KR20210097825A - 참조 플랫폼 매니페스트 및 데이터 씰링에 따른 보안 os 부팅 기법 - Google Patents
참조 플랫폼 매니페스트 및 데이터 씰링에 따른 보안 os 부팅 기법 Download PDFInfo
- Publication number
- KR20210097825A KR20210097825A KR1020217024019A KR20217024019A KR20210097825A KR 20210097825 A KR20210097825 A KR 20210097825A KR 1020217024019 A KR1020217024019 A KR 1020217024019A KR 20217024019 A KR20217024019 A KR 20217024019A KR 20210097825 A KR20210097825 A KR 20210097825A
- Authority
- KR
- South Korea
- Prior art keywords
- computing device
- operating system
- value
- hardware
- goodness
- Prior art date
Links
- 238000007789 sealing Methods 0.000 title 1
- 230000036541 health Effects 0.000 claims abstract description 104
- 238000000034 method Methods 0.000 claims description 135
- 238000010200 validation analysis Methods 0.000 claims description 40
- 238000012423 maintenance Methods 0.000 claims description 29
- 238000004891 communication Methods 0.000 claims description 18
- 238000011084 recovery Methods 0.000 claims description 14
- 241000700605 Viruses Species 0.000 claims description 10
- 230000009471 action Effects 0.000 claims description 7
- 238000009434 installation Methods 0.000 claims description 5
- 238000003384 imaging method Methods 0.000 claims description 2
- 230000003862 health status Effects 0.000 abstract description 8
- 230000008569 process Effects 0.000 description 37
- 230000015654 memory Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 16
- 238000012986 modification Methods 0.000 description 13
- 230000004048 modification Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 12
- 238000012545 processing Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 6
- 238000013501 data transformation Methods 0.000 description 5
- 238000005259 measurement Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000001010 compromised effect Effects 0.000 description 4
- 238000003032 molecular docking Methods 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 239000000470 constituent Substances 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000003936 working memory Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013329 compounding Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000036449 good health Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000002156 mixing Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
컴퓨팅 디바이스의 양호성 상황을 나타내기 위한 하나 이상의 디바이스 양호성 값의 사용은 운영 체제 개발자가 컴퓨팅 디바이스의 보안 구성을 직접적으로 관리하는 것을 가능하게 할 수 있다. 디바이스 양호성 값의 생성은 컴퓨팅 디바이스의 부트 업 동안에 구성 설정에 따라 컴퓨팅 디바이스의 하드웨어 컴포넌트를 초기화하고 운영 체제를 로딩하는 것을 수반한다. 이후 디바이스 양호성 값은 부트 업에서 운영 체제를 포함하는 소프트웨어 스택의 상태 및/또는 하드웨어 컴포넌트의 상태에 기반하여 생성된다. 컴퓨팅 디바이스가 보안 상태에 있는지 판정하기 위해 디바이스 양호성 값은 참조 양호성 값과 비교될 수 있다.
Description
통상적으로, 컴퓨팅 디바이스는 부트 업(boot up) 동안에 컴퓨팅 디바이스의 하드웨어 플랫폼(hardware platform) 및 운영 체제(operating system)를 모니터링하기(monitor) 위해 보안 모듈(security module)을 이용한다. 보안 모듈은 흔히 컴퓨팅 디바이스가 부트 업할 때 컴퓨팅 디바이스의 다양한 컴포넌트로부터 상태 입력(state input)을 수신하는 전용 처리 칩(dedicated processing chip)이다. 이후, 보안 모듈은 그 상태 입력을 컴퓨팅 디바이스 상의 애플리케이션에 제공한다. 애플리케이션은 컴퓨팅 디바이스가 애플리케이션의 실행을 위한 보안 플랫폼(secured platform)이라는 것, 가령 운영 체제는 최신이고 알려진 보안 문제가 없다는 것을 검증하기(verify) 위해 일반적으로 상태 입력을 사용한다.
그러나, 많은 사례에서, 보안 모듈은 초기화되는 하드웨어 컴포넌트의 많은 개수로 인해 부트 업 동안에 하드웨어 및 소프트웨어 플랫폼으로부터 다수의 입력을 수신한다. 나아가, 많은 애플리케이션은 보안 모듈로부터 수신되는 상태 입력을 처리하는 것이 불가능하다. 보안된(secured) 컴퓨팅 디바이스 및 훼손된(compromised) 컴퓨팅 디바이스 간을 구별하기 위해 다양한 하드웨어 구성을 갖는 무수한 컴퓨팅 디바이스로부터의 상태 입력을 처리하는 것이 가능한 애플리케이션의 개발은 통상적으로 리소스의 상당한 지출을 요한다. 흔히, 애플리케이션 개발자는 그러한 리소스가 부족하거나 그렇지 않으면 그러한 리소스를 쓰기를 꺼린다. 이와 같이, 보안 모듈은 보안 컴퓨팅 플랫폼(secured computing platform)을 만드는 데에 도움이 되도록 의도되나, 보안 모듈에 의해 제공되는 상태 입력은 컴퓨팅 디바이스 상의 다수의 애플리케이션에 의해 흔히 무시된다.
따라서, 상태 입력이 훼손된 컴퓨팅 디바이스를 반영한다는 사실에도 불구하고 애플리케이션이 컴퓨팅 디바이스 상에서 실행되는 것이다. 그러한 애플리케이션의 실행은 흔히 의도치 않게 악의적인 당사자가 컴퓨팅 디바이스를 장악하고/하거나 컴퓨팅 디바이스로부터 사용자 데이터를 도용할 수 있게 한다.
컴퓨팅 디바이스의 양호성 상황(health status)을 판정하기 위해 컴퓨팅 디바이스 상의 신뢰 모듈(trust module)에 의해 도출되는 하나 이상의 디바이스 양호성 값(device health value)을 사용하는 기법들이 본 문서에 기술된다. 기법들은 컴퓨팅 디바이스를 위한 하나 이상의 참조 양호성 값(reference health value)을 생성할 수 있다. 하나 이상의 참조 양호성 값은 컴퓨팅 디바이스와 동일한 하드웨어 및/또는 소프트웨어 구성을 갖는 하나 이상의 참조 컴퓨팅 디바이스(reference computing device)를 사용하여 미리 생성될 수 있다. 참조 양호성 값은 참조 컴퓨팅 디바이스의 부트 업에서 참조 컴퓨팅 디바이스의 운영 체제를 포함하는 소프트웨어 스택(software stack)의 상태 및/또는 하드웨어 플랫폼(hardware platform)의 상태를 나타낼 수 있다. 참조 양호성 값은 참조 컴퓨팅 디바이스의 하드웨어 플랫폼 및/또는 운영 체제가 보안 상태(secured state)에 있는 것으로 알려져 있다는 사실을 반영할 수 있다. 보안 상태 내의 컴퓨팅 디바이스는 알려진 보안 문제가 없을 수 있다. 몇몇 실시예에서, 하드웨어 플랫폼의 상태는, 주변(peripheral) 하드웨어 컴포넌트들(가령, 외부 키보드, 마우스, 도킹 스테이션(docking station) 등등)과는 대조적으로, 컴퓨팅 디바이스의 보안 콘텍스트(security context)에 영향을 주는(affect) 것들인 하드웨어 플랫폼의 불변(invariant) 하드웨어 컴포넌트들(가령, 그래픽 프로세서(graphics processor), 플래시 메모리(flash memory) 등등)에 관해서 측정될 수 있다.
컴퓨팅 디바이스 상의 신뢰 모듈은 부트 업에서 컴퓨팅 디바이스의 하드웨어 플랫폼의 상태 및/또는 운영 체제의 상태를 나타내는 하나 이상의 디바이스 양호성 값을 생성할 수 있다. 컴퓨팅 디바이스 상의 부트 프로세스 컴포넌트(boot process component)는 각 디바이스 양호성 값이 대응하는 참조 양호성 값과 매칭되는(match) 경우 컴퓨팅 디바이스가 보안 상태에 있음을 판정할 수 있다. 역으로, 그 컴포넌트는 임의의 디바이스 양호성 값 및 그것의 대응하는 참조 양호성 값이 상이한 경우 컴퓨팅 디바이스가 불측 상태(unexpected state)에 있음을 판정할 수 있다. 컴퓨팅 디바이스가 불측 상태에 있다고 판명되는 경우에는, 부트 프로세스 컴포넌트는, 유지 모듈(maintenance module)을 포함하는 병렬 안전 소프트웨어 스택(parallel safe software stack)과 같은 복원 환경(recovery environment)을 실행함으로써 컴퓨팅 디바이스 상의 소프트웨어 컴포넌트의 수정(fix)을 개시할 수 있다. 예컨대, 복원 환경은 손상된(corrupt) 데이터 파일의 보수(repair), 멀웨어(malware) 또는 바이러스의 제거(removal), 운영 체제의 리이미징(reimaging), 하나 이상의 하드웨어 컴포넌트를 위한 새로운 펌웨어(firmware)의 설치 및 기타 등등을 개시할 수 있어서, 컴퓨팅 디바이스는 보안 상태로 되돌려질 수 있다.
반대로, 보안 상태에서 동작하는 컴퓨팅 디바이스는 다수의 애플리케이션을 실행할 수 있다. 예컨대, 컴퓨팅 디바이스는 그것의 보안 상황(secured status)을 다른 개체(entity)에 인증하기(certify) 위해 대응하는 양호성 인증서(health certificate)를 사용할 수 있다. 다음에, 그 개체는 양호성 인증서를 받아들인 후 요청된 서비스(requested service)를 컴퓨팅 디바이스에 제공할 수 있다. 다른 예에서, 컴퓨팅 디바이스는 컴퓨팅 디바이스 상에 저장된 사용자 데이터로의 액세스를 통제하는(regulating) 것과 같은 작업을 수행하는 데에 컴퓨팅 디바이스에 배포되고(distributed) 하나 이상의 참조 양호성 값에 결부된(bound) 하나 이상의 키를 사용할 수 있다. 하나 이상의 키는 컴퓨팅 디바이스를 고유하게 식별할 수 있다. 몇몇 사례에서, 컴퓨팅 디바이스로의 전면적인 액세스(full access)가 컴퓨팅 디바이스가 최신 패치 및 소프트웨어 업데이트로써 주기적으로 업데이트되는 것에 부수하게끔 하기 위해 컴퓨팅 디바이스 상의 메커니즘들은 만료일자(expiration date)와 함께 컴퓨팅 디바이스에 할당된 하나 이상의 키를 제공할 수 있다.
적어도 하나의 실시예에서, 하나 이상의 디바이스 양호성 값의 생성은 컴퓨팅 디바이스의 부트 업 동안에 구성 설정에 따라 컴퓨팅 디바이스의 하드웨어 컴포넌트를 초기화하고 운영 체제를 로딩하는(loading) 것을 수반한다. 하나 이상의 디바이스 양호성 값은 이후 부트 업에서 운영 체제를 포함하는 소프트웨어 스택의 상태 및/또는 하드웨어 컴포넌트의 상태에 기반하여 생성된다. 컴퓨팅 디바이스가 보안 상태에 있는지를 판정하기 위해 디바이스 양호성 값은 대응하는 참조 양호성 값과 비교될 수 있다.
따라서, 기법들은 운영 체제 개발자가 컴퓨팅 디바이스의 구성을 보안 컴퓨팅 플랫폼으로서 직접적으로 관리할 수 있도록 할 수 있다. 이런 식으로, 사용자는 컴퓨팅 디바이스의 양호성을 모니터링하고, 최신 업데이트 및 패치가 설치됨을 보장하며, 운영 체제가 유지 상태(maintained state)에 있음을 검증하는 작업으로부터 해방될 수 있다. 유지 상태에 있는 동안, 운영 체제는 알려진 멀웨어, 바이러스 및 다른 악성 코드가 없을 수 있다. 대신에, 부트 업하는 시간으로부터 컴퓨팅 디바이스가 보안 상태에 있다는 점 및 컴퓨팅 디바이스가 기밀의(confidential) 사용자 데이터를 안전하게 지킬 것으로 사용자가 신뢰할 수 있다는 점을 사용자는 확신할 수 있다.
이 요약은 상세한 설명에서 추가로 후술되는 개념 중 선택된 것을 단순화된 형태로 소개하기 위해 제공된다. 이 요약은 청구된 대상(claimed subject matter)의 중요 특징 또는 필수적 특징을 식별하도록 의도된 것이 아니고, 청구된 대상의 범주를 한정하는 데 사용되도록 의도된 것도 아니다.
상세한 설명은 첨부된 도면을 참조하여 기술된다. 도면에서, 참조 번호의 제일 왼쪽 숫자(들)는 참조 번호가 처음 나타난 도면을 식별한다. 상이한 도면들 내에서의 동일한 참조 번호의 사용은 유사하거나 동일한 항목을 나타낸다.
도 1은 사용자 컴퓨팅 디바이스의 양호성 상황을 평가하기(assess) 위한 예시적 방안을 보여주는 블록도인데, 여기서 평가된 양호성 상황은 사용자 컴퓨팅 디바이스로의 액세스를 인가하고/하거나 서비스 제공자로부터 서비스를 획득하는 데에 사용된다.
도 2는 사용자 컴퓨팅 디바이스의 양호성 상황을 평가하는 데 사용되는 참조 양호성 값을 생성하는 참조 컴퓨팅 디바이스의 예시적 컴포넌트를 도시하는 예시적인 도해이다.
도 3은 디바이스 양호성 값과 저장된 참조 양호성 값의 비교에 적어도 기반하여 사용자 컴퓨팅 디바이스의 양호성 상황을 평가하는 신뢰 모듈을 갖는 사용자 컴퓨팅 디바이스의 예시적 컴포넌트를 도시하는 예시적인 도해이다.
도 4는 하나 이상의 참조 컴퓨팅 디바이스를 사용하여 참조 양호성 값을 생성하기 위한 예시적 프로세스를 보여주는 흐름도이다.
도 5는 사용자 컴퓨팅 디바이스의 디바이스 양호성 값과 참조 양호성 값의 비교에 기반하여 사용자 컴퓨팅 디바이스의 양호성 상황을 판정하기 위한 예시적 프로세스를 보여주는 흐름도이다.
도 6은 사용자 컴퓨팅 디바이스를 위한 디바이스 양호성 값을 생성하기 위한 예시적 프로세스를 보여주는 흐름도이다.
도 7은 사용자 컴퓨팅 디바이스 상에 저장된 사용자 데이터를 안전하게 지키기는 데에 하나 이상의 키 및 참조 양호성 값을 사용하기 위한 예시적 프로세스를 보여주는 흐름도이다.
도 8은 사용자 컴퓨팅 디바이스의 운영 체제에 대한 업데이트를 명하는 데에 참조 양호성 값과 연관된 하나 이상의 키를 사용하기 위한 예시적 프로세스를 보여주는 흐름도이다.
도 1은 사용자 컴퓨팅 디바이스의 양호성 상황을 평가하기(assess) 위한 예시적 방안을 보여주는 블록도인데, 여기서 평가된 양호성 상황은 사용자 컴퓨팅 디바이스로의 액세스를 인가하고/하거나 서비스 제공자로부터 서비스를 획득하는 데에 사용된다.
도 2는 사용자 컴퓨팅 디바이스의 양호성 상황을 평가하는 데 사용되는 참조 양호성 값을 생성하는 참조 컴퓨팅 디바이스의 예시적 컴포넌트를 도시하는 예시적인 도해이다.
도 3은 디바이스 양호성 값과 저장된 참조 양호성 값의 비교에 적어도 기반하여 사용자 컴퓨팅 디바이스의 양호성 상황을 평가하는 신뢰 모듈을 갖는 사용자 컴퓨팅 디바이스의 예시적 컴포넌트를 도시하는 예시적인 도해이다.
도 4는 하나 이상의 참조 컴퓨팅 디바이스를 사용하여 참조 양호성 값을 생성하기 위한 예시적 프로세스를 보여주는 흐름도이다.
도 5는 사용자 컴퓨팅 디바이스의 디바이스 양호성 값과 참조 양호성 값의 비교에 기반하여 사용자 컴퓨팅 디바이스의 양호성 상황을 판정하기 위한 예시적 프로세스를 보여주는 흐름도이다.
도 6은 사용자 컴퓨팅 디바이스를 위한 디바이스 양호성 값을 생성하기 위한 예시적 프로세스를 보여주는 흐름도이다.
도 7은 사용자 컴퓨팅 디바이스 상에 저장된 사용자 데이터를 안전하게 지키기는 데에 하나 이상의 키 및 참조 양호성 값을 사용하기 위한 예시적 프로세스를 보여주는 흐름도이다.
도 8은 사용자 컴퓨팅 디바이스의 운영 체제에 대한 업데이트를 명하는 데에 참조 양호성 값과 연관된 하나 이상의 키를 사용하기 위한 예시적 프로세스를 보여주는 흐름도이다.
컴퓨팅 디바이스의 양호성 상황을 판정하기 위해 컴퓨팅 디바이스 상의 신뢰 모듈에 의해 도출되는 이상의 디바이스 양호성 값을 사용하는 기법들이 본 문서에 기술된다. 기법들은 컴퓨팅 디바이스를 위한 하나 이상의 참조 양호성 값을 생성할 수 있다. 하나 이상의 참조 양호성 값은 컴퓨팅 디바이스와 동일한 하드웨어 및/또는 소프트웨어 구성을 갖는 참조 컴퓨팅 디바이스를 사용하여 미리 생성될 수 있다. 하나 이상의 참조 양호성 값은 참조 컴퓨팅 디바이스의 부트 업에서 참조 컴퓨팅 디바이스의 운영 체제를 포함하는 소프트웨어 스택의 상태 및/또는 하드웨어 플랫폼의 상태를 나타낼 수 있는데, 여기서 참조 컴퓨팅 디바이스의 하드웨어 플랫폼 및 운영 체제는 알려진 보안 문제가 없는 것으로 알려져 있다.
컴퓨팅 디바이스 상의 신뢰 모듈은 부트 업에서 컴퓨팅 디바이스의 운영 체제를 포함하는 소프트웨어 스택의 상태 및/또는 하드웨어 플랫폼의 상태를 나타내는 하나 이상의 디바이스 양호성 값을 생성할 수 있다. 컴퓨팅 디바이스 상의 부트 프로세스 컴포넌트는 컴퓨팅 디바이스가 보안 상태에 있는지 또는 불측 상태에 있는지를 판정하기 위해 각 디바이스 양호성 값을 대응하는 참조 양호성 값과 비교할 수 있다. 불측 상태는 컴퓨팅 디바이스가 어떤 식으로든 훼손되었다는 표시(indication)일 수 있다. 컴퓨팅 디바이스가 불측 상태에 있다고 판명되는 경우에, 부트 프로세스 컴포넌트는 복원 환경을 실행함으로써 컴퓨팅 디바이스 상의 소프트웨어 컴포넌트의 수정을 개시할 수 있다. 반대로, 보안 상태에서 동작하는 컴퓨팅 디바이스는 다수의 애플리케이션을 실행할 수 있다. 예컨대, 컴퓨팅 디바이스는 컴퓨팅 디바이스 상에 저장된 사용자 데이터로의 액세스를 통제하는 것과 같은 작업을 수행하는 데에 컴퓨팅 디바이스에 배포되고 하나 이상의 참조 양호성 값에 결부된 하나 이상의 키를 사용할 수 있다.
몇몇 사례에서, 컴퓨팅 디바이스로의 전면적인 액세스가 컴퓨팅 디바이스가 최신 패치 및 소프트웨어 업데이트로써 주기적으로 업데이트되는 것에 부수하게끔 하기 위해 컴퓨팅 디바이스 상의 메커니즘들은 만료일자와 함께 컴퓨팅 디바이스에 배포된 하나 이상의 키를 제공할 수 있다. 다양한 실시예에 따라 컴퓨팅 디바이스의 양호성 상황을 판정하기 위해 컴퓨팅 디바이스 상의 신뢰 모듈에 의해 도출되는 디바이스 양호성 값을 사용하는 기법의 예가 도 1 내지 도 8을 참조하여 후술된다.
예시적 방안
도 1은 사용자 컴퓨팅 디바이스의 양호성 상황을 평가하기 위한 예시적 방안을 보여주는 블록도인데, 여기서 평가 양호성 상황은 사용자 컴퓨팅 디바이스로의 액세스를 인가하고 서비스 제공자로부터 서비스를 획득하는 데에 사용된다. 예시적 방안(100)은 유효화 개체(validation entity)(102), 사용자 컴퓨팅 디바이스(104) 및 서비스 제공자(service provider)(106)를 포함할 수 있다. 유효화 개체(102)는 운영 체제 개발자, 하드웨어 플랫폼 제조자, 가령 주문자 위탁 생산자(Original Equipment Manufacturer: OEM), 또는 운영 체제 개발자와 하드웨어 플랫폼 제조자 양자 모두에 의해 신뢰받는 제3자일 수 있다.
유효화 개체(102)는 사용자 컴퓨팅 디바이스(104)를 위한 참조 양호성 값(108)을 생성하는 것을 책임질 수 있다. 유효화 개체(102)는 참조 양호성 값(108)을 생성하기 위해 사용자 컴퓨팅 디바이스(104)와 동일한 하드웨어 및 소프트웨어 구성을 갖는 참조 컴퓨팅 디바이스(110)를 사용할 수 있다. 예컨대, 참조 컴퓨팅 디바이스(110)는 사용자 컴퓨팅 디바이스(104)와 동일한 하드웨어 컴포넌트를 가질 수 있는데, 여기서 하드웨어 컴포넌트는 같은 방식으로 작동하도록 셋업된다(set up). 또한, 참조 컴퓨팅 디바이스(110)는 사용자 컴퓨팅 디바이스(104)와 동일한 구성 설정에 따라 동일한 운영 체제를 실행하고 있을 수 있다.
참조 양호성 값(108)은 참조 컴퓨팅 디바이스의 부트 업에서 참조 컴퓨팅 디바이스(110)의 운영 체제를 포함하는 소프트웨어 스택의 상태 및/또는 하드웨어 플랫폼의 상태를 나타낼 수 있는데, 여기서 참조 컴퓨팅 디바이스의 하드웨어 플랫폼 및 운영 체제는 알려진 보안 문제가 없는 유지 상태에 있는 것으로 알려져 있다. 몇몇 실시예에서, 참조 컴퓨팅 디바이스(110) 상의 양호성 값 모듈은 참조 양호성 값(108)을 생성할 수 있다. 양호성 값 모듈은 부트 업에서 참조 컴퓨팅 디바이스(110)의 하드웨어 플랫폼 및 하드웨어 플랫폼 상에서 실행되는 소프트웨어 스택의 상태에 관련된 측정들을 수집하는 독립형(standalone) 프로세서일 수 있다. 그 측정들은 참조 컴퓨팅 디바이스(110)의 양호성 값 모듈에 의해 참조 양호성 값으로 전환된다. 그러나, 다른 실시예에서, 양호성 값 모듈은 보호되는 환경(protected environment)을 구동하는 소프트웨어로서 구현될 수 있으니, 즉 참조 컴퓨팅 디바이스(110)의 보호되는 시스템 메모리로부터 참조 컴퓨팅 디바이스(110)의 하나 이상의 프로세서에 의해 실행될 수 있다.
몇몇 실시예에서, 참조 컴퓨팅 디바이스(110)의 하드웨어 플랫폼에 대한 측정들은, 주변 하드웨어 컴포넌트(가령, 외부 키보드, 마우스, 도킹 스테이션 등등)와는 대조적으로, 컴퓨팅 디바이스의 보안 콘텍스트에 영향을 주는 불변 하드웨어 컴포넌트(가령, 그래픽 프로세서, 플래시 메모리 등등)에 관해서 행해질 수 있다. 이런 식으로, 참조 양호성 값은 참조 컴퓨팅 디바이스(110)에 관해서 그러한 이차적 하드웨어 컴포넌트의 부착(attachment) 또는 제거에 의해 영향을 받지 않는다.
유효화 개체(102)는 네트워크(112)를 통하여 사용자 컴퓨팅 디바이스(104)에 참조 양호성 값(108)을 제공할 수 있다. 예컨대, 유효화 개체(102)에 의해 동작되는 서버(114)는 참조 양호성 값(108)을 사용자 컴퓨팅 디바이스(104)에 송신할 수 있다. 다양한 실시예에서, 네트워크(112)는 로컬 영역 네트워크(local area network)("LAN"), 광역 네트워크(wide area network)("WAN")와 같은 더 큰 네트워크 및/또는 네트워크의 집단, 예를 들어 인터넷일 수 있다. 네트워크 통신을 프로토콜을 위한 프로토콜, 예를 들어 TCP/IP가 네트워크(112)를 구현하는 데 사용될 수 있다. 네트워크(112)는 다양한 무선 통신 인터페이스 기술(가령, 셀룰러(cellular), 와이파이(Wi-Fi), 초광대역(Ultrawideband), 블루투스(Bluetooth), 위성 송신) 및/또는 유사한 것을 사용하여 구현될 수 있다. 대안적으로 또는 동시적으로, 네트워크(112)는 또한 다양한 유선 통신 기술, 예를 들어 LAN 이더넷(Ethernet), WAN 이더넷, 범용 직렬 버스(Universal Serial Bus: USB), 고속 직렬 버스 및/또는 유사한 것을 사용하여 구현될 수 있다.
사용자 컴퓨팅 디바이스(104)는 디바이스 양호성 값(118)을 생성하기 위해 신뢰 모듈(116)을 사용할 수 있다. 다양한 실시예에서, 신뢰 모듈(116)은 플랫폼 보안을 가능하게 하기 위해 사용자 컴퓨팅 디바이스(104) 상에 설치된 독립형 프로세서일 수 있다. 예컨대, 신뢰 모듈(116)은 트러스티드 컴퓨팅 그룹(Trusted Computing Group: TCG)에 의해 약술된 신뢰 플랫폼 모듈(Trusted Platform Module: TPM) 사양을 준수하는 TPM 모듈과 유사할 수 있다. 그러나, 다른 실시예에서, 신뢰 모듈(116)은 보호되는 환경을 구동하는 소프트웨어로서 구현될 수 있으니, 즉 사용자 컴퓨팅 디바이스(104)의 보호되는 시스템 메모리로부터 사용자 컴퓨팅 디바이스(104)의 하나 이상의 프로세서에 의해 실행될 수 있다.
신뢰 모듈(116)은 사용자 컴퓨팅 디바이스(104)의 부트 업에서 사용자 컴퓨팅 디바이스(104)의 하드웨어 플랫폼의 상태 및 하드웨어 플랫폼 상에서 실행되는 운영 체제를 포함하는 소프트웨어 스택의 상태에 관련된 측정을 획득할 수 있다. 신뢰 모듈(116)은 이들 측정을 기반으로 디바이스 양호성 값(118)을 생성할 수 있다. 부트 프로세스 컴포넌트는 디바이스 양호성 값(118)이 참조 양호성 값(108)과 매칭되는 경우 사용자 컴퓨팅 디바이스(104)가 보안 상태에 있음을 판정할 수 있다. 역으로, 부트 프로세스 컴포넌트는 디바이스 양호성 값(118) 및 참조 양호성 값(108)이 상이한 경우 사용자 컴퓨팅 디바이스(104)가 불측 상태에 있음을 판정할 수 있다. 불측 상태는 컴퓨팅 디바이스가 어떤 식으로든 훼손되었다는 표시일 수 있다. 사용자 컴퓨팅 디바이스(104)가 불측 상태에 있다고 판명되는 경우에, 부트 프로세스 컴포넌트는 컴퓨팅 디바이스 상의 소프트웨어 컴포넌트의 수정을 개시할 수 있다. 예컨대, 부트 프로세스 컴포넌트는 손상된 데이터 파일의 보수, 멀웨어 또는 바이러스의 제거, 운영 체제의 리이미징 및 기타 등등을 개시하기 위해 복원 환경을 실행할 수 있어서, 사용자 컴퓨팅 디바이스(104)는 보안 상태로 되돌려질 수 있다. 적어도 하나의 실시예에서, 복원 환경은 유지 모듈을 포함하는 병렬 안전 소프트웨어 스택일 수 있다. 반대로, 보안 상태에서 동작하는 사용자 컴퓨팅 디바이스(104)는 작업을 수행하는 다수의 애플리케이션을 실행하도록 신뢰 모듈(116)에 의해 허용될 수 있다.
예컨대, 사용자 컴퓨팅 디바이스(104)가 보안 상태에 있는 한, 사용자 컴퓨팅 디바이스(104)는 사용자 컴퓨팅 디바이스(104) 상의 데이터 파일을 보호하는 데에 사용자 컴퓨팅 디바이스(104)에 배포된 하나 이상의 키(120)를 사용할 수 있다. 다양한 실시예에서, 하나 이상의 키(120)는 암호 키(cryptographic key)일 수 있다. 유효화 개체(102)는 하나 이상의 키(120)를 참조 양호성 값(108)과 더불어 사용자 컴퓨팅 디바이스(104)에 배포할 수 있다. 몇몇 사례에서, 하나 이상의 키(120)는 사용자 컴퓨팅 디바이스(104)를 고유하게 식별할 수 있다. 신뢰 모듈(116)은 하나 이상의 키(120) 및 참조 양호성 값(108)의 조합에 기반하여 액세스 시크릿(access secret)을 생성할 수 있다. 신뢰 모듈(116)은 사용자 컴퓨팅 디바이스(104) 상에 저장되는 사용자 데이터를 보호하는 데에 액세스 시크릿을 사용할 수 있다. 따라서, 컴퓨팅 디바이스 상의 사용자 데이터는 하나 이상의 키(120)가 유효하고 부트 업에서 신뢰 모듈(116)에 의해 획득된 디바이스 양호성 값(118)이 저장된 참조 양호성 값(108)과 매칭되는 경우에 컴퓨팅 디바이스(104) 상의 애플리케이션에 의해 액세스될 뿐일 수 있다.
다른 예에서, 유효화 개체(102)는 사용자 컴퓨팅 디바이스(104)에 참조 양호성 값(108)과 더불어 양호성 인증서(122)를 제공할 수 있다. 양호성 인증서(122)는 그것의 보안 상태를 서비스 제공자, 예를 들어 서비스 제공자(106)에게 인증하기 위해 사용자 컴퓨팅 디바이스(104)에 의해 사용될 수 있다. 다음에, 서비스 제공자(106)는 하나 이상의 서버(124)를 통하여 사용자 컴퓨팅 디바이스(104)에 서비스를 제공할 수 있다. 예를 들면, 서비스 제공자는 사용자 컴퓨팅 디바이스(104)에서 개시되는 결제(payment)를 받아들이거나, 데이터 파일을 사용자 컴퓨팅 디바이스(104)에 송신하거나, 사용자 컴퓨팅 디바이스(104)와의 보안 통신 채널(secured communication channel)을 열 수 있다. 몇몇 실시예에서, 양호성 인증서(122)는 사용자 컴퓨팅 디바이스(104)를 식별하는 역할을 하는 하나 이상의 키(120)를 포함할 수 있다.
몇몇 실시예에서, 하나 이상의 키(120)는 만료일자를 가질 수 있다. 따라서, 사용자 컴퓨팅 디바이스(104)에 의해 제공되는 몇몇 서비스는 불능화되게(disabled) 될 수 있다. 예컨대, 하나 이상의 키(120)를 사용하여 보호되는 데이터 파일은 하나 이상의 키(120)의 만료 후에 액세스불가능하게 될 수 있다. 서비스는 사용자 컴퓨팅 디바이스(104)가 하나 이상의 새로운 키로써 업데이트되는 경우 복구될 수 있다. 그러나, 새로운 키로의 하나 이상의 키(120)의 업데이트는 사용자 컴퓨팅 디바이스(104)가 소프트웨어 업데이트(126)를 받는 것에 부수하게 될 수 있다. 소프트웨어 업데이트(126)는 운영 체제에 대한 업데이트, 하드웨어 플랫폼의 하나 이상의 하드웨어 컴포넌트의 펌웨어에 대한 업데이트, 사용자 컴퓨팅 디바이스(104) 상에 설치된 하나 이상의 애플리케이션에 대한 업데이트, 양호성 인증서(122)를 대신하는 대체 양호성 인증서 및 기타 등등을 포함할 수 있다. 이런 식으로, 하나 이상의 키(120)의 만료는 사용자 컴퓨팅 디바이스(104)의 사용자(128)가 최신 보안 패치 및 소프트웨어 업데이트로써 디바이스를 최신으로 유지하도록 동기를 주는 역할을 할 수 있다.
예시적 컴포넌트
도 2는 컴퓨팅 디바이스의 양호성 상황을 평가하는 데 사용되는 참조 양호성 값을 생성하는 참조 컴퓨팅 디바이스(110)의 예시적 컴포넌트를 도시하는 예시적인 도해이다. 다양한 실시예에서, 참조 컴퓨팅 디바이스(110)는 데스크톱 컴퓨터(desktop computer), 태블릿 컴퓨터(tablet computer), 랩톱 컴퓨터(laptop computer), 스마트폰(smart phone), 게임 콘솔(game console), 개인용 디지털 보조기기(Personal Digital Assistant: PDA) 및 기타 등등일 수 있다.
참조 컴퓨팅 디바이스(110)는 하드웨어 플랫폼(202), 플랫폼 펌웨어(204), 메모리(206) 및 양호성 값 모듈(208)을 포함할 수 있다. 하드웨어 플랫폼(202)은 참조 컴퓨팅 디바이스(110) 상의 소프트웨어가 애플리케이션을 실행하는 것을 가능하게 하는 하나 이상의 하드웨어 컴포넌트, 예를 들어 하나 이상의 프로세서(210)를 포함할 수 있다. 하나 이상의 프로세서(210)는 중앙 처리 유닛(Central Processing Unit: CPU), 그래픽 처리 유닛(Graphics Processing Unit: GPU), 마이크로프로세서(microprocessor), 디지털 신호 프로세서(digital signal processor) 등등을 포함할 수 있다. 또한, 어떤 기능들 및 모듈들은 프로세서 상에서 실행가능한 소프트웨어 및/또는 펌웨어에 의해 구현되는 것으로 본 문서에 기술되나, 다른 실시예에서, 모듈들 중 임의의 것 또는 전부는 기술된 기능들을 실행하도록 전체적으로 또는 부분적으로 하드웨어에 의해(가령, ASIC, 특수화된 처리 유닛 등등으로서) 구현될 수 있다. 기술된 기능들은 하나 이상의 하드웨어 로직 컴포넌트(hardware logic component), 예를 들어 필드 프로그램가능 게이트 어레이(Field-Programmable Gate Array: FPGA), 애플리케이션 특정 집적 회로(Application-Specific Integrated Circuit: ASIC), 프로그램 특정 표준 제품(Program-Specific Standard Product: ASSP), 시스템 온 칩 시스템(System-On-a-Chip system: SOC), 복합 프로그램가능 로직 디바이스(Complex Programmable Logic Device: CPLD) 등등으로서 구현될 수 있다. 하드웨어 플랫폼의 다른 하드웨어 컴포넌트는 네트워크 인터페이스 카드(Network Interface Card: NIC), 사운드 카드, 카메라, 디스플레이 인터페이스, 디스플레이, 사용자 인터페이스 및 기타 등등을 포함할 수 있다. 예시적인 목적으로 별도로 도시되었으나, 메모리(206)는 하드웨어 플랫폼(202)의 일부일 수 있다. 플랫폼 펌웨어(204)는 운영 체제(214)가 하드웨어 플랫폼(202)의 하드웨어 컴포넌트와 인터페이스할 수 있게 하는 프로그램 명령어를 포함할 수 있다. 따라서, 운영 체제(214)는 작업을 수행하고/하거나 데이터를 생성하도록 하드웨어 컴포넌트에 명령할(instruct) 수 있다. 하드웨어 컴포넌트의 펌웨어는 하드웨어 컴포넌트의 지속성 메모리(persistent memory) 내에 저장될 수 있다.
메모리(206)는 컴퓨터 판독가능 매체, 예를 들어 컴퓨터 저장 매체를 사용하여 구현될 수 있다. 컴퓨터 판독가능 매체는, 적어도, 두 가지 유형의 컴퓨터 판독가능 매체, 곧 컴퓨터 저장 매체 및 통신 매체를 포함한다. 컴퓨터 저장 매체들은 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 다른 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성(volatile) 및 비휘발성(non-volatile), 탈착가능(removable) 및 비탈착가능(non-removable) 매체들을 포함한다. 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 다른 메모리 기술, CD-ROM, 디지털 다기능 디스크(Digital Versatile Disk: DVD) 또는 다른 광학 스토리지(optical storage), 자기 카세트, 자기 테이프, 자기 디스크 저장 또는 다른 자기 저장 디바이스, 또는 컴퓨팅 디바이스에 의한 액세스를 위해 정보를 저장하는 데 사용될 수 있는 임의의 다른 유형적인(tangible) 매체를 포함하나, 이에 한정되지 않는다. 반대로, 통신 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 다른 데이터를 변조된 데이터 신호, 예를 들어 반송파(carrier wave), 또는 다른 통신 메커니즘으로 실체화할(embody) 수 있다. 본 문서에 정의된 바와 같이, 컴퓨터 저장 매체는 통신 매체를 포함하지 않는다.
참조 컴퓨팅 디바이스(110)의 메모리(206)는 운영 체제(214) 및 부트 로더(boot loader)(216)를 포함하는 소프트웨어 컴포넌트를 저장할 수 있다. 부트 로더(216)는 하드웨어 플랫폼(202)의 하나 이상의 하드웨어 컴포넌트를 초기화할 수 있다. 다양한 실시예에서, 부트 로더(216)는 각 하드웨어 컴포넌트를 시동하는 것(powering up) 및/또는 각 하드웨어 컴포넌트에 그것의 펌웨어 하드웨어 컴포넌트를 통해 명령어를 제공하는 것에 의해 그러한 초기화를 수행할 수 있다. 몇몇 실시예에서, 부트 로더(216)는 부트 설정(218)을 사용하여 하드웨어 플랫폼(202)을 초기화할 수 있다. 부트 설정(218)은 부트 업에서 초기화될, 하드웨어 플랫폼(202)의 특정 하드웨어 컴포넌트를 지시할(dictate) 수 있다. 예컨대, 부트 설정(218)은 시동할 승인된 하드웨어 컴포넌트의 특정 리스트를 지시할 수 있다. 대안적으로, 부트 설정(218)은 초기화될 하드웨어 컴포넌트를 선택하기 위한 하나 이상의 기준을 지시할 수 있다. 예컨대, 부트 설정(218)은 초기화를 유효화 개체(102)에 의해 그 펌웨어가 승인된(가령, 디지털로 서명된(digitally signed)) 하드웨어 플랫폼(202)의 각 하드웨어 컴포넌트로 제한할 수 있다. 부트 설정(218)은 또한 하드웨어 플랫폼(202)의 하드웨어 컴포넌트를 초기화하기 위한 특정 구성을 포함할 수 있다. 예컨대, 그 구성은 하드웨어 컴포넌트를 위한 전력 레벨, 데이터 전송률, 메모리 할당 및 기타 등등을 지시할 수 있다. 그 특정 구성은 유효화 개체(102)에 의해 승인되는 구성일 수 있다.
일단 하드웨어 컴포넌트가 초기화되면, 부트 로더(216)는 컴퓨팅 환경을 인스턴스화하기(instantiate) 위해 작업 메모리(working memory)(가령, RAM) 내에 운영 체제(214)를 로딩할 수 있다. 컴퓨팅 환경은 하나 이상의 애플리케이션의 실행을 지원할 수 있다. 몇몇 실시예에서, 부트 로더(216)는 운영 체제 구성 설정(220)에 따라 운영 체제(214)를 로딩할 수 있다. 운영 체제 구성 설정(220)은 로딩될 운영 체제(214)의 하나 이상의 데이터 파일(222)(가령, 라이브러리, 드라이버, 구성 등등)을 지시할 수 있다. 하나 이상의 데이터 파일(222)의 로딩은 특정한 서비스를 수행하거나, 특정 기능을 제공하거나, 맞춤화된(customized) 시각적 효과를 디스플레이하기 위해 운영 체제(214)를 맞춤화할 수 있다.
양호성 값 모듈(208)은 참조 컴퓨팅 디바이스(110)가 부트할 때 하드웨어 플랫폼(202) 및/또는 운영 체제(214)로부터 구성 값을 수집할 수 있다. 하드웨어 플랫폼(202)에 대한 각 구성 값은 특정한 하드웨어 컴포넌트의 상태를 나타낼 수 있다. 마찬가지로, 운영 체제(214)에 대한 각 구성 값은 운영 체제(214)의 특정 콘텍스트를 나타낼 수 있다. 양호성 값 모듈(208)은 참조 컴퓨팅 디바이스(110) 상에 설치되는 독립형 프로세서 모듈일 수 있다. 예컨대, 프로세서 모듈은 TCG에 의해 약술된 TPM 사양을 따르는 TPM 모듈과 유사할 수 있다. 몇몇 실시예에서, 하드웨어 플랫폼(202) 및/또는 운영 체제(214)는 전용 인터페이스를 통하여 양호성 값 모듈(208)에 구성 값을 제공할 수 있다. 몇몇 실시예에서, 하드웨어 플랫폼(202)은 하드웨어 플랫폼(202)의 불변 하드웨어 컴포넌트에 관해 구성 값을 제공하도록 구성될 수 있다. 그러한 하드웨어 컴포넌트는, 주변 하드웨어 컴포넌트(가령, 외부 키보드, 마우스, 도킹 스테이션 등등)와는 대조적으로, 컴퓨팅 디바이스의 보안 콘텍스트에 영향을 주는 컴포넌트(가령, 그래픽 프로세서, 플래시 메모리 등등)이다.
양호성 값 모듈(208)은 구성 레지스트리(configuration registry)(212) 내에 구성 값을 저장할 수 있다. 몇몇 사례에서, 양호성 값 모듈(208)은 구성 레지스트리(212)로부터 주변 하드웨어 컴포넌트의 구성 값을 폐기할(discard) 수 있다. 다양한 실시예에서, 구성 레지스트리(212)는 두 개의 레지스트리 부분을 포함할 수 있다. 구성 레지스트리(212)의 제1 부분은 하드웨어 플랫폼(202)과 연관된 구성 값을 저장할 수 있는 반면, 제2 부분은 운영 체제(214)와 연관된 구성 값을 저장할 수 있다.
양호성 값 모듈(208)은 구성 레지스트리(212) 내에 저장된 값에 기반하여 참조 양호성 값(108)을 생성할 수 있다. 적어도 하나의 실시예에서, 양호성 값 모듈(208)은 하드웨어 플랫폼(202) 및 운영 체제(214)와 연관된 구성 값들을 참조 양호성 값(108)으로 혼합함(compounding)으로써 참조 양호성 값(108)을 생성할 수 있다. 결과적인 참조 양호성 값(108)이 입력 구성 값들의 조합을 고유하게 나타내는 한, 그 생성을 수행하기 위해 양호성 값 모듈(208)은 하나 이상의 연산 동작(arithmetic operation) 및/또는 하나 이상의 데이터 변환 동작(data transform operation)을 사용할 수 있다. 참조 양호성 값(108)은 보안 상태에 있는 컴퓨팅 디바이스를 나타낼 수 있다.
다른 실시예에서, 양호성 값 모듈(208)은 하드웨어 플랫폼(202) 또는 운영 체제(214)와 연관된 구성 값으로부터만 참조 양호성 값(108)을 생성할 수 있다. 또 다시, 결과적인 참조 양호성 값(108)이 입력 구성 값들의 조합을 고유하게 나타내는 한, 그 혼합을 수행하기 위해 양호성 값 모듈(208)은 하나 이상의 연산 동작 및/또는 하나 이상의 데이터 변환 동작을 사용할 수 있다.
따라서, 몇몇 사례에서, 양호성 값 모듈(208)은 참조 컴퓨팅 디바이스(110)를 위해 다수의 참조 양호성 값을 생성할 수 있다. 예컨대, 양호성 값 모듈(208)은 하드웨어 플랫폼(202)과 연관된 구성 값으로부터 제1 참조 양호성 값을 생성하고, 운영 체제(214)와 연관된 구성 값으로부터 제2 참조 양호성 값을 생성할 수 있다. 또한, 다른 사례에서, 제1 참조 양호성 값 및 제2 참조 양호성 값의 생성은 두 개의 상이한 참조 컴퓨팅 디바이스 상에 상주하는(reside) 두 개의 별도의 양호성 값 모듈에 의해 수행될 수 있다. 예컨대, 제1 참조 양호성 값은 제1 참조 컴퓨팅 디바이스를 사용하여 하드웨어 제조자에 의해 생성될 수 있는 반면, 제2 참조 양호성 값은 제2 참조 컴퓨팅 디바이스를 사용하여 소프트웨어 개발자에 의해 생성될 수 있다.
유효화 개체(102)는 참조 양호성 값, 예를 들어 참조 양호성 값(108)을 서버(114) 내에 저장할 수 있다. 유효화 개체(102)는 복수의 참조 컴퓨팅 디바이스를 위한 다수의 참조 양호성 값을 생성할 수 있는데, 여기서 각 참조 컴퓨팅 디바이스는 고유한 하드웨어 및 운영 체제 구성을 가진다. 몇몇 사례에서, 유효화 개체(102)는 조합된 참조 양호성 값을 산출하기 위해 하드웨어 플랫폼과 연관된 구성 값으로부터 생성되는 제1 참조 양호성 값을 운영 체제와 연관된 구성 값으로부터 생성되는 제2 참조 양호성 값과 조합할 수 있다. 다양한 실시예에서, 유효화 개체(102)는 조합된 참조 양호성 값을 산출하기 위해 하나 이상의 연산 동작 및/또는 하나 이상의 데이터 변환 동작을 사용할 수 있다. 이런 식으로, 유효화 개체(102)는 다수의 벤더(vendor)들에 의해 배포되는 컴퓨팅 디바이스들을 위한 다수의 참조 양호성 값을 산출할 수 있다. 동일한 방식으로, 유효화 개체(102)는 또한 특정한 컴퓨팅 디바이스의 상이한 버전들을 위한 참조 값들을 생성할 수 있다. 예컨대, 유효화 개체(102)는 운영 체제의 원래 버전이 있는 참조 컴퓨팅 디바이스를 위한 참조 양호성 값을, 그리고 운영 체제의 업데이트된 버전이 구비된 동일한 참조 컴퓨팅 디바이스를 위한 다른 참조 양호성 값을 생성할 수 있다. 유효화 개체(102)는 사용자 컴퓨팅 디바이스, 예를 들어 사용자 컴퓨팅 디바이스(104)에 참조 양호성 값을 배포할 수 있다.
도 3은 사용자 컴퓨팅 디바이스(104)의 예시적 컴포넌트를 도시하는 예시적인 도해이다. 사용자 컴퓨팅 디바이스(104)는 그 컴퓨팅 디바이스의 디바이스 양호성 값과 저장된 참조 양호성 값의 비교에 기반하여 사용자 컴퓨팅 디바이스(104)의 양호성 상황을 평가하는 신뢰 모듈(116)을 포함한다. 다양한 실시예에서, 사용자 컴퓨팅 디바이스(104)는 데스크톱 컴퓨터, 태블릿 컴퓨터, 랩톱 컴퓨터, 스마트폰, 게임 콘솔, 개인용 디지털 보조기기(Personal Digital Assistant: PDA) 및 기타 등등일 수 있다.
사용자 컴퓨팅 디바이스(104)는 하드웨어 플랫폼(302), 플랫폼 펌웨어(304), 메모리(306) 및 신뢰 모듈(116)을 포함할 수 있다. 하드웨어 플랫폼(302)은 사용자 컴퓨팅 디바이스(104) 상의 소프트웨어가 실행될 수 있게 하는 하나 이상의 하드웨어 컴포넌트, 예를 들어 하나 이상의 프로세서(308)를 포함할 수 있다. 하나 이상의 프로세서(308)는 중앙 처리 유닛(Central Processing Unit: CPU), 그래픽 처리 유닛(Graphics Processing Unit: GPU), 마이크로프로세서, 디지털 신호 프로세서 및 기타 등등을 포함할 수 있다. 또한, 어떤 기능들 및 모듈들은 프로세서 상에서 실행가능한 소프트웨어 및/또는 펌웨어에 의해 구현되는 것으로 본 문서에 기술되나, 다른 실시예에서, 모듈들 중 임의의 것 또는 전부는 기술된 기능들을 실행하도록 전체적으로 또는 부분적으로 하드웨어에 의해(가령, ASIC, 특수화된 처리 유닛 등등으로서) 구현될 수 있다. 기술된 기능들은 하나 이상의 하드웨어 로직 컴포넌트, 예를 들어 필드 프로그램가능 게이트 어레이(Field-Programmable Gate Array: FPGA), 애플리케이션 특정 집적 회로(Application-Specific Integrated Circuit: ASIC), 프로그램 특정 표준 제품(Program-Specific Standard Product: ASSP), 시스템 온 칩 시스템(System-On-a-Chip system: SOC), 복합 프로그램가능 로직 디바이스(Complex Programmable Logic Device: CPLD) 등등으로서 구현될 수 있다.
하드웨어 플랫폼의 다른 하드웨어 컴포넌트는 네트워크 인터페이스 카드(Network Interface Card: NIC), 그래픽 처리 유닛(Graphics Processing Unit: GPU), 사운드 카드, 카메라, 디스플레이 인터페이스, 디스플레이, 사용자 인터페이스 및 기타 등등을 포함할 수 있다. 예시적인 목적으로 별도로 도시되었으나, 메모리(206)는 하드웨어 플랫폼(202)의 일부일 수 있다. 사용자 컴퓨팅 디바이스(104)의 사용자 인터페이스는 키패드, 키보드, 마우스 디바이스, 제스처를 받아들이는 터치 스크린, 음성 또는 발화 인식 디바이스, 그리고 임의의 다른 적합한 디바이스 또는 다른 전자/소프트웨어 선택 방법 중의 하나 이상의 것들의 조합을 포함할 수 있으나, 이에 한정되지 않는다.
플랫폼 펌웨어(304)는 운영 체제(310)로 하여금 하드웨어 플랫폼(302)의 하드웨어 컴포넌트와 인터페이스할 수 있게 하는 프로그램 명령어를 포함할 수 있다. 따라서, 운영 체제(310)는 작업을 수행하고/하거나 데이터를 생성하도록 하드웨어 컴포넌트에 명령할 수 있다. 하드웨어 컴포넌트의 펌웨어는 하드웨어 컴포넌트의 지속성 메모리 내에 저장될 수 있다.
메모리(306)는 컴퓨터 판독가능 매체, 예를 들어 컴퓨터 저장 매체를 사용하여 구현될 수 있다. 컴퓨터 판독가능 매체는, 적어도, 두 가지 유형의 컴퓨터 판독가능 매체, 곧 컴퓨터 저장 매체 및 통신 매체를 포함한다. 컴퓨터 저장 매체들은 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 다른 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 탈착가능 및 비탈착가능 매체들을 포함한다. 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 다른 메모리 기술, CD-ROM, 디지털 다기능 디스크(Digital Versatile Disk: DVD) 또는 다른 광학 스토리지, 자기 카세트, 자기 테이프, 자기 디스크 저장 또는 다른 자기 저장 디바이스, 또는 컴퓨팅 디바이스에 의한 액세스를 위해 정보를 저장하는 데 사용될 수 있는 임의의 다른 유형적인 매체를 포함하나, 이에 한정되지 않는다. 반대로, 통신 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 다른 데이터를 변조된 데이터 신호, 예를 들어 반송파, 또는 다른 통신 메커니즘으로 실체화할 수 있다. 본 문서에 정의된 바와 같이, 컴퓨터 저장 매체는 통신 매체를 포함하지 않는다.
사용자 컴퓨팅 디바이스(104)의 메모리(306)는 운영 체제(310), 부트 로더(312), 유지 모듈(314) 및 데이터 보호 모듈(316)을 포함하는 소프트웨어 컴포넌트를 저장할 수 있다. 부트 로더(312)는 하드웨어 플랫폼(302)의 하나 이상의 하드웨어 컴포넌트를 초기화할 수 있다. 다양한 실시예에서, 부트 로더(312)는 각 하드웨어 컴포넌트와 연관된 펌웨어를 실행함으로써 그러한 초기화를 수행할 수 있다. 몇몇 실시예에서, 부트 로더(312)는 부트 설정(318)을 사용하여 하드웨어 플랫폼(202)을 초기화할 수 있다. 다양한 실시예에서, 부트 설정(318)은 부트 업에서 초기화될, 하드웨어 플랫폼(302)의 특정 하드웨어 컴포넌트를 지시할 수 있다. 예컨대, 부트 설정(318)은 시동할 승인된 하드웨어 컴포넌트의 특정 리스트를 지시할 수 있다.
대안적으로, 부트 설정(318)은 초기화될 하드웨어 컴포넌트를 선택하기 위한 하나 이상의 기준을 지시할 수 있다. 예컨대, 부트 설정(318)은 초기화를 유효화 개체(102)에 의해 그 펌웨어가 승인된(가령, 디지털로 서명된) 하드웨어 플랫폼(202)의 각 하드웨어 컴포넌트로 제한할 수 있다. 부트 설정(318)은 또한 하드웨어 플랫폼(202)의 하드웨어 컴포넌트를 초기화하기 위한 특정 구성을 포함할 수 있다. 예컨대, 그 구성은 하드웨어 컴포넌트를 위한 전력 레벨, 데이터 전송률, 메모리 할당 및 기타 등등을 지시할 수 있다. 그 특정 구성은 유효화 개체(102)에 의해 승인되는 구성일 수 있다.
사용자 컴퓨팅 디바이스(104)는 메모리(306)의 시스템 볼륨(320) 내에 운영 체제(310)를 저장할 수 있다. 일단 하드웨어 컴포넌트가 초기화되면, 부트 로더(312)는 컴퓨팅 환경을 인스턴스화하기 위해 작업 메모리(가령, RAM) 내에 운영 체제(310)를 로딩할 수 있다. 컴퓨팅 환경은 하나 이상의 애플리케이션(322)의 실행을 지원할 수 있다. 몇몇 실시예에서, 부트 로더(312)는 운영 체제 구성 설정(324)에 따라 운영 체제(310)를 로딩할 수 있다. 운영 체제 구성 설정(324)은 로딩될 운영 체제(310)의 하나 이상의 데이터 파일(326)(가령, 라이브러리, 드라이버, 구성 등등)을 지시할 수 있다. 하나 이상의 데이터 파일(326)의 로딩은 특정한 서비스를 수행하거나, 특정 기능을 제공하거나, 맞춤화된 시각적 효과를 디스플레이하기 위해 운영 체제(310)를 맞춤화할 수 있다.
몇몇 실시예에서, 하드웨어 플랫폼(302)은 하드웨어 플랫폼(202)과 동일할 수 있으며, 운영 체제(310)는 운영 체제(214)와 동일할 수 있다. 또한, 부트 설정(318)은 부트 설정(218)과 동일할 수 있으며, 운영 체제 구성 설정(324)은 운영 체제 구성 설정(220)과 동일할 수 있다.
사용자 데이터 볼륨(328)은 사용자 데이터(330)를 저장할 수 있다. 사용자 데이터(330)는 사용자, 예를 들어 사용자(128)를 위해서 생성되는 데이터를 포함할 수 있다. 예컨대, 사용자 데이터(330)는 사용자 컴퓨팅 디바이스(104) 상에 설치된 애플리케이션을 사용하여 사용자에 의해 초안이 작성된 문서, 사용자에 의해 메모리(306)에 세이브되는 사진 및 기타 등등을 포함할 수 있다. 사용자 데이터(330)는 데이터 보호 모듈(316)에 의해 보호될 수 있다. 몇몇 실시예에서, 사용자 데이터(330)는 액세스 시크릿(332)을 사용하여 암호화되거나(encrypted) 패스워드 보호될(password protected) 수 있다.
신뢰 모듈(116)은 사용자 컴퓨팅 디바이스(104)가 부트 업할 때 하드웨어 플랫폼(302) 및/또는 운영 체제(310)로부터 구성 값을 수집할 수 있다. 신뢰 모듈(116)은 사용자 컴퓨팅 디바이스(104) 상에 설치된 독립형 프로세서 모듈일 수 있다. 예컨대, 프로세서 모듈은 TCG에 의해 약술된 TPM 사양을 따르는 TPM 모듈과 유사할 수 있다. 신뢰 모듈(116)은 신뢰 모듈(116) 상에 저장된 데이터를 침입으로부터 보호하는 보호 메커니즘, 가령 암호화 알고리즘을 가질 수 있다. 다양한 실시예에서, 신뢰 모듈(116)은 참조 컴퓨팅 디바이스(110)의 양호성 값 모듈(208)과 유사한 방식으로 동작할 수 있다. 이와 같이, 신뢰 모듈(116)은 양호성 값 모듈(208)과 동일한 방식으로 하드웨어 플랫폼(302) 및/또는 운영 체제(310)로부터 구성 값을 수집할 수 있다. 신뢰 모듈(116)은 구성 값을 구성 레지스트리(334) 내에 저장할 수 있다. 몇몇 사례에서, 저장된 구성 값은 주변 하드웨어 컴포넌트(가령, 외부 키보드, 마우스, 도킹 스테이션 등등)와 연관된 구성 값을 배제할 수 있다.
이후, 신뢰 모듈(116)은 하드웨어 플랫폼(302) 및/또는 운영 체제(310)로부터 획득된 구성 값에 기반하여 양호성 값 모듈(208)과 동일한 방식으로 디바이스 양호성 값(118)을 생성할 수도 있다. 신뢰 모듈(116) 내에 상주하는 계산 알고리즘(computation algorithm)(336)은 디바이스 양호성 값(118)을 생성할 수 있다. 그러나, 몇몇 실시예에서, 참조 양호성 값(108) 및 디바이스 양호성 값(118)은 하드웨어 플랫폼 또는 운영 체제와 연관된 구성 값으로부터만 생성될 수 있다. 대안적으로, 신뢰 모듈(116)은 다수의 디바이스 양호성 값을 생성할 수 있는데, 예를 들어 하드웨어 플랫폼(302)과 연관된 구성 값으로부터 제1 디바이스 양호성 값을 생성하는 것 및 운영 체제(310)와 연관된 구성 값으로부터 제2 디바이스 양호성 값을 생성하는 것이다. 예컨대, 그러한 방식으로 획득된 양호성 값들은 상이한 운영 체제들이 동일한 하드웨어 플랫폼 상에 구현된 시나리오에서 양호성 상황을 판정하는 데 유용할 수 있거나, 그 반대도 마찬가지다.
상황 평가기(status evaluator)(338)는 사용자 컴퓨팅 디바이스(104)가 보안 상태에 있는지 또는 불측 상태에 있는지를 판정하기 위해 디바이스 양호성 값(118)을 참조 양호성 값(108)과 비교할 수 있다. 다양한 실시예에서, 상황 평가기(338)는 부트 로더(312)의 컴포넌트와 같은 부트 프로세스 컴포넌트일 수 있다. 대안적으로, 상황 평가기(338)는 신뢰 모듈(116) 내에 임베딩된(embedded) 소프트웨어 컴포넌트일 수 있다. 신뢰 모듈(116)은 유효화 개체(102)에 의해 유지되는 서버(114)로부터 참조 양호성 값을 수신할 수 있다. 다음에, 신뢰 모듈(116)은 참조 양호성 값을 상황 평가기(338)에 제공할 수 있다. 대안적으로, 상황 평가기(338)는 직접 서버(114)로부터 참조 양호성 값을 수신할 수 있다. 다양한 실시예에서, 상황 평가기(338)는 디바이스 양호성 값(118)이 참조 양호성 값(108)과 매칭되는 경우 사용자 컴퓨팅 디바이스(104)가 보안 상태에 있음을 판정할 수 있다. 역으로, 상황 평가기(338)는 디바이스 양호성 값(118) 및 참조 양호성 값(108)이 상이한 경우 사용자 컴퓨팅 디바이스(104)가 불측 상태에 있음을 판정할 수 있다. 대안적으로, 다수의 참조 양호성 값 및 다수의 디바이스 양호성 값이 있는 사례에서, 상황 평가기(338)는 각 디바이스 양호성 값이 대응하는 참조 양호성 값과 동일한 경우 사용자 컴퓨팅 디바이스(104)가 보안 상태에 있음을 판정할 수 있다. 그렇지 않은 경우, 상황 평가기(338)는 사용자 컴퓨팅 디바이스(104)가 불측 상태에 있음을 판정할 수 있다.
다양한 실시예에서, 신뢰 모듈(116)은 하나 이상의 키(120)를 하나 이상의 참조 양호성 값에 결부시킬 수 있다. 따라서, 그 참조 양호성 값은 사용자 컴퓨팅 디바이스(104)의 각 디바이스 양호성 값이 그것의 대응하는 참조 양호성 값과 매칭되는 한 액세스가능할 수 있다. 따라서, 상황 평가기(338)는 신뢰 모듈(116) 내에 저장된 키(120)를 액세스하고자 시도함으로써 하나 이상의 디바이스 양호성 값이 하나 이상의 참조 양호성 값과 매칭되는지를 체크할 수 있다. 만약 키(120)가 액세스가능하다면, 상황 평가기(338)는 그 값들이 매칭됨을 판정할 수 있다. 그러나, 만약 상황 평가기(338)가 키(120)를 액세스할 수 없다면, 상황 평가기(338)는 디바이스 양호성 값 각각이 대응하는 참조 양호성 값과 매칭되지 않음을 판정할 수 있다. 그러나, 다른 실시예에서, 상황 평가기(338)는 하나 이상의 디바이스 양호성 값을 하나 이상의 참조 양호성 값과 직접적으로 비교할 수 있다.
사용자 컴퓨팅 디바이스(104)가 불측 상태에 있다고 판명되는 경우에, 상황 평가기(338)는 사용자(128)가 운영 체제(310)에 의해 제공되는 컴퓨팅 환경을 액세스하는 것을 차단하도록 운영 체제(310)의 실행을 중단할 수 있다. 추가적으로, 상황 평가기(310)는 유지 모듈(314)을 포함하는 복원 환경을 실행할 수 있다. 다양한 실시예에서, 복원 환경은 하나 이상의 프로세서(308)에 의해 실행되는 병렬 안전 소프트웨어 스택에 의해 제공될 수 있다. 복원 환경에서, 유지 모듈(314)은 컴퓨팅 디바이스 상의 소프트웨어 컴포넌트의 수정을 수행할 수 있다. 예컨대, 유지 모듈(314)은 사용자에게 수정을 개시하도록 유도하는 통지(notification)를 사용자 컴퓨팅 디바이스(104)의 디스플레이 상에 디스플레이할 수 있다. 사용자 컴퓨팅 디바이스(104)가 보안 상태로 되돌려질 수 있도록, 그 수정은 손상된 데이터 파일의 보수, 멀웨어 또는 바이러스의 제거, 운영 체제의 리이미징, 하나 이상의 하드웨어 컴포넌트를 위한 새로운 펌웨어의 설치 및 기타 등등을 포함할 수 있다. 운영 체제(310) 및 애플리케이션(322)에 관해서 수행된 임의의 수정은 시스템 볼륨(320)에 지향될 수 있다. 다양한 실시예에서, 유지 모듈(314)은 수정을 수행하는 데 다양한 유지 애플리케이션을 이용할 수 있다. 그러한 유지 애플리케이션은 디스크 스캐닝(scanning) 애플리케이션, 멀웨어 스캐닝 애플리케이션, 바이러스 스캐닝 애플리케이션, 펌웨어 플래싱(flashing) 애플리케이션, 리이미징 애플리케이션 및 기타 등등을 포함할 수 있다. 유지 애플리케이션은 사용자 컴퓨팅 디바이스(104) 상에 로딩되고/되거나 유효화 개체(102)의 서버(114)로부터 이용가능할 수 있다.
예컨대, 유지 모듈(314)은 네트워크(112)를 통하여 유효화 개체(102)의 서버(114)와의 통신 링크를 수립할 수 있다. 따라서, 서버(114) 상의 유지 애플리케이션은 유지 세션(maintenance session)을 수립하기 위해 통신 링크를 사용할 수 있다. 유지 세션 동안, 하나 이상의 유지 애플리케이션은 오류를 검출하고 수정하기 위해 사용자 컴퓨팅 디바이스(104)를 스캐닝할 수 있다. 몇몇 사례에서, 그 수정은 사용자 컴퓨팅 디바이스(104) 상의 데이터 파일, 예를 들어 운영 체제(310), 데이터 파일(326), 애플리케이션(322) 및/또는 플랫폼 펌웨어(304)를 서버(114) 상에 저장된 새로운 데이터 파일로 교체하는 것을 수반할 수 있다. 사용자 데이터(330)는 사용자 데이터 볼륨(328) 내에 별도로 저장되므로, 사용자 데이터(330)는 유지 모듈(314)에 의한 시스템 볼륨(320)의 어떠한 수정에 의해서도 영향을 받지 않는다. 이것은 사용자 데이터(330)로의 액세스가 시스템 볼륨(320) 내의 애플리케이션 및/또는 데이터의 성공적인 수정 후에 복구될 수 있음을 뜻한다. 반대로, 만약 사용자 컴퓨팅 디바이스(104)가 보안 상태에서 동작하고 있음을 신뢰 모듈(116)이 판정하는 경우, 신뢰 모듈(116)은 사용자 컴퓨팅 디바이스(104)로 하여금 정상적으로 기능하고 애플리케이션(322)을 실행하도록 허용할 수 있다.
몇몇 실시예에서, 사용자 컴퓨팅 디바이스(104)는 참조 양호성 값(108)과 더불어 유효화 개체(102)로부터 하나 이상의 키(120)를 수신할 수 있다. 하나 이상의 키(120)는 특히 사용자 컴퓨팅 디바이스(104)를 위해 산출되는 고유한 키일 수 있다. 그러나, 다른 사례에서, 하나 이상의 키(120)는 다수의 동일한 사용자 컴퓨팅 디바이스에 할당되는 키일 수 있다. 신뢰 모듈(116)은 하나 이상의 키(120)를 데이터 보호 모듈(316)에 전달할 수 있다. 다음에, 데이터 보호 모듈(316)은 사용자 데이터 볼륨(328) 내에 저장된 사용자 데이터(330)를 보호하기 위해 하나 이상의 키(120)를 사용할 수 있다. 적어도 하나의 실시예에서, 신뢰 모듈(116)은 하나 이상의 키(120) 및 참조 양호성 값(108)의 조합으로부터 액세스 시크릿(332)을 생성하기 위해 액세스 시크릿 생성기(340)를 사용할 수 있다. 그 생성은 하나 이상의 키(120) 및 참조 양호성 값(108)에 대해 연산 및/또는 해싱(hashing) 동작을 수행하는 것을 수반할 수 있다. 신뢰 모듈(116)은 데이터 보호 모듈(316)에 액세스 시크릿(332)을 제공할 수 있다. 다음에, 데이터 보호 모듈(316)은 액세스 시크릿(332)을 사용하여 사용자 데이터(330)를 암호화할 수 있다.
이후, 사용자 데이터(330)를 액세스하기를 바라는 애플리케이션은 액세스 크리덴셜(access credential)(342)을 데이터 보호 모듈(316)에 제공할 수 있다. 애플리케이션은 액세스 시크릿(332)을 산출한 동일한 기법을 사용하여 하나 이상의 키(120) 및 디바이스 양호성 값(118)에 기반하여 액세스 크리덴셜(342)을 생성할 수 있다. 따라서, 만약 액세스 크리덴셜(342)이 사용자 데이터(330)를 해독하기(decrypt) 위해 데이터 보호 모듈(316)에 의해 사용될 수 있는 경우 데이터 보호 모듈(316)은 사용자 데이터(330)로의 애플리케이션 액세스를 제공할 수 있다. 그렇지 않은 경우, 데이터 보호 모듈(316)은 사용자 데이터(330)로의 애플리케이션 액세스를 거부할 수 있다. 대안적인 실시예에서, 사용자 데이터(330)를 암호화하는 데 액세스 시크릿(332)을 사용하는 것 대신에, 데이터 보호 모듈(316)은 사용자 데이터 볼륨(328)을 보호하기 위해 액세스 시크릿(332)을 패스워드로서 사용할 수 있다.
다른 실시예에서, 사용자 컴퓨팅 디바이스(104)는 참조 양호성 값(108)과 더불어 유효화 개체(102)로부터 양호성 인증서(122)를 수신할 수 있다. 몇몇 구현에서, 양호성 인증서(122)는 사용자 컴퓨팅 디바이스(104)를 고유하게 식별하는 하나 이상의 키(120)를 캡슐화할(encapsulate) 수 있다. 이것은 양호성 인증서(122)가 특히 사용자 컴퓨팅 디바이스(104)에 할당되는 것으로 손쉽게 식별가능함을 뜻한다. 사용자 컴퓨팅 디바이스(104)가 서비스를 획득할 수 있도록, 양호성 인증서(122)는 사용자 컴퓨팅 디바이스(104)가 보안 상태에 있음을 다른 디바이스에 인증하기 위해 사용자 컴퓨팅 디바이스(104)에 의해 사용될 수 있다. 예컨대, 사용자 컴퓨팅 디바이스(104)는 민감한 정보를 교환하기 위해서 다른 디바이스와 보안 통신 채널을 협상하는 데에 양호성 인증서(122)를 사용할 수 있다. 다른 예에서, 사용자 컴퓨팅 디바이스(104)는 구매 거래(purchase transaction)를 완료하기 위한 허가를 확보하는 데에 양호성 인증서(122)를 사용할 수 있다. 몇몇 실시예에서, 양호성 인증서(122)를 수신하는 서비스 제공자는 그것을 유효화 개체, 예를 들어 유효화 개체(102)에 보낼 수 있다. 다음에, 유효화 개체는 양호성 인증서(122)의 유효성에 관해 표시를 돌려줄 수 있다. 다른 실시예에서, 서비스 제공자(106)로부터 서비스를 획득하기를 바라는 사용자 컴퓨팅 디바이스(104)는 초기에 양호성 인증서(122)를 유효화 개체, 예를 들어 유효화 개체(102)에 보낼 수 있다. 만약 양호성 인증서(122)가 유효함(가령, 만료되지 않음)을 유효화 개체(102)가 판정하는 경우, 유효화 개체는 사용자 컴퓨팅 디바이스(104)에 인증 티켓(authentication ticket)을 발행할 수 있다. 이후, 사용자 컴퓨팅 디바이스(104)는 서비스 제공자(106)로부터 서비스를 획득하는 데 인증 티켓을 사용할 수 있다.
몇몇 실시예에서, 하나 이상의 키(120)는 만료일자를 가질 수 있다. 만료일자는 사용자(128)가 사용자 컴퓨팅 디바이스(104)를 최신으로 및 최신 보안 위협에 대비해 안전하게 유지하도록 동기를 주는 데 사용될 수 있다. 예컨대, 하나 이상의 키(120)를 사용하여 보호되는 데이터 파일은 하나 이상의 키(120)의 만료 후에 액세스불가능하게 될 수 있다. 새로운 키로의 하나 이상의 키(120)의 업데이트는 사용자 컴퓨팅 디바이스(104)가 유효화 개체(102)로부터 소프트웨어 업데이트(126)를 받는 것에 부수하도록 될 수 있다. 예를 들면, 소프트웨어 업데이트(126) 및 하나 이상의 키(120)에 대한 업데이트는 단일 데이터 패키지로서 배포될 수 있다. 소프트웨어 업데이트(126)는 운영 체제에 대한 업데이트, 하드웨어 플랫폼의 펌웨어에 대한 업데이트, 사용자 컴퓨팅 디바이스(104) 상에 설치된 하나 이상의 애플리케이션에 대한 업데이트, 양호성 인증서(122)를 위한 대체 양호성 인증서 및 기타 등등을 포함할 수 있다. 대체된 키 및/또는 양호성 인증서는 유효화 개체(102)에 의해 무효(invalid)인 것으로 마킹될(marked) 수 있다.
다른 실시예에서, 유효화 개체(102)는 새로운 참조 양호성 값(108)을 사용자 컴퓨팅 디바이스(104)에 자동으로 보낼 수 있다. 새로운 참조 양호성 값(108)은 참조 컴퓨팅 디바이스(110) 상의 펌웨어 및/또는 운영 체제 파일에 대한 업데이트에 후속하여 생성될 수 있다. 따라서, 사용자 컴퓨팅 디바이스(104)의 하나 이상의 기능은 참조 양호성 값(108) 및 디바이스 양호성 값(118) 간의 미스매치(mismatch)로 인해 액세스불가능하게 될 수 있다. 사용자(128)는 소프트웨어 업데이트(126)를 사용자 컴퓨팅 디바이스(104)에 다운로드함으로써 그러한 기능에 대한 액세스를 다시 얻을 수 있다.
그러나, 또 다른 실시예에서, 유효화 개체(102)는 사용자 컴퓨팅 디바이스(104)에 소프트웨어 업데이트(126)를 자동으로 제공할 수 있다. 소프트웨어 업데이트(126)는 유효화 개체(102)에 의해 판정되는 때에 및/또는 주기적 기준으로 제공될 수 있다. 사용자(128)는 유지 모듈(314)의 애플리케이션 설정을 사용하여 그러한 자동 업데이트를 택할 수 있다. 이런 식으로, 사용자(128)는 사용자 컴퓨팅 디바이스(104)의 보안성 상태(security state)가 최신이라는 점 및 사용자 컴퓨팅 디바이스(104) 상에 저장된 데이터가 보호된다는 점을 확신할 수 있다.
예시적 프로세스
도 4 내지 도 8은 컴퓨팅 디바이스의 양호성 상황을 판정하기 위해 컴퓨팅 디바이스 상의 신뢰 모듈에 의해 도출되는 디바이스 양호성 값을 사용하기 위한 다양한 예시적 프로세스를 묘사한다. 각 예시적 프로세스에서 동작들이 기술된 순서는 한정으로서 해석되도록 의도되지 않으며, 기술된 동작들 중 임의의 개수의 동작이 임의의 순서로 및/또는 병렬로 조합되어 각 프로세스를 구현할 수 있다. 더욱이, 도 4 내지 도 8 각각의 동작들은 하드웨어, 소프트웨어 및/또는 이들의 조합으로 구현될 수 있다. 소프트웨어의 맥락에서, 동작들은 하나 이상의 프로세서에 의해 실행되는 경우 하나 이상의 프로세서로 하여금 인용된 동작들을 수행하게 하는 컴퓨터 실행가능 명령어를 나타낼 수 있다. 하나 이상의 프로세서는 개별적인 컴퓨팅 디바이스에 포함되거나 예컨대 클라우드(cloud)의 일부인 다수의 컴퓨팅 디바이스에 포함될 수 있다. 일반적으로, 컴퓨터 실행가능 명령어는 특정한 기능이 수행되게 하거나 특정한 추상적 데이터 유형이 구현되게 하는 루틴, 프로그램, 객체, 컴포넌트, 데이터 구조 및 기타 등등을 포함한다. 다른 실시예에서, 각 예시적 프로세스의 동작들은 하드웨어 로직 회로, 예를 들어 전용 집적 회로에 의해 실행될 수 있다.
도 4는 하나 이상의 참조 컴퓨팅 디바이스를 사용하여 참조 양호성 값을 생성하기 위한 예시적 프로세스(400)를 보여주는 흐름도이다. 블록(402)에서, 참조 컴퓨팅 디바이스(110)의 부트 로더(216)는 참조 하드웨어 플랫폼, 예를 들어 하드웨어 플랫폼(202)을 초기화할 수 있다. 다양한 실시예에서, 부트 로더(216)는 각 하드웨어 컴포넌트를 시동하는 것 및/또는 각 하드웨어 컴포넌트와 연관된 펌웨어를 통해 각 하드웨어 컴포넌트에 명령어를 제공하는 것에 의해 그러한 초기화를 수행할 수 있다. 몇몇 실시예에서, 부트 로더(216)는 부트 설정(218)을 사용하여 하드웨어 플랫폼(202)을 초기화할 수 있다.
블록(404)에서, 참조 컴퓨팅 디바이스(110)의 양호성 값 모듈(208)은 하나 이상의 참조 하드웨어 구성 값을 획득할 수 있다. 하나 이상의 참조 하드웨어 구성 값은 초기화되는 경우의 참조 하드웨어 플랫폼(202)의 상태를 나타낼 수 있다. 다양한 실시예에서, 하드웨어 플랫폼(202)의 애플리케이션 인터페이스는 하나 이상의 참조 하드웨어 구성 값을 양호성 값 모듈(208)에 전송하기 위해 양호성 값 모듈(208)과 인터페이스할 수 있다.
블록(406)에서, 부트 로더(216)는 참조 운영 체제, 예를 들어 운영 체제(214)를 로딩할 수 있다. 몇몇 실시에에서, 부트 로더(216)는 운영 체제 구성 설정(220)에 따라 운영 체제(214)를 로딩할 수 있다. 운영 체제 구성 설정(220)은 로딩될 운영 체제(214)의 하나 이상의 데이터 파일(222)(가령, 라이브러리, 드라이버, 구성 등등)을 지시할 수 있다.
블록(408)에서, 양호성 값 모듈(208)은 하나 이상의 참조 운영 체제 구성 값을 획득할 수 있다. 하나 이상의 운영 체제 구성 값은 로딩되는 경우의 운영 체제를 포함하는 소프트웨어 스택의 상태를 나타낼 수 있다. 다양한 실시예에서, 운영 체제(214)의 애플리케이션 인터페이스는 하나 이상의 참조 운영 체제 구성 값을 양호성 값 모듈(208)에 전송하기 위해 양호성 값 모듈(208)과 인터페이스할 수 있다.
블록(410)에서, 양호성 값 모듈(208)은 하나 이상의 참조 하드웨어 구성 값 및/또는 하나 이상의 참조 운영 체제 구성 값으로부터 참조 양호성 값(108)을 생성할 수 있다. 다양한 실시예에서, 결과적인 참조 양호성 값(108)이 입력 구성 값의 조합을 고유하게 나타내는 한, 양호성 값 모듈(208)은 그 생성을 수행하기 위해 하나 이상의 연산 동작 및/또는 하나 이상의 데이터 변환 동작을 사용할 수 있다.
그러나, 다른 실시예에서, 다수의 참조 값이 양호성 값 모듈(208)에 의해 생성될 수 있다. 예컨대, 양호성 값 모듈(208)은 하드웨어 플랫폼(202)과 연관된 구성 값으로부터 제1 참조 양호성 값을 생성하고, 운영 체제(214)와 연관된 구성 값으로부터 제2 디바이스 양호성 값을 생성할 수 있다. 몇몇 사례에서, 운영 체제(214)를 포함하는 소프트웨어 스택 및 하드웨어 플랫폼(202)은 두 개의 상이한 참조 컴퓨팅 디바이스 상에 상주할 수 있다. 따라서, 유효화 개체(102)는 사용자 컴퓨팅 디바이스, 예를 들어 사용자 컴퓨팅 디바이스(104)에 다수의 참조 양호성 값을 보낼 수 있다. 대안적으로, 유효화 개체(102)는 제1 및 제2 참조 양호성 값들을 사용자 컴퓨팅 디바이스(104)로의 전달을 위한 조합된 참조 양호성 값으로 조합할 수 있다.
도 5는 사용자 컴퓨팅 디바이스의 디바이스 양호성 값과 참조 양호성 값의 비교에 기반하여 사용자 컴퓨팅 디바이스의 양호성 상황을 판정하기 위한 예시적 프로세스(500)를 보여주는 흐름도이다. 블록(502)에서, 사용자 컴퓨팅 디바이스(104) 상의 신뢰 모듈(116)은 참조 양호성 값, 예를 들어 참조 양호성 값(108)을 저장할 수 있다. 신뢰 모듈(116)은 유효화 개체(102)의 서버(114)로부터 참조 양호성 값(108)을 수신할 수 있다. 참조 양호성 값(108)은 참조 컴퓨팅 디바이스(110)를 사용하여 생성되고 보안 디바이스 상태(secured device state)에 대응할 수 있다.
블록(504)에서, 신뢰 모듈(116)은 사용자 컴퓨팅 디바이스(104)를 위한 디바이스 양호성 값, 예를 들어 디바이스 양호성 값(118)을 생성할 수 있다. 다양한 실시예에서, 디바이스 양호성 값(118)은 부트 업에서 운영 체제(310)를 포함하는 소프트웨어 스택의 상태 및/또는 하드웨어 플랫폼(302)의 상태에 기반하여 생성될 수 있다. 디바이스 양호성 값(118)은 사용자 컴퓨팅 디바이스(104)의 양호성 상황을 나타낼 수 있다.
판단 블록(506)에서, 상황 평가기(338)는 디바이스 양호성 값(118) 및 참조 양호성 값(108)을 비교할 수 있다. 그러므로, 만약 디바이스 양호성 값(118)이 참조 양호성 값(108)과 매칭되는 경우(판단 블록(506)에서 "예"), 프로세스(500)는 블록(510)으로 진행할 수 있다. 블록(510)에서, 상황 평가기(338)는 사용자 디바이스가 보안 상태에 있음을 판정할 수 있다. 이 판정에 기반하여, 상황 평가기(338)는 사용자 컴퓨팅 디바이스(104)로 하여금 정상적으로 기능하도록 허용할 수 있다. 예컨대, 사용자 컴퓨팅 디바이스(104)는 운영 체제(310)에 의해 제공되는 컴퓨팅 환경에서 다수의 애플리케이션을 실행할 수 있다.
그러나, 만약 디바이스 양호성 값(118)이 참조 양호성 값(108)과 매칭되지 않음을 상황 평가기(338)가 판정하는 경우(판단 블록(506)에서 "아니요"), 프로세스(500)는 블록(512)으로 진행할 수 있다. 블록(512)에서, 상황 평가기(338)는 사용자 컴퓨팅 디바이스(104)가 불측 상태에 있음을 판정할 수 있다. 이와 같이, 상황 평가기(338)는 사용자(128)가 운영 체제(312)에 의해 제공되는 컴퓨팅 환경을 액세스하는 것을 차단하도록 운영 체제(312)의 실행을 중단할 수 있다. 추가적으로, 상황 평가기(338)는 유지 모듈(314)을 포함하는 복원 환경을 실행할 수 있다. 복원 환경에서, 유지 모듈(314)은 컴퓨팅 디바이스 상의 소프트웨어 컴포넌트의 수정을 수행할 수 있다. 그 수정은 손상된 데이터 파일의 보수, 멀웨어 또는 바이러스의 제거, 운영 체제의 리이미징, 하나 이상의 하드웨어 컴포넌트를 위한 새로운 펌웨어의 설치 및 기타 등등을 포함할 수 있다. 새로운 펌웨어의 리이미징 및/또는 설치는 유효화 개체(102)로부터 다운로드된 데이터 파일을 사용하여 성취될 수 있다. 그 수정은 사용자 컴퓨팅 디바이스(104)를 보안 상태로 되돌릴 수 있다. 그 수정에 이어서, 프로세스(500)는 블록(504)으로 되돌아갈 수 있다.
도 6은 사용자 컴퓨팅 디바이스를 위한 디바이스 양호성 값을 생성하기 위한 예시적 프로세스(600)를 보여주는 흐름도이다. 예시적 프로세스(600)는 프로세스(500)의 블록(504)을 또한 보여준다. 블록(602)에서, 사용자 컴퓨팅 디바이스(104)의 부트 로더(312)는 디바이스 하드웨어 플랫폼, 예를 들어 하드웨어 플랫폼(302)을 초기화할 수 있다. 다양한 실시예에서, 부트 로더(216)는 각 하드웨어 컴포넌트를 시동하는 것 및/또는 각 하드웨어 컴포넌트와 연관된 펌웨어를 통해 각 하드웨어 컴포넌트에 명령어를 제공하는 것에 의해 그러한 초기화를 수행할 수 있다. 몇몇 실시예에서, 부트 로더(312)는 부트 설정(318)을 사용하여 하드웨어 플랫폼(302)을 초기화할 수 있다.
블록(604)에서, 사용자 컴퓨팅 디바이스(104)의 신뢰 모듈(116)은 하나 이상의 디바이스 하드웨어 구성 값을 획득할 수 있다. 하나 이상의 디바이스 하드웨어 구성 값은 초기화되는 경우의 디바이스 하드웨어 플랫폼(302)의 상태를 나타낼 수 있다. 다양한 실시예에서, 하드웨어 플랫폼(302)의 애플리케이션 인터페이스는 하나 이상의 디바이스 하드웨어 구성 값을 신뢰 모듈(116)에 전송하기 위해 신뢰 모듈(116)과 인터페이스할 수 있다.
블록(606)에서, 부트 로더(312)는 디바이스 운영 체제, 예를 들어 운영 체제(310)를 로딩할 수 있다. 몇몇 실시예에서, 부트 로더(312)는 운영 체제 구성 설정(324)에 따라 운영 체제(310)를 로딩할 수 있다. 운영 체제 구성 설정(324)는 로딩될 운영 체제(310)의 하나 이상의 데이터 파일(326)(가령, 라이브러리, 드라이버, 구성 등등)을 지시할 수 있다.
블록(608)에서, 부트 로더(312)는 하나 이상의 디바이스 운영 체제 구성 값을 획득할 수 있다. 하나 이상의 디바이스 운영 체제 구성 값은 로딩되는 경우의 운영 체제를 포함하는 소프트웨어 스택의 상태를 나타낼 수 있다. 다양한 실시예에서, 운영 체제(310)의 애플리케이션 인터페이스는 하나 이상의 디바이스 운영 체제 구성 값을 신뢰 모듈(116)에 전송하기 위해 신뢰 모듈(116)과 인터페이스할 수 있다.
블록(610)에서, 신뢰 모듈(116)은 하나 이상의 디바이스 하드웨어 구성 값 및/또는 하나 이상의 디바이스 운영 체제 구성 값으로부터 디바이스 양호성 값(118)을 생성할 수 있다. 다양한 실시예에서, 결과적인 디바이스 양호성 값(118)이 입력 구성 값의 조합을 고유하게 나타내는 한, 양호성 값 모듈(208)은 그 생성을 수행하는 데에 하나 이상의 연산 동작 및/또는 하나 이상의 데이터 변환 동작을 사용할 수 있다.
도 7은 사용자 컴퓨팅 디바이스 상에 저장된 사용자 데이터를 안전하게 지키기는 데에 하나 이상의 키 및 참조 양호성 값을 사용하기 위한 예시적 프로세스를 보여주는 흐름도이다. 블록(702)에서, 사용자 컴퓨팅 디바이스(104) 상의 데이터 보호 모듈(316)은 유효화 개체(102)로부터 수신된 참조 양호성 값(108) 및 하나 이상의 키(120)에 기반하여 액세스 시크릿(332)을 생성할 수 있다. 액세스 시크릿(332)의 생성은 하나 이상의 키(120) 및 참조 양호성 값(108)에 대해 연산 및/또는 해싱 동작을 수행하는 것을 수반할 수 있다.
블록(704)에서, 데이터 보호 모듈(316)은 사용자 데이터 볼륨(328) 내에 저장된 사용자 데이터(330)를 암호화하고/하거나 패스워드 보호하기 위해 액세스 시크릿(332)을 사용할 수 있다. 사용자 데이터(330)는 사용자를 위해서 생성되는 데이터를 포함할 수 있다. 예컨대, 사용자 데이터(330)는 사용자 컴퓨팅 디바이스(104) 상에 설치된 애플리케이션을 사용하여 사용자에 의해 초안이 작성된 문서, 사용자에 의해 메모리(306)에 세이브되는 사진 및 기타 등등을 포함할 수 있다.
블록(706)에서, 데이터 보호 모듈(316)은 애플리케이션, 예를 들어 애플리케이션들(322) 중 하나로부터 액세스 크리덴셜(342)을 수신할 수 있다. 액세스 크리덴셜(342)은 하나 이상의 키(120) 및 디바이스 양호성 값(118)에 기반하여 생성될 수 있다. 다양한 실시예에서, 애플리케이션은 액세스 시크릿(332)을 산출한 동일한 기법을 사용하여 하나 이상의 키(120) 및 디바이스 양호성 값(118)에 기반하여 액세스 크리덴셜(342)을 생성할 수 있다. 블록(708)에서, 데이터 보호 모듈(316)은 액세스 크리덴셜(342)을 액세스 시크릿(332)과 비교할 수 있다.
판단 블록(710)에서, 데이터 보호 모듈(316)은 액세스 크리덴셜(342)이 액세스 시크릿(332)과 매칭되는지를 판정할 수 있다. 그러므로, 만약 액세스 크리덴셜(342)이 액세스 시크릿(332)과 매칭됨을 데이터 보호 모듈(316)이 판정하는 경우(판단 블록(710)에서 "예"), 프로세스(700)는 블록(712)으로 진행할 수 있다.
블록(712)에서, 데이터 보호 모듈(316)은 사용자 컴퓨팅 디바이스(104) 상에 저장된 사용자 데이터(330)로의 액세스를 애플리케이션에 제공할 수 있다. 예컨대, 데이터 보호 모듈(316)은 사용자 데이터(330)의 요청된 부분을 애플리케이션에 제공하기 위해서 사용자 데이터(330)를 해독할 수 있다.
그러나, 만약 액세스 크리덴셜(342)이 액세스 시크릿(332)과 매칭되지 않음을 데이터 보호 모듈(316)이 판정하는 경우(판단 블록(710)에서 "아니요"), 프로세스(700)는 블록(714)으로 진행할 수 있다. 블록(714)에서, 데이터 보호 모듈(316)은 사용자 컴퓨팅 디바이스(104) 상에 저장된 사용자 데이터(330)로의 애플리케이션 액세스를 거부할 수 있다.
도 8은 사용자 컴퓨팅 디바이스의 운영 체제에 대한 업데이트를 명하는 데에 참조 양호성 값과 연관된 하나 이상의 키를 사용하기 위한 예시적 프로세스(800)를 보여주는 흐름도이다. 블록(802)에서, 사용자 컴퓨팅 디바이스(104) 상의 신뢰 모듈(116)은 참조 양호성 값(108)과 연관된 하나 이상의 키(120)를 저장할 수 있다. 사용자 컴퓨팅 디바이스(104)는 유효화 개체(102)로부터 그러한 데이터를 수신할 수 있다.
판단 블록(804)에서, 신뢰 모듈(116)은 하나 이상의 키(120)가 액세스가능한지(가령, 만료되지 않았는지) 판정할 수 있다. 신뢰 모듈(116)은 컴퓨팅 디바이스(104)의 동작 동안에 주기적으로 및/또는 디바이스 양호성 값을 생성하기 전에 그러한 판정을 행할 수 있다. 따라서, 만약 하나 이상의 키(120)가 액세스가능함을 신뢰 모듈(116)이 판정하는 경우(판단 블록(804)에서 "예"), 프로세스(800)는 블록(806)으로 계속될 수 있다. 블록(806)에서, 신뢰 모듈(116)은 사용자 컴퓨팅 디바이스(104)로의 액세스를 허용할 수 있다. 예컨대, 사용자 컴퓨팅 디바이스(104)는 다수의 애플리케이션을 실행하도록 허용될 수 있다.
그러나, 만약 하나 이상의 키(120)가 액세스가능하지 않음을 신뢰 모듈(116)이 판정하는 경우(판단 블록(804)에서 "아니요"), 프로세스(800)는 블록(808)으로 계속될 수 있다. 블록(808)에서, 신뢰 모듈(116)은 사용자 컴퓨팅 디바이스(104)로의 액세스를 거부할 수 있다. 예컨대, 신뢰 모듈(116)은 부트 로더(312)에 표시를 보낼 수 있다. 그 표시에 응답하여, 부트 로더(312)는 복원 환경을 활성화할 수 있고, 적절한 경우, 운영 체제(310)의 실행은 또한 그 표시에 기반하여 중단될 수 있다.
블록(810)에서, 유지 모듈(314)은 사용자 컴퓨팅 디바이스(104)의 사용자(128)가 사용자 컴퓨팅 디바이스(104)의 업데이트를 개시하도록 유도할 수 있다. 업데이트는 플랫폼 펌웨어(304)에 대한 업데이트 및/또는 운영 체제(310)에 대한 업데이트를 포함할 수 있다. 다양한 환경에서, 유지 모듈(314)은 사용자 컴퓨팅 디바이스(104)의 디스플레이 상에 제시되는 통지를 통해 사용자(128)를 유도할 수 있다.
블록(812)에서, 유지 모듈(314)은 업데이트의 초기화에 응답하여 업데이트, 하나 이상의 새로운 키, 그리고 새로운 참조 양호성 값을 수신할 수 있다. 다양한 실시예에서, 유지 모듈(314)은 사용자(128)로부터 긍정 인가(affirmative authorization)를 획득한 후 업데이트 및 다른 콘텐트를 초기화할 수 있다. 사용자(128)는 사용자 컴퓨팅 디바이스(104)의 사용자 인터페이스를 사용하여 긍정 인가를 제공할 수 있다.
블록(814)에서, 신뢰 모듈(116)은 부트 업에서 하드웨어 플랫폼의 상태 및/또는 운영 체제(310)의 상태에 기반하여 사용자 컴퓨팅 디바이스(104)를 위한 새로운 디바이스 양호성 값을 생성할 수 있다. 다양한 실시예에서, 새로운 디바이스 양호성 값은 하드웨어 플랫폼의 상태 및/또는 운영 체제(310)의 상태에 관련된 구성 값에 기반하여 생성된다.
판단 블록(816)에서, 상황 평가기(338)는 새로운 디바이스 양호성 값이 새로운 참조 양호성 값과 매칭되는지를 판정할 수 있다. 그러므로, 만약 새로운 디바이스 양호성 값이 새로운 참조 양호성 값과 매칭됨을 상황 평가기(338)가 판정하는 경우(판단 블록(816)에서 "예"), 프로세스(800)는 블록(806)으로 되돌아갈 수 있다. 블록(806)으로의 복귀 시에, 상황 평가기(338)는 사용자 컴퓨팅 디바이스(104)로의 액세스를 허용할 수 있다.
그러나, 만약 새로운 디바이스 양호성 값이 새로운 참조 양호성 값과 매칭되지 않음을 상황 평가기(338)가 판정하는 경우(판단 블록(816)에서 "아니요"), 프로세스(800)는 블록(808)으로 되돌아갈 수 있다. 블록(808)으로의 복귀 시에, 프로세스(800)의 추가 블록들이 수행될 수 있도록, 상황 평가기(338)는 사용자 컴퓨팅 디바이스(104)로의 액세스를 거부할 수 있다.
요약하면, 기법들은 운영 체제 개발자들이 보안 컴퓨팅 플랫폼으로서 컴퓨팅 디바이스의 구성을 직접적으로 관리하는 것을 가능하게 할 수 있다. 이런 식으로, 사용자는 컴퓨팅 디바이스의 양호성을 모니터링하고, 최신 업데이트 및 패치가 설치되게끔 하며, 운영 체제가 멀웨어, 바이러스 및 다른 악성 코드가 없음을 검증하는 작업으로부터 해방될 수 있다. 대신에, 부트 업하는 시간부터, 컴퓨팅 디바이스는 보안 상태에 있다는 점, 그리고 기밀의 사용자 데이터를 안전하게 유지하기 위해 사용자는 컴퓨팅 디바이스를 신뢰할 수 있다는 점을 사용자가 확신할 수 있다.
결론
마지막으로, 다양한 실시예가 구조적 특징 및/또는 방법론적 행위에 특정한 말로 기술되었으나, 부기된 표현에 정의된 대상(subject matter)은 반드시 기술된 특정 특징 또는 행위에 한정되는 것은 아님이 이해되어야 한다. 오히려, 특정 특징 및 행위는 청구된 대상을 구현하는 예시적인 형태로서 개시된다.
Claims (60)
- 디바이스로서,
하나 이상의 프로세서;
하나 이상의 컴퓨터 판독 가능 매체;
상기 하나 이상의 컴퓨터 판독 가능 매체에 저장되고 상기 하나 이상의 프로세서에 의해 실행 가능한 부트 로더 - 상기 부트 로더는 하드웨어 플랫폼의 하나 이상의 하드웨어 컴포넌트를 초기화하고, 운영 체제를 로드하도록 구성됨 - ;
상기 하나 이상의 컴퓨터 판독 가능 매체에 저장되고 상기 하나 이상의 프로세서에 의해 실행 가능한 신뢰 컴포넌트 - 상기 신뢰 컴포넌트는 상기 하드웨어 플랫폼 또는 상기 운영 체제 중 적어도 하나와 연관된 디바이스 양호성 값(device health value)를 생성하도록 구성됨 - ;
상기 하나 이상의 컴퓨터 판독 가능 매체에 저장되고 상기 하나 이상의 프로세서에 의해 실행 가능한 상황 평가기(status evaluator) - 상기 상황 평가기는 상기 디바이스 양호성 값이 유효화 개체(validation entity)로부터 수신한 대응하는 참조 양호성 값(reference health value)에 매칭되는지를 결정하도록 구성됨 - ; 및
상기 하나 이상의 컴퓨터 판독 가능 매체에 저장되고 상기 하나 이상의 프로세서에 의해 실행 가능한 데이터 보호 컴포넌트 - 상기 데이터 보호 컴포넌트는, 상기 디바이스 양호성 값이 상기 대응하는 참조 양호성 값에 매칭되는 것에 적어도 부분적으로 기초하여, 상기 유효화 개체로부터 수신한 하나 이상의 키를 사용하여 데이터에 대한 액세스를 제공하도록 구성됨 -
를 포함하는 디바이스.
- 제1항에 있어서,
상기 데이터는 상기 하나 이상의 컴퓨터 판독 가능 매체의 데이터 부분에 저장되는
디바이스.
- 제1항에 있어서,
상기 신뢰 컴포넌트는 상기 유효화 개체로부터 상기 하나 이상의 키와 함께 상기 대응하는 참조 양호성 값을 수신하도록 더 구성되는
디바이스.
- 제1항에 있어서,
상기 신뢰 컴포넌트는,
하나 이상의 하드웨어 구성 값 - 상기 하나 이상의 하드웨어 구성 값은 초기화된 상기 하드웨어 플랫폼의 상태를 나타냄 - 을 수신하고,
하나 이상의 운영 체제 구성 값 - 상기 하나 이상의 운영 체제 구성 값은 로딩된 상기 운영 체제의 상태를 나타냄 - 을 수신하도록 더 구성되는
디바이스.
- 제4항에 있어서,
상기 신뢰 컴포넌트는 상기 하나 이상의 하드웨어 구성 값 및 상기 하나 이상의 운영 체제 구성 값 중 적어도 하나에 적어도 부분적으로 기초하여 상기 디바이스 양호성 값을 생성하도록 구성되는
디바이스.
- 제1항에 있어서,
상기 신뢰 컴포넌트는 상기 하드웨어 플랫폼의 초기화 또는 상기 운영 체제의 로딩 중 적어도 하나 도중에 상기 디바이스 양호성 값을 생성하는
디바이스.
- 제1항에 있어서,
상기 디바이스는, 상기 하나 이상의 컴퓨터 판독 가능 매체에 저장되고 상기 하나 이상의 프로세서에 의해 실행 가능한 애플리케이션을 더 포함하고,
상기 애플리케이션은, 상기 디바이스 양호성 값이 상기 대응하는 참조 양호성 값에 대응하는 것에 적어도 부분적으로 기초하여 서비스 제공자에게 상기 유효화 개체로부터 수신한 양호성 인증서(health certificate)를 제공하고, 상기 서비스 제공자로부터 서비스를 획득하도록 구성되는
디바이스.
- 방법으로서,
하드웨어 플랫폼의 하나 이상의 하드웨어 컴포넌트를 초기화하는 단계와,
운영 체제를 로드하는 단계와,
상기 하드웨어 플랫폼 또는 상기 운영 체제 중 적어도 하나와 연관된 디바이스 양호성 값(device health value)를 생성하는 단계와,
상기 디바이스 양호성 값이 유효화 개체(validation entity)로부터 수신한 대응하는 참조 양호성 값(reference health value)에 매칭되는지를 결정하는 단계와,
상기 디바이스 양호성 값이 상기 대응하는 참조 양호성 값에 매칭되는 것에 적어도 부분적으로 기초하여, 상기 유효화 개체로부터 수신한 양호성 인증서를 서비스 제공자에게 제공하는 단계와,
상기 서비스 제공자로부터 서비스를 획득하는 단계
를 포함하는 방법.
- 제8항에 있어서,
상기 양호성 인증서는 하나 이상의 키를 포함하고,
상기 방법은, 상기 하나 이상의 키를 이용하여 데이터에 액세스하는 단계를 더 포함하는
방법.
- 제8항에 있어서,
상기 양호성 증명서는 디바이스가 안전한 상태에 있다는 것을 인증하는
방법.
- 제8항에 있어서,
상기 방법은,
상기 서비스 제공자에게 상기 양호성 증명서를 제공하는 것에 적어도 부분적으로 기초하여, 상기 서비스 제공자로부터 인증 티켓을 수신하는 단계를 더 포함하고, 상기 인증 티켓은 상기 서비스 제공자로부터 상기 서비스를 획득하기 위해 사용되는
방법.
- 제8항에 있어서,
상기 방법은,
하나 이상의 하드웨어 구성 값 - 상기 하나 이상의 하드웨어 구성 값은 초기화된 상기 하드웨어 플랫폼의 상태를 나타냄 - 을 수신하는 단계와,
하나 이상의 운영 체제 구성 값 - 상기 하나 이상의 운영 체제 구성 값은 로딩된 상기 운영 체제의 상태를 나타냄 - 을 수신하는 단계를 더 포함하는
방법.
- 제12항에 있어서,
상기 방법은,
상기 하나 이상의 하드웨어 구성 값 및 상기 하나 이상의 운영 체제 구성 값 중 적어도 하나에 적어도 부분적으로 기초하여 상기 디바이스 양호성 값을 생성하는 단계를 더 포함하는
방법.
- 컴퓨터 실행 가능 명령어들을 저장하는 하나 이상의 컴퓨터 저장 디바이스로서, 상기 명령어들은 하나 이상의 프로세서에 의해 실행될 때, 상기 하나 이상의 프로세서로 하여금 동작들을 수행하게 하며, 상기 동작들은
하드웨어 플랫폼 또는 운영 체제 중 적어도 하나와 연관된 디바이스 양호성 값(device health value)를 생성하는 동작과,
상기 디바이스 양호성 값이 유효화 개체(validation entity)로부터 수신한 대응하는 참조 양호성 값(reference health value)에 매칭되는지를 결정하는 동작과,
상기 디바이스 양호성 값이 상기 대응하는 참조 양호성 값에 매칭되는 것에 적어도 부분적으로 기초하여, 상기 유효화 개체로부터 수신한 하나 이상의 키를 사용해 데이터에 액세스를 제공하는 동작을 포함하는
하나 이상의 컴퓨터 저장 디바이스.
- 제14항에 있어서,
상기 데이터는 상기 하나 이상의 컴퓨터 저장 디바이스의 데이터 부분에 저장되는
하나 이상의 컴퓨터 저장 디바이스.
- 제14항에 있어서,
상기 동작들은, 상기 유효화 개체로부터 상기 하나 이상의 키와 함께 상기 대응하는 참조 양호성 값을 수신하는 동작을 더 포함하는
하나 이상의 컴퓨터 저장 디바이스.
- 제14항에 있어서,
상기 동작들은,
하나 이상의 하드웨어 구성 값 - 상기 하나 이상의 하드웨어 구성 값은 초기화된 상기 하드웨어 플랫폼의 상태를 나타냄 - 을 수신하는 동작과,
하나 이상의 운영 체제 구성 값 - 상기 하나 이상의 운영 체제 구성 값은 로딩된 상기 운영 체제의 상태를 나타냄 - 을 수신하는 동작을 더 포함하는
하나 이상의 컴퓨터 저장 디바이스.
- 제17항에 있어서,
상기 디바이스 양호성 값을 생성하는 동작은,
상기 하나 이상의 하드웨어 구성 값 및 상기 하나 이상의 운영 체제 구성 값 중 적어도 하나에 적어도 부분적으로 기초하여 상기 디바이스 양호성 값을 생성하는 동작을 포함하는
하나 이상의 컴퓨터 저장 디바이스.
- 제14항에 있어서,
상기 디바이스 양호성 값을 생성하는 동작은,
상기 하드웨어 플랫폼의 초기화 또는 상기 운영 체제의 로딩 중 적어도 하나 도중에 상기 디바이스 양호성 값을 생성하는 동작을 포함하는
하나 이상의 컴퓨터 저장 디바이스.
- 제14항에 있어서,
상기 동작들은,
상기 디바이스 양호성 값이 상기 대응하는 참조 양호성 값에 대응하는 것에 적어도 부분적으로 기초하여 서비스 제공자에게 상기 유효화 개체로부터 수신한 양호성 인증서(health certificate)를 제공하는 동작과,
상기 서비스 제공자로부터 서비스를 획득하는 동작을 더 포함하는
하나 이상의 컴퓨터 저장 디바이스.
- 디바이스로서,
하나 이상의 프로세서;
하나 이상의 컴퓨터 판독 가능 매체;
상기 하나 이상의 컴퓨터 판독 가능 매체에 저장되고 상기 하나 이상의 프로세서에 의해 실행 가능한 부트 로더 - 상기 부트 로더는 하드웨어 플랫폼의 하나 이상의 하드웨어 컴포넌트를 초기화하고, 운영 체제를 로드함 - ;
상기 하나 이상의 프로세서에 의해 실행 가능한 신뢰 컴포넌트 - 상기 신뢰 컴포넌트는 상기 하드웨어 플랫폼 또는 상기 운영 체제 중 적어도 하나와 연관된 디바이스 양호성 값(device health value)를 생성함 - ; 및
상기 하나 이상의 프로세서에 의해 실행 가능한 상황 평가기(status evaluator) - 상기 상황 평가기는 상기 디바이스 양호성 값이 유효화 개체(validation entity)로부터 수신한 대응하는 참조 양호성 값(reference health value)에 매칭되지 않음을 결정하고, 상기 디바이스 양호성 값이 상기 대응하는 참조 양호성 값에 매칭되지 않는 것에 적어도 부분적으로 기초하여 복원 환경(recovery environment)을 구현함 -
를 포함하는 디바이스.
- 제21항에 있어서,
상기 하나 이상의 컴퓨터 판독 가능 매체에 저장되고 상기 하나 이상의 프로세서에 의해 실행 가능한 유지 모듈(maintenance module)을 더 포함하고,
상기 유지 모듈은, 상기 복원 환경이 구현되는 것에 적어도 부분적으로 기초하여, 손상된 데이터 파일의 복구, 멀웨어 또는 바이러스의 제거, 상기 운영 체제의 리이미징(reimaging), 상기 하나 이상의 하드웨어 컴포넌트에 대한 펌웨어의 설치, 또는 상기 운영 체제의 업데이트 중 적어도 하나를 실행하는
디바이스.
- 제21항에 있어서,
상기 하나 이상의 컴퓨터 판독 가능 매체에 저장되고 상기 하나 이상의 프로세서에 의해 실행 가능한 유지 모듈을 더 포함하고,
상기 유지 모듈은, 상기 복원 환경이 구현되는 것에 적어도 부분적으로 기초하여, 디바이스 상의 오류를 검출하고 수정하기 위해 상기 유효화 개체와 통신 링크를 수립하는
디바이스.
- 제21항에 있어서,
상기 신뢰 컴포넌트는,
하나 이상의 하드웨어 구성 값 - 상기 하나 이상의 하드웨어 구성 값은 초기화된 상기 하드웨어 플랫폼의 상태를 나타냄 - 을 수신하고,
하나 이상의 운영 체제 구성 값 - 상기 하나 이상의 운영 체제 구성 값은 로딩된 상기 운영 체제의 상태를 나타냄 - 을 수신하도록 상기 하나 이상의 프로세서에 의해 더 실행 가능하고,
상기 신뢰 컴포넌트는 상기 하나 이상의 하드웨어 구성 값 및 상기 하나 이상의 운영 체제 구성 값 중 적어도 하나에 적어도 부분적으로 기초하여 상기 디바이스 양호성 값을 생성하도록 상기 하나 이상의 프로세서에 의해 실행 가능한
디바이스.
- 제21항에 있어서,
상기 신뢰 컴포넌트는 상기 하드웨어 플랫폼의 초기화 또는 상기 운영 체제의 로딩 중 적어도 하나 도중에 상기 디바이스 양호성 값을 생성하도록 상기 하나 이상의 프로세서에 의해 실행 가능한
디바이스.
- 방법으로서,
전자 디바이스에 의해, 하드웨어 플랫폼의 하나 이상의 하드웨어 컴포넌트를 초기화하는 단계와,
상기 전자 디바이스에 의해, 운영 체제를 로드하는 단계와,
상기 전자 디바이스에 의해, 상기 하드웨어 플랫폼 또는 상기 운영 체제 중 적어도 하나와 연관된 디바이스 양호성 값(device health value)를 생성하는 단계와,
상기 전자 디바이스에 의해, 상기 디바이스 양호성 값이 참조 양호성 값(reference health value)에 매칭되지 않음을 결정하는 단계와,
상기 전자 디바이스에 의해, 상기 디바이스 양호성 값이 상기 참조 양호성 값에 매칭되지 않는 것에 적어도 부분적으로 기초하여 상기 전자 디바이스 상에 복원 환경(recovery environment)을 구현하는 단계
를 포함하는 방법.
- 제26항에 있어서,
상기 방법은,
상기 디바이스 양호성 값이 참조 양호성 값에 매칭되지 않음을 결정하는 것에 적어도 부분적으로 기초하여 상기 전자 디바이스가 불측 상태(unexpected state)에 있다고 결정하는 단계를 더 포함하는
방법.
- 제26항에 있어서,
상기 방법은,
상기 전자 디바이스 상에 상기 복원 환경을 구현하는 것에 적어도 부분적으로 기초하여, 손상된 데이터 파일의 복구, 멀웨어 또는 바이러스의 제거, 상기 운영 체제의 리이미징, 상기 하나 이상의 하드웨어 컴포넌트에 대한 펌웨어의 설치, 또는 상기 운영 체제의 업데이트 중 적어도 하나를 실행하는 단계를 더 포함하는
방법.
- 제26항에 있어서,
상기 방법은,
상기 전자 디바이스 상에 상기 복원 환경을 구현하는 것에 적어도 부분적으로 기초하여, 상기 전자 디바이스 상의 오류를 검출 및 수정하기 위해 개체와 통신 링크를 수립하는 단계를 더 포함하는
방법.
- 제26항에 있어서,
상기 방법은,
상기 전자 디바이스 상에 상기 복원 환경을 구현하는 것에 적어도 부분적으로 기초하여, 상기 전자 디바이스 상에 저장된 데이터로의 액세스를 거부하는 단계를 더 포함하는
방법.
- 제26항에 있어서,
상기 방법은,
유효화 개체로부터 상기 참조 양호성 값을 수신하는 단계를 더 포함하는
방법.
- 제26항에 있어서,
상기 방법은,
하나 이상의 하드웨어 구성 값 - 상기 하나 이상의 하드웨어 구성 값은 초기화된 상기 하드웨어 플랫폼의 상태를 나타냄 - 을 수신하는 단계와,
하나 이상의 운영 체제 구성 값 - 상기 하나 이상의 운영 체제 구성 값은 로딩된 상기 운영 체제의 상태를 나타냄 - 을 수신하는 단계를 더 포함하고,
상기 디바이스 양호성 값을 생성하는 단계는, 상기 하나 이상의 하드웨어 구성 값 및 상기 하나 이상의 운영 체제 구성 값 중 적어도 하나에 적어도 부분적으로 기초하여 상기 디바이스 양호성 값을 생성하는 단계를 포함하는
방법.
- 제26항에 있어서,
상기 디바이스 양호성 값을 생성하는 단계는, 상기 하드웨어 플랫폼의 초기화 또는 상기 운영 체제의 로딩 중 적어도 하나 도중에 상기 디바이스 양호성 값을 생성하는 단계를 포함하는
방법.
- 제26항에 있어서,
상기 방법은,
상기 복원 환경을 구현한 이후에, 새로운 디바이스 양호성 값을 생성하는 단계 - 상기 새로운 디바이스 양호성 값은 상기 하드웨어 플랫폼 또는 상기 운영 체제 중 적어도 하나와 연관됨 - 와,
상기 새로운 디바이스 양호성 값이 상기 참조 양호성 값과 매칭되는지를 결정하는 단계와,
상기 새로운 디바이스 양호성 값이 상기 참조 양호성 값과 매칭되는 것에 적어도 부분적으로 기초하여, 상기 전자 디바이스에 저장된 데이터로의 액세스를 제공하는 단계를 더 포함하는
방법.
- 하나 이상의 프로세서와, 명령어들을 저장하는 하나 이상의 컴퓨터 판독 가능 매체를 포함하는 전자 디바이스로서,
상기 명령어들은 상기 하나 이상의 프로세서에 의해 실행되었을 때 상기 하나 이상의 프로세서로 하여금 동작들을 수행하게 하고, 상기 동작들은,
유효화 개체로부터 참조 양호성 값을 수신하는 동작과,
하드웨어 플랫폼 또는 운영 체제 중 적어도 하나와 연관된 디바이스 양호성 값(device health value)를 생성하는 동작과,
상기 디바이스 양호성 값이 참조 양호성 값에 대응되지 않음을 결정하는 동작과,
상기 전자 디바이스가 불측 상태(unexpected state)에 있다고 결정하는 동작을 포함하는
전자 디바이스.
- 제35항에 있어서,
상기 동작들은,
상기 디바이스 양호성 값이 상기 참조 양호성 값에 대응되지 않는 것에 적어도 부분적으로 기초하여 복원 환경(recovery environment)을 구현하는 동작을 더 포함하는
전자 디바이스.
- 제35항에 있어서,
상기 동작들은,
상기 디바이스 양호성 값이 상기 참조 양호성 값에 대응되지 않는 것에 적어도 부분적으로 기초하여, 손상된 데이터 파일의 복구, 멀웨어 또는 바이러스의 제거, 상기 운영 체제의 리이미징, 상기 하나 이상의 하드웨어 컴포넌트에 대한 펌웨어의 설치, 또는 상기 운영 체제의 업데이트 중 적어도 하나를 실행하는 동작을 더 포함하는
전자 디바이스.
- 제35항에 있어서,
상기 동작들은,
상기 디바이스 양호성 값이 상기 참조 양호성 값에 대응되지 않는 것에 적어도 부분적으로 기초하여, 상기 전자 디바이스 상의 오류를 검출 및 수정하기 위해 상기 유효화 개체와 통신 링크를 수립하는 동작을 더 포함하는
전자 디바이스.
- 제35항에 있어서,
상기 동작들은,
하나 이상의 하드웨어 구성 값 - 상기 하나 이상의 하드웨어 구성 값은 상기 하드웨어 플랫폼의 상태를 나타냄 - 을 획득하는 동작과,
하나 이상의 운영 체제 구성 값 - 상기 하나 이상의 운영 체제 구성 값은 상기 운영 체제의 상태를 나타냄 - 을 획득하는 동작을 더 포함하고,
상기 디바이스 양호성 값을 생성하는 동작은, 상기 하나 이상의 하드웨어 구성 값 및 상기 하나 이상의 운영 체제 구성 값 중 적어도 하나에 적어도 부분적으로 기초하여 상기 디바이스 양호성 값을 생성하는 동작을 포함하는
전자 디바이스.
- 제35항에 있어서,
상기 디바이스 양호성 값을 생성하는 동작은, 상기 하드웨어 플랫폼의 초기화 또는 상기 운영 체제의 로딩 중 적어도 하나 도중에 상기 디바이스 양호성 값을 생성하는 동작을 포함하는
전자 디바이스.
- 컴퓨팅 디바이스로서,
하나 이상의 프로세서와,
저장된 실행 가능 명령어들을 갖는 하나 이상의 컴퓨터 판독 가능 매체를 포함하고,
상기 명령어들은 상기 하나 이상의 프로세서에 의해 실행되었을 때, 사용자 데이터 보호를 위한 방법을 실행하도록 동작 가능하고, 상기 방법은,
상기 컴퓨팅 디바이스가 원격 시스템으로부터 참조 양호성 값을 수신하는 단계 - 상기 참조 양호성 값은 참조 컴퓨팅 시스템과 연관된 하드웨어 상태 또는 소프트웨어 상태 중 적어도 하나를 나타냄 - 와,
상기 컴퓨팅 디바이스가 상기 컴퓨팅 디바이스를 고유하게 식별하는 하나 이상의 키를 수신하는 단계와,
상기 컴퓨팅 디바이스가 상기 참조 양호성 값 및 상기 하나 이상의 키에 기초하여 액세스 시크릿(access secret)을 생성하는 단계와,
상기 컴퓨팅 디바이스가 적어도 상기 액세스 시크릿을 이용한 사용자 데이터의 암호화 또는 상기 액세스 시크릿을 이용한 상기 사용자 데이터를 보호하는 패스워드에 의해 상기 액세스 시크릿을 이용하여 상기 컴퓨팅 디바이스 상의 상기 사용자 데이터를 보호하는 단계와,
상기 컴퓨팅 디바이스가 상기 사용자 데이터를 액세스하기 위한 액세스 인증서를 상기 컴퓨팅 디바이스 상의 애플리케이션으로부터 수신하는 단계 - 상기 액세스 인증서는, 상기 컴퓨팅 디바이스에 저장된 하나 이상의 키 및 상기 컴퓨팅 디바이스와 연관된 하드웨어 상태 또는 소프트웨어 상태 중 적어도 하나를 나타내는 컴퓨팅 디바이스 양호성 값에 기초함 - 와,
상기 컴퓨팅 디바이스가 상기 액세스 인증서가 상기 액세스 시크릿에 매칭되는 경우 상기 사용자 데이터로의 액세스를 제공하거나, 상기 액세스 인증서가 상기 액세스 시크릿에 매칭되지 않는 경우 상기 사용자 데이터로의 액세스를 거부하는 단계
를 포함하는 컴퓨팅 디바이스.
- 제41항에 있어서,
상기 방법은, 상기 컴퓨팅 디바이스가 상기 컴퓨팅 디바이스 양호성 값을 생성하는 단계를 더 포함하는
컴퓨팅 디바이스.
- 제42항에 있어서,
상기 컴퓨팅 디바이스 양호성 값은, 상기 컴퓨팅 디바이스에서의 운영 체제의 로딩 도중에 획득된 상기 운영 체제의 상태를 적어도 포함하는 상기 소프트웨어 상태에 기초하는
컴퓨팅 디바이스.
- 제42항에 있어서,
상기 컴퓨팅 디바이스 양호성 값은, 상기 컴퓨팅 디바이스의 부트 업(boot up) 도중에 획득된 하나 이상의 하드웨어 구성 값을 포함하는 상기 하드웨어 상태에 기초하는
컴퓨팅 디바이스.
- 제42항에 있어서,
상기 컴퓨팅 디바이스 양호성 값은, (1) 상기 컴퓨팅 디바이스에서의 운영 체제의 로딩 도중에 획득된 상기 운영 체제의 상태를 포함하는 상기 소프트웨어 상태, 및 (2) 상기 컴퓨팅 디바이스의 부트 업(boot up) 도중에 획득된 하나 이상의 하드웨어 구성 값을 포함하는 상기 하드웨어 상태 모두에 기초하는
컴퓨팅 디바이스.
- 제41항에 있어서,
상기 액세스 시크릿은 상기 참조 양호성 값 및 상기 하나 이상의 키의 해시(hash)인
컴퓨팅 디바이스.
- 제41항에 있어서,
상기 하나 이상의 키 및 상기 참조 양호성 값은 동일한 원격 시스템으로부터 획득되는
컴퓨팅 디바이스.
- 컴퓨팅 디바이스 상에서의 사용자 데이터 보호를 위한 컴퓨터 구현된 방법으로서, 상기 방법은,
상기 컴퓨팅 디바이스가 원격 시스템으로부터 참조 양호성 값을 수신하는 단계 - 상기 참조 양호성 값은 참조 컴퓨팅 시스템과 연관된 하드웨어 상태 또는 소프트웨어 상태 중 적어도 하나를 나타냄 - 와,
상기 컴퓨팅 디바이스가 상기 컴퓨팅 디바이스를 고유하게 식별하는 하나 이상의 키를 수신하는 단계와,
상기 컴퓨팅 디바이스가 상기 참조 양호성 값 및 상기 하나 이상의 키에 기초하여 액세스 시크릿(access secret)을 생성하는 단계와,
상기 컴퓨팅 디바이스가 적어도 상기 액세스 시크릿을 이용한 사용자 데이터의 암호화 또는 상기 액세스 시크릿을 이용한 상기 사용자 데이터를 보호하는 패스워드에 의해 상기 액세스 시크릿을 이용하여 상기 컴퓨팅 디바이스 상의 상기 사용자 데이터를 보호하는 단계와,
상기 컴퓨팅 디바이스가 상기 사용자 데이터를 액세스하기 위한 액세스 인증서를 상기 컴퓨팅 디바이스 상의 애플리케이션으로부터 수신하는 단계 - 상기 액세스 인증서는, 상기 컴퓨팅 디바이스에 저장된 하나 이상의 키 및 상기 컴퓨팅 디바이스와 연관된 하드웨어 상태 또는 소프트웨어 상태 중 적어도 하나를 나타내는 컴퓨팅 디바이스 양호성 값에 기초함 - 와,
상기 컴퓨팅 디바이스가 상기 액세스 인증서가 상기 액세스 시크릿에 매칭되는 경우 상기 사용자 데이터로의 액세스를 제공하거나, 상기 액세스 인증서가 상기 액세스 시크릿에 매칭되지 않는 경우 상기 사용자 데이터로의 액세스를 거부하는 단계
를 포함하는 방법.
- 제48항에 있어서,
상기 방법은, 상기 컴퓨팅 디바이스가 상기 컴퓨팅 디바이스 양호성 값을 생성하는 단계를 더 포함하는
방법.
- 제49항에 있어서,
상기 컴퓨팅 디바이스 양호성 값은, 상기 컴퓨팅 디바이스에서의 운영 체제의 로딩 도중에 획득된 상기 운영 체제의 상태를 적어도 포함하는 상기 소프트웨어 상태에 기초하는
방법.
- 제49항에 있어서,
상기 컴퓨팅 디바이스 양호성 값은, 상기 컴퓨팅 디바이스의 부트 업(boot up) 도중에 획득된 하나 이상의 하드웨어 구성 값을 포함하는 상기 하드웨어 상태에 기초하는
방법.
- 제49항에 있어서,
상기 컴퓨팅 디바이스 양호성 값은, (1) 상기 컴퓨팅 디바이스에서의 운영 체제의 로딩 도중에 획득된 상기 운영 체제의 상태를 포함하는 상기 소프트웨어 상태, 및 (2) 상기 컴퓨팅 디바이스의 부트 업(boot up) 도중에 획득된 하나 이상의 하드웨어 구성 값을 포함하는 상기 하드웨어 상태 모두에 기초하는
방법.
- 제48항에 있어서,
상기 액세스 시크릿은 상기 참조 양호성 값 및 상기 하나 이상의 키의 해시(hash)인
방법.
- 제48항에 있어서,
상기 하나 이상의 키 및 상기 참조 양호성 값은 동일한 원격 시스템으로부터 획득되는
방법.
- 저장된 실행 가능 명령어를 포함하는 하나 이상의 컴퓨터 판독 가능 하드웨어 저장 디바이스로서,
상기 명령어들은 컴퓨팅 디바이스의 하나 이상의 프로세서에 의해 실행되었을 때, 상기 컴퓨팅 디바이스에서 사용자 데이터 보호를 위한 방법을 실행하도록 동작 가능하고, 상기 방법은,
상기 컴퓨팅 디바이스가 원격 시스템으로부터 참조 양호성 값을 수신하는 단계 - 상기 참조 양호성 값은 참조 컴퓨팅 시스템과 연관된 하드웨어 상태 또는 소프트웨어 상태 중 적어도 하나를 나타냄 - 와,
상기 컴퓨팅 디바이스가 상기 컴퓨팅 디바이스를 고유하게 식별하는 하나 이상의 키를 수신하는 단계와,
상기 컴퓨팅 디바이스가 상기 참조 양호성 값 및 상기 하나 이상의 키에 기초하여 액세스 시크릿(access secret)을 생성하는 단계와,
상기 컴퓨팅 디바이스가 적어도 상기 액세스 시크릿을 이용한 사용자 데이터의 암호화 또는 상기 액세스 시크릿을 이용한 상기 사용자 데이터를 보호하는 패스워드에 의해 상기 액세스 시크릿을 이용하여 상기 컴퓨팅 디바이스 상의 상기 사용자 데이터를 보호하는 단계와,
상기 컴퓨팅 디바이스가 상기 사용자 데이터를 액세스하기 위한 액세스 인증서를 상기 컴퓨팅 디바이스 상의 애플리케이션으로부터 수신하는 단계 - 상기 액세스 인증서는, 상기 컴퓨팅 디바이스에 저장된 하나 이상의 키 및 상기 컴퓨팅 디바이스와 연관된 하드웨어 상태 또는 소프트웨어 상태 중 적어도 하나를 나타내는 컴퓨팅 디바이스 양호성 값에 기초함 - 와,
상기 컴퓨팅 디바이스가 상기 액세스 인증서가 상기 액세스 시크릿에 매칭되는 경우 상기 사용자 데이터로의 액세스를 제공하거나, 상기 액세스 인증서가 상기 액세스 시크릿에 매칭되지 않는 경우 상기 사용자 데이터로의 액세스를 거부하는 단계
를 포함하는 하나 이상의 컴퓨터 판독 가능 하드웨어 저장 디바이스.
- 제55항에 있어서,
상기 방법은, 상기 컴퓨팅 디바이스가 상기 컴퓨팅 디바이스 양호성 값을 생성하는 단계를 더 포함하는
하나 이상의 컴퓨터 판독 가능 하드웨어 저장 디바이스.
- 제56항에 있어서,
상기 컴퓨팅 디바이스 양호성 값은, 상기 컴퓨팅 디바이스에서의 운영 체제의 로딩 도중에 획득된 상기 운영 체제의 상태를 적어도 포함하는 상기 소프트웨어 상태에 기초하는
하나 이상의 컴퓨터 판독 가능 하드웨어 저장 디바이스.
- 제56항에 있어서,
상기 컴퓨팅 디바이스 양호성 값은, 상기 컴퓨팅 디바이스의 부트 업(boot up) 도중에 획득된 하나 이상의 하드웨어 구성 값을 포함하는 상기 하드웨어 상태에 기초하는
하나 이상의 컴퓨터 판독 가능 하드웨어 저장 디바이스.
- 제56항에 있어서,
상기 컴퓨팅 디바이스 양호성 값은, (1) 상기 컴퓨팅 디바이스에서의 운영 체제의 로딩 도중에 획득된 상기 운영 체제의 상태를 포함하는 상기 소프트웨어 상태, 및 (2) 상기 컴퓨팅 디바이스의 부트 업(boot up) 도중에 획득된 하나 이상의 하드웨어 구성 값을 포함하는 상기 하드웨어 상태 모두에 기초하는
하나 이상의 컴퓨터 판독 가능 하드웨어 저장 디바이스.
- 제55항에 있어서,
상기 액세스 시크릿은 상기 참조 양호성 값 및 상기 하나 이상의 키의 해시(hash)이고, 상기 하나 이상의 키 및 상기 참조 양호성 값은 동일한 원격 시스템으로부터 획득되는
하나 이상의 컴퓨터 판독 가능 하드웨어 저장 디바이스.
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/968,205 US9167002B2 (en) | 2013-08-15 | 2013-08-15 | Global platform health management |
| US13/968,205 | 2013-08-15 | ||
| KR1020167003652A KR102285236B1 (ko) | 2013-08-15 | 2014-08-13 | 참조 플랫폼 매니페스트 및 데이터 씰링에 따른 보안 os 부팅 기법 |
| PCT/US2014/050827 WO2015023723A1 (en) | 2013-08-15 | 2014-08-13 | Secure os boot as per reference platform manifest and data sealing |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020167003652A Division KR102285236B1 (ko) | 2013-08-15 | 2014-08-13 | 참조 플랫폼 매니페스트 및 데이터 씰링에 따른 보안 os 부팅 기법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20210097825A true KR20210097825A (ko) | 2021-08-09 |
| KR102444625B1 KR102444625B1 (ko) | 2022-09-16 |
Family
ID=51483665
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020217024019A KR102444625B1 (ko) | 2013-08-15 | 2014-08-13 | 참조 플랫폼 매니페스트 및 데이터 씰링에 따른 보안 os 부팅 기법 |
| KR1020167003652A KR102285236B1 (ko) | 2013-08-15 | 2014-08-13 | 참조 플랫폼 매니페스트 및 데이터 씰링에 따른 보안 os 부팅 기법 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020167003652A KR102285236B1 (ko) | 2013-08-15 | 2014-08-13 | 참조 플랫폼 매니페스트 및 데이터 씰링에 따른 보안 os 부팅 기법 |
Country Status (5)
| Country | Link |
|---|---|
| US (4) | US9167002B2 (ko) |
| EP (1) | EP3033710B1 (ko) |
| KR (2) | KR102444625B1 (ko) |
| CN (3) | CN105453103B (ko) |
| WO (1) | WO2015023723A1 (ko) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9167002B2 (en) | 2013-08-15 | 2015-10-20 | Microsoft Technology Licensing, Llc | Global platform health management |
| US9448950B2 (en) * | 2013-12-24 | 2016-09-20 | Intel Corporation | Using authenticated manifests to enable external certification of multi-processor platforms |
| US9900295B2 (en) | 2014-11-05 | 2018-02-20 | Microsoft Technology Licensing, Llc | Roaming content wipe actions across devices |
| US10664573B2 (en) * | 2015-06-17 | 2020-05-26 | Intel Corporation | Computing apparatus and method with persistent memory |
| US9853820B2 (en) * | 2015-06-30 | 2017-12-26 | Microsoft Technology Licensing, Llc | Intelligent deletion of revoked data |
| US10277407B2 (en) * | 2016-04-19 | 2019-04-30 | Microsoft Technology Licensing, Llc | Key-attestation-contingent certificate issuance |
| US10558812B2 (en) | 2017-06-21 | 2020-02-11 | Microsoft Technology Licensing, Llc | Mutual authentication with integrity attestation |
| US10938560B2 (en) | 2017-06-21 | 2021-03-02 | Microsoft Technology Licensing, Llc | Authorization key escrow |
| US10440006B2 (en) | 2017-06-21 | 2019-10-08 | Microsoft Technology Licensing, Llc | Device with embedded certificate authority |
| US10771439B2 (en) * | 2017-06-28 | 2020-09-08 | Microsoft Technology Licensing, Llc | Shielded networks for virtual machines |
| US20210409922A1 (en) * | 2018-11-07 | 2021-12-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Lwm2m client state synchronization |
| US11580089B2 (en) * | 2019-05-22 | 2023-02-14 | American Express Travel Related Services Company, Inc. | Data management system |
| US11283678B2 (en) * | 2019-06-18 | 2022-03-22 | Level 3 Communications, Llc | Adaptive virtual services |
| TWI804703B (zh) * | 2019-12-31 | 2023-06-11 | 新唐科技股份有限公司 | 電腦裝置及基於信任鏈的權限管理方法 |
| EP4173260A4 (en) * | 2020-06-30 | 2024-02-21 | Microsoft Technology Licensing Llc | HEALTH INDICATOR OF A SERVICE |
| EP4187550A1 (en) * | 2021-11-30 | 2023-05-31 | Koninklijke Philips N.V. | Post-service state validator for medical devices |
| WO2023099234A1 (en) * | 2021-11-30 | 2023-06-08 | Koninklijke Philips N.V. | Post-service state validator for medical devices |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040064457A1 (en) * | 2002-09-27 | 2004-04-01 | Zimmer Vincent J. | Mechanism for providing both a secure and attested boot |
| KR20060064883A (ko) * | 2004-12-09 | 2006-06-14 | 삼성전자주식회사 | 보안 부팅 장치 및 방법 |
| US20120226895A1 (en) * | 2011-03-01 | 2012-09-06 | Microsoft Corporation | Protecting operating system configuration values |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6501469B1 (en) * | 1999-11-30 | 2002-12-31 | International Business Machines Corp. | Arrangement of information to allow three-dimensional navigation through information displays with indication of intended starting point |
| US7587523B2 (en) * | 2002-12-02 | 2009-09-08 | Cedar Point Communications, Inc. | Distributed systems for determining card status |
| JP4064914B2 (ja) * | 2003-12-02 | 2008-03-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム |
| US7672814B1 (en) * | 2004-03-03 | 2010-03-02 | Emc Corporation | System and method for baseline threshold monitoring |
| US8190714B2 (en) * | 2004-04-15 | 2012-05-29 | Raytheon Company | System and method for computer cluster virtualization using dynamic boot images and virtual disk |
| US20060242406A1 (en) | 2005-04-22 | 2006-10-26 | Microsoft Corporation | Protected computing environment |
| US7694121B2 (en) | 2004-06-30 | 2010-04-06 | Microsoft Corporation | System and method for protected operating system boot using state validation |
| US8266676B2 (en) * | 2004-11-29 | 2012-09-11 | Harris Corporation | Method to verify the integrity of components on a trusted platform using integrity database services |
| US8112798B2 (en) * | 2005-11-09 | 2012-02-07 | Microsoft Corporation | Hardware-aided software code measurement |
| WO2007115116A2 (en) | 2006-03-29 | 2007-10-11 | Trend Micro Incorporated | Methods and systems for implementing an integrated user assist device |
| US20080126779A1 (en) | 2006-09-19 | 2008-05-29 | Ned Smith | Methods and apparatus to perform secure boot |
| US8060941B2 (en) * | 2006-12-15 | 2011-11-15 | International Business Machines Corporation | Method and system to authenticate an application in a computing platform operating in trusted computing group (TCG) domain |
| US20080235754A1 (en) | 2007-03-19 | 2008-09-25 | Wiseman Willard M | Methods and apparatus for enforcing launch policies in processing systems |
| US7886335B1 (en) * | 2007-07-12 | 2011-02-08 | Juniper Networks, Inc. | Reconciliation of multiple sets of network access control policies |
| EP2017766B1 (en) * | 2007-07-17 | 2014-01-22 | Sap Ag | Authentication enforcement at resource level |
| US8104073B2 (en) * | 2007-08-10 | 2012-01-24 | Juniper Networks, Inc. | Exchange of network access control information using tightly-constrained network access control protocols |
| CN101458743A (zh) * | 2007-12-12 | 2009-06-17 | 中国长城计算机深圳股份有限公司 | 一种保护计算机系统安全的方法 |
| US8255902B1 (en) | 2008-03-17 | 2012-08-28 | Symantec Corporation | Systems and methods for determining and quantifying the impact of an application on the health of a system |
| US8458462B1 (en) * | 2008-08-14 | 2013-06-04 | Juniper Networks, Inc. | Verifying integrity of network devices for secure multicast communications |
| US8127146B2 (en) | 2008-09-30 | 2012-02-28 | Microsoft Corporation | Transparent trust validation of an unknown platform |
| CN101729289B (zh) * | 2008-11-03 | 2012-04-04 | 华为技术有限公司 | 平台完整性认证方法及系统、无线接入设备和网络设备 |
| CN101551750A (zh) * | 2009-05-15 | 2009-10-07 | 中国科学院软件研究所 | 一种软件过程可信性检测方法及系统 |
| CN101996286B (zh) * | 2009-08-10 | 2013-01-16 | 北京多思科技发展有限公司 | 动态安全度量的实现方法、安全度量装置和应用系统 |
| US8505103B2 (en) | 2009-09-09 | 2013-08-06 | Fujitsu Limited | Hardware trust anchor |
| WO2011101538A1 (en) * | 2010-02-16 | 2011-08-25 | Nokia Corporation | Method and apparatus to reset platform configuration register in mobile trusted module |
| US8417962B2 (en) | 2010-06-11 | 2013-04-09 | Microsoft Corporation | Device booting with an initial protection component |
| JP5557623B2 (ja) * | 2010-06-30 | 2014-07-23 | 三菱電機株式会社 | 感染検査システム及び感染検査方法及び記録媒体及びプログラム |
| CN201741156U (zh) * | 2010-07-23 | 2011-02-09 | 北京工业大学 | 一种可信硬件设备 |
| CN102479144A (zh) * | 2010-11-23 | 2012-05-30 | 盛乐信息技术(上海)有限公司 | 计算机运行能力评估方法 |
| CN102063591B (zh) * | 2011-01-07 | 2012-08-08 | 北京工业大学 | 基于可信平台的平台配置寄存器参考值的更新方法 |
| US8863291B2 (en) * | 2011-01-20 | 2014-10-14 | Microsoft Corporation | Reputation checking of executable programs |
| US8375221B1 (en) | 2011-07-29 | 2013-02-12 | Microsoft Corporation | Firmware-based trusted platform module for arm processor architectures and trustzone security extensions |
| US8886335B2 (en) | 2011-12-07 | 2014-11-11 | Boston Scientific Neuromodulation Corporation | Implantable leads with a low profile distal portion |
| US9167002B2 (en) | 2013-08-15 | 2015-10-20 | Microsoft Technology Licensing, Llc | Global platform health management |
-
2013
- 2013-08-15 US US13/968,205 patent/US9167002B2/en active Active
-
2014
- 2014-08-13 CN CN201480045238.4A patent/CN105453103B/zh active Active
- 2014-08-13 KR KR1020217024019A patent/KR102444625B1/ko active IP Right Grant
- 2014-08-13 KR KR1020167003652A patent/KR102285236B1/ko active IP Right Grant
- 2014-08-13 EP EP14758738.0A patent/EP3033710B1/en active Active
- 2014-08-13 CN CN202310326629.4A patent/CN116361747A/zh active Pending
- 2014-08-13 CN CN201811258859.7A patent/CN109614769A/zh active Pending
- 2014-08-13 WO PCT/US2014/050827 patent/WO2015023723A1/en active Application Filing
-
2015
- 2015-10-16 US US14/884,951 patent/US9576134B2/en active Active
-
2017
- 2017-01-17 US US15/408,005 patent/US9946881B2/en active Active
-
2018
- 2018-03-16 US US15/923,959 patent/US10176330B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040064457A1 (en) * | 2002-09-27 | 2004-04-01 | Zimmer Vincent J. | Mechanism for providing both a secure and attested boot |
| KR20060064883A (ko) * | 2004-12-09 | 2006-06-14 | 삼성전자주식회사 | 보안 부팅 장치 및 방법 |
| US20120226895A1 (en) * | 2011-03-01 | 2012-09-06 | Microsoft Corporation | Protecting operating system configuration values |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116361747A (zh) | 2023-06-30 |
| CN109614769A (zh) | 2019-04-12 |
| CN105453103B (zh) | 2018-11-13 |
| US10176330B2 (en) | 2019-01-08 |
| US9576134B2 (en) | 2017-02-21 |
| EP3033710A1 (en) | 2016-06-22 |
| EP3033710B1 (en) | 2020-09-23 |
| US20170124334A1 (en) | 2017-05-04 |
| US9946881B2 (en) | 2018-04-17 |
| US20150052610A1 (en) | 2015-02-19 |
| KR20160042897A (ko) | 2016-04-20 |
| US9167002B2 (en) | 2015-10-20 |
| KR102444625B1 (ko) | 2022-09-16 |
| CN105453103A (zh) | 2016-03-30 |
| US20180204012A1 (en) | 2018-07-19 |
| US20160034691A1 (en) | 2016-02-04 |
| KR102285236B1 (ko) | 2021-08-04 |
| WO2015023723A1 (en) | 2015-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102444625B1 (ko) | 참조 플랫폼 매니페스트 및 데이터 씰링에 따른 보안 os 부팅 기법 | |
| US10721080B2 (en) | Key-attestation-contingent certificate issuance | |
| EP3210155B1 (en) | Trust service for a client device | |
| US8230412B2 (en) | Compatible trust in a computing device | |
| KR101190479B1 (ko) | 티켓 인증 보안 설치 및 부트 | |
| KR102157560B1 (ko) | 전자 디바이스의 무결성을 검증하기 위한 시스템 및 방법 | |
| CN111630513B (zh) | 认证所存储代码和代码更新的真实性 | |
| US20130185564A1 (en) | Systems and methods for multi-layered authentication/verification of trusted platform updates | |
| EP3227823B1 (en) | Remote crypto services using tpm of server | |
| US11416604B2 (en) | Enclave handling on an execution platform | |
| CN107924440B (zh) | 用于管理容器的方法、系统和计算机可读介质 | |
| US20210216636A1 (en) | Determining Authenticity of Binary Images | |
| US20240037216A1 (en) | Systems And Methods For Creating Trustworthy Orchestration Instructions Within A Containerized Computing Environment For Validation Within An Alternate Computing Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A107 | Divisional application of patent | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |