KR101530809B1 - 멀티-테넌트 서비스 제공자에 의한 동적 플랫폼 재구성 - Google Patents

멀티-테넌트 서비스 제공자에 의한 동적 플랫폼 재구성 Download PDF

Info

Publication number
KR101530809B1
KR101530809B1 KR1020137034310A KR20137034310A KR101530809B1 KR 101530809 B1 KR101530809 B1 KR 101530809B1 KR 1020137034310 A KR1020137034310 A KR 1020137034310A KR 20137034310 A KR20137034310 A KR 20137034310A KR 101530809 B1 KR101530809 B1 KR 101530809B1
Authority
KR
South Korea
Prior art keywords
service provider
manageability engine
platform
processor
key
Prior art date
Application number
KR1020137034310A
Other languages
English (en)
Other versions
KR20140014295A (ko
Inventor
네드 엠. 스미스
산자이 바크시
수레쉬 수구마르
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20140014295A publication Critical patent/KR20140014295A/ko
Application granted granted Critical
Publication of KR101530809B1 publication Critical patent/KR101530809B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)

Abstract

컴퓨터 플랫폼 상의 관리성 엔진 또는 부속 프로세서는 관리성 엔진의 제조자에 의해 인가받은 서비스 제공자로부터, 그 플랫폼 내에 내장된 피쳐들의 활성화 및 이용에 대한 요청을 수신할 수 있다. 관리성 엔진은 서비스 제공자를 통해 권한에 대한 요청을 허가 서버에 대해 개시할 수 있다. 허가 서버는 서비스 제공자를 통하여, 서비스 제공자의 권한의 증거를, 그 서비스 제공자를 식별하는 인증서와 함께 제공할 수 있다. 그러면, 관리성 엔진은 인가를 받은 하나의 특정한 서비스 제공자에 의해서만, 관리성 엔진에 연결된 플랫폼 상의 피쳐들의 활성화를 가능하게 할 수 있다.

Description

멀티-테넌트 서비스 제공자에 의한 동적 플랫폼 재구성{DYNAMIC PLATFORM RECONFIGURATION BY MULTI-TENANT SERVICE PROVIDERS}
본 발명은 일반적으로 컴퓨터 시스템에 관한 것이고, 구체적으로는 서비스 제공자에 의해 그러한 컴퓨터 시스템 상의 피쳐들(features)을 선택적으로 작동시키는 것에 관한 것이다.
컴퓨터 시스템 및 그것의 컴포넌트들은 아마도 피쳐들의 세트를 구비할 수 있고, 그들 중 일부는 최종 사용자에 의한 구매 시에는 활성 상태가 아닐 수 있다. 그러면, 서비스 제공자는 예를 들어 수수료를 지불하고서, 현재 최종 사용자가 소유하는 플랫폼 상에서 그러한 피쳐들을 활성화하도록 인가받을 수 있다.
일례는 컴퓨터가 소정의 프로세서 속도를 가능하게 하는 특정한 스큐 레이트(skew rate)를 갖고서 판매될 수 있는 것이다. 특정한 서비스 제공자는 그 서비스 제공자가 제공하고자 하는 서비스를 작동시키기 위해 더 높은 속도를 가능하게 하기를 원할 수 있다. 그러면, 서비스 제공자는, 서비스 제공자가 판매된 대로의 프로세서 내에서 이용가능한 것보다 더 높은 스큐 레이트를 활성화할 수 있도록, 프로세서의 제조자와 합의를 할 수 있다. 그러한 활성화는 서비스 제공자로부터 제조자로의 요금을 발생시킬 수 있다. 그러면, 서비스 제공자는 활성화된 피쳐(이 경우에서는 더 높은 스큐 레이트)를 그 서비스 제공자가 제공하는 다른 피쳐들과 번들화(bundle)할 수 있다.
도 1은 본 발명의 일 실시예의 개략적인 도면이다.
도 2는 본 발명의 일 실시예에 대한 엔드-투-엔드 활성화 흐름이다.
도 3은 본 발명의 일 실시예에 대한 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 서비스 제공자에 대한 키 구조이다.
본 발명의 일부 실시예들에 따르면, 동적 플랫폼 재구성(dynamic platform reconfiguration)은 멀티-테넌트 서비스 제공자들(multi-tenant service providers)에 의해 가능해질 수 있다. 즉, 특정한 하드웨어 디바이스 제조자는 둘 이상의 서비스 제공자가 제조자의 하드웨어의 최종 사용자들에게 서비스를 제공하는 것을 인가할 수 있다. 일부 경우에서, 이것은 키 구조(key structure)를 이용하여 구현될 수 있는데, 그 키 구조는 하나의 서비스 제공자를, 그 최초의 서비스 제공자가 아마도 비용을 지불하고서 활성화한 하드웨어 피쳐를 다른 서비스 제공자들이 이용할 가능성으로부터 보호한다.
예로서, 특정한 서비스 제공자는 제조자가 판매한 프로세서 내에 본래 프로비져닝된 것보다 높은 스큐 레이트를 제공하기를 원할 수 있다. 서비스 제공자는 허가 서비스(permit service)를 이용하여 이것을 행할 수 있을 수 있다. 서비스 제공자는 프로세서 내에서 강화된 피쳐(enhanced feature)를 활성화하기 위한 허가를 얻기 위해, 컴포넌트 제조자에게 비용을 지불할 수 있다. 그러나, 그 서비스 제공자는 제2의 서비스 제공자가 나타나서 최종 사용자가 그 동일한 강화된 피쳐(이 경우에서는 더 높은 스큐 레이트)를 이용할 수 있게 하는 것을 원하지 않는데, 왜냐하면 제1 서비스 제공자는 업그레이드를 위해 비용을 지불하였고, 대가없이 그 피쳐를 획득한 제2 서비스 제공자와는 대등한 지위에서 경쟁할 수 없기 때문이다.
동시에, 하드웨어 디바이스 제조자는 하드웨어 디바이스를 업그레이드할 권한을 복수의 서비스 제공자에게 판매하는 것을 선호할 수 있다. 이것은 제조자에게는 더 큰 수익을 제공하고, 제조자의 최종 사용자/고객에게는 더 많은 서비스를 제공한다.
일부 실시예들에서, 이러한 이질적인 기회들 전부는 상이한 서비스 제공자들이 최종 사용자의 플랫폼 내에서 동일한 하드웨어 디바이스로 작업하는 것을 허용하는 허가 및 인증 체계의 조합에 의해 달성될 수 있다. 하드웨어 디바이스의 피쳐가 하나의 서비스 제공자에 의해 작동될 때, 그것은 그 서비스 제공자를 식별하는 인증서와 함께 작동되어, 제2 서비스 제공자가 하드웨어 디바이스의 제조자에게 어떠한 수수료도 지불하지 않고서 그 활성화된 동일 피쳐를 간단하게 이용할 수 없게 한다.
따라서, 도 1을 참조하면, 일 실시예에 따라, 클라우드 또는 컨티뉴엄(continuum) 컴퓨팅 환경이 실현될 수 있다. 클라우드(15)는 임의의 개수의 서비스 제공자 서버(12) 및 임의의 개수의 허가 서버(14)를 포함할 수 있지만, 본 예에서는 단 하나의 허가 서버만이 도시되어 있다. 일 실시예에서, 임의의 개수의 플랫폼(11)이 클라우드를 통해 서비스 제공자 서버들과 통신할 수 있고, 그 서비스 제공자 서버들은 결국에는 클라우드를 통해 허가 서버 또는 서버들과 통신할 수 있다.
저장소(17)는 관리성 엔진(manageability engine)(10)에 연결될 수 있다. 저장소는 광학, 반도체 또는 자기 메모리일 수 있다.
따라서, 특정한 플랫폼(11)에 서비스를 제공하기를 원하는 서비스 제공자는 서비스를 제공하는 데에 필요한 플랫폼(11) 상의 피쳐를 활성화하려고 시도할 수 있다. 예를 들어, 서비스 제공자는 특정한 플랫폼 상의 동작 속도를 증강시켜서, 그 서비스 제공자가 플랫폼으로 하여금 실행하게 하고 싶어하는 소정의 것들을 효율적으로 실행하기에 충분히 빠르게 플랫폼이 동작할 수 있게 되기를 원할 수 있다.
일 실시예에서, 서비스 제공자는 증강에 대한 허가를 얻기 위해 허가 서버와 접촉한다. 일부 경우들에서, 서비스 제공자에 의한 비용의 지불에 의해 허가가 얻어질 수 있다. 일 실시예에서, 제3자의 플랫폼을 업그레이드하기 위해, 서비스 제공자가 요금을 지불할 수 있다. 그러면, 아마도 서비스 제공자는 플랫폼(11)의 소유자 또는 아마도 소정의 다른 엔터티에 의해 보상을 받는다.
서비스 제공자는 플랫폼(11) 내의 관리성 엔진(10)에게 허가를 제시(present)한다. 관리성 엔진(10)은 서비스 프로세서 또는 부속 프로세서일 수 있으며, 이것은 일부 실시예들에서는 플랫폼의 중앙 처리 유닛과는 별개이며 그로부터 분리되어 있는 제2 프로세서이다. 그러나, 다른 구성들도 가능할 수 있다. 일부 실시예들에서, 관리성 엔진은 플랫폼의 나머지에 의해서는 액세스조차 가능하지 않을 수 있다.
다음으로, 관리성 엔진(10)은 플랫폼(11)의 능력들(capabilities)이 수정될 수 있게 하기 전에, 허가가 올바른지를 검증한다. 이것은 플랫폼의 남용을 방지하고, 아마도 플랫폼의 능력들 전부가 활성화되어 있지 않은 것으로 인해 더 낮은 가격으로 플랫폼 및/또는 관리성 엔진을 판매한 제조자의 이익에 대한 보상 체계를 시행한다.
다음으로, 플랫폼 피쳐가 활성화되는 경우, 일 실시예에서, 제2 서비스 제공자는 플랫폼(11) 상에서 그 피쳐를 이용할 수 없는데, 왜냐하면 피쳐는 하나의 특정한 서비스 제공자에 링크된 인증서에 관련해서만 활성화될 수 있기 때문이다. 따라서, 그러한 실시예에서는, 인증서를 갖지 않는 어떠한 다른 서비스 제공자도 플랫폼 상에서 활성화된 그 피쳐를 이용할 수 없다. 이것은 무료(free loading) 서비스 제공자들이 다른 서비스 제공자에 의해 활성화된 피쳐들로부터 이익을 얻고, 그에 의해 동등하지 않은 비용에 기반하여 경쟁하는 것을 방지한다.
따라서, 일 실시예에 따라, 도 2를 참조하면, 3개의 엔터티가 관여될 수 있다. 그들은 관리성 엔진(ME)(10), 서비스 제공자 서버(12) 및 허가 서버(14)이다.
관리성 엔진(10)은 일부 실시예들에서 호스트(즉, 플랫폼) 기반의 네트워크 위협으로부터 보호되는 동작들을 수행할 수 있다. 즉, 관리성 엔진은 플랫폼(11) 자체로부터뿐만 아니라, 플랫폼 외부에 있지만 네트워크를 통해 거기에 접속되어 있는 디바이스들로부터도 고립된다. 관리성 엔진은 플랫폼의 자원 및 실행 컨텍스트를 보호하기 위해, 서비스 제공자 및 허가 서버 둘 다에 의해 신뢰될 수 있다.
일부 실시예들에서, 서비스 제공자는 비대칭 키 및 신원 보호 기술(identity protection technology)에 기초하여 플랫폼의 소유자에게 서비스를 제공한다. 허가 서버는 서비스 제공자 및 플랫폼 최종 사용자의 이익을 위해 플랫폼의 피쳐들의 활성화를 가능하게 하기 전에, 서비스 제공자가 플랫폼 또는 관리성 엔진 제조자와의 적절한 현행의 비지니스 관계를 갖는 것을 확인한다.
따라서, 처음에는 참조번호(16)에서 나타난 바와 같이, 관리성 엔진(10)에 의해 로컬로 키가 생성될 수 있다. 그 키는 처음에는 어떠한 임의적인 트랜잭션을 수행하는 데에 이용될 수 없기 때문에 활성화되지 않는다. 다음으로, 참조번호(18)에 나타난 바와 같이, 관리성 엔진과 서비스 제공자 사이에 보안 또는 시그마 채널이 설정된다. 시그마 채널은 Intel Media Vault 기술에서 이용되는 용어이지만, 본 발명의 일부 실시예들에서 어떠한 보안 채널이라도 구현될 수 있다. 시그마 채널은 예를 들어 관리성 엔진이 최종 사용자에게 릴리즈되기 전에 관리성 엔진 내에 구축되는 서명된 Diffie-Hellman 키일 수 있다. 일 실시예에서, 시그마 채널은 Intel Corporation으로부터 입수가능한 EPID(enhanced privacy identification) 기술을 이용할 수 있다. EPID는 디바이스 소유자의 프라이버시를 보호하면서도 하드웨어 디바이스들의 원격 인증을 가능하게 하는 암호화 체계이다. 내장된 EPID 비밀 키를 갖는 하드웨어 디바이스는 소유자의 신원을 노출시키지 않고서, 그리고 검증자가 인증 시도를 링크할 수 있게 하지 않고서, 원격 당사자에게 자신이 하드웨어 제조자에 의해 인증된 유효한 디바이스임을 증명할 수 있다.
플랫폼이 진품(authentic)임을 입증하기 위해 동일 키가 이용될 수 있다. 그것은 예를 들어 허가 서버를 제어하는 동시에 서비스 제공자가 관리성 엔진을 포함하는 플랫폼의 피쳐들을 활성화하는 것을 인가하는 제조자에 의해 만들어졌기 때문이 진품일 수 있다. 키는 또한 관리성 엔진의 펌웨어 해시 및 버전 정보를 포함하는 관리성 엔진의 환경을 원격 위치들에 보고하기 위해서도 이용될 수 있다. 추가로, 키는 서비스 제공자에게 공개 키를 공개하는 데에도 이용될 수 있으므로, 서비스 제공자는 키를 검증하고 플랫폼이 진품임을 확인할 수 있다.
시그마 채널은 관리성 엔진과 서비스 제공자 사이에 공유 대칭 키를 생성하기 위해 Diffie-Hellman 키 교환을 이용하는 한편, 관리성 엔진이 합법적임을 입증하기 위해 EPID를 이용할 수 있다. 서비스 제공자는 관리성 엔진의 제조자에 의해 발행된 인증서를 제시하여, 관리성 엔진이 서비스 제공자가 제조자에 의해 인가받았음을 검증할 수 있게 한다. 다음으로, 참조번호(20)에 나타난 바와 같이, 서비스 제공자는 (GRP-RL, PRIV-RL 및 SIG-RL로서 식별되는) 키 취소의 목록(lists of key revocations)과, 서비스 제공자의 검증을 위한 전통적인 취소 목록(CRL)을 공급하기 위해 허가 서버(14)에 의존한다. 따라서, 권한이 취소된 서비스 제공자들이 관리성 엔진에 의해 쉽게 식별될 수 있어서, 인가받은 서비스 제공자들만이 관리성 엔진을 포함하는 플랫폼의 피쳐들을 수정할 것을 보장한다.
다음으로, 참조번호(22)에 나타난 바와 같이, 서비스 제공자는 관리성 엔진에 취소 목록을 공급하고, 그에 의해 EPID 서명 동작은 서비스 제공자가 EPID 서명 취소 상태를 결정하는 것을 허용하는 증거(proof)를 포함할 수 있다. 관리성 엔진은 서비스 제공자의 인증서에 대한 취소 상태를 수신한다. 다른 실시예에서, 관리성 엔진이 취소 목록을 처리할 수 없는 경우, 그것은 서비스 제공자를 통해 프록시되는 OCSP(Online Certificate Status Protocol) 리스폰더(responder)에 대신 의존할 수 있다. RFC 2560.11, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol, Network Working Group Request for Comments(1999년 6월)를 참조하기 바란다.
다음으로, 관리성 엔진은 블록(24)에 나타난 바와 같이, 넌스(nonce) 및 취소 목록에 서명하여, 보안 프로토콜 핸드쉐이크를 완료한다. 그에 더하여, 키에 대한 CSR(certificate-signing request)이 허가 서버로의 전달을 위해 서비스 제공자에 공급된다. 일 실시예에서, 인증서 서명 요청은 키의 합법성을 입증하는 EPID 서명된 속성들, 및 그것의 디폴트 구성 속성들을 포함한다. 다음으로, 관리성 엔진은 허가 서버로부터의 허가에 대한 요청을 개시한다.
다음으로, 참조번호(25)에 나타난 바와 같이, 서비스 제공자는 CA(certificate authority) 백엔드와 연계하여 작동하여 CSR을 검증한다. 이러한 검증은 키를 통한 EPID 서명의 검증을 포함할 수 있다. CA 서명은 CSR 내에 포함된 정보가 합법적임을 어써트하므로, 그것은 EPID 서명도 물론 검증해야 한다.
참조번호(26)에서, CA 백엔드는 키의 인증서를 발행하는데, 그것은 키가 어떻게 보호되는지를 나타내는 인증서 익스텐션(certificate extension)을 포함할 수 있다. 이것은 CSR 내에 포함된 EPID 증명을 그 인증서에 복제하는 것을 통해 달성될 수 있다.
그 후에, 참조번호(27)에서, 서비스 제공자는 허가 요청을 허가 서버에 중계하여, 허가 서버가 사용을 위해 키를 활성화하는 것을 인가한다. 허가는 또한 서비스 제공자가 그 키의 사용에 영향을 미치는 정책들을 통해 관리 상의 제어(administrative control)를 맡는 것을 인가할 수 있다.
다음으로, 참조번호(28)에서, 허가 서버는 허가 요청을 검증하고, 서비스 제공자의 비지니스 합의가 키의 활성화 및 관리성 엔진 내의 지원 피쳐들의 이용을 지원하는지를 체크한다. 일부 실시예들에서, 허가 서버는 또한 관리성 엔진이 서비스 제공자에 의해 요구되는 능력들을 지원할 수 있는지를 검증할 수 있다.
허가 서버는 또한 (참조번호(30)에 나타난 바와 같이) 적절한 경우들에서 관리성 엔진이 서비스 제공자와의 이용을 위해 키를 활성화하는 것을 인가하는 허가를 발행할 수 있다. 그러면, 서비스 제공자는 키를 이용하여, 사용자 플랫폼과 다른 플랫폼들이 어떻게 상호작용할 수 있을지를 제어하는 정책들을 구성하도록 인가받는다. 그러면, 서비스 제공자는 사실상 키 정책의 소유자가 된다. 참조번호(31)에서, 허가 서버는 서비스 제공자 및 활성화 이벤트를 상술하는 로그(log)를 업데이트하고, 이것은 일부 실시예들에서 서비스 제공자에게 요금을 부과하는 데에 이용될 수 있다.
다음으로, 참조번호(32)에서, 허가 서버에 의해 발행되는 허가는 서비스 제공자의 서버에 공급된다. 허가는 특정 플랫폼 및 특정 키에 특유한 것일 수 있다. 제2 또는 제3 키가 생성되는 경우, 제2 또는 제3 서비스 제공자가 키 소유자로서 이용될 수 있다.
일부 실시예들에서, 참조번호(34)에서, 서비스 제공자는 허가 서버와 관리성 엔진 간의 허가 흐름을 모니터링한다. 서비스 제공자는 또한 허가가 합법적인 허가 서버로부터 나온 것임을 검증할 수 있고, 서비스 제공자는 (참조번호(33)에 나타난 바와 같이) 활성화의 허가 서버 로그를 업데이트할 수 있다. 허가 서버 및 서비스 제공자 로그는 임의의 비지니스 합의를 따르는 계정 상세(accounting details)의 감사(audit)를 위해 오프라인으로 비교될 수 있다.
마지막으로, 관리성 엔진은 키를 활성화하고 관리성 엔진 능력들의 이용가능성을 인에이블하거나 필터링하는 것에 의해 허가를 설치한다. 예를 들어, 서비스 제공자는 강력한 멀티팩터 인증(multi-factor authentication)을 이용하도록 허가받을 수 있고, 이에 의해 관리성 엔진은 예를 들어 보안 입증에 관련된 서비스 제공자에 의해 소정 정책이 구성되는 것을 허용하도록 구성된다. 그러한 일례는 서명되는 메시지의 내용이 변경될 수 없는 WYSIWYS(What You See Is What You Sign)이다.
본 발명의 일 실시예에 따르면, 도 3에 도시된 흐름도는 관리성 엔진에 연관된 소프트웨어, 하드웨어 또는 펌웨어로 구현될 수 있다. 소프트웨어 실시예에서, 명령어들의 시퀀스는 광학, 자기 또는 반도체 저장 디바이스와 같은 비일시적인 컴퓨터 판독가능한 매체 상에 저장될 수 있다.
블록(40)에서 시작하여, 원하는 서비스에 대해 등록하기 위해, 관리성 엔진에 의해 서비스 제공자와의 보안 세션이 설정된다. 관리성 엔진은 블록(42)에 나타난 바와 같이, 시그마 채널과 같은 보안 채널을 통해, 서비스 제공자 공개 키를 획득할 수 있거나, 다른 예로서 일회용 패스워드(OTP) 시드(단 1회의 로그인 세션에 대해서만 유효함)를 협상한다. 다음으로, 관리성 엔진은 블록(44)에 나타난 바와 같이, 서비스 제공자의 공개 키 또는 시드를 소유자 주체 객체(owner principal object) 내에 저장한다.
다음으로, 블록(46)에서, 관리성 엔진은 키 EPID를 이용하여 허가 서버에 대해 플랫폼 신원 및 구성을 입증한다. 이러한 입증은 서비스 제공자를 통해 중계될 수 있다. 다음으로, 일부 실시예들에서, 관리성 엔진은 블록(48)에 나타난 바와 같이, 제조 시에 관리성 엔진에서 프로비져닝된 활성화 주체(activation principal)를 이용하여 이러한 주체에 대한 허가를 획득하고 검증한다. 다음으로, 관리성 엔진은 다이아몬드 블록(52)에서 허가가 올바른지를 체크한다. 올바르지 않은 경우, 참조 번호(72)에 나타난 바와 같이, 시그마 채널을 폐쇄하고 클린업을 수행하는 것에 의해 트랜잭션이 무효화된다. 허가가 올바르다면, 관리성 엔진은 일 실시예에서, 블록(54)에 나타난 바와 같이, 주체 메타데이터 내의 활성 비트를 참(true)으로 설정함으로써 이러한 주체 또는 서비스 제공자를 활성화한다.
관리성 엔진은 블록(56)에 나타난 바와 같이, 이러한 주체가 활성일 때 인에이블되는 플랫폼 능력들의 목록을 인스턴스화하는 것에 의해 허가를 설치한다. 다음으로, 관리성 엔진은 블록(58)에서 주체가 이용되기를 기다린다. 블록(60)에서, 주체 구조도 관리성 엔진에 로딩된다. 다이아몬드 블록(62)에서의 체크는 주체가 활성화되었는지를 판정한다. 활성화된 경우, 허가 구조 내의 각각의 관리성 엔진 능력에 대하여(블록(64)), 다이아몬드 블록(63)에서의 체크는 그 능력이 활성인지를 판정한다. 활성인 경우, 그 능력은 블록(66)에서 활성화되고, 주체(키 또는 시드)에 대해 동작이 수행되며(블록(68)), 다음으로 흐름은 블록(70)에 나타난 바와 같이 되돌아간다.
도 2 및 도 3에 도시된 시퀀스들은 하드웨어, 소프트웨어 및/또는 펌웨어로 구현될 수 있다. 소프트웨어 실시예에서, 시퀀스는 예를 들어 저장소(17)를 포함하는 광학, 자기 또는 반도체 메모리와 같은 비일시적인 컴퓨터 판독가능한 매체 상에 저장된 명령어들에 의해 구현될 수 있다. 저장소(17)는 또한 제조자에 의해 포함된 서명된 키, 및 플랫폼 피쳐를 활성화한 특정 서비스 제공자를 식별하는 키 또는 시드를 저장할 수 있다.
따라서, 일부 실시예들에서, 플랫폼 자원의 소유권은 복수의 서비스 제공자에게로 확장될 수 있다. 그러나, 키 또는 시드와 같은 일부 자원들은 공유되지 않는 한편, 관리성 엔진 실행 환경과 같은 다른 자원들은 공유된다. 허가는 어느 자원이 서비스 제공자가 사용하도록 인가되는지를 지정한다. 플랫폼은 또한 HECI(host embedded controller interfaces)와 같은 보안 인터페이스들을 통해 도달하는 요청에 기초하여, 자원들에 대한 액세스 제어를 동적으로 시행한다. 관리성 엔진은 커맨드를 서비스할 때 이용되는 키 또는 시드를 추적함으로써 상이한 서비스 제공자들을 구별할 수 있다. 그러므로, 키 또는 시드는 세션을 인증한다. 세션은 플랫폼뿐만 아니라 관리성 엔진 내의 어느 자원들이 그 세션에 보일 수 있는지를 알기 위해 허가를 이용한다.
인증된 세션은 서비스 제공자가 강화된 플랫폼에 의해 제공되는 다른 기술과 함께 번들화된 도난 방지 서비스를 제공하는 것과 같이, 서비스 제공들을 번들화하는 것을 허용한다. 일부 실시예들에서, 허가는 번들 구성을 지정한다. 번들화는 또한 각각의 서비스 제공자가 그 서비스 제공자에 특유한 보안 및 구성 정책들을 지정하는 것을 허용한다. 예를 들어, 하나의 서비스 제공자는 2팩터 인증이 필요함을 지정할 수 있는 한편, 다른 서비스 제공자는 3팩터 인증이 필요하다고 지정할 수 있고, 소정의 다른 서비스 제공자는 어떠한 인증도 전혀 필요하지 않다고 지정할 수 있다.
도 4는 사용자 또는 머신 주체를 표현하는 관리성 자원들의 관계의 일 실시예를 보여준다. 각각의 주체는 다른 주체 및 사용 정책과 연관지어질 수 있다. 각각의 객체 클래스는 다음과 같이 기술될 수 있다. 주체 또는 주요 주체는 1..m의 카디널리티(cardinality)를 가질 수 있다. 주체는 공개 및 비밀 컴포넌트들을 포함하는 키일 수 있다. 비밀 컴포넌트들은 키 값들이 관리성 엔진의 외부에서 취해질 때마다 기밀성(confidentiality)을 위해 랩핑(wrapped)될 수 있다. 공개 키는 X.509 인증서 컨텍스트에서 이용될 때는 SubjectPublicKey로서 알려질 수 있다. 스위스 제네바의 International Telecommunications Union으로부터 입수가능한 ITU-T Recommendation X.509(2005) Information Technology Open Systems Interconnection, The Directory Authentication Framework 08/05를 참조하기 바란다. 다른 시스템 또는 디바이스와 상호작용하기 위해 키가 이용될 때, 그것은 엔드 포인트를 나타내는 주체 엔터티이다. 주체가 사용자를 인증하기 위해 이용될 때, 주체는 사용자를 "대변"한다. 주체에 연관된 객체들은 어떻게 주체가 사용자를 표현 또는 대변하도록 허가되는지에 관한 제약을 가한다.
소유자 주체(80)는 카디널리티 1..1을 갖는다. 소유자 주체는 주체에 대한 관리 상의 제어를 갖는 서비스 제공자이다. 소유자 주체는 소유자 엔터티를 인증하고 소유자 엔터티와 통신하기 위해 이용되는 키들(86)을 포함한다. 그것은 소유자의 인증서를 인증하기 위해 이용되는 서비스 제공자 공개 키를 포함할 수 있다. 그것은 또한 관리성 엔진과 서비스 제공자 간의 보안 세션에 대응하는 세션 키(SK) 및 마스터 키(MK) 값들을 포함할 수 있다.
앵커 주체(anchor principal)(82)는 카디널리티 0..m을 갖는다. 소유자 주체는 이 앵커 주체가 다른 디바이스들 또는 서버들에의 보안 접속을 설정할 때 신뢰할 수 있는 신뢰 앵커들(trust anchors)을 구성할 수 있다.
활성화 주체(84)는 카디널리티 1..1을 갖는다. 활성화 주체는 허가 서버를 인증하는 데에 이용되는 인증서들을 지칭한다. 이러한 인증서들은, 관리성 엔진을 포함하고 서비스 제공자에 의한 원격 제어 하에서 그 칩셋의 피쳐들을 켜고 끄는 능력을 포함하는 특정 칩셋에 온보드(onboard)로 제공될 수 있다. 활성화 트랜잭션 식별자(예를 들어, TX1)는 이러한 컨텍스트의 일부이며, 주요 주체의 활성화 상태를 포함한다.
디바이스 식별자(90)는 카디널리티 0..m을 갖는다. 관리성 엔진이 신뢰된 메쉬(mesh) 또는 클라우드의 일부인 것으로 인식하는 디바이스는 디바이스 식별자를 갖는다. 소유자 주체는 미리 정해진 구성 정책에 따라 디바이스 식별자를 구성할 수 있다.
주체 메타데이터(92)는 카디널리티 1..1을 갖고, 키 이전(migration), 백업 및 복구 처리를 기술하는 세팅을 포함한다. 키가 서명, 암호화 또는 키 교환에 이용될 수 있는지의 여부와 같은 사용 제약이 주체 메타데이터의 일부일 수 있다.
사용 정책(88)은 카디널리티 0..1을 갖고, 키의 사용에 대한 정책 제어 제약들(policy controlled constraints)의 세트를 지칭한다. 그것은 사용자 프레즌스가 어떻게 설정될지에 대한 멀티팩터 인증(MFA: multi-factor authentication)을 포함할 수 있다. 예를 들어, 일 실시예에서, 사용자 프레즌스는 컴퓨터 시스템이 컴퓨터 사용자를 식별할 수 있게 하는, 마우스 및 디스플레이 사용에 대한 사용자의 인식된 또는 서명 패턴에 의해 설정될 수 있다. 프라이버시 정책은 이러한 키가 서명하거나 암호화할 수 있는 정보의 양을 제한할 수 있다. 디지털 권한 관리 정책은 또한 이러한 키로 보호되는 데이터가 어떻게 다른 디바이스들을 통해 재배포될 수 있는지를 제한할 수 있다.
사용자 프레즌스(94)는 카디널리티 0..m을 가질 수 있고, 사용자의 프레즌스의 증거를 제공하는 기술에 대한 서비스 제공자 및 사용자 설정가능 구성 값들을 포함한다. 이것은 WYSIWYS, NFC(near field communication), 신뢰되는 입력/출력(IO)과, 다른 프레즌스 정책들을 포함할 수 있다.
카디널리티 0..m을 갖는 컨텍스트(96)는 주요 주체가 이용될 때 이용가능한 플랫폼의 피쳐들 및 능력들을 포함한다. 컨텍스트 소스는 몇몇 예를 들자면, 위치, 배향, 근접성, 온도, 전력 및 배터리와 같은 센서 입력들을 포함할 수 있다.
태스크 정보(98)는 카디널리티 0..m을 가지며, 주요 주체가 이용되는 관리성 엔진 환경을 기술하는 입증 컨텍스트를 포함한다.
본 명세서 전반에서 "일 실시예" 또는 "실시예"에 대한 언급은 그 실시예와 관련하여 기술되는 특정한 피쳐, 구조 또는 속성이 본 발명 내에 포함되는 적어도 하나의 구현에 포함됨을 의미한다. 따라서, "일 실시예" 또는 "실시예에서"라는 문구가 나온다고 해서, 반드시 동일한 실시예를 지칭하는 것은 아니다. 또한, 특정한 피쳐, 구조 또는 속성은 예시된 특정 실시예와는 다른 적절한 형태로 실시될 수 있으며, 그러한 형태 모두가 본 출원의 청구항 내에 포괄된다.
본 발명이 제한된 수의 실시예에 관련하여 설명되었지만, 본 기술분야의 숙련된 자들은 다수의 수정 및 그로부터의 변형을 알 수 있을 것이다. 첨부된 청구항들은 그러한 수정들 및 변형들 전부를 본 발명의 진정한 취지 및 범위 내에 드는 것으로서 포괄하도록 의도된다.

Claims (30)

  1. 플랫폼의 관리성 엔진(manageability engine)에서, 상기 관리성 엔진에 연결된 상기 플랫폼의 피쳐(feature)를 활성화하라는 요청을 서비스 제공자의 원격 서버로부터 수신하는 단계;
    상기 요청에 응답하여, 안전한 방식으로, 상기 서비스 제공자가 상기 관리성 엔진의 제조자에 의해 상기 플랫폼의 피쳐를 이용하도록 인가받았다는 허가 서버(permit server)로부터의 인증서(certificate)를 포함하여, 상기 플랫폼을 수정할 상기 서비스 제공자의 권한(authority)의 증거(proof)를 요청하는 단계;
    상기 인증서를 체크하여, 다른 서비스 제공자가 상기 플랫폼의 피쳐를 이용하는 것을 방지하는 단계;
    프로세서에 연결된 상기 플랫폼의 피쳐를 이용할 상기 서비스 제공자의 권한의 검증에 대한 요청을 송신하는 단계;
    상기 서비스 제공자가 상기 프로세서의 제조자에 의해 상기 피쳐를 이용하도록 인가받았다는 것을 검증하는 단계;
    상기 서비스 제공자에 의한 이용에 대해서만 상기 피쳐를 활성화하는 단계; 및
    디바이스 소유자의 프라이버시를 보호하면서 하드웨어 디바이스들의 원격 인증을 가능하게 하는 암호화 체계를 이용하고, 상기 서비스 제공자가 상기 관리성 엔진의 상기 제조자에 의해 인증되었음을 나타내기 위한 상기 관리성 엔진 내의 내장된 비밀 키(embedded private key)를 이용하여, 상기 증거를 요청하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서, 상기 서비스 제공자의 권한이 취소되었는지를 체크하는 단계를 더 포함하는 방법.
  3. 제1항에 있어서, 상기 증거를 요청하는 단계는 상기 관리성 엔진에서 비활성화된 키를 생성하는 단계를 포함하는 방법.
  4. 제1항에 있어서, 상기 증거를 요청하는 단계는 상기 제조자에 의해 상기 관리성 엔진에 통합되는 서명된 키를 이용하는 단계를 포함하는 방법.
  5. 삭제
  6. 플랫폼의 관리성 엔진에서, 상기 관리성 엔진에 연결된 상기 플랫폼의 피쳐를 활성화하라는 요청을 서비스 제공자의 원격 서버로부터 수신하고;
    상기 요청에 응답하여, 안전한 방식으로, 상기 서비스 제공자가 상기 관리성 엔진의 제조자에 의해 상기 플랫폼의 피쳐를 이용하도록 인가받았다는 허가 서버로부터의 인증서를 포함하여, 상기 플랫폼을 수정할 상기 서비스 제공자의 권한의 증거를 요청하고;
    상기 인증서를 체크하여, 다른 서비스 제공자가 상기 플랫폼의 피쳐를 이용하는 것을 방지하고;
    프로세서에 연결된 상기 플랫폼의 피쳐를 이용할 상기 서비스 제공자의 권한의 검증에 대한 요청을 송신하고;
    상기 서비스 제공자가 상기 프로세서의 제조자에 의해 상기 피쳐를 이용하도록 인가받았다는 것을 검증하고;
    상기 서비스 제공자에 의한 이용에 대해서만 상기 피쳐를 활성화하고;
    디바이스 소유자의 프라이버시를 보호하면서 하드웨어 디바이스들의 원격 인증을 가능하게 하는 암호화 체계를 이용하고, 상기 서비스 제공자가 상기 관리성 엔진의 상기 제조자에 의해 인증되었음을 나타내기 위한 상기 관리성 엔진 내의 내장된 비밀 키를 이용하여, 상기 증거를 요청하는 하드웨어 프로세서; 및
    상기 하드웨어 프로세서에 연결된 메모리
    를 포함하는 장치.
  7. 제6항에 있어서, 상기 프로세서는 상기 관리성 엔진인 장치.
  8. 삭제
  9. 제6항에 있어서, 상기 프로세서는 상기 서비스 제공자의 권한이 취소되었는지를 체크하는 장치.
  10. 삭제
  11. 제6항에 있어서, 상기 프로세서는 상기 프로세서가 진품(authentic)이라는 증거를 제공하는 장치.
  12. 제6항에 있어서, 상기 프로세서는 상기 프로세서의 키의 합법성을 입증하는 서명된 속성들을 포함하여, 인증서 서명 요청을 서비스 제공자에게 공급하는 장치.
  13. 제6항에 있어서, 상기 프로세서는 허가를 수신하고 키를 활성화하여 상기 서비스 제공자가 상기 피쳐를 이용하는 것을 가능하게 하는 장치.
  14. 제6항에 있어서, 상기 프로세서는 보안 채널을 통하여 서비스 제공자의 공개 키 또는 1회용 패스워드 시드를 수신하는 장치.
  15. 제14항에 있어서, 상기 프로세서는 상기 관리성 엔진 내에 적어도 2개의 서비스 제공자 각각에 대한 상이한 공개 키 또는 시드를 저장하고, 상기 키 또는 시드를 이용하여 상기 피쳐의 재활성화를 요청하는 서비스 제공자를 식별하는 장치.
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
  21. 삭제
  22. 삭제
  23. 삭제
  24. 삭제
  25. 삭제
  26. 삭제
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
KR1020137034310A 2011-05-26 2011-12-29 멀티-테넌트 서비스 제공자에 의한 동적 플랫폼 재구성 KR101530809B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/116,698 2011-05-26
US13/116,698 US8918641B2 (en) 2011-05-26 2011-05-26 Dynamic platform reconfiguration by multi-tenant service providers
PCT/US2011/067696 WO2012161738A1 (en) 2011-05-26 2011-12-29 Dynamic platform reconfiguration by multi-tenant service providers

Publications (2)

Publication Number Publication Date
KR20140014295A KR20140014295A (ko) 2014-02-05
KR101530809B1 true KR101530809B1 (ko) 2015-06-24

Family

ID=47217560

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020137034310A KR101530809B1 (ko) 2011-05-26 2011-12-29 멀티-테넌트 서비스 제공자에 의한 동적 플랫폼 재구성

Country Status (7)

Country Link
US (1) US8918641B2 (ko)
EP (1) EP2715634A4 (ko)
JP (1) JP5745690B2 (ko)
KR (1) KR101530809B1 (ko)
CN (1) CN103718201B (ko)
TW (1) TWI542183B (ko)
WO (1) WO2012161738A1 (ko)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9117061B1 (en) * 2011-07-05 2015-08-25 Symantec Corporation Techniques for securing authentication credentials on a client device during submission in browser-based cloud applications
US8667270B2 (en) * 2012-02-10 2014-03-04 Samsung Electronics Co., Ltd. Securely upgrading or downgrading platform components
US9215249B2 (en) 2012-09-29 2015-12-15 Intel Corporation Systems and methods for distributed trust computing and key management
US8924727B2 (en) 2012-10-12 2014-12-30 Intel Corporation Technologies labeling diverse content
US10284524B2 (en) * 2014-08-21 2019-05-07 James Armand Baldwin Secure auto-provisioning device network
US10198294B2 (en) * 2015-04-17 2019-02-05 Microsoft Licensing Technology, LLC Handling tenant requests in a system that uses hardware acceleration components
US9798887B2 (en) * 2015-08-26 2017-10-24 Qualcomm Incorporated Computing device to securely activate or revoke a key
US9923881B2 (en) 2015-10-14 2018-03-20 Mcafee, Llc System, apparatus and method for migrating a device having a platform group
US10355854B2 (en) 2015-12-17 2019-07-16 Intel Corporation Privacy preserving group formation with distributed content key generation
KR102063033B1 (ko) * 2017-11-29 2020-02-11 한국전자통신연구원 클라우드 서비스를 사용하는 사용자 단말기, 단말기의 보안 통합 관리 서버 및 단말기의 보안 통합 관리 방법
US11113675B2 (en) 2018-06-15 2021-09-07 Paypal, Inc. Unified transaction services for multi-tenant architectures
US11470166B2 (en) 2018-06-15 2022-10-11 Paypal, Inc. Multi-tenant marketplace architectures
US11336453B2 (en) 2018-06-15 2022-05-17 Paypal, Inc. Transactions between services in a multi-tenant architecture
US11030329B2 (en) * 2018-06-15 2021-06-08 Paypal, Inc. Unified identity services for multi-tenant architectures
US11586456B2 (en) 2018-06-15 2023-02-21 Paypal, Inc. Agency and regulation modeling for transactions in multi-tenant systems
US11055719B2 (en) 2018-06-15 2021-07-06 Paypal, Inc. Multi-tenant dispute services
US11734658B2 (en) 2018-06-15 2023-08-22 Paypal, Inc. Transactions between services in a multi-tenant architecture
US11265172B2 (en) 2018-12-21 2022-03-01 Intel Corporation Methods and apparatus for offloading signature revocation checking on acceleration circuitry

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080107737A (ko) * 2007-06-08 2008-12-11 한화에스앤씨주식회사 스마트 홈에서 디지털 콘텐츠를 사용하는 멀티유저/디바이스의 사용 권한을 제어하기 위한 접근 제어장치및 그 제어방법
US20100218012A1 (en) * 2007-06-18 2010-08-26 Johnson Joseph Methods and systems for providing a wireless security service and/or a wireless technical support service for personal computers

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE502423C2 (sv) * 1994-02-15 1995-10-16 Ellemtel Utvecklings Ab System för hantering av interaktion mellan tilläggstjänster i ett telekommunikationssystem
US5625693A (en) * 1995-07-07 1997-04-29 Thomson Consumer Electronics, Inc. Apparatus and method for authenticating transmitting applications in an interactive TV system
US7039802B1 (en) * 1997-06-06 2006-05-02 Thomson Licensing Conditional access system for set-top boxes
AU6097000A (en) * 1999-07-15 2001-02-05 Frank W Sudia Certificate revocation notification systems
US7222228B1 (en) * 2000-06-14 2007-05-22 Netwolves Corporation System and method for secure management or remote systems
DE10125017A1 (de) 2001-05-22 2002-12-05 Siemens Ag Verfahren zum Erbringen von Diensten in einem Datenübertragungsnetz und zugehörige Komponenten
US20030140223A1 (en) * 2002-01-23 2003-07-24 Robert Desideri Automatic configuration of devices for secure network communication
US20030233562A1 (en) * 2002-06-12 2003-12-18 Sachin Chheda Data-protection circuit and method
EP1625470A1 (en) * 2003-05-21 2006-02-15 Hewlett-Packard Development Company, L.P. Use of certified secrets in communication
US7565141B2 (en) * 2003-10-08 2009-07-21 Macaluso Anthony G Over the air provisioning of mobile device settings
US7093032B2 (en) * 2003-10-28 2006-08-15 General Electric Company System and method for multi-vendor authentication to remotely activate a software-based option
US8655309B2 (en) * 2003-11-14 2014-02-18 E2Interactive, Inc. Systems and methods for electronic device point-of-sale activation
US20050246287A1 (en) 2004-04-16 2005-11-03 Taiwan Semiconductor Manufacturing Co., Ltd. Method for facilitating transaction of integrated circuit production among various parties through a network platform
JP2006059141A (ja) * 2004-08-20 2006-03-02 Ricoh Co Ltd デバイス、機能管理方法、プログラム及び記録媒体
US8069209B1 (en) * 2006-06-16 2011-11-29 Openwave Systems Inc. Method for activating and deactivating client-side services from a distant server
US20080148414A1 (en) * 2006-12-19 2008-06-19 Spansion Llc Portable digital rights management (drm)
US20080222707A1 (en) * 2007-03-07 2008-09-11 Qualcomm Incorporated Systems and methods for controlling service access on a wireless communication device
US9627081B2 (en) * 2007-10-05 2017-04-18 Kinglite Holdings Inc. Manufacturing mode for secure firmware using lock byte
US20090300148A1 (en) * 2008-02-15 2009-12-03 Gomes A Ferdinand Configuration data deployment control systems and methods
US8331901B2 (en) 2009-01-28 2012-12-11 Headwater Partners I, Llc Device assisted ambient services
US8543091B2 (en) * 2008-06-06 2013-09-24 Ebay Inc. Secure short message service (SMS) communications
US8402519B2 (en) * 2008-10-16 2013-03-19 Verisign, Inc. Transparent client authentication
CA2686796C (en) * 2008-12-03 2017-05-16 Trend Micro Incorporated Method and system for real time classification of events in computer integrity system
US8103883B2 (en) * 2008-12-31 2012-01-24 Intel Corporation Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption
US8538815B2 (en) * 2009-02-17 2013-09-17 Lookout, Inc. System and method for mobile device replacement
US20100285834A1 (en) * 2009-05-05 2010-11-11 Qualcomm Incorporated Remote activation capture
ES2552308T3 (es) * 2009-09-03 2015-11-27 Murdoch Childrens Research Institute Sistema de estimulación transcutánea
US8898469B2 (en) * 2010-02-05 2014-11-25 Motorola Mobility Llc Software feature authorization through delegated agents
US8995663B2 (en) * 2010-03-31 2015-03-31 Feitian Technologies Co., Ltd. Method for implementing an encryption engine by smart key device
US20110296175A1 (en) * 2010-05-25 2011-12-01 beonSoft Inc. Systems and methods for software license distribution using asymmetric key cryptography
US8966587B2 (en) * 2010-06-03 2015-02-24 Qualcomm Incorporated Identity management via cloud
US8572760B2 (en) * 2010-08-10 2013-10-29 Benefitfocus.Com, Inc. Systems and methods for secure agent information
MX2013003023A (es) * 2010-09-20 2014-05-28 Headwater Partners I Llc Adaptacion de politicas de red en base a una configuracion del procesador del dispositivo de servicio.
US9529578B2 (en) * 2010-10-20 2016-12-27 Hewlett Packard Enterprise Development Lp Automated service version upgrading
US9449324B2 (en) * 2010-11-11 2016-09-20 Sony Corporation Reducing TV licensing costs
US20120254624A1 (en) * 2011-03-29 2012-10-04 Microsoft Corporation Three party attestation of untrusted software on a robot

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080107737A (ko) * 2007-06-08 2008-12-11 한화에스앤씨주식회사 스마트 홈에서 디지털 콘텐츠를 사용하는 멀티유저/디바이스의 사용 권한을 제어하기 위한 접근 제어장치및 그 제어방법
US20100218012A1 (en) * 2007-06-18 2010-08-26 Johnson Joseph Methods and systems for providing a wireless security service and/or a wireless technical support service for personal computers

Also Published As

Publication number Publication date
WO2012161738A1 (en) 2012-11-29
TW201248526A (en) 2012-12-01
KR20140014295A (ko) 2014-02-05
US8918641B2 (en) 2014-12-23
JP5745690B2 (ja) 2015-07-08
EP2715634A1 (en) 2014-04-09
JP2014516227A (ja) 2014-07-07
TWI542183B (zh) 2016-07-11
CN103718201B (zh) 2017-08-29
US20120303952A1 (en) 2012-11-29
CN103718201A (zh) 2014-04-09
EP2715634A4 (en) 2014-11-26

Similar Documents

Publication Publication Date Title
KR101530809B1 (ko) 멀티-테넌트 서비스 제공자에 의한 동적 플랫폼 재구성
JP7280396B2 (ja) 機器の安全なプロビジョニングと管理
US9219607B2 (en) Provisioning sensitive data into third party
US8843415B2 (en) Secure software service systems and methods
JP5657811B2 (ja) ハードウェアベースセキュリティエンジンを用いるセキュアソフトウェアライセンシング及びプロビジョニング
JP5980961B2 (ja) マルチファクタ認証局
EP3412001B1 (en) A method of data transfer and cryptographic devices
US20140270179A1 (en) Method and system for key generation, backup, and migration based on trusted computing
CN109074449A (zh) 在安全飞地中灵活地供应证明密钥
WO2017020452A1 (zh) 认证方法和认证***
KR20070097736A (ko) 지역 도메인 관리 모듈을 가진 장치를 이용하여 도메인을지역적으로 관리하는 장치 및 방법
US20210056198A1 (en) Remote processing of credential requests
US20220191693A1 (en) Remote management of hardware security modules
KR20130101964A (ko) 플랫폼 컴포넌트들의 보안 업그레이드 또는 다운그레이드를 위한 방법 및 시스템
JP5452192B2 (ja) アクセス制御システム、アクセス制御方法およびプログラム
Zheng et al. A token authentication solution for hadoop based on kerberos pre-authentication
CN113614720A (zh) 一种动态配置可信应用程序访问控制的装置和方法
CN106992978B (zh) 网络安全管理方法及服务器
JP2014022920A (ja) 電子署名システム、電子署名方法および電子署名プログラム
Tiwari et al. Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos
CN114223176B (zh) 一种证书管理方法及装置
Kostiainen et al. Credential life cycle management in open credential platforms (short paper)
CN116263817A (zh) 一种数据访问控制方法及相关***

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180529

Year of fee payment: 4