安全bios的製作方法
2023-05-21 13:05:41
專利名稱:安全bios的製作方法
技術領域:
本發明涉及本發明涉及計算機固件安全領域,尤其在普通計算系統,如個人計算機(「PCs」)的一般計算系統中的基本輸入和輸出系統(「BIOS」)領域。
2.相關技術說明計算機系統中最關鍵的元件之一是自舉(boot-up)固件,如基本輸入和輸出系統(「BIOS」)。特別地存儲於某種形式的非易失性存儲器中的BIOS是機器代碼,通常為一種作業系統(「OS」)的一部分,它允許中央處理單元(「CPU」)執行這些任務,如初始化,診斷,從海量存儲器加載作業系統內核,及常規的輸入/輸出(「I/O」)功能。
一旦通電,CPU將通過獲取駐存在BIOS中的指令代碼而「自舉」。由於其內部特性,BIOS有二個互相衝突的要求(1)它應被很好地保護,這是因為如果它被修改或被破壞,整個系統將無法工作,(2)它應很容易地修改,從而允許現場升級,以進行性能提高或清除軟體故障。
一般來說,BIOS應用於可擦除可編程只讀存儲器(「EPROM」)。EPROM有一個優點不能在電路中進行修改。要修改EPROM的內容,該器件必須先從插座中拔出並暴露於紫外線中一個較長的時間進行擦除。在該方面,應用於EPROM的BIOS可以抵抗病毒侵擾和其他的電子破壞。然而,EPROM器件不支持「現場升級」,這是因為這些器件不能在電路中進行編程,在電路中編程是現場升級的必要的特性。現場升級允許用戶對現場的BIOS升級,以避免價值昂貴的延時和部件更換。由於現場升級的重要性,現在實際上所有的BIOS固件是使用閃速存儲器來完成的。然而,由於可進行現場修改,BIOS閃速存儲器易受病毒侵擾,該侵擾可能在敏感的應用程式如財政事務處理中引起毀壞的結果。
在沒有安全保護的情況下,應用於BIOS閃速存儲器的傳統的計算機結構容易受多種侵入的侵擾,如病毒侵擾。在一種典型的病毒侵擾中,該病毒代碼執行一個代碼序列來修改該BIOS閃速存儲器。在BIOS閃速存儲器中的代碼,沒有保護,當該系統下一次自舉時,或當某種情況或事件發生時,就被毀壞,其破壞的結果可能立即變成有效。該被感染的代碼可能還傳播到該BIOS代碼或該作業系統內核的其他區域。因為當計算機系統通電時,該BIOS是該第一程序代碼,先於任何系統或網絡病毒掃描軟體執行,基於BIOS的病毒的檢查和根除是非常困難的。該基於BIOS的病毒可以「隱藏在磁軌中」而逃避掃描軟體,從而有效地隱藏。
因此,本發明的主要目的,是防止計算機病毒。對BIOS的破壞,這是通過在該BIOS閃速存儲器的內容被修改以前強加一個授權和確認過程來實現的。
應用在本發明中的方法是建立在BIOS授權這個概念之上,即利用授權特性如加密協處理器將BIOS閃速存儲器結合到現存的硬體之中。由於加密協處理器既存儲該BIOS又執行BIOS更新的授權,侵擾者就沒有辦法破壞該BIOS內容。
發明概述本發明描述了一種安全更新可執行代碼的系統。該系統包含一種存儲代碼更新的第一存儲器元件,一種存儲需要更新的可執行代碼的第二存儲器元件,一種識別第一存儲器元件和代碼更新的識別代碼,及一種安全處理器。該安全處理器耦合到第二存儲器元件,利用器件識別來授權和確認第一存儲器元件和代碼更新。
附圖的簡要說明通過下面的詳細描述,本發明的特點和優點將變得顯而易見。
圖1是本發明的一個圖解。其中BIOS閃速存儲器駐存在加密協處理器內部,加密協處理器可以與PCI總線連結。
圖2是一個操作流程圖,這些操作發生在本發明中通過主處理器對BIOS程序進行正常讀訪問期間。
圖3是一個操作流程圖,這些操作發生在本發明中BIOS程序的現場升級期間。
優選實施例的說明本發明提供了一種過程來授權和確認代碼更新,如使用加密技術的BIOS升級。在下面的描述中,某些術語用於討論某種加密特點。「密鑰」是一種編碼和/或解碼參數,利用傳統的加密算法如Rivest,Shamir和Adlem(「RSA」),Data Encryption Standard(「DES」)中說明的DataEncryption Algorithms(「DEA」)等等。「證明」定義為與某個實體相關的由其他的實體如一個製造商或一個廣泛公開的可信的權威機構(例如,銀行,政府實體,貿易協會等。)掌握的私人的密鑰進行加密的任何數字信息(特別地是一個公共的密鑰)。一個「數字籤名」類似於一個證明,但一般只用於授權數據。這裡,詞「安全」表示對一個侵入者來說,不可能成功地穿過系統屏障。安全處理器是一種電子器件,它能執行安全功能,從而給該系統提供安全保護。
該授權和確認是由安全處理器來執行,安全處理器包含BIOS固件。這樣一種安全處理器的實例是加密協處理器。該加密處理器使用秘密的信息如嵌於BIOS升級的數字籤名來授權和確認BIOS固件。
參考圖1,圖示了一個應用於本發明的計算機系統的實施例。該計算機系統10包括晶片組31,它作為一個接口,以支持主處理器30之間的連接;系統存儲器32,和耦合到系統總線33的器件。系統存儲器32可以包括,但不局限於傳統的存儲器如不同類型的隨機訪問存儲器(「RAM」),例如,DIAM,VRAM,SRAM,等。以及映射存儲器I/O器件。系統總線33可以按照任何類型的總線結構包括外圍部件互連(「PCI」),通用串行總線(「USB,」)等等進行應用。
可以耦合到系統總線33的一種器件包括加密協處理器34。加密協處理器34包含總線接口40,處理單元41和局部非易失性存儲器42。總線接口40用於建立一種與系統總線33的電連接。處理單元41用作加密協處理器34的主控制器。處理單元41與它自己的局部非易失性存儲器42連接。自舉程序43儲存於非易失性存儲器42中。非主要的元件未示出,以避免使本發明發生混淆。可使用在該加密協處理器34中的非主要的元件實例包括RAM,一種隨機數字發生器,和不同的加密算法加速器。而且,儘管在圖1中顯示主處理器30與加密協處理器34是分開的,但加密協處理器34可以是主處理器30的部件,在該情形下,主處理器30直接訪問BIOS程序而不通過系統總線33。
圖2中,圖示了與系統的「自舉」過程相關聯的一些步驟。首先,在步驟50中,該主處理器發出一個關於BIOS程序的地址讀請求。該加密協處理器響應對有關BIOS指令的請求(步驟60)。最後,該主處理器處理步驟70中的數據。為了繼續處理BIOS指令,該順序重複進行。
在典型的現場BIOS升級中,該軟體製造商(BIOS銷售商)會送給用戶一張包含新的BIOS代碼和執行升級操作代碼的磁碟,對BI0S銷售商來說,建立一個公報交換機系統,或一個數據高速公路接口如網際網路,以允許用戶通過電子遠程卸載該BIOS升級是可能的。BIOS升級主要包括對BIOS閃速存儲器的擦除和寫入。
在圖3中,圖示了與修改BIOS程序相關的步驟。在步驟110中,主處理器發出一個「替換BIOS」命令給加密協處理器。該命令一般由某些類型的BIOS管理實用軟體產生,這些BIOS管理實用軟體在主處理器本身或者遠程系統上運行。該命令的目的是為新的BIOS程序準備加密協處理器(步驟120)。在步驟130中,加密協處理器或者被動地從主處理器接收新的BIOS程序代碼或主動地從特定的來源(例如。系統存儲器)中恢復新的BIOS程序代碼。步驟140中,新的BIOS程序在內部或以一種保護方式儲存,以保證將來的授權操作在這特定的「新的BIOS程序」中執行。在步驟150中,加密協處理器按照內部儲存的BIOS程序的版本執行適當的授權操作。有很多方法如授權可以執行,包括利用秘密信息,這些信息僅為BIOS提供者和配置的加密協處理器所知。這是考慮到公共的/私人的密鑰加密術可能用作授權過程的一部分,特別地,使用該眾所周知的數字籤名和證明技術以使該新的BIOS程序的整體性和有效性生效。不管使用什麼授權技術,其顯著特點是它是在加密協處理器內按新的BIOS程序的局部版本執行。一旦執行了授權操作,在步驟160中,加密協處理器可以確定關於該新的BIOS程序的有效性。例如,該「新的BIOS程序」提供的數字籤名可能是有效的,但是該修訂數據可能是不適當的(例如。比當前安裝的BIOS更早)。如果該新的BIOS已確定是無效的,它就被加密協處理器刪除並且再也不能使用(步驟170)。如果該新的BIOS是有效的,該新的BIOS程序進行操作並刪除先有的BIOS程序(步驟180)。注意在這一點上,重新自舉(reboot)該計算機系統是正常的,以確保系統範圍內的一致性。
為了支持基於數字籤名的BIOS授權方法,嵌於銷售BIOS軟體升級中的數字籤名應當由一個工業協會,或一個類似的組織或程序批准或同意。該工業協會的參加者是想能現場升級他們的BIOS代碼的BIOS銷售商。該工業協會的功能之一是發行數字證明給它的BIOS銷售商成員,實際上是籤發一個數字證明給每個使用BIOS升級軟體的銷售商。該協會在BIOS的授權過程中提供它的用於加密協處理器的公共密碼。該加密協處理器應預裝有BIOS銷售商的工業協會的公共的密碼,以便它能證明嵌於該BIOS升級代碼的任何數字籤名。另一方面,加密協處理器可以預裝入其他的公共的密碼,它可以用於授權一個證明鏈從而獲取該工業協會公共的密碼。必要時,BIOS升級代碼可以是加密的(例如保護該代碼不被顛倒管理)。由於該工業協會發表的數字籤名或證明一般代表一個有信譽的或可靠的BIOS銷售商權威性,一個侵犯者不能直接或間接地用病毒侵擾來破壞該BIOS代碼(除非是他或她自己以某種方式取得秘密的私人的用於產生籤名或證明的密碼)。
在另一實施例中(未圖示),加密協處理器是主處理器的一部分。主處理器包含加密協處理器和BIOS程序。當作它自己的安全處理器的主處理器執行與以上描述的BIOS升級中授權和有效,該主處理器預裝入BIOS銷售商工業協會的公共密碼,以便能校驗嵌於BIOS升級代碼中的任何數字籤名。
在另一實施例中(未圖示),BIOS程序位於插入系統的擴展槽中的印刷電路板(「PCB」)或卡中。加密協處理器可以位於同一PCB或卡或另一個PCB或卡上,甚至在主處理器內。不管它位於系統的什麼地方,只要加密協處理器能訪問該BIOS程序,它可以完成以上描述的授權和有效操作。
儘管本發明參考圖示的實施例進行了描述,但這種描述不是解釋為一種限制。圖示的實施例以及本發明的其他實施例的各種修改,對於本領域的人來說是顯而易見的,則認為落入本發明的精神和範圍之內。
權利要求
1.一種安全地更新可執行代碼的系統,包括存儲代碼更新的第一存儲器裝置,存儲所述的可執行代碼的第二存儲器裝置,以及授權和確認所述的第一存儲器裝置和所述的基於器件識別的代碼更新的第一處理裝置,所述的第一處理裝置耦合到所述的第二存儲器裝置。
2.權利要求1中所述的系統,其中的可執行代碼是一種基本輸入和輸出系統。
3.權利要求1中所述的系統,其中的第一存儲器裝置是海量存儲器器件和能在計算機網絡中通過電子方法傳送的文件之一。
4.權利要求1中所述的系統,其中的第二存儲器裝置是一種可修改的非易失性存儲器器件。
5.權利要求1中所述的系統,其中的第一處理裝置包括一種加密處理器。
6.權利要求1中所述的系統,其中的器件識別由包括一數字籤名的第一處理裝置接收。
7.權利要求1中所述的系統,其中所述的可執行代碼被加密以生成加密的代碼。
8.權利要求1中所述的系統,還包括為執行所述的可執行代碼而與所述的第一處理裝置通訊的第二處理裝置。
9.權利要求7中所述的系統,其中所述的加密代碼被解密以生成解密代碼。
10.一種安全的更新可執行代碼的系統,包括一種包含代碼更新的第一存儲器元件;一種包含所述的可執行代碼的第二存儲器元件;一種耦合到所述的第二存儲器元件的安全處理器,所述的安全處理器授權和確認所述的第一存儲器元件和所述的基於器件識別的代碼更新。
11.權利要求10中所述的系統,其中的可執行代碼是一個基本輸入和輸出系統。
12.權利要求10中所述的系統,其中的第一存儲器元件是海量存儲器器件和能在計算機網絡中通過電子方法傳送的文件之一。
13.權利要求10中所述的系統,其中的第二存儲器元件是一種可修改非易失性存儲器器件。
14.權利要求10中所述的系統,其中的安全處理器是一種加密處理器。
15.權利要求10中所述的系統,其中的所述的器件識別由所述的包括數字籤名的所述安全處理器接收。
16.權利要求10中所述的系統,其中的所述的可執行代碼被加密以生成一種加密的代碼。
17.權利要求10中所述的系統。還包括一為執行所述的可執行代碼而與所述的安全處理器通信的主處理器。
18.權利要求16中所述的系統,其中所述的加密的代碼被解密以生成解密代碼。
19.一種安全地更新可執行代碼的方法,該方法包含以下步驟提供第一存儲器元件以存儲代碼更新;提供第二存儲器元件以存儲所述的可執行代碼;配置所述的第一存儲器元件以使其包含一個器件識別;提供安全處理器以訪問所述的第二存儲器元件;通過所述的安全處理器授權所述的基於器件識別的第一存儲器元件;以及如果所述的第一存儲器元件已授權,則通過所述的代碼更新來更新所述的可執行代碼。
20.權利要求19中所述的方法,在所述的更新步驟前,該方法還包含一個步驟確認所述的在第一存儲器元件中的代碼更新。
21.權利要求19中所述的方法,其中的可執行代碼是一種基本輸入和輸出系統。
22.權利要求19中所述的方法,其中的所述的第二存儲器元件提供的可執行代碼是一種加密格式。
23.權利要求19中所述的方法,還包括提供為執行所述的可執行代碼而與所述的安全處理器通信的主處理器。
全文摘要
一種子系統,防止對嵌於可修改的非易失性存儲器器件如閃速存儲器中的BIOS程序代碼進行非授權的修改。包含存儲器裝置(42)的加密協處理器(34)根據公共的/私人的密鑰協議對BIOS升級執行授權和生效。通過驗證嵌於BIOS升降中的數字籤名來執行授權。
文檔編號G06F21/00GK1231787SQ97198335
公開日1999年10月13日 申請日期1997年7月30日 優先權日1996年9月30日
發明者D·L·達維斯 申請人:英特爾公司