TWI601070B - 用於多重作業系統環境之媒體保護策略執行技術 - Google Patents
用於多重作業系統環境之媒體保護策略執行技術 Download PDFInfo
- Publication number
- TWI601070B TWI601070B TW104100065A TW104100065A TWI601070B TW I601070 B TWI601070 B TW I601070B TW 104100065 A TW104100065 A TW 104100065A TW 104100065 A TW104100065 A TW 104100065A TW I601070 B TWI601070 B TW I601070B
- Authority
- TW
- Taiwan
- Prior art keywords
- media access
- computing device
- operating system
- access request
- data storage
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
- G06F9/441—Multiboot arrangements, i.e. selecting an operating system to be loaded
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Description
本發明係有關用於多重作業系統環境之媒體保護策略執行技術。
一些計算裝置裝配有由製造商所安裝之多重作業系統。例如,一計算裝置可以包含一般用途作業系統(例如,Microsoft® WindowsTM)以及一移動導向之作業系統(例如AndroidTM)。於此一多重作業系統環境中,以此一組態裝配之一產品執行一使用者無意中刪除“非必要”部份或混亂不被目前致動作業系統所擁有的資料之風險。
許多計算裝置包含負責硬體初始化、低階硬體管理、以及管理啟動程序之韌體。尤其是,於具有多重作業系統之一裝置中,在預啟動平臺韌體之期間可以選擇以及載入對應至該等被安裝的作業系統之一者的一啟動目標。負責啟動該計算裝置之主平臺韌體可以依據統一可擴展韌體介面(“UEFI”)規格被實行,其具有許多由統一EFI論壇所發表之版本。該UEFI規格指定在計算裝置之韌體以及計算裝置所安裝作業系統之間的一介面。
依據本發明之一實施例,係特地提出一種用於在一多重作業系統環境中之媒體保護策略執行的計算裝置,該計算裝置包括:一包括複數個區域之資料儲存裝置;以及一策略執行模組,用以進行下列動作:在該計算裝置之一作業系統執行期間,攔截一媒體存取請求,其中該媒體存取請求明確指定一儲存作業與一儲存位址;判定該計算裝置之該作業系統之一身份;辨識該資料儲存裝置之一區域,其包含該媒體存取請求之該儲存位址;以及判定是否允許該媒體存取請求作為下列各動作之一函數:(i)該資料儲存裝置之該辨識區域、(ii)該作業系統之該身份、及(iii)該媒體存取請求之該儲存作業。
100‧‧‧計算裝置
120‧‧‧處理器
122‧‧‧輸入/輸出子系統
124‧‧‧記憶體
126‧‧‧資料儲存裝置
128‧‧‧控制器
130‧‧‧通訊電路
132‧‧‧NV儲存器
134‧‧‧安全處理器
200‧‧‧環境
202‧‧‧平臺韌體
204‧‧‧啟動選擇模組
206‧‧‧策略管理模組
208‧‧‧策略執行模組
210‧‧‧作業系統
210a、210b‧‧‧作業系統
212‧‧‧策略執行模組
212a、210b‧‧‧策略執行模組
214‧‧‧媒體存取策略
300‧‧‧分割方案分解圖
302‧‧‧分割部份列表
304‧‧‧保護主要啟動記錄
306‧‧‧分割部份列表檔頭
308‧‧‧分割部份列表項目
310、312‧‧‧指標
314、316、318‧‧‧分割部份
400‧‧‧媒體保護策略執行方法
402-434‧‧‧媒體保護策略執行步驟
500‧‧‧儲存驅動器堆疊
502‧‧‧應用
504‧‧‧較高位準過濾驅動器
506‧‧‧儲存類驅動器
508‧‧‧較低位準過濾驅動器
510‧‧‧儲存埠驅動器
600‧‧‧媒體保護策略執行方法
602-614‧‧‧媒體保護策略執行步驟
此處所說明之概念藉由附圖範例被例示並且不是作為限制。為了例示之簡明及清楚起見,所例示於附圖中之元件不必定得依其尺度被繪製。在認為適當時,在附圖之間參考標記被重複以表明對應的或類似的元件。
圖1是用於媒體保護策略執行之一計算裝置之至少一實施例的簡化方塊圖;圖2是圖1系統之計算裝置環境之至少一實施例的簡化方塊圖;圖3是例示圖1及2計算裝置之資料儲存裝置的分割機構之分解圖;圖4是可以藉由圖1及2之計算裝置被執行之媒體保護
策略執行方法之至少一實施例的簡化流程圖;圖5是可以藉由圖1及圖2之計算裝置被建立之儲存驅動器堆疊的分解圖;以及圖6是可以藉由圖1及圖2之計算裝置被執行之媒體保護策略執行的韌體方法之至少一實施例的簡化流程圖。
儘管本揭示之概念是容許有各種修改以及不同的形式,其之特定實施例藉由圖形中之範例被展示並且將於此處詳細地被說明。但是,應了解,此處無意限制本揭示之概念於所揭示之特定形式,相對地,其欲涵蓋本揭示以及附加申請專利範圍之所有的修改、等效者、以及另外的替代方案。
於說明文中提及之“一個實施例”、“一實施例”、“一例示的實施例”等等,表明所說明之實施例可以包含一特定的特點、結構、或特性,但是每個實施例可以或不一定包含該等特定的特點、結構、或特性。此外,此等詞語不必定得涉及相同實施例。進一步地,當一特定的特點、結構、或特性配合一實施例被說明時,其被認為是熟習本技術者所應理解以配合不論是否明確地被說明之其他實施例而實現此等特點、結構、或特性。另外地,應了解,以“至少一A、B、及C”之形式被包含於一列表中的項目可以意味著(A);(B);(C):(A及B);(B及C);或(A、B、及C)。同樣地,以“至少一A、B、或C”之形式被列出之項目可以意
味著(A);(B);(C):(A及B);(B及C);或(A、B、及C)。
於一些情況中,所揭示之實施例可以硬體、韌體、軟體、或其任何組合之形式被實行。所揭示之實施例也可以被實行,如藉由暫態或非暫態機器可讀取(例如,電腦可讀取)儲存媒體被攜帶或被儲存之指令,其可以藉由一個或多個處理器被讀取以及被執行。一機器可讀取儲存媒體可以被實施為任何儲存裝置、機構、或其他實體結構,以供儲存或發送可利用一機器(例如,一依電性或非依電性記憶體、一媒體光碟、或其他媒體裝置)讀取之形式的資訊。
於圖形中,一些結構或方法特點可以特定配置及/或順序被展示。但是,應了解,此等特定配置及/或順序可能不是必需的。反而,於一些實施例中,此等特點可以不同於例示圖形中所展示之方式及/或順序而被配置。另外地,特定圖形中包含之一結構或方法特點並不意味著暗喻此特點是於所有實施例中所需的,並且,於一些實施例中,其可能不被包含或可以與其他特點被組合。
接著參看至圖1,於一實施例中,一計算裝置100可以啟動、反復切換、或另外執行多重作業系統。該計算裝置100也可以包含資料儲存器,其被分區或以不同方式被分割成為可以被指定至各個作業系統之部份。該計算裝置100依據可以藉由平臺製造商所建立,或於一些實施例中,藉由一終端使用者被組態之一個或多個平臺媒體存取策略,而控制至資料儲存部份之存取。於一些實施例中,在執行期間,該計算裝置100可以攔截媒體存取請求並且基於
該等媒體存取策略以判定是否允許或拒絕該等請求。另外地或替代地,於一些實施例中,該計算裝置100可以在啟動一作業系統之前,基於該等媒體存取策略藉由組態該資料儲存控制器以保護各種資料儲存部份。推行媒體存取策略可以保護計算裝置100免於因不受目前執行作業系統所控制之使用者資料部份的修改所引起之無意(或惡意)的損害。因此,推行媒體存取策略可以改進使用者經驗及/或減低製造商支援成本而允許製造商裝配具有多重作業系統之裝置。
計算裝置100可以被實施如用以進行此處說明的功能之任何型式的裝置。例如,該計算裝置100可以被實施如,不受限制於,一智慧型手機、一平板電腦、一膝上型電腦、一筆記型電腦、一移動式計算裝置、一行動電話、一電話聽筒、一通聯裝置、一可穿載式計算裝置、一車輛遠距信息處理裝置、一桌上型電腦、一伺服器電腦、一工作站、一分佈式電腦系統、一多處理器系統、一消費者電子裝置、及/或任何被組態以進行此處說明的功能之其他計算裝置。如於圖1之展示,例示的計算裝置100包含一處理器120、一輸入/輸出子系統122、一記憶體124、以及一資料儲存裝置126。當然,於其他實施例中,該計算裝置100可以包含其他的或另外的構件,例如,那些通常發現於一移動式及/或固定式電腦中者(例如,各種輸入/輸出裝置)。另外地,於一些實施例中,一個或多個例示的構件可以被包含於另一構件中,或以不同方式形成另一構件之一部份。
例如,於一些實施例中,記憶體124、或其部份,可以被包含於處理器120中。
該處理器120可被實施如能夠進行此處說明的功能之任何型式的處理器。例如,該處理器120可被實施如一單一或多核心處理器、數位信號處理器、微控制器、或其他處理器或處理/控制電路。同樣地,該記憶體124可被實施如任何型式之依電性或非依電性記憶體或能夠進行此處說明之功能的資料儲存器。當作業時,該記憶體124可以儲存在計算裝置100作業期間被使用的各種資料以及軟體,例如,作業系統、應用、程式、程式庫、以及驅動器。該記憶體124經由I/O子系統122通訊地被耦合至處理器120,其可被實施作為電路及/或構件以便利於藉由計算裝置100之處理器120、記憶體124、以及其他構件之輸入/輸出作業。例如,該I/O子系統122可被實施如,或另外包含,記憶體控制器中樞、輸入/輸出控制中樞、韌體裝置、通訊鏈路(亦即,點對點鏈路、匯流排鏈路、電線、電纜線、光導、印刷電路板跡線等等)及/或其他構件以及子系統以便利於該等輸入/輸出作業。於一些實施例中,該I/O子系統122可以形成一單晶片系統(“SoC”)之一部份並且與計算裝置100之該處理器120、該記憶體124、以及其他構件一起被包含在一單一積體電路晶片上。
該資料儲存裝置126可被實施如任何型式之裝置,其被組態以供用於短期或長期之資料儲存器,例如,記憶體裝置以及電路、記憶卡、硬碟驅動器、固態驅動器、或
其他資料儲存裝置。該資料儲存裝置126可以被邏輯地分割成為一些部份。例如,該資料儲存裝置126可以包含一系統部份,其儲存用於計算裝置100之資料以及韌體數碼。該資料儲存裝置126也可以包含儲存資料檔案之一些作業系統部份以及可執行於計算裝置100之各個作業系統。另外地,該資料儲存裝置126包含一控制器128。該控制器128可被實施如一微控制器、微處理機、或能夠藉由計算裝置100之其餘部分而控制或致能存取該資料儲存裝置126之任何其他控制邏輯。於一些實施例中,該控制器128可以是能夠拒絕存取至特定的邏輯區塊位址、區段、磁軌、或在資料儲存裝置126內之其他位址範圍。應注意到,雖然例示的計算裝置100包含被分割成為多數個邏輯部份之一單一資料儲存裝置126,這揭示同時也是可應用至包含多數個資料儲存裝置126之計算裝置100。
該計算裝置100進一步地包含一通訊電路130,其可被實施如任何通訊電路、裝置、或其組合,其可致動在該計算裝置100以及其他遠端裝置之間的通訊。該通訊電路130可以被組態以使用任何一個或多個通訊技術(例如,無線或有線通訊)以及相關協定(例如,以太、Bluetooth®、Wi-Fi®、WiMAX、等等)以實現此通訊。該通訊電路130可被實施如一網路轉換器,其包含一無線網路轉換器。
該計算裝置100同時也包含一非依電性(NV)儲存器132。該NV儲存器132可被實施如被組態以當該計算裝置100自一電源供應被斷電或被斷開時可供用於資料之永久
儲存之任何裝置。於例示的實施例中,該NV儲存器132是一快閃記憶體晶片。於其他實施例中,該NV儲存器132可被實施如被耦合於一電池備份之一小數量的互補金屬氧化物半導體(“CMOS”)記憶體或其他非依電性記憶體。該NV儲存器132可以被使用以儲存供用於計算裝置100之平臺韌體、以及韌體組態變數,例如,組態設定、啟動目標、以及重新啟動將持續之其他資訊。當比較至資料儲存裝置126時,NV儲存器132一般具有一相對小的儲存容量,但是在一預啟動韌體執行環境期間啟動時可供用於該計算裝置100。於一些實施例中,該NV儲存器132可以被包含進入計算裝置100之一個或多個其他構件,例如,被包含進入I/O子系統122中。
於一些實施例中,該計算裝置100也可以包含一安全處理器134。該安全處理器134可被實施如任何硬體以及相關的韌體或軟體,其被組態以提高計算裝置100之安全及/或可信度。例如,該安全處理器134可被實施如一信用平臺模組(TPM)。於一些實施例中,該安全處理器134可以形成I/O子系統122之部份。該安全處理器134可以被使用至安全認證及/或驗證平臺韌體變數或計算裝置100的其他組態資料。
接著參看至圖2,於一些實施例中,該計算裝置100建立在作業期間之一環境200。該例示的環境200包含平臺韌體202以及一些作業系統210。該例示的環境200包含二個作業系統210a及210b;但是,於其他實施例中,另外的
作業系統210也可以被包含。
平臺韌體202包含一啟動選擇模組204、一策略管理模組206、以及一策略執行模組208。平臺韌體202之各種模組可被實施如硬體、韌體、軟體、或其之組合。該啟動選擇模組204被組態以於一預啟動韌體環境中執行。該啟動選擇模組204自該等安裝的作業系統210之中選擇一作業系統210並且載入該選擇的作業系統210。該啟動選擇模組204可以,例如,選擇以及載入如藉由UEFI規格所指定的一啟動目標。
該策略管理模組206被組態以儲存、管理、以及控制至一個或多個媒體存取策略214之存取。該等媒體存取策略214可以界定用以存取至資料儲存裝置126之部份的平臺特定法則,其包含是否引動媒體存取保護、是否拒絕至不擁有該部份之一作業系統210的一部份之存取、是否選擇性地允許至不擁有該部份之一作業系統210的一部份之存取、是否允許至共用部份之存取、以及其他存取法則。該等媒體存取策略214可以使用計算裝置100之任何非依電性儲存器被實施。例如,於一些實施例中,該等媒體存取策略214可被實施如被儲存於NV儲存器132中之一個或多個韌體變數。該策略管理模組206可以被組態以例如,藉由如利用UEFI規格所指定地建立一韌體變數介面,而允許一目前執行作業系統210存取至該等媒體存取策略214。於一些實施例中,該策略管理模組206可以被組態以證實、認證、或以不同方式確認至該等媒體存取策略214之存取。例如,
該策略管理模組206可以儲存該等媒體存取策略214作為一個或多個UEFI認證變數,如藉由UEFI論壇所公佈之UEFI規格之說明,或其他確認的儲存器,例如,一信用平臺模組(TPM)NV資料,如藉由信用電腦族群之TPM規格所公佈之說明。
平臺韌體202之策略執行模組208被組態以辨識資料儲存裝置126之一個或多個區域,其自該選擇的作業系統210被保護。例如,該策略執行模組208可以判定一不同作業系統210所擁有之一部份被保護免於該選擇的作業系統210之作用。該策略執行模組208組態該資料儲存裝置126以防止在作業系統210被啟動之前存取至被保護的區域。例如,該策略執行模組208可以規劃、組態、或以不同方式指示資料儲存裝置126之控制器128以防止至某些儲存位址或儲存位址範圍之存取。
作業系統210之各者包含一策略執行模組212。各個策略執行模組212可被實施如硬體、韌體、軟體、或其之一組合。各個策略執行模組212被組態以攔截在作業系統210執行期間所發出的媒體存取請求、基於該等媒體存取策略214而判定是否允許該媒體存取請求、以及接著適當地允許或拒絕該等媒體存取請求。各媒體存取請求可以指定一儲存作業(例如,讀取、寫入、產生、刪除、獲取文件狀態、等等)以及一儲存位址或位址範圍。該策略執行模組212可以基於目前執行作業系統210之身份,資料儲存裝置126受影響區域之身份、格式、或擁有權,利用該等媒體存取策
略214所指定的特定儲存作業或任何其他準則的任何組合,而判定是否允許或拒絕該媒體存取請求。於一些實施例中,該策略執行模組212可被實施如被嵌進該作業系統210之儲存驅動器堆疊中的一過濾驅動器,如下面配合圖4及圖5之進一步的說明。
接著參看至圖3,分解圖300例示可以被計算裝置100所採用之資料儲存裝置126的一分割方案之一實施例。當然,於許多實施例中,資料儲存裝置126可以包含一不同數目或型式之分割部份及/或一不同的分割方案。在該例示的範例中,該資料儲存裝置126可以包含各分別地藉由一邏輯區塊位址(LBA)可定址的一些區塊。各LBA可被實施如資料儲存裝置126之自零至最大區塊數目之一簡單整數範圍。各區塊可以包含一預定的資料數量,例如,512位元組之資料或4096位元組之資料。該例示的資料儲存裝置126被分割成為一分割部份列表302以及三個資料分割部份314、316、318。
該分割部份列表302開始於該資料儲存裝置126之第一區塊中,亦即,在具有一LBA零之區塊中。該例示的分割部份列表302包含一保護主要啟動記錄(PMBR)304、一分割部份列表檔頭306、以及一些分割部份列表項目308。該PMBR 304可被實施如被包含於該資料儲存裝置126之第一區塊中(亦即,LBA零)之用於兼容性目的之一遺留主要啟動記錄。該分割部份列表檔頭306,開始於資料儲存裝置126之第二區塊(例如,LBA1),可以界定分割部份列表302
之大小、型式、以及其他屬性。各分割部份列表項目308可以界定分割部份314、316、318之位置、大小、型式、以及其他屬性。例如,各分割部份列表項目308可以包含具有對應至資料分割部份314、316、318各者之開始以及結束的LBA之指標。例示的指標310、312包含分別地對應至分割部份314之開始位址以及結束位址的LBA數值。該分割部份列表項目308可以進一步地包含對應至分割部份316、318之指標,為清楚起見,其自分解圖300中被省略。如另一範例,各分割部份列表項目308可以包含對應至相關資料分割部份314、316、318的型式之一全球唯一的識別符。該資料分割部份型式可表明何者作業系統210a、210b擁有資料分割部份314、316、318。
各資料分割部份可以為一特定作業系統210所擁有或被多重作業系統210所共用。於例示的範例中,分割部份314是為作業系統210a所擁有,分割部份316是為作業系統210b所擁有,以及分割部份318是被作業二系統210a、210b所共用。例如,考慮作業系統210a是Microsoft® WindowsTM並且作業系統210b是AndroidTM。在該範例中,分割部份314可被實施作為視窗資料分割部份,分割部份316可以被實施作為Android系統分割,並且分割部份318可被實施作為WindowsTM和AndroidTM所共用之一資料分割部份。
如在下面之進一步的說明,計算裝置100可以基於媒體存取策略214而控制至分割部份列表302及/或分割
部份314、316、318之存取。例如,媒體存取策略214可以表明是否媒體存取保護應該被致能。如果被致能,於一些實施例中,該等媒體存取策略214可以指定一作業系統210僅可以存取作業系統210所擁有或與作業系統210共用的分割部份。在所例示的範例中,該作業系統210a可以被允許以存取分割部份314、318,但不是分割部份316,並且該作業系統210b可以被允許以存取分割部份316、318,但不是分割部份314。如另一範例,作業系統210a、210b兩者皆可能被拒絕存取至分割部份列表302。另外地或替代地,於一些實施例中,該等媒體存取策略214可以允許一作業系統210選擇地或唯讀地存取非作業系統210所擁有的分割部份。在該例示的範例中,該作業系統210a可以被允許唯讀地存取至分割部份316,並且該作業系統210b可以被允許唯讀地存取至該分割部份318。當然,那些媒體存取策略214僅是作為例示,並且於其他實施例中,其他策略也可以被採用。
接著參看至圖4,當使用時,計算裝置100可以執行用於媒體保護策略執行之一方法400。該方法400開始於方塊402,於其中計算裝置100啟動一作業系統210。如在下面配合圖6之進一步地被說明,該計算裝置100可以自一預啟動韌體執行環境之內選擇將被啟動的作業系統210。韌體執行環境可以藉由,例如,呼叫UEFI函數ExitBootServices()而被終止。在啟動該作業系統210之後,該計算裝置100是在作業系統210之控制下。於一些實施例中,該平臺韌體202在啟動該作業系統210之後仍然可以提供有限定的服務。例
如,該平臺韌體202可以能提供唯讀地存取至被保留在NV儲存器132中之韌體變數。
在方塊404中,該計算裝置100可以載入策略執行模組212。如上所述,各作業系統210可以被組態以載入一特定的策略執行模組212。該計算裝置100可以使用任何技術以備妥該策略執行模組212而監視及/或攔截媒體存取請求,例如,載入一核心驅動器模組或載入一可執行的使用者模式。於一些實施例中,在方塊406中,該計算裝置100可以載入該策略執行模組212作為作業系統210之一儲存驅動器堆疊中之一過濾驅動器。包含複數個過濾驅動器之一例示的儲存驅動器堆疊500被展示於圖5中。
許多的作業系統210經由一疊層儲存器堆疊而存取資料儲存裝置126,其各疊層需負責資料儲存裝置126之一特定抽象位準。該例示的儲存驅動器堆疊500包含(自最高位準至最低位準)一應用502、一較高位準的過濾驅動器504、一儲存類驅動器506、一較低位準的過濾驅動器508、以及一儲存埠驅動器510。該應用502可被實施如一使用者位準應用、核心處理程序、較高位準的驅動器、或可以存取資料儲存裝置126上之資料的其他處理程序。該應用502發出媒體存取請求至儲存器堆疊之較低位準組件。例如,該應用502可以發出使用一檔案存取API、一區塊存取API、或藉由作業系統210所建立之任何其他儲存器介面之請求。
該儲存類驅動器506可以接收源自應用502之媒
體存取請求並且轉換該等媒體存取請求成為較低位準的請求,例如,就邏輯區塊位址而論,成為明確指定儲存位址之請求。該作業系統210可以建立一儲存類驅動器506以供可為計算裝置100所使用之各型式的資料儲存裝置126,例如,供用於碟片、可移動光碟、卡帶驅動、或其他裝置型式之各者的一儲存類驅動器506。該儲存器埠驅動器510可以接收源自該儲存類驅動器506之較低位準的媒體存取請求並且轉換該等媒體存取請求成為可以跨越適當的互連匯流排而被發送至資料儲存裝置126之較低位準的媒體存取請求。例如,該儲存埠驅動器510可以產生媒體存取請求,其是適用於藉由資料儲存裝置126被實行之特定的匯流排協定。該作業系統210可以對各互連匯流排建立一儲存埠驅動器510,該互連匯流排可以將該資料儲存裝置126附帶至計算裝置100,例如,對於ATA、SCSI、或USB匯流排。
過濾驅動器504、508可以攔截自儲存驅動器堆疊之一較高位準組件被發出的媒體存取請求。在攔截之後,該等過濾驅動器504、508可以允許被攔截的媒體存取請求通過至該儲存驅動器堆疊之較低位準的組件,在傳送它們至該儲存器堆疊之較低位準的組件之前修改該媒體存取請求,或藉由返回一錯誤至該儲存驅動器堆疊之較高位準的組件而拒絕該等媒體存取請求。通常,各過濾驅動器504、508可以實行如儲存驅動器堆疊之另一其他組件之相同介面,允許功能性顯而易見地被添加至儲存驅動器堆疊。於例示的實施例中,策略執行模組212被實行如一較低位準的
過濾驅動器508。因此,該策略執行模組212可以攔截包含對於各請求之邏輯區塊位址之較低位準的媒體存取請求。另外地或替代地,於其他實施例中,策略執行模組212可以在應用502之下儲存驅動器堆疊之任何位準被實施,亦即,其被實施如或作為一較高位準的過濾驅動器504、一儲存類驅動器506、一較低位準的過濾驅動器508、及/或一儲存器埠驅動器510之部件。
返回參看至圖4,在載入策略執行模組212之後,在方塊408中,該計算裝置100執行所選擇的作業系統210以及任何相關的應用502。在方塊410中,該計算裝置100監視媒體存取請求。一媒體存取請求可以指定一儲存作業(例如,讀取、寫入、產生檔案或區塊、刪除檔案或區塊、請求資訊等等)以及關聯於該儲存作業之一特定的儲存位址或儲存位址範圍(例如,一個或多個邏輯區塊位址)。該等媒體存取請求可以藉由任何應用、處理程序、線程、較高位準驅動器、或執行於該計算裝置100上之其他項目被產生。該等媒體存取請求可以響應於一使用者請求被產生(例如,藉由一互動應用),或可以被產生而不需使用者互動。如上所述,該等媒體存取請求當它們經由儲存驅動器堆疊(例如,藉由一過濾驅動器504、508)而前進時可以被攔截。在方塊412中,該計算裝置100判定任何媒體存取請求是否已被接收。如果否,則方法400迴路返回至方塊410以繼續監控媒體存取請求。如果一個或多個媒體存取請求已被接收,則方法400前進至方塊414。
在方塊414中,該計算裝置100藉由該等媒體存取策略214判定該媒體存取請求是否被允許。於一些實施例中,在方塊416中,該計算裝置100可以使用平臺韌體202而取得一個或多個媒體存取策略214。例如,該等媒體存取策略214可以使用NV儲存器132而被儲存作為一個或多個韌體變數。該計算裝置100可以使用藉由平臺韌體202被提供之一運作韌體變數介面而存取那些的韌體變數。於一些實施例中,該等媒體存取策略214可被實施如被加密、被簽名、或以其它方式被確認之韌體變數。例如,該等媒體存取策略214可被實施如藉由UEFI規格所指定之一個或多個UEFI認證變數。
至該等媒體存取策略214之確認或以其它方式進行驗證之存取可以在計算裝置100被提供至一端點使用者之後,允許裝置供應商保留經組態改變而控制計算裝置100。例如,考慮一實施例,於其中該等媒體存取策略214被儲存於NV儲存器132中作為韌體變數。於那範例中,該等媒體存取策略214可以僅經由藉平臺韌體202被提供之一實際呈現之本地使用者介面(UI),例如,一圖形BIOS系統,而被修改。因此,該平臺韌體202可以提供該等媒體存取策略214之合格存在證明組態。於此實施例中,該平臺韌體202可以在不可信之韌體驅動器、韌體應用、選擇式ROM、或作業系統載入器執行之前,先鎖定該等媒體存取策略214。因此,在那些的實施例中,在預啟動韌體執行環境之不可信部份期間(例如,在UEFI驅動器執行環境結束(DXE)之後)
以及在不可信作業系統210運作期間,該等媒體存取策略214可以是唯讀的。
如另一範例,考慮到一實施例,於其中該等媒體存取策略214被儲存於NV儲存器132中作為認證之韌體變數,例如,作為具有認證之寫入屬性位元之UEFI變數。於那範例中,該等媒體存取策略214可以在一不可信作業系統210執行期間之運作時被存取並且被更新。但是,該等媒體存取策略214之更新可以是僅藉由認證之使用者或其他的實體被允許。於那些實施例中,至該等媒體存取策略214之存取可以被認證、被驗證、或使用公用密鑰加密之其它方式被確認,例如,藉由使用創建者之公用/私用密鑰組對而簽署認證的韌體變數。
如一第三範例,於一些實施例中,該等媒體存取策略214可以使用計算裝置100之安全處理器134被確認。例如,該等媒體存取策略214可以被儲存於受一TPM所控制之計算裝置100的一確認儲存區域中。
仍然參看至圖4,在方塊418中,該計算裝置100可以判定媒體存取保護是否被致能。如果媒體存取保護不被致能,則該媒體存取請求可以被允許而不必進一步地分析。於一些實施例中,一個或多個媒體存取策略214可以指定一媒體存取保護是否被致能。在方塊420中,該計算裝置100可以判定目前執行作業系統210之身份。是否允許該媒體存取請求之判定可以是取決於目前執行作業系統210之身份。於一些實施例中,目前執行作業系統210之身份可以
是隱式地被策略執行模組212所知。例如,在許多實施例中,各個作業系統210可以包含一專用策略執行模組212,例如,一特定過濾驅動器504、508。在那些實施例中,當使用時,作業系統210之身份可以是硬式編碼、假定、或以其他方式暗示至特定的策略執行模組212。
在方塊422中,該計算裝置100可以判定與特定媒體存取請求相關聯之儲存器分割部份。例如,該計算裝置100可以判定含有被包含於該媒體存取請求中之儲存位址的儲存器分割部份之身份。如上所述,各儲存器分割部份可以為一個或多個作業系統210所擁有或被指定至該等一個或多個作業系統210。為了例示起見,返回參看至圖3,該計算裝置100可以判定該媒體存取請求是否參考作業系統210a分割部份314、作業系統210b分割部份316、共用分割部份318,或於一些實施例中,分割部份列表302。在方塊424中,計算裝置100可以判定與該媒體存取請求相關聯之儲存作業。例如,該計算裝置100可以判定該儲存器請求是否為一讀取請求、寫入請求、產生請求、刪除請求、資訊請求、或其他請求。於一些實施例中,是否允許該媒體存取請求之判定可以是取決於該指定的儲存作業。
在方塊426中,該計算裝置100基於該等媒體存取策略214而判定是否允許媒體存取請求。是否允許該媒體存取請求之判定可以是基於下列各者之任何組合,如目前執行作業系統210之身份、與該請求相關聯之儲存器分割部份、與該請求相關聯之儲存作業、及/或藉由該等媒體存取策略
214所指定的其他準則。例如,該計算裝置100可以允許對目前執行作業系統210所擁有的儲存器分割部份之所有的存取。如另一範例,該計算裝置100可以拒絕至不是目前執行作業系統210所擁有之儲存器分割部份的所有存取。如一第三範例,該計算裝置100可以允許對於目前執行作業系統210以及一個或多個其他作業系統210之間所共用之儲存器分割部份的所有存取。如一第四範例,該計算裝置100可以僅允許對資料儲存裝置126之分割部份列表的讀取存取。於一些實施例中,是否允許至不是目前執行作業系統210所擁有之儲存器分割部份的存取之判定可以取決於媒體存取策略214,其可藉由平臺製造商、終端使用者、或其他團體被界定。例如,基於媒體存取策略214之內容,該計算裝置100可以允許至不是目前執行作業系統210所擁有之儲存器分割部份的讀取存取,但是拒絕至不是目前執行作業系統210所擁有的儲存器分割部份之寫入存取。如果該媒體存取請求被允許,則該方法400分支至方塊428。如果媒體存取請求不被允許,則該方法400分支至方塊432,其將在下面被說明。
在方塊428中,計算裝置100允許媒體存取請求繼續進行。於一些實施例中,在方塊430中,計算裝置100可以將該媒體存取請求傳送至儲存驅動器堆疊之一較低位準的組件。例如,如果策略執行模組212被實施如一較低位準的過濾驅動器508,則該媒體存取請求可以往下被傳送至一儲存器埠驅動器510,而允許該媒體存取請求如規定地進行。
在該請求被允許之後,該資料儲存裝置126可以進行所請求的儲存作業並且將資料或狀態資訊往上返回該儲存驅動器堆疊,最後至應用502。在允許該媒體存取請求之後,該方法400迴路返回至方塊410以繼續監控媒體存取請求。
返回參看至方塊426,如果該媒體存取請求不被允許,則該方法400分支至方塊432。在方塊432中,計算裝置100拒絕該媒體存取請求。該計算裝置100可以,例如,防止該媒體存取請求向下被傳送至儲存驅動器堆疊之一較低位準的組件。於一些實施例中,在方塊434中,計算裝置100可以將一通知錯誤訊息返回至儲存驅動器堆疊之一較高位準的組件,例如,應用502。例如,該計算裝置100可以返回一“存取拒絕”、“寫入保護”、“無效作業”、或其他適當的錯誤訊息。於一些實施例中,錯誤訊息可以被顯示至使用者,允許該使用者判定為什麼該媒體存取請求失敗。在拒絕該媒體存取請求之後,該方法400迴路返回至方塊410以繼續監控媒體存取請求。
接著參看至圖6,當使用時,計算裝置100可以執行用於媒體保護策略執行之一方法600。該方法600開始於方塊602,於其中該計算裝置100啟動。該計算裝置100可以響應於使用者電源導通而啟動,或響應於自一低功率睡眠或休眠狀態、或當該計算裝置100被初始化時之其他情環境中,再開始啟用該計算裝置100而重新啟動該計算裝置100。於一些實施例中,該計算裝置100可以響應於該使用者導引該計算裝置100以切換作業系統210(例如,藉由選擇一軟體
或硬體雙態觸發器)而啟動或重新啟動。
在方塊604中,該計算裝置100載入一預作業系統韌體執行環境。該韌體執行環境可被實施如,例如,藉由該UEFI規格所指定之一驅動器執行環境。在該韌體執行環境中,平臺韌體202是在計算裝置100之完全控制中。在該韌體執行環境之內,該計算裝置100初始化平臺硬體以及以其他方式準備該計算裝置100以供使用。該計算裝置100可以對於一個或多個韌體驅動器或韌體應用載入以及開始韌體影像。韌體驅動器以及應用可被實施如二值制影像,其可以提供預啟動初始化以及其他服務。另外地,於一些實施例中,該等韌體驅動器以及應用可以安裝韌體協定介面或其他的服務而在一作業系統210執行期間保持常駐以及提供服務至該計算裝置100。例如,一韌體協定介面可以被安裝以允許存取至被儲存於NV儲存器132中之一個或多個韌體變數。
在方塊606中,該計算裝置100自被安裝在計算裝置100上之作業系統210而選擇一作業系統210以便載入。該被選擇的特定作業系統210可以取決於一使用者選擇、一原定啟動順序、或任何供選擇之其他準則。於一些實施例中,該計算裝置100可以選擇與所選擇的作業系統210相關聯之一啟動目標。該啟動目標可被實施如一韌體應用,其將藉由計算裝置100被載入以及開始,例如,一作業系統載入器或一診斷、維持、或管理應用。
在方塊608中,該計算裝置100基於該等媒體存取
策略214而判定一個或多個媒體位址範圍以便保護免於所選擇的作業系統210之作用。尤其是,該計算裝置100可以判定,該作業系統210不可以存取與不為作業系統210所擁有及/或與該作業系統210共用之儲存器分割部份相關聯的邏輯區塊位址範圍。例如,該計算裝置100可以判定,與為一不同的作業系統210所擁有之一儲存器分割部份相關聯的一邏輯區塊位址範圍應受保護免於所選擇作業系統210之作用。當然,於一些實施例中,該計算裝置100可以另外地或替代地判定媒體位址範圍將是該作業系統210可存取。例如,該計算裝置100可以判定,作業系統210所擁有的一資料分割部份可以為作業系統210所存取。於一些實施例中,在方塊610中,該計算裝置100可以自一個或多個韌體變數取得該等媒體存取策略214。如上所述,該等韌體變數可以被儲存於NV儲存器132中。該等韌體變數可以判定,例如,媒體存取保護是否已被致能、是否允許存取至不為該選擇的作業系統210所擁有之分割部份、或任何其他的存取策略。
如一例示,再次參看至圖3,假設該計算裝置100如上所述地配合方塊606而選擇作業系統210a。該計算裝置100可判定該作業系統210a不可以存取作業系統210b所擁有之分割部份316內的資料位址。於一些實施例中,該計算裝置100可以判定該作業系統210a可以被允許存取至在分割部份314內之資料位址。
在方塊612中,該計算裝置100基於被判定之受保
護媒體位址範圍而設定資料儲存裝置126之資料存取控制,如在方塊608中所述。於一些實施例中,該計算裝置100可以程式規劃、命令、或以其他方式指示資料儲存裝置126之控制器128拒絕在受保護媒體位址範圍內之存取。例如,該計算裝置100可以程式規劃控制器128之一區段範圍保護特點以防止至該受保護媒體位址範圍之存取。當然,於一些實施例中,該計算裝置100可以程式規劃、命令、或以其他方式指示資料儲存裝置126之控制器128以允許在指定媒體位址範圍內之存取。該計算裝置100可以基於控制器128之性能而判定是否指定該等受保護媒體位址範圍或指定所允許的媒體位址範圍。在設定資料存取控制之後,任何執行於計算裝置100上之處理程序,包含任何作業系統210,可以是不能夠存取在該等受保護媒體位址範圍內之媒體位址。當該計算裝置100重新被啟動、週期地被供電、或以其他方式被重設時,資料儲存裝置126之資料存取控制可以被重置。
在方塊614中,該計算裝置100啟動所選擇的作業系統210。如上所述,該韌體執行環境可以載入以及執行與該選擇的作業系統210相關聯之一啟動目標。在執行期間,該選擇的作業系統210可以是不能夠存取在該等受保護媒體位址範圍內之媒體位址。因此,當使用時,該作業系統210可以完全地不知道為其他作業系統210所擁有的儲存器分割部份。
在啟動作業系統210之後,該計算裝置100可以使
用與作業系統210相關聯之一策略執行模組212而監視媒體存取請求,例如,藉由執行如配合圖4所述之方法400。因此,方法400、600是互補的。一計算裝置100可以獨立地執行各方法400、600或可以組合式地執行400、600兩方法。例如,具有支援區段範圍保護之一硬體控制器128的一計算裝置100可以在預啟動韌體環境期間執行方法600以及在啟動作業系統210之後執行方法400。另外地或替代地,具有支援區段範圍保護之一硬體控制器128的此一計算裝置100可以僅執行方法600並且不執行方法400,例如,當執行一作業系統210而無一策略執行模組212時。另外地或替代地,不具有支援區段範圍保護之一硬體控制器128之一計算裝置100可以在作業系統210執行期間執行方法400並且不執行方法600。
另外地或替代地,當在相同計算裝置100上被執行時,方法400、600之各者可以強制執行不同的媒體存取策略214。例如,該方法600可以使用硬體控制器128而強制執行媒體存取策略214以完全地拒絕存取至不為所選擇的作業系統210所擁有之分割部份。繼續該範例,該方法400可以強制執行媒體存取策略214而允許選擇地或唯讀地存取至資料儲存裝置126之共用分割部份。
此處所揭示之技術的範例被提供在下面。該等技術之一實施例可以包含在下面被說明之範例的任何一個或多個、以及其之任何組合。
範例1包含用於在一多重作業系統環境中之媒體保護策略執行的一計算裝置,該計算裝置包括:一包括複數個區域之資料儲存裝置;以及一策略執行模組,其用以進行下列事項:在該計算裝置之一作業系統執行期間,攔截一媒體存取請求,其中該媒體存取請求明確指定一儲存作業與一儲存位址;判定該計算裝置之該作業系統之一身份;辨識該資料儲存裝置之一區域,其包含該媒體存取請求之該儲存位址;以及判定是否允許該媒體存取請求作為下列各事項之一函數:(i)該資料儲存裝置之該辨識區域、(ii)該作業系統之該身份、及(iii)該媒體存取請求之該儲存作業。
範例2包含範例1之主題,並且其中用以判定是否允許該媒體存取請求包括進行下列事項:判定該資料儲存裝置之該區域是否被該作業系統所擁有;以及響應於該區域被該作業系統所擁有之一判定,而判定允許該媒體存取請求。
範例3包含任何的範例1及2之主題,並且其中用以判定是否允許該媒體存取請求進一步地包括響應於該區域是不被該作業系統所擁有之一判定,而判定不允許該媒體存取請求。
範例4包含任何範例1-3之主題,並且其中用以判定是否允許該媒體存取請求進一步地包括響應於該區域是不被該作業系統所擁有之一判定,而判定是否允許該媒體存取請求作為該計算裝置之一媒體存取策略之一函數。
範例5包含任何範例1-4之主題,並且其中用以判定是否允許該媒體存取請求作為該媒體存取策略之一函數包括:使用該計算裝置之一韌體環境而自該計算裝置之一非依電性儲存器讀取該媒體存取策略。
範例6包含任何範例1-5之主題,並且其中用以判定是否允許該媒體存取請求作為該媒體存取策略的一函數包括進行下列事項:判定該資料儲存裝置之該區域是否為該作業系統以及一第二作業系統所共用,其中該第二作業系統是不在該判定期間執行;以及響應於該區域是被共用之一判定而判定允許該媒體存取請求。
範例7包含任何範例1-6之主題,並且其中用以判定是否允許該媒體存取請求作為該媒體存取策略的一函數包括用以判定是否允許該媒體存取請求作為該媒體存取請求之該儲存作業的一函數。
範例8包含任何範例1-7之主題,並且其中用以判定是否允許該媒體存取請求作為該媒體存取請求之該儲存作業的一函數包括進行下列事項:響應於包括一讀取作業之該媒體存取請求而判定允許該媒體存取請求;以及響應於包括一寫入作業之該媒體存取請求而判定不允許該媒體存取請求。
範例9包含任何範例1-8之主題,並且其中用以判定是否允許該媒體存取包括使用該計算裝置之一韌體環境而自該計算裝置之一非依電性儲存器讀取一媒體存取策略。
範例10包含任何範例1-9之主題,並且其中用以判定是否允許該媒體存取包括判定是否媒體存取保護被致能作為該媒體存取策略的一函數;並且響應於該媒體存取保護被致能之一判定而判定是否允許該媒體存取。
範例11包含任何範例1-10之主題,並且進一步地包含一第二策略執行模組,其用以進行下列事項:在該計算裝置之一第二作業系統執行期間,攔截一第二媒體存取請求,該媒體存取請求明確指定一第二儲存作業與一第二儲存位址;判定該第二作業系統之一身份;辨識該資料儲存裝置之一第二區域,其包含該第二媒體存取請求之該第二儲存位址;以及判定是否允許該第二媒體存取請求作為該資料儲存裝置之該第二區域、該第二作業系統之該身份、及該第二媒體存取請求之該第二儲存作業的一函數。
範例12包含任何範例1-11之主題,並且其中該策略執行模組包括該計算裝置之一過濾驅動器。
範例13包含任何範例1-12之主題,並且其中該策略執行模組是進一步地響應於允許該媒體存取請求之一判定以將該媒體存取請求傳遞通過該計算裝置之一較低位準的驅動器。
範例14包含任何範例1-13之主題,並且其中該策略執行模組是響應於不允許該媒體存取請求之一判定而進一步地拒絕該媒體存取請求。
範例15包含任何範例1-14之主題,並且其中該資料儲存裝置之區域包括該資料儲存裝置之一分割部份。
範例16包含任何範例1-15之主題,並且其中該資料儲存裝置之區域包括該資料儲存裝置之一分割部份列表。
範例17包含任何範例1-16之主題,並且進一步地包含藉由該計算裝置之一韌體環境被建立之一啟動選擇模組,該啟動選擇模組用以自被安裝在該計算裝置上之複數個作業系統而選擇該作業系統;以及藉由該韌體環境被建立之一第二策略執行模組,該第二策略執行模組用以(i)基於該選擇的作業系統而判定將被保護之該資料儲存裝置之一第二區域,以及(ii)組態該資料儲存裝置以防止存取至該資料儲存裝置之該第二區域;其中該啟動選擇模組是進一步地用以響應於該資料儲存裝置之組態而載入該選擇的作業系統。
範例18包含用於在一多重作業系統環境中之媒體保護策略執行的一計算裝置,該計算裝置包括:包括複數個區域之一資料儲存裝置;藉由該計算裝置之一韌體環境被建立之一啟動選擇模組韌體環境,該啟動選擇模組用以自被安裝在該計算裝置上之複數個作業系統而選擇一作業系統;以及藉由該韌體環境被建立之一策略執行模組,該策略執行模組用以(i)基於該選擇的作業系統而判定將被保護之一資料儲存裝置之一區域,以及(ii)組態該資料儲存裝置以防止存取至該資料儲存裝置之該區域;其中該啟動選擇模組是進一步地用以響應於該資料儲存裝置之組態而載入該選擇的作業系統。
範例19包含範例18之主題,並且其中該資料儲存裝置之區域包括該資料儲存裝置一分割部份。
範例20包含任何範例18及19之主題,並且其中該資料儲存裝置之區域包括該資料儲存裝置之一分割部份列表。
範例21包含任何範例18-20之主題,並且其中用以判定該資料儲存裝置之該區域包括至辨識不是被該選擇的作業系統所擁有之該資料儲存裝置之一區域。
範例22包含任何範例18-21之主題,並且其中用以判定該資料儲存裝置之該區域包括作為該計算裝置之一媒體存取策略的一函數而判定該區域。
範例23包含任何範例18-22之主題,並且其中用以判定作為該媒體存取策略的一函數之該區域包括自該計算裝置之一非依電性儲存器而讀取該媒體存取策略。
範例24包含任何範例18-23之主題,並且進一步地包含一第二策略執行模組,該第二策略執行模組用以進行下列事項:在該選擇的作業系統執行期間,攔截一媒體存取請求,該媒體存取請求明確指定一儲存作業與一儲存位址;判定該選擇的作業系統之一身份;辨識該資料儲存裝置之一第二區域,其包含該媒體存取請求之該儲存位址;以及判定是否允許該媒體存取請求作為該資料儲存裝置之該第二區域、該選擇的作業系統之該身份、以及該媒體存取請求之該儲存作業的一函數。
範例25包含用於在一多重作業系統環境中之媒
體保護策略執行的一方法,該方法包括進行下列事項,在該計算裝置之一作業系統執行期間,藉由一計算裝置而攔截一媒體存取請求,該媒體存取請求明確指定一儲存作業與一儲存位址;藉由該計算裝置,判定該計算裝置之該作業系統之一身份;藉由該計算裝置,辨識該計算裝置的該資料儲存裝置之一區域,其包含該媒體存取請求之該儲存位址;以及藉由該計算裝置,判定是否允許該媒體存取請求作為下列各事項之一函數:(i)該資料儲存裝置之該辨識區域、(ii)該作業系統之該身份、及(iii)該媒體存取請求之該儲存作業。
範例26包含範例25之主題,並且其中判定是否允許該媒體存取請求包括進行下列事項:判定該資料儲存裝置之該區域是否被該作業系統所擁有;以及響應於該區域被該作業系統所擁有之一判定,而判定允許該媒體存取請求。
範例27包含任何範例25及26之主題,並且其中判定是否允許該媒體存取請求進一步地包括響應於判定該區域是不被該作業系統所擁有,而判定不允許該媒體存取請求。
範例28包含任何範例25-27之主題,並且其中判定是否允許該媒體存取請求進一步地包括響應於判定該區域是不被該作業系統所擁有,而判定是否允許該媒體存取請求作為該計算裝置之一媒體存取策略之一函數。
範例29包含任何範例25-28之主題,並且其中判
定是否允許該媒體存取請求作為該媒體存取策略的一函數包括使用該計算裝置之一韌體環境自該計算裝置之一非依電性儲存器讀取該媒體存取策略。
範例30包含任何範例25-29之主題,並且其中判定是否允許該媒體存取請求作為該媒體存取策略的一函數包括判定該資料儲存裝置之區域是否被該作業系統及一第二作業系統所共用,其中該第二作業系統不是目前執行中;並且響應於判定該區域是被共用而判定允許該媒體存取請求。
範例31包含任何範例25-30之主題,並且其中判定是否允許該媒體存取請求作為該媒體存取策略的一函數包括判定是否允許該媒體存取請求作為該媒體存取請求之該儲存作業的一函數。
範例32包含任何範例25-31之主題,並且其中判定是否允許該媒體存取請求作為該媒體存取請求之該儲存作業的一函數包括響應於包括一讀取作業之該媒體存取請求而判定允許該媒體存取請求;以及響應於包括一寫入作業之該媒體存取請求而判定不允許該媒體存取請求。
範例33包含任何範例25-32之主題,並且其中判定是否允許該媒體存取包括使用該計算裝置之一韌體環境而自該計算裝置之一非依電性儲存器讀取一媒體存取策略。
範例34包含任何範例25-33之主題,並且其中判定是否允許該媒體存取包括判定是否媒體存取保護被致能
作為該媒體存取策略的一函數;並且響應於判定該媒體存取保護被致能而判定是否允許該媒體存取。
範例35包含任何範例25-34之主題,並且進一步地包含進行下列事項:在該計算裝置之一第二作業系統執行期間,藉由該計算裝置而攔截一第二媒體存取請求,該第二媒體存取請求明確指定一第二儲存作業與一第二儲存位址;藉由該計算裝置,判定該第二作業系統之一身份;藉由該計算裝置,辨識包含該第二媒體存取請求之該第二儲存位址的該資料儲存裝置之一第二區;以及藉由該計算裝置,判定是否允許該第二媒體存取請求作為該資料儲存裝置之該第二區域、該第二作業系統之該身份、及該第二媒體存取請求之該第二儲存作業的一函數。
範例36包含任何範例25-35之主題,並且其中攔截該媒體存取請求包括使用該計算裝置之一過濾驅動器而攔截該媒體存取請求。
範例37包含任何範例25-36之主題,並且進一步地包含:響應於判定允許該媒體存取請求,藉由該計算裝置,將該媒體存取請求傳送經由該計算裝置之一較低位準的驅動器。
範例38包含任何範例25-37之主題,並且進一步地包含響應於判定不允許該媒體存取請求,藉由該計算裝置而拒絕該媒體存取請求。
範例39包含任何範例25-38之主題,並且其中辨識該資料儲存裝置之區域包括辨識該資料儲存裝置之一分
割部份。
範例40包含任何範例25-39之主題,並且其中辨識該資料儲存裝置之區域包括辨識該資料儲存裝置之一分割部份列表。
範例41包含任何範例25-40之主題,並且進一步地包含藉由該計算裝置,而在該計算裝置之該作業系統執行之前載入一韌體執行環境;藉由具有該韌體執行環境之該計算裝置,而自被安裝在該計算裝置上之複數個作業系統選擇該作業系統;基於該選擇的作業系統,藉由具有該韌體執行環境之該計算裝置,而判定將受保護之該資料儲存裝置的一第二區域;藉由具有該韌體執行環境之該計算裝置,而組態該資料儲存裝置以防止存取至該資料儲存裝置之該第二區域;以及響應於組態該資料儲存裝置,藉由具有該韌體執行環境之該計算裝置,而載入該選擇的作業系統。
範例42包含用於在一多重作業系統環境中之媒體保護策略執行的一方法,該方法包括藉由一計算裝置,而載入一預作業系統韌體執行環境;藉由具有該韌體執行環境之該計算裝置,以自被安裝在該計算裝置上之複數個作業系統而選擇一作業系統;基於該選擇的作業系統,藉由具有該韌體執行環境之該計算裝置,而判定將被保護之一資料儲存裝置的一區域;藉由具有該韌體執行環境之該計算裝置,以組態該資料儲存裝置而防止存取至該資料儲存裝置之區域;並且響應於組態該資料儲存裝置,藉由具
有該韌體執行環境之該計算裝置,而載入該選擇的作業系統。
範例43包含範例42之主題,並且其中判定該資料儲存裝置之區域包括判定該資料儲存裝置之一分割部份。
範例44包含任何範例42及43之主題,並且其中判定該資料儲存裝置之區域包括判定該資料儲存裝置之一分割部份列表。
範例45包含任何範例42-44之主題,並且其中判定該資料儲存裝置之區域包括辨識不為該選擇的作業系統所擁有的該資料儲存裝置之一區域。
範例46包含任何範例42-45之主題,並且其中判定該資料儲存裝置之區域包括判定作為該計算裝置之一媒體存取策略的一函數之區域。
範例47包含任何範例42-46之主題,並且其中判定作為該媒體存取策略的一函數之該區域包括自該計算裝置之一非依電性儲存器讀取該媒體存取策略。
範例48包含任何範例42-47之主題,並且進一步地包含在該選擇的作業系統執行期間,藉由該計算裝置,攔截一媒體存取請求,該媒體存取請求明確指定一儲存作業與一儲存位址;藉由該計算裝置,判定該選擇的作業系統之一身份;藉由該計算裝置,而辨識包含該媒體存取請求之該儲存位址的該資料儲存裝置之一第二區域;以及藉由該計算裝置,判定是否允許該媒體存取請求作為該資料儲存裝置之該第二區域、該選擇的作業系統之該身份、以
及該媒體存取請求之該儲存作業的一函數。
範例49包含一包括一處理器之計算裝置;以及具有被儲存於其中的複數個指令之一記憶體,當該等指令藉由該處理器被執行時導致該計算裝置進行任何範例25-48之方法。
範例50包含一個或多個機器可讀取儲存媒體,包括被儲存在其上之複數個指令,其響應於該等指令被執行導致一計算裝置進行任何範例25-48之方法。
範例51包含一計算裝置,其包括用以進行任何範例25-48之方法的構件。
範例52包含用於在一多重作業系統環境中之媒體保護策略執行的一計算裝置,該計算裝置包括構件,其用以在該計算裝置之一作業系統執行期間,攔截一媒體存取請求,該媒體存取請求明確指定一儲存作業與一儲存位址;構件,其用以判定該計算裝置之該作業系統的一身份;構件,其用以辨識該計算裝置的一資料儲存裝置之一區域,該區域包含該媒體存取請求之儲存位址;以及構件,其用以判定是否允許該媒體存取請求作為(i)該資料儲存裝置之該辨識的區域、(ii)該作業系統之身份、以及(iii)該媒體存取請求之儲存作業的一函數。
範例53包含範例52之主題,並且其中用以判定是否允許該媒體存取請求之構件包括用以判定是否該資料儲存裝置之區域是為該作業系統所擁有之構件;以及用以響應於判定該區域是為該作業系統所擁有而判定允許該媒體
存取請求之構件。
範例54包含任何範例52及53之主題,並且其中用以判定是否允許該媒體存取請求之構件進一步地包括響應於判定該區域是不為該作業系統所擁有而用以判定不允許該媒體存取請求之構件。
範例55包含任何範例52-54之主題,並且其中用以判定是否允許該媒體存取請求之構件進一步地包括響應於判定該區是不為該作業系統所擁有而用以判定是否允許該媒體存取請求作為該計算裝置之一媒體存取策略的一函數之構件。
範例56包含任何範例52-55之主題,並且其中用以判定是否允許該媒體存取請求作為該媒體存取策略的一函數之構件包括用以使用該計算裝置之一韌體環境自該計算裝置之一非依電性儲存器讀取該媒體存取策略之構件。
範例57包含任何範例52-56之主題,並且其中用以判定是否允許該媒體存取請求作為該媒體存取策略的一函數之構件包括用以判定是否該資料儲存裝置之區域是被該作業系統及一第二作業系統所共用之構件,其中該第二作業系統不是於目前執行中;以及響應於判定該區域是被共用而用以判定允許該媒體存取請求之構件。
範例58包含任何範例52-57之主題,並且其中用以判定是否允許該媒體存取請求作為該媒體存取策略的一函數之構件包括用以判定是否允許該媒體存取請求作為該媒體存取請求之該儲存作業的一函數之構件。
範例59包含任何範例52-58之主題,並且其中用以判定是否允許該媒體存取請求作為該媒體存取請求之該儲存作業的一函數之構件包括響應於包括一讀取作業之該媒體存取請求而用以判定允許該媒體存取請求之構件;以及響應於包括一寫入作業之該媒體存取請求而用以判定不允許該媒體存取請求之構件。
範例60包含任何範例52-59之主題,並且其中用以判定是否允許該媒體存取之構件包括使用該計算裝置之一韌體環境用以自該計算裝置之一非依電性儲存器讀取一媒體存取策略之構件。
範例61包含任何範例52-60之主題,並且其中用以判定是否允許該媒體存取之構件包括用以判定是否媒體存取保護被致能作為該媒體存取策略的一函數之構件;以及響應於判定該媒體存取保護被致能而用以判定是否允許該媒體存取之構件。
範例62包含任何範例52-61之主題,並且進一步地包含用以在該計算裝置之一第二作業系統執行期間,攔截一第二媒體存取請求之構件,該第二媒體存取請求明確指定一第二儲存作業與一第二儲存位址;用以判定該第二作業系統之一身份的構件;用以辨識包含該第二媒體存取請求之該第二儲存位址的該資料儲存裝置之一第二區域的構件;以及用以判定是否允許該第二媒體存取請求作為該資料儲存裝置之該第二區域、該第二作業系統之該身份、以及該第二媒體存取請求之該第二儲存作業的一函數之構
件。
範例63包含任何範例52-62之主題,並且其中用以攔截該媒體存取請求之構件包括使用該計算裝置之一過濾驅動器而用以攔截該媒體存取請求之構件。
範例64包含任何範例52-63之主題,並且進一步地包含響應於判定允許該媒體存取請求而用以將該媒體存取請求傳通至該計算裝置之一較低位準的驅動器之構件。
範例65包含任何範例52-64之主題,並且進一步地包含響應於判定不允許該媒體存取請求而用以拒絕該媒體存取請求之構件。
範例66包含任何範例52-65之主題,並且其中用以辨識該資料儲存裝置之區域的構件包括用以辨識該資料儲存裝置之一分割部份的構件。
範例67包含任何範例52-66之主題,並且其中用以辨識該資料儲存裝置之區域的構件包括用以辨識該資料儲存裝置之一分割部份列表的構件。
範例68包含任何範例52-67之主題,並且進一步地包含用以在該計算裝置之該作業系統的執行之前載入一韌體執行環境之構件;藉由該韌體執行環境,用以自被安裝在該計算裝置上之複數個作業系統而選擇該作業系統之構件;基於該選擇的作業系統藉由該韌體執行環境,用以判定將被受保護之該資料儲存裝置的一第二區域之構件;用以藉由該韌體執行環境,組態該資料儲存裝置以防止存取至該資料儲存裝置之該第二區域的構件;以及響應於組
態該資料儲存裝置用以藉由該韌體執行環境,而載入該選擇的作業系統之構件。
範例69包含用於在一多重作業系統環境中之媒體保護策略執行的一計算裝置,該計算裝置包括用以載入一預作業系統韌體執行環境之構件;用以藉由該韌體執行環境而自被安裝在該計算裝置上之複數個作業系統選擇一作業系統之構件;基於該選擇的作業系統用以藉由該韌體執行環境,而判定將受保護之一資料儲存裝置的一區域之構件;用以藉由該韌體執行環境而組態該資料儲存裝置以防止存取至該資料儲存裝置之區域的構件;以及響應於組態該資料儲存裝置用以藉由該韌體執行環境而載入該選擇的作業系統之構件。
範例70包含範例69之主題,並且其中用以判定該資料儲存裝置之區域的構件包括用以判定該資料儲存裝置之一分割部份的構件。
範例71包含任何範例69及70之主題,並且其中用以判定該資料儲存裝置之區域的構件包括用以判定該資料儲存裝置之一分割部份列表的構件。
範例72包含任何範例69-71之主題,並且其中用以判定該資料儲存裝置之區域的構件包括用以辨識不為該選擇的作業系統所擁有之該資料儲存裝置的一區域之構件。
範例73包含任何範例69-72之主題,並且其中用以判定該資料儲存裝置之區域的構件包括用以判定作為該
計算裝置之一媒體存取策略的一函數之該區域的構件。
範例74包含任何範例69-73之主題,並且其中用以判定該區域作為該媒體存取策略的一函數之構件包括用以自該計算裝置之一非依電性儲存器讀取該媒體存取策略之構件。
範例75包含任何範例69-74之主題,並且進一步地包含用以在該選擇的作業系統執行期間,攔截一媒體存取請求之構件,該媒體存取請求明確指定一儲存作業與一儲存位址;用以判定該選擇的作業系統之一身份的構件;用以辨識包含該媒體存取請求之該儲存位址的該資料儲存裝置之一第二區域的構件;以及用以判定是否允許該媒體存取請求作為該資料儲存裝置之該第二區域、該選擇的作業系統之該身份、以及該媒體存取請求之儲存作業的一函數之構件。
100‧‧‧計算裝置
120‧‧‧處理器
122‧‧‧輸入/輸出子系統
124‧‧‧記憶體
126‧‧‧資料儲存裝置
128‧‧‧控制器
130‧‧‧通訊電路
132‧‧‧NV儲存器
134‧‧‧安全處理器
Claims (25)
- 一種用於在一多重作業系統環境中之媒體保護策略執行的計算裝置,該計算裝置包括:包括複數個區域之一資料儲存裝置;以及一策略執行模組,用以:在該計算裝置之一作業系統執行期間,攔截一媒體存取請求,其中該媒體存取請求明確指定關聯於該資料儲存裝置之一儲存作業與一儲存位址,其中該儲存位址辨識在該資料儲存裝置內的一資料位置,且其中該作業系統是藉由該計算裝置之一處理器所執行;判定該計算裝置之該作業系統之一身份;辨識該資料儲存裝置之一區域,其包含由該媒體存取請求之該儲存位址所辨識出的該資料位置;用該計算裝置之該處理器所執行的該作業系統來存取該計算裝置之一運作韌體變數介面而自該計算裝置之一非依電性儲存器讀取一媒體存取策略,其中該運作韌體變數介面是藉由該計算裝置之一預啟動韌體環境所安裝,且其中該媒體存取策略包含一韌體變數;以及用該計算裝置之該處理器所執行的該作業系統來判定是否允許該媒體存取請求作為該媒體 存取策略之一函數,其中該媒體存取策略界定一用於存取之法則基於:(i)該資料儲存裝置之該辨識區域、(ii)該作業系統之該身份、及(iii)該媒體存取請求之該儲存作業。
- 如請求項1之計算裝置,其中用以判定是否允許該媒體存取請求包括用以:判定該資料儲存裝置之該區域是否被該作業系統所擁有;以及響應於該區域被該作業系統所擁有之一判定,而判定允許該媒體存取請求。
- 如請求項2之計算裝置,其中用以判定是否允許該媒體存取請求進一步地包括響應於該區域是不被該作業系統所擁有之一判定,而判定不允許該媒體存取請求。
- 如請求項2之計算裝置,其中用以判定是否允許該媒體存取請求進一步地包括響應於該區域是不被該作業系統所擁有之一判定,而判定是否允許該媒體存取請求作為該計算裝置之該媒體存取策略之一函數。
- 如請求項4之計算裝置,其中用以判定是否允許該媒體存取請求作為該媒體存取策略之一函數包括用以:判定該資料儲存裝置之該區域是否被該作業系統以及一第二作業系統所共用,其中該第二作業系統是不在判定期間執行;以及響應於該區域是被共用之一判定而判定允許該媒體存取請求。
- 如請求項4之計算裝置,其中用以判定是否允許該媒體存取請求作為該媒體存取策略之一函數包括用以判定是否允許該媒體存取請求作為該媒體存取請求之該儲存作業的一函數。
- 如請求項6之計算裝置,其中用以判定是否允許該媒體存取請求作為該媒體存取請求之該儲存作業的一函數包括用以:響應於包括一讀取作業之該媒體存取請求而判定允許該媒體存取請求;以及響應於包括一寫入作業之該媒體存取請求而判定不允許該媒體存取請求。
- 如請求項1之計算裝置,其中用以自該計算裝置之該非依電性儲存器讀取該媒體存取策略進一步地包括認證該媒體存取策略。
- 如請求項1之計算裝置,進一步地包括一第二策略執行模組用以:在該計算裝置之一第二作業系統執行期間,攔截一第二媒體存取請求,該第二媒體存取請求明確指定一第二儲存作業與一第二儲存位址;判定該第二作業系統之一身份;辨識該資料儲存裝置之一第二區域,其包含該第二媒體存取請求之該第二儲存位址;以及判定是否允許該第二媒體存取請求作為該資料儲存裝置之該第二區域、該第二作業系統之該身份、及 該第二媒體存取請求之該第二儲存作業的一函數。
- 如請求項1之計算裝置,進一步地包括:藉由該計算裝置之該韌體環境被建立之一啟動選擇模組,該啟動選擇模組用以自被安裝在該計算裝置上之複數個作業系統而選擇該作業系統;以及藉由該韌體環境被建立之一第二策略執行模組,該第二策略執行模組用以(i)基於被選擇的該作業系統而判定將被保護之該資料儲存裝置的一第二區域,以及(ii)組態該資料儲存裝置以防止存取至該資料儲存裝置之該第二區域;其中該啟動選擇模組是進一步地用以響應於該資料儲存裝置之組態而載入被選擇的該作業系統。
- 一種包括複數個指令之一個或多個電腦可讀取儲存媒體,其響應於該等指令被執行而導致一計算裝置用以:在該計算裝置之一作業系統執行期間,攔截一媒體存取請求,該媒體存取請求明確指定關聯於該計算裝置之一資料儲存裝置之一儲存作業與一儲存位址,其中該儲存位址辨識在該資料儲存裝置內的一資料位置,且其中該作業系統是藉由該計算裝置之一處理器所執行;判定該計算裝置之該作業系統的一身份;辨識該計算裝置之該資料儲存裝置之一區域,其包含由該媒體存取請求之該儲存位址所辨識出的該資 料位置;用該計算裝置之該處理器所執行的該作業系統來存取該計算裝置之一運作韌體變數介面而自該計算裝置之一非依電性儲存器讀取一媒體存取策略,其中該運作韌體變數介面是藉由該計算裝置之一預啟動韌體環境所安裝,且其中該媒體存取策略包含一韌體變數;以及用該計算裝置之該處理器所執行的該作業系統來判定是否允許該媒體存取請求作為該媒體存取策略之一函數,其中該媒體存取策略基於下列各動作界定一用於存取之法則:(i)該資料儲存裝置之該辨識區域、(ii)該作業系統之該身份、及(iii)該媒體存取請求之該儲存作業。
- 如請求項11之一個或多個電腦可讀取儲存媒體,其中用以判定是否允許該媒體存取請求包括用以:判定該資料儲存裝置之該區域是否被該作業系統所擁有;響應於判定該區域被該作業系統所擁有,而判定允許該媒體存取請求;以及響應於判定該區域是不被該作業系統所擁有,而判定是否允許該媒體存取請求作為該計算裝置之該媒體存取策略之一函數。
- 如請求項12之一個或多個電腦可讀取儲存媒體,其中用以判定是否允許該媒體存取請求作為該媒體存取策 略的一函數包括用以判定是否允許該媒體存取請求作為該媒體存取請求之該儲存作業的一函數。
- 如請求項11之一個或多個電腦可讀取儲存媒體,其中用以自該計算裝置之該非依電性儲存器讀取該媒體存取策略進一步地包括認證該媒體存取策略。
- 如請求項11之一個或多個電腦可讀取儲存媒體,進一步地包括複數個指令,響應於該等指令被執行而導致該計算裝置用以:在該計算裝置之一第二作業系統執行期間,攔截一第二媒體存取請求,該第二媒體存取請求明確指定一第二儲存作業與一第二儲存位址;判定該第二作業系統之一身份;辨識該資料儲存裝置之一第二區域,其包含該第二媒體存取請求之該第二儲存位址;以及判定是否允許該第二媒體存取請求作為該資料儲存裝置之該第二區域、該第二作業系統之該身份、及該第二媒體存取請求之該第二儲存作業的一函數。
- 如請求項11之一個或多個電腦可讀取儲存媒體,進一步地包括複數個指令,響應於該等指令被執行其導致該計算裝置用以:於該計算裝置之該作業系統的執行前載入一韌體執行環境;藉由該韌體執行環境,自被安裝在該計算裝置上之複數個作業系統選擇該作業系統; 藉由該韌體執行環境,基於被選擇的該作業系統,而判定將被保護之該資料儲存裝置之一第二區域;藉由該韌體執行環境,組態該資料儲存裝置以防止存取至該資料儲存裝置之該第二區域;以及藉由該韌體執行環境,響應於組態該資料儲存裝置,而載入被選擇的該作業系統。
- 一種用於在一多重作業系統環境中之媒體保護策略執行的方法,該方法包括:在一計算裝置之一作業系統執行期間,用該計算裝置來攔截一媒體存取請求,該媒體存取請求明確指定關聯於該計算裝置之一資料儲存裝置之一儲存作業與一儲存位址,其中該儲存位址辨識在該資料儲存裝置內的一資料位置,且其中該作業系統是藉由該計算裝置之一處理器所執行;用該計算裝置來判定該計算裝置之該作業系統之一身份;用該計算裝置來辨識該計算裝置之該資料儲存裝置之一區域,其包含由該媒體存取請求之該儲存位址所辨識出的該資料位置;用該計算裝置之該處理器所執行的該作業系統來存取該計算裝置之一運作韌體變數介面而自該計算裝置之一非依電性儲存器讀取一媒體 存取策略,其中該運作韌體變數介面是藉由該計算裝置之一預啟動韌體環境所安裝,且其中該媒體存取策略包含一韌體變數;以及用該計算裝置之該處理器所執行的該作業系統來判定是否允許該媒體存取請求作為該媒體存取策略之一函數,其中該媒體存取策略界定一用於存取之法則基於:(i)該資料儲存裝置之該辨識區域、(ii)該作業系統之該身份、及(iii)該媒體存取請求之該儲存作業。
- 如請求項17之方法,其中判定是否允許該媒體存取請求包括:判定該資料儲存裝置之該區域是否被該作業系統所擁有;以及響應於判定該區域被該作業系統所擁有,而判定允許該媒體存取請求。
- 如請求項18之方法,其中判定是否允許該媒體存取請求包括響應於判定該區域是不被該作業系統所擁有,而判定不允許該媒體存取請求。
- 如請求項18之方法,其中判定是否允許該媒體存取請求包括響應於判定該區域是不被該作業系統所擁有,而判定是否允許該媒體存取請求作為該計算裝置之該媒體存取策略之一函數。
- 如請求項20之方法,其中判定是否允許該媒體存取請求作為該媒體存取策略之一函數包括: 判定該資料儲存裝置之該區域是否被該作業系統以及一第二作業系統所共用,其中該第二作業系統是不在當前執行;以及響應於判定該區域是被共用而判定允許該媒體存取請求。
- 如請求項20之方法,其中判定是否允許該媒體存取請求作為該媒體存取策略之一函數包括判定是否允許該媒體存取請求作為該媒體存取請求之該儲存作業的一函數。
- 如請求項22之方法,其中判定是否允許該媒體存取請求作為該媒體存取請求之該儲存作業的一函數包括:響應於該媒體存取請求包括一讀取作業而判定允許該媒體存取請求;以及響應於該媒體存取請求包括一寫入作業而判定不允許該媒體存取請求。
- 如請求項17之方法,進一步地包括:在該計算裝置之一第二作業系統執行期間,用該計算裝置來攔截一第二媒體存取請求,該第二媒體存取請求明確指定一第二儲存作業與一第二儲存位址;用該計算裝置來判定該第二作業系統之一身份;用該計算裝置來辨識該資料儲存裝置之一第二區域,其包含該第二媒體存取請求之該第二儲存位址;以及用該計算裝置來判定是否允許該第二媒體存取請 求作為該資料儲存裝置之該第二區域、該第二作業系統之該身份、及該第二媒體存取請求之該第二儲存作業的一函數。
- 如請求項17之方法,進一步地包括:於該計算裝置之該作業系統的執行前,用該計算裝置來載入一韌體執行環境;用該計算裝置來藉由該韌體執行環境,自被安裝在該計算裝置上之複數個作業系統選擇該作業系統;用該計算裝置來藉由該韌體執行環境,基於被選擇的該作業系統,而判定將被保護之該資料儲存裝置之一第二區域;用該計算裝置來藉由該韌體執行環境,組態該資料儲存裝置以防止存取至該資料儲存裝置之該第二區域;以及用該計算裝置來藉由該韌體執行環境,響應於組態該資料儲存裝置,而載入被選擇的該作業系統。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201461936614P | 2014-02-06 | 2014-02-06 | |
| US14/298,312 US10049216B2 (en) | 2014-02-06 | 2014-06-06 | Media protection policy enforcement for multiple-operating-system environments |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201535258A TW201535258A (zh) | 2015-09-16 |
| TWI601070B true TWI601070B (zh) | 2017-10-01 |
Family
ID=53755077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104100065A TWI601070B (zh) | 2014-02-06 | 2015-01-05 | 用於多重作業系統環境之媒體保護策略執行技術 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US10049216B2 (zh) |
| EP (1) | EP3103053A4 (zh) |
| KR (1) | KR101802800B1 (zh) |
| CN (2) | CN111367574B (zh) |
| TW (1) | TWI601070B (zh) |
| WO (1) | WO2015119855A1 (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101532873B1 (ko) * | 2014-04-11 | 2015-06-30 | 플러스기술주식회사 | 스마트 폰의 듀얼 운영체제를 실행하는 방법 |
| US9582393B2 (en) * | 2014-06-20 | 2017-02-28 | Dell Products, Lp | Method to facilitate rapid deployment and rapid redeployment of an information handling system |
| US10530576B2 (en) * | 2015-02-13 | 2020-01-07 | Insyde Software Corp. | System and method for computing device with improved firmware service security using credential-derived encryption key |
| US20160283338A1 (en) * | 2015-03-27 | 2016-09-29 | Intel Corporation | Boot operations in memory devices |
| US9953191B2 (en) * | 2015-07-30 | 2018-04-24 | Dell Products L.P. | Event-based display information protection system |
| US9930051B1 (en) * | 2015-11-06 | 2018-03-27 | Amazon Technologies, Inc. | Remote management of hardware hosts in cloud infrastructure |
| US9971532B2 (en) * | 2016-02-24 | 2018-05-15 | Dell Products L.P. | GUID partition table based hidden data store system |
| KR102494241B1 (ko) * | 2016-08-18 | 2023-02-03 | 에스케이하이닉스 주식회사 | 메모리 시스템 및 그의 동작 방법 |
| CN106778193B (zh) * | 2016-11-14 | 2023-02-03 | 北京握奇智能科技有限公司 | 一种客户端和ui交互方法 |
| US10515226B2 (en) * | 2016-11-21 | 2019-12-24 | Dell Products, L.P. | Systems and methods for protected local backup |
| US10657245B2 (en) * | 2017-03-14 | 2020-05-19 | Wyse Technology L.L.C. | Dynamically controlling access to devices |
| KR20210041540A (ko) * | 2018-05-28 | 2021-04-15 | 로얄 뱅크 오브 캐나다 | 보안 전자 트랜잭션 플랫폼을 위한 시스템 및 방법 |
| US11068614B2 (en) * | 2018-08-30 | 2021-07-20 | Dell Products, L.P. | System-level data security based on environmental properties |
| TWI688861B (zh) * | 2018-09-18 | 2020-03-21 | 新唐科技股份有限公司 | 資料處理裝置及其資料保護方法 |
| US11151255B2 (en) * | 2018-10-26 | 2021-10-19 | Dell Products L.P. | Method to securely allow a customer to install and boot their own firmware, without compromising secure boot |
| CN112825098A (zh) * | 2019-11-21 | 2021-05-21 | 杭州海康威视数字技术股份有限公司 | 数据保护方法、装置、计算设备及存储介质 |
| CN112799878A (zh) * | 2021-01-15 | 2021-05-14 | 西安广和通无线软件有限公司 | 通信数据配置方法、装置、计算机设备和存储介质 |
| CN115587348B (zh) * | 2022-11-24 | 2023-04-07 | 中国人民解放军国防科技大学 | Pcie设备访存的可配置安全控制方法、装置及介质 |
| US11983541B1 (en) * | 2023-05-19 | 2024-05-14 | Lowe's Companies, Inc. | Operation-specific device configuration |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6401183B1 (en) * | 1999-04-01 | 2002-06-04 | Flash Vos, Inc. | System and method for operating system independent storage management |
| US20030177239A1 (en) * | 2002-03-15 | 2003-09-18 | Daisuke Shinohara | Method of managing a resource storage data, program for managing the resource storage data, storage media having the resource managing program, and resource manager for managing the resource storage data |
| US20120191960A1 (en) * | 2011-01-20 | 2012-07-26 | Mark Piwonka | Booting computing devices |
| US20120198193A1 (en) * | 2003-12-24 | 2012-08-02 | Mark Doran | Method to qualify access to a block storage device via augmentation of the device's controller and firmware flow |
| US20140006804A1 (en) * | 2012-07-02 | 2014-01-02 | Thomas E. Tkacik | Virtualized trusted descriptors |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6314501B1 (en) | 1998-07-23 | 2001-11-06 | Unisys Corporation | Computer system and method for operating multiple operating systems in different partitions of the computer system and for allowing the different partitions to communicate with one another through shared memory |
| WO2000070466A1 (fr) * | 1999-05-17 | 2000-11-23 | Technowave, Ltd. | Procede d'acces a un dispositif e/s et une memoire utilisant une adresse virtuelle et support enregistre comportant un programme destine a executer le procede d'acces a un dispositif e/o et une memoire utilisant une adresse virtuelle |
| US6725317B1 (en) * | 2000-04-29 | 2004-04-20 | Hewlett-Packard Development Company, L.P. | System and method for managing a computer system having a plurality of partitions |
| US6751679B1 (en) | 2000-11-16 | 2004-06-15 | International Business Machines Corporation | Means of control bit protection in a logical partition environment |
| US20020129274A1 (en) | 2001-03-08 | 2002-09-12 | International Business Machines Corporation | Inter-partition message passing method, system and program product for a security server in a partitioned processing environment |
| US7024555B2 (en) * | 2001-11-01 | 2006-04-04 | Intel Corporation | Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment |
| JP3866597B2 (ja) * | 2002-03-20 | 2007-01-10 | 株式会社東芝 | 内部メモリ型耐タンパプロセッサおよび秘密保護方法 |
| GB0226875D0 (en) * | 2002-11-18 | 2002-12-24 | Advanced Risc Mach Ltd | Control of access to a memory by a device |
| AU2003901454A0 (en) * | 2003-03-28 | 2003-04-10 | Secure Systems Limited | Security system and method for computer operating systems |
| US7478141B2 (en) * | 2003-06-26 | 2009-01-13 | Intel Corporation | Accessing firmware of a remote computer system using a remote firmware interface |
| US7693838B2 (en) * | 2005-11-12 | 2010-04-06 | Intel Corporation | Method and apparatus for securely accessing data |
| US7610464B2 (en) * | 2006-02-22 | 2009-10-27 | Sony Computer Entertainment Inc. | Methods and apparatus for providing independent logical address space and access management |
| US20080140946A1 (en) * | 2006-12-11 | 2008-06-12 | Mark Charles Davis | Apparatus, system, and method for protecting hard disk data in multiple operating system environments |
| CN100524241C (zh) * | 2006-12-14 | 2009-08-05 | 英业达股份有限公司 | 多操作系统平台整合测试方法 |
| KR101489158B1 (ko) | 2008-05-21 | 2015-02-06 | 삼성전자 주식회사 | 마스터 부트 레코드가 저장되어 있는 저장매체, 이를포함하는 컴퓨터 시스템 및 그 부팅방법 |
| CN101615123A (zh) * | 2008-06-26 | 2009-12-30 | 比亚迪股份有限公司 | 一种移动终端操作系统的引导方法及移动终端 |
| US8726364B2 (en) | 2008-06-30 | 2014-05-13 | Intel Corporation | Authentication and access protection of computer boot modules in run-time environments |
| US20090327741A1 (en) * | 2008-06-30 | 2009-12-31 | Zimmer Vincent J | System and method to secure boot uefi firmware and uefi-aware operating systems on a mobile internet device (mid) |
| CN101667144B (zh) * | 2009-09-29 | 2013-02-13 | 北京航空航天大学 | 一种基于共享内存的虚拟机通信方法 |
| US8689349B2 (en) * | 2010-05-05 | 2014-04-01 | Intel Corporation | Information flow tracking and protection |
| US20120185911A1 (en) * | 2010-09-30 | 2012-07-19 | Khandys Polite | Mlweb: a multilevel web application framework |
| US8607054B2 (en) * | 2010-10-15 | 2013-12-10 | Microsoft Corporation | Remote access to hosted virtual machines by enterprise users |
| US9256745B2 (en) * | 2011-03-01 | 2016-02-09 | Microsoft Technology Licensing, Llc | Protecting operating system configuration values using a policy identifying operating system configuration settings |
| US9256552B2 (en) * | 2011-11-21 | 2016-02-09 | Cisco Technology, Inc. | Selective access to executable memory |
| CN103268438B (zh) * | 2013-02-04 | 2016-01-06 | 华为技术有限公司 | 基于调用链的Android权限管理方法及系统 |
-
2014
- 2014-06-06 US US14/298,312 patent/US10049216B2/en not_active Expired - Fee Related
-
2015
- 2015-01-05 TW TW104100065A patent/TWI601070B/zh not_active IP Right Cessation
- 2015-01-30 WO PCT/US2015/013786 patent/WO2015119855A1/en active Application Filing
- 2015-01-30 CN CN202010185349.2A patent/CN111367574B/zh active Active
- 2015-01-30 EP EP15745775.5A patent/EP3103053A4/en not_active Withdrawn
- 2015-01-30 CN CN201580003846.3A patent/CN105900105B/zh not_active Expired - Fee Related
- 2015-01-30 KR KR1020167018032A patent/KR101802800B1/ko active IP Right Grant
-
2017
- 2017-08-01 US US15/665,669 patent/US10025934B2/en not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6401183B1 (en) * | 1999-04-01 | 2002-06-04 | Flash Vos, Inc. | System and method for operating system independent storage management |
| US20030177239A1 (en) * | 2002-03-15 | 2003-09-18 | Daisuke Shinohara | Method of managing a resource storage data, program for managing the resource storage data, storage media having the resource managing program, and resource manager for managing the resource storage data |
| US20120198193A1 (en) * | 2003-12-24 | 2012-08-02 | Mark Doran | Method to qualify access to a block storage device via augmentation of the device's controller and firmware flow |
| US20120191960A1 (en) * | 2011-01-20 | 2012-07-26 | Mark Piwonka | Booting computing devices |
| US20140006804A1 (en) * | 2012-07-02 | 2014-01-02 | Thomas E. Tkacik | Virtualized trusted descriptors |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150220737A1 (en) | 2015-08-06 |
| EP3103053A1 (en) | 2016-12-14 |
| CN105900105B (zh) | 2020-04-21 |
| CN111367574A (zh) | 2020-07-03 |
| KR101802800B1 (ko) | 2017-11-29 |
| TW201535258A (zh) | 2015-09-16 |
| WO2015119855A1 (en) | 2015-08-13 |
| US20170329970A1 (en) | 2017-11-16 |
| EP3103053A4 (en) | 2017-07-05 |
| CN111367574B (zh) | 2023-09-12 |
| US10049216B2 (en) | 2018-08-14 |
| KR20160094440A (ko) | 2016-08-09 |
| CN105900105A (zh) | 2016-08-24 |
| US10025934B2 (en) | 2018-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI601070B (zh) | 用於多重作業系統環境之媒體保護策略執行技術 | |
| CN110073355B (zh) | 用于提供安全执行环境的服务器和用于保护服务器上的非易失性存储器中的固件的方法 | |
| US8949565B2 (en) | Virtual and hidden service partition and dynamic enhanced third party data store | |
| CN109446815B (zh) | 基本输入输出系统固件的管理方法、装置和服务器 | |
| US8909940B2 (en) | Extensible pre-boot authentication | |
| US9152428B2 (en) | Alternative boot path support for utilizing non-volatile memory devices | |
| US8533845B2 (en) | Method and apparatus for controlling operating system access to configuration settings | |
| EP2656271B1 (en) | Providing a security boundary | |
| EP2652666B1 (en) | Storage drive based antimalware methods and apparatuses | |
| KR101408524B1 (ko) | 신뢰 플랫폼 모듈(tpm) 공유 방법 및 신뢰 플랫폼 모듈(tpm) 공유 시스템 | |
| US9164773B2 (en) | Deciding booting of a server based on whether its virtual initiator is currently used by another server or not | |
| US10116744B2 (en) | System and method for providing management network communication and control in a data center | |
| JP2004531004A (ja) | コンピュータのためのセキュリティシステムおよび方法 | |
| CN106155568B (zh) | 一种存储分区的方法及终端 | |
| CN107567629B (zh) | 在可信执行环境容器中的动态固件模块加载器 | |
| US20140149730A1 (en) | Systems and methods for enforcing secure boot credential isolation among multiple operating systems | |
| US11822515B2 (en) | Identifying and correlating physical devices across disconnected device stacks | |
| US20230342472A1 (en) | Computer System, Trusted Function Component, and Running Method | |
| CN114270346A (zh) | 具有可变计算机文件系统的数据存储装置 | |
| US20160019398A1 (en) | Hosting architecture | |
| CN110765471A (zh) | 一种基于微控制器的访问权能嵌入式平台及其工作方法 | |
| US20210365561A1 (en) | Overriding sub-system identifiers with protected variable values | |
| US11693934B2 (en) | Device protection using configuration lockdown mode | |
| WO2024001642A1 (zh) | Usb设备的管控方法、云端设备、终端设备及存储介质 | |
| US20220374534A1 (en) | File system protection apparatus and method in auxiliary storage device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |