[发明专利]将设备标识符和用户标识符相关联的设备盗窃防护

权利要求书

1.一种在计算设备中实现的方法，所述方法包括：

确定要在所述计算设备上启用盗窃防护；

通过网络向身份服务发送所述计算设备的用户的用户凭证；

从所述身份服务接收指示所述身份服务已经验证了所述用户凭证的票据；

通过所述网络向密钥服务发送所述票据；

从所述密钥服务接收已经由所述密钥服务基于用于所述计算设备的恢复密钥以及标识所述计算设备的设备标识符两者而生成的数据值；

通过将所述数据值写入到所述计算设备的已认证变量存储系统，在所述计算设备上将所述数据值保存为已认证变量；

接收用户输入，所述用户输入是所述计算设备的所述恢复密钥；

基于所述用户输入以及标识所述计算设备的所述设备标识符，生成附加数据值；

确定所述数据值和所述附加数据值是否是相同值；

响应于所述数据值和所述附加数据值是相同值，将所述计算设备改变为未保护状态；

响应于所述数据值和所述附加数据值是相同值，允许所述用户访问处于所述未保护状态的所述计算设备；以及

响应于所述数据值和所述附加数据值不是相同值，拒绝所述用户访问所述计算设备。

2.根据权利要求1所述的方法，所述恢复密钥已经由所述密钥服务生成。

3.根据权利要求1所述的方法，还包括阻止所述计算设备的操作系统回滚到所述操作系统的、不支持所述盗窃防护的先前版本。

4.根据权利要求3所述的方法，所述阻止包括：

检查被包括在所述计算设备的所述已认证变量存储系统中的操作系统版本标识符列表是否包括在所述计算设备上正被引导的操作系统的标识符；以及

如果所述操作系统版本标识符列表包括在所述计算设备上正被引导的所述操作系统的所述标识符，则阻止所述操作系统在所述计算设备上引导。

5.根据权利要求1所述的方法，还包括：

确定所述计算设备的所有权要被验证；

响应于通过所述网络对所述密钥服务的访问可用，获取来自所述密钥服务的、所述用户是否是所述计算设备的所有者的指示，所述指示是基于被输入到所述计算设备的用户凭证；

响应于所述用户被确定为是所述计算设备的所述所有者，允许所述用户访问所述计算设备；以及

响应于所述用户被确定为不是所述计算设备的所述所有者，拒绝所述用户访问所述计算设备。

6.根据权利要求1所述的方法，所述已认证变量存储系统实现统一可扩展固件接口规范。

7.根据权利要求1所述的方法，所述数据值已经基于所述恢复密钥和所述设备标识符的级联而被生成。

8.一种计算设备，包括：

一个或多个硬件处理器；以及

一个或多个计算机可读存储介质，其上存储有多个指令，所述多个指令响应于被所述一个或多个处理器执行而使所述一个或多个处理器执行动作，所述动作包括：

确定要在所述计算设备上启用盗窃防护；

通过网络向身份服务发送所述计算设备的用户的用户凭证；

从所述身份服务接收指示所述身份服务已经验证了所述用户凭证的数据结构；

通过所述网络向密钥服务发送所述结构；

从所述密钥服务接收已经由所述密钥服务基于用于所述计算设备的恢复密钥以及标识所述计算设备的设备标识符两者而生成的第一数据值；

通过将所述第一数据值写入到所述计算设备的已认证变量存储系统，在所述计算设备上将所述第一数据值保存为已认证变量；

接收用户输入，所述用户输入是所述计算设备的所述恢复密钥；

基于所述用户输入以及标识所述计算设备的所述设备标识符，生成第二数据值；

确定所述第一数据值和所述第二数据值是否是相同值；

响应于所述第一数据值和所述第二数据值是相同值，将所述计算设备改变为未保护状态；

响应于所述第一数据值和所述第二数据值是相同值，允许所述用户访问处于所述未保护状态的所述计算设备；以及

响应于所述第一数据值和所述第二数据值不是相同值，拒绝所述用户访问所述计算设备。