CN113454624A - 网络凭据的存储 - Google Patents
网络凭据的存储 Download PDFInfo
- Publication number
- CN113454624A CN113454624A CN201980093350.8A CN201980093350A CN113454624A CN 113454624 A CN113454624 A CN 113454624A CN 201980093350 A CN201980093350 A CN 201980093350A CN 113454624 A CN113454624 A CN 113454624A
- Authority
- CN
- China
- Prior art keywords
- computing device
- wireless network
- memory
- firmware
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000004044 response Effects 0.000 claims abstract description 35
- 238000013475 authorization Methods 0.000 claims description 14
- 230000004913 activation Effects 0.000 claims description 13
- 238000004891 communication Methods 0.000 claims description 7
- 238000012546 transfer Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 13
- 238000000034 method Methods 0.000 description 7
- 238000009434 installation Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000009849 deactivation Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/107—License processing; Key processing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
Abstract
本公开的方面针对网络凭据的存储。在示例中,用于存储网络凭据的计算装置包括处理器、用于存储计算装置的操作系统的第一存储器、用于存储用于启动计算装置的固件的第二存储器、第三存储器和控制器。响应于计算装置的上电,计算装置的操作系统可以访问第一存储器中的代理应用,使用代理应用提供无线网络凭据,并且使用代理应用对无线网络凭据加密。响应于从第一存储器接收到经加密的无线网络凭据,由第二存储器存储的固件可以将经加密的无线网络凭据存储在第三存储器中。
Description
背景技术
在计算中,引导涉及启动计算装置使得其可以被使用。引导过程可以通过诸如按钮按下之类的硬件或通过命令来启动。在接通电力之后,计算机相对受限于其存储的施行上电自检并允许访问其它类型的存储器的部分。重新启动计算机也称为重新引导(reboot),这可以是“硬”重启(如诸如在到计算机的电力从断开切换到接通之后的“硬启动”中),或者是“软”重启(其中未切断电力)。
附图说明
结合随附附图考虑以下详细描述,可以更彻底地理解各种示例,其中:
图1图示了与本公开一致的包括代理应用的计算装置的示例框图;
图2图示了与本公开一致的包括代理应用的计算装置的示例框图;
图3图示了与本公开一致的用于存储网络凭据的示例流程图;
图4A-4C图示了与本公开一致的用于在预引导期间存储网络凭据、在重新引导期间存储网络凭据以及更新网络凭据的示例流程图;以及
图5图示了与本公开一致的包括用于存储网络凭据的指令的计算设备的示例框图。
具体实施方式
本文中描述的示例适用于各种不同的系统和方法,包括例如计算装置,其中第一存储器存储用于计算装置的相关联的计算机处理器的操作系统(OS)。在示例中,计算装置可以包括用于存储用于启动计算装置的固件的第二存储器,以及控制器,其中控制器通信地耦合到第一存储器、第二存储器和第三存储器。响应于对计算装置上电,OS可以访问第一存储器中的代理应用,使用代理应用提供无线网络凭据,并使用代理应用对无线网络凭据加密。固件可以响应于从第一存储器接收到经加密的无线网络凭据,将经加密的无线网络凭据存储在第三存储器中。在一些示例中,计算装置可以用于保护对加密密钥集的访问,所述加密密钥集用于对无线网络凭据加密。
本文中描述的一些示例可以允许快速的系统设置和提高的配置容易性。对网络的访问可以利用凭据来进行保护,所述凭据基于身份或安全姿态限制对网络的访问。这样的凭据可以在授予对网络的访问权限之前强制进行用户或机器认证。此外,有线和无线网络可以实现安全过程,并且由此限制对网络的访问。此外,在一些位置中和/或利用一些计算设备对这样的网络的立即或完全访问受到限制,特别是在这样的初始或预引导操作期间。本文中描述的示例可以例如通过使用数字签名的固件驱动器和代理应用来克服这样的问题,所述数字签名的固件驱动器和代理应用使得能够实现固件的简化和安全配置。
例如,非暂时性计算机可读存储介质可以包括指令,所述指令当被执行时使计算装置使用安装在计算装置上的代理应用来提供无线网络凭据,并且使用安装在计算装置上的代理应用来对无线网络凭据加密。响应于计算装置的重新引导,经加密的无线网络凭据被传送到计算装置的固件以用于启动计算装置,并且在计算装置的重新引导期间并使用固件来存储无线网络凭据。
作为另一示例,非暂时性计算机可读存储介质可以包括指令,所述指令当被执行时使计算装置将该计算装置的无线网络凭据存储在计算装置的存储器中。响应于从安装在计算装置的OS上的代理应用接收到更新无线网络凭据的请求,所述指令使计算装置访问存储在存储器中的经加密的无线网络凭据。处理器对经加密的无线网络凭据解密,并将经解密的无线网络凭据应用于计算装置的OS,以用于访问无线通信网络。
本文中描述了上面和其它示例,具有以下理解:这些示例可以在没有公开所有具体细节的情况下实践,并且来自各种示例之中的特征可以与彼此组合。为了便于说明,相同的参考标记可以用于不同的图解中,以指代相同的元件或相同元件的附加实例。
现在转到各图,图1图示了与本公开一致的包括代理应用110的计算装置100的示例框图。图1中的功能框可以是通过设计和/或通过诸如CPU、逻辑阵列和/或控制器之类的可配置电路来配置或编码的电路,用于实行这样的操作方面。
在各种示例中,计算装置100可以是例如基于网络的服务器、局域网服务器、基于云的服务器、笔记本计算机、台式计算机、一体化系统、平板计算设备、移动电话、电子书阅读器或适于执行代理应用110以监视计算装置100的任何其它电子设备。计算装置100可以包括处理器102、第一存储器104、第二存储器106和控制器126。处理器102可以与第一存储器104和/或第二存储器106通信。处理器102可以控制计算装置100的操作。第一存储器104和第二存储器106可以存储数据。在一些示例中,第一存储器104和第二存储器106可以使用非易失性存储器来实现,所述非易失性存储器除了其它非易失性存储器之外,尤其诸如硬盘驱动器、固态存储装置、闪速存储器和电可擦除可编程只读存储器(EEPROM)。如本文中所使用的,控制器指代或包括芯片、扩展卡或与处理器102对接的独立设备。在一些非限制性示例中,控制器126可以指代或包括嵌入式控制器,尽管示例不限于此。
计算装置100可以进一步包括存储在第二存储器106中的固件108。如本文中所使用的,固件指代或包括可以被配置用于在逻辑电路中实现的指令,其中所述指令通过代码的方式,并且如可以被存储在存储器电路中并从存储器电路可访问。固件108可以控制计算装置100的低级别操作,诸如在引导(boot up)期间的硬件启动。在示例中,固件108可以被实现为计算装置100的基本输入/输出系统(BIOS)。附加地和/或替代地,固件108可以被实现为统一可扩展固件接口(UEFI)。固件108可以使用由处理器102可执行的指令来实现。
在又另一示例中,处理器102被实现为多核处理器或被实现为集成为芯片集的处理器电路集的处理器电路。在这些和其它示例中,领会的是,这样的处理器电路包括单个或多个计算机电路,所述计算机电路包括用于存储和访问固件或程序代码的存储器电路,所述固件或程序代码要作为施行(一个或多个)相关操作的指令而被访问或执行。
在操作期间,当计算装置100正在引导时,固件接口可以访问第一存储器104中的代理应用110以获得各种网络凭据。如本文中所使用的,固件接口指代或包括允许固件与计算装置的OS连接的指令。类似地,一旦计算装置100引导,代理应用110就可以经由具有管理权限的用户在本地和/或由可以将配置推送到计算装置100的管理员远程地提供。固件接口可以在制造计算装置时安装,并且可以在计算装置被打开时运行的第一程序之中。固件接口可以施行检查以查看计算装置中包括什么硬件组件,唤醒硬件组件,并且将硬件组件与OS对接。在该“预引导”阶段,计算装置具有有限的网络能力。
在各种示例中,安装数据也可以被存储在第二存储器106中。在一些示例中,安装数据可以作为固件108的一部分被包括,而在其它示例中,安装数据可以被存储在固件108可以访问以施行安装的另一设备中。在提及“第一存储器”、“第二存储器”等的地方,形容词“第一”和“第二”不用于暗示对结构的任何描述或提供任何实质性含义;而是,这样的形容词仅仅用于区分一个电路与另一个类似地命名的电路。
在附加示例中,代理应用110可以使用由处理器102可执行的指令来实现。如图2中更详细描述的,代理应用110可以基于也可以存储在第二存储器106中的指令来监视计算装置100。计算装置100可以从外部源接收指令,所述外部源诸如IT管理员、服务器或计算装置100的用户。可以使用处理器可执行的指令来实现代理应用。
另外,响应于个人标识符的输入,OS可以执行第一存储器中的指令,以保护对用于对无线网络凭据加密的加密密钥子集的访问。例如,用户可以注册要用于保护对签名密钥和背书密钥的访问的个人标识号(PIN),如本文中进一步讨论的。可以在第一存储器104上创建加密密钥子集和指示加密密钥子集的数据,并且可以将指示加密密钥子集的数据发送到第二存储器106。在这样的示例中,OS可以执行第一存储器104中的指令,以在OS引导时访问代理应用。此外,响应于从远离第一存储器的存储位置接收到加密密钥子集,OS可以执行第一存储器104中的指令,以将指示加密密钥子集的数据发送到第二存储器。
图1的装置可以以各种方式实现。例如,包括处理器102和用于存储计算装置100的OS的第一存储器104的计算装置100可以响应于计算装置100的上电,使用OS在第一存储器104中安装代理应用110。例如,计算装置100可以安装指令来提供代理应用110。计算装置100可以进一步使用代理应用110提供一个无线网络凭据或多个无线网络凭据,并且使用代理应用110来对无线网络凭据加密。进一步包括第二存储器106,用于存储用于启动计算装置100的固件。固件响应于从第一存储器104接收到经加密的无线网络凭据,可以将经加密的无线网络凭据存储在连接到控制器126的第三存储器103中。在各种示例中,第三存储器103可以是任何非易失性存储器,除了其它非易失性存储器之外,尤其诸如EEPROM和/或闪速存储器。
在各种示例中,为了确保计算装置100以安全方式引导,代理应用110可以实现安全协议来检查引导序列中的二进制文件中的任何一个是否未通过密码签名检查。在二进制文件未通过该密码签名检查的事件中,不允许运行该二进制文件。通过在执行之前从固件运行并认证其它代码(诸如二进制文件),以及通过执行用于提供无线网络凭据的各种技术,可以创建OS和固件之间的安全连接,由此拒绝恶意代码的发动。
一旦OS启动,就可以在系统中提供代理应用110。代理应用可以在本地或远程提供。在第一种情况下,具有管理权限的用户可以配置代理应用110。在第二种情况下,管理用户要将配置远程推送到被管理的计算装置100。如本文中所使用的,远程配置被管理计算装置指代或包括不同于被管理计算装置的第二计算装置,向被管理计算装置发送处理器可执行指令,以便配置被管理计算装置。因此,代理应用110可以由具有管理权限的用户在本地提供,和/或代理应用110可以从远离第一存储器104的存储器检索所述(一个或多个)无线网络凭据。
在这两个场景中,可以利用三个加密密钥。第一密钥是签名密钥,其可以用于对提供命令进行签名以使得代理应用110能够向固件108传输数据。第二密钥是背书密钥,其可以用于从OS移除和去激活代理应用110,以及从计算装置100去激活安全通信协议。第三密钥可以是输送密钥,用于对可以在OS和固件之间交换的无线网络凭据数据加密和/或解密。
在一些示例中,可以使用第一密钥、第二密钥和第三密钥来对无线网络凭据加密,其中第一密钥用于对使得代理能够将数据传送到固件的提供命令进行签名,第二密钥用于从计算装置移除和去激活代理,以及第三密钥用于对在计算装置的OS和固件之间交换的无线网络凭据加密和解密。激活命令可以利用第一密钥来加密,并且经加密的激活命令可以被发送到固件以激活代理应用。另外,可以向代理应用发送授权值以保护第三密钥,并且响应于代理应用接收到授权值,可以创建第三密钥以将经加密的无线网络凭据传送到固件。
在各种示例中,响应于计算装置100处的个人标识符的输入,计算装置100中包括的第一存储器104可以保护对用于对无线网络凭据加密的加密密钥子集的访问。例如,对签名和背书密钥的访问可以受到保护。可以在第一存储器104上创建(例如,提供)加密密钥子集和指示加密密钥子集的数据,并且可以将指示加密密钥子集的数据发送到第二存储器106。例如,签名密钥和背书密钥可以被提供并发送到第二存储器106。
如上面结合图1和本公开的其它地方所图示和讨论的,公开了各种基于电路的结构以用于实行具体的动作或功能,如可以在各图和相关讨论中认识到的。无论被描绘为框、模块、设备、系统还是控制器(例如),这样的基于电路的结构指代或包括被设计为实行如此描述的动作或功能的电路。作为这样的基于电路的结构的具体示例,除了其它图之外,尤其可以对图1的108和110以及图5的508-514进行参考。
图2图示了与本公开一致的包括代理应用110的计算装置100的示例框图。如图1所描述的,固件108可以在计算装置100的引导操作期间将代理应用安装到第一存储器104中。在一些示例中,固件108可以将代理应用110安装在计算装置100的操作系统202中。
一旦安装了代理应用110,代理应用110就可以休眠。为了使得代理应用110能够使得计算装置100诸如在预引导操作期间或在重新引导命令之后能够进行引导,可以使用多个安全协议。如本文中所使用的,安全协议可以意味着用于对数据加密的系统/方法,诸如公钥密码学。例如,使用三个密码密钥来使得代理应用110能够引导计算装置100:签名密钥(未示出)、背书密钥(未示出)和输送密钥208。
签名密钥可以用于对发出到固件108的命令进行签名,以控制代理应用110。背书密钥可以用于对发送到固件108的去激活命令进行签名,以从计算装置100去激活和/或移除代理应用110。
签名密钥和背书密钥可以在计算装置100本地生成,或者在例如服务器处远程生成。在一些示例中,当固件108已经具有签名密钥和背书密钥的指数时,可以将签名密钥模数204和背书密钥模数206发送到固件108。签名密钥模数204和背书密钥模数206可以存储在第二存储器106中。在其它示例中,签名密钥模数204和背书密钥模数206可以存储在固件108可以访问的计算装置100的另一存储设备中。在一些示例中,签名密钥(即,模数和指数)和背书密钥(即,模数和指数)可以被发送到固件108。
对于本地管理的计算装置100和/或系统,并且根据本文中呈现的各种示例,用于提供无线网络凭据的(一个或多个)技术可以包括计算装置100的用户输入用于保护对签名和背书密钥(未示出)的访问的个人标识符,诸如密码或PIN。所创建的签名和背书密钥以及它们经加密的blob可以本地存储在计算装置100上。然后,签名密钥204的公共模数和背书密钥206的公共模数可以被发送到固件108。对于远程管理的系统,用于提供无线网络凭据的(一个或多个)技术可以包括IT管理员远程创建签名和背书密钥。然后,可以通过网络将签名密钥204的公共模数和背书密钥206的公共模数发送到固件108。
固件108可以接收指导固件108激活代理应用110的激活命令210。激活命令210还可以包括代理应用110的配置数据212。响应于接收到激活命令210,固件108可以传输包括配置数据212的激活消息214以激活代理应用110。响应于接收到激活消息214,代理应用110可以基于激活消息214来配置代理应用110的设置。
一旦计算装置100的固件108接收到签名和背书密钥,就可以发出引导指令命令。第一命令是要激活操作系统202中的代理应用110。通过这样做,激活命令210和代理应用110的配置设置可以被加密并发送到固件108,从而使代理应用110进入活动状态。当处于活动状态时,代理应用110可以开始在操作系统202中执行。代理应用110还可以向固件108传输请求216以请求授权值218。响应于接收到请求216,固件108还可以向代理应用110传输授权值218以生成输送密钥208。代理应用110可以使用输送密钥208来使得数据能够在代理应用110和固件108之间交换。
此外,在提供签名和背书密钥并且代理应用110进入活动状态时,代理应用110可以从固件108或者从被包括在保持授权值218的计算装置100中的任何其它辅助指令和/或硬件请求该值,该授权值218要被用于保护输送密钥208。在接收到授权值218时,在上面所描述的本地和远程管理场景二者中,代理应用110可以创建输送密钥208并将输送密钥208的公共模数发送到固件108。为了创建和提供输送密钥208,代理应用110从例如固件108接收输送授权值218,通过对授权值218进行签名来创建输送密钥208以保护该特定输送密钥,并且将输送密钥220的公共模数发送到固件108。固件108然后可以使用输送密钥模数220和授权值218来创建输送密钥208的副本。
在附加示例中,响应于计算装置100的重新引导,第二存储器106可以发送用于访问无线网络的请求,从控制器226检索经加密的无线网络凭据,并且使用多个解密密钥来对无线网络凭据进行解密,如本文中进一步讨论的。
图3图示了与本公开一致的用于存储网络凭据的示例流程图。特别地,图3图示了用于存储网络凭据的组件集的示例布置。如本文中所讨论的,代理应用110指代或包括在计算装置的OS中运行的代理应用,并且固件驱动器303指代或包括固件108中的系统管理模式驱动器。
如本文中所描述的,在305处,代理应用110可以从文件系统取得和/或向文件系统设置无线网络凭据,所述无线网络凭据嵌入在具有与网络连接相关联的其它元数据的网络简档中。代理应用110可以从本地介质228取得和/或向本地介质228设置无线网络凭据,作为非限制性示例,除了其它类型的本地介质之外,所述本地介质228尤其包括硬盘驱动器(HDD)、固态驱动器(SDD)和/或自加密硬盘驱动器(SED)。
如本文中所讨论的,诸如在307处,代理应用110对网络凭据数据加密并将其发送到固件108中的固件驱动器303。作为响应,在309处,固件驱动器将经加密的网络凭据数据发送到控制器226,以用于安全存储在诸如图1中图示的第三存储器103中。以类似的方式,当OS要从固件更新其网络凭据数据库时,代理应用110可以向固件驱动器303提出请求,所述固件驱动器303继而向控制器226提出请求以取得期望的数据。
图4A-4C图示了与本公开一致的用于在预引导期间存储网络凭据、在重新引导期间存储网络凭据以及更新网络凭据的示例流程图。特别地,从操作系统202的级别来看,图4A图示了用于在预引导期间存储网络凭据的示例流程图。在405处,代理应用可以从计算装置的OS发动并检索无线网络凭据数据。在407处,代理应用(例如,图1和图2中图示的110)对网络凭据加密,如上文所描述的,并且通过存储凭据命令将经加密的网络凭据发送到固件接口。在409处,固件驱动器接收(一个或多个)无线网络凭据,并经由控制器(例如,图3中图示的226)将所述(一个或多个)无线网络凭据发送到安全存储装置。响应于接收到无线网络凭据,在411处,控制器将无线网络凭据存储在存储器中,诸如存储在图1中图示的第三存储器103中。
从OS的级别来看,图4B图示了在重新引导之后用于存储网络凭据的示例流程图。在重新引导之后,在419处,网络相关(例如,无线)固件接口(图3中图示的311)可以请求网络访问,并且在421处,固件驱动器可以从控制器读取无线网络凭据。在423处,无线网络凭据可以被解密,如上文所描述的,并且被配置用于无线局域网(WLAN),因此在425处,固件接口可以跨网络传送数据。
从OS的级别来看,图4C图示了用于从固件接口更新无线网络凭据数据的示例流程图。在445处,代理应用通过存储凭据命令向固件驱动器提出请求。在447处,固件驱动器从控制器读取数据,并将无线网络凭据发送到代理应用。在449处,在接收到无线网络凭据时,代理应用对无线网络凭据解密并将无线网络凭据应用于OS,由此在451处使得OS能够使用更新的无线网络凭据连接到WiFi网络。
图5图示了与本公开一致的包括用于存储网络凭据的指令的计算装置的示例框图。计算装置500可以包括处理器502、计算机可读存储介质504和存储器506。
处理器502可以是中央处理单元(CPU)、基于半导体的微处理器和/或适于控制计算装置500的操作的其它硬件设备。计算机可读存储介质504可以是包含或存储可执行指令的电子、磁性、光学或其它物理存储设备。因此,计算机可读存储介质504可以是例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储设备、光盘等。在一些示例中,计算机可读存储介质可以是非暂时性存储介质,其中术语“非暂时性”不涵盖暂时性的传播信号。如下面详细描述的,计算机可读存储介质504可以利用一系列可执行指令504-514来编码。在一些示例中,计算机可读存储介质504可以实现存储器506,诸如图1-图2的第一存储器104和/或第二存储器106。存储器506可以是任何非易失性存储器,诸如EEPROM、闪速存储器等。
如所图示的,计算机可读存储介质504可以存储指令,所述指令当被执行时使计算装置500将用于计算装置的无线网络凭据存储在计算装置的存储器中。此外,指令510可以使计算装置500响应于从安装在计算装置的OS上的代理应用接收到更新无线网络凭据的请求,访问存储在存储器中的经加密的无线网络凭据。指令512可以使计算装置500对经加密的无线网络凭据解密,并且指令514可以使计算装置500将经解密的无线网络凭据应用于计算装置的OS以用于访问无线通信网络。在各种示例中,如本文中所讨论的,代理应用可以在计算装置的OS中执行,并且固件在计算装置的系统管理模式驱动器中执行。在一些示例中,计算机可读存储介质504可以存储指令,所述指令当被执行时使处理器502响应于系统管理模式驱动器接收到更新无线网络凭据的请求,检索无线网络凭据,将无线网络凭据发送到代理,并使用代理对无线网络凭据解密(如关于图4C所讨论的)。在各种示例中,这可以准许固件驱动器响应于对无线网络凭据解密并根据网络凭据更新策略来连接到无线通信网络。例如,网络凭据如何以及何时更新可以通过由IT管理部门管理的网络凭据更新策略来指定。这样的策略可以指示在具体的周期性时间处(在计算装置的每次引导之后和/或在其它指定事件发生时)更新网络凭据。
计算机可读存储介质504不限于图5中图示的指令,并且附加的和/或不同的指令可以由处理器502和/或计算装置500的其它组件存储和执行。例如,计算机可读存储介质504可以存储指令,所述指令当被执行时使计算装置500使用安装在计算装置上的代理应用来提供无线网络凭据,并且使用代理应用来对无线网络凭据加密。响应于计算装置的重新引导(如关于图4B所讨论的),计算装置500可以将经加密的无线网络凭据传送到固件。另外,计算机可读存储介质可以存储使处理器502在重新引导期间并且使用固件来存储经加密的无线网络凭据的指令。
如本文中所讨论的,计算机可读存储介质504可以存储使用如下密钥来对网络凭据加密的指令:用于对提供命令进行签名以使得代理能够将数据传送到固件的第一密钥、用于从计算装置移除和去激活代理的第二密钥、以及用于对在计算装置的OS和固件之间交换的无线网络凭据加密和解密的第三密钥。此外,计算机可读存储介质504可以存储指令,所述指令当被执行时使计算装置500利用第一密钥对激活命令加密,并且将经加密的激活命令发送到固件以激活代理,向代理提供授权值以保护第三密钥,并且响应于代理接收到授权值,创建第三密钥以将经加密的无线网络凭据传送到固件。在一些示例中,计算机可读存储介质504包括指令,所述指令当被执行时使计算装置500响应于代理接收到授权值而创建第三密钥以包括授权值作为签名来保护该第三密钥。
Claims (15)
1.一种计算装置,包括:
处理器;
第一存储器,用于存储计算装置的操作系统,其中所述操作系统要响应于计算装置的上电而进行以下操作:
访问第一存储器中的代理应用;
使用代理应用提供无线网络凭据;以及
使用代理应用对无线网络凭据加密;以及
第二存储器,用于存储用于启动计算装置的固件;
第三存储器;以及
控制器,通信地耦合到第一存储器、第二存储器和第三存储器,其中所述固件要响应于从第一存储器接收到经加密的无线网络凭据而将经加密的无线网络凭据存储在第三存储器中。
2.根据权利要求1所述的计算装置,其中所述操作系统要由具有管理权限的用户提供代理应用。
3.根据权利要求1所述的计算装置,其中第三存储器是闪速存储器。
4.根据权利要求1所述的计算装置,其中所述操作系统要执行第一存储器中的指令以进行以下操作:
响应于接收到个人标识符,保护对用于对无线网络凭据加密的加密密钥子集的访问;
创建加密密钥子集并将指示加密密钥子集的数据存储在第一存储器上;以及
将指示加密密钥子集的数据发送到第二存储器。
5.根据权利要求1所述的计算装置,其中所述操作系统要在操作系统的引导时访问代理应用。
6.根据权利要求1所述的计算装置,其中所述操作系统要:
响应于从远离第一存储器的存储位置接收到用于对无线网络凭据加密的加密密钥子集,将指示加密密钥子集的数据发送到第二存储器。
7.一种包括指令的非暂时性计算机可读存储介质,所述指令当被执行时使计算装置进行以下操作:
使用安装在计算装置上的代理应用提供无线网络凭据;
使用代理应用对无线网络凭据加密;
响应于计算装置的重新引导,将经加密的无线网络凭据传送到计算装置的固件;以及
在计算装置的重新引导期间并使用固件来存储经加密的无线网络凭据。
8.根据权利要求7所述的非暂时性计算机可读存储介质,其中所述无线网络凭据使用以下密钥来加密:
第一密钥,用于对提供命令进行签名以使得代理应用能够将数据传送到固件;
第二密钥,用于从计算装置移除和去激活代理应用;以及
第三密钥,用于对在计算装置的操作系统和固件之间交换的无线网络凭据加密和解密。
9.根据权利要求8所述的非暂时性计算机可读存储介质,包括指令,所述指令当被执行时使计算装置进行以下操作:
利用第一密钥对激活命令加密,并将经加密的激活命令发送到固件以激活代理应用;
向代理应用提供授权值以保护第三密钥;以及
响应于代理应用接收到授权值,创建第三密钥以将经加密的无线网络凭据传送到固件。
10.根据权利要求8所述的非暂时性计算机可读存储介质,包括指令,所述指令当被执行时使计算装置进行以下操作:
响应于代理应用从固件接收到用于保护第三密钥的授权值,创建第三密钥以包括授权值作为用于保护第三密钥的签名。
11.根据权利要求7所述的非暂时性计算机可读存储介质,包括指令,所述指令当被执行时使计算装置响应于计算装置的重新引导而进行以下操作:
请求访问无线网络;
检索经加密的无线网络凭据;以及
对无线网络凭据解密。
12.一种包括指令的非暂时性计算机可读存储介质,所述指令当被执行时使计算装置进行以下操作:
将用于计算装置的无线网络凭据存储在计算装置中的控制器的存储器中;
响应于从安装在计算装置的操作系统上的代理应用接收到更新无线网络凭据的请求,访问存储在控制器的存储器中的经加密的无线网络凭据;
对经加密的无线网络凭据解密;以及
将经解密的无线网络凭据应用于计算装置的操作系统以用于访问无线通信网络。
13.根据权利要求12所述的非暂时性计算机可读存储介质,其中所述代理应用要在计算装置的操作系统中执行,并且固件要在计算装置的系统管理模式驱动器中执行。
14.根据权利要求13所述的非暂时性计算机可读存储介质,包括指令,所述指令当被执行时使计算装置进行以下操作:
响应于系统管理模式驱动器接收到更新无线网络凭据的请求,检索无线网络凭据;
将无线网络凭据发送到代理应用;以及
使用代理应用对无线网络凭据解密。
15.根据权利要求14所述的非暂时性计算机可读存储介质,包括指令,所述指令当被执行时使计算装置进行以下操作:
响应于对无线网络凭据解密并根据网络凭据更新策略而连接到无线通信网络。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2019/029788 WO2020222774A1 (en) | 2019-04-30 | 2019-04-30 | Storage of network credentials |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113454624A true CN113454624A (zh) | 2021-09-28 |
Family
ID=73029117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980093350.8A Pending CN113454624A (zh) | 2019-04-30 | 2019-04-30 | 网络凭据的存储 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220043915A1 (zh) |
| EP (1) | EP3915030B1 (zh) |
| CN (1) | CN113454624A (zh) |
| WO (1) | WO2020222774A1 (zh) |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078681A1 (en) * | 2002-01-24 | 2004-04-22 | Nick Ramirez | Architecture for high availability using system management mode driven monitoring and communications |
| US7324450B2 (en) * | 2003-03-31 | 2008-01-29 | Intel Corporation | Method and apparatus for programming a functionality of an integrated circuit (IC) |
| US11063766B2 (en) * | 2003-06-13 | 2021-07-13 | Ward Participations B.V. | Method and system for performing a transaction and for performing a verification of legitimate access to, or use of digital data |
| US7340594B2 (en) * | 2004-06-30 | 2008-03-04 | Intel Corporation | Bios-level incident response system and method |
| US7555783B2 (en) * | 2005-01-21 | 2009-06-30 | Cisco Technology, Inc. | Wireless network credential provisioning |
| US8700729B2 (en) * | 2005-01-21 | 2014-04-15 | Robin Dua | Method and apparatus for managing credentials through a wireless network |
| US20060230165A1 (en) * | 2005-03-25 | 2006-10-12 | Zimmer Vincent J | Method and apparatus for provisioning network infrastructure |
| US8201239B2 (en) * | 2008-06-23 | 2012-06-12 | Intel Corporation | Extensible pre-boot authentication |
| US8353026B2 (en) * | 2008-10-23 | 2013-01-08 | Dell Products L.P. | Credential security system |
| US8856512B2 (en) * | 2008-12-30 | 2014-10-07 | Intel Corporation | Method and system for enterprise network single-sign-on by a manageability engine |
| US20100262773A1 (en) * | 2009-04-08 | 2010-10-14 | Google Inc. | Data striping in a flash memory data storage device |
| WO2010121020A1 (en) * | 2009-04-15 | 2010-10-21 | Interdigital Patent Holdings, Inc. | Validation and/or authentication of a device for communication with a network |
| US8539246B2 (en) * | 2011-03-16 | 2013-09-17 | Lenovo (Singapore) Pte. Ltd. | Secure resume for encrypted drives |
| US8849249B2 (en) * | 2011-05-23 | 2014-09-30 | Gigsky, Inc. | Devices and systems that obtain and manage subscriptions for accessing wireless networks on an ad hoc basis and methods of use |
| KR101239297B1 (ko) * | 2011-07-28 | 2013-03-05 | 한국전자통신연구원 | 정보 보호 시스템 및 방법 |
| KR20130051564A (ko) * | 2011-11-10 | 2013-05-21 | 삼성전자주식회사 | 메모리 모듈, 이를 포함하는 보드 어셈블리, 이를 포함하는 메모리 시스템, 및 상기 메모리 시스템의 동작 방법 |
| US9594638B2 (en) * | 2013-04-15 | 2017-03-14 | Amazon Technologies, Inc. | Host recovery using a secure store |
| US9990505B2 (en) * | 2014-08-12 | 2018-06-05 | Redwall Technologies, Llc | Temporally isolating data accessed by a computing device |
| US10037418B2 (en) * | 2015-11-25 | 2018-07-31 | Dell Products L.P. | Pre-boot authentication credential sharing system |
| US10069633B2 (en) * | 2016-09-30 | 2018-09-04 | Data I/O Corporation | Unified programming environment for programmable devices |
| US11068600B2 (en) * | 2018-05-21 | 2021-07-20 | Kct Holdings, Llc | Apparatus and method for secure router with layered encryption |
| US11943347B2 (en) * | 2019-03-12 | 2024-03-26 | Qualcomm Incorporated | Generation of initial network credentials in an integrated tamper resistant device |
-
2019
- 2019-04-30 WO PCT/US2019/029788 patent/WO2020222774A1/en unknown
- 2019-04-30 CN CN201980093350.8A patent/CN113454624A/zh active Pending
- 2019-04-30 US US17/296,453 patent/US20220043915A1/en active Pending
- 2019-04-30 EP EP19926852.5A patent/EP3915030B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3915030A4 (en) | 2022-09-07 |
| WO2020222774A1 (en) | 2020-11-05 |
| EP3915030A1 (en) | 2021-12-01 |
| EP3915030B1 (en) | 2023-10-18 |
| US20220043915A1 (en) | 2022-02-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3805968B1 (en) | Technologies for secure hardware and software attestation for trusted i/o | |
| US8566610B2 (en) | Methods and apparatus for restoration of an anti-theft platform | |
| JP5565040B2 (ja) | 記憶装置、データ処理装置、登録方法、及びコンピュータプログラム | |
| TWI632483B (zh) | 安全裝置及在其內提供安全服務至主機的方法、安全設備以及電腦軟體產品 | |
| CN107408172B (zh) | 从用户信任的设备安全地引导计算机 | |
| US20110093693A1 (en) | Binding a cryptographic module to a platform | |
| JP2008052704A (ja) | コンピュータおよび共有パスワードの管理方法 | |
| US9147076B2 (en) | System and method for establishing perpetual trust among platform domains | |
| US11106798B2 (en) | Automatically replacing versions of a key database for secure boots | |
| CN109804598B (zh) | 信息处理的方法、系统及计算机可读介质 | |
| US10853086B2 (en) | Information handling systems and related methods for establishing trust between boot firmware and applications based on user physical presence verification | |
| US10740467B2 (en) | Remote access controller in-band access system | |
| CN109983465B (zh) | 增强的安全引导 | |
| US10747885B2 (en) | Technologies for pre-boot biometric authentication | |
| CN113645179B (zh) | 配置虚拟实体的方法、计算机系统和存储介质 | |
| US20170201373A1 (en) | Systems and methods for management controller management of key encryption key | |
| CN116561826A (zh) | 基于固件所有权历史来管理对管理控制器秘密的使用 | |
| US20230119196A1 (en) | Information processing apparatus, authenticity verification method, and program | |
| EP3915030B1 (en) | Storage of network credentials | |
| CN113515414A (zh) | 可编程逻辑器件的验证 | |
| US11960737B2 (en) | Self-deploying encrypted hard disk, deployment method thereof, self-deploying encrypted hard disk system and boot method thereof | |
| US20220121748A1 (en) | Modifications to firmware functionality |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: R. Bramley Inventor after: M. Provencher Inventor after: C. R. Staub Inventor before: R. Bramley Inventor before: M. Provencher Inventor before: C. Staub |