专利名称::用于执行管理操作的系统和方法用于执行管理操作的系统和方法
背景技术:
:已经引入了许多安全性特征以用在诸如计算机系统之类的电子设备中。这样的安全性特征包括预引导认证、防盗技术以及驱动器加密,这里仅举出几个实例。对于诸如指纹传感器、可信平台模块(TPM)和智能卡之类的安全性令牌的使用也正变得普及。这些特征大大增强了电子设备的安全性。然而,这种提高的安全性有时给授权的服务人员以及平台所有者带来问题。特别是,授权的服务人员可能会被要求来执行安全性特征已被设计来避免的系统管理操作。举例来说,授权的服务个人可能需要刷新(flash)包含系统基本输入-输出系统(BIOS)的系统存储器设备以便替换破坏的程序信息。可能需要被执行的其他合法系统管理操作包括将BIOS修订到较早版本,将系统重置到工厂状态,或者禁用基于芯片组的管理引擎以便更新芯片组固件。禁用安全性特征可能是困难的,这是因为针对禁用安全性特征以便进行授权的修复或升级的尝试可能在系统看来像是来自黑客或者其他未经授权的来源的攻击。授权的用户无法有效地禁用保护系统免于未经授权的访问的安全性特征,这可能使得在别的情况下有价值的计算机系统永久地不工作。在下面的详细描述中参照附图描述特定的示例性实施例,其中图1是根据本发明一个示例性实施例的计算机系统的基础设施的框图,其包括适于接收系统管理命令的计算机;图2是示出根据本发明一个示例性实施例的执行管理操作的方法的过程流程图;以及图3是示出根据本发明一个示例性实施例的有形的机器可读介质的框图,其存储适于执行管理操作的计算机可读代码。具体实施例方式本发明的一个示例性实施例提供对于授权的用户和/或用户环境的密码检测和验证。特别是,可以通过系统管理服务(SMS)来执行诸如系统管理命令(SMC)之类的授权的命令,以便管理或改变平台的临界状态。这样的示例性实施例可以允许区分命令以及向平台远程递送命令而没有可能会损害命令完整性或可靠性的问题。如在下面详细阐述的那样,本发明的一个示例性实施例允许在诸如BIOS之类的平台上执行的软件识别出系统管理命令的来源。系统管理命令可以是本地或者远程递送的。如果系统管理命令被认证为源自授权的用户/来源,则所述命令被系统执行。未被认证为源自授权的用户/来源的命令不被系统执行。使用已加密系统管理命令例如允许授权的服务专业人员安全地执行宽范围的管理操作。这样的管理操作的实例包括刷新系统BIOS的引导块区域或者刷新系统BIOS的非引导块区域。可以利用系统管理命令执行的管理操作的附加实例包括在没有特定授权的情况下允许系统管理员特权,在没有特定授权的情况下允许作为用户设置访问,将系统BIOS重置到工厂默认状态,或者将系统BIOS重置到工厂默认状态同时保存诸如与系统相关联的通用唯一标识符(UUID)或全局唯一标识符(⑶ID)之类的身份信息。系统管理命令可以被用来禁用诸如管理引擎特征之类的安全性特征,以便允许在不损害诸如防盗技术(TDT)设备之类的相关联的安全性设备的状态的情况下更新管理引擎固件。另外,当丢失或遗忘了凭证时,授权的用户可以被允许在没有任何认证的凭证(比如口令、智能卡、指纹扫描等等)的情况下引导系统。另外的实例包括将一个或多个系统组件重置到工厂默认状态,移除所有BIOS用户,移除所有OS用户,移除所有BIOS安全性策略,移除所有用户,或者识别要使用的硬件简档。可以利用根据本发明一个示例性实施例的系统管理命令执行的管理操作的附加实例包括重置已经出于安全性原因而被禁用的系统组件。特别是,系统管理命令可以被用来重置TPM,重置TDT设备,重置指纹读取器,重置系统板等等。此外,本发明的一个示例性实施例在相对于无良(rouge)实体保持安全性的同时为授权的用户提供这些益处。此外,根据本发明一个示例性实施例的系统管理命令可以定义命令授权的层次,其允许终端顾客和独立软件销售商(ISV)伙伴也在相同的安全性保护伞下管理计算机网络的一些方面而没有直接潜在地涉及系统制造商。终端用户顾客可能认为这一特征是合乎期望的。下面相对于图1阐述的实例提供了关于可以如何采用系统管理命令来允许授权的用户执行管理操作的附加细节。图1是可以被用来在授权的用户的请求下提供系统管理命令的网络基础设施100的框图。本领域普通技术人员将认识到,图1中所示出的功能块和设备可以包括具有电路的硬件元件、具有存储在有形的机器可读介质上的计算机代码的软件元件、或者硬件与软件元件的组合。另外,基础设施100的功能块和设备仅仅是可以在本发明的一个示例性实施例中实施的功能块和设备的一个实例。本领域普通技术人员将容易地能够基于对于特定电子设备的设计考虑来定义具体的功能块。基础设施100包括授权的用户的计算机102,其可以被或者可以不被直接连接到可信服务器104。根据本发明的一个示例性实施例,授权的用户使用所述授权的用户的计算机102或者直接登录到可信服务器104上,并且基于预定义的标准而被适当地认证。可替换地,可能会要求授权的用户通过向可信服务器104提供安全性凭证(比如用户标识和口令)来证明其身份。对于可信服务器104的访问可以被限制成只有授权的服务技术人员或平台所有者能够请求发出系统管理命令。在所述认证之后,授权的用户请求可信服务器104发出系统管理命令,以便在用户计算机系统106上执行管理操作。根据本发明的一个示例性实施例,系统管理命令可以包括从存储在可信服务器104上的私有密钥导出的数据。举例来说,从私有密钥导出的数据可以采取数字签名的形式。正如下面所阐述的那样,由私有密钥所签的签名可以被用户计算机系统106使用来把系统管理命令的来源认证为授权的来源。在本发明的一个示例性实施例中,用户计算机系统106包括系统板108。系统板108容纳用户计算机系统106的主要组件,比如系统处理器或CPU108a、系统存储器108b等等。系统板108还可以将BIOS110存储在诸如非易失性存储器108c之类的存储器设备中。BIOS110适于控制启动或引导过程以及控制用户计算机系统106的低级别操作。此外,系统存储器108b和存储BIOS110的非易失性存储器108c包括存储计算机可读指令的有形的机器可读介质的实例。当由处理器读取并执行时,所述计算机可读指令可以使得用户计算机系统106根据本发明的一个示例性实施例来执行管理操作。用户计算机系统106可以包括一个或更多安全性组件,其被设计成防止数据盗窃或者对于系统资源的其他未经授权的访问。举例来说,系统板108包括管理引擎112。另外,用户计算机系统106包括生物测量访问设备(比如指纹读取器114)和/或TPM116。用户计算机系统106还包括TDT设备118。在本发明的一个示例性实施例中,管理引擎112控制TPM116禾口/或TDT设备118的操作。在本发明的一个示例性实施例中,密码非对称公共密钥被存储在BIOS110的固件的一个不可改变的(immutable)部分内。举例来说,BIOS110的固件的所述不可改变的部分可以包括存储在引导块区域中的不可改变的代码。存储公共密钥的BIOS110的所述不可改变的部分在正常的刷新操作期间不被覆写,即使这样的刷新操作是由系统管理命令针对所述引导块区域也是如此。正如下面所阐述的那样,可以将附加的加密密钥存储在存储器/闪存的可改变的区域中。然而,这样的加密密钥不可被用来认证在用户计算机系统106上执行特定高度安全的管理操作所需要的系统管理命令的来源。附加的加密密钥可以被安全地添加并存储在BIOS110的所述不可改变的部分中,并且具有用以在用户计算机系统106上执行高度安全的管理命令的相同能力。举例来说,用户计算机系统106可以具有多个安全性级别。第一安全性级别可以包括预引导安全性。预引导安全性可以操作来在诸如通用串行总线(USB)令牌等等之类的安全性凭证不存在的情况下禁用BIOS110。第二安全性级别可以包括硬盘驱动器加密。在具有硬盘驱动器加密的系统中,如果安全性凭证不存在或者未由用户提供,则可以拒绝对于存储在用户计算机系统106的硬盘驱动器上的已加密数据的访问。第三安全性级别是操作系统访问。如果诸如口令之类的另一安全性凭证未被提供,则可以拒绝对于用户计算机系统106的操作系统的访问。根据本发明的一个示例性实施例,系统管理命令可以包括安全性级别。可能需要存储在BIOS110的不可改变的部分中的加密密钥来授权执行针对其中一个或多个最高安全性级别的系统管理命令。当可信服务器104从授权的用户接收到针对系统管理命令的请求时,在可信服务器104上运行的应用准备所述系统管理命令,并且将从私有密钥导出的信息与之包括在一起。从私有密钥导出的所述信息可以被包括作为系统管理命令的属性。可替换地,可以利用私有密钥对由可信服务器104提供的系统管理命令进行数字签名。系统管理命令可以包含可选地使得所述系统管理命令只对一个特定平台或一系列平台可操作的数据。此外,系统管理命令可以是基于命令范围、基于起始和结束日期限制、基于最大执行次数等等而可操作的。对应于实现特定功能或限制的系统管理命令的具体格式可以由本领域普通技术人员基于系统设计考虑而确定。举例来说,系统管理命令可以被设计成只在特定系统上对于仅仅一次执行禁用ME112。系统管理命令还可以受到起始日期和/或结束日期的限制。系统管理命令还可以被限制成由特定用户提供,比如请求了该命令的授权的用户。系统管理命令可以附加地包括登录和审核数据,比如发出请求的授权的用户的身份,系统管理命令何时被请求,其从何处6被请求,等等。在由可信服务器104创建了系统管理命令之后,系统管理命令被递送到系统管理命令提供设备(SMCPD)120。可以执行SMCPD120的功能的设备的实例包括智能卡、USB钥匙、USB密码令牌等等。此外,SMCPD120的目的是向用户计算机系统106递送系统管理命令。注意在一些系统中,可以通过首先路由经过可信路径或者经过可信实体而不是直接放置到SMCPD来递送系统管理命令。在另外的其他情况下,SMCPD本身可以在后端本身中被创建并且随后被递送到可信实体。所述可信实体可以是IT管理员、监督者、管理者或者其他这种实体,其在授予对SMCPD的访问之前可以进一步验证服务人员的身份和授权。该可信实体还可以被用来提供授权对系统管理命令本身的使用所需要的系统生成的使用秘密。在这种情况下,系统允许或者自动生成秘密,其数字散列被存储在系统管理命令本身中,并且所述秘密随后被递送到可信实体,后者可以将其递送到授权的服务人员,或者系统可以在向SMC提供系统管理命令时为服务专业人员显示所述秘密。一旦提供了系统管理命令,就将其在本地或者远程地递送到用户计算机系统106。在本发明的一个示例性实施例中,用户计算机系统106的BIOS110适于处在用以在引导操作的早期阶段中检测输入的系统管理命令的模式下。在本发明的一个示例性实施例中,SMCPD120被直接连接到用户计算机系统106。可替换地,SMCPD120可以适于例如通过网络连接而向用户计算机系统106递送系统管理命令。在这种情况下,系统管理命令可以被递送到用户计算机系统106中的特定位置,其可以在该处被BIOS110读取。系统管理命令的远程递送成为可能是通过将命令放置或递送到预先指定的系统管理命令递送“邮槽”(其与邮政信箱非常类似)而实现的。BIOS110于是可以被编程来在每一次引导时自动检查所述邮槽,或者通过用户或管理提供的动作(比如在系统引导期间按压特殊键序列)来进行检查。在这种情况下,所述邮槽于是充当用于存储系统管理命令的SMCPD的“虚拟”形式。当BIOS110接收到来自SMCPD120的系统管理命令时,它利用存储在BIOS110的不可改变的部分中的公共密钥来认证系统管理命令。如果它验证系统管理命令确实由对应的私有密钥进行签名并且系统管理命令的完整性是完好的,则执行由系统管理命令所指示的特定动作。如果所述验证失败,则不执行由系统管理命令所指示的特定管理操作。按照这种方式,降低了接收到来自可能被错误地认证的未经授权的来源的命令的几率。通过以下功能可以进一步降低发生未经授权的访问的可能性比如限制系统管理命令在其间有效的日期范围,或者包括执行系统管理命令的最大次数以作为系统管理命令的一部分。在本发明的一个示例性实施例中,BIOS110可以存储对于用户计算机系统106所允许的系统管理命令的列表。另外,BIOS110可以存储已被执行或者已被尝试执行的系统管理命令的列表。按照这种方式,BIOS就可以确定是否超出了对应于给定系统管理命令的执行尝试次数。如果已经超出了对应于特定命令的执行尝试次数,则将不许可执行该命令。在一个可替换实施例中,SMCPD120可以适于接收已被执行的给定类型的系统管理命令的数目,并且如果已经超出了最大命令执行次数则限制对于系统管理命令的提取。为了进一步促进对于系统管理命令的特定实例的标识,预先计算、分配唯一命令标识符(比如基于UUID或GUID的唯一命令标识符)并且将其嵌入在所提供的每个命令中。该唯一标识符充当某种序列号,以帮助识别来自先前存储的命令列表中的命令或者与新输入的命令请求相匹配。如上所述,BIOS110可以存储多个非对称加密密钥,其每一个可以被用于不同目的。附加的加密密钥不一定被存储在用户计算机系统106的存储器的不可改变的区域中。另外,系统管理命令可以被用来更新存储在BIOS110的所述不可改变的区域中的现有加密密钥。这一特征允许授权的用户使用在该授权的用户的组织外部不知道的私有密钥/公共密钥对。特别是,如果期望的话,授权的用户可以选择不为用户计算机系统106的制造商所知的私有密钥/公共密钥对。存在用以设定/改变SMC密钥在系统中的使用的SMC命令。举例来说,可以有用以禁用特定SMC密钥的SMC命令。在本发明的一个示例性实施例中,SMC可以被用来临时地或永久地禁用一个或多个SMC密钥。可以由SMC利用启用参数来启用已被临时禁用的SMC密钥。这一功能允许系统制造商的顾客禁用所有SMC,包括由制造商提供的SMC。可替换地,顾客可以选择只禁用由制造商提供的SMC。在本发明的一个示例性实施例中,由计算机系统的所有者提供的SMC具有高于由制造商提供的SMC的安全性级别。可以为来自在顾客的指导下工作的实体(比如顾客的ISV伙伴)的SMC提供第三安全性级别。在本发明的一个示例性实施例中,可以通过相同安全性级别的SMC临时地或永久地禁用与每个安全性级别相关联的SMC密钥。可以使用多个加密密钥来定义命令授权的层次,其中可以授权顾客、ISV或者增值转销商(VAR)管理适当级别的系统管理命令。对于给定实体来说适于被允许在用户计算机系统106上执行的特定系统管理命令可以是基于单独的系统要求来确定的。在本发明的一个示例性实施例中,特定功能只能由被认证为源自用户计算机系统106的初始设备制造商的系统管理命令来执行。根据本发明的一个示例性实施例,可以施加对于使用多个加密密钥的附加限制。举例来说,可以把一个或多个“不在乎(don’tcare)”属性与系统管理命令相关联。“不在乎”属性的实例可以包括系统序列号。当执行源自在BIOS110中存储有其自身的加密密钥的各种来源的特定系统管理命令时,可以忽略“不在乎”属性或者将其视为不被需要。可以设想一种方案,其中在策略控制下,除了OEM之外的系统管理命令的任何来源必须包括用户计算机系统106的序列号。在这样的方案下,可以把被认证为源自OEM的系统管理命令应用于由该OEM生产的任何用户计算机系统,而不管与所述系统管理命令相关联的序列号属性的内容如何。在这样的情况下,对于被认证为源自OEM的系统管理命令来说,系统序列号属性将被认为是“不在乎”属性。本发明的一个示例性实施例可以改进网络基础设施管理的成本有效性。实际上,这样的示例性实施例可以通过提高对于网络内的用户系统的未被授权的访问的难度来提供提高的系统安全性。图2是示出根据本发明一个示例性实施例的执行管理操作的方法的过程流程图。所述方法总体上由附图标记200表示。所述方法开始于块202。在块204处,响应于针对生成用于电子设备的命令的请求,接收包括从私有密钥导出的信息的所述命令。在本发明的一个示例性实施例中,从私有密钥导出的信息包括数字签名。如在块206处所示,通过存储在电子设备的不可改变的存储器中的对应公共密钥来验证所述命令的来源。在块208处,如果对于所述命令的来源的验证确定所述命令是来自授权的来源,则执行对应于所述命令的管理操作。所述过程结束8于块210。图3是示出根据本发明一个示例性实施例的有形的机器可读介质的框图,其存储适于执行管理操作的计算机可读代码。所述有形的机器可读介质总体上由附图标记300表示。有形的机器可读介质300可以对应于存储诸如编程代码等等之类的计算机实施的指令的任何典型存储设备。此外,有形的机器可读介质300可以包括图1中所示的系统存储器108b和/或非易失性存储器108c。当由诸如图1中所示的处理器108a读取并执行时,存储在有形的机器可读介质300上的指令适于使得该处理器执行根据本发明一个示例性实施例的管理操作。有形的机器可读介质300的第一区域302存储适于执行以下操作的计算机实施的指令响应于针对生成用于电子设备的命令的请求,接收包括从私有密钥导出的信息的所述命令。有形的机器可读介质300的第二区域304存储适于执行以下操作的计算机实施的指令利用从私有密钥导出的所述信息和存储在电子设备的不可改变的存储器中的对应公共密钥来验证所述命令的来源。有形的机器可读介质300的第三区域306存储适于执行以下操作的计算机实施的指令如果对于所述命令的来源的验证确定所述命令是来自授权的来源,则执行对应于所述命令的管理操作。本领域普通技术人员将认识到,本发明的示例性实施例通过提供一种在网络基础设施中执行管理操作的方式而降低了信息技术维护成本。此外,本发明的示例性实施例提供一种用以执行系统更新和维护的安全方式。权利要求1.一种执行管理操作的方法,所述方法包括响应于针对生成用于电子设备的命令的请求,接收包括从私有密钥导出的信息的所述命令;利用从所述私有密钥导出的所述信息和存储在所述电子设备的不可改变的存储器中的对应公共密钥来验证所述命令的来源;以及如果对于所述命令的来源的验证确定所述命令是来自授权的来源,则执行对应于所述命令的管理操作。2.如权利要求1所述的方法,所述命令属于第一安全性级别,所述方法包括响应于针对生成用于所述电子设备的第二命令的请求,接收包括从第二私有密钥导出的信息的第二命令,第二命令属于不同于第一安全性级别的第二安全性级别;利用从第二私有密钥导出的所述信息和存储在所述电子设备的可改变的存储器中的对应的第二公共密钥来验证第二命令的来源;验证第二来源是否被授权来执行第二安全性级别的管理操作;以及如果对于第二命令的来源的验证确定第二命令是来自授权的来源并且如果验证了第二来源是否被授权来执行第二安全性级别的管理操作,则执行对应于第二命令的第二管理操作。3.如权利要求2所述的方法,其中,第二安全性级别高于第一安全性级别。4.如权利要求2所述的方法,其中,所述管理操作包括提供将被存储在所述电子设备的所述可改变的存储器中的第三私有密钥或者改变所述第三私有密钥。5.如任一在前权利要求所述的方法,其中,所述管理操作包括禁用安全性特征,重置所述安全性特征,刷新所述电子设备的基本输入/输出系统(BIOS)的引导块区域,刷新所述BIOS的非引导块区域,允许系统管理员特权,允许设置访问,将所述电子设备的系统组件重置到默认状态,去除用户,去除安全性策略,临时地禁用包括从所述私有密钥导出的信息的命令,启用包括从所述私有密钥导出的信息的命令,永久地禁用包括从所述私有密钥导出的信息的命令,或者识别供所述电子设备使用的硬件简档。6.如权利要求5所述的方法,其中,所述安全性特征包括管理引擎特征、可信平台模块(TPM)、防盗技术(TDT)设备、指纹读取器、或系统板。7.如任一在前权利要求所述的方法,包括从可信服务器提供所述命令。8.如任一在前权利要求所述的方法,其中,所述命令被限制成被执行特定次数,在特定起始日期之后被执行,在特定结束日期之前被执行,或者只有当被特定用户请求时才被执行。9.如任一在前权利要求所述的方法,其中,所述命令包括登录数据和/或审核数据,其包括请求了所述命令的授权的用户的身份、所述系统管理命令何时被请求或者所述命令被从何处请求。10.如任一在前权利要求所述的方法,其中,所述命令包括系统管理命令。11.如任一在前权利要求所述的方法,包括向系统管理命令提供设备(SMCPD)提供所述命令。12.如权利要求11所述的方法,包括通过将所述SMCPD连接到所述电子设备来将所述命令本地递送到所述电子设备。13.如任一在前权利要求所述的方法,其中,所述命令包括仅仅适用于包括所述电子设备的最高安全性级别的命令的“不在乎”属性。14.一种适于执行管理操作的计算机系统,所述计算机系统包括适于执行所存储的机器可读指令的处理器;以及存储可由所述处理器执行的机器可读指令的存储器设备,所述机器可读指令包括适于使得所述处理器响应于针对生成用于电子设备的命令的请求而接收包括从私有密钥导出的信息的所述命令的指令,适于利用从所述私有密钥导出的所述信息和存储在所述电子设备的不可改变的存储器中的对应公共密钥来验证所述命令的来源的指令,以及适于在对于所述命令的来源的验证确定所述命令是来自授权的来源的情况下执行对应于所述命令的管理操作的指令。15.一种存储可由处理器执行来执行管理操作的机器可读指令的有形的机器可读介质,所述有形的机器可读介质包括当由所述处理器执行时,响应于针对生成用于电子设备的命令的请求而接收包括从私有密钥导出的信息的所述命令的机器可读指令;当由所述处理器执行时,利用从所述私有密钥导出的所述信息和存储在所述电子设备的不可改变的存储器中的对应公共密钥来验证所述命令的来源的机器可读指令;以及当由所述处理器执行时,在对于所述命令的来源的验证确定所述命令是来自授权的来源的情况下执行对应于所述命令的管理操作的机器可读指令。全文摘要提供一种执行管理操作的系统和方法。一种示例性方法包括响应于针对生成用于电子设备的命令的请求,接收包括从私有密钥导出的信息的所述命令。所述示例性方法还包括利用从所述私有密钥导出的所述信息和存储在所述电子设备的不可改变的存储器中的对应公共密钥来验证所述命令的来源。所述示例性方法另外包括如果对于所述命令的来源的验证确定所述命令是来自授权的来源,则执行对应于所述命令的管理操作。文档编号G06F21/00GK102449631SQ200980159503公开日2012年5月9日申请日期2009年5月26日优先权日2009年5月26日发明者L.蒙夏恩J.,王L.,Y.阿利V.申请人:惠普开发有限公司