总体上,本发明专利技术提供了用于在系统预引导期间具有改进的只读存储器锁定的安全数据保护的方法和系统,所述安全数据保护包括对高级配置和电源接口(ACPI)表的保护。所述方法可以包括:选择要保护的系统存储器的区域,所述选择响应于系统重置状态而发生,且由包括可信基本输入/输出系统(BIOS)的可信控制块(TCB)执行;对地址解码器电路进行编程以将所选区域配置为读写;将要保卫的数据移动到所选区域;对所述地址解码器电路进行编程以将所选区域配置为只读;以及锁定所述地址解码器电路中的只读配置。
【技术实现步骤摘要】
【国外来华专利技术】在系统预引导期间具有改进的只读存储器锁定的安全数据保护
本公开涉及安全数据保护,并且更具体地,涉及在系统预引导期间具有改进的只读存储器锁定的安全数据保护,包括对高级配置和电源接口(ACPI)表的保护。
技术介绍
随着计算机平台变得更加复杂,包括基本输入/输出系统(BIOS)和BIOS到操作系统(OS)通信例程的软件正在越来越多地成为攻击的目标。这些攻击可能以高级配置和电源接口(ACPI)表、统一可扩展固件接口(UEFI)运行时服务以及其他敏感数据为目标。当前的计算系统典型地在系统引导和/或OS加载完成之前不提供对该敏感代码和数据可驻留于其中的系统存储器的保护。因为ACPI代码可以在OS开始执行后在内核模式中运行,所以对ACPI的恶意修改可能产生显著的安全易损坏性,且可能实现对原始设备制造商(OEM)OS图像的盗版。附图说明随着以下具体实施方式继续并且在参照附图后,要求保护的主题的实施例的特征和优点将变得显而易见,在附图中,相似的数字描绘相似的部分,并且在附图中:图1图示了根据本公开的一个示例性实施例的顶级系统图;图2图示了根据本公开的一个示例性实施例的框图;图3图示了根据本公开的示例性实施例的操作的流程图;图4图示了根据本公开的另一示例性实施例的操作的流程图;图5图示了根据本公开的另一示例性实施例的操作的流程图。尽管以下具体实施方式将在对说明性实施例做出参照的情况下继续,但是对其的许多替代、修改和变型对于本领域技术人员来说将显而易见。具体实施方式总体而言,本公开提供了用于在系统预引导期间具有改进的只读存储器锁定的安全数据保护的方法和系统,所述安全数据保护包括对高级配置和电源接口(ACPI)表的保护。在上电或系统重置时,可信软件和/或硬件可以选择系统存储器的区域以进行保护。可信硬件可以是可信控制块(TCB),并且可信软件可以是可信BIOS。可以对地址解码器电路进行编程以将所选区域配置为读写,使得要保卫的敏感数据可以被移动到系统存储器的所选区域中。在移动数据之后,可以对地址解码器电路进行重新编程以将所选区域配置为只读。然后,可以锁定地址解码器电路,以防止所选存储器区域的状态的后续改变,除非系统被重置。因此,锁定可以防止非可信代码意外地或恶意地更改系统存储器的受保护区域,所述非可信代码包括进一步预引导和引导操作以及OS。图1图示了根据本公开的一个示例性实施例的顶级系统图100。该系统可以包括系统存储器102、地址解码电路112、以及被配置为执行预引导操作114、引导操作116和OS操作118的处理器120。可以通过地址解码电路112的配置将系统存储器分段成不受保护区域104和受保护区域106,如将在下文中更详细描述的那样。存储器的受保护区域106可以加载有ACPI表108和要在预引导操作114期间通过可信BIOS代码保卫的其他敏感数据110。在一些实施例中,该其他敏感数据110可以包括统一可扩展固件接口(UEFI)运行时服务。然后,可以在例如在引导116和OS118中将控制转移到非可信代码之前将存储器的受保护区域106锁定到只读模式中。在一些实施例中,OS操作可以包括测量虚拟机监视器(MVMM)和要在OS支持的情况下执行的应用。图2图示了示出根据本公开的示例性实施例的附加细节的框图200。图1的处理器120可以是任何数目的处理器核心208中的一个,每个处理器核心208可以包括处理器高速缓冲存储器控制器214和/或集成的存储器控制器212。处理器208可以与一个或多个系统存储器模块102通信,每个系统存储器模块102可以包括本地存储器设备控制器206。存储器控制器214、212和206中的每一个还可以分别包括关联的地址解码电路112a、112b和112c。可信BIOS202可以通过平台控制器中枢204耦合到处理器核心208。可信BIOS202可以被配置为在预引导操作期间将ACPI表108和要保卫的其他敏感数据110加载到系统存储器102的受保护区域106中。可信BIOS202可以与TCB相关联,该TCB包括被配置为提供可信执行环境的经验证的硬件和软件。可信BIOS202可以将受保护区域106配置到只读状态,并通过对地址解码器电路112a、112b和112c中的一个或多个进行编程将该区域锁定到该状态中。地址解码电路112a可以包括源地址解码(SAD)寄存器,其被提供用于存储器访问配置编程。地址解码电路112b可以包括目标地址解码(TAD)寄存器,其被提供用于存储器访问配置编程。受保护区域可以保持锁定,直到后续系统重置、电力循环或从ACPI系统睡眠状态3唤醒。对受保护区域执行存储器写操作的后续尝试可以被丢弃(例如,失败),并可以作为存储器写故障错误而被报告,如果系统被配置为报告此类事件的话。在一些实施例中,系统存储器102可以是包括相变存储器和开关(PCMS)电路的动态随机存取存储器(DRAM)。图3图示了根据本公开的示例性实施例的操作300的流程图。操作310可以在系统重置或上电时例如作为上电自检(POST)或其他预引导操作的一部分而发生。如下文所描述的,操作310至360可以是通过可信BIOS代码执行的。在操作310处,对CPU、芯片组和存储器进行初始化。在操作320处,指明系统存储器的受保护区域。在操作330处,创建ACPI表或将其移动到系统存储器的受保护区域中。其他敏感或安全数据、表、接口或代码段也可以被移动到受保护区域中。在操作340处,对存储器控制器地址解码器进行编程以将受保护区域配置为只读。在操作350处,将受保护区域配置锁定在只读状态中。在操作360处,可信BIOS代码可以退出TCB模式。在操作370处,执行任何剩余POST任务。在操作380处,将OS和/或MVMM加载到系统存储器中并启动OS和/或MVMM。在一些实施例中,OS/MVMM可以继续使用来自受保护存储器区域的ACPI表,或者OS/MVMM可以将ACPI表复制到内核(例如,ring0)保护存储器区域。图4图示了根据本公开的另一示例性实施例的操作400的流程图。操作410至480可以在可信BIOS代码已经完成上述预引导操作之后发生。在操作410处,高速缓冲存储器控制器接收存储器访问请求。在操作420处,高速缓冲存储器控制器询问地址解码器。在操作430处,如果所请求的地址不在受保护区域中,则控制转移到操作480。在操作440处,如果受保护区域未被设置为只读,则控制转移到操作480。在操作450处,如果存储器访问请求不是写访问,则控制转移到操作480,否则,在操作460处,丢弃存储器请求,并且在操作470处,如果报告被使能,则报告错误。在操作480处,完成存储器请求。图5图示了根据本公开的另一示例性实施例的操作500的流程图。在操作510处,选择要保护的系统存储器的区域。该选择响应于系统重置状态而发生,且由包括可信基本输入/输出系统(BIOS)的可信控制块(TCB)执行。在操作520处,对地址解码器进行编程以将所选区域配置为读写。在操作530处,将要保卫的数据移动到所选区域。在操作540处,对地址解码器电路进行编程以将所选区域配置为只读。在操作550处,对地址解码器电路中的只读配置进行锁定。尽管图3、4和5根据不同实施例图示本文档来自技高网...
【技术保护点】
一种用于安全数据保护的方法,所述方法包括:选择要保护的系统存储器的区域,所述选择响应于系统重置状态而发生,所述选择由包括可信基本输入/输出系统(BIOS)的可信控制块(TCB)执行;对地址解码器电路进行编程以将所述所选区域配置为读写;将要保卫的数据移动到所述所选区域;对所述地址解码器电路进行编程以将所述所选区域配置为只读;以及锁定所述地址解码器电路中的所述只读配置。
【技术特征摘要】
【国外来华专利技术】2012.08.09 US 13/570,3151.一种用于安全数据保护的方法,所述方法包括:选择要保护的系统存储器的区域,所述选择响应于系统重置状态而发生,所述选择由包括可信基本输入/输出系统(BIOS)的可信控制块(TCB)执行;对地址解码器电路进行编程以将所述所选区域配置为读写;将要保卫的数据移动到所述所选区域;对所述地址解码器电路进行编程以将所述所选区域配置为只读;以及锁定所述地址解码器电路中的所述只读配置,其中,所述地址解码器电路是通过与处理器高速缓冲存储器控制器相关联的源地址解码器(SAD)寄存器或与集成的处理器存储器控制器相关联的目标地址解码器(TAD)寄存器来编程的。2.如权利要求1所述的方法,其中,所述系统重置状态还包括系统上电。3.如权利要求1所述的方法,其中,所述要保卫的数据包括高级配置和电源接口(ACPI)表。4.如权利要求1所述的方法,还包括在所述锁定之后执行剩余系统引导任务。5.如权利要求4所述的方法,其中,所述剩余系统引导任务包括加载操作系统(OS)。6.如权利要求1所述的方法,其中,所述地址解码器电路与动态随机存取存储器(DRAM)设备控制器相关联。7.如权利要求1所述的方法,还包括在执行所述锁定之后拒绝对所述所选区域的存储器写请求。8.如权利要求7所述的方法,还包括响应于所述存储器写请求拒绝而报告存储器写故障错误。9.一种用于安全数据保护的系统,所述系统包括:系统存储器;耦合到所述系统存储器的地址解码器电路;耦合到所述地址解码器电路的处理器;处理器高速缓冲存储器控制器;集成的处理器存储器控制器;以及与所述处理器相关联的可信控制块(TCB),所述TCB被配置为执行可信基本输入/输出系统(BIOS),其中所述可信BIOS被配置为:响应于系统重置状态而将要保卫的数据移动到所述系统存储器的所选区域;对所述地址解码器电路进行编程以将所述所选区域配置为只读;以及锁定所述地址解码器电路中的所述只读配置,其中,所述...
【专利技术属性】
技术研发人员:P萨克蒂库马,VJ齐默,RC斯万森,E纳鲁萨米,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。