TWI767548B - 操作具有複數個作業系統之使用者裝置的方法及系統 - Google Patents
操作具有複數個作業系統之使用者裝置的方法及系統 Download PDFInfo
- Publication number
- TWI767548B TWI767548B TW110103847A TW110103847A TWI767548B TW I767548 B TWI767548 B TW I767548B TW 110103847 A TW110103847 A TW 110103847A TW 110103847 A TW110103847 A TW 110103847A TW I767548 B TWI767548 B TW I767548B
- Authority
- TW
- Taiwan
- Prior art keywords
- user device
- operating system
- monitoring module
- communication medium
- operating
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000012544 monitoring process Methods 0.000 claims abstract description 78
- 230000004044 response Effects 0.000 claims abstract description 16
- 238000004891 communication Methods 0.000 claims description 53
- 230000007613 environmental effect Effects 0.000 claims description 16
- 230000004913 activation Effects 0.000 claims description 11
- 238000012986 modification Methods 0.000 claims description 2
- 230000004048 modification Effects 0.000 claims description 2
- 238000004519 manufacturing process Methods 0.000 description 15
- 238000005192 partition Methods 0.000 description 7
- 230000008520 organization Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000001413 cellular effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000001965 increasing effect Effects 0.000 description 3
- 230000000737 periodic effect Effects 0.000 description 3
- 230000007958 sleep Effects 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006266 hibernation Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Landscapes
- Mechanical Control Devices (AREA)
- Switches With Compound Operations (AREA)
- Stored Programmes (AREA)
Abstract
本發明之實施例係關於操作具有複數個作業系統之使用者裝置的方法及系統。在一些實施例中,該方法包括:存取組態模組所設定之基於該使用者裝置之使用位置的作業系統啟動規則;藉由監測模組偵測該使用者裝置之使用位置;基於該作業系統啟動規則,回應於該監測模組偵測該使用位置位於何管制區以載入相對應的作業系統。在一些實施例中,該系統包括:組態模組,其設定基於該使用者裝置之使用位置的作業系統啟動規則;及監測模組,其經組態以偵測該使用者裝置之使用位置。
Description
本發明之實施例係關於操作具有複數個作業系統之使用者裝置的方法及系統。
對於諸多個人及企業雇員而言,個人裝置對於攜帶及處理資料至關重要。個人裝置安裝有作業系統,其負責管理個人裝置之硬體及軟體資源,並提供軟體服務給使用者。對企業而言,企業雇員之個人裝置須經由企業之資訊技術(IT)系統進行安全控管,以確保企業之機密資料不被未經授權之使用者存取,其中一種控管方式即是針對作業系統進行管控。然而,現有安全控管措施可能造成個人裝置之使用者的不便利性或是過度增加企業支出成本。因此,需要一種改良之安全控管措施。
本發明的一些實施例係關於一種操作具有複數個作業系統之使用者裝置的方法,該方法包括:存取組態模組所設定之基於該使用者裝置之使用位置的作業系統啟動規則;藉由監測模組偵測該使用者裝置之使用位置;基於該作業系統啟動規則,回應於該監測模組偵測該使用位置位於第一工作區,該使用者裝置載入第一作業系統。
本發明的一些實施例係關於一種操作具有複數個作業系統之使用者裝置的方法,該方法包括:存取組態模組所設定之基於該使用者裝置之使用位置的作業系統啟動規則;藉由監測模組偵測該使用者裝置之使用位置;基於該作業系統啟動規則,回應於該監測模組偵測該使用位置由第一工作區改變至第二工作區,而自動切換該使用者裝置之作業系統,其中該自動切換該使用者裝置之作業系統包括:維持該使用者裝置電源開啟狀態;儲存並加密第一作業系統之資料;關閉該第一作業系統;及載入第二作業系統。
本發明的一些實施例係關於一種操作具有複數個作業系統之使用者裝置的系統,其包括:環境訊號源;通訊媒介,其由該環境訊號源發出;及具有複數個作業系統之使用者裝置,其包括:組態模組,其設定基於該使用者裝置之使用位置的作業系統啟動規則;及監測模組,其接收該通訊媒介,且經組態以偵測該使用者裝置之使用位置;其中該使用者裝置基於該作業系統啟動規則,執行以下步驟:回應於該監測模組偵測該使用者裝置位於第一工作區,啟動第一作業系統;或回應於該監測模組偵測該使用者裝置由第一工作區改變至第二工作區,自動切換該使用者裝置之作業系統,其中該自動切換該使用者裝置之作業系統包括:維持該使用者裝置電源開啟狀態;儲存並加密第一作業系統之資料;關閉該第一作業系統;及載入第二作業系統。
以下揭示內容提供用於實施所提供標的之不同特徵之諸多不同實施例或實例。下文描述組件及佈置之特定實例以簡化本發明實施例。當然,此等僅僅係實例,而不意欲係限制性的。另外,本發明實施例可在各種實例中重複參考數字及/或字母。此重複係為簡單及清楚之目的,並且本身並不表示所論述之各種實施例及/或組態之間之關係。
貫穿本發明實施例使用之術語「耦合」描述兩個或更多個裝置或元件之間之直接或間接連接。在一些情況中,至少兩個裝置或元件之間之耦合係指其之間之僅電或導電連接,且介入特徵可出現在耦合裝置與元件之間。在一些其他情況中,至少兩個裝置或元件之間之耦合可涉及主體接觸及/或電連接。
在企業或公司中,於不同工作區,例如:辦公室、實驗室或產線等,可能對員工之電腦或行動裝置有不同的安全規範或允許不同權限,而需要使用不同的作業系統。另一方面,於不同工作情境下,例如:資訊技術(IT)系統管理人員於文書處理時或是進行IT系統管理時,亦可能需要使用不同的作業系統。因應上述需求,有些公司或企業會於不同工作區設置具有不同安全規範的電腦。然而,此舉導致員工具有一台以上之電腦於不同工作區,進而增加公司或企業支出成本。現有雙啟動(Dual-booting)系統,允許使用者於同一台電腦或行動裝置中執行不同的作業系統;然而,使用者必須於開機時自行選取所欲開啟之作業系統,造成使用上的不便利。
在本發明之一些實施例中,提供一種操作具有複數個作業系統之使用者裝置的方法,該方法能夠根據使用者裝置之不同使用位置而自動開啟或切換相對應之作業系統,其中藉由監測模組以偵測該使用者裝置之使用位置是位於何管制區(例如:辦公室、實驗室、產線或公司/企業外部等),且藉由組態模組設立使用者裝置之作業系統啟動規則,該作業系統啟動規則係基於不同管制區而設定,例如:於辦公室則允許執行諸如企業版Windows之辦公室作業系統;於產線則允許執行諸如Linux之產線作業系統;於公司/企業外部則允許執行諸如居家版Windows之外部作業系統;於風險狀態時則進入加密模式等。
依據本發明之一些實施例所提供的方法,具有複數個作業系統之使用者裝置於開機時會自動載入作業系統,因此使用者於開機時無須自行選擇將要執行的作業系統,因而增進使用便利性;另一方面,可減少或消除使用者嘗試登入不允許之作業系統之企圖或機會,因而增進安全性。舉例而言,一使用者於辦公室開啟該使用者裝置之電源,該使用者裝置之系統經由該組態模組而設立作業系統啟動規則,並回應於該監測模組偵測到該使用者裝置位於辦公室,而自動啟動諸如企業版Windows之辦公室作業系統,該使用者無須自行點選進入辦公室作業系統、產線作業系統或外部作業系統等。
依據本發明之一些實施例所提供的方法,具有複數個作業系統之使用者裝置於執行作業系統後,該監測模組仍持續偵測該使用者裝置之使用位置。當偵測到使用位置改變時,例如:從辦公區改變至產線,則該使用者裝置會自動儲存並加密原作業系統所執行之程式,並關閉原作業系統,藉此可加強安全控管、增進資料安全性;同時,回應於偵測到的新使用位置,自動切換至相對應的作業系統,藉此增進使用便利性。舉例而言,位於辦公室之使用者裝置自動啟動辦公室作業系統後,該監測模組仍持續偵測該使用裝置之使用位置,倘若該使用者裝置之使用位置離開該辦公室,例如:該使用者裝置從辦公室被攜帶至產線,該監測模組則會偵測到該使用位置由該辦公室移至產線,此時該使用者裝置會自動儲存該辦公室作業系統之程式資料並進行加密,且關閉該辦公室作業系統,使該辦公室作業系統之資料無法被存取,同時回應於偵測到新使用位置位於產線,而自動開啟產線作業系統。
圖1為根據一些實施例之用於操作具有複數個作業系統之使用者裝置的應用場景10示意圖。組織(例如公司/企業100)內部可以劃分為不同工作區,例如第一工作區101、第二工作區102,該不同工作區可為辦公室、實驗室或產線等。在一些實施例中,第一工作區101及第二工作區102具有不同的資訊安全規範,或是允許使用不同的作業系統。在一些實施例中,第一工作區101及第二工作區102具有不同的工作情境。舉例而言,第一工作區101可為用於文書處理之辦公室,而第二工作區102可為用於操作生產機台之產線。此外,公司/企業100設置並操作資訊技術(IT)系統,其分佈在辦公室、實驗室及/或產線等並由至少一個伺服器及包含例示性使用者裝置104、105、106之若干使用者裝置組成。IT系統亦包含連接IT系統中之伺服器及使用者裝置之一或多者的無線網路111、112及/或有線網路121、122,其中無線網路111及/或有線網路121設置於第一工作區101,無線網路112及/或有線網路122則設置於第二工作區102。在一些實施例中,使用者裝置104、105之使用位置位於公司/企業100內部。在一些實施例中,使用者裝置104位於第一工作區101,其連接至第一工作區101所設置之無線網路111及/或有線網路121。在一些實施例中,使用者裝置105之使用位置位於公司/企業100內部之第二工作區102,其連接至第二工作區102所設置之無線網路112及/或有線網路122。在一些實施例中,使用者裝置106之使用位置位於公司/企業100外部,其連接至外部無線網路或有線網路。在一些實施例中,無線網路111、112及/或有線網路121、122包含網路介面裝備、纜線、有線/無線收發器及其他網路組件。在一些實施例中,伺服器至少包含網域名稱伺服器、金鑰伺服器、網域控制站及資料伺服器。在一些實施例中,公司/企業100之機密資料(例如產品設計及製造資料、雇員統計資料以及市場行銷及客戶資訊)儲存在伺服器中並能夠由公司/企業100之一或多個符合條件之雇員基於個人存取級別及資料之安全級別來存取。
在一些實施例中,使用者裝置104、105、106屬於公司/企業100之IT系統並由公司/企業100之IT系統管理。使用者裝置104、105、106可為可儲存資料之固定或行動裝置,例如桌上型電腦、蜂巢電話、筆記型電腦、平板電腦、個人數位助理(PDA)、可攜式儲存裝置、視訊/音訊信號收發器或類似者。在一些替代實施例中,使用者裝置104、105、106為固定裝置,例如桌上型電腦、有線通信裝置、伺服器之終端或類似者。在一些實施例中,使用者裝置104、105、106為行動裝置,例如PDA、智慧型手機、手機平板、筆記型電腦、平板電腦、穿戴式設備或類似者。在一些實施例中,使用者裝置104、105、106裝備有有線或無線介面,其用於藉由主體線線路或無線地與公司/企業100之管理主體(例如伺服器)通信。在一些實施例中,使用者裝置104、105、106可被攜帶至不同工作區(例如第一工作區101、第二工作區102),甚至可被攜帶至公司/企業100外部。
在一些實施例中,第一工作區101、第二工作區102可由物理邊界或虛擬邊界來定義。在一些實施例中,第一工作區101由無線網路111之信號覆蓋內之範圍界定,或是由有線網路121所到達之範圍界定。在一些實施例中,第二工作區102由無線網路112之信號覆蓋內之範圍界定,或是由有線網路122所到達之範圍界定。在一些實施例中,第一工作區101、第二工作區102由下文所述環境訊號源204所發出之通訊媒介206界定,例如由GPS信號、Wi-Fi信號、蜂巢網路信號(例如GSM)、RFID信號、NFC信號、藍芽信號、超聲波信號、其組合或類似者界定。
在一些實施例中,使用者裝置104連接至第一工作區101所架設之無線網路111或有線網路121,因此判定該使用者裝置位於第一工作區101;使用者裝置105連接至第二工作區102所架設之無線網路112或有線網路122,因此判定該使用者裝置位於第二工作區102;使用者裝置106被攜帶至公司/企業100外部,無法連接至任何公司/企業100之無線網路或有線網路,因此判定該使用者裝置106在公司/企業外部。
圖2示意性地展示根據一些實施例之用於操作具有複數個作業系統之使用者裝置的系統20。該系統20包含使用者裝置202、環境訊號源204及通訊媒介206,其中該使用者裝置包含處理器210、記憶體212、基本輸入輸出系統(BIOS)230、儲存裝置214、組態模組216、監測模組218及加密模組220,其中該儲存裝置214中存有複數個作業系統,例如第一作業系統240、第二作業系統242、第三作業系統244。該使用者裝置亦可包含輸入裝置、輸出裝置、電源供應器、網路介面單元、電力控制單元及匯流排等(未繪示)。監測模組218可用以接收環境訊號源204所發出的通訊媒介206,或是監測模組218可經由通訊媒介206而連接至環境訊號源204。在一些實施例中,使用者裝置202為前文所述之使用者裝置104、105、106。
環境訊號源204用以發出通訊媒介206,其可由組織(例如公司/企業100)之IT系統所管理。在一些實施例中,組織(例如公司/企業100)內部存在有複數個環境訊號源204,其等安裝於前文所述不同工作區,例如第一工作區101、第二工作區102;該環境訊號源204於不同工作區中會發出隱含該工作區位置信息之通訊媒介206。在一些實施例中,環境訊號源204為無線網路或有線網路之網路伺服器。舉例而言,環境訊號源204可為前文所述之無線網路111、112或有線網路121、122之網路伺服器。在一些實施例中,環境訊號源204為例如GPS信號源、Wi-Fi信號源、蜂巢網路信號(例如GSM)源、RFID信號源、NFC信號源、藍芽信號源、超聲波信號源、其組合或類似者。在一些實施例中,該通訊媒介206為GPS信號、Wi-Fi信號、蜂巢網路信號(例如GSM)、RFID信號、NFC信號、藍芽信號、超聲波信號、其組合或類似者。例如,該通訊媒介206可為前文所述無線網路111、112之無線網路訊號。在一些替代實施例中,通訊媒介206可為有線網路之訊號,例如前文所述有線網路121、122之訊號。在一些實施例中,環境訊號源204由組織(例如公司/企業100)所授權設置,且經組態以賦予通訊媒介206一認證識別資訊,或經組態以對通訊媒介206進行加密,例如利用所授權之金鑰對通訊媒介206進行加密。
監測模組218經組態以用於偵測使用者裝置202之使用位置。在一些實施例中,監測模組218為硬體裝置。在一些實施例中,監測模組218為通訊媒介206之接收器,其接收環境訊號源204所發出的通訊媒介206。在一些實施例中,監測模組218讀取隱含於通訊媒介206中的位置信息。在一些實施例中,監測模組218藉由通訊媒介206中的位置信息,判定使用者裝置202是位於何管制區(例如:前文所述第一工作區101、第二工作區102或公司/企業100外部),該等管制區允許使用者開啟不同的作業系統。在一些實施例中,監測模組218為座標定位器,例如:GPS座標接收器或收發器,其自通訊媒介206獲得使用裝置202之使用位置座標後,判讀該使用位置座標位於何管制區(例如:前文所述第一工作區101、第二工作區102或公司/企業100外部)。在一些實施例中,通訊媒介206為無線網路(例如前文所述無線網路111、112)之訊號或有線網路(例如前文所述有線網路121、122)之訊號,監測模組218可讀取該無線網路或該有線網路之IP位址,據此判斷使用者裝置202之使用位置位於何管制區(例如:前文所述第一工作區101、第二工作區102或公司/企業100外部)。在一些實施例中,監測模組218經組態以對通訊媒介206進行認證,以判定通訊媒介206是否係由經組織(例如公司/企業100)所授權之環境訊號源204所發出,該認證可藉由下列一者或多者達成:(1)監測模組218經組態以讀取通訊媒介206之認證識別資訊;或(2)監測模組218經組態以對加密之通訊媒介206進行解密,例如利用金鑰對通訊媒介206進行解密,其中該金鑰可與前文所述對通訊媒介206進行加密之金鑰相同或不同。在一些實施例中,在使用者裝置202執行啟動指令或啟動作業系統之前,監測模組218執行偵測使用者裝置202之使用位置。在一些實施例中,在使用者裝置202執行啟動指令或啟動作業系統之後,監測模組218執行偵測使用者裝置202之使用位置。在一些實施例中,監測模組218之偵測作業以週期性方式執行,例如以具有10秒、15秒之週期或其他合適週期之間隔執行。在一些實施例中,預定間隔可被設置為大於或等於零,例如事件觸發之監測方案可與週期性監測同時採用。
儲存裝置214經組態以儲存可由處理器210執行之程式指令及由程式指令存取之資料。在一些實施例中,儲存裝置214包括非暫時性電腦可讀儲存媒體,例如硬碟、固態硬碟、快閃記憶體、磁帶、光碟、隨身碟或類似者。在一些實施例中,儲存裝置214儲存使用者裝置202之作業系統之指令及資料。在一些實施例中,儲存裝置214中存有複數個作業系統之指令及資料,例如第一作業系統240、第二作業系統242、第三作業系統244。在一些實施例中,第一作業系統240、第二作業系統242、第三作業系統244各自獨立為微軟Windows、Apple Mac OS、Linux、UNIX或彼等之不同版本。在一些實施例中,第一作業系統240、第二作業系統242、第三作業系統244各自獨立為Android、iOS、Symbian、Microsoft Mobile、Microsoft Phone或彼等之不同版本。在一些實施例中,儲存裝置214被分割成不同儲存區域,第一作業系統240、第二作業系統242、第三作業系統244分別儲存於儲存裝置214之不同分割區;在一些替代實施例中,使用者裝置202包括複數個儲存裝置(未繪示),第一作業系統240、第二作業系統242、第三作業系統244分別儲存於不同的儲存裝置中。在一些實施例中,儲存裝置214為硬碟裝置,其包含主啟動記錄(Master Boot Record,MBR;亦稱主啟動磁區),該主啟動記錄存放幻數(magic number)、分區表(partition table)及啟動載入器(boot loader),其中該幻數作為該主啟動記錄之識別碼,其允許其他程式(例如:基本輸入輸出系統(BIOS))辨識出該主啟動記錄之位置;該分區表記錄該硬碟裝置中各分割區之資訊,例如:硬碟裝置中各分割區的格式、大小及位置等;該啟動載入器則作為啟動作業系統之啟動程式,當啟動載入器被載入記憶體212且經處理器210執行後,其會將第一作業系統240、第二作業系統242或第三作業系統244載入記憶體212中而啟動相對應的作業系統。
記憶體212經組態以儲存待由處理器210執行之程式指令及由程式指令存取之資料。在一些實施例中,記憶體212包含揮發性記憶體裝置、非揮發性記憶體裝置或其組合。在一些實施例中,記憶體212包含唯讀記憶體(ROM)裝置、隨機存取記憶體(RAM)裝置、快閃記憶體裝置或其組合。在一些實施例中,記憶體212儲存使用者裝置202之基本輸入輸出系統(BIOS)2023,其經組態以在使用者裝置202之啟動程序期間執行硬體初始化及硬體測試。在一些實施例中,BIOS 230儲存於記憶體212之ROM裝置或快閃記憶體裝置中。在一些實施例中,BIOS 230執行尋找前文所述儲存裝置214中的主啟動記錄,並將該主啟動記錄載入記憶體212,例如載入記憶體212之RAM裝置,繼而執行前文所述主啟動記錄中的啟動載入器,藉由該啟動載入器將第一作業系統240、第二作業系統242、第三作業系統244載入記憶體212。在一些實施例中,前述第一作業系統240、第二作業系統242、第三作業系統244係載入記憶體212之RAM裝置。
處理器210經組態以執行儲存在記憶體212或儲存裝置214中之程式指令。處理器210可為中央處理單元(CPU)、微處理器或特定應用積體電路(ASIC)。在一些實施例中,當使用者裝置202開啟時,處理器210經組態以自記憶體212載入BIOS 230以執行硬體及韌體初始化及測試。在一些實施例中,在使用者裝置202之啟動程序執行期間或之後,處理器210經組態以自儲存在儲存裝置214中之作業系統載入程式指令。在一些實施例中,處理器210經組態以執行組態模組216所設定之作業系統啟動規則及監測模組218之指令。
組態模組216經組態以設定使用者裝置202的作業系統啟動規則,該作業系統啟動規則係基於使用者裝置202的使用位置。在一些實施例中,該使用位置係藉由前文所述監測模組2024所偵測。在一些實施例中,組態模組為軟體程式,其可儲存於例如但不限於記憶體212、儲存裝置214或類似者。在一些實施例中,組態模組216經系統管理員(例如公司/企業100之IT系統管理員)限定修改權限,且須有該系統管理員之授權方得對組態模組進行修改,例如須獲得該系統管理員所核發之特定金鑰進行解鎖方得修改組態模組216,或是僅得由該系統管理員進行修改。在一些實施例中,該作業系統啟動規則為根據所偵測到的使用位置,允許開啟相對應的作業系統或進入加密模式。舉例而言,該作業系統啟動規則可為但不限於:當監測模組218偵測到使用者裝置202位於前文所述第一工作區101,則執行第一作業系統240;當監測模組218偵測到使用者裝置202位於前文所述第二工作區102,則執行第二作業系統242;當監測模組218偵測到使用者裝置202位於前文所述公司/企業100外部,則執行第三作業系統244或進入加密模式。在一些實施例中,該作業系統啟動規則為根據所偵測到的使用位置之改變,關閉正執行的作業系統,並開啟另一作業系統或進入加密模式。舉例而言,該作業系統啟動規則可為但不限於:當監測模組218偵測到使用者裝置202由前文所述第一工作區101改變至第二工作區102,則關閉正執行的第一作業系統240,並開啟第二作業系統242;當監測模組218偵測到使用者裝置202之使用位置由第二工作區102改變至公司/企業100外部,則關閉正執行的第二作業系統242,並開啟第三作業系統244或進入加密模式。在一些實施例中,該作業系統啟動規則進一步包含在關閉正在執行的作業系統之前,儲存該作業系統之資料。在一些實施例中,該作業系統啟動規則進一步包含在關閉正在執行的作業系統之前,對該作業系統之資料進行加密。在一些實施例中,BIOS 230/啟動載入器基於組態模組216所設定的作業系統啟動規則,並讀取監測模組218所偵測到的使用位置,據此開啟相對應的作業系統。在一些實施例中,開啟相對應的作業系統包含將相對應的作業系統由儲存裝置214載入至記憶體212,並將處理器210控制權移交給該相對應的作業系統。
在一些實施例中,加密模組220包含加密/解密電路或程式,其經組態以執行儲存裝置214之加密及解密任務。在一些實施例中,加密模組220經實施為獨立半導體晶片(例如:可信賴平台模組(TPM)晶片),其使用特定硬體結構執行加密及解密以節省電力及時間。在一些實施例中,加密及解密係基於高度發展之密碼學理論來達成。舉例而言,加密模組220基於僅由符合條件之使用者知道之金鑰來執行加密及解密任務。在無金鑰之情況下,惡意攻擊者很難或不可能在有限時間內駭客攻擊儲存裝置214並竊取儲存裝置214中之資料。在一些實施例中,儲存裝置214每次在使用者進入休眠模式或關閉之前被加密模組220加密。在一些實施例中,當儲存裝置214處於休眠模式或睡眠模式時,關閉或降低對儲存裝置218之電力供應。當使用者裝置202自休眠模式或睡眠模式開啟或喚醒時,使用者裝置202需要存取金鑰以便解密儲存裝置214。在一些實施例中,加密模組220之金鑰僅由公司/企業100提供,例如經由金鑰伺服器,並且係自儲存裝置214啟動作業系統之唯一方式。使用者裝置202需要連結至公司IT系統之金鑰伺服器以接收金鑰。在一些實施例中,加密模組220之金鑰儲存在儲存裝置214或記憶體212之特定位置,並且可僅藉由獨立金鑰保護方案來存取。在一些實施例中,自金鑰伺服器接收之金鑰被用於認證使用者之存取權杖,且因此使另一個加密/解密金鑰能夠執行加密/解密任務。在此等情況下,加密/解密金鑰可為自非對稱加密框架選擇之私人金鑰,並且可用等效電路實施,使得竊取金鑰之可能性最小化。
圖3為根據一些實施例之操作具有複數個作業系統之使用者裝置的方法流程圖。在一些實施例中,圖3所展示之方法30可用於圖2所展示之系統20中。應理解,可於圖3中所展示之各步驟之前、期間及之後另提供額外操作/步驟,並且於方法30之額外實施例中,可替換或移除下文描述之操作中之部分;操作及處理之順序亦可互換;此外,某一個實施例之相同或類似組態、結構、材料或操作亦可用於其他實施例中,並且可省略其詳細解釋。在一些實施例中,該使用者裝置為前文所述使用者裝置104、105、106或202。
在步驟302,開啟該使用者裝置之電源。在步驟306,該使用者裝置存取組態模組所設定之作業系統啟動規則。在一些實施例中,該組態模組為前文所述組態模組216。在一些實施例中,該組態模組為軟體程式且儲存於記憶體(例如記憶體212),該步驟306包含由該使用者裝置之處理器直接存取該組態模組;在一些替代實施例中,該組態模組為軟體程式且儲存於儲存裝置(例如儲存裝置214),該步驟306包含將該組態模組載入該使用者裝置之記憶體再由該使用者裝置之處理器存取該組態模組。
在步驟308,該使用者裝置藉由監測模組接收環境訊號源所發出之通訊媒介。在一些實施例中,該監測模組為前文所述監測模組218。在一些實施例中,該環境訊號源為前文所述環境訊號源204。在一些實施例中,該通訊媒介為前文所述通訊媒介206。在一些替代實施例中,步驟308包括該使用者裝置經由通訊媒介206連接至環境訊號源204。在一些實施例中,在步驟308,使用者裝置202藉由監測模組218接收環境訊號源204所發出之通訊媒介206,且進一步認證通訊媒介206是否係由經組織(例如公司/企業100)所授權之環境訊號源204所發出,其中經授權之環境訊號源204所發出之通訊媒介206可具有認證識別資訊、經系統管理員(例如前文所述公司/企業100之IT系統管理員)以金鑰進行加密或以上兩者之結合,該認證可藉由下列一者或多者達成:(1)監測模組218經組態以讀取通訊媒介206之認證識別資訊;或(2)監測模組218經組態以利用金鑰對加密之通訊媒介206進行解密。倘若監測模組218能夠成功讀取到通訊媒介206之認證識別資訊,則通過認證,並進入步驟310;或者,倘若監測模組218能夠成功以金鑰對加密之通訊媒介206進行解密,則通過認證,並進入步驟310。
在步驟310,使用監測模組偵測該使用者裝置之使用位置。在一些實施例中,該監測模組為前文所述監測模組218。在一些實施例中,該監測模組藉由讀取隱含於通訊媒介之位置信息偵測該使用者裝置之使用位置係位於何管制區(例如:第一工作區101、第二工作區102或公司/企業100外部)。在一些實施例中,該位置信息包含位置座標、IP位址、其組合或類似者。
在步驟312,藉由監測模組判定該使用者裝置之使用位置是位於何管制區(例如:第一工作區101、第二工作區102或公司/企業100外部)。接著,該使用者裝置基於前述作業系統啟動規則,回應於該判定結果,以開啟相對應的作業系統。若判定該使用位置位於第一工作區(例如第一工作區101),則進入步驟314,開啟第一作業系統;若判定該使用位置位於第二工作區(例如第二工作區102),則進入步驟316,開啟第二作業系統;若判定該使用位置位於非工作區(例如公司/企業100外部),則進入步驟318,進一步判定該使用者裝置是否取得授權得以於非工作區使用;若判定該使用者裝置已取得授權得以於非工作區使用,則進入步驟324,開啟第三作業系統;若判定該使用者裝置未取得於非工作區使用的授權,則進入步驟322,使該使用者裝置進入加密模式。在一些實施例中,該第一作業系統、第二作業系統及第三作業系統分別為前文所述第一作業系統240、第二作業系統242及第三作業系統244。在一些實施例中,步驟314、316、324分別包括存取第一作業系統、第二作業系統、第三作業系統所在儲存裝置或儲存裝置分割區。在一些實施例中,步驟314、316、324分別包括藉由啟動載入器將第一作業系統、第二作業系統、第三作業系統載入記憶體。在一些實施例中,該加密模式係藉由前述加密模組220達成。在一些實施例中,該加密模式包含對該使用者裝置之儲存裝置(例如硬碟)進行加密、鎖定該使用者裝置之輸出裝置(例如顯示器)、使該使用者裝置進入休眠(hibernation)狀態或關閉該使用者裝置之電源、其組合或類似者。
在步驟320,監測模組持續偵測該使用者裝置之使用位置,其偵測方法如前文步驟310所述。在一些實施例中,該監測模組之偵測作業以週期性方式執行,例如以具有10秒、15秒之週期或其他合適週期之間隔執行。在步驟326,由監測模組判定該使用者裝置之使用位置是否改變至其他管制區(例如第一工作區101、第二工作區102或公司/企業100外部)。若判定該使用位置並未改變至其他管制區,則進入步驟328,維持正在執行的作業系統之運作;若判定該使用位置改變至其他管制區,則進入步驟330,儲存並加密正在執行的作業系統資料。在一些實施例中,進入步驟328後,返回步驟320,持續偵測該使用者裝置之使用位置是否改變至其他管制區。在一些實施例中,在步驟330,將正在執行的作業系統資料儲存於記憶體或儲存裝置,例如記憶體212或儲存裝置214。在一些實施例中,在步驟330,藉由前文所述加密模組220對正在執行的作業系統之資料進行加密。
在步驟332,關閉使用位置改變前所執行的作業系統或使其進入休眠狀態。在一些實施例中,步驟332進一步包含維持該使用者裝置電源開啟狀態。在步驟332後,返回步驟312,判定該使用者裝置之使用位置位於何管制區,隨後根據新的使用位置開啟相對應的作業系統。
根據一實施例,一種操作具有複數個作業系統之使用者裝置的方法,該方法包括:存取組態模組所設定之基於該使用者裝置之使用位置的作業系統啟動規則;藉由監測模組偵測該使用者裝置之使用位置;基於該作業系統啟動規則,回應於該監測模組偵測該使用位置位於第一工作區,使該使用者裝置載入第一作業系統。
根據一實施例,一種操作具有複數個作業系統之使用者裝置之方法,該方法包括:存取組態模組所設定之基於該使用者裝置之使用位置的作業系統啟動規則;藉由監測模組偵測該使用者裝置之使用位置;基於該作業系統啟動規則,回應於該監測模組偵測該使用位置由第一工作區改變至第二工作區,而自動切換該使用者裝置之作業系統,其中該自動切換該使用者裝置之作業系統包括:維持該使用者裝置電源開啟狀態;儲存並加密第一作業系統之資料;關閉該第一作業系統或使其進入休眠狀態;及載入第二作業系統。
根據一實施例,一種操作具有複數個作業系統之使用者裝置的系統,其包括:環境訊號源;通訊媒介,其由該環境訊號源發出;及具有複數個作業系統之使用者裝置,其包括:組態模組,其設定基於該使用者裝置之使用位置的作業系統啟動規則;及監測模組,其接收該通訊媒介,且經組態以偵測該使用者裝置之使用位置;其中該使用者裝置基於該作業系統啟動規則,執行以下步驟:回應於該監測模組偵測該使用者裝置位於第一工作區,載入第一作業系統;或回應於該監測模組偵測該使用者裝置由第一工作區改變至第二工作區,自動切換該使用者裝置之作業系統,其中該自動切換該使用者裝置之作業系統包括:維持該使用者裝置電源開啟狀態;儲存並加密第一作業系統之資料;關閉該第一作業系統或使其進入休眠;及載入第二作業系統。
前述內容概述若干實施例之特徵,使得熟習此項技術者可更好地理解本發明實施例之態樣。熟習此項技術者應瞭解,其可容易地使用本發明實施例作為設計或修改其他過程及結構之基礎以用於實施相同目的及/或達成本文介紹之實施例之相同優點。熟習此項技術者亦應認識到,此等等效構造不脫離本發明實施例之精神及範疇,並且在不脫離本發明實施例之精神及範疇之情況下,其等可在本文中進行各種改變、替換及變更。本發明之各實施例能夠相互結合而不脫離本發明之精神及範疇。
10:應用場景
20:系統
30:方法
100:公司/企業
101:第一工作區
102:第二工作區
104:使用者裝置
105:使用者裝置
106:使用者裝置
111:無線網路
112:無線網路
121:有線網路
122:有線網路
202:使用者裝置
204:環境訊號源
206:通訊媒介
210:處理器
212:記憶體
214:儲存裝置
216:組態模組
218:監測模組
220:加密模組
230:基本輸入輸出系統(BIOS)
240:第一作業系統
242:第二作業系統
244:第三作業系統
302:步驟
306:步驟
308:步驟
310:步驟
312:步驟
314:步驟
316:步驟
318:步驟
320:步驟
322:步驟
324:步驟
326:步驟
328:步驟
330:步驟
332:步驟
在與隨附圖式一起閱讀時,自下文實施方式更佳地理解本發明實施例之態樣。應注意,根據業界中之標準實踐,各種特徵未按比例繪製。實際上,為了清楚論述,可任意增加或減少各種特徵之尺寸。
圖1展示根據本發明一些實施例之用於操作具有複數個作業系統之使用者裝置的應用場景示意圖。
圖2展示根據本發明一些實施例之用於操作具有複數個作業系統之使用者裝置的系統。
圖3展示根據本發明一些實施例之用於操作具有複數個作業系統之使用者裝置的方法流程圖。
20:系統
202:使用者裝置
204:環境訊號源
206:通訊媒介
210:處理器
212:記憶體
214:儲存裝置
216:組態模組
218:監測模組
220:加密模組
230:基本輸入輸出系統(BIOS)
240:第一作業系統
242:第二作業系統
244:第三作業系統
Claims (10)
- 一種操作具有複數個作業系統之使用者裝置的方法,該方法包括: 存取組態模組所設定之基於該使用者裝置之使用位置的作業系統啟動規則; 藉由監測模組偵測該使用者裝置之使用位置; 基於該作業系統啟動規則,回應於該監測模組偵測該使用位置位於第一工作區,而載入該使用者裝置之第一作業系統。
- 如請求項1之方法,其中該方法進一步包括藉由監測模組以接收環境訊號源所發出之通訊媒介,其中該環境訊號源經組態以賦予該通訊媒介一認證識別資訊,且該方法進一步包括藉由該監測模組讀取該認證識別資訊。
- 如請求項1之方法,其中該方法進一步包括藉由監測模組以接收環境訊號源所發出之通訊媒介,其中該環境訊號源經組態以第一金鑰對該通訊媒介進行加密,且該方法進一步包括藉由該監測模組以第二金鑰解密該通訊媒介,其中該第一金鑰與該第二金鑰為相同或不同。
- 如請求項1之方法,其中該組態模組儲存於該使用者裝置之記憶體且該使用者裝置直接存取該組態模組,或該組態模組儲存於該使用者裝置之儲存裝置且該使用者裝置將該組態模組載入記憶體後再存取該組態模組。
- 如請求項1之方法,其中偵測該使用者裝置之使用位置包含讀取隱含於通訊媒介之位置信息,該位置信息包括位置座標、IP位址或其組合。
- 一種操作具有複數個作業系統之使用者裝置之方法,該方法包括: 存取組態模組所設定之基於該使用者裝置之使用位置的作業系統啟動規則; 藉由監測模組以偵測該使用者裝置之使用位置; 基於該作業系統啟動規則,回應於該監測模組偵測該使用位置由第一工作區改變至第二工作區,而自動切換該使用者裝置之作業系統, 其中該自動切換該使用者裝置之作業系統包括: 維持該使用者裝置電源開啟狀態; 儲存並加密第一作業系統之資料; 關閉該第一作業系統或使其進入休眠;及 載入第二作業系統。
- 如請求項6之方法,其中該監測模組以週期性方式偵測該使用者裝置之使用位置。
- 如請求項6之方法,其中該方法進一步包括藉由監測模組以接收環境訊號源所發出之通訊媒介,其中該環境訊號源經組態以賦予該通訊媒介一認證識別資訊,且該方法進一步包括藉由該監測模組讀取該認證識別資訊。
- 一種操作具有複數個作業系統之使用者裝置的系統,其包括: 環境訊號源; 通訊媒介,其由該環境訊號源發出;及 具有複數個作業系統之使用者裝置,其包括: 組態模組,其設定基於該使用者裝置之使用位置的作業系統啟動規則;及 監測模組,其接收該通訊媒介,且經組態以偵測該使用者裝置之使用位置; 其中該使用者裝置基於該作業系統啟動規則,執行以下步驟: 回應於該監測模組偵測該使用者裝置位於第一工作區以載入該使用者裝置之第一作業系統;或 回應於該監測模組偵測該使用者裝置由第一工作區改變至第二工作區,自動切換該使用者裝置之作業系統,其中該自動切換該使用者裝置之作業系統包括: 維持該使用者裝置電源開啟狀態; 儲存並加密第一作業系統之資料; 關閉該第一作業系統或使其進入休眠;及 載入第二作業系統。
- 如請求項9之系統,其中該組態模組之修改權限經鎖定且須以金鑰進行解鎖方得對其進行修改。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW110103847A TWI767548B (zh) | 2021-02-02 | 2021-02-02 | 操作具有複數個作業系統之使用者裝置的方法及系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW110103847A TWI767548B (zh) | 2021-02-02 | 2021-02-02 | 操作具有複數個作業系統之使用者裝置的方法及系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI767548B true TWI767548B (zh) | 2022-06-11 |
| TW202232313A TW202232313A (zh) | 2022-08-16 |
Family
ID=83103691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW110103847A TWI767548B (zh) | 2021-02-02 | 2021-02-02 | 操作具有複數個作業系統之使用者裝置的方法及系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI767548B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW567410B (en) * | 2001-03-01 | 2003-12-21 | Ibm | Method and system for log repair action handling on a logically partitioned multiprocessing system |
| TW200712875A (en) * | 2005-09-07 | 2007-04-01 | Mitac Technology Corp | Method for fast switching between different operating systems in computer device with multiple operating systems |
| US7356677B1 (en) * | 2001-10-19 | 2008-04-08 | Flash Vos, Inc. | Computer system capable of fast switching between multiple operating systems and applications |
| TW201001285A (en) * | 2008-06-25 | 2010-01-01 | Universal Scient Ind Co Ltd | System and method for multi-functions booting |
| TW201229901A (en) * | 2011-01-05 | 2012-07-16 | Insyde Software Corp | Method for rapidly switching operation system |
| TWI588747B (zh) * | 2014-01-14 | 2017-06-21 | 仁寶電腦工業股份有限公司 | 切換作業系統的方法及電子裝置 |
-
2021
- 2021-02-02 TW TW110103847A patent/TWI767548B/zh active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW567410B (en) * | 2001-03-01 | 2003-12-21 | Ibm | Method and system for log repair action handling on a logically partitioned multiprocessing system |
| US7356677B1 (en) * | 2001-10-19 | 2008-04-08 | Flash Vos, Inc. | Computer system capable of fast switching between multiple operating systems and applications |
| TW200712875A (en) * | 2005-09-07 | 2007-04-01 | Mitac Technology Corp | Method for fast switching between different operating systems in computer device with multiple operating systems |
| TW201001285A (en) * | 2008-06-25 | 2010-01-01 | Universal Scient Ind Co Ltd | System and method for multi-functions booting |
| TW201229901A (en) * | 2011-01-05 | 2012-07-16 | Insyde Software Corp | Method for rapidly switching operation system |
| TWI588747B (zh) * | 2014-01-14 | 2017-06-21 | 仁寶電腦工業股份有限公司 | 切換作業系統的方法及電子裝置 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202232313A (zh) | 2022-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10194266B2 (en) | Enforcement of proximity based policies | |
| US9811682B2 (en) | Security policy for device data | |
| US8566610B2 (en) | Methods and apparatus for restoration of an anti-theft platform | |
| KR101208257B1 (ko) | 컴퓨팅 플랫폼 보호 시스템, 컴퓨팅 플랫폼 보호 방법 및 컴퓨터 판독가능한 매체 | |
| KR101654778B1 (ko) | 하드웨어 강제 액세스 보호 | |
| US20150381658A1 (en) | Premises-aware security and policy orchestration | |
| CN107077355A (zh) | 用于对平台进行初始化的方法、系统和装置 | |
| US10523427B2 (en) | Systems and methods for management controller management of key encryption key | |
| US20180041344A1 (en) | Systems and methods for storing administrator secrets in management controller-owned cryptoprocessor | |
| US11593462B2 (en) | Baseboard management controller firmware security system | |
| US10366025B2 (en) | Systems and methods for dual-ported cryptoprocessor for host system and management controller shared cryptoprocessor resources | |
| US10019577B2 (en) | Hardware hardened advanced threat protection | |
| US10146952B2 (en) | Systems and methods for dynamic root of trust measurement in management controller domain | |
| US12067111B2 (en) | Liveness guarantees in secure enclaves using health tickets | |
| TWI767548B (zh) | 操作具有複數個作業系統之使用者裝置的方法及系統 | |
| US11941264B2 (en) | Data storage apparatus with variable computer file system | |
| CN104517070A (zh) | 双系统计算机及其实现方法 | |
| US20240235856A1 (en) | Proof of possession establishment during secure onboarding | |
| US10778650B2 (en) | Systems and methods for management domain attestation service | |
| CN114840259A (zh) | 操作具有多个操作系统的用户装置的方法及系统 | |
| US12411954B2 (en) | Computing device configuration modification prevention system | |
| CN117610038A (zh) | 加密优盘的实现方法、装置、电子设备及存储介质 |