專利名稱:從移動(dòng)設(shè)備對(duì)計(jì)算機(jī)的安全遠(yuǎn)程喚醒���、引導(dǎo)及登錄的方法和系統(tǒng)的制作方法
從移動(dòng)設(shè)備對(duì)計(jì)算機(jī)的安全遠(yuǎn)程喚醒�、引導(dǎo)及登錄的方法
和系統(tǒng)
背景技術(shù):
人們常常需要遠(yuǎn)程訪問(wèn)計(jì)算機(jī)�����。用戶可能需要引導(dǎo)和/或登錄到計(jì)算機(jī)以訪問(wèn)數(shù)據(jù)或應(yīng)用?�;蛘?�,可能需要在計(jì)算機(jī)上進(jìn)行維護(hù)�����,但可能無(wú)法立刻獲得對(duì)機(jī)器的物理訪問(wèn)�。 在正常情況下,用戶可能需要提供一個(gè)或多個(gè)引導(dǎo)口令以允許計(jì)算機(jī)安全引導(dǎo)�����,且可能需要提供登錄口令以訪問(wèn)操作系統(tǒng)(Os)���。如果用戶需要遠(yuǎn)程參與此類(lèi)交互���,則可能出現(xiàn)問(wèn)題?���?诹畋仨毐粋鬏斨劣?jì)算機(jī)�;但通過(guò)開(kāi)放的公共網(wǎng)絡(luò)(例如因特網(wǎng))提供口令是有風(fēng)險(xiǎn)的�����?��?诹钊菀妆恍姑堋H绻唇?jīng)授權(quán)的一方獲得口令����,則他或她能佯裝經(jīng)授權(quán)用戶并訪問(wèn)機(jī)器。
圖1示出根據(jù)實(shí)施例的在本文中描述的系統(tǒng)的總體處理����。圖2是示出根據(jù)實(shí)施例的管理緊張客戶端安全引導(dǎo)和認(rèn)證模塊中的邏輯的框圖。圖3是示出根據(jù)實(shí)施例的遠(yuǎn)程移動(dòng)設(shè)備中的遠(yuǎn)程引導(dǎo)模塊的框圖���。圖4示出根據(jù)實(shí)施例的從遠(yuǎn)程移動(dòng)設(shè)備到計(jì)算機(jī)的喚醒消息傳輸����。圖5示出根據(jù)實(shí)施例的遠(yuǎn)程BIOS引導(dǎo)策略信息的檢索��。圖6示出根據(jù)實(shí)施例的通過(guò)管理引擎從遠(yuǎn)程移動(dòng)設(shè)備對(duì)BIOS 口令的請(qǐng)求����。圖7示出根據(jù)實(shí)施例的從管理引擎到預(yù)引導(dǎo)認(rèn)證模塊的盤(pán)解鎖/解密口令的轉(zhuǎn)移���。圖8示出根據(jù)實(shí)施例的通過(guò)管理引擎從遠(yuǎn)程移動(dòng)設(shè)備對(duì)登錄口令的請(qǐng)求。圖9示出根據(jù)一個(gè)實(shí)施例的從管理引擎到操作系統(tǒng)的登錄口令的轉(zhuǎn)移�����。圖10是示出根據(jù)實(shí)施例的在本文中描述的處理的流程圖����。圖11是示出本文中描述的系統(tǒng)的軟件或固件實(shí)施例的框圖。在附圖中�����,附圖標(biāo)記的最左側(cè)數(shù)字標(biāo)識(shí)第一次出現(xiàn)該附圖標(biāo)記的附圖����。
具體實(shí)施例方式現(xiàn)在參見(jiàn)附圖對(duì)優(yōu)選實(shí)施例進(jìn)行描述,其中相同的附圖標(biāo)記表示相同或功能相似的要素����。另外在附圖中,每個(gè)附圖標(biāo)記最左面的數(shù)字與該附圖標(biāo)記第一次使用所在的附圖對(duì)應(yīng)��。盡管討論了特定結(jié)構(gòu)和配置,然而應(yīng)當(dāng)理解這只是為了解說(shuō)目的���。相關(guān)領(lǐng)域內(nèi)技術(shù)人員應(yīng)當(dāng)理解,可使用其它結(jié)構(gòu)和配置而不脫離說(shuō)明書(shū)的精神和范圍��。本領(lǐng)域內(nèi)技術(shù)人員將清楚知道��,這也可為本文所描述以外的多種其它系統(tǒng)和場(chǎng)合所采納���。本文中公開(kāi)的是允許經(jīng)授權(quán)用戶以安全方式遠(yuǎn)程喚醒�����、引導(dǎo)以及登錄計(jì)算機(jī)的方法和系統(tǒng)���。為此,用戶可利用諸如智能電話的移動(dòng)設(shè)備與計(jì)算機(jī)通信�。用戶和計(jì)算機(jī)可利用短消息服務(wù)(SMQ進(jìn)行通信。用戶可最初向計(jì)算機(jī)提供喚醒消息�����,然后計(jì)算機(jī)可通過(guò)要求一個(gè)或多個(gè)基本輸入/輸出系統(tǒng)(BIOS) 口令來(lái)作出響應(yīng)����。在一實(shí)施例中��,可能需要這些口令以用于計(jì)算機(jī)BIOS的操作����,以及用于操作系統(tǒng)的最終引導(dǎo)���。然后用戶可將一個(gè)或多個(gè)這些口令提供給計(jì)算機(jī)�。計(jì)算機(jī)可進(jìn)一步要求操作系統(tǒng)(0 登錄口令���。然后用戶可將該登錄口令提供給計(jì)算機(jī)�。在一實(shí)施例中���,口令可能以加密形式被提供給計(jì)算機(jī)���。此外,可使用認(rèn)證手段來(lái)提供用戶合法的保證�����。根據(jù)一實(shí)施例�����,本文中所描述的系統(tǒng)的操作大致在圖1中示出。在此�����,用戶可尋求遠(yuǎn)程訪問(wèn)計(jì)算機(jī)�。在該具體示例中���,用戶可嘗試訪問(wèn)在個(gè)人計(jì)算機(jī)(PC)上運(yùn)行的客戶端 110���。該P(yáng)C可使用能從華盛頓州雷蒙德市的微軟公司獲得的一版本的Windows操作系統(tǒng)。 用戶可使用移動(dòng)設(shè)備120與PC客戶端110進(jìn)行通信���。移動(dòng)設(shè)備120可以是智能電話����?;蛘撸苿?dòng)設(shè)備120可以是諸如膝上計(jì)算機(jī)的功能更齊全的計(jì)算平臺(tái)�����。在又一實(shí)施例中,用戶可既使用智能電話又使用本地計(jì)算機(jī)�,其中智能電話被束縛于本地計(jì)算機(jī)。移動(dòng)設(shè)備120 可通過(guò)網(wǎng)絡(luò)130與PC客戶端110進(jìn)行通信����。網(wǎng)絡(luò)130可以是例如因特網(wǎng)或諸如3G網(wǎng)絡(luò)的數(shù)據(jù)網(wǎng)絡(luò),或它們的一些組合����。或者���,網(wǎng)絡(luò)130可以是局域網(wǎng)或廣域網(wǎng)���。在一實(shí)施例中,PC 客戶端110和移動(dòng)設(shè)備120可經(jīng)由短消息服務(wù)(SMQ利用消息進(jìn)行通信�。移動(dòng)設(shè)備120可通過(guò)向PC客戶端110發(fā)送喚醒消息140來(lái)開(kāi)始。在一實(shí)施例中���, 喚醒消息140可被加密和/或認(rèn)證�����。如果喚醒消息140被成功解密和認(rèn)證����,則PC客戶端 110和移動(dòng)設(shè)備120可參與安全對(duì)話,其中PC客戶端110從移動(dòng)設(shè)備120請(qǐng)求口令�����,然后接收這些口令���。該對(duì)話被示為請(qǐng)求150和口令160�。請(qǐng)求150和口令160的傳輸可以是交織的��,以使請(qǐng)求之后是口令�,再之后是另一請(qǐng)求和另一口令��。PC客戶端110可向移動(dòng)設(shè)備120 發(fā)出一個(gè)或多個(gè)請(qǐng)求���,以尋求一個(gè)或多個(gè)口令����??诹羁砂˙IOS 口令。如將在下文中更詳細(xì)描述地���,所請(qǐng)求的口令可包括BIOS引導(dǎo)口令�、預(yù)引導(dǎo)BIOS 口令、盤(pán)解鎖/解密口令�、和/或防盜恢復(fù)口令。在喚醒消息140的情況下�,BIOS 口令可被加密和認(rèn)證。如果BIOS 口令被成功解密和認(rèn)證�����,則BIOS可啟動(dòng)�,且客戶端110可從移動(dòng)設(shè)備120請(qǐng)求登錄口令。然后移動(dòng)設(shè)備120可通過(guò)提供再次被加密和/ 或認(rèn)證的登錄口令來(lái)作出響應(yīng)�。如果登錄口令被成功解密和/或認(rèn)證,則可給予遠(yuǎn)程用戶對(duì)OS的訪問(wèn)權(quán)��,且登錄可繼續(xù)��。在一實(shí)施例中���,被遠(yuǎn)程訪問(wèn)的計(jì)算機(jī)可以是個(gè)人計(jì)算機(jī)�,如上所述�。這樣的計(jì)算機(jī)可包括在帶外處理器上執(zhí)行的固件,其中該固件提供對(duì)PC的管理功能�����。此類(lèi)子系統(tǒng)的一個(gè)示例是可從加利福尼亞州圣克拉拉市的英特爾公司獲得的管理引擎(ME)。本文中描述的系統(tǒng)的邏輯可在ME客戶端安全引導(dǎo)和認(rèn)證模塊210中實(shí)現(xiàn)��,如圖2所示�。模塊210可被實(shí)現(xiàn)為ME中的固件。模塊210可包括遠(yuǎn)程BIOS引導(dǎo)策略220����。策略220表示定義將給予尋求訪問(wèn)PC的特定方的特權(quán)的信息。具體而言���,遠(yuǎn)程BIOS引導(dǎo)策略220可指定如何處理不同的訪問(wèn)嘗試源�。此類(lèi)源可以是嘗試訪問(wèn)PC的不同的遠(yuǎn)程用戶�、組織或機(jī)器��。遠(yuǎn)程引導(dǎo)策略 220可規(guī)定不同的特定用戶被區(qū)別對(duì)待�����,或不同機(jī)器或組織被區(qū)別對(duì)待��。例如��,不同的遠(yuǎn)程用戶可受不同的安全協(xié)議管轄。例如��,此類(lèi)協(xié)議可提供不同的認(rèn)證和加密方法�����。一旦接收喚醒消息�,就可咨詢遠(yuǎn)程BIOS引導(dǎo)策略220以根據(jù)喚醒消息的源來(lái)確定將應(yīng)用的協(xié)議。模塊210還可包括遠(yuǎn)程客戶端認(rèn)證模塊230�。該模塊可負(fù)責(zé)認(rèn)證遠(yuǎn)程用戶或客戶端。在一實(shí)施例中�,遠(yuǎn)程移動(dòng)設(shè)備與ME固件之間的任何信任關(guān)系可在服務(wù)登記期間建立。 在一實(shí)施例中�,對(duì)于從遠(yuǎn)程移動(dòng)設(shè)備發(fā)送至計(jì)算機(jī)的一些或全部通信可重新驗(yàn)證信任。模塊210還可包括PC客戶端全盤(pán)加密(FDE)認(rèn)證模塊M0����。模塊240可負(fù)責(zé)從遠(yuǎn)程移動(dòng)設(shè)備接收盤(pán)解鎖/解密口令。FDE認(rèn)證模塊240可在此類(lèi)事務(wù)中提供認(rèn)證服務(wù)�。如果認(rèn)證成功,則FDE認(rèn)證模塊240可將該口令提供給ME固件���。然后ME固件可將該口令提供給預(yù)引導(dǎo)認(rèn)證安全遠(yuǎn)程登錄模塊(未示出)����,該模塊然后允許引導(dǎo)過(guò)程繼續(xù)。模塊210還可包括PC客戶端防盜遠(yuǎn)程恢復(fù)模塊250����。該模塊可負(fù)責(zé)從遠(yuǎn)程移動(dòng)設(shè)備接收用戶的防盜恢復(fù)口令,并提供對(duì)恢復(fù)口令的認(rèn)證服務(wù)���。如果認(rèn)證通過(guò)�,則允許引導(dǎo)過(guò)程繼續(xù)�。模塊210還可包括PC客戶端Windows登錄模塊沈0。模塊260可負(fù)責(zé)認(rèn)證遠(yuǎn)程登錄OS的嘗試�。登錄模塊260可經(jīng)由ME將OS登錄口令安全地提供給OS。ME固件可將登錄口令提供給預(yù)引導(dǎo)認(rèn)證安全遠(yuǎn)程登錄模塊�����。根據(jù)一實(shí)施例����,在遠(yuǎn)程移動(dòng)設(shè)備120處�����,用于本文中所描述的系統(tǒng)的邏輯可被實(shí)現(xiàn)為如圖3中可見(jiàn)的遠(yuǎn)程引導(dǎo)模塊310���。如上所討論�,遠(yuǎn)程移動(dòng)設(shè)備120以安全、受信任的關(guān)系與PC客戶端進(jìn)行交互���。具體而言�,在一實(shí)施例中��,遠(yuǎn)程移動(dòng)設(shè)備120可被視為遠(yuǎn)程移動(dòng)客戶端����。遠(yuǎn)程引導(dǎo)模塊310可負(fù)責(zé)向PC客戶端發(fā)送安全消息。這些消息可包括例如一個(gè)或多個(gè)BIOS 口令和操作系統(tǒng)登錄口令����。這些消息可被加密,且可被認(rèn)證����。在一實(shí)施例中, 這些消息通過(guò)短消息服務(wù)(SMQ或其它合適的通信服務(wù)來(lái)傳輸�����。這些消息還可包括初始喚醒消息,該初始喚醒消息如果被成功認(rèn)證��,則會(huì)導(dǎo)致PC 處的活動(dòng)平臺(tái)狀態(tài)����。處理可通過(guò)將喚醒消息從遠(yuǎn)程移動(dòng)設(shè)備傳輸?shù)奖粚で笤L問(wèn)的計(jì)算機(jī)來(lái)開(kāi)始。根據(jù)一實(shí)施例�,這在圖4中示出。喚醒消息410可從位于遠(yuǎn)程移動(dòng)設(shè)備處的遠(yuǎn)程引導(dǎo)模塊310發(fā)送���。喚醒消息410可由遠(yuǎn)程客戶端認(rèn)證模塊230接收��。如上所討論��,遠(yuǎn)程客戶端認(rèn)證模塊230可被具現(xiàn)化在管理引擎固件中�����。喚醒消息410可通過(guò)SMS或其它合適的通信服務(wù)來(lái)傳輸��。在SMS的情況下����,喚醒消息410可由諸如PC客戶端處的3G調(diào)制解調(diào)器的調(diào)制解調(diào)器來(lái)接收�。此外�����,出于安全原因,喚醒消息410可被加密和/或認(rèn)證�����。在所示實(shí)施例中�,認(rèn)證可以是遠(yuǎn)程客戶端認(rèn)證模塊230的職責(zé)。如果認(rèn)證成功�,則計(jì)算機(jī)可啟動(dòng)喚醒過(guò)程。此外�����,可在PC處咨詢安全策略�����,以確定如何處理該訪問(wèn)嘗試��。該咨詢過(guò)程在圖5 中示出���。在PC處�����,BIOS 510向遠(yuǎn)程BIOS引導(dǎo)策略220發(fā)出查詢520��。在一實(shí)施例中����,查詢520可以是專屬的,因?yàn)樗芍付▎拘严⒌脑?��。查?20的結(jié)果可以是策略信息530�����, 該策略信息530然后對(duì)BIOS 510可用����。策略信息530可包括關(guān)于將如何處理源的指示�����,例如���,將應(yīng)用什么安全協(xié)議��、要使用的認(rèn)證或解密處理類(lèi)型等等��。在一實(shí)施例中�,遠(yuǎn)程BIOS引導(dǎo)策略220可被實(shí)現(xiàn)為數(shù)據(jù)庫(kù)�、查找表或類(lèi)似的數(shù)據(jù)結(jié)構(gòu)。PC處的引導(dǎo)過(guò)程可能需要一個(gè)或多個(gè)BIOS 口令以便繼續(xù)�����。在一實(shí)施例中���,可從遠(yuǎn)程移動(dòng)設(shè)備提供這些口令�。根據(jù)一實(shí)施例��,該事務(wù)在圖6中大致示出�。PC處的管理引擎 210向遠(yuǎn)程移動(dòng)設(shè)備處的遠(yuǎn)程引導(dǎo)模塊310發(fā)出一個(gè)或多個(gè)請(qǐng)求610。這些請(qǐng)求610可尋求一個(gè)或多個(gè)BIOS 口令��。這些可包括例如而不限于BIOS引導(dǎo)口令�、預(yù)引導(dǎo)BIOS 口令、盤(pán)解鎖/解密口令或防盜恢復(fù)口令����。在一實(shí)施例中����,請(qǐng)求610可通過(guò)SMS傳輸����。遠(yuǎn)程引導(dǎo)模塊310可通過(guò)提供所請(qǐng)求的口令620來(lái)作出響應(yīng)。在一實(shí)施例中��,這些口令可被發(fā)送至管理引擎210���。該傳輸也可使用SMS或其它合適的通信系統(tǒng)�����。此外�,出于安全原因����,口令620可被加密和/或認(rèn)證。在盤(pán)解鎖/解密口令的情況下���,該口令的認(rèn)證可以是PC客戶端全盤(pán)加密認(rèn)證模塊的職責(zé)��。如上所討論�,該模塊可被結(jié)合到管理引擎固件中。根據(jù)一實(shí)施例�����,對(duì)該口令的處理在圖7中示出��。在此��,在認(rèn)證完成之后�,可將盤(pán)解鎖/解密口令705從管理引擎210中的PC 客戶端全盤(pán)加密認(rèn)證模塊發(fā)送至預(yù)引導(dǎo)認(rèn)證模塊750��。預(yù)引導(dǎo)認(rèn)證模塊可位于PC處�,且在 ME 210外部。假設(shè)對(duì)硬盤(pán)的認(rèn)證和解密成功�����,預(yù)引導(dǎo)認(rèn)證模塊750可隨后允許操作系統(tǒng)繼續(xù)至引導(dǎo)階段�。一旦任何BIOS 口令被接收和認(rèn)證,引導(dǎo)過(guò)程就可繼續(xù)�����。此時(shí)����,管理引擎可從遠(yuǎn)程移動(dòng)設(shè)備請(qǐng)求登錄口令��。這在圖8中示出���。管理引擎210可發(fā)出請(qǐng)求810,從而從遠(yuǎn)程移動(dòng)設(shè)備處的遠(yuǎn)程引導(dǎo)模塊310請(qǐng)求登錄口令��。然后登錄口令820可由遠(yuǎn)程引導(dǎo)模塊310提供����。在一實(shí)施例中,該交換可通過(guò)SMS進(jìn)行��。此外�,出于安全原因,登錄口令820可被加密和/或認(rèn)證�。認(rèn)證可以是管理引擎 210中的PC客戶端windows登錄模塊的職責(zé)。如圖9所示����,管理引擎210然后可將登錄口令820傳遞給PC的OS 910。根據(jù)一實(shí)施例�����,本文中所描述的系統(tǒng)的處理在圖10中示出。在1005����,可在PC處從遠(yuǎn)程移動(dòng)設(shè)備接收喚醒消息。在一實(shí)施例中���,該喚醒消息可利用SMS來(lái)發(fā)送�。如上所討論����, 該消息可能已被加密和/或認(rèn)證。加密和認(rèn)證可根據(jù)本領(lǐng)域普通技術(shù)人員公知的任何方案來(lái)實(shí)現(xiàn)�����。例如���,加密可使用對(duì)稱密鑰或非對(duì)稱密鑰。在一實(shí)施例中���,認(rèn)證可包括公鑰協(xié)議�。 在1010,可嘗試喚醒消息的認(rèn)證����。如果該認(rèn)證不成功,則可到達(dá)失敗狀態(tài)1050��,且該過(guò)程可在1055處結(jié)束����,且操作系統(tǒng)未引導(dǎo)且未登錄。如果在1010處喚醒消息的認(rèn)證成功��,則該過(guò)程可繼續(xù)至1015�。在此,根據(jù)1005處所接收的喚醒消息的源來(lái)檢查遠(yuǎn)程BIOS引導(dǎo)策略����。在1020,管理引擎從遠(yuǎn)程移動(dòng)設(shè)備處的遠(yuǎn)程引導(dǎo)模塊請(qǐng)求一個(gè)或多個(gè)BIOS 口令��。 遠(yuǎn)程引導(dǎo)模塊可通過(guò)向管理引擎提供所請(qǐng)求的口令來(lái)作出響應(yīng)�����。如上所討論���,所請(qǐng)求的口令可包括BIOS引導(dǎo)口令��、預(yù)引導(dǎo)BIOS 口令�、盤(pán)解鎖/解密口令、以及防盜恢復(fù)口令���。在一實(shí)施例中�����,請(qǐng)求和口令二者都使用SMS來(lái)傳輸���。此外,口令可被加密和/或認(rèn)證�。如同喚醒消息的情況,加密可使用對(duì)稱密鑰或非對(duì)稱密鑰�。在一實(shí)施例中,認(rèn)證可使用公鑰協(xié)議����。在 1025�����,可嘗試認(rèn)證。如果這些口令中的任意一個(gè)的認(rèn)證失敗��,則在1050處獲得失敗狀態(tài)�,且該過(guò)程可在1055處結(jié)束。此時(shí)�,操作系統(tǒng)將不會(huì)被引導(dǎo)。如果所接收的BIOS 口令在1025 被成功認(rèn)證����,則在1030處理可繼續(xù),其中操作系統(tǒng)可被允許引導(dǎo)����。在1035,管理引擎可從遠(yuǎn)程移動(dòng)設(shè)備的遠(yuǎn)程引導(dǎo)模塊請(qǐng)求登錄口令����。然后遠(yuǎn)程引導(dǎo)模塊可通過(guò)提供登錄口令來(lái)作出響應(yīng)。根據(jù)一個(gè)實(shí)施例���,請(qǐng)求和口令二者都可使用SMS 來(lái)發(fā)送�����。如同之前的事務(wù)��,該口令可被加密和/或認(rèn)證��。加密可使用對(duì)稱密鑰或不對(duì)稱密鑰��,而在一實(shí)施例中�,認(rèn)證過(guò)程可包括公鑰協(xié)議。在1040���,確定登錄口令的認(rèn)證是否成功����。 如果否��,則在1050到達(dá)失敗狀態(tài)�,從而該過(guò)程在1055結(jié)束且不進(jìn)行登錄。如果在1040登錄口令的認(rèn)證成功��,則在1045登錄可繼續(xù)�。然后該過(guò)程可在1055結(jié)束。本文中公開(kāi)的一個(gè)或多個(gè)特征可在硬件���、軟件、固件以及它們的組合中實(shí)現(xiàn)���,包括分立和集成電路邏輯�����、專用集成電路(ASIC)邏輯以及微控制器��,且可實(shí)現(xiàn)為專門(mén)領(lǐng)域的集成電路封裝的一部分或集成電路封裝的組合���。本文中所使用的“軟件”這一術(shù)語(yǔ)指示包括計(jì)算機(jī)可讀介質(zhì)的計(jì)算機(jī)程序產(chǎn)品�����,該計(jì)算機(jī)可讀介質(zhì)具有存儲(chǔ)于其中的計(jì)算機(jī)程序邏輯���, 用于使計(jì)算機(jī)系統(tǒng)執(zhí)行本文中所揭示的一個(gè)或多個(gè)特征和/或特征的組合。圖11中示出上述處理的軟件或固件實(shí)施例�。系統(tǒng)1100可包括處理器1120和存儲(chǔ)器1110的主體。存儲(chǔ)器可包括可存儲(chǔ)計(jì)算機(jī)程序邏輯1140的一種或更多種計(jì)算機(jī)可讀介質(zhì)��。存儲(chǔ)器1110可被實(shí)現(xiàn)為硬盤(pán)和驅(qū)動(dòng)器���、諸如例如緊致盤(pán)和驅(qū)動(dòng)器���、只讀存儲(chǔ)器(ROM) 或閃存器件的可移動(dòng)介質(zhì)或它們的一些組合��。處理器1120和存儲(chǔ)器1110可使用本領(lǐng)域普通技術(shù)人員公知的若干種技術(shù)中的任一種技術(shù)來(lái)通信�,諸如使用總線來(lái)通信��。存儲(chǔ)器1110 中包含的邏輯可由處理器1120讀取和執(zhí)行��。共同示為1/0(輸入/輸出)1130的一個(gè)或多個(gè)I/O端口和/或I/O設(shè)備也可連接至處理器1120和存儲(chǔ)器1110���。在一實(shí)施例中�����,系統(tǒng) 1100被包含在PC平臺(tái)的背景中�����。在此�,處理器1120可以是與用于PC的主微處理器不同的帶外處理器����。在所示實(shí)施例中,計(jì)算機(jī)程序邏輯1140可包括若干模塊�����,諸如遠(yuǎn)程客戶端認(rèn)證模塊230。如上所討論�����,該模塊可負(fù)責(zé)認(rèn)證遠(yuǎn)程用戶或客戶端��。計(jì)算機(jī)程序邏輯1140還可包括PC客戶端全盤(pán)加密(FDE)認(rèn)證模塊MO����。模塊MO 可負(fù)責(zé)從遠(yuǎn)程移動(dòng)設(shè)備接收盤(pán)解鎖/解密口令��。FDE認(rèn)證模塊240可在此類(lèi)事務(wù)中提供認(rèn)證服務(wù)����。如果認(rèn)證成功,則FDE認(rèn)證模塊240可將該口令提供給ME固件�����。計(jì)算機(jī)程序邏輯1140還可包括PC客戶端防盜遠(yuǎn)程恢復(fù)模塊250��。該模塊可負(fù)責(zé)從遠(yuǎn)程移動(dòng)設(shè)備接收用戶的防盜恢復(fù)口令����,并提供對(duì)恢復(fù)口令的認(rèn)證服務(wù)����。如果認(rèn)證通過(guò)�, 則允許引導(dǎo)過(guò)程繼續(xù)。計(jì)算機(jī)程序邏輯1140還可包括PC客戶端Windows登錄模塊沈0�。模塊260可負(fù)責(zé)認(rèn)證遠(yuǎn)程登錄OS的嘗試。登錄模塊260可經(jīng)由ME將OS登錄密碼安全地提供給OS���。本文中的方法和系統(tǒng)是借助于示出其功能����、特征和關(guān)系的功能性構(gòu)件塊來(lái)公開(kāi)的�����。為便于描述���,在本文中任意地限定了這些功能性構(gòu)件塊的至少一些邊界����?���?上薅ㄌ鎿Q的邊界�,只要其指定的功能和關(guān)系被適當(dāng)?shù)貓?zhí)行�。雖然本文中公開(kāi)了各種實(shí)施例,但應(yīng)理解它們僅以示例方式給出而非作為限定���。 本領(lǐng)域普通技術(shù)人員將清楚知道,其中可作出形式上以及細(xì)節(jié)上的各種改變而不背離本文所揭示的方法和系統(tǒng)的精神和范圍�。因此,權(quán)利要求的寬度和范圍不受本文中所公開(kāi)的任一示例性實(shí)施例的限制���。
權(quán)利要求
1.一種用于允許對(duì)計(jì)算機(jī)的遠(yuǎn)程訪問(wèn)的方法�����,包括在所述計(jì)算機(jī)處經(jīng)由短消息服務(wù)(SMQ從遠(yuǎn)程移動(dòng)設(shè)備接收喚醒消息�����; 認(rèn)證所述喚醒消息�����;確定用于處理所述遠(yuǎn)程移動(dòng)設(shè)備的適當(dāng)引導(dǎo)策略���,其中所述引導(dǎo)策略是基于所述喚醒消息的源而確定的����;經(jīng)由SMS從所述遠(yuǎn)程移動(dòng)設(shè)備請(qǐng)求BIOS 口令�; 解密經(jīng)由SMS從所述遠(yuǎn)程移動(dòng)設(shè)備接收的BIOS 口令; 經(jīng)由SMS從所述遠(yuǎn)程移動(dòng)設(shè)備請(qǐng)求登錄口令����;以及解密經(jīng)由SMS從所述遠(yuǎn)程移動(dòng)設(shè)備接收的登錄口令。
2.如權(quán)利要求1所述的方法�,其特征在于,還包括 執(zhí)行BIOS �����;引導(dǎo)操作系統(tǒng)(OS)���;以及將用戶登錄到OS中�����,其中所述用戶與所述遠(yuǎn)程移動(dòng)設(shè)備相關(guān)聯(lián)����。
3.如權(quán)利要求2所述的方法,其特征在于����,還包括認(rèn)證所接收的BIOS 口令,其中當(dāng)所接收的BIOS 口令的認(rèn)證成功時(shí)��,所述BIOS執(zhí)行���。
4.如權(quán)利要求3所述的方法�����,其特征在于,還包括 當(dāng)所述BIOS 口令的認(rèn)證失敗時(shí)執(zhí)行經(jīng)由SMS從所述遠(yuǎn)程移動(dòng)設(shè)備請(qǐng)求后續(xù)的BIOS 口令��。
5.如權(quán)利要求3所述的方法�����,其特征在于��,所述BIOS口令的認(rèn)證使用公鑰協(xié)議來(lái)執(zhí)行�����。
6.如權(quán)利要求2所述的方法,其特征在于����,還包括認(rèn)證所接收的登錄口令,其中當(dāng)所述登錄口令的認(rèn)證成功時(shí)登錄繼續(xù)�����。
7.如權(quán)利要求6所述的方法���,其特征在于��,還包括 當(dāng)所述登錄口令的認(rèn)證失敗時(shí)執(zhí)行經(jīng)由SMS從所述遠(yuǎn)程移動(dòng)設(shè)備請(qǐng)求后續(xù)的登錄口令�。
8.如權(quán)利要求6所述的方法���,其特征在于����,所述登錄口令的認(rèn)證使用公鑰協(xié)議來(lái)執(zhí)行�����。
9.如權(quán)利要求1所述的方法��,其特征在于,所述BIOS口令包括以下之一 BIOS引導(dǎo)口令���;預(yù)引導(dǎo)BIOS 口令����; 盤(pán)解鎖/解密口令�;以及用戶防盜恢復(fù)口令。
10.一種用于遠(yuǎn)程訪問(wèn)計(jì)算機(jī)的方法�,包括在遠(yuǎn)程移動(dòng)設(shè)備處經(jīng)由短消息服務(wù)(SMQ向所述計(jì)算機(jī)發(fā)送喚醒消息; 經(jīng)由SMS從所述計(jì)算機(jī)接收對(duì)BIOS 口令的請(qǐng)求�����; 經(jīng)由SMS將所述BIOS 口令以加密形式發(fā)送至所述計(jì)算機(jī)��; 經(jīng)由SMS從所述計(jì)算機(jī)接收對(duì)登錄口令的請(qǐng)求���;以及經(jīng)由SMS將所述登錄口令以加密形式發(fā)送至所述計(jì)算機(jī)。
11.如權(quán)利要求10所述的方法����,其特征在于,所述BIOS口令的發(fā)送在所述計(jì)算機(jī)處認(rèn)證�。
12.如權(quán)利要求11所述的方法,其特征在于,還包括參與公鑰協(xié)議以用于所述BIOS 口令的認(rèn)證的目的�。
13.如權(quán)利要求10所述的方法,其特征在于�����,所述登錄口令的發(fā)送在所述計(jì)算機(jī)處認(rèn)證���。
14.如權(quán)利要求13所述的方法����,其特征在于�,還包括 參與公鑰協(xié)議以用于所述登錄口令的認(rèn)證的目的。
15.如權(quán)利要求10所述的方法��,其特征在于���,所述BIOS口令包括以下之一 BIOS引導(dǎo)口令��;預(yù)引導(dǎo)BIOS 口令����; 盤(pán)解鎖/解密口令�����;以及防盜恢復(fù)口令。
16.一種用于允許對(duì)計(jì)算機(jī)的遠(yuǎn)程訪問(wèn)的系統(tǒng)���,包括a.包含在所述計(jì)算機(jī)中的管理引擎(ME)��,所述ME包括 存儲(chǔ)遠(yuǎn)程BIOS引導(dǎo)策略的存儲(chǔ)器�;以及遠(yuǎn)程客戶端認(rèn)證模塊���,其被配置成經(jīng)由短消息服務(wù)(SMQ從遠(yuǎn)程移動(dòng)設(shè)備接收喚醒消息并認(rèn)證所述喚醒消息��;其中所述ME被配置成從所述遠(yuǎn)程移動(dòng)設(shè)備請(qǐng)求一個(gè)或多個(gè)經(jīng)加密的BIOS 口令�����、接收所述一個(gè)或多個(gè)引導(dǎo)口令�����、以及允許操作系統(tǒng)(OS)的引導(dǎo),以及其中所述ME進(jìn)一步被配置成從所述遠(yuǎn)程移動(dòng)設(shè)備請(qǐng)求經(jīng)加密的登錄口令�、接收所述登錄口令、以及允許與所述遠(yuǎn)程移動(dòng)設(shè)備相關(guān)聯(lián)的用戶對(duì)OS的訪問(wèn)����;以及b.基本輸入/輸出系統(tǒng)(BIOS)�����,其被配置成確定所述喚醒消息的源�����,并查詢所述遠(yuǎn)程 BIOS引導(dǎo)策略����,以基于所述源來(lái)確定適用的引導(dǎo)策略���。
17.如權(quán)利要求16所述的系統(tǒng)����,其特征在于��,所述一個(gè)或多個(gè)BIOS口令包括盤(pán)解鎖/ 解密口令���。
18.如權(quán)利要求17所述的系統(tǒng)�,其特征在于,所述ME進(jìn)一步包括 全盤(pán)加密(FDE)認(rèn)證模塊�����,其被配置成認(rèn)證所述盤(pán)解鎖/解密口令��。
19.如權(quán)利要求16所述的系統(tǒng)�,其特征在于,所述一個(gè)或多個(gè)BIOS口令包括防盜恢復(fù)口令����。
20.如權(quán)利要求19所述的系統(tǒng),其特征在于��,所述ME進(jìn)一步包括 防盜遠(yuǎn)程恢復(fù)模塊��,其被配置成認(rèn)證所述防盜恢復(fù)口令���。
21.如權(quán)利要求16所述的系統(tǒng)�,其特征在于�����,所述ME進(jìn)一步包括 登錄模塊���,其被配置成認(rèn)證所述登錄口令�����。
22.一種用于允許對(duì)計(jì)算機(jī)的遠(yuǎn)程訪問(wèn)的系統(tǒng)�����,包括用于在所述計(jì)算機(jī)處經(jīng)由短消息服務(wù)(SMQ從遠(yuǎn)程移動(dòng)設(shè)備接收喚醒消息的裝置�����; 用于認(rèn)證所述喚醒消息的裝置�����;用于基于所述喚醒消息的源來(lái)確定用于所述遠(yuǎn)程移動(dòng)設(shè)備的適當(dāng)引導(dǎo)策略的裝置�; 用于經(jīng)由SMS從所述遠(yuǎn)程移動(dòng)設(shè)備請(qǐng)求BIOS 口令的裝置����; 用于解密經(jīng)由SMS從所述遠(yuǎn)程移動(dòng)設(shè)備接收的BIOS 口令的裝置; 用于經(jīng)由SMS從所述遠(yuǎn)程移動(dòng)設(shè)備請(qǐng)求登錄口令的裝置���;以及用于解密經(jīng)由SMS從所述遠(yuǎn)程移動(dòng)設(shè)備接收的登錄口令的裝置�����。
23.如權(quán)利要求22所述的系統(tǒng)���,其特征在于����,還包括用于認(rèn)證所接收的BIOS 口令的裝置��,其中BIOS僅在所接收的BIOS 口令的認(rèn)證成功時(shí)執(zhí)行�。
24.如權(quán)利要求23所述的系統(tǒng),其特征在于���,還包括用于當(dāng)所述BIOS 口令的認(rèn)證失敗時(shí)執(zhí)行經(jīng)由SMS從所述遠(yuǎn)程移動(dòng)設(shè)備請(qǐng)求后續(xù)BIOS 口令的裝置��。
25.如權(quán)利要求23所述的系統(tǒng)���,其特征在于,所述BIOS口令的認(rèn)證使用公鑰協(xié)議來(lái)執(zhí)行���。
26.如權(quán)利要求22所述的系統(tǒng)�����,其特征在于����,還包括用于認(rèn)證所接收的登錄口令的裝置�,其中所述登錄僅在所述登錄口令的認(rèn)證成功時(shí)繼續(xù)。
27.如權(quán)利要求沈所述的系統(tǒng)�,其特征在于,所接收的登錄口令的認(rèn)證使用公鑰協(xié)議來(lái)執(zhí)行�����。
28.如權(quán)利要求沈所述的系統(tǒng)���,其特征在于�����,還包括用于當(dāng)所述登錄口令的認(rèn)證失敗時(shí)執(zhí)行經(jīng)由SMS從所述遠(yuǎn)程移動(dòng)設(shè)備請(qǐng)求后續(xù)登錄口令的裝置����。
29.如權(quán)利要求22所述的系統(tǒng)����,其特征在于���,所述BIOS口令包括以下之一 BIOS引導(dǎo)口令;預(yù)引導(dǎo)BIOS 口令��; 盤(pán)解鎖/解密口令�;以及用戶防盜恢復(fù)口令。
全文摘要
本發(fā)明公開(kāi)了允許經(jīng)授權(quán)用戶以安全方式遠(yuǎn)程喚醒����、引導(dǎo)以及登錄計(jì)算機(jī)的方法和系統(tǒng)。用戶和計(jì)算機(jī)可利用短消息服務(wù)(SMS)進(jìn)行通信���。用戶可使用諸如智能電話的移動(dòng)設(shè)備與計(jì)算機(jī)進(jìn)行通信����。用戶可最初向計(jì)算機(jī)提供喚醒消息��,然后計(jì)算機(jī)可通過(guò)要求一個(gè)或多個(gè)引導(dǎo)口令來(lái)作出響應(yīng)����。在一實(shí)施例中,這些引導(dǎo)口令可以是計(jì)算機(jī)BIOS的加載和操作所需的基本輸入/輸出系統(tǒng)(BIOS)口令����。然后用戶可將一個(gè)或多個(gè)這些口令提供給計(jì)算機(jī)�。計(jì)算機(jī)可進(jìn)一步要求操作系統(tǒng)(OS)登錄口令����。然后用戶可將該口令提供給計(jì)算機(jī)。在一實(shí)施例中�����,所有口令可能以加密形式被提供給計(jì)算機(jī)�。此外��,可使用認(rèn)證手段來(lái)提供用戶合法的保證��。
文檔編號(hào)H04L29/06GK102215221SQ20111009612
公開(kāi)日2011年10月12日 申請(qǐng)日期2011年4月2日 優(yōu)先權(quán)日2010年4月2日
發(fā)明者F·阿德蘭基, G·帕卡什, S·達(dá)杜 申請(qǐng)人:英特爾公司