CN101771689B - 通过管理性引擎进行企业网单点登录的方法和*** - Google Patents
通过管理性引擎进行企业网单点登录的方法和*** Download PDFInfo
- Publication number
- CN101771689B CN101771689B CN200910262640.9A CN200910262640A CN101771689B CN 101771689 B CN101771689 B CN 101771689B CN 200910262640 A CN200910262640 A CN 200910262640A CN 101771689 B CN101771689 B CN 101771689B
- Authority
- CN
- China
- Prior art keywords
- key
- user
- manageability engine
- encrypting
- operating system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09G—ARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
- G09G2358/00—Arrangements for display data security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
一种通过管理性引擎进行企业网单点登录的方法和***。管理性引擎(ME)在预引导认证期间接收来自用户的认证响应并将所述用户向密钥分配中心(KDC)注册,表明所述用户已经成功地向PC认证。所述KDC向所述ME提供密钥加密密钥(KEK)形式的单点登录证书。所述KEK可以随后被所述PC使用以获取用于建立对企业服务器的安全访问的证书。
Description
技术领域
本发明总体上涉及用户认证。更具体地,本发明涉及使用管理性引擎进行企业网单点登录的方法和***。
背景技术
用于数据保护的Anti-TheftTM技术(AT-d)是一种向芯片组及其***部件添加全盘加密(FDE)的平台能力。由AT-d保护的驱动器上的所有数据都是加密的,包括OS(操作***)和用户数据。保持未加密的区域包括管理性引擎(manageability engine,ME)元数据和预引导(pre-boot)认证元数据区域。将驱动器完全加密保护了包含在分页和配置文件中的敏感数据,并且它防止了离线攻击者通过工具箱(tool kit)对***文件的操纵。
将驱动器完全加密也存在着挑战。例如,在用户被认证之前,对该用户来说磁盘驱动器是禁止访问的。当前的实践依赖操作***(OS)来执行初始认证,但是采用FDE时,该OS是加密的,这使得通过OS来认证用户是困难的。因此,用户认证必须在需要驱动器访问的任何预引导服务之前进行。
发明内容
根据本发明的一个方面,提供了一种使用计算机平台的管理性引擎的安全访问方法,所述方法包括:在预引导操作期间,通过与所述计算机平台的带内处理器相分离的所述管理性引擎来接收来自用户的认证响应;采用协议、使用所述管理性引擎向企业网中所包括的密钥分配中心注册,其中,所述管理性引擎使得能够对所述企业网进行直接带外访问,并且其中,向所述密钥分配中心注册表明所述用户已经成功地向所述计算机平台认证;以及使用所述管理性引擎并且独立于所述带内处理器来接收密钥加密密钥形式的单点登录证书,其中,所述密钥加密密钥随后被用于获取用于建立对所述企业网中所包括的使用所述密钥加密密钥的企业服务器的安全访问的证书。
根据本发明的另一个方面,提供了一种使用与计算机平台的主处理器相分离的管理性引擎来安全访问企业服务器的方法,所述方法包括:通过所述管理性引擎从预引导认证模块接收用户认证证书;响应于用户已经成功地向所述预引导认证模块认证,通过所述管理性引擎从企业请求密钥加密密钥,其中,所述管理性引擎使得能够对所述企业进行直接带外访问;如果所述用户被所述企业认证,则通过所述管理性引擎并且独立于所述主处理器来接收所述密钥加密密钥,并使用所述管理性引擎安全地存储所述密钥加密密钥;在接收所述密钥加密密钥后,通过所述管理性引擎使BIOS能够继续引导操作***;通过所述管理性引擎从用于拦截操作***登录过程的补片处接收对所述密钥加密密钥的请求;通过所述管理性引擎从安全存储器中检索所述密钥加密密钥;以及通过所述管理性引擎向所述操作***发送所述密钥加密密钥,其中,所述补片在接收到所述密钥加密密钥时阻止所述操作***登录提示并完成所述操作***的引导;其中,当所述操作***需要访问所述企业服务器时,所述操作***从所述管理性引擎检索所述密钥加密密钥以获取特定于所述企业服务器的票证。
根据本发明的又一个方面,提供了一种安全访问***,包括:用于在预引导操作期间使用与计算机平台的带内处理器相分离的管理性引擎来接收来自用户的认证响应的模块;用于采用协议、使用所述管理性引擎向企业网中所包括的密钥分配中心注册的模块,其中,所述管理性引擎使得能够对所述企业网进行直接带外访问,并且其中,向所述密钥分配中心注册表明所述用户已经成功地向所述计算机平台认证;以及用于使用所述管理性引擎并且独立于所述带内处理器来接收密钥加密密钥形式的单点登录证书的模块,其中,所述密钥加密密钥随后被用于获取用于建立对所述企业网中所包括的使用所述密钥加密密钥的企业服务器的安全访问的证书。
根据本发明的再一个方面,提供了一种安全访问***,包括:用于使用与计算机平台的主处理器相分离的管理性引擎从预引导认证模块接收用户认证证书的单元;用于响应于用户已经成功地向所述预引导认证模块认证,通过所述管理性引擎从企业请求密钥加密密钥的单元,其中,所述管理性引擎使得能够对所述企业进行直接带外访问;用于如果所述用户被所述企业认证,则通过所述管理性引擎并且独立于所述主处理器来接收所述密钥加密密钥并安全地存储所述密钥加密密钥的单元;用于在接收所述密钥加密密钥后通过所述管理性引擎使BIOS能够继续引导操作***的单元;用于通过所述管理性引擎从用于拦截操作***登录过程的补片处接收对所述密钥加密密钥的请求的单元;用于通过所述管理性引擎从安全存储器中检索所述密钥加密密钥的单元;以及用于通过所述管理性引擎向所述操作***发送所述密钥加密密钥的单元,其中,所述补片在接收到所述密钥加密密钥时阻止所述操作***登录提示并完成所述操作***的引导;其中,当所述操作***需要访问所述企业服务器时,所述操作***从所述管理性引擎检索所述密钥加密密钥以获取特定于所述企业服务器的票证。
附图说明
纳入本文并形成说明书的一部分的附图说明了本发明的实施例,并与说明书一起进一步解释了本发明的原理,使得相关领域的技术人员能够制造和使用本发明。在附图中,类似的附图标记通常指示同样的、功能类似的、和/或结构类似的元素。由对应的附图标记中的最左边的数字指示元素第一次在其中出现的附图。
图1是说明了可以在其中应用所描述实施例的各个方面的示例性计算机平台的框图;
图2是说明了根据本发明实施例的、用于使用管理性引擎进行企业网单点登录的***的框图;
图3是描述了根据本发明实施例的、用于使用管理性引擎进行企业网单点登录的示例性方法的流程图;
图4是描述了根据本发明实施例的、使得能够访问来自一个或多个企业服务器的资源或服务的示例性方法的流程图。
具体实施方式
虽然本文参照用于特定应用的示例性实施例描述了本发明,但是应当理解,本发明不限于这些示例性实施例。使用本文提供的教导的相关领域技术人员将会意识到在本发明范围内和在本发明的实施例具有明显应用价值的其它领域内的其它修改、应用和实施方式。
说明书中所提及的本发明的“一个实施例”、“一实施例”或“另一实施例”意味着结合该实施例所描述的特定特征、结构或特性包含在本发明的至少一个实施例中。因此,在整个说明书中不同地方出现的短语“在一个实施例中”或“在一实施例中”并不是必然指代同一实施例。
本发明实施例提供了由管理性引擎(ME)在预引导操作期间接收来自用户的认证响应,并使用Kerberos协议将该用户已经成功地向PC(个人计算机)认证注册到Kerberos密钥分配中心(KDC)。所述KDC向所述ME提供密钥加密密钥(KEK)形式的单点登录证书,该单点登录证书以后可由所述PC使用以获得对企业服务器的安全访问。
本发明实施例提供了早期在预引导环境中使用企业身份管理服务来执行用户认证的能力。通过使用管理性引擎来提供这种能力,该管理性引擎使得能够直接带外访问企业网以使用正由该企业网所管理的用户证书。本发明实施例还使得操作***(OS)能够识别出用户已经在OS引导期间被认证。这是通过允许证书管理器拦截OS用户登录以便通过从所述ME请求所述KEK来确定该用户是否已经经过企业认证来实现的。如果所述KEK安全地保存在所述ME中,那么所述KEK被检索并返回给所述证书管理器。一旦接收到所述KEK,证书管理器就确定该用户已经向该企业认证了,并且阻止OS用户登录提示,从而让该过程仅可请求单点登录。
本发明实施例摆脱了平台对操作***(OS)及其配置的依赖,从而允许基于用户(和机器)的身份来动态地选择和配置要在所述平台上使用的虚拟机监视器(VMM)、虚拟机(VM)、OS和应用。保护用户认证不受泄密的OS和/或VMM的影响。向所述KDC的认证以及后续将用户证书/授权向所述平台的发放不受恶意软件或者其他对OS或者VMM的攻击的影响。
虽然使用Kerberos作为身份管理基础结构进行描述了本发明的实施例,但是本发明并不限于Kerberos基础结构。相关领域技术人员将知道,也可以使用其它的身份管理基础结构,例如SAML(安全断言标记语言)、卡空间(Card Space)、自由联盟(Liberty Alliance)、公共密钥等。
图1是说明了可以在其中应用所描述的实施例的各个方面的示例性计算机平台的框图。计算机平台100包括处理器102(也被称为带内处理器)。处理器102可以耦合到***存储器,在一个实施例中,所述***存储器可以是动态随机存取存储器104。处理器102可以是能够执行软件的任何类型的处理器,例如微处理器、数字信号处理器、微控制器等。虽然图1仅示出了一种这样的处理器102,但是在平台100中可以有一个或多个处理器,并且所述处理器中的一个或多个可以包括多个线程、多个核等。
处理器102还可以经由DMI(直接媒体接口)接口108连接到芯片组106。芯片组106包括管理性引擎(ME)110、加密服务块(CSB)112和虚拟引擎(VE)114等。CSB 112是高级加密标准的一种硬件应用,它支持128和256比特的密钥长度。VE 114耦合到串行高级技术附件(SATA)控制器116,所述SATA控制器116执行SATA命令解码和其他用于任何连接的SATA存储设备的加速操作,所述SATA存储设备例如SATA设备118。VE 114还耦合到非易失性存储器(NVM)控制器120,以高速缓存诸如NAND闪存122这样的NVM设备上的数据。ME 110通过配置策略和密钥来控制VE 114和CSB 112的行为。ME 110收集审核事件、管理用户认证以及与企业服务126连接。ME 110使用带外微控制器(未示出)和网络控制器124经由网络125与企业服务126连接。在一个实施例中,网络125可以是广域网,例如但不限于因特网。
在一个实施例中,芯片组106经由串行***接口(SPI)总线128耦合到非易失性存储器130。非易失性存储器130可以是闪存或静态随机存取存储器(SRAM)等。在许多现有的平台中,NVM 130是闪存。闪存130包括用于芯片组106的芯片组固件132和用于网络控制器124的网络控制器固件134。
在一些实施例中,处理器102具有位于NVM 130中的基本输入/输出***(BIOS)固件136。在其它实施例中,处理器102可以从远程设备(未示出)引导,其中引导向量(指针)驻留在NVM 130的BIOS固件136中。芯片组106可以访问NVM 130的所有内容,包括用于控制芯片组106的芯片组固件132、用于控制网络控制器124的网络控制器固件134、以及BIOS固件136。
图2是说明了根据本发明实施例的用于使用管理性引擎进行企业网单点登录的***的框图。***200包括具有预引导(pre-boot)部分和引导后(post-boot)部分的CPU 202。所述预引导部分包括基本输入/输出***(BIOS)204和预引导认证模块(PBAM)206等。所述引导后部分包括操作***(OS)208和GINA(图像识别与认证)210等。***200还包括管理性引擎(ME)110。ME 110耦合到CPU 202。
当首次加电时,BIOS 204部分地引用个人计算机(PC)所运行的固件代码。BIOS 204的主要功能是识别并初始化诸如视频显卡、硬盘等这样的***部件硬件和其它的硬件设备。BIOS 204可以是,例如,EFI(可扩展固件接口)BIOS或传统BIOS。在本发明的各个实施例中,可以使用PBAM 206通过BIOS 204来认证用户(未示出)。
PBAM 206实现用于预引导交互式登录的认证策略。PBAM 206是BIOS 204的扩展,以确保OS 208外部的安全、防篡改环境是可信的认证层。PBAM 206向用户提供认证挑战来对该用户进行认证。例如,PBAM 206可以向用户请求用户标识和口令。可以将所述用户标识和口令与所存储的数据进行比较,以确定是否认证该用户。在用户已经证实他们具有前进的正确口令之前,PBAM 206阻止OS 208加载。
OS 208负责活动的管理和协调以及计算机平台的资源共享。OS 208可以是,例如,微软Windows OS或Linux OS。
GINA(图像识别与认证)210是一种实现用于OS交互式登录模型的认证策略的动态链接库(DLL)。GINA也被称为证书管理器,它执行用于OS处的用户认证的所有识别与认证用户交互。
ME 110包括ME公共服务模块212等。ME公共服务(CS)模块212代表了在管理性引擎110上运行的固件层。CS 212提供了通信栈,该通信栈允许ME 110连接到企业网,例如,企业220。CS 212还提供了***接口,通过该***接口能够添加/移除固件模块以分别增加/减小芯片组106的功能。在本发明的一个实施例中,DT2模块214和公共认证模块(CAM)216是向芯片组106提供附加功能的固件***。其它FW 218示出了用于另一固件模块的示例性放置处。加密密钥DWK(设备包裹密钥)215和KEK(密钥加密密钥)217分别是用于DT2模块214和CAM 216的相应证书,并被示出为安全地存储在所述平台上。其它219是用于其它FW 218的加密密钥的放置处。
DT2模块214是用于控制对加密的存储设备的访问的固件***。DWK215是用于使用固件***DT2 214来解锁加密的磁盘的加密密钥/证书。访问加密密钥DWK 215是有条件的,其基于用户或管理员的成功认证。
公共认证模块(CAM)216是主要负责与预引导BIOS代码、可选的ROM或执行用户认证挑战的其它主机固件模块进行接口的固件***。这些挑战的响应被提供给CAM 216,在CAM 216处验证所声明的身份。在一个实施例中,CAM 216也被称为Kerberos客户端。KEK 217,也被称为Kerberos票证授权票证(ticket granting ticket)或TGT,是被用于通过企业服务器226获得访问企业服务126的票证的加密密钥/证书。访问加密密钥KEK 217是有条件的,其基于用户或管理员的成功认证。
***200通过网络(如图1所示)连接到企业220。企业220包括密钥分配中心(KDC)222、目录(224)、和通过企业服务器226的企业服务126。
KDC 222是用于帮助认证用户和服务的认证服务器。KDC 222分***证以使得能够访问诸如企业服务之类的服务。KDC 222响应于来自客户端的初始认证请求而颁发称为密钥加密密钥(KEK)的专用密钥,所述KEK在Kerberos挑战响应协议中也被定义为票证授权票证(TGT)。如果用户实际上是他们所声称的用户,那么他们能够在无需重新输入他们的口令的情况下,用所述KEK/TGT获得企业服务126的其它服务票证。KDC 222通过后端接口(未示出)连接到目录224以获得关于用户、主机或服务的信息。
目录224存储与用户、主机和服务相关联的数据。存储在目录224中的数据可以包括但不限于用户名、口令和口令到期日期、以及该用户所持有的关于服务的任何票证的属性。
图3是描述了根据本发明实施例的、用于使用管理性引擎进行企业网单点登录的示例性方法的流程图300。本发明不限于本文参照流程图300所描述的实施例。而是,在阅读了本文提供的这些教导之后,对本领域技术人员而言显而易见,其它功能流程图是属于本发明保护范围的。该过程从框302开始,并立即进行到框304。
在框304中,所述ME公共认证模块从所述PBAM接收用户认证证书(即,用户标识和口令)。用户通过BIOS向PBAM认证。PBAM向用户提供认证挑战来认证该用户。例如,PBAM可以向用户请求用户标识和口令。响应于所述挑战,该用户向PBAM提供用户认证证书并向ME发送所述用户认证证书。该过程进行到框306。
在框306中,ME开启到企业KDC的连接,以请求密钥加密密钥(KEK),该密钥加密密钥(KEK)也被称为票证授权票证(TGT)。所述KEK可被用于获取用于针对服务126访问企业服务器226的服务票证。企业KDC执行企业挑战响应协议,以通过查询包含关于用户的信息的目录服务来验证/认证所述用户是企业的已知实体。所述目录服务可以是微软活动目录、LDAP(轻便目录访问协议)或某个其他的目录服务。如果所述用户是已知的实体(即,所述用户标识和口令是可信的),那么企业KDC将返回KEK。企业KDC还将返回与用户特权、组成员身份或者该用户的任何其它限制相关的任何其它授权信息。所述KEK具有请求企业服务器的服务器特定票证的权限。然后,该过程进行到框308。
在框308中,所述ME公共认证模块接收所述KEK和与所述用户相关的任何其它授权信息,并在平台闪存或某个其它安全存储区中安全地存储所述KEK。一旦KEK被安全地存储在所述闪存中,它就受所述ME的控制,从而,ME现在具有准许获取企业服务器的服务特定票证的权限。然后,该过程进行到框310。
在一个实施例中,所述ME能够基于所述用户的成功认证而执行某个动作,它能够获取服务特定票证,或者它能够执行ME公共服务下的某个服务。
在框310中,可以使用所述目录提供的令牌或通过从认证参数获得设备包裹密钥(DWK)来解锁平台资源,例如加密的磁盘。然后,该过程进行到框312。
在该过程的这一点,所述用户实质上已经使用企业用户证书(单点登录证书)登录到所述ME。现在,BIOS需要加载OS,并且所述用户需要向OS认证。在框312中,ME指示该过程回到BIOS(即,BIOS 206)以引导OS。然后,该过程进行到框314。
当OS被引导时,在它到达准备向OS认证所述用户之前,它进行它的常规过程。这是通过调用诸如微软GINA这样的证书管理器执行的。在GINA处理期间,必须决定是提示用户输入用户认证证书还是自动地从ME获取证书。在框314中,软件补片(shim),例如,GINA包裹器,被用于在用户登录屏幕将要呈现给用户时拦截常规的OS登录过程。所述软件补片查询所述ME以验证所述用户已经通过请求KEK来向企业220认证。然后,该过程进行到判定框316。
在判定框316中,确定所述KEK是否是可用的。如果所述KEK是可用的,则该过程进行到框318。
在框318中,所述KEK请求被引导到所述ME,在ME处,从所述安全存储器中检索所述KEK并返回给所述补片,在所述补片处,所述补片确定所述用户已经向所述企业认证,并且阻止所述用户登录提示,从而让该过程仅可请求单点登录。
返回判定框316,如果确定所述KEK不是可用的,那么所述用户登录提示不会被阻止,并且OS用户认证过程将按照常规继续进行(框320)。
当需要访问企业服务器上的资源或服务时,OS现在能够使用本地KEK来获得适当企业服务器的特定票证。所述票证可被用于构建在OS和企业服务器之间的安全通信信道。在一个实施例中,TLS协议可以被用于协商TLS会话。
图4是描述了根据本发明实施例的、用于使能对来自于一个或多个企业服务器的资源或服务的访问的示例性方法的流程图400。本发明不限于本文参照流程图400所描述的实施例。而是,在阅读了本文提供的这些教导之后,对相关领域技术人员而言显而易见,其它功能流程图是属于本发明保护范围的。该过程从框402开始,并立即进行到框404。
在框404中,当用户请求对企业服务或资源的授权时,该请求被引导到所述ME。然后,该过程进行到框406。
在框406中,ME使用所述KEK从所述企业KDC获得提供服务的企业服务器的特定票证。然后,该过程进行到框408。
在框408中,一旦接收到用于所述服务的票证,所述ME向所述OS(或所述OS空间中的应用)提供所述票证。在一个实施例中,所述票证可以包括嵌入在所述票证中的密钥。然后,该过程进行到框410。
在框410中,所述OS可以使用所述票证来构建在企业服务器和PC之间的安全通信信道。在一个实施例中,TLS协议可以被用于协商所述PC和服务器之间的TLS会话。
本发明实施例的某些方面可以用硬件、软件、或它们的组合来实现,并且这些方面可以在一个或多个计算机平台或其它处理***中实现。实际上,在一个实施例中,所述方法可以在可编程机上执行的程序中实现,该可编程机例如移动或静态计算机、个人数字助理(PDA)、机顶盒、蜂窝电话和寻呼机、和其它电子设备,其中,上述其它电子设备中的每个设备包括至少一个处理器、可由所述至少一个处理器读取的存储介质(包括易失性和非易失性存储器和/或存储元件)、至少一个输入设备、和一个或多个输出设备。程序代码应用于用所述输入设备输入的数据,以执行所描述的功能并产生输出信息。所述输出信息可以应用于一个或多个输出设备。本领域普通技术人员可以意识到,可以用包括多处理器***、微型计算机、大型计算机等的各种计算机平台配置来实施本发明的实施例。
每个程序可以在高级过程语言或面向对象编程语言中实现,以与处理***进行通信。然而,如果期望的话,程序可以在汇编语言或机器语言中实现。在任何情况中,所述语言可以被编译或解释。
可以用程序指令来使得用这些指令编程的通用或专用处理***执行本文所描述的方法。可替换地,这些方法可以由包含执行这些方法的硬布线逻辑的专用硬件部件执行,或者由编程的计算机部件和定制硬件部件的任意组合来执行。可以将本文描述的这些方法作为计算机程序产品进行提供,所述计算机程序产品可以包括在其上存储有可被用于编程处理***或其它电子设备以执行这些方法的指令的机器可读介质。本文使用的术语“机器可读介质”或者“机器可访问介质”将包括能够存储或编码由所述机器执行并使得所述机器执行本文描述的任何一种方法的指令序列的任何介质。因此,术语“机器可读介质”和“机器可访问介质”将包括但不限于固态存储器、光盘和磁盘等。此外,本领域中常说一种或另一种形式的软件(例如,程序、过程、进程、应用、模块、逻辑等)采取动作或导致结果。这种表达方式仅是用来陈述通过处理***执行所述软件而使所述处理器执行动作或产生结果的一种简略方式。
虽然上面已经描述了本发明的各个实施例,但是应当理解,它们只是以示例的方式进行介绍,而非限制的方式。本领域技术人员将理解,在不背离所附权利要求定义的本发明精神和范围的情况下,可以进行各种形式和细节上的改变。因此,本发明的广度和范围不应受限于上述任一示例性实施例,而是应当根据所附的权利要求及其等效形式进行定义。
Claims (26)
1.一种使用计算机平台的管理性引擎的安全访问方法,所述方法包括:
在预引导操作期间,通过与所述计算机平台的带内处理器相分离的所述管理性引擎来接收来自用户的认证响应;
采用协议、使用所述管理性引擎向企业网中所包括的密钥分配中心注册,其中,所述管理性引擎使得能够对所述企业网进行直接带外访问,并且其中,向所述密钥分配中心注册表明所述用户已经成功地向所述计算机平台认证;以及
使用所述管理性引擎并且独立于所述带内处理器来接收密钥加密密钥形式的单点登录证书,其中,所述密钥加密密钥随后被用于获取用于建立对所述企业网中所包括的使用所述密钥加密密钥的企业服务器的安全访问的证书。
2.根据权利要求1所述的方法,其中,所述协议包括Kerberos协议,并且所述密钥分配中心包括Kerberos密钥分配中心。
3.根据权利要求1所述的方法,其中,所述协议包括Kerberos、SAML、卡空间、自由联盟、公共密钥、或任何其它身份管理基础结构。
4.一种使用与计算机平台的主处理器相分离的管理性引擎来安全访问企业服务器的方法,所述方法包括:
通过所述管理性引擎从预引导认证模块接收用户认证证书;
响应于用户已经成功地向所述预引导认证模块认证,通过所述管理性引擎从企业请求密钥加密密钥,其中,所述管理性引擎使得能够对所述企业进行直接带外访问;
如果所述用户被所述企业认证,则通过所述管理性引擎并且独立于所述主处理器来接收所述密钥加密密钥,并使用所述管理性引擎安全地存储所述密钥加密密钥;
在接收所述密钥加密密钥后,通过所述管理性引擎使BIOS能够继续引导操作***;
通过所述管理性引擎从用于拦截操作***登录过程的补片处接收对所述密钥加密密钥的请求;
通过所述管理性引擎从安全存储器中检索所述密钥加密密钥;以及
通过所述管理性引擎向所述操作***发送所述密钥加密密钥,其中,所述补片在接收到所述密钥加密密钥时阻止所述操作***登录提示并完成所述操作***的引导;
其中,当所述操作***需要访问所述企业服务器时,所述操作***从所述管理性引擎检索所述密钥加密密钥以获取特定于所述企业服务器的票证。
5.根据权利要求4所述的方法,其中,用户通过BIOS向所述预引导认证模块认证。
6.根据权利要求4所述的方法,其中,所述预引导认证模块向用户提供认证挑战以认证所述用户,所述认证挑战需要所述用户输入所述用户认证证书。
7.根据权利要求4所述的方法,其中,所述用户认证包括用户标识和用户口令。
8.根据权利要求4所述的方法,其中,从企业请求密钥加密密钥包括:开启到企业网的连接并从企业密钥分配中心请求所述密钥加密密钥。
9.根据权利要求8所述的方法,其中,所述密钥分配中心通过使用所述用户认证证书查询目录,来验证所述用户是所述企业网的已知实体,从而验证所述用户的可信性。
10.根据权利要求4所述的方法,其中,当所述密钥加密密钥被安全地存储时,所述密钥加密密钥受所述管理性引擎的控制,并且具有准许获取企业服务器的服务特定票证的权限。
11.根据权利要求4所述的方法,其中,当所述密钥加密密钥被安全地存储时,所述用户使用企业单点登录证书登录到所述管理性引擎。
12.根据权利要求4所述的方法,其中,加载所述操作***调用用户认证模块以向所述操作***认证所述用户。
13.根据权利要求4所述的方法,其中,阻止所述用户登录提示使得所述用户认证能够仅请求单点登录。
14.一种安全访问***,包括:
用于在预引导操作期间使用与计算机平台的带内处理器相分离的管理性引擎来接收来自用户的认证响应的模块;
用于采用协议、使用所述管理性引擎向企业网中所包括的密钥分配中心注册的模块,其中,所述管理性引擎使得能够对所述企业网进行直接带外访问,并且其中,向所述密钥分配中心注册表明所述用户已经成功地向所述计算机平台认证;以及
用于使用所述管理性引擎并且独立于所述带内处理器来接收密钥加密密钥形式的单点登录证书的模块,其中,所述密钥加密密钥随后被用于获取用于建立对所述企业网中所包括的使用所述密钥加密密钥的企业服务器的安全访问的证书。
15.根据权利要求14所述的***,其中,所述协议包括Kerberos协议,并且所述密钥分配中心包括Kerberos密钥分配中心。
16.根据权利要求14所述的***,其中,所述协议包括Kerberos、SAML、卡空间、自由联盟、公共密钥、或任何其它身份管理基础结构。
17.一种安全访问***,包括:
用于使用与计算机平台的主处理器相分离的管理性引擎从预引导认证模块接收用户认证证书的单元;
用于响应于用户已经成功地向所述预引导认证模块认证,通过所述管理性引擎从企业请求密钥加密密钥的单元,其中,所述管理性引擎使得能够对所述企业进行直接带外访问;
用于如果所述用户被所述企业认证,则通过所述管理性引擎并且独立于所述主处理器来接收所述密钥加密密钥并安全地存储所述密钥加密密钥的单元;
用于在接收所述密钥加密密钥后通过所述管理性引擎使BIOS能够继续引导操作***的单元;
用于通过所述管理性引擎从用于拦截操作***登录过程的补片处接收对所述密钥加密密钥的请求的单元;
用于通过所述管理性引擎从安全存储器中检索所述密钥加密密钥的单元;以及
用于通过所述管理性引擎向所述操作***发送所述密钥加密密钥的单元,其中,所述补片在接收到所述密钥加密密钥时阻止所述操作***登录提示并完成所述操作***的引导;
其中,当所述操作***需要访问所述企业服务器时,所述操作***从所述管理性引擎检索所述密钥加密密钥以获取特定于所述企业服务器的票证。
18.根据权利要求17所述的***,其中,用户通过BIOS向所述预引导认证模块认证。
19.根据权利要求17所述的***,其中,所述预引导认证模块向用户提供认证挑战以认证所述用户,所述认证挑战需要所述用户输入所述用户认证证书。
20.根据权利要求17所述的***,其中,所述用户认证包括用户标识和用户口令。
21.根据权利要求17所述的***,其中,用于从企业请求密钥加密密钥的单元包括:用于开启到企业网的连接并从企业密钥分配中心请求所述密钥加密密钥的单元。
22.根据权利要求21所述的***,其中,所述密钥分配中心通过使用所述用户认证证书查询目录,来验证所述用户是所述企业网的已知实体,从而验证所述用户的可信性。
23.根据权利要求17所述的***,其中,当所述密钥加密密钥被安全地存储时,所述密钥加密密钥受所述管理性引擎的控制,并且具有准许获取企业服务器的服务特定票证的权限。
24.根据权利要求17所述的***,其中,当所述密钥加密密钥被安全地存储时,所述用户使用企业单点登录证书登录到所述管理性引擎。
25.根据权利要求17所述的***,其中,加载所述操作***调用用户认证模块以向所述操作***认证所述用户。
26.根据权利要求17所述的***,其中,阻止所述用户登录提示使得所述用户认证能够仅请求单点登录。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/319,065 US8856512B2 (en) | 2008-12-30 | 2008-12-30 | Method and system for enterprise network single-sign-on by a manageability engine |
US12/319,065 | 2008-12-30 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101771689A CN101771689A (zh) | 2010-07-07 |
CN101771689B true CN101771689B (zh) | 2015-05-13 |
Family
ID=41694633
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910262640.9A Active CN101771689B (zh) | 2008-12-30 | 2009-12-25 | 通过管理性引擎进行企业网单点登录的方法和*** |
Country Status (5)
Country | Link |
---|---|
US (3) | US8856512B2 (zh) |
EP (1) | EP2204754A1 (zh) |
JP (2) | JP2010157227A (zh) |
KR (2) | KR101250065B1 (zh) |
CN (1) | CN101771689B (zh) |
Families Citing this family (60)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8856512B2 (en) | 2008-12-30 | 2014-10-07 | Intel Corporation | Method and system for enterprise network single-sign-on by a manageability engine |
US8509449B2 (en) * | 2009-07-24 | 2013-08-13 | Microsoft Corporation | Key protector for a storage volume using multiple keys |
US8462955B2 (en) * | 2010-06-03 | 2013-06-11 | Microsoft Corporation | Key protectors based on online keys |
US9183023B2 (en) * | 2010-07-01 | 2015-11-10 | Hewlett-Packard Development Company, L.P. | Proactive distribution of virtual environment user credentials in a single sign-on system |
US10482254B2 (en) * | 2010-07-14 | 2019-11-19 | Intel Corporation | Domain-authenticated control of platform resources |
US9367327B2 (en) * | 2010-09-24 | 2016-06-14 | Intel Corporation | Method to ensure platform silicon configuration integrity |
US8607054B2 (en) | 2010-10-15 | 2013-12-10 | Microsoft Corporation | Remote access to hosted virtual machines by enterprise users |
US20140053262A1 (en) * | 2011-09-30 | 2014-02-20 | Nitin V. Sarangdhar | Secure Display for Secure Transactions |
WO2013048439A1 (en) | 2011-09-30 | 2013-04-04 | Hewlett-Packard Development Company, L.P. | Managing basic input/output system (bios) access |
EP2590100A1 (en) | 2011-11-04 | 2013-05-08 | British Telecommunications Public Limited Company | Method and apparatus for securing a computer |
FR2989197B1 (fr) * | 2012-04-05 | 2014-05-02 | Toucan System | Procede de securisation d'acces a un dispositif informatique |
JP5968077B2 (ja) * | 2012-05-22 | 2016-08-10 | キヤノン株式会社 | 情報処理装置、その制御方法、プログラム、及び画像処理装置 |
US9208298B2 (en) * | 2012-06-18 | 2015-12-08 | Google Inc. | Pass through service login to application login |
US8973095B2 (en) * | 2012-06-25 | 2015-03-03 | Intel Corporation | Authenticating a user of a system via an authentication image mechanism |
US9336357B2 (en) | 2012-09-28 | 2016-05-10 | Intel Corporation | Secure access management of devices |
CN108111545B (zh) | 2013-06-27 | 2021-02-02 | 英特尔公司 | 连续多因素认证 |
DE102014101836A1 (de) * | 2014-02-13 | 2015-08-13 | Fujitsu Technology Solutions Intellectual Property Gmbh | Verfahren zum Hochfahren eines Produktions-Computersystems |
US9411975B2 (en) | 2014-03-31 | 2016-08-09 | Intel Corporation | Methods and apparatus to securely share data |
US10043029B2 (en) | 2014-04-04 | 2018-08-07 | Zettaset, Inc. | Cloud storage encryption |
US10298555B2 (en) * | 2014-04-04 | 2019-05-21 | Zettaset, Inc. | Securing files under the semi-trusted user threat model using per-file key encryption |
US10873454B2 (en) | 2014-04-04 | 2020-12-22 | Zettaset, Inc. | Cloud storage encryption with variable block sizes |
US9749310B2 (en) * | 2015-03-27 | 2017-08-29 | Intel Corporation | Technologies for authentication and single-sign-on using device security assertions |
US10073964B2 (en) | 2015-09-25 | 2018-09-11 | Intel Corporation | Secure authentication protocol systems and methods |
US10013561B2 (en) | 2015-10-30 | 2018-07-03 | Ncr Corporation | Dynamic pre-boot storage encryption key |
US10037418B2 (en) * | 2015-11-25 | 2018-07-31 | Dell Products L.P. | Pre-boot authentication credential sharing system |
US9875113B2 (en) * | 2015-12-09 | 2018-01-23 | Quanta Computer Inc. | System and method for managing BIOS setting configurations |
US10339317B2 (en) | 2015-12-18 | 2019-07-02 | Intel Corporation | Computing devices |
JP6609472B2 (ja) * | 2015-12-25 | 2019-11-20 | Dynabook株式会社 | 電子機器、方法およびプログラム |
US10367643B2 (en) * | 2016-03-28 | 2019-07-30 | Symantec Corporation | Systems and methods for managing encryption keys for single-sign-on applications |
CN105975845B (zh) * | 2016-07-04 | 2020-03-27 | 深圳市游云龙科技有限公司 | 一种机构的登录方法及登录装置 |
US10390114B2 (en) | 2016-07-22 | 2019-08-20 | Intel Corporation | Memory sharing for physical accelerator resources in a data center |
US10484382B2 (en) | 2016-08-31 | 2019-11-19 | Oracle International Corporation | Data management for a multi-tenant identity cloud service |
US10511589B2 (en) | 2016-09-14 | 2019-12-17 | Oracle International Corporation | Single logout functionality for a multi-tenant identity and data security management cloud service |
US10594684B2 (en) | 2016-09-14 | 2020-03-17 | Oracle International Corporation | Generating derived credentials for a multi-tenant identity cloud service |
US10846390B2 (en) | 2016-09-14 | 2020-11-24 | Oracle International Corporation | Single sign-on functionality for a multi-tenant identity and data security management cloud service |
US10445395B2 (en) | 2016-09-16 | 2019-10-15 | Oracle International Corporation | Cookie based state propagation for a multi-tenant identity cloud service |
US10616224B2 (en) | 2016-09-16 | 2020-04-07 | Oracle International Corporation | Tenant and service management for a multi-tenant identity and data security management cloud service |
US10484243B2 (en) | 2016-09-16 | 2019-11-19 | Oracle International Corporation | Application management for a multi-tenant identity cloud service |
US10904074B2 (en) | 2016-09-17 | 2021-01-26 | Oracle International Corporation | Composite event handler for a multi-tenant identity cloud service |
US10454915B2 (en) * | 2017-05-18 | 2019-10-22 | Oracle International Corporation | User authentication using kerberos with identity cloud service |
US11343243B2 (en) * | 2017-08-23 | 2022-05-24 | Corsha, Inc. | Machine-to-machine streaming authentication of network elements |
US10831789B2 (en) | 2017-09-27 | 2020-11-10 | Oracle International Corporation | Reference attribute query processing for a multi-tenant cloud service |
US10705823B2 (en) | 2017-09-29 | 2020-07-07 | Oracle International Corporation | Application templates and upgrade framework for a multi-tenant identity cloud service |
CN109729523B (zh) | 2017-10-31 | 2021-02-23 | 华为技术有限公司 | 一种终端联网认证的方法和装置 |
US10715564B2 (en) | 2018-01-29 | 2020-07-14 | Oracle International Corporation | Dynamic client registration for an identity cloud service |
US11321187B2 (en) | 2018-10-19 | 2022-05-03 | Oracle International Corporation | Assured lazy rollback for a multi-tenant identity cloud service |
US11095628B2 (en) * | 2019-01-24 | 2021-08-17 | Dell Products L.P. | Device locking key management system |
US11792226B2 (en) | 2019-02-25 | 2023-10-17 | Oracle International Corporation | Automatic api document generation from scim metadata |
US11423111B2 (en) | 2019-02-25 | 2022-08-23 | Oracle International Corporation | Client API for rest based endpoints for a multi-tenant identify cloud service |
EP3915030B1 (en) * | 2019-04-30 | 2023-10-18 | Hewlett-Packard Development Company, L.P. | Storage of network credentials |
US11347859B2 (en) * | 2019-08-01 | 2022-05-31 | Dell Products L.P. | Systems and methods for leveraging authentication for cross operating system single sign on (SSO) capabilities |
US11687378B2 (en) | 2019-09-13 | 2023-06-27 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
US11870770B2 (en) | 2019-09-13 | 2024-01-09 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration |
CN111125674B (zh) * | 2019-12-20 | 2022-03-22 | ***股份有限公司 | 开放式数据处理***、开放式数据***及数据处理方法 |
CN112035820B (zh) * | 2020-07-22 | 2024-02-02 | 北京中安星云软件技术有限公司 | 一种用于Kerberos加密环境下的数据解析方法 |
US11469880B2 (en) * | 2020-08-20 | 2022-10-11 | EMC IP Holding Company LLC | Data at rest encryption (DARE) using credential vault |
US11601418B2 (en) | 2020-10-14 | 2023-03-07 | Bank Of America Corporation | System for increasing authentication complexity for access to online systems |
CN113472735B (zh) * | 2021-05-13 | 2023-06-13 | 新华三大数据技术有限公司 | 一种大数据服务单点登录方法、装置及存储介质 |
CN113704724B (zh) * | 2021-11-01 | 2022-01-11 | 天津南大通用数据技术股份有限公司 | 一种基于Kerberos机制实现数据库登录认证的方法 |
KR102657533B1 (ko) | 2022-04-27 | 2024-04-16 | 한국정보인증주식회사 | Qr코드를 활용한 토큰 기반 인증 sso 시스템 및 방법 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5919257A (en) * | 1997-08-08 | 1999-07-06 | Novell, Inc. | Networked workstation intrusion detection system |
CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
CN101286843A (zh) * | 2008-06-03 | 2008-10-15 | 江西省电力信息通讯有限公司 | 点对点模式下单点登录方法 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7231513B1 (en) * | 1999-12-17 | 2007-06-12 | Intel Corporation | Dynamically linked basic input/output system |
US20030188193A1 (en) * | 2002-03-28 | 2003-10-02 | International Business Machines Corporation | Single sign on for kerberos authentication |
US7587750B2 (en) * | 2003-06-26 | 2009-09-08 | Intel Corporation | Method and system to support network port authentication from out-of-band firmware |
US7275263B2 (en) * | 2003-08-11 | 2007-09-25 | Intel Corporation | Method and system and authenticating a user of a computer system that has a trusted platform module (TPM) |
US7299354B2 (en) | 2003-09-30 | 2007-11-20 | Intel Corporation | Method to authenticate clients and hosts to provide secure network boot |
US20050228993A1 (en) * | 2004-04-12 | 2005-10-13 | Silvester Kelan C | Method and apparatus for authenticating a user of an electronic system |
US20060021018A1 (en) | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for enabling trust infrastructure support for federated user lifecycle management |
US7660913B2 (en) * | 2005-04-20 | 2010-02-09 | Intel Corporation | Out-of-band platform recovery |
KR100705380B1 (ko) | 2005-10-19 | 2007-04-10 | (주)이월리서치 | 보안 컴퓨터 시스템을 이용하여 정보 유출을 방지하는 방법 |
US7818255B2 (en) | 2006-06-02 | 2010-10-19 | Microsoft Corporation | Logon and machine unlock integration |
US9262602B2 (en) * | 2006-09-29 | 2016-02-16 | Hewlett-Packard Development Company, L.P. | Extensible bios interface to a preboot authentication module |
WO2008070857A1 (en) * | 2006-12-07 | 2008-06-12 | Mobile Armor, Llc | Real-time checking of online digital certificates |
US7917741B2 (en) * | 2007-04-10 | 2011-03-29 | Standard Microsystems Corporation | Enhancing security of a system via access by an embedded controller to a secure storage device |
US9158920B2 (en) * | 2007-06-28 | 2015-10-13 | Intel Corporation | System and method for out-of-band assisted biometric secure boot |
US20090067688A1 (en) * | 2007-09-07 | 2009-03-12 | Authentec, Inc. | Finger sensing apparatus with credential release and associated methods |
US8516566B2 (en) * | 2007-10-25 | 2013-08-20 | Apple Inc. | Systems and methods for using external authentication service for Kerberos pre-authentication |
US8856512B2 (en) | 2008-12-30 | 2014-10-07 | Intel Corporation | Method and system for enterprise network single-sign-on by a manageability engine |
-
2008
- 2008-12-30 US US12/319,065 patent/US8856512B2/en active Active
-
2009
- 2009-12-21 EP EP09252838A patent/EP2204754A1/en not_active Ceased
- 2009-12-22 JP JP2009290685A patent/JP2010157227A/ja active Pending
- 2009-12-24 KR KR1020090130600A patent/KR101250065B1/ko active IP Right Grant
- 2009-12-25 CN CN200910262640.9A patent/CN101771689B/zh active Active
-
2011
- 2011-04-18 KR KR1020110035735A patent/KR101597378B1/ko active IP Right Grant
-
2013
- 2013-02-01 JP JP2013018350A patent/JP5512841B2/ja active Active
-
2014
- 2014-10-07 US US14/508,494 patent/US9626502B2/en active Active
-
2017
- 2017-04-11 US US15/484,660 patent/US10489574B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5919257A (en) * | 1997-08-08 | 1999-07-06 | Novell, Inc. | Networked workstation intrusion detection system |
CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
CN101286843A (zh) * | 2008-06-03 | 2008-10-15 | 江西省电力信息通讯有限公司 | 点对点模式下单点登录方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2010157227A (ja) | 2010-07-15 |
EP2204754A1 (en) | 2010-07-07 |
KR101250065B1 (ko) | 2013-04-03 |
US20170323095A1 (en) | 2017-11-09 |
KR20100080390A (ko) | 2010-07-08 |
CN101771689A (zh) | 2010-07-07 |
US8856512B2 (en) | 2014-10-07 |
KR20110044962A (ko) | 2011-05-03 |
JP5512841B2 (ja) | 2014-06-04 |
US9626502B2 (en) | 2017-04-18 |
KR101597378B1 (ko) | 2016-02-25 |
US10489574B2 (en) | 2019-11-26 |
US20150095638A1 (en) | 2015-04-02 |
US20100169640A1 (en) | 2010-07-01 |
JP2013084312A (ja) | 2013-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101771689B (zh) | 通过管理性引擎进行企业网单点登录的方法和*** | |
US11366906B2 (en) | Domain-authenticated control of platform resources | |
US8997192B2 (en) | System and method for securely provisioning and generating one-time-passwords in a remote device | |
CN110061842B (zh) | 带外远程认证 | |
US8201239B2 (en) | Extensible pre-boot authentication | |
US8505083B2 (en) | Remote resources single sign on | |
JP2017535843A (ja) | スマートカードによるログオンおよび連携されたフルドメインログオン | |
US20150121498A1 (en) | Remote keychain for mobile devices | |
CA2982539A1 (en) | Method of operating a computing device, computing device and computer program | |
US9864853B2 (en) | Enhanced security mechanism for authentication of users of a system | |
EP1989815A2 (en) | A method for serving a plurality of applications by a security token | |
JP6792647B2 (ja) | 監査能力を備えた仮想スマートカード | |
WO2022231827A1 (en) | Method for authenticating an end-user account, method for single authenticating within a cluster of hsm, and method for implementing access control |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |