TWI494785B

TWI494785B - 用以提供系統管理命令之系統與方法

Info

Publication number: TWI494785B
Application number: TW098115690A
Authority: TW
Inventors: Lan Wang; Valiuddin V Ali; James L Mondshine
Original assignee: Hewlett Packard Development Co
Priority date: 2008-05-16
Filing date: 2009-05-12
Publication date: 2015-08-01
Also published as: BRPI0822164B1; DE112008003862T5; BRPI0822164A2; TW200949603A; CN102027480A; GB201019151D0; JP2011521351A; GB2472169B; GB2472169A; US9143328B2; US20110066839A1; DE112008003862B4; CN102027480B; KR20110009679A; JP5373062B2; WO2009139779A1

Description

用以提供系統管理命令之系統與方法

本發明係有關於用以提供系統管理命令之系統與方法。

發明背景

在諸如電腦系統的電子裝置中已經引進了許多安全特徵來使用。安全特徵的例子包括進行預啟動鑑定、偷竊威懾(theft deterrent)及驅動機加密，只舉幾個例子。諸如指紋感測器、可信賴平台模組(TPM)及智慧卡之安全性權杖的使用同樣獲得普及。這些特徵極大地加強了電子裝置之安全性。

然而，此已提高的安全性對於受授權(authorized)的服務人員及該平台擁有者而言有時會出現問題。特定地，受授權的服務人員可被召去執行系統管理功能，而安全特徵已被設計以防止執行該等系統管理功能。例如，一受授權的服務人員可能需要快閃(flash)包含基本輸入輸出系統(BIOS)之一系統記憶體裝置以取代已損壞的程式資訊。然而，快閃該BIOS可能需要不再可得的一安全憑證(security credential)。安全憑證由於許多原因可能變得不可得。一使用者可能忘記或惡意地重置一系統密碼。其指紋對進入一電腦是必需的一員工可能離開一公司或者無法或不願意提供必需的鑑定。在此類情況下，正當的平台擁有者(擁有該電腦之企業)可能被阻擋進入該電腦。

如另一例子，一受授權的使用者可能希望重置由於一安全特徵而被去能(disabled)之一電子裝置之元件。例如，如果該系統經歷了過量的不良鑑定嘗試，該元件可能由於一安全措施而被去能。另外，諸如一指紋讀取器或TPM之一系統安全裝置可能被破壞且需要用新的硬體取代。如果一受授權的服務人員無法獲得需要的安全憑證或一系統元件已經被破壞或去能，該受授權的人員(使用受授權的人員來指受授權的服務人員與平台擁有者二者)可能無法執行一系統管理功能以使該系統或元件正常運轉。此外，一受授權的使用者無法執行必需的管理功能時，可能使得一原本寶貴的電腦系統永久無法有效運作。

依據本發明之一實施例，係特地提出一種重置一電子裝置之一安全受去能的元件之方法，該方法包含以下步驟：自一受授權的請求者接收識別該電子裝置之資訊及用以重置該電子裝置之至少一安全受去能的元件之一請求；及回應於該請求提供用以重置該電子裝置之該至少一安全受去能的元件之一命令、識別該命令之一來源為一可信賴來源之資訊及識別該電子裝置之該資訊。

圖式簡單說明

結合該等圖，在下面的詳細敘述中描述了某些示範實施例，其中：第1圖根據本發明之一示範實施例是電腦系統之一基礎架構之一方塊圖，該電腦系統包括適於接收一系統管理命令之一電腦；及第2圖根據本發明之一示範實施例是顯示使用一系統管理命令來重置一電子裝置之一安全受限制的元件的一流程圖。

較佳實施例之詳細說明

根據本發明之一示範實施例，一電腦系統適於接收一系統管理命令，該系統管理命令由諸如一受授權的服務人員或該平台擁有者之一受授權的使用者提出的一請求產生，而不管是否擁有該電腦所需要該等安全憑證。此外，根據本發明，一系統管理命令允許一受授權的使用者執行否則將需要使用不再可得的、最初從未設定的或提供給一服務人員是不可行的安全憑證之動作。舉例而言，提供諸如一BIOS管理密碼之一重要的安全憑證給一服務人員可能是不可行的或不希望的。

根據本發明之一示範實施例使用一系統管理命令可執行之功能的例子包括在不需要密碼鑑定、快閃該系統BIOS之該啟動塊區域及快閃系統BIOS之該非啟動塊區域的情況下執行一系統啟動。使用一系統管理命令可執行的額外的功能之例子包括允許系統管理者在沒有適當授權的情況下獲得特權、允許在沒有適當授權的情況下作為一使用者建立存取、把該系統BIOS重置到一原廠預設狀態或在保存諸如一通用唯一識別符(UUID)之身份資訊時把該系統BIOS重置到一原廠預設狀態。進一步的例子包括把所有的系統元件重置到一原廠預設狀態、移除所有的BIOS使用者、移除所有的OS使用者、移除所有的BIOS安全政策、移除所有的使用者或識別要使用的一硬體設定檔。

使用一系統管理命令可執行之一功能之一額外的例子是重置由於安全原因被去能之一系統元件。特定地，一系統管理命令可用來去能一管理引擎(ME)、重置一TPM、重置一偷竊威懾技術(TDT)裝置、重置一指紋讀取器、重置一系統電路板或類似物。下面關於第1圖提出的該例子給出了關於一系統管理命令如何可被用來重置由於安全原因被去能的一系統元件之額外的細節。

第1圖是電腦系統之一基礎架構之一方塊圖，其包括：1)一電腦，其根據本發明之一示範實施例適於接收一系統管理命令；及2)一可信賴伺服器，其可以產生可運行在根據本發明之一示範實施例設計的電腦上之系統管理命令。該基礎架構大體上用參考數字100來指代。本技藝中具有通常知識者將瞭解在第1圖中顯示的該等功能塊及裝置可包含包括電路的硬體元件、包括儲存在一機器可讀取媒體上之電腦程式碼的軟體元件或硬體及軟體元件兩者之組合。另外，基礎架構100之該等功能塊及裝置只是可在本發明之一示範實施例中遭實施的功能塊及裝置之一例子。本技藝中具有通常知識者將容易能夠基於一特定電子裝置設計考慮定義特定的功能塊。

該基礎架構100包含一受授權的使用者的電腦102，其可能或可能不直接連接到一可信賴伺服器104。根據本發明之一示範實施例，諸如一服務或維修人員之一受授權的使用者使用該受授權的使用者的電腦102或直接地登錄到該可信賴伺服器104且基於預先定義的準則適當地獲得鑑定。在鑑定之後，該受授權的使用者請求該可信賴伺服器104發出一系統管理命令來重置諸如一安全受限制的電腦106之一電子裝置的一元件。該安全受限制的電腦106包括至少一安全受限制的元件。如本文所使用的，該術語“安全受限制的”指由於未能接收到諸如一密碼、一加密鑰、一生物特徵量測簽章或類似物之一安全憑證導致已進入一非功能性狀態之一元件或系統。使一元件處在一安全受限制的狀態中的目的是阻止對該元件或由該元件保護的一些其它資源的未經授權的存取。在許多情況中，使該元件處在一安全受限制的狀態中的原因是由於一未經授權的來源已嘗試在沒有提供該等需要的安全憑證的情況下使用該元件。

本發明之一示範實施例適於允許一受授權的使用者在沒有所需的安全證實的情況下使用一系統管理命令來重置一安全受限制的元件，當包含該安全受限制的元件的該電子裝置之控制藉由一受授權的來源恢復時。為了解釋本發明之一示範實施例的目的，下面的討論假定該安全受限制的電腦106具有至少一安全元件，該安全元件在沒有該等適當的安全憑證的情況下是安全受限制的。換言之，該安全受限制的電腦106包括至少一安全受限制的元件。

在本發明之一示範實施例中，該安全受限制的電腦106包含一系統電路板108。該系統電路板108涵蓋該安全受限制的電腦106的主要元件，諸如一系統處理器或CPU、一系統記憶體及類似物。該系統電路板108還可儲存一系統BIOS 110在諸如一非依電性記憶體的一記憶體裝置中。該系統BIOS適於控制一起動或啟動程序並控制該安全受限制的電腦106之低級操作。

該安全受限制的電腦106可具有多個安全級。例如，一第一安全級可包括預啟動安全。如果諸如一通用串列匯流排權杖(USB token)或類似物之一安全憑證沒有出現，預啟動安全可操作以去能該系統BIOS 110。一第二安全級可包含硬碟機加密。在具有硬碟機加密的一系統中，如果一安全憑證沒有出現或沒有由該使用者提供，對儲存在該安全受限制的電腦106的一硬碟機上儲存的加密資料的存取可被拒絕。一第三安全級是作業系統存取。如果諸如一密碼之另一安全憑證沒有被提供，對該安全受限制的電腦106之作用系統的存取可被拒絕。根據本發明之一示範實施例，如果沒有提供該等需要的安全憑證中的任意一個，包括該系統電路板108之該安全受限制的電腦106之一或多個元件可在一重置操作期間使之處於一不可操作狀態。

另外，該安全受限制的電腦106可包括一或多個安全元件，這些安全元件可被設計用來阻止資料偷竊或其它對系統資源之未經授權的存取。在第1圖顯示的該示範實施例中，該安全受限制的電腦106包括諸如一指紋讀取器112之一生物特徵量測存取裝置。該安全受限制的電腦106還包括一可信賴平台模組(TPM)114。

根據本發明之一示範實施例，為了重置該安全受限制的電腦106之一安全受限制的元件，諸如一服務或維修人員之一授權的使用者向該可信賴伺服器104提出一請求以發出用以重置該安全受限制的電腦106上之該安全受限制的元件之一系統管理命令。重置該安全受限制的元件的該請求可包含用以將該安全受限制的元件初始化到一原廠預設狀態之一請求。

伴隨著用以重置該安全受限制的元件之該請求，該受授權的使用者把特定地識別該安全受限制的電腦106之資訊提供給該可信賴伺服器104。在本發明之一示範實施例中，識別該安全受限制的電腦106之該資訊可包含該安全受限制的電腦106之一系統UUID、一型號及/或一序列號、資產標籤、MAC位址或類似物。

可限制對該可信賴伺服器104的存取以使只有受授權的服務技術員或平台擁有者能夠提出用以發出系統管理命令之請求。另外，受授權的使用者可能需要藉由向該可信賴伺服器104提供諸如一使用者識別及一密碼之安全憑證來證明他們的身份。

在接收用以產生一系統管理命令來重置該安全受限制的電腦106之一元件之一請求之後，該可信賴伺服器104可鑑定該受授權的使用者的身份。如果該受授權的使用者的身份獲鑑定了，該可信賴伺服器104回應於該請求提供用以重置該安全受限制的電腦106之一安全受限制的元件之一系統管理命令。該系統管理命令可對應於由該受授權的使用者在該請求中提出的特定的重置功能。

除了該系統管理命令本身之外，該可信賴伺服器104還可產生或以其他方式提供識別該可信賴伺服器104為該系統管理命令之一可信賴來源的資訊。在本發明之一示範實施例中，識別該可信賴伺服器104為一可信賴來源的該資訊可包含一私鑰。此外，由該可信賴伺服器104提供的該系統管理命令可用該私鑰簽章。如下文提出的，該可信賴伺服器104還提供該可信賴伺服器104經由該受授權的使用者的電腦102或經由其它輸入所接收之來自該受授權的使用者之識別該安全受限制的電腦106的資訊。該系統管理命令、識別該命令之來源為一可信賴來源的該資訊及識別該安全受限制的電腦106之該資訊共同地作為第1圖中的“SMC”。

在本發明之一示範實施例中，如果該安全受限制的電腦106與該可信賴伺服器104處在同一網路中且該安全受限制的電腦106能夠進行網路通信，該系統管理命令、識別該命令之來源為一可信賴來源的該資訊及識別該安全受限制的電腦106之該資訊可被直接遞送到該安全受限制的電腦106。另外，該系統管理命令、識別該命令之來源為一可信賴來源的該資訊及識別該安全受限制的電腦106之該資訊經由該受授權的使用者的電腦102可被遞送到該受授權的使用者。舉例而言，該系統管理命令、識別該命令之來源為一可信賴來源的該資訊及識別該安全受限制的電腦106之該資訊可儲存在一安全性權杖上，諸如一USB權杖 116、一智慧卡或與該受授權使用者電腦102相關聯的類似物。該受授權的使用者可把該權杖帶到該安全受限制的電腦106並如下面所述使用該權杖來重置該安全受限制的元件。

當該系統管理命令、識別該命令之來源為一可信賴來源的該資訊及識別該安全受限制的電腦106之該資訊由該安全受限制的電腦106接收時，該安全受限制的電腦106鑑定該可信賴伺服器104的身份。在本發明之一示範實施例中，該安全受限制的電腦106之系統BIOS 110有權存取與該私鑰相對應之一公鑰，該可信賴伺服器104使用該私鑰來簽章該系統管理命令。如果儲存在該安全受限制的電腦106中的該公鑰不與由該可信賴伺服器104使用的該私鑰相對應，該安全受限制的電腦106將拒絕執行用以重置該安全受限制的元件之該系統管理命令。

本發明之一示範實施例可使一受授權的使用者能夠重新規劃該公鑰。此特徵允許該受授權的使用者使用在該受授權的使用者之組織以外不被知曉的一私鑰/公鑰對。特定地，如果希望的話，該受授權的使用者可選擇該安全受限制的電腦106之該製造商不知道的一私鑰/公鑰對。

在本發明之一示範實施例中，在該安全受限制的電腦106中可提供多個公鑰槽。該等公鑰槽中之一或多個公鑰槽可以是可重新規劃的。例如，一特定的客戶(customer)可使用其組織公鑰重新規劃該等鑰槽中的一個。提供某加值功能的一獨立軟體供應商(ISV)可控制另一槽。可重新規劃的該等特定的鑰槽及可重新規劃它們的人員是一實施細節並不是本發明之一本質特徵。在一例子中，該等鑰槽可按照一先來先服務原則來重新規劃，或特定的鑰槽可被指定用於一特定目的。一個鑰槽可被指定用於由一OEM來重新規劃。一第二鑰槽可被指定用於一客戶，一第三鑰槽可被指定用於由一ISV等。在一示範實施例中，被指定用於由生產該電腦的OEM使用的一鑰槽是不可重新規劃的。

在附加的鑰槽中的該等公鑰之規劃之實施細節是可基於系統設計準則及/或安全關係而變化的一實施細節。如一例子，來自一BIOS管理員的一政策可阻止任何附加的鑰槽被規劃。再者，一特定鑰槽只有在與一OEM合作之後才能是可規劃的。只有當該OEM提供了允許提供一鑰的一特定系統管理命令時，才可允許重新規劃這樣的一鑰槽。在一示範實施例中，一終端客戶可被允許藉由一BIOS管理密碼或其它防護來明確地開啟規劃一公鑰之能力。關於提供一ISV提供的公鑰或類似物之一類似的安排可予以實施。

在本發明之一示範實施例中，不同的鑰槽適於允許執行不同層級的系統管理命令。例如，一OEM層級之鑰槽可被允許執行任何系統管理命令，包括完全重寫該系統BIOS。其它鑰槽可受到限制而無法執行某些系統管理命令。具有多個允許層級的鑰的使用允許一階層式命令允許/存取控制方案。

在本發明之一示範實施中，該安全受限制的電腦106在執行用以重置該安全受限制的元件之該系統管理命令之前還對照自該可信賴伺服器104接收的識別該安全受限制的電腦106之該資訊。如果識別該安全受限制的電腦106的該資訊不對應於例如儲存在其系統電路板108上的資訊，那麼該安全受限制的電腦106可拒絕執行用以重置該安全受限制的元件之該系統管理命令，即便由該安全受限制的電腦106儲存之該公鑰對應於由該可信賴伺服器104提供的該私鑰。按這種方式，該安全受限制的電腦106被保護免於受到諸如用以重置該安全受限制的元件之一未經授權的請求之駭客襲擊。

在本發明之一示範實施例中，該系統BIOS 110可充當一系統管理命令處理器，如果自該可信賴伺服器104接收的該資訊獲成功地鑑定，該系統管理命令處理器適於回應於自該可信賴伺服器104接收的資訊並執行例如用以重置該安全受限制的電腦106之一安全受限制的元件之一系統管理命令。在重啟該安全受限制的電腦106之後，該系統BIOS 110可適於檢測被設計用以通知該系統BIOS 110一系統管理命令正在被處理之一特定的鍵序列(key sequence)。接著該BIOS可鑑定識別該可信賴伺服器104之該資訊為一可信賴來源並驗證自該可信賴伺服器104接收的識別該安全受限制的電腦106之資訊確實對應於儲存在該安全受限制的電腦106中之識別資訊。如果該可信賴伺服器104之身份及識別該安全受限制的電腦106之該資訊識別都獲鑑定了，則該系統BIOS 110執行該系統管理命令來重置該安全受限制的元件到諸如一原廠預設狀態之一可使用狀態。在本發明之另一示範實施例中，該系統管理命令經由使用任何該等可得協定之一網路連接被遞送到該安全受限制的電腦106。該系統管理命令可由一代理使用例如一Windows管理規範(WMI)被遞送到該BIOS。在重啟後，該系統BIOS 110可自動檢測該系統管理命令的遞送並開始該命令處理序列。此外，本技藝中具有通常知識者將瞭解本發明之示範實施例促進已鑑定且安全的系統管理命令之遠程及自動遞送，該等系統管理命令可在重置(重啟)該系統後被處理。

第2圖是一流程圖，其根據本發明之一示範實施例顯示使用一系統管理命令來重置一電子裝置之一安全受限制的元件之一方法。該方法通常用參考數字200來指代。

在方塊202，該方法開始。在方塊204，自一受授權的使用者接收用於發出用以重置一電子裝置之至少一安全受限制的元件之一系統管理命令之一請求。還接收識別該電子裝置之資訊。在方塊206，回應於在方塊204接收的該重置請求提供用以重置該至少一安全受限制的元件之一系統管理命令。伴隨著該系統管理命令本身，還提供識別該命令之來源為一可信賴來源之資訊及識別該電子裝置之資訊。在方塊208，該方法結束。

本技藝中具有通常知識者將瞭解即使該等需要的安全憑證不可得，本發明之示範實施例透過提供發出一系統管理命令到一電腦系統的一方式，減少資訊技術維護成本。此外，本發明之示範實施例提供一安全的方式來重新利用否則將由於無法提供一所需要的安全憑證而導致永久不可操作之元件。

100‧‧‧基礎架構

102‧‧‧受授權的使用者的電腦

104‧‧‧可信賴伺服器

106‧‧‧安全受限制的電腦

108‧‧‧系統電路板

110‧‧‧系統BIOS

112‧‧‧指紋讀取器

114‧‧‧可信賴平台模組

116‧‧‧USB權杖

200‧‧‧方法

202~208‧‧‧方塊

SMC‧‧‧系統管理命令、識別該命令之來源為可信賴來源的資訊及識別安全受限制的電腦之資訊

第1圖根據本發明之一示範實施例是電腦系統之一基礎架構之一方塊圖，該電腦系統包括適於接收一系統管理命令之一電腦；及第2圖根據本發明之一示範實施例是顯示使用一系統管理命令來重置一電子裝置之一安全受限制的元件的一流程圖。