用于提供数字证书的方法和装置制造方法及图纸

本申请涉及安全引导证书的自动发现和安装。一种方法包括计算节点的统一可扩展固件接口标识在计算节点内的选项ROM或者OS引导加载器，其中选项ROM或者OS引导加载器存储能够使用所需数字证书被验证的签名的映像。该方法还包括确定统一可扩展固件接口没有在撤消数据库中或者在授权数据库中存储所需数字证书。进而另外，该方法包括在除了撤消数据库或者授权数据库之外的数字证书的数据库中自动地标识所需数字证书以及向授权数据库提供所需数字证书。

【技术实现步骤摘要】

本专利技术涉及使用UEFI安全引导证书以有助于使用授权的软件和设备，比如选项ROM和操作系统引导加载器。
技术介绍
安全引导防止“未授权”操作系统和软件在启动过程期间加载。在安全引导被启用时，安全引导比对已知良好签名的数据库检查每款软件，包括UEFI驱动器(选项ROM)和操作系统。如果每款软件能够被验证，则固件运行软件和操作系统。UEFI固件包括签名数据库(DB)、撤消的签名数据库(DBX)和密钥登记密钥数据库(KEK)。这些数据库在制造时被存储在UEFI闪存上签名数据库(DB)和撤消的签名数据库(DBX)列举可以在服务器上被加载的UEFI应用、操作系统加载器(比如微软操作系统加载器或者引导管理器)和UEFI驱动器的签名或者映像哈希以及用于不再被信任的并且不可以被加载的项目的撤消的映像。密钥登记密钥数据库(KEK)是可以用来更新签名数据库和撤消的签名数据库的签名密钥的分离数据库。操作系统的开发者要求在KEK数据库中包括指定的密钥，从而使得开发者可以向签名数据库添加新操作系统或者向撤消的签名数据库添加已知不良映像。在已经添加这些数据库之后以及在最终固件验证和测试之后，除了用正确密钥签名的更新或者由使用固件菜单并且然后生成平台密钥(PK)的在物理上存在的用户的更新之外，锁定固件以防编辑。UEFI允许有选择地“启用”或者“停用”安全引导。如果安全引导被停用，则可以运行任何映像而没有验证或者授权该映像。如果安全引导被启用，则默认数字证书和/或签名的集合用来引导任何OS或者使用任何选项ROM。默认数字证书和/或签名可以由节点的原始设备制造商提供。如果映像不能被验证，则将不会加载OS或者驱动器。
技术实现思路
本专利技术的一个实施例提供一种方法，该方法包括计算节点的统一可扩展固件接口标识在计算节点内的选项ROM或者OS引导加载器，其中选项ROM或者OS引导加载器存储能够使用所需数字证书被验证的签名的映像。该方法还包括确定统一可扩展固件接口没有在撤消数据库中或者在授权数据库中存储所需数字证书。进而另外，该方法包括在除了撤消数据库或者授权数据库之外的数字证书的数据库中自动地标识所需数字证书以及向授权数据库(DB)提供所需数字证书。本专利技术的另一实施例提供一种包括非瞬态计算机可读存储介质的计算机程序产品，该非瞬态计算机可读存储介质具有随之体现的程序指令，其中程序指令可由处理器执行以使得处理器执行一种方法。该方法包括计算节点的统一可扩展固件接口标识在计算节点内的选项ROM或者OS引导加载器，其中选项ROM或者OS引导加载器存储能够使用所需数字证书被验证的签名的映像。该方法还包括确定统一可扩展固件接口没有在撤消数据库中或者在授权数据库中存储所需数字证书。进而另外，该方法包括在除了撤消数据库或者授权数据库之外的数字证书的数据库中自动地标识所需数字证书以及向授权数据库(DB)提供所需数字证书。附图说明图1是根据本专利技术的各种实施例的与已知公共数字证书的数据库通信的统一可扩展固件接口(UEFI)的框图。图2是示出了源预备签名的映像的过程和计算节点验证签名的映像的过程的流程图。图3是确定映像是否被授权运行的方法的流程图。图4是向授权数据库自动地提供所需数字证书从而使得可以加载映像的方法的流程图。具体实施方式本专利技术的一个实施例提供一种方法，该方法包括计算节点的统一可扩展固件接口标识在计算节点内的选项ROM或者OS引导加载器，其中选项ROM或者OS引导加载器存储能够使用所需数字证书被验证的签名的映像。该方法还包括确定统一可扩展固件接口没有在撤消数据库中或者在授权数据库中存储所需数字证书。进而另外，该方法包括在除了撤消数据库或者授权数据库之外的数字证书的数据库中自动地标识所需数字证书以及向授权数据库(DB)提供所需数字证书。UEFI设立菜单可以允许用户选择是否启用安全引导。如果安全引导被停用，则允许所有选项ROM和操作系统(OS)引导加载器加载。如果安全引导被启用，则安全引导在启动过程期间自动地发现在系统内的每个选项ROM和OS引导加载器并且防止加载未被签名的任何选项ROM或者OS引导加载器。UEFI通过探测总线并且标识在BusX、DeviceY、FunctionZ处的任何卡来标识选项ROM或者OS引导加载器。所有卡有能力让选项ROM在它们上被加载。如果安装的卡具有选项ROM可用，则UEFI通过总线读取选项ROM。如果安装的卡没有选项ROM可用，则有可能的是固件可以存储用于卡的代码。UEFI也可以用相似方式“发现”OS引导加载器。一旦发现了OS引导加载器，UEFI就可以标识操作系统而未执行操作系统。通过读取选项ROM或者OS引导加载器，UEFI可以确定OS引导加载器是否被签名并且获得签名的副本。如果安全引导被启用并且映像被签名，则安全引导确定映像是否被在DBX中的数字证书覆盖。如果必需数字证书在DBX中，则安全引导将不会允许映像加载。数字证书可以响应于各种情形(比如在已经危及映像的源时)被放置在“撤消数据库(DBX)”中。例如，如果签名服务器已经被黑客，则不应使用由该签名服务器签名的映像。因而，由该签名服务器签发的数字证书应当被添加到撤消数据库(DBX)以防止用数字证书验证任何映像。如果必需数字证书没有在撤消数据库(DBX)中，则安全引导确定数字证书是否在授权数据库(DB)中。如果然后发现证书在授权数据库(DB)中，则证书将允许许多映像仅与证书一起被使用。如果然后没有在授权数据库(DB)中发现证书，则将不会允许映像加载。遗憾的是，如果在撤消数据库(DBX)和授权数据库(DB)中都没有发现必需证书，则不允许加载选项ROM或者OS引导加载器。尽管安全引导防止加载恶意或者不适当映像，但是安全引导也可以仅由于UEFI“遗漏”必需数字证书而防止使用安装的设备和加载签名的映像。根据本专利技术的实施例，UEFI设立菜单也可以允许用户选择是否启用自动发现和安装为了授权使用签名的选项ROM和OS引导加载器而需要的数字证书。在启用自动发现和安装特征时，用户不必知道安全引导签名过程或者知道需要哪些数字证书以支持系统中的选项ROM和OS引导加载器。另外，自动发现和安装数字证书可以节省确定设备或者操作系统为什么不会加载或者尝试对所需证书进行定位的用户时间。自动发现和安装数字证书可以用来发现和安装证书到授权数据库(DB)和撤消数据库(DBX)之一或者二者中。UEFI授权数据库(DB)优选地仅存储数字证书的小型默认列表以便限制意外地授权不应被授权的选项ROM或者OS引导加载器的可能性。因而，如果安全引导确定所需证书从撤消数据库(DBX)和授权数据库(DB)二者遗漏，则UEFI发起在公共UEFI证书的已知数据库中搜索遗漏证书。如果选项ROM或者OS引导加载器映像具有头部，该头部具有关于所需证书的信息，则可以在搜索证书时使用该头部信息。例如，头部可以标识设备的制造商或者包括唯一地标识证书的代码。然而，如果没有有用的头部信息，则搜索可以涉及测试公共UEFI证书的已知数据库中的证书中的每个证书，直至证书中的标识的证书能够对在签名的映像中的数字签名进行解码，从而使得解码的数字签名匹配映像的哈希。以这一方式标识的数字证书是可以向授权数据库(DB)提供的所需数字证书。在一个选项中本文档来自技高网...

【技术保护点】
一种方法，包括：计算节点的统一可扩展固件接口标识在所述计算节点内的选项ROM或者OS引导加载器，其中所述选项ROM或者OS引导加载器存储能够使用所需数字证书被验证的签名的映像；确定所述统一可扩展固件接口没有在撤消数据库中或者在授权数据库中存储所述所需数字证书；在除了所述撤消数据库或者所述授权数据库之外的数字证书的数据库中自动地标识所述所需数字证书；以及向所述授权数据库(DB)提供所述所需数字证书。

【技术特征摘要】
2015.06.24 US 14/749,0421.一种方法，包括：计算节点的统一可扩展固件接口标识在所述计算节点内的选项ROM或者OS引导加载器，其中所述选项ROM或者OS引导加载器存储能够使用所需数字证书被验证的签名的映像；确定所述统一可扩展固件接口没有在撤消数据库中或者在授权数据库中存储所述所需数字证书；在除了所述撤消数据库或者所述授权数据库之外的数字证书的数据库中自动地标识所述所需数字证书；以及向所述授权数据库(DB)提供所述所需数字证书。2.根据权利要求1所述的方法，其中确定所述统一可扩展固件接口没有在撤消数据库中或者在授权数据库中存储所述所需数字证书包括依次地测试在所述撤消数据库和所述授权数据库中的每个数字证书，直至在所述撤消数据库和所述授权数据库中的所有所述数字证书已经被测试而未标识所述所需数字证书，其中测试每个数字证书包括用在所述数字证书中包括的公共密钥对在所述签名的映像中的数字签名进行解码，预备所述映像的哈希，以及比较解码的所述数字签名与所述映像的所述哈希，其中数字证书响应于确定解码的所述数字签名匹配所述映像的所述哈希被标识为所述所需数字证书。3.根据权利要求1所述的方法，其中在除了所述撤消数据库或者所述授权数据库之外的数字证书的数据库中自动地标识所述所需数字证书包括依次地测试在所述数字证书的数据库中的每个数字证书，直至标识所述所需数字证书，其中测试每个数字证书包括用在所述数字证书中包括的公共密钥对在所述签名的映像中的数字签名进行解码，预备所述映像的哈希，以及比较解码的所述数字签名与所述映像的所述哈希，其中数字证书响应于确定解码的所述数字签名匹配所述映像的所述哈希被标识为所述所需数字证书。4.根据权利要求1所述的方法，其中在除了所述撤消数据库或者所述授权数据库之外的数字证书的数据库中自动地标识所述所需数字证书包括读取在所述签名的映像中的头部信息以获得用于所述所需数字证书的标识符，并且然后在所述数字证书的数据库中搜索具有所述标识符的数字证书。5.根据权利要求1所述的方法，还包括：使用所述所需数字证书来验证在所述选项ROM或者OS引导加载器上存储的所述签名的映像；以及仅如果所述签名的映像已经被验证才加载所述签名的映像。6.根据权利要求5所述的方法，其中使用所述数字证书来验证在所述选项ROM或者OS引导加载器上存储的所述签名的映像包括使用在所述所需数字证书中包括的公共密钥来对所述签名的映像的数字签名进行解码以及确定解码的所述数字签名匹配所述签名的映像的哈希。7.根据权利要求1所述的方法，其中所述数字证书的数据库被存储在所述计算节点的所述统一可扩展固件接口(UEFI)中。8.根据权利要求1所述的方法，其中所述数字证书的数据库被存储在集成管理模块(IMM)中。9.根据权利要求1所述的方法，其中所述数字证书的数据库被存储在机架管理模块(CMM)中。10.根据权利要求1所述的方法，其中所述数字证书的数据库被存储在除了所述计算节点之外的服务器中。11.根据权利要求1所述的方法，还包括：响应于确定选择的数字证书没有用来在所述计算机节点中验证选项ROM或者OS引导加载器来从所述计算节点的所述授权数据库(DB)自动地去除所述选择的数字证书。12.根据权利要求1所述的方法，还包括：标识在所述计算节点的所述授权数据库(DB)中的没有用来在所述计算机节点中验证选项ROM或者OS引导加载器的多个选择的数字证书；以及在先入先出基础上从所述授权数据库(DB)自动地...

【专利技术属性】
技术研发人员：N·K·坎普贝尔，D·W·奥利弗，纪生睿，沈松武，唐文蔚，
申请(专利权)人：联想企业解决方案新加坡有限公司，
类型：发明
国别省市：新加坡;SG