CN101539975A - 使用广域网络连接保护资产的系统和方法 - Google Patents
使用广域网络连接保护资产的系统和方法 Download PDFInfo
- Publication number
- CN101539975A CN101539975A CN200910128565A CN200910128565A CN101539975A CN 101539975 A CN101539975 A CN 101539975A CN 200910128565 A CN200910128565 A CN 200910128565A CN 200910128565 A CN200910128565 A CN 200910128565A CN 101539975 A CN101539975 A CN 101539975A
- Authority
- CN
- China
- Prior art keywords
- password
- information handling
- handling system
- powers
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
一种使用广域网络连接保护资产的系统和方法。提供一种检测网络适配器是否已经被从计算机系统中移除的系统、方法及程序产品。如果例如无线网络适配器等的网络适配器已经被从计算机系统中移除,则在计算机系统的非易失性存储器区中设置明显损害指示器(例如,明显损害位)。另外,根据硬盘驱动器密码策略,硬盘驱动器的密码将被设置为一个与当前不同的密码。所述硬盘驱动器密码用于控制对在硬盘驱动器上存储的文件的访问。在一个实施例中,还将上电密码改变为新的密码,使得用户为了访问在计算机系统上存储的文件,当对计算机系统初始化时必须输入新的上电密码。
Description
技术领域
本发明涉及使用信息处理系统的广域网络连接来保护信息和计算机资产的系统、方法及程序产品。
背景技术
对于大多数各种类型的机构来说,资产保护具有日益增长的重要性。不仅是例如膝上型电脑及附件等硬件资产是有价值的并且是重要的需要保护的,而且经常在计算机系统中存储的信息资产甚至是更有价值的。信息资产可以包括机构特别有价值的自主知识产权。如果该种有价值的信息落入例如竞争者等不合适的人手中,则该机构有可能遭受不能挽回的损害。
在保护资产和信息资产方面,使用持续(always-on)保护员工网络的技术是有效的。可以将指令发送到例如膝上型电脑等信息处理系统来指示计算机锁定系统。此外,具有GPS能力的系统可以使用网络来通知用户资产的位置。这样如果系统丢失、被盗或以其它方式无法得知该系统的踪迹,则可以指示系统进入被锁定模式以保护信息资产。使用GPS技术,系统还可以指示系统的所有者系统的踪迹,从而该所有者或通过法律执行可以找回该系统。然而,持续(always-on)资产保护需要解决的问题是:如果用于与系统通信的网络适配器被移走或在另外的情况下无效,则有可能阻碍该保护。
发明内容
已经揭示了通过检测网络适配器是否已经被从计算机系统中移除来解决前述问题。如果例如无线网络适配器等网络适配器已经被从计算机系统中移除,则在计算机系统的非易失性存储器区中设置明显损害(tamper evident)指示器(例如,明显损害位)。另外,根据硬盘驱动器密码策略将硬盘驱动器密码设置为不同的密码。硬盘驱动器密码控制在硬盘驱动器上存储文件的访问权限。在一个实施例中,将硬盘驱动器密码改变为管理密码。这样,例如计算机系统的盗窃者等恶意用户,如果企图通过移除网络适配器来阻碍资产保护机制,将因为没有新的硬盘驱动器密码(例如,管理密码),而不能访问在硬盘驱动器上存储的文件。在一个实施例中,还将上电密码改变为新的密码(例如,管理密码)。在该实施例中,为了访问在计算机系统上存储的文件,当对计算机系统初始化时用户将必须输入新的上电密码。
前述内容是本发明的概要,从而前述必要地包括简化、概括及细节的省略,因此,本领域技术人员将理解前述内容仅是说明性的而非意欲以任何方式的限制。在下面阐述的非限制性具体实施方式中,由权利要求单独限定的本发明的其它方面、发明特征及优点将变得清楚。
附图说明
通过参考附图,可以更好的理解本发明,并且使得对于本领域的技术人员本发明的各个目的、特征及优点清楚,其中:
图1是可以执行本文描述的方法的数据处理系统的框图;
图2提供图1中所示的信息处理系统环境的扩展,以说明可以在工作于网络环境的各种各样的信息处理系统中执行本文描述的方法;
图3是示出具有通过计算机网络接收远程安全指令的网络适配器的信息处理系统的系统示意图;
图4是示出当网络适配器被移除时设置由信息处理系统使用的策略所采用的步骤的流程图;
图5是示出当网络适配器被移除而信息处理系统正在工作时采用的步骤的流程图;以及
图6是示出为了检查损害及网络适配器的存在而在初始化过程中信息处理系统采取的步骤的流程图。
具体实施方式
在下面的实施方式和附图中阐述某些特定的细节以提供对本发明的各种实施例的彻底的理解。然而,在下面揭示的内容中不阐述经常与计算和软件技术相关联的某些公知的细节,以避免不必要地使本发明的各种实施例不清晰。此外,相关领域的普通技术人员将理解,没有下面描述的一个或多个细节,他们也可以实施本发明的其它实施例。最后,虽然在下面揭示的内容中参考步骤和顺序描述了各种方法,该描述同样是用于提供本发明的实施例的清楚的执行,并且方法中的步骤和顺序不应被当作实施本发明所必须的。相反,下面的描述意欲提供本发明的示例的具体实施方式,并且不应被当作限制本发明本身。更确切地,任意数量的改变可能落入由说明书后附的权利要求所限定的本发明的范围。
如上面阐述的,下面的具体实施方式一般将按照如上所述的发明内容,如果必要,则进一步说明和扩展各方面的限定及本发明的实施例。为了该目的,具体实施方式首先阐述图1中的计算环境,该环境适于执行与本发明关联的软件和/或硬件技术。在图2中说明被联网的环境作为基本计算环境的扩展,以强调穿越多个分散的设备可以执行该新的计算技术。
图1说明信息处理系统100,信息处理系统100是能够执行本文描述的计算操作的计算机系统的简化示例。信息处理系统100包括被连接到处理器接口总线112的一个或多个处理器110。处理器接口总线112将处理器110连接到北桥115,北桥115还已知作为内存控制中心(Memory Controller Hub,MCH)。北桥115被连接到系统存储器120上并提供处理器访问系统存储器的手段(means)。图形控制器125也被连接到北桥115。在一个实施例中,PCI高速总线118用于将北桥115连接到图形控制器125。图形控制器125被连接到例如计算机监视器等显示设备130。
使用总线119将北桥115和南桥135互相连接。在一个实施例中,总线119是以高速在北桥115和南桥135之间的各个方向传输数据的直接媒体接口(DMI)总线。在另一个实施例中,外设部件互连(PCI)总线用于连接北桥和南桥。也作为I/O控制中心(I/O Controller Hub,ICH)已知的南桥135是芯片,该芯片一般实现在比北桥提供的能力低的速度下操作的能力。南桥135典型地提供用于连接各种组件的各种总线。这些总线可以包括PCI和PCI高速总线、ISA总线、系统管理总线(SM总线或SMB)、短管脚计数(LPC)总线。LPC总线通常用于连接例如引导ROM 196和“遗留”I/O设备(使用“超级I/O”芯片)等低带宽设备。“遗留”I/O设备198可以包括串行和并行端口、键盘、鼠标、软盘控制器。LPC总线还用于将南桥135连接到可信平台模块(TPM)195。通常在南桥135中包括的其它组件包括直接存储器存取(DMA)控制器、可编程中断控制器(PIC)、存储设备控制器,存储设备控制器使用总线184将南桥135连接到例如混合硬盘驱动器等非易失性存储设备300。
高速卡155是用于将热插拨设备连接到信息处理系统的槽。当使用通用串行总线(USB)和PCI高速总线两者将高速卡155连接到南桥135时,高速卡155支持PCI高速总线和USB连通性。南桥135包括对连接到USB的设备提供USB连通性的USB控制器140。这些设备包括网络摄影机(照相机)150、红外(IR)接收器148、提供无线个人局域网(PAN)的蓝牙设备146、键盘和触摸板144以及例如鼠标、可移动非易失性存储设备145、调制解调器、网卡、ISDN连接器、传真机、打印机、USB集线器及许多其它类型的USB连接设备等其它各种各样的USB连接设备142。虽然示出可移动非易失性存储设备145作为USB连接设备,但是可以使用例如Firewire接口等不同的接口来连接可移动非易失性存储设备145。可移动非易失性存储设备145还可以是例如在图3-6中所示的混合盘驱动器300等混合盘驱动器。
经由PCI或PCI高速总线172将无线局域网(LAN)设备175连接到南桥135。LAN设备175典型地执行空中调制技术的IEEE 802.11标准之一,该调制技术对信息处理系统100和其它计算机系统或设备之间的无线通信都使用相同的协议。使用SPI总线178将EFI-Boot管理器180连接到南桥135。使用串行ATA(SATA)总线188将光学存储设备190连接到南桥135。串行ATA适配器和各种设备通过高速串行链路进行通信。串行ATA总线还用于将南桥135连接到例如硬盘驱动器等其它形式的存储设备。经由总线158将例如声卡等音频电路160连接到南桥135。音频电路160用于提供例如音频线性输入和光学数字音频输入端口162、光学数字输出和耳机插孔164、内置扬声器166及内置麦克风168等性能。使用例如PCI或PCI高速总线将以太网控制器170连接到南桥135。以太网控制器170用于将信息处理系统100与例如局域网(LAN)、因特网及其它公共和私有计算机网络等计算机网络连接。
虽然图1示出一种信息处理系统,但是信息处理系统可以采用多种形式。例如,信息处理信息可以采用台式、服务器、便携式、膝上型、笔记本或其它形式要素的计算机或数据处理系统的形式。另外,信息处理系统可以采用其它的形式要素,例如个人数字助理(PDA)、游戏设备、ATM机、便携式电话设备、通信设备或包括处理器和存储器的其它设备。
提供安全功能的图1中所示的和本文描述的可信平台模块(TPM)195只是硬件安全模块(HSM)的一个示例。因此,本文描述和说明的TPM包括任意类型的HSM,该HSM包括但不限于符合被称为“可信平台模块规范(TPM)版本1.2”的可信计算组(TCG)标准的硬件安全设备。TPM是可以被并入任意数量的信息处理系统的硬件安全子系统,该种信息处理系统是例如图2中所概述的这些信息处理系统。
图2提供图1中示出的信息处理系统环境的扩展,以说明可以在工作于网络环境的各种各样的信息处理系统中执行本文描述的方法。信息处理设备的类型的范围从例如手持计算机/移动电话210等小的手持设备到例如大型计算机270等大型系统。手持计算机210的示例包括个人数字助理(PDA)、例如MP3播放器、便携式电视及光盘播放器等个人娱乐设备。信息处理系统的其它示例包括笔输入(pen)或写字板输入(tablet)计算机220、膝上(laptop)或笔记本计算机230、工作站240、个人计算机系统250及服务器260。信息处理系统280表示在图2中没有独立示出的其它类型的信息处理系统。如所示出的,使用计算机网络200可以将各种信息处理系统网络连接在一起。可以用于互连各种信息处理系统的计算机网络类型包括局域网(LAN)、无线局域网(WLAN)、因特网、公共交换电话网(PSTN)、其它无线网络以及可用于将信息处理系统互连的其它网络拓扑。许多信息处理系统包括例如硬盘驱动器和/或非易失性存储器等非易失性数据存储器。以分离的非易失性数据存储器来描述图2中示出的一些信息处理系统(以非易失性数据存储器265示出服务器260,以非易失性数据存储器275示出大型计算机270,并且以非易失性数据存储器285示出信息处理系统280)。非易失性数据存储器可以是各种信息处理系统外部的组件或各种信息处理系统之一的内部组件。另外,使用各种技术(例如,将可移动的非易失性存储设备145连接到USB端口或信息处理系统的其它连接器)可以在两个或多个信息处理系统中共享可移动的非易失性存储设备145。
图3是示出具有通过计算机网络接收远程安全指令的网络适配器的信息处理系统的系统示意图。信息处理系统100包括例如所示出的无线广域网(WWAN)卡等网络适配器300。在优选实施例中,无论何时对信息处理系统上电,网络适配器都开启,使得在该信息处理系统已经丢失或被盗的情况下,信息处理系统能够接收到指令来锁定该信息处理系统,从而该信息处理系统的硬盘驱动器中存储的信息无法被访问。本文使用的“网络适配器”包括例如使用计算机网络200等允许信息处理系统与其它信息处理系统通信的任意有线或无线的网络适配器。网络适配器的示例包括以太网适配器、令牌环网适配器、无线802.11型适配器及允许信息处理系统连接到其它信息处理系统和/或例如计算机网络200等计算机网络的任意其它适配器。
例如信息处理系统的所有者或在机构中负责资产保护和安全的IT专业人员等管理员305将指令310发送到信息处理系统。例如“锁定系统”等指令310通过例如因特网等计算机网络200被传输并且被信息处理系统的网络适配器300接收到。显然,网络适配器300是管理员305和信息处理系统100之间的通信路径中的关键点。信息处理系统100的例如盗窃者等恶意用户有可能企图通过移除或以其它方式使网络适配器300无效来阻碍接收被设计为保护在信息处理系统100中存储的资产的指令。然而,当该情况出现时,信息处理系统识别出网络适配器已经被移除或被无效,并且通过采取如图4到6所描述的各种安全措施来作出响应。
图4是示出当网络适配器被移除时设置由信息处理系统使用的策略所采用的步骤的流程图。通过用户410执行该设置。用户410可以仅是建立信息处理系统的用户(例如,管理员或IT专业人员),在信息处理系统被建立之后分配给信息处理系统不同的用户。如果机构希望被分配的用户不知道当明显损害时系统使用的密码,而只有负责保护该机构的信息资产的IT专业人员知道该密码,上述情况成立。
处理开始于图4中的400,在步骤420,信息处理系统接收到硬盘驱动器密码,如果网络适配器被从信息处理系统中移除则要使用该硬盘驱动器密码。例如,可以建立策略以将硬盘驱动器密码设置为系统的管理密码(SVP)、上电密码(POP)或其它密码。在一个实施例中,信息处理系统的用户不知道该密码(例如SVP),但是机构中的IT部门知道该密码。该实施例防止用户有意或无意地对例如系统的盗窃者等其它人泄露密码。在步骤425,在非易失性存储器区450中存储硬盘驱动器密码策略,当信息处理系统被初始化时执行的初始化处理(例如,BIOS)能够访问该非易失性存储器区450。
在步骤430,信息处理系统接收到如果网络适配器被从信息处理系统中移除时将要使用的新的上电密码。例如,可以建立该策略以将硬盘驱动器密码设置为系统的管理密码(SVP)或其它密码。在一个实施例中,信息处理系统的用户不知道该密码(例如SVP),但是机构中的IT部门知道该密码。该实施例防止用户有意或无意地对例如系统的盗窃者等其它人泄露密码。在步骤435,在初始化处理能够访问的非易失性存储器区450中存储上电密码策略。在步骤440,将例如明显损害位等明显损害指示器初始化为“NO”(例如,“0”)来指示关于信息处理系统的网络适配器没有损害是明显的。该明显损害指示器被存储在非易失性存储器450中。当检测到损害时,该明显损害位将被设置为“YES”(例如,“1”),并且初始化处理将通过如图5和6中描述的设置硬盘驱动器密码和上电密码来采取适当的安全措施以保护信息处理系统。此后,设置处理在495结束。
图5是示出当信息处理系统正在工作而网络适配器被移除时采用的步骤的流程图。如本文使用的,当关于信息处理系统的网络适配器使用的术语“被移除”不仅包括使网络适配器无效(例如,关闭网络适配器而使得无法接收网络通信、损坏网络适配器或以其它方式使网络适配器无效)从而将网络适配器从与信息处理系统的通信中“移除”,还包括从信息处理系统中物理地移除网络适配器(例如,从信息处理系统中移除无线广域网(WWAN)卡)。
处理开始于图5中的500,在步骤510,检查网络适配器以确保网络适配器没有从信息处理系统中被移除(被物理地移除或无效)。确定网络适配器是否在信息处理系统中电存在(electrically present)(确定520)。如果例如无线广域网(WWAN)卡等网络适配器在信息处理系统中电存在,则确定520前进到“是”分支515以继续检查网络适配器的存在(例如,每过几秒钟就检查无线广域网卡的存在)。
另一方面,在检测到网络适配器已经被移除(例如,物理地移除、无效、损害或以其它方式不能接收到网络通信)时,则确定520前进到“否”分支525以进行适当的处理。在步骤530,在非易失性存储器450中设置明显损害指示器(例如,明显损害位等)以指示对于网络适配器损害已经发生(例如,通过将指示器设置为“YES”、“TRUE”、“1”或用于指示损害的无论哪一种值)。在步骤535,从非易失性存储器450中读取指示如果检测到损害则应该怎样设置硬盘驱动器密码的硬盘密码策略(例如,该策略可以将硬盘驱动器密码设置为“管理”密码或某些其它的密码)。在步骤540,从非易失性存储器450中读取上电密码策略。上电密码策略指示如果检测到损害则应该怎样设置上电密码(例如,将一般的上电密码改变为管理密码,在上电时序过程中既需要管理密码也需要一般的上电密码,等等)。在步骤545,根据在步骤535中读取的硬盘驱动器密码策略来改变保护存储在一个或多个硬盘驱动器550中的文件的硬盘驱动器密码555。在步骤560,根据在步骤540中读取的上电密码策略来改变在非易失性存储器中存储的上电密码570。在根据适当的策略设置硬盘驱动器密码和上电密码之后,在步骤580,系统被停止运行,需要用户(例如,盗窃该信息处理系统的人,等等)重新启动该系统。在预定处理590,由用户重新启动该系统,在启动过程(图6中描述的)中,采取步骤以保护信息处理系统及在该系统中存储的信息。
图6是示出为了检查损害及网络适配器的存在而在初始化过程中信息处理系统采取的步骤的流程图。处理开始于图6中的600,在步骤602,检查在非易失性存储器450中存储的明显损害指示器以查明在信息处理系统的早先使用过程中是否检测到关于网络适配器的损害。确定明显损害指示器是否指示网络适配器的损害(例如,移除、损坏、无效等)已经发生(确定604)。如果基于该指示器损害是明显的,则确定604前进到图6中的“是”分支606,在步骤608,根据上电密码策略(例如,需要管理密码(SVP)、需要SVP和一般的上电密码两者,等等),启动时序要求来自用户的一个或多个上电密码。在步骤610,验证用户提供的密码。确定由用户提供的密码响应是否是正确密码(确定612)。如果一个或多个密码不正确,则确定612前进到“否”分支614,处理返回并要求用户重新输入密码。在一个实施例中,包括时间延迟,从而盗窃者或恶意用户无法迅速地尝试猜测密码(例如,使用黑客程序等)。在另一实施例中,在分支614的每一个循环中增加时间延迟,进一步阻止盗窃者或未授权用户的企图。另一方面,如果用户(例如,知道SVP的系统管理员、被授权的用户等)输入正确的密码,则确定612前进到“是”分支616,并且允许用户访问信息处理系统及在硬盘驱动器上存储的文件。
返回到确定604,如果明显损害指示器没有指示在早先使用信息处理系统的过程中发生了损害,则确定604前进到“否”分支620以确定在关闭信息处理系统时(在图6中示出的启动时序开始之前)网络适配器是否被移除(例如,物理地移除、无效、损坏或以其它方式不能接收网络通信)。在步骤622,检查网络适配器以查看网络适配器是否已经被从信息处理系统中移除(例如,物理地移除、无效、损坏或以其它方式不能接收网络通信)。确定网络适配器是否已经被移除(确定624)。如果网络适配器没有被移除(例如,网络适配器能够接收网络通信并没有被无效、损坏,等等),则确定624前进到图6上的“否”分支625,在步骤626,信息处理系统的一般的启动开始。信息处理系统的一般的启动包括用户输入一般的上电密码(如果对该系统已经建立了一个密码)。另外,注意,在信息处理系统的一般的操作过程中,如图5所示周期性地检查网络适配器的状态,从而如果在启动系统之后网络适配器被移除,就采取适当的步骤来保护信息处理系统和在该系统中存储的数据。
另一方面,如果检测到在开启信息处理系统之前网络适配器已经被移除(例如,物理地移除、无效、损坏或以其它方式不能接收网络通信),则确定624前进到“是”分支628以进行适当的处理。在步骤630,在非易失性存储器450中设置明显损害指示器(例如,明显损害位等),以指示对于网络适配器损害已经发生(例如,通过将该指示器设置为“YES”、“TRUE”、“1”或用于指示损害的无论哪一种值)。在步骤635,从非易失性存储器450中读取指示如果检测到损害则应该怎样设置硬盘驱动器密码的硬盘驱动器密码策略(例如,该策略可以将硬盘驱动器密码设置为“管理”密码或某些其它的密码)。在步骤640,从非易失性存储器450中读取上电密码策略。上电密码策略指示如果检测到损害则应该怎样设置上电密码(例如,将一般的上电密码改变为管理密码,在上电时序过程中既需要管理密码也需要一般的上电密码,等等)。在步骤645,根据在步骤635中读取的硬盘驱动器密码策略来改变保护存储在一个或多个硬盘驱动器550中的文件的硬盘驱动器密码555。在步骤660,根据在步骤640中读取的上电密码策略来改变在非易失性存储器中存储的上电密码570。在步骤665,处理返回到步骤602。此时,明显损害指示器已经被设置,并将采取适当的步骤来保护信息处理系统及在该系统中存储的数据(确定604此时将前进到“是”分支606,并根据上电密码策略要求一个或多个上电密码)。
本发明的优选实施之一是客户端应用程序,即,例如可以常驻在计算机的随机访问存储器中的代码模块中的一组指令(程序代码)或其它功能描述材料(functional descriptive material)。在计算机需要之前,该一组指令可以被存储在另一个计算机存储器中,例如在硬盘驱动中或在例如光盘(用于在CD ROM中最终使用)或软盘(用于在软盘驱动中最终使用)等可移动存储器中,或经由因特网或其它计算机网络下载该一组指令。从而,可以作为在计算机中使用的计算机程序产品来实施本发明。另外,虽然在通过软件选择性地激活或重新配置的通用计算机中便利地实施所描述的各种方法,但是本领域的普通技术人员还将认识到可以在被构建以执行需要的方法步骤的硬件、固件或在更专用的设备中执行该方法。功能描述材料是将功能性告知机器的信息。功能描述材料包括但不限于计算机程序、指令、规则、事实、可计算函数的定义、目标及数据结构。
虽然已经示出并描述了本发明的特定实施例,但是对于本领域技术人员来说显然,基于本文的宗义,不脱离本发明及其更广泛的方面,可以进行变化和修改。因此,后附权利要求将包括本发明范围内的全部改变和修改,这些改变和修改落在本发明的实质精神和范围之内。此外,将理解后附权利要求单独限定本发明。本领域技术人员将理解,如果所提出的权利要求元素的特定标记被指出,则该指出将在权利要求中被明确的描述,没有该描述则没有该限制。对于帮助理解的非限制性的示例,下面所附的权利要求包括使用介绍性短语“至少一个”和“一个或多个”来介绍权利要求元素。然而,即使当相同的权利要求包括介绍性短语“一个或多个”或“至少一个”及例如“一个”等限定词,该短语的使用也不应被解释为表示通过介绍由限定词“一个”限定的权利要求元素而将包括该种介绍的权利要求元素的任意特定的权利要求限制为仅包括一个该元素的发明,对于在权利要求中使用的其它限定词也是同样。
Claims (20)
1.一种机器执行的方法,该方法包括:
检测网络适配器是否已经被从计算机系统中移除;以及
响应于当检测到所述网络适配器已经被从所述计算机系统中移除时:
在所述计算机系统的非易失性存储器中设置明显损害指示器;及
根据硬盘驱动器密码策略设置硬盘驱动器密码,其中所述硬盘驱动器密码保护在硬盘驱动器中存储的文件。
2.根据权利要求1所述的方法,进一步包括:
根据上电密码策略设置上电密码,其中所述上电密码用于当所述计算机系统初始化时由所述计算机系统的用户输入。
3.根据权利要求2所述的方法,其中,将所述上电密码设置为管理密码,以及所述网络适配器是无线网络适配器。
4.根据权利要求1所述的方法,进一步包括:
当所述计算机系统工作时,重复检查所述网络适配器是否已经被移除;
在所述重复检查中的一个检查过程中,如果确定所述网络适配器已经被移除,则:
在所述非易失性存储器中设置所述明显损害指示器;
读取所述硬盘驱动器密码策略;
基于所述硬盘驱动器密码策略,识别新的硬盘驱动器密码,其中所述硬盘驱动器密码的设置具体为:将所述硬盘驱动器密码设置为识别的所述新的硬盘驱动器密码;
读取上电密码策略;
基于所述上电密码策略,识别新的上电密码,其中将所述计算机系统初始化时使用的上电密码设置为识别的所述新的上电密码;及
关闭所述计算机系统。
5.根据权利要求4所述的方法,进一步包括:
在所述计算机系统被关闭之后:
由用户重新启动所述计算机系统;
在所述计算机系统执行初始化处理的过程中,要求所述用户输入所述新的上电密码;
接收到来自所述用户的密码响应;
比较从所述用户接收到的密码响应与所述新的上电密码;
响应于当所述密码响应与所述新的上电密码之间的所述比较表明相匹配时,完成所述初始化处理并允许所述用户访问在所述硬盘驱动器上存储的文件;及
响应于当所述密码响应与所述新的上电密码之间的所述比较表明不相匹配时,拒绝所述用户访问在所述硬盘驱动器上存储的所述文件。
6.根据权利要求1所述的方法,进一步包括:
在当对所述计算机系统初始化时执行的初始化处理过程中,检查所述非易失性存储器中的所述明显损害指示器;
响应于当所述明显损害指示器指示在早先使用所述计算机系统的过程中损害了所述网络适配器时:
根据上电密码策略,要求来自所述用户的一个或多个上电密码;
接收到来自所述用户的一个或多个密码响应;
将从所述用户接收到的所述密码响应与一个或多个存储的上电密码相比较;
响应于当所述密码响应与所述存储的上电密码之间的所述比较表明相匹配时,完成所述初始化处理并允许所述用户访问在所述硬盘驱动器上存储的文件;及
响应于当所述密码响应之一与所述存储的上电密码之一之间的所述比较表明不相匹配时,拒绝所述用户访问在所述硬盘驱动器上存储的所述文件。
7.根据权利要求6所述的方法,进一步包括:
响应于所述明显损害指示器没有指示在早先使用所述计算机系统的过程中损害所述网络适配器时:
检查所述网络适配器是否当前存在于所述计算机系统中;
响应于揭示所述网络适配器不存在于所述计算机系统中的所述检查:
在所述非易失性存储器中设置所述明显损害指示器;
读取所述硬盘驱动器密码策略;
基于所述硬盘驱动器密码策略,识别新的硬盘驱动器密码,其中所述硬盘驱动器密码的设置具体为:将所述硬盘驱动器密码设置为识别的所述新的硬盘驱动器密码;
读取上电密码策略;
基于所述上电密码策略,建立一个或多个上电密码,其中建立的所述上电密码是为了允许所述用户访问在所述硬盘驱动器中存储的文件,要求来自所述用户的所述建立的上电密码;及
提示所述用户输入所述建立的一个或多个上电密码。
8.一种信息处理系统,包括:
一个或多个处理器;
由至少一个所述处理器能够访问的存储器;
由至少一个所述处理器能够访问的非易失性存储设备;
由至少一个所述处理器能够访问的网络适配器,该网络适配器将所述信息处理系统连接到计算机网络;及
载入存储器中并由至少一个所述处理器执行的一组指令,以执行动作:
检测所述网络适配器是否已经被从所述信息处理系统中移除;以及
响应于当检测到所述网络适配器已经被从所述信息处理系统中移除时:
在所述信息处理系统的所述非易失性存储器中设置明显损害指示器;及
根据硬盘驱动器密码策略设置硬盘驱动器密码,其中所述硬盘驱动器密码保护在硬盘驱动器中存储的文件。
9.根据权利要求8所述的信息处理系统,其中,由至少一个所述处理器执行的所述指令执行另外的动作,包括:
根据上电密码策略设置上电密码,其中当对所述信息处理系统初始化时由所述信息处理系统的用户输入所述上电密码。
10.根据权利要求9所述的信息处理系统,其中,将所述上电密码设置为管理密码,并且其中所述网络适配器是无线网络适配器。
11.根据权利要求8所述的信息处理系统,其中,由至少一个所述处理器执行的所述指令执行另外的动作,包括:
当所述信息处理系统工作时,重复检查所述网络适配器是否已经被移除;
在所述重复检查中的一个检查过程中,如果确定所述网络适配器已经被移除,则:
在所述非易失性存储器中设置所述明显损害指示器;
读取所述硬盘驱动器密码策略;
基于所述硬盘驱动器密码策略,识别新的硬盘驱动器密码,其中所述硬盘驱动器密码的所述设置是将所述硬盘驱动器密码设置为识别的所述新的硬盘驱动器密码;
读取上电密码策略;
基于所述上电密码策略,识别新的上电密码,其中将当对所述信息处理系统初始化时使用的上电密码设置为识别的所述新的上电密码;及
关闭所述信息处理系统。
12.根据权利要求11所述的信息处理系统,其中,由至少一个所述处理器执行的所述指令执行另外的动作,包括:
在已经关闭所述信息处理系统之后:
由用户重新启动所述信息处理系统;
在所述信息处理系统执行初始化处理的过程中,要求所述用户输入所述新的上电密码;
接收到来自所述用户的密码响应;
将从所述用户接收到的密码响应与所述新的上电密码相比较;
响应于当所述密码响应与所述新的上电密码之间的所述比较表明相匹配时,完成所述初始化处理,并允许所述用户访问在所述硬盘驱动器上存储的文件;及
响应于当所述密码响应与所述新的上电密码之间的所述比较表明不匹配时,拒绝所述用户访问在所述硬盘驱动器上存储的所述文件。
13.根据权利要求8所述的信息处理系统,其中,由至少一个所述处理器执行的所述指令执行另外的动作,包括:
在对所述信息处理系统初始化时执行的初始化处理过程中,检查所述非易失性存储器中的所述明显损害指示器;
响应于当所述明显损害指示器指示在早先使用所述信息处理系统的过程中损害了所述网络适配器时:
根据上电密码策略,要求来自所述用户的一个或多个上电密码;
接收到来自所述用户的一个或多个密码响应;
将从所述用户接收到的所述密码响应与一个或多个存储的上电密码相比较;
响应于当所述密码响应与所述存储的上电密码之间的所述比较表明相匹配时,完成所述初始化处理并允许所述用户访问在所述硬盘驱动器上存储的文件;及
响应于当所述密码响应之一与所述存储的上电密码之一之间的所述比较表明不相匹配时,拒绝所述用户访问在所述硬盘驱动器上存储的所述文件。
14.根据权利要求13所述的信息处理系统,其中,由至少一个所述处理器执行的所述指令执行另外的动作,包括:
响应于当所述明显损害指示器没有指示在早先使用所述信息处理系统的过程中损害所述网络适配器时:
检查所述网络适配器是否当前存在于所述信息处理系统中;
响应于揭示所述网络适配器不存在于所述信息处理系统中的所述检查:
在所述非易失性存储器中设置所述明显损害指示器;
读取所述硬盘驱动器密码策略;
基于所述硬盘驱动器密码策略,识别新的硬盘驱动器密码,其中所述硬盘驱动器密码的所述设置是将所述硬盘驱动器密码设置为识别的所述新的硬盘驱动器密码;
读取上电密码策略;
基于所述上电密码策略,建立一个或多个上电密码,其中建立的所述上电密码是为了允许所述用户访问在所述硬盘驱动器中存储的文件,要求来自所述用户的所述建立的上电密码;及
提示所述用户输入所述建立的一个或多个上电密码。
15.一种在计算机可读介质中存储的计算机程序产品,包括功能性描述材料,当信息处理系统执行所述功能性描述材料时,所述功能性描述材料使所述信息处理系统执行动作,该动作包括:
检测网络适配器是否已经被从信息处理系统中移除;以及
响应于当检测到所述网络适配器已经被从所述信息处理系统中移除时:
在所述信息处理系统的非易失性存储器中设置明显损害指示器;及
根据硬盘驱动器密码策略设置硬盘驱动器密码,其中所述硬盘驱动器密码保护在硬盘驱动器中存储的文件。
16.根据权利要求15所述的计算机程序产品,其中,将上电密码设置为管理密码,并且其中所述网络适配器是进一步包括使所述信息处理系统执行另外的动作的功能性描述材料的无线网络适配器,该另外的动作包括:
根据上电密码策略设置上电密码,其中当对所述信息处理系统初始化时由所述信息处理系统的用户输入所述上电密码。
17.根据权利要求15所述的计算机程序产品,进一步包括使所述信息处理系统执行另外的动作的功能性描述材料,该另外的动作包括:
当所述信息处理系统工作时,重复检查所述网络适配器是否已经被移除;
在所述重复检查中的一个检查过程中,如果确定所述网络适配器已经被移除,则:
在所述非易失性存储器中设置所述明显损害指示器;
读取所述硬盘驱动器密码策略;
基于所述硬盘驱动器密码策略,识别新的硬盘驱动器密码,其中所述硬盘驱动器密码的所述设置是将所述硬盘驱动器密码设置为识别的所述新的硬盘驱动器密码;
读取上电密码策略;
基于所述上电密码策略,识别新的上电密码,其中将当对所述信息处理系统初始化时使用的上电密码设置为识别的所述新的上电密码;及
关闭所述信息处理系统。
18.根据权利要求17所述的计算机程序产品,进一步包括使所述信息处理系统执行另外的动作的功能性描述材料,该另外的动作包括:
在已经关闭所述信息处理系统之后:
由用户重新启动所述信息处理系统;
在所述信息处理系统执行初始化处理的过程中,要求所述用户输入所述新的上电密码;
接收到来自所述用户的密码响应;
将从所述用户接收到的密码响应与所述新的上电密码相比较;
响应于当所述密码响应与所述新的上电密码之间的所述比较表明相匹配时,完成所述初始化处理,并允许所述用户访问在所述硬盘驱动器上存储的文件;及
响应于当所述密码响应与所述新的上电密码之间的所述比较表明不相匹配时,拒绝所述用户访问在所述硬盘驱动器上存储的所述文件。
19.根据权利要求15所述的计算机程序产品,进一步包括使所述信息处理系统执行另外的动作的功能性描述材料,该另外的动作包括:
在当对所述信息处理系统初始化时执行的初始化处理过程中,检查所述非易失性存储器中的所述明显损害指示器;
响应于当所述明显损害指示器指示在早先使用所述信息处理系统的过程中损害了所述网络适配器时:
根据上电密码策略,要求来自所述用户的一个或多个上电密码;
接收到来自所述用户的一个或多个密码响应;
将从所述用户接收到的所述密码响应与一个或多个存储的上电密码相比较;
响应于当所述密码响应与所述存储的上电密码之间的所述比较表明相匹配时,完成所述初始化处理并允许所述用户访问在所述硬盘驱动器上存储的文件;及
响应于当所述密码响应之一与所述存储的上电密码之一之间的所述比较表明不相匹配时,拒绝所述用户访问在所述硬盘驱动器上存储的所述文件。
20.根据权利要求19所述的计算机程序产品,进一步包括使所述信息处理系统执行另外的动作的功能性描述材料,该另外的动作包括:
响应于当所述明显损害指示器没有指示在早先使用所述信息处理系统的过程中损害所述网络适配器时:
检查所述网络适配器是否当前存在于所述信息处理系统中;
响应于揭示所述网络适配器不存在于所述信息处理系统中的所述检查:
在所述非易失性存储器中设置所述明显损害指示器;
读取所述硬盘驱动器密码策略;
基于所述硬盘驱动器密码策略,识别新的硬盘驱动器密码,其中所述硬盘驱动器密码的所述设置是将所述硬盘驱动器密码设置为识别的所述新的硬盘驱动器密码;
读取上电密码策略;
基于所述上电密码策略,建立一个或多个上电密码,其中建立的所述上电密码是为了允许所述用户访问在所述硬盘驱动器中存储的文件,要求来自所述用户的所述建立的上电密码;及
提示所述用户输入所述建立的一个或多个上电密码。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/051,271 | 2008-03-19 | ||
| US12/051,271 US8090962B2 (en) | 2008-03-19 | 2008-03-19 | System and method for protecting assets using wide area network connection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101539975A true CN101539975A (zh) | 2009-09-23 |
| CN101539975B CN101539975B (zh) | 2012-01-25 |
Family
ID=40527131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101285657A Active CN101539975B (zh) | 2008-03-19 | 2009-03-18 | 使用广域网络连接保护资产的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8090962B2 (zh) |
| CN (1) | CN101539975B (zh) |
| DE (1) | DE102009012796A1 (zh) |
| GB (1) | GB2458360B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102855428A (zh) * | 2011-06-30 | 2013-01-02 | 联想(北京)有限公司 | 一种计算机的安全控制方法及该计算机 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3490214A1 (en) * | 2017-11-24 | 2019-05-29 | Gemalto Sa | Method for managing lifecycle of credentials |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5892906A (en) * | 1996-07-19 | 1999-04-06 | Chou; Wayne W. | Apparatus and method for preventing theft of computer devices |
| US6418533B2 (en) | 1997-08-29 | 2002-07-09 | Compaq Information Technologies Group, L.P. | “J” system for securing a portable computer which optionally requires an entry of an invalid power on password (POP), by forcing an entry of a valid POP |
| US6185688B1 (en) | 1998-03-18 | 2001-02-06 | Netschools Corporation | Method for controlling security of a computer removably coupled in a network |
| US6609207B1 (en) | 1999-03-02 | 2003-08-19 | International Business Machines Corporation | Data processing system and method for securing a docking station and its portable PC |
| US6166688A (en) | 1999-03-31 | 2000-12-26 | International Business Machines Corporation | Data processing system and method for disabling a portable computer outside an authorized area |
| US6725379B1 (en) | 1999-08-11 | 2004-04-20 | Dell Products L.P. | Stolen computer detection and protection |
| WO2002089081A1 (en) * | 2001-04-26 | 2002-11-07 | Caveo Technology, Llc | Pc card security system |
| US20030120918A1 (en) * | 2001-12-21 | 2003-06-26 | Intel Corporation | Hard drive security for fast boot |
| JP2004362366A (ja) * | 2003-06-06 | 2004-12-24 | Canon Electronics Inc | 情報処理端末、その制御方法、及びその制御プログラム |
| US20050114710A1 (en) * | 2003-11-21 | 2005-05-26 | Finisar Corporation | Host bus adapter for secure network devices |
| JP2005316856A (ja) * | 2004-04-30 | 2005-11-10 | Toshiba Corp | 情報処理装置、その起動方法およびその起動プログラム |
| US7742581B2 (en) * | 2004-11-24 | 2010-06-22 | Value-Added Communications, Inc. | Electronic messaging exchange |
| CA2496939A1 (en) * | 2005-02-08 | 2006-08-08 | Cirond Networks, Inc. | Network security method and apparatus |
| US7809950B2 (en) * | 2005-03-02 | 2010-10-05 | Dell Products L.P. | System and method for access to a password protected information handling system |
| JP2006301950A (ja) * | 2005-04-20 | 2006-11-02 | Fujitsu Ltd | 記憶装置及びその管理モジュール |
| US7624279B2 (en) * | 2005-06-29 | 2009-11-24 | Lenovo Singapore Pte. Ltd. | System and method for secure O.S. boot from password-protected HDD |
| US20070234073A1 (en) * | 2006-03-31 | 2007-10-04 | Lenovo (Singapore) Pte. Ltd. | Random password automatically generated by bios for securing a data storage device |
| US7900252B2 (en) * | 2006-08-28 | 2011-03-01 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for managing shared passwords on a multi-user computer |
-
2008
- 2008-03-19 US US12/051,271 patent/US8090962B2/en active Active
-
2009
- 2009-02-10 GB GB0902186A patent/GB2458360B/en active Active
- 2009-03-13 DE DE102009012796A patent/DE102009012796A1/de active Pending
- 2009-03-18 CN CN2009101285657A patent/CN101539975B/zh active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102855428A (zh) * | 2011-06-30 | 2013-01-02 | 联想(北京)有限公司 | 一种计算机的安全控制方法及该计算机 |
| CN102855428B (zh) * | 2011-06-30 | 2016-03-30 | 联想(北京)有限公司 | 一种计算机的安全控制方法及该计算机 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20090241164A1 (en) | 2009-09-24 |
| CN101539975B (zh) | 2012-01-25 |
| GB2458360A (en) | 2009-09-23 |
| US8090962B2 (en) | 2012-01-03 |
| GB0902186D0 (en) | 2009-03-25 |
| GB2458360B (en) | 2010-08-04 |
| DE102009012796A1 (de) | 2009-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10516533B2 (en) | Password triggered trusted encryption key deletion | |
| US5887131A (en) | Method for controlling access to a computer system by utilizing an external device containing a hash value representation of a user password | |
| US8566603B2 (en) | Managing security operating modes | |
| US9251353B2 (en) | Secure caching of server credentials | |
| US9735960B2 (en) | Method for protecting data stored within a disk drive of a portable computer | |
| CN102549594B (zh) | 临时秘密的安全存储 | |
| Altuwaijri et al. | Android data storage security: A review | |
| JP2010160795A (ja) | 場所に基づくデータにより更なる安全性をプラットフォームに提供するシステム及び方法 | |
| Müller et al. | A systematic assessment of the security of full disk encryption | |
| US9384353B2 (en) | System and method for encryption of disk based on pre-boot compatibility testing | |
| CN104361298B (zh) | 信息安全保密的方法和装置 | |
| CN101539975B (zh) | 使用广域网络连接保护资产的系统和方法 | |
| US7281264B2 (en) | Security system and method for PnP device coupled to network client | |
| US10445534B2 (en) | Selective storage device wiping system and method | |
| US20230214471A1 (en) | Storage device, nonvolatile memory system including memory controller, and operating method of the storage device | |
| US9262619B2 (en) | Computer system and method for protecting data from external threats | |
| JP4561213B2 (ja) | ハードディスクセキュリティ管理システムおよびその方法 | |
| US10219156B2 (en) | Apparatus and method for protecting data in flash memory based on unauthorized activity on smart device | |
| CN105446751B (zh) | 一种信息处理方法及电子设备 | |
| JP4634924B2 (ja) | 認証方法、認証プログラム、認証システムおよびメモリカード | |
| US20110276799A1 (en) | Personal communication system having independent security component | |
| US8702812B2 (en) | Remote disablement of a computer system | |
| US11275817B2 (en) | System lockdown and data protection | |
| KR100847659B1 (ko) | 키 록 보드와 보안 유에스비 메모리의 아이디 검증방식을이용한 데이터 유출 방지 방법 및 그 장치 | |
| CN113761599A (zh) | 固态硬盘加密方法、装置、可读存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |