本申請(qǐng)涉及用于對(duì)平臺(tái)資源進(jìn)行域認(rèn)證控制的方法、裝置、系統(tǒng)和計(jì)算機(jī)程序產(chǎn)品。平臺(tái)控制下的資源是依據(jù)由目錄服務(wù)集中管理的訪問(wèn)控制規(guī)則來(lái)進(jìn)行管理的。通過(guò)要求對(duì)用戶訪問(wèn)平臺(tái)資源的授權(quán)而統(tǒng)一地應(yīng)用安全策略,其中,平臺(tái)資源包括硬盤(pán)驅(qū)動(dòng)器、閃存存儲(chǔ)器、傳感器、網(wǎng)絡(luò)控制器以及功率狀態(tài)控制器。
【技術(shù)實(shí)現(xiàn)步驟摘要】
【國(guó)外來(lái)華專(zhuān)利技術(shù)】
概括地說(shuō),本申請(qǐng)公開(kāi)內(nèi)容涉及控制對(duì)計(jì)算平臺(tái)的資源的訪問(wèn)。
技術(shù)介紹
企業(yè)數(shù)據(jù)正變得越來(lái)越具有移動(dòng)性、分布性且豐富性。通常,數(shù)據(jù)是從物理安全的設(shè)施中取出的,以有助于適應(yīng)行駛中的或具有靈活工作習(xí)慣的工作者的需要。由于企業(yè)集團(tuán)將數(shù)據(jù)帶到其它城市、州或國(guó)家,這些數(shù)據(jù)還在地理上具有分布性。在產(chǎn)生數(shù)據(jù)的速率方面以及在可呈現(xiàn)數(shù)據(jù)的多媒體格式方面,數(shù)據(jù)都具有豐富性。所有這些因素促使新型存儲(chǔ)媒質(zhì)、高帶寬子系統(tǒng)以及網(wǎng)絡(luò)連接存儲(chǔ)(它們要求數(shù)據(jù)在傳輸時(shí)以及在靜態(tài)情形下均得到保護(hù))的演進(jìn)發(fā)展。此外,計(jì)算平臺(tái)也正在變得更具移動(dòng)性、更小巧和輕便。用戶更可能會(huì)攜帶著多個(gè)計(jì)算設(shè)備。所有這些因素都提高了丟失及被竊的可能性,而這又轉(zhuǎn)換成增加的資金開(kāi)銷(xiāo)以及安全風(fēng)險(xiǎn)(歸因于用戶密碼字典式破解的可能性增大)。靜態(tài)數(shù)據(jù)加密技術(shù)禁止對(duì)存儲(chǔ)在丟失或被竊的存儲(chǔ)設(shè)備上的數(shù)據(jù)進(jìn)行未授權(quán)使用,從而避免這些數(shù)據(jù)在互聯(lián)網(wǎng)或其它網(wǎng)絡(luò)上擴(kuò)散。DAR加密用作一種自動(dòng)且快速的響應(yīng)機(jī)制,用以防止由于存儲(chǔ)設(shè)備不可避免地丟失和被竊而使存儲(chǔ)在這些設(shè)備上的數(shù)據(jù)丟失和被竊。不過(guò),DAR加密技術(shù)通常是使用單個(gè)密碼控制對(duì)加密密鑰的訪問(wèn)來(lái)實(shí)現(xiàn)的,該加密密鑰可用于解密存儲(chǔ)在經(jīng)加密的硬盤(pán)驅(qū)動(dòng)器上的數(shù)據(jù)。類(lèi)似地,通常使用單個(gè)密碼來(lái)保護(hù)硬盤(pán)驅(qū)動(dòng)器。能夠猜測(cè)出用戶密碼的竊賊能夠避開(kāi)這些常用保護(hù)機(jī)制。附圖說(shuō)明圖1是依據(jù)本專(zhuān)利技術(shù)的一個(gè)實(shí)施例的、配置為提供對(duì)平臺(tái)資源的域認(rèn)證控制的系統(tǒng)的框圖。圖2是示出了依據(jù)本專(zhuān)利技術(shù)的一個(gè)實(shí)施例,響應(yīng)于對(duì)用戶和/或平臺(tái)憑證的認(rèn)證而對(duì)經(jīng)加密的存儲(chǔ)設(shè)備進(jìn)行解鎖的流程圖。圖3是示出了依據(jù)本專(zhuān)利技術(shù)的一個(gè)實(shí)施例,響應(yīng)于對(duì)平臺(tái)的認(rèn)證而對(duì)供匿名用戶使用的資源進(jìn)行解鎖的流程圖。圖4是示出了依據(jù)本專(zhuān)利技術(shù)的一個(gè)實(shí)施例,響應(yīng)于對(duì)平臺(tái)和用戶二者的認(rèn)證而對(duì)授權(quán)給非匿名用戶使用的資源進(jìn)行解鎖的流程圖。圖5是依據(jù)本專(zhuān)利技術(shù)的一個(gè)實(shí)施例的、配置為提供對(duì)平臺(tái)資源的域認(rèn)證控制的系統(tǒng)的框圖。圖6示出了依據(jù)本專(zhuān)利技術(shù)的一個(gè)實(shí)施例的、用于實(shí)現(xiàn)安全分區(qū)以提供對(duì)平臺(tái)資源的域認(rèn)證控制的虛擬機(jī)環(huán)境。具體實(shí)施例方式本專(zhuān)利技術(shù)的實(shí)施例可以提供用于執(zhí)行對(duì)平臺(tái)資源的域認(rèn)證控制的方法、裝置、系統(tǒng)以及計(jì)算機(jī)程序產(chǎn)品。受平臺(tái)控制的資源受益于由目錄服務(wù)集中管理的較精細(xì)粒度訪問(wèn)控制規(guī)則。通過(guò)要求對(duì)用戶訪問(wèn)平臺(tái)資源(該平臺(tái)資源包括硬盤(pán)驅(qū)動(dòng)器、閃存存儲(chǔ)器、傳感器、網(wǎng)絡(luò)控制器以及功率狀態(tài)控制器)進(jìn)行授權(quán),可以統(tǒng)一地應(yīng)用安全策略。在一個(gè)實(shí)施例中,一種方法包括在為平臺(tái)加載操作系統(tǒng)之前,獲取所述平臺(tái)的域憑證;使用遠(yuǎn)離所述平臺(tái)的域控制器對(duì)所述域憑證進(jìn)行認(rèn)證;識(shí)別所述域憑證有權(quán)訪問(wèn)的所述平臺(tái)的資源;在為所述平臺(tái)加載所述操作系統(tǒng)之前,使用所述域憑證對(duì)所述平臺(tái)的所述資源進(jìn)行解鎖。所述域憑證可包括針對(duì)所述平臺(tái)的用戶的憑證和/或針對(duì)所述平臺(tái)的安全分區(qū)的憑證。使用所述域憑證對(duì)所述資源進(jìn)行解鎖可包括使用所述域憑證來(lái)獲取用于對(duì)存儲(chǔ)在所述資源上的數(shù)據(jù)進(jìn)行解密的密鑰;使用所述密鑰對(duì)存儲(chǔ)在所述資源上的所述數(shù)據(jù)進(jìn)行解密。識(shí)別所述域憑證有權(quán)訪問(wèn)的所述平臺(tái)的所述資源可包括檢查由所述域控制器維持的用于所述平臺(tái)的訪問(wèn)策略。對(duì)所述平臺(tái)的所述資源進(jìn)行解鎖可包括在所述域控制器與所述資源之間建立安全通信會(huì)話。對(duì)所述資源進(jìn)行解鎖可包括向所述資源供電。所述方法還可包括從所述域控制器獲取解鎖令牌,其中,對(duì)所述資源進(jìn)行解鎖包括使用所述解鎖令牌對(duì)所述資源進(jìn)行解鎖。所述資源可包括ATA存儲(chǔ)設(shè)備和芯片組控制資源中的至少一個(gè)。本申請(qǐng)還提供了一種系統(tǒng)和一種計(jì)算機(jī)程序產(chǎn)品,它們具有用于實(shí)現(xiàn)所述方法的指令。說(shuō)明書(shū)中對(duì)“一個(gè)實(shí)施例”或“實(shí)施例”的提及表示結(jié)合該實(shí)施例而描述的特定特征、結(jié)構(gòu)或特性可包括在本專(zhuān)利技術(shù)的至少一個(gè)實(shí)施例中。因此,在整個(gè)說(shuō)明書(shū)的各個(gè)位置中出現(xiàn)的短語(yǔ)“在一個(gè)實(shí)施例中”、“依據(jù)一個(gè)實(shí)施例”等并不一定全部指代相同的實(shí)施例。為進(jìn)行說(shuō)明,給出了具體配置和細(xì)節(jié),以提供對(duì)本專(zhuān)利技術(shù)的透徹理解。不過(guò),對(duì)本領(lǐng)域技術(shù)人員來(lái)說(shuō),顯而易見(jiàn)的是,本專(zhuān)利技術(shù)的實(shí)施例也可以不用本申請(qǐng)給出的具體細(xì)節(jié)來(lái)實(shí)現(xiàn)。此外,為避免混淆本專(zhuān)利技術(shù),可以省略或簡(jiǎn)化公知特征。在整個(gè)該說(shuō)明書(shū)中可以給出各個(gè)示例。這些示例僅僅是對(duì)本專(zhuān)利技術(shù)的特定實(shí)施例的描述。本專(zhuān)利技術(shù)的范圍并不限于所給出的示例。圖1是依據(jù)本專(zhuān)利技術(shù)的一個(gè)實(shí)施例的、配置為提供對(duì)平臺(tái)資源的域認(rèn)證控制的平臺(tái)100的框圖。平臺(tái)100的資源由早先在平臺(tái)100的初始化期間可用的兩種不同類(lèi)型的資源(高級(jí)技術(shù)附件(ATA)設(shè)備180和ME控制資源190)示出。ATA設(shè)備180表示諸如平臺(tái)100的硬盤(pán)驅(qū)動(dòng)器之類(lèi)的資源,其中該硬盤(pán)驅(qū)動(dòng)器用作平臺(tái)固件及軟件(其用于執(zhí)行系統(tǒng)初始化)的存儲(chǔ)設(shè)備。由于保護(hù)機(jī)制能夠到位之前的引導(dǎo)過(guò)程期間的脆弱性,通常使用硬盤(pán)驅(qū)動(dòng)器密碼和/或全磁盤(pán)加密來(lái)保護(hù)提供平臺(tái)初始化固件及軟件的硬盤(pán)驅(qū)動(dòng)器。不過(guò),如果竊賊能夠猜到硬盤(pán)驅(qū)動(dòng)器密碼或經(jīng)加密的磁盤(pán)密碼,那么在沒(méi)有進(jìn)一步保護(hù)機(jī)制(例如本專(zhuān)利技術(shù)所設(shè)置的保護(hù)機(jī)制)的情況下,硬盤(pán)驅(qū)動(dòng)器上的數(shù)據(jù)可能會(huì)被訪問(wèn)。ME控制資源190表示由企業(yè)數(shù)據(jù)保護(hù)方案管理的資源,其中該企業(yè)數(shù)據(jù)保護(hù)方案實(shí)現(xiàn)成芯片組/安全分區(qū)105中的管理功能。例如,ME控制資源190可包括傳感器、功率狀態(tài)控制器、網(wǎng)絡(luò)控制器以及閃存存儲(chǔ)器,該閃存存儲(chǔ)器提供在平臺(tái)初始化期間使用的第三方固件及軟件。由于平臺(tái)初始化期間的脆弱性以及此類(lèi)第三方固件代碼的病毒感染的可能性,ME控制資源190被置于遠(yuǎn)離平臺(tái)100操作的企業(yè)管理軟件的控制之下。因此,可以經(jīng)由企業(yè)管理軟件與在平臺(tái)100上的安全分區(qū)(例如芯片組/安全分區(qū)105)內(nèi)操作的管理引擎140之間的安全通道,來(lái)更新ME控制資源190。下面將進(jìn)一步詳細(xì)描述管理引擎140結(jié)合企業(yè)管理軟件的操作。BI0S/PBA (預(yù)引導(dǎo)認(rèn)證)模塊110包括在系統(tǒng)初始化期間使用的平臺(tái)固件。最初為IBM PC兼容計(jì)算機(jī)開(kāi)發(fā)的基本輸入/輸出系統(tǒng)(BIOS)(也稱(chēng)為系統(tǒng)BIOS)是定義了固件接口的事實(shí)標(biāo)準(zhǔn)。BIOS是引導(dǎo)固件,其被設(shè)計(jì)成在通電時(shí)由PC運(yùn)行的第一代碼。BIOS的初始功能是識(shí)別、測(cè)試和初始化系統(tǒng)設(shè)備(例如視頻顯卡、硬盤(pán)以及軟盤(pán)和其它硬件)。該初始化將機(jī)器預(yù)備到一種已知狀態(tài),從而使得能夠加載、執(zhí)行諸如存儲(chǔ)在兼容媒質(zhì)上的操作系統(tǒng)之類(lèi)的軟件,并且向該軟件給予PC控制。該過(guò)程被稱(chēng)為引導(dǎo)或啟動(dòng)(其為引導(dǎo)程序的簡(jiǎn)稱(chēng)XBI0S/PBA110包括預(yù)引導(dǎo)認(rèn)證模塊,后者用于在引導(dǎo)操作系統(tǒng)之前獲取用戶憑證。BI0S/PBA110包括認(rèn)證客戶端120和高級(jí)技術(shù)附件(ATA)命令模塊130,以便與平臺(tái)資源ATA設(shè)備180進(jìn)行通信。認(rèn)證客戶端120經(jīng)由管理引擎140的帶外網(wǎng)絡(luò)棧144執(zhí)行與域控制器170的域認(rèn)證。域認(rèn)證可以使用僅平臺(tái)身份、僅用戶身份或者平臺(tái)身份與用戶身份的組合來(lái)進(jìn)行。在本申請(qǐng)中,認(rèn)證客戶端120將被描述成使用Kerberos身份管理基礎(chǔ)設(shè)施與域控制器170和平臺(tái)100的其它組件進(jìn)行交互,但本專(zhuān)利技術(shù)并不限于此。還可以使用其它身份管理基礎(chǔ)設(shè)施,例如,SAML (安全斷言標(biāo)記語(yǔ)言)、Card Space (卡空間)、自由聯(lián)盟、公共密鑰等等。此外,雖然認(rèn)證客戶端120被示為實(shí)現(xiàn)成BI0S/PBA模塊110的一部分,但是認(rèn)證客戶端120可以替代地實(shí)現(xiàn)成管理引擎140的一部分,或者平臺(tái)100的另一安全分區(qū)的一部分本文檔來(lái)自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
【技術(shù)特征摘要】
【國(guó)外來(lái)華專(zhuān)利技術(shù)】2010.07.14 US 12/836,1561.一種計(jì)算機(jī)實(shí)現(xiàn)的方法,包括 在為平臺(tái)加載操作系統(tǒng)之前,獲取所述平臺(tái)的域憑證; 使用遠(yuǎn)離所述平臺(tái)的域控制器對(duì)所述域憑證進(jìn)行認(rèn)證; 識(shí)別所述域憑證有權(quán)訪問(wèn)的所述平臺(tái)的資源;以及 在為所述平臺(tái)加載所述操作系統(tǒng)之前,使用所述域憑證對(duì)所述平臺(tái)的所述資源進(jìn)行解鎖。2.根據(jù)權(quán)利要求1所述的方法,其中,所述域憑證包括下述中的至少一個(gè)針對(duì)所述平臺(tái)的用戶的憑證,以及針對(duì)所述平臺(tái)的安全分區(qū)的憑證。3.根據(jù)權(quán)利要求1所述的方法,還包括 使用所述域憑證來(lái)獲取用于對(duì)存儲(chǔ)在所述資源上的數(shù)據(jù)進(jìn)行解密的密鑰;以及 使用所述密鑰對(duì)存儲(chǔ)在所述資源上的所述數(shù)據(jù)進(jìn)行解密。4.根據(jù)權(quán)利要求1所述的方法,其中,識(shí)別所述域憑證有權(quán)訪問(wèn)的所述平臺(tái)的所述資源包括 檢查由所述域控制器維持的用于所述平臺(tái)的訪問(wèn)策略。5.根據(jù)權(quán)利要求1所述的方法,其中,對(duì)所述平臺(tái)的所述資源進(jìn)行解鎖包括 在所述域控制器與所述資源之間建立安全通信會(huì)話。6.根據(jù)權(quán)利要求1所述的方法,其中,對(duì)所述資源進(jìn)行解鎖包括 向所述資源供電。7.根據(jù)權(quán)利要求1所述的方法,還包括 從所述域控制器獲取解鎖令牌,其中,對(duì)所述資源進(jìn)行解鎖包括使用所述解鎖令牌對(duì)所述資源進(jìn)行解鎖。8.根據(jù)權(quán)利要求1所述的方法,其中,所述資源包括ATA設(shè)備和芯片組控制資源中的至少一個(gè)。9.一種系統(tǒng),包括 至少一個(gè)處理器;以及 耦合到所述至少一個(gè)處理器的存儲(chǔ)器,所述存儲(chǔ)器包括用于執(zhí)行以下操作的指令 在為平臺(tái)加載操作系統(tǒng)之前,獲取所述平臺(tái)的域憑證; 使用遠(yuǎn)離所述平臺(tái)的域控制器對(duì)所述域憑證進(jìn)行認(rèn)證; 識(shí)別所述域憑證有權(quán)訪問(wèn)的所述平臺(tái)的資源;以及 在為所述平臺(tái)加載所述操作系統(tǒng)之前,使用所述域憑證對(duì)所述平臺(tái)的所述資源進(jìn)行解鎖。10.根據(jù)權(quán)利要求9所述的系統(tǒng),其中,所述域憑證包括下述中的至少一個(gè)針對(duì)所述平臺(tái)的用戶的憑證,以及針對(duì)所述平臺(tái)的安全分區(qū)的憑證。11.根據(jù)權(quán)利要求9所述的系統(tǒng),其中,所述指令還包括用于執(zhí)行以下操作的指令 使用所述域憑證來(lái)獲取用于對(duì)存儲(chǔ)在所述資源上的數(shù)據(jù)進(jìn)行解密的密鑰;以及 使用所述密鑰對(duì)存儲(chǔ)在所述資源上的所述數(shù)據(jù)進(jìn)行解密。12.根據(jù)權(quán)利要求9所述的系統(tǒng),其中,識(shí)別所述域憑證有權(quán)訪問(wèn)的所述平臺(tái)的所述資源包括 檢查由所述域控制器維持的用于所述平臺(tái)的訪問(wèn)策略。13.根據(jù)權(quán)利要求9所述的系統(tǒng),其中,對(duì)所述平臺(tái)的所述資源進(jìn)行解鎖包括 在所述域控制器與所述資源之間建立安全通信會(huì)話。14.根據(jù)權(quán)利要求9所述的系統(tǒng),其中,對(duì)所述資源進(jìn)行解鎖包括 向...
【專(zhuān)利技術(shù)屬性】
技術(shù)研發(fā)人員:N·M·史密斯,S·L·格羅布曼,C·T·歐文,
申請(qǐng)(專(zhuān)利權(quán))人:英特爾公司,
類(lèi)型:
國(guó)別省市:
還沒(méi)有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。