JP5117483B2 - ロックされたコンピュータシステムにおける起動前リカバリのための方法、装置、ストレージ媒体及びリムーバブルストレージデバイス - Google Patents
ロックされたコンピュータシステムにおける起動前リカバリのための方法、装置、ストレージ媒体及びリムーバブルストレージデバイスInfo
- Publication number
- JP5117483B2 JP5117483B2 JP2009292868A JP2009292868A JP5117483B2 JP 5117483 B2 JP5117483 B2 JP 5117483B2 JP 2009292868 A JP2009292868 A JP 2009292868A JP 2009292868 A JP2009292868 A JP 2009292868A JP 5117483 B2 JP5117483 B2 JP 5117483B2
- Authority
- JP
- Japan
- Prior art keywords
- removable storage
- storage device
- computer system
- state
- bios
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Description
本願実施例はコンピュータシステムの技術分野に関連し、特にロックされたコンピュータシステムのリカバリ又はロック解除に関連する。
電子装置をロックする又はディセーブルにするセキュリティシステムは、データを失うこと、その他の資産が失われること又はコンピュータ資産が盗まれることに対する解決手段として浮上しつつある。コンピュータシステムのような電子装置は、例えば、盗難防止技術を装備しているかもしれない。その盗難防止技術は、コンピュータシステムが失われた又は盗まれたものとして認識された場合、そのコンピュータシステムをロックするものである。
そのような盗難防止技術における問題の1つは、ロックされた状態から復帰することである。ハードウエア、ファームウエア又はソフトウエアが破損していることは、例えば、ローカルに保存されているリカバリモジュールが、ロックされたコンピュータシステムを復帰させるよう動作することを妨げるかもしれない。
本発明の課題は、コンピュータシステムがロックされている状態から復帰することを可能にする方法、装置、製造品及びリムーバブルストレージデバイスを提供することである。
一実施例において使用される方法は、
コンピュータシステムのベーシック入出力システム(BIOS)により、ホストオペレーティングシステム環境の起動前に(pre-boot)、リムーバブルストレージデバイスが前記コンピュータシステムに取り付けられているか否かを確認するステップであって、前記コンピュータシステムは、前記ホストオペレーティング環境と、該ホストオペレーティング環境とは独立に動作する管理エンジン(ME)とを有する、ステップと、
前記リムーバブルストレージデバイスを検出した場合、前記MEとやり取りを行うように、前記リムーバブルストレージデバイスに格納されている起動前認証(PBA)モジュールに、前記BIOSが制御を移し、前記コンピュータシステムをロックされた状態からロックされていない状態へ戻すステップと、
前記コンピュータシステムがロックされた状態にあるか否かを、前記PBAモジュールが確認するステップと、
前記コンピュータシステムがロックされている状態にあることを確認した場合、認証用の信用証明物を前記PBAモジュールを介して前記MEに提供することをユーザに促すことで、前記コンピュータシステムをロックされている状態からロックされていない状態に戻すステップであって、前記MEが通信用の公開鍵又は秘密鍵を要求し、前記PBAモジュールが前記MEと通信するための公開鍵又は秘密鍵を有する、ステップと、
前記リムーバブルストレージデバイスが前記BIOSにより検出されなかった場合、前記ホストオペレーティングシステム環境の起動前に前記BIOSは、前記コンピュータシステムが前記ロックされた状態にあるか否かを判定し、前記コンピュータシステムが前記ロックされた状態にありかつ前記コンピュータシステムを前記ロックされた状態からロックされていない状態へ戻す如何なるPBAモジュールも前記BIOSにより検出されなかった場合、前記BIOSが前記コンピュータシステムをシャットダウンするステップと
を有する方法である。
コンピュータシステムのベーシック入出力システム(BIOS)により、ホストオペレーティングシステム環境の起動前に(pre-boot)、リムーバブルストレージデバイスが前記コンピュータシステムに取り付けられているか否かを確認するステップであって、前記コンピュータシステムは、前記ホストオペレーティング環境と、該ホストオペレーティング環境とは独立に動作する管理エンジン(ME)とを有する、ステップと、
前記リムーバブルストレージデバイスを検出した場合、前記MEとやり取りを行うように、前記リムーバブルストレージデバイスに格納されている起動前認証(PBA)モジュールに、前記BIOSが制御を移し、前記コンピュータシステムをロックされた状態からロックされていない状態へ戻すステップと、
前記コンピュータシステムがロックされた状態にあるか否かを、前記PBAモジュールが確認するステップと、
前記コンピュータシステムがロックされている状態にあることを確認した場合、認証用の信用証明物を前記PBAモジュールを介して前記MEに提供することをユーザに促すことで、前記コンピュータシステムをロックされている状態からロックされていない状態に戻すステップであって、前記MEが通信用の公開鍵又は秘密鍵を要求し、前記PBAモジュールが前記MEと通信するための公開鍵又は秘密鍵を有する、ステップと、
前記リムーバブルストレージデバイスが前記BIOSにより検出されなかった場合、前記ホストオペレーティングシステム環境の起動前に前記BIOSは、前記コンピュータシステムが前記ロックされた状態にあるか否かを判定し、前記コンピュータシステムが前記ロックされた状態にありかつ前記コンピュータシステムを前記ロックされた状態からロックされていない状態へ戻す如何なるPBAモジュールも前記BIOSにより検出されなかった場合、前記BIOSが前記コンピュータシステムをシャットダウンするステップと
を有する方法である。
本願実施例は、添付図面及び特許請求の範囲とともに以下の詳細な説明により十分に理解されるであろう。本願実施例は、添付図面とともに一例として説明されるものであり、限定例として説明されるものではない。
以下の詳細な説明において、本願の一部をなす添付図面が参照され、添付図面は開示内容が実現される実施例を示す。本願の開示範囲から逸脱することなく、他の実施例が使用されてもよいこと、及び構造的又は論理的な変更がなされてもよいことが、理解されるであろう。したがって、以下の詳細な説明は限定的な意味に解釈されてはならず、本願の開示による実施例の範囲は、添付の特許請求の範囲及びその均等物によって規定される。
「結合される(coupled)」又は「接続される(connected)」という用語がそれらの派生語も含めて使用される。これらの用語は互いに同義語として解釈されてはならないことが理解されるべきである。特定の実施例において、「接続される」は、2つ以上の要素が物理的又は電気的に互いに直接的に接触している様子を示すのに使用される。「結合される」も2つ以上の要素が物理的又は電気的に直接的に接触していることを意味してもよい。しかしながら、「結合される」は、2つ以上の要素が互いに直接的には接触していないが、依然として互いに協働している又はやりとりしていることを意味する場合がある。
説明の便宜上、「A/B」又は「A及び/又はB」という形式の語句は、(A)、(B)又は(A及びB)を意味するものとする。説明の便宜上、「A、B及びCのうちの少なくとも1つ」という語句は、(A)、(B)、(C)、(A及びB)、(A及びC)、(B及びC)又は(A、B及びC)を意味するものとする。説明の便宜上、「(A)B」という語句は、(B)又は(AB)を意味するものとする(すなわちAは選択的な要素である)。
「一実施例」又は「実施例」という語句が説明で使用されるが、これら各々は、同一又は異なる実施例の内の1つ以上を指す。さらに、「備える(comprising)」、「含む(including)」、「有する(having)」等の用語は、本願実施例に関し、同義語である。
開示される様々な本願実施例により、ロックされたセキュリティシステムを復元するための方法、装置、製造品及び取り外し可能な記憶装置が説明される。図1は、ロックされた電子装置のリカバリシステムを示す様々な実施例に関する概略図である。一実施例では、システム100は電子装置101を含み、電子装置101は、管理エンジン(ME: Manageability Engine)102、中央処理装置(CPU)環境103、ホストオペレーティング環境104、ホストモジュール105、ベーシック入出力システム(BIOS: Basic Input/Output System)106、BIOSモジュール107、ローカル起動前認証(PBA: Pre-Boot Authentication)環境108、ローカルPBAモジュール109、ME環境110、MEモジュール111及び周辺機器インターフェース112を、図示のような結合関係で含んでいる。システム100は、リムーバブルストレージデバイス114を取り外し可能に含んでいてもよい(リムーバブルストレージデバイス114は、不揮発性ストレージ115、起動前認証(PBA)モジュール116及び周辺機器インターフェース117を図示の結合関係で含んでいる)。システム100は、サーバモジュール119を有するサーバ118をさらに含んでもよい。そのサーバは、ネットワーク120により電子装置に結合される。
様々な実施例に関し、電子装置101は、ホストデバイス、コンピュータシステム、装置、製造品、ディジタルデバイス、又はそれらの組み合わせであってもよい。電子装置101の他の例については、第2図を参照しながらさらに説明される。
様々な実施例に関し、先に言及したように、電子装置101はME102及びCPU環境103を含む。ME102は、様々な機能を含む様々なモジュールを含む環境110を有し、そのモジュールはMEモジュール111を含み、特に、電子装置101の盗難防止又はセキュリティ機能に関する機能を含む動作を実行又は管理する。ME102は、電子装置101のプロセッサによって実現され、制御され又は実行させられる。ME102は、例えば、CPUとは独立にプロセッサにより実行されるファームウエア又はソフトウエアとして保存される命令を含み、CPUはCPU環境103を実現、制御又は起動する。一実施例では、ME102は、CPUではない組み込みプロセッサによって起動されてもよい。別の実施例では、ME102はCPUにより起動されるよう構築されてもよい。ME102は、ホストオペレーティング環境104に結合されてもよいが、図中破線で示されているように、ホストオペレーティング環境104とは独立に動作するように構築されてもよい。例えば、ホスト環境104、BIOS106及びPBAモジュール108は、CPU環境103を起動するCPUにより起動されてもよい。セキュリティ認証機能及び関連する機能を実行するMEモジュール111は、ME102を起動する別個のプロセッサによって起動されてもよい。
ME102は、ある条件を検出した場合に電子装置101をディセーブルにし、認証できた場合に電子装置101を再びイネーブルにするように構築されてもよい。一実施例では、認証できた場合、電子装置101をロックされた状態からロック解除された状態へ復活させるように、ME102は構築されてもよい。一実施例では、認証できた場合、盗難状態から通常の動作状態へ電子装置101を復帰させて戻すように、MEは構築されてもよい。別の実施例では、プロテクトされた状態からプロテクト解除された状態へ電子装置101を復帰させるように、電子装置101のMEは構築されてもよい。
「ディセーブルされた」、「ロックされた」及び「プロテクトされた」という用語は、電子装置101のさらに安全な動作モードに関して交換可能に使用されてもよい。一実施例において、ディセーブルされた、ロックされた、盗まれた又はプロテクトされた状態は、ある状態を指し、その状態は、盗難防止技術により電子装置101の起動を留保して起動前の段階に留め、認証されていない装置の起動を許可しない状態である。電子装置101は、チップセット又はプラットフォームによりロックされ、そのチップセット等は、BIOS106の操作を通過して、盗難の疑いのある電子装置101を起動することを一般的に防止する。電子装置101の紛失又は盗難の報告のような1つ以上のイベントが、安全性の高い動作モードの契機となってもよい(より強いセキュア動作モードのトリガになってもよい。)。例えば、盗難防止報告を管理する管理者に、ユーザが盗難又は紛失を報告すると、その管理者がネットワーク120を介してME102にコマンドを送信し、電子装置101をロックされた状態に設定してもよい。電子装置101は、ローカルな又はリモートの手段により紛失又は盗難として判別されてもよい。実施形態はこれらに限定されず、他の実施例では、他の状態やイベントが安全性の高い動作モードのトリガになってもよい。
ME102は、ローカルPBAモジュール109又は取り外し可能なPBAモジュール116を介して、信頼性又は信用証明物(credential)を認証し、電子装置101をディセーブル状態から再度イネーブルにされた状態に復帰させてもよい。ME102は、ME102と通信するPBAモジュール109、116のために、公開鍵又は秘密鍵のような安全な信用証明物を要求してもよい。安全な又はセキュアな信用証明物は、例えば、ネットワーク120を介してME102と通信するサーバにより提供されてもよい。様々な実施例に関し、ME102は、盗難防止プラットフォームにおいて、様々な内蔵プロセッサ又はその他のセキュア実現環境を含む。
CPU環境103は、1つ以上の環境104、106及び108を含み、それらは電子装置101のCPUにより実現される。CPU環境103を制御するCPUは、一実施例では、ホストオペレーティング環境104及びBIOS106を起動するよう構築されてもよい。CPU環境103を制御するCPU及びME102を制御する内蔵プロセッサについては、図2の電子装置200に関連してさらに説明される。
ホストオペレーティング環境104は、電子装置101のオペレーティングシステム(OS)を含む。一実施例では、ホストオペレーティング環境104はホストモジュール105を含み、盗難防止又は他のセキュリティ機能を管理し、サーバモジュール119を有するサーバ118とネットワーク120を介してやり取りを行い、盗難防止及び他のセキュリティ機能を管理する。一実施例では、ホストモジュール105はサーバモジュール119とやり取りを行い、例えば、盗難検出、ポリシ執行(policy enforcement)、サーバランデブ(server rendezvous)及び/又は鍵管理等を含む機能を管理する。例えば、ホストモジュール105は、盗難検出、ポリシ執行、サーバランデブ及び/又は鍵管理に関する情報を、サーバ118及びME102の間で中継する。ネットワーク120は、無線ネットワーク、ローカルエリアネットワーク(LAN)、又はインターネット等を含む適切な如何なるネットワークを含んでもよい。実施例はこれらの形態に限定されず、他の実施例では様々な他のタイプのネットワークが使用されてもよい。
電子装置101はペリフェラルインターフェース(周辺機器インターフェース)112を含んでもよい。一実施例では、ペリフェラルインターフェース112は、リムーバブルストレージデバイス114が電子装置101に取り付けられることを可能にする。ペリフェラルインターフェース112は、例えば、一実施例ではユニバーサルシリアルバス(USB)インターフェースを含んでもよい。実施例はこれらの形態に限定されず、他の実施例において他のタイプのペリフェラルインターフェース112が使用されてもよい。
CPU環境103は、BIOS106をさらに含んでもよい。一実施例では、BIOS106は、ホストオペレーティング環境104、ME102及びペリフェラルインターフェース112に動作可能に結合されている。BIOS106は、起動前処理や以下のオペレーティングシステムレベルの処理を実行する様々なモジュールを含む。例えば、BIOS106は認証モジュール107を含み、電子装置101がディセーブルされた状態、ロックされた状態、盗まれた状態又はプロテクトされた状態にあった場合に、認証モジュール107は、ディセーブルされた状態から復帰すること、電子装置101に保存されているデータを復元すること、或いはそれらの組み合わせ動作を支援することに従事する。
ME102に状態を問い合わせることで、電子装置101がディセーブル、ロック、盗用又はプロテクトされた状態にあるか否かを判断するように、BIOS106は構築されてもよい。電子装置がディセーブル、ロック、盗用又はプロテクトされた状態であって場合、BIOS106は、PBAモジュール109又はリムーバブルPBAモジュール116に制御を移し、認証及び復元する機能を提供するように構築されもよい。BIOS106は、1つ以上の実施例において「起動前ファームウエア(pre-boot firmware)」と言及される。
様々な実施例に関し、BIOS106は、リムーバブルストレージデバイス114が電子装置101に取り付けられているか否かを起動時に確認するように構築される。BIOS106は、リムーバブルストレージデバイス114を検出すると、(PBAモジュール116が)ME102とやり取りを行うように、リムーバブルストレージデバイス114に格納されているPBAモジュール116に制御を移し、電子装置101をディセーブル状態から再度イネーブルされた状態に復元するように構築されてもよく、この点ローカル認証モジュール107とやり取りを行う動作と異なる。
一実施例では、起動前の間に、リムーバブルストレージデバイス114が電子装置101に取り付けられているか否かを判断し、取り付けられていた場合、リムーバブルストレージデバイス114の起動可能用環境から電子装置101を起動するようにBIOS106は構築される。この点、電子装置101の起動用環境から起動する動作と異なる。BIOS106がリムーバブルストレージデバイス114を検出しなかった場合、ローカルPBAモジュール109と協働し、起動前認証機能を実行するように、BIOS106は構築されてもよい。
ローカルPBAモジュール109又はリムーバブルPBAモジュール116は、様々な起動前認証機能を実行するように構築されてよい。一実施例では、ME102に状態を問い合わせることで、電子装置101がディセーブル、ロック、盗用又はプロテクトされた状態にあるか否かを判断するように、PBAモジュール109、116は構築されてもよい。一実施例では、PBAモジュール109、116は、ME102と通信するために、公開鍵又は秘密鍵のような安全な信用証明物を使用してもよい。電子装置101がディセーブル、ロック、盗用又はプロテクトされた状態にあることを検出した場合、認証用の信用証明物を提示することをユーザに促すように、PBAモジュール109、116は構築されてもよい。認証要の信用証明物は、例えば、ユーザのパスフレーズ又はサーバが生成したパスフレーズ等を含んでもよい。実施例はこれらの形態に限定されず、他の実施例では他のタイプの認証用信用証明物が使用されてもよい。
電子装置101がディセーブル、ロック、盗用又はプロテクトされた状態ではないことが確認された場合、ホストオペレーティング環境104にログオンすることをユーザに促すように、PBAモジュール109、116は構築されてもよい。PBAモジュール109、116の起動前認証機能が成功裏に完了した場合に、ホストオペレーティング環境104が起動されてもよい。
ローカルPBAモジュール109は、BIOS106、ホストオペレーティング環境104及びME102に動作可能に結合され、ME102とやり取りを行い、電子装置101をディセーブル状態から再度イネーブルされた状態に戻す。ローカルPBAモジュール109を格納しているストレージデバイスの破損(これに限定されない)等を含む様々な状態に起因して、ローカルPBAモジュール109は動作しないかもしれない。そのような場合、ディセーブルされた電子装置101を戻す、復元する又はイネーブルし直すように、リムーバブルストレージデバイス114のPBAモジュール116が実装される。
BIOS106は、電子装置101がME102によりディセーブルにされているか否かを判断するように構築される。一実施例では、電子装置101がディセーブル状態であり、かつどのPBAモジュール109、116もBIOS106により検出されなかった場合、BIOS106はシャットダウンするように構築されてもよい。例えば、PBAモジュール109が破損しており、かつPBAモジュール116を有するリムーバブルストレージデバイス114が電子装置101に取り付けられていなかった場合、如何なるPBAモジュール109、116も検出されない。電子装置101をシャットダウンすることは、電子装置101への電力供給をオフにすることを含むが、これに限定されない。一実施例では、割り当てられた時間以内に、有効な認証用の信用証明物が提供されていなかった場合、BIOS106は電子装置101をシャットダウンするように構築されてもよい。
システム100は、不揮発性ストレージ115、PBAモジュール116及びペリフェラルインターフェース112を有するリムーバブルストレージデバイス114を取り外し可能に含んでもよい。不揮発性ストレージ115は、例えばフラッシュメモリを含む様々な不揮発性ストレージデバイスにより構築されてよい。様々な実施例に関し、リムーバブルストレージデバイス114は、例えば磁気ストレージデバイスを含む他のタイプの不揮発性ストレージデバイス115により構築されてもよい。実施例はこれらの形態に限定されず、他の実施例ではリムーバブルストレージデバイス114は他のタイプの様々な不揮発性ストレージ115を含んでもよい。
リムーバブルストレージデバイス114のペリフェラルインターフェース117は、様々なタイプのインターフェースを含んでよい。一実施例では、ペリフェラルインターフェース117は、USBインターフェースを含むが、これに限定されない。ペリフェラルインターフェース117は、ペリフェラルインターフェース117の隣に矢印で示されているように、電子装置101のペリフェラルインターフェース112に結合するように構築される。
PBAモジュール116は不揮発性ストレージ115の中に保存されてもよい。一実施例では、起動前に、電子装置101にリムーバブルストレージデバイス114が取り付けられていることを、起動前ファームウエア106が検出した場合、電子装置101の起動前ファームウエア106から制御を移すように、PBAモジュール116は構築されてもよい。PBAモジュール116は、電子装置101のME102とやり取りを行い、プロテクトされた状態からプロテクトされてない状態に電子装置を戻すように構築されてもよい。
リムーバブルストレージデバイス114は、電子装置101がリムーバブルストレージデバイス114から起動してもよいように、起動用の環境を備える。リムーバブルストレージデバイス114は例えば或るソフトウエアカーネルを有し、そのソフトウエアカーネルは、起動前の認証のためのランタイム環境(run time environment)を提供する。一実施例では、リムーバブルストレージデバイス114は、例えば、親指型ドライブ(thumb drive)、ペン型ドライブ又は他の同様なドライブを含む様々なタイプのフラッシュドライブの内の何れかにより構築される。実施例はこれらの形態に限定されず、例えば、他の実施例においてリムーバブルストレージデバイス114は、磁気ストレージデバイス又は他のデバイスを含む他のデバイスを備えてもよい。
様々な実施例に関し、リムーバブルストレージデバイス114は携帯可能又は移動可能でもよい。リムーバブルストレージデバイス114は、セキュリティを増進するため、電子装置101を所有又は使用する企業の独占装置又はソールデバイス(sole device)でもよい。リムーバブルストレージデバイス114は、企業が指定したセキュアエリアにおいて電子装置101に取り付けられてもよい。ディセーブル状態から再度イネーブルされた状態に電子装置101を戻すための認証用信用証明物は、情報技術管理者から提供されもよく、それは、認証用証明物を与える前にユーザの身元(identity)を確認することを含んでよい。実施例はこれらの形態に限定されず、電子システム101の安全な復元を行う他の方法が使用されてもよい。
図2は、様々な実施例に関する電子装置の概略図を示す。電子装置200は、電子装置101に関して既に説明された例に対応する。電子装置200は電子装置101をさらに詳細に示す。一実施例では、電子装置200は、広範囲に及ぶ電子装置(有線又は無線を問わない)として意図されている。一実施例では、電子装置200は様々な装置であり、例えば、デスクトップコンピュータ装置、ラップトップコンピュータ装置、パーソナルコンピュータ(PC)、無線電話機、セルラ起動PDAを含むパーソナルディジタルアシスタント(PDA)、セットトップボックス、ポケットPC、タブレットPC、DVDプレーヤ又はサーバ等を含むがこれらに限定されず、他の電子装置を含んでもよい。代替的な電子装置は、より多数の、より少数の及び/又は異なる要素を含んでもよい。様々な実施例に関し、電子装置200は、ホストデバイス、コンピュータシステム、装置、製造品、ディジタルデバイス又はそれらの組み合わせ等でもよい。
一実施例では、電子装置200は、図1に関して説明及び記述したような電子装置100の特徴を有する。電子装置200は、バス205、他の通信装置又はインターフェース等の情報を通信するものと、情報を処理するためにバス205に結合されたプロセッサ210を含む。バス205は、同一の又は異なるタイプのともに結合(ブリッジ)された複数のバス又は1つのシステムバスでもよい。電子装置200は、1つ以上のプロセッサ及び/又はコプロセッサを含んでもよい。一実施例では、ホストオペレーティング環境104、BIOS106、ローカルPBA環境108、又はそれらの組み合わせを動作させるように構築された中央処理ユニット(CPU)207を、装置200は含む。装置200は、管理エンジン(ME)102を動作させる内蔵プロセッサ(EP: Embedded Processor)のような他のプロセッサをさらに含んでもよい。様々な実施例に関し、CPU207はCPU環境103を動作させる又は制御し、内蔵プロセッサ208はME102を動作させる又は制御する。電子装置200は図示されているものよりも多数の又は少数のプロセッサを含んでもよい。
装置200は、様々なタイプのストレージを含むストレージ媒体215を含み、ストレージ媒体は情報や命令を保存するためにバス205に結合され、該情報や命令はプロセッサ207、208、210により処理又は実行される。様々な実施例に関し、ストレージ媒体215は、図示されているものより多数の又は少数のタイプのストレージを含んでもよい。一実施例では、BIOS206及びME102(上記の説明内容を参照)を動作させる命令は、ストレージ媒体215に保存されている。様々な実施例に関し、命令は、ファームウエアやソフトウエアの形式でもよい。
一実施例では、装置200は、バス205に結合されたランダムアクセスメモリ(RAM)又は他のストレージデバイス220(「メモリ」と言及されてもよい)を含んでもよい。メモリ220は、プロセッサ207、208、210による命令実行中に、一時的な変数又は他の中間的な情報を保存するのに使用されてもよい。メモリ220は一実施例ではフラッシュメモリ装置である。一実施例では、BIOS206、ME102又はそれらの組み合わせを実現するための命令は、メモリ220に保存されている。
装置200は、バス205に結合されたリードオンリメモリ(ROM)及び/又は他のスタティックストレージデバイス230を含み、それらはプロセッサ207、208、210のための静的な情報や命令を保存する。一実施例では、BIOS206、ME102又はそれらの組み合わせを実現するための命令は、スタティックストレージ230に保存されている。データストレージデバイス240は、バス205に結合され、情報及び命令を保存する。磁気ディスク又は非解離ディスクのようなデータストレージデバイス240及び関連するドライブは、電子装置200に結合される。一実施例では、ローカルPBAモジュール109を実現するための命令は、データストレージデバイス240に保存されている。一実施例では、BIOS206、ME102又はそれらの組み合わせを実現するための命令は、データストレージデバイス240に保存されている。
一実施例では、電子装置200は、ストレージ媒体215とストレージ媒体215に保存された複数の命令を有する製造品を含み、該命令は電子装置200のBIOS106を実現するように構築され、電子装置は、ホストオペレーティング環境104と、ホストオペレーティング環境104とは独立に動作するME102とを有する。ストレージ媒体215は、ストレージ媒体215に保存される他の複数の命令を有し、該命令はME102を実現するように構築され、ME102は、信用証明物を認証し、盗用されている状態から通常の状態へ電子装置200を復帰させて戻すように構築される。
電子装置200は、バス205を介して、ユーザに情報を表示するディスプレイ装置250にも結合され、ディスプレイ装置は例えば陰極線管(CRT)又は液晶ディスプレイ(LCD)等である。英数字及び他のキーを含む英数字入力装置260がバス205に結合され、情報及びコマンドをプロセッサ210に通知する。カーソル制御部217は、他のタイプの入力装置でもよく、例えば、マウス、トラックボール又はカーソル指示キー等を含み、情報やコマンド選択内容をプロセッサ210に通知し、ディスプレイ250におけるカーソルの動きを制御する。
電子装置200は1つ以上のネットワークインターフェースをさらに含み、限定ではないが、ローカルエリアネットワークのようなネットワーク120へのアクセスをもたらす。ネットワークインターフェース280は、例えば、アンテナ285を有する無線ネットワークインターフェースを含み、アンテナ285は1つ以上のアンテナを表す。ネットワークインターフェース280は、ネットワークケーブル287を介してリモートデバイスと通信するための有線インターフェースをも含み、ネットワークケーブルは、例えば、イーサーネットケーブル、同軸ケーブル、光ファイバケーブル、シリアルケーブル又はパラレルケーブル等でもよい。
一実施例では、IEEE802.11b及び/又はIEEE802.11gの標準規格のような電気電子技術者協会(IEEE)の標準規格に従うことによって、ネットワークインターフェース280は、ローカルエリアネットワークへのアクセスを提供してもよく、及び/又は無線ネットワークインターフェースは、ブルートゥース標準規格に従うことによって、パーソナルエリアネットワークへのアクセスを提供してもよい。他の無線ネットワークインターフェース及び/又はプロトコルがサポートされてもよい。
IEEE802.11bは、“Local and Metropolitan Area Networks, Part11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Higher-Speed Physical Layer Extension in the 2.4GHz Band”と題するIEEEStd.802.11b-1999に対応し、これは関連するドキュメントとともに1999年9月16日付で承認されている。IEEE802.11gは、“Local and Metropolitan Area Networks, Part11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Amendment 4: Further Higher Rate Extension in the 2.4GHz Band”と題するIEEEStd.802.11g-2003に対応し、これは関連するドキュメントとともに2003年6月27日付けで承認されている。ブルートゥースプロトコルは、“Specification of the Bluetooth System: Core, Version 1.1”に記載されており、これはブルートゥースSIG(Bluetooth Special Interest Group)インコーポレーテッドにより2001年2月22日付で公表されている。ブルートゥース標準規格の先行する又は後続のバージョンがサポートされていてもよい。
無線LAN標準仕様に加えて又は代替的に、例えば、時間分割多重アクセス(TDMA)プロトコル、移動通信用グローバルシステム(GSM)プロトコル、符号分割多重アクセス(CDMA)プロトコル、及び/又は適切な何らかの他のタイプの無線通信プロトコルを利用して、ネットワークインターフェース280は無線通信を行ってもよい。
電子装置200はペリフェラルインターフェース290をさらに含み、ペリフェラルインターフェース290は、ペリフェラルインターフェース112に関して説明された例に対応する。ペリフェラルインターフェース290は、リムーバブルストレージデバイス114が、電子装置200に取り付けられることを可能にするように構築される。一実施例では、電子装置200は、ストレージ媒体215及びストレージ媒体215に保存されている複数の命令を有する製造品を含み、起動前に、リムーバブルストレージデバイス114がペリフェラルインターフェース290を介して電子装置200に取り付けられているか否かを検出し、取り付けられていることを検出した場合、(PBAモジュール116が)ME102とやり取りを行うように、リムーバブルストレージデバイス114に格納されているPBAモジュール116に制御を移し、盗用状態から通常の動作状態へ電子装置200を復帰させて戻すように、BIOS106を構築する。
図3は、様々な実施例に関し、ロックされた電子装置を復帰させる方法のフローチャートを示す。一実施例における方法300は、ブロック302において、リムーバブルストレージデバイスがコンピュータシステムに取り付けられているか否かを確認し、リムーバブルストレージデバイスを検出した場合、ブロック304において、コンピュータシステムのBIOSから、リムーバブルストレージデバイスに格納されている起動前認証(PBA)モジュールへ、制御を移し、ブロック306において、コンピュータシステムはロックされた状態にあるか否かをPBAモジュール116が判定し、コンピュータシステムがロックされた状態にあることを確認した場合、ブロック308において、ロックされた状態からロックされていない状態へコンピュータシステムを復元する。「コンピュータシステム」という用語が方法300の説明で使用されているが、方法300の処理は、電子装置、ホストデバイス、装置、製造品又はディジタルデバイス等(これらに限定されない)に対しても同様に機能する。方法300は、図1及び図2に関して説明されて様々な処理や動作を含んでよい。
方法300は、起動前に、コンピュータシステムのBIOSが、リムーバブルストレージデバイスはコンピュータシステムに取り付けられているか否かを確認することを含む(302)。コンピュータシステムは、ホストオペレーティング環境と、ホストオペレーティング環境とは独立に動作する管理エンジン(ME)とを含んでよい。方法300は、起動前に、コンピュータシステムの状態をMEに問い合わせることを含んでもよい。
方法300は、リムーバブルストレージデバイスを検出した場合、PBAモジュールがMEとやり取りを行うように、リムーバブルストレージデバイスに格納されているPBAモジュールに制御を移し、ロックされた状態からロックされていない状態へコンピュータシステムを戻すことを含む(304)。一実施例では、PBAモジュール116に制御を移すことは、リムーバブルストレージデバイスに格納されている起動用環境からコンピュータシステムを起動する(ブートする)ことを含む。
一実施例において、方法300は、リムーバブルストレージデバイスを検出した場合、PBAモジュールが、コンピュータシステムはロックされた状態にあるか否かを確認することをさらに含んでもよい(306)。PBAモジュール116は、例えば、MEに問い合わせを行い、コンピュータシステムがロックされている状態にあること又はロック解除されている状態にあることを決定してもよい。MEは、MEと通信する際に、公開鍵又は秘密鍵のようなセキュアな信用証明物を要求してもよい。一実施例では、PBAモジュールは、MEと通信するための公開鍵又は秘密鍵のようなセキュアな信用証明物を有する。
方法300は、コンピュータシステムがロックされた状態にあることを確認した場合、ロック状態から非ロック状態へコンピュータシステムを戻すことをさらに含む(308)。ロック状態から非ロック状態へコンピュータシステムを戻すことは、ユーザが認証用の信用証明物をPBAモジュールを介してMEに提供することを促すことを含んでもよい。認証用の信用証明物は、例えば、サーバが生成したパスフレーズやユーザのパスフレーズを含んでよいが、これらに限定されない。
様々な実施例に関し、方法300は、起動前に、コンピュータシステムがロックされた状態にあるか否かをBIOSが確認することをさらに含んでもよい。BIOSは、例えば、MEに問い合わせを行い、コンピュータシステムがロック又はロック解除された状態にあることを確認する。コンピュータシステムがロックされた状態にあることをBIOSが確認し、かつコンピュータシステムをロック状態からロック解除状態に戻すためのPBAモジュールをBIOSが全く検出できなかった場合、BIOSはコンピュータシステムをシャットダウンしてもよい。例えば、破損又は他の何らかの事象に起因して、ローカルPBAモジュールが適切に動作できず、しかもPBAモジュールを有するリムーバブルストレージデバイスがコンピュータシステムに取り付けられていなかった場合、PBAモジュールは一切検出されないことになる。一実施例では、有効な信用証明物が割り当て時間内に提供されなかった場合、或いはコンピュータシステムがロックされている際にBIOSが割り当て時間内にPBAモジュールを検出できなかった場合、又はそれらの組み合わせの場合に、BIOSはコンピュータシステムをシャットダウンしてもよい。
特許請求の範囲に記載の対象を理解する上で最も有効な方法により、様々な動作例が個々の多数の動作として説明されてきた。しかしながら、説明の順序は、動作がその順序に従わなければならないように解釈されるべきではない。特に、これらの動作は説明された順序で実行されなくてもよい。説明された動作や処理は、説明された実施例とは異なる順序で実行されてもよい。様々な追加的な処理が実行されてもよいし、及び/又は説明された処理が別の実施例において省略されてもよい。
特定の実施例が説明及び記述されてきたが、同様な目的を達成する様々な代替例及び/又は等価な実施例又は実施形態が、本願の開示範囲から逸脱せずに、図示及び説明された実施例と置き換えられてもよいことが、当業者に理解されるであろう。本願の開示による実施例が非常に様々な方法で実現されてもよいことを、当業者は容易に認めるであろう。本願は、説明された実施例に対する如何なる適用例も変形例も網羅するように意図されている。したがって、本願の開示による形態は特許請求の範囲及びその均等物によってのみ限定されることを意図していることは明白である。
100 システム
101 電子装置
102 管理エンジン(ME)
103 中央処理装置(CPU)環境
104 ホストオペレーティング環境
105 ホストモジュール
106 ベーシック入出力システム(BIOS)
107 BIOSモジュール
108 ローカル起動前認証(PBA)
109 ローカルPBAモジュール
110 ME環境
111 MEモジュール
112 周辺機器インターフェース
114 リムーバブルストレージデバイス
115 不揮発性ストレージ
116 起動前認証(PBA)モジュール
117 周辺機器インターフェース
118 サーバ
119 サーバモジュール
120 ネットワーク
200 電子装置
205 バス
206 BIOS
207 CPU
208 内蔵プロセッサ(EP)
210 プロセッサ
215 ストレージ媒体
220 メモリ
230 スタティックストレージ
240 データストレージデバイス
250 表示装置
260 英数字入力装置
270 カーソル制御部
280 ネットワークインターフェース
285 アンテナ
287 ネットワークケーブル
290 ペリフェラルインターフェース
101 電子装置
102 管理エンジン(ME)
103 中央処理装置(CPU)環境
104 ホストオペレーティング環境
105 ホストモジュール
106 ベーシック入出力システム(BIOS)
107 BIOSモジュール
108 ローカル起動前認証(PBA)
109 ローカルPBAモジュール
110 ME環境
111 MEモジュール
112 周辺機器インターフェース
114 リムーバブルストレージデバイス
115 不揮発性ストレージ
116 起動前認証(PBA)モジュール
117 周辺機器インターフェース
118 サーバ
119 サーバモジュール
120 ネットワーク
200 電子装置
205 バス
206 BIOS
207 CPU
208 内蔵プロセッサ(EP)
210 プロセッサ
215 ストレージ媒体
220 メモリ
230 スタティックストレージ
240 データストレージデバイス
250 表示装置
260 英数字入力装置
270 カーソル制御部
280 ネットワークインターフェース
285 アンテナ
287 ネットワークケーブル
290 ペリフェラルインターフェース
IEEEStd.802.11b-1999:"Local and Metropolitan Area Networks, Part11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Higher-Speed Physical Layer Extension in the 2.4GHz Band"
IEEEStd.802.11g-2003:"Local and Metropolitan Area Networks, Part11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Amendment 4: Further Higher Rate Extension in the 2.4GHz Band"
Claims (21)
- コンピュータシステムのベーシック入出力システム(BIOS)により、ホストオペレーティングシステム環境の起動前に、リムーバブルストレージデバイスが前記コンピュータシステムに取り付けられているか否かを確認するステップであって、前記コンピュータシステムは、前記ホストオペレーティング環境と、該ホストオペレーティング環境とは独立に動作する管理エンジン(ME)とを有する、ステップと、
前記リムーバブルストレージデバイスを検出した場合、前記MEとやり取りを行うように、前記リムーバブルストレージデバイスに格納されている起動前認証(PBA)モジュールに、前記BIOSが制御を移し、前記コンピュータシステムをロックされた状態からロックされていない状態へ戻すステップと、
前記コンピュータシステムがロックされた状態にあるか否かを、前記PBAモジュールが確認するステップと、
前記コンピュータシステムがロックされている状態にあることを確認した場合、認証用の信用証明物を前記PBAモジュールを介して前記MEに提供することをユーザに促すことで、前記コンピュータシステムをロックされている状態からロックされていない状態に戻すステップであって、前記MEが通信用の公開鍵又は秘密鍵を要求し、前記PBAモジュールが前記MEと通信するための公開鍵又は秘密鍵を有する、ステップと、
前記リムーバブルストレージデバイスが前記BIOSにより検出されなかった場合、前記ホストオペレーティングシステム環境の起動前に前記BIOSは、前記コンピュータシステムが前記ロックされた状態にあるか否かを判定し、前記コンピュータシステムが前記ロックされた状態にありかつ前記コンピュータシステムを前記ロックされた状態からロックされていない状態へ戻す如何なるPBAモジュールも前記BIOSにより検出されなかった場合、前記BIOSが前記コンピュータシステムをシャットダウンするステップと
を有する方法。 - 認証用の信用証明物を前記PBAモジュールを介して前記MEに提供することをユーザに促す際に、
前記コンピュータシステムをロックされた状態からロックされていない状態へ戻すために、ユーザに対して、サーバが生成したパスフレーズを求める、請求項1記載の方法。 - 前記リムーバブルストレージデバイスに格納されているPBAモジュールに前記BIOSが制御を移す際に、前記リムーバブルストレージデバイスに格納されている起動用環境から前記コンピュータシステムを前記BIOSが起動する、請求項1記載の方法。
- 装置であって、
ホストオペレーティング環境と、
前記ホストオペレーティング環境に結合されているが、該ホストオペレーティング環境とは独立に動作する管理エンジン(ME)であって、ある状態を検出した場合に当該装置をディセーブルにし、認証できた場合に当該装置を再びイネーブルにする、管理エンジン(ME)と、
リムーバブルストレージデバイスが当該装置に取り付けられることを可能にするペリフェラルインターフェースと、
前記ホストオペレーティング環境、前記ME及び前記ペリフェラルインターフェースに動作可能に結合されたベーシック入出力システム(BIOS)と
を有し、前記BIOSは、
リムーバブルストレージデバイスが当該装置に取り付けられているか否かを、ホストオペレーティングシステム環境の起動前に確認し、前記リムーバブルストレージデバイスを検出した場合、前記MEとやり取りを行うように、前記リムーバブルストレージデバイスに格納された起動前認証(PBA)モジュールに制御を移し、当該装置がディセーブル状態から再びイネーブルされた状態に戻るようにし、かつ
前記リムーバブルストレージデバイスが検出されなかった場合、前記ホストオペレーティングシステム環境の起動前に前記コンピュータシステムが前記ロックされた状態にあるか否かを判定し、前記コンピュータシステムが前記ロックされた状態にありかつ前記コンピュータシステムを前記ロックされた状態からロックされていない状態へ戻す如何なるPBAモジュールも前記BIOSにより検出されなかった場合、前記コンピュータシステムをシャットダウンする、装置。 - 前記ペリフェラルインターフェースは、ユニバーサルシリアルバス(USB)を含む、請求項4記載の装置。
- 前記ホストオペレーティング環境及び前記BIOSを動作させる中央処理ユニット(CPU)と、
前記MEを動作させる内蔵プロセッサと
を有する請求項4記載の装置。 - 前記BIOS、前記ホストオペレーティング環境及び前記MEと動作可能に結合され、前記MEとやり取りを行い、当該装置をディセーブル状態から再びイネーブルされた状態に戻すローカル起動前認証(PBA)モジュール
をさらに有する請求項4記載の装置。 - 当該装置が前記MEによりディセーブルにされているか否かを、前記BIOSが確認する、請求項4記載の装置。
- 前記BIOSは、前記リムーバブルストレージデバイスの起動用環境から当該装置を起動する、請求項4記載の装置。
- 前記MEは、前記PBAモジュールを介して信用証明物を認証し、当該装置をディセーブル状態から再びイネーブルされた状態に戻す、請求項4記載の装置。
- 前記PBAモジュールは、認証用の信用証明物を前記MEにユーザが提供することを促し、当該装置をディセーブル状態から再びイネーブルされた状態に戻す、請求項4記載の装置。
- 前記MEが通信用の公開鍵又は秘密鍵を要求し、前記PBAモジュールが前記MEと通信するための公開鍵又は秘密鍵を有する、請求項4記載の装置。
- コンピュータに制御方法を実行させる命令を保存するストレージ媒体であって、前記制御方法は、
ホストオペレーティング環境及び該ホストオペレーティング環境とは独立に動作する管理エンジン(ME)を有するディジタルデバイスのベーシック入出力システム(BIOS)が、
前記ホストオペレーティング環境の起動前に、リムーバブルストレージデバイスが前記ディジタルデバイスに取り付けられているか否かを確認し、取り付けられていることを検出した場合、前記MEとやり取りを行うように、前記リムーバブルストレージデバイスに格納された起動前認証(PBA)モジュールに制御を移し、前記ディジタルデバイスを、盗用された状態から通常の動作状態に戻して復帰させ、
前記リムーバブルストレージデバイスが検出されなかった場合、前記ホストオペレーティングシステム環境の起動前に前記コンピュータシステムが前記ロックされた状態にあるか否かを判定し、前記コンピュータシステムが前記ロックされた状態にありかつ前記コンピュータシステムを前記ロックされた状態からロックされていない状態へ戻す如何なるPBAモジュールも前記BIOSにより検出されなかった場合、前記コンピュータシステムをシャットダウンするステップを有する、ストレージ媒体。 - 前記ストレージ媒体が、不揮発性メモリを含む、請求項13記載のストレージ媒体。
- 前記MEを実現するために前記ストレージ媒体に格納された別の複数の命令をさらに有し、前記MEは、前記PBAモジュールを介して信用証明物を認証し、前記ディジタルデバイスを、盗用された状態から通常の動作状態に戻して復帰させる、請求項13記載のストレージ媒体。
- 前記BIOSは、前記リムーバブルストレージデバイスの起動用環境から前記ディジタルデバイスを起動する、請求項13記載のストレージ媒体。
- リムーバブルストレージデバイスであって、
当該リムーバブルストレージデバイスを電子装置に取り付けるペリフェラルインターフェースと、
前記ペリフェラルインターフェースに結合された不揮発性ストレージと、
前記不揮発性ストレージに格納された起動前認証(PBA)モジュールと
を有し、前記PBAモジュールは、前記電子装置に当該リムーバブルストレージデバイスが取り付けられていることを、起動前ファームウェアが検出した場合、PBAモジュールは、前記電子装置の起動前ファームウェアから制御を移し、前記電子装置の管理エンジン(ME)とやり取りを行い、プロテクトされた状態からプロテクトされてない状態に前記電子装置を戻し、
前記起動前ファームウェアは、前記リムーバブルストレージデバイスが取り付けられていることを検出しなかった場合、前記起動前ファームウェアの起動前に前記電子装置が前記ロックされた状態にあるか否かを判定し、前記電子装置が前記ロックされた状態にありかつ如何なるPBAモジュールも前記起動前ファームウェアにより検出されなかった場合、前記電子装置をシャットダウンする、リムーバブルストレージデバイス。 - 前記ペリフェラルインターフェースはユニバーサルシリアルバス(USB)を含み、前記不揮発性ストレージはフラッシュメモリを含む、請求項17記載のリムーバブルストレージデバイス。
- 前記PBAモジュールは、認証用の信用証明物を前記MEに提供することをユーザに促し、プロテクトされた状態からプロテクトされてない状態に前記電子装置を戻す、請求項17記載のリムーバブルストレージデバイス。
- 前記MEが通信用の公開鍵又は秘密鍵を要求し、前記PBAモジュールが前記MEと通信するための公開鍵又は秘密鍵を有する、請求項17記載のリムーバブルストレージデバイス。
- 前記起動前ファームウェアは、当該リムーバブルストレージデバイスの起動用環境から前記電子装置を起動する、請求項17記載のリムーバブルストレージデバイス。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/346,078 US8296554B2 (en) | 2008-12-30 | 2008-12-30 | Pre-boot recovery of a locked computer system |
| US12/346,078 | 2008-12-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010157229A JP2010157229A (ja) | 2010-07-15 |
| JP5117483B2 true JP5117483B2 (ja) | 2013-01-16 |
Family
ID=42077907
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009292868A Expired - Fee Related JP5117483B2 (ja) | 2008-12-30 | 2009-12-24 | ロックされたコンピュータシステムにおける起動前リカバリのための方法、装置、ストレージ媒体及びリムーバブルストレージデバイス |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8296554B2 (ja) |
| EP (1) | EP2204756B1 (ja) |
| JP (1) | JP5117483B2 (ja) |
| KR (1) | KR101077717B1 (ja) |
| CN (1) | CN101789060B (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9367327B2 (en) * | 2010-09-24 | 2016-06-14 | Intel Corporation | Method to ensure platform silicon configuration integrity |
| WO2012111018A1 (en) * | 2011-02-17 | 2012-08-23 | Thozhuvanoor Vellat Lakshmi | Secure tamper proof usb device and the computer implemented method of its operation |
| US9105009B2 (en) | 2011-03-21 | 2015-08-11 | Microsoft Technology Licensing, Llc | Email-based automated recovery action in a hosted environment |
| US20130133024A1 (en) * | 2011-11-22 | 2013-05-23 | Microsoft Corporation | Auto-Approval of Recovery Actions Based on an Extensible Set of Conditions and Policies |
| US9460303B2 (en) | 2012-03-06 | 2016-10-04 | Microsoft Technology Licensing, Llc | Operating large scale systems and cloud services with zero-standing elevated permissions |
| US8892904B2 (en) * | 2012-09-13 | 2014-11-18 | Intel Corporation | Hardware enforced security governing access to an operating system |
| US8881249B2 (en) | 2012-12-12 | 2014-11-04 | Microsoft Corporation | Scalable and automated secret management |
| TWI574175B (zh) * | 2013-06-18 | 2017-03-11 | 緯創資通股份有限公司 | 防盜方法及其電腦系統 |
| US9762585B2 (en) | 2015-03-19 | 2017-09-12 | Microsoft Technology Licensing, Llc | Tenant lockbox |
| US10931682B2 (en) | 2015-06-30 | 2021-02-23 | Microsoft Technology Licensing, Llc | Privileged identity management |
| WO2020167284A1 (en) | 2019-02-11 | 2020-08-20 | Hewlett-Packard Development Company, L.P. | Restoration of firmware subsystems based on manufacturing states |
| WO2021086315A1 (en) | 2019-10-29 | 2021-05-06 | Hewlett-Packard Development Company L.P. | Tracking device state transitions |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5892906A (en) * | 1996-07-19 | 1999-04-06 | Chou; Wayne W. | Apparatus and method for preventing theft of computer devices |
| US5748084A (en) * | 1996-11-18 | 1998-05-05 | Isikoff; Jeremy M. | Device security system |
| US6170055B1 (en) | 1997-11-03 | 2001-01-02 | Iomega Corporation | System for computer recovery using removable high capacity media |
| US6654890B1 (en) | 1999-10-01 | 2003-11-25 | Intel Corporation | Protection of laptop computers from theft in the stream of commerce |
| US7930531B2 (en) | 2000-01-06 | 2011-04-19 | Super Talent Electronics, Inc. | Multi-partition USB device that re-boots a PC to an alternate operating system for virus recovery |
| US20030028765A1 (en) * | 2001-07-31 | 2003-02-06 | Cromer Daryl Carvis | Protecting information on a computer readable medium |
| TW516000B (en) * | 2001-09-12 | 2003-01-01 | Winbond Electronics Corp | Method for security protection of digital processing device and apparatus thereof |
| DE10217582A1 (de) * | 2002-04-19 | 2003-11-06 | Fujitsu Siemens Computers Gmbh | Diebstahlschutz für mobile elektronische Geräte |
| US7337323B2 (en) | 2002-09-20 | 2008-02-26 | Safenet, Inc. | Boot-up and hard drive protection using a USB-compliant token |
| TWI326427B (en) * | 2005-06-22 | 2010-06-21 | Egis Technology Inc | Biometrics signal input device, computer system having the biometrics signal input device, and control method thereof |
| JP4793628B2 (ja) * | 2005-09-01 | 2011-10-12 | 横河電機株式会社 | Os起動方法及びこれを用いた装置 |
| US7739726B2 (en) * | 2005-11-14 | 2010-06-15 | Route1 Inc. | Portable device for accessing host computer via remote computer |
| US20070223685A1 (en) | 2006-02-06 | 2007-09-27 | David Boubion | Secure system and method of providing same |
| US20080022124A1 (en) * | 2006-06-22 | 2008-01-24 | Zimmer Vincent J | Methods and apparatus to offload cryptographic processes |
| US7882365B2 (en) * | 2006-12-22 | 2011-02-01 | Spansion Llc | Systems and methods for distinguishing between actual data and erased/blank memory with regard to encrypted data |
| WO2008147577A2 (en) * | 2007-01-22 | 2008-12-04 | Spyrus, Inc. | Portable data encryption device with configurable security functionality and method for file encryption |
-
2008
- 2008-12-30 US US12/346,078 patent/US8296554B2/en active Active
-
2009
- 2009-12-23 EP EP09252895.9A patent/EP2204756B1/en active Active
- 2009-12-24 KR KR1020090130996A patent/KR101077717B1/ko not_active IP Right Cessation
- 2009-12-24 JP JP2009292868A patent/JP5117483B2/ja not_active Expired - Fee Related
- 2009-12-25 CN CN200911000088.2A patent/CN101789060B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2204756A1 (en) | 2010-07-07 |
| KR20100080400A (ko) | 2010-07-08 |
| US20100169630A1 (en) | 2010-07-01 |
| EP2204756B1 (en) | 2013-05-08 |
| JP2010157229A (ja) | 2010-07-15 |
| US8296554B2 (en) | 2012-10-23 |
| KR101077717B1 (ko) | 2011-10-27 |
| CN101789060A (zh) | 2010-07-28 |
| CN101789060B (zh) | 2014-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5117483B2 (ja) | ロックされたコンピュータシステムにおける起動前リカバリのための方法、装置、ストレージ媒体及びリムーバブルストレージデバイス | |
| US8028172B2 (en) | Systems and methods for updating a secure boot process on a computer with a hardware security module | |
| EP2207122B1 (en) | System and method to provide added security to a platform using locality-based data | |
| US9251353B2 (en) | Secure caching of server credentials | |
| JP5551057B2 (ja) | 復元方法、プラットフォーム及び記憶媒体 | |
| US7506380B2 (en) | Systems and methods for boot recovery in a secure boot process on a computer with a hardware security module | |
| CN102955921B (zh) | 电子装置与安全开机方法 | |
| US8556991B2 (en) | Approaches for ensuring data security | |
| EP3125149B1 (en) | Systems and methods for securely booting a computer with a trusted processing module | |
| US9449157B2 (en) | Mechanisms to secure data on hard reset of device | |
| KR101654778B1 (ko) | 하드웨어 강제 액세스 보호 | |
| US11200065B2 (en) | Boot authentication | |
| EP3198518B1 (en) | Prevention of cable-swap security attack on storage devices | |
| WO2018026628A1 (en) | Systems and methods for storing administrator secrets in management controller-owned cryptoprocessor | |
| US10146952B2 (en) | Systems and methods for dynamic root of trust measurement in management controller domain | |
| US20210216640A1 (en) | Systems and methods for hardware root of trust with protected redundant memory for authentication failure scenarios | |
| US20190171820A1 (en) | Securing Resumption from Sleep Mode Using a Storage Medium Authentication Credential | |
| TWI767548B (zh) | 操作具有複數個作業系統之使用者裝置的方法及系統 | |
| US11275817B2 (en) | System lockdown and data protection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120221 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120516 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120925 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121017 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151026 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |