盗難管理システムおよび方法
【課題】電子機器の分野に関する盗難管理システムおよび方法を提供する。
【解決手段】盗難管理装置において、デスクトップコンピュータ、ラップトップコンピュータ、サーバ、またはハンドヘルドコンピュータデバイスのような、無線通信機能を伴うコンピュータデバイスの盗難を通知するアウトオブバウンド通知が受信されると、これに応答して、無線広域ネットワークを使用して盗難メッセージがコンピュータデバイスに配信される。前記コンピュータデバイスの少なくとも1つの構成要素は、前記盗難メッセージの受信に応じて前記コンピュータデバイスを無効化する。
【解決手段】盗難管理装置において、デスクトップコンピュータ、ラップトップコンピュータ、サーバ、またはハンドヘルドコンピュータデバイスのような、無線通信機能を伴うコンピュータデバイスの盗難を通知するアウトオブバウンド通知が受信されると、これに応答して、無線広域ネットワークを使用して盗難メッセージがコンピュータデバイスに配信される。前記コンピュータデバイスの少なくとも1つの構成要素は、前記盗難メッセージの受信に応じて前記コンピュータデバイスを無効化する。
【発明の詳細な説明】
【技術分野】
【0001】
本願の開示は、全体として、電子機器の分野に関する。より詳細には、本願発明のいくつかの実施形態は、盗難管理システムおよび方法に関する。
【背景技術】
【0002】
現在のコンピュータデバイスの抗盗難技術は、硬い(hardened)システム認証、ハードウェアに基づく暗号化およびインバンド(IB)リモートロックパケットに依存するものもありうる。(IBリモートロックパケットを介した)盗難警報は、ユーザのオペレーティングシステム(OS)を介してインターネット上でコンピュータデバイスのチップセットに送信されうる。盗難警報の受信に応じて、チップセットはコンピュータデバイスを無効にしてもよい。しかしながら、そのような盗難警報機構は、インターネットプロトコル/インターネット接続性と、コンピュータデバイスのチップセットに盗難警報をルーティングするユーザのオペレーティングシステムに依存する。
【発明の概要】
【0003】
特許請求の範囲の実施形態の特徴は、同様の符号は同様の部分を図示する図面を参照して、以下の詳細な説明が進むにつれ明確になる。
【図面の簡単な説明】
【0004】
【図1】図1は、実施形態に従う、盗難管理方法を説明する。
【図2】図2は、実施形態に従う、盗難管理システムの構成を説明する。
【図3】図3は、いくつかの実施形態に従う、盗難管理サーバおよびコンピュータデバイスの管理エンジンの間のメッセージフローを説明する。
【図4】図4は、いくつかの実施形態に係る、種々の構成要素内で使用されうるプロトコルスタックのブロック図を説明する。
【図5】図5は、いくつかの実施形態に係る、コンピュータシステムのブロック図を説明する。
【図6】図6は、いくつかの実施形態に係る、コンピュータシステムのブロック図を説明する。
【発明を実施するための形態】
【0005】
以下の詳細な説明は、特許請求の範囲の例示的な実施形態を参照して進められるが、そこにおける多くの代替例、修正例、および変形例は、当業者に明らかになる。従って、特許請求の範囲は広範に捉えられるとともに、添付の特許請求の範囲で示されるようにのみ定義されることが意図されている。
【0006】
以下の説明において、種々の実施形態の完全な理解を提供するために、多くの特定の詳細が説明される。しかしながら、いくつかの実施例は、特定の詳細なしに実施してもよい。他の実施例においては、特定の実施形態を不明瞭にしないように、周知の方法、手段、構成要素、および回路は詳細に説明されない。
【0007】
以下でより詳細に説明されるように、本願発明のいくつかの実施形態は、例えば、コンピュータデバイス上で実行されるホスト/ユーザオペレーティングシステム、並びに/或いは、予め確立または(例えばユーザによって)開始された通信チャネルに関らず、無線通信チャネルを介して盗難警報をコンピュータデバイスに配信する技術を提供する。ここで使用されるように、用語「配信」およびその派生語は、「送信」およびその派生語と交換可能であるように意図されている。コンピュータデバイスは、無線通信機能を有するいかなるタイプのコンピュータデバイスであってもよく、例えば、(携帯電話、ラップトップコンピュータ、パーソナルデジタルアシスタント(PDA)、ウルトラポータブルパーソナルコンピュータ等のような)携帯デバイスまたは、(デスクトップコンピュータ、サーバ等のような)非携帯コンピュータデバイスを含む。
【0008】
無線通信機能は、(例えば、IMT−2000の下での国際電気通信連合(ITU)規格ファミリに従う)第3世代(3G)WWAN、Worldwide Inter-operability for Microwave Access(例えばInstitute of Electrical and Electronics Engineers (IEEE) 802.16, revisions 2004, 2005, et seq.に従う「WiMAX」)、(例えばIEEE Standard 802.15.1, 2007に従う)ブルートゥース(登録商標)のような、無線周波数(RF)、(例えばIEEE 802.11a, 802.11b, or 802.11gに従う)Wifi等の、例えば、無線広域ネットワーク(WWAN)を使用する、いかなる利用可能な無線通信によって提供されてもよい。
【0009】
実施形態において、入来するショートメッセージサービス(SMS)メッセージは、コンピュータデバイスのネットワークインターフェースカードによってフィルタリングされて、アウトオブバウンドSMSメッセージを検出するとともに、アウトオブバウンドメッセージをコンピュータデバイスのチップセットに配信してもよい。一実施形態において、盗難警報メッセージを処理することは、ソフトウェア内またはコンピュータデバイスの基本入/出力システム(BIOS)に対してハードウェアセキュリティによって処理されてもよい。
【0010】
まず図1を参照すると、実施形態に係る盗難管理方法10が説明される。ブロック12で、コンピュータデバイスの盗難(または未承認の除去)を指示する通知が受信される。以上で説明されたように、コンピュータデバイスは、デスクトップコンピュータ、ラップトップコンピュータ、サーバ、またはハンドヘルドコンピュータデバイスのような、無線通信機能を伴ういかなるタイプのコンピュータデバイスであってもよい。例えば、ユーザは、コンピュータデバイスの盗難を盗難管理サーバに報告してもよい。また、RFタグを有するコンピュータデバイスについては、検知器は、所定領域の外にコンピュータデバイスが移動したこと、例えば未承認の除去または盗難を指示する移動を通知してもよい。盗難管理サーバは、企業ネットワークまたはサービス事業者の一部であってもよい。ブロック14で、盗難警報メッセージが、例えば無線ネットワークを使用してコンピュータデバイスに配信される。実施形態において、盗難メッセージは、WWANを使用してコンピュータデバイスに配信される。一実施形態において、盗難メッセージは3Gネットワークを使用してコンピュータデバイスに配信される。
【0011】
一実施形態において、動作12で、盗難管理サーバは、例えばインターネットプロトコル(IP)接続を使用して、3Gショートメッセージサービス(SMS)ゲートウェイに盗難メッセージを配信する。盗難メッセージは、動作12でアウトオブバンド(OOB)メッセージとして識別されてもよい。さらに、3G SMSゲートウェイは、動作14で、3G SMSインターフェースを介してコンピュータデバイスのネットワークインターフェースカード(NIC)に盗難メッセージを配信する。いくつかの実施形態において、SMSペイロード(即ち盗難メッセージ)は、このSMSがOOBメッセージを運んでいることを指示するアプリケーションヘッダを含んでもよい。アプリケーションヘッダは、ベンダ識別子(ID)およびオペレータによってサーバに(例えばショートコードまたはロングナンバーの形式で)割り当てられたオペレータアドレスを含んでもよい。
【0012】
一実施形態において、入来するSMSメッセージが受信されたときに、3G NICは、アプリケーションヘッダからそのベンダIDを検査するとともに、もしベンダIDが予め設定されたベンダIDと一致したならば、NICは、これがOOB SMSであると判定する。(OOB SMSメッセージを処理する役割を担う)チップセット上でのSMSなりすましおよびサービス拒否(DOS)攻撃を防止するために、NICはSMSヘッダをチェックして、受信されたOOB SMSメッセージが携帯発信されたSMSではないことを確認して、なりすましOOB SMSメッセージを携帯ハンドセットから検出する。さらに、NICは、SMSペイロードのアプリケーションヘッダに埋め込まれたアドレスとSMS発信者のアドレスとを比較し、攻撃者によってWebサーバから生成された偽装OOB SMSを検出してもよい。もし、何らかのなりすましが検知されたならば、NICはSMSを黙って破棄してもよい。そうでない場合、NICは、通常のユーザSMSメッセージから分離されている、OOB SMSメッセージに割り当てられたフラッシュメモリに当該SMSメッセージを格納してもよい。
【0013】
実施形態において、管理エンジン(ME)は、SMSメッセージを送受信するために、(例えば3rd Generation Partnership Project (3GPP)によって定義される)Attention (AT)コマンドを実施してもよい。MEは、コンピュータデバイスの、例えば3G NIC,チップセット、および/またはプロセッサを含む種々の構成要素に(直接またはバスまたはインターコネクトを介して)接続される。いくつかの実施形態において、システム管理バス(SMBus)およびそのトランスポートプロトコルスタックは、MEおよび3G NICの間でATコマンドおよびレスポンスを送信するのに使用される。しかしながら、本願発明の実施形態は、SMBusに限定されず、かつ、例えばユニバーサルシリアルバス(USB)、ブルートゥース(登録商標)、すべての直接有線接続、バス/インターコネクト、Peripheral Component Interconnect(PCI)、PCI Express(PCIe)等の他の通信チャネルが、コマンド、データ、または本願明細書で説明される種々の構成要素の間の信号を通信するのに使用されてもよい。3G NICは、ATコマンドのソースを(ATコマンドがホスト/ユーザOSまたはMEから発行されたかどうか)区別し、かつその結果、3G NICは、ユーザSMSおよびOOBメッセージを同時に取り扱うとともに、それらをホスト/ユーザOSまたはMEに適切にルーティングすることができる。従って、実施形態において、ユーザSMSの通常動作は影響を受けない。
【0014】
ブロック16において、コンピュータデバイスのネットワークインターフェースカードからの盗難メッセージは、例えばSMBusのようなサイドバンドバスを使用して、かつホスト/ユーザオペレーティングシステムに何も依存することなく、コンピュータデバイスの管理エンジンに送信される。もし、動作16でMEが利用不能であれば、後に(例えば、MEが利用可能になったとき)配信するために(例えば不揮発である)NICのメモリ内にメッセージが格納されてもよい。ブロック18で、盗難メッセージの受信に応じて、コンピュータデバイスは管理される(例えば、無効化される)。特に、管理エンジンは、チップセット、ハードドライブ、ディスプレイデバイス等を含む、コンピュータデバイスの1以上の構成要素を無効化/ロックするような、コンピュータデバイスの管理のために、盗難メッセージに応じて適切なアクションをとってもよい。
【0015】
一実施形態において、盗難警報(例えばリモートロック)メッセージは、コンピュータデバイスの管理エンジンに配信される。リモートロックメッセージは、システム管理バス(SMBus)を介してコンピュータデバイスのチップセットに配信されてもよい。続いて、コンピュータデバイスの全部または一部が、コンピュータデバイスのチップセットによるロックメッセージの受信に応じて無効化される。いくつかの実施形態において、コンピュータデバイスがロックまたは無効化成功したことのアクノーリッジメントが、盗難管理サーバに配信されてもよい。
【0016】
さらに、盗難モードのコンピュータデバイスの位置は、一実施形態において、盗難管理サーバに送信されてもよい。例えば、全地球測位システム(GPS)またはIEEE 802.11n位置情報が、MEによって適切なATコマンドを介して3G NICから回収されるとともに、例えば3G SMSトランスポート上で、無線によって盗難管理サーバに(暗号化または非暗号化形式のいずれかで)送信されてもよい。一度コンピュータデバイスが当該位置から復帰したら、盗難管理サーバは、当該コンピュータデバイスのチップセットにリモートアンロックメッセージを送信して当該デバイスをアンロックしてもよい。一実施形態において、チップセットへのアンロックメッセージは、3G SMSインターフェース上で配信されてもよい。
【0017】
いくつかの実施形態において、OOBメッセージ配信機構は、コンピュータデバイスの無線のスイッチオフ、WWANリンクがダウンしている、等々のようなイベント発生について管理エンジンに伝えるように利用されてもよい。そのような警報を受信すると、管理エンジンは、コンピュータデバイスを無効化する、ユーザを再認証するよう強制する等の、適切なアクションを取ってもよい。いくつかの実施形態に従って、メッセージ配信機構は、コンピュータデバイスのユーザ/ホストオペレーティングシステムに何も依存しない、またはコンピュータデバイスにIP接続性を維持するように要求する。さらに、盗難管理サーバは、全てのAdvanced Configuration and Power Interface (ACPI)電力およびホスト/ユーザオペレーティングシステムの状態において、コンピュータデバイスに合うとオブバウンドメッセージを配信してもよい。加えて、コンピュータデバイスの盗難は、無線を切断する行為を実行することによって、またはネットワークインターフェースカードを除去することによっては、以上で説明されたような盗難管理技術を緩和できなくてもよい。
【0018】
図2は、実施形態に係る、盗難管理システム200の構成を説明する。図1を参照して説明された1以上の動作は、図2の構成要素によって実行されてもよい。説明されるように、システム200は、コンピュータデバイス202と、(例えば、コンピュータデバイス202の盗難を検知するとともに、コンピュータデバイス202に盗難を表す盗難警報メッセージを配信するための)盗難管理サーバ204を備える。実施形態において、盗難管理サーバ204は、盗難警報メッセージを、無線広域ネットワークを使用してコンピュータデバイス202に配信する。盗難管理サーバ204は、企業ネットワーク内またはサービス事業者イントラネット内に存在してもよい。システム200は、また、3Gサービス事業者によって管理されうる3G SMSゲートウェイ206を有する。
【0019】
SMSゲートウェイ206は、盗難管理サーバ204と通信するためのインターネットプロトコル(IP)インターフェースのような第1インターフェース208を有する。SMSゲートウェイ208は、また、コンピュータデバイス202と(例えばSMSセンターを介して)通信する3G SMSインターフェースのような第2インターフェース210を有する。実施形態において、コンピュータデバイス202は、携帯が生成したおよび/またはSMSゲートウェイが生成したショートメッセージサービスメッセージを受信するとともに処理するためのネットワークインターフェースカード(例えば3Gモジュール212)のような組み込み無線広域ネットワークハードウェアを有する。
【0020】
コンピュータデバイス202は、また、ネットワークインターフェースカード212から盗難メッセージを受信するとともに、盗難メッセージの受信に応じてコンピュータデバイス202を管理するための管理エンジン214を有する。コンピュータデバイス202は、また、(コンピュータデバイス202の1以上のプロセッサによって実行されてもよい)ホスト/ユーザOS 216を格納するメモリを有してもよい。示されるように、ホスト/ユーザOS 216は、(説明されるUSBのような)バスを介してNIC 212と通信してもよい。さらに、ME 214は、(説明されるSMBusのような)異なるバスを介してNIC 212と通信してもよい。それに代えて、同じバスが、NIC 212とOS 216および/またはME 214を接続してもよい。実施形態において、もし単一のバス/インターコネクトがNIC 212をOS 216および/またはME 214に接続するならば、NICおよびOSの間対NICおよびMEの間の通信を区別するのに異なるタイプのメッセージ/パケット/信号が使用されてもよい。さらに、いかなるタイプのバス/インターコネクト、専用線、信号等が、ME 214およびNIC 212の間で使用されてもよい。一実施形態において、管理エンジン214は、ネットワークインターフェースカード212から受信されたロックメッセージに応じて、コンピュータデバイス(またはそのチップセット、プロセッサ、ハードドライブ等のような1以上の構成要素)を無効化する。
【0021】
実施形態において、盗難報告に応じて、IP接続208上で盗難メッセージが3G SMSゲートウェイ206に配信される。盗難メッセージのタイプは、アウトオブバンド(OOB)メッセージとして特定されてもよい。続いて、3G SMSゲートウェイ206は、例えば、ネットワーク発信されたSMSとして、3G SMSインターフェース210上で、盗難メッセージペイロードをネットワークインターフェースカード212に送信する。一度、ネットワークインターフェースカードが盗難メッセージを含むSMSを受信した場合、ネットワークインターフェースカードは、メッセージをすぐにコンピュータデバイス202のチップセット(図示せず)に配信する、或いは、管理エンジン214のサイドバンドバスが利用可能でないまたはメッセージを送信または受信するように電源供給されていないならば、メッセージを後の配信のために格納する。管理エンジンは、次いで、例えば、図1のブロック18を参照して説明されるように、盗難メッセージを含むSMSに応じて適切なアクションをとる。
【0022】
図3は、(図2のサーバ204のような)盗難管理サーバおよび(図2のME 214のような)コンピュータデバイスの管理エンジンの間のメッセージフローを説明する。盗難管理サーバ204は、コンピュータデバイス202に(1)盗難メッセージを送信する通知を受信する。理解されるように、盗難管理サーバ204は、例えばIPインターフェース208を使用して、3G SMSゲートウェイ206に(2)盗難メッセージを送信する。さらに、3G SMSゲートウェイ206は、3G SMSインターフェース210上で、(示されているような加入者識別モジュール(SIM)を含んでもよい)無線広域ネットワーク(WWAN)ネットワークインターフェースカード212に(3)盗難メッセージペイロードを送信する。続いて、(4)メッセージペイロードは、コンピュータデバイス202のチップセット302に配信されてもよい。ネットワークインターフェースカード212およびチップセット302の間のメッセージ配信プロトコルは、システム管理バス(SMBus)上の商用メッセージとして実施してもよい。実施形態において、メッセージ(3)の受信に応じて、ネットワークインターフェースカード212は、盗難ペイロードを抽出し、SMBus上で、管理エンジン(例えば図2のME 214)にペイロードを送信する。
【0023】
実施形態において、メッセージはSMBus上で標準的なATコマンドを使用して配信されてもよい。管理エンジンは、NICファームウェア(FW)に、自分はOOB SMSであるとともに管理エンジンに向けられていることを指示する(アプリケーションヘッダとしても参照される)OOBヘッダペイロードを含む(または先頭に追加される)、入来する(アウトオブバウンドSMSメッセージとしても参照される)盗難警報SMSメッセージを受信する。続いて、ネットワークインターフェースカード212は、そのようなメッセージの受信を指示する適切なATコマンドを、SMBus上で管理エンジンに送信する。管理エンジンは、適切なATコマンドを使用してSMSメッセージを読む。いくつかの実施形態におちえ、もし管理エンジンがSMSメッセージを読む準備ができていないのであれば、ネットワークインターフェースカード212は、メッセージを格納するとともに、後の時間期間に当該メッセージを管理エンジンに配信する。
【0024】
管理エンジンは、盗難メッセージ(4)の受信に応じて、コンピュータデバイス202を管理してもよい。一実施形態において、管理エンジンは、ネットワークインターフェースカード212から受信されたロックメッセージに応じて、コンピュータデバイス202の全体または一部を無効にする。理解されるように、チップセット302/管理エンジン214からのメッセージは、同様の仕方で、盗難管理サーバ204に配信されてもよい。
【0025】
より詳細には、チップセット302から盗難管理サーバ204へのメッセージフローは、参照符号5,6、および7によって表される。いくつかの実施形態において、コンピュータデバイス202は、(図1−2を参照して説明されたような)コンピュータデバイス202のチップセット302によるロックメッセージの受信に応じて無効化される。さらに、コンピュータデバイスがロック成功したことの確認は、メッセージフロー5、6、および7によって表されるように盗難管理サーバに配信されてもよい。
【0026】
さらに、実施形態において、盗難モードのコンピュータデバイス202の位置に関する情報も、3G SMSインターフェース上でセキュアな仕方で盗難管理サーバ204に送信されてもよい。一度コンピュータデバイス202が特定の位置から復帰したら、盗難管理サーバ204は、コンピュータデバイスのチップセットにリモートアンロックメッセージを送信して、デバイスをアンロックしてもよい。ここでも、チップセットへのアンロックメッセージはWWANを使用して配信されてもよい。
【0027】
盗難管理サーバ204および管理エンジン214の間で交換される盗難ペイロードは、いくつかの実施形態において、予め用意された鍵を使用して、整合性チェックおよび繰り返し攻撃防止(replay attack prevention)によって保護される。従って、盗難ペイロードは、3G SMSゲートウェイ206およびWWANネットワークインターフェースカード212のような中間ノード、即ち盗難管理サーバ204および管理エンジン214の間のノードには透過的である。実施形態によると、中間ノードは、ペイロードを更新せずに、ペイロードを適切なインターフェース上で転送することに留意すべきである。
【0028】
動作時に、一度、管理エンジンが受信した盗難メッセージ(例えば、「ロック要求」メッセージ)の整合性を検証すると、管理エンジンは(コンピュータデバイス無効化動作のような)適切な動作をキューに入れる。そのような動作は、ロック応答の転送成功の後に即座に実行されてもよい。さらに、管理エンジンは、「ロック応答」を使用して、「ロック要求」の受信およびその実行状態を指示する確認を送信する。
【0029】
上記の実施形態において説明されたアウトオブバンドメッセージ配信技術は、ユーザ/ホストオペレーティングシステム上の依存性を有さず、かつコンピュータデバイスがIP接続性を維持する必要もない。さらに、盗難管理サーバ204は、全てのACPI電力およびホスト/ユーザオペレーティングシステムのヘルスステートにおいて、コンピュータデバイス202に盗難メッセージを配信できる。盗難メッセージはコンピュータデバイス202のチップセット302によって処理かつ実行されるので、コンピュータデバイスの比較的セキュアかつ堅牢な抗盗難技術を提供する。
【0030】
いくつかの実施形態においては、3GネットワークはSMSメッセージの信頼性のあるかつインオーダの配信を保証しないので、盗難管理サーバ204によって送信されるSMSメッセージは、多くの理由(例えばデバイスが装着されていない、無線インターフェースの資源問題等)のために、ネットワーク内でキューに入れられてもよい。さらに、全ての盗難警告は、ME 214(および/またはチップセット302)が受信済みSMSメッセージの正しい順序を決定して、競合状態を防ぐとともに、必要であれば特定のメッセージを破棄することを補助するシーケンス番号またはタイムスタンプを伴うまたは含んでもよい。
【0031】
図4は、いくつかの実施形態に係る、種々の構成要素内で使用されうるプロトコルスタックのブロック図を説明する。実施形態において、図1−3のME 214、NIC 212、SMSゲートウェイ206、および盗難管理サーバ204は、図4に示されるそれぞれのプロトコルスタックを有してもよい。
【0032】
示されたように、ME 214は、(例えば、以前に説明されたようなATコマンドを含む)OOBクライアントサービス、(例えばDistributed Management Task Force, Inc. (DMTF), version 1.0.0a, July 2007によって提供されるManagement Component Transport Protocol (MCTP)プロトコルサービスのような、管理システム内部の監視および制御機能を提供するプラットフォーム管理サブシステムを構成するシステムの、異なるインテリジェント構成要素の間の通信を支援する)構成要素管理トランスポートプロトコルサービス/システム管理バスプロトコル支援、システム管理バスデータリンク、および/またはシステム管理バス物理層(PHY)を含んでもよい。図4は、一例としてMCTPを説明するが、実施形態は、MCTP、MCTPサブセット、または(例えば、管理システム内部に監視および制御機能を提供するプラットフォーム管理サブシステムを構成するシステムの、異なるインテリジェント構成要素の間の通信を支援する)商用トランスポートプロトコルを使用することによって実施されてもよい。
【0033】
NIC 212は、(例えばME 214内の相手と通信するために)OOBサービス、MCTP/システム管理バスプロトコルサポート、システム管理バスデータリンク、および/またはシステム管理バス物理(PHY)を有してもよい。3Gネットワークを介した通信を容易にするために、NIC 212は、3G SMS、3Gデータリンク、および/または3G 無線PHYを含んでもよい。SMSゲートウェイ206は、(NIC 212内の相相手と通信するために)3G SMS,3Gデータリンク、および/または3G無線PHYを含んでもよい。SMSゲートウェイ206は、また、ハイパーテキストトランスファープロトコル(HTTP)、トランスポートレイヤーセキュリティ(TLS)、トランスミッションコントロールプロトコル(TCP)/IP、IEEE802データリンク、および/またはIEEE802PHYを含んでもよい。さらに、サーバ204は、ME 214のOOBクライアントサービスと通信するためのOOBアプリケーションを有してもよい。サーバ204は、(SMSゲートウェイ206内の相手と通信するために)HTTP、TLS,TCP/IP,IEEE802データリンク、および/またはIEEE802PHYを有してもよい。
【0034】
いくつかの実施形態においては、本願明細書で説明されるチップセットへのOOBメッセージ配信は、盗難抑止技術(Theft Deterrence Technology,TDT)の使用(例えばリモートロック、アンロック、および位置標識等)を可能にすることを目的としているが、また、本願明細書で説明される技術は、ユーザ/ホストOSまたはユーザ発信された通信に依存しない、コンピュータデバイスへのOOBメッセージ配信から恩恵をうけうる他の使用法のために使用されてもよい。例えば、管理サーバは、MEから資産情報を要求してもよい。または、他のセキュリティサーバは、トランザクションを処理する前にいくらかのデータを要求するために(ホスト/ユーザOSを介さずに)OOB SMSをMEに送信することによって、コンピュータデバイスの正当性をチェックしてもよい。
【0035】
以上で説明された盗難管理システムは、(図5および/または6を参照して説明されたシステムのような)コンピュータシステム、無線通信器、ハンドヘルドデバイス等に採用されてもよい。例えば、図5は、本願発明の実施形態に従うコンピュータシステム500のブロック図を図示する。例えば、図2のコンピュータデバイス202、サーバ204、および/またはSMSゲートウェイ206は、システム500の1以上の構成要素を有してもよい。コンピュータシステム500は、1以上の中央処理装置(CPU)502またはインターコネクトバス(またはバス)504を介して通信するプロセッサを有してもよい。いくつかの実施形態では、管理ユニット(ME)505は、バス504に接続されてもよい。(しかしながら、MEは、デバイス530、チップセット506、CPU502等の内部のようなシステム500内のどこかに構成されてもよく、かつ、さらに、例えば図1−4を参照して説明されたサイドバンドバスを介してシステム500の構成要素に接続されてもよい)。プロセッサ502は、汎用プロセッサ、(コンピュータネットワーク503上で通信されるデータを処理する)ネットワークプロセッサ、または(縮小命令セットコンピュータ(RISC)プロセッサまたは複合命令セットコンピュータ(CISC)を含む)他のタイプのプロセッサを含んでもよい。さらに、プロセッサ502は、単一または複数コア設計を有してもよい。複数コア設計を有するプロセッサ502は、同じ集積回路(IC)ダイ上に異なるタイプのプロセッサコアを統合してもよい。さらに、複数コア設計を有するプロセッサ502は、対称または非対称マルチプロセッサとして実施されてもよい。また、図1−4を参照して説明された動作は、システム500の1以上の構成要素によって実行されてもよい。
【0036】
チップセット506は、また、インターコネクトネットワーク504と通信してもよい。チップセット506は、メモリコントロールハブ(MCH)508を有してもよい。MCH508は、メモリ512と通信するメモリコントローラ510を含んでもよい。メモリ512は、CPU502、またはコンピュータシステム500が有する何れかの他のデバイスによって実行されうる命令列を含むデータを格納してもよい。本願発明の一実施形態において、メモリ512は、ランダムアクセスメモリ(RAM)、ダイナミックRAM(DRAM)、シンクロナスDRAM(SDRAM)、スタティックRAM(SRAM)または他のタイプのストレージデバイスのような1以上の揮発性ストレージ(またはメモリ)デバイスを有してもよい。また、ハードディスクのような不揮発性メモリが利用されてもよい。複数のCPUおよび/または複数のシステムメモリのような追加のデバイスが、インターコネクトネットワーク504を介して通信してもよい。
【0037】
MCH508は、また、ディスプレイデバイス516と通信するグラフィックスインターフェース514を有してもよい。本願発明の一実施形態において、グラフィックスインターフェース514は、アクセラレーティッドグラフィックスポート(AGP)またはPCIeを介して、ディスプレイデバイス516と通信してもよい。本願発明の実施形態において、(フラットパネルディスプレイのような)ディスプレイ516は、例えば、ビデオメモリまたはシステムメモリのようなストレージデバイスに格納された画像のデジタル表現を、ディスプレイ516によって解釈および表示されるような表示信号に変換する信号変換器を介して、グラフィックスインターフェース514と通信してもよい。ディスプレイデバイスによって生成された表示信号は、解釈されるとともに続いてディスプレイ516上に表示される前に種々の制御デバイスを通ってもよい。
【0038】
ハブインターフェース518は、MCH508および入/出力コントロールハブ(ICH)520が通信するのを可能にしてもよい。ICH520は、コンピュータシステム500と通信するI/Oデバイスへのインターフェースを提供してもよい。ICH 520は、周辺機器インターコネクト(PCI)ブリッジ、ユニバーサルシリアルバス(USB)コントローラのような周辺機器ブリッジ(またはコントローラ)524、または、他のタイプの周辺機器ブリッジまたはコントローラを介してバス522と通信してもよい。ブリッジ524は、CPU502および周辺機器デバイスの間のデータ経路を提供してもよい。他のタイプのトポロジーが利用されてもよい。また、複数のバスがICH520と、例えば複数のブリッジまたはコントローラを介して通信してもよい。さらに、ICH520と通信している他の周辺機器は、本願発明の種々の実施形態において、Integrated Drive Electronics (IDE)、またはSmall Computer System Interface(SCSI)ハードドライブ、USBポート、キーボード、マウス、パラレルポート、シリアルポート、フロッピー(登録商標)ディスクドライブ、デジタル出力サポート(例えばデジタルビデオインターフェース(DVI))または他のデバイスを含んでもよい。
【0039】
バス522は、オーディオデバイス526、1以上のディスクドライブ528、および(コンピュータネットワーク503と通信する)ネットワークインターフェース530と通信してもよい。実施形態において、ネットワークインターフェースデバイス530は、図1−4のNIC 212と同じまたは類似であってもよい。他のデバイスは、バス522を介して通信してもよい。また、(ネットワークアダプタ530のような)種々の構成要素は、本願発明のいくつかの実施形態において、MCH508に接続されてもよい。加えて、プロセッサ502およびMCH 508は、単一のチップを形成するように結合されてもよい。実施形態において、メモリコントローラ510は、1以上のCPU502内で構成されてもよい。さらに、実施形態において、MCH 508およびICH 520は、周辺機器コントロールハブ(PCH)に結合されてもよい。
【0040】
さらに、コンピュータシステム500は、揮発性および/または不揮発性メモリ(またはストレージ)を有してもよい。例えば、不揮発性メモリは、1以上の読み出し専用メモリ(ROM)、プログラム可能ROM(PROM)、消去可能PROM(EPROM)電気的消去可能PROM(EEPROM(登録商標))、ディスクドライブ(例えば528)、フロッピー(登録商標)ディスク、コンパクトディスクROM(CD−ROM)、デジタル多目的ディスク(DVD)、フラッシュメモリ(登録商標)、光磁気ディスク、または、(例えば命令を含む)電子データを格納できる他のタイプの不揮発性機械可読媒体を含む。
【0041】
図6は、本願発明の実施形態に係るポイントツーポイント(PtP)構成に配置されたコンピュータシステム600を説明する。特に、図6は、プロセッサ、メモリ、および入力/出力デバイスが多くのポイントツーポイントインターフェースによって相互接続されているシステムを示す。図1−5を参照して説明された動作は、システム600の1以上の構成要素によって実行されてもよい。
【0042】
図6内に説明されるように、システム600は、多くのプロセッサを有してもよいが、明確性のために、2つのプロセッサ602および604のみが示される。プロセッサ602および604は、それぞれローカルメモリコントローラハブ(MCH)606および608を有し、メモリ610および612との通信できるようにしてもよい。メモリ610および/または612は、図5のメモリ512を参照して説明されたもののように、種々のデータを格納してもよい。
【0043】
実施形態において、プロセッサ602および604は、図5を参照して説明されたプロセッサ502の1つであってもよい。プロセッサ602および604は、それぞれPtPインターフェース回路616および618を使用してポイントツーポイント(PtP)インターフェース614とデータを交換してもよい。また、プロセッサ602および604は、それぞれポイントツーポイントインターフェース回路626、628、630、および632を使用して、個々のPtPインターフェース622および624を介してチップセット620とデータを交換してもよい。チップセット620は、さらに、グラフィックスインターフェース636を介して、例えば、PtPインターフェース回路637を使用して、グラフィックス回路634とデータを交換してもよい。
【0044】
本願発明の少なくとも1つの実施形態は、プロセッサ602および604の内部で構成される。本願発明の他の実施形態は、しかしながら、図6のシステム600内部の、他の回路、論理部、またはデバイス内に存在してもよい。さらに、本願発明の他の実施形態は、図6内で説明された、いくつかの回路、論理部、およびデバイスに亘って分配されてもよい。
【0045】
チップセット620は、PtPインターフェース回路641を使用して、バス640と通信してもよい。バス640は、バスブリッジ642、(図1−5を参照して説明されるようなサイドバンドバスを介して接続される)ME505、および/またはI/Oデバイス643のような、1以上のデバイスと通信してもよい。バス644を介して、バスブリッジ642は、キーボード/マウス645、(モデム、ネットワークインターフェースデバイス、またはコンピュータネットワーク503と通信しうる他の通信デバイスのような)通信デバイス646、オーディオI/Oデバイス647、および/またはデータストレージデバイス648のような他のデバイスと通信してもよい。実施形態において、通信デバイス646は、図1−4のNIC 212と同じまたは類似であってもよい。データストレージデバイス648は、プロセッサ602および/または604によって実行されうるコード649を格納してもよい。
【0046】
本願発明の種々の実施形態において、例えば図1−6を参照して、本願明細書で説明された動作は、ハードウェア(例えば回路)、例えば、本願明細書で説明される処理をコンピュータが実行するようにプログラムするのに使用される命令(またはソフトウェア手続き)を格納する機械可読またはコンピュータ可読媒体を含むコンピュータプログラム製品として提供されてもよい、ソフトウェア、ファームウェア、マイクロコード、またはそれらの組み合わせによって実施されてもよい。また、用語「論理」は、一例として、ソフトウェア、ハードウェア、またはソフトウェアおよびハードウェアの組み合わせを含んでもよい。コンピュータ可読媒体は、本願明細書で説明されたようなストレージデバイスを含んでもよい。加えて、そのようなコンピュータ可読媒体は、コンピュータプログラム製品としてダウンロードされてもよく、プログラムはリモートコンピュータ(例えばサーバ)から要求するコンピュータ(例えばクライアント)に、通信リンク(例えば、バス、モデム、またはネットワーク接続)を介して送信されてもよい。
【0047】
明細書において「一実施形態」または「実施形態」を参照することは、実施形態に関連して説明される特定の特徴、構造、および特性は、少なくとも実施に含まれてもよいことを意味する。明細書内の様々な場所での句「一実施形態において」の出現は、全てが同じ実施形態を参照してもよく、またはしなくてもよい。
【0048】
さらに、明細書および特許請求の範囲において、用語「結合される」および「接続される」は、それらの派生語とともに使用されてもよい。本願発明のいくつかの実施形態において、「接続される」は、2つ以上の構成要素が、互いに直接物理的または電気的に接触していることを指示するのに使用してもよい。「結合される」は、2つ以上の構成要素が直接物理的または電気的に接触していることを意味してもよい。しかしながら、「結合された」は、2つ以上の構成要素が互いに直接接続されていないが、なお互いに協働または相互作用してもよいことをも意味してもよい。
【0049】
このように、本願発明の実施形態は、構造的特徴および/または方法論的動作(acts)に固有の言葉で説明されてきたが、本願特許請求の範囲は、固有の特徴または動作に限定されないことを理解すべきである。むしろ、固有の特徴および動作は、特許請求の範囲を実施する実例形式として開示されている。
【技術分野】
【0001】
本願の開示は、全体として、電子機器の分野に関する。より詳細には、本願発明のいくつかの実施形態は、盗難管理システムおよび方法に関する。
【背景技術】
【0002】
現在のコンピュータデバイスの抗盗難技術は、硬い(hardened)システム認証、ハードウェアに基づく暗号化およびインバンド(IB)リモートロックパケットに依存するものもありうる。(IBリモートロックパケットを介した)盗難警報は、ユーザのオペレーティングシステム(OS)を介してインターネット上でコンピュータデバイスのチップセットに送信されうる。盗難警報の受信に応じて、チップセットはコンピュータデバイスを無効にしてもよい。しかしながら、そのような盗難警報機構は、インターネットプロトコル/インターネット接続性と、コンピュータデバイスのチップセットに盗難警報をルーティングするユーザのオペレーティングシステムに依存する。
【発明の概要】
【0003】
特許請求の範囲の実施形態の特徴は、同様の符号は同様の部分を図示する図面を参照して、以下の詳細な説明が進むにつれ明確になる。
【図面の簡単な説明】
【0004】
【図1】図1は、実施形態に従う、盗難管理方法を説明する。
【図2】図2は、実施形態に従う、盗難管理システムの構成を説明する。
【図3】図3は、いくつかの実施形態に従う、盗難管理サーバおよびコンピュータデバイスの管理エンジンの間のメッセージフローを説明する。
【図4】図4は、いくつかの実施形態に係る、種々の構成要素内で使用されうるプロトコルスタックのブロック図を説明する。
【図5】図5は、いくつかの実施形態に係る、コンピュータシステムのブロック図を説明する。
【図6】図6は、いくつかの実施形態に係る、コンピュータシステムのブロック図を説明する。
【発明を実施するための形態】
【0005】
以下の詳細な説明は、特許請求の範囲の例示的な実施形態を参照して進められるが、そこにおける多くの代替例、修正例、および変形例は、当業者に明らかになる。従って、特許請求の範囲は広範に捉えられるとともに、添付の特許請求の範囲で示されるようにのみ定義されることが意図されている。
【0006】
以下の説明において、種々の実施形態の完全な理解を提供するために、多くの特定の詳細が説明される。しかしながら、いくつかの実施例は、特定の詳細なしに実施してもよい。他の実施例においては、特定の実施形態を不明瞭にしないように、周知の方法、手段、構成要素、および回路は詳細に説明されない。
【0007】
以下でより詳細に説明されるように、本願発明のいくつかの実施形態は、例えば、コンピュータデバイス上で実行されるホスト/ユーザオペレーティングシステム、並びに/或いは、予め確立または(例えばユーザによって)開始された通信チャネルに関らず、無線通信チャネルを介して盗難警報をコンピュータデバイスに配信する技術を提供する。ここで使用されるように、用語「配信」およびその派生語は、「送信」およびその派生語と交換可能であるように意図されている。コンピュータデバイスは、無線通信機能を有するいかなるタイプのコンピュータデバイスであってもよく、例えば、(携帯電話、ラップトップコンピュータ、パーソナルデジタルアシスタント(PDA)、ウルトラポータブルパーソナルコンピュータ等のような)携帯デバイスまたは、(デスクトップコンピュータ、サーバ等のような)非携帯コンピュータデバイスを含む。
【0008】
無線通信機能は、(例えば、IMT−2000の下での国際電気通信連合(ITU)規格ファミリに従う)第3世代(3G)WWAN、Worldwide Inter-operability for Microwave Access(例えばInstitute of Electrical and Electronics Engineers (IEEE) 802.16, revisions 2004, 2005, et seq.に従う「WiMAX」)、(例えばIEEE Standard 802.15.1, 2007に従う)ブルートゥース(登録商標)のような、無線周波数(RF)、(例えばIEEE 802.11a, 802.11b, or 802.11gに従う)Wifi等の、例えば、無線広域ネットワーク(WWAN)を使用する、いかなる利用可能な無線通信によって提供されてもよい。
【0009】
実施形態において、入来するショートメッセージサービス(SMS)メッセージは、コンピュータデバイスのネットワークインターフェースカードによってフィルタリングされて、アウトオブバウンドSMSメッセージを検出するとともに、アウトオブバウンドメッセージをコンピュータデバイスのチップセットに配信してもよい。一実施形態において、盗難警報メッセージを処理することは、ソフトウェア内またはコンピュータデバイスの基本入/出力システム(BIOS)に対してハードウェアセキュリティによって処理されてもよい。
【0010】
まず図1を参照すると、実施形態に係る盗難管理方法10が説明される。ブロック12で、コンピュータデバイスの盗難(または未承認の除去)を指示する通知が受信される。以上で説明されたように、コンピュータデバイスは、デスクトップコンピュータ、ラップトップコンピュータ、サーバ、またはハンドヘルドコンピュータデバイスのような、無線通信機能を伴ういかなるタイプのコンピュータデバイスであってもよい。例えば、ユーザは、コンピュータデバイスの盗難を盗難管理サーバに報告してもよい。また、RFタグを有するコンピュータデバイスについては、検知器は、所定領域の外にコンピュータデバイスが移動したこと、例えば未承認の除去または盗難を指示する移動を通知してもよい。盗難管理サーバは、企業ネットワークまたはサービス事業者の一部であってもよい。ブロック14で、盗難警報メッセージが、例えば無線ネットワークを使用してコンピュータデバイスに配信される。実施形態において、盗難メッセージは、WWANを使用してコンピュータデバイスに配信される。一実施形態において、盗難メッセージは3Gネットワークを使用してコンピュータデバイスに配信される。
【0011】
一実施形態において、動作12で、盗難管理サーバは、例えばインターネットプロトコル(IP)接続を使用して、3Gショートメッセージサービス(SMS)ゲートウェイに盗難メッセージを配信する。盗難メッセージは、動作12でアウトオブバンド(OOB)メッセージとして識別されてもよい。さらに、3G SMSゲートウェイは、動作14で、3G SMSインターフェースを介してコンピュータデバイスのネットワークインターフェースカード(NIC)に盗難メッセージを配信する。いくつかの実施形態において、SMSペイロード(即ち盗難メッセージ)は、このSMSがOOBメッセージを運んでいることを指示するアプリケーションヘッダを含んでもよい。アプリケーションヘッダは、ベンダ識別子(ID)およびオペレータによってサーバに(例えばショートコードまたはロングナンバーの形式で)割り当てられたオペレータアドレスを含んでもよい。
【0012】
一実施形態において、入来するSMSメッセージが受信されたときに、3G NICは、アプリケーションヘッダからそのベンダIDを検査するとともに、もしベンダIDが予め設定されたベンダIDと一致したならば、NICは、これがOOB SMSであると判定する。(OOB SMSメッセージを処理する役割を担う)チップセット上でのSMSなりすましおよびサービス拒否(DOS)攻撃を防止するために、NICはSMSヘッダをチェックして、受信されたOOB SMSメッセージが携帯発信されたSMSではないことを確認して、なりすましOOB SMSメッセージを携帯ハンドセットから検出する。さらに、NICは、SMSペイロードのアプリケーションヘッダに埋め込まれたアドレスとSMS発信者のアドレスとを比較し、攻撃者によってWebサーバから生成された偽装OOB SMSを検出してもよい。もし、何らかのなりすましが検知されたならば、NICはSMSを黙って破棄してもよい。そうでない場合、NICは、通常のユーザSMSメッセージから分離されている、OOB SMSメッセージに割り当てられたフラッシュメモリに当該SMSメッセージを格納してもよい。
【0013】
実施形態において、管理エンジン(ME)は、SMSメッセージを送受信するために、(例えば3rd Generation Partnership Project (3GPP)によって定義される)Attention (AT)コマンドを実施してもよい。MEは、コンピュータデバイスの、例えば3G NIC,チップセット、および/またはプロセッサを含む種々の構成要素に(直接またはバスまたはインターコネクトを介して)接続される。いくつかの実施形態において、システム管理バス(SMBus)およびそのトランスポートプロトコルスタックは、MEおよび3G NICの間でATコマンドおよびレスポンスを送信するのに使用される。しかしながら、本願発明の実施形態は、SMBusに限定されず、かつ、例えばユニバーサルシリアルバス(USB)、ブルートゥース(登録商標)、すべての直接有線接続、バス/インターコネクト、Peripheral Component Interconnect(PCI)、PCI Express(PCIe)等の他の通信チャネルが、コマンド、データ、または本願明細書で説明される種々の構成要素の間の信号を通信するのに使用されてもよい。3G NICは、ATコマンドのソースを(ATコマンドがホスト/ユーザOSまたはMEから発行されたかどうか)区別し、かつその結果、3G NICは、ユーザSMSおよびOOBメッセージを同時に取り扱うとともに、それらをホスト/ユーザOSまたはMEに適切にルーティングすることができる。従って、実施形態において、ユーザSMSの通常動作は影響を受けない。
【0014】
ブロック16において、コンピュータデバイスのネットワークインターフェースカードからの盗難メッセージは、例えばSMBusのようなサイドバンドバスを使用して、かつホスト/ユーザオペレーティングシステムに何も依存することなく、コンピュータデバイスの管理エンジンに送信される。もし、動作16でMEが利用不能であれば、後に(例えば、MEが利用可能になったとき)配信するために(例えば不揮発である)NICのメモリ内にメッセージが格納されてもよい。ブロック18で、盗難メッセージの受信に応じて、コンピュータデバイスは管理される(例えば、無効化される)。特に、管理エンジンは、チップセット、ハードドライブ、ディスプレイデバイス等を含む、コンピュータデバイスの1以上の構成要素を無効化/ロックするような、コンピュータデバイスの管理のために、盗難メッセージに応じて適切なアクションをとってもよい。
【0015】
一実施形態において、盗難警報(例えばリモートロック)メッセージは、コンピュータデバイスの管理エンジンに配信される。リモートロックメッセージは、システム管理バス(SMBus)を介してコンピュータデバイスのチップセットに配信されてもよい。続いて、コンピュータデバイスの全部または一部が、コンピュータデバイスのチップセットによるロックメッセージの受信に応じて無効化される。いくつかの実施形態において、コンピュータデバイスがロックまたは無効化成功したことのアクノーリッジメントが、盗難管理サーバに配信されてもよい。
【0016】
さらに、盗難モードのコンピュータデバイスの位置は、一実施形態において、盗難管理サーバに送信されてもよい。例えば、全地球測位システム(GPS)またはIEEE 802.11n位置情報が、MEによって適切なATコマンドを介して3G NICから回収されるとともに、例えば3G SMSトランスポート上で、無線によって盗難管理サーバに(暗号化または非暗号化形式のいずれかで)送信されてもよい。一度コンピュータデバイスが当該位置から復帰したら、盗難管理サーバは、当該コンピュータデバイスのチップセットにリモートアンロックメッセージを送信して当該デバイスをアンロックしてもよい。一実施形態において、チップセットへのアンロックメッセージは、3G SMSインターフェース上で配信されてもよい。
【0017】
いくつかの実施形態において、OOBメッセージ配信機構は、コンピュータデバイスの無線のスイッチオフ、WWANリンクがダウンしている、等々のようなイベント発生について管理エンジンに伝えるように利用されてもよい。そのような警報を受信すると、管理エンジンは、コンピュータデバイスを無効化する、ユーザを再認証するよう強制する等の、適切なアクションを取ってもよい。いくつかの実施形態に従って、メッセージ配信機構は、コンピュータデバイスのユーザ/ホストオペレーティングシステムに何も依存しない、またはコンピュータデバイスにIP接続性を維持するように要求する。さらに、盗難管理サーバは、全てのAdvanced Configuration and Power Interface (ACPI)電力およびホスト/ユーザオペレーティングシステムの状態において、コンピュータデバイスに合うとオブバウンドメッセージを配信してもよい。加えて、コンピュータデバイスの盗難は、無線を切断する行為を実行することによって、またはネットワークインターフェースカードを除去することによっては、以上で説明されたような盗難管理技術を緩和できなくてもよい。
【0018】
図2は、実施形態に係る、盗難管理システム200の構成を説明する。図1を参照して説明された1以上の動作は、図2の構成要素によって実行されてもよい。説明されるように、システム200は、コンピュータデバイス202と、(例えば、コンピュータデバイス202の盗難を検知するとともに、コンピュータデバイス202に盗難を表す盗難警報メッセージを配信するための)盗難管理サーバ204を備える。実施形態において、盗難管理サーバ204は、盗難警報メッセージを、無線広域ネットワークを使用してコンピュータデバイス202に配信する。盗難管理サーバ204は、企業ネットワーク内またはサービス事業者イントラネット内に存在してもよい。システム200は、また、3Gサービス事業者によって管理されうる3G SMSゲートウェイ206を有する。
【0019】
SMSゲートウェイ206は、盗難管理サーバ204と通信するためのインターネットプロトコル(IP)インターフェースのような第1インターフェース208を有する。SMSゲートウェイ208は、また、コンピュータデバイス202と(例えばSMSセンターを介して)通信する3G SMSインターフェースのような第2インターフェース210を有する。実施形態において、コンピュータデバイス202は、携帯が生成したおよび/またはSMSゲートウェイが生成したショートメッセージサービスメッセージを受信するとともに処理するためのネットワークインターフェースカード(例えば3Gモジュール212)のような組み込み無線広域ネットワークハードウェアを有する。
【0020】
コンピュータデバイス202は、また、ネットワークインターフェースカード212から盗難メッセージを受信するとともに、盗難メッセージの受信に応じてコンピュータデバイス202を管理するための管理エンジン214を有する。コンピュータデバイス202は、また、(コンピュータデバイス202の1以上のプロセッサによって実行されてもよい)ホスト/ユーザOS 216を格納するメモリを有してもよい。示されるように、ホスト/ユーザOS 216は、(説明されるUSBのような)バスを介してNIC 212と通信してもよい。さらに、ME 214は、(説明されるSMBusのような)異なるバスを介してNIC 212と通信してもよい。それに代えて、同じバスが、NIC 212とOS 216および/またはME 214を接続してもよい。実施形態において、もし単一のバス/インターコネクトがNIC 212をOS 216および/またはME 214に接続するならば、NICおよびOSの間対NICおよびMEの間の通信を区別するのに異なるタイプのメッセージ/パケット/信号が使用されてもよい。さらに、いかなるタイプのバス/インターコネクト、専用線、信号等が、ME 214およびNIC 212の間で使用されてもよい。一実施形態において、管理エンジン214は、ネットワークインターフェースカード212から受信されたロックメッセージに応じて、コンピュータデバイス(またはそのチップセット、プロセッサ、ハードドライブ等のような1以上の構成要素)を無効化する。
【0021】
実施形態において、盗難報告に応じて、IP接続208上で盗難メッセージが3G SMSゲートウェイ206に配信される。盗難メッセージのタイプは、アウトオブバンド(OOB)メッセージとして特定されてもよい。続いて、3G SMSゲートウェイ206は、例えば、ネットワーク発信されたSMSとして、3G SMSインターフェース210上で、盗難メッセージペイロードをネットワークインターフェースカード212に送信する。一度、ネットワークインターフェースカードが盗難メッセージを含むSMSを受信した場合、ネットワークインターフェースカードは、メッセージをすぐにコンピュータデバイス202のチップセット(図示せず)に配信する、或いは、管理エンジン214のサイドバンドバスが利用可能でないまたはメッセージを送信または受信するように電源供給されていないならば、メッセージを後の配信のために格納する。管理エンジンは、次いで、例えば、図1のブロック18を参照して説明されるように、盗難メッセージを含むSMSに応じて適切なアクションをとる。
【0022】
図3は、(図2のサーバ204のような)盗難管理サーバおよび(図2のME 214のような)コンピュータデバイスの管理エンジンの間のメッセージフローを説明する。盗難管理サーバ204は、コンピュータデバイス202に(1)盗難メッセージを送信する通知を受信する。理解されるように、盗難管理サーバ204は、例えばIPインターフェース208を使用して、3G SMSゲートウェイ206に(2)盗難メッセージを送信する。さらに、3G SMSゲートウェイ206は、3G SMSインターフェース210上で、(示されているような加入者識別モジュール(SIM)を含んでもよい)無線広域ネットワーク(WWAN)ネットワークインターフェースカード212に(3)盗難メッセージペイロードを送信する。続いて、(4)メッセージペイロードは、コンピュータデバイス202のチップセット302に配信されてもよい。ネットワークインターフェースカード212およびチップセット302の間のメッセージ配信プロトコルは、システム管理バス(SMBus)上の商用メッセージとして実施してもよい。実施形態において、メッセージ(3)の受信に応じて、ネットワークインターフェースカード212は、盗難ペイロードを抽出し、SMBus上で、管理エンジン(例えば図2のME 214)にペイロードを送信する。
【0023】
実施形態において、メッセージはSMBus上で標準的なATコマンドを使用して配信されてもよい。管理エンジンは、NICファームウェア(FW)に、自分はOOB SMSであるとともに管理エンジンに向けられていることを指示する(アプリケーションヘッダとしても参照される)OOBヘッダペイロードを含む(または先頭に追加される)、入来する(アウトオブバウンドSMSメッセージとしても参照される)盗難警報SMSメッセージを受信する。続いて、ネットワークインターフェースカード212は、そのようなメッセージの受信を指示する適切なATコマンドを、SMBus上で管理エンジンに送信する。管理エンジンは、適切なATコマンドを使用してSMSメッセージを読む。いくつかの実施形態におちえ、もし管理エンジンがSMSメッセージを読む準備ができていないのであれば、ネットワークインターフェースカード212は、メッセージを格納するとともに、後の時間期間に当該メッセージを管理エンジンに配信する。
【0024】
管理エンジンは、盗難メッセージ(4)の受信に応じて、コンピュータデバイス202を管理してもよい。一実施形態において、管理エンジンは、ネットワークインターフェースカード212から受信されたロックメッセージに応じて、コンピュータデバイス202の全体または一部を無効にする。理解されるように、チップセット302/管理エンジン214からのメッセージは、同様の仕方で、盗難管理サーバ204に配信されてもよい。
【0025】
より詳細には、チップセット302から盗難管理サーバ204へのメッセージフローは、参照符号5,6、および7によって表される。いくつかの実施形態において、コンピュータデバイス202は、(図1−2を参照して説明されたような)コンピュータデバイス202のチップセット302によるロックメッセージの受信に応じて無効化される。さらに、コンピュータデバイスがロック成功したことの確認は、メッセージフロー5、6、および7によって表されるように盗難管理サーバに配信されてもよい。
【0026】
さらに、実施形態において、盗難モードのコンピュータデバイス202の位置に関する情報も、3G SMSインターフェース上でセキュアな仕方で盗難管理サーバ204に送信されてもよい。一度コンピュータデバイス202が特定の位置から復帰したら、盗難管理サーバ204は、コンピュータデバイスのチップセットにリモートアンロックメッセージを送信して、デバイスをアンロックしてもよい。ここでも、チップセットへのアンロックメッセージはWWANを使用して配信されてもよい。
【0027】
盗難管理サーバ204および管理エンジン214の間で交換される盗難ペイロードは、いくつかの実施形態において、予め用意された鍵を使用して、整合性チェックおよび繰り返し攻撃防止(replay attack prevention)によって保護される。従って、盗難ペイロードは、3G SMSゲートウェイ206およびWWANネットワークインターフェースカード212のような中間ノード、即ち盗難管理サーバ204および管理エンジン214の間のノードには透過的である。実施形態によると、中間ノードは、ペイロードを更新せずに、ペイロードを適切なインターフェース上で転送することに留意すべきである。
【0028】
動作時に、一度、管理エンジンが受信した盗難メッセージ(例えば、「ロック要求」メッセージ)の整合性を検証すると、管理エンジンは(コンピュータデバイス無効化動作のような)適切な動作をキューに入れる。そのような動作は、ロック応答の転送成功の後に即座に実行されてもよい。さらに、管理エンジンは、「ロック応答」を使用して、「ロック要求」の受信およびその実行状態を指示する確認を送信する。
【0029】
上記の実施形態において説明されたアウトオブバンドメッセージ配信技術は、ユーザ/ホストオペレーティングシステム上の依存性を有さず、かつコンピュータデバイスがIP接続性を維持する必要もない。さらに、盗難管理サーバ204は、全てのACPI電力およびホスト/ユーザオペレーティングシステムのヘルスステートにおいて、コンピュータデバイス202に盗難メッセージを配信できる。盗難メッセージはコンピュータデバイス202のチップセット302によって処理かつ実行されるので、コンピュータデバイスの比較的セキュアかつ堅牢な抗盗難技術を提供する。
【0030】
いくつかの実施形態においては、3GネットワークはSMSメッセージの信頼性のあるかつインオーダの配信を保証しないので、盗難管理サーバ204によって送信されるSMSメッセージは、多くの理由(例えばデバイスが装着されていない、無線インターフェースの資源問題等)のために、ネットワーク内でキューに入れられてもよい。さらに、全ての盗難警告は、ME 214(および/またはチップセット302)が受信済みSMSメッセージの正しい順序を決定して、競合状態を防ぐとともに、必要であれば特定のメッセージを破棄することを補助するシーケンス番号またはタイムスタンプを伴うまたは含んでもよい。
【0031】
図4は、いくつかの実施形態に係る、種々の構成要素内で使用されうるプロトコルスタックのブロック図を説明する。実施形態において、図1−3のME 214、NIC 212、SMSゲートウェイ206、および盗難管理サーバ204は、図4に示されるそれぞれのプロトコルスタックを有してもよい。
【0032】
示されたように、ME 214は、(例えば、以前に説明されたようなATコマンドを含む)OOBクライアントサービス、(例えばDistributed Management Task Force, Inc. (DMTF), version 1.0.0a, July 2007によって提供されるManagement Component Transport Protocol (MCTP)プロトコルサービスのような、管理システム内部の監視および制御機能を提供するプラットフォーム管理サブシステムを構成するシステムの、異なるインテリジェント構成要素の間の通信を支援する)構成要素管理トランスポートプロトコルサービス/システム管理バスプロトコル支援、システム管理バスデータリンク、および/またはシステム管理バス物理層(PHY)を含んでもよい。図4は、一例としてMCTPを説明するが、実施形態は、MCTP、MCTPサブセット、または(例えば、管理システム内部に監視および制御機能を提供するプラットフォーム管理サブシステムを構成するシステムの、異なるインテリジェント構成要素の間の通信を支援する)商用トランスポートプロトコルを使用することによって実施されてもよい。
【0033】
NIC 212は、(例えばME 214内の相手と通信するために)OOBサービス、MCTP/システム管理バスプロトコルサポート、システム管理バスデータリンク、および/またはシステム管理バス物理(PHY)を有してもよい。3Gネットワークを介した通信を容易にするために、NIC 212は、3G SMS、3Gデータリンク、および/または3G 無線PHYを含んでもよい。SMSゲートウェイ206は、(NIC 212内の相相手と通信するために)3G SMS,3Gデータリンク、および/または3G無線PHYを含んでもよい。SMSゲートウェイ206は、また、ハイパーテキストトランスファープロトコル(HTTP)、トランスポートレイヤーセキュリティ(TLS)、トランスミッションコントロールプロトコル(TCP)/IP、IEEE802データリンク、および/またはIEEE802PHYを含んでもよい。さらに、サーバ204は、ME 214のOOBクライアントサービスと通信するためのOOBアプリケーションを有してもよい。サーバ204は、(SMSゲートウェイ206内の相手と通信するために)HTTP、TLS,TCP/IP,IEEE802データリンク、および/またはIEEE802PHYを有してもよい。
【0034】
いくつかの実施形態においては、本願明細書で説明されるチップセットへのOOBメッセージ配信は、盗難抑止技術(Theft Deterrence Technology,TDT)の使用(例えばリモートロック、アンロック、および位置標識等)を可能にすることを目的としているが、また、本願明細書で説明される技術は、ユーザ/ホストOSまたはユーザ発信された通信に依存しない、コンピュータデバイスへのOOBメッセージ配信から恩恵をうけうる他の使用法のために使用されてもよい。例えば、管理サーバは、MEから資産情報を要求してもよい。または、他のセキュリティサーバは、トランザクションを処理する前にいくらかのデータを要求するために(ホスト/ユーザOSを介さずに)OOB SMSをMEに送信することによって、コンピュータデバイスの正当性をチェックしてもよい。
【0035】
以上で説明された盗難管理システムは、(図5および/または6を参照して説明されたシステムのような)コンピュータシステム、無線通信器、ハンドヘルドデバイス等に採用されてもよい。例えば、図5は、本願発明の実施形態に従うコンピュータシステム500のブロック図を図示する。例えば、図2のコンピュータデバイス202、サーバ204、および/またはSMSゲートウェイ206は、システム500の1以上の構成要素を有してもよい。コンピュータシステム500は、1以上の中央処理装置(CPU)502またはインターコネクトバス(またはバス)504を介して通信するプロセッサを有してもよい。いくつかの実施形態では、管理ユニット(ME)505は、バス504に接続されてもよい。(しかしながら、MEは、デバイス530、チップセット506、CPU502等の内部のようなシステム500内のどこかに構成されてもよく、かつ、さらに、例えば図1−4を参照して説明されたサイドバンドバスを介してシステム500の構成要素に接続されてもよい)。プロセッサ502は、汎用プロセッサ、(コンピュータネットワーク503上で通信されるデータを処理する)ネットワークプロセッサ、または(縮小命令セットコンピュータ(RISC)プロセッサまたは複合命令セットコンピュータ(CISC)を含む)他のタイプのプロセッサを含んでもよい。さらに、プロセッサ502は、単一または複数コア設計を有してもよい。複数コア設計を有するプロセッサ502は、同じ集積回路(IC)ダイ上に異なるタイプのプロセッサコアを統合してもよい。さらに、複数コア設計を有するプロセッサ502は、対称または非対称マルチプロセッサとして実施されてもよい。また、図1−4を参照して説明された動作は、システム500の1以上の構成要素によって実行されてもよい。
【0036】
チップセット506は、また、インターコネクトネットワーク504と通信してもよい。チップセット506は、メモリコントロールハブ(MCH)508を有してもよい。MCH508は、メモリ512と通信するメモリコントローラ510を含んでもよい。メモリ512は、CPU502、またはコンピュータシステム500が有する何れかの他のデバイスによって実行されうる命令列を含むデータを格納してもよい。本願発明の一実施形態において、メモリ512は、ランダムアクセスメモリ(RAM)、ダイナミックRAM(DRAM)、シンクロナスDRAM(SDRAM)、スタティックRAM(SRAM)または他のタイプのストレージデバイスのような1以上の揮発性ストレージ(またはメモリ)デバイスを有してもよい。また、ハードディスクのような不揮発性メモリが利用されてもよい。複数のCPUおよび/または複数のシステムメモリのような追加のデバイスが、インターコネクトネットワーク504を介して通信してもよい。
【0037】
MCH508は、また、ディスプレイデバイス516と通信するグラフィックスインターフェース514を有してもよい。本願発明の一実施形態において、グラフィックスインターフェース514は、アクセラレーティッドグラフィックスポート(AGP)またはPCIeを介して、ディスプレイデバイス516と通信してもよい。本願発明の実施形態において、(フラットパネルディスプレイのような)ディスプレイ516は、例えば、ビデオメモリまたはシステムメモリのようなストレージデバイスに格納された画像のデジタル表現を、ディスプレイ516によって解釈および表示されるような表示信号に変換する信号変換器を介して、グラフィックスインターフェース514と通信してもよい。ディスプレイデバイスによって生成された表示信号は、解釈されるとともに続いてディスプレイ516上に表示される前に種々の制御デバイスを通ってもよい。
【0038】
ハブインターフェース518は、MCH508および入/出力コントロールハブ(ICH)520が通信するのを可能にしてもよい。ICH520は、コンピュータシステム500と通信するI/Oデバイスへのインターフェースを提供してもよい。ICH 520は、周辺機器インターコネクト(PCI)ブリッジ、ユニバーサルシリアルバス(USB)コントローラのような周辺機器ブリッジ(またはコントローラ)524、または、他のタイプの周辺機器ブリッジまたはコントローラを介してバス522と通信してもよい。ブリッジ524は、CPU502および周辺機器デバイスの間のデータ経路を提供してもよい。他のタイプのトポロジーが利用されてもよい。また、複数のバスがICH520と、例えば複数のブリッジまたはコントローラを介して通信してもよい。さらに、ICH520と通信している他の周辺機器は、本願発明の種々の実施形態において、Integrated Drive Electronics (IDE)、またはSmall Computer System Interface(SCSI)ハードドライブ、USBポート、キーボード、マウス、パラレルポート、シリアルポート、フロッピー(登録商標)ディスクドライブ、デジタル出力サポート(例えばデジタルビデオインターフェース(DVI))または他のデバイスを含んでもよい。
【0039】
バス522は、オーディオデバイス526、1以上のディスクドライブ528、および(コンピュータネットワーク503と通信する)ネットワークインターフェース530と通信してもよい。実施形態において、ネットワークインターフェースデバイス530は、図1−4のNIC 212と同じまたは類似であってもよい。他のデバイスは、バス522を介して通信してもよい。また、(ネットワークアダプタ530のような)種々の構成要素は、本願発明のいくつかの実施形態において、MCH508に接続されてもよい。加えて、プロセッサ502およびMCH 508は、単一のチップを形成するように結合されてもよい。実施形態において、メモリコントローラ510は、1以上のCPU502内で構成されてもよい。さらに、実施形態において、MCH 508およびICH 520は、周辺機器コントロールハブ(PCH)に結合されてもよい。
【0040】
さらに、コンピュータシステム500は、揮発性および/または不揮発性メモリ(またはストレージ)を有してもよい。例えば、不揮発性メモリは、1以上の読み出し専用メモリ(ROM)、プログラム可能ROM(PROM)、消去可能PROM(EPROM)電気的消去可能PROM(EEPROM(登録商標))、ディスクドライブ(例えば528)、フロッピー(登録商標)ディスク、コンパクトディスクROM(CD−ROM)、デジタル多目的ディスク(DVD)、フラッシュメモリ(登録商標)、光磁気ディスク、または、(例えば命令を含む)電子データを格納できる他のタイプの不揮発性機械可読媒体を含む。
【0041】
図6は、本願発明の実施形態に係るポイントツーポイント(PtP)構成に配置されたコンピュータシステム600を説明する。特に、図6は、プロセッサ、メモリ、および入力/出力デバイスが多くのポイントツーポイントインターフェースによって相互接続されているシステムを示す。図1−5を参照して説明された動作は、システム600の1以上の構成要素によって実行されてもよい。
【0042】
図6内に説明されるように、システム600は、多くのプロセッサを有してもよいが、明確性のために、2つのプロセッサ602および604のみが示される。プロセッサ602および604は、それぞれローカルメモリコントローラハブ(MCH)606および608を有し、メモリ610および612との通信できるようにしてもよい。メモリ610および/または612は、図5のメモリ512を参照して説明されたもののように、種々のデータを格納してもよい。
【0043】
実施形態において、プロセッサ602および604は、図5を参照して説明されたプロセッサ502の1つであってもよい。プロセッサ602および604は、それぞれPtPインターフェース回路616および618を使用してポイントツーポイント(PtP)インターフェース614とデータを交換してもよい。また、プロセッサ602および604は、それぞれポイントツーポイントインターフェース回路626、628、630、および632を使用して、個々のPtPインターフェース622および624を介してチップセット620とデータを交換してもよい。チップセット620は、さらに、グラフィックスインターフェース636を介して、例えば、PtPインターフェース回路637を使用して、グラフィックス回路634とデータを交換してもよい。
【0044】
本願発明の少なくとも1つの実施形態は、プロセッサ602および604の内部で構成される。本願発明の他の実施形態は、しかしながら、図6のシステム600内部の、他の回路、論理部、またはデバイス内に存在してもよい。さらに、本願発明の他の実施形態は、図6内で説明された、いくつかの回路、論理部、およびデバイスに亘って分配されてもよい。
【0045】
チップセット620は、PtPインターフェース回路641を使用して、バス640と通信してもよい。バス640は、バスブリッジ642、(図1−5を参照して説明されるようなサイドバンドバスを介して接続される)ME505、および/またはI/Oデバイス643のような、1以上のデバイスと通信してもよい。バス644を介して、バスブリッジ642は、キーボード/マウス645、(モデム、ネットワークインターフェースデバイス、またはコンピュータネットワーク503と通信しうる他の通信デバイスのような)通信デバイス646、オーディオI/Oデバイス647、および/またはデータストレージデバイス648のような他のデバイスと通信してもよい。実施形態において、通信デバイス646は、図1−4のNIC 212と同じまたは類似であってもよい。データストレージデバイス648は、プロセッサ602および/または604によって実行されうるコード649を格納してもよい。
【0046】
本願発明の種々の実施形態において、例えば図1−6を参照して、本願明細書で説明された動作は、ハードウェア(例えば回路)、例えば、本願明細書で説明される処理をコンピュータが実行するようにプログラムするのに使用される命令(またはソフトウェア手続き)を格納する機械可読またはコンピュータ可読媒体を含むコンピュータプログラム製品として提供されてもよい、ソフトウェア、ファームウェア、マイクロコード、またはそれらの組み合わせによって実施されてもよい。また、用語「論理」は、一例として、ソフトウェア、ハードウェア、またはソフトウェアおよびハードウェアの組み合わせを含んでもよい。コンピュータ可読媒体は、本願明細書で説明されたようなストレージデバイスを含んでもよい。加えて、そのようなコンピュータ可読媒体は、コンピュータプログラム製品としてダウンロードされてもよく、プログラムはリモートコンピュータ(例えばサーバ)から要求するコンピュータ(例えばクライアント)に、通信リンク(例えば、バス、モデム、またはネットワーク接続)を介して送信されてもよい。
【0047】
明細書において「一実施形態」または「実施形態」を参照することは、実施形態に関連して説明される特定の特徴、構造、および特性は、少なくとも実施に含まれてもよいことを意味する。明細書内の様々な場所での句「一実施形態において」の出現は、全てが同じ実施形態を参照してもよく、またはしなくてもよい。
【0048】
さらに、明細書および特許請求の範囲において、用語「結合される」および「接続される」は、それらの派生語とともに使用されてもよい。本願発明のいくつかの実施形態において、「接続される」は、2つ以上の構成要素が、互いに直接物理的または電気的に接触していることを指示するのに使用してもよい。「結合される」は、2つ以上の構成要素が直接物理的または電気的に接触していることを意味してもよい。しかしながら、「結合された」は、2つ以上の構成要素が互いに直接接続されていないが、なお互いに協働または相互作用してもよいことをも意味してもよい。
【0049】
このように、本願発明の実施形態は、構造的特徴および/または方法論的動作(acts)に固有の言葉で説明されてきたが、本願特許請求の範囲は、固有の特徴または動作に限定されないことを理解すべきである。むしろ、固有の特徴および動作は、特許請求の範囲を実施する実例形式として開示されている。
【特許請求の範囲】
【請求項1】
コンピュータデバイスの盗難を通知するアウトオブバンド通知(OOB通知)を受信することと、
無線広域ネットワークを介して前記盗難を表す盗難メッセージを前記コンピュータデバイスに送信することと、
を備え、
前記コンピュータデバイスの少なくとも1つの構成要素は、前記盗難メッセージの受信に応じて無効化される方法。
【請求項2】
前記通知を受信することは、企業ネットワークの盗難管理サーバ、またはサービス事業者、またはそれらの組み合わせで実行される、請求項1に記載の方法。
【請求項3】
前記盗難メッセージを送信することは、3Gネットワークを介して前記盗難メッセージを前記盗難管理サーバから前記コンピュータデバイスに送信することである請求項2に記載の方法。
【請求項4】
前記盗難メッセージを前記コンピュータデバイスに送信することは、3G ショートメッセージサービス(SMS)ゲートウェイを介して実行される請求項3に記載の方法。
【請求項5】
前記コンピュータデバイスの前記少なくとも1つの構成要素は、前記コンピュータデバイスのネットワークインターフェースカードにリモートロックメッセージを送信することに応じて無効化される請求項1に記載の方法。
【請求項6】
前記リモートロックメッセージは、3G SMSゲートウェイを介して前記コンピュータデバイスに送信される請求項5に記載の方法。
【請求項7】
サイドバンドバスを介して前記コンピュータデバイスのチップセットへの前記盗難メッセージの送信を引き起こすことをさらに備える請求項5に記載の方法。
【請求項8】
前記盗難メッセージは、入来SMSメッセージをフィルタリングすることに基づいて検知される請求項7に記載の方法。
【請求項9】
前記盗難メッセージを送信することは、前記コンピュータデバイスの前記チップセットによって前記盗難メッセージを受信したことに応じて、前記コンピュータデバイスのロックを引き起こす請求項8に記載の方法。
【請求項10】
前記無線広域ネットワークを介して前記コンピュータデバイスの位置を受信することをさらに備える請求項1に記載の方法。
【請求項11】
前記位置からの前記コンピュータデバイスの復帰に応じて、前記コンピュータデバイスにリモートアンロックメッセージを送信することをさらに備える請求項10に記載の方法。
【請求項12】
前記コンピュータデバイスのチップセットにアンロックメッセージを送信して前記コンピュータデバイスのアンロックを引き起こすことをさらに備える請求項1に記載の方法。
【請求項13】
前記盗難メッセージを送信することは、ソフトウェア内または前記コンピュータデバイスの基本入/出力システム(BIOS)に対してハードウェアセキュリティによる前記盗難メッセージの処理を引き起こす、請求項1に記載の方法。
【請求項14】
OOB通知に応じてコンピュータデバイスの盗難を検知する盗難管理サーバを備え、
前記盗難管理サーバは、メッセージサービスゲートウェイを介して、前記コンピュータデバイスの無線モジュールに盗難警報メッセージを送信する、システム。
【請求項15】
前記メッセージサービスゲートウェイは3G SMSゲートウェイであり、かつ前記盗難管理サーバは、インターネットプロトコル接続を使用して、前記3G SMSゲートウェイを介して、前記無線モジュールに前記盗難警報メッセージを送信する、請求項14に記載のシステム。
【請求項16】
前記コンピュータデバイスは、前記無線モジュールから前記盗難警報メッセージを受信するとともに、前記盗難警報メッセージの受信に応じて前記コンピュータデバイスを管理する管理エンジンを有する、請求項14に記載のシステム。
【請求項17】
前記管理エンジンは、前記無線モジュールから受信されたロックメッセージに応じて、前記コンピュータデバイスの少なくとも1つの構成要素を無効化する、請求項16に記載のシステム。
【請求項18】
前記管理エンジンは、前記コンピュータデバイスの無効化状態を指示するメッセージを前記盗難管理サーバに送信する、請求項17に記載のシステム。
【請求項19】
前記管理エンジンは、前記システムが盗難モードであるときに、無線広域ネットワークを介して前記盗難管理サーバに前記コンピュータデバイスの場所を送信する請求項16に記載のシステム。
【請求項20】
前記盗難管理サーバおよび前記コンピュータデバイスは、コンピュータシステムのユーザまたはホストオペレーティングシステムに依存せずにメッセージを送受信する請求項14に記載のシステム。
【請求項21】
サイドバンドバス上の無線ネットワークインターフェースからのロックメッセージを受信するとともに、コンピュータデバイスの1以上の構成要素を無効化させる管理部を備え、
前記ロックメッセージは、リモートサーバから受信され、前記リモートサーバは、前記コンピュータデバイスの盗難を指示するOOBメッセージに応じて、前記ロックメッセージを生成する装置。
【請求項22】
前記ロックメッセージのペイロードは、アプリケーションヘッダを備える請求項21に記載の装置。
【請求項23】
前記アプリケーションヘッダは、ベンダ識別子および事業者アドレスを備える請求項22に記載の装置。
【請求項24】
前記無線ネットワークインターフェースは、前記メッセージの一部をチェックして前記メッセージが携帯発信SMSであるかを判定する請求項21に記載の装置。
【請求項25】
前記無線ネットワークインターフェースは、前記メッセージの一部をチェックして前記メッセージが、前記メッセージの発信元と異なる発信元からであるかを判定する請求項21に記載の装置。
【請求項26】
前記無線ネットワークインターフェースは、3G、WiMAX(登録商標)、ブルートゥース(登録商標)、無線周波数、WiFi、または米国電気電子学会(IEEE)802.11nの1以上に従って通信する請求項21に記載の装置。
【請求項27】
プロセッサ上で実行されたときに、前記プロセッサが、
コンピュータデバイスの盗難を指示するアウトオブバンド通知(OOB通知)を受信することと、
無線広域ネットワークを介して、前記盗難を表す盗難メッセージを前記コンピュータデバイスに送信することと、
を実行するように構成する1以上の命令を備え、
前記コンピュータデバイスの少なくとも1つの構成要素は、前記盗難メッセージの受信に応じて無効化される、コンピュータ可読媒体。
【請求項28】
プロセッサ上で実行されたときに、前記プロセッサが、
企業ネットワークの盗難管理サーバ、またはサービス事業者、またはそれらの組み合わせで前記OOB通知を受信するように構成する1以上の命令をさらに備える請求項27に記載のコンピュータ可読媒体。
【請求項29】
プロセッサ上で実行されたときに、前記プロセッサが、
3Gネットワークを介して前記盗難管理サーバから前記コンピュータデバイスに前記盗難メッセージを送信するように構成する1以上の命令をさらに備える請求項28に記載のコンピュータ可読媒体。
【請求項30】
前記プロセッサ上で実行されたときに、前記プロセッサが、
3G SMSゲートウェイを介して前記盗難メッセージを前記コンピュータデバイスに送信するように構成する1以上の命令をさらに備える請求項29に記載のコンピュータ可読媒体。
【請求項1】
コンピュータデバイスの盗難を通知するアウトオブバンド通知(OOB通知)を受信することと、
無線広域ネットワークを介して前記盗難を表す盗難メッセージを前記コンピュータデバイスに送信することと、
を備え、
前記コンピュータデバイスの少なくとも1つの構成要素は、前記盗難メッセージの受信に応じて無効化される方法。
【請求項2】
前記通知を受信することは、企業ネットワークの盗難管理サーバ、またはサービス事業者、またはそれらの組み合わせで実行される、請求項1に記載の方法。
【請求項3】
前記盗難メッセージを送信することは、3Gネットワークを介して前記盗難メッセージを前記盗難管理サーバから前記コンピュータデバイスに送信することである請求項2に記載の方法。
【請求項4】
前記盗難メッセージを前記コンピュータデバイスに送信することは、3G ショートメッセージサービス(SMS)ゲートウェイを介して実行される請求項3に記載の方法。
【請求項5】
前記コンピュータデバイスの前記少なくとも1つの構成要素は、前記コンピュータデバイスのネットワークインターフェースカードにリモートロックメッセージを送信することに応じて無効化される請求項1に記載の方法。
【請求項6】
前記リモートロックメッセージは、3G SMSゲートウェイを介して前記コンピュータデバイスに送信される請求項5に記載の方法。
【請求項7】
サイドバンドバスを介して前記コンピュータデバイスのチップセットへの前記盗難メッセージの送信を引き起こすことをさらに備える請求項5に記載の方法。
【請求項8】
前記盗難メッセージは、入来SMSメッセージをフィルタリングすることに基づいて検知される請求項7に記載の方法。
【請求項9】
前記盗難メッセージを送信することは、前記コンピュータデバイスの前記チップセットによって前記盗難メッセージを受信したことに応じて、前記コンピュータデバイスのロックを引き起こす請求項8に記載の方法。
【請求項10】
前記無線広域ネットワークを介して前記コンピュータデバイスの位置を受信することをさらに備える請求項1に記載の方法。
【請求項11】
前記位置からの前記コンピュータデバイスの復帰に応じて、前記コンピュータデバイスにリモートアンロックメッセージを送信することをさらに備える請求項10に記載の方法。
【請求項12】
前記コンピュータデバイスのチップセットにアンロックメッセージを送信して前記コンピュータデバイスのアンロックを引き起こすことをさらに備える請求項1に記載の方法。
【請求項13】
前記盗難メッセージを送信することは、ソフトウェア内または前記コンピュータデバイスの基本入/出力システム(BIOS)に対してハードウェアセキュリティによる前記盗難メッセージの処理を引き起こす、請求項1に記載の方法。
【請求項14】
OOB通知に応じてコンピュータデバイスの盗難を検知する盗難管理サーバを備え、
前記盗難管理サーバは、メッセージサービスゲートウェイを介して、前記コンピュータデバイスの無線モジュールに盗難警報メッセージを送信する、システム。
【請求項15】
前記メッセージサービスゲートウェイは3G SMSゲートウェイであり、かつ前記盗難管理サーバは、インターネットプロトコル接続を使用して、前記3G SMSゲートウェイを介して、前記無線モジュールに前記盗難警報メッセージを送信する、請求項14に記載のシステム。
【請求項16】
前記コンピュータデバイスは、前記無線モジュールから前記盗難警報メッセージを受信するとともに、前記盗難警報メッセージの受信に応じて前記コンピュータデバイスを管理する管理エンジンを有する、請求項14に記載のシステム。
【請求項17】
前記管理エンジンは、前記無線モジュールから受信されたロックメッセージに応じて、前記コンピュータデバイスの少なくとも1つの構成要素を無効化する、請求項16に記載のシステム。
【請求項18】
前記管理エンジンは、前記コンピュータデバイスの無効化状態を指示するメッセージを前記盗難管理サーバに送信する、請求項17に記載のシステム。
【請求項19】
前記管理エンジンは、前記システムが盗難モードであるときに、無線広域ネットワークを介して前記盗難管理サーバに前記コンピュータデバイスの場所を送信する請求項16に記載のシステム。
【請求項20】
前記盗難管理サーバおよび前記コンピュータデバイスは、コンピュータシステムのユーザまたはホストオペレーティングシステムに依存せずにメッセージを送受信する請求項14に記載のシステム。
【請求項21】
サイドバンドバス上の無線ネットワークインターフェースからのロックメッセージを受信するとともに、コンピュータデバイスの1以上の構成要素を無効化させる管理部を備え、
前記ロックメッセージは、リモートサーバから受信され、前記リモートサーバは、前記コンピュータデバイスの盗難を指示するOOBメッセージに応じて、前記ロックメッセージを生成する装置。
【請求項22】
前記ロックメッセージのペイロードは、アプリケーションヘッダを備える請求項21に記載の装置。
【請求項23】
前記アプリケーションヘッダは、ベンダ識別子および事業者アドレスを備える請求項22に記載の装置。
【請求項24】
前記無線ネットワークインターフェースは、前記メッセージの一部をチェックして前記メッセージが携帯発信SMSであるかを判定する請求項21に記載の装置。
【請求項25】
前記無線ネットワークインターフェースは、前記メッセージの一部をチェックして前記メッセージが、前記メッセージの発信元と異なる発信元からであるかを判定する請求項21に記載の装置。
【請求項26】
前記無線ネットワークインターフェースは、3G、WiMAX(登録商標)、ブルートゥース(登録商標)、無線周波数、WiFi、または米国電気電子学会(IEEE)802.11nの1以上に従って通信する請求項21に記載の装置。
【請求項27】
プロセッサ上で実行されたときに、前記プロセッサが、
コンピュータデバイスの盗難を指示するアウトオブバンド通知(OOB通知)を受信することと、
無線広域ネットワークを介して、前記盗難を表す盗難メッセージを前記コンピュータデバイスに送信することと、
を実行するように構成する1以上の命令を備え、
前記コンピュータデバイスの少なくとも1つの構成要素は、前記盗難メッセージの受信に応じて無効化される、コンピュータ可読媒体。
【請求項28】
プロセッサ上で実行されたときに、前記プロセッサが、
企業ネットワークの盗難管理サーバ、またはサービス事業者、またはそれらの組み合わせで前記OOB通知を受信するように構成する1以上の命令をさらに備える請求項27に記載のコンピュータ可読媒体。
【請求項29】
プロセッサ上で実行されたときに、前記プロセッサが、
3Gネットワークを介して前記盗難管理サーバから前記コンピュータデバイスに前記盗難メッセージを送信するように構成する1以上の命令をさらに備える請求項28に記載のコンピュータ可読媒体。
【請求項30】
前記プロセッサ上で実行されたときに、前記プロセッサが、
3G SMSゲートウェイを介して前記盗難メッセージを前記コンピュータデバイスに送信するように構成する1以上の命令をさらに備える請求項29に記載のコンピュータ可読媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2010−244538(P2010−244538A)
【公開日】平成22年10月28日(2010.10.28)
【国際特許分類】
【外国語出願】
【出願番号】特願2010−75999(P2010−75999)
【出願日】平成22年3月29日(2010.3.29)
【出願人】(591003943)インテル・コーポレーション (1,101)
【Fターム(参考)】
【公開日】平成22年10月28日(2010.10.28)
【国際特許分類】
【出願番号】特願2010−75999(P2010−75999)
【出願日】平成22年3月29日(2010.3.29)
【出願人】(591003943)インテル・コーポレーション (1,101)
【Fターム(参考)】
[ Back to top ]