【技术实现步骤摘要】
本专利技术涉及使用UEFI安全引导证书以有助于使用授权的软件和设备,比如选项ROM和操作系统引导加载器。
技术介绍
安全引导防止“未授权”操作系统和软件在启动过程期间加载。在安全引导被启用时,安全引导比对已知良好签名的数据库检查每款软件,包括UEFI驱动器(选项ROM)和操作系统。如果每款软件能够被验证,则固件运行软件和操作系统。UEFI固件包括签名数据库(DB)、撤消的签名数据库(DBX)和密钥登记密钥数据库(KEK)。这些数据库在制造时被存储在UEFI闪存上签名数据库(DB)和撤消的签名数据库(DBX)列举可以在服务器上被加载的UEFI应用、操作系统加载器(比如微软操作系统加载器或者引导管理器)和UEFI驱动器的签名或者映像哈希以及用于不再被信任的并且不可以被加载的项目的撤消的映像。密钥登记密钥数据库(KEK)是可以用来更新签名数据库和撤消的签名数据库的签名密钥的分离数据库。操作系统的开发者要求在KEK数据库中包括指定的密钥,从而使得开发者可以向签名数据库添加新操作系统或者向撤消的签名数据库添加已知不良映像。在已经添加这些数据库之后以及在最终固件验证和测试之后,除了用正确密钥签名的更新或者由使用固件菜单并且然后生成平台密钥(PK)的在物理上存在的用户的更新之外,锁定固件以防编辑。UEFI允许有选择地“启用”或者“停用”安全引导。如果安全引导被停用,则可以运行任何映像而没有验证或者授权该映像。如果安全引导被启用,则默认数字证书和/或签名的集合用来引导任何OS或者使用任何选项ROM。默认数字证书和/或签名可以由节点的原始设备制造商提供。如果映像不能被验证 ...
【技术保护点】
一种方法,包括:计算节点的统一可扩展固件接口标识在所述计算节点内的选项ROM或者OS引导加载器,其中所述选项ROM或者OS引导加载器存储能够使用所需数字证书被验证的签名的映像;确定所述统一可扩展固件接口没有在撤消数据库中或者在授权数据库中存储所述所需数字证书;在除了所述撤消数据库或者所述授权数据库之外的数字证书的数据库中自动地标识所述所需数字证书;以及向所述授权数据库(DB)提供所述所需数字证书。
【技术特征摘要】
2015.06.24 US 14/749,0421.一种方法,包括:计算节点的统一可扩展固件接口标识在所述计算节点内的选项ROM或者OS引导加载器,其中所述选项ROM或者OS引导加载器存储能够使用所需数字证书被验证的签名的映像;确定所述统一可扩展固件接口没有在撤消数据库中或者在授权数据库中存储所述所需数字证书;在除了所述撤消数据库或者所述授权数据库之外的数字证书的数据库中自动地标识所述所需数字证书;以及向所述授权数据库(DB)提供所述所需数字证书。2.根据权利要求1所述的方法,其中确定所述统一可扩展固件接口没有在撤消数据库中或者在授权数据库中存储所述所需数字证书包括依次地测试在所述撤消数据库和所述授权数据库中的每个数字证书,直至在所述撤消数据库和所述授权数据库中的所有所述数字证书已经被测试而未标识所述所需数字证书,其中测试每个数字证书包括用在所述数字证书中包括的公共密钥对在所述签名的映像中的数字签名进行解码,预备所述映像的哈希,以及比较解码的所述数字签名与所述映像的所述哈希,其中数字证书响应于确定解码的所述数字签名匹配所述映像的所述哈希被标识为所述所需数字证书。3.根据权利要求1所述的方法,其中在除了所述撤消数据库或者所述授权数据库之外的数字证书的数据库中自动地标识所述所需数字证书包括依次地测试在所述数字证书的数据库中的每个数字证书,直至标识所述所需数字证书,其中测试每个数字证书包括用在所述数字证书中包括的公共密钥对在所述签名的映像中的数字签名进行解码,预备所述映像的哈希,以及比较解码的所述数字签名与所述映像的所述哈希,其中数字证书响应于确定解码的所述数字签名匹配所述映像的所述哈希被标识为所述所需数字证书。4.根据权利要求1所述的方法,其中在除了所述撤消数据库或者所述授权数据库之外的数字证书的数据库中自动地标识所述所需数字证书包括读取在所述签名的映像中的头部信息以获得用于所述所需数字证书的标识符,并且然后在所述数字证书的数据库中搜索具有所述标识符的数字证书。5.根据权利要求1所述的方法,还包括:使用所述所需数字证书来验证在所述选项ROM或者OS引导加载器上存储的所述签名的映像;以及仅如果所述签名的映像已经被验证才加载所述签名的映像。6.根据权利要求5所述的方法,其中使用所述数字证书来验证在所述选项ROM或者OS引导加载器上存储的所述签名的映像包括使用在所述所需数字证书中包括的公共密钥来对所述签名的映像的数字签名进行解码以及确定解码的所述数字签名匹配所述签名的映像的哈希。7.根据权利要求1所述的方法,其中所述数字证书的数据库被存储在所述计算节点的所述统一可扩展固件接口(UEFI)中。8.根据权利要求1所述的方法,其中所述数字证书的数据库被存储在集成管理模块(IMM)中。9.根据权利要求1所述的方法,其中所述数字证书的数据库被存储在机架管理模块(CMM)中。10.根据权利要求1所述的方法,其中所述数字证书的数据库被存储在除了所述计算节点之外的服务器中。11.根据权利要求1所述的方法,还包括:响应于确定选择的数字证书没有用来在所述计算机节点中验证选项ROM或者OS引导加载器来从所述计算节点的所述授权数据库(DB)自动地去除所述选择的数字证书。12.根据权利要求1所述的方法,还包括:标识在所述计算节点的所述授权数据库(DB)中的没有用来在所述计算机节点中验证选项ROM或者OS引导加载器的多个选择的数字证书;以及在先入先出基础上从所述授权数据库(DB)自动地...
【专利技术属性】
技术研发人员:N·K·坎普贝尔,D·W·奥利弗,纪生睿,沈松武,唐文蔚,
申请(专利权)人:联想企业解决方案新加坡有限公司,
类型:发明
国别省市:新加坡;SG
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。