自動(dòng)化密碼管理的制作方法
【專利摘要】實(shí)施例包括自動(dòng)政策管理的密碼管理系統(tǒng)��。一個(gè)實(shí)施例管理在每設(shè)置的天數(shù)改變密碼(在很少到?jīng)]有用戶交互的情況下)����。同樣��,可以在從密碼被用戶查看的設(shè)置的時(shí)間量?jī)?nèi)進(jìn)行密碼改變���。此外,實(shí)施例包括web服務(wù)�����,web服務(wù)包括“插入記錄”方法來將密碼管理記錄插入管理的機(jī)器和/或數(shù)據(jù)庫而不需要“預(yù)先工作”來使用web服務(wù)。例如�����,在經(jīng)由web服務(wù)部署密碼之前不需要在數(shù)據(jù)庫和/或管理的機(jī)器上創(chuàng)建記錄���。web服務(wù)可以被推送給各個(gè)機(jī)器并且當(dāng)web服務(wù)啟動(dòng)時(shí)���,它可以將它自己的記錄插入數(shù)據(jù)庫或管理的客戶機(jī)。這考慮了可擴(kuò)縮性���。本文描述了其它實(shí)施例���。
【專利說明】自動(dòng)化密碼管理
【背景技術(shù)】
[0001]在數(shù)據(jù)中心內(nèi),在白天和夜晚的所有時(shí)候����,本地密碼需要對(duì)于多方可訪問。常規(guī)上���,這樣的密碼訪問取決于手動(dòng)實(shí)踐(例如保持密碼的手寫筆記)��。為了改進(jìn)手動(dòng)實(shí)踐��,存在軟件實(shí)現(xiàn)的解決方案��。然而�����,基于軟件的技術(shù)過度地“用戶中心”���。例如���,用戶在本地在機(jī)器(例如服務(wù)器或客戶機(jī))上改變密碼并且然后更新密碼管理數(shù)據(jù)庫。然而��,在更新數(shù)據(jù)庫之后這個(gè)用戶保留新密碼的知識(shí)�。用戶繼續(xù)知道密碼直到將來在某個(gè)階段密碼被再一次改變。因?yàn)榘踩?���,關(guān)于一個(gè)用戶的知識(shí)的這種保留是不理想的���。
[0002]密碼管理的其它常規(guī)方法涉及在多個(gè)機(jī)器上設(shè)置單個(gè)密碼�。然而�,因?yàn)樵诙鄠€(gè)機(jī)器上使用相同密碼���,于是一個(gè)系統(tǒng)上的一個(gè)漏洞可以導(dǎo)致許多其它系統(tǒng)上的漏洞。其它技術(shù)也是有問題的����。例如,當(dāng)遠(yuǎn)程改變每個(gè)客戶機(jī)的密碼時(shí)����,“服務(wù)器中心的”技術(shù)可使用活動(dòng)目錄帳戶來依次通過客戶機(jī)的列表。然而�����,這樣做需要每個(gè)目標(biāo)機(jī)器的高級(jí)特權(quán)�����。這還需要與每個(gè)機(jī)器非常緊的集成���,從而使得密碼管理系統(tǒng)的大量轉(zhuǎn)出不實(shí)際(如果涉及許多目標(biāo)機(jī)器)����。
[0003]另外的其它方法簡(jiǎn)單地每天改變密碼。然而����,這也不能擴(kuò)大規(guī)模到大量機(jī)器。例如�,如果每天系統(tǒng)需要發(fā)出新密碼給100個(gè)機(jī)器的每一個(gè)、接收切換的確認(rèn)等等���,則具有100個(gè)機(jī)器的數(shù)據(jù)中心可能有困難��。同樣���,這樣的系統(tǒng)可能需要在系統(tǒng)改出密碼之前創(chuàng)建客戶機(jī)的數(shù)據(jù)庫記錄。這也通過使密碼管理服務(wù)的初始轉(zhuǎn)出復(fù)雜化而導(dǎo)致差的可擴(kuò)縮性�。
【專利附圖】
【附圖說明】
[0004]從所附權(quán)利要求、以下一個(gè)或多個(gè)示例實(shí)施例的【具體實(shí)施方式】以及對(duì)應(yīng)附圖中�,本發(fā)明的實(shí)施例的特征和優(yōu)勢(shì)將顯而易見,其中:
圖1包括本發(fā)明的一個(gè)實(shí)施例中的客戶機(jī)架構(gòu)���。
[0005]圖2包括本發(fā)明的實(shí)施例中的示意流程圖��。
[0006]圖3包括本發(fā)明的實(shí)施例中的示意流程圖�����。
【具體實(shí)施方式】
[0007]在以下描述中�,闡述了許多特定細(xì)節(jié)��,但是在沒有這些特定細(xì)節(jié)的情況下也可以實(shí)踐本發(fā)明的實(shí)施例���。未詳細(xì)示出眾所周知的電路�、結(jié)構(gòu)和技術(shù)以避免使這個(gè)描述的理解變得模糊�。“實(shí)施例”�、“多個(gè)實(shí)施例”和指示這樣描述的一個(gè)或多個(gè)實(shí)施例的類似物可包括特定特征、結(jié)構(gòu)或特性��,但是不是每個(gè)實(shí)施例必定包括特定特征��、結(jié)構(gòu)或特性��。一些實(shí)施例可具有為其它實(shí)施例描述的特征中的一些�����、所有或不具有這些特征�。“第一”���、“第二”��、“第三”等等描述共同對(duì)象并且指示指類似對(duì)象的不同實(shí)例��。這樣的形容詞不暗示這樣描述的對(duì)象在時(shí)間上�����、空間上在排序上或以任何其它方式必須按照給定的順序�����?��!斑B接的”可指示元素互相直接物理或電接觸����,并且“耦合的”可指示元素互相合作或交互��,但是它們可能或可能不直接物理或電接觸���。同樣��,在不同附圖中���,雖然類似或相同數(shù)字可用于標(biāo)明相同或類似部分����,但是這樣作并不意味著包括類似或相同數(shù)字的所有附圖構(gòu)成單個(gè)或相同實(shí)施例���。[0008]實(shí)施例包括基于健壯的自動(dòng)政策的密碼管理系統(tǒng)。例如����,實(shí)施例可以只包括以下特征中的任何一個(gè)或所有:強(qiáng)的帳戶密碼、具有設(shè)置的時(shí)間間隔(例如90天)的密碼改變頻率����、用于所有管理的機(jī)器的獨(dú)特密碼、當(dāng)用戶改變角色時(shí)(例如雇員被解雇或休假)撤銷訪問的能力�、在須知的基礎(chǔ)上(例如在每個(gè)裝置或每個(gè)數(shù)據(jù)集合的基礎(chǔ)上知道密碼權(quán)利)共享密碼、使用安全方法來傳遞密碼�、密碼的審核是可能的、使能密碼訪問的可追蹤性���、以及在用戶得到那個(gè)密碼的知識(shí)后設(shè)置時(shí)間改變密碼的能力�����。實(shí)施例可以是高度自動(dòng)化的而沒有用戶管理任務(wù)�。同樣,實(shí)施例可以是高度可擴(kuò)大規(guī)模的���。此外�,實(shí)施例可以是政策驅(qū)動(dòng)的并且因此基于不同要求集合來定制���。
[0009]圖1包括本發(fā)明的一個(gè)實(shí)施例中的客戶機(jī)架構(gòu)���。實(shí)施例是政策驅(qū)動(dòng)的、自動(dòng)化本地管理員密碼管理系統(tǒng)��。實(shí)施例包括各種部件����。數(shù)據(jù)庫140可包括服務(wù)器、帳戶的列表和/或那些帳戶的訪問控制列表���。Web應(yīng)用130可包括用戶可用于搜索服務(wù)器和查詢密碼的用戶接口�。用戶105可能必須是正確的訪問控制列表(ACL)的成員以具有查看密碼的許可�����。當(dāng)密碼被查看時(shí),這個(gè)活動(dòng)可以被記錄在審核數(shù)據(jù)庫120中�。Web服務(wù)135可包括用于將記錄插入服務(wù)器(例如位于服務(wù)器上的數(shù)據(jù)庫140)和/或?qū)⒚艽a插入系統(tǒng)(例如目標(biāo)或管理的服務(wù)器155、156�����、157)(其中沒有這樣的記錄已經(jīng)在適當(dāng)位置)的方法����。服務(wù)135還可以在管理的服務(wù)器上已經(jīng)存在密碼記錄的地方更新服務(wù)器的密碼(例如在數(shù)據(jù)庫140和/或管理的服務(wù)器155���、156�、157上)����。服務(wù)135還可查詢已經(jīng)使它們的密碼被查看過的服務(wù)器,
坐坐寸寸ο
[0010]更具體地��,管理的客戶機(jī)服務(wù)115可包括在每個(gè)管理的機(jī)器(155�、156、157)上安裝或與每個(gè)管理的機(jī)器(155����、156���、157)通信的軟件服務(wù)。服務(wù)可以根據(jù)政策(例如每90天)改變本地管理員密碼����,并且可以通過web服務(wù)135更新數(shù)據(jù)庫。服務(wù)還可打開端口以允許某些命令(比如下面進(jìn)一步討論的改變密碼命令)經(jīng)由各種形式的遠(yuǎn)程訪問(例如通過由審核服務(wù)121的.NET遙控(remote))在機(jī)器155�����、156����、157上遠(yuǎn)程調(diào)用。從本地配置文件讀取上面提到的時(shí)間期間(90天政策)���。然后�,服務(wù)115經(jīng)由web服務(wù)135更新數(shù)據(jù)庫140的后端�����,從而將用戶105從解決方案中移除����。由服務(wù)打開遙控端口以允許遠(yuǎn)程調(diào)用改變密碼功能性���。在實(shí)施例中,不存在對(duì)于改變密碼的調(diào)用的參數(shù)�。調(diào)用簡(jiǎn)單地發(fā)起改變密碼以及更新數(shù)據(jù)庫135的后端。
[0011]除了 web服務(wù)115 (其可以自動(dòng)實(shí)現(xiàn)對(duì)密碼的改變)之外�����,在一個(gè)實(shí)施例中�,可以經(jīng)由模塊110來實(shí)現(xiàn)對(duì)密碼的手動(dòng)改變。
[0012]審核服務(wù)121可對(duì)于已經(jīng)使它們的密碼被查看過的服務(wù)器查詢審核數(shù)據(jù)庫120并且查詢自從查看以來有多久(例如使用GetViewedAccountsO命令)���。服務(wù)121可確定自從查看以來已經(jīng)過去的時(shí)間是否超過閾值(例如兩小時(shí))。如果是這樣的話����,服務(wù)121可以在所討論的目標(biāo)服務(wù)器上遠(yuǎn)程調(diào)用改變密碼命令(下面提供其示例)。結(jié)果��,用戶以前知道的密碼不再有效��。
[0013]審核服務(wù)121可包括監(jiān)視服務(wù)�����,所有如果審核服務(wù)121不能聯(lián)系服務(wù)器來遠(yuǎn)程改變密碼,服務(wù)121可以將事件記錄到警告監(jiān)視服務(wù)(例如微軟操作管理器MicrosoftOperations Manager (MOM))監(jiān)視器的事件日志���。這為員工管理員引起標(biāo)簽或警告以進(jìn)一步調(diào)查問題�����。
[0014]在實(shí)施例中�����,企業(yè)訪問管理(EAM)服務(wù)145可以位于服務(wù)器上并且可以維護(hù)多個(gè)用戶150的ACL����。通過這樣的ACL控制查看服務(wù)器(155�����、156����、157)的密碼的訪問權(quán)。通過EAM 145管理這些ACL�����,EAM 145分配訪問或特權(quán)等級(jí)給用戶150中的每個(gè)。這允許每個(gè)裝置��、每個(gè)數(shù)據(jù)集合等等共享密碼的粒度(即���,一個(gè)人可以精確控制用戶具有什么權(quán)利以及用戶不具有什么權(quán)利)��。
[0015]關(guān)于密碼管理系統(tǒng)的部署���,密碼系統(tǒng)管理系統(tǒng)第一次操作服務(wù)135可“插入”記錄到數(shù)據(jù)庫140中。記錄可包括例如服務(wù)器標(biāo)識(shí)符�����、服務(wù)器密碼�、用于訪問服務(wù)器的有關(guān)的ACL特權(quán)以及ACL的描述���。系統(tǒng)135可以隨后在它每次連接到數(shù)據(jù)庫140時(shí)更新這個(gè)密碼記錄���。這使得部署可擴(kuò)大規(guī)模(例如到100000個(gè)機(jī)器)并且仍還保持到裝置或數(shù)據(jù)集合的不同等級(jí)的須知訪問的粒度。還可以在目標(biāo)機(jī)器155�、156、157它們自己上插入記錄。
[0016]圖2包括本發(fā)明的實(shí)施例中的示意流程圖���。過程200在框205中開始���。框210確定用戶已經(jīng)查看過的密碼或證書的列表�����。這個(gè)確定可以基于審核記錄在審核數(shù)據(jù)庫120中的活動(dòng)的審核服務(wù)121�����。
[0017]框220確定來自框210的列表是否是空的�����。如果是�,則過程在框250中結(jié)束。如果否���,則框225在目標(biāo)機(jī)器上遠(yuǎn)程調(diào)用改變密碼命令���。例如�����,可以使用管理的客戶機(jī)服務(wù)115和以下偽代碼來進(jìn)行這個(gè):
//在本地改變密碼
string sPath = string.Format (^ffinNT://(0} /Administrator' Environment.MachineName);
DirectoryEntry directoryEntry = new DirectoryEntry (sPath);
directoryEntry.1nvoke (〃SetPassword〃���,password);
directoryEntry .CommitChanges();
例如,可以使用管理的客戶機(jī)服務(wù)115和以下偽代碼來實(shí)現(xiàn)生成新密碼:
//生成隨機(jī)密碼
PasswordGenerator generator = new PasswordGenerator O ;
string password = generator.Generate ();
可以經(jīng)由.NET遙控等等來進(jìn)行到機(jī)器的訪問�����。
[0018]在框235中���,如果未成功完成事務(wù)�����,則將在審核數(shù)據(jù)庫120中記錄故障����,其中隨后的做出的警告(例如MOM警告)在這個(gè)問題上繼續(xù)跟蹤(框240)����。如果事務(wù)是成功的���,可以在審核數(shù)據(jù)庫120中記錄成功(框245)���。關(guān)于事務(wù)本身��,可以例如使用管理的客戶機(jī)服務(wù)115和以下偽代碼來編輯數(shù)據(jù)庫140中的記錄:
//配置文件有關(guān)的信息來將記錄插入數(shù)據(jù)庫 〈add key=〃accountName〃 value=〃Administrator〃/>
〈add key=〃permissionGroup〃 value=〃databaseSupportTeam〃/>
〈add key=〃changeFrequencyDays〃 value=〃90〃/>
圖3包括本發(fā)明的實(shí)施例的示意流程圖��?�?梢栽诳?05中開始過程300�。在正常操作期間����,服務(wù)(例如Windows Service、Linux Daemon)可以每24小時(shí)醒來并且執(zhí)行過程300����。
[0019]框310檢查最近的密碼改變?nèi)掌凇�����?梢院妥稍儗徍藬?shù)據(jù)庫120和審核服務(wù)121 —致來進(jìn)行這個(gè)��?��?梢栽诘怯洸局幸约用艿男问絹泶鎯?chǔ)“改變?nèi)掌凇?����。在?20中�,相對(duì)于閾值檢查來自框310的發(fā)現(xiàn)。如果不滿足閾值����,則過程可以在框355結(jié)束。然而�����,如果滿足閾值����,則在框325中可以使用例如以下偽代碼來生成新密碼:
//生成隨機(jī)密碼
PasswordGenerator generator = new PasswordGenerator O ;
string password = generator.Generate ();
在框335中,web服務(wù)115可確定是否已經(jīng)存在密碼記錄���。如果不存在�����,則在框350中可以使用例如以下偽代碼來生成新記錄并且將其插入數(shù)據(jù)庫140:
//將記錄插入數(shù)據(jù)庫
webService.1nsertClientRecord(accountName, password, permissionGroup,account_description)
可以使用以下偽代碼來填充記錄:
//配置文件有關(guān)的信息來將記錄插入數(shù)據(jù)庫 〈add key=〃accountName〃 value=〃Administrator〃/>
〈add key=〃permissionGroup〃 value=〃databaseSupportTeam〃/>
〈add key=〃changeFrequencyDays〃 value=〃90〃/>
在框340中�����,可以在目標(biāo)機(jī)器155���、156、157上改變密碼�。由于只要在框320中存在需要改變的識(shí)別的機(jī)器, 用于實(shí)現(xiàn)這樣的一個(gè)或多個(gè)改變的循環(huán)如下:for each (string server in servers)
{ string managerUrl = string.Format(〃tcp://{0}:19010/PasswordManager.rem",server);
IPasswordManager manager = (IPasswordManager) Activator.GetObject(typeof (IPasswordManager),
manager.ChangePassword(); }
因此���,關(guān)于框340和350����,在實(shí)施例中����,在每個(gè)管理的機(jī)器上運(yùn)行的客戶機(jī)服務(wù)嘗試在數(shù)據(jù)庫中更新它的密碼。例如��,可以在框335中嘗試這個(gè)����。例如,管理的機(jī)器調(diào)用只需要機(jī)器名和密碼作為參數(shù)的UpdatePasswordO方法��。因此,方法運(yùn)行得很快并且過程可以從框335前進(jìn)到框340 (而繞過框350)���。然而�,在發(fā)生任何這樣的更新之前數(shù)據(jù)庫中必須存在記錄���。如果記錄不存在�����,貝1J在框350中����,客戶機(jī)必須調(diào)用例如InsertRecordO方法����,其比UpdatePasswordO方法采用更多參數(shù)并且因此比UpdatePasswordO方法運(yùn)行更慢。
[0020]在框345中可以更新登記簿(例如審核數(shù)據(jù)庫120)��。在框355中���,過程結(jié)束�。
[0021]作為另外的注釋,在一個(gè)實(shí)施例中�����,總是先更新數(shù)據(jù)庫并且僅僅然后在管理的客戶機(jī)機(jī)器上在本地改變密碼����。這可以避免在管理的客戶機(jī)機(jī)器上在本地改變密碼并且然后不能更新數(shù)據(jù)庫(例如由于連接性錯(cuò)誤)的情景��。這樣的情況可導(dǎo)致沒有人能夠查詢新密碼����。因此,在一個(gè)實(shí)施例中���,如果不能聯(lián)系數(shù)據(jù)庫�����,則不在本地改變密碼�����。
[0022]因此��,實(shí)施例可包括“管理的客戶機(jī)”���,其在沒有用戶交互的情況下管理在每設(shè)置的天數(shù)改變密碼�,然后用新密碼更新后端系統(tǒng)����。同樣,可以在從由用戶查看密碼開始的設(shè)置的時(shí)間量?jī)?nèi)進(jìn)行密碼改變��??梢杂伞皩徍朔?wù)”替代或連同“管理的客戶機(jī)”服務(wù)來執(zhí)行狀態(tài)(例如自從密碼已經(jīng)改變以來過去多長(zhǎng)時(shí)間)的這個(gè)監(jiān)視。同樣��,實(shí)施例包括web服務(wù)�,其包含“插入記錄”方法。因此����,不需要“預(yù)先工作”來使用web服務(wù)。例如����,在經(jīng)由web服務(wù)部署密碼之前,不需要在數(shù)據(jù)庫上創(chuàng)建記錄���。web服務(wù)可以被推送到任何機(jī)器并且當(dāng)web服務(wù)啟動(dòng)時(shí)�����,它可以將它自己的記錄插入數(shù)據(jù)庫��。這考慮了到100000個(gè)機(jī)器或更多機(jī)器的可擴(kuò)縮性��。
[0023]實(shí)施例可以(a)確定第一多個(gè)基于處理器的系統(tǒng)���,其相應(yīng)的第一密碼證書(例如用于獲得到資源的有特權(quán)的訪問權(quán)的密碼或其它元素)在第一在前的時(shí)間期間(例如2小時(shí))中被查看(例如被人類用戶);以及(b)從相對(duì)所述第一多個(gè)系統(tǒng)遠(yuǎn)程定位(例如經(jīng)由在大物理區(qū)域上延伸的網(wǎng)絡(luò))的另外的基于處理器的系統(tǒng),基于確定第一密碼證書在第一在前時(shí)間期間中被查看���,遠(yuǎn)程地改變所述第一多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)的相應(yīng)的第一密碼證書�。
[0024]那個(gè)相同實(shí)施例或另一個(gè)實(shí)施例可確定第二多個(gè)系統(tǒng)��,其相應(yīng)的第二密碼證書(其可能和第一密碼證書相同)在第二在前時(shí)間期間(例如90天)中沒有被改變����;并且從另外的系統(tǒng),基于確定第二密碼證書在第二在前時(shí)間期間中沒有被改變�,遠(yuǎn)程地改變所述第二多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)的相應(yīng)的第二密碼證書。
[0025]改變相應(yīng)的第一或第二密碼證書可包括提供獨(dú)特密碼作為舊密碼的替換����。每個(gè)機(jī)器(例如平板計(jì)算機(jī)���、服務(wù)器、個(gè)人數(shù)字助理��、智能電話)可以得到獨(dú)特的密碼���。
[0026]實(shí)施例可以最初設(shè)置系統(tǒng)的密碼證書管理帳戶����;并且一旦最初設(shè)置帳戶�,從另外的基于處理器的系統(tǒng)遠(yuǎn)程地將記錄插入數(shù)據(jù)庫。然而���,數(shù)據(jù)庫可能不具有和密碼證書管理帳戶相關(guān)聯(lián)的預(yù)先存在的記錄�。這可以考慮將要管理的許許多多機(jī)器中帳戶系統(tǒng)的轉(zhuǎn)出或可擴(kuò)縮性����。記錄的這個(gè)“插入”可以在將要管理的機(jī)器上、在保留密碼記錄(其存儲(chǔ)在將要管理的機(jī)器上或在某個(gè)其它分離的機(jī)器上)的數(shù)據(jù)庫的服務(wù)器上�����。
[0027]雖然已經(jīng)在本文中用特定技術(shù)(例如Microsoft技術(shù)(例如Windows Service)、Linux Daemon�、.NET遙控等等)來討論本文的實(shí)施例,但可以跨任何操作系統(tǒng)���、各種平臺(tái)等等來支持解決方案����。
[0028]實(shí)施例可以以代碼實(shí)現(xiàn)并且可以存儲(chǔ)在已經(jīng)在其上存儲(chǔ)指令的存儲(chǔ)介質(zhì)上���,所述指令可以用于對(duì)系統(tǒng)編程以執(zhí)行指令���。存儲(chǔ)介質(zhì)可包括但不限于任何類型的盤,包括軟盤��、光盤���、光盤、固態(tài)驅(qū)動(dòng)器(SSD)���、壓縮盤只讀存儲(chǔ)器(⑶-ROM)����、可重寫壓縮盤(⑶-RW)以及磁-光盤、半導(dǎo)體裝置(例如只讀存儲(chǔ)器(ROM)�����、隨機(jī)存取存儲(chǔ)器(RAM)(例如動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(DRAM)����、靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM))、可擦可編程只讀存儲(chǔ)器(EPR0M)����、閃速存儲(chǔ)器、電可擦可編程只讀存儲(chǔ)器(EEPR0M))����、磁或光卡或適合用于存儲(chǔ)電子指令的任何其它類型的介質(zhì)。
[0029]在本文中可以參考數(shù)據(jù)(例如指令��、功能����、過程、數(shù)據(jù)結(jié)構(gòu)��、應(yīng)用程序�����、配置設(shè)置、代碼等等)來描述本發(fā)明的實(shí)施例����。如在本文中更詳細(xì)描述的,當(dāng)由機(jī)器訪問數(shù)據(jù)時(shí)��,機(jī)器可以通過以下來響應(yīng):執(zhí)行任務(wù)���、定義抽象數(shù)據(jù)類型�、建立低級(jí)硬件上下文和/或執(zhí)行其它操作���。數(shù)據(jù)可以存儲(chǔ)在易失性和/或非易失性數(shù)據(jù)存儲(chǔ)中���。為了本公開的目的,術(shù)語“代碼”或“程序”覆蓋部件和構(gòu)造的寬范圍���,包括應(yīng)用、驅(qū)動(dòng)器���、過程�、例行程序、方法��、模塊和子程序��。因此����,術(shù)語“代碼”或“程序”可以用來指指令的任何集合,該指令由處理系統(tǒng)執(zhí)行時(shí)����,其執(zhí)行期望的操作或多個(gè)操作。此外��,備選的實(shí)施例可包括使用比公開的操作中的所有操作更少的過程��、使用另外的操作的過程�����、按不同順序使用相同操作的過程���、以及其中組合����、細(xì)分或以別的方式改變本文公開的單獨(dú)操作的過程。
[0030]雖然已經(jīng)關(guān)于有限數(shù)量的實(shí)施例來描述本發(fā)明���,但本領(lǐng)域技術(shù)人員將從中領(lǐng)會(huì)許多修改和變化�。意圖是所附權(quán)利要求覆蓋落在本發(fā)明的真正精神和范圍內(nèi)的所有這樣的修 改和變化��。
【權(quán)利要求】
1.一種包括非暫時(shí)性機(jī)器可訪問存儲(chǔ)介質(zhì)的物品���,所述非暫時(shí)性機(jī)器可訪問存儲(chǔ)介質(zhì)包括指令��,所述指令當(dāng)執(zhí)行時(shí)使得系統(tǒng)能夠: 確定第一多個(gè)基于處理器的系統(tǒng)����,其相應(yīng)的第一密碼證書在第一在前時(shí)間期間中被查看��;以及 從相對(duì)所述第一多個(gè)系統(tǒng)遠(yuǎn)程定位的另外的基于處理器的系統(tǒng)�,基于確定所述第一密碼證書在所述第一在前時(shí)間期間中被查看,遠(yuǎn)程地改變所述第一多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)的所述相應(yīng)的第一密碼證書���。
2.如權(quán)利要求1所述的物品���,包括指令��,所述指令使得所述系統(tǒng)能夠: 確定第二多個(gè)系統(tǒng),其相應(yīng)的第二密碼證書在第二在前時(shí)間期間中沒有被改變���;以及 從所述另外的系統(tǒng)�����,基于確定所述第二密碼證書在所述第二在前時(shí)間期間中沒有被改變�,遠(yuǎn)程地改變所述第二多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)的所述相應(yīng)的第二密碼證書����。
3.如權(quán)利要求2所述的物品,其中遠(yuǎn)程地改變所述相應(yīng)的第二密碼證書包括為所述第二多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)提供獨(dú)特的另外的第二密碼���。
4.如權(quán)利要求1所述的物品�����,其中遠(yuǎn)程地改變所述相應(yīng)第一密碼證書包括為所述第一多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)提供獨(dú)特的另外的第一密碼���。
5.如權(quán)利要求1所述的物品,包括指令�����,所述指令使得所述系統(tǒng)能夠: 最初為所述多個(gè)第一系統(tǒng)中的另外的一個(gè)系統(tǒng)設(shè)置密碼證書管理帳戶;以及 一旦最初設(shè)置所述密碼證書管理帳戶�����,遠(yuǎn)程地將記錄從所述另外的基于處理器的系統(tǒng)插入數(shù)據(jù)庫����; 其中所述數(shù)據(jù)庫不具有和所述密碼證書管理帳戶相關(guān)聯(lián)的預(yù)先存在的記錄。
6.如權(quán)利要求5所述的物品�,包括指令,所述指令使得所述系統(tǒng)能夠遠(yuǎn)程地用密碼填充所述記錄�����。
7.如權(quán)利要求1所述的物品���,包括指令�����,所述指令使得所述系統(tǒng)能夠: 最初為所述多個(gè)第一系統(tǒng)中的另外的一個(gè)系統(tǒng)設(shè)置密碼證書管理帳戶��;以及 一旦最初設(shè)置所述密碼證書管理帳戶�,遠(yuǎn)程地將密碼記錄插入所述多個(gè)第一系統(tǒng)中的所述另外的一個(gè)系統(tǒng); 其中所述多個(gè)第一系統(tǒng)中的所述另外的一個(gè)系統(tǒng)不具有和所述密碼證書管理帳戶相關(guān)聯(lián)的預(yù)先存在的密碼記錄���。
8.如權(quán)利要求1所述的物品,包括指令�����,所述指令使得所述系統(tǒng)能夠: 確定所述第一多個(gè)系統(tǒng)中的另外的一個(gè)系統(tǒng)�,其相應(yīng)的第一密碼證書在從所述密碼證書被查看起已經(jīng)發(fā)生的到期的閾值時(shí)間期間內(nèi)未被改變;以及 從所述另外的系統(tǒng)��,基于所述閾值時(shí)間期間的所述到期�,自動(dòng)并遠(yuǎn)程地改變所述第一多個(gè)系統(tǒng)中的所述另外的一個(gè)系統(tǒng)的所述第一密碼證書。
9.一種方法�,包括: 確定第一多個(gè)系統(tǒng),其相應(yīng)的第一密碼證書在第一在前時(shí)間期間中未被改變���;以及 從相對(duì)所述第一多個(gè)系統(tǒng)遠(yuǎn)程定位的另外的基于處理器的系統(tǒng)���,基于確定所述第一密碼證書在所述第二在前時(shí)間期間中未被改變,遠(yuǎn)程地改變所述第一多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)的所述相應(yīng)的第一密碼證書�����。
10.如權(quán)利要求9所述的方法,包括:確定第二多個(gè)基于處理器的系統(tǒng)���,其相應(yīng)的第二密碼證書在第二在前時(shí)間期間中被查看���;以及 從相對(duì)所述第二多個(gè)系統(tǒng)遠(yuǎn)程定位的另外的基于處理器的系統(tǒng),基于確定所述第二密碼證書在所述第二在前時(shí)間期間中被查看�����,遠(yuǎn)程地改變所述第二多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)的所述相應(yīng)的第二密碼證書�。
11.如權(quán)利要求10所述的方法,包括: 確定所述第一多個(gè)系統(tǒng)中的另外的一個(gè)系統(tǒng)���,其相應(yīng)的第一密碼證書在從所述密碼證書被查看起已經(jīng)發(fā)生的到期的閾值時(shí)間期間內(nèi)未被改變����;以及 從所述另外的系統(tǒng)��,基于所述閾值時(shí)間期間的所述到期��,自動(dòng)并遠(yuǎn)程地改變所述第一多個(gè)系統(tǒng)中的所述另外的一個(gè)系統(tǒng)的所述第一密碼證書��。
12.如權(quán)利要求9所述的方法�����,其中遠(yuǎn)程地改變所述相應(yīng)的第一密碼證書包括為所述第一多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)提供獨(dú)特的另外的第一密碼。
13.如權(quán)利要求9所述的方法����,包括: 最初為多個(gè)第一系統(tǒng)中的另外的一個(gè)系統(tǒng)設(shè)置密碼證書管理帳戶;以及 一旦最初設(shè)置所述密碼證書管理帳戶���,遠(yuǎn)程地將記錄從所述另外的基于處理器的系統(tǒng)插入數(shù)據(jù)庫; 其中所述數(shù)據(jù)庫不具有和所述密碼證書管理帳戶相關(guān)聯(lián)的預(yù)先存在的記錄��。
14.如權(quán)利要求9所述的方法���,其中遠(yuǎn)程地改變所述相應(yīng)第二密碼證書包括為所述第二多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)提供獨(dú)特的另外的第二密碼���。
15.—種系統(tǒng),包括:` 存儲(chǔ)器; 處理器���,其耦合到所述存儲(chǔ)器��,以(a)確定第一多個(gè)基于處理器的系統(tǒng)�,其相應(yīng)的第一密碼證書在第一在前時(shí)間期間中被查看�;以及(b)從相對(duì)所述第一多個(gè)系統(tǒng)遠(yuǎn)程定位的另外的基于處理器的系統(tǒng)��,基于確定所述第一密碼證書在所述第一在前時(shí)間期間中被查看��,遠(yuǎn)程地改變所述第一多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)的所述相應(yīng)的第一密碼證書��。
16.如權(quán)利要求15所述的系統(tǒng)��,其中所述處理器將: 確定第二多個(gè)系統(tǒng)�,其相應(yīng)的第二密碼證書在第二在前時(shí)間期間中沒有被改變���;以及 從所述另外的系統(tǒng)����,基于確定所述第二密碼證書在所述第二在前時(shí)間期間中沒有被改變����,遠(yuǎn)程地改變所述第二多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)的所述相應(yīng)的第二密碼證書。
17.如權(quán)利要求16所述的系統(tǒng)����,其中遠(yuǎn)程地改變所述相應(yīng)的第二密碼證書包括為所述第二多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)提供獨(dú)特的另外的第二密碼。
18.如權(quán)利要求15所述的系統(tǒng)���,其中遠(yuǎn)程地改變所述相應(yīng)第一密碼證書包括為所述第一多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)提供獨(dú)特的另外的第一密碼��。
19.如權(quán)利要求15所述的系統(tǒng)���,其中所述處理器將: 最初為多個(gè)第一系統(tǒng)中的另外的一個(gè)系統(tǒng)設(shè)置密碼證書管理帳戶���;以及 一旦最初設(shè)置所述密碼證書管理帳戶,遠(yuǎn)程地將記錄從所述另外的基于處理器的系統(tǒng)插入數(shù)據(jù)庫����; 其中所述數(shù)據(jù)庫不具有和所述密碼證書管理帳戶相關(guān)聯(lián)的預(yù)先存在的記錄。
20.如權(quán)利要求15所述的系統(tǒng)�,其中所述處理器將:確定第一多個(gè)系統(tǒng)�����,其相應(yīng)的第一密碼證書在第一在前時(shí)間期間中未被改變���;以及從相對(duì)所述第一多個(gè)系統(tǒng)遠(yuǎn)程定位的另外的基于處理器的系統(tǒng)��,基于確定所述第一密碼證書在所述第二 在前時(shí)間期間中未被改變����,遠(yuǎn)程地改變所述第一多個(gè)系統(tǒng)中的每個(gè)系統(tǒng)的所述相應(yīng)的第一密碼證書��。
【文檔編號(hào)】G06F21/45GK103827878SQ201180073884
【公開日】2014年5月28日 申請(qǐng)日期:2011年9月30日 優(yōu)先權(quán)日:2011年9月30日
【發(fā)明者】A.萊基, E.索古林 申請(qǐng)人:英特爾公司