專利名稱:在計(jì)算機(jī)系統(tǒng)中配備主動管理技術(shù)(amt)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及在計(jì)算機(jī)系統(tǒng)中配備主動管理技術(shù)(AMT)����。
背景技術(shù):
計(jì)算機(jī)系統(tǒng)可允許配備(provision) Intel⑧主動管理技術(shù)(AMT) 以支持諸如發(fā)現(xiàn)、修復(fù)和保護(hù)計(jì)算機(jī)系統(tǒng)等特性���。在計(jì)算機(jī)系統(tǒng)中配 備Intel⑧主動管理技術(shù)(AMT)時����,企業(yè)IT部門的技術(shù)人員可在最終用 戶區(qū)域或IT集結(jié)區(qū)域(IT staging area)手動提供配置值�。
發(fā)明內(nèi)容
本發(fā)明提供一種方法,包括將更新命令發(fā)送到客戶機(jī)裝置以檢 查所述客戶機(jī)裝置是否支持主動管理技術(shù)�����,在從客戶機(jī)裝置接收主動 管理技術(shù)值后�,在管理控制臺中生成一次性密碼,在配備服務(wù)器和所 述客戶機(jī)裝置中存儲所述一次性密碼�����,指導(dǎo)所述主動管理技術(shù)打開網(wǎng) 絡(luò)接口以偵聽建立消息�,如果完全限定域名不可得到,則識別所述配 備服務(wù)器,使用所述一次性密碼鑒定所述客戶機(jī)裝置���,使用證書鏈鑒 定所述配備服務(wù)器�����,審計(jì)所述配備服務(wù)器�����,以及在所述客戶機(jī)裝置與 所述配備服務(wù)器之間建立安全的連接����。
本發(fā)明還提供一種計(jì)算裝置�,包括支持管理代理的處理器�,其 中所述管理代理要在從管理控制臺接收更新請求后,將主動管理技術(shù) 值發(fā)送到所述管理控制臺��;以及耦合到所述處理器的芯片組���,其中所 述芯片組要將主動管理技術(shù)值提供到所述管理代理��,在從所述管理控 制臺接收一次性密碼后在非易失性存儲器中存儲所述一次性密碼�,指 導(dǎo)所述主動管理技術(shù)打開網(wǎng)絡(luò)接口以偵聽建立消息,如果完全限定域 名不可得到���,則識別配備服務(wù)器���,使用證書鏈鑒定所述配備服務(wù)器,以及在建立與所述配備服務(wù)器的安全連接前審計(jì)所述配備服務(wù)器���。
本發(fā)明還提供一種包括多個指令的機(jī)器可讀介質(zhì)��,所述指令響應(yīng)
被執(zhí)行而導(dǎo)致計(jì)算裝置發(fā)送主動管理技術(shù)值以響應(yīng)接收更新命令�, 在客戶機(jī)裝置中存儲一次性密碼�����,指導(dǎo)所述主動管理技術(shù)打開網(wǎng)絡(luò)接 口以偵聽建立消息�����,如果完全限定域名不可得到�����,則識別配備服務(wù)器���, 使用所述一次性密碼鑒定所述客戶機(jī)裝置����,使用證書鏈鑒定所述配備 服務(wù)器,審計(jì)所述配備服務(wù)器�����,以及在所述客戶機(jī)裝置與所述配備服 務(wù)器之間建立安全的連接���。
本文中所述的發(fā)明在附圖中以示例而非限制的方式示出�����。為示圖 的簡明和清晰起見�,圖中所示元件不一定按比例畫出�����。例如�,為清晰 起見��, 一些元件的尺寸相對其它元件可能顯得過大�。此外,在認(rèn)為適 當(dāng)之處,參考標(biāo)號已在圖中重復(fù)以指示一致或類似的元件�����。
圖1示出環(huán)境100的實(shí)施例���。
圖2示出執(zhí)行用于選擇配備方案的選項(xiàng)選擇過程的客戶機(jī)裝置 105的實(shí)施例�。
圖3示出流程圖���,顯示了用于在客戶機(jī)裝置中配備AMT的非安 全DNS后綴選項(xiàng)����。
圖4示出流程圖����,顯示了在使用安全的DNS后綴選項(xiàng)在客戶機(jī)裝 置中配備AMT時在IT集結(jié)區(qū)域執(zhí)行的操作。
圖5示出流程圖����,顯示了在使用安全的DNS后綴選項(xiàng)在客戶機(jī)裝 置中配備AMT時在最終用戶區(qū)域執(zhí)行的操作。
圖6示出流程圖�,顯示了在使用PID/PPS選項(xiàng)在客戶機(jī)裝置中配 備AMT時在IT集結(jié)區(qū)域執(zhí)行的操作。
圖7示出流程圖����,顯示了在使用PID/PPS選項(xiàng)在客戶機(jī)裝置中配 備AMT時在最終用戶區(qū)域執(zhí)行的操作�。
具體實(shí)施例方式
下面的說明描述在計(jì)算機(jī)系統(tǒng)中配備主動管理技術(shù)(AMT)���。在下 面的說明中��,陳述了許多特定的細(xì)節(jié)以便提供本發(fā)明更詳盡的理解��, 如邏輯實(shí)現(xiàn)���、資源分區(qū)或共享或系統(tǒng)組件的重復(fù)實(shí)現(xiàn)、類型和相互關(guān) 系及邏輯分區(qū)或集成選擇�。然而,本領(lǐng)域的技術(shù)人員將理解����,可無需 此類特定細(xì)節(jié)而實(shí)踐本發(fā)明。其它情況下����,控制結(jié)構(gòu)、門級電路和全 部軟件指令序列未詳細(xì)示出以免使本發(fā)明不明確���。通過所包括的說 明�����,本領(lǐng)域的技術(shù)人員將能夠在不進(jìn)行不當(dāng)實(shí)驗(yàn)的情況下實(shí)現(xiàn)正確的 功能���。
說明書中對"一個實(shí)施例"、"實(shí)施例"����、"示例實(shí)施例"的引 用指所述實(shí)施例可包括特定特征、結(jié)構(gòu)或特性���,但每個實(shí)施例可以不 一定包括特定特征��、結(jié)構(gòu)或特性�����。另外���,此類短語不一定指相同的實(shí) 施例。此外�����,在結(jié)合實(shí)施例描述某個特定特征、結(jié)構(gòu)或特性時�,認(rèn)為 結(jié)合無論是否明確描述的其它實(shí)施例實(shí)現(xiàn)此類特征、結(jié)構(gòu)或特性是在 本領(lǐng)域技術(shù)人員的認(rèn)知之內(nèi)����。
本發(fā)明的實(shí)施例可以在硬件、固件���、軟件或其任何組合中實(shí)現(xiàn)�。 本發(fā)明的實(shí)施例也可實(shí)現(xiàn)為存儲在機(jī)器可讀介質(zhì)上的指令�,指令可由 一個或多個處理器讀取和執(zhí)行。機(jī)器可讀介質(zhì)可包括用于以機(jī)器(例 如����,計(jì)算裝置)可讀形式存儲或發(fā)射信息的任何機(jī)制。
例如�����,機(jī)器可讀介質(zhì)可包括只讀存儲器(ROM)��、隨機(jī)訪問存儲器 (RAM)�����、磁盤存儲介質(zhì)、光存儲介質(zhì)�����、閃存裝置�。此外�,固件、軟件��、 例程和指令可在本文中描述為執(zhí)行某些動作�����。但是���,應(yīng)理解�����,此類說 明只是為了方便����,并且此類動作實(shí)際上源于計(jì)算裝置�����、處理器、控制 器和執(zhí)行固件�����、軟件����、例程和指令的其它裝置。
圖1中示出了網(wǎng)絡(luò)環(huán)境100的實(shí)施例��。在一個實(shí)施例中��,網(wǎng)絡(luò)環(huán) 境100可包括客戶機(jī)系統(tǒng)105��、網(wǎng)絡(luò)160�����、動態(tài)主機(jī)配置協(xié)議(DHCP) 服務(wù)器165�����、域名系統(tǒng)(DNS)服務(wù)器170、配備服務(wù)器180和管理控制 臺190����。網(wǎng)絡(luò)160可耦合計(jì)算裝置,如客戶機(jī)裝置105�����、DHCP服務(wù)器165����、 DNS服務(wù)器170����、配備服務(wù)器180和管理控制臺190。網(wǎng)絡(luò)160可包
105��、 DHCP服務(wù)器165���、 DNS服務(wù)器170����、配備服務(wù)器180����、和管理 控制臺190之間傳送數(shù)據(jù)的網(wǎng)絡(luò)裝置�。在一個實(shí)施例中����,網(wǎng)絡(luò)160的 網(wǎng)絡(luò)裝置可支持傳輸控制協(xié)議/因特網(wǎng)協(xié)議套件(TCP/IP)、用戶數(shù)據(jù)報 協(xié)議(UDP)及類似的其它協(xié)議套件�。
DHCP服務(wù)器165可將IP地址指配給耦合到網(wǎng)絡(luò)160的計(jì)算裝置 以響應(yīng)從計(jì)算裝置接收請求。在一個實(shí)施例中���,DHCP服務(wù)器165可 提供客戶機(jī)裝置105在經(jīng)域名系統(tǒng)(DNS)解析主機(jī)名稱時可使用的域 名�����。在一個實(shí)施例中���,DHCP服務(wù)器165可動態(tài)指配IP地址給客戶機(jī) 裝置105以響應(yīng)4戶機(jī)裝置105接收請求。DHCP服務(wù)器165也可 將客戶機(jī)裝置105的默認(rèn)網(wǎng)關(guān)���、子網(wǎng)掩碼���、IP地址及此類其它相似的 參數(shù)提供給客戶機(jī)裝置105 。
DNS服務(wù)器170可將域名轉(zhuǎn)換成IP地址�。DNS服務(wù)器170可將 配備服務(wù)器180的聯(lián)系信息提供給客戶機(jī)裝置105����,并將客戶機(jī)裝置 105的聯(lián)系信息提供到配備服務(wù)器180�。 DNS服務(wù)器170也可支持管 理服務(wù)器190定位客戶機(jī)裝置105的地址信息。
在建立階段期間�,管理控制臺190可聯(lián)系客戶機(jī)裝置105,并發(fā) 送更新請求以確定客戶機(jī)裝置105是否支持AMT��。如果客戶機(jī)裝置 105支持AMT��,管理控制臺190可從客戶機(jī)裝置105接收AMT值以 響應(yīng)更新請求����。在一個實(shí)施例中��,管理控制臺190可在從客戶機(jī)裝置 105接收AMT值后生成一次性密碼(OTP)�����。在一個實(shí)施例中��,AMT 值可包括通用唯一標(biāo)識符(UUID)�、 AMT版本標(biāo)識符及此類其它值。 在一個實(shí)施例中�,AMT值可唯一地識別客戶機(jī)裝置105,并指示客戶 機(jī)裝置105是否支持主動管理技術(shù)。在一個實(shí)施例中,管理控制臺190 可將AMT值和OTP發(fā)送到配備服務(wù)器180,并將OTP發(fā)送到客戶機(jī) 裝置105�。在一個實(shí)施例中,管理控制臺190可支持客戶機(jī)裝置105定位配備服務(wù)器180和DNS服務(wù)器170�����。
配備服務(wù)器180可支持在客戶機(jī)裝置105上的AMT配備���。在一 個實(shí)施例中��,配備服務(wù)器180可支持建立和配置應(yīng)用��,如lntel⑧建立 和配置服務(wù)(SCS)����。在一個實(shí)施例中���,配備服務(wù)器180也可從管理控制 臺190接收AMT值和OTP�,并可存儲AMT和OTP以確保配備服務(wù) 器180正在與正確的客戶機(jī)裝置105通信�。在一個實(shí)施例中,配備服 務(wù)器180可使用AMT值和OTP鑒定客戶機(jī)裝置105���。在一個實(shí)施例 中��,配備服務(wù)器180可從客戶機(jī)裝置105接收問候分組(hello packet), 并可將問候分組中嵌入的OTP與鑒定客戶機(jī)裝置105前存儲的OTP 進(jìn)行比較����。在一個實(shí)施例中,配備服務(wù)器180可在從客戶機(jī)裝置105 接收自簽名證書后發(fā)送證書鏈��。在一個實(shí)施例中���,證書鏈可用于鑒定 配備服務(wù)器180����。在一個實(shí)施例中�����,配備服務(wù)器180可在相互鑒定完 成后建立與客戶機(jī)裝置105的安全會話�����。在一個實(shí)施例中�,配備服務(wù) 器180的鑒定可避免欺詐配備服務(wù)器將自己鑒定為配備服務(wù)器180����。
客戶機(jī)裝置105可支持主動管理技術(shù)(AMT)組件��,這些組件可允 許在客戶機(jī)裝置105上自動配備主動管理技術(shù)��。在一個實(shí)施例中����,建 立和配置主動管理技術(shù)的過程可稱為配備����。客戶機(jī)裝置105上主動管 理技術(shù)的配備可使得能夠遠(yuǎn)程地發(fā)現(xiàn)���、修復(fù)和保護(hù)客戶機(jī)裝置105����。 在一個實(shí)施例中���,AMT可實(shí)現(xiàn)改進(jìn)的資產(chǎn)管理�、IT部門技術(shù)人員最 少量的現(xiàn)場維修����、改進(jìn)的安全級別、遠(yuǎn)程故障檢測及此類其它類似的 特征���。在一個實(shí)施例中��,客戶機(jī)裝置105可通過網(wǎng)絡(luò)接口 150與網(wǎng)絡(luò) 160耦合以便與配備服務(wù)器180和管理控制臺190連接�。
在一個實(shí)施例中,客戶機(jī)裝置105可支持零接觸和單接觸配備特 征���,這可使得客戶機(jī)系統(tǒng)105能夠自動建立與配備服務(wù)器180的安全 連接���。在一個實(shí)施例中,零接觸配備特征可使得客戶機(jī)裝置105能夠 自動配備主動管理技術(shù)���,而IT技術(shù)人員不必在IT集結(jié)區(qū)域和最終用 戶區(qū)域手動配置客戶機(jī)裝置105���。在一個實(shí)施例中,零接觸配備可使 用非安全的DNS后綴選項(xiàng)或安全的DNS后綴選項(xiàng)來執(zhí)行�。在一個實(shí)施例中,非安全的DNS后綴選項(xiàng)可指其中AMT使用 DHCP服務(wù)器獲得在該DNS域中客戶機(jī)裝置的FQDN的DNS后綴的 配備特征�。在一個實(shí)施例中,F(xiàn)QDN可用于識別在該DNS域中的正 確的配備服務(wù)器����。然而�����,在使用非安全的DNS后綴選項(xiàng)時,但敵對 者可控制DHCP服務(wù)器并使AMT斷定客戶機(jī)裝置105在敵對者的 DNS域中�����。在一個實(shí)施例中���,安全的DNS后綴選項(xiàng)可指其中配備月良 務(wù)器180的FQDN可根據(jù)購買合同由OEM提供到AMT的配備特征����。 在一個實(shí)施例中�����,支持AMT的客戶機(jī)裝置105可不聯(lián)系DHCP服務(wù) 器150以識別配備服務(wù)器180�����。
在一個實(shí)施例中�����,單接觸配備特征可允許在IT集結(jié)區(qū)域配置客戶 機(jī)系統(tǒng)105,并隨后在最終用戶區(qū)域使用而不必在最終用戶區(qū)域配置 AMT��。在一個實(shí)施例中,單接觸配備可使用安全DNS選項(xiàng)或者配備 標(biāo)識符/配備預(yù)共享密鑰或配備密碼短語(PID/PPS)選項(xiàng)�。在一個實(shí)施 例中,PID/PPS可表示可用于配備AMT的安全密鑰����。在一個實(shí)施例 中,單接觸配備特征可使得客戶機(jī)系統(tǒng)105能夠自動建立與配備服務(wù) 器180的安全連接��,而IT技術(shù)人員不必在最終用戶區(qū)域手動配置客戶 機(jī)裝置105��。在一個實(shí)施例中�����,IT集結(jié)區(qū)域可指在向最終用戶發(fā)布計(jì) 算機(jī)系統(tǒng)之前和之后配置���、建立����、跟蹤和修復(fù)計(jì)算機(jī)系統(tǒng)的企業(yè)組織 的IT部門�。
在一個實(shí)施例中,客戶機(jī)系統(tǒng)105可包括應(yīng)用程序110���、操作系 統(tǒng)(OS) 120和硬件單元150�。在一個實(shí)施例中����,硬件單元150可包括 中央處理單元(CPU) 152、芯片組155�、存儲器156、 NVRAM 157���、 BIOS 158及網(wǎng)絡(luò)接口 159��。在一個實(shí)施例中���,客戶機(jī)裝置105可支持 零接觸或遠(yuǎn)程配置(RCFG)以遠(yuǎn)程啟動在客戶機(jī)裝置105與配備服務(wù) 器180之間安全且經(jīng)簽定的通信信道。
中央處理單元152可耦合到芯片組155���,芯片組155可允許CPU 152與存儲器156�����、NVRAM 157�、BIOS 158及諸如網(wǎng)絡(luò)接口 159等I/O 裝置連接�。中央處理單元152可支持操作系統(tǒng)120,操作系統(tǒng)120可管理CPU 152的資源并調(diào)度應(yīng)用程序110。在一個實(shí)施例中,CPU 152可包括Intel 系列的微處理器��。在一個實(shí)施例中�,AMT的配備可由諸如Intel vPro 和Intel Centrino⑧等平臺支持。
芯片組155可包括可支持主動管理技術(shù)(AMT)的主動管理單元153�����。在一個實(shí)施例中�����,芯片組155如果支持AMT則可稱為AMT啟用的芯片組���。在一個實(shí)施例中�,主動管理單元153可包括諸如管理引擎(ME)等可編程處理單元以支持主動管理技術(shù)(AMT)�。在一個實(shí)施例中,主動管理單元153可由硬件150的其它部件支持�����,如CPU 152����,或者主動管理單元153也可提供為獨(dú)立的組件��。在一個實(shí)施例中���,AMT固件組件可由諸如NVRAM 157等非易失性儲存器支持��。在一個實(shí)施例中�,主動管理單元153可執(zhí)行固件代碼以在客戶機(jī)系統(tǒng)105上配備AMT。
在一個實(shí)施例中���,主動管理單元(AMU) 153可支持Intel AMT的配備���。在一個實(shí)施例中,客戶機(jī)系統(tǒng)105可使用零接觸配備或單接觸配備方案來配備AMT�����。在一個實(shí)施例中���,主動管理單元(AMU) 153可在使用零接觸配備方案時支持延遲配備���。在使用延遲配備時,AMU153可在安裝才喿作系統(tǒng)120后配備AMT��。
在一個實(shí)施例中,主動管理單元(AMU) 153可在使用單接觸配備時使用延遲配備或棵機(jī)(bare-metal)配備�����。在一個實(shí)施例中�����,主動管理單元153在使用棵機(jī)配備時可在安裝操作系統(tǒng)120前配備AMT��。在一個實(shí)施例中��,主動管理單元153可配備AMT����,并且客戶機(jī)裝置105可隨后通過由配備AMT建立的安全連接,從遠(yuǎn)程源下載操作系統(tǒng)120���。
圖2示出了選擇選項(xiàng)以在客戶機(jī)裝置105上配備AMT的實(shí)施例��。在框210中��,主動管理單元153可確定證書哈希是否在NVRAM 157中存在����,并在證書哈希不存在時控制傳遞到框230,否則,傳遞到框260��。在一個實(shí)施例中����,證書哈希可包括受信任的X509v3_Root證書的加密哈希��。在一個實(shí)施例中�,主動管理單元153可比較由配備服務(wù)器180提供的證書鏈的根證書的哈希值和NVRAM 157中存儲的證書哈希����。如果未發(fā)現(xiàn)匹配,則控制傳遞到框230�,否則傳遞到框260。在一個實(shí)施例中�,原始設(shè)備制造商(OEM)可在NVRAM 157中存儲SHA-1證書哈希。SHA-1證書哈?��?稍诎踩珣?yīng)用程序和協(xié)議中使用�����,包括傳輸層安全(TLS)��、安全套"I妄層(SSL)��、 IPsec和類似的其它加密協(xié)議���。在一個實(shí)施例中���,OEM可生成證書p合希,或者可使用平臺供應(yīng)商提供的證書哈希���。在一個實(shí)施例中���,OEM可在將客戶機(jī)裝置105運(yùn)送到最終用戶前在NVRAM 157中存儲證書p合希的映^f象。
在框230中���,主動管理單元153可檢查PID/PPS值是否可得到����,并在PID/PPS值不可得到時����,控制傳遞到框240,在PID/PPS值可得到時����,控制傳遞到框250����。在一個實(shí)施例中��,OEM可在將客戶機(jī)裝置105運(yùn)送到最終用戶之前在BIOS 158中存儲PID/PPS值����。
在框240中,主動管理單元153可等待單接觸配備����,這可在企業(yè)IT部門的IT集結(jié)區(qū)域開始����。在框250中,主動管理單元153可啟動下面圖6和圖7中所述的PID/PPS配備選項(xiàng)�����。
在框260中�,主動管理單元153可4企查PID/PPS值的存在,并在PID/PPS值不存在時�����,控制傳遞到框270,在PID/PPS值存在時,控制傳遞到框295����。在一個實(shí)施例中,OEM可在將客戶機(jī)105運(yùn)送到最終用戶之前在BIOS 158中存儲PID/PPS值�����。
在框270中�,主動管理單元153可檢查諸如配備服務(wù)器180的完全限定域名(FQDN)等建立值是否可得到。在一個實(shí)施例中��,OEM可在BIOS 158中存儲配備服務(wù)器180的FQDN�����。在配備服務(wù)器180的FQDN在BIOS 158中不存在時���,控制傳遞到框280,并且在FQDN在BIOS 158中存在時��,控制傳遞到框295�����。
在框280中��,主動管理單元153可使用下面圖3中所述的非安全DNS配備選項(xiàng)�。在框290中,主動管理單元153可使用下面圖4和圖5中所示的安全DNS配備選項(xiàng)�����。在框295中��,主動管理單元153可使用下面圖6和圖7中所示的PID/PPS配備選項(xiàng)�。圖3的流程圖中示出使用非安全DNS選項(xiàng)的配備AMT的實(shí)施例。在一個實(shí)施例中�,非安全DNS配備選項(xiàng)可用于在安裝操作系統(tǒng)120后配備客戶機(jī)裝置105。在框305中���,管理控制臺190可聯(lián)系客戶機(jī)裝置105以發(fā)現(xiàn)主動管理技術(shù)(AMT)的存在。在一個實(shí)施例中���,管理控制臺190可發(fā)送更新請求�。
在框310中���,管理代理125可確定客戶機(jī)裝置105是否包括AMT�。在一個實(shí)施例中,管理代理125可啟動驅(qū)動程序135���,該驅(qū)動程序可與芯片組155連接以確定芯片組155是否是AMT已啟用的���。在一個實(shí)施例中,驅(qū)動程序135可發(fā)送查詢分組到芯片組155,并且可接收包括狀態(tài)比特的響應(yīng)分組�����,其狀態(tài)可指示AMT的存在�。如果芯片組155包括AMT,則控制傳遞到框315,否則配備方案結(jié)束��。
在框315中��,管理代理125可從主動管理單元153檢索AMT值�����。在一個實(shí)施例中���,管理代理125可啟動驅(qū)動程序135,該驅(qū)動程序可發(fā)送查詢到主動管理單元153,該單元可從NVRAM 157和BIOS 158檢索AMT信息����。在一個實(shí)施例中,驅(qū)動程序135可包括管理引擎接口 (MEI)或HECI驅(qū)動程序��。在一個實(shí)施例中����,AMT值可包括諸如配置模式、配置狀態(tài)���、AMT版本和類似的其它值的AMT值����。在一個實(shí)施例中��,管理代理125可接收通用唯一標(biāo)識符(UUID)�����、 AMT版本和類似的其它值����。在一個實(shí)施例中��,UUID可唯一地識別客戶機(jī)裝置105,而不依賴才喿作系統(tǒng)120的安裝狀態(tài)。
在框320中���,管理代理125可將AMT值發(fā)送到管理控制臺190��。在一個實(shí)施例中����,AMT值可由管理控制臺190用于確定客戶機(jī)裝置105是否支持AMT�����。在一個實(shí)施例中���,管理控制臺190可將AMT值轉(zhuǎn)發(fā)到配備服務(wù)器180���。
在框325中,管理控制臺190可生成一次性密碼(OTP)�����,該密碼可發(fā)送到管理代理125和配備服務(wù)器180��。在一個實(shí)施例中�,如果客戶機(jī)裝置105從OEM裝運(yùn)�����,并且AMT設(shè)置在"偵聽模式"��,則可生成OTP��。在一個實(shí)施例中��,OTP可由配備服務(wù)器180用于鑒定客戶機(jī)
14裝置105���。
在框330中,管理代理125可接收OTP并且在NVRAM 157中存 儲OTP�。
在框335中,管理代理125可啟用主動管理單元153以打開網(wǎng)絡(luò) 接口以接收建立消息��。在一個實(shí)施例中�����,管理代理125可發(fā)送諸如 AMTEnableNetworkSetupListen()命令等命令���,啟用AMU 153以打開 端口并偵聽諸如傳輸層安全(TLS)建立消息等建立消息���。在一個實(shí)施例 中��,主動管理單元153可在網(wǎng)絡(luò)接口打開后獲得客戶機(jī)裝置105的IP 地址。
在框340中���,主動管理單元153可生成密鑰對和自簽名證書�����。在 一個實(shí)施例中��,密鑰對和自簽名證書可用于在配備服務(wù)器180與客戶 機(jī)裝置105之間提供受保護(hù)信道�。在一個實(shí)施例中�����,主動管理單元153 可執(zhí)行證書生成代碼以生成密鑰對和自簽名證書�����。在一個實(shí)施例中��, 主動管理單元153可生成具有2048比特模數(shù)的RSA私有和公共密鑰 對和使用該RSA私有和公共密鑰對的自簽名證書(乂.509¥3)�。在一個 實(shí)施例中,主動管理單元153可在AMU 153的私有數(shù)據(jù)區(qū)域中存儲 密鑰對和簽名證書�����。在一個實(shí)施例中,主動管理單元153可在密鑰對 和簽名證書生成后將例如AMTProvKeyGenSuccessfUl的比特設(shè)為真 (TRUE)��。
在框345中�����,主動管理單元153可檢查諸如配備服務(wù)器180的 FQDN等建立值是否可得到�����,并且在FQDN不可得到時控制傳遞到框 350,否則傳遞到框355�。
在框350中,主動管理單元153可獲得網(wǎng)絡(luò)160的DNS后綴���。在 一個實(shí)施例中����,主動管理單元153可從DHCP服務(wù)器165獲得DNS 后綴����。在一個實(shí)施例中,主動管理單元153可使用DHCP的選項(xiàng)15 獲得DNS后綴��。在一個實(shí)施例中,主動管理單元153可使用DNS后 綴定位配備服務(wù)器180的IP地址�����。在一個實(shí)施例中�����,主動管理單元 153可將"問候"分組發(fā)送到配備服務(wù)器180����。在一個實(shí)施例中����,問候分組可包括客戶機(jī)裝置105的AMT值。
在框355中���,配備服務(wù)器180可打開與客戶機(jī)裝置105的主動管 理單元153的相互鑒定會話���。在一個實(shí)施例中,配備服務(wù)器180可打 開與主動管理單元153的傳輸層安全(TLS)相互鑒定會話��。
在框360中���,配備服務(wù)器180可創(chuàng)建與主動管理單元153的相互 鑒定連接���。在一個實(shí)施例中�����,配備服務(wù)器180和客戶機(jī)裝置105可使 用TLS握手協(xié)議建立相互鑒定連接����。在一個實(shí)施例中��,作為TLS握 手協(xié)議的一部分����,主動管理單元153可將自簽名證書發(fā)送到配備服務(wù) 器180,并且在響應(yīng)中��,配備服務(wù)器180可接收來自配備服務(wù)器180 的包括信任證書的根的證書鏈����。
在一個實(shí)施例中,主動管理單元153可計(jì)算信任證書的根的哈希��, 并且通過比較該哈希值和NVRAM 157中存儲的哈希值列表而驗(yàn)證證 書鏈。在一個實(shí)施例中�����,主動管理單元153可通過比較配備服務(wù)器180
后綴而l金證DNS后綴�����。在一個實(shí)施例中�����,主動管理單元153也可-驗(yàn) 證證書使用以檢驗(yàn)證書鏈?zhǔn)欠袷轻槍ε鋫銩MT的����。在一個實(shí)施例中����, 主動管理單元153也可檢查配備服務(wù)器鑒定以檢驗(yàn)AMU 153是否正 在與正確的配備服務(wù)器通信。如果上述-瞼證成功�����,則主動管理單元153 可信任配備服務(wù)器180����。此類方案可減少欺詐配備服務(wù)器鑒定為配備 服務(wù)器180的機(jī)會�����。
在框365中���,主動管理單元153可審計(jì)配備服務(wù)器180的信息。 在一個實(shí)施例中����,AMT固件可保持每個配備嘗試的審計(jì)記錄。在一 個實(shí)施例中����,主動管理單元153可將審計(jì)信息寫入NVRAM 157中。 在一個實(shí)施例中�,審計(jì)信息可包括第一字段(比特l-2:指示方法; 比特3:指示模式-交"iiH/偵聽��;以及比特4-8:保留)�����;256字節(jié)的 第二字段�����,如在證書中存儲的存儲配備服務(wù)器180的FQDN; 20字節(jié) 的第三字段,存儲受信任的根證書的哈希值�����;包括三個16字節(jié)陣列 的第四字段���,用于存儲中間證書機(jī)構(gòu)的序列號�����;1比特的第五字段�����,
16指示用于生成上述哈希值的哈希算法;指示TLS會話建立的時間/曰 期的第六字段��;指示配備服務(wù)器180的IP地址的第七字段����;以及指 示證書是否通過時間有效性檢查的第八字段。
在框370中����,配備服務(wù)器180可請求主動管理單元153發(fā)送在框 330中接收的OTP�。在框375中����,配備服務(wù)器180可驗(yàn)證從主動管理 單元153接收的OTP。在一個實(shí)施例中�,配備服務(wù)器180可比較在框 325中從管理控制臺190接收的OTP和從主動管理單元153接收的 OTP。
在框380中�����,配備服務(wù)器180可建立與客戶機(jī)裝置105的安全連 接�����。在一個實(shí)施例中�,配備服務(wù)器180可使用TLS或TLS-PSK (預(yù) 共享密鑰)建立與客戶機(jī)裝置105的安全連接。
在框385中���,配備服務(wù)器180可使用諸如HTTP分布式網(wǎng)絡(luò)(digest network)管理員用戶名和密碼等廠家默認(rèn)值登錄到客戶機(jī)裝置105��。
在框390中���,配備服務(wù)器180可提供配置數(shù)據(jù)�����,如PID/PPS證書���、 私鑰、當(dāng)前日期和時間�、HTTP分布式憑證和HTTP可協(xié)商憑證。在 框395中��,客戶機(jī)裝置105可重置和啟動正常操作��。
在一個實(shí)施例中���,主動管理單元153也可使用安全DNS選項(xiàng)��,以 便在客戶機(jī)裝置105上配備AMT�。在使用安全DNS選項(xiàng)時�����,AMU 153 可使用根據(jù)購買合同由OEM提供給最終用戶的配備服務(wù)器180的 FQDN�。在一個實(shí)施例中�,F(xiàn)QDN可由OEM在自定義制造期間存儲在 NVRAM 157中��。通過避免AMU 153如上面框350中所示從DHCP 服務(wù)器165獲得DNS后綴��,此類方案可提供AMT的安全配備���。
圖4的流程圖中示出使用安全DNS選項(xiàng)在IT集結(jié)區(qū)域在客戶機(jī) 裝置105上配備AMT的實(shí)施例。在一個實(shí)施例中����,安全DNS選項(xiàng)可 包括在IT集結(jié)區(qū)域執(zhí)行的第一部分和在最終用戶區(qū)域執(zhí)行的第二部 分。
在框410中�,在IT集結(jié)區(qū)域的技術(shù)人員可通過將客戶機(jī)裝置105 耦合到電源而打開客戶機(jī)裝置105電源。在框420中��,技術(shù)人員可打開AMT BIOS配置屏幕��。在一個實(shí)施 例中�����,技術(shù)人員可使用功能鍵打開AMT BIOS配置屏幕����。
在框430中,技術(shù)人員可使用諸如管理員用戶名和密碼等廠家默 認(rèn)設(shè)置登錄到AMT環(huán)境���。
在框440中���,技術(shù)人員可更改BIOS密碼�。在框450中����,技術(shù)人 員可提供建立值,如配備服務(wù)器180的FQDN�。在一個實(shí)施例中,F(xiàn)QDN 可由OEM提供����。
在框470中,技術(shù)人員可提供可選參數(shù)�。在一個實(shí)施例中,技術(shù) 人員可選擇性地在"交談��,���,模式中啟用AMT以支持棵機(jī)配備����。在一 個實(shí)施例中��,技術(shù)人員可輸入由配備服務(wù)器180提供的一次性密碼 (OTP)�。在一個實(shí)施例中,技術(shù)人員也可基于組織的IT政策修改受信 任證書哈希的列表�。
在框490中,技術(shù)人員可關(guān)閉客戶機(jī)裝置105電源�����,并將客戶機(jī) 裝置105分發(fā)到最終用戶��。在一個實(shí)施例中�,技術(shù)人員可使用通用串 行總線(USB)盤使提供建立參數(shù)的過程自動化。在其它實(shí)施例中�,建 立參數(shù)可在OEM制造現(xiàn)場編程到例如NVRAM 157的AMT閃存裝 置和BIOS 158中。
圖5的流程圖中示出使用安全DNS選項(xiàng)在最終用戶區(qū)域配備 AMT的實(shí)施例����。在IT集結(jié)區(qū)域第一部分完成后,客戶機(jī)裝置105可 提供給最終用戶��。在一個實(shí)施例中���,框505到580可在最終用戶區(qū)域 執(zhí)行��。
在框505中�����,管理控制臺190可檢查客戶機(jī)裝置105支持的AMT 是否在交談模式��,并且如果客戶機(jī)裝置105不在交談模式�,則控制傳 遞到框510,否則���,傳遞到框545�。在一個實(shí)施例中����,交談與偵聽模 式設(shè)為客戶機(jī)裝置105中的內(nèi)部狀態(tài)。
在框510中�,管理控制臺190可聯(lián)系客戶機(jī)裝置105以發(fā)現(xiàn)主動 管理技術(shù)(AMT)的存在。在一個實(shí)施例中��,管理控制臺190可發(fā)送更 新請求����。在框515中,管理代理125可確定客戶機(jī)裝置105是否包括AMT����。 在一個實(shí)施例中�,管理代理125可啟動驅(qū)動程序135,該驅(qū)動程序可 與芯片組155連接以確定芯片組155是否是AMT已啟用的���。在一個 實(shí)施例中,驅(qū)動程序135可發(fā)送查詢分組到芯片組155�����,并且可接收 包括狀態(tài)比特的響應(yīng)分組���,該比特可指示AMT的存在�����。如果客戶機(jī) 裝置105包括AMT��,則控制傳遞到框525��,否則配備方案結(jié)束��。
在框525中����,管理代理125可從主動管理單元153檢索AMT值。 在一個實(shí)施例中�����,管理代理125可啟動驅(qū)動程序135以從主動管理單 元153收集AMT值�。在一個實(shí)施例中,驅(qū)動程序135可將收集AMT 值信號發(fā)送到AMU 153�。在一個實(shí)施例中,AMU 153可從NVRAM 157和BIOS 158檢索AMT值�����,以響應(yīng)從驅(qū)動程序135接收收集AMT 值信號����。在一個實(shí)施例中,AMT值可包括表示配置模式�、配置狀態(tài)、 AMT版本的AMT值和類似的其它值的值���。在一個實(shí)施例中�,管理代 理125可接收通用唯一標(biāo)識符(UUID)���、 AMT版本和類似的其它值��。 在一個實(shí)施例中���,UUID可唯一地識別客戶機(jī)裝置105,而不依賴操 作系統(tǒng)120的安裝狀態(tài)�����。
在框530中,管理代理125可將AMT值發(fā)送到管理控制臺190�����。 在一個實(shí)施例中�,發(fā)送到管理控制臺190的AMT值可轉(zhuǎn)發(fā)到配備服 務(wù)器180。
在框535中��,管理代理125可啟用主動管理單元153以打開網(wǎng)絡(luò) 接口接收建立消息�����。在一個實(shí)施例中���,管理代理125可發(fā)送例如 AMTEnableNetworkSetupListen()命令的命令����,啟用AMU 153以打開 網(wǎng)絡(luò)接口或端口 ,并偵聽網(wǎng)絡(luò)接口上例如傳輸層安全(TLS)建立消息的 建立消息�����。
在框540中���,主動管理單元153可碎皮動地4笨聽DHCP消息以獲得 客戶機(jī)裝置105耦合到的網(wǎng)絡(luò)160的DNS后綴�����。在一個實(shí)施例中�, 客戶機(jī)裝置105支持的主機(jī)操作系統(tǒng)可與DHCP服務(wù)器170主動通信�����, 并且AMU 153可被動地探聽DHCP消息以了解DHCP信息����。在一個實(shí)施例中,DHCP探聽可阻止欺詐DHCP服務(wù)器���,消除DHCP廣播請 求可見性���,并且防止DHCP服務(wù)器地址耗竭攻擊���。
在框545中,主動管理單元153可確定客戶機(jī)裝置105的IP地址�。 在一個實(shí)施例中,主動管理單元153可將請求發(fā)送到DHCP服務(wù)器 165,并且可從DHCP服務(wù)器165接收IP地址���。在一個實(shí)施例中�����,如 果主動管理單元153設(shè)置在交談模式��,則到達(dá)框545。在一個實(shí)施例 中���,如果主動管理單元153設(shè)置在交談模式��,則可使用棵機(jī)配備方案����。
在框550中�����,主動管理單元153可通過使用在框450中提供的配 備服務(wù)器180的FQDN來查詢DNS服務(wù)器170從而定位配備服務(wù)器 180。
在框555中��,主動管理單元153可創(chuàng)建與配備服務(wù)器180的連接�����。 在一個實(shí)施例中�,主動管理單元153可建立與配備服務(wù)器180的TCP 連接,并且可將包括客戶機(jī)裝置105的IP地址���、PID值��、UUID�����、 ROM 和固件版本號及此類其它類似值的問候分組發(fā)送到配備服務(wù)器180�����。
在框560中��,配備服務(wù)器180可打開與客戶機(jī)裝置105的主動管 理單元153的相互鑒定會話�����。在一個實(shí)施例中�,配備服務(wù)器180可打 開與主動管理單元153的傳輸層安全(TLS)相互鑒定會話。
在框565中��,配備服務(wù)器180可建立與主動管理單元153的相互 鑒定連接���。在一個實(shí)施例中�����,相互鑒定連接可使用TLS握手協(xié)議建立�����。 在一個實(shí)施例中��,作為TLS握手協(xié)議的一部分,主動管理單元153可 將自簽名證書發(fā)送到配備服務(wù)器180,并且可從配備服務(wù)器180接收 包括信任證書的根的證書鏈�。
在一個實(shí)施例中,主動管理單元153可計(jì)算信任證書的根的哈希���, 并且通過比較該哈希值與NVRAM 157中存儲的哈希值列表而驗(yàn)證證 書鏈����。在一個實(shí)施例中,主動管理單元153可通過比較配備服務(wù)器180
證DNS后綴��。在一個實(shí)施例中��,主動管理單元153也可驗(yàn)證證書使 用以檢驗(yàn)證書鏈?zhǔn)欠袷轻槍ε鋫銩MT的�����。在一個實(shí)施例中�����,主動管
20理單元153也可檢查服務(wù)器鑒定�����。如果上述驗(yàn)證成功�����,則主動管理單 元153可信任配備服務(wù)器180��。此類方案可減少欺詐配備服務(wù)器鑒定 為配備服務(wù)器180的機(jī)會��。
在框568中�,主動管理單元153可審計(jì)配備服務(wù)器180的信息�����。 在一個實(shí)施例中��,AMT固件可保持最后配備嘗試的審計(jì)記錄�����。在一 個實(shí)施例中���,主動管理單元153可將審計(jì)信息寫入NVRAM 157中。
在框570中���,配備服務(wù)器180可搜索數(shù)據(jù)庫以檢查OTP是否設(shè)置 用于客戶機(jī)裝置105���。在一個實(shí)施例中,配備服務(wù)器180可基于企業(yè) 政策設(shè)置OTP�。
在框575中���,配備力良務(wù)器180可請求主動管理單元153發(fā)送在框 470中提供到客戶機(jī)裝置105的OTP���。在框580中�,配備服務(wù)器180 可驗(yàn)證從主動管理單元153接收的OTP�。在一個實(shí)施例中,配備服務(wù) 器180可比較從數(shù)據(jù)庫檢索的OTP和從主動管理單元153接收的 OTP����。
在框590中,配備服務(wù)器180可建立與客戶機(jī)裝置105的安全連 接�����。在一個實(shí)施例中��,配備服務(wù)器180可使用TLS或TLS-PSK (預(yù) 共享密鑰)建立與客戶機(jī)裝置105的安全連接�����。
圖6的流程圖中示出使用PID/PPS選項(xiàng)在IT集結(jié)區(qū)域在客戶機(jī)裝 置105上配備AMT的實(shí)施例����。
在框610中,技術(shù)人員可請求配備服務(wù)器180生成建立值���,如 PID/PPS對�����。在一個實(shí)施例中�,配備月l務(wù)器180可生成諸如配備標(biāo)識 符(PID)等可以是預(yù)共享密鑰的公共部分的第二建立值和諸如配備密 碼短語(PPS)等預(yù)共享密鑰的私有部分的第三建立值。
在框620中�,在IT集結(jié)區(qū)域的技術(shù)人員可打開客戶機(jī)裝置105 的電源。在框630中�,技術(shù)人員可打開AMTBIOS配置屏幕。在一個 實(shí)施例中��,技術(shù)人員可使用功能鍵打開AMT BIOS配置屏幕���。
在框640中����,技術(shù)人員可使用諸如管理員用戶名和密碼等廠家默 認(rèn)設(shè)置登錄到AMT環(huán)境��。在框650中�,技術(shù)人員可更改BIOS密碼。在框660中��,技術(shù)人 員可將諸如PID/PPS對等第二和第三建立值輸入BIOS中�。在一個實(shí) 施例中,技術(shù)人員可輸入在框610中由配備服務(wù)器180生成的PID/PPS對�。
在框670中���,技術(shù)人員也可輸入諸如配備服務(wù)器180的IP地址或 FQDN等第一建立值���。在一個實(shí)施例中����,F(xiàn)QDN或IP地址可存儲在 NVRAM 157中���。在一個實(shí)施例中�����,F(xiàn)QDN可由OEM提供�。
在框680中�,技術(shù)人員可提供可選建立參數(shù)。在一個實(shí)施例中����, 技術(shù)人員可選擇性地在"交談"模式中啟用AMT以支持棵機(jī)配備。 在一個實(shí)施例中���,技術(shù)人員可輸入由配備服務(wù)器180提供的一次性密 碼(OTP)�。在一個實(shí)施例中,技術(shù)人員也可基于組織的IT政策修改受 信任證書哈希的列表��。
在框690中�����,技術(shù)人員可關(guān)閉客戶機(jī)裝置105的電源����,并將客戶 機(jī)裝置105分發(fā)到最終用戶。在其它實(shí)施例中���,技術(shù)人員可使用通用 串行總線(USB)盤使提供建立參數(shù)到主動管理單元153的過程自動化����。 在其它實(shí)施例中���,建立參數(shù)可在OEM制造現(xiàn)場編程到例如NVRAM 157的AMT閃存裝置和BIOS 158中��。
圖7的流程圖中示出使用PID/PPS選項(xiàng)在最終用戶區(qū)域配備AMT 的實(shí)施例�。
在框705中�,管理控制臺190可檢查由客戶機(jī)裝置105支持的 AMT是否在交談模式,并且如果客戶機(jī)裝置105不在交談模式���,則 控制傳遞到框710��,否則��,傳遞到框750��。
在框710中�,管理控制臺190可聯(lián)系客戶機(jī)裝置105以發(fā)現(xiàn)主動 管理技術(shù)(AMT)的存在����。在一個實(shí)施例中,管理控制臺190可發(fā)送更 新請求�����。
在框715中���,管理代理125可確定客戶機(jī)裝置105是否包括AMT�����。 在一個實(shí)施例中���,管理代理125可啟動驅(qū)動程序135���,該驅(qū)動程序可 與芯片組155連接以確定芯片組155是否是AMT已啟用的。在一個實(shí)施例中�����,驅(qū)動程序135可發(fā)送查詢分組到芯片組155,并且可接收 包括狀態(tài)比特的響應(yīng)分組��,其狀態(tài)可指示AMT的存在�����。如果客戶機(jī) 裝置105包括AMT�����,則控制傳遞到框725,否則配備方案結(jié)束�。
在框725中,管理代理125可從主動管理單元153檢索AMT值�����。 在一個實(shí)施例中�,管理代理125可啟動驅(qū)動程序135,該驅(qū)動程序可 發(fā)送查詢到主動管理單元153,該單元可/人NVRAM 157和BIOS 158 檢索AMT值����。在一個實(shí)施例中�,AMT值可包括配置模式��、配置狀態(tài)�、 AMT版本和此類其它類似值。在一個實(shí)施例中��,管理代理125可接 收通用唯一標(biāo)識符(UUID)�����、 AMT版本和類似的其它值����。在一個實(shí)施 例中���,UUID可唯一地識別客戶機(jī)裝置105,而不依賴操作系統(tǒng)120 的安裝狀態(tài)�。
在框730中��,管理代理125可將AMT值發(fā)送到管理控制臺190��。 在一個實(shí)施例中����,管理控制臺190可將AMT值轉(zhuǎn)發(fā)到配備服務(wù)器180�����。
在框735中����,管理代理125可啟用主動管理單元153以打開網(wǎng)絡(luò) 接口接收建立消息�����。在一個實(shí)施例中���,管理代理125可發(fā)送諸如 AMTEnableNetworkSetupListen()命令等命令�����,以啟用AMT以打開其 網(wǎng)絡(luò)接口并偵聽建立消息��。在一個實(shí)施例中�����,建立消息可包括在網(wǎng)絡(luò) 接口上的傳輸層安全(TLS)建立消息��。
在框750中��,主動管理單元153可確定客戶機(jī)裝置105的IP地址�。 在一個實(shí)施例中,主動管理單元153可將請求發(fā)送到DHCP服務(wù)器 165�,并且可從接收自DHCP服務(wù)器165的響應(yīng)中檢索IP地址。
在一個實(shí)施例中�,如果主動管理單元153配置在交談;漠式,則到 達(dá)框750�����。在一個實(shí)施例中��,如果主動管理單元153設(shè)置在交談;漠式����, 則可使用棵機(jī)配備方案�����。
在框755中�����,主動管理單元153可通過使用在框670中提供的配 備服務(wù)器180的FQDN來查詢DNS服務(wù)器170從而定位配備服務(wù)器 180。
在框760中����,主動管理單元153可建立與配備服務(wù)器180的連接。在一個實(shí)施例中�,主動管理單元153可建立與配備服務(wù)器180的TCP 連接,并且可將包括客戶機(jī)裝置105的IP地址���、PID����、 UUID�、 ROM 和固件版本號及此類其它類似值的問候分組發(fā)送到配備服務(wù)器180 。
在框765中��,配備服務(wù)器180可搜索預(yù)主密(pre-master secret)�����。 在一個實(shí)施例中�����,預(yù)主密可用于生成主密鑰和會話密鑰。
在框770中�����,配備服務(wù)器180可打開與客戶機(jī)裝置105的主動管 理單元153的傳輸層安全(TLS)預(yù)共享密鑰(PSK)TLS-PSK會話�。在一 個實(shí)施例中,預(yù)共享密鑰可包括^^共部分和私有部分����。在一個實(shí)施例 中,公共部分可包括預(yù)共享密鑰的配備標(biāo)識符(PID),并且私有部分可 包括預(yù)共享密鑰的配備密碼短語(PPS)�����。
本發(fā)明的某些特征已參照示例實(shí)施例進(jìn)行了描述���。然而�����,描述不 應(yīng)牙見為限制。本發(fā)明有關(guān)領(lǐng)域的技術(shù)人員明白���,示例實(shí)施例以及本發(fā) 明的其它實(shí)施例的各種修改應(yīng)視為在本發(fā)明的精神和范圍內(nèi)���。
權(quán)利要求
1. 一種方法�,包括將更新命令發(fā)送到客戶機(jī)裝置以檢查所述客戶機(jī)裝置是否支持主動管理技術(shù)���,在從客戶機(jī)裝置接收主動管理技術(shù)值后���,在管理控制臺中生成一次性密碼,在配備服務(wù)器和所述客戶機(jī)裝置中存儲所述一次性密碼���,指導(dǎo)所述主動管理技術(shù)打開網(wǎng)絡(luò)接口以偵聽建立消息���,如果完全限定域名不可得到,則識別所述配備服務(wù)器��,使用所述一次性密碼鑒定所述客戶機(jī)裝置�����,使用證書鏈鑒定所述配備服務(wù)器�,審計(jì)所述配備服務(wù)器,以及在所述客戶機(jī)裝置與所述配備服務(wù)器之間建立安全的連接�。
2. 如權(quán)利要求1所述的方法,其中在所述客戶機(jī)裝置支持的所述主動管理技術(shù)配置在偵聽模式中時�,生成所述一次性密碼���。
3. 如權(quán)利要求1所述的方法,識別所述配備服務(wù)器還包括從動態(tài)主機(jī)配置協(xié)議服務(wù)器獲得域名服務(wù)器后綴�����。
4. 如權(quán)利要求l所述的方法�,鑒定所述客戶機(jī)裝置還包括從所述客戶機(jī)裝置接收所述一次性密碼,以及比較從所述客戶機(jī)裝置接收的所述一次性密碼與所述配備服務(wù)器中存儲的所述一次性密碼��。
5. 如權(quán)利要求4所述的方法���,鑒定所述配備服務(wù)器還包括提供自簽名證書到所述配備服務(wù)器���,其中所述自簽名證書和密鑰對由所述客戶機(jī)裝置生成,在所述網(wǎng)絡(luò)接口上接收包括證書鏈的所述建立消息����,其中所述證書鏈包括信任的根,以及比較所述證書鏈的哈希值和多個存儲的哈希值���。
6. 如權(quán)利要求5所述的方法,還包括使用傳輸層安全協(xié)議在所述客戶機(jī)裝置與所述配備服務(wù)器之間建立經(jīng)鑒定的連接����。
7. 如權(quán)利要求1所述的方法�,其中審計(jì)所述配備服務(wù)器包括保持與所述配備服務(wù)器的會話的多個參數(shù)的記錄�����。
8. 如權(quán)利要求l所述的方法����,其中識別所述配備服務(wù)器包括通過使用可得到的所述完全限定域名查詢所述域名M^務(wù)器,定位所述配備服務(wù)器����。
9. 一種計(jì)算裝置,包括支持管理代理的處理器����,其中所述管理代理要在從管理控制臺接收更新請求后,將主動管理技術(shù)值發(fā)送到所述管理控制臺�����,以及耦合到所述處理器的芯片組���,其中所述芯片組要將主動管理技術(shù)值提供到所述管理代理�����,在從所述管理控制臺接收一次性密碼后在非易失性存儲器中存儲所述一次性密碼,指導(dǎo)所述主動管理技術(shù)打開網(wǎng)絡(luò)接口以偵聽建立消息,如果完全限定域名不可得到�����,則識別配備^^務(wù)器,使用證書鏈鑒定所述配備服務(wù)器����,以及在建立與所述配備服務(wù)器的安全連接前審計(jì)所述配備服務(wù)器。
10. 如權(quán)利要求9所述的計(jì)算裝置��,還包括非易失性存儲器�����,其中如果所述計(jì)算裝置支持的所述主動管理技術(shù)配置在偵聽模式中�����,則所述非易失性存儲器要存儲所述一次性密碼�����。
11. 如權(quán)利要求9所述的計(jì)算裝置,在所述配備服務(wù)器的所述完全限定域名不可得到時�,所述芯片組要通過從動態(tài)主機(jī)配置協(xié)議服務(wù)器獲得域名服務(wù)器后綴來確定網(wǎng)絡(luò)地址��。
12. 如權(quán)利要求11所述的計(jì)算裝置��,所述芯片組還包括主動管理技術(shù)單元���,其中所述主動管理技術(shù)單元要將自簽名證書提供到所述配備服務(wù)器�����,在所述網(wǎng)絡(luò)接口上從所述配備服務(wù)器接收包括證書鏈的所述建立消息���,其中所述證書鏈包括信任的根,以及比較所述證書鏈的哈希值和多個存儲的哈希值�。
13. 如權(quán)利要求12所述的計(jì)算裝置,其中所述主動管理技術(shù)單元要使用傳輸層安全協(xié)議建立與所述配備服務(wù)器的經(jīng)鑒定的連接�。
14. 如權(quán)利要求9所述的計(jì)算裝置,其中所述芯片組要保持與所述配備服務(wù)器的會話的多個參數(shù)的記錄以審計(jì)所述配備服務(wù)器�����。
15. 如權(quán)利要求9所述的計(jì)算裝置��,其中所述芯片組要通過使用可得到的所述完全限定域名查詢所述域名^11務(wù)器,定位所述配備服務(wù)器��。
16. 如權(quán)利要求9所述的計(jì)算裝置�,還包括網(wǎng)絡(luò)接口,其中所述網(wǎng)絡(luò)接口要從所述管理控制臺接收所述一次性密碼����,將所述簽名的證書發(fā)送到所述配備服務(wù)器,以及從所述配備服務(wù)器接收所述證書鏈��。
17. —種包括多個指令的機(jī)器可讀介質(zhì)����,所述指令響應(yīng)被執(zhí)行而導(dǎo)致計(jì)算裝置發(fā)送主動管理技術(shù)值以響應(yīng)接收更新命令,在客戶機(jī)裝置中存儲一次性密碼��,指導(dǎo)所述主動管理技術(shù)打開網(wǎng)絡(luò)接口以偵聽建立消息��,如果完全限定域名不可得到����,則識別配備^^務(wù)器,使用所述一次性密碼鑒定所述客戶機(jī)裝置����,使用證書鏈鑒定所述配備服務(wù)器����,審計(jì)所述配備服務(wù)器�,以及在所述客戶機(jī)裝置與所述配備服務(wù)器之間建立安全的連接。
18. 如權(quán)利要求17所述的機(jī)器可讀介質(zhì)����,其中在所述客戶機(jī)裝置支持的所述主動管理技術(shù)配置在偵聽模式中時����,生成所述一次性密
19. 如權(quán)利要求17所述的機(jī)器可讀介質(zhì),識別所述配備服務(wù)器還 包括從動態(tài)主機(jī)配置協(xié)議服務(wù)器獲得域名服務(wù)器后綴�。
20. 如權(quán)利要求17所述的機(jī)器可讀介質(zhì),鑒定所述配備服務(wù)器還 包括提供自簽名證書到所述配備服務(wù)器�����,其中所述自簽名證書和密鑰 對由所述客戶機(jī)裝置生成����,在所述網(wǎng)絡(luò)接口上接收包括證書鏈的所述建立消息,其中所述證 書鏈包括信任的根�,以及比較所述證書鏈的哈希值和多個存儲的哈希值。
21. 如權(quán)利要求20所述的機(jī)器可讀介質(zhì),還包括使用傳輸層安全 協(xié)議在所述客戶機(jī)裝置與所述配備服務(wù)器之間建立經(jīng)鑒定的連接����。
22. 如權(quán)利要求17所述的機(jī)器可讀介質(zhì),其中審計(jì)所述配備服務(wù) 器包括保持與所述配備服務(wù)器的會話的多個參數(shù)的記錄����。
23. 如權(quán)利要求17所述的機(jī)器可讀介質(zhì),其中識別所述配備服務(wù) 器包括通過使用可得到的所述完全限定域名查詢所述域名服務(wù)器��,定 位所述配備服務(wù)器��。
全文摘要
主動管理技術(shù)(AMT)可在客戶機(jī)裝置中自動配備�����,這可在配備服務(wù)器與客戶機(jī)裝置之間提供安全的連接�。包括主動管理技術(shù)的客戶機(jī)裝置可支持零接觸配備和單接觸配備。
文檔編號H04L9/00GK101478386SQ20081018896
公開日2009年7月8日 申請日期2008年12月22日 優(yōu)先權(quán)日2007年12月21日
發(fā)明者A·埃爾達(dá), C·史密斯, D·海恩斯, H·C·赫伯特, P·格爾, U·布盧門薩爾 申請人:英特爾公司