JP5512841B2 - マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステム - Google Patents

マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステム Download PDF

Info

Publication number
JP5512841B2
JP5512841B2 JP2013018350A JP2013018350A JP5512841B2 JP 5512841 B2 JP5512841 B2 JP 5512841B2 JP 2013018350 A JP2013018350 A JP 2013018350A JP 2013018350 A JP2013018350 A JP 2013018350A JP 5512841 B2 JP5512841 B2 JP 5512841B2
Authority
JP
Japan
Prior art keywords
manageability engine
key
user
band
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013018350A
Other languages
English (en)
Other versions
JP2013084312A (ja
Inventor
スミス ネッド
ゴエル プルショッタム
Original Assignee
インテル コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インテル コーポレイション filed Critical インテル コーポレイション
Publication of JP2013084312A publication Critical patent/JP2013084312A/ja
Application granted granted Critical
Publication of JP5512841B2 publication Critical patent/JP5512841B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G2358/00Arrangements for display data security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Description

本発明は概してユーザ認証に関する。より具体的には、本発明は、マネージャビリティ(管理容易性)エンジンを用いた、企業ネットワークへのシングルサインオン(single-sign-on)のための方法及びシステムに関する。
データ保護のためのインテル社のAnti-Theft(登録商標)(盗難防止)技術は、チップセット及びその周辺部品にフルディスク暗号化(Full Disk Encryption;FDE)を付加するプラットフォーム能力を有する。OS(オペレーティングシステム)及びユーザのデータを含め、At−d保護ドライブ上の全データが暗号化される。暗号化されないままの領域は、マネージャビリティエンジン(manageability engine;ME)メタデータ及び起動前(プリブート)認証メタデータの領域を含む。ドライブを完全に暗号化することにより、ページングファイル及び設定ファイル内に含まれる機密データが保護され、ツールキットによるシステムファイルのオフラインアタッカー操作が防止される。
ドライブを完全に暗号化することは同時に、難しい問題を提示する。例えば、ユーザが認証されるまで、ディスクドライブはユーザに使用禁止にされる。現在のやり方は、オペレーティングシステム(OS)が初期認証を行うことに頼っているが、FDEを用いると、OSは暗号化され、OSを介してユーザを認証することが困難になる。故に、ユーザ認証は、ドライブへのアクセスを必要とする如何なる起動前サービスよりも前に行われなければならない。
マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステムを提供する。
一態様に従って、マネージャビリティエンジンを用いた安全なアクセス方法が提供される。当該方法は、起動前処理の間にユーザから認証応答を受信する段階、プロトコルを用いて、キー配布センター(KDC)に登録する段階、及びキー暗号キー(KEK)の形態でシングルサインオン信用保証を受信する段階を有する。KEKは後に、企業サーバへの安全なアクセスを構築するために使用される。
添付の図面は、ここに組み込まれ、本明細書の一部を形成し、ここでの説明とともに本発明の実施形態を例示し、更に、本発明の原理を説明し且つ当業者が本発明の形成及び使用を行うことを可能にする役割を果たす。図面において、似通った参照符号は、同一の、機能的に同様の、且つ/或いは構造的に同様の要素を指し示す。或る要素が最初に現れる図は、対応する参照符号の最初の桁によって指し示される。
記載の実施形態の態様が用いられ得る典型的なコンピュータプラットフォームを例示するブロック図である。 本発明の一実施形態に従った、マネージャビリティエンジンを用いる企業ネットワークのシングルサインオンのためのシステムを例示するブロック図である。 本発明の一実施形態に従った、マネージャビリティエンジンを用いる企業ネットワークのシングルサインオンのための典型的な方法を示すフロー図である。 本発明の一実施形態に従った、1つ以上の企業サーバからのリソース又はサービスへのアクセスを可能にする典型的な方法を示すフロー図である。
ここでは、本発明は特定の用途のための例示的な実施形態を参照して説明される。しかしながら、理解されるように、本発明はそれに限定されるものではない。ここで提供される教示を利用し得る当業者は、その教示の範囲内、及び本発明の実施形態が有意に役立つ更なる分野の範囲内で、更なる変更、用途及び実施形態を認識するであろう。
本明細書において、本発明の“1つの実施形態”、“一実施形態”又は“他の一実施形態”への言及は、その実施形態に関連して説明される或る特定の特徴、構造又は特長が、本発明の少なくとも1つの実施形態中に含まれることを意味する。故に、“1つの実施形態において”又は“一実施形態において”という言い回しが本明細書全体を通して様々な箇所に現れることは、必ずしも、全てが同一の実施形態について言及しているわけではない。
本発明の実施形態は、起動前処理の間にユーザから認証応答を受信し、且つケルベロス(Kerberos)プロトコルを用いて、ユーザがPC(パーソナルコンピュータ)に首尾良く認証されたことをケルベロス鍵(キー)配布センター(KDC)に登録するマネージャビリティエンジン(ME)を提供する。KDCはMEに、企業システムサービスへの安全なアクセスを得るために後にPCによって使用され得るキー暗号化キー(Key Encryption Key;KEK)の形態のシングルサインオン信用証明を提供する。
本発明の実施形態は、起動前環境における早い段階で企業識別管理サービスを用いてユーザ認証を実行する能力を提供する。この能力は、企業ネットワークによって管理されているユーザ信用証明を用いるための企業ネットワークへの直接的な帯域外(アウトオブバンド;OOB)アクセスを可能にするマネージャビリティエンジンを用いて提供される。本発明の実施形態はまた、ユーザが既にOS起動中に認証されていることをオペレーティングシステム(OS)が認識することを可能にする。これは、信用証明マネジャがOSユーザログインを中断し、MEからのKEKを要求することによって、ユーザが既にその企業システムサービスで認証されているかを決定し得るようにすることによって達成される。KEKがME内に安全に記憶されている場合、KEKは取り出され、信用証明マネジャに戻される。信用保証マネジャは、KEKを受信すると、ユーザが既にその企業システムサービスに認証されていることを決定し、OSユーザログインプロンプトを差し止め、その処理を単にシングルサインオンを要求する状態にする。
本発明の実施形態は、OS及びプラットフォームからのその設定への依存性を排除し、ユーザ(及び計算機)IDに基づいて動的に選択及び設定が行われるように仮想計算機モニタ(virtual machine monitor;VMM)、仮想計算機(VM)、OS及びアプリケーションがプラットフォーム上で用いられることを可能にする。ユーザ認証は信用できないOS及び/又はVMMから保護される。KDCへの認証、及びそれに続くプラットフォームへのユーザ信用証明/権限付与の発行は、OS又はVMM上の悪意ソフトウェア(マルウェア)又はその他の攻撃を免れる。
本発明の実施形態は、ID管理基盤としてケルベロスを用いて説明されるが、本発明はケルベロスを基盤とするものに限定されない。当業者が知るであろうように、例えばSAML(Security Assertion Markup Language)、カードスペース(Card Space)、リバティアライアンス(Liberty Alliance)、公開鍵などのその他のID管理基盤も用いられ得る。
図1は、記載の実施形態の態様が用いられ得る典型的なコンピュータプラットフォームを例示するブロック図である。コンピュータプラットフォーム100はプロセッサ102(帯域内(インバンド)プロセッサとしても知られる)を有している。プロセッサ102は、一実施形態においてダイナミックランダムアクセスメモリ(DRAM)104とし得るシステムメモリに結合され得る。プロセッサ102は、例えばマイクロプロセッサ、デジタル信号処理器又はマイクロコントローラ等の、ソフトウェアを実行することが可能な如何なる種類のプロセッサであってもよい。図1はそのようなプロセッサ102を1つのみを示しているが、プラットフォーム100内には1つ又は複数のプロセッサが存在していてもよく、それらプロセッサのうちの1つ以上がマルチスレッド又はマルチコア等を含んでいてもよい。
プロセッサ102は更に、ダイレクトメディアインタフェース(DMI)108を介してチップセット106に接続され得る。チップセット106は、とりわけ、マネージャビリティエンジン(ME)110、暗号サービスブロック(CSB)112、及び仮想化エンジン(VE)114を有している。CSB112は、AES(Advanced Encryption Standard)のハードウェア実装であり、128ビットと256ビットの大きさのキーに対応している。VE114はSATA(Serial Advanced Technology Attachment)コントローラ116に結合されており、SATAコントローラ116は、例えばSATA装置118等の取り付けられた何らかのSATA記憶装置のための、SATAコマンドの復号化及びその他の加速処理を実行する。VE114はまた、例えばNANDフラッシュ122等のNVM装置上にデータをキャッシュするために、不揮発性メモリ(NVM)コントローラ120に結合されている。ME110は、ポリシー及びキーを設定することによって、VE114及びCSB112の挙動を制御する。ME110は聴講イベントを収集し、ユーザ認証を管理し、且つ企業システムサービス126とのインタフェースを取る。ME110は帯域外コントローラ(図示せず)及びネットワークコントローラ124を用い、ネットワーク125を介して企業システムサービス126とのインタフェースを取る。一実施形態において、ネットワーク125は、例えば以下に限られないがインターネット等の、ワイドエリアネットワークとし得る。
一実施形態において、チップセット106はシリアル周辺インタフェース(SPI)バス128を介して不揮発性メモリ130に結合される。不揮発性メモリ130は、フラッシュメモリ又はスタティックランダムアクセスメモリ(SRAM)等とし得る。数多くの既存のプラットフォームにおいて、NVM130はフラッシュメモリである。フラッシュメモリ130は、チップセット106用のチップセットファームウェア132と、ネットワークコントローラ124用のネットワークコントローラファームウェアとを含んでいる。
一部の実施形態において、プロセッサ102は、NVM130内に、基本入出力システム(BIOS)ファームウェア136を有する。他の一部の実施形態において、ブートベクトル(ポインタ)がNVM130のBIOSファームウェア136内にあって、プロセッサ102が遠隔装置(図示せず)から起動(ブート)されてもよい。チップセット106は、チップセット106を制御するためのチップセットファームウェア132、ネットワークコントローラ124を制御するためのネットワークコントローラファームウェア134、及びBIOSファームウェア136を含め、NVM130のコンテンツの全てにアクセスし得る。
図2は、本発明の一実施形態に従った、マネージャビリティエンジンを用いる企業ネットワークのシングルサインオンのためのシステムを例示するブロック図である。システム200は、起動前部分及び起動後部分を有するCPU202を有している。起動前部分は、とりわけ、基本入出力システム(BIOS)204及び起動前認証モジュール(PBAM)206を含んでいる。起動後部分は、とりわけ、オペレーティングシステム(OS)208及びGINA(図形識別・認証)210を含んでいる。システム200はまた、マネージャビリティエンジン(ME)110を含んでいる。ME110はCPU202に結合されている。
BIOS204は、部分的に、最初に電源投入されるときにパーソナルコンピュータ(PC)によって実行されるファームウェアコードを意味する。BIOS204の主な機能は、例えばビデオ表示カードやハードディスク等のシステム構成ハードウェア及びその他のハードウェア装置の識別及び初期設定を行うことである。BIOS204は、例えば、EFI(Extensible Firmware Interface)BIOS又はレガシーBIOSとし得る。本発明の一部の実施形態において、ユーザ(図示せず)はPBAM206を用いてBIOS204によって認証され得る。
PBAM206は、起動前の対話式ログインのための認証ポリシーを実装している。PBAM206は、信用がおける認証レイヤとしての、安全で不正が防止されたOS208の外部環境を保証するためのBIOS204の拡張である。PBAM206は、ユーザを認証するために、ユーザに認証課題(チャレンジ)を提供する。例えば、PBAM206はユーザからのユーザID及びパスワードを要求し得る。ユーザID及びパスワードは、そのユーザを認証すべきか決定するために、格納されたデータと比較され得る。PBAM206は、前に進むための正しいパスワードをユーザが有することをユーザが確認するまで、OS208が読み込むことを防止する。
OS208は、コンピュータプラットフォームの活動とリソースの共有との管理及び調整を担う。OS208は、例えば、マイクロソフト社のウィンドウズ(登録商標)OS又はリナックス(登録商標)OSとし得る。
GINA(図形識別・認証)210は、OS対話式ログインモデルの認証ポリシーを実装する動的リンクライブラリ(DLL)である。GINAは、信用証明マネジャとしても知られ、OSにおけるユーザ認証のための全ての識別・認証ユーザ対話を行う。
ME110は、とりわけ、ME共通サービス(CS)モジュール212を有している。ME共通サービスモジュール212は、マネージャビリティエンジン110上で実行されるファームウェアレイヤを表す。CS212は、ME110が例えば企業サービス220等の企業ネットワークに接続することを可能にする通信スタックを提供する。CS212はまた、チップセット106の機能を増大/低減するためにファームウェアモジュールが付加/除去されることが可能である場合、プラグインインタフェースを提供する。本発明の一実施形態において、DT2モジュール214及び共通認証モジュール(CAM)216は、チップセット106に追加機能を提供するファームウェアプラグインである。他のFW218は、別のファームウェアモジュール用の例示的な場所を示している。暗号鍵DWK(デバイス・ラップ・キー)215及びKEK(キー暗号キー)217は、それぞれ、DT2モジュール214及びCAM216に対応する信用証明であり、プラットフォーム上に安全に保管されるように示されている。その他219は他のFW218の暗号鍵用の場所を確保するものである。
DT2モジュール214は、暗号化された記憶装置へのアクセスを制御するファームウェアプラグインである。DWK215は、ファームウェアプラグインDT2(214)を用いて暗号化されたディスクを解除するために用いられる暗号鍵/信用証明である。暗号鍵215へのアクセスは、ユーザ又はアドミニストレータの認証の成功に基づく条件付きである。
共通認証モジュール(CAM)216は、起動前BIOSコード、必要に応じてのROM、又はユーザ認証チャレンジを実行するその他のホストファームウェアモジュールとのインタフェースを主として担う。チャレンジへの応答がCAM216に与えられ、主張されたIDが検証される。一実施形態において、CAM216はケルベロスクライアントとしても知られる。KEK217は、ケルベロスのチケット許可チケットすなわちTGT(ticket granting ticket)とも呼ばれ、企業サーバ226を介して企業システムサービス126にアクセスするチケットを取得するために使用される暗号鍵/信用証明である。暗号鍵KEK217へのアクセスは、ユーザ又はアドミニストレータの認証の成功に基づく条件付きである。
システム200は(図1に示したような)ネットワークを介して企業システム220にインタフェース接続される。企業システム220は、キー配布センター(KDC)222、ディレクトリ224、及び企業サーバ226を介しての企業システムサービス126を含んでいる。
KDC222は、ユーザ及びサービスの認証を手助けするように使用される認証サーバである。KDC222は、例えば企業システムサービス等のサービスへのアクセスを可能にするチケットを配布する。KDC222は、クライアントからの最初の認証要求に応答して、キー暗号キー(KEK)として知られる特別なキーを発行する。なお、KEKは、ケルベロスチャレンジ応答プロトコルにおけるチケット許可チケット(TGT)としても定義される。ユーザが実際に自身が主張する者である場合、ユーザはKEK/TGTを使用して、パスワードを再入力する必要なく企業システムサービス126への別のサービス入場チケットを取得することができる。KDC222は、バックエンドインタフェース(図示せず)を介して、ディレクトリ224にインタフェース接続し、ユーザ、ホスト又はサービスに関する情報を取得する。
ディレクトリ224は、ユーザ、ホスト及びサービスに関連するデータを格納している。ディレクトリ224内に格納されたデータは、以下に限られないが、ユーザ名、パスワード及びパスワードの有効期限、ユーザが保持するサービスに関するチケットの属性を含み得る。
図3は、本発明の一実施形態に従った、マネージャビリティエンジンを用いる企業ネットワークのシングルサインオンのための典型的な方法を示すフロー図300である。本発明は、フロー図300に関して説明される実施形態に限定されるものではなく、ここでの教示を受けた当業者に明らかになるように、他の機能フロー図も本発明の範囲内にある。処理はブロック302で開始し、直ちにブロック304へと進む。
ブロック304にて、ME共通認証モジュールがPBAMからユーザ認証信用証明(すなわち、ユーザID及びパスワード)を受信する。ユーザはBIOSを介してPBAMに真のユーザであることを証明する。PBAMはユーザを認証するためにユーザに認証チャレンジを提供する。例えば、PBAMはユーザからのユーザID及びパスワードを要求し得る。チャレンジに応答し、ユーザはPBAMにユーザ認証信用証明を提供し、ユーザ認証信用証明をMEに送信する。処理はブロック306へと進む。
ブロック306にて、MEが企業KDCへの接続を開設し、チケット許可チケット(TGT)としても知られるキー暗号キー(KEK)を要求する。KEKは、サービス126のために企業サーバ226にアクセスするためのサービス入場チケットを取得するために使用され得る。企業KDCは、企業チャレンジ応答プロトコルを実行し、そのユーザに関する情報を含んだディレクトリサービスに問い合わせることによって、そのユーザを企業の既知のエンティティとして検証/認証する。ディレクトリサービスは、マイクロソフト・アクティブ・ディレクトリ、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)、又はその他のディレクトリサービスとし得る。ユーザが既知のエンティティである(すなわち、ユーザID及びパスワードが真のものである)場合、企業KDCはKEKを返送することになる。企業KDCはまた、ユーザ特権、グループ会員資格、又はユーザに関するその他の制約、に関するその他の認証情報を返送することになる。KEKは、企業サーバへのサーバ特定チケットを要求する権限を有する。
ブロック308にて、ME共通認証モジュールが、KEK及びユーザに関するその他の認証情報を受信し、KEKをプラットフォームのフラッシュ又はその他の安全な記憶領域に安全に格納する。KEKは、フラッシュ内に安全に格納されると、MEの制御下に置かれ、故に、MEはこの段階で企業サーバへのサービス特定チケットを取得する権限を与えられる。そして、処理はブロック310へと進む。
一実施形態において、MEは、ユーザの認証成功に基づくアクションを実行することができ、サービス特定チケットを取得することができ、あるいは、ME共通サービスの下でサービスを実行することができる。
ブロック310にて、ディレクトリによって、あるいは認証パラメータからデバイス・ラップ・キー(DWK)を取得することによって供給されたトークンを用いて、例えば暗号化されたディスク等のプラットフォームリソースがロック解除(アンロック)され得る。そして、処理はブロック312へと進む。
処理のこの時点において、ユーザは基本的に、企業ユーザ信用証明(シングルサインオン信用証明)を用いて、MEにログオンしている。BIOSはこの段階でOSをロードする必要があり、ユーザはOSに認証される必要がある。ブロック312にて、MEは、OSを起動するために処理をBIOS(すなわち、BIOS206)に戻す。そして、処理はブロック314へと進む。
OSは起動されるとき、OSにユーザを認証する準備が整うポイントに到達するまで、その通常処理を経る。これは、例えばマイクロソフトGINA等の信用証明マネジャを呼び出すことによって実行される。GINA処理の間に、ユーザにユーザ認証信用証明を促すか、あるいはMEから自動的に信用証明を取得するかが決定されなければならない。ブロック314にて、ユーザログイン画面がユーザに提示されるべきポイントで通常のOSログイン処理を中断するために、例えばGINAラッパー等のソフトウェア・シム(shim)が用いられる。ソフトウェア・シムは、KEKを要求することによって、ユーザが既に企業システム220に真のユーザであることを証明しているかを検証するためにMEに問い合わせる。そして、処理はブロック316へと進む。
決定ブロック316にて、KEKが利用可能であるかを決定する。KEKが利用可能である場合、処理はブロック318へと進む。
ブロック318にて、KEK要求がMEへと誘導され、そこでKEKが安全な記憶装置から取り出されてシムに返送される。そして、シムは、ユーザが既に企業システムに真のユーザであることを証明していることを決定し、ユーザログインプロンプトを差し止め、処理を単にシングルサインオンを要求する状態にする。
決定ブロック316に話を戻し、KEKが利用可能でないと決定された場合、ユーザログインプロンプトは差し止められず、OSユーザ認証処理が通常通り進められる(ブロック320)。
OSは、企業サーバ上のリソース又はサービスへのアクセスを必要とするとき、この場合には、ローカルなKEKを用いて、適切な企業サーバに専用のチケットを取得することができる。このチケットは、OSと企業サーバとの間に安全な通信チャネルを構築するために使用され得る。一実施形態において、TLSプロトコルが用いられ、TLSセッションが取り決められ得る。
図4は、本発明の一実施形態に従った、1つ以上の企業サーバからのリソース又はサービスへのアクセスを可能にする典型的な方法を示すフロー図400である。本発明は、フロー図400に関して説明される実施形態に限定されるものではなく、ここでの教示を受けた当業者に明らかになるように、他の機能フロー図も本発明の範囲内にある。処理はブロック402で開始し、直ちにブロック404へと進む。
ブロック404にて、ユーザが企業システムサービス又はリソースへの認証を要求するとき、その要求がMEに向けられる。そして、処理はブロック406へと進む。
ブロック406にて、MEは、KEKを使用して、そのサービスを提供する企業サーバに専用のチケットを企業KDCから取得する。そして、処理はブロック408へと進む。
ブロック408にて、MEは、そのサービス用のチケットを受信すると、そのチケットをOS(又は、OS空間のアプリケーション)に提供する。一実施形態において、このチケットはこのチケット内に埋め込まれたキーを含んでいてもよい。そして、処理はブロック410へと進む。
ブロック410にて、OSはチケットを使用して、企業サーバとPCとの間に安全な通信チャネルを構築し得る。一実施形態において、TLSプロトコルが用いられ、PCと該サーバとの間でのTLSセッションが取り決められ得る。
本発明の実施形態の特定の態様は、ハードウェア、ソフトウェア、又はそれらの組み合わせを用いて実装され、1つ以上のコンピュータプラットフォーム又はその他の処理システムにて実現され得る。実際、一実施形態において、方法は、例えば移動式あるいは静止型のコンピュータ、携帯情報端末(PDA)、セットトップボックス、セル式電話及びポケットベル等のプログラム可能機械や、各々が少なくとも1つのプロセッサ、該少なくとも1つのプロセッサによって読み取り可能な記憶媒体(揮発性及び不揮発性のメモリ及び/又は記憶素子を含む)、少なくとも1つの入力装置、及び1つ以上の出力装置を含むその他の電子機器の上で実行されるプログラムにて実装され得る。入力装置を用いて入力されたデータにプログラムコードが適用され、記述された機能が実行され、出力情報が生成される。出力情報は1つ以上の出力装置に与えられ得る。当業者に認識されるように、本発明の実施形態は、マルチプロセッサシステム、ミニコンピュータ及びメインフレームコンピュータ等を含む様々なコンピュータプラットフォーム構成を用いて実施され得る。
各プログラムは、処理システムと通信するよう、ハイレベル手続き型プログラミング言語又はオブジェクト指向プログラミング言語にて実現され得る。しかしながら、プログラムは、必要に応じて、アセンブリ言語又は機械語にて実現されてもよい。何れにしても、言語はコンパイルされ、あるいはインタープリタされ得る。
プログラム命令は、該命令でプログラムされた汎用あるいは専用の処理システムに、ここで説明した方法を実行させるように用いられ得る。代替的に、方法は、当該方法を実行する配線論理を含んだ具体的なハードウェア要素によって、あるいはプログラムされたコンピュータ要素と特別注文のハードウェア要素との組み合わせによって実行されてもよい。ここで説明した方法は、当該方法を実行するように処理システム又はその他の電子機器をプログラムするために使用され得る命令を格納した機械読み取り可能媒体を含むコンピュータプログラム製品として提供されてもよい。ここで用いた“機械読み取り可能媒体”又は“機械アクセス可能媒体”という用語は、機械による実行のために命令シーケンスを格納あるいは符号化することが可能で、ここで説明した方法の何れか1つを機械に実行させる如何なる媒体をも含む。従って、“機械読み取り可能媒体”及び“機械アクセス可能媒体”という用語は、以下に限られないが、半導体メモリ、光ディスク及び磁気ディスクなどを含む。また、アクションを起こし、あるいは結果を引き起こすものとして、一形態又は別の一形態(例えば、プログラム、プロシージャ、プロセス、アプリケーション、モジュール、及びロジック等)でソフトウェアを語ることは技術的に一般的である。このような表現は単に、プロセッサにアクションを行わせたり結果を生成させたりする処理システムによるソフトウェアの実行を短く述べるものである。
以上にて本発明の様々な実施形態を説明したが、理解されるように、これらの実施形態は、限定ではなく、単に例として説明したものである。当業者に理解されるように、これらの実施形態には、添付の請求項にて規定される本発明の主旨及び範囲を逸脱することなく、形態的で詳細な様々な変更が為され得る。故に、本発明の広さ及び範囲は、上述の例示的な実施形態の何れによっても限定されるべきでなく、以下の請求項及びそれに均等なものに従って定められるべきである。
100 コンピュータプラットフォーム
102 プロセッサ
104 システムメモリ
106 チップセット
108 ダイレクトメディアインタフェース
110 マネージャビリティエンジン(ME)
112 暗号サービスブロック(CSB)
114 仮想化エンジン(VE)
116 SATAコントローラ
118 SATA装置
120 不揮発性メモリコントローラ
122 NANDフラッシュ
124 ネットワークコントローラ
125 ネットワーク
126 企業サービス
128 APIバス
130 フラッシュメモリ
132 チップセットファームウェア
134 ネットワークコントローラファームウェア
136 BIOSファームウェア
200 システム
202 CPU
204 BIOS
206 起動前認証モジュール(PBAM)
208 オペレーティングシステム(OS)
210 信用証明マネジャ
212 ME共通サービス
214 DT2モジュール
215 デバイス・ラップ・キー(DWK)
216 共通認証モジュール(ケルベロスクライアント)
217 キー暗号キー(KEK)
220 企業システム
222 キー配布センター(KDC)
224 ディレクトリ
226 企業サーバ

Claims (25)

  1. コンピュータプラットフォームのマネージャビリティエンジンを用いた安全なアクセス方法であって:
    前記マネージャビリティエンジンの共通認証モジュールにより、前記コンピュータプラットフォームのインバンドプロセッサとは異なる前記マネージャビリティエンジンのアウトオブバンドプロセッサを使用して、プリブート処理の間にユーザからの認証応答を受信する段階;
    プロトコルを用いる段階であり、前記共通認証モジュールにより、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを使用して、前記マネージャビリティエンジンと前記コンピュータプラットフォームのネットワークコントローラとの間の、前記インバンドプロセッサから独立した、専用のアウトオブバンドインタフェースを介して、前記認証応答をキー配布センターに登録する、段階;及び
    前記共通認証モジュールにより、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを使用し且つ前記インバンドプロセッサから独立して、前記専用のアウトオブバンドインタフェースを介して、キー暗号キーの形態でシングルサインオン信用保証を受信する段階;
    を有し、
    前記キー暗号キーは後に、企業サーバへの安全なアクセスを構築するために使用される信用保証を取得するために使用される、
    方法。
  2. 前記認証応答を受信する段階は、BIOSを介して前記コンピュータプラットフォームのプリブート認証モジュールから前記認証応答を受信することを有する、請求項1に記載の方法。
  3. 前記プロトコルを用いる段階は、前記専用のアウトオブバンドインタフェースを用いて企業ネットワークへの接続を開設すること、及び前記キー配布センターからの前記キー暗号キーを要求することを有する、請求項1に記載の方法。
  4. 前記プロトコルを用いる段階は、前記共通認証モジュールにより、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを使用して、ケルベロスプロトコルを用いて、前記専用のアウトオブバンドインタフェースを介して前記認証応答をケルベロスキー配布センターに登録することを有する、請求項1に記載の方法。
  5. 前記プロトコルを用いる段階は、ケルベロス、SAML、カードスペース、リバティアライアンス、公開鍵、又はその他のID管理基盤を用いることを有する、請求項1に記載の方法。
  6. 前記共通認証モジュールにより、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを使用して、前記シングルサインオン信用保証を安全に格納する段階、を更に有する請求項1に記載の方法。
  7. 前記マネージャビリティエンジンにより、前記シングルサインオン信用保証を受信したことに応答して、前記コンピュータプラットフォームの暗号化されたディスクへのアクセスを可能にする段階、を更に有する請求項1に記載の方法。
  8. コンピュータプラットフォームのメインプロセッサとは別個のアウトオブバンドプロセッサを有するマネージャビリティエンジン(ME)を用いて企業サーバに安全にアクセスする方法であって:
    前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、プリブート認証モジュールからユーザ認証信用証明を受信する段階;
    前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、前記マネージャビリティエンジンと前記コンピュータプラットフォームのネットワークコントローラとの間の、前記メインプロセッサから独立した、専用のアウトオブバンドインタフェースを介して、キー配布センターからのキー暗号キーを要求する段階;
    前記ユーザ認証信用証明が前記キー配布センターによって認証されたことに応答して、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、前記メインプロセッサから独立して、前記専用のアウトオブバンドインタフェースを介して、前記キー配布センターからの前記キー暗号キーを受信する段階;
    前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを用いて、前記キー暗号キーを安全に格納する段階;
    前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、BIOSがオペレーティングシステムの起動を進めることを可能にする段階;
    前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、オペレーティングシステムログイン処理を中断するために使用されるシムから、前記キー暗号キーを求める要求を受信する段階;
    前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、前記キー暗号キーを安全な記憶装置から取り出す段階;
    前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、前記キー暗号キーを前記オペレーティングシステムに送信する段階であり、前記シムが、前記キー暗号キーの受信を受けて、オペレーティングシステムログインプロンプトを差し止め、前記オペレーティングシステムの起動を完了させる段階;
    を有し、
    前記オペレーティングシステムが前記企業サーバへのアクセスを要求したことに応答して、前記オペレーティングシステムは、前記企業サーバに専用の入場チケットを取得するために、前記マネージャビリティエンジンから前記キー暗号キーを取り出す;
    方法。
  9. 前記ユーザ認証信用証明を受信する段階は、BIOSを介して前記プリブート認証モジュールからユーザ認証信用証明を受信することを有する、請求項8に記載の方法。
  10. 前記ユーザ認証信用証明を受信する段階は、前記プリブート認証モジュールにより、ユーザに、該ユーザを認証するために、該ユーザが前記ユーザ認証信用証明を入力するよう要求する認証チャレンジを提供することを有する、請求項8に記載の方法。
  11. 前記ユーザ認証信用証明はユーザID及びパスワードを有する、請求項8に記載の方法。
  12. 前記キー配布センターからの前記キー暗号キーを要求する段階は、前記専用のアウトオブバンドインタフェースを用いて企業ネットワークへの接続を開設すること、及び前記キー配布センターからの前記キー暗号キーを要求することを有する、請求項8に記載の方法。
  13. 前記キー配布センターは、前記ユーザが前記企業ネットワークに既知のエンティティであることを、前記ユーザ認証信用証明を用いてディレクトリに問い合わせて前記ユーザの権限を確認することによって検証する、請求項12に記載の方法。
  14. 前記キー暗号キーが安全に格納されたことに応答して、前記キー暗号キーは、前記マネージャビリティエンジンの制御下に置かれ、且つ企業サーバへのサービス特定入場チケットを取得する権限を付与される、請求項8に記載の方法。
  15. 前記キー暗号キーが安全に格納されたことに応答して、前記ユーザは、企業シングルサインオン信用証明を用いて前記マネージャビリティエンジンにログオンされる、請求項8に記載の方法。
  16. 前記オペレーティングシステムを起動することは、前記オペレーティングシステムに対して前記ユーザが真のユーザであることを証明するためにユーザ認証モジュールを呼び出すことを有する、請求項8に記載の方法。
  17. 前記オペレーティングシステムログインプロンプトを差し止めることは、前記コンピュータプラットフォームがシングルサインオンのみを要求することを可能にする、請求項8に記載の方法。
  18. 複数の機械アクセス可能命令を有する記憶媒体であって、前記命令がプロセッサによって実行されるときに、前記プロセッサに請求項1乃至17の何れか一項に記載の方法を実行させる、記憶媒体。
  19. インバンドプロセッサ;
    ネットワークコントローラ;
    前記インバンドプロセッサに結合されたマネージャビリティエンジン;並びに
    前記ネットワークコントローラと前記マネージャビリティエンジンとの間に結合された、前記インバンドプロセッサから独立した、専用のアウトオブバンドインタフェース;
    を有し、
    前記マネージャビリティエンジンは:
    前記インバンドプロセッサに結合とは別個のアウトオブバンドプロセッサ;
    前記専用のアウトオブバンドインタフェースを用いたアウトオブバンドネットワーク通信能力を提供する共通サービスモジュール;及び
    共通認証モジュール;
    を有し、
    前記共通認証モジュールは:
    前記アウトオブバンドプロセッサを使用して、プリブート処理の間にユーザからの認証応答を受信し;
    前記アウトオブバンドプロセッサを使用して、プロトコルを用いて、前記専用のアウトオブバンドインタフェースを介して、前記認証応答をキー配布センターに登録し;且つ
    前記アウトオブバンドプロセッサを使用し且つ前記インバンドプロセッサから独立して、前記専用のアウトオブバンドインタフェースを介して、キー暗号キーの形態でシングルサインオン信用保証を受信し、
    前記マネージャビリティエンジンは後に、前記キー暗号キーを用いて、企業サーバへの安全なアクセスを構築するために使用される信用保証を取得する、
    セキュアアクセスシステム。
  20. プリブート認証モジュールとBIOSとを更に有し、前記共通認証モジュールは、前記BIOSを介して前記プリブート認証モジュールから前記認証応答を受信する、請求項19に記載のシステム。
  21. 前記共通認証モジュールは、(i)前記共通サービスモジュールを用いて前記専用のアウトオブバンドインタフェースを介した企業ネットワークへの接続を開設し、(ii)前記キー配布センターからの前記キー暗号キーを要求する、請求項19に記載のシステム。
  22. 前記プロトコルはケルベロスプロトコルを有し、前記キー配布センターはケルベロスキー配布センターを有する、請求項19に記載のシステム。
  23. 前記プロトコルは、ケルベロス、SAML、カードスペース、リバティアライアンス、公開鍵、又はその他のID管理基盤を有する、請求項19に記載のシステム。
  24. 前記共通認証モジュールは更に、前記アウトオブバンドプロセッサを使用して、前記シングルサインオン信用保証を安全に格納する、請求項19に記載のシステム。
  25. 暗号化されたディスクを更に有し、前記マネージャビリティエンジンは更に、前記シングルサインオン信用保証を受信したことに応答して、前記暗号化されたディスクへのアクセスを可能にする、請求項19に記載のシステム。
JP2013018350A 2008-12-30 2013-02-01 マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステム Active JP5512841B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/319,065 2008-12-30
US12/319,065 US8856512B2 (en) 2008-12-30 2008-12-30 Method and system for enterprise network single-sign-on by a manageability engine

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2009290685A Division JP2010157227A (ja) 2008-12-30 2009-12-22 マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステム

Publications (2)

Publication Number Publication Date
JP2013084312A JP2013084312A (ja) 2013-05-09
JP5512841B2 true JP5512841B2 (ja) 2014-06-04

Family

ID=41694633

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2009290685A Pending JP2010157227A (ja) 2008-12-30 2009-12-22 マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステム
JP2013018350A Active JP5512841B2 (ja) 2008-12-30 2013-02-01 マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステム

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2009290685A Pending JP2010157227A (ja) 2008-12-30 2009-12-22 マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステム

Country Status (5)

Country Link
US (3) US8856512B2 (ja)
EP (1) EP2204754A1 (ja)
JP (2) JP2010157227A (ja)
KR (2) KR101250065B1 (ja)
CN (1) CN101771689B (ja)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856512B2 (en) 2008-12-30 2014-10-07 Intel Corporation Method and system for enterprise network single-sign-on by a manageability engine
US8509449B2 (en) * 2009-07-24 2013-08-13 Microsoft Corporation Key protector for a storage volume using multiple keys
US8462955B2 (en) * 2010-06-03 2013-06-11 Microsoft Corporation Key protectors based on online keys
CN102971740B (zh) * 2010-07-01 2016-01-27 惠普发展公司,有限责任合伙企业 计算设备上的用于多个环境的用户管理框架
US10482254B2 (en) * 2010-07-14 2019-11-19 Intel Corporation Domain-authenticated control of platform resources
US9367327B2 (en) * 2010-09-24 2016-06-14 Intel Corporation Method to ensure platform silicon configuration integrity
US8607054B2 (en) 2010-10-15 2013-12-10 Microsoft Corporation Remote access to hosted virtual machines by enterprise users
EP2761524A4 (en) * 2011-09-30 2015-05-13 Intel Corp SAFE DISPLAYS FOR SAFE TRANSACTIONS
CN103827811A (zh) 2011-09-30 2014-05-28 惠普发展公司,有限责任合伙企业 管理基本输入/输出系统(bios)的访问
EP2590100A1 (en) 2011-11-04 2013-05-08 British Telecommunications Public Limited Company Method and apparatus for securing a computer
FR2989197B1 (fr) * 2012-04-05 2014-05-02 Toucan System Procede de securisation d'acces a un dispositif informatique
JP5968077B2 (ja) * 2012-05-22 2016-08-10 キヤノン株式会社 情報処理装置、その制御方法、プログラム、及び画像処理装置
US9208298B2 (en) * 2012-06-18 2015-12-08 Google Inc. Pass through service login to application login
US8973095B2 (en) * 2012-06-25 2015-03-03 Intel Corporation Authenticating a user of a system via an authentication image mechanism
US9336357B2 (en) 2012-09-28 2016-05-10 Intel Corporation Secure access management of devices
US9705869B2 (en) 2013-06-27 2017-07-11 Intel Corporation Continuous multi-factor authentication
DE102014101836A1 (de) 2014-02-13 2015-08-13 Fujitsu Technology Solutions Intellectual Property Gmbh Verfahren zum Hochfahren eines Produktions-Computersystems
US9411975B2 (en) 2014-03-31 2016-08-09 Intel Corporation Methods and apparatus to securely share data
US10873454B2 (en) 2014-04-04 2020-12-22 Zettaset, Inc. Cloud storage encryption with variable block sizes
US10043029B2 (en) 2014-04-04 2018-08-07 Zettaset, Inc. Cloud storage encryption
US10298555B2 (en) * 2014-04-04 2019-05-21 Zettaset, Inc. Securing files under the semi-trusted user threat model using per-file key encryption
US9749310B2 (en) * 2015-03-27 2017-08-29 Intel Corporation Technologies for authentication and single-sign-on using device security assertions
US10073964B2 (en) 2015-09-25 2018-09-11 Intel Corporation Secure authentication protocol systems and methods
US10013561B2 (en) 2015-10-30 2018-07-03 Ncr Corporation Dynamic pre-boot storage encryption key
US10037418B2 (en) * 2015-11-25 2018-07-31 Dell Products L.P. Pre-boot authentication credential sharing system
US9875113B2 (en) * 2015-12-09 2018-01-23 Quanta Computer Inc. System and method for managing BIOS setting configurations
US10339317B2 (en) 2015-12-18 2019-07-02 Intel Corporation Computing devices
JP6609472B2 (ja) * 2015-12-25 2019-11-20 Dynabook株式会社 電子機器、方法およびプログラム
US10367643B2 (en) * 2016-03-28 2019-07-30 Symantec Corporation Systems and methods for managing encryption keys for single-sign-on applications
CN105975845B (zh) * 2016-07-04 2020-03-27 深圳市游云龙科技有限公司 一种机构的登录方法及登录装置
US10034407B2 (en) 2016-07-22 2018-07-24 Intel Corporation Storage sled for a data center
US10484382B2 (en) 2016-08-31 2019-11-19 Oracle International Corporation Data management for a multi-tenant identity cloud service
US10594684B2 (en) 2016-09-14 2020-03-17 Oracle International Corporation Generating derived credentials for a multi-tenant identity cloud service
US10846390B2 (en) 2016-09-14 2020-11-24 Oracle International Corporation Single sign-on functionality for a multi-tenant identity and data security management cloud service
US10511589B2 (en) 2016-09-14 2019-12-17 Oracle International Corporation Single logout functionality for a multi-tenant identity and data security management cloud service
US10484243B2 (en) 2016-09-16 2019-11-19 Oracle International Corporation Application management for a multi-tenant identity cloud service
US10445395B2 (en) 2016-09-16 2019-10-15 Oracle International Corporation Cookie based state propagation for a multi-tenant identity cloud service
JP7018437B2 (ja) 2016-09-16 2022-02-10 オラクル・インターナショナル・コーポレイション マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのテナントおよびサービス管理
US10904074B2 (en) 2016-09-17 2021-01-26 Oracle International Corporation Composite event handler for a multi-tenant identity cloud service
US10454915B2 (en) * 2017-05-18 2019-10-22 Oracle International Corporation User authentication using kerberos with identity cloud service
US11343243B2 (en) * 2017-08-23 2022-05-24 Corsha, Inc. Machine-to-machine streaming authentication of network elements
US10831789B2 (en) 2017-09-27 2020-11-10 Oracle International Corporation Reference attribute query processing for a multi-tenant cloud service
US10705823B2 (en) 2017-09-29 2020-07-07 Oracle International Corporation Application templates and upgrade framework for a multi-tenant identity cloud service
CN109729523B (zh) * 2017-10-31 2021-02-23 华为技术有限公司 一种终端联网认证的方法和装置
US10715564B2 (en) 2018-01-29 2020-07-14 Oracle International Corporation Dynamic client registration for an identity cloud service
US11321187B2 (en) 2018-10-19 2022-05-03 Oracle International Corporation Assured lazy rollback for a multi-tenant identity cloud service
US11095628B2 (en) 2019-01-24 2021-08-17 Dell Products L.P. Device locking key management system
US11423111B2 (en) 2019-02-25 2022-08-23 Oracle International Corporation Client API for rest based endpoints for a multi-tenant identify cloud service
US11792226B2 (en) 2019-02-25 2023-10-17 Oracle International Corporation Automatic api document generation from scim metadata
CN113454624A (zh) * 2019-04-30 2021-09-28 惠普发展公司,有限责任合伙企业 网络凭据的存储
US11347859B2 (en) * 2019-08-01 2022-05-31 Dell Products L.P. Systems and methods for leveraging authentication for cross operating system single sign on (SSO) capabilities
US11870770B2 (en) 2019-09-13 2024-01-09 Oracle International Corporation Multi-tenant identity cloud service with on-premise authentication integration
US11687378B2 (en) 2019-09-13 2023-06-27 Oracle International Corporation Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability
CN111125674B (zh) * 2019-12-20 2022-03-22 中国银联股份有限公司 开放式数据处理系统、开放式数据系统及数据处理方法
CN112035820B (zh) * 2020-07-22 2024-02-02 北京中安星云软件技术有限公司 一种用于Kerberos加密环境下的数据解析方法
US11469880B2 (en) * 2020-08-20 2022-10-11 EMC IP Holding Company LLC Data at rest encryption (DARE) using credential vault
US11601418B2 (en) 2020-10-14 2023-03-07 Bank Of America Corporation System for increasing authentication complexity for access to online systems
CN113472735B (zh) * 2021-05-13 2023-06-13 新华三大数据技术有限公司 一种大数据服务单点登录方法、装置及存储介质
CN113704724B (zh) * 2021-11-01 2022-01-11 天津南大通用数据技术股份有限公司 一种基于Kerberos机制实现数据库登录认证的方法
KR102657533B1 (ko) 2022-04-27 2024-04-16 한국정보인증주식회사 Qr코드를 활용한 토큰 기반 인증 sso 시스템 및 방법

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5919257A (en) * 1997-08-08 1999-07-06 Novell, Inc. Networked workstation intrusion detection system
US7231513B1 (en) * 1999-12-17 2007-06-12 Intel Corporation Dynamically linked basic input/output system
US20030188193A1 (en) * 2002-03-28 2003-10-02 International Business Machines Corporation Single sign on for kerberos authentication
US7587750B2 (en) * 2003-06-26 2009-09-08 Intel Corporation Method and system to support network port authentication from out-of-band firmware
US7275263B2 (en) * 2003-08-11 2007-09-25 Intel Corporation Method and system and authenticating a user of a computer system that has a trusted platform module (TPM)
US7299354B2 (en) * 2003-09-30 2007-11-20 Intel Corporation Method to authenticate clients and hosts to provide secure network boot
US20050228993A1 (en) * 2004-04-12 2005-10-13 Silvester Kelan C Method and apparatus for authenticating a user of an electronic system
US20060021018A1 (en) * 2004-07-21 2006-01-26 International Business Machines Corporation Method and system for enabling trust infrastructure support for federated user lifecycle management
US7660913B2 (en) * 2005-04-20 2010-02-09 Intel Corporation Out-of-band platform recovery
KR100705380B1 (ko) 2005-10-19 2007-04-10 (주)이월리서치 보안 컴퓨터 시스템을 이용하여 정보 유출을 방지하는 방법
CN100546245C (zh) * 2006-01-11 2009-09-30 西安电子科技大学 跨安全域的网络认证和密钥分配方法
US7818255B2 (en) * 2006-06-02 2010-10-19 Microsoft Corporation Logon and machine unlock integration
US9262602B2 (en) * 2006-09-29 2016-02-16 Hewlett-Packard Development Company, L.P. Extensible bios interface to a preboot authentication module
US20080148046A1 (en) * 2006-12-07 2008-06-19 Bryan Glancey Real-Time Checking of Online Digital Certificates
US7917741B2 (en) * 2007-04-10 2011-03-29 Standard Microsystems Corporation Enhancing security of a system via access by an embedded controller to a secure storage device
US9158920B2 (en) * 2007-06-28 2015-10-13 Intel Corporation System and method for out-of-band assisted biometric secure boot
US20090067688A1 (en) * 2007-09-07 2009-03-12 Authentec, Inc. Finger sensing apparatus with credential release and associated methods
US8516566B2 (en) * 2007-10-25 2013-08-20 Apple Inc. Systems and methods for using external authentication service for Kerberos pre-authentication
CN101286843B (zh) * 2008-06-03 2010-08-18 江西省电力信息通讯有限公司 点对点模式下单点登录方法
US8856512B2 (en) 2008-12-30 2014-10-07 Intel Corporation Method and system for enterprise network single-sign-on by a manageability engine

Also Published As

Publication number Publication date
CN101771689A (zh) 2010-07-07
US9626502B2 (en) 2017-04-18
JP2013084312A (ja) 2013-05-09
US20150095638A1 (en) 2015-04-02
EP2204754A1 (en) 2010-07-07
US8856512B2 (en) 2014-10-07
KR101250065B1 (ko) 2013-04-03
US20170323095A1 (en) 2017-11-09
US10489574B2 (en) 2019-11-26
KR20110044962A (ko) 2011-05-03
KR101597378B1 (ko) 2016-02-25
KR20100080390A (ko) 2010-07-08
JP2010157227A (ja) 2010-07-15
CN101771689B (zh) 2015-05-13
US20100169640A1 (en) 2010-07-01

Similar Documents

Publication Publication Date Title
JP5512841B2 (ja) マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステム
US11366906B2 (en) Domain-authenticated control of platform resources
US11258605B2 (en) Out-of-band remote authentication
US8201239B2 (en) Extensible pre-boot authentication
US20180115551A1 (en) Proxy system for securely provisioning computing resources in cloud computing environment
US20100083002A1 (en) Method and System for Secure Booting Unified Extensible Firmware Interface Executables
US9864853B2 (en) Enhanced security mechanism for authentication of users of a system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140225

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140326

R150 Certificate of patent or registration of utility model

Ref document number: 5512841

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250