[0001] 本
申请是申请日为2007年10月17日、申请号为200710306872.0的
发明专利申请“用于能够实现安全的位置感知平台的方法、装置和系统”的分案中请。
背景技术
[0002] 系统管理员的一个主要的难题是实现控制的能
力,所述控制应允许用户最大程度地利用计算平台上可用的所有功能(例如,协作、连接性等),并且还提供可靠的安全性控制以防止平台泄密。很经常地,当平台在公司网外部时,被实现用于公司网内的功能的配置可能会导致安全脆弱性。
[0003] 此问题在无线网络中更为明显,随着计算机用户变得愈加可移动,如今无线网络正在快速地增长。由于连接是非物理的并且具有兼容的无线网络
接口的任何一方都可
定位他们自身以检查和/或截取无线数据包,因此这些网络通常面临严重的安全问题。换言之,任何第三方黑客或攻击者都可相对容易地获取对无线网络上传输的数据包的
访问,而无论数据包的实际目标是谁。可以在这些网络上实现各种安全性控制以缓解该问题,但是基于网络的可信赖性而应用更加严格和更好的安全性控制的能力通常留给了安全厂商。然而,大多数的厂商并不提供基于系统位置的可配置的控制。
[0004] 图1概念性地图示了典型的无线网络拓扑结构,其包括公司网(“公司网100”)和外部网(“外部网150”),无线设备(“
节点125”)从一个网络移动到另一个网络。公司网100通常通过网关或
防火墙或其他这样的安全机制(在图1中共同图示为“防火墙175”)与外部网150分开。当从一个网络移动到另一个网络时,节点125将可能面对不同的安全问题,但是目前节点125不能动态地确定其位置并改变其安全性控制。因此,虽然无线网络向用户提供了显著的灵活性以跨网络“漫游”而不用约束在特定的位置,但是由于无线设备在安全的环境(例如,在公司内部)和较不安全或不安全的环境(例如,在公司外部)之间更改,所以其可能或可能不具有充分的安全性控制。
[0005] 虽然上述说明关注于无线设备,但是对于可能从一个位置移动到另一个位置的非无线设备来说也可能会出现相似的问题。例如,膝上型电脑的用户当他/她在办公室时可物理地连接到公司网,但是在工作日结束时,该用户可能将膝上型电脑带回家并将其连接到家庭办公因特网连接。在这种情况下,膝上型电脑可能从安全的(公司)环境移动到较不安全的(家庭)环境,且在每个环境中安全要求可能是不同的。
附图说明
[0006] 在附图中以举例而非限定的方式图示了本发明,其中相似的参考标记指示相似的元素,其中:
[0007] 图1图示了典型的无线网络拓扑结构;
[0008] 图2图示了实例AMT环境;
[0010] 图4A和4B概念性地图示了本发明的
实施例的组件;以及
[0011] 图5是图示了本发明的实施例的
流程图。
具体实施方式
[0012] 本发明的实施例提供用于能够实现安全的位置感知(location-aware)平台的方法、装置和系统。更具体而言,本发明的实施例提供一种安全环境,在其中平台可自动确定其位置并动态地调整其安全配置。本发明的实施例可在任何类型的网络(例如,有线的,Wi-Max等)上和/或在能够从一个位置移动到另一个位置的任何计算平台(无线设备、膝上型电脑、个人助理等)上实现。因此,在这里所提及的“设备”、“节点”和/或“平台”应包括在任何上述的各种类型的网络上运行的有线和/或无线设备。此外,本
说明书中所提及的本发明的“一个实施例”或“实施例”是指结合实施例描述的特定的特征、结构或特点包括在本发明的至少一个实施例中。因此,出现在整篇说明书的各个位置的短语“在一个实施例中”、“根据一个实施例”等不一定都是指相同的实施例。
[0013] 根据本发明的实施例,隔离的和安全的分区(partition)可被利用来增强计算平台上的安全性。本发明的实施例支持各种安全分区类型。这些分区类型中的公共线索包括物理地或者虚拟地保持分区之间的严格分离的能力。因此,例如,在一个实施例中,分区可由嵌入式处理器实现,例如,Intel 公司的主动管理技术(“AMT”)、“可管理引擎”(“ME”)、平台资源层(“PRL”)和/或其他相当或类似的技术。在一个替代的实施例中,分区可以是虚拟化的,例如,Intel 公司的虚拟化技术(“VT”)方案中的虚拟机(VM),其运行在平台上的虚拟机监视器(VMM)上。在另一个实施例中,在例如Intel 公司的Core 2 Duc 的多核平台上,分区可包括存在于该平台上的很多核中的一个。在例如Core 2 Duo 的多核体系结构中,每个核可具有其独立的地址界和执行,并且分区隔离可通过平台
硬件来提供。对于本领域普通技术人员来说显而易见的是,虚拟主机也可用于与由AMT、ME和PRL技术提供的服务交互和/或平衡这些服务。
[0014] 为了有助于理解本发明的实施例,随后的段落描述了典型的AMT环境以及典型的虚拟主机。通过举例的方式,图2概念性地图示了由Intel 公司实现的典型的IntelAMT环境。对于本领域普通技术人员来说显而易见的是,本发明的实施例也可以以AMT的其他类似和/或相当的实现方式来实现。虽然为了不无谓地干扰本发明的实施例,仅仅示出了与描述AMT环境有关的组成部分,但是对于本领域普通技术人员来说,显然,可以包括另外的组成部分而不背离本发明的实施例的主旨。
[0015] 因此,如图2中所示,设备(“主机200”)可包括主机
操作系统(“主机操作系统210”)和系统硬件(“硬件250”)。根据本发明的一个实施例,硬件250可包括一个、两个或更多个处理器,一个或更多个处理器执行主机操作系统210的通常的处理任务(“主处理器205”),而其他的处理器可专用于独占地通过专用的分区来管理该设备(用于“AMT 220”的“专用处理器215”)。每个处理器在主机200上可具有相关联的资源并且它们可共享一个或更多个其他资源。因此,如在此实例中所示,主处理器205和专用处理器210每个都可具有专用于它们的
存储器部分(分别为“主存储器225”和“专用存储器230”),但是它们可共享网络接口卡(“WNIC 235”)。
[0016] 相似地,如图3中所示,如果设备(“主机300”)是虚拟的,则其可以仅包括单个处理器,但是该设备上的虚拟机监视器(“VMM 330”)可呈现该设备或主机的多个抽象和/或视图,使得该主机的底层硬件表现为一个或更多个独立操作的虚拟机(“VM”)。VMM 330可以以
软件(例如,作为独立的程序和/或主机操作系统的组成部分)、硬件、
固件和/或其任何组合来实现。VMM 330管理主机上资源的分配,以及当需要时执行上下文转接以根据循环复用法(round-robin)或其他预定的方案在各个VM之间进行循环。对于本领域普通技术人员来说显而易见的是,虽然仅示出了一个处理器(“主处理器305”),但是本发明的实施例并不局限于此,可以在虚拟化环境内利用多个处理器或处理器核。
[0017] 虽然仅示出了两个VM分区(“VM 310”和“VM 320”,以下通称为“VM”),但这些VM仅仅是示例性的,并且另外的虚拟机可添加至该主机。VM 310和VM 320可分别用作自主式(self-contained)平台,运行其自己的“客户机操作系统”(即,由VMM 330作为主机的操作系统,图示为“客户机操作系统311”和“客户机操作系统321”,以下通称为“客户机操作系统”)和其他软件(图示为“客户机软件312”和“客户机软件322”,以下通称为“客户机软件”)。
[0018] 每个客户机操作系统和/或客户机软件如同其运行在专用计算机上而不是在虚拟机上那样进行操作。也就是说,每个客户机操作系统和/或客户机软件可控制各种事件并访问主机100上的硬件资源。在每个VM内,客户机操作系统和/或客户机软件可如同其实际地运行在主机300的物理硬件(“主机硬件340”,其可包括网络接口卡(“WNIC 350”))上那样来进行工作。
[0019] 对于本领域普通技术人员来说显而易见的是,AMT、ME或PRL方案还可在虚拟化环境内实现。例如,VM 320可专用作主机上的AMT分区,而VM 310运行该主机上的用户应用程序。在这种情况下,主机可以包括或者也可以不包括多个处理器。如果主机包括两个处理器,例如,VM 320可被分配专用处理器215,而VM 310(以及主机上的其他VM)可共享主处理器205的资源。另一方面,如果主机仅包括单个处理器,则该处理器可为所有的VM服务,但是VM 320仍旧可以在VMM 330的协作下与主机上的其他VM隔离。为了简化的目的,在虚拟化AMT环境中描述了本发明的实施例,但是本发明的实施例并不局限于此。而是,任何所提及的“分区”、“安全分区”、“安全性分区”和/或“管理分区”应包括任何物理和/或虚拟分区(如上所述)。
[0020] 图4A和4B示出了在虚拟化AMT环境中的本发明的实施例。如图所示,根据本发明的一个实施例,设备(“节点400”)可以包括用户分区(“用户分区405”)、安全分区、虚拟机管理器(“VMM 425”)和局域网(“LAN”)硬件/固件(“NIC 430”),其中所述用户分区具有用户操作系统(“用户操作系统410”),所述安全分区用作AMT(“AMT 415”)并且包括位置感知代理(“LAA 420”),所述局域网硬件/固件具有驻留在AMT 415内的
驱动器(“NIC驱动器425”)。如前所述,虽然随后的说明采用了AMT,但本发明的实施例并不局限于此。在一个实施例中,AMT 415可与用户操作系统410隔离(通过物理分离、虚拟分离或其组合)以增强平台上的安全性。节点400可驻留在上述图1中所述的典型拓扑结构内,即在公司网100和/或外部网150上。
[0021] 根据本发明的实施例,当节点400通电并且正常的AMT功能开始时,LAA 420可以启动。一旦被激活,LAA 420可通过防止用户操作系统410访问WNIC驱动器435来防止用户操作系统410连接到任何网络。替代地,LAA 420可以首先确定节点400是否连接到网络,并且如果是,则确定网络是什么类型(例如,内部的或外部的)。因此,在一个实施例中,如果LAA420激活后检测到网络,则LAA 420可以尝试连接至仅存在于公司网100内的
基础设施。对于本领域普通技术人员来说显而易见的是,对于要连接的基础设施的选择可以是可配置的,且可包括例如域
控制器、AMT管理
服务器和/或公司展示服务器(corporate presence server)的组件。在一替换实施例中,LAA 420可尝试连接至已知存在于公司网100内的任何其他的基础设施(例如,在Intel网络内,LAA 420可配置为找寻在特定的网络地址处的Intel专用服务器)。
[0022] 如果LAA420成功地检测到公司网100上的组元,那么其(与VMM 425联合)可使得用户操作系统405能够以用于公司(即,安全)环境的一组可配置的安全性控制来启动。在一个实例中,用于安全的公司环境的安全性控制可以不包括严格的防火墙规则、文件共享规则等。此组安全性控制可被定制为适合于特定的环境。例如,如果LAA 420检测到表示高度安全的网络的网络组元A,则其可以选择具有最少规则的一组特定的安全性控制,而如果其没能找到网络组元A,而是替代地找到表示较不安全的网络的网络组元B,则其可以选择一组不同的安全性控制。换言之,即使在公司环境内,系统管理员也可以选择来维护多组可配置的安全性控制,以使设备能够优化其安全性方案。因此,本发明的实施例使管理员能够根据所检测到的位置为设备精细地调整安全性方案。
[0023] 在一个实施例中,如果LAA420检测到网络,但未能连接到公司网100上的组元,则LAA420可以确定节点400在公司网之外,即,在外部网150上。那么LAA 420可以使得用户操作系统405以配置用于非安全环境的一组安全性控制来启动。这样的一组安全性控制的例子可包括对防火墙访问和/或文件共享的限制。换言之,如果设备处于非安全的位置,则系统管理员可选择来限制该设备的用户访问来自公司内部的数据的能力。
[0024] 上面的实施例描述了节点400在特定环境中启动的情况。在替换的实施例中,节点400可以在一个环境中启动并移动到不同的环境中。LAA420可配置成持续地监控WNIC435以监控网络状态的任何改变。如果发生状态改变,则LAA 420可以重复上述的处理以确定网络是否仍旧存在(即,设备是否仍旧连接到网络),如果是,则确定其是在公司网内还是在外部网上。
[0025] 举例来说,如果节点400在公司网100内启动并移动到外部网150,则LAA 420可以检测到网络状态的变化并重复上述的网络识别处理。在一个实施例中,当LAA 420确定其在外部网150上时,其可以以配置用于非安全环境的一组安全性控制来启动新的分区(“新用户分区450”)(如图4B中所示)。LAA 420和VMM 425然后可以对于用户透明地将用户的
执行环境从(由用于安全分区的安全性控制所管理的)用户分区405转移至新用户分区450,运行更加严格的安全性控制。VMM 425然后可继续维护用户分区405或将其关闭。例如,在系统管理员知道特定的设备会频繁地在公司网100和外部网150之间漫游的情况下,系统管理员可以配置VMM 425来维护用户分区405以在将来当节点400移动回公司网100时使用(在下面进一步详细描述)。
[0026] 在一个实施例中,节点400可在外部网150上启动并移动至公司网100,或者在上述的情况下,简单地返回到公司网100。根据该实施例,LAA420可以再次检测网络状态的改变并重复上述的网络识别处理。当检测到节点400再次运行在安全环境内时,LAA420和VMM 425可以以用于安全环境的安全性控制来启动新的分区,并将用户的执行环境移动至新的VM。或者,如上所述,如果VMM 425继续维护VM 405,则VMM 425可简单地将用户的执行环境转移回VM 405(从而避免了与启动新的分区相关联的启动成本)。
[0027] 根据本发明的实施例,基于节点400的位置,系统管理员可对于数据访问定义变化的安全性级别。因此,例如,如果确定节点400在公司网100上,则用户可被允许无限制地访问平台上的所有数据。然而,如果确定节点400在外部网150上,则VMM 425可通过实现用于非安全环境的安全性控制的分区(例如,新用户分区445)来仅允许访问特定类型的数据。换言之,如果用户在安全环境内,则用户可以无限制地访问平台上的所有数据,但是如果用户移动到非安全的环境,则本发明的实施例可以利用上述的安全的位置感知方案来限制数据访问。
[0028] 举例来说,在上述的节点400从公司网100移动到外部网150的情况下,如前所述,LAA 420可以检测网络状态的改变。根据本发明的一个实施例,当检测到节点400正在非安全的网络内运行并且以不同的一组安全性控制启动新的分区时,LAA 420和VMM 425还可以限制可由该新的分区访问的数据。因此,上述的新用户分区450可以不仅仅包括被定制用于非安全环境的一组不同的安全性控制,其还可以包括用于保护节点400上的特定类型的数据的数据限制。对于本领域普通技术人员来说显而易见的是,数据限制可以以各种方式来实现而不背离本发明的实施例的主旨。在一个实施例中,例如,LAA 420和VMM425可以简单地将用户分区405维护为可访问节点400上的所有数据,但是当新用户分区
450运行时禁止网络访问用户分区405。因此,本发明的各个实施例可对上述的位置感知安全性方案进行平衡,以基于节点400的位置限制对数据的访问。
[0029] 如前所述,虽然上面的说明采用了虚拟化平台,但是本发明的实施例支持各种安全分区类型。对于本领域普通技术人员来说显而易见的是,可以利用各个平台特定的特征来增强本发明的实施例。例如,在诸如Intel 公司的Core 2 Duo 的多核平台上,分区可以包括该平台上存在的多个核中的一个。根据该实施例,该平台上的核中的一个可专用于运行位置感知代理,从而将该代理与该平台上运行的其他分区和/或应用程序隔离。在又一实施例中,位置感知代理可在平台上的物理AMT分区内实现。无论分区的类型如何(物理的或虚拟的),本发明的实施例都可利用位置感知代理,以能够将平台与网络隔离和/或能够实现对平台的安全性控制以优化平台的安全性和性能。
[0030] 图5是示出了本发明的实施例的流程图。虽然随后的操作可描述为顺序处理,但是许多操作实际上可以并行和/或同时执行。此外,操作的次序可重新设置而不背离本发明实施例的主旨。在501,当启动设备时,位置感知代理可以开始监控该设备的网络状态。如果在502没有检测到网络状态的改变,则位置感知代理可简单地继续监控设备的网络状态。然而,如果在502检测到网络状态的改变,则位置感知代理可在503确定设备上的NIC是否连接到网络。如果NIC没有连接到网络,则位置感知代理可以使设备上的用户分区中的操作系统能够在504启动而不用任何安全性控制(因为没有网络连接,从而消除了对于网络安全性的顾虑)。在该实施例中,用户可访问设备上的所有数据。
[0031] 然而,在503如果NIC连接到网络,则位置感知代理然后在505可尝试联系公司网内的各种基础设施组元。在505如果位置感知代理不能连接到任何公司基础设施组元,则位置感知代理然后在506检查用户分区以确定所执行的安全性控制的类型。如果在用户分区执行的安全性控制是设计来用于安全的分区的,则位置感知代理然后在507使得用户分区能够连接到网络。根据该实施例,位置感知代理还可通过禁止或限制网络访问数据来施加对于用户分区中数据的访问限制。
[0032] 然而,如果安全性控制被定制为用于非安全环境,则位置感知代理在508可确定适合的动作过程。例如,位置感知代理可以开始具有更严格的安全性控制的新的分区,并且在509,代理和虚拟机管理器可将用户的执行环境转移到该新的分区。在一个实施例中,代理和虚拟机管理器还可限制对用户分区中数据的访问,使数据不可被该新的分区访问。当转移到具有提高的安全性控制的新的分区时,位置感知代理在510可使该新的分区能够连接到网络。对于本领域普通技术人员来说显而易见的是,在替换的实施例中,位置感知代理可以实现各种其他的动作过程而不背离本发明实施例的主旨。
[0033] 在505如果位置感知代理能够连接到一个或更多个公司基础设施组元,则在511该代理确定设备是否正在运行提高的安全性控制。如果不是,则位置感知代理和虚拟机管理器在512可使分区能够在507连接到网络。然而,如果设备正在运行提高的安全性控制,则位置感知代理在513可确定适合的动作过程。因此,例如,在一个实施例中,位置感知代理可关闭具有提高的安全性控制的分区,并在514将用户执行环境转移到运行较不高的安全性控制的分区(因为对于设备来说,当运行在公司网内时提高的安全性控制是不必要的)。而且,在一个实施例中,位置感知代理可对用户分区中的数据施加限制。
[0034] 在一个实施例中,运行较不高的安全性控制的分区可以是主分区,当设备最初从公司网移动到外部网时,虚拟机管理器继续维护该主分区。在替换的实施例中,位置感知代理可在转移用户执行环境之前启动具有较不高的安全性控制的主分区。对于本领域普通技术人员来说显而易见的是,位置感知代理可采用各种动作而不背离本发明实施例的主旨。
[0035] 根据本发明的实施例的计算平台可在各种计算设备上实现。根据实施例,计算设备可以包括各种其他已知的组件,例如一个或多个处理器。处理器和机器可访问介质可使用桥/存储器控制器来可通信地耦合,并且处理器可以能够执行存储在该机器可访问介质中的指令。该桥/存储器控制器可以耦合到图形控制器,并且该图形控制器可以控制显示设备上的显示数据的输出。桥/存储器控制器可以耦合到一个或多个总线。这些组元中的一个或多个可与处理器集成在单个封装上,或者使用多个封装或管芯。诸如通用
串行总线(“USB”)主机控制器之类的主机总线控制器可以耦合到总线,并且多个设备可以耦合到USB。例如,诸如
键盘和
鼠标之类的用户输入设备可以包括在计算设备中,以提供输入数据。在替换的实施例中,主机总线控制器可与各种其他的互连标准兼容,所述互连标准包括PCI、PCI Express、FireWire以及其他这样的现有的和将来的标准。
[0036] 在前面的说明书中,已经参考本发明的特定的示例性实施例描述了本发明。然而,显然可对其进行各种
修改和改变而不背离在所附
权利要求中所阐述的本发明的更宽的主旨和范围。因此,本说明书和附图应被视为说明性的而不是限制性的。
