一種BIOS固件保護方法和系統與流程

2023-06-03 04:11:46

本發明涉及計算機技術領域，特別涉及一種bios固件保護方法和系統。

背景技術：

bios(basicinputoutputsystem，基本輸入輸出系統)固件是伺服器的重要組成部分，市場上大量部署的是四路雙路等中低端伺服器，這類x86伺服器產品差異不大，導致一個廠商生產的伺服器上的bios固件在另一個廠商生產的伺服器上可以不經修改直接運行，影響bios固件的安全性。因此，如何保護bios固件，防止bios固件被非法竊取，是技術人員一直關注的問題。

技術實現要素：

本發明實施例提供了一種bios固件保護方法和系統，能夠提高bios固件的安全性。

第一方面，本發明實施例提供了一種bios固件保護系統，包括：pch(platformcontrollerhub，平臺控制器)、串行快閃記憶體和bios固件；

所述bios固件燒錄在所述串行快閃記憶體中，且與所述pch相連；

所述bios固件，用於接收所述pch發送的啟動請求，檢測所述串行快閃記憶體中是否存在綁定標識符信息，如果是，獲取所述pch中的當前標識符信息，判斷所述當前標識符信息是否與所述綁定標識符信息相同，如果是，響應所述啟動請求，否則，拒絕所述啟動請求。

優選地，

所述bios固件，進一步用於當所述串行快閃記憶體中不存在所述綁定標識符信息時，獲取所述pch中的所述當前標識符信息，將所述當前標識符信息作為所述綁定標識符信息存儲在所述串行快閃記憶體中。

優選地，

所述當前標識符信息，包括：全局唯一標識符。

優選地，

進一步包括：串行外設接口；

所述bios固件通過所述串行外設接口掛接在所述pch上；

所述bios固件，用於通過所述串行外設接口接收所述pch發送的啟動請求。

第二方面，本發明實施例提供了一種bios固件保護方法，包括：

bios固件接收pch發送的啟動請求，檢測串行快閃記憶體中是否存在綁定標識符信息，如果是，獲取所述pch中的當前標識符信息，判斷所述當前標識符信息是否與所述綁定標識符信息相同，如果是，響應所述啟動請求，否則，拒絕所述啟動請求。

優選地，

進一步包括：

當所述串行快閃記憶體中不存在所述綁定標識符信息時，所述bios固件獲取所述pch中的所述當前標識符信息，將所述當前標識符信息作為所述綁定標識符信息存儲在所述串行快閃記憶體中。

優選地，

所述當前標識符信息，包括：全局唯一標識符。

優選地，

所述bios固件接收pch發送的啟動請求，包括：

所述bios固件通過所述串行外設接口接收所述pch發送的啟動請求。

本發明實施例提供了一種bios固件保護方法和系統，其中，該系統包括：平臺控制器pch、串行快閃記憶體和bios固件，當bios固件接收pch發送的啟動請求時，檢測所在的串行快閃記憶體中是否存在綁定標識符信息，如果是，獲取pch中的當前標識符信息，判斷當前標識符信息是否與綁定標識符信息相同，如果是，響應啟動請求，否則，拒絕啟動請求。該系統通過伺服器pch中具有唯一性的當前標識符信息，將bios固件與伺服器的pch綁定，只有當伺服器的pch中的當前標識符信息與綁定標識符信息相同時，才能允許伺服器的pch啟動bios固件，提高bios固件的安全性。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1是本發明一個實施例提供的一種bios固件保護系統的結構示意圖；

圖2是本發明另一個實施例提供的一種bios固件保護系統的結構示意圖；

圖3是本發明一個實施例提供的一種bios固件保護方法的流程圖；

圖4是本發明另一個實施例提供的一種bios固件保護方法的流程圖。

具體實施方式

為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例，基於本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動的前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。

如圖1所示，本發明實施例提供了一種bios固件保護系統，該系統可以包括：pch101、串行快閃記憶體102和bios固件103；

bios固件103燒錄在串行快閃記憶體102中，且與pch101相連；

bios固件103，用於接收pch101發送的啟動請求，檢測串行快閃記憶體102中是否存在綁定標識符信息，如果是，獲取pch101中的當前標識符信息，判斷當前標識符信息是否與綁定標識符信息相同，如果是，響應啟動請求，否則，拒絕啟動請求。

在圖1所示的本發明實施例中，當bios固件接收pch發送的啟動請求時，檢測所在的串行快閃記憶體中是否存在綁定標識符信息，如果是，獲取pch中的當前標識符信息，判斷當前標識符信息是否與綁定標識符信息相同，如果是，響應啟動請求，否則，拒絕啟動請求。該系統通過伺服器pch中具有唯一性的當前標識符信息，將bios固件與伺服器的pch綁定，只有當伺服器的pch中的當前標識符信息與綁定標識符信息相同時，才能允許伺服器的pch啟動bios固件，提高bios固件的安全性。

在本發明的一個實施例中，為了使pch獲得bios固件的啟動權限，bios固件103，進一步用於當串行快閃記憶體102中不存在綁定標識符信息時，獲取pch101中的當前標識符信息，將當前標識符信息作為綁定標識符信息存儲在串行快閃記憶體中。

當前標識符信息與pch相對應，具有唯一性。不同的pch中包含的當前標識符信息不同。

在實際應用場景中，還可以通過在串行快閃記憶體中設置綁定建立標識來表示串行快閃記憶體中是否包含綁定標識符信息，例如，當綁定建立標識為0時，表明串行快閃記憶體中不存在綁定標識符信息，當綁定建立標識為1時，表明串行快閃記憶體中存在綁定標識符信息。

在本發明的一個實施例中，當前標識符信息，包括：全局唯一標識符。全局唯一標識符是一個128位整數(16位元組)，可用於所有需要唯一標識符的計算機和網絡。此標識符重複的可能性非常小。

在本發明的一個實施例中，如圖2所示，該系統還包括：串行外設接口104，bios固件103通過串行外設接口104掛接在pch101上；bios固件103，用於通過串行外設接口104接收pch101發送的啟動請求。

如圖3所示，本發明實施例提供了一種bios固件保護方法，包括：

步驟301：bios固件接收pch發送的啟動請求；

步驟302：bios固件檢測串行快閃記憶體中是否存在綁定標識符信息，如果是，執行步驟303；

步驟303：bios固件獲取pch中的當前標識符信息；

步驟304：bios固件判斷當前標識符信息是否與綁定標識符信息相同，如果是，執行步驟305；否則，執行步驟306；

步驟305：bios固件響應啟動請求，並終止當前流程；

步驟306：bios固件拒絕啟動請求。

在本發明的一個實施例中，該方法還包括：當串行快閃記憶體中不存在綁定標識符信息時，bios固件獲取pch中的當前標識符信息，將當前標識符信息作為綁定標識符信息存儲在串行快閃記憶體中。

在本發明的一個實施例中，當前標識符信息，包括：全局唯一標識符。

在本發明的一個實施例中，bios固件接收pch發送的啟動請求，包括：bios固件通過串行外設接口接收pch發送的啟動請求。

上述方法的信息交互、執行過程等內容，由於與本發明系統實施例基於同一構思，具體內容可參見本發明系統實施例中的敘述，此處不再贅述。

如圖4所示，本發明實施例以伺服器上的pch啟動與其相連的bios固件為例，對bios固件保護方法進行詳細地說明，該方法包括以下步驟：

步驟401：bios固件通過串行外設接口接收pch發送的啟動請求。

步驟402：bios固件檢測串行快閃記憶體中是否存在綁定標識符信息，如果是，執行步驟403，否則，執行步驟404。

步驟403：bios固件獲取pch中的當前標識符信息，並執行步驟405。

步驟404：bios固件獲取pch中的當前標識符信息，將當前標識符信息作為綁定標識符信息存儲在串行快閃記憶體中，並終止當前流程。

步驟405：bios固件判斷當前標識符信息是否與綁定標識符信息相同，如果是，執行步驟406；否則，執行步驟407。

步驟406：bios固件響應啟動請求。

步驟407：bios固件拒絕啟動請求。

在本發明實施例中，當前標識符信息存儲在可被bios固件訪問的pch的只讀存儲器中。

綜上，本發明各個實施例至少具有如下效果：

1、在本發明實施例中，當bios固件接收pch發送的啟動請求時，檢測所在的串行快閃記憶體中是否存在綁定標識符信息，如果是，獲取pch中的當前標識符信息，判斷當前標識符信息是否與綁定標識符信息相同，如果是，響應啟動請求，否則，拒絕啟動請求。該系統通過伺服器pch中具有唯一性的當前標識符信息，將bios固件與伺服器的pch綁定，只有當伺服器的pch中的當前標識符信息與綁定標識符信息相同時，才能允許伺服器的pch啟動bios固件，提高bios固件的安全性。

2、在本發明實施例中，當前標識符信息採用具有唯一性的全局唯一標識符，由於不同的pch具有不同的當前標識符信息，因此，可以通過當前標識符信息區分不同的pch，防止不合法的伺服器運行bios固件，提高bios固件的安全性。

需要說明的是，在本文中，諸如第一和第二之類的關係術語僅僅用來將一個實體或者操作與另一個實體或操作區分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關係或者順序。而且，術語「包括」、「包含」或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句「包括一個······」限定的要素，並不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同因素。

最後需要說明的是：以上所述僅為本發明的較佳實施例，僅用於說明本發明的技術方案，並非用於限定本發明的保護範圍。凡在本發明的精神和原則之內所做的任何修改、等同替換、改進等，均包含在本發明的保護範圍內。