亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

安全提供用戶對計算機設(shè)備遠程管理許可的會話密鑰信息的制作方法

文檔序號:7673579閱讀:138來源:國知局
專利名稱:安全提供用戶對計算機設(shè)備遠程管理許可的會話密鑰信息的制作方法
技術(shù)領(lǐng)域
本發(fā)明的實施例總地涉及計算機管理領(lǐng)域,以及更具體地,涉及用于實現(xiàn)遠程管理會話的系統(tǒng)、方法和裝置。
背景技術(shù)
遠程管理技術(shù)允許一會話被建立,由此網(wǎng)絡(luò)管理員或其他管理者能夠在遠程計算機設(shè)備上指導(dǎo)操作。這樣的操作可以包括但不限于,遠程計算機設(shè)備中問題的診斷和/或修理。例如,鍵盤、視頻、鼠標(biāo)(KVM)會話可以被建立,其中查看計算機的顯示和控制它的鍵盤和鼠標(biāo)的能力通過網(wǎng)絡(luò)被重定向到遠程管理員。在計算機設(shè)備上的敏感操作的遠程執(zhí)行通常需要計算機設(shè)備的本地用戶來“選擇性加入”(opt-in)——即,提供對操作的許可。一些國家和組織通過法律要求這樣的用戶許可。網(wǎng)絡(luò)安全風(fēng)險(例如,電子欺騙、鍵盤記錄和其它惡意軟件)日益增加的多樣性和復(fù)雜度為用戶怎樣傳送這些許可造成了日益增加的威脅。此外,在用戶沒有傳統(tǒng)的方法傳送許可的環(huán)境下獲得用戶許可是有問題的。這樣的環(huán)境可以包括,例如,提供與用戶的交互的計算機設(shè)備的操作系統(tǒng)(OS)的不可操作性。例如,計算機可能具有故障的(例如,處于“藍屏”狀態(tài)的)0S,或計算機可能保持在某些預(yù)(或后)0S狀態(tài)——例如,BIOS初始化狀態(tài)、 重新引導(dǎo)狀態(tài)等等。


在附圖中通過示例的方式而非限制的方式來說明本發(fā)明的各種實施例,在附圖中圖1是說明依據(jù)一實施例用于傳送用戶許可信息的系統(tǒng)的選擇性部件的框圖。圖2是說明依據(jù)一實施例用于提供子畫面圖形信息的管理引擎的選擇性部件的框圖。圖3是說明依據(jù)一實施例用于顯示用戶許可信息的計算機設(shè)備的選擇性部件的框圖。圖4是說明依據(jù)一實施例用于顯示用戶許可信息的計算機設(shè)備的選擇性部件的框圖。圖5是說明依據(jù)一實施例用于提供會話密鑰信息的算法的選擇性要素的流程圖。圖6是說明依據(jù)一實施例用于在安全子畫面中呈現(xiàn)用戶許可信息的顯示的選擇性要素的框圖。
具體實施例方式本文所描述的實施例提供各種技術(shù)來安全地且不依賴于計算機的OS(和/或 BIOS)獲得用于遠程管理操作的用戶許可。這樣的遠程管理操作例如開啟一遠程管理(例如,通過IP進行KVM重定向)會話,其中管理員可以通過查看用戶的顯示器并控制他的鍵盤和鼠標(biāo)來診斷和修理問題。對于用戶許可的需要可關(guān)聯(lián)于遠程管理操作,諸如電源操作、 IDE重定向、文本重定向等等。為了提供與獲得用于遠程管理操作的用戶許可相關(guān)聯(lián)的信息——在本文中稱為“用戶許可信息”——實施例利用管理引擎(ME)實現(xiàn)安全輸出能力。 這樣的ME可以依據(jù)加利福尼亞圣克拉拉的Intel 公司的vPro 技術(shù)。例如,這樣的ME可以實現(xiàn)Intel 主動管理技術(shù)(AMT)的一些或全部特性。一旦遠程管理員在用戶的計算機上嘗試敏感操作,計算機的ME可產(chǎn)生會話隨機密鑰并安全地將其——或基于其的信息——顯示給使用安全輸出子畫面覆蓋的用戶。圖形子畫面可以由ME控制——例如利用到計算機的圖形適配器專用硬件連接。因此,圖形子畫面總是可用的而與OS狀態(tài)無關(guān),并且在OS上執(zhí)行的軟件無法捕捉它。如果用戶許可遠程管理,則可以在子畫面消息中指示用戶將會話密鑰信息提供給管理員。會話密鑰信息的該傳送可用用戶和管理器之間的電話交談、電子郵件、即時消息或其它交換來實現(xiàn)。管理員可以隨后在他的控制臺中鍵入該會話密鑰,控制臺將會話密鑰發(fā)送給ME。ME可將已從管理員接收的密鑰與已產(chǎn)生的隨機會話密鑰進行比較。如果二者匹配,則遠程管理會話可以啟動。圖1說明了依據(jù)一實施例提供用于建立遠程管理會話的信息的系統(tǒng)100的選擇性部件。系統(tǒng)100可包括與遠程管理系統(tǒng)150通信的計算機設(shè)備110——例如經(jīng)由網(wǎng)絡(luò)160。 網(wǎng)絡(luò)160可包括一個或多個公共和/或?qū)S镁W(wǎng)絡(luò)、有線和/或無線網(wǎng)絡(luò)的各種組合中的任意一種。例如,網(wǎng)絡(luò)160可包括局域網(wǎng)(LAN)、虛擬專用網(wǎng)絡(luò)(VPN)、城域網(wǎng)(MAN)、廣域網(wǎng) (WAN)、因特網(wǎng)等中的一個或多個。遠程管理系統(tǒng)150可包括在遠程管理會話期間能夠作為要管理的另一設(shè)備的管理器而參與的一個或多個計算設(shè)備——例如包括但不限于臺式計算機、膝上型計算機、工作站、服務(wù)器和/或其它類似的設(shè)備。關(guān)于遠程管理系統(tǒng)150,術(shù)語“遠程”被理解為指的是相對于有問題的被管理設(shè)備(例如,在聯(lián)網(wǎng)和/或地理位置上)是遠離的——例如,計算機設(shè)備110。在一實施例中,遠程管理系統(tǒng)150可在遠程管理會話期間獲得例如已屈從于其的另一設(shè)備的操作的一些或全部控制。例如,遠程管理會話可允許遠程管理系統(tǒng)150遠程提供對被管理設(shè)備——例如,計算機設(shè)備110——的一個或多個系統(tǒng)的發(fā)現(xiàn)、修復(fù)和/或保護。作為說明而非限制,遠程管理系統(tǒng)150可遠程指導(dǎo)在計算機設(shè)備110處的診斷和/或恢復(fù)操作——例如,操作包括但不限于,安裝、加載和/或重新啟動代理、診斷程序、驅(qū)動程序、甚至操作系統(tǒng)中的一個或多個。附加或可替換地,遠程管理系統(tǒng)150可遠程指導(dǎo)對臨界代理功能性的保護,以免受操作系統(tǒng)(OS)故障、功率損耗,和/或有意或無意的用戶移除的影響。應(yīng)該理解,除非本文另外指示,否則在遠程管理會話期間可被執(zhí)行的各種管理操作不是對這里所討論的、用于提供在傳送/驗證用戶許可中所使用的會話密鑰信息的技術(shù)的限制。計算機設(shè)備110可包括能夠在遠程管理會話期間屈從于另一設(shè)備對其本地操作的一些或全部的控制的各種設(shè)備中的任何一種——例如,臺式計算機、膝上型計算機、工作站、手持式設(shè)備或其它類似的設(shè)備。在不同實施例中,計算機設(shè)備110可包括用于提供遠程管理信息的軟件和/或硬件模塊的各種組合中的任意一種。例如,計算機設(shè)備110可包括用于創(chuàng)建、設(shè)定和/或配置提供遠程管理信息的一個或多個管理應(yīng)用接口的軟件和/或硬件模塊。作為說明而非限制,計算機設(shè)備110可以使用AMT來支持遠程管理通信。
如這里進一步描述的,有助于實現(xiàn)遠程管理會話的計算機設(shè)備110的硬件和/或軟件可至少部分隔離于或以其他方式免于計算機設(shè)備110的一個或多個其它資源的操作。 例如,計算機設(shè)備110的管理引擎(未示出)可包括和/或與計算機設(shè)備110的處理、通信和/或存儲模塊交互,這些處理、通信和/或存儲模塊免于計算機設(shè)備110的其它處理、通信和/或存儲模塊的操作。在一實施例中,指示需要發(fā)起遠程管理會話的信息可在計算機設(shè)備110被檢測。 這樣的需要可以例如通過由來自計算機設(shè)備110的本地用戶140的輸入提交的請求來指示。可替換地或附加地,請求可以通過來自操作遠程管理系統(tǒng)150的管理員180的輸入來提交。例如,遠程管理系統(tǒng)150可——例如,經(jīng)由網(wǎng)絡(luò)160在帶外通信中——向計算機設(shè)備 110發(fā)送對于遠程管理會話的顯式請求。在各種實施例中,系統(tǒng)100中的事件可自動觸發(fā)來自計算機設(shè)備110和遠程管理系統(tǒng)150之一(或兩者)的遠程管理會話請求的產(chǎn)生。例如,,操作狀態(tài)的傳送、檢測,網(wǎng)絡(luò)安全風(fēng)險的報警等等可導(dǎo)致信息被提供給計算機設(shè)備100或由計算機設(shè)備100產(chǎn)生信息, 所述信息指示要建立遠程管理會話。作為說明而非限制,計算機設(shè)備100的管理引擎可接收或產(chǎn)生這樣的信息而不需要用戶140(或不需要管理員180)預(yù)先請求這樣的遠程管理會話。部分由于遠程管理會話期間至少一些操作控制的屈從和/或日益增加的各種網(wǎng)絡(luò)安全風(fēng)險(例如,電子欺騙攻擊),安全地傳達用戶許可參加到遠程管理會話中是有益的。更特別地,當(dāng)用戶依賴于要被遠程管理的計算機設(shè)備來進行許可這些遠程管理的一些方面時,減輕該計算機設(shè)備處于被損害狀態(tài)的風(fēng)險是有益的。例如,當(dāng)原本用于提供傳送這種許可的手段的OS不工作時一例如,在OS掛起的情況下、藍屏情況、BIOS或引導(dǎo)階段等等——傳送用戶許可是有益的。在各種實施例中,計算機設(shè)備110可提供被用于指示用戶140許可遠程管理會話的信息。例如,響應(yīng)于檢測到要建立遠程管理會話,會話密鑰可被產(chǎn)生或者以其他方式可被訪問,以提供用于驗證用戶的許可傳送的方式。基于會話密鑰的信息可被提供給用戶 140——例如,在顯示120中。顯示120可以包括在各種視頻設(shè)備的任意一個——例如,監(jiān)視器、計算機屏幕、電視或其它類似設(shè)備——中提供的圖形用戶界面。例如,顯示120可以被呈現(xiàn)在顯示屏中,所述顯示屏可被集成到計算機設(shè)備110中或在由計算機設(shè)備110控制的獨立顯示設(shè)備中。遠程管理信息——諸如基于會話密鑰的第一會話密鑰信息——可在顯示120中的安全子畫面130中被呈現(xiàn)。顯示120以及其中的安全子畫面130可以至少部分基于由計算機設(shè)備110提供的圖形信息。在一實施例中,用于產(chǎn)生顯示120的不同部分的圖形信息可來自計算機設(shè)備110中不同的相應(yīng)資源。例如,計算機設(shè)備110的第一資源可提供特定于安全子畫面130的要素的第一圖形信息,而計算機設(shè)備110的一個或多個其它資源可提供用于顯示120的不同于安全子畫面130的要素的第二圖形信息。作為說明而非限制,計算機設(shè)備110的管理引擎可包括第一資源,而一個或多個其它資源——例如,OS及在其上運行的應(yīng)用程序、控制器、存儲區(qū)域、總線等等中的一個或多個——可在管理引擎的外部。計算機設(shè)備110的各種資源與管理引擎的隔離可以保護在安全子畫面130中顯示的信息的完整性。
用戶140可以利用在安全子畫面130中顯示的信息來傳送對建立遠程管理會話的許可。例如,安全子畫面130可向用戶140呈現(xiàn)第一會話密鑰信息,該第一會話密鑰信息基于計算機設(shè)備110中提供的會話密鑰。從用戶140發(fā)送的許可消息170可包括第二會話密鑰信息,該第二會話密鑰信息基于安全子畫面130顯示的第一會話密鑰信息。許可消息170可被提供給管理員180——例如,通過電話、電子郵件、即時消息、IP 話音(VOIP)或各種通信手段中的任意其他通信手段。在一實施例中,許可消息170可沿獨立于計算機設(shè)備110、網(wǎng)絡(luò)160以及遠程管理系統(tǒng)150的一個或多個的路徑被交換。在一替換實施例中,許可消息170可被提供給獨立于管理員180的遠程管理系統(tǒng)150。在另一實施例中,許可消息170可被提供給一些其它代理(未示出),這些代理用于代表遠程管理系統(tǒng) 150和/或管理員180驗證用戶140對建立遠程管理會話的許可。許可消息170中的第二會話密鑰信息可被用于驗證要建立的遠程管理會話是否已經(jīng)由用戶140適當(dāng)?shù)卦S可。例如,響應(yīng)于許可消息170,管理員180可輸入基于第二會話密鑰信息的數(shù)據(jù)到遠程管理系統(tǒng)150。遠程管理系統(tǒng)150可使用該數(shù)據(jù)參與到與計算機設(shè)備110的一個或多個交互中以建立遠程管理會話。這樣的交互可以包括計算機設(shè)備110接收基于許可消息170的第二密鑰信息的第三會話密鑰信息。計算機設(shè)備110可訪問安全子畫面130的第一密鑰信息所基于的原始會話密鑰。計算機設(shè)備110可基于原始會話密鑰來評估所接收的第三會話密鑰信息,以驗證遠程管理系統(tǒng)150是否試圖建立被適當(dāng)許可的遠程管理會話。圖2說明了依據(jù)一實施例用于提供會話密鑰信息的管理引擎200的選擇性部件。 管理引擎200例如可實現(xiàn)本文針對計算機設(shè)備100的管理引擎所描述的一些或全部特征。在一實施例中,管理引擎200可包括會話控制器210、會話密鑰產(chǎn)生器220、安全存儲器230、認證邏輯240和子畫面邏輯250中的一個或多個。管理引擎200的各個部件的每一個可由一個或多個硬件和/或軟件模塊獨立或組合地實現(xiàn)。例如,可在管理引擎200 中使用各種類型的電路來執(zhí)行功能,所述電路包括但不限于,處理器、控制器、狀態(tài)機、現(xiàn)場可編程門陣列(FPGA)、可編程只讀存儲器(PR0M)、專用集成電路(ASIC)等中的一個或多個??商鎿Q地或附加地,管理引擎200的各種功能可使用由這些電路執(zhí)行的軟件指令來執(zhí)行。在一實施例中,管理引擎200的一些或全部部件可位于計算機設(shè)備的專用芯片組上,其中該芯片組免于計算機設(shè)備的一個或多個其它集成電路——例如,處理器、控制器、存儲器等等中的一個或多個——的某些操作。管理引擎200可提供被用于驗證用戶對遠程管理會話的許可的信息。例如,會話控制器邏輯210可傳送信息以控制是否要與或如何與遠程管理系統(tǒng)建立遠程管理會話。在一實施例中,會話控制器邏輯210可響應(yīng)于檢測到指示需要建立遠程管理會話的條件來傳送這樣的信息。例如,會話控制器邏輯210可檢測對于遠程管理會話的顯式請求——例如來自被管理的計算機設(shè)備的用戶或提供遠程管理的系統(tǒng)的操作員??商鎿Q地或附加地,會話控制器邏輯210可檢測作為需要遠程管理會話的指示的一些其它通信交換,或網(wǎng)絡(luò)安全風(fēng)險或計算機平臺的操作狀態(tài)。在遠程管理會話被指示的情況下,會話控制器邏輯210可發(fā)送對于會話密鑰的請求——例如到會話密鑰產(chǎn)生器邏輯220。會話密鑰產(chǎn)生器邏輯220可產(chǎn)生或以其他方式訪問會話密鑰235,會話密鑰235用于傳送用戶對被指示的遠程管理會話的許可。例如,會話密鑰產(chǎn)生器邏輯220可隨機產(chǎn)生或以其他方式計算會話密鑰235的值。會話密鑰235或用于確定產(chǎn)生的會話密鑰235的信息,可由會話密鑰產(chǎn)生器邏輯 220存儲——在例如安全存儲器230中。在一實施例中,安全存儲器230對于管理引擎200 操作于其中的計算機平臺的一個或多個資源——例如通用0S(未示出)——是不可訪問的。應(yīng)該理解,在各種實施例中,安全存儲器230可在管理引擎200的外部——例如,在計算機存儲器的對于計算機設(shè)備的通用OS是不可訪問的分區(qū)中。會話密鑰235或基于該會話密鑰的信息,可被直接或間接提供給子畫面邏輯 250——例如,經(jīng)由會話控制器邏輯210。子畫面邏輯250可由此產(chǎn)生用于顯示安全子畫面的子畫面圖形信息260。例如,子畫面邏輯250可為顯示引擎(未示出)輸出子畫面圖形信息沈0,以顯示包括基于產(chǎn)生的會話密鑰的第一會話密鑰信息的安全子畫面。提供子畫面圖形信息260之后,管理引擎200可——例如在帶外通信中——從請求計算機設(shè)備——例如包括ME 200的計算機——的控制的遠程管理系統(tǒng)接收會話密鑰信息。會話控制器邏輯210可指導(dǎo)認證器邏輯240確定會話密鑰235,以評估從遠程管理系統(tǒng)接收的會話密鑰信息。在會話密鑰235和接收的會話密鑰信息的比較指示用戶的適當(dāng)許可的情況下,會話控制器邏輯210可建立遠程管理會話。圖3示出說明了依據(jù)一實施例的計算機設(shè)備300的選擇性部件的框圖。例如,計算機設(shè)備300可包括計算機設(shè)備100的一些或全部特征。在一實施例中,計算機設(shè)備300可具有包括專用硬件的管理引擎芯片組310,用于實現(xiàn)管理引擎一些或全部特征——例如,管理引擎200的一個或多個特征。管理引擎芯片組310可包括一個或多個集成電路(IC)芯片,這些IC芯片是獨立于計算機設(shè)備300的一些其它IC芯片的——例如,至少不能被這些其它IC芯片直接訪問。作為說明而非限制,計算機設(shè)備300可包括用管理引擎芯片組310外部的處理單元(未示出)執(zhí)行的第一操作系統(tǒng)320。該處理單元在訪問管理引擎芯片組310方面受限制或不具有此方面的能力。例如,執(zhí)行第一操作系統(tǒng)320的處理單元可能不能發(fā)起對管理引擎芯片組310的訪問和/或直接訪問管理引擎芯片組310,但是管理引擎芯片組310可以具有發(fā)起與執(zhí)行第一操作系統(tǒng)320的處理單元的通信、監(jiān)控和/或控制該處理單元的能力。在一實施例中,管理引擎芯片組310可包括會話控制器312、密鑰產(chǎn)生器314、認證器316以及子畫面產(chǎn)生器318——例如,分別提供會話控制器邏輯210、會話密鑰產(chǎn)生器邏輯220、認證器邏輯MO以及子畫面邏輯250的功能性。會話控制器312可確定一些通信、 計算機設(shè)備300的操作狀態(tài)、網(wǎng)絡(luò)安全風(fēng)險等指示需要遠程管理會話。至少部分基于指示的對遠程管理會話的需要,會話控制器312可向密鑰產(chǎn)生器314發(fā)信號以訪問、確定或以其他方式產(chǎn)生會話密鑰334,所述會話密鑰334可被用于驗證用戶對所指示的遠程管理會話的許可。會話密鑰334或基于其的信息可被存儲在例如被保護的存儲器332中。被保護的存儲器332可獨立于計算機設(shè)備300的第一操作系統(tǒng)320可訪問的其它存儲器330。會話密鑰334或基于其的信息也可被直接或間接提供給子畫面產(chǎn)生器318—一例如,經(jīng)由會話控制器312。提供給子畫面產(chǎn)生器318的信息可被用于產(chǎn)生子畫面圖形信息——即,可用于確定子畫面的顯示的信息。來自子畫面產(chǎn)生器318的子畫面圖形信息可被提供給計算機設(shè)備300的顯示引擎340。在一實施例中,顯示引擎340可位于諸如管理引擎芯片組310的管理引擎中?;谒邮盏淖赢嬅鎴D形信息,顯示引擎340可確定安全子畫面355在顯示350中的顯示。作為說明而非限制,顯示引擎340可接收從計算機設(shè)備300的其它資源輸出的圖形一一例如,從第一操作系統(tǒng)320——所述圖像用于確定在顯示350中不同于安全子畫面355的用戶界面要素的顯示。在一實施例中,由子畫面產(chǎn)生器318提供給顯示引擎340的子畫面圖形信息對于第一操作系統(tǒng)320和/或其上執(zhí)行的任意軟件是不可訪問的。在一實施例中,只有來自子畫面產(chǎn)生器318的子畫面信息被提供在顯示350中。顯示引擎340可處理從第一操作系統(tǒng)320輸出的圖形和來自子畫面產(chǎn)生器318的子畫面圖形信息,以確定如何相對于第一操作系統(tǒng)320想要顯示的用戶界面要素來顯示安全子畫面355。在一實施例中,處理子畫面圖形信息可包括確定安全子畫面355如何覆蓋顯示350中的其它用戶界面要素。可替換地或附加地,處理子畫面圖形信息可包括確定如何表示在安全子畫面顯示期間顯示350中不同于安全子畫面355的用戶界面要素被鎖定—— 例如,禁止用戶交互。管理引擎芯片組310可確定計算機設(shè)備300的遠程管理系統(tǒng)在試圖建立遠程管理會話以管理計算機設(shè)備300。例如,會話控制器312可確定來自遠程管理系統(tǒng)的消息——例如,經(jīng)由計算機設(shè)備300的網(wǎng)絡(luò)接口 360交換的——包括被提供來指示用戶對遠程管理會話的許可的會話密鑰信息。在一實施例中,在管理引擎芯片組310和遠程管理系統(tǒng)之間的這種信息交換可經(jīng)由進行對第一操作系統(tǒng)320是不可訪問的帶外通信來執(zhí)行。響應(yīng)于來自遠程管理系統(tǒng)的通信,認證器316可訪問被保護的存儲器332以讀取、 計算或以其他方式確定會話密鑰334。從遠程管理系統(tǒng)接收的消息中的會話密鑰信息可基于該會話密鑰被評估,以確定其是否指示基于安全子畫面355的用戶許可。圖4說明了依據(jù)一實施例的計算機設(shè)備400的選擇性部件。在一實施例中,例如, 計算機設(shè)備400可包括計算機設(shè)備100的一些或全部特征。計算機設(shè)備400可包括具有一個或多個進程的軟件410,以例如在這些進程具有一些隔離以使它們免于計算機設(shè)備400 的其它硬件或軟件的操作的情況下,幫助實現(xiàn)遠程管理會話。盡管本文在虛擬化方面進行討論,但是應(yīng)當(dāng)理解,這些進程的隔離可以例如通過分離的進程核心、進程線程等來實現(xiàn)。存在各種機制用于在平臺上實現(xiàn)虛擬化。虛擬化技術(shù)(VT)可在例如可從英特爾公司獲得的平臺上以各種方式被實現(xiàn)。VT實現(xiàn)了基于硬件的操作系統(tǒng)虛擬化。計算機設(shè)備 400可被實現(xiàn)為軟件410的架構(gòu)被分成兩個或更多運行在虛擬機監(jiān)控器(VMM) 440之上的虛擬化操作系統(tǒng)——例如,管理操作系統(tǒng)(MOS) 420和能力操作系統(tǒng)(COS) 430。COS 430可實現(xiàn)用戶環(huán)境,且MOS 420可提供管理服務(wù),例如包括,控制遠程管理會話的參與。例如,遠程管理會話可包括MOS 420和/或VMM 440例如在遠程管理系統(tǒng)的指導(dǎo)之下實現(xiàn)針對計算機設(shè)備400的各種診斷、恢復(fù)或其它管理操作。在一實施例中,管理OS 420可提供管理引擎200的一些或全部特征。例如,管理 OS 420可執(zhí)行管理會話控制進程422、會話密鑰產(chǎn)生進程424、許可認證進程426以及子畫面引擎428中的一個或多個——以例如分別提供會話控制器邏輯210、會話密鑰產(chǎn)生器邏輯220、認證器邏輯MO以及子畫面邏輯250的功能性。會話控制進程422可識別對遠程管理會話的需要,在遠程管理會話中,計算機設(shè)備400的一個或多個操作由遠程管理系統(tǒng)來管理。響應(yīng)于識別到對遠程管理會話的需要,會話密鑰產(chǎn)生進程4M可向子畫面引擎4 提供表示會話密鑰的信息,所述會話密鑰被用于驗證計算機設(shè)備400的用戶對遠程管理會話的許可。產(chǎn)生的會話密鑰或用于確定會話密鑰的數(shù)據(jù)可以被存儲在被保護的存儲器452中——例如,計算機存儲器450的COS 430對其不具有訪問特權(quán)的組件或分區(qū)。以由會話密鑰產(chǎn)生進程似4提供的信息,子畫面引擎4 可確定安全子畫面475 的子畫面圖形信息,當(dāng)被包括在顯示470中時,安全子畫面475可以向觀察者呈現(xiàn)用于許可遠程管理會話的會話密鑰信息。在一實施例中,來自子畫面引擎428的子畫面圖形信息可以被提供給計算機設(shè)備 400的圖形硬件460。圖形硬件460也可接收其它圖形信息——例如,來自COS 430的圖形驅(qū)動程序432——所述其它圖形信息對應(yīng)于顯示470的不同于安全子畫面475的特征。在一實施例中,圖形硬件460可單獨顯示安全子畫面475,而不需要也顯示來自COS 430的任何信息。從子畫面引擎4 提供給圖形硬件460的子畫面圖形信息對于COS 430是不可訪問的。以來自子畫面引擎4 的圖形信息,圖形硬件460可確定安全子畫面475是否和/ 或如何例如相對于顯示470的任意其它要素而被顯示。在一替換實施例中,來自圖形驅(qū)動程序432的圖形信息可以被提供給子畫面引擎428,子畫面引擎4 在將最終的圖形信息提供給圖形硬件460之前解決安全子畫面475相對于顯示470的其它要素的顯示。在顯示安全子畫面475之后的某個時間,許可認證進程似6可評估與建立遠程管理會話的請求相關(guān)聯(lián)的信息。例如,許可認證進程似6可接收從遠程管理系統(tǒng)(未示出)發(fā)送到計算機設(shè)備400的會話密鑰信息。許可認證進程似6可訪問被保護的存儲器452以確定由會話密鑰產(chǎn)生器進程似4產(chǎn)生的會話密鑰。許可認證進程似6可基于該會話密鑰評估所接收的會話密鑰信息,以確定對遠程管理會話的許可是否已適當(dāng)?shù)鼗谠摃捗荑€。在確定了適當(dāng)?shù)脑S可的情況下,管理會話控制器進程420可建立所請求的遠程管理會話。圖5說明了依據(jù)一實施例提供用于許可遠程管理會話的會話密鑰信息的算法500 的選擇性要素。算法500可由例如計算機設(shè)備110執(zhí)行。算法500可包括在510檢測對遠程管理會話的需要。這樣的檢測可由例如會話控制器邏輯210執(zhí)行。響應(yīng)于該檢測,在 520,管理引擎可確定被用于驗證對遠程管理會話的許可的會話密鑰。管理引擎可為該管理引擎所處的計算機設(shè)備的遠程管理作準(zhǔn)備。在一實施例中,管理引擎隔離于計算機設(shè)備的提供用戶環(huán)境的某些資源(諸如處理器、操作系統(tǒng)和/或虛擬機)的訪問。在530,基于會話密鑰,可以提供在安全子畫面中顯示的會話密鑰信息。會話密鑰信息和/或安全子畫面對于與管理引擎相隔離的一個或多個資源可以是不可訪問的。圖6說明了依據(jù)一實施例用于提供遠程管理信息的顯示600的選擇性要素。例如,顯示600可包括顯示120中提供的一些或全部信息。顯示600可包括含有會話密鑰信息(例如,用戶許可代碼615)的安全子畫面610,所述會話密鑰信息用于驗證用戶對遠程管理會話的許可。至少就安全子畫面610中的一些或全部信息的完整性獨立于計算機設(shè)備的某些設(shè)備是否處于被損害狀態(tài)或另外的非操作狀態(tài)而言,安全子畫面610可理解為“安全的”,其中這些資源提供用于對顯示600的其它特征進行顯示的信息。在一實施例中,顯示600可包括提示用戶提供作為該許可的指示的該會話密鑰信息的信息。例如,安全子畫面610可指示用戶提供用戶許可代碼615給遠程管理系統(tǒng)以用于建立遠程管理會話。在一實施例中,顯示600可具有一個或多個不同于安全子畫面610的用戶界面要素——包括但不限于,用于與計算機設(shè)備的操作系統(tǒng)的功能交互的操作系統(tǒng)圖形620和用于與在計算機設(shè)備上執(zhí)行的應(yīng)用程序的功能交互的應(yīng)用圖形630。與一些或全部的操作系統(tǒng)圖形620和/或應(yīng)用圖形630的用戶交互可在安全子畫面610顯示期間被選擇性使能/ 禁用。顯示600中示出的特定操作系統(tǒng)圖形620和應(yīng)用圖形630僅僅是說明性的,且不是對各種實施例的限制。在另一個實施例中,顯示600可僅包括安全子畫面615——即不需要也包括任意其它圖形要素。在一實施例中,安全子畫面610可以在沒有其它能力OS圖形信息被提供給顯示600時被呈現(xiàn)。例如,這可能在控制顯示600的計算機系統(tǒng)處于預(yù)OS階段 (例如,在BIOS屏幕中,或在引導(dǎo)階段期間)或處于后OS階段(例如,OS “藍屏”而不能操作)時發(fā)生。本文描述了用于傳送用戶許可信息的技術(shù)和架構(gòu)。在上述描述中,出于解釋的目的給出了許多具體細節(jié),以提供對本發(fā)明的透徹理解。然而,對于本領(lǐng)域技術(shù)人員將顯而易見的是,可以在沒有這些具體細節(jié)的情況下實踐本發(fā)明。在其他實例中,以框圖形式示出結(jié)構(gòu)和設(shè)備,以免模糊所述描述。本說明書中引用“ 一個實施例,,或“實施例,,指結(jié)合該實施例所描述的特定特征、 結(jié)構(gòu)或特性包括在本發(fā)明的至少一個實施例中。本說明書中各處出現(xiàn)的短語“在一個實施例中”并不必然全都指相同實施例。本文詳細描述的某些部分是根據(jù)對計算機存儲器內(nèi)數(shù)據(jù)位的操作的算法和符號表示而給出的。這些算法的描述和表示是計算領(lǐng)域技術(shù)人員用來將他們工作的實質(zhì)最有效地傳達給本領(lǐng)域其他技術(shù)人員的手段。算法在這里,并且普遍地,被認為是導(dǎo)致所期望結(jié)果的自我一致的(self-consistent)步驟序列。這些步驟是需要物理量的物理處理的那些步驟。雖然不是必須的,但是這些量通常采取能夠被存儲、傳送、組合、比較和以其他方式操作的電信號或者磁信號的形式。主要出于通用的原因,將這些信號稱為位、值、元素、符號、字符、項、數(shù)等已被證明往往是方便的。然而,應(yīng)該銘記,所有這些和類似的術(shù)語都是與適當(dāng)?shù)奈锢砹肯嚓P(guān)聯(lián)的,并且僅僅是應(yīng)用于這些量的簡便標(biāo)記。若非具體聲明另有所指,否則如從本文討論中顯而易見的是, 應(yīng)當(dāng)意識到,在本說明書、討論中通篇對諸如“處理”、“計算”、“運算”、“確定”或“顯示”等等術(shù)語的使用是指計算系統(tǒng)或類似的電子計算設(shè)備的動作和/或過程,其將計算系統(tǒng)的寄存器和存儲器中被表示為物理量(例如,電子)的數(shù)據(jù)操作和/或變換為計算系統(tǒng)的存儲器、寄存器或其它此類信息存儲、傳輸或顯示設(shè)備中被類似地表示為物理量的其它數(shù)據(jù)。本發(fā)明也涉及用于執(zhí)行本文中的操作的裝置。該裝置可被專門構(gòu)造來用于要求的目的,或其可包括由存儲在計算機中的計算機程序選擇性激活或重配置的通用計算機。這樣的計算機程序可被存儲在計算機可讀存儲介質(zhì)中,所述計算機可讀存儲介質(zhì)諸如但不限于任意類型的盤,包括軟盤、光學(xué)盤、CD-ROM、和磁光盤;只讀存儲器(ROM)、隨機存取存儲器(RAM)(諸如動態(tài)RAM(DRAM))、EPROM、EEPR0M、磁卡或光卡,或任何類型的適于存儲電子指令并且均耦合到計算機系統(tǒng)總線的介質(zhì)。本文給出的算法和顯示并不固有地涉及任何特定的計算機或者其他裝置。各種通用系統(tǒng)可以根據(jù)本文的教導(dǎo)與程序一起使用,或者,可以證明構(gòu)造更專業(yè)化的裝置來執(zhí)行所需要的方法步驟是方便的。用于各種這些系統(tǒng)的所需結(jié)構(gòu)將出現(xiàn)在本文的描述中。另外, 本發(fā)明沒有參照任何特定編程語言來描述。將意識到,各種編程語言可以被用來實現(xiàn)在此描述的本發(fā)明的教導(dǎo)。 除本文所描述的內(nèi)容之外,可以對所公開的本發(fā)明的實施例和實現(xiàn)進行各種修改,而不偏離本發(fā)明的范圍。因此,應(yīng)該在說明性而非限制性的意義上理解本文的說明和示例。本發(fā)明的范圍應(yīng)當(dāng)僅參照所附權(quán)利要求來度量。
權(quán)利要求
1.一種方法包括檢測對遠程管理會話的需要;響應(yīng)于所述檢測,管理引擎確定被用于驗證對所述遠程管理會話的建立的許可的會話密鑰;以及基于確定所述會話密鑰,提供用于在顯示的安全子畫面中表示的第一會話密鑰信息。
2.如權(quán)利要求1所述的方法,還包括從遠程管理系統(tǒng)接收第二會話密鑰信息;以及將所接收的第二會話密鑰信息與所述會話密鑰進行比較,以驗證對所述遠程管理會話的建立的所述許可。
3.如權(quán)利要求1所述的方法,其中所述遠程管理會話用于管理包括第一操作系統(tǒng)的計算機設(shè)備,所述方法還包括所述管理引擎將基于所述會話密鑰的信息存儲在被保護的存儲器中,所述被保護的存儲器是所述第一操作系統(tǒng)不可直接訪問的。
4.如權(quán)利要求1所述的方法,其中所述遠程管理會話用于管理包括第一操作系統(tǒng)和與所述第一操作系統(tǒng)相隔離的虛擬機的計算機設(shè)備,所述虛擬機包括所述管理引擎。
5.如權(quán)利要求1所述的方法,其中所述管理引擎位于專用芯片組上。
6.如權(quán)利要求1所述的方法,還包括在所述顯示的所述安全子畫面中表示所述第一會話密鑰信息。
7.如權(quán)利要求6所述的方法,其中計算機設(shè)備的一個或多個其它資源提供所述顯示的不同于所述安全子畫面的要素的圖形信息,并且其中所述計算機設(shè)備的所述一個或多個其它資源在所述管理引擎的外部。
8.一種用于提供用戶許可信息的裝置,所述裝置包括管理引擎,其包括會話控制器,用于檢測對遠程管理會話的需要;會話密鑰產(chǎn)生器,其耦合到所述會話控制器,用于響應(yīng)于檢測到對所述遠程管理會話的需要,而確定被用于驗證對所述遠程管理會話的建立的許可的會話密鑰;以及子畫面引擎,其耦合到所述會話密鑰產(chǎn)生器,用于基于所確定的會話密鑰來提供第一會話密鑰信息,所述第一會話密鑰信息表示在顯示的安全子畫面中。
9.如權(quán)利要求8所述的裝置,其中所述會話控制器還用于從遠程管理系統(tǒng)接收第二會話密鑰信息,所述裝置還包括認證器,用于將所接收的第二會話密鑰信息與所述會話密鑰進行比較,以驗證對所述遠程管理會話的建立的所述許可。
10.如權(quán)利要求8所述的裝置,還包括被保護的存儲器,其中所述顯示用于顯示由第一操作系統(tǒng)提供的圖形信息,所述會話密鑰產(chǎn)生器還用于在所述被保護的存儲器中存儲基于所述會話密鑰的信息,其中所述被保護的存儲器隔離于所述第一操作系統(tǒng)的訪問。
11.如權(quán)利要求8所述的裝置,其中所述管理引擎位于專用芯片組上。
12.如權(quán)利要求8所述的裝置,其中所述遠程管理會話用于管理計算機設(shè)備,并且其中所述計算機設(shè)備的用戶指示對所述遠程管理會話的許可不需要所述用戶向所述計算機設(shè)備提供輸入。
13.如權(quán)利要求8所述的裝置,其中計算機設(shè)備的一個或多個其它資源提供所述顯示的不同于所述安全子畫面的要素的圖形信息,并且其中所述計算機設(shè)備的所述一個或多個其它資源在所述管理引擎的外部。
14.一種計算機可讀存儲介質(zhì),具有存儲于其上的內(nèi)容,當(dāng)由一個或多個處理單元執(zhí)行時,所述內(nèi)容使得所述一個或多個處理單元執(zhí)行包括以下操作的方法檢測對遠程管理會話的需要;響應(yīng)于所述檢測,管理引擎確定被用于驗證對所述遠程管理會話的建立的許可的會話密鑰;以及基于確定所述會話密鑰,提供用于在顯示的安全子畫面中表示的第一會話密鑰信息。
15.如權(quán)利要求14所述的計算機可讀存儲介質(zhì),所述方法還包括 從遠程管理系統(tǒng)接收第二會話密鑰信息;以及將所接收的第二會話密鑰信息與所述會話密鑰進行比較,以驗證對所述遠程管理會話的建立的所述許可。
16.如權(quán)利要求14所述的計算機可讀存儲介質(zhì),所述方法還包括 所述管理引擎將基于所述會話密鑰的信息存儲在被保護的存儲器中。
17.如權(quán)利要求16所述的計算機可讀存儲介質(zhì),其中所述遠程管理會話用于管理包括第一操作系統(tǒng)的計算機設(shè)備,并且其中所述被保護的存儲器是所述第一操作系統(tǒng)不可直接訪問的。
18.如權(quán)利要求14所述的計算機可讀存儲介質(zhì),其中所述管理引擎位于專用芯片組上。
19.如權(quán)利要求14所述的計算機可讀存儲介質(zhì),所述方法還包括 在所述顯示的所述安全子畫面中表示所述第一會話密鑰信息。
20.如權(quán)利要求19所述的計算機可讀存儲介質(zhì),其中計算機設(shè)備的一個或多個其它資源提供所述顯示的不同于所述安全子畫面的要素的圖形信息,并且其中所述計算機設(shè)備的所述一個或多個其它資源在所述管理引擎的外部。
全文摘要
本方面的實施例總地涉及用于提供用來驗證對遠程管理會話的許可的信息的系統(tǒng)、方法和裝置。在一些實施例中,計算機設(shè)備的管理引擎響應(yīng)于指示需要會話來遠程管理該計算機設(shè)備的操作的指示,而提供會話密鑰。在一些實施例中,基于會話密鑰的信息在安全子畫面中被顯示,在所述安全子畫面中,至少部分通過將管理引擎與計算機設(shè)備的其他資源相隔離來保護信息的完整性。
文檔編號H04L29/08GK102215254SQ201110132618
公開日2011年10月12日 申請日期2011年4月8日 優(yōu)先權(quán)日2010年4月9日
發(fā)明者Z·費洛達夫斯基 申請人:英特爾公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1