CN116226946A - 用于计算设备中的硬件改变或覆盖物打开的策略 - Google Patents
用于计算设备中的硬件改变或覆盖物打开的策略 Download PDFInfo
- Publication number
- CN116226946A CN116226946A CN202211535970.2A CN202211535970A CN116226946A CN 116226946 A CN116226946 A CN 116226946A CN 202211535970 A CN202211535970 A CN 202211535970A CN 116226946 A CN116226946 A CN 116226946A
- Authority
- CN
- China
- Prior art keywords
- computing device
- policy
- challenge
- overlay
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000004044 response Effects 0.000 claims abstract description 117
- 238000013475 authorization Methods 0.000 claims abstract description 61
- 230000008859 change Effects 0.000 claims abstract description 20
- 238000001514 detection method Methods 0.000 claims description 16
- 238000012360 testing method Methods 0.000 claims description 6
- 238000009877 rendering Methods 0.000 claims description 2
- 238000000034 method Methods 0.000 description 49
- 230000011664 signaling Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 230000008439 repair process Effects 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000002730 additional effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
- Stored Programmes (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
可以提供指令以使得计算设备接收授权数据,所述授权数据指示策略;输出密码质询,所述密码质询与所述计算设备和所述策略相关联;接收对所述密码质询的响应;接收硬件改变已经发生或所述计算设备的覆盖物已经被打开的指示;以及,响应于基于所接收的响应确定所述密码质询通过,根据所述策略对所述指示做出反应。
Description
背景技术
保护计算设备及其存储的数据不受恶意行为者的影响是持续的挑战。攻击者对计算设备的内部组件的物理访问的场景提出特定的挑战。
附图说明
下文将参照附图进一步描述示例,其中:
图1a示出包括覆盖物(cover)检测电路的计算设备的一个示例。
图1b示出用于对计算设备的覆盖物已经被打开的指示进行响应的一个方法。
图1c示出编码有用于执行图1b的方法的指令的机器可读介质。
图2a示出实现一种策略的方法200。
图2b示出用于图2a的方法的信令方案。
图3a示出实现一种策略的另一方法。
图3b示出用于图3a的方法的信令方案。
图4a示出实现一种策略的另一方法。
图4b示出用于图4a的方法的信令方案。
图5a示出更新日志的一个方法。
图5b示出用于图5a的方法的信令方案。
图5c示出编码有用于执行图5a的方法的指令的机器可读介质。
图6a示出更新日志的一个方法600。
图6b示出用于图6a的方法的信令方案。
具体实施方式
计算设备可以具有覆盖物。该覆盖物可以包括壳体、面板、外壳、外罩等。当该覆盖物关闭时,例如,在适当的位置,该覆盖物可以防止或阻碍对计算设备的内部组件的物理访问。可以打开覆盖物(例如通过移动或去除覆盖物的全部或部分)以暴露出组件。在此,打开和去除可互换使用,并且包括当打开/去除时覆盖物仍附着在计算设备上的情况,以及当打开/去除覆盖物时覆盖物从计算设备脱离的情况。
如果攻击者访问计算设备的内部组件(例如,通过打开覆盖物),则攻击者损害设备或其数据的机会和选项可能就会显著增加。例如,访问计算设备的内部组件的攻击者可以执行闪速存储器替换攻击或可信平台模块(TPM)探测攻击。
一种计算设备可以包括覆盖物检测电路,用于检测计算设备的覆盖物的打开。覆盖物检测电路可以包括通过打开和关闭覆盖物而在各状态之间移动的开关。当打开或关闭时,覆盖物可以物理地移动开关的元件以改变开关的状态。在另一示例中,覆盖物可以包括导电部分,当覆盖物闭合时,该导电部分完成开关的两个端子之间的回路。覆盖物检测电路可以采取其它形式。
计算设备可以通过实施策略来对覆盖物已经被打开的检测进行响应。该策略可以包括例如日志记录(logging)覆盖物的打开、删除由计算设备存储的信息、触发警报或警告、迫使系统关闭、在设备的下一次引导时要求管理员凭证或这些的任何组合。要实施的策略可以由管理员来设定。策略可由计算设备的内部存储装置来存储。日志记录可以包括在计算设备中安全地存储事件(例如,诸如打开覆盖物的事件)的记录。安全地存储信息可以包括以阻止未授权修改的方式或者以允许检测到未授权修改的方式存储信息。安全地存储可以包括对信息进行加密或签名。在一些示例中,计算设备可以被布置成允许远程管理员例如经由网络查询或查看事件日志。
在本文中,管理员可以是管理设备并具有管理员权限(例如,包括改变硬件和基本输入输出/系统(BIOS)设定的权限)的实体。管理员可以远程地(例如,经由网络)或本地地管理计算设备。管理员可以是例如公司中的IT管理员或计算设备的用户。在本文中,对由管理员执行的操作的引用可以包括由管理员的设备执行的操作。在一些示例中,管理员可以是或可以包括云服务,该云服务存储许可信息以自动地并且根据该许可响应来自用户的请求(例如,针对计算设备的特定类型的访问的授权请求)。
日志记录覆盖物打开可以允许计算设备的管理员确认是否已经发生了覆盖物被打开的任何可疑情况。删除由计算设备存储的信息可以降低例如由打开覆盖物的攻击者对数据的未授权访问的风险。所删除的信息可以包括TPM或设备的类似元件的内容。在一些示例中,所删除的信息可以包括用于访问由计算设备存储的加密数据的加密密钥。例如,计算设备的硬盘驱动器上的数据可被加密,其中,用于解密的密钥被存储在设备的TPM中。从TPM中删除密钥可以防止或阻碍攻击者对硬盘驱动器上的数据的访问。在密钥被单独备份的情况下,用户或管理员可以使用备份的密钥来恢复对硬盘驱动器上的数据的访问。
警报可以包括覆盖物已被打开的可听或可视提示,并且可警告管理员或用户覆盖物的打开。在一些示例中,警报可以是例如在随后的引导或登录时要显示给用户或管理员的告警。
在一些情况下,计算设备的覆盖物可能会出于合法原因而被打开,诸如为了设备的修复、维护或升级。在这种情况下,用于对打开覆盖物进行响应的正常策略可能是不适当的。例如,在出于合法原因打开覆盖物的情况下,删除由计算设备存储的数据可能会导致数据的永久丢失,或者可能会在恢复数据时产生额外的工作。这可能与管理员为打开覆盖物的特定实例而选择的行为不一致。
为了避免在出于合法目的而打开覆盖物时策略的不期望的表现,管理员可以临时禁用该策略以允许打开覆盖物而不发起响应。然而,在这种情况下,在该策略被禁用的整个时段期间,计算设备可能更容易受到攻击者的攻击。例如,攻击者在该时段期间打开覆盖物可能未被日志记录,或者攻击者可能具有更大的机会来提取存储在计算设备上的数据(例如,在正常策略将使计算机在覆盖物打开时关机的情况下)。此外,即使当计算设备对攻击者不可访问时,覆盖物的授权打开也未被日志记录,使得日志不能表示设备的完整历史。此外,如果在禁用策略与执行维护/修复操作之间存在延迟,或者在完成维护/修复操作与启用策略之间存在延迟,则计算设备可能会在延长的时段内易受攻击。
在一些情况下,诸如维护或修复的操作可以由代理来执行。代理可以是实体,诸如特定用户、用户组、工程师、组织或管理员。在一些情况下,要由代理执行的操作可以包括打开计算设备的覆盖物。在本文中,被描述为由代理执行的一些操作可以由与该代理相关联的设备来执行,诸如计算机终端或移动计算设备。
图1a示出了计算设备100的一个示例。计算设备100包括覆盖物检测电路115,用于检测计算设备100的覆盖物110的去除,并基于该检测提供指示117。覆盖物110可以覆盖、封闭或阻碍对计算设备100的组件的访问。计算设备100包括处理器120。处理器120被布置成接收描述用于去除覆盖物110的策略135的授权数据130。策略135可以表示例如已经由管理员设定的临时策略。策略135可以描述当授权用户打开覆盖物110时要执行的响应。
默认策略可以针对计算设备100定义,并且可以由计算设备100安全地存储。默认策略可以是在没有替代策略的情况下响应于覆盖物110已经或正在被打开的检测到而要实施的策略。
处理器120使密码质询140被输出。该质询140可被发给试图根据策略135打开覆盖物110(即,试图使策略135代替默认策略应用于打开覆盖物)的用户或代理。质询140与计算设备100和策略135相关联。例如,质询140可以包括与计算设备100和策略135相关联的信息。
处理器120被布置成接收对密码质询的响应142并确定响应142是否通过了质询。质询是测试密码秘密的使用的。例如,通过了密码质询可以表明拥有或可以访问密码秘密。实体对密码秘密的拥有或访问可以是该实体被根据策略135(例如,代替根据默认策略)而授权打开覆盖物110的指示。
当处理器120从覆盖物检测电路115接收到覆盖物110已被打开的指示117时,处理器120在授权数据上实施策略135或者实施默认策略。当响应被确定为通过了质询时,应用授权数据中的策略135,并且当响应被确定为未能通过质询时,则应用默认策略。策略可以由设备100内的操作来实施,或者可以包括向设备外部(例如,通过网络)发送信号,或者二者。
这种布置可以允许覆盖物110的授权打开,而不实施旨在用于覆盖物110的未授权打开的策略。此外,可以减少其间不应用默认策略的时间窗口,从而提高设备100的安全性。
质询140可经由计算设备100本地的输出设备输出。对质询140的响应142可经由计算设备本地的输入设备来接收。
处理器120可以确定授权数据130是由管理员签名的,并且经由计算设备100本地的输入设备接收请求去除计算设备100的覆盖物110的输入。响应于去除覆盖物110的请求,质询140可被输出到计算设备100本地的输出设备。
当代理物理地存在于计算设备100处(例如,使用计算设备100本地的输入或输出设备)并且在通过了质询之后立即(或不久)开始操作时,存在攻击者在代理之前就打开覆盖物110的降低的风险,因此,这可以降低攻击者的打开被计算设备100解释为是由代理授权打开的风险。
计算设备100可以存储公共密钥,并且确定已经通过质询可以包括确定已经将与公共密钥对应的私有密钥应用于输出质询以生成响应142。
图1b示出了用于对计算设备100的覆盖物110已被打开的指示进行响应的一个方法150。方法150在152开始。由计算设备100接收155授权数据130。授权数据130指示策略135。策略135可以描述对确定计算设备100的覆盖物110已经打开的响应。
计算设备100可输出160密码质询140,其中,密码质询140是与计算设备100和策略135相关联的。密码质询140可以包括与计算设备100和策略135相关联的信息。计算设备100接收170对密码质询140的响应142。
计算设备100接收180计算设备100的覆盖物110已经被打开的指示117。该指示117可以是由诸如覆盖物检测电路115的覆盖物检测部分来提供的。
如果基于所接收的响应142确定密码质询通过,则计算设备100根据策略135对该指示做出反应190。所述方法在195处结束。
图1c示出了编码有指令217的机器可读介质125,以使计算设备100或计算设备100的处理器120执行图1b的方法。指令127包括用于接收授权数据130的指令157,其中,授权数据130指示策略135。指令127还包括用于输出密码质询140的指令162,该密码质询140与计算设备100和策略135相关联。密码质询140可以包括与计算设备100和策略135相关联的信息。指令127包括用于接收对密码质询140的响应142的指令172。指令127还包括用于接收计算设备100的覆盖物已被打开的指示117的指令182,以及用于响应于确定密码质询通过而根据策略135对该指示117做出反应的指令192。响应于接收到响应142,可以执行用于确定质询是通过还是失败的指令。在一些示例中,可以响应于指示117来执行用于确定质询是通过还是失败的指令。
这种布置可以允许覆盖物110的授权打开,而不实施旨在用于覆盖物110的未授权打开的策略(例如,默认策略)。此外,可以减少其间不应用默认策略的时间窗口,从而提高设备100的安全性。
指令127可以使得计算设备在代理物理地存在于计算设备100处时接收授权数据130,该授权数据130是来自代理的根据策略135打开计算设备100的覆盖物110的请求。即,该请求可以是要响应于覆盖物110的打开而应用的策略135的请求。指令127还可以使计算设备110响应于接收到授权数据130而输出密码质询140。
授权数据130还可以指示计算设备100,并且指令127还可以使得计算设备100认证接收到的授权数据130,授权数据130可以指示根据策略135打开计算设备100的覆盖物110的授权;以及当代理物理上存在于计算设备100处时,接收根据策略135打开计算设备100的覆盖物110的请求,其中,响应于接收到该请求而输出密码质询140。
指令还可使计算设备100使用公共密钥来生成该密码质询140,并且在接收的响应142证明使用与该公共密钥关联的私有密钥时确定密码质询140已经通过。
当接收的响应142是基于对输出的密码质询应用私有密钥时,密码质询140可以通过。
策略135可以包括响应于根据策略135打开覆盖物110而执行的操作。策略135可以包括对打开覆盖物的授权的限制。策略135可包括策略135的适用性的定时信息。策略135可以包括计算设备100的覆盖物110在策略135内可被打开的次数。策略135可以包括在策略135内可以打开覆盖物110的总时间。策略135可以包括在计算设备100的下一次引导时迫使检查计算设备100的配置的设定。策略135可以包括当根据策略135打开覆盖物110时迫使计算设备100关机的设定。策略135可以包括当根据策略135打开覆盖物110时计算设备100仍可保持开机的指示。策略135可以包括在下一次引导时强制提示管理员凭证的指示,策略135可以包括用于在根据策略135打开覆盖物110时日志记录的指令。策略135可以包括前述要素的组合。
响应于确定密码质询失败,其中,该确定是基于所接收的响应的,指令127还可以使得计算设备100根据默认策略对指示117做出反应。默认策略可以包括日志记录覆盖物110的打开、致使计算设备100所存储的数据不可读、迫使计算设备100关机、在下一次引导时强制对管理员凭证的提示、或其组合。当还没有密码质询140被发出时,诸如当覆盖物110在尚未接收到授权数据130的情况下被打开时,或者当覆盖物110在没有应用除默认策略外的策略135的先前请求的情况下被打开时,计算设备100可以根据默认策略来对指示117进行响应。
在本文中,描述了与检测计算设备的覆盖物的打开有关的示例。然而,本文的所有示例都可以类似地应用于计算设备的硬件的改变。对硬件的改变可以包括添加、去除或替换计算设备的硬件元件,或这些的任何组合。此外,硬件改变可以包括硬件组件的连接或变更,包括跳线设定的改变。
图2a示出了在设备100处实施策略135的方法200,并且图2b示出了对应的信令方案205。根据图2a和2b的示例可以与根据图1a-c的示例一致。方法在202处开始。设备100从管理员210接收230命令235。命令235可以是授权数据130的一个示例。命令235可以通过诸如因特网之类的网络被发送到设备100。
在一些示例中,策略135可以在BIOS级别上实施,使得命令235将被传送到BIOS。在一些示例中,命令235可以经由在设备100的操作系统(OS)内执行的软件提供给BIOS。例如,可以使用系统中心配置管理器(SCCM)或类似的。在一些示例中,命令235可使用PowerShell实用程序(utility)来发送。
设备100可以验证命令235。这可包括验证命令235的真实性、完整性或两者。例如,这可以包括确认命令235是由管理员210发出的、确认命令235没有被修改或篡改等。在一些示例中,命令235的验证可以利用非对称数字签名密钥对(RMpk,RMsk)。管理员210可以存储秘密密钥RMsk,并且设备100可以存储对应的公共密钥RMpk。管理员210可以使用秘密密钥RMsk来签名命令235,从而允许设备100使用公共密钥RMpk来验证命令235。在本文中,术语“秘密密钥”和“私有密钥”可以互换使用。在一些示例中,命令235的验证可以利用由管理员210和设备100共享的对称共享秘密。
如果设备100确定了命令235未被验证,则该命令235可以被设备100忽略。如果设备100确定命令235被验证,则命令235(或包括在命令235中的要素)可以被存储在设备100中。命令235可以被安全地存储,例如通过将命令存储在抗篡改的设备或存储器区域中。
命令235可以包括策略135,该策略是响应于当代理220已经被认证而打开覆盖物110时而实施的。策略135可以指示响应于覆盖物110的打开而执行的动作。例如,策略135可指示计算设备100要关机、删除信息(诸如TPM的内容)、在下一次引导时提示管理员凭证、导致执行硬件扫描等。例如,可以在打开覆盖物之后的设定时间强制硬件扫描。如果覆盖物仍然打开或者如果检测到任何非预期的硬件改变,则策略可以指示要采取的附加动作,或者可以指示要执行针对未授权访问的默认策略(例如,删除存储在TPM中的信息)。
策略135可以包括关于覆盖物110的打开的约束。例如,策略可以指示在策略135内准许覆盖物打开的最大次数。例如,策略135可以准许覆盖物110打开多达三次,并且策略135可以在覆盖物100的第三次打开之后过期(即不再可用)。约束的另一个示例是根据策略135打开覆盖物110的最大时间。例如,如果预期升级花费少于一个小时,则策略135可指定如果覆盖物被打开超过一个小时则策略135将停止应用。在策略135准许覆盖物110被多次打开的情况下,可以定义最大总时间(即,组合所有打开的时间),可以定义每个单独打开事件的最大时间,或者两者。这些约束的组合可在策略135中设定。策略135可以指示策略135的到期。例如,策略135可以在一周之后或在某一天的某个时间到期。在一些情况下,策略135可以指示操作将在特定时间开始(例如,代理220将请求根据策略135打开覆盖物110并且在特定日期和时间进行认证,或者根据策略135的覆盖物110的至少一次打开将在特定日期和时间执行,或者覆盖物110的所有打开将在特定日期和时间执行)。这些约束的任何组合可以被包括在策略135中。
策略可以针对特定设备100(例如,要修复或升级的设备),并且设备100可以由策略135或命令235来标识。在一些示例中,设备100可以被明确地标识(例如,通过包括在命令235中的设备标识符)。在一些示例中,设备100可以被间接地标识,例如通过使用公共密钥对命令235进行加密,对于该公共密钥,私有密钥是特定设备100已知的。
命令235可以包括在覆盖物100已经被打开之后,例如当覆盖物110已经被打开并且随后被关闭时,要采取的动作。例如,可以在策略135中强制对设备100的硬件的扫描。
命令235可以包括命令235中的授权或策略的唯一标识符。
命令235可以包括公共密钥,诸如短时公共密钥opk。对应的秘密密钥osk可以被管理员210存储。密钥opk和osk可以形成加密密钥对。
命令235可以包括命令235的其它内容(例如,除签名之外的内容)的签名,以用于认证命令235。签名可以使用管理员的秘密密钥RMsk。
命令235可以由设备100来存储,以便在代理220根据命令235请求250打开覆盖物110时使用。
代理220从管理员210接收240密码密钥245(例如,osk)。这可以在向设备100提供命令235之前、之后或同时发生。密钥245可以通过安全(例如机密的和经认证的)信道被发送给代理220。
密钥245可以伴随有命令235的唯一标识符。这可以帮助该代理请求正确的策略135,特别是在具有不同策略135的多个命令235已经被该设备100接收到的情况下。
设备100可以从代理220接收根据策略135打开覆盖物100的请求。例如,代理220可以输入命令或命令的组合以请求根据在命令235中接收的策略135来处置下一个覆盖物打开事件。在已经或可能接收到多个命令235的情况下,代理220可以选择相关命令235。命令235的唯一标识符可被代理220使用。代理220可以例如通过键入来输入该唯一标识符,或者可以从列出有效命令235/策略135的菜单中选择该标识符。如果命令235或策略135已经被验证并且尚未被使用或以其他方式到期,则它可以是有效的。
在一些示例中,来自代理220的请求可以经由设备100本地的输入设备接收。这可以允许当代理220物理地存在于设备100处时实施策略135。代理220能够立即执行操作(诸如维护、修复或升级)。这可以减少或消除在应用策略135和操作开始之间的延迟。这可以减少增加漏洞的时段,该增加漏洞的时段是与实施比默认策略更许可的策略135相关联的。
设备100向代理220发出260密码质询140。质询140与策略135和设备100相关联。例如,密码质询140可使用短时密钥opk,并且该短时密钥opk可以通过被包括在命令235中而与策略135和设备100相关联,其中,命令235包括策略135并且与设备100相关联(例如,通过明确地标识设备100或通过使用专门供设备100使用的密钥进行签名)。
密码质询140可以包括随机元素,诸如随机数。随机元素可以是由设备100使用短时公共密钥opk来加密的。密码质询140可以包括将加密的随机元素作为密文输出给代理220。质询140可以以机器可读形式(例如作为2D条形码)输出。在其他示例中,可以经由USB、蓝牙、射频通信(RFC)或其他通信信道将质询从设备100输出至代理220(或代理的设备上)。
代理220可以接收密码质询140,并且基于从管理员210处接收的短时秘密密钥osk来确定响应142。例如,代理220可以具有存储短时秘密密钥osk的设备(诸如移动设备,例如智能电话)。在代理的设备上的相机可以用于捕获质询140的图像(例如,其中,质询是2D条形码)。该代理的设备然后可以使用短时秘密密钥osk来解码该质询并且确定对该质询的响应142。例如,在质询140包括加密的随机元素的情况下,质询140可被解密以确定该随机元素,其中,该随机元素是对质询140的响应142。在一些示例中,响应可以从诸如随机元素的散列或散列的一部分的解密的随机元素中导出。
代理220通过向设备100提供响应142来对质询140进行响应270。响应142可以是由设备100经由计算设备100的输入设备接收的。输入设备可以在计算设备100本地。输入设备可以是键盘。在一些示例中,代理的设备可以经由诸如USB、蓝牙、RFC等的通信信道来发送对质询的响应142。
设备100确定280响应142是否是对质询140的正确响应。在一些示例中,这个确定的结果可以被指示给代理220。在一些示例中,可以日志记录确定的结果。
设备100可以验证与策略135相关联的任何限制或约束是否被满足。
代理220然后可以打开覆盖物110,并且覆盖物检测电路115可以向设备100指示290覆盖物110已经被打开。在一些示例中,可以定义时间间隔,使得如果在由代理220进行认证之后的时间间隔内没有打开覆盖物110,则代理220要在打开覆盖物220之前进行重新认证。例如,时间间隔可以是五分钟,并且因此代理220应当在完成认证的五分钟内打开覆盖物110。这可以帮助减少在其期间应用更认可的策略代替默认策略的时间。它还可以鼓励代理220在认证之后立即或不久就开始操作(例如,修复、升级等),这可以降低攻击者获得对设备100的物理访问的风险,同时应用更认可的策略。
如果代理220成功地通过了质询,则设备100可以确认覆盖物的打开符合与策略135相关联的任何限制或约束,并且实施295a在命令235中接收的策略。
如果确定280没有成功通过质询,或者如果违反了与策略相关联的约束,则可以实施295b默认策略。
所述方法可以在297处结束。
在一些示例中,在策略135准许覆盖物110被多次打开的情况下,策略135可以指示代理220要在每次覆盖物110被打开时进行认证。在其他示例中,策略135可以指示代理220可以在单次认证之后多次打开覆盖物110。例如,策略135可以指示覆盖物110可以在以覆盖物110的第一次打开开始的24小时时段内被打开达五次。在一些示例中,策略135可以定义在由代理220进行的认证之后的时间段,在该时间段内不请求对代理220的重新认证。
密码质询140可以是确认代理220拥有或能够使用密码秘密(诸如短时秘密密钥osk)的任何质询。例如,密码质询140可以包括设备100输出未加密的质询140,诸如随机数。代理220可以使用短时秘密密钥osk来对该质询进行签名,并且将签名的质询140作为质询响应142返回给设备100。设备100可以通过使用短时公共密钥opk来确认在签名中使用了短时秘密密钥osk。如果设备100能够验证签名的质询的签名(响应142),则质询并确定为通过。如上所述,质询140和响应142可以使用显示器和键盘,或者诸如USB、蓝牙、RFC等的通信信道来传送。在一些示例中,可以使用共享秘密密钥,例如由代理进行加密、解密或应用消息认证码,使用共享秘密并且设备解密、加密或验证消息认证码,以便确定质询是否已经通过。
在一些示例中,命令235可被存储在存储设备上,诸如可以连接到设备100以准许设备100接收命令235的USB驱动器。管理员210可以通过向代理220提供其上存储有命令235的存储设备来向该代理220提供命令235。在一些示例中,管理员210可以通过经由网络将命令235传输到代理220来向代理220提供命令235。然后,代理220可以将命令235存储到存储设备。代理220可以将命令235从USB驱动器(或其它存储设备)传送到设备100。例如,USB驱动器可以在引导之前就与设备100连接,并且命令235可以在引导过程期间由设备100从USB驱动器中获得。命令235可以被传送到设备100的基本输入输出/系统BIOS。在一些示例中,除了代理220之外的实体,诸如具有对设备100的物理访问的用户,可以使用存储设备来向计算设备100提供命令235。设备100可以以与先前描述的相同方式验证命令。
管理员210可以执行以下操作以向设备100提供命令235。管理员210可以生成用于与命令235一起使用的短时加密密钥对(opk,osk)。管理员210还可以构造命令235。命令235可以包括用于标识命令235(或者用于标识策略135或包括在命令中的授权)的唯一标识符、短时公共密钥opk、响应于授权打开而实施的策略135、签名或这些的任何组合。策略135可以包括关于覆盖物110的打开的任何限制或约束(诸如打开时间限制或打开计数限制)。签名可使用秘密密钥RMsk,其中,计算设备100具有对应的公共密钥RMpk。管理员210然后可以将命令235提供给设备100。命令235可以经由网络或经由要与计算设备100连接的物理存储设备来提供。设备100然后可以认证命令235,并且响应于成功的认证而存储命令235。如果命令235的认证不成功,则设备100可以忽略该命令235。
管理员210可以经由安全信道向代理220提供短时秘密密钥osk。
为了根据策略135打开覆盖物110,代理220可以向设备100提供输入,以请求根据所接收的策略135打开覆盖物110。代理220可以通过例如键入与命令235相关联的标识符或从下拉菜单中选择命令235来标识相关命令235/授权。当设备100已经接收和存储或者被配置成接收和存储用于授权打开覆盖物110的多个策略时,这可能是适当的。
响应于代理220的请求255,设备100可以生成随机质询,并使用与代理所指示的命令/授权相关联的短时公共密钥opk来加密该质询。加密的质询140可以作为密文输出给代理220。例如,加密的质询140可以作为2D条形码输出。然后,代理220可以接收加密的质询140(例如使用设备的相机来捕获2D条形码)。代理220然后可以使用该短时秘密密钥osk来解密质询140。然后,解密的质询可以由代理220提供给设备100,作为对质询140的响应142。例如,响应142可以由使用键盘键入响应142的代理220提供给设备100。在一些示例中,响应可以是基于解密的质询的,例如,解密的质询的散列或散列的一部分可以用作响应。在一些示例中,可以通过诸如USB、蓝牙、RFC等的通信信道来提供响应。
如果设备100确定响应142与该原始质询相匹配,则设备100可以确定该代理220已经被成功地认证,设备100可以日志记录该代理已经被成功认证。设备100可以验证为策略135定义的任何限制或约束。设备100可以向代理220提供指示,即代理220被授权根据所选择的策略135打开覆盖物110。
响应于检测到覆盖物110被打开,设备100可以验证仍然满足任何限制或约束,并且如果满足,则可以将覆盖物110的打开日志记录为授权打开。设备100可以根据所选择的策略来对该打开进行响应。由于授权的打开而应用的任何策略设定也可被日志记录。
图3a示出了在设备100处实现策略135的方法300,并且图3b示出了对应的信令方案305。根据图3a和3b的示例可以与根据图1a-c的示例一致。根据方法300,可以在缺少从管理员210到设备100的先前命令235的情况下执行覆盖物110的授权打开。在一些情况下,管理员210可能不能向设备100提供命令。例如,向设备100提供命令235的一些方法可以依赖于在设备100上存在和执行的操作系统;不存在操作系统可能会阻碍或防止向设备100提供命令235。方法300可被用在这种情况下。方法300也可以在操作系统存在并在设备100上执行时使用。
方法300在302处开始。设备100从代理接收310请求315。请求315可以是对覆盖物110的授权打开的请求,并且可以包括授权数据130。授权数据130可以指示代理220正在请求强制实施打开覆盖物110的策略135。例如,请求315可以使用键盘输入或经由通信信道(诸如USB、蓝牙、RFC等)传送。策略135可以包括要应用于覆盖物110的授权打开的限制或约束。
设备100可以生成并输出密码质询140。质询140可包括随机元素。质询140还可以包括请求315中所包括的策略135。质询140还可以标识计算设备100(例如,通过包括与设备100相关联的设备标识符)。质询140可以例如使用公共密钥LApk来加密,其中,管理员210具有对应的秘密密钥LAsk。在一些示例中,可以使用公共密钥LApk来加密质询140的随机元素。可使用秘密密钥将签名应用于质询140,以防止修改质询140的元素。
加密的质询140可以作为密文被输出320给代理220。加密的质询140可作为例如2D条形码输出。
代理220可以接收加密的质询140。例如,代理220可以使用设备的相机来捕获加密的质询140(例如,作为2D条形码)。
代理220可以将加密的质询140传送330给管理员210。代理220还可以与管理员210执行认证过程以向管理员210确认代理的身份。该过程可以包括代理220输入用户名/密码组合、执行生物测定认证等。
管理员210可以决定是否授权由代理220请求的策略135。管理员210可从质询140中包括的信息中获得所请求的策略135。该决定可以基于代理220、要被打开的设备100或两者的身份。该信息可被包括在质询140中以供管理员210使用。
如果管理员210决定授权所请求的策略135,则管理员210可使用秘密密钥LAsk来解密该加密的质询140。
管理员210可以在响应345中向代理220提供340解密的质询。然后,代理220可以向设备100提供350响应142。例如,可以使用键盘输入响应142。在一些示例中,响应142可以经由通信信道被传送到设备100。在一些示例中,对质询的响应可以是例如随机元素的散列或随机元素的散列的一部分。
设备100例如通过将响应142与质询140的原始随机元素进行比较来验证360响应142。如果确定质询被确定已经通过,则设备100可以存储策略135。设备100可以向代理220指示策略135的授权是成功的。在一些示例中,设备100可以日志记录策略135的成功授权。
当质询已经被确定380为已经通过时,设备100可以检测370覆盖物110的打开,并且可以根据策略135进行响应390a。设备100可以将覆盖物110的打开日志记录为覆盖物110的授权打开。当质询已经被确定380为已经失败时,设备100可以检测370覆盖物110的打开,并且可以根据默认策略进行响应390b。所述方法在395处结束。
在一个示例中,质询140可以是未加密的。设备100可以输出320包括未加密随机元素和所请求策略135的指示的密码质询140。代理220可以接收该质询140并且向管理员220提供330该质询140。管理员220然后可以使用该秘密密钥LAsk来对质询140进行签名,并且将签名的质询345提供给340代理。然后,该代理可以将该签名的质询提供350给设备100作为对该质询140的响应142。设备100可使用公共密钥LApk来验证签名以确认对质询140的响应142。
在一些示例中,管理员210可以是云服务。该服务可以存储秘密密钥LAsk。代理220可以向管理员210进行认证,并且向管理员210发送质询140。服务可以根据服务存储的许可(例如,由人类管理员定义的)有条件地解密质询。可以在任何时间(例如,由人类管理员确定)更新或撤销由服务存储的许可。
图4a示出了在设备100处实现策略135的方法400,并且图4b示出了对应的信令方案405。根据图4a和4b的示例可以与根据图1a-c的示例一致。方法在402处开始。设备100从管理员210接收410命令235。这可以类似于图2a的操作230。设备100可以从代理220接收420根据命令235中的策略135打开覆盖物110的请求425。这可以类似于图2的操作250。设备100可以输出430质询140。该质询140可以包括随机元素。质询140可以例如通过包括命令235或策略135的标识符来标识命令235或策略135。质询140可以使用包括在命令235中的公共密钥(例如短时公共密钥opk)来加密。
代理220可以接收质询140并且将质询140发送440给管理员210。代理220还可以向管理员210认证它们自己。这可以类似于图3a和3b的操作330。
管理员210可以决定是否授权代理220根据策略135打开设备100的覆盖物110。如果代理220被授权了,则管理员210可以例如使用短时密钥osk解密质询140,并将响应455发送450给代理220。然后,代理220可以向设备100提供460响应142。设备100然后可以确认470对质询140的响应142是否正确,并且如果是,则可以响应于检测到480覆盖物110被打开而实施495a策略135。在对质询140的响应142不正确的情况下,设备可以实施495b默认策略。所述方法在497处结束。例如,当管理员210没有合适的信道(例如,安全信道)来预先私有地向代理发送信息时,可以使用所述方法。
在图4a的示例中,短时公共密钥由管理员210在命令235中发送给设备100。然而,在一些示例中,可以省略该短时公共密钥。例如,设备100可能已经存储了与管理员所持有的秘密密钥(例如,LAsk)相对应的公共密钥(例如,LApk),诸如长期公共密钥。在这种情况下,可以从命令235中省略私有密钥。可以使用先前存储的密钥(LApk和LAsk)来代替图4a和4b的短时密钥opk和osk。
根据一些示例,一种非暂时性机器可读存储介质被编码有可由处理设备执行的指令,所述指令用于使处理设备接收密码质询,所述密码质询包括与计算设备和策略相关联的信息,所述策略描述当检测到计算设备的覆盖物的去除时将由计算设备采取的响应。所述指令还使所述处理设备基于所述密码质询和私有密钥接收质询响应,并且进一步使所述处理设备输出所述质询响应。在一些示例中,处理设备可以是由代理用于对由计算设备发出的密码质询进行响应的设备。
根据一些示例,管理员210可以通过代理220授权打开设备覆盖物110,并且设定用于打开覆盖物110的策略235。该打开可以由设备记录为授权的,从而使得日志能够更准确地反映设备的历史。
图5a示出了在设备100处更新日志的方法500,并且图5b示出了对应的信令方案505。方法500在510处开始。设备100接收520覆盖物110已经被去除的指示。设备100可以在日志中存储530覆盖物110的去除的记录。设备100可以接收540更新日志以指示覆盖物110的去除是被授权的请求545。请求545可以是从管理员210处接收的。请求545可以是去除后授权命令。请求545可以包括唯一标识符以标识要被指示为授权的去除。请求545可以包括要包括在日志中的注释(例如,文本)。注释例如可以解释去除的原因,并提供授权去除的理由。请求545可以包括签名;例如,可以使用管理员210持有的秘密密钥RMsk来签名请求的内容(除了签名之外)。
设备100可以认证550请求545。例如,在使用秘密密钥RMsk来签名请求545的情况下,设备100可以使用对应的公共密钥RMpk来确认该请求源自管理员210并且尚未被更改。计算设备100可以更新560日志以指示覆盖物的去除是被授权的,例如,如果请求被成功认证。在一些示例中,更新560日志可以包括重新记录覆盖物去除,例如使用与去除相关联的唯一标识符,作为后授权。所述方法在570处结束。
可以将信息添加到日志以指示对覆盖物的未授权去除随后已经被授权。在一些示例中,在该过程中不改变去除的原始记录。
在一些情况下,在去除之前可能不会对覆盖物的非恶意去除进行授权。根据图5a和5b的布置,管理员可以在去除已经发生之后对去除进行授权,使得日志可以更好地反映设备100的历史。
图5c示出了编码有指令507的机器可读介质502,以使计算设备100或计算设备100的处理器120执行图5a的方法。
指令507包括用以接收计算设备100的覆盖物110已被去除的指示的指令522。指令507还包括指令532,以在日志中存储覆盖物110的去除的记录。指令507包括接收更新日志以指示覆盖物110的去除是被授权的请求545的指令542,并且还包括认证请求545的指令552。指令507包括更新日志以指示覆盖物110的去除是被授权的指令562。
可以响应于请求545的成功认证来执行日志的更新562。
所接收的更新日志的请求545可以被密码地签名,并且认证请求可以包括测试该密码签名。
接收542更新日志的请求545可以包括从计算设备100本地的输入设备接收请求545,并且认证请求545可以包括向计算设备100本地的输出设备输出密码质询、接收对密码质询的响应以及验证该响应。
图6a示出了在设备100处更新日志的方法600,并且图6b示出了对应的信令方案605。方法600在605处开始。在610处发生覆盖物110的未授权去除,并且在620处日志记录该去除。可以响应于检测到的去除来实施策略(例如,默认策略)。
用户(例如,代理、管理员或其他用户)可以向设备100提供630输入以请求覆盖物去除的后授权。例如,可以在BIOS菜单中提供请求去除覆盖物的后授权的选项。用户可以提供输入以标识将被后授权的去除(例如,通过键入去除的标识符或从列表中选择去除)。
设备100可以生成密码质询645并将该质询645输出640给用户220。质询645可以包括随机元素和与覆盖物去除相关联的唯一标识符。质询645可以包括解释,该解释描述了例如基于由用户220输入的文本的未授权覆盖物去除的情况。在一些示例中,设备100可以收集关于设备的硬件状态的信息,并且该信息可以被包括在质询645中。
质询645被输出640给用户。质询645可以是密码质询。例如,质询645可以包括随机元素的加密版本(例如,使用公共密钥LApk),并且如果响应670包括随机元素的解密版本(例如,使用管理员210持有的对应的秘密密钥LAsk)或从解密版本导出的信息(诸如解密版本的散列或散列的一部分),则质询645将会通过。在另一示例中,质询645可以包括随机元素的未加密版本,并且如果响应670包括在随机元素上的有效签名(例如,使用管理员210持有的秘密密钥LAsk),则质询将会通过,其中,设备100存储将被用于验证接收到的签名的对应的公共密钥LApk。在一些示例中,质询645可以以2D条形码的形式经由显示设备输出给用户220。在一些示例中,可以通过诸如USB、蓝牙、RFC等的通信信道输出质询。
用户220可以将质询645发送650给管理员210。用户220还可以执行一个认证过程以对管理员210确认他们的身份。管理员210可以确定是否追溯地授权覆盖物110的去除。包括在质询645中的信息可以帮助管理员210做出该决定。例如,用户220对去除的解释可以向管理员210提供为什么会发生去除的更好的理解。关于设备100的当前硬件状态的信息可以帮助管理员210确定未授权的去除是否会导致设备100的硬件或状态的不期望的改变,在这种情况下,管理员210可以决定拒绝后授权去除的请求。
如果要追溯地批准覆盖物110的去除,则管理员220可以例如使用秘密密钥LAsk来确定对质询的响应。对该质询的响应可以例如经由网络被提供660给用户220。
用户220可以接收响应,并且例如经由键盘或者经由诸如USB、蓝牙、RFC等的通信信道将其提供670给设备100。
设备100可以验证680该响应,并且如果该响应被验证了(例如,确认加密的随机元素已经使用秘密密钥LAsk被正确地解密了),则设备100可以更新690日志。例如,可以如关于图5a和5b所描述的那样更新日志。所述方法在695处结束。
根据一些示例,覆盖物110的未授权去除可能导致设备100在完成后续引导过程之前根据例如用于对未授权覆盖物去除进行响应的策略而请求管理员凭证。在这种情况下,图6a和6b的布置可以允许用户220请求对去除覆盖物的追溯批准。当去除被批准后,可以停止未授权的覆盖物去除策略,并且设备100可以完成引导过程。
本文描述的操作可以由计算设备来执行。计算设备可以例如使用处理器执行存储在计算机可读存储介质上的指令。计算机可读指令可以是可由处理器执行的任何合适形式的。例如,代码可以以软件、固件或这些的组合来实现。
计算机可读存储介质可以是包含或存储可执行指令的任何电子、磁、光或其他物理存储设备。计算机可读存储介质可以是,例如,随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储驱动器、光盘只读存储器(CD-ROM)等。因此,计算机可读存储介质可以是非暂时性的。术语“非暂时性”不包含暂时性传播信号。
处理器可以是或者可以包括适于提取和执行指令的中央处理单元(CPU)、图形处理单元(GPU)、嵌入式控制器(EC)、微处理器等、被配置成执行存储在计算机可读存储介质上的操作的电子电路、或者其组合。在一些示例中,处理器可以包括多个处理元件。
如本文所使用的,BIOS指的是在计算设备的操作系统的执行之前初始化、控制或操作计算设备的硬件或硬件和指令。包括在BIOS内的指令可以是软件、固件、微代码或定义或控制BIOS的功能或操作的其他编程。在一个示例中,BIOS可以使用可由处理器执行的指令来实现,诸如计算设备的平台固件。BIOS可以在计算设备的OS的执行之前操作或执行。BIOS可以初始化、控制或操作诸如计算设备的硬件组件之类的组件,并且可以加载或引导计算设备的OS。
在一些示例中,BIOS可以提供或建立计算设备的硬件设备或平台固件与计算设备的OS之间的接口,计算设备的OS可以经由该接口控制或操作计算设备的硬件设备或平台固件。在一些示例中,BIOS可以实现统一可扩展固件接口(UEFI)规范或用于初始化、控制或操作计算设备的另一个规范或标准。
在本说明书的整个描述和权利要求中,词语“包括”和“包含”及其变体意味着“包括但不限于”,并且它们不意图(并且不)排除其他组件、整数或操作。在本说明书的整个描述和权利要求中,单数包括复数,除非上下文另有暗示。特别地,在使用不定冠词的情况下,说明书应被理解为考虑了复数以及单数,除非上下文另有暗示。
结合特定方面或示例描述的特征、整数和特性应被理解为适用于本文描述的任何其它方面或示例,除非与其不兼容。本说明书(包括任何所附权利要求、摘要和附图)中公开的所有特征和/或如此公开的任何方法或过程的所有操作可以以任何组合方式来组合,除了其中至少一些这样的特征和/或操作的组合相互排斥之外。示例不限于任何前述示例的细节。示例可以延伸到本说明书(包括任何所附权利要求、摘要和附图)中公开的特征的任何新颖特征或任何新颖的组合,或者延伸到如此公开的任何方法或过程的操作的任何新颖操作或任何新颖的组合。
读者的注意力集中在与本申请相关的本说明书同时或之前提交的所有论文和文献上,并且所述论文和文献与本说明书一起向公众公开,所有这些论文和文献的内容都通过引用而结合于此。
示例性实施方式还可以根据以下编号的示例来实现:
示例1.一种编码有可由计算设备执行的指令的非暂时性机器可读存储介质,所述指令使所述计算设备:接收授权数据,所述授权数据指示策略;输出密码质询,所述密码质询与所述计算设备和所述策略相关联;接收对所述密码质询的响应;接收硬件改变已经发生或所述计算设备的覆盖物已经被打开的指示;以及响应于基于所接收的响应确定所述密码质询通过,根据所述策略对所述指示做出反应。
示例2.示例1的非暂时性机器可读存储介质,其中,指令还使计算设备:当代理物理地存在于所述计算设备处时,接收所述授权数据,所述授权数据是来自所述代理的根据所述策略改变所述计算设备的硬件或打开所述覆盖物的请求;以及,响应于接收到授权数据而输出密码质询。
示例3.示例1的非暂时性机器可读存储介质,其中,所述授权数据还指示计算设备,并且其中,指令还使计算设备:认证所接收的授权数据,所述授权数据指示根据所述策略改变所述计算设备的硬件或打开覆盖物的授权;以及,当代理物理地存在于计算设备处时,接收根据所述策略改变所述计算设备的硬件或打开覆盖物的请求,其中,响应于接收到所述请求而输出密码质询。
示例4.示例1至3中任一项的非暂时性机器可读存储介质,其中,指令还使计算设备:使用公共密钥生成密码质询,并且当所接收的响应表明使用与公共密钥相关联的私有密钥时确定密码质询已经通过。
示例5.示例1至3中任一项的非暂时性机器可读存储介质,其中,当所接收的响应基于私有密钥对输出密码质询的应用时,密码质询通过。
示例6.示例1至5中任一项的非暂时性机器可读存储介质,其中,所述策略包括:响应于根据所述策略的硬件改变或打开而执行的操作、对所述硬件改变或打开的授权的限制、所述策略的适用性的定时信息、所述计算设备的覆盖物在所述策略内可以被打开的次数、所述覆盖物在所述策略内可以被打开的总时间、在所述计算设备的下一次引导时迫使对所述计算设备的配置的检查的设定、当根据所述策略打开覆盖物时迫使所述计算设备关机的设定、当根据所述策略打开覆盖物时所述计算设备仍可以开启的指示、在下一次引导时强制对管理员凭证的提示的指示、用于当根据所述策略打开覆盖物时进行日志记录的指令、或组合。
示例7.示例1至6中任一项的非暂时性机器可读存储介质,其中,指令还使计算设备:响应于基于所接收的响应确定所述密码质询失败,根据默认策略对所述指示做出反应,所述默认策略包括日志记录所述硬件改变或打开、使由所述计算设备存储的数据不可读、迫使所述计算设备关机、在下一次引导时强制对管理员凭证的提示或组合。
示例8.示例1至7中任一项的非暂时性机器可读存储介质,其中,硬件改变是替换计算设备的组件、向计算设备添加组件、从计算设备去除组件或组合。
示例9.一种计算设备,包括:覆盖物检测电路,用于检测所述计算设备的覆盖物的去除并且基于所述检测来提供指示;以及,处理器,该处理器被编程为:接收描述用于去除所述覆盖物的策略的授权数据,输出质询,所述质询与所述计算设备和所述策略相关联,接收对所述质询的响应,确定所述响应是否通过所述质询,接收所述覆盖物已被去除的指示,并且当所述响应被确定为通过所述质询时,应用所述授权数据中的所述策略,或者当所述响应被确定为未通过所述质询时,实施默认覆盖物策略,其中,所述质询被布置成测试密码秘密的使用。
示例10.示例9的计算设备,其中,所述质询是经由计算设备本地的输出设备输出的,对质询的响应是经由计算设备本地的输入设备接收的,或两者。
示例11.示例9或示例10的计算设备,其中,所述处理器还被编程为:确定授权数据是由管理员签名的,并且经由计算设备本地的输入设备接收请求去除计算设备的覆盖物的输入,其中,响应于去除覆盖物的请求,向计算设备本地的输出设备输出质询。
示例12.示例9至11中任一项的计算设备,其中,所述计算设备存储公共密钥,并且确定质询已经通过包括确定与所述公共密钥相对应的私有密钥已被应用于输出的质询以生成响应。
示例13.一种编码有可由计算设备执行的指令的非暂时性机器可读存储介质,所述指令使所述计算设备:接收所述计算设备的覆盖物已被去除的指示;在日志中存储所述覆盖物的去除的记录;接收更新所述日志以指示所述覆盖物的去除被授权的请求;认证所述请求;以及更新日志以指示覆盖物的去除被授权。
示例14.示例13的非暂时性机器可读存储介质,其中:所接收的更新日志的请求被密码地签名,并且认证该请求包括测试所述密码签名。
示例15.示例13或示例14的非暂时性机器可读存储介质,其中:接收更新日志的请求包括从计算设备本地的输入设备接收请求,并且认证请求包括向计算设备本地的输出设备输出密码质询、接收对密码质询的响应以及验证该响应。
示例16.一种编码有可由计算设备执行的指令的非暂时性机器可读存储介质,所述指令使所述计算设备:接收密码质询,所述密码质询包括与计算设备和策略相关联的信息,所述策略描述当检测到所述计算设备的覆盖物的去除时将由所述计算设备采取的响应;基于所述密码质询和私有密钥来接收质询响应;以及,输出所述质询响应。
Claims (15)
1.一种编码有可由计算设备执行的指令的非暂时性机器可读存储介质,所述指令使所述计算设备:
接收授权数据,所述授权数据指示策略;
输出密码质询,所述密码质询与所述计算设备和所述策略相关联;
接收对所述密码质询的响应;
接收硬件改变已经发生或所述计算设备的覆盖物已经被打开的指示;以及
响应于基于所接收的响应确定所述密码质询通过,根据所述策略对所述指示做出反应。
2.根据权利要求1所述的非暂时性机器可读存储介质,其中,所述指令还使所述计算设备:
当代理物理地存在于所述计算设备处时,接收所述授权数据,所述授权数据是来自所述代理的根据所述策略改变所述计算设备的硬件或打开所述覆盖物的请求;以及
响应于接收到所述授权数据,输出所述密码质询。
3.根据权利要求1所述的非暂时性机器可读存储介质,其中,所述授权数据还指示所述计算设备,以及
其中,所述指令还使所述计算设备:
认证所接收的授权数据,所述授权数据指示根据所述策略改变所述计算设备的硬件或打开所述覆盖物的授权;以及
当代理物理地存在于所述计算设备处时,接收根据所述策略改变所述计算设备的硬件或打开所述覆盖物的请求,其中,
响应于接收到所述请求而输出所述密码质询。
4.根据权利要求1所述的非暂时性机器可读存储介质,其中,所述指令还使所述计算设备:
使用公共密钥生成所述密码质询,以及
当所接收的响应表明使用与所述公共密钥相关联的私有密钥时,确定所述密码质询已经通过。
5.根据权利要求1所述的非暂时性机器可读存储介质,其中,当所接收的响应是基于私有密钥对所述输出密码质询的应用时,所述密码质询通过。
6.根据权利要求1所述的非暂时性机器可读存储介质,其中,所述策略包括:响应于根据所述策略的所述硬件改变或打开而执行的操作、对所述硬件改变或打开的授权的限制、所述策略的适用性的定时信息、所述计算设备的覆盖物在所述策略内可以被打开的次数、所述覆盖物在所述策略内可以被打开的总时间、在所述计算设备的下一次引导时迫使检查所述计算设备的配置的设定、当根据所述策略打开所述覆盖物时迫使所述计算设备关机的设定、当根据所述策略打开所述覆盖物时所述计算设备仍可以开启的指示、在下一次引导时强制对管理员凭证的提示的指示、用于当根据所述策略打开所述覆盖物时进行日志记录的指令、或组合。
7.根据权利要求1所述的非暂时性机器可读存储介质,其中,所述指令还使所述计算设备:
响应于基于所接收的响应确定所述密码质询失败,根据默认策略对所述指示做出反应,所述默认策略包括日志记录所述硬件改变或打开、使由所述计算设备存储的数据不可读、迫使所述计算设备关机、在下一次引导时强制对管理员凭证的提示,或组合。
8.根据权利要求1所述的非暂时性机器可读存储介质,其中,所述硬件改变是所述计算设备的组件的替换、向所述计算设备添加组件、从所述计算设备去除组件、或组合。
9.一种计算设备,包括:
覆盖物检测电路,用于检测所述计算设备的覆盖物的去除并且基于所述检测来提供指示;以及
处理器,所述处理器被编程为:
接收描述用于去除所述覆盖物的策略的授权数据,
输出质询,所述质询与所述计算设备和所述策略相关联,
接收对所述质询的响应,
确定所述响应是否通过所述质询,
接收所述覆盖物已经被去除的指示,
当所述响应被确定为通过所述质询时,在所述授权数据中应用策略,或
当所述响应被确定为没有通过所述质询时,实施默认覆盖物策略,
其中,所述质询被布置成测试密码秘密的使用。
10.根据权利要求9所述的计算设备,其中,所述质询是经由所述计算设备本地的输出设备输出的,对所述质询的所述响应是经由所述计算设备本地的输入设备接收的,或者两者。
11.根据权利要求9所述的计算设备,其中,所述处理器还被编程为:
确定所述授权数据是由管理员签名的,以及
经由所述计算设备本地的输入设备接收请求去除所述计算设备的覆盖物的输入,其中,
响应于去除覆盖物的请求,将质询输出到所述计算设备本地的输出设备。
12.根据权利要求9所述的计算设备,其中,所述计算设备存储公共密钥,并且确定所述质询已经通过包括确定与所述公共密钥对应的私有密钥已应用于输出的质询以生成所述响应。
13.一种编码有可由计算设备执行的指令的非暂时性机器可读存储介质,所述指令使所述计算设备:
接收所述计算设备的覆盖物已被去除的指示;
在日志中存储所述覆盖物的去除的记录;
接收更新所述日志以指示所述覆盖物的去除是被授权的请求;
认证所述请求;以及
更新所述日志以指示所述覆盖物的去除是被授权的。
14.根据权利要求13所述的非暂时性机器可读存储介质,其中:
对所接收的更新日志的请求密码签名,以及
认证所述请求包括测试所述密码签名。
15.根据权利要求13所述的非暂时性机器可读存储介质,其中:
接收更新日志的请求包括从所述计算设备本地的输入设备接收请求,以及
认证所述请求包括将密码质询输出到所述计算设备本地的输出设备,接收对所述密码质询的响应,以及验证所述响应。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP21315267.1A EP4191941A1 (en) | 2021-12-03 | 2021-12-03 | Policies for hardware changes or cover opening in computing devices |
| EP21315267.1 | 2021-12-03 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116226946A true CN116226946A (zh) | 2023-06-06 |
Family
ID=86603493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211535970.2A Pending CN116226946A (zh) | 2021-12-03 | 2022-12-02 | 用于计算设备中的硬件改变或覆盖物打开的策略 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230179432A1 (zh) |
| EP (1) | EP4191941A1 (zh) |
| CN (1) | CN116226946A (zh) |
| TW (1) | TW202324164A (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5388156A (en) * | 1992-02-26 | 1995-02-07 | International Business Machines Corp. | Personal computer system with security features and method |
| US20070271596A1 (en) * | 2006-03-03 | 2007-11-22 | David Boubion | Security, storage and communication system |
| JP2016115080A (ja) * | 2014-12-12 | 2016-06-23 | 株式会社オートネットワーク技術研究所 | 情報処理装置 |
-
2021
- 2021-12-03 EP EP21315267.1A patent/EP4191941A1/en active Pending
-
2022
- 2022-08-02 TW TW111128938A patent/TW202324164A/zh unknown
- 2022-10-04 US US17/937,796 patent/US20230179432A1/en active Pending
- 2022-12-02 CN CN202211535970.2A patent/CN116226946A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230179432A1 (en) | 2023-06-08 |
| TW202324164A (zh) | 2023-06-16 |
| EP4191941A1 (en) | 2023-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
| US7506381B2 (en) | Method for securing an electronic device, a security system and an electronic device | |
| JP4067985B2 (ja) | アプリケーション認証システムと装置 | |
| US7886355B2 (en) | Subsidy lock enabled handset device with asymmetric verification unlocking control and method thereof | |
| CN111404696B (zh) | 协同签名方法、安全服务中间件、相关平台及系统 | |
| EP3262560B1 (en) | System and method for verifying integrity of an electronic device | |
| JP4912879B2 (ja) | プロセッサの保護された資源へのアクセスに対するセキュリティ保護方法 | |
| US10361867B2 (en) | Verification of authenticity of a maintenance means connected to a controller of a passenger transportation/access device of a building and provision and obtainment of a license key for use therein | |
| JP2019502189A (ja) | セッション識別子同期を実現する方法及びデバイス | |
| EP1777641A1 (en) | Biometric authentication system | |
| EP2107490B9 (en) | System and method for providing code signing services | |
| WO2003028283A1 (en) | Arrangement and method for execution of code | |
| KR101078546B1 (ko) | 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템 | |
| JP2004538584A (ja) | 電子装置における情報の処理方法、システム、電子装置及び処理ブロック | |
| EP2051181A1 (en) | Information terminal, security device, data protection method, and data protection program | |
| KR101724401B1 (ko) | 생체 정보 인식과 키 분할 방식을 이용한 공인인증 시스템 및 그 방법, 그 방법을 수행하는 프로그램이 기록된 기록매체 | |
| KR20100080031A (ko) | 펌웨어의 원격 업데이트 방법 | |
| US20150127930A1 (en) | Authenticated device initialization | |
| CN111143856A (zh) | 一种plc远程固件升级系统及方法 | |
| CN106156607B (zh) | 一种SElinux安全访问方法和POS终端 | |
| WO2018166163A1 (zh) | Pos终端控制方法、pos终端、服务器及存储介质 | |
| KR20130008939A (ko) | 휴대 단말기에서 단말 고유 정보의 복제를 방지하는 장치 및 방법 | |
| JP2017011491A (ja) | 認証システム | |
| JP2008226191A (ja) | 情報処理端末認証システム及び情報処理端末認証方法,情報処理端末認証用プログラム | |
| CN112585608A (zh) | 嵌入式设备、合法性识别方法、控制器及加密芯片 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |