服器的系統的系統ID之後,雲端伺服器檢查欲更新系統並將系統的ID及/或其它特有系統識別碼與先前儲存於伺服器中之資料進行比較。如果有不正確的比對,則不會發生軟體安裝或更新。當密碼與系統ID相符時,可進行軟體的正常安裝。欲安裝的新軟體現在可從已知、可信任、經授權的來源下載,或其可由像是USB磁碟機或其它資料儲存媒體的本地來源安裝。為了進一步改善安全性,建議對用以儲存管理者許可檔案的遠端伺服器與欲保護系統之間的所有網路流量進行加密。加密、解密以及傳送儲存於受防護雲端伺服器上的關鍵性系統與管理者資料的金鑰應該由雲端伺服器管理者經常地變更,以提供進一步保護。
駭客必須取得電腦化裝置的管理者許可檔案的存取權限,以植入病毒、木馬程式、蠕蟲或其它惡意軟體。他們利用非常多的方式來這樣做,以取得存取權限。關閉很多系統的存取弱點避免遠端駭客是很多安裝並經常地更新系統上防毒軟體的網際網路防護服務的基礎。不幸的是,目前為止沒有防毒軟體是百分之百成功的避免系統受駭。駭客正不斷地找尋新方法來駭入系統。在每一例子中,他們最終取得系統的管理者許可檔案的控制,並成功地植入他們的惡意軟體。
本發明藉由移除讀取、寫入以及執行系統的作業系統(OS)的管理者許可檔案,並將它們放置在雲端(內部網路、網際網路或受保護的私人網路)中的分離、受保護的伺服器,來提供改良的防護。當此完成後,受防護的雲端伺服器必須記錄該系統的特有ID。這些ID可為系統的IP位址、MAC數目、或任何其它特有的硬體ID與一或多個像該系統的作業系統(OS)的特有授權的軟體ID 的組合。其可包括一或多個先前安裝軟體的應用授權。重要的是,系統的ID其中之一必須是特有的硬體ID以及先前已安裝、可另外使用做合法授權軟體(即,特別授權予欲保護系統的軟體)的任何其它ID。隨選地,這些檔案亦可被加密並儲存於伺服器中,其密鑰只有負責將檔案存在受防護雲端伺服器中的機構才知道。在合法授權管理者的許可檔案的再定位已被完成後,從合法授權管理者請求一組穩固的密碼。亦可依據欲防護的系統型式收集其它資訊,包括被設計以復原遺失或忘記密碼的資訊。將此資訊保留在雲端伺服器中,並應備份在一或多個異地防護伺服器中,以符合災害復原需求。一旦移除步驟已被完成,通往儲存受保護系統的資料的受防護雲端伺服器的網路途徑被加密,並被記錄在受保護系統上。此途徑變更取代在個別電腦或系統中進入那些管理者許可檔案的先前本地路徑。在所保護系統上對OS的這些變更的結果使得無法從網路虛擬地駭入系統。這表示其現在無法在受保護系統上植入病毒、木馬程式、蠕蟲或其他惡意軟體。其也表示不再需要防毒軟體。
電腦、伺服器、平板電腦、電子閱讀器、行動電話、智慧型手機、具IP位址的電話系統、電信集線器/裝置、網路儲存裝置、大型主機電腦、連網遊戲機以及其它連網電子裝置,即使只是很短的時間,現在都在連接到雲端網路環境時受駭(例如進行軟體更新或升級)。駭客可以取得讀取、寫入以及執行管理者許可檔案的存取權限,並且藉由使用各種方法變成受駭系統的新管理者。一旦系統的OS的控制已被完成,駭客便可植入病毒、木馬程式(偽裝成為合法檔案或有用程式,目的在於授權未被合法授權的駭客存取電腦的惡意軟體)、蠕蟲(自行複製以散播至其他電腦的獨立運行惡意軟體電腦程式)或其它可進行未授權動作(包括複製、變更及/或傳送資料檔案、安裝金鑰登入/監控軟體、刪除檔案以及在其它系統上發動阻斷服務(DOS)攻擊)的惡意軟體。
當需要新軟體、軟體更新或變更為關鍵性保護檔案時,合法授權管理者首先必須取得欲更新系統的存取權限。該合法授權管理者輸入正確的密碼,以從欲更新系統建立到包含該系統的關鍵性管理者許可檔案與系統ID的雲端上的防護伺服器的網路連線。在正確密碼已被輸入並已決定連接到伺服器的系統的系統ID之後,雲端伺服器檢查欲更新系統並將系統的ID及/或其它特有系統識別碼與先前儲存於伺服器中之資料進行比較。如果有不正確的比對,則不會發生軟體安裝或更新。當密碼與系統ID相符時,可進行軟體的正常安裝。欲安裝的新軟體現在可從已知、可信任、經授權的來源下載,或其可由像是USB磁碟機或其它資料儲存媒體的本地來源安裝。為了進一步改善安全性,建議對用以儲存管理者許可檔案的遠端伺服器與欲保護系統之間的所有網路流量進行加密。加密、解密以及傳送儲存於受防護雲端伺服器上的關鍵性系統與管理者資料的金鑰應該由雲端伺服器管理者經常地變更,以提供進一步保護。
以下技藝定義此領域的現況,且每一揭露併入本文以為參考,可於需要時提供本申請案與由其核發的專利的基本素材。
德拉可納等人(Dellacona et al.) 的美國專利申請公開號2006/0080518 A1。此為在先申請美國專利申請號10/962,026、於2004年10月8日申請以及案名為"可移除/可分離的作業系統(Removable/Detachable Operating System)"的部分連續申請案。將外部磁碟機嵌入於所選擇電腦,例如透過USB埠、SD卡槽或其它分離式儲存裝置,該分離式儲存裝置可自電腦移除或經由實體開/關切換自電腦存取分離。該外部磁碟機提供記憶體空間以及具有自動啟動能力的可執行程式,使得該可執行程式於該外部磁碟機嵌入時啟動。程式在該可執行程式中的測試檔案上請求“讀取”、“寫入”或“執行”功能,並將DLL程式片段或在所選擇的電腦的作業系統中進行這些功能的其它檔案進行旗標標示。接著其複製已標示的DLL控制片段或其它檔案至外部磁碟機記憶體空間,並且改變這些功能的作業路徑到該外部磁碟機。在第二實施例中,當所選擇的電腦的使用者或擁有者沒有正在使用該電腦時,可將該外部磁碟機移除,留下該所選擇的電腦,因為該外部磁碟機不在,新路徑現在是無效的,而無法執行“讀取”、“寫入”或“執行”指令。
湯瑪斯等人(Thomas et al.)的美國專利號6,016,402說明一種可整合至電腦中做為軟碟機的大容量可移除式媒體磁碟機。該方法與裝置適用於該可移除式媒體磁碟機被配置為電腦中的第一固定磁碟機的環境。因此,該可移除式媒體磁碟機被BIOS辨識為固定磁碟機。響應於對該媒體的主開機紀錄的請求,從該可移除式媒體磁碟機提供替代的主開機紀錄至該電腦。因而取得該開機順序的控制。該替代的主開機紀錄載入了改變作業系統以辨識該可移除式媒體磁碟機為軟碟機的開機程式。
漢斯理(Hensley)的美國專利號7,017,039說明一種現代的電腦作業系統,其改從例如CD-ROM之受保護媒體開機與執行。檔案與組態資訊由完全地配置與操作的OS複製到硬碟影像檔。加入檔案系統過濾器與裝置驅動程式,其藉由檢查來自該影像檔的初始讀取請求來執行一模擬的讀寫硬碟機,以及從已寫入的磁碟磁區資料庫寫入請求與讀取請求至先前已寫入的資料。該OS改以在開機期間載入該過濾器與驅動程式,接著從該模擬的讀寫硬碟機執行。然後將該硬碟影像檔被放置在可開機的受保護媒體上。
德拉可納等人(Dellacona et al.) 的美國專利申請公開號2006/0080518 A1。此為在先申請美國專利申請號10/962,026、於2004年10月8日申請以及案名為"可移除/可分離的作業系統(Removable/Detachable Operating System)"的部分連續申請案。將外部磁碟機嵌入於所選擇電腦,例如透過USB埠、SD卡槽或其它分離式儲存裝置,該分離式儲存裝置可自電腦移除或經由實體開/關切換自電腦存取分離。該外部磁碟機提供記憶體空間以及具有自動啟動能力的可執行程式,使得該可執行程式於該外部磁碟機嵌入時啟動。程式在該可執行程式中的測試檔案上請求“讀取”、“寫入”或“執行”功能,並將DLL程式片段或在所選擇的電腦的作業系統中進行這些功能的其它檔案進行旗標標示。接著其複製已標示的DLL控制片段或其它檔案至外部磁碟機記憶體空間,並且改變這些功能的作業路徑到該外部磁碟機。在第二實施例中,當所選擇的電腦的使用者或擁有者沒有正在使用該電腦時,可將該外部磁碟機移除,留下該所選擇的電腦,因為該外部磁碟機不在,新路徑現在是無效的,而無法執行“讀取”、“寫入”或“執行”指令。
湯瑪斯等人(Thomas et al.)的美國專利號6,016,402說明一種可整合至電腦中做為軟碟機的大容量可移除式媒體磁碟機。該方法與裝置適用於該可移除式媒體磁碟機被配置為電腦中的第一固定磁碟機的環境。因此,該可移除式媒體磁碟機被BIOS辨識為固定磁碟機。響應於對該媒體的主開機紀錄的請求,從該可移除式媒體磁碟機提供替代的主開機紀錄至該電腦。因而取得該開機順序的控制。該替代的主開機紀錄載入了改變作業系統以辨識該可移除式媒體磁碟機為軟碟機的開機程式。
漢斯理(Hensley)的美國專利號7,017,039說明一種現代的電腦作業系統,其改從例如CD-ROM之受保護媒體開機與執行。檔案與組態資訊由完全地配置與操作的OS複製到硬碟影像檔。加入檔案系統過濾器與裝置驅動程式,其藉由檢查來自該影像檔的初始讀取請求來執行一模擬的讀寫硬碟機,以及從已寫入的磁碟磁區資料庫寫入請求與讀取請求至先前已寫入的資料。該OS改以在開機期間載入該過濾器與驅動程式,接著從該模擬的讀寫硬碟機執行。然後將該硬碟影像檔被放置在可開機的受保護媒體上。
駭客藉由控制OS取得系統的存取權限,成為新的系統管理者。駭客對控制誰可讀取、寫入與執行檔案的許可權限而成為管理者的關鍵性管理者檔案獲得存取權限。這些許可權限包括在系統上安裝或更新軟體的授權。對目標系統的存取一般使用內部網路、網際網路、無限寬頻網路、防護網路、VOIP網路、區域網路、藍芽或連接到作為目標的系統的其他網路而遠端地或本地地(例如在機場候機區域)進行。
一旦駭客欺騙了系統並變成管理者,他/她便可植入木馬程式、蠕蟲、病毒或其它惡意程式碼以竊取資料檔案輸入登入使用者、跟蹤使用者、挾持所使用系統以攻擊其它系統或進行其它非法活動。第1圖係該駭入過程的圖式描述。
本發明避免駭客獲取對管理者許可檔案的存取權限。一旦系統受到保護,這些檔案不再實體地存在於受保護系統上。它們與特有系統ID的紀錄及該受保護系統的合法授權管理者的正確密碼一起被安全地儲存在雲端伺服器上。沒有管理者許可檔案、特有系統ID、以及從該受保護系統到包含該管理者許可檔案的受防護雲端伺服器的真實網路存取,沒有駭客可以由遠端取得存取權限以及在系統上植入惡意軟體。此使得以本發明保護的系統不會受到任何網路駭客攻擊。
為了阻止這種攻擊形式並防護系統,本發明將讀取、寫入以及執行管理者許可檔案保護在雲端(網際網路或內部網路)的防護伺服器中。這導致管理檔案不再存在於該受保護系統中,而是存在於雲端中的受保護伺服器上。只有在合法授權管理者(非駭客)輸入所需密碼後才可存取該受保護伺服器。若密碼和該受保護系統的特有系統ID是正確的,則可進行軟體變更。此特徵確保了從錯誤系統送來的竊取密碼將不能運作。真正要更新的系統必須是做出更新請求的系統。因此,本發明使得駭客無法透過經由網路來攻擊系統而變成OS管理者。
受保護系統可利用任何現代的OS來操作,包括但不限於視窗(Windows)、麥金塔(Mac)、Unix、Linux、IOS、安卓(Android)、其它行動電話作業系統、DOS或任何的各種支援需要網路連線的電子元件的OS。
本發明之新穎特徵使用了支援各種執行不同作業系統的系統與辨識該系統的OS與其版本的安裝腳本(installation script)的跨平台碼 (例如XML、HTML或像是Webkit2的其它跨平台發展工具)。以該方式,正確的安裝腳本被執行以進行該OS的所需的軟體變更,消除多平台基礎建設的需求。
管理者檔案經辨識與複製後,它們被加密並經網際網路傳送至連網的受防護雲端伺服器,在那裏它們被加密、儲存並受密碼保護。此外,該系統的特有系統ID在受防護雲端伺服器中與管理者許可檔案被確定、複製、加密、傳送以及儲存。讀取、寫入及執行許可檔案的網路途徑從欲保護的系統變更到遠端受防護雲端伺服器,並在被保護系統中被加密與記錄。
先前技藝利用額外的硬體來直接地連接到要執行其發明的系統。而本發明,不需特別的硬體(例如分離式存儲裝置(例如具有機械式開及關的開關的USB磁碟或可分開啟動的硬碟或CD ROM))來連接到欲保護系統。例如,先前技藝需要在管理者許可檔案被變更時或甚至在系統使用中時使用連接到系統的特別硬體。本發明不需要任何型式的任何新硬體的採購與直接連接。隨著雲端計算的進步,本發明可利用連接到具有作業系統(OS)的任何連網系統的現存雲端基礎建設執行,以創造出受保護系統。一旦完成安全性安裝,系統就不會從網路遠端地受駭。
另外,本發明的一個重要差異特徵使用欲保護系統的特有系統ID。該ID被用以辨識該特定欲保護系統,且後續用以連接至受防護雲端伺服器,以使合法授權管理者可以對管理者許可檔案做任何後續變更。
本發明之一個目的在於提供一種方法,以辨識系統的正確OS與版本號碼,將管理者許可檔案與系統分開,以及將它們重新配置到受防護雲端伺服器,使其基於所有企圖與目的,使駭客無法取得系統的控制權與植入惡意軟體。
本發明之另一目的在於確定系統的特有系統ID與儲存該ID於防護遠端雲端伺服器,以鑑定出正確系統,用於合法授權管理者的變更、軟體安裝、更新、關鍵性的受保護檔案變更以及其它保留給合法授權系統管理者的功能。
本發明之又一目的在於提供一種驗證軟體安裝的真實性的方法,首先藉由登入儲存系統的管理者許可檔案的受防護雲端伺服器,接著只從已知、可信賴的且經鑑定的來源請求軟體下載或更新。
本發明之再一目的在於避免從內部網路、網際網路、寬頻網路、防護網路、無線網路、VOIP網路、藍芽或任何其它網路連接未經合法授權的存取至作業系統的管理者檔案。
本發明之再一目的在於將管理者許可檔案的路徑從該受保護系統變更至連網的受防護雲端伺服器,使得該系統無法對系統進行未經合法授權的變更,包括未連接至正確的受防護雲端伺服器而進行的軟體安裝。
本發明之再一目的在於若該合法授權管理者如此選擇時,於受防護雲端伺服器上提供該原始OS、應用程式以及其它關鍵性資料檔案的可信賴備份,以防該原始檔案萬一變成毀損或遺失。
本發明之再一目的在於提供一種防護關於合法授權管理者的可信賴資訊的方法,像是他/她的指紋、手印、眼睛/臉部辨識、或其它生物特徵量測學資料及/或關於該合法授權管理者通常將不為駭客所知的個人資料。
本發明之又一目的在於提供一種透過網際網路或經合法授權販售/授權點(像是授權零售店)販售包括本發明的安全防護服務的方法。此程序利用初始的暫時性密碼與系統的特有系統ID的辨識,讓該合法授權系統管理者稍後使用來防護系統。此程序要求買家/使用者存取可信賴的已知網站,進行購買或接收合法授權,接收暫時性密碼並重新啟動系統,之後該合法授權系統管理者將登入系統,並連接至雲端的安全防護伺服器,以完成在此專利中先前描述的系統安全防護程序。該買家/使用者亦可前往合法授權地點,像是零售店或機構IT部門,此處商店/機構雇員可販售/授權該服務,記錄該特有系統ID,傳送該資訊至受防護雲端伺服器,並提供暫時性密碼給該買家/使用者。一旦完成,該買家/使用者提供該暫時性密碼給該合法授權系統管理者。只有該合法授權管理者可進行以下步驟。該合法授權管理者登入成為管理者並前往已下載到該系統或於終端機或機構支援處的第二位址。一旦連接到該位址,他/她被提示輸入該暫時性密碼。該受防護雲端伺服器比較在購買/授權時所記錄並從該初始網際網路位址或該商店/機構個別送往該雲端伺服器的特有系統ID,並判定是否相符。如果是,啟動本專利中描述的其餘程序。若否,不能對由該受防護雲端伺服器所保護的系統做任何進一步的變更。此程序避免受防護雲端伺服器被駭客誆騙。
本發明實施例的其它特徵與優點將在以下連同所附圖式所做更詳細說明之下益發明顯,其利用舉例的方式繪示出本發明至少一合理的實施例的原理。
一旦駭客欺騙了系統並變成管理者,他/她便可植入木馬程式、蠕蟲、病毒或其它惡意程式碼以竊取資料檔案輸入登入使用者、跟蹤使用者、挾持所使用系統以攻擊其它系統或進行其它非法活動。第1圖係該駭入過程的圖式描述。
本發明避免駭客獲取對管理者許可檔案的存取權限。一旦系統受到保護,這些檔案不再實體地存在於受保護系統上。它們與特有系統ID的紀錄及該受保護系統的合法授權管理者的正確密碼一起被安全地儲存在雲端伺服器上。沒有管理者許可檔案、特有系統ID、以及從該受保護系統到包含該管理者許可檔案的受防護雲端伺服器的真實網路存取,沒有駭客可以由遠端取得存取權限以及在系統上植入惡意軟體。此使得以本發明保護的系統不會受到任何網路駭客攻擊。
為了阻止這種攻擊形式並防護系統,本發明將讀取、寫入以及執行管理者許可檔案保護在雲端(網際網路或內部網路)的防護伺服器中。這導致管理檔案不再存在於該受保護系統中,而是存在於雲端中的受保護伺服器上。只有在合法授權管理者(非駭客)輸入所需密碼後才可存取該受保護伺服器。若密碼和該受保護系統的特有系統ID是正確的,則可進行軟體變更。此特徵確保了從錯誤系統送來的竊取密碼將不能運作。真正要更新的系統必須是做出更新請求的系統。因此,本發明使得駭客無法透過經由網路來攻擊系統而變成OS管理者。
受保護系統可利用任何現代的OS來操作,包括但不限於視窗(Windows)、麥金塔(Mac)、Unix、Linux、IOS、安卓(Android)、其它行動電話作業系統、DOS或任何的各種支援需要網路連線的電子元件的OS。
本發明之新穎特徵使用了支援各種執行不同作業系統的系統與辨識該系統的OS與其版本的安裝腳本(installation script)的跨平台碼 (例如XML、HTML或像是Webkit2的其它跨平台發展工具)。以該方式,正確的安裝腳本被執行以進行該OS的所需的軟體變更,消除多平台基礎建設的需求。
管理者檔案經辨識與複製後,它們被加密並經網際網路傳送至連網的受防護雲端伺服器,在那裏它們被加密、儲存並受密碼保護。此外,該系統的特有系統ID在受防護雲端伺服器中與管理者許可檔案被確定、複製、加密、傳送以及儲存。讀取、寫入及執行許可檔案的網路途徑從欲保護的系統變更到遠端受防護雲端伺服器,並在被保護系統中被加密與記錄。
先前技藝利用額外的硬體來直接地連接到要執行其發明的系統。而本發明,不需特別的硬體(例如分離式存儲裝置(例如具有機械式開及關的開關的USB磁碟或可分開啟動的硬碟或CD ROM))來連接到欲保護系統。例如,先前技藝需要在管理者許可檔案被變更時或甚至在系統使用中時使用連接到系統的特別硬體。本發明不需要任何型式的任何新硬體的採購與直接連接。隨著雲端計算的進步,本發明可利用連接到具有作業系統(OS)的任何連網系統的現存雲端基礎建設執行,以創造出受保護系統。一旦完成安全性安裝,系統就不會從網路遠端地受駭。
另外,本發明的一個重要差異特徵使用欲保護系統的特有系統ID。該ID被用以辨識該特定欲保護系統,且後續用以連接至受防護雲端伺服器,以使合法授權管理者可以對管理者許可檔案做任何後續變更。
本發明之一個目的在於提供一種方法,以辨識系統的正確OS與版本號碼,將管理者許可檔案與系統分開,以及將它們重新配置到受防護雲端伺服器,使其基於所有企圖與目的,使駭客無法取得系統的控制權與植入惡意軟體。
本發明之另一目的在於確定系統的特有系統ID與儲存該ID於防護遠端雲端伺服器,以鑑定出正確系統,用於合法授權管理者的變更、軟體安裝、更新、關鍵性的受保護檔案變更以及其它保留給合法授權系統管理者的功能。
本發明之又一目的在於提供一種驗證軟體安裝的真實性的方法,首先藉由登入儲存系統的管理者許可檔案的受防護雲端伺服器,接著只從已知、可信賴的且經鑑定的來源請求軟體下載或更新。
本發明之再一目的在於避免從內部網路、網際網路、寬頻網路、防護網路、無線網路、VOIP網路、藍芽或任何其它網路連接未經合法授權的存取至作業系統的管理者檔案。
本發明之再一目的在於將管理者許可檔案的路徑從該受保護系統變更至連網的受防護雲端伺服器,使得該系統無法對系統進行未經合法授權的變更,包括未連接至正確的受防護雲端伺服器而進行的軟體安裝。
本發明之再一目的在於若該合法授權管理者如此選擇時,於受防護雲端伺服器上提供該原始OS、應用程式以及其它關鍵性資料檔案的可信賴備份,以防該原始檔案萬一變成毀損或遺失。
本發明之再一目的在於提供一種防護關於合法授權管理者的可信賴資訊的方法,像是他/她的指紋、手印、眼睛/臉部辨識、或其它生物特徵量測學資料及/或關於該合法授權管理者通常將不為駭客所知的個人資料。
本發明之又一目的在於提供一種透過網際網路或經合法授權販售/授權點(像是授權零售店)販售包括本發明的安全防護服務的方法。此程序利用初始的暫時性密碼與系統的特有系統ID的辨識,讓該合法授權系統管理者稍後使用來防護系統。此程序要求買家/使用者存取可信賴的已知網站,進行購買或接收合法授權,接收暫時性密碼並重新啟動系統,之後該合法授權系統管理者將登入系統,並連接至雲端的安全防護伺服器,以完成在此專利中先前描述的系統安全防護程序。該買家/使用者亦可前往合法授權地點,像是零售店或機構IT部門,此處商店/機構雇員可販售/授權該服務,記錄該特有系統ID,傳送該資訊至受防護雲端伺服器,並提供暫時性密碼給該買家/使用者。一旦完成,該買家/使用者提供該暫時性密碼給該合法授權系統管理者。只有該合法授權管理者可進行以下步驟。該合法授權管理者登入成為管理者並前往已下載到該系統或於終端機或機構支援處的第二位址。一旦連接到該位址,他/她被提示輸入該暫時性密碼。該受防護雲端伺服器比較在購買/授權時所記錄並從該初始網際網路位址或該商店/機構個別送往該雲端伺服器的特有系統ID,並判定是否相符。如果是,啟動本專利中描述的其餘程序。若否,不能對由該受防護雲端伺服器所保護的系統做任何進一步的變更。此程序避免受防護雲端伺服器被駭客誆騙。
本發明實施例的其它特徵與優點將在以下連同所附圖式所做更詳細說明之下益發明顯,其利用舉例的方式繪示出本發明至少一合理的實施例的原理。
30...新系統
32...製造商安裝OS
34,40,42,44,46,48,52,56,58,60,62,64,112,114,116,118,120,122...步驟
36...安全防護伺服器
38...雲端
50...系統
54...可信賴網站
110...零售店/支援機構
第1圖為顯示駭客如何取得系統的控制以及植入病毒、木馬程式、蠕蟲以及其他惡意軟體的圖。
第2圖為顯示由製造商防護的系統避免該系統受駭的圖。
第3圖為顯示系統如何自網際網路上的可信賴網站藉由購買防護服務來避免受駭的圖。
第4圖 (延伸兩頁)為顯示系統如何自網際網路上的可信賴網站藉由購買防護服務來避免受駭的另一更詳細的圖。
第5圖為顯示系統如何從零售店藉由購買防護服務或從機構接收合法授權來避免受駭的圖。
第2圖為顯示由製造商防護的系統避免該系統受駭的圖。
第3圖為顯示系統如何自網際網路上的可信賴網站藉由購買防護服務來避免受駭的圖。
第4圖 (延伸兩頁)為顯示系統如何自網際網路上的可信賴網站藉由購買防護服務來避免受駭的另一更詳細的圖。
第5圖為顯示系統如何從零售店藉由購買防護服務或從機構接收合法授權來避免受駭的圖。
第1圖至第5圖繪示至少一本發明較佳實施例中的本發明揭露內容,其以以下描述來詳細地進一步定義。此領域中一般技藝之人士可在不偏離本發明精神與範圍之下對本發明做變更及修改。因此,必須了解的是,所繪示之實施例僅做舉例用途,且它們不應被視為如以下所定義地來限制本發明。再者,本文所使用的用語“系統”與有時稱為“可連接電腦網路的裝置或系統”係指電腦(伺服器、桌上型電腦、筆記型電腦、平板電腦、電子閱讀器或其它電腦實施例)、大型主機電腦、路由器、電信集線器/裝置、伺服器、網路儲存裝置、智慧型手機、行動電話、遊戲機、藍芽裝置或使用作業系統連接至包括內部網路、網際網路、寬頻無線網路、防護網路、VOIP網路、區域網路、藍芽或任何其它網路實施例的網路的任何其它電子裝置。用語“系統”、“可連接電腦網路的裝置或系統”意欲包含可被駭的任何裝置或裝置、硬體、韌體及/或軟體的集合。
現在將說明如何藉由使用在雲端的連網受保護伺服器來儲存讀取、寫入及執行系統的OS的管理者許可檔案,以創造出免受惡意駭客攻擊的受保護系統的較佳方法。
首先參考第1圖,此圖顯示駭客10如何可取得系統的控制以及植入病毒、木馬程式、蠕蟲以及其他惡意軟體。首先,駭客企圖經由網際網路、內部網路、無線或私人網路連結12來連接至目標系統14 (例如電腦、電腦網路或某些其它電子裝置)。接著,駭客利用一或多種被設計來利用系統的弱點16的技術取得該系統的作業系統(OS)的存取權限。這些技術很寬廣、多變且一般為已知,且因此本文將不再進一步討論,僅重複說明為了植入特洛伊木馬程式、病毒、蠕蟲、鍵盤側錄程式(key logger)及/或其他惡意軟體,駭客必須取得系統的控制權而成為管理者。然後,駭客利用存取權限及得到管理者許可檔案的控制,變成被系統辨識為管理者18。最後,駭客植入特洛伊木馬程式、病毒、蠕蟲、鍵盤側錄程式及/或其他惡意軟體20。很多時候,電腦系統的使用者甚至不知道這件事發生。
現在轉到第2圖,其為顯示由製造商防護的新系統30如何被建立以避免該系統受駭的圖。換言之,此為本發明的例示性實施例,其中新系統30以具有由電子系統的製造商32 (或某些其他供應商)以執行網路連接的OS之預先安裝的本發明保護措施開始。
在第一步驟1(編號34)中,該製造商或某些第三方32安裝該系統的OS以及所有其它所需軟體與資料檔案到系統30上。正常安裝的例外是,安裝是以未安裝管理者許可檔案來進行。反而,那些管理者許可檔案、系統的特有硬體ID以及暫時性密碼與任何其它應用程式、資料檔案以及基本上所需之軟體一起儲存到一“雲端”38的安全防護伺服器36上。在第二步驟2(編號40)中,該製造商32或某些第三方安裝通往這些管理檔案與系統ID的加密網路途徑到該雲端38的安全防護伺服器上。在第三步驟3(編號42)中,買家/管理者收到系統30,並被提供有和儲存在受防護雲端伺服中相同的暫時性密碼,以及URL網址。在接下來的步驟4(編號44),在第一次開機以及當適當的網路連結到安全防護伺服器36時,合法授權管理者(例如,買家或由機構或家庭指定的其他人作為該合法授權管理者)被提示來輸入該暫時性密碼。下一步驟5(編號46),該受防護雲端伺服器36將該暫時性密碼與特有硬體ID與儲存在該安全防護伺服器中的暫時性密碼與特有硬體ID進行比較。若兩者都符合先前儲存在受防護雲端伺服器36上的資料,則管理者被提示以他/她被提示以記錄在某處(最好不是在系統上)並記得的新的穩固密碼取代該暫時性密碼。接著6,取得其它註冊與許可資訊(例如,針對特定使用者的“唯讀”資料),輸入並儲存在該受防護雲端伺服器36與欲保護的系統30上(例如,當系統未連接至網路時,允許以非管理者讀取、寫入及執行的資料可儲存在本地以備用)。
為了防護未受保護的現存系統,可以使用以下兩種方法與操作之任一者。首先參考第3圖,有顯示一種藉由從網際網路上可信賴網站購買的服務而用於保護系統50的方法,其中本發明的服務的安裝是藉由合法授權管理者使用防護遠端安裝程序而在現存系統上完成。用以說明第2圖的本發明的例示性實施例的相同編號被適當地使用於第3圖至第5圖中。
在本發明的此例示性實施例中,在第一步驟1(編號52)中,管理者(他/她為買家或使用者)到指定的已知網站54,該已知網站54被信賴且被授權。在下一步驟2(編號56)中,進行購買交易,或輸入授權碼以及任何其它需要的註冊資訊,以購買本發明的防護服務。在第三步驟3(編號58)中,當完成購買/授權程序,銷售點網站記錄著特有硬體ID,並將該資訊與暫時性密碼送至具有不同已授權位址的分離的受防護雲端伺服器36。這只會因為已發佈適當的憑證並且送到欲保護的系統且自動重定向至受防護雲端伺服器被啟動而發生。買家/使用者接收暫時性密碼與該安全防護伺服器位址。使用從初始註冊/銷售點將該欲保護系統進行分離連結,該特有系統ID被送至該受防護雲端伺服器。在第四步驟4(編號60)中,買家/使用者使用所提供的URL網址連接到該受防護雲端伺服器36,並且被提示以輸入該暫時性密碼。接此,在第五步驟5(編號62)中,當合法授權的系統管理者第一次連接到該受防護雲端伺服器時,該雲端伺服器36將被註冊的系統50的ID與從購買/初始註冊點發送的特有硬體ID進行比較。若儲存的硬體ID與密碼符合,則該受防護雲端伺服器36確定系統的OS與版本,選擇適合的安裝腳本,並藉由確認管理者許可檔案、加密那些檔案、移除、傳送及移動那些檔案到該受防護雲端伺服器36而啟動安裝,並且在欲保護的系統50上輸入那些檔案的網路途徑。該合法授權管理者被提示輸入穩固的密碼以及其它所需的註冊資訊,包括有關合法授權使用者許可的資訊。該資訊經加密並傳送至該安全防護伺服器36以及儲存。通往管理者許可檔案的途徑從該系統變更、被加密並且被指向該受防護雲端伺服器36。然後重新啟動該受保護系統。最後,6(編號64)中,使用者/合法授權管理者可以安全地使用現在被保護防駭的系統50。
第4圖 (延伸兩頁)為另一更詳細圖式,顯示系統如何自網際網路上的可信賴網站藉由購買防護服務來避免受駭。首先,方塊70中,買家/使用者連接至經合法授權以銷售安全防護服務的已知網站。接著,方塊72中,進行購買的買家/使用者取得暫時性密碼與該受防護雲端伺服器的URL網址。然後,方塊74中,該網站讀取該系統的硬體ID,並將ID和暫時性密碼送至受防護雲端伺服器。接著,方塊76中,該系統的合法授權管理者使用網路連接至使用所提供的URL及該暫時性密碼的該受防護雲端伺服器。接著,方塊78中,一旦系統的管理者完成了從欲保護系統到該受防護雲端伺服器的連接,該安全防護伺服器將該硬體ID及暫時性密碼與所連接的系統的硬體ID及由“合法授權系統的管理者”所提供的密碼進行比較。該程序透過決策樹80進行。若該硬體ID及該暫時性密碼兩者都正確,則進行安裝步驟(方塊82)。然而,若該系統的系統ID正確但該暫時性密碼錯誤,則管理者被提示重新輸入密碼(方塊84)。若錯誤次數達到給定數目 n (例如,3)86,系統被斷線並傳送信息到監控該防護服務的安全防護團隊(方塊88)。若密碼正確但硬體ID錯誤(方塊90),系統同樣地被斷線,並信息被傳送到監控該服務的安全防護團隊(方塊88)。此時,該安全防護團隊將採取適當行動,包括通知法律與技術當局。接續方塊82 (如第4圖的第二頁所示),若登入該安全防護伺服器是成功的,管理者被提示輸入穩固的新密碼(方塊92)。該安全防護伺服器讀取欲保護系統的OS與版本號碼,並選擇適當的安裝腳本來執行。接著,執行安裝,而且在該受防護雲端伺服器上加密、移除並儲存系統的管理檔案。將加密網路途徑安裝在指向受防護雲端伺服器上的新位置(儲存系統的管理者許可檔案、密碼及其他適當資料)的受保護系統上(方塊94)。接著,重新啟動受保護的系統,並且允許所有合法授權的使用者存取該系統(方塊96)。若需要對被保護系統的使用者許可進行變更,該合法授權管理者必須連接至該安全防護伺服器,並以正確密碼登入(方塊98)。該安全防護伺服器讀取被保護系統的硬體ID與所提供的密碼,將其與預先儲存的密碼及硬體ID進行比較(方塊100)。若正確,該合法授權管理者可以進行使用者許可的變更。若不正確,系統被斷線,並傳送警告訊息給該安全防護團隊(方塊102)。
第5圖為顯示系統如何從零售店藉由購買防護服務或從機構110接收合法授權防護來避免受駭的圖。在第一步驟1中,買家/使用者造訪合法授權零售店或他/她的組織的IT支援單位(編號112)。接著,在第二步驟2(編號114)中,該買家/使用者購買該防護服務或因此取得合法授權碼(編號114)。在第三步驟3(編號116)中,當完成購買/合法授權程序後,零售店或支援機構110記錄系統的特有系統ID,並將該資訊和暫時性密碼傳送到分離的受防護雲端伺服器36。買家/使用者接收暫時性密碼與安全防護伺服器網址(URL)。在第四步驟4(編號118)中,系統的合法授權管理者使用該URL位址與暫時性密碼連接到該受防護雲端伺服器36。在第五步驟5(編號120)中,若該密碼與系統ID符合,則該受防護雲端伺服器36確定系統的OS與版本,選擇適合的安裝腳本,並藉由辨識管理者許可檔案、加密那些檔案以及在受防護雲端伺服器36上移除、傳送並儲存那些檔案而開始安裝。然後該合法授權管理者被提示以輸入穩固的密碼以及其它所需的註冊資訊,包括關於所有合法授權使用者許可的資訊。加密並傳送該資訊至其被儲存的安全防護伺服器。通往管理者許可檔案的路徑被加密並由被保護系統變更並指向至該受防護雲端伺服器。接著該系統重新開機。最後,第六步驟6(編號122),該合法授權管理者與所有合法授權使用者現在可安全地使用該被保護系統,不用擔心將被駭入。
於其不同實施例的本發明可涉及由不同服務提供者提供的服務,使用包括需要以支援不同實施例軟體與硬體基礎設施的不同方法。
現在將說明如何藉由使用在雲端的連網受保護伺服器來儲存讀取、寫入及執行系統的OS的管理者許可檔案,以創造出免受惡意駭客攻擊的受保護系統的較佳方法。
首先參考第1圖,此圖顯示駭客10如何可取得系統的控制以及植入病毒、木馬程式、蠕蟲以及其他惡意軟體。首先,駭客企圖經由網際網路、內部網路、無線或私人網路連結12來連接至目標系統14 (例如電腦、電腦網路或某些其它電子裝置)。接著,駭客利用一或多種被設計來利用系統的弱點16的技術取得該系統的作業系統(OS)的存取權限。這些技術很寬廣、多變且一般為已知,且因此本文將不再進一步討論,僅重複說明為了植入特洛伊木馬程式、病毒、蠕蟲、鍵盤側錄程式(key logger)及/或其他惡意軟體,駭客必須取得系統的控制權而成為管理者。然後,駭客利用存取權限及得到管理者許可檔案的控制,變成被系統辨識為管理者18。最後,駭客植入特洛伊木馬程式、病毒、蠕蟲、鍵盤側錄程式及/或其他惡意軟體20。很多時候,電腦系統的使用者甚至不知道這件事發生。
現在轉到第2圖,其為顯示由製造商防護的新系統30如何被建立以避免該系統受駭的圖。換言之,此為本發明的例示性實施例,其中新系統30以具有由電子系統的製造商32 (或某些其他供應商)以執行網路連接的OS之預先安裝的本發明保護措施開始。
在第一步驟1(編號34)中,該製造商或某些第三方32安裝該系統的OS以及所有其它所需軟體與資料檔案到系統30上。正常安裝的例外是,安裝是以未安裝管理者許可檔案來進行。反而,那些管理者許可檔案、系統的特有硬體ID以及暫時性密碼與任何其它應用程式、資料檔案以及基本上所需之軟體一起儲存到一“雲端”38的安全防護伺服器36上。在第二步驟2(編號40)中,該製造商32或某些第三方安裝通往這些管理檔案與系統ID的加密網路途徑到該雲端38的安全防護伺服器上。在第三步驟3(編號42)中,買家/管理者收到系統30,並被提供有和儲存在受防護雲端伺服中相同的暫時性密碼,以及URL網址。在接下來的步驟4(編號44),在第一次開機以及當適當的網路連結到安全防護伺服器36時,合法授權管理者(例如,買家或由機構或家庭指定的其他人作為該合法授權管理者)被提示來輸入該暫時性密碼。下一步驟5(編號46),該受防護雲端伺服器36將該暫時性密碼與特有硬體ID與儲存在該安全防護伺服器中的暫時性密碼與特有硬體ID進行比較。若兩者都符合先前儲存在受防護雲端伺服器36上的資料,則管理者被提示以他/她被提示以記錄在某處(最好不是在系統上)並記得的新的穩固密碼取代該暫時性密碼。接著6,取得其它註冊與許可資訊(例如,針對特定使用者的“唯讀”資料),輸入並儲存在該受防護雲端伺服器36與欲保護的系統30上(例如,當系統未連接至網路時,允許以非管理者讀取、寫入及執行的資料可儲存在本地以備用)。
為了防護未受保護的現存系統,可以使用以下兩種方法與操作之任一者。首先參考第3圖,有顯示一種藉由從網際網路上可信賴網站購買的服務而用於保護系統50的方法,其中本發明的服務的安裝是藉由合法授權管理者使用防護遠端安裝程序而在現存系統上完成。用以說明第2圖的本發明的例示性實施例的相同編號被適當地使用於第3圖至第5圖中。
在本發明的此例示性實施例中,在第一步驟1(編號52)中,管理者(他/她為買家或使用者)到指定的已知網站54,該已知網站54被信賴且被授權。在下一步驟2(編號56)中,進行購買交易,或輸入授權碼以及任何其它需要的註冊資訊,以購買本發明的防護服務。在第三步驟3(編號58)中,當完成購買/授權程序,銷售點網站記錄著特有硬體ID,並將該資訊與暫時性密碼送至具有不同已授權位址的分離的受防護雲端伺服器36。這只會因為已發佈適當的憑證並且送到欲保護的系統且自動重定向至受防護雲端伺服器被啟動而發生。買家/使用者接收暫時性密碼與該安全防護伺服器位址。使用從初始註冊/銷售點將該欲保護系統進行分離連結,該特有系統ID被送至該受防護雲端伺服器。在第四步驟4(編號60)中,買家/使用者使用所提供的URL網址連接到該受防護雲端伺服器36,並且被提示以輸入該暫時性密碼。接此,在第五步驟5(編號62)中,當合法授權的系統管理者第一次連接到該受防護雲端伺服器時,該雲端伺服器36將被註冊的系統50的ID與從購買/初始註冊點發送的特有硬體ID進行比較。若儲存的硬體ID與密碼符合,則該受防護雲端伺服器36確定系統的OS與版本,選擇適合的安裝腳本,並藉由確認管理者許可檔案、加密那些檔案、移除、傳送及移動那些檔案到該受防護雲端伺服器36而啟動安裝,並且在欲保護的系統50上輸入那些檔案的網路途徑。該合法授權管理者被提示輸入穩固的密碼以及其它所需的註冊資訊,包括有關合法授權使用者許可的資訊。該資訊經加密並傳送至該安全防護伺服器36以及儲存。通往管理者許可檔案的途徑從該系統變更、被加密並且被指向該受防護雲端伺服器36。然後重新啟動該受保護系統。最後,6(編號64)中,使用者/合法授權管理者可以安全地使用現在被保護防駭的系統50。
第4圖 (延伸兩頁)為另一更詳細圖式,顯示系統如何自網際網路上的可信賴網站藉由購買防護服務來避免受駭。首先,方塊70中,買家/使用者連接至經合法授權以銷售安全防護服務的已知網站。接著,方塊72中,進行購買的買家/使用者取得暫時性密碼與該受防護雲端伺服器的URL網址。然後,方塊74中,該網站讀取該系統的硬體ID,並將ID和暫時性密碼送至受防護雲端伺服器。接著,方塊76中,該系統的合法授權管理者使用網路連接至使用所提供的URL及該暫時性密碼的該受防護雲端伺服器。接著,方塊78中,一旦系統的管理者完成了從欲保護系統到該受防護雲端伺服器的連接,該安全防護伺服器將該硬體ID及暫時性密碼與所連接的系統的硬體ID及由“合法授權系統的管理者”所提供的密碼進行比較。該程序透過決策樹80進行。若該硬體ID及該暫時性密碼兩者都正確,則進行安裝步驟(方塊82)。然而,若該系統的系統ID正確但該暫時性密碼錯誤,則管理者被提示重新輸入密碼(方塊84)。若錯誤次數達到給定數目 n (例如,3)86,系統被斷線並傳送信息到監控該防護服務的安全防護團隊(方塊88)。若密碼正確但硬體ID錯誤(方塊90),系統同樣地被斷線,並信息被傳送到監控該服務的安全防護團隊(方塊88)。此時,該安全防護團隊將採取適當行動,包括通知法律與技術當局。接續方塊82 (如第4圖的第二頁所示),若登入該安全防護伺服器是成功的,管理者被提示輸入穩固的新密碼(方塊92)。該安全防護伺服器讀取欲保護系統的OS與版本號碼,並選擇適當的安裝腳本來執行。接著,執行安裝,而且在該受防護雲端伺服器上加密、移除並儲存系統的管理檔案。將加密網路途徑安裝在指向受防護雲端伺服器上的新位置(儲存系統的管理者許可檔案、密碼及其他適當資料)的受保護系統上(方塊94)。接著,重新啟動受保護的系統,並且允許所有合法授權的使用者存取該系統(方塊96)。若需要對被保護系統的使用者許可進行變更,該合法授權管理者必須連接至該安全防護伺服器,並以正確密碼登入(方塊98)。該安全防護伺服器讀取被保護系統的硬體ID與所提供的密碼,將其與預先儲存的密碼及硬體ID進行比較(方塊100)。若正確,該合法授權管理者可以進行使用者許可的變更。若不正確,系統被斷線,並傳送警告訊息給該安全防護團隊(方塊102)。
第5圖為顯示系統如何從零售店藉由購買防護服務或從機構110接收合法授權防護來避免受駭的圖。在第一步驟1中,買家/使用者造訪合法授權零售店或他/她的組織的IT支援單位(編號112)。接著,在第二步驟2(編號114)中,該買家/使用者購買該防護服務或因此取得合法授權碼(編號114)。在第三步驟3(編號116)中,當完成購買/合法授權程序後,零售店或支援機構110記錄系統的特有系統ID,並將該資訊和暫時性密碼傳送到分離的受防護雲端伺服器36。買家/使用者接收暫時性密碼與安全防護伺服器網址(URL)。在第四步驟4(編號118)中,系統的合法授權管理者使用該URL位址與暫時性密碼連接到該受防護雲端伺服器36。在第五步驟5(編號120)中,若該密碼與系統ID符合,則該受防護雲端伺服器36確定系統的OS與版本,選擇適合的安裝腳本,並藉由辨識管理者許可檔案、加密那些檔案以及在受防護雲端伺服器36上移除、傳送並儲存那些檔案而開始安裝。然後該合法授權管理者被提示以輸入穩固的密碼以及其它所需的註冊資訊,包括關於所有合法授權使用者許可的資訊。加密並傳送該資訊至其被儲存的安全防護伺服器。通往管理者許可檔案的路徑被加密並由被保護系統變更並指向至該受防護雲端伺服器。接著該系統重新開機。最後,第六步驟6(編號122),該合法授權管理者與所有合法授權使用者現在可安全地使用該被保護系統,不用擔心將被駭入。
於其不同實施例的本發明可涉及由不同服務提供者提供的服務,使用包括需要以支援不同實施例軟體與硬體基礎設施的不同方法。
30...新系統
32...製造商安裝OS
34,40,42,44,46,48...步驟
36...安全防護伺服器
38...雲端
Claims (1)
1. 一種用於確保連網至一雲端運算環境的一可連接電腦網路的裝置或系統免於惡意程式碼攻擊之方法,包括:
提供一可連接電腦網路的裝置或系統;
將該可連接電腦網路的裝置或系統的特有ID以及與該可連接電腦網路的裝置或系統相關聯的管理者許可檔案中至少其中之一提供至一受防護雲端伺服器;
從該可連接電腦網路的裝置或系統安裝至該受防護雲端伺服器的一加密網路途徑,其中所述特有的裝置或系統ID被用以後續透過該網路途徑連接至該受防護雲端伺服器,以至少對該管理者許可檔案進行後續變更;
提供該受防護雲端伺服器的一網路位址與用於存取該受防護雲端伺服器的一暫時性密碼予具有一可連接電腦網路的裝置或系統的一系統的一管理者;
使該管理者使用該暫時性密碼連接到該受防護雲端伺服器的該網路位址;
使該受防護雲端伺服器對該管理者提供的該暫時性密碼以及在與該可連接電腦網路的裝置或系統相關聯的該伺服器儲存的該特有的裝置或系統ID進行比較,若兩者皆符合該受防護雲端伺服器具有為該可連接電腦網路的裝置或系統所用的資料,則該管理者可成功地認證為一合法授權管理者,且對於該合法授權管理者,提示該合法授權管理者以輸入一新密碼及其它所需的註冊資訊;以及
當所述新密碼成功確認時,允許該合法授權管理者/使用者使用該可連接電腦網路的裝置或系統,其中該方法在一合法授權管理者/使用者端不需要任何額外的硬體。
2. 如申請專利範圍第1項所述的方法,其中在該合法授權管理者輸入該新密碼並完成該保護安裝後,該合法授權管理者重新啟動該可連接電腦網路的裝置或系統。
3. 如申請專利範圍第1項所述的方法,其中該可連接電腦網路的裝置或系統安裝有一作業系統,且其中至少一硬體ID、該管理者許可檔案以及一暫時性密碼被送至該受防護雲端伺服器。
4. 如申請專利範圍第3項所述的方法,其中該至少一硬體ID、該管理者許可檔案以及一暫時性密碼係以一加密形式被送至該受防護雲端伺服器。
5. 如申請專利範圍第1項所述的方法,其中一製造商或一服務提供者從該可連接電腦網路的裝置或系統安裝至該受防護雲端伺服器的該加密網路途徑。
6. 如申請專利範圍第1項所述的方法,其中該受防護雲端伺服器的該網路位址係一URL位址。
7. 如申請專利範圍第1項所述的方法,其中提供給一使用者的該可連接電腦網路的裝置或系統不具有直接映射到該可連接電腦網路的裝置或系統的至少一硬體ID與管理者許可檔案。
8. 如申請專利範圍第1項所述的方法,其中在該合法授權管理者輸入該新密碼後,該合法授權管理者重新啟動該可連接電腦網路的裝置或系統。
9. 如申請專利範圍第1項所述的方法,其中從該被保護的可連接電腦網路的裝置或系統以外的任何系統所傳送的一竊取密碼將不會被該受防護雲端伺服器接受,因此將不會允許一駭客存取該被保護的可連接電腦網路的裝置或系統以及在其上植入惡意軟體。
10. 如申請專利範圍第1項所述的方法,其中只有在從該受防護雲端伺服器取得授權之後才可將軟體安裝至該可連接電腦網路的裝置或系統。
11. 如申請專利範圍第1項所述的方法,其中,若在一預定次數的嘗試後仍輸入一錯誤密碼,將切斷該可連接電腦網路的裝置或系統與該受防護雲端伺服器的連線,並且一警示將由該受防護雲端伺服器傳送至一安全防護團隊。
12. 如申請專利範圍第1項所述的方法,其中從該被保護的可連接電腦網路的裝置或系統以外的任何系統所傳送來的竊取密碼將不會被該受防護雲端伺服器接受,因此將不會允許一駭客存取該被保護的可連接電腦網路的裝置或系統以及在其上植入惡意軟體。
13. 一種系統,提供用於確保連網至一雲端運算環境的一可連接電腦網路的裝置或系統免於惡意程式碼攻擊之一服務,該系統包括:
一可信賴網站,於此進行一購買,以確保連網至一雲端運算環境的該可連接電腦網路的裝置或系統免於該惡意程式碼攻擊,其中該可信賴網站記錄該可連接電腦網路的裝置或系統的特有ID的至少其中之一,並指派一第一密碼給一買家;以及
一受防護雲端伺服器,其與該可信賴網站分離,其中該可信賴網站送出至少一該可連接電腦網路的裝置或系統的特有ID與該第一密碼給該受防護雲端伺服器,並送出該第一密碼與該受防護雲端伺服器的一網路位址給該買家;
其中(a)一管理者使用該第一密碼連接至該受防護雲端伺服器,以及若該管理者所輸入的該第一密碼與該受防護雲端伺服器中所記錄的該第一密碼相符,則該管理者成功地被認證為一合法授權管理者,以及該受防護雲端伺服器辨識該可連接電腦網路的裝置或系統的一作業系統與一版本,選擇一適合的安裝腳本,並藉由辨識與該可連接電腦網路的裝置或系統相關聯的管理者許可檔案、加密所述許可檔案、在該受防護雲端伺服器上移除、傳送並儲存所述許可檔案來啟動一安裝;(b)該合法授權管理者被提示輸入一第二密碼以及包括有關於合法授權使用者許可的資訊的其它所需的註冊資訊,其它所需的註冊資訊被傳輸至該受防護雲端伺服器以及儲存;(c)通往該管理者許可檔案的一途徑從該可連接電腦網路的裝置或系統的一本地路徑變更、加密、並指向該受防護雲端伺服器,並儲存在該可連接電腦網路的裝置或系統;且(d)該可連接電腦網路的裝置或系統接著重新啟動,以避免駭客藉由惡意程式碼取得所述管理者許可檔案的控制。
14. 如申請專利範圍第13項所述的提供一服務的系統,其中在該合法授權管理者輸入該新密碼後,該合法授權管理者重新啟動該可連接電腦網路的裝置或系統。
15. 如申請專利範圍第13項所述的提供一服務的系統,其中該可連接電腦網路的裝置或系統安裝有一作業系統,且其中至少一硬體ID、該管理者許可檔案以及一暫時性密碼被送往該受防護雲端伺服器。
16. 如申請專利範圍第15項所述的提供一服務的系統,其中該至少一硬體ID、該管理者許可檔案以及一暫時性密碼係以一加密形式被送往該受防護雲端伺服器。
17. 如申請專利範圍第13項所述的提供一服務的系統,其中一製造商或一服務提供者從該可連接電腦網路的裝置或系統安裝至該受防護雲端伺服器的該加密網路途徑。
18. 如申請專利範圍第13項所述的提供一服務的系統,其中該受防護雲端伺服器的該網路位址係一URL位址。
19. 如申請專利範圍第13項所述的提供一服務的系統,其中提供給一合法授權管理者的該可連接電腦網路的裝置或系統不具有直接映射到該可連接電腦網路的裝置或系統的其至少一硬體ID與管理者許可檔案。
20. 如申請專利範圍第13項所述的提供一服務的系統,其中該可連接電腦網路的裝置或系統的特有ID係選自該系統的IP位址、MAC數目或其他特有的硬體ID至少其中之一。
21. 如申請專利範圍第13項所述的提供一服務的系統,其中只有在從該受防護雲端伺服器取得授權之後才將軟體安裝至該可連接電腦網路的裝置或系統。
22. 如申請專利範圍第13項所述的提供一服務的系統,若在一預定次數的嘗試後仍輸入一錯誤密碼,將切斷該可連接電腦網路的裝置或系統與該受防護雲端伺服器的連線,並且一警示將由該受防護雲端伺服器發出至一安全團隊。
23. 一種用於確保連網至一雲端運算環境的一可連接電腦網路的裝置或系統免於來自駭客的惡意程式碼攻擊之方法,其藉由避免駭客取得一系統的管理者許可檔案的控制並安裝惡意軟體而為之,包括:
藉由一分離的受防護雲端伺服器來移除一可連接電腦網路的裝置或系統的作業系統的讀取、寫入與執行管理者許可檔案,並重新配置所述許可檔案到一內部網路、網際網路、或受防護私人網路上的該受防護雲端伺服器;
在該受防護雲端伺服器儲存至少一該可連接電腦網路的裝置或系統的特有ID,其用以後續連接至該受防護雲端伺服器,以至少進行對所述許可檔案的後續變更;
請求來自一合法授權管理者的一新密碼;
將一通往該管理者許可檔案的一途徑從該可連接電腦網路的裝置或系統的一本地路徑變更、加密並指向該受防護雲端伺服器,並將所述路徑儲存在該可連接電腦網路的裝置或系統,接著重新啟動所述裝置或系統;以及
當所述所請求的密碼成功確認時,允許該合法授權管理者使用該可連接電腦網路的裝置或系統,其中該方法在一合法授權管理者/使用者端不需要任何額外的硬體。
24. 如申請專利範圍第23項所述的方法,其中除了從該合法授權管理者請求一密碼之外,也收集包括被設計以復原遺失或忘記密碼的資訊的其他資訊,其資訊被保留於該雲端伺服器並被備份於一或多個異地受防護伺服器上。
25. 如申請專利範圍第23項所述的方法,其中該系統的ID包括一或多個特有硬體ID (例如IP位址、MAC數目及任何其它特有的硬體ID)以及一或多個系統專一的特有軟體授權。
26. 如申請專利範圍第23項所述的方法,其中該系統的ID檔案經加密並被儲存於一分離的伺服器上,其金鑰只有負責把該檔案存在一受防護雲端伺服器上的機構才知道。
27. 如申請專利範圍第23項所述的方法,其中包括被設計以復原遺失或忘記密碼的資訊的其他資訊被收集並被保留於該雲端伺服器中,並被備份於一或多個異地受防護伺服器中。
28. 一種系統,提供確保連網至一雲端運算環境的一可連接電腦網路的裝置或系統免於來自駭客的惡意程式碼攻擊之一服務,其藉由避免駭客取得一系統的管理者許可檔案的控制並安裝惡意軟體而為之,包括:
一可信賴網站、一合法授權賣家或一預定設備其中之一,於此進行一購買,以確保連網至一雲端運算環境的該可連接電腦網路的裝置或系統免於該惡意程式碼攻擊,其中該可信賴網站、合法授權賣家或預定設備記錄至少一該可連接電腦網路的裝置或系統的特有ID,並指派一第一密碼給一買家;以及
一受防護雲端伺服器,其與該可信賴網站分離,其中該可信賴網站、合法授權賣家或預定設備送出至少一該可連接電腦網路的裝置或系統的特有ID與該第一密碼給該受防護雲端伺服器,並送出該第一密碼與該受防護雲端伺服器的一網路位址給該買家;
其中一管理者使用所述第一密碼而被成功地認證為一合法授權管理者;
其中讀取、寫入與執行該可連接電腦網路的裝置或系統的作業系統的管理者許可檔案被保護在該受防護雲端伺服器中,以及所記錄的特有裝置或系統ID係用以後續連接到具有所述網路位址的該受防護雲端伺服器,以至少進行對該管理者許可檔案的後續變更;
將一通往該管理者許可檔案的一途徑從該可連接電腦網路的裝置或系統的一本地路徑變更、加密、並指向該受防護雲端伺服器,並將所述路徑儲存在該可連接電腦網路的裝置或系統,接著重新啟動所述裝置或系統;以及
當一第二密碼成功確認時,允許所述合法授權管理者使用該可連接電腦網路的裝置或系統,其中該方法在一合法授權管理者/使用者端不需要任何額外的硬體。
29. 如申請專利範圍第28項所述的服務,其中該受防護雲端伺服器可經由內部網路、網際網路或受防護私人網路存取。
30. 如申請專利範圍第28項所述的服務,其中從該被保護的可連接電腦網路的裝置或系統以外的任何系統所傳送來的一竊取密碼將不會被該受防護雲端伺服器接受,且因此將不會允許一駭客存取該被保護的可連接電腦網路的裝置或系統並在其上植入惡意軟體。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261696080P | 2012-08-31 | 2012-08-31 | |
| US13/606,410 US8745713B1 (en) | 2012-08-31 | 2012-09-07 | Method and service for securing a system networked to a cloud computing environment from malicious code attacks |
| US13/765,056 US8528062B1 (en) | 2012-08-31 | 2013-02-12 | Method and service for securing a system networked to a cloud computing environment from malicious code attacks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201415280A true TW201415280A (zh) | 2014-04-16 |
Family
ID=49034834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW102129988A TW201415280A (zh) | 2012-08-31 | 2013-08-22 | 用於確保連網至雲端運算環境的系統免於惡意程式碼攻擊之方法及服務 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8745713B1 (zh) |
| JP (1) | JP5959749B2 (zh) |
| IL (1) | IL237362A0 (zh) |
| TW (1) | TW201415280A (zh) |
| WO (1) | WO2014035537A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI514188B (zh) * | 2014-12-10 | 2015-12-21 | Univ Nat Taiwan Science Tech | 加殼程式偵測系統及其方法 |
| CN106022111A (zh) * | 2016-07-13 | 2016-10-12 | 北京金山安全软件有限公司 | 隐藏弹出式窗口的处理方法、装置及电子设备 |
| US10664179B2 (en) | 2015-09-25 | 2020-05-26 | Intel Corporation | Processors, methods and systems to allow secure communications between protected container memory and input/output devices |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8745713B1 (en) * | 2012-08-31 | 2014-06-03 | Cloud Cover Safety, Inc. | Method and service for securing a system networked to a cloud computing environment from malicious code attacks |
| TWI537850B (zh) * | 2013-03-27 | 2016-06-11 | Cloud Control System and Method for Controlled Equipment | |
| CN104780230A (zh) * | 2014-01-09 | 2015-07-15 | 东莞市微云系统科技有限公司 | 自动获取云服务器ip地址的方法、系统和云系统 |
| CN104780229A (zh) * | 2014-01-09 | 2015-07-15 | 东莞市微云系统科技有限公司 | 通过云终端设置云服务器ip地址的方法、系统和云系统 |
| US9600320B2 (en) | 2015-02-11 | 2017-03-21 | International Business Machines Corporation | Mitigation of virtual machine security breaches |
| US9444822B1 (en) * | 2015-05-29 | 2016-09-13 | Pure Storage, Inc. | Storage array access control from cloud-based user authorization and authentication |
| US11503031B1 (en) | 2015-05-29 | 2022-11-15 | Pure Storage, Inc. | Storage array access control from cloud-based user authorization and authentication |
| US20170046530A1 (en) * | 2015-08-15 | 2017-02-16 | Seshan Raj | Distributed Cloud Storage System (DCSS) for secure, reliable storage and retrieval of data and computing objects |
| DE102015119597B4 (de) * | 2015-11-13 | 2022-07-14 | Kriwan Industrie-Elektronik Gmbh | Cyber-physikalisches System |
| GB2545010B (en) | 2015-12-03 | 2018-01-03 | Garrison Tech Ltd | Secure boot device |
| US11063950B2 (en) * | 2016-06-09 | 2021-07-13 | Microsoft Technology Licensing, Llc | Secure remote desktop session |
| US10353686B1 (en) * | 2016-12-28 | 2019-07-16 | Facebook, Inc. | Application installation system |
| US10735407B2 (en) * | 2017-07-26 | 2020-08-04 | Secret Double Octopus Ltd. | System and method for temporary password management |
| US10601814B2 (en) * | 2017-07-26 | 2020-03-24 | Secret Double Octopus Ltd. | System and method for temporary password management |
| US10572683B2 (en) | 2018-05-13 | 2020-02-25 | Richard Jay Langley | Individual data unit and methods and systems for enhancing the security of user data |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6016402A (en) * | 1996-05-21 | 2000-01-18 | Iomega Corporation | Method for integrating removable media disk drive into operating system recognized as fixed disk type and modifying operating system to recognize as floppy disk type |
| AU5492498A (en) * | 1997-01-20 | 1998-08-07 | British Telecommunications Public Limited Company | Data access control |
| US7017039B2 (en) * | 2002-12-31 | 2006-03-21 | John Alan Hensley | Method of booting a computer operating system to run from a normally unsupported system device |
| US20060080518A1 (en) * | 2004-10-08 | 2006-04-13 | Richard Dellacona | Method for securing computers from malicious code attacks |
| JP4734030B2 (ja) * | 2005-05-27 | 2011-07-27 | 株式会社リコー | 管理システム |
| US8255696B2 (en) * | 2007-05-01 | 2012-08-28 | Microsoft Corporation | One-time password access to password-protected accounts |
| JP5054554B2 (ja) * | 2008-02-05 | 2012-10-24 | 株式会社アイ・オー・データ機器 | ユーザ認証方法、プログラム、可搬型記憶装置、ユーザ認証装置およびユーザ認証システム |
| US8473941B2 (en) * | 2008-07-08 | 2013-06-25 | Sandisk Il Ltd. | Dynamic file system restriction for portable storage devices |
| JP5466622B2 (ja) * | 2010-11-25 | 2014-04-09 | 株式会社日立製作所 | 運用監視装置、運用監視方法、および運用監視プログラム |
| US8745713B1 (en) * | 2012-08-31 | 2014-06-03 | Cloud Cover Safety, Inc. | Method and service for securing a system networked to a cloud computing environment from malicious code attacks |
-
2012
- 2012-09-07 US US13/606,410 patent/US8745713B1/en not_active Expired - Fee Related
-
2013
- 2013-02-12 US US13/765,056 patent/US8528062B1/en not_active Expired - Fee Related
- 2013-06-24 WO PCT/US2013/047420 patent/WO2014035537A1/en active Application Filing
- 2013-06-24 JP JP2015529802A patent/JP5959749B2/ja not_active Expired - Fee Related
- 2013-08-22 TW TW102129988A patent/TW201415280A/zh unknown
-
2015
- 2015-02-22 IL IL237362A patent/IL237362A0/en not_active IP Right Cessation
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI514188B (zh) * | 2014-12-10 | 2015-12-21 | Univ Nat Taiwan Science Tech | 加殼程式偵測系統及其方法 |
| US10664179B2 (en) | 2015-09-25 | 2020-05-26 | Intel Corporation | Processors, methods and systems to allow secure communications between protected container memory and input/output devices |
| TWI705353B (zh) * | 2015-09-25 | 2020-09-21 | 美商英特爾股份有限公司 | 用於容許安全通訊之積體電路、方法及製造物件 |
| US11531475B2 (en) | 2015-09-25 | 2022-12-20 | Intel Corporation | Processors, methods and systems to allow secure communications between protected container memory and input/output devices |
| CN106022111A (zh) * | 2016-07-13 | 2016-10-12 | 北京金山安全软件有限公司 | 隐藏弹出式窗口的处理方法、装置及电子设备 |
| CN106022111B (zh) * | 2016-07-13 | 2019-01-22 | 北京金山安全软件有限公司 | 隐藏弹出式窗口的处理方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| IL237362A0 (en) | 2015-04-30 |
| JP5959749B2 (ja) | 2016-08-02 |
| WO2014035537A1 (en) | 2014-03-06 |
| US8745713B1 (en) | 2014-06-03 |
| US8528062B1 (en) | 2013-09-03 |
| JP2015532756A (ja) | 2015-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8528062B1 (en) | Method and service for securing a system networked to a cloud computing environment from malicious code attacks | |
| US11176255B2 (en) | Securely booting a service processor and monitoring service processor integrity | |
| US11503030B2 (en) | Service processor and system with secure booting and monitoring of service processor integrity | |
| US10740468B2 (en) | Multiple roots of trust to verify integrity | |
| JP4837985B2 (ja) | 信頼できる処理モジュールを有するコンピュータを安全にブートするためのシステムおよび方法 | |
| JP4278327B2 (ja) | コンピュータ・プラットフォームおよびその運用方法 | |
| US7565553B2 (en) | Systems and methods for controlling access to data on a computer with a secure boot process | |
| US10169589B2 (en) | Securely booting a computer from a user trusted device | |
| JP5565040B2 (ja) | 記憶装置、データ処理装置、登録方法、及びコンピュータプログラム | |
| JP4116024B2 (ja) | ペリフェラルの使用管理方法、電子システム及びその構成装置 | |
| US10078523B2 (en) | Method to boot a computer from a user trusted device with an operating system loader stored thereon | |
| EP3074907B1 (en) | Controlled storage device access | |
| US20090287917A1 (en) | Secure software distribution | |
| JP2008234217A (ja) | 情報処理装置、情報保護方法及び画像処理装置 | |
| CN112613011A (zh) | U盘系统认证方法、装置、电子设备及存储介质 | |
| WO2019235450A1 (ja) | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム | |
| EP3168768B1 (en) | Software protection | |
| KR101265887B1 (ko) | 보호 컴퓨팅 환경을 제공하는 방법 및 장치 내에 보호 환경을 설정하는 방법 | |
| JP5574007B2 (ja) | 情報処理装置及び情報保護方法 | |
| JP5278520B2 (ja) | 情報処理装置、情報保護方法 | |
| JP5500232B2 (ja) | 情報処理装置及び情報保護方法 |