CN102027480B - 用于提供系统管理命令的系统和方法 - Google Patents
用于提供系统管理命令的系统和方法 Download PDFInfo
- Publication number
- CN102027480B CN102027480B CN200880129247.6A CN200880129247A CN102027480B CN 102027480 B CN102027480 B CN 102027480B CN 200880129247 A CN200880129247 A CN 200880129247A CN 102027480 B CN102027480 B CN 102027480B
- Authority
- CN
- China
- Prior art keywords
- system management
- management command
- safety
- electronic equipment
- limited
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 230000004044 response Effects 0.000 claims abstract description 6
- 230000006870 function Effects 0.000 description 8
- 230000008672 reprogramming Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
- G06F9/4408—Boot device selection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
这里公开的本发明的示范性实施例涉及一种提供系统管理命令的方法。该方法包括:从被授权的请求者接收识别该电子设备的信息和向该电子设备发出系统管理命令的请求。该方法另外包括:响应于该请求,提供系统管理命令、将该命令的源识别为可信源的信息和识别该电子设备的信息。另外公开了一种根据本发明的电子设备和计算机系统。
Description
背景技术
许多安全特征已被引入用于诸如计算机系统的电子设备中。安全特征的示例包括预引导认证、防盗和驱动加密,这些仅仅是几个示例。诸如指纹传感器、可信平台模块(TPM)和智能卡之类的安全令牌(token)的使用也正得到普及。这些特征大大地提高了电子设备的安全性。
但是,此提高的安全性有时对于被授权的维护人员以及该平台的拥有者引起问题。具体来说,可能请求被授权的维护人员执行系统管理功能,而安全特征已被设计成防止该系统管理功能。例如,被授权的维护人员可能需要对包含系统基本输入输出(BIOS)系统的系统存储器设备进行刷新升级(flash)以替换被破坏的程序信息。但是,对BIOS进行刷新升级可能需要不再可用的安全证书。安全证书可能由于许多原因而变得不可用。用户可能忘记或恶意地重置系统密码。需要其指纹来访问计算机的雇员可能从公司辞职或者另外不能或不愿意提供必要的认证。在这种情况下,合法的平台拥有者(拥有计算机的企业)可能被阻止访问该计算机。
作为另一个示例,被授权的用户可能希望重置由于安全特征而变得被禁用的电子设备的组件。如果例如系统经受过多数目的不良认证尝试,则作为安全措施,该组件可能被禁用。此外,诸如指纹读取器或TPM之类的系统安全设备可能损坏并且需要用新的硬件替换。如果被授权的维护人员不能访问所需的安全证书或者系统组件已经变得损坏或被禁用,则被授权的人员(使用被授权的人员来指代被授权的维护人员和平台拥有者二者)可能不能够执行系统管理功能以使系统或组件置于正常运转状态。此外,被授权的用户不能执行所需的管理功能可能导致否则非常重要的计算机系统永久地不能工作。
附图说明
在下面的详细描述中参考附图描述特定的示范性实施例,其中:
图1是根据本发明的示范性实施例的包括被适配为接收系统管理命令的计算机的计算机系统的基础设施的框图;和
图2是示出根据本发明的示范性实施例的使用系统管理命令来重置电子设备的安全受限的组件的方法的流程图。
具体实施方式
根据本发明的示范性实施例,计算机系统被适配为接收由诸如被授权的维护人员或平台拥有者之类的被授权的用户的请求引起的系统管理命令,而不管计算机需要的安全证书的持有情况。此外,根据本发明的系统管理命令允许被授权的用户执行否则将需要使用不再可用、最初从未被设置或不可提供给维护人员的安全证书的动作。举例来说,向维护人员提供诸如BIOS管理密码之类的重要的安全证书可能不是可行的或希望的。
可以使用根据本发明的示范性实施例的系统管理命令执行的功能的示例包括在没有密码认证的情况下执行系统引导、对系统BIOS的引导块区域进行刷新升级以及对系统BIOS的非引导块区域进行刷新升级。可以使用系统管理命令执行的功能的附加示例包括在没有正当的授权的情况下允许系统管理员特权、在没有正当的授权的情况下允许作为用户的设置访问、将系统BIOS重置为出厂默认状态或将系统BIOS重置为出厂默认状态同时保存诸如例如全球唯一标识符(UUID)之类的身份信息。进一步的示例包括将所有系统组件重置为出厂默认状态、去除所有BIOS用户、去除所有OS用户、去除所有BIOS安全性策略、去除所有用户或识别要使用的硬件简档。
可以使用系统管理命令执行的功能的附加示例是重置由于安全性原因已被禁用的系统组件。具体来说,系统管理命令可以用来禁用管理引擎(ME)、重置TPM、重置防盗技术(TDT)设备、重置指纹读取器、重置系统板等等。下面参考图1阐述的示例给出了关于可以如何采用系统管理命令来重置由于安全性原因已被禁用的系统组件的附加细节。
图1是计算机系统的基础设施的框图,其包括1)根据本发明的示范性实施例的被适配为接收系统管理命令的计算机;和2)可以产生可以在根据本发明的示范性实施例设计的计算机上运行的系统管理命令的可信服务器。基础设施总体由参考数字100指代。本领域普通技术人员将理解,图1所示的功能块和设备可以包括包含电路的硬件单元、包含存储在机器可读介质上的计算机代码的软件单元或硬件和软件单元的组合。另外,基础设施100的功能块和设备仅仅是可以在本发明的示范性实施例中实现的功能块和设备的一个示例。本领域普通技术人员将能够容易地基于特定电子设备的设计考虑来定义具体的功能块。
基础设施100包括被授权的用户的计算机102,其可以或可以不直接连接到可信服务器104。根据本发明的示范性实施例,诸如维护或修理人员之类的被授权的用户使用被授权的用户的计算机102,或直接登录到可信服务器104上并且基于预定义的标准被适当地认证。在认证之后,被授权的用户请求可信服务器104发出用于重置诸如安全受限的计算机106之类的电子设备的组件的系统管理命令。该安全受限的计算机106包括至少一个安全受限的组件。这里使用的术语“安全受限的”是指由于不能接收诸如密码、加密密钥、生物计量签名等等之类的安全证书而已经进入不能工作(non-functional)状态的组件或系统。将组件置于安全受限的状态的目的是阻止对该组件或由该组件保护的一些其它资源的未授权的访问。在很多情况下,将组件置于安全受限的状态的原因是因为未授权的源已经试图在没有提供所需的安全证书的情况下使用该组件。
本发明的示范性实施例被适配为,当包含安全受限的组件的电子设备的控制由被授权的源恢复时,允许被授权的用户在没有所需的安全证书的情况下使用系统管理命令重置该安全受限的组件。为了说明本发明的示范性实施例,以下讨论假定安全受限的计算机106具有至少一个在没有正当的安全证书的情况下安全受限的安全性组件。换句话说,安全受限的计算机106包括至少一个安全受限的组件。
在本发明的一个示范性实施例中,安全受限的计算机106包括系统板108。系统板108容纳安全受限的计算机106的主要组件,诸如系统处理器或CPU、系统存储器等等。系统板108也可以将系统BIOS110存储在诸如非易失性存储器之类的存储器设备中。系统BIOS被适配为控制启动或引导过程以及控制安全受限的计算机106的低级别的操作。
安全受限的计算机106可以具有多个级别的安全性。例如,第一级别的安全性可以包括预引导安全性。如果诸如通用串行总线(USB)令牌等等之类的安全证书不存在,则预引导安全性可以工作以禁用系统BIOS 110。第二级别的安全性可以包括硬盘驱动器加密。在具有硬盘驱动器加密的系统中,如果安全证书不存在或未由用户提供,则对存储在安全受限的计算机106的硬盘驱动器上的加密的数据的访问可能被拒绝。第三级别的安全性是操作系统访问。如果没有提供诸如密码之类的另一个安全证书,则对安全受限的计算机106的操作系统的访问可能被拒绝。根据本发明的示范性实施例,如果没有提供所需的安全证书中的任何一个,则可以将包括系统板108的安全受限的计算机106的一个或多个组件置于不工作状态,直到重置操作为止。
此外,安全受限的计算机106可以包括被设计为阻止数据盗窃或对系统资源的其它未授权访问的一个或多个安全性组件。在图1所示的示范性实施例中,安全受限的计算机106包括诸如指纹读取器112之类的生物计量访问设备。安全受限的计算机106也包括可信平台模块(TPM)114。
根据本发明的示范性实施例,为了重置安全受限的计算机106的安全受限的组件,诸如维护或修理人员之类的被授权的用户向可信服务器104请求发出用于重置安全受限的计算机106上的安全受限的组件的系统管理命令。用于重置安全受限的组件的请求可以包括用于将安全受限的组件初始化为出厂默认状态的请求。
与重置安全受限的组件的请求一起,被授权的用户向可信服务器104提供具体识别安全受限的计算机106的信息。在本发明的示范性实施例中,识别安全受限的计算机106的信息可以包括系统UUID、安全受限的计算机106的型号和/或序列号、资产标签、MAC地址等等。
可以限制对可信服务器104的访问以使得仅仅被授权的维护技术员或平台拥有者能够请求发出系统管理命令。可替换地,可能需要被授权的用户通过向可信服务器104提供诸如用户标识和密码之类的安全证书来证明他们的身份。
在接收到用于产生重置安全受限的计算机106的组件的系统管理命令的请求后,可信服务器104可以认证被授权的用户的身份。如果被授权的用户的身份被认证,则可信服务器104响应于该请求提供用于重置安全受限的计算机106的安全受限的组件的系统管理命令。系统管理命令可以对应于被授权的用户的请求中阐述的特定重置功能。
除了系统管理命令本身之外,可信服务器104也可以产生或以其他方式提供将可信服务器104识别为系统管理命令的可信源的信息。在本发明的一个示范性实施例中,将可信服务器104识别为可信源的信息可以包括私有密钥。此外,可以利用私有密钥来对可信服务器104提供的系统管理命令进行签名。如下所述,可信服务器104也提供识别安全受限的计算机106的信息,该信息由可信服务器104经由被授权的用户的计算机102或经由其它的输入从被授权的用户接收到。系统管理命令、将命令的源识别为可信源的信息和识别安全受限的计算机106的信息被共同称为图1中的“SMC”。
在本发明的一个示范性实施例中,如果安全受限的计算机106与可信服务器104位于相同的网络上并且安全受限的计算机106能够进行网络通信,则可以向安全受限的计算机106直接传递系统管理命令、将命令的源识别为可信源的信息和识别安全受限的计算机106的信息。可替换地,可以经由被授权的用户的计算机102将系统管理命令、将可信服务器104识别为它的源的信息和识别安全受限的计算机106的信息传递给被授权的用户。举例来说,可以将系统管理命令、将命令的源识别为可信源的信息和识别安全受限的计算机106的信息存储在与被授权的用户的计算机102有关的诸如USB令牌116、智能卡等等之类的安全性令牌上。被授权的用户可以将该令牌带到安全受限的计算机106并且使用该令牌来重置安全受限的组件,如下所述。
当系统管理命令、将重置命令的源识别为可信服务器104的信息和识别安全受限的计算机106的信息由安全受限的计算机106接收到时,安全受限的计算机106认证可信服务器104的身份。在本发明的一个示范性实施例中,安全受限的计算机106的系统BIOS 110能够访问公共密钥,该公共密钥对应于可信服务器104用来对系统管理命令进行签名的私有密钥。如果存储在安全受限的计算机106中的公共密钥不对应于可信服务器104使用的私有密钥,则安全受限的计算机106将拒绝执行用于重置安全受限的组件的系统管理命令。
本发明的示范性实施例可以为被授权的用户提供重新编程公共密钥的能力。此特征允许被授权的用户使用在被授权的用户的组织之外不知道的私有密钥/公共密钥对。具体来说,如果需要的话,被授权的用户可以选择安全受限的计算机106的厂家不知道的私有密钥/公共密钥对。
在本发明的一个示范性实施例中,可以在安全受限的计算机106中提供多个公共密钥槽(slot)。一个或多个公共密钥槽可以是可重新编程的。例如,特定的顾客可以利用其组织的公共密钥来重新编程密钥槽中的一个。提供某种增值功能的独立软件供应商(ISV)可以覆盖(override)另一个槽。可重新编程的特定密钥槽以及谁可以重新编程它们是实施方式的细节,并且不是本发明的必要特征。在一个示例中,可以基于先来先服务来重新编程密钥槽,或者可以为了特定目的指定特定密钥槽。一个密钥槽可以被指定为由OEM重新编程。第二密钥槽可以被指定用于顾客,第三密钥槽可以被指定用于ISV,等等。在一个示范性实施例中,指定的供生产计算机的OEM使用的密钥槽不是可重新编程的。
将公共密钥编程在附加的密钥槽中的实施方式细节是可以基于系统设计标准和/或安全性考虑而变化的实施方式细节。作为一个示例,来自于BIOS管理员的策略可以阻止任何附加的密钥被编程。而且,特定的密钥槽仅仅可以在与OEM合作之后才可编程。只有当允许密钥的供应(provisioning)的特殊系统管理命令由OEM提供时,才可以许可这样的密钥槽的重新编程。在一个示范性实施例中,可以允许终端顾客明确地开启经由BIOS管理密码或其它安全措施编程公共密钥的能力。可以关于供应ISV提供的公共密钥等实现相似的布置。
在本发明的一个示范性实施例中,不同的密钥槽被适配为允许执行不同级别的系统管理命令。例如,可以允许OEM级别的密钥槽执行任何系统管理命令,包括完全重写系统BIOS。可以限制其它密钥槽执行一些系统管理命令。具有多个许可级别的密钥的使用允许分层的命令许可/访问控制方案。
在本发明的一个示范性实施例中,安全受限的计算机106在执行重置安全受限的组件的系统管理命令以前还比较从可信服务器104接收的用于识别安全受限的计算机106的信息。如果识别安全受限的计算机106的信息不对应于例如存储在它的系统板108上的信息,则即使安全受限的计算机106存储的公共密钥对应于由可信服务器104提供的私有密钥,安全受限的计算机106也可以拒绝执行用于重置安全受限的组件的系统管理命令。用这样的方式,保护安全受限的计算机106免于黑客攻击,诸如用于重置安全受限的组件的未被授权的请求。
在本发明的一个示范性实施例中,系统BIOS 110可以充当系统管理命令处理器,其被适配为对从可信服务器104接收的信息做出响应并且如果从可信服务器104接收的信息被成功地认证,则执行例如重置安全受限的计算机106的安全受限的组件的系统管理命令。在安全受限的计算机106的重新引导后,系统BIOS 110可以被适配为检测特殊的按键序列,该特殊的按键序列被设计成通知系统BIOS 110系统管理命令正在被处理。BIOS然后可以认证将可信服务器104识别为可信源的信息,并且验证从可信服务器104接收的识别安全受限的计算机106的信息确实对应于存储在安全受限的计算机106中的识别信息。如果可信服务器104的身份和识别安全受限的计算机106的信息二者都被认证,则系统BIOS 110执行用于将安全受限的组件重置为可用状态(诸如出厂默认状态)的系统管理命令。在本发明的另一个示范性实施例中,使用可用协议中的任何一个将系统管理命令经由网络连接传递给安全受限的计算机106。系统管理命令可以由代理使用例如窗口管理工具(WMI)传递到BI OS。在重新引导后,系统BIOS110可以自动检测系统管理命令的传递并且开始命令处理序列。此外,本领域普通技术人员将理解,本发明的示范性实施例促进可以在系统的重置(重新启动)后处理的认证的和安全的系统管理命令的远程且自动的传递。
图2是示出根据本发明的示范性实施例的使用系统管理命令来重置电子设备的安全受限的组件的方法的流程图。该方法总体由参考数字200表示。
该方法从块202开始。在块204处,从被授权的用户接收发出重置电子设备的至少一个安全受限的组件的系统管理命令的请求。还接收识别电子设备的信息。在块206处,响应于在块204处接收的重置请求提供重置该至少一个安全受限的组件的系统管理命令。与系统管理命令本身一起,还提供将命令的源识别为可信源的信息和识别电子设备的信息。该方法在块208处结束。
本领域普通技术人员将理解,本发明的示范性实施例通过提供即使所需的安全证书不可用也向计算机系统发出系统管理命令的方式来降低信息技术维护费用。此外,本发明的示范性实施例提供一种重新使用由于不能提供所需的安全证书而否则将导致永久不能工作的组件的安全方式。
Claims (15)
1.一种使用系统管理命令来重置电子设备的安全受限的组件的方法,该方法包括:
从被授权的用户接收识别所述电子设备的信息和发出用于重置该电子设备的安全受限的组件的系统管理命令的请求;以及
认证被授权的用户的身份;
如果被授权的用户的身份被认证,则响应于该请求,提供用于重置所述电子设备的安全受限的组件的系统管理命令、将该系统管理命令的源识别为可信源的信息和识别该电子设备的信息;
其中,所述系统管理命令允许被授权的用户在没有所需的安全证书的情况下使用所述系统管理命令重置该安全受限的组件。
2.如权利要求1所述的方法,其中该安全受限的组件包括系统板。
3.如权利要求1所述的方法,其中该系统管理命令还包括在没有密码认证的情况下执行系统引导的请求。
4.如权利要求1所述的方法,其中该系统管理命令还包括对系统基本输入输出系统(BIOS)的区域进行刷新升级的请求。
5.如权利要求1所述的方法,包括向该电子设备传递该系统管理命令、识别该命令的源的信息和识别该电子设备的信息。
6.如权利要求1所述的方法,包括向被授权的用户传递该系统管理命令、识别该命令的源的信息和识别该电子设备的信息。
7.如权利要求1所述的方法,包括基于识别该命令的源的信息和识别该电子设备的信息的评估来执行该系统管理命令。
8.如权利要求1所述的方法,其中所述将该命令的源识别为可信源的信息包括私有加密密钥。
9.一种使用系统管理命令来重置电子设备的安全受限的组件的装置,包括:
用于从被授权的用户接收识别所述电子设备的信息和发出用于重置该电子设备的安全受限的组件的系统管理命令的请求的装置;以及
用于认证被授权的用户的身份的装置;
用于在被授权的用户的身份被认证的情况下响应于该请求而提供用于重置所述电子设备的安全受限的组件的系统管理命令、将该系统管理命令的源识别为可信源的信息和识别该电子设备的信息的装置;
其中,所述系统管理命令允许被授权的用户在没有所需的安全证书的情况下使用所述系统管理命令重置该安全受限的组件。
10.如权利要求9所述的使用系统管理命令来重置电子设备的安全受限的组件的装置,其中该安全受限的组件包括系统板。
11.如权利要求9所述的使用系统管理命令来重置电子设备的安全受限的组件的装置,其中该系统管理命令包括在没有密码认证的情况下执行系统引导的请求。
12.如权利要求9所述的使用系统管理命令来重置电子设备的安全受限的组件的装置,其中该系统管理命令包括对系统基本输入输出系统(BIOS)的区域进行刷新升级的请求。
13.如权利要求9所述的使用系统管理命令来重置电子设备的安全受限的组件的装置,其中该系统管理命令、识别该系统管理命令的源的信息和识别该电子设备的信息是由该电子设备从该可信源接收到的。
14.如权利要求9所述的使用系统管理命令来重置电子设备的安全受限的组件的装置,其中该系统管理命令、识别该系统管理命令的源的信息和识别该电子设备的信息是由该电子设备从被授权的请求者接收到的。
15.如权利要求9所述的使用系统管理命令来重置电子设备的安全受限的组件的装置,其中所述将该系统管理命令的源识别为可信源的信息包括私有加密密钥。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2008/063854 WO2009139779A1 (en) | 2008-05-16 | 2008-05-16 | System and method for providing a system management command |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102027480A CN102027480A (zh) | 2011-04-20 |
CN102027480B true CN102027480B (zh) | 2014-12-17 |
Family
ID=41318961
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200880129247.6A Expired - Fee Related CN102027480B (zh) | 2008-05-16 | 2008-05-16 | 用于提供系统管理命令的系统和方法 |
Country Status (9)
Country | Link |
---|---|
US (1) | US9143328B2 (zh) |
JP (1) | JP5373062B2 (zh) |
KR (1) | KR20110009679A (zh) |
CN (1) | CN102027480B (zh) |
BR (1) | BRPI0822164B1 (zh) |
DE (1) | DE112008003862B4 (zh) |
GB (1) | GB2472169B (zh) |
TW (1) | TWI494785B (zh) |
WO (1) | WO2009139779A1 (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5282477B2 (ja) * | 2008-08-12 | 2013-09-04 | 富士通株式会社 | 認証方法、プログラム、及び認証装置 |
CN101771564B (zh) * | 2008-12-31 | 2013-10-09 | 华为技术有限公司 | 会话上下文的处理方法、装置和系统 |
WO2010138109A1 (en) * | 2009-05-26 | 2010-12-02 | Hewlett-Packard Development Company, L.P. | System and method for performing a management operation |
US8924733B2 (en) * | 2010-06-14 | 2014-12-30 | International Business Machines Corporation | Enabling access to removable hard disk drives |
WO2012023050A2 (en) | 2010-08-20 | 2012-02-23 | Overtis Group Limited | Secure cloud computing system and method |
US9571489B2 (en) * | 2011-08-12 | 2017-02-14 | Sony Corporation | System and method for performing commands from a remote source |
US9378371B2 (en) * | 2013-03-13 | 2016-06-28 | Intel Corporation | Systems and methods for account recovery using a platform attestation credential |
CN106778359B (zh) * | 2015-11-20 | 2019-11-05 | 宏碁股份有限公司 | 重置出厂保护的解除方法及其电子装置 |
US10877673B2 (en) * | 2017-12-15 | 2020-12-29 | Microchip Technology Incorporated | Transparently attached flash memory security |
SE1850155A1 (en) | 2018-02-13 | 2019-08-14 | Fingerprint Cards Ab | Registration of data at a sensor reader and request of data at the sensor reader |
AU2019204724C1 (en) | 2019-03-29 | 2021-12-09 | Advanced New Technologies Co., Ltd. | Cryptography chip with identity verification |
KR20200116010A (ko) | 2019-03-29 | 2020-10-08 | 알리바바 그룹 홀딩 리미티드 | 아이덴티티 정보에 기초한 암호 키 관리 |
AU2019204723C1 (en) | 2019-03-29 | 2021-10-28 | Advanced New Technologies Co., Ltd. | Cryptographic key management based on identity information |
WO2019120323A2 (en) | 2019-03-29 | 2019-06-27 | Alibaba Group Holding Limited | Securely performing cryptographic operations |
US20230269094A1 (en) * | 2020-09-21 | 2023-08-24 | Hewlett-Packard Development Company, L.P. | Function activation |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1713101A (zh) * | 2005-07-12 | 2005-12-28 | 中国长城计算机深圳股份有限公司 | 计算机开机身份认证系统及其认证方法 |
CN1717082A (zh) * | 2004-07-02 | 2006-01-04 | 乐金电子(中国)研究开发中心有限公司 | 移动通信终端的防盗方法及其系统 |
Family Cites Families (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS62131352A (ja) | 1985-12-04 | 1987-06-13 | Fujitsu Ltd | アドレス変換制御方式 |
JPS62231352A (ja) * | 1986-03-31 | 1987-10-09 | Toppan Moore Co Ltd | Icカ−ド |
JPH06124266A (ja) * | 1992-04-27 | 1994-05-06 | Toshiba Corp | パスワード管理装置及び管理方法 |
US5892906A (en) * | 1996-07-19 | 1999-04-06 | Chou; Wayne W. | Apparatus and method for preventing theft of computer devices |
JPH1185701A (ja) | 1997-09-09 | 1999-03-30 | Fuji Xerox Co Ltd | 情報処理装置 |
US6370650B1 (en) * | 1998-10-08 | 2002-04-09 | International Business Machines Corporation | Method and system in a data processing system for deactivating a password requirement utilizing a wireless signal |
KR20000060992A (ko) | 1999-03-22 | 2000-10-16 | 윤종용 | 고유번호가 저장된 리모트 콘트롤러 및 이를 구비한 컴퓨터 시스템 |
US6715074B1 (en) | 1999-07-27 | 2004-03-30 | Hewlett-Packard Development Company, L.P. | Virus resistant and hardware independent method of flashing system bios |
US7089300B1 (en) * | 1999-10-18 | 2006-08-08 | Apple Computer, Inc. | Method and apparatus for administering the operating system of a net-booted environment |
US6795855B2 (en) | 2001-04-05 | 2004-09-21 | Hewlett-Packard Development Company, L.P. | Non-root users execution of root commands |
US20030070099A1 (en) * | 2001-10-05 | 2003-04-10 | Schwartz Jeffrey D. | System and methods for protection of data stored on a storage medium device |
US7093124B2 (en) * | 2001-10-30 | 2006-08-15 | Intel Corporation | Mechanism to improve authentication for remote management of a computer system |
US20040225883A1 (en) | 2003-05-07 | 2004-11-11 | Weller Michael K. | Method and apparatus providing multiple single levels of security for distributed processing in communication systems |
JP2005332093A (ja) | 2004-05-18 | 2005-12-02 | Sharp Corp | 保守作業システム管理装置、認証装置、携帯情報端末装置、コンピュータプログラム、記録媒体、及び保守作業システム |
US8667580B2 (en) * | 2004-11-15 | 2014-03-04 | Intel Corporation | Secure boot scheme from external memory using internal memory |
US20060129797A1 (en) * | 2004-12-15 | 2006-06-15 | Palo Alto Research Center, Inc. | Hardware-supported secure network boot |
TW200636487A (en) | 2005-04-15 | 2006-10-16 | Uli Electronics Inc | Transmission method of system command in computer system |
US7516478B2 (en) * | 2005-06-03 | 2009-04-07 | Microsoft Corporation | Remote management of mobile devices |
TW200731088A (en) | 2005-12-01 | 2007-08-16 | Advanced Micro Devices Inc | Low complexity, multi-purpose communications device and information client |
US8973094B2 (en) | 2006-05-26 | 2015-03-03 | Intel Corporation | Execution of a secured environment initialization instruction on a point-to-point interconnect system |
KR100782620B1 (ko) * | 2006-07-11 | 2007-12-06 | 엘지전자 주식회사 | 암호키 생성 장치 및 방법 |
US8220037B2 (en) * | 2006-12-12 | 2012-07-10 | Oracle International Corporation | Centralized browser management |
US7953967B2 (en) * | 2007-01-12 | 2011-05-31 | Konica Minolta Business Technologies, Inc. | Information processing apparatus and program |
US9083624B2 (en) * | 2007-03-02 | 2015-07-14 | Activetrak, Inc. | Mobile device or computer theft recovery system and method |
US8838965B2 (en) * | 2007-08-23 | 2014-09-16 | Barracuda Networks, Inc. | Secure remote support automation process |
US8301907B2 (en) * | 2007-09-28 | 2012-10-30 | Intel Corporation | Supporting advanced RAS features in a secured computing system |
US8543799B2 (en) * | 2008-05-02 | 2013-09-24 | Microsoft Corporation | Client authentication during network boot |
US8666367B2 (en) * | 2009-05-01 | 2014-03-04 | Apple Inc. | Remotely locating and commanding a mobile device |
US8660530B2 (en) * | 2009-05-01 | 2014-02-25 | Apple Inc. | Remotely receiving and communicating commands to a mobile device for execution by the mobile device |
US9258715B2 (en) * | 2009-12-14 | 2016-02-09 | Apple Inc. | Proactive security for mobile devices |
US8935384B2 (en) * | 2010-05-06 | 2015-01-13 | Mcafee Inc. | Distributed data revocation using data commands |
-
2008
- 2008-05-16 BR BRPI0822164A patent/BRPI0822164B1/pt not_active IP Right Cessation
- 2008-05-16 JP JP2011509458A patent/JP5373062B2/ja not_active Expired - Fee Related
- 2008-05-16 GB GB201019151A patent/GB2472169B/en not_active Expired - Fee Related
- 2008-05-16 CN CN200880129247.6A patent/CN102027480B/zh not_active Expired - Fee Related
- 2008-05-16 KR KR20107025737A patent/KR20110009679A/ko not_active Application Discontinuation
- 2008-05-16 WO PCT/US2008/063854 patent/WO2009139779A1/en active Application Filing
- 2008-05-16 DE DE112008003862.7T patent/DE112008003862B4/de not_active Expired - Fee Related
- 2008-05-16 US US12/992,856 patent/US9143328B2/en not_active Expired - Fee Related
-
2009
- 2009-05-12 TW TW098115690A patent/TWI494785B/zh not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1717082A (zh) * | 2004-07-02 | 2006-01-04 | 乐金电子(中国)研究开发中心有限公司 | 移动通信终端的防盗方法及其系统 |
CN1713101A (zh) * | 2005-07-12 | 2005-12-28 | 中国长城计算机深圳股份有限公司 | 计算机开机身份认证系统及其认证方法 |
Also Published As
Publication number | Publication date |
---|---|
KR20110009679A (ko) | 2011-01-28 |
US9143328B2 (en) | 2015-09-22 |
TWI494785B (zh) | 2015-08-01 |
DE112008003862B4 (de) | 2020-06-25 |
JP5373062B2 (ja) | 2013-12-18 |
US20110066839A1 (en) | 2011-03-17 |
CN102027480A (zh) | 2011-04-20 |
GB2472169A (en) | 2011-01-26 |
GB201019151D0 (en) | 2010-12-29 |
DE112008003862T5 (de) | 2011-05-12 |
BRPI0822164A2 (pt) | 2015-06-16 |
TW200949603A (en) | 2009-12-01 |
JP2011521351A (ja) | 2011-07-21 |
WO2009139779A1 (en) | 2009-11-19 |
BRPI0822164B1 (pt) | 2019-09-10 |
GB2472169B (en) | 2013-03-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102027480B (zh) | 用于提供系统管理命令的系统和方法 | |
CN102449631B (zh) | 用于执行管理操作的系统和方法 | |
JP3918827B2 (ja) | セキュアリモートアクセスシステム | |
RU2321055C2 (ru) | Устройство защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем | |
US9767264B2 (en) | Apparatus, method for controlling apparatus, and program | |
US20100313011A1 (en) | Identity Data Management in a High Availability Network | |
CN111414612B (zh) | 操作系统镜像的安全保护方法、装置及电子设备 | |
WO2019177563A1 (en) | Hardware security | |
US10855451B1 (en) | Removable circuit for unlocking self-encrypting data storage devices | |
US10460110B1 (en) | Systems and methods for unlocking self-encrypting data storage devices | |
CN111953634B (zh) | 终端设备的访问控制方法、装置、计算机设备和存储介质 | |
KR20190062797A (ko) | 클라우드 서비스를 사용하는 사용자 단말기, 단말기의 보안 통합 관리 서버 및 단말기의 보안 통합 관리 방법 | |
CN116702114A (zh) | 一种组件认证方法及装置 | |
CN112560116A (zh) | 一种功能控制方法、装置和存储介质 | |
CN113935013A (zh) | 用于对控制设备进行安全更新的方法 | |
US11443075B2 (en) | Secure storage system | |
JP2007164681A (ja) | 認証方法、認証プログラム、認証システムおよびメモリカード | |
WO2023180804A1 (pt) | Método e sistema de bloqueio de um sistema informático à base de bilhetes | |
CN117235818A (zh) | 基于固态硬盘的加密认证方法、装置、计算机设备及介质 | |
CN117150473A (zh) | 安全访问方法、装置、电子设备及计算机可读存储介质 | |
CN114598456A (zh) | 一种密钥管理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141217 |
|
CF01 | Termination of patent right due to non-payment of annual fee |