CN101609491B - 与用户访问管理器接口连接的配置 - Google Patents
与用户访问管理器接口连接的配置 Download PDFInfo
- Publication number
- CN101609491B CN101609491B CN2009101468766A CN200910146876A CN101609491B CN 101609491 B CN101609491 B CN 101609491B CN 2009101468766 A CN2009101468766 A CN 2009101468766A CN 200910146876 A CN200910146876 A CN 200910146876A CN 101609491 B CN101609491 B CN 101609491B
- Authority
- CN
- China
- Prior art keywords
- user
- certificate
- framework
- input
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4012—Verifying personal identification numbers [PIN]
Abstract
本发明公开了一种与用户访问管理器接口连接的配置。该配置允许使用专用的用户访问管理架构,该用户访问管理架构具有多于基于文本的访问。在这里特别构想出以允许用户描绘架构执行自身的解锁计算机的数据或部件的任务的方式,接受用户标识的配置,该用户标识随后被发送到中间的用户描绘架构(即,允许以特定用户为基础访问计算机中的加密数据或部件的架构)。
Description
技术领域
本发明总体上涉及用于在计算机系统中管理用户访问的方法和配置,尤其涉及用于与这样的管理器接口连接的配置。
背景技术
历史上,计算机系统环境中的安全问题已经延伸到对当不同用户共同地使用同一系统时管理这些用户对该系统的不同部分的访问的挑战。例如,在小型商业场景中,可能需要仅允许所有者而不允许支持人员(support staff)访问系统的特定部分。
在操作系统级别上长期存在上述挑战,例如当使用小型企业服务器时。在这里,与该企业相关联的每个个体都具有用户名和密码,从而一个或多个给定的用户名可有助于实现对系统中更多部分的更多访问。然而,管理在单台机器(例如,单台台式计算机或笔记本计算机,而不考虑它与诸如服务器等任何外部实体的连通性)级别上的上述访问是长期以来都无法逃避的。
然而,近来Intel公司已经开发出“DANBURY”架构,无论在机器上运行何种操作系统,“DANBURY”架构都可实现逐个用户地控制对该机器的访问。上述访问是在BIOS等级上被控制的,因而在机器中是通过硬件实现的。
正如目前所理解的一样,上述架构的一个优点在于超越传统的全磁盘加密(FDE)的卓越水平。特别的,虽然传统的FDE只对磁盘执行操作,但是传送到磁盘(例如,通过电缆)的数据却不会被加密;“DANBURY”在计算机主板上安装了加密引擎,从而传送到磁盘的数据已被加密。
如此,由用户输入基于文本的密码,这些密码分别地(实质上基于预定的标准或设定)允许该架构控制各用户有权使用的内容。然而,该架构显得有些局限于仅允许基于文本的访问。
这引起了系统环境中的问题:基于文本的访问不必然代表对系统访问的唯一期望模式。这还引起了更加严重的问题,例如,在针对用来控制用户访问的实质上任意的架构(“DANBURY”或其它架构)时,在如何实现上述访问方面系统会受到严格的限制;例如,将系统唯一地限制为基于文本的访问会在很大程度上剥夺系统的灵活性和多样性,为了系统的灵活性和多样性不得不另外地设计该系统。
因此,已经认识到解决上面提到的问题的迫切需要。
发明内容
根据本发明的至少一个当前优选的实施例,在这里可以广泛地构想出允许使用诸如具有多于基于文本的访问的“DANBURY”等架构的配置。特别的,可以构想出与诸如“DANBURY”的用户描绘架构一同使用允许诸如生物标识的可选用户标识的配置。
特别的,在更为广泛的意义上,可以构想出以允许任意的用户描述架构执行自身的解锁计算机的数据或部件的任务的方式,接受用户标识的设置,并且随后将用户标识传送到中间的用户描述架构(即,被配置为允许以特定的用户为基础访问计算机中加密后的数据或部件的架构)。因此,可以将用户描述架看作一个“黑盒”,根据本发明的至少一个实施例的配置用于合适地与该“黑盒”接口连接,以便激励“黑盒”开始并且执行自身的预定的动作。根据本发明的至少一个当前优选的实施例,存在可适当地激励“黑盒”执行动作的一种或多种合适的证书(credential)。
总体上,本发明的一个方面提供了一种包括如下步骤的方法:接收用户标识输入;基于所述用户标识输入释放解密密钥;以及,将所述解密密钥转换成输入到用于管理基于用户的系统访问的架构的证书。
本发明的另一方面提供了一种装置,包括:主存储器;BIOS,用于接收用户标识输入,所述BIOS与所述主存储器通信,所述BIOS释放解密密钥以响应用户标识输入;以及,转换器,将解密密钥转换成输入到用于管理基于用户的系统访问的架构的证书。
进而,本发明的其它方面还提供了一种机器可读的程序存储设备,确实地包括指令程序,所述指令程序可由所述机器执行来进行包括下列步骤的方法:接收用户标识输入;基于所述用户标识输入释放解密密钥;以及,将所述解密密钥转换成输入到用于管理基于用户的系统访问的架构的证书。
本发明提供了一种登录管理方法,包括下列步骤:在本地接收用户标识输入;基于所述用户标识输入,从远程服务器释放用来将作为解密密钥的用户标识转换成输入到用于管理基于用户的系统访问的架构的证书的库的初始证书;将初始证书转换为与给定用户相关联的最终证书;以及将所述最终证书输入到用户描绘架构。所述库实质上用作转换模块,用于接受所涉及的系统所专有的一种类型的特定用户标识,并将所述特定用户标识转换成所述库所专有的另一种类型的特定用户标识。
本发明提供了一种登录管理装置,包括:输入接收单元,用于在本地接收用户标识输入;释放单元,基于所述用户标识输入,从远程服务器释放用来将作为解密密钥的用户标识转换成输入到用于管理基于用户的系统访问的架构的证书的库的初始证书;转换单元,用于将初始证书转换为与给定用户相关联的最终证书;以及证书输入单元,用于将所述最终证书输入到用户描绘架构。所述库实质上用作转换模块,用于接受所涉及的系统所专有的一种类型的特定用户标识,并将所述特定用户标识转换成所述库所专有的另一种类型的特定用户标识。
为了更好地理解本发明以及本发明的其它和进一步的特征和优点,结合所附的附图参考下面的具体实施方式,并将会在所附的权利要求书中指出本发明的范围。
附图说明
图1示意性地说明了具有额外部件的计算机系统;以及
图2示意性地描绘了用于接受用户登录并且使用该登录唤醒“黑盒”架构的三种实现方式。
具体实施方式
为了更好地理解本发明以及本发明的其它和进一步的特征和优点,结合所附的附图参考下面的具体实施方式,并将会在所附的权利要求书中指出本发明的范围。
很容易理解的是,可以多种不同配置方式设置并且设计附图中总体说明并且描述的部件。因此,对图1和图2中所代表的本发明的装置、系统、以及方法的实施例的更详细的具体实施方式,都不是用来限制如权利要求所请求保护的本发明的范围,而是仅代表本发明的可选择的实施例。
将整篇说明书参考为“一个实施例”或“实施例”(或其它)意味着结合实施例描述的特定特征、结构、或特点包括在本发明的至少一个实施例当中。因此,在整篇说明书的多个位置处出现的短语“在一个实施例中”或“在实施例中”不一定都指同一实施例。
进一步,还可以在一个或多个实施例中以任意适当的方式组合所描述的特征、结构、或特点。在下面的具体实施方式中,提供了大量的特定细节,诸如编程、软件模块、用户选择、网络交易、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等示例,以便提供对本发明的实施例更全面的理解。然而,相关领域的技术人员可以认识到,无需一个或多个特定细节,而是利用其它方法、部件、材料等也可以实施本发明。在其它示例中,不再详细地展示或描述公知的结构、材料、或处理,以避免模糊本发明的特征。
通过参考附图可以更好地理解所描述的本发明实施例,其中在通篇说明书中对相同的部件指定了相同的数字或其它标记。下面的具体实施方式的目的仅在于通过示例,简单地说明与这里请求保护的本发明相符的设备、系统、以及处理的特定的实施例。
现在参考图1,这里描绘了计算机系统12的说明性实施例的方框图。图1所示的说明性实施例可以是笔记本计算机系统,诸如由位于North Carolina州Morrisville的联想(美国)公司售卖的ThinkPad系列个人计算机中的一款,然而,通过下面的具体实施方式可以清楚知道,本发明适用于任何数据处理系统。在这里,笔记本计算机可选地被称为“笔记本”、“便携式计算机”、“膝上型计算机”、或“移动式计算机”,这些术语应该被理解为可以彼此互换。
如图1所示,计算机系统12包括至少一个系统处理器42,该系统处理器12通过处理器总线44连接到只读存储器(ROM)40和系统存储器46。系统处理器42可以包括由AMD公司生产的AMD系列处理器或由Intel公司生产的处理器,并且为通用处理器,用来在开机时执行在ROM 40中存储的启动代码(boot code)41且随后在操作系统和系统存储器46中存储的应用软件的控制下处理数据。系统处理器42经由处理器总线44和主桥48连接到外部设备互连(PCI)本地总线50。
PCI本地总线50支持包括适配器和网桥等的多个设备的连接。这些设备包括使得计算机系统12与LAN接口连接的网络适配器66、以及使得计算机系统12与显示器69接口连接的图形适配器68。PCI本地总线50上的通信受到本地PCI控制器52的控制,本地PCI控制器52经由存储器总线54连接到非易失性随机访问存储器(NVRAM)56。本地PCI控制器52可以经由第二主桥60连接到额外的总线和设备。
计算机系统12进一步包括工业标准结构(ISA)总线62,ISA总线62通过ISA桥64连接到PCI本地总线50。与ISA总线62连接的是输入/输出(I/O)控制器70,该I/O控制器70控制计算机系统12与所连接的诸如键盘和鼠标等外围设备之间的通信。另外,I/O控制器70经由串口和并口支持计算机系统12的外部通信。磁盘控制器72与磁盘驱动器200通信。当然,应该可以理解的是,计算机系统12可以利用不同的芯片组、不同的总线结构、以及其它任何合适的替换部件来构建,并且提供如上面所讨论的相当的或类似的功能。
根据本发明的至少一个当前优选的实施例,通过下面的进一步讨论将会更好地理解标记为86的BIOS(基本输入/输出系统)的功能。
如传统所公知的,内存86a(诸如闪存)与BIOS 86相关联,而根据本发明的至少一个当前优选的实施例,BIOS 86进一步包括登录管理器86b形式的软件逻辑架构。登录管理器86b优选地处理一种或多种类型的用户登录,并且可以通过下面的进一步讨论获得对其更好地理解。优选地,还与BIOS 86相关联的是生物输入86c的介质形式下的额外软件逻辑架构,也可以通过下面的进一步讨论对其获得更好地理解;实质上,作为描述的非限制性示例,这里可以包括指纹读取器(即,用来处理指纹图像的软件,其中指纹图像是通过与包括系统12的机器相连接的或是与包括系统12的机器协作或功能的通信的独立设备送入读取器86c中)。还示出了被配置为与诸如“DANBURY”等用户描绘架构(user-delineation architecture)接口连接的“黑盒”同步库(sync vault)92;通过下面的进一步讨论将会更好地理解上述同步库。优选地,同步库92例如通过包含在BIOS内存86a当中或是与BIOS内存86a功能性连接,直接地与BIOS 86功能性集成。
如至此所说明的一样,根据本发明的至少一个当前优选的实施例,在这里可以构想出允许使用诸如具有多于基于文本的访问等的“DANBURY”架构的多种配置。特别的,可以构想出与诸如“DANBURY”的用户描绘架构一同使用允许诸如生物标识的可选用户标识的配置。
特别的,在更为广泛的意义上,可以构想出以允许任意的用户描述架构执行自身的解锁计算机的数据或部件的任务的方式,接受用户标识的设置,并且随后将用户标识传送到中间的用户描述架构(即,被配置为允许以特定的用户为基础访问计算机中加密后的数据或部件的架构)。因此,可以将用户描述架看作一个“黑盒”,根据本发明的至少一个实施例的配置用于合适地与该“黑盒”接口连接,以便激励“黑盒”开始并且执行自身的预定的动作。根据本发明的至少一个当前优选的实施例,存在可适当地激励“黑盒”执行动作的一种或多种合适的证书。
如当前所构想的一样,可使用用于解锁“黑盒”的至少三种不同的配置。在第一配置中,生物的或其它基于非文本的用户标识可构成输入,从而实现向“黑盒”提供证书,以便根据对所涉及(in question)的用户所预定的标准来激励该“黑盒”解密数据或计算机区域。在第二配置中,以下面会更加详细地说明的方式使用“集中管理的密码”(centralized managed password,CMP)配置。最后,在第三配置中,用户可以以与传统的密码输入方式表面上(至少从用户的角度)相似的方式来实际地输入密码,但是这可以以下面的更容易理解的方式直接地完成为“同步库”,该“同步库”继而激励用户描绘的“黑盒”。可以在系统中单独地或是组合地实现在这里所提到的作为说明性和非限制性示例的所有上述三种配置。
图2出于说明性目的示意性地描绘了具有所有上述三种实施方式的配置。示出了两种不同的黑盒同步库,即指纹同步库92a和CMP同步库92b。同步库92a和92b每个都作为用户访问系统(user access to system)与用来管理用户访问数据(user access to data)或系统的其它部分的黑盒(诸如“DANBURY”)之间的中间环节。出于说明的目的,示出了用来(都经由登录管理器86b)接收用户密码输入205a和CMP输入205b中的一个或两个的CMP同步库92b,当然各种模式的输入可独立地送入各自专用的同步库。进一步,可以理解的是,系统可包括一个作为黑盒接口的同步库(例如,指纹、用户密码、或CMP同步库),或是可包括每个都用来处理一种或多种类型的用户输入(例如,指纹、用户密码、和/或CMP)的多个同步库。进一步,可以理解的是,用来处理指纹的配置可选地处理其它类型的基于用户的生物输入(例如,虹膜读取器、声音识别、面部识别);甚至在这里还可使用智能卡读取器来识别用户。如此,可以理解的是,根据本发明的至少一个实施例,可以广泛地构想出可以想到的各种类型的生物或非生物模式的用户输入,而不局限于这里所特别描述的用户输入。
首先将会特别地讨论在图2的左侧示出的生物用户输入。再次,这里通过说明性和非限制性示例提供关于指纹识别的使用,当然可以理解的是实质上还可使用任意合适类型的生物输入。
指纹读取器86c(作为图1中的生物输入86c的示例)优选地用来接受与用户的指纹图像相关的数据。随后,模块202(优选地与BIOS 86相关联;参见图1)优选地将会匹配指纹图像和用户(假定存在将要被匹配的用户),并且随后释放代表用来解锁黑盒同步库92a的“初始证书”的“解锁指纹密钥”。更特别地,对给定用户释放的密钥将会构成用于向用户分配预定等级或程度的系统访问的证书;以如下方式在同步库92a中处理上述证书,即允许黑盒架构(例如,“DANBURY”)最终执行分配系统访问的实际任务。另外,该证书还可被看作为解密密钥,该解密密钥用于对用户解密用户可访问的预定的系统用户区的最终目的,而同步库92a实际上用作激励黑盒架构执行自身的预定任务的接口或“中间媒介(go-between)”,否则只能利用与黑盒架构相关联的、专用的基于文本的密码来完成上述任务。换句话说,由证书代表的解密密钥实际上可以为用户解密同步库92a,进而激励黑盒架构以执行其自身的专用的解密任务。尽管根据本发明实施例可以使用类型广泛的指纹读取器,但是说明性示例涉及由位于加利福尼亚州的Emeryville的UPEK公司生产的指纹读取器(可参考www.touchchip.com)。
通过示例,图2示意性地说明了同步库92a可优选地包括查询方案,该查询方案用来接受用户指纹密钥并且随后使用这些密钥激励释放与给定用户相关联的合适的最终证书,在此该最终证书用来向黑盒架构通知可以对所涉及的用户解密的那些系统区。更具体的,当与黑盒架构通常使用的密码(或其它的用户标识)方法的类型一致,该黑盒架构将会实质上接受最终证书。换句话说,同步库92a实质上用作转换模块,用于接受所涉及的系统所专有的一种类型的特定用户(user-specific)标识,并且将该标识转换成黑盒架构所专有的另一种类型的特定用户标识,而该黑盒架构自身又作为允许用户访问系统的预定部分的“关守(gatekeeper)”。
随后,在图2左侧示出的说明性示例中,同步库92a的查询方案可优选地执行如下的动作(如图所示):
-接受用户1,2......N的指纹指标(标识符);
-查询与黑盒架构相关联的预定用户ID;
-生成公共标记;以及
-生成“解锁密钥blob”(“unlock key blob”)
实质上,给定用户的解锁密钥blob将成为“最终证书”,用来激励黑盒架构执行其自身专用的、对于该用户合适的任务;该“最终证书”也可实质上等同于密码或黑盒架构通常使用的任意的其它用户标识符。
优选地,公共标记被用作在多个用户(或用户的多个手指)试图使用库92a中的公共入口的情况下的指标;如此,该公共标记可优选地标记出上述意图,从而BIOS将会向自身告警使用公共入口(或密钥)进入系统。
对于图2右侧所示的部分,可传送(如上所述)CMP登录和用户密码的登录(分别为205b和205a),二者可独自地或组合地构成登录管理器86b的至少一部分。正如从附图中可以理解的,上述这些可优选地与指纹(或其它生物的)登录/识别设置实质上类似的方式工作。如图所示,用户可初始地使用通常能够访问系统时的用户密码登录(205a)或CMP登录(205b)。对于后者,用户可键入他/她使用的通用密码,该通用密码具有从集中的位置释放具有适于允许用户访问特定系统或系统部分的任意密码或密钥的最终效果。换句话说,不同于使用大量密码或密钥来访问系统或不同的系统部分,CMP可以向用户提供被认为是“通用”密码的使用,因此上述“通用”密码可用来“释放”密码、密钥或其它解密元件,该密码、密钥或其它解密元件被需要来解锁,解密,或者允许访问特定系统或用户试图获得访问权的系统部件。由于“集中位置”可以是服务器而本地位置(用户登录的位置)可以是服务器的客户端,因此可以理解的是CMP允许服务器控制客户端对于服务器的访问,从而易于(如果需要)撤销客户端的访问。可以在现有技术数据库IP.com(www.ip.com)、IP.com序号IPCOM000138248D的出版物“A Method of Secure Managed ClientPC”中找到一些关于CMP登录的有帮助的背景技术信息;该出版物整体包括在这里作为参考。
对于基于用户密码的登录205a这一部分,优选地允许一种公共的方法(在不同用户中间)来在本地释放黑盒解密密钥,并且优选地还可允许释放与BIOS相关的其它密码。通过与CMP登录配置(205b)的比较,可以理解的是基于用户密码的登录205a实质上完全地在本地或在“客户端”级别上操作,而CMP登录205b则与集中或“服务器”位置联合协作地在本地或“客户端”位置上操作。
与指纹/生物的方案相类似,模块206(优选地与BIOS 86相关联;参见图1)随后将会优选地将用户密码或CMP与用户进行匹配(假定存在将要被匹配的用户)并且随后会分别释放“用户解锁密钥”或“系统解锁密钥”,在这里,“用户解锁密钥”或“系统解锁密钥”代表用来解锁CMP黑盒同步库92b的“初始证书”(在一定程度上,可以在更大的CMP“模块”中共同地管理用户密码输入和CMP的使用,并且因此可使用相同的黑盒同步库)。这些密钥类似于上面讨论的“解锁指纹密钥”,并且实际上功能相类似;因此,上面关于“解锁指纹密钥”的讨论在这里基本上是同样相关的。
如同指纹同步库92a一样,CMP同步库92b也可以优选地包括查询方案,用来接受解密密钥(来自206的系统或用户解锁密钥)并且随后使用这些密钥激励与给定用户相关联的、适当的最终证书的释放,借此(再次)该最终证书向黑盒架构通知可对所涉及的用户解密的系统区。在这里,同步库92b的查询方案可优选地随后执行下列动作(如图所示):
-接受用户1,...N的“CMP登录标识符”(即,特定用户密码或用户的“通用的”CMP密码);
-查询与黑盒架构相关联的预定用户ID;以及
-生成“解密密钥blob”(”encrypted key blob”)
在这里,给定用户的解密密钥blob将会成为“最终证书”,用来激励黑盒架构执行其自身专用的、对于该用户合适的任务;再次,该“最终证书”也可实质上等同于密码或黑盒架构通常使用的任意的其它用户标识符。
通过进一步的详细且清楚的说明,根据本发明的至少一个当前优选的实施例,“用户登录”和“CMP登录”实质上可以认为是CMP模块所提供的两种不同方法。实质上,CMP可以被看作为用于在服务器级别上生成密码并且提供不同的登录方法以在预启动下释放这些密码的一种总体架构。然而,虽然“用户登录”发生在本地级别(如进行指纹/生物访问),但是“CMP登录”却实际上代表从本地登录到远程的服务器。CMP登录还允许用户甚至无需知道访问黑盒系统所使用的证书也可使用系统。这使得如果需要则非常容易地撤销上述用户的访问权,并且上述用户进而不能知道除CMP登录以外如何访问系统,因此非常容易将不期望的或未授权的用户阻挡在系统之外。对于CMP部分,还可支持“智能卡”用户访问,因而可使用智能卡释放密码或其自身可释放用于解锁“黑盒”证书的密钥的其它解密元件。
可以理解的是,根据至少一个当前优选的实施例,本发明包括在运行合适软件程序的至少一台通用计算机上所实现的元件。这些元件还可以在至少一个集成电路或至少部分的一个集成电路上实现。因此,可以理解的是,可以硬件、软件、或两者的组合来实现本发明。
如果在这里没有另外指出,则可以假设这里所提到并且引用的所有专利、专利申请、专利出版物或其它出版物(包括基于网页的出版物)都完全地包括在这里作为参考。
尽管已经参考附图在这里描述了本发明的示例性实施例,但是可以理解的是,本发明并不限于这些特定的实施例,本领域技术人员在不脱离本发明的范围和精神的前提下可以实现各种其它变化和修改。
Claims (18)
1.一种登录管理方法,包括下列步骤:
在本地接收用户标识输入;
基于所述用户标识输入,从远程服务器释放用来将作为解密密钥的用户标识转换成输入到用于管理基于用户的系统访问的架构的证书的库的初始证书;
将初始证书转换为与给定用户相关联的最终证书;以及
将所述最终证书输入到用户描绘架构,
其中,所述库实质上用作转换模块,用于接受所涉及的系统所专有的一种类型的特定用户标识,并将所述特定用户标识转换成所述库所专有的另一种类型的特定用户标识。
2.根据权利要求1所述的方法,其中,所述释放包括释放特定用户解密密钥。
3.根据权利要求1所述的方法,其中,所述将作为解密密钥的用户标识转换成输入到用于管理基于用户的系统访问的架构的证书的库的初始证书包括将解密密钥发送到库。
4.根据权利要求1所述的方法,其中,所述将作为解密密钥的用户标识转换成输入到用于管理基于用户的系统访问的架构的证书的库的初始证书包括基于所述解密密钥执行查询以生成所述初始证书。
5.根据权利要求1所述的方法,其中,所述用于管理基于用户的系统访问的架构的证书包括可由管理基于用户的系统访问的架构识别的密码。
6.根据权利要求1所述的方法,其中,所述接收包括接收本地密码输入,所述本地密码输入包括通过与用户相关联的通用密码从远程服务器释放的与用户相关的密码。
7.根据权利要求1所述的方法,其中,所述将作为解密密钥的用户标识转换成输入到用于管理基于用户的系统访问的架构的证书的库的初始证书包括将所述解密密钥转换成初始证书,以提示管理基于用户的系统访问的架构执行访问授权任务。
8.根据权利要求7所述的方法,其中,所述用于管理基于用户的系统访问的架构的证书通过管理基于用户的系统访问的架构触发对至少一个系统部分的基于用户的解密。
9.根据权利要求8所述的方法,其中,所述管理基于用户的系统访问的架构管理BIOS级别的基于用户的系统访问。
10.一种登录管理装置,包括:
输入接收单元,用于在本地接收用户标识输入;
释放单元,基于所述用户标识输入,从远程服务器释放用来将作为解密密钥的用户标识转换成输入到用于管理基于用户的系统访问的架构的证书的库的初始证书;
转换单元,用于将初始证书转换为与给定用户相关联的最终证书;以及
证书输入单元,用于将所述最终证书输入到用户描绘架构,
其中,所述库实质上用作转换模块,用于接受所涉及的系统所专有的一种类型的特定用户标识,并将所述特定用户标识转换成所述库所专有的另一种类型的特定用户标识。
11.根据权利要求10所述的装置,其中,所述证书输入单元释放特定用户解密密钥。
12.根据权利要求10所述的装置,其中,所述转换单元包括专用库。
13.根据权利要求10所述的装置,其中,所述转换单元基于所述解密密钥执行查询来生成所述架构的证书。
14.根据权利要求10所述的装置,其中,所述架构的证书包括可由管理基于用户的系统访问的架构识别的密码。
15.根据权利要求10所述的装置,其中,所述证书输入单元接收本地密码输入,所述本地密码输入包括通过与用户相关联的通过密码从远程服务器释放的与用户相关的密码。
16.根据权利要求10所述的装置,其中,所述转换单元将所述解密密钥转换成所述架构的证书,以提示管理基于用户的系统访问的架构执行访问授权任务。
17.根据权利要求16所述的装置,其中,所述转换单元将所述解密密钥转换成所述架构的证书,所述架构的证书通过管理基于用户的系统访问的架构触发对至少一个系统部分的基于用户的解密。
18.根据权利要求16所述的装置,其中,所述管理基于用户的系统访问的架构管理BIOS级别的基于用户的系统访问。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/140,784 | 2008-06-17 | ||
US12/140,784 US8132019B2 (en) | 2008-06-17 | 2008-06-17 | Arrangements for interfacing with a user access manager |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101609491A CN101609491A (zh) | 2009-12-23 |
CN101609491B true CN101609491B (zh) | 2013-10-23 |
Family
ID=40834241
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101468766A Expired - Fee Related CN101609491B (zh) | 2008-06-17 | 2009-06-17 | 与用户访问管理器接口连接的配置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8132019B2 (zh) |
JP (1) | JP4975779B2 (zh) |
CN (1) | CN101609491B (zh) |
DE (1) | DE102009025017B4 (zh) |
GB (1) | GB2460924B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8756667B2 (en) * | 2008-12-22 | 2014-06-17 | Lenovo (Singapore) Pte. Ltd. | Management of hardware passwords |
US8538020B1 (en) * | 2010-12-29 | 2013-09-17 | Amazon Technologies, Inc. | Hybrid client-server cryptography for network applications |
US8583911B1 (en) | 2010-12-29 | 2013-11-12 | Amazon Technologies, Inc. | Network application encryption with server-side key management |
US9094379B1 (en) | 2010-12-29 | 2015-07-28 | Amazon Technologies, Inc. | Transparent client-side cryptography for network applications |
US8918862B2 (en) * | 2011-08-31 | 2014-12-23 | International Business Machines Corporation | Managing access to storage media |
US9563773B2 (en) * | 2014-02-26 | 2017-02-07 | Dell Products L.P. | Systems and methods for securing BIOS variables |
CN105550626B (zh) * | 2015-07-08 | 2019-03-22 | 宇龙计算机通信科技(深圳)有限公司 | 一种虹膜识别方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1527208A (zh) * | 2003-09-25 | 2004-09-08 | 联想(北京)有限公司 | 基于身份认证的计算机安全及加密的实现方法和装置 |
US6836556B1 (en) * | 1998-10-14 | 2004-12-28 | Siemens Aktiengesellschaft | Device and method for identifying a person by biometric characteristics |
Family Cites Families (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07134696A (ja) * | 1993-11-10 | 1995-05-23 | Hitachi Ltd | 機密保護機能切り替え方式 |
US6557104B2 (en) * | 1997-05-02 | 2003-04-29 | Phoenix Technologies Ltd. | Method and apparatus for secure processing of cryptographic keys |
US6055592A (en) * | 1998-02-09 | 2000-04-25 | Motorola, Inc. | Smart card authentication system comprising means for converting user identification and digital signature to pointing device position data and vice versa using lut |
US6317829B1 (en) * | 1998-06-19 | 2001-11-13 | Entrust Technologies Limited | Public key cryptography based security system to facilitate secure roaming of users |
JP2000047971A (ja) * | 1998-07-30 | 2000-02-18 | Mitsubishi Electric Corp | ユーザ認証機能付サーバクライアントシステム装置及びユーザ認証方法及びユーザ認証機能付サーバ及びコンピュータ読み取り可能な記録媒体 |
EP1959369A1 (en) * | 1999-12-10 | 2008-08-20 | Fujitsu Limited | User verification system, and portable electronic device with user verification function utilising biometric information |
US7716484B1 (en) * | 2000-03-10 | 2010-05-11 | Rsa Security Inc. | System and method for increasing the security of encrypted secrets and authentication |
US6834112B1 (en) * | 2000-04-21 | 2004-12-21 | Intel Corporation | Secure distribution of private keys to multiple clients |
JP4785283B2 (ja) * | 2000-07-31 | 2011-10-05 | キヤノン株式会社 | サーバコンピュータ、制御方法及びプログラム |
US7117376B2 (en) * | 2000-12-28 | 2006-10-03 | Intel Corporation | Platform and method of creating a secure boot that enforces proper user authentication and enforces hardware configurations |
US20020129285A1 (en) | 2001-03-08 | 2002-09-12 | Masateru Kuwata | Biometric authenticated VLAN |
US6986047B2 (en) * | 2001-05-10 | 2006-01-10 | International Business Machines Corporation | Method and apparatus for serving content from a semi-trusted server |
EP1293857A1 (en) * | 2001-09-17 | 2003-03-19 | Caplin Systems Limited | Server access control |
US8117450B2 (en) * | 2001-10-11 | 2012-02-14 | Hewlett-Packard Development Company, L.P. | System and method for secure data transmission |
EP1454304B1 (en) | 2001-11-23 | 2018-03-21 | Nederlandse Organisatie voor toegepast- natuurwetenschappelijk onderzoek TNO | Security method and system |
US20030163575A1 (en) * | 2002-02-27 | 2003-08-28 | Perkins Gregory Eugene | Resource location and access |
AU2002953325A0 (en) * | 2002-12-13 | 2003-01-09 | Executive Computing Holdings Pty Ltd | Means for providing protection for digital assets |
US7562214B2 (en) * | 2003-03-31 | 2009-07-14 | International Business Machines Corporation | Data processing systems |
US7376968B2 (en) * | 2003-11-20 | 2008-05-20 | Microsoft Corporation | BIOS integrated encryption |
US20060080819A1 (en) * | 2004-09-14 | 2006-04-20 | Mcallister Clarke W | Systems and methods for deployment and recycling of RFID tags, wireless sensors, and the containers attached thereto |
US7711942B2 (en) * | 2004-09-23 | 2010-05-04 | Hewlett-Packard Development Company, L.P. | Computer security system and method |
TWI249314B (en) * | 2004-10-15 | 2006-02-11 | Ind Tech Res Inst | Biometrics-based cryptographic key generation system and method |
US7428642B2 (en) * | 2004-10-15 | 2008-09-23 | Hitachi, Ltd. | Method and apparatus for data storage |
US20070022479A1 (en) * | 2005-07-21 | 2007-01-25 | Somsubhra Sikdar | Network interface and firewall device |
US20060229911A1 (en) * | 2005-02-11 | 2006-10-12 | Medcommons, Inc. | Personal control of healthcare information and related systems, methods, and devices |
US7831833B2 (en) * | 2005-04-22 | 2010-11-09 | Citrix Systems, Inc. | System and method for key recovery |
WO2007006005A2 (en) * | 2005-07-06 | 2007-01-11 | Kestrel Wireless Inc. | Device and method for authenticating and securing transactions using rf communication |
JP4793628B2 (ja) * | 2005-09-01 | 2011-10-12 | 横河電機株式会社 | Os起動方法及びこれを用いた装置 |
US7861078B2 (en) * | 2005-10-14 | 2010-12-28 | Juniper Networks, Inc. | Password-authenticated asymmetric key exchange |
US20070101156A1 (en) * | 2005-10-31 | 2007-05-03 | Manuel Novoa | Methods and systems for associating an embedded security chip with a computer |
US8087075B2 (en) * | 2006-02-13 | 2011-12-27 | Quest Software, Inc. | Disconnected credential validation using pre-fetched service tickets |
US7818255B2 (en) * | 2006-06-02 | 2010-10-19 | Microsoft Corporation | Logon and machine unlock integration |
US7886355B2 (en) * | 2006-06-30 | 2011-02-08 | Motorola Mobility, Inc. | Subsidy lock enabled handset device with asymmetric verification unlocking control and method thereof |
US8190916B1 (en) * | 2006-07-27 | 2012-05-29 | Hewlett-Packard Development Company, L.P. | Methods and systems for modifying an integrity measurement based on user authentication |
US7900252B2 (en) * | 2006-08-28 | 2011-03-01 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for managing shared passwords on a multi-user computer |
US8065509B2 (en) * | 2006-09-26 | 2011-11-22 | Hewlett-Packard Development Company, L.P. | Persistent security system and method |
US9391997B2 (en) * | 2007-08-23 | 2016-07-12 | Intel Deutschland Gmbh | Message processing apparatus, wireless device and method of storing a message in a wireless device |
US20090080660A1 (en) * | 2007-09-20 | 2009-03-26 | Shih Mo | Processorless media access control architecture for wireless communication |
-
2008
- 2008-06-17 US US12/140,784 patent/US8132019B2/en active Active
-
2009
- 2009-05-19 GB GB0908612A patent/GB2460924B/en active Active
- 2009-05-26 JP JP2009126764A patent/JP4975779B2/ja not_active Expired - Fee Related
- 2009-06-10 DE DE102009025017.4A patent/DE102009025017B4/de active Active
- 2009-06-17 CN CN2009101468766A patent/CN101609491B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6836556B1 (en) * | 1998-10-14 | 2004-12-28 | Siemens Aktiengesellschaft | Device and method for identifying a person by biometric characteristics |
CN1527208A (zh) * | 2003-09-25 | 2004-09-08 | 联想(北京)有限公司 | 基于身份认证的计算机安全及加密的实现方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
DE102009025017A1 (de) | 2009-12-24 |
DE102009025017B4 (de) | 2020-02-06 |
JP2009301543A (ja) | 2009-12-24 |
GB0908612D0 (en) | 2009-06-24 |
US8132019B2 (en) | 2012-03-06 |
CN101609491A (zh) | 2009-12-23 |
US20090313478A1 (en) | 2009-12-17 |
GB2460924B (en) | 2011-02-02 |
JP4975779B2 (ja) | 2012-07-11 |
GB2460924A (en) | 2009-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101609491B (zh) | 与用户访问管理器接口连接的配置 | |
CN101901311A (zh) | 硬件密码的管理 | |
US7278155B2 (en) | Single sign-on system for application program | |
EP2515497B1 (en) | Method for performing authentication in a distributed authentication system and authentication system | |
Mohammed | Intelligent authentication for identity and access management: a review paper | |
US8275995B2 (en) | Identity authentication and secured access systems, components, and methods | |
EP2626805B1 (en) | Simplified biometric character sequence entry | |
US6910132B1 (en) | Secure system and method for accessing files in computers using fingerprints | |
US20070107042A1 (en) | System and method for limiting access to a shared multi-functional peripheral device | |
US20060021003A1 (en) | Biometric authentication system | |
US20090222908A1 (en) | Device for Transmission of Stored Password Information Through a Standard Computer Input Interface | |
US10686774B2 (en) | Authentication systems and methods for online services | |
JP2009064202A (ja) | 認証サーバ、クライアント端末、生体認証システム、方法及びプログラム | |
CN102625303A (zh) | 一种通过指纹进行wfii/3g路由器接入认证方法 | |
US8667577B2 (en) | Remote registration of biometric data into a computer | |
US7412603B2 (en) | Methods and systems for enabling secure storage of sensitive data | |
CN101282221A (zh) | 一种多应用的动态口令装置和实现方法 | |
EP1712989A1 (en) | A computer system, integrable software component and software application | |
JP2005004466A (ja) | 端末利用認証システムおよび端末利用認証プログラム | |
JP2009253389A (ja) | Aspサービスの利用アクセス場所認証方法及びシステム | |
KR20140076971A (ko) | 폰트를 이용한 사용자 인증 방법 | |
KR20010000260A (ko) | 키보드 인증 방법 및 시스템 | |
KR101551918B1 (ko) | 래크형 보안서버를 이용한 보안 데이터 처리 서비스 시스템 및 방법 | |
JP2007310686A (ja) | アプリケーション実行システム、アプリケーション実行方法、およびそれに用いられる認証サーバ、認証プログラム | |
US20080011826A1 (en) | system for registering and using administrative cards to enable configuration of an application and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131023 Termination date: 20180617 |
|
CF01 | Termination of patent right due to non-payment of annual fee |