CN101080722A - 用于过滤访问部件核心逻辑的尝试的技术 - Google Patents
用于过滤访问部件核心逻辑的尝试的技术 Download PDFInfo
- Publication number
- CN101080722A CN101080722A CNA2005800433219A CN200580043321A CN101080722A CN 101080722 A CN101080722 A CN 101080722A CN A2005800433219 A CNA2005800433219 A CN A2005800433219A CN 200580043321 A CN200580043321 A CN 200580043321A CN 101080722 A CN101080722 A CN 101080722A
- Authority
- CN
- China
- Prior art keywords
- core logic
- rule
- hardware component
- request
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及通过外部装置或外部软件程序限制访问硬件部件装置的技术。过滤装置可以用于基于访问规则过滤要求访问硬件部件装置的核心逻辑的请求。访问规则基于硬件部件装置的阶段、所请求的核心逻辑的操作或核心逻辑的目标区域,可以限制访问核心逻辑。
Description
发明领域
本发明涉及维持计算机系统的硬件外围设备中的安全的技术。
技术背景
在计算环境中,诸如病毒和蠕虫之类的恶意软件比较普遍。恶意软件通常试图破坏或控制计算机或其外围硬件部件的运行。例如,能够通过PCI兼容总线接收命令的硬件部件使其配置和状态寄存器受到连接到总线的装置的操作,但所述硬件部件并不施加任何保护以防止允许的事务处理的任何子集。人们期望防止恶意软件操纵硬件部件的操作和配置。
附图说明
图1示出了其中可以使用本发明某些实施例的系统;
图2示出了可以使用本发明实施例的示例性计算机系统;
图3示出了根据本发明实施例的硬件部件的示例性实现方案,其包括过滤来自外部装置的读或写请求的能力;
图4示出了根据本发明实施例的示例性访问图,通过该访问图,可以对配置和状态寄存器加以访问,或是不可以加以访问;
图5示出了根据本发明实施例的网络接口的示例性实现方案;
图6示出了根据本发明实施例可用于控制是否允许外部装置或程序访问计算机系统硬件部件的核心逻辑的示例性过程。
需要注意的是,在不同附图中,相同的参考编号表示相同或相似的元件
具体实施方式
本文中所述的“一个实施例”或“实施例”表示与实施例相关联地描述的特定特征、结构和特性被包括在本发明的至少一个实施例内。因此,在本文中各处出现的词条“在一个实施例中”或“实施例”并不一定均指同一个实施例。而且,特定特征、结构和特性可以被结合于一个或多个实施例中。
例如,图1示出了其中可以使用本发明某些实施例的系统。该系统可以包括被管理的客户机装置102-0至102-N、配置装置104和管理控制台106。被管理的客户机装置102-0至102-N、配置装置104和管理控制台106可以利用网络150进行通信。
网络150可以是诸如因特网、内联网、局域网(LAN)、存储区域网(SAN)、广域网(WAN)或无线网之类的任何网络。网络150可以使用以太网标准、SONET/SDH、ATM或任何通信标准来与计算机系统交换业务量。
例如,任何被管理的客户机装置102-0至102-N可以被实现为诸如个人计算机或服务器计算机之类的任何计算机。在一个实施例中,任何被管理的客户机装置102-0至102-N可以向管理控制台106提供信息,所述信息例如(但不限于)有每一个被管理的客户机装置102-0至102-N中的数据或清单(例如硬件或软件),以及相关于可疑硬件故障和引导记录的其他信息。在一个实施例中,任何被管理的客户机装置102-0至102-N均可具有限制软件程序或硬件装置能够控制其使用或访问存储于其中的信息的范围的能力。
配置装置104可以提供被管理的客户机装置的目录和在管理控制台106和被管理的客户机装置102-0至102-N之中任一装置之间进行通信的协议。例如,为了提供通信,配置装置104可以使用动态主机配置协议(DHCP)和/或域名系统(DNS)协议,但也可以使用其他协议。在一个实施例中,管理控制台106和配置装置104可以组合成一个单独的装置。
管理控制台106可以使用户能够查看信息,所述信息例如有(但不限于)被管理的客户机装置102-0至102-N之每一个中的数据或清单(例如硬件或软件),以及相关于可疑硬件故障和引导记录的其他信息。管理控制台106可以使用户能够监视被管理的客户机装置102-0至102-N中的任一个,而不管操作系统的状态或被管理的客户机装置102-0至102-N中任一个的电源模式。在一个实施例中,管理控制台106可以通过可扩展标记语言(XML)脚本而与被管理的客户机装置102-0至102-N中的每一个进行互通信,但也可以使用其他协议。在一个实施例中,配置装置104和管理控制台106可以组合为一个单独的装置。
图2示出了计算机系统200中被管理的客户机装置102-0至102-N之任一个的适当实现方案。计算机系统200可以包括芯片组205、处理器210、主存储器212、系统存储器214、引导存储器216、总线220和硬件(HW)部件222-0至222-N。
芯片组205包括存储控制中心(MCH)205A,其提供处理器210、主存储器212和图形适配器之间的互通信,所述图形适配器可以用于为显示装置上的显示(均未示出)传输图形和信息。芯片组205还可以包括I/O控制中心(ICH)205B,其可与MCH 205A进行互通信,并可提供系统存储器214、引导存储器216和总线220之间的互通信。
处理器210可以被实现为复杂指令集计算机(CISC)处理器或精简指令集计算机(RISC)处理器、多核或任何其他微处理器或中央处理单元。主存储器212可以被实现为易失性存储装置(例如,随机存取存储器(RAM)、动态随机存取存储器(DRAM)或静态RAM(SRAM))。系统存储器214可以被实现为非易失性存储装置,例如磁盘驱动器、光盘驱动器、磁带驱动器、内部存储装置、附加存储装置和/或网络可访问存储装置。存储于系统存储器214中的程序和信息可以被加载入主存储器212并被处理器210执行。例如,系统存储器214可以存储操作系统和系统200所用的应用程序。
引导存储器216可以被实现为非易失性存储器,例如只读存储器(ROM)、可擦可编程ROM(EPROM)、电可擦可编程ROM(EEPROM)、掩模型ROM或闪速存储器。引导存储器216至少可存储基本输入/输出系统(BIOS)和被管理的客户机装置的资源描述。在一个实施例中,在系统200的引导期间,BIOS可以确定资源描述和引导记录。例如,资源描述可以包括但不限于,被管理的客户机装置的构成和型号、处理器210的序列号、主存储器的存储容量、系统存储器214的存储容量和即插即用ID列表(例如硬件外围设备的序列号或通用名称的列表)。某些资源描述可以为硬编码,而某些资源可以在引导期间进行测量(例如主存储器的存储容量、系统存储器214的存储容量和即插即用ID列表)。系统200的引导记录可以包括在引导过程中检测的可疑硬件故障或指示器(例如主存储器检查、存储装置检查和存储装置中无效引导扇区的指示)。
总线220可以提供主系统202和硬件部件222-0至2220-N之间的互通信。总线220支持节点到节点、或节点到多节点的通信。总线220可以相兼容于:外围部件互连(PCI),其例如在位于美国俄勒冈州波特兰市的PCI专业组(PCI Special Interest Group)于1998年12月18日提出的外围部件互连(PCI)本地总线规范(Local BusSpecification)修订本(Revision)2.2(以及其修订本)中进行了描述;PCI Express,其在PCI专业组的PCI Express基础规范(BaseSpecification)修订本1.0a(以及其修订本)中进行描述;PCI-x,其在上述位于美国俄勒冈州波特兰市的PCI专业组(PCI Special InterestGroup)于2000年7月24日提出的PCI-X规范修订本1.0a(以及其修订本)中进行描述;串行ATA,其在例如由串行ATA工作组(SerialATA Working Group)于2001年8月29日公布的“串行ATA:高速串行化AT附加”修订本1.0(以及相关标准)中进行描述;通用串行总线(USB)(以及相关标准);以及其他互连标准。
硬件部件222-0至222-N可以为任何能够从主系统202接收信息或指令、或提供信息或指令给主系统202的装置。硬件部件222-0至222-N之任一个能够提供信息或指令给硬件部件222-0至222-N中的另一个、或从硬件部件222-0至222-N中的另一个接收信息或指令。根据本发明的实施例,硬件部件222-0至222-N之任一个可以具有阻止来自诸如主系统202之类的外部装置的访问请求(例如指令、读或写请求)被传送至硬件部件的核心逻辑的能力。硬件部件222-0至222-N的核心逻辑可以包括使用主板的导线相互连接的微芯片或集成电路、硬连线逻辑、存储在存储装置中并由微处理器执行的软件、固件、专用集成电路(ASIC)、存储器或存储装置、和/或现场可编程门阵列(FPGA)。
计算机系统200可以实现为以下之任一项或其组合:使用主板的导线相互连接的若干个微芯片或集成电路、硬连线逻辑、存储在存储装置中并由微处理器执行的软件、固件、专用集成电路(ASIC)和/或现场可编程门阵列(FPGA)。
例如,图3示出了根据本发明实施例的硬件部件300的示例性实现方案,其包括过滤来自诸如(包括但并不限于)主系统202之类的外部装置的读或写请求的能力。硬件部件300可以包括I/O装置305、过滤装置310、硬件核心逻辑315和保护规则装置320。
通过提供媒体连接件并支持接口的相关协议,I/O装置305可以提供过滤装置310和诸如(包括但并不限于)总线220之类的主系统接口之间的互通信。
过滤装置310可以基于由保护规则装置320提供的规则而过滤由I/O装置305(例如从接口)传输的访问硬件核心逻辑315的尝试。例如,访问尝试可以包括指令类型(例如读或写)、目标硬件部件的地址、访问的目标硬件部件的功能以及要访问的硬件部件300的存储器中的地址。例如,保护规则装置320可以对过滤装置310进行编程,以识别应该或不应该被传输到硬件核心逻辑315的访问尝试。因此,过滤装置310可以保护硬件核心逻辑315不会以诸如由错误的驱动器或病毒进行配置之类的错误或有害的方式被配置。
在一个实施例中,尽管可以使用其他标准,保护规则装置320可以引导过滤装置310基于访问尝试类型(例如读或写)、请求访问的硬件核心逻辑315的存储器中的存储器扇区(例如,配置和状态存储器空间、I/O空间或存储器空间)、和/或访问尝试的发起者(依据具体情况而定),对访问尝试进行过滤。
在一个实施例中,保护规则装置320可以配置过滤装置310,使其能够进入多个阶段(例如置信或非置信),而在每一阶段,过滤装置310向硬件核心逻辑315传输指令的范围被减小。例如,在置信阶段,过滤装置310可以向硬件核心逻辑315传输从I/O装置305接收的并由外部置信源提供的任何指令。例如,在非置信阶段,过滤装置310可以不向硬件核心逻辑315传输从I/O装置305接收的任何指令。因此,在这样的条件下,即在非置信阶段可能的恶意代码尝试控制硬件核心逻辑315,对硬件核心逻辑315的访问可能会被拒绝。例如,硬件核心逻辑315通过忽略指令或提供预编程通用响应而可以响应在未置信阶段接收的指令。
在一个实施例中,触发事件可以将过滤装置310的状态从置信阶段状态改变到非置信阶段,反之亦然。过滤装置310可检测的并使其进入到置信阶段的触发事件包括平台事件(platform event),没有软件组件可以触发所述平台事件,以及所述平台事件导致置信源的紧接着的下一步的执行。例如,使过滤装置310进入置信阶段的触发事件可包括主系统中的PCI-重置解断言(de-assertion)事件。在PCI下,在PCI-重置解断言事件发生后,处理器被重置,下一步是处理器执行BIOS代码。例如,主系统的全功率的加电或恢复会触发PCI-重置解断言事件。也可以使用其他触发事件。例如,导致进入非置信阶段的触发事件包括置信源(例如BIOS)通知接下来将执行非置信源。例如,在运行非BIOS代码的代码之前的BIOS通知会触发进入非置信阶段。
例如,置信源可以包括请求非BIOS代码被执行前的BIOS代码。非BIOS代码可以包括但不限于:存储器(不包括引导存储器216)中的代码;操作系统(例如Linux、DOS或Windows);或BIOS可以请求被执行的任何第三方“ROM扩展”代码。第三方ROM扩展代码的示例包括但不限于:小型计算机系统接口(SCSI)适配器初始SCSI适配器用于初始化SCSI适配器的代码和使操作系统(OS)能够使用网络接口从网络被加载的预引导执行环境(PXE)代码。其他置信源可以包括软件,所述软件只能由置信源或授权人添加,并且在添加后,只能由置信源或授权人随后更改。
在一个实施例中,过滤装置310能够进入多级置信。例如,可以有置信阶段、半置信阶段和非置信阶段。在半置信阶段,硬件部件可以执行有限的指令集,或执行由源的有限集发出的指令。例如,链路“上行”状况(下文将对其进行描述)可以对应于半置信阶段。例如,源可以使用访问请求中的源标识符来标识其自身。
可以导致转变为置信或半置信阶段的其他示例性触发包括非可屏蔽中断(NMI)和系统管理中断(SMI)。NMI可以触发主处理器接下来执行BIOS并因此变为置信阶段。NMI可以触发主处理器接下来执行少于诸如OS内核之类的BIOS的置信代码,并因此使其转变为半置信阶段,从而使来自OS内核的有限指令集能够被传输到硬件核心逻辑用以执行。SMI可以触发主处理器接下来执行BIOS,从而使得转变为置信阶段。此外,可以传输到核心逻辑的OS和BIOS指令的更多示例包括存储在登录过程中用户的击键。
在一个实施例中,诸如远程服务器(例如管理控制台)之类的远程实体或主系统中的置信源可以设置保护规则装置320中的将被过滤装置310应用的规则。例如,远程服务器可以基于硬件部件的系统状态而改变规则。硬件部件系统状态的示例包括硬件部件的电源使用状态。例如,远程服务器可以基于主系统的系统状态而改变规则。主系统状态的示例包括:主系统的高级配置与电源接口(ACPI)规范兼容的电源使用状态(例如开、关、睡眠、休眠或待机)或主系统的每一部件的电源状态(例如主系统处理器的电源使用状态)。
在一个实施例中,保护规则装置320可以在若干个阶段期间(例如在半置信阶段或非置信阶段期间)或在若干个时间段中限制外部指令访问硬件核心逻辑315的某些功能(例如将在下文中描述的主接口功能)。
例如,图4示出了与硬件部件的配置与状态寄存器(CSR 1)相关的示例性访问图。根据本发明的实施例,可以配置访问图以在比特级别上允许或拒绝对CSR 1的访问。例如,CSR 1可以包括8比特(0到7),每一比特被指定为是否可由访问请求进行访问。例如比特1、4、5和7可以被指定为不可由任何访问尝试进行访问。比特0和6除了在未置信阶段内之外均可以被访问。比特2则除了在诸如与网络节点的链接之类的特定硬件部件状态之后都可以被访问。而比特3则在任何情况下均可以被访问。因此,可以保护配置寄存器以防止有条件地或无条件地访问硬件部件或主系统中的事件。这仅仅是访问图的一个实施例;也可以使用许多其他的类型和配置。可以将访问图存储于保护规则装置320中。因此,过滤装置310可以基于访问图来过滤对CSR 1的访问请求。例如,硬件核心逻辑315可以包括多功能,每一功能具有与其自身相关的CSR和访问图,从而使访问图确定与每一功能相关的CSR的访问。
例如,对不允许的读请求的一个可能的响应是提供预定的数据而不是实际数据。例如,如果不允许的访问尝试请求读取保存数据值为0x10101010的特定寄存器,则响应于不允许的访问尝试,过滤装置310可提供的预定响应值为0x00000000。例如,对于不允许的写请求的一个可能的响应是忽略写请求。例如,对于经由PCI兼容总线传输的写事务处理,忽略该写事务处理并不会触发错误条件。即便硬件部件不遵从于不允许写请求,不允许写事务处理的源也可以相信硬件部件遵从于不允许写请求。在一个实施例中,当不允许请求发生时,过滤装置310可以生成报警消息,所述报警消息被发送给诸如管理控制台之类的外部装置,以便向管理控制台通知不允许请求以及该不允许请求的特性。
硬件核心逻辑315可以提供硬件部件的核心功能。硬件核心逻辑315可以包括使用主板的导线相互连接的若干个微芯片或集成电路、硬连线逻辑、存储在存储装置中并由微处理器执行的软件、固件、专用集成电路(ASIC)、存储器或存储装置、和/或现场可编程门阵列(FPGA)。例如,存储装置可以存储若干个配置和状态寄存器(CSR)。配置和状态寄存器(CSR)可用于配置通常由硬件核心逻辑315或硬件部件300执行的功能的操作。例如,可以在访问图中将配置和状态寄存器的选定内容(即便是比特级别)标记为访问尝试可访问或不可访问。例如,由硬件部件300实现的功能包括但不限于:主接口、链路连接、主系统资源信息接收或传输能力(结合图5对其中每一项进行描述)。
可以将硬件部件300实现为以下之任一项或其组合:使用主板的导线相互连接的若干个微芯片或集成电路、硬连线逻辑、存储在存储装置中并由微处理器执行的软件、固件、专用集成电路(ASIC)和/或现场可编程门阵列(FPGA)。
在一个实施例中,硬件部件222-0至222-N中至少一个可被实现为网络接口。例如,该网络接口能够提供计算机系统(包括但不限于计算机系统200)和与诸如(但不限于)以太网或SONET/SDH之类的相关网络标准相兼容的网络(例如但不限于网络150)之间的互通信。
例如,图5示出了根据本发明实施例的网络接口500的示例性实现方案。网络接口500可以包括:I/O装置502、核心逻辑504和物理层接口(PHY)506。I/O装置502可以提供主系统总线(包括但不限于总线220)和网络接口500之间的互通信。例如I/O装置502可以根据总线所使用的若干个标准,编码通信信息并将其提供到总线,以及接收并解码由总线提供的通信信息。I/O装置502可以利用过滤器503以与关于过滤装置310和保护规则装置320所述的方式相似的方式来过滤来自总线的请求。
在一个实施例中,如图所示,核心逻辑504可以包括能够执行指令的处理器和存储装置。在一个实施例中,核心逻辑504可以包括使用主板的导线相互连接的若干个微芯片或集成电路、硬连线逻辑、存储在存储装置中并由微处理器执行的软件、固件、专用集成电路(ASIC)、存储器或存储装置、和/或现场可编程门阵列(FPGA)。
核心逻辑504可具有提供主接口的能力,所述主接口提供网络接口500和至少由主系统使用的BIOS之间的互通信。该接口可以实现为KCS接口,KCS接口是以运行于PCI兼容总线之上的智能平台管理接口(IPMI)标准来定义。在一个实施例中,可以使网络接口500的主接口功能适用于在置信阶段的访问。
例如,在置信阶段,过滤器503可以允许主系统中的BIOS访问I/O装置502的主接口功能,并因此允许存储器在置信阶段接收由主系统的BIOS提供的信息,如硬件或软件资源信息或与引导记录相关的信息。因此,在置信阶段所传输的信息可以被认为是未受破坏的。例如,诸如管理控制台106之类的装置可以通过向网络接口500提供请求而从主系统(例如但不限于主系统202)请求信息。在一个实施例中,管理控制台106可以使用XML兼容通信而从网络接口500请求主系统的硬件或软件资源描述信息或引导记录。因此,通过将信息提供给网络接口500以用于存储和传输,可以将相关于主系统的信息传输给诸如管理控制台106之类的装置,而不考虑主系统的操作系统或电源使用状态。
在一个实施例中,存储在核心逻辑504的存储器中的配置与状态寄存器可用于配置网络接口500,以允许与网络中的一个或多个指定节点地址进行通信。在与指定节点地址的通信建立后,过滤器503可以被配置为不允许对配置做任何变化,除非变化是由指定源所做的。例如,状态寄存器可以表示与指定节点地址的通信是否有效,以及过滤器503可以监视状态寄存器以确定与指定节点地址的通信是否有效(例如链路上行(link up)/链路下行(link down)状态)。例如,如果链路状态是“下行”,则可以允许外部装置或软件程序重新配置链路。例如,重新配置链路可以包括改变指定的节点地址。例如,如果链路状态是“上行”,则过滤器503可以禁止除特定源之外对链路配置进行任何更改。“上行”链路状态可以包括配置物理层接口508以与指定节点地址进行通信。因此,如果指定节点地址是管理控制台,在链路“上行”后,可以防止除特定源之外破坏或更改管理控制台和网络接口500之间的链路。这样,就可以提供安全链路,以传输诸如主系统的资源信息和引导记录之类的信息。
核心逻辑504的存储器可以存储网络接口500所使用的应用程序和协议,以通过网络与诸如(但不限于)管理控制台106之类的外部装置进行通信。该存储器可以存储从网络接收的分组和帧的内容,以及传输给网络的分组和帧的内容。例如,该存储器可以存储将传输给主系统的信息,或将从主系统传输给外部装置的出站信息。例如,信息可以包括但不限于:主系统的资源信息、引导记录和击键信息(例如响应于登录请求而提供的击键)。
核心逻辑504的处理器依照诸如以太网或SONET/SDH之类的相关联网协议,可以对将传输给网络的分组或帧进行编码,尽管也可以支持其他协议。相似地,处理器依照诸如以太网或SONET/SDH之类的相关联网协议,可以对从网络接收的分组或帧进行解码,尽管也可以支持其他协议。
物理层接口506可以向网络接口500提供对网络的网络介质的访问,从而支持网络和网络接口500之间的分组和帧的发送和接收。该网络可以为诸如因特网、内联网、局域网(LAN)、存储区域网(SAN)、广域网(WAN)或无线网之类的任何网络。该网络可以依照以太网标准、SONET/SDH、ATM或任何通信标准,与网络接口500交换业务量。
网络接口500可以被实现为以下之任一项或其组合:使用主板的导线相互连接的若干个微芯片或集成电路、硬连线逻辑、存储在存储装置中并由微处理器执行的软件、固件、专用集成电路(ASIC)和/或现场可编程门阵列(FPGA)。例如,网络接口500可以:被集成于主板上LAN(LAN-on-motherboard)实现方案中的芯片组(例如但不限于芯片组205)中;被实现为可以插入主板平台中总线接口的网络接口卡,其提供与计算机系统(例如但不限于芯片组205)的互通信;和/或使用主处理器被部分实现。
图6示出了可用于本发明实施例中以控制是否允许外部装置或程序访问计算机系统的硬件部件的核心逻辑的示例性过程。在块602,硬件部件外部的允许规则提供者可以对保护规则进行编程,硬件部件应用所述保护规则以传输或不传输要求对硬件部件的核心逻辑进行访问的请求。例如,可以允许远程服务器或主系统中的置信源对保护规则进行编程。块602可以应用参照保护规则装置320所述的规则相似的规则,尽管也可以应用其他规则。
在块604,硬件部件可以接收要求访问硬件部件的外部请求。例如,访问硬件部件的请求可以包括从硬件部件核心逻辑读取信息、向硬件部件核心逻辑写入信息、或以其它方式指示硬件部件核心逻辑的请求。结合图3描述硬件部件核心逻辑的一个可能的示例为硬件核心逻辑315,但也可以使用其他可能的硬件部件核心逻辑的实现方案。
在块606,硬件部件的过滤装置可以确定是否传输请求给硬件部件核心逻辑。例如,过滤装置可以基于块602中编程的规则,确定传输请求。如果硬件部件确定要传输该请求,则从块606转到块608。如果硬件部件确定不传输该请求,则从块606转到块610。
在块608,硬件部件装置的核心逻辑可以遵从于外部请求。在块610,过滤装置可以不传输请求给核心逻辑。例如,过滤装置可以忽略该请求或发出预定的虚响应,这取决于响应请求的应用规则(例如,响应时间或由于无响应的误差导出)。例如,对不允许的读请求的一个可能的响应是提供预定的数据而不是实际数据。例如,如果不允许的访问尝试读取保存数据值为0x10101010的特定寄存器,则在块610,响应于不允许的访问尝试,预定的响应值为0x00000000。
变型
附图和以上描述给出了本发明的示例。尽管是以许多不同的功能项来加以描述的,本领域技术人员应当理解的是,可以将这样的元件中的一个或多个组合成单独的功能实体。或者,某些元件可以被分割成多个功能元件。但是,本发明的范围绝不限于这些具体示例。无论是否在本说明书中明确给出,诸如结构、尺寸和所用材料不同之类的各种变化都是可能的。本发明的范围由所附权利要求书给出。
Claims (27)
1、一种方法,包括:
在硬件部件上,存储若干个访问规则;以及
在所述硬件部件上,基于所述访问规则,选择性地过滤要求访问所述硬件部件的核心逻辑的请求。
2、如权利要求1所述的方法,其中所述存储访问规则包括:
从外部源接收若干个访问规则。
3、如权利要求1所述的方法,其中所述硬件部件包括存储器,以及其中所述规则包括限制访问所述存储器的特定内容的规则。
4、如权利要求1所述的方法,其中
所述硬件部件包括提供与网络进行互通信的功能,
所述硬件部件存储用于所述提供与所述网络进行互通信的功能的配置和状态寄存器,以及
在所述硬件部件和所述网络中的节点之间的通信链路建立后,所述规则限制对配置和状态寄存器的修改。
5、如权利要求1所述的方法,其中
所述硬件部件包括提供与网络进行互通信的功能,以及作为与主计算机的接口的功能,以及
所述规则允许所述主计算机使用所述硬件部件用于存储的接口,在指定阶段期间传输所述主计算机的资源信息和引导记录。
6、如权利要求1所述的方法,其中
所述硬件部件存储配置和状态寄存器,以及
所述规则包括限制对配置和状态寄存器的指定部分的修改。
7、如权利要求1所述的方法,其中所述选择性地过滤请求包括向不允许读请求提供预定响应。
8、如权利要求1所述的方法,其中所述选择性地过滤请求包括不向所述硬件部件的核心逻辑传输不允许写请求。
9、一种设备,包括:
硬件部件,包括:
I/O装置;
核心逻辑;
保护规则装置,用于存储访问规则;以及
过滤装置,所述过滤装置响应于从所述I/O装置传输的访问请求,部分基于所述访问规则,选择性地过滤要求访问所述核心逻辑的请求。
10、如权利要求9所述的设备,其中存储访问规则的所述保护规则装置从所述硬件部件外部的源接收访问规则。
11、如权利要求9所述的设备,其中所述核心逻辑包括存储装置,以及其中所述规则包括限制访问所述存储装置的指定内容。
12、如权利要求9所述的设备,其中
所述核心逻辑包括存储器,
所述核心逻辑包括提供与网络进行互通信的功能,
所述存储器存储用于所述提供与所述网络进行互通信的功能的配置和状态寄存器,以及
在所述硬件部件和所述网络中的节点之间的通信链路建立后,所述规则限制对配置和状态寄存器的修改。
13、如权利要求9所述的设备,其中
所述核心逻辑包括存储器,
所述核心逻辑包括提供与网络进行互通信的功能,以及作为与主计算机的接口的功能,以及
所述规则允许所述主计算机使用所述接口,在指定阶段期间传输所述主计算机的资源信息和引导记录,供所述存储器存储。
14、如权利要求9所述的设备,其中
所述核心逻辑包括存储器,
所述存储器存储若干个配置和状态寄存器,以及
所述规则限制对配置和状态寄存器的指定部分的修改。
15、如权利要求9所述的设备,其中所述过滤装置提供对不允许读请求的预定响应。
16、如权利要求9所述的设备,其中所述过滤装置不向所述核心逻辑传输不允许写请求。
17、一种方法,包括:
在网络接口上通过网络从管理控制台接收关于与主系统相关的信息的请求,其中所述网络接口能够与所述主系统进行互通信;
在所述网络接口上,存储访问规则,其中所述访问规则控制所述网络接口传输来自所述主系统的请求以访问所述网络接口的核心逻辑的范围;
在所述网络接口上,基于所述访问规则选择性地过滤要求访问所述核心逻辑的请求;
在所述网络接口上,在所述核心逻辑中存储与所述主系统相关的信息,其中所述访问规则在指定阶段期间允许在所述核心逻辑中存储与所述主系统相关的信息;以及
通过所述网络,将所述信息传输给所述管理控制台。
18、如权利要求17所述的方法,其中所述管理控制台包括计算机,该计算机向用户提供查看至少一个被管理的客户机装置的信息的功能,其中至少一个被管理的客户机装置包括所述主系统。
19、如权利要求17所述的方法,其中所述信息包括所述主计算机的资源信息。
20、如权利要求17所述的方法,其中所述信息包括所述主计算机的引导记录。
21、一种系统,包括:
网络接口,所述网络接口能够提供网络和主系统之间的互通信,包括:
I/O装置,
核心逻辑,
存储访问规则的保护规则装置,以及
过滤装置,所述过滤装置响应于从所述I/O装置传输的访问请求,部分基于所述访问规则,选择性地过滤要求访问所述核心逻辑的请求;以及
总线接口,所述总线接口允许所述主系统和所述网络接口之间的互通信。
22、如权利要求21所述的系统,其中所述总线接口遵从于PCI。
23、如权利要求21所述的系统,其中所述总线接口遵从于PCIexpress。
24、一种系统,包括:
至少一个被管理的客户机装置,其中所述被管理的客户机装置包括:
I/O装置,
核心逻辑,
存储访问规则的保护规则装置,以及
过滤装置,所述过滤装置响应于从所述I/O装置传输的访问请求,部分基于所述访问规则,选择性地过滤要求访问所述核心逻辑的请求;以及
管理控制台,所述管理控制台使用网络与所述至少一个被管理的客户机装置进行通信。
25、如权利要求24所述的系统,其中在所述访问规则指定的阶段,所述过滤装置将主系统的存储信息传输给所述存储装置。
26、如权利要求25所述的系统,其中所述信息包括主系统的资源信息。
27、如权利要求25所述的系统,其中所述信息包括主系统的引导记录。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/015,872 US20060136338A1 (en) | 2004-12-16 | 2004-12-16 | Techniques for filtering attempts to access component core logic |
US11/015,872 | 2004-12-16 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101080722A true CN101080722A (zh) | 2007-11-28 |
Family
ID=36588676
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2005800433219A Pending CN101080722A (zh) | 2004-12-16 | 2005-12-15 | 用于过滤访问部件核心逻辑的尝试的技术 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20060136338A1 (zh) |
EP (1) | EP1828950A2 (zh) |
JP (1) | JP2008525871A (zh) |
CN (1) | CN101080722A (zh) |
TW (1) | TWI308702B (zh) |
WO (1) | WO2006066277A2 (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8782313B2 (en) * | 2005-01-31 | 2014-07-15 | Avaya Inc. | Method and apparatus for enterprise brokering of user-controlled availability |
WO2008006403A1 (en) * | 2006-07-12 | 2008-01-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, apparatus and computer program product for controlling devices |
CN101123785B (zh) | 2006-08-11 | 2013-01-23 | 华为技术有限公司 | 一种通信系统中管理终端的方法和系统 |
JP4785679B2 (ja) * | 2006-09-04 | 2011-10-05 | 株式会社日立ソリューションズ | 2次記憶装置への書込み制御方法及び情報処理装置 |
US20080062976A1 (en) * | 2006-09-08 | 2008-03-13 | Dell Products, Lp | System, method and apparatus for remote access to system control management within teamed network communication environments |
US8917595B2 (en) * | 2007-01-11 | 2014-12-23 | Broadcom Corporation | Method and system for a distributed platform solution for supporting CIM over web services based management |
US8151073B2 (en) * | 2008-06-25 | 2012-04-03 | Fac Systems Inc. | Security system for computers |
US8209528B2 (en) * | 2009-04-28 | 2012-06-26 | Qualcomm Incorporated | Method and system for certifying a circuit card lacking any non-volatile memory as being compatible with a computer |
US8925101B2 (en) * | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
US8566934B2 (en) * | 2011-01-21 | 2013-10-22 | Gigavation, Inc. | Apparatus and method for enhancing security of data on a host computing device and a peripheral device |
US9152195B2 (en) * | 2013-01-21 | 2015-10-06 | Lenovo (Singapore) Pte. Ltd. | Wake on cloud |
SE538279C2 (sv) * | 2014-09-23 | 2016-04-19 | Kelisec Ab | Förfarande och system för att fastställa förekomst av |
DE102017214624A1 (de) | 2017-08-22 | 2019-02-28 | Audi Ag | Verfahren zum Filtern von über eine Kommunikationsverbindung eingehenden Kommunikationsdaten in einer Datenverarbeitungseinrichtung, Datenverarbeitungseinrichtung und Kraftfahrzeug |
US10877912B1 (en) * | 2018-09-27 | 2020-12-29 | Rockwell Collins, Inc. | Serial in-line communication guard |
CN113377350B (zh) * | 2021-06-29 | 2023-02-03 | 中国平安财产保险股份有限公司 | 访问请求处理方法、装置、设备及可读存储介质 |
CN114356811B (zh) * | 2022-03-17 | 2022-06-07 | 苏州浪潮智能科技有限公司 | 一种通信链路更新方法、装置及相关设备 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5230052A (en) * | 1990-10-01 | 1993-07-20 | International Business Machines Corp. | Apparatus and method for loading bios into a computer system from a remote storage location |
JP3270136B2 (ja) * | 1992-09-17 | 2002-04-02 | 株式会社東芝 | ポータブルコンピュータ |
JPH0793241A (ja) * | 1993-09-24 | 1995-04-07 | Toshiba Corp | ポータブルコンピュータシステム |
JPH07104882A (ja) * | 1993-10-06 | 1995-04-21 | Toshiba Corp | ポータブルコンピュータシステム |
JPH10177524A (ja) * | 1996-12-16 | 1998-06-30 | Nec Shizuoka Ltd | 情報処理システム |
US6212635B1 (en) * | 1997-07-18 | 2001-04-03 | David C. Reardon | Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place |
US6304970B1 (en) * | 1997-09-02 | 2001-10-16 | International Business Mcahines Corporation | Hardware access control locking |
US5944622A (en) * | 1998-01-30 | 1999-08-31 | James K. Buck | Strung racquet training weight system |
US7031267B2 (en) * | 2000-12-21 | 2006-04-18 | 802 Systems Llc | PLD-based packet filtering methods with PLD configuration data update of filtering rules |
US7185192B1 (en) * | 2000-07-07 | 2007-02-27 | Emc Corporation | Methods and apparatus for controlling access to a resource |
US7355970B2 (en) * | 2001-10-05 | 2008-04-08 | Broadcom Corporation | Method and apparatus for enabling access on a network switch |
DE60322366D1 (de) * | 2002-04-18 | 2008-09-04 | Advanced Micro Devices Inc | Rechnersystem mit einem für einen sicheren ausführungsmodus geeigneten cpu und einem sicherheitsdienst-prozessor die über einen gesicherten kommunikationsweg miteinander verbunden sind |
JP2004021394A (ja) * | 2002-06-13 | 2004-01-22 | Ricoh Co Ltd | 情報処理システム |
JP2004234331A (ja) * | 2003-01-30 | 2004-08-19 | Toshiba Corp | 情報処理装置および同装置で使用されるユーザ操作制限方法 |
AU2003900764A0 (en) * | 2003-02-20 | 2003-03-06 | Secure Systems Limited | Bus bridge security system and method for computers |
AU2003901454A0 (en) * | 2003-03-28 | 2003-04-10 | Secure Systems Limited | Security system and method for computer operating systems |
TWI255996B (en) * | 2004-05-31 | 2006-06-01 | Wellsyn Technology Inc | Advanced IPMI system with multi-message processing and configurable performance and method for the same |
-
2004
- 2004-12-16 US US11/015,872 patent/US20060136338A1/en not_active Abandoned
-
2005
- 2005-12-15 JP JP2007547051A patent/JP2008525871A/ja active Pending
- 2005-12-15 TW TW094144494A patent/TWI308702B/zh not_active IP Right Cessation
- 2005-12-15 CN CNA2005800433219A patent/CN101080722A/zh active Pending
- 2005-12-15 WO PCT/US2005/046573 patent/WO2006066277A2/en active Application Filing
- 2005-12-15 EP EP05855179A patent/EP1828950A2/en not_active Withdrawn
Also Published As
Publication number | Publication date |
---|---|
US20060136338A1 (en) | 2006-06-22 |
EP1828950A2 (en) | 2007-09-05 |
WO2006066277A3 (en) | 2006-10-19 |
TW200634554A (en) | 2006-10-01 |
TWI308702B (en) | 2009-04-11 |
WO2006066277A2 (en) | 2006-06-22 |
JP2008525871A (ja) | 2008-07-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101080722A (zh) | 用于过滤访问部件核心逻辑的尝试的技术 | |
EP2601588B1 (en) | Providing fast non-volatile storage in a secure environment | |
US9830457B2 (en) | Unified extensible firmware interface (UEFI) credential-based access of hardware resources | |
KR20100087336A (ko) | 판독전용 영역과 판독/기록 영역, 분리형 매체 구성부품, 시스템 관리 인터페이스, 네트워크 인터페이스를 가진 컴퓨터 기억장치 | |
US20090300717A1 (en) | Hardware access and monitoring control | |
US10783075B2 (en) | Data security for multiple banks of memory | |
US9245122B1 (en) | Anti-malware support for firmware | |
EP3627368A1 (en) | Auxiliary memory having independent recovery area, and device applied with same | |
JP2005276218A (ja) | 論理パーティション・データ処理システムにおける不正なオペレーティング・システムのローディング及び実行を防ぐための方法及びシステム | |
CN114721493B (zh) | 芯片启动方法、计算机设备及可读存储介质 | |
US20060075103A1 (en) | Systems, methods, and media for providing access to clients on a network | |
CN101080721A (zh) | 用于提供安全通信模式的技术 | |
CN111989677B (zh) | Nop雪橇防御 | |
DE112017004849T5 (de) | Modifizieren des Zugriffs auf einen Dienst auf der Basis von Konfigurationsdaten | |
CN110245527A (zh) | 一种usb端口权限管理方法和装置以及设备 | |
US11841940B2 (en) | Preemptive protection against malicious array access | |
US11444918B2 (en) | Subsystem firewalls | |
IT202000028874A1 (it) | Metodo, sistema, dispositivo e uso anti-ransomware di restore and data protection per endpoint | |
US20230237161A1 (en) | Detection of and protection against cross-site scripting vulnerabilities in web application code | |
CN117556146B (zh) | 一种网络数据信息处理系统、方法、设备及介质 | |
US20240086288A1 (en) | Privacy and security assurance during operating system crash events | |
EP3951631A1 (en) | Memory protection unit | |
JP2011113294A (ja) | 端末管理システム及び方法 | |
JP2006251989A (ja) | オペレーションシステムでネットワークに対応するデータ保護装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20071128 |