用于多操作系統(tǒng)環(huán)境的介質(zhì)保護(hù)策略實(shí)施的制作方法
【專利摘要】用于介質(zhì)保護(hù)策略實(shí)施的技術(shù)包括具有多個(gè)操作系統(tǒng)以及被分區(qū)成若干區(qū)域的數(shù)據(jù)存儲(chǔ)設(shè)備的計(jì)算設(shè)備。在這些操作系統(tǒng)中的每個(gè)操作系統(tǒng)的執(zhí)行過(guò)程中�����,策略實(shí)施模塊可以攔截介質(zhì)訪問(wèn)請(qǐng)求并基于平臺(tái)介質(zhì)訪問(wèn)策略判定是否允許這些介質(zhì)訪問(wèn)請(qǐng)求�。這些介質(zhì)訪問(wèn)策略可以基于正在執(zhí)行的操作系統(tǒng)的標(biāo)識(shí)、所述數(shù)據(jù)存儲(chǔ)設(shè)備的區(qū)域���、或所請(qǐng)求的存儲(chǔ)操作來(lái)允許請(qǐng)求����。在加載選定的操作系統(tǒng)之前��,固件策略實(shí)施模塊可以確定磁盤(pán)存儲(chǔ)設(shè)備的要進(jìn)行保護(hù)免受所述選定的操作系統(tǒng)影響的區(qū)域��。所述固件策略實(shí)施模塊可以配置所述數(shù)據(jù)存儲(chǔ)設(shè)備以防止對(duì)那個(gè)區(qū)域的訪問(wèn)。這些介質(zhì)訪問(wèn)策略可以被存儲(chǔ)在一個(gè)或多個(gè)固件變量中��。對(duì)其他實(shí)施例進(jìn)行了描述并要求保護(hù)�。
【專利說(shuō)明】用于多操作系統(tǒng)環(huán)境的介質(zhì)保護(hù)策略實(shí)施
[0001] 相關(guān)美國(guó)專利申請(qǐng)的交叉引用
[0002] 本申請(qǐng)要求2014年2月6日提交的標(biāo)題為"用于雙操作系統(tǒng)環(huán)境的分區(qū)保護(hù)方案 (PARTITION PROTECTION SCHEME FOR A DUAL OS ENVIRONMENT)" 的美國(guó)臨時(shí)專利申請(qǐng)S/ N. 61/936,614以及2014年6月6日提交的標(biāo)題為"用于多操作系統(tǒng)環(huán)境的介質(zhì)保護(hù)策略實(shí) 施"的美國(guó)實(shí)用專利申請(qǐng)S/N. 14/298,312的優(yōu)先權(quán)����。
【背景技術(shù)】
[0003] -些計(jì)算設(shè)備配備由制造商安裝的多個(gè)操作系統(tǒng)。例如��,計(jì)算設(shè)備可以包括如 微軟?的胃;[11(10¥8 1¥( Microsoft?Windows?)等通用操作系統(tǒng)以及如安卓?"(Android?)等面 向移動(dòng)的操作系統(tǒng)��。在這種多操作系統(tǒng)環(huán)境中���,配備這種配置的產(chǎn)品冒著使用戶無(wú)意地刪 除不為當(dāng)前活動(dòng)的操作系統(tǒng)所擁有的"非必要"分區(qū)或干擾性數(shù)據(jù)的風(fēng)險(xiǎn)����。
[0004] 許多計(jì)算設(shè)備包括負(fù)責(zé)硬件初始化���、較低層的硬件管理以及管理引導(dǎo)進(jìn)程的固 件���。具體地,在具有多個(gè)操作系統(tǒng)的設(shè)備中,在預(yù)引導(dǎo)期間�����,平臺(tái)固件可以選擇并加載對(duì)應(yīng) 于所安裝的操作系統(tǒng)之一的引導(dǎo)目標(biāo)����。可以根據(jù)統(tǒng)一可擴(kuò)展固件接口( "UEFI")規(guī)范來(lái)實(shí)現(xiàn) 負(fù)責(zé)引導(dǎo)計(jì)算設(shè)備的主要平臺(tái)固件�����,所述規(guī)范具有由統(tǒng)一 EFI論壇發(fā)布的數(shù)個(gè)版本���。所述 UEFI規(guī)范規(guī)定了計(jì)算設(shè)備的固件與計(jì)算設(shè)備的所安裝的操作系統(tǒng)之間的接口。
【附圖說(shuō)明】
[0005] 在附圖中通過(guò)舉例而非限制的方式展示了在此所描述的概念���。為了展示的簡(jiǎn)單和 清楚��,圖中所展示的元件不一定按比例繪制���。在認(rèn)為適當(dāng)?shù)那闆r下,在附圖之間對(duì)參考標(biāo)記 加以重復(fù)以表示相應(yīng)的或相似的元件���。
[0006] 圖1是用于介質(zhì)保護(hù)策略實(shí)施的計(jì)算設(shè)備的至少一個(gè)實(shí)施例的簡(jiǎn)化框圖�����;
[0007] 圖2是圖1的系統(tǒng)的計(jì)算設(shè)備的環(huán)境的至少一個(gè)實(shí)施例的簡(jiǎn)化框圖���;
[0008] 圖3是圖1和圖2的計(jì)算設(shè)備的數(shù)據(jù)存儲(chǔ)設(shè)備的示意性分區(qū)方案的示意圖����;
[0009] 圖4是可以由圖1和圖2的計(jì)算設(shè)備執(zhí)行的用于介質(zhì)保護(hù)策略實(shí)施的方法的至少一 個(gè)實(shí)施例的簡(jiǎn)化流程圖����;
[0010] 圖5是可以由圖1和圖2的計(jì)算設(shè)備所建立的存儲(chǔ)驅(qū)動(dòng)器棧的示意圖;以及
[0011] 圖6是可以由圖1和圖2的計(jì)算設(shè)備執(zhí)行的用于介質(zhì)保護(hù)策略實(shí)施的固件方法的至 少一個(gè)實(shí)施例的簡(jiǎn)化的流程圖����。
【具體實(shí)施方式】
[0012] 雖然本公開(kāi)的概念易有多種不同修改和替代形式,但通過(guò)舉例在附圖中已經(jīng)示出 其具體實(shí)施例并且在此將對(duì)其進(jìn)行詳細(xì)描述����。然而,應(yīng)當(dāng)理解的是��,并不旨在將本公開(kāi)的概 念限制至所公開(kāi)的具體形式�����,而是相反,意圖是覆蓋與本公開(kāi)和所附權(quán)利要求書(shū)一致的所 有修改��、等效物�����、和替代物�。
[0013] 說(shuō)明書(shū)中提到"一個(gè)實(shí)施例"、"實(shí)施例"�����、"示意性實(shí)施例"等表明所描述的實(shí)施例 可以包括具體特征����、結(jié)構(gòu)、或特性����,但每個(gè)實(shí)施例可能或可能不一定包括這個(gè)具體特征�����、結(jié) 構(gòu)、或特性�。而且,這些短語(yǔ)不一定指同一實(shí)施例���。另外����,當(dāng)結(jié)合一個(gè)實(shí)施例描述一個(gè)具體特 征����、結(jié)構(gòu)或特性時(shí),應(yīng)理解���,無(wú)論是否明確描述�,結(jié)合其他實(shí)施方案來(lái)實(shí)現(xiàn)這種特征��、結(jié)構(gòu)或 特性是在本領(lǐng)域的普通技術(shù)人員的知識(shí)范圍內(nèi)���。另外����,應(yīng)當(dāng)理解���,采用"至少一個(gè)A�����、B���、和C" 形式的列表內(nèi)所包括的項(xiàng)可以指(A); (B); (C); (A和B); (B和C);或(A�、B�����、和C)�。類似地,"至 少一個(gè)A����、B、和或C"形式的列表內(nèi)所包括的項(xiàng)可以指(A); (B); (C); (A和B); (B和C);或(A��、B���、 和C)〇
[0014] 在某些情況下,可以采用硬件����、固件���、軟件、或其任意組合來(lái)實(shí)現(xiàn)所公開(kāi)的實(shí)施例��。 所公開(kāi)的實(shí)施例還可以實(shí)現(xiàn)為瞬態(tài)或非瞬態(tài)機(jī)器可讀(例如�,計(jì)算機(jī)可讀)存儲(chǔ)介質(zhì)所攜帶 或其上所存儲(chǔ)的指令,這些指令可以由一個(gè)或多個(gè)處理器讀取和執(zhí)行�。機(jī)器可讀存儲(chǔ)介質(zhì) 可以實(shí)施為任何存儲(chǔ)設(shè)備、機(jī)制���、或其他用于存儲(chǔ)或傳輸采用機(jī)器可讀形式的信息的物理 結(jié)構(gòu)(例如�����,易失性或非易失性存儲(chǔ)器��、介質(zhì)硬盤(pán)�、或其他介質(zhì)設(shè)備)��。
[0015] 在附圖中�����,某些結(jié)構(gòu)性特征或方法特征可以以特定的排列和/或順序示出。然而���, 應(yīng)當(dāng)理解的是����,可能不需要這種特定安排和/或順序����。反而,在某些實(shí)施例中����,此類特征能夠 以與示意圖附圖中所示的相比不同的方式和/或順序安排。另外����,在具體的圖中包括結(jié)構(gòu)性 特征或方法特征并不意味著暗示在所有的實(shí)施例中都需要這個(gè)特征,并且在某種實(shí)施例 中�����,可以不包括這個(gè)特征或者這個(gè)特征可以與其他特征組合�。
[0016] 現(xiàn)在參照?qǐng)D1,在一個(gè)實(shí)施例中,計(jì)算設(shè)備100可以引導(dǎo)多個(gè)操作系統(tǒng)����、在它們之間 切換(toggle)�、或以其他方式執(zhí)行這些操作系統(tǒng)。計(jì)算設(shè)備100還可以包括數(shù)據(jù)存儲(chǔ)裝置�����, 所述數(shù)據(jù)存儲(chǔ)裝置被分區(qū)或以其他方式被劃分成可以被指定給這些操作系統(tǒng)中的每一個(gè) 的部分��。計(jì)算設(shè)備1〇〇根據(jù)一個(gè)或多個(gè)平臺(tái)介質(zhì)訪問(wèn)策略來(lái)控制對(duì)數(shù)據(jù)存儲(chǔ)分區(qū)的訪問(wèn)�����,所 述平臺(tái)介質(zhì)訪問(wèn)策略可以由平臺(tái)制造商建立�����,或者在某些實(shí)施例中由最終用戶配置�����。在某 些實(shí)施例中��,在執(zhí)行的過(guò)程中����,計(jì)算設(shè)備100可以攔截介質(zhì)訪問(wèn)請(qǐng)求并且基于介質(zhì)訪問(wèn)策略 判定是允許還是否定這些請(qǐng)求��。另外或可替代地�,在某些實(shí)施例中���,在引導(dǎo)操作系統(tǒng)之前�����, 計(jì)算設(shè)備100可以通過(guò)基于介質(zhì)訪問(wèn)策略配置數(shù)據(jù)存儲(chǔ)控制器來(lái)保護(hù)各個(gè)數(shù)據(jù)存儲(chǔ)分區(qū)��。 實(shí)施介質(zhì)訪問(wèn)策略可以保護(hù)計(jì)算設(shè)備100免于不受當(dāng)前運(yùn)行的操作系統(tǒng)控制的��、對(duì)數(shù)據(jù)分 區(qū)的用戶修改所導(dǎo)致的意外(或惡意)損壞����。相應(yīng)的����,實(shí)施介質(zhì)訪問(wèn)策略可以改善用戶體驗(yàn) 和/或減少制造商支持成本,同時(shí)允許制造商推出具有多個(gè)操作系統(tǒng)的設(shè)備����。
[0017] 計(jì)算設(shè)備100可以實(shí)施為用于執(zhí)行在此所描述的功能的任何類型的設(shè)備��。例如����,計(jì) 算設(shè)備100可以非限制性地實(shí)施為(但不限于)智能電話��、平板計(jì)算機(jī)���、膝上計(jì)算機(jī)、筆記本 計(jì)算機(jī)���、移動(dòng)計(jì)算設(shè)備���、蜂窩電話、手機(jī)�����、消息傳送設(shè)備�、可穿戴計(jì)算設(shè)備、車載通信設(shè)備����、臺(tái) 式計(jì)算機(jī)�����、服務(wù)器計(jì)算機(jī)��、工作站���、分布式計(jì)算系統(tǒng)、多處理器系統(tǒng)�����、消費(fèi)電子設(shè)備�����、和/或任 何其他被配置成執(zhí)行在此所描述的功能的計(jì)算設(shè)備���。如圖1中所示�����,示意性計(jì)算設(shè)備100包 括處理器120���、輸入/輸出子系統(tǒng)122��、存儲(chǔ)器124��、和數(shù)據(jù)存儲(chǔ)設(shè)備126����。當(dāng)然��,在其他實(shí)施例 中���,計(jì)算設(shè)備100可以包括其他或附加部件,如移動(dòng)式和/或固定式計(jì)算機(jī)中一般都存在的 那些(例如�,各種輸入/輸出設(shè)備)。另外���,在某些實(shí)施例中���,這些示意性部件中的一個(gè)或多個(gè) 可以結(jié)合在另一部件中,或另外形成其一部分��。例如��,在某些實(shí)施例中,存儲(chǔ)器124���、或其多 個(gè)部分可以結(jié)合在處理器120中����。
[0018] 處理器120可以實(shí)施為能夠執(zhí)行在此所描述的功能的任何類型的處理器��。例如���,處 理器120可以實(shí)施為單個(gè)或多核處理器�、數(shù)字信號(hào)處理器����、微控制器、或其他處理器或處理/ 控制電路�����。類似地����,存儲(chǔ)器124可以實(shí)施為能夠執(zhí)行在此所述功能的任何類型的易失性或非 易失性存儲(chǔ)器或數(shù)據(jù)儲(chǔ)存器。在運(yùn)行中����,存儲(chǔ)器124可以存儲(chǔ)在計(jì)算設(shè)備100的運(yùn)行過(guò)程中 所使用的各種數(shù)據(jù)和軟件�,如操作系統(tǒng)��、應(yīng)用��、程序��、函數(shù)庫(kù)�����、和驅(qū)動(dòng)器��。存儲(chǔ)器124通過(guò)I/O 子系統(tǒng)122通信連接至處理器120,該子系統(tǒng)可以實(shí)施為電路和/或部件以方便處理器120��、 存儲(chǔ)器124����、和計(jì)算設(shè)備100的其他部件的輸入/輸出操作�����。例如�,I/O子系統(tǒng)122可以實(shí)施為����、 或另外包括存儲(chǔ)器控制器集線器���、輸入/輸出控制集線器�、固件設(shè)備�、通信鏈路(即,點(diǎn)到點(diǎn) 的鏈路�、總線鏈路、導(dǎo)線��、電纜�、光導(dǎo)、印刷電路板跡線等)和/或其他部件及子系統(tǒng)��,從而便 于輸入/輸出操作���。在某些實(shí)施例中�,I/O子系統(tǒng)122可以形成片上系統(tǒng)("SoC")的一部分并 且與處理器120��、存儲(chǔ)器124����、以及計(jì)算設(shè)備100的其他部件一起被整合在單個(gè)集成電路芯片 上�����。
[0019] 數(shù)據(jù)存儲(chǔ)設(shè)備126可以實(shí)施為被配置成用于短期或長(zhǎng)期數(shù)據(jù)存儲(chǔ)的任何類型的設(shè) 備����,例如存儲(chǔ)器設(shè)備和電路��、存儲(chǔ)卡���、硬盤(pán)驅(qū)動(dòng)����、固態(tài)啟動(dòng)��、或其他數(shù)據(jù)存儲(chǔ)設(shè)備�����。數(shù)據(jù)存儲(chǔ) 設(shè)備126可以在邏輯上被分成若干分區(qū)����。例如�,數(shù)據(jù)存儲(chǔ)設(shè)備126可以包括存儲(chǔ)用于計(jì)算設(shè) 備100的數(shù)據(jù)和固件代碼的系統(tǒng)分區(qū)�����。數(shù)據(jù)存儲(chǔ)設(shè)備126還可以包括存儲(chǔ)用于計(jì)算設(shè)備100 的每個(gè)操作系統(tǒng)的數(shù)據(jù)文件和可執(zhí)行文件的若干操作系統(tǒng)分區(qū)�。另外�,數(shù)據(jù)存儲(chǔ)設(shè)備126包 括控制器128??刂破?28可以實(shí)施為微控制器、微處理器��、或能夠控制或使能由計(jì)算設(shè)備 100的剩余部分訪問(wèn)數(shù)據(jù)存儲(chǔ)設(shè)備126的任何其他控制邏輯���。在某些實(shí)施例中���,控制器128可 能能夠拒絕對(duì)具體邏輯塊地址、扇區(qū)���、磁軌����、或數(shù)據(jù)存儲(chǔ)設(shè)備126內(nèi)的其他地址范圍的訪問(wèn)���。 應(yīng)當(dāng)注意的是����,雖然示意性計(jì)算設(shè)備100包括分成多個(gè)邏輯分區(qū)的單個(gè)數(shù)據(jù)存儲(chǔ)設(shè)備126, 但本公開(kāi)還適用于包括多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)備126的計(jì)算設(shè)備100�。
[0020] 計(jì)算設(shè)備100進(jìn)一步包括通信電路130,所述通信電路可以實(shí)施為任何通信電路、 設(shè)備�����、或其能夠使能計(jì)算設(shè)備100與其他遠(yuǎn)端設(shè)備之間的通信的集合�。通信電路130可以被 配置成使用任何一種或多種通信技術(shù)(例如,無(wú)線或有線通信)以及相關(guān)聯(lián)的協(xié)議(例如���,以 太網(wǎng)�、藍(lán)牙?�、Wi-Fi?、WiMAX等)來(lái)實(shí)現(xiàn)這種通信���。通信電路130可以實(shí)現(xiàn)為網(wǎng)絡(luò)適配器��, 包括無(wú)線網(wǎng)絡(luò)適配器�����。
[0021] 計(jì)算設(shè)備100還包括非易失性("NV")存儲(chǔ)裝置132 AV存儲(chǔ)裝置132可以實(shí)施為被 配置成用于當(dāng)計(jì)算設(shè)備100掉電或與電源斷開(kāi)連接時(shí)持續(xù)性存儲(chǔ)數(shù)據(jù)的任何設(shè)備�。在示意 性實(shí)施例中����,NV存儲(chǔ)裝置132是快閃存儲(chǔ)器芯片。在其他實(shí)施例中��,NV存儲(chǔ)裝置132可以實(shí)施 為與備份電池耦聯(lián)的少量互補(bǔ)金屬氧化物半導(dǎo)體(CMOS)存儲(chǔ)器或其他非易失性存儲(chǔ)器�����。NV 存儲(chǔ)裝置132可以用于為計(jì)算設(shè)備100存儲(chǔ)平臺(tái)固件�,以及固件配置變量,如配置設(shè)置�����、引導(dǎo) 目標(biāo)�、以及在重新引導(dǎo)之后應(yīng)該留存的其他信息。NV存儲(chǔ)裝置132與數(shù)據(jù)存儲(chǔ)設(shè)備126相比 通常具有相對(duì)小的存儲(chǔ)容量���,但在預(yù)引導(dǎo)固件執(zhí)行環(huán)境的過(guò)程中是計(jì)算設(shè)備1〇〇在初始引 導(dǎo)時(shí)可用的����。在某些實(shí)施例中,NV存儲(chǔ)裝置132可以被結(jié)合到計(jì)算設(shè)備100的一個(gè)或多個(gè)其 他部件中���,例如I/O結(jié)合到子系統(tǒng)122中���。
[0022] 在某些實(shí)施例中,計(jì)算設(shè)備100還可以包括安全處理器134���。安全處理器134可以實(shí) 施為被配置成用于增強(qiáng)計(jì)算設(shè)備100的安全性和/或可信度的任何硬件或相關(guān)聯(lián)的固件或 軟件例如���,安全處理器134可以實(shí)施為可信平臺(tái)模塊("TPM")。在某些實(shí)施例中���,安全處理器 134可以形成I/O子系統(tǒng)122的一部分�����。安全處理器134可以用于對(duì)計(jì)算設(shè)備100的平臺(tái)固件 變量或其他配置數(shù)據(jù)進(jìn)行安全認(rèn)證和/或驗(yàn)證�。
[0023]現(xiàn)在參照?qǐng)D2,在某些實(shí)施例中��,計(jì)算設(shè)備100在操作過(guò)程中建立環(huán)境200��。示意性 環(huán)境200包括平臺(tái)固件202和許多操作系統(tǒng)210�����。示意性環(huán)境200包括兩個(gè)操作系統(tǒng)210a和 210b;然而,在其他實(shí)施例中�����,可以包括附加操作系統(tǒng)210���。
[0024]平臺(tái)固件202包括引導(dǎo)選項(xiàng)模塊204、策略管理模塊206��、以及策略實(shí)施模塊208�。平 臺(tái)固件202的各個(gè)模塊可以實(shí)施為硬件、固件���、軟件���、或上述各項(xiàng)的組合。引導(dǎo)選項(xiàng)模塊204 被配置成用于在預(yù)引導(dǎo)固件環(huán)境中執(zhí)行����。引導(dǎo)選項(xiàng)模塊204從所安裝的這些操作系統(tǒng)210當(dāng) 中選擇操作系統(tǒng)210,并加載所選擇的操作系統(tǒng)210。引導(dǎo)選項(xiàng)模塊204可以按照UEFI規(guī)范所 規(guī)定的那樣選擇并加載引導(dǎo)目標(biāo)�����。
[0025]策略管理模塊206被配置成用于存儲(chǔ)、管理���、和控制對(duì)一個(gè)或多個(gè)介質(zhì)訪問(wèn)策略 214的訪問(wèn)�����。介質(zhì)訪問(wèn)策略214可以針對(duì)對(duì)數(shù)據(jù)存儲(chǔ)設(shè)備126的分區(qū)的訪問(wèn)來(lái)定義平臺(tái)特定 規(guī)則�,包括是否啟用介質(zhì)訪問(wèn)保護(hù)��、是否拒絕不擁有一個(gè)分區(qū)的操作系統(tǒng)210訪問(wèn)這個(gè)分 區(qū)����、是否選擇性地允許不擁有一個(gè)分區(qū)的操作系統(tǒng)210訪問(wèn)這個(gè)分區(qū)、是否允許訪問(wèn)共享分 區(qū)�����、以及其他訪問(wèn)規(guī)則�����?���?梢杂糜?jì)算設(shè)備100的任何非易失性儲(chǔ)存器來(lái)實(shí)施介質(zhì)訪問(wèn)策略 214����。例如���,在某些實(shí)施例中,介質(zhì)訪問(wèn)策略214可以實(shí)施為NV存儲(chǔ)裝置132中所存儲(chǔ)的一個(gè) 或多個(gè)固件變量��。策略管理模塊206可以被配置成允許當(dāng)前執(zhí)行的操作系統(tǒng)210訪問(wèn)介質(zhì)訪 問(wèn)策略214����,例如通過(guò)按照UEFI規(guī)范所規(guī)定的那樣來(lái)建立固件變量接口。在某些實(shí)施例中��, 策略管理模塊206可以被配置成用于驗(yàn)證�、認(rèn)證、或以其他方式保衛(wèi)對(duì)介質(zhì)訪問(wèn)策略214的 訪問(wèn)�����。例如���,策略管理模塊206可以將介質(zhì)訪問(wèn)策略214存儲(chǔ)為一個(gè)或多個(gè)UEFI認(rèn)證的變量 (如UEFI論壇所公布的UEFI規(guī)范所描述的)���,或如可信計(jì)算組織(Trusted Computing Group)所公布的TPM規(guī)范所描述的可信平臺(tái)模塊(TPM) NV數(shù)據(jù)�。
[0026]平臺(tái)固件202的策略實(shí)施模塊208被配置成用于對(duì)數(shù)據(jù)存儲(chǔ)設(shè)備126的將受到保護(hù) 免受所選擇的操作系統(tǒng)210影響的一個(gè)或多個(gè)區(qū)域進(jìn)行標(biāo)識(shí)����。例如,策略實(shí)施模塊208可以 確定不同的操作系統(tǒng)210所擁有的將受到保護(hù)免受所選擇的操作系統(tǒng)210的影響的分區(qū)��。策 略實(shí)施模塊208將配置數(shù)據(jù)存儲(chǔ)設(shè)備126以防止在操作系統(tǒng)210被引導(dǎo)之前對(duì)受保護(hù)的一個(gè) 或多個(gè)區(qū)域的訪問(wèn)�����。例如��,策略實(shí)施模塊208可以編程�����、配置�����、或以其他方式引導(dǎo)數(shù)據(jù)存儲(chǔ)設(shè) 備126的控制器128來(lái)防止對(duì)某些存儲(chǔ)地址或存儲(chǔ)地址范圍的訪問(wèn)����。
[0027]每一個(gè)操作系統(tǒng)210都包括策略實(shí)施模塊212���。每個(gè)策略實(shí)施模塊212可以實(shí)施為 硬件、固件��、軟件��、或上述各項(xiàng)的組合�。每個(gè)策略實(shí)施模塊212被配置成用于攔截在操作系統(tǒng) 210的執(zhí)行過(guò)程中下發(fā)的介質(zhì)訪問(wèn)請(qǐng)求、基于介質(zhì)訪問(wèn)策略214判定是否允許所述介質(zhì)訪問(wèn) 請(qǐng)求��、并且然后視情況而定允許或拒絕所述介質(zhì)訪問(wèn)請(qǐng)求�����。每個(gè)介質(zhì)訪問(wèn)請(qǐng)求可以指定存 儲(chǔ)操作(例如����,讀���、寫(xiě)���、創(chuàng)建、刪除���、統(tǒng)計(jì)等)和存儲(chǔ)地址或地址范圍����。策略實(shí)施模塊212可以基 于以下各項(xiàng)的任意組合來(lái)判定是允許還是拒絕介質(zhì)訪問(wèn)請(qǐng)求:當(dāng)前執(zhí)行的操作系統(tǒng)210的 標(biāo)識(shí);數(shù)據(jù)存儲(chǔ)設(shè)備126的受影響的區(qū)域的標(biāo)識(shí)、格式�、或歸屬;指定的存儲(chǔ)操作;或由介質(zhì) 訪問(wèn)策略214所指定的任何其他標(biāo)準(zhǔn)。在某些實(shí)施例中��,策略實(shí)施模塊212可以實(shí)施為嵌入 操作系統(tǒng)210的存儲(chǔ)驅(qū)動(dòng)器棧的過(guò)濾器驅(qū)動(dòng)器��,如下文結(jié)合圖4和圖5進(jìn)一步描述的�����。
[0028]現(xiàn)在參照?qǐng)D3,示意圖300展示了計(jì)算設(shè)備100可以采用的對(duì)數(shù)據(jù)存儲(chǔ)設(shè)備126的分 區(qū)方案的一個(gè)實(shí)施例����。當(dāng)然,在許多實(shí)施例中�����,數(shù)據(jù)存儲(chǔ)設(shè)備126可以包括不同數(shù)量或類型 的分區(qū)和/或不同的分區(qū)方案��。在示意性示例中,數(shù)據(jù)存儲(chǔ)設(shè)備126可以包括若干塊�����,這些塊 分別是通過(guò)邏輯塊地址("LBA")可單獨(dú)尋址的�����。每個(gè)LBA可以實(shí)施為在零至數(shù)據(jù)存儲(chǔ)設(shè)備 126的最大塊數(shù)范圍內(nèi)的簡(jiǎn)單整數(shù)�。每個(gè)塊可以包括預(yù)定量的數(shù)據(jù),如512字節(jié)的數(shù)據(jù)或 4096字節(jié)的數(shù)據(jù)�。示意性數(shù)據(jù)存儲(chǔ)設(shè)備126被分成分區(qū)表302和三個(gè)數(shù)據(jù)分區(qū)314、316�、318。 [0029]分區(qū)表302開(kāi)始于數(shù)據(jù)存儲(chǔ)設(shè)備126的第一塊中�,即具有為零的LBA的塊中。示意性 分區(qū)表302包括保護(hù)性主引導(dǎo)記錄(叩1?礦)304���、分區(qū)表頭306、和若干分區(qū)表項(xiàng)308�。?1?1? 304可以出于兼容性目的而實(shí)施為數(shù)據(jù)存儲(chǔ)設(shè)備126的第一塊(即�����,LBA零)內(nèi)所包括的遺留 主引導(dǎo)記錄。在數(shù)據(jù)存儲(chǔ)設(shè)備126的第二塊(例如�����,LBA-)處開(kāi)始的分區(qū)表頭306可以定義分 區(qū)表302的尺寸���、類型�����、和其他屬性��。每個(gè)分區(qū)表項(xiàng)308可以定義分區(qū)314�、316�����、318的位置��、尺 寸���、類型����、和其他屬性。例如�����,每個(gè)分區(qū)表項(xiàng)308可以包括指針��,所述指針包含對(duì)應(yīng)于每一個(gè) 數(shù)據(jù)分區(qū)314��、316�����、318的開(kāi)始和結(jié)束的LBA��。示意性指針310�����、312包括分別對(duì)應(yīng)于分區(qū)314的 起始地址和結(jié)束地址的LBA值�。分區(qū)表項(xiàng)308可以進(jìn)一步包括對(duì)應(yīng)于分區(qū)316、318的指針���,為 了清晰起見(jiàn)從圖300中省略了這些指針。作為另一個(gè)示例�����,每個(gè)分區(qū)表項(xiàng)308可以包括對(duì)應(yīng) 于相關(guān)聯(lián)的數(shù)據(jù)分區(qū)314、316�、318的類型的全局唯一標(biāo)識(shí)符。數(shù)據(jù)分區(qū)類型可以指示什么 操作系統(tǒng)210a�����、210b擁有數(shù)據(jù)分區(qū)314�、316、318�����。
[0030]每個(gè)數(shù)據(jù)分區(qū)可以為具體的操作系統(tǒng)210所擁有或者由多個(gè)操作系統(tǒng)210共享�。在 示意性示例中,分區(qū)314為操作系統(tǒng)210a所擁有��,分區(qū)316為操作系統(tǒng)210b所擁有�����,并且分區(qū) 318由兩個(gè)操作系統(tǒng)210a��、210b共享�。例如,認(rèn)為操作系統(tǒng)210a是微軟?Windows?并且操作 系統(tǒng)210b是安卓����。在這個(gè)示例中,分區(qū)314可以實(shí)施為Windows數(shù)據(jù)分區(qū)��,分區(qū)316可以實(shí)施 為安卓系統(tǒng)分區(qū)��,并且分區(qū)318可以實(shí)施為由Windows?和安卓共享的數(shù)據(jù)分區(qū)���。
[0031] 如下文進(jìn)一步描述的�,計(jì)算設(shè)備100可以基于介質(zhì)訪問(wèn)策略214控制對(duì)分區(qū)表302 和/或分區(qū)314��、316�����、318的訪問(wèn)�。例如,介質(zhì)訪問(wèn)策略214可以指示是否應(yīng)該啟用介質(zhì)訪問(wèn)保 護(hù)���。如果已啟用,在某些實(shí)施例中��,介質(zhì)訪問(wèn)策略214可以規(guī)定操作系統(tǒng)210僅可以訪問(wèn)為操 作系統(tǒng)210所擁有的或者與操作系統(tǒng)210共享的分區(qū)��。在示意性示例中���,可以允許操作系統(tǒng) 210a訪問(wèn)分區(qū)314�、318而不是分區(qū)316,并且可以允許操作系統(tǒng)210b訪問(wèn)分區(qū)316����、318而不 是分區(qū)314。作為另一示例�����,可以拒絕兩個(gè)操作系統(tǒng)210a��、210b對(duì)分區(qū)表302的訪問(wèn)�。另外或 可替代地,在某些實(shí)施例中���,介質(zhì)訪問(wèn)策略214可以允許操作系統(tǒng)210對(duì)不為此操作系統(tǒng)210 所擁有的分區(qū)的選擇性或只讀訪問(wèn)��。在示意性示例中��,可以允許操作系統(tǒng)210a對(duì)分區(qū)316進(jìn) 行只讀訪問(wèn)����,并且可以允許操作系統(tǒng)210b對(duì)分區(qū)318進(jìn)行只讀訪問(wèn)��。當(dāng)然���,這些介質(zhì)訪問(wèn)策 略214僅僅是不意性的��,并且在其他實(shí)施例中可以米取其他策略��。
[0032] 現(xiàn)在參照?qǐng)D4,在使用中���,計(jì)算設(shè)備100可以執(zhí)行用于介質(zhì)保護(hù)策略實(shí)施的方法 400。方法400開(kāi)始于方框402,在所述方框中�����,計(jì)算設(shè)備100引導(dǎo)操作系統(tǒng)210����。如下文結(jié)合圖 6進(jìn)一步描述的,計(jì)算設(shè)備100可以從預(yù)引導(dǎo)固件執(zhí)行環(huán)境中選擇有待引導(dǎo)的操作系統(tǒng)210���。 可以例如通過(guò)調(diào)用UEFI函數(shù)ExitBootServicesO來(lái)終止所述固件執(zhí)行環(huán)境�。在引導(dǎo)所述操 作系統(tǒng)210之后,計(jì)算設(shè)備100受操作系統(tǒng)210的控制�����。在某些實(shí)施例中�,在引導(dǎo)所述操作系 統(tǒng)210之后�,平臺(tái)固件202仍然可以提供有限的服務(wù)。例如��,平臺(tái)固件202可以提供對(duì)在NV存 儲(chǔ)裝置132中所保持的固件變量的只讀訪問(wèn)��。
[0033]在方框404中�����,計(jì)算設(shè)備100可以加載策略實(shí)施模塊212�����。如上文所描述的����,每個(gè)操 作系統(tǒng)210可以被配置成用于加載具體的策略實(shí)施模塊212。計(jì)算設(shè)備100可以使用任何技 術(shù)來(lái)準(zhǔn)備策略實(shí)施模塊212用于監(jiān)測(cè)和/或攔截介質(zhì)訪問(wèn)請(qǐng)求�����,如加載內(nèi)核驅(qū)動(dòng)模塊或加載 用戶模式可執(zhí)行文件��。在某些實(shí)施例中��,在方框406中����,計(jì)算設(shè)備100可以在操作系統(tǒng)210的 存儲(chǔ)驅(qū)動(dòng)器棧中加載策略實(shí)施模塊212作為過(guò)濾器驅(qū)動(dòng)器���。圖5中示出了包括多個(gè)過(guò)濾器驅(qū) 動(dòng)器的示意性存儲(chǔ)驅(qū)動(dòng)器棧500。
[0034]許多操作系統(tǒng)210通過(guò)分層的存儲(chǔ)棧訪問(wèn)數(shù)據(jù)存儲(chǔ)設(shè)備126,其中�,每一層負(fù)責(zé)數(shù) 據(jù)存儲(chǔ)設(shè)備126的具體抽象層。示意性存儲(chǔ)驅(qū)動(dòng)器棧500從最高層到最低層包括應(yīng)用502�����、較 高層過(guò)濾器驅(qū)動(dòng)器504��、存儲(chǔ)類驅(qū)動(dòng)器506����、較低層過(guò)濾器驅(qū)動(dòng)器508、以及存儲(chǔ)端口驅(qū)動(dòng)器 510��。應(yīng)用502可以實(shí)施為用戶層應(yīng)用��、內(nèi)核進(jìn)程���、較高層驅(qū)動(dòng)器���、或其他可以訪問(wèn)數(shù)據(jù)存儲(chǔ) 設(shè)備126上的數(shù)據(jù)的進(jìn)程。應(yīng)用502向存儲(chǔ)棧的較低層成員下發(fā)介質(zhì)訪問(wèn)請(qǐng)求�。例如,應(yīng)用 502可以使用文件存取API���、塊存取API�、或由操作系統(tǒng)210所建立的任何其他存儲(chǔ)接口來(lái)下 發(fā)請(qǐng)求�����。
[0035]存儲(chǔ)類驅(qū)動(dòng)器506可以接收源自應(yīng)用502的介質(zhì)訪問(wèn)請(qǐng)求并且將所述介質(zhì)訪問(wèn)請(qǐng) 求轉(zhuǎn)換成較低層請(qǐng)求�,例如轉(zhuǎn)換成在邏輯塊地址方面指定存儲(chǔ)地址的請(qǐng)求。操作系統(tǒng)210可 以為計(jì)算設(shè)備1〇〇可使用的每個(gè)類型的數(shù)據(jù)存儲(chǔ)設(shè)備126建立存儲(chǔ)類驅(qū)動(dòng)器506,例如為每 個(gè)磁盤(pán)、可移動(dòng)光盤(pán)���、磁帶驅(qū)動(dòng)器��、或其他設(shè)備類型建立存儲(chǔ)類驅(qū)動(dòng)器506��。存儲(chǔ)端口驅(qū)動(dòng)器 510可以接收源自存儲(chǔ)類驅(qū)動(dòng)器506的較低層介質(zhì)訪問(wèn)請(qǐng)求�,并將所述介質(zhì)訪問(wèn)請(qǐng)求轉(zhuǎn)換成 可以經(jīng)適當(dāng)?shù)幕ミB總線被傳輸至數(shù)據(jù)存儲(chǔ)設(shè)備126的較低層介質(zhì)訪問(wèn)請(qǐng)求���。例如�����,存儲(chǔ)端口 驅(qū)動(dòng)器510可以生成適用于由數(shù)據(jù)存儲(chǔ)設(shè)備126所實(shí)現(xiàn)的具體總線協(xié)議的介質(zhì)訪問(wèn)請(qǐng)求���。操 作系統(tǒng)210可以為可將數(shù)據(jù)存儲(chǔ)設(shè)備126附接至計(jì)算設(shè)備100的每個(gè)互連總線(例如,為ATA 總線���、SCSI總線����、或USB總線)建立存儲(chǔ)端口驅(qū)動(dòng)器510�����。
[0036]過(guò)濾器驅(qū)動(dòng)器504、508可以攔截從存儲(chǔ)驅(qū)動(dòng)器棧的較高層成員下發(fā)的介質(zhì)訪問(wèn)請(qǐng) 求���。在攔截之后��,過(guò)濾器驅(qū)動(dòng)器504��、508可以允許經(jīng)攔截的介質(zhì)訪問(wèn)請(qǐng)求通過(guò)而去往存儲(chǔ)驅(qū) 動(dòng)器棧的較低層成員�、在將它們傳遞至存儲(chǔ)棧的較低層成員之前對(duì)所述介質(zhì)訪問(wèn)請(qǐng)求進(jìn)行 修改�����、或者通過(guò)向存儲(chǔ)驅(qū)動(dòng)器棧的較高層成員返回錯(cuò)誤來(lái)拒絕所述介質(zhì)訪問(wèn)請(qǐng)求�。通常�,每 個(gè)過(guò)濾器驅(qū)動(dòng)器504、508可以實(shí)現(xiàn)與存儲(chǔ)驅(qū)動(dòng)器棧的另一個(gè)其他成員相同的接口���,從而允 許將功能透明地添加至存儲(chǔ)驅(qū)動(dòng)器棧�。在示意性實(shí)施例中�����,策略實(shí)施模塊212被實(shí)現(xiàn)為較低 層過(guò)濾器驅(qū)動(dòng)器508。因而����,策略實(shí)施模塊212可以攔截包括每個(gè)請(qǐng)求的邏輯塊地址的較低 層介質(zhì)訪問(wèn)請(qǐng)求。另外或可替代地���,在其他實(shí)施例中����,策略實(shí)施模塊212可以被實(shí)施在存儲(chǔ) 驅(qū)動(dòng)器棧的在應(yīng)用502以下的任何一層中��,即���,實(shí)施為較高層過(guò)濾器驅(qū)動(dòng)器504��、存儲(chǔ)類驅(qū)動(dòng) 器506�、較低層過(guò)濾器驅(qū)動(dòng)器508����、和/或存儲(chǔ)端口驅(qū)動(dòng)器510或其一部分。
[0037]返回參照?qǐng)D4,在加載策略實(shí)施模塊212之后��,在方框408中�,計(jì)算設(shè)備100運(yùn)行所選 擇的操作系統(tǒng)210和任何相關(guān)聯(lián)的應(yīng)用502�����。在方框410中���,計(jì)算設(shè)備100監(jiān)測(cè)介質(zhì)訪問(wèn)請(qǐng)求。 介質(zhì)訪問(wèn)請(qǐng)求可以指定存儲(chǔ)操作(例如��,讀����、寫(xiě)、創(chuàng)建文件或塊�����、刪除文件或塊���、請(qǐng)求信息等) 以及與所述存儲(chǔ)操作相關(guān)聯(lián)的具體存儲(chǔ)地址或存儲(chǔ)地址范圍(例如,一個(gè)或多個(gè)邏輯塊地 址)�����。所述介質(zhì)訪問(wèn)請(qǐng)求可以由任何應(yīng)用����、進(jìn)程���、線程、較高層驅(qū)動(dòng)器��、或在計(jì)算設(shè)備100上執(zhí) 行的其他實(shí)體生成�。所述介質(zhì)訪問(wèn)請(qǐng)求可以例如由交互式應(yīng)用響應(yīng)于用戶請(qǐng)求而生成,或 者可以在沒(méi)有用戶交互的情況下生產(chǎn)�����。如上文所描述的���,當(dāng)所述介質(zhì)訪問(wèn)請(qǐng)求穿過(guò)存儲(chǔ)驅(qū) 動(dòng)器棧行進(jìn)時(shí)����,可以例如由過(guò)濾器驅(qū)動(dòng)器504����、508所攔截。在方框412中��,計(jì)算設(shè)備100判定 是否已經(jīng)接收到任何介質(zhì)訪問(wèn)請(qǐng)求�。如果沒(méi)有���,方法400環(huán)回至方框410,以繼續(xù)監(jiān)測(cè)介質(zhì)訪 問(wèn)請(qǐng)求。如果已經(jīng)接收到一個(gè)或多個(gè)介質(zhì)訪問(wèn)請(qǐng)求����,方法400前進(jìn)至方框414��。
[0038] 在方框414中���,計(jì)算設(shè)備100判定介質(zhì)訪問(wèn)請(qǐng)求是否被介質(zhì)訪問(wèn)策略214所允許�。在 某些實(shí)施例中���,在方框416中��,計(jì)算設(shè)備100可以使用平臺(tái)固件202檢索一個(gè)或多個(gè)所述介質(zhì) 訪問(wèn)策略214���。例如,可以使用NV存儲(chǔ)裝置132將介質(zhì)訪問(wèn)策略214作為一個(gè)或多個(gè)固件變量 進(jìn)行存儲(chǔ)�。計(jì)算設(shè)備100可以使用由平臺(tái)固件202所提供的運(yùn)行時(shí)間固件變量接口來(lái)訪問(wèn)那 些固件變量。在某些實(shí)施例中��,介質(zhì)訪問(wèn)策略214可以實(shí)施為加密的���、帶符號(hào)的�����、或另外安全 的固件變量���。例如,可以將介質(zhì)訪問(wèn)策略214實(shí)施為一個(gè)或多個(gè)如UEFI規(guī)范所規(guī)定的UEFI認(rèn) 證變量�。
[0039] 保護(hù)或以其他方式認(rèn)證對(duì)介質(zhì)訪問(wèn)策略214的訪問(wèn)可以允許在設(shè)備100被提供給 最終用戶之后設(shè)備供應(yīng)商保留對(duì)計(jì)算設(shè)備100的配置變化的控制。例如�����,考慮這樣一個(gè)實(shí)施 例:其中����,介質(zhì)訪問(wèn)策略214被作為固件變量存儲(chǔ)在NV存儲(chǔ)裝置132中。在這個(gè)示例中�,可以 僅通過(guò)由平臺(tái)固件202所提供的物理存在的本地用戶界面如圖形BIOS系統(tǒng))來(lái)修改 介質(zhì)訪問(wèn)策略214。因而����,平臺(tái)固件202可以提供對(duì)介質(zhì)訪問(wèn)策略214的存在證明合格的配 置。在此類實(shí)施例中����,平臺(tái)固件202可以在執(zhí)行不受信任的固件驅(qū)動(dòng)器����、固件應(yīng)用���、選項(xiàng)R0M����、 或操作系統(tǒng)加載器之前鎖定介質(zhì)訪問(wèn)策略214����。因而,在那些實(shí)施例中�����,在預(yù)引導(dǎo)固件執(zhí)行 環(huán)境的不受信任的部分的過(guò)程中(例如����,在UEFI驅(qū)動(dòng)器執(zhí)行環(huán)境("DXE")結(jié)束之后)以及在 不受信任的操作系統(tǒng)210運(yùn)行時(shí)間過(guò)程中,介質(zhì)訪問(wèn)策略214可以是只讀的���。
[0040] 作為另一示例�����,考慮這樣一個(gè)實(shí)施了:其中���,介質(zhì)訪問(wèn)策略214被作為經(jīng)認(rèn)證的固 件變量存儲(chǔ)在NV存儲(chǔ)裝置132中,例如作為帶有經(jīng)認(rèn)證的寫(xiě)屬性位的UEFI變量��。在這個(gè)示例 中�,可以在不受信任的操作系統(tǒng)210的執(zhí)行過(guò)程中在運(yùn)行時(shí)間對(duì)介質(zhì)訪問(wèn)策略214進(jìn)行訪問(wèn) 和更新。然而�,只有經(jīng)認(rèn)證的用戶或其他實(shí)體可以允許對(duì)介質(zhì)訪問(wèn)策略214的更新。在這些 實(shí)施例中���,可以使用公鑰加密來(lái)認(rèn)證�����、驗(yàn)證����、或以其他方式保護(hù)介質(zhì)訪問(wèn)策略214,例如通過(guò) 使用創(chuàng)建者的公鑰/私鑰對(duì)來(lái)對(duì)經(jīng)認(rèn)證的固件變量進(jìn)行簽名����。
[0041] 作為第三示例�,在某些實(shí)施例中�����,可以使用計(jì)算設(shè)備100的安全處理器134來(lái)保護(hù) 介質(zhì)訪問(wèn)策略214��。例如����,可以將介質(zhì)訪問(wèn)策略214存儲(chǔ)在計(jì)算設(shè)備100的受TPM控制的安全 存儲(chǔ)區(qū)域。
[0042]仍然參照?qǐng)D4,在方框418中�����,計(jì)算設(shè)備100可以判定是否已啟用介質(zhì)訪問(wèn)保護(hù)��。如 果未啟用介質(zhì)訪問(wèn)保護(hù)�����,可以在不進(jìn)行進(jìn)一步分析的情況下允許介質(zhì)訪問(wèn)請(qǐng)求��。在某些實(shí) 施例中����,一個(gè)或多個(gè)介質(zhì)訪問(wèn)策略214可以規(guī)定是否已啟用介質(zhì)訪問(wèn)保護(hù)�。在方框420中�����,計(jì) 算設(shè)備100可以確定當(dāng)前執(zhí)行的操作系統(tǒng)210的標(biāo)識(shí)����。判定是否允許介質(zhì)訪問(wèn)請(qǐng)求可以取決 于當(dāng)前執(zhí)行的操作系統(tǒng)210的標(biāo)識(shí)����。在某些實(shí)施例中,當(dāng)前執(zhí)行的操作系統(tǒng)210的標(biāo)識(shí)可以 是策略實(shí)施模塊212隱含地已知的���。例如���,在許多實(shí)施例中,每個(gè)操作系統(tǒng)210可以包括專用 策略實(shí)施模塊212,如具體的過(guò)濾器驅(qū)動(dòng)器504��、508�。在這些實(shí)施例中,操作系統(tǒng)210的標(biāo)識(shí) 在使用中可以是硬編碼的����、假設(shè)的����、或者以其他方式對(duì)具體策略實(shí)施模塊212是隱含的�����。 [0043]在方框422中�,計(jì)算設(shè)備100可以確定與具體介質(zhì)訪問(wèn)請(qǐng)求相關(guān)聯(lián)的存儲(chǔ)分區(qū)。例 如��,計(jì)算設(shè)備100可以確定包含介質(zhì)訪問(wèn)請(qǐng)求中所包括的存儲(chǔ)地址的存儲(chǔ)分區(qū)的標(biāo)識(shí)�。如上 文所描述的,每個(gè)存儲(chǔ)分區(qū)可以為一個(gè)或多個(gè)操作系統(tǒng)210所擁有或被指定給所述一個(gè)或 多個(gè)操作系統(tǒng)�����。為了展示�����,返回參照?qǐng)D3,計(jì)算設(shè)備100可以判定介質(zhì)訪問(wèn)請(qǐng)求引用操作系統(tǒng) 210a分區(qū)314�、操作系統(tǒng)210b分區(qū)316、共享分區(qū)318���、還是(在某些實(shí)施例中)分區(qū)表302��。在 方框424中�����,計(jì)算設(shè)備100可以確定與介質(zhì)訪問(wèn)請(qǐng)求相關(guān)聯(lián)的存儲(chǔ)操作��。例如���,計(jì)算設(shè)備100 可以判定存儲(chǔ)請(qǐng)求是讀請(qǐng)求、寫(xiě)請(qǐng)求�、創(chuàng)建請(qǐng)求、刪除請(qǐng)求��、信息請(qǐng)求����、還是其他請(qǐng)求。在某 些實(shí)施例中�����,判定是否允許介質(zhì)訪問(wèn)請(qǐng)求可以取決于指定的存儲(chǔ)操作��。
[0044] 在方框426中,計(jì)算設(shè)備100基于介質(zhì)訪問(wèn)策略214判定是否允許介質(zhì)訪問(wèn)請(qǐng)求��。判 定是否允許介質(zhì)訪問(wèn)請(qǐng)求可以基于以下各項(xiàng)的任何組合:當(dāng)前執(zhí)行的操作系統(tǒng)210的標(biāo)識(shí)�����、 與所述請(qǐng)求相關(guān)聯(lián)的存儲(chǔ)分區(qū)�、與所述請(qǐng)求相關(guān)聯(lián)的存儲(chǔ)操作、和/或由介質(zhì)訪問(wèn)策略214 所指定的其他標(biāo)準(zhǔn)����。例如,計(jì)算設(shè)備100可以允許對(duì)為當(dāng)前執(zhí)行的操作系統(tǒng)210所擁有的存 儲(chǔ)分區(qū)的所有訪問(wèn)����。作為另一示例,計(jì)算設(shè)備100可以拒絕對(duì)不為當(dāng)前執(zhí)行的操作系統(tǒng)210 所擁有的存儲(chǔ)分區(qū)的所有訪問(wèn)��。作為第三示例����,計(jì)算設(shè)備100可以允許對(duì)當(dāng)前執(zhí)行的操作系 統(tǒng)210與一個(gè)或多個(gè)其他操作系統(tǒng)210之間所共享的存儲(chǔ)分區(qū)的所有訪問(wèn)。作為第四示例���, 計(jì)算設(shè)備100可以允許對(duì)數(shù)據(jù)存儲(chǔ)設(shè)備126的分區(qū)表的只讀訪問(wèn)���。在某些實(shí)施例中�,判定是 否允許對(duì)不為當(dāng)前執(zhí)行的操作系統(tǒng)210所擁有的存儲(chǔ)分區(qū)的訪問(wèn)可以取決于介質(zhì)訪問(wèn)策略 214,所述介質(zhì)訪問(wèn)策略可以由平臺(tái)制造商���、最終用戶��、或其他方來(lái)定義���。例如,基于介質(zhì)訪 問(wèn)策略214的內(nèi)容���,計(jì)算設(shè)備100可以允許對(duì)不為當(dāng)前執(zhí)行的操作系統(tǒng)210所擁有的存儲(chǔ)分 區(qū)的讀訪問(wèn)��,但是拒絕對(duì)不為當(dāng)前執(zhí)行的操作系統(tǒng)210所擁有的存儲(chǔ)分區(qū)的寫(xiě)訪問(wèn)。如果允 許介質(zhì)訪問(wèn)請(qǐng)求����,方法400分支到方框428。如果不允許介質(zhì)訪問(wèn)請(qǐng)求�,方法400分支到方框 432,如下文所描述的。
[0045] 在方框428中����,計(jì)算設(shè)備100允許介質(zhì)訪問(wèn)請(qǐng)求繼續(xù)進(jìn)行���。在某些實(shí)施例中,在方框 430中��,計(jì)算設(shè)備100可以使介質(zhì)訪問(wèn)請(qǐng)求通過(guò)而去往存儲(chǔ)驅(qū)動(dòng)器棧的較低層成員����。例如,如 果策略實(shí)施模塊212被實(shí)施為較低層過(guò)濾器驅(qū)動(dòng)器508,則介質(zhì)訪問(wèn)請(qǐng)求可以被向下傳遞至 存儲(chǔ)端口驅(qū)動(dòng)器510,從而允許介質(zhì)訪問(wèn)請(qǐng)求正常進(jìn)行�。在請(qǐng)求被允許之后,數(shù)據(jù)存儲(chǔ)設(shè)備 126可以執(zhí)行所請(qǐng)求的存儲(chǔ)操作并且將數(shù)據(jù)或狀態(tài)信息沿存儲(chǔ)驅(qū)動(dòng)器棧向上最終返回至應(yīng) 用502����。在允許介質(zhì)訪問(wèn)請(qǐng)求之后,方法400環(huán)回至方框410以繼續(xù)監(jiān)測(cè)介質(zhì)訪問(wèn)請(qǐng)求����。
[0046] 返回參照方框426,如果不允許介質(zhì)訪問(wèn)請(qǐng)求���,方法400分支到方框432�。在方框432 中��,計(jì)算設(shè)備100拒絕介質(zhì)訪問(wèn)請(qǐng)求。計(jì)算設(shè)備1 〇〇可以例如防止介質(zhì)訪問(wèn)請(qǐng)求被向下傳遞 至存儲(chǔ)驅(qū)動(dòng)器棧的較低層成員����。在某些實(shí)施例中,在方框434中�,計(jì)算設(shè)備100可以將告知性 錯(cuò)誤消息返回至存儲(chǔ)驅(qū)動(dòng)器棧的較高層成員,如應(yīng)用502��。例如�����,計(jì)算設(shè)備100可以返回"訪 問(wèn)被拒絕"����、"寫(xiě)保護(hù)"、"無(wú)效操作"����、或其他適當(dāng)?shù)腻e(cuò)誤消息。在某些實(shí)施例中�,可以將錯(cuò)誤 消息展示給用戶����,從而允許用戶確定介質(zhì)訪問(wèn)請(qǐng)求為什么失敗。在拒絕介質(zhì)訪問(wèn)請(qǐng)求之后, 方法400環(huán)回至方框410以繼續(xù)監(jiān)測(cè)介質(zhì)訪問(wèn)請(qǐng)求��。
[0047]現(xiàn)在參照?qǐng)D6,在使用中���,計(jì)算設(shè)備100可以執(zhí)行用于介質(zhì)保護(hù)策略實(shí)施的方法 600���。方法600開(kāi)始于方框602,在所述方框中����,計(jì)算設(shè)備100進(jìn)行引導(dǎo)。響應(yīng)于用戶對(duì)計(jì)算設(shè) 備100進(jìn)行上電或重新引導(dǎo)�、響應(yīng)于將計(jì)算設(shè)備100從低電量睡眠或休眠狀態(tài)恢復(fù)、或者在 計(jì)算設(shè)備100被初始化的其他情況下��,計(jì)算設(shè)備100可以進(jìn)行引導(dǎo)���。在某些實(shí)施例中�,計(jì)算設(shè) 備100可以響應(yīng)于用戶引導(dǎo)計(jì)算設(shè)備100(例如通過(guò)選擇軟件或硬件切換(toggle))切換操 作系統(tǒng)210而啟動(dòng)或重新啟動(dòng)�����。
[0048]在方框604,計(jì)算設(shè)備100加載預(yù)操作系統(tǒng)固件執(zhí)行環(huán)境����。所述固件執(zhí)行環(huán)境可以 實(shí)施為(例如)如UEFI規(guī)范所指定的驅(qū)動(dòng)器執(zhí)行環(huán)境�����。在固件執(zhí)行環(huán)境中�,平臺(tái)固件202受到 計(jì)算設(shè)備100的完全控制���。在固件執(zhí)行環(huán)境內(nèi)��,計(jì)算設(shè)備100初始化平臺(tái)硬件并另外準(zhǔn)備計(jì) 算設(shè)備100以供使用����。計(jì)算設(shè)備100可以為一個(gè)或多個(gè)固件驅(qū)動(dòng)器或固件應(yīng)用加載和啟動(dòng)固 件圖像�。固件驅(qū)動(dòng)器和應(yīng)用可以被實(shí)施為可以提供預(yù)引導(dǎo)初始化和其他服務(wù)的二進(jìn)制圖 像。另外��,在某些實(shí)施例中�,固件驅(qū)動(dòng)器和應(yīng)用可以安裝固件協(xié)議接口或者在操作系統(tǒng)210 執(zhí)行的過(guò)程中保持常駐并為計(jì)算設(shè)備100提供服務(wù)的其他服務(wù)。例如��,可以安裝固件協(xié)議接 口以允許訪問(wèn)NV存儲(chǔ)裝置132中所存儲(chǔ)的一個(gè)或多個(gè)固件變量��。
[0049] 在方框606中�����,計(jì)算設(shè)備100從安裝在計(jì)算設(shè)備100上的那些操作系統(tǒng)210中選擇要 加載的操作系統(tǒng)210����。所選擇的具體操作系統(tǒng)210可以取決于用戶選擇、默認(rèn)引導(dǎo)順序���、或任 何其他用于選擇的標(biāo)準(zhǔn)��。在某些實(shí)施例中����,計(jì)算設(shè)備100可以選擇與所選擇的操作系統(tǒng)210 相關(guān)聯(lián)的引導(dǎo)目標(biāo)�。所述引導(dǎo)目標(biāo)可以被實(shí)施為將由計(jì)算設(shè)備100加載和啟動(dòng)的固件應(yīng)用, 如操作系統(tǒng)加載器���,或診斷性應(yīng)用���、維護(hù)應(yīng)用、或管理應(yīng)用
[0050] 在方框608中�,計(jì)算設(shè)備100基于介質(zhì)訪問(wèn)策略214確定要保護(hù)免受所選擇的操作 系統(tǒng)210影響的一個(gè)或多個(gè)介質(zhì)地址范圍。具體地���,計(jì)算設(shè)備100可以確定操作系統(tǒng)210不可 以訪問(wèn)與不為所述操作系統(tǒng)210所擁有和/或與所述操作系統(tǒng)210共享的存儲(chǔ)分區(qū)相關(guān)聯(lián)的 一個(gè)或多個(gè)邏輯塊地址范圍�。例如,計(jì)算設(shè)備100可以確定應(yīng)當(dāng)保護(hù)免受所選擇的操作系統(tǒng) 210影響的與為不同操作系統(tǒng)210所擁有的存儲(chǔ)分區(qū)相關(guān)聯(lián)的邏輯塊地址�����。當(dāng)然�����,在某些實(shí) 施例中��,計(jì)算設(shè)備100可以另外或可替代地確定操作系統(tǒng)210將可訪問(wèn)的介質(zhì)地址范圍�。例 如,計(jì)算設(shè)備100可以確定為所述操作系統(tǒng)210所擁有的數(shù)據(jù)分區(qū)可以被操作系統(tǒng)210訪問(wèn)�。 在某些實(shí)施例中,在方框610中��,計(jì)算設(shè)備100可以從一個(gè)或多個(gè)固件變量中檢索所述介質(zhì) 訪問(wèn)策略214���。如上文所描述的�,所述固件變量可以存儲(chǔ)在NV存儲(chǔ)裝置132中���。所述固件變量 可以判定例如是否已啟用介質(zhì)訪問(wèn)保護(hù)�、是否允許對(duì)不為所述所選擇的操作系統(tǒng)210所擁 有的分區(qū)的訪問(wèn)、或任何其他訪問(wèn)策略�����。
[0051]作為展示�,再次參照?qǐng)D3,假設(shè)計(jì)算設(shè)備100結(jié)合方框606如上文所述的那樣選擇操 作系統(tǒng)210a���。計(jì)算設(shè)備100可以確定操作系統(tǒng)210a不可以訪問(wèn)為所述操作系統(tǒng)210b所擁有 的分區(qū)316內(nèi)的數(shù)據(jù)地址��。在某些實(shí)施例中����,計(jì)算設(shè)備100可以確定的是�,可以允許操作系統(tǒng) 210a訪問(wèn)分區(qū)314內(nèi)的數(shù)據(jù)地址。
[0052]在方框612中����,計(jì)算設(shè)備100基于如上面所描述的方框608中確定的受保護(hù)的介質(zhì) 地址范圍設(shè)定對(duì)數(shù)據(jù)存儲(chǔ)設(shè)備126的數(shù)據(jù)訪問(wèn)控制。在某些實(shí)施例中��,計(jì)算設(shè)備100可以編 程�、命令、或另外指示數(shù)據(jù)存儲(chǔ)設(shè)備126的控制器128拒絕在受保護(hù)的介質(zhì)地址范圍內(nèi)的訪 問(wèn)�����。例如,計(jì)算設(shè)備100可以對(duì)控制器128的扇區(qū)范圍保護(hù)特征進(jìn)行編程以防止對(duì)受保護(hù)的 介質(zhì)地址范圍的訪問(wèn)�����。當(dāng)然����,在某些實(shí)施例中,計(jì)算設(shè)備100可以編程�����、命令�����、或另外指示數(shù) 據(jù)存儲(chǔ)設(shè)備126的控制器128允許在指定的介質(zhì)地址范圍內(nèi)的訪問(wèn)���。計(jì)算設(shè)備100可以基于 控制器128的能力判定是否指定受保護(hù)的介質(zhì)地址范圍或是否指定允許的介質(zhì)地址范圍��。 在設(shè)定數(shù)據(jù)訪問(wèn)控制之后�����,在計(jì)算設(shè)備100上執(zhí)行的任何進(jìn)程(包括任何操作系統(tǒng)210)可能 不能訪問(wèn)受保護(hù)的介質(zhì)地址范圍內(nèi)的介質(zhì)地址���。當(dāng)計(jì)算設(shè)備100被重新引導(dǎo)�����、重啟、或另外 重置時(shí)���,對(duì)數(shù)據(jù)存儲(chǔ)設(shè)備126的數(shù)據(jù)訪問(wèn)控制可以被重置���。
[0053]在方框614中,計(jì)算設(shè)備100引導(dǎo)所選擇的操作系統(tǒng)210���。如上文所描述的����,固件執(zhí) 行環(huán)境可以加載并執(zhí)行與所選擇的操作系統(tǒng)210相關(guān)聯(lián)的引導(dǎo)目標(biāo)�。在執(zhí)行的過(guò)程中,所選 擇的操作系統(tǒng)210可能不能訪問(wèn)受保護(hù)的介質(zhì)地址范圍內(nèi)的介質(zhì)地址��。因而���,在使用中��,操 作系統(tǒng)210可能完全沒(méi)察覺(jué)到為其他操作系統(tǒng)210所擁有的存儲(chǔ)分區(qū)����。
[0054]在引導(dǎo)操作系統(tǒng)210之后,計(jì)算設(shè)備100可以使用與那個(gè)操作系統(tǒng)210相關(guān)聯(lián)的策 略實(shí)施模塊212來(lái)監(jiān)測(cè)介質(zhì)訪問(wèn)請(qǐng)求��,例如通過(guò)執(zhí)行上文結(jié)合圖4描述的方法400��。因而��,方 法400���、600是互補(bǔ)的�。計(jì)算設(shè)備100可以獨(dú)立地執(zhí)行每種方法400�����、600,或可以聯(lián)合執(zhí)行兩種 方法400�、600。例如����,具有支撐扇區(qū)范圍保護(hù)的硬件控制器128的計(jì)算設(shè)備100可以在預(yù)引導(dǎo) 固件環(huán)境過(guò)程中執(zhí)行方法600并且在引導(dǎo)操作系統(tǒng)210之后執(zhí)行方法400�����。另外或可替代地��, 這種具有支撐扇區(qū)范圍保護(hù)的硬件控制器128的計(jì)算設(shè)備100可以只執(zhí)行方法600并且不執(zhí) 行方法400,例如當(dāng)在沒(méi)有策略實(shí)施模塊212的情況下執(zhí)行操作系統(tǒng)210時(shí)�。另外或可替代 地��,不具有支撐扇區(qū)范圍保護(hù)的硬件控制器128的計(jì)算設(shè)備100可以在執(zhí)行操作系統(tǒng)210的 過(guò)程中執(zhí)行方法400�����,并且不執(zhí)行方法600���。
[0055]另外或可替代地,當(dāng)在同一計(jì)算設(shè)備100上執(zhí)行時(shí)�����,每一種方法400�、600可以實(shí)施 不同的介質(zhì)訪問(wèn)策略214。例如��,方法600可以使用硬件控制器128來(lái)實(shí)施介質(zhì)訪問(wèn)策略214 以完全拒絕對(duì)不為所選擇的操作系統(tǒng)210所擁有的分區(qū)的訪問(wèn)。繼續(xù)那個(gè)示例��,方法400可 以實(shí)施允許對(duì)數(shù)據(jù)存儲(chǔ)設(shè)備126的共享分區(qū)的選擇性訪問(wèn)或只讀訪問(wèn)的介質(zhì)訪問(wèn)策略214�����。
[0056] 示例
[0057] 下面提供了在此所公開(kāi)的技術(shù)的示意性示例���。這些技術(shù)的實(shí)施例可以包括下文所 描述的示例中的任何一個(gè)或多個(gè)����,以及其任何組合�����。
[0058] 示例1包括一種用于多操作系統(tǒng)環(huán)境中的介質(zhì)保護(hù)策略實(shí)施的計(jì)算設(shè)備�����,所述計(jì) 算設(shè)備包括:包括多個(gè)區(qū)域的數(shù)據(jù)存儲(chǔ)設(shè)備���;以及策略實(shí)施模塊���,所述策略實(shí)施模塊用于: 在所述計(jì)算設(shè)備的操作系統(tǒng)的執(zhí)行過(guò)程中攔截介質(zhì)訪問(wèn)請(qǐng)求��,其中�,所述介質(zhì)訪問(wèn)請(qǐng)求指 定存儲(chǔ)操作和存儲(chǔ)地址;確定所述計(jì)算設(shè)備的所述操作系統(tǒng)的標(biāo)識(shí);對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備 的包括所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)地址的區(qū)域進(jìn)行標(biāo)識(shí);并且根據(jù)(i)所述數(shù)據(jù)存儲(chǔ)設(shè) 備的所述經(jīng)標(biāo)識(shí)的區(qū)域����、(ii)所述操作系統(tǒng)的標(biāo)識(shí)、以及(iii)所述介質(zhì)訪問(wèn)請(qǐng)求的所述存 儲(chǔ)操作����,判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求。
[0059] 示例2包括示例1的主題���,并且其中��,用于判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求包括:用 于確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域是否為所述操作系統(tǒng)所擁有;并且響應(yīng)于確定所述區(qū) 域?yàn)樗霾僮飨到y(tǒng)所擁有�����,確定允許所述介質(zhì)訪問(wèn)請(qǐng)求。
[0060] 示例3包括示例1和2中任一項(xiàng)的主題��,并且其中�����,用于判定是否允許所述介質(zhì)訪問(wèn) 請(qǐng)求進(jìn)一步包括:用于響應(yīng)于確定所述區(qū)域不為所述操作系統(tǒng)所擁有,確定不允許所述介 質(zhì)訪問(wèn)請(qǐng)求�����。
[0061] 示例4包括示例1-3中任一項(xiàng)的主題��,并且其中�����,用于判定是否允許所述介質(zhì)訪問(wèn) 請(qǐng)求進(jìn)一步包括:用于響應(yīng)于確定所述區(qū)域不為所述操作系統(tǒng)所擁有�,根據(jù)所述計(jì)算設(shè)備 的介質(zhì)訪問(wèn)策略判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求。
[0062] 示例5包括示例1-4中任一項(xiàng)的主題�����,并且其中����,用于根據(jù)所述介質(zhì)訪問(wèn)策略判定 是否允許所述介質(zhì)訪問(wèn)請(qǐng)求包括用于使用所述計(jì)算設(shè)備的固件環(huán)境從所述計(jì)算設(shè)備的非 易失性存儲(chǔ)裝置讀取所述介質(zhì)訪問(wèn)策略。
[0063] 示例6包括示例1-5中任一項(xiàng)的主題�����,并且其中����,用于根據(jù)所述介質(zhì)訪問(wèn)策略判定 是否允許所述介質(zhì)訪問(wèn)請(qǐng)求包括:用于確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域是否是由所述操 作系統(tǒng)與第二操作系統(tǒng)共享的���,其中,所述第二操作系統(tǒng)在所述確定的過(guò)程中將不執(zhí)行;并 且響應(yīng)于確定所述區(qū)域是共享的�,確定允許所述介質(zhì)訪問(wèn)請(qǐng)求。
[0064] 示例7包括示例1-6中任一項(xiàng)的主題�����,并且其中�,用于根據(jù)所述介質(zhì)訪問(wèn)策略判定 是否允許所述介質(zhì)訪問(wèn)請(qǐng)求包括:用于根據(jù)所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)操作判定是否允 許所述介質(zhì)訪問(wèn)請(qǐng)求。
[0065] 示例8包括示例1-7中任一項(xiàng)的主題����,并且其中,用于根據(jù)所述介質(zhì)訪問(wèn)請(qǐng)求的所 述存儲(chǔ)操作判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求包括:用于響應(yīng)于所述介質(zhì)訪問(wèn)請(qǐng)求包括讀取 操作��,確定允許所述介質(zhì)訪問(wèn)請(qǐng)求;并且響應(yīng)于所述介質(zhì)訪問(wèn)請(qǐng)求包括寫(xiě)操作�����,確定不允許 所述介質(zhì)訪問(wèn)請(qǐng)求�。
[0066] 示例9包括示例1-8中任一項(xiàng)的主題�����,并且其中,用于判定是否允許所述介質(zhì)訪問(wèn) 包括用于使用所述計(jì)算設(shè)備的固件環(huán)境從所述計(jì)算設(shè)備的非易失性存儲(chǔ)裝置讀取介質(zhì)訪 問(wèn)策略�����。
[0067] 示例10包括示例1-9中任一項(xiàng)的主題����,并且其中,用于判定是否允許所述介質(zhì)訪問(wèn) 包括用于根據(jù)所述介質(zhì)訪問(wèn)策略判定是否已啟用介質(zhì)訪問(wèn)保護(hù);并且響應(yīng)于確定已啟用所 述介質(zhì)訪問(wèn)保護(hù)�,判定是否允許所述介質(zhì)訪問(wèn)。
[0068] 示例11包括示例1-10中任一項(xiàng)的主題�����,并且進(jìn)一步包括:第二策略實(shí)施模塊����,所述 第二策略實(shí)施模塊用于:在所述計(jì)算設(shè)備的第二操作系統(tǒng)的執(zhí)行過(guò)程中攔截第二介質(zhì)訪問(wèn) 請(qǐng)求,所述第二介質(zhì)訪問(wèn)請(qǐng)求用于指定第二存儲(chǔ)操作和第二存儲(chǔ)地址;確定所述第二操作 系統(tǒng)的標(biāo)識(shí);對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的包括所述第二介質(zhì)訪問(wèn)請(qǐng)求的第二存儲(chǔ)地址的第二區(qū) 域進(jìn)行標(biāo)識(shí);并且根據(jù)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述第二區(qū)域�、所述第二操作系統(tǒng)的標(biāo)識(shí)、以及 所述第二介質(zhì)訪問(wèn)請(qǐng)求的所述第二存儲(chǔ)操作來(lái)判定是否允許所述第二介質(zhì)訪問(wèn)請(qǐng)求�����。
[0069] 示例12包括示例1-11中任一項(xiàng)的主題,并且其中�����,所述策略實(shí)施模塊包括所述計(jì) 算設(shè)備的過(guò)濾器驅(qū)動(dòng)器�����。
[0070] 示例13包括示例1-12中任一項(xiàng)的主題�,并且其中,所述策略實(shí)施模塊進(jìn)一步用于: 響應(yīng)于確定允許所述介質(zhì)訪問(wèn)請(qǐng)求�,使所述介質(zhì)訪問(wèn)請(qǐng)求通過(guò)而去往所述計(jì)算設(shè)備的較低 層驅(qū)動(dòng)器。
[0071] 示例14包括示例1-13中任一項(xiàng)的主題��,并且其中�����,所述策略實(shí)施模塊進(jìn)一步用于: 響應(yīng)于確定不允許所述介質(zhì)訪問(wèn)請(qǐng)求�����,拒絕所述介質(zhì)訪問(wèn)請(qǐng)求��。
[0072] 示例15包括示例1-14中任一項(xiàng)的主題,并且其中�,所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域 包括所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)�����。
[0073] 示例16包括示例1-15中任一項(xiàng)的主題�,并且其中,所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域 包括所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)表���。
[0074] 示例17包括示例1-16中任一項(xiàng)的主題��,并且進(jìn)一步包括:所述計(jì)算設(shè)備的固件環(huán) 境所建立的引導(dǎo)選項(xiàng)模塊�����,所述引導(dǎo)選項(xiàng)模塊用于從安裝在所述計(jì)算設(shè)備上的多個(gè)操作系 統(tǒng)中選擇所述操作系統(tǒng)�;以及由所述固件環(huán)境所建立的第二策略實(shí)施模塊�,所述第二策略 實(shí)施模塊用于(i)基于所述所選擇的操作系統(tǒng)確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的有待保護(hù)的第二區(qū) 域,并且(ii)將所述數(shù)據(jù)存儲(chǔ)設(shè)備配置成防止對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述第二區(qū)域的訪 問(wèn)��;其中�,所述引導(dǎo)選項(xiàng)模塊進(jìn)一步用于響應(yīng)于對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的配置來(lái)加載所述所 選擇的操作系統(tǒng)。
[0075] 示例18包括一種用于多操作系統(tǒng)環(huán)境中的介質(zhì)保護(hù)策略實(shí)施的計(jì)算設(shè)備���,所述計(jì) 算設(shè)備包括:包括多個(gè)區(qū)域的數(shù)據(jù)存儲(chǔ)設(shè)備��;由所述計(jì)算設(shè)備的固件環(huán)境所建立的引導(dǎo)選 項(xiàng)模塊�����,所述引導(dǎo)選項(xiàng)模塊用于從安裝在所述計(jì)算設(shè)備上的多個(gè)操作系統(tǒng)中選擇操作系 統(tǒng)��;以及由所述固件環(huán)境所建立的策略實(shí)施模塊����,所述策略實(shí)施模塊用于(i)基于所述所選 擇的操作系統(tǒng)確定數(shù)據(jù)存儲(chǔ)設(shè)備的有待保護(hù)的區(qū)域并且(ii)配置所述數(shù)據(jù)存儲(chǔ)設(shè)備以防 止對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域的訪問(wèn);其中�,所述引導(dǎo)選項(xiàng)模塊進(jìn)一步用于響應(yīng)于對(duì) 所述數(shù)據(jù)存儲(chǔ)設(shè)備的配置來(lái)加載所述所選擇的操作系統(tǒng)。
[0076]示例19包括示例18的主題���,并且其中���,所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域包括所述數(shù) 據(jù)存儲(chǔ)設(shè)備的分區(qū)。
[0077]示例20包括示例18和19中任一項(xiàng)的主題��,并且其中��,所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū) 域包括所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)表����。
[0078] 示例21包括示例18-20中任一項(xiàng)的主題��,并且其中�����,用于確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的 所述區(qū)域包括用于對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的不為所述所選擇的操作系統(tǒng)所擁有的區(qū)域進(jìn)行 標(biāo)識(shí)。
[0079] 示例22包括示例18-21中任一項(xiàng)的主題�����,并且其中����,用于確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的 所述區(qū)域包括用于根據(jù)所述計(jì)算設(shè)備的介質(zhì)訪問(wèn)策略確定所述區(qū)域。
[0080]示例23包括示例18-22中任一項(xiàng)的主題�,并且其中,用于根據(jù)所述介質(zhì)訪問(wèn)策略確 定所述區(qū)域包括用于從所述計(jì)算設(shè)備的非易失性存儲(chǔ)裝置讀取所述介質(zhì)訪問(wèn)策略��。
[0081 ]示例24包括示例18-23中任一項(xiàng)的主題��,并且進(jìn)一步包括:第二策略實(shí)施模塊��,所 述第二策略實(shí)施模塊用于:在所述所選擇的操作系統(tǒng)執(zhí)行的過(guò)程中攔截介質(zhì)訪問(wèn)請(qǐng)求��,所 述介質(zhì)訪問(wèn)請(qǐng)求用于指定存儲(chǔ)操作和存儲(chǔ)地址;確定所述所選擇的操作系統(tǒng)的標(biāo)識(shí);對(duì)所 述數(shù)據(jù)存儲(chǔ)設(shè)備的包括所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)地址的第二區(qū)域進(jìn)行標(biāo)識(shí);并且根據(jù) 所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述第二區(qū)域、所述所選擇的操作系統(tǒng)的標(biāo)識(shí)���、以及所述介質(zhì)訪問(wèn)請(qǐng) 求的所述存儲(chǔ)操作判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求���。
[0082]示例25包括一種用于多操作系統(tǒng)環(huán)境中的介質(zhì)保護(hù)策略實(shí)施的方法,所述方法包 括:由計(jì)算設(shè)備在所述計(jì)算設(shè)備的操作系統(tǒng)的執(zhí)行過(guò)程中攔截介質(zhì)訪問(wèn)請(qǐng)求��,所述介質(zhì)訪 問(wèn)請(qǐng)求指定存儲(chǔ)操作和存儲(chǔ)地址�����;由所述計(jì)算設(shè)備確定所述計(jì)算設(shè)備的所述操作系統(tǒng)的標(biāo) 識(shí)��;由所述計(jì)算設(shè)備對(duì)所述計(jì)算設(shè)備的數(shù)據(jù)存儲(chǔ)設(shè)備的包括所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ) 地址的區(qū)域進(jìn)行標(biāo)識(shí);并且由所述計(jì)算設(shè)備根據(jù)(i)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述經(jīng)標(biāo)識(shí)的區(qū) 域���、(ii)所述操作系統(tǒng)的標(biāo)識(shí)����、以及(iii)所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)操作來(lái)判定是否允 許所述介質(zhì)訪問(wèn)請(qǐng)求��。
[0083]示例26包括示例25的主題����,并且其中��,判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求包括:判定 所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域是否為所述操作系統(tǒng)所擁有;并且響應(yīng)于確定所述區(qū)域?yàn)樗?述操作系統(tǒng)所擁有��,確定允許所述介質(zhì)訪問(wèn)請(qǐng)求�。
[0084]示例27包括示例25和26中任一項(xiàng)的主題���,并且其中����,判定是否允許所述介質(zhì)訪問(wèn) 請(qǐng)求進(jìn)一步包括:響應(yīng)于確定所述區(qū)域不為所述操作系統(tǒng)所擁有�����,確定不允許所述介質(zhì)訪 問(wèn)請(qǐng)求�����。
[0085]示例28包括示例25-27中任一項(xiàng)的主題�,并且其中�����,判定是否允許所述介質(zhì)訪問(wèn)請(qǐng) 求進(jìn)一步包括:響應(yīng)于確定所述區(qū)域不為所述操作系統(tǒng)所擁有�,根據(jù)所述計(jì)算設(shè)備的介質(zhì) 訪問(wèn)策略判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求���。
[0086]示例29包括示例25-28中任一項(xiàng)的主題,并且其中����,根據(jù)所述介質(zhì)訪問(wèn)策略判定是 否允許所述介質(zhì)訪問(wèn)請(qǐng)求包括使用所述計(jì)算設(shè)備的固件環(huán)境從所述計(jì)算設(shè)備的非易失性 存儲(chǔ)裝置讀取所述介質(zhì)訪問(wèn)策略。
[0087]示例30包括示例25-29中任一項(xiàng)的主題��,并且其中���,根據(jù)所述介質(zhì)訪問(wèn)策略判定是 否允許所述介質(zhì)訪問(wèn)請(qǐng)求包括:判定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域是否是由所述操作系統(tǒng) 與第二操作系統(tǒng)共享的�,其中�,所述第二操作系統(tǒng)當(dāng)前不執(zhí)行;并且響應(yīng)于確定所述區(qū)域是 共享的,確定允許所述介質(zhì)訪問(wèn)請(qǐng)求�����。
[0088]示例31包括示例25-30中任一項(xiàng)的主題�����,并且其中����,根據(jù)所述介質(zhì)訪問(wèn)策略判定是 否允許所述介質(zhì)訪問(wèn)請(qǐng)求包括:根據(jù)所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)操作判定是否允許所述 介質(zhì)訪問(wèn)請(qǐng)求�����。
[0089] 示例32包括示例25-31中任一項(xiàng)的主題�����,并且其中��,根據(jù)所述介質(zhì)訪問(wèn)請(qǐng)求的所述 存儲(chǔ)操作判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求包括:響應(yīng)于所述介質(zhì)訪問(wèn)請(qǐng)求包括讀取操作���, 確定允許所述介質(zhì)訪問(wèn)請(qǐng)求;并且響應(yīng)于所述介質(zhì)訪問(wèn)請(qǐng)求包括寫(xiě)操作,確定不允許所述 介質(zhì)訪問(wèn)請(qǐng)求��。
[0090] 示例33包括示例25-32中任一項(xiàng)的主題����,并且其中���,判定是否允許所述介質(zhì)訪問(wèn)包 括使用所述計(jì)算設(shè)備的固件環(huán)境從所述計(jì)算設(shè)備的非易失性存儲(chǔ)裝置讀取介質(zhì)訪問(wèn)策略�����。
[0091] 示例34包括示例25-33中任一項(xiàng)的主題�,并且其中,判定是否允許所述介質(zhì)訪問(wèn)包 括:根據(jù)所述介質(zhì)訪問(wèn)策略判定是否已啟用介質(zhì)訪問(wèn)保護(hù);并且響應(yīng)于確定已啟用所述介 質(zhì)訪問(wèn)保護(hù)�,判定是否允許所述介質(zhì)訪問(wèn)。
[0092] 示例35包括示例25-34中任一項(xiàng)的主題�����,并且進(jìn)一步包括:由所述計(jì)算設(shè)備在所述 計(jì)算設(shè)備的第二操作系統(tǒng)的執(zhí)行過(guò)程中攔截第二介質(zhì)訪問(wèn)請(qǐng)求�����,所述第二介質(zhì)訪問(wèn)請(qǐng)求指 定第二存儲(chǔ)操作和第二存儲(chǔ)地址�;由所述計(jì)算設(shè)備確定所述第二操作系統(tǒng)的標(biāo)識(shí);由所述 計(jì)算設(shè)備對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的包括所述第二介質(zhì)訪問(wèn)請(qǐng)求的第二存儲(chǔ)地址的所述第二 區(qū)域進(jìn)行標(biāo)識(shí);并且由所述計(jì)算設(shè)備根據(jù)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述第二區(qū)域�、所述第二操 作系統(tǒng)的標(biāo)識(shí)、以及所述第二介質(zhì)訪問(wèn)請(qǐng)求的所述第二存儲(chǔ)操作判定是否允許所述第二介 質(zhì)訪問(wèn)請(qǐng)求���。
[0093]示例36包括示例25-35中任一項(xiàng)的主題��,并且其中���,攔截所述介質(zhì)訪問(wèn)請(qǐng)求包括使 用所述計(jì)算設(shè)備的過(guò)濾器驅(qū)動(dòng)器攔截所述介質(zhì)訪問(wèn)請(qǐng)求。
[0094] 示例37包括示例25-36中任一項(xiàng)的主題��,并且進(jìn)一步包括:由所述計(jì)算設(shè)備響應(yīng)于 確定允許所述介質(zhì)訪問(wèn)請(qǐng)求而使所述介質(zhì)訪問(wèn)請(qǐng)求通過(guò)而去往所述計(jì)算設(shè)備的較低層的 驅(qū)動(dòng)器���。
[0095] 示例38包括示例25-37中任一項(xiàng)的主題�����,并且進(jìn)一步包括:由所述計(jì)算設(shè)備響應(yīng)于 確定不允許所述介質(zhì)訪問(wèn)請(qǐng)求而拒絕所述介質(zhì)訪問(wèn)請(qǐng)求��。
[0096]示例39包括示例25-38中任一項(xiàng)的主題����,并且其中,標(biāo)識(shí)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述 區(qū)域包括標(biāo)識(shí)所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)����。
[0097]示例40包括示例25-39中任一項(xiàng)的主題,并且其中����,標(biāo)識(shí)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述 區(qū)域包括標(biāo)識(shí)所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)表�。
[0098] 示例41包括示例25-40中任一項(xiàng)的主題,并且進(jìn)一步包括:在執(zhí)行所述計(jì)算設(shè)備的 所述操作系統(tǒng)之前由所述計(jì)算設(shè)備加載固件執(zhí)行環(huán)境����;由具有所述固件執(zhí)行環(huán)境的所述計(jì) 算設(shè)備從安裝在所述計(jì)算設(shè)備上的多個(gè)操作系統(tǒng)中選擇所述操作系統(tǒng);由具有所述固件執(zhí) 行環(huán)境的所述計(jì)算設(shè)備基于所述所選擇的操作系統(tǒng)來(lái)確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的有待保護(hù) 的第二區(qū)域��;由具有所述固件執(zhí)行環(huán)境的所述計(jì)算設(shè)備對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備件配置從而防 止對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述第二區(qū)域的訪問(wèn);并且由具有所述固件執(zhí)行環(huán)境的所述計(jì)算 設(shè)備響應(yīng)于配置所述數(shù)據(jù)存儲(chǔ)設(shè)備而加載所述所選擇的操作系統(tǒng)�����。
[0099] 示例42包括一種用于多操作系統(tǒng)環(huán)境中的介質(zhì)保護(hù)策略實(shí)施的方法�,所述方法包 括:由計(jì)算設(shè)備加載預(yù)操作系統(tǒng)固件執(zhí)行環(huán)境;由具有所述固件執(zhí)行環(huán)境的所述計(jì)算設(shè)備 從安裝在所述計(jì)算設(shè)備上的多個(gè)操作系統(tǒng)中選擇操作系統(tǒng)�����;由具有所述固件執(zhí)行環(huán)境的所 述計(jì)算設(shè)備基于所述所選擇的操作系統(tǒng)來(lái)確定數(shù)據(jù)存儲(chǔ)設(shè)備的有待保護(hù)的區(qū)域����;由具有所 述固件執(zhí)行環(huán)境的所述計(jì)算設(shè)備配置所述數(shù)據(jù)存儲(chǔ)設(shè)備以防止對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所 述區(qū)域的訪問(wèn);并且由具有所述固件執(zhí)行環(huán)境的所述計(jì)算設(shè)備響應(yīng)于配置所述數(shù)據(jù)存儲(chǔ)設(shè) 備而加載所述所選擇的操作系統(tǒng)���。
[0100] 示例43包括示例42的主題��,并且其中��,確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域包括確 定所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)��。
[0101] 示例44包括示例42和43中任一項(xiàng)的主題�����,并且其中�����,確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所 述區(qū)域包括確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)表��。
[0102] 示例45包括示例42-44中任一項(xiàng)的主題���,并且其中��,確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述 區(qū)域包括對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的不為所述所選擇的操作系統(tǒng)所擁有的區(qū)域進(jìn)行標(biāo)識(shí)���。 [0103]示例46包括示例42-45中任一項(xiàng)的主題,并且其中���,確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述 區(qū)域包括根據(jù)所述計(jì)算設(shè)備的介質(zhì)訪問(wèn)策略確定所述區(qū)域�����。
[0104]示例47包括示例42-46中任一項(xiàng)的主題�����,并且其中����,根據(jù)所述介質(zhì)訪問(wèn)策略確定所 述區(qū)域包括從所述計(jì)算設(shè)備的非易失性存儲(chǔ)裝置讀取所述介質(zhì)訪問(wèn)策略���。
[0105] 示例48包括示例42-47中任一項(xiàng)的主題�����,并且進(jìn)一步包括:由所述計(jì)算設(shè)備在所述 所選擇的操作系統(tǒng)執(zhí)行的過(guò)程中攔截介質(zhì)訪問(wèn)請(qǐng)求�,所述介質(zhì)訪問(wèn)請(qǐng)求指定存儲(chǔ)操作和存 儲(chǔ)地址�����;由所述計(jì)算設(shè)備確定所述所選擇的操作系統(tǒng)的標(biāo)識(shí)���;由所述計(jì)算設(shè)備對(duì)所述數(shù)據(jù) 存儲(chǔ)設(shè)備的包括所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)地址的所述第二區(qū)域進(jìn)行標(biāo)識(shí)���;以及由所述 計(jì)算設(shè)備根據(jù)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述第二區(qū)域、所述所選擇的操作系統(tǒng)的標(biāo)識(shí)����、以及所 述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)操作判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求。
[0106]示例49包括一種計(jì)算設(shè)備,所述計(jì)算設(shè)備包括:處理器�����;以及存儲(chǔ)器��,所述存儲(chǔ)器 具有存儲(chǔ)于其中的多條指令��,這些指令當(dāng)被所述處理器執(zhí)行時(shí)致使所述計(jì)算設(shè)備執(zhí)行示例 25-48中任一項(xiàng)所述的方法��。
[0107] 示例50包括一個(gè)或多個(gè)機(jī)器可讀存儲(chǔ)介質(zhì)��,所述一個(gè)或多個(gè)機(jī)器可讀存儲(chǔ)介質(zhì)包 括存儲(chǔ)于其上的多條指令���,這些指令響應(yīng)于被執(zhí)行而導(dǎo)致計(jì)算設(shè)備執(zhí)行示例25-48中任一 項(xiàng)所述的方法��。
[0108] 示例51包括一種計(jì)算設(shè)備�����,所述計(jì)算設(shè)備包括用于執(zhí)行示例25-48中任一項(xiàng)所述 的方法的裝置�。
[0109] 示例52包括一種用于多操作系統(tǒng)環(huán)境中的介質(zhì)保護(hù)策略實(shí)施的計(jì)算設(shè)備��,所述計(jì) 算設(shè)備包括:用于在所述計(jì)算設(shè)備的操作系統(tǒng)的執(zhí)行過(guò)程中攔截介質(zhì)訪問(wèn)請(qǐng)求的裝置���,所 述介質(zhì)訪問(wèn)請(qǐng)求指定存儲(chǔ)操作和存儲(chǔ)地址���;用于確定所述計(jì)算設(shè)備的所述操作系統(tǒng)的標(biāo)識(shí) 的裝置;用于對(duì)所述計(jì)算設(shè)備的數(shù)據(jù)存儲(chǔ)設(shè)備的包括所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)地址的 區(qū)域進(jìn)行標(biāo)識(shí)的裝置;以及用于根據(jù)(i)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述經(jīng)標(biāo)識(shí)的區(qū)域�、(ii)所述 操作系統(tǒng)的標(biāo)識(shí)、以及(iii)所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)操作來(lái)判定是否允許所述介質(zhì) 訪問(wèn)請(qǐng)求的裝置��。
[0110]示例53包括示例52的主題��,并且其中���,用于判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求的所 述裝置包括用于判定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域是否為所述操作系統(tǒng)所擁有的裝置;并 且用于響應(yīng)于確定所述區(qū)域?yàn)樗霾僮飨到y(tǒng)所擁有而確定允許所述介質(zhì)訪問(wèn)請(qǐng)求的裝置���。 示例54包括示例52和53中任一項(xiàng)的主題,并且其中�,用于判定是否允許所述介質(zhì) 訪問(wèn)請(qǐng)求的所述裝置進(jìn)一步包括:用于響應(yīng)于確定所述區(qū)域不為所述操作系統(tǒng)所擁有而確 定不允許所述介質(zhì)訪問(wèn)請(qǐng)求的裝置。
[0112] 示例55包括示例52-54中任一項(xiàng)的主題���,并且其中����,用于判定是否允許所述介質(zhì)訪 問(wèn)請(qǐng)求的所述裝置進(jìn)一步包括:用于響應(yīng)于確定所述區(qū)域不為所述操作系統(tǒng)所擁有而根據(jù) 所述計(jì)算設(shè)備的介質(zhì)訪問(wèn)策略判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求的裝置�。
[0113] 示例56包括示例52-55中任一項(xiàng)的主題�����,并且其中���,用于根據(jù)所述介質(zhì)訪問(wèn)策略判 定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求的所述裝置包括用于使用所述計(jì)算設(shè)備的固件環(huán)境從所述 計(jì)算設(shè)備的非易失性存儲(chǔ)裝置讀取所述介質(zhì)訪問(wèn)策略的裝置。
[0114] 示例57包括示例52-56中任一項(xiàng)的主題�,并且其中,用于根據(jù)所述介質(zhì)訪問(wèn)策略判 定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求的所述裝置包括:用于判定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域是 否由所述操作系統(tǒng)與第二操作系統(tǒng)共享的裝置���,其中����,所述第二操作系統(tǒng)當(dāng)前不執(zhí)行�;以及 用于響應(yīng)于確定所述區(qū)域是共享的而確定允許所述介質(zhì)訪問(wèn)請(qǐng)求的裝置。
[0115] 示例58包括示例52-57中任一項(xiàng)的主題�,并且其中,用于根據(jù)所述介質(zhì)訪問(wèn)策略判 定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求的所述裝置包括:用于根據(jù)所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)操 作判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求的裝置�。
[0116] 示例59包括示例52-58中任一項(xiàng)的主題,并且其中���,用于根據(jù)所述介質(zhì)訪問(wèn)請(qǐng)求的 所述存儲(chǔ)操作判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求的所述裝置包括:用于響應(yīng)于所述介質(zhì)訪問(wèn) 請(qǐng)求包括讀取操作而確定允許所述介質(zhì)訪問(wèn)請(qǐng)求的裝置����;以及用于響應(yīng)于所述介質(zhì)訪問(wèn)請(qǐng) 求包括寫(xiě)操作而確定不允許所述介質(zhì)訪問(wèn)請(qǐng)求的裝置。
[0117] 示例60包括示例52-59中任一項(xiàng)的主題���,并且其中���,用于判定是否允許所述介質(zhì)訪 問(wèn)的所述裝置包括使用所述計(jì)算設(shè)備的固件環(huán)境從所述計(jì)算設(shè)備的非易失性存儲(chǔ)裝置讀 取介質(zhì)訪問(wèn)策略的裝置�����。
[0118] 示例61包括示例52-60中任一項(xiàng)的主題����,并且其中,用于判定是否允許所述介質(zhì)訪 問(wèn)的所述裝置包括:用于根據(jù)所述介質(zhì)訪問(wèn)策略判定是否已啟用介質(zhì)訪問(wèn)保護(hù)的裝置��;以 及用于響應(yīng)于確定已啟用所述介質(zhì)訪問(wèn)保護(hù)而判定是否允許所述介質(zhì)訪問(wèn)的裝置���。
[0119] 示例62包括示例52-61中任一項(xiàng)的主題����,并且進(jìn)一步包括:用于在所述計(jì)算設(shè)備的 第二操作系統(tǒng)的執(zhí)行過(guò)程中攔截第二介質(zhì)訪問(wèn)請(qǐng)求的裝置�����,所述第二介質(zhì)訪問(wèn)請(qǐng)求指定第 二存儲(chǔ)操作和第二存儲(chǔ)地址;用于確定所述第二操作系統(tǒng)的標(biāo)識(shí)的裝置���;用于對(duì)所述數(shù)據(jù) 存儲(chǔ)設(shè)備的包括所述第二介質(zhì)訪問(wèn)請(qǐng)求的所述第二存儲(chǔ)地址的第二區(qū)域進(jìn)行標(biāo)識(shí)的裝置�; 以及用于根據(jù)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述第二區(qū)域�����、所述第二操作系統(tǒng)的標(biāo)識(shí)����、以及所述第 二介質(zhì)訪問(wèn)請(qǐng)求的所述第二存儲(chǔ)操作來(lái)判定是否允許所述第二介質(zhì)訪問(wèn)請(qǐng)求的裝置。
[0120] 示例63包括示例52-62中任一項(xiàng)的主題��,并且其中�����,用于攔截所述介質(zhì)訪問(wèn)請(qǐng)求的 所述裝置包括用于使用所述計(jì)算設(shè)備的過(guò)濾器驅(qū)動(dòng)器攔截所述介質(zhì)訪問(wèn)請(qǐng)求的裝置�����。
[0121] 示例64包括示例52-63中任一項(xiàng)的主題�����,并且進(jìn)一步包括:用于響應(yīng)于確定允許所 述介質(zhì)訪問(wèn)請(qǐng)求而使所述介質(zhì)訪問(wèn)請(qǐng)求通過(guò)而去往所述計(jì)算設(shè)備的較低層驅(qū)動(dòng)器的裝置。
[0122] 示例65包括示例52-64中任一項(xiàng)的主題��,并且進(jìn)一步包括:用于響應(yīng)于確定不允許 所述介質(zhì)訪問(wèn)請(qǐng)求而拒絕所述介質(zhì)訪問(wèn)請(qǐng)求的裝置�����。
[0123] 示例66包括示例52-65中任一項(xiàng)的主題�,并且其中,用于標(biāo)識(shí)所述數(shù)據(jù)存儲(chǔ)設(shè)備的 所述區(qū)域的所述裝置包括用于標(biāo)識(shí)所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)的裝置����。
[0124] 示例67包括示例52-66中任一項(xiàng)的主題���,并且其中��,用于標(biāo)識(shí)所述數(shù)據(jù)存儲(chǔ)設(shè)備的 所述區(qū)域的所述裝置包括用于標(biāo)識(shí)所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)表的裝置�����。
[0125] 示例68包括示例52-67中任一項(xiàng)的主題����,并且進(jìn)一步包括:用于在執(zhí)行所述計(jì)算設(shè) 備的所述操作系統(tǒng)之前加載固件執(zhí)行環(huán)境的裝置;用于使用所述固件執(zhí)行環(huán)境從安裝在所 述計(jì)算設(shè)備上的多個(gè)操作系統(tǒng)中選擇所述操作系統(tǒng)的裝置;用于使用所述固件執(zhí)行環(huán)境基 于所述所選擇的操作系統(tǒng)來(lái)確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的有待保護(hù)的第二區(qū)域的裝置;用于使 用所述固件執(zhí)行環(huán)境配置所述數(shù)據(jù)存儲(chǔ)設(shè)備以防止對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述第二區(qū)域 進(jìn)行訪問(wèn)的裝置�����;以及用于使用所述固件執(zhí)行環(huán)境響應(yīng)于配置所述數(shù)據(jù)存儲(chǔ)設(shè)備來(lái)加載所 述所選擇的操作系統(tǒng)的裝置。
[0126] 示例69包括一種用于多操作系統(tǒng)環(huán)境中的介質(zhì)保護(hù)策略實(shí)施的計(jì)算設(shè)備���,所述計(jì) 算設(shè)備包括:用于加載預(yù)操作系統(tǒng)固件執(zhí)行環(huán)境的裝置�;用于使用所述固件執(zhí)行環(huán)境從安 裝在所述計(jì)算設(shè)備上的多個(gè)操作系統(tǒng)中選擇操作系統(tǒng)的裝置;用于使用所述固件執(zhí)行環(huán)境 基于所述所選擇的操作系統(tǒng)確定數(shù)據(jù)存儲(chǔ)設(shè)備的有待保護(hù)的區(qū)域的裝置;用于使用所述固 件執(zhí)行環(huán)境配置所述數(shù)據(jù)存儲(chǔ)設(shè)備以防止對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域進(jìn)行訪問(wèn)的裝 置����;以及用于使用所述固件執(zhí)行環(huán)境響應(yīng)于配置所述數(shù)據(jù)存儲(chǔ)設(shè)備來(lái)加載所述所選擇的操 作系統(tǒng)的裝置。
[0127] 示例70包括示例69的主題��,并且其中�,用于確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域的 所述裝置包括用于確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)的裝置。
[0128] 示例71包括示例69和70中任一項(xiàng)的主題���,并且其中����,用于確定所述數(shù)據(jù)存儲(chǔ)設(shè)備 的所述區(qū)域的所述裝置包括用于確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)表的裝置���。
[0129] 示例72包括示例69-71中任一項(xiàng)的主題�����,并且其中�����,用于確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的 所述區(qū)域的所述裝置包括用于對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的不為所述所選擇的操作系統(tǒng)所擁有 的區(qū)域進(jìn)行標(biāo)識(shí)的裝置����。
[0130]示例73包括示例69-72中任一項(xiàng)的主題,并且其中����,用于確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的 所述區(qū)域的所述裝置包括用于根據(jù)所述計(jì)算設(shè)備的介質(zhì)訪問(wèn)策略確定所述區(qū)域的裝置。
[0131] 示例74包括示例69-73中任一項(xiàng)的主題����,并且其中�����,用于根據(jù)所述介質(zhì)訪問(wèn)策略確 定所述區(qū)域的所述裝置包括用于從所述計(jì)算設(shè)備的非易失性存儲(chǔ)裝置讀取所述介質(zhì)訪問(wèn) 策略的裝置����。
[0132] 示例75包括示例69-74中任一項(xiàng)的主題,并且進(jìn)一步包括:用于在所述所選擇的操 作系統(tǒng)的執(zhí)行過(guò)程中攔截介質(zhì)訪問(wèn)請(qǐng)求的所述裝置,所述介質(zhì)訪問(wèn)請(qǐng)求指定存儲(chǔ)操作和存 儲(chǔ)地址���;用于確定所述選定的操作系統(tǒng)的標(biāo)識(shí)的裝置�����;用于對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的包括所 述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)地址的第二區(qū)域進(jìn)行標(biāo)識(shí)的裝置����;以及用于根據(jù)所述數(shù)據(jù)存儲(chǔ) 設(shè)備的所述第二區(qū)域�����、所述選定的操作系統(tǒng)的標(biāo)識(shí)���、以及所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)操 作來(lái)判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求的裝置�。
【主權(quán)項(xiàng)】
1. 一種用于多操作系統(tǒng)環(huán)境中的介質(zhì)保護(hù)策略實(shí)施的計(jì)算設(shè)備�,所述計(jì)算設(shè)備包括: 包括多個(gè)區(qū)域的數(shù)據(jù)存儲(chǔ)設(shè)備;以及 策略實(shí)施模塊��,所述策略實(shí)施模塊用于: 在所述計(jì)算設(shè)備的操作系統(tǒng)的執(zhí)行過(guò)程中攔截介質(zhì)訪問(wèn)請(qǐng)求��,其中���,所述介質(zhì)訪問(wèn)請(qǐng) 求指定存儲(chǔ)操作和存儲(chǔ)地址�; 確定所述計(jì)算設(shè)備的所述操作系統(tǒng)的標(biāo)識(shí); 標(biāo)識(shí)所述數(shù)據(jù)存儲(chǔ)設(shè)備的包括所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)地址的區(qū)域���;以及 根據(jù)(i)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述經(jīng)標(biāo)識(shí)的區(qū)域���、(ii)所述操作系統(tǒng)的標(biāo)識(shí)、以及 (i i i)所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)操作來(lái)判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求��。2. 如權(quán)利要求1所述的計(jì)算設(shè)備�����,其中��,用于判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求包括用 于: 判定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域是否為所述操作系統(tǒng)所擁有���;以及 響應(yīng)于確定了所述區(qū)域?yàn)樗霾僮飨到y(tǒng)所擁有�����,確定允許所述介質(zhì)訪問(wèn)請(qǐng)求。3. 如權(quán)利要求2所述的計(jì)算設(shè)備����,其中���,用于判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求進(jìn)一步包 括用于:響應(yīng)于確定了所述區(qū)域不為所述操作系統(tǒng)所擁有,根據(jù)所述計(jì)算設(shè)備的介質(zhì)訪問(wèn) 策略來(lái)判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求�。4. 如權(quán)利要求3所述的計(jì)算設(shè)備,其中����,用于根據(jù)所述介質(zhì)訪問(wèn)策略來(lái)判定是否允許所 述介質(zhì)訪問(wèn)請(qǐng)求包括用于: 判定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域是否由所述操作系統(tǒng)與第二操作系統(tǒng)共享,其中���, 所述第二操作系統(tǒng)在所述確定的過(guò)程中將不執(zhí)行�;以及 響應(yīng)于確定了所述區(qū)域被共享����,確定允許所述介質(zhì)訪問(wèn)請(qǐng)求。5. 如權(quán)利要求3所述的計(jì)算設(shè)備����,其中,用于根據(jù)所述介質(zhì)訪問(wèn)策略來(lái)判定是否允許所 述介質(zhì)訪問(wèn)請(qǐng)求包括用于:根據(jù)所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)操作來(lái)判定是否允許所述介 質(zhì)訪問(wèn)請(qǐng)求����。6. 如權(quán)利要求1至5中任一項(xiàng)所述的計(jì)算設(shè)備���,其中,用于判定是否允許所述介質(zhì)訪問(wèn) 包括用于:使用所述計(jì)算設(shè)備的固件環(huán)境從所述計(jì)算設(shè)備的非易失性存儲(chǔ)裝置讀取介質(zhì)訪 問(wèn)策略�。7. 如權(quán)利要求6所述的計(jì)算設(shè)備,其中���,用于判定是否允許所述介質(zhì)訪問(wèn)包括用于: 根據(jù)所述介質(zhì)訪問(wèn)策略來(lái)判定是否已啟用介質(zhì)訪問(wèn)保護(hù)�;以及 響應(yīng)于確定了已啟用所述介質(zhì)訪問(wèn)保護(hù)�����,判定是否允許所述介質(zhì)訪問(wèn)��。8. 如權(quán)利要求1至5中任一項(xiàng)所述的計(jì)算設(shè)備����,其中,所述策略實(shí)施模塊包括所述計(jì)算 設(shè)備的過(guò)濾器驅(qū)動(dòng)器���,并且其中�����,所述策略實(shí)施模塊進(jìn)一步用于: 響應(yīng)于確定了允許所述介質(zhì)訪問(wèn)請(qǐng)求��,使所述介質(zhì)訪問(wèn)請(qǐng)求通過(guò)而去往所述計(jì)算設(shè)備 的較低層驅(qū)動(dòng)器;并且 響應(yīng)于確定了不允許所述介質(zhì)訪問(wèn)請(qǐng)求���,拒絕所述介質(zhì)訪問(wèn)請(qǐng)求。9. 如權(quán)利要求1至5中任一項(xiàng)所述的計(jì)算設(shè)備���,其中��,所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域包 括所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)或所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)表����。10. -種用于多操作系統(tǒng)環(huán)境中的介質(zhì)保護(hù)策略實(shí)施的計(jì)算設(shè)備�,所述計(jì)算設(shè)備包括: 包括多個(gè)區(qū)域的數(shù)據(jù)存儲(chǔ)設(shè)備; 由所述計(jì)算設(shè)備的固件環(huán)境所建立的引導(dǎo)選項(xiàng)模塊����,所述引導(dǎo)選項(xiàng)模塊用于從安裝在 所述計(jì)算設(shè)備上的多個(gè)操作系統(tǒng)中選擇操作系統(tǒng);以及 由所述固件環(huán)境所建立的策略實(shí)施模塊����,所述策略實(shí)施模塊用于(i)基于所述所選擇 的操作系統(tǒng)來(lái)確定數(shù)據(jù)存儲(chǔ)設(shè)備的有待保護(hù)的區(qū)域;以及(ii)配置所述數(shù)據(jù)存儲(chǔ)設(shè)備以防 止對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域的訪問(wèn)����; 其中���,所述引導(dǎo)選項(xiàng)模塊進(jìn)一步用于:響應(yīng)于對(duì)所述數(shù)據(jù)存儲(chǔ)設(shè)備的配置來(lái)加載所述 所選擇的操作系統(tǒng)。11. 如權(quán)利要求10所述的計(jì)算設(shè)備����,其中,所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域包括所述數(shù)據(jù) 存儲(chǔ)設(shè)備的分區(qū)或所述數(shù)據(jù)存儲(chǔ)設(shè)備的分區(qū)表�����。12. 如權(quán)利要求10所述的計(jì)算設(shè)備�,其中,用于確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域包括 用于標(biāo)識(shí)所述數(shù)據(jù)存儲(chǔ)設(shè)備的不為所述所選擇的操作系統(tǒng)所擁有的區(qū)域�。13. 如權(quán)利要求10至12中任一項(xiàng)所述的計(jì)算設(shè)備,其中����,用于確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的 所述區(qū)域包括用于根據(jù)所述計(jì)算設(shè)備的介質(zhì)訪問(wèn)策略來(lái)確定所述區(qū)域。14. 一種用于多操作系統(tǒng)環(huán)境中的介質(zhì)保護(hù)策略實(shí)施的方法���,所述方法包括: 由計(jì)算設(shè)備在所述計(jì)算設(shè)備的操作系統(tǒng)的執(zhí)行過(guò)程中攔截介質(zhì)訪問(wèn)請(qǐng)求�,所述介質(zhì)訪 問(wèn)請(qǐng)求指定存儲(chǔ)操作和存儲(chǔ)地址����; 由所述計(jì)算設(shè)備確定所述計(jì)算設(shè)備的所述操作系統(tǒng)的標(biāo)識(shí)�; 由所述計(jì)算設(shè)備對(duì)所述計(jì)算設(shè)備的數(shù)據(jù)存儲(chǔ)設(shè)備的包括所述介質(zhì)訪問(wèn)請(qǐng)求的所述存 儲(chǔ)地址的區(qū)域進(jìn)行標(biāo)識(shí);并且 由所述計(jì)算設(shè)備根據(jù)(i)所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述經(jīng)標(biāo)識(shí)的區(qū)域��、(ii)所述操作系統(tǒng) 的標(biāo)識(shí)��、以及(i i i)所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)操作來(lái)判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求�����。15. 如權(quán)利要求14所述的方法�,其中�����,判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求包括: 判定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域是否為所述操作系統(tǒng)所擁有����;以及 響應(yīng)于確定了所述區(qū)域?yàn)樗霾僮飨到y(tǒng)所擁有,確定允許所述介質(zhì)訪問(wèn)請(qǐng)求����。16. 如權(quán)利要求15所述的方法,其中����,判定是否允許所述介質(zhì)訪問(wèn)請(qǐng)求進(jìn)一步包括:響 應(yīng)于確定了所述區(qū)域不為所述操作系統(tǒng)所擁有�����,根據(jù)所述計(jì)算設(shè)備的介質(zhì)訪問(wèn)策略來(lái)判定 是否允許所述介質(zhì)訪問(wèn)請(qǐng)求����。17. 如權(quán)利要求16所述的方法�����,其中��,根據(jù)所述介質(zhì)訪問(wèn)策略來(lái)判定是否允許所述介質(zhì) 訪問(wèn)請(qǐng)求包括: 判定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域是否由所述操作系統(tǒng)與第二操作系統(tǒng)共享�,其中, 所述第二操作系統(tǒng)當(dāng)前不執(zhí)行;并且 響應(yīng)于確定了所述區(qū)域是被共享�����,確定允許所述介質(zhì)訪問(wèn)請(qǐng)求���。18. 如權(quán)利要求16所述的方法��,其中���,根據(jù)所述介質(zhì)訪問(wèn)策略來(lái)判定是否允許所述介質(zhì) 訪問(wèn)請(qǐng)求包括:根據(jù)所述介質(zhì)訪問(wèn)請(qǐng)求的所述存儲(chǔ)操作來(lái)判定是否允許所述介質(zhì)訪問(wèn)請(qǐng) 求����。19. 如權(quán)利要求14所述的方法���,其中����,判定是否允許所述介質(zhì)訪問(wèn)包括:使用所述計(jì)算 設(shè)備的固件環(huán)境從所述計(jì)算設(shè)備的非易失性存儲(chǔ)裝置讀取介質(zhì)訪問(wèn)策略��。20. -種用于多操作系統(tǒng)環(huán)境中的介質(zhì)保護(hù)策略實(shí)施的方法����,所述方法包括: 由計(jì)算設(shè)備加載預(yù)操作系統(tǒng)固件執(zhí)行環(huán)境�; 由具有所述固件執(zhí)行環(huán)境的所述計(jì)算設(shè)備從安裝在所述計(jì)算設(shè)備上的多個(gè)操作系統(tǒng) 中選擇操作系統(tǒng); 由具有所述固件執(zhí)行環(huán)境的所述計(jì)算設(shè)備基于所述所選擇的操作系統(tǒng)來(lái)確定數(shù)據(jù)存 儲(chǔ)設(shè)備的有待保護(hù)的區(qū)域��; 由具有所述固件執(zhí)行環(huán)境的所述計(jì)算設(shè)備配置所述數(shù)據(jù)存儲(chǔ)設(shè)備以防止對(duì)所述數(shù)據(jù) 存儲(chǔ)設(shè)備的所述區(qū)域的訪問(wèn)����;以及 由具有所述固件執(zhí)行環(huán)境的所述計(jì)算設(shè)備響應(yīng)于配置所述數(shù)據(jù)存儲(chǔ)設(shè)備來(lái)加載所述 所選擇的操作系統(tǒng)。21. 如權(quán)利要求20所述的方法����,其中�����,確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域包括:標(biāo)識(shí)所 述數(shù)據(jù)存儲(chǔ)設(shè)備的不為所述所選擇的操作系統(tǒng)所擁有的區(qū)域�����。22. 如權(quán)利要求20所述的方法����,其中�����,確定所述數(shù)據(jù)存儲(chǔ)設(shè)備的所述區(qū)域包括:根據(jù)所 述計(jì)算設(shè)備的介質(zhì)訪問(wèn)策略來(lái)確定所述區(qū)域��。23. -種計(jì)算設(shè)備����,包括 處理器;以及 存儲(chǔ)器�����,所述存儲(chǔ)器具有存儲(chǔ)于其中的多條指令,這些指令當(dāng)被所述處理器執(zhí)行時(shí)致 使所述計(jì)算設(shè)備執(zhí)行如權(quán)利要求14-22中任一項(xiàng)所述的方法���。24. -種或多種機(jī)器可讀存儲(chǔ)介質(zhì)��,包括存儲(chǔ)于其上的多條指令���,響應(yīng)于執(zhí)行所述多條 指令,所述多條指令導(dǎo)致計(jì)算設(shè)備執(zhí)行如權(quán)利要求14至22中任一項(xiàng)所述的方法����。25. -種計(jì)算設(shè)備,包括用于執(zhí)行如權(quán)利要求14至22中任一項(xiàng)所述的方法的裝置����。
【文檔編號(hào)】G06F21/62GK105900105SQ201580003846
【公開(kāi)日】2016年8月24日
【申請(qǐng)日】2015年1月30日
【發(fā)明人】M·A·羅斯曼, V·J·齊默, M·S·多蘭
【申請(qǐng)人】英特爾公司