JPH10511783A - Method and apparatus for controlling network and workstation access prior to workstation boot - Google Patents

Method and apparatus for controlling network and workstation access prior to workstation boot

Info

Publication number
JPH10511783A
JPH10511783A JP8513861A JP51386196A JPH10511783A JP H10511783 A JPH10511783 A JP H10511783A JP 8513861 A JP8513861 A JP 8513861A JP 51386196 A JP51386196 A JP 51386196A JP H10511783 A JPH10511783 A JP H10511783A
Authority
JP
Japan
Prior art keywords
workstation
network
server
boot
operating system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP8513861A
Other languages
Japanese (ja)
Inventor
チャン,スティーブ,ミン−ヤン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Trend Micro Inc
Original Assignee
Trend Micro Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US08/101,837 external-priority patent/US5444850A/en
Application filed by Trend Micro Inc filed Critical Trend Micro Inc
Publication of JPH10511783A publication Critical patent/JPH10511783A/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • G06F21/805Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors using a security table for the storage sub-system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4416Network booting; Remote initial program loading [RIPL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/1097Boot, Start, Initialise, Power

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 ローカル・エリア・ネットワーク上の、ワークステーション(13)と他のワークステーション(15)の間、またはワークステーション(13)とサーバ(11)の間でブート前ファイル及び情報を転送するための方法及び装置を提供する。ワークステーション・ブート・シーケンスの間に、ワークステーションとネットワークのオペレーティング・システムの様々な構成要素がロードされ実行される。ブート・シーケンスの後でワークステーションの全ての制御がワークステーションのオペレーティング・システムに渡されるので、ブートの後で実施されるいかなる管理作業もワークステーション上で稼働するアプリケーシヨン・プログラム(23)によって実施されなければならない。本発明は、こうしたアプリケーション・プログラムの使用によって生じる問題を、例えば、個々のワークステーション(13)内にインストールされたLANカードの通常未使用のブートROMソケットに配置された適切なプログラムを含むROMまたはPROM(61)、または個々のワークステーションのマザーボードやシステム・ボード上に構築されたPROMやROM(61)を含むチップのようなハードウエア構成要素を提供することによって解決する。PROM(61)にプログラムがセットアップされると、システムのスタートアップ時(31)において、ブート・シーケンスの間にワークステーションのオペレーティング・システム・ソフトウエアがロードされる前に、ワークステーションの基本入出力システム(BIOS)を使用して一定のオペレーティング・システム機能(35)を実行し、ワークステーションがネットワーク上のサーバと通信することを可能にし、そのネットワークを介して、サーバ上で動作しているサーバ管理アプリケーション(11c)がワークステーションの必要な資源を利用できるようになる。この処理は、システム管理者(15)によって行われ、様々なブート前機能をワークステーションで行うことができる。 (57) [Summary] Transfer pre-boot files and information between a workstation (13) and another workstation (15) or between a workstation (13) and a server (11) on a local area network. A method and apparatus for transferring is provided. During the workstation boot sequence, various components of the workstation and network operating systems are loaded and executed. After the boot sequence, all control of the workstation is passed to the workstation operating system, so any administrative tasks performed after the boot are performed by the application program (23) running on the workstation. It must be. The present invention addresses the problems arising from the use of such application programs, for example, a ROM containing a suitable program located in a normally unused boot ROM socket of a LAN card installed in an individual workstation (13). The solution is provided by providing hardware components such as a PROM (61), or a chip containing the PROM or ROM (61) built on the motherboard or system board of the individual workstation. Once the program is set up in the PROM (61), at system start-up (31), the workstation's basic I / O system is loaded before the workstation's operating system software is loaded during the boot sequence. (BIOS) to perform certain operating system functions (35), allowing workstations to communicate with servers on a network, and through that network to manage servers running on the servers The application (11c) can use the necessary resources of the workstation. This process is performed by the system administrator (15), and various pre-boot functions can be performed on the workstation.

Description

【発明の詳細な説明】 ワークステーションのブート前に、ネットワーク及び ワークステーションのアクセスを制御する方法及び装置 発明の背景 1.発明の技術分野 本発明は、ローカル・エリア・ネットワーク(LAN)内でワークステーションと して使用されるパーソナル・コンピュータに適用されるものである。 2.発明の背景 ローカル・エリア・ネットワーク即ちLANとしてよく呼ばれるものを用いて、 個々のパーソナル・コンピュータをワークステーションとして接続することは一 般的なことである。LANは通常、コンピュータのネットワークとして定義され、 オフィス・ビルの1つの階または複数階のような単一の地理的位置でケーブルや ワイヤによって、様々な資源がワークステーション間で共有されるように、及び /または個々のワークステーションが電子メール即ちE-Mailを送受信できるよう に接続される。 通常、ローカル・エリア・ネットワークは、個々のユーザが別のサーバと呼ば れるコンピュータ、またはLAN上の他のワークステーションに物理的に関連する データベースやファイルをアクセスできる ようにする。この方法で、2人以上のユーザに必要とされるデータ及びプログラ ムは、ネットワーク上の単一コンピュータ上に維持され、依然としてネットワー ク上の他のワークステーションで利用可能である。この例では、共通データを備 えたコンピュータはサーバと呼ばれ、個々のユーザのワークステーションはクラ イアントと呼ばれる。他の例では、データベースやファイルが様々なワークステ ーション上でセットアップされ、それぞれがサーバとして機能し、かつクライア ントとして機能しうる。これはピアトゥーピア(peer-to-peer)構成と呼ばれるこ とが多い。 数百または数千のワークステーションと数十のサーバの大きなネットワークで は、個々のワークステーションの統制、または管理は面倒な作業である。この管 理は、これに限られるものではないが、以下の作業からなる。 ・ワークステーション構成制御 ・システム・セキュリティ ・ワークステーション故障の復旧 ・ソフトウエアのライセンス協定に関するアプリケーション監視 ・ソフトウエア・アプリケーション分配 ・ソフトウエア・バージン制御 ・ユーザ環境のカスタマイズ(例えば、メニュー、ブート・フイル等) ・ユーザ訓練 こうした大きなネットワークでは、システム管理者がワークステ ーションとして同じ物理位置内にいる必要があるので、この管理に非常に時間が かかり、退屈なものである。これらのワークステーションは、大きな複数階のビ ルのような広大な領域に亘って拡がるため、ワークステーション間を移動して管 理作業を実施するのに非常に多くの時間と労力が費やされる。 また、これらの管理作業は、ワークステーションのブート(スタートアップ) サイクルの間に行われるコンピュータの機能に関連することが多い。それらは、 構成の変更をテストするためにワークステーションの再ブートの繰り返しを必要 とすることが多い。セキュリティの観点から、ワークステーションとサーバの両 方のアクセスを制御する機能の多くは、ブート処理の前、間、及び後に行われる 機能が制御できることで、大きく改善される。現在の方法は、ブート処理の間、 及び後に行われる機能の制御に依存している。ワークステーションのブート前の 多くの機能制御によって、ネットワーク管理者がワークステーションに対してか なり多くの制御を課すことができるために、ブート前の制御に関する方法が好ま しいことがある。 本発明の簡単な概要 本発明は、ワークステーションと他のワークステーション、またはワークステ ーションとローカル・エリア・ネットワーク上のサーバとの間でのブート前ファ イル及び情報の転送に関する方法と装置を意図したものである。便宜上、この説 明はDOSベースのシステムに関して行うものとする。しかし当業者には、本発明 の概念がUNIXベ ースのシステム及び他のネットワーク環境でのアプリケーションを有するもので あることが認識される。特に、ネットワーク管理者が機能及び他のネットワーク 管理作業を実施するメカニズムを提供することが必要である。そのメカニズムは ワークステーションのブート前に課されなければならない。MS-DOS、PC-DOS、ま たはUNIXのようなその他の様々なオペレーティング・システムを使用するワーク ステーションは、ブート・シーケンスと呼ばれるスタートアップ処理を実行する 。ブート・シーケンスの間に、ワークステーションとネットワークのオペレーテ ィング・システムの様々な構成要素がロードされ実行される。ワークステーショ ンの全ての制御が、ブート・シーケンスの後でオペレーティング・システムに送 信されるので、ブート後に実行される全ての管理作業はワークステーション上で 実行されているアプリケーション・プログラムによって実行されなければならな い。これらのアプリケーション・プログラムはユーティリティと呼ばれることが 多い。(ワード・プロセッサ、データベース管理、またはE-Mailのような)他の アプリケーションと同時にユーティリティを実行するためには、ユーティリティ はワークステーションのメモリに常駐するようロードされなければならない。こ れは、利用可能なアプリケーションのメモリを少なくし、かつ、しばしばワーク ステーションを「ロックアップ」即ち「ハング」させる競合の原因となる。この 場合、ワークステーションは再ブートされ、全てのプログラムが再ロードされな ければならない。また、故障の間に使用されたデータを損傷したり喪失する可能 性が高い。 本発明は、例えば個々のワークステーション内にインストールされたLANカー ドの通常未使用のブートROMソケットに配置された適当なプログラムを含むROMや PROM、または個々のワークステーションのマザーボードやシステムボード上に構 築されたPROMやROMを含むチップといったハードウエア構成要素を提供すること によって、これらの問題を克服する。PROM内のプログラムがセットアップされ、 システムのスタートアップ時に、ブート・シーケンスの間のワークステーション のオペレーティング・システム・ソフトウエアのロードの前に、そのプログラム が、ワークステーションの基本入出力システム(BIOS)を使用することによって一 定のオペレーティング・システム機能を実施し、ワークステーションがネットワ ーク上のサーバと通信でき、ネットワークを介してワークステーションの必要資 源をサーバ上で実行されているサーバ管理アプリケーションが利用できるように する。システム管理者によって制御されるこの処理によって、様々なブート前機 能がワークステーションで実施できる。 例えば、ワークステーション及びサーバのハードウエア内で符号化されるIDを 交換することによって、ワークステーションがネットワークの接続に関して認可 される。これは、ネットワークに大きく改善されたセキュリティを加える。また 、他の例として、結果的に故障になる競合を起こしているワークステーションは 、リモートで再ブートされ、その再ブート・サイクルの間に、競合の可能性をな くすようブート・ファイルが変更される。この処理は普通のものであるが、ワー クステーションに座っている間常にオペレータ入力コ マンドによって実行される。本発明はこの機能をリモートで実行できるようにす る。本発明はまた、重要なブート・ファイルの使用に先立ち、それらのファイル をサーバから転送することによってワークステーションのブート前に重要なブー ト・ファイルのブート前更新をも提供する。ハード・ドライブのブート・セクタ にウイルスの攻撃を受けたワークステーションは、抗ウイルス防御の多くの手段 を提供するブート・シーケンスを実行する前に検出され修復されるダメージを有 することがある。全てのブート前オペレーションがワークステーションのオペレ ーティング・システムのロード及び実行の前に行われるので、ワークステーショ ンのハード・ディスク上に存在する可能性のあるアプリケーション、ユーティリ ティ、またはウイルスのような悪意のあるプログラムは本発明の制御下にある。 本発明は以下の理由によって高価値な技法として十分評価されうる。 ・プロトコル及びオペレーティング・システムに依存する。 ・要求時にのみ稼働する。 ・TSRではない−メモリを占有しない。 ・システム管理者をサーバに接続させることができるツール。 ・ローカル・ドライブがダメージを受けた場合、またはユーザがログインしな い場合であっても、ブート時にワークステーションに対するネットワーク接続を 構築可能である。 ・ユーザの仲介なしにワークステーションのハード・ドライブにリモート・ア クセスできる。 本発明によって可能な考えられるサーバ管理アプリケーションのいくつかの例 は以下の通りである。 ・構成管理(リモート編集及びワークステーションのシステム・ファイルのイ ンストール) ・サービスの識別、及び認証 ・スマート・ハブの管理 ・クリティカル・ノードの監視 ・ワークステーションのクラッシュの復旧 ・リモートのソフトウエア・インストール、分配、監視、及び診断 ・単一サインオン同期パスワード 最後に、本発明は以下の理由により様々なネットワーク管理の利点を提供する 。 ・ハングやクラッシュしたユーザ・ワークステーションへのアクセスを得るた めの「オフィスのハイキング」が必要ないので、年に数千時間が節減される。 ・ユーザ・ワークステーションが中央で集中的に構成される。 ・本発明が、環境に関わらず、適切なワークステーションの構成を可能にする 。病的に振る舞うアプリケーションのためにTSRを許容できないユーザでも、本 発明がTSRを必要としないために依然として利点を有する。 ・ユーザとワークステーションの両方に対してブート前認証を加えることによ って、セキュリティが大きく改善されうる。 ・ソフトウエアのインストール、更新、バージョン制御、及び監視が著しく単 純化され、集中化されうる。 ・管理者のネットワーク全体の監視が大いに改善される。 簡単な図面の説明 図1は、1対のクライアント・ワークステーションと単一サーバを備えたロー カル・エリア・ネットワークを示す全体ブロック図である。 図2は、本発明の一部を構成するPROMまたはROMに含まれるプログラムの機能 構成要素を示すブロック図である。 図3a及び3bは、本発明で制御されるブート前シーケンスの流れ図である。 図4は、本発明のEE-PROM/ASICの実装を示すブロック図である。 発明の詳細な説明 図1は、単一サーバ・ワークステーション11、ユーザ13で示されたクライアン ト・ワークステーション、及び管理者15で示されたクライアント・ワークステー ションを有するローカル・エリア・ネットワークを示す全体ブロック図である。 サーバ・ワークステーション11は、サーバ・ファイル(図示せず)、アクセス制 御リスト・データベース(ACL-DB)11a、及びNove11のNetWare環境におけるNetWar eロード可能モジュール(NLM)のようなサーバ管理アプリケーション(SMA)を含み 、これらは本発明に関連して機能し、データベース11dは、本発明によってブー ト前処理の間にワークステーション内の情報を変更するのに使用される情報を含 む。クライアント・ワークス テーション13及び15は同じ構成であり、それぞれはハードウエア構成要素(通常 、PROMとASICの組み合わせで、ここではファームウエアと呼び、ワークステーシ ョンのインタフェース・ネットワーク・カードまたはマザーボード上にインスト ールされる)19a及び19bをそれぞれ含むが、管理者クライアントは管理者プログ ラム13も含む。このファームウエアは、完全にワークステーションのオペレーテ ィング・システムがロードされる前に、ワークステーションの機能を管理し、サ ーバと通信する。 クライアント・ワークステーションのファームウエア(19aまたは19b)はまた 、クライアント・オペレーティング・システムのファイル・サービスへのブート 前アクセスを提供し、クライアント・ワークステーションのオペレーティング・ システム及びネットワーク・オペレーティング・システムのクライアント・ワー クステーション構成要素の機能的部分集合を含む。その目的はサーバと通信する ことである。サーバ・ハードウエア構成要素は、サーバSMAから命令を取得する 。サーバSMAは本発明のオペレーションを管理する制御ルーチンを含む。SMAへの 好適なプログラムの組み込みに関する特徴は、実行するのが望ましい機能に依存 する。しかし、こうした特徴は、ここで提供される記述に基づいて当業者が考え つくものである。管理的ユーティリティは、指示されたワークステーションで実 行される。これらのユーティリティの1つは、管理者が一連のクライアント−サ ーバ・オペレーションをプログラムできるスクリプト言語であってもよい。 図1はクライアント・ワークステーション13とサーバ・ワークステーション11 及びクライアント・ワークステーション15とサーバ・ワークステーション11の間 の基本的な通信を示している。この(実際にネットワーク上で行われる)基本的 な通信は、クライアントとサーバの接続を行うメカニズムを提供する。一旦その 接続がなされると、クライアント13は、ファイル転送、ファイル更新、または( 悪意の、または偶然のダメージによる)オペレーティング・システム救助のよう なブート前機能が、SMAの制御のもとで自動的に行われる。 特に、クライアント・ワークステーションがネットワークに接続を試みる度に 、ファームウエア19aまたは19bが、通信を行うべきネットワーク上のサーバを捜 すプログラムを実行する。適当なサーバ、例えば、SMA(NovellのNetWare環境に おけるNLM)を備えたサーバが、クライアント・ワークステーションに応答する 。クライアント・ワークステーションが次に、本発明のサブシステムを使用して 、そのネットワーク・インタフェース・カード(NIC)のアドレスをサーバに送信 する。サーバSMAはそのアドレスをサーバに常駐するアクセス制御リスト11a内で 確認する。サーバSMAは次に、実行するよう事前にプログラムされた作業を全て 実行する。本発明は、SMAに常駐する限り便宜的技法であり、広範な様々のブー ト前サービスを提供するようカスタマイズ可能である。例えば、ファイル管理シ ステムはクライアント上で稼働しているため、ブートの前に新しいファイルをク ライアントに転送することによって、ファイルを更新するようカス タマイズできる。クライアントのブート・セクタがウイルスの感染がなく、ブー ト・セクタが完全な状態であることを確認するようカスタマイズすることができ る。そうでない場合、ウイルスは除去され、ブート・セクタはサーバ上に常駐し ているワークステーション・データベース11dから安全に復旧される。 一旦、全てのクライアント−サーバのブート前機能が完了し、クライアントに 知らされると、クライアント上の19aまたは19bがブート制御をクライアントのBI OSに戻す。クライアントは次に、通常の方法でブートを行い、完全にワークステ ーションのオペレーティング・システムをロードし、それが通常に行われた場合 ネットワークに接続する。本発明のブート前シーケンスの利点は、クライアント ・ワークステーションのブート、即ち通常ブートを中断し、またはよりダメージ を与えるオペレーティング・システムに対する全てのダメージが、ブート前処理 の間に管理され復旧されることである。本発明は、クライアント・ワークステー ション内にインストールされた完全なオペレーティング・システムの機能的部分 集合を含み、それによって、クライアントがダメージを被っているクライアント ・ワークステーション内にインストールされたいかなるオペレーティング・シス テムの要素も使用することなく、無菌の環境から部分的にブートできる。この無 菌環境は本発明のファームウエア内に維持される。第2の利点はクリティカル・ ソフトウエア・システムに対するいかなる更新、復旧も、ユーザのいかなる使用 も妨げないように無菌のオペレーティング環境を使用して集中して管理されうる ことである。 サーバとのネットワーク接続を起動するための本発明の技法は、ワークステー ション・ネットワーク・インタフェース・カード(NIC)ID(例えば、イーサネッ ト環境ではイーサネット・ハードウエア・アドレス)のような登録されたユニー クな識別を、標準あるいは事実上の標準ネットワーク・プロトコルを介してサー バに送信する。ネットワーク・プロトコルは、インターネットのTCP/IP、Novell のNetWareのSPX/IPX、またはIEEEによって定義された任意の標準LANプロトコル のようなネットワーク環境に応じて変化する。サーバ・アプリケーションは事前 に構成されたデータベースを検査して、接続が許可されるかどうか判定する。接 続が確立された後、サーバSMAは、ワークステーションのファームウエア内のプ ログラムに適当な管理作業を実行するよう命令する管理要求を送信する。ファー ムウエアは実行されたオペレーションの結果をSMAに戻し、サーバによって認可 された場合に通常のブート処理に戻る。 本発明はファームウエア(即ちPROMまたはROM内のプログラム)として実装さ れたクライアント・サーバ技法を使用し、それはオペレーティング環境に関わら ずワークステーションで常駐終了型(TSR)を使用することなく任意のネットワー ク・ワークステーションの完全なリモートのブート前制御を可能にする。本発明 は、開発者及びOEMが注文によるサーバ・ベースのクライアント管理アプリケー ションを構築できるオープン・アーキテクチャを提供する。 本発明の実装の一例は、必要なプログラム(即ちファームウエア) を含む単一のPROMを使用し、それはASIC内に差し込まれてアドレスの復号化を提 供し、このASICは、ほとんどのネットワーク・インタフェース・カード上の通常 未使用のブートROMソケットに差し込まれる。必要なプログラムはファイル・ハ ンドラ、構成要素制御、ネットワーク・サービス、サーバ管理コマンド・インタ フェース、及び実行可能サービス・エンジン機能を提供する。代替実施例では、 このプログラムはフラッシュEPROMに含められ、これは当業者には明らかな理由 によって、アドレス復号ASICを必要としない。 クライアント上のファームウエアは、顧客のアプリケーション・プログラム・ インタフェース(API)またはSNMPのような業界標準プロトコルを介してサーバSMA と通信する。事実上、どんなサーバ管理アプリケーションも様々なプログラミン グ言語で書くことができ、また、既存のSNMP管理アプリケーションは直接アクセ スできる。 本発明のPROMまたはROM内のプログラムの簡単なブロック図が図2に示されて いる。家事のサービス及び機能を除いてはこの説明に密接に関係しない。システ ムは以下のものを含んでいる。 サーバ管理コマンド・インタフェース21:これはクライアント上のファームウ エアとサーバ上のサーバ管理アプリケーション(SMA)の間の基本インタフェース である。その主な作業は、サーバSMAから送信されたパケット内のコマンドを解 釈し、SMAに理解できる形式で、実行されたオペレーションの結果を含む応答パ ケットを構築することである。それは業界で定義された管理プロトコル、SNMPと 同じ機能を果たす。 実行可能サービス・エンジン23:実行可能サービス・エンジンは、ワークステ ーションのブート前処理の制御を可能にする専用のブート前機能を提供する。実 行可能サービス・エンジンはSMAの要求に基づいてその命令を受信する。言い換 えれば、実行可能サービス・エンジンとSMAは一緒に、ワークステーションのブ ート処理が始まる前にワークステーションの行動を制御する。 オペレーティング・システム・カーネル25:オペレーティング・システム・カ ーネルは、実際は「ミニ・オペレーティング・システム」である。オペレーティ ング・システム・カーネルは、ファイル・ハンドラ27a、構成要素制御27b、及び ネットワーク・サービス27cを使用し、インストールされたオペレーティング環 境と適当に通信を行う。この環境は、ワークステーション環境(DOS、O/S2、UNIX 等)とネットワーク・オペレーティング・システム(NetWare、LAN Manager、Vine s等)の両方を含む。 サーバ管理コマンド・インタフェース21と実行可能サービス・エンジン23の機 能を提供するのに必要なプログラムは、当業者には周知である。適当なオペレー ティング・システム・カーネル25は、アメリカ合衆国デラウエア州Wilmingtonの Hitech Business Software,Inc.から入手可能である。 図3a及び3bは、システムのスタートアップ時におけるPROMまたはROM内のプロ グラムによって実行される処理のフローチャートである。 通常のオペレーションにおいては、図3a及び3bのフローチャートに示すように 、本発明はBIOS(例えば、MS-DOS環境で)が実行され た後ではあるがDOSの実行前に、ブート処理を遮断する。特に、ワークステーシ ョンの電源投入(ステップ31)の際、システムBIOSは当業者に周知の方法で実行 される(ステップ33)。システムBIOSはネットワーク・インタフェース・カード 上のROMソケット内のプログラムの存在を判定し(ステップ35)、制御をこのプ ログラムに渡す(ステップ37)。ここで図3bを参照すると、制御がPROM内のプロ グラムに渡されると、ネットワーク通信ソフトウエアが、ワークステーション記 憶媒体から、その内部ミニ・オペレーティング・システムと適当なネットワーク 通信プロトコルを使用してロードされる(ステップ39)。こうして、サーバSMA との通信が起動される(ステップ41)。SMAからの命令のもと、本発明はPROM内 のプログラムの実行可能サービス・エンジン内に含まれる適当な機能を実行する 。実行可能サービス・エンジンは、DOSの下のBIOSといった低レベルの制御機能 を使用し、サーバSMAによってワークステーションに送信された命令を実行する 。ステップ41でサーバ接続が起動された後、ワークステーションのNICアドレス が確認のためにサーバに送信される(ステップ43)。NICアドレスがACL-DB内に ない場合(ステップ45)、ネットワークへの接続は切断され、そうでない場合、 ワークステーションをネットワークに接続する試みがなされ(ステップ47)、そ れが成功するとワークステーション・ファイルが更新される(ステップ49)。成 功しない場合、ネットワーク接続を起動する試みが繰り返される(ステップ41) 。ステップ49で、サーバは任意の必要なワークステーションの更新をクライアン トに送信し、SMAからの制御 のもとで任意の割り当てられた作業を実行する。ステップ49でワークステーショ ン・ファイルを更新する間、PROM内にプログラムされた任意の処理が実行され、 知らされる。この処理の実行と通知はサーバSMAからの命令のもとで、ファーム ウエアによって達成される。サーバとクライアントはワークステーションのハー ドウエアとファームウエアに通常のオペレーティング・システムより下のレベル で直接通信し、そうして無菌の制御されたオペレーティング環境を提供する。ク ライアントによる更新の実施と通知(ステップ51)が成功した後、制御はワーク ステーション・ブート処理(ステップ53)に戻り、通常のブート処理が完了する (図3aのステップ55)。ステップ39と41で述べた機能はファイル・ハンドラ27a 及び27bによって実行され、ステップ43、45、47、49、51、及び53で述べた機能 はネットワーク・サービス27cと実行可能サービス・エンジン23によって実行さ れる。 ファームウエア内のオペレーティング・システム・カーネルがワークステーシ ョンを制御し続けているので、元のオペレーティング環境が存在する。ワークス テーションはSMAによって送信されたいかなる命令も実行でき、ファームウエア の制御を終了し、通常のブートを開始できる。SMAによるブート前処理の間にさ れる任意の変更が、ワークステーションで即座に反映される。 図4を参照すると、ファームウエア19aと19bが、256KのPROM 61のような読み 取り専用メモリ(R0M)上に実装される。図4に示すように、必要なものには、ワ ークステーションが最初にセットされ、または ハードウエアが追加された場合に、ユーザによってセットアップされるワークス テーション構成メモリとして機能する、2Kの(あるいはそれ以上の)EE-PROMま たはRAM 63もある。本発明の目的に関し、このメモリ内に記憶される必要のある 情報は、ネットワーク上の他の装置と通信する必要のある、ワークステーション ・ディスク・ドライブまたは他の記憶媒体上のネットワーク・ドライバ・プログ ラムだけである。前述したように、このような実装がされると、ページ制御65を 備えたアドレス復号器も必要になってくる。アドレス復号器ロジックは、共有メ モリのページング・ロジックを提供する。これは、ブートPROMが8Kバイトのアド レス指定可能メモリ空間だけしか提供できないので、通常のDOSシステムには必 要である。本発明に必要な256Kのメモリ空間にアクセスするために、アドレス復 号器ロジックが必要で、それはROMアドレス空間をワークステーションのCPUにア クセス可能な8Kのページにページングする。アドレス復号器の機能がASICを使用 して提供されることが望ましい。ネットワーク・インタフェース・カードに差し 込むことができ、本発明が使用するプログラムを含むPROMを差し込むことができ る適当なASICを製造するための詳細は、当業者には明らかである。 ファームウエア内にプログラムされたブート前機能の更なる例のいくつかは、 クライアントが最新バージョンのアプリケーション・ソフトウエアのみで稼働し ており、ウイルス・スキャナに関する最新のデータベースがそのクライアントで 利用可能であり、かつ正しいブート・ファイルがそのクライアントの所定の位置 にあることを 保証するよう検査するものである。ブート前処理の間にエラーが見つかったら、 PROMのプログラムはサーバ・ファイルから適当な更新を行う。 しかし、本発明の目的に関して、潜在的にカスタマイズされる機能は考慮され ていない。本発明によるブート前に使用されるクライアント内にある基本的で便 宜的な技法が請求の範囲に記載される。DETAILED DESCRIPTION OF THE INVENTION              Before booting the workstation, the network and             Method and apparatus for controlling workstation access                                 Background of the Invention 1.TECHNICAL FIELD OF THE INVENTION   The present invention relates to a workstation within a local area network (LAN). The present invention is applied to a personal computer used as a personal computer. 2.Background of the Invention   Using what is often called a local area network or LAN, Connecting individual personal computers as workstations is one thing. This is common. LAN is usually defined as a network of computers, Cables and cables at a single geographic location, such as one or more floors of an office building Wires allow various resources to be shared between workstations, and And / or allow individual workstations to send and receive e-mail or e-mail Connected to.   Typically, a local area network has individual users referred to as separate servers Physically associated with the computer or other workstation on the LAN Can access databases and files To do. In this way, the data and programs required by more than one user System is maintained on a single computer on the network and is still Available on other workstations on the workstation. In this example, we have common data These computers are called servers, and each user's workstation is Called Iant. In other examples, databases and files are stored on various workstations. On the client, each acting as a server and client Function as a client. This is called a peer-to-peer configuration. And many.   With large networks of hundreds or thousands of workstations and tens of servers Controlling or managing individual workstations is a tedious task. This tube The process is, but not limited to, the following operations.   ・ Workstation configuration control   ・ System security   ・ Recovery from workstation failure   ・ Application monitoring related to software license agreements   ・ Software and application distribution   ・ Software bargeYoControl   ・ Customization of user environment (for example, menu, bootAIll etc.)   ・ User training   In such a large network, system administrators can This management takes a very long time because it must be in the same physical location as the It is expensive and boring. These workstations are large multi-storey To move between workstations to spread over large areas such as A great deal of time and effort is expended in performing the work.   In addition, these administrative tasks are performed by booting the workstation (startup). It is often related to the functions of the computer performed during the cycle. They are, Requires repeated workstation reboot to test configuration changes Often. From a security perspective, both workstations and servers Many of the functions that control access to the user are performed before, during, and after the boot process The ability to control the function greatly improves. The current method is that during the boot process, And control of functions performed later. Before booting the workstation Many feature controls allow the network administrator to Because more control can be imposed, a method of pre-boot control is preferred. There is something new.                           BRIEF SUMMARY OF THE INVENTION   The present invention relates to a workstation and another workstation or workstation. Pre-boot file between the application and a server on the local area network. It is intended for a method and apparatus for the transfer of files and information. For convenience, this theory The description is for a DOS-based system. However, those skilled in the art The concept of UNIX With applications in other systems and other network environments It is recognized that there is. In particular, if the network administrator It is necessary to provide a mechanism for performing administrative tasks. The mechanism is Must be imposed before the workstation boots. MS-DOS, PC-DOS, or Or work with various other operating systems such as UNIX The station performs a startup process called a boot sequence . During the boot sequence, the workstation and network operating Various components of the signaling system are loaded and executed. Work station All control of the software is sent to the operating system after the boot sequence. All administrative tasks performed after booting are performed on the workstation. Must be executed by the application program being executed No. These application programs are sometimes called utilities Many. Other (such as a word processor, database manager, or e-mail) To run the utility at the same time as the application, the utility Must be loaded to reside in workstation memory. This This reduces available application memory and often reduces work It causes contention to "lock up" or "hang" the station. this The workstation is rebooted and all programs are not reloaded. I have to. It can also damage or lose data used during the failure High in nature.   The present invention relates to a LAN card installed in an individual workstation, for example. ROM containing the appropriate program located in the normally unused boot ROM socket of the PROM, or on the motherboard or system board of an individual workstation Providing hardware components such as built PROMs and chips containing ROMs By overcoming these problems. The program in the PROM is set up, Workstation during boot sequence during system startup Before loading any operating system software, Can be done by using the workstation's basic input / output system (BIOS). Performs certain operating system functions and allows the workstation Can communicate with servers on the network, and can Make the source available to server management applications running on the server I do. This process, controlled by the system administrator, allows various pre-boot Noh can be performed at the workstation.   For example, IDs encoded in the hardware of workstations and servers Exchange allows workstations to be authorized for network connectivity Is done. This adds significantly improved security to the network. Also As another example, a conflicting workstation that results in a failure Are rebooted remotely, eliminating potential conflicts during that reboot cycle. The boot file is modified as if it were a comb. This process is normal, but The operator input Performed by command. The present invention allows this function to be performed remotely. You. The present invention also provides for the use of critical boot files prior to their use. Transfer critical data from the server before booting the workstation. It also provides a pre-boot update of the boot file. Hard drive boot sector Workstations under virus attack have many means of anti-virus defense Damage that is detected and repaired before executing the boot sequence that provides May be. All pre-boot operations are performed by the workstation Workstation before loading and running the operating system. Applications, utilities that may be present on the Malicious programs such as viruses or viruses are under the control of the present invention.   The present invention can be appreciated as a high-value technique for the following reasons.   -Depends on protocol and operating system.   -Operates only when requested.   Not TSR-does not occupy memory.   ・ A tool that allows the system administrator to connect to the server.   -If the local drive is damaged or the user does not log in Network connection to the workstation at boot time, Can be built.   Remote access to the workstation hard drive without user intervention Accessible.   Some examples of possible server management applications possible with the present invention Is as follows.   -Configuration management (remote editing and workstation system file import) Installation)   ・ Service identification and authentication   Smart hub management   Monitoring of critical nodes   ・ Workstation crash recovery   ・ Remote software installation, distribution, monitoring and diagnostics   ・ Single sign-on synchronization password   Finally, the present invention provides various network management benefits for the following reasons: .   Gain access to hung or crashed user workstations Thousands of hours a year are saved because no "office hike" is needed.   -User workstations are centrally configured.   The present invention enables appropriate workstation configuration regardless of the environment . Even users who cannot tolerate TSR due to pathological applications, The invention still has advantages because it does not require a TSR.   By adding pre-boot authentication for both users and workstations Thus, security can be greatly improved.   ・ Software installation, update, version control and monitoring are extremely simple It can be purified and centralized.   Monitoring of the administrator's entire network is greatly improved.   Brief description of the drawings   Figure 1 shows a row with a pair of client workstations and a single server. 1 is an overall block diagram showing a cull area network.   FIG. 2 is a diagram showing the functions of a PROM or a program included in a ROM which constitutes a part of the present invention FIG. 3 is a block diagram showing components.   3a and 3b are flow diagrams of a pre-boot sequence controlled by the present invention.   FIG. 4 is a block diagram showing the implementation of the EE-PROM / ASIC of the present invention.   Detailed description of the invention   FIG. 1 shows a single server workstation 11, a client represented by user 13. Workstation and the client workstation designated by Administrator 15. FIG. 1 is an overall block diagram showing a local area network having an application. The server workstation 11 has a server file (not shown), an access control List Database (ACL-DB) 11a and NetWar in Novell 11 NetWare Environment Includes server management applications (SMA) such as e-loadable modules (NLM) , These function in connection with the present invention, and the database 11d Contains information used to change information in the workstation during pre-processing. No. Client Works Stations 13 and 15 have the same configuration, and each has hardware components (usually , A combination of PROM and ASIC, here called firmware, workstation Installation on an interface network card or motherboard 19a and 19b, respectively, but the admin client Also includes ram 13. This firmware is completely workstation operating Manages and supports workstation functions before the loading system is loaded. Communicate with the server.   Client workstation firmware (19a or 19b) , Booting the client operating system to file services Provide pre-access and operating system for client workstations System and network operating system client work Includes a functional subset of the workstation components. Its purpose is to communicate with the server That is. Server hardware component gets instructions from server SMA . The server SMA contains control routines that manage the operation of the present invention. To SMA The characteristics of the preferred program embedding depend on the functions that are desired to be performed I do. However, these features are considered by one of ordinary skill in the art based on the description provided herein. It's something you get. Administrative utilities run on designated workstations. Is performed. One of these utilities is one in which administrators have a set of client- Scripting languages that can program server operations.   FIG. 1 shows a client workstation 13 and a server workstation 11 And between client workstation 15 and server workstation 11 Shows the basic communication. This basic (actually done on the network) A good communication provides a mechanism to connect the client and server. Once that Once the connection is made, the client 13 can transfer the file, update the file, or ( Like operating system rescue (due to malicious or accidental damage) Various pre-boot functions are performed automatically under the control of the SMA.   In particular, each time a client workstation attempts to connect to the network The firmware 19a or 19b searches for a server on the network to communicate with. Run the program. A suitable server, for example, SMA (for Novell's NetWare environment) Server with NLM) responds to client workstations . The client workstation then uses the subsystem of the present invention to Sends the address of its network interface card (NIC) to the server I do. The server SMA stores its address in the access control list 11a resident on the server. Confirm. The server SMA then performs all pre-programmed tasks to perform Execute. The present invention is an expedient technique as long as it resides in the SMA and has a wide variety of boots. Customizable to provide pre-service. For example, a file management system Because the system is running on the client, you can download new files before booting. To update the file by transferring it to the client. Can be customized. The client boot sector is virus free and boots Can be customized to ensure that the You. If not, the virus is removed and the boot sector resides on the server. Is safely recovered from the existing workstation database 11d.   Once all client-server pre-boot functions are complete, When notified, 19a or 19b on the client takes control of boot Return to OS. The client then boots in the normal way and completely workstations Load the operating system of the Connect to a network. The advantage of the pre-boot sequence of the present invention is that Booting the workstation, ie interrupting normal boot, or doing more damage All damage to the operating system that causes Is to be managed and restored during that time. The present invention provides a client workstation Functional parts of the complete operating system installed in the application Includes a set, thereby causing the client to suffer damage Any operating system installed in the workstation It can partially boot from a sterile environment without the use of system components. This nothing The bacterial environment is maintained within the firmware of the present invention. The second advantage is critical Any updates or restorations to the software system are subject to any use of the user Can be centrally managed using a sterile operating environment so as not to interfere That is.   The technique of the present invention for initiating a network connection with a server Network interface card (NIC) ID (for example, Ethernet Registered units such as Ethernet hardware addresses) Secure identification through standard or de facto standard network protocols. Send to the bus. Network protocols include TCP / IP for Internet, Novell NetWare SPX / IPX, or any standard LAN protocol defined by IEEE Changes according to the network environment. Server application is advance Check the database configured to determine if the connection is allowed. Contact After the connection has been established, the server SMA will launch the program in the workstation firmware. Send a management request that instructs the program to perform the appropriate management task. fur The firmware returns the result of the performed operation to the SMA and is authorized by the server If so, the process returns to the normal boot process.   The present invention is implemented as firmware (ie, a PROM or program in ROM). Use client-server techniques that are independent of the operating environment. Any network without using the Resident Termination (TSR) on the workstation Enables complete remote pre-boot control of workstations. The present invention Is a server-based client management application that developers and OEMs can order. Provide an open architecture that allows you to build applications.   One example of an implementation of the present invention is the required program (ie, firmware) Use a single PROM containing the This ASIC is typically found on most network interface cards. Plugged into an unused boot ROM socket. Necessary programs are file Handler, component control, network service, server management command interface And executable service engine functions. In an alternative embodiment, This program is included in the flash EPROM, which is obvious to those skilled in the art. Does not require an address decoding ASIC.   The firmware on the client is Server SMA via interface (API) or industry standard protocol like SNMP Communicate with Virtually any server management application can use a variety of programming Language and can be directly accessed by existing SNMP management applications. I can do it.   A simplified block diagram of the program in the PROM or ROM of the present invention is shown in FIG. I have. Except for housekeeping services and functions, it is not closely related to this description. System The system includes:   Server Management Command Interface 21: This is the firmware on the client Basic interface between Air and Server Management Application (SMA) on server It is. Its main task is to resolve commands in packets sent from the server SMA. Response packet that contains the results of the performed operation in a format that the SMA can understand. Is to build a ket. It is an industry defined management protocol, SNMP and Serves the same function.   Executable Service Engine 23: Executable Service Engine Provides a dedicated pre-boot function that allows control of the pre-boot processing of the application. Real The executable service engine receives the command based on the request of the SMA. Paraphrase If so, the executable service engine and the SMA work together to Control the behavior of the workstation before the transaction begins.   Operating system kernel 25: Operating system kernel The kernel is actually a "mini-operating system." Operating The kernel includes a file handler 27a, component controls 27b, and Installed operating environment using Network Services 27c Communicate properly with the environment. This environment is a workstation environment (DOS, O / S2, UNIX Etc.) and network operating systems (NetWare, LAN Manager, Vine s etc.).   Server management command interface 21 and executable service engine 23 The programs required to provide the functions are well known to those skilled in the art. Appropriate operation Toing System Kernel 25 is from Wilmington, Delaware, USA Available from Hitech Business Software, Inc.   Figures 3a and 3b show the PROM or the program in ROM at system startup. It is a flowchart of the process performed by a gram.   In normal operation, as shown in the flowcharts of FIGS. 3a and 3b The present invention runs on a BIOS (eg, in an MS-DOS environment) After booting but before running DOS. In particular, work stations When the system is powered on (step 31), the system BIOS runs in a manner known to those skilled in the art. Is performed (step 33). System BIOS is a network interface card The presence of a program in the ROM socket above is determined (step 35), and control is passed to this program. To the program (step 37). Referring now to FIG. 3b, control is performed by a program in the PROM. Network communication software, the workstation From storage media, its internal mini operating system and appropriate network Loaded using communication protocol (step 39). Thus, the server SMA Communication with is started (step 41). Under instruction from SMA, the present invention Perform the appropriate functions contained within the executable service engine of your program . Executable service engine provides low-level control functions such as BIOS under DOS To execute the instructions sent to the workstation by the server SMA . After the server connection is activated in step 41, the workstation's NIC address Is sent to the server for confirmation (step 43). NIC address in ACL-DB If not (step 45), the connection to the network is lost; An attempt is made to connect the workstation to the network (step 47) and If successful, the workstation file is updated (step 49). Success If not, the attempt to bring up the network connection is repeated (step 41) . In step 49, the server sends any necessary workstation updates to the client To SMA and control from SMA Perform any assigned work under. Workstation at step 49 During the update of the update file, any processing programmed in the PROM is executed, Be informed. The execution and notification of this processing are performed by the firmware under instructions from the server SMA. Achieved by wear. The server and the client are Lower level than normal operating system for firmware and firmware To communicate directly with, thus providing a sterile, controlled operating environment. K After the client has successfully performed and notified the update (step 51), the control Return to the station boot process (step 53) and the normal boot process is completed (Step 55 in FIG. 3a). The function described in steps 39 and 41 is the same as the file handler 27a And 27b, performed by steps 43, 45, 47, 49, 51, and 53 Is executed by the network service 27c and the executable service engine 23. It is.   Operating system kernel in firmware The original operating environment exists because you continue to control the options. Works The station can execute any command sent by the SMA and the firmware Control can be ended and normal boot can be started. During SMA pre-boot processing Any changes made are immediately reflected on the workstation.   Referring to FIG. 4, firmware 19a and 19b are read like a 256K PROM 61. Implemented on read only memory (R0M). As shown in FIG. Workstation is set first, or Work set up by the user when hardware is added 2K (or higher) EE-PROM or Or RAM 63. For the purposes of the present invention, it needs to be stored in this memory Information is sent to workstations that need to communicate with other devices on the network Network driver programs on disk drives or other storage media Only ram. As mentioned above, when such an implementation is made, the page control 65 An equipped address decoder is also required. The address decoder logic is Provide memory paging logic. This is because the boot PROM has an 8K byte address. Since only memory space that can be specified can be provided, it is not necessary for a normal DOS system. It is important. To access the 256K memory space required for the present invention, the address Requires logic, which maps ROM address space to the workstation CPU. Paging to accessible 8K pages. Address decoder function uses ASIC It is desirable to be provided as. Plug in the network interface card Can be plugged in and can contain a PROM containing the programs used by the present invention. Details for fabricating a suitable ASIC will be apparent to those skilled in the art.   Some further examples of pre-boot functions programmed into firmware include: Client runs on latest version of application software only Up-to-date databases on virus scanners If available and the correct boot file is in place on that client To be in Inspect to assure. If you find any errors during the pre-boot process, The PROM program makes the appropriate updates from the server file.   However, for the purposes of the present invention, potentially customized features are considered. Not. Basic and convenient features within the client used before boot according to the invention Expedient techniques are described in the claims.

───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,DE, DK,ES,FR,GB,GR,IE,IT,LU,M C,NL,PT,SE),OA(BF,BJ,CF,CG ,CI,CM,GA,GN,ML,MR,NE,SN, TD,TG),AP(KE,MW,SD,SZ),AM, AT,AU,BB,BG,BR,BY,CA,CH,C N,CZ,DE,DK,EE,ES,FI,GB,GE ,HU,JP,KE,KG,KP,KR,KZ,LK, LR,LT,LU,LV,MD,MG,MN,MW,N L,NO,NZ,PL,PT,RO,RU,SD,SE ,SI,SK,TJ,TT,UA,UZ,VN 【要約の続き】 エア構成要素を提供することによって解決する。PROM(6 1)にプログラムがセットアップされると、システムのス タートアップ時(31)において、ブート・シーケンスの間 にワークステーションのオペレーティング・システム・ ソフトウエアがロードされる前に、ワークステーション の基本入出力システム(BIOS)を使用して一定のオペレー ティング・システム機能(35)を実行し、ワークステーシ ョンがネットワーク上のサーバと通信することを可能に し、そのネットワークを介して、サーバ上で動作してい るサーバ管理アプリケーション(11c)がワークステーシ ョンの必要な資源を利用できるようになる。この処理 は、システム管理者(15)によって行われ、様々なブート 前機能をワークステーションで行うことができる。────────────────────────────────────────────────── ─── Continuation of front page    (81) Designated countries EP (AT, BE, CH, DE, DK, ES, FR, GB, GR, IE, IT, LU, M C, NL, PT, SE), OA (BF, BJ, CF, CG , CI, CM, GA, GN, ML, MR, NE, SN, TD, TG), AP (KE, MW, SD, SZ), AM, AT, AU, BB, BG, BR, BY, CA, CH, C N, CZ, DE, DK, EE, ES, FI, GB, GE , HU, JP, KE, KG, KP, KR, KZ, LK, LR, LT, LU, LV, MD, MG, MN, MW, N L, NO, NZ, PL, PT, RO, RU, SD, SE , SI, SK, TJ, TT, UA, UZ, VN [Continuation of summary] The solution is provided by providing an air component. PROM (6 When the program is set up in 1), the system At start-up (31), during the boot sequence Workstation operating system Workstation before the software is loaded Certain operating systems using the basic input / output system (BIOS) Execute the operating system function (35) and Allows applications to communicate with servers on the network And running on the server through that network Server management application (11c) The necessary resources for the installation can be used. This process Is performed by the system administrator (15) and various boot Pre-functions can be performed at the workstation.

Claims (1)

【特許請求の範囲】 1. ワークステーションのオペレーティング・システムのロードが完了する前 に、ネットワーク接続を介して所定のワークステーションの資源を制御できるよ うにした装置であって、前記装置が、 a)ワークステーションのスタートアップの際に動作可能で、ワークステーショ ンのオペレーティング・システムを完全にロードする前に、ワークステーション のブート前処理から外部処理に制御を転送するための手段、 b)ネットワーク上のサーバに対するワークステーションのネットワーク接続を 起動する手段、 c)ワークステーションのネットワークへの接続が認可されることを保証するた めに、ワークステーションの識別を認証する手段、 d)ワークステーション内の所定のファイルを、サーバ内のファイルに配置され たデータに基づいて更新する手段、及び e)ワークステーションのオペレーティング・システムを完全にロードするため に、ワークステーションのブート処理に制御を戻す手段を含むことを特徴とする 、前記装置。 2. 制御を転送する前記手段が、プログラム・モジュールの存在を検出した際 に制御が渡されるネットワーク・インタフェース・カードのROMソケット内に、 プログラム・モジュールが存在することを検出する手段を含むことを特徴とする 、請求項1に記載の装置。 3. ネットワーク接続を起動する手段が、 a)ネットワーク通信プログラムを記憶媒体からロードする手段、及び b)前記ネットワーク通信プログラムを実行し、前記ネットワークに接続された サーバ内で実行されているサーバ管理アプリケーションとの接続を確立する手段 を含むことを特徴とする、請求項1に記載の装置。 4. ワークステーションを認証する手段が、 a)ワークステーションにユニークな識別をネットワークを介してサーバに送信 するよう命令する前記サーバ管理アプリケーションから命令を受信する手段、及 び b)前記サーバから、認可及び不認可のうち1つを受信する手段を含むことを特 徴とする、請求項3に記載の装置。 5. ファイル更新手段が、前記認可が受信されたことを検出し、前記サーバか らファイル更新情報を受信し、前記サーバへの前記更新が完了した際に確認を送 信する手段を含むことを特徴とする、請求項4に記載の装置。 6. 制御を戻す手段が、ROMソケット内のプログラム・モジュールを終了させ 、前記ワークステーションのブート処理に戻る手段を含むことを特徴とする、請 求項1に記載の装置。[Claims] 1. Before the workstation operating system has completed loading Can control the resources of a given workstation via a network connection. An apparatus, wherein the apparatus comprises:   a) Operable at workstation startup, and Before fully loading the operating system on the workstation, Means for transferring control from a pre-boot process to an external process,   b) configure the workstation's network connection to a server on the network Means to start,   c) ensure that workstations are authorized to connect to the network Means to authenticate the identity of the workstation,   d) Copy the specified file from the workstation to the file on the server. Means for updating based on the received data, and   e) to fully load the workstation operating system Further comprising means for returning control to the workstation boot process. , The device. 2. When the means for transferring control detects the presence of a program module In the ROM socket of the network interface card to which control is passed to Including means for detecting the presence of a program module The apparatus of claim 1. 3. The means to activate the network connection is   a) means for loading a network communication program from a storage medium, and   b) executing the network communication program and connecting to the network A means to establish a connection with the server management application running on the server The apparatus of claim 1, comprising: 4. The means for authenticating the workstation is   a) Send a unique identification to the workstation over the network to the server Means for receiving instructions from the server management application that instructs And   b) including means for receiving one of authorization and non-authorization from the server. 4. The device according to claim 3, wherein the device is characterized. 5. File updating means detects that the authorization has been received, File update information, and send a confirmation when the update to the server is completed. Apparatus according to claim 4, comprising means for communicating. 6. A means for returning control terminates the program module in the ROM socket. Means for returning to a boot process of the workstation. An apparatus according to claim 1.
JP8513861A 1993-08-04 1994-10-24 Method and apparatus for controlling network and workstation access prior to workstation boot Pending JPH10511783A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/101,837 US5444850A (en) 1993-08-04 1993-08-04 Method and apparatus for controlling network and workstation access prior to workstation boot
PCT/US1994/012222 WO1996013002A1 (en) 1993-08-04 1994-10-24 Method and apparatus for controlling network and workstation access prior to workstation boot

Publications (1)

Publication Number Publication Date
JPH10511783A true JPH10511783A (en) 1998-11-10

Family

ID=26788479

Family Applications (1)

Application Number Title Priority Date Filing Date
JP8513861A Pending JPH10511783A (en) 1993-08-04 1994-10-24 Method and apparatus for controlling network and workstation access prior to workstation boot

Country Status (4)

Country Link
EP (1) EP0791195A4 (en)
JP (1) JPH10511783A (en)
AU (1) AU1042895A (en)
WO (1) WO1996013002A1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6928541B2 (en) 2000-06-13 2005-08-09 Yutaka Sekiguchi User-authentication-type network operating system booting method and system utilizing BIOS preboot environment
JP2005316809A (en) * 2004-04-30 2005-11-10 Nec Corp Computer, computer starting method, management server device, and program
JP2012074053A (en) * 2004-03-26 2012-04-12 Absolute Software Corp Persistent servicing agent
JP2013008400A (en) * 2005-03-18 2013-01-10 Absolute Software Corp Persistent servicing agent

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6138236A (en) * 1996-07-01 2000-10-24 Sun Microsystems, Inc. Method and apparatus for firmware authentication
US6463537B1 (en) * 1999-01-04 2002-10-08 Codex Technologies, Inc. Modified computer motherboard security and identification system
US7395324B1 (en) * 1999-10-18 2008-07-01 Wnf Consulting Method and apparatus for maintaining a computer system
KR20020090726A (en) * 2001-05-29 2002-12-05 주식회사 네이버월드 Network system of settopbox with bios and network booting in one chip and information exchange method using therof
DE10336404B3 (en) * 2003-08-06 2005-05-04 Adams, Michael Monitoring device for data processing systems
US8418226B2 (en) 2005-03-18 2013-04-09 Absolute Software Corporation Persistent servicing agent

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4590557A (en) * 1983-09-12 1986-05-20 Pitney Bowes Inc. Method and apparatus for controlling software configurations in data processing systems
US4982430A (en) * 1985-04-24 1991-01-01 General Instrument Corporation Bootstrap channel security arrangement for communication network
US5146568A (en) * 1988-09-06 1992-09-08 Digital Equipment Corporation Remote bootstrapping a node over communication link by initially requesting remote storage access program which emulates local disk to load other programs
US5247659A (en) * 1988-10-06 1993-09-21 International Computers Limited Method for bootstrap loading in a data processing system comprising searching a plurality of program source devices for a bootstrap program if initial data indicating a bootstrap program source device fails a validity check
US5121345A (en) * 1988-11-03 1992-06-09 Lentz Stephen A System and method for protecting integrity of computer data and software
US5138712A (en) * 1989-10-02 1992-08-11 Sun Microsystems, Inc. Apparatus and method for licensing software on a network of computers
US5073933A (en) * 1989-12-01 1991-12-17 Sun Microsystems, Inc. X window security system
US5261104A (en) * 1990-03-22 1993-11-09 International Business Machines Flexible computer initialization
EP0449242A3 (en) * 1990-03-28 1992-10-28 National Semiconductor Corporation Method and structure for providing computer security and virus prevention
US5325529A (en) * 1990-05-18 1994-06-28 Compaq Computer Corporation External boot information loading of a personal computer
US5012514A (en) * 1990-06-26 1991-04-30 Paul Renton Hard drive security system
US5237690A (en) * 1990-07-06 1993-08-17 International Business Machines Corporation System for testing adaptor card upon power up and having disablement, enablement, and reconfiguration options
US5204897A (en) * 1991-06-28 1993-04-20 Digital Equipment Corporation Management interface for license management system
US5276863A (en) * 1991-06-28 1994-01-04 Digital Equipment Corporation Computer system console
US5325532A (en) * 1992-09-25 1994-06-28 Compaq Computer Corporation Automatic development of operating system boot image

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6928541B2 (en) 2000-06-13 2005-08-09 Yutaka Sekiguchi User-authentication-type network operating system booting method and system utilizing BIOS preboot environment
JP2012074053A (en) * 2004-03-26 2012-04-12 Absolute Software Corp Persistent servicing agent
JP2005316809A (en) * 2004-04-30 2005-11-10 Nec Corp Computer, computer starting method, management server device, and program
US7844810B2 (en) 2004-04-30 2010-11-30 Nec Corporation Computer system and booting method therefor and server used for streaming on-demand a remaining part of a boot-up main memory image that includes an operating system
JP4604543B2 (en) * 2004-04-30 2011-01-05 日本電気株式会社 Computer, computer startup method, management server device, and program
JP2013008400A (en) * 2005-03-18 2013-01-10 Absolute Software Corp Persistent servicing agent

Also Published As

Publication number Publication date
EP0791195A1 (en) 1997-08-27
WO1996013002A1 (en) 1996-05-02
AU1042895A (en) 1996-05-15
EP0791195A4 (en) 1998-05-20

Similar Documents

Publication Publication Date Title
US5444850A (en) Method and apparatus for controlling network and workstation access prior to workstation boot
KR100382851B1 (en) A method and apparatus for managing client computers in a distributed data processing system
US6202091B1 (en) Process and apparatus for initializing a computer from power up
US6266809B1 (en) Methods, systems and computer program products for secure firmware updates
US8782098B2 (en) Using task sequences to manage devices
US7290258B2 (en) Managing multiple devices on which operating systems can be automatically deployed
US6108779A (en) Server and computer network that permit a client to be easily introduced into the computer network
US8332490B2 (en) Method, apparatus and program product for provisioning a computer system
EP2483799B1 (en) Portable desktop device and method of host computer system hardware recognition and configuration
US10404538B1 (en) Remote platform configuration
US8245022B2 (en) Method and system to support ISCSI boot through management controllers
EP1369779A2 (en) System and method for custom installation of an operating system on a remote client
US11132187B2 (en) Bare metal provisioning of software defined infrastructure
US6928538B2 (en) Method and system for delayed booting of a target device in a network environment
US6898701B2 (en) Method and system for organized booting of a target device in a network environment by a reservation server based on available boot resources
US20050132360A1 (en) Network boot sequence in the absence of a DHCP server
US7330966B2 (en) Providing security based on a device identifier prior to booting an operating system
JPH10511783A (en) Method and apparatus for controlling network and workstation access prior to workstation boot
US6763457B1 (en) Network station suitable for supplying indicated default values for boot parameters
US8086659B2 (en) Task sequence interface
US8949588B1 (en) Mobile telephone as bootstrap device
CN114115917A (en) Operating system installation method and device
US6711630B2 (en) Method and apparatus for communicating with plug and play devices
US6779110B1 (en) Network station suitable for identifying and prioritizing boot information for locating an operating system kernel on a remote server
US8190715B1 (en) System and methods for remote agent installation