CN101167060A - 用以提供安全开机架构的***与方法 - Google Patents
用以提供安全开机架构的***与方法 Download PDFInfo
- Publication number
- CN101167060A CN101167060A CNA2006800088798A CN200680008879A CN101167060A CN 101167060 A CN101167060 A CN 101167060A CN A2006800088798 A CNA2006800088798 A CN A2006800088798A CN 200680008879 A CN200680008879 A CN 200680008879A CN 101167060 A CN101167060 A CN 101167060A
- Authority
- CN
- China
- Prior art keywords
- power
- mode
- pbbvr
- processor
- candidate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
- Power Sources (AREA)
Abstract
一种用于提供安全开机架构的***与方法依照本发明的实施例包括处理器,具有原子状态机器与实体保护储存区。该原子状态机器在开机模式事件之际于状态储存图中储存该处理器的状态。该原子状态机器亦在响应该开机模式事件下认证前置BIOS开机向量区(PBBVR)之一物件。PBBVR可被储存于该实体保护储存区中。若PBBVR成功地被认证,该原子状态机器由实体保护储存区加载重叠存储中。若PBBVR成功地被认证,该处理器执行来自重叠存储中之PBBVR。该原子状态机器亦可接收候选的PBBVR升级影像、认证该候选的PBBVR升级影像、并在新候选的PBBVR升级影像中所包含的PBBVR若被认证时,以包含于该候选的PBBVR升级影像的新的PBBVR替换当前之PBBVR。
Description
技术领域
本发明涉及用以提供安全开机架构的***与方法。
背景技术
用处理器来执行指令区块一般为执行一些作业。全部的指令序列有很大的程度由处理器的观点为有效。该处理器对完整及/或有效的程序或函数不具有有意义的意向。因而,若指令区块可被呈现至处理器,其一般将被执行。所以,含有所谓的合法指令会可靠地致使处理器执行、故障、或停止。
因此,其欲用处理器来限制码的执行。限制执行的方法之一为利用对指令序列的认证。在惯常技艺中,一个或多个码区块可被认证以提供安全的计算环境。该认证过程建立一区块之码作为指令的被信任之序列。然而,惯常认证过程有赖于一假设,即码的认证的另一区块由之可依据的某一特定之码区块可被信任。该认证过程可被运用以建立信任链。然而,多重码区块认证的键结过程仍一起依赖码的根区块被信任的假设。因之,惯常的安全计算架构因根区块不被信任的事实的结果而维持易伤害的。
发明内容
因之,本发明的实施例被导向具有安全开机架构之***。在安全开机架构中,用于处理器之一目标指令可在开机模式中被认证,使得在处理器上被执行之可就其信任溯源回到处理器实现。本发明之实施例亦可提供处理器强化开机模式升级机制。
在一实施例中,具有安全开机架构之一处理器包括一原子状态机器被耦合至一实体保护储存区。该实体保护储存区储存一开机模式对象。该原子状态机器在同一处理器执行一第一目标指令前认证该开机模式对象。该原子状态机器亦可接收一候选的PBBVR升级影像、认证该候选的PBBVR升级影像、并在新候选的PBBVR升级影像中所包含之PBBVR若被认证时,以包含于该候选的PBBVR升级影像之新的PBBVR替换当前之PBBVR。
在另一实施例中,一种用于提供安全开机架构之方法包括接收一开机模式事件、认证一开机模式对象、及在该开机模式对象若被认证时执行一第一目标指令。该方法可进一步包括接收一候选的PBBVR升级影像、认证该候选的PBBVR升级影像、并在新候选的PBBVR升级影像中所包含之PBBVR若被认证时,以包含于该候选的PBBVR升级影像之新的PBBVR替换当前之PBBVR。
在还有之另一实施例中,一种用于提供安全开机架构之***包括一原子状态机器被耦合至一实体保护储存区。该原子状态机器在一开机模式事件发生之际于一状态储存图中储存一处理器的状态。该原子状态机器在一开机模式事件之际于一状态储存图中储存该处理器的状态。该原子状态机器亦在响应该开机模式事件下认证一前置BIOS开机向量区(PBBVR)之一物件。PBBVR可被储存于该实体保护储存区中。若PBBVR成功地被认证,该原子状态机器由实体保护储存区加载一重叠存储中。若PBBVR成功地被认证,该处理器执行来自重叠存储中之PBBVR。
此揭示描述一种用于提供安全开机架构之***与方法依照本发明的一实施例包括一处理器,具有一原子状态机器与一实体保护储存区。该原子状态机器在一开机模式事件之际于一状态储存图中储存该处理器的状态。该原子状态机器亦在响应该开机模式事件下认证一前置BIOS开机向量区(PBBVR)之一物件。PBBVR可被储存于该实体保护储存区中。若PBBVR成功地被认证,该原子状态机器由实体保护储存区加载一重叠存储中。若PBBVR成功地被认证,该处理器执行来自重叠存储中之PBBVR。该原子状态机器亦可接收一候选的PBBVR升级影像、认证该候选的PBBVR升级影像、并在新候选的PBBVR升级影像中所包含之PBBVR若被认证时,以包含于该候选的PBBVR升级影像之新的PBBVR替换当前之PBBVR。
附图说明
本发明的实施例在附图中以举例而非限制的方式被图示,且其中类似的组件编号指类似的组件,其中:
图1显示依照本发明的一实施例用于建立安全开机架构的***的方块图。
图2A与图2B显示依照本发明的一实施例用于建立安全开机架构的方法的流程图。
图3显示依照本发明的一实施例一前置BIOS开机向量区(PBBVR)格式。
图4显示依照本发明的一实施例的物理存储与重叠存储的格式。
图5显示依照本发明的一实施例用于控制该开机模式的升级的方法的流程图。
图6显示依照本发明的一实施例一开机模式升级对象的格式。
具体实施方式
较佳实施例的详细说明
现在详细参照本发明的实施例,其例子在附图中被显示。虽然本发明将配合这些实施例被描述,其将被了解其不欲将本发明限制于这些实施例。相反地,本发明涵盖替选做法、修改与等值事项,其可纳入本发明权利要求所定义的领域内。进一步,在本发明的下列详细描述中,很多特定细节被设立,以提供对本发明的透彻了解。然而,本发明可不需这些特定细节实现。在其它实施例中,相当习知的方法、组件与电路未曾详细地被描述,以免不必要地模糊本发明之层面。
本发明的实施例提供安全开机架构。该安全开机架构的开机模式为处理器认证目标指令,使得在处理器上被执行的所有指令可就其信任溯源回至处理器实现。所以,认证在基本输入输出***(BIOS)区块前被建立。本发明的实施例可提供认证后的开机模式码可以被升级而不致损失信任的机制。
参照图1,为了建立依照本发明的一实施例的安全开机架构的***方块图被显示。如图1显示者,该安全开机架构***包括处理器110、一个或多个物理存储单元120,130与一个或多个输入/输出装置140之类。处理器110可为通用处理器或专用控制器之类。此类一个或多个物理存储单元120,130与一个或多个输入/输出装置140可通讯式地被耦合至处理器110。在一实现中,该一个或多个物理存储单元120,130与该一个或多个输入/输出装置140可用一个或多个总线150通讯式地被耦合至处理器110。
处理器110可包括原子状态机器112、挥发性实体保护储存区(如高速缓存)113与非挥发性实体保护储存区114。原子状态机器112可实现开机模式且可可选地实现开机模式升级机制。非挥发性实体保护储存区114可包含开机模式码。在一实现中,该挥发性113与非挥发性实体保护储存区114可为处理器110的整体部分(如在处理器模片上被制作)。在另一实现中,该挥发性113与非挥发性114实体保护储存区可由处理器110被分离。在一实现中,包含开机模式码之非挥发性实体保护储存区114为可写入非挥发性存储(如闪存之类)。
用于建立图1的安全开机架构的***将在此间配合图2A与图2B进一步被描述。如图2A与图2B,用于依照本发明的一实施例建立安全开机架构的方法被显示。
建立安全开机架构可用处理器110在步骤210接收开机模式进入事件而加以启动。此类开机模式进入事件可包括为事件后码执行的可信任性及/或来自被开机模式提供的认证闸的利益显示隐喻。此类开机模式进入事件可包括一个或多个事件,如重置、部分重置、来自中断控制器的一个或多个中断、来自关机状态的一个或多个中断(如多处理器***)。在一实现中,在旧有***(如x86)的开机模式进入事件可包括:
ENTRY ID开机模式进入事件
0 RESET
1 INIT
2 APIC_IPI_INIT
3 APIC_IPI_INIT_W_VECTOR
4 APIC_INI_SMI
5 APIC_INI_NMI
6 RESET_FROM_SHUTDOWN
7 INIT_FROM_SHUTDOWN
8 SMI_FROM_SHUTDOWN
9 NMI_FROM_SHUTDOWN
开机模式进入事件为非可遮蔽的中断。一旦进入开机模式,处理器将延迟非可遮蔽的中断(包括***管理中断,SMI),直至开机模式被注销为止。
在步骤215,开机模式进入事件的接收可致使处理器110修改其状态。在一实现中,就RESET开机模式进入事件而言,处理器110的码段寄存器(如cs_base)、指令指针寄存器(如eip)与***管理基础寄存器(如sm_base)可被修改为下列的值:
cs_base=0xffff0000
eip=0x0000fff0
sm_base=0x00030000
最好码段寄存器与指令指针寄存器指向BIOS开机区块。在一实现中,进入开机模式会致使当前状态(如旧有重置)被写至扩充重叠存储结尾的状态储存图。
在可选的步骤217,原子状态机器112可判定重叠存储是否被初始化。其被了解,重叠存储的重新初始化可就一个或多个开机模式进入事件被避免。因之,若重叠存储当前被初始化,用于建立安全开机架构的方法可在步骤227进行。若重叠存储当前未被初始化,该方法可在步骤220进行。
在步骤220,原子状态机器112认证被储存于非挥发性实体保护储存区114中的开机模式码。开机模式码的认证可为依实现而定的。在一实现中,开机模式码的认证可运用简单的核对法则被完成。在另一实现中,开机模式码的认证可运用复杂的数字签名验证处理被完成。认证处理的复杂性可为被用以保存开机模式码的非挥发性实体保护储存区114的实体安全性的功能。因之,实体保护储存区114被耦合至处理器110越紧密,所需的认证程度越低。
在步骤225,重叠存储可被初始化且开机模式码可被映像至重叠存储内。重叠存储可藉由组合认证后的开机模式码与被保留的开机模式数据区而被构建。在一修改后的x86实现中,开机模式码为前置BIOS开机向量区(PBBVR)物件。在此实现中,重叠存储在开机模式执行中被映像至一部分的实体地址空间,其隐蔽一部分常规物理存储(如RAM)。在一实现中,此重叠存储被维持为处理器内部存储器113(如一处理器内部存储数组)。在一实现中,此重叠存储为主存储器130的被保护的部分。
处理器110修改后状态可在步骤227被储存于一状态储存图(SSM)中。在修改后的x86实现中,因RESET而进入开机模式会致使当前状态(如旧有重置)被写至扩充重叠存储结尾的状态储存图。
现在参照图3,依照本发明一实施例的前置BIOS开机向量区(PBBVR)对象被显示。如图3中被显示者,PBBVR可包含标头310及组合码与数据有效载荷320。PBBVR的长度可为连续页数的整数。标头310可具有被设定的布置,包括PBBVR组态与认证数据,其涵盖整个PBBVR对象与执行时间环境。该组合码与数据有效载荷320可包含用于在开机模式中执行所需要的码与数据。
现在参照图4,依照本发明的一实施例的物理存储405与重叠存储410的格式被显示。如图4中被显示的,重叠存储410可被映像至一预设的物理存储位置。重叠存储410可被映像,使得其在预设的界限(如1 MiB)415结束。在修改后的x86实现中,重叠存储410被映像至0x00100000周围的实体地址(如1MB)。在此种实现的前提下,该重叠存储作为比APIC存储靠近核心的常规挥发性存储(如RAM 130),但其由输入/输出装置140对直接存储存取(DMA)为不可见的。其在开机模式外的执行码同样为不可见的。
再次参照图1,图2A与图2B,一旦处理器110的当前状态被储存于原子状态机器且开机模式码已被认证,处理器100的状态可在步骤230被原子状态机器112改变,以启动来自重叠存储的开机模式码的运转时间执行。在修改后的x86实现中,开机模式以最像***管理模式(SMM)的寄存器状态如16位的码段或扁平数据段进入。然而,指令指针被设定为如下:
cs_base=0x000f0000
eip=0x0000fff0
从而,码执行(如随后于一RESET事件)将从与BIOS开机向量被放置处不同的位置开始。
处理器进入开机模式的理由可在一些机器状态寄存器被捕取。在修改后的x86实现中,致使进入开机模式的事件的一个或多个参数亦可在下面的开机模式机器特定寄存器(MSR)被捕取。
MSR_TMx86_BOOT_MODE_ENTRY_STATE=0x80868077
该开机模式机器特定MSR如下列般地执行:
RDMSR[MSR_TMx86_BOOT_MODE_ENTRY_STATE]:
If(NOT executing_in_boot_mode){
#GP(0) ;
} else {
充填eax与edx作为每一个下列之’C’union;
Typedef union tsb_msr_info_u {
struct{
uint32 eax_lo;
uint32 edx_hi;
}flat;
struct{
unsigned entry_event:5;
unsigned_rsvl:6;
unsigned data_preserved:1;
unsigned data_page_extension_count:8;
unsigned_rsv2:12;
unsigned_rsv3:32;
}bits;
}tsb_msr_info_t;
}
该tsb_msr_info_t.bits.entry_event位字段值如上述地包含entry_id。从而,指示致使开机模式进入的事件的码被送回。tsb_msr_info_t.bits.data_page_count包含在开机模式中被提供之额外的4KiB页的数目。被送回之扩充重叠大小为被处理器110分配的实际额外存储,而非在PBBVR之标头被请求的页。tsb_msr_info_t.bits.data_preserved位指出进入开机模式是否保留来自先前召唤的重叠存储的内容(”0”值指出开机模式存储已新近地被即刻化,及”1”值指出该存储包含由最后一次离开开机模式起就被保留的数据)。
在一实现中,于已认证PBBVR后,处理器扩充存储以包括一个或多个额外数据页(如4KiB的非0的倍数)。存储重叠的大小可在PBBVR的标头被定义。在一实现中,PBBVR可被复制至达到192KiB的一存储重叠。该扩充存储重叠可被初始化为0xff。
其被熟习本技艺者了解SMM中的码执行可如何进入保护模式。保护模式可促成分页、除外与中断处置之类而不须离开SMM。其进一步被了解,此保护模式特点被开机模式共同。因之,可由开机模式被执行的作业范围包括:浅薄的,如简单地执行RSM执行、模彷旧有x86(如没有开机模式支持);以至于复杂的,如码的前置BIOS执行以在BIOS败坏的事件中以BIOS的***式恢复完全地认证BIOS、或实现可能初始化SMM处置器或隐藏在被锁定的T段中的操作***的非旧有开机顺序。因而,透过PBBVR码执行RSM指令前的开机模式SSM的修改,任意机器状态与模式可被实现。
在步骤235,开机模式对象的组合码与数据有效载荷可由重叠存储执行。在一实现中,该码可认证BIOS开机区块。在步骤240,开机模式可被退出。在一实现中,PBBVR码可通过执行由***管理模式(RSM)指令的恢复而退出。其被了解,在RESET开机模式进入事件之后,储存于开机模式状态储存图(SSM)中的cs_base,eip与sm_base值为旧有重置向量。其进一步被了解,若在存储开机模式进入向量处呈现的码(如0xf000:fff0)包含单一RSM指令,则该修改后的处理器将立刻退出开机模式及启动旧有开机而链接至BIOS。
若PBBVR被认证,BIOS码可在步骤250被执行。在步骤265-270,处理器的操作可用一个或多个其它的码区块的执行而继续。一个或多个其它的码区块可针对将其认证溯源回至PBBVR开机模式码的被认证的BIOS码在步骤255-260被认证。
若PBBVR未被认证,处理器的作业可在步骤290被停止。可选的是,在停止处理器的作业前,PBBVR的恢复版本可在步骤275用处理器对运转时间被认证。在步骤280,PBBVR的恢复版本在其若成功地被认证可由实体保护储存区被加载预设的重叠存储。若PBBVR的恢复版本被认证,处理器的运转时间执行可如上述地用处理器230继续。若PBBVR的恢复版本未被认证,处理器的作业可在步骤290被停止。因而,若既非主要开机模式码亦非恢复开机模式码被认证,该处理器可拒绝执行。
因之,本发明的实施例提供安全开机架构。安全开机架构的开机模式为处理器有效地认证目标指令,使得在处理器上被执行之所有指令可对其信任溯源回到该处理器实现。所以,认证在基本输入输出***(BIOS)开机区块执行前被建立。
上述开机模式的处理器的实现可用额外的处理器强化升级机制加以补充。现在参照图5,依照本发明的实施例用于控制开机模式码升级方法的流程图被显示。用于控制开机模式码升级的该方法将参照图1的***被描述。
具有安全开机架构的***在至少预先存在的正确地被格式化及被认证的对象(如PBBVR)若于实体保护储存区114中被呈现时可被升级。该开机模式码升级机制可运用私密/公共密钥认证法则。用于升级***中的开机模式码的处理在步骤510以接收开机模式升级影像开始。在一实现中,平台制造者产生被签署的PBBVR升级对象,其经由输入/输出装置140被传送至该***。
现在参照图6,依照本发明的一实施例的开机模式升级对象(如被签署的PBBVR升级影像)被显示。如图6中显示者,该对象包括数字签名(如DSA签名)610、充填数据620、新开机模式码(如新PBBVR)对象630与升级影像标头640。该升级影像标头640包括升级影像大小与版本媒合信息。新PBBVR 630包含将被升级***使用的认证信息。新PBBVR 630不被使用作为用于当前升级部分的升级认证。此为运转中的PBBVR在其离开非挥发性实体保护储存区114时、升级影像标头640的内容、与被运用以认证开机模式升级影像的数字签名610的组合。
在步骤520,被接收的开机模式升级影像(如候选的升级影像)可在挥发性实体保护储存区113中被存储。在修改后之x86实现中,在接收开机模式升级影像之际,在任一有特权之模式(如开机模式、***管理模式、真实模式与被保护模式之类)中执行的x86码如下列地将ECX、EAX与EDX寄存器初始化:
ECX=MSR_TMx86_PBBVR_UPGRADE=0x80868008
EAX=被签署的PBBVR影像的底的线性地址。
EDX=在被签署PBBVR影像中的DWORDS的数目
假设旧***已就EAX中所保存的值为基础的被签署之PBBVR升级影像被配置且长度为EDX DWORDS,该旧***执行WRMSR指令。依作业而定的WRMSR机器致使当前的处理器存储候选的PBBVR升级影像的一复制。该候选的PBBVR升级影像的被存储的复制应被保护免于直接存储存取及来自层处理器的侦察要求。
在步骤530,于当前开机模式对象的标头的公共密钥被用以验证候选的开机模式升级影像的升级影像标头中的数字签名。在一实现中,WRMSR指令由非挥发性实体保护储存区114重新读取当前PBBVR的标头以抽取公共DSA密钥。WRMSR指令亦计对此公共DSA密钥验证被接收之候选的PBBVR升级影像的DSA签名。若候选的升级影像认证失败,WRMSR机器特定作业的完成可经由RDMSR产生状态报告(如0x80868000)。
在步骤535,额外的候选的开机模式升级影像验证可被执行。在一实现中,WRMSR指令亦可针对如匹配“当前”字段至在到来的候选的PBBVR升级影像中被确定的被允许的范围的存取控制数据来验证该候选的PBBVR升级影像。若候选的升级影像在此存取控制测试失败,WRMSR机器特定作业的完成可经由RDMSR产生一状态报告(如0x80868000)。
若认证与存取控制检查成功,处理器110在步骤540可盖写于实体保护储存区114中当前的开机模式对象。然后在步骤545,被写入实体保护储存区114的新开机模式对象可被验证。在一实现中,若于实体保护储存区114中当前的主要PBBVR可被验证为有效的,处理器110可首先盖写当前的恢复PBBVR。然后该处理器可验证新的恢复PBBVR正确地被写至实体保护储存区114。然后该处理器可重复该程序以写入该升级PBBVR作为实体保护储存区114中新的主要PBBVR。
在一替选实现中,若实体保护储存区114中的主要PBBVR被发现为无效的,该处理器可用新的PBBVR盖写该无效的主要PBBVR并验证该新的主要PBBVR正确地被写至实体保护储存区114。然后该处理器可用新的PBBVR盖写该恢复PBBVR并验证该新的恢复PBBVR亦正确地被写至实体保护储存区114。因此,就算在如电力失效与热事件之类的事件可能致使PBBVR升级处理败坏的事实,于实体保护储存区114中将存在有至少一未败坏的PBBVR。
从而,本发明的实施例提供被认证的开机模式码可用以被升级的机制。其被了解,该开机模式码可在运转中的***中不致损失信任地而有利地被升级。
本发明前面的特定实施例已就说明与描述目的被提出。其不为排他性的且将本发明限制于所揭示的精确形式,及明显的是很多修改与变化基于上面的教习为可能的。该等实施例被选用及被描述以最佳地解释本发明的原理与其实务应用,而促成其它本领域技术人员用适合所企画的特定用途的各种修改来最佳地运用本发明与各种实施例。其被欲于本发明的领域用在此所附的申请专利范围与其等值事项被定义。
主要组件符号说明
110…处理器 410…重叠存储
112…原子状态机器 415…界限
113…挥发性实体保护储存区 610…数字签名
114…非挥发性实体保护储存区 620…充填数据
120…物理存储单元 630…新开机模式码对象
130…物理存储单元 640…升级影像标头
140…输入/输出装置
150…总线
310…标头
320…码与数据有效载荷
405…物理存储
Claims (33)
1.一种具有安全开机架构的处理器,其特征在于,包含:
实体保护储存区,用于存储开机模式对象;以及
原子状态机器,被耦合至所述实体保护储存区,用于在执行第一目标指令前认证所述开机模式对象。
2.如权利要求1所述的处理器,其特征在于,所述开机模式对象包含标头部分与组合码与数据有效载荷部分。
3.如权利要求2所述的处理器,其特征在于,所述标头部分包含受限定的存储器大小。
4.如权利要求3所述的处理器,其特征在于,所述标头包含组态与认证数据。
5.如权利要求1所述的处理器,其特征在于,所述原子状态机器为可操作以:
接收候选的开机模式升级影像;
认证所述候选的开机模式升级影像;以及
在所述候选的开机模式升级影像若被认证时,以该候选的开机模式升级影像中的新开机模式对象替换该开机模式对象。
6.一种用于为具有处理器的计算机***提供安全开机架构的方法,其特征在于,包含:接收开机模式事件;
认证开机模式对象;以及
在该开机模式对象若被认证时执行第一目标指令。
7.如权利要求6所述的方法,进一步包含:
存储初始化状态;
在存储该初始化状态后执行该开机模式对象中的第一指令;以及
在执行该第一指令后恢复该初始化状态。
8.如权利要求6所述的方法,进一步包含:
若该开机模式对象未被认证,认证恢复开机模式对象;
若该恢复开机模式对象被认证,执行该第一指令;以及
若该恢复开机模式对象未被认证,停止执行。
9.如权利要求6所述的方法,其特征在于,认证该开机模式对象包含数字签名验证处理。
10.如权利要求6所述的方法,其特征在于,认证该开机模式对象包含核对和验证处理。
11.如权利要求6所述的方法,其特征在于,该开机模式事件包含非可遮蔽的中断。
12.如权利要求6所述的方法,其特征在于,该开机模式对象包含具有被确定的布置的标头。
13.如权利要求12所述的方法,其特征在于,该标头包含组态与认证数据。
14.如权利要求6所述的方法,其特征在于,进一步包含在开机模式特定机器状态寄存器中存储该开机模式事件的参数。
15.如权利要求6所述的方法,进一步包含:
接收候选的开机模式升级影像;
认证该候选的开机模式升级影像;以及
在该候选的开机模式升级影像若被认证时,以该候选的开机模式升级影像中的新开机模式对象替换该开机模式对象。
16.如权利要求15所述的方法,其特征在于,认证该候选的开机模式升级影像包含针对该开机模式码的公共密钥验证该候选的开机模式升级影像的数字签名。
17.一种用于提供安全开机架构的***,其特征在于,包含:
实体保护储存区,用于存储主要开机模式对象;
原子状态机器,用于:
在接收开机模式事件时,在状态储存图中存储处理器的状态;
在接收开机模式事件时,认证该主要开机模式对象的对象;以及
若该主要PBBVR被成功认证,则将该主要开机模式对象从该实体保护储存区加载至重叠存储器内;以及
若该主要PBBVR被成功认证,则该处理器用于执行来自该重叠存储器的该主要开机模式对象。
18.如权利要求17所述***,其特征在于,该主要开机模式对象包含主要前置BIOS开机向量区(PBBVR)。
19.如权利要求18所述***,其特征在于,该原子状态机器进一步用于在执行该主要PBBVR后恢复来自该状态储存图的该处理器的该状态。
20.如权利要求17所述的***,其特征在于,:
该实体保护储存区进一步用于存储恢复主要开机模式对象;
该原子状态机器进一步用于:
若该主要开机模式对象未被成功认证,则认证该恢复开机模式对象的对象;
若该恢复开机模式对象被成功认证,则将该恢复开机模式对象从该实体保护储存
区加载至所述重叠存储内;以及
在执行该恢复开机模式对象后,恢复来自该状态储存图的该处理器的该状态;以及
若该恢复开机模式对象未被成功认证,则通过该处理器停止执行;以及
若该恢复开机模式对象被成功认证,则该处理器用于执行来自该重叠存储器的恢复开机模式对象。
21.如权利要求20所述的***,其特征在于,该恢复开机模式对象包含恢复PBBVR。
22.如权利要求17所述的***,其特征在于,恢复该处理器的该状态致使通过该处理器的执行跳越至BIOS开机区块。
23.如权利要求19所述的***,其特征在于,该主要PBBVR包含标头和被组合码与数据有效载荷。
24.如权利要求23所述的***,其特征在于,该主要PBBVR包含有整数页数的连续的数页。
25.如权利要求23所述的***,其特征在于,该主要PBBVR包含处理器组态与认证数据。
26.如权利要求17所述的***,其特征在于,该重叠存储器被映像至预设的物理存储位置。
27.如权利要求17所述的***,其特征在于,该重叠存储器作为常规的存储。
28.如权利要求17所述的***,其特征在于,该重叠存储器对于被输入/输出装置访问的直接存储器是不可见的。
29.如权利要求17所述的***,其特征在于,该重叠存储对于开机模式外执行的码是不可见的。
30.如权利要求17所述的***,其特征在于,该状态储存图被存储在该重叠存储器的结束处。
31.如权利要求17所述的***,其特征在于,进一步包含开机模式特定机器状态寄存器,用于捕取该开机模式事件的参数。
32.如权利要求18所述的***,该原子状态机器进一步用于;
接收候选的PBBVR升级影像;
认证该候选的PBBVR升级影像;以及
若该候选的PBBVR升级影像被认证,则以该候选的PBBVR升级影像的新的PBBVR替换该主要PBBVR与该恢复PBBVR。
33.如权利要求18所述的方法,其特征在于,认证该候选的PBBVR升级影像包含针对该主要PBBVR或该恢复PBBVR公共密钥验证该候选的开机模式升级影像的数字签名。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/053,081 | 2005-02-07 | ||
| US11/053,081 US20060179308A1 (en) | 2005-02-07 | 2005-02-07 | System and method for providing a secure boot architecture |
| PCT/US2006/004094 WO2006086301A1 (en) | 2005-02-07 | 2006-02-03 | System and method for providing a secure boot architecture |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101167060A true CN101167060A (zh) | 2008-04-23 |
| CN101167060B CN101167060B (zh) | 2012-11-28 |
Family
ID=36781282
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800088798A Expired - Fee Related CN101167060B (zh) | 2005-02-07 | 2006-02-03 | 用以提供安全开机架构的***与方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20060179308A1 (zh) |
| CN (1) | CN101167060B (zh) |
| TW (1) | TWI436229B (zh) |
| WO (1) | WO2006086301A1 (zh) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8468361B2 (en) * | 2005-09-21 | 2013-06-18 | Broadcom Corporation | System and method for securely provisioning and generating one-time-passwords in a remote device |
| US20080126779A1 (en) * | 2006-09-19 | 2008-05-29 | Ned Smith | Methods and apparatus to perform secure boot |
| US8984265B2 (en) * | 2007-03-30 | 2015-03-17 | Intel Corporation | Server active management technology (AMT) assisted secure boot |
| TWI342520B (en) * | 2007-08-27 | 2011-05-21 | Wistron Corp | Method and apparatus for enhancing information security in a computer system |
| US20090133097A1 (en) * | 2007-11-15 | 2009-05-21 | Ned Smith | Device, system, and method for provisioning trusted platform module policies to a virtual machine monitor |
| US9069990B2 (en) * | 2007-11-28 | 2015-06-30 | Nvidia Corporation | Secure information storage system and method |
| US20090204801A1 (en) * | 2008-02-11 | 2009-08-13 | Nvidia Corporation | Mechanism for secure download of code to a locked system |
| US20090204803A1 (en) * | 2008-02-11 | 2009-08-13 | Nvidia Corporation | Handling of secure storage key in always on domain |
| US9158896B2 (en) * | 2008-02-11 | 2015-10-13 | Nvidia Corporation | Method and system for generating a secure key |
| US9069706B2 (en) * | 2008-02-11 | 2015-06-30 | Nvidia Corporation | Confidential information protection system and method |
| US8719585B2 (en) * | 2008-02-11 | 2014-05-06 | Nvidia Corporation | Secure update of boot image without knowledge of secure key |
| DE102008011925B4 (de) * | 2008-02-29 | 2018-03-15 | Globalfoundries Inc. | Sicheres Initialisieren von Computersystemen |
| US9613215B2 (en) * | 2008-04-10 | 2017-04-04 | Nvidia Corporation | Method and system for implementing a secure chain of trust |
| DE102008021567B4 (de) | 2008-04-30 | 2018-03-22 | Globalfoundries Inc. | Computersystem mit sicherem Hochlaufmechanismus auf der Grundlage einer Verschlüsselung mit symmetrischem Schlüssel |
| US8843742B2 (en) * | 2008-08-26 | 2014-09-23 | Hewlett-Packard Company | Hypervisor security using SMM |
| WO2010039788A2 (en) * | 2008-09-30 | 2010-04-08 | Bigfoot Networks, Inc. | Processor boot security device and methods thereof |
| TWI409664B (zh) * | 2009-09-09 | 2013-09-21 | Micro Star Int Co Ltd | Personal computer boot authentication method and its boot authentication system |
| US8464038B2 (en) | 2009-10-13 | 2013-06-11 | Google Inc. | Computing device with developer mode |
| US8321657B2 (en) * | 2009-10-16 | 2012-11-27 | Dell Products L.P. | System and method for BIOS and controller communication |
| US8522066B2 (en) * | 2010-06-25 | 2013-08-27 | Intel Corporation | Providing silicon integrated code for a system |
| US8312258B2 (en) * | 2010-07-22 | 2012-11-13 | Intel Corporation | Providing platform independent memory logic |
| US9489924B2 (en) | 2012-04-19 | 2016-11-08 | Nvidia Corporation | Boot display device detection and selection techniques in multi-GPU devices |
| US9740492B2 (en) * | 2015-03-23 | 2017-08-22 | Intel Corporation | System management mode trust establishment for OS level drivers |
| TWI616774B (zh) * | 2016-12-08 | 2018-03-01 | 緯創資通股份有限公司 | 電子裝置及其安全起動方法 |
| CN108664280A (zh) * | 2017-03-31 | 2018-10-16 | 深圳市中兴微电子技术有限公司 | 一种嵌入式***启动方法及装置 |
| US10540501B2 (en) * | 2017-06-02 | 2020-01-21 | Dell Products, L.P. | Recovering an information handling system from a secure boot authentication failure |
| US11119947B2 (en) * | 2017-10-30 | 2021-09-14 | Hewlett-Packard Development Company, L.P. | Secure hardware initialization |
| US11099831B2 (en) * | 2018-02-08 | 2021-08-24 | Micron Technology, Inc. | Firmware update in a storage backed memory system |
| US11243757B2 (en) * | 2018-12-03 | 2022-02-08 | Dell Products L.P. | Systems and methods for efficient firmware update of memory devices in BIOS/UEFI environment |
| US20220091853A1 (en) * | 2020-09-23 | 2022-03-24 | Intel Corporation | Technology to measure boot activity before a processor enters a working state |
| US11800693B1 (en) * | 2021-09-30 | 2023-10-24 | Amazon Technologies, Inc. | Reversible server system |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4401208A (en) * | 1981-04-13 | 1983-08-30 | Allmacher Jr Daniel S | Accumulating conveyor system |
| US5421006A (en) * | 1992-05-07 | 1995-05-30 | Compaq Computer Corp. | Method and apparatus for assessing integrity of computer system software |
| US5379342A (en) * | 1993-01-07 | 1995-01-03 | International Business Machines Corp. | Method and apparatus for providing enhanced data verification in a computer system |
| JP2974577B2 (ja) * | 1994-02-28 | 1999-11-10 | 株式会社東芝 | コンピュータシステム |
| US6185678B1 (en) * | 1997-10-02 | 2001-02-06 | Trustees Of The University Of Pennsylvania | Secure and reliable bootstrap architecture |
| US6401208B2 (en) * | 1998-07-17 | 2002-06-04 | Intel Corporation | Method for BIOS authentication prior to BIOS execution |
| US6356529B1 (en) * | 1999-08-12 | 2002-03-12 | Converse, Ltd. | System and method for rapid wireless application protocol translation |
| US6519552B1 (en) * | 1999-09-15 | 2003-02-11 | Xerox Corporation | Systems and methods for a hybrid diagnostic approach of real time diagnosis of electronic systems |
| US6711675B1 (en) * | 2000-02-11 | 2004-03-23 | Intel Corporation | Protected boot flow |
| US6625730B1 (en) * | 2000-03-31 | 2003-09-23 | Hewlett-Packard Development Company, L.P. | System for validating a bios program and memory coupled therewith by using a boot block program having a validation routine |
| US7069431B2 (en) * | 2001-07-31 | 2006-06-27 | Lenovo ( Singapore) Pte Ltd. | Recovery of a BIOS image |
| US7308714B2 (en) * | 2001-09-27 | 2007-12-11 | International Business Machines Corporation | Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack |
| US7237126B2 (en) * | 2001-09-28 | 2007-06-26 | Hewlett-Packard Development Company, L.P. | Method and apparatus for preserving the integrity of a management subsystem environment |
| AU2003209056A1 (en) * | 2002-02-07 | 2003-09-02 | Invensys Systems, Inc. | System and method for authentication and fail-safe transmission of safety messages |
| US7024550B2 (en) * | 2002-06-28 | 2006-04-04 | Hewlett-Packard Development Company, L.P. | Method and apparatus for recovering from corrupted system firmware in a computer system |
| JP2004038529A (ja) * | 2002-07-03 | 2004-02-05 | Nec Corp | 情報処理装置 |
| US20040064457A1 (en) * | 2002-09-27 | 2004-04-01 | Zimmer Vincent J. | Mechanism for providing both a secure and attested boot |
| EP1556781A1 (en) * | 2002-10-21 | 2005-07-27 | STMicroelectronics Asia Pacific Pte Ltd. | Apparatus to implement dual hash algorithm |
| US7231512B2 (en) * | 2002-12-18 | 2007-06-12 | Intel Corporation | Technique for reconstituting a pre-boot firmware environment after launch of an operating system |
| US7340638B2 (en) * | 2003-01-30 | 2008-03-04 | Microsoft Corporation | Operating system update and boot failure recovery |
| US20050021968A1 (en) * | 2003-06-25 | 2005-01-27 | Zimmer Vincent J. | Method for performing a trusted firmware/bios update |
| US7533274B2 (en) * | 2003-11-13 | 2009-05-12 | International Business Machines Corporation | Reducing the boot time of a TCPA based computing system when the core root of trust measurement is embedded in the boot block code |
| US7243221B1 (en) * | 2004-02-26 | 2007-07-10 | Xilinx, Inc. | Method and apparatus for controlling a processor in a data processing system |
-
2005
- 2005-02-07 US US11/053,081 patent/US20060179308A1/en not_active Abandoned
-
2006
- 2006-02-03 WO PCT/US2006/004094 patent/WO2006086301A1/en active Application Filing
- 2006-02-03 CN CN2006800088798A patent/CN101167060B/zh not_active Expired - Fee Related
- 2006-02-06 TW TW095103879A patent/TWI436229B/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| US20060179308A1 (en) | 2006-08-10 |
| WO2006086301A1 (en) | 2006-08-17 |
| TW200636515A (en) | 2006-10-16 |
| TWI436229B (zh) | 2014-05-01 |
| CN101167060B (zh) | 2012-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101167060B (zh) | 用以提供安全开机架构的***与方法 | |
| JP7039716B2 (ja) | ポリシ実行処理のためのシステムおよび方法 | |
| CN101454751B (zh) | 在点对点互连中执行安全环境初始化的装置与方法 | |
| CN104794393B (zh) | 一种嵌入式分区映像安全认证及内核可信引导方法及其设备 | |
| Costan et al. | Intel SGX explained | |
| Lie et al. | Specifying and verifying hardware for tamper-resistant software | |
| CN103154925B (zh) | 多处理器***中的通信禁用 | |
| US7308576B2 (en) | Authenticated code module | |
| US20170046538A1 (en) | Secure processor and a program for a secure processor | |
| DE202019005671U1 (de) | Koexistenz von Vertrauensdomänenarchitektur mitMehrschlüssel-Gesamtspeicherverschlüsselungstechnologieauf Servern | |
| US6754828B1 (en) | Algorithm for non-volatile memory updates | |
| CN110659244A (zh) | 内联编码能力 | |
| CN109508555A (zh) | 使用可信域在虚拟化***中提供隔离 | |
| DE112017004017T5 (de) | Sichere öffentliche cloud | |
| CN107667350A (zh) | 基于虚拟化的平台保护技术 | |
| CN114902225A (zh) | 多租户环境中的密码计算 | |
| CN111752670A (zh) | 构建信任域扩展并在信任域扩展内操作的安全仲裁模式 | |
| KR20120099472A (ko) | 보안 애플리케이션 실행을 제공하는 방법 및 장치 | |
| TW201713096A (zh) | 用以支援保護容器的即時遷移之處理器、方法、系統和指令 | |
| JP2006507548A (ja) | 認証コード方法及び装置 | |
| DE202019005672U1 (de) | System zum Verhindern eines unautorisierten Zugriffs auf verschlüsselten Speicher | |
| TW200411555A (en) | Switching between secure and non-secure processing modes | |
| CN114661347A (zh) | 用于安全指令集执行、仿真、监控和阻止的装置和方法 | |
| CN102473223A (zh) | 信息处理装置以及信息处理方法 | |
| Denis-Courmont et al. | Camouflage: Hardware-assisted cfi for the arm linux kernel |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: GAOZHI INVENTION RISK INVESTMENT CO., LTD. Free format text: FORMER OWNER: TERUNMEET CO., LTD. Effective date: 20091106 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20091106 Address after: Nevada Applicant after: Transmeta Corp. Address before: American California Applicant before: Thrun Mette Ltd |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121128 Termination date: 20160203 |