信頼できるコンピューティング方法、コンピューティング取引方法、及びコンピュータシステム
【課題】より脆弱性の低い効率的なデータ保護を提供する。
【解決手段】本開示の実施形態は、対象のサービスプロバイダに関する機能を有する専用仮想マシンイメージ(DVMI)を発生させ、そのDVMIを専用仮想マシン(DVM)としてホスト装置で立ち上げることを提供する。信頼できる専用仮想マシン(TDVM)としての、DVMI及び/又は立ち上げられるDVMの測定は、対象のサービスプロバイダのサーバへ送られる。対象のサービスプロバイダは、その測定に基づいてTDVMに関する信頼度を決定し、TDVMの信頼度に従ってTDVMへ対象のサービスプロバイダのサーバによってサービスのレベルを提供する。
【解決手段】本開示の実施形態は、対象のサービスプロバイダに関する機能を有する専用仮想マシンイメージ(DVMI)を発生させ、そのDVMIを専用仮想マシン(DVM)としてホスト装置で立ち上げることを提供する。信頼できる専用仮想マシン(TDVM)としての、DVMI及び/又は立ち上げられるDVMの測定は、対象のサービスプロバイダのサーバへ送られる。対象のサービスプロバイダは、その測定に基づいてTDVMに関する信頼度を決定し、TDVMの信頼度に従ってTDVMへ対象のサービスプロバイダのサーバによってサービスのレベルを提供する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、仮想器具(VA(virtual appliance))に関する。
【背景技術】
【0002】
インターネットを介する通信で、当事者は、実際には、誰が、何をその者と通信しているのかを知らない。例えば、SSL、VPN等の、通信チャネルの保護は、インターネット上で他の当事者を信用する危険性を評価する必要があるために、不十分ながら必要である。
【発明の概要】
【発明が解決しようとする課題】
【0003】
本発明は、より脆弱性の低い効率的なデータ保護を提供する、信頼できるコンピューティング方法、コンピューティング取引方法、及びコンピュータシステムを提供することを目的とする。
【課題を解決するための手段】
【0004】
本発明の実施形態は、仮想器具(VA)に関する。例えば、かかる実施形態は、単一のサービスプロバイダを対象とする機能のみを有する専用仮想マシン(DVM(Dedicated virtual machine))を発生させ、そのDVMを持ち運び可能な携帯装置に記憶し、その持ち運び可能な計算装置によってホスト装置へ通信上接続し、そのホスト装置を照合し、そして、その照合の成功した結果に従ってホスト装置でDVMを立ち上げることを提供する。立ち上げられたDVMを通してサービスプロバイダのサーバにアクセスすると、その立ち上げられたDVMは測定され、信頼できる専用仮想マシン(TDVM(Trusted DVM))としての、DVMの測定の認定報告がサービスプロバイダのサーバへ送られる。サービスプロバイダは、その認定報告に基づいて、TDVMに関する信頼度を決定し、そのTDVMの信頼度に従ってTDVMへサービスのレベルを提供する。
【0005】
これらは、以下で明らかにされる他の態様及び利点とともに、より完全に以下で記載及び請求される構成及び動作の詳細にある。これらの一部を形成する添付の図面が参照されるべきである。なお、同じ参照符号は、全体を通して、同じ部分を表すものとする。
【発明の効果】
【0006】
開示される方法及びシステムによれば、より脆弱性の低い効率的なデータ保護を提供することができる。
【図面の簡単な説明】
【0007】
【図1A】オンライン取引の図である。
【図1B】本発明の実施形態に従う、信頼できるコンピューティングとしてのオンライン取引での信頼できるVaacの認定報告の図である。
【図1C】本発明の実施形態に従う、信頼できるVaaCに基づく信頼できるコンピューティング/トラストキューブ(Trust Cube)のフロー図である。
【図2A】本発明の実施形態に従う、各別個の測定エージェントを備えた仮想マシン、及びVaaCに基づく信頼できるコンピューティングのコンピュータシステム図である。
【図2B】本発明の実施形態に従う、一体化された測定エージェントを備えた仮想マシン、及びVaaCに基づく信頼できるコンピューティングのコンピュータシステム図である。
【図2C】本発明の実施形態に従う、信頼できるプラットフォームモジュール(TPM)に封印されている生体計測データを有する仮想マシン(VM)イメージのコンピュータシステム図である。
【図2D】本発明の実施形態に従う、mBoxにより立ち上げられるDVMのコンピュータシステム図である。
【図3】本発明の実施形態に従う、信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うフローチャートである。
【図4A】実施形態に従う、信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うコンピュータシステムの機能ブロック図である。
【図4B】図4Aのコンピュータシステムで信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うフローチャートである。
【図5A】実施形態に従う、信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うコンピュータシステムの機能ブロック図である。
【図5B】図5Aのコンピュータシステムで信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うフローチャートである。
【図6】本発明の実施形態のコンピュータの機能ブロック図である。
【発明を実施するための形態】
【0008】
図1Aは、サービスプロバイダ(サーバ)102とクライアント90との間のオンラインでの取引(transaction)の図である。図中、サービスプロバイダ102は、クライアント90を自信を持って信頼できるほどクライアント90に関する十分な知識を有していない。ここで、用語“クライアント”とは、クライアント−サーバ間コンピュータシステムアーキテクチャにおけるクライアント装置90としてのクライアントコンピューティング、及びサービスプロバイダへのアクセス要求者の任意の組み合わせである。同様に、ここで、用語“サーバ”とは、クライアント−サーバ間コンピュータシステムアーキテクチャにおけるサーバコンピューティング、及びサービスを提供するエンティティの任意の組み合わせである。本発明の実施形態は、サービスプロバイダにとっての信頼できるクライアントに関して記載されるが、本発明はこのような構成に限られず、クライアントにとっての信頼できるサービスプロバイダも提供され得る。
【0009】
語「専用仮想マシンイメージ(DVMイメージ)100」とは、クライアント(VaaC)100’としての仮想マシンの、未だ立ち上げられない(実行されない)コンピュータファイルをいい、故に、立ち上げられているDVMイメージ100はVaaC100’である。仮想マシン(VM)は、何らかのVM発生器(例えば、VMWAREワークステーション。)を用いて発生可能である。DVMイメージ100は、ディスクイメージ及び/又はメモリイメージを含む。実施形態の一観点に従って、VaaC100’は、特定の目的(特定の機能)を有する仮想マシンであり、ここでは専用仮想マシン(DVM100’)とも呼ばれる。例えば、VaaC100’は、目的とするサービスを提供するために必要とされる単一のアプリケーションを実行することに専念する。例えば、例えば制限なく、目的とするサービスを提供するよう単一の対象ウェブサイトへのみ接続可能である単一のブラウザが、データを管理(例えば、取り出し、更新、付加、変更、処理、解析等。)する。信頼できるVaaC(又は信頼できるDVM(TDVM))100”とは、測定されるVaaC100’をいい、これに基づき、信頼度は、例えばサービスプロバイダ102によって、確立/決定されている。用語“測定(measurement)”とは、何らかの長さの入力データ列の固定長のデジタル表現、すなわち、何らかのVMハードディスク及び/又はメモリイメージを含む入力DVMイメージ、並びに/あるいは何らかの計算装置のファイル(例えば、ソフトウェアアプリケーションのファイル、データファイル。)であって、例えば、DVMイメージ100及び/又は計算装置のファイルでの何らかの変更を検出するために以前に収集された他の測定との比較によって、DVMイメージ100及び/又は計算装置のファイルを照合するために使用されるものをいう。
【0010】
実施形態の一観点に従って、DVMイメージ100は、DVMイメージ100のファイルをコンピュータで仮想ディスクにマッピングし、仮想マシン環境(仮想CPU、仮想メモリ、仮想ハードウェア等)をセットアップし、その仮想環境を仮想ディスクにあるファイルを用いてブートする、何らかのVM立ち上げソフトウェア又は仮想マシンモニタ/マネージャ(VMM104)(例えば、VMWARE PLAYER)によって立ち上げられる。実施形態の一観点に従って、DVMイメージ100は極めて大きいサイズ(数ギガバイト)を有しうるので、DVMイメージ100が第1の装置にある場合に、第2の装置で実行するVM立ち上げソフトウェアは、DVMイメージ100を第2の装置で立ち上げるためにDVMイメージ100の全ての及び/又は一部の構成要素を第2の装置にコピーすることはできない。しかし、代わりに、VM立ち上げソフトウェアは、第1の装置からのDVMイメージ100を立ち上げて、直接に作用することができる。
【0011】
従前、VMイメージが立ち上げられる場合に、何らかの変更が、VMイメージを異ならせるようVM内の仮想ディスクでなされた。これは、信頼できるコンピューティングに使用可能でないVMイメージの如何なる以前の測定もレンダリングするが、VMイメージが使用されるたびに再測定を必要とした。従って、実施形態の一観点に従って、VaaC100’は、VaaC100’がシャットダウンされた後にVaaC100’への如何なる変更も捨てることによって、読出専用である。この読出専用特性を達成する幾つかの方法が存在する。1)特定のVMNは、VMN104をオフした後にVMイメージを最初の状態に戻すことによって、この読出専用機能をサポートする。2)例えば、DVMI100を立ち上げる前に、DVMI100のスナップショットを生成し、更に、VMN104をオフした後に、そのスナップショットに戻すことによって、ファイルシステムを介して制御される。
【0012】
実施形態の一観点に従って、クライアント(VaaC)100’としての仮想マシンは、クライアント側の環境を測定する複雑性を低めるようクライアント側で仮想マシン(VM)技術を提供する。これにより、例えば、信頼できるVaaC100”としての、検証可能である(例えば、サーバから検証可能である)十分に信頼できるクライアントを確立することが実現可能である。本発明の一観点に従って、目的を制限された(例えば、単一の目的の)読出専用仮想マシン(VM)は、クライアント側の環境を測定する複雑性を低めるようVaaC100’としてクライアント側で提供される。これにより、同じく検証可能である(例えば、サーバから検証可能である)十分に信頼できるクライアントを確立することが実現可能である。
【0013】
実施形態の一観点に従って、VaaCのDVMイメージ100は、コンピュータ読出可能な指示(ソフトウェア)を処理するコンピューティングプロセッサ(CPU)及びデータ記憶部(例えば、メモリ。)を有するDVMイメージ100装置としての何らかの計算装置(計算力を備えた何らかの装置)によって(制限なく)含む無数の技術に従って、サービスプロバイダサーバ102と通信するVaaCホスト、例えば、VaaCクライアントホスト90へ伝送/提供及び/又は送信される。実施形態の一観点に従って、DVMイメージ装置は、CPU、何らかの形態のデータ記憶部(例えば、メモリ、ハードディスク等。)及び/又は信頼できるプラットフォームモジュール(TPM)を含む移動可能(持ち運び可能)な筐体を有する移動可能なトラストボックス(Trust Box)(mBox)110であっても良い。TPMの概念は知られている。
【0014】
実施形態の一観点に従って、DVMイメージ装置、例えば、mBox110は、VaaCクライアントホスト90の測定が望ましくない場合に、DVMイメージ100の立ち上げ(リリース)を遮る。
【0015】
実施形態の一観点に従って、VaaCのDVMイメージ100は暗号化され、DVMイメージ100のリリースの一端として(リリースの前、間及び/又は後)、暗号化されたDVMイメージ100への暗号キーが利用可能にされる。実施形態の一観点に従って、DVMイメージ100を復号化する暗号キーは、VaaCクライアントホスト90によって、若しくは他のサーバを介して、又はそれらの任意の組み合わせによって、DVMイメージ装置、例えばmBox110によって提供され得る。
【0016】
実施形態の一観点に従って、記載される特徴の如何なる組み合わせも提供され得る。更に、実施例が、DVMイメージ装置の例としてmBox110を参照して且つVaacホストとしてVaacクライアントホスト90を参照して記載されるが、本発明の実施形態は、このような構成に限られず、Vaacホストは、クライアント及び/又はサーバ、並びにDVMイメージ装置が、VaacのDVMイメージを記憶及び/又は保護する(場合によっては)移動可能な若しくは移動不可能な又は固定のどのような計算装置であるかに関わらず、Vaac100’を動作させる(実行する)何らかの計算装置でありうる。
【0017】
図1Bは、本発明の実施形態に従う、信頼できるコンピューティングとしてのオンライン取引での信頼できるVaaCの認定報告の図である。図1Bで、クライアント装置90での信頼できるVaaC100”は、信頼できる環境でSaaS(Software as a Service)及び他のオンライサービスのためのクライアントとして使用される、測定される特定目的の仮想器具である。これの重要な一面は、信頼できるVaaC100”が、誰、どれ、及びその環境に関する認定できる又は信頼できる報告を通してサービスプロバイダ102によって信用され得る場合に、測定されるVaaC100’であることである。この信用認定報告は、トラストキューブ(Trust Cube)(誰、どれ及び/又はコンピューティング環境)のインフラ、例えば、ハードウェア保護の生体計測認証といった、ハードウェア保護認証と組み合わされる信頼できるコンピューティング環境のための富士通(登録商標)のコンセプト、によって可能にされ得る。認定報告とは、適用基準に従って一連の信頼を確立するために使用可能な信頼情報のサマリをいう。誰、何及び/又はコンピューティング環境に関する信頼情報は、ユーザ情報(例えば、パスワード、ユーザID等。)、署名、及びコンピューティング環境測定(例えば、信頼できるVaaC100”、ホスト90の測定、TPMに関するデータ及び/又は測定。)、暗号化に関連する情報(キー)、及び一連の信頼情報の任意の組み合わせを含みうる。このようにして、実施形態の一観点に従って、VaaC100’の測定を含む認定報告は、一連の信頼が正しいことを検証することによって報告を保証し、VaaC100’の測定を予め記憶されている測定と比較して、信頼できるVaaC100”としてVaaC100’を認定するようサービスプロバイダ102へ送信される。
【0018】
図1Cは、本発明の実施形態に従う、信頼できるVaaCに基づく信頼できるコンピューティング/トラストキューブのフロー図である。図1Cにおいて、150で、信頼できるVaaC100”は、誰、何、及びその環境に関する認定報告をサービスプロバイダ102へ与える。152で、サービスプロバイダ102は、信頼できるVaaC100”からの報告を確認し、危険性を決定する。154で、サービスプロバイダ102は、152での危険性評価に基づくサービスを提供する。トラストキューブ又は信頼できるコンピューティングに関する基本的な考えは、特定のサービスについての専用端末、例えば、銀行取引のためのATM(現金自動預け払い機)、軍事用途のための専用の特別端末等を鑑みて、容易に理解される。このような専用端末は、単純に、ネットワーク上で遠隔サービスにアクセスする能力を有する装置である。しかし、ユーザにとって、オンライン(インターネット)銀行取引よりもATMでの取引を行う方が、あるいは、軍事用途のために特に安全な場所から軍事データにアクセスする方がよりずっと快適である。銀行の場合に、サービスプロバイダとしての銀行が、どの機械がサービスプロバイダとして銀行にアクセスしているか、どのようなハードウェア/ソフトウェア構成を機械が有しているか、及び機械が(設定が少なくとも容易には変更され得ないように)物理的に不正操作できないことを正確に知っている場合は、銀行が取引の有効性に対して更なる信頼を有することを容易に想像できる。同じく、同様の状況下で、軍隊は、遠隔のデータアクセス要求が有効であるという更なる信頼を有しうる。生体計測センサを備えたATMの場合に(例えば、日本の多数のATMは、現在、手のひら静脈センサを備えられている。)、銀行は、生体計測センサが、生体計測の認識結果が不正に変更されないように、物理的に不正操作できない筐体内で安全に構成されることを知っている。
【0019】
従って、このような専用端末が各オンラインサービスごとに提供され得る場合は、サービスプロバイダは、その利用者が、はびこるウィルス、破壊工作ソフト、及びボットネットのような脅威を伴うオンラインサービスにとっての現在の厳しい環境でさえ、極秘データにアクセスしたり又は取引を行ったりすることを無理なく可能にすることができる。しかし、各個人にこのような専用端末を提供することは法外に費用がかかり、非現実的であり、起こりそうもない。
【0020】
専用端末による解決法の根底には、端末同一性、端末のハードウェア/ソフトウェア構成、及びそのユーザ同一性の認識があり、サービスプロバイダは、装置が容易に不正変更され得ないことを確実と思う。
【0021】
サービスプロバイダが、それら自身の専用端末に関する認識と同じくらい堅個な認識を得ることができる場合は、それは、全体のオンラインサービスの展望を変更しうる。信頼できるコンピューティング及びトラストキューブは、サービスプロバイダが利用可能であるこのような認識のために、クライアントの誰、何、環境に関する認定報告をサービスプロバイダへ提供するよう提案されている。クライアント装置からサービスプロバイダへの、例えば、唯1つのTPM(信頼できるプラットフォームモジュール)のような、単独のハードウェアに基づく認定報告は(信用できなくなったかどうかが検出可能である最低限で)危険でない。このようにして、サービスプロバイダは、この認定報告を通してクライアント端末の認識において高レベルの信頼を有することができる。
【0022】
しかし、ソフトウェア及び/又はデータのみの“信頼”状態に基づいて、あるいはハードウェア、特に、最新の重いOSと組み合わせて、認定報告を実施することは容易な課題ではない。ソフトウェアに基づく認定報告は、以下の理由により困難である:
(1)アプリケーションの保護並びにOS内の測定及び報告エージェントの保護はほとんど不可能であること,
(2)システムの測定は時間がかかり、報告のサイズはむしろ莫大であること,並びに
(3)生体計測センサを安全に報告エージェントへ接続すること及びプライバシー(ユーザの生体計測データ)を保護することは容易でないこと。
【0023】
信頼できるコンピューティングは、それらの障害により、その期待を満たすに及ばない。(1)に関して、様々な安全保障要件を伴う多数のアプリケーションが1つのOSに共存する。OSが強い保護を求めるアプリケーションに極めて制限される場合に、そのことにより、OSは他のアプリケーション及び目的に使用できなくなる。サービスプロバイダへの認定報告を保証するために、OS全体及びそのアプリケーションは、脆弱性を伴わずに危険にさらされない必要がある。しかし、それは極めて難しい課題でありうる。測定及び報告エージェント自体がこのようなOS内で実行されてOSから報告する必要がある場合に、サービスプロバイダが報告の信頼可能性を決定することは、クライアントにある全ての構成要素を知るよう管理される場合でさえ非常に大きな課題でありうる(構成要素の特定の組み合わせにより引き起こされる問題/脆弱性も存在しうる。)。
【0024】
項目(2)は、信頼できるコンピューティング及び認定報告を現実的なものとするために重要な課題である。例えば、ウィンドウズ(登録商標)ビスタでは数十万のファイル(数十GBの総サイズ)を容易に有することが可能である。約1000のファイルを走査するのに6秒かかり、報告のサイズが現在のラップトップPCで138KBであるという経験に基づく事実について考えると、クライアント及びネットワークに対する有用性、実用性及び負荷に関する影響を想像することは容易である。それは、また、多数のクライアントからの莫大な報告を扱う必要があるサービスプロバイダの側で大きな負担を生み出しうる。
【0025】
(3)を考慮して、生体計測センサは、報告エージェント及び/又は報告エージェントが依拠するハードウェア(例えば、TPM。)へ安全に接続される必要がある。その場合にのみ、“誰か”に関する認定報告が可能である。しかし、生体計測センサから報告エージェント及び/又はその依存するハードウェアへの、最新の重いOSにおけるパスを保護することは極めて難しい。また、ユーザの生体計測データをその場でしか使えず且つ外部に公開されないよう保つことは、プライバシーに関する懸念にとって重要である。
【0026】
図2Aは、本発明の実施形態に従う、測定エージェントを有する仮想マシン及びVaaCに基づく信頼できるコンピューティングのコンピュータシステム図である。前出の問題を回避するために、仮想マシンは、技術的に、信頼できるコンピューティングにおいて用いられてきた。仮想マシンモニタ(VMM又はハイパーバイザ(hypervisor))104は、VMM104で実行されているVaaC100’としての仮想マシン(VM)を互いに分離することができ、そのトップで実行されているVMに適切な保護を与えることができる。信頼できるコンピューティングでは、ストラテジ(strategy)は、測定及び報告エージェントによりVMM104及びそのVaaC100’を測定し、認定報告を用いて、それらのVaaC100’からサービスプロバイダ102へそれらの測定を報告することである。サービスプロバイダ102は、VMM104及びそのVaaC100’が危険でないことを確かに知っている(あるいは、もしあれば、危険であることを検出する)。図2A〜2Cでは、信頼できるチャネルが相互VM通信に提供される。例えば、信頼できるチャネルは、VMM104によって、すなわち、エージェントを有するVM106とVaaC100’との間で確立され得る。
【0027】
図2Bは、本発明の実施形態に従う、測定エージェント及びVaaCを備えた仮想マシンに基づく信頼できるコンピューティングのコンピュータシステム図である。図2Bで、測定及び報告エージェントは、VaaC100’自体又は別個のVM106で実行され得る。それにも関わらず、サービスプロバイダ102は、(場合によっては)測定及び報告エージェントを実行するVM100’、106が危険でなく、他のVM及びVMMから保護されていることを知っている。VaaC100’は、例えばウィンドウズ(登録商標)のような汎用のOSを起動することができ、並行して、エージェントを実行するVM106及びそれらのエージェントは、汎用OSを測定し、認定報告をサービスプロバイダ102へ送信することができる。以前は、仮想マシン技術は、他のVMで測定及び報告エージェントを実行することによって部分的に(1)を解決するよう、信頼できるコンピューティングと組み合わされてきた。しかし、それは、前出の全ての問題(1)乃至(3)を解決せず、また、それは、それらの問題を解消すべく、信頼できるVaaC100”の導入を必要とする。VMM104はホスト/クライアント90で実行されているので、例えばマイクロソフト(登録商標)のウィンドウズのような信頼できないVM、及び例えば信頼できるVaaC100”のような信頼できるVMは、ホストPC90で実行されている。故に、1つの攻撃例には、例えばウィンドウズのような信頼できないVMがVaaC100’及び/又はエージェントを有するVM106でコンテンツを変更して、報告プロシージャを操作し及び/又はサービスプロバイダ102からサービスを得るべく、VMM104を介してコマンドを送ることがある。
【0028】
図2A及び2Bで、実施形態の一観点に従って、特定の目的、例えば、単一の目的を伴う、余分の装備を取り除いたOS及びアプリケーションが、サービスのためのクライアント(信頼できるVaaC)100”として、信頼できるVMで使用される。余分の装備を取り除いたOS及び限定された目的のクライアントアプリケーションを有する、測定されるVaaC100’は、ここでは、信頼できるVaaC100”と呼ばれる。
【0029】
VaaC100’で、ファイルの数及び全てのファイルの総体的サイズは小さいので、測定は極めて瞬時に行われ得、報告サイズはより一層小さい。従って、VaaC100’における特定目的のOS/アプリケーションは、(2)の問題を解決する。数個のファイルが(ハードディスクのパーティションにおける個々のファイルに代わって)仮想のハードディスクイメージ及び仮想のメモリイメージに使用される場合に、測定時間及び報告サイズは有意に小さくされ、認定報告をより一層実用的なものとする。クライアント(すなわち、信頼できるVaaC100”)での信頼できる仮想の特定目的OS/アプリケーションは、サービスプロバイダが報告を検証することをより容易にする。実施形態の一観点に従って、信頼できるVaaC100”は読出専用であっても良い。これにより、仮想の限られた目的のOS/アプリケーションが使用される場合に、同じファイル及び/又はメモリイメージ(それらは、別個のファイル又は仮想のハードディスクイメージのいずれか一方である。)が、信頼できるVaaC100”が使用された後にファイル及び/又はメモリイメージに対してなされた変更を捨てることによって、何度も繰り返して使用され得る。それにより、サービスプロバイダ102による報告の確認は、より一層容易な課題となる。
【0030】
仮想マシン技術の導入は、何らかのコンピューティング環境にある信頼できるVaaCに関する考えを現実的なものとする。専用の実際のハードウェア端末を各ユーザへ分配することは、極めて費用がかかることであり、非現実的である。VMM104による分離は、信頼できるVaaC100”を汎用のOSの次に実行するために利用される。ユーザは、通常、例えばウィンドウズ(登録商標)のような汎用のOSで日常的なアプリケーションに働きかけることができる。ユーザが金融取引又は極秘データへのアクセスを行う必要がある場合にのみ、ユーザは信頼できるVaaC100”へ切り替えることができる。信頼できる仮想の単一の専用装置を信頼できるVaaC100”を介して多目的環境に設置することは、解決法を費用効果の高いものとする。信頼できるVaaC100”へ切り替えられる場合に、モードは、信頼できるVaaCモードと呼ばれ得る。
【0031】
実施形態の一観点に従って、信頼できるVaaC100”に設けられる機能が少なくなればなるほど、その特定の目的には不必要である機能は省略されるので、信頼できるVaaC100”に関して測定されるべきファイル、状態、及び他の構成要素の数及び総サイズは小さくなる。汎用のOSに関しては、多種多様なアプリケーションに適応するよう可能な限り多くの機能を有することがまさに汎用OSにとっては重要な点であるために、測定効率を高めるためにその機能を省略することは非常に困難である。
【0032】
また、実施形態の一観点に従って、信頼できるVaaC100”が読出専用であることに留意することも極めて重要である。言い換えると、信頼できるVaaC100”への如何なる変更も、仮想のハードディスクドライブイメージ及び仮想のメモリイメージを含む、信頼できるVaaC100”の毎回の使用後に捨てられる。これは、その目的のその特異性のためであり、全ての要件は、最初の設定に組み込まれ得る。それは、専用の端末又は器具と同様の変更を全く必要としない、又はわずかに必要とする。対照的に、汎用OSは、このような高度な機能を有することができない。例えば、それは、多種多様なアプリケーションに適応する自身の必要性のために、その状態(特にファイル)の制御を有することができない。汎用OSでのウェブブラウザでさえその履歴、ブックマーク、クッキー、キャッシュ等に関してファイルの書換を必要とする。信頼できるVaaC100”がその特定の目的のためにウェブブラウザを使用する場合でさえ、それは、アクセスすべきサイトが固定されているために、このような書換を必要としない。
【0033】
この特徴(信頼できるVaaC100が変更を捨てることができること。)は、信頼できるVaaC100の極めて重要な利点をもたらす。VMとしての信頼できるVaaC100は、その仮想のハードディスクドライブ及び/又はそのメモリに関して数個のファイルを使用することができる。かかる数個のファイルは、その寿命の間不変であり、単一のディクショナリ又は極めて簡単なディクショナリ構造において一定に置かれ得る。複雑なディクショナリ構造において膨大な変化するファイルを測定することに代えて、信頼できるVaaC100”の測定エージェントは、均一の又は簡単なディクショナリ構造において、数個の不変のファイルを測定する。また、ファイルの総サイズが小さくなればなるほど、測定はますます高速になる。例えばセキュア・ハッシュ・アルゴリズム(SHA)(例えば、SHA1。)のような測定アルゴリズムは極めて軽いので、測定は、かかる数個のファイルの順次的な読み出しを超える不利益をほとんど伴うことなく極めて瞬時に行われるべきである。
【0034】
専用端末に対する信頼できるVaaC100”の1つの例となる利点は、信頼できるVaaC100”が実行される主要な対象のプラットフォームであるべきPC用のCPUが、専用の端末及び器具のかかるCPUよりもずっと速いことである。測定は、極めて短時間に行われ、結果として得られる測定報告は大いにより小さくなる。また、それは、より小さい報告から一定の測定を確認して、サービスプロバイダがクライアントとの一連のアクションを決定するためのシステムの負荷及び複雑性を減らす。
【0035】
信頼できるVaaC100”は、概して、そのラインタイム測定に関してもより一層努力を必要としない。これは、そのラインタイムの間の構成要素の変更がより少ないことが、その目的の特異性によるためである。
【0036】
図2Cは、信頼できるプラットフォームモジュール(TPM)によって封印されている生体計測データを有する専用仮想マシン(DVM)イメージのコンピュータシステム図である。図2Cで、生体計測センサは、VMM104及びVM(これはVaaC100’又は他のVM106であっても良い。)を介して報告エージェントへ接続され得る。図2Cで、ユーザの生体計測データ(及び極めてありそうな生体計測認識プログラム)を有するVaaC100’を立ち上げるためのDVMイメージ100は、TPM607に封印されている暗号キーにより暗号化され得る。(VMM104及び/又は生体計測センサを有する)プラットフォームがTPM607によって危険でない(例えば、プラットフォームは最後の時点から変更されない。)と確認されない限り、暗号キーは取り出されず、従って、ユーザの生体計測データ及びプライバシーを強力に保護することができる。具体的に、ブーティング時間の間、(VMM104及び/又は生体計測センサ108を含む)プラットフォーム90のスナップショットが生成され、特定のTPMプラットフォーム設定レジスタ(PCR(Platform Configuration Registers))へ拡張される。かかるTPM PCRの値は、VMM104及び/又は生体計測センサ108が変更されない限り、常に同じである。暗号キーは、また、既知の正確なPCR値によって封印され得る。幾つかの理由のために正確な値が生成され得ない場合は、キーは、正確には復号化されない。ここで、用語“拡張(extend)”、“封印(seal)”及び“PCR”は、信頼できるコンピューティングでは既知の概念である。他の方法は、TPMによって封印されているキーによって暗号化されるユーザの生体計測データのみを保持することであり、この場合に、生体計測センサから報告エージェントへの経路は完全には保護されない一方、重要なことは、サービスプロバイダ102が、どのようにかかるVMM104及びDVMイメージ100が認定報告を通して保護されるかを効果的に評価して、どれくらい生体計測認識の結果が信頼できるかを評価することができることである。このことは、コアの考え方が、サービスプロバイダ102の信頼境界が、信頼できるVaaC100”を含み、更に生体計測センサを含むようネットワーク上で拡張され得ることであるために、問題(3)に対処する。これは、利用者が取引又は極秘データへのアクセスを行うことを可能にするよう、専用端末と同じ信頼度をサービスプロバイダ102に提供する。
【0037】
図2Dは、mBoxにより立ち上げられるDVMイメージ100のコンピュータシステム図である。実施例の他の態様に従って、VaaCはmBox110と組み合わされる。例えば、mBox110は、ホストPC90のインテグリティを確認後にホストPC90へDVMイメージ100(及び潜在的にVMMソフトウェア104)を提供するUSB装置である。ホストPC90で、DVMイメージ100は、VaaC100’、及び信頼できるVaaC100”としての最終的な実行として、実行される。信頼できるVaaC100”は小さいので、mBox110でそのDVMイメージ100を保持するために必要とされる記憶空間はより小さくて済む(あるいは、同じ記憶空間におけるそのDVMイメージ100はより多く記憶され得る。)。あるいは、DVMイメージ100がネットワークを通して伝送される場合に、その伝送は、より少ない時間及び/又は帯域幅にありうる。図2Dで、mBox110は、DVMイメージ100及び/又はそれに記憶されるVMMソフトウェア104を復号化するキーを保護するために、及び/又はmBox110で係るデータのインテグリティを確認するために、ホスト/クライアント90のTPM607aに関してTPM607bを有することができる。実施形態の一観点に従って、VMMソフトウェア104はmBox110からホストPC90にインストールされ、VMMソフトウェア104は、ホスト/クライアント90でのインストール及び実行の前に測定される。
【0038】
本発明の実施形態の特徴:
1.限られた目的のために、及び省略される各不必要な機能に必要とされる不変のOS、アプリケーション、ウェブブラウザ、又は単なるそれらのOS、アプリケーション若しくはウェブブラウザを有する仮想化マシンを発生させること。実施形態の一観点に従って、OSは、例えば、仮想埋め込み装置の場合に、仮想コンピュータ機能を直接的に用いる(例えば、仮想CPUのトップで直接に実行する)アプリケーションにより削除され得る。更に、仮想化は、VMM104を用いることによってハードウェア不可知(agnostic)でありうる。他の例として、下記のa乃至dがある。
【0039】
a.サービスプロバイダと取引するよう必要なファイルのファイルシステムイメージ及び/又はメモリイメージを用いることによって、ファイルシステムの使用を排除し又は実質的に減らすこと。
【0040】
b.OSのアクセサリ、アプリケーション及びウェブブラウザのアドイン、並びにウェブブラザのタブ・インターフェースは省略され得る。用語“アクセサリ”とは、ソフトウェアツール、対象のサービスプロバイダとインターフェース接続するためのOSの動作には必要とされない何らかの任意的なソフトウェアをいう。
【0041】
c.OS、アプリケーション、及び/又はウェブブラウザの認証記憶(certificate stores)へのアクセスを制限すること。認証記憶は、全てのユーザ/システムの証明書が置かれているOS内の記憶領域でありうる。
【0042】
d.不必要な周辺機器、例えば、フロッピー(登録商標)ディスク、USBコントローラ、CD/DVDドライブ、又は、ディスプレイ、音響装置若しくはプリンタのような出力装置、キーボード若しくはマウスのような入力装置、または幾つかのアプリケーションのためのNIC(ネットワークインターフェースカード)は、なくても良い。
【0043】
2.OS、アプリケーション、及び/又はウェブブラウザに高い又は最も高い保護レベル設定を適用すること。実施形態の一観点に従って、OSに定義される又は他の保護レベル設定は、DVM100’内のユーザ権限の制御に基づいて所望の信頼度を達成するために目標の保護レベルを提供するべく管理される。この保護レベルは、最高から高、中、及び低まででありうる。最も高い保護レベルは、ユーザに対する更なる制限及びより少ないユーザカスタマイズ(例えば、設定変更、アカウント管理、ソフトウェア管理(インストール、更新、削除、編集)、データアクセス等の権限の低下。)を参照する。実施形態の一観点に従って、目的とする保護レベルは高又は最高であり、一方、デフォルトで、保護レベルは中である。
【0044】
3.VMがアクセスすることができるIPアドレス又はドメイン名システム(DSN)名に関する制限。実施形態の一観点に従って、IPアドレス又はDNS名の数は、対象のサービスプロバイダのサーバに限定される。例えば、IPアドレス又はDSN名に関する制限は、汎用のOSにとっては非現実的でありうるが、それらは、信頼できるVaaCにとっては極めて妥当である。信頼できるVaaCは、心配すべき他のアプリケーションを有さず、また、接続すべき1又は数個のサーバしか必要としない。1又は数個のサーバしか必要としないことにより、例えば、ウェブブラウザに対するクロスサイトスクリプティング及び他の脅威を防ぐことが可能である。
【0045】
これらの制限は、VM、OS、及びアプリケーションの1又は複数のレベルで適用され得る。例えば、印刷が信頼できるVaaC100”によって制限され得、従って、プリンタ装置をOSに向けることはなく、OSの印刷機能を削除したり、あるいは、アプリケーションの印刷機能を削除したりすることが可能である。可能な多数の他の制限が存在しうる。しかし、すべてのうち最も重要な側面は、サービスプロバイダ102が、かかる制限及び設定が適切であって、信頼できるVaaC100”からの認定報告を通して変更されないことを知っていることである。
【0046】
信頼できるVaaC100”の他の特徴は下記の通りである:
4.信頼できるVaaC(すなわち、読出専用の信頼できるVaaC100”。)の各使用後に、信頼できるVaaC100”のファイルシステム(及びメモリ)イメージに対する変更を捨てることができること。
【0047】
5.並行して汎用のOSにより実行され、更に保護され得ること。
【0048】
6.特定のSaaS又はオンラインアプリケーションのために調整され且つカスタマイズされた専用のクライアントソフトウェア又は一般のアプリケーション(例えば、ウェブブラウザ。)を使用することができること。
【0049】
信頼できるVaaCのメリットは、下記の通りである:
信頼できるVaaC100”の多数のメリットは、専用端末及び仮想器具(VA)のメリットと同様であるが、幾つかは、信頼できるコンピューティング/トラストキューブ及び仮想マシン技術の特定の組み合わせから得られる。幾つかの例となるメリットは、信頼できるVaaC100”に適用することができる取引に基づく。実施形態の一観点に従って、信頼できるVaaC100”をサービスプロバイダ102のためのその環境の多くの制御を有して小さく且つ複雑でなくする特徴は、以下の例となる信頼できるVaaC100”に関するメリットをもたらす。
【0050】
1.より低い脆弱性。
【0051】
2.その環境が一定である場合のクライアント又はウェブアプリケーションの開発容易性。
【0052】
3.クライアントの開発及び配備に必要なテストの少なさ。
【0053】
4.信頼できるVaaC100”のブート、又は節約状態(saved state)からの100”の起動の高速化。
【0054】
5.高い費用効率(一般のPCを使用可能であり、特別の及び/又は専用の端末ハードウェアを必要としない点)。
【0055】
6.信頼できるVaaC100”が容易に実現され得る。これは、mBoxの場合に使用されるメモリがより小さいためである(従って、費用もより安い。)。あるいは、これは、mBoxが、1又はそれ以上の夫々の信頼できるVaaC100”を確立するための更なるDVMイメージ100を、あるいは、ネットワーク上でDVMイメージ100を伝送するために必要とされるより少ない時間及び/又は帯域幅を、同じ記憶空間で適合させることができるためである。
【0056】
しかし、もっと重要なことには、信頼できるVaaCは、下記により、信頼できるコンピューティング及びトラストキューブを現実的なものとする:
7.システム、すなわち、VaaC100’の測定の高速化。これは、システムが小さく且つそれほど複雑でないことによる。特に、数個のファイルが(ハードディスクパーティションにおける個々のファイルに代わる)仮想のハードディスクイメージ及び/又は仮想メモリイメージに使用される場合に、測定時間及び報告サイズは著しく低減され得る。
【0057】
8.測定報告はより小さく、それらを送るための時間及び帯域幅もより小さくて済む。
【0058】
9.より小さい報告及び/又は固定の測定は、サービスプロバイダによる報告の確認及びクライアントに対する動作の決定の負荷を軽減する。
【0059】
図3は、実施形態に従って信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うフローチャートである。図3において、302で、単一の対象とするサービスプロバイダ102に関する機能のみを有する専用仮想マシンイメージ(DVMI)100が発生する。しかし、実施形態は、単一の対象とするサービスプロバイダに限られず、DVMI100は、複数の対象のサービスプロバイダ102に関する機能を有することができる。例えば、動作302では、以下の動作が実行され得る。すなわち、(1)目的とするタスクを実行するのに必要とされるクライアント側のソフトウェア(例えば、仮想プライベートネットワーク(VPN)、MSワード、ウェブブラウザ等。)を識別すること、(2)仮想マシンを発生させること、(3)目的のタスクのための必要なソフトウェアをインストールし、目的のタスクを実行するのに不必要なアイテム、例えば、無関係なOSコンポーネントをアンインストールすること、(4)正規のユーザを生み出し、ユーザに目的のタスクを実行するのに必要とされるクライアント側ソフトウェアの使用及びOS機能の制限を課す制限された権限(例えば、ソフトウェアの更新不可、レジストリの変更不可、システムフォルダの閲覧不可等。)のみを割り当てること、及び(5)仮想マシンイメージをDVMI100としてリリースすること。DVMI100が立ち上げられる場合に、専用仮想マシン(DVM)100’が確立又は提供される。このようにして、DVM100’の例は、唯一のインストールされているソフトウェアがウェブブラウザであって、ウェブブラウザは、企業の極秘文書のホストである1のウェブサーバのみを訪れることができるところの仮想マシン環境でありうる。ウェブサイトを訪ねようとする如何なる試みも、他の目的のウェブサイトは拒絶する。更に、ユーザは、DVM100’で他のソフトウェアのインストール/削除をすることができない。
【0060】
304で、DVMI100は、持ち運び可能な計算装置、例えば、mBox110に記憶される。実施形態の一観点に従って、DVMI100はキーにより暗号化されて、mBox110に記憶される。実施形態の一観点に従って、VMM104も持ち運び可能な計算装置に記憶される。実施形態の一観点に従って、mBox110は、キーを保護するTPM607bを有し、且つ/あるいは、キーは、他のエンティティ、例えば、統合認証サーバ(IAS(integrated Authentication Server))から取り出され得る。
【0061】
306で、持ち運び可能な計算装置は、クライアントとも呼ばれるホスト装置90へ通信上接続する。308で、ホスト装置90が照合される。310でホスト装置90の照合が成功する場合は、316で、DVMI100は専用仮想マシン(DVM)又はVaaC100’としてホスト装置90で立ち上げられる。実施形態の一観点に従って、DVMI100の立ち上げは、DVMI100及びVMM104の両方の立ち上げを含む。310でホスト装置90の照合が成功しなかった又は失敗した場合は、312で、DVMI100の立ち上げは遮断される。
【0062】
318で、DVM100’を通して(すなわち、VaaC100’を通して)サービスプロバイダ102のサーバにアクセスすると、DVM100’は、信頼できるDVM(TDVM)100”を確立するために測定され、DVM100’の測定の認定報告は、プロバイダサーバ102へ送られる。320で、サービスプロバイダ102は、認定報告に基づいて、信頼できるDVM100”を確立又は認識するためにTDVM100”の信頼度を決定する。322で、サービスのレベルが、TDVM100”の信頼度に従って、TDVM100”へサービスプロバイダサーバ102によって提供される。
【0063】
図4Aは、実施形態に従う、信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うコンピュータシステムの機能ブロック図である。図4Aで、mBox110、ホスト/クライアント90及びサーバ102は、有線及び/又は無線でデータのやり取りを行う。更に、実施形態の一観点に従って、mBox110、ホスト/クライアント90及びサーバ102の間の情報の送信は、コンピュータネットワークデータ通信に限られず、他の形態の通信、例えば、電話、ファクシミリ、電子メール、コード(例えば、バーコード。)等が使用され得る。mBox110、ホスト/クライアント90及びサーバ102は、本発明に従う動作を実行するようコンピュータを制御するプログラム(ソフトウェア)及び/又は計算ハードウェアを格納するコンピュータである。図4Aで、mBox110は、ホストベリファイア(verifier)402(例えば、ホスト検証を実行するプログラム。)を有する。更に、mBox110は、暗号化された専用DVMイメージ(DVMI)100を有する。ホスト/クライアント90は、インストールされている(実行されている又は立ち上げられている)VaaC/DVM100’と、VMM104と、ホスト測定収集部404と、トークン要求部406とを有する。サービスプロバイダ102のサーバは、極秘の情報414及びポリシーエンジン/規則410を有する。
【0064】
図4Bは、図4Aのコンピュータシステムで信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うフローチャートである。図4Bで、mBox110がユニバーサルシリアルポート(USB)を介してホスト/クライアント90へ通信上接続可能である場合に、420で、mBox110はホスト/クライアント90へ接続される。421で、ホストベリファイア402、すなわち、“ホスト照合を実行するプログラム”が起動し、ホスト測定収集部404と接触して、ホスト測定(すなわち、インストールされているソフトウェア、実行中のソフトウェア等。)を得る。422で、ホスト/クライアント90の照合が失敗する場合には、何も起こらないか、又は処理は停止される。423で、ホスト/クライアント90の照合が成功する場合には、ホストベリファイア402はDVMI100のロックを解除する。424で、トークン要求部406はサーバ102からのトークンを要求し、更に、このとき、ホスト/クライアント90及びmBox110の両方の測定がホスト測定収集部404によって集められて、サーバ102へ送られる(すなわち、ホスト/クライアント90及び/又はmBox110の測定を含むトークン要求がサーバ102のポリシーエンジン410へ送られる。)。425で、ポリシーエンジン410は、ホスト/クライアント90から送信された測定情報に基づいてトークン408を発行すべきかどうかを決定する。426で、トークン408が発行される場合に、トークン408は、ホスト/クライアント90へ返送されて、信頼できるVaaC/信頼できるDVM100”を確立する。427で、ホスト/クライアント90は、mBox110でDVMI100を用いてVMM104の上で信頼できるVaaC/TDVM100”を立ち上げる。427で、VMM104は、ホスト/クライアント90で実行又は起動されており、VMM104は、新しいVM、すなわち、DVM100’を立ち上げるインターフェースを提供する。具体的に、427で、ホスト/クライアント測定収集部404が測定を集め、その測定が照合された後、測定収集部404は、DVMI100に基づいてTDVM100”としてDVM100’を立ち上げるためにVMM104インターフェースを使用する。
【0065】
実施形態の一観点に従って、318で、ホスト/クライアント90の照合は、立ち上げられているDVMを通して対象のサービスプロバイダのサーバ102にアクセスすると、信頼できる専用仮想マシン(TDVM)としての、DVM100、立ち上げられているDVM100’、ホスト/クライアント90、若しくはmBox110、又はそれらのいずれかの結合の測定の認定報告を対象のサービスプロバイダサーバ102へ送る工程を含む。実施形態の一観点に従って、信頼できる読出専用の専用仮想マシン(TRODVM)としてのホスト装置によるDVMIの立ち上げ及び/又は動作の制御は、ホスト装置及び/又はmBox100の照合に基づいてサービスプロバイダサーバから受け取った信頼度の表示に基づく。実施形態の一観点に従って、mBox110は、例えば、mBox110からホスト/クライアント90へDVMI100の立ち上げパラメータを送ることによって、ホスト/クライアント90でのDVMI100の立ち上げを制御する。
【0066】
428で、トークン408は、TDVM100”にある極秘情報管理部412へ送信される。429で、極秘情報管理部412は、サーバ102内の極秘情報にアクセス(例えば、管理、参照、取り出し、編集等。)するためにトークン408を用いる。極秘情報は、何らかの適用基準に従って保護されることが望まれる如何なる情報であっても良い。430で、作業(サービスプロバイダ102との取引)が行われた後、TDVM100”は閉じられ、TDVM100”の全ての変更が廃棄され、431で、mBox110は接続を切られ得る。
【0067】
図5Aは、実施形態に従う、信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うコンピュータシステムの機能ブロック図である。図5Aで、mBox110、ホスト/クライアント90及びサーバ102は、有線及び/又は無線でデータのやり取りを行う。mBox110、ホスト/クライアント90及びサーバ102は、本発明に従う動作を実行するようコンピュータを制御するプログラム(ソフトウェア)及び/又は計算ハードウェアを格納するコンピュータである。図5Aで、mBox110は、ホストベリファイア402(例えば、ホスト検証を実行するプログラム。)を有する。更に、mBox110は、暗号化された専用DVMイメージ(DVMI)100を有する。ホスト/クライアント90は、インストールされている(実行されている又は立ち上げられている)VaaC/DVM100’と、VMM104と、ホスト測定収集部404と、トークン要求部406とを有する。サービスプロバイダ102のサーバは、極秘の情報414と、クライアントベリファイア416と、ポリシーエンジン/規則410を有する。
【0068】
図5Bは、図5Aのコンピュータシステムで信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うフローチャートである。mBox110がユニバーサルシリアルポート(USB)を介してホスト/クライアント90へ通信上接続可能である場合に、520で、mBox110はホスト/クライアント90へ接続される。521で、ホストベリファイア402、すなわち、“ホスト照合を実行するプログラム”が起動し、ホスト測定収集部404と接触して、ホスト測定(すなわち、インストールされているソフトウェア、実行中のソフトウェア等。)を得る。522で、ホストベリファイア402は、その測定をサーバ102へ送る。すなわち、523で、ホスト/クライアント照合エンジン416は、ホスト90が有効であるかどうかを検証する。524で、ホスト/クライアント90の照合が失敗する場合には、何も起こらないか、又は処理は停止される。525で、ホスト/クライアント90の照合が成功する場合には、サーバ102はDVMI100を復号化するためにmBox110へキー418を送る。526で、mBox110はキー418を用いて、暗号化されたDVMI100のロックを解除する。
【0069】
527で、トークン要求部406はサーバ102からのトークンを要求し、更に、ホスト/クライアント90及び/又はmBox110の測定が集められて、サーバ102へ送られる。528で、ポリシーエンジン410は、ホスト/クライアント90から送信された測定情報に基づいてトークン408を発行すべきかどうかを決定する。529で、トークン408が発行される場合に、トークン408は、ホスト/クライアント90へ返送されて、信頼できるVaaC/信頼できるDVM100”を確立する。530で、ホスト/クライアント90は、mBox110でDVMI100を用いてVMM104の上で信頼できるVaaC/TDVM100”を立ち上げる。DVM100’の立ち上げ動作は、DVM100’の立ち上げ動作427と同様である。531で、トークン408は、TDVM100”にある極秘情報管理部412へ送信される。532で、極秘情報管理部412は、サーバ102内の極秘情報にアクセス(例えば、管理、参照、取り出し、編集等。)するためにトークン408を用いる。533で、作業(サービスプロバイダ102との取引)が行われた後、TDVM100”は閉じられ、TDVM100”の全ての変更が廃棄され、534で、mBox110は接続を切られ得る。
【0070】
実施形態の一観点に従って、図4及び5で、(1)ホスト/クライアント90は、ホスト/クライアント90測定を、mBox110による照合のために、mBox110へ提供し、(2)ホスト/クライアント90は、ホスト/クライアント90及び/又はmBox110の測定を、サーバ102による照合のために、サーバ102へ提供する。
【0071】
信頼できるVaaC/TDVMの重要な側面は、クライアント装置からの誰、何、及びその環境に関する認定報告を通して、費用効率の高い方法で、サービスプロバイダの信頼境界を、生体計測センサを含むエンドユーザのハードウェア及び/又はソフトウェア環境に拡張することである。サービスプロバイダは、ネットワーク上で誰がどのようなハードウェア/ソフトウェア環境を有する何の装置を用いているか、及びVMM及びVMがそれらの既知の状態から変更されないことを知ることができる。このような保証できる認識を用いて、サービスプロバイダは、楽に、エンドユーザに極秘データへのアクセス又は金融取引を行わせることができる。金融機関の場合に、それは、望ましくはエンドユーザの位置でATMを有し、信頼できるVaaC/TDVMを実行することは、TDVMモードと呼ばれ得る。しかし、本発明の実施形態は、信頼できるVaaCの適用を金融分野に限定せず、医療及び軍事の分野のような他の範囲も含む。信頼できるVaaCでの特定目的のVM及び信頼できるコンピューティングのこのような特定の組み合わせは、以下のメリットをもたらす(しかし、これらに限定されない。):
1.信頼できるVaaS及び汎用のOSに関する単一の装置のマルチユース(multiuse)特性、すなわち、装置を、対応するサービスプロバイダによって各々信頼される1又はそれ以上の目的とされる装置に変えることに起因する高い費用効果。
【0072】
2.その比較的小さなサイズに起因する信頼できるVaaCの起動の高速化並びに容易な処理及び(ネットワークを介する又はmBoxからの)配信。例えば、同じメモリ容量を有するmBox110は、1又はそれ以上の独立したTDVMを確立するための更なるDVMIに適応することができる。
【0073】
3.VM、OS、アプリケーション、ウェブブラウザに対する可能な制限に起因する低い脆弱性並びに容易な開発、試験、及び配備。
【0074】
4.より速い測定及びより小さい報告によるホスト/クライアント装置90、ネットワーク、及びサービスプロバイダシステム102に対する負荷の減少(特に、ファイルが仮想のハードディスクドライブ及び/又はメモリのイメージに使用される場合。)。
【0075】
5.暗号キーの封印を含む、エンドユーザの装置のハードウェア及び/又はソフトウェア構成の特定の状態を測定し、それを報告する、TPM607の封印を介した(1)ユーザの生体計測データをその場でしか使えず且つ保護されたままとすること、(2)保護生体計測認証処理、及び(3)サービスプロバイダへの「誰か」に関する認定報告によるプライバシー。
【0076】
ユーザの生体計測データをその場でしか使えないままとすることとは無関係に、実施形態の一観点に従って、TDVM100”の例としてのユーザ認証DVM100’に基づく生体認証が提供される。認証TDVM100”が有する唯一の機能は、例えば、生体計測技術を用いることによって、ユーザの同一性を照合することである。利点は、TDVM100”が信頼され得る場合に、認証結果も信頼され得ることである。サーバ102で認証を行うことに代えてTDVM100”を用いる利点は、サーバ102で認証が基準データを記憶する必要がなく、従って、ユーザのプライバシーが保護されることである。更に、サーバ102へ成功した認証を示す1つの方法は、認証成功時にTDVM100”からTPM607にあるユーザの識別キーのロックを解除し、その解除されたキーを用いて、サーバ102へ合図し特定のデータを提示することである。サーバ102が署名の正確さを検証することができる場合は、サーバは、ユーザの同一性が正確に認証されることを理解する。
【0077】
更に、実施形態の一観点に従って、記載される特徴、機能及び/又は動作並びにそれらの利点の如何なる組み合わせも、提供及び/又は達成され得る。実施形態は、例えば、(限定されない例で)データを記憶し、取り出し、処理し、及び/又は出力し、且つ/あるいは他のコンピュータと(ネットワーク)通信することができる何らかのコンピュータのような、計算ハードウェア(すなわち、計算装置)を有する機器(マシン)として実施され得る。実施形態の一観点に従って、記載される特徴、機能、動作、及び/又は利点は、計算ハードウェア及び/又はソフトウェアによって実施され得、且つ/あるいは、それらを使用することができる。記載される処理は、特定のマシンを提供するために、すなわち、汎用マシンを特定目的のマシンに変えるために、ここで記載される処理及び/又はデータ構造を実行する/処理するようコンピュータをプログラムすることによって実施され得る。具体的に、処理は、コンピュータによって実行される場合に、1又はそれ以上のものとしてのmBox110、ホスト/クライアント90、及びサービスプロバイダ102を、それらのものの異なる状態又は事物としての信頼できるコンピューティング環境の信頼度に従って取引/サービスにアクセスし及び/又はそれらを行うために、記載されるような信頼できるコンピューティング環境に変える。
【0078】
図6は、本発明の実施形態のためのコンピュータの機能ブロック図である。図6で、コンピュータは、如何なる計算装置であっても良い。一般に、コンピュータは、例えば、ダイオード、ユーザインターフェースを表示し又は情報若しくは表示を、スピーカ、プリンタ等の出力装置へ出力する表示又は出力ユニット602を有する。コントローラ604は、通常は、命令、すなわち、ソフトウェア/プログラムを処理又は実行するコンピュータプロセッサに基づくハードウェアロジック回路(例えば、中央演算処理ユニット。)である。通常、メモリ606は、コントローラ604による実行のための命令を記憶する。信頼できるプラットフォームモジュール607が設けられ得る。実施形態の一観点に従って、装置は、如何なるコンピュータ読出可能な記録媒体及び/又は電子データ伝送通信媒体610も読み出し/処理する。ディスプレイ602、CPU604、メモリ606及びコンピュータ読出可能な媒体610は、データバス608によって通信する。生成される如何なる結果も、計算ハードウェアのディスプレイ上に表示され得る。かかる実施形態を実施するプログラム/ソフトウェアは、コンピュータ読出可能な記録媒体及び送信通信媒体を有するコンピュータ読出可能な媒体で記録及び/又は具現され得る。コンピュータ読出可能な記録媒体の例には、磁気記録装置、光ディスク、光学磁気ディスク、及び/又は半導体メモリ(例えば、RAM、ROM等。)が含まれる。磁気記録装置の例には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、及び磁気テープ(MT)が含まれる。光ディスクの例には、DVD(デジタルバーサタイルディスク)、DVD−RAM、CD−ROM(コンパクトディスク−読出専用メモリ)、及びCD−R(記録可能)/RW(書換可能)が含まれる。係る実施形態を実施するプログラム/ソフトウェアは、また、送信通信媒体を介して送信されても良く、送信通信媒体の例には、搬送波信号、光信号等が含まれる。
【0079】
係る実施形態の多数の特徴及び利点は明細書から明らかであり、従って、添付の特許請求の範囲によって、その実際の精神及び適用範囲内にある実施例のこのような特徴及び利点の全てを包含することを目的とする。更に、多数の改良及び変更が当業者によって容易に相当され得るので、表される厳密な構成及び動作に本発明を限定することは望ましくなく、従って、全ての適切な変形例及び等価なものは、その適用範囲内にあるよう、請求され得る。
【0080】
本願は、2007年12月20日に出願した整理番号61/015,537の米国仮出願(発明の名称:「TRUSTED VAAC(VM AS A CLIENT)」、発明者:益岡竜介)に基づく優先権を主張するものであり同出願の全内容を本願に参照により援用する。
【0081】
以上の実施形態に関し、更に以下の付記を開示する。
(付記1)
単一の対象のサービスプロバイダに関する機能のみを有する専用仮想マシンイメージ(DVMI)を発生させる工程と、
前記DVMIを持ち運び可能な計算装置に記憶する工程と、
前記持ち運び可能な携帯装置によってホスト装置へ通信上接続する工程と、
前記ホスト装置を照合する工程と、
前記照合の成功した結果に従って前記DVMIを専用仮想マシン(DVM)として前記ホスト装置で立ち上げる工程と、
前記照合に基づいて、信頼できる専用仮想マシン(TDVM)に関する信頼度を前記対象のサービスプロバイダによって決定する工程と、
前記TDVMの前記信頼度に従って、前記対象のサービスプロバイダのサーバによって前記TDVMへサービスのレベルを提供する工程と
を有する、信頼できるコンピューティング方法。
(付記2)
前記ホスト装置を照合する工程は、前記立ち上げられるDVMを通して前記対象のサービスプロバイダのサーバにアクセスする場合に、TDVMとしての、前記DVMI、前記立ち上げられるDVM、前記ホスト装置、若しくは前記持ち運び可能な計算装置、又はそれらの結合の測定の認定報告を、前記対象のサービスプロバイダのサーバへ送る工程を有する、付記1記載の方法。
(付記3)
前記ホスト装置を照合する工程は、
前記持ち運び可能な計算装置でホストベリファイアを実行する工程と、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出す工程と、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合する工程と
を有する、付記1記載の方法。
(付記4)
前記立ち上げられるDVMに対する全ての変更を捨て、その後に前記立ち上げられるDVMをシャットダウンする工程を更に有する、付記1記載の方法。
(付記5)
前記DVMIを発生させる工程は、
前記対象のサービスプロバイダとのタスクに必要とされるソフトウェアを前記DVMIにインストールする工程と、
アクセサリ、周辺機器、アプリケーションのアドイン、ウェブブラウザのアドイン、又はそれらの結合を削除することを含む、前記DVMIのオペレーティングシステム(OS)の機能削除、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザの認証記憶へのアクセス制限、
前記DVMが前記サービスプロバイダへアクセスするIPアドレス又はDNS名の数の制限、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザへの高い保護レベル設定の適用、あるいは
OS及び/又はアプリケーションの変更、及び/又はユーザのナビゲーション権限の制限
のいずれかの組み合わせを実行する工程と
を有する、付記1記載の方法。
(付記6)
前記DVMIを持ち運び可能な計算装置に記憶する工程は、前記DVMIをキーにより暗号化する工程を有し、
前記DVMIを前記ホスト装置で立ち上げる工程は、前記持ち運び可能な計算装置から及び/又は他のサーバから、前記DVMIを復号化するために前記キーを取り出す工程を有する、付記1記載の方法。
(付記7)
前記キーは、信頼できるプラットフォームモジュールによって前記持ち運び可能な計算装置に封印される、付記6記載の方法。
(付記8)
前記立ち上げられるDVMの測定は、ホワイトリストに基づく測定及び/又はハッシュに基づく測定である、付記1記載の方法。
(付記9)
前記DVMIを持ち運び可能な計算装置に記憶する工程は、前記DVMIを保護する工程を有し、
前記ホスト装置を照合する工程は、
前記持ち運び可能な計算装置でホストベリファイアを実行する工程と、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出す工程と、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合する工程と、
前記ホスト装置の照合の成功した結果に従って前記保護されるDVMIのロックを解除し、前記ホスト装置で該DVMIを立ち上げる工程と
を有し、
前記ホスト装置で前記DVMIを立ち上げる工程は、
前記サービスプロバイダのサーバからのトークンを前記ホスト装置によって要求する工程と、
前記ホスト装置及び前記持ち運び可能な計算装置の両方の測定を前記サービスプロバイダのサーバへ送る工程と、
前記ホスト装置から送信される測定情報に基づいて、トークンを発するべきかどうかを前記サービスプロバイダによって決定する工程と、
前記サービスプロバイダによってトークンが発せられる場合に、該トークンを前記ホスト装置へ送る工程と、
前記ホスト装置によって前記トークンが受け取られる場合に、当該ホスト装置で前記DVMIを立ち上げる工程と
を有し、
前記サービスプロバイダのサーバへのアクセスは、更に、認定報告又は前記トークンを送信することのあらゆる組み合わせも有する、付記1記載の方法。
(付記10)
前記DVMIは、該DVMIをキーにより暗号化することによって及び/又は信頼できるプラットフォームモジュールによって、保護される、付記9記載の方法。
(付記11)
前記DVMIを持ち運び可能な計算装置に記憶する工程は、信頼できるプラットフォームモジュールにより前記DVMIを保護する工程を有し、
前記ホスト装置を照合する工程は、
前記持ち運び可能な計算装置でホストベリファイアを実行する工程と、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出す工程と、
前記ホスト測定を前記サービスプロバイダのサーバへ送る工程と、
前記ホスト測定に基づいて前記ホスト装置を前記サービスプロバイダのサーバによって照合する工程と、
前記ホスト装置の照合の成功した結果に従って、前記持ち運び可能な計算装置へキーを前記サービスプロバイダのサーバによって送る工程と、
前記持ち運び可能な計算装置によって前記キーを用いて前記保護されるDVMIのロックを解除し、前記ホスト装置で該DVMIを立ち上げる工程と
を有し、
前記ホスト装置で前記DVMIを立ち上げる工程は、
前記サービスプロバイダのサーバからのトークンを前記ホスト装置によって要求する工程と、
前記ホスト装置及び前記持ち運び可能な計算装置の両方の測定を前記サービスプロバイダのサーバへ送る工程と、
前記ホスト装置から送信される測定情報に基づいて、トークンを発するべきかどうかを前記サービスプロバイダによって決定する工程と、
前記サービスプロバイダによってトークンが発せられる場合に、該トークンを前記ホスト装置へ送る工程と、
前記ホスト装置によって前記トークンが受け取られる場合に、前記DVMIを立ち上げる工程と
を有し、
前記サービスプロバイダのサーバへのアクセスは、更に、認定報告又は前記トークンを送信することのあらゆる組み合わせも有する、付記1記載の方法。
(付記12)
前記DVMIの測定は、
前記立ち上げられるDVMIを読出専用と指定することと、
前記DVMIを立ち上げる前に該DVMIのハッシュ値を計算することと、
前記計算されるDVMIのハッシュ値を前記DVMIに関する他のハッシュ値と比較することによって前記DVMIのインテグリティを確認することと
を有し、
前記立ち上げられるDVMの測定は、
前記立ち上げられるDVMの1又はそれ以上のファイルを選択することと、
前記立ち上げられるDVMの前記選択されるファイルのハッシュ値を計算することと、
前記計算される選択されたファイルのハッシュ値を該選択されたファイルに関する他のハッシュ値と比較することによって前記立ち上げられるDVMのインテグリティを確認することと
を有する、付記1記載の方法。
(付記13)
単一の対象のサービスプロバイダに関する機能のみを有する専用仮想マシンイメージ(DVMI)を発生させる工程と、
前記DVMIを読出専用の専用仮想マシン(RODVM)としてホスト装置で立ち上げる工程と、
信頼できる専用仮想マシン(TDVM)としての、前記RODVMIの測定を、前記対象のサービスプロバイダのサーバへ送る工程と、
前記測定に基づいて、前記TDVMに関する信頼度を前記対象のサービスプロバイダによって決定する工程と、
前記TDVMの前記信頼度に従って、前記対象のサービスプロバイダのサーバによって前記TDVMへサービスのレベルを提供する工程と
を有する、信頼できるコンピューティング取引の方法。
(付記14)
前記TDVMは、情報及び/又は生体計測技術に従ってユーザ同一性を照合する、信頼できる認証手段である、付記1記載の方法。
(付記15)
対象のサービスプロバイダのサーバにアクセスするコンピュータシステムであって、
ホスト装置と、
前記ホスト装置と通信し、前記対象のサービスプロバイダのサーバに関する機能のみを有する専用仮想マシンイメージ(DVMI)を記憶する持ち運び可能な計算装置と
を有し、
前記ホスト装置及び/又は前記持ち運び可能な計算装置はコンピュータプロセッサを有し、
前記コンピュータプロセッサは、
前記ホスト装置の照合と、
前記ホスト装置の前記照合に基づいて、前記サービスプロバイダのサーバから受け取った信頼度の表示に従って、信頼できる読出専用の専用仮想マシン(TRODVM)としての前記ホスト装置による前記DVMIの立ち上げの制御と
を実行する、コンピュータシステム。
(付記16)
前記ホスト装置は、
前記TRODVMとしての、読出専用のDVMI(RODVMI)及び/又は前記持ち運び可能な計算装置の測定を、前記対象のサービスプロバイダのサーバへ送ることと、
前記送信される測定に基づいて、前記TRODVMの信頼度を前記対象のサービスプロバイダから受け取ることと、
前記TRODVMの前記信頼度に従って、前記対象のサービスプロバイダのサーバによってサービスのレベルを提供することと
によって自身を照合する、付記15記載のコンピュータシステム。
(付記17)
前記ホスト装置は、立ち上げられる読出専用の専用仮想マシン(RODVM)を通して前記対象のサービスプロバイダのサーバにアクセスする場合に、TRODVMとしての、前記DVMI、前記立ち上げられるRODVM、若しくは前記持ち運び可能な計算装置、又はそれらの結合の測定の認定報告を、前記対象のサービスプロバイダのサーバへ送ることによって、自身を照合する、付記15記載のコンピュータシステム。
(付記18)
前記持ち運び可能な計算装置は、
当該持ち運び可能な計算装置でホストベリファイアを実行することと、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出すことと、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合することと
によって前記ホスト装置を照合する、付記15記載のコンピュータシステム。
(付記19)
前記持ち運び可能な計算装置は、
前記対象のサービスプロバイダとのタスクに必要とされるソフトウェアを前記DVMIにインストールすることと、
アクセサリ、周辺機器、アプリケーションのアドイン、ウェブブラウザのアドイン、又はそれらの結合を削除することを含む、前記DVMIのオペレーティングシステム(OS)の機能削除、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザの認証記憶へのアクセス制限、
前記DVMが前記サービスプロバイダへアクセスするIPアドレス又はDNS名の数の制限、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザへの高い保護レベル設定の適用、あるいは
OS及び/又はアプリケーションの変更、及び/又はユーザのナビゲーション権限の制限
のいずれかの組み合わせを実行することと
によって前記DVMIを記憶する、付記15記載のコンピュータシステム。
(付記20)
前記持ち運び可能な計算装置は、前記DVMIを保護するセキュリティを有し、
前記持ち運び可能な計算装置は、
当該持ち運び可能な計算装置でホストベリファイアを実行することと、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出すことと、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合することと、
前記ホスト装置の照合の成功した結果に従って前記保護されるDVMIのロックを解除し、前記ホスト装置で該DVMIを立ち上げることと
によって前記ホスト装置を照合し、
前記ホスト装置は、
前記サービスプロバイダのサーバからのトークンを当該ホスト装置によって要求することと、
当該ホスト装置及び前記持ち運び可能な計算装置の両方の測定を前記サービスプロバイダのサーバへ送ることと、
当該ホスト装置から送信される測定情報に基づいて前記サービスプロバイダのサーバから前記信頼度の表示としてトークンを受け取って、該トークンに基づいて当該ホスト装置で前記DVMIを立ち上げることと
によって当該ホスト装置での前記DVMIの立ち上げを制御し、
前記サービスプロバイダのサーバへのアクセスは、更に、前記サービスプロバイダのサー部への前記トークンの送信のあらゆる組み合わせも有する、付記15記載のコンピュータシステム。
【符号の説明】
【0082】
100 専用仮想マシンイメージ(DVMI)
100’ クライアント(VaaC)
100” 信頼できるVaaC
102 サービスプロバイダ
104 仮想マシンモニタ/マネージャ(VMM)
106 エージェントを有する仮想マシン(VM)
108 生体計測センサ
110 mBox
402 ホストベリファイア
404 ホスト/クライアント測定収集部
406 トークン要求部
408 トークン
410 ポリシーエージェント
412 極秘情報管理部
414 極秘情報
416 ホスト/クライアントベリファイア
418 DVMイメージを復号化するキー
607 信頼できるプラットフォームモジュール(TPM)
90 ホスト/クライアント
【技術分野】
【0001】
本発明の実施形態は、仮想器具(VA(virtual appliance))に関する。
【背景技術】
【0002】
インターネットを介する通信で、当事者は、実際には、誰が、何をその者と通信しているのかを知らない。例えば、SSL、VPN等の、通信チャネルの保護は、インターネット上で他の当事者を信用する危険性を評価する必要があるために、不十分ながら必要である。
【発明の概要】
【発明が解決しようとする課題】
【0003】
本発明は、より脆弱性の低い効率的なデータ保護を提供する、信頼できるコンピューティング方法、コンピューティング取引方法、及びコンピュータシステムを提供することを目的とする。
【課題を解決するための手段】
【0004】
本発明の実施形態は、仮想器具(VA)に関する。例えば、かかる実施形態は、単一のサービスプロバイダを対象とする機能のみを有する専用仮想マシン(DVM(Dedicated virtual machine))を発生させ、そのDVMを持ち運び可能な携帯装置に記憶し、その持ち運び可能な計算装置によってホスト装置へ通信上接続し、そのホスト装置を照合し、そして、その照合の成功した結果に従ってホスト装置でDVMを立ち上げることを提供する。立ち上げられたDVMを通してサービスプロバイダのサーバにアクセスすると、その立ち上げられたDVMは測定され、信頼できる専用仮想マシン(TDVM(Trusted DVM))としての、DVMの測定の認定報告がサービスプロバイダのサーバへ送られる。サービスプロバイダは、その認定報告に基づいて、TDVMに関する信頼度を決定し、そのTDVMの信頼度に従ってTDVMへサービスのレベルを提供する。
【0005】
これらは、以下で明らかにされる他の態様及び利点とともに、より完全に以下で記載及び請求される構成及び動作の詳細にある。これらの一部を形成する添付の図面が参照されるべきである。なお、同じ参照符号は、全体を通して、同じ部分を表すものとする。
【発明の効果】
【0006】
開示される方法及びシステムによれば、より脆弱性の低い効率的なデータ保護を提供することができる。
【図面の簡単な説明】
【0007】
【図1A】オンライン取引の図である。
【図1B】本発明の実施形態に従う、信頼できるコンピューティングとしてのオンライン取引での信頼できるVaacの認定報告の図である。
【図1C】本発明の実施形態に従う、信頼できるVaaCに基づく信頼できるコンピューティング/トラストキューブ(Trust Cube)のフロー図である。
【図2A】本発明の実施形態に従う、各別個の測定エージェントを備えた仮想マシン、及びVaaCに基づく信頼できるコンピューティングのコンピュータシステム図である。
【図2B】本発明の実施形態に従う、一体化された測定エージェントを備えた仮想マシン、及びVaaCに基づく信頼できるコンピューティングのコンピュータシステム図である。
【図2C】本発明の実施形態に従う、信頼できるプラットフォームモジュール(TPM)に封印されている生体計測データを有する仮想マシン(VM)イメージのコンピュータシステム図である。
【図2D】本発明の実施形態に従う、mBoxにより立ち上げられるDVMのコンピュータシステム図である。
【図3】本発明の実施形態に従う、信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うフローチャートである。
【図4A】実施形態に従う、信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うコンピュータシステムの機能ブロック図である。
【図4B】図4Aのコンピュータシステムで信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うフローチャートである。
【図5A】実施形態に従う、信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うコンピュータシステムの機能ブロック図である。
【図5B】図5Aのコンピュータシステムで信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うフローチャートである。
【図6】本発明の実施形態のコンピュータの機能ブロック図である。
【発明を実施するための形態】
【0008】
図1Aは、サービスプロバイダ(サーバ)102とクライアント90との間のオンラインでの取引(transaction)の図である。図中、サービスプロバイダ102は、クライアント90を自信を持って信頼できるほどクライアント90に関する十分な知識を有していない。ここで、用語“クライアント”とは、クライアント−サーバ間コンピュータシステムアーキテクチャにおけるクライアント装置90としてのクライアントコンピューティング、及びサービスプロバイダへのアクセス要求者の任意の組み合わせである。同様に、ここで、用語“サーバ”とは、クライアント−サーバ間コンピュータシステムアーキテクチャにおけるサーバコンピューティング、及びサービスを提供するエンティティの任意の組み合わせである。本発明の実施形態は、サービスプロバイダにとっての信頼できるクライアントに関して記載されるが、本発明はこのような構成に限られず、クライアントにとっての信頼できるサービスプロバイダも提供され得る。
【0009】
語「専用仮想マシンイメージ(DVMイメージ)100」とは、クライアント(VaaC)100’としての仮想マシンの、未だ立ち上げられない(実行されない)コンピュータファイルをいい、故に、立ち上げられているDVMイメージ100はVaaC100’である。仮想マシン(VM)は、何らかのVM発生器(例えば、VMWAREワークステーション。)を用いて発生可能である。DVMイメージ100は、ディスクイメージ及び/又はメモリイメージを含む。実施形態の一観点に従って、VaaC100’は、特定の目的(特定の機能)を有する仮想マシンであり、ここでは専用仮想マシン(DVM100’)とも呼ばれる。例えば、VaaC100’は、目的とするサービスを提供するために必要とされる単一のアプリケーションを実行することに専念する。例えば、例えば制限なく、目的とするサービスを提供するよう単一の対象ウェブサイトへのみ接続可能である単一のブラウザが、データを管理(例えば、取り出し、更新、付加、変更、処理、解析等。)する。信頼できるVaaC(又は信頼できるDVM(TDVM))100”とは、測定されるVaaC100’をいい、これに基づき、信頼度は、例えばサービスプロバイダ102によって、確立/決定されている。用語“測定(measurement)”とは、何らかの長さの入力データ列の固定長のデジタル表現、すなわち、何らかのVMハードディスク及び/又はメモリイメージを含む入力DVMイメージ、並びに/あるいは何らかの計算装置のファイル(例えば、ソフトウェアアプリケーションのファイル、データファイル。)であって、例えば、DVMイメージ100及び/又は計算装置のファイルでの何らかの変更を検出するために以前に収集された他の測定との比較によって、DVMイメージ100及び/又は計算装置のファイルを照合するために使用されるものをいう。
【0010】
実施形態の一観点に従って、DVMイメージ100は、DVMイメージ100のファイルをコンピュータで仮想ディスクにマッピングし、仮想マシン環境(仮想CPU、仮想メモリ、仮想ハードウェア等)をセットアップし、その仮想環境を仮想ディスクにあるファイルを用いてブートする、何らかのVM立ち上げソフトウェア又は仮想マシンモニタ/マネージャ(VMM104)(例えば、VMWARE PLAYER)によって立ち上げられる。実施形態の一観点に従って、DVMイメージ100は極めて大きいサイズ(数ギガバイト)を有しうるので、DVMイメージ100が第1の装置にある場合に、第2の装置で実行するVM立ち上げソフトウェアは、DVMイメージ100を第2の装置で立ち上げるためにDVMイメージ100の全ての及び/又は一部の構成要素を第2の装置にコピーすることはできない。しかし、代わりに、VM立ち上げソフトウェアは、第1の装置からのDVMイメージ100を立ち上げて、直接に作用することができる。
【0011】
従前、VMイメージが立ち上げられる場合に、何らかの変更が、VMイメージを異ならせるようVM内の仮想ディスクでなされた。これは、信頼できるコンピューティングに使用可能でないVMイメージの如何なる以前の測定もレンダリングするが、VMイメージが使用されるたびに再測定を必要とした。従って、実施形態の一観点に従って、VaaC100’は、VaaC100’がシャットダウンされた後にVaaC100’への如何なる変更も捨てることによって、読出専用である。この読出専用特性を達成する幾つかの方法が存在する。1)特定のVMNは、VMN104をオフした後にVMイメージを最初の状態に戻すことによって、この読出専用機能をサポートする。2)例えば、DVMI100を立ち上げる前に、DVMI100のスナップショットを生成し、更に、VMN104をオフした後に、そのスナップショットに戻すことによって、ファイルシステムを介して制御される。
【0012】
実施形態の一観点に従って、クライアント(VaaC)100’としての仮想マシンは、クライアント側の環境を測定する複雑性を低めるようクライアント側で仮想マシン(VM)技術を提供する。これにより、例えば、信頼できるVaaC100”としての、検証可能である(例えば、サーバから検証可能である)十分に信頼できるクライアントを確立することが実現可能である。本発明の一観点に従って、目的を制限された(例えば、単一の目的の)読出専用仮想マシン(VM)は、クライアント側の環境を測定する複雑性を低めるようVaaC100’としてクライアント側で提供される。これにより、同じく検証可能である(例えば、サーバから検証可能である)十分に信頼できるクライアントを確立することが実現可能である。
【0013】
実施形態の一観点に従って、VaaCのDVMイメージ100は、コンピュータ読出可能な指示(ソフトウェア)を処理するコンピューティングプロセッサ(CPU)及びデータ記憶部(例えば、メモリ。)を有するDVMイメージ100装置としての何らかの計算装置(計算力を備えた何らかの装置)によって(制限なく)含む無数の技術に従って、サービスプロバイダサーバ102と通信するVaaCホスト、例えば、VaaCクライアントホスト90へ伝送/提供及び/又は送信される。実施形態の一観点に従って、DVMイメージ装置は、CPU、何らかの形態のデータ記憶部(例えば、メモリ、ハードディスク等。)及び/又は信頼できるプラットフォームモジュール(TPM)を含む移動可能(持ち運び可能)な筐体を有する移動可能なトラストボックス(Trust Box)(mBox)110であっても良い。TPMの概念は知られている。
【0014】
実施形態の一観点に従って、DVMイメージ装置、例えば、mBox110は、VaaCクライアントホスト90の測定が望ましくない場合に、DVMイメージ100の立ち上げ(リリース)を遮る。
【0015】
実施形態の一観点に従って、VaaCのDVMイメージ100は暗号化され、DVMイメージ100のリリースの一端として(リリースの前、間及び/又は後)、暗号化されたDVMイメージ100への暗号キーが利用可能にされる。実施形態の一観点に従って、DVMイメージ100を復号化する暗号キーは、VaaCクライアントホスト90によって、若しくは他のサーバを介して、又はそれらの任意の組み合わせによって、DVMイメージ装置、例えばmBox110によって提供され得る。
【0016】
実施形態の一観点に従って、記載される特徴の如何なる組み合わせも提供され得る。更に、実施例が、DVMイメージ装置の例としてmBox110を参照して且つVaacホストとしてVaacクライアントホスト90を参照して記載されるが、本発明の実施形態は、このような構成に限られず、Vaacホストは、クライアント及び/又はサーバ、並びにDVMイメージ装置が、VaacのDVMイメージを記憶及び/又は保護する(場合によっては)移動可能な若しくは移動不可能な又は固定のどのような計算装置であるかに関わらず、Vaac100’を動作させる(実行する)何らかの計算装置でありうる。
【0017】
図1Bは、本発明の実施形態に従う、信頼できるコンピューティングとしてのオンライン取引での信頼できるVaaCの認定報告の図である。図1Bで、クライアント装置90での信頼できるVaaC100”は、信頼できる環境でSaaS(Software as a Service)及び他のオンライサービスのためのクライアントとして使用される、測定される特定目的の仮想器具である。これの重要な一面は、信頼できるVaaC100”が、誰、どれ、及びその環境に関する認定できる又は信頼できる報告を通してサービスプロバイダ102によって信用され得る場合に、測定されるVaaC100’であることである。この信用認定報告は、トラストキューブ(Trust Cube)(誰、どれ及び/又はコンピューティング環境)のインフラ、例えば、ハードウェア保護の生体計測認証といった、ハードウェア保護認証と組み合わされる信頼できるコンピューティング環境のための富士通(登録商標)のコンセプト、によって可能にされ得る。認定報告とは、適用基準に従って一連の信頼を確立するために使用可能な信頼情報のサマリをいう。誰、何及び/又はコンピューティング環境に関する信頼情報は、ユーザ情報(例えば、パスワード、ユーザID等。)、署名、及びコンピューティング環境測定(例えば、信頼できるVaaC100”、ホスト90の測定、TPMに関するデータ及び/又は測定。)、暗号化に関連する情報(キー)、及び一連の信頼情報の任意の組み合わせを含みうる。このようにして、実施形態の一観点に従って、VaaC100’の測定を含む認定報告は、一連の信頼が正しいことを検証することによって報告を保証し、VaaC100’の測定を予め記憶されている測定と比較して、信頼できるVaaC100”としてVaaC100’を認定するようサービスプロバイダ102へ送信される。
【0018】
図1Cは、本発明の実施形態に従う、信頼できるVaaCに基づく信頼できるコンピューティング/トラストキューブのフロー図である。図1Cにおいて、150で、信頼できるVaaC100”は、誰、何、及びその環境に関する認定報告をサービスプロバイダ102へ与える。152で、サービスプロバイダ102は、信頼できるVaaC100”からの報告を確認し、危険性を決定する。154で、サービスプロバイダ102は、152での危険性評価に基づくサービスを提供する。トラストキューブ又は信頼できるコンピューティングに関する基本的な考えは、特定のサービスについての専用端末、例えば、銀行取引のためのATM(現金自動預け払い機)、軍事用途のための専用の特別端末等を鑑みて、容易に理解される。このような専用端末は、単純に、ネットワーク上で遠隔サービスにアクセスする能力を有する装置である。しかし、ユーザにとって、オンライン(インターネット)銀行取引よりもATMでの取引を行う方が、あるいは、軍事用途のために特に安全な場所から軍事データにアクセスする方がよりずっと快適である。銀行の場合に、サービスプロバイダとしての銀行が、どの機械がサービスプロバイダとして銀行にアクセスしているか、どのようなハードウェア/ソフトウェア構成を機械が有しているか、及び機械が(設定が少なくとも容易には変更され得ないように)物理的に不正操作できないことを正確に知っている場合は、銀行が取引の有効性に対して更なる信頼を有することを容易に想像できる。同じく、同様の状況下で、軍隊は、遠隔のデータアクセス要求が有効であるという更なる信頼を有しうる。生体計測センサを備えたATMの場合に(例えば、日本の多数のATMは、現在、手のひら静脈センサを備えられている。)、銀行は、生体計測センサが、生体計測の認識結果が不正に変更されないように、物理的に不正操作できない筐体内で安全に構成されることを知っている。
【0019】
従って、このような専用端末が各オンラインサービスごとに提供され得る場合は、サービスプロバイダは、その利用者が、はびこるウィルス、破壊工作ソフト、及びボットネットのような脅威を伴うオンラインサービスにとっての現在の厳しい環境でさえ、極秘データにアクセスしたり又は取引を行ったりすることを無理なく可能にすることができる。しかし、各個人にこのような専用端末を提供することは法外に費用がかかり、非現実的であり、起こりそうもない。
【0020】
専用端末による解決法の根底には、端末同一性、端末のハードウェア/ソフトウェア構成、及びそのユーザ同一性の認識があり、サービスプロバイダは、装置が容易に不正変更され得ないことを確実と思う。
【0021】
サービスプロバイダが、それら自身の専用端末に関する認識と同じくらい堅個な認識を得ることができる場合は、それは、全体のオンラインサービスの展望を変更しうる。信頼できるコンピューティング及びトラストキューブは、サービスプロバイダが利用可能であるこのような認識のために、クライアントの誰、何、環境に関する認定報告をサービスプロバイダへ提供するよう提案されている。クライアント装置からサービスプロバイダへの、例えば、唯1つのTPM(信頼できるプラットフォームモジュール)のような、単独のハードウェアに基づく認定報告は(信用できなくなったかどうかが検出可能である最低限で)危険でない。このようにして、サービスプロバイダは、この認定報告を通してクライアント端末の認識において高レベルの信頼を有することができる。
【0022】
しかし、ソフトウェア及び/又はデータのみの“信頼”状態に基づいて、あるいはハードウェア、特に、最新の重いOSと組み合わせて、認定報告を実施することは容易な課題ではない。ソフトウェアに基づく認定報告は、以下の理由により困難である:
(1)アプリケーションの保護並びにOS内の測定及び報告エージェントの保護はほとんど不可能であること,
(2)システムの測定は時間がかかり、報告のサイズはむしろ莫大であること,並びに
(3)生体計測センサを安全に報告エージェントへ接続すること及びプライバシー(ユーザの生体計測データ)を保護することは容易でないこと。
【0023】
信頼できるコンピューティングは、それらの障害により、その期待を満たすに及ばない。(1)に関して、様々な安全保障要件を伴う多数のアプリケーションが1つのOSに共存する。OSが強い保護を求めるアプリケーションに極めて制限される場合に、そのことにより、OSは他のアプリケーション及び目的に使用できなくなる。サービスプロバイダへの認定報告を保証するために、OS全体及びそのアプリケーションは、脆弱性を伴わずに危険にさらされない必要がある。しかし、それは極めて難しい課題でありうる。測定及び報告エージェント自体がこのようなOS内で実行されてOSから報告する必要がある場合に、サービスプロバイダが報告の信頼可能性を決定することは、クライアントにある全ての構成要素を知るよう管理される場合でさえ非常に大きな課題でありうる(構成要素の特定の組み合わせにより引き起こされる問題/脆弱性も存在しうる。)。
【0024】
項目(2)は、信頼できるコンピューティング及び認定報告を現実的なものとするために重要な課題である。例えば、ウィンドウズ(登録商標)ビスタでは数十万のファイル(数十GBの総サイズ)を容易に有することが可能である。約1000のファイルを走査するのに6秒かかり、報告のサイズが現在のラップトップPCで138KBであるという経験に基づく事実について考えると、クライアント及びネットワークに対する有用性、実用性及び負荷に関する影響を想像することは容易である。それは、また、多数のクライアントからの莫大な報告を扱う必要があるサービスプロバイダの側で大きな負担を生み出しうる。
【0025】
(3)を考慮して、生体計測センサは、報告エージェント及び/又は報告エージェントが依拠するハードウェア(例えば、TPM。)へ安全に接続される必要がある。その場合にのみ、“誰か”に関する認定報告が可能である。しかし、生体計測センサから報告エージェント及び/又はその依存するハードウェアへの、最新の重いOSにおけるパスを保護することは極めて難しい。また、ユーザの生体計測データをその場でしか使えず且つ外部に公開されないよう保つことは、プライバシーに関する懸念にとって重要である。
【0026】
図2Aは、本発明の実施形態に従う、測定エージェントを有する仮想マシン及びVaaCに基づく信頼できるコンピューティングのコンピュータシステム図である。前出の問題を回避するために、仮想マシンは、技術的に、信頼できるコンピューティングにおいて用いられてきた。仮想マシンモニタ(VMM又はハイパーバイザ(hypervisor))104は、VMM104で実行されているVaaC100’としての仮想マシン(VM)を互いに分離することができ、そのトップで実行されているVMに適切な保護を与えることができる。信頼できるコンピューティングでは、ストラテジ(strategy)は、測定及び報告エージェントによりVMM104及びそのVaaC100’を測定し、認定報告を用いて、それらのVaaC100’からサービスプロバイダ102へそれらの測定を報告することである。サービスプロバイダ102は、VMM104及びそのVaaC100’が危険でないことを確かに知っている(あるいは、もしあれば、危険であることを検出する)。図2A〜2Cでは、信頼できるチャネルが相互VM通信に提供される。例えば、信頼できるチャネルは、VMM104によって、すなわち、エージェントを有するVM106とVaaC100’との間で確立され得る。
【0027】
図2Bは、本発明の実施形態に従う、測定エージェント及びVaaCを備えた仮想マシンに基づく信頼できるコンピューティングのコンピュータシステム図である。図2Bで、測定及び報告エージェントは、VaaC100’自体又は別個のVM106で実行され得る。それにも関わらず、サービスプロバイダ102は、(場合によっては)測定及び報告エージェントを実行するVM100’、106が危険でなく、他のVM及びVMMから保護されていることを知っている。VaaC100’は、例えばウィンドウズ(登録商標)のような汎用のOSを起動することができ、並行して、エージェントを実行するVM106及びそれらのエージェントは、汎用OSを測定し、認定報告をサービスプロバイダ102へ送信することができる。以前は、仮想マシン技術は、他のVMで測定及び報告エージェントを実行することによって部分的に(1)を解決するよう、信頼できるコンピューティングと組み合わされてきた。しかし、それは、前出の全ての問題(1)乃至(3)を解決せず、また、それは、それらの問題を解消すべく、信頼できるVaaC100”の導入を必要とする。VMM104はホスト/クライアント90で実行されているので、例えばマイクロソフト(登録商標)のウィンドウズのような信頼できないVM、及び例えば信頼できるVaaC100”のような信頼できるVMは、ホストPC90で実行されている。故に、1つの攻撃例には、例えばウィンドウズのような信頼できないVMがVaaC100’及び/又はエージェントを有するVM106でコンテンツを変更して、報告プロシージャを操作し及び/又はサービスプロバイダ102からサービスを得るべく、VMM104を介してコマンドを送ることがある。
【0028】
図2A及び2Bで、実施形態の一観点に従って、特定の目的、例えば、単一の目的を伴う、余分の装備を取り除いたOS及びアプリケーションが、サービスのためのクライアント(信頼できるVaaC)100”として、信頼できるVMで使用される。余分の装備を取り除いたOS及び限定された目的のクライアントアプリケーションを有する、測定されるVaaC100’は、ここでは、信頼できるVaaC100”と呼ばれる。
【0029】
VaaC100’で、ファイルの数及び全てのファイルの総体的サイズは小さいので、測定は極めて瞬時に行われ得、報告サイズはより一層小さい。従って、VaaC100’における特定目的のOS/アプリケーションは、(2)の問題を解決する。数個のファイルが(ハードディスクのパーティションにおける個々のファイルに代わって)仮想のハードディスクイメージ及び仮想のメモリイメージに使用される場合に、測定時間及び報告サイズは有意に小さくされ、認定報告をより一層実用的なものとする。クライアント(すなわち、信頼できるVaaC100”)での信頼できる仮想の特定目的OS/アプリケーションは、サービスプロバイダが報告を検証することをより容易にする。実施形態の一観点に従って、信頼できるVaaC100”は読出専用であっても良い。これにより、仮想の限られた目的のOS/アプリケーションが使用される場合に、同じファイル及び/又はメモリイメージ(それらは、別個のファイル又は仮想のハードディスクイメージのいずれか一方である。)が、信頼できるVaaC100”が使用された後にファイル及び/又はメモリイメージに対してなされた変更を捨てることによって、何度も繰り返して使用され得る。それにより、サービスプロバイダ102による報告の確認は、より一層容易な課題となる。
【0030】
仮想マシン技術の導入は、何らかのコンピューティング環境にある信頼できるVaaCに関する考えを現実的なものとする。専用の実際のハードウェア端末を各ユーザへ分配することは、極めて費用がかかることであり、非現実的である。VMM104による分離は、信頼できるVaaC100”を汎用のOSの次に実行するために利用される。ユーザは、通常、例えばウィンドウズ(登録商標)のような汎用のOSで日常的なアプリケーションに働きかけることができる。ユーザが金融取引又は極秘データへのアクセスを行う必要がある場合にのみ、ユーザは信頼できるVaaC100”へ切り替えることができる。信頼できる仮想の単一の専用装置を信頼できるVaaC100”を介して多目的環境に設置することは、解決法を費用効果の高いものとする。信頼できるVaaC100”へ切り替えられる場合に、モードは、信頼できるVaaCモードと呼ばれ得る。
【0031】
実施形態の一観点に従って、信頼できるVaaC100”に設けられる機能が少なくなればなるほど、その特定の目的には不必要である機能は省略されるので、信頼できるVaaC100”に関して測定されるべきファイル、状態、及び他の構成要素の数及び総サイズは小さくなる。汎用のOSに関しては、多種多様なアプリケーションに適応するよう可能な限り多くの機能を有することがまさに汎用OSにとっては重要な点であるために、測定効率を高めるためにその機能を省略することは非常に困難である。
【0032】
また、実施形態の一観点に従って、信頼できるVaaC100”が読出専用であることに留意することも極めて重要である。言い換えると、信頼できるVaaC100”への如何なる変更も、仮想のハードディスクドライブイメージ及び仮想のメモリイメージを含む、信頼できるVaaC100”の毎回の使用後に捨てられる。これは、その目的のその特異性のためであり、全ての要件は、最初の設定に組み込まれ得る。それは、専用の端末又は器具と同様の変更を全く必要としない、又はわずかに必要とする。対照的に、汎用OSは、このような高度な機能を有することができない。例えば、それは、多種多様なアプリケーションに適応する自身の必要性のために、その状態(特にファイル)の制御を有することができない。汎用OSでのウェブブラウザでさえその履歴、ブックマーク、クッキー、キャッシュ等に関してファイルの書換を必要とする。信頼できるVaaC100”がその特定の目的のためにウェブブラウザを使用する場合でさえ、それは、アクセスすべきサイトが固定されているために、このような書換を必要としない。
【0033】
この特徴(信頼できるVaaC100が変更を捨てることができること。)は、信頼できるVaaC100の極めて重要な利点をもたらす。VMとしての信頼できるVaaC100は、その仮想のハードディスクドライブ及び/又はそのメモリに関して数個のファイルを使用することができる。かかる数個のファイルは、その寿命の間不変であり、単一のディクショナリ又は極めて簡単なディクショナリ構造において一定に置かれ得る。複雑なディクショナリ構造において膨大な変化するファイルを測定することに代えて、信頼できるVaaC100”の測定エージェントは、均一の又は簡単なディクショナリ構造において、数個の不変のファイルを測定する。また、ファイルの総サイズが小さくなればなるほど、測定はますます高速になる。例えばセキュア・ハッシュ・アルゴリズム(SHA)(例えば、SHA1。)のような測定アルゴリズムは極めて軽いので、測定は、かかる数個のファイルの順次的な読み出しを超える不利益をほとんど伴うことなく極めて瞬時に行われるべきである。
【0034】
専用端末に対する信頼できるVaaC100”の1つの例となる利点は、信頼できるVaaC100”が実行される主要な対象のプラットフォームであるべきPC用のCPUが、専用の端末及び器具のかかるCPUよりもずっと速いことである。測定は、極めて短時間に行われ、結果として得られる測定報告は大いにより小さくなる。また、それは、より小さい報告から一定の測定を確認して、サービスプロバイダがクライアントとの一連のアクションを決定するためのシステムの負荷及び複雑性を減らす。
【0035】
信頼できるVaaC100”は、概して、そのラインタイム測定に関してもより一層努力を必要としない。これは、そのラインタイムの間の構成要素の変更がより少ないことが、その目的の特異性によるためである。
【0036】
図2Cは、信頼できるプラットフォームモジュール(TPM)によって封印されている生体計測データを有する専用仮想マシン(DVM)イメージのコンピュータシステム図である。図2Cで、生体計測センサは、VMM104及びVM(これはVaaC100’又は他のVM106であっても良い。)を介して報告エージェントへ接続され得る。図2Cで、ユーザの生体計測データ(及び極めてありそうな生体計測認識プログラム)を有するVaaC100’を立ち上げるためのDVMイメージ100は、TPM607に封印されている暗号キーにより暗号化され得る。(VMM104及び/又は生体計測センサを有する)プラットフォームがTPM607によって危険でない(例えば、プラットフォームは最後の時点から変更されない。)と確認されない限り、暗号キーは取り出されず、従って、ユーザの生体計測データ及びプライバシーを強力に保護することができる。具体的に、ブーティング時間の間、(VMM104及び/又は生体計測センサ108を含む)プラットフォーム90のスナップショットが生成され、特定のTPMプラットフォーム設定レジスタ(PCR(Platform Configuration Registers))へ拡張される。かかるTPM PCRの値は、VMM104及び/又は生体計測センサ108が変更されない限り、常に同じである。暗号キーは、また、既知の正確なPCR値によって封印され得る。幾つかの理由のために正確な値が生成され得ない場合は、キーは、正確には復号化されない。ここで、用語“拡張(extend)”、“封印(seal)”及び“PCR”は、信頼できるコンピューティングでは既知の概念である。他の方法は、TPMによって封印されているキーによって暗号化されるユーザの生体計測データのみを保持することであり、この場合に、生体計測センサから報告エージェントへの経路は完全には保護されない一方、重要なことは、サービスプロバイダ102が、どのようにかかるVMM104及びDVMイメージ100が認定報告を通して保護されるかを効果的に評価して、どれくらい生体計測認識の結果が信頼できるかを評価することができることである。このことは、コアの考え方が、サービスプロバイダ102の信頼境界が、信頼できるVaaC100”を含み、更に生体計測センサを含むようネットワーク上で拡張され得ることであるために、問題(3)に対処する。これは、利用者が取引又は極秘データへのアクセスを行うことを可能にするよう、専用端末と同じ信頼度をサービスプロバイダ102に提供する。
【0037】
図2Dは、mBoxにより立ち上げられるDVMイメージ100のコンピュータシステム図である。実施例の他の態様に従って、VaaCはmBox110と組み合わされる。例えば、mBox110は、ホストPC90のインテグリティを確認後にホストPC90へDVMイメージ100(及び潜在的にVMMソフトウェア104)を提供するUSB装置である。ホストPC90で、DVMイメージ100は、VaaC100’、及び信頼できるVaaC100”としての最終的な実行として、実行される。信頼できるVaaC100”は小さいので、mBox110でそのDVMイメージ100を保持するために必要とされる記憶空間はより小さくて済む(あるいは、同じ記憶空間におけるそのDVMイメージ100はより多く記憶され得る。)。あるいは、DVMイメージ100がネットワークを通して伝送される場合に、その伝送は、より少ない時間及び/又は帯域幅にありうる。図2Dで、mBox110は、DVMイメージ100及び/又はそれに記憶されるVMMソフトウェア104を復号化するキーを保護するために、及び/又はmBox110で係るデータのインテグリティを確認するために、ホスト/クライアント90のTPM607aに関してTPM607bを有することができる。実施形態の一観点に従って、VMMソフトウェア104はmBox110からホストPC90にインストールされ、VMMソフトウェア104は、ホスト/クライアント90でのインストール及び実行の前に測定される。
【0038】
本発明の実施形態の特徴:
1.限られた目的のために、及び省略される各不必要な機能に必要とされる不変のOS、アプリケーション、ウェブブラウザ、又は単なるそれらのOS、アプリケーション若しくはウェブブラウザを有する仮想化マシンを発生させること。実施形態の一観点に従って、OSは、例えば、仮想埋め込み装置の場合に、仮想コンピュータ機能を直接的に用いる(例えば、仮想CPUのトップで直接に実行する)アプリケーションにより削除され得る。更に、仮想化は、VMM104を用いることによってハードウェア不可知(agnostic)でありうる。他の例として、下記のa乃至dがある。
【0039】
a.サービスプロバイダと取引するよう必要なファイルのファイルシステムイメージ及び/又はメモリイメージを用いることによって、ファイルシステムの使用を排除し又は実質的に減らすこと。
【0040】
b.OSのアクセサリ、アプリケーション及びウェブブラウザのアドイン、並びにウェブブラザのタブ・インターフェースは省略され得る。用語“アクセサリ”とは、ソフトウェアツール、対象のサービスプロバイダとインターフェース接続するためのOSの動作には必要とされない何らかの任意的なソフトウェアをいう。
【0041】
c.OS、アプリケーション、及び/又はウェブブラウザの認証記憶(certificate stores)へのアクセスを制限すること。認証記憶は、全てのユーザ/システムの証明書が置かれているOS内の記憶領域でありうる。
【0042】
d.不必要な周辺機器、例えば、フロッピー(登録商標)ディスク、USBコントローラ、CD/DVDドライブ、又は、ディスプレイ、音響装置若しくはプリンタのような出力装置、キーボード若しくはマウスのような入力装置、または幾つかのアプリケーションのためのNIC(ネットワークインターフェースカード)は、なくても良い。
【0043】
2.OS、アプリケーション、及び/又はウェブブラウザに高い又は最も高い保護レベル設定を適用すること。実施形態の一観点に従って、OSに定義される又は他の保護レベル設定は、DVM100’内のユーザ権限の制御に基づいて所望の信頼度を達成するために目標の保護レベルを提供するべく管理される。この保護レベルは、最高から高、中、及び低まででありうる。最も高い保護レベルは、ユーザに対する更なる制限及びより少ないユーザカスタマイズ(例えば、設定変更、アカウント管理、ソフトウェア管理(インストール、更新、削除、編集)、データアクセス等の権限の低下。)を参照する。実施形態の一観点に従って、目的とする保護レベルは高又は最高であり、一方、デフォルトで、保護レベルは中である。
【0044】
3.VMがアクセスすることができるIPアドレス又はドメイン名システム(DSN)名に関する制限。実施形態の一観点に従って、IPアドレス又はDNS名の数は、対象のサービスプロバイダのサーバに限定される。例えば、IPアドレス又はDSN名に関する制限は、汎用のOSにとっては非現実的でありうるが、それらは、信頼できるVaaCにとっては極めて妥当である。信頼できるVaaCは、心配すべき他のアプリケーションを有さず、また、接続すべき1又は数個のサーバしか必要としない。1又は数個のサーバしか必要としないことにより、例えば、ウェブブラウザに対するクロスサイトスクリプティング及び他の脅威を防ぐことが可能である。
【0045】
これらの制限は、VM、OS、及びアプリケーションの1又は複数のレベルで適用され得る。例えば、印刷が信頼できるVaaC100”によって制限され得、従って、プリンタ装置をOSに向けることはなく、OSの印刷機能を削除したり、あるいは、アプリケーションの印刷機能を削除したりすることが可能である。可能な多数の他の制限が存在しうる。しかし、すべてのうち最も重要な側面は、サービスプロバイダ102が、かかる制限及び設定が適切であって、信頼できるVaaC100”からの認定報告を通して変更されないことを知っていることである。
【0046】
信頼できるVaaC100”の他の特徴は下記の通りである:
4.信頼できるVaaC(すなわち、読出専用の信頼できるVaaC100”。)の各使用後に、信頼できるVaaC100”のファイルシステム(及びメモリ)イメージに対する変更を捨てることができること。
【0047】
5.並行して汎用のOSにより実行され、更に保護され得ること。
【0048】
6.特定のSaaS又はオンラインアプリケーションのために調整され且つカスタマイズされた専用のクライアントソフトウェア又は一般のアプリケーション(例えば、ウェブブラウザ。)を使用することができること。
【0049】
信頼できるVaaCのメリットは、下記の通りである:
信頼できるVaaC100”の多数のメリットは、専用端末及び仮想器具(VA)のメリットと同様であるが、幾つかは、信頼できるコンピューティング/トラストキューブ及び仮想マシン技術の特定の組み合わせから得られる。幾つかの例となるメリットは、信頼できるVaaC100”に適用することができる取引に基づく。実施形態の一観点に従って、信頼できるVaaC100”をサービスプロバイダ102のためのその環境の多くの制御を有して小さく且つ複雑でなくする特徴は、以下の例となる信頼できるVaaC100”に関するメリットをもたらす。
【0050】
1.より低い脆弱性。
【0051】
2.その環境が一定である場合のクライアント又はウェブアプリケーションの開発容易性。
【0052】
3.クライアントの開発及び配備に必要なテストの少なさ。
【0053】
4.信頼できるVaaC100”のブート、又は節約状態(saved state)からの100”の起動の高速化。
【0054】
5.高い費用効率(一般のPCを使用可能であり、特別の及び/又は専用の端末ハードウェアを必要としない点)。
【0055】
6.信頼できるVaaC100”が容易に実現され得る。これは、mBoxの場合に使用されるメモリがより小さいためである(従って、費用もより安い。)。あるいは、これは、mBoxが、1又はそれ以上の夫々の信頼できるVaaC100”を確立するための更なるDVMイメージ100を、あるいは、ネットワーク上でDVMイメージ100を伝送するために必要とされるより少ない時間及び/又は帯域幅を、同じ記憶空間で適合させることができるためである。
【0056】
しかし、もっと重要なことには、信頼できるVaaCは、下記により、信頼できるコンピューティング及びトラストキューブを現実的なものとする:
7.システム、すなわち、VaaC100’の測定の高速化。これは、システムが小さく且つそれほど複雑でないことによる。特に、数個のファイルが(ハードディスクパーティションにおける個々のファイルに代わる)仮想のハードディスクイメージ及び/又は仮想メモリイメージに使用される場合に、測定時間及び報告サイズは著しく低減され得る。
【0057】
8.測定報告はより小さく、それらを送るための時間及び帯域幅もより小さくて済む。
【0058】
9.より小さい報告及び/又は固定の測定は、サービスプロバイダによる報告の確認及びクライアントに対する動作の決定の負荷を軽減する。
【0059】
図3は、実施形態に従って信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うフローチャートである。図3において、302で、単一の対象とするサービスプロバイダ102に関する機能のみを有する専用仮想マシンイメージ(DVMI)100が発生する。しかし、実施形態は、単一の対象とするサービスプロバイダに限られず、DVMI100は、複数の対象のサービスプロバイダ102に関する機能を有することができる。例えば、動作302では、以下の動作が実行され得る。すなわち、(1)目的とするタスクを実行するのに必要とされるクライアント側のソフトウェア(例えば、仮想プライベートネットワーク(VPN)、MSワード、ウェブブラウザ等。)を識別すること、(2)仮想マシンを発生させること、(3)目的のタスクのための必要なソフトウェアをインストールし、目的のタスクを実行するのに不必要なアイテム、例えば、無関係なOSコンポーネントをアンインストールすること、(4)正規のユーザを生み出し、ユーザに目的のタスクを実行するのに必要とされるクライアント側ソフトウェアの使用及びOS機能の制限を課す制限された権限(例えば、ソフトウェアの更新不可、レジストリの変更不可、システムフォルダの閲覧不可等。)のみを割り当てること、及び(5)仮想マシンイメージをDVMI100としてリリースすること。DVMI100が立ち上げられる場合に、専用仮想マシン(DVM)100’が確立又は提供される。このようにして、DVM100’の例は、唯一のインストールされているソフトウェアがウェブブラウザであって、ウェブブラウザは、企業の極秘文書のホストである1のウェブサーバのみを訪れることができるところの仮想マシン環境でありうる。ウェブサイトを訪ねようとする如何なる試みも、他の目的のウェブサイトは拒絶する。更に、ユーザは、DVM100’で他のソフトウェアのインストール/削除をすることができない。
【0060】
304で、DVMI100は、持ち運び可能な計算装置、例えば、mBox110に記憶される。実施形態の一観点に従って、DVMI100はキーにより暗号化されて、mBox110に記憶される。実施形態の一観点に従って、VMM104も持ち運び可能な計算装置に記憶される。実施形態の一観点に従って、mBox110は、キーを保護するTPM607bを有し、且つ/あるいは、キーは、他のエンティティ、例えば、統合認証サーバ(IAS(integrated Authentication Server))から取り出され得る。
【0061】
306で、持ち運び可能な計算装置は、クライアントとも呼ばれるホスト装置90へ通信上接続する。308で、ホスト装置90が照合される。310でホスト装置90の照合が成功する場合は、316で、DVMI100は専用仮想マシン(DVM)又はVaaC100’としてホスト装置90で立ち上げられる。実施形態の一観点に従って、DVMI100の立ち上げは、DVMI100及びVMM104の両方の立ち上げを含む。310でホスト装置90の照合が成功しなかった又は失敗した場合は、312で、DVMI100の立ち上げは遮断される。
【0062】
318で、DVM100’を通して(すなわち、VaaC100’を通して)サービスプロバイダ102のサーバにアクセスすると、DVM100’は、信頼できるDVM(TDVM)100”を確立するために測定され、DVM100’の測定の認定報告は、プロバイダサーバ102へ送られる。320で、サービスプロバイダ102は、認定報告に基づいて、信頼できるDVM100”を確立又は認識するためにTDVM100”の信頼度を決定する。322で、サービスのレベルが、TDVM100”の信頼度に従って、TDVM100”へサービスプロバイダサーバ102によって提供される。
【0063】
図4Aは、実施形態に従う、信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うコンピュータシステムの機能ブロック図である。図4Aで、mBox110、ホスト/クライアント90及びサーバ102は、有線及び/又は無線でデータのやり取りを行う。更に、実施形態の一観点に従って、mBox110、ホスト/クライアント90及びサーバ102の間の情報の送信は、コンピュータネットワークデータ通信に限られず、他の形態の通信、例えば、電話、ファクシミリ、電子メール、コード(例えば、バーコード。)等が使用され得る。mBox110、ホスト/クライアント90及びサーバ102は、本発明に従う動作を実行するようコンピュータを制御するプログラム(ソフトウェア)及び/又は計算ハードウェアを格納するコンピュータである。図4Aで、mBox110は、ホストベリファイア(verifier)402(例えば、ホスト検証を実行するプログラム。)を有する。更に、mBox110は、暗号化された専用DVMイメージ(DVMI)100を有する。ホスト/クライアント90は、インストールされている(実行されている又は立ち上げられている)VaaC/DVM100’と、VMM104と、ホスト測定収集部404と、トークン要求部406とを有する。サービスプロバイダ102のサーバは、極秘の情報414及びポリシーエンジン/規則410を有する。
【0064】
図4Bは、図4Aのコンピュータシステムで信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うフローチャートである。図4Bで、mBox110がユニバーサルシリアルポート(USB)を介してホスト/クライアント90へ通信上接続可能である場合に、420で、mBox110はホスト/クライアント90へ接続される。421で、ホストベリファイア402、すなわち、“ホスト照合を実行するプログラム”が起動し、ホスト測定収集部404と接触して、ホスト測定(すなわち、インストールされているソフトウェア、実行中のソフトウェア等。)を得る。422で、ホスト/クライアント90の照合が失敗する場合には、何も起こらないか、又は処理は停止される。423で、ホスト/クライアント90の照合が成功する場合には、ホストベリファイア402はDVMI100のロックを解除する。424で、トークン要求部406はサーバ102からのトークンを要求し、更に、このとき、ホスト/クライアント90及びmBox110の両方の測定がホスト測定収集部404によって集められて、サーバ102へ送られる(すなわち、ホスト/クライアント90及び/又はmBox110の測定を含むトークン要求がサーバ102のポリシーエンジン410へ送られる。)。425で、ポリシーエンジン410は、ホスト/クライアント90から送信された測定情報に基づいてトークン408を発行すべきかどうかを決定する。426で、トークン408が発行される場合に、トークン408は、ホスト/クライアント90へ返送されて、信頼できるVaaC/信頼できるDVM100”を確立する。427で、ホスト/クライアント90は、mBox110でDVMI100を用いてVMM104の上で信頼できるVaaC/TDVM100”を立ち上げる。427で、VMM104は、ホスト/クライアント90で実行又は起動されており、VMM104は、新しいVM、すなわち、DVM100’を立ち上げるインターフェースを提供する。具体的に、427で、ホスト/クライアント測定収集部404が測定を集め、その測定が照合された後、測定収集部404は、DVMI100に基づいてTDVM100”としてDVM100’を立ち上げるためにVMM104インターフェースを使用する。
【0065】
実施形態の一観点に従って、318で、ホスト/クライアント90の照合は、立ち上げられているDVMを通して対象のサービスプロバイダのサーバ102にアクセスすると、信頼できる専用仮想マシン(TDVM)としての、DVM100、立ち上げられているDVM100’、ホスト/クライアント90、若しくはmBox110、又はそれらのいずれかの結合の測定の認定報告を対象のサービスプロバイダサーバ102へ送る工程を含む。実施形態の一観点に従って、信頼できる読出専用の専用仮想マシン(TRODVM)としてのホスト装置によるDVMIの立ち上げ及び/又は動作の制御は、ホスト装置及び/又はmBox100の照合に基づいてサービスプロバイダサーバから受け取った信頼度の表示に基づく。実施形態の一観点に従って、mBox110は、例えば、mBox110からホスト/クライアント90へDVMI100の立ち上げパラメータを送ることによって、ホスト/クライアント90でのDVMI100の立ち上げを制御する。
【0066】
428で、トークン408は、TDVM100”にある極秘情報管理部412へ送信される。429で、極秘情報管理部412は、サーバ102内の極秘情報にアクセス(例えば、管理、参照、取り出し、編集等。)するためにトークン408を用いる。極秘情報は、何らかの適用基準に従って保護されることが望まれる如何なる情報であっても良い。430で、作業(サービスプロバイダ102との取引)が行われた後、TDVM100”は閉じられ、TDVM100”の全ての変更が廃棄され、431で、mBox110は接続を切られ得る。
【0067】
図5Aは、実施形態に従う、信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うコンピュータシステムの機能ブロック図である。図5Aで、mBox110、ホスト/クライアント90及びサーバ102は、有線及び/又は無線でデータのやり取りを行う。mBox110、ホスト/クライアント90及びサーバ102は、本発明に従う動作を実行するようコンピュータを制御するプログラム(ソフトウェア)及び/又は計算ハードウェアを格納するコンピュータである。図5Aで、mBox110は、ホストベリファイア402(例えば、ホスト検証を実行するプログラム。)を有する。更に、mBox110は、暗号化された専用DVMイメージ(DVMI)100を有する。ホスト/クライアント90は、インストールされている(実行されている又は立ち上げられている)VaaC/DVM100’と、VMM104と、ホスト測定収集部404と、トークン要求部406とを有する。サービスプロバイダ102のサーバは、極秘の情報414と、クライアントベリファイア416と、ポリシーエンジン/規則410を有する。
【0068】
図5Bは、図5Aのコンピュータシステムで信頼できるVaaCモードを用いてサービスプロバイダとの取引を行うフローチャートである。mBox110がユニバーサルシリアルポート(USB)を介してホスト/クライアント90へ通信上接続可能である場合に、520で、mBox110はホスト/クライアント90へ接続される。521で、ホストベリファイア402、すなわち、“ホスト照合を実行するプログラム”が起動し、ホスト測定収集部404と接触して、ホスト測定(すなわち、インストールされているソフトウェア、実行中のソフトウェア等。)を得る。522で、ホストベリファイア402は、その測定をサーバ102へ送る。すなわち、523で、ホスト/クライアント照合エンジン416は、ホスト90が有効であるかどうかを検証する。524で、ホスト/クライアント90の照合が失敗する場合には、何も起こらないか、又は処理は停止される。525で、ホスト/クライアント90の照合が成功する場合には、サーバ102はDVMI100を復号化するためにmBox110へキー418を送る。526で、mBox110はキー418を用いて、暗号化されたDVMI100のロックを解除する。
【0069】
527で、トークン要求部406はサーバ102からのトークンを要求し、更に、ホスト/クライアント90及び/又はmBox110の測定が集められて、サーバ102へ送られる。528で、ポリシーエンジン410は、ホスト/クライアント90から送信された測定情報に基づいてトークン408を発行すべきかどうかを決定する。529で、トークン408が発行される場合に、トークン408は、ホスト/クライアント90へ返送されて、信頼できるVaaC/信頼できるDVM100”を確立する。530で、ホスト/クライアント90は、mBox110でDVMI100を用いてVMM104の上で信頼できるVaaC/TDVM100”を立ち上げる。DVM100’の立ち上げ動作は、DVM100’の立ち上げ動作427と同様である。531で、トークン408は、TDVM100”にある極秘情報管理部412へ送信される。532で、極秘情報管理部412は、サーバ102内の極秘情報にアクセス(例えば、管理、参照、取り出し、編集等。)するためにトークン408を用いる。533で、作業(サービスプロバイダ102との取引)が行われた後、TDVM100”は閉じられ、TDVM100”の全ての変更が廃棄され、534で、mBox110は接続を切られ得る。
【0070】
実施形態の一観点に従って、図4及び5で、(1)ホスト/クライアント90は、ホスト/クライアント90測定を、mBox110による照合のために、mBox110へ提供し、(2)ホスト/クライアント90は、ホスト/クライアント90及び/又はmBox110の測定を、サーバ102による照合のために、サーバ102へ提供する。
【0071】
信頼できるVaaC/TDVMの重要な側面は、クライアント装置からの誰、何、及びその環境に関する認定報告を通して、費用効率の高い方法で、サービスプロバイダの信頼境界を、生体計測センサを含むエンドユーザのハードウェア及び/又はソフトウェア環境に拡張することである。サービスプロバイダは、ネットワーク上で誰がどのようなハードウェア/ソフトウェア環境を有する何の装置を用いているか、及びVMM及びVMがそれらの既知の状態から変更されないことを知ることができる。このような保証できる認識を用いて、サービスプロバイダは、楽に、エンドユーザに極秘データへのアクセス又は金融取引を行わせることができる。金融機関の場合に、それは、望ましくはエンドユーザの位置でATMを有し、信頼できるVaaC/TDVMを実行することは、TDVMモードと呼ばれ得る。しかし、本発明の実施形態は、信頼できるVaaCの適用を金融分野に限定せず、医療及び軍事の分野のような他の範囲も含む。信頼できるVaaCでの特定目的のVM及び信頼できるコンピューティングのこのような特定の組み合わせは、以下のメリットをもたらす(しかし、これらに限定されない。):
1.信頼できるVaaS及び汎用のOSに関する単一の装置のマルチユース(multiuse)特性、すなわち、装置を、対応するサービスプロバイダによって各々信頼される1又はそれ以上の目的とされる装置に変えることに起因する高い費用効果。
【0072】
2.その比較的小さなサイズに起因する信頼できるVaaCの起動の高速化並びに容易な処理及び(ネットワークを介する又はmBoxからの)配信。例えば、同じメモリ容量を有するmBox110は、1又はそれ以上の独立したTDVMを確立するための更なるDVMIに適応することができる。
【0073】
3.VM、OS、アプリケーション、ウェブブラウザに対する可能な制限に起因する低い脆弱性並びに容易な開発、試験、及び配備。
【0074】
4.より速い測定及びより小さい報告によるホスト/クライアント装置90、ネットワーク、及びサービスプロバイダシステム102に対する負荷の減少(特に、ファイルが仮想のハードディスクドライブ及び/又はメモリのイメージに使用される場合。)。
【0075】
5.暗号キーの封印を含む、エンドユーザの装置のハードウェア及び/又はソフトウェア構成の特定の状態を測定し、それを報告する、TPM607の封印を介した(1)ユーザの生体計測データをその場でしか使えず且つ保護されたままとすること、(2)保護生体計測認証処理、及び(3)サービスプロバイダへの「誰か」に関する認定報告によるプライバシー。
【0076】
ユーザの生体計測データをその場でしか使えないままとすることとは無関係に、実施形態の一観点に従って、TDVM100”の例としてのユーザ認証DVM100’に基づく生体認証が提供される。認証TDVM100”が有する唯一の機能は、例えば、生体計測技術を用いることによって、ユーザの同一性を照合することである。利点は、TDVM100”が信頼され得る場合に、認証結果も信頼され得ることである。サーバ102で認証を行うことに代えてTDVM100”を用いる利点は、サーバ102で認証が基準データを記憶する必要がなく、従って、ユーザのプライバシーが保護されることである。更に、サーバ102へ成功した認証を示す1つの方法は、認証成功時にTDVM100”からTPM607にあるユーザの識別キーのロックを解除し、その解除されたキーを用いて、サーバ102へ合図し特定のデータを提示することである。サーバ102が署名の正確さを検証することができる場合は、サーバは、ユーザの同一性が正確に認証されることを理解する。
【0077】
更に、実施形態の一観点に従って、記載される特徴、機能及び/又は動作並びにそれらの利点の如何なる組み合わせも、提供及び/又は達成され得る。実施形態は、例えば、(限定されない例で)データを記憶し、取り出し、処理し、及び/又は出力し、且つ/あるいは他のコンピュータと(ネットワーク)通信することができる何らかのコンピュータのような、計算ハードウェア(すなわち、計算装置)を有する機器(マシン)として実施され得る。実施形態の一観点に従って、記載される特徴、機能、動作、及び/又は利点は、計算ハードウェア及び/又はソフトウェアによって実施され得、且つ/あるいは、それらを使用することができる。記載される処理は、特定のマシンを提供するために、すなわち、汎用マシンを特定目的のマシンに変えるために、ここで記載される処理及び/又はデータ構造を実行する/処理するようコンピュータをプログラムすることによって実施され得る。具体的に、処理は、コンピュータによって実行される場合に、1又はそれ以上のものとしてのmBox110、ホスト/クライアント90、及びサービスプロバイダ102を、それらのものの異なる状態又は事物としての信頼できるコンピューティング環境の信頼度に従って取引/サービスにアクセスし及び/又はそれらを行うために、記載されるような信頼できるコンピューティング環境に変える。
【0078】
図6は、本発明の実施形態のためのコンピュータの機能ブロック図である。図6で、コンピュータは、如何なる計算装置であっても良い。一般に、コンピュータは、例えば、ダイオード、ユーザインターフェースを表示し又は情報若しくは表示を、スピーカ、プリンタ等の出力装置へ出力する表示又は出力ユニット602を有する。コントローラ604は、通常は、命令、すなわち、ソフトウェア/プログラムを処理又は実行するコンピュータプロセッサに基づくハードウェアロジック回路(例えば、中央演算処理ユニット。)である。通常、メモリ606は、コントローラ604による実行のための命令を記憶する。信頼できるプラットフォームモジュール607が設けられ得る。実施形態の一観点に従って、装置は、如何なるコンピュータ読出可能な記録媒体及び/又は電子データ伝送通信媒体610も読み出し/処理する。ディスプレイ602、CPU604、メモリ606及びコンピュータ読出可能な媒体610は、データバス608によって通信する。生成される如何なる結果も、計算ハードウェアのディスプレイ上に表示され得る。かかる実施形態を実施するプログラム/ソフトウェアは、コンピュータ読出可能な記録媒体及び送信通信媒体を有するコンピュータ読出可能な媒体で記録及び/又は具現され得る。コンピュータ読出可能な記録媒体の例には、磁気記録装置、光ディスク、光学磁気ディスク、及び/又は半導体メモリ(例えば、RAM、ROM等。)が含まれる。磁気記録装置の例には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、及び磁気テープ(MT)が含まれる。光ディスクの例には、DVD(デジタルバーサタイルディスク)、DVD−RAM、CD−ROM(コンパクトディスク−読出専用メモリ)、及びCD−R(記録可能)/RW(書換可能)が含まれる。係る実施形態を実施するプログラム/ソフトウェアは、また、送信通信媒体を介して送信されても良く、送信通信媒体の例には、搬送波信号、光信号等が含まれる。
【0079】
係る実施形態の多数の特徴及び利点は明細書から明らかであり、従って、添付の特許請求の範囲によって、その実際の精神及び適用範囲内にある実施例のこのような特徴及び利点の全てを包含することを目的とする。更に、多数の改良及び変更が当業者によって容易に相当され得るので、表される厳密な構成及び動作に本発明を限定することは望ましくなく、従って、全ての適切な変形例及び等価なものは、その適用範囲内にあるよう、請求され得る。
【0080】
本願は、2007年12月20日に出願した整理番号61/015,537の米国仮出願(発明の名称:「TRUSTED VAAC(VM AS A CLIENT)」、発明者:益岡竜介)に基づく優先権を主張するものであり同出願の全内容を本願に参照により援用する。
【0081】
以上の実施形態に関し、更に以下の付記を開示する。
(付記1)
単一の対象のサービスプロバイダに関する機能のみを有する専用仮想マシンイメージ(DVMI)を発生させる工程と、
前記DVMIを持ち運び可能な計算装置に記憶する工程と、
前記持ち運び可能な携帯装置によってホスト装置へ通信上接続する工程と、
前記ホスト装置を照合する工程と、
前記照合の成功した結果に従って前記DVMIを専用仮想マシン(DVM)として前記ホスト装置で立ち上げる工程と、
前記照合に基づいて、信頼できる専用仮想マシン(TDVM)に関する信頼度を前記対象のサービスプロバイダによって決定する工程と、
前記TDVMの前記信頼度に従って、前記対象のサービスプロバイダのサーバによって前記TDVMへサービスのレベルを提供する工程と
を有する、信頼できるコンピューティング方法。
(付記2)
前記ホスト装置を照合する工程は、前記立ち上げられるDVMを通して前記対象のサービスプロバイダのサーバにアクセスする場合に、TDVMとしての、前記DVMI、前記立ち上げられるDVM、前記ホスト装置、若しくは前記持ち運び可能な計算装置、又はそれらの結合の測定の認定報告を、前記対象のサービスプロバイダのサーバへ送る工程を有する、付記1記載の方法。
(付記3)
前記ホスト装置を照合する工程は、
前記持ち運び可能な計算装置でホストベリファイアを実行する工程と、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出す工程と、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合する工程と
を有する、付記1記載の方法。
(付記4)
前記立ち上げられるDVMに対する全ての変更を捨て、その後に前記立ち上げられるDVMをシャットダウンする工程を更に有する、付記1記載の方法。
(付記5)
前記DVMIを発生させる工程は、
前記対象のサービスプロバイダとのタスクに必要とされるソフトウェアを前記DVMIにインストールする工程と、
アクセサリ、周辺機器、アプリケーションのアドイン、ウェブブラウザのアドイン、又はそれらの結合を削除することを含む、前記DVMIのオペレーティングシステム(OS)の機能削除、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザの認証記憶へのアクセス制限、
前記DVMが前記サービスプロバイダへアクセスするIPアドレス又はDNS名の数の制限、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザへの高い保護レベル設定の適用、あるいは
OS及び/又はアプリケーションの変更、及び/又はユーザのナビゲーション権限の制限
のいずれかの組み合わせを実行する工程と
を有する、付記1記載の方法。
(付記6)
前記DVMIを持ち運び可能な計算装置に記憶する工程は、前記DVMIをキーにより暗号化する工程を有し、
前記DVMIを前記ホスト装置で立ち上げる工程は、前記持ち運び可能な計算装置から及び/又は他のサーバから、前記DVMIを復号化するために前記キーを取り出す工程を有する、付記1記載の方法。
(付記7)
前記キーは、信頼できるプラットフォームモジュールによって前記持ち運び可能な計算装置に封印される、付記6記載の方法。
(付記8)
前記立ち上げられるDVMの測定は、ホワイトリストに基づく測定及び/又はハッシュに基づく測定である、付記1記載の方法。
(付記9)
前記DVMIを持ち運び可能な計算装置に記憶する工程は、前記DVMIを保護する工程を有し、
前記ホスト装置を照合する工程は、
前記持ち運び可能な計算装置でホストベリファイアを実行する工程と、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出す工程と、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合する工程と、
前記ホスト装置の照合の成功した結果に従って前記保護されるDVMIのロックを解除し、前記ホスト装置で該DVMIを立ち上げる工程と
を有し、
前記ホスト装置で前記DVMIを立ち上げる工程は、
前記サービスプロバイダのサーバからのトークンを前記ホスト装置によって要求する工程と、
前記ホスト装置及び前記持ち運び可能な計算装置の両方の測定を前記サービスプロバイダのサーバへ送る工程と、
前記ホスト装置から送信される測定情報に基づいて、トークンを発するべきかどうかを前記サービスプロバイダによって決定する工程と、
前記サービスプロバイダによってトークンが発せられる場合に、該トークンを前記ホスト装置へ送る工程と、
前記ホスト装置によって前記トークンが受け取られる場合に、当該ホスト装置で前記DVMIを立ち上げる工程と
を有し、
前記サービスプロバイダのサーバへのアクセスは、更に、認定報告又は前記トークンを送信することのあらゆる組み合わせも有する、付記1記載の方法。
(付記10)
前記DVMIは、該DVMIをキーにより暗号化することによって及び/又は信頼できるプラットフォームモジュールによって、保護される、付記9記載の方法。
(付記11)
前記DVMIを持ち運び可能な計算装置に記憶する工程は、信頼できるプラットフォームモジュールにより前記DVMIを保護する工程を有し、
前記ホスト装置を照合する工程は、
前記持ち運び可能な計算装置でホストベリファイアを実行する工程と、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出す工程と、
前記ホスト測定を前記サービスプロバイダのサーバへ送る工程と、
前記ホスト測定に基づいて前記ホスト装置を前記サービスプロバイダのサーバによって照合する工程と、
前記ホスト装置の照合の成功した結果に従って、前記持ち運び可能な計算装置へキーを前記サービスプロバイダのサーバによって送る工程と、
前記持ち運び可能な計算装置によって前記キーを用いて前記保護されるDVMIのロックを解除し、前記ホスト装置で該DVMIを立ち上げる工程と
を有し、
前記ホスト装置で前記DVMIを立ち上げる工程は、
前記サービスプロバイダのサーバからのトークンを前記ホスト装置によって要求する工程と、
前記ホスト装置及び前記持ち運び可能な計算装置の両方の測定を前記サービスプロバイダのサーバへ送る工程と、
前記ホスト装置から送信される測定情報に基づいて、トークンを発するべきかどうかを前記サービスプロバイダによって決定する工程と、
前記サービスプロバイダによってトークンが発せられる場合に、該トークンを前記ホスト装置へ送る工程と、
前記ホスト装置によって前記トークンが受け取られる場合に、前記DVMIを立ち上げる工程と
を有し、
前記サービスプロバイダのサーバへのアクセスは、更に、認定報告又は前記トークンを送信することのあらゆる組み合わせも有する、付記1記載の方法。
(付記12)
前記DVMIの測定は、
前記立ち上げられるDVMIを読出専用と指定することと、
前記DVMIを立ち上げる前に該DVMIのハッシュ値を計算することと、
前記計算されるDVMIのハッシュ値を前記DVMIに関する他のハッシュ値と比較することによって前記DVMIのインテグリティを確認することと
を有し、
前記立ち上げられるDVMの測定は、
前記立ち上げられるDVMの1又はそれ以上のファイルを選択することと、
前記立ち上げられるDVMの前記選択されるファイルのハッシュ値を計算することと、
前記計算される選択されたファイルのハッシュ値を該選択されたファイルに関する他のハッシュ値と比較することによって前記立ち上げられるDVMのインテグリティを確認することと
を有する、付記1記載の方法。
(付記13)
単一の対象のサービスプロバイダに関する機能のみを有する専用仮想マシンイメージ(DVMI)を発生させる工程と、
前記DVMIを読出専用の専用仮想マシン(RODVM)としてホスト装置で立ち上げる工程と、
信頼できる専用仮想マシン(TDVM)としての、前記RODVMIの測定を、前記対象のサービスプロバイダのサーバへ送る工程と、
前記測定に基づいて、前記TDVMに関する信頼度を前記対象のサービスプロバイダによって決定する工程と、
前記TDVMの前記信頼度に従って、前記対象のサービスプロバイダのサーバによって前記TDVMへサービスのレベルを提供する工程と
を有する、信頼できるコンピューティング取引の方法。
(付記14)
前記TDVMは、情報及び/又は生体計測技術に従ってユーザ同一性を照合する、信頼できる認証手段である、付記1記載の方法。
(付記15)
対象のサービスプロバイダのサーバにアクセスするコンピュータシステムであって、
ホスト装置と、
前記ホスト装置と通信し、前記対象のサービスプロバイダのサーバに関する機能のみを有する専用仮想マシンイメージ(DVMI)を記憶する持ち運び可能な計算装置と
を有し、
前記ホスト装置及び/又は前記持ち運び可能な計算装置はコンピュータプロセッサを有し、
前記コンピュータプロセッサは、
前記ホスト装置の照合と、
前記ホスト装置の前記照合に基づいて、前記サービスプロバイダのサーバから受け取った信頼度の表示に従って、信頼できる読出専用の専用仮想マシン(TRODVM)としての前記ホスト装置による前記DVMIの立ち上げの制御と
を実行する、コンピュータシステム。
(付記16)
前記ホスト装置は、
前記TRODVMとしての、読出専用のDVMI(RODVMI)及び/又は前記持ち運び可能な計算装置の測定を、前記対象のサービスプロバイダのサーバへ送ることと、
前記送信される測定に基づいて、前記TRODVMの信頼度を前記対象のサービスプロバイダから受け取ることと、
前記TRODVMの前記信頼度に従って、前記対象のサービスプロバイダのサーバによってサービスのレベルを提供することと
によって自身を照合する、付記15記載のコンピュータシステム。
(付記17)
前記ホスト装置は、立ち上げられる読出専用の専用仮想マシン(RODVM)を通して前記対象のサービスプロバイダのサーバにアクセスする場合に、TRODVMとしての、前記DVMI、前記立ち上げられるRODVM、若しくは前記持ち運び可能な計算装置、又はそれらの結合の測定の認定報告を、前記対象のサービスプロバイダのサーバへ送ることによって、自身を照合する、付記15記載のコンピュータシステム。
(付記18)
前記持ち運び可能な計算装置は、
当該持ち運び可能な計算装置でホストベリファイアを実行することと、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出すことと、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合することと
によって前記ホスト装置を照合する、付記15記載のコンピュータシステム。
(付記19)
前記持ち運び可能な計算装置は、
前記対象のサービスプロバイダとのタスクに必要とされるソフトウェアを前記DVMIにインストールすることと、
アクセサリ、周辺機器、アプリケーションのアドイン、ウェブブラウザのアドイン、又はそれらの結合を削除することを含む、前記DVMIのオペレーティングシステム(OS)の機能削除、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザの認証記憶へのアクセス制限、
前記DVMが前記サービスプロバイダへアクセスするIPアドレス又はDNS名の数の制限、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザへの高い保護レベル設定の適用、あるいは
OS及び/又はアプリケーションの変更、及び/又はユーザのナビゲーション権限の制限
のいずれかの組み合わせを実行することと
によって前記DVMIを記憶する、付記15記載のコンピュータシステム。
(付記20)
前記持ち運び可能な計算装置は、前記DVMIを保護するセキュリティを有し、
前記持ち運び可能な計算装置は、
当該持ち運び可能な計算装置でホストベリファイアを実行することと、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出すことと、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合することと、
前記ホスト装置の照合の成功した結果に従って前記保護されるDVMIのロックを解除し、前記ホスト装置で該DVMIを立ち上げることと
によって前記ホスト装置を照合し、
前記ホスト装置は、
前記サービスプロバイダのサーバからのトークンを当該ホスト装置によって要求することと、
当該ホスト装置及び前記持ち運び可能な計算装置の両方の測定を前記サービスプロバイダのサーバへ送ることと、
当該ホスト装置から送信される測定情報に基づいて前記サービスプロバイダのサーバから前記信頼度の表示としてトークンを受け取って、該トークンに基づいて当該ホスト装置で前記DVMIを立ち上げることと
によって当該ホスト装置での前記DVMIの立ち上げを制御し、
前記サービスプロバイダのサーバへのアクセスは、更に、前記サービスプロバイダのサー部への前記トークンの送信のあらゆる組み合わせも有する、付記15記載のコンピュータシステム。
【符号の説明】
【0082】
100 専用仮想マシンイメージ(DVMI)
100’ クライアント(VaaC)
100” 信頼できるVaaC
102 サービスプロバイダ
104 仮想マシンモニタ/マネージャ(VMM)
106 エージェントを有する仮想マシン(VM)
108 生体計測センサ
110 mBox
402 ホストベリファイア
404 ホスト/クライアント測定収集部
406 トークン要求部
408 トークン
410 ポリシーエージェント
412 極秘情報管理部
414 極秘情報
416 ホスト/クライアントベリファイア
418 DVMイメージを復号化するキー
607 信頼できるプラットフォームモジュール(TPM)
90 ホスト/クライアント
【特許請求の範囲】
【請求項1】
単一の対象のサービスプロバイダに関する機能のみを有する専用仮想マシンイメージ(DVMI)を発生させる工程と、
前記DVMIを持ち運び可能な計算装置に記憶する工程と、
前記持ち運び可能な携帯装置によってホスト装置へ通信上接続する工程と、
前記ホスト装置を照合する工程と、
前記照合の成功した結果に従って前記DVMIを専用仮想マシン(DVM)として前記ホスト装置で立ち上げる工程と、
前記照合に基づいて、信頼できる専用仮想マシン(TDVM)に関する信頼度を前記対象のサービスプロバイダによって決定する工程と、
前記TDVMの前記信頼度に従って、前記対象のサービスプロバイダのサーバによって前記TDVMへサービスのレベルを提供する工程と
を有する、信頼できるコンピューティング方法。
【請求項2】
前記ホスト装置を照合する工程は、前記立ち上げられるDVMを通して前記対象のサービスプロバイダのサーバにアクセスする場合に、TDVMとしての、前記DVMI、前記立ち上げられるDVM、前記ホスト装置、若しくは前記持ち運び可能な計算装置、又はそれらの結合の測定の認定報告を、前記対象のサービスプロバイダのサーバへ送る工程を有する、請求項1記載の方法。
【請求項3】
前記ホスト装置を照合する工程は、
前記持ち運び可能な計算装置でホストベリファイアを実行する工程と、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出す工程と、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合する工程と
を有する、請求項1記載の方法。
【請求項4】
前記立ち上げられるDVMに対する全ての変更を捨て、その後に前記立ち上げられるDVMをシャットダウンする工程を更に有する、請求項1記載の方法。
【請求項5】
前記DVMIを発生させる工程は、
前記対象のサービスプロバイダとのタスクに必要とされるソフトウェアを前記DVMIにインストールする工程と、
アクセサリ、周辺機器、アプリケーションのアドイン、ウェブブラウザのアドイン、又はそれらの結合を削除することを含む、前記DVMIのオペレーティングシステム(OS)の機能削除、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザの認証記憶へのアクセス制限、
前記DVMが前記サービスプロバイダへアクセスするIPアドレス又はDNS名の数の制限、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザへの高い保護レベル設定の適用、あるいは
OS及び/又はアプリケーションの変更、及び/又はユーザのナビゲーション権限の制限
のいずれかの組み合わせを実行する工程と
を有する、請求項1記載の方法。
【請求項6】
前記DVMIを持ち運び可能な計算装置に記憶する工程は、前記DVMIをキーにより暗号化する工程を有し、
前記DVMIを前記ホスト装置で立ち上げる工程は、前記持ち運び可能な計算装置から及び/又は他のサーバから、前記DVMIを復号化するために前記キーを取り出す工程を有する、請求項1記載の方法。
【請求項7】
前記キーは、信頼できるプラットフォームモジュールによって前記持ち運び可能な計算装置に封印される、請求項6記載の方法。
【請求項8】
前記立ち上げられるDVMの測定は、ホワイトリストに基づく測定及び/又はハッシュに基づく測定である、請求項1記載の方法。
【請求項9】
前記DVMIを持ち運び可能な計算装置に記憶する工程は、前記DVMIを保護する工程を有し、
前記ホスト装置を照合する工程は、
前記持ち運び可能な計算装置でホストベリファイアを実行する工程と、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出す工程と、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合する工程と、
前記ホスト装置の照合の成功した結果に従って前記保護されるDVMIのロックを解除し、前記ホスト装置で該DVMIを立ち上げる工程と
を有し、
前記ホスト装置で前記DVMIを立ち上げる工程は、
前記サービスプロバイダのサーバからのトークンを前記ホスト装置によって要求する工程と、
前記ホスト装置及び前記持ち運び可能な計算装置の両方の測定を前記サービスプロバイダのサーバへ送る工程と、
前記ホスト装置から送信される測定情報に基づいて、トークンを発するべきかどうかを前記サービスプロバイダによって決定する工程と、
前記サービスプロバイダによってトークンが発せられる場合に、該トークンを前記ホスト装置へ送る工程と、
前記ホスト装置によって前記トークンが受け取られる場合に、当該ホスト装置で前記DVMIを立ち上げる工程と
を有し、
前記サービスプロバイダのサーバへのアクセスは、更に、認定報告又は前記トークンを送信することのあらゆる組み合わせも有する、請求項1記載の方法。
【請求項10】
前記DVMIは、該DVMIをキーにより暗号化することによって及び/又は信頼できるプラットフォームモジュールによって、保護される、請求項9記載の方法。
【請求項11】
前記DVMIを持ち運び可能な計算装置に記憶する工程は、信頼できるプラットフォームモジュールにより前記DVMIを保護する工程を有し、
前記ホスト装置を照合する工程は、
前記持ち運び可能な計算装置でホストベリファイアを実行する工程と、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出す工程と、
前記ホスト測定を前記サービスプロバイダのサーバへ送る工程と、
前記ホスト測定に基づいて前記ホスト装置を前記サービスプロバイダのサーバによって照合する工程と、
前記ホスト装置の照合の成功した結果に従って、前記持ち運び可能な計算装置へキーを前記サービスプロバイダのサーバによって送る工程と、
前記持ち運び可能な計算装置によって前記キーを用いて前記保護されるDVMIのロックを解除し、前記ホスト装置で該DVMIを立ち上げる工程と
を有し、
前記ホスト装置で前記DVMIを立ち上げる工程は、
前記サービスプロバイダのサーバからのトークンを前記ホスト装置によって要求する工程と、
前記ホスト装置及び前記持ち運び可能な計算装置の両方の測定を前記サービスプロバイダのサーバへ送る工程と、
前記ホスト装置から送信される測定情報に基づいて、トークンを発するべきかどうかを前記サービスプロバイダによって決定する工程と、
前記サービスプロバイダによってトークンが発せられる場合に、該トークンを前記ホスト装置へ送る工程と、
前記ホスト装置によって前記トークンが受け取られる場合に、前記DVMIを立ち上げる工程と
を有し、
前記サービスプロバイダのサーバへのアクセスは、更に、認定報告又は前記トークンを送信することのあらゆる組み合わせも有する、請求項1記載の方法。
【請求項12】
前記DVMIの測定は、
前記立ち上げられるDVMIを読出専用と指定することと、
前記DVMIを立ち上げる前に該DVMIのハッシュ値を計算することと、
前記計算されるDVMIのハッシュ値を前記DVMIに関する他のハッシュ値と比較することによって前記DVMIのインテグリティを確認することと
を有し、
前記立ち上げられるDVMの測定は、
前記立ち上げられるDVMの1又はそれ以上のファイルを選択することと、
前記立ち上げられるDVMの前記選択されるファイルのハッシュ値を計算することと、
前記計算される選択されたファイルのハッシュ値を該選択されたファイルに関する他のハッシュ値と比較することによって前記立ち上げられるDVMのインテグリティを確認することと
を有する、請求項1記載の方法。
【請求項13】
単一の対象のサービスプロバイダに関する機能のみを有する専用仮想マシンイメージ(DVMI)を発生させる工程と、
前記DVMIを読出専用の専用仮想マシン(RODVM)としてホスト装置で立ち上げる工程と、
信頼できる専用仮想マシン(TDVM)としての、前記RODVMIの測定を、前記対象のサービスプロバイダのサーバへ送る工程と、
前記測定に基づいて、前記TDVMに関する信頼度を前記対象のサービスプロバイダによって決定する工程と、
前記TDVMの前記信頼度に従って、前記対象のサービスプロバイダのサーバによって前記TDVMへサービスのレベルを提供する工程と
を有する、信頼できるコンピューティング取引の方法。
【請求項14】
前記TDVMは、情報及び/又は生体計測技術に従ってユーザ同一性を照合する、信頼できる認証手段である、請求項1記載の方法。
【請求項15】
対象のサービスプロバイダのサーバにアクセスするコンピュータシステムであって、
ホスト装置と、
前記ホスト装置と通信し、前記対象のサービスプロバイダのサーバに関する機能のみを有する専用仮想マシンイメージ(DVMI)を記憶する持ち運び可能な計算装置と
を有し、
前記ホスト装置及び/又は前記持ち運び可能な計算装置はコンピュータプロセッサを有し、
前記コンピュータプロセッサは、
前記ホスト装置の照合と、
前記ホスト装置の前記照合に基づいて、前記サービスプロバイダのサーバから受け取った信頼度の表示に従って、信頼できる読出専用の専用仮想マシン(TRODVM)としての前記ホスト装置による前記DVMIの立ち上げの制御と
を実行する、コンピュータシステム。
【請求項16】
前記ホスト装置は、
前記TRODVMとしての、読出専用のDVMI(RODVMI)及び/又は前記持ち運び可能な計算装置の測定を、前記対象のサービスプロバイダのサーバへ送ることと、
前記送信される測定に基づいて、前記TRODVMの信頼度を前記対象のサービスプロバイダから受け取ることと、
前記TRODVMの前記信頼度に従って、前記対象のサービスプロバイダのサーバによってサービスのレベルを提供することと
によって自身を照合する、請求項15記載のコンピュータシステム。
【請求項17】
前記ホスト装置は、立ち上げられる読出専用の専用仮想マシン(RODVM)を通して前記対象のサービスプロバイダのサーバにアクセスする場合に、TRODVMとしての、前記DVMI、前記立ち上げられるRODVM、若しくは前記持ち運び可能な計算装置、又はそれらの結合の測定の認定報告を、前記対象のサービスプロバイダのサーバへ送ることによって、自身を照合する、請求項15記載のコンピュータシステム。
【請求項18】
前記持ち運び可能な計算装置は、
当該持ち運び可能な計算装置でホストベリファイアを実行することと、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出すことと、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合することと
によって前記ホスト装置を照合する、請求項15記載のコンピュータシステム。
【請求項19】
前記持ち運び可能な計算装置は、
前記対象のサービスプロバイダとのタスクに必要とされるソフトウェアを前記DVMIにインストールすることと、
アクセサリ、周辺機器、アプリケーションのアドイン、ウェブブラウザのアドイン、又はそれらの結合を削除することを含む、前記DVMIのオペレーティングシステム(OS)の機能削除、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザの認証記憶へのアクセス制限、
前記DVMが前記サービスプロバイダへアクセスするIPアドレス又はDNS名の数の制限、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザへの高い保護レベル設定の適用、あるいは
OS及び/又はアプリケーションの変更、及び/又はユーザのナビゲーション権限の制限
のいずれかの組み合わせを実行することと
によって前記DVMIを記憶する、請求項15記載のコンピュータシステム。
【請求項20】
前記持ち運び可能な計算装置は、前記DVMIを保護するセキュリティを有し、
前記持ち運び可能な計算装置は、
当該持ち運び可能な計算装置でホストベリファイアを実行することと、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出すことと、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合することと、
前記ホスト装置の照合の成功した結果に従って前記保護されるDVMIのロックを解除し、前記ホスト装置で該DVMIを立ち上げることと
によって前記ホスト装置を照合し、
前記ホスト装置は、
前記サービスプロバイダのサーバからのトークンを当該ホスト装置によって要求することと、
当該ホスト装置及び前記持ち運び可能な計算装置の両方の測定を前記サービスプロバイダのサーバへ送ることと、
当該ホスト装置から送信される測定情報に基づいて前記サービスプロバイダのサーバから前記信頼度の表示としてトークンを受け取って、該トークンに基づいて当該ホスト装置で前記DVMIを立ち上げることと
によって当該ホスト装置での前記DVMIの立ち上げを制御し、
前記サービスプロバイダのサーバへのアクセスは、更に、前記サービスプロバイダのサー部への前記トークンの送信のあらゆる組み合わせも有する、請求項15記載のコンピュータシステム。
【請求項1】
単一の対象のサービスプロバイダに関する機能のみを有する専用仮想マシンイメージ(DVMI)を発生させる工程と、
前記DVMIを持ち運び可能な計算装置に記憶する工程と、
前記持ち運び可能な携帯装置によってホスト装置へ通信上接続する工程と、
前記ホスト装置を照合する工程と、
前記照合の成功した結果に従って前記DVMIを専用仮想マシン(DVM)として前記ホスト装置で立ち上げる工程と、
前記照合に基づいて、信頼できる専用仮想マシン(TDVM)に関する信頼度を前記対象のサービスプロバイダによって決定する工程と、
前記TDVMの前記信頼度に従って、前記対象のサービスプロバイダのサーバによって前記TDVMへサービスのレベルを提供する工程と
を有する、信頼できるコンピューティング方法。
【請求項2】
前記ホスト装置を照合する工程は、前記立ち上げられるDVMを通して前記対象のサービスプロバイダのサーバにアクセスする場合に、TDVMとしての、前記DVMI、前記立ち上げられるDVM、前記ホスト装置、若しくは前記持ち運び可能な計算装置、又はそれらの結合の測定の認定報告を、前記対象のサービスプロバイダのサーバへ送る工程を有する、請求項1記載の方法。
【請求項3】
前記ホスト装置を照合する工程は、
前記持ち運び可能な計算装置でホストベリファイアを実行する工程と、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出す工程と、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合する工程と
を有する、請求項1記載の方法。
【請求項4】
前記立ち上げられるDVMに対する全ての変更を捨て、その後に前記立ち上げられるDVMをシャットダウンする工程を更に有する、請求項1記載の方法。
【請求項5】
前記DVMIを発生させる工程は、
前記対象のサービスプロバイダとのタスクに必要とされるソフトウェアを前記DVMIにインストールする工程と、
アクセサリ、周辺機器、アプリケーションのアドイン、ウェブブラウザのアドイン、又はそれらの結合を削除することを含む、前記DVMIのオペレーティングシステム(OS)の機能削除、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザの認証記憶へのアクセス制限、
前記DVMが前記サービスプロバイダへアクセスするIPアドレス又はDNS名の数の制限、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザへの高い保護レベル設定の適用、あるいは
OS及び/又はアプリケーションの変更、及び/又はユーザのナビゲーション権限の制限
のいずれかの組み合わせを実行する工程と
を有する、請求項1記載の方法。
【請求項6】
前記DVMIを持ち運び可能な計算装置に記憶する工程は、前記DVMIをキーにより暗号化する工程を有し、
前記DVMIを前記ホスト装置で立ち上げる工程は、前記持ち運び可能な計算装置から及び/又は他のサーバから、前記DVMIを復号化するために前記キーを取り出す工程を有する、請求項1記載の方法。
【請求項7】
前記キーは、信頼できるプラットフォームモジュールによって前記持ち運び可能な計算装置に封印される、請求項6記載の方法。
【請求項8】
前記立ち上げられるDVMの測定は、ホワイトリストに基づく測定及び/又はハッシュに基づく測定である、請求項1記載の方法。
【請求項9】
前記DVMIを持ち運び可能な計算装置に記憶する工程は、前記DVMIを保護する工程を有し、
前記ホスト装置を照合する工程は、
前記持ち運び可能な計算装置でホストベリファイアを実行する工程と、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出す工程と、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合する工程と、
前記ホスト装置の照合の成功した結果に従って前記保護されるDVMIのロックを解除し、前記ホスト装置で該DVMIを立ち上げる工程と
を有し、
前記ホスト装置で前記DVMIを立ち上げる工程は、
前記サービスプロバイダのサーバからのトークンを前記ホスト装置によって要求する工程と、
前記ホスト装置及び前記持ち運び可能な計算装置の両方の測定を前記サービスプロバイダのサーバへ送る工程と、
前記ホスト装置から送信される測定情報に基づいて、トークンを発するべきかどうかを前記サービスプロバイダによって決定する工程と、
前記サービスプロバイダによってトークンが発せられる場合に、該トークンを前記ホスト装置へ送る工程と、
前記ホスト装置によって前記トークンが受け取られる場合に、当該ホスト装置で前記DVMIを立ち上げる工程と
を有し、
前記サービスプロバイダのサーバへのアクセスは、更に、認定報告又は前記トークンを送信することのあらゆる組み合わせも有する、請求項1記載の方法。
【請求項10】
前記DVMIは、該DVMIをキーにより暗号化することによって及び/又は信頼できるプラットフォームモジュールによって、保護される、請求項9記載の方法。
【請求項11】
前記DVMIを持ち運び可能な計算装置に記憶する工程は、信頼できるプラットフォームモジュールにより前記DVMIを保護する工程を有し、
前記ホスト装置を照合する工程は、
前記持ち運び可能な計算装置でホストベリファイアを実行する工程と、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出す工程と、
前記ホスト測定を前記サービスプロバイダのサーバへ送る工程と、
前記ホスト測定に基づいて前記ホスト装置を前記サービスプロバイダのサーバによって照合する工程と、
前記ホスト装置の照合の成功した結果に従って、前記持ち運び可能な計算装置へキーを前記サービスプロバイダのサーバによって送る工程と、
前記持ち運び可能な計算装置によって前記キーを用いて前記保護されるDVMIのロックを解除し、前記ホスト装置で該DVMIを立ち上げる工程と
を有し、
前記ホスト装置で前記DVMIを立ち上げる工程は、
前記サービスプロバイダのサーバからのトークンを前記ホスト装置によって要求する工程と、
前記ホスト装置及び前記持ち運び可能な計算装置の両方の測定を前記サービスプロバイダのサーバへ送る工程と、
前記ホスト装置から送信される測定情報に基づいて、トークンを発するべきかどうかを前記サービスプロバイダによって決定する工程と、
前記サービスプロバイダによってトークンが発せられる場合に、該トークンを前記ホスト装置へ送る工程と、
前記ホスト装置によって前記トークンが受け取られる場合に、前記DVMIを立ち上げる工程と
を有し、
前記サービスプロバイダのサーバへのアクセスは、更に、認定報告又は前記トークンを送信することのあらゆる組み合わせも有する、請求項1記載の方法。
【請求項12】
前記DVMIの測定は、
前記立ち上げられるDVMIを読出専用と指定することと、
前記DVMIを立ち上げる前に該DVMIのハッシュ値を計算することと、
前記計算されるDVMIのハッシュ値を前記DVMIに関する他のハッシュ値と比較することによって前記DVMIのインテグリティを確認することと
を有し、
前記立ち上げられるDVMの測定は、
前記立ち上げられるDVMの1又はそれ以上のファイルを選択することと、
前記立ち上げられるDVMの前記選択されるファイルのハッシュ値を計算することと、
前記計算される選択されたファイルのハッシュ値を該選択されたファイルに関する他のハッシュ値と比較することによって前記立ち上げられるDVMのインテグリティを確認することと
を有する、請求項1記載の方法。
【請求項13】
単一の対象のサービスプロバイダに関する機能のみを有する専用仮想マシンイメージ(DVMI)を発生させる工程と、
前記DVMIを読出専用の専用仮想マシン(RODVM)としてホスト装置で立ち上げる工程と、
信頼できる専用仮想マシン(TDVM)としての、前記RODVMIの測定を、前記対象のサービスプロバイダのサーバへ送る工程と、
前記測定に基づいて、前記TDVMに関する信頼度を前記対象のサービスプロバイダによって決定する工程と、
前記TDVMの前記信頼度に従って、前記対象のサービスプロバイダのサーバによって前記TDVMへサービスのレベルを提供する工程と
を有する、信頼できるコンピューティング取引の方法。
【請求項14】
前記TDVMは、情報及び/又は生体計測技術に従ってユーザ同一性を照合する、信頼できる認証手段である、請求項1記載の方法。
【請求項15】
対象のサービスプロバイダのサーバにアクセスするコンピュータシステムであって、
ホスト装置と、
前記ホスト装置と通信し、前記対象のサービスプロバイダのサーバに関する機能のみを有する専用仮想マシンイメージ(DVMI)を記憶する持ち運び可能な計算装置と
を有し、
前記ホスト装置及び/又は前記持ち運び可能な計算装置はコンピュータプロセッサを有し、
前記コンピュータプロセッサは、
前記ホスト装置の照合と、
前記ホスト装置の前記照合に基づいて、前記サービスプロバイダのサーバから受け取った信頼度の表示に従って、信頼できる読出専用の専用仮想マシン(TRODVM)としての前記ホスト装置による前記DVMIの立ち上げの制御と
を実行する、コンピュータシステム。
【請求項16】
前記ホスト装置は、
前記TRODVMとしての、読出専用のDVMI(RODVMI)及び/又は前記持ち運び可能な計算装置の測定を、前記対象のサービスプロバイダのサーバへ送ることと、
前記送信される測定に基づいて、前記TRODVMの信頼度を前記対象のサービスプロバイダから受け取ることと、
前記TRODVMの前記信頼度に従って、前記対象のサービスプロバイダのサーバによってサービスのレベルを提供することと
によって自身を照合する、請求項15記載のコンピュータシステム。
【請求項17】
前記ホスト装置は、立ち上げられる読出専用の専用仮想マシン(RODVM)を通して前記対象のサービスプロバイダのサーバにアクセスする場合に、TRODVMとしての、前記DVMI、前記立ち上げられるRODVM、若しくは前記持ち運び可能な計算装置、又はそれらの結合の測定の認定報告を、前記対象のサービスプロバイダのサーバへ送ることによって、自身を照合する、請求項15記載のコンピュータシステム。
【請求項18】
前記持ち運び可能な計算装置は、
当該持ち運び可能な計算装置でホストベリファイアを実行することと、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出すことと、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合することと
によって前記ホスト装置を照合する、請求項15記載のコンピュータシステム。
【請求項19】
前記持ち運び可能な計算装置は、
前記対象のサービスプロバイダとのタスクに必要とされるソフトウェアを前記DVMIにインストールすることと、
アクセサリ、周辺機器、アプリケーションのアドイン、ウェブブラウザのアドイン、又はそれらの結合を削除することを含む、前記DVMIのオペレーティングシステム(OS)の機能削除、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザの認証記憶へのアクセス制限、
前記DVMが前記サービスプロバイダへアクセスするIPアドレス又はDNS名の数の制限、
前記OS、前記アプリケーション及び/又は前記ウェブブラウザへの高い保護レベル設定の適用、あるいは
OS及び/又はアプリケーションの変更、及び/又はユーザのナビゲーション権限の制限
のいずれかの組み合わせを実行することと
によって前記DVMIを記憶する、請求項15記載のコンピュータシステム。
【請求項20】
前記持ち運び可能な計算装置は、前記DVMIを保護するセキュリティを有し、
前記持ち運び可能な計算装置は、
当該持ち運び可能な計算装置でホストベリファイアを実行することと、
前記ホスト装置からホスト測定を前記ホストベリファイアによって取り出すことと、
前記ホスト測定に基づいて前記ホスト装置を前記ホストベリファイアによって照合することと、
前記ホスト装置の照合の成功した結果に従って前記保護されるDVMIのロックを解除し、前記ホスト装置で該DVMIを立ち上げることと
によって前記ホスト装置を照合し、
前記ホスト装置は、
前記サービスプロバイダのサーバからのトークンを当該ホスト装置によって要求することと、
当該ホスト装置及び前記持ち運び可能な計算装置の両方の測定を前記サービスプロバイダのサーバへ送ることと、
当該ホスト装置から送信される測定情報に基づいて前記サービスプロバイダのサーバから前記信頼度の表示としてトークンを受け取って、該トークンに基づいて当該ホスト装置で前記DVMIを立ち上げることと
によって当該ホスト装置での前記DVMIの立ち上げを制御し、
前記サービスプロバイダのサーバへのアクセスは、更に、前記サービスプロバイダのサー部への前記トークンの送信のあらゆる組み合わせも有する、請求項15記載のコンピュータシステム。
【図3】
【図4A】
【図4B】
【図5A】
【図5B】
【図6】
【図1A】
【図1B】
【図1C】
【図2A】
【図2B】
【図2C】
【図2D】
【図4A】
【図4B】
【図5A】
【図5B】
【図6】
【図1A】
【図1B】
【図1C】
【図2A】
【図2B】
【図2C】
【図2D】
【公開番号】特開2009−211686(P2009−211686A)
【公開日】平成21年9月17日(2009.9.17)
【国際特許分類】
【外国語出願】
【出願番号】特願2008−323569(P2008−323569)
【出願日】平成20年12月19日(2008.12.19)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成21年9月17日(2009.9.17)
【国際特許分類】
【出願番号】特願2008−323569(P2008−323569)
【出願日】平成20年12月19日(2008.12.19)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]