一种计算机可读存储介质,包含软件,当由处理器(12)执行时,该软件使得处理器实施基本输入/输出系统(BIOS)(16)。该BIOS包括实施BIOS核(60)的指令、实施用户验证和执行引擎(AEE)(62)的指令、和实施预启动验证模块(66)的可扩展接口的指令。
【技术实现步骤摘要】
【国外来华专利技术】预启动认证模块的可扩展BI OS接口
技术介绍
一些计算机允许计算机在启动期间执行这样 一种过程,通过该过程 计算才几在启动过程完成之前马全证计算^L的用户。在启动过程完成之前的 用户验证被称为"预启动验证"。预启动验证可以由计算机的基本输入 /输出系统(BIOS)代码执行。不幸的是,修改BIOS代码以增加新型 的验证机制(例如,视网膜扫描)是耗时的并且很昂贵。附图说明为了详细说明本专利技术的示范性实施例,现在将参考附图,其中:图1示出了根据说明性实施例的系统;图2示出了根据说明性实施例的软件体系架构;图3示出了根据说明性实施例的图形用户接口; 以及图4示出了根据说明性实施例的方法。记号和术语特定术语被用在以下描述和权利要求书中来指代特定的系统部件。 本领域技术人员应当理解,计算机公司可以用不同的名称来指代部件。 该文献不打算区分名称不同而不是功能不同的部件。在下面的讨论和权 利要求书中,术语"包括,,和"包含,,以开放的方式使用,因而应该^皮 解释为意思是"包括但不限于"。此外,术语"耦合"意欲指间接、直 接、光或者无线电连接。因而,如果第一装置耦合到第二装置,则该连 接可以通过直接电连接、通过经由其他装置与连接的间接电连接、通过 光电连接或通过无线电连接。具体实施例方式图1示出了系统10,其包括处理器12、系统只读存储器(ROM) 14、 显示器18、网络连接19、存储器20和一个或多个用户验证装置30。系 统10可以包括实施用户-睑证的计算冲几(例如,笔记本型计算机、桌上 型计算机、服务器等等)或者其他类型的计算系统。系统R0M 14包含基本输入/输出系统(BIOS) 16。 BIOS 16包括由 处理器12执行的指令,这些指令提供在这里根据各个实施例描述的至 少一些功能或者全部功能。在图1的实施例中,BI0S16被存储在系统 ROM 14上,但是也可以被存储在其软件由处理器12执行的任何类型的 计算机可读介质上。BIOS 16使处理器12执行系统10的一个或多个低 级功能,诸如给外围装置提供软件接口。 BIOS 16也包含被执行来启动、 测试以及以其他方式初始化系统10的代码。根据各个实施例,BIOS 16 也提供用户验证,以要求验证用户。存储装置20包括易失性或者非易失性存储器,例如随机存取存储 器(RAM)、硬盘驱动器、紧凑盘只读存储器(CD ROM)驱动器、只读 存储器、闪速存储器等等。存储器20包含可由处理器12执行的操作系 统(OS) 22。在至少一些实施例中,OS 22和/或OS级代码也能够执行 用户-睑证。系统10也包括一个或多个用户验证装置30,每个用户验证装置可 用于验证系统10的用户。用户验证装置30的例子包括键盘(通过该键 盘输入密码)、指紋扫描仪、视网膜扫描仪、可信平台模块(TPM)、 通用串行总线(USB )令牌、"虚拟"令牌(即,硬件令牌的软件模拟) 等等。根据说明性实施例,系统10能够实施"多因素验证"(MFA), 通过该多因素验证,执行多种验证来验证用户。例如,MFA策略可能需 要输入有效的密码和成功的指紋扫描。在说明性实施例中,在启动系统 10的过程期间由BI0S 16实施MFA。如上所述,在一些实施例中,OS 22能够^r证用户。然而,在其他 实施例中,BIOS 16与0S 22通信,以使得0S 22放弃(forego)为执 行用户验证而与用户单独交互。OS 22改为依赖于BIOS 16中实施的用 户-验证。因而系统10可配置为允许用户-睑证在BIOS 16的控制下4丸行 或者在OS 22的控制下执行。BIOS级的用户验证和使用该验证过程在 OS级验证用户被称为"无缝,,验证或"单点登陆(single sign-on),, 过程。图2示出了系统10的软件体系架构的说明性实施例。图2的软件 体系架构示出了OS 22和BIOS 16。 OS 22包括OS用户验证和执行引擎 (user authentication and enforcement engine, UAEE ) 40、 一个或 多个,睑证基础(authentication-base )应用程序42、策略44、 OS用户验证模块46、各种用户验证令牌50和安全管理器52,或者以其他方 式与它们相关联。如果在每个应用程序42中启用验证的话,则在用户 可以使用该应用程序之前,该应用程序需要-睑证用户。例如,应用程序 42可以包括启用了用户验证的因特网浏览器应用程序。OS UAEE 40代表请求的应用程序管理验证用户的过程。提供各种验 证策略44, OS UAEE 40从该验证策略中选择以验证用户。在一些实施 例中,该策略可以是用户相关的。也就是说,不同的用户可以具有不同 的验证策略。例如, 一个用户的验证策略可以是输入特定的密码,而另 一个用户的验证策略可以是执行指紋扫描。通过用户与用户验证装置30 (图1)交互并且比较来自于该装置的信息与对应的令牌50,来执行一 些或者全部验证策略。对于指紋扫描验证,令牌50包括该用户的指紋 样板,其先前存储在例如存储器20中。如果在(由指紋扫描仪所检测 的)用户的指紋和该样板(令牌50)之间存在充分的匹配,则该用户被 成功验证。其他令牌50可以包括密码、视网膜扫描样板等等。按照用户验证策略,在一些实施例中,OS UAEE 40确定用户是否已 被验证。为此,OS UAEE 40请求OS用户验证模块46获得有关的用户输 入(例如,经由键盘输入的密码、指紋扫描等等)。OS用户验证模块 46将获得的用户输入(user-acquired input)传递给OS UAEE 40,该 OS UAEE 40比较该输入与有关的令牌50,以确定是否存在匹配。如果 存在匹配,则该用户祐j人为是经过-睑证的。如果不存在匹配,则该用户 未净皮4全证,并且对应用程序42的访问可以被拒绝。安全管理器52向BIOS 16提供安全接口。与OS 22相关的策略44 经由安全管理器52被提供给BIOS 16并且存储在BIOS 16中作为策略 64。在一些实施例中,用户^S正策略64和44彼此相同,但是在其他实 施例中可以彼此不同。仍然参考图2, BIOS 16包括BIOS核60、 BIOS AEE 62和一个或多 个预启动验证(PBA)模块66。 BIOS核60包括加电自检(POST)代码, 用于在启动过程期间加电和测试各种系统功能和装置。B10 S核6 0也包 括低级代码,其向各种外围装置(例如键盘、显示器等等)提供软件接 ci 。才艮据说明性实施例,扭J亍BIOS AEE 62以在启动过程期间聪、证用户。 每个PBA模块60包括使得系统10能够与用户验证装置30交互的代码。每个这样的用户验证装置30可以具有它自己的为了操作该装置30而定 制的^f戈码。BIOS AEE 62调用适当的PBA才莫块66,以经由对应于该PBA 模块66的用户验证装置30验证用户。BIOS AEE 62确定或者被通知正在启动该系统的用户。在至少一些 实施例中,通过向BIOS 16登记每个可能的用户来做出该确定。在启动 过程期间,BIOS核60或者BIOS AEE 62在显示器18上提供可能的用户 的列表。系统10本文档来自技高网...
【技术保护点】
一种系统(10),包括: 处理器(12);和 存储器(14),其耦合到所述处理器,并且包含基本输入/输出系统(BIOS)(16),所述BIOS包括BIOS核(60)、用户验证和执行引擎(AEE)(62)、以及预启动验证模块(66 )的可扩展接口。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:L王,VY阿利,J里奥斯,
申请(专利权)人:惠普开发有限公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。