CN111373399A - 调节访问 - Google Patents
调节访问 Download PDFInfo
- Publication number
- CN111373399A CN111373399A CN201780096517.7A CN201780096517A CN111373399A CN 111373399 A CN111373399 A CN 111373399A CN 201780096517 A CN201780096517 A CN 201780096517A CN 111373399 A CN111373399 A CN 111373399A
- Authority
- CN
- China
- Prior art keywords
- bios
- access
- user
- password
- secret
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000001105 regulatory effect Effects 0.000 title claims abstract description 11
- 238000000034 method Methods 0.000 claims abstract description 31
- 238000007726 management method Methods 0.000 claims description 31
- 230000009471 action Effects 0.000 claims description 15
- 238000013475 authorization Methods 0.000 claims description 11
- 238000012550 audit Methods 0.000 claims description 8
- 230000008859 change Effects 0.000 description 15
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000013515 script Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000001052 transient effect Effects 0.000 description 4
- 230000001276 controlling effect Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
一种用于调节对系统BIOS的访问的方法,包括:根据用户的系统策略来为用户产生提供选定BIOS访问特权的访问令牌。
Description
背景技术
使用PC工厂配置,PC可被提供有共同的窗口图像和包括密码的给定的BIOS设置。以这种方式,一些消费者具有针对不同模型或甚至同一模型的不同机器的不同BIOS密码。可选地,BIOS密码可由IT部门在接收PC时或由用户应用。
在示例策略中,同一密码可应用于所有设备,且这个密码可在多个管理员之间共享。对设备的物理访问可能是一些功能所必需的,且针对给定模型的所有机器具有同一密码(在给定的刷新循环内)确保一致的方法。在另一示例策略中,可提供可基于标准根或设备序列号的部分的稍微不同的密码,其中要注意根。
附图说明
通过以下的详细描述,某些示例的各种特征将是明显的,该详细描述结合附图一起,通过仅示例的方式图示多个特征,以及其中:
图1是示出根据示例的用于调节对系统BIOS的访问的系统的示意图;
图2至图4每个示出根据示例的用于调节对系统BIOS的访问的方法的流程图;以及
图5是根据示例的与包括计算机可读指令的存储器相关的处理器。
具体实施方式
在下面的描述中,为了解释的目的,阐述了某些示例的很多特定细节。在说明书中“一个示例”的参考或相似语句意味着关于这个示例描述的特定特征、结构或特性被包括在至少这个示例中,但在其它示例中不是必要的。
BIOS管理员密码可在硬件上被设置和被管理。例如,在启动时间,BIOS管理员密码可用于得到对“F10”BIOS配置功能的访问,“F10”BIOS配置功能可以是安全关键功能(例如启用安全启动或确定设备的启动命令)并允许安全特征被启用/禁用。
管理员BIOS密码管理可具有单个BIOS管理密码,其中在BIOS中的单个密码可在工程师和管理员当中被共享。BIOS密码可以周期性地被改变或被移除以使访问或变化(在其它事情之间)能够被做出。
Windows管理规范(WMI)允许BIOS特征被配置和管理。这些由本地管理工具以及通过系统中心配置管理器(SCCM或ConfigMgr)插件来支持。密码管理可涉及将密码直达地发送到BIOS,其中密码管理工具可允许管理员密码被加密到二进制代码内,二进制代码被提供到允许BIOS设置改变的命令行工具。BIOS设置然后可在重新启动之后改变。然而,不是所有BIOS设置都可通过WMI调用来改变,因为一些特征的重置只能使用“F10”BIOS配置功能被重置,以便展示物理存在。
根据一个示例,提供密码管理服务以管理经由管理员应用而链接的密码。可以例如在智能电话或其它适当的便携式设备上提供应用。提供控制对系统BIOS访问的系统,使得希望访问BIOS的某人请求可用于在特定的一段时间内登录的临时令牌。提供使用户能够提取讨论中的系统的ID并使用此作为请求消息的部分的接口。中央管理设备可认证用户。中央管理设备可产生特定系统的令牌。可以根据使用户能够只访问他或她被允许访问的BIOS的那些部分的配置文件来产生令牌。
密码管理器服务在企业(或较小组织的其它位置)内被提供,且可提供管理员或工程师对临时(时间和功能限制的)Bios管理员密码的访问。这与例如智能电话应用的接口相结合以帮助在密码管理器、Bios和管理员之间的交互。使用这个结合,引入用于支持企业密码策略约束的系统。
现在将参考图1描述根据示例的方案100。可以给客户端设备105(被假设为很多中的一个)提供已知ID 110或序列号和关联的设备秘密(DevSecret)115。管理员120可以访问本地密码管理器的应用125或web接口。提供为所有设备105保存秘密135的拷贝的中央密码管理器服务130。
当管理员(或工程师)试图改变在设备105上的BIOS设置时,他或她可使用他们的本地密码应用125来输入设备的身份110和临时密语140。应用125然后使用可包括企业认证或授权框架的适当安全通道来联系中央密码管理器130,企业认证或授权框架提供访问控制145的约束。ID和管理员密语在通信150中被发送到密码管理器。密码管理器然后可检查出管理员被授权请求访问。密码管理器也可将请求添加到审查日志155。密码管理器然后使用时间(到被允许的访问时期的准确度)160、设备ID 110、设备秘密115和管理员密语140来产生临时票证165以提供对设备105的BIOS的访问。票证165被返回给将它提供到客户端设备105(例如经由USB连接或蓝牙等)的管理员120。管理员用户可接着使用他们的密语140登录到设备105。这通过BIOS使用它具有的信息(即,时钟、管理员密语、ID和设备秘密)以重新创建并与票证165比较来完成(假设管理员用户被提供有访问)。在一个示例中,BIOS是网络连接的,且协议可以从允许管理员完成企业登录的客户端设备直接运行。
可选地或此外,系统可允许对BIOS特征的访问,其中不是控制访问,而是控制应用中的改变。因此,可能需要提供改变的概述和设备的ID,且然后从密码管理器服务130请求对做出改变的许可。在一个示例中,许可可以使用QR码(或蓝牙)被传递到本地应用125,如果该应用在智能电话上运行。在这种情况下,密码管理器服务130可接着产生对已被请求的确切改变的授权票证165,其可例如使用基于例如特定的改变、时间窗、设备ID和/或秘密的信息的密钥散列消息认证码(HMAC)作为密钥来实现。以这种方式,BIOS密码服务130可记录155所做出的实际改变。授权票证165的呈递允许将对BIOS做出的改变。BIOS密码服务130能够记录正在做的改变(与仅请求做出改变的能力相反)。因此,被授权的策略只能在给定时间窗内被应用。时间窗尺寸可适应于不同的组织。
在一个示例中,管理员120可基于管理员的提供密语140被捆绑到票证165。一旦设备105接收到票证165,管理员的密语也可能需要被呈递到设备105以确保设备可被解锁。可在设备105的重新启动和经由管理员的密语140保护的登录之间存储票证165。
使用较少通信的协议的一个变体将使用秘密、序列号、时间窗和访问配置文件来在中央密码管理器服务处产生用户可读密码。管理员可接着在他们正工作于的PC上直接输入这个密码连同访问配置文件。PC将具有足够的信息以检查密码。
图2A示出根据示例的用于调节对系统BIOS的访问的方法。在块210,可为用户提供概述用户的访问特权的系统策略。在块220,根据用户的系统策略提供选定的BIOS访问特权。在块230,可为用户生成访问令牌165。在块240,对访问令牌的请求可选地被记录或存储在审查日志155中。
在一个示例中,可提供插件以管理来自企业管理系统的BIOS设置。例如,可使用基于服务器的插件来为一组设备设置策略。客户端代理105可从适当的分布点收集策略并试图应用它。可以有客户端的插件,其使用命令通过BIOS来强化策略。策略可被推送到大组设备,其中密码可以是部署在每个设备上的标准密码或定制/加密密码。客户端插件确保策略被满足并继续试图将BIOS设置重置到正确的值。这确保它们被重置,即使用户改变它们(例如通过“F10”设置)。在一个示例中,可通过本地客户端或通过企业管理系统在SCCM内使用密码。
现在将描述初始化或配置过程。可为每个设备(或在所有设备当中)设置初始设备秘密115(DevSecret),或可设置BIOS密码。设备秘密115可通过密码管理服务130被提供给设备(DevSecret可等效于密码,但其中密码可能不一定被直接使用)。在一个示例中,企业公共密钥可提供给BIOS用于自动生成随机DevSecret 115,DevSecret 115可使用例如企业的公共密钥被加密。为了防止任何“中间人攻击”,来自客户端或设备105的任何加密的程序包115可被验证。例如,这可通过使用可信平台模块(TPM)层次密钥签署这个程序包来实现。可选地或此外,DevSecret 115的验证可在启动时被提供给可信的管理员,以确保他们接收密码的路径是正确的,并因此可能没有基于OS的“中间人”攻击。在启动期间一经要求就提供加密秘密115的能力可能是有用的备用方案,特别是当系统不是企业系统时,虽然它假设管理员或其他人可充分地备份私人密钥。
现在将描述该过程,管理员可通过该过程得到设备的身份。图2B示出根据示例的用于调节对系统BIOS的访问的方法。在块250,管理员可经由智能电话应用125输入设备105的序列号或ID 110,或使用已编码ID(例如以QR码编码的序列号)。在一个示例中,QR码图像可在配置期间被创建或从序列号产生,如在块260处所示的。可选地,可在放置在设备105上的物理贴纸上提供QR码。在一个示例中,管理员使用设备105的域名,或如果有适当的例如资产跟踪系统的企业客户端管理数据库,可经由他们的正常用户的登录细节来查找域名。在一个示例中,QR码可用电话应用125来扫描。
下面参考图3和4描述另外的方面。在这些图中,块210、220和230与上面参考图2A所述的块相同,因此将不再赘述,而是将描述另外的方面。
图3示出根据示例的用于调节对系统BIOS的访问的方法。在块310,将时间值提供到密码管理器服务130。在块320,将系统或设备ID和秘密提供到密码管理器服务130。在块330,例如经由应用125将管理密语140提供到密码管理器服务130。管理密语可与为在块340处的特定用户定义一套可允许的BIOS动作的策略一起被使用,以便在块350处为这个用户映射一套系统BIOS访问特权。在块210,将用户的系统策略提供到密码管理器服务130。在块220,根据用户的系统策略经由临时票证165来提供选定的BIOS访问特权。在块230,密码管理器服务基于所提供的信息来为用户产生访问令牌165。
现在将描述“F10”启动时间登录。在一个示例中,当管理员需要管理员密码或密语140以登录到特定的设备105时,他们登录到密码管理器130。这允许密码管理器服务执行检查:管理员120被授权来管理给定的系统105。在一个示例中,可经由智能电话或web接口上的应用125使用企业单点登录来执行这个授权检查。
图4示出根据示例的用于调节对系统BIOS的访问的方法。在块410,客户端或设备105做出一套系统BIOS改变的请求。该请求被包括在向密码管理器服务130发送的通信150中。在块420,客户端或设备105的加密的新鲜值被包括在向密码管理器服务130发送的通信150中。在密码管理器服务130处,在块430,对该套系统BIOS改变的请求可选地被记录在审查日志155中。每个或所有请求可被记录240在审查日志155中用于审查目的。密码管理器服务130可选地检查管理员或工程师或另一密码管理器的凭证以验证是否授权在块440处的这个请求。在一个示例中,当将对访问令牌或BIOS改变的通信请求150发送到密码管理器服务130时,可应用标准访问控制145以允许管理员或工程师对他们管理的设备105或设备组的访问。在一个示例中,如果用户需要例如以从USB设备启动设备105以重新成像的访问,用户仅可被给予他们被记录为使用或拥有的设备的访问。如果请求被授权,则密码管理器服务130为管理员120或用户产生访问令牌。在一个示例中,可使用关于管理员密语和DevSecret的密钥推导函数来生成票证165(例如AuthEncrypt(秘密,<日子,任务,…>)(和/或秘密115)。在块450,包括访问令牌或临时票证165的消息被发送到应用125和/或客户端或设备105。在一个示例中,BIOS可在管理员120键入密语140(例如“F10”命令)检查票证165,并可检查在票证上的任何其它条件或相应地限制选项。在块460,使用访问令牌或临时票证或加密分组165来可选地做出这套系统BIOS改变的请求。
在一个示例中,密码管理器服务130为管理员120创建密码以解锁在设备105处的BIOS。在一个示例中,可以在当前的一天(或半天,因为工程师在这个时间段期间常常在现场)内产生密码。这可使用秘密115和这个半天作为密码发生器的种子来实现,密码发生器可以包括安全的单向功能。可产生适当长度的人可使用的密码,管理员120可将该密码键入设备105内。例如,所产生的密码165可具有限制的字符数量。虽然密码可以是时间限制的,但它可以无论如何不捆绑到给定用户内。在一个示例中,可使用基于事件或特定时间的一次性密码功能。可选地或此外,例如智能电话的设备可用于得到密码165。这可能是有益的,因为它去除了对管理员120键入例如加密票证165的长的复杂密码的需要。进一步,加密票证可容易与其它设备共享。例如,如果解锁设备105或做出BIOS改变的请求被提出,则在票证165的持续时间内,加密票证165可经由WMI被传递并通过BIOS存储。在一个示例中,如果请求150经由电话被提出,则加密票证165可作为经由蓝牙的USB驱动器或依据对设备105可用的BIOS选项作为QR码被存储和/或被连接。可选地或此外,可提供U盘(例如来自笔记本电脑)和web接口以从密码管理器服务130得到密码165。
在一个示例中,不是在管理员或用户登录到BIOS时得到批准,BIOS功能可以保持开着,且当改变实际被应用时需要授权。这将密码管理服务改变为在实现或提交在设备105处的改变时需要对任何改变的明确授权。随着改变被保存,可以给工程师或管理员呈现例如包含改变信息、ID和加密的新鲜值的QR码。这个信息可接着被发送回密码管理器服务130,密码管理器服务130在回送适当的票证165之前可以可选地记录改变请求430和检查授权440。票证165可如上所述作为所产生的密码165或作为票证(有或没有密语)被处理。
额外地或可选地,现在将在下面描述密码管理系统100的特征。
在一个示例中,密码管理服务130可包括具有管理员功能的管理模板,管理模板可被组合到默认模板内。不同的默认模板可允许不同的动作,例如一个模板可允许在启动参数(设备等)中的改变,但不允许某些特征的重置。管理员120可选择或挑选管理操作,且访问控制145可以这个默认级别被应用。
在一个示例中,设备BIOS可以不具有对准确的时钟的访问。当设备启动时,它可产生随机码,随机码用于产生可持续一段给定时间的密语。管理员120在访问密码管理器服务130时可接着输入这个所产生的代码以及它们的密语140和身份110。这可通过如上面参考图2B所述的QR码来实现。在这个示例中,BIOS被提供有具有安全益处的受限登录,因为BIOS将所产生的代码与增强安全的时间窗相关联(尽管使用比“宽松地”链接的时钟更复杂的方法)。
下面的特征可特别应用于非企业情况,其中个人或SME可能没有运行安全BIOS密码管理器服务130的能力。在一个示例中,基于云的服务可由笔记本电脑制造商(或增值经销商)操作并链接到设备的注册,以及其中服务通过适当的密码恢复系统可以密码保护的。当审查和访问控制可能在这个示例中不是必要的时,围绕改变设置的结果默认模板可以有效地伴随着对用户的警告。可使用双因子认证来保护这样的服务,例如经由在消费者的电话应用内的本地密码管理器,电话应用可经由云服务备份。云服务可配置成允许不同的用户访问不同套的BIOS设置。
在一个示例中,除了“F10”登录以外,控制BIOS设置的其它密码管理方案模型可在客户端或SCCM上提供软件(或其它企业管理方案)。可以有所提供的基于云或桌面云(DaaS)的解决方案,其允许增加的灵活性。例如,使用例如SCCM的合规加强方案,一套策略可不断地被重新应用,且当时间限制密码可能不恰当时,可替代地提供功能限制的票证。例如,当使一套改变能够被做出时,以一套配置动作{<set varx=vly->}的形式的脚本可以被提供,虽然以其它形式的其它动作可以可选地被提供。例如,可以为每个动作产生(而不是使用他们的密语为给定用户产生)票证或密码。这些动作产生的票证165可以可选地是时间限制的。可以使用票证来将BIOS解锁,票证要么包含每个潜在改变的一套散列,要么包含诸如PW=f(hash(DevSecret||hash(cmd))的整个脚本的散列树的根。票证可允许任何实体运行与这套散列匹配的命令,或可能需要伴随有一直到散列树的根的路径,或混合方法可被采取。密码管理服务130可仍然使意欲更新在设备105上的BIOS设置的策略或脚本有效。因此,密码管理器服务130可能需要来自选定的一组管理员120或用户的授权,用于这样的脚本的部署。这在企业BIOS密码管理器级别可以是可控制的和/或可以为动作提供授权工作流。
在一个示例中,脚本可被重新应用,例如当管理员120改变了BIOS设置且然后SCCM策略被重新应用以将BIOS设置改变回适合企业策略。因为以这种方式发布密码存在“重放攻击”的风险,额外的时域可被添加以限制这样的策略的生命期。示例授权流程如下:
1)用户或SCCM代理将接收新策略
2)它将从密码管理器服务请求策略的授权票证(注意,如果所有设备具有相同的DevSecret,则这可能是全局票证并与策略一起被递送)
3)SCCM代理然后将加载票证
4)SCCM代理将试图设置每个设置
5)步骤3和4重复,但与票证相关的时间被检查,且如果它到期,新票证被从管理员/密码管理器被请求,如采用步骤2。
在一个示例中,密码管理系统推送策略且不是对临时票证165进行时间限制,可能希望限制可以对BIOS做出的改变。例如,可提供更复杂的票证165,其可包括可被应用的设置或可由用户设置的一套设置。
在一个示例中,用户或管理员经由基于PC的接口管理BIOS设置可以使用与“F10”登录的接口相似的接口。在这个示例中,可在设备上直接认证用户(例如使用标准windows域)。这将允许经由WMI调用被推送到BIOS的临时票证165的请求。如果希望密码管理器/软件为每个动作认证用户,可提供迫使用户用每个命令输入的密语(或插针)。可选地,密码管理器/程序可对此进行管理。这提供对用户改变设置时的额外保护。
在一个示例中,当影响BIOS改变的任务/安装程序完成时(或在临时票证165的超时时),空白票证可被上传以防止对BIOS的进一步的改变。
根据本公开,可根据使临时令牌能够被锁定到特定动作的策略来为不同组的用户提供不同的访问特权。因此,对在BIOS中的单个密码(这个密码在某些情况下可在工程师和管理员当中被共享)的需要被去除,使得所公开的密码管理方案满足企业密码管理标准。例如,用户账户管理标准(例如在COBIT内规定的那些标准)规定,当账户被共享或在用户有他们不再需要的账户(或密码)时(例如如果他们改变角色或离开公司的情况下),存在风险。这对给予特权的管理员账户是特别重要的。例如,可以给BIOS提供添加管理密码的选项以限制谁可改变可包括关键安全功能的BIOS设置。所述方法去除了与如果密码被泄漏、设备密码在一段时间内被误用的相关的风险。
本公开描述了一种系统,该系统以通过集成到电话应用内也解决了一些可用性方面的方式,使管理BIOS密码更加容易。所公开的密码管理服务管理经由管理员应用链接的BIOS密码,管理员应用可在(例如)智能电话上运行。这允许受限的使用密码以控制谁可以访问管理员功能。
与管理员接口125相结合(例如经由智能电话应用)的密码管理器服务130的使用为个人用户和管理员提供时间、设备和功能受限的密码连同改进的在尝试使用它们时的责任性。这减轻了与使用BIOS密码相关的安全问题且因此鼓励更多的企业使用它们。因为所述方法不将密码直接直达地发送到设备的BIOS,它们减轻了安全问题,因为对来自OS内的密码解密不再是可能的。这将帮助公司具有对BIOS密码管理的更好方法,其对于使用BIOS密码的那些人来说将帮助使他们的当前过程合理化。它也可帮助鼓励其他人开始使用BIOS密码。
除了管理或控制谁访问Bios管理员密码以外,本公开还允许管理员的动作被跟踪。即使所有动作通过在SCCM处的策略改变被执行,这也可提供适当的跟踪,但它不能使个人动作来修复故障。本公开允许管理员的动作被跟踪并审查BIOS管理员密码如何被使用。
所公开的方法去除了围绕基于云的服务和配置到云的问题,其中如果消费者没有配置过设备,别的某人可替代地配置它(比如偷了设备)。所述方法使使用BIOS密码变得更容易并允许改进的设备配置。例如,配置可以链接到SME证书或云服务提供商(或制造商)证书,且当配置所公开的方法允许用户输入密语作为“DevSecret”的部分时,使得它们将需要提供此来激活远程服务。这去除了来自别的某人使用他们的设备(如果它被盗)的威胁。
在本公开中的示例可作为方法、系统或机器可读指令被提供。这样的机器可读指令可被包括在计算机可读存储介质(包括但不限于磁盘存储装置、CD-ROM、光学存储装置等)上,计算机可读存储介质具有在其上或其中的计算机可读程序代码。
根据本公开的示例参考方法、设备和系统的流程图和/或方框图描述了本公开。虽然上面所述的流程图示出特定的执行顺序,但该执行顺序可以不同于被描绘的顺序。关于一个流程图所述的块可与另一流程图的块组合。在一些示例中,流程图的一些块可能不是必要的和/或额外的块可被添加。应理解,在流程图和/或方框图中的每个流程和/或块以及在流程图和/或方框图中的例程和/或图的组合可由机器可读指令实现。
机器可读指令可以例如由通用计算机、专用计算机、嵌入式处理器或其它可编程数据处理设备的处理器执行以实现在该说明书和图中所述的功能。特别是,处理器或处理装置可执行机器可读指令。因此,装置的模块可由处理器执行存储在存储器中的机器可读指令或处理器根据嵌在逻辑电路中的指令操作而实现。术语“处理器”应广泛地被解释为包括CPU、处理单元、ASIC、逻辑单元或可编程门组等。方法和模块都可由单个处理器或被划分几个的处理器当中执行。
这样的机器可读指令也可存储在计算机可读存储装置上,这样的机器可读指令可引导计算机或其它可编程数据处理设备在特定模式中操作。
例如,可在用指令编码的非瞬态计算机可读存储介质上提供由处理器可执行的指令。
图5示出与存储器520相关的处理器510的示例。存储器520包括由处理器510可执行的机器可读指令530。在一个示例中,指令530包括:
根据用户的系统策略为用户产生提供选定的BIOS访问特权的访问令牌的指令;
使用时间值、系统标识符和秘密、以及管理密语来在密码管理器处产生访问令牌的指令;
在审查日志中记录对访问令牌的请求的指令;
使用定义一套可允许的BIOS动作的策略来将管理密语映射到一套系统BIOS访问特权的指令;
将包括对一组系统BIOS改变、系统识别和加密的新鲜值的请求的消息发送到密码管理器的指令;
记录对该套系统BIOS改变的请求的指令;
检查授权的指令;
发送访问令牌的指令;
使用访问令牌来做出该套系统BIOS改变的指令;以及
产生对时间值、系统标识符和秘密编码的二维条形码的指令。
这样的机器可读指令也可被加载到计算机或其它可编程数据处理设备上,使得计算机或其它可编程数据处理设备执行一系列操作以产生计算机实现的处理,因此在计算机或其它可编程设备上执行的指令提供用于实现由在流程图中的流程和/或在方框图中的块规定的功能的操作。
进一步,本文的教导可以以计算机软件产品的形式实现,计算机软件产品被存储在存储介质中并包括用于使计算机设备实现在本公开的示例中叙述的方法的多个指令。
虽然参考某些示例描述了方法、装置和相关方面,各种修改、改变、省略和替换可以被做出而不偏离本公开的精神。特别是,来自一个示例的特征或块可与另一示例的特征/块组合或由另一示例的特征/块代替。
词“包括”不排除除了在权利要求中列出的那些元素以外的元素的存在,“一个”或“一种”不排除多个/种,以及单个处理器或其它单元可实现在权利要求中叙述的几个单元的功能。
任何从属权利要求的特征可与独立权利要求或其它从属权利要求中的任一个的特征组合。
Claims (15)
1.一种用于调节对系统BIOS的访问的方法,所述方法包括:
根据用户的系统策略来为所述用户产生提供选定的BIOS访问特权的访问令牌。
2.如权利要求1所述的方法,进一步包括:
在密码管理器处,使用时间值、系统标识符和秘密中的至少一个和管理密语来产生所述访问令牌。
3.如权利要求1所述的方法,进一步包括:
在审查日志中记录对访问令牌的请求。
4.如权利要求2所述的方法,进一步包括:
使用定义一套可允许的BIOS动作的策略来将所述管理密语映射到一套系统BIOS访问特权。
5.如权利要求1所述的方法,进一步包括:
将包括对一套系统BIOS改变、系统识别和加密的新鲜值的请求的消息发送到密码管理器。
6.如权利要求5所述的方法,进一步包括:
记录对所述一套系统BIOS改变的所述请求;
检查授权;以及
发送所述访问令牌。
7.如权利要求6所述的方法,进一步包括:
使用所述访问令牌来做出所述一套系统BIOS改变。
8.如权利要求1所述的方法,进一步包括:
产生对时间值、系统标识符和秘密编码的二维条形码。
9.一种用于调节对设备BIOS的访问的系统,所述系统包括密码管理器服务,所述密码管理器服务用于:
从管理应用接收包括设备秘密、设备标识符和管理员密语的请求;以及
根据用户的系统策略来为所述用户产生提供选定的BIOS访问特权的访问令牌。
10.如权利要求9所述的系统,所述密码管理器服务进一步将所述请求添加到审查日志。
11.如权利要求9所述的系统,所述密码管理器服务进一步用于:
查询用户的系统策略以确定用户BIOS访问特权。
12.如权利要求9所述的系统,所述设备用于:
接收临时密语;
使用所述临时密语和所述设备秘密来重新创建所述访问令牌;以及
比较重新创建的访问令牌与所产生的访问令牌。
13.一种编码有由处理器可执行的指令的非瞬态机器可读存储介质,所述指令用于调节对设备BIOS的访问,所述机器可读存储介质包括用于以下的指令:
从管理应用接收包括设备秘密、设备标识符和管理员密语的请求;以及
根据用户的系统策略来为所述用户产生提供选定的BIOS访问特权的访问令牌。
14.如权利要求13所述的非瞬态机器可读存储介质,进一步编码有用于查询用户的系统策略以确定用户BIOS访问特权的指令。
15.如权利要求13所述的非瞬态机器可读存储介质,进一步编码有用于以下的指令:
接收临时密语;
使用所述临时密语和所述设备秘密来重新创建所述访问令牌;以及
比较重新创建的访问令牌与所产生的访问令牌。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2017/059040 WO2019088975A1 (en) | 2017-10-30 | 2017-10-30 | Regulating access |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111373399A true CN111373399A (zh) | 2020-07-03 |
Family
ID=66332675
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780096517.7A Pending CN111373399A (zh) | 2017-10-30 | 2017-10-30 | 调节访问 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20210209205A1 (zh) |
| CN (1) | CN111373399A (zh) |
| WO (1) | WO2019088975A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230351004A1 (en) * | 2022-04-29 | 2023-11-02 | Okta, Inc. | Techniques for credential and identity synchronization |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040006700A1 (en) * | 2002-06-26 | 2004-01-08 | International Business Machines Corporation | Secure method for system attribute modification |
| US20090034725A1 (en) * | 2005-06-10 | 2009-02-05 | Davies Sr Traverse A | Method of and system for encryption and authentication |
| US20090132799A1 (en) * | 2007-11-20 | 2009-05-21 | Dell Products L. P. | Systems and Methods for Configuring Out-of-Band Bios Settings |
| WO2010005425A1 (en) * | 2008-07-07 | 2010-01-14 | Hewlett-Packard Development Company, L.P. | Systems and method for data security |
| US20130019281A1 (en) * | 2011-07-11 | 2013-01-17 | Cisco Technology, Inc. | Server Based Remote Authentication for BIOS |
| US20130055382A1 (en) * | 2011-08-31 | 2013-02-28 | International Business Machines Corporation | Managing Access to Storage Media |
| US20140230078A1 (en) * | 2011-09-30 | 2014-08-14 | Christoph J. Graham | Managing basic input/output system (bios) access |
| US20140373121A1 (en) * | 2013-06-18 | 2014-12-18 | Bank Of America Corporation | System and method for providing internal services to external enterprises |
| US20160267369A1 (en) * | 2013-11-07 | 2016-09-15 | Scantrust Sa | Two dimensional barcode and method of authentication of such barcode |
| CN106662994A (zh) * | 2014-09-23 | 2017-05-10 | 惠普发展公司有限责任合伙企业 | 检测系统管理模式bios代码的改变 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7340770B2 (en) * | 2002-05-15 | 2008-03-04 | Check Point Software Technologies, Inc. | System and methodology for providing community-based security policies |
| US7739721B2 (en) * | 2005-07-11 | 2010-06-15 | Microsoft Corporation | Per-user and system granular audit policy implementation |
| US10929827B2 (en) * | 2017-04-28 | 2021-02-23 | Ncr Corporation | Basic input/output system (BIOS) and unified extensible firmware interface (UEFI) one-time boot |
-
2017
- 2017-10-30 WO PCT/US2017/059040 patent/WO2019088975A1/en active Application Filing
- 2017-10-30 CN CN201780096517.7A patent/CN111373399A/zh active Pending
- 2017-10-30 US US16/754,846 patent/US20210209205A1/en not_active Abandoned
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040006700A1 (en) * | 2002-06-26 | 2004-01-08 | International Business Machines Corporation | Secure method for system attribute modification |
| US20090034725A1 (en) * | 2005-06-10 | 2009-02-05 | Davies Sr Traverse A | Method of and system for encryption and authentication |
| US20090132799A1 (en) * | 2007-11-20 | 2009-05-21 | Dell Products L. P. | Systems and Methods for Configuring Out-of-Band Bios Settings |
| WO2010005425A1 (en) * | 2008-07-07 | 2010-01-14 | Hewlett-Packard Development Company, L.P. | Systems and method for data security |
| US20130019281A1 (en) * | 2011-07-11 | 2013-01-17 | Cisco Technology, Inc. | Server Based Remote Authentication for BIOS |
| US20130055382A1 (en) * | 2011-08-31 | 2013-02-28 | International Business Machines Corporation | Managing Access to Storage Media |
| US20140230078A1 (en) * | 2011-09-30 | 2014-08-14 | Christoph J. Graham | Managing basic input/output system (bios) access |
| US20140373121A1 (en) * | 2013-06-18 | 2014-12-18 | Bank Of America Corporation | System and method for providing internal services to external enterprises |
| US20160267369A1 (en) * | 2013-11-07 | 2016-09-15 | Scantrust Sa | Two dimensional barcode and method of authentication of such barcode |
| CN106662994A (zh) * | 2014-09-23 | 2017-05-10 | 惠普发展公司有限责任合伙企业 | 检测系统管理模式bios代码的改变 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210209205A1 (en) | 2021-07-08 |
| WO2019088975A1 (en) | 2019-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11258605B2 (en) | Out-of-band remote authentication | |
| US10489574B2 (en) | Method and system for enterprise network single-sign-on by a manageability engine | |
| EP3123692B1 (en) | Techniques to operate a service with machine generated authentication tokens | |
| US9059978B2 (en) | System and methods for remote maintenance in an electronic network with multiple clients | |
| US9867051B2 (en) | System and method of verifying integrity of software | |
| US20210240869A1 (en) | Secure memory device with unique identifier for authentication | |
| US9838424B2 (en) | Techniques to provide network security through just-in-time provisioned accounts | |
| US8997192B2 (en) | System and method for securely provisioning and generating one-time-passwords in a remote device | |
| US20130318576A1 (en) | Method, device, and system for managing user authentication | |
| US20180183586A1 (en) | Assigning user identity awareness to a cryptographic key | |
| US8775808B2 (en) | System and method for performing a management operation | |
| US20120198538A1 (en) | Multi-enclave token | |
| WO2013107362A1 (zh) | 一种保护数据的方法和系统 | |
| CN110175466B (zh) | 开放平台的安全管理方法、装置、计算机设备及存储介质 | |
| CN111414612B (zh) | 操作系统镜像的安全保护方法、装置及电子设备 | |
| CN112653553B (zh) | 物联网设备身份管理系统 | |
| WO2019226510A1 (en) | Methods and systems for multiple independent roots of trust | |
| CN111373399A (zh) | 调节访问 | |
| WO2023144405A1 (en) | Authentication based on chain of strings generated from secret string | |
| KR20140136166A (ko) | 관리자 권한 획득 방지 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200703 |
|
| WD01 | Invention patent application deemed withdrawn after publication |