專利名稱:鎖定計算機系統(tǒng)的預引導恢復的制作方法
技術領域:
本發(fā)明的實施例涉及計算系統(tǒng)領域,并且尤其涉及鎖定計算機系統(tǒng)的恢復或解鎖。
背景技術:
鎖定電子裝置或者以其他方式禁用電子裝置的安全措施已經(jīng)成為防止由計算機 資產(chǎn)被盜或丟失導致的數(shù)據(jù)和其他資產(chǎn)丟失的解決方案。例如,諸如計算機系統(tǒng)之類的 電子裝置可以應用一種防盜技術,即當計算機系統(tǒng)被識別為丟失或被盜時鎖定該計算機系 統(tǒng)。 在這樣的防盜技術中,其中一個難點是提供從鎖定狀態(tài)恢復的功能。例如,硬件、 固件或軟件的損壞可能會阻礙本地存儲的恢復模塊運行來恢復鎖定的計算機系統(tǒng)。
通過下述詳細的說明,結(jié)合附圖和所附的權利要求,將可以容易地理解本發(fā)明的 實施例。本發(fā)明的實施例是以例子的方式來說明,而不是以附圖中的圖形進行限制。
圖1為根據(jù)各個實施例的用于恢復鎖定的電子裝置的系統(tǒng)的示意圖;
圖2為根據(jù)各個實施例的電子裝置的示意圖;以及 圖3為根據(jù)各個實施例的用于恢復鎖定的電子裝置的方法的流程圖。
具體實施例方式
在下述詳細說明中,對附圖應用了標記,所述標記是附圖的一部分,并且通過其中 可以實施本公開的說明性實施例的方式示出了附圖。能夠理解的是,也可以采用其他實施 例以及做出結(jié)構或邏輯的改變而不脫離本發(fā)明的范圍。因此,下述詳細說明并非限制性的, 并且根據(jù)本公開的實施例范圍是由隨附的權利要求和其等價物來界定的。
可能會用到術語"耦合(coupled)"和"連接(connected)",以及它們的衍生詞。 應該理解的是,這些術語并不是作為彼此的同義詞。相反,在特定的實施例中,"連接"可能 被用于表示兩個或更多個元素在相互間直接進行物理或電接觸。"耦合"可能意味著兩個或 更多個元素直接進行物理或電接觸。盡管如此,"耦合"也可以意味著兩個或更多個元素在 相互間沒有直接接觸,但是相互之間仍可進行協(xié)作或交互。 出于描述的需要,"A/B"形式的或者"A和/或B"形式的短語表示(A) 、 (B)或(A 與B)。出于描述的需要,"A、B和C中的至少一個"形式的短語表示(A) 、 (B) 、 (C) 、 (A與B)、 (A與C) 、 (B與C)、或(A、 B與C)。為了描述的需要,"(A)B"形式的短語表示(B)或(AB), 也就是A為一個可選元素。 說明書中可能會用到短語"在一個實施例中"或"在一些實施例中",它們均可以指 代一個或多個相同或不同的實施例。此外,在本公開有關的實施例中使用的詞語"包括"、 "包含"、"具有"等等,均為同義詞。
5
在本公開的各個實施例中,公開了用于恢復鎖定的安全系統(tǒng)的方法、設備、產(chǎn)品、 和可移除存儲裝置。圖1為根據(jù)各個實施例的用于恢復鎖定的電子裝置的系統(tǒng)的示意 圖。在一個實施例中,系統(tǒng)100包括電子裝置101,其具有管理引擎(ME)102、中央處理單元 (CPU)環(huán)境103、主機操作環(huán)境104、主機模塊105、基本輸入/輸出系統(tǒng)(BIOS) 106、BI0S模 塊107、本地預引導認證(PBA)環(huán)境108、本地PBA模塊109、 ME環(huán)境110、 ME模塊111和外 圍接口 112,它們的耦合關系如圖所示。系統(tǒng)100可以進一步可移除地包含具有非易失性存 儲器115的可移除存儲裝置114、預引導認證(PBA)模塊116和外圍接口 117,它們的耦合 關系如圖所示。系統(tǒng)100還可以進一步包含服務器118,其具有服務器模塊119,該服務器 通過網(wǎng)絡120與該電子裝置101相耦合。 根據(jù)各個實施例,電子裝置101可以為主機裝置、計算機系統(tǒng)、設備、產(chǎn)品、或數(shù)字 裝置、或它們的組合。在下文中,將參照附圖2進一步描述電子裝置101的其他實施例。
對于前面所提到的實施例,電子裝置101包括ME 102和CPU環(huán)境103。 ME 102可 包括環(huán)境IIO,該環(huán)境包括多種具有各種功能的模塊,包括ME模塊lll,用于執(zhí)行或管理操 作,尤其包括涉及電子裝置101的防盜或安全功能的操作。ME 102可通過電子裝置101的 處理器來實施、操作或運行。該ME 102可以包括,例如,存儲為可被處理器執(zhí)行的固件或軟 件的指令,該處理器與實現(xiàn)、操作或運行該CPU環(huán)境103的CPU無關。在一個實施例中,該 ME 102由并非CPU的嵌入式處理器運行。在其他實施例中,該ME102可被配置為由CPU運 行。該ME 102可被耦合到該主機操作環(huán)境104,但是配置為獨立于該主機操作環(huán)境104進 行操作,如虛線所示。例如,主機環(huán)境104、 BIOS 106和PBA模塊108可由運行該CPU環(huán)境 103的CPU來運行,并且該用于執(zhí)行安全認證和相關功能的ME模塊111可由運行該ME 102 的單獨的處理器來運行。 該ME 102可被裝配為使得電子裝置101在檢測到狀況時禁用,并且在通過認證時 (on authentication)使該電子裝置101重新啟用。在一個實施例中,該ME 102被配置為 在通過認證時將電子裝置101從鎖定狀態(tài)恢復到非鎖定狀態(tài)。根據(jù)一個實施例,該ME 102 被配置為在通過認證時,將電子裝置101從被盜狀態(tài)恢復和返回至正常操作狀態(tài)。在另一 個實施例中,該電子裝置101的ME 102被配置為在通過認證時,將該電子裝置101從受保 護狀態(tài)恢復至非受保護狀態(tài)。 術語"禁用"、"鎖定"、"被盜"和"受保護"可以被互換地用于表示該電子裝置101 的操作的更安全的模式。在一個實施例中,禁用、鎖定、被盜或受保護狀態(tài)表示一種狀態(tài), 其中防盜技術在預引導階段控制該電子裝置101的引導,并且不允許引導至未經(jīng)認證的裝 置。電子裝置101可被芯片組或具有總體阻止引導可疑的被盜電子裝置101越過BI0S 106 操作的功能的其他平臺鎖定。 一個或多個事件,例如報告電子裝置101丟失或被盜,可以觸 發(fā)更安全的操作模式。例如,用戶可以報告盜竊或丟失給管理員或者管理防盜報告的系統(tǒng), 其通過網(wǎng)絡120向ME 102發(fā)送命令,以將電子裝置101置于鎖定狀態(tài)。電子裝置101可被 本地或遠程設備標識為丟失或被盜。本發(fā)明的主題并不受限于這一方面的內(nèi)容,并且在其 他實施例中其他狀況或事件可觸發(fā)更安全的操作模式。 ME 102被配置為通過本地PBA模塊109或可移除PBA模塊116來認證證書,從而 將電子裝置101從禁用狀態(tài)恢復到重新啟用狀態(tài)。為了使PBA模塊109、116與該ME 102進 行通信,該ME 102可能需要安全證書,例如公鑰或私鑰。例如,安全證書可由通過網(wǎng)絡120與ME 102進行通信的服務器118提供。根據(jù)各個實施例,ME 102可能包括各類嵌入式處 理器或在防盜平臺中的其他安全執(zhí)行環(huán)境。 CPU環(huán)境103可包括一個或多個環(huán)境104、106、108,它們由該電子裝置101的CPU 來實施。在一個實施例中,操作CPU環(huán)境103的CPU可被配置為運行該主機操作環(huán)境104 和該BIOS 106。在下文中,將相關于圖2中的電子裝置200來進一步描述用于操作CPU環(huán) 境103的CPU和用于操作該ME 102的嵌入式處理器。 主機操作環(huán)境104可包括該電子裝置101的操作系統(tǒng)(OS)。在一個實施例中,主 機操作環(huán)境104包括主機模塊105,其用于管理防盜或其他安全功能,并且通過網(wǎng)絡120與 具有管理防盜或其它安全功能的服務器模塊119的服務器118進行交互。在一個實施例中, 主機模塊105與服務器模塊119進行交互,用于管理包括例如以下的多個功能,盜竊檢測、 策略實施、服務器聚合和/或密鑰管理。比如,主機模塊105可從服務器118向ME 102轉(zhuǎn) 發(fā)與盜竊檢測、策略實施、服務器聚合和/或密鑰管理有關的信息。網(wǎng)絡120可包括任何適 合的網(wǎng)絡,包括無線網(wǎng)絡、局域網(wǎng)(LAN)、或互聯(lián)網(wǎng)。本發(fā)明的主題并不受限于這一方面的內(nèi) 容,并且在其他實施例中可以包括各種其他網(wǎng)絡類型。 電子裝置101可包括外圍接口 112。在一個實施例中,外圍接口 112被配置為啟用 被附接到電子裝置101的可移除存儲裝置114。外圍接口 112可以包括,例如,根據(jù)一個實 施例的通用串行總線(USB)接口。本發(fā)明的主題并不受限于這一方面的內(nèi)容,并且在其他 的實施例中還可以使用其他類型的外圍接口 112。 CPU環(huán)境103還可以包括BIOS 106。在一個實施例中,BIOS 106被可操作地耦合 到該主機操作環(huán)境104、該ME 102和該外圍接口 112。 BIOS 106可包括用于執(zhí)行預引導操 作和操作系統(tǒng)級別之下的操作的各類模塊。對于這些實施例,BIOS 106可包括認證模塊 107,其用于保證如果該電子裝置101處于禁用、鎖定、被盜或受保護狀態(tài),能夠幫助從禁用 的狀態(tài)恢復或恢復存儲在電子裝置101上的數(shù)據(jù),或上述方式的組合。
BIOS 106可被配置為通過例如向該ME 102查詢狀態(tài)的方式來確定電子裝置101 是否處于禁用、鎖定、被盜或受保護的狀態(tài)。若該電子裝置處于禁用、鎖定、被盜或受保 護的狀態(tài),BIOS 106可被配置為向本地PBA模塊109或可移除PBA模塊116轉(zhuǎn)移控制權 (control),以提供認證和恢復。在一個或多個實施例中,BIOS 106可被稱為這里的"預引 導固件"。 根據(jù)各個實施例,BIOS 106被配置為在預引導時確定可移除存儲裝置114是否被 附接到電子裝置101。 BI0S106還可被配置為在檢測到可移除存儲裝置114時,向可移除存 儲裝置114上存儲的PBA模塊116轉(zhuǎn)移控制權,從而與該ME 102進行交互,以將該電子裝 置101從禁用狀態(tài)恢復至重新啟用狀態(tài),而不是與本地認證模塊107進行交互。
在一個實施例中,BIOS 106被配置為在預引導期間確定可移除存儲裝置114是否 被附接到電子裝置101,如果檢測到已經(jīng)附接,就從該可移除存儲裝置114的可引導環(huán)境中 引導該電子裝置101,而不是從裝置101的可引導環(huán)境進行引導。若BIOS 106未檢測到可 移除存儲裝置114, BIOS 106可被配置為確保本地PBA模塊109執(zhí)行預引導認證功能。
本地PBA模塊109或可移除PBA模塊116可被配置為用于執(zhí)行各類預引導認證功 能。在一個實施例中,PBA模塊109、116被配置為通過例如向ME 102查詢狀態(tài)的方式來確 定電子裝置101是否處于禁用、鎖定、被盜或受保護狀態(tài)。在一個實施例中,PBA模塊109、
7116包括安全證書,例如公鑰或私鑰,從而與ME 102進行通信。PBA模塊109、116可被配置 為在確定該電子裝置101處于禁用、鎖定、被盜或受保護狀態(tài)時,提示用戶向ME102提供認 證證書。認證證書可包括,例如,用戶通行碼(pass phrase)或服務器產(chǎn)生的通行碼。本發(fā) 明的主題并不受限于這一方面的內(nèi)容,并且在其他實施例中還可以使用其他類型的認證證 書。 在確定該電子裝置101未處于禁用、鎖定、被盜或受保護狀態(tài)時,PBA模塊109、116 可被配置為提示用戶登陸到主機操作環(huán)境104。如果PBA模塊109U16的預引導認證功能 成功完成,主機操作環(huán)境104就可被引導。 本地PBA模塊109可被可操作地耦合到BIOS 106、主機環(huán)境104和ME 102,從而 與該ME 102進行交互以將電子裝置101從禁用狀態(tài)恢復至重新啟用狀態(tài)。本地PBA模塊 109可以由于各種狀況而不進行操作,這些狀況包括但不限于存儲了本地PBA模塊109的存 儲裝置被損壞。在這種情況下,可移除存儲裝置114的PBA模塊116可用于實施修復、恢復 或重新啟用該禁用的電子裝置101。 BIOS 106可被配置為通過ME 102確定該電子裝置101是否被禁用。在一個實施 例中,BIOS 106被配置為當該電子裝置101處于禁用狀態(tài)102,并且BIOS 106未檢測到任 何PBA模塊109、 116時,關閉該電子裝置101。例如,當PBA模塊109被損壞并且具有PBA模 塊116的可移除存儲裝置114未被附接到電子裝置101時,就檢測不到PBA模塊109、116。 關閉該電子裝置101可以包括關閉電子裝置101的電源,但不僅限于此種方式。在一個實 施例中,BIOS 106被配置為如果在規(guī)定的時間內(nèi)未能提供有效的認證證書,就關閉該電子 裝置101。 系統(tǒng)100還可以可移除地包括具有非易失性存儲器115的可移除存儲裝置114、 PBA模塊116和外圍接口 117。非易失性存儲器115可包括各種非易失性存儲裝置,包括例 如閃存。根據(jù)各個實施例,可移除存儲裝置114可包括其他類型的非易失性存儲器115,包 括例如磁存儲驅(qū)動器。本發(fā)明的主題并不受限于這一方面的內(nèi)容,并且在其他實施例中可 移除存儲裝置114可包括各種其他類型的非易失性存儲器115。 可移除存儲裝置114的外圍接口 117可包括多種類型的接口。在一個實施例中, 外圍接口 117包括USB接口,但并不僅限于此。可移除存儲裝置114的外圍接口 117可被 配置為耦合到電子裝置101的外圍接口 112,如外圍接口 117旁邊的箭頭所示。
PBA模塊116可被存儲在非易失性存儲器115上。在一個實施例中,PBA模塊116 被配置為當該預引導固件106在預引導時檢測到可移除存儲裝置114附接到電子裝置101 時,就傳輸來自于電子裝置101的預引導固件(BIOS) 106的控制信息。PBA模塊116還可被 配置為與電子裝置IOI的ME 102進行交互,從而將該電子裝置從受保護狀態(tài)恢復到非受保 護狀態(tài)。 可移除存儲裝置114可以包括可引導環(huán)境,以便電子裝置101可從該可移除存儲 裝置114引導。可移除存儲裝置114可包括軟件內(nèi)核,例如,其可為預引導認證提供運行時 環(huán)境。在一個實施例中,可移除存儲裝置114包括多種閃存驅(qū)動器中的一種,這些閃存驅(qū)動 器包括,例如拇指驅(qū)動器、筆驅(qū)動器或其他類似的驅(qū)動器。本發(fā)明的主題并不受限于這一方 面的內(nèi)容,并且在其他實施例中可移除存儲裝置114可包括其他驅(qū)動器,例如包括磁存儲 驅(qū)動器或其他裝置。
根據(jù)各個實施例,可移除存儲裝置114可為便攜式的或可移動的??梢瞥鎯ρb 置114可以是擁有或使用電子裝置101來提高安全性的企業(yè)的獨立裝置??梢瞥鎯ρb置 114可被附接到企業(yè)指定的安全區(qū)域內(nèi)的電子裝置101。用于將電子裝置101從禁用狀態(tài) 恢復至重新啟用狀態(tài)的認證證書可由信息技術管理員提供,并且可以包括在提供該認證證 書之前驗證用戶的身份。本發(fā)明的主題并不受限于這一方面的內(nèi)容,并可以使用其他策略 來保障電子系統(tǒng)101的恢復。 圖2為根據(jù)各個實施例的電子組件的示意圖。電子裝置200可以符合相關于電子 裝置101描述的實施例。電子裝置200將進一步描述電子裝置101。在一個實施例中,電 子裝置200將意在代表一系列的(有線或無線的)電子裝置。在一個實施例中,電子裝置 200表示各種裝置,例如包括桌面型計算機裝置、膝上型計算機裝置、個人計算機(PC)、無 線電話、包括具有蜂窩電話功能的PDA的個人數(shù)字助理(PDA)、機頂盒、掌上計算機、平板計 算機、DVD播放器或服務器,但不僅限于這些例子,并且還可以包括其他電子裝置??蛇x的 電子裝置可包括更多、更少和/或不同的組件。根據(jù)各個實施例,電子裝置200可以是主機 裝置、計算機系統(tǒng)、設備、產(chǎn)品、或數(shù)字裝置、或上述各項的組合。 在一個實施例中,電子裝置200包括相關于圖1描述和說明的電子裝置100的特 征。電子裝置200可包括總線205或用于交流信息的其他通信裝置或接口,以及耦合到總 線205上的可用于處理信息的處理器210??偩€205可是單系統(tǒng)總線或橋接在一起的相同 或不同類型的多個總線。裝置200可包括一個或多個處理器和/或協(xié)處理器。在一個實施 例中,裝置200包括中央處理單元(CPU)207,其被配置為運行主機操作環(huán)境104、BI0S 106、 或本地PBA環(huán)境108、或上述各項的組合。裝置200還可包括其他處理器,例如嵌入式處理 器(EP)208,其被配置為運行管理引擎(ME) 102。根據(jù)各個實施例,CPU 207實施、運行或操 作CPU環(huán)境102,而嵌入式處理器208實施、運行或操作ME 102。電子裝置200可包括比上 述更多或更少的處理器。 裝置200還可包括存儲介質(zhì)215,其可包括各種類型的存儲器,并耦合到總線205 用于存儲處理器207、208、210可以處理或執(zhí)行的信息和指令。存儲介質(zhì)215可包括比根據(jù) 各個實施例所描述的存儲器更多或更少的存儲器類型。在一個實施例中,用于實施(集成 本公開上述教誨內(nèi)容的)BIOS 206的指令和ME 102被存儲在存儲介質(zhì)215上。根據(jù)各個 實施例,指令可以為固件或軟件的形式。 在一個實施例中,裝置200包括耦合到總線205的隨機存取存儲器(RAM)或其他 存儲裝置220(可被稱為"存儲器")。存儲器220還可用于存儲在處理器207、208、210執(zhí) 行指令期間的臨時變量或其他的中間信息。在一個實施例中,存儲器220為閃存裝置。在 一個實施例中,用于實現(xiàn)BI0S206或ME 102或它們的組合的指令被存儲在存儲器220中。
裝置200還可包括只讀存儲器(ROM)和/或其他靜態(tài)存儲裝置230,它們耦合到 總線205,并用于存儲用于處理器207、208、210的靜態(tài)信息和指令。在一個實施例中,實施 BIOS 206或ME 102或它們的組合的指令被存儲在靜態(tài)存儲器230中。數(shù)據(jù)存儲裝置240 可被耦合到總線205,用于存儲信息和指令。數(shù)據(jù)存儲裝置240,例如磁盤或光盤和相應的 驅(qū)動器,可被耦合到電子裝置200。在一個實施例中,用于實現(xiàn)本地PBA模塊109的指令被 存儲在數(shù)據(jù)存儲裝置240中。在一個實施例中,用于實現(xiàn)BIOS 206或ME 102或它們的組 合的指令被存儲在數(shù)據(jù)存儲裝置240中。
9
在一個實施例中,電子裝置200包括具有存儲介質(zhì)215的產(chǎn)品和存儲在存儲介質(zhì) 215中的大量指令,其被配置為實現(xiàn)電子裝置200的BIOS 106,該電子裝置200具有主機操 作環(huán)境104和獨立于主機操作環(huán)境104操作的ME 102。該存儲介質(zhì)215還可包括其他存儲 于存儲介質(zhì)215的大量指令,其被配置為實現(xiàn)ME 102,其中該ME 102被配置為認證證書,以 將電子裝置200從被盜狀態(tài)恢復和返回至正常操作狀態(tài)。 電子裝置200還可通過總線205耦合到顯示裝置250,例如陰極射線管(CRT)或 液晶顯示器(LCD),從而向用戶顯示信息。包括字母數(shù)字和其他鍵的字母數(shù)字輸入裝置260 可以耦合到總線205,從而向處理器210傳送信息和命令選擇。光標控制器270可以是另一 種類型的輸入裝置,其可包括例如鼠標、軌跡球或光標方向鍵,從而向處理器210傳送信息 和命令選擇,并控制顯示器250上的光標移動。 電子裝置200還可包括一個或多個網(wǎng)絡接口 280,用于提供對例如局域網(wǎng)這樣的 網(wǎng)絡120的訪問,但不僅限于此。網(wǎng)絡接口 280可包括例如具有天線285的無線網(wǎng)絡接口, 其中的天線285可表示一個或多個天線。網(wǎng)絡接口 280還可包括例如通過網(wǎng)絡電纜287與 遠程裝置通信的有線網(wǎng)絡接口,網(wǎng)絡電纜287可以是,例如,以太網(wǎng)電纜、同軸電纜、光纖電 纜、串行電纜或并行電纜。 在一個實施例中,網(wǎng)絡接口 280可提供對局域網(wǎng)的訪問,該網(wǎng)絡接口 280例如符合 電氣和電子工程師協(xié)會(IEEE)標準,如IEEE802. lib和/或IEEE802. llg標準,和/或無 線網(wǎng)絡接口可以提供對個人區(qū)域網(wǎng)絡的訪問,該無線網(wǎng)絡接口例如符合藍牙標準。還可以 支持其他無線網(wǎng)絡接口和/或協(xié)議。 IEEE 802. lib對應于IEEE Std. 802. llb_1999,其題為"Local andMetropolitan Area Networks, Part 11 :Wireless LAN Medium Access Control(MAC)and Physical
Band",它與其相關文件已于1999年9月16日核準。IEEE 802. llg對應于IEEE Std. 802. 11g-2003,其題為"Local and MetropolitanArea Networks, Part 11 :Wireless
4 :Further Higher RateExtension in the 2. 4GHz Band,,,它與其相關文件已于2003年6 月27日核準。藍牙協(xié)議已在由藍牙技術聯(lián)盟(Bluetooth Special Interest Group)公司于 2001年02月22日發(fā)布的"Specification of the Bluetooth System :Core, Versionl. 1" 中被描述。還可以支持之前或后續(xù)版本的藍牙標準。 除了或替代通過無線LAN標準的通信的是,網(wǎng)絡接口 280的通信可提供這樣的無 線通信,其例如使用時分多址(TDMA)協(xié)議、全球移動通信系統(tǒng)(GSM)協(xié)議、碼分多址(CDMA) 協(xié)議和/或任何其他類型的無線通信協(xié)議。 電子裝置200還可包括外圍接口 290,其符合相關于外圍接口 112描述的實施例。 外圍接口 290可被配置為使得可移除存儲裝置114附接到電子裝置200。在一個實施例中, 電子裝置200包括產(chǎn)品,該產(chǎn)品具有存儲介質(zhì)215和大量存儲在該存儲介質(zhì)215上的指令, 用于將BIOS 106配置為在預引導期時,檢測可移除存儲裝置114是否通過外圍接口 290附 接到電子裝置200,以及在檢測時,將控制權轉(zhuǎn)移至存儲在可移除存儲裝置114上的PBA模 塊116,從而與ME 102交互,使得電子裝置200從被盜狀態(tài)恢復和返回至正常操作狀態(tài)。
圖3為根據(jù)各個實施例的恢復鎖定的電子裝置的方法的流程圖。在一個實施例
:Higher—Speed Physical LayerExtension in the 2. 4GHz
LAN Medium Access Control( )andPhysical中,方法300在方框302處確定在預引導時可移除存儲裝置是否附接至計算機系統(tǒng),若檢測 到可移除存儲裝置,在方框304從計算機系統(tǒng)的BIOS向存儲在可移除存儲裝置上的預引導 認證(PBA)模塊轉(zhuǎn)移控制權,在方框306通過PBA模塊確定計算機系統(tǒng)是否處于鎖定狀態(tài), 若確定該計算機系統(tǒng)處于鎖定狀態(tài)后,在方框308將計算機系統(tǒng)從鎖定狀態(tài)恢復到非鎖定 狀態(tài)。雖然使用了術語"計算機系統(tǒng)"來描述方法300的各個方面,但是方法300的動作同 樣還可以操作電子裝置、主機裝置、設備、產(chǎn)品或數(shù)字裝置,并且不僅限于此。方法300可以 包括相關于圖1和圖2已經(jīng)描述的各個動作或操作。 方法300可包括在預引導時,通過計算機系統(tǒng)的BIOS,確定可移除存儲裝置是否
被附接到計算機系統(tǒng)302。計算機系統(tǒng)可包括主機操作環(huán)境和獨立于主機操作環(huán)境進行操
作的管理引擎(ME)。方法300可包括在預引導時,向ME查詢計算機系統(tǒng)的狀態(tài)。 方法300還可包括,當檢測到可移除存儲裝置時,通過BIOS向存儲在可移除存儲
裝置304上的PBA模塊轉(zhuǎn)移控制權,從而與ME交互,使得計算機系統(tǒng)從鎖定狀態(tài)恢復至非
鎖定狀態(tài)。在一個實施例中,向PBA模塊304轉(zhuǎn)移控制權的BIOS包括從存儲在可移除存儲
裝置上的可引導環(huán)境引導該計算機系統(tǒng)。 在一個實施例中,方法300還包括當檢測到可移除存儲裝置時,通過PBA模塊確定 計算機系統(tǒng)是否處于鎖定狀態(tài)306。該PBA模塊可例如向ME進行查詢以確定計算機系統(tǒng)為 鎖定或非鎖定狀態(tài)。該ME可需要安全證書,例如公鑰或私鑰,用于與ME進行通信。在一個 實施例中,該PBA模塊具有該安全證書,如公鑰或私鑰,用于與ME進行通信。
方法300還可包括在確定計算機系統(tǒng)處于鎖定狀態(tài)308時,將計算機系統(tǒng)從鎖定 狀態(tài)恢復至非鎖定狀態(tài)。將計算機系統(tǒng)從鎖定狀態(tài)恢復至非鎖定狀態(tài)308可包括提示用戶 通過PBA模塊向ME提供認證證書。認證證書可包括,例如,服務器產(chǎn)生的通行碼或用戶通 行碼,但不僅限于此。 在各個實施例中,方法300還可包括在預引導時,通過BIOS確定計算機系統(tǒng)是否 處于鎖定狀態(tài)。例如,該BIOS可向ME進行查詢以確定計算機系統(tǒng)處于鎖定或非鎖定狀態(tài)。 如果BIOS確定該計算機系統(tǒng)處于鎖定狀態(tài)并且該BIOS未檢測到用于將計算機系統(tǒng)從鎖定 狀態(tài)恢復至非鎖定狀態(tài)的PBA模塊,BIOS可關閉計算機系統(tǒng)。例如,如果由于損壞或某個 其他事件導致本地PBA模塊不能正確地操作,并且也沒有具有PBA模塊的遠程存儲裝置附 接到計算機系統(tǒng),就檢測不到PBA模塊。在一個實施例中,若在規(guī)定的時間內(nèi)未提供有效的 認證證書或當計算機系統(tǒng)鎖定時BIOS在規(guī)定的時間內(nèi)未檢測到PBA模塊的情況下,或上述 形式的組合情況下,該BIOS可關閉該計算機系統(tǒng)。 已按最有助于理解所要求保護的主題的方式,將各個操作描述為了相繼的多個獨 立操作。但是,說明的順序不應被理解為暗示這些操作的順序是固定的。尤其是這些操作 可以不按照說明的順序來執(zhí)行。所述的操作可以與所述的實施例不同的順序來執(zhí)行??梢?執(zhí)行各種額外的操作和/或在額外的實施例中可以省略所述的操作。 盡管在本文中說明和描述了某些實施例,但是那些本領域普通技術人員可以理 解,多種多樣的替換和/或等同實施例,或用于達到相同目的的實現(xiàn)方式可用于取代已顯 示和描述的實施例,而不脫離本發(fā)明的范圍。那些本領域技術人員將可以容易的理解,根據(jù) 本公開的實施例可通過各種各樣的方式實現(xiàn)。本申請可以覆蓋這里所論述的實施例的任何 變形和變化。因此,這顯然表明根據(jù)本公開的實施例只受限于權利要求書和其等價物。
權利要求
一種方法,包括由計算機系統(tǒng)的基本輸入/輸出系統(tǒng)(BIOS)在預引導時確定可移除存儲裝置是否附接到所述計算機系統(tǒng),其中所述計算機系統(tǒng)包括主機操作環(huán)境、和獨立于所述主機操作環(huán)境進行操作的管理引擎(ME);并且當檢測到所述可移除存儲裝置時,所述BIOS向在所述可移除存儲裝置上存儲的預引導認證(PBA)模塊轉(zhuǎn)移控制權,從而與所述ME進行交互,以使得所述計算機系統(tǒng)從鎖定狀態(tài)恢復至非鎖定狀態(tài)。
2. 如權利要求1所述的方法,還包括當檢測到所述可移除存儲裝置時,由所述PBA模塊確定所述計算機系統(tǒng)是否處于所述 鎖定狀態(tài)。
3. 如權利要求2所述的方法,還包括當確定所述計算機系統(tǒng)處于所述鎖定狀態(tài)時,將所述計算機系統(tǒng)從所述鎖定狀態(tài)恢復 至所述非鎖定狀態(tài)。
4. 如權利要求3所述的方法,其中將所述計算機系統(tǒng)從所述鎖定狀態(tài)恢復至所述非鎖定狀態(tài)包括通過所述PBA模塊提示用戶向所述ME提供認證證書。
5. 如權利要求4所述的方法,其中所述ME需要用于通信的公鑰或私鑰,并且其中所述 PBA模塊包括所述公鑰或所述私鑰,以與所述ME進行通信。
6. 如權利要求4所述的方法,其中提示所述用戶提供所述認證證書包括 提示所述用戶提供服務器產(chǎn)生的通行碼,以將所述計算機系統(tǒng)從所述鎖定狀態(tài)恢復至所述非鎖定狀態(tài)。
7. 如權利要求1所述的方法,還包括由所述BIOS確定所述計算機系統(tǒng)是否處于所述鎖定狀態(tài)。
8. 如權利要求7所述的方法,還包括如果所述BIOS確定所述計算機系統(tǒng)處于所述鎖定狀態(tài),并且所述BIOS未檢測到用于 將所述計算機系統(tǒng)從所述鎖定狀態(tài)恢復至所述非鎖定狀態(tài)的PBA模塊,則由所述BIOS關閉 所述計算機系統(tǒng)。
9. 如權利要求1所述的方法,其中所述BI0S向在所述可移除存儲裝置上存儲的PBA模 塊轉(zhuǎn)移控制權還包括所述BIOS從在所述可移動存儲裝置上存儲的可引導環(huán)境引導所述計算機系統(tǒng)。
10. —種設備,包括 主機操作環(huán)境;管理引擎(ME),其耦合到所述主機操作環(huán)境,但被配置為獨立于所述主機操作環(huán)境而 進行操作,所述ME用于在檢測到狀況時禁用所述設備,并且在通過認證時重新啟用所述設 備;外圍接口,其被配置為使得可移除存儲裝置能夠附接到所述設備;禾口 基本輸入輸出系統(tǒng)(BIOS),其可操作地耦合到所述主機操作環(huán)境、所述ME、和所述外 圍接口 ,并被配置為在預引導時,確定可移除存儲裝置是否附接到所述設備,并在檢測到所 述可移除存儲裝置時,向在所述可移除存儲裝置上存儲的預引導認證(PBA)模塊轉(zhuǎn)移控制權,從而與所述ME進行交互,以使得所述設備從禁用狀態(tài)恢復至重新啟用狀態(tài)。
11. 如權利要求10所述的設備,其中所述外圍接口包括通用串行總線(USB)。
12. 如權利要求10所述的設備,還包括中央處理單元(CPU),其被配置為運行所述主機操作環(huán)境和所述BIOS ;禾口 嵌入式處理器,其被配置為運行所述ME。
13. 如權利要求10所述的設備,還包括本地預引導認證(PBA)模塊,其可操作地耦合到所述BIOS、所述主機環(huán)境、和所述ME, 從而與所述ME進行交互,以使得所述設備從所述禁用狀態(tài)恢復至所述重新啟用狀態(tài)。
14. 如權利要求10所述的設備,其中所述BIOS還被配置為確定所述ME是否禁用所述 設備。
15. 如權利要求IO所述的設備,其中所述BIOS還被配置為當所述ME禁用所述設備,并 且所述BIOS未檢測到PBA模塊時,關閉所述設備。
16. 如權利要求IO所述的設備,其中所述BIOS還被配置為從所述可移除存儲裝置的可引導環(huán)境引導所述設備。
17. 如權利要求IO所述的設備,其中所述ME被配置為通過所述PBA模塊來對證書進行 認證,以將所述設備從所述禁用狀態(tài)恢復至所述重新啟用狀態(tài)。
18. 如權利要求IO所述的設備,其中所述PBA模塊被配置為提示用戶向所述ME提供認 證證書,以將所述設備從所述禁用狀態(tài)恢復至所述重新啟用狀態(tài)。
19. 如權利要求10所述的設備,其中所述ME需要用于通信的公鑰或私鑰,并且其中所 述PBA模塊包括所述公鑰或所述私鑰,以與所述ME進行通信。
20. —種產(chǎn)品,包括 存儲介質(zhì);禾口在所述存儲介質(zhì)中存儲的多個指令,所述指令被配置為實現(xiàn)數(shù)字裝置的基本輸入/輸 出系統(tǒng)(BIOS),所述數(shù)字裝置具有主機操作環(huán)境和獨立于所述主機操作環(huán)境進行操作的管 理引擎(ME),所述BIOS被配置為在預引導時,檢測可移除存儲裝置是否附接到所述數(shù)字裝 置,并在檢測到時,向在所述可移除存儲裝置上存儲的預引導認證(PBA)模塊轉(zhuǎn)移控制權, 從而與所述ME進行交互,以使得所述數(shù)字裝置從被盜狀態(tài)恢復并返回至正常操作狀態(tài)。
21. 如權利要求20所述的產(chǎn)品,其中所述存儲介質(zhì)包括非易失性存儲器。
22. 如權利要求20所述的產(chǎn)品,還包括在所述存儲介質(zhì)上存儲的另一組多個指令,所 述另一組多個指令被配置為實現(xiàn)所述ME,其中所述ME被配置為通過所述PBA模塊來對證書 進行認證,以將所述數(shù)字裝置從所述被盜狀態(tài)恢復和返回至所述正常操作狀態(tài)。
23. 如權利要求20所述的產(chǎn)品,其中所述BI0S還被配置為通過查詢所述ME來確定所 述數(shù)字裝置是否處于所述被盜狀態(tài),如果所述數(shù)字裝置處于所述被盜狀態(tài),并且所述BIOS 未檢測到PBA模塊,則關閉所述數(shù)字裝置。
24. 如權利要求20所述的產(chǎn)品,其中所述BI0S還被配置為從所述可移除存儲裝置的可 引導環(huán)境引導所述數(shù)字裝置。
25. —種可移除存儲裝置,包括外圍接口,其將所述可移除存儲裝置附接到電子裝置; 非易失性存儲器,其耦合到所述外圍接口 ;禾口在所述非易失性存儲器上存儲的預引導認證(PBA)模塊,其被配置為當所述電子裝置 的預引導固件在預引導時檢測到所述可移除存儲裝置附接到所述電子裝置時,從所述預引 導固件轉(zhuǎn)移控制權,并且與所述電子裝置的管理引擎(ME)進行交互,以將所述電子裝置從 受保護狀態(tài)恢復至非受保護狀態(tài)。
26. 如權利要求25所述的可移除存儲裝置,其中所述外圍接口包括通用串行總線 (USB),并且其中所述非易失性存儲器包括閃存。
27. 如權利要求25所述的可移除存儲裝置,其中所述PBA模塊被配置為提示用戶向所 述ME提供認證證書,以將所述電子裝置從所述受保護狀態(tài)恢復至所述非受保護狀態(tài)。
28. 如權利要求25所述的可移除存儲裝置,其中所述ME需要用于通信的公鑰或私鑰, 并且其中所述PBA模塊包括所述公鑰或所述私鑰,以與所述ME進行通信。
29. 如權利要求25所述的可移除存儲裝置,其中所述預引導固件被配置為通過查詢所 述ME來確定所述電子裝置是否處于所述受保護狀態(tài),以及如果所述電子裝置處于所述受 保護狀態(tài),并且所述預引導固件未檢測到PBA模塊,則關閉所述電子裝置。
30. 如權利要求25所述的可移除存儲裝置,其中所述預引導固件被配置為從所述可移 除存儲裝置的可引導環(huán)境引導所述電子裝置。
全文摘要
本發(fā)明的實施例提供了用于鎖定計算機系統(tǒng)的預引導恢復的方法、設備、產(chǎn)品和可移除存儲裝置。還描述和主張了其他實施例。
文檔編號G06F9/445GK101789060SQ200911000088
公開日2010年7月28日 申請日期2009年12月25日 優(yōu)先權日2008年12月30日
發(fā)明者G·普拉卡什, M·哈斯拉, M·米拉什拉斐, S·達杜 申請人:英特爾公司