存在各种机制来保护移动计算设备免于被偷窃或者未授权的访问。用于硬盘驱动器和操作系统登录的密码保护通常用在现有的系统中。尽管现有的平台受到开机密码、屏保密码和网络登录口令的保护，但是人们还不能保护平台免受用户判断的无意的失效的影响。密码可能被偷走或被捕获，从而允许未授权的人访问设备。判断失效的例子可以与无人看管的膝上型计算机的失窃有关，或者与用户没有选择使用合理的密码保护有关。

根据对本发明的以下详细的描述，本发明的特征和优点将变得显而易见，其中：
图1是说明了根据本发明的实施例的很高层的系统的框图，所述系统包括一具有基于位置的部件的平台；
图2说明了根据本发明的实施例的、用于位置传感器的基本逻辑；
图3示出了根据本发明的实施例的、用于计算Powerr的示例性公式；
图4是示出了根据本发明的实施例的、用于使用基于位置的信息来保护平台的示例性方法的流程图；以及
图5是说明根据本发明的实施例的、实现本文公开的特征的示例性平台的框图。

本发明的实施例涉及使用基于位置的数据来保护平台免于未授权的访问或使用的系统和方法。对于建立为“连接的”设备的平台，可以经由策略变量的设置来调整这些设备以适应熟悉的网络的存在以及授权的用户的存在。在不满足任何这些策略变量的情况下，(在上电期间)可以启动替代的引导路径。如果平台已经运行并且启动了操作系统(OS)，那么当策略变量变为指示未授权的使用时，平台可以立即地进入“锁定”模式。这些情况的示例可以是：当平台没有检测到熟悉的网络时，检测到物理入侵时，或者在启用位置的平台中，平台附近没有适当的射频(RF)收发器或RFID(RF标识符)时。
说明书中提及的本发明的“一个实施例”或“实施例”意味着结合实施例描述的特定特征、结构或特性包括在本发明的至少一个实施例中。因此，在说明书中各处出现的短语“在一个实施例中”并不必然都指相同的实施例。
为了说明的目的，阐述了具体的结构和细节以提供对本发明的透彻的理解。但是，对于本领域的普通技术人员来说，可以在没有本文给出的具体的细节的情况下，实施本发明的实施例。此外，公知的特征可以被省略或简化以便不模糊本发明。在整个该说明书中可以给出各种示例。这些示例仅仅是本发明的具体实施例的描述。本发明的范围并不限于给定的示例。
随着提升远程平台可管理性的平台部件的出现，例如，使用可以从英特尔公司得到的可管理性创新技术，例如“IntelActive ManagementTechnology”(IAMT)，人们可以利用通信环境的带外性质(out-of-bandnature)，以向管理机构报告目前存在潜在的安全破坏。关于IAMT更多的信息，参见公共互联网URL：www*intel*.com/technology/manage/iamt/，其中，该文档中的URL的一些点号被替换为星号以避免无意造成的超链接。
图1是说明了根据本发明的实施例的很高层的系统的框图，其中，所述系统包含具有基于位置的部件的平台。在实施例中，平台101耦合到RF设备103。RF设备可以用于从全球定位卫星(GPS)系统107接收位置信息。在另一个实施例中，例如平台位于安全建筑内时，仅在建筑内的房屋的子集中使用平台可能是重要的。因此，位置仍然重要。在这种情况下，RF设备103可以与位于建筑内的更局部化的定位设备(没有示出)进行通信，并且所述定位设备具有比卫星107更有限的范围。在任何情况下，RF设备103从定位设备接收基于位置的信息。
在实施例中，平台101可以检测其是否在范围内或者是否连接到已知的网络109。一种机制可以确保平台在附近已知的网络109中引导；缺少这种已知的/熟悉的环境会促使平台101引导至替代的引导路径，其会需要附加的用户105验证。
在实施例中，平台101可以装备有能够进行带外通信111的可管理引擎或微处理器，例如“IntelActive Management Technology(IAMT)”。这种带外网络连接可以向远程管理机构报告与正在尝试在没有授权的情况下被引导的系统有关的潜在的安全问题。
通过使用基于平台的启发式方法(例如，在没有密码确认的情况下的入侵检测、基于位置的操作等)，平台101可以改变其行为以自动地运行替代的引导路径，以阻止平台的使用，并且可以向中央机构报告平台被以未授权的方式使用。启发式方法可以包括网络109的检测；来自定位源107的位置；或者带有RFID的安全设备120，例如用于检测授权用户的密钥卡121或标记卡123或生物读取器(biometric reader)125。可以使用其它无源的或有源的安全设备。根据所检测的参数，平台策略指示启动哪个候选引导路径以及是否发送警告，或者是否向用户盘问口令。
本发明的实施例不同于现有系统之处在于：其不是简单地依赖于可能会被忘记的共享的秘密信息，例如密码短语(pass-phrase)。使用位置信息(例如，熟悉的网络)或一些RFID数据(例如，某人的公司标记卡中嵌入的数据)是大多数用户不需要考虑的或者必须携带的，以便进入例如物理建筑。
使用相对低成本的技术(例如，RF收发机)，可以检测安全设备(例如，诸如带有RFID的公司标记卡或密钥卡等的物体)是否存在。平台策略指示服务连续地在平台上运行以检测安全设备并且验证物体在收发机的附近，从而授权给定的系统的使用。这种物体感测还允许平台检测授权用户何时已离开收发机的检测半径或者何时处于范围阈值之外。当邻近测试失败时，服务可以自动地锁定平台以阻止使用。
这种同样的方案可以应用到各种类型的平台。对于移动系统，常见的情况是：膝上型计算机被偷窃(例如，从汽车、机场等)，但是当小偷试图使用系统时，由于缺少适当的邻近性响应识别，系统将不会引导。对于桌面系统，平台策略可以指示用户被授权在用户的隔室或办公室中操作计算机，或者在旅行者的工作站区域内操作计算机，但是不被授权在另一个用户的工作区域内操作计算机。对于服务器，可以预想更复杂的情况。例如，可以使用ID的两个场所：一个是维护人员的ID，其允许服务器在本地被操作(例如，键盘交互等)，而第二种是位于房间的ID本身可以允许服务器正常地工作。在第一个服务器ID的例子中，如果维护人员离开，那么服务器可以自动地锁定并且禁止用户输入，但仍然以不同方式工作。另一个策略可以在维护人员离开附近时，使服务器重新引导到另一个引导路径。在第二个ID的例子中，如果服务器检测到其已经被移动到未授权的位置，那么它可以停止工作。
图2说明了根据本发明的实施例的用于位置传感器的基本逻辑。可以基于潜在安全问题的预计影响来使用其它平台策略。在该逻辑中，Powerr代表安全设备的检测强度或功率，或距离/位置阈值。例如，如果在平台的预定范围内检测到密钥卡，那么Powerr将比阈值高。在一些实施例中，Powerr指示平台处于指定位置的某个范围内。
在一实施例中，如行201所示，如果Powerr比阈值高并且标识符(例如，标记卡或密钥卡上的标识符)是正确的，那么允许正常操作。如行203所示，如果Powerr比阈值高并且标识符不正确(例如，标记卡或密钥卡上的未授权标识符)或者缺少标识符，并且平台尝试引导，那么可以禁止引导，或者只允许使用替代的引导路径。如行205所示，如果Powerr比阈值高并且标识符不正确，并且平台不处于预引导阶段，那么策略可以指示将会话锁定，例如不允许用户输入或输出，或者强制运行屏保程序。在一些情况下，可以执行关机。
如行207所示，在Powerr比阈值低的情况下，例如处于范围之外或在未授权的位置，并且平台试图进行预引导阶段，那么策略可以指示禁止平台引导。如行209所示，如果Powerr比阈值低，例如处于范围之外或者在未授权的位置，并且平台不在预引导阶段，那么策略可以指示将锁定会话，例如不允许用户输入或输出，或者强制运行屏保程序。在一些情况下，可以执行关机。
图3示出了根据本发明的实施例的计算Powerr的示例性公式。公式200是通过将功率/增益/波长(λ)相乘并除以(4*Pi*半径)2来计算所接收的功率的常用公式。该公式通常用于确定物体的距离。因此，它被用于确定设备是否在机器的特定半径内。
图4是示出了根据本发明的实施例的、用于使用基于位置的信息来保护平台的示例性方法的流程图。在框401，在引导过程期间，平台开始初始化。在引导期间运行策略引擎的点可以改变，只要在操作系统(OS)运行之前运行该过程就行。换句话说，以下讨论的该过程可以在OS运行前，由固件或BIOS来运行。在框403，确定平台是否启用基于位置的安全特征。如果不启用安全功能部件，那么在框405，与常规操作一样，平台引导到目标。
当启用安全功能特征时，在框407，确定是否启动了入侵检测。所检测的入侵通常是在平台机壳被打开和/或从上一次引导以来平台的硬件发生了一些改变的时候。检测何时机壳被打开是本领域公知的。如果检测到该类入侵，那么在框409，可以强制对用户进行挑战(challenge)以确保用户被授权。在框411，确定挑战是否失败。在框451，基于平台策略，挑战的失败会导致平台锁定和/或可以经由带外通信来发送警报，并且平台将不进行引导。还可以在报警中发送位置改变或状态。如果挑战成功，那么可以允许平台引导并且继续到框417。
例如，如果某人偷窃了平台并且试图通过打开机壳并更改硬件来规避安全措施，只要固件保持完整，那么本发明的实施例仍然可以保护设备免于未授权的使用。当小偷试图引导平台时，将强制进行挑战。一个挑战可以是简单的密码需求。另一个更被动的挑战可以是确定已知的网络是否在范围内，或者平台是否在授权的位置的范围内。如果挑战失败，系统将不会引导并且小偷试图进行的访问将失败。基于平台策略，所需的挑战可以不同。
在一些实施例中，平台可以在引导期间连接到网络。当网络可用时，固件可以向适当的机构发送描述安全破坏的报警消息。如果平台能够确定其位置，那么可以在报警消息中发送该信息。在一实施例中，使用可管理性引擎或IAMT网络连接，该通信是可能的。在另一实施例中，主机网络驱动器已被运行，并且经由主机处理器网络连接来发送警报。
如果在框407没有检测到入侵，那么在框413可以启动基于位置的查询。可以将查询发送到定位设备，例如GPS系统107，或本地设备(未示出)。可以以各种格式将平台的位置返回到平台。可以理解，在从定位设备接收基于位置的信息时会有延迟。因此，在实施例中，在框415，可以设置计时器t，以使得可以启动循环来等待响应。一旦时间过去，并且接收到基于位置的信息，那么处理继续到框417。
在框417，确定在平台上是否启用了强制的挑战响应安全措施。如果未启用该安全措施，那么在框419，引导目标可以运行OS或应用程序。如果启用安全措施，那么处理继续到框421。在实施例中，每个平台具有授权网络已知的唯一的标识符。在框421，可以利用请求分组将平台标识符发送到网络。请求分组可以仅用于网络进行响应。在框423，如果确定响应发生，那么在框427，网络服务器可以验证ID。如果在框429确定ID是有效的，那么在框419，可以执行引导目标以运行OS或应用程序。
在阈值时间t内，只要在框425确定没有接收到响应，那么过程循环回框423以等待响应。如果在时间t内没有响应，那么在框421可以再次发送ID请求。
一旦平台已在框419处引导，平台仍然可能被从授权的位置移开，或者被偷窃，例如当其处于待机或休眠模式，或者甚至在运行中时。因此，可以启用运行时安全措施。在运行时间期间，在框431，确定是否启用强制挑战响应安全措施。可以周期性地执行该检查，这由平台策略来确定。如果不启用安全功能，那么将按照常规方式来继续处理，即，转移回循环中的框431，以便能够继续检查是否启用所述功能。
如果在框431确定启用了安全措施，那么在框433，可以将ID请求发送到网络服务器。在引导之后，也可以在框461周期性地执行额外的基于位置的查询。如针对框423和425所讨论的，在框435和437执行等待循环以等待响应。当由网络服务器接收到响应时，在框439验证ID。如果在框441确定ID对于所述位置和/或网络不是有效的，那么在框443，基于平台策略，可以强制平台进入锁定模式、屏保模式或关机。如果平台策略指示锁定、待机或屏保模式，而不是完全关机，那么对本领域的技术人员来说，可以选择各种方式以继续处理是显而易见的。在实施例中，可能需要物理地重启平台，例如通过控制电源按钮以强制重新引导，并且可能从引导阶段重新启动基于位置的检查。在另一个实施例中，可以周期性地执行位置信息和/或ID请求的轮询，直到平台进入到授权的状态。在另一个实施例中，用户可以按下预定义的按键序列来引起挑战响应，以尝试解除锁定。可以理解，如图4所示的方法是示例性的，根据平台策略、平台架构或实现方式的不同，可以通过轮询、中断或以各种时间顺序来周期性地设置，来执行基于位置的查询和标识符验证。
如果在第一次尝试后，或者当已经处于锁定模式时，ID是有效的，那么可以允许平台在框431照常继续处理。该循环反映周期性的检查，以确保平台标识符在当前位置被授权。在另一个实施例中，处理可以在框461处继续，以执行另一个基于位置的查询。
但是，如果在n次重试之后，位置传感器未能获得有效的预编制的位置，那么在框445，可以执行各种平台策略驱动器活动。例如，即使ID在网络上被验证，平台也可能处于允许的位置范围之外。因此，可以强制平台进入锁定、待机、关机等状态，并且可以将警报发送到网络管理者。在一实施例中，随后处理可以在框461继续等待更多的基于位置的信息。
在另一个实施例中，除了基于位置的策略之外，还可以执行额外的检查，以要求用户在引导和运行时间还具有在平台附近的已知的安全设备。安全设备将具有RF功能，或者是无源的或者是有源的，以发送RFID或其它标识符给接收RF的平台(103或另外的RF接收机/收发机)，或允许其访问RFID或其它标识符。在一实施例中，在平台的范围内存在授权的安全设备可以取代或避免挑战的响应，例如需要密码或问题/回答挑战。在另一实施例中，即使当安全设备非常邻近时，如果平台不能访问授权的网络或者未处于授权的位置，也会要求挑战。
再次参照图4，对启用RFID安全设备的测试可以在基于位置的查询(413或461)之前，和/或在强制的挑战(409、417和431)之前或取代强制的挑战。
配置为使用基于位置的信息和RFID安全设备这两者的平台可以基于平台策略，有选择地使这些功能开启或关闭。
图5是说明根据本发明的实施例的、实现本文公开的特征的示例性的平台的框图。平台500包括处理器501。处理器501可以经由存储器控制器中心503连接到随机存取存储器505。处理器501可以是能够执行软件的任何类型的处理器，例如微处理器、数字信号处理器、微控制器等。虽然图5仅示出了一个这种处理器501，但是在平台500中可以有一个或多个处理器，并且一个或多个处理器可以包括多个线程、多个核心等。
处理器501还可以经由输入/输出控制器中心(ICH)507连接到I/O设备。ICH可以经由低管脚数(LPC)总线502耦合到各种设备，例如超级I/O控制器(SIO)、键盘控制器(KBC)或可信平台模块(TPM)。SIO例如可以访问软盘驱动器或工业标准架构(ISA)设备。在实施例中，ICH经由串行外设接口(SPI)总线504耦合到非易失性存储器。非易失性存储器可以是闪存存储器或静态随机存取存储器(SRAM)等。带外(OOB)微控制器510n(如图1所示)可以出现在平台500上。OOB微控制器510n可以经由总线512连接到ICH，总线512典型的是外围部件互连(PCI)或PCI快速总线。OOB微控制器还可以经由SPI总线504与非易失性存储器存储设备(NV存储设备)517耦合。NV存储设备517可以是闪存存储器或静态RAM(SRAM)等。在许多现有系统中，NV存储设备是闪存存储器。可以理解，可以使用各种架构。例如，存储器控制器可以直接地耦合到处理器，和/或平台可以具有IOH(输入/输出控制器中心)而不是ICH等。
可以将OOB微控制器510n看作“微型”处理器。如同全功能处理器一样，OOB微控制器具有处理器单元511，其可以可操作地耦合到高速缓存存储器515以及RAM和ROM存储器513。OOB微控制器可以具有内置网络接口527以及到电源525的独立的连接，以便即使当带内处理器501不活动时，也能够允许带外通信。
在实施例中，处理器在NV存储设备517中具有基本输入输出系统(BIOS)519。在其它实施例中，处理器从远程设备(没有示出)引导，并且引导向量(指针)位于NV存储设备517的BIOS部分519中。OOB微控制器510n可以访问NV存储设备517的所有内容，包括非易失性存储器的BIOS部分519和保护部分521。在一些实施例中，可以利用“IntelActiveManagement Technology(IAMT)”来确保存储器的保护部分521的安全。在一实施例中，基于基地址寄存器(BAR)中的芯片组选择来保护NV存储设备的部分521免于固件的访问。
由于可以通过OS或OS内运行的应用程序来修改非易失性存储器的BIOS部分519，因此它易于受到恶意篡改。存储器521的保护区域仅对OOB微控制器可用，其可以在没有篡改风险的情况下被用于存储关键的引导向量信息。访问NV存储设备517的OOB微控制器一侧的唯一方法是通过OOB微控制器经由代理来验证，即，签名验证等。本发明的实施例使用非易失性存储器517的硬件保护区域521并且使得保护区域不可以由OS访问。
许多现有系统使用可扩展固件接口(EFI)和其关联的闪速变量(flashvariable)。EFI是为操作系统与平台固件之间的接口(通常称为基本输入输出系统(BIOS))定义新模型的规范。2002年12月1日发布的规范的版本1.10可从URL为www*intel*com/technology/efi/main_specification.htm的公共互联网得到。还可以使用统一EFI(UEFI)架构。可以在www*uefi*org/specs/处找到关于UEFI的更多的信息。在EFI引导位置规范中，代替完全依赖于指向单个引导位置的指针，可以使用一系列引导变量。引导变量指定平台应当从哪个位置引导。EFI系统将引导变量存储在非易失性存储器中，通常是闪存存储器。因为良好地定义了引导变量的位置，所以该标准架构便于实现本发明的实施例。
在一实施例中，用于在带内(主机处理器通信)和带外处理器之间传送消息和数据的“邮箱”的实现是根据在如下所述的美国专利申请中所讨论的技术的，所述专利申请是Rothman等人于2004年10月12日递交的、美国专利申请序号为10/964,355(代理方案号：P19896)、名称为“BUSCOMMUNICATION EMULATION”的专利申请。
OOB微控制器510n可以被操作用于在由OOB微控制器510n和计算机系统的处理器(例如，主机计算机500的处理器501)共享的存储器中存储包含命令的“消息”。在所说明的实施例中，主机计算机500包括共享存储器552，其可以由处理器501和OOB微控制器510n来访问。共享存储器552可以位于RAM的保留区域552a，或者位于单独的非易失性存储器存储设备552b中，等等。共享存储器可以作为用于这些消息的邮箱来工作。因此，在一个方面，OOB微控制器510n可以独立于包括处理器501、操作系统和程序的状态的主机计算机500的状态，将消息存储在共享存储器552中或者从所述共享存储器552获取消息。因此，在所说明的实施例中，OOB微控制器510n可以在共享存储器552中存储或获取消息，无论处理器501是正在被初始化还是被关闭，或者无论操作系统是在引导、运行、崩溃或其它状态。
为了便于这种独立的操作，在该示例中，控制器510n、共享存储器552、本地总线512和其它适当部件可以独立于主机计算机500的主要部件而被供电，所述主要部件包括处理器501和主机存储器505。共享存储器552可以是非易失性(NV)存储器，例如闪存存储器或静态随机存取存储器(SRAM)。在下文更详细地描述的实施例中，OOB微控制器510n独立于操作系统或系统启动程序而工作，以使得OOB微控制器510n可以具有其自身专用的控制电路、固件、操作系统等，以便独立于主机计算机500的其余部分的状态来控制OOB微控制器510n的操作。应当理解，取决于特定应用，控制器510n与其它部件的操作独立性的程度(如果有的话)可以改变。
在实施例中，在预引导期间，安全措施在主机处理器501上执行。但是，在引导后，安全措施和基于位置的检查可以在OOB微控制器510n上执行，例如使用IAMT。这种任务的划分使得主机处理器在运行时能够更有效率地运行，而不必继续运行固件驱动器和服务以检查基于位置的信息。在该情况下，当安全措施失败时，微控制器510n可以根据平台策略向主机BIOS发送消息以关机或锁定。
本文描述的技术并不限于任何特定的硬件或软件配置；它们可以在任何计算、消费电子或处理环境中找到其适用的地方。可以用硬件、软件或两者的组合来实现这些技术。
对于仿真，程序代码可以使用硬件描述语言或另一种功能描述语言来表示硬件，所述语言本质上提供了期望所设计的硬件如何执行的模型。程序代码可以是汇编语言或机器语言，或者是可以编译和/或解释的数据。此外，谈及软件，本领域常见的是以一种形式或另一种形式来采取动作或引起结果。这种表示仅是表述由处理系统执行程序代码，使得处理器执行动作或产生结果的简略方式。
可以用高级程序或面向对象的编程语言来实现每个程序，以与处理系统进行通信。然而，如果需要的话，可以用汇编或机器语言来实现程序。在任何情况下，语言可以被编译或解释。
程序指令可以用于使得使用指令来编程的通用或专用处理系统执行本文描述的操作。可选地，可以由包含用于执行操作的硬连线逻辑的专用硬件部件，或由编程的计算机部件与定制的硬件部件的任意组合来执行操作。可以将本文描述的方法作为计算机程序产品来提供，所述产品可以包括存储了指令的机器可访问介质，所述指令可以用于对处理系统或其它电子设备编程以执行该方法。
程序代码或指令可以存储在例如易失性和/或非易失性存储器中，例如存储设备和/或关联的机器可读或机器可访问介质，包括固态存储器、硬盘驱动器、软盘、光盘存储设备、磁带、闪速存储器、记忆棒、数字视频盘、数字多用途盘(DVD)等，以及更特殊的介质，例如机器可访问生物状态保存存储设备。机器可读介质可以包括用于存储、发射或接收机器可读形式的信息的任何装置，并且介质可以包括有形介质，通过该有形介质，对程序代码进行编码的电的、光的、声的或其它形式的传播信号或载波可以进行传递，例如天线、光纤、通信接口等。可以用分组、串行数据、并行数据、传播信号等形式来发送程序代码，并且可以以压缩的或加密的格式来使用。
可以在可编程机器上执行的程序中实现程序代码，例如移动或固定计算机、个人数字助理、机顶盒、蜂窝电话和寻呼机、消费电子设备(包括DVD播放器、个人视频记录器、个人视频播放器、卫星接收机、立体声接收机、电缆TV接收机)，和其它电子设备，每个设备包括处理器、处理器可读的易失性和/或非易失性存储器、至少一个输入设备和/或一个或多个输出设备。程序代码可以应用到使用输入设备输入的数据，以执行所描述的实施例并且生成输出信息。输出信息可以应用到一个或多个输出设备。本领域的普通技术人员可以意识到，可以使用各种计算机系统配置来实施本文公开的主题的实施例，包括多处理器或多核心处理器系统、微型计算机、大型计算机，以及可以嵌入任何虚拟设备中的普遍的或小型计算机或处理器。还可以在分布式的计算环境中实施本文公开的主题的实施例，其中，可以由通过通信网络连接的远程处理设备来执行任务或部分任务。
尽管操作可以被描述为顺序的处理，但是事实上，可以并行地、并发地和/或在分布式环境中来执行一些操作，并且程序代码可以在本地和/或远程地存储以供单个或多个处理器机器来访问。此外，在一些实施例中，可以在不脱离所公开主题的精神的情况下，重新安排操作的顺序。可以由嵌入的控制器来使用程序代码或结合其来使用程序代码。
虽然参照所说明的实施例描述了本发明，但是该描述并不旨在以限定性的方式来解释。对于本发明所属技术领域中的技术人员来说显而易见的、说明性的实施例的各种变型以及本发明的其它实施例被认为在本发明的精神和范围内。