TW201225617A - Domain-authenticated control of platform resources - Google Patents
Domain-authenticated control of platform resources Download PDFInfo
- Publication number
- TW201225617A TW201225617A TW100124610A TW100124610A TW201225617A TW 201225617 A TW201225617 A TW 201225617A TW 100124610 A TW100124610 A TW 100124610A TW 100124610 A TW100124610 A TW 100124610A TW 201225617 A TW201225617 A TW 201225617A
- Authority
- TW
- Taiwan
- Prior art keywords
- platform
- resource
- domain
- access
- unlocking
- Prior art date
Links
- 238000000034 method Methods 0.000 claims abstract description 29
- 238000004590 computer program Methods 0.000 claims abstract description 12
- 238000003860 storage Methods 0.000 claims description 39
- 238000004891 communication Methods 0.000 claims description 26
- 238000005192 partition Methods 0.000 claims description 24
- 230000004044 response Effects 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 13
- 238000012552 review Methods 0.000 claims description 2
- 238000013475 authorization Methods 0.000 abstract description 4
- 230000009471 action Effects 0.000 description 22
- 238000007726 management method Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000003068 static effect Effects 0.000 description 5
- 239000000463 material Substances 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 239000011022 opal Substances 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002062 proliferating effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000002730 additional effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/88—Detecting or preventing theft or loss
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2147—Locking files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Description
201225617 六、發明說明: 著作權聲明 在此所包含的是受到著作權保護的資料。當此專利揭 示出現於專利暨商標局的專利檔案或記錄中時,此著作權 擁有者對於任何人複製此專利揭示並不反對,但是其他方 面,無論如何會保留此著作權的所有權利。 【發明所屬之技術領域】 本發明一般係有關於控制對計算平台的資源之存取。 【先前技術】 公司資料愈來愈多變、分散、且多產。資料慣常地自 實際上爲安全的設備中被取出,以提供給旅行或有彈性工 作習慣的工作者。因爲公司的企業集團將資料帶入其他的 城市、州、及國家,所以資料也是地理上分散的。在產生 資料的速率,及可呈現資料的多媒體格式兩方面,資料是 多產的。所有的這些力量驅使需要在傳送時且在靜止時, 均保護資料之新儲存媒體、較高頻寬子系統、及網路連接 的儲存器之演進。再者,計算平台正變成更行動化、較小 且重量輕。使用者更可能攜帶多個計算裝置。由於對使用 者密碼的字典式攻擊(dictionary attack)之潛在性增加,所 以所有這些因素引起轉變成資本支出以及安全風險的增加 之遺失及偷竊的可能性。 靜態資料(DAR)加密技術防止遺失或被竊取的儲存裝 201225617 置上所儲存之資料的未授權使用,藉以防止這些資料被散 佈於網際網路或其他網路上。DAR加密作爲自動化且快 速的回應機制,以防止儲存裝置之不可避免的遺失及偷竊 變成那些裝置上所儲存的資料之遺失及偷竊。然而,DAR 加密技術時常使用單一密碼來予以實施,以控制加密金鑰 的存取,此加密金鑰可被使用將加密的硬碟機上所儲存之 資料解密。同樣地,硬碟機時常使用單一密碼來予以保護 。可猜出使用者的密碼之偷竊者可規避這些共同保護機制 【發明內容及實施方式】 本發明的實施例可提供一種實施平台資源之網域認證 控制之方法、設備、系統、及電腦程式產品。在此平台的 控制下之資源自由目錄服務所集中管理的較精細(finer-graiη)存取控制規則中獲益。藉由要求對包括硬碟機、快 閃記憶體、感測器、網路控制器及電源狀態控制器的平台 資源之使用者的存取之授權而一致地施加安全政策。 在一個實施例中,一方法包括在載入平台的作業系統 之前,獲得此平台的網域憑證;以位於此平台遠端的網域 控制器,對此網域憑證認證;辨識此平台之此網域憑證已 授權存取的資源;以及在載入此平台的此作業系統之前, 使用此網域憑證,以將此平台的此資源解鎖。此網域憑證 可包括此平台的使用者之憑證及/或此平台的安全分區之 憑證。使用此網域憑證,以將此資源解鎖可包括使用此網
S -6- 201225617 域憑證,以獲得用以將此資源上所儲存的資料解密之金鑰 ,以及使用此金鑰,以將此資源上所儲存的此資料解密。 辨識此平台之此網域憑證已授權存取的資源可包括審視由 此網域控制器所維持之此平台的存取政策。將此平台的此 資源解鎖可包括建立此網域控制器與此資源之間的安全通 訊對談。將此資源解鎖可包括提供電源給此資源。此方法 可另包括自此網域控制器獲得解鎖符記,其中,將此資源 解鎖包含使用此解鎖符記,以將此資源解鎖。此資源可包 含ΑΤΑ儲存裝置及晶片組控制的資源之至少其中一個。 具有用以實施此方法的指令之系統及電腦程式產品也被提 供。 此說明書中之參考本發明的「一個實施例」或「一實 施例」意謂結合此實施例所述之特定的特性、結構或特徵 被包括於本發明的至少一個實施例中。因此,詞句「在一 個實施例中」,「依據一個實施例」的出現,或遍及此說 明書各處中的類似出現不必然均參考相同實施例。 爲了解釋的目的,特定的組態及細節被提及,以便提 供本發明的徹底瞭解。然而,對於一般熟習此技藝者而言 ,將顯然可知的是,本發明的實施例可在沒有於此所提出 的特定細節之下予以實施。再者,可省略或簡化熟知的特 性,以便不混淆本發明。遍及此說明,可給定各種範例。 這些僅是本發明的特定實施例之說明。本發明的範圍不受 限於所給定的範例。 圖1爲依據本發明的一個實施例之被組構成提供平台 201225617 資源的網域認證控制之平台1 00的方塊圖。平台1 〇〇的資 源係由可在平台1 00的初始化期間提早可用之兩種不同型 式的資源(先進技術附加(ΑΤΑ)裝置180及ME控制的資源 190)來予以繪示。ΑΤΑ裝置180代表諸如用作爲此平台韌 體的儲存器之平台1〇〇的硬碟機,及被使用來實施系統初 始化的軟體之資源。因爲在保護機制之前的開機程序期間 ,會產生弱點,所以提供平台初始化韌體及軟體的硬碟機 時常使用硬碟機密碼及/或完整磁碟加密來予以保護。然 而,若偷竊者可猜出此硬碟機密碼或加密的磁碟密碼,則 在沒有另外的保護機制(諸如,藉由本發明所產生的那些 保護機制)之下,可存取此硬碟機上的資料。 ME控制的資源1 90代表由被實施爲晶片組/安全分區 1 0 5中的管理功能之企業資料保護架構所管理的資源。例 如,ME控制的資源1 90可包括感測器、電源狀態控制器 、網路控制器、以及提供平台初始化期間所使用的第三方 韌體及軟體之快閃記憶體。因爲平台初始化期間的弱點, 及此種第三方韌體碼的病毒感染之可能性,所以ME控制 的資源190係在平台100的遠端操作之企業管理軟體的控 制之下而被設置。ME控制的資源1 9 0因此可經由此企業 管理軟體與操作於平台1 〇〇上的安全分區(諸如晶片組/安 全分區105)內之可管理性引擎(manageability engine)140 之間的安全通道而被更新。結合企業管理軟體的可管理性 引擎1 4 0之操作係於下面做進一步地詳細說明。 BIOS/PBA(預先開機認證)模組1 1〇包括系統初始化期
S -8- 201225617 間所使用的平台韌體。IBM PC相容電腦最初開發的基本 輸入/輸出系統(BIOS)(也稱爲系統BIOS)爲界定韌體介面 的實際標準。此BIOS爲開機韌體,其被設計爲當電源開 啓時,由PC所執行的第一碼。此BIOS的最初功能係要 辨識、測試、及初始化諸如視訊顯示卡、硬碟、及軟碟的 系統裝置,及其他硬體。此初始化使此機器準備成已知的 狀態,使得諸如相容媒體上所儲存之諸如作業系統的軟體 可被載入、執行、及給定PC的控制。此程序被稱爲開機 ,或啓動(booting up),它的啓動(bootstrapping)是短暫的 。BI0S/PBA 110包括用以在啓動此作業系統之前,獲得 使用者憑證的預先開機認證模組。 BI0S/PBA 1 1 0 包括認證客戶端(authentication client) 1 20,及用以與平台資源ΑΤΑ裝置180相通訊的先 進技術附加(ΑΤΑ)命令模組130。認證客戶端120經由可 管理性引擎140的頻外(out-of-band)網路堆疊144,而以 網域控制器1 70來實施網域認證。網域認證可使用僅平台 身份、僅使用者身份、或平台身份與使用者身份的組合而 發生。 認證客戶端120在此將被敘述爲使用Kerberos身份 管理基礎架構而與網域控制器170及平台100的其他組件 互動,但是本發明不受限如此。也可使用其他的身份管理 基礎架構,例如,諸如SAML(安全宣示標記語言)、卡空 間(Card Space)、自由聯盟(Liberty Alliance)、公共金翰 等等。再者,雖然認證客戶端120係顯示爲被實施爲 201225617 BIOS/PBA模組1 10的部分,但是認證客戶端120可選擇 性地被實施爲可管理性引擎14〇的部分,或平台100的另 一個安全分區。 在一·個實施例中,認證客戶端120依據Kerberos身 份管理基礎架構而操作。Kerberos使用對稱的Needham-Schroeder協定爲其基礎。其利用稱爲金鑰分配中心 (KDC)(其由兩個邏輯上的分離部分:認證伺服器(AS)及票 券核准伺服器(TGS)所構成)之受信任的第三方。Kerberos 根據用作爲證明使用的身份之「票券」而工作。 KDC維持秘密金鑰的資料庫;網路上的各個實體-無 論是客戶端或伺服器-共用本身及KDC僅知道的秘密金鑰 。此金鑰的知識用作爲證明實體的身份。對於兩個實體之 間的通訊而言,KDC產生可使用來確保其互動的對談 (session)金鑰。此協定的安全性大大地依賴維持鬆散的同 步時間之參與者,及依賴稱爲Kerberos票券的認證之短 暫宣示。 根據Kerberos協定,諸如認證客戶端120的客戶端 使本身向認證伺服器(在網域控制器170的KDC 171內)認 證’且接收票券(所有票券爲時間戳計(time-stamped))。 認證客戶端1 20然後聯繫KDC 171的票券核准伺服器, 且使用此票券,此票券證明其的身份且要求服務。若認證 客戶端120爲合乎此服務,則票券核准伺服器將另一票券 傳送至認證客戶端120。認證客戶端120然後聯繫服務伺 服器(在此範例中,可管理性引擎140內的認證服務150)
S -10- 201225617 ,且使用此票券證明認證客戶端120已被核准接收此服務 〇 可管理性引擎140包括共同服務142,其包括頻外網 路堆疊144。在一個實施例中,可管理性引擎(ME) 140提 供不能由平台1〇〇的主作業系統(未顯示)所存取之安全且 隔離的環境。在一個實施例中,可管理性引擎(ME) 140認 證使用者、控制週邊裝置的存取、管理用於平台100的儲 存裝置(諸如,ΑΤΑ裝置180及ME控制的資源190)上所 儲存之資料的保護之加密金鑰、及經由頻外網路堆疊144 而提供介面給網域控制器170。 ME共同服務142包括由不同的韌體模組所共同需要 之服務,且包括安全服務、供應(provisioning)服務、及 網路服務。由ME共同服務1 42所提供的安全服務一般包 括由HTTP摘要及Kerberos認證所構成的使用者認證;使 用微軟主動式目錄及/或其他服務的網域認證;使客戶端 與伺服器的時脈同步之同步服務;及安全審核服務。由 ME共同服務1 42所提供的供應服務與企業伺服器(未顯示 出)結合而被使用,以將企業軟體供應給平台100。 由ME共同服務14?所提供的網路服務包含頻外網路 堆疊144,其可包括用於諸如傳輸控制協定/網際網路協定 (TCP/IP)、傳輸層安全性(TLS)、超文字傳輸協定(HTTP) 、簡易物件存取協定(SOAP)、可管理性的網路服務(WS-M AN)、及稱爲局部可管理性服務(LMS)之以主機爲基礎的 TLS介面之服務的支援。認證客戶端120使用頻外網路堆 -11 - 201225617 疊144,以與網域控制器170相通訊。 可管理性引擎140還包括認證服務150,其回應於來 自諸如認證客戶端120的客戶端及可管理性引擎140之請 求而提供認證服務。在一個實施例中,認證服務1 5 0爲控 制由可管理性引擎140及BIOS可控制的平台資源(包括感 測器、功率控制器、網路控制器、及積體化的快閃記憶體 )之存取的Kerberos服務。例如,在使用Kerberos身份管 理基礎架構的實施例中,認證服務150回應於接收服務票 券而提供完整磁碟加密金鑰服務給認證客戶端120。在一 個實施例中,認證服務1 50提供用作爲解密金鑰的符記, 以使用完整磁碟加密技術而將加密的儲存裝置解密。 在一個實施例中,認證服務1 5 0還包括防偷竊服務 1 60。防偷竊服務1 60與網域控制器1 70的企業伺服器組 件(未顯示出)結合而被使用,以便在平台100被竊取的事 件中,防止來自平台1〇〇上的儲存裝置之資料的偷竊。若 平台1 〇〇經報告被竊取,則防偷竊服務1 60使平台資源能 夠被除能及/或鎖上。特別而言,防偷竊服務160使ME 控制的資源190能夠經由頻外網路堆疊144而藉由企業伺 服器(未顯示出)被存取(包括鎖上及解鎖)。防偷竊服務 160的控制可使用其自己的使用者帳戶而被啓動;若平台 1 〇〇被竊取,則可存取使用者帳戶而啓動防偷竊服務1 60 ,以藉由控制晶片組控制器、感測器、及/或積體化的快 閃記億體之電源而使平台1 〇〇除能。 在一個實施例中,認證服務1 5 0另包括AT A命令模
S -12- 201225617 組131,用以允許可管理性引擎140與ΑΤΑ裝置180之 間的直接通訊。此直接通訊於下面參考圖2而進一步予以 說明。 網域控制器1 70可包括許多後端服務,包括金鑰分配 中心(KDC)171、諸如用以維持平台資源的存取控制政策 之微軟主動式目錄或輕量級目錄存取協定(LDAP)之目錄 服務172、及資源與政策管理系統。網域控制器170可另 包括用以提供身份管理的基礎架構之伺服器,諸如依據認 證服務(AS)協定而操作的認證伺服器,及依據票券核准服 務(TGS)協定而操作的票券核准伺服器。在一個實施例中 ,由網域控制器170所發送的票券可包含授權平台資源的 存取之授權屬性,其爲來自目錄服務172的存取控制政策 之表示。網域控制器170可另包括一個或多個企業伺服器 ,用以管理諸如防偷竊服務160之各種網域相關的服務。 在一個實施例中,與授權屬性酬載(payload)結合的 Kerberos協定可傳遞由此平台所列舉之用於各種資源的 存取控制規則。此控制的層級係使用藉由.嵌入Kerberos 服務程序(認證服務1 50,其用作爲存取諸如ΑΤΑ儲存裝 置180及ME·控制的資源190之平台資源的閘道)於晶片 組中之Kerberos模型來予以達成。Kerberos客戶端(認證 客戶端120)也被嵌入於此平台中,以使用Kerberos金鑰 分配中心(KDC)171來認證使用者,且依據目錄服務172 中所包含的集中管理安全政策而建立使用者的角色及優先 權。安全政策可藉由要求對包括硬碟機、快閃記憶體、感 -13- 201225617 測器、網路控制器及電源狀態控制器的平台資源之使用者 的存取之授權的Kerberos票券而被一致地施加。 在一個實施例中,網域控制器170接收平台的網域憑 證、對此網域憑證認證、及回應於對此網域憑證認證而提 供此平台的存取政策。此存取政策被使用於辨識此平台之 此網域憑證已授權存取的資源,且此存取政策包括將此資 源解鎖的符記。 圖2爲顯示依據本發明的一個實施例之回應於圖丨的 平台之使用者及/或平台憑證的認證而將加密儲存裝置解 鎖之流程圖。如以上所提及的,在啓動此作業系統之前, 這些憑證係藉由BIOS/預先開機認證(PBA)模組110的平 台韌體而於此平台初始化程序中被提早獲得。在動作2.1 中’諸如在登入程序的期間,認證客戶端1 20獲得此使用 者的憑證,且將此使用者的憑證提供給網域控制器1 70。 在一個實施例中,由網域控制器170所管理之此使用者的 識別符被傳送至網域控制器1 70的認證伺服器(AS,未顯 示出),作爲經由可管理性引擎140的網路堆疊144之使 用認證伺服器(AS)協定的請求。此使用者的憑證也可爲此 平台的識別符,或可皆包括平台識別符及使用者識別符。 因爲在載入作業系統之前的初始化程序中之早期階段,此 平台的網路通訊能力尙未被初始化,所以此使用者及/或 平台的憑證經由可管理性引擎140的網路堆疊144而被傳 送。藉由利用由企業管理系統所提供之網路通訊的平台組 態特性,甚至在網路通訊已被組構用於此平台之前,與網
S -14- 201225617 域控制器1 70的通訊是可行的。 在動作2.2中,此請求的回應係藉由網域控制器1 70 的認證伺服器來予以傳送。此回應包括認證客戶端1 20的 票券核准票券(TGT),其授權認證客戶端120建立此網域 內之諸如認證服務1 50的認證服務之連接。在動作2.3中 ,認證客戶端120使用票券核准票券(TGT),以請求對於 諸如認證服務150的認證服務之經由票券核准服務(TGS) 協定的存取。如先前所提及的,在一個實施例中,認證服 務1 50提供用作爲解密金鑰的符記,以使用完整磁碟加密 技術而將加密的儲存裝置解密。 在動作2.4中,若准許存取,則以服務票券的形式之 回應係藉由網域控制器170的票券核准伺服器(TGS,未 顯示出)發送給認證客戶端120。在動作2.5中,認證客戶 端120使用此服務票券來存取認證服務150(在此實例中 ’其爲Kerberized完整磁碟加密服務)。認證服務150審 視與客戶端身份(來自動作2.1)相關聯的存取控制政策。 此存取控制政策被包含於此服務票券中,且由網域控制器 1 7〇的目錄服務1 72提供。此存取政策指定認證客戶端 120可存取哪種平台資源。例如,此存取政策可包括平台 識別符、儲存裝置識別符、裝置金鑰、用於驗證目的的裝 置韌體測定、及此裝置的存取符記。不同型式的資源會需 要不同的符記結構及/或內容,但是用以存取此資源之必 要的資訊、符記、或符記値將被包括於此存取政策(其被 提供作爲此服務票券的部分)中。回應於接收此服務票券 -15- 201225617 ,若准許存取,則認證服務1 50(或其組件,諸如防偷竊 服務1 60或ATA命令模組1 3 1)自此存取政策中獲得存取 符記。在動作2 ·6中’此存取符記係藉由認證服務1 5 0而 提供給認證客戶端1 2 0。在一個實施例中’認證客戶端 120與認證服務150之間的通道安全性係藉由使用 Kerberos對談金鑰之網路堆疊144的傳輸層安全性(TLS) 來予以提供。此通道安全性保護不受中間人及重放的攻擊 〇 在動作2.7中,此符記被提供給AT A命令模組1 3 0, 在動作2.8中,ΑΤΑ命令模組130將解鎖命令發送至ΑΤΑ 裝置180的一個或多個。此符記可依據串列式先進技術附 加(SATA)協定的OPAL及IEEE 1667延伸技術而被供應至 ΑΤΑ 裝置 1 80。 在一個實施例中,此存取符記藉由命令認證服務150 將此存取符記彌封(seal)至ΑΤΑ裝置180的給定裝置而被 進一步端對端(從網域控制器170至ΑΤΑ裝置180)地 保護。例如,此存取符記及來自此存取政策的裝置識別符 可使用來自此存取政策的裝置金鑰而伴隨著裝置亂數 (nonce)被加密。當彌封二進制大型物件(blob ; binary large object)時,認證服務150命令此裝置產生此裝置亂 數。此加密彌封的二進制大型物件會被返回至認證客戶端 120,然後被提供給ΑΤΑ命令模組130及 ΑΤΑ裝置180 。在將此解鎖命令發送至ΑΤΑ裝置180的一個或多個之 前,此亂數及此裝置ID可藉由ΑΤΑ命令模組130來予以
S -16- 201225617 驗證。 在另一個實施例中,此存取符記藉由產生直接自可管 理性引擎140至ΑΤΑ裝置180的TLS通道,而於如「組 織約束」所述的程序中被端對端(自網域控制器170至 ΑΤΑ裝置18 0)地保護。此端對端保護的實施使用ΑΤΑ命 令模組13 1來直接(而非經過BIOS/PBA認證模組110的 認證客戶端120及ΑΤΑ命令模組130)存取ΑΤΑ裝置180 。在此種實施例中,如以上參考動作2.5所述而獲得的解 鎖符記將直接(而非經過如參考動作2.6及2.7之以上所述 的認證客戶端120及ΑΤΑ命令模組130)透過自認證服務 150經由ΑΤΑ命令模組131而至ΑΤΑ裝置180的TLS對 談而被傳送。使用此組織約束實施,此TLS協定符合亂 數及彌封需求,以端對端地保護此存取符記。 認證服務150可確保在將儲存的資料解密之前,ΑΤΑ 裝置1 80被適當地組構。資料係藉由將金鑰推衍函數 (KDF)施加至此存取符記及裝置韌體的測定而被彌封至此 裝置組態。例如,被使用來將ΑΤΑ裝置180的給定裝置 上之資料加密及解密之符記Token Τ1’可使用被施加至存 取符記T 1及此裝置韌體的測定(正常被計算爲此韌體的雜 湊(hash)函數)Η 1)之金鑰推衍函數來予以計算。在此實例 中,Token T1,= KDF(Token Tl’,Hash HI)。ΑΤΑ 裝置 180 的給定裝置藉由計算此裝置韌體的密碼雜湊(例如, SHA256或AES-CMAC)及任何相關的組態設定而獲得此裝 置韌體的測定。認證服務1 50自製造者中獲得裝置韌體測 -17- 201225617 定,作爲韌體更新分佈的部分。 藉由使用密碼雜湊函數來保護此裝置韌體,額外的保 護被提供而免於入侵的(compromised)裝置韌體自 ΑΤΑ裝 置180中不法地獲得加密的資料。入侵的裝置韌體將需要 猜出此hash Η1値的値,以得到用以將ΑΤΑ裝置180的 給定裝置上所儲存的資料解密之存取符記。因爲猜出正確 的hash Η1値之可能性爲非常低,所以來自加密的ΑΤΑ 裝置180之資料可被不法地獲得的可能性爲非常低。 ΑΤΑ裝置180的存取權之廢止係藉由與網域控制器 170結合的認證服務150來予以集中管理。若當裝置被竊 取時,組織希望限制合法及非法的使用,則管理者可自認 證服務150的存取政策中刪除被竊取的裝置之存取符記。 後續之存取的請求將失敗,服務票券將不會被傳送至認證 客戶端120,因此不能完成以上所述之動作2.5至2.7。 在認證憑證包括使用者及平台識別符的情況中,如步 驟2.2中所獲得的票券核准票券(TGT)將包括兩個識別符 。存取政策將被組構成包括(使用者身份,平台身份)的元 組(tuple),作爲客戶端的識別符。 圖3係顯示依據本發明的一個實施例之回應於此平台 的認證而將匿名使用者使用的資源解鎖之流程圖。在此實 例中,一組資源(R〇至RN)被授權供匿名使用者存取之用 ’使得當此網域已成功地認證此平台時,存取被提供給此 平台的所有使用者。在一個實施例中,向此網域認證此平 台涉及以網域控制器1 70認證此平台的安全分區,諸如可
S -18- 201225617 管理性引擎140。 當建立平台100與網域控制器170之間的網路連 ,在動作3.1中,認證服務150向網域控制器170註 以表示其服務請求的可用性。動作3.1代表不需要使 存在的資源之啓動的自動化請求。例如,若此平台尙 報告被竊取,則晶片組/安全分區1 05可被給予授權 電源開啓的服務票券。反之,若此平台經報告被竊取 將不給予授權晶片組/安全分區1 05的電源開啓之服 券。在此平台被竊取的情況中,僅認證服務1 5 0需要 具有與網域控制器170交換的電力;所有其他的晶J 安全分區1 05組件仍會電源關閉。網域控制器1 70依 參考圖2的動作 2.1至2.5之以上所述的存取政策而 授權的請求者之服務票券。在此範例中,服務票券將 送至認證服務150。 在動作3.2中,網域控制器1 70提供需要密碼符 資源之解鎖符記。對於計畫性地強制存取而不需要建 用者存在之資源而言,存取政策資訊被提供給認證 150° 認證服務150回應來自主應用程式的命令,以存 如ΑΤΑ裝置180的儲存裝置。回應於將一個或多個 裝置180解鎖的請求,在動作3.3中,認證服務150 此存取政策,且提供資源(R〇至Rm)(與ΑΤΑ裝置180 應)的解鎖符記。ΑΤΑ命令模組130將供應適當的符 數之適當的ΑΤΑ命令規劃成ΑΤΑ、OPAL、或解鎖儲 接時 冊, 用者 未經 完整 ,則 務票 接收 午組/ 據如 發送 被發 記的 立使 服務 取諸 ΑΤΑ 評估 相對 記參 存資 -19- 201225617 源的其他命令,且在動作3.4中,ΑΤΑ裝置1 80被解鎖。 認證服務1 50也控制直接由可管理性引擎140所控制 的資源(諸如,ME控制的資源190)之存取。例如,可管理 性引擎1 40可直接控制包含平台韌體的快閃記憶體。認證 服務1 50授權防偷竊服務1 60,以允許存取ME控制的資 源190(資源(Rm + ^至 Rn))。若正被存取的資源需要密碼符 記,則與此實例中之ME控制的資源1 90之至少某些一樣 ,如動作3.5中所顯示,此密碼符記被提供給防偷竊服務 1 60。在動作3.6中,防偷竊服務1 60發送命令,以將ME 控制的資源190解鎖。 圖4爲顯示依據本發明的一個實施例之回應於此平台 及此使用者的認證而將非匿名使用者使用所授權的資源解 鎖之流程圖。此實例假設圖3的程序已經發生,使得一組 資源(R〇至Rn)已經被授權供匿名使用者存取之用,且認 證服務1 5 0已經向網域控制器1 7 0註冊。下面的步驟敘述 對此使用者已被驗證可存取的額外資源(Rn + i至RZ)認證 及解鎖之額外的動作。在此實例中,資源(RN+1至RY)爲 此使用者已被驗證可存取的ΑΤΑ資源,而資源(RY+i至 Rz)爲此使用者已被驗證可存取之ME控制的資源。 在動作4.1中,此使用者向此網域註冊。此使用者註 冊係以與圖2的動作(2.1至2.5)中所實施之方式(使用頻 外網路堆疊144,以在此平台的BIOS/PBA 110中所實施 之認證客戶端120與網域控制器170之間通訊)類似之方 式來予以實施。因爲在此實例中,認證服務1 5 0已經向此
S -20- 201225617 網域註冊’所以在動作4.2中,ME伺服器票券(亦即,用 以存取可管理性引擎140的認證服務150之服務票券)係 藉由網域控制器1 70而提供給認證客戶端1 20。網域控制 器170進一步評估使用者的優先權,且放置需要密碼地核 准存取之解鎖符記,因此將資源(Rn + i至RY)(此使用者已 被驗證可存取的ΑΤΑ資源)的解鎖符記提供給認證客戶端 120。在動作4.3中,認證客戶端120將ME伺服器票券 及資源(Rn+ 1至Ry)的解鎖符記提供給認證服務1 5 0,使得 可核准存取優先權。 在動作4.4中,回應於存取ΑΤΑ裝置180資源(Rn+1 至Ry)的請求,認證服務150將資源(Rn+1至RY)的解鎖符 記提供給ΑΤΑ命令模組130。ΑΤΑ命令模組130然後將 解鎖命令發送至ΑΤΑ裝置180,以將此裝置解鎖。 在動作4.6中,認證服務150將資源(RY+|至Rz)的 解鎖符記提供給防偷竊服務160。在動作4.7中,防偷竊 服務1 60將ME控制的資源1 90解鎖。例如,此解鎖符記 可使晶片組控制器的電源致能或除能,及/或改變電源狀 態。在一個實施例中,此解鎖符記包含符記値,其被使用 來刷新由網域控制器1 7 0所提供之快取的符記値。 圖5爲依據本發明的一個實施例之被組構成用於平台 資源的控制之網域認證的系統之方塊圖。平台5 00(其相 當於主電腦系統)包括經由桌上型管理介面(DMI)51 1而被 連接至晶片組520的處理器510。處理器510將處理電源 提供給平台5 00且可爲單核或多核的處理器,以及超過一 -21 - 201225617 個處理器可被包括於平台5 00中。處理器510可經由一個 或多個系統匯流排、通訊路徑或媒體(未顯示出)而被連接 至平台5 0 0的其他組件。 晶片組52 0包括可管理性引擎(ME) 5 3 0,其可被實施 爲用以管理平台5 00的組態及操作之與主處理器510獨立 操作的嵌入式處理器。在一個實施例中,處理器510在主 作業系統(未顯示出)的指示下操作,而可管理性引擎 (ME)5 3 0提供不能藉由此主作業系統來予以存取之安全且 隔離的環境。在一個實施例中,可管理性引擎(ME)5 3 0對 使用者認證、控制週邊裝置的存取、管理用於平台5 00的 儲存裝置上所儲存之資料的保護之加密金鑰、及經由網路 控制器5 60而提供介面給企業服務570。使用企業服務 570,可管理性引擎(ME)53 0維持與諸如平台500之平台 的組態及管理之整個企業(enterprise-wide)政策的一致性 ,包括提供依據本發明的一個實施例之平台資源的網域認 證控制。 ME 530與企業服務570之間的通訊經由頻外通訊通 道571而發生。在一個實施例中,頻外通訊通道571爲此 主系統上的可管理性引擎(ME)5 3 0與管理此主系統的企業 服務5 70之間的安全通訊通道。在晶片組520及可管理性 引擎(ME)5 3 0的製造期間,用以能夠在平台5 00與企業服 務570之間安全通訊的加密/解密金鑰可被儲存於圖5的 快閃記億體5 90中。 在圖5中所顯示的實施例中,可管理性引擎(ME)5 30
S -22- 201225617 係經由可管理性引擎控制器介面(MECI)531而耦接至微控 制器540。在一個實施例中,微控制器540爲實施儲存命 令解碼及其他的加速操作之一般用途控制器。在所顯示的 實施例中,可管理性引擎(ME)53 0控制微控制器540的運 行,微控制器540依序控制儲存控制器5 5 0的運行。微控 制器540包括儲存控制器5 5 0的驅動程式,以及與任何磁 碟加密功能相關的邏輯。儲存控制器5 50爲用於諸如儲存 裝置5 5 2的儲存裝置之控制器,且使微控制器540及ME 53 0能夠存取儲存裝置552上所儲存的資料。 平台500另包括諸如動態隨機存取記憶體(DRAM)512 、晶片組5 20內的靜態隨機存取記憶體(SRAM) 522、及快 閃記憶體5 90,以及經由儲存控制器5 5 0而可存取的儲存 裝置552。這些記憶體裝置可包括隨機存取記憶體(RAM) 及唯讀記憶體(ROM)。爲了此揭示的目的,術語「ROM」 —般可被使用而指諸如可抹除可程式化ROM(EPROM)、 電氣式可抹除可程式化ROM(EEPROM)、快閃ROM、快閃 記億體等的非揮發性記憶體裝置。儲存裝置5 52可包括諸 如整合驅動電子(IDE)硬碟機的大量儲存裝置,及/或諸如 軟碟、光儲存裝置、磁帶、快閃記憶體、記憶卡、數位視 訊碟片、生物儲存裝置等的其他裝置或媒體。 快閃記憶體5 90經由快閃介面591而可被晶片組520 存取。儲存裝置5 52上及/或記憶體裝置DRAM 512、 SRAM 522、及快閃記憶體590中所儲存之資料可被加密 -23- 201225617 快閃記憶體590包含被使用來使平台500初始化的韌 體。此初始化韌體包括基本輸入/輸出系統(BIOS)韌體592 ’用以辨識及初始化系統組件硬體(諸如視訊顯示卡及硬 碟),及包括可管理性引擎(ME)5 3 0的某些其他硬體裝置 。BIOS韌體5 92準備用以操作在已知的低能力狀態中之 平台500的系統組件硬體,所以各種媒體上所儲存的其他 軟體程式(包括作業系統)可被載入、執行、及給定平台 500的控制。BIOS韌體592包括BIOS/ΜΕ通訊模組593 ,在開機程序期間,BIOS/ΜΕ通訊模組593致能可管理 性引擎(ME)53 0的初始組態。在一個實施例中,可管理性 引擎(ME)5 3 0向BIOS/ΜΕ通訊模組5 93註冊,以正好在 載入平台500的作業系統之前,接收通知。此通知使可管 理性引擎(ME) 5 3 0能夠實施準備載入此作業系統的某些指 令。 快閃記憶體5 90還包括用以組構網路控制器5 60的網 路控制器韌體5 95,及用以組構晶片組5 2 0的晶片組韌體 5 96。快閃記憶體5 90還包含資料區5 98。在一個實施例 中,資料區5 98被加密,且僅可被可管理性引擎(ME)530 讀取。用以提供平台資源的網域認證控制之由ME 5 3 0所 使用的資訊可被儲存於快閃記憶體5 90的資料區5 9 8中, 或儲存裝置5 5 2上。 處理器5 1 0還可被通訊地耦接至額外組件,諸如視訊 控制器、小型電腦系統介面(SCSI)控制器、網路控制器、 通用序列匯流排(USB)控制器、諸如鍵盤及滑鼠的輸入裝
S -24- 201225617 置等。平台5 0 0還可包括用以通訊地耦接各種系統組件之 一個或多個橋接器或中心,諸如記憶體控制器中心、輸入 /輸出(I/O)控制器中心、PCI根橋接器等。如在此所使用 的,術語「匯流排」可被使用以指稱共用通訊路徑,以及 點對點路徑。 某些組件(諸如,例如網路控制器5 60)可被實施爲具 有用以與匯流排通訊的介面(例如,PCI連接器)之適配卡 。在一個實施例中,一個或多個裝置可被實施爲嵌入式控 制器(使用諸如可程式化或不可程式化的邏輯裝置或陣列 之組件)、特殊應用積體電路(ASIC)、嵌入式電腦、智慧 卡、等等。 如同在此所使用的.,術語「處理系統」及「資料處理 系統.」係意謂大體上包含單一機器,或通訊耦接的機器或 裝置一起操作之系統。實例處理系統包括(而非限制)分散 式計算系統、超級電腦、高性能計算系統、計算叢集器、 大型主機型電腦(mainframe computer)、迷你電腦、客戶 端-伺服器系統、個人電腦、工作站、伺服器、可攜式電 腦、膝上型電腦、平板電腦、電話,個人數位助理器 (PDA)、手持式裝置、諸如音訊及/或視訊裝置的娛樂裝置 、及用以處理或發送資訊的其他裝置。 平台500可至少部分藉由來自傳統輸入裝置(諸如鍵 盤、滑鼠等)的輸入,及/或自另一台機器、生物回饋 (biometric feedback)、或其他的輸入來源或訊號所接收到 之命令來予以控制。平台5 0 0可利用諸如經由網路介面控 -25- 201225617 制器(NIC)5 60、數據機、或其他的通訊埠或耦接而至一個 或多個遠端資料處理系統(未顯示出)的一種或多種連接。 平台500可藉由實體及/或邏輯網路(諸如,區域網路 (LAN)、廣域網路(WAN)、內部網路、網際網路等)而被互 連至其他處理系統(未顯示出)。涉及網路的通訊可利用各 種有線及/或無線的短程或長程載體及協定,其包括射頻 (RF)、衛星、微波 '電氣和電子工程師學會(ΙΕΕΕ)802·Ι1 、藍牙、光學、紅外線、纜線、雷射等。 圖6顯示依據本發明的一個實施例之用以實施提供平 台資源的網域認證控制之安全分區的虛擬機器環境。若平 台6 00被虛擬化,則其可僅包括單一處理器,但是此主機 上的虛擬機器監視器(「VMM 630」)可存在此主機的多種 抽象及/或槪觀,使得此主機的底層硬體出現爲一個或多 個獨立操作的虛擬機器(「VMs」)。VMM 630可以軟體( 例如,如獨立程式,及/或此主作業系統的要件)、硬體、 韌體、及/或其任何組合來予以實施。VMM 630管理此主 機上之資源的分配,且必要時實施環境切換(context switching),以依據知更鳥式循環(round-robin)或其他預 定的架構而在各種VMs之間循環。對於一般熟習此項技 術者而言,將立即顯然可知的是,雖然僅一個處理器被繪 示(「處理器605」),但是本發明的實施例並未如此受限 ,而在虛擬化的環境內,也可利用多個處理器。 雖然僅兩個VM分區被繪示(「VM 610」及「VM 620 」,之後集體稱爲「VMs」),但是這些VMs僅爲例示,
S -26- 201225617 且可將額外的虛擬機器加入此主機。VM 610及VM 620 可分別用作爲自足式(self-contained)平台,執行其本身的 「子(guest)作業系統」(亦即,由VMM 630所主控的作業 系統’被繪示爲「子作業系統(Guest OS) 6 1 1」及「子作 業系統62 1」’且之後集體稱爲「子作業系統」),及其 他軟體(被繪示爲「子軟體612」及「子軟體622」,且之 後集體稱爲「子軟體」)。 各個子作業系統及/或子軟體操作宛如其正在專用電 腦,而非虛擬機器上執行。亦即,各個子作業系統及/或 子軟體可預期控制各種事件,且可存取平台600上的硬體 資源。在各個VM內,子作業系統及/或子軟體可運行宛 如其實際上在平台600的實體硬體(「主硬體640」,其 可包括網路控制器660)上執行。 對於一般熟習此項技術者而言,將立即顯然可知的是 ,具有諸如圖1的可管理性引擎(ME)140的專用處理器之 實體硬體分區可提供比虛擬化分區(如圖6中所繪示)更高 層級的安全性,但是本發明的實施例可以任一種環境及/ 或這些環境的組合來予以實施,以提供變化層級的安全性 。對於一般熟習此項技術者而言,也將立即顯然可知的是 ,ME、AMT或PRL平台可被實施於虛擬化環境內。例如 ,VM 620可被專用爲主機上的ME分區,而VM 610執行 此主機上的典型應用程式。在此方案中,此主機可或可不 包括多個處理器。例如,若此主機包括兩個處理器,則 VM 620可被分配另一個處理器,而VM 61 0(及此主機上 -27- 201225617 的其他VMs)可共用處理器605的資源。另一方面,若此 主機僅包括單一處理器,則此處理器皆可爲VMs服務, 但是VM 62 0仍然會與和VMM 63 0合作之此主機上的其 他VMs隔離。爲了簡化的目的,本發明的實施例係以可 管理性引擎(ME)環境來予以說明,但是本發明的實施例並 未如此受限。反而,可管理性引擎(ME)、「分區」、「安 全分區」、「安全性分區」及/或「管理分區」的任何參 考應該包括任何實體及/或虛擬的分區(如上所述)。 在啓動之後或當新裝置被熱插拔至此平台中時, VMM 630將此裝置分配給VM 610或620。 快閃記億體1 90也被使用來維持與各個VM相關聯的 使用者帳戶元資料(metadata)。當儲存裝置係要使用裝置 密碼或裝置加密金鑰而被解鎖時,會實施額外的檢査,以 確保快閃記憶體1 90中的使用者帳戶元資料符合此裝置被 分配的VM。 VMM 63 0確保瞬間的VM環境不會導致驅動程式之 未授權的分配。在一個實施例中,VMM 63 0產生供各VM 610及620之GUID(全球唯一識別符(ID))。此GUID被使 用來分割快閃記憶體1 90中的元資料。 在此所述之機制的實施例可以硬體、軟體、韌體、或 此類實施方法的組合來予以實施。本發明的實施例可被實 施爲在可程式化系統(包含至少一個處理器、資料儲存系 統(包括揮發性及非揮發性記憶體及/或儲存元件)、至少一 個輸入裝置、及至少一個輸出裝置)上執行的電腦程式。
S -28- 201225617 程式碼可被施加至輸入資料,以實施在此所述的功能 及產生輸出資訊。本發明的實施例還包括機器可存取媒體 ’其包含用以實施本發明的操作之指令,或包含諸如 HDL·的設計資料’此設計資料界定在此所述的結構 '電 路、設備、處理器及/或系統特性。此類實施例也可被稱 爲程式產品。 此種機器可存取媒體可包括(而非限制)由機器或裝置 所製造或形成的粒子之有形的配置,其包括諸如硬碟的儲 存媒體、任何其他型式的碟片(包括軟碟、光碟、光碟唯 讀記憶體(CD-ROM)、可覆寫光碟(CD-RW)、及磁性光學 碟片)、半導體裝置(諸如唯讀記憶體(ROM)、諸如動態隨 機存取記憶體(DRAM)的隨機存取記憶體(RAM)、靜態隨 機存取記憶體(SRAM)、可抹除可程式化唯讀記憶體 (EPROM)、快閃可程式記憶體(FLASH)、電氣式可抹除可 程式化唯讀記憶體(EEPROM)、磁性或光學卡)、或適用以 儲存電子指令之任何其他型式的媒體。 輸出資訊可以已知的方式而被施加至一個或多個輸出 裝置。爲了此申請案的目的,處理系統包括具有處理器( 諸如,例如數位訊號處理器(DSP)、微控制器、特定應用 積體電路(ASIC)、或微處理器)的任何系統。 這些程式可以高階程序或物件導向程式的語言來予以 實施,以與處理系統相通訊。若想要,這些程式也可以組 合或機器語言來予以實施。實際上’在此所述的機制不受 限於任何特定程式化語言的範圍中。在任何情況中,此語 -29- 201225617 言可爲編譯或解譯的語言。 在此所提出的是平台資源之網域認證控制的方法及系 統之實施例。雖然本發明的特定實施例已被顯示及說明, 但是對於熟習此項技術者而言,將顯然可知的是,在不脫 離後附申請專利範圍的範圍之下,可實施許多改變、變化 及修改。因此’熟習此項技術者將瞭解在不脫離本發明之 寬廣的觀點之下,可實施改變及修改。後附申請專利範圍 係要使落入本發明的真實範圍及精神內之所有的此類改變 、變化及修改包含於其範圍內。 【圖式簡單說明】 圖1係依據本發明的一個實施例之被組構成提供平台 資源的網域認證控制之系統的方塊圖。 圖2係顯示依據本發明的一個實施例之回應於使用者 及/或平台憑證的認證而將加密儲存裝置解鎖之流程圖。 圖3係顯示依據本發明的一個實施例之回應於此平台 的認證而將匿名使用者使用的資源解鎖之流程圖。 圖4係顯示依據本發明的一個實施例之回應於此平台 及此使用者的認證而將非匿名使用者使用所授權的資源解 鎖之流程圖。 圖5係依據本發明的一個實施例之被組構成提供平台 資源的網域認證控制之系統的方塊圖。 圖6顯示依據本發明的一個實施例之用以實施提供平 台資源的網域認證控制之安全分區的虛擬機器環境。
S -30- 201225617 【主要元件符號說明】 1 00 :平台 105 :晶片組/安全分區 110: BIOS/PBA(預先開機認證)模組 120 :認證客戶端 130:先進技術附加(ΑΤΑ)命令模組130 13 1 : ΑΤΑ命令模組 140 :可管理性引擎 142 :共同服務 144 :頻外(out-of-band)網路堆疊 150 :認證服務 160 :防偷竊服務 171 :金鑰分配中心(KDC) 180 :先進技術附加(ΑΤΑ)裝置 190 : ME控制的資源 5 00 :平台 510 :處理器 51 1 :桌上型管理介面(DMI) 5 12 :動態隨機存取記憶體(DRAM) 520 :晶片組 522 :靜態隨機存取記憶體(SRAM) 53 0 :可管理性引擎(ME) 531 :可管理性引擎控制器介面(MECI) 540 :微控制器 -31 - 201225617 5 5 0 :儲存控制器 5 5 2 :儲存裝置 5 6 0 :網路控制器 5 70 :企業服務 571 :頻外通訊通道 5 90 :快閃記憶體 5 9 1 :快閃介面 5 92:基本輸入/輸出系統(BIOS)韌體 593: BIOS/ΜΕ通訊模組 5 9 5 :網路控制器韌體 5 9 6 :晶片組切體 5 9 8 :資料區 600 :平台 605 :處理器 610 :虛擬機器 6 1 1 :子作業系統 612 :子軟體 620 :虛擬機器 6 2 1 :子作業系統 622 :子軟體 63 0 :虛擬機器監視器 640 :主硬體
S -32-
Claims (1)
- 201225617 七、申請專利範圍: 1. 一種電腦實施方法,包含: 在載入平台的作業系統之前,獲得該平台的網域憑證 y 以位於該平台遠端的網域控制器,對該網域憑證認證 t 辨識該平台之該網域憑證已授權存取的資源·,以及 在載入該平台的該作業系統之前,使用該網域憑證, 以將該平台的該資源解鎖。 2. 如申請專利範圍第1項之方法,其中 該網域憑證包含該平台的使用者之憑證及該平台的安 全分區之憑證的至少其中一個憑證。 3. 如申請專利範圍第1項之方法,另包含: 使用該網域憑證,以獲得用以將該資源上所儲存的資 料解密之金鑰;以及 使用該金鑰,以將該資源上所儲存的該資料解密。 4. 如申請專利範圍第1項之方法,其中 辨識該平台之該網域憑證已授權存取的該資源包含審 視由該網域控制器所維持之該平台的存取政策。 5. 如申請專利範圍第1項之方法,其中 將該平台的該資源解鎖包含建立該網域控制器與該資 源之間的安全通訊對談。 6. 如申請專利範圍第1項之方法,其中 將該資源解鎖包含提供電源給該資源。 -33- 201225617 7. 如申請專利範圍第1項之方法,另包含: 自該網域控制器獲得解鎖符記,其中,將該資源解鎖 包含使用該解鎖符記,以將該資源解鎖。 8. 如申請專利範圍第1項之方法,其中 該資源包含ΑΤΑ裝置及晶片組控制的資源之至少其 中一個。 9. —種系統,包含: 至少其中一個處理器;以及 記憶體,係耦接至該至少其中一個處理器,該記憶體 包含用以實施下述之指令: 在載入平台的作業系統之前,獲得該平台的網域憑 證; 以位於該平台遠端的網域控制器,對該網域憑證認 證; 辨識該平台之該網域憑證已授權存取的資源;及 在載入該平台的該作業系統之前,使用該網域憑證 ,以將該平台的該資源解鎖。 10. 如申請專利範圍第9項之系統,其中 該網域憑證包含該平台的使用者之憑證及該平台的安 全分區之憑證的至少其中一個憑證。 11. 如申請專利範圍第9項之系統,其中,該等指令 另包含用以實施下述之指令: 使用該網域憑證,以獲得用以將該資源上所儲存的資 料解密之金鑰;以及 S -34- 201225617 使用該金鑰,以將該資源上所儲存的該資料解密。 12. 如申請專利範圍第9項之系統,其中 辨識該平台之該網域憑證已授權存取的該資源包含審 視由該網域控制器所維持之該平台的存取政策。 13. 如申請專利範圍第9項之系統,其中 將該平台的該資源解鎖包含建立該網域控制器與該資 源之間的安全通訊對談。 14. 如申請專利範圍第9項之系統,其中 將該資源解鎖包含提供電源給該資源。 15. 如申請專利範圍第9項之系統,其中,該等指令 另包含用以實施下述之指令: 自該網域控制器獲得解鎖符記,其中,將該資源解鎖 包含使用該解鎖符記,以將該資源解鎖。 16. 如申請專利範圍第9項之系統,其中 該資源包含ΑΤΑ裝置及晶片組控制的資源之至少其 中一個。 1 7 . —種電腦程式產品,包含: 電腦可讀取儲存媒體;以及 該電腦可讀取儲存媒體中的指令,其中,當該等指令 被執行於處理系統中時,該等指令致使該處理系統實施操 作,包含: 在載入平台的作業系統之前,獲得該平台的網域憑 證; 以位於該平台遠端的網域控制器,對該網域憑證認 -35- 201225617 辨識該平台之該網域憑證已授權存取的資源;及 在載入該平台的該作業系統之前,使用該網域憑證 ,以將該平台的該資源解鎖。 18.如申請專利範圍第1 7項之電腦程式產品,其中 該網域憑證包含該平台的使用者之憑證及該平台的安 全分區之憑證的至少其中一個憑證。 1 9.如申請專利範圍第1 7項之電腦程式產品,其中 ,該等指令另致使該處理系統實施操作,包含: 使用該網域憑證,以獲得用以將該資源上所儲存的資 料解密之金鑰;以及 使用該金鑰,以將該資源上所儲存的該資料解密。 20. 如申請專利範圍第1 7項之電腦程式產品,其中 辨識該平台之該網域憑證已授權存取的該資源包含審 視由該網域控制器所維持之該平台的存取政策。 21. 如申請專利範圍第1 7項之電腦程式產品,其中 將該平台的該資源解鎖包含建立該網域控制器與該資 源之間的安全通訊對談。 22. 如申請專利範圍第1 7項之電腦程式產品,其中 將該資源解鎖包含提供電源給該資源。 23 .如申請專利範圍第1 7項之電腦程式產品’其中 ,該等指令另致使該處理系統實施操作,包含: 自該網域控制器獲得解鎖符記,其中,將該資源解鎖 包含使用該解鎖符記,以將該資源解鎖。 S -36- 201225617 24. 如申請專利範圍第1 7項之電腦程式產品,其中 該資源包含ΑΤΑ裝置及晶片組控制的資源之至少其 中一個。 25. —種電腦實施方法,包含: 接收位於該平台遠端的網域控制器處之平台的網域憑 證; 對該網域憑證認證;以及 回應於對該網域憑證認證,而提供該平台的存取政策 ,其中,該存取政策被使用來辨識該平台之該網域憑證已 授權存取的資源,且該存取政策包括用以將該資源解鎖的 符記。 26. 如申請專利範圍第25項之方法,其中 該網域憑證包含該平台的使用者之憑證及該平台的安 全分區之憑證的至少其中一個憑證。 27. 如申請專利範圍第25項之方法,其中 該資源包含ΑΤΑ裝置及晶片組控制的資源之至少其 中一個。 -37-
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/836,156 US10482254B2 (en) | 2010-07-14 | 2010-07-14 | Domain-authenticated control of platform resources |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201225617A true TW201225617A (en) | 2012-06-16 |
| TWI450559B TWI450559B (zh) | 2014-08-21 |
Family
ID=45467912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW100124610A TWI450559B (zh) | 2010-07-14 | 2011-07-12 | 用於平台資源之網域認證控制的電腦實施方法、計算系統、及電腦程式產品 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US10482254B2 (zh) |
| EP (1) | EP2593898B1 (zh) |
| JP (1) | JP5592565B2 (zh) |
| KR (1) | KR101471379B1 (zh) |
| CN (1) | CN103003822B (zh) |
| TW (1) | TWI450559B (zh) |
| WO (1) | WO2012009231A2 (zh) |
Families Citing this family (58)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8266429B2 (en) | 2004-07-20 | 2012-09-11 | Time Warner Cable, Inc. | Technique for securely communicating and storing programming material in a trusted domain |
| US8312267B2 (en) | 2004-07-20 | 2012-11-13 | Time Warner Cable Inc. | Technique for securely communicating programming content |
| US8520850B2 (en) | 2006-10-20 | 2013-08-27 | Time Warner Cable Enterprises Llc | Downloadable security and protection methods and apparatus |
| US8621540B2 (en) | 2007-01-24 | 2013-12-31 | Time Warner Cable Enterprises Llc | Apparatus and methods for provisioning in a download-enabled system |
| US8909940B2 (en) * | 2008-06-23 | 2014-12-09 | Intel Corporation | Extensible pre-boot authentication |
| US9602864B2 (en) | 2009-06-08 | 2017-03-21 | Time Warner Cable Enterprises Llc | Media bridge apparatus and methods |
| US10482254B2 (en) | 2010-07-14 | 2019-11-19 | Intel Corporation | Domain-authenticated control of platform resources |
| US8910295B2 (en) * | 2010-11-30 | 2014-12-09 | Comcast Cable Communications, Llc | Secure content access authorization |
| US8799997B2 (en) | 2011-04-18 | 2014-08-05 | Bank Of America Corporation | Secure network cloud architecture |
| US8918862B2 (en) * | 2011-08-31 | 2014-12-23 | International Business Machines Corporation | Managing access to storage media |
| US8839350B1 (en) * | 2012-01-25 | 2014-09-16 | Symantec Corporation | Sending out-of-band notifications |
| US9727740B2 (en) * | 2012-01-30 | 2017-08-08 | Hewlett-Packard Development Company, L.P. | Secure information access over network |
| US8732456B2 (en) * | 2012-04-13 | 2014-05-20 | General Electric Company | Enterprise environment disk encryption |
| US8782768B2 (en) * | 2012-06-15 | 2014-07-15 | Vmware, Inc. | Systems and methods for accessing a virtual desktop |
| US10771448B2 (en) | 2012-08-10 | 2020-09-08 | Cryptography Research, Inc. | Secure feature and key management in integrated circuits |
| US9838370B2 (en) | 2012-09-07 | 2017-12-05 | Oracle International Corporation | Business attribute driven sizing algorithms |
| US9069979B2 (en) * | 2012-09-07 | 2015-06-30 | Oracle International Corporation | LDAP-based multi-tenant in-cloud identity management system |
| US9336357B2 (en) | 2012-09-28 | 2016-05-10 | Intel Corporation | Secure access management of devices |
| US9565472B2 (en) | 2012-12-10 | 2017-02-07 | Time Warner Cable Enterprises Llc | Apparatus and methods for content transfer protection |
| US9705869B2 (en) | 2013-06-27 | 2017-07-11 | Intel Corporation | Continuous multi-factor authentication |
| US9390248B2 (en) * | 2013-08-28 | 2016-07-12 | Intel Corporation | Systems and methods for authenticating access to an operating system by a user before the operating system is booted using a wireless communication token |
| CN104601529B (zh) * | 2013-10-31 | 2019-12-17 | 腾讯科技(深圳)有限公司 | 终端账号管理方法及装置 |
| US10375013B2 (en) | 2013-11-11 | 2019-08-06 | Amazon Technologies, Inc. | Managed directory service connection |
| US9736159B2 (en) | 2013-11-11 | 2017-08-15 | Amazon Technologies, Inc. | Identity pool bridging for managed directory services |
| US10908937B2 (en) | 2013-11-11 | 2021-02-02 | Amazon Technologies, Inc. | Automatic directory join for virtual machine instances |
| US9407615B2 (en) * | 2013-11-11 | 2016-08-02 | Amazon Technologies, Inc. | Single set of credentials for accessing multiple computing resource services |
| US9846584B1 (en) * | 2014-01-29 | 2017-12-19 | Phoenix Technologies Ltd. | Promoting a secure operating environment through oversight and provisioning of BIOS activity |
| CN105934751B (zh) * | 2014-01-30 | 2020-02-07 | 惠普发展公司,有限责任合伙企业 | 目标设备的数据擦除 |
| KR102204247B1 (ko) * | 2014-02-19 | 2021-01-18 | 삼성전자 주식회사 | 전자 장치의 생체 정보 처리 방법 및 장치 |
| US10389709B2 (en) | 2014-02-24 | 2019-08-20 | Amazon Technologies, Inc. | Securing client-specified credentials at cryptographically attested resources |
| US9411975B2 (en) | 2014-03-31 | 2016-08-09 | Intel Corporation | Methods and apparatus to securely share data |
| US9621940B2 (en) | 2014-05-29 | 2017-04-11 | Time Warner Cable Enterprises Llc | Apparatus and methods for recording, accessing, and delivering packetized content |
| US20160105400A1 (en) * | 2014-10-08 | 2016-04-14 | Time Warner Cable Enterprises Llc | Apparatus and methods for data transfer beteween a plurality of user devices |
| US10303879B1 (en) | 2014-11-06 | 2019-05-28 | Amazon Technologies, Inc. | Multi-tenant trusted platform modules |
| CN105678117B (zh) * | 2014-11-19 | 2019-12-20 | 比亚迪股份有限公司 | 单片机闪存程序的安全性保护方法及保护装置及单片机 |
| US9525672B2 (en) * | 2014-12-19 | 2016-12-20 | Amazon Technologies, Inc. | Multi-faceted compute instance identity |
| US9659170B2 (en) * | 2015-01-02 | 2017-05-23 | Senteon LLC | Securing data on untrusted devices |
| US10509663B1 (en) | 2015-02-04 | 2019-12-17 | Amazon Technologies, Inc. | Automatic domain join for virtual machine instances |
| US9749310B2 (en) * | 2015-03-27 | 2017-08-29 | Intel Corporation | Technologies for authentication and single-sign-on using device security assertions |
| US9565169B2 (en) | 2015-03-30 | 2017-02-07 | Microsoft Technology Licensing, Llc | Device theft protection associating a device identifier and a user identifier |
| US20160364553A1 (en) * | 2015-06-09 | 2016-12-15 | Intel Corporation | System, Apparatus And Method For Providing Protected Content In An Internet Of Things (IOT) Network |
| US10073964B2 (en) | 2015-09-25 | 2018-09-11 | Intel Corporation | Secure authentication protocol systems and methods |
| US9509684B1 (en) * | 2015-10-14 | 2016-11-29 | FullArmor Corporation | System and method for resource access with identity impersonation |
| US9762563B2 (en) | 2015-10-14 | 2017-09-12 | FullArmor Corporation | Resource access system and method |
| US9450944B1 (en) | 2015-10-14 | 2016-09-20 | FullArmor Corporation | System and method for pass-through authentication |
| US10037418B2 (en) * | 2015-11-25 | 2018-07-31 | Dell Products L.P. | Pre-boot authentication credential sharing system |
| US10459751B2 (en) | 2017-06-30 | 2019-10-29 | ATI Technologies ULC. | Varying firmware for virtualized device |
| US11107068B2 (en) | 2017-08-31 | 2021-08-31 | Bank Of America Corporation | Inline authorization structuring for activity data transmission |
| EP3585084A1 (de) * | 2018-06-18 | 2019-12-25 | Siemens Aktiengesellschaft | Einrichtung einer zugangsberechtigung zu einem teilnetzwerk eines mobilfunknetzes |
| CN109347831A (zh) * | 2018-10-24 | 2019-02-15 | 国家电网有限公司 | 一种基于UKey认证的双重认证安全接入系统及方法 |
| US11341279B2 (en) | 2019-07-29 | 2022-05-24 | International Business Machines Corporation | Management of securable computing resources |
| US10916889B1 (en) | 2019-07-29 | 2021-02-09 | International Business Machines Corporation | Management of securable computing resources |
| US11531787B2 (en) | 2019-07-29 | 2022-12-20 | International Business Machines Corporation | Management of securable computing resources |
| US11341278B2 (en) | 2019-07-29 | 2022-05-24 | International Business Machines Corporation | Management of securable computing resources |
| US11210427B2 (en) | 2019-07-29 | 2021-12-28 | International Business Machines Corporation | Management of securable computing resources |
| US11669602B2 (en) | 2019-07-29 | 2023-06-06 | International Business Machines Corporation | Management of securable computing resources |
| KR102308511B1 (ko) * | 2020-02-04 | 2021-10-06 | (주) 씨이랩 | 빅데이터 및 인공지능을 이용한 사용자 정보 통합 플랫폼 및 이의 운용방법 |
| US11392705B1 (en) * | 2021-07-29 | 2022-07-19 | Netskope, Inc. | Disk encryption key management for booting of a device |
Family Cites Families (55)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6484262B1 (en) | 1999-01-26 | 2002-11-19 | Dell Usa, L.P. | Network controlled computer system security |
| US6834351B1 (en) * | 1999-10-29 | 2004-12-21 | Gateway, Inc. | Secure information handling system |
| US6999912B2 (en) * | 2001-03-13 | 2006-02-14 | Microsoft Corporation | Provisioning computing services via an on-line networked computing environment |
| US7149854B2 (en) * | 2001-05-10 | 2006-12-12 | Advanced Micro Devices, Inc. | External locking mechanism for personal computer memory locations |
| US7590684B2 (en) | 2001-07-06 | 2009-09-15 | Check Point Software Technologies, Inc. | System providing methodology for access control with cooperative enforcement |
| US7043587B2 (en) * | 2001-09-20 | 2006-05-09 | Lenovo (Singapore) Pte. Ltd. | System and method for connecting a universal serial bus device to a host computer system |
| US7167919B2 (en) * | 2001-12-05 | 2007-01-23 | Canon Kabushiki Kaisha | Two-pass device access management |
| US20030177388A1 (en) * | 2002-03-15 | 2003-09-18 | International Business Machines Corporation | Authenticated identity translation within a multiple computing unit environment |
| US7096333B2 (en) | 2002-07-18 | 2006-08-22 | International Business Machines Corporation | Limited concurrent host access in a logical volume management data storage environment |
| JP2004070875A (ja) | 2002-08-09 | 2004-03-04 | Alpine Electronics Inc | セキュアシステム |
| US7546452B2 (en) * | 2002-08-20 | 2009-06-09 | Intel Corporation | Hardware-based credential management |
| US8065717B2 (en) * | 2002-11-27 | 2011-11-22 | Activcard | Automated security token administrative services |
| US20040215650A1 (en) * | 2003-04-09 | 2004-10-28 | Ullattil Shaji | Interfaces and methods for group policy management |
| JP4649096B2 (ja) | 2003-05-27 | 2011-03-09 | キヤノン株式会社 | 情報処理システム |
| CN100459659C (zh) * | 2003-09-17 | 2009-02-04 | 松下电器产业株式会社 | 应用执行设备、应用执行方法、和集成电路 |
| US7424610B2 (en) * | 2003-12-23 | 2008-09-09 | Intel Corporation | Remote provisioning of secure systems for mandatory control |
| US20050246529A1 (en) * | 2004-04-30 | 2005-11-03 | Microsoft Corporation | Isolated persistent identity storage for authentication of computing devies |
| US20050262361A1 (en) | 2004-05-24 | 2005-11-24 | Seagate Technology Llc | System and method for magnetic storage disposal |
| US7774824B2 (en) * | 2004-06-09 | 2010-08-10 | Intel Corporation | Multifactor device authentication |
| US20070136581A1 (en) * | 2005-02-15 | 2007-06-14 | Sig-Tec | Secure authentication facility |
| US7546632B2 (en) * | 2005-02-17 | 2009-06-09 | Cisco Technology, Inc. | Methods and apparatus to configure a network device via an authentication protocol |
| US7540014B2 (en) * | 2005-02-23 | 2009-05-26 | Microsoft Corporation | Automated policy change alert in a distributed enterprise |
| DE102005014352A1 (de) | 2005-03-24 | 2006-09-28 | Utimaco Safeware Ag | Verfahren und Steuervorrichtung zur Steuerung eines Zugriffs eines Computers auf Nutzdaten |
| US7451301B2 (en) * | 2005-03-30 | 2008-11-11 | Intel Corporation | OS independent device management methods and apparatuses having a map providing codes for various activations of keys |
| US8619971B2 (en) * | 2005-04-01 | 2013-12-31 | Microsoft Corporation | Local secure service partitions for operating system security |
| US7350074B2 (en) * | 2005-04-20 | 2008-03-25 | Microsoft Corporation | Peer-to-peer authentication and authorization |
| US7657746B2 (en) | 2005-04-22 | 2010-02-02 | Microsoft Corporation | Supporting statements for credential based access control |
| US8972743B2 (en) * | 2005-05-16 | 2015-03-03 | Hewlett-Packard Development Company, L.P. | Computer security system and method |
| US8549592B2 (en) | 2005-07-12 | 2013-10-01 | International Business Machines Corporation | Establishing virtual endorsement credentials for dynamically generated endorsement keys in a trusted computing platform |
| JP4793628B2 (ja) | 2005-09-01 | 2011-10-12 | 横河電機株式会社 | Os起動方法及びこれを用いた装置 |
| US7693838B2 (en) * | 2005-11-12 | 2010-04-06 | Intel Corporation | Method and apparatus for securely accessing data |
| JP2007148466A (ja) | 2005-11-24 | 2007-06-14 | Hitachi Software Eng Co Ltd | 可搬型記憶装置及びos |
| US7900252B2 (en) | 2006-08-28 | 2011-03-01 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for managing shared passwords on a multi-user computer |
| WO2008046101A2 (en) * | 2006-10-13 | 2008-04-17 | Ariel Silverstone | Client authentication and data management system |
| US7971232B2 (en) * | 2006-10-30 | 2011-06-28 | Microsoft Corporation | Setting group policy by device ownership |
| US8166515B2 (en) * | 2006-10-30 | 2012-04-24 | Microsoft Corporation | Group policy for unique class identifier devices |
| US20080162809A1 (en) * | 2006-12-28 | 2008-07-03 | Rothman Michael A | Operating system-independent remote accessibility to disk storage |
| US20080288782A1 (en) * | 2007-05-18 | 2008-11-20 | Technology Properties Limited | Method and Apparatus of Providing Security to an External Attachment Device |
| US8467527B2 (en) * | 2008-12-03 | 2013-06-18 | Intel Corporation | Efficient key derivation for end-to-end network security with traffic visibility |
| US8453142B2 (en) | 2007-04-26 | 2013-05-28 | Hewlett-Packard Development Company, L.P. | Virtual machine control |
| US9178884B2 (en) * | 2007-09-07 | 2015-11-03 | Intel Corporation | Enabling access to remote entities in access controlled networks |
| US8078713B1 (en) * | 2008-03-05 | 2011-12-13 | Full Armor Corporation | Delivering policy settings with virtualized applications |
| US8543799B2 (en) * | 2008-05-02 | 2013-09-24 | Microsoft Corporation | Client authentication during network boot |
| US8909940B2 (en) * | 2008-06-23 | 2014-12-09 | Intel Corporation | Extensible pre-boot authentication |
| US20090327702A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Key Escrow Service |
| US9131008B2 (en) * | 2008-09-30 | 2015-09-08 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Discovery profile based unified credential processing for disparate security domains |
| US8196177B2 (en) * | 2008-10-16 | 2012-06-05 | International Business Machines Corporation | Digital rights management (DRM)-enabled policy management for a service provider in a federated environment |
| US8863268B2 (en) * | 2008-10-29 | 2014-10-14 | Dell Products, Lp | Security module and method within an information handling system |
| US8856512B2 (en) * | 2008-12-30 | 2014-10-07 | Intel Corporation | Method and system for enterprise network single-sign-on by a manageability engine |
| US8219792B2 (en) * | 2009-10-06 | 2012-07-10 | Dell Products L.P. | System and method for safe information handling system boot |
| US20110154023A1 (en) * | 2009-12-21 | 2011-06-23 | Smith Ned M | Protected device management |
| US8250638B2 (en) * | 2010-02-01 | 2012-08-21 | Vmware, Inc. | Maintaining the domain access of a virtual machine |
| US8370905B2 (en) * | 2010-05-11 | 2013-02-05 | Microsoft Corporation | Domain access system |
| US10482254B2 (en) | 2010-07-14 | 2019-11-19 | Intel Corporation | Domain-authenticated control of platform resources |
| US9172538B2 (en) * | 2012-04-20 | 2015-10-27 | T-Mobile Usa, Inc. | Secure lock for mobile device |
-
2010
- 2010-07-14 US US12/836,156 patent/US10482254B2/en not_active Expired - Fee Related
-
2011
- 2011-07-08 KR KR1020137000796A patent/KR101471379B1/ko active IP Right Grant
- 2011-07-08 WO PCT/US2011/043411 patent/WO2012009231A2/en active Application Filing
- 2011-07-08 CN CN201180034621.6A patent/CN103003822B/zh not_active Expired - Fee Related
- 2011-07-08 EP EP11807321.2A patent/EP2593898B1/en not_active Not-in-force
- 2011-07-08 JP JP2013519728A patent/JP5592565B2/ja not_active Expired - Fee Related
- 2011-07-12 TW TW100124610A patent/TWI450559B/zh not_active IP Right Cessation
-
2019
- 2019-10-28 US US16/665,656 patent/US11366906B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| KR101471379B1 (ko) | 2014-12-24 |
| US11366906B2 (en) | 2022-06-21 |
| WO2012009231A3 (en) | 2012-03-29 |
| CN103003822A (zh) | 2013-03-27 |
| JP2013532854A (ja) | 2013-08-19 |
| JP5592565B2 (ja) | 2014-09-17 |
| EP2593898A4 (en) | 2014-10-22 |
| EP2593898A2 (en) | 2013-05-22 |
| TWI450559B (zh) | 2014-08-21 |
| CN103003822B (zh) | 2016-01-27 |
| US20120017271A1 (en) | 2012-01-19 |
| US10482254B2 (en) | 2019-11-19 |
| EP2593898B1 (en) | 2017-01-11 |
| KR20130044293A (ko) | 2013-05-02 |
| WO2012009231A2 (en) | 2012-01-19 |
| US20200065496A1 (en) | 2020-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11366906B2 (en) | Domain-authenticated control of platform resources | |
| US11632249B2 (en) | Secure log schemes for portable accounts | |
| US10489574B2 (en) | Method and system for enterprise network single-sign-on by a manageability engine | |
| US11711222B1 (en) | Systems and methods for providing authentication to a plurality of devices | |
| US10122703B2 (en) | Federated full domain logon | |
| US8997192B2 (en) | System and method for securely provisioning and generating one-time-passwords in a remote device | |
| CN108701094B (zh) | 在基于云的应用中安全地存储和分发敏感数据 | |
| US9544137B1 (en) | Encrypted boot volume access in resource-on-demand environments | |
| CN116490868A (zh) | 用于可信执行环境中的安全快速机器学习推理的系统和方法 | |
| US9864853B2 (en) | Enhanced security mechanism for authentication of users of a system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |