CN107534839A - 自定位计算设备、系统和方法 - Google Patents
自定位计算设备、系统和方法 Download PDFInfo
- Publication number
- CN107534839A CN107534839A CN201580079570.7A CN201580079570A CN107534839A CN 107534839 A CN107534839 A CN 107534839A CN 201580079570 A CN201580079570 A CN 201580079570A CN 107534839 A CN107534839 A CN 107534839A
- Authority
- CN
- China
- Prior art keywords
- computing device
- location tags
- information
- wcem
- certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/33—Services specially adapted for particular environments, situations or purposes for indoor environments, e.g. buildings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
- Debugging And Monitoring (AREA)
Abstract
描述了自定位计算设备、系统和方法的实施例。在一些实施例中,计算设备可以包括用于检测一个或多个位置标签的无线凭证交换模块(WCEM);以及管理引擎,其耦合到WCEM,以从WCEM取回一个或多个位置标签的信息,以及向资产管理服务器提供计算设备的标识符和一个或多个位置标签的信息或计算设备的位置信息。可以描述和/或要求保护其他实施例。
Description
技术领域
本公开一般涉及计算技术领域,更具体地,涉及自定位计算设备、系统和方法,包括对计算设备和可信计算的资产管理的应用。
背景技术
在数据中心中的各种计算资产(如服务器、网络设备、存储设备等)的智能跟踪在计算资产的维护、控制资本和运营支出以及最终优化总体拥有成本(TCO)方面至关重要。已经使用各种方案来跟踪计算资产,例如服务器,从使用电子表格的基本方案到使用基于红外(IR)的资产标签或者安装在服务器机箱上的启用无线射频识别(RFID)的标签的高级方案。这些方案的缺点是对计算资产的实际位置或计算资产的性质不可知。
此外,在大型数据中心或公共云中,许多最终用户提出了其工作负载在属于可信计算区域的IT资产(例如,服务器,以及网络和存储设备)上执行的要求,这可能会受到物理或地理边界的约束。
本文提供的背景描述用于一般呈现本公开的上下文。除非本文另有说明,本节中描述的材料不是本申请中权利要求的现有技术,并且不因包含在该部分而承认是现有技术或现有技术的暗示。
附图说明
通过以下结合附图的详细描述将容易理解实施例。为了便于该描述,相似的附图标记表示相似的结构元件。在附图的附图中通过示例而非限制的方式来说明实施例。
图1是示出根据各种实施例的包含本公开的各方面的具有自定位计算设备的示例资产管理系统的示意图。
图2是示出根据各种实施例的合并本公开的各方面的示例性自定位计算设备的示意图。
图3是根据各种实施例的合并本公开的各方面的可由示例性计算设备实施的用于自定位计算设备的示例性过程的流程图。
图4是根据各种实施例的合并本公开的各方面的可由示例性计算设备实施的示例测量启动流的示意图。
图5是根据各种实施例的合并本公开的各方面的可由示例性计算设备实施的用于可信计算的示例性过程的流程图。
图6示出了根据各种实施例的适用于实施本公开的示例性计算设备。
图7示出了根据各种实施例的合并本公开的各方面的具有编程指令的制品。
具体实施方式
描述了自定位计算设备、系统和方法的实施例,包括对计算设备和可信计算的资产管理的应用。在一些实施例中,计算资产管理系统可以包括具有相应已知位置的多个位置标签,以及配置有多个位置标签的信息并被配置为从设备查询信息的资产管理服务器。计算设备可以包括用于检测耦合到无线凭证交换模块(WCEM)的一个或多个位置标签和管理引擎的WCEM,以从WCEM取回一个或多个位置标签的信息,并且向资产管理服务器提供计算设备的标识符以及计算设备的一个或多个位置标签的信息或位置信息以自定位计算设备。
在一些实施例中,自定位计算设备可以中断测量启动流;检测计算设备外部的一个或多个位置标签;至少部分地基于一个或多个位置标签的信息来确定计算设备的位置;基于计算设备的位置或者一个或多个位置标签中的至少一个位置标签的信息的可信版本来认证计算设备的位置或一个或多个位置标签的信息,以自定位计算设备;并且在成功认证时恢复测量启动流。下面将更全面地描述本公开的这些方面和其它方面。
在下面的详细描述中,参考形成其一部分的附图,其中相似的附图标记始终表示相似的部分,并且其中通过图示说明的方式示出了可以实施的实施例。应当理解,在不脱离本公开的范围的情况下,可以使用其他实施例并且可以进行结构或逻辑改变。因此,下面的详细说明不应在限制意义上考虑,并且实施例的范围由随附权利要求及其等同内容来限定。
各种操作可以以对理解所要求保护的主题最有帮助的方式依次描述为多个离散动作或操作。然而,描述的顺序不应被解释为意味着这些操作必然是依赖于顺序的。特别地,这些操作可能不按照呈现的顺序执行。所描述的操作可以以与所描述的实施例不同的顺序执行。可以在附加实施例中执行各种附加操作或可以省略所描述的操作。
为了本公开的目的,短语“A和/或B”表示(A),(B)或(A和B)。为了本公开的目的,短语“A,B和/或C”是指(A),(B),(C),(A和B),(A和C),(B和C),或(A,B和C)。如果公开内容提到“一个”或“第一”元素或其等同物,则该公开内容包括一个或多个这样的元素,既不要求也不排除两个或更多个这样的元素。此外,用于识别的元素的顺序指示符(例如,第一,第二或第三)用于区分元素,并且不表示或暗示所需的或有限数量的这些元素,也不表示这样的元素的特定的位置或顺序,除非另有具体说明。
在描述中对一个实施例或实施例的引用意味着结合实施例描述的特定特征、结构或特性被包括在本发明的至少一个实施例中。该描述可以使用短语“在一个实施例中”,“在另一个实施例中”,“在一些实施例中”,“在实施例中”,“在各种实施例中”等,其可以各自指代一个或多个相同的或不同的实施例。此外,关于本公开的实施例使用的术语“包括”,“包含”,“具有”等等是同义词。
在实施例中,术语“模块”可以指执行一个或多个软件或固件程序、组合逻辑电路和/或提供所描述功能的其它合适的组件的专用集成电路(ASIC)、电子电路、处理器(共享、专用或组)和/或存储器(共享、专用或组),是其一部分或包括这些。在实施例中,可以在固件、硬件、软件或固件、硬件和软件的任何组合中实现模块。
现在参考图1,示出了根据各种实施例的具有自定位计算设备的示例性计算资产管理系统(AMS)100。在各种实施例中,AMS 100可以包括资产管理器130,其与诸如设备114、设备142、设备124和设备152之类的位于例如机架110和机架120上的各种计算设备(以下简称“设备”)通信地耦合。如下面将更详细描述的,资产管理器130、自定位单元140、自定位单元150和其他设备可以分别结合本公开的对应教导,以实现AMS 100中的资产管理。在各种实施例中,设备114、设备142、设备124、设备152或另一设备可以配备有实现自定位的合适的模块,例如结合图2所示的模块。
在实施例中,AMS 100可以包括一个或多个无线和/或有线网络(未示出)以将设备操作地耦合在一起。AMS 100可以经由公共和/或专用网络访问,例如但不限于因特网、电话网络(例如公共交换电话网络(PSTN)、局域网(LAN)、广域网络(WAN)、有线网络、以太网等。无线通信网络可以包括无线个人区域网络(WPAN)、无线局域网(WLAN)、无线城域网(WMAN)和/或无线广域网(WWAN)的各种组合。
在AMS 100中,这些设备中的一些或全部可以通过例如经由LAN或WLAN联网到彼此而具有直接或间接访问。在一些实施例中,资产管理器130和设备(例如,设备114)可以被配置为通过LAN或甚至因特网使用因特网协议(IP)来彼此通信。在一些实施例中,设备142和标签146可以被配置为例如使用专用短距离通信(DSRC)、近场通信(NFC)、蓝牙或用来传送数据的电磁场的无线使用(例如RFID)来彼此通信。认识到上述通信技术仅仅表示可以在这些设备之间使用的潜在的基础通信技术,在其他实施例中,可以使用不同的通信技术。
在各种实施例中,设备114、设备142、设备124、设备152或AMS 100中的其他设备可以是自定位设备。在一些实施例中,自定位设备可以检测其位置,然后相应地通知资产管理器130。在其他实施例中,自定位设备可以向资产管理器130提供位置信息,以使资产管理器130能够确定其位置。在各种实施例中,自定位设备可以检测其自己的位置的改变并向资产管理器130报告这种改变。在各种实施例中,自定位设备可以以规律的时间间隔或随机的时间间隔间歇地向资产管理器130报告其自己的位置或位置信息。因此,资产管理器130可以利用这些资产的位置信息来管理AMS 100中的各种资产。
在各种实施例中,可以使用AMS 100来实现各种用例,诸如服务器资产管理,服务器位置跟踪和审计,数据中心冷却和气流优化等。在各种实施例中,也可以使用AMS 100来基于这些资产的位置信息来实现解决基于物理和软件的攻击的端对端安全解决方案。作为示例,资产管理器130可以确保特定虚拟机(VM)或应用程序被绑定到位置中的期望的可信区域或特定位置中的期望服务器。在各种实施例中,AMS 100还可以用于基于服务器的位置信息来使服务器中的测量启动流能够实现。下面将结合图2和图4更充分地描述本公开的这些方面和其它方面。
AMS 100可以使用诸如标签146、标签112、标签122或标签156的多个无源或有源标签来识别诸如数据中心的系统内的特定位置。在一些实施例中,可将唯一的无源标签分配给数据中心中的每个机架。在一些实施例中,可将唯一的无源标签分配给机架110或机架120中的每个插槽。每个标签及其位置可被记录在资产管理器130可访问的文件或数据库中。在一些实施例中,无源或有源标签可以在战略上分配到机架或服务器机房中的选定位置,以便可以例如基于三角测量法来确定设备的位置。在一些实施例中,标签146、标签112、标签122或标签156可以是基于RFID的标签。RFID标签可以是基于超高频(UHF)或高频(HF)的RFID标签。RFID标签可能是无源的和电池支持的或有源的。
在各种实施例中,AMS 100中的设备可以具有内置的单元来感测其位置,例如基于其集成的或附加的RFID读取器能力。在一些实施例中,无线凭证交换模块(WCEM)154可以集成到设备152的服务器板中。在一些实施例中,WCEM 144可以经由USB端口连接到设备142。在一些实施例中,WCEM 154或144可以包括RFID读取器模块,其可以是EPCglobal UHFClass1Generation 2(EPC Gen2)兼容的RFID读取器模块。
在各种实施例中,AMS 100中的设备可以通过其WCEM来确定其位置,以用作RFID读取器。RFID标签可以用作路标,以帮助设备定位自身。因此,设备可能成为端到端资产跟踪和管理系统中的智能自定位和自跟踪资产。作为示例,在自定位单元140中,设备142可以通过命令WCEM 144从标签146取回位置信息来确定其位置。类似地,在自定位单元150中,设备152可以通过命令WCEM 154从标签156取回位置信息来确定其位置。在一些实施例中,由标签提供的这样的位置信息可以包括标签的标识符,诸如其序列号。在一些实施例中,由标签提供的这种位置信息可以包括标签的预定位置,例如房间标识符、机架标识符、时隙标识符、GPS信息或其他类似的位置信息。
在一些实施例中,WCEM可以感测其最近的位置标签并将其自身与该位置关联。因此,AMS 100中的设备可以跟踪其自身及其位置。AMS 100中的设备可以与资产管理器130通信,资产管理器130可以跟踪设备所在(例如,机架的位置矩阵中的位置)的平台位置(例如,时隙)、标签数据库或资产数据库。在各种实施例中,资产管理器130还可以通过心跳消息执行与设备健康有关的内务处理。作为示例,资产管理器130可以将这样的心跳消息发送到设备152,并且使得设备152报告其当前位置和平台信息。因此,AMS 100满足现代数据中心所需的一些高级安全和资产跟踪要求。
现在参考图2,示出了根据各种实施例的并入本公开的各方面的自定位设备,设备210的示例性的实现方式。在一些实施例中,设备210可以是家庭中的物联网(IoT)器具。在一些实施例中,设备210可以是服务器机房或数据中心中的计算机。在各种实施例中,设备210可以类似于图1描绘的设备之一,例如设备142或设备152,或者可以由资产管理系统100管理的任何设备。
在各种实施例中,设备210可以包括WCEM 220、管理引擎(ME)230和板管理控制器(BMC)240。在各种实施例中,WCEM 220可以包括读取器222和电池224。在一些实施例中,BMC240可以包括设备标识符(D-ID)242,其包含设备210的各种标识信息。在一些实施例中,D-ID 242可以位于BMC 240的外部,但仍然可以被ME 230或BMC 240访问。在一些实施例中,设备210可以具有可以存储在BMC 240的非易失性随机存取存储器(NVRAM)中的默认资产标签。ME 230可以使用位置标签(例如,标签270)的信息来扩增默认资产标签。
在各种实施例中,设备210可利用一个或多个无线或有线网络与资产管理器260进行通信,资产管理器260可以与图1的资产管理器130相似起作用。那些网络可以包括公共和/或专用网络,例如但不限于LAN、广域网(WAN)或因特网。在一些实施例中,那些网络可以包括像无线个人区域网络(WPAN)、无线LAN(WLAN)、无线城域网(WMAN)或无线广域网(WWAN)的无线网络。在一些实施例中,那些网络还可以包括蜂窝网络。
在各种实施例中,WCEM 220可以感测位置标签(例如,标签270),并且暴露标准注意(AT)命令接口以允许平台固件(例如,ME 230)与WCEM 220通信。ME 230可以包括通过周期地或按需地询问来自WCEM 220的位置标签来启用位置感知的固件和软件驱动器。此外,ME 230可以将从标签270取回的、与诸如从D-ID 242选择的序列号(SN)的设备标识符组合的位置标签信息例如经由带外智能平台管理接口(IPMI)或数据中心可管理性接口(DCMI)来提供给资产管理器260。
在一些实施例中,WCEM 220可以是车载芯片。读取器222可以是板上嵌入式电池支持的芯片,其连接到平台控制器中心(PCH)以允许来自ME 230的控制,其中PCH可以控制某些数据路径并支持与处理器一起使用的功能,例如系统时钟、灵活显示接口(FDI)或直接媒体接口(DMI)。在一些实施例中,WCEM 220可以是具有小能量占用空间的附加卡。读取器222可以是集成的RFID读取器芯片,例如AS3992。WCEM 220可以通过电池224来进行电池支持,电池224可以是板上的纽扣电池(例如,互补金属氧化物半导体(CMOS)电池)。电池224可以确保即使当设备210断电时也可以定位设备210,从而增强跟踪和安全性。在各种实施例中,WCEM 220可以至少部分地通过ME 230经由USB端口、系统管理总线(SMBus)或内部集成电路(I2C)来控制。
当设备210移动到一个位置时,WCEM 220可以通过针对位置标签感测其邻域来确定其位置。在一些实施例中,然后可以将最近的位置标签(例如,标签270)选择为设备210的位置ID。在这种情况下,WCEM 220可以确定标签270是否是由WCEM 220感测的多个位置标签中的最接近的位置标签,例如,基于相对信号力强度(RSSI)或到达时间差(TDOA)。
在一些实施例中,标签270可携带区域信息。作为示例,区域可以被定义为房间、房间的部分空间或机架。因此,ME 230可以基于与标签270相关联的区域信息来确定设备210的位置信息。
在一些实施例中,WCEM 220可以检测来自至少两个位置标签的信号的相应角度。因此,ME 230可以至少部分地基于来自至少两个位置标签的信号的相应角度来确定设备210的位置信息,例如使用测角法。
在一些实施例中,WCEM 220可以检测至少四个位置标签。因此,ME 230可以至少部分地基于来自至少四个位置标签的信号的相对信号力强度(RSSI)或到达时间差(TDOA)来确定设备210的位置信息。
在各种实施例中,WCEM 220可以确定设备210的位置信息,并向ME 230发送消息以将位置记录在内部存储库中。在一些实施例中,ME 230然后可以向BMC 240发送消息以更新D-ID 242以包括新发现的标签270的标签信息或设备210的位置。
在一些实施例中,ME 230可拦截来自资产管理器260的用于查询设备210的位置和/或平台信息的命令。作为示例,这样的命令可以包括获取资产标签IPMI命令以针对其位置查询设备210。作为另一示例,ME 230可以用作BMC 240的代理,以从这些命令中提取系统资产标签信息。在一些实施例中,BMC 240可以将来自D-ID 242的所选择的设备标识符提供给ME 230。因此,ME 230可以将设备210的位置信息与所选择的设备标识符一起报告给资产管理器260。
在一些实施例中,ME 230还可以将平台数据与位置数据一起捆绑。平台数据可以包括联网信息,例如网络利用率或带宽。平台数据可能包括处理器或存储器利用率。平台数据还可能包括设备健康信息,如设备错误,可靠性,可用性和可维护性(RAS)事件,挂起状况,掉电状况等。平台数据还可能包括其他资产信息,如固件版次,基本输入/输出系统(BIOS)信息,制造或返工标识符,制造商信息,操作系统(OS)许可信息等。
在一些实施例中,ME 230可以基于预定间隔周期性地从WCEM 220查询和接收位置标签的信息,以检测设备210的位置的任何改变,并且使用智能平台管理接口(IPMI)或数据中心可管理性接口(DCMI)与资产管理器260进行通信。这样产生了执行信标或心跳以进行位置感知以及资产健康监控的能力,从而提高平台安全性和地理标记能力。
在一些实施例中,资产管理器260可以使用IPMI或DCMI周期性地查询设备210的位置信息。IPMI使自主计算机子系统能够独立于主机系统上的中央处理单元(CPU)、固件或操作系统提供管理和监控能力。DCMI规范与IPMI密切相关,并进一步为硬件管理定义了一套统一的监控和控制特征。因此,即使设备210断电或由于其他原因无响应,在一些实施例中,ME 230仍然可以将位置信息传递给资产管理器260。
在各种实施例中,设备210还可以包括可信平台模块(TPM)250。TPM 250可用于通过将密码密钥集成到设备210中来保护硬件,从而确保平台的完整性。在各种实施例中,TPM250可以包括位置标识符(L-ID)252和启动控制策略(LCP)254。L-ID 252和LCP 254可用于认证设备210,例如通过将当前行为与已知的设备210的真实行为进行比较。在一些实施例中,TPM 250可以是独立芯片。在一些实施例中,TPM 250可以共同位于现有主板芯片上。在一些实施例中,TPM 250可以被实现为ME 230中的组件。
在一些实施例中,TPM 250可以形成用于设备210的信任根,例如,用于可信执行路径(TEP)或测量启动流(MLF)。在一些实施例中,可以使用一个或多个位置标签的信息(例如,L-ID中的信息)和计算设备的芯片组密钥(例如,在D-ID 242中的信息)的组合来为MLF生成信任根。TPM 250可以包含允许安全存储和报告安全相关度量的一个或多个平台配置寄存器(PCR)。在一些实施例中,L-ID 252或LCP 254可以存储在这样的PCR中。在一些实施例中,TPM 250还可以包括可以安全地存储L-ID 252或LCP 254的安全非易失性(NV)存储设备(例如非易失性随机存取存储器(NVRAM))。在一些实施例中,ME 230可以将由WCEM 220报告的位置信息存储在TPM250中的L-ID 252、内部寄存器或PCR中。类似地,ME 230还可以具有用于保存L-ID 252或LCP 254的内部非易失性储存库。
L-ID 252或LCP 254可以用于设备210以检测对先前配置的改变。因此,设备210或外部设备管理器可以基于这种检测到的改变来确定是否继续MLF或TEP。作为示例,设备210的引导过程可以包括MLF。设备210可以从可信条件(例如,由LCP 254定义的密钥)开始引导过程,并且扩展该信任,直到操作系统完全启动并且应用程序正在运行。在一些实施例中,可信条件可以包括存储在L-ID252中的位置信息。作为示例,设备210可以允许MLF仅在在引导时或运行时由WCEM 220检测到的位置信息与存储在L-ID 252中的位置信息匹配时才进行。在一些实施例中,可信条件可以包括基于存储在L-ID 252中的位置信息和存储在D-ID242中的设备信息的组合的散列值。作为示例,设备210可以允许MLF仅在引导时或运行时获得的这种散列值与存储在LCP 254中的这种散列值相匹配时才进行。
在一些实施例中,可信池管理器服务器(TPMS)280可用于将服务器池管理为用户的可信服务器、一种虚拟机或应用类型。作为示例,TPMS 280可以将图1的机架110中的所有服务器作为一个客户端的可信服务器池进行管理,同时将图2的机架120中的所有服务器作为另一客户端的可信服务器池来管理从而缓解混合客户端的数据的风险。作为另一示例,TPMS 280可以与负载均衡器、工作负载调度器或Cloud OS(例如,和)接合以将VM捆绑到特定的物理位置,例如在设备210的情况下基于L-ID 252。因此,不同的VM或应用可能被绑定到不同的物理位置。
在一些实施例中,TPMS 280可以存储或能够访问所有提供的位置标签的信息。在一些实施例中,TPMS 280可用于提供位置标签(例如,标签270)。因此,TPMS 280可以基于其附近的位置标签来管理计算设备(例如,设备210)的位置信息。在一些实施例中,TPMS 280可以在LCP 282中定义位置相关度量,并将LCP 282分发给相关服务器。作为示例,TPMS 280可以向设备210提供LCP 282用于更新LCP 254。因此,TPMS 280可以使得各个服务器能够基于它们各自的位置来创建安全的绑定。
现在参考图3,它是用于自定位设备的示例性过程的流程图,其可以根据各种实施例由示例设备实现。过程300可以由包括硬件(例如,电路,专用逻辑,可编程逻辑,微代码等),软件(例如,在处理设备上运行以执行硬件模拟的指令)或其组合的处理逻辑来执行。处理逻辑可以被配置为便于自定位和报告。因此,过程300可以由计算设备(例如,图2的设备210)来执行,以实现本公开的一个或多个实施例。在实施例中,例如根据用于资产管理的特定实施例,图3中的各个块可以以任何合适的顺序组合或布置。
在实施例中,该过程可以在框310开始,其中可以由计算设备(例如,图2的设备210)感测和选择一个或多个位置标签。在一些实施例中,设备210可感测来自一个或多个位置标签的EPCglobal UHF Class 1 Generation 2(EPC Gen2)兼容的RFID信号。在一些实施例中,感测可以至少部分地基于预定时间间隔周期性地进行。在一些实施例中,可以基于来自一个或多个位置标签的信号的相对信号力强度(RSSI)或到达时间差(TDOA)来选择一个或多个位置标签。
接下来,在框320处,可以至少部分地基于与一个或多个位置标签相关联的相关信息,例如由设备210确定计算设备的位置。在一些实施例中,这种确定可以至少部分地基于与一个或多个位置标签中的位置标签相关联的区域信息,其中区域可以是预定义的空间或位置。在一些实施例中,这种确定可以至少部分地基于来自一个或多个位置标签的信号的相应的角度。在一些实施例中,这种确定可以至少部分地基于来自一个或多个位置标签的信号的相对RSSI或TDOA。
接下来,在框330,可以从计算设备的多个识别信息或计算设备(例如,设备210)的平台数据中选择标识符。在各种实施例中,多个标识符可以包括系统资产标识符、固件版次信息、基本输入/输出系统(BIOS)版次信息、返工标识符、制造商信息或操作系统(OS)许可信息。平台数据可能包括联网信息、设备错误、RAS事件、挂起状况或掉电状况。
接下来,在框340,计算设备的标识符或平台数据以及计算设备的位置或一个或多个位置标签的信息可以例如由设备210提供给资产管理服务器,例如,资产管理器260。在各种实施例中,可以使用智能平台管理接口(IPMI)或数据中心可管理接口(DCMI)将这样的信息提供给资产管理服务器。在一些实施例中,可以响应于来自资产管理服务器的命令或查询而将这样的信息提供给资产管理服务器。
图4是根据各种实施例的包含本公开的各方面的示例性计算设备可以实施的示例性测量启动流(MLF)400的示意图。如图4所示,MLF 400(例如,系统引导序列)可以包括启动CPU微代码410、认证代码模块(ACM)420、基本输入/输出系统(BIOS)430、测量启动环境(MLE)440和操作系统(OS)或虚拟机管理器(VMM)450。在其他实施例中,MLF 400可以包括更少或更多个启动块,如图4所示。
在各种实施例中,可信计算可以基于计算设备(例如,服务器)的引导时指纹的认证。例如,的可信执行技术(TXT)是其中一个例子,它提供了认证支持服务器计算环境的软件栈的能力。此外,通过地理标记,可以针对服务器的地理位置来指定附加的启动偏好,以便确保工作负载或虚拟机与物理上位于优选的地理位置的可信池中的特定服务器或服务器集合的捆绑。
然而,在各种实施例中,服务器的物理位置需要被保证为可靠的。换句话说,如果服务器从其原始位置移除(例如,由于永久性硬件问题而被重新定位到不同的机架或丢失),则服务器可能需要从原始信任池中移除或以其他方式被隔离。
在各种实施例中,MLF 400可以用位置信息460、启动控制策略(LCP)470或硬件信息480来扩增。在一些实施例中,位置信息460可以包括服务器的位置标签,并且硬件信息480可以包括服务器的芯片组密钥。位置标签可以与芯片组密钥组合以产生可以形成MLF400的信任根的唯一签名。作为示例,位置标签可以与芯片组密钥组合并且通过散列函数,来创建服务器的唯一数字签名。在一些实施例中,该唯一数字签名可以被提供给LCP470。
在各种实施例中,MLF 400中的实体可以形成信任链。在引导时间或运行时,MLF400中的一个实体(如ACM 420,BIOS 430,MLE 440或OS/VMM 450)可以测量和认证位置信息460、硬件信息480或它们的组合,以确保物理安全。通过这种位置感知可信执行,位置信息460可以在启动时被测量,并且作为服务器的MLE的一部分存储在诸如服务器的图2的TPM250之类的安全位置。在各种实施例中,LCP 470可以提供必需的认证的细节,例如认证什么和如何认证。在一些实施例中,LCP 470可以在启动时指定并启用位置感知认证。LCP 470可以在ACM 420、BIOS 430、MLE 440或OS/VMM 450上实施。当LCP 470所要求的认证失败时,测量实体(例如,BIOS)可以中止MLF 400。在其他实施例中,LCP 470可以还可以以心跳的形式扩展到运行时认证。
在各种实施例中,MLF 400可以包括系统引导序列。在一些实施例中,LCP 470可以在启动ACM 420之后、但在启动BIOS 430之前被强制执行。在一些实施例中,LCP 470可以在启动BIOS 430之后、但在启动MLE 440之前被强制执行。在一些实施例中,LCP 470可以在启动MLE 440之后,但在启动OS/VMM 450之前被强制执行。
在各种实施例中,可信赖执行路径的信任链可以与服务器的物理位置绑定在一起,以将服务器保护到可信的物理位置。在一些实施例中,一组位置标签(例如,标签112、标签122或标签270)可以安装在数据中心内的机架上以提供位置信息。在数据中心设计期间可以提供位置标签。此外,服务器主板上的集成读取器(例如,图2的读取器222)可以允许服务器通过询问机架上最近的位置标签来感测其物理位置。平台固件模块(例如,图2的ME230)可以控制读取器以获得服务器的位置并将其存储在诸如TPM 250的L-ID 252之类的安全存储库中。在一些实施例中,ME 230可以将位置信息存储在TPM 250中的内部寄存器中或平台配置寄存器(PCR)中。
在引导时或运行时,ME 230可以指示读取器222发现最靠近服务器的位置标签(例如,标签270)。在确定位置信息460之后,ME 230然后可以将其自身(即,服务器)捆绑到该位置,从而开发服务器的位置感知。在一些实施例中,ACM 420,BIOS 430,MLE 440或OS/VMM450可以针对存储在位置信息460或LCP 470中的已知良好位置标签来测量所发现的位置标签,以在MLF 400中进行认证。在一些实施例中,所发现的位置标签可以与来自硬件信息480的芯片组密钥组合以生成唯一的签名。ACM 420、BIOS 430、MLE 440或OS/VMM 450可以针对存储在LCP 470中的已知良好签名来测量唯一签名以在MLF 400中进行认证。在一些实施例中,ME 230可以在ME内具有仿真TPM。因此,ME 230可以完全控制绑定操作。在这种情况下,ACM 420、BIOS 430、MLE 440或OS/VMM 450可以直接与ME通信以获得位置特定签名。
在一些实施例中,在运行时,用于在VMM和平台固件之间切换控制的基于VMM或基于系统管理模式传输模式(STM)的模块可以提供执行信标或心跳以确保服务器与其最近的位置标签之间的持续绑定的能力。在一些实施例中,可以使用TPMS(例如,图2的TPMS 280)来供应位置标签,以及在各个服务器上的LCP(例如,LCP 470)中的位置感知的封装以创建安全的绑定。TPMS还可以对地理标记信息进行编程。TPMS可以与负载均衡器、工作负载调度器或云操作系统(例如和)进行接合,以将VM捆绑到特定的物理位置。ACM 420,BIOS 430,MLE 440或OS/VMM 450可以在可信引导过程期间认证LCP。如果位置标记自上次引导以来发生更改,则引导过程可能会中止,并可能会生成并报告错误消息。
在各种实施例中,利用位置感知扩增的MLF 400可以提供解决基于物理和软件的攻击并确保绑定到地理位置中的期望的可信区域的整体端到端安全解决方案。数据中心可能受益于这种具有增强安全性的MLF。
图5是根据各种实施例的包括本公开的各方面的可由示例性计算设备实现的可信计算的示例性过程的流程图。过程500可以由包括硬件(例如,电路,专用逻辑,可编程逻辑,微代码等),软件(例如,在处理设备上运行以执行硬件模拟的指令)或其组合的处理逻辑来执行。处理逻辑可以被配置为便于自定位和报告。同样地,过程500可以由计算设备(例如,图2的设备210)来执行,以实现本公开的一个或多个实施例。在实施例中,可以以任何合适的顺序组合或布置图5中的各种块,例如根据用于可信计算的特定实施例。在各种实施例中,过程500可以用于将服务器绑定到其物理位置,以便实现VM/工作负载的物理安全性。
在实施例中,该过程可以在框510开始,其中测量启动流可以由计算设备(例如,图2的设备210)中断。在一些实施例中,MLF可以在运行时包括可信执行路径。在一些实施例中,MLF可以包括引导序列。作为示例,在验证MLF 400中的下一逻辑块时,在启动CPU微代码410,ACM 420,BIOS 430,MLE 440或OS/VMM 450之后,MLF 400可能被中断。
接下来,在框520,计算设备可以感测和选择计算设备外部的一个或多个位置标签。在一些实施例中,计算设备可以感测来自一个或多个位置标签的RFID信号。在一些实施例中,感测可以至少部分地基于预定时间间隔而周期性地进行。在一些实施例中,可以基于来自一个或多个位置标签的信号的RSSI或TDOA来选择一个或多个位置标签。
接下来,在框530,计算设备可以至少部分地基于一个或多个位置标签的信息来确定计算设备的位置。在一些实施例中,这种确定可以至少部分地基于与一个或多个位置标签中的位置标签相关联的区域信息。区域可以是预定义的空间或位置。在一些实施例中,这种确定可以至少部分地基于来自一个或多个位置标签的相应的信号角度。在一些实施例中,这种确定可以至少部分地基于来自一个或多个位置标签的信号的相对RSSI或TDOA。在一些实施例中,这种确定可以至少部分地基于从最近的位置标签检测最强的无线电信号。在一些实施例中,至少一个位置标签(例如,最近的位置标签)的信息可以存储在计算设备的TPM的PCR中。在一些实施例中,可以使用至少一个位置标签的信息和计算设备的芯片组密钥的组合为MLF生成信任根。
接下来,在框540,计算设备可以基于计算设备的位置或者一个或多个位置标签中的至少一个位置标签的信息的可信版本来认证计算设备的位置或一个或多个位置标签的信息。在一些实施例中,这种认证可以包括认证计算设备的芯片组的签名和一个或多个位置标签中的至少一个位置标签的信息。在一些实施例中,这种认证可以包括使用基于计算设备的芯片组的签名和一个或多个位置标签中的至少一个位置标签的信息的组合的散列值来进行认证。在一些实施例中,这种认证可以包括基于存储在计算设备的TPM的非易失性存储器中的可信版本进行认证。在一些实施例中,这种认证可以包括基于存储在计算设备的LCP中的可信版本进行认证。在一些实施例中,这种认证可以包括基于由可信池管理器服务器(TPMS)提供的LCP中存储的可信版本进行认证。
接下来,在框550,计算设备可以在成功认证时恢复测量启动流。在一些实施例中,计算设备可以恢复MLF中的下一个逻辑块。例如,如果MLF400在CPU微代码410启动之后中断,则ACM 420可以在成功认证之后启动。作为另一个例子,如果在ACM 420启动之后MLF400中断,则在成功认证之后可以启动BIOS 430。作为又一个例子,如果MLF 400在BIOS 430启动之后中断,则MLE 440可以在成功认证之后启动。作为又另一个例子,如果在MLE 440启动之后MLF 400被中断,则在成功认证之后可以启动OS/VMM 450。在这种情况下,所启动的VMM可以将VM捆绑到位于优选地理位置的服务器,例如,基于与服务器相关联的位置标签。在其他实施例中,如果认证失败,则计算设备可以在认证失败时中止MLF,从而防止不可信计算或恶意代码的启动。
图6示出了适用于实施本公开的实施例的计算设备600的实施例。计算设备600可以是任何计算设备,例如服务器,集线器,交换机,路由器,网关等。如图所示,计算设备600可以包括耦合到处理器610、系统存储器630、非易失性存储器(NVM)/存储设备640以及通信接口650的系统控制逻辑620。在各种实施例中,处理器610可以包括一个或多个处理器核。
在实施例中,通信接口650可以提供用于计算设备600通过一个或多个网络和/或与任何其它合适设备进行通信的接口。例如,作为非资产管理计算设备,如先前结合图1所述,通信接口650可以为计算设备600提供与资产管理服务器和/或各种位置标签进行通信的接口。作为资产管理服务器,通信接口650可以提供用于计算设备600与其他自定位计算设备进行通信的接口。在实施例中,作为非资产管理计算设备,通信接口650可以特别地包括如上所述的与各种位置标签通信和从各种位置标签收集信息的WCEM 652。在替代实施例中,WCEM 652可以与系统控制逻辑620或计算设备600的其他元件集成。
通信接口650可以包括任何合适的硬件和/或固件,诸如网络适配器,网络接口卡,一个或多个天线,无线接口等等。在各种实施例中,通信接口650可以包括用于计算设备600以使用射频识别(RFID),近场通信(NFC),光通信或其他类似技术来直接(例如,没有中介物)与另一个设备进行通信的接口。在各种实施例中,通信接口650可以与诸如宽带码分多址(WCDMA)、全球移动通信系统(GSM)、长期演进(LTE)、Zigbee等无线电通信技术互操作。
在一些实施例中,系统控制逻辑620可以包括任何合适的接口控制器,以提供与处理器610和/或与跟系统控制逻辑620通信的任何合适的设备或组件的任何合适的接口。系统控制逻辑620还可以与诸如向用户显示信息的显示器(未示出)互操作。在各种实施例中,显示器可以包括各种显示格式和形式之一,例如液晶显示器,阴极射线管显示器,电子墨水显示器,投影显示器。在各种实施例中,显示器可以包括触摸屏。
在一些实施例中,系统控制逻辑620可以包括一个或多个存储器控制器(未示出)以提供到系统存储器630的接口。系统存储器630可以用于加载和存储数据和/或指令,例如,用于计算设备600。系统存储器630可以包括任何合适的易失性存储器,例如动态随机存取存储器(DRAM)。
在用作自定位计算设备的实施例中,系统存储器630可以包括自定位和报告逻辑632。自定位和报告逻辑632可以包括当由处理器610执行时导致计算设备600进行自定位和报告功能(例如但不限于过程300)的指令。在实施例中,自定位和报告逻辑632可以包括指令,当由处理器610执行时,指令导致计算设备600执行与结合图2的WCEM 220,ME 230或BMC240相关联的各种功能。在用作资产管理服务器的实施例中,系统存储器630可以包括基于位置的资产管理逻辑634,其执行参考图1-3先前描述的操作。
在用作可信计算设备的实施例中,系统存储器630可以包括基于位置的可信计算逻辑636。基于位置的可信计算逻辑636可以包括当由处理器610执行时导致计算设备600执行可信计算功能(例如但不限于过程300和/或500的方面)的指令。在实施例中,基于位置的可信计算逻辑636可以包括指令,当由处理器610执行时,该指令导致计算设备600执行与结合图2的WCEM 220、ME 230、BMC 240、TPM 250相关联的各种功能。在用作可信计算设备的实施例中,系统存储器630可以包括执行参照图1-5先前描述的操作的基于位置的可信计算逻辑636。
在一些实施例中,系统控制逻辑620可以包括一个或多个输入/输出(I/O)控制器(未示出),以提供到NVM/存储设备640和通信接口650的接口。可以使用NVM/存储设备640存储数据和/或指令。例如,在用作资产管理服务器的实施例中,NVM/存储设备640可用于存储各种位置标签的位置信息以及其它事项。NVM/存储设备640可以包括任何合适的非易失性存储器,例如闪速存储器,和/或可以包括任何合适的非易失性存储设备,诸如一个或多个硬盘驱动器(HDD),一个或多个固态驱动器,一个或多个压缩盘(CD)驱动器和/或一个或多个数字通用盘(DVD)驱动器。NVM/存储设备640可以包括存储资源,其物理上是计算设备600被安装在其上的设备的部分,或者可以由计算设备600可访问,但不一定是计算设备600的一部分。例如,NVM/存储设备640可以由计算设备600通过网络经由通信接口650访问。
在一些实施例中,处理器610可以与具有自定位和报告逻辑632、资产管理逻辑634和/或WCEM 652的逻辑的存储器一起封装。在一些实施例中,处理器610中的至少一个可以与具有自定位和报告逻辑632、资产管理逻辑634和/或WCEM 652的逻辑的存储器一起封装以形成系统级封装(SiP)。在一些实施例中,处理器610可以与具有自定位和报告逻辑632、资产管理逻辑634和/或WCEM 652的逻辑的存储器集成在同一管芯上。在一些实施例中,处理器610可以与具有自定位和报告逻辑632、资产管理逻辑634和/或WCEM 652的逻辑的存储器集成在相同的管芯上以形成片上系统(SoC)。
根据计算设备600是否用作自定位计算设备或资产管理服务器,处理器610、系统控制逻辑620、系统存储器630等的能力和/或性能特性可以变化。
图7示出了根据各种实施例的包括本公开的各方面的具有编程指令的制品710。在各种实施例中,可以采用制品来实现本公开的各种实施例。如图所示,制品710可以包括计算机可读的非暂时性存储介质720,其中指令730被配置为实现本文所述的任何一个过程的实施例或实施例的方面。存储介质720可以表示本领域已知的广泛的一系列持久存储介质,包括但不限于闪速存储器,动态随机存取存储器,静态随机存取存储器,光盘,磁盘等。指令730可以使装置响应于装置的执行而执行本文所述的各种操作。作为示例,存储介质720可以包括指令730,其被配置为根据本公开的实施例使装置(例如,设备210)实施自定位的某些方面,如图3的过程300所示。作为另一示例,存储介质720可以包括指令730,其被配置为根据本公开的实施例使得装置(例如,设备210)实施可信计算的某些方面,如图5的过程500所示。在实施例中,计算机可读存储介质720可以包括一个或多个计算机可读非暂时性存储介质。在其他实施例中,计算机可读存储介质720可以是暂时性的,诸如用指令730编码的信号。
虽然为了描述的目的已经在这里图示和描述了某些实施例,但是为了实现相同目的而计算出的各种备选和/或等同的实施例或实现方式可以代替所示和所描述的实施例而不脱离本公开的范围。本申请旨在涵盖本文讨论的实施例的任何修改或变化。因此,显而易见的是,意图本文描述的实施例仅由权利要求来限制。
以下段落描述了各种实施例的示例。
第一种示例可以包括用于计算的装置,其可以包括:执行指令的一个或多个处理器;无线凭证交换模块(WCEM),耦合到所述一个或多个处理器以检测位置标签;以及管理引擎,耦合到WCEM,以从WCEM查询和接收位置标签的信息,并向外部资产管理服务器提供装置的标识符和位置标签的信息或者至少部分地基于位置标签的信息确定的装置的位置信息,以自定位装置。
另一个示例可以包括前述第一种示例中的任一种的装置,其中WCEM可以包括EPCglobal UHF Class 1Generation 2(EPC Gen2)兼容的射频识别(RFID)读取器模块。
另一个示例可以包括前述第一种示例中的任一种的装置,其中该装置是服务器的一部分或服务器机架的一部分。
另一个示例可以包括前述第一种示例中的任一种的装置,其中,所述WCEM用于确定所述位置标签是否是多个位置标签中与所述装置最接近的位置标签。
另一个示例可以包括前述第一种示例中的任一种的装置,其中管理引擎至少部分地基于与位置标签相关联的区域信息来确定装置的位置信息。
另一个示例可以包括前述第一种示例中的任一种的装置,其中,所述WCEM检测包括所述位置标签的至少两个位置标签,并且所述管理引擎至少部分地基于来自所述至少两个位置标签的信号的相应的角度来确定所述装置的位置信息。
另一个示例可以包括前述第一种示例中的任一种的装置,其中,所述WCEM检测包括所述位置标签的至少四个位置标签,并且所述管理引擎至少部分地基于来自至少四个位置标签的信号的相对信号力强度(RSSI)或到达时间差(TDOA)来确定装置的位置信息。
另一个示例可以包括前述第一种示例中的任一种的装置,其中该装置还可以包括基板管理控制器(BMC),其耦合到管理引擎,以向管理引擎提供装置的标识符。
另一个示例可以包括前述第一种示例中的任一种的装置,其中WCEM至少部分地由管理引擎经由USB端口、系统管理总线(SMBus)或内部集成电路(I2C)控制。
另一个示例可以包括前述第一种示例中的任一种的装置,其中,所述WCEM包括板载电池,并且所述WCEM被配置为基于所述板载电池来检测所述位置标签。
另一个示例可以包括前述第一种示例中的任一种的装置,其中WCEM是经由平台控制器中心耦合到管理引擎的板载芯片的一部分。
另一个示例可以包括前述第一种示例中的任一种的装置,其中管理引擎将基于预定间隔周期性地从WCEM中查询和接收位置标签的信息,并且使用智能平台管理接口(IPMI)或数据中心管理接口(DCMI)来与资产管理服务器进行通信。
另一个示例可以包括前述第一种示例中的任一种的装置,其中所述装置还可以包括可信平台模块(TPM),其耦合到所述管理引擎,以存储所述位置标签的信息和具有位置标签的信息的可信版本的至少一个启动控制策略(LCP)。
另一示例可以包括前述第一种示例中的任一种的装置,其中TPM利用位置标签的信息和装置的芯片组密钥的组合来促进装置的测量启动流的信任根的创建。
另一个示例可以包括前述第一种示例中的任一种的装置,其中TPM在测量启动流期间基于LCP来促进对位置标签的信息的认证。
第二种示例可以包括用于自定位计算的方法,包括:由计算设备感测和选择一个或多个位置标签;由计算设备至少部分地基于一个或多个位置标签的信息来确定计算设备的位置;以及由所述计算设备将所述计算设备的标识符和所述计算设备的位置或所述一个或多个位置标签的信息提供给资产管理服务器以自定位计算设备。
另一个示例可以包括前述第二种示例中的任一种的方法,还包括由所述计算设备从多个标识信息中选择标识符或者从多个平台数据中选择平台数据,并且其中所述提供包括将与标识符和位置捆绑的平台数据提供给资产管理服务器。
另一个示例可以包括前述第二种示例中的任一种的方法,其中多个识别信息可以包括系统资产标识符、固件版次信息、基本输入/输出系统(BIOS)版次信息、返工标识符、制造商信息或操作系统(OS)许可信息。
另一个示例可以包括前述第二种示例中的任一种的方法,其中平台数据可以包括联网信息、设备错误、挂起状况或掉电状况。
另一个示例可以包括前述第二种示例中的任一种的方法,其中所述感测还可以包括感测来自所述一个或多个位置标签的EPCglobal UHF Class 1 Generation 2(EPCGen2)兼容的射频识别(RFID)信号。
另一个示例可以包括前述第二种示例中的任一种的方法,其中至少部分地基于预定时间间隔而周期性地进行感测。
另一个示例可以包括前述第二种示例中的任一种的方法,其中所述确定还包括至少部分地基于与所述一个或多个位置标签的位置标签相关联的区域信息来确定所述计算设备的位置。
另一个示例可以包括前述第二种示例中的任一种的方法,其中所述确定还包括至少部分地基于来自所述一个或多个位置标签的信号的相应角度来确定所述计算设备的位置。
另一个示例可以包括前述第二种示例中的任一种的方法,其中所述确定还包括至少部分地基于来自一个或多个位置标签的信号的相对信号力强度(RSSI)或到达时间差(TDOA)来确定计算设备的位置。
另一个示例可以包括前述第二种示例中的任一种的方法,其中所述提供还包括使用智能平台管理接口(IPMI)或数据中心可管理性接口(DCMI)来向资产管理服务器提供计算设备的位置。
另一示例可以包括一种装置,其包括用于执行前述第二种示例中的任一种的单元。
另一个示例可以包括一个或多个非暂时性计算机可读介质,其包括在由装置的一个或多个处理器执行指令时使装置执行前述第二种示例中的任一种的指令。
第三种示例可以包括用于计算设备的基于自定位的资产管理的系统。所述系统可以包括:具有相应已知位置的多个位置标签;资产管理服务器,配置有所述多个位置标签的信息,以响应关于多个计算设备的位置信息的查询;以及至少一个计算设备,具有:无线凭证交换模块(WCEM),用于检测所述多个位置标签中的一个或多个位置标签;以及管理引擎,耦合到所述WCEM,以从所述WCEM取回所述一个或多个位置标签的信息,并且向资产管理服务器提供所述计算设备的标识符和所述一个或多个位置标签的信息或所述计算设备的位置信息,以将所述至少一个计算设备自定位到所述资产管理服务器。
另一个示例可以包括前述第三种示例中的任一个的系统,其中资产管理服务器至少部分地基于在一个或多个位置标签的信息中的来自一个或多个位置标签的信号的相对信号力强度(RSSI)或到达时间差(TDOA)的信息来确定至少一个计算设备的位置。
另一示例可以包括前述第三种示例中的任一个的系统,其中资产管理服务器使用智能平台管理接口(IPMI)或数据中心可管理性接口(DCMI)来周期性地查询计算设备的位置信息。
第四种示例可以包括一种方法,包括:由计算设备中断测量启动流;由计算设备感测和选择计算设备外部的一个或多个位置标签;由计算设备至少部分地基于所述一个或多个位置标签的信息来确定所述计算设备的位置;由所述计算设备基于所述计算设备的位置或所述一个或多个位置标签的至少一个位置标签的信息的可信版本来认证所述计算设备的位置或所述一个或多个位置标签的信息,以自定位计算设备;以及在成功认证时由计算设备恢复测量启动流。
另一个示例可以包括前述第四种示例中的任一种的方法。该方法还可以包括在认证失败时中止测量启动流。
另一个示例可以包括前述第四种示例中的任一种的方法。所述方法还可以包括将所述至少一个位置标签的信息存储在所述计算设备的可信平台模块(TPM)的平台配置寄存器(PCR)中。
另一个示例可以包括前述第四种示例中的任一种的方法。该方法还可以包括使用至少一个位置标签的信息和计算设备的芯片组密钥的组合来创建测量启动流的信任根。
另一个示例可以包括前述第四种示例中的任一种的方法,其中认证可以包括单独认证计算设备的芯片组的签名和一个或多个位置标签中的至少一个位置标签的信息。
另一个示例可以包括前述第四种示例中的任一种的方法,其中认证可以包括使用基于计算设备的芯片组的签名和一个或多个位置标签中的至少一个位置标签的信息的组合的散列值进行认证。
另一个示例可以包括前述第四种示例中的任一种的方法,其中测量启动流可以包括系统引导序列,其中认证还可以包括在启动计算设备的经认证的代码模块(ACM)之后、但在系统引导序列中启动计算设备的BIOS之前进行认证。
另一个示例可以包括前述第四种示例中的任一种的方法,其中测量启动流可以包括系统引导序列,其中认证还可以包括在启动计算设备的BIOS之后、但在系统引导序列中启动计算设备的测量启动环境(MLE)之前进行认证(MLE)。
另一个示例可以包括前述第四种示例中的任一种的方法,其中测量启动流可以包括系统引导序列,其中认证还可以包括在启动计算设备的测量启动环境(MLE)之后、但在系统引导序列中启动计算设备的操作系统(OS)或虚拟机管理器(VMM)之前进行认证。
另一个示例可以包括前述第四种示例中的任一种的方法,其中认证可以包括基于存储在计算设备的可信平台模块(TPM)的非易失性存储器中的可信版本进行认证。
另一个示例可以包括前述第四种示例中的任一种的方法,其中认证可以包括基于存储在计算设备的启动控制策略(LCP)中的可信版本进行认证。
另一个示例可以包括前述第四种示例中的任一种的方法,其中认证可以包括基于由可信池管理器服务器(TPMS)提供的启动控制策略(LCP)中存储的可信版本进行认证。
另一个示例可以包括前述第四种示例中的任一种的方法,其中恢复可以包括基于计算设备的位置或一个或多个位置标签的信息,将虚拟机捆绑到计算设备。
另一个示例可以包括一种装置,其包括用于执行前述第四种示例中的任一种的单元。
另一个示例可以包括一个或多个非暂时性计算机可读介质,其包括在由装置的一个或多个处理器执行指令时使得装置执行前述第四种示例中的任一个的指令。
提供了摘要,允许读者确定技术公开的本质和要点。摘要应理解为,它不会用于限制权利要求的范围或含义。因此,以下权利要求被并入详细描述中,其中每个权利要求独立地作为单独的实施例。
Claims (25)
1.一种用于计算的自定位装置,包括:
执行指令的一个或多个处理器;
无线凭证交换模块(WCEM),其耦合到所述一个或多个处理器以检测位置标签;以及
管理引擎,其耦合到所述WCEM,以从所述WCEM查询和接收所述位置标签的信息,并且向外部资产管理服务器提供所述装置的标识符和所述位置标签的信息或至少部分地基于所述位置标签的信息确定的所述装置的位置信息,以自定位所述装置。
2.根据权利要求1所述的装置,其中,所述装置是服务器的一部分或服务器机架的一部分。
3.根据权利要求1所述的装置,其中,所述WCEM确定所述位置标签是否是多个位置标签中最接近所述装置的一个位置标签,并且其中所述管理引擎至少部分地基于与所述位置标签相关联的区域信息来确定所述装置的位置信息。
4.根据权利要求1所述的装置,其中,所述WCEM检测包括所述位置标签的至少两个位置标签,并且所述管理引擎至少部分地基于来自所述至少两个位置标签的信号的相应的角度来确定所述装置的位置信息。
5.根据权利要求1所述的装置,其中,所述WCEM检测包括所述位置标签的至少四个位置标签,并且所述管理引擎至少部分地基于来自所述至少四个位置标签的信号的相对信号力强度(RSSI)或者到达时间差(TDOA)来确定所述装置的位置信息。
6.根据权利要求1所述的装置,还包括:
基板管理控制器(BMC),其耦合到所述管理引擎,以向所述管理引擎提供所述装置的标识符。
7.根据权利要求1所述的装置,其中所述WCEM是经由平台控制器中心耦合到所述管理引擎的板载芯片的一部分,其中所述WCEM包括板载电池,并且所述WCEM被配置为基于所述板载电池来检测所述位置标签。
8.根据权利要求1所述的装置,其中,所述管理引擎基于预定间隔来周期性地从所述WCEM中查询和接收所述位置标签的信息,并且使用智能平台管理接口(IPMI)或数据中心可管理性接口(DCMI)来与所述资产管理服务器进行通信。
9.根据权利要求1-8中任一项所述的装置,还包括:
可信平台模块(TPM),其耦合到所述管理引擎,用于存储所述位置标签的信息和具有所述位置标签的信息的可信版本的至少一个启动控制策略(LCP)。
10.根据权利要求9所述的装置,其中,所述TPM利用所述位置标签的信息与所述装置的芯片组密钥的组合来促进所述装置的测量启动流的信任根的创建。
11.根据权利要求10所述的装置,其中,所述TPM在测量启动流期间基于所述LCP促进所述位置标签的信息的认证。
12.一种用于计算的方法,包括:
由计算设备感测和选择一个或多个位置标签;
由所述计算设备至少部分地基于所述一个或多个位置标签的信息来确定所述计算设备的位置;以及
由所述计算设备将所述计算设备的标识符和所述计算设备的位置或所述一个或多个位置标签的信息提供给资产管理服务器以自定位所述计算设备。
13.根据权利要求12所述的方法,还包括:
由所述计算设备从多个标识信息中选择标识符或者从多个平台数据中选择平台数据;
其中所述感测至少部分地基于预定时间间隔而周期性地进行,其中所述提供包括向所述资产管理服务器提供与所述标识符和所述位置捆绑的平台数据。
14.根据权利要求13所述的方法,其中所述多个识别信息包括系统资产标识符、固件版次信息、基本输入/输出系统(BIOS)版次信息、返工标识符、制造商信息或操作系统(OS)许可信息;其中平台数据包括联网信息、设备错误、挂起状况或掉电状况。
15.根据权利要求12所述的方法,其中所述提供还包括使用智能平台管理接口(IPMI)或数据中心可管理性接口(DCMI)向所述资产管理服务器提供所述计算设备的位置。
16.根据权利要求12所述的方法,其中所述确定还包括至少部分地基于与所述一个或多个位置标签的位置标签相关联的区域信息来确定所述计算设备的位置;其中所述确定还包括至少部分地基于来自所述一个或多个位置标签的信号的相应的角度来确定所述计算设备的位置;或者其中所述确定还包括至少部分地基于来自所述一个或多个位置标签的信号的相对信号力强度(RSSI)或到达时间差(TDOA)来确定所述计算设备的位置。
17.一种用于计算的方法,包括:
由计算设备中断测量启动流;
由所述计算设备感测和选择所述计算设备外部的一个或多个位置标签;
由所述计算设备至少部分地基于所述一个或多个位置标签的信息来确定所述计算设备的位置;
由所述计算设备基于所述计算设备的位置或所述一个或多个位置标签中的至少一个位置标签的信息的可信版本来认证所述计算设备的位置或所述一个或多个位置标签的信息,以自定位所述计算设备;以及
由计算设备在成功认证时恢复所述测量启动流。
18.根据权利要求17所述的方法,还包括:
在认证失败时中止所述测量启动流;
将所述至少一个位置标签的信息存储在所述计算设备的可信平台模块(TPM)的平台配置寄存器(PCR)中;以及
使用所述至少一个位置标签的信息和所述计算设备的芯片组密钥的组合来创建所述测量启动流的信任根。
19.根据权利要求17所述的方法,其中认证包括单独认证所述计算设备的芯片组的签名和所述一个或多个位置标签中的所述至少一个位置标签的信息;或者其中认证包括使用基于所述计算设备的芯片组的签名与所述一个或多个位置标签中的至少一个位置标签的信息的组合的散列值来进行认证。
20.根据权利要求17所述的方法,其中所述测量启动流包括系统引导序列,其中认证包括在启动所述计算设备的认证代码模块(ACM)之后、但是在所述系统启动序列中启动所述计算设备的BIOS之前进行认证;其中认证包括在启动所述计算设备的BIOS之后、但是在所述系统引导序列中启动所述计算设备的测量启动环境(MLE)之前进行认证;或者其中认证包括在启动所述计算设备的测量启动环境(MLE)之后、但在系统引导序列中启动所述计算设备的操作系统(OS)或虚拟机管理器(VMM)之前进行认证。
21.根据权利要求17所述的方法,其中认证包括基于存储在所述计算设备的可信平台模块(TPM)的非易失性存储器中的所述可信版本来进行认证;或者其中认证包括基于存储在所述计算设备的启动控制策略(LCP)中的所述可信版本进行认证。
22.根据权利要求17所述的方法,其中认证包括基于由可信池管理器服务器(TPMS)提供的启动控制策略(LCP)中存储的所述可信版本进行认证。
23.根据权利要求17所述的方法,其中恢复包括基于所述计算设备的位置或所述一个或多个位置标签的信息,将虚拟机捆绑到所述计算设备。
24.至少一个非暂时性计算机可读存储介质,包括多个指令,所述指令被配置为:响应于由装置执行所述指令,使得所述装置实施根据权利要求12-23中的任一项所述的方法。
25.一种用于计算的装置,包括用于执行根据权利要求12-23中任一项所述的方法的单元。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2015/080661 WO2016192056A1 (en) | 2015-06-03 | 2015-06-03 | Self-locating computing devices, systems, and methods |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107534839A true CN107534839A (zh) | 2018-01-02 |
CN107534839B CN107534839B (zh) | 2021-02-05 |
Family
ID=57439959
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580079570.7A Active CN107534839B (zh) | 2015-06-03 | 2015-06-03 | 自定位计算设备、系统和方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10306420B2 (zh) |
EP (1) | EP3304944B1 (zh) |
CN (1) | CN107534839B (zh) |
WO (1) | WO2016192056A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110012431A (zh) * | 2019-03-12 | 2019-07-12 | 联想(北京)有限公司 | 一种信息处理方法、服务器机架、管理设备和存储介质 |
CN113742141A (zh) * | 2021-11-04 | 2021-12-03 | 苏州浪潮智能科技有限公司 | 一种服务器度量方法、装置、计算机设备和存储介质 |
WO2024128849A1 (ko) * | 2022-12-16 | 2024-06-20 | 네이버랩스 주식회사 | 위치인식을 위한 태그를 포함하는 서버랙 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11138315B2 (en) | 2018-01-17 | 2021-10-05 | Hewlett Packard Enterprise Development Lp | Data structure measurement comparison |
CN109495436B (zh) * | 2018-04-20 | 2021-02-26 | 全球能源互联网研究院有限公司 | 一种可信云平台度量系统及方法 |
CN110245885A (zh) * | 2018-12-13 | 2019-09-17 | 哈尔滨理工大学 | 一种基于物联网的物流车辆监控系统 |
US11194978B2 (en) * | 2019-07-12 | 2021-12-07 | Northrop Grumman Systems Corporation | Combined radio frequency identification (RFID)-based asset management and component authentication |
US11212659B1 (en) * | 2020-04-30 | 2021-12-28 | ProSafe Solutions LLC | Personnel tracking and emergency notification system |
US11563807B2 (en) * | 2020-09-27 | 2023-01-24 | Dell Products, L.P. | Fully orchestrated setup of a containerized cloud communication system within an embedded operating system |
US11698972B2 (en) * | 2021-07-22 | 2023-07-11 | Dell Products L.P. | Method to securely transfer root of trust responsibilities on a common shared motherboard |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070013516A1 (en) * | 2005-06-29 | 2007-01-18 | Lucent Technologies Inc. | Methods and systems for locating VOIP terminals for improved 911 service |
US20070115137A1 (en) * | 2005-11-21 | 2007-05-24 | Lyon Geoff M | Method and apparatus for localization of RFID tags |
CN101576616A (zh) * | 2008-05-06 | 2009-11-11 | 广州香港科大研究开发有限公司 | 基于rfid技术的室内定位系统 |
US20100289620A1 (en) * | 2009-05-14 | 2010-11-18 | International Buisness Machines Corporation | Connectionless location identification within a server system |
CN102842013A (zh) * | 2011-05-04 | 2012-12-26 | 通用电气公司 | 远程定位中基于rfid的引导 |
CN102902948A (zh) * | 2011-07-28 | 2013-01-30 | 国际商业机器公司 | 计算机、确定计算机位置的方法以及制造标签的系统 |
CN103293514A (zh) * | 2013-05-08 | 2013-09-11 | 北京盛世光明软件股份有限公司 | 一种自定位式rfid定位系统 |
CN103488967A (zh) * | 2013-10-14 | 2014-01-01 | 张祖锋 | 一种基于可见光或红外定位的机柜管理系统及方法 |
CN203775285U (zh) * | 2013-11-25 | 2014-08-13 | 华森科技(深圳)有限公司 | 具定位功能的rfid手机 |
US20150058473A1 (en) * | 2013-08-26 | 2015-02-26 | Cisco Technology, Inc. | Network address mapping to nearby location identification |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7890253B2 (en) * | 2003-01-20 | 2011-02-15 | Gg21 Co., Ltd. | Location information sharing method based on wired and wireless internet using location ID |
US7565153B2 (en) * | 2003-01-22 | 2009-07-21 | Cml Emergency Services Inc. | Method and system for delivery of location specific information |
EP1942694A1 (en) * | 2007-01-02 | 2008-07-09 | France Telecom | Mobile telecommunications system and method |
CN103650542A (zh) * | 2011-07-07 | 2014-03-19 | 诺基亚公司 | 支持基于装置的周期性传输的装置定位 |
US9990823B2 (en) * | 2014-07-02 | 2018-06-05 | SekureTrak, Inc. | System and method for monitoring and tracking items |
-
2015
- 2015-06-03 WO PCT/CN2015/080661 patent/WO2016192056A1/en active Application Filing
- 2015-06-03 EP EP15893712.8A patent/EP3304944B1/en active Active
- 2015-06-03 US US15/564,708 patent/US10306420B2/en active Active
- 2015-06-03 CN CN201580079570.7A patent/CN107534839B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070013516A1 (en) * | 2005-06-29 | 2007-01-18 | Lucent Technologies Inc. | Methods and systems for locating VOIP terminals for improved 911 service |
US20070115137A1 (en) * | 2005-11-21 | 2007-05-24 | Lyon Geoff M | Method and apparatus for localization of RFID tags |
CN101576616A (zh) * | 2008-05-06 | 2009-11-11 | 广州香港科大研究开发有限公司 | 基于rfid技术的室内定位系统 |
US20100289620A1 (en) * | 2009-05-14 | 2010-11-18 | International Buisness Machines Corporation | Connectionless location identification within a server system |
CN102842013A (zh) * | 2011-05-04 | 2012-12-26 | 通用电气公司 | 远程定位中基于rfid的引导 |
CN102902948A (zh) * | 2011-07-28 | 2013-01-30 | 国际商业机器公司 | 计算机、确定计算机位置的方法以及制造标签的系统 |
CN103293514A (zh) * | 2013-05-08 | 2013-09-11 | 北京盛世光明软件股份有限公司 | 一种自定位式rfid定位系统 |
US20150058473A1 (en) * | 2013-08-26 | 2015-02-26 | Cisco Technology, Inc. | Network address mapping to nearby location identification |
CN103488967A (zh) * | 2013-10-14 | 2014-01-01 | 张祖锋 | 一种基于可见光或红外定位的机柜管理系统及方法 |
CN203775285U (zh) * | 2013-11-25 | 2014-08-13 | 华森科技(深圳)有限公司 | 具定位功能的rfid手机 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110012431A (zh) * | 2019-03-12 | 2019-07-12 | 联想(北京)有限公司 | 一种信息处理方法、服务器机架、管理设备和存储介质 |
CN113742141A (zh) * | 2021-11-04 | 2021-12-03 | 苏州浪潮智能科技有限公司 | 一种服务器度量方法、装置、计算机设备和存储介质 |
WO2024128849A1 (ko) * | 2022-12-16 | 2024-06-20 | 네이버랩스 주식회사 | 위치인식을 위한 태그를 포함하는 서버랙 |
Also Published As
Publication number | Publication date |
---|---|
WO2016192056A1 (en) | 2016-12-08 |
EP3304944B1 (en) | 2020-03-25 |
EP3304944A1 (en) | 2018-04-11 |
US10306420B2 (en) | 2019-05-28 |
EP3304944A4 (en) | 2018-10-31 |
CN107534839B (zh) | 2021-02-05 |
US20180077537A1 (en) | 2018-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107534839A (zh) | 自定位计算设备、系统和方法 | |
US9960921B2 (en) | Systems and methods for securely provisioning the geographic location of physical infrastructure elements in cloud computing environments | |
CN109492378B (zh) | 一种基于设备识别码的身份验证方法、服务器及介质 | |
US9374228B2 (en) | Verifying a geographic location of a virtual disk image executing at a data center server within a data center | |
US10735427B2 (en) | Method and apparatus for managing program of electronic device | |
US10311224B1 (en) | Digitally sealing equipment for authentication of components | |
JP2019537330A5 (zh) | ||
CN104303190A (zh) | 提供对系统的地理保护 | |
EP4277317A2 (en) | Sequencing the validity of access control keys | |
EP3195180B1 (en) | System and method for location-based security | |
WO2013123829A1 (zh) | 安装软件的方法、设备及系统 | |
CN106464698A (zh) | 经由信任链保护无线网状网络 | |
KR20160110504A (ko) | 컴퓨팅 디바이스의 초기화 트레이스 | |
US20180129925A1 (en) | Smart card information querying method and apparatus, and storage medium | |
WO2016202108A1 (zh) | Nfc支付方法、nfc支付系统和移动终端 | |
CN108985049A (zh) | 防回滚方法及系统 | |
US10803731B2 (en) | Dynamic selection of a device from a community of devices as a conduit for location detection mode activation | |
US10546168B1 (en) | Managing a plurality of tag reader devices | |
US10200864B2 (en) | Method and device for managing wireless access point | |
WO2018136087A1 (en) | Multiple remote attestation service for cloud-based systems | |
US10009339B2 (en) | System, apparatus and method for securely protecting a processor in transit | |
CN105227532A (zh) | 一种恶意行为的阻断方法及装置 | |
WO2021109655A1 (zh) | 安全任务处理方法、装置、电子设备及存储介质 | |
CN103475999A (zh) | 定位方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |