[发明专利]对平台资源的域认证控制

说明书

版权说明

本申请所包含内容的是受版权保护的内容。版权所有者并不反对任何人对该专利公开内容的复制（当该内容出现在专利商标局的专利文件或记录中时），但在无论任何其他方面都保留针对版权的所有权利。

技术领域

概括地说，本申请公开内容涉及控制对计算平台的资源的访问。

背景技术

企业数据正变得越来越具有移动性、分布性且丰富性。通常，数据是从物理安全的设施中取出的，以有助于适应行驶中的或具有灵活工作习惯的工作者的需要。由于企业集团将数据带到其它城市、州或国家，这些数据还在地理上具有分布性。在产生数据的速率方面以及在可呈现数据的多媒体格式方面，数据都具有丰富性。所有这些因素促使新型存储媒质、高带宽子系统以及网络连接存储（它们要求数据在传输时以及在静态情形下均得到保护）的演进发展。此外，计算平台也正在变得更具移动性、更小巧和轻便。用户更可能会携带着多个计算设备。所有这些因素都提高了丢失及被窃的可能性，而这又转换成增加的资金开销以及安全风险（归因于用户密码字典式破解的可能性增大）。

静态数据加密技术禁止对存储在丢失或被窃的存储设备上的数据进行未授权使用，从而避免这些数据在互联网或其它网络上扩散。DAR加密用作一种自动且快速的响应机制，用以防止由于存储设备不可避免地丢失和被窃而使存储在这些设备上的数据丢失和被窃。不过，DAR加密技术通常是使用单个密码控制对加密密钥的访问来实现的，该加密密钥可用于解密存储在经加密的硬盘驱动器上的数据。类似地，通常使用单个密码来保护硬盘驱动器。能够猜测出用户密码的窃贼能够避开这些常用保护机制。

附图说明

图1是依据本发明的一个实施例的、配置为提供对平台资源的域认证控制的系统的框图。

图2是示出了依据本发明的一个实施例，响应于对用户和/或平台凭证的认证而对经加密的存储设备进行解锁的流程图。

图3是示出了依据本发明的一个实施例，响应于对平台的认证而对供匿名用户使用的资源进行解锁的流程图。

图4是示出了依据本发明的一个实施例，响应于对平台和用户二者的认证而对授权给非匿名用户使用的资源进行解锁的流程图。

图5是依据本发明的一个实施例的、配置为提供对平台资源的域认证控制的系统的框图。

图6示出了依据本发明的一个实施例的、用于实现安全分区以提供对平台资源的域认证控制的虚拟机环境。

具体实施方式

本发明的实施例可以提供用于执行对平台资源的域认证控制的方法、装置、系统以及计算机程序产品。受平台控制的资源受益于由目录服务集中管理的较精细粒度访问控制规则。通过要求对用户访问平台资源（该平台资源包括硬盘驱动器、闪存存储器、传感器、网络控制器以及功率状态控制器）进行授权，可以统一地应用安全策略。

在一个实施例中，一种方法包括：在为平台加载操作系统之前，获取所述平台的域凭证；使用远离所述平台的域控制器对所述域凭证进行认证；识别所述域凭证有权访问的所述平台的资源；在为所述平台加载所述操作系统之前，使用所述域凭证对所述平台的所述资源进行解锁。所述域凭证可包括针对所述平台的用户的凭证和/或针对所述平台的安全分区的凭证。使用所述域凭证对所述资源进行解锁可包括：使用所述域凭证来获取用于对存储在所述资源上的数据进行解密的密钥；使用所述密钥对存储在所述资源上的所述数据进行解密。识别所述域凭证有权访问的所述平台的所述资源可包括：检查由所述域控制器维持的用于所述平台的访问策略。对所述平台的所述资源进行解锁可包括：在所述域控制器与所述资源之间建立安全通信会话。对所述资源进行解锁可包括向所述资源供电。所述方法还可包括：从所述域控制器获取解锁令牌，其中，对所述资源进行解锁包括：使用所述解锁令牌对所述资源进行解锁。所述资源可包括ATA存储设备和芯片组控制资源中的至少一个。本申请还提供了一种系统和一种计算机程序产品，它们具有用于实现所述方法的指令。

说明书中对“一个实施例”或“实施例”的提及表示：结合该实施例而描述的特定特征、结构或特性可包括在本发明的至少一个实施例中。因此，在整个说明书的各个位置中出现的短语“在一个实施例中”、“依据一个实施例”等并不一定全部指代相同的实施例。