DE102008059485A1 - Bereitstellung von Active-Management-Technologie (AMT) in Rechnersystemen - Google Patents

Bereitstellung von Active-Management-Technologie (AMT) in Rechnersystemen Download PDF

Info

Publication number
DE102008059485A1
DE102008059485A1 DE102008059485A DE102008059485A DE102008059485A1 DE 102008059485 A1 DE102008059485 A1 DE 102008059485A1 DE 102008059485 A DE102008059485 A DE 102008059485A DE 102008059485 A DE102008059485 A DE 102008059485A DE 102008059485 A1 DE102008059485 A1 DE 102008059485A1
Authority
DE
Germany
Prior art keywords
provisioning server
client device
server
active management
amt
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102008059485A
Other languages
English (en)
Other versions
DE102008059485B4 (de
Inventor
Avigdor Hillsboro Eldar
Howard C. Phoenix Herbert
Purushottam Beaverton Goel
Uri Blumenthal
David Hillsboro Hines
Carey Hillsboro Smith
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE102008059485A1 publication Critical patent/DE102008059485A1/de
Application granted granted Critical
Publication of DE102008059485B4 publication Critical patent/DE102008059485B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0866Checking the configuration
    • H04L41/0869Validating the configuration within one network element
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/046Network management architectures or arrangements comprising network management agents or mobile agents therefor

Abstract

Active-Management-Technologie (AMT) kann in einer Clientvorrichtung automatisch bereitgestellt werden, wodurch eine sichere Verbindung zwischen dem Bereitstellungsserver und der Clientvorrichtung bereitgestellt werden kann. Die die Active-Management-Technologie umfassende Clientvorrichtung kann Zero-Touch-Bereitstellung und One-Touch-Bereitstellung unterstützen.

Description

  • AUSGANGSSITUATION
  • Rechnersysteme können die Bereitstellung von Intel® Active-Management-Technologie (AMT) erlauben, um Funktionen wie Erkennen, Reparieren und Schützen des Rechnersystems zu unterstützen. Während der Bereitstellung von Intel® Active-Management-Technologie (AMT) in einem Rechnersystem können die Techniker der unternehmensinternen IT-Abteilungen Konfigurationswerte manuell entweder im Endbenutzerbereich oder im IT-Vorbereitungsbereich bereitstellen.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die vorliegend beschriebene Erfindung ist in den beigefügten Zeichnungen veranschaulicht, die als Beispiel, jedoch nicht als Einschränkung anzusehen sind. Zur Vereinfachung und besseren Übersichtlichkeit sind in den Figuren veranschaulichte Elemente nicht notwendigerweise maßstabsgetreu gezeichnet. Zum Beispiel können die Abmessungen einiger Elemente im Verhältnis zu anderen Elementen zur besseren Veranschaulichung überzeichnet dargestellt sein. Weiterhin wurden, wo als geeignet erachtet, Bezugszeichen in den Figuren wiederholt, um entsprechende oder analoge Elemente anzugeben. Es zeigt:
  • 1 eine Ausführungsform einer Umgebung 100,
  • 2 eine Ausführungsform einer Clientvorrichtung 105, die eine Optionswahlprozedur zum Auswählen eines Bereitstellungsansatzes ausführt,
  • 3 ein Ablaufdiagramm, das eine ungesicherte DNS-Suffix-Option zur Bereitstellung von AMT in der Clientvorrichtung darstellt,
  • 4 ein Ablaufdiagramm, das die im IT-Vorbereitungsbereich ausgeführte Operation während des Bereitstellens von AMT in der Clientvorrichtung unter Verwendung der gesicherten DNS-Suffix-Option darstellt,
  • 5 ein Ablaufdiagramm, das die im Endbenutzerbereich ausgeführte Operation während des Bereitstellens von AMT in der Clientvorrichtung unter Verwendung der gesicherten DNS-Suffix-Option darstellt,
  • 6 ein Ablaufdiagramm, das die im IT-Vorbereitungsbereich ausgeführte Operation während des Bereitstellens von AMT in der Clientvorrichtung unter Verwendung der PID/PPS-Option darstellt,
  • 7 ein Ablaufdiagramm, das die im Endbenutzerbereich ausgeführte Operation während des Bereitstellens von AMT in der Clientvorrichtung unter Verwendung der PID/PPS-Option darstellt.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Die folgende Beschreibung beschreibt das Bereitstellen von Active-Management-Technologie (AMT) in Rechnersystemen. In der folgenden Beschreibung sind zahlreiche spezifische Einzelheiten wie beispielsweise logische Implementierungen, Ressourcenpartitionierung oder -Sharing oder Duplikationsimplementierungen, Arten und Wechselbeziehungen von Systemkomponenten und logische Partitionierungs- oder Integrationsmöglichkeiten dargelegt, um die vorliegende Erfindung besser verstehen zu können. Für den Fachmann wird jedoch ersichtlich sein, dass die Erfindung auch ohne derartige spezifische Einzelheiten praktisch angewendet werden kann. In anderen Fällen sind Steuerstrukturen, Gatterebenenschaltungen und vollständige Software-Befehlsfolgen nicht im Detail gezeigt, um die Erfindung nicht unverständlich zu machen. Der Fachmann wird mit Hilfe der Beschreibungen in der Lage sein, die entsprechende Funktionalität ohne ungebührliches Experimentieren zu implementieren.
  • Bezugnahmen in dieser Beschreibung auf „eine Ausführungsform", „eine beispielhafte Ausführungsform" geben an, dass die beschriebene Ausführungsform ein bestimmtes Merkmal, eine bestimmte Struktur oder ein bestimmtes Charakteristikum einschließen kann, jedoch nicht jede Ausführungsform notwendigerweise das bestimmte Merkmal, die bestimmte Struktur oder das bestimmte Charakteristikum einschließt. Darüber hinaus beziehen sich derartige Phrasen nicht notwendigerweise auf dieselbe Ausführungsform. Weiterhin wird, wenn ein bestimmtes Merkmal, eine bestimmte Struktur oder ein bestimmtes Charakteristikum im Zusammenhang mit einer Ausführungsform beschrieben wird, davon ausgegangen, dass der Fachmann über das Wissen verfügt, ein derartiges Merkmal, eine derartige Struktur oder ein derartiges Charakteristikum in anderen Ausführungsformen umzusetzen, unabhängig davon, ob ausdrücklich beschrieben oder nicht.
  • Ausführungsformen der Erfindung können in Hardware, Firmware, Software oder Kombinationen daraus implementiert sein. Ausführungsformen der Erfindung können auch implementiert sein als Befehle, die auf einem maschinenlesbaren Medium gespeichert sind, welches von einem oder mehr Prozessoren gelesen und ausgeführt werden kann. Ein maschinenlesbares Medium kann jeden beliebigen Mechanismus zum Speichern oder Übertragen von Informationen in einer von einer Maschine lesbaren Form einschließen (z. B. eine Rechenvorrichtung).
  • Zum Beispiel kann ein maschinenlesbares Medium Nur-Lese-Speicher (ROM), Direktzugriffsspeicher (RAM), Magnetplattenspeichermedien, optische Speichermedien, Flash-Speichervorrichtungen einschließen. Weiterhin können hier Firmware, Software, Routinen und Befehle als bestimmte Aktionen ausführend beschrieben sein. Es sollte jedoch bedacht werden, dass derartige Beschreibungen lediglich praktischen Zwecken dienen und dass derartige Aktionen tatsächlich dadurch zustande kommen, dass Rechenvorrichtungen, Prozessoren, Controller und sonstige Vorrichtungen Firmware, Software, Routinen und Befehle ausführen.
  • Eine Ausführungsform einer Netzwerkumgebung 100 ist in 1 veranschaulicht. In einer Ausführungsform kann die Netzwerkumgebung 100 ein Clientsystem 105, ein Netzwerk 160, einen Dynamic-Host-Configuration-Protocol-(DHCP-)Server 165, einen Domänennamensystem-(DNS-)Server 170, einen Bereitstellungsserver 180 und eine Managementkonsole 190 umfassen.
  • Das Netzwerk 160 kann Rechenvorrichtungen wie beispielsweise die Clientvorrichtung 105, DHCP-Server 165, DNS-Server 170, Bereitstellungsserver 180 und die Managementkonsole 190 koppeln. Das Netzwerk 160 kann Netzwerkvorrichtungen wie Router und Gateways umfassen, die den Datentransfer zwischen der Clientvorrichtung 105, DHCP-Server 165, DNS-Server 170, Bereitstellungsserver 180 und der Managementkonsole 190 über ein drahtgebundenes und ein drahtloses Medium unterstützen. In einer Ausführungsform können die Netzwerkvorrichtungen des Netzwerks 160 Übertragungssteuerungsprotokoll-/Internetprotokoll-Stapel (TCP/IP), Benutzerdatagrammprotokoll-(UDP-) und ähnliche Protokollstapel unterstützen.
  • Der DHCP-Server 165 kann den an das Netzwerk 160 gekoppelten Rechenvorrichtungen IP-Adressen in Reaktion auf den Empfang einer Anforderung von den Rechenvorrichtungen zuweisen. In einer Ausführungsform kann der DHCP-Server 165 einen Domänennamen bereitstellen, den die Clientvorrichtung 105 während des Auflösens der Hostnamen über das Domänennamensystem (DNS) nutzen kann. In einer Ausführungsform kann der DHCP-Server 165 der Clientvorrichtung 105 in Reaktion auf den Empfang einer Anforderung von der Clientvorrichtung 105 IP-Adressen dynamisch zuweisen. Der DHCP-Server 165 kann für die Clientvorrichtung 105 außerdem Standardgateway, Subnetzmaske, IP-Adresse der Clientvorrichtung 105 und ähnliche derartige Parameter bereitstellen.
  • Der DNS-Server 170 kann die Domänennamen in IP-Adressen übersetzen. Der DNS-Server 170 kann der Clientvorrichtung 105 Kontaktinformationen des Bereitstellungsservers 180 und dem Bereitstellungsserver 180 Kontaktinformationen der Clientvorrichtung 105 bereitstellen. Der DNS-Server 170 kann außerdem den Managementserver 190 bei der Lokalisierung von Adressinformationen der Clientvorrichtung 105 unterstützen.
  • Die Managementkonsole 190 kann während der Einrichtungsphase die Clientvorrichtung 105 kontaktieren und eine Aktualisierungsanforderung senden, um zu ermitteln, ob die Clientvorrichtung 105 AMT unterstützt. Wenn die Clientvorrichtung 105 AMT unterstützt, kann die Managementkonsole 190 in Reaktion auf die Aktualisierungsanforderung AMT-Werte von der Clientvorrichtung 105 empfangen. In einer Ausführungsform kann die Managementkonsole 190 nach Empfangen der AMT-Werte von der Clientvorrichtung 105 ein Einmalpasswort (OTP) generieren. In einer Ausführungsform können die AMT-Werte universell eindeutigen Identifikator (UUID), AMT-Versionsidentifikator und andere derartige Werte umfassen. In einer Ausführungsform können die AMT-Werte die Clientvorrichtung 105 eindeutig identifizieren und angeben, ob die Clientvorrichtung 105 Active-Management-Technologie unterstützt. In einer Ausführungsform kann die Managementkonsole 190 die AMT-Werte und das OTP an den Bereitstellungsserver 180 und das OTP an die Clientvorrichtung 105 senden. In einer Ausführungsform kann die Managementkonsole 190 die Clientvorrichtung 105 bei der Lokalisierung des Bereitstellungsservers 180 und des DNS-Servers 170 unterstützen.
  • Der Bereitstellungsserver 180 kann das Bereitstellen von AMT auf der Clientvorrichtung 105 unterstützen. In einer Ausführungsform kann der Bereitstellungsserver 180 Einrichtungs- und Konfigurationsanwendung, wie beispielsweise die Intel®-Einrichtungs- und -Konfigurationsdienste (SCS), unterstützen. In einer Ausführungsform kann der Bereitstellungsserver 180 außerdem die AMT-Werte und das OTP von der Managementkonsole 190 empfangen und die AMT-Werte und das OTP speichern, um sicherzustellen, dass der Bereitstellungsserver 180 mit der geeigneten Clientvorrichtung 105 kommuniziert. In einer Ausführungsform kann der Bereitstellungsserver 180 die AMT-Werte und das OTP dazu verwenden, die Clientvorrichtung 105 zu authentifizieren. In einer Ausführungsform kann der Bereitstellungsserver 180 von der Clientvorrichtung 105 ein Hello-Paket empfangen und vor Authentifizieren der Clientvorrichtung 105 das in dem Hello-Paket eingebettete OTP mit dem gespeicherten OTP vergleichen. In einer Ausführungsform kann der Bereitstellungsserver 180 nach Empfangen eines selbst unterzeichneten Zertifikats von der Clientvorrichtung 105 eine Zertifikatkette senden. In einer Ausführungsform kann die Zertifikatkette dazu verwendet werden, den Bereitstellungsserver 180 zu authentifizieren. In einer Ausführungsform kann der Bereitstellungsserver 180 eine sichere Sitzung mit der Clientvorrichtung 105 einrichten, nachdem die gegenseitige Authentifizierung abgeschlossen ist. In einer Ausführungsform kann die Authentifizierung des Bereitstellungsservers 180 vermeiden, dass sich ein feindlicher Bereitstellungsserver als der Bereitstellungsserver 180 authentifiziert.
  • Die Clientvorrichtung 105 kann Komponenten von Active-Management-Technologie (AMT) unterstützen, die ein automatisches Bereitstellen von Active-Management-Technologie auf der Clientvorrichtung 105 erlauben können. In einer Ausführungsform kann der Prozess des Einrichtens und Konfigurierens von Active-Management-Technologie als Bereitstellen bezeichnet sein. Das Bereitstellen von Active-Management-Technologie auf der Clientvorrichtung 105 kann das Erkennen, Reparieren und Schützen der Clientvorrichtung 105 standortfern ermöglichen. In einer Ausführungsform kann die AMT eine verbesserte Anlagenwirtschaft, minimale Vor-Ort-Einsätze der Techniker der IT-Abteilung, verbesserte Sicherheitsniveaus, standortferne Fehlererkennung und ähnliche derartige Funktionen ermöglichen. In einer Ausführungsform kann sich die Clientvorrichtung 105 durch die Netzwerkschnittstelle 159 an das Netzwerk 160 koppeln, um eine Schnittstelle mit dem Bereitstellungsserver 180 und der Managementkonsole 190 zu bilden.
  • In einer Ausführungsform kann die Clientvorrichtung 105 Zero-Touch- und One-Touch-Bereitstellungsfunktionen unterstützen, die dem Clientsystem 105 ermöglichen können, eine sichere Verbindung mit dem Bereitstellungsserver 180 automatisch herzustellen. In einer Ausführungsform kann die Zero-Touch-Bereitstellungsfunktion der Clientvorrichtung 105 ermöglichen, Active-Management-Technologie automatisch bereitzustellen, ohne dass der IT-Techniker die Clientvorrichtung 105 im IT-Vorbereitungsbereich und dem Endbenutzerbereich manuell konfigurieren muss. In einer Ausführungsform kann die Zero-Touch-Bereitstellung unter Verwendung einer ungesicherten DNS-Suffix-Option oder einer gesicherten DNS-Suffix-Option erfolgen.
  • In einer Ausführungsform kann sich die ungesicherte DNS-Suffix-Option auf eine Bereitstellungsfunktion beziehen, bei der die AMT den DHCP-Server nutzt, um das DNS-Suffix der FQDNs der Clientvorrichtungen in der DNS-Domäne zu erlangen. In einer Ausführungsform können die FQDNs dazu verwendet werden, einen geeigneten Bereitstellungsserver in der DNS-Domäne zu identifizieren. Jedoch kann während der Verwendung der ungesicherten DNS-Suffix-Option ein Gegner die Kontrolle über den DHCP-Server erlangen und die AMT zu der Schlussfolgerung veranlassen, dass sich die Clientvorrichtung 105 in einer DNS-Domäne des Gegners befindet. In einer Ausführungsform kann sich die gesicherte DNS-Suffix-Option auf eine Bereitstellungsfunktion beziehen, bei welcher der FQDN des Bereitstellungsservers 180 der AMT durch den OEM im Rahmen eines Kaufvertrags bereitgestellt sein kann. In einer Ausführungsform kann die AMT unterstützende Clientvorrichtung 105 den DHCP-Server 150 nicht kontaktieren, um die Bereitstellungsserver 180 zu identifizieren.
  • In einer Ausführungsform kann die One-Touch-Bereitstellungsfunktion das Konfigurieren des Clientsystems 105 im IT-Vorbereitungsbereich und die anschließende Verwendung im Endbenutzerbereich erlauben, ohne dass die AMT im Endbenutzerbereich konfiguriert werden muss. In einer Ausführungsform kann die One-Touch-Bereitstellung eine sichere DNS-Option oder die Bereitstellungsidentifikator-/Bereitstellungs-PSK-(PSK: Pre-Shared Key) oder Bereitstellungspassphrasen-(PID/PPS-)Option verwenden. In einer Ausführungsform kann PID/PPS Sicherheitsschlüssel darstellen, die zur Bereitstellung der AMT verwendet werden können. In einer Ausführungsform kann die One-Touch-Bereitstellungsfunktion dem Client-System 105 ermöglichen, eine sichere Verbindung mit dem Bereitstellungsserver 180 automatisch herzustellen, ohne dass der IT-Techniker die Clientvorrichtung 105 im Endbenutzerbereich manuell konfigurieren muss. In einer Ausführungsform kann sich IT-Vorbereitungsbereich auf die IT-Abteilungen von Unternehmen beziehen, welche die Rechnersysteme vor und nach der Ausgabe der Rechnersysteme an die Endbenutzer konfigurieren, einrichten, verfolgen und reparieren.
  • In einer Ausführungsform kann das Clientsystem 105 Anwendungen 110, ein Betriebssystem (OS) 120 und eine Hardware-Einheit 150 umfassen. In einer Ausführungsform kann die Hardware-Einheit 150 eine Zentraleinheit (CPU) 152, einen Chipsatz 155, einen Speicher 156, ein NVRAM 157, ein BIOS 158 und eine Netzwerkschnittstelle 159 umfassen. In einer Ausführungsform kann die Clientvorrichtung 105 Zero-Touch- oder Fernkonfiguration (RCFG) unterstützen, um zwischen der Clientvorrichtung 105 und dem Bereitstellungsserver 180 einen sicheren und authentifizierten Kommunikationskanal standortfern einzuleiten.
  • Die Zentraleinheit 152 kann an den Chipsatz 155 gekoppelt sein, was der CPU 152 erlauben kann, mit dem Speicher 156, dem NVRAM 157, dem BIOS 158 und den E/A-Vorrichtungen, wie beispielsweise der Netzwerkschnittstelle 159, eine Schnittstelle zu bilden. Die Zentraleinheit 152 kann das Betriebssystem 120 unterstützen, welches die Betriebsmittel der CPU 152 verwalten und die Anwendungen 110 planen kann. In einer Ausführungsform kann die CPU 152 eine Mikroprozessorfamilie von Intel® umfassen. In einer Ausführungsform kann die Bereitstellung von AMT von Plattformen, wie Intel® vProTM und Intel® Centrino®, unterstützt werden.
  • Der Chipsatz 155 kann Active-Management-Einheit 153 umfassen, welche Active-Management-Technologie (AMT) unterstützen kann. In einer Ausführungsform kann der Chipsatz 155 als ein AMT-fähiger Chipsatz bezeichnet sein, wenn er AMT unterstützt. In einer Ausführungsform kann die Active-Management-Einheit 153 eine programmierbare Verarbeitungseinheit, wie beispielsweise eine Managementmaschine (ME), zur Unterstützung der Active-Management-Technologie (AMT) sein. In einer Ausführungsform kann die Active-Management-Einheit 153 von anderen Blöcken von Hardware 150 unterstützt werden, wie beispielsweise der CPU 152, oder die Active-Management-Einheit 153 kann außerdem als eine eigenständige Komponente bereitgestellt sein. In einer Ausführungsform kann die AMT-Firmware-Komponente von einem nicht flüchtigen Speicher unterstützt werden, wie beispielsweise dem NVRAM 157. In einer Ausführungsform kann die Active-Management-Einheit 153 den Firmware-Code zur Bereitstellung von AMT auf dem Clientsystem 105 ausführen.
  • In einer Ausführungsform kann die Active-Management-Einheit (AMU) 153 das Bereitstellen von AMT von Intel® unterstützen. In einer Ausführungsform kann das Clientsystem 105 zur Bereitstellung der AMT den Zero-Touch-Bereitstellungs- oder den One-Touch-Bereitstellungsansatz anwenden. Während der Verwendung von verzögerter Bereitstellung kann die AMU 153 die AMT nach Installation des Betriebssystems 120 bereitstellen.
  • In einer Ausführungsform kann die Active-Management-Einheit (AMU) 153 während der Anwendung von One-Touch-Bereitstellung verzögerte Bereitstellung oder Bare-Metal-Bereitstellung anwenden. In einer Ausführungsform kann die Active-Management-Einheit 153 während der Anwendung von Bare-Metal-Bereitstellung die AMT vor Installation des Betriebssystems 120 bereitstellen. In einer Ausführungsform kann die Active-Management-Einheit 153 die AMT bereitstellen, und die Clientvorrichtung 105 kann dann das Betriebssystem 120 von einer standortfern angeordneten Quelle über eine durch Bereitstellung der AMT hergestellte sichere Verbindung herunterladen.
  • Eine Ausführungsform des Wählens einer Option zum Bereitstellen von AMT auf der Clientvorrichtung 105 ist in 2 dargestellt. In Block 210 kann die Active-Management-Einheit 153 ermitteln, ob ein Zertifikat-Hash in dem NVRAM 157 vorliegt, und wenn das Zertifikat-Hash nicht vorliegt, geht die Steuerung über zu Block 230 und andernfalls zu Block 260. In einer Ausführungsform kann der Zertifikat-Hash einen kryptografischen Hash eines X509v3 Root-Zertifikat einschließen, dem vertraut wird. In einer Ausführungsform kann die Active-Management-Einheit 153 den Hash-Wert des Root-Zertifikats der Zertifikatkette, die von dem Bereitstellungsserver 180 bereitgestellt wird, mit den in dem NVRAM 157 gespeicherten Zertifikat-Hashes vergleichen. Wird kein Treffer gefunden, geht die Steuerung über zu Block 230 und andernfalls zu Block 260. In einer Ausführungsform kann ein Originalausrüstungshersteller (OEM) SHA-1-Zertifikat-Hashes in dem NVRAM 157 speichern. Die SHA-1-Zertifikat-Hashes können in Sicherheitsanwendungen und Protokollen verwendet werden, einschließlich Transport Layer Security (TLS), Secure Socket Layer (SSL), IPsec und weiteren ähnlichen kryptographischen Protokollen. In einer Ausführungsform können OEM Zertifikat-Hashes generieren oder die von dem Plattformanbieter bereitgestellten Zertifikat-Hashes verwenden. In einer Ausführungsform kann der OEM vor Versand der Clientvorrichtung 105 an den Endbenutzer ein Abbild der Zertifikat-Hashes in dem NVRAM 157 speichern.
  • In Block 230 kann die Active-Management-Einheit 153 prüfen, ob die PID/PPS-Werte verfügbar sind, und die Steuerung geht über zu Block 240, wenn die PID/PPS-Werte nicht verfügbar sind, und zu Block 250, wenn die PID/PPS-Werte verfügbar sind. In einer Ausführungsform kann der OEM die PID/PPS-Werte vor Versand der Clientvorrichtung 105 an den Endbenutzer in dem BIOS 158 speichern.
  • In Block 240 kann die Active-Management-Einheit 153 auf die One-Touch-Bereitstellung warten, die im IT-Vorbereitungsbereich der unternehmensinternen IT-Abteilungen beginnen kann. In Block 250 kann die Active-Management-Einheit 153 die unten stehend in 6 und 7 beschriebene PID/PPS-Bereitstellungsoption einleiten.
  • In Block 260 kann die Active-Management-Einheit 153 das Vorliegen von PID/PPS-Werten prüfen, und die Steuerung geht über zu Block 270, wenn die PID/PPS-Werte nicht vorliegen, und zu Block 295, wenn die PID/PPS-Werte vorliegen. In einer Ausführungsform kann der OEM die PID/PPS-Werte vor Versand des Clients 105 an den Endbenutzer in dem BIOS 158 speichern.
  • In Block 270 kann die Active-Management-Einheit 153 prüfen, ob ein Einrichtungswert, wie beispielsweise ein vollständiger Domänenname (FQDN) des Bereitstellungsservers 180, verfügbar ist. In einer Ausführungsform kann der OEM den FQDN des Bereitstellungsservers 180 in dem BIOS 158 speichern. Die Steuerung geht über zu Block 280, wenn der FQDN des Bereitstellungsservers 180 nicht in dem BIOS 158 vorliegt, und zu Block 295, wenn der FQDN in dem BIOS 158 vorliegt.
  • In Block 280 kann die Active-Management-Einheit 153 die unten stehend in 3 beschriebene unsichere DNS-Bereitstellungsoption verwenden. In Block 290 kann die Active-Management-Einheit 153 die unten stehend in 4 und 5 beschriebene sichere DNS-Bereitstellungsoption verwenden. In Block 295 kann die Active-Management-Einheit 153 die unten stehend in 6 und 7 beschriebene PID/PPS-Bereitstellungsoption verwenden.
  • Eine Ausführungsform der Bereitstellung von AMT unter Verwendung der unsicheren DNS-Option ist in dem Ablaufdiagramm von 3 veranschaulicht. In einer Ausführungsform kann die unsichere DNS-Bereitstellungsoption für das Bereitstellen der Clientvorrichtung 105 verwendet werden, nachdem das Betriebssystem 120 installiert wurde. In Block 305 kann die Managementkonsole 190 die Clientvorrichtung 105 kontaktieren, um das Vorhandensein von Active-Management-Technologie (AMT) zu erkennen. In einer Ausführungsform kann die Managementkonsole 190 eine Aktualisierungsanforderung senden.
  • In Block 310 kann der Management-Agent 125 ermitteln, ob die Clientvorrichtung 105 AMT umfasst. In einer Ausführungsform kann der Management-Agent 125 den Treiber 135 auslösen, der eine Schnittstelle mit dem Chipsatz 155 bilden kann, um zu ermitteln, ob der Chipsatz 155 AMT-fähig ist. In einer Ausführungsform kann der Treiber 135 ein Abfragepaket an den Chipsatz 155 senden und ein Antwortpaket erhalten, das ein Statusbit umfasst, dessen Status das Vorhandensein von AMT anzeigen kann. Wenn der Chipsatz 155 AMT umfasst, geht die Steuerung über zu Block 315, und andernfalls endet der Bereitstellungsansatz.
  • In Block 315 kann der Management-Agent 125 AMT-Werte aus der Active-Management-Einheit 153 abrufen. In einer Ausführungsform kann der Management-Agent 125 den Treiber 135 auslösen, der eine Abfrage an die Active-Management-Einheit 153 senden kann, welche AMT-Informationen aus dem NVRAM 157 und dem BIOS 158 abrufen kann. In einer Ausführungsform kann der Treiber 135 eine Managementmaschinenschnittstelle (MEI) oder einen HECI-Treiber umfassen. In einer Ausführungsform können die AMT-Werte AMT-Werte, wie beispielsweise Konfigurationsmodus, Konfigurationszustand, AMT-Version und weitere ähnliche Werte, umfassen. In einer Ausführungsform kann der Management-Agent 125 einen universell eindeutigen Identifikator (UUID), AMT-Version und weitere ähnliche Werte empfangen. In einer Ausführungsform kann der UUID die Clientvorrichtung 105 unabhängig von dem Installationsstatus des Betriebssystems 120 eindeutig identifiziert.
  • In Block 320 kann der Management-Agent 125 die AMT-Werte an die Managementkonsole 190 senden. In einer Ausführungsform können die AMT-Werte von der Managementkonsole 190 verwendet werden, um zu ermitteln, ob die Clientvorrichtung 105 die AMT unterstützt. In einer Ausführungsform kann die Managementkonsole 190 die AMT-Werte an den Bereitstellungsserver 180 weiterleiten.
  • In Block 325 kann die Managementkonsole 190 ein Einmalpasswort (OTP) generieren, das an den Management-Agenten 125 und den Bereitstellungsserver 180 gesendet werden kann. In einer Ausführungsform kann das OTP generiert werden, wenn die Clientvorrichtung 105 von dem OEM versandt wird, wobei AMT auf „Empfangsmodus" eingestellt ist. In einer Ausführungsform kann das OTP von dem Bereitstellungsserver 180 dazu verwendet werden, die Clientvorrichtung 105 zu authentifizieren.
  • In Block 330 kann der Management-Agent 125 das OTP empfangen und das OTP in dem NVRAM 157 speichern.
  • In Block 335 kann der Management-Agent 125 die Active-Management-Einheit 153 dazu freigeben, die Netzwerkschnittstelle zum Empfangen einer Einrichtungsmeldung zu öffnen. In einer Ausführungsform kann der Management-Agent 125 ein Kommando, wie beispielsweise AMTEnableNetworkSetupListen(), senden, um die AMU 153 in die Lage zu versetzen, einen Port zu öffnen und die Einrichtungsmeldung, wie beispielsweise die Transport-Layer-Security-(TLS-)Einrichtungsmeldung, zu empfangen. In einer Ausführungsform kann die Active-Management-Einheit 153 die IP-Adresse der Clientvorrichtung 105 erlangen, nachdem die Netzwerkschnittstelle offen ist.
  • In Block 340 kann die Active-Management-Einheit 153 ein Schlüsselpaar und ein selbst unterzeichnetes Zertifikat generieren. In einer Ausführungsform können das Schlüsselpaar und das selbst unterzeichnete Zertifikat dazu verwendet werden, einen geschützten Kanal zwischen dem Bereitstellungsserver 180 und der Clientvorrichtung 105 bereitzustellen. In einer Ausführungsform kann die Active-Management-Einheit 153 einen Zertifikatgenerierungscode ausführen, um das Schlüsselpaar und das selbst unterzeichnete Zertifikat zu generieren. In einer Ausführungsform kann die Active-Management-Einheit 153 ein privates und öffentliches RSA-Schlüsselpaar mit 2048-Bit-Modul und ein selbst unterzeichnetes Zertifikat (X.509v3) unter Verwendung des privaten und öffentlichen RSA-Schlüsselpaars generieren. In einer Ausführungsform kann die Active-Management-Einheit 153 das Schlüsselpaar und das unterzeichnete Zertifikat in einem privaten Datenbereich innerhalb der AMU 153 speichern. In einer Ausführungsform kann die Active-Management-Einheit 153 ein Bit, wie beispielsweise das AMTProvKeyGenSuccessful, nach Generierung des Schlüsselpaars und des unterzeichneten Zertifikats als WAHR setzen.
  • In Block 345 kann die Active-Management-Einheit 153 prüfen, ob ein Einrichtungswert, wie beispielsweise der FQDN des Bereitstellungsservers 180, verfügbar ist, und die Steuerung geht über zu Block 350, wenn der FQDN nicht verfügbar ist, und andernfalls zu Block 355.
  • In Block 350 kann die Active-Management-Einheit 153 das DNS-Suffix des Netzwerks 160 erlangen. In einer Ausführungsform kann die Active-Management-Einheit 153 das DNS-Suffix von dem DHCP-Server 165 erlangen. In einer Ausführungsform kann die Active-Management-Einheit 153 Option 15 von DHCP verwenden, um das DNS-Suffix zu erlangen. In einer Ausführungsform kann die Active-Management-Einheit 153 die IP-Adresse des Bereitstellungsservers 180 unter Verwendung des DNS-Suffixes lokalisieren. In einer Ausführungsform kann die Active-Management-Einheit 153 ein „Hello"-Paket an den Bereitstellungsserver 180 senden. In einer Ausführungsform kann das Hello-Paket die AMT-Werte der Clientvorrichtung 105 umfassen.
  • In Block 355 kann der Bereitstellungsserver 180 eine gegenseitig authentifizierte Sitzung mit der Active-Management-Einheit 153 der Clientvorrichtung 105 öffnen. In einer Ausführungsform kann der Bereitstellungsserver 180 eine gegenseitig über Transport Layer Security (TLS) authentifizierte Sitzung mit der Active-Management-Einheit 153 öffnen.
  • In Block 360 kann der Bereitstellungsserver 180 eine gegenseitig authentifizierte Verbindung mit der Active-Management-Einheit 153 erzeugen. In einer Ausführungsform können der Bereitstellungsserver 180 und die Clientvorrichtung 105 eine gegenseitig authentifizierte Verbindung unter Verwendung des TLS-Handshake-Protokolls herstellen. Als Teil des TLS-Handshake-Protokolls kann die Active-Management-Einheit 153 in einer Ausführungsform das selbst unterzeichnete Zertifikat an den Bereitstellungsserver 180 senden, und als Antwort kann der Bereitstellungsserver 180 eine Zertifikatkette erhalten, welche das Root-of-Trust-Zertifikat von dem Bereitstellungsserver 180 einschließt.
  • In einer Ausführungsform kann die Active-Management-Einheit 153 den Hash des Root-of-Trust-Zertifikats berechnen und die Zertifikatkette durch Abgleichen des Hash-Werts mit der in dem NVRAM 157 gespeicherten Liste von Hash-Werten validieren. In einer Ausführungsform kann die Active-Management-Einheit 153 das DNS-Suffix durch Abgleichen des DNS-Suffixes in dem FQDN des Bereitstellungsservers 180 mit dem von dem DHCP-Server 165 in Block 350 erlangten DNS-Suffix validieren. In einer Ausführungsform kann die Active-Management-Einheit 153 außerdem die Zertifikatverwendung validieren, um zu verifizieren, ob die Zertifikatkette zur Bereitstellung von AMT bestimmt war. In einer Ausführungsform kann die Active-Management-Einheit 153 außerdem die Bereitstellungsserver-Authentifizierung prüfen, um zu verifizieren, ob die AMU 153 mit einem geeigneten Bereitstellungsserver kommuniziert. Sind die vorangehenden Validierungen erfolgreich, kann die Active-Management-Einheit 153 dem Bereitstellungsserver 180 vertrauen. Ein derartiger Ansatz kann die Wahrscheinlichkeit verringern, dass sich ein feindlicher Bereitstellungsserver als der Bereitstellungsserver 180 authentifiziert.
  • In Block 365 kann die Active-Management-Einheit 153 die Informationen des Bereitstellungsservers 180 überprüfen. In einer Ausführungsform kann die AMT-Firmware ein Überprüfungsprotokoll jedes Bereitstellungsversuchs führen. In einer Ausführungsform kann die Active-Management-Einheit 153 die Überprüfungsinformationen in das NVRAM 157 schreiben. In einer Ausführungsform können die Überprüfungsinformationen ein erstes Feld (Bits 1–2: geben das Verfahren an, Bit 3: gibt den Modus Senden/Empfangen an und Bits 4–8: reserviert), ein zweites Feld von 256 Bytes zum Speichern des in dem Zertifikat gespeicherten FQDN des Bereitstellungsservers 180 und ein drittes Feld von 20 Bytes zum Speichern des Hash-Werts des vertrauenswürdigen Root-Zertifikats, ein viertes Feld, umfassend drei 16-Byte-Arrays, zum Speichern der Seriennummern der Zwischenzertifizierungsstelle, ein fünftes Feld von 1 Bit zur Angabe des zur Generierung des vorangehenden Hash-Werts verwendeten Hash-Algorithmus, ein sechstes Feld zur Angabe von Uhrzeit/Datum der Einrichtung der TLS-Sitzung, ein siebtes Feld zur Angabe der IP-Adresse des Bereitstellungsservers 180 und ein achtes Feld zur Angabe, ob das Zertifikat die Prüfung des Gültigkeitszeitraums bestanden hat.
  • In Block 370 kann der Bereitstellungsserver 180 von der Active-Management-Einheit 153 das Senden des in Block 330 empfangenen OTP anfordern. In Block 375 kann der Bereitstellungsserver 180 das von der Active-Management-Einheit 153 empfangene OTP validieren. In einer Ausführungsform kann der Bereitstellungsserver 180 das von der Managementkonsole 190 in Block 325 empfangene OTP mit dem von der Active-Management-Einheit 153 empfangenen OTP vergleichen.
  • In Block 380 kann der Bereitstellungsserver 180 eine sichere Verbindung mit der Clientvorrichtung 105 herstellen. In einer Ausführungsform kann der Bereitstellungsserver 180 TLS oder TLS-PSK (Pre-Shared Key) verwenden, um eine sichere Verbindung mit der Clientvorrichtung 105 herzustellen.
  • In Block 385 kann sich der Bereitstellungsserver 180 unter Verwendung von werkseitigen Standardwerten, wie beispielsweise dem Benutzernamen und Passwort des HTTP-Digest-Netzwerkadministrators, an der Clientvorrichtung 105 anmelden.
  • In Block 390 kann der Bereitstellungsserver 180 Konfigurationsdaten, wie beispielsweise das PID/PPS-Zertifikat, private Schlüssel, aktuelles Datum und aktuelle Uhrzeit, HTTP-Digest-Berechtigungsnachweise und HTTP-verhandelbare Berechtigungsnachweise, bereitstellen. In Block 395 kann sich die Clientvorrichtung 105 zurücksetzen und den normalen Betrieb starten.
  • In einer Ausführungsform kann die Active-Management-Einheit 153 außerdem die sichere DNS-Suffix-Option zum Bereitstellen von AMT auf der Clientvorrichtung 105 verwenden. Während der Verwendung der sicheren DNS-Option kann die AMU 153 den FQDN des Bereitstellungsservers 180 verwenden, der dem Endbenutzer im Rahmen des Kaufvertrags von dem OEM bereitgestellt wird. In einer Ausführungsform kann der FQDN von dem OEM während der kundenspezifischen Herstellung in dem NVRAM 157 gespeichert werden. Ein derartiger Ansatz kann eine sichere Bereitstellung von AMT bieten, indem vermieden wird, dass die AMU 153 das DNS-Suffix von dem DHCP-Server 165 erlangt, wie oben in Block 350 angegeben.
  • Eine Ausführungsform der Bereitstellung von AMT auf einer Clientvorrichtung 105 im IT-Vorbereitungsbereich unter Verwendung der sicheren DNS-Option ist in dem Ablaufdiagramm von 4 veranschaulicht. In einer Ausführungsform kann die sichere DNS-Option einen ersten im IT-Vorbereitungsbereich durchgeführten Abschnitt und einen zweiten im Endbenutzerbereich durchgeführten Abschnitt umfassen.
  • In Block 410 kann der Techniker im IT-Vorbereitungsbereich die Clientvorrichtung 105 durch Koppeln der Clientvorrichtung 105 an eine Stromquelle einschalten.
  • In Block 420 kann der Techniker den AMT-BIOS-Konfigurationsbildschirm öffnen. In einer Ausführungsform kann der Techniker die Funktionstasten verwenden, um den AMT-BIOS-Konfigurationsbildschirm zu öffnen.
  • In Block 430 kann sich der Techniker unter Verwendung der werkseitigen Standardeinstellungen, wie beispielsweise dem Administrator-Benutzernamen und -Passwort, in der AMT-Umgebung anmelden.
  • In Block 440 kann der Techniker das BIOS-Passwort ändern. In Block 450 kann der Techniker einen Einrichtungswert, wie beispielweise den FQDN des Bereitstellungsservers 180, bereitstellen. In einer Ausführungsform kann der FQDN von dem OEM bereitgestellt sein.
  • In Block 470 kann der Techniker optionale Parameter bereitstellen. In einer Ausführungsform kann der Techniker optional die AMT im „Sende"-Modus aktivieren, um Bare-Metal-Bereitstellung zu unterstützen. In einer Ausführungsform kann der Techniker das von dem Bereitstellungsserver 180 bereitgestellte Einmalpasswort (OTP) eingeben. In einer Ausführungsform kann der Techniker außerdem auf der Grundlage der IT-Richtlinien des Unternehmens die Liste vertrauenswürdiger Zertifikat-Hashes modifizieren.
  • In Block 490 kann der Techniker die Clientvorrichtung 105 ausschalten und die Clientvorrichtung 105 an den Endbenutzer übergeben. In einer Ausführungsform kann der Techniker den Prozess des Bereitstellens der Einrichtungsparameter unter Verwendung eines Universal-Serial-Bus-Sticks (USB-Sticks) automatisieren. In einer anderen Ausführungsform können die Einrichtungsparameter in der Fertigungsstätte des OEM in eine AMT-Flash-Vorrichtung, wie beispielsweise das NVRAM 157 und das BIOS 158, programmiert werden.
  • Eine Ausführungsform des Bereitstellens von AMT im Endbenutzerbereich unter Verwendung der sicheren DNS-Option ist in dem Ablaufdiagramm von 5 veranschaulicht. Nachdem der erste Abschnitt im IT-Vorbereitungsbereich vollendet ist, kann die Clientvorrichtung 105 dem Endbenutzer zur Verfügung gestellt werden. In einer Ausführungsform können die Blöcke 505 bis 580 im Endbenutzerbereich ausgeführt werden.
  • In Block 505 kann die Managementkonsole 190 prüfen, ob sich die von der Clientvorrichtung 105 unterstützte AMT im Sende-Modus befindet, und die Steuerung geht über zu Block 510, wenn sich die Clientvorrichtung nicht im Sende-Modus befindet, und andernfalls zu Block 545. In einer Ausführungsform ist der Sende-/Empfangsmodus als ein interner Zustand in der Clientvorrichtung 105 eingestellt.
  • In Block 510 kann die Managementkonsole 190 die Clientvorrichtung 105 kontaktieren, um das Vorhandensein von Active-Management-Technologie (AMT) zu erkennen. In einer Ausführungsform kann die Managementkonsole 190 eine Aktualisierungsanforderung senden.
  • In Block 515 kann der Management-Agent 125 ermitteln, ob die Clientvorrichtung 105 AMT umfasst. In einer Ausführungsform kann der Management-Agent 125 den Treiber 135 auslösen, der mit dem Chipsatz 155 eine Schnittstelle bilden kann, um zu ermitteln, ob der Chipsatz 155 AMT-fähig ist. In einer Ausführungsform kann der Treiber 135 ein Abfragepaket an den Chipsatz 155 senden und ein Antwortpaket erhalten, das ein Statusbit umfasst, welches das Vorhandensein von AMT anzeigen kann. Wenn die Clientvorrichtung 105 AMT umfasst, geht die Steuerung über zu Block 525, und andernfalls endet der Bereitstellungsansatz.
  • In Block 525 kann der Management-Agent 125 AMT-Werte aus der Active-Management-Einheit 153 abrufen. In einer Ausführungsform kann der Management-Agent 125 den Treiber 135 auslösen, um die AMT-Werte aus der Active-Management-Einheit 153 zu erfassen. In einer Ausführungsform kann der Treiber 135 ein Signal „AMT-Werte Erfassen" an die AMU 153 senden. In einer Ausführungsform kann die AMU 153 AMT-Werte aus dem NVRAM 157 und dem BIOS 158 in Reaktion auf das Empfangen des Signals „AMT-Werte Erfassen" von dem Treiber 135 abrufen. In einer Ausführungsform können die AMT-Werte Werte umfassen, die Konfigurationsmodus, Konfigurationszustand, AMT-Version und weitere ähnliche Werte darstellen. In einer Ausführungsform kann der Management-Agent 125 einen universell eindeutigen Identifikator (UUID), AMT-Version und weitere ähnliche Werte empfangen. In einer Ausführungsform kann der UUID die Clientvorrichtung 105 unabhängig von dem Installationsstatus des Betriebssystems 120 eindeutig identifizieren.
  • In Block 530 kann der Management-Agent 125 die AMT-Werte an die Managementkonsole 190 senden. In einer Ausführungsform können die an die Managementkonsole 190 gesendeten AMT-Werte an den Bereitstellungsserver 180 weitergeleitet werden.
  • In Block 535 kann der Management-Agent 125 die Active-Managment-Einheit 153 dazu freigeben, die Netzwerkschnittstelle zum Empfangen einer Einrichtungsmeldung zu öffnen. In einer Ausführungsform kann der Management-Agent 125 ein Kommando, wie beispielsweise AMTEnableNetworkSetupListen(), senden, um die AMU 153 dazu freizugeben, die Netzwerkschnittstelle oder einen Port zu öffnen und die Einrichtungsmeldung, wie beispielsweise die Transport-Layer-Security-(TLS-)Einrichtungsmeldung, an der Netzwerkschnittstelle zu empfangen.
  • In Block 540 kann die Active-Management-Einheit 153 die DHCP-Meldungen passiv abhören (en: snoop), um das DNS-Suffix des Netzwerks 160 zu erlangen, an das die Clientvorrichtung 105 gekoppelt ist. In einer Ausführungsform kann das von der Clientvorrichtung 105 unterstützte Host-Betriebssystem mit dem DHCP-Server 170 aktiv kommunizieren, und die AMU 153 kann die DHCP-Meldungen passiv abhören, um DHCP-Informationen in Erfahrung zu bringen. In einer Ausführungsform kann das DHCP-Abhören (Snooping) feindliche DHCP-Server verhindern, Beseitigung der DHCP-Broadcast-Anforderungs-Sichtbarkeit und Schutz gegen DHCP-Server-Adressen-Erschöpfungsangriffe bereitstellen.
  • In Block 545 kann die Active-Management-Einheit 153 die IP-Adresse der Clientvorrichtung 105 ermitteln. In einer Ausführungsform kann die Active-Management-Einheit 153 eine Anforderung an den DHCP-Server 165 senden und die IP-Adresse von dem DHCP-Server 165 empfangen. In einer Ausführungsform wird der Block 545 erreicht, wenn die Active-Management-Einheit 153 im Sende-Modus eingerichtet ist. In einer Ausführungsform kann der Bare-Metal-Bereitstellungsansatz angewendet werden, wenn die Active-Management-Einheit 153 im Sende-Modus eingestellt ist.
  • In Block 550 kann die Active-Management-Einheit 153 den Bereitstellungsserver 180 durch Abfragen des DNS-Servers 170 unter Verwendung des in Block 450 bereitgestellten FQDN des Bereitstellungsservers 180 lokalisieren.
  • In Block 555 kann die Active-Management-Einheit 153 eine Verbindungsmöglichkeit mit dem Bereitstellungsserver 180 erzeugen. In einer Ausführungsform kann die Active-Management-Einheit 153 eine TCP-Verbindung mit dem Bereitstellungsserver 180 herstellen und ein Hello-Paket an den Bereitstellungsserver 180 senden, das die IP-Adresse der Clientvorrichtung 105, PID-Wert, UUID, ROM- und Firmware-Versionsnummern und weitere ähnliche Werte umfasst.
  • In Block 560 kann der Bereitstellungsserver 180 eine gegenseitig authentifizierte Sitzung mit der Active-Management-Einheit 153 der Clientvorrichtung 105 öffnen. In einer Ausführungsform kann der Bereitstellungsserver 180 eine gegenseitig authentifizierte Transport-Layer-Security-(TLS-)Sitzung mit der Active-Management-Einheit 153 öffnen.
  • In Block 565 kann der Bereitstellungsserver 180 eine gegenseitig authentifizierte Verbindung mit der Active-Management-Einheit 153 herstellen. In einer Ausführungsform kann die gegenseitig authentifizierte Verbindung unter Verwendung des TLS-Handshake-Protokolls hergestellt werden. Als Teil des TLS-Handshake-Protokolls kann die Active-Management-Einheit 153 in einer Ausführungsform das selbst unterzeichnete Zertifikat an den Bereitstellungsserver 180 senden und eine Zertifikatkette erhalten, welche das Root-of-Trust-Zertifikat von dem Bereitstellungsserver 180 einschließt.
  • In einer Ausführungsform kann die Active-Management-Einheit 153 den Hash des Root-of-Trust-Zertifikats berechnen und die Zertifikatkette durch Abgleichen des Hash-Werts mit der in dem NVRAM 157 gespeicherten Liste von Hash-Werten validieren. In einer Ausführungsform kann die Active-Management-Einheit 153 das DNS-Suffix durch Abgleichen des DNS-Suffixes in dem FQDN des Bereitstellungsservers 180 mit dem von dem DHCP-Server erlangten DNS-Suffix validieren. In einer Ausführungsform kann die Active-Management-Einheit 153 außerdem die Zertifikatverwendung validieren, um zu verifizieren, ob die Zertifikatkette zur Bereitstellung von AMT bestimmt war. In einer Ausführungsform kann die Active-Management-Einheit 153 außerdem die Bereitstellungsserver-Authentifizierung prüfen. Sind die vorangehenden Validierungen erfolgreich, kann die Active-Management-Einheit 153 dem Bereitstellungsserver 180 vertrauen. Ein derartiger Ansatz kann die Wahrscheinlichkeit verringern, dass sich ein feindlicher Bereitstellungsserver als der Bereitstellungsserver 180 authentifiziert.
  • In Block 568 kann die Active-Management-Einheit 153 die Informationen des Bereitstellungsservers 180 überprüfen. In einer Ausführungsform kann die AMT-Firmware ein Überprüfungsprotokoll des letzten Bereitstellungsversuchs führen. In einer Ausführungsform kann die Active-Management-Einheit 153 die Überprüfungsinformationen in das NVRAM 157 schreiben.
  • In Block 570 kann der Bereitstellungsserver 180 die Datenbank durchsuchen, um zu prüfen, ob das OTP für die Clientvorrichtung 105 gesetzt ist. In einer Ausführungsform kann der Bereitstellungsserver 180 das OTP gemäß den Unternehmensrichtlinien setzen.
  • In Block 575 kann der Bereitstellungsserver 180 von der Active-Management-Einheit 153 das Senden des für die Clientvorrichtung 105 in Block 470 bereitgestellten OTP anfordern. In Block 580 kann der Bereitstellungsserver 180 das von der Active-Management-Einheit 153 empfangene OTP validieren. In einer Ausführungsform kann der Bereitstellungsserver 180 das aus der Datenbank abgerufene OTP mit dem von der Active-Management-Einheit 153 empfangenen OTP vergleichen.
  • In Block 590 kann der Bereitstellungsserver 180 eine sichere Verbindung mit der Clientvorrichtung 105 herstellen. In einer Ausführungsform kann der Bereitstellungsserver 180 TLS oder TLS-PSK (Pre-Shared Key) verwenden, um eine sichere Verbindung mit der Clientvorrichtung 105 herzustellen.
  • Eine Ausführungsform des Bereitstellens von AMT auf der Clientvorrichtung 105 im IT-Vorbereitungsbereich unter Verwendung der PID/PPS-Option ist in dem Ablaufdiagramm von 6 veranschaulicht.
  • In Block 610 kann der Techniker den Bereitstellungsserver 180 auffordern, Einrichtungswerte, wie beispielsweise das PID/PPS-Paar, zu generieren. In einer Ausführungsform kann der Bereitstellungsserver 180 einen zweiten Einrichtungswert generieren, wie beispielsweise einen Bereitstellungsidentifikator (PID), der ein öffentlicher Teil des Pre-Shared Key sein kann, sowie einen dritten Einrichtungswert, wie beispielsweise die Bereitstellungspassphrase (PPS), ein privater Teil des Pre-Shared Key.
  • In Block 620 kann der Techniker im IT-Vorbereitungsbereich die Clientvorrichtung 105 einschalten. In Block 630 kann der Techniker den AMT-BIOS-Konfigurationsbildschirm öffnen. In einer Ausführungsform kann der Techniker die Funktionstasten verwenden, um den AMT-BIOS-Konfigurationsbildschirm zu öffnen.
  • In Block 640 kann sich der Techniker unter Verwendung der werkseitigen Standardeinstellungen, wie beispielsweise dem Administrator-Benutzernamen und -Passwort, in der AMT-Umgebung anmelden.
  • In Block 650 kann der Techniker das BIOS-Passwort ändern. In Block 660 kann der Techniker den zweiten und dritten Einrichtungswert, wie beispielsweise das PID/PPS-Paar, in das BIOS eingeben. In einer Ausführungsform kann der Techniker das von dem Bereitstellungsserver 180 in Block 610 generierte PID/PPS-Paar eingeben.
  • In Block 670 kann der Techniker außerdem einen ersten Einrichtungswert, wie beispielweise den FQDN oder die IP-Adresse des Bereitstellungsservers 180, eingeben. In einer Ausführungsform kann der FQDN oder die IP-Adresse in dem NVRAM 157 gespeichert sein. In einer Ausführungsform kann der FQDN von dem OEM bereitgestellt sein.
  • In Block 680 kann der Techniker optionale Einrichtungsparameter bereitstellen. In einer Ausführungsform kann der Techniker optional die AMT im „Sende"-Modus aktivieren, um Bare-Metal-Bereitstellung zu unterstützen. In einer Ausführungsform kann der Techniker das von dem Bereitstellungsserver 180 bereitgestellte Einmalpasswort (OTP) eingeben. In einer Ausführungsform kann der Techniker außerdem auf der Grundlage der IT-Richtlinien des Unternehmens die Liste vertrauenswürdiger Zertifikat-Hashes modifizieren.
  • In Block 690 kann der Techniker die Clientvorrichtung 105 ausschalten und die Clientvorrichtung 105 an den Endbenutzer übergeben. In einer weiteren Ausführungsform kann der Techniker den Prozess des Bereitstellens der Einrichtungsparameter für die Active-Management-Einheit 153 unter Verwendung eines Universal-Serial-Bus-Sticks (USB-Sticks) automatisieren. In anderen Ausführungsformen können die Einrichtungsparameter in der Fertigungsstätte des OEM in eine AMT-Flash-Vorrichtung, wie beispielsweise das NVRAM 157 und das BIOS 158, programmiert werden.
  • Eine Ausführungsform des Bereitstellens von AMT im Endbenutzerbereich unter Verwendung der PID/PPS-Option ist in dem Ablaufdiagramm von 7 veranschaulicht.
  • In Block 705 kann die Managementkonsole 190 prüfen, ob sich die von der Clientvorrichtung 105 unterstützte AMT im Sende-Modus befindet, und die Steuerung geht über zu Block 710, wenn sich die Clientvorrichtung 105 nicht im Sende-Modus befindet, und andernfalls zu Block 750.
  • In Block 710 kann die Managementkonsole 190 die Clientvorrichtung 105 kontaktieren, um das Vorhandensein von Active-Management-Technologie (AMT) zu erkennen. In einer Ausführungsform kann die Managementkonsole 190 eine Aktualisierungsanforderung senden.
  • In Block 715 kann der Management-Agent 125 ermitteln, ob die Clientvorrichtung 105 AMT umfasst. In einer Ausführungsform kann der Management-Agent 125 den Treiber auslösen, der mit dem Chipsatz 155 eine Schnittstelle herstellen kann, um zu ermitteln, ob der Chipsatz 155 AMT-fähig ist. In einer Ausführungsform kann der Treiber 135 ein Abfragepaket an den Chipsatz 155 senden und ein Antwortpaket erhalten, das ein Statusbit umfasst, dessen Status das Vorhandensein von AMT anzeigen kann. Wenn die Clientvorrichtung 105 AMT umfasst, geht die Steuerung über zu Block 725, und andernfalls endet der Bereitstellungsansatz.
  • In Block 725 kann der Management-Agent 125 AMT-Werte aus der Active-Management-Einheit 153 abrufen. In einer Ausführungsform kann der Management-Agent 125 den Treiber 135 auslösen, der Abfragen an die Active-Management-Einheit 153 senden kann, welche AMT-Informationen aus dem NVRAM 157 und dem BIOS 158 abrufen kann. In einer Ausführungsform können die AMT-Werte Konfigurationsmodus, Konfigurationszustand, AMT-Version und weitere ähnliche Werte umfassen. In einer Ausführungsform kann der Management-Agent 125 einen universell eindeutigen Identifikator (UUID), AMT-Version und weitere ähnliche Werte empfangen. In einer Ausführungsform kann der UUID die Clientvorrichtung 105 unabhängig von dem Installationsstatus des Betriebssystems 120 eindeutig identifizieren.
  • In Block 730 kann der Management-Agent 125 die AMT-Werte an die Managementkonsole 190 senden. In einer Ausführungsform kann die Managementkonsole 190 die AMT-Werte an den Bereitstellungsserver 180 weiterleiten.
  • In Block 735 kann der Management-Agent 125 die Active-Managment-Einheit 153 dazu freigeben, die Netzwerkschnittstelle zum Empfangen einer Einrichtungsmeldung zu öffnen. In einer Ausführungsform kann der Management-Agent 125 ein Kommando, wie beispielsweise AMTEnableNetworkSetupListen(), senden, um die AMT in die Lage zu versetzen, ihre Netzwerkschnittstelle zu öffnen und die Einrichtungsmeldung zu empfangen. In einer Ausführungsform kann die Einrichtungsmeldung eine Transport-Layer-Security-(TLS-)Einrichtungsmeldung an der Netzwerkschnittstelle umfassen.
  • In Block 750 kann die Active-Management-Einheit 153 die IP-Adresse der Clientvorrichtung 105 ermitteln. In einer Ausführungsform kann die Active-Management-Einheit 153 eine Abfrage an den DHCP-Server 165 senden und die IP-Adresse aus der von dem DHCP-Server 165 erhaltenen Antwort abrufen.
  • In einer Ausführungsform wird der Block 750 erreicht, wenn die Active-Management-Einheit 153 im Sende-Modus konfiguriert ist. In einer Ausführungsform kann der Bare-Metal-Bereitstellungsansatz angewendet werden, wenn das Active Management 153 im Sende-Modus eingestellt ist.
  • In Block 755 kann die Active-Management-Einheit 153 den Bereitstellungsserver 180 durch Abfragen des DNS-Servers 170 unter Verwendung des in Block 670 bereitgestellten FQDN des Bereitstellungsservers 180 lokalisieren.
  • In Block 760 kann die Active-Management-Einheit 153 eine Verbindungsmöglichkeit mit dem Bereitstellungsserver 180 erzeugen. In einer Ausführungsform kann die Active-Management-Einheit 153 eine TCP-Verbindung mit dem Bereitstellungsserver 180 herstellen und ein Hello-Paket an den Bereitstellungsserver 180 senden, das die IP-Adresse der Clientvorrichtung 105, PID, UUID, ROM- und Firmware-Versionsnummern und weitere ähnliche Werte umfasst.
  • In Block 765 kann der Bereitstellungsserver 180 nach einem Pre-Master-Secret suchen. In einer Ausführungsform kann das Pre-Master-Secret dazu verwendet werden, einen Master-Schlüssel sowie Sitzungsschlüssel zu generieren.
  • In Block 770 kann der Bereitstellungsserver 180 eine Transport-Layer-Security-(TLS-)Pre-Shared-Key-(PSK-)TLS-PSK-Sitzung mit der Active-Management-Einheit 153 der Clientvorrichtung 105 öffnen. In einer Ausführungsform kann der Pre-Shared-Key einen öffentlichen Teil und einen privaten Teil umfassen. In einer Ausführungsform kann der öffentliche Teil einen Bereitstellungsidentifikator (PID) des Pre-Shared-Key umfassen, und der private Teil kann eine Bereitstellungspassphrase (PPS) des Pre-Shared-Key umfassen.
  • Unter Bezugnahme auf beispielhafte Ausführungsformen wurden bestimmte Merkmale der Erfindung beschrieben. Die Beschreibung soll jedoch nicht als Einschränkung ausgelegt werden. Verschiedene Modifikationen der beispielhaften Ausführungsformen sowie andere Ausführungsformen der Erfindung, die für den Fachmann, den die Erfindung betrifft, ersichtlich sind, gelten als im Sinne und Schutzbereich der Erfindung.

Claims (23)

  1. Verfahren, umfassend: Senden eines Aktualisierungskommandos an eine Clientvorrichtung, um zu prüfen, ob die Clientvorrichtung Active-Management-Technologie unterstützt, Generieren eines Einmalpassworts in einer Managementkonsole nach Empfangen von Active-Management-Technologie-Werten von einer Clientvorrichtung, Speichern des Einmalpassworts in einem Bereitstellungsserver und der Clientvorrichtung, Befehl an die Active-Management-Technologie, eine Netzwerkschnittstelle zu öffnen, um eine Einrichtungsmeldung zu empfangen, Identifizieren des Bereitstellungsservers, wenn ein vollständiger Domänenname nicht verfügbar ist, Authentifizieren der Clientvorrichtung unter Verwendung des Einmalpassworts, Authentifizieren des Bereitstellungsservers unter Verwendung einer Zertifikatkette, Überprüfen des Bereitstellungsservers und Herstellen einer sicheren Verbindung zwischen der Clientvorrichtung und dem Bereitstellungsserver.
  2. Das Verfahren nach Anspruch 1, wobei das Einmalpasswort generiert wird, wenn die von der Clientvorrichtung unterstützte Active-Management-Technologie in einem Empfangsmodus konfiguriert ist.
  3. Das Verfahren nach Anspruch 1, wobei Identifizieren des Bereitstellungsservers weiterhin Erlangen eines Domänennamenserver-Suffixes von einem Dynamic-Host-Configuration-Protocol-Server umfasst.
  4. Das Verfahren nach Anspruch 1, wobei Authentifizieren der Clientvorrichtung weiterhin umfasst: Empfangen des Einmalpassworts von der Clientvorrichtung und Abgleichen des von der Clientvorrichtung empfangenen Einmalpassworts mit dem in dem Bereitstellungsserver gespeicherten Einmalpasswort.
  5. Das Verfahren nach Anspruch 4, wobei Authentifizieren des Bereitstellungsservers weiterhin umfasst: Bereitstellen eines selbst unterzeichneten Zertifikats für den Bereitstellungsserver, wobei von der Clientvorrichtung das selbst unterzeichnete Zertifikat und ein Schlüsselpaar generiert werden, Empfangen der eine Zertifikatkette umfassenden Einrichtungsmeldung über die Netzwerkschnittstelle, wobei die Zertifikatkette ein Root-of-Trust einschließt, und Abgleichen eines Hash-Werts der Zertifikatkette mit einer Mehrzahl gespeicherter Hash-Werte.
  6. Das Verfahren nach Anspruch 5, weiterhin umfassend Verwenden eines Transport-Layer-Security-Protokolls zum Herstellen einer authentifizierten Verbindung zwischen der Clientvorrichtung und dem Bereitstellungsserver.
  7. Das Verfahren nach Anspruch 1, wobei Überprüfen des Bereitstellungsservers Führen eines Protokolls über eine Mehrzahl von Parameter einer Sitzung mit dem Bereitstellungsserver umfasst.
  8. Das Verfahren nach Anspruch 1, wobei Identifizieren des Bereitstellungsservers Lokalisieren des Bereitstellungsservers durch Abfragen des Domänennamenservers unter Verwendung des verfügbaren vollständigen Domänennamens umfasst.
  9. Rechenvorrichtung, umfassend: einen Prozessor zur Unterstützung eines Management-Agenten, wobei der Management-Agent Active-Management-Technologie-Werte an eine Managementkonsole senden soll nach Empfangen einer Aktualisierungsanforderung von der Managementkonsole und einen an den Prozessor gekoppelten Chipsatz, wobei der Chipsatz dazu dient, Active-Management-Technologie-Werte für den Management-Agenten bereitzustellen, ein Einmalpasswort in einem nicht flüchtigen Speicher nach Empfangen des Einmalpassworts von der Managementkonsole zu speichern, der Active-Management-Technologie zu befehlen, eine Netzwerkschnittstelle zu öffnen, um eine Einrichtungsmeldung zu empfangen, einen Bereitstellungsserver zu identifizieren, wenn ein vollständiger Domänenname nicht verfügbar ist, den Bereitstellungsserver unter Verwendung einer Zertifikatkette zu authentifizieren und den Bereitstellungsserver vor Herstellen einer sicheren Verbindung mit dem Bereitstellungsserver zu überprüfen.
  10. Die Rechenvorrichtung nach Anspruch 9, weiterhin umfassend einen nicht flüchtigen Speicher, wobei der nicht flüchtige Speicher zum Speichern des Einmalpassworts, wenn die von der Rechenvorrichtung unterstützte Active-Management-Technologie in einem Empfangsmodus konfiguriert ist.
  11. Die Rechenvorrichtung nach Anspruch 9, wobei der Chipsatz zum Ermitteln einer Netzwerkadresse durch Erlangen eines Domänennamenserver-Suffixes von einem Dynamic-Host-Configuration-Protocol-Server, wenn der vollständige Domänenname des Bereitstellungsservers nicht verfügbar ist.
  12. Die Rechenvorrichtung nach Anspruch 11, wobei der Chipsatz weiterhin eine Active-Management-Technologie-Einheit umfasst, wobei die Active-Management-Technologie-Einheit dazu dient, ein selbst unterzeichnetes Zertifikat für den Bereitstellungsserver bereitzustellen, von dem Bereitstellungsserver die eine Zertifikatkette umfassende Einrichtungsmeldung über die Netzwerkschnittstelle zu empfangen, wobei die Zertifikatkette ein Root-of-Trust einschließt, und einen Hash-Wert der Zertifikatkette mit einer Mehrzahl gespeicherter Hash-Werte abzugleichen.
  13. Die Rechenvorrichtung nach Anspruch 12, wobei die Active-Management-Technologie-Einheit zum Verwenden eines Transport-Layer-Security-Protokolls dient, um eine authentifizierte Verbindung mit dem Bereitstellungsserver herzustellen.
  14. Die Rechenvorrichtung nach Anspruch 9, wobei der Chipsatz zum Führen eines Protokolls einer Mehrzahl von Parameter einer Sitzung mit dem Bereitstellungsserver dient, um den Bereitstellungsserver zu überprüfen.
  15. Die Rechenvorrichtung nach Anspruch 9, wobei der Chipsatz zum Lokalisieren des Bereitstellungsservers durch Abfragen des Domänennamenservers unter Verwendung des verfügbaren vollständigen Domänennamens dient.
  16. Die Rechenvorrichtung nach Anspruch 9, weiterhin umfassend eine Netzwerkschnittstelle, wobei die Netzwerkschnittstelle dazu dient, das Einmalpasswort von der Managementkonsole zu empfangen, das unterzeichnete Zertifikat an den Bereitstellungsserver zu senden und die Zertifikatkette von dem Bereitstellungsserver zu empfangen.
  17. Maschinenlesbares Medium, umfassend eine Mehrzahl von Befehlen, die in Reaktion auf ihre Ausführung dazu führen, dass eine Rechenvorrichtung: Active-Management-Technologie-Werte in Reaktion auf das Empfangen eines Aktualisierungskommandos sendet, ein Einmalpasswort in einer Clientvorrichtung speichert, der Active-Management-Technologie befiehlt, eine Netzwerkschnittstelle zu öffnen, um eine Einrichtungsmeldung zu empfangen, einen Bereitstellungsserver identifiziert, wenn ein vollständiger Domänenname nicht verfügbar ist, die Clientvorrichtung unter Verwendung des Einmalpassworts authentifiziert, den Bereitstellungsserver unter Verwendung einer Zertifikatkette authentifiziert, den Bereitstellungsserver überprüft und eine sichere Verbindung zwischen der Clientvorrichtung und dem Bereitstellungsserver herstellt.
  18. Das maschinenlesbare Medium nach Anspruch 17, wobei das Einmalpasswort generiert wird, wenn die von der Clientvorrichtung unterstützte Active-Management-Technologie in einem Empfangsmodus konfiguriert ist.
  19. Das maschinenlesbare Medium nach Anspruch 17, wobei der Bereitstellungsserver weiterhin Erlangen eines Domänennamenserver-Suffixes von einem Dynamic-Host-Configuration-Protocol-Server umfasst.
  20. Das maschinenlesbare Medium nach Anspruch 17, wobei Authentifizieren des Bereitstellungsservers weiterhin umfasst: Bereitstellen eines selbst unterzeichneten Zertifikats für den Bereitstellungsserver, wobei von der Clientvorrichtung das selbst unterzeichnete Zertifikat und ein Schlüsselpaar generiert werden, Empfangen der eine Zertifikatkette umfassenden Einrichtungsmeldung über die Netzwerkschnittstelle, wobei die Zertifikatkette ein Root-of-Trust einschließt, und Abgleichen eines Hash-Werts der Zertifikatkette mit einer Mehrzahl gespeicherter Hash-Werte.
  21. Das maschinenlesbare Medium nach Anspruch 20, weiterhin umfassend ein Transport-Layer-Security-Protokoll zum Herstellen einer authentifizierten Verbindung zwischen der Clientvorrichtung und dem Bereitstellungsserver.
  22. Das maschinenlesbare Medium nach Anspruch 17, wobei Überprüfen des Bereitstellungsservers Führen eines Protokolls einer Mehrzahl von Parameter einer Sitzung mit dem Bereitstellungsserver umfasst.
  23. Das maschinenlesbare Medium nach Anspruch 17, wobei Identifizieren des Bereitstellungsservers Lokalisieren des Bereitstellungsservers durch Abfragen des Domänennamenservers unter Verwendung des verfügbaren vollständigen Domänennamens umfasst.
DE102008059485.7A 2007-12-21 2008-11-28 Bereitstellung von Active-Management-Technologie (AMT) in Rechnersystemen Expired - Fee Related DE102008059485B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/963,062 US8438618B2 (en) 2007-12-21 2007-12-21 Provisioning active management technology (AMT) in computer systems
US11/963,062 2007-12-21

Publications (2)

Publication Number Publication Date
DE102008059485A1 true DE102008059485A1 (de) 2009-07-09
DE102008059485B4 DE102008059485B4 (de) 2018-05-17

Family

ID=40719539

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102008059485.7A Expired - Fee Related DE102008059485B4 (de) 2007-12-21 2008-11-28 Bereitstellung von Active-Management-Technologie (AMT) in Rechnersystemen

Country Status (4)

Country Link
US (1) US8438618B2 (de)
JP (1) JP4896956B2 (de)
CN (1) CN101478386B (de)
DE (1) DE102008059485B4 (de)

Families Citing this family (94)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8132166B2 (en) * 2007-05-14 2012-03-06 Red Hat, Inc. Methods and systems for provisioning software
US8561058B2 (en) * 2007-06-20 2013-10-15 Red Hat, Inc. Methods and systems for dynamically generating installation configuration files for software
US8464247B2 (en) 2007-06-21 2013-06-11 Red Hat, Inc. Methods and systems for dynamically generating installation configuration files for software
US8424057B2 (en) 2007-12-28 2013-04-16 Ebay, Inc. Mobile anti-phishing
KR101528855B1 (ko) * 2008-03-04 2015-06-15 삼성전자주식회사 홈 네트워크에서 인증 정보를 관리하는 방법 및 그 장치
US8713177B2 (en) 2008-05-30 2014-04-29 Red Hat, Inc. Remote management of networked systems using secure modular platform
US9100297B2 (en) * 2008-08-20 2015-08-04 Red Hat, Inc. Registering new machines in a software provisioning environment
US8930512B2 (en) * 2008-08-21 2015-01-06 Red Hat, Inc. Providing remote software provisioning to machines
US9477570B2 (en) 2008-08-26 2016-10-25 Red Hat, Inc. Monitoring software provisioning
US8838827B2 (en) 2008-08-26 2014-09-16 Red Hat, Inc. Locating a provisioning server
US20100058327A1 (en) * 2008-08-28 2010-03-04 Dehaan Michael Paul Methods and systems for providing customized actions related to software provisioning
US8793683B2 (en) 2008-08-28 2014-07-29 Red Hat, Inc. Importing software distributions in a software provisioning environment
US8527578B2 (en) * 2008-08-29 2013-09-03 Red Hat, Inc. Methods and systems for centrally managing multiple provisioning servers
US9021470B2 (en) 2008-08-29 2015-04-28 Red Hat, Inc. Software provisioning in multiple network configuration environment
US8244836B2 (en) * 2008-08-29 2012-08-14 Red Hat, Inc. Methods and systems for assigning provisioning servers in a software provisioning environment
US9164749B2 (en) 2008-08-29 2015-10-20 Red Hat, Inc. Differential software provisioning on virtual machines having different configurations
US9952845B2 (en) * 2008-08-29 2018-04-24 Red Hat, Inc. Provisioning machines having virtual storage resources
US9111118B2 (en) 2008-08-29 2015-08-18 Red Hat, Inc. Managing access in a software provisioning environment
US8103776B2 (en) * 2008-08-29 2012-01-24 Red Hat, Inc. Systems and methods for storage allocation in provisioning of virtual machines
US8402084B2 (en) 2008-09-11 2013-03-19 Intel Corporation Host embedded controller interface bridge
US8612968B2 (en) 2008-09-26 2013-12-17 Red Hat, Inc. Methods and systems for managing network connections associated with provisioning objects in a software provisioning environment
US8326972B2 (en) * 2008-09-26 2012-12-04 Red Hat, Inc. Methods and systems for managing network connections in a software provisioning environment
US8898305B2 (en) 2008-11-25 2014-11-25 Red Hat, Inc. Providing power management services in a software provisioning environment
US9124497B2 (en) * 2008-11-26 2015-09-01 Red Hat, Inc. Supporting multiple name servers in a software provisioning environment
US8832256B2 (en) 2008-11-28 2014-09-09 Red Hat, Inc. Providing a rescue Environment in a software provisioning environment
US8775578B2 (en) * 2008-11-28 2014-07-08 Red Hat, Inc. Providing hardware updates in a software environment
US8782204B2 (en) 2008-11-28 2014-07-15 Red Hat, Inc. Monitoring hardware resources in a software provisioning environment
US8402123B2 (en) 2009-02-24 2013-03-19 Red Hat, Inc. Systems and methods for inventorying un-provisioned systems in a software provisioning environment
US9727320B2 (en) 2009-02-25 2017-08-08 Red Hat, Inc. Configuration of provisioning servers in virtualized systems
US8892700B2 (en) * 2009-02-26 2014-11-18 Red Hat, Inc. Collecting and altering firmware configurations of target machines in a software provisioning environment
US8413259B2 (en) * 2009-02-26 2013-04-02 Red Hat, Inc. Methods and systems for secure gated file deployment associated with provisioning
US8990368B2 (en) 2009-02-27 2015-03-24 Red Hat, Inc. Discovery of network software relationships
US8135989B2 (en) * 2009-02-27 2012-03-13 Red Hat, Inc. Systems and methods for interrogating diagnostic target using remotely loaded image
US9940208B2 (en) 2009-02-27 2018-04-10 Red Hat, Inc. Generating reverse installation file for network restoration
US9411570B2 (en) * 2009-02-27 2016-08-09 Red Hat, Inc. Integrating software provisioning and configuration management
US8572587B2 (en) 2009-02-27 2013-10-29 Red Hat, Inc. Systems and methods for providing a library of virtual images in a software provisioning environment
US8667096B2 (en) 2009-02-27 2014-03-04 Red Hat, Inc. Automatically generating system restoration order for network recovery
US9558195B2 (en) 2009-02-27 2017-01-31 Red Hat, Inc. Depopulation of user data from network
US8640122B2 (en) * 2009-02-27 2014-01-28 Red Hat, Inc. Systems and methods for abstracting software content management in a software provisioning environment
US8417926B2 (en) 2009-03-31 2013-04-09 Red Hat, Inc. Systems and methods for providing configuration management services from a provisioning server
US9250672B2 (en) 2009-05-27 2016-02-02 Red Hat, Inc. Cloning target machines in a software provisioning environment
US9134987B2 (en) 2009-05-29 2015-09-15 Red Hat, Inc. Retiring target machines by a provisioning server
US9047155B2 (en) * 2009-06-30 2015-06-02 Red Hat, Inc. Message-based installation management using message bus
US8635705B2 (en) * 2009-09-25 2014-01-21 Intel Corporation Computer system and method with anti-malware
US10133485B2 (en) * 2009-11-30 2018-11-20 Red Hat, Inc. Integrating storage resources from storage area network in machine provisioning platform
US8825819B2 (en) * 2009-11-30 2014-09-02 Red Hat, Inc. Mounting specified storage resources from storage area network in machine provisioning platform
US8769299B1 (en) 2010-10-13 2014-07-01 The Boeing Company License utilization management system license wrapper
US9563751B1 (en) 2010-10-13 2017-02-07 The Boeing Company License utilization management system service suite
US20120271945A1 (en) * 2011-04-20 2012-10-25 Microsoft Corporation Obtaining Server Address when Domain Name System Proxy Solution Fails
US9451457B2 (en) * 2011-07-15 2016-09-20 Deutsche Telekom Ag Method to enhance high availability in a secure telecommunications network, and telecommunications network comprising a plurality of remote nodes
US9210150B2 (en) 2011-10-25 2015-12-08 Salesforce.Com, Inc. Two-factor authentication systems and methods
US10225264B2 (en) 2011-10-25 2019-03-05 Salesforce.Com, Inc. Automated authorization response techniques
US10225242B2 (en) 2011-10-25 2019-03-05 Salesforce.Com, Inc. Automated authorization response techniques
CN104012132B (zh) * 2011-10-25 2016-02-17 拓普合公司 双因素认证系统和方法
US10212588B2 (en) 2011-10-25 2019-02-19 Salesforce.Com, Inc. Preemptive authorization automation
US9515988B2 (en) * 2011-10-26 2016-12-06 Aruba Networks, Inc. Device and method for split DNS communications
US9319377B2 (en) 2011-10-26 2016-04-19 Hewlett-Packard Development Company, L.P. Auto-split DNS
WO2013095573A1 (en) * 2011-12-22 2013-06-27 Intel Corporation Activation and monetization of features built into storage subsystems using a trusted connect service back end infrastructure
WO2013100918A1 (en) 2011-12-27 2013-07-04 Intel Corporation Authenticating to a network via a device-specific one time password
US20140172954A1 (en) * 2012-12-17 2014-06-19 Unisys Corporation System and method for private cloud introduction and implementation
US9009854B2 (en) * 2012-12-19 2015-04-14 Intel Corporation Platform-hardened digital rights management key provisioning
CA2838359C (en) * 2012-12-31 2015-09-15 Aastra Technologies Limited Automatic configuration of an endpoint
US9208354B2 (en) * 2013-03-12 2015-12-08 Intel Corporation Techniques for securing use of one-time passwords
US9760528B1 (en) * 2013-03-14 2017-09-12 Glue Networks, Inc. Methods and systems for creating a network
EP2979420B1 (de) * 2013-03-28 2019-07-03 InterDigital CE Patent Holdings Netzwerksystem mit einem sicherheitsmanagementserver und einem heimnetzwerk sowie verfahren zur aufnahme einer vorrichtung in das netzwerksystem
KR20150032018A (ko) * 2013-09-17 2015-03-25 삼성전자주식회사 전자 장치 및 전자 장치의 정보 전송 방법, 정보 전송 시스템
US20150302196A1 (en) * 2014-04-16 2015-10-22 Microsoft Corporation Local System Health Assessment
CN105100132B (zh) * 2014-04-25 2018-09-04 北京奇虎科技有限公司 终端设备、识别终端设备的方法及系统
MY187539A (en) * 2014-09-22 2021-09-28 Mimos Berhad System and method to provide integrity verification for active management technology (amt) application in a remote platform
GB2531848B (en) * 2014-10-31 2017-12-13 Hewlett Packard Entpr Dev Lp Management of cryptographic keys
US10439908B2 (en) 2014-12-23 2019-10-08 Talari Networks Incorporated Methods and apparatus for providing adaptive private network centralized management system time correlated playback of network traffic
US10193698B1 (en) * 2015-06-26 2019-01-29 Juniper Networks, Inc. Avoiding interdicted certificate cache poisoning for secure sockets layer forward proxy
US10291651B1 (en) 2015-06-26 2019-05-14 Juniper Networks, Inc. Unified secure socket layer decryption
US9893883B1 (en) 2015-06-26 2018-02-13 Juniper Networks, Inc. Decryption of secure sockets layer sessions having enabled perfect forward secrecy using a diffie-hellman key exchange
US20180288035A1 (en) * 2017-03-30 2018-10-04 Avaya Inc. Device enrollment service system and method
US11558202B2 (en) * 2017-07-31 2023-01-17 Cisco Technology, Inc. Network device authentication
US10496153B2 (en) 2017-10-27 2019-12-03 EMC IP Holding Company LLC Method and system for binding chassis and components
TWI686065B (zh) 2017-11-06 2020-02-21 財團法人工業技術研究院 自動初始化網路裝置之方法及使用此方法之遠端伺服器及網路系統
US11025608B2 (en) * 2017-11-10 2021-06-01 Cisco Technology, Inc. Enabling zero-touch bootstrap for devices across network perimeter firewalls
US10592661B2 (en) 2017-11-27 2020-03-17 Microsoft Technology Licensing, Llc Package processing
US10637856B2 (en) * 2017-12-12 2020-04-28 Abb Power Grids Switzerland Ag Wireless router deployment
US11075925B2 (en) 2018-01-31 2021-07-27 EMC IP Holding Company LLC System and method to enable component inventory and compliance in the platform
US10514907B2 (en) 2018-03-28 2019-12-24 EMC IP Holding Company LLC System and method for out-of-the-box solution-level management via logical architecture awareness
US10693722B2 (en) * 2018-03-28 2020-06-23 Dell Products L.P. Agentless method to bring solution and cluster awareness into infrastructure and support management portals
US10754708B2 (en) 2018-03-28 2020-08-25 EMC IP Holding Company LLC Orchestrator and console agnostic method to deploy infrastructure through self-describing deployment templates
US11086738B2 (en) 2018-04-24 2021-08-10 EMC IP Holding Company LLC System and method to automate solution level contextual support
US10795756B2 (en) 2018-04-24 2020-10-06 EMC IP Holding Company LLC System and method to predictively service and support the solution
PL3617875T3 (pl) * 2018-08-27 2021-11-08 Ovh Sposób ulepszonej zautomatyzowanej aktualizacji oprogramowania przy zastosowaniu urządzenia sieciowego
US11599422B2 (en) 2018-10-16 2023-03-07 EMC IP Holding Company LLC System and method for device independent backup in distributed system
US10862761B2 (en) 2019-04-29 2020-12-08 EMC IP Holding Company LLC System and method for management of distributed systems
US11301557B2 (en) 2019-07-19 2022-04-12 Dell Products L.P. System and method for data processing device management
US11645410B2 (en) 2019-10-09 2023-05-09 Intertrust Technologies Corporation Content management systems and methods
US11522754B2 (en) * 2020-09-15 2022-12-06 Arista Networks, Inc. Systems and methods for Zero-Touch Provisioning of a switch in intermediate distribution frames and main distribution frames
US11882173B1 (en) * 2022-09-12 2024-01-23 Sap Se Capture network communication via client extension

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5974453A (en) * 1997-10-08 1999-10-26 Intel Corporation Method and apparatus for translating a static identifier including a telephone number into a dynamically assigned network address
AU5626200A (en) * 1999-06-17 2001-01-09 Internet Revenue Network, Inc. System and method for authentication over a public network
CN1331463A (zh) * 2000-06-29 2002-01-16 北京华诺信息技术有限公司 一种带有实时认证功能的信息的加密方法和系统
US20060039564A1 (en) * 2000-11-17 2006-02-23 Bindu Rama Rao Security for device management and firmware updates in an operator network
US7062490B2 (en) * 2001-03-26 2006-06-13 Microsoft Corporation Serverless distributed file system
US7801976B2 (en) * 2002-05-28 2010-09-21 At&T Intellectual Property I, L.P. Service-oriented architecture systems and methods
US20040003085A1 (en) * 2002-06-26 2004-01-01 Joseph Paul G. Active application socket management
JP4151322B2 (ja) * 2002-06-26 2008-09-17 コニカミノルタビジネステクノロジーズ株式会社 ネットワーク管理プログラム及びネットワーク管理方法
US20040230662A1 (en) * 2003-02-14 2004-11-18 Julio Estrada System and method for sending and receiving large messages in a collaborative work environment
JP3928589B2 (ja) * 2003-06-12 2007-06-13 コニカミノルタビジネステクノロジーズ株式会社 通信システムおよび方法
JP3912609B2 (ja) * 2003-07-04 2007-05-09 日本電信電話株式会社 リモートアクセスvpn仲介方法及び仲介装置
KR100631708B1 (ko) * 2004-06-16 2006-10-09 엘지전자 주식회사 푸쉬 투 토크 서비스를 제공하는 단말기, 푸쉬 투 토크 서비스를 이용한 친구 소개 시스템 및 그 방법
US7613919B2 (en) * 2004-10-12 2009-11-03 Bagley Brian B Single-use password authentication
US8799428B2 (en) * 2004-12-30 2014-08-05 Intel Corporation Automated provisioning of new networked devices
US7409575B2 (en) * 2004-12-31 2008-08-05 Intel Corporation Recovery of computer systems
US20070136807A1 (en) * 2005-12-13 2007-06-14 Deliberato Daniel C System and method for detecting unauthorized boots
BRPI0706880A2 (pt) * 2006-01-20 2011-04-12 Verimatrix Inc sistema e método para segurança de rede
US20070283003A1 (en) * 2006-05-31 2007-12-06 Broyles Paul J System and method for provisioning a computer system
US7831997B2 (en) * 2006-06-22 2010-11-09 Intel Corporation Secure and automatic provisioning of computer systems having embedded network devices

Also Published As

Publication number Publication date
US20090165099A1 (en) 2009-06-25
DE102008059485B4 (de) 2018-05-17
JP2009151790A (ja) 2009-07-09
US8438618B2 (en) 2013-05-07
CN101478386B (zh) 2013-05-08
CN101478386A (zh) 2009-07-08
JP4896956B2 (ja) 2012-03-14

Similar Documents

Publication Publication Date Title
DE102008059485B4 (de) Bereitstellung von Active-Management-Technologie (AMT) in Rechnersystemen
EP3474178B1 (de) Untersuchung einer sicheren umgebung
US8370905B2 (en) Domain access system
US11902277B2 (en) Secure modification of manufacturer usage description files based on device applications
US9509746B2 (en) Provisioning remote access points
US7831997B2 (en) Secure and automatic provisioning of computer systems having embedded network devices
EP2156610B1 (de) Verwaltung von netzkomponenten mit usb-schlüsseln
US8914787B2 (en) Registering software management component types in a managed network
EP1592168A1 (de) System und Verfahren zur Verifikation der Regelkonformität in Kommunikationsnetzen
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
US20070268514A1 (en) Method and business model for automated configuration and deployment of a wireless network in a facility without network administrator intervention
US11470075B2 (en) Systems and methods for provisioning network devices
EP2779580B1 (de) Verfahren und Vorrichtung zur Installation von Anwendungen auf mobilen Endgeräten
JP2009538100A (ja) 自動ポリシーに基づくネットワーク装置構成およびネットワーク配備
DE112020000948T5 (de) Serverbasierte einrichtung für die verbindung eines geräts mit einem lokalen netzwerk
US10700874B2 (en) Machine to machine virtual private network
US11153099B2 (en) Reestablishing secure communication with a server after the server's certificate is renewed with a certificate authority unknown to the client
WO2020229537A1 (de) Verfahren zum selektiven ausführen eines containers und netzwerkanordnung
CN113630374A (zh) 实现通过网络与目标装置的安全通信的方法
DE102020205704A1 (de) Validitätsbestätigungsausrüstung
US10326599B2 (en) Recovery agents and recovery plans over networks
EP3891644A1 (de) Mikrocontroller
Cisco Index
US11664987B2 (en) Updating public key certificates in network devices using a blockchain network
Headquarters Implementing Network Admission Control Phase One Configuration and Deployment

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee