KR100938521B1 - 보안 위치 인식 플랫폼을 가능하게 해주는 방법, 장치, 및시스템 - Google Patents

보안 위치 인식 플랫폼을 가능하게 해주는 방법, 장치, 및시스템 Download PDF

Info

Publication number
KR100938521B1
KR100938521B1 KR1020070104514A KR20070104514A KR100938521B1 KR 100938521 B1 KR100938521 B1 KR 100938521B1 KR 1020070104514 A KR1020070104514 A KR 1020070104514A KR 20070104514 A KR20070104514 A KR 20070104514A KR 100938521 B1 KR100938521 B1 KR 100938521B1
Authority
KR
South Korea
Prior art keywords
network
secure
partition
security controls
user partition
Prior art date
Application number
KR1020070104514A
Other languages
English (en)
Other versions
KR20080034810A (ko
Inventor
데니스 모간
Original Assignee
인텔 코오퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코오퍼레이션 filed Critical 인텔 코오퍼레이션
Publication of KR20080034810A publication Critical patent/KR20080034810A/ko
Application granted granted Critical
Publication of KR100938521B1 publication Critical patent/KR100938521B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

보안 위치 인식 플랫폼을 가능하게 해주는 방법, 장치 및 시스템이 개시된다. 구체적으로, 본 발명의 실시예들은 플랫폼 상의 보안 프로세싱 파티션을 이용하여, 플랫폼의 위치를 판정하고 그에 따라 보안 제어를 동적으로 적용 및/또는 변경할 수 있다.
보안 제어, 사용자 파티션, 네트워크, 가상 머신 모니터, 프로세서, 위치 인식 에이전트

Description

보안 위치 인식 플랫폼을 가능하게 해주는 방법, 장치, 및 시스템{METHOD, APPARATUS AND SYSTEM FOR ENABLING A SECURE LOCATION-AWARE PLATFORM}
본 발명은 보안 위치 인식 플랫폼을 가능하게 해주는 방법, 장치, 및 시스템에 관한 것이다. 더 구체적으로, 본 발명은 플랫폼이 그의 위치를 자동으로 판정할 수 있고 그의 보안 구성을 동적으로 조정할 수 있는 보안 환경에 관한 것이다.
시스템 관리자들에게 주요 과제들 중의 하나는, 플랫폼이 손상되는 것을 방지하도록 견고한 보안 제어를 제공하면서도 사용자가 컴퓨팅 플랫폼 상에 모든 기능성 중 최대 많은 것들(예를 들면, 제휴, 접속 등)을 이용할 수 있도록 해주는 제어를 구현하는 능력이다. 종종, 기업 네트워크 내에서 기능성을 위해 구현된 구성(configuration)은 플랫폼이 기업 네트워크의 외부에 있을 때 보안상 취약점들을 초래할 수 있다.
이 문제는 컴퓨터 사용자들이 점진적으로 모바일로 되어감에 따라 오늘날 고속 페이스로 증가하는 무선 네트워크들에서 가장 뚜렷하다. 이 네트워크들은 전형적으로, 상당한 보안 문제들에 직면하는데, 그것은 접속이 물리적이지 않고, 호환가능한 무선 네트워크 인터페이스를 갖는 임의의 상대가 무선 패킷들을 검사하고 그리고/또는 가로채기 위해 위치할 수 있기 때문이다. 즉, 임의의 제3자인 해커나 공격자는, 패킷들이 실제로 누구를 향해 가는지에 상관없이, 무선 네트워크를 가로질러 전송되는 패킷들에 비교적 쉽게 액세스할 수 있다. 다양한 보안 제어들이 이러한 문제를 완화하기 위해 이 네트워크들 상에 구현될 수 있으나, 네트워크의 신뢰성에 기초한 보다 엄격하고 보다 나은 보안 제어들을 적용하는 능력은 전형적으로 보안 업체들에게 맡겨진다. 그러나, 대부분의 보안 업체들은 시스템 위치에 기초한 구성가능한 제어들을 제공하지 않는다.
도 1은, 하나의 네트워크에서 다른 네트워크로 이동하는 무선 디바이스("노드(125)")를 갖는, 기업 네트워크("기업 네트워크(100)")와 외부 네트워크("외부 네트워크(150)")를 포함하는 전형적인 무선 네트워크 토폴로지를 개념적으로 예시한다. 기업 네트워크(100)는 전형적으로 게이트웨이 또는 방화벽 혹은 다른 그러한 보안 메커니즘(도 1에 "방화벽(175)"으로서 총칭하여 표시됨)에 의해 외부 네트워크(150)로부터 분리된다. 그러나, 하나의 네트워크로부터 다른 네트워크로 이동할 때, 노드(125)는 상이한 보안 문제들에 직면하기 쉬울 것인데, 현지점에서 노드(125)는 동적으로 그의 위치를 판정하지 않을 수 있고 그의 보안 제어들을 변경하지 않을 수 있다. 따라서, 비록 무선 네트워크들이 사용자들에게 특정 위치에 얽매이지 않고 네트워크들을 가로질러 "로밍"하는 상당한 유연성을 제공하지만, 무선 디바이스들은, 그것들이 보안 환경들(예를 들면, 기업의 내부)과 그보다 덜 보 안성인 있거나 보안성이 없는 환경들(예를 들면, 기업의 외부) 사이를 번갈아가며 넘나들 때 적당한 보안 제어를 가질 수 있거나 혹은 갖지 않을 수 있다.
비록 상기 설명은 무선 디바이스들에 초점을 두었지만, 한 위치로부터 다른 위치로 이동될 수 있는 비-무선 디바이스들에 대해서도 마찬가지의 문제들이 발생할 수 있다. 예를 들어, 랩톱의 소유자는 그가 사무소 내에 있는 동안 기업 네트워크에 물리적으로 접속될 수 있지만, 업무가 끝났을 때, 그 소유자는 랩톱을 집으로 가져갈 수 있고 랩톱을 그의 홈 오피스 인터넷 접속에 접속할 수 있다. 이 시나리오에서, 랩톱은 보안(기업) 네트워크로부터 덜 보안(홈) 환경으로 이동하고 있는 것일 수 있고, 보안 요건들은 각 환경에서 상이할 수 있다.
본 발명의 일 양태에 따르면, 디바이스의 네트워크 상태의 변화를 식별하는 단계 - 상기 디바이스는 보안 파티션(secure partition) 및 사용자 파티션(user partition)을 포함하며, 상기 보안 파티션은 위치 인식 에이전트(location awareness agent)를 포함함 - ; 상기 위치 인식 에이전트가, 상기 디바이스가 네트워크에 접속되어 있는지의 여부를 판정하는 단계; 상기 디바이스가 상기 네트워크에 접속되어 있는 경우, 상기 위치 인식 에이전트가, 상기 네트워크가 보안성이 있는지의 여부를 판정하는 단계; 상기 네트워크가 보안성이 있는 경우, 상기 위치 인식 에이전트가, 상기 사용자 파티션 내의 오퍼레이팅 시스템에 대하여, 상기 오퍼레이팅 시스템이 상기 네트워크에 액세스 가능하기 이전에, 제1 세트의 보안 제어를 적용하는 단계; 및 상기 네트워크가 보안성이 없는 경우, 상기 위치 인식 에이 전트가, 상기 사용자 파티션 내의 상기 오퍼레이팅 시스템에 대하여, 상기 오퍼레이팅 시스템이 상기 네트워크에 액세스 가능하기 이전에, 제2 세트의 보안 제어를 적용하는 단계를 포함하는 방법이 제공된다.
본 발명의 다른 양태에 따르면, 네트워크 인터페이스 카드; 상기 네트워크 인터페이스 카드에 연결되는 사용자 파티션; 상기 네트워크 인터페이스 카드 및 상기 사용자 파티션에 연결되는 보안 파티션 - 상기 보안 파티션은 상기 사용자 파티션에 의한 상기 네트워크 인터페이스 카드의 액세스를 관리함 - ; 및 상기 보안 파티션 및 상기 사용자 파티션에 연결되는 위치 인식 에이전트를 포함하고, 상기 위치 인식 에이전트는 컴퓨팅 디바이스가 네트워크에 접속되어 있는지의 여부를 판정할 수 있으며, 상기 컴퓨팅 디바이스가 상기 네트워크에 접속되어 있는 경우, 상기 위치 인식 에이전트는 상기 네트워크가 보안성이 있는지의 여부를 판정할 수 있으며, 상기 네트워크가 보안성이 있는 경우, 상기 위치 인식 에이전트는, 상기 사용자 파티션 내의 오퍼레이팅 시스템에 대하여, 상기 오퍼레이팅 시스템이 상기 네트워크에 액세스 가능하기 이전에, 제1 세트의 보안 제어를 적용할 수 있고, 상기 네트워크가 보안성이 없는 경우, 상기 위치 인식 에이전트는, 상기 사용자 파티션 내의 상기 오퍼레이팅 시스템에 대하여, 상기 오퍼레이팅 시스템이 상기 네트워크에 액세스 가능하기 이전에, 제2 세트의 보안 제어를 적용할 수 있는 컴퓨팅 디바이스가 제공된다.
본 발명의 다른 양태에 따르면, 머신(machine)에 의해 실행될 때, 상기 머신으로 하여금, 디바이스의 네트워크 상태의 변화를 식별하고 - 상기 디바이스는 보 안 파티션 및 사용자 파티션을 포함함 - ; 상기 디바이스가 네트워크에 접속되어 있는지의 여부를 판정하고, 상기 디바이스가 상기 네트워크에 접속되어 있는 경우, 상기 네트워크가 보안성이 있는지의 여부를 판정하고, 상기 네트워크가 보안성이 있는 경우, 상기 사용자 파티션 내의 오퍼레이팅 시스템에 대하여, 상기 오퍼레이팅 시스템이 상기 네트워크에 액세스 가능하기 이전에, 제1 세트의 보안 제어를 적용하고, 상기 네트워크가 보안성이 없는 경우, 상기 사용자 파티션 내의 상기 오퍼레이팅 시스템에 대하여, 상기 오퍼레이팅 시스템이 상기 네트워크에 액세스 가능하기 이전에, 제2 세트의 보안 제어를 적용하게 하는 명령어들이 저장된 머신 액세스 가능한 매체를 포함하는 물품이 제공된다.
본 발명에 따르면, 플랫폼이 그의 위치를 자동으로 판정할 수 있고 그의 보안 구성을 동적으로 조정할 수 있는 보안 환경을 제공할 수 있다.
본 발명의 실시예들은 보안 위치 인식 플랫폼을 가능하게 해주는 방법, 장치, 및 시스템을 제공한다. 더 구체적으로, 본 발명의 실시예들은 플랫폼이 그의 위치를 자동으로 판정할 수 있고 그의 보안 구성을 동적으로 조정할 수 있는 보안 환경을 제공한다. 본 발명의 실시예들은 임의의 타입의 네트워크(예를 들면, 유선, Wi-Max 등) 및/또는 한 위치로부터 다른 위치로 이동될 수 있는 임의의 컴퓨팅 플랫폼(무선 디바이스, 랩톱, 개인 휴대단말기 등) 상에 구현될 수 있다. 따라서, 본 명세서에서 "디바이스", "노드" 및/또는 "플랫폼"이라고 일컫는 것은 상술한 여 러 타입의 네트워크들 중의 임의의 것 상에서 실행되는 유선 및/또는 무선 디바이스를 포함할 것이다. 또한, 본 명세서에서 본 발명의 "일 실시예" 또는 "실시예"라고 일컫는 것은 실시예와 관련되어 설명된 특별한 특징, 구조, 또는 특성이 본 발명의 적어도 일 실시예에 포함된다는 것을 의미한다. 따라서, 본 명세서 전반에 걸쳐 여러 곳에서 나타나는 "일 실시예에서", "일 실시예에 따르면" 등의 문구의 등장은 반드시 모두 동일한 실시예를 일컫는 것이 아니다.
본 발명의 실시예에 따르면, 컴퓨팅 플랫폼에 대한 보안을 강화하기 위해 격리되고 보안 파티션이 이용될 수 있다. 본 발명의 실시예들은 다양한 보안 파티션 타입들을 지원한다. 이러한 파티션 타입들의 공통점은, 물리적으로 또는 가상적으로, 파티션들 사이에 엄격한 분리를 유지하는 능력을 포함하는 것이다. 따라서, 예를 들어, 일 실시예에서, 파티션들은 내장형 프로세서들, 즉, Intel® Corporation의 AMT(Active Management Technologies), ME(Manageability Engine), PRL(Platform Resource Layer) 및/또는 다른 필적하는 또는 유사한 기술들에 의해 구현될 수 있다. 대안적 실시예에서, 파티션들은 가상화되는데, 즉, 플랫폼의 가상 머신 모니터(Virtual Machine Monitor, VMM)에서 실행되는, Intel® Corporation의 VT(Virtualization Technology) 방식의 가상 머신(Virtual machine, VM)들이 될 수 있다. 또 다른 실시예에서, Intel® Corporation의 Core 2 Duo®와 같은 다중 코어 플랫폼에서, 파티션은 그 플랫폼에 존재하는 많은 코어들 중 하나를 포함할 수 있다. Core 2 Duo®와 같은 다중 코어 아키텍처들에서, 각 코어는 그의 독립적 어드레스 경계 및 실행을 가질 수 있고, 파티션 분리는 플랫폼 하드웨 어에 의해 제공될 수 있다. 또한, 가상화된 호스트를 이용하여, AMT, ME 및 PRL 기술들에 의해 제공되는 서비스들과 상호작용하거나 및/또는 그 서비스들을 이용(leverage)할 수 있다는 것은 당업자들에게 명백할 것이다.
본 발명의 실시예들에 대한 이해를 돕기 위해, 다음 단락들은 전형적인 가상화된 호스트뿐 아니라 전형적인 AMT 환경을 설명한다. 예로서, 도 2는 Intel® Corporation에 의해 구현되는 전형적인 Intel® AMT 환경을 개념적으로 도시한다. 또한, 본 발명의 실시예들이 AMT의 다른 유사한 및/또는 필적하는 구현들로 구현될 수 있다는 것은 당업자들에게 쉽게 명백할 것이다. 본 발명의 실시예들을 불필요하게 모호하게 하지 않게 하기 위해서 AMT 환경의 설명에 관련된 컴포넌트들만이 도시되었지만, 본 발명의 실시예들의 사상에서 벗어나지 않고 부가적인 컴포넌트들이 포함될 수 있다는 것은 당업자들에게 쉽게 명백할 것이다.
따라서, 도 2에 도시된 바와 같이, 디바이스("호스트(200)")는 호스트 오퍼레이팅 시스템("호스트 OS(210)") 및 시스템 하드웨어("하드웨어(250)")를 포함할 수 있다. 일 실시예에 따르면, 하드웨어(250)는 하나, 둘 또는 그보다 많은 프로세서들을 포함할 수 있는데, 하나 또는 그보다 많은 프로세서는 호스트 OS(210)에 대한 전형적인 프로세싱 태스크들을 수행하고("메인 프로세서(205)"), 다른 프로세서들은 전용 파티션을 통한 디바이스의 관리에만 전용일 수 있다("AMT(220)에 대한 전용 프로세서(215)"). 각 프로세서는 호스트(200)에 대한 연관된 자원들을 가질 수 있고, 프로세서들은 하나 이상의 다른 자원들을 공유할 수 있다. 따라서, 본 예에 도시된 바와 같이, 메인 프로세서(205) 및 전용 프로세서(210)는 각각 그것들 에 전용인 메모리의 부분들(각각 "메인 메모리(225)" 및 "전용 메모리(230)")을 가질 수 있지만, 네트워크 인터페이스 카드("NIC(235)")를 공유할 수 있다.
유사하게, 도 3에 도시된 바와 같이, 디바이스("호스트(300)")가 가상화되는 경우, 디바이스는 단일 프로세서만을 포함할 수 있으나, 호스트의 하부 하드웨어가 하나 이상의 독립적으로 동작하는 가상 머신들("VMs")로서 보이도록, 디바이스의 가상 머신 모니터("VMM(330)")는 디바이스 또는 호스트의 다수의 추상(abstraction) 및/또는 뷰(view)들을 나타낼 수도 있다. VMM(330)은 소프트웨어(예를 들어, 스탠드얼론 프로그램 및/또는 호스트 오퍼레이팅 시스템의 컴포넌트), 하드웨어, 펌웨어 및/또는 그의 조합으로 구현될 수 있다. VMM(330)은 호스트에 대한 자원 할당을 관리하고, 필요에 따라 컨텍스트 스위칭(context switching)을 수행하여, 라운드-로빈(round-robin) 또는 다른 사전 판정된 방식에 따라 다양한 VM 사이를 순환한다. 하나의 프로세서("메인 프로세서(305)")만이 도시되었지만, 본 발명의 실시예들은 그것으로 한정되지 않고, 또한 다수의 프로세서들 또는 프로세서 코어들이 가상화된 환경 내에서 이용될 수 있다는 것은 당업자들에게 쉽게 명백할 것이다.
두 개의 VM 파티션("VM(310)" 및 "VM(320)", 이하 총칭하여 "VM들"로 지칭함)만이 도시되었지만, 이러한 VM들은 단지 예시적인 것이고, 부가적인 가상 머신들이 호스트에 부가될 수 있다. VM(310) 및 VM(320)은 각각 자가(self-contained) 플랫폼들로서 작용할 수 있고, 그들 자신의 "게스트 오퍼레이팅 시스템들(guest operation systems)"(즉, "게스트 OS(311)" 및 "게스트 OS(321)"로 도시된, VMM(330)에 의해 호스트되는 오퍼레이팅 시스템들, 이하 총칭하여 "게스트 OS"로 지칭함) 및 다른 소프트웨어("게스트 소프트웨어(312)" 및 "게스트 소프트웨어(322)"로 도시됨. 이하 총칭하여 "게스트 소프트웨어"로 지칭함)를 실행한다.
각 게스트 OS 및/또는 게스트 소프트웨어는 가상 머신이라기 보다 전용 컴퓨터에서 실행되는 것처럼 작동한다. 즉, 각 게스트 OS 및/또는 게스트 소프트웨어가 다양한 이벤트들을 제어하는 것을 기대할 수 있고, 호스트(100)의 하드웨어 자원들에의 액세스를 가질 수 있다. 각 VM내에서, 게스트 OS 및/또는 게스트 소프트웨어는 그것들이 사실상 호스트(300)의 물리적 하드웨어(네트워크 인터페이스 카드("NIC(350)")를 포함할 수 있는, "호스트 하드웨어(340)")에서 실행되는 것처럼 행동할 수 있다.
또한, AMT, ME 또는 PRL 방식이 가상화된 환경 내에서 구현될 수 있다는 것은 당업자들에게 쉽게 명백할 것이다. 예를 들면, VM(310)이 호스트 상에서 사용자 애플리케이션들을 구동시키는 한편, VM(320)은 호스트 상에서 AMT 파티션으로서 전용될 수 있다. 이러한 시나리오에서, 호스트는 다수의 프로세서를 포함할 수도 포함하지 않을 수도 있다. 만약 호스트가 두 개의 프로세서를 포함한다면, 예를 들면, VM(310)(및 호스트 상의 다른 VM들)은 메인 프로세서(205)의 자원들을 공유할 수 있는 한편 VM(320)은 전용 프로세서(215)를 할당받을 수 있다. 반면에, 호스트가 단일 프로세서만을 포함한다면, 프로세서는 두 VM들 모두를 서비스할 수 있지만, VM(320)은 VMM(330)이 협력하는 호스트 상의 다른 VM들로부터 여전히 격리될 수 있다. 단순함을 위해서, 본 발명의 실시예들은 가상화된 AMT 환경에서 기술되 지만, 본 발명의 실시예들은 그것으로 한정되지 않는다. 대신, "파티션", "보안 파티션", "보안 파티션" 및/또는 "관리 파티션"에 대한 임의의 참조는 (전술한 바와 같이) 임의의 물리적 및/또는 가상 파티션을 포함할 것이다.
도 4a 및 도 4b는 가상화된 AMT 환경에서 본 발명의 실시예를 예시한다. 예시된 바와 같이, 본 발명의 일 실시예에 따르면, 디바이스("노드(400)")는 사용자 OS("사용자 OS(410)")를 갖는 사용자 파티션("사용자 파티션(405)"), AMT("AMT(415)")로서 작용하고 LAA(Location Awareness Agent)(420)를 포함하는 보안 파티션, VMM(virtual machine monitor)(435) 및 AMT(415) 내에 상주하는 드라이버("NIC 드라이버(425)")를 갖는 LAN(local area network) 하드웨어/펌웨어("NIC(430)")를 포함할 수 있다. 이전에 진술된 바와 같이, 다음의 설명이 AMT를 가정하고 있지만, 본 발명의 실시예들은 그것으로 한정되지 않는다. 일 실시예에서, AMT(415)는 플랫폼의 보안을 강화시키기 위해 (물리적 분리, 가상 분리 또는 그들의 조합 중 어느 하나를 통하여) 사용자 OS(410)와 격리될 수 있다. 노드(400)는 위의 도 1에서 기술된 전형적인 토폴로지 내, 즉 기업 네트워크(100) 및/또는 외부 네트워크(150) 상에 상주할 수 있다.
본 발명의 실시예에 따르면, 노드(400)에 전력이 공급되고 정상 AMT 기능이 개시될 때 LAA(420)가 개시할 수 있다. 일단 활성화되면, LAA(420)는 사용자 OS(410)가 NIC 드라이버(425)에 액세스하는 것을 방지함으로써 사용자 OS(410)가 임의의 네트워크에 접속하는 것을 방지할 수 있다. 대신, LAA(420)는 먼저 노드(400)가 네트워크에 접속되어 있는지의 여부를 판정하고, 만약 접속되어 있다면 어떤 유형의 네트워크인지(예를 들면, 내부 또는 외부)를 판정한다. 그리하여, 일 실시예에서, LAA(420)가 활성화시 네트워크를 검출한다면, LAA(420)는 기업 네트워크(100) 내에만 존재하는 기반구조(infrastructure)에 접속하려고 시도할 수 있다. 접속할 기반구조의 선택이 구성 가능할 수 있고 도메인 컨트롤러, AMT 관리 서버 및/또는 기업 프리젠스 서버(corporate presence server)와 같은 요소들을 포함할 수 있다는 것은 본 기술분야의 당업자들에게 쉽게 명백할 것이다. 다른 실시예들에서, LAA(420)는 기업 네트워크(100) 내에 존재하는 공지된 임의의 다른 기반구조에 접속하려고 시도할 수 있다(예를 들면, 인텔 네트워크 내에서, LAA(420)는 특정한 네트워크 어드레스에 있는 인텔 특정 서버를 찾도록 구성될 수 있다).
만약 LAA(420)가 기업 네트워크(100) 상의 요소를 성공적으로 검출하면, LAA(420)는 (VMM(435)와 함께) 사용자 OS(405)가 기업(즉, 보안) 환경에 대한 보안 제어들의 구성가능한 세트로 개시할 수 있게 할 수 있다. 하나의 예에서, 보안 기업 환경을 위한 보안 제어들은 엄중한 방화벽 규칙들, 파일 공유 규칙들 등을 포함하지 않을 수 있다. 이러한 보안 제어들의 세트는 특정한 환경에 맞춰질 수 있다. 예를 들면, 만약 LAA(420)가 매우 보안 네트워크를 가리키는 네트워크 요소 A를 검출하면, LAA(420)는 최소의 규칙들을 갖는 보안 제어들의 특정한 세트를 선택할 수 있는 반면, LAA(420)가 네트워크 요소 A를 찾지 못하고 대신 덜 보안적인 네트워크를 나타내는 네트워크 요소 B를 찾는다면, LAA(420)는 보안 제어의 상이한 세트를 선택할 수 있다. 환언하면, 심지어 기업 환경 내에서도, 시스템 관리자는 디바이스가 그것의 보안 방식을 최적화할 수 있도록 하기 위해 구성 가능한 보안 제어들 의 다수의 세트를 유지하도록 택할 수 있다. 그리하여, 본 발명의 실시예들은 관리자가 검출된 위치에 따라 디바이스들에 대한 보안 방식들을 미세 조정(fine tune)할 수 있게 한다.
일 실시예에서, LAA(420)가 네트워크를 검출하지만 기업 네트워크(100) 상의 요소에 접속하는 데 실패한다면, LAA(420)는 노드(400)가 기업 네트워크 밖, 즉 외부 네트워크(150) 상에 있다고 판정할 수 있다. 그후 LAA(420)는 사용자 OS(405)가 비보안 환경에 대해 구성된 보안 제어들의 세트로 개시할 수 있게 할 수 있다. 보안 제어들의 그러한 세트의 예는 방화벽 액세스 및/또는 파일 공유에 대한 제한들을 포함할 수 있다. 환언하면, 만약 디바이스가 비보안 위치에 있다면, 시스템 관리자는 기업 내로부터 데이터에 액세스하는 디바이스 사용자의 능력을 제한하도록 택할 수 있다.
위의 실시예는 노드(400)가 특정한 환경에서 시작하는 상황을 기술한다. 다른 실시예에서는, 노드(400)는 하나의 환경에서 시작하고 상이한 환경으로 이동할 수 있다. LAA(420)는 네트워크 상태에 대한 임의의 변화에 대해 NIC(430)를 계속하여 감시하도록 구성될 수 있다. 만약 상태에 대한 변화가 발생하면, LAA(420)는 네트워크가 여전히 존재하는지의 여부(즉, 디바이스가 네트워크에 여전히 접속되어 있는지의 여부)를 판정하기 위해 전술된 프로세스를 반복할 수 있고, 만약 그렇다면, 그것이 기업 네트워크 내에 있는지 또는 외부 네트워크 상에 있는지를 판정할 수 있다.
예로서, 만약 노드(400)가 기업 네트워크(100) 내에서 시작하고 외부 네트워 크(150)로 간다면, LAA(420)는 네트워크 상태에 대한 변화를 검출하고 위의 네트워크 식별 프로세스를 반복할 수 있다. 일 실시예에서, LAA(420)가 노드(400)가 외부 네트워크(150)상에 존재한다고 판정하는 경우, LAA(420)는 비보안 환경에 대해 구성된 보안 제어의 세트로 새로운 파티션("새로운 사용자 파티션(450)")을 시동할 수 있다(도 4b에 도시됨). 다음에, LAA(420) 및 VMM(435)은, 사용자에 대해 투명하며, 사용자의 실행 환경을 (보안 파티션을 위한 보안 제어하에 있는) 사용자 파티션(405)으로부터 더욱 엄격한 보안 제어들을 실행하는 새로운 사용자 파티션(450)으로 이전한다. 다음에 VMM(435)은 사용자 파티션(405)을 계속 유지하거나 또는 종료할 수 있다. 시스템 관리자가 특정 디바이스가 빈번하게 기업 네트워크(100)와 외부 네트워크(150) 사이를 돌아다니고 있음을 인식한 경우, 예를 들면, 추후 노드(400)가 기업 네트워크(100)로 돌아왔을 때 사용할 목적으로 사용자 파티션(405)을 유지하도록 VMM(435)을 구성할 수 있다(이하 상세히 기술함).
일 실시예에서, 노드(400)는 외부 네트워크(150) 상에서 시동하여, 기업 네트워크(100)로 이동하거나, 또는, 전술한 경우에서, 간단히 기업 네트워크(100)로 돌아갈 수 있다. 이 실시예에 따르면, LAA(420)는 다시 한번 네트워크 상태의 변화를 검출하여, 전술한 네트워크 식별 프로세스를 반복할 수 있다. 다시 한번 노드(400)가 보안 환경 내에서 동작하고 있음을 검출하면, LAA(420) 및 VMM(435)은 보안 환경을 위한 보안 제어로 새로운 파티션을 시동하여, 사용자의 실행 환경을 새로운 VM으로 이동시킬 수 있다. 대안적으로, VMM(435)이 전술한 바와 같이 VM(405)을 계속 유지하고 있다면, VMM(435)은 간단히 사용자의 실행 환경을 VM(405)으로 다시 이전시킬 수 있다(따라서, 새로운 파티션을 시동하는 것과 관련된 시동 비용을 회피할 수 있다).
본 발명의 실시예에 따르면, 노드(400)의 위치에 기초하여, 시스템 관리자는 데이터 액세스에 대해 다양한 보안 레벨들을 규정할 수 있다. 따라서, 예를 들어, 노드(400)가 기업 네트워크(100) 상에 존재한다고 판정되면, 사용자에게 플랫폼상의 모든 데이터를 제한 없이 액세스하는 것을 허용할 수 있다. 그러나, 노드(400)가 외부 네트워크(150)상에 존재한다고 판정되면, VMM(435)은 비보안 환경들에 대한 보안 제어들을 구현하는 파티션(예를 들어, 새로운 사용자 파티션(450))을 통해서만 특정 타입의 데이터를 액세스하는 것을 허용할 수 있다. 즉, 사용자가 보안 환경에 있을 경우, 사용자는 제한 없이 플랫폼상의 모든 데이터를 액세스할 수 있으나, 사용자가 비보안 환경으로 이동한다면, 본 발명의 실시예들에서는 전술한 보안 위치 인식 방식을 이용하여 데이터 액세스를 제한할 수 있다.
예로서, 노드(400)가 기업 네트워크(100)로부터 외부 네트워크(150)로 이동하는 전술한 시나리오에서, LAA(420)는 앞서 기술된 바와 같이 네트워크 상태의 변화를 검출할 수 있다. 본 발명의 일 실시예에 따르면, 노드(400)가 현재 비보안 네트워크 내에서 실행되고 있고, 보안 제어의 상이한 세트로 새로운 파티션을 시동하고 있음을 검출하면, LAA(420) 및 VMM(435)은 그 새로운 파티션에 의해 액세스가능한 데이터를 부가적으로 제한할 수 있다. 그러므로, 전술한 새로운 사용자 파티션(450)은 비보안 환경에 맞는 보안 제어의 상이한 세트를 포함하기만 하는 것이 아니라, 부가적으로 데이터 제약들까지 포함할 수 있어서 노드(400) 상의 임의의 데이터 타입을 보호할 수 있다. 본 기술분야의 당업자라면, 데이터 제약들이 본 발명의 실시예들의 사상으로부터 벗어나지 않고 다양한 방식으로 구현될 수 있음을 쉽게 이해할 것이다. 일 실시예에서, 예를 들어, LAA(420) 및 VMM(435)는 노드(400) 상의 모든 데이터에 액세스하여 사용자 파티션(405)을 간단히 유지할 수 있지만, 새로운 사용자 파티션(450)이 실행 중인 동안에는 사용자 파티션(405)에의 네트워크 액세스를 불가능하게 한다. 따라서, 본 발명의 각종 실시예들은 전술한 위치 인식 보안 방식을 이용하여, 노드(400)의 위치에 기초해서 데이터에의 액세스를 제한할 수 있다.
상기 설명이 가상화된 플랫폼을 가정하였지만, 앞서 기술된 바와 같이, 본 발명의 실시예들은 다양한 보안 파티션 타입을 지원한다. 본 기술분야의 당업자라면, 각 플랫폼에 특정한 특징들이 본 발명의 실시예들을 개선하는데 이용될 수 있음을 쉽게 이해할 것이다. 예를 들어, Intel®Corporation의 Core 2 Duo®와 같은 다중 코어 플랫폼 상에서, 파티션은 플랫폼 상에 존재하는 많은 코어들 중 하나를 포함할 수 있다. 본 실시예에 따르면, 플랫폼 상의 코어들 중 하나가 위치 인식 에이전트를 실행하는데 전용일 수 있으므로, 플랫폼 상에서 실행되는 다른 파티션들 및/또는 애플리케이션들로부터 그 에이전트를 격리시킬 수 있다. 또 다른 실시예에서, 위치 인식 에이전트(Location Awareness Agent)는 플랫폼 상의 물리 AMT 파티션 내에서 구현될 수 있다. 파티션의 타입(물리 또는 가상)에 무관하게, 본 발명의 실시예들은 네트워크로부터 플랫폼을 격리시킬 수 있고, 및/또는 플랫폼에 대한 보안 제어들을 구현할 수 있는 위치 인식 에이전트를 이용하여, 플랫폼 보안 및 성능을 최적화할 수 있다.
도 5는 본 발명의 실시예를 도시하는 순서도이다. 다음 동작들이 순차적 프로세스로서 설명될 수 있지만, 사실상 많은 동작들이 병렬로 및/또는 동시에 수행될 수도 있다. 또한, 동작들의 순서는 본 발명의 실시예들의 사상으로부터 벗어나지 않고 재배열될 수 있다. 501에서, 디바이스에서 시동할 시, 위치 인식 에이전트는 디바이스의 네트워크 상태를 모니터링하기 시작할 수 있다. 502에서 네트워크 상태에 어떤 변화도 검출되지 않으면, 위치 인식 에이전트는 간단히 디바이스의 네트워크 상태를 계속해서 모니터링할 수 있다. 그러나, 만일, 502에서 네트워크 상태에 변화가 검출되면, 503에서 위치 인식 에이전트는 디바이스 상의 NIC가 네트워크에 접속되어 있는지의 여부를 판정할 수 있다. NIC가 네트워크에 접속되어 있지 않으면, (네트워크 접속의 끊김은 네트워크 보안 관계사항들을 없애기 때문에) 위치 인식 에이전트는 504에서 디바이스 상의 사용자 파티션 내의 오퍼레이팅 시스템이 임의의 보안 제어 없이도 시동될 수 있게 한다. 본 실시예에서, 사용자는 디바이스 상의 모든 데이터에 액세스할 수 있다.
그러나, 만일, NIC가 503에서 네트워크에 접속되어 있으면, 위치 인식 에이전트는 505에서 기업 네트워크 내의 각종 기반구조 요소들과 접촉하려고 시도할 수 있다. 위치 인식 에이전트가 505에서 임의의 기업 기반구조 요소에 접속할 수 없다면, 위치 인식 에이전트는 실행되는 보안 제어들의 타입을 판정하기 위해 사용자 파티션을 검사할 수 있다. 사용자 파티션에서 실행되고 있는 보안 제어가 보안 파티션을 위해 설계되어 있다면, 위치 인식 에이전트는 507에서 사용자 파티션이 네 트워크에 접속할 수 있게 할 수 있다. 본 실시예에 따르면, 위치 인식 에이전트는 데이터에의 네트워크 액세스를 불가능하게 하거나 또는 제한함으로써 사용자 파티션 내의 데이터에 대한 액세스에 제약들을 추가적으로 부가할 수 있다.
그러나, 보안 제어들이 비보안 환경에 대하여 맞춰진 경우, 위치 인식 에이전트는 508에서 적절한 액션 코스를 판정할 수 있다. 위치 인식 에이전트는, 예를 들어, 보다 엄격한 보안 제어를 갖는 새로운 파티션을 개시할 수 있고, 509에서, 에이전트 및 가상 머신 관리자는 사용자의 실행 환경을 새로운 파티션으로 이전할 수 있다. 일 실시예에서, 에이전트 및 가상 머신 관리자는 또한 사용자 파티션에서의 데이터에의 액세스를 제한할 수 있고 그 데이터를 새로운 파티션에서 액세스할 수 없게 만들 수 있다. 높은 보안 제어들을 갖는 새로운 파티션으로 이전되면, 위치 인식 에이전트는 510에서, 새로운 파티션이 네트워크에 접속할 수 있게 한다. 이 기술 분야의 당업자들에게는, 대안적인 실시예들에서 위치 인식 에이전트가 본 발명의 실시예들의 사상에서 벗어나지 않고 다양한 다른 액션 코스를 구현할 수 있다는 것이 쉽게 명백할 것이다.
505에서, 위치 인식 에이전트가 하나 이상의 기업 기반구조 요소들에 접속할 수 있는 경우, 511에서, 에이전트는 디바이스가 높은 보안 제어들을 실행하고 있는지 판정한다. 그렇지 않다면, 위치 인식 에이전트 및 가상 머신 관리자는 512에서, 그 파티션이 507에서 네트워크에 접속하는 것을 가능하게 할 수 있다. 그러나, 디바이스가 높은 보안 제어들을 실행하고 있다면, 위치 인식 에이전트는 513에서, 적절한 액션 코스를 판정할 수 있다. 따라서, 예를 들어, 일 실시예에서, 위 치 인식 에이전트는 높은 보안 제어들을 갖는 파티션을 종료할 수 있고, 514에서, (높은 보안 제어들은 기업 네트워크 내에서 동작하는 동안 디바이스에 대해서는 불필요하기 때문에) 사용자 실행 환경을 덜 높은 보안 제어들을 실행하는 파티션으로 이전할 수 있다. 또한, 일 실시예에서, 위치 인식 에이전트는 사용자 파티션 내의 데이터에 대해 제한을 부가할 수 있다.
일 실시예에서, 덜 높은 보안 제어들을 실행시키는 파티션은, 디바이스가 기업 네트워크로부터 외부 네트워크로 처음 이동했을 때 가상 머신 관리자가 계속하여 유지한 주 파티션일 수 있다. 대안적인 실시예에서, 위치 인식 에이전트는 사용자의 실행 환경을 이전하기 전에 덜 높은 보안을 갖는 주 파티션을 시동시킬 수 있다. 이 기술 분야의 당업자들에게는 위치 인식 에이전트가 본 발명의 실시예들의 사상을 벗어나지 않고 다양한 액션들을 취할 수 있다는 것이 쉽게 명백할 것이다.
본 발명의 실시예들에 따른 컴퓨팅 플랫폼들은 다양한 컴퓨팅 디바이스들 상에서 구현될 수 있다. 실시예에 따르면, 컴퓨팅 디바이스는 하나 이상의 프로세서와 같은 다양한 기타 공지된 컴포넌트들을 포함할 수 있다. 프로세서(들) 및 머신-액세스 가능한 매체는 브리지/메모리 컨트롤러를 이용하여 통신적으로 연결될 수 있고, 프로세서는 머신-액세스 가능한 매체에 저장된 명령어들을 실행시킬 수 있다. 브리지/메모리 컨트롤러는 그래픽 컨트롤러에 연결될 수 있고, 그래픽 컨트롤러는 디스플레이 디바이스 상의 디스플레이 데이터의 출력을 제어할 수 있다. 브리지/메모리 컨트롤러는 하나 이상의 버스에 연결될 수 있다. 이러한 요소들의 하 나 이상은 단일 패키지 상에서 또는 다수 패키지들이나 다이들을 이용하여 프로세서와 함께 집적될 수 있다. USB(Universal Serial Bus) 호스트 컨트롤러와 같은 호스트 버스 컨트롤러는 버스(들)에 연결될 수 있고, 복수의 디바이스는 USB에 연결될 수 있다. 예를 들어, 키보드 및 마우스와 같은 사용자 입력 디바이스들은 입력 데이터를 제공하기 위해 컴퓨팅 디바이스 내에 포함될 수 있다. 대안적인 실시예들에서, 호스트 버스 컨트롤러는 PCI, PCI Express, FireWire 및 기타 현존하는 그리고 미래의 표준들을 포함하는 다양한 기타 상호접속 표준들과 호환될 수 있다.
전술한 명세서에서, 본 발명은 그의 특정한 예시적인 실시예들을 참조하여 기술되었다. 그러나, 첨부된 특허청구범위에 정의된 본 발명의 더 넓은 사상 및 범위로부터 벗어나지 않고 다양한 변경 및 수정이 이루어질 수 있다는 것을 알 것이다. 따라서, 명세서 및 도면은 한정적이라기보다는 예시로서 간주되어야 한다.
본 발명은 유사한 참조 부호들이 유사한 요소들을 지시하는 첨부 도면들의 형태들로 예시되는 것일 뿐 그것으로 제한되지 않는다.
도 1은 전형적인 무선 네트워크 토폴로지를 예시한다.
도 2는 일 예의 AMT 환경을 도시한다.
도 3은 일 예의 가상 머신 호스트를 도시한다.
도 4a 및 도 4b는 본 발명의 실시예의 컴포넌트들을 개념적으로 예시한다.
도 5는 본 발명의 실시예를 예시하는 순서도이다.
<도면의 주요 부분에 대한 부호의 설명>
150: 외부 네트워크
100: 기업 네트워크
125: 노드
175: 방화벽
200, 300, 400: 호스트
205: 메인 프로세서
210: 호스트 OS
215: 전용 프로세서
225: 메인 메모리
230: 전용 메모리
250: 하드웨어
305: 메인 프로세서
312, 322, 413, 412: 게스트 SW
311, 321: 게스트 OS
330, 435: 가상 머신 모니터("VMM")
340: 호스트 하드웨어
405: 사용자 파티션
414, 410: 사용자 OS
420: 위치 인식 에이전트
425: NIC 드라이버
450: 새로운 사용자 파티션

Claims (14)

  1. 보안 위치 인식 플랫폼을 가능하게 해주는 방법으로서,
    디바이스의 네트워크 상태의 변화를 동적으로 식별하는 단계 - 상기 디바이스는 보안 파티션(secure partition) 및 사용자 파티션(user partition)을 포함하며, 상기 보안 파티션은 위치 인식 에이전트(location awareness agent)를 포함함 - ;
    상기 위치 인식 에이전트가, 상기 디바이스가 네트워크에 접속되어 있는지의 여부를 판정하는 단계;
    상기 디바이스가 상기 네트워크에 접속되어 있는 경우, 상기 위치 인식 에이전트가, 상기 네트워크가 보안성이 있는지의 여부를 판정하는 단계;
    상기 네트워크가 보안성이 있는 경우, 상기 위치 인식 에이전트가, 상기 사용자 파티션 내의 오퍼레이팅 시스템에 대하여, 상기 오퍼레이팅 시스템이 상기 네트워크에 액세스 가능하기 이전에, 제1 세트의 보안 제어를 적용하는 단계; 및
    상기 네트워크가 보안성이 없는 경우, 상기 위치 인식 에이전트가, 상기 사용자 파티션 내의 상기 오퍼레이팅 시스템에 대하여, 상기 오퍼레이팅 시스템이 상기 네트워크에 액세스 가능하기 이전에, 제2 세트의 보안 제어를 적용하는 단계 - 상기 제1 세트의 보안 제어는 상기 제2 세트의 보안 제어와는 상이하며, 상기 제2 세트의 보안 제어는 상기 제1 세트의 보안 제어보다 적어도 하나 많은 제한을 부가함 -
    를 포함하는, 보안 위치 인식 플랫폼을 가능하게 해주는 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 네트워크가 보안성이 있는지의 여부를 판정하는 단계는, 공지의 네트워크 기반구조 요소(infrastructure element)들에 접속을 시도하는 단계를 더 포함하는, 보안 위치 인식 플랫폼을 가능하게 해주는 방법.
  4. 제1항에 있어서,
    상기 제1 세트의 보안 제어는 상기 사용자 파티션이 상기 디바이스 상의 데이터를 액세스할 수 있게 하며, 상기 제2 세트의 보안 제어는 상기 사용자 파티션이 상기 디바이스 상의 상기 데이터의 적어도 일부를 액세스하는 것을 제한하는, 보안 위치 인식 플랫폼을 가능하게 해주는 방법.
  5. 제1항에 있어서,
    상기 보안 파티션은 AMT(Active Management Technologies), ME (Manageability Engine), PRL(Platform Resource Layer), VM(Virtual Machine) 및 독립 프로세서 코어 중 적어도 하나인, 보안 위치 인식 플랫폼을 가능하게 해주는 방법.
  6. 제1항에 있어서,
    상기 디바이스는 무선 디바이스인, 보안 위치 인식 플랫폼을 가능하게 해주는 방법.
  7. 보안 위치 인식 플랫폼을 가능하게 해주는 컴퓨팅 디바이스로서,
    네트워크 인터페이스 카드;
    상기 네트워크 인터페이스 카드에 연결되는 사용자 파티션;
    상기 네트워크 인터페이스 카드 및 상기 사용자 파티션에 연결되는 보안 파티션 - 상기 보안 파티션은 상기 사용자 파티션에 의한 상기 네트워크 인터페이스 카드의 액세스를 관리함 - ;
    상기 보안 파티션 및 상기 사용자 파티션에 연결되는 위치 인식 에이전트 - 상기 위치 인식 에이전트는 상기 컴퓨팅 디바이스가 네트워크에 접속되어 있는지의 여부를 동적으로 판정할 수 있으며, 상기 컴퓨팅 디바이스가 상기 네트워크에 접속되어 있는 경우, 상기 위치 인식 에이전트는 상기 네트워크가 보안성이 있는지의 여부를 판정할 수 있으며, 상기 네트워크가 보안성이 있는 경우, 상기 위치 인식 에이전트는, 상기 사용자 파티션 내의 오퍼레이팅 시스템에 대하여, 상기 오퍼레이팅 시스템이 상기 네트워크에 액세스 가능하기 이전에, 제1 세트의 보안 제어를 적용할 수 있고, 상기 네트워크가 보안성이 없는 경우, 상기 위치 인식 에이전트는, 상기 사용자 파티션 내의 상기 오퍼레이팅 시스템에 대하여, 상기 오퍼레이팅 시스템이 상기 네트워크에 액세스 가능하기 이전에, 제2 세트의 보안 제어를 적용할 수 있음 - ; 및
    상기 보안 파티션 및 상기 사용자 파티션에 연결되는 저장 영역 - 상기 저장 영역은 상기 보안 파티션 및 상기 사용자 파티션에 의해 액세스 가능한 데이터를 포함하고, 상기 제1 세트의 보안 제어 및 상기 제2 세트의 보안 제어는 상기 사용자 파티션에 의한 상기 데이터에의 액세스에 대해 제한들을 부가하며, 상기 제2 세트의 보안 제어는 상기 제1 세트의 보안 제어보다 액세스에 대해 적어도 하나 많은 제한을 부가함 -
    을 포함하는, 보안 위치 인식 플랫폼을 가능하게 해주는 컴퓨팅 디바이스.
  8. 삭제
  9. 제7항에 있어서,
    상기 보안 파티션은, AMT(Active Management Technologies), ME (Manageability Engine), PRL(Platform Resource Layer), VM(Virtual Machine) 파티션 및 독립 프로세서 코어 중 적어도 하나인, 보안 위치 인식 플랫폼을 가능하게 해주는 컴퓨팅 디바이스.
  10. 보안 위치 인식 플랫폼을 가능하게 해주는, 명령어들이 저장된 머신 액세스 가능한 매체를 포함하는 물품으로서,
    상기 명령어들은, 머신(machine)에 의해 실행될 때, 상기 머신으로 하여금,
    디바이스의 네트워크 상태의 변화를 동적으로 식별하고 - 상기 디바이스는 보안 파티션 및 사용자 파티션을 포함함 - ,
    상기 디바이스가 네트워크에 접속되어 있는지의 여부를 판정하고,
    상기 디바이스가 상기 네트워크에 접속되어 있는 경우, 상기 네트워크가 보안성이 있는지의 여부를 판정하고,
    상기 네트워크가 보안성이 있는 경우, 상기 사용자 파티션 내의 오퍼레이팅 시스템에 대하여, 상기 오퍼레이팅 시스템이 상기 네트워크에 액세스 가능하기 이전에, 제1 세트의 보안 제어를 적용하고,
    상기 네트워크가 보안성이 없는 경우, 상기 사용자 파티션 내의 상기 오퍼레이팅 시스템에 대하여, 상기 오퍼레이팅 시스템이 상기 네트워크에 액세스 가능하기 이전에, 제2 세트의 보안 제어 - 상기 제1 세트의 보안 제어는 상기 제2 세트의 보안 제어와는 상이하며, 상기 제2 세트의 보안 제어는 상기 제1 세트의 보안 제어보다 적어도 하나 많은 제한을 부가함 - 를 적용하게 하는
    명령어들이 저장된 머신 액세스 가능한 매체를 포함하는 물품.
  11. 삭제
  12. 제10항에 있어서,
    상기 명령어들은, 머신에 의해 실행될 때, 상기 머신으로 하여금, 공지의 네트워크 기반구조 요소들에 접속을 시도하는 것에 의해, 상기 네트워크가 보안성이 있는지의 여부를 판정하게 하는, 명령어들이 저장된 머신 액세스 가능한 매체를 포함하는 물품.
  13. 제10항에 있어서,
    상기 제1 세트의 보안 제어는, 상기 사용자 파티션이 상기 디바이스 상의 데이터를 액세스할 수 있게 하며, 상기 제2 세트의 보안 제어는, 상기 사용자 파티션이 상기 디바이스 상의 상기 데이터의 적어도 일부를 액세스하는 것을 제한하는, 명령어들이 저장된 머신 액세스 가능한 매체를 포함하는 물품.
  14. 제10항에 있어서,
    상기 디바이스는 무선 디바이스인, 명령어들이 저장된 머신 액세스 가능한 매체를 포함하는 물품.
KR1020070104514A 2006-10-17 2007-10-17 보안 위치 인식 플랫폼을 가능하게 해주는 방법, 장치, 및시스템 KR100938521B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/583,394 2006-10-17
US11/583,394 US8024806B2 (en) 2006-10-17 2006-10-17 Method, apparatus and system for enabling a secure location-aware platform

Publications (2)

Publication Number Publication Date
KR20080034810A KR20080034810A (ko) 2008-04-22
KR100938521B1 true KR100938521B1 (ko) 2010-01-25

Family

ID=39110819

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070104514A KR100938521B1 (ko) 2006-10-17 2007-10-17 보안 위치 인식 플랫폼을 가능하게 해주는 방법, 장치, 및시스템

Country Status (5)

Country Link
US (2) US8024806B2 (ko)
EP (1) EP1914956A1 (ko)
JP (1) JP4805238B2 (ko)
KR (1) KR100938521B1 (ko)
CN (2) CN101257413B (ko)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8126999B2 (en) 2004-02-06 2012-02-28 Microsoft Corporation Network DNA
US8024806B2 (en) 2006-10-17 2011-09-20 Intel Corporation Method, apparatus and system for enabling a secure location-aware platform
US20080271150A1 (en) * 2007-04-30 2008-10-30 Paul Boerger Security based on network environment
GB2460275B (en) 2008-05-23 2012-12-19 Exacttrak Ltd A Communications and Security Device
US9626511B2 (en) 2008-08-26 2017-04-18 Symantec Corporation Agentless enforcement of application management through virtualized block I/O redirection
US20100107240A1 (en) 2008-10-24 2010-04-29 Microsoft Corporation Network location determination for direct access networks
KR101540798B1 (ko) * 2008-11-21 2015-07-31 삼성전자 주식회사 가상화 환경에서 보안 정보를 제공하기 위한 장치 및 방법
JP5310083B2 (ja) * 2009-02-25 2013-10-09 日本電気株式会社 ストレージ装置
US20110055891A1 (en) * 2009-08-26 2011-03-03 Rice Christopher T Device security
GB2479916A (en) * 2010-04-29 2011-11-02 Nec Corp Access rights management of locally held data based on network connection status of mobile device
KR101225903B1 (ko) * 2010-07-29 2013-01-24 삼성에스디에스 주식회사 클라이언트 하이퍼바이저 기반의 사용자 단말장치 및 그의 가상머신 상의 파일 암복호화 방법, 그리고 이를 포함하는 가상머신 상의 파일 암복호화 시스템
US20120174237A1 (en) * 2010-12-31 2012-07-05 Openpeak Inc. Location aware self-locking system and method for a mobile device
WO2013048389A1 (en) * 2011-09-28 2013-04-04 Intel Corporation Techniques for dynamic enpoint secure location awareness
WO2013070222A1 (en) * 2011-11-10 2013-05-16 Intel Corporation Apparatus, system, and method for protecting electronic devices in a virtual perimeter
CN102739645B (zh) * 2012-04-23 2016-03-16 杭州华三通信技术有限公司 虚拟机安全策略的迁移方法及装置
US20150208195A1 (en) * 2014-01-20 2015-07-23 Safe Frontier Llc Method and apparatus for out of band location services
MY187539A (en) * 2014-09-22 2021-09-28 Mimos Berhad System and method to provide integrity verification for active management technology (amt) application in a remote platform
CN104866772A (zh) * 2015-05-07 2015-08-26 中国科学院信息工程研究所 一种基于物理环境感知的计算机访问控制方法及系统
US11010475B1 (en) * 2016-10-07 2021-05-18 Janus Technologies Inc. Secure computer with multiple operating systems
CN109062761A (zh) * 2018-07-26 2018-12-21 郑州云海信息技术有限公司 一种服务器状态管理方法、装置及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040104679A (ko) * 2002-04-30 2004-12-10 코닌클리케 필립스 일렉트로닉스 엔.브이. 무선 통신망 접속 가능성 자동-검출
KR20050024368A (ko) * 2002-07-29 2005-03-10 메시네트웍스, 인코포레이티드 무선 네트워크에 있어서 노드의 인증 확인 시에 노드의물리적 위치를 결정하기 위한 시스템 및 방법
US20050195778A1 (en) 2003-09-05 2005-09-08 Bergs Magnus H. Method and device for setting up connections between communication terminals and data and/or communication networks having wireless transmission links, such as, for example, wireless local area networks (WLAN) and/or mobile telephone networks, and a corresponding computer program and a corresponding computer-readable storage medium

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1488333B1 (en) * 2002-03-01 2010-10-06 Enterasys Networks, Inc. Location aware data network
JP2003283589A (ja) * 2002-03-27 2003-10-03 Nippon Telegr & Teleph Corp <Ntt> ネットワーク接続装置、ネットワーク接続方法およびプログラム
JP2003316650A (ja) * 2002-04-18 2003-11-07 Internatl Business Mach Corp <Ibm> コンピュータ装置、携帯情報機器、セキュリティ切り替え方法、およびプログラム
JP2004021923A (ja) * 2002-06-20 2004-01-22 Matsushita Electric Ind Co Ltd 情報処理装置と情報処理方法
US7146640B2 (en) 2002-09-05 2006-12-05 Exobox Technologies Corp. Personal computer internet security system
US7526800B2 (en) * 2003-02-28 2009-04-28 Novell, Inc. Administration of protection of data accessible by a mobile device
JP2004265286A (ja) 2003-03-04 2004-09-24 Fujitsu Ltd 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理
US7505596B2 (en) * 2003-12-05 2009-03-17 Microsoft Corporation Automatic detection of wireless network type
US7401230B2 (en) 2004-03-31 2008-07-15 Intel Corporation Secure virtual machine monitor to tear down a secure execution environment
US8479193B2 (en) 2004-12-17 2013-07-02 Intel Corporation Method, apparatus and system for enhancing the usability of virtual machines
US7765544B2 (en) 2004-12-17 2010-07-27 Intel Corporation Method, apparatus and system for improving security in a virtual machine host
US7565685B2 (en) 2005-11-12 2009-07-21 Intel Corporation Operating system independent data management
US7693838B2 (en) 2005-11-12 2010-04-06 Intel Corporation Method and apparatus for securely accessing data
US7886351B2 (en) * 2006-06-19 2011-02-08 Microsoft Corporation Network aware firewall
US7814531B2 (en) * 2006-06-30 2010-10-12 Intel Corporation Detection of network environment for network access control
US8453197B2 (en) 2006-09-07 2013-05-28 Intel Corporation Method, apparatus and system for isolating a temporary partition on a host
US8024806B2 (en) 2006-10-17 2011-09-20 Intel Corporation Method, apparatus and system for enabling a secure location-aware platform

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040104679A (ko) * 2002-04-30 2004-12-10 코닌클리케 필립스 일렉트로닉스 엔.브이. 무선 통신망 접속 가능성 자동-검출
KR20050024368A (ko) * 2002-07-29 2005-03-10 메시네트웍스, 인코포레이티드 무선 네트워크에 있어서 노드의 인증 확인 시에 노드의물리적 위치를 결정하기 위한 시스템 및 방법
US20050195778A1 (en) 2003-09-05 2005-09-08 Bergs Magnus H. Method and device for setting up connections between communication terminals and data and/or communication networks having wireless transmission links, such as, for example, wireless local area networks (WLAN) and/or mobile telephone networks, and a corresponding computer program and a corresponding computer-readable storage medium

Also Published As

Publication number Publication date
US8393000B2 (en) 2013-03-05
CN101257413A (zh) 2008-09-03
JP4805238B2 (ja) 2011-11-02
CN102281297B (zh) 2014-06-18
CN101257413B (zh) 2011-10-05
US20110302658A1 (en) 2011-12-08
KR20080034810A (ko) 2008-04-22
CN102281297A (zh) 2011-12-14
US20080092236A1 (en) 2008-04-17
US8024806B2 (en) 2011-09-20
JP2008243178A (ja) 2008-10-09
EP1914956A1 (en) 2008-04-23

Similar Documents

Publication Publication Date Title
KR100938521B1 (ko) 보안 위치 인식 플랫폼을 가능하게 해주는 방법, 장치, 및시스템
JP5978365B2 (ja) 仮想環境においてネットワークアクセス制御を行うシステムおよび方法
US9830430B2 (en) Inherited product activation for virtual machines
Berger et al. TVDc: managing security in the trusted virtual datacenter
US8707417B1 (en) Driver domain as security monitor in virtualization environment
US11122129B2 (en) Virtual network function migration
Heiser Hypervisors for consumer electronics
JP5837683B2 (ja) ネットワークのセグメント化によるネイティブクラウドコンピューティング
US10735452B2 (en) Virtual machine compliance checking in cloud environments
US10325116B2 (en) Dynamic privilege management in a computer system
US20180268133A1 (en) Systems and methods for generating policies for an application using a virtualized environment
US9824225B1 (en) Protecting virtual machines processing sensitive information
EP3516841B1 (en) Remote computing system providing malicious file detection and mitigation features for virtual machines
Alouane et al. Virtualization in Cloud Computing: Existing solutions and new approach
US20220229916A1 (en) Dynamic privilege management in a computer system
US20230177148A1 (en) Liveness guarantees in secure enclaves using health tickets
CN108241801B (zh) 处理系统调用的方法和装置
Arab Virtual machines live migration
CN110348221B (zh) 双体系结构的可信计算平台的构建方法及可信计算平台
Jyothsna Virtualization Layer Security in Cloud Architecture

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130104

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140103

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20141230

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160104

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170102

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180103

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190103

Year of fee payment: 10