JP6760568B2 - セキュア環境の調査 - Google Patents
セキュア環境の調査 Download PDFInfo
- Publication number
- JP6760568B2 JP6760568B2 JP2018060823A JP2018060823A JP6760568B2 JP 6760568 B2 JP6760568 B2 JP 6760568B2 JP 2018060823 A JP2018060823 A JP 2018060823A JP 2018060823 A JP2018060823 A JP 2018060823A JP 6760568 B2 JP6760568 B2 JP 6760568B2
- Authority
- JP
- Japan
- Prior art keywords
- network device
- network
- address
- management controller
- bmc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 49
- 230000003068 static effect Effects 0.000 claims description 20
- 230000008569 process Effects 0.000 description 30
- 238000011835 investigation Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 241001290266 Sciaenops ocellatus Species 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 108010028984 3-isopropylmalate dehydratase Proteins 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 206010000210 abortion Diseases 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002405 diagnostic procedure Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/26—Power supply means, e.g. regulation thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/81—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer by operating on the power supply, e.g. enabling or disabling power-on, sleep or resume operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Stored Programmes (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Small-Scale Networks (AREA)
Description
本開示は概して、ネットワーク装置用のセキュリティシステムに関する。より具体的には、本開示の態様は、ネットワーク装置の起動を許可する前に、セキュリティ認証プロトコルを追加することに関する。
演算処理アプリケーション用のクラウドの出現によって、リモートで接続されたコンピュータ装置のユーザのためにデータを格納する、データセンタとして知られた、オフサイト装置群の要求が増している。そのようなデータセンタは通常、大量のラックに加えて、その中に取り付けられた、データを格納及び管理する大量のサーバを有する。例えば、典型的なデータセンタでは、数万個、あるいは数十万個の装置が、数百個又は数千個の個々のラックに含まれることがある。
典型的なデータセンタにおけるこれらのサーバのそれぞれは、データを格納し、ネットワーク接続された装置によるデータへのアクセスを許可する。大量の潜在的価値のあるデータを考えれば、悪意のある個人によってデータが盗まれるのを防止する必要性がある。図1は、ラック20の中に複数のサーバ12を含む、従来技術によるデータセンタシステム10を示す。これらのサーバ12は、サーバ12を管理するために、ネットワーク14に接続されている。そのようなラック20の現在のセキュリティシステムは、プラットフォームのファームウェアの完全性を調査し、サーバのマザーボードの一貫したハードウェア要素を点検し、オペレーティングシステム及びユーザアカウントの認証を検証する。現在のセキュリティシステムは、ネットワーク環境上の装置がサーバ12にアクセスするために、ログインを要求する。
セキュアサーバは、セキュリティの高いハードウェアベースの、信頼できるプラットフォームの根幹とみなさる。サーバ12に電源が投入された瞬間から、セキュリティプロセスが始まり、プラットフォームのファームウェア完全性を調査し、サーバのマザーボードの一貫したハードウェア要素を点検し、オペレーションシステム及びユーザアカウントの認証、並びに安全なネットワーク環境の検証を行う。サーバ保護をサポートする既存のセキュア技術が2つ存在する。1つは、統合拡張ファームウェアインタフェース(UEFI)セキュアブートを伴い、もう1つは、Intel(登録商標)のトラステッドエグゼキューションテクノロジー(TXT)及びトラステッドプラットフォームモジュール(TPM)である。セキュリティプロセスの部分は、異なるエンティティから実行され、正しく認証された管理者又はユーザによって、アクティブ状態になったり、非アクティブ状態になったりし得る。したがって、セキュアサーバが、信頼できるファームウェアの根幹から電源投入され得る。信頼できるファームウェアは、十分な認証を有する正当なオペレーティングシステムによる起動が行われるまで、UEFI電源投入時自己診断テスト(POST)プロセスのハードウェアベースの妥当性確認になり得る。
サーバに電源を投入するプロセスでは、全てのソフトウェア機能を有するオペレーティングシステムをサーバが読み込むまで、いくつかの異なる安全調査に合格しなければならない。これらのセキュア機能は、既存のセキュリティ設計指針の参照に基づく汎用セキュリティ解析であり、必要な全ての要素を自動的に詳しく調べる。そのような必要な要素には、サーバプラットフォーム12のファームウェア、ハードウェア、及びソフトウェアが含まれる。サーバプラットフォーム12のオペレーティングシステムが、全ての安全調査を問題なく行って適切に起動すると、正しい権限を有するユーザが、ユーザ名及びパスワードを用いてオペレーティングシステムにログインすることができる。適切な資格証明情報を提供すると、ユーザは、サーバの全てのソフトウェアサービスを起動することができる。サーバプラットフォームのオペレーティングシステムは、ポイントツーポイントプロトコル(PPP)接続のネットワークアクセスを認証するために、拡張認証プロトコル(EAP)を用いてよい。イーサネット(登録商標)スイッチ及び無線アクセスポイント(AP)を認証するIEEE802.1Xベースのネットワークアクセスの場合、EAPは、イントラネットを通じてデータを交換する前に、信頼できるネットワーク接続を確立するのに用いられる。
これらのセキュリティ機能にもかかわらず、潜在的リスクの1つは、ネットワークが信頼できるかどうかに関する調査がないことである。したがって、そのようなセキュリティ機能は、ユーザ名及びパスワードなどの信頼できる資格証明情報を密かに取得する個人によって、又は権限を与えられた個人が不法な行動を起こすと決めるならば、巧みに回避されることがある。そのような場合に、サーバを安全な場所から移動するならば、個人が実際のサーバにアクセスできる場合がある。さらに、偽のユーザが権限を取得して、管理者を装うならば、サーバが機能するのを防止する方法はない。そのようなプロセスによって、サーバに格納されたデータを不正に露出させることが可能になる。さらに、サーバの技術的特徴が、悪意のある検査の下で知られてしまうことがある。これらのシナリオは、サーバの返品保証(RMA)プロセスの間、又はサーバが競争相手によってデータセンタから盗まれた場合に起こり得る。
例えば、図1に示されるように、セキュアサーバが、常にセキュアプロテクションを備えた安全な部屋又は環境に設置されているわけではない場合がある。サーバ16が、返品保証(RMA)プロセスを行うときに、脆弱な場所に引き渡されることがあり、又は、悪意のある従業員18が競争相手の会社にサーバ16を持ち込むことがある。これらのいずれの場合であっても、盗まれることがある十分な認証、セキュリティキー、重要な署名、及びユーザ名/パスワードを使って、現在のセキュア技術が巧みに回避され得る。競争相手はこうして、サーバ16のコンテンツを容易に調査し、ビジネスデータを詳しく調べ、サーバ16の価値のある機能及び特徴を用いることができる。産業スパイ行為の場合、これにより、盗んだサーバ16の価値のあるデータにアクセスすることによって、競争相手の開発及びビジネスが加速する結果になり得る。
したがって、物理サーバが信頼できるネットワークに適切に接続されない限り、物理サーバがアクセスされないように保護するシステムの必要性がある。適切なネットワーク資格証明情報が受信されない限り、サーバの起動を防止するモジュールに関する別の必要性がある。サーバが安全な環境で電源を投入されることを保証するために、資格証明情報ファイルを守るシステムの必要性もある。
「シン/ゼロクライアントを不正物理アクセスから保護するためのシステム及び方法(METHOD FOR PREVENTING THIN/ZERO CLIENT FROM UNAUTHORIZED PHYSICAL ACCESS)」と題する、米国特許出願公開第US20180032761号が、シンクライアント又はゼロクライアントを不正物理アクセスから保護するためのシステム及び方法を対象とする特定の態様を開示した。マイクロコントローラが提供され、シンクライアント又はゼロクライアントの演算処理装置のシャシに、汎用入出力(GPIO)ラインなどの第1のインタフェースを介して接続される。シャシが物理的に開放されているときはいつでも、シャシは信号を生成し、GPIOラインを介して、その信号をマイクロコントローラへ送信する。マイクロコントローラは、信号を受信すると、物理的アクセスイベントが演算処理装置に行われたかどうかを判定する。物理的アクセスイベントが権限を与えられていない限り、マイクロコントローラは、演算処理装置のイベントを記録するログを生成し、記憶装置にログインを格納し、演算処理装置に対する自己保護動作を行うことができる。ネットワーク接続が利用可能である場合、マイクロコントローラは、ネットワークを介して、ログをサーバへ送信してよい。
1つの開示例は、ネットワークに連結された、データセンタ内のネットワーク装置を保護する方法である。ネットワーク装置と関連付けられ資格証明情報ファイルが格納される。電力が、ネットワーク装置に与えられる。資格証明情報ファイルは、暗号化される。暗号化された資格証明情報ファイルは、ネットワーク装置のベースボード管理コントローラへ送信される。暗号化された資格証明情報ファイルは、復号化される。復号化された資格証明情報ファイルは、ネットワーク装置のメモリに格納された静的コンテンツファイルと比較される。資格証明情報ファイルが静的コンテンツファイルと一致しない場合、ネットワーク装置への電力を停止する。
別の例は、ネットワークに連結された、データセンタ内のネットワーク装置を保護する方法である。ネットワークのルータのIPアドレス及びネットワーク装置のIPアドレスが、静的コンテンツファイルに格納される。ネットワーク装置の電源を投入すると、ルータのIPアドレス及びネットワーク装置のIPアドレスは、クエリを介して収集される。収集されたIPアドレスは、格納されたIPアドレスと比較される。両方のIPアドレスが一致しない場合、ネットワーク装置のオペレーティングシステムの起動が防止される。
別の例は、静的資格証明情報ファイルと、基本入出力システムと、コントローラによって実行されるオペレーティングシステムとを格納するメモリを備えたネットワーク装置である。電力電力がネットワーク装置に与えられると、セキュリティモジュールが、基本入出力システムからネットワークマネージャへのクエリを介して、ルータのIPアドレス及びネットワーク装置のIPアドレスを収集するように動作可能になる。セキュリティモジュールは、収集されたIPアドレスを、静的資格証明情報ファイルに格納されたIPアドレスと比較する。両方のIPアドレスが一致しない場合、セキュリティモジュールは、ネットワーク装置のオペレーティングシステムの起動を防止する。ネットワーク装置は、ネットワーク装置への電力を制御するベースボード管理コントローラも含む。ベースボード管理コントローラは、暗号化された資格証明情報ファイルを受信して、暗号化された資格証明情報ファイルを復号化するように動作可能である。ベースボード管理コントローラは、復号化された資格証明情報ファイルを静的コンテンツファイルと比較する。資格証明情報ファイルが静的コンテンツファイルと一致しない場合、ベースボード管理コントローラは、ネットワーク装置への電力を停止する。
上記の概要は、本開示の各実施形態又はあらゆる態様を表すことが意図されているわけではない。むしろ、前述の概要は単に、本明細書に記載される新規性のある態様及び特徴の一部に関する一例を提供するにすぎない。上記の特徴及び利点、並びに本開示の他の特徴及び利点は、添付図面及び添付の特許請求の範囲に関連して理解されると、本発明を実行するための代表的な実施形態及び方式に関する以下の詳細な説明から、容易に明らかになるであろう。
本開示は、添付図面を共に参照して、以下の例示的な実施形態の説明から、より十分に理解されるであろう。
本開示は、様々な修正形態及び代替形態が可能であり、一部の代表的な実施形態が例として図面に示されており、本明細書において詳細に説明されることになる。しかしながら、本発明は、開示される特定の形態に限定されることが意図されているわけではないことを、理解されたい。むしろ、本開示は、添付の特許請求の範囲によって規定されるように、本発明の精神及び範囲内に含まれる全ての修正形態、均等な形態、及び代替形態を包含することになる。
様々な実施形態が、多くの異なる形態で具現化され得る。代表的な実施形態が、図面に示されており、本明細書において詳細に説明されることになる。本開示は、本開示の原理の一例又は実例であり、本開示の幅広い態様を、示された実施形態に限定することが意図されているわけではない。その範囲において、例えば、要約、概要、及び詳細な説明の項目に開示されるが、特許請求の範囲には明示的に記載されない要素及び限定が、示唆、推測、又は別の方法によって、個々に又はまとめて特許請求の範囲に組み込まれるべきではない。この詳細な説明の目的では、特に断らない限り、単数形は複数形を含み、その逆も同様であり、「含む(including)」という単語は「限定することなく含む」ことを意味する。さらに、本明細書では、「約(about)」、「ほとんど(almost)」、「ほぼ(substantially)」、「およそ(approximately)」などの近似に関する単語は、例えば、「〜の近く、又は、ほぼ〜に」、「3〜5%の範囲内」、「許容可能な製造上の公差内」、又はこれらのあらゆる論理的組み合わせを意味するのに用いられ得る。
図2は、データセンタ100のブロック図を示す。データセンタ100は、機器用ラック110a、110b、110c、及び110dを含む。もちろん、データセンタ100は、数百個又は数千個の機器用ラックを含み得ることが理解される。例示の機器用ラック110aは、多数のスロット又はシャシを有するラックフレーム112を含む。これらのスロットのそれぞれは、サーバ120及び122などの、ラック110aと関連付けられた少なくとも1つのネットワーク装置を保持することができる。サーバ120及び122は、同一のタイプのサーバであっても、異なるタイプのサーバであってもよい。この例において、ラック110aは、管理スイッチ130及びデータスイッチ132を含む。スイッチ130及び132のそれぞれは、ラックフレーム112内のスロットに設置されたサーバ120及び122などの他のネットワーク装置にケーブルを接続するための、複数のポートを含む。この例では管理スイッチ130のコントローラとなるラック管理コントローラ134が、ラック110aと関連付けられる。ラック管理コントローラ134は、ラック110a内のサーバ120などのネットワーク装置の管理を可能にする。
ラック110a内にあるサーバ120などのネットワーク装置のそれぞれは、サーバ120が最初にラック110aにプロビジョニングされるときに、ケーブルを介して、管理スイッチ130のポート136に接続される。管理スイッチ130は、ポート136に連結されるラック管理コントローラ134を含む。ラック管理コントローラ134も、ネットワーク管理サーバ150に接続される管理ポート138に連結される。ネットワーク管理サーバ150は、データセンタ100内にあるラック110aなどのラックの一部又は全てを、管理ネットワークを介して運転し、且つ監視する。
データセンタ100は、動的ホスト構成プロトコル(DHCP)サーバ152、ドメインネームサービス(DNS)サーバ154、及びネットワークキー管理サーバ156も含む。DHCPサーバ152は、データセンタ100のネットワークにプロビジョニングされるサーバなどのノードに、IPアドレスを割り当てる。DNSサーバ154は、新たにプロビジョニングされたノードにホスト名を与える。以下に説明されるように、ネットワークキー管理サーバ156は、ネットワーク装置の資格証明情報/識別情報ファイルに署名する公開鍵及び秘密鍵を生成する。各ラックには、ネットワーク管理サーバ150に接続される管理スイッチ130などの対応する管理スイッチに連結されたネットワーク装置が入っている。したがって、ネットワーク管理サーバ150によって、ネットワーク管理者又はデータセンタ管理者は、ネットワーク装置の複数のラックの運転を監視することが可能になる。
この例において、サーバ120は、ベースボード管理コントローラ(BMC)160であり得る管理コントローラを含み、BMCは、ポート162を介して管理スイッチ130に接続される。サーバ120は、コントローラ170及びメモリ172も含む。サーバ120を運転する様々なファームウェア又はソフトウェアが、BIOS174及びオペレーティングシステム176を含む。セキュア環境モジュール180は、BIOS174の一部である。この例において、BIOS174は、統合拡張ファームウェアインタフェース(UEFI)BIOSである。サービスログ182が、メモリ172に格納される。コントローラ170は、サーバ120の他の要素と共に、マザーボード上に実装される。サーバ120内のマザーボード及び他の要素への電力は、ベースボード管理コントローラ160によって制御される。セキュア環境サービス181は、ベースボード管理コントローラ160の一部である。イーサネット(登録商標)コントローラ184が、ポート162に接続され、管理スイッチ130又はデータスイッチ132を用いて確立されるようなイーサネットネットワーク通信を管理する。
図2のデータセンタ100は、サーバのマザーボードが違法な状態で電源を投入されて起動することを回避するセキュリティメカニズムも含む。違法な状態とは、例えば、サーバ120などのサーバが、データセンタ100内で動かされて再配置された後、又は別の場所に動かされ、したがって適切なネットワークに接続されなかった後のことである。サーバ120は、既存のセキュリティ技術を用いており、データセンタは、サーバ120などのネットワーク装置の運転状態を監視する。データセンタ100は、ネットワーク環境を事前調査するために、サーバ120などのネットワーク装置上にある統合拡張ファームウェアインタフェース(UEFI)BIOS174のセキュア環境モジュール180も用いる。新たな信頼のチェーンが確立されたときに実行される最初の命令セットは、信頼できるファームウェアの根幹と称されている。信頼できるファームウェアの根幹は、コントローラ170によってアクセス可能なフラッシュチップ内の命令であってよい。信頼できるファームウェアの根幹は、UEFIネットワークプロトコルを用いて、ネットワークのドメイン名、及びサーバのインターネットプロトコル(IP)アドレスなどのネットワークパラメータの構成を検索して取り出すことができる。信頼できるファームウェアの根幹は、IPアドレスに関連するこの情報を、BIOS174及びオペレーティングシステム176の起動プロセスを実行する前に検証する。さらに、ベースボード管理コントローラ160も、セキュア環境サービス181を介したラック管理コントローラ134からの署名済みメッセージを確認することで、自身の識別情報と、ラックマウント上の自身の位置とを検証することができる。位置又は識別情報が正しくない場合、エラーログが、BMC160用のシステムイベントログ(SEL)182に記録される。このエラーログによって、サーバ120は即座に強制的に停止させられる。
この例において、サーバ120への不正アクセスから守るために、新たにプロビジョニングされたサーバとネットワークマネージャ150との間に、ソフトウェア通信のレベルが追加される。電源装置がサーバ120に電力を印加する場合、UEFI BIOS174及びベースボード管理コントローラ160は両方とも、オペレーティングシステム176の起動を許可する前に、ネットワークパラメータ調査の手順を開始する。BIOS174又はBMC160が、ネットワークパラメータ調査に対して予期しない応答をした場合、オペレーティングシステム読み込みプロセスを中止して、サーバ120の電力を即座に停止するポリシーが、セキュア環境調査モジュール180を介して実行される。これによって、適切な資格証明情報を有するが、データセンタ100の管理ネットワークなどの既知のネットワーク環境からサーバを移動した、個人による不正な起動からサーバ120が保護される。
図3は、サーバ120を不正アクセスから保護するための、図2の各要素間の例示的なネットワーク通信に関するフロー図である。具体的には、サーバ120が電源を投入された場合の、UEFI BIOS174と、ネットワークマネージャサーバ150と、ラック管理コントローラ134と、ベースボード管理コントローラ160との間の通信である。ネットワークマネージャ150は、サーバ120が電源を投入された場合に実行される電源投入時自己診断テスト(POST)プロセスの間に、必要なネットワーク環境パラメータを取得するために、拡張フレームインタフェース(EFI)ネットワークプロトコルを用いる。
サーバ120のプロビジョニングプロセスの間に、イーサネット(登録商標)コントローラ184などのイーサネット(登録商標)コントローラが検出されて初期化されると、UEFI BIOS174は、適切なネットワークプロトコルをインストールする。インストールされたネットワークプロトコルには、EFI_DHCPv4_Protocol、EFI_DHCPv6_Protocol、EFI_DNSv4_protocol、及びEFI_DNSv6_Protocolが含まれてよい。ネットワークマネージャ150も、IPv4/IPv6 IPアドレスのホスト名への変換を行うのに、EFI DNSプロトコルを用いてよい。
サーバ120の起動には、EFI_DNSv4_protocol又はEFI_DNSv6_Protocolの下で、DHCPディスカバリ要求を送信するUEFI BIOS174が含まれる(300)。応答側のDHCPディスカバリ提示及び確認応答が、UEFI BIOS174へ送信される(302)。UEFI BIOS174は、セキュア環境調査モジュール180(図2)を用いて、EFI動的ホスト構成プロトコル(DHCP)を呼び出し、次に、サーバ120などのサーバのIPアドレスを収集し調査する(304)。スイッチ130などの接続済みルータのIPアドレスも収集される。ラック110aと関連付けられたネットワークなどの接続済みネットワークのサブネットマスクも、図2のDHCPサーバ152から取得される。サブネットマスクは、装置の現在のサブネットマスクとして、UEFI仕様のイーサネット(登録商標)プロトコルによって規定される。このフィールドは、Start()関数によって、ゼロアドレスに初期化される。このプロセスは、ドメインシステム(DNS)クエリを、EFI_DNSv4_protocol又はEFI_DNSv6_Protocolを介して、ネットワークマネージャ150へ送信する(306)。その後、DNS応答がUEFI BIOS174によって受信される(308)。セキュアモジュール180は、DNS応答から、ホスト名を調査することができる(310)。UEFI BIOS174は、DCHP及びDNS応答の調査結果を更新して、BMC160へ送る(312)。セキュア環境調査モジュール180は、プロビジョニングプロセスの間に、サーバのIPアドレス、ルータのIPアドレス、サブネットマスク、及びホスト名のストリングを、予め格納されたサーバのIPアドレス、ルータのIPアドレス、サブネットマスク、及びホスト名の静的コンテンツデータと比較する。比較結果に誤りがある場合、UEFI BIOS174は、エラーログをサーバ120のBMC160へ送信し、図2のオペレーティングシステム176の起動プロセスを中止し、これによって、サーバ120のデータの完全性を保持する(314)。
さらに、サーバ120の起動時に、BMC160のセキュア環境サービス181は、署名済み識別情報/資格証明情報ファイルの要求を送信する(320)。BMC要求は、識別情報/資格証明情報ファイルのラック管理コントローラ134によって受信される。安全な識別情報/資格証明情報ファイルが、ラック管理コントローラ134からBMC160へ送信される(322)。BMC160は、ラック管理コントローラ134からの署名済み識別情報/資格証明情報ファイルを復号化して調査する(324)。調査結果に誤りがある場合、BMC160は、サーバを停止する(326)。
図4は、図2のサーバ120が電源を投入された場合に、正規のネットワーク資格証明情報を保証するために、図3のUEFI BIOS174によって実行される、サーバのIPアドレス、ルータのIPアドレス、サブネットマスク、及びホスト名を調査するプロセスのフロー図を示す。セキュア環境調査モジュール180が、最初に起動する(400)。UEFI BIOS174は、BIOS174のセキュア環境調査モジュール180によって設定された、又はIPMI/Redfishコマンドを通じてBMC160から収集された、適切なUEFI変数から調査スイッチを取得する(402)。図2のスイッチ130へのサーバ120のスイッチ接続が調査される(404)。調査スイッチが無効である場合、サーバ120は、まだプロビジョニングされていないか、又は、セキュア環境調査プロセスが管理者によって無効にされている場合がある(406)。モジュール180は次に、サーバ120をプロビジョニングするなどの目的で、オペレーティングシステム読み込みプロセスが実行されることを許可する(408)。調査スイッチが段階404において有効である場合、モジュール180は、(図2の)DHCPサーバ152を発見し、EFI DHCPプロトコルを呼び出して、サーバのIPアドレス、ルータのIPアドレス、及びサブネットマスクなどのモードデータを取得する(410)。モジュール180は次に、DHCPサーバ152が発見可能かどうかを判定する(412)。DHCPサーバ152が発見可能である場合、モジュール180は次に、図2のDNSサーバ154を発見し、EFI DNSプロトコルを呼び出して、ドメイン名を発見する(414)。モジュール180は次に、DNSサーバ154が発見されるかどうかを判定する(416)。DNSサーバ154が発見された場合、モジュール180は次に、発見されたサーバのIPアドレス、発見されたルータのIPアドレス、並びにサブネットマスク及びホスト名のストリングを、静的にプロビジョニングされたデータのストリングと比較する(418)。比較結果は、BMC160に記録される(420)。モジュール180は次に、ストリングの全ての結果が、静的にプロビジョニングされたデータと問題なく比較され、したがって合格かどうかを判定する(422)。結果が合格である場合、モジュール180は次に、サーバ120のオペレーティングシステムが引き続き読み込まれることを許可する(408)。結果が合格でない場合、UEFI BIOS174は、図2のオペレーティングシステム176の読み込みプロセスを中止し、こうして、サーバ120へのアクセスを防止する(424)。段階412のDHCPサーバ152、又は段階416のDNSサーバ154が発見可能でない場合、モジュールは、これらの結果を確認失敗として記録する(420)。
図5は、図3においてサーバ120が電源を投入された後に、署名済み識別情報/資格証明情報ファイルを要求する、BMC160とラック管理コントローラ134との間のネットワーク通信のフロー図を示す。BMC160は、セキュア環境調査サービス181を利用して、図3の段階320に示されるように、署名済み識別情報/資格証明情報ファイルをラック管理コントローラ134に要求する。識別情報/資格証明情報ファイルは、UEFI仕様によって規定される証明書タイプ及び署名を含むデータ構造である。サーバ識別情報は、サーバ名を含むデータ構造であり、サーバ構成は、ハードウェア構成タイプを含むデータ構造である。この要求は、IPMI/Redfishプロトコルであり得るネットワークプロトコルを用いてよく、このプロトコルは、セキュアソケットレイヤ(SSL)を介したハイパーテキスト転送プロトコル(HTTP)、トランスポート層セキュリティ(TLS)を介したHTTP、又はRedfishアプリケーションプログラミングインタフェース(API)である。BMC160及びラック管理コントローラ134は、資格証明情報/識別情報ファイルを暗号化及び復号化するために、関連付けられた一組の公開鍵及び秘密鍵を用いる。BMC160は次に、資格証明情報/識別情報ファイルのコンテンツを、データセンタ100においてサーバ120をプロビジョニングする間に提供される静的コンテンツと比較する。比較結果に誤りがある場合、BMC160は、サーバ120への電力を即座に停止する。サーバ120は運転できないので、サーバに格納されたデータが保護される。
セキュア環境調査サービス181が起動する(500)。サービス181は、調査スイッチ設定を取得する(502)。これは、図2のベースボード管理コントローラ160の内部メモリに格納された変数である。サービス181は、調査変数が有効かどうかを判定する(504)。変数が有効でない場合、サービスは、サーバ120がプロビジョニングされていないか、又はセキュリティプロセスが管理者によって無効にされていると判定する(506)。BMC160は次に、サーバ120を引き続き監視/制御する(508)。調査変数が有効である場合、サービスは、ラック管理コントローラ134を発見し、資格証明情報/識別情報ファイルは利用可能であり、該当する場合にはポッドマネージャ(PODM)も発見する。PODMは、Redfish APIを用いて、ポッドを構成する物理ラックの集合体と通信する。PODMは、それぞれのサーバをポーリングすることで、ポッドの複数のラック内にあるハードウェアリソースを管理及び集約する。サービス181は次に、識別情報/資格証明情報ファイルを要求する(510)。サーバは次に、ラックマネージャ及び識別情報/資格証明情報ファイルが発見され得るかどうかを判定し、ラックマネージャが発見された場合に、識別情報/資格証明情報ファイルを要求する(512)。ラックマネージャ及び識別情報/資格証明情報ファイルが発見され得る場合、サービス181は次に、発見された識別情報/資格証明情報ファイルを、公開鍵を用いて復号化する(514)。サービス181は、ラック管理コントローラ134から受信された、復号化された識別情報/資格証明情報ファイルのコンテンツを、メモリ172に格納された、静的にプロビジョニングされたコンテンツと比較する(516)。比較の調査結果は、図2のシステムイベントログ182に記録される(518)。サービス181は、比較結果が合格かどうかを判定する(520)。これらの結果が同じ場合、つまり全て合格であることを示す場合、サービス181は次に、段階508へループし、BMC160がサーバ120を引き続き監視/制御することを許可する。結果が合格でない場合、BMC160は、サーバ120の電源を切ることで、サーバ120を停止する(522)。ラック管理コントローラ134及び識別情報/資格証明情報ファイルが、段階512において発見されない場合、サービス181は次に、段階518において、不合格として調査結果を記録し、サーバ120の停止へ進む(520)。
図2のデータセンタ100などのデータセンタにサーバ120が配置されると、セキュア環境調査モジュール180を有効にしたサーバ120などのサーバは、プロビジョニングプロセスを行う必要がある。データセンタ又はラックマネージャの管理者だけが、サーバ120を異なる場所に再割り当てする前に、セキュア環境調査モジュール180の調査変数を無効にする権限を有する。したがって、サーバ120を盗んだ又は移動した悪意のある個人が、セキュア環境調査モジュール180の有効な調査設定を変更することはできない。
図6は、図2のBMC160及びラック管理コントローラ134が実行するために、セキュア環境調査サービス181をサーバ120にプロビジョニングする設計フローである。このプロビジョニングプロセスにおいて、管理者は、図2のネットワークキー管理サーバ156によって実行されるキー生成アルゴリズムから、関連付けられた一組の公開鍵及び秘密鍵を検索して取り出す(600)。ラック管理コントローラ134の管理者は次に、図2のラック110a及びデータセンタ100に配置される新たなサーバ120の識別情報/資格証明情報ファイル602を作成する(604)。
図6に示されるように、ファイル602には、ファイルヘッダフィールド622、証明書フィールド624、サーバ構成フィールド626、サーバ識別情報フィールド628、及び設定フィールド630が含まれる。証明書フィールド624には、証明書が含まれる。サーバ構成フィールド626には、オペレーティングシステムのタイプなどの構成データが含まれる。サーバ識別情報フィールド628には、サーバの固有識別情報が入っている。設定フィールド630には、有効なセキュア環境調査モジュール設定、及びプロビジョニング設定が含まれる。管理者は次に、ファイル602の設定フィールド630を介して、セキュア環境調査サービス181を有効にする。管理者は次に、秘密鍵を用いてファイル602に署名する(604)。識別情報/資格証明情報ファイル602は、RESTfulメッセージ又はIPMIメッセージを介して、図2のBMC160へ送信される。
BMC160は、公開鍵を用いて、秘密鍵による署名を検証することで、識別情報/資格証明情報ファイルを復号化する(606)。BMC160は、ファイル602の設定フィールド630から、プロビジョニングスイッチ及び調査スイッチの設定をセットし、こうして、セキュア環境調査サービス181を起動する(608)。サーバ120が、図2のラック110aなどのラックマウントに、オペレーティングシステム及びネットワークドメインなどの正しいソフトウェア構成を用いて適切に設置されると、管理者は、プロビジョニングプロセスにおいて、セキュア環境調査モジュール180及びサービス181を有効にすることができる。適切な資格証明情報を用いると、サーバ120が異なるラック又は場所に再割り当てされた場合に、管理者は、セキュア環境調査モジュール180及びサービス181を無効にすることができる。このようにして、セキュア環境調査モジュール180及びサービス181は、サーバ120を不正な再配置から保護する。
ラックマネージャ及びBMCによって、新たなサーバをプロビジョニングするために行われるプロセスの設計フローは、図7に示されている。ラックマネージャを有していないラックマウントのサーバが、図7の設計フローを実装し得る。ここで、識別情報/資格証明情報ファイルは、データセンタマネージャ、又は複数のラックマネージャの物理的集合体(PODM)によって生成される。
セキュア環境調査サービスが、図2のラック管理コントローラ134で起動する(700)。あるいは、ラック管理コントローラが存在しない場合、サービスは、データセンタマネージャから起動し得る。サービスは、プロビジョニングが必要かどうかを判定する(702)。プロビジョニングが必要でない場合、ラック内のサーバは、既にプロビジョニングされている(704)。1つ又は複数の新たなサーバのプロビジョニングが必要な場合、これらのサーバが発見され、プロビジョニングリストが作成される(706)。識別情報/資格証明情報ファイルが、新たにプロビジョニングされるサーバのために作成される。新たなサーバ用の設定情報、構成、及び識別情報が、識別情報/資格証明情報ファイルに書き込まれる(708)。次に管理者は、関連付けられた一組の秘密鍵及び公開鍵を、図2のネットワークキーサーバ156から検索して取り出す(710)。
識別情報/資格証明情報ファイルは次に、秘密鍵を用いて暗号化される(712)。識別情報/資格証明情報ファイルは、新たにプロビジョニングされたサーバのBMCへ送信される(714)。確認応答が受信されると、コールバックサービスが設定される。新たにプロビジョニングされたサーバのBMCは、暗号化された識別情報/資格証明情報ファイルを受信する(716)。新たにプロビジョニングされたサーバのBMCは、公開鍵を用いて、識別情報/資格証明情報ファイルを復号化する(718)。BMC上で実行されるサービスは、識別情報及び資格証明情報が同一であるかどうかを判定する(720)。資格証明情報及び識別情報が同一である場合、BMCは、不揮発性メモリ(NVRAM)に設定を格納する(722)。確認応答が、復号化結果とともに、ラック管理コントローラ134へ送信される(724)。ラック管理コントローラ134は次に、新たにプロビジョニングされたサーバのBMCから確認応答を受信する(726)。資格証明情報及び識別情報が同一でない場合には、確認応答及び復号化結果は、ラック管理コントローラ134へ送信される(724)。
新たにプロビジョニングされたサーバのUEFI BIOSは、電源投入時自己診断テスト(POST)段階の間に、セキュア環境調査モジュールのプロビジョニング変数を詳しく調べる。プロビジョニングスイッチは、不揮発性メモリ(NVRAM)内にあるBMCの変数と整合する、UEFI変数を参照し得る。UEFI BIOSは、UEFI DHCPプロトコルを呼び出して、サーバのIPアドレス、ルータのIPアドレス、及びDHCPサーバから取得された接続済みネットワークのサブネットマスクを収集する。プロビジョニングスイッチが有効である場合、モジュールも、「IPv4/IPv6 IPアドレスのホスト名への変換」を行うのに、EFI DNSプロトコルを用いる。UEFI BIOSは、上記のネットワークパラメータをUEFI変数として格納し、それが完了すると、プロビジョニングスイッチを「プロビジョニング済み」として調整するようBMCに通知する。
図8Aは、サーバが最初にプロビジョニングされたときに、図7のラックマネージャによって送信される、プロビジョニングスイッチの状態に関する表800を示す。プロビジョニングスイッチは無効状態であってよく、その場合、セキュア環境モジュールは無効になり、プロビジョニングプロセスを行うことができない。プロビジョニングスイッチは、有効状態であってよく、これにより、新たに実装されたサーバのBIOS及びBMCは、プロビジョニングプロセスを開始し、サーバを構成することが可能になる。スイッチは、プロビジョニングされた状態であってよく、BIOS及びBMCは両方とも、プロビジョニングプロセスを完了して、調査スイッチを有効にする。
図8Bは、調査スイッチの状態に関する表を示す。調査スイッチが無効である場合、BMC及びBIOSは、ネットワーク環境を調査する必要がない。調査スイッチが有効である場合、BMC及びBIOSは、ネットワーク環境の調査を開始する。
図4〜図7のフロー図は、BIOS又はベースボード管理コントローラ用の、例示的な機械可読命令を表す。この例では、機械可読命令は、(a)プロセッサ、(b)コントローラ、及び/又は(c)他の適切な1つ若しくは複数の処理デバイスによる実行のためのアルゴリズムを含む。このアルゴリズムは、例えば、フラッシュメモリ、CD−ROM、フロッピー(登録商標)ディスク、ハードドライブ、デジタルビデオ(多用途)ディスク(DVD)、又は他のメモリデバイスなどの有形媒体に格納されたソフトウェアで具現化されてよい。しかしながら、当業者であれば、アルゴリズム全体及び/又はその一部は代替的に、プロセッサ以外のデバイスによって実行されてよく、及び/又は、よく知られた方式でファームウェア若しくは専用ハードウェアで具現化されてよい(例えば、特定用途向け集積回路(ASIC)、プログラマブル論理デバイス(PLD)、フィールドプログラマブル論理デバイス(FPLD)、フィールドプログラマブルゲートアレイ(FPGA)、ディスクリートロジックなどによって実装されてよい)ことを、容易に理解するであろう。例えば、インタフェースの要素のいずれか又は全てが、ソフトウェア、ハードウェア、及び/又はファームウェアによって実装されてよい。また、図4〜図7のフローチャートによって表される機械可読命令の一部又は全てが、手動で実施されてもよい。さらに、例示的なアルゴリズムが、図4〜図7に示されるフローチャートを参照して説明されているが、当業者であれば、例示的な機械可読命令を実施する他の多くの方法が代替的に用いられ得ることを容易に理解するであろう。例えば、各ブロックの実行順序が変更されてよく、及び/又は、説明された各ブロックの一部が変更され、削除され、又は組み合わされてもよい。
本出願において用いられるとき、「要素」、「モジュール」、「システム」などの用語は概して、コンピュータ関連のエンティティ、すなわち、1つ又は複数の特定の機能を有する動作可能な機械に関連したハードウェア(例えば、回路)、ハードウェアとソフトウェアの組み合わせ、ソフトウェア、若しくはエンティティを指す。例えば、要素は、限定されないが、プロセッサ(例えば、デジタル信号プロセッサ)上で実行されるプロセス、プロセッサ、オブジェクト、実行ファイル、実行スレッド、プログラム、及び/又はコンピュータであってよい。実例として、コントローラ上で実行されるアプリケーション、及びそのコントローラは両方とも、要素になり得る。1つ又は複数の要素は、プロセス及び/又は実行スレッド内に存在してよく、ある要素が1つのコンピュータ上に局在化してよく、及び/又は、2つ以上のコンピュータ間に分散されてもよい。さらに、「デバイス」が、特別に設計されたハードウェア、ハードウェアが特定の機能を行うことを可能にする搭載ソフトウェアを実行することで専門化された汎用ハードウェア、コンピュータ可読媒体に格納されたソフトウェア、又はこれらの組み合わせの形態で提供されてよい。
演算処理装置は通常、コンピュータ可読記憶媒体及び/又は通信媒体を含み得る様々な媒体を含み、これら2つの用語は以下のように、本明細書において互いに異なって用いられる。コンピュータ可読記憶媒体は、コンピュータによってアクセスされ得る、あらゆる利用可能な記憶媒体であってよく、通常は非一時的な性質を有し、揮発性媒体及び不揮発性媒体の両方、並びにリムーバブル媒体及び非リムーバブル媒体を含み得る。例として、限定ではないが、コンピュータ可読記憶媒体は、コンピュータ可読命令、プログラムモジュール、構造化データ、又は非構造化データなどの情報を記憶するための、あらゆる方法又は技術に関連して実装され得る。コンピュータ可読記憶媒体は、限定されないが、RAM、ROM、EEPROM、フラッシュメモリ、若しくは他のメモリ技術、CD−ROM、デジタル多用途ディスク(DVD)、若しくは他の光ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置、若しくは他の磁気記憶装置、又は、所望の情報を格納するのに用いられ得る他の有形及び/若しくは非一時的媒体を含んでよい。コンピュータ可読記憶媒体は、例えば、アクセス要求、クエリ、又は他のデータ検索プロトコルを介して、媒体によって格納された情報に対する様々なオペレーションのために、1つ又は複数のローカル演算処理装置又はリモート演算処理装置によってアクセスされ得る。
本明細書において用いられる用語は、特定の実施形態を説明することだけを目的としており、本発明を限定しようとすることが意図されているわけではない。本明細書において用いられるとき、単数形の「a」、「an」、及び「the」は、複数形も含むことが意図されている。但し、そうではないことが文脈上で明確に示されている場合を除く。さらに、「含む(including)」、「含む(includes)」、「有する(having)」、「有する(has)」、「有する(with)」という用語、又はこれらの変化形が、詳細な説明及び/又は特許請求の範囲のいずれかに用いられる限りにおいて、そのような用語は、「備える(comprising)」という用語と類似の方式で包括的であることが意図されている。
別途定義されない限り、本明細書において用いられる全ての用語(技術的用語及び科学的用語を含む)は、当業者によって一般に理解される意味と同じ意味を有する。さらに、一般に用いられる辞書に定義されている用語などの用語が、関連技術の文脈におけるそれらの用語の意味と一致する意味を有すると解釈されるべきであり、理想化された認識又は過度に形式的な認識で解釈されてはならない。但し、本明細書において明示的にそのように定義される場合を除く。
本発明の様々な実施形態が上述されたが、それらの実施形態は、例としてのみ提供されており、限定ではないことを理解されたい。本発明の精神又は範囲から逸脱することなく、本明細書の開示に従って、開示された実施形態への多数の変更が行われてよい。したがって、本発明の広さ及び範囲は、上述された実施形態のいずれによっても限定されるべきではない。むしろ、本発明の範囲は、以下の特許請求の範囲及びこれらの均等物に従って定義されるべきである。
本発明は、1つ又は複数の実装について示され、説明されているが、本明細書及び添付図面の意味を読み取り理解するならば、均等な変更及び修正が行われるか、又はそれらが当業者に知られるであろう。さらに、本発明の特定の特徴が、いくつかの実装のうちの1つだけについて開示されることがあったが、そのような特徴は、他の実装の他の1つ又は複数の特徴と組み合わされてよく、このことは、あらゆる所与の用途又は特定の応用に必要であり、且つ有利であってよい。
Claims (9)
- ネットワークに連結された、データセンタ内のネットワーク装置を保護する方法であって、前記データセンタはラック管理コントローラを有する管理スイッチを含み、前記ネットワーク装置は、ベースボード管理コントローラ(BMC)及びセキュリティモジュールを含み、
前記ベースボード管理コントローラ(BMC)が、前記ネットワーク装置への電力を有効にする段階と、
前記ラック管理コントローラが、前記ネットワーク装置と関連付けられた資格証明情報ファイルに署名する段階と、
前記ラック管理コントローラが、署名された前記資格証明情報ファイルを前記ネットワーク装置の前記ベースボード管理コントローラ(BMC)へ送信する段階と、
前記ベースボード管理コントローラ(BMC)が、署名された前記資格証明情報ファイルを検証する段階と、
前記ベースボード管理コントローラ(BMC)が、検証された前記資格証明情報ファイルを、前記ネットワーク装置のメモリに格納された静的コンテンツファイルと比較する段階と、
前記資格証明情報ファイルが前記静的コンテンツファイルと一致しない場合、前記ベースボード管理コントローラ(BMC)が、前記ネットワーク装置への前記電力を停止する段階と
を備える、方法。 - 前記セキュリティモジュールが、前記ネットワークの前記管理スイッチのIPアドレス及び前記ネットワーク装置のIPアドレスを、前記メモリの前記静的コンテンツファイルに格納する段階と、
前記ネットワーク装置に対して電力が有効である場合、前記セキュリティモジュールが、前記管理スイッチの前記IPアドレス及び前記ネットワーク装置の前記IPアドレスを、ネットワークマネージャへのクエリを介して収集する段階と、
前記セキュリティモジュールが、収集された前記管理スイッチの前記IPアドレス及び収集された前記ネットワーク装置の前記IPアドレスを、格納された前記管理スイッチの前記IPアドレス及び格納された前記ネットワーク装置の前記IPアドレスと比較する段階であって、前記セキュリティモジュールが基本入出力システム上で実行される、段階と、
両方の前記IPアドレスが一致しない場合、前記セキュリティモジュールが、前記ネットワーク装置のオペレーティングシステムの起動を防止する段階と
をさらに備える、請求項1に記載の方法。 - 前記静的コンテンツファイルは、前記ネットワーク装置が前記ネットワークにプロビジョニングされている場合、前記メモリに格納される、請求項2に記載の方法。
- 前記ラック管理コントローラは、前記資格証明情報ファイルに秘密鍵によって署名し、前記ベースボード管理コントローラ(BMC)は、対応する公開鍵で、署名された前記資格証明情報ファイルを検証し、
前記ネットワーク装置はサーバであり、
前記資格証明情報ファイルは、前記ネットワーク装置と関連付けられた識別情報データ、及び前記ネットワーク装置と関連付けられた構成データを含む、請求項1から3のいずれか一項に記載の方法。 - ネットワークに連結された、データセンタ内のネットワーク装置を保護する方法であって、前記データセンタはラック管理コントローラを有する管理スイッチを含み、前記ネットワーク装置は、ベースボード管理コントローラ(BMC)及びセキュリティモジュールを含み、
前記ネットワーク装置が前記ネットワークにプロビジョニングされている場合、前記セキュリティモジュールが、前記ネットワークの前記管理スイッチのIPアドレス及び前記ネットワーク装置のIPアドレスを、静的コンテンツファイルに格納する段階と、
前記ネットワーク装置の電源を投入したときに、前記セキュリティモジュールが、クエリを介して、前記管理スイッチの前記IPアドレス及び前記ネットワーク装置の前記IPアドレスを収集する段階と、
前記セキュリティモジュールが、収集された前記ネットワークの前記管理スイッチの前記IPアドレス及び収集された前記ネットワーク装置の前記IPアドレスを、格納された前記ネットワークの前記管理スイッチの前記IPアドレス及び格納された前記ネットワーク装置の前記IPアドレスと比較する段階であって、前記セキュリティモジュールが基本入出力システム上で実行される、段階と、
両方の前記IPアドレスが一致しない場合、前記セキュリティモジュールが、前記ネットワーク装置のオペレーティングシステムの起動を防止する段階と、
前記ネットワーク装置が電源を投入された場合に、前記ラック管理コントローラが、資格証明情報ファイルに署名する段階と、
前記ラック管理コントローラが、署名された前記資格証明情報ファイルを、前記ネットワーク装置の前記ベースボード管理コントローラ(BMC)へ送信する段階と、
前記ベースボード管理コントローラ(BMC)が、署名された前記資格証明情報ファイルを検証する段階と、
前記ベースボード管理コントローラ(BMC)が、検証された前記資格証明情報ファイルを、前記ネットワーク装置のメモリに格納された前記静的コンテンツファイルと比較する段階と、
前記資格証明情報ファイルが前記静的コンテンツファイルと一致しない場合、前記ベースボード管理コントローラ(BMC)が、前記ネットワーク装置への電力を停止する段階と
を備える、方法。 - 前記ネットワーク装置はサーバである、請求項5に記載の方法。
- 前記ラック管理コントローラは、前記資格証明情報ファイルに秘密鍵によって署名し、前記ベースボード管理コントローラ(BMC)は、対応する公開鍵で、署名された前記資格証明情報ファイルを検証する、請求項5または6に記載の方法。
- 前記資格証明情報ファイルは、前記ネットワーク装置と関連付けられた識別情報データ、及び前記ネットワーク装置と関連付けられた構成データを含む、請求項5から7のいずれか一項に記載の方法。
- ネットワーク装置であって、
前記ネットワーク装置がネットワークにプロビジョニングされている場合、静的コンテンツファイルを格納するメモリであって、前記静的コンテンツファイルは、資格証明情報ファイル、前記ネットワークの管理スイッチのIPアドレス、及び前記ネットワーク装置のIPアドレスを含む、メモリと、
基本入出力システムと、
コントローラによって実行されるオペレーティングシステムと、
セキュリティモジュールであって、
前記ネットワーク装置に対して電力が有効である場合、前記セキュリティモジュールが、ネットワークマネージャへのクエリを介して前記基本入出力システムから、前記管理スイッチの前記IPアドレス及び前記ネットワーク装置の前記IPアドレスを収集し、
前記セキュリティモジュールが、収集された前記管理スイッチの前記IPアドレス及び収集された前記ネットワーク装置の前記IPアドレスを、前記静的コンテンツファイルに格納された前記管理スイッチの前記IPアドレス及び格納された前記ネットワーク装置の前記IPアドレスと比較し、
両方の前記IPアドレスが一致しない場合、前記セキュリティモジュールが、前記ネットワーク装置の前記オペレーティングシステムの起動を防止する
ように動作可能なセキュリティモジュールと、
前記ネットワーク装置への電力を制御するベースボード管理コントローラ(BMC)であって、
署名された資格証明情報ファイルを受信し、
署名された前記資格証明情報ファイルを検証し、
検証された前記資格証明情報ファイルを、前記静的コンテンツファイルと比較し、
前記資格証明情報ファイルが前記静的コンテンツファイルと一致しない場合、前記ベースボード管理コントローラ(BMC)が、前記ネットワーク装置への電力を停止する
ように動作可能なベースボード管理コントローラ(BMC)と
を備える、ネットワーク装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/786,269 US10685121B2 (en) | 2017-10-17 | 2017-10-17 | Secure environment examination |
| US15/786,269 | 2017-10-17 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019075074A JP2019075074A (ja) | 2019-05-16 |
| JP6760568B2 true JP6760568B2 (ja) | 2020-09-23 |
Family
ID=61598870
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018060823A Active JP6760568B2 (ja) | 2017-10-17 | 2018-03-27 | セキュア環境の調査 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10685121B2 (ja) |
| EP (1) | EP3474178B1 (ja) |
| JP (1) | JP6760568B2 (ja) |
| CN (1) | CN109672656B (ja) |
| TW (1) | TW201917622A (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10685121B2 (en) * | 2017-10-17 | 2020-06-16 | Quanta Computer Inc. | Secure environment examination |
| TWI645289B (zh) * | 2017-10-31 | 2018-12-21 | 慧榮科技股份有限公司 | 資料儲存裝置以及非揮發式記憶體操作方法 |
| JP7016737B2 (ja) * | 2018-03-16 | 2022-02-07 | Dynabook株式会社 | 電子機器、制御方法及びプログラム |
| US10877693B2 (en) * | 2018-06-29 | 2020-12-29 | Intel Corporation | Architecture for dynamic transformation of memory configuration |
| US11256810B2 (en) * | 2019-03-05 | 2022-02-22 | Lenovo Enterprise Solutions (Singapore) Ptd. Ltd. | Systems, computing devices, and methods for authenticating privileged subsystem access by policy and by use of a security key generated at boot |
| US11113403B2 (en) * | 2019-04-09 | 2021-09-07 | Cisco Technology, Inc. | Split chain of trust for secure device boot |
| US11093260B2 (en) * | 2019-06-05 | 2021-08-17 | Vmware Inc. | Device provisioning with manufacturer boot environment |
| US20210203545A1 (en) * | 2019-12-30 | 2021-07-01 | Genesys Telecommunications Laboratories, Inc. | Automated configuration and deployment of contact center software suite |
| US11343230B2 (en) * | 2020-06-09 | 2022-05-24 | Dell Products L.P. | Method for configuring device resources based on network identification and system therefor |
| US11496325B2 (en) * | 2021-03-02 | 2022-11-08 | Dell Products L.P. | Information handling system with overlay ownership certificates for ownership chaining |
| US12105850B2 (en) * | 2021-11-09 | 2024-10-01 | Dell Products L.P. | Secure base activation image for edge day zero secure infrastructure provisioning |
| US12086255B2 (en) | 2021-11-09 | 2024-09-10 | Dell Products L.P. | Edge day zero secure infrastructure identification and attestation |
| US20230144033A1 (en) * | 2021-11-09 | 2023-05-11 | Dell Products L.P. | Edge day zero secure infrastructure provisioning with autonomic methods |
| US12086258B1 (en) * | 2021-12-23 | 2024-09-10 | American Megatrends International, Llc | Firmware attestation on system reset |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6754716B1 (en) * | 2000-02-11 | 2004-06-22 | Ensim Corporation | Restricting communication between network devices on a common network |
| US20020107961A1 (en) * | 2001-02-07 | 2002-08-08 | Naoya Kinoshita | Secure internet communication system |
| US7697920B1 (en) | 2006-05-05 | 2010-04-13 | Boojum Mobile | System and method for providing authentication and authorization utilizing a personal wireless communication device |
| US7457293B2 (en) * | 2004-04-05 | 2008-11-25 | Panasonic Corporation | Communication apparatus, method and program for realizing P2P communication |
| JP4549207B2 (ja) * | 2005-03-15 | 2010-09-22 | キヤノン株式会社 | 通信装置及びその制御方法 |
| JPWO2007052342A1 (ja) * | 2005-11-01 | 2009-04-30 | 株式会社インテリジェントウェイブ | 情報保全プログラム、情報保全方法及び情報保全システム |
| US20090017789A1 (en) * | 2007-01-19 | 2009-01-15 | Taproot Systems, Inc. | Point of presence on a mobile network |
| CA2619092C (en) * | 2008-01-29 | 2015-05-19 | Solutioninc Limited | Method of and system for support of user devices roaming between routing realms by a single network server |
| WO2010041462A1 (ja) * | 2008-10-10 | 2010-04-15 | パナソニック株式会社 | 情報処理装置、情報処理方法、情報処理プログラム及び集積回路 |
| EP2449499B1 (en) | 2009-07-01 | 2014-11-26 | Panasonic Corporation | Secure boot method and secure boot apparatus |
| US8972554B2 (en) * | 2010-09-30 | 2015-03-03 | The Nielsen Company (Us), Llc | Methods and apparatus to measure mobile broadband market share |
| US8561209B2 (en) * | 2011-12-19 | 2013-10-15 | Microsoft Corporation | Volume encryption lifecycle management |
| CN103178980A (zh) * | 2011-12-23 | 2013-06-26 | 鸿富锦精密工业(深圳)有限公司 | 网卡管理系统 |
| TW201401098A (zh) | 2012-06-18 | 2014-01-01 | Hon Hai Prec Ind Co Ltd | 固件驗證方法及系統 |
| US9461873B1 (en) * | 2012-12-04 | 2016-10-04 | Amazon Technologies, Inc. | Layered datacenter |
| US9189631B2 (en) | 2013-06-07 | 2015-11-17 | Dell Inc. | Firmware authentication |
| CN104980300B (zh) * | 2014-10-17 | 2019-02-01 | 哈尔滨安天科技股份有限公司 | 一种基于网络环境对设备连网进行管控的系统及方法 |
| US9960912B2 (en) * | 2015-07-06 | 2018-05-01 | Quanta Computer Inc. | Key management for a rack server system |
| US9935945B2 (en) * | 2015-11-05 | 2018-04-03 | Quanta Computer Inc. | Trusted management controller firmware |
| US10685121B2 (en) * | 2017-10-17 | 2020-06-16 | Quanta Computer Inc. | Secure environment examination |
-
2017
- 2017-10-17 US US15/786,269 patent/US10685121B2/en active Active
-
2018
- 2018-02-07 TW TW107104391A patent/TW201917622A/zh unknown
- 2018-03-06 EP EP18160160.0A patent/EP3474178B1/en active Active
- 2018-03-15 CN CN201810213472.3A patent/CN109672656B/zh active Active
- 2018-03-27 JP JP2018060823A patent/JP6760568B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3474178B1 (en) | 2021-05-26 |
| CN109672656A (zh) | 2019-04-23 |
| CN109672656B (zh) | 2021-07-13 |
| TW201917622A (zh) | 2019-05-01 |
| US10685121B2 (en) | 2020-06-16 |
| EP3474178A1 (en) | 2019-04-24 |
| US20190114432A1 (en) | 2019-04-18 |
| JP2019075074A (ja) | 2019-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6760568B2 (ja) | セキュア環境の調査 | |
| US10693916B2 (en) | Restrictions on use of a key | |
| CN111385139B (zh) | 网络设备的安全远程自举 | |
| US7831997B2 (en) | Secure and automatic provisioning of computer systems having embedded network devices | |
| JP4524288B2 (ja) | 検疫システム | |
| US9043897B2 (en) | Payment card industry (PCI) compliant architecture and associated methodology of managing a service infrastructure | |
| JP4896956B2 (ja) | コンピュータ・システムにおける能動管理技術(amt)のプロビジョニング | |
| US8370905B2 (en) | Domain access system | |
| US11068600B2 (en) | Apparatus and method for secure router with layered encryption | |
| US9154299B2 (en) | Remote management of endpoint computing device with full disk encryption | |
| US20080244689A1 (en) | Extensible Ubiquitous Secure Operating Environment | |
| US9055041B2 (en) | Device certificate based appliance configuration | |
| US12034769B2 (en) | Systems and methods for scalable zero trust security processing | |
| CN110781465B (zh) | 基于可信计算的bmc远程身份验证方法及系统 | |
| Hernández Vilalta | Analysis and implementation of a security standard | |
| Ververis | Security evaluation of Intel's active management technology | |
| Infrastructure | Security Hardening |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180327 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190604 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190903 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200128 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200514 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20200514 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20200526 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20200602 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200804 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200820 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6760568 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |