专利名称:用于能够实现安全的位置感知平台的方法、装置和系统的制作方法
用于能够实现安全的位置感知平台的方法、装置和系统
背景技术:
系统管理员的一个主要的难题是实现控制的能力,所述控制应允 许用户最大程度地利用计算平台上可用的所有功能(例如,协作、连 接性等),并且还提供可靠的安全性控制以防止平台泄密。很经常地, 当平台在公司网外部时,被实现用于公司网内的功能的配置可能会导 致安全脆弱性。
此问题在无线网络中更为明显,随着计算机用户变得愈加可移 动,如今无线网络正在快速地增长。由于连接是非物理的并且具有兼 容的无线网络接口的任何一方都可定位他们自身以检查和/或截取无 线数据包,因此这些网络通常面临严重的安全问题。换言之,任何第 三方黑客或攻击者都可相对容易地获取对无线网络上传输的数据包 的访问,而无论数据包的实际目标是谁。可以在这些网络上实现各种 安全性控制以缓解该问题,但是基于网络的可信赖性而应用更加严格 和更好的安全性控制的能力通常留给了安全厂商。然而,大多数的厂 商并不提供基于系统位置的可配置的控制。
图1概念性地图示了典型的无线网络拓扑结构,其包括公司网
("公司网100")和外部网("外部网150"),无线设备("节点125") 从一个网络移动到另一个网络。公司网IOO通常通过网关或防火墙或 其他这样的安全机制(在图1中共同图示为"防火墙175")与外部网 150分开。当从一个网络移动到另一个网络时,节点125将可能面对 不同的安全问题,但是目前节点125不能动态地确定其位置并改变其 安全性控制。因此,虽然无线网络向用户提供了显著的灵活性以跨网 络"漫游"而不用约束在特定的位置,但是由于无线设备在安全的环 境(例如,在公司内部)和较不安全或不安全的环境(例如,在公司外部) 之间更改,所以其可能或可能不具有充分的安全性控制。
虽然上述说明关注于无线设备,但是对于可能从一个位置移动到另一个位置的非无线设备来说也可能会出现相似的问题。例如,膝上 型电脑的用户当他/她在办公室时可物理地连接到公司网,但是在工 作日结束时,该用户可能将膝上型电脑带回家并将其连接到家庭办公 因特网连接。在这种情况下,膝上型电脑可能从安全的(公司)环境移 动到较不安全的(家庭)环境,且在每个环境中安全要求可能是不同 的。
在附图中以举例而非限定的方式图示了本发明,其中相似的参考 标记指示相似的元素,其中
图1图示了典型的无线网络拓扑结构; 图2图示了实例AMT环境;
图3图示了实例虚拟机主机;
图4A和4B概念性地图示了本发明的实施例的组件;以及 图5是图示了本发明的实施例的流程图。
具体实施例方式
本发明的实施例提供用于能够实现安全的位置感知 (location-aware)平台的方法、装置和系统。更具体而言,本发明的实 施例提供一种安全环境,在其中平台可自动确定其位置并动态地调整 其安全配置。本发明的实施例可在任何类型的网络(例如,有线的, Wi-Max等)上和/或在能够从一个位置移动到另一个位置的任何计算 平台(无线设备、膝上型电脑、个人助理等)上实现。因此,在这里所 提及的"设备"、"节点"和/或"平台"应包括在任何上述的各种类 型的网络上运行的有线和/或无线设备。此外,本说明书中所提及的 本发明的"一个实施例"或"实施例"是指结合实施例描述的特定的 特征、结构或特点包括在本发明的至少一个实施例中。因此,出现在 整篇说明书的各个位置的短语"在一个实施例中"、"根据一个实施例"
等不一定都是指相同的实施例。
根据本发明的实施例,隔离的和安全的分区(partition)可被利用来增强计算平台上的安全性。本发明的实施例支持各种安全分区类型。 这些分区类型中的公共线索包括物理地或者虚拟地保持分区之间的 严格分离的能力。因此,例如,在一个实施例中,分区可由嵌入式处
理器实现,例如,Intd⑧公司的主动管理技术("AMT")、"可管理引 擎"("ME")、平台资源层("PRL")和/或其他相当或类似的技术。 在一个替代的实施例中,分区可以是虚拟化的,例如,Intd⑧公司的 虚拟化技术("VT")方案中的虚拟机(VM),其运行在平台上的虚拟 机监视器(VMM)上。在另一个实施例中,在例如Intel⑧公司的Core2 Duo⑧的多核平台上,分区可包括存在于该平台上的很多核中的一个。 在例如Core 2 Duo⑧的多核体系结构中,每个核可具有其独立的地址 界和执行,并且分区隔离可通过平台硬件来提供。对于本领域普通技 术人员来说显而易见的是,虚拟主机也可用于与由AMT、 ME和PRL 技术提供的服务交互和/或平衡这些服务。
为了有助于理解本发明的实施例,随后的段落描述了典型的 AMT环境以及典型的虚拟主^U通过举例的方式,图2概念性地图 示了由InteKE)公司实现的典型的Intel AMT环境。对于本领域普通 技术人员来说显而易见的是,本发明的实施例也可以以AMT的其他 类似和/或相当的实现方式来实现。虽然为了不无谓地干扰本发明的 实施例,仅仅示出了与描述AMT环境有关的组成部分,但是对于本 领域普通技术人员来说,显然,可以包括另外的组成部分而不背离本 发明的实施例的主旨。
因此,如图2中所示,设备("主机200")可包括主机操作系统("主 机操作系统210")和系统硬件("硬件250")。根据本发明的一个实 施例,硬件250可包括一个、两个或更多个处理器, 一个或更多个处 理器执行主机操作系统210的通常的处理任务("主处理器205"), 而其他的处理器可专用于独占地通过专用的分区来管理该设备(用于 "AMT220"的"专用处理器215")。每个处理器在主机200上可具
有相关联的资源并且它们可共享一个或更多个其他资源。因此,如在 此实例中所示,主处理器205和专用处理器210每个都可具有专用于 它们的存储器部分(分别为"主存储器225"和"专用存储器230"),但是它们可共享网络接口卡("WNIC235")。
相似地,如图3中所示,如果设备("主机300")是虚拟的,则 其可以仅包括单个处理器,但是该设备上的虚拟机监视器("VMM 330")可呈现该设备或主机的多个抽象和/或视图,使得该主机的底层 硬件表现为一个或更多个独立操作的虚拟机("VM" )。 VMM 330可 以以软件(例如,作为独立的程序和/或主机操作系统的组成部分)、硬 件、固件和/或其任何组合来实现。VMM 330管理主机上资源的分配, 以及当需要时执行上下文转接以根据循环复用法(round-robin)或其他 预定的方案在各个VM之间进行循环。对于本领域普通技术人员来说 显而易见的是,虽然仅示出了一个处理器("主处理器305"),但是 本发明的实施例并不局限于此,可以在虚拟化环境内利用多个处理器 或处理器核。
虽然仅示出了两个VM分区("VM310"和"VM320",以下通 称为"VM"),但这些VM仅仅是示例性的,并且另外的虚拟机可添 加至该主机。VM 310和VM 320可分别用作自主式(self-contained)平 台,运行其自己的"客户机操作系统"(即,由VMM330作为主机的 操作系统,图示为"客户机操作系统311"和"客户机操作系统321", 以下通称为"客户机操作系统")和其他软件(图示为"客户机软件312" 和"客户机软件322",以下通称为"客户机软件")。
每个客户机操作系统和/或客户机软件如同其运行在专用计算机 上而不是在虚拟机上那样进行操作。也就是说,每个客户机操作系统 和/或客户机软件可控制各种事件并访问主机100上的硬件资源。在 每个VM内,客户机操作系统和/或客户机软件可如同其实际地运行 在主机300的物理硬件("主机硬件340",其可包括网络接口卡 ("WNIC350"))上那样来进行工作。
对于本领域普通技术人员来说显而易见的是,AMT、 ME或PRL 方案还可在虚拟化环境内实现。例如,VM 320可专用作主机上的 AMT分区,而VM 310运行该主机上的用户应用程序。在这种情况 下,主机可以包括或者也可以不包括多个处理器。如果主机包括两个 处理器,例如,VM 320可被分配专用处理器215,而VM310(以及主机上的其他VM)可共享主处理器205的资源。另一方面,如果主 机仅包括单个处理器,则该处理器可为所有的VM服务,但是VM 320 仍旧可以在VMM 330的协作下与主机上的其他VM隔离。为了简化 的目的,在虚拟化AMT环境中描述了本发明的实施例,但是本发明 的实施例并不局限于此。而是,任何所提及的"分区"、"安全分区"、 "安全性分区"和域"管理分区"应包括任何物理和/或虚拟分区(如 上所述)。
图4A和4B示出了在虚拟化AMT环境中的本发明的实施例。如 图所示,根据本发明的一个实施例,设备("节点400")可以包括用 户分区("用户分区405")、安全分区、虚拟机管理器("VMM425") 和局域网("LAN")硬件個件("NIC 430"),其中所述用户分区具有 用户操作系统("用户操作系统410"),所述安全分区用作AMT("AMT 415")并且包括位置感知代理("LAA420"),所述局域网硬件/固件 具有驻留在AMT415内的驱动器("NIC驱动器425")。如前所述, 虽然随后的说明采用了 AMT,但本发明的实施例并不局限于此。在 一个实施例中,AMT415可与用户操作系统410隔离(通过物理分离、 虚拟分离或其组合)以增强平台上的安全性。节点400可驻留在上述 图1中所述的典型拓扑结构内,即在公司网100和/或外部网150上。
根据本发明的实施例,当节点400通电并且正常的AMT功能开 始时,LAA420可以启动。 一旦被激活,LAA420可通过防止用户操 作系统410访问WNIC驱动器435来防止用户操作系统410连接到 任何网络。替代地,LAA420可以首先确定节点400是否连接到网络, 并且如果是,则确定网络是什么类型(例如,内部的或外部的)。因此, 在一个实施例中,如果LAA420激活后检测到网络,则LAA420可 以尝试连接至仅存在于公司网100内的基础设施。对于本领域普通技 术人员来说显而易见的是,对于要连接的基础设施的选择可以是可配 置的,且可包括例如域控制器、AMT管理服务器和/或公司展示服务 器(corporate presence server)的组件。在一替换实施例中,LAA420可 尝试连接至已知存在于公司网100内的任何其他的基础设施(例如, 在Intel网络内,LAA 420可配置为找寻在特定的网络地址处的Intel
9专用服务器)。如果LAA 420成功地检测到公司网100上的组元,那么其(与 VMM 425联合)可使得用户操作系统405能够以用于公司(g卩,安全) 环境的一组可配置的安全性控制来启动。在一个实例中,用于安全的 公司环境的安全性控制可以不包括严格的防火墙规则、文件共享规则 等。此组安全性控制可被定制为适合于特定的环境。例如,如果LAA 420检测到表示高度安全的网络的网络组元A,则其可以选择具有最 少规则的一组特定的安全性控制,而如果其没能找到网络组元A,而 是替代地找到表示较不安全的网络的网络组元B,则其可以选择一组 不同的安全性控制。换言之,即使在公司环境内,系统管理员也可以 选择来维护多组可配置的安全性控制,以使设备能够优化其安全性方 案。因此,本发明的实施例使管理员能够根据所检测到的位置为设备 精细地调整安全性方案。在一个实施例中,如果LAA 420检测到网络,但未能连接到公 司网100上的组元,则LAA 420可以确定节点400在公司网之外, 即,在外部网150上。那么LAA 420可以使得用户操作系统405以 配置用于非安全环境的一组安全性控制来启动。这样的一组安全性控 制的例子可包括对防火墙访问和/或文件共享的限制。换言之,如果 设备处于非安全的位置,则系统管理员可选择来限制该设备的用户访 问来自公司内部的数据的能力。上面的实施例描述了节点400在特定环境中启动的情况。在替换 的实施例中,节点400可以在一个环境中启动并移动到不同的环境 中。LAA420可配置成持续地监控WNIC 435以监控网络状态的任何 改变。如果发生状态改变,则LAA 420可以重复上述的处理以确定 网络是否仍旧存在(即,设备是否仍旧连接到网络),如果是,则确定 其是在公司网内还是在外部网上。举例来说,如果节点400在公司网100内启动并移动到外部网 150,则LAA420可以检测到网络状态的变化并重复上述的网络识别 处理。在一个实施例中,当LAA 420确定其在外部网150上时,其 可以以配置用于非安全环境的一组安全性控制来启动新的分区("新用户分区450")(如图4B中所示)。LAA 420和VMM 425然后可以 对于用户透明地将用户的执行环境从(由用于安全分区的安全性控制 所管理的)用户分区405转移至新用户分区450,运行更加严格的安全 性控制。VMM425然后可继续维护用户分区405或将其关闭。例如, 在系统管理员知道特定的设备会频繁地在公司网IOO和外部网150之 间漫游的情况下,系统管理员可以配置VMM425来维护用户分区405 以在将来当节点400移动回公司网100时使用(在下面进一步详细描 述)。在一个实施例中,节点400可在外部网150上启动并移动至公司 网100,或者在上述的情况下,简单地返回到公司网100。根据该实 施例,LAA420可以再次检测网络状态的改变并重复上述的网络识别 处理。当检测到节点400再次运行在安全环境内时,LAA420和VMM 425可以以用于安全环境的安全性控制来启动新的分区,并将用户的 执行环境移动至新的VM。或者,如上所述,如果VMM425继续维 护VM 405,则VMM 425可简单地将用户的执行环境转移回VM 405(从而避免了与启动新的分区相关联的启动成本)。根据本发明的实施例,基于节点400的位置,系统管理员可对于 数据访问定义变化的安全性级别。因此,例如,如果确定节点400在 公司网100上,则用户可被允许无限制地访问平台上的所有数据。然 而,如果确定节点400在外部网150上,则VMM 425可通过实现用 于非安全环境的安全性控制的分区(例如,新用户分区445)来仅允许访问特定类型的数据。换言之,如果用户在安全环境内,则用户可以 无限制地访问平台上的所有数据,但是如果用户移动到非安全的环 境,则本发明的实施例可以利用上述的安全的位置感知方案来限制数 据访问。举例来说,在上述的节点400从公司网100移动到外部网150的 情况下,如前所述,LAA420可以检测网络状态的改变。根据本发明 的一个实施例,当检测到节点400正在非安全的网络内运行并且以不 同的一组安全性控制启动新的分区时,LAA420和VMM 425还可以 限制可由该新的分区访问的数据。因此,上述的新用户分区450可以不仅仅包括被定制用于非安全环境的一组不同的安全性控制,其还可以包括用于保护节点400上的特定类型的数据的数据限制。对于本领 域普通技术人员来说显而易见的是,数据限制可以以各种方式来实现 而不背离本发明的实施例的主旨。在一个实施例中,例如,LAA420 和VMM 425可以简单地将用户分区405维护为可访问节点400上的 所有数据,但是当新用户分区450运行时禁止网络访问用户分区405。 因此,本发明的各个实施例可对上述的位置感知安全性方案进行平 衡,以基于节点400的位置限制对数据的访问。如前所述,虽然上面的说明采用了虚拟化平台,但是本发明的实 施例支持各种安全分区类型。对于本领域普通技术人员来说显而易见 的是,可以利用各个平台特定的特征来增强本发明的实施例。例如, 在诸如Intel㊣公司的Core 2 Duo⑧的多核平台上,分区可以包括该平 台上存在的多个核中的一个。根据该实施例,该平台上的核中的一个 可专用于运行位置感知代理,从而将该代理与该平台上运行的其他分 区和/或应用程序隔离。在又一实施例中,位置感知代理可在平台上 的物理AMT分区内实现。无论分区的类型如何(物理的或虚拟的), 本发明的实施例都可利用位置感知代理,以能够将平台与网络隔离和 /或能够实现对平台的安全性控制以优化平台的安全性和性能。图5是示出了本发明的实施例的流程图。虽然随后的操作可描述 为顺序处理,但是许多操作实际上可以并行和/或同时执行。此外, 操作的次序可重新设置而不背离本发明实施例的主旨。在501,当启 动设备吋,位置感知代理可以开始监控该设备的网络状态。如果在 502没有检测到网络状态的改变,则位置感知代理可简单地继续监控 设备的网络状态。然而,如果在502检测到网络状态的改变,则位置 感知代理可在503确定设备上的NIC是否连接到网络。如果NIC没 有连接到网络,则位置感知代理可以使设备上的用户分区中的操作系 统能够在504启动而不用任何安全性控制(因为没有网络连接,从而 消除了对于网络安全性的顾虑)。在该实施例中,用户可访问设备上 的所有数据。然而,在503如果NIC连接到网络,则位置感知代理然后在505可尝试联系公司网内的各种基础设施组元。在505如果位置感知代理 不能连接到任何公司基础设施组元,则位置感知代理然后在506检查 用户分区以确定所执行的安全性控制的类型。如果在用户分区执行的 安全性控制是设计来用于安全的分区的,则位置感知代理然后在507 使得用户分区能够连接到网络。根据该实施例,位置感知代理还可通 过禁止或限制网络访问数据来施加对于用户分区中数据的访问限制。然而,如果安全性控制被定制为用于非安全环境,则位置感知代 理在508可确定适合的动作过程。例如,位置感知代理可以开始具有 更严格的安全性控制的新的分区,并且在509,代理和虚拟机管理器 可将用户的执行环境转移到该新的分区。在一个实施例中,代理和虚 拟机管理器还可限制对用户分区中数据的访问,使数据不可被该新的 分区访问。当转移到具有提高的安全性控制的新的分区时,位置感知 代理在510可使该新的分区能够连接到网络。对于本领域普通技术人 员来说显而易见的是,在替换的实施例中,位置感知代理可以实现各 种其他的动作过程而不背离本发明实施例的主旨。在505如果位置感知代理能够连接到一个或更多个公司基础设 施组元,则在511该代理确定设备是否正在运行提高的安全性控制。 如果不是,则位置感知代理和虚拟机管理器在512可使分区能够在 507连接到网络。然而,如果设备正在运行提高的安全性控制,则位 置感知代理在513可确定适合的动作过程。因此,例如,在一个实施 例中,位置感知代理可关闭具有提高的安全性控制的分区,并在514 将用户执行环境转移到运行较不高的安全性控制的分区(因为对于设 备来说,当运行在公司网内时提高的安全性控制是不必要的)。而且, 在一个实施例中,位置感知代理可对用户分区中的数据施加限制。在一个实施例中,运行较不高的安全性控制的分区可以是主分 区,当设备最初从公司网移动到外部网时,虚拟机管理器继续维护该 主分区。在替换的实施例中,位置感知代理可在转移用户执行环境之 前启动具有较不高的安全性控制的主分区。对于本领域普通技术人员 来说显而易见的是,位置感知代理可采用各种动作而不背离本发明实 施例的主旨。根据本发明的实施例的计算平台可在各种计算设备上实现。根据 实施例,计算设备可以包括各种其他已知的组件,例如一个或多个处 理器。处理器和机器可访问介质可使用桥/存储器控制器来可通信地 耦合,并且处理器可以能够执行存储在该机器可访问介质中的指令。 该桥/存储器控制器可以耦合到图形控制器,并且该图形控制器可以 控制显示设备上的显示数据的输出。桥/存储器控制器可以耦合到一 个或多个总线。这些组元中的一个或多个可与处理器集成在单个封装上,或者使用多个封装或管芯。诸如通用串行总线("USB")主机控 制器之类的主机总线控制器可以耦合到总线,并且多个设备可以耦合 到USB。例如,诸如键盘和鼠标之类的用户输入设备可以包括在计 算设备中,以提供输入数据。在替换的实施例中,主机总线控制器可 与各种其他的互连标准兼容,所述互连标准包括PCI、 PCIExpress、 Fire Wire以及其他这样的现有的和将来的标准。在前面的说明书中,已经参考本发明的特定的示例性实施例描述 了本发明。然而,显然可对其进行各种修改和改变而不背离在所附权 利要求中所阐述的本发明的更宽的主旨和范围。因此,本说明书和附 图应被视为说明性的而不是限制性的。
权利要求
1、一种方法,包括识别设备的网络状态的改变,所述设备包括安全分区和用户分区,所述安全分区包括位置感知代理;所述位置感知代理确定所述设备是否连接到网络;如果所述设备连接到所述网络,则所述位置感知代理确定所述网络是否是安全的;如果所述网络是安全的,则所述位置感知代理在使所述用户分区中的操作系统能够访问所述网络之前对所述操作系统应用第一组安全性控制;以及如果所述网络是非安全的,则所述位置感知代理在使所述用户分区中的所述操作系统能够访问所述网络之前对所述操作系统应用第二组安全性控制。
2、 根据权利要求1所述的方法,其中所述第一组安全性控制不 同于所述第二组安全性控制,并且所述第二组安全性控制比所述第一 组安全性控制至少多施加一个限制。
3、 根据权利要求1所述的方法,其中确定所述网络是否是安全 的进一歩包括尝试连接至己知的网络基础设施组元。
4、 根据权利要求1所述的方法,其中所述第一组安全性控制使 所述用户分区能够访问所述设备上的数据,并且所述第二组安全性控 制限制所述用户分区访问所述设备上的所述数据的至少一部分。
5、 根据权利要求1所述的方法,其中所述安全分区是主动管理 技术("AMT")、可管理引擎("ME")、平台资源层("PRL")、虚 拟机("VM")和独立的处理器核中的至少一个。
6、 根据权利要求1所述的方法,其中所述设备是无线设备。
7、 一种计算设备,包括 网络接口卡;用户分区,其耦合至所述网络接口卡;安全分区,其耦合至所述网络接口卡和所述用户分区,所述安全 分区管理所述用户分区对所述网络接口卡的访问;位置感知代理,其耦合至所述安全分区和所述用户分区,所述位 置感知代理能够确定所述计算设备是否连接到网络,如果所述计算设 备连接到所述网络,则所述位置感知代理能够确定所述网络是否是安 全的,如果所述网络是安全的,则所述位置感知代理能够在使所述用 户分区中的操作系统能够访问所述网络之前对所述操作系统应用第 一组安全性控制,以及如果所述网络是非安全的,则所述位置感知代 理能够在使所述用户分区中的所述操作系统能够访问所述网络之前 对所述操作系统应用第二组安全性控制。
8、 根据权利要求7所述的计算设备,进一步包括存储区域,其 耦合至所述安全分区和所述用户分区,所述存储区域包括可由所述安 全分区和所述用户分区访问的数据,所述第一组安全性控制和所述第 二组安全性控制对所述用户分区访问所述数据施加限制,所述第二组 安全性控制比所述第一组安全性控制至少多施加一个访问限制。
9、 根据权利要求7所述的计算设备,其中所述安全分区是主动 管理技术("AMT")、可管理引擎("ME")、平台资源层("PRL")、 虚拟机("VM")分区和独立的处理器核中的至少一个。
10、 一种产品,其包括机器可访问介质,所述机器可访问介质具 有存储在其上的指令,当所述指令被机器执行时使得所述机器识别设备的网络状态的改变,所述设备包括安全分区和用户分区;确定所述设备是否连接到网络;如果所述设备连接到所述网络,则确定所述网络是否是安全的; 如果所述网络是安全的,则在使所述用户分区中的操作系统能够访问所述网络之前对所述操作系统应用第一组安全性控制;以及如果所述网络是非安全的,则在使所述用户分区中的所述操作系统能够访问所述网络之前对所述操作系统应用第二组安全性控制。
11、 根据权利要求IO所述的产品,其中所述第一组安全性控制 不同于所述第二组安全性控制,并且所述第二组安全性控制比所述第 一组安全性控制至少多施加一个限制。
12、 根据权利要求IO所述的产品,其中当所述指令被机器执行 时,使得所述机器通过尝试连接到已知的网络基础设施组元来确定所 述网络是否是安全的。
13、 根据权利要求IO所述的产品,其中所述第一组安全性控制 使所述用户分区能够访问所述设备上的数据,并且所述第二组安全性 控制限制所述用户分区访问所述无线设备上的所述数据的至少一部 分。
14、 根据权利要求10所述的产品,其中所述设备是无线设备。
全文摘要
一种方法、装置和系统能够实现安全的位置感知平台。具体而言,本发明的实施例可利用平台上的安全处理分区来确定平台的位置,并相应地动态应用和/或改变安全性控制。
文档编号G06F21/00GK101257413SQ20071030687
公开日2008年9月3日 申请日期2007年10月17日 优先权日2006年10月17日
发明者D·摩根 申请人:英特尔公司