接続の確認のためのデバイスおよび方法
ホストコンピュータシステムハードウェア認識および構成のためのポータブルデスクトップデバイスならびに方法が提供される。ポータブルデスクトップデバイスは、認証されると、ポータブルデスクトップデバイスにビート信号を提供する、ポータブルデスクトップアプリケーションへのアクセスを提供する。ビート信号がない場合には、ポータブルデスクトップデバイスは、ポータブルデスクトップアプリケーションおよび/またはそれと関連付けられたデータへのアクセスを阻止する。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、2009年11月13日出願の米国仮出願第61/260,875号からの利益を主張し、この米国仮出願の全内容が本明細書において参考として援用される。
【0002】
本発明は、ポータブルデスクトップに関し、より具体的には、ポータブルデスクトップのホストのハードウェアの認識に関する。
【背景技術】
【0003】
ポータブルデスクトップは、ユーザが、ホストコンピュータシステムのハードウェアを利用することを可能にし、したがって、ポータブルコンピューティング環境を提供する。ポータブルデスクトップは、ポータブル記憶メディア内に物理的に具現化されてもよく、より多くの場合、処理ハードウェア、記憶、ならびにホストシステムとの通信および/またはユーザによる認証のための入力/出力(I/O)ハードウェアを含む、ポータブルデバイス内に具現化される。ポータブルコンピューティング環境(以下、ポータブルデスクトップと称される)は、恒久的であることが意図される、ホストコンピュータシステム上でのセッションの間に行われる、データファイル、ソフトウェア、設定、ユーザ選好、あるいはそのコンピューティング環境の任意の他の構成または局面に対して行われる任意の変更が、ポータブルデスクトップが複数のセッションにわたって継続性を有するように、ポータブルデバイス内に記憶されるという意味において、ポータブルである。ポータブルデスクトップの外観、機能性、コンテンツ、および/または構成もまた、任意の特定のホストコンピュータシステムに対して行われる任意の変更から独立し、ならびに任意のセッションのために使用される特定のホストコンピュータシステムからも独立すべきである。したがって、ポータビリティは、異なるホストコンピュータシステムによって機能するポータブルデスクトップデバイスの能力に依存する。
【0004】
ポータブルデスクトップデバイスの種類の1つは、ポータブルデスクトップデータを搬送および記憶するために使用される、USBメモリデバイスである。典型的状況では、デバイスは、ホストコンピュータUSBポートに挿入され、そこから、電力を導出する。ホストコンピュータは、ホストコンピュータが遮断されるまで、またはデバイスがそのUSBポートから除去されるまで、デバイスに電力を提供する。USBメモリデバイスの給電から、その上のセキュリティ特徴が有効となる。アクセスされると、デバイスは、ポータブルデスクトップの機能性をサポートするように作用する。典型的には、これは、ホストコンピュータをリブートする、または無給電状態から給電するステップを伴う。さらに典型的には、ポータブルデスクトップ環境は、ホストコンピュータが遮断されると、またはUSBメモリデバイスがそのUSBポートから除去されると、切断される。
【0005】
既知のセキュリティ問題は、セキュアなデバイスが、デバイスの使用が完了しても、通電状態に維持される時に存在する。例えば、USBハブが、ホストコンピュータとそれと結合されるUSBデバイスとの間に導入され、USBハブが給電される場合、USBデバイスは、ホストコンピュータから除去されても、通電状態に留保されるであろう。これが生じると、多くの場合、USBメモリデバイスのセキュリティの一部は、デバイスが既に使用に対して有効にされているため、無効のままである。したがって、デバイスは、意図されたものと異なって、依然としてアクセス可能である。
【0006】
セキュリティおよび/または既知のポータブルデスクトップアプローチの他の制限を克服するセキュアなポータブルデスクトップをサポートするための方法またはシステムの存在が有利となるであろう。
【発明の概要】
【課題を解決するための手段】
【0007】
一局面によると、本発明は、その中に記憶されたポータブルデスクトップデータを備えるポータブルデスクトップデバイスをホストコンピュータに結合することと、ポータブルデスクトップデータへのアクセスを有効にすることと、ホストコンピュータシステム上において、ポータブルデスクトップデバイスから受信したポータブルデスクトップアプリケーションを実行することと、間隔を空けて、ホストコンピュータシステムからポータブルデスクトップデバイスに、ホストコンピュータのプレゼンスおよび動作可能性を示すビート信号を伝送することと、ポータブルデスクトップデバイスが、その間隔を空けて以外のビート信号を受信する時以外、ポータブルデスクトップデータへのアクセスを無効にすることとを含む、方法を提供する。
【0008】
本発明の別の実施形態によると、ポータブルデスクトップデバイスをホストコンピュータシステムに結合するためのI/Oハードウェアと、メモリ記憶装置であって、ポータブルデスクトップO/Sを備える、ポータブルデスクトップ記憶ブロックを備える、メモリ記憶装置と、使用の際、間隔を空けて、ホストコンピュータからビート信号を受信し、その間隔におけるビート信号の受信がない場合には、メモリ記憶装置へのアクセスを阻止するためのプロセッサと、を備える、ポータブルデスクトップデバイスが提供される。
【0009】
本発明の別の実施形態によると、ポータブルデスクトップデバイスをホストコンピュータシステムに結合するための入力/出力ポートと、メモリ記憶装置であって、ポータブルデスクトップO/Sを備える、ポータブルデスクトップ記憶ブロックを備える、メモリ記憶装置と、使用の際、第2の間隔において、ホストコンピュータシステムにチャレンジ信号を提供し、それにレスポンスして、第1の間隔において、ホストコンピュータからビート信号を受信し、第1の間隔におけるビート信号の受信がない場合には、メモリ記憶装置へのアクセスを阻止するためのプロセッサと、を備える、ポータブルデスクトップデバイスが提供される。
【0010】
本発明の特徴および利点は、添付の図面を参照することによって、好ましい実施形態の以下の発明を実施するための形態からより明白となるであろう。
【図面の簡単な説明】
【0011】
【図1】図1は、本発明の実施形態による、ポータブルデスクトップデバイスと、そのホストコンピュータシステムおよび関連付けられたハードウェアデバイスを例証する、ブロック図である。
【図2】図2は、ポータブルデスクトップホストハードウェア認識および構成の方法を例証する、機能ブロック図である。
【図3】図3は、本発明の実施形態による、方法の簡略化されたフロー図である。
【図4】図4は、本発明の実施形態による、方法の簡略化されたフロー図である。
【図5】図5は、本発明の実施形態による、方法の簡略化されたフロー図である。
【図6】図6は、本発明の実施形態による、方法の簡略化されたフロー図である。
【発明を実施するための形態】
【0012】
添付の図面では、同一特徴は、類似のラベルを伴うことに留意されたい。
【0013】
次に、図1を参照して、本発明の実施形態による、ポータブルデスクトップデバイス1000について、構造の観点から論じる。
【0014】
ポータブルデスクトップデバイス1000は、そのホストコンピュータシステム1900に接続されて示される。ホストコンピュータシステム1900は、ある数のハードウェアデバイス1950に結合される。ハードウェアデバイス1950の一部は、ホストコンピュータシステム1900の外部にある一方、他は、内部ハードウェアデバイスである。本発明の目的のため、外部または内部ハードウェアデバイス間の区別はなく、したがって、ハードウェアデバイス1950は、ホストコンピュータシステム1900に接続され、それによって制御される、あらゆるハードウェアを含む。
【0015】
ホストコンピュータシステム1900は、ポータブルデスクトップデバイス1000とインターフェースをとることが可能な任意のコンピュータシステムである。ポータブルデスクトップデバイス1000は、ホストコンピュータシステム1900とインターフェースをとることが可能な給電された周辺デバイスの形態であって、いくつかの実施形態では、ユニバーサルシリアルバス(USB)記憶および処理デバイスである。
【0016】
ポータブルデスクトップデバイス1000は、入力/出力(I/O)ハードウェア1300によって、ホストコンピュータシステム1900に接続される。I/Oハードウェア1300に加え、ポータブルデスクトップデバイス1000は、プロセッサ1100と、認証ハードウェア1400と、メモリ記憶装置1200と、を備える。プロセッサ1100は、I/Oハードウェア1300と、認証ハードウェア1400と、メモリ記憶装置1200と、に結合される。認証ハードウェア1400は、指紋、網膜、または他のスキャナ等の生体認証ハードウェアを備えてもよく、あるいはバーコード、暗号鍵、組み合わせ、パスワード、または他の認証情報を受信するためのある他の入力ハードウェアを備えてもよい。代替として、認証ハードウェアは、ホストコンピュータシステム1900の一部を形成する。
【0017】
メモリ記憶装置1200は、セキュリティプロセス1222のためのアプリケーション記憶を含む、ブートプロセス1220アプリケーションデータ記憶ブロックと、ポータブルデスクトップ記憶ブロック1224と、を備える。ポータブルデスクトップ記憶ブロック1224は、ポータブルデスクトップO/S1242を備える。ポータブルデスクトップ記憶ブロック1224はまた、ポータブルデスクトップユーザデータ1244のための記憶ブロックを含む。ポータブルデスクトップO/S1242は、ユーザのためのO/S選好または構成設定の形態として、ユーザデータを含んでもよい。ポータブルデスクトップユーザデータ1244は、その選好または構成設定とともに、O/Sの一部を形成しない、ユーザがインストールしたアプリケーション、ならびにユーザが有し得るポータブルデスクトップと関連付けられた任意の他のデータファイルを含んでもよい。複数のユーザがサポートされる実施形態では、ユーザファイル毎に、選好または構成設定が、ポータブルデスクトップO/S1242内に記憶され、ポータブルデスクトップユーザデータ1244の複数のインスタンスが、各ユーザに対して1つ、ポータブルデスクトップ記憶ブロック1224内に存在する(図示せず)。随意に、他の実施形態では、さらなるポータブルデスクトップ記憶ブロックが、メモリ記憶装置1200内に存在し、それぞれ、その独自のポータブルデスクトップO/Sおよびポータブルデスクトップユーザデータブロックを有する。これは、ユーザおよび/またはユーザ群間のさらなる分離を可能にし、各ポータブルデスクトップ環境のデータおよび機能が、分離されるだけではなく、1つのポータブルデスクトップ環境にアクセスすることができる各ユーザまたはユーザ群が、他のデスクトップ環境を使用する他のユーザの存在を知ることがないようにすることを保証する。第2のポータブルデスクトップ記憶ブロック1250は、図1に破線で示される。
【0018】
次に、図2も参照して、図1のポータブルデスクトップデバイス1000について、その機能の観点から説明する。ポータブルデスクトップデバイス1000がUSBデバイスである、本発明のほとんどの実施形態では、デバイスは、ポータブルデスクトップデバイス1000が、202において、ホストコンピュータシステム1900のハードドライブを無効にすることができるように、ブートプロセスが実行される前に、201において、挿入される。ポータブルデスクトップデバイス1000の使用は、ポータブルデスクトップデバイス1000がホストコンピュータシステム1900に接続されている間、ホストコンピュータシステム1900の電源が投入され、ブートプロセスを経る時に生じる。これに先立って、ホストコンピュータシステム1900のメインボードまたは他のブーティングハードウェアは、ポータブルデスクトップデバイス1000からブートするように構成される、またはホストコンピュータシステム1900の電源が投入される時、ポータブルデスクトップデバイス1000が、ホストコンピュータシステム1900に接続されると、ホストコンピュータシステム1900(HCS)が、図2のステップ200で行うように、ポータブルデスクトップデバイス1000(PDD)からブートするようにするために、内部および外部デバイスからブートするように構成される。
【0019】
いくつかの実施形態では、ポータブルデスクトップデバイス1000をホットプラグするステップは、ホストコンピュータシステム1900に、ポータブルデスクトップデバイス1000を検出するようにトリガし、ユーザに、システムが、ポータブルデスクトップセッションを開始するために、再起動されるべきかどうかを確認するように指示するであろう。
【0020】
ポータブルデスクトップデバイス1000からのホストコンピュータシステム1900のブートの際、ホストコンピュータシステム1900は、I/Oハードウェア1300を通して、ブート可能プロセス、例えば、メモリ記憶装置1200のデータ記憶内のポータブルデスクトップO/Sを要求し、ポータブルデスクトップO/Sを実行する。典型的には、ポータブルデスクトップデバイス1000は、初期の状態では、セキュアである。ポータブルデスクトップアプリケーションのサポートに先立って、ポータブルデスクトップデバイス1000は、典型的には、ユーザ認証を要求する。例えば、ポータブルデスクトップデバイス1000が、指紋パターンを備える時、ユーザの指紋が、203において、認証され、204において、ポータブルデスクトップデータを「ロック解除」する。代替として、別の形態のユーザ認証も行われる。さらなる代替として、認証は、ホストコンピュータシステム1900の入力/出力デバイスを使用して行われる。
【0021】
ユーザ認証後、ポータブルデスクトップデバイス1000が「ロック解除」されると、例えば、205におけるポータブルデスクトップO/Sの実行の際、信号は、206において、間隔を空けて、ホストコンピュータからポータブルデスクトップデバイスに伝送され、ホストコンピュータが依然としてアクティブであることを示す。伝送される信号は、随意に、活性を示すために随時送信されるビート信号である。例えば、ビート信号は、周期的信号である。代替として、ビート信号は、ポータブルデスクトップデバイス1000に既知の様式において変動する、時間間隔で伝送される。さらなる代替として、ビート信号のコンテンツは、ポータブルデスクトップデバイス1000に既知の様式において変動する。代替として、ビート信号は、ポータブルデスクトップデバイスからホストコンピュータに提供されるチャレンジに対するレスポンスである。さらに、随意に、ビート信号は、ビート間で発行されたチャレンジまたは別の以前に発行されたチャレンジに対するレスポンスを備える。ビート信号が、ポータブルデスクトップデバイスで受信されると、デバイスは、207において、通常動作を継続する。
【0022】
そのような実施形態では、デバイスへの電力を維持する間のホストコンピュータシステムへのポータブルデスクトップデバイス接続の除去は、中断の際、ビート信号がポータブルデスクトップデバイス1000に提供されないため、潜在的セキュリティ脅威として検出可能である。
【0023】
ビート信号が、ポータブルデスクトップデバイス1000によって検出される以外、ポータブルデスクトップデバイスは、209において、ロックされ、そこへのアクセスは、さらなるユーザ認証動作がない限り、阻止される。
【0024】
ビート信号のタイミングは、好ましくは、ポータブルデスクトップデバイスを切断および再接続するために要求される時間を有意に下回る。例えば、タイミングは、約数ミリ秒である。さらに好ましくは、ビート信号のコンテンツは、ホストコンピュータシステムが切断されると、別のデバイスがビート信号を模倣するのを阻止するために、容易に複製または決定されない。
【0025】
図3を参照すると、本発明の実施形態による、方法の簡略化されたフロー図が提示される。ここでは、ポータブルデスクトップデバイス1000は、301において、ホストコンピュータシステム1900に結合される。ユーザが、302において、ポータブルデスクトップデバイス1000に対して認証されると、ホストコンピュータシステムは、デバイスと通信交換を開始する。通信交換では、第1のデバイスは、305aにおいて、通信交換に初期メッセージをシードする。他のデバイスは、305bにおいて、メッセージを変換し、リプライを提供する。この変換およびリプライプロセスは、ポータブルデスクトップデバイス1000およびホストコンピュータシステム1900の2つのデバイス間で継続する。変換動作間において、ホストコンピュータシステムは、307において、ポータブルデスクトップ動作を実行する。デバイス間の通信パスが中断される場合、通信交換は、不在となり、ポータブルデスクトップデバイスは、209において、本明細書に前述されるように、それ自体を「ロック」する。
【0026】
図4を参照すると、本発明の実施形態による、方法の簡略化されたフロー図が提示される。ここでは、ポータブルデスクトップデバイス1000は、ホストコンピュータシステム1900に結合される。ユーザが、ポータブルデスクトップデバイス1000に対して認証されると、デバイスは、ホストコンピュータシステムと通信交換を開始する。通信交換では、ポータブルデスクトップデバイス1000は、405aにおいて、ホストコンピュータシステム1900にチャレンジを伝送する。ホストコンピュータシステム1900は、405bにおいて、リプライを提供する。このチャレンジおよびリプライプロセスは、ポータブルデスクトップデバイス1000およびホストコンピュータシステム1900の2つのデバイス間で継続する。デバイス間の通信パスが中断される場合、リプライが受信されず、ポータブルデスクトップデバイスは、209において、本明細書に前述されるように、それ自体を「ロック」する。
【0027】
図5を参照すると、本発明の実施形態による、方法の簡略化されたフロー図が提示される。ここでは、ポータブルデスクトップデバイス1000は、ホストコンピュータシステム1900に結合される。ホストはポータブルデバイスと通信を開始し、次いで、それに対するユーザを認証する。ユーザが、ポータブルデスクトップデバイス1000に対して認証されると、デバイスは、ホストコンピュータシステムと通信交換を継続する。通信交換では、ポータブルデスクトップデバイス1000は、505aにおいて、ホストコンピュータシステム1900にチャレンジを伝送する。ホストコンピュータシステム1900は、505dおよび505bにおいて、既知の間隔において提供される一連のリプライを備える、リプライを提供する。ポータブルデスクトップデバイス1000は、505cにおいて、ホストコンピュータシステム1900から提供される、複数のリプライを受信する。複数のリプライは、さらなるチャレンジが受信されるまで提供され、(さらなるチャレンジに対する)第2の複数のリプライが続く。このチャレンジおよびリプライプロセスは、ポータブルデスクトップデバイス1000およびホストコンピュータシステム1900の2つのデバイス間で継続する。デバイス間の通信パスが中断される場合、リプライが受信されず、ポータブルデスクトップデバイスは、209において、本明細書に前述されるように、それ自体を「ロック」する。
【0028】
図6を参照すると、本発明の実施形態による、方法の簡略化されたフロー図が提示される。ここでは、ポータブルデスクトップデバイス1000は、ホストコンピュータシステム1900に結合される。ユーザが、ポータブルデスクトップデバイス1000に対して認証されると、デバイスは、ホストコンピュータシステムと通信交換を開始する。通信交換では、ホストコンピュータシステム1900は、605bにおいて、ビート信号を周期的に提供する。典型的には、周期は、固定され、数ミリ秒である。デバイス間の通信パスが中断される場合、ビート信号は、受信されず、ポータブルデスクトップデバイスは、209において、本明細書に前述されるように、それ自体を「ロック」する。
【0029】
提示される実施形態は、例示にすぎず、当業者は、前述の実施形態に対する変形例が、本発明の精神から逸脱することなく、成され得ることを理解するであろう。発明の範囲は、添付の請求項によってのみ定義される。
【技術分野】
【0001】
本願は、2009年11月13日出願の米国仮出願第61/260,875号からの利益を主張し、この米国仮出願の全内容が本明細書において参考として援用される。
【0002】
本発明は、ポータブルデスクトップに関し、より具体的には、ポータブルデスクトップのホストのハードウェアの認識に関する。
【背景技術】
【0003】
ポータブルデスクトップは、ユーザが、ホストコンピュータシステムのハードウェアを利用することを可能にし、したがって、ポータブルコンピューティング環境を提供する。ポータブルデスクトップは、ポータブル記憶メディア内に物理的に具現化されてもよく、より多くの場合、処理ハードウェア、記憶、ならびにホストシステムとの通信および/またはユーザによる認証のための入力/出力(I/O)ハードウェアを含む、ポータブルデバイス内に具現化される。ポータブルコンピューティング環境(以下、ポータブルデスクトップと称される)は、恒久的であることが意図される、ホストコンピュータシステム上でのセッションの間に行われる、データファイル、ソフトウェア、設定、ユーザ選好、あるいはそのコンピューティング環境の任意の他の構成または局面に対して行われる任意の変更が、ポータブルデスクトップが複数のセッションにわたって継続性を有するように、ポータブルデバイス内に記憶されるという意味において、ポータブルである。ポータブルデスクトップの外観、機能性、コンテンツ、および/または構成もまた、任意の特定のホストコンピュータシステムに対して行われる任意の変更から独立し、ならびに任意のセッションのために使用される特定のホストコンピュータシステムからも独立すべきである。したがって、ポータビリティは、異なるホストコンピュータシステムによって機能するポータブルデスクトップデバイスの能力に依存する。
【0004】
ポータブルデスクトップデバイスの種類の1つは、ポータブルデスクトップデータを搬送および記憶するために使用される、USBメモリデバイスである。典型的状況では、デバイスは、ホストコンピュータUSBポートに挿入され、そこから、電力を導出する。ホストコンピュータは、ホストコンピュータが遮断されるまで、またはデバイスがそのUSBポートから除去されるまで、デバイスに電力を提供する。USBメモリデバイスの給電から、その上のセキュリティ特徴が有効となる。アクセスされると、デバイスは、ポータブルデスクトップの機能性をサポートするように作用する。典型的には、これは、ホストコンピュータをリブートする、または無給電状態から給電するステップを伴う。さらに典型的には、ポータブルデスクトップ環境は、ホストコンピュータが遮断されると、またはUSBメモリデバイスがそのUSBポートから除去されると、切断される。
【0005】
既知のセキュリティ問題は、セキュアなデバイスが、デバイスの使用が完了しても、通電状態に維持される時に存在する。例えば、USBハブが、ホストコンピュータとそれと結合されるUSBデバイスとの間に導入され、USBハブが給電される場合、USBデバイスは、ホストコンピュータから除去されても、通電状態に留保されるであろう。これが生じると、多くの場合、USBメモリデバイスのセキュリティの一部は、デバイスが既に使用に対して有効にされているため、無効のままである。したがって、デバイスは、意図されたものと異なって、依然としてアクセス可能である。
【0006】
セキュリティおよび/または既知のポータブルデスクトップアプローチの他の制限を克服するセキュアなポータブルデスクトップをサポートするための方法またはシステムの存在が有利となるであろう。
【発明の概要】
【課題を解決するための手段】
【0007】
一局面によると、本発明は、その中に記憶されたポータブルデスクトップデータを備えるポータブルデスクトップデバイスをホストコンピュータに結合することと、ポータブルデスクトップデータへのアクセスを有効にすることと、ホストコンピュータシステム上において、ポータブルデスクトップデバイスから受信したポータブルデスクトップアプリケーションを実行することと、間隔を空けて、ホストコンピュータシステムからポータブルデスクトップデバイスに、ホストコンピュータのプレゼンスおよび動作可能性を示すビート信号を伝送することと、ポータブルデスクトップデバイスが、その間隔を空けて以外のビート信号を受信する時以外、ポータブルデスクトップデータへのアクセスを無効にすることとを含む、方法を提供する。
【0008】
本発明の別の実施形態によると、ポータブルデスクトップデバイスをホストコンピュータシステムに結合するためのI/Oハードウェアと、メモリ記憶装置であって、ポータブルデスクトップO/Sを備える、ポータブルデスクトップ記憶ブロックを備える、メモリ記憶装置と、使用の際、間隔を空けて、ホストコンピュータからビート信号を受信し、その間隔におけるビート信号の受信がない場合には、メモリ記憶装置へのアクセスを阻止するためのプロセッサと、を備える、ポータブルデスクトップデバイスが提供される。
【0009】
本発明の別の実施形態によると、ポータブルデスクトップデバイスをホストコンピュータシステムに結合するための入力/出力ポートと、メモリ記憶装置であって、ポータブルデスクトップO/Sを備える、ポータブルデスクトップ記憶ブロックを備える、メモリ記憶装置と、使用の際、第2の間隔において、ホストコンピュータシステムにチャレンジ信号を提供し、それにレスポンスして、第1の間隔において、ホストコンピュータからビート信号を受信し、第1の間隔におけるビート信号の受信がない場合には、メモリ記憶装置へのアクセスを阻止するためのプロセッサと、を備える、ポータブルデスクトップデバイスが提供される。
【0010】
本発明の特徴および利点は、添付の図面を参照することによって、好ましい実施形態の以下の発明を実施するための形態からより明白となるであろう。
【図面の簡単な説明】
【0011】
【図1】図1は、本発明の実施形態による、ポータブルデスクトップデバイスと、そのホストコンピュータシステムおよび関連付けられたハードウェアデバイスを例証する、ブロック図である。
【図2】図2は、ポータブルデスクトップホストハードウェア認識および構成の方法を例証する、機能ブロック図である。
【図3】図3は、本発明の実施形態による、方法の簡略化されたフロー図である。
【図4】図4は、本発明の実施形態による、方法の簡略化されたフロー図である。
【図5】図5は、本発明の実施形態による、方法の簡略化されたフロー図である。
【図6】図6は、本発明の実施形態による、方法の簡略化されたフロー図である。
【発明を実施するための形態】
【0012】
添付の図面では、同一特徴は、類似のラベルを伴うことに留意されたい。
【0013】
次に、図1を参照して、本発明の実施形態による、ポータブルデスクトップデバイス1000について、構造の観点から論じる。
【0014】
ポータブルデスクトップデバイス1000は、そのホストコンピュータシステム1900に接続されて示される。ホストコンピュータシステム1900は、ある数のハードウェアデバイス1950に結合される。ハードウェアデバイス1950の一部は、ホストコンピュータシステム1900の外部にある一方、他は、内部ハードウェアデバイスである。本発明の目的のため、外部または内部ハードウェアデバイス間の区別はなく、したがって、ハードウェアデバイス1950は、ホストコンピュータシステム1900に接続され、それによって制御される、あらゆるハードウェアを含む。
【0015】
ホストコンピュータシステム1900は、ポータブルデスクトップデバイス1000とインターフェースをとることが可能な任意のコンピュータシステムである。ポータブルデスクトップデバイス1000は、ホストコンピュータシステム1900とインターフェースをとることが可能な給電された周辺デバイスの形態であって、いくつかの実施形態では、ユニバーサルシリアルバス(USB)記憶および処理デバイスである。
【0016】
ポータブルデスクトップデバイス1000は、入力/出力(I/O)ハードウェア1300によって、ホストコンピュータシステム1900に接続される。I/Oハードウェア1300に加え、ポータブルデスクトップデバイス1000は、プロセッサ1100と、認証ハードウェア1400と、メモリ記憶装置1200と、を備える。プロセッサ1100は、I/Oハードウェア1300と、認証ハードウェア1400と、メモリ記憶装置1200と、に結合される。認証ハードウェア1400は、指紋、網膜、または他のスキャナ等の生体認証ハードウェアを備えてもよく、あるいはバーコード、暗号鍵、組み合わせ、パスワード、または他の認証情報を受信するためのある他の入力ハードウェアを備えてもよい。代替として、認証ハードウェアは、ホストコンピュータシステム1900の一部を形成する。
【0017】
メモリ記憶装置1200は、セキュリティプロセス1222のためのアプリケーション記憶を含む、ブートプロセス1220アプリケーションデータ記憶ブロックと、ポータブルデスクトップ記憶ブロック1224と、を備える。ポータブルデスクトップ記憶ブロック1224は、ポータブルデスクトップO/S1242を備える。ポータブルデスクトップ記憶ブロック1224はまた、ポータブルデスクトップユーザデータ1244のための記憶ブロックを含む。ポータブルデスクトップO/S1242は、ユーザのためのO/S選好または構成設定の形態として、ユーザデータを含んでもよい。ポータブルデスクトップユーザデータ1244は、その選好または構成設定とともに、O/Sの一部を形成しない、ユーザがインストールしたアプリケーション、ならびにユーザが有し得るポータブルデスクトップと関連付けられた任意の他のデータファイルを含んでもよい。複数のユーザがサポートされる実施形態では、ユーザファイル毎に、選好または構成設定が、ポータブルデスクトップO/S1242内に記憶され、ポータブルデスクトップユーザデータ1244の複数のインスタンスが、各ユーザに対して1つ、ポータブルデスクトップ記憶ブロック1224内に存在する(図示せず)。随意に、他の実施形態では、さらなるポータブルデスクトップ記憶ブロックが、メモリ記憶装置1200内に存在し、それぞれ、その独自のポータブルデスクトップO/Sおよびポータブルデスクトップユーザデータブロックを有する。これは、ユーザおよび/またはユーザ群間のさらなる分離を可能にし、各ポータブルデスクトップ環境のデータおよび機能が、分離されるだけではなく、1つのポータブルデスクトップ環境にアクセスすることができる各ユーザまたはユーザ群が、他のデスクトップ環境を使用する他のユーザの存在を知ることがないようにすることを保証する。第2のポータブルデスクトップ記憶ブロック1250は、図1に破線で示される。
【0018】
次に、図2も参照して、図1のポータブルデスクトップデバイス1000について、その機能の観点から説明する。ポータブルデスクトップデバイス1000がUSBデバイスである、本発明のほとんどの実施形態では、デバイスは、ポータブルデスクトップデバイス1000が、202において、ホストコンピュータシステム1900のハードドライブを無効にすることができるように、ブートプロセスが実行される前に、201において、挿入される。ポータブルデスクトップデバイス1000の使用は、ポータブルデスクトップデバイス1000がホストコンピュータシステム1900に接続されている間、ホストコンピュータシステム1900の電源が投入され、ブートプロセスを経る時に生じる。これに先立って、ホストコンピュータシステム1900のメインボードまたは他のブーティングハードウェアは、ポータブルデスクトップデバイス1000からブートするように構成される、またはホストコンピュータシステム1900の電源が投入される時、ポータブルデスクトップデバイス1000が、ホストコンピュータシステム1900に接続されると、ホストコンピュータシステム1900(HCS)が、図2のステップ200で行うように、ポータブルデスクトップデバイス1000(PDD)からブートするようにするために、内部および外部デバイスからブートするように構成される。
【0019】
いくつかの実施形態では、ポータブルデスクトップデバイス1000をホットプラグするステップは、ホストコンピュータシステム1900に、ポータブルデスクトップデバイス1000を検出するようにトリガし、ユーザに、システムが、ポータブルデスクトップセッションを開始するために、再起動されるべきかどうかを確認するように指示するであろう。
【0020】
ポータブルデスクトップデバイス1000からのホストコンピュータシステム1900のブートの際、ホストコンピュータシステム1900は、I/Oハードウェア1300を通して、ブート可能プロセス、例えば、メモリ記憶装置1200のデータ記憶内のポータブルデスクトップO/Sを要求し、ポータブルデスクトップO/Sを実行する。典型的には、ポータブルデスクトップデバイス1000は、初期の状態では、セキュアである。ポータブルデスクトップアプリケーションのサポートに先立って、ポータブルデスクトップデバイス1000は、典型的には、ユーザ認証を要求する。例えば、ポータブルデスクトップデバイス1000が、指紋パターンを備える時、ユーザの指紋が、203において、認証され、204において、ポータブルデスクトップデータを「ロック解除」する。代替として、別の形態のユーザ認証も行われる。さらなる代替として、認証は、ホストコンピュータシステム1900の入力/出力デバイスを使用して行われる。
【0021】
ユーザ認証後、ポータブルデスクトップデバイス1000が「ロック解除」されると、例えば、205におけるポータブルデスクトップO/Sの実行の際、信号は、206において、間隔を空けて、ホストコンピュータからポータブルデスクトップデバイスに伝送され、ホストコンピュータが依然としてアクティブであることを示す。伝送される信号は、随意に、活性を示すために随時送信されるビート信号である。例えば、ビート信号は、周期的信号である。代替として、ビート信号は、ポータブルデスクトップデバイス1000に既知の様式において変動する、時間間隔で伝送される。さらなる代替として、ビート信号のコンテンツは、ポータブルデスクトップデバイス1000に既知の様式において変動する。代替として、ビート信号は、ポータブルデスクトップデバイスからホストコンピュータに提供されるチャレンジに対するレスポンスである。さらに、随意に、ビート信号は、ビート間で発行されたチャレンジまたは別の以前に発行されたチャレンジに対するレスポンスを備える。ビート信号が、ポータブルデスクトップデバイスで受信されると、デバイスは、207において、通常動作を継続する。
【0022】
そのような実施形態では、デバイスへの電力を維持する間のホストコンピュータシステムへのポータブルデスクトップデバイス接続の除去は、中断の際、ビート信号がポータブルデスクトップデバイス1000に提供されないため、潜在的セキュリティ脅威として検出可能である。
【0023】
ビート信号が、ポータブルデスクトップデバイス1000によって検出される以外、ポータブルデスクトップデバイスは、209において、ロックされ、そこへのアクセスは、さらなるユーザ認証動作がない限り、阻止される。
【0024】
ビート信号のタイミングは、好ましくは、ポータブルデスクトップデバイスを切断および再接続するために要求される時間を有意に下回る。例えば、タイミングは、約数ミリ秒である。さらに好ましくは、ビート信号のコンテンツは、ホストコンピュータシステムが切断されると、別のデバイスがビート信号を模倣するのを阻止するために、容易に複製または決定されない。
【0025】
図3を参照すると、本発明の実施形態による、方法の簡略化されたフロー図が提示される。ここでは、ポータブルデスクトップデバイス1000は、301において、ホストコンピュータシステム1900に結合される。ユーザが、302において、ポータブルデスクトップデバイス1000に対して認証されると、ホストコンピュータシステムは、デバイスと通信交換を開始する。通信交換では、第1のデバイスは、305aにおいて、通信交換に初期メッセージをシードする。他のデバイスは、305bにおいて、メッセージを変換し、リプライを提供する。この変換およびリプライプロセスは、ポータブルデスクトップデバイス1000およびホストコンピュータシステム1900の2つのデバイス間で継続する。変換動作間において、ホストコンピュータシステムは、307において、ポータブルデスクトップ動作を実行する。デバイス間の通信パスが中断される場合、通信交換は、不在となり、ポータブルデスクトップデバイスは、209において、本明細書に前述されるように、それ自体を「ロック」する。
【0026】
図4を参照すると、本発明の実施形態による、方法の簡略化されたフロー図が提示される。ここでは、ポータブルデスクトップデバイス1000は、ホストコンピュータシステム1900に結合される。ユーザが、ポータブルデスクトップデバイス1000に対して認証されると、デバイスは、ホストコンピュータシステムと通信交換を開始する。通信交換では、ポータブルデスクトップデバイス1000は、405aにおいて、ホストコンピュータシステム1900にチャレンジを伝送する。ホストコンピュータシステム1900は、405bにおいて、リプライを提供する。このチャレンジおよびリプライプロセスは、ポータブルデスクトップデバイス1000およびホストコンピュータシステム1900の2つのデバイス間で継続する。デバイス間の通信パスが中断される場合、リプライが受信されず、ポータブルデスクトップデバイスは、209において、本明細書に前述されるように、それ自体を「ロック」する。
【0027】
図5を参照すると、本発明の実施形態による、方法の簡略化されたフロー図が提示される。ここでは、ポータブルデスクトップデバイス1000は、ホストコンピュータシステム1900に結合される。ホストはポータブルデバイスと通信を開始し、次いで、それに対するユーザを認証する。ユーザが、ポータブルデスクトップデバイス1000に対して認証されると、デバイスは、ホストコンピュータシステムと通信交換を継続する。通信交換では、ポータブルデスクトップデバイス1000は、505aにおいて、ホストコンピュータシステム1900にチャレンジを伝送する。ホストコンピュータシステム1900は、505dおよび505bにおいて、既知の間隔において提供される一連のリプライを備える、リプライを提供する。ポータブルデスクトップデバイス1000は、505cにおいて、ホストコンピュータシステム1900から提供される、複数のリプライを受信する。複数のリプライは、さらなるチャレンジが受信されるまで提供され、(さらなるチャレンジに対する)第2の複数のリプライが続く。このチャレンジおよびリプライプロセスは、ポータブルデスクトップデバイス1000およびホストコンピュータシステム1900の2つのデバイス間で継続する。デバイス間の通信パスが中断される場合、リプライが受信されず、ポータブルデスクトップデバイスは、209において、本明細書に前述されるように、それ自体を「ロック」する。
【0028】
図6を参照すると、本発明の実施形態による、方法の簡略化されたフロー図が提示される。ここでは、ポータブルデスクトップデバイス1000は、ホストコンピュータシステム1900に結合される。ユーザが、ポータブルデスクトップデバイス1000に対して認証されると、デバイスは、ホストコンピュータシステムと通信交換を開始する。通信交換では、ホストコンピュータシステム1900は、605bにおいて、ビート信号を周期的に提供する。典型的には、周期は、固定され、数ミリ秒である。デバイス間の通信パスが中断される場合、ビート信号は、受信されず、ポータブルデスクトップデバイスは、209において、本明細書に前述されるように、それ自体を「ロック」する。
【0029】
提示される実施形態は、例示にすぎず、当業者は、前述の実施形態に対する変形例が、本発明の精神から逸脱することなく、成され得ることを理解するであろう。発明の範囲は、添付の請求項によってのみ定義される。
【特許請求の範囲】
【請求項1】
ポータブルデスクトップデータが記憶されたポータブルデスクトップデバイスをホストコンピュータに結合することと、
該ポータブルデスクトップデータへのアクセスを有効にすることと、
該ホストコンピュータシステム上において、該ポータブルデスクトップデバイスから受信されたポータブルデスクトップアプリケーションを実行することと、
既知の間隔で、該ホストコンピュータシステムから該ポータブルデスクトップデバイスに、該ホストコンピュータのプレゼンスおよび動作可能性を示すビート信号を伝送することと、
該ポータブルデスクトップデバイスが、該既知の間隔で該ビート信号を受信する場合以外には、該ポータブルデスクトップデータへのアクセスを無効にすることと
を含む、方法。
【請求項2】
前記ポータブルデスクトップデバイスは、該ポータブルデスクトップデバイスの外部から電力信号を受信するための回路を備え、該電力信号は、該ポータブルデスクトップデバイス内の該回路に給電するためのものである、請求項1に記載の方法。
【請求項3】
前記ポータブルデスクトップデバイスは、該ポータブルデスクトップデバイスに電力を提供するためのバッテリを備える、請求項1に記載の方法。
【請求項4】
前記ビート信号は、前記ホストコンピュータシステムから前記ポータブルデスクトップデバイスに周期的に伝送されるデジタル値を備える、請求項1から3のいずれかに記載の方法。
【請求項5】
前記デジタル値は、間隔を空けて反復的に伝送される同一デジタル値である、請求項4に記載の方法。
【請求項6】
前記ビート信号は、既知の系列に従ったデジタル値を備える、請求項1から3のいずれかに記載の方法。
【請求項7】
前記既知の系列は、前記ポータブルデスクトップデバイスから前記ホストコンピュータシステムに提供される初期シード値から決定される、請求項6に記載の方法。
【請求項8】
前記ビート信号は、前記ポータブルデスクトップデバイスから前記ホストコンピュータシステムに提供される初期シード値からそれぞれ決定された複数の既知の系列の値を備え、該初期シード値は、第2の間隔で提供される、請求項7に記載の方法
【請求項9】
前記ビート信号は、前記ポータブルデスクトップデバイスから前記ホストコンピュータシステムに提供されるチャレンジに対する一式のレスポンスを備え、該チャレンジは、間隔を空けて提供される、請求項7に記載の方法。
【請求項10】
前記ビート信号は、前記提供されたチャレンジに関連するデータのデジタル署名を備える、請求項9に記載の方法。
【請求項11】
前記ビート信号は、1ミリ秒から30ミリ秒の間隔でビートする、請求項1から10のいずれかに記載の方法。
【請求項12】
ポータブルデスクトップデバイスであって、
該ポータブルデスクトップデバイスをホストコンピュータシステムに結合するI/Oハードウェアと、
ポータブルデスクトップO/Sを備えるポータブルデスクトップ記憶ブロックを備えるメモリ記憶装置と、
プロセッサと
を備え、該プロセッサは、使用の際、該ホストコンピュータから、間隔を空けて、ビート信号を受信し、該間隔におけるビート信号の受信がない場合には、該メモリ記憶装置へのアクセスを阻止する、デバイス。
【請求項13】
前記I/Oハードウェアは、USBインターフェースを備える、請求項12に記載のポータブルデスクトップデバイス。
【請求項14】
ユーザからユーザ認証データを受信するためのユーザ認証データ変換器を備える、請求項12または13に記載のポータブルデスクトップデバイス。
【請求項15】
ユーザ認証において使用するための第1のデータを記憶し、前記プロセッサは、前記ユーザ認証変換器から前記ユーザ認証データを受信し、該ユーザ認証データの少なくともある局面を該第1のデータと比較し、該比較が整合を示す場合には、前記ポータブルデスクトップO/Sおよび該ポータブルデスクトップO/Sと関連付けられ、前記ポータブルデスクトップデバイス内に記憶されたデータのうちの少なくとも1つのロックを解除するためのものである、請求項14に記載のポータブルデスクトップデバイス。
【請求項16】
ポータブルデスクトップデバイスであって、
該ポータブルデスクトップデバイスをホストコンピュータシステムに結合するI/Oハードウェアと、
メモリ記憶装置であって、
ポータブルデスクトップO/Sを備えるポータブルデスクトップ記憶ブロックを備えるメモリ記憶装置と、
プロセッサと
を備え、該プロセッサは、
使用の際、第2の間隔において、チャレンジ信号を該ホストコンピュータシステムに提供し、該チャレンジ信号に応答して、第1の間隔において、該ホストコンピュータからビート信号を受信し、該第1の間隔における該ビート信号の受信がない場合には、該メモリ記憶装置へのアクセスを阻止する、デバイス。
【請求項17】
前記第1の間隔および前記第2の間隔は、ほぼ同一の間隔長である、請求項16に記載のポータブルデスクトップデバイス。
【請求項18】
前記第2の間隔は、前記第1の間隔より実質的に長い、請求項16に記載のポータブルデスクトップデバイス。
【請求項19】
暗号回路を備え、前記ビート信号は、前記チャレンジ信号に関連するデータのデジタル署名を備える、請求項16から18のいずれかに記載のポータブルデスクトップデバイス。
【請求項1】
ポータブルデスクトップデータが記憶されたポータブルデスクトップデバイスをホストコンピュータに結合することと、
該ポータブルデスクトップデータへのアクセスを有効にすることと、
該ホストコンピュータシステム上において、該ポータブルデスクトップデバイスから受信されたポータブルデスクトップアプリケーションを実行することと、
既知の間隔で、該ホストコンピュータシステムから該ポータブルデスクトップデバイスに、該ホストコンピュータのプレゼンスおよび動作可能性を示すビート信号を伝送することと、
該ポータブルデスクトップデバイスが、該既知の間隔で該ビート信号を受信する場合以外には、該ポータブルデスクトップデータへのアクセスを無効にすることと
を含む、方法。
【請求項2】
前記ポータブルデスクトップデバイスは、該ポータブルデスクトップデバイスの外部から電力信号を受信するための回路を備え、該電力信号は、該ポータブルデスクトップデバイス内の該回路に給電するためのものである、請求項1に記載の方法。
【請求項3】
前記ポータブルデスクトップデバイスは、該ポータブルデスクトップデバイスに電力を提供するためのバッテリを備える、請求項1に記載の方法。
【請求項4】
前記ビート信号は、前記ホストコンピュータシステムから前記ポータブルデスクトップデバイスに周期的に伝送されるデジタル値を備える、請求項1から3のいずれかに記載の方法。
【請求項5】
前記デジタル値は、間隔を空けて反復的に伝送される同一デジタル値である、請求項4に記載の方法。
【請求項6】
前記ビート信号は、既知の系列に従ったデジタル値を備える、請求項1から3のいずれかに記載の方法。
【請求項7】
前記既知の系列は、前記ポータブルデスクトップデバイスから前記ホストコンピュータシステムに提供される初期シード値から決定される、請求項6に記載の方法。
【請求項8】
前記ビート信号は、前記ポータブルデスクトップデバイスから前記ホストコンピュータシステムに提供される初期シード値からそれぞれ決定された複数の既知の系列の値を備え、該初期シード値は、第2の間隔で提供される、請求項7に記載の方法
【請求項9】
前記ビート信号は、前記ポータブルデスクトップデバイスから前記ホストコンピュータシステムに提供されるチャレンジに対する一式のレスポンスを備え、該チャレンジは、間隔を空けて提供される、請求項7に記載の方法。
【請求項10】
前記ビート信号は、前記提供されたチャレンジに関連するデータのデジタル署名を備える、請求項9に記載の方法。
【請求項11】
前記ビート信号は、1ミリ秒から30ミリ秒の間隔でビートする、請求項1から10のいずれかに記載の方法。
【請求項12】
ポータブルデスクトップデバイスであって、
該ポータブルデスクトップデバイスをホストコンピュータシステムに結合するI/Oハードウェアと、
ポータブルデスクトップO/Sを備えるポータブルデスクトップ記憶ブロックを備えるメモリ記憶装置と、
プロセッサと
を備え、該プロセッサは、使用の際、該ホストコンピュータから、間隔を空けて、ビート信号を受信し、該間隔におけるビート信号の受信がない場合には、該メモリ記憶装置へのアクセスを阻止する、デバイス。
【請求項13】
前記I/Oハードウェアは、USBインターフェースを備える、請求項12に記載のポータブルデスクトップデバイス。
【請求項14】
ユーザからユーザ認証データを受信するためのユーザ認証データ変換器を備える、請求項12または13に記載のポータブルデスクトップデバイス。
【請求項15】
ユーザ認証において使用するための第1のデータを記憶し、前記プロセッサは、前記ユーザ認証変換器から前記ユーザ認証データを受信し、該ユーザ認証データの少なくともある局面を該第1のデータと比較し、該比較が整合を示す場合には、前記ポータブルデスクトップO/Sおよび該ポータブルデスクトップO/Sと関連付けられ、前記ポータブルデスクトップデバイス内に記憶されたデータのうちの少なくとも1つのロックを解除するためのものである、請求項14に記載のポータブルデスクトップデバイス。
【請求項16】
ポータブルデスクトップデバイスであって、
該ポータブルデスクトップデバイスをホストコンピュータシステムに結合するI/Oハードウェアと、
メモリ記憶装置であって、
ポータブルデスクトップO/Sを備えるポータブルデスクトップ記憶ブロックを備えるメモリ記憶装置と、
プロセッサと
を備え、該プロセッサは、
使用の際、第2の間隔において、チャレンジ信号を該ホストコンピュータシステムに提供し、該チャレンジ信号に応答して、第1の間隔において、該ホストコンピュータからビート信号を受信し、該第1の間隔における該ビート信号の受信がない場合には、該メモリ記憶装置へのアクセスを阻止する、デバイス。
【請求項17】
前記第1の間隔および前記第2の間隔は、ほぼ同一の間隔長である、請求項16に記載のポータブルデスクトップデバイス。
【請求項18】
前記第2の間隔は、前記第1の間隔より実質的に長い、請求項16に記載のポータブルデスクトップデバイス。
【請求項19】
暗号回路を備え、前記ビート信号は、前記チャレンジ信号に関連するデータのデジタル署名を備える、請求項16から18のいずれかに記載のポータブルデスクトップデバイス。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公表番号】特表2013−511078(P2013−511078A)
【公表日】平成25年3月28日(2013.3.28)
【国際特許分類】
【出願番号】特願2012−538158(P2012−538158)
【出願日】平成22年11月15日(2010.11.15)
【国際出願番号】PCT/CA2010/001810
【国際公開番号】WO2011/057409
【国際公開日】平成23年5月19日(2011.5.19)
【出願人】(597039021)イメーション コーポレイション (5)
【Fターム(参考)】
【公表日】平成25年3月28日(2013.3.28)
【国際特許分類】
【出願日】平成22年11月15日(2010.11.15)
【国際出願番号】PCT/CA2010/001810
【国際公開番号】WO2011/057409
【国際公開日】平成23年5月19日(2011.5.19)
【出願人】(597039021)イメーション コーポレイション (5)
【Fターム(参考)】
[ Back to top ]