TWI770411B - 基於臨時密碼之韌體存取權技術 - Google Patents
基於臨時密碼之韌體存取權技術 Download PDFInfo
- Publication number
- TWI770411B TWI770411B TW108128758A TW108128758A TWI770411B TW I770411 B TWI770411 B TW I770411B TW 108128758 A TW108128758 A TW 108128758A TW 108128758 A TW108128758 A TW 108128758A TW I770411 B TWI770411 B TW I770411B
- Authority
- TW
- Taiwan
- Prior art keywords
- password
- firmware
- temporary password
- computing device
- information
- Prior art date
Links
- 230000004044 response Effects 0.000 claims abstract description 34
- 238000004891 communication Methods 0.000 claims abstract description 27
- 230000001413 cellular effect Effects 0.000 claims description 3
- 238000000034 method Methods 0.000 description 35
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000002207 retinal effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Information Transfer Between Computers (AREA)
- Stored Programmes (AREA)
Abstract
一範例運算裝置包括一通訊裝置、一輸入裝置、一儲存裝置、儲存在該儲存裝置中之韌體、以及一處理器。該處理器係用以進行下列動作:響應於接收到一組憑證,經由該通訊裝置將一請求發送至一伺服器,其中該請求包括該組憑證和該運算裝置之識別資訊;經由該通訊裝置接收來自該伺服器之一臨時密碼和該臨時密碼之逾期資訊;將該韌體之一密碼以該臨時密碼取代;響應於經由該輸入裝置接收到該臨時密碼,基於該逾期資訊判定該臨時密碼是否有效;以及響應於該臨時密碼為有效之一判定結果,提供對該韌體之存取權。
Description
本案廣義而言係有關一種基於臨時密碼之韌體存取權技術。
當一運算裝置的韌體具有該運算裝置之完全控制權時,針對該運算裝置的韌體防範未經授權的存取權係裝置安全性之一重要面向。若該韌體妥協,則整個運算裝置會處於風險。
依據本發明的一個可行實施態樣,係特地提出一種運算裝置,其包括一通訊裝置、一輸入裝置、一儲存裝置、儲存在該儲存裝置中之韌體,以及一處理器。該處理器係用以進行下列動作:響應於接收到一組憑證,經由該通訊裝置將一請求發送至一伺服器,其中該請求包括該組憑證和該運算裝置之識別資訊;經由該通訊裝置接收來自該伺服器之一臨時密碼和該臨時密碼之逾期資訊;以該臨時密碼取代該韌體之一密碼;響應於經由該輸入裝置接收到該臨時密碼,基於該逾期資訊判定該臨時密碼是否
有效;以及響應於該臨時密碼為有效之一判定結果,提供對該韌體之存取權。
100:系統
102:客端裝置
104:伺服器
106:密碼接收實體
108、116、120、602、702:處理器
110、118、122:通訊裝置
112:儲存裝置
114:韌體
124:命令
126:憑證組
128:請求
130:識別資訊
132:臨時密碼
134:逾期資訊
136:韌體存取權資訊
138:輸入裝置
140:新密碼
200:權限清單
202:憑證欄位
204:密碼接收實體欄位
206:通用權限欄位
208:第一特定權限欄位
210:第二特定權限欄位
300、302、304:圖形使用者介面
306、308、310:組態
400、500:方法
402、404、…、424、502、504、…、518:方塊
600、700:運算裝置
604、704:(電腦可讀)儲存媒體
606、608、…、620、706、708、…、714:指令
本案之一些範例係參照下列圖式來描述:圖1繪示根據一範例之一系統,其用以經由一臨時密碼提供對一運算裝置之韌體的存取權;圖2繪示根據一範例之與對韌體的存取權相關聯之一權限清單;圖3A繪示根據一範例之一圖形使用者介面,其用以請求一組憑證以產生一臨時密碼,俾存取一運算裝置之韌體;圖3B繪示根據一範例之一圖形使用者介面,其用以請求一密碼以存取一運算裝置之韌體;圖3C繪示根據一範例之一運算裝置的韌體的一圖形使用者介面;圖4繪示根據一範例,在一運算裝置之一操作方法,其用以基於一臨時密碼提供對韌體之存取權;圖5繪示根據一範例,在一運算裝置之一操作方法,其用以產生用於韌體存取權之一臨時密碼;圖6繪示根據一範例之一運算裝置,其用以基於一臨時密碼提供對韌體之存取權;以及圖7繪示根據一範例之一運算裝置,其用以產生用於韌體存取權之一臨時密碼。
為了要針對一運算裝置的韌體防範未經授權的存取權,一密碼可被指派給該韌體。在輸入正確的密碼之後,該運算裝置可授予存取權給該韌體。該運算裝置之一使用者可能忘記該密碼。在某些情況中,該使用者可寫下該密碼,使得該密碼可在晚點被容易地找回。物理地寫下一密碼產生一新安全風險,因為該密碼現在能夠被其他人輕易地獲取。
本文所描述的範例提供用以經由臨時密碼來存取一運算裝置的韌體之一方法。舉例來說,一運算裝置可包括一通訊裝置、一儲存裝置、儲存在該儲存裝置中的韌體,及一處理器。該處理器可響應於接收一組憑證,經由該通訊裝置發送一請求給一伺服器,其中該請求包括該組憑證及該運算裝置之識別資訊。該處理器亦可經由該通訊裝置接收來自該伺服器的一臨時密碼及該臨時密碼的逾期資訊。該處理器可進一步將該韌體之一密碼取代成該臨時密碼。該處理器可進一步響應於經由連接至該運算裝置的一輸入裝置接收該臨時密碼,基於該逾期資訊判定該臨時密碼是否有效。該處理器可進一步響應於該臨時密碼為有效之一判定結果,對該韌體提供存取權。
在另一範例中,一運算裝置可包括一通訊裝置和一處理器。該處理器可接收一請求以產生用於一客端裝置之一臨時密碼,其中該請求包括一組憑證及該客端裝置之識別資訊。該處理器亦可利用該組憑證認證該請求。該處理器可進一步響應於該請求之一成功的認證,產生該
臨時密碼。該處理器可進一步發送該臨時密碼、韌體存取權資訊,及該臨時密碼的逾期資訊給該客端裝置。該處理器可進一步發送該臨時密碼給一密碼接收實體。
在另一範例中,一非暫時性電腦可讀儲存媒體可包括指令,當執行該等指令時,該等指令致使一運算裝置之一處理器進行下列動作:響應於接收一組憑證,發送一請求給一伺服器,其中該請求包括該組憑證及該運算裝置之識別資訊;經由該運算裝置之一通訊裝置,從該伺服器接收一臨時密碼、韌體存取權資訊和該臨時密碼之逾期資訊;以該臨時密碼取代該韌體之一密碼;響應於經由連接至該運算裝置的一輸入裝置接收該臨時密碼,基於該逾期資訊判定該臨時密碼是否有效;以及響應於該臨時密碼為有效之一判定結果,基於該韌體存取權資訊提供對該韌體的一套組態之存取權。本文所描述的範例可增加與存取一運算裝置之韌體相關聯之安全性及/或便利性。
圖1繪示根據一範例之一系統100,其用以經由一臨時密碼提供對一運算裝置之韌體的存取權。系統100可包括一客端裝置102、一伺服器104和一密碼接收實體106。
如本文所使用地,客端裝置102可例如為一筆記型電腦、一桌上型電腦、一多用途合一電腦、一平板運算裝置、一蜂巢式電話,或適合用來經由一臨時密碼提供對裝置之韌體的接取權之任何其他電子裝置。如本文所使用地,伺服器104可例如為一基於網路的伺服器、一本地
區域網路伺服器、一基於雲端的伺服器,或適合用來產生用於客端裝置102之韌體接取權的一臨時密碼之任何其他電子裝置。如本文所使用地,密碼接收實體106可為一筆記型電腦、一桌上型電腦、一多用途合一電腦、一平板運算裝置、一蜂巢式電話,或適合用來接收一臨時密碼之任何其他電子裝置。
客端裝置102可包括一處理器108、一通訊裝置110、一輸入裝置138、一儲存裝置112和韌體114。如本文所使用地,處理器108可為一中央處理單元(CPU)、一半導體式微處理器及/或適合提取和執行被儲存於客端裝置102的指令之其他硬體裝置。處理器108可控制客端102之操作。
如本文所使用地,輸入裝置138可為一件硬體設備,其提供資料和控制信號給處理器108。輸入裝置138可為一滑鼠、一鍵盤、一搖桿、一觸控板、一觸控螢幕、音訊處理電路等。
如本文所使用地,通訊裝置110可為一件硬體設備,其經由一媒體發送及/或接收資料。在一些範例中,通訊裝置110可實作為一乙太(Ethernet)網路適配器。一範例乙太網路適配器可為基於電氣和電子工程師學會(IEEE)802.3-2008規格來發送及/或接收資訊之一乙太網路適配器。在一些範例中,通訊裝置110可實作為一無線網路適配器。一範例無線網路適配器可為基於該IEEE 802.11家族規格(802.11n、802.11g等)來發送及/或接收
資訊之一無線網路適配器。另一範例無線網路適配器可為基於藍牙規格來發送及/或接收資訊之一無線適配器。
如本文所使用地,儲存裝置112可利用例如快閃記憶體之非依電性記憶體來實作。即使讓電力循環,非依電性記憶體仍可保持經儲存的資料。在一些範例中,儲存裝置112可利用實作為電子可抹除可程式化唯讀記憶體(EEPROM)裝置(例如一EEPROM晶片)。
如本文所使用地,韌體114可為一系列指令,其可由處理器108所執行。韌體114可被儲存在例如儲存裝置112之非依電性記憶體中。韌體114可為客端裝置102之基本輸入/輸出系統(BIOS),其在客端裝置102開機時,使客端裝置102之硬體初始化以及載入一作業系統。韌體114可基於一體性可延伸韌體介面(UEFI)規格來實作。
伺服器104可包括一處理器116和一通訊裝置118。處理器116可控制伺服器104之操作。密碼接收實體106可包括一處理器120和一通訊裝置122。處理器120可控制密碼接收實體106之操作。處理器116和120可類似於處理器108。通訊裝置118和122可類似於通訊裝置110。
在操作期間,客端裝置102可接收一命令124以存取韌體114。舉例來說,客端裝置102之一使用者可在客端裝置102的一開機處理期間按壓F10按鍵。在該開機處理期間之該F10按鍵的按壓可對應於用以存取韌體114之命令124。響應於接收命令124,韌體114可顯示一圖形使用者介面(GUI),以經由連接至客端裝置102之一顯示器裝
置(未示於圖1)請求一憑證組126。
如本文所使用地,憑證組126(一組憑證)可為提供一使用者的一識別性之資訊。在一些範例中,憑證組126可包括一使用者姓名、一密碼或其組合。在一些範例中,憑證組126可包括生物資訊,諸如指紋資訊、一網膜掃描、一聲音紀錄等。在一些範例中,憑證組126可包括一加密金鑰憑證。
韌體114可接收來自使用者之憑證組126(例如經由一輸入裝置138)。響應於接收憑證組126,韌體114可將一用以產生用於韌體114的一臨時密碼132之請求128,經由通訊裝置110發送給伺服器104。請求128可包括憑證組126和客端裝置102之識別資訊130。
如本文所使用地,識別資訊130可為區別客端裝置102和其他裝置之任何資訊。在一些範例中,識別資訊130可為被指派給客端裝置102之一網際網路協定(IP)位址。在一些範例中,識別資訊130可為客端裝置102之一識別符,諸如一裝置名稱、一媒體存取控制(MAC)位址等。在一些範例中,識別資訊130可為該IP位址和該識別符之一組合。
響應於接收請求128,伺服器104可使用憑證組126來認證請求128。舉例來說,伺服器104可比較憑證組126與儲存在伺服器104中的一憑證資料庫(未示於圖1)。當憑證組126與該資料庫中的一分錄(entry)相匹配,則伺服器104可成功地認證請求128。當憑證組126並未與
該資料庫中的任何分錄相匹配,則伺服器104可判定請求128之認證已失敗。
響應於一失敗認證,伺服器104可對客端裝置102通知該失敗的認證以及拒絕請求128。響應於請求128之一成功認證,伺服器104可基於請求128產生臨時密碼132、逾期資訊134和韌體存取權資訊136。逾期資訊134可指出臨時密碼132之逾期。在一些範例中,逾期資訊134可包括一時間持續期間(例如,數小時內、數天內等)。在一些範例中,逾期資訊134可包括經執行之密碼認證之一計數。該計數可僅用於成功的認證。該計數可僅用於失敗的認證。該計數可用於成功和失敗的認證兩者。在一些範例中,逾期資訊134可為經執行的密碼認證之一時間持續期間和一計數之一組合。
韌體存取權資訊136可指示出一韌體114之一套組態,其可由該使用者修改。伺服器104可使用與識別資訊130相關聯之一權限清單,產生韌體存取權資訊136。一範例權限清單係更詳細地描述於圖2。
伺服器104可將臨時密碼132、逾期資訊134和韌體存取權資訊136發送給客端裝置102。伺服器104亦可將臨時密碼132發送給密碼接收實體106。伺服器104可基於權限清單判定密碼接收實體106。
響應於接收來自伺服器104之臨時密碼132,韌體114可用臨時密碼132代替韌體114之一密碼。因此,臨時密碼132變成韌體114之密碼。當該使用者在密碼接收
實體106接收臨時密碼132,則該使用者可經由輸入裝置138在客端裝置102鍵入臨時密碼132,以存取韌體114。
響應於經由輸入裝置138接收臨時密碼132,韌體114可基於逾期資訊134判定臨時密碼132是否有效。舉例而言,逾期資訊134可指出臨時密碼132在客端裝置102接收臨時密碼132後的持續24小時為有效。韌體114可比較從伺服器104接收臨時密碼132之時間與目前時間(臨時密碼132經由輸入裝置138所接收之時間)。若經過少於24小時,則韌體114可判定臨時密碼132為有效。若經過多於24小時,則韌體114可判定臨時密碼132為失效。
響應於臨時密碼132為有效之一判定結果,客端102可提供對韌體114之存取權。舉例來說,韌體114可基於韌體存取權資訊136在一圖形使用者介面中呈現韌體114之一套組態。藉由使用臨時密碼132存取韌體114,客端裝置102之一使用者對記憶該密碼的需求可獲避免。呈現韌體114之一套組態係更詳細地描述於圖3C。
伺服器104可基於逾期資訊134保持臨時密碼132之有效性的追蹤。于臨時密碼132逾期時,伺服器104可產生用於韌體114之一新密碼140。伺服器104可將新密碼140發送給客端裝置102。韌體114可將臨時密碼132取代成新密碼140作為韌體114之密碼。
在一些範例中,于臨時密碼132逾期時,一密碼更新優惠期間可在韌體114起始。若在該密碼更新優惠期間的逾期之前,韌體114無法將臨時密碼132取代成新密
碼140作為韌體114之密碼,則當該密碼更新優惠期間逾期,韌體114可設定韌體114的狀態為未符合(non-compliant)。當韌體114被設定成未符合,則韌體114必須被鎖定且不能經由來自伺服器104的任何臨時密碼存取。一管理員會必須手動解鎖韌體114,以改變該狀態為符合。
圖2繪示根據一範例之與對韌體的存取權相關聯之一權限清單200。權限清單200可被儲存在伺服器104中。伺服器104可儲存多個權限清單。每個權限清單可特定於一獨特的憑證組。舉例來說,權限清單200可特定於憑證組126。
權限清單200可包括一憑證欄位202。憑證欄位202可指出一憑證組,權限清單200係與諸如憑證組126的該憑證組相關聯。權限清單200亦可包括一密碼接收實體欄位204。密碼接收實體欄位204可指出臨時密碼132如何被發送給具憑證組126之一使用者。舉例來說,密碼接收實體欄位204可列出用以接收臨時密碼132為一文字訊息之一電話號碼、用以接收臨時密碼132為一電子郵件之一電子郵件位址、臨時密碼132所列印之一印表機名稱及/或位置等。
權限清單200可進一步包括一通用權限欄位206。在一些範例中,通用權限欄位206可指出韌體114之特定的一套組態,其可針對憑證組126修改。舉例來說,通用權限欄位206可指出機載(onboard)序列埠口和通用序列匯流排(USB)埠口之設定係可針對憑證組126修改。在
一些範例中,通用權限欄位206可指出一類別之組態,其可針對憑證組126修改。舉例來說,通用權限欄位206可指出在安全類別下的所有設定為可修改的。
權限清單200可進一步包括一第一特定權限欄位208和一第二特定權限欄位210。第一特定權限欄位208可指出韌體114之一第一特定套之組態,其可針對憑證組126和一第一運算裝置修改。該第一運算裝置可由一第一IP位址、一第一MAC位址、一第一裝置名稱或其組合所識別。第二特定權限欄位210可指出韌體114之一第二特定套之組態,其可針對憑證組126和與該第一運算裝置不同的一第二運算裝置修改。該第二運算裝置可由一第二IP位址、一第二MAC位址、一第二裝置名稱或其組合所識別。
如同一範例,當一使用者提供憑證組126以存取任何運算裝置之韌體,則該運算裝置之機載序列埠口組態可由該使用者修改成如同通用權限欄位206所指出者。
當該使用者提供憑證組126於該第一運算裝置,除了能修改該第一運算裝置之該機載序列埠口組態成如同由通用權限欄位206所指出者,該使用者亦能修改第一運算裝置之該機載音效卡組態成如同由第一特定權限欄位208所指出者。
當該使用者提供憑證組126於該第二運算裝置,除了能修改該第一運算裝置之該機載序列埠口組態成如同由通用權限欄位206所指出者,該使用者亦能修改第
二運算裝置之該開機順序組態成如同由第二特定權限欄位210所指出者。藉由使用不同的權限欄位,一管理者可基於所使用的憑證組、所使用的運算裝置之身分或其組合,授予一使用者對於一運算裝置的韌體之不同程度的存取權。
圖3A至圖3C繪示根據一範例,從客端裝置102之一使用者的觀點存取韌體114之過程。圖3A至圖3C可參照圖1至圖2描述。圖3A繪示根據一範例之一圖形使用者介面(GUI)300,其用以請求一組憑證以產生一臨時密碼,俾存取一運算裝置之韌體。
GUI300可在客端裝置102的該使用者按壓用以存取韌體114之一按鍵時顯示。GUI300可提示該使用者鍵入憑證組126。如同一範例,憑證組126可為一使用者名稱和一密碼。轉到圖3B,圖3B繪示根據一範例之一GUI302,其用以請求一密碼以存取一運算裝置之韌體。在該使用者鍵入該使用者名稱和該密碼之後,GUI302可顯示以提示該使用者鍵入臨時密碼132。在該使用者鍵入臨時密碼132之後,客端裝置102可提供對韌體114之存取權。
轉到圖3C,圖3C繪示根據一範例之一運算裝置的韌體的一GUI 304。GUI 304可為韌體114之一GUI。GUI 304可顯示韌體114之組態。GUI 304可包括一第一組態306、一第二組態308和一第三組態310。組態306和308可能為可被該使用者修改。如同塗灰的第三組態310所指示地,第三組態310可能為不能被該使用者修改。如同一範例,組態306和308可對應於可由一使用者所修改之一
套組態,其被包括在韌體存取權資訊136中。第三組態310可在韌體存取權資訊136中被省略,或可被指示為在韌體存取權資訊136中不可被一使用者修改。因此,當該使用者獲得對韌體114之存取權,該使用者會無法修改第三組態310。
圖4繪示根據一範例,在一運算裝置之一操作方法400,其用以基於一臨時密碼提供對韌體之存取權。方法400可由圖1的客端裝置102所實作。
在402,方法400可包括接收一命令,以存取韌體。舉例來說,客端裝置102可接收一命令,以存取韌體114。該命令可由客端裝置102的一使用者於客端裝置102之一開機處理期間所鍵入。在404,方法400亦可包括請求一憑證組。舉例來說,響應於接收該命令,客端102可請求來自該使用者之一憑證組。
在406,方法400可進一步包括將該憑證組發送給一伺服器。舉例來說,響應於接收憑證組126,客端裝置102可將憑證組126發送給伺服器104。在408,方法400可進一步包括接收來自伺服器之一臨時密碼、逾期資訊和韌體存取權資訊。舉例而言,客端裝置102可接收來自伺服器104之臨時密碼132、逾期資訊134和韌體存取權資訊136。
在410,方法400可進一步包括以該臨時密碼取代該韌體之一密碼。舉例來說,客端裝置102可設定韌體114之密碼作為臨時密碼132,從而取代韌體114之先前密
碼。在412,方法400可進一步包括請求來自該使用者之一密碼,以存取該韌體。舉例來說,客端裝置102可提示該使用者鍵入一密碼,以存取韌體114。
在414,方法400可進一步包括從一輸入裝置接收該臨時密碼。舉例來說,客端裝置102可經由輸入裝置138接收來自該使用者之臨時密碼132。在416,方法400可進一步包括判定該臨時密碼是否有效。舉例來說,響應於經由輸入裝置138接收臨時密碼132,韌體114可基於逾期資訊134判定臨時密碼132是否有效。當該臨時密碼為無效,則方法400可移動至412,俾請求一密碼以存取該韌體。當該臨時密碼為有效,則在418,方法400可進一步包括基於該韌體存取權資訊提供對該韌體之存取權。舉例來說,韌體114可基於韌體存取權資訊136,在一GUI中呈現韌體114之一套組態。
在420,方法400可進一步包括判定一新密碼是否已在一密碼更新優惠期間內從該伺服器接收。舉例來說,于臨時密碼132逾期時,一密碼更新優惠期就可在韌體114開始。在422,當客端裝置102接收該新密碼,方法400可進一步包括將該韌體之密碼取代為該新密碼。舉例來說,韌體114可將臨時密碼132取代成新密碼140作為韌體114之密碼。當客端裝置102在該密碼更新優惠期間之逾期之前沒有接收該新密碼時,則方法400可進一步包括設定該韌體為未符合。舉例來說,若在該密碼更新優惠期之一逾期之前,韌體114沒有將臨時密碼132取代成新密碼140作
為韌體114之密碼,則于該密碼更新優惠期間逾期時,韌體114就可被設定為未符合。
圖5繪示根據一範例,在一運算裝置之一操作方法500,其用以產生用於韌體存取權之一臨時密碼。方法500可由伺服器104所實作。
在502,方法500可包括接收一請求,以產生用於一客端裝置之一臨時密碼。舉例來說,伺服器104可接收來自客端裝置102之請求128。在504,方法500亦可包括認證該請求。例如,伺服器104可使用憑證組126來認證請求128。
當該請求沒有被認證,則在506,方法500可進一步包括拒絕該請求。舉例而言,響應於一失敗的認證,伺服器104可通知客端裝置102該失敗的認證並拒絕請求128。當該請求已被成功地認證,方法500可進一步包括產生一臨時密碼。舉例來說,伺服器104可產生臨時密碼132。在510,方法500可進一步包括將該等臨時密碼、韌體存取權資訊和逾期資訊發送給該客端裝置。舉例來說,伺服器104可將臨時密碼132、逾期資訊和韌體存取權資訊136發送給客端裝置102。
在512,方法500可進一步包括將臨時密碼發送給一密碼接收實體。舉例來說,伺服器104亦可將臨時密碼132發送給密碼接收實體106。在514,方法500可進一步包括判定該臨時密碼是否逾期。舉例來說,伺服器104可基於逾期資訊134維持臨時密碼132的有效性之追蹤。當臨時
密碼仍為有效,則方法500可繼續檢查該臨時密碼之有效性。當該臨時密碼為無效(即,逾期),則在516,方法500可進一步包括產生用於該韌體之一新密碼。舉例來說,于臨時密碼132逾期時,則伺服器104可產生用於韌體114之一新密碼140。在518,方法500可進一步包括將新密碼發送至該客端裝置。舉例來說,伺服器104可將新密碼140發送至客端裝置102。
圖6繪示根據一範例之一運算裝置600,其用以基於一臨時密碼提供對韌體之存取權。運算裝置600可實作客端裝置102。運算裝置600可包括一處理器602和一電腦可讀儲存媒體604。處理器602可類似於處理器108。
電腦可讀儲存媒體604可為任何電性、磁性、光學或含有或儲存可執行指令之其他物理性儲存裝置。因此,電腦可讀儲存媒體604可例如為隨機存取記憶體(RAM)、一電子可抹除可程式化唯讀記憶體(EEPROM)、一儲存裝置、一光碟等。在一些範例中,儲存媒體504可為一非暫時性儲存媒體,其中用語「非暫時性」並未涵蓋暫時性傳播信號。電腦可讀儲存媒體604可被編碼有一系列的處理器可執行指令606、608、610、612、614、616。在一些範例中,電腦可讀儲存媒體604亦可被編碼有指令618和620。
憑證接收指令606可接收一憑證組。例如,參照圖1,客端裝置102可接收憑證組126。請求發送指令608可將一請求發送至伺服器104,以產生一韌體密碼。舉例來
說,參照圖1,客端裝置102可將請求128發送至伺服器104。
臨時密碼接收指令610可接收一臨時密碼。舉例來說,參照圖1,客端裝置102可接收來自伺服器104之臨時密碼132。韌體密碼取代指令612可取代韌體之密碼。舉例來說,參照圖1,客端裝置102可將韌體114之密碼取代成臨時密碼132。臨時密碼有效性判定指令614可判定該臨時密碼是否仍然有效(即,該臨時密碼是否已逾期)。舉例來說,響應於經由輸入裝置138接收臨時密碼132,客端裝置102可基於逾期資訊134判定臨時密碼132是否為有效。韌體存取權指令616可提供對韌體之存取權。舉例而言,參照圖1,響應於臨時密碼132為有效之一判定結果,客端裝置102可提供對韌體114之存取權。
圖形使用者介面(GUI)顯示指令618可顯示GUI。舉例而言,參照圖3A至圖3C,客端裝置102可致使連接至客端裝置102之一顯示器顯示GUI300、302和304。韌體狀態設定指令620可設定韌體之狀態。例如,參照圖1,若在該密碼更新優惠期間的一逾期之前,韌體114沒有將臨時密碼132取代成新密碼140作為韌體114之密碼,則于該密碼更新優惠期逾期時,韌體114可設定韌體114的狀態為未符合。
圖7繪示根據一範例之一運算裝置700,其用以產生用於韌體存取權之一臨時密碼。運算裝置700可實作伺服器104。運算裝置700可包括一處理器702和一電腦
可讀儲存媒體704。處理器702可類似於處理器108。電腦可讀儲存媒體704可類似於電腦可讀儲存媒體604。電腦可讀儲存媒體704可被編碼有指令706、708、710和712。在一些範例中,電腦可讀儲存媒體704亦可被編碼有指令714。
請求接收指令706可接收一請求,以產生用於一客端裝置之一臨時密碼。舉例來說,參照圖1,伺服器104可接收請求128,以產生臨時密碼132。請求認證指令708可認證一請求。例如,參照圖1,伺服器104可認證請求128。
臨時密碼產生指令710可產生一臨時密碼。舉例來說,參照圖1,伺服器104可產生臨時密碼132。資訊發送指令712可發送資訊。舉例而言,參照圖1,伺服器104可將臨時密碼132、逾期資訊134和韌體存取權資訊136發送給客端裝置102。新密碼產生指令714可產生一新密碼。例如,參照圖1,伺服器104可產生新密碼140。
「包含」、「包括」或「具有」之使用為同義,及其等在本文中的變化係意旨要函括式或開放式的,且沒有排除額外未詳述的元件或方法步驟。
100:系統
102:客端裝置
104:伺服器
106:密碼接收實體
108、116、120:處理器
110、118、122:通訊裝置
112:儲存裝置
114:韌體
124:命令
126:憑證組
128:請求
130:識別資訊
132:臨時密碼
134:逾期資訊
136:韌體存取權資訊
138:輸入裝置
140:新密碼
Claims (14)
- 一種運算裝置,其包含:一通訊裝置;一輸入裝置;一儲存裝置;儲存在該儲存裝置中之韌體;以及一處理器,其用以進行下列動作:響應於經由該輸入裝置接收到一組憑證,經由該通訊裝置將用於產生一臨時密碼之一請求發送至一伺服器,其中該請求包括該組憑證和該運算裝置之識別資訊;經由該通訊裝置接收來自該伺服器之該臨時密碼、韌體存取權資訊和該臨時密碼之逾期資訊;將該韌體之一密碼以該臨時密碼取代;響應於經由該輸入裝置接收到該臨時密碼,基於該逾期資訊判定該臨時密碼是否有效;以及響應於該臨時密碼為有效之一判定結果,提供對該韌體之存取權;其中該韌體存取權資訊指出可基於該識別資訊修改之該韌體的一套組態。
- 如請求項1之運算裝置,其中該處理器用以進行下列動作:于該臨時密碼逾期時,接收來自該伺服器之一新密碼;以及 將該韌體之該密碼以該新密碼取代。
- 如請求項1之運算裝置,其中該處理器用以進行下列動作:響應於接收到存取該韌體之一命令,經由連接至該運算裝置之一顯示器裝置,顯示一圖形使用者介面俾請求該組憑證。
- 如請求項1之運算裝置,其中該處理器用以進行下列動作:于一密碼更新優惠期間逾期時,設定該韌體為未符合,其中該密碼更新優惠期間係于該臨時密碼逾期時開始。
- 如請求項1之運算裝置,其中該逾期資訊包括一時間持續期間。
- 如請求項1之運算裝置,其中該逾期資訊包括經執行的密碼認證之一計數。
- 一種運算裝置,其包含:一通訊裝置;一處理器,其用以進行下列動作:接收用於為一客端裝置產生一臨時密碼之一請求,其中該請求包括一組憑證和該客端裝置之識別資訊;使用該組憑證認證該請求;響應於該請求之一成功認證,產生該臨時密碼;將該等臨時密碼、韌體存取權資訊和該臨時密碼之逾期資訊發送至該客端裝置;以及 將該臨時密碼發送至一密碼接收實體;其中該韌體存取權資訊指出可基於該識別資訊修改之韌體的一套組態。
- 如請求項7之運算裝置,其中該處理器用以進行下列動作:于該臨時密碼逾期時,產生用於該客端裝置之一新密碼;以及將該新密碼發送至該客端裝置。
- 如請求項7之運算裝置,其中該識別資訊包括一網際網路協定(IP)位址、該客端裝置之一識別符、或其組合。
- 如請求項7之運算裝置,其中該密碼接收實體包括一不同於該客端裝置之第二運算裝置、一電子郵件位址、一印表機、一蜂巢式電話、或其組合。
- 一種非暫時性電腦可讀儲存媒體,其包含有多數指令,該等指令在執行時致使一運算裝置之一處理器進行下列動作:響應於接收到一組憑證,將一請求發送至一伺服器,其中該請求包括該組憑證和該運算裝置之識別資訊;經由該運算裝置之一通訊裝置,接收來自該伺服器之一臨時密碼、韌體存取權資訊及該臨時密碼的逾期資訊;將該運算裝置之韌體的一密碼以該臨時密碼取代;響應於經由一連接至該運算裝置之一輸入裝置接收到該臨時密碼,基於該逾期資訊判定該臨時密碼是否有效; 以及響應於該臨時密碼為有效之一判定結果,基於該韌體存取權資訊提供對該韌體之一套組態的存取權;其中該韌體存取權資訊指出可基於該識別資訊修改的該套組態。
- 如請求項11之非暫時性電腦可讀儲存媒體,其中該韌體存取權資訊指出可基於該識別資訊修改的一類別之組態,其中該套組態與該類別之組態相匹配。
- 如請求項11之非暫時性電腦可讀儲存媒體,其中該等指令於執行時進一步致使該處理器進行下列動作:于該臨時密碼逾期時,接收來自該伺服器之一新密碼;以及將該韌體之該密碼以該新密碼取代。
- 如請求項11之非暫時性電腦可讀儲存媒體,其中該逾期資訊包括一時間持續期間、經執行的密碼認證之一計數、或其組合。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| WOPCT/US18/60876 | 2018-11-14 | ||
| PCT/US2018/060876 WO2020101658A1 (en) | 2018-11-14 | 2018-11-14 | Firmware access based on temporary passwords |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202018564A TW202018564A (zh) | 2020-05-16 |
| TWI770411B true TWI770411B (zh) | 2022-07-11 |
Family
ID=70732064
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108128758A TWI770411B (zh) | 2018-11-14 | 2019-08-13 | 基於臨時密碼之韌體存取權技術 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11423138B2 (zh) |
| EP (1) | EP3791300A4 (zh) |
| CN (1) | CN112585602A (zh) |
| TW (1) | TWI770411B (zh) |
| WO (1) | WO2020101658A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11301549B2 (en) * | 2020-04-28 | 2022-04-12 | Jpmorgan Chase Bank, N.A. | Method for performing password transitions |
| US20230102404A1 (en) * | 2021-09-29 | 2023-03-30 | Kyndryl, Inc. | Controlling electronic device data connection credentials |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170149770A1 (en) * | 2015-11-24 | 2017-05-25 | International Business Machines Corporation | Using an out-of-band password to provide enhanced sso functionality |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040181696A1 (en) * | 2003-03-11 | 2004-09-16 | Walker William T. | Temporary password login |
| US7383575B2 (en) * | 2003-12-23 | 2008-06-03 | Lenovo (Singapore) Pte Ltd. | System and method for automatic password reset |
| AU2005295579B2 (en) * | 2004-10-15 | 2011-08-04 | NortonLifeLock Inc. | One time password |
| US7210166B2 (en) | 2004-10-16 | 2007-04-24 | Lenovo (Singapore) Pte. Ltd. | Method and system for secure, one-time password override during password-protected system boot |
| US9047452B2 (en) | 2006-07-06 | 2015-06-02 | Dell Products L.P. | Multi-user BIOS authentication |
| US20080010453A1 (en) | 2006-07-06 | 2008-01-10 | Laurence Hamid | Method and apparatus for one time password access to portable credential entry and memory storage devices |
| US8321929B2 (en) | 2008-03-24 | 2012-11-27 | Dell Products L.P. | System and method for implementing a one time password at an information handling system |
| US8214653B1 (en) * | 2009-09-04 | 2012-07-03 | Amazon Technologies, Inc. | Secured firmware updates |
| EP2643955B1 (en) * | 2010-11-24 | 2016-08-10 | Telefónica, S.A. | Methods for authorizing access to protected content |
| US20130019281A1 (en) | 2011-07-11 | 2013-01-17 | Cisco Technology, Inc. | Server Based Remote Authentication for BIOS |
| CN103827811A (zh) | 2011-09-30 | 2014-05-28 | 惠普发展公司,有限责任合伙企业 | 管理基本输入/输出系统(bios)的访问 |
| US8555339B2 (en) * | 2012-01-06 | 2013-10-08 | International Business Machines Corporation | Identifying guests in web meetings |
| DE102012101876A1 (de) | 2012-03-06 | 2013-09-12 | Wincor Nixdorf International Gmbh | PC Absicherung durch BIOS/(U) EFI Erweiterungen |
| US9400895B2 (en) | 2013-03-15 | 2016-07-26 | Intel Corporation | Mechanisms for locking computing devices |
| US9734311B1 (en) * | 2015-03-17 | 2017-08-15 | American Megatrends, Inc. | Secure authentication of firmware configuration updates |
| US10007779B1 (en) | 2015-09-29 | 2018-06-26 | Amazon Technologies, Inc. | Methods and systems for gradual expiration of credentials |
| US10162943B2 (en) * | 2016-04-27 | 2018-12-25 | Comcast Cable Communications, Llc | Streamlined digital rights management |
-
2018
- 2018-11-14 US US17/052,344 patent/US11423138B2/en active Active
- 2018-11-14 WO PCT/US2018/060876 patent/WO2020101658A1/en unknown
- 2018-11-14 EP EP18940453.6A patent/EP3791300A4/en active Pending
- 2018-11-14 CN CN201880096974.0A patent/CN112585602A/zh active Pending
-
2019
- 2019-08-13 TW TW108128758A patent/TWI770411B/zh active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170149770A1 (en) * | 2015-11-24 | 2017-05-25 | International Business Machines Corporation | Using an out-of-band password to provide enhanced sso functionality |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020101658A1 (en) | 2020-05-22 |
| US20210264017A1 (en) | 2021-08-26 |
| US11423138B2 (en) | 2022-08-23 |
| TW202018564A (zh) | 2020-05-16 |
| EP3791300A1 (en) | 2021-03-17 |
| EP3791300A4 (en) | 2021-12-01 |
| CN112585602A (zh) | 2021-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10868815B2 (en) | Leveraging flexible distributed tokens in an access control system | |
| US11765158B1 (en) | Multi-factor authentication systems and methods | |
| US9967261B2 (en) | Method and system for secure authentication | |
| US10333711B2 (en) | Controlling access to protected objects | |
| US12058262B2 (en) | Software credential token process, software, and device | |
| US20130212653A1 (en) | Systems and methods for password-free authentication | |
| US10318725B2 (en) | Systems and methods to enable automatic password management in a proximity based authentication | |
| US20160127332A1 (en) | Off-host authentication system | |
| TWI739778B (zh) | 作業系統之登入機制 | |
| US20190182229A1 (en) | Advanced application security utilizing an application key | |
| US9894062B2 (en) | Object management for external off-host authentication processing systems | |
| US11258607B2 (en) | Cryptographic access to bios | |
| TWI770411B (zh) | 基於臨時密碼之韌體存取權技術 | |
| US20090327704A1 (en) | Strong authentication to a network | |
| US10091191B2 (en) | Distributed authorization | |
| US11748497B2 (en) | BIOS access | |
| JP2024072460A (ja) | 認証システムおよび認証方法 |