【技术实现步骤摘要】
本专利技术的实施例一般地涉及平台的引导,尤其涉及使用存储在平台上的安全位置中的签名密钥来进行的安全引导。
技术介绍
对于安全引导,有多种机制。统一可扩充固件接口(UEFI)规范定义一种用于操作系统与平台固件之间的接口的新模型。此接口由包含平台相关信息的数据表组成,另外还有对于操作系统及其装载程序可用的引导和运行时服务调用。它们一起提供用于引导操作系统和运行引导前应用程序的标准环境。可以在URL www*uefi*org/home的公众互联网上找到有关UEFI的更多信息。请注意本文献中以星号替代了句点以防止无意产生的超链接。UEFI标准可用于协助平台的安全引导。UEFI规范2.1的第26章描述一种用于安全引导的协议。此定义的协议为通用认证信息的访问提供特定装置路径。该协议可以在任何设备句柄上使用以获取与物理或逻辑装置关联的信息。可以将公用密钥和证书保存在固件上,并检查第三方EFI驱动程序和操作系统(OS)装载程序上的数字签名。将公用密钥绑...
【技术保护点】
一种用于平台上安全引导的系统,包括: 与固件存储器耦合的主处理器,所述固件存储器用于存储固件以引导所述主处理器;所述平台上的第二处理器,所述第二处理器以通信方式耦合到存储器的安全区域,所述存储器的所述安全区域对于所述固件和其他主处理器应用程序不可访问,所述第二处理器检索并验证来自所述安全区域的签名密钥以控制引导期间的映像装载,所述第二处理器具有用于带外连接的网络接入,即使在所述主处理器还未引导时,所述第二处理器是可用的,使得当甚至未引导所述主处理器时能够撤销或验证它的签名。
【技术特征摘要】
2007.03.30 US 11/7315261.一种用于平台上安全引导的系统,包括:
与固件存储器耦合的主处理器,所述固件存储器用于存储固件以引导所述主处理器;
所述平台上的第二处理器,所述第二处理器以通信方式耦合到存储器的安全区域,所述存储器的所述安全区域对于所述固件和其他主处理器应用程序不可访问,所述第二处理器检索并验证来自所述安全区域的签名密钥以控制引导期间的映像装载,所述第二处理器具有用于带外连接的网络接入,即使在所述主处理器还未引导时,所述第二处理器是可用的,使得当甚至未引导所述主处理器时能够撤销或验证它的签名。
2.如权利要求1所述的系统,其特征在于,所述存储器的安全区域驻留在所述固件存储器上。
3. 如权利要求2所述的系统,其特征在于,所述固件存储器是在所述平台上被芯片组隔离的闪速存储器,所述隔离使得安全存储区域对于所述固件不可访问。
4. 如权利要求1所述的系统,其特征在于,所述固件配置成如果在安全存储区域中签名密钥是不可用的则从所述固件存储器检索出所述签名密钥。
5. 如权利要求1所述的系统,其特征在于,如果与所述软件映像关联的所述签名密...
【专利技术属性】
技术研发人员:K维德,VJ齐默,M谢克哈,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。