-
HINTERGRUND
-
Informations-Handhabungs-Geräte kommen in einer Vielfalt von Formen vor, einschließlich beispielsweise Laptop-Computer, Slate-/Tablet-Computer, Smartphones und ähnliche. Tablet-Computer und Laptop-Computer unterscheiden sich auf vielen Ebenen. Tablet- oder Slate-Computer sind im Allgemeinen kleiner und leichter als Laptop-Computer und bestehen oftmals lediglich aus einer einzigen Komponente. Tablet-Computer integrieren das Display in den typischerweise unteren Basisbereich eines Laptop-/Klapp-Computers, besitzen üblicherweise keine physikalische Tastatur und verwenden oftmals einen Touchscreen als ein Eingabegerät.
-
Zusätzlich zu strukturellen Unterschieden unterscheiden sich Tablet- und Laptop-Computer ebenfalls mit Bezug auf ihre internen Software- und Hardware-Konfigurationen. Der typische Laptop-Computer-Formfaktor (laptop computer form factor) beherbergt eine Win-Tel-Plattform, die einen Intel x86 kompatiblen Prozessor beinhaltet und geeignet ist, ein Microsoft WINDOWS Betriebssystem auszuführen, wie beispielsweise ein WINDOWS 7 Betriebssystem, Im Vergleich dazu beinhalten Tablet-Computer eine Leichtgewichtplattform (light weight platform) und sind typischerweise auf Prozessoren geringerer Leistung und speziell für kleinere Geräte designte Leichtgewicht-Betriebssysteme (lighter weight operating systems) ausführbar. Auf die Leichtgewicht-Betriebssysteme wird oftmals als mobile Betriebssysteme Bezug genommen und sie sind optimiert für Berührung und den Konsum von Inhalten statt einem Ausführen von großen Applikationen wie der Vollversion der Microsoft WORD Dokumentverarbeitungs-Applikation. Ein weitverbreitetes Beispiel eines mobilen Betriebssystems ist das ANDROID Betriebssystem, welches als das Betriebssystem für mobile Geräte wie Smartphones, Netbooks und Tablet-Computer verwendet wurde. Eine bedeutende Prozessorfamilie für diese kleineren mobilen Geräte wie beispielsweise einen Tablet-Computer ist die ARM Serie von Prozessoren, wie die SNAPDRAGON BY QUALCOMM CPU. WINDOWS 7 ist eine eingetragene Marke der Microsoft Corporation in den Vereinigten Staaten und/oder anderen Ländern. ANDROID ist eine eingetragene Marke von Google Incorporated in den Vereinigten Staaten und/oder anderen Ländern. SNAPDRAGON BY QUALCOMM ist eine eingetragene Marke von Qualcomm Incorporated in den Vereinigten Staaten und/oder anderen Ländern.
-
KURZE ZUSAMMENFASSUNG
-
Zusammenfassend stellt ein Aspekt ein Informations-Handhabungs-Gerät bereit, aufweisend: einen oder mehrere Prozessoren; und einen oder Speicher, die Programminstruktionen speichern, die dem einen oder den mehreren Prozessoren zugänglich sind; wobei der eine oder die mehreren Prozessoren in Antwort auf die Ausführung von in dem einen oder den mehreren Speichern gespeicherten Programminstruktionen ausgebildet sind zum: Ermitteln einer Fortsetz-Anforderung (resume request) zum Fortsetzen in einer sekundären Betriebsumgebung (secondary operating environment); und vor dem Fortsetzen des Informations-Handhabungs-Geräts in der sekundären Betriebsumgebung, Initiieren einer Sicherheits-Applikation einer primären Betriebsumgebung (primary operating environment security application).
-
US 2007/022 421 A1 beschreibt ein Verfahren zum gleichzeitigen Ausführen mehrerer verschiedener Betriebssysteme auf demselben Computer.
US 2004/177 243 A1 beschreibt Methoden und Techniken zum Implementieren einer benutzerdefinierten Ausführungsumgebung und eines zugehörigen Laders.
WO 2004/090 722 A1 beschreibt ein Datenisolationssystem für Software- und Datenwartung, -sicherung und -wiederherstellung für einen Computer.
US 2012/315 993 A1 beschreibt Verfahren zum Bereitstellen eines computerimplementierten Spiels.
-
Ein weiterer Aspekt stellt ein Verfahren bereit, aufweisend: Ermitteln einer Fortsetz-Anforderung zum Fortsetzen eines Informations-Handhabungs-Geräts in einer sekundären Betriebsumgebung; und vor dem Fortsetzen des Informations-Handhabungs-Geräts in der sekundären Betriebsumgebung, Initiieren einer Sicherheits-Applikation einer primären Betriebsumgebung.
-
Ein weiterer Aspekt stellt ein Computerprogrammprodukt bereit, aufweisend: ein Speichergerät mit darauf ausgebildetem computerlesbaren Programmcode, wobei der computerlesbare Programmcode aufweist: Programmcode ausgebildet zum Ermitteln einer Fortsetz-Anforderung zum Fortsetzen eines Informations-Handhabungs-Geräts in einer sekundären Betriebsumgebung; und Programmcode ausgebildet zum Initiieren einer Sicherheits-Applikation einer primären Betriebsumgebung vor dem Fortsetzen des Informations-Handhabungs-Geräts in der sekundären Betriebsumgebung.
-
Das Vorangehende ist eine Zusammenfassung und kann daher Vereinfachungen, Verallgemeinerungen und Weglassungen von Details beinhalten; somit werden Fachleute in dem Gebiet erkennen, dass die Zusammenfassung lediglich veranschaulichend ist und nicht dazu gedacht ist, in irgend einer Weise beschränkend zu sein.
-
Für ein besseres Verständnis der Ausführungsformen, zusammen mit anderen und weiteren Merkmalen und Vorteilen davon, wird auf die folgende Beschreibung in Verbindung mit den beigefügten Figuren Bezug genommen. Der Anwendungsbereich der Erfindung wird in den angehängten Ansprüchen dargestellt.
-
Figurenliste
-
- 1 zeigt eine beispielhafte Schaltung eines Informations-Handhabungs-Geräts.
- 2 zeigt eine beispielhafte Schaltung eines Informations-Handhabungs-Geräts.
- 3 zeigt eine beispielhafte Umgebung eines Hybrid-Informations-Handhabungs-Geräts.
- 4 zeigt ein Beispiel eines Handhabens von Sicherheits-Berechtigungsnachweisen (security credentials) in einer Hybridumgebung.
- 5 zeigt ein beispielhaftes Zustandsdiagramm zum Handhaben von Sicherheits-Berechtigungsnachweisen in einer Hybridumgebung.
-
DETAILLIERTE BESCHREIBUNG
-
Es wird ohne weiteres verstanden, dass die Komponenten der Ausführungsformen, wie sie im Allgemeinen hierin beschrieben und in den Figuren gezeigt werden, in einer weiten Vielfalt unterschiedlicher Konfigurationen zusätzlich zu den beschriebenen beispielhaften Ausführungsformen angeordnet und ausgebildet sein können. Daher ist die folgende detailliertere Beschreibung der beispielhaften Ausführungsformen, wie sie in den Figuren dargestellt sind, nicht dazu bestimmt, den Anwendungsbereich der Ausführungsformen, wie er beansprucht wird, zu beschränken, sondern ist lediglich repräsentativ für beispielhafte Ausführungsformen.
-
Bezugnahme innerhalb dieser Beschreibung auf „eine Ausführungsform“ (one embodiment) oder „eine Ausführungsform“ (an embodiment) (oder ähnliches) bedeutet, dass ein spezielles Merkmal, eine spezielle Struktur oder eine spezielle Charakteristik, die in Verbindung mit der Ausführungsform beschrieben ist, in zumindest einer Ausführungsform beinhaltet ist. Daher muss das Auftreten der Begriffe „in einer Ausführungsform“ (in one embodiment) oder „in einer Ausführungsform“ (in an embodiment) oder ähnlichem an mehreren Stellen innerhalb dieser Beschreibung sich nicht sämtlich auf die gleiche Ausführungsform beziehen.
-
Weiterhin können die beschriebenen Merkmale, Strukturen und Charakteristiken in jeder geeigneten Art in einer oder mehreren Ausführungsformen kombiniert werden. In der folgenden Beschreibung werden zahlreiche spezifische Details bereitgestellt, um ein gründliches Verständnis der Ausführungsformen bereitzustellen. Ein Fachmann in dem relevanten Gebiet wird jedoch erkennen, dass die mehreren Ausführungsformen ohne eines oder mehrerer der spezifischen Details oder mit anderen Verfahren, Komponenten, Materialien etc. ausgeführt werden können. An anderen Stellen werden bekannte Strukturen, Materialien oder Arbeitsabläufe nicht gezeigt oder detailliert beschrieben, um Verwirrung zu vermeiden. Die folgende Beschreibung ist lediglich als beispielhaft beabsichtigt und zeigt lediglich bestimmte beispielhafte Ausführungsformen.
-
Tablet- und Laptop-Computer besitzen jeweils ihr eigenes Set an Vorteilen. Vorteile von Tablet-Computern beinhalten Mobilität, Größe, Gewicht und verbesserten Nutzungskomfort für bestimmte Funktionen wie Bildbearbeitung. Während primäre Gründe zum Vorziehen von Laptop-Computern eine erhöhte Prozessorleistung und Batterielaufzeit, eine größere Auswahl an Betriebssystemen und Applikationen und das Vorhandensein der Standard-/physikalischen Tastatur und von Berührungs-Eingabegeräten sind. Somit wäre es vorteilhaft, einen Formfaktor bereitzustellen, der die Funktionalität und Merkmale sowohl eines Laptop-Computers als auch eines Tablet-Computers in einem einzigen Informations-Handhabungs-Gerät beinhaltet.
-
Ausführungsformen stellen ein hybrides Informations-Handhabungs-Gerät bereit, das eine primäre Umgebung (PE, primary environment) (beispielsweise eine Win-Tel-Plattform) und eine sekundäre Umgebung (SE, secondary environment) (beispielsweise eine Leichtgeweicht-/ANDROID-Plattform) in einer einzigen Einheit aufweist. Das Hybridgerät beinhaltet verschiedene Merkmale, wie hierin weiter beschrieben. Unter anderem stellt eine Ausführungsform eine effiziente Handhabung von Sicherheits-Berechtigungsnachweisen (security credential handling) für ein Schalten zwischen Betriebsumgebungen bereit, wobei eine Fähigkeit erhalten wird, das Informations-Handhabungs-Gerät korrekt zu schützen.
-
Die gezeigten beispielhaften Ausführungsformen werden am besten mit Bezug auf die Figuren verstanden werden. Die folgende Beschreibung ist lediglich als beispielhaft beabsichtigt und zeigt lediglich bestimmte beispielhafte Ausführungsformen.
-
Während zahlreiche andere Beschaltungen, Schaltungen oder Komponenten verwendet werden können, zeigt 1 ein Blockdiagramm eines Beispiels von Win-Tel-artigen Informations-Handhabungs-Gerät-Beschaltungen, -Schaltungen oder -Komponenten. Das in 1 gezeigte Beispiel kann Computersystemen wie der THINKPAD Serie von Personalcomputern, die von Lenovo (US) Inc. of Morrisville, NC verkauft werden, oder anderen Geräten entsprechen. Wie aus der Beschreibung hierin erkenntlich wird, können Ausführungsformen andere Merkmale oder lediglich einige der Merkmale des in 1 gezeigten Beispiels beinhalten.
-
Das Beispiel von 1 beinhaltet ein so genanntes Chipset 110 (eine Gruppe von integrierten Schaltkreisen oder Chips, welche zusammenarbeiten, Chipsets) mit einer Architektur, die abhängig von dem Hersteller (beispielsweise INTEL, AMD, ARM, et cetera) variieren kann. Die Architektur des Chipsets 110 beinhaltet eine Kern- und Speicher-Steuergruppe 120 und einen I/O Controller-Hub 150, der Informationen (beispielsweise Daten, Signale, Befehle et cetera) über ein Direct Management Interface (DMI) 142 oder einen Link-Controller 144 austauscht. In 1 ist das DMI 142 ein Chip-zu-Chip-Interface (auf welches manchmal Bezug genommen wird, ein Link zwischen einer „Northbridge“ und einer „Southbridge“ zu sein). Die Kern- und Speicher-Steuergruppe 120 beinhaltet einen oder mehrere Prozessoren 122 (beispielsweise Einzel- oder Mehrkern) und einen Speicher-Controller-Hub 126, welche Informationen über einen Front Side Bus (FSB) 124 austauschen; es wird angemerkt, dass Komponenten der Gruppe 120 in einen Chip integriert sein können, der die konventionelle Architektur vom Typ „Northbridge“ ersetzt.
-
In 1 koppelt der Speicher-Controller-Hub 126 mit Speicher 140 (beispielsweise, um eine Unterstützung für eine Art von RAM bereitzustellen, auf welchen als „Systemspeicher“ oder „Speicher“ Bezug genommen werden kann). Der Speicher-Controller-Hub 126 beinhaltet weiterhin ein LVDS Interface 132 für ein Anzeigegerät 192 (beispielsweise ein CRT, ein Flachbildschirm, ein Projektor et cetera). Ein Block 138 beinhaltet einige Technologien, die mittels des LVDS Interface 132 unterstützt werden können (beispielsweise serielles digitales Video, HDMI/DVI, Anzeigeport). Der Speicher-Controller-Hub 126 beinhaltet zudem ein PCI-express Interface (PCI-E) 134, das diskrete Graphiken 136 unterstützen kann.
-
In 1 beinhaltet der I/O-Hub-Controller 150 ein SATA Interface 151 (beispielsweise für HDDs, SDDs, 180 etc.), ein PCI-E Interface 152 (beispielsweise für drahtlose Verbindungen 182), ein USB Interface 153 (beispielsweise für Geräte 184 wie Digitalisierer, Tastatur, Mäuse, Kameras, Telefone, Speicher, andere verbundene Geräte et cetera), ein Netzwerk Interface 154 (beispielsweise LAN), ein GPIO Interface 155, ein LPC Interface 170 (für ASICs 171, ein TPM 172, ein Super I/O 173, einen Firmware-Hub 174, BIOS Unterstützung 175 sowie mehrere Arten von Speicher 176 wie ROM 177, Flash 178 und NVRAM 179), ein Power-Management Interface 161, ein Taktgenerator Interface 162, ein Audio Interface 163 (beispielsweise für Lautsprecher 194), ein TCO Interface 164, ein Systemmanagement Bus Interface 165 und SPI Flash 166, welches BIOS 168 und Boot-Code 190 beinhalten kann. Der I/O-Hub-Controller 150 kann Gigabit Ethernet-Unterstützung beinhalten.
-
Das System kann nach Einschalten des Stroms konfiguriert sein, Boot-Code 190 für das BIOS 168, wie innerhalb des SPI Flash 166 gespeichert, auszuführen, und verarbeitet danach Daten unter der Steuerung eines oder mehrerer Betriebssysteme und Anwendungssoftware (beispielsweise gespeichert in Systemspeicher 140). Ein Betriebssystem kann in jeglichem einer Mehrzahl von Orten gespeichert sein und beispielsweise gemäß Instruktionen des BIOS 168 aufgerufen werden. Wie hierin beschrieben wird, kann ein Gerät weniger oder mehr Merkmale als in dem System von 1 gezeigt beinhalten.
-
Beispielsweise beinhaltet mit Bezug auf 2 ein Beispiel bezüglich einer Smartphone- und/oder Tablet-Schaltung 200 ein ARM-basiertes Systemdesign (System auf einem Chip, system on a chip) mit Software und Prozessor(en), welche in einem einzigen Chip 210 kombiniert sind. Interne Busse und ähnliches sind abhängig von unterschiedlichen Herstellern, jedoch können im Wesentlichen sämtliche peripheren Geräte (220) sich mit einem einzigen Chip 210 verbinden. Im Gegensatz zu der in 1 gezeigten Schaltung kombiniert die Tablet-Schaltung 200 den Prozessor, die Speicherkontrolle und den I/O Controller-Hub sämtlich in einem einzigen Chip 210. Zudem verwenden ARM-basierte Systeme 200 typischerweise kein SATA oder PCI oder LPC. Gebräuchliche Schnittstellen beinhalten beispielsweise SDIO und I2C. Power-Management-Chip(s) 230 verwalten die Leistung, welche beispielsweise mittels einer wiederaufladbaren Batterie 240 bereitgestellt wird, welche durch eine Verbindung zu einer Stromquelle (nicht gezeigt) wieder aufgeladen werden kann, und in zumindest einem Design wird ein einziger Chip, beispielsweise 210, verwendet, um BIOS-artige Funktionalitäten und DRAM Speicher bereitzustellen.
-
ARM-basierte Systeme 200 beinhalten typischerweise einen oder mehrere eines WWAN-Transceivers 250 und eines WLAN-Transceivers 260 zum Verbinden mit mehreren Netzwerken, wie beispielsweise Telekommunikations-Netzwerken und drahtlosen Basisstationen. Üblicherweise beinhaltet ein ARM-basiertes System 200 einen Touchscreen 270 zur Eingabe und Anzeige von Daten. ARM-basierte Systeme 200 beinhalten zudem typischerweise mehrere Speichergeräte, beispielsweise Flash-Speicher 280 und SDRAM 290.
-
Wie hierin beschrieben, kombinieren Ausführungsformen Komponenten von 1 und 2 in ein Hybridgerät. Während verschiedene Ausführungsformen eine Vielzahl von hybriden Formen annehmen können, zeigt 3 eine beispielhafte Hybridumgebung.
-
3 stellt eine Darstellung einer beispielhaften Ausführungsform eines hybriden Informations-Handhabungs-Geräts 300 („Gerät“) bereit. Das Gerät 300 besitzt zumindest zwei Umgebungen (environments) oder Zustände (states): eine primäre Umgebung (PE, primary environment) und eine sekundäre Umgebung (SE, secondary environment), welche durch zwei Plattformen 310 bzw. 320 unterstützt werden. Damit kann das Gerät 300 eine PE Plattform 310 ähnlich der in 1 beschriebenen und eine SE Plattform 320 wie die in 2 beschriebene beinhalten. Beispielsweise stellt eine Ausführungsform eine PE bereit, in welcher ein Nutzer eine WINDOWS Betriebsumgebung bzw. einen WINDOWS Betriebszustand erfährt, und eine SE, in welcher ein Nutzer eine ANDROID Betriebsumgebung bzw. einen ANDROID Betriebszustand erfährt. In einer PE kann das Gerät 300 damit gemäß einem WINDOWS Betriebssystem arbeiten. In einer SE kann das Gerät 300 gemäß einem ANDROID Betriebssystem arbeiten. Gemäß einer Ausführungsform kann ein Nutzer zwischen diesen zwei Zuständen schalten.
-
Das Gerät 300 kann eine Anzeigevorrichtung und Eingabeschnittstellen (input interfaces) (beispielsweise Tastatur, Maus, Berührungsinterface, et cetera) beinhalten. Schaltelektronik (Schalter in 3) gestatten es der Anzeigevorrichtung, dem Berührungsinterface, Kamera, Mikrofon und ähnlichen peripheren Geräten, entweder von der PE oder der SE Plattform 310 bzw. 320 benutzt zu werden, abhängig davon, welche die gegenwärtig von dem Nutzer gewählte Betriebsumgebung ist. Kommunikation zwischen PE Plattform 310 und der SE Plattform 320 kann auf unterschiedlichen Leveln stattfinden. Eine Kontrolle des Maschinenzustands (machine-state), der Sicherheit und anderer verwandter Funktionen kann durch einen eingebauten Controller (embedded controller) 320 des Geräts 300 bereitgestellt werden. Kommunikations-Links können Protokolle wie I2C oder LPC verwenden. Kommunikationen höherer Bandbreite, wie sie verwendet werden, um große Mengen von Daten, beispielsweise Videodateien, zu bewegen, können Verfahren wie USB, PCI Express oder Ethernet verwenden.
-
Wenn das Gerät 300 in dem SE Modus oder Zustand ist, arbeitet das Gerät 300 als ein unabhängiger Tablet-Computer. Damit kontrollieren die SE Plattform 320 und das damit ausgeführte Leichtgewicht-/Tablet-Betriebssystem, wie ein ANDROID Betriebssystem, den Betrieb des Geräts 300, einschließlich der Anzeigevorrichtung, peripherer Geräte wie einer Kamera, einem Mikrofon, Lautsprecher, gemeinsam benutzten Drahtlosantennen, einem Beschleunigungsmesser, einer SD Karte, anderer ähnlicher peripherer Geräte und Softwareanwendungen.
-
Das Gerät 300 verwendet die PE Plattform 310, wenn der Nutzer einen derartigen Betriebszustand auswählt und dieser Betriebszustand kann als ein Standardzustand oder ein ursprünglicher Zustand eingestellt sein. Wenn das Gerät 300 in dem PE Zustand ist, wird es durch eine PE Plattform 310, welche beispielsweise ein WINDOWS Betriebssystem beinhaltet, kontrolliert. Das Gerät 300 wird im Wesentlichen ein konventioneller Laptop-Computer, wenn die PE Plattform 310 den Betrieb kontrolliert. Somit kontrolliert die SE Plattform 320 das Gerät 300, die peripheren Geräte, et cetera nicht, wenn das Gerät 300 in dem PE Zustand ist, obwohl ein ANDROID Betriebssystem der SE Plattform 320 in dem PE Zustand ausgeführt werden kann, wie weiter hierin beschrieben.
-
In solch einer hybriden Umgebung sind somit im Wesentlichen zwei Computersysteme innerhalb eines Geräts 300 vorhanden, nämlich ein primäres System (PE) und ein sekundäres System (SE). Diese Systeme können den Zugang zu verschiedener Hardware, Software, peripheren Geräten, internen Komponenten, et cetera teilen, abhängig von dem Zustand (PE oder SE). Jedes System ist fähig, unabhängig zu arbeiten.
-
Bei der Koordinierung der PE und der SE im Hinblick auf das Kontrollieren von Sicherheitselementen, einschließlich Nutzer-Login und Authentifikation, wobei dies nicht darauf beschränkt ist, ist eine Funktion von Ausführungsformen, eine adäquate Sicherheit für jede der PE und der SE sicherzustellen. Würden die PE und die SE auf unterschiedlichen physikalischen Geräten ausgeführt werden, kann jedes System seinen eigenen Sicherheitsmechanismus besitzen. Daher müsste sich, falls separate Sicherheitsmechanismen lediglich in eine hybride Umgebung importiert würden, ein Nutzer an zwei Sets von Sicherheits-Berechtigungsnachweisen erinnern. Ein Nutzer könnte die Sicherheit derart einstellen, dass diese die gleiche sowohl für die PE als auch die SE ist; jedoch ist ein Nachteil, dass, falls eine der PE- oder der SE-Sicherheit ausläuft, der Nutzer daran denken müsste beide zu aktualisieren. Ein zweiter Ansatz wäre es, die Betriebsumgebungen höherer Leistungsfähigkeit (PE) zu nutzen, um die Berechtigungsnachweise zu speichern und an die SE zu reichen. Jedoch fügt dies eine Ebene an Komplexität hinzu und kann die Sicherheit auf der SE beeinträchtigen.
-
Eine Ausführungsform stellt demnach ein Wiederverwenden einer vorhandenen Sicherheitseinrichtung auf der PE bereit um die SE zu sichern. Dieses Wiederverwenden von Berechtigungsnachweisen (credential reuse) kann beispielsweise bei Betriebszustands-Übergängen (power state transitions) auftreten. Das Gerät 301 beobachtet, welches der Zustand (PE oder SE) vor einem Betriebszustands-Übergang (beispielsweise ein Eintreten in einen Standby-Zustand) war und wird den Nutzer nach einem Eingeben von PE-Berechtigungsnachweisen für eine Authentifikation wieder in diesen vorherigen Zustand überführen. In einem Fall, in welchem ein Nutzer eine Fortsetz-Sicherheitseinrichtung (resume security) in der PE deaktiviert, kann das System einfach direkt in der SE fortgesetzt werden (ohne eine Sicherheitsabfrage). Falls ein PE Ereignis (beispielsweise ein Übergang von Standby- in Ruhezustand aufgrund eines kritisch niedrigen Batteriezustands) etwas auslöst, was einen Betriebszustands-Übergang verursachen würde, während die SE aktiv ist, kann eine Ausführungsform kurzzeitig die PE betreten und anschließend auf das Betriebsereignis antworten, ohne auf eine Berechtigungsnachweis-Aufforderung zu warten.
-
In dieser Beschreibung werden die Advanced Configuration and Power Interface (ACPI) Betriebszustände (S0-S5) hierin verwendet, um sich sowohl auf PE- als auch SE-Betriebszustände gleichzeitig zu beziehen in einem hierin definierten Format, wobei die erste Ziffer in dem Format den Betriebszustand der PE kennzeichnet und die zweite Ziffer den Betriebszustand der SE kennzeichnet. Damit kennzeichnet Betriebszustand S03, dass die PE in Betriebszustand S0 (arbeitend) ist, wohingegen die SE in Betriebszustand S3 (Standby/Schlafmodus) ist.
-
Mit Bezug auf 4 stellt eine Ausführungsform ein Handhaben von Sicherheits-Berechtigungsnachweisen (security credential handling) in einer hybriden Umgebung bereit. Eine Ausführungsform handhabt Sicherheits-Berechtigungsnachweise in der hybriden Umgebung im Wesentlichen durch Verschieben des Systemzustands derart, dass der PE-Sicherheitsmechanismus aufgerufen wird, bevor ein Fortsetzen erlaubt wird, unabhängig davon, welcher Zustand (PE oder SE) vor dem System-Abschaltereignis (beispielsweise Standby, Schlafzustand, Ruhezustand, Herunterfahren et cetera) aktiv war. Eine Ausführungsform handhabt Unterbrechungs-/Fortsetzungs-Prozeduren (unter Verwendung einer „Schlaf“-Anforderung als beispielhafte Betriebszustands-Änderungsanforderung) wie folgt. Bei einer Standby-/Schlaf-Anforderung (Nutzer drückt Fn-F4 oder ein Inaktivitätstimer läuft aus) betritt, falls der Nutzer die PE benutzt 401, die PE einen Schlafzustand wie üblich 402. Der eingebaute Kontroller (embedded controller) 330 kann die SE informieren, dass die PE den Zustand geändert hat. Die SE kann anschließend einen Schlafzustand betreten (System in S33-402).
-
Falls der Nutzer bei einer Schlaf-Anforderung die SE nutzt 403, ermittelt das Gerät 301 (beispielsweise Kontroller 330) bei 404, ob Berechtigungsnachweise erforderlich sind (für eine PE-Sicherheitsapplikation). Falls ja, wird eine Flagge gesetzt zum Kennzeichnen, dass die PE Sicherheits-Berechtigungsnachweise erfordert 405 (beispielsweise Login-Berechtigungsnachweise). Die SE betritt anschließend den Schlafzustand 402. Auf eine Aufwach-Anforderung hin überprüft das Gerät 301 den vorherigen Zustand (welcher kontrolliert ist durch PE oder SE), welcher durch den Kontroller 330 vor dem Eintreten in den Schlaf ermittelt wurde. Falls das System zuvor in dem PE Zustand (S0X, wobei X = 0-5) war 408, kann die PE mit ihrem üblichen Fortsetzen weitermachen 409 und den Nutzer unter Verwendung einer PE-Sicherheitsapplikation anmelden, falls ein Sicherheits-Berechtigungsnachweis tatsächlich erforderlich ist. Falls jedoch bei 407 ermittelt wird, dass das Gerät 301 in dem SE Betriebszustand (beispielsweise S30) war 410, ermittelt das Gerät bei 411, ob Berechtigungsnachweise erforderlich sind. Beispielsweise ermittelt das Gerät 301, ob eine Berechtigungsnachweis-Flagge bei 405 gesetzt wurde. Falls nicht, kann das Gerät 301 anschließend direkt in der SE fortgesetzt werden, ohne Berechtigungsnachweise zu fordern.
-
Falls jedoch bei 411 ermittelt wird, dass Berechtigungsnachweise erforderlich sind, schiebt 412 das Gerät 301 die Betriebsumgebung in die PE (beispielsweise S00), so dass eine PE-Sicherheitsapplikation die Berechtigungsnachweise überprüfen und den Nutzer authentifizieren kann 413. Beispielsweise kann der eingebaute Kontroller 330 der PE signalisieren aufzuwachen, so dass eine PE-Sicherheitsapplikation ausgeführt werden kann, um von einem Nutzer eingegebene Berechtigungsnachweise zu validieren. Falls bei 414 die Berechtigungsnachweise durch die PE-Sicherheitsapplikation als gültig ermittelt werden, kann das Gerät 301 anschließend in der SE fortgesetzt werden, ohne eine SE-spezifische Sicherheitsapplikation aufzurufen.
-
Damit stellt eine Ausführungsform bereit, dass sich ein eingebauter Kontroller 330 an die Umgebung, SE oder PE, erinnert, welche zuvor aktiv war. Bei einer Fortsetzung, beispielsweise wenn der Nutzer die Fn-Taste oder einen Einschaltknopf drückt, signalisiert, falls der Nutzer zuvor die SE verwendet hatte, der eingebaute Kontroller 330 der SE und der PE aufzuwachen. Der Nutzer sieht die PE-Bildschirmsperre und gibt das PE-Passwort ein. Das System kann anschließend zu der SE wechseln und der Nutzer interagiert mit der SE. Andernfalls signalisiert, falls der Nutzer zuvor die PE benutzt hat, der eingebaute Kontroller 330 der SE und der PE aufzuwachen. Der Nutzer interagiert mit der PE wie gewöhnlich.
-
5 zeigt ein beispielhaftes Zustandsdiagramm, das Betriebszustände (im Format S(PE) (SE) wie hierin beschrieben) für ein Handhaben von Sicherheits-Berechtigungsnachweisen kennzeichnet. Wie im Zusammenhang mit 4 dargestellt, stellt eine Ausführungsform im Wesentlichen einen Nachverfolgungs-Mechanismus (tracking mechanism) bereit, so dass eine Komponente (eingebaute(r) Kontroller in dem Beispiel von 4) sich daran erinnert, in welchem Zustand ein Nutzer das Hybridgerät 301 vor einem Betriebszustands-Übergang hatte. Eine Komponente verfolgt zudem nach, ob ein Nutzer typischerweise einen Sicherheits-Berechtigungsnachweis (beispielsweise ein Passwort oder biometrisch) eingeben muss, um das Gerät fortzusetzen. Damit kann eine Ausführungsform das Gerät 301 bei einer Fortsetzung in den geeigneten Zustand versetzen, so dass die Sicherheitsapplikation(en) der PE (beispielsweise WINDOWS Sicherheitsapplikationen) verwendet werden können, unabhängig von dem Gerätezustand, in welchen fortgesetzt wird (beispielsweise SE).
-
In
5 sind speziell beispielhafte Betriebszustands-Übergänge gezeigt. Erwähnenswert ist Zustandübergang
S33 zu
S30. Für
S33 zu
S30 sind jede der PE und der SE im Schlafzustand und der Nutzer möchte den Betrieb in der SE fortsetzen. Falls für ein derartiges Fortsetzen Berechtigungsnachweise erforderlich sind, muss das Gerät PE-Sicherheitseinrichtungen (und somit Zustand
S00) passieren. Tabelle 1 kennzeichnet einige beispielhafte Anfangszustände, Endzustände, Trigger und eine kurze Beschreibung des Verarbeitens zum Handhaben von Sicherheits-Berechtigungsnachweisen in einer hybriden Umgebung.
Anfangszustand | Endzustand | Trigger | Bemerkung |
S00 | S33 | Start -> Schlaf Fn-F4 Taste InaktivitätsTimer Klappenschalter | Eingebauter Controller sendet Benachrichtigung an SE |
S30 | S33 | Fn-F4 Taste InaktivitätsTimer Klappenschalter | Eingebauter Controller sendet Benachrichtigung an SE |
S30 | S45 | kritsch niedrige Batterie | PE wird fortgesetzt, anschließend wechselt PE in Ruhezusatnd und SE schaltet aus |
S30 | S00 oder S30 | Fn-F4 Taste Einschaltknopf Klappenschalter Fingerabdrucksleser | Endzustand (S00 oder S30) hängt von Weg nach S30 ab. Nutzer stellt PE Berechtigungsnachweise bereit um System zu entsperren System tritt in S30 ein, nachdem Nutzer Zugang zu S00 gewährt wurde |
S33 | S45 | Niedrige Batterie | Für Ereignis Niedrige Batterie tritt System in S45 über S00 ein |
Tabelle 1
-
Ausführungsformen können in einem oder mehreren Informations-Handhabungs-Geräten implementiert sein, die entsprechend ausgebildet sind, Programm-Instruktionen auszuführen, die konsistent mit der Funktionalität der hierin beschriebenen Ausführungsformen sind. In diesem Zusammenhang zeigen die 1-3 nicht-beschränkende Beispiele solcher Geräte und deren Komponenten. Obwohl mobile Informations-Handhabungs-Geräte wie Tablet-Computer, Laptop-Computer und Smartphones hierin als spezifische Beispiele genannt wurden, können Ausführungsformen unter Verwendung anderer geeigneter Systeme oder Geräte bereitgestellt werden.
-
Wie von einem Fachmann erkannt wird, können zahlreiche Aspekte als ein System, Verfahren oder Computer (Gerät) Programmprodukt ausgebildet sein. Entsprechend können Aspekte die Form einer vollständigen Hardware-Ausführungsform oder einer Ausführungsform, die Software beinhaltet, annehmen, auf welche sämtlich generell hierin als ein „Netzwerk“ (circuit), „Modul“ oder „System“ Bezug genommen wird. Weiterhin können Aspekte die Form eines Computer- (Gerät) Programmprodukts annehmen, das in einem computerlesbaren bzw. gerätelesbaren Medium oder mehreren computerlesbaren bzw. gerätelesbaren Medien ausgebildet ist, das bzw. die computerlesbaren bzw. gerätelesbaren Programmcode darin ausgebildet haben.
-
Jede Kombination von einem nicht-Signal (non-signal) computerlesbaren bzw. gerätelesbaren Medium oder mehreren nicht-Signal computerlesbaren bzw. gerätelesbaren Medien kann verwendet werden. Das nicht-Signal Medium kann ein Speicher-Medium sein. Ein Speicher-Medium kann zum Beispiel ein elektronisches, magnetisches, optisches, elektromagnetisches, Infrarot- oder Halbleiter-System, -Apparat oder -Vorrichtung oder jede geeignete Kombination der vorgenannten sein. Spezifischere Beispiele eines Speicher-Mediums würden Folgendes beinhalten: eine tragbare Computer-Diskette, eine Festplatte, ein Random Access Memory (RAM), ein Read-only Memory (ROM), ein Erasable Programmable Read-only Memory (EPROM oder Flash Speicher), eine Glasfaser, ein Portable Compact Disc Read-only Memory (CD-ROM), eine optische Speichervorrichtung, eine magnetische Speichervorrichtung oder jede geeignete Kombination der vorgenannten.
-
Programmcode, der auf einem Speicher-Medium ausgebildet ist, kann unter Verwendung jedes geeigneten Mediums übermittelt werden, einschließlich, aber nicht beschränkt auf, drahtlos, drahtgebunden, Glasfaserkabel, RF et cetera oder jede geeignete Kombination der vorgenannten.
-
Programmcode zum Ausführen von Arbeitsabläufen kann in jeder Kombination einer oder mehrerer Programmiersprachen geschrieben sein. Der Programmcode kann vollständig auf einem einzigen Gerät, teilweise auf einem einzigen Gerät, als ein unabhängiges Software-Paket, teilweise auf einem einzigen Gerät und teilweise auf einem anderen Gerät oder vollständig auf dem anderen Gerät ausgeführt werden. In einigen Fällen können die Geräte durch jede Art von Netzwerk verbunden sein, einschließlich eines Local Area Network (LAN) oder eines Wide Area Network (WAN), oder die Verbindung kann durch andere Geräte ausgeführt werden (beispielsweise über das Internet unter Verwendung eines Internet Service Providers) oder durch eine fest verdrahtete Verbindung, wie beispielsweise über eine USB-Verbindung.
-
Aspekte sind hierin mit Bezug auf die Figuren beschrieben, welche Verfahren, Geräte und Programmprodukte gemäß verschiedener beispielhafter Ausführungsformen zeigen. Es wird verstanden, dass die gezeigten Aktionen und Funktionalitäten zumindest teilweise durch Programm-Instruktionen implementiert werden können. Diese Programm-Instruktionen können einem Prozessor eines Mehrzweck-Computers, eines Spezialzweck-Computers oder einer anderen programmierbaren Datenverarbeitungs-Vorrichtung oder einem Informations-Handhabungs-Gerät bereitgestellt werden, um eine Maschine zu bilden, derart, dass die Instruktionen, die mittels eines Prozessors des Geräts ausgeführt werden, die spezifizierten Funktionen/Handlungen implementieren.
-
Die Programm-Instruktionen können auch in einem gerätelesbaren Medium gespeichert sein, welches ein Gerät anleiten kann, in einer speziellen Art zu arbeiten, derart, dass die Instruktionen, die in dem gerätelesbaren Medium gespeichert sind, einen Fertigungsgegenstand bilden, einschließlich Instruktionen, welche die spezifizierte Funktion/Handlung implementieren.
-
Die Programm-Instruktionen können auch auf ein Gerät geladen werden, um eine Serie von Arbeitsschritten, die auf dem Gerät ausgeführt werden, auszulösen, um einen geräte-implementierten Prozess zu bilden, derart, dass die Instruktionen, die auf dem Gerät ausgeführt werden, Verfahren zum Implementieren der spezifizierten Funktionen/Handlungen bereitstellen.
-
Diese Offenbarung wurde zum Zweck der Veranschaulichung und Beschreibung gezeigt, ist jedoch nicht dazu beabsichtigt, erschöpfend oder beschränkend zu sein. Zahlreiche Modifikationen und Variationen werden Fachleuten in dem Gebiet ersichtlich sein. Die beispielhaften Ausführungsformen wurden ausgewählt und beschrieben, um Prinzipien und praktische Anwendungen zu erklären und anderen Fachleuten in dem Gebiet zu ermöglichen, die Offenbarung für zahlreiche Ausführungsformen mit zahlreichen Modifikationen, welche für die spezielle vorgesehene Verwendung geeignet sind, zu verstehen.
-
Daher wird verstanden, dass, obwohl veranschaulichende beispielhafte Ausführungsformen hierin mit Bezug auf die beigefügten Figuren beschrieben wurden, diese Beschreibung nicht beschränkend ist und dass zahlreiche andere Änderungen und Modifikationen davon geprägt sind, wie von einem Fachmann in dem Gebiet verstanden wird, ohne den Anwendungsbereich oder Geist der Offenbarung zu verlassen.