-
AUSGANGSSITUATION
-
Rechnersysteme können die
Bereitstellung von Intel® Active-Management-Technologie
(AMT) erlauben, um Funktionen wie Erkennen, Reparieren und Schützen des
Rechnersystems zu unterstützen. Während der
Bereitstellung von Intel® Active-Management-Technologie (AMT)
in einem Rechnersystem können
die Techniker der unternehmensinternen IT-Abteilungen Konfigurationswerte
manuell entweder im Endbenutzerbereich oder im IT-Vorbereitungsbereich
bereitstellen.
-
KURZBESCHREIBUNG DER ZEICHNUNGEN
-
Die
vorliegend beschriebene Erfindung ist in den beigefügten Zeichnungen
veranschaulicht, die als Beispiel, jedoch nicht als Einschränkung anzusehen
sind. Zur Vereinfachung und besseren Übersichtlichkeit sind in den
Figuren veranschaulichte Elemente nicht notwendigerweise maßstabsgetreu gezeichnet.
Zum Beispiel können
die Abmessungen einiger Elemente im Verhältnis zu anderen Elementen
zur besseren Veranschaulichung überzeichnet dargestellt
sein. Weiterhin wurden, wo als geeignet erachtet, Bezugszeichen
in den Figuren wiederholt, um entsprechende oder analoge Elemente
anzugeben. Es zeigt:
-
1 eine
Ausführungsform
einer Umgebung 100,
-
2 eine
Ausführungsform
einer Clientvorrichtung 105, die eine Optionswahlprozedur
zum Auswählen
eines Bereitstellungsansatzes ausführt,
-
3 ein
Ablaufdiagramm, das eine ungesicherte DNS-Suffix-Option zur Bereitstellung
von AMT in der Clientvorrichtung darstellt,
-
4 ein
Ablaufdiagramm, das die im IT-Vorbereitungsbereich ausgeführte Operation
während
des Bereitstellens von AMT in der Clientvorrichtung unter Verwendung
der gesicherten DNS-Suffix-Option darstellt,
-
5 ein
Ablaufdiagramm, das die im Endbenutzerbereich ausgeführte Operation
während
des Bereitstellens von AMT in der Clientvorrichtung unter Verwendung
der gesicherten DNS-Suffix-Option darstellt,
-
6 ein
Ablaufdiagramm, das die im IT-Vorbereitungsbereich ausgeführte Operation
während
des Bereitstellens von AMT in der Clientvorrichtung unter Verwendung
der PID/PPS-Option darstellt,
-
7 ein
Ablaufdiagramm, das die im Endbenutzerbereich ausgeführte Operation
während
des Bereitstellens von AMT in der Clientvorrichtung unter Verwendung
der PID/PPS-Option darstellt.
-
AUSFÜHRLICHE BESCHREIBUNG
-
Die
folgende Beschreibung beschreibt das Bereitstellen von Active-Management-Technologie (AMT)
in Rechnersystemen. In der folgenden Beschreibung sind zahlreiche
spezifische Einzelheiten wie beispielsweise logische Implementierungen, Ressourcenpartitionierung
oder -Sharing oder Duplikationsimplementierungen, Arten und Wechselbeziehungen
von Systemkomponenten und logische Partitionierungs- oder Integrationsmöglichkeiten
dargelegt, um die vorliegende Erfindung besser verstehen zu können. Für den Fachmann
wird jedoch ersichtlich sein, dass die Erfindung auch ohne derartige
spezifische Einzelheiten praktisch angewendet werden kann. In anderen
Fällen
sind Steuerstrukturen, Gatterebenenschaltungen und vollständige Software-Befehlsfolgen
nicht im Detail gezeigt, um die Erfindung nicht unverständlich zu
machen. Der Fachmann wird mit Hilfe der Beschreibungen in der Lage
sein, die entsprechende Funktionalität ohne ungebührliches Experimentieren
zu implementieren.
-
Bezugnahmen
in dieser Beschreibung auf „eine
Ausführungsform", „eine beispielhafte
Ausführungsform" geben an, dass die
beschriebene Ausführungsform
ein bestimmtes Merkmal, eine bestimmte Struktur oder ein bestimmtes
Charakteristikum einschließen
kann, jedoch nicht jede Ausführungsform notwendigerweise
das bestimmte Merkmal, die bestimmte Struktur oder das bestimmte
Charakteristikum einschließt.
Darüber
hinaus beziehen sich derartige Phrasen nicht notwendigerweise auf
dieselbe Ausführungsform.
Weiterhin wird, wenn ein bestimmtes Merkmal, eine bestimmte Struktur
oder ein bestimmtes Charakteristikum im Zusammenhang mit einer Ausführungsform
beschrieben wird, davon ausgegangen, dass der Fachmann über das
Wissen verfügt,
ein derartiges Merkmal, eine derartige Struktur oder ein derartiges
Charakteristikum in anderen Ausführungsformen
umzusetzen, unabhängig
davon, ob ausdrücklich
beschrieben oder nicht.
-
Ausführungsformen
der Erfindung können
in Hardware, Firmware, Software oder Kombinationen daraus implementiert
sein. Ausführungsformen
der Erfindung können
auch implementiert sein als Befehle, die auf einem maschinenlesbaren
Medium gespeichert sind, welches von einem oder mehr Prozessoren
gelesen und ausgeführt
werden kann. Ein maschinenlesbares Medium kann jeden beliebigen Mechanismus
zum Speichern oder Übertragen
von Informationen in einer von einer Maschine lesbaren Form einschließen (z.
B. eine Rechenvorrichtung).
-
Zum
Beispiel kann ein maschinenlesbares Medium Nur-Lese-Speicher (ROM),
Direktzugriffsspeicher (RAM), Magnetplattenspeichermedien, optische
Speichermedien, Flash-Speichervorrichtungen einschließen. Weiterhin
können
hier Firmware, Software, Routinen und Befehle als bestimmte Aktionen ausführend beschrieben
sein. Es sollte jedoch bedacht werden, dass derartige Beschreibungen
lediglich praktischen Zwecken dienen und dass derartige Aktionen
tatsächlich
dadurch zustande kommen, dass Rechenvorrichtungen, Prozessoren,
Controller und sonstige Vorrichtungen Firmware, Software, Routinen
und Befehle ausführen.
-
Eine
Ausführungsform
einer Netzwerkumgebung 100 ist in 1 veranschaulicht.
In einer Ausführungsform
kann die Netzwerkumgebung 100 ein Clientsystem 105,
ein Netzwerk 160, einen Dynamic-Host-Configuration-Protocol-(DHCP-)Server 165,
einen Domänennamensystem-(DNS-)Server 170,
einen Bereitstellungsserver 180 und eine Managementkonsole 190 umfassen.
-
Das
Netzwerk 160 kann Rechenvorrichtungen wie beispielsweise
die Clientvorrichtung 105, DHCP-Server 165, DNS-Server 170,
Bereitstellungsserver 180 und die Managementkonsole 190 koppeln.
Das Netzwerk 160 kann Netzwerkvorrichtungen wie Router
und Gateways umfassen, die den Datentransfer zwischen der Clientvorrichtung 105, DHCP-Server 165,
DNS-Server 170, Bereitstellungsserver 180 und
der Managementkonsole 190 über ein drahtgebundenes und
ein drahtloses Medium unterstützen.
In einer Ausführungsform
können
die Netzwerkvorrichtungen des Netzwerks 160 Übertragungssteuerungsprotokoll-/Internetprotokoll-Stapel (TCP/IP),
Benutzerdatagrammprotokoll-(UDP-) und ähnliche Protokollstapel unterstützen.
-
Der
DHCP-Server 165 kann den an das Netzwerk 160 gekoppelten
Rechenvorrichtungen IP-Adressen
in Reaktion auf den Empfang einer Anforderung von den Rechenvorrichtungen
zuweisen. In einer Ausführungsform
kann der DHCP-Server 165 einen Domänennamen bereitstellen, den
die Clientvorrichtung 105 während des Auflösens der
Hostnamen über
das Domänennamensystem
(DNS) nutzen kann. In einer Ausführungsform
kann der DHCP-Server 165 der
Clientvorrichtung 105 in Reaktion auf den Empfang einer
Anforderung von der Clientvorrichtung 105 IP-Adressen dynamisch
zuweisen. Der DHCP-Server 165 kann für die Clientvorrichtung 105 außerdem Standardgateway,
Subnetzmaske, IP-Adresse der Clientvorrichtung 105 und ähnliche
derartige Parameter bereitstellen.
-
Der
DNS-Server 170 kann die Domänennamen in IP-Adressen übersetzen.
Der DNS-Server 170 kann der Clientvorrichtung 105 Kontaktinformationen
des Bereitstellungsservers 180 und dem Bereitstellungsserver 180 Kontaktinformationen
der Clientvorrichtung 105 bereitstellen. Der DNS-Server 170 kann
außerdem
den Managementserver 190 bei der Lokalisierung von Adressinformationen
der Clientvorrichtung 105 unterstützen.
-
Die
Managementkonsole 190 kann während der Einrichtungsphase
die Clientvorrichtung 105 kontaktieren und eine Aktualisierungsanforderung
senden, um zu ermitteln, ob die Clientvorrichtung 105 AMT
unterstützt.
Wenn die Clientvorrichtung 105 AMT unterstützt, kann
die Managementkonsole 190 in Reaktion auf die Aktualisierungsanforderung AMT-Werte von der Clientvorrichtung 105 empfangen.
In einer Ausführungsform
kann die Managementkonsole 190 nach Empfangen der AMT-Werte von
der Clientvorrichtung 105 ein Einmalpasswort (OTP) generieren.
In einer Ausführungsform
können die
AMT-Werte universell eindeutigen Identifikator (UUID), AMT-Versionsidentifikator
und andere derartige Werte umfassen. In einer Ausführungsform
können
die AMT-Werte die Clientvorrichtung 105 eindeutig identifizieren
und angeben, ob die Clientvorrichtung 105 Active-Management-Technologie unterstützt. In
einer Ausführungsform
kann die Managementkonsole 190 die AMT-Werte und das OTP
an den Bereitstellungsserver 180 und das OTP an die Clientvorrichtung 105 senden.
In einer Ausführungsform
kann die Managementkonsole 190 die Clientvorrichtung 105 bei
der Lokalisierung des Bereitstellungsservers 180 und des
DNS-Servers 170 unterstützen.
-
Der
Bereitstellungsserver 180 kann das Bereitstellen von AMT
auf der Clientvorrichtung 105 unterstützen. In einer Ausführungsform
kann der Bereitstellungsserver 180 Einrichtungs- und Konfigurationsanwendung,
wie beispielsweise die Intel®-Einrichtungs- und -Konfigurationsdienste
(SCS), unterstützen.
In einer Ausführungsform
kann der Bereitstellungsserver 180 außerdem die AMT-Werte und das OTP
von der Managementkonsole 190 empfangen und die AMT-Werte
und das OTP speichern, um sicherzustellen, dass der Bereitstellungsserver 180 mit der
geeigneten Clientvorrichtung 105 kommuniziert. In einer
Ausführungsform
kann der Bereitstellungsserver 180 die AMT-Werte und das
OTP dazu verwenden, die Clientvorrichtung 105 zu authentifizieren.
In einer Ausführungsform
kann der Bereitstellungsserver 180 von der Clientvorrichtung 105 ein Hello-Paket
empfangen und vor Authentifizieren der Clientvorrichtung 105 das
in dem Hello-Paket
eingebettete OTP mit dem gespeicherten OTP vergleichen. In einer
Ausführungsform
kann der Bereitstellungsserver 180 nach Empfangen eines
selbst unterzeichneten Zertifikats von der Clientvorrichtung 105 eine
Zertifikatkette senden. In einer Ausführungsform kann die Zertifikatkette
dazu verwendet werden, den Bereitstellungsserver 180 zu
authentifizieren. In einer Ausführungsform
kann der Bereitstellungsserver 180 eine sichere Sitzung
mit der Clientvorrichtung 105 einrichten, nachdem die gegenseitige
Authentifizierung abgeschlossen ist. In einer Ausführungsform kann
die Authentifizierung des Bereitstellungsservers 180 vermeiden,
dass sich ein feindlicher Bereitstellungsserver als der Bereitstellungsserver 180 authentifiziert.
-
Die
Clientvorrichtung 105 kann Komponenten von Active-Management-Technologie
(AMT) unterstützen,
die ein automatisches Bereitstellen von Active-Management-Technologie
auf der Clientvorrichtung 105 erlauben können. In
einer Ausführungsform
kann der Prozess des Einrichtens und Konfigurierens von Active-Management-Technologie
als Bereitstellen bezeichnet sein. Das Bereitstellen von Active-Management-Technologie
auf der Clientvorrichtung 105 kann das Erkennen, Reparieren
und Schützen
der Clientvorrichtung 105 standortfern ermöglichen.
In einer Ausführungsform
kann die AMT eine verbesserte Anlagenwirtschaft, minimale Vor-Ort-Einsätze der
Techniker der IT-Abteilung, verbesserte Sicherheitsniveaus, standortferne
Fehlererkennung und ähnliche
derartige Funktionen ermöglichen.
In einer Ausführungsform
kann sich die Clientvorrichtung 105 durch die Netzwerkschnittstelle 159 an
das Netzwerk 160 koppeln, um eine Schnittstelle mit dem
Bereitstellungsserver 180 und der Managementkonsole 190 zu
bilden.
-
In
einer Ausführungsform
kann die Clientvorrichtung 105 Zero-Touch- und One-Touch-Bereitstellungsfunktionen
unterstützen,
die dem Clientsystem 105 ermöglichen können, eine sichere Verbindung mit
dem Bereitstellungsserver 180 automatisch herzustellen.
In einer Ausführungsform
kann die Zero-Touch-Bereitstellungsfunktion der Clientvorrichtung 105 ermöglichen,
Active-Management-Technologie automatisch bereitzustellen, ohne
dass der IT-Techniker
die Clientvorrichtung 105 im IT-Vorbereitungsbereich und
dem Endbenutzerbereich manuell konfigurieren muss. In einer Ausführungsform kann
die Zero-Touch-Bereitstellung
unter Verwendung einer ungesicherten DNS-Suffix-Option oder einer
gesicherten DNS-Suffix-Option erfolgen.
-
In
einer Ausführungsform
kann sich die ungesicherte DNS-Suffix-Option auf eine Bereitstellungsfunktion
beziehen, bei der die AMT den DHCP-Server nutzt, um das DNS-Suffix der FQDNs der
Clientvorrichtungen in der DNS-Domäne zu erlangen. In einer Ausführungsform
können
die FQDNs dazu verwendet werden, einen geeigneten Bereitstellungsserver
in der DNS-Domäne
zu identifizieren. Jedoch kann während
der Verwendung der ungesicherten DNS-Suffix-Option ein Gegner die
Kontrolle über
den DHCP-Server erlangen und die AMT zu der Schlussfolgerung veranlassen,
dass sich die Clientvorrichtung 105 in einer DNS-Domäne des Gegners befindet.
In einer Ausführungsform
kann sich die gesicherte DNS-Suffix-Option auf eine Bereitstellungsfunktion
beziehen, bei welcher der FQDN des Bereitstellungsservers 180 der
AMT durch den OEM im Rahmen eines Kaufvertrags bereitgestellt sein
kann. In einer Ausführungsform
kann die AMT unterstützende
Clientvorrichtung 105 den DHCP-Server 150 nicht
kontaktieren, um die Bereitstellungsserver 180 zu identifizieren.
-
In
einer Ausführungsform
kann die One-Touch-Bereitstellungsfunktion das Konfigurieren des
Clientsystems 105 im IT-Vorbereitungsbereich und die anschließende Verwendung
im Endbenutzerbereich erlauben, ohne dass die AMT im Endbenutzerbereich
konfiguriert werden muss. In einer Ausführungsform kann die One-Touch-Bereitstellung eine
sichere DNS-Option oder die Bereitstellungsidentifikator-/Bereitstellungs-PSK-(PSK:
Pre-Shared Key) oder Bereitstellungspassphrasen-(PID/PPS-)Option
verwenden. In einer Ausführungsform
kann PID/PPS Sicherheitsschlüssel
darstellen, die zur Bereitstellung der AMT verwendet werden können. In
einer Ausführungsform
kann die One-Touch-Bereitstellungsfunktion
dem Client-System 105 ermöglichen, eine sichere Verbindung
mit dem Bereitstellungsserver 180 automatisch herzustellen,
ohne dass der IT-Techniker die Clientvorrichtung 105 im
Endbenutzerbereich manuell konfigurieren muss. In einer Ausführungsform
kann sich IT-Vorbereitungsbereich auf die IT-Abteilungen von Unternehmen
beziehen, welche die Rechnersysteme vor und nach der Ausgabe der
Rechnersysteme an die Endbenutzer konfigurieren, einrichten, verfolgen
und reparieren.
-
In
einer Ausführungsform
kann das Clientsystem 105 Anwendungen 110, ein
Betriebssystem (OS) 120 und eine Hardware-Einheit 150 umfassen. In
einer Ausführungsform
kann die Hardware-Einheit 150 eine Zentraleinheit (CPU) 152,
einen Chipsatz 155, einen Speicher 156, ein NVRAM 157,
ein BIOS 158 und eine Netzwerkschnittstelle 159 umfassen.
In einer Ausführungsform
kann die Clientvorrichtung 105 Zero-Touch- oder Fernkonfiguration
(RCFG) unterstützen,
um zwischen der Clientvorrichtung 105 und dem Bereitstellungsserver 180 einen
sicheren und authentifizierten Kommunikationskanal standortfern
einzuleiten.
-
Die
Zentraleinheit 152 kann an den Chipsatz 155 gekoppelt
sein, was der CPU 152 erlauben kann, mit dem Speicher 156,
dem NVRAM 157, dem BIOS 158 und den E/A-Vorrichtungen,
wie beispielsweise der Netzwerkschnittstelle 159, eine
Schnittstelle zu bilden. Die Zentraleinheit 152 kann das
Betriebssystem 120 unterstützen, welches die Betriebsmittel
der CPU 152 verwalten und die Anwendungen 110 planen
kann. In einer Ausführungsform
kann die CPU 152 eine Mikroprozessorfamilie von Intel® umfassen. In
einer Ausführungsform kann
die Bereitstellung von AMT von Plattformen, wie Intel® vProTM und Intel® Centrino®,
unterstützt
werden.
-
Der
Chipsatz 155 kann Active-Management-Einheit 153 umfassen,
welche Active-Management-Technologie
(AMT) unterstützen
kann. In einer Ausführungsform
kann der Chipsatz 155 als ein AMT-fähiger Chipsatz bezeichnet sein,
wenn er AMT unterstützt.
In einer Ausführungsform
kann die Active-Management-Einheit 153 eine programmierbare Verarbeitungseinheit,
wie beispielsweise eine Managementmaschine (ME), zur Unterstützung der
Active-Management-Technologie (AMT) sein. In einer Ausführungsform
kann die Active-Management-Einheit 153 von anderen Blöcken von
Hardware 150 unterstützt
werden, wie beispielsweise der CPU 152, oder die Active-Management-Einheit 153 kann
außerdem
als eine eigenständige
Komponente bereitgestellt sein. In einer Ausführungsform kann die AMT-Firmware-Komponente
von einem nicht flüchtigen
Speicher unterstützt
werden, wie beispielsweise dem NVRAM 157. In einer Ausführungsform
kann die Active-Management-Einheit 153 den
Firmware-Code zur Bereitstellung von AMT auf dem Clientsystem 105 ausführen.
-
In
einer Ausführungsform
kann die Active-Management-Einheit (AMU) 153 das Bereitstellen von
AMT von Intel® unterstützen. In
einer Ausführungsform
kann das Clientsystem 105 zur Bereitstellung der AMT den
Zero-Touch-Bereitstellungs- oder den One-Touch-Bereitstellungsansatz anwenden. Während der
Verwendung von verzögerter
Bereitstellung kann die AMU 153 die AMT nach Installation des
Betriebssystems 120 bereitstellen.
-
In
einer Ausführungsform
kann die Active-Management-Einheit (AMU) 153 während der
Anwendung von One-Touch-Bereitstellung verzögerte Bereitstellung oder Bare-Metal-Bereitstellung anwenden.
In einer Ausführungsform
kann die Active-Management-Einheit 153 während der
Anwendung von Bare-Metal-Bereitstellung die AMT vor Installation des
Betriebssystems 120 bereitstellen. In einer Ausführungsform
kann die Active-Management-Einheit 153 die
AMT bereitstellen, und die Clientvorrichtung 105 kann dann
das Betriebssystem 120 von einer standortfern angeordneten
Quelle über
eine durch Bereitstellung der AMT hergestellte sichere Verbindung
herunterladen.
-
Eine
Ausführungsform
des Wählens
einer Option zum Bereitstellen von AMT auf der Clientvorrichtung 105 ist
in 2 dargestellt. In Block 210 kann die
Active-Management-Einheit 153 ermitteln, ob
ein Zertifikat-Hash in dem NVRAM 157 vorliegt, und wenn
das Zertifikat-Hash nicht vorliegt, geht die Steuerung über zu Block 230 und
andernfalls zu Block 260. In einer Ausführungsform kann der Zertifikat-Hash
einen kryptografischen Hash eines X509v3 Root-Zertifikat einschließen, dem
vertraut wird. In einer Ausführungsform
kann die Active-Management-Einheit 153 den Hash-Wert des
Root-Zertifikats der Zertifikatkette, die von dem Bereitstellungsserver 180 bereitgestellt
wird, mit den in dem NVRAM 157 gespeicherten Zertifikat-Hashes
vergleichen. Wird kein Treffer gefunden, geht die Steuerung über zu Block 230 und
andernfalls zu Block 260. In einer Ausführungsform kann ein Originalausrüstungshersteller (OEM)
SHA-1-Zertifikat-Hashes in dem NVRAM 157 speichern. Die
SHA-1-Zertifikat-Hashes können
in Sicherheitsanwendungen und Protokollen verwendet werden, einschließlich Transport
Layer Security (TLS), Secure Socket Layer (SSL), IPsec und weiteren ähnlichen
kryptographischen Protokollen. In einer Ausführungsform können OEM
Zertifikat-Hashes generieren oder die von dem Plattformanbieter
bereitgestellten Zertifikat-Hashes verwenden. In einer Ausführungsform
kann der OEM vor Versand der Clientvorrichtung 105 an den
Endbenutzer ein Abbild der Zertifikat-Hashes in dem NVRAM 157 speichern.
-
In
Block 230 kann die Active-Management-Einheit 153 prüfen, ob
die PID/PPS-Werte verfügbar
sind, und die Steuerung geht über
zu Block 240, wenn die PID/PPS-Werte nicht verfügbar sind, und
zu Block 250, wenn die PID/PPS-Werte verfügbar sind.
In einer Ausführungsform
kann der OEM die PID/PPS-Werte vor Versand der Clientvorrichtung 105 an
den Endbenutzer in dem BIOS 158 speichern.
-
In
Block 240 kann die Active-Management-Einheit 153 auf
die One-Touch-Bereitstellung warten, die im IT-Vorbereitungsbereich
der unternehmensinternen IT-Abteilungen beginnen kann. In Block 250 kann
die Active-Management-Einheit 153 die unten stehend in 6 und 7 beschriebene PID/PPS-Bereitstellungsoption
einleiten.
-
In
Block 260 kann die Active-Management-Einheit 153 das
Vorliegen von PID/PPS-Werten prüfen,
und die Steuerung geht über
zu Block 270, wenn die PID/PPS-Werte nicht vorliegen, und
zu Block 295, wenn die PID/PPS-Werte vorliegen. In einer
Ausführungsform
kann der OEM die PID/PPS-Werte vor Versand des Clients 105 an
den Endbenutzer in dem BIOS 158 speichern.
-
In
Block 270 kann die Active-Management-Einheit 153 prüfen, ob
ein Einrichtungswert, wie beispielsweise ein vollständiger Domänenname (FQDN)
des Bereitstellungsservers 180, verfügbar ist. In einer Ausführungsform
kann der OEM den FQDN des Bereitstellungsservers 180 in
dem BIOS 158 speichern. Die Steuerung geht über zu Block 280,
wenn der FQDN des Bereitstellungsservers 180 nicht in dem
BIOS 158 vorliegt, und zu Block 295, wenn der
FQDN in dem BIOS 158 vorliegt.
-
In
Block 280 kann die Active-Management-Einheit 153 die
unten stehend in 3 beschriebene unsichere DNS-Bereitstellungsoption verwenden.
In Block 290 kann die Active-Management-Einheit 153 die
unten stehend in 4 und 5 beschriebene
sichere DNS-Bereitstellungsoption
verwenden. In Block 295 kann die Active-Management-Einheit 153 die
unten stehend in 6 und 7 beschriebene
PID/PPS-Bereitstellungsoption verwenden.
-
Eine
Ausführungsform
der Bereitstellung von AMT unter Verwendung der unsicheren DNS-Option ist in dem
Ablaufdiagramm von 3 veranschaulicht. In einer
Ausführungsform
kann die unsichere DNS-Bereitstellungsoption für das Bereitstellen der Clientvorrichtung 105 verwendet
werden, nachdem das Betriebssystem 120 installiert wurde.
In Block 305 kann die Managementkonsole 190 die
Clientvorrichtung 105 kontaktieren, um das Vorhandensein von Active-Management-Technologie
(AMT) zu erkennen. In einer Ausführungsform
kann die Managementkonsole 190 eine Aktualisierungsanforderung senden.
-
In
Block 310 kann der Management-Agent 125 ermitteln,
ob die Clientvorrichtung 105 AMT umfasst. In einer Ausführungsform
kann der Management-Agent 125 den Treiber 135 auslösen, der
eine Schnittstelle mit dem Chipsatz 155 bilden kann, um zu
ermitteln, ob der Chipsatz 155 AMT-fähig ist. In einer Ausführungsform
kann der Treiber 135 ein Abfragepaket an den Chipsatz 155 senden
und ein Antwortpaket erhalten, das ein Statusbit umfasst, dessen
Status das Vorhandensein von AMT anzeigen kann. Wenn der Chipsatz 155 AMT
umfasst, geht die Steuerung über
zu Block 315, und andernfalls endet der Bereitstellungsansatz.
-
In
Block 315 kann der Management-Agent 125 AMT-Werte
aus der Active-Management-Einheit 153 abrufen.
In einer Ausführungsform
kann der Management-Agent 125 den Treiber 135 auslösen, der eine
Abfrage an die Active-Management-Einheit 153 senden kann,
welche AMT-Informationen aus dem NVRAM 157 und dem BIOS 158 abrufen
kann. In einer Ausführungsform
kann der Treiber 135 eine Managementmaschinenschnittstelle
(MEI) oder einen HECI-Treiber umfassen. In einer Ausführungsform können die
AMT-Werte AMT-Werte,
wie beispielsweise Konfigurationsmodus, Konfigurationszustand, AMT-Version
und weitere ähnliche
Werte, umfassen. In einer Ausführungsform
kann der Management-Agent 125 einen universell eindeutigen
Identifikator (UUID), AMT-Version und weitere ähnliche Werte empfangen. In
einer Ausführungsform
kann der UUID die Clientvorrichtung 105 unabhängig von dem
Installationsstatus des Betriebssystems 120 eindeutig identifiziert.
-
In
Block 320 kann der Management-Agent 125 die AMT-Werte
an die Managementkonsole 190 senden. In einer Ausführungsform
können
die AMT-Werte von der Managementkonsole 190 verwendet werden,
um zu ermitteln, ob die Clientvorrichtung 105 die AMT unterstützt. In
einer Ausführungsform
kann die Managementkonsole 190 die AMT-Werte an den Bereitstellungsserver 180 weiterleiten.
-
In
Block 325 kann die Managementkonsole 190 ein Einmalpasswort
(OTP) generieren, das an den Management-Agenten 125 und
den Bereitstellungsserver 180 gesendet werden kann. In
einer Ausführungsform
kann das OTP generiert werden, wenn die Clientvorrichtung 105 von
dem OEM versandt wird, wobei AMT auf „Empfangsmodus" eingestellt ist.
In einer Ausführungsform
kann das OTP von dem Bereitstellungsserver 180 dazu verwendet
werden, die Clientvorrichtung 105 zu authentifizieren.
-
In
Block 330 kann der Management-Agent 125 das OTP
empfangen und das OTP in dem NVRAM 157 speichern.
-
In
Block 335 kann der Management-Agent 125 die Active-Management-Einheit 153 dazu
freigeben, die Netzwerkschnittstelle zum Empfangen einer Einrichtungsmeldung
zu öffnen.
In einer Ausführungsform
kann der Management-Agent 125 ein Kommando, wie beispielsweise
AMTEnableNetworkSetupListen(), senden, um die AMU 153 in
die Lage zu versetzen, einen Port zu öffnen und die Einrichtungsmeldung,
wie beispielsweise die Transport-Layer-Security-(TLS-)Einrichtungsmeldung,
zu empfangen. In einer Ausführungsform
kann die Active-Management-Einheit 153 die IP-Adresse der
Clientvorrichtung 105 erlangen, nachdem die Netzwerkschnittstelle
offen ist.
-
In
Block 340 kann die Active-Management-Einheit 153 ein
Schlüsselpaar
und ein selbst unterzeichnetes Zertifikat generieren. In einer Ausführungsform
können
das Schlüsselpaar
und das selbst unterzeichnete Zertifikat dazu verwendet werden,
einen geschützten
Kanal zwischen dem Bereitstellungsserver 180 und der Clientvorrichtung 105 bereitzustellen.
In einer Ausführungsform
kann die Active-Management-Einheit 153 einen Zertifikatgenerierungscode
ausführen,
um das Schlüsselpaar und
das selbst unterzeichnete Zertifikat zu generieren. In einer Ausführungsform
kann die Active-Management-Einheit 153 ein privates und öffentliches RSA-Schlüsselpaar
mit 2048-Bit-Modul und ein selbst unterzeichnetes Zertifikat (X.509v3)
unter Verwendung des privaten und öffentlichen RSA-Schlüsselpaars
generieren. In einer Ausführungsform
kann die Active-Management-Einheit 153 das Schlüsselpaar
und das unterzeichnete Zertifikat in einem privaten Datenbereich
innerhalb der AMU 153 speichern. In einer Ausführungsform
kann die Active-Management-Einheit 153 ein
Bit, wie beispielsweise das AMTProvKeyGenSuccessful, nach Generierung
des Schlüsselpaars
und des unterzeichneten Zertifikats als WAHR setzen.
-
In
Block 345 kann die Active-Management-Einheit 153 prüfen, ob
ein Einrichtungswert, wie beispielsweise der FQDN des Bereitstellungsservers 180,
verfügbar
ist, und die Steuerung geht über zu
Block 350, wenn der FQDN nicht verfügbar ist, und andernfalls zu
Block 355.
-
In
Block 350 kann die Active-Management-Einheit 153 das
DNS-Suffix des Netzwerks 160 erlangen. In einer Ausführungsform
kann die Active-Management-Einheit 153 das DNS-Suffix von dem DHCP-Server 165 erlangen.
In einer Ausführungsform
kann die Active-Management-Einheit 153 Option 15 von
DHCP verwenden, um das DNS-Suffix zu erlangen. In einer Ausführungsform
kann die Active-Management-Einheit 153 die IP-Adresse des
Bereitstellungsservers 180 unter Verwendung des DNS-Suffixes
lokalisieren. In einer Ausführungsform kann
die Active-Management-Einheit 153 ein „Hello"-Paket an den Bereitstellungsserver 180 senden. In
einer Ausführungsform
kann das Hello-Paket die AMT-Werte
der Clientvorrichtung 105 umfassen.
-
In
Block 355 kann der Bereitstellungsserver 180 eine
gegenseitig authentifizierte Sitzung mit der Active-Management-Einheit 153 der
Clientvorrichtung 105 öffnen.
In einer Ausführungsform
kann der Bereitstellungsserver 180 eine gegenseitig über Transport
Layer Security (TLS) authentifizierte Sitzung mit der Active-Management-Einheit 153 öffnen.
-
In
Block 360 kann der Bereitstellungsserver 180 eine
gegenseitig authentifizierte Verbindung mit der Active-Management-Einheit 153 erzeugen.
In einer Ausführungsform
können
der Bereitstellungsserver 180 und die Clientvorrichtung 105 eine
gegenseitig authentifizierte Verbindung unter Verwendung des TLS-Handshake-Protokolls
herstellen. Als Teil des TLS-Handshake-Protokolls
kann die Active-Management-Einheit 153 in einer Ausführungsform das selbst
unterzeichnete Zertifikat an den Bereitstellungsserver 180 senden,
und als Antwort kann der Bereitstellungsserver 180 eine
Zertifikatkette erhalten, welche das Root-of-Trust-Zertifikat von dem
Bereitstellungsserver 180 einschließt.
-
In
einer Ausführungsform
kann die Active-Management-Einheit 153 den Hash des Root-of-Trust-Zertifikats
berechnen und die Zertifikatkette durch Abgleichen des Hash-Werts
mit der in dem NVRAM 157 gespeicherten Liste von Hash-Werten
validieren. In einer Ausführungsform kann
die Active-Management-Einheit 153 das DNS-Suffix durch
Abgleichen des DNS-Suffixes in dem FQDN des Bereitstellungsservers 180 mit
dem von dem DHCP-Server 165 in Block 350 erlangten DNS-Suffix
validieren. In einer Ausführungsform kann
die Active-Management-Einheit 153 außerdem die Zertifikatverwendung
validieren, um zu verifizieren, ob die Zertifikatkette zur Bereitstellung
von AMT bestimmt war. In einer Ausführungsform kann die Active-Management-Einheit 153 außerdem die
Bereitstellungsserver-Authentifizierung prüfen, um zu verifizieren, ob
die AMU 153 mit einem geeigneten Bereitstellungsserver
kommuniziert. Sind die vorangehenden Validierungen erfolgreich,
kann die Active-Management-Einheit 153 dem Bereitstellungsserver 180 vertrauen.
Ein derartiger Ansatz kann die Wahrscheinlichkeit verringern, dass
sich ein feindlicher Bereitstellungsserver als der Bereitstellungsserver 180 authentifiziert.
-
In
Block 365 kann die Active-Management-Einheit 153 die
Informationen des Bereitstellungsservers 180 überprüfen. In
einer Ausführungsform
kann die AMT-Firmware ein Überprüfungsprotokoll
jedes Bereitstellungsversuchs führen.
In einer Ausführungsform
kann die Active-Management-Einheit 153 die Überprüfungsinformationen
in das NVRAM 157 schreiben. In einer Ausführungsform
können
die Überprüfungsinformationen
ein erstes Feld (Bits 1–2:
geben das Verfahren an, Bit 3: gibt den Modus Senden/Empfangen an
und Bits 4–8:
reserviert), ein zweites Feld von 256 Bytes zum Speichern des in dem
Zertifikat gespeicherten FQDN des Bereitstellungsservers 180 und
ein drittes Feld von 20 Bytes zum Speichern des Hash-Werts des vertrauenswürdigen Root-Zertifikats,
ein viertes Feld, umfassend drei 16-Byte-Arrays, zum Speichern der
Seriennummern der Zwischenzertifizierungsstelle, ein fünftes Feld
von 1 Bit zur Angabe des zur Generierung des vorangehenden Hash-Werts
verwendeten Hash-Algorithmus, ein sechstes Feld zur Angabe von Uhrzeit/Datum
der Einrichtung der TLS-Sitzung, ein siebtes Feld zur Angabe der
IP-Adresse des Bereitstellungsservers 180 und
ein achtes Feld zur Angabe, ob das Zertifikat die Prüfung des
Gültigkeitszeitraums bestanden
hat.
-
In
Block 370 kann der Bereitstellungsserver 180 von
der Active-Management-Einheit 153 das Senden des in Block 330 empfangenen
OTP anfordern. In Block 375 kann der Bereitstellungsserver 180 das
von der Active-Management-Einheit 153 empfangene OTP validieren.
In einer Ausführungsform
kann der Bereitstellungsserver 180 das von der Managementkonsole 190 in
Block 325 empfangene OTP mit dem von der Active-Management-Einheit 153 empfangenen
OTP vergleichen.
-
In
Block 380 kann der Bereitstellungsserver 180 eine
sichere Verbindung mit der Clientvorrichtung 105 herstellen.
In einer Ausführungsform
kann der Bereitstellungsserver 180 TLS oder TLS-PSK (Pre-Shared
Key) verwenden, um eine sichere Verbindung mit der Clientvorrichtung 105 herzustellen.
-
In
Block 385 kann sich der Bereitstellungsserver 180 unter
Verwendung von werkseitigen Standardwerten, wie beispielsweise dem
Benutzernamen und Passwort des HTTP-Digest-Netzwerkadministrators, an der Clientvorrichtung 105 anmelden.
-
In
Block 390 kann der Bereitstellungsserver 180 Konfigurationsdaten,
wie beispielsweise das PID/PPS-Zertifikat, private Schlüssel, aktuelles
Datum und aktuelle Uhrzeit, HTTP-Digest-Berechtigungsnachweise und HTTP-verhandelbare
Berechtigungsnachweise, bereitstellen. In Block 395 kann sich
die Clientvorrichtung 105 zurücksetzen und den normalen Betrieb
starten.
-
In
einer Ausführungsform
kann die Active-Management-Einheit 153 außerdem die
sichere DNS-Suffix-Option zum Bereitstellen von AMT auf der Clientvorrichtung 105 verwenden.
Während
der Verwendung der sicheren DNS-Option kann die AMU 153 den
FQDN des Bereitstellungsservers 180 verwenden, der dem
Endbenutzer im Rahmen des Kaufvertrags von dem OEM bereitgestellt
wird. In einer Ausführungsform
kann der FQDN von dem OEM während
der kundenspezifischen Herstellung in dem NVRAM 157 gespeichert
werden. Ein derartiger Ansatz kann eine sichere Bereitstellung von
AMT bieten, indem vermieden wird, dass die AMU 153 das DNS-Suffix
von dem DHCP-Server 165 erlangt, wie oben in Block 350 angegeben.
-
Eine
Ausführungsform
der Bereitstellung von AMT auf einer Clientvorrichtung 105 im
IT-Vorbereitungsbereich
unter Verwendung der sicheren DNS-Option ist in dem Ablaufdiagramm
von 4 veranschaulicht. In einer Ausführungsform
kann die sichere DNS-Option einen ersten im IT-Vorbereitungsbereich
durchgeführten
Abschnitt und einen zweiten im Endbenutzerbereich durchgeführten Abschnitt
umfassen.
-
In
Block 410 kann der Techniker im IT-Vorbereitungsbereich
die Clientvorrichtung 105 durch Koppeln der Clientvorrichtung 105 an
eine Stromquelle einschalten.
-
In
Block 420 kann der Techniker den AMT-BIOS-Konfigurationsbildschirm öffnen. In
einer Ausführungsform
kann der Techniker die Funktionstasten verwenden, um den AMT-BIOS-Konfigurationsbildschirm
zu öffnen.
-
In
Block 430 kann sich der Techniker unter Verwendung der
werkseitigen Standardeinstellungen, wie beispielsweise dem Administrator-Benutzernamen
und -Passwort, in der AMT-Umgebung anmelden.
-
In
Block 440 kann der Techniker das BIOS-Passwort ändern. In
Block 450 kann der Techniker einen Einrichtungswert, wie
beispielweise den FQDN des Bereitstellungsservers 180,
bereitstellen. In einer Ausführungsform
kann der FQDN von dem OEM bereitgestellt sein.
-
In
Block 470 kann der Techniker optionale Parameter bereitstellen.
In einer Ausführungsform kann
der Techniker optional die AMT im „Sende"-Modus aktivieren, um Bare-Metal-Bereitstellung zu
unterstützen.
In einer Ausführungsform
kann der Techniker das von dem Bereitstellungsserver 180 bereitgestellte
Einmalpasswort (OTP) eingeben. In einer Ausführungsform kann der Techniker
außerdem
auf der Grundlage der IT-Richtlinien des Unternehmens die Liste
vertrauenswürdiger
Zertifikat-Hashes modifizieren.
-
In
Block 490 kann der Techniker die Clientvorrichtung 105 ausschalten
und die Clientvorrichtung 105 an den Endbenutzer übergeben.
In einer Ausführungsform
kann der Techniker den Prozess des Bereitstellens der Einrichtungsparameter
unter Verwendung eines Universal-Serial-Bus-Sticks (USB-Sticks)
automatisieren. In einer anderen Ausführungsform können die
Einrichtungsparameter in der Fertigungsstätte des OEM in eine AMT-Flash-Vorrichtung, wie
beispielsweise das NVRAM 157 und das BIOS 158,
programmiert werden.
-
Eine
Ausführungsform
des Bereitstellens von AMT im Endbenutzerbereich unter Verwendung der
sicheren DNS-Option ist in dem Ablaufdiagramm von 5 veranschaulicht.
Nachdem der erste Abschnitt im IT-Vorbereitungsbereich vollendet
ist, kann die Clientvorrichtung 105 dem Endbenutzer zur
Verfügung
gestellt werden. In einer Ausführungsform können die
Blöcke 505 bis 580 im
Endbenutzerbereich ausgeführt
werden.
-
In
Block 505 kann die Managementkonsole 190 prüfen, ob
sich die von der Clientvorrichtung 105 unterstützte AMT
im Sende-Modus befindet, und die Steuerung geht über zu Block 510,
wenn sich die Clientvorrichtung nicht im Sende-Modus befindet, und andernfalls
zu Block 545. In einer Ausführungsform ist der Sende-/Empfangsmodus
als ein interner Zustand in der Clientvorrichtung 105 eingestellt.
-
In
Block 510 kann die Managementkonsole 190 die Clientvorrichtung 105 kontaktieren,
um das Vorhandensein von Active-Management-Technologie (AMT) zu
erkennen. In einer Ausführungsform kann
die Managementkonsole 190 eine Aktualisierungsanforderung
senden.
-
In
Block 515 kann der Management-Agent 125 ermitteln,
ob die Clientvorrichtung 105 AMT umfasst. In einer Ausführungsform
kann der Management-Agent 125 den Treiber 135 auslösen, der
mit dem Chipsatz 155 eine Schnittstelle bilden kann, um zu
ermitteln, ob der Chipsatz 155 AMT-fähig ist. In einer Ausführungsform
kann der Treiber 135 ein Abfragepaket an den Chipsatz 155 senden
und ein Antwortpaket erhalten, das ein Statusbit umfasst, welches
das Vorhandensein von AMT anzeigen kann. Wenn die Clientvorrichtung 105 AMT
umfasst, geht die Steuerung über
zu Block 525, und andernfalls endet der Bereitstellungsansatz.
-
In
Block 525 kann der Management-Agent 125 AMT-Werte
aus der Active-Management-Einheit 153 abrufen.
In einer Ausführungsform
kann der Management-Agent 125 den Treiber 135 auslösen, um die
AMT-Werte aus der Active-Management-Einheit 153 zu erfassen.
In einer Ausführungsform
kann der Treiber 135 ein Signal „AMT-Werte Erfassen" an die AMU 153 senden.
In einer Ausführungsform
kann die AMU 153 AMT-Werte aus dem NVRAM 157 und
dem BIOS 158 in Reaktion auf das Empfangen des Signals „AMT-Werte
Erfassen" von dem
Treiber 135 abrufen. In einer Ausführungsform können die AMT-Werte
Werte umfassen, die Konfigurationsmodus, Konfigurationszustand,
AMT-Version und weitere ähnliche
Werte darstellen. In einer Ausführungsform
kann der Management-Agent 125 einen universell eindeutigen
Identifikator (UUID), AMT-Version und weitere ähnliche Werte empfangen. In
einer Ausführungsform
kann der UUID die Clientvorrichtung 105 unabhängig von
dem Installationsstatus des Betriebssystems 120 eindeutig
identifizieren.
-
In
Block 530 kann der Management-Agent 125 die AMT-Werte
an die Managementkonsole 190 senden. In einer Ausführungsform
können
die an die Managementkonsole 190 gesendeten AMT-Werte an den
Bereitstellungsserver 180 weitergeleitet werden.
-
In
Block 535 kann der Management-Agent 125 die Active-Managment-Einheit 153 dazu
freigeben, die Netzwerkschnittstelle zum Empfangen einer Einrichtungsmeldung
zu öffnen.
In einer Ausführungsform
kann der Management-Agent 125 ein Kommando, wie beispielsweise
AMTEnableNetworkSetupListen(), senden, um die AMU 153 dazu
freizugeben, die Netzwerkschnittstelle oder einen Port zu öffnen und
die Einrichtungsmeldung, wie beispielsweise die Transport-Layer-Security-(TLS-)Einrichtungsmeldung,
an der Netzwerkschnittstelle zu empfangen.
-
In
Block 540 kann die Active-Management-Einheit 153 die
DHCP-Meldungen passiv abhören
(en: snoop), um das DNS-Suffix des Netzwerks 160 zu erlangen,
an das die Clientvorrichtung 105 gekoppelt ist. In einer
Ausführungsform
kann das von der Clientvorrichtung 105 unterstützte Host-Betriebssystem
mit dem DHCP-Server 170 aktiv kommunizieren, und die AMU 153 kann
die DHCP-Meldungen passiv abhören,
um DHCP-Informationen
in Erfahrung zu bringen. In einer Ausführungsform kann das DHCP-Abhören (Snooping)
feindliche DHCP-Server verhindern, Beseitigung der DHCP-Broadcast-Anforderungs-Sichtbarkeit
und Schutz gegen DHCP-Server-Adressen-Erschöpfungsangriffe bereitstellen.
-
In
Block 545 kann die Active-Management-Einheit 153 die
IP-Adresse der Clientvorrichtung 105 ermitteln. In einer
Ausführungsform
kann die Active-Management-Einheit 153 eine Anforderung
an den DHCP-Server 165 senden und die IP-Adresse von dem
DHCP-Server 165 empfangen. In einer Ausführungsform
wird der Block 545 erreicht, wenn die Active-Management-Einheit 153 im
Sende-Modus eingerichtet ist. In einer Ausführungsform kann der Bare-Metal-Bereitstellungsansatz
angewendet werden, wenn die Active-Management-Einheit 153 im Sende-Modus
eingestellt ist.
-
In
Block 550 kann die Active-Management-Einheit 153 den
Bereitstellungsserver 180 durch Abfragen des DNS-Servers 170 unter
Verwendung des in Block 450 bereitgestellten FQDN des Bereitstellungsservers 180 lokalisieren.
-
In
Block 555 kann die Active-Management-Einheit 153 eine
Verbindungsmöglichkeit
mit dem Bereitstellungsserver 180 erzeugen. In einer Ausführungsform
kann die Active-Management-Einheit 153 eine
TCP-Verbindung mit dem Bereitstellungsserver 180 herstellen
und ein Hello-Paket an den Bereitstellungsserver 180 senden,
das die IP-Adresse der Clientvorrichtung 105, PID-Wert, UUID,
ROM- und Firmware-Versionsnummern und weitere ähnliche Werte umfasst.
-
In
Block 560 kann der Bereitstellungsserver 180 eine
gegenseitig authentifizierte Sitzung mit der Active-Management-Einheit 153 der
Clientvorrichtung 105 öffnen.
In einer Ausführungsform
kann der Bereitstellungsserver 180 eine gegenseitig authentifizierte
Transport-Layer-Security-(TLS-)Sitzung mit der Active-Management-Einheit 153 öffnen.
-
In
Block 565 kann der Bereitstellungsserver 180 eine
gegenseitig authentifizierte Verbindung mit der Active-Management-Einheit 153 herstellen.
In einer Ausführungsform
kann die gegenseitig authentifizierte Verbindung unter Verwendung
des TLS-Handshake-Protokolls hergestellt werden. Als Teil des TLS-Handshake-Protokolls
kann die Active-Management-Einheit 153 in
einer Ausführungsform
das selbst unterzeichnete Zertifikat an den Bereitstellungsserver 180 senden
und eine Zertifikatkette erhalten, welche das Root-of-Trust-Zertifikat von dem
Bereitstellungsserver 180 einschließt.
-
In
einer Ausführungsform
kann die Active-Management-Einheit 153 den Hash des Root-of-Trust-Zertifikats
berechnen und die Zertifikatkette durch Abgleichen des Hash-Werts
mit der in dem NVRAM 157 gespeicherten Liste von Hash-Werten
validieren. In einer Ausführungsform kann
die Active-Management-Einheit 153 das DNS-Suffix durch
Abgleichen des DNS-Suffixes in dem FQDN des Bereitstellungsservers 180 mit
dem von dem DHCP-Server erlangten DNS-Suffix validieren. In einer
Ausführungsform
kann die Active-Management-Einheit 153 außerdem die
Zertifikatverwendung validieren, um zu verifizieren, ob die Zertifikatkette
zur Bereitstellung von AMT bestimmt war. In einer Ausführungsform
kann die Active-Management-Einheit 153 außerdem die
Bereitstellungsserver-Authentifizierung
prüfen.
Sind die vorangehenden Validierungen erfolgreich, kann die Active-Management-Einheit 153 dem
Bereitstellungsserver 180 vertrauen. Ein derartiger Ansatz
kann die Wahrscheinlichkeit verringern, dass sich ein feindlicher Bereitstellungsserver
als der Bereitstellungsserver 180 authentifiziert.
-
In
Block 568 kann die Active-Management-Einheit 153 die
Informationen des Bereitstellungsservers 180 überprüfen. In
einer Ausführungsform
kann die AMT-Firmware ein Überprüfungsprotokoll
des letzten Bereitstellungsversuchs führen. In einer Ausführungsform
kann die Active-Management-Einheit 153 die Überprüfungsinformationen
in das NVRAM 157 schreiben.
-
In
Block 570 kann der Bereitstellungsserver 180 die
Datenbank durchsuchen, um zu prüfen,
ob das OTP für
die Clientvorrichtung 105 gesetzt ist. In einer Ausführungsform
kann der Bereitstellungsserver 180 das OTP gemäß den Unternehmensrichtlinien
setzen.
-
In
Block 575 kann der Bereitstellungsserver 180 von
der Active-Management-Einheit 153 das Senden des für die Clientvorrichtung 105 in
Block 470 bereitgestellten OTP anfordern. In Block 580 kann
der Bereitstellungsserver 180 das von der Active-Management-Einheit 153 empfangene
OTP validieren. In einer Ausführungsform
kann der Bereitstellungsserver 180 das aus der Datenbank
abgerufene OTP mit dem von der Active-Management-Einheit 153 empfangenen
OTP vergleichen.
-
In
Block 590 kann der Bereitstellungsserver 180 eine
sichere Verbindung mit der Clientvorrichtung 105 herstellen.
In einer Ausführungsform
kann der Bereitstellungsserver 180 TLS oder TLS-PSK (Pre-Shared
Key) verwenden, um eine sichere Verbindung mit der Clientvorrichtung 105 herzustellen.
-
Eine
Ausführungsform
des Bereitstellens von AMT auf der Clientvorrichtung 105 im
IT-Vorbereitungsbereich
unter Verwendung der PID/PPS-Option ist in dem Ablaufdiagramm von 6 veranschaulicht.
-
In
Block 610 kann der Techniker den Bereitstellungsserver 180 auffordern,
Einrichtungswerte, wie beispielsweise das PID/PPS-Paar, zu generieren.
In einer Ausführungsform
kann der Bereitstellungsserver 180 einen zweiten Einrichtungswert
generieren, wie beispielsweise einen Bereitstellungsidentifikator
(PID), der ein öffentlicher
Teil des Pre-Shared Key sein kann, sowie einen dritten Einrichtungswert,
wie beispielsweise die Bereitstellungspassphrase (PPS), ein privater
Teil des Pre-Shared Key.
-
In
Block 620 kann der Techniker im IT-Vorbereitungsbereich
die Clientvorrichtung 105 einschalten. In Block 630 kann
der Techniker den AMT-BIOS-Konfigurationsbildschirm öffnen. In
einer Ausführungsform
kann der Techniker die Funktionstasten verwenden, um den AMT-BIOS-Konfigurationsbildschirm
zu öffnen.
-
In
Block 640 kann sich der Techniker unter Verwendung der
werkseitigen Standardeinstellungen, wie beispielsweise dem Administrator-Benutzernamen
und -Passwort, in der AMT-Umgebung anmelden.
-
In
Block 650 kann der Techniker das BIOS-Passwort ändern. In
Block 660 kann der Techniker den zweiten und dritten Einrichtungswert,
wie beispielsweise das PID/PPS-Paar, in das BIOS eingeben. In einer
Ausführungsform
kann der Techniker das von dem Bereitstellungsserver 180 in
Block 610 generierte PID/PPS-Paar eingeben.
-
In
Block 670 kann der Techniker außerdem einen ersten Einrichtungswert,
wie beispielweise den FQDN oder die IP-Adresse des Bereitstellungsservers 180,
eingeben. In einer Ausführungsform
kann der FQDN oder die IP-Adresse in dem NVRAM 157 gespeichert
sein. In einer Ausführungsform
kann der FQDN von dem OEM bereitgestellt sein.
-
In
Block 680 kann der Techniker optionale Einrichtungsparameter
bereitstellen. In einer Ausführungsform
kann der Techniker optional die AMT im „Sende"-Modus aktivieren, um Bare-Metal-Bereitstellung
zu unterstützen.
In einer Ausführungsform
kann der Techniker das von dem Bereitstellungsserver 180 bereitgestellte
Einmalpasswort (OTP) eingeben. In einer Ausführungsform kann der Techniker
außerdem
auf der Grundlage der IT-Richtlinien des Unternehmens die Liste
vertrauenswürdiger
Zertifikat-Hashes modifizieren.
-
In
Block 690 kann der Techniker die Clientvorrichtung 105 ausschalten
und die Clientvorrichtung 105 an den Endbenutzer übergeben.
In einer weiteren Ausführungsform
kann der Techniker den Prozess des Bereitstellens der Einrichtungsparameter
für die
Active-Management-Einheit 153 unter
Verwendung eines Universal-Serial-Bus-Sticks (USB-Sticks) automatisieren.
In anderen Ausführungsformen
können
die Einrichtungsparameter in der Fertigungsstätte des OEM in eine AMT-Flash-Vorrichtung,
wie beispielsweise das NVRAM 157 und das BIOS 158,
programmiert werden.
-
Eine
Ausführungsform
des Bereitstellens von AMT im Endbenutzerbereich unter Verwendung der
PID/PPS-Option ist in dem Ablaufdiagramm von 7 veranschaulicht.
-
In
Block 705 kann die Managementkonsole 190 prüfen, ob
sich die von der Clientvorrichtung 105 unterstützte AMT
im Sende-Modus befindet, und die Steuerung geht über zu Block 710,
wenn sich die Clientvorrichtung 105 nicht im Sende-Modus
befindet, und andernfalls zu Block 750.
-
In
Block 710 kann die Managementkonsole 190 die Clientvorrichtung 105 kontaktieren,
um das Vorhandensein von Active-Management-Technologie (AMT) zu
erkennen. In einer Ausführungsform kann
die Managementkonsole 190 eine Aktualisierungsanforderung
senden.
-
In
Block 715 kann der Management-Agent 125 ermitteln,
ob die Clientvorrichtung 105 AMT umfasst. In einer Ausführungsform
kann der Management-Agent 125 den Treiber auslösen, der
mit dem Chipsatz 155 eine Schnittstelle herstellen kann,
um zu ermitteln, ob der Chipsatz 155 AMT-fähig ist.
In einer Ausführungsform
kann der Treiber 135 ein Abfragepaket an den Chipsatz 155 senden
und ein Antwortpaket erhalten, das ein Statusbit umfasst, dessen
Status das Vorhandensein von AMT anzeigen kann. Wenn die Clientvorrichtung 105 AMT
umfasst, geht die Steuerung über
zu Block 725, und andernfalls endet der Bereitstellungsansatz.
-
In
Block 725 kann der Management-Agent 125 AMT-Werte
aus der Active-Management-Einheit 153 abrufen.
In einer Ausführungsform
kann der Management-Agent 125 den Treiber 135 auslösen, der Abfragen
an die Active-Management-Einheit 153 senden kann, welche
AMT-Informationen aus dem NVRAM 157 und dem BIOS 158 abrufen
kann. In einer Ausführungsform
können
die AMT-Werte Konfigurationsmodus, Konfigurationszustand, AMT-Version
und weitere ähnliche
Werte umfassen. In einer Ausführungsform
kann der Management-Agent 125 einen universell eindeutigen
Identifikator (UUID), AMT-Version und weitere ähnliche Werte empfangen. In
einer Ausführungsform
kann der UUID die Clientvorrichtung 105 unabhängig von
dem Installationsstatus des Betriebssystems 120 eindeutig
identifizieren.
-
In
Block 730 kann der Management-Agent 125 die AMT-Werte
an die Managementkonsole 190 senden. In einer Ausführungsform
kann die Managementkonsole 190 die AMT-Werte an den Bereitstellungsserver 180 weiterleiten.
-
In
Block 735 kann der Management-Agent 125 die Active-Managment-Einheit 153 dazu
freigeben, die Netzwerkschnittstelle zum Empfangen einer Einrichtungsmeldung
zu öffnen.
In einer Ausführungsform
kann der Management-Agent 125 ein Kommando, wie beispielsweise
AMTEnableNetworkSetupListen(), senden, um die AMT in die Lage zu versetzen,
ihre Netzwerkschnittstelle zu öffnen
und die Einrichtungsmeldung zu empfangen. In einer Ausführungsform
kann die Einrichtungsmeldung eine Transport-Layer-Security-(TLS-)Einrichtungsmeldung
an der Netzwerkschnittstelle umfassen.
-
In
Block 750 kann die Active-Management-Einheit 153 die
IP-Adresse der Clientvorrichtung 105 ermitteln. In einer
Ausführungsform
kann die Active-Management-Einheit 153 eine Abfrage an den
DHCP-Server 165 senden und die IP-Adresse aus der von dem
DHCP-Server 165 erhaltenen Antwort abrufen.
-
In
einer Ausführungsform
wird der Block 750 erreicht, wenn die Active-Management-Einheit 153 im
Sende-Modus konfiguriert ist. In einer Ausführungsform kann der Bare-Metal-Bereitstellungsansatz
angewendet werden, wenn das Active Management 153 im Sende-Modus eingestellt
ist.
-
In
Block 755 kann die Active-Management-Einheit 153 den
Bereitstellungsserver 180 durch Abfragen des DNS-Servers 170 unter
Verwendung des in Block 670 bereitgestellten FQDN des Bereitstellungsservers 180 lokalisieren.
-
In
Block 760 kann die Active-Management-Einheit 153 eine
Verbindungsmöglichkeit
mit dem Bereitstellungsserver 180 erzeugen. In einer Ausführungsform
kann die Active-Management-Einheit 153 eine
TCP-Verbindung mit dem Bereitstellungsserver 180 herstellen
und ein Hello-Paket an den Bereitstellungsserver 180 senden,
das die IP-Adresse der Clientvorrichtung 105, PID, UUID, ROM-
und Firmware-Versionsnummern und weitere ähnliche Werte umfasst.
-
In
Block 765 kann der Bereitstellungsserver 180 nach
einem Pre-Master-Secret suchen. In einer Ausführungsform kann das Pre-Master-Secret
dazu verwendet werden, einen Master-Schlüssel
sowie Sitzungsschlüssel
zu generieren.
-
In
Block 770 kann der Bereitstellungsserver 180 eine
Transport-Layer-Security-(TLS-)Pre-Shared-Key-(PSK-)TLS-PSK-Sitzung mit
der Active-Management-Einheit 153 der Clientvorrichtung 105 öffnen. In
einer Ausführungsform kann
der Pre-Shared-Key einen öffentlichen
Teil und einen privaten Teil umfassen. In einer Ausführungsform
kann der öffentliche
Teil einen Bereitstellungsidentifikator (PID) des Pre-Shared-Key
umfassen, und der private Teil kann eine Bereitstellungspassphrase
(PPS) des Pre-Shared-Key umfassen.
-
Unter
Bezugnahme auf beispielhafte Ausführungsformen wurden bestimmte
Merkmale der Erfindung beschrieben. Die Beschreibung soll jedoch nicht
als Einschränkung
ausgelegt werden. Verschiedene Modifikationen der beispielhaften
Ausführungsformen
sowie andere Ausführungsformen
der Erfindung, die für
den Fachmann, den die Erfindung betrifft, ersichtlich sind, gelten
als im Sinne und Schutzbereich der Erfindung.