设备以安全的方式引导,其允许生成反映在引导期间加载了哪些组件的度量(302)。还获得这些组件以及设备管理代理(304)和设备的安全状态的度量(302)。设备管理代理为了作为由管理服务管理的资源的集合的企业而访问证实服务(306)。设备管理代理将所获得的度量提供给证实服务,该证实服务评估所述度量并且基于评估来确定设备是否被验证以用于企业中(308)。管理服务使用该验证来确保设备管理代理正在以安全的方式运行,正在准确地向管理服务提供设备状态的指示,并且正在实现从管理服务接收的策略(310和312)。
【技术实现步骤摘要】
【国外来华专利技术】通过安全硬化管理代理进行的设备证实
技术介绍
计算设备在我们生活的许多领域已经变得司空见惯了。鉴于我们可用的计算设备数量及其提供的功能性,通常期望使用计算设备来访问特定环境(比如公司环境)中的其他设备或资源。在基于对特定环境的管理的期望来限制哪些设备或资源可以被访问的同时允许这样的访问仍然是一项困难的任务。
技术实现思路
提供本
技术实现思路
以便以简化的形式介绍下面将在具体实施方式中进一步描述的概念的选择。本
技术实现思路
不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。根据一个或多个方面,计算设备被安全地引导,所述安全引导包括,生成反映在所述计算设备上加载的模块或组件以及所述计算设备的安全状态的一个或多个度量(measurement)。设备管理代理作为硬化程序在计算设备上运行,所述硬化程序被保护,以免于让恶意代码注入到程序中。经由网络与证实服务通信,以便验证设备管理代理用于企业中。响应于证实服务验证了设备管理代理用于企业中,在计算设备上的设备管理代理在计算设备上实现经由网络从管理服务接收到的策略。附图说明参照附图描述具体实施方式。在附图中,附图标记的最左边的(多个)数字标识出该附图标记首次出现在其中的附图。在具体实施方式和附图中的不同实例中使用相同的附图标记可以指示相似或相同的项目。在附图中表示的实体可以指示一个或多个实体,并且因此可以在讨论中可互换地引用单数或复数形式的实体。图1图示出了根据一个或多个实施例的通过安全硬化管理代理来实现设备证实的示例系统。图2以附加细节图示出了根据一个或多个实施例的计算设备。图3是图示出了根据一个或多个实施例的通过安全硬化管理代理来实现设备证实的示例过程的流程图。图4图示出了包括示例计算设备的示例系统,所述示例计算设备代表可以实现本文描述的各种技术的一个或多个系统和/或设备。具体实施方式本文讨论了通过安全硬化管理代理进行的设备证实。当计算设备引导时,计算设备以安全的方式引导,所述方式允许反映在引导期间哪些组件或模块被加载和运行的度量(例如,标识出哪些组件或模块被加载和运行的度量或者基于其生成的度量)被生成。这些组件或模块以及设备管理代理和计算设备的安全状态的度量也由度量系统获得。设备管理代理针对由管理服务管理的设备或其他资源的集合而访问证实服务,该集合在本文中被称为企业(enterprise)。设备管理代理将来自度量系统的度量提供给证实服务,证实服务对所述度量进行评估,并且基于评估来确定计算设备是否被验证来在企业中使用。可以比如从证实服务或经由设备管理代理向管理系统提供该验证的指示。设备管理代理接收并实现来自管理服务的策略,并且向管理服务提供计算设备的状态的指示。这些策略可以采取各种形式,比如计算设备将具有的设置的指示(例如,特定的调试模式是否被禁用)、计算设备管理数据(例如,存储在计算设备上的数据被加密)的方式的指示,企业中的哪些资源可以被访问的指示等等。鉴于证实服务所执行的验证,管理服务可以确保设备管理代理正以安全的方式运行,并且正准确地向管理服务提供计算设备的状态的指示以及实现从管理服务接收到的策略。本文中引用密钥密码学(包括对称密钥密码学、公共密钥密码学、对称密钥和公钥/私钥对)的各方面。尽管这种密钥密码学是本领域技术人员所公知的,但是本文包括这种密码学的简要概述来帮助读者。在公钥密码学中,实体(比如用户、硬件或软件组件、设备、域等)已经将公钥/私钥对与其相关联。可以使公钥公开可用,但实体将私钥保持为秘密。在没有私钥的情况下,在计算上很难解密使用公钥加密的数据。因此,数据可以由具有公钥的任何实体加密,并且只能由具有对应私钥的实体解密。附加地,可以通过使用数据和私钥来生成用于数据的数字签名。在没有私钥的情况下,在计算上很难创建可以使用公钥验证的签名。具有公钥的任何实体可以使用公钥通过在公钥、签名和被签名的数据上执行合适的数字签名验证算法来验证数字签名。另一方面,在对称密钥密码学中,共享密钥(也称为对称密钥)被这两个实体知道并被保持为秘密的。具有共享密钥的任何实体典型地能够解密利用该共享密钥加密的数据。在没有共享密钥的情况下,在计算上很难解密利用共享密钥加密的数据中。因此,如果两个实体都知道共享密钥,则每个实体都可以对另一个实体能够解密的数据进行加密,但是如果其他实体不知道共享密钥,则其他实体不能解密数据。类似地,具有共享密钥的实体可以加密该同一实体能够解密的数据,但是如果其他实体不知道共享密钥,则其他实体不能解密该数据。附加地,可以比如使用密钥散列消息认证码机制(keyed-hashmessageauthenticationcodemechanism)来基于对称密钥密码学而生成数字签名。具有共享密钥的任何实体可以生成和验证数字签名。例如,可信的第三方可以基于特定实体的身份来生成对称密钥,然后可以生成和验证该特定实体的数字签名(例如,通过使用对称密钥加密或解密数据)。图1图示出了根据一个或多个实施例的通过安全硬化管理代理实现设备证实的示例系统100。系统100包括可以经由网络108与证实服务104和管理服务106通信的计算设备102。网络108可以是各种不同的网络,包括因特网、局域网(LAN)、蜂窝或其他电话网络、内联网、其他公共和/或专有网络、其组合等等。计算设备102可以是各种不同类型的设备,比如台式计算机、服务器计算机、笔记本计算机或上网本计算机、移动设备(例如,平板设备或者平板手机设备、蜂窝或其他无线电话(例如智能电话)、记事本计算机、移动站)、可穿戴设备(例如,眼镜、手表)、娱乐设备(例如,娱乐器具、通信地耦合到显示设备的机顶盒、游戏控制台)、电视机或其他显示设备、汽车计算机等。因此,计算设备102的范围可以从具有大量存储器和处理器资源的全资源设备(例如,个人计算机、游戏控制台)到具有有限的存储器和/或处理资源的低资源设备(例如,传统的机顶盒、手持式游戏控制台)。证实服务104和管理服务106各自是使用一个或多个计算设备实现的,并且每个这样的计算设备可以是各种不同类型的设备中的任何一种。类似于对计算设备102的讨论,实现服务104或106的至少一部分的每个计算设备可以是各种不同类型的设备,范围从具有大量存储器和处理器资源的全资源设备到具有有限的存储器和/或处理资源的低资源设备。尽管被图示为两个单独的服务,但是可替换地,证实服务104和管理服务106可以是同一服务。计算设备102包括引导系统110和度量系统112。当计算设备102通电或以其他方式重置时,计算设备102引导。计算设备102的引导是指计算设备102的开始操作,典型地加载和执行计算设备102的操作系统。计算设备102的引导包括加载和运行各种不同的模块,其在一个或多个实施例中是各种软件模块或固件模块。这些模块被图示为引导系统110。这些模块可以包括例如以下更详细讨论的基本输入/输出系统(BIOS)、引导管理器和操作系统(OS)加载器。模块的加载是指将模块复制到易失性(或可替换地非易失性)存储器中,并且可选地对其他模块或数据存储库执行附加配置。执行模块是指由计算设备102的处理器或控制器运行(执行)模块的指令。在引导计算设备102之后,可以通过操作系统在计算设备102本文档来自技高网...
【技术保护点】
一种在计算设备中实现的方法,所述方法包括:安全引导所述计算设备,安全引导包括,生成反映在所述计算设备上加载的模块或组件以及所述计算设备的安全状态的一个或多个度量;在计算设备上运行作为硬化程序的设备管理代理,所述硬化程序被保护而免于让恶意代码注入到程序中;通过网络与证实服务通信,以验证设备管理代理用于企业中;以及响应于证实服务验证设备管理代理用于企业中,由设备管理代理在计算设备上实现通过网络从管理服务接收的策略,该验证向管理服务确保了设备管理代理是安全的并且未受到危害。
【技术特征摘要】
【国外来华专利技术】2015.03.06 US 14/6411841.一种在计算设备中实现的方法,所述方法包括:安全引导所述计算设备,安全引导包括,生成反映在所述计算设备上加载的模块或组件以及所述计算设备的安全状态的一个或多个度量;在计算设备上运行作为硬化程序的设备管理代理,所述硬化程序被保护而免于让恶意代码注入到程序中;通过网络与证实服务通信,以验证设备管理代理用于企业中;以及响应于证实服务验证设备管理代理用于企业中,由设备管理代理在计算设备上实现通过网络从管理服务接收的策略,该验证向管理服务确保了设备管理代理是安全的并且未受到危害。2.如权利要求1所述的方法,还包括访问管理服务所许可的企业的资源。3.如权利要求2所述的方法,还包括向所述管理服务提供正被所述计算设备遵守的一个或多个策略的指示,对所述企业的资源的访问由管理服务至少部分地基于哪些策略正在被计算设备遵守来许可。4.如权利要求2或3所述的方法,还包括:向所述管理服务提供所述计算设备的可信平台模块认可密钥的指示,以及仅响应于所述计算设备的可信平台模块认可密钥被包括在管理服务的经批准的设备列表中,才被许可访问企业的资源。5.根据权利要求1至4中任一项所述的方法,所述实现包括仅当所接收的策略由所述管理服务进行了数字签名时才由所述设备管理代理实现经由所述网络接收的策略。6.根据权利要求1至5中任一项所述的方法,还包括所述设备管理代理对从所述管理服务接收的策略进行数字签名并将经数字签名的策略存储在所述计算设备的策略存储库中。7.根据权利要求1至6中任一项所述的方法,还包括:从所述证实服务接收所述计算设备的证实状态,所述证实状态包括所述计算设备是否被所述证实服务验证的指示以及所述一个或多个度量中的至少一个度量,以及向所述企业中的一个或多个附加服务提供所述证实状态以向所述一个或多个附加服务证明所述计算设备已经被所述证实服务验证用于所述企业中。8.如权利要求7所述的方法,还包括:由所述设备管理代理从所述证实状态导出密钥,以...
【专利技术属性】
技术研发人员:J瓦苏德文,PD瓦克斯曼,K金淑曼,JA候,PJ考夫曼,朱于航,G维斯瓦纳桑,SR谢尔,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。