與虛擬受信任運行時bios通信的製作方法

2023-05-26 05:38:21 1

與虛擬受信任運行時bios通信的製作方法
【專利摘要】一種計算系統和與虛擬受信任運行時BIOS通信的方法。該計算系統能夠包括硬體和虛擬機監視器。虛擬受信任運行時BIOS能夠由虛擬機監視器管理。通信信道能夠與虛擬受信任運行時BIOS通信。安全套接字層能夠使通信信道安全。
【專利說明】與虛擬受信任運行時BIOS通信
【背景技術】
[0001]像計算機或其它類型的設備這樣的電子設備能夠包括負責啟動該電子設備的基本輸入/輸出系統(BIOS)。在啟動期間，BIOS初始化並配置該電子設備的組件，並且加載該電子設備中的作業系統。此外，BIOS還能夠提供其它服務，如電源管理服務、熱管理服務、BIOS更新服務等等。
【專利附圖】

【附圖說明】
[0002]一些實施例是關於下面的附圖描述的:
[0003]圖1是根據與虛擬受信任運行時BIOS的安全通信的示例實現方式的計算系統的框圖；
[0004]圖2是根據與虛擬受信任運行時BIOS的安全通信的示例實現方式的計算系統的框圖；
[0005]圖3是根據實現方式的使與虛擬受信任運行時BIOS的通信安全的方法的流程圖；
[0006]圖4是根據實現方式的使與虛擬受信任運行時BIOS的通信安全的方法的流程圖；
[0007]圖5是根據實現方式的使與虛擬受信任運行時BIOS的通信安全的方法的流程圖；以及
[0008]圖6是根據計算機可讀介質的示例實現方式的計算系統的框圖。
【具體實施方式】
[0009]基本輸入/輸出系統(BIOS)通常是在電子設備啟動時由該電子設備運行的最初代碼。電子設備的示例包括計算機(例如臺式計算機、筆記本計算機、平板計算機、伺服器計算機等)、手持設備(例如個人數字助理、智慧型電話等)、電子裝置、遊戲控制臺或任何其它類型的電子設備。BIOS對該電子設備的多個硬體組件進行初始化和配置，並且加載和啟動該電子設備的作業系統(OS)。用於BIOS的代碼通常存儲在非易失性存儲器上，如快閃記憶體設備或其它類型的可編程只讀存儲器(ROM)。
[0010]儘管上面列出多個示例BIOS功能，但是注意到在其它實現方式中能夠使用其它或可替代的BIOS功能。
[0011]根據一些實現方式，為了更強健的系統行為，能夠在電子設備的虛擬受信任運行時BIOS中提供BIOS的功能，該虛擬受信任運行時BIOS可以位於特權域(privilegeddomain)中，其中特權域是電子設備的域，該域相對安全的並且具有不可由電子設備中的其它實體利用的特定預限定的特權。一般來說，「特權域」指具有預限定的特權的域，該預限定的特權允許該域內的實體執行電子設備中其它實體(例如OS、應用程式等)不被允許執行的功能。另外，特權域還具有保護該特權域不受未經授權的訪問或攻擊影響的安全機制。與虛擬受信任運行時BIOS的通信可以通過基於網頁(web)的協議。基於網頁的協議可能是不安全的且會導致安全弱點。在一個實現方式中，可以通過像安全套接字層(secure socketlayer)這樣的公鑰和秘鑰加密來使通信安全。使與虛擬受信任運行時BIOS的通信安全能夠用來使待由系統管理模式(SMM)處理的系統管理指令安全。
[0012]特權域的示例包括下面中的任一種或某一組合:域「0」，其經常是由執行管理任務的虛擬機監視器(還被稱為管理程序(hypervisor))啟動的第一域；該虛擬機監視器(或管理程序)的一部分；來賓虛擬機，該來賓虛擬機具有向該來賓虛擬機提供增強的特權和/或安全的預限定設置；或者電子設備中具有預限定的特殊特權和/或安全機制的另一類型的域。安全的特權域能夠包括虛擬受信任運行時BIOS，該虛擬受信任運行時BIOS能夠包括用於安全地處理系統管理指令的虛擬高特權模式，而不必具有在與虛擬機監視器的對等層次上的組件(如系統管理模式轉換監視器)，以使虛擬高特權模式與其它域分離以及保護虛擬高特權模式不受其它域影響。
[0013]「虛擬機」(還被稱為「虛擬裝置」或「虛擬分割」)指為對物理機器進行虛擬化或模擬而提供的物理機器(電子設備)的某一部分或片段。從用戶或應用的角度看，虛擬機看上去像物理機器。虛擬機包括作業系統(被稱為來賓作業系統)以及至少一個應用程式。
[0014]還被稱為管理程序的虛擬機監視器(VMM)管理電子設備的包括硬體組件在內的物理資源中由虛擬機進行的共享。VMM對物理資源進行虛擬化。每個虛擬機具有由VMM管理的關聯的虛擬化物理資源。VMM處理對物理資源的請求。
[0015]在一個實現方式中，計算系統包括硬體和虛擬機監視器。虛擬受信任運行時BIOS能夠由虛擬機監視器生成。通信信道能夠與虛擬受信任運行時BIOS通信。安全套接字層使通信信道安全。
[0016]在另一實現方式中，一種方法能夠使計算系統中與虛擬受信任運行時BIOS的通信安全。該方法能夠包括管理虛擬受信任運行時BIOS並建立與虛擬受信任運行時BIOS的安全通信信道。在建立安全通信信道之後，使用安全套接字層通過安全通信信道與虛擬運行時BIOS通信。
[0017]參考附圖，圖1是根據與虛擬受信任運行時BIOS的安全通信的示例實現方式的計算系統的框圖。計算系統100能夠包括處理器110。處理器110是計算系統100的硬體105的一部分。處理器Iio能夠是通用處理器或專用處理器。作為示例，硬體105還能夠包括:I/O設備、易失性存儲器、從存儲、快閃記憶體、網絡接口控制器、圖形適配器等。該系統能夠包括虛擬機監視器115，以管理硬體組件的物理資源和虛擬化這些物理資源。計算系統包括附接至來賓域130的虛擬基本輸入輸出系統(vB10S)135。來賓域130是可以運行諸如微軟視窗、Linux、Unix或別的作業系統之類的作業系統的虛擬機。
[0018]在一些示例中，特權域120是域「0」，其是在系統啟動時由VMM102啟動的管理域並且具有增強的特權和安全機制。由域「O」執行的任務的示例包括創建和配置來賓域。域「O」和來賓域每個域均被認為是對應的虛擬機。特權域120能夠與VMMl 15分離。在替代實現方式中，特權域120能夠是VMM115的一部分。在這樣的替代實現方式中，虛擬受信任運行時BIOS功能125是VMM115的一部分。特權域120在其由受信任的VMM115生成或管理時能夠是受信任的域。
[0019]由於受信任平臺模塊(TPM)或可以包括虛擬TPM的其它設備、BIOS或另一設備可以在初始化時生成或解封一秘鑰，所以VMM115可以是受信任的。該秘鑰可以用來信任特權域120。該秘鑰可以是用來信任VMM並因此信任特權域120和虛擬受信任運行時BIOS的證書的一部分。該秘鑰可以作為證書的一部分用來生成SSL通信。該秘鑰可以在製造時存儲在計算系統上，或者在運行時生成該密鑰。該秘鑰可以是非對稱秘鑰，如公鑰或私鑰。
[0020]在特權域120中提供BIOS功能125實現「雲中的BIOS」，該「雲中的BIOS」還被稱為「虛擬受信任運行時B10S125或BIOS.V。「雲」能夠指特權域120 (或某一其它受信任的域)。該雲能夠位於計算系統100內或計算系統100外。例如，包含虛擬受信任運行時B10S125功能的雲能夠由計算系統100通過網絡訪問。網絡可以是例如區域網、廣域網或環球網。
[0021]在一些實現方式中，由基於網頁的網絡通信功能提供的基於網頁的接口是服務請求者-服務提供者模型的一部分，該服務請求者-服務提供者模型允許請求者(例如，域)通過網絡從提供者(例如，伺服器計算機)請求服務(例如，BIOS服務)。作為示例，基於網頁的接口可以是網頁服務接口。網頁服務指被設計來支持可互操作的機器對機器的機制，該可互操作的機器對機器可以是通過網絡的虛擬機與虛擬機交互。網頁服務接口可以根據由網頁服務描述語言(WSDL)描述的格式，該網頁服務描述語言(WSDL)由全球資訊網聯盟(W3C)定義。可替代地，網頁服務接口能夠根據(也由W3C定義的)簡單對象訪問協議(S0AP)，該簡單對象訪問協議是用於通過網絡在網頁服務實現方式中交換結構化信息的協議。
[0022]作為另一替代，基於網頁的接口能夠根據表述性狀態轉移(REST)體系結構，該體系結構包括客戶機和伺服器，其中客戶機能夠向伺服器提交請求且伺服器能夠向客戶機提供響應。請求和響應是圍繞資源的表述的轉移建立的。資源能夠是可以被尋址的任何連貫的且有意義的概念。資源的表述通常是捕獲資源的當前狀態或預期狀態的文檔。在REST體系結構中，由客戶機(例如，電子設備)遞交的請求能夠在一些示例中是超文本傳輸協議(HTTP)獲得(Get)請求。伺服器(例如，伺服器計算機)能夠對該HTTP獲得請求提供HTTP響應。HTTP可以包括安全超文本傳輸協議(HTTP)。
[0023]在基於網頁的接口中，通過發出包含所請求的資源的地址的虛擬受信任運行時BIOS訪問請求，能夠訪問資源(例如，內部的虛擬受信任運行時BIOS功能或外部的虛擬受信任運行時BIOS功能)。該地址能夠是網頁地址，如統一資源定位器(URL)、網際網路協議(IP)地址、簡單郵件傳輸協議(SMTP)或能夠唯一地識別所請求的資源的某一其它地址。
[0024]響應於包含在基於網頁的接口處接收的地址的虛擬受信任運行時BIOS訪問請求，基於網頁的網絡通信功能能夠將該請求送往內部的虛擬受信任運行時BIOS功能和外部的虛擬受信任運行時BIOS功能中合適的虛擬受信任運行時BIOS功能。在一些情況中，基於網頁的網絡通信功能能夠將該請求送往內部的虛擬受信任運行時BIOS功能和外部的虛擬受信任運行時BIOS功能。
[0025]由例如安全套接字層(SSL)使與虛擬受信任運行時BIOS的基於網頁的網絡通信安全，安全套接字層是用於管理網際網路上的消息傳輸安全的協議。由於與BIOS的通信是基於網頁的通信，如那些在網際網路上使用的通信，所以安全套接字層能夠通過創建安全通信信道185來使與虛擬受信任運行時BIOS的通信安全。安全套接字層(SSL)還可以指傳輸層安全(TLS)或用於使基於網頁的通信安全的任何其它安全協議。
[0026]套接字方法在網絡中的客戶機和伺服器程序之間或在同一計算機中的程序層之間來回傳送數據，因此如果虛擬受信任運行時BIOS由例如特權域主管或者如果虛擬受信任運行時BIOS在網絡上別的某處被主管，則SSL能夠用來使與該虛擬受信任運行時BIOS的通信安全。SSL使用公鑰和秘鑰加密系統，其還能夠包括數字證書的使用。
[0027]建立安全通信信道的示例可以包括域(如來賓域130)向虛擬受信任運行時BIOS做出請求來識別其自己。然後，虛擬受信任運行時B10S125能夠向該域發送SSL證書的複本。該域檢查其是否信任該SSL證書且如果該域信任該證書，則來賓域向虛擬受信任運行時BIOS發送消息。從來賓域至虛擬受信任運行時BIOS的消息可以包括用SSL公鑰加密的會話秘鑰種子(session key seed)。然後,虛擬受信任運行時B10S125能夠向該域返回經數字籤名的確認，以啟動SSL加密會話。現在，加密數據能夠在該域和虛擬受信任運行時B10S125之間共享。
[0028]在建立安全通信的另一示例中，該域可以包括SSL證書，可以要求該域識別其自己，該域通過發送SSL證書的複本來做出響應，並且虛擬受信任運行時BIOS確定其是否信任該證書並向該域發送消息。來自虛擬受信任運行時B10S125的消息可以包括用SSL公鑰加密的會話秘鑰。該域能夠向該虛擬受信任運行時BIOS返回經數字籤名的確認，以啟動SSL加密會話，這還導致在該域和該虛擬受信任運行時BIOS之間共享加密數據。
[0029]圖2是根據虛擬高特權模式的示例實現方式的計算系統的框圖。計算系統200能夠包括處理器210。處理器210是計算系統200的硬體205的一部分。該硬體能夠包括固件245，固件245可以包括基本輸入/輸出系統(B10S)250以及可擴展固件接口(EFI)255。B10S250可以被稱為物理BIOS。「物理BIOS」指駐留在諸如快閃記憶體或其它可編程的只讀存儲器之類的非易失性存儲器內的並且應當在計算系統200啟動時運行的BIOS代碼。在一些實現方式中，物理BIOS可以是BIOS的精簡(簡化)版本，因為系統管理模式的至少一部分被移至虛擬受信任運行時B10S225。如果實現了虛擬受信任運行時B10S225，則由於與虛擬受信任運行時B10S225關聯的信任，物理B10S250可以繼續被解鎖來允許變化。處理器210能夠是通用處理器或專用處理器。該系統能夠包括虛擬機監視器VMM215，以管理硬體組件的物理資源和虛擬化這些物理資源。計算系統100包括附接至來賓域230的虛擬基本輸入輸出系統(vBIOS) 235。來賓域230是可以運行諸如微軟視窗、Linux、Unix或別的作業系統之類的作業系統的虛擬機。
[0030]在一些示例中，特權域220是域「0」，其是在系統啟動時由VMM215啟動的、具有增強的特權和安全機制的管理域。由域「O」執行的任務的示例包括創建和配置來賓域。域「O」和來賓域每個域均被認為是對應的虛擬機。特權域220能夠與VMM215分離。在替代實現方式中，特權域220能夠是VMM215的一部分。在這樣的替代實現方式中，虛擬受信任運行時B10S225是VMM215的一部分。
[0031]安全通信信道285能夠用來使像系統管理請求這樣的通信安全。系統管理請求能夠由網頁服務的應用編程接口(API)發送。在另一實現方式中，系統管理請求能夠被封裝在視窗管理規範(WMI)包裝內。另一實現方式包括使用遠程過程調用(RPC)來將系統管理請求轉發至虛擬系統管理模式。
[0032]在一些實現方式中，雲中的BIOS建立在基於VMM的體系結構的以下前提基礎上:物理BIOS知道並且信任該物理BIOS正在啟動的主運行時實體(VMM215)，並且BIOS信任的VMM有能力捕獲並且關閉除來自特權域的那些1/0請求以外的所有1/0請求(訪問BIOS功能的I/o請求)。在一些實現方式中，能夠提供BIOS核驗機制來驗證要被計算系統啟動的VMM的來源。這樣的核驗機制允許管理員或其它用戶指定在計算系統中只能夠啟動經驗證的VMM。核驗機制確保計算系統內的VMM映像未被惡意修改，並且該VMM能夠是可信的。物理BIOS能夠可視地核驗VMM圖像，並且確保用事先已經規定的已知一組受控操作設置啟動該 VMM。
[0033]在核驗已經啟動了經驗證的VMM以後，然後物理BIOS能夠推遲或省略物理BIOS會正常執行的多種安全手段的運行，以防止被未經驗證的或惡意的代碼破壞。例如，物理BIOS能夠選擇不鎖定BIOS快閃寄存器和/或快閃記憶體的多個部分。
[0034]在虛擬受信任運行時B10S225內部地設置在計算系統200中的實現方式中。從希望訪問BIOS服務的計算系統的來賓虛擬機或其它實體的角度，包括BIOS服務的雲能夠位於任何位置,該任何位置包括位於計算系統外的位置。
[0035]在具有虛擬受信任運行時BIOS的一個實現方式中，除特權域或另一受信任域以外的其它域將不能夠與BIOS通信。這可能因為從來賓域至BIOS的所有通信被捕獲並且被輸送至特權域部分來由適當過濾器接收和處理。然後，特權域中的虛擬高特權模式能夠處理該請求並且做出對快閃記憶體或BIOS的直接調用或間接調用。該從特權域至BIOS的調用然後將由管理程序允許來經歷，因為管理程序能夠檢測從特權域而非來賓域產生的調用。假若對物理BIOS的開放但排它性的訪問，則保護從特權域至物理BIOS的通信，現在特權域能夠在運行時寫或讀BIOS的所有設置，這消除處理器會進入系統管理模式的情況。
[0036]儘管虛擬受信任運行時BIOS是安全的，但是與虛擬受信任運行時BIOS的通信可能不安全。為了使與虛擬受信任運行時BIOS的基於網頁的通信安全，在虛擬受信任運行時BIOS和請求域(例如來賓域230)之間能夠發生SSL握手。在此示例中，虛擬受信任運行時BIOS可以包括SSL證書，如網頁伺服器會具有的SSL證書，並且請求域可以使用該證書來使與虛擬受信任運行時BIOS的通信安全，使得請求域與安全網站上的網頁瀏覽器類似地操作。
[0037]圖3是根據一種實現方式的使與虛擬受信任運行時BIOS的通信安全的方法的流程圖。為了發起來賓域301和虛擬受信任運行時B10S302之間的SSL通信，在305處，來賓域問好。然後在310處，虛擬受信任運行時BIOS問好。在315處，虛擬受信任運行時BIOS將其證書發送至來賓域。
[0038]在一些實現方式中，虛擬受信任運行時BIOS可以向來賓域發送公鑰。虛擬受信任運行時BIOS可以請求客戶機證書。
[0039]在320處，虛擬受信任運行時BIOS用信號向來賓域通知已完成問好。然後在325處，來賓域使用來自虛擬受信任運行時BIOS提供的證書的公鑰進行秘鑰交換，以交換會話秘鑰。該會話秘鑰將被用來設置對稱加密並且使用非對稱加密被傳送至虛擬受信任運行時BIOS。如果虛擬受信任運行時BIOS請求證書且來賓域具有證書，則來賓域可以提供證書。
[0040]在330處，來賓域能夠用信號向虛擬受信任運行時BIOS通知在密碼說明(CipherSpec)中存在變化以及將使用會話密鑰加密來自來賓域的接下來的通信。在335處，來賓域用信號通知完成，該信號是使用會話秘鑰加密的。在340處，虛擬受信任運行時BIOS能夠改變密碼說明，表示將使用會話秘鑰加密接下來的消息。在345處，虛擬受信任運行時BIOS發送經加密的完成消息。在350和355處，加密數據能能夠在來賓域和虛擬受信任運行時BIOS之間來回傳送。[0041]圖4是根據一種實現方式的使與虛擬受信任運行時BIOS通信安全的方法400的流程圖。在405處，該方法能夠始於管理虛擬受信任運行時BIOS。虛擬機監視器115能夠管理虛擬受信任運行時B10S125。在410處，能夠建立至虛擬受信任運行時BIOS的安全通
Ir In Xs ο
[0042]建立安全通信信道的示例可以包括像來賓域130這樣的域向虛擬受信任運行時B10S125做出請求來識別其自己。然後，虛擬受信任運行時B10S125能夠向該域發送SSL證書的複本。該域檢查其是否信任該SSL證書且如果該域信任該證書，則來賓域向虛擬受信任運行時BIOS發送消息。從來賓域到虛擬受信任運行時BIOS的消息可以包括用SSL公鑰加密的會話秘鑰種子。然後，虛擬受信任運行時B10S125能夠向該域返回經數字籤名的確認，以啟動SSL加密會話。現在，加密數據能夠在該域和虛擬受信任運行時B10S125之間共享。
[0043]在建立安全通信的另一示例中，該域可以包括SSL證書且可以要求該域識別其自己，該域通過發送SSL證書的複本做出響應且虛擬受信任運行時BIOS確定其是否信任該證書並且向該域發送消息。來自虛擬受信任運行時B10S125的消息可以包括用SSL公鑰加密的會話秘鑰。該域能夠向虛擬受信任運行時BIOS返回經數字籤名的確認來啟動SSL加密會話，這還引起在該域和虛擬受信任運行時BIOS之間共享加密數據。
[0044]安全通信信道能夠是例如基於網頁的通信協議。在415處，與虛擬受信任運行時BIOS的通信是使用安全套接字層通過安全通信信道。
[0045]圖5是根據一種實現方式的使與虛擬受信任運行時BIOS的通信安全的方法500的流程圖。該方法能夠適於在502處使用基於網頁的協議與虛擬受信任運行時BIOS通信。在505處，能夠管理虛擬受信任運行時B10S，使得虛擬受信任運行時BIOS是計算系統100的受信任的組件。虛擬機監視器115能夠管理虛擬受信任運行時B10S125。在510處，能夠建立與虛擬受信任運行時BIOS的安全通信信道。安全通信信道能夠是例如基於網頁的通信協議。在512處，使用公鑰和私鑰的握手能夠用來使通信安全。為了使與虛擬受信任運行時BIOS的通信安全，在515處，使用安全套接字層的安全通信信道被用於與虛擬受信任運行時BIOS的通信。在518處，虛擬受信任運行時BIOS能夠與物理BIOS通信，以改變例如系統配置。在一些實現方式中，虛擬受信任運行時BIOS是遠離計算系統設置的，並且不管虛擬受信任運行時BIOS位於何處，虛擬機監視器都能夠將該通信路由至該虛擬受信任運行時BIOS。
[0046]圖6是根據計算機可讀介質615-656的一種示例實現方式的計算系統600的框圖。計算機可讀介質615-616能夠包括代碼，如果處理器605運行該代碼，則該代碼能夠引起計算系統管理與虛擬受信任運行時BIOS的通信。計算機系統能夠包括硬體，如控制器集線器610和圖形控制器620。計算機系統能夠連接至顯示器630、鍵盤635、滑鼠640、傳感器645以及其它設備。該代碼還能夠建立與虛擬受信任運行時BIOS的安全通信層。與虛擬運行時BIOS的通信能夠使用安全套接字層通過安全通信信道。
[0047]計算系統還能夠包括如果被運行則將引起計算系統與遠離該計算系統設置的虛擬運行時BIOS通信的代碼。如果BIOS是遠離計算系統設置的，則向虛擬運行時BIOS做出請求的組件(如域)可能不知道該BIOS位於遠處。VMM可以路由該請求，而不通知該請求組件。無論虛擬運行時BIOS位於本地還是遠處，與虛擬運行時BIOS通信都能夠通過網頁通信協議。該組件可以建立包括例如使用公鑰和私鑰的握手的安全通信信道。
[0048]各種模塊，如在其它圖中繪出的那些模塊，能夠被實現為能夠在一個或多個處理器上運行的機器可讀指令。處理器能夠包括微處理器、微控制器、處理器模塊或子系統、可編程的集成電路、可編程的門陣列或者別的控制設備或計算設備。
[0049]該機器可讀指令能夠存儲在機器可讀存儲介質或計算機可讀存儲介質中，該機器可讀存儲介質或計算機可讀存儲介質能夠被實現為一個或多個計算機可讀存儲介質或機器可讀存儲介質。存儲介質能夠包括不同形式的存儲器，包括諸如動態隨機存取存儲器或靜態隨機存取存儲器(DRAM或SRAM)、可擦可編程只讀存儲器(EPR0M)、電可擦可編程只讀存儲器(EEPROM)和快閃記憶體之類的半導體存儲器設備，諸如硬碟、軟盤和可換式磁碟之類的磁碟，包括磁帶的其它磁性介質，諸如光碟(CD)或數字視頻盤(DVD)之類的光學介質，或其它類型的存儲設備。注意，上面論述的指令能夠提供在一個計算機可讀存儲介質或機器可讀存儲介質上，或者可替代地，可以提供在分布於可能具有多個節點的大型系統中的多個計算機可讀存儲介質或機器可讀存儲介質上。這種計算機可讀存儲介質或媒介或機器可讀存儲介質或媒介被認為是物品(或製品)的一部分。物品或製品能夠指任意被製造的單個部件或多個部件。存儲介質或存儲媒介能夠位於運行該機器可讀指令的機器內或者位於能夠通過網絡下載用於運行的機器可讀指令的遠程位置。
[0050]在前面的描述中，闡述許多細節，以提供對本文公開的主題的理解。然而，實現方式可以在沒有這些細節中的一些細節或全部細節的條件下實踐。其它實現方式可以包括上面介紹的細節的改變和變型。希望所附權利要求覆蓋上述改變和變型。
【權利要求】
1.一種計算系統，包括: 硬體； 虛擬機監視器； 虛擬受信任運行時BIOS，由所述虛擬機監視器管理；以及 通信信道，用於與所述虛擬受信任運行時BIOS通信，其中所述通信信道是通過安全套接字層而安全的。
2.根據權利要求1所述的系統，進一步包括公鑰和私鑰，所述公鑰和所述私鑰用於提供與所述虛擬受信任運行時BIOS的安全通信。
3.根據權利要求1所述的系統，其中所述通信信道是基於網頁通信協議的。
4.根據權利要求3所述的系統，其中所述通信信道在超文本傳輸協議(HTTP)層和傳輸控制協議(TCP)層之間。
5.根據權利要求1所述的系統，進一步包括特權域，所述特權域用於主管所述虛擬受信任運行時BIOS。
6.根據權利要求1所述的系統，進一步包括收發器，所述收發器用於與遠離所述硬體設置的虛擬受信任運行時BIOS通信。
7.一種使計算系統中與虛擬受信任運行時BIOS的通信安全的方法，包括: 管理虛擬受信任運行時BIOS ； 建立至所述虛擬受信任運行時BIOS的安全通信信道； 使用安全套接字層通過所述安全通信信道與虛擬運行時BIOS通信。
8.根據權利要求7所述的方法，進一步包括從所述虛擬受信任運行時BIOS至物理BIOS通信。
9.根據權利要求7所述的方法，進一步包括與遠離所述計算系統設置的虛擬運行時BIOS通信。
10.根據權利要求7所述的方法，其中所述虛擬運行時BIOS通信是網頁通信協議。
11.根據權利要求7所述的方法，其中建立安全通信信道包括使用公鑰和私鑰的握手。
12.—種計算機可讀介質，包括如果被處理器運行則引起計算系統執行以下步驟的代碼: 管理與虛擬受信任運行時BIOS的通信； 建立至所述虛擬受信任運行時BIOS的安全通信信道； 使用安全套接字層通過所述安全通信信道與虛擬運行時BIOS通信。
13.根據權利要求12所述的計算機可讀介質，進一步包括如果被運行則引起計算設備執行以下步驟的代碼: 與遠離所述計算系統設置的虛擬運行時BIOS通信。
14.根據權利要求12所述的計算機可讀介質，進一步包括如果被運行則引起計算設備執行以下步驟的代碼: 使用網頁通信協議與虛擬運行時BIOS通信。
15.根據權利要求12所述的計算機可讀介質，進一步包括如果被運行則引起計算設備執行以下步驟的代碼: 建立安全通信信道，包括使用公鑰和私鑰的握手。
【文檔編號】G06F9/455GK103748556SQ201180072962
【公開日】2014年4月23日 申請日期:2011年9月29日 優先權日:2011年8月30日
【發明者】瓦柳丁·Y·阿里, 約瑟·保羅·澤維爾·皮雷斯, 詹姆斯·M·曼, 克裡斯·I·道爾頓, 波利斯·巴拉切夫 申請人:惠普發展公司，有限責任合夥企業