JP2008243178A - セキュアなロケーションアウェアプラットフォームを可能にする方法、装置及びシステム - Google Patents

セキュアなロケーションアウェアプラットフォームを可能にする方法、装置及びシステム Download PDF

Info

Publication number
JP2008243178A
JP2008243178A JP2007269352A JP2007269352A JP2008243178A JP 2008243178 A JP2008243178 A JP 2008243178A JP 2007269352 A JP2007269352 A JP 2007269352A JP 2007269352 A JP2007269352 A JP 2007269352A JP 2008243178 A JP2008243178 A JP 2008243178A
Authority
JP
Japan
Prior art keywords
network
security control
secure
partition
control set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007269352A
Other languages
English (en)
Other versions
JP4805238B2 (ja
Inventor
Dennis Morgan
モーガン デニス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2008243178A publication Critical patent/JP2008243178A/ja
Application granted granted Critical
Publication of JP4805238B2 publication Critical patent/JP4805238B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】プラットフォームがそれの位置を自動決定し、それのセキュリティ設定を動的に調整するセキュア環境を提供する。
【解決手段】ロケーションアウェアネスエージェントを有するセキュアパーティションとユーザパーティションとを有する装置のネットワーク状態の変化を特定するステップと、前記装置がネットワークに接続されているか判断するステップと、前記装置がネットワークに接続されている場合、前記ネットワークがセキュアであるか判断するステップと、前記ネットワークがセキュアである場合、前記ユーザパーティションのオペレーティングシステムが前記ネットワークにアクセスすることを可能にする前に、前記オペレーティングシステムに第1セキュリティコントロールセットを適用するステップと、前記ネットワークが非セキュアである場合、前記オペレーティングシステムに第2セキュリティコントロールセットを適用するステップとを有する。
【選択図】図5

Description

本発明は、セキュアなロケーションアウェアプラットフォームを可能にする技術に関する。
システム管理者の主要な挑戦の1つは、ユーザがすべての機能の大部分を計算プラットフォーム上で利用可能にしながら(協調性、接続性など)、依然としてプラットフォームをセキュリティ侵害から阻止するための確かなセキュリティコントロールを提供するコントロールを実現可能にすることである。しばしば、企業ネットワーク内の機能について実現されるコンフィギュレーションは、プラットフォームが企業ネットワークの外部にあるとき、セキュリティ脆弱性をもたらすかもしれない。
この問題は、コンピュータユーザがますますモバイルなものとなるに従って、今日急速なペースで拡がっている無線ネットワークにおいて最も明らかである。これらのネットワークは、典型的には、その接続が物理的なものでなく、互換性のある無線ネットワークインタフェースを有する当事者が無線パケットを検査及び/又は傍受する位置に自らを置く可能性があるため、重大なセキュリティ問題に直面させる。すなわち、何れかの第三者ハッカー又はアタッカーが、パケットの実際の宛先に関係なく、比較的容易に無線ネットワークを介し送信されたパケットにアクセスすることが可能となる。この問題を軽減するため、様々なセキュリティコントロールがこれらのネットワーク上で実現されるかもしれないが、ネットワークの信頼性に基づくより厳格でより良いセキュリティコントロールを適用可能にすることが、典型的には、セキュリティベンダーに委ねられている。しかしながら、大部分のベンダーはシステムの位置に基づく設定可能なコントロールを提供していない。
図1は、企業ネットワーク(企業ネットワーク100)と外部ネットワーク(外部ネットワーク150)とを有し、1つのネットワークから他方のネットワークに移動する無線装置(ノード125)を備えた典型的な無線ネットワークトポロジーを概略的に示す。企業ネットワーク100は、典型的には、ゲートウェイ、ファイアウォール又は他の同様のセキュリティ機構(図1では“ファイアウォール175”として包括的に示される)によって、外部ネットワーク150から分離されている。しかしながら、ノード125が1つのネットワークから他のネットワークに移動するとき、様々なセキュリティ問題に直面する可能性があるが、現在、ノード125はそれの位置を動的に決定せず、それのセキュリティコントロールを変更しないかもしれない。従って、無線ネットワークが特定の位置に縛られることなく、ネットワーク上で“ローミング”するためのかなりのフレキシビリティをユーザに提供するが、無線装置は、それがセキュリティ環境(企業内など)と安全性の低い又は安全でない環境を行き来するため、適切なセキュリティコントロールを有するかもしれないし、又は有しないかもしれない。
上記説明は無線装置に着目しているが、同様の問題が、ある位置から他の位置に移動される可能性のある非無線装置に関しても生ずる可能性がある。例えば、ラップトップの所有者は、オフィスにいる間は企業ネットワークに物理的に接続されるが、1日の終わりには、所有者はラップトップを自宅に持ち帰り、自宅のオフィスインターネット接続に接続するかもしれない。このシナリオでは、ラップトップは、セキュア(企業)環境からセキュリティの低い(ホーム)環境に移動し、セキュリティ要求が各環境において異なる可能性がある。
本発明の課題は、セキュアなロケーションアウェア(location−aware)プラットフォームを可能にする方法、装置及びシステムを提供することである。より詳細には、本発明の課題は、プラットフォームがそれの位置を自動決定し、それのセキュリティ設定を動的に調整するセキュア環境を提供することである。
上記課題を解決するため、ロケーションアウェアネスエージェントを有するセキュアパーティションとユーザパーティションとを有する装置のネットワーク状態の変化を特定するステップと、前記ロケーションアウェアネスエージェントが、前記装置がネットワークに接続されているか判断するステップと、前記装置がネットワークに接続されている場合、前記ロケーションアウェアネスエージェントが、前記ネットワークがセキュアであるか判断するステップと、前記ネットワークがセキュアである場合、前記ロケーションアウェアネスエージェントが、前記ユーザパーティションのオペレーティングシステムが前記ネットワークにアクセスすることを可能にする前に、前記オペレーティングシステムに第1セキュリティコントロールセットを適用するステップと、前記ネットワークが非セキュアである場合、前記ロケーションアウェアネスエージェントが、前記オペレーティングシステムが前記ネットワークにアクセスすることを可能にする前に、前記オペレーティングシステムに第2セキュリティコントロールセットを適用するステップとを有する方法が提供される。
さらに、ネットワークインタフェースカードと、前記ネットワークインタフェースカードに接続されるユーザパーティションと、前記ネットワークインタフェースカードと前記ユーザパーティションとに接続され、前記ユーザパーティションによる前記ネットワークインタフェースカードのアクセスを管理するセキュアパーティションと、前記セキュアパーティションと前記ユーザパーティションとに接続され、当該計算装置がネットワークに接続されているか判断し、当該計算装置がネットワークに接続されている場合、前記ネットワークがセキュアであるか判断し、前記ネットワークがセキュアである場合、前記ユーザパーティションのオペレーティングシステムが前記ネットワークにアクセスすることを可能にする前に、前記オペレーティングシステムに第1セキュリティコントロールセットを適用し、前記ネットワークが非セキュアである場合、前記オペレーティングシステムが前記ネットワークにアクセスすることを可能にする前に、前記オペレーティングシステムに第2セキュリティコントロールセットを適用することが可能なロケーションアウェアネスエージェントとを有する計算装置が提供される。
本発明によると、セキュアなロケーションアウェア(location−aware)プラットフォームを可能にする方法、装置及びシステムを提供することができる。より詳細には、プラットフォームがそれの位置を自動決定し、それのセキュリティ設定を動的に調整するセキュア環境を提供することが可能となる。
本発明の実施例は、セキュアなロケーションアウェア(location−aware)プラットフォームを可能にする方法、装置及びシステムを提供する。より詳細には、本発明の実施例は、プラットフォームがそれの位置を自動決定し、それのセキュリティ設定を動的に調整するセキュア環境を提供する。本発明の実施例は、任意のタイプのネットワーク(無線、Wi−Maxなど)及び/又はある位置から他の位置に移動可能な任意の計算プラットフォーム(無線装置、ラップトップ、携帯情報端末など)において実現されるかもしれない。従って、ここでの“装置”、“ノード”及び/又は“プラットフォーム”という表現は、上述した各種タイプのネットワークの何れかにおいて実行される有線及び/又は無線装置を含む。さらに、本明細書において、本発明の“一実施例”又は“実施例”という表現は、実施例に関して説明された特定の機能、構成又は特徴が、本発明の少なくとも1つの実施例に含まれることを意味する。このため、明細書を通じて様々な箇所に現れる“一実施例では”、“一実施例によると”などの表現は、必ずしもすべてが同一の実施例を参照するものでない。
本発明の実施例によると、隔離されたセキュアなパーティションが計算プラットフォームのセキュリティを高めるのに利用されるかもしれない。本発明の実施例は、様々なセキュアなパーティションタイプをサポートする。これらのパーティションタイプにおいて共通するスレッドは、パーティション間の厳格な分離を物理的又は仮想的に維持する機能を有する。このため、例えば、一実施例では、パーティションは、Intel(登録商標) CorporationのActive Management Technologies(AMT)、“Manageability Engine”(ME)、Platform Resource Layer(PRL)などの埋め込みプロセッサ及び/又は他の相当する又は同様の技術などにより実現されてもよい。他の実施例では、プラットフォーム上のVirtual Machine Monitor(VMM)で実行されるIntel(登録商標) CorporationのVirtualization Technology(VT)スキームによるバーチャルマシーン(VM)など、パーティションはバーチャル化されるかもしれない。他の実施例では、Intel(登録商標) CorporationのCore 2 Duo(登録商標)などのマルチコアプラットフォーム上で、パーティションは、プラットフォーム上に存在する多数のコアの1つを有するかもしれない。Core 2 Duo(登録商標)などのマルチコアアーキテクチャでは、各コアはそれの独立したアドレスバウンダリと実行を有し、パーティション隔離がプラットフォームハードウェアにより提供されるかもしれない。バーチャル化されたホストはまた、AMT、ME及びPRL技術により提供されるサービスとやりとりし、及び/又は利用するのに使用されるかもしれない。
本発明の実施例の理解を容易にするため、以下の段落は、典型的なバーチャル化されたホストと共に典型的なAMT環境について記載している。例えば、図2は、Intel(登録商標) Corporationにより実現されるような典型的なIntel(登録商標) AMT環境を概略的に示す。本発明の実施例はまたAMTの他の同様の及び/又は相当する実現形態により実現されるかもしれないことは、当業者に容易に明らかとなるであろう。本発明の実施例を不必要に不明りょうにしないように、AMT環境を説明するのに関係するコンポーネントのみが示されたが、本発明の実施例の趣旨から逸脱することなくさらなるコンポーネントが含まれうることは、当業者に容易に明らかとなるであろう。
図2に示されるように、装置(ホスト200)は、ホストオペレーティングシステム(ホストOS210)とシステムハードウェア(ハードウェア250)とを有する。一実施例によると、ハードウェア250は、ホストOS210のための典型的な処理タスクを実行するための1以上のプロセッサ(メインプロセッサ205)と、専用のパーティションを介し装置を管理するのに専用の他のプロセッサ(AMT220の専用プロセッサ215)とを有する1以上のプロセッサを含む。各プロセッサは、ホスト200上に関連するリソースを有し、それらは1以上の他のリソースを共有するかもしれない。従って、本例で示されるように、メインプロセッサ205と専用プロセッサ210はそれぞれ、それらに専用のメモリ部分(それぞれ“メインメモリ225”と“専用メモリ230”)を有するが、それらはネットワークインタフェースカード(WNIC235)を共有するかもしれない。
同様に、図3に示されるように、装置(ホスト300)がバーチャル化される場合、それは1つのプロセッサしか有しないが、装置上のバーチャルマシーンモニタ(VMM330)は、ホストの基礎となるハードウェアが1以上の独立して動作するバーチャルマシーン(VM)として見えるように、装置又はホストの複数の抽象化及び/又はビューを提供するかもしれない。VMM330は、ソフトウェア(ホストオペレーティングシステムのコンポーネント及び又はスタンドアローンプログラムなどとして)、ハードウェア、ファームウェア及び/又はそれらの何れかの組み合わせにより実現されるかもしれない。VMM330は、ホスト上のリソースの割当てを管理し、ラウンドロビン又は他の所定のスキームに従って各種VMの間を循環するのに必要なコンテクストスイッチングを実行する。1つのプロセッサ(メインプロセッサ305)しか示されていないが、本発明の実施例はそれに限定されるものでなく、複数のプロセッサ又はプロセッサコアがまたバーチャル化環境において利用可能であることが、当業者に容易に明らかであろう。
2つのVMパーティション(VM310とVM320)しか示されていないが(包括的にVMと呼ばれる)、これらのVMは単なる例示であり、さらなるバーチャルマシーンがホストに追加されるかもしれない。VM310とVM320は、それぞれ自らの“ゲストオペレーティングシステム”(すなわち、ゲストOS311及びゲストOS321として示され、以降において“ゲストOS”として包括的に参照されるVMM330によりホストされるオペレーティングシステム)と、他のソフトウェア(“ゲストソフトウェア312”及び“ゲストソフトウェア322”として示され、以降において“ゲストソフトウェア”として包括的に参照される)とを実行する自己完結したプラットフォームとして機能するかもしれない。
各ゲストOS及び/又はゲストソフトウェアは、あたかもバーチャルマシーンでなく専用のコンピュータ上で実行されているかのように動作する。すなわち、各ゲストOS及び/又はゲストソフトウェアは、各種イベントを制御することを期待し、ホスト100上のハードウェアリソースにアクセスするかもしれない。各VM内において、ゲストOS及び/又はゲストソフトウェアは、それらが実際にホスト300の物理的ハードウェア(ネットワークインタフェースカード(WNIC350)を含みうるホストハードウェア340)上で実行されているかのように動作するかもしれない。
AMT、ME又はPRLスキームはまた、バーチャル化環境において実現可能であるということは当業者に容易に明らかとなるであろう。例えば、VM320は、ホストのAMTパーティションとして専用され、VM310は、ホストのユーザアプリケーションを実行する。このシナリオでは、ホストは、複数のプロセッサを有してもよく、又は有しないかもしれない。例えば、ホストが2つのプロセッサを有する場合、VM320には専用プロセッサ215が割り当てられ、VM310(及びホストの他のVM)はメインプロセッサ205のリソースを共有するかもしれない。他方、ホストが1つのプロセッサしか有しない場合、プロセッサは両方のVMについてサービス提供するが、VM320は依然としてVMM330と協調するホストの他のVMから隔離されるかもしれない。簡単化のため、本発明の実施例がバーチャル化されたAMT環境において説明されるが、本発明の実施例はこれに限定されるものでない。“パーティション”、“セキュアパーティション”、“セキュリティパーティション”及び/又は“マネージメントパーティション”の何れの表現も、任意の物理的及び/又は仮想的パーティションを含む(上述されるように)。
図4A及び4Bは、バーチャル化されたAMT環境における本発明の実施例を示す。図示されるように、本発明の一実施例によると、装置(ノード400)は、ユーザOS(ユーザOS410)を有するユーザパーティション(ユーザパーティション405)と、AMT(AMT415)として動作し、ロケーションアウェアネスエージェント(Location Awareness Agent(LAA)420)、バーチャルマシーンマネージャ(VMM425)及びAMT415内にあるドライバ(NICドライバ425)を有するローカルエリアネットワーク(LAN)ハードウェア/ファームウェア(NIC430)を有するセキュアパーティションとを有するかもしれない。上述されるように、以下の説明はAMTを仮定しているが、本発明の実施例はこれに限定されるものでない。一実施例では、AMT415は、プラットフォームのセキュリティを高めるため、ユーザOS410から隔離されるかもしれない(物理的分離、仮想的分離又はこれらの組み合わせを介し)。ノード400は、図1に示される典型的なトポロジー内に、すなわち、企業ネットワーク100及び/又は外部ネットワーク150上に存在するかもしれない。
本発明の実施例によると、LAA420は、ノード400がオンされ、通常のAMT機能がスタートすると、スタートアップされる。起動されると、LAA420は、ユーザOS410がWNICドライバ435にアクセスすることを禁止することによって、ユーザOS410が何れかのネットワークに接続することを禁止するかもしれない。LAA420はまず、ノード400がネットワークに接続されているか判断し、そうである場合、それが何れのタイプのネットワーク(内部的又は外部的など)であるか判断する。このため、一実施例では、LAA420が起動時にネットワークを検出した場合、LAA420は、企業ネットワーク100内にのみ存在するインフラストラクチャに接続しようとするかもしれない。接続すべきインフラストラクチャの選択は設定可能であり、ドメインコントローラ、AMTマネージメントサーバ及び/又は企業プレゼンスサーバなどの各要素を有するかもしれない。他の実施例では、LAA420は、企業ネットワーク100内に存在すると知られている他の何れかのインフラストラクチャに接続しようとするかもしれない。(例えば、Intelネットワーク内では、LAA420は、特定のネットワークアドレスにあるIntel固有サーバを検索するよう設定されるかもしれない。)
LAA420が企業ネットワーク100上で要素を検出することに成功した場合、(VMM425に関連して)それは、ユーザOS405が企業(すなわち、セキュア)環境の設定可能なセキュリティコントロールセットによりスタートアップすることを可能にする。一例では、セキュアな企業環境用のセキュリティコントロールは、厳しいファイアウォールルール、ファイル共有ルールなどを含まないかもしれない。このセキュリティコントロールセットは、特定の環境にカスタマイズされるかもしれない。例えば、LAA420が高度にセキュアなネットワークを示すネットワーク要素Aを検出した場合、それは、最小限のルールにより特定のセキュリティコントロールセットを選択し、それがネットワーク要素Aを検出することができず、その代わりに、セキュリティの低いネットワークを示すネットワーク要素Bを検出した場合、それは、異なるセキュリティコントロールセットを選択するかもしれない。すなわち、企業環境内であっても、システムアドミニストレータは、複数の設定可能なセキュリティコントロールセットを維持し、装置がそれのセキュリティスキームを最適化することを可能にするよう選択するかもしれない。このため、本発明の実施例は、アドミニストレータが検出された位置に従って、装置のセキュリティスキームを微調整することを可能にする。
一実施例では、LAA420がネットワークを検出したが、企業ネットワーク100上の要素と接続できなかった場合、LAA420は、ノード400が企業ネットワークの外部にあり、すなわち、外部ネットワーク150上にあると判断するかもしれない。その後、LAA420は、ユーザOS405が非セキュア環境用に設定されたセキュリティコントロールセットによりスタートアップすることを可能にするかもしれない。このようなセキュリティコントロールセットの具体例として、ファイアウォールアクセス及び/又はファイルシェアリングに関する制限があげられるかもしれない。すなわち、装置が非セキュア位置にある場合、システムアドミニストレータは、企業内からデータにアクセスする許可を装置のユーザに制限するよう選択するかもしれない。
上記実施例は、ノード400が特定の環境においてスタートアップする状況について記載している。他の実施例では、ノード400は、ある環境においてスタートアップし、異なる環境に移動するかもしれない。LAA420は、ネットワーク状態に対する変更についてWNIC435を継続的にモニタするよう構成されるかもしれない。状態変化が発生した場合、LAA420は、ネットワークが依然として存在しているか(すなわち、装置が依然としてネットワークに接続されているか)、またそうである場合、それが企業ネットワーク内又は外部ネットワーク上にあるか判断するため、上述したプロセスを繰り返すかもしれない。
例えば、ノード400が企業ネットワーク100内でスタートアップし、外部ネットワーク150に移動した場合、LAA420は、ネットワーク状態の変更を検出し、上記ネットワーク特定プロセスを繰り返すかもしれない。一実施例では、LAA420が、それが外部ネットワーク150上にあると判断すると、非セキュア環境用に設定されたセキュリティコントロールセットにより新たなパーティション(新たなユーザパーティション450)をスタートアップするかもしれない(図4Bに示されるように)。LAA420及びVMM425は、このとき、ユーザに透過となり、ユーザパーティション405(セキュアパーティション用のセキュリティコントロールにより支配される)から、より厳しいセキュリティコントロールを実行する新たなユーザパーティション450にユーザの実行環境を移行するかもいしれない。その後、VMM425は、ユーザパーティション405を維持し続けるか、又はそれをシャットダウンするかもしれない。例えば、システムアドミニストレータが、ある装置が企業ネットワーク100と外部ネットワーク150との間で頻繁にローミングしていることに気付くと、システムアドミニストレータは、ノード400が企業ネットワーク100に戻ると、以降の利用のためユーザパーティション405を維持するようVMM425を設定するようにしてもよい(以下で詳述される)。
一実施例では、ノード400は、外部ネットワーク150上でスタートアップし、企業ネットワーク100に移動するか、上述したシナリオにおいて、企業ネットワーク100に単に戻ってもよい。本実施例によると、LAA420は、ネットワーク状態の変更を再び検出し、上述したネットワーク特定プロセスを繰り返すかもしれない。ノード400がセキュア環境内において再び実行中であることを検出すると、LAA420とVMM425は、セキュア環境用のセキュリティコントロールにより新たなパーティションをスタートアップし、ユーザの実行環境を新たなVMに移動させる。あるいは、VMM425が上述されるようなVM405を維持し続けた場合、VMM425は、ユーザの実行環境を単にVM405に移行するようにしてもよい(従って、新たなパーティションのスタートアップに係るスタートアップコストをバイパスする)。
本発明の実施例によると、ノード400の位置に基づき、システムアドミニストレータは、データアクセスのための可変的なセキュリティレベルを規定するかもしれない。例えば、ノード400が企業ネットワーク100上にあると判断された場合、ユーザは、プラットフォーム上のすべてのデータへの無制限なアクセスが許可されるかもしれない。しかしながら、ノード400が外部ネットワーク150上にあると判断された場合、VMM425は、非セキュア環境用のセキュリティコントロールを実現するパーティション(新たなユーザパーティション445など)のみを介して、特定タイプのデータへのアクセスを許可するようにしてもよい。すなわち、ユーザがセキュア環境内にいる場合、ユーザは、無制限にプラットフォーム上のすべてのデータにアクセスしてもよいが、ユーザが非セキュア環境に移動した場合、本発明の実施例は、データアクセスを制限するため、上述されたセキュアロケーションアウェアネススキームを利用してもよい。
例えば、ノード400が企業ネットワーク100から外部ネットワーク150に移動する上述したシナリオでは、LAA420は、上述されたネットワーク状態の変更を検出するかもしれない。本発明の一実施例によると、ノード400が現在非セキュアネットワーク内で動作していることを検出し、異なるセキュリティコントロールセットにより新たなパーティションをスタートアップすると、LAA420及びVMM425はさらに、新たなパーティションによりアクセス可能なデータを制限するようにしてもよい。このため、上述した新たなユーザパーティション450は、非セキュア環境用にカスタマイズされた異なるセキュリティコントロールセットを有するだけでなく、さらにノード400上の特定のタイプのデータを保護するためのデータ制限を有するかもしれない。データ制限は、本発明の実施例の趣旨から逸脱することなく、様々な方法により実現可能であるということは、当業者に容易に明らかとなるであろう。一実施例では、例えば、LAA420とVMM425は、ノード400上のすべてのデータへのアクセスによりユーザパーティション405を単に維持するが、新たなユーザパーティション450を実行しながら、ユーザパーティション405へのネットワークアクセスを不可にするかもしれない。本発明の各種実施例は、ノード400の位置に基づきデータへのアクセスを制限するため、上述されたロケーションアウェアネスセキュリティスキームを利用するかもしれない。
上記説明はバーチャル化プラットフォームを仮定するが、上述されたように、本発明の実施例は、各種セキュアパーティションタイプをサポートする。各プラットフォームに固有の機能が本発明の実施例を向上させるため利用可能であるということは、当業者に容易に明らかとなるであろう。例えば、Intel(登録商標) CorporationのCore 2 Duo(登録商標)などのマルチコアプラットフォームでは、パーティションは、プラットフォーム上に存在する多数のコアの1つを有するかもしれない。本実施例によると、プラットフォーム上のコアの1つは、ロケーションアウェアネスエージェントの実行に専用のものとされてもよく、このため、プラットフォーム上で実行されるアプリケーション及び/又はその他のパーティションからエージェントを隔離する。さらなる他の実施例では、ロケーションアウェアネスエージェントは、プラットフォーム上の物理的AMTパーティション内に実現されてもよい。パーティションのタイプ(物理的又は仮想的)に関係なく、本発明の実施例は、ネットワークからプラットフォームを隔離することが可能であり、及び/又はプラットフォームのセキュリティ及びパフォーマンスを最適化するためプラットフォームのセキュリティコントロールを実現可能なロケーションアウェアネスエージェントを利用してもよい。
図5は、本発明の実施例を示すフローチャートである。以下の処理はシーケンシャルなプロセスとして説明されるかもしれないが、実際、処理の多くはパラレル及び/又は同時的に実行されるかもしれない。さらに、処理の順序は、本発明の実施例の趣旨から逸脱することなく再構成されるかもしれない。501において、装置上でスタートアップされると、ロケーションアウェアネスエージェントは、装置のネットワーク状態のモニタリングを開始するかもしれない。502においてネットワーク状態の変更が検出されない場合、ロケーションアウェアネスエージェントは、単に装置のネットワーク状態をモニタし続けるかもしれない。しかしながら、ネットワーク状態の変更が502において検出された場合、503において、ロケーションアウェアネスエージェントは、装置上のNICがネットワークに接続されているか判断するようにしてもよい。NICがネットワークに接続されていない場合、ロケーションアウェアネスエージェントは、装置のユーザパーティションのオペレーティングシステムが、セキュリティコントロールなしに504においてスタートアップすることを可能にするかもしれない(なぜなら、ネットワーク接続の欠落はネットワークセキュリティの懸念を排除するからである)。本実施例では、ユーザは装置上のすべてのデータにアクセスするかもしれない。
しかしながら、503においてNICがネットワークに接続されている場合、ロケーションアウェアネスエージェントは、505において企業ネットワーク内の各種インフラストラクチャ要素とコンタクトしようとする。ロケーションアウェアネスエージェントが、505において何れの企業インフラストラクチャ要素にも接続不可である場合、ロケーションアウェアネスエージェントは、506において実行中のセキュリティコントロールのタイプを決定するため、ユーザパーティションをチェックする。ユーザパーティションにおいて実行中のセキュリティコントロールがセキュアパーティション用に設計されている場合、ロケーションアウェアネスエージェントは、507においてユーザパーティションがネットワークに接続することを可能にするかもしれない。本実施例によると、ロケーションアウェアネスエージェントはさらに、ユーザパーティションのデータへのネットワークアクセスを不可又は制限することによって、当該データへのアクセスに対して制限を課すようにしてもよい。
しかしながら、セキュリティコントロールが非セキュア環境についてカスタマイズされている場合、ロケーションアウェアネスエージェントは、508において、適切なアクションコースを決定するかもしれない。ロケーションアウェアネスエージェントは、例えば、より厳しいセキュリティコントロールを有する新たなパーティションをスタートし、509において、エージェントとバーチャルマシーンマネージャが、ユーザの実行環境を新たなパーティションに移行するかもしれない。一実施例では、エージェントとバーチャルマシーンマネージャはまた、ユーザパーティションのデータへのアクセスを制限し、当該データを新たなパーティションによるアクセスを不可にするようにしてもよい。高められたセキュリティコントロールを有する新たなパーティションに移行されると、ロケーションアウェアネスエージェントは、510において、新たなパーティションがネットワークに接続することを可能にするかもしれない。他の実施例では、ロケーションアウェアネスエージェントは、本発明の実施例の趣旨から逸脱することなく他の様々なアクションコースを実現可能であるということは、当業者に容易に明らかとなるであろう。
ロケーションアウェアネスエージェントが、505において1以上の企業インフラストラクチャ要素に接続可能である場合、エージェントは、装置が高められたセキュリティコントロールを実行しているか判断する。そうでない場合、ロケーションアウェアネスエージェントとバーチャルマシーンマネージャは、512において当該パーティションが507においてネットワークに接続することを可能にするかもしれない。しかしながら、装置が高められたセキュリティコントロールを偶然にも実行している場合、ロケーションアウェアネスエージェントは、513において、適切なアクションコースを決定するかもしれない。このため、例えば、一実施例では、ロケーションアウェアネスエージェントは、高められたセキュリティコントロールを有するパーティションをシャットダウンし、514において、ユーザ実行環境をより低いレベルのセキュリティコントロールを実行するパーティションに移行する。(高められたセキュリティコントロールは、企業ネットワーク内での実行中、装置には不要であるからである)。再び、一実施例では、ロケーションアウェアネスエージェントは、ユーザパーティションのデータに対する制限を課すかもしれない。
一実施例では、より低いレベルのセキュリティコントロールを実行するパーティションが、装置が最初に企業ネットワークから外部ネットワークに移動したときに、バーチャルマシーンマネージャが維持し続けたプライマリパーティションであるかもしれない。他の実施例では、ロケーションアウェアネスエージェントは、ユーザの実行環境を移行する前、より低いレベルのセキュリティを有するプライマリパーティションをスタートアップするようにしてもよい。ロケーションアウェアネスエージェントは、本発明の実施例の趣旨から逸脱することなく各種アクションをとるかもしれないということは、当業者に容易に明らかとなるであろう。
本発明の実施例による計算プラットフォームは、各種計算装置上で実現可能である。実施例によると、計算装置は、1以上のプロセッサなどの他の様々な周知のコンポーネントを有するかもしれない。プロセッサとマシーンアクセス可能なメディアは、ブリッジ/メモリコントローラを使用して通信可能に接続されてもよく、プロセッサは、マシーンアクセス可能なメディアに格納されている命令を実行可能であるかもしれない。ブリッジ/メモリコントローラは、グラフィックコントローラに接続されてもよく、グラフィックコントローラは、表示装置上の表示データの出力を制御するようにしてもよい。ブリッジ/メモリコントローラは、1以上のバスに接続されるかもしれない。これらの要素の1以上が、単一のパッケージ上に又は複数のパッケージ若しくはダイを利用して、プロセッサと共に統合されるかもしれない。USB(Universal Serial Bus)ホストコントローラなどのホストバスコントローラがバスに接続され、複数の装置がUSBに接続されてもよい。例えば、キーボードやマウスなどのユーザ入力装置が、入力データを提供するため、計算装置に含まれてもよい。他の実施例では、ホストバスコントローラは、PCI、PCI Express、FireWireを含む他の各種の相互接続規格と他の同様の既存又は将来の規格と互換性を有してもよい。
上記明細書では、本発明が特定の実施例を参照して説明された。しかしながら、添付した請求項に与えられるような本発明の広範な趣旨及び範囲から逸脱することなく、様々な改良及び変更が可能であるということは、理解されるであろう。明細書及び図面は、限定的でなく例示的なものとみなされるべきである。
図1は、典型的な無線ネットワークトポロジーを示す。 図2は、一例となるAMT環境を示す。 図3は、一例となるバーチャルマシーンホストを示す。 図4Aは、本発明の実施例のコンポーネントを概略的に示す。 図4Bは、本発明の実施例のコンポーネントを概略的に示す。 図5は、本発明の実施例を示すフローチャートである。
符号の説明
100 企業ネットワーク
125 ノード
150 外部ネットワーク
175 ファイアウォール
200 ホスト
205 メインプロセッサ
210 ホストOS
215 専用プロセッサ

Claims (14)

  1. ロケーションアウェアネスエージェントを有するセキュアパーティションとユーザパーティションとを有する装置のネットワーク状態の変化を特定するステップと、
    前記ロケーションアウェアネスエージェントが、前記装置がネットワークに接続されているか判断するステップと、
    前記装置がネットワークに接続されている場合、前記ロケーションアウェアネスエージェントが、前記ネットワークがセキュアであるか判断するステップと、
    前記ネットワークがセキュアである場合、前記ロケーションアウェアネスエージェントが、前記ユーザパーティションのオペレーティングシステムが前記ネットワークにアクセスすることを可能にする前に、前記オペレーティングシステムに第1セキュリティコントロールセットを適用するステップと、
    前記ネットワークが非セキュアである場合、前記ロケーションアウェアネスエージェントが、前記オペレーティングシステムが前記ネットワークにアクセスすることを可能にする前に、前記オペレーティングシステムに第2セキュリティコントロールセットを適用するステップと、
    を有する方法。
  2. 前記第1セキュリティコントロールセットは、前記第2セキュリティコントロールセットと異なり、
    前記第2セキュリティコントロールセットは、前記第1セキュリティコントロールセットより少なくとも1以上多くの制限を課す、請求項1記載の方法。
  3. 前記ネットワークがセキュアであるか判断するステップはさらに、既知のネットワークインフラストラクチャ要素に接続しようとすることから構成される、請求項1記載の方法。
  4. 前記第1セキュリティコントロールセットは、前記ユーザパーティションが前記装置上のデータにアクセスすることを可能にし、
    前記第2セキュリティコントロールセットは、前記ユーザパーティションが前記装置上のデータの少なくとも一部にアクセスすることを制限する、請求項1記載の方法。
  5. 前記セキュアパーティションは、Active Management Technologies(AMT)、Manageability Engine(ME)、Platform Resource Layer(PRL)、バーチャルマシーン(VM)及び独立したプロセッサコアの少なくとも1つである、請求項1記載の方法。
  6. 前記装置は無線装置である、請求項1記載の方法。
  7. ネットワークインタフェースカードと、
    前記ネットワークインタフェースカードに接続されるユーザパーティションと、
    前記ネットワークインタフェースカードと前記ユーザパーティションとに接続され、前記ユーザパーティションによる前記ネットワークインタフェースカードのアクセスを管理するセキュアパーティションと、
    前記セキュアパーティションと前記ユーザパーティションとに接続され、当該計算装置がネットワークに接続されているか判断し、当該計算装置がネットワークに接続されている場合、前記ネットワークがセキュアであるか判断し、前記ネットワークがセキュアである場合、前記ユーザパーティションのオペレーティングシステムが前記ネットワークにアクセスすることを可能にする前に、前記オペレーティングシステムに第1セキュリティコントロールセットを適用し、前記ネットワークが非セキュアである場合、前記オペレーティングシステムが前記ネットワークにアクセスすることを可能にする前に、前記オペレーティングシステムに第2セキュリティコントロールセットを適用することが可能なロケーションアウェアネスエージェントと、
    を有する計算装置。
  8. 前記セキュアパーティションと前記ユーザパーティションとに接続され、前記セキュアパーティションと前記ユーザパーティションとによりアクセス可能なデータを有する格納エリアをさらに有し、
    前記第1セキュリティコントロールセットと第2セキュリティコントロールセットとは、前記ユーザパーティションによる前記データへのアクセスに対して制限を課し、
    前記第2セキュリティコントロールセットは、前記第1セキュリティコントロールセットより少なくとも1以上多くのアクセスに対する制限を課す、請求項7記載の計算装置。
  9. 前記セキュアパーティションは、Active Management Technologies(AMT)、Manageability Engine(ME)、Platform Resource Layer(PRL)、バーチャルマシーン(VM)及び独立したプロセッサコアの少なくとも1つである、請求項7記載の計算装置。
  10. マシーンによって実行されると、
    セキュアパーティションとユーザパーティションとを有する装置のネットワーク状態の変化を特定するステップと、
    前記装置がネットワークに接続されているか判断するステップと、
    前記装置がネットワークに接続されている場合、前記ネットワークがセキュアであるか判断するステップと、
    前記ネットワークがセキュアである場合、前記ユーザパーティションのオペレーティングシステムが前記ネットワークにアクセスすることを可能にする前に、前記オペレーティングシステムに第1セキュリティコントロールセットを適用するステップと、
    前記ネットワークが非セキュアである場合、前記オペレーティングシステムが前記ネットワークにアクセスすることを可能にする前に、前記オペレーティングシステムに第2セキュリティコントロールセットを適用するステップと、
    を前記マシーンに実行させる命令を格納するマシーンアクセス可能なメディアから構成される物。
  11. 前記第1セキュリティコントロールセットは、前記第2セキュリティコントロールセットと異なり、
    前記第2セキュリティコントロールセットは、前記第1セキュリティコントロールセットより少なくとも1以上多くの制限を課す、請求項10記載の物。
  12. 前記命令は、既知のネットワークインフラストラクチャ要素に接続しようとすることによって、前記ネットワークがセキュアであるか前記マシーンに判断させる、請求項10記載の物。
  13. 前記第1セキュリティコントロールセットは、前記ユーザパーティションが前記装置上のデータにアクセスすることを可能にし、
    前記第2セキュリティコントロールセットは、前記ユーザパーティションが前記装置上のデータの少なくとも一部にアクセスすることを制限する、請求項10記載の物。
  14. 前記装置は無線装置である、請求項10記載の物。
JP2007269352A 2006-10-17 2007-10-16 セキュアなロケーションアウェアプラットフォームを可能にする方法、装置及びシステム Expired - Fee Related JP4805238B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/583,394 2006-10-17
US11/583,394 US8024806B2 (en) 2006-10-17 2006-10-17 Method, apparatus and system for enabling a secure location-aware platform

Publications (2)

Publication Number Publication Date
JP2008243178A true JP2008243178A (ja) 2008-10-09
JP4805238B2 JP4805238B2 (ja) 2011-11-02

Family

ID=39110819

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007269352A Expired - Fee Related JP4805238B2 (ja) 2006-10-17 2007-10-16 セキュアなロケーションアウェアプラットフォームを可能にする方法、装置及びシステム

Country Status (5)

Country Link
US (2) US8024806B2 (ja)
EP (1) EP1914956A1 (ja)
JP (1) JP4805238B2 (ja)
KR (1) KR100938521B1 (ja)
CN (2) CN101257413B (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010198277A (ja) * 2009-02-25 2010-09-09 Nec Corp ストレージ装置
US8024806B2 (en) 2006-10-17 2011-09-20 Intel Corporation Method, apparatus and system for enabling a secure location-aware platform
WO2013070222A1 (en) * 2011-11-10 2013-05-16 Intel Corporation Apparatus, system, and method for protecting electronic devices in a virtual perimeter

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8126999B2 (en) 2004-02-06 2012-02-28 Microsoft Corporation Network DNA
US20080271150A1 (en) * 2007-04-30 2008-10-30 Paul Boerger Security based on network environment
GB2460275B (en) 2008-05-23 2012-12-19 Exacttrak Ltd A Communications and Security Device
US9626511B2 (en) * 2008-08-26 2017-04-18 Symantec Corporation Agentless enforcement of application management through virtualized block I/O redirection
US20100107240A1 (en) * 2008-10-24 2010-04-29 Microsoft Corporation Network location determination for direct access networks
KR101540798B1 (ko) 2008-11-21 2015-07-31 삼성전자 주식회사 가상화 환경에서 보안 정보를 제공하기 위한 장치 및 방법
US20110055891A1 (en) * 2009-08-26 2011-03-03 Rice Christopher T Device security
GB2479916A (en) * 2010-04-29 2011-11-02 Nec Corp Access rights management of locally held data based on network connection status of mobile device
KR101225903B1 (ko) * 2010-07-29 2013-01-24 삼성에스디에스 주식회사 클라이언트 하이퍼바이저 기반의 사용자 단말장치 및 그의 가상머신 상의 파일 암복호화 방법, 그리고 이를 포함하는 가상머신 상의 파일 암복호화 시스템
US20120174237A1 (en) * 2010-12-31 2012-07-05 Openpeak Inc. Location aware self-locking system and method for a mobile device
WO2013048389A1 (en) * 2011-09-28 2013-04-04 Intel Corporation Techniques for dynamic enpoint secure location awareness
CN102739645B (zh) * 2012-04-23 2016-03-16 杭州华三通信技术有限公司 虚拟机安全策略的迁移方法及装置
US20150208195A1 (en) * 2014-01-20 2015-07-23 Safe Frontier Llc Method and apparatus for out of band location services
MY187539A (en) * 2014-09-22 2021-09-28 Mimos Berhad System and method to provide integrity verification for active management technology (amt) application in a remote platform
CN104866772A (zh) * 2015-05-07 2015-08-26 中国科学院信息工程研究所 一种基于物理环境感知的计算机访问控制方法及系统
US11010475B1 (en) * 2016-10-07 2021-05-18 Janus Technologies Inc. Secure computer with multiple operating systems
CN109062761A (zh) * 2018-07-26 2018-12-21 郑州云海信息技术有限公司 一种服务器状态管理方法、装置及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003283589A (ja) * 2002-03-27 2003-10-03 Nippon Telegr & Teleph Corp <Ntt> ネットワーク接続装置、ネットワーク接続方法およびプログラム
US20030204748A1 (en) * 2002-04-30 2003-10-30 Tom Chiu Auto-detection of wireless network accessibility
JP2003316650A (ja) * 2002-04-18 2003-11-07 Internatl Business Mach Corp <Ibm> コンピュータ装置、携帯情報機器、セキュリティ切り替え方法、およびプログラム
US20030216143A1 (en) * 2002-03-01 2003-11-20 Roese John J. Location discovery in a data network
JP2004021923A (ja) * 2002-06-20 2004-01-22 Matsushita Electric Ind Co Ltd 情報処理装置と情報処理方法
JP2004265286A (ja) * 2003-03-04 2004-09-24 Fujitsu Ltd 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理
JP2005176320A (ja) * 2003-12-05 2005-06-30 Microsoft Corp 無線ネットワークタイプの自動検出
US20050195778A1 (en) * 2003-09-05 2005-09-08 Bergs Magnus H. Method and device for setting up connections between communication terminals and data and/or communication networks having wireless transmission links, such as, for example, wireless local area networks (WLAN) and/or mobile telephone networks, and a corresponding computer program and a corresponding computer-readable storage medium

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050024368A (ko) * 2002-07-29 2005-03-10 메시네트웍스, 인코포레이티드 무선 네트워크에 있어서 노드의 인증 확인 시에 노드의물리적 위치를 결정하기 위한 시스템 및 방법
US7146640B2 (en) 2002-09-05 2006-12-05 Exobox Technologies Corp. Personal computer internet security system
US7526800B2 (en) * 2003-02-28 2009-04-28 Novell, Inc. Administration of protection of data accessible by a mobile device
US7401230B2 (en) 2004-03-31 2008-07-15 Intel Corporation Secure virtual machine monitor to tear down a secure execution environment
US7765544B2 (en) 2004-12-17 2010-07-27 Intel Corporation Method, apparatus and system for improving security in a virtual machine host
US8479193B2 (en) 2004-12-17 2013-07-02 Intel Corporation Method, apparatus and system for enhancing the usability of virtual machines
US7565685B2 (en) 2005-11-12 2009-07-21 Intel Corporation Operating system independent data management
US7693838B2 (en) 2005-11-12 2010-04-06 Intel Corporation Method and apparatus for securely accessing data
US7886351B2 (en) * 2006-06-19 2011-02-08 Microsoft Corporation Network aware firewall
US7814531B2 (en) * 2006-06-30 2010-10-12 Intel Corporation Detection of network environment for network access control
US8453197B2 (en) 2006-09-07 2013-05-28 Intel Corporation Method, apparatus and system for isolating a temporary partition on a host
US8024806B2 (en) 2006-10-17 2011-09-20 Intel Corporation Method, apparatus and system for enabling a secure location-aware platform

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030216143A1 (en) * 2002-03-01 2003-11-20 Roese John J. Location discovery in a data network
JP2003283589A (ja) * 2002-03-27 2003-10-03 Nippon Telegr & Teleph Corp <Ntt> ネットワーク接続装置、ネットワーク接続方法およびプログラム
JP2003316650A (ja) * 2002-04-18 2003-11-07 Internatl Business Mach Corp <Ibm> コンピュータ装置、携帯情報機器、セキュリティ切り替え方法、およびプログラム
US20030204748A1 (en) * 2002-04-30 2003-10-30 Tom Chiu Auto-detection of wireless network accessibility
JP2004021923A (ja) * 2002-06-20 2004-01-22 Matsushita Electric Ind Co Ltd 情報処理装置と情報処理方法
JP2004265286A (ja) * 2003-03-04 2004-09-24 Fujitsu Ltd 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理
US20050195778A1 (en) * 2003-09-05 2005-09-08 Bergs Magnus H. Method and device for setting up connections between communication terminals and data and/or communication networks having wireless transmission links, such as, for example, wireless local area networks (WLAN) and/or mobile telephone networks, and a corresponding computer program and a corresponding computer-readable storage medium
JP2005176320A (ja) * 2003-12-05 2005-06-30 Microsoft Corp 無線ネットワークタイプの自動検出

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8024806B2 (en) 2006-10-17 2011-09-20 Intel Corporation Method, apparatus and system for enabling a secure location-aware platform
JP2010198277A (ja) * 2009-02-25 2010-09-09 Nec Corp ストレージ装置
WO2013070222A1 (en) * 2011-11-10 2013-05-16 Intel Corporation Apparatus, system, and method for protecting electronic devices in a virtual perimeter
US9069993B2 (en) 2011-11-10 2015-06-30 Intel Corporation Apparatus, system, and method for protecting electronic devices in a virtual perimeter
US9489545B2 (en) 2011-11-10 2016-11-08 Intel Corporation Apparatus, system, and method for protecting electronic devices in a virtual perimeter

Also Published As

Publication number Publication date
US8393000B2 (en) 2013-03-05
EP1914956A1 (en) 2008-04-23
US20080092236A1 (en) 2008-04-17
KR20080034810A (ko) 2008-04-22
CN102281297B (zh) 2014-06-18
KR100938521B1 (ko) 2010-01-25
JP4805238B2 (ja) 2011-11-02
CN101257413B (zh) 2011-10-05
CN101257413A (zh) 2008-09-03
CN102281297A (zh) 2011-12-14
US20110302658A1 (en) 2011-12-08
US8024806B2 (en) 2011-09-20

Similar Documents

Publication Publication Date Title
JP4805238B2 (ja) セキュアなロケーションアウェアプラットフォームを可能にする方法、装置及びシステム
JP5837683B2 (ja) ネットワークのセグメント化によるネイティブクラウドコンピューティング
CN107534579B (zh) 资源管理的系统和方法
US8973098B2 (en) System and method for virtualized resource configuration
US8381264B1 (en) Managing hardware reboot and reset in shared environments
US9703951B2 (en) Allocation of shared system resources
US8943606B2 (en) Systems and methods for associating a virtual machine with an access control right
US8972981B2 (en) Implementing network traffic management for virtual and physical machines
US8707417B1 (en) Driver domain as security monitor in virtualization environment
AU2011320582B2 (en) Inherited product activation for virtual machines
JP6063941B2 (ja) システム管理要求のための仮想高特権モード
US10972449B1 (en) Communication with components of secure environment
US10325116B2 (en) Dynamic privilege management in a computer system
US20190258503A1 (en) Method for operating virtual machines on a virtualization platform and corresponding virtualization platform
JP2010282447A (ja) 仮想計算機システム、そのアクセス制御方法及び通信装置
US10257166B2 (en) Guest netfilter protection by virtual machine function
CN108509251A (zh) 一种适用于可信执行环境中的安全虚拟化系统
CN107547258B (zh) 一种网络策略的实现方法和装置
KR101498965B1 (ko) 가상화 기술을 이용한 내외부망 격리 시스템 및 방법
US20220229916A1 (en) Dynamic privilege management in a computer system
JP6133804B2 (ja) ネットワーク制御装置、通信システム、ネットワーク制御方法、および、ネットワーク制御プログラム
US12067111B2 (en) Liveness guarantees in secure enclaves using health tickets
CN108241801B (zh) 处理系统调用的方法和装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100921

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101221

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110518

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20110523

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110712

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110810

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4805238

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140819

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees