本申请涉及用于对平台资源进行域认证控制的方法、装置、系统和计算机程序产品。平台控制下的资源是依据由目录服务集中管理的访问控制规则来进行管理的。通过要求对用户访问平台资源的授权而统一地应用安全策略,其中,平台资源包括硬盘驱动器、闪存存储器、传感器、网络控制器以及功率状态控制器。
【技术实现步骤摘要】
【国外来华专利技术】
概括地说,本申请公开内容涉及控制对计算平台的资源的访问。
技术介绍
企业数据正变得越来越具有移动性、分布性且丰富性。通常,数据是从物理安全的设施中取出的,以有助于适应行驶中的或具有灵活工作习惯的工作者的需要。由于企业集团将数据带到其它城市、州或国家,这些数据还在地理上具有分布性。在产生数据的速率方面以及在可呈现数据的多媒体格式方面,数据都具有丰富性。所有这些因素促使新型存储媒质、高带宽子系统以及网络连接存储(它们要求数据在传输时以及在静态情形下均得到保护)的演进发展。此外,计算平台也正在变得更具移动性、更小巧和轻便。用户更可能会携带着多个计算设备。所有这些因素都提高了丢失及被窃的可能性,而这又转换成增加的资金开销以及安全风险(归因于用户密码字典式破解的可能性增大)。静态数据加密技术禁止对存储在丢失或被窃的存储设备上的数据进行未授权使用,从而避免这些数据在互联网或其它网络上扩散。DAR加密用作一种自动且快速的响应机制,用以防止由于存储设备不可避免地丢失和被窃而使存储在这些设备上的数据丢失和被窃。不过,DAR加密技术通常是使用单个密码控制对加密密钥的访问来实现的,该加密密钥可用于解密存储在经加密的硬盘驱动器上的数据。类似地,通常使用单个密码来保护硬盘驱动器。能够猜测出用户密码的窃贼能够避开这些常用保护机制。附图说明图1是依据本专利技术的一个实施例的、配置为提供对平台资源的域认证控制的系统的框图。图2是示出了依据本专利技术的一个实施例,响应于对用户和/或平台凭证的认证而对经加密的存储设备进行解锁的流程图。图3是示出了依据本专利技术的一个实施例,响应于对平台的认证而对供匿名用户使用的资源进行解锁的流程图。图4是示出了依据本专利技术的一个实施例,响应于对平台和用户二者的认证而对授权给非匿名用户使用的资源进行解锁的流程图。图5是依据本专利技术的一个实施例的、配置为提供对平台资源的域认证控制的系统的框图。图6示出了依据本专利技术的一个实施例的、用于实现安全分区以提供对平台资源的域认证控制的虚拟机环境。具体实施例方式本专利技术的实施例可以提供用于执行对平台资源的域认证控制的方法、装置、系统以及计算机程序产品。受平台控制的资源受益于由目录服务集中管理的较精细粒度访问控制规则。通过要求对用户访问平台资源(该平台资源包括硬盘驱动器、闪存存储器、传感器、网络控制器以及功率状态控制器)进行授权,可以统一地应用安全策略。在一个实施例中,一种方法包括在为平台加载操作系统之前,获取所述平台的域凭证;使用远离所述平台的域控制器对所述域凭证进行认证;识别所述域凭证有权访问的所述平台的资源;在为所述平台加载所述操作系统之前,使用所述域凭证对所述平台的所述资源进行解锁。所述域凭证可包括针对所述平台的用户的凭证和/或针对所述平台的安全分区的凭证。使用所述域凭证对所述资源进行解锁可包括使用所述域凭证来获取用于对存储在所述资源上的数据进行解密的密钥;使用所述密钥对存储在所述资源上的所述数据进行解密。识别所述域凭证有权访问的所述平台的所述资源可包括检查由所述域控制器维持的用于所述平台的访问策略。对所述平台的所述资源进行解锁可包括在所述域控制器与所述资源之间建立安全通信会话。对所述资源进行解锁可包括向所述资源供电。所述方法还可包括从所述域控制器获取解锁令牌,其中,对所述资源进行解锁包括使用所述解锁令牌对所述资源进行解锁。所述资源可包括ATA存储设备和芯片组控制资源中的至少一个。本申请还提供了一种系统和一种计算机程序产品,它们具有用于实现所述方法的指令。说明书中对“一个实施例”或“实施例”的提及表示结合该实施例而描述的特定特征、结构或特性可包括在本专利技术的至少一个实施例中。因此,在整个说明书的各个位置中出现的短语“在一个实施例中”、“依据一个实施例”等并不一定全部指代相同的实施例。为进行说明,给出了具体配置和细节,以提供对本专利技术的透彻理解。不过,对本领域技术人员来说,显而易见的是,本专利技术的实施例也可以不用本申请给出的具体细节来实现。此外,为避免混淆本专利技术,可以省略或简化公知特征。在整个该说明书中可以给出各个示例。这些示例仅仅是对本专利技术的特定实施例的描述。本专利技术的范围并不限于所给出的示例。图1是依据本专利技术的一个实施例的、配置为提供对平台资源的域认证控制的平台100的框图。平台100的资源由早先在平台100的初始化期间可用的两种不同类型的资源(高级技术附件(ATA)设备180和ME控制资源190)示出。ATA设备180表示诸如平台100的硬盘驱动器之类的资源,其中该硬盘驱动器用作平台固件及软件(其用于执行系统初始化)的存储设备。由于保护机制能够到位之前的引导过程期间的脆弱性,通常使用硬盘驱动器密码和/或全磁盘加密来保护提供平台初始化固件及软件的硬盘驱动器。不过,如果窃贼能够猜到硬盘驱动器密码或经加密的磁盘密码,那么在没有进一步保护机制(例如本专利技术所设置的保护机制)的情况下,硬盘驱动器上的数据可能会被访问。ME控制资源190表示由企业数据保护方案管理的资源,其中该企业数据保护方案实现成芯片组/安全分区105中的管理功能。例如,ME控制资源190可包括传感器、功率状态控制器、网络控制器以及闪存存储器,该闪存存储器提供在平台初始化期间使用的第三方固件及软件。由于平台初始化期间的脆弱性以及此类第三方固件代码的病毒感染的可能性,ME控制资源190被置于远离平台100操作的企业管理软件的控制之下。因此,可以经由企业管理软件与在平台100上的安全分区(例如芯片组/安全分区105)内操作的管理引擎140之间的安全通道,来更新ME控制资源190。下面将进一步详细描述管理引擎140结合企业管理软件的操作。BI0S/PBA (预引导认证)模块110包括在系统初始化期间使用的平台固件。最初为IBM PC兼容计算机开发的基本输入/输出系统(BIOS)(也称为系统BIOS)是定义了固件接口的事实标准。BIOS是引导固件,其被设计成在通电时由PC运行的第一代码。BIOS的初始功能是识别、测试和初始化系统设备(例如视频显卡、硬盘以及软盘和其它硬件)。该初始化将机器预备到一种已知状态,从而使得能够加载、执行诸如存储在兼容媒质上的操作系统之类的软件,并且向该软件给予PC控制。该过程被称为引导或启动(其为引导程序的简称XBI0S/PBA110包括预引导认证模块,后者用于在引导操作系统之前获取用户凭证。BI0S/PBA110包括认证客户端120和高级技术附件(ATA)命令模块130,以便与平台资源ATA设备180进行通信。认证客户端120经由管理引擎140的带外网络栈144执行与域控制器170的域认证。域认证可以使用仅平台身份、仅用户身份或者平台身份与用户身份的组合来进行。在本申请中,认证客户端120将被描述成使用Kerberos身份管理基础设施与域控制器170和平台100的其它组件进行交互,但本专利技术并不限于此。还可以使用其它身份管理基础设施,例如,SAML (安全断言标记语言)、Card Space (卡空间)、自由联盟、公共密钥等等。此外,虽然认证客户端120被示为实现成BI0S/PBA模块110的一部分,但是认证客户端120可以替代地实现成管理引擎140的一部分,或者平台100的另一安全分区的一部分本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.07.14 US 12/836,1561.一种计算机实现的方法,包括 在为平台加载操作系统之前,获取所述平台的域凭证; 使用远离所述平台的域控制器对所述域凭证进行认证; 识别所述域凭证有权访问的所述平台的资源;以及 在为所述平台加载所述操作系统之前,使用所述域凭证对所述平台的所述资源进行解锁。2.根据权利要求1所述的方法,其中,所述域凭证包括下述中的至少一个针对所述平台的用户的凭证,以及针对所述平台的安全分区的凭证。3.根据权利要求1所述的方法,还包括 使用所述域凭证来获取用于对存储在所述资源上的数据进行解密的密钥;以及 使用所述密钥对存储在所述资源上的所述数据进行解密。4.根据权利要求1所述的方法,其中,识别所述域凭证有权访问的所述平台的所述资源包括 检查由所述域控制器维持的用于所述平台的访问策略。5.根据权利要求1所述的方法,其中,对所述平台的所述资源进行解锁包括 在所述域控制器与所述资源之间建立安全通信会话。6.根据权利要求1所述的方法,其中,对所述资源进行解锁包括 向所述资源供电。7.根据权利要求1所述的方法,还包括 从所述域控制器获取解锁令牌,其中,对所述资源进行解锁包括使用所述解锁令牌对所述资源进行解锁。8.根据权利要求1所述的方法,其中,所述资源包括ATA设备和芯片组控制资源中的至少一个。9.一种系统,包括 至少一个处理器;以及 耦合到所述至少一个处理器的存储器,所述存储器包括用于执行以下操作的指令 在为平台加载操作系统之前,获取所述平台的域凭证; 使用远离所述平台的域控制器对所述域凭证进行认证; 识别所述域凭证有权访问的所述平台的资源;以及 在为所述平台加载所述操作系统之前,使用所述域凭证对所述平台的所述资源进行解锁。10.根据权利要求9所述的系统,其中,所述域凭证包括下述中的至少一个针对所述平台的用户的凭证,以及针对所述平台的安全分区的凭证。11.根据权利要求9所述的系统,其中,所述指令还包括用于执行以下操作的指令 使用所述域凭证来获取用于对存储在所述资源上的数据进行解密的密钥;以及 使用所述密钥对存储在所述资源上的所述数据进行解密。12.根据权利要求9所述的系统,其中,识别所述域凭证有权访问的所述平台的所述资源包括 检查由所述域控制器维持的用于所述平台的访问策略。13.根据权利要求9所述的系统,其中,对所述平台的所述资源进行解锁包括 在所述域控制器与所述资源之间建立安全通信会话。14.根据权利要求9所述的系统,其中,对所述资源进行解锁包括 向...
【专利技术属性】
技术研发人员:N·M·史密斯,S·L·格罗布曼,C·T·欧文,
申请(专利权)人:英特尔公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。