本发明专利技术公开了一种与用户访问管理器接口连接的配置。该配置允许使用专用的用户访问管理架构,该用户访问管理架构具有多于基于文本的访问。在这里特别构想出以允许用户描绘架构执行自身的解锁计算机的数据或部件的任务的方式,接受用户标识的配置,该用户标识随后被发送到中间的用户描绘架构(即,允许以特定用户为基础访问计算机中的加密数据或部件的架构)。
【技术实现步骤摘要】
本专利技术总体上涉及用于在计算机系统中管理用户访问的方法和配置,尤其 涉及用于与这样的管理器接口连接的配置。
技术介绍
历史上,计算机系统环境中的安全问题已经延伸到对当不同用户共同地使 用同一系统时管理这些用户对该系统的不同部分的访问的"^(L战。例如,在小型商业场景中,可能需要仅允许所有者而不允许支持人员(support staff)访问系 统的特定部分。在操作系统级别上长期存在上述挑战,例如当使用小型企业服务器时。在 这里,与该企业相关联的每个个体都具有用户名和密码,从而一个或多个给定 的用户名可有助于实现对系统中更多部分的更多访问。然而,管理在单台机器 (例如,单台台式计算机或笔记本计算机,而不考虑它与诸如服务器等任何外 部实体的连通性)级别上的上述访问是长期以来都无法逃避的。然而,近来Intel公司已经开发出"DANBURY"架构,无论在机器上运 行何种操作系统,"DANBURY"架构都可实现逐个用户地控制对该机器的访 问。上述访问是在BIOS等级上被控制的,因而在机器中是通过硬件实现的。正如目前所理解的一样,上述架构的一个优点在于超越传统的全磁盘加密 (FDE)的卓越水平。特别的,虽然传统的FDE只对》兹盘执行操作,但是传 送到磁盘(例如,通过电缆)的数据却不会被加密;"DANBURY"在计算机 主板上安装了加密引擎,从而传送到磁盘的数据已被加密。如此,由用户输入基于文本的密码,这些密码分别地(实质上基于预定的 标准或设定)允许该架构控制各用户有权使用的内容。然而,该架构显得有些 局限于仅允许基于文本的访问。这引起了系统环境中的问题基于文本的访问不必然代表对系统访问的唯 一期望模式。这还引起了更加严重的问题,例如,在针对用来控制用户访问的实质上任意的架构("DANBURY"或其它架构)时,在如何实现上述访问方 面系统会受到严格的限制;例如,将系统唯一地限制为基于文本的访问会在很 大程度上剥夺系统的灵活性和多棒性,为了系统的灵活性和多样性不得不另外 地设计该系统。因此,已经认识到解决上面提到的问题的迫切需要。
技术实现思路
根据本专利技术的至少 一个当前优选的实施例,在这里可以广泛地构想出允许 使用诸如具有多于基于文本的访问的"DANBURY"等架构的配置。特别的, 可以构想出与诸如"DANBURY"的用户描绘架构一同使用允许诸如生物标识 的可选用户标识的配置。特别的,在更为广泛的意义上,可以构想出以允许任意的用户描述架构执 行自身的解锁计算机的数据或部件的任务的方式,接受用户标识的设置,并且 随后将用户标识传送到中间的用户描述架构(即,被配置为允许以特定的用户 为基础访问计算机中加密后的数据或部件的架构)。因此,可以将用户描述架 看作一个"黑盒",根据本专利技术的至少一个实施例的配置用于合适地与该"黑 盒"接口连接,以便激励"黑盒"开始并且执行自身的预定的动作。根据本发 明的至少一个当前优选的实施例,存在可适当地激励"黑盒"执行动作的一种 或多种合适的证书(credential )。总体上,本专利技术的一个方面提供了一种包括如下步骤的方法*接收用户标 识输入;基于所述用户标识输入释放解密密钥;以及,将所述解密密钥转换成 输入到用于管理基于用户的系统访问的架构的证书。本专利技术的另一方面提供了一种装置,包括主存储器;BIOS,用于接收 用户标识输入,所述BIOS与所述主存储器通信,所述BIOS释放解密密钥以 响应用户标识输入;以及,转换器,将解密密钥转换成输入到用于管理基于用 户的系统访问的架构的i正书。进而,本专利技术的其它方面还提供了一种机器可读的程序存储设备,确实地接收用户标识输入;基于所述用户标识输入释^:解密密钥;以及,将所述解密 密钥转换成输入到用于管理基于用户的系统访问的架构的证书。为了更好地理解本专利技术以及本专利技术的其它和进一步的特征和优点,结合所 附的附图参考下面的具体实施方式,并将会在所附的权利要求书中指出本专利技术 的范围。 附图说明图1示意性地说明了具有额外部件的计算机系统;以及图2示意性地描绘了用于接受用户登录并且使用该登录唤醒"黑盒"架构的三种实现方式。 具体实施例方式为了更好地理解本专利技术以及本专利技术的其它和进一步的特征和优点,结合所 附的附图参考下面的具体实施方式,并将会在所附的权利要求书中指出本专利技术 的范围。很容易理解的是,可以多种不同配置方式设置并且设计附图中总体说明并且描述的部件。因此,对图1和图2中所代表的本专利技术的装置、系统、以及方法的实施例的更详细的具体实施方式,都不是用来限制如权利要求所请求保护 的本专利技术的范围,而是仅代表本专利技术的可选择的实施例。将整篇说明书参考为"一个实施例"或"实施例"(或其它)意味着结合 实施例描述的特定特征、结构、或特点包括在本专利技术的至少一个实施例当中。 因此,在整篇说明书的多个位置处出现的短语"在一个实施例中"或"在实施 例中"不一定都指同一实施例。进一 步,还可以在一个或多个实施例中以任意适当的方式组合所描述的特 征、结构、或特点。在下面的具体实施方式中,提供了大量的特定细节,诸如 编程、软件模块、用户选择、网络交易、数据库查询、数据库结构、硬件模块、 硬件电路、硬件芯片等示例,以便提供对本专利技术的实施例更全面的理解。然而, 相关领域的技术人员可以认识到,无需一个或多个特定细节,而是利用其它方 法、部件、材料等也可以实施本专利技术。在其它示例中,不再详细地展示或描述 公知的结构、材料、或处理,以避免模糊本专利技术的特征。通过参考附图可以更好地理解所描述的本专利技术实施例,其中在通篇说明书 中对相同的部件指定了相同的数字或其它标记。下面的具体实施方式的目的仅 在于通过示例,简单地说明与这里请求保护的本专利技术相符的设备、系统、以及处理的特定的实施例。现在参考图1,这里描绘了计算机系统12的说明性实施例的方框图。图1所示的说明性实施例可以是笔记本计算机系统,诸如由位于North Carolina州 Morrisville的联想(美国)公司售卖的ThinkPad系列个人计算机中的一款, 然而,通过下面的具体实施方式可以清楚知道,本专利技术适用于任何数据处理系 统。在这里,笔记本计算机可选地被称为"笔记本"、"便携式计算机"、"膝上 型计算机"、或"移动式计算机",这些术语应该被理解为可以彼此互换。如图1所示,计算机系统12包括至少一个系统处理器42,该系统处理器 12通过处理器总线44连接到只读存储器(ROM) 40和系统存储器46。系统 处理器42可以包括由AMD公司生产的AMD系列处理器或由Intel公司生产 的处理器,并且为通用处理器,用来在开机时执行在ROM40中存储的启动代 码(bootcode) 41且随后在操作系统和系统存储器46中存储的应用软件的控 制下处理数据。系统处理器42经由处理器总线44和主桥48连接到外部设备 互连(PCI)本地总线50。PCI本地总线50支持包括适配器和网桥等的多个设备的连接。这些设备 包括使得计算机系统12与LAN接口连接的网络适配器66、以及使得计算机 系统12与显示器69接口连接的图形适配器68。 PCI本地总线50上的通信受 到本地PCI控制器52的控制,本地PCI控制器52经由存储器总线54连接到 非易失性随机访问存本文档来自技高网...
【技术保护点】
一种方法,包括下列步骤: 接收用户标识输入; 基于所述用户标识输入,释放解密密钥;以及 将所述解密密钥转换成输入到用于管理基于用户的系统访问的架构的证书。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:兰德尔S斯普林菲尔德,约瑟夫M庞尼斯,
申请(专利权)人:联想新加坡私人有限公司,
类型:发明
国别省市:SG[新加坡]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。