JP5068259B2 - セキュア・ネットワーク・インストールのための方法および機器 - Google Patents

セキュア・ネットワーク・インストールのための方法および機器 Download PDF

Info

Publication number
JP5068259B2
JP5068259B2 JP2008521954A JP2008521954A JP5068259B2 JP 5068259 B2 JP5068259 B2 JP 5068259B2 JP 2008521954 A JP2008521954 A JP 2008521954A JP 2008521954 A JP2008521954 A JP 2008521954A JP 5068259 B2 JP5068259 B2 JP 5068259B2
Authority
JP
Japan
Prior art keywords
client
image file
server
boot image
boot
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008521954A
Other languages
English (en)
Other versions
JP2009501986A5 (ja
JP2009501986A (ja
Inventor
シャーマ、ラケシュ
バルラバネニ、バス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2009501986A publication Critical patent/JP2009501986A/ja
Publication of JP2009501986A5 publication Critical patent/JP2009501986A5/ja
Application granted granted Critical
Publication of JP5068259B2 publication Critical patent/JP5068259B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4416Network booting; Remote initial program loading [RIPL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Information Transfer Between Computers (AREA)
  • Stored Programmes (AREA)

Description

本発明は、一般にデータ処理システムに関する。詳細には、本発明は、データ処理システムでのブート・イメージ・ネットワーク・インストールに関する。さらに詳細には、本発明は、リモート・ブート・コードの変更を伴う、または伴わない、データ処理システムでのセキュア・ブート・イメージ・ネットワーク・インストールに関する。
現在、データ・センタ管理者はしばしば、トリビアル・ファイル転送プロトコル(TFTP:TrivialFile Transfer Protocol)サーバを使用して、ネットワークを介してブート・イメージ・ファイルのアップロードまたはダウンロードを実施している。ブート・イメージ・ファイルは、実行可能イメージと、ワークステーション、ハブ、スイッチなどの装置をブートおよび構成するのに使用される構成と、装置が実行可能イメージをインストールするのに必要な他の情報とを含む。トリビアル・ファイル転送プロトコルは、InternetActivities Board(IAB)の公式プロトコル規格の1つである。
トリビアル・ファイル転送プロトコルは、ファイルを転送するのに使用される単純なプロトコルである。トリビアル・ファイル転送プロトコルは、インターネット・ユーザ・データグラム・プロトコル(UDP)の上に実装されるので、トリビアル・ファイル転送プロトコルを使用して、UDPを実装する相異なるネットワーク上のマシン間でファイルを移動することができる。さらに、トリビアル・ファイル転送プロトコルができることはリモート・サーバからファイルを読み取り、またはリモート・サーバにファイルを書き込むことだけであるという点で、トリビアル・ファイル転送プロトコルは通常のファイル転送プロトコル(FTP)とは異なる。トリビアル・ファイル転送プロトコルは、ディレクトリを列挙することができず、ユーザ認証を提供しない。
トリビアル・ファイル転送プロトコルは、リモートにファイルを転送する効率的な方式を提供するが、ユーザ認証などのセキュリティ機能が欠如している。具体的には、トリビアル・ファイル転送プロトコルはサブネット間でセキュアではない。サブネットは、共通アドレス構成要素を共有する1群のネットワーク構成要素を表し、例えば、100.100.100で始まる内部プロトコル・アドレスを有するすべての装置は同一のサブネットの部分である。トリビアル・ファイル転送プロトコルはインセキュア(insecure)であるので、クライアントがあるサブネットから別のサブネットに属するTFTPサーバにブート・イメージ・ダウンロードを要求するとき、ネットワークは損なわれる。クライアントのコードへのアクセスが露出されるとき、またはダウンロードされているブート・イメージ情報が破壊または改ざんされるとき、情報ネットワークは損なわれる。
したがって、ネットワークを損なうことなくサブネット間でブート・イメージをアップロードまたはダウンロードすることができるようなセキュア・ネットワーク・インストールのための方法を有することが有利となるはずである。
セキュア・ネットワーク・インストールのための、コンピュータで実装される方法、機器、およびコンピュータ命令が提供される。本発明の諸態様は、同一のサブネット上のプロキシ・サーバでクライアントからブート・イメージ・ファイルを求める要求を受信し、受信済み要求を形成する。本発明の一態様では、プロキシ・サーバはトリビアル・ファイル転送プロトコル・サーバである。クライアントは、クライアント・インターネット・プロトコル・アドレス、ブート・イメージ・ファイルの位置、およびプロキシ・サーバのインターネット・プロトコル・アドレスを動的ホスト構成プロトコル・サーバから受信する。ブート・イメージ・ファイルを求める要求は、ブート・イメージ・ファイルの位置およびクライアント・インターネット・プロトコル・アドレスを含む。
本発明の諸態様は、ブート・イメージ・ファイルを求めて、サーバおよび対応するブート・イメージ・ファイルのリストからブート・イメージ・ファイル・サーバの位置を突き止め、マッピング・ファイル内のブート・イメージ・ファイルのルックアップを実施すること、およびブート・イメージ・ファイルに関するブート・イメージ・ファイル・サーバのインターネット・プロトコル・アドレスを識別することを含み、マッピング・ファイルは、サーバおよび対応するブート・イメージ・ファイルのリストを含む。
本発明の諸態様は、セキュア・ファイル転送プロトコルを使用して、位置を突き止めたブート・イメージ・ファイルをブート・イメージ・ファイル・サーバから取り出。セキュアード・ファイル転送プロトコル(secured file transfer protocol)は、ファイル暗号化とチェックサム検証の少なくとも一方を含む。
本発明の諸態様は、取り出したブート・イメージ・ファイルをクライアントに送信する。
本発明の特徴と考えられる新規な機能が、添付の特許請求の範囲で記述される。しかし、本発明自体、ならびに好ましい使用の形態、本発明の別の目的および利点は、以下の例示的実施形態の詳細な説明を添付の図面と共に参照することによって最も良く理解されよう。
図1〜2は、本発明の実施形態を実装することのできるデータ処理環境の例示的ダイアグラムとして与えられる。図1〜2は例示的なものに過ぎず、本発明の態様または実施形態を実装することのできる環境に関する何らかの制限を主張または示唆するものではないことを理解されたい。本発明の精神および範囲から逸脱することなく、図示される環境に対して多くの修正を行うことができる。
ここで図を参照すると、図1は、本発明の諸態様を実装することのできるデータ処理システムのネットワークの絵画表現を示す。ネットワーク・データ処理システム100は、本発明の実施形態を実装することのできるコンピュータのネットワークである。ネットワーク・データ処理システム100は、ネットワーク・データ処理システム100内で互いに接続された様々な装置およびコンピュータ間の通信リンクを提供するのに使用される媒体であるネットワーク102を含む。ネットワーク102は、ワイヤ通信リンク、ワイヤレス通信リンク、光ファイバ・ケーブルなどの接続を含むことができる。
図示される例では、サーバ104が記憶装置106と共にネットワーク102に接続される。さらに、クライアント108、110、および112がネットワーク102に接続される。こうしたクライアント108、110、および112は、例えばパーソナル・コンピュータまたはネットワーク・コンピュータでよい。図示される例では、サーバ104は、ブート・ファイル、オペレーティング・システム・イメージ、アプリケーションなどのデータをクライアント108〜112に提供する。クライアント108、110、112は、サーバ104に対するクライアントである。ネットワーク・データ処理システム100は、図示されない追加のサーバ、クライアント、および他の装置を含むことができる。
図示される例では、ネットワーク・データ処理システム100は、伝送制御プロトコル/インターネット・プロトコル(TCP/IP)プロトコル群を使用して互いに通信するネットワークおよびゲートウェイの世界的な集まりを表す、ネットワーク102を有するインターネットである。インターネットの中心部は、データおよびメッセージをルーティングする数千の民間、政府、教育、またはその他のコンピュータ・システムからなるメジャー・ノードまたはホスト・コンピュータ間の高速データ通信回線のバックボーンである。もちろん、例えばイントラネット、ローカル・エリア・ネットワーク(LAN)、または広域ネットワーク(WAN)などのいくつかの異なるタイプのネットワークとしてネットワーク・データ処理システム100を実装することもできる。図1は一例として意図されるものであり、本発明の様々な実施形態に関するアーキテクチャ上の制限として意図されるものではない。
図2を参照すると、図1のサーバ104などのサーバとして実装することのできるデータ処理システムのブロック図が、本発明の例示的実施形態に従って示されている。データ処理システム200は、システム・バス206に接続される複数のプロセッサ202および204を含む対称型マルチプロセッサ(SMP)システムでよい。あるいは、単一のプロセッサ・システムを利用することもできる。
次に図3を参照すると、本発明の諸態様を実装することのできるデータ処理システムのブロック図が示されている。データ処理システム300は、本発明の実施形態に関するプロセスを実施するコードまたは命令を配置することのできる、図1のサーバ104やクライアント108などのコンピュータの一例である。
図示される例では、データ処理システム300は、ノース・ブリッジおよびメモリ・コントローラ・ハブ(NB/MCH)308と、サウス・ブリッジおよび入出力(I/O)コントローラ・ハブ(SB/ICH)310とを含むハブ・アーキテクチャを利用する。プロセッサ302、メイン・メモリ304、およびグラフィックス・プロセッサ318はNB/MCH308に接続される。グラフィックス・プロセッサ318は、例えばaccelerated graphics port(AGP)を介してNB/MCH308に接続することができる。
図示される例では、ローカル・エリア・ネットワーク(LAN)アダプタ312、オーディオ・アダプタ316、キーボードおよびマウス・アダプタ320、モデム322、読取り専用メモリ(ROM)324、ハード・ディスク・ドライブ(HDD)326、CD−ROMドライブ330、ユニバーサル・シリアル・バス(USB)ポートおよび他の通信ポート332、およびPCI/PCIe装置334がSB/ICH310に接続される。PCI/PCIe装置は、例えばイーサネット(登録商標)アダプタ、アドイン・カード、ノートブック・コンピュータ用のPCカードなどを含むことができる。PCIはカード・バス・コントローラを使用するが、PCIeはカード・バス・コントローラを使用しない。ROM324は、例えばフラッシュ・バイナリ入出力システム(BIOS)でよい。ハード・ディスク・ドライブ(HDD)326およびCD−ROMドライブ330は、例えばintegrated drive electronics(IDE)インターフェースまたはserial advancedtechnology attachment(SATA)インターフェースを使用することができる。スーパーI/O(SIO)装置336をSB/ICH310に接続することができる。
オペレーティング・システムがプロセッサ302上で動作し、図3のデータ処理システム300内の様々な構成要素を調整し、その制御を実現する。クライアントとしては、オペレーティング・システムは、Microsoft(R)Windows(登録商標)XP(MicrosoftおよびWindows(登録商標)は米国または他の国々あるいはその両方におけるMicrosoft Corporationの商標である)などの市販のオペレーティング・システムでよい。Java(登録商標)(TM)プログラミング・システムなどのオブジェクト指向プログラミング・システムがオペレーティング・システムと共に動作することができ、データ処理システム300上で実行中のJava(登録商標)プログラムまたはアプリケーションからオペレーティング・システムへの呼出しを実現する(Java(登録商標)はSun Microsystems, Inc.の米国または他の国々あるいはその両方における商標である)。
サーバとしては、データ処理システム300は、例えば、AdvancedInteractive Executive(AIX(TM))オペレーティング・システムまたはLINUXオペレーティング・システムを実行するIBM eServer(TM)pSeries(R)コンピュータ・システムでよい(eServer、pSeries、およびAIXはインターナショナル・ビジネス・マシーンズ・コーポレイションの米国または他の国々あるいはその両方における商標であり、LINUXはLinusTorvaldsの米国または他の国々あるいはその両方における商標である)。
オペレーティング・システム、オブジェクト指向プログラミング・システムに対する命令、およびアプリケーションまたはプログラムは、HDD326などの記憶装置上に配置され、プロセッサ302による実行のためにメイン・メモリ304にロードすることができる。本発明の実施形態に関するプロセスは、コンピュータで実施される命令を使用してプロセッサ302で実行され、コンピュータで実施される命令は、例えばメイン・メモリ304、ROM324などのメモリ、あるいは1つまたは複数の周辺装置326および330に配置することができる。こうしたプロセスは任意の処理装置で実行することができ、処理装置は1つまたは複数のプロセッサを含むことができる。
図1〜3のハードウェアは実装に応じて変化する可能性があることを当業者は理解されよう。フラッシュ・メモリ、同等の不揮発性メモリ、光ディスク・ドライブなどの他の内部ハードウェアまたは周辺装置を、図1〜3に示されるハードウェアの代わりに、またはそれに加えて使用することができる。さらに、本発明のプロセスをマルチプロセッサ・データ処理システムに適用することができる。
いくつかの例示的実施例(illustrative example)として、データ処理システム300は携帯情報端末(PDA)でよく、PDAは、オペレーティング・システム・ファイルまたはユーザ生成データあるいはその両方を格納する不揮発性メモリを提供するためのフラッシュ・メモリと共に構成される。
バス・システムは、図2に示されるシステム・バス206、I/Oバス212、PCIバス216、226、および228などの1つまたは複数のバスから構成することができる。もちろん、ファブリックまたはアーキテクチャに取り付けられた様々な構成要素または装置間のデータの転送を実現する任意のタイプの通信ファブリックまたはアーキテクチャを使用してバス・システムを実装することができる。通信ユニットは、図2のモデム218またはネットワーク・アダプタ220、図3のモデム322またはLAN312などの、データを送信および受信するのに使用される1つまたは複数の装置を含むことができる。メモリは例えば、図2のメモリ・コントローラ/キャッシュ208、図3のメイン・メモリ304に見られるようなローカル・メモリ209またはキャッシュでよい。処理装置は、図2のプロセッサ202またはプロセッサ204、図3のプロセッサ302などの1つまたは複数のプロセッサまたはCPUを含むことができる。図1〜3に示される例および上述の例は、アーキテクチャ上の制限を示唆するものではない。例えば、データ処理システム300は、PDAの形態を取ることに加えて、タブレット・コンピュータ、ラップトップ・コンピュータ、電話装置でもよい。
次に図4を参照すると、ネットワーク・インストールのための構成要素間の周知の対話を示す図が示されている。図4に示されるように、クライアント400がネットワーク・インストールを実施したいとき、クライアント400はまず、デフォルト・ルータR1を介して動的ホスト構成プロトコル(DHCP)サーバ402に発見パケット(discovery packet)を送信する。クライアント400は、図3のデータ処理システム300などのクライアント・データ処理システムとして実装することができ、一方DHCPサーバ402は、図2のサーバ・データ処理システム200などのサーバ・データ処理システムとして実装することができる。DHCPサーバ402は、動的インターネット・プロトコル(IP)アドレスをネットワークの装置に割り当てるサーバである。この場合、DHCPサーバ402は、クライアント400にIPアドレス10.5.5.55を割り当て、これは、クライアント400がサブネット・マスク10.5.5を有するサブネットに属することを意味する。
クライアント400のIPアドレスに加えて、DHCPサーバ402は、ブート・イメージ・ファイルの位置およびTFTPサーバ404のIPアドレスもクライアント400に送信する。TFTPサーバ404は、ブート・イメージ・ファイルが格納される所である。この例では、DHCPサーバ404は、TFTPサーバ404のIPアドレスを表すIPアドレス12.6.6.66をクライアント400に送信する。TFTPサーバ404は、サブネット・マスク12.6.6を有するサブネットに属し、これは、クライアント400が属するサブネットとは異なる。
クライアント400がデフォルト・ルータR1を介して情報を受信すると、クライアント400は、IPアドレスを取得するためのDHCPプロトコルを完了し、ブート・イメージ・ファイルを求める要求をルータR1を介してIPアドレス12.6.6.66に送信する。ルータR1は、IPアドレス12.6.6.66が異なるサブネットに属することを認識し、したがってルータR2に要求をルーティングし、ルータR2は、サブネット12.6.6に対するデフォルト・ルータであるルータR3にルーティングする。ルータR3は、TFTPサーバ404に要求をルーティングし、TFTPサーバ404は、要求されたブート・イメージ・ファイルの位置を突き止め、クライアント400へのブート・イメージ・ファイルのダウンロードを開始する。
TFTPサーバ404を使用してネットワーク・インストールを実施することができるが、TFTPサーバ404は、ユーザ認証などのどんなセキュリティ機能も提供しない。したがって、クライアント400のコードがTFTPサーバ404に対して露出され、TFTPサーバ404からクライアント400にダウンロード中のブート・イメージ・ファイルが破壊または改ざんされる可能性があるという点で、ネットワークが損なわれる。
本発明の実施形態は、上述の問題を克服するセキュア・ネットワーク・インストールのための方法、機器、およびコンピュータ命令を提供する。本発明の一態様は、クライアント・リモート・ブート・コードを修正することなくセキュア・ネットワーク・インストールを提供することである。本発明のこの態様は、クライアントと同一のサブネット内にあるプロキシTFTPサーバを提供する。プロキシTFTPサーバは、サーバおよび対応するブート・イメージ・ファイルのリストと共に構成される。ブート・イメージ・ファイルを求めるクライアント要求に応答して、プロキシTFTPは、要求されたブート・イメージ・ファイルのルックアップを実施し、ブート・イメージ・ファイルが位置するブート・ファイル・サーバからのファイルのセキュア・ダウンロードを開始する。ブート・イメージ・ファイルがダウンロードされると同時に、プロキシTFTPサーバは、クライアントへのファイルのアップロードを開始することができる。
次に図5を参照すると、クライアント・リモート・ブート・コードの修正を伴わないセキュア・ネットワーク・インストールのための構成要素間の対話を示す図が、本発明の例示的実施形態に従って示されている。図5に示されているように、本発明の一態様により、プロキシTFTPサーバ502がクライアント500と同一のサブネットに設けられる。この例では、クライアント500とプロキシTFTPサーバ502はサブネット12.1.1を共有する。
図4のクライアント400と同様に、クライアント500は、ルータR1を介してDHCPサーバ504に発見パケットを送信することによってネットワーク・インストールを開始する。DHCPサーバ504は、クライアント500にIPアドレス12.1.1.10を割り当て、クライアント500にブート・イメージ・ファイル位置、例えば/tmp/AIXbootfileを送信する。ブート・イメージ・ファイルがホストされるブート・ファイル・サーバのIPアドレスを送信する代わりに、DHCPサーバ504は、プロキシTFTPサーバ502のIPアドレスであるIPアドレス12.1.1.5を送信する。
情報の受信時に、クライアント500は、IPアドレスを取得するためのDHCPプロトコルを完了する。次いで、クライアント500は、/tmp/AIXbootfileに位置するブート・イメージ・ファイルを求めて、ルータR1を介してブート・イメージ・ファイル要求をTFTPサーバ502のIPアドレス、この場合は12.1.1.5に送信する。ルータR1は、IPアドレス12.1.1.5が同一のサブネットに属することを認識し、したがって要求をプロキシTFTPサーバ502にルーティングする。
プロキシTFTPサーバ502がクライアント500から要求を受信したとき、プロキシTFTPサーバ502は、ブート・イメージ・ファイルのルックアップを実施する。プロキシTFTPサーバ502は、例えばブート・イメージ・ファイルをブート・ファイル・サーバにマッピングするマッピング・ファイルなどの一般的なルックアップ技法を使用して、ブート・イメージ・ファイルのルックアップを実施する。プロキシTFTPサーバ502がブート・ファイル・サーバ506の位置を突き止めると、プロキシTFTPサーバ502は、ブート・ファイル・サーバ506からルータR1を介するブート・イメージ・ファイルのセキュア・ダウンロードを開始する。ルータR1は、ブート・ファイル・サーバ506がIPアドレス12.6.6.66を有し、サブネット12.6.6内にあることを認識する。ルータR1はルータR2に要求をルーティングし、ルータR2は、サブネット12.6.6に対するデフォルト・ルータであるルータR3に要求をルーティングする。例えばファイル暗号化やチェックサム検証などの一般的なセキュア・ファイル転送機構を使用して、ブート・イメージ・ファイルのセキュア・ダウンロードが、ブート・ファイル・サーバ506からプロキシTFTPサーバ502に対して開始される。
ブート・イメージ・ファイルがダウンロードされると同時に、プロキシTFTPサーバ502は、クライアント500へのブート・イメージ・ファイルのアップロードも開始することができる。ブート・イメージ・ファイルのアップロードのためにプロキシTFTPサーバ502を設けることにより、クライアント500のコードがサブネットを跨いでブート・ファイル・サーバ506に対して露出されることが防止される。さらに、セキュアード・ダウンロードでブート・イメージ・ファイルの破壊または改ざんが防止される。
さらに、プロキシTFTPサーバ502を設けることにより、本発明のこの特定の態様を実装するのに、クライアント500内のリモート・ブート・コードの修正が不要となる。この例示的実施例では、リモート・ブート・コードは、クライアント500のファームウェア内に組み込まれた1組の命令である。リモート・ブート・コードは、クライアント500をブートするのに必要なブート・イメージ・ファイルの位置を突き止め、そのブート・イメージ・ファイルをアップロードするのに使用される。プロキシTFTPサーバ502の使用により、普通ならクライアント500のリモート・ブート・コードを修正するのに必要となる可能性のある時間およびコストが節約される。
本発明の別の態様は、クライアント・リモート・ブート・コードを修正することによってセキュア・ネットワーク・インストールを提供する。本発明のこの態様は、クライアントのリモート・ブート・コードを修正し、それによってクライアントは、クライアント自体をセキュア・ブート・ファイル・ダウンロード発見(SBDD)モードと呼ばれる特別なモードに配置することができる。セキュア・ブート・ファイル・ダウンロード発見モードに配置されたとき、クライアントは、ブート・イメージ・ファイル要求を、ブート・イメージ・ファイル位置およびTFTPサーバのIPアドレスと共に、サブネット指向ブロードキャスト(subnet directed broadcast)として、本発明のこの態様でやはり与えられるプロキシTFTPサーバが聴取中の特定のポートに送信する。サブネット指向ブロードキャストは、特定のサブネットに属する装置に対するデータのブロードキャストである。特定のサブネットに属する装置のみが、データを受信することができる。サブネット指向ブロードキャストは、サブネットの外部の装置がデータを受信することを防止する。
プロキシTFTPサーバがポート上のブート・イメージ・ファイル要求を聴取したとき、プロキシTFTPサーバは、ブート・イメージ・ファイルがホストされるTFTPサーバからのブート・イメージ・ファイルのセキュア・ダウンロードを開始する。ダウンロードが完了した後、プロキシTFTPサーバは、ready for secure download信号(ready for secure download signal)をクライアントに送信し、クライアントは、プロキシTFTPサーバからのブート・イメージ・ファイルのセキュア・ダウンロードを開始する。
次に図6を参照すると、クライアント・リモート・ブート・コードを修正することによるセキュア・ネットワーク・インストールのための構成要素間の対話を示す図が、本発明の例示的実施形態に従って示されている。図6に示されるように、クライアント600は、ルータR1を介してDHCPサーバ604に発見パケットを送信することによってネットワーク・インストールを開始する。この例では、DHCPサーバ604は、クライアント600にIPアドレス12.1.1.10、ブート・ファイル位置/tmp/AIXbootfileを割り当て、TFTPサーバ606にIPアドレス12.6.6.66を割り当てる。この場合、TFTPサーバ606は、ブート・イメージ・ファイルがホストされる所である。
クライアント600が情報を受信すると、クライアント600は、IPアドレスを取得するためのDHCPプロトコルを完了し、SBDDモードと呼ばれる特別なモードを開始する。クライアント600は、ブート・ファイル位置/tmp/AIXbootfile、TFTPサーバ606のIPアドレス、この場合は12.6.6.66を、R1を介してサブネット・ブロードキャスト・アドレスおよびポートに送信することによってSBDDモードを開始する。サブネット・ブロードキャスト・アドレスおよびポートの一例は255.255.255.255:XXである。255.255.255.255がサブネット・アドレスであり、XXがポートである。
クライアント600と同一のサブネット内にあるプロキシTFTPサーバ602は、本発明のこの態様では、ポートXX上のSBDD要求を聴取するように構成される。したがって、プロキシTFTPサーバ602が、ブート・イメージ・ファイル名を完全パス/tmp/AIXbootfileおよびTFTPサーバ606のIPアドレスと共に含むブロードキャスト・メッセージを聴取するとき、プロキシTFTPサーバ602は、ルータR1、R2、およびR3を介してTFTPサーバ606からのブート・イメージ・ファイルのセキュア・ダウンロードを開始する。本発明の第1の態様と同様に、一般的なセキュア・ファイル転送機構を使用して、ブート・イメージ・ファイルをTFTPサーバ606からプロキシTFTPサーバ602にセキュアにダウンロードすることができる。こうした機構は、例えばファイル暗号化およびチェックサム検証を含む。ブート・イメージ・ファイルのダウンロードが完了した後、プロキシTFTPサーバ602は、readyfor secure download信号をクライアント600に送信する。クライアント600は、プロキシTFTPサーバ602からブート・イメージ・ファイルをダウンロードする。
本発明のこの態様は、プロキシTFTPサーバ602を使用してブート・イメージ・ファイルのセキュア・ダウンロードを実現する。このようにして、クライアント600のコードが、異なるサブネット上に位置するTFTPサーバ606に露出されることが防止される。さらに、TFTPサーバ606からプロキシTFTPサーバ602へのセキュア・ダウンロードで、ブート・イメージ・ファイルの破壊または改ざんが防止される。さらに、クライアント・リモート・ブート・コードの修正で、複数のクライアント間で一様性を達成することができる。したがって、本発明のこの態様を使用して、相異なるクライアントがセキュア・ネットワーク・インストールの同一の恩恵を受けることができる。
次に図7を参照すると、クライアント・リモート・ブート・コードの修正を伴わないセキュア・ネットワーク・インストールのためにクライアントによって実施される例示的プロセスの流れ図が、本発明の例示的実施形態に従って示されている。図7のプロセスを、図5のクライアント500などのクライアントで実施することができる。
図7に示されるように、プロセスは、クライアントがDHCP発見パケットをDHCPサーバに送信するときに始まる(ステップ700)。次に、クライアントは、クライアントのIPアドレス、ブート・イメージ・ファイル位置、およびプロキシTFTPサーバのIPアドレスをDHCPサーバから受信する(ステップ702)。次いで、クライアントは、IPアドレスを取得するためのDHCPプロトコルを完了し(ステップ704)、ブート・イメージ・ファイルを求めるブート・イメージ・ファイル要求をプロキシTFTPサーバに送信する(ステップ706)。プロキシTFTPサーバはクライアントと同一のサブネット内にある。プロキシTFTPサーバがブート・ファイル・サーバからイメージ・ファイルをダウンロードした後、クライアントは、プロキシTFTPサーバからブート・イメージ・ファイルのダウンロードを受信し(ステップ708)、その後でプロセスは終了する。
次に図8を参照すると、クライアント・リモート・ブート・コードの修正を伴わないセキュア・ネットワーク・インストールのためにプロキシTFTPサーバによって実施される例示的プロセスの流れ図が、本発明の例示的実施形態に従って示されている。図8のプロセスを、図5のプロキシTFTPサーバ502などの、本発明の諸態様で提供されるプロキシTFTPサーバで実施することができる。
図8に示されるように、プロセスは、プロキシTFTPサーバがクライアントからブート・イメージ・ファイルを求める要求を受信したときに始まる(ステップ720)。次いで、プロキシTFTPサーバは、ブート・イメージ・ファイルのルックアップを実施する(ステップ722)。一般的なルックアップ機構が使用される。こうした機構は、例えばブート・イメージ・ファイルをブート・ファイル・サーバにマッピングするマッピング・ファイルを含む。ブート・イメージ・ファイルが配置されると、プロキシTFTPサーバは、ブート・イメージ・サーバからのブート・イメージ・ファイルのセキュア・ダウンロードを開始する(ステップ724)。プロキシTFTPサーバは、例えばファイル暗号化やチェックサム検証などの一般的なセキュア・ファイル転送機構を使用して、ブート・イメージ・ファイルをダウンロードすることができる。同時に、プロキシTFTPサーバは、クライアントへのブート・イメージ・ファイルのアップロードも開始することができ(ステップ726)、その後でプロセスは終了する。
次に図9を参照すると、修正されたクライアント・リモート・ブート・コードを用いるセキュア・ネットワーク・インストールのためにクライアントによって実施される例示的プロセスの流れ図が、本発明の例示的実施形態に従って示されている。図9のプロセスを、図6のクライアント600などのクライアントで実施することができる。
図9に示されるように、プロセスは、クライアントがDHCP発見パケットをDHCPサーバに送信するときに始まる(ステップ800)。次に、クライアントは、クライアントのIPアドレス、ブート・イメージ・ファイル位置、およびブート・イメージ・ファイルがホストされるTFTPサーバのIPアドレスを受信する(ステップ802)。次いで、クライアントは、IPアドレスを取得するためのDHCPプロトコルを完了する(ステップ804)。
クライアントのリブート・ブート・コードが修正されてクライアントのリブート・ブート・コード自体がSBDDモードに配置されるので、クライアントは、ブート・ファイル位置およびTFTP IPアドレスを、プロキシTFTPサーバが聴取中のサブネット・ブロードキャスト・アドレスおよびポートに送信することによってSBDDモードを開始する(ステップ806)。プロキシTFTPサーバがプロキシTFTPサーバからブート・イメージ・ファイルをダウンロードすると、クライアントは、プロキシTFTPサーバからのブート・イメージ・ファイルのセキュア・ダウンロードを開始し(ステップ808)、その後でプロセスは終了する。
次に図10を参照すると、修正されたクライアント・リモート・ブート・コードを用いるセキュア・ネットワーク・インストールのためにプロキシTFTPサーバによって実施される例示的プロセスの流れ図が、本発明の例示的実施形態に従って示されている。図10のプロセスを、図6のプロキシTFTPサーバ602などの、本発明の諸態様で提供されるプロキシTFTPサーバで実施することができる。
図10に示されるように、プロセスは、プロキシTFTPサーバがサブネット・ブロードキャスト・アドレスおよびポート上のブート・イメージ・ファイルを求めるクライアント要求を聴取することで始まる(ステップ820)。次に、プロキシTFTPサーバは、ブート・イメージ・ファイル位置と、ブート・イメージ・ファイルがホストされるTFTPサーバのIPアドレスとを有するクライアント要求を受信する(ステップ822)。
クライアント要求の受信に応答して、プロキシTFTPサーバは、一般的なセキュア・ファイル転送機構を使用して、TFTPサーバからのブート・イメージ・ファイルのセキュア・ダウンロードを開始する(ステップ824)。こうした機構は、例えばファイル暗号化やチェックサム検証などを含む。ダウンロードが完了した後、プロキシTFTPサーバは、ready for secure download信号をクライアントに送信し(ステップ826)、その後でプロセスは終了する。
したがって、本発明の一態様は、ブート・イメージ・ファイルのルックアップを実施し、セキュアな方式でブート・ファイル・サーバからファイルをダウンロードする、クライアントと同一のサブネットにあるプロキシTFTPサーバを提供する。クライアントは、プロキシTFTPサーバからファイルをダウンロードする。このようにして、セキュアな方式でサブネットにわたってネットワーク・インストールを実施することができる。さらに、クライアント・リモート・ブート・コードの修正は不要である。
本発明の別の態様では、クライアントのリモート・ブート・コードが修正されてクライアントのリブート・ブート・コード自体がSBDDモードに配置される。クライアントは、聴取中のすべての装置に対するサブネット・ブロードキャスト・アドレスおよびポートにブート・イメージ・ファイルを求める要求を送信することによってSBDDモードを開始する。本発明のこの態様によってプロキシTFTPサーバが提供され、サブネット・ブロードキャスト・アドレスおよびポートが聴取され、クライアント要求の受信に応答してブート・イメージ・ファイルがダウンロードされる。クライアントは、プロキシTFTPサーバからブート・イメージ・ファイルをダウンロードする。このようにして、セキュアな方式でネットワーク・インストールを実施するようにすべてのクライアントを構成することができる。さらに、クライアントとプロキシTFTPサーバのどちらでも、セキュリティのための追加のハードウェアは不要である。その結果、ネットワークを介する装置間のセキュア・ネットワーク・インストールを提供するコストが低くなる。
本発明は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、またはハードウェア要素とソフトウェア要素をどちらも含む実施形態の形態を取ることができる。好ましい実施形態では、本発明はソフトウェアで実装され、ソフトウェアは、限定はしないが、ファームウェア、常駐ソフトウェア、マイクロコードなどを含む。
さらに、本発明は、コンピュータまたは任意の命令実行システムによって使用され、またはそれと共に使用されるプログラム・コードを提供するコンピュータ使用可能媒体またはコンピュータ可読媒体からアクセス可能なコンピュータ・プログラム製品の形態を取ることができる。この説明では、コンピュータ使用可能媒体またはコンピュータ可読媒体は、命令実行システム、機器、または装置によって使用され、またはそれと共に使用されるプログラムを含むことができ、格納することができ、通信することができ、伝播することができ、または移送することのできる任意の機器でよい。
媒体は、電子的システム、磁気的システム、光学的システム、電磁的システム、赤外線システム、または半導体システム(あるいは機器または装置)、あるいは伝播媒体でよい。コンピュータ可読媒体の例には、半導体または固体メモリ、磁気テープ、取外し可能コンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM)、読取り専用メモリ(ROM)、硬質磁気ディスク(rigid magnetic disk)、または光ディスクが含まれる。光ディスクの現在の例には、コンパクト・ディスク−読取り専用メモリ(CD−ROM:compactdisk-read only memory)、コンパクト・ディスク−読取り/書込み(CD−R/W:compact disk-read/write)、およびDVDが含まれる。
プログラム・コードを格納または実行し、あるいはその両方を行うのに適したデータ処理システムは、システム・バスを介してメモリ要素に直接的または間接的に結合された少なくとも1つのプロセッサを含む。メモリ要素は、プログラム・コードの実際の実行中に使用されるローカル・メモリと、バルク・ストレージと、実行中にバルク・ストレージからコードを取り出さなければならない回数を削減するために少なくとも一部のプログラム・コードの一時記憶を実現するキャッシュ・メモリとを含むことができる。
入出力装置すなわちI/O装置(限定はしないが、キーボード、ディスプレイ、ポインティング・デバイスなどを含む)を、直接的に、または介入I/Oコントローラを介してシステムに結合することができる。
ネットワーク・アダプタをシステムに結合し、介入プライベートネットワークまたは公衆ネットワークを介してデータ処理システムを他のデータ処理システムまたはリモート・プリンタまたは記憶装置に結合することを可能にすることもできる。モデム、ケーブル・モデム、およびイーサネット(登録商標)カードは、現在入手可能なタイプのネットワーク・アダプタのほんの一部である。
本発明の説明は、例示および説明のために提示したものであり、本発明の説明は、網羅的なものではなく、開示の形態の発明に限定されるものではない。多くの修正形態および変形形態が当業者には明らかとなるであろう。本発明の原理、実用的な適用を最も良く説明するために、かつ企図される特定の用途に適するような様々な修正を伴う様々な実施形態に関して本発明を他の当業者が理解できるように実施形態を選び、説明した。
本発明を実装することのできるデータ処理システムのネットワークの絵画表現を示す図である。 本発明の例示的実施形態による、サーバとして実装することのできるデータ処理システムのブロック図である。 本発明の例示的実施形態を実装することのできるデータ処理システムのブロック図である。 ネットワーク・インストールのための構成要素間の周知の対話を示す図である。 本発明の例示的実施形態による、クライアント・リモート・ブート・コードの修正を伴わないセキュア・ネットワーク・インストールのための構成要素間の対話を示す図である。 本発明の例示的実施形態による、クライアント・リモート・ブート・コードを修正することによるセキュア・ネットワーク・インストールのための構成要素間の対話を示す図である。 本発明の例示的実施形態による、クライアント・リモート・ブート・コードの修正を伴わないセキュア・ネットワーク・インストールのためにクライアントによって実施される例示的プロセスの流れ図である。 本発明の例示的実施形態による、クライアント・リモート・ブート・コードの修正を伴わないセキュア・ネットワーク・インストールのためにプロキシTFTPサーバによって実施される例示的プロセスの流れ図である。 本発明の例示的実施形態による、修正されたクライアント・リモート・ブート・コードを用いるセキュア・ネットワーク・インストールのためにクライアントによって実施される例示的プロセスの流れ図である。 本発明の例示的実施形態による、修正されたクライアント・リモート・ブート・コードを用いるセキュア・ネットワーク・インストールのためにプロキシTFTPサーバによって実施される例示的プロセスの流れ図である。

Claims (5)

  1. クライアントにブート・イメージ・ファイルをインストールするためにクライアントにおいてクライアントのコンピュータが実行する方法であって、前記クライアントとプロキシTFTPサーバが同じサブネット上にあり、ブート・イメージ・ファイルがホストされるサーバが別のサブネット上にある、前記方法は、
    DHCPサーバに発見パケットを送信するステップと、
    前記DHCPサーバからの応答として、ブート・イメージ・ファイル位置、ブート・イメージ・ファイルがホストされるサーバのIPアドレスを受信するステップと、
    クライアントは、ブート・イメージ・ファイル位置およびブート・イメージ・ファイルがホストされるサーバのIPアドレスを含むクライアント要求を、サブネット・ブロードキャスト・アドレスおよび所定のポートに送信し、セキュア・ブート・ファイル・ダウンロード発見(SBDD)モードを開始するステップと、
    クライアントからの前記要求を受信したプロキシTFTPサーバが前記サーバからセキュアにブート・イメージ・ファイルをダウンロードした後に、クライアントがプロキシTFTPサーバからブート・イメージ・ファイルをダウンロードするステップと
    を含む方法。
  2. クライアントにブート・イメージ・ファイルをインストールするためにプロキシTFTPサーバにおいてサーバのコンピュータが実行する方法であって、前記クライアントとプロキシTFTPサーバが同じサブネット上にあり、ブート・イメージ・ファイルがホストされるサーバが別のサブネット上にある、前記方法は、
    クライアントのサブネット・ブロードキャスト・アドレスおよび所定のポートへのブート・イメージ・ファイルのクライアント要求を聴取するステップであって、前記クライアント要求は、ブート・イメージ・ファイル位置およびブート・イメージ・ファイルがホストされるサーバのIPアドレスを有し、前記クライアント要求の送信によりセキュア・ブート・ファイル・ダウンロード発見(SBDD)モードがクライアントにより開始された状態である、前記聴取するステップと
    前記クライアント要求の受信に応答して、プロキシTFTPサーバは、ファイル暗号化やチェックサム検証を含むセキュア・ファイル転送機構を使用して、前記サーバからのブート・イメージ・ファイルをセキュア・ダウンロードするステップと
    前記セキュア・ダウンロードが完了した後、プロキシTFTPサーバはクライアントに、ready for secure download信号をクライアントに送信し、その後ブート・イメージ・ファイルをクライアントに送信するステップと
    を含む方法。
  3. 請求項1または2のいずれか1項に記載の方法の各ステップをコンピュータに実行させるためのコンピュータ・プログラム。
  4. クライアントにブート・イメージ・ファイルをインストールするためのクライアントのデータ処理システムであって、前記クライアントとプロキシTFTPサーバが同じサブネット上にあり、ブート・イメージ・ファイルがホストされるサーバが別のサブネット上にある、前記データ処理システムは、
    DHCPサーバに発見パケットを送信する機能と、
    前記DHCPサーバからの応答として、ブート・イメージ・ファイル位置、ブート・イメージ・ファイルがホストされるサーバのIPアドレスを受信する機能と、
    クライアントは、ブート・イメージ・ファイル位置およびブート・イメージ・ファイルがホストされるサーバのIPアドレスを含むクライアント要求を、サブネット・ブロードキャスト・アドレスおよび所定のポートに送信し、セキュア・ブート・ファイル・ダウンロード発見(SBDD)モードを開始する機能と、
    クライアントからの前記要求を受信したプロキシTFTPサーバが前記サーバからセキュアにブート・イメージ・ファイルをダウンロードした後に、クライアントがプロキシTFTPサーバからブート・イメージ・ファイルをダウンロードする機能と、
    を含むデータ処理システム。
  5. クライアントにブート・イメージ・ファイルをインストールするためのプロキシTFTPサーバのデータ処理システムであって、前記クライアントとプロキシTFTPサーバが同じサブネット上にあり、ブート・イメージ・ファイルがホストされるサーバが別のサブネット上にある、前記データ処理システムは、
    クライアントのサブネット・ブロードキャスト・アドレスおよび所定のポートへのブート・イメージ・ファイルのクライアント要求を聴取する機能であって、前記クライアント要求は、ブート・イメージ・ファイル位置およびブート・イメージ・ファイルがホストされるサーバのIPアドレスを有し、前記クライアント要求の送信によりセキュア・ブート・ファイル・ダウンロード発見(SBDD)モードがクライアントにより開始された状態である、前記聴取する機能と
    前記クライアント要求の受信に応答して、プロキシTFTPサーバは、ファイル暗号化やチェックサム検証を含むセキュア・ファイル転送機構を使用して、前記サーバからのブート・イメージ・ファイルをセキュア・ダウンロードする機能と
    前記セキュア・ダウンロードが完了した後、プロキシTFTPサーバはクライアントに、ready for secure download信号をクライアントに送信し、その後ブート・イメージ・ファイルをクライアントに送信する機能と
    を含むデータ処理システム。
JP2008521954A 2005-07-21 2006-07-17 セキュア・ネットワーク・インストールのための方法および機器 Expired - Fee Related JP5068259B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/186,668 US7478147B2 (en) 2005-07-21 2005-07-21 Method and apparatus for a secure network install
US11/186,668 2005-07-21
PCT/EP2006/064321 WO2007009968A1 (en) 2005-07-21 2006-07-17 Methods, apparatus and program products for downloading a boot image of file from a boot file server in a secure manner

Publications (3)

Publication Number Publication Date
JP2009501986A JP2009501986A (ja) 2009-01-22
JP2009501986A5 JP2009501986A5 (ja) 2009-03-19
JP5068259B2 true JP5068259B2 (ja) 2012-11-07

Family

ID=37059133

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008521954A Expired - Fee Related JP5068259B2 (ja) 2005-07-21 2006-07-17 セキュア・ネットワーク・インストールのための方法および機器

Country Status (6)

Country Link
US (3) US7478147B2 (ja)
EP (1) EP1907927A1 (ja)
JP (1) JP5068259B2 (ja)
CN (1) CN101228508B (ja)
TW (1) TW200710697A (ja)
WO (1) WO2007009968A1 (ja)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7340538B2 (en) * 2003-12-03 2008-03-04 Intel Corporation Method for dynamic assignment of slot-dependent static port addresses
JP4366698B2 (ja) * 2006-07-27 2009-11-18 日本電気株式会社 計算機、計算機システム、及びディスクイメージ配布方法
US8065510B2 (en) * 2007-07-30 2011-11-22 Hewlet-Packard Development Company, L.P. System and methods of retrieving firmware between network locations
US8069345B2 (en) * 2008-10-29 2011-11-29 Netapp, Inc. Methods and systems for recovering a computer system using boot volume data from a storage area network
US8650330B2 (en) * 2010-03-12 2014-02-11 International Business Machines Corporation Self-tuning input output device
CN102316003A (zh) * 2010-06-30 2012-01-11 鸿富锦精密工业(深圳)有限公司 路由器及利用该路由器实现远程启动操作系统的方法
US9015481B2 (en) * 2011-02-22 2015-04-21 Honeywell International Inc. Methods and systems for access security for dataloading
JP5736868B2 (ja) * 2011-03-16 2015-06-17 富士通株式会社 情報処理システム、復旧装置、ディスク復旧方法
TW201250482A (en) * 2011-06-02 2012-12-16 Hon Hai Prec Ind Co Ltd System and method for updating virtual machine templates
US9385918B2 (en) * 2012-04-30 2016-07-05 Cisco Technology, Inc. System and method for secure provisioning of virtualized images in a network environment
US20140047124A1 (en) * 2012-08-10 2014-02-13 Honeywell International Inc. Trivial file transfer protocol (tftp) data transferring prior to file transfer completion
JP6040767B2 (ja) * 2012-12-28 2016-12-07 富士通株式会社 配信システム、配信方法、及びプログラム
US10205750B2 (en) * 2013-03-13 2019-02-12 Intel Corporation Policy-based secure web boot
CN103559059A (zh) * 2013-11-05 2014-02-05 广东新支点技术服务有限公司 一种快速的免介质Linux系统升级方法
US10075385B1 (en) 2014-07-16 2018-09-11 Ivanti, Inc. Systems and methods for discovering and downloading configuration files from peer nodes
US10180845B1 (en) * 2015-11-13 2019-01-15 Ivanti, Inc. System and methods for network booting
US10146552B2 (en) * 2016-06-22 2018-12-04 International Business Machines Corporation Identification of bootable devices
CN107645404B (zh) * 2016-07-21 2020-10-02 杭州海康威视数字技术股份有限公司 一种修复包发送、接收方法及装置和故障修复系统
CN107846381B (zh) * 2016-09-18 2021-02-09 阿里巴巴集团控股有限公司 网络安全处理方法及设备
CN106874770B (zh) * 2017-01-19 2020-04-07 深圳怡化电脑股份有限公司 一种验钞机的固件引导方法和装置
US10567356B2 (en) 2017-06-20 2020-02-18 Microsoft Technology Licensing, Llc Monitoring cloud computing environments with data control policies
US10762218B2 (en) 2017-06-20 2020-09-01 Microsoft Technology Licensing, Llc Network buildout for cloud computing environments with data control policies
CN109218777B (zh) * 2018-10-29 2021-09-24 广州视源电子科技股份有限公司 一种开机展示信息播放方法、装置、设备和存储介质
CN109697079A (zh) * 2018-12-13 2019-04-30 杭州迪普科技股份有限公司 引导加载程序的更新方法及装置
TWI768255B (zh) * 2019-10-28 2022-06-21 瑞昱半導體股份有限公司 雲端部署開機映像的電子裝置、開機映像的雲端部署系統及其方法
CN112784275A (zh) * 2019-11-01 2021-05-11 瑞昱半导体股份有限公司 电子装置、开机映像的云端部署系统及其方法
TWI715433B (zh) * 2020-02-06 2021-01-01 瑞昱半導體股份有限公司 啟動電路、啟動方法以及啟動系統
US11671412B2 (en) 2020-07-01 2023-06-06 Red Hat, Inc. Network bound encryption for orchestrating workloads with sensitive data
US11611431B2 (en) 2020-07-01 2023-03-21 Red Hat, Inc. Network bound encryption for recovery of trusted execution environments
US11741221B2 (en) 2020-07-29 2023-08-29 Red Hat, Inc. Using a trusted execution environment to enable network booting
CN112835628A (zh) * 2021-01-20 2021-05-25 浪潮电子信息产业股份有限公司 一种服务器操作系统引导方法、装置、设备及介质
US11381634B1 (en) 2021-08-03 2022-07-05 International Business Machines Corporation TFTP (trivial file transfer protocol) broadcast controller
CN115840682B (zh) * 2023-02-24 2023-05-30 北京太极信息系统技术有限公司 基于sw64指令集的bios层级采样的运维监控方法及装置

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0592079A2 (en) 1992-09-20 1994-04-13 Sun Microsystems, Inc. Automated software installation and operating environment configuration on a computer system
US5764593A (en) 1996-12-04 1998-06-09 Keylabs, Inc. Method and system for the interception and control of the computer boot process
US6170008B1 (en) * 1998-12-07 2001-01-02 Mediaone Group, Inc. On-the-fly trivial file transfer protocol
US6735692B1 (en) * 2000-07-11 2004-05-11 International Business Machines Corporation Redirected network boot to multiple remote file servers
US6871210B1 (en) * 2000-09-05 2005-03-22 International Business Machines Corporation Automatic allocation of least loaded boot server to PXE client on a network VIA DHCP server
US6898701B2 (en) 2001-04-27 2005-05-24 International Business Machines Corporation Method and system for organized booting of a target device in a network environment by a reservation server based on available boot resources
US8126959B2 (en) 2001-06-28 2012-02-28 International Business Machines Corporation Method and system for dynamic redistribution of remote computer boot service in a network containing multiple boot servers
US6988193B2 (en) * 2001-06-28 2006-01-17 International Business Machines Corporation System and method for creating a definition for a target device based on an architecture configuration of the target device at a boot server
US20030097553A1 (en) 2001-09-29 2003-05-22 Frye James F. PXE server appliance
JP2003162462A (ja) * 2001-11-26 2003-06-06 Toshiba Corp 通信ネットワークシステム
US7376944B2 (en) * 2001-12-18 2008-05-20 Hewlett-Packard Development Company, L.P. Hardware ROM upgrade through an internet or intranet service
US7321936B2 (en) * 2002-04-18 2008-01-22 Ardence, Inc. System for and method of streaming data to a computer in a network
US6954852B2 (en) * 2002-04-18 2005-10-11 Ardence, Inc. System for and method of network booting of an operating system to a client computer using hibernation
US20040254978A1 (en) 2003-06-12 2004-12-16 International Business Machines Corporation System and method of remotely accessing a computer system to initiate remote mainteneance and management accesses on network computer systems
US7376718B2 (en) * 2003-07-14 2008-05-20 Time Warner Cable System and method for managing provisioning parameters in a cable network
US7299354B2 (en) 2003-09-30 2007-11-20 Intel Corporation Method to authenticate clients and hosts to provide secure network boot
US7376945B1 (en) * 2003-12-02 2008-05-20 Cisco Technology, Inc. Software change modeling for network devices
US7330118B2 (en) * 2004-10-28 2008-02-12 Intel Corporation Apparatus and method capable of secure wireless configuration and provisioning
US20060129797A1 (en) * 2004-12-15 2006-06-15 Palo Alto Research Center, Inc. Hardware-supported secure network boot
US7546450B2 (en) * 2006-03-07 2009-06-09 Sun Microsystems, Inc. Method and apparatus for operating system deployment

Also Published As

Publication number Publication date
US20080256221A1 (en) 2008-10-16
CN101228508B (zh) 2011-09-07
WO2007009968A1 (en) 2007-01-25
US7941509B2 (en) 2011-05-10
CN101228508A (zh) 2008-07-23
US20070022184A1 (en) 2007-01-25
TW200710697A (en) 2007-03-16
JP2009501986A (ja) 2009-01-22
EP1907927A1 (en) 2008-04-09
US7478147B2 (en) 2009-01-13
US20090094352A1 (en) 2009-04-09
US7890614B2 (en) 2011-02-15

Similar Documents

Publication Publication Date Title
JP5068259B2 (ja) セキュア・ネットワーク・インストールのための方法および機器
JP6040767B2 (ja) 配信システム、配信方法、及びプログラム
JP4746393B2 (ja) ネットワークを介するソフトウェア配信を外部の悪意のある侵入から隔離する方法、システム、および装置
US11120010B1 (en) Systems, methods, and computer readable media for managing a hosts file
US6684327B1 (en) Extensible, flexible, memory efficient technique for network boot without special DHCP/PXE hardware
US7831692B2 (en) Method and system for automatically associating an address with a target device
US7865892B2 (en) Program, recording medium, and device for installing software
JP2005018786A (ja) サーバからクライアントに送信されたブートファイルの3方向の検証および認証
JP4912109B2 (ja) 情報処理装置、情報処理方法およびプログラム
US20040254978A1 (en) System and method of remotely accessing a computer system to initiate remote mainteneance and management accesses on network computer systems
US8589472B2 (en) Agent system for reducing server resource usage
Burgess Learn RouterOS
US20060293877A1 (en) Method and apparatus for uni-lingual workflow usage in multi-lingual data center environments
US20120207166A1 (en) Addressing a workload partition
US7934214B2 (en) Computer implemented method, system and computer program product for controlling software entitlement
JP6874464B2 (ja) 端末装置及び通信システム
US10742492B2 (en) Managing server nodes on a management network with modified service discovery protocol messages
CN113330435A (zh) 跟踪被污染的连接代理
US20230164114A1 (en) System and method for managing and securing an enterprise network associated with an organization
US8291203B2 (en) Using a live operating system to set up and configure an active management technology device
Chao Networking systems design and development
Sastre UNIX secure server: a free, secure, and functional server example

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090129

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090326

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120315

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120410

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120731

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120814

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150824

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5068259

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees