從行動裝置對計算機的安全遠程喚醒、引導及登錄的方法和系統的製作方法

2023-06-04 15:22:46

專利名稱：從行動裝置對計算機的安全遠程喚醒、引導及登錄的方法和系統的製作方法
從行動裝置對計算機的安全遠程喚醒、引導及登錄的方法
和系統
背景技術：
人們常常需要遠程訪問計算機。用戶可能需要引導和/或登錄到計算機以訪問數據或應用。或者，可能需要在計算機上進行維護，但可能無法立刻獲得對機器的物理訪問。 在正常情況下，用戶可能需要提供一個或多個引導口令以允許計算機安全引導，且可能需要提供登錄口令以訪問作業系統(Os)。如果用戶需要遠程參與此類交互，則可能出現問題。口令必須被傳輸至計算機；但通過開放的公共網絡(例如網際網路)提供口令是有風險的。口令容易被洩密。如果未經授權的一方獲得口令，則他或她能佯裝經授權用戶並訪問機器。


圖1示出根據實施例的在本文中描述的系統的總體處理。圖2是示出根據實施例的管理緊張客戶端安全引導和認證模塊中的邏輯的框圖。圖3是示出根據實施例的遠程行動裝置中的遠程引導模塊的框圖。圖4示出根據實施例的從遠程行動裝置到計算機的喚醒消息傳輸。圖5示出根據實施例的遠程BIOS引導策略信息的檢索。圖6示出根據實施例的通過管理引擎從遠程行動裝置對BIOS 口令的請求。圖7示出根據實施例的從管理引擎到預引導認證模塊的盤解鎖/解密口令的轉移。圖8示出根據實施例的通過管理引擎從遠程行動裝置對登錄口令的請求。圖9示出根據一個實施例的從管理引擎到作業系統的登錄口令的轉移。圖10是示出根據實施例的在本文中描述的處理的流程圖。圖11是示出本文中描述的系統的軟體或固件實施例的框圖。在附圖中，附圖標記的最左側數字標識第一次出現該附圖標記的附圖。
具體實施例方式現在參見附圖對優選實施例進行描述，其中相同的附圖標記表示相同或功能相似的要素。另外在附圖中，每個附圖標記最左面的數字與該附圖標記第一次使用所在的附圖對應。儘管討論了特定結構和配置，然而應當理解這只是為了解說目的。相關領域內技術人員應當理解，可使用其它結構和配置而不脫離說明書的精神和範圍。本領域內技術人員將清楚知道，這也可為本文所描述以外的多種其它系統和場合所採納。本文中公開的是允許經授權用戶以安全方式遠程喚醒、引導以及登錄計算機的方法和系統。為此，用戶可利用諸如智慧型電話的行動裝置與計算機通信。用戶和計算機可利用短消息服務(SMQ進行通信。用戶可最初向計算機提供喚醒消息，然後計算機可通過要求一個或多個基本輸入/輸出系統(BIOS) 口令來作出響應。在一實施例中，可能需要這些口令以用於計算機BIOS的操作，以及用於作業系統的最終引導。然後用戶可將一個或多個這些口令提供給計算機。計算機可進一步要求作業系統(0 登錄口令。然後用戶可將該登錄口令提供給計算機。在一實施例中，口令可能以加密形式被提供給計算機。此外，可使用認證手段來提供用戶合法的保證。根據一實施例，本文中所描述的系統的操作大致在圖1中示出。在此，用戶可尋求遠程訪問計算機。在該具體示例中，用戶可嘗試訪問在個人計算機(PC)上運行的客戶端 110。該PC可使用能從華盛頓州雷蒙德市的微軟公司獲得的一版本的Windows作業系統。 用戶可使用行動裝置120與PC客戶端110進行通信。行動裝置120可以是智慧型電話。或者，行動裝置120可以是諸如膝上計算機的功能更齊全的計算平臺。在又一實施例中，用戶可既使用智慧型電話又使用本地計算機，其中智慧型電話被束縛於本地計算機。行動裝置120 可通過網絡130與PC客戶端110進行通信。網絡130可以是例如網際網路或諸如3G網絡的數據網絡，或它們的一些組合。或者，網絡130可以是區域網或廣域網。在一實施例中，PC 客戶端110和行動裝置120可經由短消息服務(SMQ利用消息進行通信。行動裝置120可通過向PC客戶端110發送喚醒消息140來開始。在一實施例中， 喚醒消息140可被加密和/或認證。如果喚醒消息140被成功解密和認證，則PC客戶端 110和行動裝置120可參與安全對話，其中PC客戶端110從行動裝置120請求口令，然後接收這些口令。該對話被示為請求150和口令160。請求150和口令160的傳輸可以是交織的，以使請求之後是口令，再之後是另一請求和另一口令。PC客戶端110可向行動裝置120 發出一個或多個請求，以尋求一個或多個口令。口令可包括BIOS 口令。如將在下文中更詳細描述地，所請求的口令可包括BIOS引導口令、預引導BIOS 口令、盤解鎖/解密口令、和/或防盜恢復口令。在喚醒消息140的情況下，BIOS 口令可被加密和認證。如果BIOS 口令被成功解密和認證，則BIOS可啟動，且客戶端110可從行動裝置120請求登錄口令。然後行動裝置120可通過提供再次被加密和/ 或認證的登錄口令來作出響應。如果登錄口令被成功解密和/或認證，則可給予遠程用戶對OS的訪問權，且登錄可繼續。在一實施例中，被遠程訪問的計算機可以是個人計算機，如上所述。這樣的計算機可包括在帶外處理器上執行的固件，其中該固件提供對PC的管理功能。此類子系統的一個示例是可從加利福尼亞州聖克拉拉市的英特爾公司獲得的管理引擎(ME)。本文中描述的系統的邏輯可在ME客戶端安全引導和認證模塊210中實現，如圖2所示。模塊210可被實現為ME中的固件。模塊210可包括遠程BIOS引導策略220。策略220表示定義將給予尋求訪問PC的特定方的特權的信息。具體而言，遠程BIOS引導策略220可指定如何處理不同的訪問嘗試源。此類源可以是嘗試訪問PC的不同的遠程用戶、組織或機器。遠程引導策略 220可規定不同的特定用戶被區別對待，或不同機器或組織被區別對待。例如，不同的遠程用戶可受不同的安全協議管轄。例如，此類協議可提供不同的認證和加密方法。一旦接收喚醒消息，就可諮詢遠程BIOS引導策略220以根據喚醒消息的源來確定將應用的協議。模塊210還可包括遠程客戶端認證模塊230。該模塊可負責認證遠程用戶或客戶端。在一實施例中，遠程行動裝置與ME固件之間的任何信任關係可在服務登記期間建立。 在一實施例中，對於從遠程行動裝置發送至計算機的一些或全部通信可重新驗證信任。模塊210還可包括PC客戶端全盤加密(FDE)認證模塊M0。模塊240可負責從遠程行動裝置接收盤解鎖/解密口令。FDE認證模塊240可在此類事務中提供認證服務。如果認證成功，則FDE認證模塊240可將該口令提供給ME固件。然後ME固件可將該口令提供給預引導認證安全遠程登錄模塊(未示出)，該模塊然後允許引導過程繼續。模塊210還可包括PC客戶端防盜遠程恢復模塊250。該模塊可負責從遠程行動裝置接收用戶的防盜恢復口令，並提供對恢復口令的認證服務。如果認證通過，則允許引導過程繼續。模塊210還可包括PC客戶端Windows登錄模塊沈0。模塊260可負責認證遠程登錄OS的嘗試。登錄模塊260可經由ME將OS登錄口令安全地提供給OS。ME固件可將登錄口令提供給預引導認證安全遠程登錄模塊。根據一實施例，在遠程行動裝置120處，用於本文中所描述的系統的邏輯可被實現為如圖3中可見的遠程引導模塊310。如上所討論，遠程行動裝置120以安全、受信任的關係與PC客戶端進行交互。具體而言，在一實施例中，遠程行動裝置120可被視為遠程移動客戶端。遠程引導模塊310可負責向PC客戶端發送安全消息。這些消息可包括例如一個或多個BIOS 口令和作業系統登錄口令。這些消息可被加密，且可被認證。在一實施例中， 這些消息通過短消息服務(SMQ或其它合適的通信服務來傳輸。這些消息還可包括初始喚醒消息，該初始喚醒消息如果被成功認證，則會導致PC 處的活動平臺狀態。處理可通過將喚醒消息從遠程行動裝置傳輸到被尋求訪問的計算機來開始。根據一實施例，這在圖4中示出。喚醒消息410可從位於遠程行動裝置處的遠程引導模塊310發送。喚醒消息410可由遠程客戶端認證模塊230接收。如上所討論，遠程客戶端認證模塊230可被具現化在管理引擎固件中。喚醒消息410可通過SMS或其它合適的通信服務來傳輸。在SMS的情況下，喚醒消息410可由諸如PC客戶端處的3G數據機的數據機來接收。此外，出於安全原因，喚醒消息410可被加密和/或認證。在所示實施例中，認證可以是遠程客戶端認證模塊230的職責。如果認證成功，則計算機可啟動喚醒過程。此外，可在PC處諮詢安全策略，以確定如何處理該訪問嘗試。該諮詢過程在圖5 中示出。在PC處，BIOS 510向遠程BIOS引導策略220發出查詢520。在一實施例中，查詢520可以是專屬的，因為它可指定喚醒消息的源。查詢520的結果可以是策略信息530， 該策略信息530然後對BIOS 510可用。策略信息530可包括關於將如何處理源的指示，例如，將應用什麼安全協議、要使用的認證或解密處理類型等等。在一實施例中，遠程BIOS引導策略220可被實現為資料庫、查找表或類似的數據結構。PC處的引導過程可能需要一個或多個BIOS 口令以便繼續。在一實施例中，可從遠程行動裝置提供這些口令。根據一實施例，該事務在圖6中大致示出。PC處的管理引擎 210向遠程行動裝置處的遠程引導模塊310發出一個或多個請求610。這些請求610可尋求一個或多個BIOS 口令。這些可包括例如而不限於BIOS引導口令、預引導BIOS 口令、盤解鎖/解密口令或防盜恢復口令。在一實施例中，請求610可通過SMS傳輸。遠程引導模塊310可通過提供所請求的口令620來作出響應。在一實施例中，這些口令可被發送至管理引擎210。該傳輸也可使用SMS或其它合適的通信系統。此外，出於安全原因，口令620可被加密和/或認證。在盤解鎖/解密口令的情況下，該口令的認證可以是PC客戶端全盤加密認證模塊的職責。如上所討論，該模塊可被結合到管理引擎固件中。根據一實施例，對該口令的處理在圖7中示出。在此，在認證完成之後，可將盤解鎖/解密口令705從管理引擎210中的PC 客戶端全盤加密認證模塊發送至預引導認證模塊750。預引導認證模塊可位於PC處，且在 ME 210外部。假設對硬碟的認證和解密成功，預引導認證模塊750可隨後允許作業系統繼續至引導階段。一旦任何BIOS 口令被接收和認證，引導過程就可繼續。此時，管理引擎可從遠程行動裝置請求登錄口令。這在圖8中示出。管理引擎210可發出請求810，從而從遠程行動裝置處的遠程引導模塊310請求登錄口令。然後登錄口令820可由遠程引導模塊310提供。在一實施例中，該交換可通過SMS進行。此外，出於安全原因，登錄口令820可被加密和/或認證。認證可以是管理引擎 210中的PC客戶端windows登錄模塊的職責。如圖9所示，管理引擎210然後可將登錄口令820傳遞給PC的OS 910。根據一實施例，本文中所描述的系統的處理在圖10中示出。在1005，可在PC處從遠程行動裝置接收喚醒消息。在一實施例中，該喚醒消息可利用SMS來發送。如上所討論， 該消息可能已被加密和/或認證。加密和認證可根據本領域普通技術人員公知的任何方案來實現。例如，加密可使用對稱密鑰或非對稱密鑰。在一實施例中，認證可包括公鑰協議。 在1010，可嘗試喚醒消息的認證。如果該認證不成功，則可到達失敗狀態1050，且該過程可在1055處結束，且作業系統未引導且未登錄。如果在1010處喚醒消息的認證成功，則該過程可繼續至1015。在此，根據1005處所接收的喚醒消息的源來檢查遠程BIOS引導策略。在1020，管理引擎從遠程行動裝置處的遠程引導模塊請求一個或多個BIOS 口令。 遠程引導模塊可通過向管理引擎提供所請求的口令來作出響應。如上所討論，所請求的口令可包括BIOS引導口令、預引導BIOS 口令、盤解鎖/解密口令、以及防盜恢復口令。在一實施例中，請求和口令二者都使用SMS來傳輸。此外，口令可被加密和/或認證。如同喚醒消息的情況，加密可使用對稱密鑰或非對稱密鑰。在一實施例中，認證可使用公鑰協議。在 1025，可嘗試認證。如果這些口令中的任意一個的認證失敗，則在1050處獲得失敗狀態，且該過程可在1055處結束。此時，作業系統將不會被引導。如果所接收的BIOS 口令在1025 被成功認證，則在1030處理可繼續，其中作業系統可被允許引導。在1035，管理引擎可從遠程行動裝置的遠程引導模塊請求登錄口令。然後遠程引導模塊可通過提供登錄口令來作出響應。根據一個實施例，請求和口令二者都可使用SMS 來發送。如同之前的事務，該口令可被加密和/或認證。加密可使用對稱密鑰或不對稱密鑰，而在一實施例中，認證過程可包括公鑰協議。在1040，確定登錄口令的認證是否成功。 如果否，則在1050到達失敗狀態，從而該過程在1055結束且不進行登錄。如果在1040登錄口令的認證成功，則在1045登錄可繼續。然後該過程可在1055結束。本文中公開的一個或多個特徵可在硬體、軟體、固件以及它們的組合中實現，包括分立和集成電路邏輯、專用集成電路(ASIC)邏輯以及微控制器，且可實現為專門領域的集成電路封裝的一部分或集成電路封裝的組合。本文中所使用的「軟體」這一術語指示包括計算機可讀介質的電腦程式產品，該計算機可讀介質具有存儲於其中的電腦程式邏輯， 用於使計算機系統執行本文中所揭示的一個或多個特徵和/或特徵的組合。圖11中示出上述處理的軟體或固件實施例。系統1100可包括處理器1120和存儲器1110的主體。存儲器可包括可存儲電腦程式邏輯1140的一種或更多種計算機可讀介質。存儲器1110可被實現為硬碟和驅動器、諸如例如緊緻盤和驅動器、只讀存儲器(ROM) 或快閃記憶體器件的可移動介質或它們的一些組合。處理器1120和存儲器1110可使用本領域普通技術人員公知的若干種技術中的任一種技術來通信，諸如使用總線來通信。存儲器1110 中包含的邏輯可由處理器1120讀取和執行。共同示為1/0(輸入/輸出)1130的一個或多個I/O埠和/或I/O設備也可連接至處理器1120和存儲器1110。在一實施例中，系統 1100被包含在PC平臺的背景中。在此，處理器1120可以是與用於PC的主微處理器不同的帶外處理器。在所示實施例中，電腦程式邏輯1140可包括若干模塊，諸如遠程客戶端認證模塊230。如上所討論，該模塊可負責認證遠程用戶或客戶端。電腦程式邏輯1140還可包括PC客戶端全盤加密(FDE)認證模塊MO。模塊MO 可負責從遠程行動裝置接收盤解鎖/解密口令。FDE認證模塊240可在此類事務中提供認證服務。如果認證成功，則FDE認證模塊240可將該口令提供給ME固件。電腦程式邏輯1140還可包括PC客戶端防盜遠程恢復模塊250。該模塊可負責從遠程行動裝置接收用戶的防盜恢復口令，並提供對恢復口令的認證服務。如果認證通過， 則允許引導過程繼續。電腦程式邏輯1140還可包括PC客戶端Windows登錄模塊沈0。模塊260可負責認證遠程登錄OS的嘗試。登錄模塊260可經由ME將OS登錄密碼安全地提供給OS。本文中的方法和系統是藉助於示出其功能、特徵和關係的功能性構件塊來公開的。為便於描述，在本文中任意地限定了這些功能性構件塊的至少一些邊界。可限定替換的邊界，只要其指定的功能和關係被適當地執行。雖然本文中公開了各種實施例，但應理解它們僅以示例方式給出而非作為限定。 本領域普通技術人員將清楚知道，其中可作出形式上以及細節上的各種改變而不背離本文所揭示的方法和系統的精神和範圍。因此，權利要求的寬度和範圍不受本文中所公開的任一示例性實施例的限制。
權利要求
1.一種用於允許對計算機的遠程訪問的方法，包括在所述計算機處經由短消息服務(SMQ從遠程行動裝置接收喚醒消息； 認證所述喚醒消息；確定用於處理所述遠程行動裝置的適當引導策略，其中所述引導策略是基於所述喚醒消息的源而確定的；經由SMS從所述遠程行動裝置請求BIOS 口令； 解密經由SMS從所述遠程行動裝置接收的BIOS 口令； 經由SMS從所述遠程行動裝置請求登錄口令；以及解密經由SMS從所述遠程行動裝置接收的登錄口令。
2.如權利要求1所述的方法，其特徵在於，還包括 執行BIOS ；引導作業系統(OS)；以及將用戶登錄到OS中，其中所述用戶與所述遠程行動裝置相關聯。
3.如權利要求2所述的方法，其特徵在於，還包括認證所接收的BIOS 口令，其中當所接收的BIOS 口令的認證成功時，所述BIOS執行。
4.如權利要求3所述的方法，其特徵在於，還包括 當所述BIOS 口令的認證失敗時執行經由SMS從所述遠程行動裝置請求後續的BIOS 口令。
5.如權利要求3所述的方法，其特徵在於，所述BIOS口令的認證使用公鑰協議來執行。
6.如權利要求2所述的方法，其特徵在於，還包括認證所接收的登錄口令，其中當所述登錄口令的認證成功時登錄繼續。
7.如權利要求6所述的方法，其特徵在於，還包括 當所述登錄口令的認證失敗時執行經由SMS從所述遠程行動裝置請求後續的登錄口令。
8.如權利要求6所述的方法，其特徵在於，所述登錄口令的認證使用公鑰協議來執行。
9.如權利要求1所述的方法，其特徵在於，所述BIOS口令包括以下之一 BIOS引導口令；預引導BIOS 口令； 盤解鎖/解密口令；以及用戶防盜恢復口令。
10.一種用於遠程訪問計算機的方法，包括在遠程行動裝置處經由短消息服務(SMQ向所述計算機發送喚醒消息； 經由SMS從所述計算機接收對BIOS 口令的請求； 經由SMS將所述BIOS 口令以加密形式發送至所述計算機； 經由SMS從所述計算機接收對登錄口令的請求；以及經由SMS將所述登錄口令以加密形式發送至所述計算機。
11.如權利要求10所述的方法，其特徵在於，所述BIOS口令的發送在所述計算機處認證。
12.如權利要求11所述的方法，其特徵在於，還包括參與公鑰協議以用於所述BIOS 口令的認證的目的。
13.如權利要求10所述的方法，其特徵在於，所述登錄口令的發送在所述計算機處認證。
14.如權利要求13所述的方法，其特徵在於，還包括 參與公鑰協議以用於所述登錄口令的認證的目的。
15.如權利要求10所述的方法，其特徵在於，所述BIOS口令包括以下之一 BIOS引導口令；預引導BIOS 口令； 盤解鎖/解密口令；以及防盜恢復口令。
16.一種用於允許對計算機的遠程訪問的系統，包括a.包含在所述計算機中的管理引擎(ME)，所述ME包括 存儲遠程BIOS引導策略的存儲器；以及遠程客戶端認證模塊，其被配置成經由短消息服務(SMQ從遠程行動裝置接收喚醒消息並認證所述喚醒消息；其中所述ME被配置成從所述遠程行動裝置請求一個或多個經加密的BIOS 口令、接收所述一個或多個引導口令、以及允許作業系統(OS)的引導，以及其中所述ME進一步被配置成從所述遠程行動裝置請求經加密的登錄口令、接收所述登錄口令、以及允許與所述遠程行動裝置相關聯的用戶對OS的訪問；以及b.基本輸入/輸出系統(BIOS)，其被配置成確定所述喚醒消息的源，並查詢所述遠程 BIOS引導策略，以基於所述源來確定適用的引導策略。
17.如權利要求16所述的系統，其特徵在於，所述一個或多個BIOS口令包括盤解鎖/ 解密口令。
18.如權利要求17所述的系統，其特徵在於，所述ME進一步包括 全盤加密(FDE)認證模塊，其被配置成認證所述盤解鎖/解密口令。
19.如權利要求16所述的系統，其特徵在於，所述一個或多個BIOS口令包括防盜恢復口令。
20.如權利要求19所述的系統，其特徵在於，所述ME進一步包括 防盜遠程恢復模塊，其被配置成認證所述防盜恢復口令。
21.如權利要求16所述的系統，其特徵在於，所述ME進一步包括 登錄模塊，其被配置成認證所述登錄口令。
22.一種用於允許對計算機的遠程訪問的系統，包括用於在所述計算機處經由短消息服務(SMQ從遠程行動裝置接收喚醒消息的裝置； 用於認證所述喚醒消息的裝置；用於基於所述喚醒消息的源來確定用於所述遠程行動裝置的適當引導策略的裝置； 用於經由SMS從所述遠程行動裝置請求BIOS 口令的裝置； 用於解密經由SMS從所述遠程行動裝置接收的BIOS 口令的裝置； 用於經由SMS從所述遠程行動裝置請求登錄口令的裝置；以及用於解密經由SMS從所述遠程行動裝置接收的登錄口令的裝置。
23.如權利要求22所述的系統，其特徵在於，還包括用於認證所接收的BIOS 口令的裝置，其中BIOS僅在所接收的BIOS 口令的認證成功時執行。
24.如權利要求23所述的系統，其特徵在於，還包括用於當所述BIOS 口令的認證失敗時執行經由SMS從所述遠程行動裝置請求後續BIOS 口令的裝置。
25.如權利要求23所述的系統，其特徵在於，所述BIOS口令的認證使用公鑰協議來執行。
26.如權利要求22所述的系統，其特徵在於，還包括用於認證所接收的登錄口令的裝置，其中所述登錄僅在所述登錄口令的認證成功時繼續。
27.如權利要求沈所述的系統，其特徵在於，所接收的登錄口令的認證使用公鑰協議來執行。
28.如權利要求沈所述的系統，其特徵在於，還包括用於當所述登錄口令的認證失敗時執行經由SMS從所述遠程行動裝置請求後續登錄口令的裝置。
29.如權利要求22所述的系統，其特徵在於，所述BIOS口令包括以下之一 BIOS引導口令；預引導BIOS 口令； 盤解鎖/解密口令；以及用戶防盜恢復口令。
全文摘要
本發明公開了允許經授權用戶以安全方式遠程喚醒、引導以及登錄計算機的方法和系統。用戶和計算機可利用短消息服務(SMS)進行通信。用戶可使用諸如智慧型電話的行動裝置與計算機進行通信。用戶可最初向計算機提供喚醒消息，然後計算機可通過要求一個或多個引導口令來作出響應。在一實施例中，這些引導口令可以是計算機BIOS的加載和操作所需的基本輸入/輸出系統(BIOS)口令。然後用戶可將一個或多個這些口令提供給計算機。計算機可進一步要求作業系統(OS)登錄口令。然後用戶可將該口令提供給計算機。在一實施例中，所有口令可能以加密形式被提供給計算機。此外，可使用認證手段來提供用戶合法的保證。
文檔編號H04L29/06GK102215221SQ20111009612
公開日2011年10月12日 申請日期2011年4月2日 優先權日2010年4月2日
發明者F·阿德蘭基, G·帕卡什, S·達杜 申請人:英特爾公司