JP5117483B2 - ロックされたコンピュータシステムにおける起動前リカバリのための方法、装置、ストレージ媒体及びリムーバブルストレージデバイス - Google Patents
ロックされたコンピュータシステムにおける起動前リカバリのための方法、装置、ストレージ媒体及びリムーバブルストレージデバイスInfo
- Publication number
- JP5117483B2 JP5117483B2 JP2009292868A JP2009292868A JP5117483B2 JP 5117483 B2 JP5117483 B2 JP 5117483B2 JP 2009292868 A JP2009292868 A JP 2009292868A JP 2009292868 A JP2009292868 A JP 2009292868A JP 5117483 B2 JP5117483 B2 JP 5117483B2
- Authority
- JP
- Japan
- Prior art keywords
- removable storage
- storage device
- computer system
- state
- bios
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Description
コンピュータシステムのベーシック入出力システム(BIOS)により、ホストオペレーティングシステム環境の起動前に(pre-boot)、リムーバブルストレージデバイスが前記コンピュータシステムに取り付けられているか否かを確認するステップであって、前記コンピュータシステムは、前記ホストオペレーティング環境と、該ホストオペレーティング環境とは独立に動作する管理エンジン(ME)とを有する、ステップと、
前記リムーバブルストレージデバイスを検出した場合、前記MEとやり取りを行うように、前記リムーバブルストレージデバイスに格納されている起動前認証(PBA)モジュールに、前記BIOSが制御を移し、前記コンピュータシステムをロックされた状態からロックされていない状態へ戻すステップと、
前記コンピュータシステムがロックされた状態にあるか否かを、前記PBAモジュールが確認するステップと、
前記コンピュータシステムがロックされている状態にあることを確認した場合、認証用の信用証明物を前記PBAモジュールを介して前記MEに提供することをユーザに促すことで、前記コンピュータシステムをロックされている状態からロックされていない状態に戻すステップであって、前記MEが通信用の公開鍵又は秘密鍵を要求し、前記PBAモジュールが前記MEと通信するための公開鍵又は秘密鍵を有する、ステップと、
前記リムーバブルストレージデバイスが前記BIOSにより検出されなかった場合、前記ホストオペレーティングシステム環境の起動前に前記BIOSは、前記コンピュータシステムが前記ロックされた状態にあるか否かを判定し、前記コンピュータシステムが前記ロックされた状態にありかつ前記コンピュータシステムを前記ロックされた状態からロックされていない状態へ戻す如何なるPBAモジュールも前記BIOSにより検出されなかった場合、前記BIOSが前記コンピュータシステムをシャットダウンするステップと
を有する方法である。
101 電子装置
102 管理エンジン(ME)
103 中央処理装置(CPU)環境
104 ホストオペレーティング環境
105 ホストモジュール
106 ベーシック入出力システム(BIOS)
107 BIOSモジュール
108 ローカル起動前認証(PBA)
109 ローカルPBAモジュール
110 ME環境
111 MEモジュール
112 周辺機器インターフェース
114 リムーバブルストレージデバイス
115 不揮発性ストレージ
116 起動前認証(PBA)モジュール
117 周辺機器インターフェース
118 サーバ
119 サーバモジュール
120 ネットワーク
200 電子装置
205 バス
206 BIOS
207 CPU
208 内蔵プロセッサ(EP)
210 プロセッサ
215 ストレージ媒体
220 メモリ
230 スタティックストレージ
240 データストレージデバイス
250 表示装置
260 英数字入力装置
270 カーソル制御部
280 ネットワークインターフェース
285 アンテナ
287 ネットワークケーブル
290 ペリフェラルインターフェース
Claims (21)
- コンピュータシステムのベーシック入出力システム(BIOS)により、ホストオペレーティングシステム環境の起動前に、リムーバブルストレージデバイスが前記コンピュータシステムに取り付けられているか否かを確認するステップであって、前記コンピュータシステムは、前記ホストオペレーティング環境と、該ホストオペレーティング環境とは独立に動作する管理エンジン(ME)とを有する、ステップと、
前記リムーバブルストレージデバイスを検出した場合、前記MEとやり取りを行うように、前記リムーバブルストレージデバイスに格納されている起動前認証(PBA)モジュールに、前記BIOSが制御を移し、前記コンピュータシステムをロックされた状態からロックされていない状態へ戻すステップと、
前記コンピュータシステムがロックされた状態にあるか否かを、前記PBAモジュールが確認するステップと、
前記コンピュータシステムがロックされている状態にあることを確認した場合、認証用の信用証明物を前記PBAモジュールを介して前記MEに提供することをユーザに促すことで、前記コンピュータシステムをロックされている状態からロックされていない状態に戻すステップであって、前記MEが通信用の公開鍵又は秘密鍵を要求し、前記PBAモジュールが前記MEと通信するための公開鍵又は秘密鍵を有する、ステップと、
前記リムーバブルストレージデバイスが前記BIOSにより検出されなかった場合、前記ホストオペレーティングシステム環境の起動前に前記BIOSは、前記コンピュータシステムが前記ロックされた状態にあるか否かを判定し、前記コンピュータシステムが前記ロックされた状態にありかつ前記コンピュータシステムを前記ロックされた状態からロックされていない状態へ戻す如何なるPBAモジュールも前記BIOSにより検出されなかった場合、前記BIOSが前記コンピュータシステムをシャットダウンするステップと
を有する方法。 - 認証用の信用証明物を前記PBAモジュールを介して前記MEに提供することをユーザに促す際に、
前記コンピュータシステムをロックされた状態からロックされていない状態へ戻すために、ユーザに対して、サーバが生成したパスフレーズを求める、請求項1記載の方法。 - 前記リムーバブルストレージデバイスに格納されているPBAモジュールに前記BIOSが制御を移す際に、前記リムーバブルストレージデバイスに格納されている起動用環境から前記コンピュータシステムを前記BIOSが起動する、請求項1記載の方法。
- 装置であって、
ホストオペレーティング環境と、
前記ホストオペレーティング環境に結合されているが、該ホストオペレーティング環境とは独立に動作する管理エンジン(ME)であって、ある状態を検出した場合に当該装置をディセーブルにし、認証できた場合に当該装置を再びイネーブルにする、管理エンジン(ME)と、
リムーバブルストレージデバイスが当該装置に取り付けられることを可能にするペリフェラルインターフェースと、
前記ホストオペレーティング環境、前記ME及び前記ペリフェラルインターフェースに動作可能に結合されたベーシック入出力システム(BIOS)と
を有し、前記BIOSは、
リムーバブルストレージデバイスが当該装置に取り付けられているか否かを、ホストオペレーティングシステム環境の起動前に確認し、前記リムーバブルストレージデバイスを検出した場合、前記MEとやり取りを行うように、前記リムーバブルストレージデバイスに格納された起動前認証(PBA)モジュールに制御を移し、当該装置がディセーブル状態から再びイネーブルされた状態に戻るようにし、かつ
前記リムーバブルストレージデバイスが検出されなかった場合、前記ホストオペレーティングシステム環境の起動前に前記コンピュータシステムが前記ロックされた状態にあるか否かを判定し、前記コンピュータシステムが前記ロックされた状態にありかつ前記コンピュータシステムを前記ロックされた状態からロックされていない状態へ戻す如何なるPBAモジュールも前記BIOSにより検出されなかった場合、前記コンピュータシステムをシャットダウンする、装置。 - 前記ペリフェラルインターフェースは、ユニバーサルシリアルバス(USB)を含む、請求項4記載の装置。
- 前記ホストオペレーティング環境及び前記BIOSを動作させる中央処理ユニット(CPU)と、
前記MEを動作させる内蔵プロセッサと
を有する請求項4記載の装置。 - 前記BIOS、前記ホストオペレーティング環境及び前記MEと動作可能に結合され、前記MEとやり取りを行い、当該装置をディセーブル状態から再びイネーブルされた状態に戻すローカル起動前認証(PBA)モジュール
をさらに有する請求項4記載の装置。 - 当該装置が前記MEによりディセーブルにされているか否かを、前記BIOSが確認する、請求項4記載の装置。
- 前記BIOSは、前記リムーバブルストレージデバイスの起動用環境から当該装置を起動する、請求項4記載の装置。
- 前記MEは、前記PBAモジュールを介して信用証明物を認証し、当該装置をディセーブル状態から再びイネーブルされた状態に戻す、請求項4記載の装置。
- 前記PBAモジュールは、認証用の信用証明物を前記MEにユーザが提供することを促し、当該装置をディセーブル状態から再びイネーブルされた状態に戻す、請求項4記載の装置。
- 前記MEが通信用の公開鍵又は秘密鍵を要求し、前記PBAモジュールが前記MEと通信するための公開鍵又は秘密鍵を有する、請求項4記載の装置。
- コンピュータに制御方法を実行させる命令を保存するストレージ媒体であって、前記制御方法は、
ホストオペレーティング環境及び該ホストオペレーティング環境とは独立に動作する管理エンジン(ME)を有するディジタルデバイスのベーシック入出力システム(BIOS)が、
前記ホストオペレーティング環境の起動前に、リムーバブルストレージデバイスが前記ディジタルデバイスに取り付けられているか否かを確認し、取り付けられていることを検出した場合、前記MEとやり取りを行うように、前記リムーバブルストレージデバイスに格納された起動前認証(PBA)モジュールに制御を移し、前記ディジタルデバイスを、盗用された状態から通常の動作状態に戻して復帰させ、
前記リムーバブルストレージデバイスが検出されなかった場合、前記ホストオペレーティングシステム環境の起動前に前記コンピュータシステムが前記ロックされた状態にあるか否かを判定し、前記コンピュータシステムが前記ロックされた状態にありかつ前記コンピュータシステムを前記ロックされた状態からロックされていない状態へ戻す如何なるPBAモジュールも前記BIOSにより検出されなかった場合、前記コンピュータシステムをシャットダウンするステップを有する、ストレージ媒体。 - 前記ストレージ媒体が、不揮発性メモリを含む、請求項13記載のストレージ媒体。
- 前記MEを実現するために前記ストレージ媒体に格納された別の複数の命令をさらに有し、前記MEは、前記PBAモジュールを介して信用証明物を認証し、前記ディジタルデバイスを、盗用された状態から通常の動作状態に戻して復帰させる、請求項13記載のストレージ媒体。
- 前記BIOSは、前記リムーバブルストレージデバイスの起動用環境から前記ディジタルデバイスを起動する、請求項13記載のストレージ媒体。
- リムーバブルストレージデバイスであって、
当該リムーバブルストレージデバイスを電子装置に取り付けるペリフェラルインターフェースと、
前記ペリフェラルインターフェースに結合された不揮発性ストレージと、
前記不揮発性ストレージに格納された起動前認証(PBA)モジュールと
を有し、前記PBAモジュールは、前記電子装置に当該リムーバブルストレージデバイスが取り付けられていることを、起動前ファームウェアが検出した場合、PBAモジュールは、前記電子装置の起動前ファームウェアから制御を移し、前記電子装置の管理エンジン(ME)とやり取りを行い、プロテクトされた状態からプロテクトされてない状態に前記電子装置を戻し、
前記起動前ファームウェアは、前記リムーバブルストレージデバイスが取り付けられていることを検出しなかった場合、前記起動前ファームウェアの起動前に前記電子装置が前記ロックされた状態にあるか否かを判定し、前記電子装置が前記ロックされた状態にありかつ如何なるPBAモジュールも前記起動前ファームウェアにより検出されなかった場合、前記電子装置をシャットダウンする、リムーバブルストレージデバイス。 - 前記ペリフェラルインターフェースはユニバーサルシリアルバス(USB)を含み、前記不揮発性ストレージはフラッシュメモリを含む、請求項17記載のリムーバブルストレージデバイス。
- 前記PBAモジュールは、認証用の信用証明物を前記MEに提供することをユーザに促し、プロテクトされた状態からプロテクトされてない状態に前記電子装置を戻す、請求項17記載のリムーバブルストレージデバイス。
- 前記MEが通信用の公開鍵又は秘密鍵を要求し、前記PBAモジュールが前記MEと通信するための公開鍵又は秘密鍵を有する、請求項17記載のリムーバブルストレージデバイス。
- 前記起動前ファームウェアは、当該リムーバブルストレージデバイスの起動用環境から前記電子装置を起動する、請求項17記載のリムーバブルストレージデバイス。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/346,078 US8296554B2 (en) | 2008-12-30 | 2008-12-30 | Pre-boot recovery of a locked computer system |
US12/346,078 | 2008-12-30 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010157229A JP2010157229A (ja) | 2010-07-15 |
JP5117483B2 true JP5117483B2 (ja) | 2013-01-16 |
Family
ID=42077907
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009292868A Expired - Fee Related JP5117483B2 (ja) | 2008-12-30 | 2009-12-24 | ロックされたコンピュータシステムにおける起動前リカバリのための方法、装置、ストレージ媒体及びリムーバブルストレージデバイス |
Country Status (5)
Country | Link |
---|---|
US (1) | US8296554B2 (ja) |
EP (1) | EP2204756B1 (ja) |
JP (1) | JP5117483B2 (ja) |
KR (1) | KR101077717B1 (ja) |
CN (1) | CN101789060B (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9367327B2 (en) * | 2010-09-24 | 2016-06-14 | Intel Corporation | Method to ensure platform silicon configuration integrity |
WO2012111018A1 (en) * | 2011-02-17 | 2012-08-23 | Thozhuvanoor Vellat Lakshmi | Secure tamper proof usb device and the computer implemented method of its operation |
US9105009B2 (en) | 2011-03-21 | 2015-08-11 | Microsoft Technology Licensing, Llc | Email-based automated recovery action in a hosted environment |
US20130133024A1 (en) * | 2011-11-22 | 2013-05-23 | Microsoft Corporation | Auto-Approval of Recovery Actions Based on an Extensible Set of Conditions and Policies |
US9460303B2 (en) | 2012-03-06 | 2016-10-04 | Microsoft Technology Licensing, Llc | Operating large scale systems and cloud services with zero-standing elevated permissions |
US8892904B2 (en) * | 2012-09-13 | 2014-11-18 | Intel Corporation | Hardware enforced security governing access to an operating system |
US8881249B2 (en) | 2012-12-12 | 2014-11-04 | Microsoft Corporation | Scalable and automated secret management |
TWI574175B (zh) * | 2013-06-18 | 2017-03-11 | 緯創資通股份有限公司 | 防盜方法及其電腦系統 |
US9762585B2 (en) | 2015-03-19 | 2017-09-12 | Microsoft Technology Licensing, Llc | Tenant lockbox |
US10931682B2 (en) | 2015-06-30 | 2021-02-23 | Microsoft Technology Licensing, Llc | Privileged identity management |
WO2020167284A1 (en) | 2019-02-11 | 2020-08-20 | Hewlett-Packard Development Company, L.P. | Restoration of firmware subsystems based on manufacturing states |
WO2021086315A1 (en) | 2019-10-29 | 2021-05-06 | Hewlett-Packard Development Company L.P. | Tracking device state transitions |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5892906A (en) * | 1996-07-19 | 1999-04-06 | Chou; Wayne W. | Apparatus and method for preventing theft of computer devices |
US5748084A (en) * | 1996-11-18 | 1998-05-05 | Isikoff; Jeremy M. | Device security system |
US6170055B1 (en) | 1997-11-03 | 2001-01-02 | Iomega Corporation | System for computer recovery using removable high capacity media |
US6654890B1 (en) | 1999-10-01 | 2003-11-25 | Intel Corporation | Protection of laptop computers from theft in the stream of commerce |
US7930531B2 (en) | 2000-01-06 | 2011-04-19 | Super Talent Electronics, Inc. | Multi-partition USB device that re-boots a PC to an alternate operating system for virus recovery |
US20030028765A1 (en) * | 2001-07-31 | 2003-02-06 | Cromer Daryl Carvis | Protecting information on a computer readable medium |
TW516000B (en) * | 2001-09-12 | 2003-01-01 | Winbond Electronics Corp | Method for security protection of digital processing device and apparatus thereof |
DE10217582A1 (de) * | 2002-04-19 | 2003-11-06 | Fujitsu Siemens Computers Gmbh | Diebstahlschutz für mobile elektronische Geräte |
US7337323B2 (en) | 2002-09-20 | 2008-02-26 | Safenet, Inc. | Boot-up and hard drive protection using a USB-compliant token |
TWI326427B (en) * | 2005-06-22 | 2010-06-21 | Egis Technology Inc | Biometrics signal input device, computer system having the biometrics signal input device, and control method thereof |
JP4793628B2 (ja) * | 2005-09-01 | 2011-10-12 | 横河電機株式会社 | Os起動方法及びこれを用いた装置 |
US7739726B2 (en) * | 2005-11-14 | 2010-06-15 | Route1 Inc. | Portable device for accessing host computer via remote computer |
US20070223685A1 (en) | 2006-02-06 | 2007-09-27 | David Boubion | Secure system and method of providing same |
US20080022124A1 (en) * | 2006-06-22 | 2008-01-24 | Zimmer Vincent J | Methods and apparatus to offload cryptographic processes |
US7882365B2 (en) * | 2006-12-22 | 2011-02-01 | Spansion Llc | Systems and methods for distinguishing between actual data and erased/blank memory with regard to encrypted data |
WO2008147577A2 (en) * | 2007-01-22 | 2008-12-04 | Spyrus, Inc. | Portable data encryption device with configurable security functionality and method for file encryption |
-
2008
- 2008-12-30 US US12/346,078 patent/US8296554B2/en active Active
-
2009
- 2009-12-23 EP EP09252895.9A patent/EP2204756B1/en active Active
- 2009-12-24 KR KR1020090130996A patent/KR101077717B1/ko not_active IP Right Cessation
- 2009-12-24 JP JP2009292868A patent/JP5117483B2/ja not_active Expired - Fee Related
- 2009-12-25 CN CN200911000088.2A patent/CN101789060B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
EP2204756A1 (en) | 2010-07-07 |
KR20100080400A (ko) | 2010-07-08 |
US20100169630A1 (en) | 2010-07-01 |
EP2204756B1 (en) | 2013-05-08 |
JP2010157229A (ja) | 2010-07-15 |
US8296554B2 (en) | 2012-10-23 |
KR101077717B1 (ko) | 2011-10-27 |
CN101789060A (zh) | 2010-07-28 |
CN101789060B (zh) | 2014-05-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5117483B2 (ja) | ロックされたコンピュータシステムにおける起動前リカバリのための方法、装置、ストレージ媒体及びリムーバブルストレージデバイス | |
US8028172B2 (en) | Systems and methods for updating a secure boot process on a computer with a hardware security module | |
EP2207122B1 (en) | System and method to provide added security to a platform using locality-based data | |
US9251353B2 (en) | Secure caching of server credentials | |
JP5551057B2 (ja) | 復元方法、プラットフォーム及び記憶媒体 | |
US7506380B2 (en) | Systems and methods for boot recovery in a secure boot process on a computer with a hardware security module | |
CN102955921B (zh) | 电子装置与安全开机方法 | |
US8556991B2 (en) | Approaches for ensuring data security | |
EP3125149B1 (en) | Systems and methods for securely booting a computer with a trusted processing module | |
US9449157B2 (en) | Mechanisms to secure data on hard reset of device | |
KR101654778B1 (ko) | 하드웨어 강제 액세스 보호 | |
US11200065B2 (en) | Boot authentication | |
EP3198518B1 (en) | Prevention of cable-swap security attack on storage devices | |
WO2018026628A1 (en) | Systems and methods for storing administrator secrets in management controller-owned cryptoprocessor | |
US10146952B2 (en) | Systems and methods for dynamic root of trust measurement in management controller domain | |
US20210216640A1 (en) | Systems and methods for hardware root of trust with protected redundant memory for authentication failure scenarios | |
US20190171820A1 (en) | Securing Resumption from Sleep Mode Using a Storage Medium Authentication Credential | |
TWI767548B (zh) | 操作具有複數個作業系統之使用者裝置的方法及系統 | |
US11275817B2 (en) | System lockdown and data protection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120221 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120516 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120925 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121017 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151026 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |