マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステム
【課題】
マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステムを提供する。
【解決手段】
マネージャビリティエンジン(ME)は、起動前認証中にユーザから認証応答を受信し、該ユーザをキー配布センター(KDC)に登録することで、該ユーザが既にパーソナルコンピュータ(PC)に真のユーザであることを首尾良く証明していることを差し示す。KDCはMEに、キー暗号キー(KEK)の形態のシングルサインオン信用証明を提供する。KEKは、後に、企業サーバへの安全なアクセスを構築するために使用される信用証明を取得するためにPCによって使用され得る。
マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステムを提供する。
【解決手段】
マネージャビリティエンジン(ME)は、起動前認証中にユーザから認証応答を受信し、該ユーザをキー配布センター(KDC)に登録することで、該ユーザが既にパーソナルコンピュータ(PC)に真のユーザであることを首尾良く証明していることを差し示す。KDCはMEに、キー暗号キー(KEK)の形態のシングルサインオン信用証明を提供する。KEKは、後に、企業サーバへの安全なアクセスを構築するために使用される信用証明を取得するためにPCによって使用され得る。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は概してユーザ認証に関する。より具体的には、本発明は、マネージャビリティ(管理容易性)エンジンを用いた、企業ネットワークへのシングルサインオン(single-sign-on)のための方法及びシステムに関する。
【背景技術】
【0002】
データ保護のためのインテル社のAnti-Theft(登録商標)(盗難防止)技術は、チップセット及びその周辺部品にフルディスク暗号化(Full Disk Encryption;FDE)を付加するプラットフォーム能力を有する。OS(オペレーティングシステム)及びユーザのデータを含め、At−d保護ドライブ上の全データが暗号化される。暗号化されないままの領域は、マネージャビリティエンジン(manageability engine;ME)メタデータ及び起動前(プリブート)認証メタデータの領域を含む。ドライブを完全に暗号化することにより、ページングファイル及び設定ファイル内に含まれる機密データが保護され、ツールキットによるシステムファイルのオフラインアタッカー操作が防止される。
【0003】
ドライブを完全に暗号化することは同時に、難しい問題を提示する。例えば、ユーザが認証されるまで、ディスクドライブはユーザに使用禁止にされる。現在のやり方は、オペレーティングシステム(OS)が初期認証を行うことに頼っているが、FDEを用いると、OSは暗号化され、OSを介してユーザを認証することが困難になる。故に、ユーザ認証は、ドライブへのアクセスを必要とする如何なる起動前サービスよりも前に行われなければならない。
【発明の概要】
【発明が解決しようとする課題】
【0004】
マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステムを提供する。
【課題を解決するための手段】
【0005】
一態様に従って、マネージャビリティエンジンを用いた安全なアクセス方法が提供される。当該方法は、起動前処理の間にユーザから認証応答を受信する段階、プロトコルを用いて、キー配布センター(KDC)に登録する段階、及びキー暗号キー(KEK)の形態でシングルサインオン信用保証を受信する段階を有する。KEKは後に、企業サーバへの安全なアクセスを構築するために使用される。
【図面の簡単な説明】
【0006】
添付の図面は、ここに組み込まれ、本明細書の一部を形成し、ここでの説明とともに本発明の実施形態を例示し、更に、本発明の原理を説明し且つ当業者が本発明の形成及び使用を行うことを可能にする役割を果たす。図面において、似通った参照符号は、同一の、機能的に同様の、且つ/或いは構造的に同様の要素を指し示す。或る要素が最初に現れる図は、対応する参照符号の最初の桁によって指し示される。
【図1】記載の実施形態の態様が用いられ得る典型的なコンピュータプラットフォームを例示するブロック図である。
【図2】本発明の一実施形態に従った、マネージャビリティエンジンを用いる企業ネットワークのシングルサインオンのためのシステムを例示するブロック図である。
【図3】本発明の一実施形態に従った、マネージャビリティエンジンを用いる企業ネットワークのシングルサインオンのための典型的な方法を示すフロー図である。
【図4】本発明の一実施形態に従った、1つ以上の企業サーバからのリソース又はサービスへのアクセスを可能にする典型的な方法を示すフロー図である。
【発明を実施するための形態】
【0007】
ここでは、本発明は特定の用途のための例示的な実施形態を参照して説明される。しかしながら、理解されるように、本発明はそれに限定されるものではない。ここで提供される教示を利用し得る当業者は、その教示の範囲内、及び本発明の実施形態が有意に役立つ更なる分野の範囲内で、更なる変更、用途及び実施形態を認識するであろう。
【0008】
本明細書において、本発明の“1つの実施形態”、“一実施形態”又は“他の一実施形態”への言及は、その実施形態に関連して説明される或る特定の特徴、構造又は特長が、本発明の少なくとも1つの実施形態中に含まれることを意味する。故に、“1つの実施形態において”又は“一実施形態において”という言い回しが本明細書全体を通して様々な箇所に現れることは、必ずしも、全てが同一の実施形態について言及しているわけではない。
【0009】
本発明の実施形態は、起動前処理の間にユーザから認証応答を受信し、且つケルベロス(Kerberos)プロトコルを用いて、ユーザがPC(パーソナルコンピュータ)に首尾良く認証されたことをケルベロス鍵(キー)配布センター(KDC)に登録するマネージャビリティエンジン(ME)を提供する。KDCはMEに、企業システムサービスへの安全なアクセスを得るために後にPCによって使用され得るキー暗号化キー(Key Encryption Key;KEK)の形態のシングルサインオン信用証明を提供する。
【0010】
本発明の実施形態は、起動前環境における早い段階で企業識別管理サービスを用いてユーザ認証を実行する能力を提供する。この能力は、企業ネットワークによって管理されているユーザ信用証明を用いるための企業ネットワークへの直接的な帯域外(アウトオブバンド;OOB)アクセスを可能にするマネージャビリティエンジンを用いて提供される。本発明の実施形態はまた、ユーザが既にOS起動中に認証されていることをオペレーティングシステム(OS)が認識することを可能にする。これは、信用証明マネジャがOSユーザログインを中断し、MEからのKEKを要求することによって、ユーザが既にその企業システムサービスで認証されているかを決定し得るようにすることによって達成される。KEKがME内に安全に記憶されている場合、KEKは取り出され、信用証明マネジャに戻される。信用保証マネジャは、KEKを受信すると、ユーザが既にその企業システムサービスに認証されていることを決定し、OSユーザログインプロンプトを差し止め、その処理を単にシングルサインオンを要求する状態にする。
【0011】
本発明の実施形態は、OS及びプラットフォームからのその設定への依存性を排除し、ユーザ(及び計算機)IDに基づいて動的に選択及び設定が行われるように仮想計算機モニタ(virtual machine monitor;VMM)、仮想計算機(VM)、OS及びアプリケーションがプラットフォーム上で用いられることを可能にする。ユーザ認証は信用できないOS及び/又はVMMから保護される。KDCへの認証、及びそれに続くプラットフォームへのユーザ信用証明/権限付与の発行は、OS又はVMM上の悪意ソフトウェア(マルウェア)又はその他の攻撃を免れる。
【0012】
本発明の実施形態は、ID管理基盤としてケルベロスを用いて説明されるが、本発明はケルベロスを基盤とするものに限定されない。当業者が知るであろうように、例えばSAML(Security Assertion Markup Language)、カードスペース(Card Space)、リバティアライアンス(Liberty Alliance)、公開鍵などのその他のID管理基盤も用いられ得る。
【0013】
図1は、記載の実施形態の態様が用いられ得る典型的なコンピュータプラットフォームを例示するブロック図である。コンピュータプラットフォーム100はプロセッサ102(帯域内(インバンド)プロセッサとしても知られる)を有している。プロセッサ102は、一実施形態においてダイナミックランダムアクセスメモリ(DRAM)104とし得るシステムメモリに結合され得る。プロセッサ102は、例えばマイクロプロセッサ、デジタル信号処理器又はマイクロコントローラ等の、ソフトウェアを実行することが可能な如何なる種類のプロセッサであってもよい。図1はそのようなプロセッサ102を1つのみを示しているが、プラットフォーム100内には1つ又は複数のプロセッサが存在していてもよく、それらプロセッサのうちの1つ以上がマルチスレッド又はマルチコア等を含んでいてもよい。
【0014】
プロセッサ102は更に、ダイレクトメディアインタフェース(DMI)108を介してチップセット106に接続され得る。チップセット106は、とりわけ、マネージャビリティエンジン(ME)110、暗号サービスブロック(CSB)112、及び仮想化エンジン(VE)114を有している。CSB112は、AES(Advanced Encryption Standard)のハードウェア実装であり、128ビットと256ビットの大きさのキーに対応している。VE114はSATA(Serial Advanced Technology Attachment)コントローラ116に結合されており、SATAコントローラ116は、例えばSATA装置118等の取り付けられた何らかのSATA記憶装置のための、SATAコマンドの復号化及びその他の加速処理を実行する。VE114はまた、例えばNANDフラッシュ122等のNVM装置上にデータをキャッシュするために、不揮発性メモリ(NVM)コントローラ120に結合されている。ME110は、ポリシー及びキーを設定することによって、VE114及びCSB112の挙動を制御する。ME110は聴講イベントを収集し、ユーザ認証を管理し、且つ企業システムサービス126とのインタフェースを取る。ME110は帯域外コントローラ(図示せず)及びネットワークコントローラ124を用い、ネットワーク125を介して企業システムサービス126とのインタフェースを取る。一実施形態において、ネットワーク125は、例えば以下に限られないがインターネット等の、ワイドエリアネットワークとし得る。
【0015】
一実施形態において、チップセット106はシリアル周辺インタフェース(SPI)バス128を介して不揮発性メモリ130に結合される。不揮発性メモリ130は、フラッシュメモリ又はスタティックランダムアクセスメモリ(SRAM)等とし得る。数多くの既存のプラットフォームにおいて、NVM130はフラッシュメモリである。フラッシュメモリ130は、チップセット106用のチップセットファームウェア132と、ネットワークコントローラ124用のネットワークコントローラファームウェアとを含んでいる。
【0016】
一部の実施形態において、プロセッサ102は、NVM130内に、基本入出力システム(BIOS)ファームウェア136を有する。他の一部の実施形態において、ブートベクトル(ポインタ)がNVM130のBIOSファームウェア136内にあって、プロセッサ102が遠隔装置(図示せず)から起動(ブート)されてもよい。チップセット106は、チップセット106を制御するためのチップセットファームウェア132、ネットワークコントローラ124を制御するためのネットワークコントローラファームウェア134、及びBIOSファームウェア136を含め、NVM130のコンテンツの全てにアクセスし得る。
【0017】
図2は、本発明の一実施形態に従った、マネージャビリティエンジンを用いる企業ネットワークのシングルサインオンのためのシステムを例示するブロック図である。システム200は、起動前部分及び起動後部分を有するCPU202を有している。起動前部分は、とりわけ、基本入出力システム(BIOS)204及び起動前認証モジュール(PBAM)206を含んでいる。起動後部分は、とりわけ、オペレーティングシステム(OS)208及びGINA(図形識別・認証)210を含んでいる。システム200はまた、マネージャビリティエンジン(ME)110を含んでいる。ME110はCPU202に結合されている。
【0018】
BIOS204は、部分的に、最初に電源投入されるときにパーソナルコンピュータ(PC)によって実行されるファームウェアコードを意味する。BIOS204の主な機能は、例えばビデオ表示カードやハードディスク等のシステム構成ハードウェア及びその他のハードウェア装置の識別及び初期設定を行うことである。BIOS204は、例えば、EFI(Extensible Firmware Interface)BIOS又はレガシーBIOSとし得る。本発明の一部の実施形態において、ユーザ(図示せず)はPBAM206を用いてBIOS204によって認証され得る。
【0019】
PBAM206は、起動前の対話式ログインのための認証ポリシーを実装している。PBAM206は、信用がおける認証レイヤとしての、安全で不正が防止されたOS208の外部環境を保証するためのBIOS204の拡張である。PBAM206は、ユーザを認証するために、ユーザに認証課題(チャレンジ)を提供する。例えば、PBAM206はユーザからのユーザID及びパスワードを要求し得る。ユーザID及びパスワードは、そのユーザを認証すべきか決定するために、格納されたデータと比較され得る。PBAM206は、前に進むための正しいパスワードをユーザが有することをユーザが確認するまで、OS208が読み込むことを防止する。
【0020】
OS208は、コンピュータプラットフォームの活動とリソースの共有との管理及び調整を担う。OS208は、例えば、マイクロソフト社のウィンドウズ(登録商標)OS又はリナックス(登録商標)OSとし得る。
【0021】
GINA(図形識別・認証)210は、OS対話式ログインモデルの認証ポリシーを実装する動的リンクライブラリ(DLL)である。GINAは、信用証明マネジャとしても知られ、OSにおけるユーザ認証のための全ての識別・認証ユーザ対話を行う。
【0022】
ME110は、とりわけ、ME共通サービス(CS)モジュール212を有している。ME共通サービスモジュール212は、マネージャビリティエンジン110上で実行されるファームウェアレイヤを表す。CS212は、ME110が例えば企業サービス220等の企業ネットワークに接続することを可能にする通信スタックを提供する。CS212はまた、チップセット106の機能を増大/低減するためにファームウェアモジュールが付加/除去されることが可能である場合、プラグインインタフェースを提供する。本発明の一実施形態において、DT2モジュール214及び共通認証モジュール(CAM)216は、チップセット106に追加機能を提供するファームウェアプラグインである。他のFW218は、別のファームウェアモジュール用の例示的な場所を示している。暗号鍵DWK(デバイス・ラップ・キー)215及びKEK(キー暗号キー)217は、それぞれ、DT2モジュール214及びCAM216に対応する信用証明であり、プラットフォーム上に安全に保管されるように示されている。その他219は他のFW218の暗号鍵用の場所を確保するものである。
【0023】
DT2モジュール214は、暗号化された記憶装置へのアクセスを制御するファームウェアプラグインである。DWK215は、ファームウェアプラグインDT2(214)を用いて暗号化されたディスクを解除するために用いられる暗号鍵/信用証明である。暗号鍵215へのアクセスは、ユーザ又はアドミニストレータの認証の成功に基づく条件付きである。
【0024】
共通認証モジュール(CAM)216は、起動前BIOSコード、必要に応じてのROM、又はユーザ認証チャレンジを実行するその他のホストファームウェアモジュールとのインタフェースを主として担う。チャレンジへの応答がCAM216に与えられ、主張されたIDが検証される。一実施形態において、CAM216はケルベロスクライアントとしても知られる。KEK217は、ケルベロスのチケット許可チケットすなわちTGT(ticket granting ticket)とも呼ばれ、企業サーバ226を介して企業システムサービス126にアクセスするチケットを取得するために使用される暗号鍵/信用証明である。暗号鍵KEK217へのアクセスは、ユーザ又はアドミニストレータの認証の成功に基づく条件付きである。
【0025】
システム200は(図1に示したような)ネットワークを介して企業システム220にインタフェース接続される。企業システム220は、キー配布センター(KDC)222、ディレクトリ224、及び企業サーバ226を介しての企業システムサービス126を含んでいる。
【0026】
KDC222は、ユーザ及びサービスの認証を手助けするように使用される認証サーバである。KDC222は、例えば企業システムサービス等のサービスへのアクセスを可能にするチケットを配布する。KDC222は、クライアントからの最初の認証要求に応答して、キー暗号キー(KEK)として知られる特別なキーを発行する。なお、KEKは、ケルベロスチャレンジ応答プロトコルにおけるチケット許可チケット(TGT)としても定義される。ユーザが実際に自身が主張する者である場合、ユーザはKEK/TGTを使用して、パスワードを再入力する必要なく企業システムサービス126への別のサービス入場チケットを取得することができる。KDC222は、バックエンドインタフェース(図示せず)を介して、ディレクトリ224にインタフェース接続し、ユーザ、ホスト又はサービスに関する情報を取得する。
【0027】
ディレクトリ224は、ユーザ、ホスト及びサービスに関連するデータを格納している。ディレクトリ224内に格納されたデータは、以下に限られないが、ユーザ名、パスワード及びパスワードの有効期限、ユーザが保持するサービスに関するチケットの属性を含み得る。
【0028】
図3は、本発明の一実施形態に従った、マネージャビリティエンジンを用いる企業ネットワークのシングルサインオンのための典型的な方法を示すフロー図300である。本発明は、フロー図300に関して説明される実施形態に限定されるものではなく、ここでの教示を受けた当業者に明らかになるように、他の機能フロー図も本発明の範囲内にある。処理はブロック302で開始し、直ちにブロック304へと進む。
【0029】
ブロック304にて、ME共通認証モジュールがPBAMからユーザ認証信用証明(すなわち、ユーザID及びパスワード)を受信する。ユーザはBIOSを介してPBAMに真のユーザであることを証明する。PBAMはユーザを認証するためにユーザに認証チャレンジを提供する。例えば、PBAMはユーザからのユーザID及びパスワードを要求し得る。チャレンジに応答し、ユーザはPBAMにユーザ認証信用証明を提供し、ユーザ認証信用証明をMEに送信する。処理はブロック306へと進む。
【0030】
ブロック306にて、MEが企業KDCへの接続を開設し、チケット許可チケット(TGT)としても知られるキー暗号キー(KEK)を要求する。KEKは、サービス126のために企業サーバ226にアクセスするためのサービス入場チケットを取得するために使用され得る。企業KDCは、企業チャレンジ応答プロトコルを実行し、そのユーザに関する情報を含んだディレクトリサービスに問い合わせることによって、そのユーザを企業の既知のエンティティとして検証/認証する。ディレクトリサービスは、マイクロソフト・アクティブ・ディレクトリ、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)、又はその他のディレクトリサービスとし得る。ユーザが既知のエンティティである(すなわち、ユーザID及びパスワードが真のものである)場合、企業KDCはKEKを返送することになる。企業KDCはまた、ユーザ特権、グループ会員資格、又はユーザに関するその他の制約、に関するその他の認証情報を返送することになる。KEKは、企業サーバへのサーバ特定チケットを要求する権限を有する。
【0031】
ブロック308にて、ME共通認証モジュールが、KEK及びユーザに関するその他の認証情報を受信し、KEKをプラットフォームのフラッシュ又はその他の安全な記憶領域に安全に格納する。KEKは、フラッシュ内に安全に格納されると、MEの制御下に置かれ、故に、MEはこの段階で企業サーバへのサービス特定チケットを取得する権限を与えられる。そして、処理はブロック310へと進む。
【0032】
一実施形態において、MEは、ユーザの認証成功に基づくアクションを実行することができ、サービス特定チケットを取得することができ、あるいは、ME共通サービスの下でサービスを実行することができる。
【0033】
ブロック310にて、ディレクトリによって、あるいは認証パラメータからデバイス・ラップ・キー(DWK)を取得することによって供給されたトークンを用いて、例えば暗号化されたディスク等のプラットフォームリソースがロック解除(アンロック)され得る。そして、処理はブロック312へと進む。
【0034】
処理のこの時点において、ユーザは基本的に、企業ユーザ信用証明(シングルサインオン信用証明)を用いて、MEにログオンしている。BIOSはこの段階でOSをロードする必要があり、ユーザはOSに認証される必要がある。ブロック312にて、MEは、OSを起動するために処理をBIOS(すなわち、BIOS206)に戻す。そして、処理はブロック314へと進む。
【0035】
OSは起動されるとき、OSにユーザを認証する準備が整うポイントに到達するまで、その通常処理を経る。これは、例えばマイクロソフトGINA等の信用証明マネジャを呼び出すことによって実行される。GINA処理の間に、ユーザにユーザ認証信用証明を促すか、あるいはMEから自動的に信用証明を取得するかが決定されなければならない。ブロック314にて、ユーザログイン画面がユーザに提示されるべきポイントで通常のOSログイン処理を中断するために、例えばGINAラッパー等のソフトウェア・シム(shim)が用いられる。ソフトウェア・シムは、KEKを要求することによって、ユーザが既に企業システム220に真のユーザであることを証明しているかを検証するためにMEに問い合わせる。そして、処理はブロック316へと進む。
【0036】
決定ブロック316にて、KEKが利用可能であるかを決定する。KEKが利用可能である場合、処理はブロック318へと進む。
【0037】
ブロック318にて、KEK要求がMEへと誘導され、そこでKEKが安全な記憶装置から取り出されてシムに返送される。そして、シムは、ユーザが既に企業システムに真のユーザであることを証明していることを決定し、ユーザログインプロンプトを差し止め、処理を単にシングルサインオンを要求する状態にする。
【0038】
決定ブロック316に話を戻し、KEKが利用可能でないと決定された場合、ユーザログインプロンプトは差し止められず、OSユーザ認証処理が通常通り進められる(ブロック320)。
【0039】
OSは、企業サーバ上のリソース又はサービスへのアクセスを必要とするとき、この場合には、ローカルなKEKを用いて、適切な企業サーバに専用のチケットを取得することができる。このチケットは、OSと企業サーバとの間に安全な通信チャネルを構築するために使用され得る。一実施形態において、TLSプロトコルが用いられ、TLSセッションが取り決められ得る。
【0040】
図4は、本発明の一実施形態に従った、1つ以上の企業サーバからのリソース又はサービスへのアクセスを可能にする典型的な方法を示すフロー図400である。本発明は、フロー図400に関して説明される実施形態に限定されるものではなく、ここでの教示を受けた当業者に明らかになるように、他の機能フロー図も本発明の範囲内にある。処理はブロック402で開始し、直ちにブロック404へと進む。
【0041】
ブロック404にて、ユーザが企業システムサービス又はリソースへの認証を要求するとき、その要求がMEに向けられる。そして、処理はブロック406へと進む。
【0042】
ブロック406にて、MEは、KEKを使用して、そのサービスを提供する企業サーバに専用のチケットを企業KDCから取得する。そして、処理はブロック408へと進む。
【0043】
ブロック408にて、MEは、そのサービス用のチケットを受信すると、そのチケットをOS(又は、OS空間のアプリケーション)に提供する。一実施形態において、このチケットはこのチケット内に埋め込まれたキーを含んでいてもよい。そして、処理はブロック410へと進む。
【0044】
ブロック410にて、OSはチケットを使用して、企業サーバとPCとの間に安全な通信チャネルを構築し得る。一実施形態において、TLSプロトコルが用いられ、PCと該サーバとの間でのTLSセッションが取り決められ得る。
【0045】
本発明の実施形態の特定の態様は、ハードウェア、ソフトウェア、又はそれらの組み合わせを用いて実装され、1つ以上のコンピュータプラットフォーム又はその他の処理システムにて実現され得る。実際、一実施形態において、方法は、例えば移動式あるいは静止型のコンピュータ、携帯情報端末(PDA)、セットトップボックス、セル式電話及びポケットベル等のプログラム可能機械や、各々が少なくとも1つのプロセッサ、該少なくとも1つのプロセッサによって読み取り可能な記憶媒体(揮発性及び不揮発性のメモリ及び/又は記憶素子を含む)、少なくとも1つの入力装置、及び1つ以上の出力装置を含むその他の電子機器の上で実行されるプログラムにて実装され得る。入力装置を用いて入力されたデータにプログラムコードが適用され、記述された機能が実行され、出力情報が生成される。出力情報は1つ以上の出力装置に与えられ得る。当業者に認識されるように、本発明の実施形態は、マルチプロセッサシステム、ミニコンピュータ及びメインフレームコンピュータ等を含む様々なコンピュータプラットフォーム構成を用いて実施され得る。
【0046】
各プログラムは、処理システムと通信するよう、ハイレベル手続き型プログラミング言語又はオブジェクト指向プログラミング言語にて実現され得る。しかしながら、プログラムは、必要に応じて、アセンブリ言語又は機械語にて実現されてもよい。何れにしても、言語はコンパイルされ、あるいはインタープリタされ得る。
【0047】
プログラム命令は、該命令でプログラムされた汎用あるいは専用の処理システムに、ここで説明した方法を実行させるように用いられ得る。代替的に、方法は、当該方法を実行する配線論理を含んだ具体的なハードウェア要素によって、あるいはプログラムされたコンピュータ要素と特別注文のハードウェア要素との組み合わせによって実行されてもよい。ここで説明した方法は、当該方法を実行するように処理システム又はその他の電子機器をプログラムするために使用され得る命令を格納した機械読み取り可能媒体を含むコンピュータプログラム製品として提供されてもよい。ここで用いた“機械読み取り可能媒体”又は“機械アクセス可能媒体”という用語は、機械による実行のために命令シーケンスを格納あるいは符号化することが可能で、ここで説明した方法の何れか1つを機械に実行させる如何なる媒体をも含む。従って、“機械読み取り可能媒体”及び“機械アクセス可能媒体”という用語は、以下に限られないが、半導体メモリ、光ディスク及び磁気ディスクなどを含む。また、アクションを起こし、あるいは結果を引き起こすものとして、一形態又は別の一形態(例えば、プログラム、プロシージャ、プロセス、アプリケーション、モジュール、及びロジック等)でソフトウェアを語ることは技術的に一般的である。このような表現は単に、プロセッサにアクションを行わせたり結果を生成させたりする処理システムによるソフトウェアの実行を短く述べるものである。
【0048】
以上にて本発明の様々な実施形態を説明したが、理解されるように、これらの実施形態は、限定ではなく、単に例として説明したものである。当業者に理解されるように、これらの実施形態には、添付の請求項にて規定される本発明の主旨及び範囲を逸脱することなく、形態的で詳細な様々な変更が為され得る。故に、本発明の広さ及び範囲は、上述の例示的な実施形態の何れによっても限定されるべきでなく、以下の請求項及びそれに均等なものに従って定められるべきである。
【符号の説明】
【0049】
100 コンピュータプラットフォーム
102 プロセッサ
104 システムメモリ
106 チップセット
108 ダイレクトメディアインタフェース
110 マネージャビリティエンジン(ME)
112 暗号サービスブロック(CSB)
114 仮想化エンジン(VE)
116 SATAコントローラ
118 SATA装置
120 不揮発性メモリコントローラ
122 NANDフラッシュ
124 ネットワークコントローラ
125 ネットワーク
126 企業サービス
128 APIバス
130 フラッシュメモリ
132 チップセットファームウェア
134 ネットワークコントローラファームウェア
136 BIOSファームウェア
200 システム
202 CPU
204 BIOS
206 起動前認証モジュール(PBAM)
208 オペレーティングシステム(OS)
210 信用証明マネジャ
212 ME共通サービス
214 DT2モジュール
215 デバイス・ラップ・キー(DWK)
216 共通認証モジュール(ケルベロスクライアント)
217 キー暗号キー(KEK)
220 企業システム
222 キー配布センター(KDC)
224 ディレクトリ
226 企業サーバ
【技術分野】
【0001】
本発明は概してユーザ認証に関する。より具体的には、本発明は、マネージャビリティ(管理容易性)エンジンを用いた、企業ネットワークへのシングルサインオン(single-sign-on)のための方法及びシステムに関する。
【背景技術】
【0002】
データ保護のためのインテル社のAnti-Theft(登録商標)(盗難防止)技術は、チップセット及びその周辺部品にフルディスク暗号化(Full Disk Encryption;FDE)を付加するプラットフォーム能力を有する。OS(オペレーティングシステム)及びユーザのデータを含め、At−d保護ドライブ上の全データが暗号化される。暗号化されないままの領域は、マネージャビリティエンジン(manageability engine;ME)メタデータ及び起動前(プリブート)認証メタデータの領域を含む。ドライブを完全に暗号化することにより、ページングファイル及び設定ファイル内に含まれる機密データが保護され、ツールキットによるシステムファイルのオフラインアタッカー操作が防止される。
【0003】
ドライブを完全に暗号化することは同時に、難しい問題を提示する。例えば、ユーザが認証されるまで、ディスクドライブはユーザに使用禁止にされる。現在のやり方は、オペレーティングシステム(OS)が初期認証を行うことに頼っているが、FDEを用いると、OSは暗号化され、OSを介してユーザを認証することが困難になる。故に、ユーザ認証は、ドライブへのアクセスを必要とする如何なる起動前サービスよりも前に行われなければならない。
【発明の概要】
【発明が解決しようとする課題】
【0004】
マネージャビリティエンジンによる企業ネットワークへのシングルサインオンのための方法及びシステムを提供する。
【課題を解決するための手段】
【0005】
一態様に従って、マネージャビリティエンジンを用いた安全なアクセス方法が提供される。当該方法は、起動前処理の間にユーザから認証応答を受信する段階、プロトコルを用いて、キー配布センター(KDC)に登録する段階、及びキー暗号キー(KEK)の形態でシングルサインオン信用保証を受信する段階を有する。KEKは後に、企業サーバへの安全なアクセスを構築するために使用される。
【図面の簡単な説明】
【0006】
添付の図面は、ここに組み込まれ、本明細書の一部を形成し、ここでの説明とともに本発明の実施形態を例示し、更に、本発明の原理を説明し且つ当業者が本発明の形成及び使用を行うことを可能にする役割を果たす。図面において、似通った参照符号は、同一の、機能的に同様の、且つ/或いは構造的に同様の要素を指し示す。或る要素が最初に現れる図は、対応する参照符号の最初の桁によって指し示される。
【図1】記載の実施形態の態様が用いられ得る典型的なコンピュータプラットフォームを例示するブロック図である。
【図2】本発明の一実施形態に従った、マネージャビリティエンジンを用いる企業ネットワークのシングルサインオンのためのシステムを例示するブロック図である。
【図3】本発明の一実施形態に従った、マネージャビリティエンジンを用いる企業ネットワークのシングルサインオンのための典型的な方法を示すフロー図である。
【図4】本発明の一実施形態に従った、1つ以上の企業サーバからのリソース又はサービスへのアクセスを可能にする典型的な方法を示すフロー図である。
【発明を実施するための形態】
【0007】
ここでは、本発明は特定の用途のための例示的な実施形態を参照して説明される。しかしながら、理解されるように、本発明はそれに限定されるものではない。ここで提供される教示を利用し得る当業者は、その教示の範囲内、及び本発明の実施形態が有意に役立つ更なる分野の範囲内で、更なる変更、用途及び実施形態を認識するであろう。
【0008】
本明細書において、本発明の“1つの実施形態”、“一実施形態”又は“他の一実施形態”への言及は、その実施形態に関連して説明される或る特定の特徴、構造又は特長が、本発明の少なくとも1つの実施形態中に含まれることを意味する。故に、“1つの実施形態において”又は“一実施形態において”という言い回しが本明細書全体を通して様々な箇所に現れることは、必ずしも、全てが同一の実施形態について言及しているわけではない。
【0009】
本発明の実施形態は、起動前処理の間にユーザから認証応答を受信し、且つケルベロス(Kerberos)プロトコルを用いて、ユーザがPC(パーソナルコンピュータ)に首尾良く認証されたことをケルベロス鍵(キー)配布センター(KDC)に登録するマネージャビリティエンジン(ME)を提供する。KDCはMEに、企業システムサービスへの安全なアクセスを得るために後にPCによって使用され得るキー暗号化キー(Key Encryption Key;KEK)の形態のシングルサインオン信用証明を提供する。
【0010】
本発明の実施形態は、起動前環境における早い段階で企業識別管理サービスを用いてユーザ認証を実行する能力を提供する。この能力は、企業ネットワークによって管理されているユーザ信用証明を用いるための企業ネットワークへの直接的な帯域外(アウトオブバンド;OOB)アクセスを可能にするマネージャビリティエンジンを用いて提供される。本発明の実施形態はまた、ユーザが既にOS起動中に認証されていることをオペレーティングシステム(OS)が認識することを可能にする。これは、信用証明マネジャがOSユーザログインを中断し、MEからのKEKを要求することによって、ユーザが既にその企業システムサービスで認証されているかを決定し得るようにすることによって達成される。KEKがME内に安全に記憶されている場合、KEKは取り出され、信用証明マネジャに戻される。信用保証マネジャは、KEKを受信すると、ユーザが既にその企業システムサービスに認証されていることを決定し、OSユーザログインプロンプトを差し止め、その処理を単にシングルサインオンを要求する状態にする。
【0011】
本発明の実施形態は、OS及びプラットフォームからのその設定への依存性を排除し、ユーザ(及び計算機)IDに基づいて動的に選択及び設定が行われるように仮想計算機モニタ(virtual machine monitor;VMM)、仮想計算機(VM)、OS及びアプリケーションがプラットフォーム上で用いられることを可能にする。ユーザ認証は信用できないOS及び/又はVMMから保護される。KDCへの認証、及びそれに続くプラットフォームへのユーザ信用証明/権限付与の発行は、OS又はVMM上の悪意ソフトウェア(マルウェア)又はその他の攻撃を免れる。
【0012】
本発明の実施形態は、ID管理基盤としてケルベロスを用いて説明されるが、本発明はケルベロスを基盤とするものに限定されない。当業者が知るであろうように、例えばSAML(Security Assertion Markup Language)、カードスペース(Card Space)、リバティアライアンス(Liberty Alliance)、公開鍵などのその他のID管理基盤も用いられ得る。
【0013】
図1は、記載の実施形態の態様が用いられ得る典型的なコンピュータプラットフォームを例示するブロック図である。コンピュータプラットフォーム100はプロセッサ102(帯域内(インバンド)プロセッサとしても知られる)を有している。プロセッサ102は、一実施形態においてダイナミックランダムアクセスメモリ(DRAM)104とし得るシステムメモリに結合され得る。プロセッサ102は、例えばマイクロプロセッサ、デジタル信号処理器又はマイクロコントローラ等の、ソフトウェアを実行することが可能な如何なる種類のプロセッサであってもよい。図1はそのようなプロセッサ102を1つのみを示しているが、プラットフォーム100内には1つ又は複数のプロセッサが存在していてもよく、それらプロセッサのうちの1つ以上がマルチスレッド又はマルチコア等を含んでいてもよい。
【0014】
プロセッサ102は更に、ダイレクトメディアインタフェース(DMI)108を介してチップセット106に接続され得る。チップセット106は、とりわけ、マネージャビリティエンジン(ME)110、暗号サービスブロック(CSB)112、及び仮想化エンジン(VE)114を有している。CSB112は、AES(Advanced Encryption Standard)のハードウェア実装であり、128ビットと256ビットの大きさのキーに対応している。VE114はSATA(Serial Advanced Technology Attachment)コントローラ116に結合されており、SATAコントローラ116は、例えばSATA装置118等の取り付けられた何らかのSATA記憶装置のための、SATAコマンドの復号化及びその他の加速処理を実行する。VE114はまた、例えばNANDフラッシュ122等のNVM装置上にデータをキャッシュするために、不揮発性メモリ(NVM)コントローラ120に結合されている。ME110は、ポリシー及びキーを設定することによって、VE114及びCSB112の挙動を制御する。ME110は聴講イベントを収集し、ユーザ認証を管理し、且つ企業システムサービス126とのインタフェースを取る。ME110は帯域外コントローラ(図示せず)及びネットワークコントローラ124を用い、ネットワーク125を介して企業システムサービス126とのインタフェースを取る。一実施形態において、ネットワーク125は、例えば以下に限られないがインターネット等の、ワイドエリアネットワークとし得る。
【0015】
一実施形態において、チップセット106はシリアル周辺インタフェース(SPI)バス128を介して不揮発性メモリ130に結合される。不揮発性メモリ130は、フラッシュメモリ又はスタティックランダムアクセスメモリ(SRAM)等とし得る。数多くの既存のプラットフォームにおいて、NVM130はフラッシュメモリである。フラッシュメモリ130は、チップセット106用のチップセットファームウェア132と、ネットワークコントローラ124用のネットワークコントローラファームウェアとを含んでいる。
【0016】
一部の実施形態において、プロセッサ102は、NVM130内に、基本入出力システム(BIOS)ファームウェア136を有する。他の一部の実施形態において、ブートベクトル(ポインタ)がNVM130のBIOSファームウェア136内にあって、プロセッサ102が遠隔装置(図示せず)から起動(ブート)されてもよい。チップセット106は、チップセット106を制御するためのチップセットファームウェア132、ネットワークコントローラ124を制御するためのネットワークコントローラファームウェア134、及びBIOSファームウェア136を含め、NVM130のコンテンツの全てにアクセスし得る。
【0017】
図2は、本発明の一実施形態に従った、マネージャビリティエンジンを用いる企業ネットワークのシングルサインオンのためのシステムを例示するブロック図である。システム200は、起動前部分及び起動後部分を有するCPU202を有している。起動前部分は、とりわけ、基本入出力システム(BIOS)204及び起動前認証モジュール(PBAM)206を含んでいる。起動後部分は、とりわけ、オペレーティングシステム(OS)208及びGINA(図形識別・認証)210を含んでいる。システム200はまた、マネージャビリティエンジン(ME)110を含んでいる。ME110はCPU202に結合されている。
【0018】
BIOS204は、部分的に、最初に電源投入されるときにパーソナルコンピュータ(PC)によって実行されるファームウェアコードを意味する。BIOS204の主な機能は、例えばビデオ表示カードやハードディスク等のシステム構成ハードウェア及びその他のハードウェア装置の識別及び初期設定を行うことである。BIOS204は、例えば、EFI(Extensible Firmware Interface)BIOS又はレガシーBIOSとし得る。本発明の一部の実施形態において、ユーザ(図示せず)はPBAM206を用いてBIOS204によって認証され得る。
【0019】
PBAM206は、起動前の対話式ログインのための認証ポリシーを実装している。PBAM206は、信用がおける認証レイヤとしての、安全で不正が防止されたOS208の外部環境を保証するためのBIOS204の拡張である。PBAM206は、ユーザを認証するために、ユーザに認証課題(チャレンジ)を提供する。例えば、PBAM206はユーザからのユーザID及びパスワードを要求し得る。ユーザID及びパスワードは、そのユーザを認証すべきか決定するために、格納されたデータと比較され得る。PBAM206は、前に進むための正しいパスワードをユーザが有することをユーザが確認するまで、OS208が読み込むことを防止する。
【0020】
OS208は、コンピュータプラットフォームの活動とリソースの共有との管理及び調整を担う。OS208は、例えば、マイクロソフト社のウィンドウズ(登録商標)OS又はリナックス(登録商標)OSとし得る。
【0021】
GINA(図形識別・認証)210は、OS対話式ログインモデルの認証ポリシーを実装する動的リンクライブラリ(DLL)である。GINAは、信用証明マネジャとしても知られ、OSにおけるユーザ認証のための全ての識別・認証ユーザ対話を行う。
【0022】
ME110は、とりわけ、ME共通サービス(CS)モジュール212を有している。ME共通サービスモジュール212は、マネージャビリティエンジン110上で実行されるファームウェアレイヤを表す。CS212は、ME110が例えば企業サービス220等の企業ネットワークに接続することを可能にする通信スタックを提供する。CS212はまた、チップセット106の機能を増大/低減するためにファームウェアモジュールが付加/除去されることが可能である場合、プラグインインタフェースを提供する。本発明の一実施形態において、DT2モジュール214及び共通認証モジュール(CAM)216は、チップセット106に追加機能を提供するファームウェアプラグインである。他のFW218は、別のファームウェアモジュール用の例示的な場所を示している。暗号鍵DWK(デバイス・ラップ・キー)215及びKEK(キー暗号キー)217は、それぞれ、DT2モジュール214及びCAM216に対応する信用証明であり、プラットフォーム上に安全に保管されるように示されている。その他219は他のFW218の暗号鍵用の場所を確保するものである。
【0023】
DT2モジュール214は、暗号化された記憶装置へのアクセスを制御するファームウェアプラグインである。DWK215は、ファームウェアプラグインDT2(214)を用いて暗号化されたディスクを解除するために用いられる暗号鍵/信用証明である。暗号鍵215へのアクセスは、ユーザ又はアドミニストレータの認証の成功に基づく条件付きである。
【0024】
共通認証モジュール(CAM)216は、起動前BIOSコード、必要に応じてのROM、又はユーザ認証チャレンジを実行するその他のホストファームウェアモジュールとのインタフェースを主として担う。チャレンジへの応答がCAM216に与えられ、主張されたIDが検証される。一実施形態において、CAM216はケルベロスクライアントとしても知られる。KEK217は、ケルベロスのチケット許可チケットすなわちTGT(ticket granting ticket)とも呼ばれ、企業サーバ226を介して企業システムサービス126にアクセスするチケットを取得するために使用される暗号鍵/信用証明である。暗号鍵KEK217へのアクセスは、ユーザ又はアドミニストレータの認証の成功に基づく条件付きである。
【0025】
システム200は(図1に示したような)ネットワークを介して企業システム220にインタフェース接続される。企業システム220は、キー配布センター(KDC)222、ディレクトリ224、及び企業サーバ226を介しての企業システムサービス126を含んでいる。
【0026】
KDC222は、ユーザ及びサービスの認証を手助けするように使用される認証サーバである。KDC222は、例えば企業システムサービス等のサービスへのアクセスを可能にするチケットを配布する。KDC222は、クライアントからの最初の認証要求に応答して、キー暗号キー(KEK)として知られる特別なキーを発行する。なお、KEKは、ケルベロスチャレンジ応答プロトコルにおけるチケット許可チケット(TGT)としても定義される。ユーザが実際に自身が主張する者である場合、ユーザはKEK/TGTを使用して、パスワードを再入力する必要なく企業システムサービス126への別のサービス入場チケットを取得することができる。KDC222は、バックエンドインタフェース(図示せず)を介して、ディレクトリ224にインタフェース接続し、ユーザ、ホスト又はサービスに関する情報を取得する。
【0027】
ディレクトリ224は、ユーザ、ホスト及びサービスに関連するデータを格納している。ディレクトリ224内に格納されたデータは、以下に限られないが、ユーザ名、パスワード及びパスワードの有効期限、ユーザが保持するサービスに関するチケットの属性を含み得る。
【0028】
図3は、本発明の一実施形態に従った、マネージャビリティエンジンを用いる企業ネットワークのシングルサインオンのための典型的な方法を示すフロー図300である。本発明は、フロー図300に関して説明される実施形態に限定されるものではなく、ここでの教示を受けた当業者に明らかになるように、他の機能フロー図も本発明の範囲内にある。処理はブロック302で開始し、直ちにブロック304へと進む。
【0029】
ブロック304にて、ME共通認証モジュールがPBAMからユーザ認証信用証明(すなわち、ユーザID及びパスワード)を受信する。ユーザはBIOSを介してPBAMに真のユーザであることを証明する。PBAMはユーザを認証するためにユーザに認証チャレンジを提供する。例えば、PBAMはユーザからのユーザID及びパスワードを要求し得る。チャレンジに応答し、ユーザはPBAMにユーザ認証信用証明を提供し、ユーザ認証信用証明をMEに送信する。処理はブロック306へと進む。
【0030】
ブロック306にて、MEが企業KDCへの接続を開設し、チケット許可チケット(TGT)としても知られるキー暗号キー(KEK)を要求する。KEKは、サービス126のために企業サーバ226にアクセスするためのサービス入場チケットを取得するために使用され得る。企業KDCは、企業チャレンジ応答プロトコルを実行し、そのユーザに関する情報を含んだディレクトリサービスに問い合わせることによって、そのユーザを企業の既知のエンティティとして検証/認証する。ディレクトリサービスは、マイクロソフト・アクティブ・ディレクトリ、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)、又はその他のディレクトリサービスとし得る。ユーザが既知のエンティティである(すなわち、ユーザID及びパスワードが真のものである)場合、企業KDCはKEKを返送することになる。企業KDCはまた、ユーザ特権、グループ会員資格、又はユーザに関するその他の制約、に関するその他の認証情報を返送することになる。KEKは、企業サーバへのサーバ特定チケットを要求する権限を有する。
【0031】
ブロック308にて、ME共通認証モジュールが、KEK及びユーザに関するその他の認証情報を受信し、KEKをプラットフォームのフラッシュ又はその他の安全な記憶領域に安全に格納する。KEKは、フラッシュ内に安全に格納されると、MEの制御下に置かれ、故に、MEはこの段階で企業サーバへのサービス特定チケットを取得する権限を与えられる。そして、処理はブロック310へと進む。
【0032】
一実施形態において、MEは、ユーザの認証成功に基づくアクションを実行することができ、サービス特定チケットを取得することができ、あるいは、ME共通サービスの下でサービスを実行することができる。
【0033】
ブロック310にて、ディレクトリによって、あるいは認証パラメータからデバイス・ラップ・キー(DWK)を取得することによって供給されたトークンを用いて、例えば暗号化されたディスク等のプラットフォームリソースがロック解除(アンロック)され得る。そして、処理はブロック312へと進む。
【0034】
処理のこの時点において、ユーザは基本的に、企業ユーザ信用証明(シングルサインオン信用証明)を用いて、MEにログオンしている。BIOSはこの段階でOSをロードする必要があり、ユーザはOSに認証される必要がある。ブロック312にて、MEは、OSを起動するために処理をBIOS(すなわち、BIOS206)に戻す。そして、処理はブロック314へと進む。
【0035】
OSは起動されるとき、OSにユーザを認証する準備が整うポイントに到達するまで、その通常処理を経る。これは、例えばマイクロソフトGINA等の信用証明マネジャを呼び出すことによって実行される。GINA処理の間に、ユーザにユーザ認証信用証明を促すか、あるいはMEから自動的に信用証明を取得するかが決定されなければならない。ブロック314にて、ユーザログイン画面がユーザに提示されるべきポイントで通常のOSログイン処理を中断するために、例えばGINAラッパー等のソフトウェア・シム(shim)が用いられる。ソフトウェア・シムは、KEKを要求することによって、ユーザが既に企業システム220に真のユーザであることを証明しているかを検証するためにMEに問い合わせる。そして、処理はブロック316へと進む。
【0036】
決定ブロック316にて、KEKが利用可能であるかを決定する。KEKが利用可能である場合、処理はブロック318へと進む。
【0037】
ブロック318にて、KEK要求がMEへと誘導され、そこでKEKが安全な記憶装置から取り出されてシムに返送される。そして、シムは、ユーザが既に企業システムに真のユーザであることを証明していることを決定し、ユーザログインプロンプトを差し止め、処理を単にシングルサインオンを要求する状態にする。
【0038】
決定ブロック316に話を戻し、KEKが利用可能でないと決定された場合、ユーザログインプロンプトは差し止められず、OSユーザ認証処理が通常通り進められる(ブロック320)。
【0039】
OSは、企業サーバ上のリソース又はサービスへのアクセスを必要とするとき、この場合には、ローカルなKEKを用いて、適切な企業サーバに専用のチケットを取得することができる。このチケットは、OSと企業サーバとの間に安全な通信チャネルを構築するために使用され得る。一実施形態において、TLSプロトコルが用いられ、TLSセッションが取り決められ得る。
【0040】
図4は、本発明の一実施形態に従った、1つ以上の企業サーバからのリソース又はサービスへのアクセスを可能にする典型的な方法を示すフロー図400である。本発明は、フロー図400に関して説明される実施形態に限定されるものではなく、ここでの教示を受けた当業者に明らかになるように、他の機能フロー図も本発明の範囲内にある。処理はブロック402で開始し、直ちにブロック404へと進む。
【0041】
ブロック404にて、ユーザが企業システムサービス又はリソースへの認証を要求するとき、その要求がMEに向けられる。そして、処理はブロック406へと進む。
【0042】
ブロック406にて、MEは、KEKを使用して、そのサービスを提供する企業サーバに専用のチケットを企業KDCから取得する。そして、処理はブロック408へと進む。
【0043】
ブロック408にて、MEは、そのサービス用のチケットを受信すると、そのチケットをOS(又は、OS空間のアプリケーション)に提供する。一実施形態において、このチケットはこのチケット内に埋め込まれたキーを含んでいてもよい。そして、処理はブロック410へと進む。
【0044】
ブロック410にて、OSはチケットを使用して、企業サーバとPCとの間に安全な通信チャネルを構築し得る。一実施形態において、TLSプロトコルが用いられ、PCと該サーバとの間でのTLSセッションが取り決められ得る。
【0045】
本発明の実施形態の特定の態様は、ハードウェア、ソフトウェア、又はそれらの組み合わせを用いて実装され、1つ以上のコンピュータプラットフォーム又はその他の処理システムにて実現され得る。実際、一実施形態において、方法は、例えば移動式あるいは静止型のコンピュータ、携帯情報端末(PDA)、セットトップボックス、セル式電話及びポケットベル等のプログラム可能機械や、各々が少なくとも1つのプロセッサ、該少なくとも1つのプロセッサによって読み取り可能な記憶媒体(揮発性及び不揮発性のメモリ及び/又は記憶素子を含む)、少なくとも1つの入力装置、及び1つ以上の出力装置を含むその他の電子機器の上で実行されるプログラムにて実装され得る。入力装置を用いて入力されたデータにプログラムコードが適用され、記述された機能が実行され、出力情報が生成される。出力情報は1つ以上の出力装置に与えられ得る。当業者に認識されるように、本発明の実施形態は、マルチプロセッサシステム、ミニコンピュータ及びメインフレームコンピュータ等を含む様々なコンピュータプラットフォーム構成を用いて実施され得る。
【0046】
各プログラムは、処理システムと通信するよう、ハイレベル手続き型プログラミング言語又はオブジェクト指向プログラミング言語にて実現され得る。しかしながら、プログラムは、必要に応じて、アセンブリ言語又は機械語にて実現されてもよい。何れにしても、言語はコンパイルされ、あるいはインタープリタされ得る。
【0047】
プログラム命令は、該命令でプログラムされた汎用あるいは専用の処理システムに、ここで説明した方法を実行させるように用いられ得る。代替的に、方法は、当該方法を実行する配線論理を含んだ具体的なハードウェア要素によって、あるいはプログラムされたコンピュータ要素と特別注文のハードウェア要素との組み合わせによって実行されてもよい。ここで説明した方法は、当該方法を実行するように処理システム又はその他の電子機器をプログラムするために使用され得る命令を格納した機械読み取り可能媒体を含むコンピュータプログラム製品として提供されてもよい。ここで用いた“機械読み取り可能媒体”又は“機械アクセス可能媒体”という用語は、機械による実行のために命令シーケンスを格納あるいは符号化することが可能で、ここで説明した方法の何れか1つを機械に実行させる如何なる媒体をも含む。従って、“機械読み取り可能媒体”及び“機械アクセス可能媒体”という用語は、以下に限られないが、半導体メモリ、光ディスク及び磁気ディスクなどを含む。また、アクションを起こし、あるいは結果を引き起こすものとして、一形態又は別の一形態(例えば、プログラム、プロシージャ、プロセス、アプリケーション、モジュール、及びロジック等)でソフトウェアを語ることは技術的に一般的である。このような表現は単に、プロセッサにアクションを行わせたり結果を生成させたりする処理システムによるソフトウェアの実行を短く述べるものである。
【0048】
以上にて本発明の様々な実施形態を説明したが、理解されるように、これらの実施形態は、限定ではなく、単に例として説明したものである。当業者に理解されるように、これらの実施形態には、添付の請求項にて規定される本発明の主旨及び範囲を逸脱することなく、形態的で詳細な様々な変更が為され得る。故に、本発明の広さ及び範囲は、上述の例示的な実施形態の何れによっても限定されるべきでなく、以下の請求項及びそれに均等なものに従って定められるべきである。
【符号の説明】
【0049】
100 コンピュータプラットフォーム
102 プロセッサ
104 システムメモリ
106 チップセット
108 ダイレクトメディアインタフェース
110 マネージャビリティエンジン(ME)
112 暗号サービスブロック(CSB)
114 仮想化エンジン(VE)
116 SATAコントローラ
118 SATA装置
120 不揮発性メモリコントローラ
122 NANDフラッシュ
124 ネットワークコントローラ
125 ネットワーク
126 企業サービス
128 APIバス
130 フラッシュメモリ
132 チップセットファームウェア
134 ネットワークコントローラファームウェア
136 BIOSファームウェア
200 システム
202 CPU
204 BIOS
206 起動前認証モジュール(PBAM)
208 オペレーティングシステム(OS)
210 信用証明マネジャ
212 ME共通サービス
214 DT2モジュール
215 デバイス・ラップ・キー(DWK)
216 共通認証モジュール(ケルベロスクライアント)
217 キー暗号キー(KEK)
220 企業システム
222 キー配布センター(KDC)
224 ディレクトリ
226 企業サーバ
【特許請求の範囲】
【請求項1】
コンピュータプラットフォームのマネージャビリティエンジンを用いた安全なアクセス方法であって:
前記マネージャビリティエンジンの共通認証モジュールにより、前記コンピュータプラットフォームのインバンドプロセッサとは異なる前記マネージャビリティエンジンのアウトオブバンドプロセッサを使用して、プリブート処理の間にユーザからの認証応答を受信する段階;
プロトコルを用いる段階であり、前記共通認証モジュールにより、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを使用して、前記マネージャビリティエンジンと前記コンピュータプラットフォームのネットワークコントローラとの間の、前記インバンドプロセッサから独立した、専用のアウトオブバンドインタフェースを介して、前記認証応答をキー配布センターに登録する、段階;及び
前記共通認証モジュールにより、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを使用し且つ前記インバンドプロセッサから独立して、前記専用のアウトオブバンドインタフェースを介して、キー暗号キーの形態でシングルサインオン信用保証を受信する段階;
を有し、
前記キー暗号キーは後に、企業サーバへの安全なアクセスを構築するために使用される信用保証を取得するために使用される、
方法。
【請求項2】
前記認証応答を受信する段階は、BIOSを介して前記コンピュータプラットフォームのプリブート認証モジュールから前記認証応答を受信することを有する、請求項1に記載の方法。
【請求項3】
前記プロトコルを用いる段階は、前記専用のアウトオブバンドインタフェースを用いて企業ネットワークへの接続を開設すること、及び前記キー配布センターからの前記キー暗号キーを要求することを有する、請求項1に記載の方法。
【請求項4】
前記プロトコルを用いる段階は、前記共通認証モジュールにより、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを使用して、ケルベロスプロトコルを用いて、前記専用のアウトオブバンドインタフェースを介して前記認証応答をケルベロスキー配布センターに登録することを有する、請求項1に記載の方法。
【請求項5】
前記プロトコルを用いる段階は、ケルベロス、SAML、カードスペース、リバティアライアンス、公開鍵、又はその他のID管理基盤を用いることを有する、請求項1に記載の方法。
【請求項6】
前記共通認証モジュールにより、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを使用して、前記シングルサインオン信用保証を安全に格納する段階、を更に有する請求項1に記載の方法。
【請求項7】
前記マネージャビリティエンジンにより、前記シングルサインオン信用保証を受信したことに応答して、前記コンピュータプラットフォームの暗号化されたディスクへのアクセスを可能にする段階、を更に有する請求項1に記載の方法。
【請求項8】
コンピュータプラットフォームのメインプロセッサとは別個のアウトオブバンドプロセッサを有するマネージャビリティエンジン(ME)を用いて企業サーバに安全にアクセスする方法であって:
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、プリブート認証モジュールからユーザ認証信用証明を受信する段階;
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、前記マネージャビリティエンジンと前記コンピュータプラットフォームのネットワークコントローラとの間の、前記メインプロセッサから独立した、専用のアウトオブバンドインタフェースを介して、キー配布センターからのキー暗号キーを要求する段階;
前記ユーザ認証信用証明が前記キー配布センターによって認証されたことに応答して、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、前記メインプロセッサから独立して、前記専用のアウトオブバンドインタフェースを介して、前記キー配布センターからの前記キー暗号キーを受信する段階;
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを用いて、前記キー暗号キーを安全に格納する段階;
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、BIOSがオペレーティングシステムの起動を進めることを可能にする段階;
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、オペレーティングシステムログイン処理を中断するために使用されるシムから、前記キー暗号キーを求める要求を受信する段階;
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、前記キー暗号キーを安全な記憶装置から取り出す段階;
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、前記キー暗号キーを前記オペレーティングシステムに送信する段階であり、前記シムが、前記キー暗号キーの受信を受けて、オペレーティングシステムログインプロンプトを差し止め、前記オペレーティングシステムの起動を完了させる段階;
を有し、
前記オペレーティングシステムが前記企業サーバへのアクセスを要求したことに応答して、前記オペレーティングシステムは、前記企業サーバに専用の入場チケットを取得するために、前記マネージャビリティエンジンから前記キー暗号キーを取り出す;
方法。
【請求項9】
前記ユーザ認証信用証明を受信する段階は、BIOSを介して前記プリブート認証モジュールからユーザ認証信用証明を受信することを有する、請求項8に記載の方法。
【請求項10】
前記ユーザ認証信用証明を受信する段階は、前記プリブート認証モジュールにより、ユーザに、該ユーザを認証するために、該ユーザが前記ユーザ認証信用証明を入力するよう要求する認証チャレンジを提供することを有する、請求項8に記載の方法。
【請求項11】
前記ユーザ認証信用証明はユーザID及びパスワードを有する、請求項8に記載の方法。
【請求項12】
前記キー配布センターからの前記キー暗号キーを要求する段階は、前記専用のアウトオブバンドインタフェースを用いて企業ネットワークへの接続を開設すること、及び前記キー配布センターからの前記キー暗号キーを要求することを有する、請求項8に記載の方法。
【請求項13】
前記キー配布センターは、前記ユーザが前記企業ネットワークに既知のエンティティであることを、前記ユーザ認証信用証明を用いてディレクトリに問い合わせて前記ユーザの権限を確認することによって検証する、請求項12に記載の方法。
【請求項14】
前記キー暗号キーが安全に格納されたことに応答して、前記キー暗号キーは、前記マネージャビリティエンジンの制御下に置かれ、且つ企業サーバへのサービス特定入場チケットを取得する権限を付与される、請求項8に記載の方法。
【請求項15】
前記キー暗号キーが安全に格納されたことに応答して、前記ユーザは、企業シングルサインオン信用証明を用いて前記マネージャビリティエンジンにログオンされる、請求項8に記載の方法。
【請求項16】
前記オペレーティングシステムを起動することは、前記オペレーティングシステムに対して前記ユーザが真のユーザであることを証明するためにユーザ認証モジュールを呼び出すことを有する、請求項8に記載の方法。
【請求項17】
前記オペレーティングシステムログインプロンプトを差し止めることは、前記コンピュータプラットフォームがシングルサインオンのみを要求することを可能にする、請求項8に記載の方法。
【請求項18】
複数の機械アクセス可能命令を有する記憶媒体であって、前記命令がプロセッサによって実行されるときに、前記プロセッサに請求項1乃至17の何れか一項に記載の方法を実行させる、記憶媒体。
【請求項19】
インバンドプロセッサ;
ネットワークコントローラ;
前記インバンドプロセッサに結合されたマネージャビリティエンジン;並びに
前記ネットワークコントローラと前記マネージャビリティエンジンとの間に結合された、前記インバンドプロセッサから独立した、専用のアウトオブバンドインタフェース;
を有し、
前記マネージャビリティエンジンは:
前記インバンドプロセッサに結合とは別個のアウトオブバンドプロセッサ;
前記専用のアウトオブバンドインタフェースを用いたアウトオブバンドネットワーク通信能力を提供する共通サービスモジュール;及び
共通認証モジュール;
を有し、
前記共通認証モジュールは:
前記アウトオブバンドプロセッサを使用して、プリブート処理の間にユーザからの認証応答を受信し;
前記アウトオブバンドプロセッサを使用して、プロトコルを用いて、前記専用のアウトオブバンドインタフェースを介して、前記認証応答をキー配布センターに登録し;且つ
前記アウトオブバンドプロセッサを使用し且つ前記インバンドプロセッサから独立して、前記専用のアウトオブバンドインタフェースを介して、キー暗号キーの形態でシングルサインオン信用保証を受信し、
前記マネージャビリティエンジンは後に、前記キー暗号キーを用いて、企業サーバへの安全なアクセスを構築するために使用される信用保証を取得する、
セキュアアクセスシステム。
【請求項20】
プリブート認証モジュールとBIOSとを更に有し、前記共通認証モジュールは、前記BIOSを介して前記プリブート認証モジュールから前記認証応答を受信する、請求項19に記載のシステム。
【請求項21】
前記共通認証モジュールは、(i)前記共通サービスモジュールを用いて前記専用のアウトオブバンドインタフェースを介した企業ネットワークへの接続を開設し、(ii)前記キー配布センターからの前記キー暗号キーを要求する、請求項19に記載のシステム。
【請求項22】
前記プロトコルはケルベロスプロトコルを有し、前記キー配布センターはケルベロスキー配布センターを有する、請求項19に記載のシステム。
【請求項23】
前記プロトコルは、ケルベロス、SAML、カードスペース、リバティアライアンス、公開鍵、又はその他のID管理基盤を有する、請求項19に記載のシステム。
【請求項24】
前記共通認証モジュールは更に、前記アウトオブバンドプロセッサを使用して、前記シングルサインオン信用保証を安全に格納する、請求項19に記載のシステム。
【請求項25】
暗号化されたディスクを更に有し、前記マネージャビリティエンジンは更に、前記シングルサインオン信用保証を受信したことに応答して、前記暗号化されたディスクへのアクセスを可能にする、請求項19に記載のシステム。
【請求項1】
コンピュータプラットフォームのマネージャビリティエンジンを用いた安全なアクセス方法であって:
前記マネージャビリティエンジンの共通認証モジュールにより、前記コンピュータプラットフォームのインバンドプロセッサとは異なる前記マネージャビリティエンジンのアウトオブバンドプロセッサを使用して、プリブート処理の間にユーザからの認証応答を受信する段階;
プロトコルを用いる段階であり、前記共通認証モジュールにより、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを使用して、前記マネージャビリティエンジンと前記コンピュータプラットフォームのネットワークコントローラとの間の、前記インバンドプロセッサから独立した、専用のアウトオブバンドインタフェースを介して、前記認証応答をキー配布センターに登録する、段階;及び
前記共通認証モジュールにより、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを使用し且つ前記インバンドプロセッサから独立して、前記専用のアウトオブバンドインタフェースを介して、キー暗号キーの形態でシングルサインオン信用保証を受信する段階;
を有し、
前記キー暗号キーは後に、企業サーバへの安全なアクセスを構築するために使用される信用保証を取得するために使用される、
方法。
【請求項2】
前記認証応答を受信する段階は、BIOSを介して前記コンピュータプラットフォームのプリブート認証モジュールから前記認証応答を受信することを有する、請求項1に記載の方法。
【請求項3】
前記プロトコルを用いる段階は、前記専用のアウトオブバンドインタフェースを用いて企業ネットワークへの接続を開設すること、及び前記キー配布センターからの前記キー暗号キーを要求することを有する、請求項1に記載の方法。
【請求項4】
前記プロトコルを用いる段階は、前記共通認証モジュールにより、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを使用して、ケルベロスプロトコルを用いて、前記専用のアウトオブバンドインタフェースを介して前記認証応答をケルベロスキー配布センターに登録することを有する、請求項1に記載の方法。
【請求項5】
前記プロトコルを用いる段階は、ケルベロス、SAML、カードスペース、リバティアライアンス、公開鍵、又はその他のID管理基盤を用いることを有する、請求項1に記載の方法。
【請求項6】
前記共通認証モジュールにより、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを使用して、前記シングルサインオン信用保証を安全に格納する段階、を更に有する請求項1に記載の方法。
【請求項7】
前記マネージャビリティエンジンにより、前記シングルサインオン信用保証を受信したことに応答して、前記コンピュータプラットフォームの暗号化されたディスクへのアクセスを可能にする段階、を更に有する請求項1に記載の方法。
【請求項8】
コンピュータプラットフォームのメインプロセッサとは別個のアウトオブバンドプロセッサを有するマネージャビリティエンジン(ME)を用いて企業サーバに安全にアクセスする方法であって:
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、プリブート認証モジュールからユーザ認証信用証明を受信する段階;
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、前記マネージャビリティエンジンと前記コンピュータプラットフォームのネットワークコントローラとの間の、前記メインプロセッサから独立した、専用のアウトオブバンドインタフェースを介して、キー配布センターからのキー暗号キーを要求する段階;
前記ユーザ認証信用証明が前記キー配布センターによって認証されたことに応答して、前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、前記メインプロセッサから独立して、前記専用のアウトオブバンドインタフェースを介して、前記キー配布センターからの前記キー暗号キーを受信する段階;
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサを用いて、前記キー暗号キーを安全に格納する段階;
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、BIOSがオペレーティングシステムの起動を進めることを可能にする段階;
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、オペレーティングシステムログイン処理を中断するために使用されるシムから、前記キー暗号キーを求める要求を受信する段階;
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、前記キー暗号キーを安全な記憶装置から取り出す段階;
前記マネージャビリティエンジンの前記アウトオブバンドプロセッサにより、前記キー暗号キーを前記オペレーティングシステムに送信する段階であり、前記シムが、前記キー暗号キーの受信を受けて、オペレーティングシステムログインプロンプトを差し止め、前記オペレーティングシステムの起動を完了させる段階;
を有し、
前記オペレーティングシステムが前記企業サーバへのアクセスを要求したことに応答して、前記オペレーティングシステムは、前記企業サーバに専用の入場チケットを取得するために、前記マネージャビリティエンジンから前記キー暗号キーを取り出す;
方法。
【請求項9】
前記ユーザ認証信用証明を受信する段階は、BIOSを介して前記プリブート認証モジュールからユーザ認証信用証明を受信することを有する、請求項8に記載の方法。
【請求項10】
前記ユーザ認証信用証明を受信する段階は、前記プリブート認証モジュールにより、ユーザに、該ユーザを認証するために、該ユーザが前記ユーザ認証信用証明を入力するよう要求する認証チャレンジを提供することを有する、請求項8に記載の方法。
【請求項11】
前記ユーザ認証信用証明はユーザID及びパスワードを有する、請求項8に記載の方法。
【請求項12】
前記キー配布センターからの前記キー暗号キーを要求する段階は、前記専用のアウトオブバンドインタフェースを用いて企業ネットワークへの接続を開設すること、及び前記キー配布センターからの前記キー暗号キーを要求することを有する、請求項8に記載の方法。
【請求項13】
前記キー配布センターは、前記ユーザが前記企業ネットワークに既知のエンティティであることを、前記ユーザ認証信用証明を用いてディレクトリに問い合わせて前記ユーザの権限を確認することによって検証する、請求項12に記載の方法。
【請求項14】
前記キー暗号キーが安全に格納されたことに応答して、前記キー暗号キーは、前記マネージャビリティエンジンの制御下に置かれ、且つ企業サーバへのサービス特定入場チケットを取得する権限を付与される、請求項8に記載の方法。
【請求項15】
前記キー暗号キーが安全に格納されたことに応答して、前記ユーザは、企業シングルサインオン信用証明を用いて前記マネージャビリティエンジンにログオンされる、請求項8に記載の方法。
【請求項16】
前記オペレーティングシステムを起動することは、前記オペレーティングシステムに対して前記ユーザが真のユーザであることを証明するためにユーザ認証モジュールを呼び出すことを有する、請求項8に記載の方法。
【請求項17】
前記オペレーティングシステムログインプロンプトを差し止めることは、前記コンピュータプラットフォームがシングルサインオンのみを要求することを可能にする、請求項8に記載の方法。
【請求項18】
複数の機械アクセス可能命令を有する記憶媒体であって、前記命令がプロセッサによって実行されるときに、前記プロセッサに請求項1乃至17の何れか一項に記載の方法を実行させる、記憶媒体。
【請求項19】
インバンドプロセッサ;
ネットワークコントローラ;
前記インバンドプロセッサに結合されたマネージャビリティエンジン;並びに
前記ネットワークコントローラと前記マネージャビリティエンジンとの間に結合された、前記インバンドプロセッサから独立した、専用のアウトオブバンドインタフェース;
を有し、
前記マネージャビリティエンジンは:
前記インバンドプロセッサに結合とは別個のアウトオブバンドプロセッサ;
前記専用のアウトオブバンドインタフェースを用いたアウトオブバンドネットワーク通信能力を提供する共通サービスモジュール;及び
共通認証モジュール;
を有し、
前記共通認証モジュールは:
前記アウトオブバンドプロセッサを使用して、プリブート処理の間にユーザからの認証応答を受信し;
前記アウトオブバンドプロセッサを使用して、プロトコルを用いて、前記専用のアウトオブバンドインタフェースを介して、前記認証応答をキー配布センターに登録し;且つ
前記アウトオブバンドプロセッサを使用し且つ前記インバンドプロセッサから独立して、前記専用のアウトオブバンドインタフェースを介して、キー暗号キーの形態でシングルサインオン信用保証を受信し、
前記マネージャビリティエンジンは後に、前記キー暗号キーを用いて、企業サーバへの安全なアクセスを構築するために使用される信用保証を取得する、
セキュアアクセスシステム。
【請求項20】
プリブート認証モジュールとBIOSとを更に有し、前記共通認証モジュールは、前記BIOSを介して前記プリブート認証モジュールから前記認証応答を受信する、請求項19に記載のシステム。
【請求項21】
前記共通認証モジュールは、(i)前記共通サービスモジュールを用いて前記専用のアウトオブバンドインタフェースを介した企業ネットワークへの接続を開設し、(ii)前記キー配布センターからの前記キー暗号キーを要求する、請求項19に記載のシステム。
【請求項22】
前記プロトコルはケルベロスプロトコルを有し、前記キー配布センターはケルベロスキー配布センターを有する、請求項19に記載のシステム。
【請求項23】
前記プロトコルは、ケルベロス、SAML、カードスペース、リバティアライアンス、公開鍵、又はその他のID管理基盤を有する、請求項19に記載のシステム。
【請求項24】
前記共通認証モジュールは更に、前記アウトオブバンドプロセッサを使用して、前記シングルサインオン信用保証を安全に格納する、請求項19に記載のシステム。
【請求項25】
暗号化されたディスクを更に有し、前記マネージャビリティエンジンは更に、前記シングルサインオン信用保証を受信したことに応答して、前記暗号化されたディスクへのアクセスを可能にする、請求項19に記載のシステム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2013−84312(P2013−84312A)
【公開日】平成25年5月9日(2013.5.9)
【国際特許分類】
【出願番号】特願2013−18350(P2013−18350)
【出願日】平成25年2月1日(2013.2.1)
【分割の表示】特願2009−290685(P2009−290685)の分割
【原出願日】平成21年12月22日(2009.12.22)
【出願人】(593096712)インテル コーポレイション (931)
【Fターム(参考)】
【公開日】平成25年5月9日(2013.5.9)
【国際特許分類】
【出願日】平成25年2月1日(2013.2.1)
【分割の表示】特願2009−290685(P2009−290685)の分割
【原出願日】平成21年12月22日(2009.12.22)
【出願人】(593096712)インテル コーポレイション (931)
【Fターム(参考)】
[ Back to top ]