CN101771689B - 通过管理性引擎进行企业网单点登录的方法和系统 - Google Patents

Abstract

一种通过管理性引擎进行企业网单点登录的方法和系统。管理性引擎(ME)在预引导认证期间接收来自用户的认证响应并将所述用户向密钥分配中心(KDC)注册，表明所述用户已经成功地向PC认证。所述KDC向所述ME提供密钥加密密钥(KEK)形式的单点登录证书。所述KEK可以随后被所述PC使用以获取用于建立对企业服务器的安全访问的证书。

Description

通过管理性引擎进行企业网单点登录的方法和系统

技术领域

本发明总体上涉及用户认证。更具体地，本发明涉及使用管理性引擎进行企业网单点登录的方法和系统。

背景技术

用于数据保护的Anti-Theft^TM技术(AT-d)是一种向芯片组及其外围部件添加全盘加密(FDE)的平台能力。由AT-d保护的驱动器上的所有数据都是加密的，包括OS(操作系统)和用户数据。保持未加密的区域包括管理性引擎(manageability engine，ME)元数据和预引导(pre-boot)认证元数据区域。将驱动器完全加密保护了包含在分页和配置文件中的敏感数据，并且它防止了离线攻击者通过工具箱(tool kit)对系统文件的操纵。

将驱动器完全加密也存在着挑战。例如，在用户被认证之前，对该用户来说磁盘驱动器是禁止访问的。当前的实践依赖操作系统(OS)来执行初始认证，但是采用FDE时，该OS是加密的，这使得通过OS来认证用户是困难的。因此，用户认证必须在需要驱动器访问的任何预引导服务之前进行。

发明内容

根据本发明的一个方面，提供了一种使用计算机平台的管理性引擎的安全访问方法，所述方法包括：在预引导操作期间，通过与所述计算机平台的带内处理器相分离的所述管理性引擎来接收来自用户的认证响应；采用协议、使用所述管理性引擎向企业网中所包括的密钥分配中心注册，其中，所述管理性引擎使得能够对所述企业网进行直接带外访问，并且其中，向所述密钥分配中心注册表明所述用户已经成功地向所述计算机平台认证；以及使用所述管理性引擎并且独立于所述带内处理器来接收密钥加密密钥形式的单点登录证书，其中，所述密钥加密密钥随后被用于获取用于建立对所述企业网中所包括的使用所述密钥加密密钥的企业服务器的安全访问的证书。

根据本发明的另一个方面，提供了一种使用与计算机平台的主处理器相分离的管理性引擎来安全访问企业服务器的方法，所述方法包括：通过所述管理性引擎从预引导认证模块接收用户认证证书；响应于用户已经成功地向所述预引导认证模块认证，通过所述管理性引擎从企业请求密钥加密密钥，其中，所述管理性引擎使得能够对所述企业进行直接带外访问；如果所述用户被所述企业认证，则通过所述管理性引擎并且独立于所述主处理器来接收所述密钥加密密钥，并使用所述管理性引擎安全地存储所述密钥加密密钥；在接收所述密钥加密密钥后，通过所述管理性引擎使BIOS能够继续引导操作系统；通过所述管理性引擎从用于拦截操作系统登录过程的补片处接收对所述密钥加密密钥的请求；通过所述管理性引擎从安全存储器中检索所述密钥加密密钥；以及通过所述管理性引擎向所述操作系统发送所述密钥加密密钥，其中，所述补片在接收到所述密钥加密密钥时阻止所述操作系统登录提示并完成所述操作系统的引导；其中，当所述操作系统需要访问所述企业服务器时，所述操作系统从所述管理性引擎检索所述密钥加密密钥以获取特定于所述企业服务器的票证。

根据本发明的又一个方面，提供了一种安全访问系统，包括：用于在预引导操作期间使用与计算机平台的带内处理器相分离的管理性引擎来接收来自用户的认证响应的模块；用于采用协议、使用所述管理性引擎向企业网中所包括的密钥分配中心注册的模块，其中，所述管理性引擎使得能够对所述企业网进行直接带外访问，并且其中，向所述密钥分配中心注册表明所述用户已经成功地向所述计算机平台认证；以及用于使用所述管理性引擎并且独立于所述带内处理器来接收密钥加密密钥形式的单点登录证书的模块，其中，所述密钥加密密钥随后被用于获取用于建立对所述企业网中所包括的使用所述密钥加密密钥的企业服务器的安全访问的证书。

根据本发明的再一个方面，提供了一种安全访问系统，包括：用于使用与计算机平台的主处理器相分离的管理性引擎从预引导认证模块接收用户认证证书的单元；用于响应于用户已经成功地向所述预引导认证模块认证，通过所述管理性引擎从企业请求密钥加密密钥的单元，其中，所述管理性引擎使得能够对所述企业进行直接带外访问；用于如果所述用户被所述企业认证，则通过所述管理性引擎并且独立于所述主处理器来接收所述密钥加密密钥并安全地存储所述密钥加密密钥的单元；用于在接收所述密钥加密密钥后通过所述管理性引擎使BIOS能够继续引导操作系统的单元；用于通过所述管理性引擎从用于拦截操作系统登录过程的补片处接收对所述密钥加密密钥的请求的单元；用于通过所述管理性引擎从安全存储器中检索所述密钥加密密钥的单元；以及用于通过所述管理性引擎向所述操作系统发送所述密钥加密密钥的单元，其中，所述补片在接收到所述密钥加密密钥时阻止所述操作系统登录提示并完成所述操作系统的引导；其中，当所述操作系统需要访问所述企业服务器时，所述操作系统从所述管理性引擎检索所述密钥加密密钥以获取特定于所述企业服务器的票证。

附图说明

纳入本文并形成说明书的一部分的附图说明了本发明的实施例，并与说明书一起进一步解释了本发明的原理，使得相关领域的技术人员能够制造和使用本发明。在附图中，类似的附图标记通常指示同样的、功能类似的、和/或结构类似的元素。由对应的附图标记中的最左边的数字指示元素第一次在其中出现的附图。

图1是说明了可以在其中应用所描述实施例的各个方面的示例性计算机平台的框图；

图2是说明了根据本发明实施例的、用于使用管理性引擎进行企业网单点登录的系统的框图；

图3是描述了根据本发明实施例的、用于使用管理性引擎进行企业网单点登录的示例性方法的流程图；

图4是描述了根据本发明实施例的、使得能够访问来自一个或多个企业服务器的资源或服务的示例性方法的流程图。

具体实施方式

虽然本文参照用于特定应用的示例性实施例描述了本发明，但是应当理解，本发明不限于这些示例性实施例。使用本文提供的教导的相关领域技术人员将会意识到在本发明范围内和在本发明的实施例具有明显应用价值的其它领域内的其它修改、应用和实施方式。

说明书中所提及的本发明的“一个实施例”、“一实施例”或“另一实施例”意味着结合该实施例所描述的特定特征、结构或特性包含在本发明的至少一个实施例中。因此，在整个说明书中不同地方出现的短语“在一个实施例中”或“在一实施例中”并不是必然指代同一实施例。

本发明实施例提供了由管理性引擎(ME)在预引导操作期间接收来自用户的认证响应，并使用Kerberos协议将该用户已经成功地向PC(个人计算机)认证注册到Kerberos密钥分配中心(KDC)。所述KDC向所述ME提供密钥加密密钥(KEK)形式的单点登录证书，该单点登录证书以后可由所述PC使用以获得对企业服务器的安全访问。

本发明实施例提供了早期在预引导环境中使用企业身份管理服务来执行用户认证的能力。通过使用管理性引擎来提供这种能力，该管理性引擎使得能够直接带外访问企业网以使用正由该企业网所管理的用户证书。本发明实施例还使得操作系统(OS)能够识别出用户已经在OS引导期间被认证。这是通过允许证书管理器拦截OS用户登录以便通过从所述ME请求所述KEK来确定该用户是否已经经过企业认证来实现的。如果所述KEK安全地保存在所述ME中，那么所述KEK被检索并返回给所述证书管理器。一旦接收到所述KEK，证书管理器就确定该用户已经向该企业认证了，并且阻止OS用户登录提示，从而让该过程仅可请求单点登录。

本发明实施例摆脱了平台对操作系统(OS)及其配置的依赖，从而允许基于用户(和机器)的身份来动态地选择和配置要在所述平台上使用的虚拟机监视器(VMM)、虚拟机(VM)、OS和应用。保护用户认证不受泄密的OS和/或VMM的影响。向所述KDC的认证以及后续将用户证书/授权向所述平台的发放不受恶意软件或者其他对OS或者VMM的攻击的影响。

虽然使用Kerberos作为身份管理基础结构进行描述了本发明的实施例，但是本发明并不限于Kerberos基础结构。相关领域技术人员将知道，也可以使用其它的身份管理基础结构，例如SAML(安全断言标记语言)、卡空间(Card Space)、自由联盟(Liberty Alliance)、公共密钥等。

图1是说明了可以在其中应用所描述的实施例的各个方面的示例性计算机平台的框图。计算机平台100包括处理器102(也被称为带内处理器)。处理器102可以耦合到系统存储器，在一个实施例中，所述系统存储器可以是动态随机存取存储器104。处理器102可以是能够执行软件的任何类型的处理器，例如微处理器、数字信号处理器、微控制器等。虽然图1仅示出了一种这样的处理器102，但是在平台100中可以有一个或多个处理器，并且所述处理器中的一个或多个可以包括多个线程、多个核等。

处理器102还可以经由DMI(直接媒体接口)接口108连接到芯片组106。芯片组106包括管理性引擎(ME)110、加密服务块(CSB)112和虚拟引擎(VE)114等。CSB 112是高级加密标准的一种硬件应用，它支持128和256比特的密钥长度。VE 114耦合到串行高级技术附件(SATA)控制器116，所述SATA控制器116执行SATA命令解码和其他用于任何连接的SATA存储设备的加速操作，所述SATA存储设备例如SATA设备118。VE 114还耦合到非易失性存储器(NVM)控制器120，以高速缓存诸如NAND闪存122这样的NVM设备上的数据。ME 110通过配置策略和密钥来控制VE 114和CSB 112的行为。ME 110收集审核事件、管理用户认证以及与企业服务126连接。ME 110使用带外微控制器(未示出)和网络控制器124经由网络125与企业服务126连接。在一个实施例中，网络125可以是广域网，例如但不限于因特网。

在一个实施例中，芯片组106经由串行外围接口(SPI)总线128耦合到非易失性存储器130。非易失性存储器130可以是闪存或静态随机存取存储器(SRAM)等。在许多现有的平台中，NVM 130是闪存。闪存130包括用于芯片组106的芯片组固件132和用于网络控制器124的网络控制器固件134。

在一些实施例中，处理器102具有位于NVM 130中的基本输入/输出系统(BIOS)固件136。在其它实施例中，处理器102可以从远程设备(未示出)引导，其中引导向量(指针)驻留在NVM 130的BIOS固件136中。芯片组106可以访问NVM 130的所有内容，包括用于控制芯片组106的芯片组固件132、用于控制网络控制器124的网络控制器固件134、以及BIOS固件136。

图2是说明了根据本发明实施例的用于使用管理性引擎进行企业网单点登录的系统的框图。系统200包括具有预引导(pre-boot)部分和引导后(post-boot)部分的CPU 202。所述预引导部分包括基本输入/输出系统(BIOS)204和预引导认证模块(PBAM)206等。所述引导后部分包括操作系统(OS)208和GINA(图像识别与认证)210等。系统200还包括管理性引擎(ME)110。ME 110耦合到CPU 202。

当首次加电时，BIOS 204部分地引用个人计算机(PC)所运行的固件代码。BIOS 204的主要功能是识别并初始化诸如视频显卡、硬盘等这样的系统部件硬件和其它的硬件设备。BIOS 204可以是，例如，EFI(可扩展固件接口)BIOS或传统BIOS。在本发明的各个实施例中，可以使用PBAM 206通过BIOS 204来认证用户(未示出)。

PBAM 206实现用于预引导交互式登录的认证策略。PBAM 206是BIOS 204的扩展，以确保OS 208外部的安全、防篡改环境是可信的认证层。PBAM 206向用户提供认证挑战来对该用户进行认证。例如，PBAM 206可以向用户请求用户标识和口令。可以将所述用户标识和口令与所存储的数据进行比较，以确定是否认证该用户。在用户已经证实他们具有前进的正确口令之前，PBAM 206阻止OS 208加载。

OS 208负责活动的管理和协调以及计算机平台的资源共享。OS 208可以是，例如，微软Windows OS或Linux OS。

GINA(图像识别与认证)210是一种实现用于OS交互式登录模型的认证策略的动态链接库(DLL)。GINA也被称为证书管理器，它执行用于OS处的用户认证的所有识别与认证用户交互。

ME 110包括ME公共服务模块212等。ME公共服务(CS)模块212代表了在管理性引擎110上运行的固件层。CS 212提供了通信栈，该通信栈允许ME 110连接到企业网，例如，企业220。CS 212还提供了插入接口，通过该插入接口能够添加/移除固件模块以分别增加/减小芯片组106的功能。在本发明的一个实施例中，DT2模块214和公共认证模块(CAM)216是向芯片组106提供附加功能的固件插入。其它FW 218示出了用于另一固件模块的示例性放置处。加密密钥DWK(设备包裹密钥)215和KEK(密钥加密密钥)217分别是用于DT2模块214和CAM 216的相应证书，并被示出为安全地存储在所述平台上。其它219是用于其它FW 218的加密密钥的放置处。

DT2模块214是用于控制对加密的存储设备的访问的固件插入。DWK215是用于使用固件插入DT2 214来解锁加密的磁盘的加密密钥/证书。访问加密密钥DWK 215是有条件的，其基于用户或管理员的成功认证。

公共认证模块(CAM)216是主要负责与预引导BIOS代码、可选的ROM或执行用户认证挑战的其它主机固件模块进行接口的固件插入。这些挑战的响应被提供给CAM 216，在CAM 216处验证所声明的身份。在一个实施例中，CAM 216也被称为Kerberos客户端。KEK 217，也被称为Kerberos票证授权票证(ticket granting ticket)或TGT，是被用于通过企业服务器226获得访问企业服务126的票证的加密密钥/证书。访问加密密钥KEK 217是有条件的，其基于用户或管理员的成功认证。

系统200通过网络(如图1所示)连接到企业220。企业220包括密钥分配中心(KDC)222、目录(224)、和通过企业服务器226的企业服务126。

KDC 222是用于帮助认证用户和服务的认证服务器。KDC 222分发票证以使得能够访问诸如企业服务之类的服务。KDC 222响应于来自客户端的初始认证请求而颁发称为密钥加密密钥(KEK)的专用密钥，所述KEK在Kerberos挑战响应协议中也被定义为票证授权票证(TGT)。如果用户实际上是他们所声称的用户，那么他们能够在无需重新输入他们的口令的情况下，用所述KEK/TGT获得企业服务126的其它服务票证。KDC 222通过后端接口(未示出)连接到目录224以获得关于用户、主机或服务的信息。

目录224存储与用户、主机和服务相关联的数据。存储在目录224中的数据可以包括但不限于用户名、口令和口令到期日期、以及该用户所持有的关于服务的任何票证的属性。

图3是描述了根据本发明实施例的、用于使用管理性引擎进行企业网单点登录的示例性方法的流程图300。本发明不限于本文参照流程图300所描述的实施例。而是，在阅读了本文提供的这些教导之后，对本领域技术人员而言显而易见，其它功能流程图是属于本发明保护范围的。该过程从框302开始，并立即进行到框304。

在框304中，所述ME公共认证模块从所述PBAM接收用户认证证书(即，用户标识和口令)。用户通过BIOS向PBAM认证。PBAM向用户提供认证挑战来认证该用户。例如，PBAM可以向用户请求用户标识和口令。响应于所述挑战，该用户向PBAM提供用户认证证书并向ME发送所述用户认证证书。该过程进行到框306。

在框306中，ME开启到企业KDC的连接，以请求密钥加密密钥(KEK)，该密钥加密密钥(KEK)也被称为票证授权票证(TGT)。所述KEK可被用于获取用于针对服务126访问企业服务器226的服务票证。企业KDC执行企业挑战响应协议，以通过查询包含关于用户的信息的目录服务来验证/认证所述用户是企业的已知实体。所述目录服务可以是微软活动目录、LDAP(轻便目录访问协议)或某个其他的目录服务。如果所述用户是已知的实体(即，所述用户标识和口令是可信的)，那么企业KDC将返回KEK。企业KDC还将返回与用户特权、组成员身份或者该用户的任何其它限制相关的任何其它授权信息。所述KEK具有请求企业服务器的服务器特定票证的权限。然后，该过程进行到框308。

在框308中，所述ME公共认证模块接收所述KEK和与所述用户相关的任何其它授权信息，并在平台闪存或某个其它安全存储区中安全地存储所述KEK。一旦KEK被安全地存储在所述闪存中，它就受所述ME的控制，从而，ME现在具有准许获取企业服务器的服务特定票证的权限。然后，该过程进行到框310。

在一个实施例中，所述ME能够基于所述用户的成功认证而执行某个动作，它能够获取服务特定票证，或者它能够执行ME公共服务下的某个服务。

在框310中，可以使用所述目录提供的令牌或通过从认证参数获得设备包裹密钥(DWK)来解锁平台资源，例如加密的磁盘。然后，该过程进行到框312。

在该过程的这一点，所述用户实质上已经使用企业用户证书(单点登录证书)登录到所述ME。现在，BIOS需要加载OS，并且所述用户需要向OS认证。在框312中，ME指示该过程回到BIOS(即，BIOS 206)以引导OS。然后，该过程进行到框314。

当OS被引导时，在它到达准备向OS认证所述用户之前，它进行它的常规过程。这是通过调用诸如微软GINA这样的证书管理器执行的。在GINA处理期间，必须决定是提示用户输入用户认证证书还是自动地从ME获取证书。在框314中，软件补片(shim)，例如，GINA包裹器，被用于在用户登录屏幕将要呈现给用户时拦截常规的OS登录过程。所述软件补片查询所述ME以验证所述用户已经通过请求KEK来向企业220认证。然后，该过程进行到判定框316。

在判定框316中，确定所述KEK是否是可用的。如果所述KEK是可用的，则该过程进行到框318。

在框318中，所述KEK请求被引导到所述ME，在ME处，从所述安全存储器中检索所述KEK并返回给所述补片，在所述补片处，所述补片确定所述用户已经向所述企业认证，并且阻止所述用户登录提示，从而让该过程仅可请求单点登录。

返回判定框316，如果确定所述KEK不是可用的，那么所述用户登录提示不会被阻止，并且OS用户认证过程将按照常规继续进行(框320)。

当需要访问企业服务器上的资源或服务时，OS现在能够使用本地KEK来获得适当企业服务器的特定票证。所述票证可被用于构建在OS和企业服务器之间的安全通信信道。在一个实施例中，TLS协议可以被用于协商TLS会话。

图4是描述了根据本发明实施例的、用于使能对来自于一个或多个企业服务器的资源或服务的访问的示例性方法的流程图400。本发明不限于本文参照流程图400所描述的实施例。而是，在阅读了本文提供的这些教导之后，对相关领域技术人员而言显而易见，其它功能流程图是属于本发明保护范围的。该过程从框402开始，并立即进行到框404。

在框404中，当用户请求对企业服务或资源的授权时，该请求被引导到所述ME。然后，该过程进行到框406。

在框406中，ME使用所述KEK从所述企业KDC获得提供服务的企业服务器的特定票证。然后，该过程进行到框408。

在框408中，一旦接收到用于所述服务的票证，所述ME向所述OS(或所述OS空间中的应用)提供所述票证。在一个实施例中，所述票证可以包括嵌入在所述票证中的密钥。然后，该过程进行到框410。

在框410中，所述OS可以使用所述票证来构建在企业服务器和PC之间的安全通信信道。在一个实施例中，TLS协议可以被用于协商所述PC和服务器之间的TLS会话。

本发明实施例的某些方面可以用硬件、软件、或它们的组合来实现，并且这些方面可以在一个或多个计算机平台或其它处理系统中实现。实际上，在一个实施例中，所述方法可以在可编程机上执行的程序中实现，该可编程机例如移动或静态计算机、个人数字助理(PDA)、机顶盒、蜂窝电话和寻呼机、和其它电子设备，其中，上述其它电子设备中的每个设备包括至少一个处理器、可由所述至少一个处理器读取的存储介质(包括易失性和非易失性存储器和/或存储元件)、至少一个输入设备、和一个或多个输出设备。程序代码应用于用所述输入设备输入的数据，以执行所描述的功能并产生输出信息。所述输出信息可以应用于一个或多个输出设备。本领域普通技术人员可以意识到，可以用包括多处理器系统、微型计算机、大型计算机等的各种计算机平台配置来实施本发明的实施例。

每个程序可以在高级过程语言或面向对象编程语言中实现，以与处理系统进行通信。然而，如果期望的话，程序可以在汇编语言或机器语言中实现。在任何情况中，所述语言可以被编译或解释。

可以用程序指令来使得用这些指令编程的通用或专用处理系统执行本文所描述的方法。可替换地，这些方法可以由包含执行这些方法的硬布线逻辑的专用硬件部件执行，或者由编程的计算机部件和定制硬件部件的任意组合来执行。可以将本文描述的这些方法作为计算机程序产品进行提供，所述计算机程序产品可以包括在其上存储有可被用于编程处理系统或其它电子设备以执行这些方法的指令的机器可读介质。本文使用的术语“机器可读介质”或者“机器可访问介质”将包括能够存储或编码由所述机器执行并使得所述机器执行本文描述的任何一种方法的指令序列的任何介质。因此，术语“机器可读介质”和“机器可访问介质”将包括但不限于固态存储器、光盘和磁盘等。此外，本领域中常说一种或另一种形式的软件(例如，程序、过程、进程、应用、模块、逻辑等)采取动作或导致结果。这种表达方式仅是用来陈述通过处理系统执行所述软件而使所述处理器执行动作或产生结果的一种简略方式。

虽然上面已经描述了本发明的各个实施例，但是应当理解，它们只是以示例的方式进行介绍，而非限制的方式。本领域技术人员将理解，在不背离所附权利要求定义的本发明精神和范围的情况下，可以进行各种形式和细节上的改变。因此，本发明的广度和范围不应受限于上述任一示例性实施例，而是应当根据所附的权利要求及其等效形式进行定义。

Claims (26)

1.一种使用计算机平台的管理性引擎的安全访问方法，所述方法包括：

在预引导操作期间，通过与所述计算机平台的带内处理器相分离的所述管理性引擎来接收来自用户的认证响应；

采用协议、使用所述管理性引擎向企业网中所包括的密钥分配中心注册，其中，所述管理性引擎使得能够对所述企业网进行直接带外访问，并且其中，向所述密钥分配中心注册表明所述用户已经成功地向所述计算机平台认证；以及

使用所述管理性引擎并且独立于所述带内处理器来接收密钥加密密钥形式的单点登录证书，其中，所述密钥加密密钥随后被用于获取用于建立对所述企业网中所包括的使用所述密钥加密密钥的企业服务器的安全访问的证书。

2.根据权利要求1所述的方法，其中，所述协议包括Kerberos协议，并且所述密钥分配中心包括Kerberos密钥分配中心。

3.根据权利要求1所述的方法，其中，所述协议包括Kerberos、SAML、卡空间、自由联盟、公共密钥、或任何其它身份管理基础结构。

4.一种使用与计算机平台的主处理器相分离的管理性引擎来安全访问企业服务器的方法，所述方法包括：

通过所述管理性引擎从预引导认证模块接收用户认证证书；

响应于用户已经成功地向所述预引导认证模块认证，通过所述管理性引擎从企业请求密钥加密密钥，其中，所述管理性引擎使得能够对所述企业进行直接带外访问；

如果所述用户被所述企业认证，则通过所述管理性引擎并且独立于所述主处理器来接收所述密钥加密密钥，并使用所述管理性引擎安全地存储所述密钥加密密钥；

在接收所述密钥加密密钥后，通过所述管理性引擎使BIOS能够继续引导操作系统；

通过所述管理性引擎从用于拦截操作系统登录过程的补片处接收对所述密钥加密密钥的请求；

通过所述管理性引擎从安全存储器中检索所述密钥加密密钥；以及

通过所述管理性引擎向所述操作系统发送所述密钥加密密钥，其中，所述补片在接收到所述密钥加密密钥时阻止所述操作系统登录提示并完成所述操作系统的引导；

其中，当所述操作系统需要访问所述企业服务器时，所述操作系统从所述管理性引擎检索所述密钥加密密钥以获取特定于所述企业服务器的票证。

5.根据权利要求4所述的方法，其中，用户通过BIOS向所述预引导认证模块认证。

6.根据权利要求4所述的方法，其中，所述预引导认证模块向用户提供认证挑战以认证所述用户，所述认证挑战需要所述用户输入所述用户认证证书。

7.根据权利要求4所述的方法，其中，所述用户认证包括用户标识和用户口令。

8.根据权利要求4所述的方法，其中，从企业请求密钥加密密钥包括：开启到企业网的连接并从企业密钥分配中心请求所述密钥加密密钥。

9.根据权利要求8所述的方法，其中，所述密钥分配中心通过使用所述用户认证证书查询目录，来验证所述用户是所述企业网的已知实体，从而验证所述用户的可信性。

10.根据权利要求4所述的方法，其中，当所述密钥加密密钥被安全地存储时，所述密钥加密密钥受所述管理性引擎的控制，并且具有准许获取企业服务器的服务特定票证的权限。

11.根据权利要求4所述的方法，其中，当所述密钥加密密钥被安全地存储时，所述用户使用企业单点登录证书登录到所述管理性引擎。

12.根据权利要求4所述的方法，其中，加载所述操作系统调用用户认证模块以向所述操作系统认证所述用户。

13.根据权利要求4所述的方法，其中，阻止所述用户登录提示使得所述用户认证能够仅请求单点登录。

14.一种安全访问系统，包括：

用于在预引导操作期间使用与计算机平台的带内处理器相分离的管理性引擎来接收来自用户的认证响应的模块；

用于采用协议、使用所述管理性引擎向企业网中所包括的密钥分配中心注册的模块，其中，所述管理性引擎使得能够对所述企业网进行直接带外访问，并且其中，向所述密钥分配中心注册表明所述用户已经成功地向所述计算机平台认证；以及

用于使用所述管理性引擎并且独立于所述带内处理器来接收密钥加密密钥形式的单点登录证书的模块，其中，所述密钥加密密钥随后被用于获取用于建立对所述企业网中所包括的使用所述密钥加密密钥的企业服务器的安全访问的证书。

15.根据权利要求14所述的系统，其中，所述协议包括Kerberos协议，并且所述密钥分配中心包括Kerberos密钥分配中心。

16.根据权利要求14所述的系统，其中，所述协议包括Kerberos、SAML、卡空间、自由联盟、公共密钥、或任何其它身份管理基础结构。

17.一种安全访问系统，包括：

用于使用与计算机平台的主处理器相分离的管理性引擎从预引导认证模块接收用户认证证书的单元；

用于响应于用户已经成功地向所述预引导认证模块认证，通过所述管理性引擎从企业请求密钥加密密钥的单元，其中，所述管理性引擎使得能够对所述企业进行直接带外访问；

用于如果所述用户被所述企业认证，则通过所述管理性引擎并且独立于所述主处理器来接收所述密钥加密密钥并安全地存储所述密钥加密密钥的单元；

用于在接收所述密钥加密密钥后通过所述管理性引擎使BIOS能够继续引导操作系统的单元；

用于通过所述管理性引擎从用于拦截操作系统登录过程的补片处接收对所述密钥加密密钥的请求的单元；

用于通过所述管理性引擎从安全存储器中检索所述密钥加密密钥的单元；以及

用于通过所述管理性引擎向所述操作系统发送所述密钥加密密钥的单元，其中，所述补片在接收到所述密钥加密密钥时阻止所述操作系统登录提示并完成所述操作系统的引导；

其中，当所述操作系统需要访问所述企业服务器时，所述操作系统从所述管理性引擎检索所述密钥加密密钥以获取特定于所述企业服务器的票证。

18.根据权利要求17所述的系统，其中，用户通过BIOS向所述预引导认证模块认证。

19.根据权利要求17所述的系统，其中，所述预引导认证模块向用户提供认证挑战以认证所述用户，所述认证挑战需要所述用户输入所述用户认证证书。

20.根据权利要求17所述的系统，其中，所述用户认证包括用户标识和用户口令。

21.根据权利要求17所述的系统，其中，用于从企业请求密钥加密密钥的单元包括：用于开启到企业网的连接并从企业密钥分配中心请求所述密钥加密密钥的单元。

22.根据权利要求21所述的系统，其中，所述密钥分配中心通过使用所述用户认证证书查询目录，来验证所述用户是所述企业网的已知实体，从而验证所述用户的可信性。

23.根据权利要求17所述的系统，其中，当所述密钥加密密钥被安全地存储时，所述密钥加密密钥受所述管理性引擎的控制，并且具有准许获取企业服务器的服务特定票证的权限。

24.根据权利要求17所述的系统，其中，当所述密钥加密密钥被安全地存储时，所述用户使用企业单点登录证书登录到所述管理性引擎。

25.根据权利要求17所述的系统，其中，加载所述操作系统调用用户认证模块以向所述操作系统认证所述用户。

26.根据权利要求17所述的系统，其中，阻止所述用户登录提示使得所述用户认证能够仅请求单点登录。