在计算机系统中配备主动管理技术(amt)的制作方法

专利名称：在计算机系统中配备主动管理技术(amt)的制作方法
技术领域：
本发明涉及在计算机系统中配备主动管理技术(AMT)。
背景技术：
计算机系统可允许配备(provision) Intel⑧主动管理技术(AMT) 以支持诸如发现、修复和保护计算机系统等特性。在计算机系统中配 备Intel⑧主动管理技术(AMT)时，企业IT部门的技术人员可在最终用 户区域或IT集结区域(IT staging area)手动提供配置值。

发明内容
本发明提供一种方法，包括将更新命令发送到客户机装置以检 查所述客户机装置是否支持主动管理技术，在从客户机装置接收主动 管理技术值后，在管理控制台中生成一次性密码，在配备服务器和所 述客户机装置中存储所述一次性密码，指导所述主动管理技术打开网 络接口以侦听建立消息，如果完全限定域名不可得到，则识别所述配 备服务器，使用所述一次性密码鉴定所述客户机装置，使用证书链鉴 定所述配备服务器，审计所述配备服务器，以及在所述客户机装置与 所述配备服务器之间建立安全的连接。
本发明还提供一种计算装置，包括支持管理代理的处理器，其 中所述管理代理要在从管理控制台接收更新请求后，将主动管理技术 值发送到所述管理控制台；以及耦合到所述处理器的芯片组，其中所 述芯片组要将主动管理技术值提供到所述管理代理，在从所述管理控 制台接收一次性密码后在非易失性存储器中存储所述一次性密码，指 导所述主动管理技术打开网络接口以侦听建立消息，如果完全限定域 名不可得到，则识别配备服务器，使用证书链鉴定所述配备服务器，以及在建立与所述配备服务器的安全连接前审计所述配备服务器。
本发明还提供一种包括多个指令的机器可读介质，所述指令响应
被执行而导致计算装置发送主动管理技术值以响应接收更新命令， 在客户机装置中存储一次性密码，指导所述主动管理技术打开网络接 口以侦听建立消息，如果完全限定域名不可得到，则识别配备服务器， 使用所述一次性密码鉴定所述客户机装置，使用证书链鉴定所述配备 服务器，审计所述配备服务器，以及在所述客户机装置与所述配备服 务器之间建立安全的连接。


本文中所述的发明在附图中以示例而非限制的方式示出。为示图 的简明和清晰起见，图中所示元件不一定按比例画出。例如，为清晰 起见， 一些元件的尺寸相对其它元件可能显得过大。此外，在认为适 当之处，参考标号已在图中重复以指示一致或类似的元件。
图1示出环境100的实施例。
图2示出执行用于选择配备方案的选项选择过程的客户机装置 105的实施例。
图3示出流程图，显示了用于在客户机装置中配备AMT的非安 全DNS后缀选项。
图4示出流程图，显示了在使用安全的DNS后缀选项在客户机装 置中配备AMT时在IT集结区域执行的操作。
图5示出流程图，显示了在使用安全的DNS后缀选项在客户机装 置中配备AMT时在最终用户区域执行的操作。
图6示出流程图，显示了在使用PID/PPS选项在客户机装置中配 备AMT时在IT集结区域执行的操作。
图7示出流程图，显示了在使用PID/PPS选项在客户机装置中配 备AMT时在最终用户区域执行的操作。
具体实施例方式
下面的说明描述在计算机系统中配备主动管理技术(AMT)。在下 面的说明中，陈述了许多特定的细节以便提供本发明更详尽的理解， 如逻辑实现、资源分区或共享或系统组件的重复实现、类型和相互关 系及逻辑分区或集成选择。然而，本领域的技术人员将理解，可无需 此类特定细节而实践本发明。其它情况下，控制结构、门级电路和全 部软件指令序列未详细示出以免使本发明不明确。通过所包括的说 明，本领域的技术人员将能够在不进行不当实验的情况下实现正确的 功能。
说明书中对"一个实施例"、"实施例"、"示例实施例"的引 用指所述实施例可包括特定特征、结构或特性，但每个实施例可以不 一定包括特定特征、结构或特性。另外，此类短语不一定指相同的实 施例。此外，在结合实施例描述某个特定特征、结构或特性时，认为 结合无论是否明确描述的其它实施例实现此类特征、结构或特性是在 本领域技术人员的认知之内。
本发明的实施例可以在硬件、固件、软件或其任何组合中实现。 本发明的实施例也可实现为存储在机器可读介质上的指令，指令可由 一个或多个处理器读取和执行。机器可读介质可包括用于以机器(例 如，计算装置)可读形式存储或发射信息的任何机制。
例如，机器可读介质可包括只读存储器(ROM)、随机访问存储器 (RAM)、磁盘存储介质、光存储介质、闪存装置。此外，固件、软件、 例程和指令可在本文中描述为执行某些动作。但是，应理解，此类说 明只是为了方便，并且此类动作实际上源于计算装置、处理器、控制 器和执行固件、软件、例程和指令的其它装置。
图1中示出了网络环境100的实施例。在一个实施例中，网络环 境100可包括客户机系统105、网络160、动态主机配置协议(DHCP) 服务器165、域名系统(DNS)服务器170、配备服务器180和管理控制 台190。网络160可耦合计算装置，如客户机装置105、DHCP服务器165、 DNS服务器170、配备服务器180和管理控制台190。网络160可包
105、 DHCP服务器165、 DNS服务器170、配备服务器180、和管理 控制台190之间传送数据的网络装置。在一个实施例中，网络160的 网络装置可支持传输控制协议/因特网协议套件(TCP/IP)、用户数据报 协议(UDP)及类似的其它协议套件。
DHCP服务器165可将IP地址指配给耦合到网络160的计算装置 以响应从计算装置接收请求。在一个实施例中，DHCP服务器165可 提供客户机装置105在经域名系统(DNS)解析主机名称时可使用的域 名。在一个实施例中，DHCP服务器165可动态指配IP地址给客户机 装置105以响应4户机装置105接收请求。DHCP服务器165也可 将客户机装置105的默认网关、子网掩码、IP地址及此类其它相似的 参数提供给客户机装置105 。
DNS服务器170可将域名转换成IP地址。DNS服务器170可将 配备服务器180的联系信息提供给客户机装置105，并将客户机装置 105的联系信息提供到配备服务器180。 DNS服务器170也可支持管 理服务器190定位客户机装置105的地址信息。
在建立阶段期间，管理控制台190可联系客户机装置105，并发 送更新请求以确定客户机装置105是否支持AMT。如果客户机装置 105支持AMT，管理控制台190可从客户机装置105接收AMT值以 响应更新请求。在一个实施例中，管理控制台190可在从客户机装置 105接收AMT值后生成一次性密码(OTP)。在一个实施例中，AMT 值可包括通用唯一标识符(UUID)、 AMT版本标识符及此类其它值。 在一个实施例中，AMT值可唯一地识别客户机装置105,并指示客户 机装置105是否支持主动管理技术。在一个实施例中，管理控制台190 可将AMT值和OTP发送到配备服务器180,并将OTP发送到客户机 装置105。在一个实施例中，管理控制台190可支持客户机装置105定位配备服务器180和DNS服务器170。
配备服务器180可支持在客户机装置105上的AMT配备。在一 个实施例中，配备服务器180可支持建立和配置应用，如lntel⑧建立 和配置服务(SCS)。在一个实施例中，配备服务器180也可从管理控制 台190接收AMT值和OTP，并可存储AMT和OTP以确保配备服务 器180正在与正确的客户机装置105通信。在一个实施例中，配备服 务器180可使用AMT值和OTP鉴定客户机装置105。在一个实施例 中，配备服务器180可从客户机装置105接收问候分组(hello packet), 并可将问候分组中嵌入的OTP与鉴定客户机装置105前存储的OTP 进行比较。在一个实施例中，配备服务器180可在从客户机装置105 接收自签名证书后发送证书链。在一个实施例中，证书链可用于鉴定 配备服务器180。在一个实施例中，配备服务器180可在相互鉴定完 成后建立与客户机装置105的安全会话。在一个实施例中，配备服务 器180的鉴定可避免欺诈配备服务器将自己鉴定为配备服务器180。
客户机装置105可支持主动管理技术(AMT)组件，这些组件可允 许在客户机装置105上自动配备主动管理技术。在一个实施例中，建 立和配置主动管理技术的过程可称为配备。客户机装置105上主动管 理技术的配备可使得能够远程地发现、修复和保护客户机装置105。 在一个实施例中，AMT可实现改进的资产管理、IT部门技术人员最 少量的现场维修、改进的安全级别、远程故障检测及此类其它类似的 特征。在一个实施例中，客户机装置105可通过网络接口 150与网络 160耦合以便与配备服务器180和管理控制台190连接。
在一个实施例中，客户机装置105可支持零接触和单接触配备特 征，这可使得客户机系统105能够自动建立与配备服务器180的安全 连接。在一个实施例中，零接触配备特征可使得客户机装置105能够 自动配备主动管理技术，而IT技术人员不必在IT集结区域和最终用 户区域手动配置客户机装置105。在一个实施例中，零接触配备可使 用非安全的DNS后缀选项或安全的DNS后缀选项来执行。在一个实施例中，非安全的DNS后缀选项可指其中AMT使用 DHCP服务器获得在该DNS域中客户机装置的FQDN的DNS后缀的 配备特征。在一个实施例中，FQDN可用于识别在该DNS域中的正 确的配备服务器。然而，在使用非安全的DNS后缀选项时，但敌对 者可控制DHCP服务器并使AMT断定客户机装置105在敌对者的 DNS域中。在一个实施例中，安全的DNS后缀选项可指其中配备月良 务器180的FQDN可根据购买合同由OEM提供到AMT的配备特征。 在一个实施例中，支持AMT的客户机装置105可不联系DHCP服务 器150以识别配备服务器180。
在一个实施例中，单接触配备特征可允许在IT集结区域配置客户 机系统105,并随后在最终用户区域使用而不必在最终用户区域配置 AMT。在一个实施例中，单接触配备可使用安全DNS选项或者配备 标识符/配备预共享密钥或配备密码短语(PID/PPS)选项。在一个实施 例中，PID/PPS可表示可用于配备AMT的安全密钥。在一个实施例 中，单接触配备特征可使得客户机系统105能够自动建立与配备服务 器180的安全连接，而IT技术人员不必在最终用户区域手动配置客户 机装置105。在一个实施例中，IT集结区域可指在向最终用户发布计 算机系统之前和之后配置、建立、跟踪和修复计算机系统的企业组织 的IT部门。
在一个实施例中，客户机系统105可包括应用程序110、操作系 统(OS) 120和硬件单元150。在一个实施例中，硬件单元150可包括 中央处理单元(CPU) 152、芯片组155、存储器156、 NVRAM 157、 BIOS 158及网络接口 159。在一个实施例中，客户机装置105可支持 零接触或远程配置(RCFG)以远程启动在客户机装置105与配备服务 器180之间安全且经签定的通信信道。
中央处理单元152可耦合到芯片组155，芯片组155可允许CPU 152与存储器156、NVRAM 157、BIOS 158及诸如网络接口 159等I/O 装置连接。中央处理单元152可支持操作系统120,操作系统120可管理CPU 152的资源并调度应用程序110。在一个实施例中，CPU 152可包括Intel 系列的微处理器。在一个实施例中，AMT的配备可由诸如Intel vPro 和Intel Centrino⑧等平台支持。
芯片组155可包括可支持主动管理技术(AMT)的主动管理单元153。在一个实施例中，芯片组155如果支持AMT则可称为AMT启用的芯片组。在一个实施例中，主动管理单元153可包括诸如管理引擎(ME)等可编程处理单元以支持主动管理技术(AMT)。在一个实施例中，主动管理单元153可由硬件150的其它部件支持，如CPU 152，或者主动管理单元153也可提供为独立的组件。在一个实施例中，AMT固件组件可由诸如NVRAM 157等非易失性储存器支持。在一个实施例中，主动管理单元153可执行固件代码以在客户机系统105上配备AMT。
在一个实施例中，主动管理单元(AMU) 153可支持Intel AMT的配备。在一个实施例中，客户机系统105可使用零接触配备或单接触配备方案来配备AMT。在一个实施例中，主动管理单元(AMU) 153可在使用零接触配备方案时支持延迟配备。在使用延迟配备时，AMU153可在安装才喿作系统120后配备AMT。
在一个实施例中，主动管理单元(AMU) 153可在使用单接触配备时使用延迟配备或棵机(bare-metal)配备。在一个实施例中，主动管理单元153在使用棵机配备时可在安装操作系统120前配备AMT。在一个实施例中，主动管理单元153可配备AMT，并且客户机装置105可随后通过由配备AMT建立的安全连接，从远程源下载操作系统120。
图2示出了选择选项以在客户机装置105上配备AMT的实施例。在框210中，主动管理单元153可确定证书哈希是否在NVRAM 157中存在，并在证书哈希不存在时控制传递到框230,否则，传递到框260。在一个实施例中，证书哈希可包括受信任的X509v3_Root证书的加密哈希。在一个实施例中，主动管理单元153可比较由配备服务器180提供的证书链的根证书的哈希值和NVRAM 157中存储的证书哈希。如果未发现匹配，则控制传递到框230，否则传递到框260。在一个实施例中，原始设备制造商(OEM)可在NVRAM 157中存储SHA-1证书哈希。SHA-1证书哈希可在安全应用程序和协议中使用，包括传输层安全(TLS)、安全套"I妄层(SSL)、 IPsec和类似的其它加密协议。在一个实施例中，OEM可生成证书p合希，或者可使用平台供应商提供的证书哈希。在一个实施例中，OEM可在将客户机装置105运送到最终用户前在NVRAM 157中存储证书p合希的映^f象。
在框230中，主动管理单元153可检查PID/PPS值是否可得到，并在PID/PPS值不可得到时，控制传递到框240，在PID/PPS值可得到时，控制传递到框250。在一个实施例中，OEM可在将客户机装置105运送到最终用户之前在BIOS 158中存储PID/PPS值。
在框240中，主动管理单元153可等待单接触配备，这可在企业IT部门的IT集结区域开始。在框250中，主动管理单元153可启动下面图6和图7中所述的PID/PPS配备选项。
在框260中，主动管理单元153可4企查PID/PPS值的存在，并在PID/PPS值不存在时，控制传递到框270,在PID/PPS值存在时，控制传递到框295。在一个实施例中，OEM可在将客户机105运送到最终用户之前在BIOS 158中存储PID/PPS值。
在框270中，主动管理单元153可检查诸如配备服务器180的完全限定域名(FQDN)等建立值是否可得到。在一个实施例中，OEM可在BIOS 158中存储配备服务器180的FQDN。在配备服务器180的FQDN在BIOS 158中不存在时，控制传递到框280,并且在FQDN在BIOS 158中存在时，控制传递到框295。
在框280中，主动管理单元153可使用下面图3中所述的非安全DNS配备选项。在框290中，主动管理单元153可使用下面图4和图5中所示的安全DNS配备选项。在框295中，主动管理单元153可使用下面图6和图7中所示的PID/PPS配备选项。图3的流程图中示出使用非安全DNS选项的配备AMT的实施例。在一个实施例中，非安全DNS配备选项可用于在安装操作系统120后配备客户机装置105。在框305中，管理控制台190可联系客户机装置105以发现主动管理技术(AMT)的存在。在一个实施例中，管理控制台190可发送更新请求。
在框310中，管理代理125可确定客户机装置105是否包括AMT。在一个实施例中，管理代理125可启动驱动程序135，该驱动程序可与芯片组155连接以确定芯片组155是否是AMT已启用的。在一个实施例中，驱动程序135可发送查询分组到芯片组155,并且可接收包括状态比特的响应分组，其状态可指示AMT的存在。如果芯片组155包括AMT，则控制传递到框315,否则配备方案结束。
在框315中，管理代理125可从主动管理单元153检索AMT值。在一个实施例中，管理代理125可启动驱动程序135,该驱动程序可发送查询到主动管理单元153,该单元可从NVRAM 157和BIOS 158检索AMT信息。在一个实施例中，驱动程序135可包括管理引擎接口 (MEI)或HECI驱动程序。在一个实施例中，AMT值可包括诸如配置模式、配置状态、AMT版本和类似的其它值的AMT值。在一个实施例中，管理代理125可接收通用唯一标识符(UUID)、 AMT版本和类似的其它值。在一个实施例中，UUID可唯一地识别客户机装置105,而不依赖才喿作系统120的安装状态。
在框320中，管理代理125可将AMT值发送到管理控制台190。在一个实施例中，AMT值可由管理控制台190用于确定客户机装置105是否支持AMT。在一个实施例中，管理控制台190可将AMT值转发到配备服务器180。
在框325中，管理控制台190可生成一次性密码(OTP)，该密码可发送到管理代理125和配备服务器180。在一个实施例中，如果客户机装置105从OEM装运，并且AMT设置在"侦听模式"，则可生成OTP。在一个实施例中，OTP可由配备服务器180用于鉴定客户机
14装置105。
在框330中，管理代理125可接收OTP并且在NVRAM 157中存 储OTP。
在框335中，管理代理125可启用主动管理单元153以打开网络 接口以接收建立消息。在一个实施例中，管理代理125可发送诸如 AMTEnableNetworkSetupListen()命令等命令，启用AMU 153以打开 端口并侦听诸如传输层安全(TLS)建立消息等建立消息。在一个实施例 中，主动管理单元153可在网络接口打开后获得客户机装置105的IP 地址。
在框340中，主动管理单元153可生成密钥对和自签名证书。在 一个实施例中，密钥对和自签名证书可用于在配备服务器180与客户 机装置105之间提供受保护信道。在一个实施例中，主动管理单元153 可执行证书生成代码以生成密钥对和自签名证书。在一个实施例中， 主动管理单元153可生成具有2048比特模数的RSA私有和公共密钥 对和使用该RSA私有和公共密钥对的自签名证书(乂.509￥3)。在一个 实施例中，主动管理单元153可在AMU 153的私有数据区域中存储 密钥对和签名证书。在一个实施例中，主动管理单元153可在密钥对 和签名证书生成后将例如AMTProvKeyGenSuccessfUl的比特设为真 (TRUE)。
在框345中，主动管理单元153可检查诸如配备服务器180的 FQDN等建立值是否可得到，并且在FQDN不可得到时控制传递到框 350,否则传递到框355。
在框350中，主动管理单元153可获得网络160的DNS后缀。在 一个实施例中，主动管理单元153可从DHCP服务器165获得DNS 后缀。在一个实施例中，主动管理单元153可使用DHCP的选项15 获得DNS后缀。在一个实施例中，主动管理单元153可使用DNS后 缀定位配备服务器180的IP地址。在一个实施例中，主动管理单元 153可将"问候"分组发送到配备服务器180。在一个实施例中，问候分组可包括客户机装置105的AMT值。
在框355中，配备服务器180可打开与客户机装置105的主动管 理单元153的相互鉴定会话。在一个实施例中，配备服务器180可打 开与主动管理单元153的传输层安全(TLS)相互鉴定会话。
在框360中，配备服务器180可创建与主动管理单元153的相互 鉴定连接。在一个实施例中，配备服务器180和客户机装置105可使 用TLS握手协议建立相互鉴定连接。在一个实施例中，作为TLS握 手协议的一部分，主动管理单元153可将自签名证书发送到配备服务 器180，并且在响应中，配备服务器180可接收来自配备服务器180 的包括信任证书的根的证书链。
在一个实施例中，主动管理单元153可计算信任证书的根的哈希， 并且通过比较该哈希值和NVRAM 157中存储的哈希值列表而验证证 书链。在一个实施例中，主动管理单元153可通过比较配备服务器180
后缀而l金证DNS后缀。在一个实施例中，主动管理单元153也可-验 证证书使用以检验证书链是否是针对配备AMT的。在一个实施例中， 主动管理单元153也可检查配备服务器鉴定以检验AMU 153是否正 在与正确的配备服务器通信。如果上述-睑证成功，则主动管理单元153 可信任配备服务器180。此类方案可减少欺诈配备服务器鉴定为配备 服务器180的机会。
在框365中，主动管理单元153可审计配备服务器180的信息。 在一个实施例中，AMT固件可保持每个配备尝试的审计记录。在一 个实施例中，主动管理单元153可将审计信息写入NVRAM 157中。 在一个实施例中，审计信息可包括第一字段(比特l-2:指示方法； 比特3:指示模式-交"iiH/侦听；以及比特4-8:保留)；256字节的 第二字段，如在证书中存储的存储配备服务器180的FQDN; 20字节 的第三字段，存储受信任的根证书的哈希值；包括三个16字节阵列 的第四字段，用于存储中间证书机构的序列号；1比特的第五字段，
16指示用于生成上述哈希值的哈希算法；指示TLS会话建立的时间/曰 期的第六字段；指示配备服务器180的IP地址的第七字段；以及指 示证书是否通过时间有效性检查的第八字段。
在框370中，配备服务器180可请求主动管理单元153发送在框 330中接收的OTP。在框375中，配备服务器180可验证从主动管理 单元153接收的OTP。在一个实施例中，配备服务器180可比较在框 325中从管理控制台190接收的OTP和从主动管理单元153接收的 OTP。
在框380中，配备服务器180可建立与客户机装置105的安全连 接。在一个实施例中，配备服务器180可使用TLS或TLS-PSK (预 共享密钥)建立与客户机装置105的安全连接。
在框385中，配备服务器180可使用诸如HTTP分布式网络(digest network)管理员用户名和密码等厂家默认值登录到客户机装置105。
在框390中，配备服务器180可提供配置数据，如PID/PPS证书、 私钥、当前日期和时间、HTTP分布式凭证和HTTP可协商凭证。在 框395中，客户机装置105可重置和启动正常操作。
在一个实施例中，主动管理单元153也可使用安全DNS选项，以 便在客户机装置105上配备AMT。在使用安全DNS选项时，AMU 153 可使用根据购买合同由OEM提供给最终用户的配备服务器180的 FQDN。在一个实施例中，FQDN可由OEM在自定义制造期间存储在 NVRAM 157中。通过避免AMU 153如上面框350中所示从DHCP 服务器165获得DNS后缀，此类方案可提供AMT的安全配备。
图4的流程图中示出使用安全DNS选项在IT集结区域在客户机 装置105上配备AMT的实施例。在一个实施例中，安全DNS选项可 包括在IT集结区域执行的第一部分和在最终用户区域执行的第二部 分。
在框410中，在IT集结区域的技术人员可通过将客户机装置105 耦合到电源而打开客户机装置105电源。在框420中，技术人员可打开AMT BIOS配置屏幕。在一个实施 例中，技术人员可使用功能键打开AMT BIOS配置屏幕。
在框430中，技术人员可使用诸如管理员用户名和密码等厂家默 认设置登录到AMT环境。
在框440中，技术人员可更改BIOS密码。在框450中，技术人 员可提供建立值，如配备服务器180的FQDN。在一个实施例中，FQDN 可由OEM提供。
在框470中，技术人员可提供可选参数。在一个实施例中，技术 人员可选择性地在"交谈，，模式中启用AMT以支持棵机配备。在一 个实施例中，技术人员可输入由配备服务器180提供的一次性密码 (OTP)。在一个实施例中，技术人员也可基于组织的IT政策修改受信 任证书哈希的列表。
在框490中，技术人员可关闭客户机装置105电源，并将客户机 装置105分发到最终用户。在一个实施例中，技术人员可使用通用串 行总线(USB)盘使提供建立参数的过程自动化。在其它实施例中，建 立参数可在OEM制造现场编程到例如NVRAM 157的AMT闪存装 置和BIOS 158中。
图5的流程图中示出使用安全DNS选项在最终用户区域配备 AMT的实施例。在IT集结区域第一部分完成后，客户机装置105可 提供给最终用户。在一个实施例中，框505到580可在最终用户区域 执行。
在框505中，管理控制台190可检查客户机装置105支持的AMT 是否在交谈模式，并且如果客户机装置105不在交谈模式，则控制传 递到框510，否则，传递到框545。在一个实施例中，交谈与侦听模 式设为客户机装置105中的内部状态。
在框510中，管理控制台190可联系客户机装置105以发现主动 管理技术(AMT)的存在。在一个实施例中，管理控制台190可发送更 新请求。在框515中，管理代理125可确定客户机装置105是否包括AMT。 在一个实施例中，管理代理125可启动驱动程序135,该驱动程序可 与芯片组155连接以确定芯片组155是否是AMT已启用的。在一个 实施例中，驱动程序135可发送查询分组到芯片组155，并且可接收 包括状态比特的响应分组，该比特可指示AMT的存在。如果客户机 装置105包括AMT，则控制传递到框525，否则配备方案结束。
在框525中，管理代理125可从主动管理单元153检索AMT值。 在一个实施例中，管理代理125可启动驱动程序135以从主动管理单 元153收集AMT值。在一个实施例中，驱动程序135可将收集AMT 值信号发送到AMU 153。在一个实施例中，AMU 153可从NVRAM 157和BIOS 158检索AMT值，以响应从驱动程序135接收收集AMT 值信号。在一个实施例中，AMT值可包括表示配置模式、配置状态、 AMT版本的AMT值和类似的其它值的值。在一个实施例中，管理代 理125可接收通用唯一标识符(UUID)、 AMT版本和类似的其它值。 在一个实施例中，UUID可唯一地识别客户机装置105,而不依赖操 作系统120的安装状态。
在框530中，管理代理125可将AMT值发送到管理控制台190。 在一个实施例中，发送到管理控制台190的AMT值可转发到配备服 务器180。
在框535中，管理代理125可启用主动管理单元153以打开网络 接口接收建立消息。在一个实施例中，管理代理125可发送例如 AMTEnableNetworkSetupListen()命令的命令，启用AMU 153以打开 网络接口或端口 ，并侦听网络接口上例如传输层安全(TLS)建立消息的 建立消息。
在框540中，主动管理单元153可碎皮动地4笨听DHCP消息以获得 客户机装置105耦合到的网络160的DNS后缀。在一个实施例中， 客户机装置105支持的主机操作系统可与DHCP服务器170主动通信， 并且AMU 153可被动地探听DHCP消息以了解DHCP信息。在一个实施例中，DHCP探听可阻止欺诈DHCP服务器，消除DHCP广播请 求可见性，并且防止DHCP服务器地址耗竭攻击。
在框545中，主动管理单元153可确定客户机装置105的IP地址。 在一个实施例中，主动管理单元153可将请求发送到DHCP服务器 165,并且可从DHCP服务器165接收IP地址。在一个实施例中，如 果主动管理单元153设置在交谈模式，则到达框545。在一个实施例 中，如果主动管理单元153设置在交谈模式，则可使用棵机配备方案。
在框550中，主动管理单元153可通过使用在框450中提供的配 备服务器180的FQDN来查询DNS服务器170从而定位配备服务器 180。
在框555中，主动管理单元153可创建与配备服务器180的连接。 在一个实施例中，主动管理单元153可建立与配备服务器180的TCP 连接，并且可将包括客户机装置105的IP地址、PID值、UUID、 ROM 和固件版本号及此类其它类似值的问候分组发送到配备服务器180。
在框560中，配备服务器180可打开与客户机装置105的主动管 理单元153的相互鉴定会话。在一个实施例中，配备服务器180可打 开与主动管理单元153的传输层安全(TLS)相互鉴定会话。
在框565中，配备服务器180可建立与主动管理单元153的相互 鉴定连接。在一个实施例中，相互鉴定连接可使用TLS握手协议建立。 在一个实施例中，作为TLS握手协议的一部分，主动管理单元153可 将自签名证书发送到配备服务器180,并且可从配备服务器180接收 包括信任证书的根的证书链。
在一个实施例中，主动管理单元153可计算信任证书的根的哈希， 并且通过比较该哈希值与NVRAM 157中存储的哈希值列表而验证证 书链。在一个实施例中，主动管理单元153可通过比较配备服务器180
证DNS后缀。在一个实施例中，主动管理单元153也可验证证书使 用以检验证书链是否是针对配备AMT的。在一个实施例中，主动管
20理单元153也可检查服务器鉴定。如果上述验证成功，则主动管理单 元153可信任配备服务器180。此类方案可减少欺诈配备服务器鉴定 为配备服务器180的机会。
在框568中，主动管理单元153可审计配备服务器180的信息。 在一个实施例中，AMT固件可保持最后配备尝试的审计记录。在一 个实施例中，主动管理单元153可将审计信息写入NVRAM 157中。
在框570中，配备服务器180可搜索数据库以检查OTP是否设置 用于客户机装置105。在一个实施例中，配备服务器180可基于企业 政策设置OTP。
在框575中，配备力良务器180可请求主动管理单元153发送在框 470中提供到客户机装置105的OTP。在框580中，配备服务器180 可验证从主动管理单元153接收的OTP。在一个实施例中，配备服务 器180可比较从数据库检索的OTP和从主动管理单元153接收的 OTP。
在框590中，配备服务器180可建立与客户机装置105的安全连 接。在一个实施例中，配备服务器180可使用TLS或TLS-PSK (预 共享密钥)建立与客户机装置105的安全连接。
图6的流程图中示出使用PID/PPS选项在IT集结区域在客户机装 置105上配备AMT的实施例。
在框610中，技术人员可请求配备服务器180生成建立值，如 PID/PPS对。在一个实施例中，配备月l务器180可生成诸如配备标识 符(PID)等可以是预共享密钥的公共部分的第二建立值和诸如配备密 码短语(PPS)等预共享密钥的私有部分的第三建立值。
在框620中，在IT集结区域的技术人员可打开客户机装置105 的电源。在框630中，技术人员可打开AMTBIOS配置屏幕。在一个 实施例中，技术人员可使用功能键打开AMT BIOS配置屏幕。
在框640中，技术人员可使用诸如管理员用户名和密码等厂家默 认设置登录到AMT环境。在框650中，技术人员可更改BIOS密码。在框660中，技术人 员可将诸如PID/PPS对等第二和第三建立值输入BIOS中。在一个实 施例中，技术人员可输入在框610中由配备服务器180生成的PID/PPS对。
在框670中，技术人员也可输入诸如配备服务器180的IP地址或 FQDN等第一建立值。在一个实施例中，FQDN或IP地址可存储在 NVRAM 157中。在一个实施例中，FQDN可由OEM提供。
在框680中，技术人员可提供可选建立参数。在一个实施例中， 技术人员可选择性地在"交谈"模式中启用AMT以支持棵机配备。 在一个实施例中，技术人员可输入由配备服务器180提供的一次性密 码(OTP)。在一个实施例中，技术人员也可基于組织的IT政策修改受 信任证书哈希的列表。
在框690中，技术人员可关闭客户机装置105的电源，并将客户 机装置105分发到最终用户。在其它实施例中，技术人员可使用通用 串行总线(USB)盘使提供建立参数到主动管理单元153的过程自动化。 在其它实施例中，建立参数可在OEM制造现场编程到例如NVRAM 157的AMT闪存装置和BIOS 158中。
图7的流程图中示出使用PID/PPS选项在最终用户区域配备AMT 的实施例。
在框705中，管理控制台190可检查由客户机装置105支持的 AMT是否在交谈模式，并且如果客户机装置105不在交谈模式，则 控制传递到框710，否则，传递到框750。
在框710中，管理控制台190可联系客户机装置105以发现主动 管理技术(AMT)的存在。在一个实施例中，管理控制台190可发送更 新请求。
在框715中，管理代理125可确定客户机装置105是否包括AMT。 在一个实施例中，管理代理125可启动驱动程序135，该驱动程序可 与芯片组155连接以确定芯片组155是否是AMT已启用的。在一个实施例中，驱动程序135可发送查询分组到芯片组155,并且可接收 包括状态比特的响应分组，其状态可指示AMT的存在。如果客户机 装置105包括AMT，则控制传递到框725,否则配备方案结束。
在框725中，管理代理125可从主动管理单元153检索AMT值。 在一个实施例中，管理代理125可启动驱动程序135,该驱动程序可 发送查询到主动管理单元153，该单元可/人NVRAM 157和BIOS 158 检索AMT值。在一个实施例中，AMT值可包括配置模式、配置状态、 AMT版本和此类其它类似值。在一个实施例中，管理代理125可接 收通用唯一标识符(UUID)、 AMT版本和类似的其它值。在一个实施 例中，UUID可唯一地识别客户机装置105,而不依赖操作系统120 的安装状态。
在框730中，管理代理125可将AMT值发送到管理控制台190。 在一个实施例中，管理控制台190可将AMT值转发到配备服务器180。
在框735中，管理代理125可启用主动管理单元153以打开网络 接口接收建立消息。在一个实施例中，管理代理125可发送诸如 AMTEnableNetworkSetupListen()命令等命令，以启用AMT以打开其 网络接口并侦听建立消息。在一个实施例中，建立消息可包括在网络 接口上的传输层安全(TLS)建立消息。
在框750中，主动管理单元153可确定客户机装置105的IP地址。 在一个实施例中，主动管理单元153可将请求发送到DHCP服务器 165，并且可从接收自DHCP服务器165的响应中检索IP地址。
在一个实施例中，如果主动管理单元153配置在交谈;漠式，则到 达框750。在一个实施例中，如果主动管理单元153设置在交谈;漠式， 则可使用棵机配备方案。
在框755中，主动管理单元153可通过使用在框670中提供的配 备服务器180的FQDN来查询DNS服务器170从而定位配备服务器 180。
在框760中，主动管理单元153可建立与配备服务器180的连接。在一个实施例中，主动管理单元153可建立与配备服务器180的TCP 连接，并且可将包括客户机装置105的IP地址、PID、 UUID、 ROM 和固件版本号及此类其它类似值的问候分组发送到配备服务器180 。
在框765中，配备服务器180可搜索预主密(pre-master secret)。 在一个实施例中，预主密可用于生成主密钥和会话密钥。
在框770中，配备服务器180可打开与客户机装置105的主动管 理单元153的传输层安全(TLS)预共享密钥(PSK)TLS-PSK会话。在一 个实施例中，预共享密钥可包括^^共部分和私有部分。在一个实施例 中，公共部分可包括预共享密钥的配备标识符(PID),并且私有部分可 包括预共享密钥的配备密码短语(PPS)。
本发明的某些特征已参照示例实施例进行了描述。然而，描述不 应牙见为限制。本发明有关领域的技术人员明白，示例实施例以及本发 明的其它实施例的各种修改应视为在本发明的精神和范围内。
权利要求
1. 一种方法，包括将更新命令发送到客户机装置以检查所述客户机装置是否支持主动管理技术，在从客户机装置接收主动管理技术值后，在管理控制台中生成一次性密码，在配备服务器和所述客户机装置中存储所述一次性密码，指导所述主动管理技术打开网络接口以侦听建立消息，如果完全限定域名不可得到，则识别所述配备服务器，使用所述一次性密码鉴定所述客户机装置，使用证书链鉴定所述配备服务器，审计所述配备服务器，以及在所述客户机装置与所述配备服务器之间建立安全的连接。
2. 如权利要求1所述的方法，其中在所述客户机装置支持的所述主动管理技术配置在侦听模式中时，生成所述一次性密码。
3. 如权利要求1所述的方法，识别所述配备服务器还包括从动态主机配置协议服务器获得域名服务器后缀。
4. 如权利要求l所述的方法，鉴定所述客户机装置还包括从所述客户机装置接收所述一次性密码，以及比较从所述客户机装置接收的所述一次性密码与所述配备服务器中存储的所述一次性密码。
5. 如权利要求4所述的方法，鉴定所述配备服务器还包括提供自签名证书到所述配备服务器，其中所述自签名证书和密钥对由所述客户机装置生成，在所述网络接口上接收包括证书链的所述建立消息，其中所述证书链包括信任的根，以及比较所述证书链的哈希值和多个存储的哈希值。
6. 如权利要求5所述的方法，还包括使用传输层安全协议在所述客户机装置与所述配备服务器之间建立经鉴定的连接。
7. 如权利要求1所述的方法，其中审计所述配备服务器包括保持与所述配备服务器的会话的多个参数的记录。
8. 如权利要求l所述的方法，其中识别所述配备服务器包括通过使用可得到的所述完全限定域名查询所述域名M^务器，定位所述配备服务器。
9. 一种计算装置，包括支持管理代理的处理器，其中所述管理代理要在从管理控制台接收更新请求后，将主动管理技术值发送到所述管理控制台，以及耦合到所述处理器的芯片组，其中所述芯片组要将主动管理技术值提供到所述管理代理，在从所述管理控制台接收一次性密码后在非易失性存储器中存储所述一次性密码，指导所述主动管理技术打开网络接口以侦听建立消息，如果完全限定域名不可得到，则识别配备^^务器，使用证书链鉴定所述配备服务器，以及在建立与所述配备服务器的安全连接前审计所述配备服务器。
10. 如权利要求9所述的计算装置，还包括非易失性存储器，其中如果所述计算装置支持的所述主动管理技术配置在侦听模式中，则所述非易失性存储器要存储所述一次性密码。
11. 如权利要求9所述的计算装置，在所述配备服务器的所述完全限定域名不可得到时，所述芯片组要通过从动态主机配置协议服务器获得域名服务器后缀来确定网络地址。
12. 如权利要求11所述的计算装置，所述芯片组还包括主动管理技术单元，其中所述主动管理技术单元要将自签名证书提供到所述配备服务器，在所述网络接口上从所述配备服务器接收包括证书链的所述建立消息，其中所述证书链包括信任的根，以及比较所述证书链的哈希值和多个存储的哈希值。
13. 如权利要求12所述的计算装置，其中所述主动管理技术单元要使用传输层安全协议建立与所述配备服务器的经鉴定的连接。
14. 如权利要求9所述的计算装置，其中所述芯片组要保持与所述配备服务器的会话的多个参数的记录以审计所述配备服务器。
15. 如权利要求9所述的计算装置，其中所述芯片组要通过使用可得到的所述完全限定域名查询所述域名^11务器，定位所述配备服务器。
16. 如权利要求9所述的计算装置，还包括网络接口，其中所述网络接口要从所述管理控制台接收所述一次性密码，将所述签名的证书发送到所述配备服务器，以及从所述配备服务器接收所述证书链。
17. —种包括多个指令的机器可读介质，所述指令响应被执行而导致计算装置发送主动管理技术值以响应接收更新命令，在客户机装置中存储一次性密码，指导所述主动管理技术打开网络接口以侦听建立消息，如果完全限定域名不可得到，则识别配备^^务器，使用所述一次性密码鉴定所述客户机装置，使用证书链鉴定所述配备服务器，审计所述配备服务器，以及在所述客户机装置与所述配备服务器之间建立安全的连接。
18. 如权利要求17所述的机器可读介质，其中在所述客户机装置支持的所述主动管理技术配置在侦听模式中时，生成所述一次性密
19. 如权利要求17所述的机器可读介质，识别所述配备服务器还 包括从动态主机配置协议服务器获得域名服务器后缀。
20. 如权利要求17所述的机器可读介质，鉴定所述配备服务器还 包括提供自签名证书到所述配备服务器，其中所述自签名证书和密钥 对由所述客户机装置生成，在所述网络接口上接收包括证书链的所述建立消息，其中所述证 书链包括信任的根，以及比较所述证书链的哈希值和多个存储的哈希值。
21. 如权利要求20所述的机器可读介质，还包括使用传输层安全 协议在所述客户机装置与所述配备服务器之间建立经鉴定的连接。
22. 如权利要求17所述的机器可读介质，其中审计所述配备服务 器包括保持与所述配备服务器的会话的多个参数的记录。
23. 如权利要求17所述的机器可读介质，其中识别所述配备服务 器包括通过使用可得到的所述完全限定域名查询所述域名服务器，定 位所述配备服务器。
全文摘要
主动管理技术(AMT)可在客户机装置中自动配备，这可在配备服务器与客户机装置之间提供安全的连接。包括主动管理技术的客户机装置可支持零接触配备和单接触配备。
文档编号H04L9/00GK101478386SQ20081018896
公开日2009年7月8日 申请日期2008年12月22日 优先权日2007年12月21日
发明者A·埃尔达, C·史密斯, D·海恩斯, H·C·赫伯特, P·格尔, U·布卢门萨尔 申请人:英特尔公司