KR20150069027A - 하드웨어 관리 인터페이스 - Google Patents

하드웨어 관리 인터페이스 Download PDF

Info

Publication number
KR20150069027A
KR20150069027A KR1020157013268A KR20157013268A KR20150069027A KR 20150069027 A KR20150069027 A KR 20150069027A KR 1020157013268 A KR1020157013268 A KR 1020157013268A KR 20157013268 A KR20157013268 A KR 20157013268A KR 20150069027 A KR20150069027 A KR 20150069027A
Authority
KR
South Korea
Prior art keywords
computing device
management controller
management
network
management system
Prior art date
Application number
KR1020157013268A
Other languages
English (en)
Inventor
보컨 빈센트 에드워드 본
푸루쇼탐 고엘
스벤 슈레커
Original Assignee
맥아피 인코퍼레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 맥아피 인코퍼레이티드 filed Critical 맥아피 인코퍼레이티드
Publication of KR20150069027A publication Critical patent/KR20150069027A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

컴퓨팅 디바이스의 관리 컨트롤러가 네트워크에서 식별되고 컴퓨팅 디바이스의 속성에 대해 질의를 받는다. 관리 컨트롤러는 컴퓨팅 디바이스의 하드웨어에서 안전하게 구현되며 컴퓨팅 디바이스의 중앙 처리 유닛(CPU)과 독립적이다. 관리 컨트롤러로부터 컴퓨팅 디바이스의 하나 이상의 속성을 식별하는 데이터가 수신된다. 네트워크의 보안 정책이 하나 이상의 속성에 기초하여 컴퓨팅 디바이스에 대해 구현된다.

Description

하드웨어 관리 인터페이스{HARDWARE MANAGEMENT INTERFACE}
본 개시는 전반적으로 컴퓨터 관리의 분야에 관한 것으로, 보다 상세하게는 하드웨어-기반 컴퓨터 관리에 관한 것이다.
현대의 기업과 네트워크 내에서 컴퓨터 시스템 관리는 네트워크에 속한 각 서브-시스템의 속성을 찾아내는 툴과 기술 그리고 툴의 사용을 포함할 수 있다. 보안 작업과 관리는 예를 들면, 보안 정책을 네트워크에 속한 디바이스에게 할당하고 시행함으로써 수행될 수 있다. 정책은 예를 들면, 디바이스의 알려진 속성에 기초하여 특정 디바이스에게 할당될 수 있다. 또한, 네트워크 내 각종 디바이스에 액세스하는 것 그리고/또는 각종 디바이스와 통신하는 것은 여러 운영 체제와 디바이스 사이에서 각종 데이터의 통신을 가능할 수 있도록 구성된 소프트웨어-기반 툴을 포함할 수 있다. 또한, 소프트웨어-기반 에이전트는 시스템 내 각종 디바이스에 설치되어서 관리자가 디바이스에 대하여 보안-관련 작업을 비롯하여 작업을 검사하고, 제어하고, 수행하는 능력을 갖게 해줄 수 있다. 전통적으로, 소프트웨어-기반 에이전트는 호스트 디바이스의 운영 체제를 통해 설치되며, 운영 체제는 에이전트가 활성 상태에 있을 때 부팅되어 그 에이전트를 통해 작업을 활용하고 수행하는 관리 서비스와 통신할 수 있다. 그러한 사례에서, 호스트 디바이스의 관리는 호스트 디바이스의 운영 체제의 존재(및 작동 가능성(operability)) 그리고/또는 설치된 에이전트의 존재와 작동 가능성(및 보안)에 따라 고려될 수 있다.
도 1은 적어도 일 실시예에 따라서 하드웨어-기반 관리 컨트롤러를 가진 시스템 디바이스를 포함하는 일 예의 컴퓨팅 시스템의 간략한 개요도이다.
도 2는 적어도 일 실시예에 따라서 시스템 내 하나 이상의 시스템 디바이스 상의 하드웨어-기반 관리 컨트롤러와 상호작용하여 사용하도록 적응된 일 예의 도메인 관리 시스템을 포함하는 일 예의 컴퓨팅 시스템의 간략한 블록도이다.
도 3은 적어도 일 실시예에 따라서 일 예의 하드웨어-기반 관리 컨트롤러를 포함하는 일 예의 시스템 디바이스 칩셋의 간략한 블록도이다.
도 4a 내지 도 4e는 적어도 일 실시예에 따라서 일 예의 보안 관리 시스템 및 하드웨어-기반 관리 컨트롤러를 가진 하나 이상의 시스템 디바이스를 포함하는 일 예의 동작을 예시하는 간략한 블록도이다.
도 5a 내지 도 5e는 적어도 일 실시예에 따라서 일 예의 보안 관리 시스템 및 하드웨어-기반 관리 컨트롤러를 가진 하나 이상의 시스템 디바이스를 포함하는 일 예의 동작을 예시하는 간략한 블록도이다.
도 6a 및 도 6b는 적어도 일 실시예에 따라서 하드웨어-기반 관리 컨트롤러를 가진 하나 이상의 시스템 디바이스를 관리하기 위한 일 예의 기술을 예시하는 간략한 플로우차트이다.
여러 도면에서 유사한 참조 부호 및 명칭은 유사한 구성요소를 나타낸다.
도 1은 컴퓨팅 프로세서 및 하드웨어-기반 관리 컨트롤러를 갖는 시스템 디바이스(105)를 포함하는 일 예의 컴퓨팅 시스템(100)을 예시하는 간략한 블록도로서, 하드웨어-기반 관리 컨트롤러는 관리 시스템과 서비스가 시스템 디바이스(105)와 대역-외로 그리고 시스템 디바이스(105)의 운영 체제와 독립적으로 통신할 수 있게 해준다. 또한, 시스템 디바이스(105)는 하나 이상의 통신 네트워크(110, 115)의 채널을 통해 통신하는 성능을 포함할 수 있다. 일 예에서, 일부 네트워크는 이를 테면 사설 네트워크(110)에 있는, 스마트 텔레비전(120), 차량-탑재 컴퓨터(in-vehicle computers)(125), 스마트폰(130), 스마트 가전 기기(예를 들면, 140)는 물론 다른 컴퓨팅 디바이스 및 적어도 부분적으로 컴퓨터-제어되거나 컴퓨터-지원형 다른 가전 기기 및 디바이스와 같은 컴퓨터 프로세싱 디바이스를 포함하는 다양한 모음의 시스템 디바이스를 비롯하여, 사유의 또는 개인의 컴퓨팅 디바이스들의 개인 네트워크를 포함할 수 있다. 일부 사례에서, 시스템 디바이스(120, 125, 130, 140)를 포함한 시스템 디바이스(105)는 예를 들어, 시스템 디바이스(105)가 홈에 위치하거나 사설 네트워크가 위치한 또는 액세스 가능한 다른 위치 (예를 들면, 사설 근거리 네트워크의 액세스 포인트)에 위치할 때 사설 네트워크(110)에 합류할 수 있다. 다른 사례로, 예를 들어, 시스템 디바이스(105)의 사용자가 대학 내에서 또는 다른 조직에 의해 네트워크가 통제되는 다른 환경에서 일하고 있을 때, 시스템 디바이스(105)는 기업 네트워크(115)와 같은 그 네트워크에 포함될 수 있다. 이러한 제 2 네트워크(115)는 또한 다른 잠재적인 시스템 디바이스 중에서, 다른 개인 컴퓨팅 디바이스(예를 들면, 145, 165), 컴퓨팅 주변 장치(예를 들면, 프린터(150), 기업 서버(예를 들면, 155)를 비롯하여 복수의 각종 시스템 디바이스를 포함할 수 있다.
각각의 네트워크(110, 115) 또는 도메인은 각자의 관리 시스템(170, 175)을 포함할 수 있고, 각 관리 시스템(170, 175)은 네트워크와 인터페이싱하는 시스템 디바이스의 하드웨어-기반 관리 컨트롤러를 식별하는 기능을 포함한다. 관리 시스템(170, 175)은 부가적으로 시스템 디바이스(예를 들면, 105)의 관리 컨트롤러와 인터페이싱하고 통신하여 관리 컨트롤러(108)를 활용하는 시스템 디바이스(105)에 대해 또는 시스템 디바이스에서 디바이스 관리 작업을 수행할 수 있다. 관리 컨트롤러(예를 들면, 108)는 시스템 디바이스(105)의 마더보드 또는 칩셋에 존재할 수 있으며 일부 구현예에서 시스템 디바이스(105)의 중앙 처리 유닛(central processing unit, CPU) (및 임의의 운영 체제)와 독립적인 마이크로컨트롤러 또는 전용 프로세서에서 구현될 수 있다. 따라서 관리 시스템(170, 175)은 관리 컨트롤러(108)를 통해 시스템 디바이스(105)의 적어도 일부 데이터 및 조정 장치에 액세스할 수 있으며 신뢰성 있는 하드웨어-기반 컨트롤러(108)를 통해 시스템 디바이스(105)의 작업 및 정밀 검사(scan)를 수행할 수 있다.
일부 사례에서, 관리 시스템(170, 175)은 시스템 디바이스(105)의 관리 컨트롤러가 관리 서버(170, 175)와 인터페이싱하고 그의 명령어 및 요청을 수신하고 대응할 수 있도록 적응된 애플리케이션 프로그래밍 인터페이스(an application programming interface (API))를 제공할 수 있다. 예를 들어, 관리 시스템은 시스템-보안-관련 API를 제공할 수 있고, 이에 관리 서버(170, 175)는 시스템 디바이스의 관리 컨트롤러를 통해 네트워크(110, 115)에 대해 보안-관련된 작업을 수행할 수 있다. 또한, 시스템 디바이스의 관리 컨트롤러(예를 들어, 108)는 시스템 디바이스에 제공된 API를 관리 시스템(예를 들면, 170, 175)에 드러내 보일 수 있다. 그러한 API는 시스템 디바이스의 하드웨어-기반 관리 컨트롤러와 해당 도메인의 관리 시스템 사이의 하드웨어-기반 통신 채널을 활용한다. 그러한 통신 채널은 예를 들어, 암호화를 통해 보안된 보안 통신 채널일 수 있다. 또한, API는 관리 컨트롤러의 관리 시스템과의 인증 및/또는 관리 시스템의 관리 컨트롤러와의 인증을 기초로 할 수 있다. 일부 구현예에서, 관리 컨트롤러의 인증은 하드웨어-기반 관리 컨트롤러의 전용 데이터로부터 도출되는 시스템 디바이스의 보안 식별자를 기초로 할 수 있다. 예를 들어, 보안 식별자는 2012년 12월 23일자로 출원된 "Hardware-Based Device Authentication(하드웨어-기반 디바이스 인증)"이라는 명칭의 미국 특허 출원 제 13/726,140 호 및 2012년 12월 23일자로 출원된 "Hardware-Based Device Authentication(하드웨어-기반 디바이스 인증)"이라는 명칭의 미국 특허 출원 제 13/726,140 호, 2012년 12월 23일자로 출원된 "Hardware-Based Device Authentication(하드웨어-기반 디바이스 인증)"이라는 명칭의 미국 특허 출원 제 13/726,148 호, 및/또는 2012년 12월 23일자로 출원된 "Trusted Container (신뢰성 있는 컨테이너)"라는 명칭의 미국 특허 출원 제 13/726,167 호에 기술된 원리에 따라서 활용될 수 있으며, 이들 특허 출원은 각기 본 명세서에서 그 전체가 참조문헌으로 인용된다.
일반적으로, 일 예의 컴퓨팅 환경(100) 내 시스템 디바이스(예를 들면, 105, 120, 125, 130, 140, 145, 150, 155, 165, 170, 175 등)를 포함하는, "서버", "클라이언트", "컴퓨팅 디바이스", "네트워크 요소", "호스트", "시스템-타입 시스템 엔티티", 및 "시스템"은 컴퓨팅 환경(100)과 연관된 데이터 및 정보를 수신, 전송, 처리, 저장, 또는 관리하도록 동작 가능한 전자 컴퓨팅 디바이스를 포함할 수 있다. 본 명세서에서 사용되는 것으로서, "컴퓨터", "프로세서", "프로세서 디바이스", 또는 "프로세싱 디바이스"라는 용어는 임의의 적합한 프로세싱 디바이스를 망라하는 것으로 의도된다. 예를 들면, 컴퓨팅 환경(100) 내에서 단일의 디바이스로서 도시된 요소는 복수의 서버 컴퓨터를 포함하는 서버 풀과 같은 복수의 컴퓨팅 디바이스 및 프로세스를 이용하여 구현될 수 있다. 또한, 어느, 모두, 또는 일부의 컴퓨팅 디바이스는 리눅스, 유닉스, 마이크로소프트 윈도우, 애플리케이션 OS, 애플리케이션 iOS, 구글 안드로이드, 윈도우 서버 등을 포함하는 임의의 운영 체제뿐만 아니라, 고객화된 독점 운영 체제를 비롯한 특별한 운영 체제의 실행을 가상화하는데 적응된 가상 머신을 실행하도록 적응될 수 있다.
또한, 서버, 클라이언트, 네트워크 요소, 시스템, 및 컴퓨팅 디바이스(예를 들면, 105, 120, 125, 130, 140, 145, 150, 155, 165, 170, 175 등)는 각기 다른 특징 및 하드웨어 중에서, 하나 이상의 프로세서, 컴퓨터-판독 가능한 메모리, 및 하나 이상의 인터페이스를 포함할 수 있다. 서버는 소프트웨어 애플리케이션 및 서비스를 호스팅 및/또는 서비스 제공할 수 있는, 분산된 기업 또는 클라우드-기반 소프트웨어 애플리케이션, 데이터, 및 서비스를 비롯한 임의의 적합한 소프트웨어 컴포넌트나 모듈, 또는 컴퓨팅 디바이스(들) (예를 들면, 관리 시스템(170, 175), 서버(155)의 서비스 및 애플리케이션, 등)를 포함할 수 있다. 예를 들어, 일부 구현예에서, 컴퓨팅 시스템(100)의 관리 시스템(170, 175) 또는 다른 서브-시스템은 시스템(100) 내 다른 서비스 및 디바이스와 인터페이싱하거나, 그와 조화하거나, 그에 종속적이거나, 또는 그에 의해 사용되는 데이터, 소프트웨어 서비스 및 애플리케이션을 원격으로 호스팅하거나, 서비스 제공하거나, 그렇지 않으면 관리하도록 구성된 클라우드-구현된 시스템일 수 있다. 일부 사례에서, 서버, 시스템, 서브시스템, 또는 컴퓨팅 디바이스는 공통 컴퓨팅 시스템, 서버, 서버 풀, 또는 클라우드 컴퓨팅 환경에서 호스팅될 수 있고 그리고 공유된 메모리, 프로세서, 및 인터페이스를 포함하는 컴퓨팅 자원을 공유할 수 있는 디바이스들의 임의의 조합으로서 구현될 수 있다.
사용자, 엔트포인트, 또는 클라이언트 컴퓨팅 디바이스(예를 들면, 105, 130, 145, 165 등)는 전통적인 모바일 컴퓨팅 디바이스를 포함하여, 인간 사용자와 인터페이싱하도록 설계되고 하나 이상의 네트워크(예를 들면, 110, 115)를 통해 다른 디바이스와 통신할 수 있는 퍼스널 컴퓨터, 랩톱 컴퓨터, 태블릿 컴퓨터, 스마트폰, 개인 휴대 정보 단말, 피처 폰, 휴대용 비디오 게임 콘솔, 데스크탑 컴퓨터, 인터넷-가능 텔레비전, 및 기타 디바이스를 포함할 수 있다. 컴퓨터-지원형 또는 "스마트" 가전 기기는 컴퓨터 프로세서를 포함하면서 그 컴퓨터 프로세서, 다른 하드웨어, 및/또는 그 컴퓨터 프로세서에 의해 실행되는 하나 이상의 소프트웨어 프로그램에 의해 디바이스의 기능을 제어, 감시, 보조, 보충, 또는 그렇지 않으면 실행하는 가정용 및 산업용 디바이스 및 머신을 포함할 수 있다. 컴퓨터-지원형 가전 기기는 냉장고, 세탁기, 자동차, HVAC 시스템, 산업용 기계류, 오븐, 및 보안 시스템 등을 포함하는 각종의 컴퓨터-지원형 머신 및 제품을 포함할 수 있다.
사용자 컴퓨팅 디바이스, 컴퓨터-지원형 가전 기기, 서버, 및 컴퓨팅 디바이스(예를 들면, 105, 120, 125, 130, 140, 145, 150, 155, 165, 170, 175 등)의 속성은 일반적으로 각각의 디바이스에게 로딩되거나, 설치되거나, 실행되거나, 운영되거나, 그렇지 않으면 액세스 가능한 각각의 운영 체제 및 애플리케이션의 모음을 비롯하여, 장치 별로 매우 다양할 수 있다. 예를 들어, 컴퓨팅 디바이스는 각각의 디바이스에 의해 구동되거나, 실행되거나, 그렇지 않으면 사용될 수 있는 운영 체제, 애플리케이션, 플러그-인, 애플릿, 가상 머신, 머신 이미지, 드라이버, 실행 가능한 파일, 및 기타 소프트웨어-기반 프로그램의 각종 조합을 포함하는 각종 프로그램 세트를 구동하거나, 실행하거나, 설치하였거나, 그렇지 않으면 포함할 수 있다.
일부 시스템 디바이스는 시스템 디바이스 내에서 호스팅되는 애플리케이션과 상호작용하는 사용자 인터페이스 및 프로그램의 그래픽 표현뿐만 아니라 관리 시스템(170, 175) 등과 연관된 그래픽 사용자 인터페이스를 비롯한, 적어도 하나의 그래픽 디스플레이 디바이스 및 시스템 디바이스의 컴퓨터 프로세서에 의해 지원되어, 사용자가 시스템(100)에서 제공되는 애플리케이션 및 다른 프로그램의 그래픽 사용자 인터페이스를 보고 그와 상호작용하게 해주는, 사용자 인터페이스를 더 포함할 수 있다. 더욱이, 시스템 디바이스는 하나의 사용자에 의해 사용되는 측면에서 기술될 수 있지만, 본 개시는 많은 사용자가 하나의 컴퓨터를 사용할 수 있거나 하나의 사용자가 복수개의 컴퓨터를 사용할 수 있는 것을 고려한다.
도 1은 복수개의 요소를 포함하거나 복수개의 요소와 연관되는 것으로 기술되지만, 도 1의 컴퓨팅 환경(100) 내에서 예시되는 모든 요소가 본 개시의 대안의 구현예 각각에서 활용되지 않을 수 있다. 또한, 도 1의 예와 관련하여 기술되는 요소 중 하나 이상은 컴퓨팅 환경(100)의 외부에 배치되어 있을 수 있지만, 다른 사례에서 어떤 요소는 기술된 다른 요소뿐만 아니라 예시된 구현예에서 기술되지 않은 다른 요소 중 하나 이상의 요소 내에 포함되거나 또는 그의 일부로서 포함될 수 있다. 또한, 도 1에 예시된 어떤 요소는 다른 컴포넌트와 조합될 수 있고, 그 뿐만 아니라 본 명세서에서 개시된 것 목적 이외의 대안의 목적이나 추가적인 목적을 위해 사용될 수 있다.
컴퓨팅 시스템 내 자산을 검출하고, 식별하고, 추적하고 관리하는 일은 특히 이런 일이 시스템의 보안에 관련되므로 전통적으로 시스템 관리자에게 상당한 과제에 직면하게 해주었다. 네트워크에 연결되어 있는 미지의, 제대로 파악할 수 없거나, 또는 제대로 모니터링되지 않는 단일의 디바이스는 잠재적으로 시스템을 멀웨어, 무단 데이터 액세스, 불량 사용자 등을 포함하는, 다양한 보안 위협과 취약성에 노출시킬 수 있다. 일부 사례에서, 에이전트는 시스템 디바이스 상에 설치되어 시스템 디바이스의 속성의 관점(a view)를 획득할 때 관리자를 보조할 수 있고, 네트워크 상의 디바이스를 용이하게 검출하고 그 디바이스와 통신할 수 있으며, 그리고 시스템 디바이스 상에서 특정한 보안 정책을 실시할 수 있다. 그러나, 미관리 디바이스(예를 들면, 에이전트가 설치되지 않은 디바이스)는 디바이스 간 통신 및 동작을 할 수 있도록 해주고, 디바이스가 네트워크에 들어오고 나갈 때 디바이스를 검출해주고, 정책을 각종 디바이스에 적용해주고, 그리고 네트워크 상에서 보안을 실시하도록 설계된 관리 시스템의 통신, 제어 및 감시를 벗어나 있을 수 있다. 실제로, 일부 디바이스 상에 에이전트를 설치하는 일은 어려울 수 있고, 따라서 미관리 디바이스에 관한 매우 부족한 정보 때문에 에이전트를 프로비저닝하는 일은 위험에 빠질 수 있다. 또한, 일부 사례에서, 미관리 디바이스는, 네트워크에 통합되기 보다는 그리고 사용자나 네트워크에 전체적으로 이득이 되기 보다는, 미관리 디바이스가 관리자에 의해 더 주의 깊게 점검을 받을 수 있고, 에이전트를 설치하고, 더 잘 파악하는 것 등이 가능해질 때까지 검역을 받거나 관리된 서브-네트워크로 보내질 수 있다. 또한, 더 많은 디바이스가 점차 컴퓨팅 프로세서에 의해 제어되고, 네트워크 통신 어댑터를 포함하고 있으며 다른 시스템과 통신할 수 있다는 점에서 디바이스가 점차 "스마트"해지고 있으므로, 잠재적으로 미관리 디바이스의 집합은 지속하여 증가한다.
도 1 및 도 2의 시스템과 같이 본 개시에서 기술된 시스템 중 적어도 일부 시스템은 일부 사례에서, 전술한 결점뿐만 아니라 본 명세서에서 명시적으로 기술되지 않은 다른 단점을 극복하는 기능을 포함할 수 있다. 예를 들어, 관리 시스템은 관리 시스템에 의해 관리되는 네트워크 또는 도메인에 참여하거나 이미 그 네트워크 또는 도메인에 존재하는 시스템의 칩셋 상의 하드웨어-기반 관리 컨트롤러와 인터페이싱하는 기능을 갖고 있을 수 있다. 시스템 디바이스의 관리 컨트롤러 하드웨어 인터페이스는 다른 기능 중에서, 관리 시스템에 의해 적극 활용되어 관리 컨트롤러를 인증하고 그리고/또는 관리 컨트롤러를 관리 시스템과 짝짓기하고(pair), 시스템 디바이스의 중요한 시스템 요소의 관리 시스템에 의해 점검 받게 하고, 관리 시스템과 시스템 디바이스 간의 보안 통신을 설정하고, 시스템 디바이스에 보안 프로비저닝을 가능하게 하고, 시스템 디바이스의 상태를 입증하고, 시스템 디바이스의 메트릭 및 모니터링을 수행할 수 있다. 또한, 시스템 디바이스의 관리 컨트롤러를 통해 시스템 디바이스와 통신함으로써, 관리 시스템은 대역-외로 또는 그렇지 않으면 시스템(및/또는 시스템 디바이스 CPU)의 운영 체제의 감시, 영향, 접근, 또는 제어를 받지 않고 그리고 시스템 디바이스 상의 에이전트의 존재와 무관하게, 채널을 통해 디바이스와 직접 대화할 수 있다.
도 2의 예를 참조하면, 각각의 시스템 디바이스(205, 206, 208, 210, 212, 214, 216, 218)를 포함하는 네트워크(201, 203)를 관리하는 관리 시스템(202, 204)을 포함하는 일 예의 시스템을 예시하는 간략한 블록도(200)가 도시되며, 각 시스템 디바이스 중 일부의 시스템 디바이스는 이들의 네트워크(예를 들면, 110, 115)를 관리 할 때 그리고 시스템 디바이스(예를 들면, 205, 208, 210, 212, 214, 216, 218 등)을 포함하는 환경을 관리할 때 관리 시스템(202, 204)에 의해 적극 활용될 수 있는 관리 컨트롤러(예를 들면, 220, 222, 224, 225, 226, 228, 230)를 가지고 있다.
일부 구현예에서, 다양한 여러 관리 시스템(202, 204)은 다양한 여러 시스템 디바이스의 하드웨어-기반 관리 컨트롤러(예를 들면, 220, 222, 224, 225, 226, 228, 230)와 인터페이싱하고 통신할 수 있도록 제공될 수 있다. 일부 사례에서, 관리 컨트롤러는 각종 제조자의 칩셋을 비롯하여, 다양한 여러 시스템 디바이스 및 칩셋 상에서 구현될 수 있다. 그러한 칩셋은 시스템 마더보드, 주문형 집적 회로(ASIC), 필드-프로그래머블 게이트 어레이(FPGA), 그리고 다른 칩셋과 관련하여서는 마이크로프로세서, 및 마이크로컨트롤러를 포함할 수 있다. 일부 사례에서, 관리 컨트롤러(220, 222, 224, 225, 226, 228, 230)는 특정의 표준이나 인터페이스에 따라서 구현될 수 있고, 그래서 정의된 관리 컨트롤러와 인터페이스하도록 적응된 어느 관리 시스템이더라도 관리 컨트롤러를 사용하는 시스템과 호환 가능하고 인터페이싱할 수 있다.
도 3을 참조하면, 일 예의 하드웨어-기반 관리 컨트롤러(예를 들면, 315)를 포함하는 일 예의 시스템 디바이스(305)의 일 예의 시스템 디바이스 칩셋(310)의 간략한 블록도(300)가 도시된다. 앞에서 언급된 것처럼, 시스템 디바이스(305)는 적어도 부분적으로 자동화하여 시스템 디바이스(305)와 관련한 컴퓨터-지원형 제어, 모니터링, 또는 다른 컴퓨터-지원형 기능을 제공하도록 활용되는 적어도 일부의 컴퓨팅 프로세싱 하드웨어(예를 들면, 310)를 포함할 수 있다. 이러한 특정 예에서, 시스템 칩셋(310)은 적어도 부분적으로, 시스템 디바이스가 시스템 칩셋(310)을 통해 하나 이상의 네트워크(예를 들면, 320)에 연결하여 통신하게 해주는 것을 비롯한, 시스템 디바이스(305)의 컴퓨터-지원형 기능을 제공할 수 있다. 특정한 일 예에서, 시스템 칩셋(310)은 시스템 메모리(335)를 활용하여 시스템 메모리(335) 내의 운영 체제 및 하나 이상의 소프트웨어 프로그램을 실행하는 중앙 처리 유닛(330)를 포함할 수 있다. 시스템 칩셋(310)은 하드웨어-기반 관리 컨트롤러를 구현하면서 중앙 처리 유닛(CPU)(330)와 별개로 구성된 관리 마이크로컨트롤러 서브시스템(315)을 더 포함할 수 있다. 도 3의 특정 예에서, 관리 마이크로컨트롤러(315)는 예를 들어, 시스템 칩셋(310)의 하드웨어 상의 (예를 들면, 시스템 칩셋(310)의 노스브릿지 칩(340) 상의 전용의 관리 컨트롤러 칩 등으로서) 내장된 마이크로컨트롤러로서 구현될 수 있다.
일부 구현예에서, 일 예의 관리 마이크로컨트롤러(315)는 저전력의 대역-외 관리 컨트롤러를 제공하는 경량의 마이크로커널 운영 체제를 구동할 수 있다. 관리 마이크로컨트롤러는 제한되고, 신뢰성 있고, 안전한 환경에 있는 CPU 및 그 동작과 기능적으로 분리될 수 있다. 일부 구현예에서, 관리 마이크로컨트롤러(315)는 관리 컨트롤러 명령어 코드가 로딩될 수 있는 관리 마이크로컨트롤러의 플래시 메모리 컴포넌트와 같은, 시스템 메모리(335)와는 별개의 메모리(355)를 활용할 수 있다. 또한, 보안 메모리(355)는 관리 컨트롤러에 의해 액세스되어 사용될 수 있는 인증 데이터, 시스템 디바이스(305)의 보안 식별자, 및 시스템 디바이스(305) (및/또는 시스템 칩셋(310))의 속성 정보 데이터를 저장하는데도 사용될 수 있다. 그러한 구현예는 시스템 디바이스(305)의 CPU(330), 운영 체제, 및/또는 다른 하드웨어 및 소프트웨어 컴포넌트가 전원이 꺼져있거나, 슬립핑 상태이거나, 작동 중단 상태이거나, 시스템 메모리(335)에 로딩되지 않은 상태이거나, 그렇지 않으면 가동할 수 없을 때 관리 마이크로컨트롤러(315)가 구동되어 작동되게 할 수 있다. 실제로, 일부 구현예에서, 관리 마이크로컨트롤러(315)의 전력 상태는 CPU(330)를 비롯한 시스템 칩셋(310)의 다른 하드웨어의 전력 상태와 독립적일 수 있다.
관리 마이크로컨트롤러(315)는 또한 시스템 디바이스(305)의 운영 체제가 이용 불가능함에도 네트워크에 액세스하도록 구성될 수 있다. 따라서, 관리 마이크로컨트롤러(315)는 시스템 디바이스의 네트워크 인터페이스에 직접 액세스할 수 있다. 일부 구현예에서, 관리 마이크로컨트롤러는 (이를 테면, 전용 TCP/IP 스택을 통해) 완전히 독립적인, 대역-외 통신 채널을 구동할 수 있고, 그래서 마이크로컨트롤러는 CPU에 의해 처리되지 않은 패킷을 검사하고 수신할 수 있을 뿐만 아니라 CPU가 인바운드 및/또는 아웃바운드 트래픽에 액세스하기 전에 이 트래픽을 검사할 수 있다. 실질적으로, (예를 들면, (350)에서) 단일의 물리적 네트워킹 커넥터 상에서 두 개의 논리적 네트워크 연결이 유지될 수 있는데, 그 하나는 CPU(330)를 통한 대역-내 연결이고 다른 하나는 관리 마이크로컨트롤러를 통한 대역-외 연결이다. 네트워크 컨트롤러(들)(350) 내 네트워크 필터는 예를 들면, 포트 번호에 기초하여, 프로그램에 따라서 트래픽을 관리 컨트롤러(315)에서 호스트 운영 체제 인터페이스 또는 관리 컨트롤러의 인터페이스로 향하게 하는데 활용될 수 있다. 독립적인 네트워크 통신 채널은 관리 마이크로컨트롤러(235) (및 관리 마이크로컨트롤러를 이용하여 구현된 관리 컨트롤러)가 예를 들면, 운영 체제의 상태에 구애 받지 않고 효과적으로 언제라도 발생할 수 있는 각종 통신 및 원격 관리 기능을 수행할 수 있게 한다.
관리 마이크로컨트롤러(315)는 그의 독립적인 및/또는 전용의 네트워크 통신 채널(들)을 활용하여 관리 시스템(325)을 포함하는 외부 시스템과 네트워크(320)를 통해 통신할 수 있다. 식별 데이터(360)는 관리 컨트롤러-액세스 가능한 메모리(예를 들면, 355)에서 유지될 수 있으며 교환되거나 관리 시스템(예를 들면, 325)과 교환된 보안 식별자를 도출하는데 사용되어 관리 컨트롤러를 관리 시스템(325)에게 인증할 뿐만 아니라 (또는 대안으로) (예를 들면, 다른 예 중에서, 관리 시스템(325)으로부터 수신된 인증서를 식별 데이터(360) 내에 유지된 인증서와 비교함으로써) 관리 시스템(325)을 관리 컨트롤러에게 인증할 수 있다. 속성 데이터(365)도 또한 관리 컨트롤러-액세스 가능한 메모리(예를 들면, 보안 메모리(355))에서 유지될 수 있다. 그러한 속성 데이터(365)는 관리 컨트롤러와 관리 시스템 사이의 보안 세션에서 인증된 관리 시스템(예를 들면, 355)으로 전달될 수 있다. 관리 컨트롤러는 예를 들면, 관리 마이크로컨트롤러(315)와 관리 시스템(325) 사이에서 메시지를 보내기 위한 통신 인터페이스를 제공하는 관리 시스템과 관리 컨트롤러 사이에 제공된 API를 통하여, 속성 데이터를 관리 시스템(325)에게 드러내 보여줄 수 있다.
관리 컨트롤러-액세스 가능한 메모리(예를 들면, 355)는 또한 관리 마이크로컨트롤러에 의해 기록될 수 있다. 일부 구현예에서, 관리 컨트롤러-액세스 가능 메모리(예를 들면, 355)는 시스템 디바이스(305)의 다른 하드웨어 컴포넌트 및 시스템 디바이스(305)의 운영 체제가 보안된 메모리에 액세스할 수 없다는 점에서 비-휘발성의 보호된 메모리일 수 있으며, 따라서 메모리(355)에 저장된 정보의 무결성 및 신뢰성을 보장할 수 있다. 일부 구현예에서, 관리 컨트롤러-액세스 가능한 메모리(예를 들면, 355) 자원의 수정은 식별 데이터(360)의 삭제 요청으로 제한될 수 있고, 그래서 사용자가 (예를 들면, 시스템 디바이스를 판매 또는 재활용 하기 전에 또는 사용자의 프라이버시를 보존하기 위하여) 식별 데이터를 클리어하게 할 수 있다. 또한, 보호된 관리 컨트롤러-액세스 가능한 메모리(예를 들면, 355) 이외에, 일부 구현예에서, 관리 마이크로컨트롤러(315)는 부가적으로 시스템 메모리(335) 자체에 액세스할 수 있고, 그래서 시스템 디바이스(305)와 관련한 부가적인 정보가 관리 컨트롤러의 인터페이스를 통해 액세스되고 노출되게 할 수 있다. 예를 들어, 관리 마이크로컨트롤러(315)는 시스템 디바이스(305)의 다른 컴포넌트를 검사하여 시스템 메모리에서 발견할 수 있는 속성(예를 들면, 시스템 디바이스 상의 애플리케이션, 시스템 디바이스에서 이력 활동, 디바이스 상태, 네트워크 연결, 시스템 디바이스의 사용자 프로파일 등)을 비롯한, 시스템 디바이스의 속성 정보를 식별하고 수집하는데 사용될 수 있다. 다른 구현예에서, 관리 마이크로컨트롤러(315)는 다른 예 중에서, 관리 마이크로컨트롤러(315)가 시스템 메모리(335)에 기록하거나 그렇지 않으면 액세스하게 하고, 에이전트, 다른 프로그램 및 데이터를 시스템 디바이스에 로딩하는 것과 같은 작업을 수행하게 해주는 기능 및 인터페이스를 갖고 있을 수 있다.
도 2의 예를 참조하면, 관리 시스템(202)의 일부 구현예에서, 관리 시스템(202)은 기업 네트워크(예를 들면, 203)와 같은 도메인에 필요한 보안 관리 및 다른 서비스를 제공하도록 맞추어 조정될 수 있다. 예를 들어, 보안 관리 시스템(202)은 프로세서(232) 및 메모리 요소(234)는 물론이고, 다른 잠재적인 컴포넌트 중에서, 컨트롤러 관리자(236), 에이전트 관리자(238), 자산 관리자(240), 및 정책 관리자 엔진(247)을 포함하는 하나 이상의 하드웨어 및 소프트웨어 컴포넌트를 포함할 수 있다.
일부 구현예에서, 컨트롤러 관리자(236)는 도메인(203)에 있는 시스템 디바이스(예를 들면, 205, 210) 상의 하드웨어-기반 관리 컨트롤러(예를 들면, 220, 224)와 인터페이싱하기 위한 기능을 포함할 수 있다. 예를 들어, 컨트롤러 관리자(236)는 랩톱 컴퓨터(210)의 관리 컨트롤러(224)와 대역-외로 인터페이싱하여 관리 컨트롤러(224)와 짝짓기(pairing) 하는데 사용될 수 있다. 이러한 페어링은 관리 컨트롤러(예를 들면, 224)와 관리 시스템(202) 사이의 상호 인증을 포함할 수 있다. 일부 구현예에서, 인증서, 보안된 식별자, 및 다른 인증 데이터(예를 들면, 244)가 관리 시스템(202)과 관리 컨트롤러(예를 들면, 224) 사이에서 교환될 수 있다. 일부 사례에서, 관리 시스템(202)과 관리 컨트롤러와의 페어링에 사용되는 인증서 또는 다른 인증 데이터는 (즉, 관리 컨트롤러가 다른 관리 시스템(예를 들면, 204)과의 통신 및 트랜잭션에서 상이한 인증 데이터를 사용하고 그리고 그렇게 사용하리라고 생각하고, 그래서 적어도 부분적으로 관리 컨트롤러(예를 들면, 224)를 통해 액세스 가능한 시스템 디바이스의 프라이버시 및 보안을 유지하는데 돕는 역할을 한다는 점에서) 그 페어링에 특정할 수 있다. 예를 들어, 관리 시스템과 관리 컨트롤러의 상호 인증은 본 명세서에서 참조문헌으로 인용되는, 2012년 12월 23일자로 출원된 "Hardware-Based Device Authentication (하드웨어-기반 디바이스 인증)"이라는 명칭의 미국 특허출원 제 13/726,140 호 및/또는 2012년 12월 23일 출원된 "Hardware-Based Device Authentication)"이라는 명칭의 미국 특허출원 제 13/726,148 호에 기술된 원리에 따라서 성취될 수 있다. 관리 컨트롤러를 관리 시스템(202) 에게 (그리고 일부 사례에서는 그 반대로) 인증함으로써, 관리 시스템(202) 및 관리 컨트롤러는 짝지어질 수 있고 보안 통신 채널 또는 API가 이들 사이에 설정되고, 그래서 다른 예 중에서, 관리 시스템(202)이 관리 컨트롤러에게 질의하여 데이터를 요청하고, 데이터를 관리 컨트롤러로부터 수신하고, 명령어를 관리 컨트롤러에게 송신할 수 있게 된다.
컨트롤러 관리자(236)는 또한 예를 들어, 랩톱 컴퓨터(210)의 관리 컨트롤러(224)를 통해, 시스템 디바이스의 컴퓨팅 기능의 적어도 일부의 속성 정보를 획득하기 위해 관리 컨트롤러와 인터페이싱할 수 있다. 그러한 속성 데이터는 컴퓨팅 디바이스의 제조품, 모델, 및/또는 제조자는 물론이고, 예를 들면, 랩톱 컴퓨터의 소프트웨어(예를 들면, 운영 체제), 그 버전 등을 식별하는, 관리 컨트롤러(224)에 액세스 가능한 (예를 들면, 시스템 메모리와 별개의) 메모리에 저장된 데이터를 포함할 수 있다. 속성 정보는 관리 시스템(202)에 의해 해당 시스템 디바이스를 더 잘 파악하고 관리하려는데 사용될 수 있다. 예를 들면, 컨트롤러 관리자(236)는 속성 정보에 기초하여, 대역-내로 랩톱 컴퓨터(210)의 중앙 프로세서 및 운영 체제를 통해, 관리 시스템(202)에 의해 랩톱 컴퓨터(210)와 통신하는데 사용될 수 있는, 하나 이상의 디바이스 드라이버(예를 들면, 246)를 식별할 수 있다. 또한, 속성 정보는 해당 시스템 디바이스(예를 들면, 210)의 보안을 평가할 때 관리 시스템(202)에 의해 사용 가능한 정보를 포함할 수 있다. 일 예에서, 속성 정보는 관리 컨트롤러가 액세스 또는 식별할 수 있는 다른 정보 및 데이터 중에서, 시스템 디바이스가 작동 중단 중이거나 전원이 꺼졌거나 운영 체제가 실시 불가능할 때를 비롯하여, 시스템 디바이스의 하나 이상의 디바이스 식별자(ID), 디바이스의 보안 프로비저닝 상태(예를 들면, 디바이스가 에이전트를 설치했는지 또는 그렇지 않으면 디바이스 상에서 동작 가능한지의 여부), 관리 컨트롤러의 관리 시스템(202)에 의한 마지막 문의 이래로 디바이스의 보안 이력, 시스템 디바이스가 특정 기간 동안 연결되었던 네트워크 게이트웨이, 디바이스의 네트워크 상태(예를 들면, 디바이스가 온/오프인지, 네트워크에서 현재 작동 중인지 등)를 포함할 수 있다.
앞에서 언급한 것처럼, 관리 컨트롤러와의 페어링은 관리 시스템(202)으로 하여금 관리 컨트롤러와 통신하게 하고 관리 컨트롤러로부터 데이터를 수신하게 할 수 있다. 디바이스 컨트롤러 관리자(236)는 관리 컨트롤러(예를 들면, 224)로부터 획득한 정보를 활용하여 관리 시스템(202)에 의해 관리되는 도메인의 보안에 관련하는 부가적인 조치를 관리 시스템(202)을 통해 트리거할 수 있다. 예를 들면, 관리 시스템(202)은 타겟 시스템 디바이스에 배포된 및/또는 도메인 내 시스템 디바이스로부터 멀리 떨어져서 국부적으로 배포된, 예를 들면, 다른 예 중에서, 방화벽, 웹 게이트웨이, 메일 게이트웨이, 호스트 명령어 보호(host intrusion protection (HIP)) 툴, 네트워크 침입 보호(network intrusion protection (NIP)) 툴, 안티-멀웨어 툴, 데이터 손실 방지(data loss prevention (DLP)) 툴, 시스템 취약성 관리자, 시스템 정책 준수 관리자, 자산 중요도 툴, 침입 탐지 시스템(intrusion detection systems (IDS)), 침입 방호 시스템(intrusion protection systems (IPS)), 및/또는 보안 정보 관리(a security information management (SIM)) 툴과 같은 일련의 보안 툴과 협력하여 동작하거나 그 보안 툴을 관리할 수 있다. 보안 정책은 어떻게 그리고 어떤 동작이 시스템 디바이스 상의 보안 툴에 의해 채용되어야 하는지를 통제하는 것으로 정의될 수 있다. 그럼에도 불구하고, 보안 시행은 또한 예를 들면, 구동 중이거나, 로딩되거나, 그렇지 않으면 시스템 디바이스와 직접 인터페이싱하는, 그리고 일부 사례에서는 관리 컨트롤러에게 타겟 디바이스에서 직접 정책을 시행하기 위한 인터페이스를 제공하는 보안 툴을 통하여, 타겟 시스템 디바이스에서 국부적으로 가능하다. 예를 들어, 일부 예에서, 시스템 디바이스 상에 배포된 에이전트(예를 들면, 248, 250)는 예를 들면, 다른 예 중에서, 특정 시스템 디바이스에 적용된 하나 이상의 보안 정책에 따라서 디바이스에서 특정 행위를 국부적으로 차단하고, 정책 명령어를 특정 시스템 디바이스 상의 다른 보안 툴로 전달하는 보안 시행 툴로서의 역할을 수행할 수 있다. 보안 정책은 시스템 디바이스의 속성에 기초하여 시스템 디바이스에 적용될 수 있다. 앞에서 언급한 것처럼, 그러한 속성은 다른 예 중에서, 디바이스에 설치된 에이전트 및/또는 시스템 디바이스의 하드웨어-기반 관리 컨트롤러를 이용하여 식별되고 수집될 수 있다.
일부 사례에서, 관리 시스템(202)은 에이전트가 관리 컨트롤러(예를 들면, 224)의 시스템 디바이스(예를 들면, 210)에 설치되어 있는지 그리고 어느 타입(들)의 에이전트가 설치되어 있는지 여부를 결정할 수 있음은 물론이고, 에이전트가 해당 시스템 디바이스(예를 들면, 212)에 설치되어 (예를 들어, 관리 컨트롤러 외부의) 시스템 디바이스를 스캐닝하고, 시스템 디바이스와 통신하고, 시스템 디바이스에서 보안을 시행하는 훨씬 더 많은 툴을 관리 시스템(202)에게 제공할 수도 있는지 여부(그리고 어느 타입이 그러한지)를 결정할 수 있다. 실제로, 일부 예에서, 컨트롤러 관리자(236)는 관리 컨트롤러를 이용하여 에이전트를 시스템 디바이스(210)에서 프로비저닝할 수 있다. 다른 예에서, (관리 컨트롤러(예를 들면, 224)로부터 획득된 정보에 기초하여) 시스템 디바이스를 위해 획득되거나 식별된 속성 정보 및/또는 디바이스 드라이버(예를 들면, 246)는 예를 들어, 시스템 디바이스의 운영 체제를 통해 시스템 디바이스 상에 에이전트를 설치하는데 사용될 수 있다. 일부 사례에서, 시스템 디바이스(예를 들면, 210)에 프로비저닝된 에이전트는 해제될 수 있거나 그렇지 않으면 시스템 디바이스(예를 들면, 210)가 네트워크(215)를 떠나서 관리된 네트워크(예를 들면, 203)에 머물면서 손상된 동안 일시적으로 프로비저닝되는 에이전트와 같은 임시 에이전트일 수 있다.
도 2의 예에서 도시된 바와 같이, 일 예의 관리 시스템(202)은 네트워크(215) 상의 시스템 디바이스의 에이전트와 인터페이싱하도록 적응된 에이전트 관리자(238)를 더 포함할 수 있다. 각 시스템 디바이스의 관리 컨트롤러에 기초하여 및/또는 그 관리 컨트롤러를 통하여 시스템 디바이스 상에 프로비저닝된 에이전트를 포함하는 에이전트(예를 들면, 248, 250)는 관리 시스템(202)이 해당 시스템 디바이스의 특별한 속성, 구성, 및 활동을 점검하게 하는 소프트웨어-기반 에이전트를 포함할 수 있다. 그러한 에이전트는 네트워크 상의 해당 디바이스를 검출하고, 특정한 중요 디바이스 속성을 모니터링하고, 시스템 디바이스에서 아주 간단한 특정 보안 정책을 시행할 수 있다. 일부 사례에서, 관리 시스템(202)은 소프트웨어-기반 에이전트(예를 들면, 250)를 통해 그의 호스트(예를 들면, 208)에게 제공된 인터페이스를 역시 그 시스템 디바이스 상의 하드웨어-기반 관리 컨트롤러(예를 들면, 222)를 통해 제공된 인터페이스로 보충할 수 있고, 그래서 관련된 보안 정보를 획득하고 시스템 디바이스에 대해 특정한 보안 작업을 수행할 수 있다. 실제로, 관리 컨트롤러는 시스템 디바이스의 운영 체제의 고장에 대비한 자동안전장치의 형태를 제공하며 그럼으로써 시스템 디바이스에서 임의의 에이전트를 제공할 수 있고, 그래서 관리 시스템은 시스템 디바이스의 운용에 주어지는 다른 관점을 갖게 된다.
일 예의 관리 시스템(202)은 자산 관리자(240)를 더 포함할 수 있다. 관리 시스템(202)은 네트워크(215)에서 검출되거나 그렇지 않으면 네트워크를 이용하는 시스템 디바이스와 함께 각각의 시스템 디바이스의 알고 있는 속성의 목록을 만들 수 있다. 네트워크(215)에서 검출되는 일련의 시스템 디바이스와 관련하는 그러한 정보는 자산 저장소(254)(또는 다른 데이터베이스, 데이터 구조(들) 등)에 기록될 수 있다. 그러한 자산 저장소(254)는 예를 들면, 자산 관리자(240)에 의해 구축되고, 보충되고, 그렇지 않으면 관리될 수 있다. 또한, 관리 시스템(202)은 자산 저장소(254)를 활용하여 네트워크에 있는 시스템 디바이스를 추적할 수 있으며 자산 저장소(254)에서 목록으로 만들어진 시스템 디바이스의 속성에 기초하여 특정 정책(252)을 검출된 특정 시스템 디바이스(예를 들면, 205, 206, 208, 210)에다 자동으로 적용할 수 있다. 또한, 시스템 디바이스의 대응하는 관리 컨트롤러(예를 들면, 220, 222, 224)에게 문의하고 그와 통신한 결과로 획득되는 각종 시스템 디바이스의 속성 정보는 자산 저장소(254)에 저장되고 사용되어 네트워크(215)에 있는 시스템 디바이스에 대해 정책(252)이 어떻게 적용되고 시행되는지를 알려줄 수 있다.
일부 구현예에서, 정책 관리자 엔진(242)은 정책(252)을 특정 시스템 디바이스에 할당하고 그 정책을 시행하는 기능을 제공할 수 있다. 또한, 일부 구현예에서, 정책 관리자 엔진(242)은 새로운 정책을 정의하고, 기존 정책을 수정하고, (예를 들면, 시스템 디바이스의 검출된 속성에 기초하여) 정책을 특정 시스템 디바이스에게 적용하는 룰 및 기준을 설정하는 등의 기능을 더 포함할 수 있다. 정책 관리자 엔진(242)은 네트워크 내에서 배포되고 그리고 시스템 디바이스 자체에 국부적으로 배포된 하나 이상의 각종 보안 툴과 협력하여 동작할 수 있다. 예를 들어, 일부의 보안 툴은 시스템 디바이스로부터 멀리 떨어져 배포되어 정책의 시행이 타겟 시스템 디바이스, 애플리케이션, 또는 사람에게서 멀리서 이들을 대신하여 이루어질 수 있게 함으로써, 정책(또는 시행)을 타겟 자체에 강요하지 않고 보안을 시행할 수 있다. 이것은, 예를 들어, 모니터링되는 네트워크에 들어오고 나가는 모바일 디바이스뿐만 아니라, 중요한 보안 정책을 시행할 수 있는 에이전트 또는 다른 로컬 보안 툴을 포함하지 않은 디바이스와 같은 미관리 디바이스의 보안 시행 시 유용할 수 있다.
다른 도메인(예를 들면, 사설 네트워크(201)의 다른 관리 시스템(예를 들면, 204)은 컴퓨팅 환경 내의 여러 디바이스의 관리 및 상호운용을 평가하는데 중점을 둔 기능을 포함할 수 있다. 예를 들어, 디바이스 관리 시스템(204)은 프로세서(256)와 메모리 요소(258) 및 예를 들어, 컨트롤러 관리자(260), 제휴 관리자(262), 조회 엔진(264), 디바이스-간 통신 엔진(266) 등을 포함하는 관리 시스템(204)의 기능을 실시하는 하나 이상의 컴포넌트를 포함할 수 있다. 관리 시스템(204)의 컨트롤러 관리자(260)는 네트워크(201) 상의 관리 컨트롤러들과 인터페이싱하도록 적응될 수 있다. 관리 시스템(204)의 컨트롤러 관리자(260)는 앞에서 기술된 관리 시스템(202)의 컨트롤러 관리자(236)의 기능과 유사한 기능을 가질 수 있다. 이것은 특히, 예를 들어, 상이한 관리 시스템(202, 204)이 각기 각각의 네트워크(203, 201)에 있는 각종 시스템 디바이스에 포함된 공통적인 타입 또는 표준의 컨트롤러 관리자와 인터페이싱하고 통신하도록 적응될 때 그러할 수 있다. 예를 들어, 컨트롤러 관리자(260)는 시스템 디바이스를 (그의 컨트롤러 관리자를 통해) 검출하고 그 시스템 디바이스가 네트워크(201) 상에 있는지 여부를 식별하는 기능을 포함할 수 있다. 또한, 컨트롤러 관리자(260)는 관리 컨트롤러(예를 들면, 225, 226, 228, 230 등)를 인증하고 짝짓기하는데 사용될 수 있으며 또한 각각의 관리 컨트롤러와 컨트롤러 관리자(260) 사이에서 메시지를 보내는 통신 프로토콜 및 보안 통신 채널을 설정하는데 사용될 수 있다.
또한, 시스템 디바이스에 저장되고 관리 컨트롤러에게 액세스 가능한 속성 정보는 관리 시스템(204)의 컨트롤러 관리자(260)를 이용하여, 인증된 관리 시스템(204)에게 전달될 수 있다. 그러한 정보는 시스템 디바이스 및 그 시스템 디바이스 상의 컴퓨팅 장비의 타입을 식별하는 정보를 포함할 수 있고, 그래서 관리 시스템은 시스템 디바이스에 대응하는 디바이스 드라이버를 식별하고 그리고/또는 검색할 수 있게 된다. 그러한 정보는 디바이스의 하드웨어에서 도출되는 시스템 디바이스의 보안 식별자를 더 포함할 수 있다.
예시적인 예로서, 속성 정보는 홈 네트워크와 같은 사설 네트워크(201) 상의 특정 스마트 텔레비전 디바이스(214)의 관리 컨트롤러(226)를 이용하여 관리 시스템(204)으로 송신될 수 있다. 이러한 특정 예에서, 속성 정보는 시스템 디바이스의 컴퓨팅 장비 및/또는 시스템 디바이스 자체의 제조품, 모델, 및 제조자의 식별을 포함할 수 있다. 속성 정보는 또한 버전 정보를 비롯하여, 시스템 디바이스의 컴퓨팅 장비에 의해 사용되는 펌웨어, 운영 체제, 및 다른 소프트웨어의 식별을 포함할 수 있다. 속성 정보를 이용함으로써, (예를 들어, 컨트롤러 관리자를 이용하는) 관리 시스템은 시스템 디바이스 및/또는 그의 컴퓨팅 장비에 필요한 디바이스 드라이버를 서비스해주는 소스(예를 들면, 245)를 식별할 수 있다. 예를 들어, 예시적인 일 예에서, 컨트롤러 관리자(260)는 자동차(216)의 인-대쉬형 컴퓨팅 시스템의 관리 컨트롤러(228)와 인터페이싱할 수 있으며 자동차의 제조품, 모델, 및 제조자 뿐만 아니라, 일부 사례에서는 인-대쉬형 컴퓨팅 시스템의 제조품, 모델, 제조자, 및 소프트웨어 버전과 같은 정보를 획득할 수 있다. 컨트롤러 관리자(260)는 다른 예 중에서, 개인의 랩톱 컴퓨터(212)와 같은 더 전통적인 컴퓨팅 디바이스의 관리 컨트롤러(예를 들면, 225)와도 유사하게 인터페이싱할 수 있다. 어느 사례에서든, 컨트롤러 관리자(260)는 관리 컨트롤러로부터 획득한 정보를 이용하여 인터넷(180)을 통해 소스에게 질의하여, 예를 들면, 시스템 디바이스(예를 들면, 216)와 통신할 때뿐만 아니라, 시스템 디바이스(예를 들면, 216)의 이용 가능한 기능, 상호운용성, 및 특징을 드러낼 때 관리 시스템(204)에 다운로딩하여 관리 시스템(204)에 의해 사용하기 위한 디바이스 드라이버를 식별할 수 있다.
시스템 디바이스의 관리 컨트롤러로부터 획득된 시스템 디바이스의 속성 정보를 이용하여 시스템 디바이스를 식별하고 그의 디바이스에 필요한 드라이버를 식별하는 것 이외에, 속성 정보는 또한 관리 시스템에 의해 시스템 디바이스에 관한 부가적인 정보를 제 3 자 소스로부터 식별하는데 사용될 수 있다. 예를 들어, 자동차(216) 내 차량용 컴퓨터의 예를 계속 참조하면, 자동차(216) (및/또는 차량-탑재 컴퓨터)의 제조품, 모델, 및 제조자는 컨트롤러 관리자(260)와 대역-외 통신을 통해 결정될 수 있으며 관리 시스템(204)에 의해 자동차에 관한 부가적인 정보를 호스팅하는 소스 서버(예를 들면, 255)를 식별하는데 사용될 수 있다. 예를 들어, 소스 서버(255)는 자동차의 제조자와 연관된 서버, 차량 이력 데이터베이스, 자동차와 연관된 자동차 유지관리 공급자 등을 포함할 수 있다. 소스 서버와의 통신을 통해, 관리 시스템(204)은 관리 컨트롤러(228)로부터 획득한 정보 중 적어도 일부, 예를 들면 자동차의 제조품 및 모델, 자동차의 차량 식별 번호(vehicle identification number, VIN) 등을 소스 서버와 공유할 수 있으며 특정 자동차와 관련한 부가적인 정보를 소스 서버(255)로부터 획득할 수 있다. 그러한 부가적인 정보는 제조자로부터의 리콜 경보, 오일 교환 기록과 상태, 마일리지 정보, 유지보수 정보, 및 기타 정보를 포함할 수도 있다. 관리 시스템(204)에 의해 획득되는 정보는 예를 들면, 자동차에 관한 경보 및 다른 메시지를 (예를 들면, 스마트 폰(218)과 같은 다른 시스템 디바이스를 통해) 사용자에게 발생시키고 푸시하거나, 관리 시스템(204)의 다른 작업 및 통신을 자동차의 특정 속성에 맞게 조정하는데 사용될 수 있다. 보충 데이터의 적절한 소스 및 타입은 마찬가지로, 다른 예 중에서, 도메인(201)에 있는 다른 디바이스(예를 들면, 212, 215, 218)의 호환 가능한 관리 컨트롤러(예를 들면, 225, 226, 230) 중 임의의 컨트롤러로부터 획득되는 속성 정보에 기초하여, 관리 시스템(204)에 의해 식별되고 사용될 수 있다.
일부 예에서, 관리 시스템(204)은 다른 쪽과 통신하거나 짝지어 지지 않은 네트워크 상의 두 개의 상이한 시스템 디바이스를 연계시키는 기능을 포함할 수 있다. 앞에서 언급한 것처럼, 관리 시스템(204)은 사설 네트워크(110)에 있는 하나의 시스템 디바이스에 관련하는 정보를 식별하고 그 정보를 다른 시스템 디바이스에 의해 사용하기 위해, 또 다른 하나의 시스템 디바이스에 전달할 수 있다. 예를 들어, 제휴(association)(예를 들면, 272)는 사설 네트워크(110)에 있는 둘 이상의 시스템 디바이스(212, 214, 216, 218) 간의 관계를 식별하거나 정의하는 관리 시스템(204)의 제휴 관리자(association manager)(262)를 이용하여 생성될 수 있다. 그러한 제휴는 예를 들면, 관리 시스템의 하나 이상의 사용자 인터페이스를 통하여 사용자로부터 관리 시스템에 의해 수신되는 사용자의 시스템 디바이스(212, 214, 216, 218) 중 둘 이상의 시스템 디바이스를 제휴하라는 사용자 요청에 기초하여 정의될 수 있다. 다른 사례에서, 관리 시스템은 둘 이상의 시스템 디바이스(212, 214, 216, 218) 사이의 제휴를 자동으로 식별할 수 있으며, 일부 사례에서는 이들 사이의 제휴를 정의할 수 있다. 예를 들어, 관리 시스템(204)은 시스템 디바이스의 다른 카테고리와 연관하는 몇몇 유틸리티를 가진 것으로 식별되는 여러 시스템 디바이스의 카테고리를 식별할 수 있다. 예를 들어, 스마트 가정용 가전기기 및 스마트 TV(또는 다른 디스플레이 디바이스)가 연루하는 상호운용이 정의될 수 있고, 그래서, 일 예에서, 사용자가 디스플레이 디바이스를 주시하거나 그렇지 않으면 사용하는 동안 디스플레이의 사용자에게 가전기기의 상태에 관한 메시지(예를 들면, 세탁이 끝났음, 냉장고에 아이스 크림이 없음, 에어컨이 작동 중임 등)가 전달될 수 있다. 다양한 다른 관계의 유형과 상호운용이 정의될 수 있고 제휴 관리자(262)에게 이용 가능하게 되어, 다른 예 중에서, 네트워크(110)에 있는 두 개의 상이한 시스템 디바이스가 미리-정의된 관계 또는 상호운용에 따라서 디바이스끼리 짝지어주는 카테고리를 가지고 있다는 것을 식별할 수 있다.
제휴 관리자(262)에 의해 상이한 두 시스템 디바이스 사이에서 정의된 제휴(272)는 제휴된 시스템 디바이스 중 적어도 한 시스템 디바이스로 하여금 그 제휴에 속한 다른 디바이스에 관련한 메시지에 동의하게 할 수 있다. 컨트롤러 관리자(260)을 사용하여, 정보는 네트워크(110)에 있는 각 시스템 디바이스(212, 214, 216, 218)의 각 관리 컨트롤러(225, 226, 228, 230)로부터 획득될 수 있으며 추가 정보는 관리 시스템(204)에 의해 (예를 들면, 관리 컨트롤러(225, 226, 228, 230)를 통해 획득된 정보에 기초하여) 디바이스를 위해 획득된 디바이스 드라이버를 이용하여 획득될 수 있다. 예를 들어, 관리 시스템(204)은 각 시스템 디바이스에게 대역-내로 또는 대역-외로 (또는 둘 다) 질의하여 시스템 디바이스에게 디바이스들 간의 관계를 식별하고 설정할 때 사용하기 위한 속성 정보를 문의할 수 있다. 다른 예에서, 시스템 디바이스는 경보, 속성 변동, 및 다른 정보를 관리 시스템(204)에게 푸시하도록 구성될 수 있다. 관리 시스템(204)의 디바이스 관리자(264)는 네트워크(110) 상의 시스템 디바이스의 정보, 드라이버, 통신 프로토콜, 상태, 및 검출을 관리할 수 있다.
디바이스 관리자(264)는 또한 시스템 디바이스로부터 획득된 정보의 사용을 전담하여 예를 들어, 외부의 소스(예를 들면, 255)에게 (예를 들어, 특별한 예로 코드, 규격 값, 또는 다른 시스템 디바이스 속성의 정의를 결정하기 위하여) 부가적인 시스템 디바이스 정보 또는 시스템 디바이스에 의해 수신된 메시지의 맥락을 제공하는 정보를 질의할 수 있다. 두 시스템 디바이스 사이에서 제휴, 페어링, 또는 동의가 정의되는 경우, 관리 시스템(204)는 (예를 들면, 디바이스-간 통신 엔진(266)을 이용하여) 제휴에 속한 제 1 시스템 디바이스에 관한 속성 정보를 식별하고, 제휴에 속한 제 2 시스템 디바이스에 의해 가입되거나 사용 가능한 정보의 타입을 식별하고, 그 정보로부터 디바이스의 성능을 식별하고, 그 정보를 예를 들어, (예를 들면, 제 2 시스템 디바이스의 관리 컨트롤러를 통해 제 2 시스템 디바이스의 점검에 기초하여) 제 2 시스템 디바이스를 위해 획득된 디바이스 드라이버에 따라서, 제 2 시스템 디바이스에 의해 사용 가능한 형태로 변환할 수 있다. 일부 사례에서, 제휴된 시스템 디바이스들 간의 메시지 전달은 다른 예 중에서, 관리 시스템(204)에 의해 설정되고 관리 시스템(204)과 네트워크(201)에 있는 각 시스템 디바이스 사이에서 협상된 균일한 메시지 전달 형식을 통해 이루어질 수 있다.
일부 사례에서, 제 2 시스템 디바이스로부터 획득된 데이터에 기초하여 관리 시스템(204)으로부터 제 1 시스템 디바이스로 전달된 메시지는 제 1 시스템 디바이스에 의해 처리되어서, 제 1 디바이스가 관리 시스템을 통해 제 2 디바이스와 상호 동작하는 결과를 가져올 수 있다. 단지 일 예로서, 자동차의 인-대쉬형 컴퓨터는 차량이 잠겨 있는지 여부, 차량의 오일 레벨, 차량의 온도, GPS 데이터, 및 다른 특징 및 진단을 비롯하여, 자동차(216)의 다양한 속성을 추적할 수 있다. 관리 시스템(204)의 API는 인-대쉬형 컴퓨터의 관리 컨트롤러(228)에 프로비저닝될 수 있고, 인-대쉬형 컴퓨터의 드라이버(270)는 관리 시스템(204)에 의해 획득될 수 있으며, 관리 시스템(204)과 자동차(216)의 인-대쉬형 컴퓨터 간의 페어링 및 통신이 설정될 수 있다. 따라서 관리 시스템(204)은 인-대쉬형 컴퓨터에게 자동차(216)의 특정 속성 정보에 관해 질의할 수 있다. 또한, 유사한 페어링 및 통신 채널이 (예를 들어, 관리 시스템 API, 드라이버 등을 통하여) 관리 시스템(204)과 스마트 TV(214) 사이에서 설정될 수 있다. 자동차(216)의 인-대쉬형 컴퓨터가 스마트 TV(214)와의 직접적인 통신이나 상호운용 (및 그와 반대로의 통신이나 상호운용)을 지원할 수 없지만, 관리 시스템(204)과 인터페이싱하고 통신하는 스마트 TV(214) 및 자동차(216)의 인-대쉬형 컴퓨터의 각자의 능력은 관리 시스템(204)이 하나의 제휴된 디바이스로부터의 데이터를 다른 디바이스에 의해 사용하기 위해 포맷하고 다른 디바이스로 푸시하게 할 수 있다. 예를 들어, 관리 시스템(204)에 의해 획득된 스마트 TV의 디바이스 드라이버를 통해 노출되는 스마트 TV의 온-스크린 표시 디스플레이 기능은 자동차(216)의 관리 시스템(204)에 의해 획득된 속성 정보로부터 전개되는 메시지를 비롯한, 스마트 TV에 의해 사용 가능한 메시지를 관리 시스템(204)에 의해 온-스크린 표시로서 전개하는데 사용될 수 있다. 일부 구현예에서, 자동차(216)로부터 도출되는 메시지는 관리 시스템(204)을 통해 수신되는 통신신호를 통하여 스마트 TV 상에 통지로서 제공될 수 있고, 그래서 사용자는 스마트 TV(214)에서 프로그램을 시청하면서 다른 속성 중에서, 자동차(216)의 GPS 위치, 자동차(216)가 열린 채로 있는지 여부, 창문이 열려 있는지 여부, 연료가 떨어졌는지 여부를 표시하는 통지와 같은, 자동차(216)에 관련한 통지를 알아 보게 할 수 있다. (스마트 TV와 자동차 (즉, 그의 내부 컴퓨팅 시스템) 간의 제휴의) 이러한 예는 일부 사례에서, 디바이스의 기능과 통신 프로토콜과 언어에 대한 식견을 얻고 이들 사이의 어느 정도의 상호운용을 용이하게 하기 위하여, 아주 다양한 여러 디바이스들의 하드웨어-구현된 관리 컨트롤러를 적극 활용하는 관리 시스템을 통해 성취될 수 있는 잠재적으로 제한 없는 다양한 예 중의 한 예일 뿐이라는 것을 인식하여야 한다.
사설 네트워크(201) 내에서 관리 시스템(204)에 의해 관리되는 상이한 디바이스들 간의 통신 및 상호운용을 용이하게 하는 것 이외에, 관리 시스템(204)은 또한 시스템 디바이스(212, 214, 216, 218)와 예를 들어, 인터넷(180) 또는 다른 네트워크를 통해 멀리 떨어져 있는 네트워크(201) 외부의 외부 서버 디바이스, 애플리케이션, 서비스, 또는 다른 자원과의 상호운용을 (예를 들면, 디바이스-간 통신 엔진(266)을 이용하여) 용이하게 할 수 있다. 앞에서 언급한 것처럼, 시스템 디바이스로부터 관리 시스템(204)에 의해 (예를 들면, 시스템 디바이스의 관리 컨트롤러를 통해) 획득되는 데이터는 적어도 부분적으로, 디바이스의 부가적인 정보를 제공할 때 사용하기 위해 외부의 소스 서버로 전달될 수 있다. 그러한 정보는 또한 시스템 디바이스를 대신하여 원격 서버에서 수행하는 다양한 서비스와 관련하여 관리 시스템(204)에 의해 전달될 수 있다. 부가적으로, 소스 서버에 의해 반환된 결과는 다른 예 중에서, 시스템 디바이스에 의해 사용하기 위하여, 관리 시스템(204)을 통해 시스템 디바이스로 전달될 수 있다.
도 2의 예가 두 개의 구별되는 네트워크(115, 110)를 관리하는 두 개의 구별되는 관리 시스템(202)을 제시하고 있지만, 일부 구현예에서, 소비자에 중점을 둔 디바이스-관리-중심의 관리 시스템(예를 들면, 204)과 관련하여 기술된 특징이 관리 시스템(202)의 기업에 중점을 둔 시스템-보안-중심의 기능 이외에 또는 그 기능에 부가하여 (그리고 그 반대로도) 구현될 수 있다는 것을 인식하여야 한다. 실제로, 다양한 여러 관리 시스템이 개발될 수 있다. 그러한 관리 시스템은 특정한 관리 작업을 수행하도록 각종 시스템 디바이스의 관리 컨트롤러와 인터페이싱하고 통신하도록 적응되어 있으면서 관리 시스템(202, 204)과 관련하여 기술된 특징의 전부 또는 그 일부를 포함할 수 있다. 또한, 앞에서 언급한 것처럼, 관리 컨트롤러가 내장되어 있는 단일의 시스템 디바이스는 소유자, 네트워크, 그리고 도메인 사이에서 이동할 수 있고, 따라서, 많은 다른 예 중에서, 가정용 관리 시스템 및 사무용 관리 시스템과 같은 복수개의 여러 관리 시스템에 의한 관리를 받고 여러 관리 시스템과의 통신을 하면서 이동할 수 있다.
도 4a 내지 도 4e의 예를 참조하면, 네트워크(예를 들면, 433)에 있는 시스템 디바이스(예를 들면, 460)의 관리 컨트롤러(예를 들면, 465)와 인터페이싱하는 일 예의 관리 시스템(예를 들면, 405)을 포함하는 일 예의 동작을 예시하는 간략한 블록도(400a 내지 400e)가 도시된다. 이러한 특정 예에서, 관리되는 복수의 시스템 디바이스(415, 420, 425, 430)가 네트워크(433) 상에 제공되며, 각각의 시스템 디바이스는 그 시스템 디바이스에 설치된 하나 이상의 각자의 에이전트(440, 445, 450)를 갖고 있다. 보안 관리 시스템(405)은 네트워크(433) 상의 시스템 디바이스(415, 420, 425, 430)의 존재를 검출하고, 시스템 디바이스(415, 420, 425, 430)로부터 시스템 디바이스 속성 데이터를 검색하고, 네트워크(433) 상의 시스템 디바이스(415, 420, 425, 430)의 행동을 식별하고, 시스템 디바이스(415, 420, 425, 430)에 시스템 보안 정책을 프로비저닝하며, 할당된 정책을 시스템 디바이스(415, 420, 425, 430)의 각 에이전트(440, 445, 450, 455)를 통해 시행하는 기능을 포함할 수 있다.
미지의 디바이스(460)는 네트워크(433)에 진입할 수 있고 관리 시스템(405)에 의해 검출될 수 있다. 이 예에서, 관리 시스템(405)은 미지의 디바이스(460) 상의 관리 컨트롤러와 통신을 시도하고 그 시도의 결과에 따라서, 미지의 디바이스(460)가 관리 컨트롤러를 포함하고 있는지 여부를 결정할 수 있다. 관리 시스템(405)은 또한 미지의 디바이스 상의 에이전트와 통신을 시도하거나 그렇지 않으면 에이전트를 식별하려 시도할 수 있다. 일부 구현예에서, 미지의 디바이스(460)가 에이전트를 포함하고 있다고 식별하면, 관리 시스템(405)은 관리 컨트롤러를 식별하고 통신하려는 시도를 건너 뛰는 대신, 그 에이전트를 통해 미지의 디바이스(460)와 연동할 수 있다. 또한, 디바이스 상의 에이전트를 식별하지 못하면 디바이스의 하드웨어-기반 관리 컨트롤러와 통신하려는 시도가 촉구될 수 있다.
도 4a의 특정한 예에서, 미지의 디바이스(460)는 관리 시스템(405)에 의해 에이전트를 갖고 있지 않은 것으로 결정되고 관리 시스템(405)이 인터페이싱하도록 적응된 관리 컨트롤러(465)를 갖고 있다고 추가로 식별된다. 따라서, 관리 시스템(405)은 미지의 디바이스(460)의 관리 컨트롤러(465)와의 인증(470)을 시도할 수 있으며, 예를 들어, 관리 시스템이 신뢰성 있는 엔티티이고 관리 컨트롤러(465)가 사실 안전한 하드웨어-기반 관리 컨트롤러라는 설정을 기초로, 관리 컨트롤러(465)와 페어링할 수 있다. 예를 들어, 관리 시스템은 상호 신뢰성 있는 인증 기관에 의해 발행된 인증서를 관리 컨트롤러(465)에게 송신할 수 있으며 관리 컨트롤러(465)는 관리 시스템(405)이 인증서의 유효한 소유자라는 것을 검증할 수 있다. 관리 시스템(405)과 관리 컨트롤러(465)와의 페어링은 또한 (예를 들면, 관리 시스템의 API를 통해) 보안 인터페이스 또는 통신 채널을 설정하는 것을 포함할 수 있으며 관리 컨트롤러(465)를 통해 액세스할 수 있는 속성 데이터(472)는 관리 시스템(405)에 노출되거나 관리 시스템으로 송신될 수 있다. 그러한 속성 데이터(472)는 다른 잠재적인 디바이스 속성 중에서, 미지의 디바이스의 고유의 디바이스 식별자를 식별할 수 있고, 디바이스가 최근 기간에 연결하였던 네트워크 게이트웨이를 식별할 수 있고, 디바이스의 애플리케이션 및 하드웨어를 식별할 수 있고, 다른 디바이스(460)에 배포된 다른 에이전트, 보안 툴, 대책 등을 식별할 수 있다.
미지의 디바이스(460)로부터 획득되는 속성을 이용하여, 보안 관리 시스템(405)은 미지의 디바이스(460)의 정체를 결정하고 미지의 디바이스(460)를 인증(예를 들면, 470)할 수 있다. 관리 컨트롤러(465)로부터 수신되는 정체 및 속성은 관리 시스템(405)에 의해, 일부 사례에서, 디바이스(460)로부터 별도로 수신되는 다른 데이터보다 높은 품질, 신뢰성, 또는 보안을 갖는 것으로 간주될 수 있다. 또한, 일부 예에서, 관리 시스템(405)은 하나 이상의 소스(예를 들면, 476)로부터 제공되는 디바이스에 관한 부가 정보를 식별하기에 충분한 미지의 디바이스(460)의 속성을 식별할 수 있다. 그러한 속성은 다른 예 중에서, 디바이스의 제조자 및 모델, 디바이스의 일련 번호, 디바이스를 통해 제공되는 서비스를 포함할 수 있다. 일부 사례에서, 관리 시스템(405)은 보안 태세 데이터(security posture data)(472)에서 전달된 속성으로부터 디바이스와 연관된 원격 소스(476)를 식별할 수 있다. 관리 시스템(405)은 소스(476)로부터 제공되는 이러한 부가 정보를 활용하여 그의 디바이스와의 상호작용을 더 잘 알아낼 수 있을 뿐만 아니라, 디바이스 (및/또는 그의 사용자)에게 제공되는 서비스를 강화할 수 있다. 부가적으로, 다른 예에서, 미지의 디바이스의 드라이버는 이를 테면 식별된 소스(476)를 질의함으로써, 속성 정보로부터 식별될 수 있다. 관리 시스템(405)은 미지의 디바이스(460)의 드라이버를 이미 소유하고 있다고 식별할 수 있을 뿐 아니라, 그 드라이버를, 예를 들면, 인터넷(475)과 같은 광역 네트워크를 통해 소스(476)(또는 다른 소스)로부터 다운로드 받을 수 있다. 관리 시스템(405)은 그 드라이버를 활용하여 미지의 디바이스와 더 잘 통신하고 그 미지의 디바이스가 연루하는 활동을 더 잘 수행할 수 있을 뿐 아니라, 기업 네트워크 도메인(433) 내 디바이스(460)의 동작과 더 잘 조화할 수 있다.
도 4b를 참조하면, 미지의 디바이스(460)를 인증하면, 관리 시스템이 디바이스(460)와 인터페이싱할 수 있게 해주는 보안 API가 제공(480)되어, 다른 작업 중에서, 디바이스(460)에 대해 식별된 속성에 기초하여, 디바이스에 대해 하나 이상의 보안-관련된 작업을 수행하고, 기업의 보안 및 준수 정책을 디바이스에 적용할 수 있다. 도 4b에 예시된 일 예에서, (관리 컨트롤러(465)와의 통신을 통해 또는 디바이스(460)를 핑잉(pinging)함으로써) 디바이스(460)가 관리 시스템(405) (및/또는 해당 기업 도메인의 다른 보안 툴, 스캐너 등)과 교류 가능한 에이전트를 갖고 있지 않다는 점에서 미관리 중이라는 것을 발견할 수 있다. 따라서, 관리 시스템(405)은 관리 컨트롤러(465)를 통해 에이전트(483)를 디바이스(460)에 프로비저닝할 수 있다. 일부 구현예에서, 프로비저닝된 에이전트(483)는 디바이스(460)가 기업 도메인에 진입할 때마다 (최소한 사용자에 의해 또는 디바이스(460)의 다른 설비에 의해 에이전트가 제거될 때까지는) 디바이스(460)에 존재하는 지속적인 에이전트일 수 있다. 다른 예에서, 해제 가능한 에이전트가 관리 컨트롤러(465)를 통해 디바이스(460)에 로딩되어, 디바이스(460)와의 현재 세션 동안 관리 시스템(405)에 의해 사용될 수 있다. 세션 (또는 어느 다른 기간)이 끝날 때, 에이전트는 자동으로 비활성, 파괴, 및/또는 제거될 수 있다.
이제 도 4c를 참조하면, 관리 컨트롤러(465) 및/또는 에이전트(예를 들면, 485)를 가진 프로비저닝된 디바이스(460)와의 통신이 설정되면, 관리 시스템(405)은 하나 이상의 보안 정책을 관리 컨트롤러(465)를 통해 시행할 수 있다. 또한, 관리 컨트롤러(465)를 통해 관리 시스템(405)에 전달된 것으로서 디바이스(460)의 속성에 기초하여, 관리 시스템(405)은 그러한 정책을 시행하기 위해 기업의 어느 보안 정책이 디바이스에 관련되는지 그리고 부가적으로 기업 도메인의 보안 툴, 네트워크 요소, 및 기타 요소를 채용하는지를 결정할 수 있다. 예로서, 도메인 내 하나 이상의 서버(예를 들면, 410)에 저장되어 있는 데이터 자산의 액세스 권한과 그의 사용을 관장하는 데이터 액세스 정책이 기업 도메인 내에서 존재할 수 있다. 도 4c의 예에서, 디바이스(460) 및/또는 에이전트(485)로부터 획득한 정보로부터, 이러한 예의 데이터 액세스 정책과 관련하는 디바이스(460)의 속성이 식별될 수 있다. 따라서, 관리 시스템(405)은 보고된 디바이스 속성에 따라서 디바이스(460)에서 (예를 들면, 기업 도메인 내 라우터, 데이터 액세스 조정 장치 등으로) 정책을 시행할 수 있다. 예를 들면, 관리 시스템(405)은 다른 많은 잠재적인 예 중에서, 정책에 기초하여 액세스 시도(484)가 차단(486)되게 할 수 있다.
예를 들어, 도 4d에 예시된 다른 예에서, 디바이스(460)의 기업 도메인의 자산(예를 들면, 시스템 자산(410)의 데이터 자산)과의 직접적인 상호작용에 연루하는 정책을 시행하는 것 이외에, 관리 시스템(405)은 도메인의 네크워크(433)를 활용할 뿐만 아니라 네트워크(433)를 통해 도메인의 외부의 자원에 액세스하는 자산의 능력을 정의하는 정책을 부가적으로 시행할 수 있다. 예를 들어, 기업 네트워크(433)의 인터넷 연결은 시스템 디바이스에 의해 악용되어 웹-기반 소스로부터 위협과 취약점이 기업 도메인에 도입될 수 있다. 예를 들어, 민감한 데이터가 누출되거나 그렇지 않으면 교신되어서, 도메인의 은밀한 데이터가 도메인 외부의 소스(예를 들면, 492)와 공유될 수 있다. 그 외에도, 외부의 소스(예를 들면, 492)에 의해 서비스되는 자원도 또한 도메인에 도입되는 바이러스, 웜, 멀웨어, 스파이웨어, 및 다른 익스플로잇 공격과 같이 도메인을 위협할 수 있다.
도 4d의 예에서, 디바이스(460)는 기업 네트워크(433)에 연결되어 있는 동안 인터넷(475)을 통해 특정 서버(492)에 의해 호스팅되는 온라인 자원에 액세스하려 시도할 수 있다. 도 4c의 예에서처럼, 관리 시스템은 디바이스의 관리 컨트롤러(465) 및/또는 에이전트(485)로부터 수신되는 속성 정보로부터 디바이스(460)에 적용 가능한 정책을 찾고 그 정책을 인터넷 게이트웨이, 방화벽, 및 기타 툴과 같은 보안 툴을 사용하여 디바이스(460)에 적용할 수 있다. 또한, 일부 구현예에서, 관리 시스템(405)은 관리 컨트롤러(465)와 인터페이싱하여 그러한 정책을 디바이스(460)에서 시행할 수 있다. 일 예에서, 디바이스(460)에 의해 속성을 공유하는 디바이스를 사용하여, 서버(492)의 자원에 액세스(490a)하려는 시도에 적용하는 정책은 적어도 디바이스(460)가 관리 시스템(405)에 의해 관리되는 기업 네트워크에서 여전히 존재하는 동안, 그 시도를 차단(495)시키게 할 수 있다. 그러나, 일부 사례에서, 디바이스(460)가 기업 네트워크를 떠날 때, 디바이스(460)는, 예를 들어 도 4e에 도시된 바와 같이, 디바이스(460)가 홈 네트워크(498)를 사용하여 인터넷(475)에 연결할 때는 서버(492)의 자원에 액세스(490b)하는 것이 묵인될 수 있다. 대안의 구현예에서, 관리 컨트롤러는 다른 예 중에서, 디바이스가 기업 도메인을 떠난 이후라도 기업 도메인의 정책 중 일부 정책이 디바이스(460)에서 지속되게 할 수 있다.
도 5a 내지 도 5e의 예를 참조하면, 시스템 디바이스의 일 예의 관리 컨트롤러를 포함하는 부가적인 일 예의 동작을 예시하는 간략한 블록도(500a 내지 500e)가 도시된다. 실제로, 도 5a의 예에서, 사설 홈 네트워크(510)는 네트워크(510)를 통해, 잠재적으로 다른 많은 예 중에서, 퍼스널 컴퓨팅 디바이스(예를 들면, 515, 530), 스마트 텔레비전(예를 들면, 525), 차량-탑재 컴퓨팅 디바이스(520)(예를 들면, 차량-탑재 인포테인먼트(an in-vehicle infotainment, IVI) 시스템)를 비롯한, 하나 이상의 스마트 디바이스와 통신할 수 있는 보안 관리 시스템(505)을 포함할 수 있다. 홈 네트워크(510)에 있는 디바이스(예를 들면, 515, 520, 525, 530)는 관리 시스템(505)에 연결되어 통신할 수 있는 하드웨어-기반 관리 컨트롤러(예를 들면, 535, 540, 545, 550)가 구비된 칩셋을 포함할 수 있다.
도 5a에 예시된 일 예에서, 미지의 디바이스(555)는 사설 네트워크와 인터페이싱하려 시도할 수 있고 관리 시스템(505)에 의해 식별될 수 있다. 관리 시스템(505)은 디바이스(555)가 관리 시스템(505)과 디바이스(555) 사이에서 공동 작업할 수 있는 관리 컨트롤러(560)나 다른 설비를 포함하고 있는지 여부를 식별하려 시도할 수 있다. 이러한 특정 예에서, 관리 시스템(505)은 관리 컨트롤러(560)를 통해 디바이스와의 안전한 하드웨어-기반 연결을 요청할 수 있다. 관리 시스템(505)과 관리 컨트롤러(560)는 보안 통신 채널을 설정하고 상호 인증(562)할 수 있다. 관리 컨트롤러(560)의 입장에서는, 관리 컨트롤러의 하드웨어-기반 보안 식별자가 관리 시스템(505)과 공유되어 관리 시스템(505)에서 디바이스(555) 및 관리 컨트롤러(560)를 인증할 수 있다. 또한, 관리 컨트롤러(555)는 시스템 디바이스(555)의 적어도 일부의 속성을 식별하는 신뢰할 수 있는 속성 데이터(564)를 관리 시스템(505)으로 공급하여 관리 시스템(505)가 무슨 타입의 디바이스(555)가 네트워크(510)에 진입하였는지를 파악할 때 도움을 줄 수 있다. 속성 데이터(564)는 또한 디바이스(555)의 고유한 보안 식별자를 포함할 수 있으며 관리 시스템(505)은 보안 식별자로부터, 시스템 디바이스가 알고 있는 디바이스라고 식별할 수 있으며 또한 디바이스(555)의 신뢰할 수 있는 보안 식별자의 전송에 기초하여 이전에 생성되거나 획득된 프로파일 데이터를 시스템 디바이스와 또한 연관시킬 수 있다.
도 5a에 도시된 일 예에서, 관리 시스템(505)은 속성 데이터(564)(또는 디바이스(555)를 위해 유지되는 프로파일 데이터)로부터 모델 번호, 제조자 이름, 또는 기타 정보와 같은 정보를 식별할 수 있으며, 그리고 디바이스(555)에 관련하는 부가적인 정보의 원격 자원 서버(예를 들면, 570, 580)를 비롯한, 하나 이상의 소스를 식별할 수 있다. 일 예에서, 관리 시스템(505)은 디바이스(555)에 필요한 디바이스 드라이버가 없다고 결정하고, 예를 들어, 인터넷 자원의 검색이나 기타 질의를 통해, 디바이스(555)의 속성에 기초하는 디바이스(555)의 드라이버의 소스(570)를 식별할 수 있다. 따라서, 관리 시스템(505)은 드라이버의 소스(570)와 (예를 들어, 인터넷(575)을 통해) 통신하여 디바이스(555)에 필요한 드라이버(565)를 획득할 수 있다. 이후 드라이버(565)는 관리 시스템(505)에 의해 디바이스(555)와 더 양호하게 통신할 뿐 아니라 그렇지 않았다면 다른 네트워크와 협력하여 통신하고 동작할 수 없었을 사설 네트워크(545) 상의 상이한 디바이스들 사이에서 통신을 더 용이하게 해주고, 옮겨주고, 가능하게 해줄 수 있다.
드라이버 이외에, 관리 시스템(505)은 또한 디바이스(555)의 속성에 기초하여 디바이스(555)와 관련하는 다른 정보의 소스를 식별하고 그 소스(예를 들면, 580)와 통신하여 디바이스(555)의 부가 정보를 획득할 수 있다. 관리 시스템(505)은 이 정보를 사용하여, 속성 데이터(564)에서 획득된 정보 또는 관리 시스템(505)에 의해 디바이스(555)를 위해 유지되는 프로파일 데이터와 같이, 디바이스(555)를 위해 획득한 다른 정보를 보충할 수 있다. 도 5b의 예에서, 관리 시스템(505)은 홈 네트워크(510)의 범위 내에 배치되어 있는, 그리고 관리 컨트롤러(560)를 포함하는 컴퓨팅 모듈을 처리하는, 이전에 알고 있는 디바이스(555)를 냉장고와 같은 스마트 가전기기로서 식별할 수 있다. 특정한 일 예에서, 관리 시스템(505)은 어떤 일련의 명령어를 스마트 가전기기(555)에 전달할 때 사용하기 위한 드라이버를 획득할 수 있다. 또한, 관리 시스템(505)은 스마트 가전기기(555)의 제조자, 소매업자 등과 연관된 서버(예를 들면, 580)를 식별할 수 있다. 관리 시스템(505)은 소스(580)와 통신하여 스마트 가전기기(555) 모델에 관한 부가 정보, 이를 테면, 식별된 소스(580)로부터 디바이스(555)의 보안 특징, 보증 정보, 유지보수 정보, 에러 코드, 및 부가적인 사양과 구성 정보를 획득할 수 있다. 관리 시스템(505)은 또한 이 정보를 가전기기(555)와 상호작용할 때 적용할 수 있다.
더불어, 일부 사례에서, 관리 시스템(505)은 또한 트랜잭션 시 외부의 소스(580)로부터 모은 정보를 이용하여 수행하거나 보조할 수 있다. 예를 들어, 관리 시스템(505)은 수집하였거나 그렇지 않으면 디바이스(555)의 관리 컨트롤러(560)에게 알려져서 관리 시스템(505)과 공유(예를 들면, 585)되는 속성 정보를 전달해줌으로써 유지보수 티켓, 보증 감사 또는 청구, 제품 리콜, 소프트웨어 또는 하드웨어 업데이트 시에 보조할 수 있다. 그 외에도, 관리 시스템(505)은 또한 가전기기(555)에 의해 사용 가능한 정보와 같이 소스(580)로부터 획득한 정보를 그의 기능을 개선할 때 가전기기와 통신(585)할 수 있다. 소스(580), 관리 시스템(505), 및 관리 컨트롤러(560)의 협동을 통해, 관리 시스템(505)은 관리 컨트롤러(560)와의 안전하고 신뢰성 있는 연결을 활용하여, 이것으로 제한하지 않지만, 원격 진단, (예를 들면, 디바이스를 이용한 사용자의 경향, 디바이스의 에너지 성능, 디바이스에 부과되는 전형적인 부하 등을 식별하는) 성능 모니터링, 원격 유지보수, 및 기타 특징을 비롯하여, 가전기기(555)가 연루되는 서비스를 제공하고 작업을 수행할 때 보조할 수 있다. 실제로, 다른 예 중에서, 예를 들어, 관리 시스템(505)과의 보안 세션과 관련하여 관리 컨트롤러(예를 들면, 560)를 통해 디바이스로부터 획득 가능하거나 디바이스에게 배달 가능한 정보를 활용할 수 있는 스마트 냉장고, 온라인 쇼핑 서비스, 냉장고 유지보수 공급자, 또는 기타 서비스의 예에서, 제 3 자로부터의 데이터를 활용하는 또 다른 서비스가 상상되고 가능해질 수 있다.
이제 도 5c 및 도 5d를 참조하면, 부가적으로 관리 시스템(505)은 그렇지 않았다면 상호통신 및 상호운용을 위해 설계되거나, 가능하거나, 또는 구성 가능하지 않을 디바이스를 포함하는, 도메인 내 둘 이상의 시스템 디바이스의 통신 및 상호운용의 협력자 또는 조력자로서 역할을 수행할 수 있다. 예로서, 도 5c에 도시된 바와 같이, 특정 시스템 디바이스(예를 들면, 차량-탑재 컴퓨팅 시스템(520))의 일련의 커맨드 및 성능은 관리 시스템(505)에 의해 디바이스 용도로 획득한 드라이버를 비롯한, 디바이스(520)의 관리 컨트롤러(540)뿐만 아니라 다른 소스(예를 들면, 소스(570, 580))로부터 수신된 정보에 기초하여 관리 시스템(505)에 의해 식별될 수 있다. 유사하게, 관리 시스템(505)은 또한 스마트 가전기기(555)의 커맨드, 동작, 특징, 기능 등과 같은, 도메인(510) 내 다른 디바이스의 속성 정보를 획득할 수 있다.
단지 예시적인 일 예에서, 일 예의 관리 시스템(505)은 차량-탑재 컴퓨터(520) 및 스마트 가전기기(555) (또는 잠재적으로 관리 컨트롤러(535, 540, 545, 550, 560)를 가진 도메인(510) 내 둘 이상의 상이한 디바이스(515, 520, 525, 530, 555)의 임의의 조합 사이에서)의 동작을 조화할 수 있다. 예를 들어, 상호운용이 식별되거나 정의될 수 있다. 예를 들어, 미리-정의된 상호운용이 예를 들어, 관리 시스템(505)의 메모리에서 또는 다양한 디바이스 조합 간의 잠재적인 상호운용 및 관계를 목록으로 만든 외부 서버에서 식별될 수 있다. 다른 사례에서, 사용자는 (예를 들면, 다른 예 중에서, 둘 이상의 디바이스의 식별된 성능 및 기능을 제공하고 그리고 사용자로 하여금 각 동작들 사이에서 의존성을 정의하게 하는 인터페이스를 이용하여) 두 디바이스들 사이에서 상호운용을 정의할 수 있다. 예시적인 예로서, 예를 들어, 관리 컨트롤러(560) (예를 들면, 특정 냉장고 격실(예를 들면, 우유 홀더, 버터 홀더 등)이 고갈 또는 비어지는 때를 식별하는 냉장고에 포함된 눈금이나 다른 기능으로부터 획득한 데이터)를 이용하는 스마트 냉장고에서 용량 부족이 결정될 때 차량-탑재 컴퓨터에서 경보를 트리거하는 상호운용이 정의될 수 있다. 관리 시스템(505)과의 보안 세션에서, 관리 컨트롤러(560)는 관리 컨트롤러(560)와 관리 시스템(505) 사이의 하드웨어-기반 API를 통하여 냉장고(555)에서 저 용량 상황이 식별되었다고 통신할 수 있다. 그것만으로, 냉장고(555)는 그런 상황을 다른 디바이스에게 통신하는 성능이 특정 차량-탑재 컴퓨터(520)보다 훨씬 부족할 수 있다. 그러나, 이 예에서, 관리 시스템(505)은 관리 시스템(505)과 차량-탑재 컴퓨터(520) 사이의 다른 보안 세션에서, 디바이스(555)의 관리 컨트롤러(560)에 의해 수신된 메시지를 (예를 들면, 차량-탑재 컴퓨터(520)의 드라이버에 기초하여) 차량-탑재 컴퓨터(520)의 통신 성능, 프로토콜, 가용 루틴, 및 가용 기능에 부합하는 커맨드로 변환할 수 있다. 예를 들어, 관리 시스템(505)은 변환된 메시지(590)를 차량-탑재 컴퓨터(520)로 송신할 수 있다. 메시지(590)는 차량-탑재 컴퓨터(520)에 의해 해석되어서 차량-탑재 컴퓨터(520)로 하여금 경보 또는 명령어를 예를 들어, 차량-탑재 컴퓨터(520)의 디스플레이 상에 렌더링하게 할 수 있다. 예를 들면, 디스플레이는 사용자가 차량 시동을 걸 때 사용자에게 냉장고의 상태를 표시할 수 있고, 그래서 스마트 냉장고(555)에서 발견된 결과를 해결하기 위해서 잡화점으로 이동하는 것이 바람직할 수 있다는 것을 사용자에게 이해시킬 때 도움될 수 있다.
도 5d를 참조하면, 도메인(예를 들면, 510)에서 상이하고 그렇지 않으면 공존할 수 없는 (또는 함께 동작하기 어려운) 디바이스들 간의 통신은 디바이스들이 관리 시스템(505)을 상호운용을 위한 해석자 및 조정자로서 활용하여 왕복 통신할 수 있다는 점에서 단방향 또는 양방향성일 수 있다. 예를 들어, 도 5d에서, 관리 시스템(505)에 의해 다루어지는 차량-탑재 컴퓨터(520) 및 냉장고(555)가 연루되는 상호운용과 관련하여 차량-탑재 컴퓨터(520)는 메시지(592)를 관리 시스템(505)으로 송신할 수 있다. 관리 시스템(505)은 상호운용에 필요한 대응하는 메시지 타입을 식별하고 상호운용 시 다른 디바이스로부터 수신되는 메시지(592)의 내용에 따라서 이러한 타입의 메시지(595)를 (예를 들면, 냉장고 컴퓨터(555) 용도로 획득한 드라이버에 기초하여) 생성할 수 있다. 그러면 냉장고(555)는 메시지(595)를 수신하고 이 메시지를 처리하여 냉장고(555)에 의해 수행 가능한 기능 또는 작업을 수행할 수 있다. 단지 잠재적으로 무수히 많은 예 중 한 예로서, 예를 들어, 차량을 이용한 사용자의 쇼핑 여행에 관련하여 차량-탑재 컴퓨터(520)에서 사용자로부터의 요청에 대응하여, 냉장고의 속성에 관련한 정보를 요청하는 질의 메시지(예를 들면, 592)가 차량-탑재 컴퓨터(520)로부터 송신될 수 있다. 일 예의 질의(592)는 냉장고(555)와 교류 가능한, 냉장고 컴퓨터가 (예를 들면, 도 5e의 예의 원리에 따라서) 처리하고 대응할 수 있는, 포맷 및 루틴으로 변환될 수 있다.
특히 컴퓨터-강화 디바이스 및 가전기기의 선택이 확장됨에 따라, 상호운용의 잠재적으로 제한 없는 조합은 도메인 내 둘 이상의 디바이스 사이에서 디바이스의 관리 컨트롤러 및 도메인의 관리 시스템(예를 들면, 505)을 통해 가능해질 수 있다는 것을 인식하여야 한다. 또한, 디바이스의 다양한 조합이 앞의 예 중 일부 예에서 언급되었지만, 이러한 예는 그저 어떤 원리를 예시하려는 목적으로 제시된 제한적이지 않은 예에 불과하고 교류 작동 가능한 관리 컨트롤러(예를 들면, 535, 540, 545, 550, 560)를 가진 어느 디바이스라도 도메인의 관리 시스템(505)을 통해 관리되는 다른 디바이스와의 상호운용 시 잠재적으로 활용될 수 있다는 것을 인식하여야 한다. 또한, 관리 시스템(505)과 하드웨어-기반 관리 컨트롤러(예를 들면, 535, 540, 545, 550, 560) 사이에서 몇몇 상호작용이 사설 홈 WiFi 네트워크와 같은 근거리 네트워크에서 일어날 수 있지만, 다른 사례에서, 광-역 네트워크와 같은 셀룰러 광대역 데이터 네트워크, 및 다른 네트워크를 포함하는 하나 이상의 다른 네트워크를 통해 관리 시스템(505)과 관리 컨트롤러 사이에서 터널 또는 다른 보안 채널이 설정될 수 있고, 그래서 디바이스들 사이에서 정의되고 가능해질 수 있는 많은 상호운용을 더욱 강화할 수 있다.
다른 상호운용은 디바이스들 사이에서 기존의 상호운용의 시행을 포함할 수 있다. 예를 들어, 관리 컨트롤러(예를 들면, 535, 540, 545, 550, 560)와 관리 시스템(505) 사이의 하드웨어-기반 세션은 그러한 상호운용(의 적어도 일부)을 이미 가능하게 한 디바이스의 다른 기능을 보충하거나 대체하기 위해 활용될 수 있다. 중앙의 관리 시스템(505)의 활용과 안전한 하드웨어-기반의 통신, 인증, 및 데이터 수집을 통해, 기존의 보안 또는 대안의 디바이스-간 동작이 강화될 수 있다. 또한, 관리 시스템(505)은 디바이스-간 통신 및 동작을 위한 게이트웨이로서 역할을 할 수 있고, 그래서 다른 장점 중에서, 각종의 여러 디바이스-간 동작에서 사용되는 여러 디바이스-간 통신 채널, 타입, 네트워크 등의 웹을 통해 도입되는 취약성, 위협 및 다른 보안 문제에 대비하여 보호하는데 도움될 수 있다.
도 5e를 참조하면, 도메인(510) 내에서 관리 시스템(505)에 의해 관리되는 디바이스(예를 들면, 515, 520, 525, 530, 555) 사이의 상호운용을 용이하게 해주는 것 이외에, 일부 구현예에서, 관리 시스템(505)은 또한 관리 컨트롤러를 가진 시스템 디바이스와 도메인 외부의 디바이스 및 시스템 사이의 트랜잭션을 용이하게 해줄 수 있다. 예를 들어, 관리 시스템(505)은 웹-기반 시스템(예를 들면, 580)을 포함하는, 도메인 외부의 디바이스 및 시스템과의 통신을 위한 게이트웨이 또는 프록시로서 역할을 수행할 수 있다. 예를 들면, 도 5e에 도시된 바와 같이, 광대역, WiFi, 또는 다른 인터넷 연결을 통해 직접 통신하기 보다, 시스템 디바이스(예를 들면, 520)는 관리 시스템(505)을 통해 웹 서버(580)와 통신할 수 있다. 관리 시스템(505)는 예를 들어, 시스템 디바이스(520)로부터 메시지(596)를 수신할 수 있고 그 메시지를 예를 들어, 시스템 디바이스의 관리 컨트롤러(540) 또는 (디바이스(520)에 필요한 드라이버의 소스와 같은) 다른 소스로부터 획득된 정보에 따라서 해석할 수 있다. 관리 시스템(505)은, 일부 예에서, 디바이스(예를 들면, 520)로부터 유래하는 메시지(596)를 (예를 들면, 인터넷 프로토콜 슈트(the Internet Protocol suite) 등의 프로토콜에 따라서) 인터넷(575)을 통해 웹 서버(580)와의 통신과 호환 가능한 포맷 및 프로토콜로 변환할 수 있다. 다른 사례에서, 관리 시스템(505)은 인터넷(575)을 통해 웹 서버(580)로 배달을 위해 적어도 부분적으로 이미 포맷된 메시지를 수신할 수 있다. 그러나, 관리 시스템(505)은, 방화벽, 침입 방지, 멀웨어 검출, 게이트웨이 보안, 및 기타 서비스를 통해, 디바이스(예를 들면, 520)의 관리 컨트롤러(예를 들면, 540)와의 보안 세션을 통해 수신되는 메시지로 구성되거나 그 메시지로부터 유래하는 패킷에 대해 도메인 보안을 제공할 수 있다. 실제로, 관리 시스템(505)은 도메인에 있는 임의의 디바이스와의 통신을 위한 프록시로서 역할을 수행할 수 있고, 그럼으로써 디바이스를 격리시키고 디바이스에게 추가적인 보안을 제공할 수 있다. 따라서, 관리 시스템(505)은 또한 외부의 웹 서버(580)로부터 메시지(598)를 수신하고, 메시지(598)를 처리하고 (예를 들면, 보안 스캔 등을 수행하고), 그리고 일부 사례에서는 메시지(598)를 (시스템 디바이스로부터의 속성 데이터로부터 결정된 것으로서) 시스템 디바이스의 기능, 프로토콜, 및 루틴을 준수하도록 변환할 수 있다. 그런 다음 그렇게 처리된 메시지는 다른 예 중에서, 도메인 내에 있는 시스템 디바이스(예를 들면, 520)로 포워딩(596)될 수 있다.
도 6a 및 도 6b는 시스템 디바이스의 하드웨어-기반 관리 컨트롤러 및 일부 사례에서는 또한 시스템 디바이스와 상호작용하는 도메인의 관리 시스템이 연루되는 일 예의 기술을 예시하는 간략한 플로우차트(600a 및 600b)이다. 예를 들어, 도 6a의 예에서, 디바이스의 하드웨어-기반 관리 컨트롤러가 도메인 내에서 식별(605)된다. 관리 컨트롤러의 식별은 도메인의 특정 관리 시스템과의 통신을 위해 함께 작동 가능하거나 승인 받은 관리 컨트롤러로 제한될 수 있다. 관리 컨트롤러는 디바이스의 속성 데이터에 대해 질의 받을 수 있다. 그러한 속성 데이터는 관리 컨트롤러로부터 송신된 인증 데이터, 예를 들어, 디바이스의 하드웨어-기반 식별자로부터 생성된 보안 식별자를 포함할 수 있다. 속성 데이터는 하드웨어, 소프트웨어, 지리적 위치, 상태, 및 기타 속성 타입을 포함하는 디바이스의 속성을 추가로 서술할 수 있다. 관리 컨트롤러로부터 (예를 들면, 도메인과 관리 컨트롤러 사이에 설정된 보안 채널을 통해) 수신(615)된 속성 데이터와 밀접한 관계가 있는 보안 정책이 식별될 수 있다. 그 다음 보안 정책은 관리 컨트롤러와 특정 도메인 간의 상호작용 및 트랜잭션에 적용(620)될 수 있다. 그러한 보안 정책은 예를 들어, 디바이스에 배포되거나 도메인 내에서 배포된 하나 이상의 보안 툴을 이용하여 적용(620)될 수 있다.
도 6b의 예를 참조하면, 디바이스의 하드웨어-기반 관리 컨트롤러가 식별(625)될 수 있으며 관리 컨트롤러가 디바이스의 속성을 서술하는 속성 데이터에 대하여 질의(630) 받을 수 있다. 속성 데이터가 쿼리에 응답하여 수신(635)될 수 있으며 디바이스의 디바이스 드라이버를 식별(640)하는데 사용될 수 있다. 일부 사례에서, 디바이스 드라이버를 식별(640)하는 것은 도메인의 관리 시스템의 메모리 내 디바이스 드라이버를 식별하는 것을 포함할 수 있고, 반면 다른 사례에서, 디바이스 드라이버는 원격 소스에 의해 호스팅되고 있는 것으로 식별될 수 있고, 그래서 원격 소스로부터 드라이버의 획득을 촉구할 수 있다. 이후 디바이스 드라이버는 디바이스와 통신(645)하는데 사용될 수 있다. 디바이스는 디바이스 드라이버 및/또는 관리 컨트롤러를 통해 통신(645)할 수 있다. 또한, 드라이버는 디바이스와 적어도 하나의 다른 서비스 사이에서 조장될 수 있는 상호운용을 정의하기 위해 (또는 사전-정의된 상호운용 식별하기 위해) 적극 활용될 수 있다. 그러한 상호운용은 그렇지 않았으면 함께 작동할 수 없는 디바이스들 사이의 상호운용을 포함할 수 있다. 예를 들어, 관리 시스템은 제 1 디바이스로부터 수신된 메시지를 제 2 디바이스의 디바이스 드라이버에 따라서 변환하여, 다른 예 중에서, 제 2 디바이스에 의해 사용할 수 있고 그리고 (잠재적으로, 그렇지 않았으면 함께 작동할 수 없는) 제 1 디바이스로부터 수신된 메시지에 대응하는 제 2 디바이스에 맞는 메시지를 생성할 수 있다.
비록 본 개시가 특정 구현예 그리고 대체로 대체로 연관된 방법의 관점에서 기술되었지만, 본 기술에서 통상의 지식을 가진 자들에게 이러한 구현예와 방법의 변경과 치환은 자명할 것이다. 예를 들면, 본 명세서에서 기술된 동작은 설명된 것과는 다른 순서로 수행될 수 있고 그럼에도 원하는 결과를 성취할 수 있다. 일 예로서, 첨부의 도면에서 묘사된 프로세스는 원하는 결과를 성취하기 위해 도시된 특정 순서 또는 순차적인 순서를 반드시 요구하지 않는다. 마찬가지로 예시된 시스템 및 툴이 대안의 아키텍처, 컴포넌트, 및 모듈에 채택되어 유사한 결과와 기능을 성취할 수 있다. 예를 들어, 특정 구현예에서, 멀티태스킹, 병렬 처리, 및 클라우드-기반 해결책이 유리할 수 있다. 다른 시스템 및 툴은 또한 본 개시의 원리를 활용할 수 있다. 부가적으로, 다양한 사용자 인터페이스 레이아웃 및 기능이 지원될 수 있다. 다른 변경은 다음과 같은 청구범위의 범위에 속한다.
본 명세서에서 기술된 주제 및 동작의 실시예는 본 명세서에서 기술된 구조 및 이들의 구조적인 등가물에서 기술된 구조를 포함하여, 디지털 전자 회로에서, 또는 컴퓨터 소프트웨어, 펌웨어나 하드웨어에서, 또는 이들의 하나 이상의 조합에서 구현될 수 있다. 본 명세서에서 기술된 주제의 실시예는 하나 이상의 컴퓨터 프로그램, 즉 데이터 프로세싱 장치에 의한 실행을 위한 또는 그의 동작을 제어하는 컴퓨터 머신 액세스 가능한 저장 매체에서 인코딩된 컴퓨터 프로그램 명령어의 하나 이상의 모듈로서 구현될 수 있다. 대안으로 또는 부가적으로, 프로그램 명령어는 인위적으로 만들어진 전파된 신호, 예를 들면, 데이터 처리 장치에 의한 실행에 적절한 수신기 장치로 전송하기 위한 정보를 인코딩하기 위해 생성되는 머신-생성된 전기, 광, 또는 전자기 신호에서 인코딩될 수 있다. 컴퓨터 저장 매체는 컴퓨터-판독가능한 저장 디바이스, 컴퓨터-판독가능한 저장 기판, 랜덤 또는 시리얼 액세스 메모리 어레이 또는 디바이스, 또는 이들의 하나 이상의 조합일 수 있거나 또는 이에 포함될 수 있다. 더욱이, 컴퓨터 저장 매체가 전파된 신호 그 자체가 아니지만, 컴퓨터 저장 매체는 인위적으로 생성된 전파된 신호 내에 인코딩된 컴퓨터 프로그램 명령어의 소스 또는 목적지일 수 있다. 컴퓨터 저장 매체는 또한 분산된 소프트웨어 환경 또는 클라우드 컴퓨팅 환경을 포함하는, 하나 이상의 개별적인 물리적 컴포넌트 또는 매체(예를 들면, 복수의 CD, 디스크, 또는 다른 저장 디바이스)일 수 있거나 그에 포함될 수 있다.
본 명세서에는 많은 특정 구현예의 세부 사항이 포함되어 있지만, 이것은 임의의 발명의 범위 또는 청구될 수 있는 범위를 제한하는 것으로 해석되지 않고, 오히려 특정 발명의 특정 실시예에 특정한 특징의 설명으로서 해석되어야 한다. 본 명세서에서 개별 실시예의 맥락으로 기술된 어떤 특징은 또한 단일의 실시예에서 조합하여 구현될 수 있다. 반대로, 단일 실시예의 맥락에서 기술된 여러 특징 또한 복수의 실시예에서 개별적으로 또는 임의의 적절한 부분조합에서도 구현될 수 있다. 더욱이, 비록 특징이 어떤 조합에서 작용하는 것으로 앞에서 기술될 수 있고 심지어 초기에는 이와 같이 청구될 수 있을지라도, 일부 사례에서 청구된 조합 중 하나 이상의 특징은 그 조합에서 실시될 수 있으며, 청구된 조합은 부분조합 또는 부분조합의 변형에 관련된 것일 수 있다.
유사하게, 동작이 도면에서 특정 순서로 묘사되지만, 이것은 그러한 동작이 도시된 특정 순서 또는 순차적인 순서로 수행될 것을 요구하는 것이라거나 또는 예시된 모든 동작이 원하는 결과를 성취하기 위해 수행되도록 요구하는 것이라고 이해되지 않아야 한다. 어떤 환경에서, 멀티태스킹 및 병렬 처리가 유리할 수 있다. 더욱이, 앞에서 기술된 실시예에서 각종 시스템 컴포넌트를 분리하여 놓은 것은 모든 실시예에서 그렇게 분리한 것을 요구하는 것이라고 이해하지 않아야 하며, 이것은 기술된 프로그램 컴포넌트 및 시스템이 일반적으로 단일의 소프트웨어 제품 내에 함께 통합되거나 또는 복수의 소프트웨어 제품으로 일괄 제작될 수 있다고 이해되어야 한다.
일반적으로, 본 개시의 주제는 네트워크 상의 제 1 컴퓨팅 디바이스의 제 1 관리 컨트롤러를 식별하는 것과, 제 1 관리 컨트롤러에게 제 1 컴퓨팅 디바이스의 속성에 대해 질의하는 것과, 제 1 관리 컨트롤러로부터 제 1 컴퓨팅 디바이스의 하나 이상의 속성을 식별하는 데이터를 수신하는 것과 같은 작업을 수행할 수 있는 방법, 소프트웨어, 컴퓨터 실행가능한 명령어, 및 시스템을 포함한다. 제 1 관리 컨트롤러는 제 1 컴퓨팅 디바이스의 하드웨어 내에 구현될 수 있고 제 1 컴퓨팅 디바이스의 중앙 처리 유닛(CPU)에 독립적일 수 있다. 네트워크의 보안 정책은 하나 이상의 속성에 기초하여 제 1 컴퓨팅 디바이스에 대해 실시될 수 있다.
일 예에서, 시스템은 적어도 하나의 프로세서 디바이스와, 적어도 하나의 메모리 요소와, 관리 시스템을 포함하는 것으로 구현될 수 있고, 관리 시스템은 적어도 하나의 프로세서 디바이스에 의해 실행될 때, 네트워크 상의 제 1 컴퓨팅 디바이스의 제 1 관리 컨트롤러를 식별하고, 제 1 관리 컨트롤러에게 제 1 컴퓨팅 디바이스의 속성에 대해 질의하고, 제 1 관리 컨트롤러로부터 수신된 하나 이상의 속성에 기초하여 제 1 컴퓨팅 디바이스에서 네트워크의 보안 정책을 실시하도록 적응된다.
일부 사례에서, 보안 정책을 실시하는 작업은 제 1 컴퓨팅 디바이스에 의한 도메인의 적어도 일부 자원으로의 액세스가 보안 정책에 따라서 제한되게 할 수 있다. 보안 정책은 기업 컴퓨팅 시스템의 정책일 수 있다. 제 1 컴퓨팅 디바이스의 제 1 디바이스 드라이버가 식별될 수 있고, 보안 정책이 제 1 디바이스 드라이버를 이용하여 제 1 컴퓨팅 디바이스와의 통신을 통해 실시된다. 일부 예에서, 제 1 컴퓨팅 디바이스의 속성은 모델 식별자, 제 1 컴퓨팅 디바이스의 제조자, 제 1 컴퓨팅 디바이스의 하드웨어 속성, 및/또는 제 1 컴퓨팅 디바이스의 소프트웨어 속성과 같은 예를 포함할 수 있다.
일부 사례에서, 제 1 컴퓨팅 디바이스에 에이전트가 설치되게 할 수 있다. 예를 들면, 에이전트는 제 1 관리 컨트롤러를 통해 설치될 수 있다. 에이전트는 제 1 컴퓨팅 디바이스의 운영 체제에 설치될 수 있다. 보안 정책은 설치된 에이전트를 이용하여 실시되고 제 1 컴퓨팅 디바이스의 부가적인 속성을 서술하는 데이터가 에이전트를 이용하여 획득될 수 있다. 일부 사례에서, 에이전트는 해제 가능한(dissolvable) 에이전트일 수 있다. 일부 사례에서, 제 1 관리 컨트롤러와 통신함으로써 에이전트가 제 1 컴퓨팅 디바이스에 설치되어 있는지 여부가 드러날 수 있다.
일부 사례에서, 제 1 컴퓨팅 디바이스의 제 1 디바이스 드라이버가 식별될 수 있다. 보안 정책은 제 1 디바이스 드라이버를 이용하여 제 1 컴퓨팅 디바이스와의 통신을 통해 실시될 수 있다. 제 1 컴퓨팅 디바이스의 하나 이상의 성능이 제 1 디바이스 드라이버에 기초하여 발견될 수 있다. 또한 제 1 컴퓨팅 디바이스는 제 1 컴퓨팅 디바이스의 하드웨어에 내장된 보안 데이터로부터 도출되는 식별자에 기초하여 인증될 수 있다. 식별자는 제 1 컴퓨팅 디바이스와 특정 도메인과의 페어링에 고유할 수 있다. 보안 데이터는 제 1 관리 컨트롤러의 보안 메모리에 저장될 수 있다. 또한, 인증 데이터가 제 1 관리 컨트롤러로 송신되어 제 1 관리 컨트롤러에서 상호 인증할 수 있다.
일부 사례에서, 제 1 컴퓨팅 디바이스의 제 1 관리 컨트롤러와 통신하는 것 이외에, 제 2 컴퓨팅 디바이스의 제 2 관리 컨트롤러가 네트워크에서 식별될 수 있으며, 제 2 관리 컨트롤러는 제 2 컴퓨팅 디바이스의 하드웨어 내에 구현되고 제 2 컴퓨팅 디바이스의 중앙 처리 유닛(CPU)에 독립적이다. 제 2 관리 컨트롤러가 제 2 컴퓨팅 디바이스의 속성에 대해 질의될 수 있고 제 2 관리 컨트롤러로부터 제 2 컴퓨팅 디바이스의 하나 이상의 속성을 식별하는 데이터가 수신될 수 있다. 또한, 네트워크의 다른 보안 정책이 제 1 컴퓨팅 디바이스의 하나 이상의 속성에 기초하여 제 2 컴퓨팅 디바이스에서 실시될 수 있다. 제 1 컴퓨팅 디바이스의 속성은 제 2 컴퓨팅 디바이스의 속성과 상이할 수 있으며 제 1 컴퓨팅 디바이스에 적용된 보안 정책은 제 2 컴퓨팅 디바이스에 적용된 보안 정책과 상이할 수 있다. 예를 들어, 잠재적으로 많은 다른 예는 물론이고 앞의 예들의 조합 중에서, 제 1 컴퓨팅 디바이스는 제 2 컴퓨팅 디바이스와 상이한 타입을 가질 수 있다.
그러므로, 주제의 특정 실시예가 기술되었다. 다른 실시예는 다음과 같은 청구범위의 범주 내에 속한다. 일부 사례에서, 청구범위에서 언급되는 동작은 다른 순서로 수행될 수 있으며 그럼에도 원하는 결과를 성취할 수 있다. 게다가, 첨부 도면에서 묘사된 프로세스는 원하는 결과를 성취하기 위해, 반드시 도시된 특정 순서 또는 순차적인 순서를 필요로 하지 않는다.

Claims (27)

  1. 네트워크 상의 제 1 컴퓨팅 디바이스의 제 1 관리 컨트롤러를 식별하는 단계-상기 제 1 관리 컨트롤러는 상기 제 1 컴퓨팅 디바이스의 하드웨어 내에 구현되고 상기 제 1 컴퓨팅 디바이스의 중앙 처리 유닛(a central processing unit, CPU)과 독립적임-와,
    상기 제 1 관리 컨트롤러에게 상기 제 1 컴퓨팅 디바이스의 속성에 대해 질의하는 단계와,
    상기 제 1 관리 컨트롤러로부터 상기 제 1 컴퓨팅 디바이스의 하나 이상의 속성을 식별하는 데이터를 수신하는 단계와,
    상기 하나 이상의 속성에 기초하여 상기 제 1 컴퓨팅 디바이스 상에서 상기 네트워크의 보안 정책을 구현하는 단계를 포함하는
    방법.
  2. 제 1 항에 있어서,
    상기 보안 정책을 구현하는 단계는 상기 제 1 컴퓨팅 디바이스에 의한 도메인의 적어도 일부의 자원에 대한 액세스가 상기 보안 정책에 따라서 제한되게 하는
    방법.
  3. 제 1 항에 있어서,
    상기 보안 정책은 기업 컴퓨팅 시스템의 정책인
    방법.
  4. 제 1 항에 있어서,
    상기 제 1 컴퓨팅 디바이스에 대한 제 1 디바이스 드라이버를 식별하는 단계를 더 포함하며,
    상기 보안 정책은 상기 제 1 디바이스 드라이버를 이용하여 상기 제 1 컴퓨팅 디바이스와의 통신을 통해 구현되는
    방법.
  5. 제 1 항에 있어서,
    상기 제 1 컴퓨팅 디바이스 상에 에이전트가 설치되게 하는 단계를 더 포함하는
    방법.
  6. 제 5 항에 있어서,
    상기 에이전트는 상기 제 1 관리 컨트롤러를 통해 설치되는
    방법.
  7. 제 5 항에 있어서,
    상기 에이전트는 해제 가능한(dissolvable)
    방법.
  8. 제 5 항에 있어서,
    상기 에이전트는 상기 제 1 컴퓨팅 디바이스의 운영 체제에 설치되는
    방법.
  9. 제 5 항에 있어서,
    상기 보안 정책은 상기 설치된 에이전트를 이용하여 구현되는
    방법.
  10. 제 5 항에 있어서,
    상기 설치된 에이전트를 이용하여 상기 제 1 컴퓨팅 디바이스의 부가적인 속성을 서술하는 데이터를 획득하는 단계를 더 포함하는
    방법.
  11. 제 5 항에 있어서,
    상기 제 1 컴퓨팅 디바이스 상에 에이전트가 설치되어 있는지 여부를 결정하는 단계를 더 포함하는
    방법.
  12. 제 1 항에 있어서,
    상기 속성은 상기 1 컴퓨팅 디바이스의 모델 식별자를 포함하는
    방법.
  13. 제 1 항에 있어서,
    상기 속성은 상기 제 1 컴퓨팅 디바이스의 제조자를 포함하는
    방법.
  14. 제 1 항에 있어서,
    상기 속성은 상기 제 1 컴퓨팅 디바이스의 하드웨어 속성을 포함하는
    방법.
  15. 제 1 항에 있어서,
    상기 속성은 상기 제 1 컴퓨팅 디바이스의 소프트웨어 속성을 포함하는
    방법.
  16. 명령어가 저장되어 있는 적어도 하나의 머신 액세스 가능한 저장 매체로서, 상기 명령어는 머신 상에서 실행될 때 상기 머신으로 하여금,
    네트워크 상의 제 1 컴퓨팅 디바이스의 제 1 관리 컨트롤러를 식별-상기 제 1 관리 컨트롤러는 상기 제 1 컴퓨팅 디바이스의 하드웨어 내에 구현되고 상기 제 1 컴퓨팅 디바이스의 중앙 처리 유닛(a central processing unit, CPU)과 독립적임-하고,
    상기 제 1 관리 컨트롤러에게 상기 제 1 컴퓨팅 디바이스의 속성에 대해 질의하고,
    상기 제 1 관리 컨트롤러로부터 상기 제 1 컴퓨팅 디바이스의 하나 이상의 속성을 식별하는 데이터를 수신하고,
    상기 하나 이상의 속성에 기초하여 상기 제 1 컴퓨팅 디바이스 상에 상기 네트워크의 보안 정책을 구현하게 하는
    머신 액세스 가능한 저장 매체.
  17. 제 16 항에 있어서,
    상기 명령어는 실행될 때 상기 머신으로 하여금 또한 상기 제 1 컴퓨팅 디바이스에 대한 제 1 디바이스 드라이버를 식별하게 하며,
    상기 보안 정책은 상기 제 1 디바이스 드라이버를 이용하여 상기 제 1 컴퓨팅 디바이스와의 통신을 통해 구현되는
    머신 액세스 가능한 저장 매체.
  18. 제 17 항에 있어서,
    상기 명령어는 실행될 때 상기 머신으로 하여금 또한 상기 제 1 디바이스 드라이버에 기초하여 상기 제 1 컴퓨팅 디바이스의 하나 이상의 성능(capabilities)을 식별하게 하는
    머신 액세스 가능한 저장 매체.
  19. 제 16 항에 있어서,
    상기 명령어는 실행될 때 상기 머신으로 하여금 또한 상기 제 1 컴퓨팅 디바이스의 하드웨어에 내장된 보안 데이터로부터 도출되는 식별자에 기초하여 상기 제 1 컴퓨팅 디바이스를 인증하게 하는
    머신 액세스 가능한 저장 매체.
  20. 제 19 항에 있어서,
    상기 보안 데이터는 상기 제 1 관리 컨트롤러의 보안 메모리에 저장되어 있는
    머신 액세스 가능한 저장 매체.
  21. 제 19 항에 있어서,
    상기 명령어는 실행될 때 상기 머신으로 하여금 또한 상기 제 1 관리 컨트롤러로 인증 데이터를 송신하여 상기 제 1 관리 컨트롤러에서 상호 인증하게 하는
    머신 액세스 가능한 저장 매체.
  22. 제 19 항에 있어서,
    상기 식별자는 상기 제 1 컴퓨팅 디바이스와 특정 도메인과의 페어링에 고유한
    머신 액세스 가능한 저장 매체.
  23. 제 16 항에 있어서,
    상기 명령어는 실행될 때 상기 머신으로 하여금 또한 인증 데이터를 송신하여,
    상기 네트워크 상의 제 2 컴퓨팅 디바이스의 제 2 관리 컨트롤러를 식별-상기 제 2 관리 컨트롤러는 상기 제 2 컴퓨팅 디바이스의 하드웨어 내에 구현되고 상기 제 2 컴퓨팅 디바이스의 중앙 처리 유닛(a central processing unit (CPU))와 독립적임-하고,
    상기 제 2 관리 컨트롤러에게 상기 제 2 컴퓨팅 디바이스의 속성에 대해 질의하고,
    상기 제 2 관리 컨트롤러로부터 상기 제 2 컴퓨팅 디바이스의 하나 이상의 속성을 식별하는 데이터를 수신하고,
    상기 제 2 컴퓨팅 디바이스의 상기 하나 이상의 속성에 기초하여 상기 제 2 컴퓨팅 디바이스 상에 상기 네트워크의 다른 보안 정책을 구현하게 하는
    머신 액세스 가능한 저장 매체.
  24. 제 23 항에 있어서,
    상기 제 1 컴퓨팅 디바이스의 상기 속성은 상기 제 2 컴퓨팅 디바이스의 상기 속성과 상이하고, 상기 제 1 컴퓨팅 디바이스에 적용된 보안 정책은 상기 제 2 컴퓨팅 디바이스에 적용된 보안 정책과 상이한
    머신 액세스 가능한 저장 매체.
  25. 제 23 항에 있어서,
    상기 제 1 컴퓨팅 디바이스는 상기 제 2 컴퓨팅 디바이스와 상이한 타입을 갖는
    머신 액세스 가능한 저장 매체.
  26. 제 16 항에 있어서,
    상기 속성은 상기 제 1 컴퓨팅 디바이스의 모델, 제조자, 소프트웨어 기능, 및 하드웨어 기능 중 하나 이상을 포함하는
    머신 액세스 가능한 저장 매체.
  27. 적어도 하나의 프로세서 디바이스와,
    적어도 하나의 메모리 요소와,
    관리 시스템을 포함하고,
    상기 관리 시스템은 상기 적어도 하나의 프로세서 디바이스에 의해 실행될 때,
    네트워크 상의 제 1 컴퓨팅 디바이스의 제 1 관리 컨트롤러를 식별-상기 제 1 관리 컨트롤러는 상기 제 1 컴퓨팅 디바이스의 하드웨어 내에 구현되고 상기 제 1 컴퓨팅 디바이스의 중앙 처리 유닛(a central processing unit, CPU)과 독립적임-하고,
    상기 제 1 관리 컨트롤러에게 상기 제 1 컴퓨팅 디바이스의 속성에 대해 질의하고,
    상기 제 1 관리 컨트롤러로부터 상기 제 1 컴퓨팅 디바이스의 하나 이상의 속성을 식별하는 데이터를 수신하고,
    상기 하나 이상의 속성에 기초하여 상기 제 1 컴퓨팅 디바이스 상에 상기 네트워크의 보안 정책을 구현하도록 적응되는
    시스템.
KR1020157013268A 2012-12-21 2013-11-17 하드웨어 관리 인터페이스 KR20150069027A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/725,722 US9015793B2 (en) 2012-12-21 2012-12-21 Hardware management interface
US13/725,722 2012-12-21
PCT/US2013/070459 WO2014099196A1 (en) 2012-12-21 2013-11-17 Hardware management interface

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020177008327A Division KR20170094543A (ko) 2012-12-21 2013-11-17 하드웨어 관리 인터페이스

Publications (1)

Publication Number Publication Date
KR20150069027A true KR20150069027A (ko) 2015-06-22

Family

ID=50976340

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020177008327A KR20170094543A (ko) 2012-12-21 2013-11-17 하드웨어 관리 인터페이스
KR1020157013268A KR20150069027A (ko) 2012-12-21 2013-11-17 하드웨어 관리 인터페이스

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020177008327A KR20170094543A (ko) 2012-12-21 2013-11-17 하드웨어 관리 인터페이스

Country Status (5)

Country Link
US (1) US9015793B2 (ko)
EP (1) EP2936368B1 (ko)
KR (2) KR20170094543A (ko)
CN (1) CN104813337B (ko)
WO (1) WO2014099196A1 (ko)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9015793B2 (en) 2012-12-21 2015-04-21 Mcafee, Inc. Hardware management interface
US9419953B2 (en) 2012-12-23 2016-08-16 Mcafee, Inc. Trusted container
US8850543B2 (en) 2012-12-23 2014-09-30 Mcafee, Inc. Hardware-based device authentication
US10104619B2 (en) 2014-06-30 2018-10-16 Hewlett-Packard Development Company, L.P. Retrieval of a command from a management server
CN104125223B (zh) * 2014-07-22 2017-07-21 浪潮电子信息产业股份有限公司 一种移动设备隐私数据的安全防护系统
EP3001639B1 (en) * 2014-09-23 2019-05-22 Accenture Global Services Limited Industrial security agent platform
US9870476B2 (en) 2014-09-23 2018-01-16 Accenture Global Services Limited Industrial security agent platform
US10225095B2 (en) * 2015-04-27 2019-03-05 Dell Products L.P. Systems and methods for one-to-many wireless access to management controllers
US9661156B2 (en) * 2015-05-21 2017-05-23 Toshiba America Business Solutions, Inc. Error assistance using heads-up display
US20170264691A1 (en) * 2016-03-08 2017-09-14 GM Global Technology Operations LLC Virtual vehicle sensors and peripherals based on add-on device capability
US10318723B1 (en) * 2016-11-29 2019-06-11 Sprint Communications Company L.P. Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications
US10554726B1 (en) * 2017-03-22 2020-02-04 Amazon Technologies, Inc. Remote device drivers for internet-connectable devices
US10826883B2 (en) 2017-04-11 2020-11-03 Dell Products L.P. Systems and methods for host system management of an information handling system via a mobile information handling system
US10564218B2 (en) 2017-11-03 2020-02-18 Dell Products L.P. Systems and methods for debugging access
US10693721B2 (en) * 2017-12-29 2020-06-23 Topaz Systems, Inc. Methods for serial port client server mapping
US11522897B2 (en) * 2018-07-25 2022-12-06 International Business Machines Corporation Detecting and patching network vulnerabilities
US11528610B2 (en) * 2019-12-12 2022-12-13 Cisco Technology, Inc. Dynamic control and creation of user private networks
US11729201B2 (en) * 2019-12-13 2023-08-15 Mark Shavlik Enterprise security assessment and management service for serverless environments
CN111459403B (zh) * 2020-02-29 2023-03-28 新华三技术有限公司成都分公司 一种存储硬件管理方法及装置
CN114531267B (zh) * 2021-12-31 2024-01-23 华能信息技术有限公司 一种数据资产管理方法及系统

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6073142A (en) 1997-06-23 2000-06-06 Park City Group Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments
US5987610A (en) 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
US7100195B1 (en) * 1999-07-30 2006-08-29 Accenture Llp Managing user information on an e-commerce system
US6460050B1 (en) 1999-12-22 2002-10-01 Mark Raymond Pace Distributed content identification system
KR20000017956A (ko) 1999-12-30 2000-04-06 김월영 하드웨어락에 의한 보안 및 원격관리 솔루션 "바다"
US6901519B1 (en) 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
EP1540446A2 (en) * 2002-08-27 2005-06-15 TD Security, Inc., dba Trust Digital, LLC Enterprise-wide security system for computer devices
US8020192B2 (en) * 2003-02-28 2011-09-13 Michael Wright Administration of protection of data accessible by a mobile device
US7231449B2 (en) * 2003-03-05 2007-06-12 Lenovo Singapore Pte. Ltd Computer system having a network access point
KR20040088985A (ko) 2003-07-16 2004-10-20 이도용 Usb key를 이용한 통신망 자동연결 장치
US8230480B2 (en) * 2004-04-26 2012-07-24 Avaya Inc. Method and apparatus for network security based on device security status
US7701341B2 (en) 2004-09-01 2010-04-20 Microsoft Corporation Device service provider interface
KR20060067035A (ko) 2004-12-14 2006-06-19 한국전자통신연구원 무선식별 기반 사물정보 인터넷 주소 검색 서비스 장치 및그 방법
US9525666B2 (en) 2005-01-31 2016-12-20 Unisys Corporation Methods and systems for managing concurrent unsecured and cryptographically secure communications across unsecured networks
WO2007053848A1 (en) 2005-11-01 2007-05-10 Mobile Armor, Llc Centralized dynamic security control for a mobile device network
US8205238B2 (en) 2006-03-30 2012-06-19 Intel Corporation Platform posture and policy information exchange method and apparatus
US20070263236A1 (en) 2006-04-27 2007-11-15 Selvaraj Senthil K Automatic discovery of print media attributes
US20080005359A1 (en) 2006-06-30 2008-01-03 Khosravi Hormuzd M Method and apparatus for OS independent platform based network access control
DE102007050463A1 (de) 2006-11-16 2008-05-21 Giesecke & Devrient Gmbh Verfahren zum Zugriff auf einen tragbaren Speicherdatenträger mit Zusatzmodul und tragbarer Speicherdatenträger
US8484327B2 (en) 2007-11-07 2013-07-09 Mcafee, Inc. Method and system for generic real time management of devices on computers connected to a network
US20100023782A1 (en) 2007-12-21 2010-01-28 Intel Corporation Cryptographic key-to-policy association and enforcement for secure key-management and policy execution
US9369299B2 (en) * 2008-06-10 2016-06-14 Bradford Networks, Inc. Network access control system and method for devices connecting to network using remote access control methods
KR100966236B1 (ko) 2009-11-12 2010-06-25 주식회사 이음기술 인증기능이 탑재된 ssd를 사용하는 컴퓨터 및 그 구동방법
US8869307B2 (en) 2010-11-19 2014-10-21 Mobile Iron, Inc. Mobile posture-based policy, remediation and access control for enterprise resources
US8412816B2 (en) * 2010-12-17 2013-04-02 Dell Products L.P. Native bi-directional communication for hardware management
WO2012140249A1 (en) 2011-04-14 2012-10-18 Yubico Ab A dual interface device for access control and a method therefor
US9015793B2 (en) 2012-12-21 2015-04-21 Mcafee, Inc. Hardware management interface
US20140181844A1 (en) 2012-12-23 2014-06-26 Vincent Edward Von Bokern Hardware management interface
US9419953B2 (en) 2012-12-23 2016-08-16 Mcafee, Inc. Trusted container

Also Published As

Publication number Publication date
EP2936368B1 (en) 2024-05-15
US20140181891A1 (en) 2014-06-26
EP2936368A4 (en) 2016-08-17
EP2936368A1 (en) 2015-10-28
WO2014099196A1 (en) 2014-06-26
CN104813337B (zh) 2018-06-05
KR20170094543A (ko) 2017-08-18
US9015793B2 (en) 2015-04-21
CN104813337A (zh) 2015-07-29

Similar Documents

Publication Publication Date Title
KR20150069027A (ko) 하드웨어 관리 인터페이스
US10083290B2 (en) Hardware-based device authentication
US20210014220A1 (en) Trusted container
US11245687B2 (en) Hardware-based device authentication
US20180219676A1 (en) Managing smart appliances using blockchain technology
KR102137276B1 (ko) 자동 장치 탐지, 장치 관리 및 원격 지원을 위한 시스템들 및 방법들
US20140181844A1 (en) Hardware management interface
US20180183802A1 (en) Resource-driven dynamic authorization framework
EP2676220A2 (en) System and method for application attestation
JP2016537894A (ja) 局所/ホームネットワークのためのセキュリティゲートウェイ

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision