JP2013506208A - ポータブルデスクトップをプロビジョニングする方法およびシステム - Google Patents

ポータブルデスクトップをプロビジョニングする方法およびシステム Download PDF

Info

Publication number
JP2013506208A
JP2013506208A JP2012531197A JP2012531197A JP2013506208A JP 2013506208 A JP2013506208 A JP 2013506208A JP 2012531197 A JP2012531197 A JP 2012531197A JP 2012531197 A JP2012531197 A JP 2012531197A JP 2013506208 A JP2013506208 A JP 2013506208A
Authority
JP
Japan
Prior art keywords
user
data
portable desktop
account
user account
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2012531197A
Other languages
English (en)
Inventor
ローレンス ハミッド,
Original Assignee
イメーション コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by イメーション コーポレイション filed Critical イメーション コーポレイション
Publication of JP2013506208A publication Critical patent/JP2013506208A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

周辺ポータブルデスクトップデバイスを提供するための方法が開示される。周辺ポータブルデスクトップデバイスは、ワークステーションと結合される。周辺ポータブルデスクトップデバイス内に記憶するための画像に関連するデータファイルが提供される。画像は、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、セキュア化されたデータを含む。周辺ポータブルデスクトップデバイス内には、画像を反映するデータが記憶される。次いで、第1のユーザは、第1のユーザ承認データを提供することによって、周辺ポータブルデスクトップデバイスに対して承認される。第1のユーザに対して、第1のユーザ承認データに基づいて、セキュア化されたユーザアカウントが作成される。

Description

本発明は、概して、電子的デバイスのプロビジョニングの分野に関し、より具体的には、ポータブルの個別化されたデスクトップの機能性をサポートするデバイスのプロビジョニングに関する。
ポータブルデスクトップの概念は、データ処理システムおよびデータ処理ネットワークの分野において周知である。ポータブルデスクトップは、概して、ユーザが、例えば、ネットワークに接続された、ある数のコンピュータのうちのいずれか上に再構築することができる、パーソナルデスクトップを指す。パーソナルデスクトップという用語によって含意されるのは、例えば、電子メール、予定、パーソナルファイル等を含む、各ユーザと関連付けられたプライベートデータである。精通し、個別化されたインターフェースの効果を犠牲にすることなく、ユーザに、より多くの数のデバイスを使用可能にすることによって、ポータブルデスクトップは、移動性および便宜性を大幅に拡大する潜在性を有することになる。典型的には、ポータブルデスクトップは、ネットワーク内に、各ユーザ毎の個別化されたファイルシステムまたはディレクトリを記憶することによって達成される。ユーザのデスクトップ、ファイル、およびホームディレクトリをポータブルにするために、ユーザのファイルシステムまたはディスクは、ネットワークで結ばれる。本モデルは、残念ながら、例えば、ルートシステムアドミニストレータが、ユーザのパーソナル電子メール、ファイル等をスヌーピングし、読み取る等、セキュリティの喪失につながる可能性がある。
本問題を解決するための試みの1つとして、パーソナルデータデバイスドライブを各ユーザに配布することが想定される。ユーザのパーソナルディレクトリは、パーソナルドライブ上に記憶される。ユーザが、特定のコンピュータを使用して、ネットワークに接続すると、パーソナルドライブが、機械の適切なスロットに挿入される。ドライブを機械に「ホットプラグ」した後、ネットワークワークステーションは、パーソナルディレクトリをパーソナルドライブ上にマウントし、個別化されたインターフェースをユーザに提供する。しかしながら、ユーザに、そのポータブルディスクへのアクセスを所望する度に、フィールドのインストールおよびディスクドライブ構成を行うことを要求することと関連付けられたコストならびに不便さは、本ソリューションを非実践的にすることを理解されたい。さらに、パーソナルデスクトップアプリケーションをサポートする各コンピュータのためのソフトウェアは、カスタムであって、したがって、パーソナルデスクトップおよびそれと関連付けられたすべてのデータの使用を限定する。
これを克服するために、現在、ポータブル周辺記憶デバイス上にポータブルデスクトップアプリケーションおよびデータを記憶することが提案されている。これは、ポータビリティおよび可用性の問題を解決するが、多くのユーザが単一管理下で管理されるとき、そのようなシステムを管理することは困難である。
例えば、10,000人のユーザがそれぞれ、同一企業において、その業務のために、ポータブルデスクトップが提供される場合、ポータブルデスクトップオペレーティングシステムおよびデータは、10,000回、インストールされなければならない。各インストールは、ホストコンピュータを占有し、膨大な時間がかかるであろう。30台のコンピュータが、並列にインストールを実行し、オペレーティングシステム(O/S)およびソフトウェアのインストールに1時間しかかからなかった場合でも、結果として生じるプロビジョニングは、誰かがプロビジョニングだけ行うために、333人時または8週間を要するであろう。実際、インストールプロセスは、例えば、内部ハードドライブデータアクセス速度と比較して、多くのポータブルデバイスがデータアクセス速度が限定されているため、より時間がかかる。これは、IT部署のリソースに、プロビジョニングをサポートするという過度の負担を課すことになり、したがって、実践的ではない。
したがって、セキュリティを犠牲にすることなく、かつ先行技術のコストおよび不便さを被ることなく、個別化されたポータブルデスクトップの効果をサポートするシステムおよび方法を提供することが望ましいであろう。
本発明によると、複数の周辺ポータブルデスクトップデバイスを事前プロビジョニングする方法であって、複数の周辺ポータブルデスクトップデバイスを提供するステップと、周辺ポータブルデスクトップデバイス内に記憶するための画像に関連するデータファイルを提供するステップであって、画像は、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、セキュア化されたデータを含む、ステップと、複数の周辺ポータブルデスクトップデバイスのそれぞれに、ほぼ同一の画像を反映するデータを並列に記憶するステップと、を含む、方法が提供される。
本発明の別の局面によると、周辺ポータブルデスクトップデバイスであって、筐体と、ホストコンピュータと結合するためのポートと、仮想ユーザのユーザアカウントのためにセキュア化されたデータを含む、その中に記憶されたポータブルデスクトップデータを有し、セキュア化されたデータは、仮想ユーザのユーザ承認データがない限り、アクセス不可能であって、仮想ユーザのユーザ承認データは、ポータブルデスクトップデバイスのプロビジョニングのための最終プロセスで使用するためのものである、データ記憶媒体と、を含み、ポータブルデスクトップは、仮想ユーザ以外の第1のユーザにプロビジョニングされてからのみ実行可能である、デバイスが提供される。
本発明の別の実施形態によると、周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、事前プロビジョニングされた周辺ポータブルデスクトップデバイスを受信するステップであって、周辺ポータブルデスクトップデバイスは、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、仮想ユーザアカウント内のセキュア化されたデータを含む、その中に記憶されたデータを有する、ステップと、周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認するステップと、仮想ユーザアカウントが、承認データに基づいてセキュア化されるように、仮想ユーザのアカウントを修正するステップと、を含む、方法が提供される。
本発明の別の実施形態にによると、周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、事前プロビジョニングされた周辺ポータブルデスクトップデバイスを受信するステップであって、周辺ポータブルデスクトップデバイスは、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、セキュア化されたデータを含む、その中に記憶されたデータを有する、ステップと、第1のユーザ承認データを提供することによって、周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認するステップと、第1のユーザのためのユーザアカウントを作成するステップであって、セキュア化されたユーザアカウントは、第1のユーザ承認データに基づく、ステップと、ユーザアカウントを介して、仮想ユーザのアカウントにアクセスするステップと、ユーザアカウントを、ユーザアカウントへのアクセスに応じて、仮想ユーザのアカウントにアクセスするように構成するステップと、を含む、方法が提供される。
本発明の別の実施形態によると、周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、周辺ポータブルデスクトップデバイスを提供するステップと、周辺ポータブルデスクトップデバイス内に、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、セキュア化されたデータを含む、画像を反映するデータを記憶するステップと、第1のユーザ承認データを提供することによって、周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認するステップと、第1のユーザのためのユーザアカウントを作成するステップであって、セキュア化されたユーザアカウントは、第1のユーザ承認データに基づく、ステップと、ユーザアカウントを介して、仮想ユーザのアカウントにアクセスするステップと、ユーザアカウントを、ユーザアカウントへのアクセスに応じて、仮想ユーザのアカウントにアクセスするように構成するステップと、を含む、方法が提供される。
本発明の他の目的および利点は、以下の発明を実施するための形態を熟読し、付随の図面を参照することによって、明白となるであろう。
図1は、ユニバーサルシリアルバス(USB)メモリ鍵の形態における、ポータブル周辺メモリ記憶デバイスの簡略化されたブロック図である。 図2は、ポータブルデスクトップデバイスをプロビジョニングする方法のための簡略化されたフロー図である。 図3は、デスクトップの仮想化をサポートする、ポータブルデスクトップデバイスのための簡略化されたメモリの略図である。 図4は、ポータブルデスクトップデバイスをプロビジョニングするための方法の簡略化されたフロー図である。 図5は、複数のポータブルデスクトップデバイスを事前プロビジョニングする方法のための簡略化されたフロー図である。 図6は、ポータブルデスクトップデバイスをプロビジョニングするための最終プロセスを行う方法のための簡略化されたフロー図である。
図1を参照すると、先行技術のポータブル周辺メモリ記憶デバイス100が示される。デバイスは、USBコネクタ101と、筐体102と、を含む。USBコネクタ101が、パーソナルコンピュータ(図示せず)の形態でホストコンピュータ上の嵌合コネクタに結合されると、データは、ポータブル周辺メモリ記憶デバイス100とホストコンピュータとの間で交換される。USB通信回路103は、ホストコンピュータ内の別のUSB通信回路と通信する。USB通信回路103はさらに、マイクロコントローラの形態でプロセッサ104と通信する。プロセッサは、順に、ポータブル周辺メモリ記憶デバイス100内の静的ランダムアクセスメモリ(静的RAM)105と通信する。
電源が投入されると、先行技術の周辺メモリ記憶デバイスは、ホストコンピュータシステムと相互作用を開始し、そこから、電力を引き出す。相互作用は、ホストコンピュータシステムに、ホストコンピュータシステムによって、メモリ記憶デバイスとしてアクセスするためのポータブル周辺メモリ記憶デバイス100をマウントさせる。したがって、ポータブル周辺メモリ記憶デバイス100は、例えば、ホストコンピュータの他の記憶デバイスとともにリストされる、記憶デバイスとして現れる。ポータブル周辺メモリ記憶デバイス100上にデータを記憶する、またはそこからデータを読み出すことが分かる。ポータブル周辺メモリ記憶デバイス100をホストコンピュータシステムから除去することによって、ローカルにおいて、またはポータブル周辺メモリ記憶デバイス100が搬送されるあらゆる場所のいずれかにおいて、その中に記憶されたデータのいずれかの別のホストコンピュータへのポータビリティを可能にする。
そのようなポータブル周辺メモリ記憶デバイス100は、ポータブルデスクトップをサポートするために使用することができる。この点において、ホストコンピュータのブートに先立って挿入されると、そのブートに応じて、ローカルハードディスクドライブは、無効にされ、ホストコンピュータは、周辺メモリ記憶デバイス100からブートされる。したがって、デスクトップ-オペレーティングシステムおよびユーザに提供されるユーザインターフェースは、ポータブルである。
図2を参照すると、ポータブル周辺メモリ記憶デバイス100をプロビジョニングする方法が示される。デバイスは、201において、ホストコンピュータシステムと結合される。202では、ポータブルデスクトップのためのポータブルデスクトップオペレーティングシステム、例えば、Windows(登録商標)を含む、光ディスクが、ホストコンピュータシステムと結合された光ディスクリーダに挿入される。次いで、ホストコンピュータシステムのユーザは、203において、インストーラアプリケーションを実行し、周辺メモリ記憶デバイス100上にポータブルデスクトップオペレーティングシステムをインストールする。オペレーティングシステムソフトウェアのためのインストールプロセスは、周知であって、時間がかかることを除いて、詳細には説明されないが、多くの場合、コンピュータシステムのユーザに対して、クエリへの応答を要求する。
ポータブルデスクトップオペレーティングシステムがインストールされると、204において、ホストコンピュータシステムは、リブートされ、205において、ポータブルデスクトップオペレーティングシステムが実行される。最初の実行時、ポータブルデスクトップオペレーティングシステムは、ホストコンピュータシステムのユーザに、206において、オペレーティングシステムをカスタマイズする機会を提供する。例えば、ユーザは、その独自のアカウントおよびパスワードを設定する。ポータブルデスクトップオペレーティングシステムの最初の実行が完了すると、ユーザは、207において、デバイス上にソフトウェアをインストール可能となる。
コンピュータ上にオペレーティングシステムをインストールしたことがある人には明白であるように、これは、時間がかかるプロセスであって、多くの場合、ハードディスクドライブに対して行われる時、30分を超える時間を要し、シリアルバスインターフェースを介して、静的ランダムアクセスメモリ[RAM]デバイスにインストールされる場合、遥かに多くの時間を要するであろう。デバイス上へのソフトウェアのインストールもまた、時間を要するであろう。
さらに、大企業のためのプロビジョニングの場合、また、ソフトウェアライセンスおよび用途を追跡記録することも重要であって、これは、各ユーザが、その独自のポータブルデスクトップをプロビジョニングする場合、困難である。したがって、多くの場合、すべてのオペレーティングシステムおよびアプリケーションソフトウェアを中心グループにプロビジョニングさせることが望ましい。これは、当然ながら、プロビジョニングにかかる時間の問題を解決するものではない。
セキュリティが問題であるとき、さらなる複雑性が存在する。IT部署が、各周辺ポータブルデスクトップデバイスをプロビジョニングする場合、各ユーザに割当および提供されるまで、それらのデバイスがセキュア化されている場合には、有利となるでろう。デバイスを改ざんする場合、それによって、組織のセキュリティが侵害させることになることは、残念であろう。
図3を参照すると、事前プロビジョニングされた周辺メモリ記憶デバイス300の簡略化されたメモリのブロック図が示される。周辺メモリ記憶デバイス300は、プロビジョニングされ、インストールされた、ユーザアカウントデータ空間302を含む。ユーザアカウントデータ空間302は、ポータブルデスクトップオペレーティングシステムメモリ空間304およびアプリケーションメモリ空間306と関連付けられる。したがって、ユーザアカウントデータ空間は、ポータブルデスクトップを動作させるように機能する。
周辺メモリ記憶デバイス300内に記憶されるユーザアカウントデータは、必ずしも、存在しないユーザである、仮想ユーザのためのものである。しかしながら、ユーザアカウントは、仮想ユーザに対してセキュア化され、したがって、単純なセキュリティ攻撃を被ることはない。したがって、周辺メモリ記憶デバイス300は、仮想ユーザに対してセキュア化されているため、いずれの一般ユーザにも使用不可能である。
図4を参照すると、最終プロビジョニングプロセスの簡略化されたフロー図が示される。新しく事前プロビジョニングされた周辺メモリ記憶デバイス300は、402において、ホストコンピュータに結合される。次いで、ホストコンピュータは、404において、ブートされ、周辺メモリ記憶デバイス300を受信する第1のユーザは、406において、指紋形態における認証データをそれに提供する。代替として、パスワード、声紋、網膜スキャン等の他の認証データが、周辺メモリ記憶デバイス300に提供される。次いで、周辺メモリ記憶デバイス300は、408において、提供された認証データによってセキュア化された第1のユーザのためのユーザアカウントを作成する。仮想ユーザのアカウントにアクセスするためのデータは、410において、ユーザアカウント内に記憶され、認証データによって、セキュア化される。したがって、412において、デバイスに対して認証することによって、実際のユーザである、第1のユーザは、仮想ユーザの事前にインストールされたオペレーティングシステムおよびアプリケーションへのアクセスを有する。次いで、414では、第1のユーザは、自身のためのアプリケーションおよびオペレーティングシステムをカスタマイズし、周辺メモリ記憶デバイス300が設定される。代替として、カスタマイズは、周辺メモリ記憶デバイス300をプロビジョニングするための最終プロセスの一部として、自動化される。
仮想ユーザのユーザデータにアクセスするために、パスワードが、ホストシステムから周辺メモリ記憶デバイス300に提供される。代替として、パスワードは、認証プロセスによって、自動的に提供される。さらに代替として、パスワードは、管理者によって、手動で提供される。
例えば、パスワードは、すべての事前プロビジョニングされた周辺メモリ記憶デバイスにわたって、ソフトウェアアプリケーションが、仮想ユーザアカウントをロック解除し、仮想ユーザパスワードを変更できるように、同一パスワードである。代替として、パスワードは、周辺メモリ記憶デバイス300の識別子のエンコードされたバージョン、例えば、その製造番号のハッシュである。これが該当する場合、エンコードプロセスの知識によって、パスワードは、ホストコンピュータシステムの実行の際、例えば、ソフトウェアプロセスによって、周辺メモリ記憶デバイス300から製造番号を読み出すことによって決定可能である。さらに代替として、パスワードは、ドングル等のセキュアデバイスによって、あるいは暗号鍵供託または鍵データベースによって決定される。
第1のユーザアカウントが設定されると、典型的には、仮想ユーザのためのパスワードは、長いランダムまたは予測困難であって、多少一意であるパスワードに変更される。したがって、プロビジョニングソフトウェアまたはデバイスでさえ、もはや、事前プロビジョニングパスワードを介して、周辺メモリ記憶デバイス300へのアクセスを有していない。
オプションで、新しいパスワードは、第1のユーザアクセス承認情報が忘却される、または損傷を受ける場合、あるいは第1のユーザがもはや利用可能ではない場合、管理者によってアクセス可能な管理メモリ空間内の周辺メモリ記憶デバイス300に記憶される。代替として、新しいパスワードは、パスワードデータベースまたはパスワード供託サービスに提供される。
例えば、ポータブルデスクトップデータが、仮想ユーザアカウント内に記憶されるとき、第1のユーザがもはや利用可能ではない場合、デバイスは、管理者が、仮想ユーザアカウントのためのパスワードへのアクセスを有する限り、仮想ユーザアカウントにアクセスする別のアカウントを設定することによって、再プロビジョニングすることができる。
単一ポータブルデスクトップが共有されるべきとき、複数のユーザアカウントが、同一仮想ユーザアカウントへの各アクセスに設定される。したがって、すべての変更は、同一ポータブルデスクトップデバイスのユーザ間で共有される。代替として、ユーザが、ポータブルデスクトップのいずれの局面も共有しないとき、事前プロビジョニングは、オプションで、同一デバイス内の多数の仮想ユーザアカウント、または代替として、同一デバイス内の多数の別個のポータブルデスクトップメモリパーティションを提供する。最終プロビジョニングプロセスの際、各パーティションまたは各仮想ユーザアカウントは、異なる認証データと別個に関連付けられる。
図5を参照すると、短時間枠内で多くのデバイスを事前プロビジョニングするためのプロビジョニング方法の簡略化されたフロー図が示される。501では、デバイスは、デバイスデータライターに並列に挿入される。仮想ユーザデータを伴う、事前プロビジョニングされたオペレーティングシステムおよびアプリケーションの画像が、502において、デバイス内の記憶のために提供される。次いで、画像は、503において、デバイスのすべてに並列に記憶される。
データが並列に記憶されると、各デバイスは、オプションで、504において、仮想ユーザアカウントのための新しいパスワードをその中に書き込むことによって、カスタマイズされる。例えば、各デバイスの製造番号に関連するパスワードが記憶される。代替として、デバイスはすべて、同じパスワードによって事前プロビジョニングされる。次いで、デバイスは、505において除去され、セキュアなユーザアカウントとともに、セキュアな方法でそこに記憶されたオペレーティングシステムおよびアプリケーションデータの事前プロビジョニングされたバージョンを有する。各周辺メモリ記憶デバイスに対して、以前には数時間かかっていたものが、今は、多くのデバイスに対して、ほとんど時間がかからない。オプションで、データは、コンピュータインターフェース、例えば、ユニバーサルシリアルバス(USB)インターフェースがバイパスされるように、製造前または後のいずれかに、周辺メモリ記憶デバイスの静的RAM内に直接記憶される。各デバイス内の静的RAMは、第1のパスにおいて、並列に書き込むことが可能であるため、集積回路は、それとともに周辺メモリ記憶デバイスを製造する前に、プログラムすることができる。
事前プロビジョニングされたデバイスは、オプションで、インストールの任意の段階にある。ある実施形態では、事前プロビジョニングされたデバイスは、アプリケーションデータおよびインストールデータがすべて、実行のための準備ができているように、初回のために、既に実行された仮想ユーザアカウントの画像を有する。代替として、デバイスは、最初のオペレーティングシステム実行前に、画像によって事前プロビジョニングされ、各ユーザが、最初に、そのポータブルデスクトップを実行することを可能にする。さらに代替として、デバイスは、プロビジョニングの最終プロセスの際、デバイスに対するユーザの認証に応答して、ポータブルデスクトップおよびアプリケーションをインストールするためのソフトウェアによって事前プロビジョニングされる。
図6を参照すると、プロビジョニングの最終プロセスを行う別の方法の簡略化されたフロー図が示される。ここでは、周辺メモリ記憶デバイス300は、601において、ホストコンピュータ以外によって給電される。周辺メモリ記憶デバイス300は、デバイスをプロビジョニングする管理ユーザにアクセス可能な仮想ユーザのための事前プロビジョニング認証データによって、事前プロビジョニングされる。例えば、組織の管理者は、その指紋によりセキュア化された仮想ユーザセキュリティによって、事前プロビジョニングされたデバイスを有する。代替として、別の生体、パスワード、またはセキュアなハードウェアデバイスを使用して、仮想ユーザセキュリティをセキュア化する。第1のユーザは、602において、指紋の形態におけるその認証情報をデバイスに提供する。603では、デバイスは、認証情報によってセキュア化された第1のユーザのためのアカウントを形成する。管理ユーザは、604において、事前プロビジョニング認証データまたは事前プロビジョニング認証データにアクセスするための情報をデバイスに提供し、次いで、605において、第1のユーザアカウントは、仮想ユーザアカウントへのアクセスが提供される。次いで、仮想ユーザアカウントのためのパスワードが、606において変更され、変更されたパスワードは、607において、第1のユーザアカウントデータ内に記憶され、第1のユーザが、デバイスに対して認証するときは常時、仮想ユーザのアカウントへのアクセスを提供する。オプションで、608に示されるように、変更されたパスワードは、事前プロビジョニング認証データと関連付けられて記憶される。
事前プロビジョニングされたポータブルデスクトップデバイスをセキュア化することによって、プロビジョニングの最終プロセスが完了すると、セキュアまたは敏感なデータへのアクセスがサポートされるように、事前プロビジョニングの際、セキュアまたは敏感なデータをその中に記憶することが可能となることが想定される。例えば、それに遠隔からアクセスするための企業のサーバのそれぞれに対するパスワードおよびアクセス情報が、デバイスに書き込まれ、仮想ユーザアカウントにおいてセキュア化された画像内に記憶される。プロビジョニングの最終プロセスが完了すると、第1のユーザは、企業のサーバにアクセスすることが可能となる。有利には、セキュアまたは敏感なデータは、プロビジョニングの最終プロセスが行われる前後の両方に、デバイス内でセキュアな方法で記憶される。これは、事前プロビジョニングの柔軟性を向上させ、セキュアなデータをその中に含めることを可能にする。
多数の他の実施形態が、発明の精神または範囲から逸脱することなしに想起される。

Claims (27)

  1. 複数の周辺ポータブルデスクトップデバイスを事前プロビジョニングする方法であって、
    該方法は、
    該複数の周辺ポータブルデスクトップデバイスを提供することと、
    該周辺ポータブルデスクトップデバイス内に記憶するために、画像に関連するデータファイルを提供することであって、該画像は、セキュア化されたデータを含み、該セキュア化されたデータは、仮想ユーザのユーザ承認データがない場合にはアクセス不可能である、ことと、
    該複数の周辺ポータブルデスクトップデバイスのそれぞれの中に、該画像を反映するほぼ同一のデータを並列に記憶することと
    を含む、方法。
  2. 前記周辺ポータブルデスクトップデバイスは、それぞれ、ユニバーサルシリアルバス(USB)ポートを含む、請求項1に記載の方法。
  3. 周辺ポータブルデスクトップデバイスは、それぞれ、個人の衣服内に適合するようにサイズ設定および構成される筐体を含む、請求項1に記載の方法。
  4. 各周辺ポータブルデスクトップデバイスは、前記デバイスに対するユーザ認証がない限り、記憶されたデータの少なくとも一部へのアクセスを阻止するプロセッサを含む、請求項1に記載の方法。
  5. 前記画像は、仮想ユーザアカウントに関連するデータを含み、該仮想ユーザアカウントは、パスワードおよび生体認証情報のうちの少なくとも1つによって保護される、請求項1に記載の方法。
  6. 前記複数のポータブルデスクトップデバイスのそれぞれのパスワードおよび生体認証情報のうちの前記少なくとも1つが同じである、請求項5に記載の方法。
  7. 前記複数のポータブルデスクトップデバイスのそれぞれのパスワードおよび生体認証情報のうちの前記少なくとも1つは、該複数のポータブルデスクトップデバイスの購入者の管理者の管理パスワードおよび生体認証情報のうちの少なくとも1つである、請求項6に記載の方法。
  8. パスワードおよび生体認証情報のうちの前記少なくとも1つは、パスワードを含み、前記複数のポータブルデスクトップデバイスのそれぞれのパスワードは異なる、請求項5に記載の方法。
  9. 前記パスワードに関連するデータは、前記複数のポータブルデスクトップデバイスのそれぞれが、同一パスワードを記憶するように、前記画像内に存在し、
    該複数のポータブルデスクトップデバイスの少なくともいくつかにおける該パスワードを、該ポータブルデスクトップデバイスのハードウェアに基づいた決定論的であるパスワードに変更することを含む、請求項8に記載の方法。
  10. 前記画像は、複数の仮想ユーザアカウントのそれぞれに関連するデータを含む、請求項1に記載の方法。
  11. 周辺ポータブルデスクトップデバイスであって、
    筐体と、
    ホストコンピュータと結合するためのポートと、
    仮想ユーザのユーザアカウントのためにセキュア化されたデータを含むポータブルデスクトップデータが記憶されたデータ記憶媒体であって、該セキュア化されたデータは、仮想ユーザのユーザ承認データがない限りアクセス不可能であり、該仮想ユーザ該ユーザ承認データは、該ポータブルデスクトップデバイスのプロビジョニングのための最終プロセスにおいて使用するためのものである、データ記憶媒体と
    を含み、該ポータブルデスクトップは、該仮想ユーザ以外の第1のユーザに対してプロビジョニングされてからのみ実行可能である、デバイス。
  12. 前記ポートは、USBポートを含む、請求項11に記載の周辺ポータブルデスクトップデバイス。
  13. 前記ポートに結合されたシステムと通信し、前記ポータブルデスクトップデータをセキュアにするためのプロセッサを含む、請求項11に記載の周辺ポータブルデスクトップデバイス。
  14. 前記ポートに結合されたホストコンピュータシステムから独立して、ユーザのユーザ認証データを受信するためのユーザ認証データ入力ポートを含む、請求項13に記載の周辺ポータブルデスクトップデバイス。
  15. 周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、
    事前プロビジョニングされた周辺ポータブルデスクトップデバイスを受信することであって、該周辺ポータブルデスクトップデバイスは、仮想ユーザのユーザ承認データがない場合にはアクセス不可能である仮想ユーザアカウント内のセキュア化されたデータを含むデータが記憶されている、ことと、
    該周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認することと、
    該仮想ユーザアカウントが、該承認データに基づいてセキュア化されされるように、該仮想ユーザのアカウントを修正することと
    を含む、方法。
  16. 修正することは、前記仮想ユーザの承認データを介して、前記仮想ユーザアカウントにアクセスし、次いで、該仮想ユーザアカウントが、該承認データに基づいてセキュア化されるように、該仮想ユーザのアカウントを修正することを含む、請求項15に記載の方法。
  17. 周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、
    事前プロビジョニングされた周辺ポータブルデスクトップデバイスを受信することであって、該周辺ポータブルデスクトップデバイスは、仮想ユーザのユーザ承認データがない場合にはアクセス不可能であるセキュア化されたデータを含むデータが記憶されている、ことと、
    第1のユーザ承認データを提供することによって、該周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認することと、
    該第1のユーザのためのユーザアカウントを作成することであって、該セキュア化されたユーザアカウントは、該第1のユーザ承認データに基づく、ことと、
    該ユーザアカウントを介して、該仮想ユーザの該アカウントにアクセスすることと、
    該ユーザアカウントを、該ユーザアカウントへのアクセスに応じて、該仮想ユーザの該アカウントにアクセスするように構成することと
    を含む、方法。
  18. 前記仮想ユーザの承認データを第2のユーザ承認データに変更することを含む、請求項17に記載の方法。
  19. 前記承認データは、ランダムおよび疑似ランダムパスワードのうちの1つを生成し、前記第2のユーザ承認データとして使用することを含む、請求項18に記載の方法。
  20. 前記周辺ポータブルデスクトップデバイスの管理者セクション内に、前記第2のユーザ承認データを記憶することを含む、請求項18に記載の方法。
  21. 前記周辺ポータブルデスクトップデバイス外での記憶のための前記第2のユーザ承認データ提供することを含む、請求項18に記載の方法。
  22. 前記第1のユーザの認証データは、指紋データを含む、請求項17に記載の方法。
  23. 前記ポータブルデスクトップデバイスに対して管理者を認証することを含み、認証は、仮想ユーザアカウントにアクセスするためのものである、請求項17に記載の方法。
  24. 前記周辺ポータブルデスクトップデバイスから値を読み出すことを含み、前記仮想ユーザアカウントにアクセスするための認証データを決定する値に決定論的に基づく、請求項17に記載の方法。
  25. 第2のユーザ承認データを提供することによって、前記周辺ポータブルデスクトップデバイスに対して、第2のユーザを承認することと、
    該第2のユーザのための第2のユーザアカウントを作成することであって、前記第2のセキュア化されたユーザアカウントは、該第2のユーザ承認データに基づく、ことと、
    該第2のユーザアカウントを介して、前記仮想ユーザの前記アカウントにアクセスすることと、
    該第2のユーザアカウントを、該第2のユーザアカウントへのアクセスに応じて、該仮想ユーザのアカウントにアクセスするように構成する、ことと
    を含む、請求項17に記載の方法。
  26. 第2のユーザ承認データを提供することによって、前記周辺ポータブルデスクトップデバイスに対して第2のユーザを承認することと、
    該第2のユーザのための第2のユーザアカウントを作成することであって、前記第2のセキュア化されたユーザアカウントは、該第2のユーザ承認データに基づく、ことと、
    該第2のユーザアカウントを介して、第2の仮想ユーザのアカウントにアクセスすることと、
    該第2のユーザアカウントを、該第2のユーザアカウントへのアクセスに応じて、該第2の仮想ユーザのアカウントにアクセスするように構成することと
    を含む、請求項17に記載の方法。
  27. 周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、
    該周辺ポータブルデスクトップデバイスを提供することと、
    該周辺ポータブルデスクトップデバイス内に、仮想ユーザのユーザ承認データがない場合にはアクセス不可能であるセキュア化されたデータを含む画像を反映するデータを記憶することと、
    第1のユーザ承認データを提供することによって、該周辺ポータブルデスクトップデバイスに対して第1のユーザを承認することと、
    該第1のユーザのためのユーザアカウントを作成することであって、該セキュア化されたユーザアカウントは、該第1のユーザ承認データに基づく、ことと、
    該ユーザアカウントを介して、該仮想ユーザのアカウントにアクセスすることと、
    該ユーザアカウントを、該ユーザアカウントへのアクセスに応じて、該仮想ユーザのアカウントにアクセスするように構成することと
    を含む、方法。
JP2012531197A 2009-09-30 2010-09-30 ポータブルデスクトップをプロビジョニングする方法およびシステム Withdrawn JP2013506208A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/571,320 US8601532B2 (en) 2009-09-30 2009-09-30 Method and system for provisioning portable desktops
US12/571,320 2009-09-30
PCT/CA2010/001555 WO2011038505A1 (en) 2009-09-30 2010-09-30 Method and system for provisioning portable desktops

Publications (1)

Publication Number Publication Date
JP2013506208A true JP2013506208A (ja) 2013-02-21

Family

ID=43781824

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012531197A Withdrawn JP2013506208A (ja) 2009-09-30 2010-09-30 ポータブルデスクトップをプロビジョニングする方法およびシステム

Country Status (5)

Country Link
US (1) US8601532B2 (ja)
EP (1) EP2483801B1 (ja)
JP (1) JP2013506208A (ja)
CA (1) CA2776307C (ja)
WO (1) WO2011038505A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9792441B2 (en) 2009-09-30 2017-10-17 Kingston Digital, Inc. Portable desktop device and method of host computer system hardware recognition and configuration

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8555376B2 (en) * 2009-09-30 2013-10-08 Imation Corp. Method and system for supporting portable desktop with enhanced functionality
US8266350B2 (en) * 2009-09-30 2012-09-11 Imation Corp. Method and system for supporting portable desktop
US8601532B2 (en) 2009-09-30 2013-12-03 Imation Corp. Method and system for provisioning portable desktops
CA2776340C (en) 2009-11-13 2016-07-26 Imation Corp. Device and method for verifying connectivity
US9047442B2 (en) * 2012-06-18 2015-06-02 Microsoft Technology Licensing, Llc Provisioning managed devices with states of arbitrary type
US10530865B2 (en) * 2017-04-19 2020-01-07 Vmware, Inc. Offline sideloading for enrollment of devices in a mobile device management system
US11153318B2 (en) * 2018-11-26 2021-10-19 Microsoft Technology Licensing, Llc Altering device behavior with limited purpose accounts

Family Cites Families (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0912919B1 (en) 1996-07-25 2003-06-11 Peter David Collins Immobilisation protection system for electronic components and method therefor
US6370649B1 (en) * 1998-03-02 2002-04-09 Compaq Computer Corporation Computer access via a single-use password
US6249868B1 (en) 1998-03-25 2001-06-19 Softvault Systems, Inc. Method and system for embedded, automated, component-level control of computer systems and other complex systems
US6321335B1 (en) 1998-10-30 2001-11-20 Acqis Technology, Inc. Password protected modular computer method and device
US6571245B2 (en) 1998-12-07 2003-05-27 Magically, Inc. Virtual desktop in a computer network
US6980175B1 (en) 2000-06-30 2005-12-27 International Business Machines Corporation Personal smart pointing device
US6718463B1 (en) 2000-08-17 2004-04-06 International Business Machines Corporation System, method and apparatus for loading drivers, registry settings and application data onto a computer system during a boot sequence
US7117376B2 (en) 2000-12-28 2006-10-03 Intel Corporation Platform and method of creating a secure boot that enforces proper user authentication and enforces hardware configurations
US6754817B2 (en) 2001-01-25 2004-06-22 Dell Products L.P. Apparatus and method for detecting a change in system hardware configuration to reduce the amount of time to execute a post routine
US7069433B1 (en) * 2001-02-20 2006-06-27 At&T Corp. Mobile host using a virtual single account client and server system for network access and management
US7660756B2 (en) * 2001-05-09 2010-02-09 Sony Corporation Client terminal device, storage medium product, bank server apparatus, information transmitting method, information transmitting program, and information transmitting/receiving program
WO2003003295A1 (en) * 2001-06-28 2003-01-09 Trek 2000 International Ltd. A portable device having biometrics-based authentication capabilities
US7542867B2 (en) 2001-08-14 2009-06-02 National Instruments Corporation Measurement system with modular measurement modules that convey interface information
US7363354B2 (en) 2001-11-29 2008-04-22 Nokia Corporation System and method for identifying and accessing network services
US20030216136A1 (en) 2002-05-16 2003-11-20 International Business Machines Corporation Portable storage device for providing secure and mobile information
US7363363B2 (en) 2002-05-17 2008-04-22 Xds, Inc. System and method for provisioning universal stateless digital and computing services
US7055026B2 (en) 2002-07-26 2006-05-30 Sun Microsystems, Inc. Method and system for a portable adaptable operating environment identity
US7484089B1 (en) * 2002-09-06 2009-01-27 Citicorp Developmemt Center, Inc. Method and system for certificate delivery and management
US7441108B2 (en) 2002-11-19 2008-10-21 Ken Scott Fisher Portable memory drive with portable applications and cross-computer system management application
US7478248B2 (en) 2002-11-27 2009-01-13 M-Systems Flash Disk Pioneers, Ltd. Apparatus and method for securing data on a portable storage device
US7373451B2 (en) 2003-12-08 2008-05-13 The Board Of Trustees Of The Leland Stanford Junior University Cache-based system management architecture with virtual appliances, network repositories, and virtual appliance transceivers
US7555568B2 (en) 2004-02-28 2009-06-30 Huang Evan S Method and apparatus for operating a host computer from a portable apparatus
US20050235045A1 (en) 2004-03-05 2005-10-20 International Business Machines Corporation Portable personal computing environment server
US7293166B2 (en) 2004-03-05 2007-11-06 Hewlett-Packard Development Company, L.P. Method of indicating a format of accessing an operating system contained on a USB memory device
US20060080540A1 (en) 2004-10-08 2006-04-13 Robert Arnon Removable/detachable operating system
US7210166B2 (en) * 2004-10-16 2007-04-24 Lenovo (Singapore) Pte. Ltd. Method and system for secure, one-time password override during password-protected system boot
TW200615797A (en) 2004-11-12 2006-05-16 Vantech Software Co Ltd Computer-working-environment apparatus
US7712086B2 (en) 2004-12-15 2010-05-04 Microsoft Corporation Portable applications
US7809950B2 (en) * 2005-03-02 2010-10-05 Dell Products L.P. System and method for access to a password protected information handling system
US8065691B2 (en) 2005-07-01 2011-11-22 Sudhir Pendse User customized portable desktop
US8321953B2 (en) 2005-07-14 2012-11-27 Imation Corp. Secure storage device with offline code entry
US7668974B2 (en) 2005-11-01 2010-02-23 International Business Machines Corporation Method and system for local provisioning of device drivers for portable storage devices
CN101361082B (zh) 2005-12-15 2013-07-31 巴克莱投资银行 用于安全远程台式机访问的***和方法
EP1816821B1 (en) * 2006-02-01 2011-05-18 Research In Motion Limited System and method for validating a user of an account using a wireless device
CN100580642C (zh) * 2006-02-28 2010-01-13 国际商业机器公司 通用串行总线存储设备及其访问控制方法
US20080052770A1 (en) * 2006-03-31 2008-02-28 Axalto Inc Method and system of providing security services using a secure device
US7780080B2 (en) * 2006-04-24 2010-08-24 Encryptakey, Inc. Portable device and methods for performing secure transactions
US8176153B2 (en) * 2006-05-02 2012-05-08 Cisco Technology, Inc. Virtual server cloning
US7774829B2 (en) * 2006-06-20 2010-08-10 Lenovo (Singapore) Pte. Ltd. Computer access control using password reset
US9392078B2 (en) * 2006-06-23 2016-07-12 Microsoft Technology Licensing, Llc Remote network access via virtual machine
US20080052776A1 (en) 2006-08-25 2008-02-28 Nomadrive, Inc. Method and apparatus of an unintrusive plug and play application virtualization platform
US20080172555A1 (en) 2007-01-17 2008-07-17 Erink Technologies, Llc Bootable thin client personal initialization device
GB0706810D0 (en) 2007-04-05 2007-05-16 Becrypt Ltd System for providing a secure computing environment
US8024790B2 (en) * 2007-04-11 2011-09-20 Trend Micro Incorporated Portable secured computing environment for performing online confidential transactions in untrusted computers
US8065676B1 (en) * 2007-04-24 2011-11-22 Hewlett-Packard Development Company, L.P. Automated provisioning of virtual machines for a virtual machine buffer pool and production pool
US8104088B2 (en) 2007-05-11 2012-01-24 Microsoft Corporation Trusted operating environment for malware detection
US20080293450A1 (en) * 2007-05-21 2008-11-27 Ryan Thomas A Consumption of Items via a User Device
US20090132816A1 (en) 2007-11-15 2009-05-21 Lockheed Martin Corporation PC on USB drive or cell phone
CN101515161A (zh) 2008-02-18 2009-08-26 国际商业机器公司 集中能源管理方法和***
US20090260071A1 (en) * 2008-04-14 2009-10-15 Microsoft Corporation Smart module provisioning of local network devices
US7865573B2 (en) * 2008-05-29 2011-01-04 Research In Motion Limited Method, system and devices for communicating between an internet browser and an electronic device
US8335931B2 (en) 2008-06-20 2012-12-18 Imation Corp. Interconnectable personal computer architectures that provide secure, portable, and persistent computing environments
US8250247B2 (en) 2008-08-06 2012-08-21 Sandisk Il Ltd. Storage device for mounting to a host
US8621553B2 (en) * 2009-03-31 2013-12-31 Microsoft Corporation Model based security for cloud services
US8555376B2 (en) 2009-09-30 2013-10-08 Imation Corp. Method and system for supporting portable desktop with enhanced functionality
US8516236B2 (en) 2009-09-30 2013-08-20 Imation Corp. Portable desktop device and method of host computer system hardware recognition and configuration
US8266350B2 (en) 2009-09-30 2012-09-11 Imation Corp. Method and system for supporting portable desktop
US8601532B2 (en) 2009-09-30 2013-12-03 Imation Corp. Method and system for provisioning portable desktops
CA2776340C (en) 2009-11-13 2016-07-26 Imation Corp. Device and method for verifying connectivity

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9792441B2 (en) 2009-09-30 2017-10-17 Kingston Digital, Inc. Portable desktop device and method of host computer system hardware recognition and configuration

Also Published As

Publication number Publication date
US8601532B2 (en) 2013-12-03
CA2776307A1 (en) 2011-04-07
EP2483801A4 (en) 2015-04-08
WO2011038505A1 (en) 2011-04-07
CA2776307C (en) 2017-11-21
US20110078787A1 (en) 2011-03-31
EP2483801B1 (en) 2020-06-24
EP2483801A1 (en) 2012-08-08

Similar Documents

Publication Publication Date Title
CA2776307C (en) Method and system for provisioning portable desktops
US8839234B1 (en) System and method for automated configuration of software installation package
US8438400B2 (en) Multiple user desktop graphical identification and authentication
CN104205723B (zh) 用于透明地主存在云中的组织的身份服务
US9244671B2 (en) System and method for deploying preconfigured software
US20050289072A1 (en) System for automatic, secure and large scale software license management over any computer network
US20120254602A1 (en) Methods, Systems, and Apparatuses for Managing a Hard Drive Security System
US20090198698A1 (en) System and Method for Adding Multi-Leval Security to Federated Asset Repositories
US20070204166A1 (en) Trusted host platform
US20110138166A1 (en) Extensible Pre-Boot Authentication
US20110154023A1 (en) Protected device management
US11269984B2 (en) Method and apparatus for securing user operation of and access to a computer system
US10795581B2 (en) GPT-based data storage partition securing system
US9137244B2 (en) System and method for generating one-time password for information handling resource
CN109804598B (zh) 信息处理的方法、***及计算机可读介质
CN114745158A (zh) 对受保护的文件应用权利管理策略
KR20210151172A (ko) 기한 관리 서버, 에이전트·프로그램 및 단말 대출 시스템
JP2013506207A (ja) ポータブルデスクトップをサポートするための方法およびシステム
WO2009106176A1 (en) Dynamic creation of privileges to secure system services
JP2013506206A (ja) 機能性を強化したポータブルデスクトップをサポートする方法およびシステム
CN102170452A (zh) 一种针对云存储***的授权及管理方法
CN106295267B (zh) 一种访问电子设备的物理内存中私密数据的方法和装置
US8479281B2 (en) Authentication management methods and media
US11361294B2 (en) Systems and methods for creating and activating a license
US20200076781A1 (en) Access Manager for Linux Systems

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20131203