ポータブルデスクトップをプロビジョニングする方法およびシステム
周辺ポータブルデスクトップデバイスを提供するための方法が開示される。周辺ポータブルデスクトップデバイスは、ワークステーションと結合される。周辺ポータブルデスクトップデバイス内に記憶するための画像に関連するデータファイルが提供される。画像は、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、セキュア化されたデータを含む。周辺ポータブルデスクトップデバイス内には、画像を反映するデータが記憶される。次いで、第1のユーザは、第1のユーザ承認データを提供することによって、周辺ポータブルデスクトップデバイスに対して承認される。第1のユーザに対して、第1のユーザ承認データに基づいて、セキュア化されたユーザアカウントが作成される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、概して、電子的デバイスのプロビジョニングの分野に関し、より具体的には、ポータブルの個別化されたデスクトップの機能性をサポートするデバイスのプロビジョニングに関する。
【背景技術】
【0002】
ポータブルデスクトップの概念は、データ処理システムおよびデータ処理ネットワークの分野において周知である。ポータブルデスクトップは、概して、ユーザが、例えば、ネットワークに接続された、ある数のコンピュータのうちのいずれか上に再構築することができる、パーソナルデスクトップを指す。パーソナルデスクトップという用語によって含意されるのは、例えば、電子メール、予定、パーソナルファイル等を含む、各ユーザと関連付けられたプライベートデータである。精通し、個別化されたインターフェースの効果を犠牲にすることなく、ユーザに、より多くの数のデバイスを使用可能にすることによって、ポータブルデスクトップは、移動性および便宜性を大幅に拡大する潜在性を有することになる。典型的には、ポータブルデスクトップは、ネットワーク内に、各ユーザ毎の個別化されたファイルシステムまたはディレクトリを記憶することによって達成される。ユーザのデスクトップ、ファイル、およびホームディレクトリをポータブルにするために、ユーザのファイルシステムまたはディスクは、ネットワークで結ばれる。本モデルは、残念ながら、例えば、ルートシステムアドミニストレータが、ユーザのパーソナル電子メール、ファイル等をスヌーピングし、読み取る等、セキュリティの喪失につながる可能性がある。
【0003】
本問題を解決するための試みの1つとして、パーソナルデータデバイスドライブを各ユーザに配布することが想定される。ユーザのパーソナルディレクトリは、パーソナルドライブ上に記憶される。ユーザが、特定のコンピュータを使用して、ネットワークに接続すると、パーソナルドライブが、機械の適切なスロットに挿入される。ドライブを機械に「ホットプラグ」した後、ネットワークワークステーションは、パーソナルディレクトリをパーソナルドライブ上にマウントし、個別化されたインターフェースをユーザに提供する。しかしながら、ユーザに、そのポータブルディスクへのアクセスを所望する度に、フィールドのインストールおよびディスクドライブ構成を行うことを要求することと関連付けられたコストならびに不便さは、本ソリューションを非実践的にすることを理解されたい。さらに、パーソナルデスクトップアプリケーションをサポートする各コンピュータのためのソフトウェアは、カスタムであって、したがって、パーソナルデスクトップおよびそれと関連付けられたすべてのデータの使用を限定する。
【0004】
これを克服するために、現在、ポータブル周辺記憶デバイス上にポータブルデスクトップアプリケーションおよびデータを記憶することが提案されている。これは、ポータビリティおよび可用性の問題を解決するが、多くのユーザが単一管理下で管理されるとき、そのようなシステムを管理することは困難である。
【0005】
例えば、10,000人のユーザがそれぞれ、同一企業において、その業務のために、ポータブルデスクトップが提供される場合、ポータブルデスクトップオペレーティングシステムおよびデータは、10,000回、インストールされなければならない。各インストールは、ホストコンピュータを占有し、膨大な時間がかかるであろう。30台のコンピュータが、並列にインストールを実行し、オペレーティングシステム(O/S)およびソフトウェアのインストールに1時間しかかからなかった場合でも、結果として生じるプロビジョニングは、誰かがプロビジョニングだけ行うために、333人時または8週間を要するであろう。実際、インストールプロセスは、例えば、内部ハードドライブデータアクセス速度と比較して、多くのポータブルデバイスがデータアクセス速度が限定されているため、より時間がかかる。これは、IT部署のリソースに、プロビジョニングをサポートするという過度の負担を課すことになり、したがって、実践的ではない。
【発明の概要】
【発明が解決しようとする課題】
【0006】
したがって、セキュリティを犠牲にすることなく、かつ先行技術のコストおよび不便さを被ることなく、個別化されたポータブルデスクトップの効果をサポートするシステムおよび方法を提供することが望ましいであろう。
【課題を解決するための手段】
【0007】
本発明によると、複数の周辺ポータブルデスクトップデバイスを事前プロビジョニングする方法であって、複数の周辺ポータブルデスクトップデバイスを提供するステップと、周辺ポータブルデスクトップデバイス内に記憶するための画像に関連するデータファイルを提供するステップであって、画像は、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、セキュア化されたデータを含む、ステップと、複数の周辺ポータブルデスクトップデバイスのそれぞれに、ほぼ同一の画像を反映するデータを並列に記憶するステップと、を含む、方法が提供される。
【0008】
本発明の別の局面によると、周辺ポータブルデスクトップデバイスであって、筐体と、ホストコンピュータと結合するためのポートと、仮想ユーザのユーザアカウントのためにセキュア化されたデータを含む、その中に記憶されたポータブルデスクトップデータを有し、セキュア化されたデータは、仮想ユーザのユーザ承認データがない限り、アクセス不可能であって、仮想ユーザのユーザ承認データは、ポータブルデスクトップデバイスのプロビジョニングのための最終プロセスで使用するためのものである、データ記憶媒体と、を含み、ポータブルデスクトップは、仮想ユーザ以外の第1のユーザにプロビジョニングされてからのみ実行可能である、デバイスが提供される。
【0009】
本発明の別の実施形態によると、周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、事前プロビジョニングされた周辺ポータブルデスクトップデバイスを受信するステップであって、周辺ポータブルデスクトップデバイスは、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、仮想ユーザアカウント内のセキュア化されたデータを含む、その中に記憶されたデータを有する、ステップと、周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認するステップと、仮想ユーザアカウントが、承認データに基づいてセキュア化されるように、仮想ユーザのアカウントを修正するステップと、を含む、方法が提供される。
【0010】
本発明の別の実施形態にによると、周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、事前プロビジョニングされた周辺ポータブルデスクトップデバイスを受信するステップであって、周辺ポータブルデスクトップデバイスは、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、セキュア化されたデータを含む、その中に記憶されたデータを有する、ステップと、第1のユーザ承認データを提供することによって、周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認するステップと、第1のユーザのためのユーザアカウントを作成するステップであって、セキュア化されたユーザアカウントは、第1のユーザ承認データに基づく、ステップと、ユーザアカウントを介して、仮想ユーザのアカウントにアクセスするステップと、ユーザアカウントを、ユーザアカウントへのアクセスに応じて、仮想ユーザのアカウントにアクセスするように構成するステップと、を含む、方法が提供される。
【0011】
本発明の別の実施形態によると、周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、周辺ポータブルデスクトップデバイスを提供するステップと、周辺ポータブルデスクトップデバイス内に、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、セキュア化されたデータを含む、画像を反映するデータを記憶するステップと、第1のユーザ承認データを提供することによって、周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認するステップと、第1のユーザのためのユーザアカウントを作成するステップであって、セキュア化されたユーザアカウントは、第1のユーザ承認データに基づく、ステップと、ユーザアカウントを介して、仮想ユーザのアカウントにアクセスするステップと、ユーザアカウントを、ユーザアカウントへのアクセスに応じて、仮想ユーザのアカウントにアクセスするように構成するステップと、を含む、方法が提供される。
【0012】
本発明の他の目的および利点は、以下の発明を実施するための形態を熟読し、付随の図面を参照することによって、明白となるであろう。
【図面の簡単な説明】
【0013】
【図1】図1は、ユニバーサルシリアルバス(USB)メモリ鍵の形態における、ポータブル周辺メモリ記憶デバイスの簡略化されたブロック図である。
【図2】図2は、ポータブルデスクトップデバイスをプロビジョニングする方法のための簡略化されたフロー図である。
【図3】図3は、デスクトップの仮想化をサポートする、ポータブルデスクトップデバイスのための簡略化されたメモリの略図である。
【図4】図4は、ポータブルデスクトップデバイスをプロビジョニングするための方法の簡略化されたフロー図である。
【図5】図5は、複数のポータブルデスクトップデバイスを事前プロビジョニングする方法のための簡略化されたフロー図である。
【図6】図6は、ポータブルデスクトップデバイスをプロビジョニングするための最終プロセスを行う方法のための簡略化されたフロー図である。
【発明を実施するための形態】
【0014】
図1を参照すると、先行技術のポータブル周辺メモリ記憶デバイス100が示される。デバイスは、USBコネクタ101と、筐体102と、を含む。USBコネクタ101が、パーソナルコンピュータ(図示せず)の形態でホストコンピュータ上の嵌合コネクタに結合されると、データは、ポータブル周辺メモリ記憶デバイス100とホストコンピュータとの間で交換される。USB通信回路103は、ホストコンピュータ内の別のUSB通信回路と通信する。USB通信回路103はさらに、マイクロコントローラの形態でプロセッサ104と通信する。プロセッサは、順に、ポータブル周辺メモリ記憶デバイス100内の静的ランダムアクセスメモリ(静的RAM)105と通信する。
【0015】
電源が投入されると、先行技術の周辺メモリ記憶デバイスは、ホストコンピュータシステムと相互作用を開始し、そこから、電力を引き出す。相互作用は、ホストコンピュータシステムに、ホストコンピュータシステムによって、メモリ記憶デバイスとしてアクセスするためのポータブル周辺メモリ記憶デバイス100をマウントさせる。したがって、ポータブル周辺メモリ記憶デバイス100は、例えば、ホストコンピュータの他の記憶デバイスとともにリストされる、記憶デバイスとして現れる。ポータブル周辺メモリ記憶デバイス100上にデータを記憶する、またはそこからデータを読み出すことが分かる。ポータブル周辺メモリ記憶デバイス100をホストコンピュータシステムから除去することによって、ローカルにおいて、またはポータブル周辺メモリ記憶デバイス100が搬送されるあらゆる場所のいずれかにおいて、その中に記憶されたデータのいずれかの別のホストコンピュータへのポータビリティを可能にする。
【0016】
そのようなポータブル周辺メモリ記憶デバイス100は、ポータブルデスクトップをサポートするために使用することができる。この点において、ホストコンピュータのブートに先立って挿入されると、そのブートに応じて、ローカルハードディスクドライブは、無効にされ、ホストコンピュータは、周辺メモリ記憶デバイス100からブートされる。したがって、デスクトップ-オペレーティングシステムおよびユーザに提供されるユーザインターフェースは、ポータブルである。
【0017】
図2を参照すると、ポータブル周辺メモリ記憶デバイス100をプロビジョニングする方法が示される。デバイスは、201において、ホストコンピュータシステムと結合される。202では、ポータブルデスクトップのためのポータブルデスクトップオペレーティングシステム、例えば、Windows(登録商標)を含む、光ディスクが、ホストコンピュータシステムと結合された光ディスクリーダに挿入される。次いで、ホストコンピュータシステムのユーザは、203において、インストーラアプリケーションを実行し、周辺メモリ記憶デバイス100上にポータブルデスクトップオペレーティングシステムをインストールする。オペレーティングシステムソフトウェアのためのインストールプロセスは、周知であって、時間がかかることを除いて、詳細には説明されないが、多くの場合、コンピュータシステムのユーザに対して、クエリへの応答を要求する。
【0018】
ポータブルデスクトップオペレーティングシステムがインストールされると、204において、ホストコンピュータシステムは、リブートされ、205において、ポータブルデスクトップオペレーティングシステムが実行される。最初の実行時、ポータブルデスクトップオペレーティングシステムは、ホストコンピュータシステムのユーザに、206において、オペレーティングシステムをカスタマイズする機会を提供する。例えば、ユーザは、その独自のアカウントおよびパスワードを設定する。ポータブルデスクトップオペレーティングシステムの最初の実行が完了すると、ユーザは、207において、デバイス上にソフトウェアをインストール可能となる。
【0019】
コンピュータ上にオペレーティングシステムをインストールしたことがある人には明白であるように、これは、時間がかかるプロセスであって、多くの場合、ハードディスクドライブに対して行われる時、30分を超える時間を要し、シリアルバスインターフェースを介して、静的ランダムアクセスメモリ[RAM]デバイスにインストールされる場合、遥かに多くの時間を要するであろう。デバイス上へのソフトウェアのインストールもまた、時間を要するであろう。
【0020】
さらに、大企業のためのプロビジョニングの場合、また、ソフトウェアライセンスおよび用途を追跡記録することも重要であって、これは、各ユーザが、その独自のポータブルデスクトップをプロビジョニングする場合、困難である。したがって、多くの場合、すべてのオペレーティングシステムおよびアプリケーションソフトウェアを中心グループにプロビジョニングさせることが望ましい。これは、当然ながら、プロビジョニングにかかる時間の問題を解決するものではない。
【0021】
セキュリティが問題であるとき、さらなる複雑性が存在する。IT部署が、各周辺ポータブルデスクトップデバイスをプロビジョニングする場合、各ユーザに割当および提供されるまで、それらのデバイスがセキュア化されている場合には、有利となるでろう。デバイスを改ざんする場合、それによって、組織のセキュリティが侵害させることになることは、残念であろう。
【0022】
図3を参照すると、事前プロビジョニングされた周辺メモリ記憶デバイス300の簡略化されたメモリのブロック図が示される。周辺メモリ記憶デバイス300は、プロビジョニングされ、インストールされた、ユーザアカウントデータ空間302を含む。ユーザアカウントデータ空間302は、ポータブルデスクトップオペレーティングシステムメモリ空間304およびアプリケーションメモリ空間306と関連付けられる。したがって、ユーザアカウントデータ空間は、ポータブルデスクトップを動作させるように機能する。
【0023】
周辺メモリ記憶デバイス300内に記憶されるユーザアカウントデータは、必ずしも、存在しないユーザである、仮想ユーザのためのものである。しかしながら、ユーザアカウントは、仮想ユーザに対してセキュア化され、したがって、単純なセキュリティ攻撃を被ることはない。したがって、周辺メモリ記憶デバイス300は、仮想ユーザに対してセキュア化されているため、いずれの一般ユーザにも使用不可能である。
【0024】
図4を参照すると、最終プロビジョニングプロセスの簡略化されたフロー図が示される。新しく事前プロビジョニングされた周辺メモリ記憶デバイス300は、402において、ホストコンピュータに結合される。次いで、ホストコンピュータは、404において、ブートされ、周辺メモリ記憶デバイス300を受信する第1のユーザは、406において、指紋形態における認証データをそれに提供する。代替として、パスワード、声紋、網膜スキャン等の他の認証データが、周辺メモリ記憶デバイス300に提供される。次いで、周辺メモリ記憶デバイス300は、408において、提供された認証データによってセキュア化された第1のユーザのためのユーザアカウントを作成する。仮想ユーザのアカウントにアクセスするためのデータは、410において、ユーザアカウント内に記憶され、認証データによって、セキュア化される。したがって、412において、デバイスに対して認証することによって、実際のユーザである、第1のユーザは、仮想ユーザの事前にインストールされたオペレーティングシステムおよびアプリケーションへのアクセスを有する。次いで、414では、第1のユーザは、自身のためのアプリケーションおよびオペレーティングシステムをカスタマイズし、周辺メモリ記憶デバイス300が設定される。代替として、カスタマイズは、周辺メモリ記憶デバイス300をプロビジョニングするための最終プロセスの一部として、自動化される。
【0025】
仮想ユーザのユーザデータにアクセスするために、パスワードが、ホストシステムから周辺メモリ記憶デバイス300に提供される。代替として、パスワードは、認証プロセスによって、自動的に提供される。さらに代替として、パスワードは、管理者によって、手動で提供される。
【0026】
例えば、パスワードは、すべての事前プロビジョニングされた周辺メモリ記憶デバイスにわたって、ソフトウェアアプリケーションが、仮想ユーザアカウントをロック解除し、仮想ユーザパスワードを変更できるように、同一パスワードである。代替として、パスワードは、周辺メモリ記憶デバイス300の識別子のエンコードされたバージョン、例えば、その製造番号のハッシュである。これが該当する場合、エンコードプロセスの知識によって、パスワードは、ホストコンピュータシステムの実行の際、例えば、ソフトウェアプロセスによって、周辺メモリ記憶デバイス300から製造番号を読み出すことによって決定可能である。さらに代替として、パスワードは、ドングル等のセキュアデバイスによって、あるいは暗号鍵供託または鍵データベースによって決定される。
【0027】
第1のユーザアカウントが設定されると、典型的には、仮想ユーザのためのパスワードは、長いランダムまたは予測困難であって、多少一意であるパスワードに変更される。したがって、プロビジョニングソフトウェアまたはデバイスでさえ、もはや、事前プロビジョニングパスワードを介して、周辺メモリ記憶デバイス300へのアクセスを有していない。
【0028】
オプションで、新しいパスワードは、第1のユーザアクセス承認情報が忘却される、または損傷を受ける場合、あるいは第1のユーザがもはや利用可能ではない場合、管理者によってアクセス可能な管理メモリ空間内の周辺メモリ記憶デバイス300に記憶される。代替として、新しいパスワードは、パスワードデータベースまたはパスワード供託サービスに提供される。
【0029】
例えば、ポータブルデスクトップデータが、仮想ユーザアカウント内に記憶されるとき、第1のユーザがもはや利用可能ではない場合、デバイスは、管理者が、仮想ユーザアカウントのためのパスワードへのアクセスを有する限り、仮想ユーザアカウントにアクセスする別のアカウントを設定することによって、再プロビジョニングすることができる。
【0030】
単一ポータブルデスクトップが共有されるべきとき、複数のユーザアカウントが、同一仮想ユーザアカウントへの各アクセスに設定される。したがって、すべての変更は、同一ポータブルデスクトップデバイスのユーザ間で共有される。代替として、ユーザが、ポータブルデスクトップのいずれの局面も共有しないとき、事前プロビジョニングは、オプションで、同一デバイス内の多数の仮想ユーザアカウント、または代替として、同一デバイス内の多数の別個のポータブルデスクトップメモリパーティションを提供する。最終プロビジョニングプロセスの際、各パーティションまたは各仮想ユーザアカウントは、異なる認証データと別個に関連付けられる。
【0031】
図5を参照すると、短時間枠内で多くのデバイスを事前プロビジョニングするためのプロビジョニング方法の簡略化されたフロー図が示される。501では、デバイスは、デバイスデータライターに並列に挿入される。仮想ユーザデータを伴う、事前プロビジョニングされたオペレーティングシステムおよびアプリケーションの画像が、502において、デバイス内の記憶のために提供される。次いで、画像は、503において、デバイスのすべてに並列に記憶される。
【0032】
データが並列に記憶されると、各デバイスは、オプションで、504において、仮想ユーザアカウントのための新しいパスワードをその中に書き込むことによって、カスタマイズされる。例えば、各デバイスの製造番号に関連するパスワードが記憶される。代替として、デバイスはすべて、同じパスワードによって事前プロビジョニングされる。次いで、デバイスは、505において除去され、セキュアなユーザアカウントとともに、セキュアな方法でそこに記憶されたオペレーティングシステムおよびアプリケーションデータの事前プロビジョニングされたバージョンを有する。各周辺メモリ記憶デバイスに対して、以前には数時間かかっていたものが、今は、多くのデバイスに対して、ほとんど時間がかからない。オプションで、データは、コンピュータインターフェース、例えば、ユニバーサルシリアルバス(USB)インターフェースがバイパスされるように、製造前または後のいずれかに、周辺メモリ記憶デバイスの静的RAM内に直接記憶される。各デバイス内の静的RAMは、第1のパスにおいて、並列に書き込むことが可能であるため、集積回路は、それとともに周辺メモリ記憶デバイスを製造する前に、プログラムすることができる。
【0033】
事前プロビジョニングされたデバイスは、オプションで、インストールの任意の段階にある。ある実施形態では、事前プロビジョニングされたデバイスは、アプリケーションデータおよびインストールデータがすべて、実行のための準備ができているように、初回のために、既に実行された仮想ユーザアカウントの画像を有する。代替として、デバイスは、最初のオペレーティングシステム実行前に、画像によって事前プロビジョニングされ、各ユーザが、最初に、そのポータブルデスクトップを実行することを可能にする。さらに代替として、デバイスは、プロビジョニングの最終プロセスの際、デバイスに対するユーザの認証に応答して、ポータブルデスクトップおよびアプリケーションをインストールするためのソフトウェアによって事前プロビジョニングされる。
【0034】
図6を参照すると、プロビジョニングの最終プロセスを行う別の方法の簡略化されたフロー図が示される。ここでは、周辺メモリ記憶デバイス300は、601において、ホストコンピュータ以外によって給電される。周辺メモリ記憶デバイス300は、デバイスをプロビジョニングする管理ユーザにアクセス可能な仮想ユーザのための事前プロビジョニング認証データによって、事前プロビジョニングされる。例えば、組織の管理者は、その指紋によりセキュア化された仮想ユーザセキュリティによって、事前プロビジョニングされたデバイスを有する。代替として、別の生体、パスワード、またはセキュアなハードウェアデバイスを使用して、仮想ユーザセキュリティをセキュア化する。第1のユーザは、602において、指紋の形態におけるその認証情報をデバイスに提供する。603では、デバイスは、認証情報によってセキュア化された第1のユーザのためのアカウントを形成する。管理ユーザは、604において、事前プロビジョニング認証データまたは事前プロビジョニング認証データにアクセスするための情報をデバイスに提供し、次いで、605において、第1のユーザアカウントは、仮想ユーザアカウントへのアクセスが提供される。次いで、仮想ユーザアカウントのためのパスワードが、606において変更され、変更されたパスワードは、607において、第1のユーザアカウントデータ内に記憶され、第1のユーザが、デバイスに対して認証するときは常時、仮想ユーザのアカウントへのアクセスを提供する。オプションで、608に示されるように、変更されたパスワードは、事前プロビジョニング認証データと関連付けられて記憶される。
【0035】
事前プロビジョニングされたポータブルデスクトップデバイスをセキュア化することによって、プロビジョニングの最終プロセスが完了すると、セキュアまたは敏感なデータへのアクセスがサポートされるように、事前プロビジョニングの際、セキュアまたは敏感なデータをその中に記憶することが可能となることが想定される。例えば、それに遠隔からアクセスするための企業のサーバのそれぞれに対するパスワードおよびアクセス情報が、デバイスに書き込まれ、仮想ユーザアカウントにおいてセキュア化された画像内に記憶される。プロビジョニングの最終プロセスが完了すると、第1のユーザは、企業のサーバにアクセスすることが可能となる。有利には、セキュアまたは敏感なデータは、プロビジョニングの最終プロセスが行われる前後の両方に、デバイス内でセキュアな方法で記憶される。これは、事前プロビジョニングの柔軟性を向上させ、セキュアなデータをその中に含めることを可能にする。
【0036】
多数の他の実施形態が、発明の精神または範囲から逸脱することなしに想起される。
【技術分野】
【0001】
本発明は、概して、電子的デバイスのプロビジョニングの分野に関し、より具体的には、ポータブルの個別化されたデスクトップの機能性をサポートするデバイスのプロビジョニングに関する。
【背景技術】
【0002】
ポータブルデスクトップの概念は、データ処理システムおよびデータ処理ネットワークの分野において周知である。ポータブルデスクトップは、概して、ユーザが、例えば、ネットワークに接続された、ある数のコンピュータのうちのいずれか上に再構築することができる、パーソナルデスクトップを指す。パーソナルデスクトップという用語によって含意されるのは、例えば、電子メール、予定、パーソナルファイル等を含む、各ユーザと関連付けられたプライベートデータである。精通し、個別化されたインターフェースの効果を犠牲にすることなく、ユーザに、より多くの数のデバイスを使用可能にすることによって、ポータブルデスクトップは、移動性および便宜性を大幅に拡大する潜在性を有することになる。典型的には、ポータブルデスクトップは、ネットワーク内に、各ユーザ毎の個別化されたファイルシステムまたはディレクトリを記憶することによって達成される。ユーザのデスクトップ、ファイル、およびホームディレクトリをポータブルにするために、ユーザのファイルシステムまたはディスクは、ネットワークで結ばれる。本モデルは、残念ながら、例えば、ルートシステムアドミニストレータが、ユーザのパーソナル電子メール、ファイル等をスヌーピングし、読み取る等、セキュリティの喪失につながる可能性がある。
【0003】
本問題を解決するための試みの1つとして、パーソナルデータデバイスドライブを各ユーザに配布することが想定される。ユーザのパーソナルディレクトリは、パーソナルドライブ上に記憶される。ユーザが、特定のコンピュータを使用して、ネットワークに接続すると、パーソナルドライブが、機械の適切なスロットに挿入される。ドライブを機械に「ホットプラグ」した後、ネットワークワークステーションは、パーソナルディレクトリをパーソナルドライブ上にマウントし、個別化されたインターフェースをユーザに提供する。しかしながら、ユーザに、そのポータブルディスクへのアクセスを所望する度に、フィールドのインストールおよびディスクドライブ構成を行うことを要求することと関連付けられたコストならびに不便さは、本ソリューションを非実践的にすることを理解されたい。さらに、パーソナルデスクトップアプリケーションをサポートする各コンピュータのためのソフトウェアは、カスタムであって、したがって、パーソナルデスクトップおよびそれと関連付けられたすべてのデータの使用を限定する。
【0004】
これを克服するために、現在、ポータブル周辺記憶デバイス上にポータブルデスクトップアプリケーションおよびデータを記憶することが提案されている。これは、ポータビリティおよび可用性の問題を解決するが、多くのユーザが単一管理下で管理されるとき、そのようなシステムを管理することは困難である。
【0005】
例えば、10,000人のユーザがそれぞれ、同一企業において、その業務のために、ポータブルデスクトップが提供される場合、ポータブルデスクトップオペレーティングシステムおよびデータは、10,000回、インストールされなければならない。各インストールは、ホストコンピュータを占有し、膨大な時間がかかるであろう。30台のコンピュータが、並列にインストールを実行し、オペレーティングシステム(O/S)およびソフトウェアのインストールに1時間しかかからなかった場合でも、結果として生じるプロビジョニングは、誰かがプロビジョニングだけ行うために、333人時または8週間を要するであろう。実際、インストールプロセスは、例えば、内部ハードドライブデータアクセス速度と比較して、多くのポータブルデバイスがデータアクセス速度が限定されているため、より時間がかかる。これは、IT部署のリソースに、プロビジョニングをサポートするという過度の負担を課すことになり、したがって、実践的ではない。
【発明の概要】
【発明が解決しようとする課題】
【0006】
したがって、セキュリティを犠牲にすることなく、かつ先行技術のコストおよび不便さを被ることなく、個別化されたポータブルデスクトップの効果をサポートするシステムおよび方法を提供することが望ましいであろう。
【課題を解決するための手段】
【0007】
本発明によると、複数の周辺ポータブルデスクトップデバイスを事前プロビジョニングする方法であって、複数の周辺ポータブルデスクトップデバイスを提供するステップと、周辺ポータブルデスクトップデバイス内に記憶するための画像に関連するデータファイルを提供するステップであって、画像は、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、セキュア化されたデータを含む、ステップと、複数の周辺ポータブルデスクトップデバイスのそれぞれに、ほぼ同一の画像を反映するデータを並列に記憶するステップと、を含む、方法が提供される。
【0008】
本発明の別の局面によると、周辺ポータブルデスクトップデバイスであって、筐体と、ホストコンピュータと結合するためのポートと、仮想ユーザのユーザアカウントのためにセキュア化されたデータを含む、その中に記憶されたポータブルデスクトップデータを有し、セキュア化されたデータは、仮想ユーザのユーザ承認データがない限り、アクセス不可能であって、仮想ユーザのユーザ承認データは、ポータブルデスクトップデバイスのプロビジョニングのための最終プロセスで使用するためのものである、データ記憶媒体と、を含み、ポータブルデスクトップは、仮想ユーザ以外の第1のユーザにプロビジョニングされてからのみ実行可能である、デバイスが提供される。
【0009】
本発明の別の実施形態によると、周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、事前プロビジョニングされた周辺ポータブルデスクトップデバイスを受信するステップであって、周辺ポータブルデスクトップデバイスは、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、仮想ユーザアカウント内のセキュア化されたデータを含む、その中に記憶されたデータを有する、ステップと、周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認するステップと、仮想ユーザアカウントが、承認データに基づいてセキュア化されるように、仮想ユーザのアカウントを修正するステップと、を含む、方法が提供される。
【0010】
本発明の別の実施形態にによると、周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、事前プロビジョニングされた周辺ポータブルデスクトップデバイスを受信するステップであって、周辺ポータブルデスクトップデバイスは、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、セキュア化されたデータを含む、その中に記憶されたデータを有する、ステップと、第1のユーザ承認データを提供することによって、周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認するステップと、第1のユーザのためのユーザアカウントを作成するステップであって、セキュア化されたユーザアカウントは、第1のユーザ承認データに基づく、ステップと、ユーザアカウントを介して、仮想ユーザのアカウントにアクセスするステップと、ユーザアカウントを、ユーザアカウントへのアクセスに応じて、仮想ユーザのアカウントにアクセスするように構成するステップと、を含む、方法が提供される。
【0011】
本発明の別の実施形態によると、周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、周辺ポータブルデスクトップデバイスを提供するステップと、周辺ポータブルデスクトップデバイス内に、仮想ユーザのユーザ承認データがない限り、アクセス不可能である、セキュア化されたデータを含む、画像を反映するデータを記憶するステップと、第1のユーザ承認データを提供することによって、周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認するステップと、第1のユーザのためのユーザアカウントを作成するステップであって、セキュア化されたユーザアカウントは、第1のユーザ承認データに基づく、ステップと、ユーザアカウントを介して、仮想ユーザのアカウントにアクセスするステップと、ユーザアカウントを、ユーザアカウントへのアクセスに応じて、仮想ユーザのアカウントにアクセスするように構成するステップと、を含む、方法が提供される。
【0012】
本発明の他の目的および利点は、以下の発明を実施するための形態を熟読し、付随の図面を参照することによって、明白となるであろう。
【図面の簡単な説明】
【0013】
【図1】図1は、ユニバーサルシリアルバス(USB)メモリ鍵の形態における、ポータブル周辺メモリ記憶デバイスの簡略化されたブロック図である。
【図2】図2は、ポータブルデスクトップデバイスをプロビジョニングする方法のための簡略化されたフロー図である。
【図3】図3は、デスクトップの仮想化をサポートする、ポータブルデスクトップデバイスのための簡略化されたメモリの略図である。
【図4】図4は、ポータブルデスクトップデバイスをプロビジョニングするための方法の簡略化されたフロー図である。
【図5】図5は、複数のポータブルデスクトップデバイスを事前プロビジョニングする方法のための簡略化されたフロー図である。
【図6】図6は、ポータブルデスクトップデバイスをプロビジョニングするための最終プロセスを行う方法のための簡略化されたフロー図である。
【発明を実施するための形態】
【0014】
図1を参照すると、先行技術のポータブル周辺メモリ記憶デバイス100が示される。デバイスは、USBコネクタ101と、筐体102と、を含む。USBコネクタ101が、パーソナルコンピュータ(図示せず)の形態でホストコンピュータ上の嵌合コネクタに結合されると、データは、ポータブル周辺メモリ記憶デバイス100とホストコンピュータとの間で交換される。USB通信回路103は、ホストコンピュータ内の別のUSB通信回路と通信する。USB通信回路103はさらに、マイクロコントローラの形態でプロセッサ104と通信する。プロセッサは、順に、ポータブル周辺メモリ記憶デバイス100内の静的ランダムアクセスメモリ(静的RAM)105と通信する。
【0015】
電源が投入されると、先行技術の周辺メモリ記憶デバイスは、ホストコンピュータシステムと相互作用を開始し、そこから、電力を引き出す。相互作用は、ホストコンピュータシステムに、ホストコンピュータシステムによって、メモリ記憶デバイスとしてアクセスするためのポータブル周辺メモリ記憶デバイス100をマウントさせる。したがって、ポータブル周辺メモリ記憶デバイス100は、例えば、ホストコンピュータの他の記憶デバイスとともにリストされる、記憶デバイスとして現れる。ポータブル周辺メモリ記憶デバイス100上にデータを記憶する、またはそこからデータを読み出すことが分かる。ポータブル周辺メモリ記憶デバイス100をホストコンピュータシステムから除去することによって、ローカルにおいて、またはポータブル周辺メモリ記憶デバイス100が搬送されるあらゆる場所のいずれかにおいて、その中に記憶されたデータのいずれかの別のホストコンピュータへのポータビリティを可能にする。
【0016】
そのようなポータブル周辺メモリ記憶デバイス100は、ポータブルデスクトップをサポートするために使用することができる。この点において、ホストコンピュータのブートに先立って挿入されると、そのブートに応じて、ローカルハードディスクドライブは、無効にされ、ホストコンピュータは、周辺メモリ記憶デバイス100からブートされる。したがって、デスクトップ-オペレーティングシステムおよびユーザに提供されるユーザインターフェースは、ポータブルである。
【0017】
図2を参照すると、ポータブル周辺メモリ記憶デバイス100をプロビジョニングする方法が示される。デバイスは、201において、ホストコンピュータシステムと結合される。202では、ポータブルデスクトップのためのポータブルデスクトップオペレーティングシステム、例えば、Windows(登録商標)を含む、光ディスクが、ホストコンピュータシステムと結合された光ディスクリーダに挿入される。次いで、ホストコンピュータシステムのユーザは、203において、インストーラアプリケーションを実行し、周辺メモリ記憶デバイス100上にポータブルデスクトップオペレーティングシステムをインストールする。オペレーティングシステムソフトウェアのためのインストールプロセスは、周知であって、時間がかかることを除いて、詳細には説明されないが、多くの場合、コンピュータシステムのユーザに対して、クエリへの応答を要求する。
【0018】
ポータブルデスクトップオペレーティングシステムがインストールされると、204において、ホストコンピュータシステムは、リブートされ、205において、ポータブルデスクトップオペレーティングシステムが実行される。最初の実行時、ポータブルデスクトップオペレーティングシステムは、ホストコンピュータシステムのユーザに、206において、オペレーティングシステムをカスタマイズする機会を提供する。例えば、ユーザは、その独自のアカウントおよびパスワードを設定する。ポータブルデスクトップオペレーティングシステムの最初の実行が完了すると、ユーザは、207において、デバイス上にソフトウェアをインストール可能となる。
【0019】
コンピュータ上にオペレーティングシステムをインストールしたことがある人には明白であるように、これは、時間がかかるプロセスであって、多くの場合、ハードディスクドライブに対して行われる時、30分を超える時間を要し、シリアルバスインターフェースを介して、静的ランダムアクセスメモリ[RAM]デバイスにインストールされる場合、遥かに多くの時間を要するであろう。デバイス上へのソフトウェアのインストールもまた、時間を要するであろう。
【0020】
さらに、大企業のためのプロビジョニングの場合、また、ソフトウェアライセンスおよび用途を追跡記録することも重要であって、これは、各ユーザが、その独自のポータブルデスクトップをプロビジョニングする場合、困難である。したがって、多くの場合、すべてのオペレーティングシステムおよびアプリケーションソフトウェアを中心グループにプロビジョニングさせることが望ましい。これは、当然ながら、プロビジョニングにかかる時間の問題を解決するものではない。
【0021】
セキュリティが問題であるとき、さらなる複雑性が存在する。IT部署が、各周辺ポータブルデスクトップデバイスをプロビジョニングする場合、各ユーザに割当および提供されるまで、それらのデバイスがセキュア化されている場合には、有利となるでろう。デバイスを改ざんする場合、それによって、組織のセキュリティが侵害させることになることは、残念であろう。
【0022】
図3を参照すると、事前プロビジョニングされた周辺メモリ記憶デバイス300の簡略化されたメモリのブロック図が示される。周辺メモリ記憶デバイス300は、プロビジョニングされ、インストールされた、ユーザアカウントデータ空間302を含む。ユーザアカウントデータ空間302は、ポータブルデスクトップオペレーティングシステムメモリ空間304およびアプリケーションメモリ空間306と関連付けられる。したがって、ユーザアカウントデータ空間は、ポータブルデスクトップを動作させるように機能する。
【0023】
周辺メモリ記憶デバイス300内に記憶されるユーザアカウントデータは、必ずしも、存在しないユーザである、仮想ユーザのためのものである。しかしながら、ユーザアカウントは、仮想ユーザに対してセキュア化され、したがって、単純なセキュリティ攻撃を被ることはない。したがって、周辺メモリ記憶デバイス300は、仮想ユーザに対してセキュア化されているため、いずれの一般ユーザにも使用不可能である。
【0024】
図4を参照すると、最終プロビジョニングプロセスの簡略化されたフロー図が示される。新しく事前プロビジョニングされた周辺メモリ記憶デバイス300は、402において、ホストコンピュータに結合される。次いで、ホストコンピュータは、404において、ブートされ、周辺メモリ記憶デバイス300を受信する第1のユーザは、406において、指紋形態における認証データをそれに提供する。代替として、パスワード、声紋、網膜スキャン等の他の認証データが、周辺メモリ記憶デバイス300に提供される。次いで、周辺メモリ記憶デバイス300は、408において、提供された認証データによってセキュア化された第1のユーザのためのユーザアカウントを作成する。仮想ユーザのアカウントにアクセスするためのデータは、410において、ユーザアカウント内に記憶され、認証データによって、セキュア化される。したがって、412において、デバイスに対して認証することによって、実際のユーザである、第1のユーザは、仮想ユーザの事前にインストールされたオペレーティングシステムおよびアプリケーションへのアクセスを有する。次いで、414では、第1のユーザは、自身のためのアプリケーションおよびオペレーティングシステムをカスタマイズし、周辺メモリ記憶デバイス300が設定される。代替として、カスタマイズは、周辺メモリ記憶デバイス300をプロビジョニングするための最終プロセスの一部として、自動化される。
【0025】
仮想ユーザのユーザデータにアクセスするために、パスワードが、ホストシステムから周辺メモリ記憶デバイス300に提供される。代替として、パスワードは、認証プロセスによって、自動的に提供される。さらに代替として、パスワードは、管理者によって、手動で提供される。
【0026】
例えば、パスワードは、すべての事前プロビジョニングされた周辺メモリ記憶デバイスにわたって、ソフトウェアアプリケーションが、仮想ユーザアカウントをロック解除し、仮想ユーザパスワードを変更できるように、同一パスワードである。代替として、パスワードは、周辺メモリ記憶デバイス300の識別子のエンコードされたバージョン、例えば、その製造番号のハッシュである。これが該当する場合、エンコードプロセスの知識によって、パスワードは、ホストコンピュータシステムの実行の際、例えば、ソフトウェアプロセスによって、周辺メモリ記憶デバイス300から製造番号を読み出すことによって決定可能である。さらに代替として、パスワードは、ドングル等のセキュアデバイスによって、あるいは暗号鍵供託または鍵データベースによって決定される。
【0027】
第1のユーザアカウントが設定されると、典型的には、仮想ユーザのためのパスワードは、長いランダムまたは予測困難であって、多少一意であるパスワードに変更される。したがって、プロビジョニングソフトウェアまたはデバイスでさえ、もはや、事前プロビジョニングパスワードを介して、周辺メモリ記憶デバイス300へのアクセスを有していない。
【0028】
オプションで、新しいパスワードは、第1のユーザアクセス承認情報が忘却される、または損傷を受ける場合、あるいは第1のユーザがもはや利用可能ではない場合、管理者によってアクセス可能な管理メモリ空間内の周辺メモリ記憶デバイス300に記憶される。代替として、新しいパスワードは、パスワードデータベースまたはパスワード供託サービスに提供される。
【0029】
例えば、ポータブルデスクトップデータが、仮想ユーザアカウント内に記憶されるとき、第1のユーザがもはや利用可能ではない場合、デバイスは、管理者が、仮想ユーザアカウントのためのパスワードへのアクセスを有する限り、仮想ユーザアカウントにアクセスする別のアカウントを設定することによって、再プロビジョニングすることができる。
【0030】
単一ポータブルデスクトップが共有されるべきとき、複数のユーザアカウントが、同一仮想ユーザアカウントへの各アクセスに設定される。したがって、すべての変更は、同一ポータブルデスクトップデバイスのユーザ間で共有される。代替として、ユーザが、ポータブルデスクトップのいずれの局面も共有しないとき、事前プロビジョニングは、オプションで、同一デバイス内の多数の仮想ユーザアカウント、または代替として、同一デバイス内の多数の別個のポータブルデスクトップメモリパーティションを提供する。最終プロビジョニングプロセスの際、各パーティションまたは各仮想ユーザアカウントは、異なる認証データと別個に関連付けられる。
【0031】
図5を参照すると、短時間枠内で多くのデバイスを事前プロビジョニングするためのプロビジョニング方法の簡略化されたフロー図が示される。501では、デバイスは、デバイスデータライターに並列に挿入される。仮想ユーザデータを伴う、事前プロビジョニングされたオペレーティングシステムおよびアプリケーションの画像が、502において、デバイス内の記憶のために提供される。次いで、画像は、503において、デバイスのすべてに並列に記憶される。
【0032】
データが並列に記憶されると、各デバイスは、オプションで、504において、仮想ユーザアカウントのための新しいパスワードをその中に書き込むことによって、カスタマイズされる。例えば、各デバイスの製造番号に関連するパスワードが記憶される。代替として、デバイスはすべて、同じパスワードによって事前プロビジョニングされる。次いで、デバイスは、505において除去され、セキュアなユーザアカウントとともに、セキュアな方法でそこに記憶されたオペレーティングシステムおよびアプリケーションデータの事前プロビジョニングされたバージョンを有する。各周辺メモリ記憶デバイスに対して、以前には数時間かかっていたものが、今は、多くのデバイスに対して、ほとんど時間がかからない。オプションで、データは、コンピュータインターフェース、例えば、ユニバーサルシリアルバス(USB)インターフェースがバイパスされるように、製造前または後のいずれかに、周辺メモリ記憶デバイスの静的RAM内に直接記憶される。各デバイス内の静的RAMは、第1のパスにおいて、並列に書き込むことが可能であるため、集積回路は、それとともに周辺メモリ記憶デバイスを製造する前に、プログラムすることができる。
【0033】
事前プロビジョニングされたデバイスは、オプションで、インストールの任意の段階にある。ある実施形態では、事前プロビジョニングされたデバイスは、アプリケーションデータおよびインストールデータがすべて、実行のための準備ができているように、初回のために、既に実行された仮想ユーザアカウントの画像を有する。代替として、デバイスは、最初のオペレーティングシステム実行前に、画像によって事前プロビジョニングされ、各ユーザが、最初に、そのポータブルデスクトップを実行することを可能にする。さらに代替として、デバイスは、プロビジョニングの最終プロセスの際、デバイスに対するユーザの認証に応答して、ポータブルデスクトップおよびアプリケーションをインストールするためのソフトウェアによって事前プロビジョニングされる。
【0034】
図6を参照すると、プロビジョニングの最終プロセスを行う別の方法の簡略化されたフロー図が示される。ここでは、周辺メモリ記憶デバイス300は、601において、ホストコンピュータ以外によって給電される。周辺メモリ記憶デバイス300は、デバイスをプロビジョニングする管理ユーザにアクセス可能な仮想ユーザのための事前プロビジョニング認証データによって、事前プロビジョニングされる。例えば、組織の管理者は、その指紋によりセキュア化された仮想ユーザセキュリティによって、事前プロビジョニングされたデバイスを有する。代替として、別の生体、パスワード、またはセキュアなハードウェアデバイスを使用して、仮想ユーザセキュリティをセキュア化する。第1のユーザは、602において、指紋の形態におけるその認証情報をデバイスに提供する。603では、デバイスは、認証情報によってセキュア化された第1のユーザのためのアカウントを形成する。管理ユーザは、604において、事前プロビジョニング認証データまたは事前プロビジョニング認証データにアクセスするための情報をデバイスに提供し、次いで、605において、第1のユーザアカウントは、仮想ユーザアカウントへのアクセスが提供される。次いで、仮想ユーザアカウントのためのパスワードが、606において変更され、変更されたパスワードは、607において、第1のユーザアカウントデータ内に記憶され、第1のユーザが、デバイスに対して認証するときは常時、仮想ユーザのアカウントへのアクセスを提供する。オプションで、608に示されるように、変更されたパスワードは、事前プロビジョニング認証データと関連付けられて記憶される。
【0035】
事前プロビジョニングされたポータブルデスクトップデバイスをセキュア化することによって、プロビジョニングの最終プロセスが完了すると、セキュアまたは敏感なデータへのアクセスがサポートされるように、事前プロビジョニングの際、セキュアまたは敏感なデータをその中に記憶することが可能となることが想定される。例えば、それに遠隔からアクセスするための企業のサーバのそれぞれに対するパスワードおよびアクセス情報が、デバイスに書き込まれ、仮想ユーザアカウントにおいてセキュア化された画像内に記憶される。プロビジョニングの最終プロセスが完了すると、第1のユーザは、企業のサーバにアクセスすることが可能となる。有利には、セキュアまたは敏感なデータは、プロビジョニングの最終プロセスが行われる前後の両方に、デバイス内でセキュアな方法で記憶される。これは、事前プロビジョニングの柔軟性を向上させ、セキュアなデータをその中に含めることを可能にする。
【0036】
多数の他の実施形態が、発明の精神または範囲から逸脱することなしに想起される。
【特許請求の範囲】
【請求項1】
複数の周辺ポータブルデスクトップデバイスを事前プロビジョニングする方法であって、
該方法は、
該複数の周辺ポータブルデスクトップデバイスを提供することと、
該周辺ポータブルデスクトップデバイス内に記憶するために、画像に関連するデータファイルを提供することであって、該画像は、セキュア化されたデータを含み、該セキュア化されたデータは、仮想ユーザのユーザ承認データがない場合にはアクセス不可能である、ことと、
該複数の周辺ポータブルデスクトップデバイスのそれぞれの中に、該画像を反映するほぼ同一のデータを並列に記憶することと
を含む、方法。
【請求項2】
前記周辺ポータブルデスクトップデバイスは、それぞれ、ユニバーサルシリアルバス(USB)ポートを含む、請求項1に記載の方法。
【請求項3】
周辺ポータブルデスクトップデバイスは、それぞれ、個人の衣服内に適合するようにサイズ設定および構成される筐体を含む、請求項1に記載の方法。
【請求項4】
各周辺ポータブルデスクトップデバイスは、前記デバイスに対するユーザ認証がない限り、記憶されたデータの少なくとも一部へのアクセスを阻止するプロセッサを含む、請求項1に記載の方法。
【請求項5】
前記画像は、仮想ユーザアカウントに関連するデータを含み、該仮想ユーザアカウントは、パスワードおよび生体認証情報のうちの少なくとも1つによって保護される、請求項1に記載の方法。
【請求項6】
前記複数のポータブルデスクトップデバイスのそれぞれのパスワードおよび生体認証情報のうちの前記少なくとも1つが同じである、請求項5に記載の方法。
【請求項7】
前記複数のポータブルデスクトップデバイスのそれぞれのパスワードおよび生体認証情報のうちの前記少なくとも1つは、該複数のポータブルデスクトップデバイスの購入者の管理者の管理パスワードおよび生体認証情報のうちの少なくとも1つである、請求項6に記載の方法。
【請求項8】
パスワードおよび生体認証情報のうちの前記少なくとも1つは、パスワードを含み、前記複数のポータブルデスクトップデバイスのそれぞれのパスワードは異なる、請求項5に記載の方法。
【請求項9】
前記パスワードに関連するデータは、前記複数のポータブルデスクトップデバイスのそれぞれが、同一パスワードを記憶するように、前記画像内に存在し、
該複数のポータブルデスクトップデバイスの少なくともいくつかにおける該パスワードを、該ポータブルデスクトップデバイスのハードウェアに基づいた決定論的であるパスワードに変更することを含む、請求項8に記載の方法。
【請求項10】
前記画像は、複数の仮想ユーザアカウントのそれぞれに関連するデータを含む、請求項1に記載の方法。
【請求項11】
周辺ポータブルデスクトップデバイスであって、
筐体と、
ホストコンピュータと結合するためのポートと、
仮想ユーザのユーザアカウントのためにセキュア化されたデータを含むポータブルデスクトップデータが記憶されたデータ記憶媒体であって、該セキュア化されたデータは、仮想ユーザのユーザ承認データがない限りアクセス不可能であり、該仮想ユーザ該ユーザ承認データは、該ポータブルデスクトップデバイスのプロビジョニングのための最終プロセスにおいて使用するためのものである、データ記憶媒体と
を含み、該ポータブルデスクトップは、該仮想ユーザ以外の第1のユーザに対してプロビジョニングされてからのみ実行可能である、デバイス。
【請求項12】
前記ポートは、USBポートを含む、請求項11に記載の周辺ポータブルデスクトップデバイス。
【請求項13】
前記ポートに結合されたシステムと通信し、前記ポータブルデスクトップデータをセキュアにするためのプロセッサを含む、請求項11に記載の周辺ポータブルデスクトップデバイス。
【請求項14】
前記ポートに結合されたホストコンピュータシステムから独立して、ユーザのユーザ認証データを受信するためのユーザ認証データ入力ポートを含む、請求項13に記載の周辺ポータブルデスクトップデバイス。
【請求項15】
周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、
事前プロビジョニングされた周辺ポータブルデスクトップデバイスを受信することであって、該周辺ポータブルデスクトップデバイスは、仮想ユーザのユーザ承認データがない場合にはアクセス不可能である仮想ユーザアカウント内のセキュア化されたデータを含むデータが記憶されている、ことと、
該周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認することと、
該仮想ユーザアカウントが、該承認データに基づいてセキュア化されされるように、該仮想ユーザのアカウントを修正することと
を含む、方法。
【請求項16】
修正することは、前記仮想ユーザの承認データを介して、前記仮想ユーザアカウントにアクセスし、次いで、該仮想ユーザアカウントが、該承認データに基づいてセキュア化されるように、該仮想ユーザのアカウントを修正することを含む、請求項15に記載の方法。
【請求項17】
周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、
事前プロビジョニングされた周辺ポータブルデスクトップデバイスを受信することであって、該周辺ポータブルデスクトップデバイスは、仮想ユーザのユーザ承認データがない場合にはアクセス不可能であるセキュア化されたデータを含むデータが記憶されている、ことと、
第1のユーザ承認データを提供することによって、該周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認することと、
該第1のユーザのためのユーザアカウントを作成することであって、該セキュア化されたユーザアカウントは、該第1のユーザ承認データに基づく、ことと、
該ユーザアカウントを介して、該仮想ユーザの該アカウントにアクセスすることと、
該ユーザアカウントを、該ユーザアカウントへのアクセスに応じて、該仮想ユーザの該アカウントにアクセスするように構成することと
を含む、方法。
【請求項18】
前記仮想ユーザの承認データを第2のユーザ承認データに変更することを含む、請求項17に記載の方法。
【請求項19】
前記承認データは、ランダムおよび疑似ランダムパスワードのうちの1つを生成し、前記第2のユーザ承認データとして使用することを含む、請求項18に記載の方法。
【請求項20】
前記周辺ポータブルデスクトップデバイスの管理者セクション内に、前記第2のユーザ承認データを記憶することを含む、請求項18に記載の方法。
【請求項21】
前記周辺ポータブルデスクトップデバイス外での記憶のための前記第2のユーザ承認データ提供することを含む、請求項18に記載の方法。
【請求項22】
前記第1のユーザの認証データは、指紋データを含む、請求項17に記載の方法。
【請求項23】
前記ポータブルデスクトップデバイスに対して管理者を認証することを含み、認証は、仮想ユーザアカウントにアクセスするためのものである、請求項17に記載の方法。
【請求項24】
前記周辺ポータブルデスクトップデバイスから値を読み出すことを含み、前記仮想ユーザアカウントにアクセスするための認証データを決定する値に決定論的に基づく、請求項17に記載の方法。
【請求項25】
第2のユーザ承認データを提供することによって、前記周辺ポータブルデスクトップデバイスに対して、第2のユーザを承認することと、
該第2のユーザのための第2のユーザアカウントを作成することであって、前記第2のセキュア化されたユーザアカウントは、該第2のユーザ承認データに基づく、ことと、
該第2のユーザアカウントを介して、前記仮想ユーザの前記アカウントにアクセスすることと、
該第2のユーザアカウントを、該第2のユーザアカウントへのアクセスに応じて、該仮想ユーザのアカウントにアクセスするように構成する、ことと
を含む、請求項17に記載の方法。
【請求項26】
第2のユーザ承認データを提供することによって、前記周辺ポータブルデスクトップデバイスに対して第2のユーザを承認することと、
該第2のユーザのための第2のユーザアカウントを作成することであって、前記第2のセキュア化されたユーザアカウントは、該第2のユーザ承認データに基づく、ことと、
該第2のユーザアカウントを介して、第2の仮想ユーザのアカウントにアクセスすることと、
該第2のユーザアカウントを、該第2のユーザアカウントへのアクセスに応じて、該第2の仮想ユーザのアカウントにアクセスするように構成することと
を含む、請求項17に記載の方法。
【請求項27】
周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、
該周辺ポータブルデスクトップデバイスを提供することと、
該周辺ポータブルデスクトップデバイス内に、仮想ユーザのユーザ承認データがない場合にはアクセス不可能であるセキュア化されたデータを含む画像を反映するデータを記憶することと、
第1のユーザ承認データを提供することによって、該周辺ポータブルデスクトップデバイスに対して第1のユーザを承認することと、
該第1のユーザのためのユーザアカウントを作成することであって、該セキュア化されたユーザアカウントは、該第1のユーザ承認データに基づく、ことと、
該ユーザアカウントを介して、該仮想ユーザのアカウントにアクセスすることと、
該ユーザアカウントを、該ユーザアカウントへのアクセスに応じて、該仮想ユーザのアカウントにアクセスするように構成することと
を含む、方法。
【請求項1】
複数の周辺ポータブルデスクトップデバイスを事前プロビジョニングする方法であって、
該方法は、
該複数の周辺ポータブルデスクトップデバイスを提供することと、
該周辺ポータブルデスクトップデバイス内に記憶するために、画像に関連するデータファイルを提供することであって、該画像は、セキュア化されたデータを含み、該セキュア化されたデータは、仮想ユーザのユーザ承認データがない場合にはアクセス不可能である、ことと、
該複数の周辺ポータブルデスクトップデバイスのそれぞれの中に、該画像を反映するほぼ同一のデータを並列に記憶することと
を含む、方法。
【請求項2】
前記周辺ポータブルデスクトップデバイスは、それぞれ、ユニバーサルシリアルバス(USB)ポートを含む、請求項1に記載の方法。
【請求項3】
周辺ポータブルデスクトップデバイスは、それぞれ、個人の衣服内に適合するようにサイズ設定および構成される筐体を含む、請求項1に記載の方法。
【請求項4】
各周辺ポータブルデスクトップデバイスは、前記デバイスに対するユーザ認証がない限り、記憶されたデータの少なくとも一部へのアクセスを阻止するプロセッサを含む、請求項1に記載の方法。
【請求項5】
前記画像は、仮想ユーザアカウントに関連するデータを含み、該仮想ユーザアカウントは、パスワードおよび生体認証情報のうちの少なくとも1つによって保護される、請求項1に記載の方法。
【請求項6】
前記複数のポータブルデスクトップデバイスのそれぞれのパスワードおよび生体認証情報のうちの前記少なくとも1つが同じである、請求項5に記載の方法。
【請求項7】
前記複数のポータブルデスクトップデバイスのそれぞれのパスワードおよび生体認証情報のうちの前記少なくとも1つは、該複数のポータブルデスクトップデバイスの購入者の管理者の管理パスワードおよび生体認証情報のうちの少なくとも1つである、請求項6に記載の方法。
【請求項8】
パスワードおよび生体認証情報のうちの前記少なくとも1つは、パスワードを含み、前記複数のポータブルデスクトップデバイスのそれぞれのパスワードは異なる、請求項5に記載の方法。
【請求項9】
前記パスワードに関連するデータは、前記複数のポータブルデスクトップデバイスのそれぞれが、同一パスワードを記憶するように、前記画像内に存在し、
該複数のポータブルデスクトップデバイスの少なくともいくつかにおける該パスワードを、該ポータブルデスクトップデバイスのハードウェアに基づいた決定論的であるパスワードに変更することを含む、請求項8に記載の方法。
【請求項10】
前記画像は、複数の仮想ユーザアカウントのそれぞれに関連するデータを含む、請求項1に記載の方法。
【請求項11】
周辺ポータブルデスクトップデバイスであって、
筐体と、
ホストコンピュータと結合するためのポートと、
仮想ユーザのユーザアカウントのためにセキュア化されたデータを含むポータブルデスクトップデータが記憶されたデータ記憶媒体であって、該セキュア化されたデータは、仮想ユーザのユーザ承認データがない限りアクセス不可能であり、該仮想ユーザ該ユーザ承認データは、該ポータブルデスクトップデバイスのプロビジョニングのための最終プロセスにおいて使用するためのものである、データ記憶媒体と
を含み、該ポータブルデスクトップは、該仮想ユーザ以外の第1のユーザに対してプロビジョニングされてからのみ実行可能である、デバイス。
【請求項12】
前記ポートは、USBポートを含む、請求項11に記載の周辺ポータブルデスクトップデバイス。
【請求項13】
前記ポートに結合されたシステムと通信し、前記ポータブルデスクトップデータをセキュアにするためのプロセッサを含む、請求項11に記載の周辺ポータブルデスクトップデバイス。
【請求項14】
前記ポートに結合されたホストコンピュータシステムから独立して、ユーザのユーザ認証データを受信するためのユーザ認証データ入力ポートを含む、請求項13に記載の周辺ポータブルデスクトップデバイス。
【請求項15】
周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、
事前プロビジョニングされた周辺ポータブルデスクトップデバイスを受信することであって、該周辺ポータブルデスクトップデバイスは、仮想ユーザのユーザ承認データがない場合にはアクセス不可能である仮想ユーザアカウント内のセキュア化されたデータを含むデータが記憶されている、ことと、
該周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認することと、
該仮想ユーザアカウントが、該承認データに基づいてセキュア化されされるように、該仮想ユーザのアカウントを修正することと
を含む、方法。
【請求項16】
修正することは、前記仮想ユーザの承認データを介して、前記仮想ユーザアカウントにアクセスし、次いで、該仮想ユーザアカウントが、該承認データに基づいてセキュア化されるように、該仮想ユーザのアカウントを修正することを含む、請求項15に記載の方法。
【請求項17】
周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、
事前プロビジョニングされた周辺ポータブルデスクトップデバイスを受信することであって、該周辺ポータブルデスクトップデバイスは、仮想ユーザのユーザ承認データがない場合にはアクセス不可能であるセキュア化されたデータを含むデータが記憶されている、ことと、
第1のユーザ承認データを提供することによって、該周辺ポータブルデスクトップデバイスに対して、第1のユーザを承認することと、
該第1のユーザのためのユーザアカウントを作成することであって、該セキュア化されたユーザアカウントは、該第1のユーザ承認データに基づく、ことと、
該ユーザアカウントを介して、該仮想ユーザの該アカウントにアクセスすることと、
該ユーザアカウントを、該ユーザアカウントへのアクセスに応じて、該仮想ユーザの該アカウントにアクセスするように構成することと
を含む、方法。
【請求項18】
前記仮想ユーザの承認データを第2のユーザ承認データに変更することを含む、請求項17に記載の方法。
【請求項19】
前記承認データは、ランダムおよび疑似ランダムパスワードのうちの1つを生成し、前記第2のユーザ承認データとして使用することを含む、請求項18に記載の方法。
【請求項20】
前記周辺ポータブルデスクトップデバイスの管理者セクション内に、前記第2のユーザ承認データを記憶することを含む、請求項18に記載の方法。
【請求項21】
前記周辺ポータブルデスクトップデバイス外での記憶のための前記第2のユーザ承認データ提供することを含む、請求項18に記載の方法。
【請求項22】
前記第1のユーザの認証データは、指紋データを含む、請求項17に記載の方法。
【請求項23】
前記ポータブルデスクトップデバイスに対して管理者を認証することを含み、認証は、仮想ユーザアカウントにアクセスするためのものである、請求項17に記載の方法。
【請求項24】
前記周辺ポータブルデスクトップデバイスから値を読み出すことを含み、前記仮想ユーザアカウントにアクセスするための認証データを決定する値に決定論的に基づく、請求項17に記載の方法。
【請求項25】
第2のユーザ承認データを提供することによって、前記周辺ポータブルデスクトップデバイスに対して、第2のユーザを承認することと、
該第2のユーザのための第2のユーザアカウントを作成することであって、前記第2のセキュア化されたユーザアカウントは、該第2のユーザ承認データに基づく、ことと、
該第2のユーザアカウントを介して、前記仮想ユーザの前記アカウントにアクセスすることと、
該第2のユーザアカウントを、該第2のユーザアカウントへのアクセスに応じて、該仮想ユーザのアカウントにアクセスするように構成する、ことと
を含む、請求項17に記載の方法。
【請求項26】
第2のユーザ承認データを提供することによって、前記周辺ポータブルデスクトップデバイスに対して第2のユーザを承認することと、
該第2のユーザのための第2のユーザアカウントを作成することであって、前記第2のセキュア化されたユーザアカウントは、該第2のユーザ承認データに基づく、ことと、
該第2のユーザアカウントを介して、第2の仮想ユーザのアカウントにアクセスすることと、
該第2のユーザアカウントを、該第2のユーザアカウントへのアクセスに応じて、該第2の仮想ユーザのアカウントにアクセスするように構成することと
を含む、請求項17に記載の方法。
【請求項27】
周辺ポータブルデスクトップデバイスをプロビジョニングする方法であって、
該周辺ポータブルデスクトップデバイスを提供することと、
該周辺ポータブルデスクトップデバイス内に、仮想ユーザのユーザ承認データがない場合にはアクセス不可能であるセキュア化されたデータを含む画像を反映するデータを記憶することと、
第1のユーザ承認データを提供することによって、該周辺ポータブルデスクトップデバイスに対して第1のユーザを承認することと、
該第1のユーザのためのユーザアカウントを作成することであって、該セキュア化されたユーザアカウントは、該第1のユーザ承認データに基づく、ことと、
該ユーザアカウントを介して、該仮想ユーザのアカウントにアクセスすることと、
該ユーザアカウントを、該ユーザアカウントへのアクセスに応じて、該仮想ユーザのアカウントにアクセスするように構成することと
を含む、方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公表番号】特表2013−506208(P2013−506208A)
【公表日】平成25年2月21日(2013.2.21)
【国際特許分類】
【出願番号】特願2012−531197(P2012−531197)
【出願日】平成22年9月30日(2010.9.30)
【国際出願番号】PCT/CA2010/001555
【国際公開番号】WO2011/038505
【国際公開日】平成23年4月7日(2011.4.7)
【出願人】(597039021)イメーション コーポレイション (5)
【Fターム(参考)】
【公表日】平成25年2月21日(2013.2.21)
【国際特許分類】
【出願日】平成22年9月30日(2010.9.30)
【国際出願番号】PCT/CA2010/001555
【国際公開番号】WO2011/038505
【国際公開日】平成23年4月7日(2011.4.7)
【出願人】(597039021)イメーション コーポレイション (5)
【Fターム(参考)】
[ Back to top ]