基本输入输出系统的保护设备与方法技术方案

一种基本输入输出系统的保护设备。加密讯息文摘包括对应基本输入输出系统内容的第一讯息文摘的加密版本。窜改检测器在所规定的间隔与事件发生的集合时产生基本输入输出系统检查中断以存取基本输入输出系统内容以及加密讯息文摘、指示微处理器产生对应于基本输入输出系统内容的第二讯息文摘与对应加密讯息文摘的解密讯息文摘、比较第二讯息文摘与解密讯息文摘，且当第二讯息文摘不同于解密讯息文摘时，防止微处理器的操作。完成目前基本输入输出系统检查后，乱数产生器产生乱数。联合测试工作群组控制链编程所规定的间隔与事件发生的集合。

Protection device and method for basic input and output system

A protection device for basic input and output system. Encrypted message digest includes the encrypted version of the first message digest corresponding to the basic input and output system. The basic input output system check interrupt to access the content of basic input output system and an encrypted message digest, indicating the microprocessor generates a corresponding to the content of basic input output system second and the corresponding message digest encrypted message digest collection tampering detector and events at intervals specified occur when decrypt the message digest, second message digest and decrypt the message digest second, and when the message digest is different from the decryption message digest, to prevent the operation of the microprocessor. After the current basic input and output system is checked, the random number generator generates random numbers. The set of intervals and events specified in the control chain programming of the joint test group.

【技术实现步骤摘要】
基本输入输出系统的保护设备与方法
本专利技术涉及一种微电子，特别是涉及能保护计算系统中基本输入/输出系统(basicinput/outputsystem，BIOS)的装置与方法。
技术介绍
计算平台有各种形式和大小，例如：桌上型计算机、笔记型计算机、平板计算机、个人数字助理(PDA)和智能手机。在这些不同形式的计算平台中，只有少数会采用非常强大的工具。当计算平台被拆开之后，几乎所有形式的计算平台是共享相同的基本结构或配置。在其核心是一个中央处理单元(通常是微处理器)、用于储存程序的存储器(以硬盘或固态硬盘的形式)、执行程序的更快的存储器(通常为随机存取存储器)以及储存基本输入/输出系统(basicinput/outputsystem，BIOS)的存储器。对这些平台而言，BIOS是分层编程的最底层，其能启动标准的操作系统和应用程序，而使用特定计算平台所配置的硬件来执行操作。BIOS通常与硬件接口有大量的关联性，所以当平台配置有改变时，较高阶层的程序不需要修改就可容纳这些改变。当然，当有改变时，BIOS通常会被升级，这就是为什么BIOS的储存通常与操作系统和应用程序的储存分离。BIOS不仅包括了计算平台的基本操作，其亦包括配置数据和安全数据(例如计算系统是否被授权来执行特定的应用程序等)。因为BIOS包含了安全数据，所以其通常是骇客之类的目标。例如，藉由修改系统的BIOS，未授权的使用者便能执行未经授权的程序。因此，对系统设计者极为重要的是，当系统不工作而BIOS正在操作时，BIOS的有效性和完整性能得到保护和保证。因此，为了能支持升级及/或重新编程以支持系统配置的改变，一方面希望系统的BIOS能容易进行存取。而在另一方面，保护或限制对BIOS的内容进行存取是很重要的，以避免未经授权者的篡改。实现一个或两个上述目标的一些尝试会导致架构被限制。例如，移动储存的BIOS到类似系统的微处理器的同一芯片上以防止BIOS被篡改，但却完全违背了容易升级的目的，因为BIOS不再是实体存取。其他技术强调BIOS内容的加密，从保护的观点来看这是有利的，但是这会削减系统的性能。因为每次需要使用到无法接受的数量的操作来对BIOS内容进行解密。因此，需要一种能支持计算系统的BIOS内容的可存取性以及升级，也能保护BIOS内容免遭未经授权篡改的新颖技术。
技术实现思路
本专利技术提供较佳的技术，用以解决上述问题并满足其他问题及缺点以及习知的受限。本专利技术提供了一种技术，用于保护计算系统的BIOS免于攻击。在一实施例中，提供了一种基本输入输出系统的保护设备，用以保护一计算系统内的一基本输入输出系统。上述保护设备包括一基本输入输出系统只读存储器、一窜改检测器、一乱数产生器以及一联合测试工作群组控制链。上述基本输入输出系统只读存储器包括：基本输入输出系统内容，其中上述基本输入输出系统内容储存为可读文本；以及，一加密讯息文摘，其中上述加密讯息文摘包括对应于上述基本输入输出系统内容的一第一讯息文摘的一加密版本。上述窜改检测器耦接于上述基本输入输出系统只读存储器，用以在所规定的间隔与事件发生的集合时产生一基本输入输出系统检查中断、根据上述基本输入输出系统检查中断而对上述基本输入输出系统内容以及上述加密讯息文摘进行存取、指示一微处理器产生对应于上述基本输入输出系统内容的一第二讯息文摘以及对应于上述加密讯息文摘的一解密讯息文摘、比较上述第二讯息文摘与上述解密讯息文摘，以及当上述第二讯息文摘不相同于上述解密讯息文摘时，防止上述微处理器的操作。上述乱数产生器设置在上述微处理器内，其中在完成了一目前基本输入输出系统检查之后，上述乱数产生器产生一乱数，其中上述乱数是用来设定下一个所规定的间隔，以及上述所规定的间隔是可随机改变的。上述联合测试工作群组控制链用以编程在一窜改检测微码储存器的上述所规定的间隔与事件发生的集合。再者，本专利技术提供一种基本输入输出系统的保护方法，用以保护一计算系统内的一基本输入输出系统。储存基本输入输出系统内容以及一加密讯息文摘至一基本输入输出系统只读存储器，其中上述加密讯息文摘包括对应于上述基本输入输出系统内容的一第一讯息文摘的一加密版本。编程在一窜改检测微码储存器的所规定的间隔与事件发生的集合。产生一基本输入输出系统检查中断，以便在上述所规定的间隔与事件发生的集合中断上述计算系统的正常操作。回应于上述基本输入输出系统检查中断，存取上述基本输入输出系统内容以及上述加密讯息文摘，并使用用来产生上述第一讯息文摘与上述加密讯息文摘的相同演算法与密钥来产生对应于上述基本输入输出系统内容的一第二讯息文摘以及对应于上述加密讯息文摘的一解密讯息文摘。比较上述第二讯息文摘与上述解密讯息文摘。当上述第二讯息文摘不相同于上述解密讯息文摘时，防止一微处理器的操作。使用在上述微处理器内的一乱数产生器，在完成了一目前基本输入输出系统检查之后产生一乱数，其中上述乱数是用来设定下一个所规定的间隔，以及上述所规定的间隔是可随机改变的。再者，本专利技术提供另一种基本输入输出系统的保护设备，用以保护一计算系统内的一基本输入输出系统。上述保护设备包括一基本输入输出系统只读存储器、一窜改检测器、一乱数产生器以及一联合测试工作群组控制链。上述基本输入输出系统只读存储器，包括：基本输入输出系统内容，其中上述基本输入输出系统内容储存为可读文本；以及，一加密讯息文摘，其中上述加密讯息文摘包括对应于上述基本输入输出系统内容的一第一讯息文摘的一加密版本。上述窜改检测器耦接于上述基本输入输出系统只读存储器，用以在所规定的间隔与事件发生的集合时产生一基本输入输出系统检查中断、根据上述基本输入输出系统检查中断而对上述基本输入输出系统内容以及上述加密讯息文摘进行存取、指示一微处理器产生对应于上述基本输入输出系统内容的一第二讯息文摘以及对应于上述加密讯息文摘的一解密讯息文摘、比较上述第二讯息文摘与上述解密讯息文摘，以及当上述第二讯息文摘不相同于上述解密讯息文摘时，防止上述微处理器的操作，其中上述事件发生包括输入/输出存取。上述乱数产生器设置在上述微处理器内，其中在完成了一目前基本输入输出系统检查之后，上述乱数产生器产生一乱数，其中上述乱数是用来设定下一个所规定的间隔，以及上述所规定的间隔是可随机改变的。上述联合测试工作群组控制链，用以编程在一窜改检测微码储存器的上述所规定的间隔与事件发生的集合。再者，本专利技术提供另一种基本输入输出系统的保护方法，用以保护一计算系统内的一基本输入输出系统。储存基本输入输出系统内容以及一加密讯息文摘至一基本输入输出系统只读存储器，其中上述加密讯息文摘包括对应于上述基本输入输出系统内容的一第一讯息文摘的一加密版本。编程在一窜改检测微码储存器的所规定的间隔与事件发生的集合，其中上述事件发生包括输入/输出存取。产生一基本输入输出系统检查中断，以便在上述所规定的间隔与事件发生的集合中断上述计算系统的正常操作。回应于上述基本输入输出系统检查中断，存取上述基本输入输出系统内容以及上述加密讯息文摘，并使用用来产生上述第一讯息文摘与上述加密讯息文摘的相同演算法与密钥来产生对应于上述基本输入输出系统内容的一第二讯息文摘以及对应于上述加密讯息文摘的一解密讯息文摘。比较上述第二讯息文摘与上述本文档来自技高网...

【技术保护点】
一种基本输入输出系统的保护设备，用以保护一计算系统内的一基本输入输出系统，包括：一基本输入输出系统只读存储器，包括：基本输入输出系统内容，其中上述基本输入输出系统内容储存为可读文本；以及一加密讯息文摘，其中上述加密讯息文摘包括对应于上述基本输入输出系统内容的一第一讯息文摘的一加密版本；一窜改检测器，耦接于上述基本输入输出系统只读存储器，用以在所规定的间隔与事件发生的集合时产生一基本输入输出系统检查中断、根据上述基本输入输出系统检查中断而对上述基本输入输出系统内容以及上述加密讯息文摘进行存取、指示一微处理器产生对应于上述基本输入输出系统内容的一第二讯息文摘以及对应于上述加密讯息文摘的一解密讯息文摘、比较上述第二讯息文摘与上述解密讯息文摘，以及当上述第二讯息文摘不相同于上述解密讯息文摘时，防止上述微处理器的操作；一乱数产生器，设置在上述微处理器内，其中在完成了一目前基本输入输出系统检查之后，上述乱数产生器产生一乱数，其中上述乱数是用来设定下一个所规定的间隔，以及上述所规定的间隔是可随机改变的；以及一联合测试工作群组控制链，用以编程在一窜改检测微码储存器的上述所规定的间隔与事件发生的集合。

【技术特征摘要】
2017.07.06 TW 106122674;2016.10.31 US 15/338,586;21.一种基本输入输出系统的保护设备，用以保护一计算系统内的一基本输入输出系统，包括：一基本输入输出系统只读存储器，包括：基本输入输出系统内容，其中上述基本输入输出系统内容储存为可读文本；以及一加密讯息文摘，其中上述加密讯息文摘包括对应于上述基本输入输出系统内容的一第一讯息文摘的一加密版本；一窜改检测器，耦接于上述基本输入输出系统只读存储器，用以在所规定的间隔与事件发生的集合时产生一基本输入输出系统检查中断、根据上述基本输入输出系统检查中断而对上述基本输入输出系统内容以及上述加密讯息文摘进行存取、指示一微处理器产生对应于上述基本输入输出系统内容的一第二讯息文摘以及对应于上述加密讯息文摘的一解密讯息文摘、比较上述第二讯息文摘与上述解密讯息文摘，以及当上述第二讯息文摘不相同于上述解密讯息文摘时，防止上述微处理器的操作；一乱数产生器，设置在上述微处理器内，其中在完成了一目前基本输入输出系统检查之后，上述乱数产生器产生一乱数，其中上述乱数是用来设定下一个所规定的间隔，以及上述所规定的间隔是可随机改变的；以及一联合测试工作群组控制链，用以编程在一窜改检测微码储存器的上述所规定的间隔与事件发生的集合。2.如权利要求1所述的保护设备，其中上述基本输入输出系统只读存储器设置在上述计算系统的一系统板上，且分离于一窜改计时器与上述窜改检测器。3.如权利要求1所述的保护设备，其中上述微处理器使用一安全散列演算法来产生上述第二讯息文摘。4.如权利要求1所述的保护设备，其中上述微处理器使用一进阶加密标准演算法来产生上述解密讯息文摘。5.如权利要求1所述的保护设备，其中上述微处理器包括设置在一执行逻辑内的一密码机/散列单元，以及上述第二讯息文摘以及上述解密讯息文摘由上述密码机/散列单元所产生，其中一密钥仅能由上述密码机/散列单元进行存取。6.如权利要求5所述的保护设备，其中上述微处理器所执行的程序指令无法存取上述密钥以及一窜改计时器。7.如权利要求1所述的保护设备，其中上述乱数产生器是设置在上述微处理器内的一执行逻辑。8.如权利要求1所述的保护设备，其中上述微处理器为上述设备的一部份，且耦接于上述基本输入输出系统只读存储器，以及上述微处理器包括上述窜改检测器、上述乱数产生器以及上述联合测试工作群组控制链。9.一种基本输入输出系统的保护方法，用以保护一计算系统内的一基本输入输出系统，包括：储存基本输入输出系统内容以及一加密讯息文摘至一基本输入输出系统只读存储器，其中上述加密讯息文摘包括对应于上述基本输入输出系统内容的一第一讯息文摘的一加密版本；编程在一窜改检测微码储存器的所规定的间隔与事件发生的集合；产生一基本输入输出系统检查中断，以便在上述所规定的间隔与事件发生的集合中断上述计算系统的正常操作；回应于上述基本输入输出系统检查中断，存取上述基本输入输出系统内容以及上述加密讯息文摘，并使用用来产生上述第一讯息文摘与上述加密讯息文摘的相同演算法与密钥来产生对应于上述基本输入输出系统内容的一第二讯息文摘以及对应于上述加密讯息文摘的一解密讯息文摘；比较上述第二讯息文摘与上述解密讯息文摘；当上述第二讯息文摘不相同于上述解密讯息文摘时，防止一微处理器的操作；以及使用在上述微处理器内的一乱数产生器，在完成了一目前基本输入输出系统检查之后产生一乱数，其中上述乱数是用来设定下一个所规定的间隔，以及上述所规定的间隔是可随机改变的。10.如权利要求9所述的保护方法，更包括：分别地设置上述基本输入输出系统只读存储器在上述计算系统的一系统板上。11.如权利要求9所述的保护方法，其中上述使用用来产生上述第一讯息文摘与上述加密讯息文摘的相同演算法与密钥来产生对应于上述基本输入输出系统内容的上述第二讯息文摘以及对应于上述加密讯息文摘的上述解密讯息文摘的步骤更包括：使用一安全散列演算法来产生上述第二讯息文摘。12.如权利要求9所述的保护方法，其中上述使用用来产生上述第一讯息文摘与上述加密讯息文摘的相同演算法与密钥来产生对应于上述基本输入输出系统内容的上述第二讯息文摘以及对应于上述加密讯息文摘的上述解密讯息文摘的步骤更包括：使用一进阶加密标准演算法来产生上述解密讯息文摘。13.如权利要求9所述的保护方法，其中上述微处理器包括设置在一执行逻辑内一密码机/散列单元，以及上述第二讯息文摘以及上述解密讯息文摘由上述密码机/散列单元所产生，其中上述密钥仅能由上述密码机/散列单元进行存取。14.如权利要求13所述的保护方法，其中上述微处理器所执行的程序指令无法存取上述密钥。15.如权利要求9所述的保护方法，其中上述乱数产生器设置在上述微处理器的一执行逻辑内。16.一种基本输入输出系统的保护设备，用以保护一计算系统内的一基本输入输出系统，包括：一基本输入输出系统只读存储器，包括：基本输入输出系统内容，其中上述基本输入输出系统内容储存为可读文本；以及一加密讯息文摘，其中上述加密讯息文摘包括对应于上述基本输入输出系统内容的一第一讯息文摘的一加密版本；一窜改检测器，耦接于上述基本输入输出系统只读存储器，用以在所规定的间隔与事件发生的集合时产生一基本输入输出系统检查中断、根据上述基本输入输出系统检查中断而对上述基本输入输出系统内容以及上述加密讯息文摘进行存取、指示一微处理器产生对应于上述基本输入输出系统内容的一第二讯息文摘以及对应于上述加密讯息文摘的一解密讯息文摘、比较上述第二讯息文摘与上述解密讯息文摘，以及当上述第二讯息文摘不相同于上述解密讯息文摘时，防止上述微处理器的操作，其中上述事件发生包括输入/输出存取；一乱数产生器，设置在上述微处理器内，其中在完成了一目前基本输入输出系统检查之后，上述乱数产生器产生一乱数，其中上述乱数是用来设定下一个所规定的间隔，以及上述所规定的间隔是可随机改变的；以及一联合测试工作群组控制链，用以编程在一窜改检测微码储存器的上述所规定的间隔与事件发生的集合。17.如权利要求16所述的保护设备，其中上述基本输入输出系统只读存储器设置在上述计算系统的一系统板上，且分离于一窜改计时器与上述窜改检测器。18.如权利要求16所述的保护设备，其中上述微处理器使用一安全散列演算法来产生上述第二讯息文摘。19.如权利要求16所述的保护设备，其中上述微处理器使用一进阶加密标准演算法来产生上述解密讯息文摘。20.如权利要求16所述的保护设备，其中上述微处理器包括设置在一执行逻辑内的一密码机/散列单元，以及上述第二讯息文摘以及上述解密讯息文摘由上述密码机/散列单元所产生，其中一密钥仅能由上述密码机/散列单元进行存取。21.如权利要求20所述的保护设备，其中上述微处理器所执行的程序指令无法存取上述密钥以及一窜改计时器。22.如权利要求16所述的保护设备，其中上述乱数产生器设置在上述微处理器内的一执行逻辑。23.如权利要求16所述的保护设备，其中上述微处理器为上述设备的一部份，且耦接于上述基本输入输出系统只读存储器，以及上述微处理器包括上述窜改检测器、上述乱数产生器以及上述联合测试工作群组控制链。24.一种基本输入输出系统的保护方法，用以保护一计算系统内的一基本输入输出系统，包括：储存基本输入输出系统内容以及一加密讯息文摘至一基本输入输出系统只读存储器，其中上述加密讯息文摘包括对应于上述基本输入输出系统内容的一第一讯息文摘的一加密版本；编程在一窜改检测微码储存器的所规定的间隔与事件发生的集合，其中上述事件发生包括输入/输出存取；产生一基本输入输出系统检查中断，以便在上述所规定的间隔与事件发生的集合中断上述计算系统的正常操作；回应于上述基本输入输出系统检查中断，存取上述基本输入输出系统内容以及上述加密讯息文摘，并使用用来产生上述第一讯息文摘与上述加密讯息文摘的相同演算法与密钥来产生对应于上述基本输入输出系统内容的一第二讯息文摘以及对应于上述加密讯息文摘的一解密讯息文摘；比较上述第二讯息文摘与上述解密讯息文摘；当上述第二讯息文摘不相同于上述解密讯息文摘时，防止一微处理器的操作；以及使用在上述微处理器内的一乱数产生器，在完成了一目前基本输入输出系统检查之后产生一乱数，其中上述乱数是用来设定下一个所规定的间隔，以及上述所规定的间隔是可随机改变的。25.如权利要求24所述的保护方法，更包括：分别地设置上述基本输入输出系统只读存储器在上述计算系统的一系统板上。26.如权利要求24所述的保护方法，其中上述使用用来产生上述第一讯息文摘与上述加密讯息文摘的相同演算法与密钥来产生对应于上述基本输入输出系统内容的上述第二讯息文摘以及对应于上述加密讯息文摘的上述解密讯息文摘的步骤更包括：使用一安全散列演算法来产生上述第二讯息文摘。27.如权利要求24所述的保护方法，其中上述使用用来产生上述第一讯息文摘与上述加密讯息文摘的相同演算法与密钥来产生对应于上述基本输入输出系统内容的上述第二讯息文摘以及对应于上述加密讯息文摘的上述解密讯息文摘的步骤更包括：使用一进阶加密标准演算法来产生上述解密讯息文摘。28.如权利要求24所述的保护方法，其中上述微处理器包括设置在一执行逻辑内一密码机/散列单元，以及上述第二讯息文摘以及上述解密讯息文摘由上述密码机/散列单元所产生，其中上述密钥仅能由上述密码机/散列单元进行存取。29.如权利要求28所述的保护方法，其中上述微处理器所执行的程序指令无法存取上述密钥。30.如权利要求24所述的保护方法，其中上述乱数产生器设置在上述微处理器的一执行逻辑内。31.一种基本输入输出系统的保护设备，用以保护一计算系统内的一基本输入输出系统，包括：一基本输入输出系统只读存储器，包括：基本输入输出系统内容，其中上述基本输入输出系统内容储存为可读文本；以及一加密讯息文摘，其中上述加密讯息文摘包括对应于上述基本输入输出系统内容的一第一讯息文摘的一加密版本；一窜改检测器，耦接于上述基本输入输出系统只读存储器，用以在所规定的间隔与事件发生的集合时产生一基本输入输出系统检查中断、根据上述基本输入...

【专利技术属性】
技术研发人员：亨利G葛兰，
申请(专利权)人：威盛电子股份有限公司，
类型：发明
国别省市：中国台湾,71