CN102215221A - 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 - Google Patents
从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 Download PDFInfo
- Publication number
- CN102215221A CN102215221A CN2011100961255A CN201110096125A CN102215221A CN 102215221 A CN102215221 A CN 102215221A CN 2011100961255 A CN2011100961255 A CN 2011100961255A CN 201110096125 A CN201110096125 A CN 201110096125A CN 102215221 A CN102215221 A CN 102215221A
- Authority
- CN
- China
- Prior art keywords
- password
- bios
- mobile device
- long
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000011084 recovery Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000005538 encapsulation Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000012797 qualification Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/305—Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
- G06F21/43—User authentication using separate channels for security data wireless channels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
- H04W4/14—Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Stored Programmes (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了允许经授权用户以安全方式远程唤醒、引导以及登录计算机的方法和系统。用户和计算机可利用短消息服务(SMS)进行通信。用户可使用诸如智能电话的移动设备与计算机进行通信。用户可最初向计算机提供唤醒消息,然后计算机可通过要求一个或多个引导口令来作出响应。在一实施例中,这些引导口令可以是计算机BIOS的加载和操作所需的基本输入/输出系统(BIOS)口令。然后用户可将一个或多个这些口令提供给计算机。计算机可进一步要求操作系统(OS)登录口令。然后用户可将该口令提供给计算机。在一实施例中,所有口令可能以加密形式被提供给计算机。此外,可使用认证手段来提供用户合法的保证。
Description
背景技术
人们常常需要远程访问计算机。用户可能需要引导和/或登录到计算机以访问数据或应用。或者,可能需要在计算机上进行维护,但可能无法立刻获得对机器的物理访问。在正常情况下,用户可能需要提供一个或多个引导口令以允许计算机安全引导,且可能需要提供登录口令以访问操作系统(OS)。
如果用户需要远程参与此类交互,则可能出现问题。口令必须被传输至计算机;但通过开放的公共网络(例如因特网)提供口令是有风险的。口令容易被泄密。如果未经授权的一方获得口令,则他或她能佯装经授权用户并访问机器。
附图说明
图1示出根据实施例的在本文中描述的系统的总体处理。
图2是示出根据实施例的管理紧张客户端安全引导和认证模块中的逻辑的框图。
图3是示出根据实施例的远程移动设备中的远程引导模块的框图。
图4示出根据实施例的从远程移动设备到计算机的唤醒消息传输。
图5示出根据实施例的远程BIOS引导策略信息的检索。
图6示出根据实施例的通过管理引擎从远程移动设备对BIOS口令的请求。
图7示出根据实施例的从管理引擎到预引导认证模块的盘解锁/解密口令的转移。
图8示出根据实施例的通过管理引擎从远程移动设备对登录口令的请求。
图9示出根据一个实施例的从管理引擎到操作系统的登录口令的转移。
图10是示出根据实施例的在本文中描述的处理的流程图。
图11是示出本文中描述的系统的软件或固件实施例的框图。
在附图中,附图标记的最左侧数字标识第一次出现该附图标记的附图。
具体实施方式
现在参见附图对优选实施例进行描述,其中相同的附图标记表示相同或功能相似的要素。另外在附图中,每个附图标记最左面的数字与该附图标记第一次使用所在的附图对应。尽管讨论了特定结构和配置,然而应当理解这只是为了解说目的。相关领域内技术人员应当理解,可使用其它结构和配置而不脱离说明书的精神和范围。本领域内技术人员将清楚知道,这也可为本文所描述以外的多种其它系统和场合所采纳。
本文中公开的是允许经授权用户以安全方式远程唤醒、引导以及登录计算机的方法和系统。为此,用户可利用诸如智能电话的移动设备与计算机通信。用户和计算机可利用短消息服务(SMS)进行通信。用户可最初向计算机提供唤醒消息,然后计算机可通过要求一个或多个基本输入/输出系统(BIOS)口令来作出响应。在一实施例中,可能需要这些口令以用于计算机BIOS的操作,以及用于操作系统的最终引导。然后用户可将一个或多个这些口令提供给计算机。计算机可进一步要求操作系统(OS)登录口令。然后用户可将该登录口令提供给计算机。在一实施例中,口令可能以加密形式被提供给计算机。此外,可使用认证手段来提供用户合法的保证。
根据一实施例,本文中所描述的系统的操作大致在图1中示出。在此,用户可寻求远程访问计算机。在该具体示例中,用户可尝试访问在个人计算机(PC)上运行的客户端110。该PC可使用能从华盛顿州雷蒙德市的微软公司获得的一版本的Windows操作系统。用户可使用移动设备120与PC客户端110进行通信。移动设备120可以是智能电话。或者,移动设备120可以是诸如膝上计算机的功能更齐全的计算平台。在又一实施例中,用户可既使用智能电话又使用本地计算机,其中智能电话被束缚于本地计算机。移动设备120可通过网络130与PC客户端110进行通信。网络130可以是例如因特网或诸如3G网络的数据网络,或它们的一些组合。或者,网络130可以是局域网或广域网。在一实施例中,PC客户端110和移动设备120可经由短消息服务(SMS)利用消息进行通信。
移动设备120可通过向PC客户端110发送唤醒消息140来开始。在一实施例中,唤醒消息140可被加密和/或认证。如果唤醒消息140被成功解密和认证,则PC客户端110和移动设备120可参与安全对话,其中PC客户端110从移动设备120请求口令,然后接收这些口令。该对话被示为请求150和口令160。请求150和口令160的传输可以是交织的,以使请求之后是口令,再之后是另一请求和另一口令。PC客户端110可向移动设备120发出一个或多个请求,以寻求一个或多个口令。
口令可包括BIOS口令。如将在下文中更详细描述地,所请求的口令可包括BIOS引导口令、预引导BIOS口令、盘解锁/解密口令、和/或防盗恢复口令。在唤醒消息140的情况下,BIOS口令可被加密和认证。如果BIOS口令被成功解密和认证,则BIOS可启动,且客户端110可从移动设备120请求登录口令。然后移动设备120可通过提供再次被加密和/或认证的登录口令来作出响应。如果登录口令被成功解密和/或认证,则可给予远程用户对OS的访问权,且登录可继续。
在一实施例中,被远程访问的计算机可以是个人计算机,如上所述。这样的计算机可包括在带外处理器上执行的固件,其中该固件提供对PC的管理功能。此类子系统的一个示例是可从加利福尼亚州圣克拉拉市的英特尔公司获得的管理引擎(ME)。本文中描述的系统的逻辑可在ME客户端安全引导和认证模块210中实现,如图2所示。模块210可被实现为ME中的固件。模块210可包括远程BIOS引导策略220。策略220表示定义将给予寻求访问PC的特定方的特权的信息。具体而言,远程BIOS引导策略220可指定如何处理不同的访问尝试源。此类源可以是尝试访问PC的不同的远程用户、组织或机器。远程引导策略220可规定不同的特定用户被区别对待,或不同机器或组织被区别对待。例如,不同的远程用户可受不同的安全协议管辖。例如,此类协议可提供不同的认证和加密方法。一旦接收唤醒消息,就可咨询远程BIOS引导策略220以根据唤醒消息的源来确定将应用的协议。
模块210还可包括远程客户端认证模块230。该模块可负责认证远程用户或客户端。在一实施例中,远程移动设备与ME固件之间的任何信任关系可在服务登记期间建立。在一实施例中,对于从远程移动设备发送至计算机的一些或全部通信可重新验证信任。
模块210还可包括PC客户端全盘加密(FDE)认证模块240。模块240可负责从远程移动设备接收盘解锁/解密口令。FDE认证模块240可在此类事务中提供认证服务。如果认证成功,则FDE认证模块240可将该口令提供给ME固件。然后ME固件可将该口令提供给预引导认证安全远程登录模块(未示出),该模块然后允许引导过程继续。
模块210还可包括PC客户端防盗远程恢复模块250。该模块可负责从远程移动设备接收用户的防盗恢复口令,并提供对恢复口令的认证服务。如果认证通过,则允许引导过程继续。
模块210还可包括PC客户端Windows登录模块260。模块260可负责认证远程登录OS的尝试。登录模块260可经由ME将OS登录口令安全地提供给OS。ME固件可将登录口令提供给预引导认证安全远程登录模块。
根据一实施例,在远程移动设备120处,用于本文中所描述的系统的逻辑可被实现为如图3中可见的远程引导模块310。如上所讨论,远程移动设备120以安全、受信任的关系与PC客户端进行交互。具体而言,在一实施例中,远程移动设备120可被视为远程移动客户端。远程引导模块310可负责向PC客户端发送安全消息。这些消息可包括例如一个或多个BIOS口令和操作系统登录口令。这些消息可被加密,且可被认证。在一实施例中,这些消息通过短消息服务(SMS)或其它合适的通信服务来传输。
这些消息还可包括初始唤醒消息,该初始唤醒消息如果被成功认证,则会导致PC处的活动平台状态。处理可通过将唤醒消息从远程移动设备传输到被寻求访问的计算机来开始。根据一实施例,这在图4中示出。唤醒消息410可从位于远程移动设备处的远程引导模块310发送。唤醒消息410可由远程客户端认证模块230接收。如上所讨论,远程客户端认证模块230可被具现化在管理引擎固件中。唤醒消息410可通过SMS或其它合适的通信服务来传输。在SMS的情况下,唤醒消息410可由诸如PC客户端处的3G调制解调器的调制解调器来接收。此外,出于安全原因,唤醒消息410可被加密和/或认证。在所示实施例中,认证可以是远程客户端认证模块230的职责。如果认证成功,则计算机可启动唤醒过程。
此外,可在PC处咨询安全策略,以确定如何处理该访问尝试。该咨询过程在图5中示出。在PC处,BIOS 510向远程BIOS引导策略220发出查询520。在一实施例中,查询520可以是专属的,因为它可指定唤醒消息的源。查询520的结果可以是策略信息530,该策略信息530然后对BIOS 510可用。策略信息530可包括关于将如何处理源的指示,例如,将应用什么安全协议、要使用的认证或解密处理类型等等。在一实施例中,远程BIOS引导策略220可被实现为数据库、查找表或类似的数据结构。
PC处的引导过程可能需要一个或多个BIOS口令以便继续。在一实施例中,可从远程移动设备提供这些口令。根据一实施例,该事务在图6中大致示出。PC处的管理引擎210向远程移动设备处的远程引导模块310发出一个或多个请求610。这些请求610可寻求一个或多个BIOS口令。这些可包括例如而不限于BIOS引导口令、预引导BIOS口令、盘解锁/解密口令或防盗恢复口令。在一实施例中,请求610可通过SMS传输。
远程引导模块310可通过提供所请求的口令620来作出响应。在一实施例中,这些口令可被发送至管理引擎210。该传输也可使用SMS或其它合适的通信系统。此外,出于安全原因,口令620可被加密和/或认证。
在盘解锁/解密口令的情况下,该口令的认证可以是PC客户端全盘加密认证模块的职责。如上所讨论,该模块可被结合到管理引擎固件中。根据一实施例,对该口令的处理在图7中示出。在此,在认证完成之后,可将盘解锁/解密口令705从管理引擎210中的PC客户端全盘加密认证模块发送至预引导认证模块750。预引导认证模块可位于PC处,且在ME 210外部。假设对硬盘的认证和解密成功,预引导认证模块750可随后允许操作系统继续至引导阶段。
一旦任何BIOS口令被接收和认证,引导过程就可继续。此时,管理引擎可从远程移动设备请求登录口令。这在图8中示出。管理引擎210可发出请求810,从而从远程移动设备处的远程引导模块310请求登录口令。然后登录口令820可由远程引导模块310提供。在一实施例中,该交换可通过SMS进行。
此外,出于安全原因,登录口令820可被加密和/或认证。认证可以是管理引擎210中的PC客户端windows登录模块的职责。如图9所示,管理引擎210然后可将登录口令820传递给PC的OS 910。
根据一实施例,本文中所描述的系统的处理在图10中示出。在1005,可在PC处从远程移动设备接收唤醒消息。在一实施例中,该唤醒消息可利用SMS来发送。如上所讨论,该消息可能已被加密和/或认证。加密和认证可根据本领域普通技术人员公知的任何方案来实现。例如,加密可使用对称密钥或非对称密钥。在一实施例中,认证可包括公钥协议。在1010,可尝试唤醒消息的认证。如果该认证不成功,则可到达失败状态1050,且该过程可在1055处结束,且操作系统未引导且未登录。
如果在1010处唤醒消息的认证成功,则该过程可继续至1015。在此,根据1005处所接收的唤醒消息的源来检查远程BIOS引导策略。
在1020,管理引擎从远程移动设备处的远程引导模块请求一个或多个BIOS口令。远程引导模块可通过向管理引擎提供所请求的口令来作出响应。如上所讨论,所请求的口令可包括BIOS引导口令、预引导BIOS口令、盘解锁/解密口令、以及防盗恢复口令。在一实施例中,请求和口令二者都使用SMS来传输。此外,口令可被加密和/或认证。如同唤醒消息的情况,加密可使用对称密钥或非对称密钥。在一实施例中,认证可使用公钥协议。在1025,可尝试认证。如果这些口令中的任意一个的认证失败,则在1050处获得失败状态,且该过程可在1055处结束。此时,操作系统将不会被引导。如果所接收的BIOS口令在1025被成功认证,则在1030处理可继续,其中操作系统可被允许引导。
在1035,管理引擎可从远程移动设备的远程引导模块请求登录口令。然后远程引导模块可通过提供登录口令来作出响应。根据一个实施例,请求和口令二者都可使用SMS来发送。如同之前的事务,该口令可被加密和/或认证。加密可使用对称密钥或不对称密钥,而在一实施例中,认证过程可包括公钥协议。在1040,确定登录口令的认证是否成功。如果否,则在1050到达失败状态,从而该过程在1055结束且不进行登录。如果在1040登录口令的认证成功,则在1045登录可继续。然后该过程可在1055结束。
本文中公开的一个或多个特征可在硬件、软件、固件以及它们的组合中实现,包括分立和集成电路逻辑、专用集成电路(ASIC)逻辑以及微控制器,且可实现为专门领域的集成电路封装的一部分或集成电路封装的组合。本文中所使用的“软件”这一术语指示包括计算机可读介质的计算机程序产品,该计算机可读介质具有存储于其中的计算机程序逻辑,用于使计算机系统执行本文中所揭示的一个或多个特征和/或特征的组合。
图11中示出上述处理的软件或固件实施例。系统1100可包括处理器1120和存储器1110的主体。存储器可包括可存储计算机程序逻辑1140的一种或更多种计算机可读介质。存储器1110可被实现为硬盘和驱动器、诸如例如紧致盘和驱动器、只读存储器(ROM)或闪存器件的可移动介质或它们的一些组合。处理器1120和存储器1110可使用本领域普通技术人员公知的若干种技术中的任一种技术来通信,诸如使用总线来通信。存储器1110中包含的逻辑可由处理器1120读取和执行。共同示为I/O(输入/输出)1130的一个或多个I/O端口和/或I/O设备也可连接至处理器1120和存储器1110。在一实施例中,系统1100被包含在PC平台的背景中。在此,处理器1120可以是与用于PC的主微处理器不同的带外处理器。
在所示实施例中,计算机程序逻辑1140可包括若干模块,诸如远程客户端认证模块230。如上所讨论,该模块可负责认证远程用户或客户端。
计算机程序逻辑1140还可包括PC客户端全盘加密(FDE)认证模块240。模块240可负责从远程移动设备接收盘解锁/解密口令。FDE认证模块240可在此类事务中提供认证服务。如果认证成功,则FDE认证模块240可将该口令提供给ME固件。
计算机程序逻辑1140还可包括PC客户端防盗远程恢复模块250。该模块可负责从远程移动设备接收用户的防盗恢复口令,并提供对恢复口令的认证服务。如果认证通过,则允许引导过程继续。
计算机程序逻辑1140还可包括PC客户端Windows登录模块260。模块260可负责认证远程登录OS的尝试。登录模块260可经由ME将OS登录密码安全地提供给OS。
本文中的方法和系统是借助于示出其功能、特征和关系的功能性构件块来公开的。为便于描述,在本文中任意地限定了这些功能性构件块的至少一些边界。可限定替换的边界,只要其指定的功能和关系被适当地执行。
虽然本文中公开了各种实施例,但应理解它们仅以示例方式给出而非作为限定。本领域普通技术人员将清楚知道,其中可作出形式上以及细节上的各种改变而不背离本文所揭示的方法和系统的精神和范围。因此,权利要求的宽度和范围不受本文中所公开的任一示例性实施例的限制。
Claims (29)
1.一种用于允许对计算机的远程访问的方法,包括:
在所述计算机处经由短消息服务(SMS)从远程移动设备接收唤醒消息;
认证所述唤醒消息;
确定用于处理所述远程移动设备的适当引导策略,其中所述引导策略是基于所述唤醒消息的源而确定的;
经由SMS从所述远程移动设备请求BIOS口令;
解密经由SMS从所述远程移动设备接收的BIOS口令;
经由SMS从所述远程移动设备请求登录口令;以及
解密经由SMS从所述远程移动设备接收的登录口令。
2.如权利要求1所述的方法,其特征在于,还包括:
执行BIOS;
引导操作系统(OS);以及
将用户登录到OS中,其中所述用户与所述远程移动设备相关联。
3.如权利要求2所述的方法,其特征在于,还包括:
认证所接收的BIOS口令,其中当所接收的BIOS口令的认证成功时,所述BIOS执行。
4.如权利要求3所述的方法,其特征在于,还包括:
当所述BIOS口令的认证失败时执行:
经由SMS从所述远程移动设备请求后续的BIOS口令。
5.如权利要求3所述的方法,其特征在于,所述BIOS口令的认证使用公钥协议来执行。
6.如权利要求2所述的方法,其特征在于,还包括:
认证所接收的登录口令,其中当所述登录口令的认证成功时登录继续。
7.如权利要求6所述的方法,其特征在于,还包括:
当所述登录口令的认证失败时执行:
经由SMS从所述远程移动设备请求后续的登录口令。
8.如权利要求6所述的方法,其特征在于,所述登录口令的认证使用公钥协议来执行。
9.如权利要求1所述的方法,其特征在于,所述BIOS口令包括以下之一:
BIOS引导口令;
预引导BIOS口令;
盘解锁/解密口令;以及
用户防盗恢复口令。
10.一种用于远程访问计算机的方法,包括:
在远程移动设备处经由短消息服务(SMS)向所述计算机发送唤醒消息;
经由SMS从所述计算机接收对BIOS口令的请求;
经由SMS将所述BIOS口令以加密形式发送至所述计算机;
经由SMS从所述计算机接收对登录口令的请求;以及
经由SMS将所述登录口令以加密形式发送至所述计算机。
11.如权利要求10所述的方法,其特征在于,所述BIOS口令的发送在所述计算机处认证。
12.如权利要求11所述的方法,其特征在于,还包括:
参与公钥协议以用于所述BIOS口令的认证的目的。
13.如权利要求10所述的方法,其特征在于,所述登录口令的发送在所述计算机处认证。
14.如权利要求13所述的方法,其特征在于,还包括:
参与公钥协议以用于所述登录口令的认证的目的。
15.如权利要求10所述的方法,其特征在于,所述BIOS口令包括以下之一:
BIOS引导口令;
预引导BIOS口令;
盘解锁/解密口令;以及
防盗恢复口令。
16.一种用于允许对计算机的远程访问的系统,包括:
a.包含在所述计算机中的管理引擎(ME),所述ME包括:
存储远程BIOS引导策略的存储器;以及
远程客户端认证模块,其被配置成经由短消息服务(SMS)从远程移动设备接收唤醒消息并认证所述唤醒消息;
其中所述ME被配置成从所述远程移动设备请求一个或多个经加密的BIOS口令、接收所述一个或多个引导口令、以及允许操作系统(OS)的引导,以及
其中所述ME进一步被配置成从所述远程移动设备请求经加密的登录口令、接收所述登录口令、以及允许与所述远程移动设备相关联的用户对OS的访问;以及
b.基本输入/输出系统(BIOS),其被配置成确定所述唤醒消息的源,并查询所述远程BIOS引导策略,以基于所述源来确定适用的引导策略。
17.如权利要求16所述的系统,其特征在于,所述一个或多个BIOS口令包括盘解锁/解密口令。
18.如权利要求17所述的系统,其特征在于,所述ME进一步包括:
全盘加密(FDE)认证模块,其被配置成认证所述盘解锁/解密口令。
19.如权利要求16所述的系统,其特征在于,所述一个或多个BIOS口令包括防盗恢复口令。
20.如权利要求19所述的系统,其特征在于,所述ME进一步包括:
防盗远程恢复模块,其被配置成认证所述防盗恢复口令。
21.如权利要求16所述的系统,其特征在于,所述ME进一步包括:
登录模块,其被配置成认证所述登录口令。
22.一种用于允许对计算机的远程访问的系统,包括:
用于在所述计算机处经由短消息服务(SMS)从远程移动设备接收唤醒消息的装置;
用于认证所述唤醒消息的装置;
用于基于所述唤醒消息的源来确定用于所述远程移动设备的适当引导策略的装置;
用于经由SMS从所述远程移动设备请求BIOS口令的装置;
用于解密经由SMS从所述远程移动设备接收的BIOS口令的装置;
用于经由SMS从所述远程移动设备请求登录口令的装置;以及
用于解密经由SMS从所述远程移动设备接收的登录口令的装置。
23.如权利要求22所述的系统,其特征在于,还包括:
用于认证所接收的BIOS口令的装置,其中BIOS仅在所接收的BIOS口令的认证成功时执行。
24.如权利要求23所述的系统,其特征在于,还包括:
用于当所述BIOS口令的认证失败时执行经由SMS从所述远程移动设备请求后续BIOS口令的装置。
25.如权利要求23所述的系统,其特征在于,所述BIOS口令的认证使用公钥协议来执行。
26.如权利要求22所述的系统,其特征在于,还包括:
用于认证所接收的登录口令的装置,其中所述登录仅在所述登录口令的认证成功时继续。
27.如权利要求26所述的系统,其特征在于,所接收的登录口令的认证使用公钥协议来执行。
28.如权利要求26所述的系统,其特征在于,还包括:
用于当所述登录口令的认证失败时执行经由SMS从所述远程移动设备请求后续登录口令的装置。
29.如权利要求22所述的系统,其特征在于,所述BIOS口令包括以下之一:
BIOS引导口令;
预引导BIOS口令;
盘解锁/解密口令;以及
用户防盗恢复口令。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/753,591 | 2010-04-02 | ||
| US12/753,591 US8375220B2 (en) | 2010-04-02 | 2010-04-02 | Methods and systems for secure remote wake, boot, and login to a computer from a mobile device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102215221A true CN102215221A (zh) | 2011-10-12 |
| CN102215221B CN102215221B (zh) | 2014-04-23 |
Family
ID=44340312
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110096125.5A Expired - Fee Related CN102215221B (zh) | 2010-04-02 | 2011-04-02 | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8375220B2 (zh) |
| EP (1) | EP2372597B1 (zh) |
| JP (1) | JP5344716B2 (zh) |
| KR (1) | KR101356282B1 (zh) |
| CN (1) | CN102215221B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107357407A (zh) * | 2017-06-29 | 2017-11-17 | 联想(北京)有限公司 | 一种控制方法及电子设备、存储介质 |
| CN108429623A (zh) * | 2018-03-29 | 2018-08-21 | 联想(北京)有限公司 | 一种数据访问方法及第一电子设备 |
| CN109918919A (zh) * | 2014-06-27 | 2019-06-21 | 英特尔公司 | 认证变量的管理 |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8924306B2 (en) * | 2008-02-20 | 2014-12-30 | International Business Machines Corporation | Remote computer rebooting tool |
| US20120303943A1 (en) * | 2011-05-27 | 2012-11-29 | Kabushiki Kaisha Toshiba | Information processing apparatus and authentication control method |
| US8918862B2 (en) * | 2011-08-31 | 2014-12-23 | International Business Machines Corporation | Managing access to storage media |
| KR101198271B1 (ko) * | 2012-01-10 | 2012-11-07 | 알서포트 주식회사 | 컴퓨터를 통한 터치스크린식 이동통신단말기의 제어에 있어서 컴퓨터 및 피제어 이동통신단말기의 화면상태 관리방법 |
| EP2807595A4 (en) * | 2012-01-26 | 2016-02-24 | Hewlett Packard Development Co | NETWORK STATUS BASED ACCESS CONTROL |
| JP2013214257A (ja) * | 2012-04-04 | 2013-10-17 | Hitachi Ltd | 端末連携システムおよびその方法 |
| US8396452B1 (en) | 2012-05-04 | 2013-03-12 | Google Inc. | Proximity login and logoff |
| JP5956847B2 (ja) * | 2012-06-28 | 2016-07-27 | キヤノン株式会社 | 情報端末及びその制御方法、並びにプログラム |
| US8892904B2 (en) * | 2012-09-13 | 2014-11-18 | Intel Corporation | Hardware enforced security governing access to an operating system |
| KR101487583B1 (ko) * | 2012-12-07 | 2015-01-30 | 주식회사 다음카카오 | 퍼스널 컴퓨터를 활용하는 모바일 인스턴트 메시징 서비스 방법 |
| DE102013100230A1 (de) * | 2013-01-10 | 2014-07-10 | Fujitsu Technology Solutions Intellectual Property Gmbh | Computersystem sowie Verfahren für ein Computersystem |
| US20140201532A1 (en) * | 2013-01-14 | 2014-07-17 | Enterproid Hk Ltd | Enhanced mobile security |
| US20140201531A1 (en) * | 2013-01-14 | 2014-07-17 | Enterproid Hk Ltd | Enhanced mobile security |
| US8990909B2 (en) | 2013-06-25 | 2015-03-24 | Bank Of America Corporation | Out-of-band challenge question authentication |
| US9390248B2 (en) * | 2013-08-28 | 2016-07-12 | Intel Corporation | Systems and methods for authenticating access to an operating system by a user before the operating system is booted using a wireless communication token |
| US9363264B2 (en) * | 2013-11-25 | 2016-06-07 | At&T Intellectual Property I, L.P. | Networked device access control |
| US9519498B2 (en) | 2013-12-24 | 2016-12-13 | Microsoft Technology Licensing, Llc | Virtual machine assurances |
| KR102050076B1 (ko) * | 2013-12-26 | 2019-11-28 | 한국전자통신연구원 | 절전형 컴퓨터 시스템 및 컴퓨터 시스템의 절전 제어 방법 |
| US9652631B2 (en) | 2014-05-05 | 2017-05-16 | Microsoft Technology Licensing, Llc | Secure transport of encrypted virtual machines with continuous owner access |
| TWI529559B (zh) * | 2014-05-23 | 2016-04-11 | Insyde Software Corp | Computer system with wake-up authentication and its computer equipment |
| US9584317B2 (en) | 2014-10-13 | 2017-02-28 | Microsoft Technology Licensing, Llc | Identifying security boundaries on computing devices |
| US10229272B2 (en) | 2014-10-13 | 2019-03-12 | Microsoft Technology Licensing, Llc | Identifying security boundaries on computing devices |
| US9519787B2 (en) * | 2014-11-14 | 2016-12-13 | Microsoft Technology Licensing, Llc | Secure creation of encrypted virtual machines from encrypted templates |
| US10193700B2 (en) | 2015-02-27 | 2019-01-29 | Samsung Electronics Co., Ltd. | Trust-zone-based end-to-end security |
| US10699274B2 (en) | 2015-08-24 | 2020-06-30 | Samsung Electronics Co., Ltd. | Apparatus and method for secure electronic payment |
| US10846696B2 (en) | 2015-08-24 | 2020-11-24 | Samsung Electronics Co., Ltd. | Apparatus and method for trusted execution environment based secure payment transactions |
| US10334434B2 (en) * | 2016-09-08 | 2019-06-25 | Vmware, Inc. | Phone factor authentication |
| CN106485100A (zh) * | 2016-11-07 | 2017-03-08 | 惠州经济职业技术学院 | 一种互联网计算机软件锁的方法及其服务系统 |
| JP6883196B2 (ja) * | 2017-01-24 | 2021-06-09 | 富士フイルムビジネスイノベーション株式会社 | 処理装置、情報処理装置、処理システム、処理プログラム及び情報処理プログラム |
| CN108984377B (zh) * | 2018-06-29 | 2022-03-08 | 深圳市同泰怡信息技术有限公司 | 一种统计bios登录日志的方法、系统及介质 |
| EP3891619B1 (en) * | 2019-02-28 | 2023-09-27 | Hewlett-Packard Development Company, L.P. | Access to firmware settings with asymmetric cryptography |
| CN111353150B (zh) * | 2020-02-25 | 2022-06-07 | 苏州浪潮智能科技有限公司 | 一种可信启动方法、装置、电子设备及可读存储介质 |
| WO2022071965A1 (en) | 2020-10-02 | 2022-04-07 | Hewlett-Packard Development Company, L.P. | Bios safe mode |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7188110B1 (en) * | 2000-12-11 | 2007-03-06 | Sony Corporation | Secure and convenient method and apparatus for storing and transmitting telephony-based data |
| US20090064316A1 (en) * | 2007-08-27 | 2009-03-05 | Wen-Hsin Liao | Method and Apparatus for Enhancing Information Security in a Computer System |
| US20090083534A1 (en) * | 2007-09-26 | 2009-03-26 | Lenovo (Singapore) Pte. Ltd. | Remote pc bootup via a handheld communication device |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2341523B (en) | 1998-09-12 | 2003-10-29 | Ibm | Apparatus and method for establishing communication in a computer network |
| JP2000215167A (ja) * | 1999-01-26 | 2000-08-04 | Toshiba Corp | コンピュ―タシステム及びそのシステムのリモ―ト制御方法 |
| AU2001245292A1 (en) | 2000-04-14 | 2001-10-30 | Sun Microsystems, Inc. | Network access security |
| US7093124B2 (en) | 2001-10-30 | 2006-08-15 | Intel Corporation | Mechanism to improve authentication for remote management of a computer system |
| JP2004258835A (ja) | 2003-02-25 | 2004-09-16 | Yokogawa Electric Corp | 在宅介護遠隔支援システム |
| WO2005024743A1 (en) | 2003-09-05 | 2005-03-17 | International Business Machines Corporation | Granting access to a system based on the use of a card having stored user data thereon |
| US20050085245A1 (en) | 2003-10-15 | 2005-04-21 | Danneels Gunner D. | Wake of computer system on reception of short message service (SMS) |
| US7568225B2 (en) * | 2004-09-08 | 2009-07-28 | Hewlett-Packard Development Company, L.P. | System and method for remote security enablement |
| EP1909511A1 (en) | 2005-07-26 | 2008-04-09 | Lanetro Zed, s.a. | Application activation method |
| JP4143082B2 (ja) | 2005-08-23 | 2008-09-03 | 株式会社東芝 | 情報処理装置および認証制御方法 |
| CA2674635C (en) | 2007-01-16 | 2016-03-22 | Absolute Software Corporation | A security module having a secondary agent in coordination with a host agent |
-
2010
- 2010-04-02 US US12/753,591 patent/US8375220B2/en active Active
-
2011
- 2011-03-31 EP EP11250411.3A patent/EP2372597B1/en active Active
- 2011-04-01 JP JP2011081748A patent/JP5344716B2/ja not_active Expired - Fee Related
- 2011-04-01 KR KR1020110030370A patent/KR101356282B1/ko active IP Right Grant
- 2011-04-02 CN CN201110096125.5A patent/CN102215221B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7188110B1 (en) * | 2000-12-11 | 2007-03-06 | Sony Corporation | Secure and convenient method and apparatus for storing and transmitting telephony-based data |
| US20090064316A1 (en) * | 2007-08-27 | 2009-03-05 | Wen-Hsin Liao | Method and Apparatus for Enhancing Information Security in a Computer System |
| US20090083534A1 (en) * | 2007-09-26 | 2009-03-26 | Lenovo (Singapore) Pte. Ltd. | Remote pc bootup via a handheld communication device |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109918919A (zh) * | 2014-06-27 | 2019-06-21 | 英特尔公司 | 认证变量的管理 |
| CN109918919B (zh) * | 2014-06-27 | 2023-06-20 | 英特尔公司 | 认证变量的管理 |
| CN107357407A (zh) * | 2017-06-29 | 2017-11-17 | 联想(北京)有限公司 | 一种控制方法及电子设备、存储介质 |
| CN108429623A (zh) * | 2018-03-29 | 2018-08-21 | 联想(北京)有限公司 | 一种数据访问方法及第一电子设备 |
| CN108429623B (zh) * | 2018-03-29 | 2021-05-18 | 联想(北京)有限公司 | 一种数据访问方法及第一电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101356282B1 (ko) | 2014-01-28 |
| EP2372597B1 (en) | 2015-12-16 |
| KR20110111257A (ko) | 2011-10-10 |
| JP2011222010A (ja) | 2011-11-04 |
| CN102215221B (zh) | 2014-04-23 |
| EP2372597A1 (en) | 2011-10-05 |
| US20110246757A1 (en) | 2011-10-06 |
| JP5344716B2 (ja) | 2013-11-20 |
| US8375220B2 (en) | 2013-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102215221B (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 | |
| CN111049660B (zh) | 证书分发方法、系统、装置及设备、存储介质 | |
| US20190384934A1 (en) | Method and system for protecting personal information infringement using division of authentication process and biometric authentication | |
| US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
| EP2332089B1 (en) | Authorization of server operations | |
| CN112425114B (zh) | 受公钥-私钥对保护的密码管理器 | |
| CN104798083B (zh) | 用于验证访问请求的方法和系统 | |
| US20070223685A1 (en) | Secure system and method of providing same | |
| RU2495488C1 (ru) | Система и способ контроля устройств и приложений при использовании многофакторной аутентификации | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| US20120137132A1 (en) | Shared secret establishment and distribution | |
| TWM623435U (zh) | 使用多安全層級驗證客戶身分與交易服務之系統 | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN1937498A (zh) | 一种动态密码认证方法、系统及装置 | |
| CN101999125A (zh) | 用于增进对访问软件应用的限制性的系统和方法 | |
| CN101005361A (zh) | 一种服务器端软件保护方法及系统 | |
| CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
| EP4072064A1 (en) | Electronic signature system and tamper-resistant device | |
| US8316437B2 (en) | Method for protecting the access to an electronic object connected to a computer | |
| CN104753886B (zh) | 一种对远程用户的加锁方法、解锁方法及装置 | |
| CN110519222B (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
| US20140250499A1 (en) | Password based security method, systems and devices | |
| CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| JP2021050556A (ja) | 認証システム | |
| KR20110128371A (ko) | 모바일 클라이언트 보안인증시스템과 중앙제어시스템 및 그 동작방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140423 |