KR20070084258A

KR20070084258A - 원하지 않은 상태의 검출시에 진입되는 특수한 ｐｃ 모드

Info

Publication number: KR20070084258A
Application number: KR1020077011074A
Authority: KR
Inventors: 알렉산더 프랭크; 토마스 지. 필립스; 마틴 에이치. 홀; 커트 앤드류 스티브; 제임스 에스. 두푸스; 장웨이 수; 이삭 피. 아도트; 니콜라스 템플; 라자고팔 벤카타사램
Original assignee: 마이크로소프트 코포레이션
Priority date: 2004-11-15
Filing date: 2005-11-12
Publication date: 2007-08-24
Also published as: WO2006055420A2; JP2008521089A; WO2006055420A3; US8176564B2; US20060107329A1; MX2007005655A; BRPI0518914A2; EP1815639A2; EP1815639A4

Abstract

컴퓨터, 특히 페이-퍼-유즈 컴퓨터를 감시하기 위한 시스템 및 방법은 고립형 컴퓨팅 환경 또는 슈퍼바이저를 이용한다. 고립형 컴퓨팅 환경은 운영 체제와 연관된 임의의 부트 장치 전에 부팅하고, 운영 체제와 동시에 실행되어 동작 중의 컴퓨터를 감시 및 측정한다. 고립형 컴퓨팅 환경이, 컴퓨터가 요구되는 정책들에 순응하지 않는다고 일단 판정하면, 고립형 컴퓨팅 환경은 클럭 스피드를 느리게 하는 것과 같은 사용에 대한 장애를 부과하거나 운영 체제를 완전히 비활성화시킬 수 있다. 사용자는 이러한 위반 상태로부터 컴퓨터를 복구하고 컴퓨터를 동작 상태로 리셋하기 위하여 컴퓨터를 서비스 제공자에게 반환해야만 할 것이다.

슈퍼바이저, 고립형 컴퓨팅 환경

Description

원하지 않은 상태의 검출시에 진입되는 특수한 ＰＣ 모드{SPECIAL PC MODE ENTERED UPON DETECTION OF UNDESIRED STATE}

본 출원은 2004년 11월 15일자 미국특허출원 제10/989122호의 CIP 출원인 2004년 12월 8일자 제11/006837호의 CIP 출원인 2004년 12월 22일자 제11/022493호의 CIP 출원이다.

운영 체제는 컴퓨팅 시스템의 개발에서 핵심적인 구성 블럭이다. 퍼스널 컴퓨터가 보급되고 난 후의 수십년에 걸쳐서, 운영 체제는 그 복잡도를 실질적으로 증가시켜 왔다. 상당한 수의 컴퓨터 애플리케이션들에 역호환가능하면서도 높은 수준의 내탬퍼(tamper-resistance) 보장을 이루기에 충분할만큼 보안성이 있는 컴퓨터 운영 체제의 개발은 극히 힘이 드는 것이다. 그러나, 페이-퍼-유즈(pay-per-use) 또는 페이-애즈-유-고(pay-as-you-go) 컴퓨팅을 위한 새로운 비지니스 모델은 높은 수준의 내탬퍼 보장을 필요로 한다.

<발명의 개요>

페이-퍼-유즈 비지니스 모델에서 사용되도록 적응된 컴퓨터는 컴퓨터의 성능은 물론, 사용 정책들의 집합에 대한 순응(compliance)을 감시 및 측정하기 위하여 슈퍼바이저(supervisor) 또는 고립형 컴퓨팅 환경(isolated computing environment)을 사용할 수 있다. 고립형 컴퓨팅 환경은 보안 메모리, 보안 처리 능력 및 암호 능력을 가질 수 있다. 운영 체제과 같이, 컴퓨터에 비보안 컴퓨팅 능력을 도입하기 전에 보안 컴퓨팅 베이스를 수립하기 위하여, 고립형 컴퓨팅 환경은 다른 부트 디바이스들보다 먼저 부팅할 수 있다.

본 개시의 한 양태에 따르면, 고립형 컴퓨팅 환경은 데이터를 요청하고, 데이터를 수신하고, 컴퓨터로부터의 정보를 시험할 수 있다. 고립형 컴퓨팅 환경은 예를 들어 서비스 제공자에 의해 정해진 정책에의 순응에 대한 점수를 밝히기 위해, 획득한 데이터를 이용할 수 있다. 정책에의 순응이 확인되면 점수가 증가할 수 있고, 정책에의 비순응이 결정되면 점수가 감소할 수 있다. 점수가 임계 레벨에 도달하거나 그보다 낮아지는 경우에는, 제재 모드(sanctioned mode)가 호출될 수 있다. 제재 모드, 또는 대안적인 동작 모드는 사용자에 대한 간단한 경고를 포함할 수 있고, 컴퓨터의 유용성이 덜해지도록 컴퓨터의 기능을 제한할 수 있고, 또는 운영 체제나 소정의 다른 핵심 컴포넌트를 완전히 중단시켜 컴퓨터를 디스에이블시킬 수 있다. 디스에이블될 때, 컴퓨터는 비순응 조건의 결정 및 정정을 위해 서비스 제공자 또는 다른 허가받은 당사자에 의한 서비스를 필요로 할 수 있고, 사용자가 서비스 요금 또는 벌금을 지불하는 것을 포함할 수 있다. 고립형 컴퓨팅 환경은 컴퓨터의 현재 상태 및 컴퓨터를 복구하기 위해 취해야하는 정정 동작을 결정하는 것을 돕기 위해, 사용자 또는 서비스 기술자에게 통지 데이터를 보낼 수 있다. 마찬가지로, 비제재 모드에서도, 고립형 컴퓨팅 환경은 감시 또는 진단을 위한 데이터를 내보낼 수 있다.

도 1은 컴퓨터의 간략하고 전형적인 블럭도이다.

도 2는 단순화된 고립형 컴퓨팅 환경의 블럭도이다.

도 3은 슈퍼바이저의 일 실시예를 도시한 간략하고 예시적인 블럭도이다.

도 4는 슈퍼바이저의 다른 실시예를 도시한 간략하고 예시적인 블럭도이다.

도 5는 컴퓨터 상에서 정책에 대한 순응을 정하고 측정하는 방법을 나타낸 흐름도이다.

이하의 설명은 본 발명의 수많은 다양한 실시예들의 상세한 설명을 제공하지만, 본 발명의 범위는 본 특허의 말미에 제공된 청구범위에 의해 정의된다는 점을 알아야 한다. 상세한 설명은 예시적인 것으로만 해석되어야 하며, 가능한 모든 실시예를 설명하는 것은 불가능하지는 않더라도 비실용적이므로 그러한 모든 실시예를 설명하지는 않는다. 현재의 기술이나 본 특허의 출원일 이후에 개발되는 수많은 기술을 이용하여 다른 많은 실시예들이 구현될 수 있으며, 그들 또한 특허청구범위의 범위 내에 포함될 것이다.

한 용어가, 문장 "본 명세서에서 사용될 때, 용어 '____'는 ...을 의미하도록 정의된다" 또는 유사한 문장을 사용하여 이 특허에서 명백히 정의되지 않는다면, 명백하게든 또는 암시적으로든, 그것의 일반적인 의미 또는 보통의 의미 이상으로, 그 용어의 의미를 제한하도록 의도되지 않으며, 이러한 용어가 본 특허의 임의의 섹션에 있는 임의의 문장(청구항의 언어가 아니라)에 기초하여 범위가 제한되 도록 해석되어서는 안 된다는 것을 또한 이해할 것이다. 본 특허의 마지막에 있는 청구항들에 언급된 임의의 용어가 단일 의미와 일치하는 방식으로 본 특허에서 지칭되는 범위까지, 독자들을 혼동시키지 않기 위해 명확하게 하기 위해 행해지며, 이러한 청구항의 용어가 암시적으로든 또는 다르게든, 그 단일 의미에 제한되도록 의도되지 않는다. 마지막으로, 임의의 구조의 언급 없이 단어 "의미하다"와 기능을 언급함으로써 청구항의 요소가 정의되지 않는다면, U.S.C.§112, 6번째 항에 기초하여 임의의 청구항의 요소의 범위가 해석되어야 한다고 의도되지 않는다.

대부분의 진보성이 있는 기능성 및 다수의 진보성이 있는 원리들은 소프트웨어 프로그램들 또는 명령어들 및 주문형 집적 회로 등의 집적 회로(IC)로 가장 잘 구현된다. 당업자라면, 예를 들어, 사용가능한 시간, 현재 기술 및 경제적인 고려들에 의해 동기부여가 되는 상당한 노력 및 많은 설계 선택 사항들에도 불구하고, 본 명세서에 개시되는 개념들 및 원리들에 도움을 받을 때, 최소한의 실험으로 이러한 소프트웨어 명령어들과 프로그램들 및 IC들을 생성할 수 있을 것이다. 따라서, 간결화 및 본 발명에 따른 원리들 및 개념들을 모호하게 하는 위험성을 최소화하는 관점에서, 존재하더라도, 이러한 소프트웨어 및 IC들에 대한 더 이상의 논의는 바람직한 실시예의 원리들 및 개념들에 대하여 본질적인 것들에 제한될 것이다.

도 1은 컴퓨터(110)의 형태인 컴퓨팅 장치를 도시한다. 컴퓨터(110)의 컴포넌트는 처리 장치(120), 시스템 메모리(130) 및 시스템 메모리를 포함하는 각종 시스템 컴포넌트를 처리 장치(120)에 연결하는 시스템 버스(121)를 포함하지만 이에 제한되는 것은 아니다. 시스템 버스(121)는 메모리 버스 또는 메모리 컨트롤러, 주변기기 버스 및 각종 버스 아키텍처 중 임의의 것을 이용하는 로컬 버스를 포함하는 몇몇 유형의 버스 구조 중 어느 것이라도 될 수 있다. 예를 들어, 이러한 아키텍처는 ISA(Industry Standard Architecture) 버스, MCA(Micro Channel Architecture) 버스, EISA(Enhanced ISA) 버스, VESA(Video Electronics Standard Association) 로컬 버스 그리고 메자닌 버스(Mezzanine bus)로도 알려진 PCI(Peripheral Component Interconnect) 버스 등을 포함하지만 이에 제한되는 것은 아니다.

컴퓨터(110)는 통상적으로 다양한 컴퓨터 판독가능 매체를 포함한다. 컴퓨터(110)에 의해 액세스 가능한 매체는 그 어떤 것이든지 컴퓨터 판독가능 매체가 될 수 있고, 이러한 컴퓨터 판독가능 매체는 휘발성 및 비휘발성 매체, 이동식 및 이동불가식 매체를 포함한다. 예를 들어, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 포함하지만 이에 제한되는 것은 아니다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위해 임의의 방법 또는 기술로 구현되는 휘발성 및 비휘발성, 이동식 및 이동불가식 매체를 포함한다. 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 기타 메모리 기술, CD-ROM, DVD(Digital Versatile Disk) 또는 기타 광 디스크 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 또는 기타 자기 저장 장치, 또는 컴퓨터(110)에 의해 액세스되고 원하는 정보를 저장할 수 있는 임의의 기타 매체를 포함하지만 이에 제한되는 것은 아니다. 통신 매체는 통상적으로 반송파(carrier wave) 또는 기타 전송 메커니즘(transport mechanism)과 같은 피변조 데이터 신호(modulated data signal)에서 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터 등을 구현하고 모든 정보 전달 매체를 포함한다. "피변조 데이터 신호"라는 용어는, 신호내의 정보가 암호화되도록 그 신호의 하나 이상의 특성을 설정 또는 변경시킨 신호를 의미한다. 예를 들어, 통신 매체는 유선 네트워크 또는 다이렉트 유선 접속과 같은 유선 매체, 그리고 음향, RF, 적외선, 기타 무선 매체와 같은 무선 매체를 포함한다. 상술된 매체들의 모든 조합이 또한 컴퓨터 판독가능 매체의 범위에 포함될 수 있다.

시스템 메모리(130)는 판독 전용 메모리(ROM)(131) 및 랜덤 액세스 메모리(RAM)(132)와 같은 휘발성 및/또는 비휘발성 메모리의 형태인 컴퓨터 저장 매체를 포함한다. 시동 시 컴퓨터(110) 내의 구성요소들 사이의 정보 전송을 돕는 기본 루틴을 포함하는 기본 입/출력 시스템(BIOS)(133)은 통상적으로 ROM(131)에 저장되어 있다. RAM(132)은 통상적으로 처리 장치(120)에 즉시 액세스 가능하고 및/또는 현재 처리 장치(120)에 의해 동작되고 있는 데이터 및/또는 프로그램 모듈을 포함한다. 예를 들어, 도 1은 운영 체제(134), 애플리케이션 프로그램(135), 기타 프로그램 모듈(136) 및 프로그램 데이터(137)를 도시하고 있지만 이에 제한되는 것은 아니다.

컴퓨터(110)는 또한 기타 이동식/이동불가식 휘발성/비휘발성 컴퓨터 저장매체를 포함한다. 단지 예를 들어, 도 1은 이동불가식 비휘발성 자기 매체로의 기록 또는 그로부터의 판독을 위한 하드 디스크 드라이브(141), 이동식 비휘발성 자기 디스크(152)로의 기록 또는 그로부터의 판독을 위한 자기 디스크 드라이브(151), CD-ROM 또는 기타 광 매체 등의 이동식, 비휘발성 광 디스크(156)로의 기록 또는 그로부터의 판독을 위한 광 디스크 드라이브(155)를 포함한다. 예시적인 운영 환경에서 사용될 수 있는 기타 이동식/이동불가식, 휘발성/비휘발성 컴퓨터 기억 매체로는 자기 테이프 카세트, 플래시 메모리 카드, DVD, 디지털 비디오 테이프, 고체(solid state) RAM, 고체 ROM 등이 있지만 이에 제한되는 것은 아니다. 하드 디스크 드라이브(141)는 통상적으로 인터페이스(140)와 같은 이동불가식 메모리 인터페이스를 통해 시스템 버스(121)에 접속되고, 자기 디스크 드라이브(151) 및 광 디스크 드라이브(155)는 통상적으로 인터페이스(150)와 같은 이동식 메모리 인터페이스에 의해 시스템 버스(121)에 접속된다.

위에서 설명되고 도 1에 도시된 드라이브들 및 이들과 관련된 컴퓨터 저장 매체는, 컴퓨터(110)에 대해 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 및 다른 데이터의 저장을 제공한다. 도 1에서, 예를 들어, 하드 디스크 드라이브(141)는 운영 체제(144), 애플리케이션 프로그램(145), 기타 프로그램 모듈(146) 및 프로그램 데이터(147)를 저장하는 것으로 도시되어 있다. 여기서 주의할 점은 이 컴포넌트들이 운영 체제(134), 애플리케이션 프로그램(135), 기타 프로그램 모듈(136) 및 프로그램 데이터(137)와 동일할 수도 있고 다를 수도 있다는 것이다. 이에 관해, 운영 체제(144), 애플리케이션 프로그램(145), 기타 프로그램 모듈(146) 및 프로그램 데이터(147)에 다른 번호가 주어졌다는 것은 적어도 이들이 서로 다른 사본이라는 것을 나타낸다. 사용자는 키보드(162) 및 통상 마우스, 트랙볼(trackball) 또는 터치 패드로 칭해지는 포인팅 장치(161) 등의 입력 장치를 통해 명령 및 정보를 컴퓨터(110)에 입력할 수 있다. 다른 입력 장치(도시 생략)로는 마이크, 조이스틱, 게임 패드, 위성 안테나, 스캐너 등을 포함할 수 있다. 이들 및 기타 입력 장치는 종종 시스템 버스에 결합된 사용자 입력 인터페이스(160)를 통해 처리 장치(120)에 접속되지만, 병렬 포트, 게임 포트 또는 USB(universal serial bus) 등의 다른 인터페이스 및 버스 구조에 의해 접속될 수도 있다. 모니터(191) 또는 다른 유형의 디스플레이 장치도 비디오 인터페이스(190) 등의 인터페이스를 통해 시스템 버스(121)에 접속될 수 있다. 모니터 외에, 컴퓨터는 스피커(197) 및 프린터(196) 등의 기타 주변 출력 장치를 포함할 수 있고, 이들은 출력 주변장치 인터페이스(195)를 통해 접속될 수 있다.

컴퓨터(110)는 원격 컴퓨터(180)와 같은 하나 이상의 원격 컴퓨터로의 논리적 접속을 사용하여 네트워크화된 환경에서 동작할 수 있다. 원격 컴퓨터(180)는 퍼스널 컴퓨터, 핸드-헬드 장치, 서버, 라우터, 네트워크 PC, 피어 장치 또는 다른 공통 네트워크 노드일 수 있고, 도 1에는 메모리 저장 장치(181)만이 도시되어 있지만, 통상적으로 컴퓨터(110)와 관련하여 상술된 구성요소의 대부분 또는 그 전부를 포함한다. 도 1에 도시된 논리적 접속으로는 LAN(171) 및 WAN(173)이 있지만, 다른 네트워크를 포함할 수도 있다. 이러한 네트워킹 환경은 사무실, 회사 전체에 걸친 컴퓨터 네트워크, 인트라넷 및 인터넷에서 일반적인 것이다.

LAN 네트워킹 환경에서 사용될 때, 컴퓨터(110)는 네트워크 인터페이스 또는 어댑터(170)를 통해 LAN(171)에 접속된다. WAN 네트워킹 환경에서 사용될 때, 컴퓨터(110)는 통상적으로 인터넷과 같은 WAN(173) 상에서의 통신을 설정하기 위한 모뎀(172) 또는 기타 수단을 포함한다. 내장형 또는 외장형일 수 있는 모뎀(172)은 사용자 입력 인터페이스(160) 또는 기타 적절한 메커니즘을 통해 시스템 버스(121)에 접속된다. 네트워크화된 환경에서, 컴퓨터(110)와 관련하여 기술된 프로그램 모듈들 또는 그 일부는 원격 메모리 저장 장치에 저장될 수 있다. 예를 들어, 도 1은 애플리케이션 프로그램(185)이 메모리 장치(181)에 상주하는 것을 도시하고 있지만 이에 제한되는 것은 아니다.

통신 접속들(170, 172)은 장치가 다른 장치들과 통신할 수 있게 해준다. 통신 접속들(170, 172)은 통신 매체의 일 예이다. 통신 매체는 통상적으로 반송파 또는 기타 전송 메커니즘과 같은 피변조 데이터 신호에서 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터 등을 구현하고 모든 정보 전달 매체를 포함한다. "피변조 데이터 신호"라는 용어는, 신호 내의 정보를 암호화하는 방식으로 그 신호의 하나 이상의 특성을 설정 또는 변경시킨 신호를 의미한다. 예를 들어, 통신 매체는 유선 네트워크 또는 다이렉트 유선 접속과 같은 유선 매체, 그리고 음향, RF, 적외선, 기타 무선 매체와 같은 무선 매체를 포함한다. 컴퓨터 판독가능 매체는 저장 매체 및 통신 매체 양자 모두를 포함할 수 있다.

고립형 컴퓨팅 환경(125)은 슈퍼바이저, 신뢰 컴퓨팅 베이스, 또는 다른 보안 환경을 구현하는데 이용될 수 있으며, 사용을 위해 확립된 정책들이 준수되지 않는 경우에 컴퓨터(110)를 감시, 측정, 및/또는 제재하는데 이용될 수 있다. 정책들은 컴퓨터(110)의 사용자와 컴퓨터(110)에 이해관계를 가진 서비스 제공자 사이의 협정 기간을 반영할 수 있다. 이하, 도 2에 대하여, 고립형 컴퓨팅 환 경(125)을 보다 상세히 설명한다.

고립형 컴퓨팅 환경(125)은 둘 이상의 방식으로 예시될 수 있다. 하나 이상의 개별 부품들에 의해 구현되는 경우에, 고립형 컴퓨팅 환경(125)은 컴퓨터의 마더보드(미도시) 상에 배치될 수 있다. 이상적으로는, 고립형 컴퓨팅 환경(125)의 제거 또는 덮개제거(de-lidding)는 마더보드 및/또는 주변 부품들에 영구적인 손상을 줄 수 있으며 컴퓨터(110)를 동작불능으로 만든다.

고립형 컴퓨팅 환경(125)의 다른 예시는 도 1 에 도시한 것일 수 있는데, 여기에서 고립형 컴퓨팅 환경(125)은 처리장치(120)에 통합된다. 이렇게 처리장치에 배치된다는 것은 물리적 공격에 대한 향상된 저항성 뿐만 아니라 처리장치 레지스터들에 대한 더욱 양호한 액세스 및 데이터 시퀀스의 감시라는 이점을 제공할 수 있다.

인증된(attested) 부트 프로세스가 존재하는 경우에, 부트 프로세스가 실행 사이클 및 인증된(certified) 동작 환경을 보장할 수 있으므로, 고립형 컴퓨팅 환경(125)이 소프트웨어로 구현될 수 있다. 이러한 경우에, 고립형 컴퓨팅 환경(125)이 별도의 프로세서를 요구하지 않고 주처리장치(120)로부터 실행될 수 있다. 인증된 부트가 이용가능하지 않은 경우에, 고립형 컴퓨팅 환경(125)의 하드웨어 구현이 추천될 수 있다.

라이센스 프로비저닝 모듈, 또는 LPM(도 3 및 4 참조)이 통합되어 페이-퍼-유즈 또는 페이-애즈-유-고 요금제 구성에서 컴퓨터의 사용을 측정 및 허가할 수 있다. 소프트웨어로 구현된 경우의 LPM은 비휘발성 메모리(146)에 저장되고 메모 리(136)로부터 실행될 수 있다. LPM이 소프트웨어로 구현된 경우에, 공격을 당하기 쉽다. 슈퍼바이저(도 3 및 도 4 참조) 및/또는 고립형 컴퓨팅 환경(125)의 하나의 목적은 LPM에 대한 감시장치(watchdog)로서 동작하여 그 무결성 및 정정 기능을 보장하는 것을 돕는 것일 수 있다.

다른 실시예에서, 고립형 컴퓨팅 환경(125)이 컴퓨터의 유효한 하드웨어 구성에 대하여 LPM의 역할을 맡을 수도 있다. 즉, 별도로 부팅된 고립형 컴퓨팅 환경(125)이 그 허가된 용량에 따라 컴퓨터의 동작을 허용하는 구성 데이터를 가질 수 있는데, 허가된 용량은 잠재적으로 이용가능한 용량보다 작다. 예를 들어, 컴퓨터가 512 메가바이트(MB)의 랜덤 액세스 메모리(RAM)로 실행할 수 있지만, 유효한 구성은 256 메가바이트의 RAM을 지정한다. 고립형 컴퓨팅 환경(125)은 컴퓨터의 기능을 256 MB의 시스템 메모리로 한정할 수 있다. 이와 유사한 제한이 프로세서 클럭 레이트, 이용가능한 캐시 메모리, 이용가능한 프로세서(120)의 코어 개수, 그래픽 카드 기능, 하드 드라이브 용량, 네트워킹 옵션, 또는 내부 버스 드라이버들에 대하여 강제될 수도 있다. 구현의 관점에서는, 감시된 활동에 기초하여 제한을 부가하는 것과 소정의 세팅 또는 허가에 기초하여 제한을 강제하는 것 사이에 차이점이 거의 없거나 전혀 없다.

도 2를 참조하여, 이하 개략적이고 대표적인 고립형 컴퓨팅 환경이 논의되고 설명될 것이다. 이러한 고립형 컴퓨팅 환경은 위에 소개된 고립형 컴퓨팅 환경(125)이거나 또는 이와 유사한 것일 수 있다. 고립형 컴퓨팅 환경(125)은 휘발성 및 비휘발성 양자(both)의 메모리(202), 입/출력 회로(204) 및 클럭 또는 타이 머(206)를 포함할 수 있다. 예를 들어, 타이머(206)는 실제 시간의 간격을 카운트하는 것에 의해 클럭 기능을 구현하는데 사용될 수 있다.

고립형 컴퓨팅 환경(125)은 디지털 서명 검증 회로(208)를 더 포함할 수 있다. 예를 들어, 서버(도시되지 않음)의 검증 등 외부 엔티티에 대한 일방(one-way) 검증이 요구되는 경우, 난수 발생기(210)가 디지털 서명 검증 회로(208)의 일부일 수 있다. 디지털 서명 기술은 잘 알려져 있으므로, 해싱, 서명 검증, 대칭형 및 비대칭형 알고리즘 및 이들 각각의 키들 등은 본 명세서에 상세히 논의되지 않을 것이다.

고립형 컴퓨팅 환경(125)의 블럭들은 버스(210)에 의해 연결될 수 있다. 버스(210)는 외부 액세스를 위해 사용되는 시스템 또는 처리장치 버스(214)와는 구별된다. 별도의 버스들은 버스(210)에 의해 전달되는 데이터에 대한 액세스를 제한함으로써 보안성을 향상시켜 줄 것이다. 버스(210)는 밸런스드 데이터 라인들 등 보안 예방 조치들을 통합하여 메모리(202)에 저장된 암호화 키들(216)에 대한 파워 공격들이 보다 어렵게 하여 줄 것이다.

프로세서(216)가 프로그램들의 실행을 위하여 이용가능할 수 있다. 전술한 바와 같이, 인증된(attested) 부트가 이용가능하지 않은 경우에, 프로세서(216)가 포함되어 고립형 컴퓨팅 환경(125)에 보증된 컴퓨팅 성능 및 운영 체제(134)로부터의 분리를 제공할 수 있다.

메모리(202)는, 암호화 키들(216)을 저장하는 것 이외에도, 순응과 관련된 현재 점수와 같은 동작 정보, 또는 특정 계약 정보와 같은 시스템 정보를 포함할 수 있는 데이터(220)를 저장한다. 측정 데이터(222)는 감시 프로그램(224)와 연관될 수 있다. 감시 프로그램(224)은 이하 보다 상세히 설명하겠지만, 간단히 요약하자면 측정하고, 컴퓨터(110)의 현재 동작에 대한 정보를 수신하고, 순응 점수를 판정하는데 이용된다. 제재 프로그램(226)은, 순응 점수가 소정의 임계값 미만인 경우에 호출될 수 있다. 제재 프로그램(226)은 컴퓨터(110)를 손상시키거나 비활성화시키는 소프트웨어 및 하드웨어 메커니즘들 모두를 트리거링할 수 있다.

도 3은 컴퓨터(110)의 일 실시예를 도시한 것으로서, 페이-퍼-유즈 또는 페이-애즈-유-고 컴퓨팅에 연관된 관련 하드웨어 및 소프트웨어 컴포넌트들을 나타내고 있다. 도 1의 운영 체제(134)는 페이-애즈-유-고 동작에 관련된 LPM(302) 및 운영 체제 서비스(304)를 지원할 수 있다. 운영 체제 서비스(304)는 보안 시간, 보안 스토어 및 암호화/복호화를 포함할 수 있다. 본 실시예에서, 고립형 컴퓨팅 환경(125)의 구성요소들이 슈퍼바이저(306)로서 구성된다. 슈퍼바이저(306)는 보안 메모리(308), 보안 클럭(310) 및 암호 키 스토어(312)를 포함할 수 있다. 슈퍼바이저(306)가 프로비저닝 패킷(provisioning packet)을 처리하고 컴퓨터(110)를 외부 엔티티에 대해 식별하는 데에 사용하기 위해 고유 하드웨어 식별자(314)가 사용될 수 있다.

보안 메모리(308)는 고립형 컴퓨팅 환경(125)에 의해서만 및/또는 암호 인증 후에만 액세스될 수 있는 개별 메모리 영역일 수 있다. 보안 클럭(310)은 컴퓨터의 수명 동안 단조 증가하는 시간을 제공하는 템퍼-레지스턴트(tamper-resistant)형 타임 베이스를 제공할 수 있다. 보안 클럭(310)은 구획간 타이밍을 위해 사용 될 수도 있고, 캘린더 기반으로서 사용될 수도 있다. 암호 키 스토어(312)는 암호 키를 위한 저장소를 제공할 수 있다. 키 스토어(312)는 본질적으로 라이트-온리(write-only) 메모리일 수 있고, 계산이 키 스토어 내에서 수행되고 유일한 결과가 제공되도록 암호화 알고리즘을 포함할 수 있다. 키는 일단 기입 및 검증되고 난 후에는 키 스토어(312)로부터 판독해낼 수 없다.

슈퍼바이저(306), 및 그 기반이 되는 고립형 컴퓨팅 환경(125)은 운영 체제(134)에 독립하여 동작할 수 있다. 보안 상의 이유로, 컴퓨터(110)가 켜지거나 리셋될 때, 슈퍼바이저(306)는 임의의 다른 부트 장치보다 먼저 부팅될 수 있다. 운영 체제에 독립하여 부팅하면, 슈퍼바이저(306) 및 고립 컴퓨팅 환경(125)이 다른 부트 장치에 의해 CPU 시간이 부족하게 되거나 스푸핑되지 않을 것을 보장하는 데에 도움이 된다.

슈퍼바이저(306)와 운영 체제 서비스(304) 간의 통신은 논리적 통신 링크(316)를 통해 이루어질 수 있으며, 물리적 통신 버스(214)를 통해 지원받을 수 있다. LPM(302)은 논리적 링크(318)에 의해 도시된 바와 같이 슈퍼바이저(306)와 통신할 수 있다. 링크(318)는 슈퍼바이저(306)로부터 LPM(302)으로의 감사 데이터(audit data)에 대한 요청을 지원한다. 또한, LPM(302)은 시스템 순응(system compliance)의 진행형 감사(ongoing audit)로서, 슈퍼바이저(306)에 주기적 하트비트(heartbeat)를 보낼 수 있다. 슈퍼바이저(306)는 비순응적인 상황이 발견될 때 운영 체제(134)를 완전히 디스에이블시킬 수 있으므로, 슈퍼바이저(306)는 컴퓨터(110)가 제재 모드(sanctioned mode)인 동안 사용될 제재 모드 사용자 인터페이 스(320)를 제공하기 위해 충분한 파워 및 하드웨어 액세스를 가질 수 있다.

감사/하트비트 데이터는 논리적 링크(318)를 통해 보내질 수 있으며, 소프트웨어 컴포넌트, 특히 LPM(302)을 검증하는 데에 요구되는 데이터를 포함할 수 있다. 슈퍼바이저(316)는 규칙적인 간격으로 하트비트 데이터를 예상하도록 프로그래밍될 수 있다. 하트비트 데이터는 리플레이 공격을 방지하기 위한 시퀀스 넘버 또는 다른 메소드를 비롯하여, 그 바이너리 실행 코드의 디지탈 서명과 같은 검증 정보를 포함할 수 있다. 예를 들어 LPM(302)으로부터의 규칙적인 하트비트는, LPM이 여전히 동작 중이라는 증거의 역할을 하며, 그 서명이 검증될 때는 그것이 수정되지 않은 코드의 올바른 버전이라는 증거의 역할을 한다. 슈퍼바이저가 하트비트의 진정성을 검증하는 데에 실패하거나, 미리 정해진 기간 내에 하트비트가 도달하지 않는 경우, 하트비트는 실패일 것이며, 순응 점수가 감소될 것이다. 정책 규칙에 따라, 하트비트 메시지가 요구되는 것보다 더 자주 도달하는 경우에는 패널티가 가해지지 않을 수 있는 한편, 단 한번의 하트비트 실패로는 제재를 가하는 데에 충분하지 않을 수 있다.

슈퍼바이저(306)는 알려진 하이퍼바이저 또는 모니터와는 다르다. 모니터는 자원 공유 또는 CPU 타임 슬라이싱을 협상하기 위하여, 운영 체제과 관련 하드웨어 사이에 위치할 수 있다. 모니터는 운영 체제에 밀접하게 관련되기 때문에, 다양한 운영 체제들에 대해, 심지어는 운영 체제 버전들에 대해 모니터를 추상화하기가 어렵다. 반면에, 일 실시예에서, 슈퍼바이저(306)는 정상 동작 동안에 시스템 자원 사용을 관리하거나 협상하려고 시도하지 않는다. 가장 단순한 형태에서, 슈퍼바이 저(306)는 정책을 수신하고, 정책을 인증하고, 순응을 감시하고, 정책에 대한 비순응을 제재한다. 정책은 예를 들어 사용 시간이나 사용 역월(calendar month)과 같은 미리 정해진 한도에 대응하는 것으로서 운영 체제로부터 전달된 데이터 구조일 수 있다.

슈퍼바이저(306)는 운영 체제나 다른 부트 장치에 독립적이므로, 거의 모든 운영 체제 또는 운영 환경에 대해 정책을 강제하는 데에 사용될 수 있다. 일 실시예에서, 기반 플랫폼으로부터의 이와 같은 독립은 컴퓨팅 사이클, 보안 메모리 및 타임 베이스에 대한 슈퍼바이저 보증 액세스에 의해 용이해질 수 있다.

도 4는 컴퓨터(110)와 같은 페이-퍼-유즈 컴퓨터에 관련된 운영 체제 및 하드웨어 컴포넌트의 다른 실시예를 도시한 것이다. 도 3에서와 마찬가지로, 운영 체제(134)는 LPM(302) 및 기반 운영 체제 서비스(304)를 포함한다. 마찬가지로 하드웨어 고립형 컴퓨팅 환경(125)에 기초할 수 있는 더 작은 슈퍼바이저(309)는, 도 3의 실시예에서처럼 시스템 보안 자원(307)을 제공 및 유지하기보다는, 버스(330)를 통해 시스템 보안 자원(307)을 감시하기만 한다. 보안 자원(307)은 보안 메모리(308), 보안 클럭(310), 암호 키 스토어(312) 및 하드웨어 식별자(314)를 가질 수 있다. 다양한 운영 체제 호출 엔티티들에 개한 개별 서비스 요청은 데이터 경로(322, 324, 326)에 의해 도시된 논리적 접속을 통해 이루어질 수 있다. 감사/하트비트 논리적 접속(318)은 슈퍼바이저(309)와 LPM(302) 사이에서 유지될 수 있다. 이러한 구성에서, 하드웨어 식별자(314)는, 프로비저닝 패킷을 검증하고 하트비트 신호를 생성하는 데에 사용되기 위하여, 다른 것들 중에서도 논리적 접속(328)을 통해 LPM(302)에 이용가능하게 될 수 있다.

동작 시에, 도 3 및 도 4에 도시된 구성 둘다는 순응 점수를 밝히는 것과 관련하여 유사한 방식으로 동작할 수 있다. 순응 점수는 측정 및 관찰에 의해 결정된 가중값들의 누계일 수 있다. 감시 프로세스(224, 도 2)에 의해 수행된 측정(222)은 상이한 이벤트들을 평가하고, 가장 단순한 형태에서는, 그 이벤트들을 양호 또는 불량 중 하나로 분류하는 데에 사용될 수 있다. 각각의 양호 이벤트는 순응 점수를 증가시키는 반면, 각각의 불량 이벤트는 순응 점수를 감소시킨다. 어떠한 단일 이벤트도 순응 점수를 최소 임계값에 도달시켜 제재를 부과하게 되지 않도록, 표준이 설정될 수 있다.

도 3 및 도 4의 실시예의 슈퍼바이저(306, 309)는 둘다 하트비트 신호의 주파수 및 품질을 측정할 수 있다. 양호 하트비트가 정시에 수신될 때, 순응 점수는 증가될 수 있다. 도 3의 슈퍼바이저(306)는 미터링(metering) 및 측정에 사용되는 키 데이터에 대한 완전한 액세스를 가질 수 있다. 예를 들어, 모니터(224)가 운영 체제가 사용량을 미터링하고 있다고 결정할 때, 순응 점수가 증가할 수 있다. 모니터(224)는 사용된 시간 대 추가 시간의 구매의 계산을 결정할 수 있다. 추청된 구매가 추정된 사용과 일치할 때에도 순응 점수가 증가할 수 있다. 예를 들어 LPM(302) 또는 부트 파일(도시되지 않음)과 같은 지정된 파일의 검증, 또는 시스템 클럭의 검증과 같이, 다른 측정도 행해질 수 있다.

그러나, 하트비트가 실패하거나 정시에 도달하지 않는 경우, 순응 점수는 감소될 수 있다. 운영 체제가 미리정해진 시간량 동안 논-미터링 상태로 지속되는 경우, 순응 점수가 감소될 수 있다. 운영 체제가 지나치게 높은 레이트로 미터링 상태에 진입 및 탈출한다면, 그것은 미터링 회로에의 탬퍼링을 나타내는 것일 수도 있고, 순응 점수가 역시 감소될 수 있다.

도 4의 실시예의 슈퍼바이저(309)는 직접 미터링 데이터나 운영 체제 상태에 대해 더 적은 액세스를 가질 수 있다. 그러한 구성은 하트비트 감시나, 미터링 데이터가 업데이트되고 있다는 표시로서의 보안 저장의 변화 레이트와 같은 다른 요소들에 더 의존할 수 있다.

임의의 실시예에서의 순응 점수는 초기값에서 시작할 수 있고, 다양한 '양호' 및 '불량' 측정이 결정됨에 따라 증가 또는 감소될 수 있다. 순응 점수가 충분히 감소되면, 제1 임계값에 도달하여 소정의 액션을 트리거할 수 있다. 일 실시예에서, 제1 임계값이 유일한 임계값일 수 있으며, 즉각적인 제재가 부과될 수 있다. 다른 실시예에서, 제1 임계값은 사용자에게 탬퍼링 문제가 제기되었으며 적절한 액션이 취해질 필요가 있음을 알리는 경고를 트리거할 수 있다. 또 다른 실시예에서, 제1 임계값은 디스플레이 해상도를 제한하거나 프로세서 속도를 감소시키는 것과 같은 제한된 제재를 트리거할 수 있다. 순응 점수가 계속 감소하는 경우에는, 운영 체제를 디스에이블시키는 것과 같은 극적인 제재가 호출되는 임계값에 도달할 수 있다. 그러한 때에는, 컴퓨터(110)는 복구를 위해 서비스 센터에 가져가져야 할 수 있다. 제재 모드 사용자 인터페이스(320)는 운영 체제가 디스에이블된 때에 복구 서비스를 위해 활성화될 수 있다.

실시예를 사용하여 설명하기 위해, 컴퓨터(110)에는 시작 순응 점수 80이 주 어질 수 있다. 일련의 성공적인 하트비트, 사용 시간의 구매 및 루틴 미터링 후, 순응 점수는 최대값 100까지 증가될 수 있다 (다른 실시예에서는 최대 순응 점수 한도를 사용하지 않을 수 있다). 그러나, 그 때에, 사용자는 LPM(302)을 오버라이트함으로써 미터링 메커니즘을 무효화하려 시도할 수 있다. 데스티네이션 메모리 영역의 해시가 예상된 해시에 일치하지 않으므로, LPM(302)의 측정은 실패한다. 교체 LPM은 하트비트 신호 및 루틴 미터링과 같은 기능들을 지원하도록 프로그래밍되지 않으므로, 하트비트 신호가 중단되고 루틴 미터링이 중단된다. 각각의 연속적인 측정 실패시마다, 순응 점수는 예를 들어 70까지 감소할 수 있다. 순응 점수가 70에 도달하면, 시스템이 탬퍼링된 것으로 보이며, 교정 조치가 취해지지 않으면 셧다운될 것임을 알려주는 경고 메시지가 사용자에게 디스플레이된다. 사용자가 경고를 무시하고, 순응 점수는 55로 감소한다. 그러면, 슈퍼바이저(306)는 제재 프로그램(226)을 활성화하여, 예를 들어 처리 장치(120)를 정지시킴으로써 컴퓨터(110)를 셧다운하기 위한 액션을 취할 수 있다. 그러면, 제재 모드 사용자 인터페이스(320)는 사용자에게 컴퓨터가 디스에이블되었으며 복구를 위해서는 서비스 센터에 가져가야 함을 알리는 메시지를 띄울 수 있다.

서비스 센터에서, 기술자는 제재 모드 사용자 인터페이스(320)를 사용하여 교체 LPM이 순응하지 않았음을 결정하고 순응 LPM(302)을 복구할 수 있다. 서비스 기술자는 필요한 경우에는 감시(224) 프로그램을 재시작하기 위하여 슈퍼바이저(306)를 트리거할 수 있으며, 원한다면 순응 점수를 수동으로 리셋할 수 있다. 이러한 예에서는, 누군가가 컴퓨터를 탬퍼링한 것이 명백하므로, 추후에 시스템을 탬퍼링하려는 시도를 단념시키기 위하여, 벌금이나 서비스 요금이 사용자에게 부과될 수 있다.

도 5를 참조하여, 컴퓨터 상의 정책과의 비순응을 결정하는 방법이 논의되고 설명된다. 컴퓨터(110)에 대한 동작 및 사용 표준의 규칙을 정하는 정책은 서비스 제공자 또는 컴퓨터(110)에 재정적 이해관계를 갖는 다른 당사자에 의해 정해질 수 있다. 정책이 정해지고 난 후, 정책과의 순응 또는 비순응을 결정하기 위한 측정가능한 표준이 개발될 수 있다(402). 그 표준은 알려진 메모리 영역들의 해시와 같은 측정, 및/또는 컴퓨터(100) 상에서의 사용 크레디트의 재-프로비저닝과 같은 컴퓨터(110) 상에서의 활동 및 조건의 감시를 포함할 수 있다. 측정 및 감시 표준은 슈퍼바이저(306)와 같은 슈퍼바이저에 프로그래밍될 수 있으며, 그 슈퍼바이저는 고립 컴퓨팅 환경(125)에 구축될 수 있다.

슈퍼바이저(306)는 운영 체제(134)를 포함하는 임의의 다른 시스템 구성요소를 활성화 또는 부팅하기 전에 활성화될 수 있다(404). 최초 부팅의 이유는 앞에서 논의되었지만, 간단하게 설명하면, 그렇게 하는 것이 슈퍼바이저(306)에게 기지의 깨끗한 운영 환경을 보장하는 데에 도움이 되기 때문이다. 예를 들어 제조 동안에나 설치 시에 최초 활성화될 때, 정해진 정책에 따른 동작에 대응하여 초기 순응 점수가 정해질 수 있다. 일 실시예에서, 운영 체제(134) 및 관련 컴포넌트들에 대해 이루어지는 공격으로부터 슈퍼바이저(306)를 더 고립시키기 위하여, 슈퍼바이저(306)는 운영 체제(134)로부터 독립된 프로그램 실행 환경을 갖는다.

슈퍼바이저(306)가 부팅된 후, 운영 체제(134) 또는 임의의 다른 초기 부트 장치와 같은 다른 부트 장치들이 시작될 수 있다(406). 컴퓨터(110)가 동작 중일 때, 슈퍼바이저(306)는 블럭(402)에서 개발된 표준에 따라 감시 및 측정을 시작할 수 있다(408). 각각의 감시 또는 측정에 의해 찾아진 것은 순응 점수를 조정하기 위해 사용될 수 있다.

블럭(408)에서 사용되는 표준은 클럭 검증, 단일 컴퓨팅 세션의 지속기간, 프로비저닝 패킷들이 제공되는 사이에 측정된 시간량, 또는 제공된 프로비저닝 패킷의 총 개수와 컴퓨터의 총 동작시간 간의 비교를 포함할 수 있다.

다양한 표준을 평가하는 데에 사용될 수 있는 미터링 및 측정 데이터는 운영 체제 하트비트, 지정된 파일의 검증, 시스템 클럭의 검증, 현재 동작 모드, 메모리에의 기입 빈도, 또는 최종 프로비저닝 사이클 이후의 시간일 수 있다. 예를 들어, 클럭 검증은 운영 체제의 제어 하에서의 소프트 클럭에 대한 보안 클럭 타임(310)의 비교를 포함할 수 있고, 프로비저닝 패킷이 제공된 최종 시간의 분석이 후속할 수 있다.

각각의 측정 또는 감시 결과가 결정될 때마다, 순응 점수가 미리 정해진 임계값과 비교될 수 있다(410). 점수가 임계값보다 높을 때는, 블럭(410)으로부터의 "아니오" 분기가 블럭(408)으로 되돌아가고, 거기에서 추가의 측정이 행해질 수 있다. 순응 점수가 임계값보다 낮을 때는, 블럭(410)으로부터의 "예" 분기가 취해질 수 있고, 점수가 경고 또는 제재가 적절함을 나타내는지를 판정하기 위한 추가의 테스트가 수행된다(412). 경고가 적절할 때, 블럭(412)으로부터 경고라고 표시된 분기가 취해지고, 경고가 디스플레이된다(416). 그 다음, 실행은 블럭(408)에서 계속될 수 있다.

블럭(412)에서 제재가 적절한 것으로 결정될 때, 블럭(412)으로부터의 제재 분기는 블럭(414)으로 가고, 거기에서 제재가 부과될 수 있다. 디스플레이 해상도를 감소시키는 것, 색상 깊이, 프로세서를 느리게 하는 것을 비롯하여 일정 범위의 제재들이 이용될 수 있으며, 정책에 따라서는, 운영 체제가 비활성화되거나, 또는 다른 주요 시스템 또는 장치가 컴퓨터(110)를 실질적으로 디스에이블시킬 수 있다.

앞의 설명은 본 발명의 수많은 다양한 실시예들의 상세한 설명을 제공하지만, 본 발명의 범위는 본 특허의 말미에 제공된 청구범위에 의해 정의된다는 점을 알아야 한다. 상세한 설명은 예시적인 것으로만 해석되어야 하며, 가능한 모든 실시예를 설명하는 것은 불가능하지는 않더라도 비실용적이므로 그러한 모든 실시예를 설명하지는 않는다. 현재의 기술이나 본 특허의 출원일 이후에 개발되는 수많은 기술을 이용하여 다른 많은 실시예들이 구현될 수 있으며, 그들 또한 본 발명을 정의하는 특허청구범위의 범위 내에 포함될 것이다.

이와 같이, 본 발명의 취지 및 범위를 벗어나지 않고서도, 여기에 설명 및 예시된 기술 및 구성에 대하여 많은 수정 및 변경이 이루어질 수 있다. 따라서, 여기에 기술된 방법 및 장치는 예시적인 것일 뿐이며, 본 발명의 범위를 제한하지 않음을 알아야 한다.

Claims

정상 모드(normal mode) 및 교체 모드(alternate mode)에서의 동작을 위하여 구성된 컴퓨터로서,

메모리;

상기 메모리에 연결된 프로세서; 및

임의의 다른 부트 장치에 대해서 우선권을 갖는 제1 부트 장치

를 포함하고,

상기 제1 부트 장치는 상기 임의의 다른 부트 장치와 동시에 활성 상태에 있고,

상기 제1 부트 장치는,

내탬퍼(tamper-resistant) 방식으로 데이터 - 상기 데이터는 구성 데이터, 암호 데이터, 상태 데이터, 또는 실행가능한 프로그램 데이터 중 하나 이상을 포함함 - 를 저장하는 메모리;

시간 판독값을 단조 증가시키는 것을 제공하는 회로;

데이터 입/출력 회로; 및

클럭 및 상기 데이터 입/출력 회로에 연결되어, 상기 메모리에 저장된 감시 프로그램 또는 측정 프로그램 중 적어도 하나를 실행시키는 프로그램 실행 환경을 포함하고,

상기 제1 부트 장치는 상기 컴퓨터가 표준에 순응하여 동작하고 있는 때를 판정하는 컴퓨터.
제 1 항에 있어서,

상기 임의의 다른 부트 장치는 운영 체제 부트 장치를 포함하고, 상기 운영 체제 부트 장치는 상기 정상 모드와 연관되는 컴퓨터.
제 1 항에 있어서,

상기 컴퓨터가 상기 표준에 순응하여 동작하고 있지 않은 경우에 활성화되는 상기 교체 모드와 연관된 제재 프로그램 코드(sanctioning program code)를 더 포함하는 컴퓨터.
제 3 항에 있어서,

상기 교체 모드의 동작은 상기 운영 체제 부트 장치를 중단시키는 것을 포함하는 컴퓨터.
제 3 항에 있어서,

상기 교체 모드의 동작은 상기 컴퓨터의 기능을 감소시키는 것 또는 상기 표준에 순응하는 동작에 대응하는 경고를 전송하는 것 중 적어도 하나를 포함하는 컴퓨터.
제 1 항에 있어서,

상기 컴퓨터가 전원이 켜질 때 상기 제1 부트 장치가 초기화되고, 상기 제1 부트 장치는 상기 컴퓨터의 동작 동안 실행 사이클을 보장받는 컴퓨터.
제 1 항에 있어서,

상기 교체 모드는 상기 표준에의 순응을 복구하기 위한 사용자 인터페이스를 더 포함하는 컴퓨터.
제 1 항에 있어서,

상기 제1 부트 장치는 상기 입/출력 회로를 통해, 순응을 판정하기 위한 상기 표준에 대응하는 정책을 수신하는 컴퓨터.
제 8 항에 있어서,

상기 제1 부트 장치는 상기 정책을 인증하는 컴퓨터.
제 1 항에 있어서,

측정 데이터가 상기 표준에의 순응에 대응하는 점수를 계산하는데 이용되고, 상기 교체 모드는 상기 점수가 임계값에 도달할 경우에 호출되는 컴퓨터.
제 10 항에 있어서,

상기 측정 데이터는 운영 체제 하트비트(heartbeat), 지정된 파일의 검증, 시스템 클럭의 검증, 현재 동작 모드, 메모리로의 기입 빈도, 또는 최후 프로비저닝(provisioning) 사이클 이후의 시간 중 적어도 하나를 포함하는 컴퓨터.
제 1 항에 있어서,

상기 제1 부트 장치는 암호 서비스를 더 포함하는 컴퓨터.
컴퓨터 상에서 정책에의 순응을 감시하는 슈퍼바이저로서,

보안 메모리;

시간 측정을 단조증가시키는 것을 제공하는 클럭;

입/출력 회로; 및

상기 컴퓨터의 운영 체제를 호스팅하는데 이용되는 프로세서와 분리된 처리 기능부를 포함하고,

상기 처리 기능부는 상기 보안 메모리, 상기 클럭 및 상기 입/출력 회로에 연결되고, 상기 처리 기능부는 상기 보안 메모리 및 상기 클럭으로부터 정보의 관점에서 상기 입/출력 회로를 통해 수신된 정책에의 순응에 대응하는 데이터를 평가하는 슈퍼바이저.
제 13 항에 있어서,

상기 컴퓨터가 상기 정책에 순응하지 않는 경우에, 상기 컴퓨터의 동작을 방 해하기 위해 상기 처리 기능부에 응답하는 강제 회로를 더 포함하는 슈퍼바이저.
제 14 항에 있어서,

상기 정책은 상기 컴퓨터의 유효한 하드웨어 구성에 대응하고, 상기 강제 회로는 하드웨어 기능들을 상기 유효한 하드웨어 구성으로 제한하는 슈퍼바이저.
컴퓨터 상에서 정책에의 비순응을 판정하는 방법으로서,

상기 정책에의 비순응을 컴퓨터 상에서 측정가능한 하나 이상의 표준과 연관시키는 단계;

운영 체제를 활성화하기 전에 슈퍼바이저를 인스턴스화(instantiate)하는 단계;

상기 슈퍼바이저에서, 상기 컴퓨터 상에서의 상기 하나 이상의 표준에 대응하는 데이터를 감시하는 단계; 및

상기 데이터를 평가함으로써 상기 컴퓨터가 비순응 상태에 있는 때를 판정하는 단계

를 포함하는 정책 비순응 판정방법.
제 16 항에 있어서,

상기 하나 이상의 표준에 대응하는 데이터에 기초한 점수가 임계값에 도달하는 경우에, 상기 컴퓨터 상에 제재를 부과하는 단계를 더 포함하고,

상기 제재를 부과하는 단계는 상기 운영 체제의 적어도 일부를 비활성화시키는 단계를 더 포함하는 정책 비순응 판정방법.
제 16 항에 있어서,

상기 하나 이상의 표준은 컴퓨팅 세션의 지속기간, 프로비저닝 패킷 구매들 사이의 시간, 총 프로비저닝 패킷 구매들에 비교되는 총 컴퓨터 동작시간 중 하나 이상을 포함하는 정책 비순응 판정방법.
제 16 항에 있어서,

상기 하나 이상의 표준에 대응하는 데이터는 운영 체제 하트비트, 지정된 파일의 검증, 시스템 클럭의 검증, 현재 동작 모드, 메모리로의 기입 빈도, 또는 최후 프로비저닝 사이클 이후의 시간 중 적어도 하나를 포함하는 정책 비순응 판정방법.
제 16 항에 있어서,

상기 운영 체제로부터 자율적인 프로그램 실행 환경을 상기 슈퍼바이저에게 제공하는 단계를 더 포함하는 정책 비순응 판정방법.