密码更新的制作方法

背景技术：

计算机的基本输入/输出（bios）系统是由计算机使用的处理器可执行指令，用于施行各种初始化功能并且为计算机提供运行时服务，诸如控制附接到计算机的硬件。bios通常是当计算机通电时由其发起的第一指令，从而特别期望保护它免受恶意攻击。在一些实例中，bios的部分可能溯源自计算机的组件的不同制造商。

附图说明

结合以下结合附图理解的详细描述，可以更充分地理解本申请。

图1图示了与密码更新相关联的示例bios。

图2图示了与密码更新相关联的示例操作的流程图。

图3图示了与密码更新相关联的示例操作的另一流程图。

图4图示了与密码更新相关联的示例系统。

图5图示了与密码更新相关联的另一示例系统。

图6图示了其中可以操作示例系统和方法以及等同物的示例计算设备。

具体实施方式

描述了与密码更新相关联的示例。如上面所讨论的，计算机的基本输入/输出系统（bios）可以具有由各种制造商所创建的部分。这些制造商可能具有与bios的其部分相关联的不同的安全控制。这些安全控制可以包括，例如，限制可以对部分做出什么改变，限制对部分的访问等。在一些示例中，部分可以使用不同的密码来保护它们自己，并且这些部分继而可以具有由部分的生产商所规定的不同的密码策略。例如，第一密码策略可能寻找大写字母和数字，而不同的密码可能寻找特殊字符。针对bios的不同组件具有不同的密码对于用户来说可能难以记得，尤其是如果用户没有定期对bios做出改变。

因此，可能期望使用bios级密码管理器，以基于bios的主密码或管理员密码而为bios的组件生成密码。当用户设置主密码时，已经被配置为与主密码同步的密码可以与基于该密码的密码策略而选择的字符集连结。即使与主密码连结的字符集是已知的，假设主密码没有被泄露，与主密码同步的密码也可以类似地安全。即使设法访问由同步密码所防护的资源的用户被明确地或无声地提供有用于生成同步密码的前缀，这也可能是真实的。

应当理解，在以下描述中，阐述了许多特定细节以提供对示例的透彻理解。然而，应当理解，示例可以在不限于这些特定细节的情况下实践。在其它实例中，可能不详细描述方法和结构，以避免不必要地模糊示例的描述。示例也可以与彼此组合使用。

如本文中所使用的，“模块”包括但不限于硬件、存储在计算机可读介质上或在机器上执行的指令和/或每个指令的组合，以施行（一个或多个）功能或（一个或多个）动作，和/或引起来自另一模块、方法和/或系统的功能或动作。模块可以包括经由可由微处理器执行的指令控制的微处理器、分立模块、模拟电路、数字电路、编程模块设备、包含指令的存储器设备等。模块可以包括门、门的组合或其它电路组件。在描述多个逻辑模块的情况下，可以可能的是，将多个逻辑模块合并到一个物理模块中。类似地，在描述单个逻辑模块的情况下，可以可能的是，在多个物理模块之间分布该单个逻辑模块。

图1图示了与密码更新相关联的计算机的示例bios100。bios100包括连接到数据存储120的密码更新模块110。密码更新模块110和数据存储120相组合可以负责管理bios100的各种组件的密码。数据存储120存储策略表130。数据存储120还可以存储bios100的组件的密码集。在其它示例中，密码可以存储在计算机和/或bios100的其它组件中。在一些示例中，bios100可以使用统一可扩展固件接口（uefi）来实现。

策略表130除了关于那些策略的其它信息之外，还可以描述用于bios100的部分的密码策略集。密码策略可以描述由负责验证和/或批准针对其相应部分所提交的密码的逻辑检查的字符。通过说明的方式，在该示例中，通电密码可以检查密码中的至少一个大写字母，并且驱动锁定密码可以检查至少一个大写字母、数字、特殊字符等。其它密码策略可以包括例如受限字符、连续字符的规则等。策略表130还包括描述密码是否应该与bios100的主密码同步的数据。主密码可以是bios100的管理员密码。将密码与主密码同步可以阻止在没有首先修改同步设置的情况下更新密码，并且可以确保基于主密码生成同步密码。

当用户设法更新主密码时，密码更新模块110可以针对每个同步密码生成密码。该过程在示出密码更新的表140中图示。应当理解，bios100可以在短时间段内将这些密码维持在多个表内或以纯文本维持。代替地，在生成密码之后，可以应用单向散列来加密密码，以确保恶意实体不能访问纯文本密码。密码更新模块110可以通过将主密码与基于相应密码策略而生成的字符串连结来生成密码。例如，管理引擎bios扩展（mebx）密码的密码策略寻找包括小写字母和数字的密码。因此，密码更新模块可以将字符“a1”连结到主密码，以生成符合由mebxbios部分所指定的密码策略的mebx密码。如上面所讨论的，该密码然后可以被加密并且存储。密码不同步，这样的示例密码6（expw6）可能没有使其密码生成和/或更新。

bios100还包括字符串供应模块150。字符串供应模块150可以向用户提供字符串，所述用户设法访问与使用上面所公开的技术管理的密码相关联的资源。字符串供应模块150可以明确地、被动地等提供字符串。例如，字符串供应模块150可以在用户要输入密码的文本字段中明确插入字符串。在其它示例中，字符串供应模块可以在验证密码已经被输入之前被动地将字符串连结到密码。在其它示例中，字符串供应模块150可以告诉用户字符串或密码策略，使得用户可以将字符串与密码一起包括以完成认证。

在其它示例中，密码更新模块110可以以其它方式确保密码改变遵守密码策略。例如，密码策略可以拒绝包含一定数量连续字符的密码字符串，遵守密码重新使用规则等。因此，密码更新模块可以在接受对主密码的密码更新之前施行这些类型的验证。

虽然本文中的一些示例描述了基于密码策略而生成并且将固定字符串连结到管理员密码。在其它示例中，代替地，可以连结基于密码策略而选择的随机字符串。随机字符可以根据连结之前的次序、根据附加的字符数量等在字符集内变化。通过说明的方式，用于指定小写字母、大写字母和数字的密码策略的一些随机生成的字符串可以包括，例如：“m6l”、“l91be”、“4meb1ee”等。当使用随机字符串时，字符串可以安全地存储在bios100内，以允许在稍后的时间点处检索它们，所述稍后的时间点诸如当字符串供应模块150设法向用户提供字符串时。

图2图示了示例方法200。方法200可以体现在存储处理器可执行指令的非暂时性处理器可读介质上。指令当由处理器执行时可以使处理器施行方法200。在其它示例中，方法200可以存在于专用集成电路（asic）的逻辑门和/或ram内。

方法200可以施行与密码更新相关联的各种任务。方法200包括在210处接收修改管理员密码的请求。可以在设备的基本输入/输出系统（bios）中接收修改管理员密码的请求。该请求可以包括用户设法用来更新管理员密码的字符串。

方法200还包括在220处更新管理员密码。更新管理员密码可以涉及对在动作210处所接收的管理员密码施行某种类型的加密（例如，使用散列函数）。然后可以存储加密的密码，使得未来当输入密码时，可以使用相同的函数对其重新加密，并且与存储的值进行比较。

方法200还包括在230处识别第一密码。第一密码可以与管理员密码绑定。第一密码可以与例如通电密码、管理引擎bios扩展密码、驱动锁定密码等相关联。在一些示例中，第一密码可以基于与第一密码相关联地存储的标志而被绑定到管理员密码，所述标志发信号通知第一密码应该基于管理员密码而被维持。

方法200还包括在240处生成第一更新密码。第一更新密码可以通过将字符串连结到管理员密码来生成。字符串可以基于第一密码的密码策略而生成。字符串可以被连结为前缀、后缀等。字符串可以有计划地生成、随机生成等。

方法200还包括在250处更新第一密码。第一密码可以被更新为第一更新密码。在各种示例中，更新第一密码可以包括将第一更新密码的加密版本存储在安全存储装置中。加密版本可以促进验证涉及第一密码的未来访问尝试。

图3图示了与密码更新相关联的方法300。方法300包括类似于上面参考方法200（图2）所描述的若干动作。例如，方法300包括在310处接收修改管理员密码的请求，并且在320处更新管理员密码。

方法300还包括在330处识别密码集。密码集可以包括如上面参考方法200所描述的第一密码。密码集可以通过安全策略来识别。安全策略可以指定应该与管理员密码保持绑定的密码列表。因此，方法300可以促进更新密码集的每个成员。

更新密码集可以包括在340处生成更新密码集。可以通过将相应字符串连结到管理员密码来生成更新密码集的成员。相应字符串可以基于密码集的成员的相应密码策略来生成。然后，在350处，密码集的成员可以被更新为对应的更新密码。

方法300还包括在360处提供字符串。可以在检测到试图访问由第一密码所防护的资源时提供字符串。提供字符串可以促进准予对资源的访问。可以通过例如将字符串与输入的密码无声地连结，向用户提供与第一密码相关联的密码策略的提醒，用字符串初始化文本输入字段等来提供字符串。

图4图示了与密码更新相关联的系统400。系统400包括数据存储410。数据存储410可以存储模块密码集的密码元数据。模块密码集的成员可以控制对相应基本输入/输出系统（bios）模块集的访问。密码元数据可以包括密码的密码策略。密码元数据还可以包括模块密码集的成员的同步设置。同步设置可以指示模块密码集的哪些成员应该与管理员密码同步。

系统400还包括管理员密码更新模块420。管理员密码更新模块420可以促进对bios的管理员密码的修改。因此，管理员密码更新模块可以允许根据在bios中所指定的安全规则将管理员密码修改为由用户所请求的新密码。

系统400还包括模块密码更新模块430。模块密码更新模块430可以将模块密码集的成员改变为与字符串连结的管理员密码。这可以例如在管理员密码已经被管理员密码更新模块420更新之后完成。字符串可以基于与相应模块密码相关联的密码策略来生成。通过说明的方式，指定密码包括特殊字符和数字的密码策略可能使字符串“!1”与管理员密码连结。在各种示例中，模块密码更新模块430可以基于存储在数据存储410中的同步设置而选择要改变的模块密码集的成员。

图5图示了与密码更新相关联的系统500。系统500包括上面参考系统400（图4）所描述的若干项。例如，系统500包括数据存储510、管理员密码更新模块520以及模块密码更新模块530。

系统500还包括锁定模块540。锁定模块540可以防止通过存储在数据存储510中的同步设置来修改被指示为与管理员密码同步的模块密码集的成员。

系统500还包括同步更新模块550。同步更新模块550可以允许用户调整模块密码集的哪些成员应该与管理员密码同步。

系统500还包括前缀供应模块560。前缀供应模块560可以检测用户何时正在设法访问由模块密码集的成员所保护的bios模块。当这样检测到用户时，前缀供应模块560可以向用户提供所提供的字符串。所提供的字符串可以基于与模块密码集的成员相关联的密码策略而生成。可以通过例如将所提供的字符串与输入的密码无声地连结，向用户提供与模块密码集的成员相关联的密码策略的提醒，以及用所提供的字符串初始化文本输入字段等来提供所提供的字符串。

系统500还包括检测模块570，其用于检测具有模块密码的新的bios模块的安装。检测模块570然后可以生成与新的bios模块相关联的密码元数据。

图6图示了其中可以操作示例系统和方法以及等同物的示例计算设备。示例计算设备可以是计算机600，其包括通过总线630连接的处理器610和存储器620。计算机600包括密码更新模块640。密码更新模块640可以单独或组合地施行上面参考示例系统、方法等所描述的各种功能。在不同的示例中，密码更新模块640可以实现为存储处理器可执行指令的非暂时性计算机可读介质、以硬件实现为专用集成电路、和/或其组合。

指令也可以作为数据650和/或过程660呈现给计算机600，所述数据650和/或过程660临时存储在存储器620中，并且然后由处理器610执行。处理器610可以是包括双微处理器和其它多处理器架构的各种处理器。存储器620可以包括非易失性存储器（例如，只读存储器、闪速存储器、忆阻器）和/或易失性存储器（例如，随机存取存储器）。存储器620也可以是例如磁盘驱动、固态盘驱动、软盘驱动、磁带驱动、闪速存储器卡、光盘等。因此，存储器620可以存储过程660和/或数据650。计算机600还可以以许多配置（未示出）与包括其它计算机、设备、外设等的其它设备相关联。

应当理解，提供所公开示例的先前描述以使得本领域的任何技术人员能够制作或使用本公开。对这些示例的各种修改对于本领域技术人员来说将是显而易见的，并且在不脱离本公开的精神或范围的情况下，本文中所定义的一般原理可以应用于其它示例。因此，本公开不意图限于本文中所示出的示例，而是要符合与本文中所公开的原理和新颖特征一致的最宽范围。