相关美国专利申请的交叉引用
本申请要求于2014年12月12日提交的题为“technologiesforverifyingauthorizedoperationofservers(用于验证服务器的授权操作的技术)”的美国发明专利申请序列号14/568,747的优先权。
背景技术:
利用数据中心并且具有与数据中心的服务器相关联的地理位置约束的公司在追踪服务器的位置方面遇到了重大挑战。例如,将特定服务器移至不同位置和/或将敏感信息发布到特定位置(例如,原产国)以外可能违反国内出口法律。也就是,服务器可能具有在法律上或在其他方面要求被维护在原产国(例如,美国)内的安全或受控数据。在其他情形中,公司可能要求所有服务器维护在特定地理区域内,以防止可能使用探针、双端口储存器、和/或其他机制来从特定服务器窃取敏感信息的敌方数据中心的启动。
这样的公司经常难以确定处理所述公司的数据的独立服务器在数据中心中的寄主位置、为了保护所述数据所采取的各种数据安全措施、和/或特定数据中心架构中的数据安全措施的效力。进一步,窃取者可能从数据中心窃取一个或多个服务器。尽管存在各种机制来恢复服务器本身,但防止从被窃取的服务器进行数据访问是一项严重的挑战。此外,存储在服务器上的数据往往比服务器本身更有价值。
附图说明
在附图中通过示例的方式而非限制性的方式展示了在此所描述的概念。为了说明的简单和清晰起见,在附图中所展示的要素不一定按比例绘制。在认为适当的情况下,在附图当中重复参考标号以表示相应或相似的要素。
图1是用于验证服务器的授权操作的系统的至少一个实施例的简化框图;
图2是图1的系统的服务器的双头标识设备的至少一个实施例的简化框图;
图3是图1的系统的管理服务器的环境的至少一个实施例的简化框图;
图4是图1的系统的服务器的任意环境的至少一个实施例的简化框图;
图5是用于通过图1的系统的管理服务器来验证服务器的授权操作的方法的至少一个实施例的简化流程图;以及
图6是用于通过图1的系统的服务器来确认授权操作的方法的至少一个实施例的简化流程图。
具体实施方式
虽然本公开的概念易于经历各种修改和替代形式,但是在附图中已经通过示例的方式示出了其特定实施例并且将在此对其进行详细描述。然而,应当理解的是,并不旨在将本公开的概念限制于所公开的特定形式,而相反,意图是覆盖与本公开和所附权利要求书一致的所有修改、等效物和替代物。
在说明书中提到的“一个实施例”、“实施例”、“说明性实施例”等指示了所描述的实施例可以包括具体特征、结构或特性,但每一个实施例可能或者可能不一定包括所述具体特征、结构或特性。而且,此类短语不一定涉及同一实施例。此外,当关于实施例而描述了特定特征、结构或特性时,应当认为的是,无论是否进行了明确描述,结合其他实施例来实现这种特征、结构或特性都在本领域的技术人员的知识内。另外,应理解的是,包括在采用“至少一个a、b和c”形式的列表中的项可意指(a);(b);(c);(a和b);(b和c);(a和c);或(a、b和c)。类似地,采用“a、b或c中的至少一者”形式列出的项可意指(a);(b);(c);(a和b);(b和c);(a和c);或(a、b和c)。
在一些情况下,可以在硬件、固件、软件或其任何组合中实现所公开的实施例。所公开的实施例还可以被实现为由一种或多种瞬态或非瞬态机器可读(例如,计算机可读)存储介质所携带或存储在其上的指令,所述指令可以由一个或多个处理器读取和执行。机器可读存储介质可以被具体化为任何存储设备、机制、或用于存储或传输采用机器可读形式的信息的其他物理结构(例如,易失性或非易失性存储器、介质盘或其他介质设备)。
在附图中,一些结构特征或方法特征可能以特定安排和/或顺序示出。然而,应理解的是,可以不需要这种特定安排和/或顺序。相反,在一些实施例中,可以采用与在说明性附图中所示出的方式和/或顺序不同的方式和/或顺序来安排这种特征。另外,在具体的图中包括结构特征或方法特征并不意味着暗示在所有实施例中都需要这种特征,并且在一些实施例中,可以不包括这种特征或者这种特征可以与其他特征组合。
现在参照图1,一种用于验证一个或多个服务器的授权操作的系统100说明性地包括管理服务器102、网络104、以及服务器106。虽然图1中说明性地仅示出了一个管理服务器102、一个网络104、以及一个服务器106,但在其他实施例中,系统100可以包括任意数量的管理服务器102、网络104、和/或服务器106。例如,在一些实施例中,管理服务器102可以查询多个服务器106以便基于服务器身份、上下文(context)(例如,地理位置)、安全策略、和/或在此描述的其他信息来对这些服务器106进行认证。在一些实施例中,这些服务器106可以属于特定的数据中心或以其他方式与之相关联(例如,局部的或分布式的)。
如下文详细描述的,在说明性实施例中,管理服务器102与服务器106的双头标识设备直接进行无线通信(例如,经由射频(rf)通信),以便确定服务器106的身份以及服务器106的上下文(例如,服务器106的地理位置)并且基于所述信息以及服务器106的安全策略来判定服务器106是否被授权启动/操作。在一些实施例中,如下文描述的,服务器106的管理引擎借助于在服务器106的双头标识设备与管理引擎之间建立的有线通信连接而读取来自所述双头标识设备的存储器的查询。在此类实施例中,管理引擎进一步证明标识数据的完整性、上下文数据、安全策略和/或有待传送至管理服务器102的其他数据,并且将针对所述查询的响应存储在双头标识设备的存储器中以供管理服务器102(例如,经由rf通信)后续访问。
管理服务器102可以具体化为能够执行在本文中所描述的功能的任何类型的计算设备。例如,管理服务器102可以具体化为台式计算机、服务器、路由器、交换机、膝上型计算机、平板计算机、笔记本、上网本、超级笔记本tm、蜂窝电话、智能电话、可穿戴计算设备、个人数字助理、移动互联网设备、混合设备、网关、和/或任何其他计算/通信设备。如图1所示,说明性管理服务器102包括处理器110、输入/输出(“i/o”)子系统112、存储器114、数据存储设备116、和通信电路系统118。此外,如所示,通信电路系统118包括双头标识设备(dhid)读取器120。当然,在其他实施例中,管理服务器102可以包括其他或附加的部件,诸如在典型的计算设备中常见的那些部件(例如,各种输入/输出设备和/或其他部件)。另外,在一些实施例中,说明性部件中的一个或多个说明性部件可以结合在另一部件中,或以其他方式形成其一部分。例如,在一些实施例中,存储器114或其一部分可以结合在处理器110中。
处理器110可以被具体化为能够执行本文中所描述的功能的任何类型的处理器。例如,处理器110可以被具体化为(多个)单核或多核处理器、数字信号处理器、微控制器、或者其他处理器或处理/控制电路。类似地,存储器114可以被具体化为能够执行本文中所描述的功能的任何类型的易失性或非易失性存储器或数据储存设备。在操作中,存储器114可以存储在管理服务器102的操作期间所使用的各种数据和软件,诸如,操作系统、应用、程序、库和驱动程序。存储器114经由i/o子系统112通信地耦合至处理器110,所述i/o子系统112可以具体化为用于促进与处理器110、存储器114和管理服务器102的其他部件之间的输入/输出操作的电路系统和/或部件。例如,i/o子系统112可以被具体化为或以其他方式包括用于促进输入/输出操作的存储器控制器中枢、输入/输出控制中枢、固件设备、通信链路(即,点到点链路、总线链路、线、电缆、光导、印刷电路板迹线等)和/或其他部件和子系统。在一些实施例中,i/o子系统112可以形成片上系统(soc)的一部分,并且可与处理器110、存储器114以及管理服务器102的其他部件一起结合在单个集成电路芯片上。
数据存储设备116可以被具体化为被配置成用于对数据进行短期或长期存储的任何类型的一种或多种设备,如例如,存储器设备和电路、存储器卡、硬盘驱动、固态驱动或其他数据存储设备。数据存储设备116和/或存储器114可以存储在管理服务器102的操作过程中对于执行在此描述的功能有用的各种数据。
通信电路系统118可以具体化为能够通过网络104(例如,服务器106)和/或其他网络或通信链路在管理服务器102与其他远程设备之间实现通信的任何通信电路、设备或其集合。通信电路系统118可以被配置成用于使用任何一种或多种通信技术(例如,无线或有线通信)以及相关联的协议(例如,以太网、
网络104可以具体化为能够促进管理服务器102与远程设备(例如,服务器106)之间的通信的任何类型的通信网络。这样,网络104可以包括一个或多个网络、路由器、交换机、计算机、和/或其他介入设备。例如,网络104可以具体化为或者以其他方式包括一个或多个蜂窝网络、电话网络、局域网或广域网、公共可用全球网络(例如,互联网)、自组织网络或其任何组合。
每个服务器106可以具体化为能够执行在此所描述的功能的任何计算设备。例如,服务器106可以具体化为台式计算机、服务器、路由器、交换机、膝上型计算机、平板计算机、笔记本、上网本、超级笔记本tm、蜂窝电话、智能电话、可穿戴计算设备、个人数字助理、移动互联网设备、混合设备、网关、和/或任何其他计算/通信设备。如图1所示,服务器106包括处理器150、i/o子系统152、存储器154、数据存储设备156、通信电路系统158、管理引擎160、以及双头标识设备(dhid)162。应理解的是,在一些实施例中,服务器106的一个或多个部件(例如,处理器150、i/o子系统152、存储器154、数据存储设备156、和/或通信电路系统158)可以类似于上文描述的管理服务器102的对应部件。
管理引擎160可以被具体化为能够执行本文中所描述的功能的任何硬件部件或电路系统。例如,在一些实施例中,管理引擎160可以具体化为融合式安全管理引擎(csme)、协处理器(例如,安全协处理器)、可信平台模块(tpm)、或带外处理器。如下文讨论的,在一些实施例中,管理引擎160可以确定服务器106的上下文、证明不同数据(例如,标识服务器106的标识数据)的完整性、并且与dhid162进行通信以交换数据。如图1所示,在说明性实施例中,管理引擎160借助于有线通信电路电耦合至dhid162。在其他些实施例中,管理引擎160可以以其他方式与dhid162和/或远程设备建立带外通信链路。
dhid162可以被具体化为能够执行本文中所描述的功能的任何硬件部件或电路系统。具体地,在说明性实施例中,dhid162包括能够使dhid162使用有线和无线技术两者进行通信的双通信模式。例如,dhid162可以被配置成用于进行电通信和无线通信两者(例如,经由rf通信)。在一些实施例中,dhid162可以在管理服务器102被供电时进行电通信、并且与管理服务器102的电力状态无关地进行无线通信。例如,如上文描述的,管理引擎160可以与dhid162进行电通信。在一些实施例中,dhid162可以具体化为或者以其他方式包括rfid设备(例如,包括非易失性ram和/或其他存储器)。例如,在一些实施例中,dhid162可以具体化为无线凭证交换(wce)
现在参照图2,说明性地示出了dhid162的实施例。所述说明性dhid162包括电通信电路系统202、rf通信电路系统204、以及存储器206。dhid162的电通信电路系统202可以具体化为能够(例如,经由点到点链路、总线链路、线、电缆、光导、印刷电路板迹线等)在dhid162与服务器106的一个或多个其他部件(诸如管理引擎160)之间实现电通信的任何通信电路系统、设备、或其集合。在一些实施例中,可以通过将dhid162的引脚电耦合至服务器106的通信总线(例如,耦合至集成电路间(i2c)总线)来建立电通信。
rf通信电路系统204可以具体化为能够在dhid162与服务器106和/或远程计算设备(例如,管理服务器102)的一个或多个其他部件之间实现rf通信的任何通信电路系统、设备、或其集合。取决于具体实施例,rf通信电路系统204可以使得dhid162能够通过任何一组相应的射频(例如,经由近场通信(nfc)、低频、高频、超高频等)来进行通信。在其他实施例中,dhid162可以被配置成用于使用其他无线通信技术与管理服务器102和/或服务器106的其他部件进行通信。例如,dhid162可以包括作为rf通信电路204的补充或替换的无线通信电路系统,所述rf通信电路系统用于使用不同于rf通信的一种或多种无线通信技术来在dhid162与管理服务器102之间实现通信。例如,在一些实施例中,所述无线通信电路系统可以允许dhid162通过
dhid162的存储器206可以类似于管理服务器102的存储器114。这样,存储器206可以具体化为能够执行在本文中所描述的功能的任何类型的易失性或非易失性存储器或数据存储设备。在说明性实施例中,存储器206包括非易失存储器的一部分以便存储如在此描述的服务器106的标识数据208和/或安全策略210。此外,在一些实施例中,安全策略210可以包括标识与服务器106的操作相关联的一个或多个约束212的约束数据。在说明性实施例中,所述标识数据208标识(例如,唯一地)服务器106。应理解的是,标识数据208标识服务器106的方式可以取决于具体实施例而改变。例如,在一些实施例中,标识数据208可以标识服务器106的特定制造商、型号、序列号、和/或其他特征。进一步,在一些实施例中,标识数据208可以包括dhid162的唯一序列号、条形码、和/或其他类型的签名。
在说明性实施例中,dhid162的存储器206可以被部分地或完全地“锁定”,例如以便防止被不同的实体访问、修改和/或删除。例如,在一些实施例中,存储器206可以是只读的,而在其他实施例中,存储器206可以具有部分或完全的读写能力。应理解的是,这些能力可以用于将存储器206的安全分区设定成在配设之后是只读的并且被锁定以防止恶意软件篡改。如在此描述的,在说明性实施例中,服务器106的管理引擎160和/或管理服务器104可以配设有适当的证书(例如,密钥、签名等)以便解锁并读取/写入被存储在存储器206的安全分区中的数据。
安全策略210标识与服务器106的授权操作相关联的不同操作参数。例如,安全策略210可以标识与服务器106的操作相关联的不同约束212(例如,限制、条件等)。例如,安全策略210可以包括与存储在存储器206中的数据的修改相关联的约束212、地理位置约束(例如,指示服务器106或服务器106的特定部件被授权来操作或执行功能的地方)、时间约束(例如,指示服务器106或服务器106的特定部件被授权来操作或执行功能所持续的时间段)、和/或其他约束信息。
进一步,在一些实施例中,存储器206的一部分可以被管理服务器102(例如,经由rf通信)修改以便将查询传输至dhid162和/或被管理引擎160修改以便将响应传输至管理服务器102,如在此描述的。在一些实施例中,存储器206还可以包括各种其他信息。例如,存储器206可以包括关于服务器106和/或dhid162本身的信息(例如,部件制造商、数据结构安排、密码加密、签名、证书、和/或用于安全通信的哈希算法等)、起源数据、密码哈希或其他签名(例如,经由现场可编程熔丝(fpf)配设的)、和/或其他适合的信息。应理解的是,在一些实施例中,标识数据208和/或安全策略210可以在配设(例如,由oem)时被存储在存储器206上并且被锁定以防止任何篡改。
现在参照图3,在使用中,管理服务器102建立用于验证一个或多个服务器106的授权操作的环境300。管理服务器102的说明性环境300包括启动管理模块302、查询模块304、授权模块306、以及通信模块308。此外,通信模块308包括dhid通信模块310。环境300的各个模块可以具体化为硬件、软件、固件或其组合。例如,环境300的各个模块、逻辑和其他部件可以形成管理服务器102的处理器110或其他硬件部件的一部分或者以其他方式由所述管理服务器的所述处理器或所述其他硬件部件来建立。这样,在一些实施例中,环境300的模块中的一个或多个模块可以具体化为电子设备的电路或集合(例如,启动管理电路、查询电路、授权电路、通信电路、和/或dhid通信电路)。另外,在一些实施例中,说明性模块中的一个或多个说明性模块可以形成另一个模块的一部分和/或说明性模块中的一个或多个说明性模块可以具体化为单独或独立的模块。
启动管理模块302处理服务器106的启动。例如,在一些实施例中,管理服务器102管理数据中心中各个服务器106的启动。也就是,在一些实施例中,管理服务器102可以选择让一个或多个服务器106启动和/或执行操作(例如,在云计算环境或分布式计算系统中)。进一步,在一些实施例中,启动管理模块302可以判定和/或响应于(例如,基于安全策略312)判定服务器106未被授权来启动或操作而执行安全动作。
查询模块304被配置成用于管理双头标识设备的查询。例如,如下文描述的,查询模块304可以查询服务器106的dhid162以获得指示服务器106的身份的标识数据208(例如,经由dhid通信模块310)。在一些实施例中,查询模块304可以借助于dhid162向服务器106传输质询消息(例如,对于质询-响应协议)。例如,查询模块304可以在启动特定服务器106之前和/或为了对服务器106执行心跳检查(heartbeatcheck)而与服务器106进行通信,以便确认所述安全策略210(例如,约束212)被满足。
授权模块306基于服务器106的上下文(例如,地理位置)、服务器106的标识数据(即,身份)、和/或服务器106的安全策略210来判定各个服务器106是否被授权来启动和/或操作。在这样做时,授权模块306可以确定服务器106的上下文(例如,基于由服务器106生成、接收和/或得到的传感器数据和/或其他上下文数据)以及服务器106的身份(例如,基于标识数据208)。在一些实施例中,授权模块306在判定是否要授权服务器106的启动和/或操作时将服务器106的身份或标识数据208与一个或多个白名单或黑名单进行比较。应理解的是,在一些实施例中,授权模块306可以存储不同服务器106的标识数据和/或安全策略312。例如,在一些实施例中,这样的信息可以在配设所述dhid162时经由反向信道接收到。
通信模块406通过网络104和/或其他网络或通信链路来处理管理服务器102与远程设备(例如,服务器106)之间的通信。此外,在说明性实施例中,dhid通信模块310处理管理服务器102与服务器106的dhid162的无线通信(例如,经由dhid读取器120)。
现在参照图4,在使用中,服务器106建立用于确认服务器106的授权操作的环境400。说明性环境400包括平台管理模块402、启动模块404、以及通信模块406。此外,平台管理模块402包括查询处理模块408、上下文确定模块410、证明模块412、以及策略实施模块414。环境400的各个模块可以具体化为硬件、软件、固件或其组合。例如,环境400的各个模块、逻辑和其他部件可以形成服务器106的处理器150或其他硬件部件的一部分或者以其他方式由所述服务器的所述处理器或所述其他硬件部件来建立。这样,在一些实施例中,环境400的模块中的一个或多个模块可以具体化为电子设备的电路或集合(例如,平台管理电路、启动电路、通信电路、查询处理电路、上下文确定电路、证明电路、和/或策略实施电路)。另外,在一些实施例中,说明性模块中的一个或多个说明性模块可以形成另一个模块的一部分和/或说明性模块中的一个或多个说明性模块可以具体化为单独或独立的模块。
在一些实施例中,服务器106建立可信执行环境420以用于安全执行指令。如图4所示,在一些实施例中,可以在可信执行环境420内执行环境400的模块中的一个或多个模块。在一些实施例中,可以由管理引擎160来建立可信执行环境420。进一步地,应理解的是,可信执行环境420可以被建立为或者以其他方式使用各种技术,包括例如
平台管理模块402被配置成用于管理服务器106的各个操作,如下文描述的。具体地,查询处理模块408可以接收来自管理服务器102的查询、生成对这些查询的响应、并且对管理服务器102作出响应。例如,如上文描述的,管理服务器102可以与服务器106的dhid162通信(例如,经由rf通信)以便将数据存储在dhid162的存储器206中(例如,用于质询-响应通信和/或为了请求服务器106的身份、上下文、安全策略、和/或其他信息),所述存储器可以被查询处理模块408检索。类似地,所述生成的响应可以被存储在dhid162的存储器206中以由管理服务器102检索(例如,经由dhid读取器120)。
上下文确定模块410基于例如传感器数据和/或由服务器106生成、接收、和/或得到的其他上下文数据在给定的时间点确定服务器106的上下文。例如,在一些实施例中,上下文确定模块410可以确定服务器106的地理位置、当前时间、服务器106与其他设备的物理或虚拟关系、和/或关于服务器106和/或服务器106的部件的其他上下文信息。
证明模块412可以证明存储在dhid162的存储器206上的数据的和/或与服务器106相关联的其他信息的完整性。例如,在一些实施例中,证明模块412可以证明:与服务器相关联的标识数据208和/或上下文数据是准确的和/或当前的。应理解的是,证明模块412可以利用任何合适的算法、技术、和/或机制来这样做(例如,加密签名、哈希算法、时间戳等)。在一些实施例中,证明模块412可以借助于dhid162将这样的证明执行为管理服务器102与服务器106之间的质询-响应协议的一部分。
策略实施模块414基于服务器106的安全策略210和/或从管理服务器102接收到的指令来对服务器106实施安全动作。例如,在一些实施例中,管理服务器102可以判定服务器106未被授权来启动和/或操作,在此情况下策略实施模块414可以实施对应的安全动作。取决于具体情形、安全策略210和/或接收的指令,策略实施模块414可以例如防止服务器106启动或执行一个或多个功能。
启动模块404处理服务器106的启动。在这样做时,启动模块404初始化服务器106的各个部件和/或模块以便操作。如上文描述的,在一些实施例中,服务器106响应于从管理服务器102接收到这样的指令而启动(例如,在数据中心实现方式中)。进一步,在一些实施例中,启动模块404可以指导平台管理模块402(例如,经由uefi启动初始化)以确保在完全启动服务器106之前服务器106被授权启动。通信模块406通过网络104处理服务器106与远程设备(例如,管理服务器102)之间的通信。
现在参照图5,在使用中,管理服务器102可以执行一种用于验证服务器106的授权操作的方法500。所述说明性的方法500从框502开始,在所述框中,管理服务器102确定启动服务器106。例如,在一些实施例中,管理服务器102管理数据中心,从而使得管理服务器102确定/选择哪些服务器执行各种操作(例如,在云计算系统、分布式计算系统、和/或虚拟化网络系统中)。如果管理服务器102确定启动服务器106,则在框504中,管理服务器102查询服务器106的dhid162以获得服务器106的标识数据。如上文讨论的,在说明性实施例中,管理服务器102可以通过在管理服务器102与dhid162之间建立的安全的无线带外通信链路(例如,经由不会受到基于网络的攻击的伤害的rf通信)而这样做。在一些实施例中,管理服务器102将消息存储在dhid162的存储器206中以由服务器106的管理引擎160检索。进一步,在一些实施例中,所述查询包括质询-响应消息,服务器106或更具体地管理引擎160可以利用所述质询-响应消息来证明所述响应中提供的数据的完整性。
在框506中,管理服务器102从服务器106接收服务器106的标识数据。应理解的是,在一些实施例中,所述标识数据唯一地标识服务器106和/或以其他方式来标识服务器106,其方式使得管理服务器102可以基于服务器106的当前上下文(例如,基于服务器106的当前地理位置)来判定服务器106是否被授权来启动和/或操作。在框508中,管理服务器102可以接收服务器106的安全策略210。应理解的是,在一些实施例中,服务器106的安全策略210可以从服务器106接收,而在其他实施例中,所述安全策略210可以由管理服务器102(例如,通过反向信道)在配设服务器106的dhid162时接收。在框510中,管理服务器102确定服务器106的上下文。在一些实施例中,管理服务器102基于从服务器106接收的数据来进行这种确定。例如,在框512中,管理服务器102可以确定服务器106的地理位置。当然,在其他实施例中,管理服务器102可以根据具体实施例(例如,基于服务器106的安全策略210)来确定与服务器106相关联的其他上下文信息。如上文讨论的,在一些实施例中,服务器106生成对管理服务器102的查询的响应并且将所述响应存储在dhid162的存储器206中以由管理服务器102检索(例如,经由rf通信)。在一些实施例中,所述数据可以包括证明引用或由服务器106生成的其他适当的数据,管理服务器102可以利用所述证明引用或其他数据来确认所述数据的完整性/真实性。
在框514中,管理服务器102基于服务器106的安全策略210、服务器106上下文、和/或标识数据208来判定服务器106是否被授权来启动和/或操作。例如,在实施例中,服务器106可能仅被允许在美国以内启动和/或操作。这样,如果管理服务器102基于所述上下文数据确定服务器106在美国以外,则管理服务器102可以确定服务器106未被授权来启动/操作并且执行如下文讨论的适当操作。应理解的是,与服务器106的授权启动和/或操作相关联的具体约束可以取决于具体实施例而改变。例如,在一些实施例中,服务器106可以仅在管理服务器102的特定距离以内(例如,在同一个物理数据中心以内)操作。在其他实施例中,服务器106可以仅在由安全策略210所限定的具体时间段内操作。此外,在一些实施例中,在判定服务器106被授权来启动/操作时,可以将服务器106的身份与白名单和/或黑名单进行比较。
如果在框516中管理服务器102确定服务器106被授权,则在框518中准许服务器106重新开始启动和/或操作。然而,如果管理服务器102确定服务器106未被授权,则在框520中,管理服务器102基于服务器106的安全策略210执行一个或多个安全动作。例如,在框522中,管理服务器102可以防止服务器106的操作系统启动。
如上文讨论的,在说明性实施例中,管理服务器102可以执行对服务器106的心跳检查,以便基于服务器106的安全策略210来确认服务器106仍被授权。例如,管理服务器102可以确认:服务器106仍位于所述服务器106被授权来进行操作的特定地理位置以内。如果管理服务器102确定将执行心跳检查,则方法500返回到框502,在所述框中,管理服务器102再次查询服务器106的dhid162。应理解的是,在一些实施例中,管理服务器102可以仅请求服务器106的更新后的上下文数据(例如,具有证明引用和/或签名)以便后续查询、并且利用之前获取的安全策略和标识数据来判定服务器106是否被授权来继续操作。在一些实施例中,管理服务器102可以响应于某个条件的满足、或根据一些其他模式/方案而周期性地(例如,每隔30秒、每隔30分钟、或根据另一个间隔)执行心跳检查。
现在参照图6,在使用中,服务器106可以执行一种用于确认服务器106的授权操作的方法600。说明性方法600从框602开始,在所述框中,服务器106判定是否已从管理服务器102接收到启动或心跳查询。如果是,则在框604中,服务器106通过服务器106的dhid162接收管理服务器102查询。如上文描述的,在说明性实施例中,服务器106的dhid162通过带外通信链路(例如,经由rf通信)接收所述查询。例如,在一些实施例中,管理服务器102可以将与所述查询相关联的消息存储至dhid162的存储器206。
在框606中,服务器106通过管理引擎160对dhid162的存储器206进行读取。如上文描述的,在说明性实施例中,dhid162和管理引擎160彼此电耦合,从而使得管理引擎160可以借助于有线连接或电连接来对dhid162的存储器206进行读取。在框608中,服务器106确定服务器106的上下文。具体地,在框610中,服务器106可以确定服务器106的地理位置。应理解的是,服务器106可以基于任何适当的技术、算法和/或机制来确定所述上下文。例如,在一些实施例中,服务器106可以基于由服务器106生成、接收和/或得到的传感器数据、和/或其他上下文数据来确定所述上下文。
在框612中,服务器106生成对管理服务器102查询的响应。在这样做时,在框614中,服务器106可以证明所述标识数据和/或服务器上下文的完整性。例如,管理引擎160可以基于从管理服务器102接收的消息和/或管理服务器102所请求的数据(例如,所述标识数据和/或上下文数据)来生成证明引用。如上文讨论的,在一些实施例中,管理服务器102和服务器106可以执行质询-响应协议(例如,包括令牌、时间戳、签名、和/或其他数据)。
在框616中,服务器106将所述生成的响应存储至dhid162的存储器206。如上文描述的,管理服务器102可以无线地检索被存储在存储器206中的数据(例如,经由rf通信)并且基于服务器106的安全策略210来判定服务器106是否被授权来启动和/或操作。在框618中,服务器106基于管理服务器102进行的授权判定而接收来自管理服务器102的指令。如果在框620中服务器106被授权,则在框622中服务器106准许操作。否则,在框624中服务器106基于所述接收的管理服务器102指令执行一个或多个安全动作。例如,在一些实施例中,服务器106防止操作系统启动或防止服务器106的一个或多个功能被执行。方法600返回到框602,在所述框中,服务器106判定是否从管理服务器102接收到另一个启动/心跳查询。例如,如上文讨论的,可以周期性地从管理服务器102接收心跳检查。
示例
以下提供了在本文中所公开的技术的说明性示例。所述技术的实施例可以包括以下所描述的示例中的任何一个或多个示例及其任何组合。
示例1包括一种用于验证服务器的授权操作的管理服务器,所述管理服务器包括:查询模块,所述查询模块用于查询服务器的双头标识设备以获得指示所述服务器的身份的标识数据,其中,所述双头标识设备包括(i)有线通信电路、(ii)无线通信电路、以及(iii)其中存储有所述标识数据的存储器;以及授权模块,所述授权模块用于(i)从所述服务器的所述双头标识设备获取所述标识数据,(ii)确定所述服务器的上下文,以及(iii)基于所述服务器的所述上下文、所述服务器的所述标识数据、以及所述服务器的安全策略来判定所述服务器的启动是否被授权。
示例2包括如示例1所述的主题,并且其中,查询所述双头标识设备包括通过所述无线通信电路来查询所述双头标识设备。
示例3包括如示例1和2中所述的主题,并且其中,通过所述无线通信电路来查询所述双头标识设备包括通过所述双头标识设备的射频识别电路来查询所述双头标识设备。
示例4包括如示例1至3中任一项所述的主题,并且其中,查询所述双头标识设备包括通过带外通信信道来查询所述双头标识设备。
示例5包括如示例1至4中任一项所述的主题,并且其中,查询所述双头标识设备包括基于在配设所述双头标识设备时为所述管理服务器建立的证书来对所述双头标识设备的所述存储器执行解锁、读取、写入、或锁定操作中的至少一项。
示例6包括如示例1至5中任一项所述的主题,并且其中,确定所述服务器的所述上下文包括确定所述服务器的地理位置。
示例7包括如示例1至6中任一项所述的主题,并且其中,所述安全策略标识所述服务器被授权来进行操作的地理位置。
示例8包括如示例1至7中任一项所述的主题,并且其中,所述安全策略标识所述服务器被授权来在所述地理位置进行操作的时间段。
示例9包括如示例1至8中任一项所述的主题,并且其中,查询所述双头标识包括响应于所述服务器的启动来查询所述双头标识。
示例10包括如示例1至9中任一项所述的主题,并且其中,查询所述双头标识包括响应于确定将对所述服务器执行心跳检查来查询所述双头标识。
示例11包括如示例1至10中任一项所述的主题,并且进一步包括启动管理模块,所述启动管理模块用于响应于基于所述安全策略确定所述服务器未被授权来进行操作而执行安全动作。
示例12包括如示例1至11中任一项所述的主题,并且其中,所述授权模块进一步用于接收所述安全策略。
示例13包括一种用于通过管理服务器来验证服务器的授权操作的方法,所述方法包括:由所述管理服务器来查询服务器的双头标识设备以获得指示所述服务器的身份的标识数据,其中,所述双头标识设备包括(i)有线通信电路、(ii)无线通信电路、以及(iii)其中存储有所述标识数据的存储器;由所述管理服务器从所述服务器的双头标识数据来获取所述标识数据;由所述管理服务器确定所述服务器的上下文;以及由所述管理服务器基于(i)所述服务器的所述上下文、(ii)所述服务器的所述标识数据、以及(iii)所述服务器的安全策略来判定所述服务器的启动是否被授权。
示例14包括如示例13所述的主题,并且其中,查询所述双头标识设备包括通过所述无线通信电路来查询所述双头标识设备。
示例15包括如示例13和14中所述的主题,并且其中,通过所述无线通信电路来查询所述双头标识设备包括通过所述双头标识设备的射频识别电路来查询所述双头标识设备。
示例16包括如示例13至15中任一项所述的主题,并且其中,查询所述双头标识设备包括通过带外通信信道来查询所述双头标识设备。
示例17包括如示例13至16中任一项所述的主题,并且其中,查询所述双头标识设备包括基于在配设所述双头标识设备时为所述管理服务器建立的证书来对所述双头标识设备的所述存储器执行解锁、读取、写入、或锁定操作中的至少一项。
示例18包括如示例13至17中任一项所述的主题,并且其中,确定所述服务器的所述上下文包括确定所述服务器的地理位置。
示例19包括如示例13至18中任一项所述的主题,并且其中,所述安全策略标识所述服务器被授权来进行操作的地理位置。
示例20包括如示例13至19中任一项所述的主题,并且其中,所述安全策略标识所述服务器被授权来在所述地理位置进行操作的时间段。
示例21包括如示例13至20中任一项所述的主题,并且其中,查询所述双头标识包括响应于启动所述服务器来查询所述双头标识。
示例22包括如示例13至21中任一项所述的主题,并且其中,查询所述双头标识包括响应于确定将对所述服务器执行心跳检查来查询所述双头标识。
示例23包括如示例13至22中任一项所述的主题,并且进一步包括:响应于基于所述安全策略确定所述服务器未被授权来进行操作而执行安全动作。
示例24包括如示例13至23中任一项所述的主题,并且进一步包括:由所述管理服务器接收所述安全策略。
示例25包括一种计算设备,所述计算设备包括:处理器;以及存储器,所述存储器中存储了多条指令,所述指令在被所述处理器执行时致使所述计算设备执行如示例13至24中任一项所述的方法。
示例26包括一种计算设备,所述计算设备包括:处理器;以及存储器,所述存储器中存储了多条指令,所述指令在被所述处理器执行时致使所述计算设备执行如权利要求13至24中任一项所述的方法。
示例27包括一种用于验证服务器的授权操作的管理服务器,所述管理服务器包括:用于查询服务器的双头标识设备以获得指示所述服务器的身份的标识数据的装置,其中,所述双头标识设备包括(i)有线通信电路、(ii)无线通信电路、以及(iii)其中存储有所述标识数据的存储器;用于从所述服务器的双头标识数据来获取所述标识数据的装置;用于确定所述服务器的上下文的装置;以及用于基于以下各项来判定所述服务器的启动是否被授权的装置:(i)所述服务器的所述上下文、(ii)所述服务器的所述标识数据、以及(iii)所述服务器的安全策略。
示例28包括如示例27所述的主题,并且其中,所述用于查询所述双头标识设备的装置包括用于通过所述无线通信电路来查询所述双头标识设备的装置。
示例29包括如示例27和28中所述的主题,并且其中,所述用于通过所述无线通信电路来查询所述双头标识设备的装置包括用于通过所述双头标识设备的射频识别电路来查询所述双头标识设备的装置。
示例30包括如示例27至29中任一项所述的主题,并且其中,所述用于查询所述双头标识设备的装置包括用于通过所述带外通信信道来查询所述双头标识设备的装置。
示例31包括如示例27至30中任一项所述的主题,并且其中,所述用于查询所述双头标识设备的装置包括用于基于在配设所述双头标识设备时为所述管理服务器建立的证书来对所述双头标识设备的所述存储器执行解锁、读取、写入、或锁定操作中的至少一项的装置。
示例32包括如示例27至31中任一项所述的主题,并且其中,所述用于确定所述服务器的所述上下文的装置包括用于确定所述服务器的地理位置的装置。
示例33包括如示例27至32中任一项所述的主题,并且其中,所述安全策略标识所述服务器被授权来进行操作的地理位置。
示例34包括如示例27至33中任一项所述的主题,并且其中,所述安全策略标识所述服务器被授权来在所述地理位置进行操作的时间段。
示例35包括如示例27至34中任一项所述的主题,并且其中,所述用于查询所述双头标识的装置包括用于响应于启动所述服务器来查询所述双头标识的装置。
示例36包括如示例27至35中任一项所述的主题,并且其中,所述用于查询所述双头标识的装置包括用于响应于确定将对所述服务器执行心跳检查来查询所述双头标识的装置。
示例37包括如示例27至36中任一项所述的主题,并且进一步包括:用于响应于基于所述安全策略确定所述服务器未被授权来进行操作而执行安全动作的装置。
示例38包括如示例27至37中任一项所述的主题,并且进一步包括:用于接收所述安全策略的装置。
示例39包括一种用于确认授权操作的服务器,所述服务器包括:双头标识设备,所述双头标识设备包括(i)有线通信电路、(ii)无线通信电路、以及(iii)其中存储有指示所述服务器的身份的标识数据的存储器;以及平台管理模块,所述平台管理模块用于(i)接收来自管理服务器的查询、(ii)确定所述服务器的上下文、(iii)基于所述确定的上下文生成对所述接收的查询的响应、并且(iv)将所述生成的响应存储至所述双头标识设备的所述存储器以供所述管理服务器访问。
示例40包括如示例39所述的主题,并且其中,接收所述查询包括通过所述双头标识设备的无线通信电路来接收所述查询。
示例41包括如示例39和40中所述的主题,并且其中,所述无线通信电路包括射频识别电路;并且其中,接收所述查询包括通过所述双头标识设备的所述射频识别电路来接收所述查询。
示例42包括如示例39至41中任一项所述的主题,并且其中,接收所述查询包括通过所述管理服务器与所述双头标识设备之间的带外通信信道来接收所述查询。
示例43包括如示例39至42中任一项所述的主题,并且其中,确定所述服务器的所述上下文包括确定所述服务器的地理位置。
示例44包括如示例39至43中任一项所述的主题,并且其中,生成对所述接收的查询的响应包括证明所述服务器的所述标识数据或所述上下文中的至少一项的完整性。
示例45包括如示例39至44中任一项所述的主题,并且进一步包括:管理引擎,所述管理引擎用于:读取所述双头标识设备的所述存储器以便访问所述接收的查询;以及将所述生成的响应存储至所述双头标识设备的所述存储器,其中,生成所述响应包括由所述管理引擎生成所述响应。
示例46包括如示例39至45中任一项所述的主题,并且其中,读取所述存储器包括经由所述有线通信电路读取所述存储器;并且其中,存储所述生成的响应包括经由所述有线通信电路将所述生成的响应存储至所述存储器。
示例47包括如示例39至46中任一项所述的主题,并且其中,读取所述存储器包括通过所述双头标识设备与所述管理引擎之间的专用通信总线来读取所述存储器;并且其中,所述有线通信电路电耦合至所述专用通信总线。
示例48包括如示例39至47中任一项所述的主题,并且其中,所述管理引擎用于基于在配设所述双头标识设备时建立的证书来对所述双头标识设备的所述存储器执行解锁、读取、写入、或锁定操作中的至少一项。
示例49包括如示例39至48中任一项所述的主题,并且其中,所述平台管理模块进一步用于基于所述管理服务器基于所述服务器的上下文和安全策略关于所述服务器是否被授权来进行操作所进行的判定来接收指令。
示例50包括如示例39至49中任一项所述的主题,并且其中,所述平台管理模块进一步用于响应于接收到基于所述安全策略指示所述服务器未被授权来进行操作的指令而执行安全动作。
示例51包括一种用于确认服务器的授权操作的方法,所述方法包括:由所述服务器的双头标识设备从管理服务器接收查询,其中,所述双头标识设备包括(i)有线通信电路、(ii)无线通信电路、以及(iii)其中存储有指示所述服务器的身份的标识数据的存储器;由所述服务器确定所述服务器的上下文;由所述服务器基于所述确定的上下文来生成对所述接收的查询的响应;以及由所述服务器将所述生成的响应存储至所述双头标识设备的所述存储器以供所述管理服务器访问。
示例52包括如示例51所述的主题,并且其中,接收所述查询包括通过所述双头标识设备的无线通信电路来接收所述查询。
示例53包括如示例51和52中所述的主题,并且其中,接收所述查询包括通过所述双头标识设备的射频识别电路来接收所述查询。
示例54包括如示例51至53中任一项所述的主题,并且其中,接收所述查询包括通过所述管理服务器与所述双头标识设备之间的带外通信信道来接收所述查询。
示例55包括如示例51至54中任一项所述的主题,并且其中,确定所述服务器的所述上下文包括确定所述服务器的地理位置。
示例56包括如示例51至55中任一项所述的主题,并且其中,生成对所述接收的查询的所述响应包括证明所述服务器的所述标识数据或所述上下文中的至少一项的完整性。
示例57包括如示例51至56中任一项所述的主题,并且进一步包括:由所述服务器的管理引擎读取所述双头标识设备的所述存储器以便访问所述接收的查询;以及由所述管理引擎将所述生成的响应存储至所述双头标识设备的所述存储器,其中,生成所述响应包括由所述管理引擎生成所述响应。
示例58包括如示例51至57中任一项所述的主题,并且其中,读取所述存储器包括经由所述有线通信电路读取所述存储器;并且其中,存储所述生成的响应包括经由所述有线通信电路将所述生成的响应存储至所述存储器。
示例59包括如示例51至58中任一项所述的主题,并且其中,读取所述存储器包括通过所述双头标识设备与所述管理引擎之间的专用通信总线来读取所述存储器;并且其中,所述有线通信电路电耦合至所述专用通信总线。
示例60包括如示例51至59中任一项所述的主题,并且进一步包括:由所述服务器的管理引擎基于在配设所述双头标识设备时建立的证书来对所述双头标识设备的所述存储器执行解锁、读取、写入、或锁定操作中的至少一项。
示例61包括如示例51至60中任一项所述的主题,并且进一步包括:由所述服务器基于所述管理服务器基于所述服务器的上下文和安全策略关于所述服务器是否被授权来进行操作所进行的判定来接收指令。
示例62包括如示例51至61中任一项所述的主题,并且进一步包括:由所述服务器响应于接收到基于所述安全策略指示所述服务器未被授权来进行操作的指令而执行安全动作。
示例63包括一种计算设备,所述计算设备包括:处理器;以及存储器,所述存储器中存储了多条指令,所述指令在被所述处理器执行时致使所述计算设备执行如示例51至62中任一项所述的方法。
示例64包括一种计算设备,所述计算设备包括:处理器;以及存储器,所述存储器中存储了多条指令,所述指令在被所述处理器执行时致使所述计算设备执行如示例51至62中任一项所述的方法。
示例65包括一种用于确认授权操作的服务器,所述服务器包括:用于由所述服务器的双头标识设备从管理服务器接收查询的装置,其中,所述双头标识设备包括(i)有线通信电路、(ii)无线通信电路、以及(iii)其中存储有指示所述服务器的身份的标识数据的存储器;用于确定所述服务器的上下文的装置;用于基于所述确定的上下文来生成对所述接收的查询的响应的装置;以及用于将所述生成的响应存储至所述双头标识设备的所述存储器以供所述管理服务器访问的装置。
示例66包括如示例65所述的主题,并且其中,所述用于接收所述查询的装置包括用于通过所述双头标识设备的无线通信电路来接收所述查询的装置。
示例67包括如示例65和66中所述的主题,并且其中,所述用于接收所述查询的装置包括用于通过所述双头标识设备的射频识别电路来接收所述查询的装置。
示例68包括如示例65至67中任一项所述的主题,并且其中,所述用于接收所述查询的装置包括用于通过所述管理服务器与所述双头标识设备之间的带外通信信道来接收所述查询的装置。
示例69包括如示例65至68中任一项所述的主题,并且其中,所述用于确定所述服务器的所述上下文的装置包括用于确定所述服务器的地理位置的装置。
示例70包括如示例65至69中任一项所述的主题,并且其中,所述用于生成对所述接收的查询的响应的装置包括用于证明所述服务器的所述标识数据或所述上下文中的至少一项的完整性的装置。
示例71包括如示例65至70中任一项所述的主题,并且进一步包括:用于由所述服务器的管理引擎读取所述双头标识设备的所述存储器以便访问所述接收的查询的装置;以及用于由所述管理引擎将所述生成的响应存储至所述双头标识设备的所述存储器的装置,其中,所述用于生成所述响应的装置包括用于由所述管理引擎生成所述响应的装置。
示例72包括如示例65至71中任一项所述的主题,并且其中,所述用于读取所述存储器的装置包括用于经由所述有线通信电路读取所述存储器的装置;并且其中,所述用于存储所述生成的响应的装置包括用于经由所述有线通信电路将所述生成的响应存储至所述存储器的装置。
示例73包括如示例65至72中任一项所述的主题,并且其中,所述用于读取所述存储器的装置包括用于通过所述双头标识设备与所述管理引擎之间的专用通信总线来读取所述存储器的装置;并且其中,所述有线通信电路电耦合至所述专用通信总线。
示例74包括如示例65至73中任一项所述的主题,并且进一步包括:用于由所述服务器的管理引擎基于在配设所述双头标识设备时建立的证书来对所述双头标识设备的所述存储器执行解锁、读取、写入、或锁定操作中的至少一项的装置。
示例75包括如示例65至74中任一项所述的主题,并且进一步包括:用于基于所述管理服务器基于所述服务器的上下文和安全策略关于所述服务器是否被授权来进行操作所进行的判定来接收指令的装置。
示例76包括如示例65至75中任一项所述的主题,并且进一步包括:用于响应于接收到基于所述安全策略指示所述服务器未被授权来进行操作的指令而执行安全动作的装置。