[发明专利]远程控制台模式下安全的用户认证的装置和方法

说明书

本发明公开了一种用于在将更改应用于信息处理装置的设置之前认证信息处理装置的用户的方法。用户是发起更改的一方。该方法包括确定用户是否被判断为安全的步骤；如果用户被判断为安全，则在应用更改之前为更改创建标志；如果找到该更改的标志，则将该更改应用于信息处理装置的设置。本发明提供了一种简单而有效的解决方案，用于认证用户并在更改信息处理装置的设置时为他们提供不同的访问权限/角色。

技术领域

本发明涉及计算设备的远程访问，尤其涉及具有更改计算设备的设置所需的认证的计算设备上的远程操作。

背景技术

如今，一些信息处理装置提供本地操作模式和远程(虚拟)操作模式。例如，一般的服务器具有本地控制台(显示器)和本地键盘/鼠标，并且还具有支持远程控制台和键盘/鼠标的远程KVM(基于内核的虚拟机)。此外，现代服务器提供远程控制功能，例如远程查看具有图形分辨率的视频和使用虚拟键盘/鼠标进行远程访问，并且一些服务器支持从多个客户端同时访问远程KVM。

另一方面，诸如服务器的信息处理装置在信息处理装置的固件中具有安全设置，诸如启用或禁用板载安全芯片(例如，可信平台模块-TPM)、启用和禁用安全启动等。对于支持信息处理装置并完全控制本地控制台甚至信息处理装置硬件的用户，他们应该具有完全访问权限。然而，由于尝试使用远程控制台和远程键盘/鼠标来操作信息处理装置的远程用户可能进行的访问，这带来了安全风险，因为并非所有远程用户都应该被允许更改信息处理装置中的每个设置，特别是安全设置。一些具有远程KVM访问权限的用户甚至可能会秘密利用其他人的声明来更改安全设置。

发明内容

因此，需要控制远程用户对信息处理装置的至少一些设置的访问。

在一个方面，本发明提供了一种用于在将更改应用于信息处理装置的设置之前认证信息处理装置的用户的方法。用户是发起更改的一方。该方法包含确定用户是否安全的步骤；如果用户安全，则在应用更改之前为更改创建标志；如果找到该更改的标志，则将该更改应用于信息处理装置的设置。

在另一方面，本发明提供了一种信息处理装置，其包括主处理器和安装有处理器的主板。如果用户安全，则固件适于在应用更改之前创建用于更改的标志。如果能够找到用于更改的标志，则固件还适于随后将更改应用于信息处理装置的设置。

因此，本发明为远程用户更改信息处理装置的关键安全设置提供了简单但安全的解决方案。所有操作对远程用户都是透明的，并且一旦他们开始在远程控制台上操作，就可以根据用户可能具有的访问权限/角色自动地向用户提供适当的虚拟用户输入设备。然后，具有足够权限的用户可以更改信息处理装置的安全设置，而没有足够权限的用户只能更改非安全设置而不能更改安全设置。因此，这种解决方案为远程用户提供了良好的体验。

另外，本发明提供的解决方案简单有效，因为不需要特定硬件来区分安全用户和非安全用户。传统上，一些实现类似区分的技术需要特定的硬件电路来设置芯片的物理跳线(例如，通过拉高引脚处的电压)，然后可以根据跳线的状态调整安全或非安全设置。但是，依赖硬件会使整个机制非常复杂，并且与现代操作系统的安全测试要求不兼容。相比之下，本发明提供的解决方案不需要特殊硬件，因为它主要基于软件模块，仅需要诸如UEFI的固件和诸如BMC的服务处理器。因此，本发明提供的解决方案可以普遍地用于不同的操作系统，甚至可以用于来自不同供应商的硬件。

附图说明

从以下优选实施例的描述中，本发明的前述和进一步的特征将变得显而易见，所述优选实施例仅通过示例的方式结合附图提供，其中：

图1a是具有本地控制台和本地用户输入设备的服务器，以及远程控制台和远程用户输入设备的图示。

图1b示出了图1a的服务器中的主板和主板上的组件的一部分的框图。

图2示出了根据本发明的另一实施例的与启用UEFI的键盘驱动程序连接的服务器的BMC和向用户提供设置屏幕的BMC的示意图。