[发明专利]使用外部设备的运行时间验证

说明书

本文的示例公开了基于处理器的计算系统。该系统包括至少一个处理器，包括基本输入输出系统(BIOS)的非易失性存储器，其中BIOS创建数据结构并设置由处理器执行的至少一个验证软件组件、可通信地链接到至少一个验证软件组件的控制器和存储器，所述存储器包括耦合到所述至少一个处理器的系统管理存储器以及可由所述基于处理器的系统执行的代码，以使所述处理器在所述基于处理器的系统的运行时间期间使用所述至少一个验证软件组件和所述控制器来验证所述BIOS。

背景技术

计算系统可以包括用于执行计算设备的各种启动功能的代码。此代码包含基本输入/输出系统(BIOS)代码。BIOS代码对计算设备的硬件进行初始化并测试。基本输入/输出系统(BIOS)在计算机启动时执行多个任务，从对微处理器进行初始化到对硬件进行初始化和测试到启动操作系统。另外，BIOS代码可以从计算设备的存储器设备加载自举代码和/或操作系统。此外，BIOS包含控制键盘、显示屏、磁盘驱动器、串行通信以及多个辅助功能所需的全部代码。

附图说明

在附图中，相同的附图标号是指相同的组件或块。以下详细描述对附图进行参考，其中：

图1是根据本文所公开的原理用于验证计算系统中的BIOS的完整性的示例计算系统的框图；

图2是根据本文所公开的原理可由计算设备执行以验证计算系统中的BIOS的完整性的示例方法的流程图；和

图3是根据本文所公开的原理可由计算设备执行以验证计算系统中的BIOS的完整性的示例方法的流程图。

具体实施方式

BIOS代码到计算设备中的安装可以发生在制造级别或制造后级别。BIOS可以与数字签名和密钥对相关联，以在初始化时进行验证。可以以与计算设备通信的受控方式来开发BIOS。当计算设备可以从远程位置(例如，外部源)接收更新时，这进一步以无缝的方式提供对BIOS的更新。每次开启计算设备时，BIOS立即执行命令(控制)。最初，BIOS通过一系列诊断例程运行，系统进行检查以确保在到计算设备信任任何时间或数据之前计算设备的每个部分正在正确运行。BIOS检查系统板和存储器、键盘、磁盘和每个扩展板的电路。在计算设备运作之后，BIOS固件运行若干组例程，其对调用进行编程以执行日常功能--在屏幕上键入字符、对键击进行读取以及对事件进行计时。

在该示例中，计算设备使用安全验证软件和外部组件(例如，嵌入式控制器)来实现BIOS的完整性的运行时间验证。外部硬件组件不需要实时访问存储器，但只需要与安全验证软件具有安全通信链接。在一个示例中，可以传送命令和BIOS并且用不同的私钥对其每一个进行数字签名。这提供了额外的安全特征，因为在安装BIOS之前命令和BIOS二者可以被验证。虽然在下面提到的实现中，并入并且非常详细地描述了BIOS。在其他实现中，可以改为使用统一可扩展固件接口(UEFI)。UEFI被设计作为BIOS的后继者，并且根据本文所公开的原理可以替换BIOS。

参考图1，根据本发明的一些示例，诸如计算系统100的基于处理器的系统可以包括至少一个处理器110、耦合到至少一个处理器110的至少一个存储器120以及代码块125(例如存储在存储器120中)。存储器120可以是非易失性存储器(例如，只读存储器)。计算系统100还包括控制器140和主存储器130，在一个实现中，主存储器130可以是易失性存储器(例如，随机存取存储器)。主存储器130包括BIOS代码136。系统100生成与代码块125(例如BIOS)相关联的完整性信息，以在运行时间验证BIOS代码136。如此，计算系统100的实现包括移动设备、客户端设备、个人计算机、台式计算机、膝上型计算机、平板电脑、便携式设备、视频游戏控制台或其他类型的电子设备。系统100可以进一步包括可由计算系统100执行的代码，以使得计算系统100在计算系统100重启时生成用于BIOS代码136的完整性信息，并在计算系统100的运行时间期间使用完整性信息验证BIOS代码136的完整性。代码块125可以对应于诸如BIOS之类的固件元件之一。