-
Hintergrund
-
Es wurden viele Sicherheitsmerkmale zur Verwendung bei elektronischen Bauelementen eingeführt, wie z. B. Computersystemen. Beispiele von Sicherheitsmerkmalen umfassen eine Authentifizierung vor dem Hochladen, Diebstahlabschreckung und Treiberverschlüsselung, um nur wenige Beispiele zu nennen. Die Verwendung von Sicherheitstoken, wie z. B. Fingerabdrucksensoren, vertrauenswürdigen Plattformmodulen (TPM; trusted platform modules) und Smartcards wird ebenfalls immer beliebter. Diese Merkmale verbessern die Sicherheit von elektronischen Bauelementen wesentlich.
-
Diese erhöhte Sicherheit stellt jedoch manchmal Probleme für autorisiertes Wartungspersonal dar sowie für den Plattformeigentümer. Genauer gesagt kann autorisiertes Wartungspersonal gerufen werden, um Systemverwaltungsfunktionen auszuführen, wobei Sicherheitsmerkmale entwickelt wurden, um gegen diese zu schützen. Zum Beispiel muss eine autorisierte Dienst- bzw. Wartungsperson möglicherweise ein Systemspeicherbauelement kurzzeitig einblenden, das das Basis-Eingabe/Ausgabe-System (BIOS; basic input/output system) enthält, um fehlerhafte Programminformationen zu ersetzen. Das kurzzeitige Einblenden des BIOS kann jedoch einen Sicherheitsberechtigungsnachweis fordern, der nicht mehr verfügbar ist. Sicherheitsberechtigungsnachweise können aus einer Anzahl von Gründen unverfügbar werden. Ein Benutzer kann ein Systempasswort vergessen oder absichtlich zurücksetzen. Ein Angestellter, dessen Fingerabdruck benötigt wird, um auf einen Computer zuzugreifen, kann ein Unternehmen verlassen oder anderweitig nicht in der Lage oder nicht bereit sein, die nötige Authentifizierung zu liefern. In solchen Fällen kann ein Zugriff des rechtmäßigen Plattformeigentümers (des Unternehmens, das den Computer besitzt) auf den Computer blockiert sein.
-
Als weiteres Beispiel kann ein autorisierter Benutzer wünschen, eine Komponente einer elektronischen Vorrichtung zurückzusetzen, die als Ergebnis eines Sicherheitsmerkmals deaktiviert wurde. Die Komponente kann als eine Sicherheitsmaßnahme deaktiviert werden, wenn z. B. das System eine übermäßige Anzahl von schädlichen Authentifizierungsversuchen erfährt. Zusätzlich dazu kann eine Systemsicherheitsvorrichtung, wie z. B. ein Fingerabdruckleser oder ein TPM beschädigt sein und mit neuer Hardware ersetzt werden müssen. Wenn eine autorisierte Wartungsperson keinen Zugriff auf erforderliche Sicherheitsberechtigungsnachweise hat oder eine Systemkomponente beschädigt oder deaktiviert wurde, wird die autorisierte Person (hier wird autorisierte Person sowohl für eine autorisierte Wartungsperson als auch den Plattformeigentümer verwendet) möglicherweise nicht in der Lage sein, eine Systemverwaltungsfunktion auszuführen, um das System oder die Komponente funktionsfähig zu machen. Ferner kann die Unfähigkeit eines autorisierten Benutzers, notwendige Verwaltungsfunktionen auszuführen, ein ansonsten nützliches Computersystem dauerhaft funktionsunfähig machen.
-
Aus der
US 6 795 855 B2 ist ein Dienststeuerverwaltungsmodul bekannt, das in der Lage ist, Nicht-Root-Benutzern Zugriff auf bestimmte Root-Befehle zu ermöglichen.
-
Aus der
US 2006/0236139 A1 ist ein Verfahren bekannt, um einen Leistungssparbefehl von einer CPU über einen ersten und einen zweiten Systemchip an Peripheriegeräte des ersten und des zweiten Systemchips auszugeben.
-
Aus der
WO 2005/106622 A1 ist ein Verfahren zum Betreiben mehrerer Sicherheitsstufen bekannt, bei dem nur solche Teile verbunden werden, die sowohl hierarchische als auch nicht-hierarchische Zugriffsanforderungen erfüllen. Abhängig von verschiedenen Bedingungen kann ein für ein Umschalten zwischen verschiedenen Sicherheitsstrategien zuständiger Mikroprozessor rückgesetzt werden.
-
Eine Fernsteuerung mit einer Identifikationsnummer für ein Computersystem ist aus der
KR 10-2000-0060992 A bekannt. Ein mobiles Telekommunikationsterminal, das eine eindeutige Hardware-Identifikation aufweist und das bei Verlust desselben verriegelt werden kann, wobei die Verriegelung nur unter Verwendung der eindeutigen Hardware-Identifikation entriegelt werden kann, ist aus der
KR 10-2006-0002603 A bekannt.
-
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren, eine elektronische Vorrichtung und ein Computersystem zu schaffen, die es ermöglichen, einen Systemverwaltungsbefehl auszuführen, der andernfalls Sicherheitsberechtigungsnachweise erfordern würde, die nicht mehr verfügbar sind.
-
Diese Aufgabe wird durch ein Verfahren nach Anspruch 1, eine elektronische Vorrichtung nach Anspruch 9 und ein Computersystem nach Anspruch 14 gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert.
-
Figurenliste
-
Bestimmte exemplarische Ausführungsbeispiele werden in der nachfolgenden detaillierten Beschreibung und Bezug nehmend auf die Zeichnungen beschrieben, in denen:
- 1 ein Blockdiagramm einer Infrastruktur aus Computersystemen ist, die einen Computer umfasst, der angepasst ist, um einen Systemverwaltungsbefehl zu empfangen, gemäß einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung; und
- 2 ein Flussdiagramm ist, das ein Verfahren zum Verwenden eines Systemverwaltungsbefehls zeigt, zum Zurücksetzen einer sicherheitseingeschränkten Komponente einer elektronischen Vorrichtung gemäß einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung.
-
Detaillierte Beschreibung von spezifischen Ausführungsbeispielen
-
Gemäß einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung ist ein Computersystem angepasst, um einen Systemverwaltungsbefehl zu empfangen, der aus einer Anfrage durch einen autorisierten Benutzer resultiert, wie z. B. eine autorisierte Dienstperson oder den Plattformeigentümer, unabhängig von dem Besitz der Sicherheitsberechtigungsnachweise, die von dem Computer benötigt werden. Ferner ermöglicht ein Systemverwaltungsbefehl gemäß der vorliegenden Erfindung einem autorisierten Benutzer, Handlungen auszuführen, die anderweitig die Verwendung von Sicherheitsberechtigungsnachweisen erfordern würden, die nicht mehr verfügbar sind, die ursprünglich nie eingerichtet wurden oder die durch eine Wartungsperson nicht geliefert werden konnten. Beispielsweise ist es möglicherweise nicht durchführbar oder erwünscht, einen wichtigen Sicherheitsberechtigungsnachweis an eine Dienstperson zu liefern, wie z. B. ein BIOS-Verwaltungspasswort.
-
Beispiele von Funktionen, die unter Verwendung eines Systemverwaltungsbefehls gemäß einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung ausgeführt werden können, umfassen das Ausführen eines Systemladevorgangs ohne eine Passwortauthentifizierung, das kurzzeitige Einblenden der Bootblockregion (Bootblock = Hochfahrblockierung) des System-BIOS und kurzzeitiges Einblenden der Nicht-Bootblock-Region des System-BIOS. Zusätzliche Beispiele von Funktionen, die unter Verwendung eines Systemverwaltungsbefehls ausgeführt werden können, umfassen das Zulassen von Systemadministratorprivilegien ohne ordnungsgemäße Autorisierung, das Zulassen von Einstellungszugriff als Benutzer ohne ordnungsgemäße Autorisierung, das Rücksetzen des System-BIOS auf einen voreingestellten Fabrikzustand oder das Rücksetzen des System-BIOS auf einen voreingestellten Fabrikzustand, während Identitätsinformationen gespeichert bleiben, wie z. B. ein universell eindeutiger Identifizierer (UUID; universally unique identifier). Weitere Beispiele umfassen das Zurücksetzen aller Systemkomponenten auf einen voreingestellten Fabrikzustand, das Entfernen aller BIOS-Benutzer, das Entfernen aller BS-Benutzer, das Entfernen aller BIOS-Sicherheitspolicen, das Entfernen aller Benutzer oder Identifizieren eines Hardwareprofils zur Verwendung.
-
Ein zusätzliches Beispiel einer Funktion, die unter Verwendung eines Systemverwaltungsbefehls ausgeführt werden kann, ist das Zurücksetzen einer Systemkomponente, die aus Sicherheitsgründen deaktiviert wurde. Genauer gesagt kann ein Systemverwaltungsbefehl verwendet werden, um eine Verwaltungsmaschine zu deaktivieren (ME; management engine), einen TPM zurückzusetzen, eine Diebstahlabschreckungstechnik- (TDT-; TDT = theft deterrent technology) Vorrichtung zurückzusetzen, einen Fingerabdruckleser zurückzusetzen, eine Systemplatine zurückzusetzen oder ähnliches. Das nachfolgend im Hinblick auf 1 ausgeführte Beispiel gibt zusätzliche Details darüber, wie ein Systemverwaltungsbefehl eingesetzt werden kann, um eine Systemkomponente zurückzusetzen, die aus Sicherheitsgründen deaktiviert wurde.
-
1 ist ein Blockdiagramm einer Infrastruktur von Computersystemen, die Folgendes umfasst: 1) einen Computer, der angepasst ist, um einen Systemverwaltungsbefehl gemäß einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung zu empfangen; und 2) einen vertrauenswürdigen Server, der den Systemverwaltungsbefehl erzeugen kann, der auf Computern betrieben werden kann, die gemäß einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung entwickelt sind. Die Infrastruktur wird im Allgemeinen durch das Bezugszeichen 100 bezeichnet. Durchschnittsfachleute auf dem Gebiet werden erkennen, dass die Funktionsblöcke und Vorrichtungen, die in 1 gezeigt sind, Hardwareelemente aufweisen können, die Schaltungsanordnung umfassen, Softwareelemente, die Computercode umfassen, der auf einem maschinenlesbaren Medium gespeichert ist, oder eine Kombination aus sowohl Hardware- als auch Softwareelementen. Zusätzlich dazu sind die funktionalen Blöcke und Vorrichtungen der Infrastruktur 100 nur ein Beispiel von funktionalen Blöcken und Vorrichtungen, die bei einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung implementiert sein können. Durchschnittsfachleute auf dem Gebiet wären ohne weiteres in der Lage, spezifische funktionale Blöcke für eine bestimmte, elektronische Vorrichtung basierend auf Entwurfsbetrachtungen zu definieren.
-
Die Infrastruktur 100 weist den Computer 102 eines autorisierten Benutzers auf, der direkt mit einem vertrauenswürdigen Server 104 verbunden sein kann oder nicht. Gemäß einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung verwendet ein autorisierter Benutzer, wie z. B. eine Wartungs- oder Reparaturperson, den Computer 102 des autorisierten Benutzers oder meldet sich direkt auf dem vertrauenswürdigen Server 104 an und ist ordnungsgemäß basierend auf vordefinierten Kriterien authentifiziert. Nach der Authentifizierung fordert der autorisierte Benutzer den vertrauenswürdigen Server 104 auf, einen Systemverwaltungsbefehl auszugeben, um eine Komponente einer elektronischen Vorrichtung zurückzusetzen, wie z. B. einen sicherheitseingeschränkten Computer 106. Der sicherheitseingeschränkte Computer 106 umfasst zumindest eine sicherheitseingeschränkte Komponente. Wie hierin verwendet, bezieht sich der Ausdruck „sicherheitseingeschränkt“ auf eine Komponente oder ein System, das in einen nichtfunktionalen Zustand eingetreten ist, als Ergebnis eines Fehlers, einen Sicherheitsberechtigungsnachweis zu erhalten, wie z. B. ein Passwort, einen Verschlüsselungsschlüsse, eine biometrische Signatur oder ähnliches. Der Zweck, eine Komponente in einen sicherheitseingeschränkten Zustand zu setzen, ist es, einen nichtautorisierten Zugriff auf die Komponente oder eine andere Ressource zu verhindern, die durch die Komponente geschützt wird. In vielen Fällen ist der Grund, warum die Komponente in einen sicherheitseingeschränkten Zustand gesetzt ist, da eine nichtautorisierte Quelle versucht hat, die Komponente zu verwenden, ohne die erforderlichen Sicherheitsberechtigungsnachweise zu liefern.
-
Ein exemplarisches Ausführungsbeispiel der vorliegenden Erfindung ist angepasst, um einem autorisierten Benutzer zu erlauben, eine sicherheitseingeschränkte Komponente zurückzusetzen, unter Verwendung eines Systemverwaltungsbefehls, ohne einen notwendigen Sicherheitsberechtigungsnachweis, wenn eine Steuerung der elektronischen Vorrichtung, die die sicherheitseingeschränkte Komponente enthält, durch eine autorisierte Quelle wiedererhalten wird. Zu Zwecken der Erklärung eines exemplarischen Ausführungsbeispiels der vorliegenden Erfindung geht die folgende Erörterung davon aus, dass der sicherheitseingeschränkte Computer 106 zumindest eine Sicherheitskomponente aufweist, die sicherheitseingeschränkt ist, ohne die ordnungsgemäßen Sicherheitsberechtigungsnachweise. Anders ausgedrückt umfasst der sicherheitseingeschränkte Computer 106 zumindest eine sicherheitseingeschränkte Komponente.
-
Bei einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung weist der sicherheitseingeschränkte Computer 106 eine Systemplatine 108 auf. Die Systemplatine 108 bringt Hauptkomponenten des sicherheitseingeschränkten Computers 106 unter, wie z. B. einen Systemprozessor oder eine CPU, einen Systemspeicher und ähnliches. Die Systemplatine 108 kann ferner ein System-BIOS 110 in einer Speichervorrichtung speichern, wie z. B. einem nichtflüchtigen Speicher. Das System-BIOS ist angepasst, um einen Start- oder Hochlade-Prozess zu steuern und die Operation auf niedriger Ebene des sicherheitseingeschränkten Computers 106 zu steuern.
-
Der sicherheitseingeschränkte Computer 106 kann mehrere Sicherheitspegel aufweisen. Zum Beispiel kann ein erster Sicherheitspegel eine Vor-Hochlade-Sicherheit umfassen. Die Vor-Hochlade-Sicherheit kann wirksam sein, um das System-BIOS 110 zu deaktivieren, wenn ein Sicherheitsberechtigungsnachweis, wie z. B. ein Token eines universellen seriellen Busses (USB; universal serial bus) oder ähnliches, nicht vorhanden ist. Ein zweiter Sicherheitspegel kann eine Festplattenverschlüsselung aufweisen. Bei einem System mit Festplattenverschlüsselung kann Zugriff auf verschlüsselte Daten, die auf einer Festplatte des sicherheitseingeschränkten Computers 106 gespeichert sind, verweigert werden, wenn ein Sicherheitsberechtigungsnachweis nicht vorhanden ist oder durch den Benutzer geliefert wird. Eine dritte Sicherheitsebene ist der Betriebssystemzugriff. Zugriff auf das Betriebssystem des sicherheitseingeschränkten Computers 106 kann verweigert werden, wenn ein anderer Sicherheitsberechtigungsnachweis, wie z. B. ein Passwort, nicht geliefert wird. Wenn ein beliebiger der erforderlichen Sicherheitsberechtigungsnachweise nicht geliefert wird, können eine oder mehrere Komponenten des sicherheitseingeschränkten Computers 106, einschließlich der Systemplatine 108, in einen betriebsunfähigen Zustand gesetzt werden, anhängig an eine Rücksetzoperation gemäß einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung.
-
Zusätzlich dazu kann der sicherheitseingeschränkte Computer 106 eine oder mehrere Sicherheitskomponenten umfassen, die entworfen sind, um Datendiebstahl oder einen anderen nichtautorisierten Zugriff auf Systemressourcen zu verhindern. Bei dem exemplarischen Ausführungsbeispiel, das in 1 gezeigt ist, umfasst der sicherheitseingeschränkte Computer 106 eine biometrische Zugriffsvorrichtung, wie z. B. einen Fingerabdruckleser 112. Der sicherheitseingeschränkte Computer 106 umfasst ferner ein vertrauenswürdiges Plattformmodul (TPM; trusted platform module) 114.
-
Um eine sicherheitseingeschränkte Komponente des sicherheitseingeschränkten Computers 106 zurückzusetzen, gemäß einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung, tätigt ein autorisierter Benutzer, wie z. B. eine Wartungs- oder Reparaturperson, eine Anforderung an den vertrauenswürdigen Server 104, einen Systemverwaltungsbefehl auszugeben, um die sicherheitseingeschränkte Komponente des sicherheitseingeschränkten Computers 106 zurückzusetzen. Die Anforderung, die sicherheitseingeschränkte Komponente zurückzusetzen, kann eine Anforderung aufweisen, die sicherheitseingeschränkte Komponente auf einen voreingestellten Fabrikzustand zu initialisieren.
-
Zusammen mit der Anforderung, die sicherheitseingeschränkte Komponente zurückzusetzen, liefert der autorisierte Benutzer Informationen, die den sicherheitseingeschränkten Computer 106 spezifisch gegenüber dem vertrauenswürdigen Server 104 identifizieren. Bei einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung können die Informationen, die den sicherheitseingeschränkten Computer 106 identifizieren, eine System-UUID, eine Modell- und/oder eine Seriennummer des sicherheitseingeschränkten Computers 106, ein Asset-Tag (Posten-Etikett), eine MAC-Adresse oder ähnliches aufweisen.
-
Zugriff auf den vertrauenswürdigen Server 104 kann so eingeschränkt sein, dass nur autorisierte Wartungstechniker oder Plattformeigentümer in der Lage sind, Anforderungen zu tätigen, Systemverwaltungsbefehle auszugeben. Alternativ kann es erforderlich sein, dass autorisierte Benutzer ihre Identität nachweisen durch Liefern von Sicherheitsberechtigungsnachweisen, wie z. B. einer Benutzeridentifikation und eines Passworts, zu dem vertrauenswürdigen Server 104.
-
Nach dem Empfangen einer Anforderung, einen Systemverwaltungsbefehl zu erzeugen, um eine Komponente des sicherheitseingeschränkten Computers 106 zurückzusetzen, kann der vertrauenswürdige Server 104 die Identität des autorisierten Benutzers authentifizieren. Wenn die Identität des autorisierten Benutzers authentifiziert ist, liefert der vertrauenswürdige Server 104 einen Systemverwaltungsbefehl, um eine sicherheitseingeschränkte Komponente des sicherheitseingeschränkten Computers 106 zurückzusetzen, ansprechend auf die Anforderung. Der Systemverwaltungsbefehl kann der spezifischen Rücksetzfunktion entsprechen, die in der Anforderung durch den autorisierten Benutzer ausgeführt ist.
-
Zusätzlich zu dem Systemverwaltungsbefehl selbst kann der vertrauenswürdige Server 104 ferner Informationen erzeugen oder anderweitig bereitstellen, die den vertrauenswürdigen Server 104 als eine vertrauenswürdige Quelle des Systemverwaltungsbefehls identifizieren. Bei einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung können die Informationen, die den vertrauenswürdigen Server 104 als eine vertrauenswürdige Quelle identifizieren, einen privaten Schlüssel aufweisen. Ferner kann der Systemverwaltungsbefehl, der durch den vertrauenswürdigen Server 104 geliefert wird, mit dem privaten Schlüssel signiert sein. Wie nachfolgend ausgeführt wird, liefert der vertrauenswürdige Server 104 ferner die Informationen, die den sicherheitseingeschränkten Computer 106 identifizieren, der durch den vertrauenswürdigen Server 104 von dem autorisierten Benutzer über den Computer 102 des autorisierten Benutzers oder über andere Eingaben empfangen wurde. Der Systemverwaltungsbefehl, die Informationen, die die Quelle des Befehls als vertrauenswürdige Quelle identifizieren, und die Informationen, die den sicherheitseingeschränkten Computer 106 identifizieren, werden zusammenfassend als „SMC“ in 1 bezeichnet.
-
Bei einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung können der Systemverwaltungsbefehl, die Informationen, die die Quelle des Befehls als vertrauenswürdige Quelle identifizieren, und die Informationen, die den sicherheitseingeschränkten Computer 106 identifizieren, direkt zu dem sicherheitseingeschränkten Computer 106 geliefert werden, wenn der sicherheitseingeschränkte Computer 106 auf demselben Netzwerk vorliegt wie der vertrauenswürdige Server 104 und der sicherheitseingeschränkte Computer 106 zu einer Netzwerkkommunikation in der Lage ist. Alternativ können der Systemverwaltungsbefehl, die Informationen, die den vertrauenswürdigen Server 104 als deren Quelle identifizieren, und die Informationen, die den sicherheitseingeschränkten Computer 106 identifizieren, zu dem autorisierten Benutzer über den Computer 102 des autorisierten Benutzers geliefert werden. Beispielhaft können der Systemverwaltungsbefehl, die Informationen, die die Quelle des Befehls als eine vertrauenswürdige Quelle identifizieren, und die Informationen, die den sicherheitseingeschränkten Computer 106 identifizieren, auf einem Sicherheitstoken gespeichert sein, wie z. B. einem USB-Token 116, einer Smartcard oder ähnlichem, die dem Computer 102 des autorisierten Benutzers zugeordnet sind. Der autorisierte Benutzer könnte das Token zu dem sicherheitseingeschränkten Computer 106 bringen und das Token verwenden, um die sicherheitseingeschränkte Komponente zurückzusetzen, wie nachfolgend beschrieben wird.
-
Wenn der Systemverwaltungsbefehl, die Informationen, die die Quelle des Rücksetzbefehls als den vertrauenswürdigen Server 104 identifizieren, und die Informationen, die den sicherheitseingeschränkten Computer 106 identifizieren, durch den sicherheitseingeschränkten Computer 106 empfangen werden, authentifiziert der sicherheitseingeschränkte Computer 106 die Identität des vertrauenswürdigen Servers 104. Bei einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung hat das System-BIOS 110 des sicherheitseingeschränkten Computers 106 Zugriff auf einen öffentlichen Schlüssel, der dem privaten Schlüssel entspricht, den der vertrauenswürdige Server 104 verwendet, um den Systemverwaltungsbefehl zu signieren. Wenn der öffentliche Schlüssel, der in dem sicherheitseingeschränkten Computer 106 gespeichert ist, nicht dem privaten Schlüssel entspricht, der durch den vertrauenswürdigen Server 104 verwendet wird, wird der sicherheitseingeschränkte Computer 106 ablehnen, den Systemverwaltungsbefehl auszuführen, um die sicherheitseingeschränkte Komponente zurückzusetzen.
-
Ein exemplarisches Ausführungsbeispiel der vorliegenden Erfindung kann einem autorisierten Benutzer die Fähigkeit geben, den öffentlichen Schlüssel neu zu programmieren. Dieses Merkmal erlaubt es dem autorisierten Benutzer, ein Paar aus einem privaten Schlüssel/öffentlichen Schlüssel zu verwenden, das außerhalb der Organisation des autorisierten Benutzers nicht bekannt ist. Genauer gesagt kann der autorisierte Benutzer ein Paar eines privaten Schlüssels/öffentlichen Schlüssels auswählen, das dem Hersteller des sicherheitseingeschränkten Computers 106 nicht bekannt ist, falls erwünscht.
-
Bei einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung können mehrere Öffentlicher-Schlüssel-Schlitze in dem sicherheitseingeschränkten Computer 106 vorgesehen sein. Einer oder mehrere der Öffentlicher-Schlüssel-Schlitze können neu programmierbar sein. Zum Beispiel kann ein spezifischer Kunde einen der Schlüsselschlitze mit seinem organisatorischen öffentlichen Schlüssel neu programmieren. Ein unabhängiger Softwareverkäufer (ISV; independent software vendor), der eine verbesserte Funktionalität liefert, kann einen anderen Schlitz übersteuern. Die spezifischen Schlüsselschlitze, die neu programmierbar sind, und wer sie neu programmieren kann, ist ein Implementierungsdetail und kein wesentliches Merkmal der Erfindung. Bei einem Beispiel könnten die Schlüsselschlitze auf einer Wer-zuerst-kommt-malt-zuerst-Basis neu programmiert werden oder spezifische Schlüsselschlitze können für einen spezifischen Zweck zweckgebunden sein. Ein Schlüsselschlitz kann zum neu Programmieren durch ein OEM zweckgebunden sein. Ein zweiter Schlüsselschlitz kann für einen Kunden zweckgebunden sein, ein dritter Schlüsselschlitz kann für einen ISV zweckgebunden sein usw. Bei einem exemplarischen Ausführungsbeispiel ist ein Schlüsselschlitz, der zur Verwendung durch das OEM zweckgebunden ist, der den Computer erzeugt hat, nicht neu programmierbar.
-
Die Implementierungsdetails der Programmierung der öffentlichen Schlüssel in den zusätzlichen Schlüsselschlitzen ist ein Implementierungsdetail, das basierend auf Systementwurfskriterien und/oder Sicherheitsbedenken variieren kann. Als ein Beispiel kann eine Verfahrensweise von einem BIOS-Administrator verhindern, dass zusätzliche Schlüssel programmiert werden. Ferner könnte ein bestimmter Schlüsselschlitz nur nach einer Zusammenarbeit mit einem OEM programmierbar sein. Das Neuprogrammieren eines solchen Schlüsselschlitzes kann nur erlaubt werden, wenn ein spezieller Systemverwaltungsbefehl, der das Bereitstellen eines Schlüssels erlaubt, durch das OEM geliefert wird. Bei einem exemplarischen Ausführungsbeispiel kann es einem Endkunden erlaubt sein, zielgerichtet die Fähigkeit einzuschalten, einen öffentlichen Schlüssel über ein BIOS-Verwaltungspasswort oder eine andere Schutzmaßnahme zu programmieren. Eine ähnliche Anordnung kann im Hinblick auf das Bereitstellen eines öffentlichen Schlüssels, der mit einem ISV oder ähnlichem versehen ist, implementiert sein.
-
Bei einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung sind unterschiedliche Schlüsselschlitze angepasst, um zu ermöglichen, dass unterschiedliche Ebenen von Systemverwaltungsbefehlen ausgeführt werden. Zum Beispiel kann es einem OEM-Ebenen-Schlüsselschlitz erlaubt sein, jeglichen Systemverwaltungsbefehl auszuführen, was ein vollständiges Neuschreiben des System-BIOS umfasst. Andere Schlüsselschlitze können eingeschränkt sein, einige Systemverwaltungsbefehle nicht auszuführen. Die Verwendung von Schlüsseln mit mehreren Berechtigungsebenen ermöglicht ein hierarchisches Befehls-Berechtigungs/Zugriffs-Steuerungsschema.
-
Bei einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung vergleicht der sicherheitseingeschränkte Computer 106 ferner die Informationen, die den sicherheitseingeschränkten Computer 106 identifizieren, die von dem vertrauenswürdigen Server 104 empfangen werden, bevor der Systemverwaltungsbefehl ausgeführt wird, um die sicherheitseingeschränkte Komponente zurückzusetzen. Wenn die Informationen, die den sicherheitseingeschränkten Computer 106 identifizieren, nicht den Informationen entsprechen, die z. B. auf seiner Systemplatine 108 gespeichert sind, kann der sicherheitseingeschränkte Computer 106 ablehnen, den Systemverwaltungsbefehl auszuführen, um die sicherheitseingeschränkte Komponente zurückzusetzen, obwohl der öffentliche Schlüssel, der durch den sicherheitseingeschränkten Computer 106 gespeichert ist, dem privaten Schlüssel entspricht, der durch den vertrauenswürdigen Server 104 bereitgestellt wird. Auf diese Weise wird der sicherheitseingeschränkte Computer 106 vor Hackerangriffen geschützt, wie z. B. einer nichtautorisierten Anfrage, die sicherheitseingeschränkte Komponente zurückzusetzen.
-
Bei einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung kann das System-BIOS 110 als ein Systemverwaltungsbefehlsprozessor wirken, der angepasst ist, um auf Informationen zu antworten, die von dem vertrauenswürdigen Server 104 empfangen werden, und einen Systemverwaltungsbefehl auszuführen, um z. B. eine sicherheitseingeschränkte Komponente des sicherheitseingeschränkten Computers 106 zurückzusetzen, wenn die Informationen, die von dem vertrauenswürdigen Server 104 empfangen werden, erfolgreich authentifiziert werden. Nach dem Neustarten des sicherheitseingeschränkten Computers 106 kann das System-BIOS 110 angepasst sein, eine spezielle Schlüsselsequenz zu erfassen, die entworfen ist, um das System-BIOS 110 zu informieren, dass ein Systemverwaltungsbefehl verarbeitet wird. Das BIOS kann dann die Informationen authentifizieren, die den vertrauenswürdigen Server 104 als eine vertrauenswürdige Quelle identifizieren, und verifizieren, dass die Informationen, die den sicherheitseingeschränkten Computer 106 identifizieren, die von dem vertrauenswürdigen Server 104 empfangen werden, tatsächlich Identifikationsinformationen entsprechen, die in dem sicherheitseingeschränkten Computer 106 gespeichert sind. Wenn die Identität des vertrauenswürdigen Servers 104 und die Informationen, die den sicherheitseingeschränkten Computer 106 identifizieren, beide authentifiziert sind, führt das System-BIOS 110 den Systemverwaltungsbefehl aus, um die sicherheitseingeschränkte Komponente in einen verwendbaren Zustand zurückzusetzen, wie z. B. einen voreingestellten Fabrikzustand. Bei einem anderen exemplarischen Ausführungsbeispiel der vorliegenden Erfindung wird der Systemverwaltungsbefehl zu dem sicherheitseingeschränkten Computer 106 über eine Netzwerkverbindung unter Verwendung von einem der verfügbaren Protokolle geliefert. Der Systemverwaltungsbefehl kann durch einen Stellvertreter bzw. Proxy zu dem BIOS geliefert werden z. B. unter Verwendung einer Windows Management Instrumentation (WMI). Nach dem Neustarten kann das System-BIOS 110 automatisch die Lieferung des Systemverwaltungsbefehls erfassen und die Befehlsverarbeitungssequenz starten. Ferner werden Fachleute auf dem Gebiet erkennen, dass exemplarische Ausführungsbeispiele der vorliegenden Erfindung eine entfernte und automatisierte Lieferung von authentifizierten und sicheren Systemverwaltungsbefehlen ermöglichen, die nach dem Zurücksetzen (Neustarten) des Systems verarbeitet werden können.
-
2 ist ein Flussdiagramm, das ein Verfahren zum Verwenden eines Systemverwaltungsbefehls zeigt, um eine sicherheitseingeschränkte Komponente einer elektronischen Vorrichtung gemäß einem exemplarischen Ausführungsbeispiel der vorliegenden Erfindung zurückzusetzen. Das Verfahren wird allgemein durch das Bezugszeichen 200 bezeichnet.
-
Das Verfahren beginnt bei Block 202. Bei Block 204 wird eine Anfrage zum Ausgeben eines Systemverwaltungsbefehls zum Zurücksetzen von zumindest einer sicherheitseingeschränkten Komponente einer elektronischen Vorrichtung von einem autorisierten Benutzer empfangen. Informationen, die die elektronische Vorrichtung identifizieren, werden ebenfalls empfangen. Bei Block 206 wird ein Systemverwaltungsbefehl zum Zurücksetzen der zumindest einen sicherheitseingeschränkten Komponente geliefert, ansprechend auf die Rücksetzanforderung, die bei Block 204 empfangen wird. Zusammen mit dem Systemverwaltungsbefehl selbst werden Informationen, die die Quelle des Befehls als eine vertrauenswürdige Quelle identifizieren, und die Informationen, die die elektronische Vorrichtung identifizieren, ebenfalls geliefert. Das Verfahren endet bei Block 208.
-
Durchschnittsfachleute auf dem Gebiet werden erkennen, dass exemplarische Ausführungsbeispiele der vorliegenden Erfindung Informationstechnikwartungskosten reduzieren durch Bereitstellen einer Möglichkeit, einen Systemverwaltungsbefehl an ein Computersystem auszugeben, sogar wenn die erforderlichen Sicherheitsberechtigungsnachweise nicht verfügbar sind. Ferner liefern exemplarische Ausführungsbeispiele der vorliegenden Erfindung eine sichere Möglichkeit, Komponenten wiederzuverwenden, die ansonsten dauerhaft betriebsunfähig gemacht würden, aufgrund einer Unfähigkeit, einen erforderlichen Sicherheitsberechtigungsnachweis zu liefern.